企业运维----Docker-kubernetes-service

最新推荐文章于 2023-12-25 08:51:26 发布
最新推荐文章于 2023-12-25 08:51:26 发布
阅读量266 收藏
点赞数
分类专栏: Docker 笔记 k8s 文章标签: 运维 kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56892849/article/details/119215493
版权
笔记 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
Docker
21 篇文章 0 订阅
订阅专栏
k8s
16 篇文章 0 订阅
订阅专栏

kubernetes-service

IPVS模式

Kubernetes Service 定义了这样一种抽象:逻辑上的一组 Pod,一种可以访问它们的策略 —— 通常称为微服务。 Service 所针对的 Pods 集合通常是通过选择算符来确定的。
Service 在 Kubernetes 中是一个 REST 对象,和 Pod 类似。 像所有的 REST 对象一样,Service 定义可以基于 POST 方式,请求 API server 创建新的实例。 Service 对象的名称必须是合法的 DNS 标签名称。

编辑ipvs模式

[root@server2 pod]# yum install -y ipvsadm.x86_64 
[root@server2 pod]# kubectl -n kube-system get cm
NAME                                 DATA   AGE
calico-config                        4      25h
coredns                              1      4d22h
extension-apiserver-authentication   6      4d22h
kube-proxy                           2      4d22h
kube-root-ca.crt                     1      4d22h
kubeadm-config                       2      4d22h
kubelet-config-1.21                  1      4d22h
[root@server2 pod]# kubectl -n kube-system edit cm

      mode: "ipvs"

[root@server2 pod]# ipvsadm -l
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn

删除副本自动生成新副本

[root@server2 pod]# kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'
pod "kube-proxy-czbm9" deleted
pod "kube-proxy-phhnb" deleted
pod "kube-proxy-t4mb8" deleted

[root@server2 pod]# ipvsadm -ln
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.96.0.1:443 rr
  -> 172.25.12.2:6443             Masq    1      2          0         
TCP  10.96.0.10:53 rr
  -> 10.244.0.4:53                Masq    1      0          0         
  -> 10.244.0.5:53                Masq    1      0          0         
TCP  10.96.0.10:9153 rr
  -> 10.244.0.4:9153              Masq    1      0          0         
  -> 10.244.0.5:9153              Masq    1      0          0         
TCP  10.111.193.201:80 rr
  -> 10.244.5.38:80               Masq    1      0          0         
  -> 10.244.5.39:80               Masq    1      0          0         
  -> 10.244.5.40:80               Masq    1      0          0         
UDP  10.96.0.10:53 rr
  -> 10.244.0.4:53                Masq    1      0          0         
  -> 10.244.0.5:53                Masq    1      0          0         
[root@server2 pod]# curl 10.244.5.40
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

Service实现外部访问

NodePort
[root@server2 pod]# kubectl edit svc mysvc 
service/mysvc edited

   type: NodePort

[root@server2 pod]# kubectl get svc
NAME         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)        AGE
kubernetes   ClusterIP   10.96.0.1        <none>        443/TCP        4d23h
mysvc        NodePort    10.111.193.201   <none>        80:31430/TCP   11m
[root@server2 pod]# netstat -antlp | grep 31430
tcp        0      0 0.0.0.0:31430           0.0.0.0:*               LISTEN      2524/kube-proxy     
[root@server2 pod]# curl 10.111.193.201
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>
[root@server2 pod]#

sever和master都会暴露出端口

[root@server3 ~]# netstat -antlp | grep :31430
tcp        0      0 0.0.0.0:31430           0.0.0.0:*               LISTEN      8739/kube-proxy

外部可以访问端口

[root@foundation12 ~]#  curl 172.25.12.2:31430  
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

查看解析

[root@server2 pod]# kubectl run demo -it --image=busyboxplus --restart=Never
If you don't see a command prompt, try pressing enter.
/ # nslookup mysvc
Server:    10.96.0.10
Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local

Name:      mysvc
Address 1: 10.111.193.201 mysvc.default.svc.cluster.local
/ #

查看svc的endpoint

[root@server2 pod]kubectl -n kube-system describe svc kube-dns
Name:              kube-dns
Namespace:         kube-system
Labels:            k8s-app=kube-dns
                   kubernetes.io/cluster-service=true
                   kubernetes.io/name=CoreDNS
Annotations:       prometheus.io/port: 9153
                   prometheus.io/scrape: true
Selector:          k8s-app=kube-dns
Type:              ClusterIP
IP Family Policy:  SingleStack
IP Families:       IPv4
IP:                10.96.0.10
IPs:               10.96.0.10
Port:              dns  53/UDP
TargetPort:        53/UDP
Endpoints:         10.244.0.4:53,10.244.0.5:53
Port:              dns-tcp  53/TCP
TargetPort:        53/TCP
Endpoints:         10.244.0.4:53,10.244.0.5:53
Port:              metrics  9153/TCP
TargetPort:        9153/TCP
Endpoints:         10.244.0.4:9153,10.244.0.5:9153
Session Affinity:  None
Events:            <none>
[root@server2 pod]#

endpoint正是服务所在节点

[root@server2 pod]# kubectl -n kube-system get pod -o wide
NAME                              READY   STATUS    RESTARTS   AGE   IP            NODE      NOMINATED NODE   READINESS GATES
coredns-7777df944c-4ls4d          1/1     Running   1          5d    10.244.0.4    server2   <none>           <none>
coredns-7777df944c-gwxzq          1/1     Running   1          5d    10.244.0.5    server2   <none>           <none>
Headless无头模式

有时不需要或不想要负载均衡,以及单独的 Service IP。 遇到这种情况,可以通过指定 Cluster IP(spec.clusterIP)的值为 “None” 来创建 Headless Service。

你可以使用无头 Service 与其他服务发现机制进行接口,而不必与 Kubernetes 的实现捆绑在一起。

对这无头 Service 并不会分配 Cluster IP,kube-proxy 不会处理它们, 而且平台也不会为它们进行负载均衡和路由。 DNS 如何实现自动配置,依赖于 Service 是否定义了选择算符。

[root@server2 pod]# cat headless.yaml 
apiVersion: v1
kind: Service
metadata:
  name: nginx-svc
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
      app: myapp
  clusterIP: None
[root@server2 pod]# kubectl apply -f headless.yaml
service/nginx-svc created
[root@server2 pod]# kubectl get svc
nginx-svc    ClusterIP   None             <none>        80/TCP         65m

进入容器查看解析

[root@server2 pod]# kubectl run demo -it --image=busyboxplus --restart=Never
If you don't see a command prompt, try pressing enter.
/ # nslookup nginx-svc
Server:    10.96.0.10
Address 1: 10.96.0.10 kube-dns.kube-system.svc.cluster.local

Name:      nginx-svc
Address 1: 10.244.5.44 10-244-5-44.nginx-svc.default.svc.cluster.local
Address 2: 10.244.5.45 10-244-5-45.nginx-svc.default.svc.cluster.local
Address 3: 10.244.5.43 10-244-5-43.nginx-svc.default.svc.cluster.local

可以直接访问服务名

/ # curl nginx-svc
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>
/ # curl nginx-svc/hostname.html
myapp-deployment-59dff4cf5d-krnss
/ # curl nginx-svc/hostname.html
myapp-deployment-59dff4cf5d-6fkvg
/ # curl nginx-svc/hostname.html
myapp-deployment-59dff4cf5d-6fkvg
/ # curl nginx-svc/hostname.html
myapp-deployment-59dff4cf5d-nb2bq
/ # curl nginx-svc/hostname.html
myapp-deployment-59dff4cf5d-krnss

dig查看解析

[root@server2 pod]# yum install -y bind-utils
[root@server2 pod]# dig -t -A nginx-svc.default.svc.cluster.local. @10.96.0.10
;; Warning, ignoring invalid type -A

; <<>> DiG 9.9.4-RedHat-9.9.4-72.el7 <<>> -t -A nginx-svc.default.svc.cluster.local. @10.96.0.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23304
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nginx-svc.default.svc.cluster.local. IN	A

;; ANSWER SECTION:
nginx-svc.default.svc.cluster.local. 30	IN A	10.244.5.44
nginx-svc.default.svc.cluster.local. 30	IN A	10.244.5.43
nginx-svc.default.svc.cluster.local. 30	IN A	10.244.5.45

;; Query time: 1 msec
;; SERVER: 10.96.0.10#53(10.96.0.10)
;; WHEN: Fri Jul 30 01:14:08 EDT 2021
;; MSG SIZE  rcvd: 217
LoadBalancer

在使用支持外部负载均衡器的云提供商的服务时,设置 type 的值为 “LoadBalancer”, 将为 Service 提供负载均衡器。 负载均衡器是异步创建的,关于被提供的负载均衡器的信息将会通过 Service 的 status.loadBalancer 字段发布出去。

更改kube-proxy配置

[root@server2 pod]# kubectl edit cm kube-proxy -n kube-system 
configmap/kube-proxy edited

      strictARP: true

[root@server2 pod]# kubectl get pod -n kube-system |grep kube-proxy | awk '{system("kubectl delete pod "$1" -n kube-system")}'
pod "kube-proxy-ftl8b" deleted
pod "kube-proxy-h2kgj" deleted
pod "kube-proxy-lbdv5" deleted

上传镜像
请添加图片描述
官网找到metallb.yaml 修改镜像路径

[root@server2 ~]# mkdir metallb
[root@server2 ~]# cd metallb/
[root@server2 metallb]# vim metallb.yaml 


        image: metallb/speaker:v0.10.2
        image: metallb/controller:v0.10.2

编辑配置文件,给定IP

[root@server2 metallb]# vim configmap.yaml
[root@server2 metallb]# cat configmap.yaml 
apiVersion: v1
kind: ConfigMap
metadata:
  namespace: metallb-system
  name: config
data:
  config: |
    address-pools:
    - name: default
      protocol: layer2
      addresses:
      - 172.25.12.10-172.25.12.20


[root@server2 metallb]# kubectl apply -f metallb.yaml 
namespace/metallb-system unchanged
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
podsecuritypolicy.policy/controller configured
podsecuritypolicy.policy/speaker configured
serviceaccount/controller unchanged
serviceaccount/speaker unchanged
clusterrole.rbac.authorization.k8s.io/metallb-system:controller unchanged
clusterrole.rbac.authorization.k8s.io/metallb-system:speaker unchanged
role.rbac.authorization.k8s.io/config-watcher unchanged
role.rbac.authorization.k8s.io/pod-lister unchanged
role.rbac.authorization.k8s.io/controller unchanged
clusterrolebinding.rbac.authorization.k8s.io/metallb-system:controller unchanged
clusterrolebinding.rbac.authorization.k8s.io/metallb-system:speaker unchanged
rolebinding.rbac.authorization.k8s.io/config-watcher unchanged
rolebinding.rbac.authorization.k8s.io/pod-lister unchanged
rolebinding.rbac.authorization.k8s.io/controller unchanged
daemonset.apps/speaker unchanged
deployment.apps/controller unchanged


[root@server2 metallb]# kubectl get ns
NAME              STATUS   AGE
default           Active   5d19h
kube-node-lease   Active   5d19h
kube-public       Active   5d19h
kube-system       Active   5d19h
metallb-system    Active   2d2h
[root@server2 metallb]# kubectl -n metallb-system get all
NAME                              READY   STATUS    RESTARTS   AGE
pod/controller-674f4b76b8-8w4pz   1/1     Running   1          2d2h
pod/speaker-cqr4t                 1/1     Running   1          2d2h
pod/speaker-h94ql                 1/1     Running   1          2d2h
pod/speaker-rww6z                 1/1     Running   2          2d2h

NAME                     DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR            AGE
daemonset.apps/speaker   3         3         3       3            3           kubernetes.io/os=linux   2d2h

NAME                         READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/controller   1/1     1            1           2d2h

NAME                                    DESIRED   CURRENT   READY   AGE
replicaset.apps/controller-674f4b76b8   1         1         1       2d2h
[root@server2 metallb]# kubectl -n metallb-system get pod
NAME                          READY   STATUS    RESTARTS   AGE
controller-674f4b76b8-8w4pz   1/1     Running   1          2d2h
speaker-cqr4t                 1/1     Running   1          2d2h
speaker-h94ql                 1/1     Running   1          2d2h
speaker-rww6z                 1/1     Running   2          2d2h
[root@server2 metallb]# kubectl -n metallb-system get secrets
NAME                     TYPE                                  DATA   AGE
controller-token-4xpkw   kubernetes.io/service-account-token   3      2d2h
default-token-7j2jn      kubernetes.io/service-account-token   3      2d2h
memberlist               Opaque                                1      2d2h
speaker-token-gflz6      kubernetes.io/service-account-token   3      2d2h
[root@server2 metallb]# kubectl -n metallb-system get pod
NAME                          READY   STATUS    RESTARTS   AGE
controller-674f4b76b8-8w4pz   1/1     Running   1          2d2h
speaker-cqr4t                 1/1     Running   1          2d2h
speaker-h94ql                 1/1     Running   1          2d2h
speaker-rww6z                 1/1     Running   2          2d2h


[root@server2 metallb]# kubectl apply -f configmap.yaml 
configmap/config unchanged
[root@server2 metallb]# kubectl get cm -n metallb-system 
NAME               DATA   AGE
config             1      2d2h
kube-root-ca.crt   1      2d2h
[root@server2 metallb]# vim lb-svc.yaml
[root@server2 metallb]# cat lb-svc.yaml 
apiVersion: v1
kind: Service
metadata:
  name: lb-svc
spec:
  ports:
    - name: http
      port: 80
      targetPort: 80
  selector:
    app: myapp
  type: LoadBalancer


[root@server2 metallb]# kubectl apply -f lb-svc.yaml 
service/lb-svc created
[root@server2 metallb]# kubectl get svc
NAME         TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)        AGE
kubernetes   ClusterIP      10.96.0.1        <none>         443/TCP        5d19h
lb-svc       LoadBalancer   10.102.235.137   172.25.12.10   80:30603/TCP   9s
mysvc        NodePort       10.109.144.155   <none>         80:31480/TCP   52m

访问ip 负载均衡

[root@foundation12 ~]# curl 172.25.12.10
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-jbtjz
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-ngxc9
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-jvh4n
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-jbtjz
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-ngxc9
[root@foundation12 ~]# curl 172.25.12.10/hostname.html
myapp-deployment-59dff4cf5d-jvh4n
[root@foundation12 ~]#
ExternalName

设定域名

[root@server2 metallb]# vim ex-svc.yaml
[root@server2 metallb]# cat ex-svc.yaml 
apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: ExternalName
  externalName: www.westos.org

[root@server2 metallb]# kubectl  apply  -f ex-svc.yaml 
service/my-service created

查看svc信息

[root@server2 metallb]# kubectl get svc
NAME         TYPE           CLUSTER-IP       EXTERNAL-IP      PORT(S)        AGE
my-service   ExternalName   <none>           www.westos.org   <none>         7s

dig查看详细解析信息

[root@server2 metallb]# dig -t A my-service.default.svc.cluster.local. @10.96.0.10

; <<>> DiG 9.9.4-RedHat-9.9.4-72.el7 <<>> -t A my-service.default.svc.cluster.local. @10.96.0.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13749
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;my-service.default.svc.cluster.local. IN A

;; ANSWER SECTION:
my-service.default.svc.cluster.local. 30 IN CNAME www.westos.org.

;; Query time: 2002 msec
;; SERVER: 10.96.0.10#53(10.96.0.10)
;; WHEN: Fri Jul 30 03:43:28 EDT 2021
;; MSG SIZE  rcvd: 129
oam_chen
关注
专栏目录
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 912
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
企业运维----Docker-kubernetes-网络通信
weixin_56892849的博客
07-30 261
kubernetes-网络通信简介flannelcalicocalico替换flannelcalico网络策略 简介 k8s的网络基于第三方插件实现,但是定义了一些插件兼容规范,该规范有CoreOS和Google联合定制,叫做 CNI(Container Network Interface)。 flannel Flannel 网络模型 (后端),Flannel目前有三种方式实现 UDP/VXLAN/host-gw UDP:早期版本的Flannel使用UDP封装完成报文的跨越主机转发,其安全性及性能略有不
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 440
Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1212
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccount,Service Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
蓝易云:配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
高性价比服务器就选:蓝易云
10-15 512
首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到ServiceAccount上。现在,你已经成功配置了一个拥有管理员权限的ServiceAccount,并获取了它的Token。ServiceAccount的Token是用于身份验证的凭证。注意:ServiceAccount的Token具有管理员权限,因此请妥善保管和使用。字段的那一行,后面的长字符串就是ServiceAccount的Token。
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1913
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
企业运维----Docker-kubernetes-Secret配置管理
weixin_56892849的博客
07-31 317
kubernetes-Secret Secret从文件创建secret将Secret挂载到Volume中向指定路径映射密钥将Secret设置为环境变量存储docker registry的认证信息 Secret Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中 Opaque :base64编码格式
企业运维----Docker-kubernetes-ingress(实现七层负载均衡)
weixin_56892849的博客
07-31 582
kubernetes-ingressingress部署ingress-nginx七层负载均衡 ingress Ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。 可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS,以及提供基于名称的虚拟主机等能力。 Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。 Ingre
企业运维----Docker-kubernetes-访问控制
weixin_56892849的博客
08-05 309
kubernetes-API 访问控制访问控制认证 访问控制 [root@server2 statefulset]# kubectl get pod -n kube-system NAME READY STATUS RESTARTS AGE coredns-7777df944c-4ls4d 1/1 Running 3 9d coredns-7777df944c-gwxzq
企业运维----Docker-kubernetes-监控(Helm图形化管理)
weixin_56892849的博客
08-07 335
上传镜像 [root@server2 ~]# helm repo list NAME URL bitnami https://charts.bitnami.com/bitnami harbor
kubernetes 认证及 serviceaccount
FR13DNS的博客
06-25 303
整个 k8s 集群的 APIserver 是访问控制的唯一入口,但不会限制应用程序,任何用户试图操作资源对象时,要经历三个环节 认证: 访问 k8s 的账号和安全认证 授权: 是否有操作资源对象的权限 准入控制: 级联的其他资源是否有权限 用户可以通过多种插件来选择通过何种逻辑方式完成认证和准入控制如: token、SSL 等,其中 SSL 认证客户端需要验证服务端的 CA 证书同时,服务端也要认证 kubectl 的 CA 证书.如果环境中存在多个认证插件则不会串行认证,授权来说也可以通过插件来完成用
kubernetes资源--secret和ServiceAccount
码农崛起
06-15 1182
secret概念secret对象类型主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比 直接放在pod或docker image中更安全,也更方便使用。一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container中的volume对象里以file的形式被使用,其二,在pull images...
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2573
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2158
梳理出ServiceAccount服务账号一条线
kubernetes配置管理:cm,sercret,sa
阿白,
04-25 2896
可变配置管理前面我们学习了一些常用的资源对象的使用,但是单纯依靠这些资源对象,还不足以满足我们的日常需求,一个重要的需求就是应用的配置管理、敏感信息的存储和使用(如:密码、Token 等)、容器运行资源的配置、安全管控、身份认证等等。对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件、命令行参数或者环境变量中读取一些配置信息的需求,这些配置信息我们肯定不会直接写死到应用程序中去的,比如你一个应用连接一个 redis 服务,下一次
如何在不同 Kubernetes 版本中管理 ServiceAccount Token
最新发布
easylife206的专栏
12-25 744
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ServiceAccount 为 Pod 中运行的进程提供了一个身份,Pod 内的进程可以使用其关联服务账号的身份,向集群的 APIServer 进行身份认证。当创建 Pod 的时候规范下面有一个spec.serviceAccount的属性用来指定该 Pod 使用哪个 ServiceAccount,如果没有指定的...
Kubernetes中Secret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
kubernetes(二)--快速应用入门
xiaochenwj1995的博客
05-29 981
kubectl
Kubernetes ServiceAccount 解决 pod 在集群里面的身份认证问题
小楼一夜听春雨,深巷明朝卖杏花
04-12 2260
ServiceAccount 介绍 接下来,我们讲一下 ServiceAccount。ServiceAccount 首先是用于解决 pod 在集群里面的身份认证问题,身份认证信息是存在于 Secret 里面。 [root@k8s-master ~]# kubectl get secret NAME TYPE DATA AGE default-token-j9294 kubernetes.io/s
K8s集群部署Docker-Harbor镜像:Node认证详解
"这篇文档主要介绍了如何在Kubernetes (k8s) 集群中部署基于Docker-Harbor的镜像,并在Node节点上进行必要的认证过程。" 在Kubernetes环境中部署应用通常涉及创建Deployment、Service以及Ingress资源。在本案例中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值