【云原生】k8s核心技术—集群安全机制 & Ingress & Helm & 持久化存储-20230222

已于 2023-03-07 22:10:13 修改
阅读量1.6k 收藏 4
点赞数 2
分类专栏: k8s 文章标签: kubernetes 安全 docker 云原生
于 2023-02-22 21:58:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64124795/article/details/128999344
版权
本文介绍了Kubernetes集群的安全机制,重点讨论了RBAC授权模型,解释了Ingress如何解决服务对外暴露的问题。此外,还详细阐述了Helm在K8s应用部署中的作用,包括其功能、重要概念以及如何实现yaml复用。最后,探讨了两种持久化存储方法:NFS网络存储和PV/PVC机制,确保数据在pod重启后仍然存在。
摘要由CSDN通过智能技术生成

文章目录

一、k8s集群安全机制

1. 概述

(1)访问k8s集群的时候,需要经过三个步骤完成具体操作
第一步:认证
第二步:鉴权(授权)
第三步:准入控制
(2)进行访问的时候,过程中都需要经过apiserver,apiserver做统一协调,比如门卫。
访问过程中需要证书、token、或者用户名+密码
如果访问pod,需要serverAccount。
在这里插入图片描述

  • 第一步 认证 传输安全
    *传输安全:对外不暴露8080端口,只能内部访问,对外部使用端口6443
    *认证

客户端身份认证常用方式:

  • https证书认证,基于ca证书
  • http token认证,通过token识别用户
  • http基本认证,用户名+密码认证

第二步 鉴权(授权)

  • 基于RBAC进行鉴权操作
  • 基于角色访问控制

第三步 准入控制

  • 就是准入控制器的列表,如果列表有请求内容,通过,没有则拒绝

2. RBAC——基于角色的访问控制

  • 角色
    role:特定命名空间访问权限
    ClusterRole:所有命名空间访问权限
  • 角色绑定
    rolebinding:角色绑定到主体
    ClusterRoleBinding:集群角色绑定到主体
  • 主体
    user:用户
    group:用户组
    serviceAccount:服务账号
    在这里插入图片描述

例子:
在这里插入图片描述

二、Ingress

  1. 把端口号对外暴露,通过IP+端口号进行访问
    使用Service里面的NodePort实现

  2. NodePort缺陷

  • 在每个节点上都会启动一个端口,在访问的时候通过任何节点,通过节点IP+暴露端口号实现访问
  • 意味着每个端口只能使用一次,一个端口对应一个应用
  • 实际访问中都是用域名,根据不同域名跳转到不同端口服务中
  1. Ingerss和Pod关系
  • pod和ingress通过service关联的
  • ingress作为统一入口,由service关联一组pod
    在这里插入图片描述

  1. ingress工作流程
    在这里插入图片描述
    ingress不是k8s内置的,需要部署。

  2. 使用ingress——以nginx为例
    第一步 部署ingress Controller
    第二步 创建ingress规则

  3. 使用ingress对外暴露应用
    (1)创建nginx应用,对外暴露端口使用NodePort
    (2)部署ingress controller,详细yaml文件内容参考这篇文章
    在这里插入图片描述
    在这里插入图片描述
    (3)创建ingress规则
    在这里插入图片描述
    在这里插入图片描述

(4)在Windows系统hosts文件中添加域名访问规则
在这里插入图片描述

没看懂没关系,详细操作以及yaml文件参考文章通过域名访问服务

三、Helm

1. 引入

K8S上的应用对象,都是由特定的资源描述组成,包括 deployment、service 等。都保存各自文件中或者集中写到一个配置文件。然后 kubectl apply –f 部署。如果应用只由一个或几个这样的服务组成,上面部署方式足够了。而对于一个复杂的应用,会有很多类似上面的资源描述文件,例如微服务架构应用,组成应用的服务可能多达十个,几十个。如果有更新或回滚应用的需求,可能要修改和维护所涉及的大量资源文件,而这种组织和管理应用的方式就显得力不从心了。且由于缺少对发布过的应用版本管理和控制,使Kubernetes 上的应用维护和更新等面临诸多的挑战,主要面临以下问题:(1)如何将这些服务作为一个整体管理 (2)这些资源文件如何高效复用 (3)不支持应用级别的版本管理。

  • 之前方式部署应用基本过程
  1. 编写yaml文件
    1.1 deployment
    1.2 service
    1.3 ingress

缺陷:

  • 如果使用之前方式部署单一应用,少数服务的应用,比较合适
  • 比如部署微服务项目,可能有几十个服务,每个服务都有一套yaml文件,需要维护大量yaml文件,版本管理特别不方便

2. 使用功能Helm可以解决哪些问题

(1)使用helm可以把这些yaml作为一个整体管理
(2)实现yaml高效复用
(3)使用helm实现应用级别的版本管理

3. 介绍

Helm 是一个 Kubernetes 的包管理工具,就像 Linux 下的包管理器,如 yum / apt 等,可以很方便的将之前打包好的 yaml 文件部署到 kubernetes 上。

4. 3个重要概念

(1)helm:一个命令行客户端工具,主要用于 Kubernetes 应用 chart 的创建、打包、发布和管理。
(2)Chart:应用描述,一系列用于描述 k8s 资源相关文件的集合。(把yaml打包,是yaml的集合)
(3)Release:基于 Chart 的部署实体,一个 chart 被 Helm 运行后将会生成对应的一个release;将在 k8s 中创建出真实运行的资源对象。(基于chart 部署实体,应用级别的版本管理)

5. helm 版本变化

2019年11月13 日,Helm 团队发布 Helm v3 的第一个稳定版本。
本主要变化如下:
(1)V3版本删除Tiller
(2)Release 名称可以在不同命名空间重用
(3)支持将 Chart 推送至 Docker 镜像仓库中
在这里插入图片描述

6. helm安装及配置仓库

  1. helm安装
    第一步:下载helm安装压缩文件,上传到Linux系统中
    第二步:解压helm压缩文件,把解压后的linux-amd64/helm目录移动到/usr/bin/ 目录下
    在这里插入图片描述
    在这里插入图片描述

  2. 配置helm仓库

微软仓库(http://mirror.azure.cn/kubernetes/charts)这个仓库推荐,基本上官网有的 chart 这里都有。
阿里云仓库(https://kubernetes.oss-cn-hangzhou.aliyuncs.com/charts )
官方仓库(https://hub.kubeapps.com/charts/incubator)官方 chart 仓库,国内有点不好使。

(1)添加仓库
helm repo add 仓库名称 仓库地址
helm repo add stable http://mirror.azure.cn/kubernetes/charts
helm repo add aliyun https://kubernetes.oss-cn-hangzhou.aliyuncs.com/charts
在这里插入图片描述

(2)更新仓库地址
helm repo update
在这里插入图片描述

(3)删除仓库
helm repo remove aliyun
在这里插入图片描述

7. 使用helm快速部署应用

第一步:使用命令搜索应用
helm search repo 名称 (weave)
在这里插入图片描述
第二步:根据搜索内容选择安装
helm install 安装之后的名称 搜索之后的应用名称
在这里插入图片描述

  • 查看安装之后状态
    helm listhelm status +安装之后名称
    在这里插入图片描述
    在这里插入图片描述
    从下图可以看到,目前ui-weave-scope并没有对外暴露端口,需要修改service类型为“NodePort”
    在这里插入图片描述

** 修改service的yaml文件,type改为NodePort

kubectl get svc
kubectl edit svc + 名称

在这里插入图片描述
再次查看,既可以看到对外暴露的端口号。
在这里插入图片描述

8. 自己创建chart

  1. 使用命令创建Chart
    helm create chart名称
    在这里插入图片描述
    在这里插入图片描述
  • Chart.yaml:用于描述这个 Chart 的基本信息,包括名字、描述信息以及版本等。
  • values.yaml :用于存储 templates 目录中模板文件中用到变量的值(全局变量)。
  • Templates: 目录里面存放所有 yaml 模板文件。
  • charts:目录里存放这个 chart
  1. 在 templates 文件夹创建2个yaml文件
  • deployment.yaml
  • service.yaml
kubectl create deployment web1 --image=nginx --dry-run -o yaml > deployment.yaml

kubectl expose deployment web1 --port=80 --target-port=80 --type=NodePort --dry-run -o yaml > service.yaml

在这里插入图片描述

  1. 安装mychart
    安装前删除已存在的nginx:kubectl delete deployment pod名称
kubectl install web1 mychart

kubectl get svc

在这里插入图片描述

  1. 应用升级
    helm upgrade chart名称 目录
helm upgrade web1 mychart/

在这里插入图片描述

9. 实现yaml高效复用

通过传递参数,动态渲染模板,yaml内容动态传入参数生成。
在chart里有一个values.yaml文件,定义yaml文件全局变量。

yaml 文件大体有几个地方不同

  • image
  • tag
  • label
  • port
  • replicas

  1. 在values.yaml定义变量和值
    在这里插入图片描述

  2. 在templates的yaml文件使用values.yaml定义变量的值
    通过表达式形式使用全局变量:{{ .Values.变量名称}}{{ .Release.Name}}
    在这里插入图片描述

四、持久化存储

数据卷 emptydir,是本地存储,pod重启,数据不存在了,需要对数据持久化存储。

1.nfs—网络存储

pod 重启,数据仍然存在

  • 第一步:找一台服务器nfs服务端

(1)安装nfs
yum install -y nfs-utils
(2)设置挂载路径
vim /etc/exports

/data/nfs *(rw,no_root_squash)

在这里插入图片描述
检查:
执行如下命令,如果报错会有提示,修改/etc/exports文件即可。

exportfs -r     # 不报错即可

在这里插入图片描述

(3)挂载路径需要创建出来,这里的挂在路径为:/data/nfs
在这里插入图片描述

  • 第二步:在k8s集群node节点安装nfs,所有节点都要装
    yum install -y nfs-utils

  • 第三步:在nfs服务器启动nfs服务
    systemctl start nfs
    ps -ef | grep nfs
    在这里插入图片描述

  • 第四步:在k8s集群部署应用使用nfs持久网络存储
    ①在pv目录下创建nfs-nginx.yaml文件,将下述代码复制进去:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-dep1
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        volumeMounts:
        - name: wwwroot
          mountPath: /usr/share/nginx/html
        ports:
        - containerPort: 80
      volumes:
        - name: wwwroot
          nfs:
            server: 192.168.2.6  ## nfs服务器IP
            path: /data/nfs   ## nfs服务器挂在路径

②运行yaml文件

kubevtl apply -f nfs-nginx.yaml

③查看

kubectl get pods

在这里插入图片描述
④在nfs服务器中,目录/data/nfs/下创建index.yaml文件,编辑内容
在这里插入图片描述
⑤进入master中创建的pod中,查看index.yaml文件存在,查看内容

kubectl exec -it [pod 名称] bash

在这里插入图片描述
⑥暴露端口号

kubectl expose deployment nginx-dep1 --port=80 --target-port=80 --type=NodePort

⑦访问nginx显示编辑的内容
在这里插入图片描述

2. PV和PVC

  1. PV:持久化存储,对存储资源进行抽象,对外提供可以调用的地方(生产者)

  2. PVC:用于调用,不需要关心内部实现细节(消费者)

  3. 实现流程
    在这里插入图片描述
    pv相当于物理主机,pvc相当于电脑中的C盘D盘等存储磁盘,必须依赖于主机存在,类似于pvc必须要绑定pv

  4. 步骤
    ①在pv目录下创建两个yaml文件,pv.yamlpvc.yaml,分别将下述内容复制到对应yaml文件中:
    pv.yaml内容:

apiVersion: v1
kind: PersistentVolume
metadata:
  name: my-pv
spec:
  capacity:
    storage: 5Gi
  accessModes:
    - ReadWriteMany
  nfs:
    path: /data/nfs     ## nfs服务器中挂在路径
    server: 192.168.2.6   ## nfs服务器IP

pvc.yaml内容:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-dep1
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        volumeMounts:
        - name: wwwroot
          mountPath: /usr/share/nginx/html
        ports:
        - containerPort: 80
      volumes:
      - name: wwwroot
        persistentVolumeClaim:
          claimName: my-pvc

---

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: my-pvc
spec:
  accessModes:
    - ReadWriteMany
  resources:
    requests:
      storage: 5Gi

②运行两个yaml文件

kubectl apply -f pv.yaml
kubectl apply -f pvc.yaml

③查看

kubectl get pods
kubectl get pv,pvc

在这里插入图片描述
④进入任意一个创建的pod中,由于副本数为3,所以我们随便进一个,就会有和nfs服务器一样的index.html文件

kubectl exec -it nginx-dep1-58b7bf955f-7s8hp  bash

在这里插入图片描述
在这里插入图片描述

我是小bā吖
关注
专栏目录
3.k8s:服务发布:service,ingress配置管理:configMap,secret,热更新;持久化存储:volumes,nfs,pv,pvc
鹏哥哥Aaa
07-26 94
k8s:服务发布:service,ingress配置管理:configMap,secret,热更新;持久化存储:volumes,nfs,pv,pvc
云原生Kubernetes 中的 PV 和 PVC 介绍、原理、用法及实战案例分析
最新发布
景天科技苑
07-24 2万+
Kubernetesk8s)中,管理存储资源是确保应用持久性和可靠性的关键部分。PersistentVolume(PV)和PersistentVolumeClaim(PVC)是 Kubernetes 中用于存储资源管理的两个核心概念。它们提供了一种机制,允许 Pod 访问独立于其生命周期的存储资源,从而实现了数据的持久化
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
k8s-集群安全机制
weixin_43025075的博客
11-18 201
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
ingress-nginx部署-helm方式
lldhsds的专栏
07-01 1263
本文实践使用helm安装ingress-nginx。
k8s集群安全机制
weixin_45181388的博客
10-20 377
k8s集群安全机制
k8s-fordocker-desktop-v1.29.1
03-01
9. **存储编排**:Kubernetes支持多种持久化存储,如本地卷、网络存储卷、云存储,使得数据可以在容器重启或迁移后保持。 10. **服务发现与负载均衡**:Kubernetes通过Service对象实现服务发现,并利用Ingress资源...
云原生k8s架构
Mclaughling的博客
10-28 3695
云原生k8s架构,相关生态介绍 1.云计算简介 云计算是分布式计算的一种,指通过网络(云)将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。 1.1简介 云计算早期,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。 现阶段的云服务不单单是一种分布式计算,而是分布式计算,效用计算,负载均衡,并行计算,网络存储,热点备份和虚拟化等计算机技术混合演进并跃升的结果。 1.2云计算特点 云计算的可贵之处在高灵活性,可扩展性和高性比等,与
从零开始,轻松理解云原生的核心概念和关键技术
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
03-03 1363
从零开始了解云原生
k8s集群安全机制说明
zhaikaiyun的博客
02-28 1696
k8s作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务,apiserver是集群内部各个组件通信的中介,也是外部控制的入口,所以k8s安全机制基本就是围绕保护apiserver来设计的。k8s使用了认证Authentication、鉴权Authorization、准入控制admissionControl三步来保证apiserver的安全。 用户通过kubectl、客户端库或者通...
云原生Kuberneteskubernetes 核心技术 - 集群安全机制
热门推荐
商务合作 | 共同学习 | 携手共进
09-03 5万+
Kubernetes 核心技术集群安全机制(RBAC)详细介绍。
云原生KubernetesK8S安全机制
cronaldo91的博客
09-26 2141
k8s 中的 namespace 就类似于 windows 中的多个桌面,或者 linux 中的多个终端;namespace 之间的 api 对象是不可见的。Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。1)用户账户(user) : 是在集群外部访问apiserver时使用的用户,如kubectl命令就是作为kubernetes的admin用户来执行的。
K8S 安全机制
qq_53772682的博客
03-13 2109
K8S 安全机制
k8s(六):配置管理与集群安全机制
qq_39198749的博客
02-13 3179
1. 配置管理 1.1 Secret Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器以变量或挂载Volume方式进行访问 场景:如用户名 和 密码进行加密,凭证 一般场景的是对某个字符串进行base64编码 进行加密 [root@iZ2zedqr9yeos47fg4uor5Z ~]# echo -n 'admin' | base64 YWRtaW4= 1.1.1 变量形式挂载到Pod 创建secret加密数据 创建secret加密数据的yaml文件 secret.yaml 执
k8s 安全机制详解
qq_51545656的博客
03-11 1275
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
k8s (二十五) --- kubernetes Helm之使用helm部署ingress-nginx
qq_35887546的博客
05-13 650
kubernetes Helm之使用helm部署ingress-nginx一、部署二、测试三、部署加密访问 部署前将之前部署的ingress-nginx删除: [root@server1 helm]# kubectl delete namespaces ingress-nginx namespace "ingress-nginx" deleted [root@server1 nginx-ingress]# kubectl get ingress \NAME CLASS HO
Kubernetes 集群安全机制说明和认证
小楼一夜听春雨,深巷明朝卖杏花
10-20 612
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全。 当用户或者pod访问apiserver的时候来镜像身份的识别,这
nginx-ingress-controller日志持久化与管理方案
"本文主要探讨了如何解决nginx-ingress-controller日志持久化的问题,通过具体的配置和示例,提供了一套完整的解决方案,适用于学习和工作中遇到此类问题的读者。" 在Kubernetes环境中,nginx-ingress-controller是...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是小bā吖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值