【kubernetes/k8s概念】多集群联邦 kubefed 用户向导

最新推荐文章于 2023-10-24 23:30:00 发布
最新推荐文章于 2023-10-24 23:30:00 发布
阅读量7.8k 收藏 1
点赞数 1
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/119343928
版权

1. Federated API types

   查看已经注册的 API 可类型,执行命令 kubectl get FederatedTypeConfig -nkube-federation-system

# kubectl get FederatedTypeConfig -nkube-federation-system
NAME                                            AGE
applications.app.k8s.io                         15h
clusterrolebindings.rbac.authorization.k8s.io   15h
clusterroles.rbac.authorization.k8s.io          15h
configmaps                                      15h
configs.notification.kubesphere.io              15h
deployments.apps                                15h
globalrolebindings.iam.kubesphere.io            15h
globalroles.iam.kubesphere.io                   15h
groupbindings.iam.kubesphere.io                 15h
groups.iam.kubesphere.io                        15h
ingresses.extensions                            15h
jobs.batch                                      15h
limitranges                                     15h
namespaces                                      15h
persistentvolumeclaims                          15h
receivers.notification.kubesphere.io            15h
replicasets.apps                                15h
secrets                                         15h
serviceaccounts                                 15h
services                                        15h
statefulsets.apps                               15h
users.iam.kubesphere.io                         15h
workspacerolebindings.iam.kubesphere.io         15h
workspaceroles.iam.kubesphere.io                15h
workspaces.tenant.kubesphere.io                 15h

   1.1 开启 Federated API types

    可以使用 kubefedctl 命令开启任何 Kubernetes API 类型(包括 CRD)的联邦,如下所示。注意:CRD 的联邦需要启用 CRD Kubernetes 类型(customresourcedefinitions),然后联邦成员集群上的任何自定义 CRD。 如果 CRD Kubernetes 类型未启用且其 Federated 等效的 CRD 也未联邦,则向该集群的 propagation 将失败。

kubefedctl enable customresourcedefinitions
kubefedctl federate crd <target kubernetes API type>  # <target kubernetes API type> = mytype.mygroup.mydomain.io

    <target kubernetes API type>  可以是下列中的:

  • the Kind (e.g. Deployment)
  • plural name (e.g. deployments)
  • group-qualified plural name (e.g deployment.apps), or
  • short name (e.g. deploy)

    对于预期的目标 API 类型。

    注意:要专门针对某个类型的某个 API 组,可以在 deployment.apps 中附加该组的名称。 对于 Pod 或 Service 等核心 Kubernetes 类型,这是不行的,因为没有分配给它们的特定 API 组。 因此,核心类型始终优先于来自另一个 API 组的其他同名类型。 有关可能命名冲突的影响的更多信息,请参阅使用非默认 API 组启用 API 类型部分。

    kubefedctl 命令将会创建:

  • 以 Federated<Kind> 命名联邦类型的 CRD
  • 在 KubeFed 系统命名空间具有目标类型的组限定复数名称的 FederatedTypeConfig

    FederatedTypeConfig 将联邦类型 CRD 与目标 kubernetes 类型相关联,从而能够将给定类型的联合资源 propaga 到成员集群。

    用于命名 FederatedTypeConfig 的格式为 <target kubernetes API type name>.<group name>,但 kubernetes core group types 使用的名称格式为 <target kubernetes API type name>。

    您还可以使用以下命令将 yaml 输出到 stdout,而不是将其应用到 API Server。

kubefedctl enable <target API type> --output=yaml

    注意:API 类型的联邦要求 API 类型安装在所有成员集群上。 如果 API 类型未安装在成员集群上,则 propagation 到该集群将失败。 

   1.2 在所有成员集群上确认 API 类型的安装

# kubectl --context=kubernetes-admin api-resources --api-group=types.kubefed.io

   1.3 在非默认的API Group 启用API Type

    当 kubefedctl enable 用于启用复数名称(例如 deployments.example.com 和 deployments.apps)匹配的类型时,生成的联邦类型的 crd 名称也将匹配(例如 deployments.types.kubefed.io)。

    kubefedctl enable --federated-group string 指定用于生成的联邦类型的 API 组的名称。 默认是 types.kubefed.io。 如果使用非默认组启用某种联邦类型,则需要更新 KubeFed 控制器管理器的 RBAC 权限以包含新组的权限。

    例如,作为 KubeFed 控制平面部署的一部分,deployments.apps 默认启用。 要启用 deployments.example.com,应该:

kubefedctl enable deployments.example.com --federated-group kubefed.example.com
kubectl patch clusterrole kubefed-role --type='json' -p='[{"op": "add", "path": "/rules/1", "value": {
            "apiGroups": [
                "kubefed.example.com"
            ],
            "resources": [
                "*"
            ],
            "verbs": [
                "get",
                "watch",
                "list",
                "update"
            ]
        }
}]'

2. 联邦一个目标资源

    除了启用和禁用上一节中指定的传播类型外,kubefedctl 还可用于联邦 API 类型的目标资源。 我们在这里定义了术语 federate,并在 kudefedctl 中使用了具有类似含义的命令关键字 federate。

    kubefedctl federate 从 kubernetes 资源创建联邦资源。 联邦资源将嵌入 kubernetes 资源作为其模板,其 placement 将选择所有集群。

kubefedctl federate <target kubernetes API type> <target resource> [flags]

    如果没有额外指定 --namespace,将根据客户端 kubeconfig 上下文在命名空间中搜索 <target resource>。 请注意,--namespace 标志在联邦命名空间本身时没有意义,即使指定也会被丢弃。 

    默认情况下,kubefedctl federate 在与目标资源相同的命名空间中创建联邦资源。 这要求目标类型已经为联邦启用(即通过 kubefedctl enable)。

    如果指定了 --output=yaml,并且目标类型尚未启用联邦,kubefedctl federate 将在生成联邦资源时采用联邦类型的默认形式。 这可能与以非默认方式启用联邦类型的 kubefed 控制平面不兼容(例如,联邦类型的组已设置为 types.kubefed.io 以外的其他内容)。

3. Propagation status

    当同步控制器协调联邦资源与成员集群时,传播状态将按照以下示例写入资源:

apiVersion: types.kubefed.io/v1beta1
kind: FederatedNamespace
metadata:
  name: myns
  namespace: myns
spec:
  placement:
    clusterSelector: {}
status:
  # The status True of the condition of type Propagation
  # indicates that the state of all member clusters is as
  # intended as of the last probe time.
  conditions:
  - type: Propagation
    status: True
    lastTransitionTime: "2019-05-08T01:23:20Z"
    lastUpdateTime: "2019-05-08T01:23:20Z"
  # The namespace 'myns' has been verified to exist in the
  # following clusters as of the lastUpdateTime recorded
  # in the 'Propagation' condition. Since that time, no
  # change has been detected to this resource or the
  # resources it manages.
  clusters:
  - name: cluster1
  - name: cluster2

Overrides

Using Cluster Selector 使用集群选择器

    除了通过联邦资源的 spec.placement.clusters 字段指定资源应该传播到的显式集群列表之外,还可以使用 spec.placement.clusterSelector 字段提供一个标签选择器来确定列表运行时的集群数量。

   下列命令给 kubeFedcluster 打上标签:

kubectl label kubefedclusters -n kube-federation-system cluster1 foo=bar

  Neither spec.placement.clusters nor spec.placement.clusterSelector is provided

   在这种情况下,您可以按上述方式设置 spec: {} 或从 plcacement 策略删除 spec 字段。 资源不会传播到成员集群。

spec:
  placement: {}

  Both spec.placement.clusters and spec.placement.clusterSelector are provided

   对于这种情况,spec.placement.clusterSelector 将被忽略,因为提供了 spec.placement.clusters。 这确保了运行时调度的结果优先于集群选择器的手动定义。

spec:
  placement:
    clusters:
      - name: cluster2
      - name: cluster1
    clusterSelector:
      matchLabels:
        foo: bar

   如果 spec.placement.clusters 提供但为空,spec.placement.clusterSelector 也将被忽略。 在以下示例中,不会选择任何集群:

spec:
  placement:
    clusters: []
    clusterSelector:
      matchLabels:
        foo: bar

 spec.placement.clusters is not provided, spec.placement.clusterSelector is provided but empty

    在这种情况下,资源将传播到所有成员集群。

spec:
  placement:
    clusterSelector: {}

  spec.placement.clusters is not provided, spec.placement.clusterSelector is provided and not empty

    在这种情况下,资源只会传播到标有 foo:bar 的成员集群。

spec:
  placement:
    clusterSelector:
      matchLabels:
        foo: bar

Scheduling

    KubeFed 提供了一种机制来将工作负载实例分散到不同的集群中,基于总副本数与集群的定义策略来将资源进行编排。编排策略是通过建立 ReplicaSchedulingPreference(RSP),由 KubeFed RSP Controller 监听与获取 RSP 资源来将工作负载实例建立到指定的集群上。

   ReplicaSchedulingPreference(RSP)

    ReplicaSchedulingPreference 提供了一种自动化机制,用于将 deployment 或 replicaset 基于联邦工作负载,其以总的副本书分配和维护到联合集群中。 这是基于用户给出的高级用户首选项。 这些首选项包括加权分布的语义和分布副本的限制(最小和最大)。 这些还包括允许动态重新分配副本的语义,以防某些副本 pod 在某些集群中保持未调度,例如由于该集群中的资源不足。

    RSP 控制器在同步循环中工作,观察 RSP 资源和匹配的命名空间/名称对,针对的资源FederatedDeployment 或 FederatedReplicaset。

    在所有可用集群分发所有副本

apiVersion: scheduling.kubefed.io/v1alpha1
kind: ReplicaSchedulingPreference
metadata:
  name: test-deployment
  namespace: test-ns
spec:
  targetKind: FederatedDeployment
  totalReplicas: 9
  clusters:
    "*":
      weight: 1

     按照权重属性分发所有副本

apiVersion: scheduling.kubefed.io/v1alpha1
kind: ReplicaSchedulingPreference
metadata:
  name: test-deployment
  namespace: test-ns
spec:
  targetKind: FederatedDeployment
  totalReplicas: 9
  clusters:
    A:
      weight: 1
    B:
      weight: 2

    以加权比例分发副本,还强制每个集群的副本限制。A获得4个,B获得5个副本。

apiVersion: scheduling.kubefed.io/v1alpha1
kind: ReplicaSchedulingPreference
metadata:
  name: test-deployment
  namespace: test-ns
spec:
  targetKind: FederatedDeployment
  totalReplicas: 9
  clusters:
    A:
      minReplicas: 4
      maxReplicas: 6
      weight: 1
    B:
      minReplicas: 4
      maxReplicas: 8
      weight: 2

参考:

   https://github.com/kubernetes-sigs/kubefed/blob/master/docs/userguide.md

张忠琳
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubeedge keadm init命令逻辑详解,keadm-init-v1.10.0
sky527759的博客
04-06 1086
puml格式,装plant uml查看 @startuml keadm-init-v1.10.0 ' Author: xiaoyang.chen ' mail: xiaoyang.chen@???.com start : keadm init args (基于v1.10.0); note left args: kubeedge-version, kubeedge的版本 kube-config, kubeedge的配置文件路径, 默认"/root/.kube/config" master, k8s Mas
kubernetes 联邦搭建(kubefed)
weixin_46357079的博客
07-02 977
集群联邦(Federation)的目的是实现单一集群统一管理多个Kubernetes集群的机制,这些集群可能是跨地区(Region),也可能是在不同公有云供应商上,或者是公司内部自行建立的集群。一但集群进行联邦后,就可以利用Federation API资源来统一管理多个集群Kubernetes API资源,如定义Deployment如何部署到不同集群上,其集群所需的副本数等。通过集群联邦,我们可以:前置条件我这里用的是华为云的cce和本地kubernetes的组合华为云集群地址需要公有地址下载华为云kub
手把手教你部署KubeFederation
少说多做
01-28 4294
背景 Kubernetes集群联邦目前还处于beta阶段,为了体验联邦的功能,故搭建了一下。本篇文章将整个过程记录一下,以便于需要的小伙伴可以参考 总结 先把对于使用联邦的个人体验总结如下(以下观点仅代表个人,如有不对,请指正) 1. 联邦必须依托一套主的K8S集群,无法将联邦的控制平面独立出来 2. 联邦参加实质上可以理解为数据库的主从同步,在V2版本中支持同步的类型有() 3. 联邦可以实现集群级别的负载调度(通过RSP),其实类似于单个集群的HPA,只是RSP监测的指标是副本数 4.
redis cluster k8s解决方案
雪之下丶微凉的博客
12-18 980
nfs server IP 192.168.1.1 nfs server配置 /data/nfs/redis *(rw,sync,no_root_squas) 创建角色 kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: redis-provisioner-runner rules: - ap...
k8s基础(14)之RBAC角色权限控制
qq_23435961的博客
09-21 1139
k8s基础()之RBAC角色权限控制 RBAC是基于角色的访问控制 (Role-Based Access Control) 在RBAC中,权限与角色相关联。Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制,RBAC允许管理员通过Kubernetes API动态的配置权限策略。如果需要开启RBAC授权需要在apiserver组件中指定--authorization-mode=Node,RBAC 在Kubernetes中所有的API对象都保存
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
KubernetesK8s)是一种广泛使用的开源容器编排系统,它允许用户管理和部署分布式应用。CKS(Certified Kubernetes Security Specialist)认证则专注于Kubernetes的安全性,确保从业者能够识别并解决集群中的安全...
k8s-auto-kubernetes/k8s一键安装
12-15
kubernetes/k8s自动安装程序,版本对应:v1.18.2,linux环境 使用kubeadm安装,改程序若环境不符合要求,是不能一键安装的,需按照程序指示分布安装,该程序是为了搭建测试环境时,简化繁琐的配置时所用,不能用作...
基于Kubernetes/K8S构建Jenkins持续集成平台
06-21
工作流程:手动/自动构建 -> Jenkins 调度 K8S API?->动态生成 Jenkins Slave pod -> Slave pod 拉取 Git 代码/编译/打包镜像 ->推送到镜像仓库?Harbor ->?Slave 工作完成,Pod 自动销毁 ->部署到测试或生产 ...
Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
KubernetesK8s运维架构师实战集训营【中高级,最新第6期】
03-10
分享一套k8s运维架构师的课程——KubernetesK8s运维架构师实战集训营【中高级】,最新第六期,2021年12月结课。提供课程配套的所有文档资料下载! 课程大纲: 第1章 开班仪式 第2章 赠送录播:搭建一个完整企业级...
Kubernetes Federation集群联邦
最新发布
阿澈不吃蒜的博客
10-24 1112
统一部署主要是指定一个联邦资源在哪些k8s集群部署,被指定的k8s集群会创建相应的k8s资源,有副本数的资源k8s集群上部署的副本数与联邦资源写的副本数一致(除非针对特定k8s集群进行了覆写,后面有例子),其中deployment 和 replicaset可以用 ReplicaSchedulingPreference 实现更复杂的调度策略,比如指定总副本数,以及在每个k8s集群的副本数权重,调度器会按要求调节每个k8s集群的副本数达到相加后是总数的目的。
智汇华云 | Kubernetes集群管理方案kubefed原理解析
weilidai的博客
03-01 260
Kubernetes 原生的管理能力目前仍然停留在单集群级别。每一个集群可以稳定地自治运行,但是却缺乏横贯多个集群的统筹管理能力。Kubefed是开源的多集群管理方案,可应用于突破单集群性能瓶颈、异地多集群、混合云管理等场景。通过CRD+Operator的方式定义一系列自定义联邦资源,并通过自定义Controller实现跨集群资源协调能力。 kubefed简介 1.1 kubfed介绍 Kubefed(Federation v2)即 Kubernetes 联邦,是开源的多集群解决方案,目前...
helm prometheus clusterroles.rbac.authorization.k8s.io forbidden: attempt to grant extra privileges
shida's blog
07-16 2730
问题描述:使用 helm 安装 prometheus ,出现如下错误:Error: release monitor failed: clusterroles.rbac.authorization.k8s.io "monitor-prometheus-server" is forbidden: attempt to grant extra privileges: [PolicyRule{NonRes...
基于双k8s集群搭建联邦学习kubefate
haveanybody的博客
08-27 1491
一、前言 关于联邦学习的背景这里就不做过多介绍了,感兴趣的同学可以去百度一下。联邦学习主要是为了解决数据孤岛和多方安全计算问题的,简单地说就是大家都拿出各自的数据一起建模,但是对方又不能看到或者得到自己的数据,训练的模型大家都可以用。 联邦学习分为:横向联邦学习,在两个数据集的用户特征重叠较多而用户重叠较少的情况下,我们把数据集按照横向 (即用户维度)切分,并取出双方用户特征相同而用户不完全相同的那部分数据进行训练,例如,银行A和银行B都有自己的客户流水信息,特征是一样的,交易时间、金额等,但是用户不同
OpenShift 4 Hands-on Lab (12) 通过 KubeFed 配置 OpenShift 联邦集群
多恩斯基的博客
03-16 1081
Kubernetes Federation 能干什么 ? Federated cluster (Hybrid cloud) Multiple clusters connected via the OpenShift Federation Control Plane which provides application portability and management. Host Cluster...
k8s集群管理
wenwenxiong的专栏
07-13 3221
kubefed参考我的博客多集群管理kubefed 目前接触的多集群管理开源项目有kubesphere的tower和华为开源的karmada。这两个都使用了kubernetes Federation的模块,在此基础之上实现了对多集群应用的调度和访问的封装。 karmada Karmada控制平面由以下组件组成。 1、Karmada API服务器 2、Karmada控制器管理器 3、Karmada调度器 ETCD存储karmada API对象,API服务器是所有其他组件对话的REST端点,Karmada控制器
报错!clusterrolebindings.rbac.authorization.k8s.io “cluster-admin-binding“ already exists解决办法
weixin_47153988的博客
09-29 7396
项目场景: 在使用二进制部署k8s群集时,遇到了签名证书无法创建的问题 问题描述: 在创建bootstrap角色赋予权限用于连接apiserver请求签名时,出现以下报错信息: [root@master kubeconfig]# kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap Error from server (Alread
K8S Using RBAC Authorization 译文
陈罗杰的专栏
08-31 3811
简介 K8S rbac 官网译文
K8S 联邦集群搭建管理 V2
lswzw的博客
01-28 2144
K8S 联邦集群搭建管理 V2创建集群安装Helm 2.x版本config多用户管理联邦下载安装部署helm 到主集群.查看状态添加集群联邦创建联邦应用 创建集群 参考:https://blog.csdn.net/lswzw/article/details/103141782 安装Helm 2.x版本 参考: config多用户管理 参考: 联邦下载安装 官方Git地址: https://git...
kubernetes/k8s运维架构师实战集训营
07-19
该集训营通过结合实际案例和实操,深入探讨kubernetes的使用和管理,帮助学员掌握k8s的核心概念、架构原理以及常见的运维策略和技巧。 在实战集训营中,学员将进行一系列的讲座和实践项目,包括搭建kubernetes集群...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值