/ 如果你在Kubernetes上工作了一段时间,那么你可能会遇到这样一种情况:你必须为一些用户提供对Kubernetes集群的有限访问。...为了实现这种基于角色的访问,我们在Kubernetes中使用了身份验证和授权的概念。 一般来说,有三种用户需要访问Kubernetes集群: 开发人员/管理员: 负责在集群上执行管理或开发任务的用户。...这包括升级集群或在集群上创建资源/工作负载等操作。 最终用户: 访问部署在Kubernetes集群上的应用程序的用户。这些用户的访问限制由应用程序本身管理。...例如,运行在Kubernetes集群上的web应用程序将拥有自己的安全机制,以防止未经授权的访问。...应用程序/机器人: 其他应用程序可能需要访问Kubernetes集群,通常是与集群内的资源或工作负载进行通信。
注意: 用于配置集群访问信息的文件叫作 kubeconfig 文件,这是一种引用配置文件的通用方式,并不是说它的文件名就是 kubeconfig。...支持多个集群、用户和身份验证机制 假设您有几个集群,并且用户和组件以多种方式进行身份验证。例如: 运行中的 kubelet 可能使用证书进行身份认证。 用户可能使用令牌进行身份验证。...如果存在命令行参数:--user 或者 --cluster,则使用它们指定的值。 如果 context 非空,则从 context 中取用户或者集群。 确定要使用的实际集群信息。...融合 kubeconfig 文件后,如果有任何集群属性存在,都使用它们。 如果没有指定服务位置,则确定集群信息失败。 确定要使用的实际用户信息。...本文翻译Kubernetes官方文档
下面介绍一种方法,可以直接将远程访问地址,添加到集群的证书中,节省修改 hosts 的步骤,同时还能让人更容易的区分不同集群。..., DNS:localhost, IP Address:1.1.1.1 这里如果只允许通过 1.1.1.1 访问集群的 Apiserver。...如果需要使用域名,kubernetes、kubernetes.default、kubernetes.default.svc 等,则需要配置 hosts 将其指向 1.1.1.1 。...- 10.233.0.1 如果你在 /etc/kubernetes/ 目录中没有找到 kubeadm-config.yaml 文件,不要紧张,你可以使用下面的方式生成一个当前集群的配置文件:...保存之后,就可以直接通过公网 IP 访问 Kubernetes 集群。
如何使用 CRD 拓展 Kubernetes 集群 在 6 月底 KubeCon 回来之后,就打算写几篇关于 CRD 的文章,还在 Twitter 上给人做了些许改进 CRD 相关文档的承诺,零零碎碎的事很多...资源,拓展集群能力 CRD 可以使我们自己定义一套成体系的规范,自造概念 什么是 CRD CRD 本身是一种 Kubernetes 内置的资源类型,是 CustomResourceDefinition...,来做一些 Kubernetes 集群原生不支持的功能。...换句话讲,有一个稳定的 SVC 可以对其他组件提供当前版本的服务,而其他组件也有途径访问到特定版本的服务。这个 SVC + CurrentVersion 就非常轻松的实现了蓝绿发布的能力。...但是 CRD 允许我们自己基于产品创建概念(或者说资源),让 Kube 已有的资源为我们的概念服务,这可以使产品更专注与解决的场景,而不是如何思考如何将场景应用到 Kubernetes。
介绍 有几种方法可以将Kubernetes集群上运行的应用程序暴露给外界,这样就不用只能在k8s集群内通过ip+端口访问了。...: - name: nginx image: nginx hostNetwork的优点是直接使用宿主机的网络,只要宿主机能访问,Pod就可以访问; 缺点: 易用性:Pod漂移到其他node...4. nodeport 默认情况下,可以在ClusterIP上访问Kubernetes服务,这是一个内部IP地址,只能从Kubernetes集群内部访问它。...5. loadbanlance 为了能够创建LoadBalancer类型的服务,必须在Kubernetes集群的配置中启用云提供商。...的网络方案选择calico或者contiv时,还可以配置Pod IP全局可达,从而直接在集群外访问。
内容纲要 首先打开 /etc/kubernetes/pki 目录,里面会有很多证书。...执行命令查看当前证书允许通过哪些地址访问 APIServer: openssl x509 -in apiserver.crt -noout -text|grep -A 2 'Alternative'...apiserver.crt apiserver.crt.bak mv apiserver.key apiserver.key.bak 修改 kubeadm.config 配置: nano /etc/kubernetes.../kubeadm-config.yaml 如果找不到这个文件,可以重新生成: kubeadm config view | tee /etc/kubernetes/kubeadm-config.yaml...在这里加上要绑定的域名: 重新生成证书: kubeadm init phase certs apiserver --config /etc/kubernetes/kubeadm-config.yaml
本篇的内容主要是介绍如何配置网络,使得能够在外部网络访问集群。...Service 有个 ServiceType ,允许我们指定如何暴露服务。...由于其是节点上的 ,所以具有通过集群外部访问这个服务。 LoadBalancer 使用云提供商的负载均衡器向外部暴露服务。...当使用 LoadBalancer 暴露服务到集群外部网络时,我们访问的实际上是 Service,而不是具体的某个 pod,然后 Service 会将流量重定向到后端 pod 中。...在上一篇文件中中我们已经使用到。这里我们继续使用这个命令来伸缩 nginx 副本的数量,然后观察外部网络访问 Service 时的结果。 现在将我们的 nginx 副本数量设置为 0。
本文展示如何使用配置文件来配置对多个集群的访问。...在将集群、用户和上下文定义在一个或多个配置文件中之后,用户可以使用 kubectl config use-context 命令快速地在集群之间进行切换。...在 scratch 集群中, 开发人员可能在默认命名空间下工作,也可能视情况创建附加的命名空间。 访问开发集群需要通过证书进行认证。 访问其它临时用途的集群需要通过用户名和密码进行认证。...、用户和命名空间),例如, dev-frontend 上下文表明:使用 developer 用户的凭证来访问 development 集群的 frontend 命名空间。...,请参考 使用 kubeconfig 文件组织集群访问 探索 $HOME/.kube 目录 如果用户已经拥有一个集群,可以使用 kubectl 与集群进行交互。
对于这些初步任务,可以使用Ansible或SaltStack等配置管理工具。使用这些工具可以更轻松地创建其他集群或重新创建现有集群,并且不易出错。...Pod是Kubernetes中的基本调度单元:pod中的所有容器都保证在调度pod的同一节点上运行。 每个pod都有自己的IP地址,一个节点上的pod应该能够使用pod的IP访问另一个节点上的pod。...为了保持熟悉,让我们使用部署和服务部署Nginx ,以了解如何将此应用程序部署到集群。...结论 在本指南中,您已使用Kubeadm和Ansible在Ubuntu 18.04上成功建立了Kubernetes集群,以实现自动化。...如果您想知道如果要在集群设置的情况下如何处理集群,那么下一步就是将自己的应用程序和服务部署到集群上。
下面,我们将看看如何应用 Kubernetes 零信任原则来保护整个环境,如何为容器提供零信任安全性。...Kubernetes 集群的零信任访问 假设在网络中和网络之间访问的所有人员、系统和服务都是不可信的安全模型,零信任正在成为防止恶意攻击的最佳技术。...保护对 Kubernetes 集群的访问的第一步是使用传输层安全性 (TLS) 保护进出 API Servre 的流量。 实现零信任的 API 服务器最佳实践: 随处启用 TLS。...使用 API Server 的专用端点。 对 API Server 使用第三方身份验证。 关闭 API Server 的防火墙入站规则,确保它被隐藏并且不能从 Internet 直接访问。...基于角色的访问控制或 RBAC,根据用户在组织中的角色(例如开发人员、管理员、安全人员等)授权访问。 组织最常使用 RBAC,因为它的实用性允许更轻松的管理控制并提供大多数用例所需的粒度。
介绍 为什么要监视多个Kubernetes集群,主要有两个原因。在第一个使用场景中,您拥有集群,每个开发阶段(如开发、阶段化和生产)都有一个集群。...使用Prometheus和inlets进行Kubernetes多集群监控 上图显示了一个在左侧有多个客户端集群的体系结构。...让我们看看我们如何构建它!...,可以选择,但对于管理不同的集群很有用 arkade -便携式Kubernetes安装市场 domain 并可以访问您的DNS管理面板以创建子域 本教程使用inlets PRO,因为它更容易配置,并提供支持...可以在inlets文档中查看两个版本的区别https://inlets.dev/ 对于本教程,我准备了三个Kubernetes集群: Kubernetes集群运行在裸金属机器上 Kubernetes集群运行在
单机部署 创建Kubernetes cluster(单机版)最简单的方法是minikube: 首先下载kubectl curl -Lo kubectl https://storage.googleapis.com...xhyve 开发版 minikube/localkube只提供了正式release版本,而如果想要部署master或者开发版的话,则可以用hack/local-up-cluster.sh来启动一个本地集群...: cd $GOPATH/src/k8s.io/kubernetes export KUBERNETES_PROVIDER=local hack/install-etcd.sh export PATH...$GOPATH/src/k8s.io/kubernetes export KUBECONFIG=/var/run/kubernetes/admin.kubeconfig cluster/kubectl.sh...文章来源:Kubernetes中文社区
[使用Kubernetes管理Docker集群] 什么是Kubernetes集群? Kubernetes是一个来管理容器化应用程序的开源平台。...如果您使用Docker将应用部署到多个服务器节点上,Kubernetes集群就可以管理您的服务器和应用,包括扩展、部署和滚动更新等操作。 Kubernetes集群由至少一个主节点和多个工作节点组成。...开始前的准备 本文需要您首先完成如何在Kubernetes集群上安装,配置和部署NGINX指南的相关操作,并按照其中的步骤配置一个主节点和两个工作节点。...在Kubernetes中,服务是一种抽象,允许随时访问Pod。服务会自动处理IP更改,更新以及扩展,因此在启用该服务后,只要运行的Pod保持活动状态,就可通过互联网访问您的应用程序。...您可以使用describe命令以获取特定节点的详细信息: kubectl describe node kube-worker-1 节点维护 Kubernetes提供了一种非常直接的办法使节点安全离线。
Kubernetes 主要由以下几个核心组件组成: etcd 保存了整个集群的状态; kube-apiserver 提供了资源操作的唯一入口,并提供认证、授权、访问控制、API 注册和发现等机制; kube-controller-manager...kubelet 完全是为了实现 Kubernetes 项目对容器的管理能力而实现的一个组件。 了解完Kubernetes架构后,我们今天使用Kubeadm部署一个Kubernetes集群。...使用Kubeadm部署Kubernetes集群很简单,只需要两步操作即可:kubeadm init,kubeadm join,当然在正式安装之前咱们先需要做一下基础准备!...基础环境准备 安装一个Kubernates最小集群需要三台机器,一台Master节点,两台Node节点,机器规划如下: 虚拟机版本 主机名 IP 角色 centos7 kubernetes-master...这样我们整个Kubernetes集群已经搭建完成,大家可以开始部署你的服务应用了!
确保每台机器2G内存或以上 确保当控制面板的结点机,其CPU核数为双核或以上 确保集群中的所有机器网络互连 目标 安装一个Kubernetes集群控制面板 基于集群安装一个Pod network以便集群之间可以相互通信...默认的, kubeadm 设置集群强制使用 RBAC (基于角色访问控制)。...确保Pod网络插件及用其发布的任何清单支持RBAC 如果让集群使用IPv6--dual-stack,或者仅single-stack IPv6 网络,确保往插件支持IPv6....好些项目使用CNI提供提供Kubernetes网络支持,其中一些也支持网络策略,以下是实现了Kubernetes网络模型的插件列表查看地址: https://kubernetes.io/docs/concepts...可以使用kubectl config delete cluster删除对集群的本地引用(笔者未试过)。
使用 Prometheus 监控 Kubernetes 集群 当你考虑基于 Kubernetes 的能力为自己的应用锦上添花的时候,就仿佛打开了一个潘多拉魔盒,你不知道这个盒子里到底有什么,就像你不知道你所依赖的...Kubernetes 集群和集群上的应用正在、将要发生什么。...之前介绍 CRD 的文章(如何使用 CRD 拓展 Kubernetes 集群)也讲到,CRD 提供的能力取决于 CRD Controller,Prometheus Operator 便是这么一种 Controller...监控应用 Demo 我们根据官方 User Guides 简单介绍一下如何使用 prometheus-operator 对应用进行监控,更多细节可以参考:https://github.com/coreos...,Demo 应用的监控信息: 集群监控 通过这个自定义的 Demo 应该可以了解到,Prometheus 是通过 SVC 发起 HTTP 访问来获取数据,而集群监控,只不过是让 Prometheus 有能力获得
Kubespray是Google开源的一个部署生产级别的Kubernetes服务器集群的开源项目,它整合了Ansible作为部署的工具。...项目地址:https://github.com/kubernetes-incubator/kubespray 部署历程 目前为止,对于Kubernetes集群的部署,我只谈的上是一个入门者,涉及到了众多的运维知识...KubeSpray进行部署,这台机器不做Kubernetes相关集群的部署。...本次部署,使用的KubeSpray版本为v2.1.2。 Master、Node节点的操作 因为本次使用KubeSpray操作部署,所以所有的主机都需要关闭防火墙等相关的操作。...验证几点是否成功 登录Kubernete集群的Mater集群,执行如下命令: kubectl get no 控制台打印出了正确的Kubernetes节点信息,则安装成功。
本文介绍了如何使用 Kubespray 在本地开发测试部署 Kubernetes 集群及其注意事项。...本文整理了一下个人使用 Kubespray 在本地开发测试部署 Kubernetes 集群时需要注意的事项。...也推荐大家阅读一下我同事写的私有云 PaaS 场景下的 Kubernetes 集群部署实践一文,在里面有详细介绍集群部署的过程和原理。...域名 SSL 证书制作 域名 SSL 证书主要是给镜像仓库使用的,假如证书是自签的或者镜像仓库使用的是 HTTP 协议,这样会导致 Docker 或者 Containerd 无法拉取镜像,需要为集群所有节点配置...,因此需要搭建一个 http/https 服务器,用于给集群部署下载这些二进制文件使用。
以简单部署访问来演示kubernetes的基本使用 ?...将同一名字的rc作为后端node进行负载 spec: ports: - port: 9001 #service暴露在cluster ip上的端口,clusterIP:port 是提供给集群内部客户访问...nodePort上到来的数据最终经过kube-proxy流入到后端pod的targetPort上进入容器,和rc中的containerPort一致 nodePort: 30001 #提供给集群外部客户访问...all-namespaces NAMESPACE NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE default kubernetes.../permission/test2 至此,在kubernetes中应用间相互调用基本演示完毕(dns配置服务发现暂未成功)
使用tke的时候,我们会需要开启集群的内网或者外网访问到apiserver,开启内外网访问,会自动创建内网clb的service或者外网clb的service,service会关联自动创建一个clb,很多时候...,我们想复用下已有的lclb实例,下面我们说下如何配置TKE集群内外网访问使用已有的clb。...修改service配置进入集群修改service配置,内网访问的service名称为kubernetes-intranet,外网的service名称为kubernetes-extranet,点击更新配置修改图片图片...修改default下kubernetes-proxy这个deployment修改完service配置后,还不能通过已有clb的ip来访问到apiserver,这个时候还需要修改下配置,改下kubernetes-proxy...这个deployment图片直接应该yaml的启动参数配置,如果是修改了公网访问,将externalIp这个参数配置成新clb vip,如果是修改了内网访问,将internalIp这个参数配置成已有的clb
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
即时通信 IM
云直播
实时音视频
