1.部署dashboard

kubernetes-dashboard运行时需要有sa账号提供权限

Dashboard官方地址:https://github.com/kubernetes/dashboard

# 在node1上下载镜像

docker pull googlecontainer/kubernetes-dashboard-amd64:v1.10.1

docker tag googlecontainer/kubernetes-dashboard-amd64:v1.10.1 k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1

# 在master上下载yaml文件

wget https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard.yaml

文件中需要做以下修改

a.创建一个sa并绑定到cluster-admin上

---

apiVersion: v1

kind: ServiceAccount

metadata:

  name: admin-user

  namespace: kube-system

---

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

  name: admin-user

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: ClusterRole

  name: cluster-admin

subjects:

- kind: ServiceAccount

  name: admin-user

  namespace: kube-system

---

b.修改Service的type为NodePort

kind: Service

apiVersion: v1

metadata:

  labels:

    k8s-app: kubernetes-dashboard

  name: kubernetes-dashboard

  namespace: kube-system

spec:

  ports:

    - port: 443

      targetPort: 8443

      nodePort: 31443

  type: NodePort

  selector:

    k8s-app: kubernetes-dashboard

# 获取不记名token

kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}')

访问https://10.0.0.20:31443,将这一段内容复制到令牌中,即可看到dashboard面板

该部分内容参考:https://github.com/kubernetes/dashboard/wiki/Creating-sample-user

拿这个sa的token登录,pod就获得了这个sa的权限,即整个集群的管理权限,用命令行再创建个sa,限定它只能访问default名称空间

kubectl create serviceaccount def-ns-admin -n default

kubectl create rolebinding def-ns-admin --clusterrole=admin --serviceaccount=default:def-ns-admin

# 拿这个token登录到web页面,进去后只能看default名称空间

kubectl describe secret def-ns-admin-token-646gx

2.用kubeconfig的方法来验证登录

原理:将sa的token赋给一个用户,然后封装成kubeconfig文件,下面这些操作只是让def-ns-admin用户对kubernetes集群中的default名称空间具有管理权限;更广泛的用法是让某用户对不同集群都有管理权限.

cd /etc/kubernetes/pki

kubectl config set-cluster kubernetes --certificate-authority=./ca.crt \

--server="https://172.16.1.100:6443" --embed-certs=true --kubeconfig=/root/def-ns-admin.conf

kubectl config view --kubeconfig=/root/def-ns-admin.conf

kubectl get secret def-ns-admin-token-646gx -o json

DEF_NS_ADMIN_TOKEN=$(kubectl get secret  def-ns-admin-token-646gx  -o jsonpath={.data.token}|base64 -d)

kubectl config set-credentials def-ns-admin --token=$DEF_NS_ADMIN_TOKEN --kubeconfig=/root/def-ns-admin.conf

User "def-ns-admin" set

# 创建一个上下文

kubectl config set-context def-ns-admin@kubernetes --cluster=kubernetes --user=def-ns-admin \

--kubeconfig=/root/def-ns-admin.conf

Context "def-ns-admin@kubernetes" created.

# 切换用户,此时可以用/root/def-ns-admin.conf文件进行登录

# 认证账号必须是ServiceAccount,被dashboard pod拿来进行认证集群认证

kubectl config use-context def-ns-admin@kubernetes --kubeconfig=/root/def-ns-admin.conf

3.容器的资源需求、资源限制

request:需求,最低保障,在调度时,节点必须满足request需求的资源大小才符合需求;

limits:限制、硬限制,限制容器无论怎么运行都不会超过limits的值.

CPU:一颗物理CPU杯虚拟成两颗逻辑cpu,一个逻辑cpu还可以划分为1000个毫核(millcores),所以500m=0.5个CPU,相当于二分之一的核心.

kubectl explain pods.spec.containers.resources.requests

kubectl explain pods.spec.containers.resources.limits

# -m 1表示启动一个子进程对内存做压测,-c 1表示启动一个子进程对cpu做压测,

默认stress-ng的一个子进程使用256M内存

cat pod-demo.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-demo

  labels:

    app: myapp

    tier: frontend

spec:

  containers:

  - name: myapp

    image: ikubernetes/stress-ng:v1

    command: ["/usr/bin/stress-ng", "-m 1", "-c 1", "--metrics-brief"]

    resources:

      requests:

        cpu: "200m"

        memory: "128Mi"

      limits:

        cpu: "1" # 没有单位表示是1个cpu

        memory: "200Mi"

# 容器分配了资源限制后,k8s会自动分配一个Qos(服务质量)

Qos可以分为三类:

Guranteed:表示每个容器的cpu和内存资源设置了相同的requests和limits值,即cpu.requests=cpu.limits和memory.requests=memory.limits,Guranteed会确保这类pod有最高的优先级,会被优先运行的,即使节点上的资源不够用;

Burstable:表示pod中至少有一个容器设置了cpu或内存资源的requests属性,可能没有定义limits属性,那么这类pod具有中等优先级;

BestEffort:指没有任何一个容器设置了requests或者limits属性,那么这类pod是最低优先级,当这类pod的资源不够用时,BestEffort中的容器会被优先终止,以便腾出资源来,给另外两类pod中的容器正常运行.

4.HeapSter

HeapSter的作用是收集个节点pod的资源使用情况,然后以图形界面展示给用户.kubelet中的cAdvisor负责收集每个节点上的资源使用情况,然后把信息存储HeapSter中,HeapSter再把数据持久化的存储在数据库InfluxDB中,然后我们再通过Grafana来图形化展示.

一般监控的指标包括k8s集群的系统指标、容器指标和应用指标. 默认InfluxDB使用的是存储卷是emptyDir,容器一关数据就没了,所以要换成glusterfs等存储卷才行.

InfluxDB--https://github.com/kubernetes/heapster/blob/master/deploy/kube-config/influxdb/influxdb.yaml

mkdir metrics && cd metrics

wget https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/influxdb/influxdb.yaml

# 访问https://github.com/kubernetes/heapster/tree/master/deploy/kube-config/rbac

wget https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/rbac/heapster-rbac.yaml

# 访问https://github.com/kubernetes/heapster/blob/master/deploy/kube-config/influxdb/heapster.yaml

wget https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/influxdb/heapster.yaml

# 访问https://github.com/kubernetes/heapster/blob/master/deploy/kube-config/influxdb/grafana.yaml

# 为了能在集群外部访问Grafana,所以在文件最后一行加个type: NodePort

# 在v1.12之后的版本,已经完全抛弃了heapster,模板地址:https://grafana.com/dashboards/9733

wget https://raw.githubusercontent.com/kubernetes/heapster/master/deploy/kube-config/influxdb/grafana.yaml

参考博客:http://blog.itpub.net/28916011/viewspace-2215214/

参考博客:http://blog.itpub.net/28916011/viewspace-2216324/

k8s之dashboard认证、资源需求、资源限制及HeapSter的更多相关文章

  1. Kubernetes 学习22 kubernetes容器资源需求资源限制及HeapSter(翻车章节)

    一.概述 1.接下来介绍在k8s上运行pod对象时我们如何去监控我们系统级的资源指标以及业务级别的资源指标.数据如何获取和监控.在此之前先介绍一下Pod对象的资源请求和资源限制.即容器的资源需求和资源 ...

  2. k8s系列--- dashboard认证及分级授权

    http://blog.itpub.net/28916011/viewspace-2215214/ 因版本不一样,略有改动 Dashboard官方地址: https://github.com/kube ...

  3. Kubernetes:容器资源需求与限制(约束)

    Blog:博客园 个人 A Container is guaranteed to have as much memory as it requests, but is not allowed to u ...

  4. k8s资源需求及资源限制

    在k8s上,可由容器或pod请求或消费的计算资源时指cpu和内存,这也是目前仅有的受支持的两种类型.相比较来说,cpu属于可压缩资源,即资源额度可按需收缩,而内存则是不可压缩型资源,对其执行收缩操作可 ...

  5. K8S 容器的资源需求、资源限制

    容器的资源需求,资源限制 requests:需求,最低保障: limits:限制,硬限制: CPU: 1 颗逻辑 CPU 1=1000,millicores 500m=0.5CPU QoS: Gura ...

  6. 十六, k8s集群资源需求和限制, 以及pod驱逐策略。

    目录 容器的资源需求和资源限制 QoS Classes分类 Guaranteed Burstable Best-Effort kubernetes之node资源紧缺时pod驱逐机制 Qos Class ...

  7. k8s-容器资源需求、资源限制及HeapSter-二十二

    一.容器资源需求.资源限制 资源需求.资源限制:指的是cpu.内存等资源: 资源需求.资源限制的两个关键字: request:需求,最低保障,在调度时,这个节点必须要满足request需求的资源大小: ...

  8. 如何使用Java访问双向认证的Https资源

    本文的相关源码位于 https://github.com/dreamingodd/CA-generation-demo 0.Nginx配置Https双向认证 首先配置Https双向认证的服务器资源. ...

  9. K8s集群认证之RBAC

    kubernetes认证,授权概括总结: RBAC简明总结摘要:API Server认证授权过程: subject(主体)----->认证----->授权[action(可做什么)]--- ...

随机推荐

  1. HDU 4380 Farmer Greedy(叉积和三角形知识的综合应用)

    题目链接:http://acm.hust.edu.cn/vjudge/contest/view.action?cid=115760#problem/A 题目意思大致为由n个点(n小于100)和m个金矿 ...

  2. Flutter安装

    下载右边的安装包以获取最新版本 stable 的 Flutter SDK 将压缩包解压,然后把其中的 flutter 目录整个放在你预想的 Flutter SDK 安装目录中(比如 C:\src\fl ...

  3. python+socket+jq实现web页面实时输出结果

    例如有这样一个需求: 在终端上进行ping操作,现在想把这个这个操作放到web页面上进行,并且实现实时输出的效果. 来分析下具体实现过程 第一步,传统的http请求实现这个有点不太友好,因为这里边是一 ...

  4. HTTP_POST请求的数据格式

    HTTP_POST请求的数据格式 在HTTP的请求头中,可以使用Content-type来指定不同格式的请求信息. Content-type的类型 常见的媒体格式类型:     text/html : ...

  5. MATLAB实现模糊控制

    一.简介 MATLAB软件有提供一个模糊推理系统编辑器,利用模糊工具箱在matlab命令窗口输入Fuzzy命令进入模糊控制编辑环境 二.主要步骤 1.接受输入变量 2.输入变量模糊化 3.利用模糊规则 ...

  6. 【Phoenix】1、搭建 Phoenix 环境

    Ps: 需要注意的是,我学习的时候,Elixir 是 1.8.1的版本,而 Phoenix 是 1.4.1的版本,对于其他版本,不一定正确. 1.安装 Phoenix 之前,先安装 Elixir. 2 ...

  7. 解析PHP的self关键字

    PHP群里有人询问self关键字的用法,答案是比较明显的:静态成员函数内不能用this调用非成员函数,但可以用self调用静态成员函数/变量/常量:其他成员函数可以用self调用静态成员函数以及非静态 ...

  8. Java-基于 Instrument 的 Agent

    Agent 为 JVMTI 的客户端. 这里记录的是基于Java Instrument 的 Agent 实现,还有直接基于 JVMTI 的 Agent 实现. 在 JDK1.5 以后,我们可以使用 A ...

  9. Android之FrameWork

    1 Activity的生命周期和启动模式 1.1 Activity的生命周期全面分析 用户正常使用情况下的生命周期 & 由于Activity被系统回收或者设备配置改变导致Activity被销毁 ...

  10. 十步学习法 -- 来自<<软技能>>一书的学习方法论

    <<软技能>>第三篇“学习”,作者讲述了自己的学习方法:十步学习法.下面我用编程语言的方式来介绍. 十步学习法 伪代码介绍 # **这一步的目的不是要掌握整个主题,而是对相关内 ...