目录 角色访问控制RBAC (Role-Based Access Control) 常用的授权插件: RBAC控制: role 和 clusterrole rolebinding 和 clusterrolebinding 公共角色 clusterrole 以上几种关系的示意图 user 创建测试 创建role案例 创建 role rolebinding 绑定 jerry用户 测试 jerry 权限 clusterrole 测试 创建 clusterrole 测试绑定jerry用户 测试jerry…

kubernetes认证,授权概括总结: RBAC简明总结摘要:API Server认证授权过程: subject(主体)----->认证----->授权[action(可做什么)]------>准入控制[Object(能对那些资源对象做操作)] 认证: 有多种方式,比较常用的:token,tls,user/password 账号: k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在. 它有两种账号: UserAccount(人使用的账号), ServiceAccou…

目录 认证安全 连接Api-Server的两类账号 ServiceAccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文件 kubernetes 集群相关的私有CA证书 创建新的apiserver的账号及证书 新创建私钥 验证查看生成的证书 设定用户账号 给jerry用户加入上下文 切换至刚刚增加的jerry用户的对应的 测试jerry用户权限 保存配置文件 认证安全 任何用途操作集群的资源对象是,都要经历三种安全相关的操作:…

目录 部分常见问题处理 Coredns CrashLoopBackOff 导致无法成功添加工作节点的问题 添加工作节点时提示token过期 kubectl 执行命令报“The connection to the server localhost:8080 was refused” 网络组件flannel无法完成初始化 部分节点无法启动pod 最后 部分常见问题处理 结合我们上篇文章(链接:集群故障处理之处理思路以及听诊三板斧(三十三)的处理思路和手段,接下来我们就进行一些实践讲解. Coredn…

前言 在搭建k8s集群之前,我们需要先了解下kubectl的使用,以便在集群部署出现问题时进行检查和处理.命令和语法记不住没有关系,但是请记住主要的语法和命令以及帮助命令的使用. 在下一篇,我们将讲述使用Kubeadm来创建k8s集群. 目录 使用kubectl管理k8s集群 概述 语法 主要命令(command)说明 资源类型(TYPE)说明 命令标准(flags)说明 格式化输出 使用kubectl管理k8s集群 概述 Kubectl是一个命令行界面,用于运行针对Kubernetes集群的命…

目录 一.概述 二.生产环境部署k8s,接下来我们描述一下在真正生产环境中我们部署k8s应该部署成什么样子 一.概述 1.通过以往的学习应该可以了解到k8s 和以往提到的devops概念更容易落地了.比如我们说的CI,CD,CD ​ CI(Continuous Integration):持续集成 CD():持续交付 CD(Continuous Deployment):持续部署 2.早期作为运维手工来实现发布和部署来讲我们一周发布一次就很头疼了,如果是持续部署的话一天可能要部署好几次甚至几十次.即…

前言 上一篇我们讲述了使用Kubectl管理k8s集群,那么接下来,我们将使用kubeadm来启动k8s集群. 部署k8s集群存在一定的挑战,尤其是部署高可用的k8s集群更是颇为复杂(后续会讲).因此本教程会在部署的过程中穿插讲解一些部署相关知识.原理和步骤,比如kubeadm.kubelet以及启动集群时的实际部署动作等等.整个部署过程全部脚本化,以便各位参考和学习. 因整个集群部署教程篇幅较长,因此会拆分成几篇进行说明. 目录 使用Kubeadm创建k8s集群 Kubeadm概述  Kube…

@ 目录 1. 安装说明 2. 节点规划 3. 基本配置 4. 内核配置 5. 基本组件安装 6. 高可用组件安装 7. 集群初始化 8. 高可用Master 9. 添加Node节点 10. Calico安装 11. Metrics Server部署 12. Dashboard部署 1. 安装说明 虽然K8s 1.20版本宣布将在1.23版本之后将不再维护dockershim,意味着K8s将不直接支持Docker,不过大家不必过于担心.一是在1.23版本之前我们仍然可以使用Docker,二是do…

一.集群环境信息及安装前准备 部署前操作(集群内所有主机): .关闭防火墙,关闭selinux(生产环境按需关闭或打开) .同步服务器时间,选择公网ntpd服务器或者自建ntpd服务器 .关闭swap分区 .集群所有节点主机可以相互解析 .master对node节点ssh互信6.配置系统内核参数使流过网桥的流量也进入iptables/netfilter框架(如果报错,提示没有文件  modprobe br_netfilter 添加此模块) echo -e 'net.bridge.bridge-n…

0.前言 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.服务器设置 1.把每一个服务器的selinux 设置为 disabled 设置方式: vi  /etc/selinux/config 将 SELINUX=disabled,然后保存,然后 执行命令: setenforce 0,使之生效. 2.同步每一台服务器的时间(此步骤很重要,会影响后面的软件环境运行) 3.每一台服务…

Master节点要部署三个服务:API Server.Scheduler.Controller Manager. apiserver提供集群管理的REST API接口,包括认证授权.数据校验以 及集群状态变更等 只有API Server才直接操作etcd 其他模块通过API Server查询或修改数据 提供其他模块之间的数据交互和通信的枢纽 scheduler负责分配调度Pod到集群内的node节点    监听kube-apiserver,查询还未分配Node的Pod 根据调度策略为这些Pod分…

对于 Kubernetes 初学者,在搭建K8S集群时,推荐在阿里云或腾讯云采购如下配置:(您也可以使用自己的虚拟机.私有云等您最容易获得的 Linux 环境) 至少2台 2核4G 的服务器 Cent OS 7.6 1. 检查 centos / hostname # 在 master 节点和 worker 节点都要执行 cat /etc/redhat-release # 此处 hostname 的输出将会是该机器在 Kubernetes 集群中的节点名字 # 不能使用 localhost 作为节…

目录 一.模块概览 二.系统环境 三.安装istio 3.1 使用 Istioctl 安装 3.2 使用 Istio Operator 安装 3.3 生产部署情况如何? 3.4 平台安装指南 四.GetMesh 4.1 如何开始使用? 4.2 如何开始? 4.3 使用 GetMesh 安装 Istio 4.4 验证配置 4.5 管理多个 Istio CLI 4.6 CA 集成 五.发现选择器(Discovery Selectors) 5.1 配置发现选择器 六.实战(k8s集群安装Istio 1…

前言 本篇部署教程将讲述k8s集群的节点(master和工作节点)部署,请先按照上一篇教程完成节点的准备.本篇教程中的操作全部使用脚本完成,并且对于某些情况(比如镜像拉取问题)还提供了多种解决方案.不过基于部署环境和k8s的复杂性,我们需要对k8s集群部署过程中的一些步骤都有所了解,尤其是“kubeadm init”命令. 目录 主节点部署  Kubeadm以及相关工具包的安装 批量拉取k8s相关镜像 使用“kubeadm init”启动k8s主节点 启动k8s主节点 kubectl认证 安装f…

一:简介 二:基础环境安装 1.系统环境 os Role ip Memory Centos 7 master01 192.168.25.30 4G Centos 7 node01 192.168.25.31 4G Centos 7 node02 192.168.25.31 4G 2.关闭selinux sed -i "s/SELINUX\=.*/SELINUX=disabled/g" /etc/selinux/config 3.关闭防火墙 systemctl disable firew…

目录 一.系统环境 二.前言 三.Kubernetes 3.1 概述 3.2 Kubernetes 组件 3.2.1 控制平面组件 3.2.2 Node组件 四.安装部署Kubernetes集群 4.1 环境介绍 4.2 配置节点的基本环境 4.3 节点安装docker,并进行相关配置 4.4 安装kubelet,kubeadm,kubectl 4.5 kubeadm初始化 4.6 添加worker节点到k8s集群 4.7 部署CNI网络插件calico 4.8 配置kubectl命令tab键自…

参考URL: https://www.jianshu.com/p/a1a0d64f1245 https://mritd.me/2018/03/20/use-rbac-to-control-kubectl-permissions/ https://studygolang.com/articles/11730?fr=sidebar 公司的k8s集群里的运维用户是为k8s的运维同事增加的.有的研发同事也需要登陆到k8s的master上,查看一些日志,或是了解一下k8s的运行信息.这里,我们就需要新增一…

之前的docker和etcd已经部署好了,现在node节点要部署二个服务:kubelet.kube-proxy. 部署kubelet(Master 节点操作) 1.二进制包准备 [root@k8s-master bin]# cd /usr/local/src/kubernetes/server/bin/ [root@k8s-master bin]# cp kubelet kube-proxy /opt/kubernetes/bin/ [root@k8s-master bin]# scp kube…

单控制平面不符合 HA 要求,但用于开发/测试环境不会有任何问题,如果资源足够的话(10台以上服务器,3台用于APIserver.3台用于 etcd 存储.至少3台用于工作节点.1台作为负载均衡),可以部署多控制平面的高可用集群环境.下面是高可用集群拓补结构,供参考: 安装步骤其实大同小异,高可用多了几个步骤,安装时可参看官网文档,也比较好操作.本文着重记录单控制平面K8S集群安装步骤. 一.准备工作 硬件资源要求,4核心以上CPU,8GB以上内存,所有服务器间网络正常通信,Ubuntu 16.…

我们需要做以下工作: (1)安装VMware,运行CentOs系统,一个做master,一个做node. (2)安装K8s. (3)安装docker和部分镜像会需要访问外网,所以你需要做些网络方面的准备工作,大家可以去某宝找一下,或者在网络上找别人下好的也可以. 一.安装VMware 官网地址:https://my.vmware.com/zh/web/vmware/downloads  (网上有很多自带破解的下载,大家也可以找一下) 我这里下载的是VM15(安装和新建虚拟机的步骤就跳过了,我也是…

一.k8s集群 1.k8s整体架构图 2.k8s网络架构图 二.基于kubeadm安装k8s步骤 1.master,nodes:安装kubelet,kubeadm,docker 2.master: kubeadm init 3.各nodes: kubeadm join 4.k8s有两种部署方案 a.采用传统的方式来部署k8s自身,让k8s自己的相关组件统统运行为系统级的守护进程,这包括master节点上的四个组件以及每个node节点上的三个组件都运行为系统级的守护进程,但是这个每一步都需要我们自…

一.前言 我们将现有的虚拟机称之为Node1,用作主节点.为了减少工作量,在Node1安装Kubernetes后,我们利用VirtualBox的虚拟机复制功能,复制出两个完全一样的虚拟机作为工作节点.三者角色为: Node1:Master Node2:Woker Node3:Woker 二.安装Kubernetes 还是那句话,官方文档永远是最好的参考资料:https://kubernetes.io/docs/setup/independent/create-cluster-kubeadm/ 但…

K8S集群Master高可用实践    https://blog.51cto.com/ylw6006/2164981 本文将在前文基础上介绍k8s集群的高可用实践,一般来讲,k8s集群高可用主要包含以下几个内容:1.etcd集群高可用2.集群dns服务高可用3.kube-apiserver.kube-controller-manager.kube-scheduler等master组件的高可用 其中etcd实现的办法较为容易,具体实现办法可参考前文:https://blog.51cto.com/y…

目录 资源指标: Metrics-Server 资源指标: Metric-Server介绍 Metric-Server部署 下载yaml文件 因为有墙, 所以提前下载image镜像, 当然也可以手动修改yaml相关文件 修改文件, 不然报错 创建Metric-Server 自定义资源指标: Prometheus k8s-prometheus-adapter 项目 Prometheus 在k8s集群中部署Prometheus github地址 需要部署的服务清单 安装部署所有服务及插件 部署kub…

服务器规划 角色 IP 组件 k8s-master1 192.168.31.63 kube-apiserver kube-controller-manager kube-scheduler etcd k8s-master2 192.168.31.64 kube-apiserver kube-controller-manager kube-scheduler k8s-node1 192.168.31.65 kubelet kube-proxy docker etcd k8s-node2 192.1…

一.概述 详情参考阿里云说明:https://help.aliyun.com/document_detail/98886.html?spm=a2c4g.11186623.6.1078.323b1c9bpVKOry 项目资源分配(数据库.中间件除外): 二.部署镜像仓库 1) 部署docker-compose,然后参考下文部署docker. $ sudo curl -L "https://github.com/docker/compose/releases/download/1.26.2/dock…

由于docker容器的特殊性,传统的zabbix无法对k8s集群内的docker状态进行监控,所以需要使用prometheus来进行监控: 什么是Prometheus? Prometheus是由SoundCloud开发的开源监控报警系统和时序列数据库(TSDB).Prometheus使用Go语言开发,是Google BorgMon监控系统的开源版本. 2016年由Google发起Linux基金会旗下的原生云基金会(Cloud Native Computing Foundation), 将Prom…

整理常见的整理全网最全K8S集群管理工具.平台解决方案. 1 Rancher Rancher中文官网:https://docs.rancher.cn/ 2 KubeSphere 官网:https://kubesphere.com.cn/ 面向云原生应用的 容器混合云 KubeSphere 愿景是打造一个以 Kubernetes 为内核的云原生分布式操作系统,它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用(plug-and-play)的集成,支持云原生应用在多云与多集群的统一分发和…

公众号关注「WeiyiGeek」 设为「特别关注」,每天带你玩转网络安全运维.应用开发.物联网IOT学习! 本章目录: 0x00 前言简述 0x01 环境准备 主机规划 软件版本 网络规划 0x02 安装部署 1.基础主机环境准备配置 2.负载均衡管理工具安装与内核加载 3.高可用HAproxy与Keepalived软件安装配置 4.配置部署etcd集群与etcd证书签发 5.Containerd 运行时安装部署 温馨提示: 由于实践篇幅太长,此处分为上下两节进行发布. 0x00 前言简述 描述…

@ 目录 概述 定义 为何使用 其他产品 安装 简述 规划 基础环境 Docker安装 Rancher安装 创建用户 创建集群 添加Node节点 配置kubectl 创建项目和名称空间 发布应用 偏好设置 概述 定义 Rancher 官网 https://rancher.com/ Rancher 官网文档 https://rancher.com/docs/ Rancher 最新版本2.6官网文档 https://rancher.com/docs/ Rancher GitHub源码地址 https…