NAME SHORTNAMES APIGROUP NAMESPACED KIND 资源用途说明 bindings     TRUE Binding 已弃用.用于记录一个object和另一个object的绑定关系. 实际上主要用于将pod和node关系, 所以在1.7版本后已经改为在pods.bindings中记录了 componentstatuses cs   FALSE ComponentStatus 是一个全局的list(即不受命名空间影响), 记录了k8s中所有的组件的的相关信息,比如创建…

一.标签与标签选择器 1.标签是k8s极具特色的功能之一,它能够附加于k8s的任何资源对象之上.简单来说,标签就是键值类型的数据,它们可于资源创建时直接指定,也可随时按需添加于活动对象中,而后即可由标签选择器进行匹配度检查从而完成资源挑选.一个对象可拥有不止一个标签,同一个标签也可被添加至多个资源之上.实践中,可为资源附加多个不同维度的标签以实现灵活的资源分组管理功能,例如: 版本标签:release:stable.release:canary.release.beta 环境标签:environ…

前文我们了解了k8s节点污点和pod的对节点污点容忍度相关话题,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14255486.html:今天我们来聊一下扩展k8s相关话题: k8s上创建资源对象的过程 我们知道在k8s上,资源是有类型的,不同类型的资源,其定义方式和使用的字段各不相同:用户创建一个资源,实际上就是把k8s抽象的资源做实例化,即把k8s抽象出来的资源,通过资源清单赋值,创建出来的对象就是我们实例化对应类型资源的结果:用户创建一个资源,首先…

前文我们聊到了k8s上crd资源的使用和相关说明,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14267400.html:今天我们来了解下k8s的第二种扩展机制自定义apiserver,以及apiservice资源的相关话题: 在开始聊自定义apiserver前,我们先来了解下k8s原生的apiserver:其实apiserver就是一个https服务器,我们可以使用kubectl工具通过https协议请求apiserver创建资源,删除资源,查看资源…

这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源. 保护MVC客户端的文章: https://www.cnblogs.com/cgzl/p/9253667.html,  https://www.cnblogs.com/cgzl/p/9268371.html 相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面…

这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow. 保护MVC客户端: https://www.cnblogs.com/cgzl/p/9253667.html,  https://www.cnblogs.com/cgzl/p/9268371.html 保护API资源(这里用到了RBAC: Role-based Access Control 基于角色的访问权限控制 官方文档): https://www.cnblogs.com/c…

准备写一些关于Identity4相关的东西,最近也比较对这方面感兴趣.所有做个开篇笔记记录一下,以便督促自己下一个技术方案方向 已经写好的入门级别Identity4的服务+api资源访问控制和简单的客户端请求模拟: 1.实现服务端+api资源控制+客户端请求 2.后面准备写单点登录统一认证服务…

此类建模API资源. Enabled 指示此资源是否已启用且可以请求.默认为true. Name API的唯一名称.此值用于内省身份验证,并将添加到传出访问令牌的受众. DisplayName 该值可以在例如同意屏幕上使用. Description 该值可以在例如同意屏幕上使用. ApiSecrets API密钥用于内省端点.API可以使用API​​名称和密钥进行内省验证. UserClaims 应包含在访问令牌中的关联用户声明类型的列表. Scopes API必须至少有一个范围.每个范围可以有…

1.k8s支持内存和cpu的限制 requests:容器运行需求,最低保障limits:限制,硬限制(资源上限) CPU: 1颗逻辑CPU(1核CPU=4个逻辑CPU) 1物理核=1000个微核(millicores) 1000m=1CPU 内存: 2.Qos类别 Qos类别: 1.Guranteed:(优选级最高) (每个容器)同时设置了CPU和内存的requests和limits,cpu.limits=cpu.requests,memory.limits=memory.request 2.…

经过前两篇文章你已经知道了关于服务器搭建和客户端接入相关的基本资料,本文主要讲述整个授权系统所服务的对象,以ProtectApi资源为演示 目标: 1)实现多资源服务器针对请求的token校验,接入IDSV 2)实现多资源服务器token识别以及user信息获取 3)客户端发起对保护API的直接请求  GO:     1)netcore资源服务器接入 这部分简直不要太简单,封装的组件就一个字:完美! 代码截图如下: 只需要声明远程授权服务器地址,以及当前API是谁即可,,,其实验证的内部也就是验…

k8s监控api调用 curl -s --cacert /etc/kubernetes/ssl/ca.pem -basic -u fengjian:fengjian --insecure -X GET https://192.168.200.11:6443/apis/metrics.k8s.io/v1beta1/nodes curl -s --cacert /etc/kubernetes/ssl/ca.pem -basic -u fengjian:fengjian --insecure -X G…

本篇整理AngularJS使用OData请求ASP.NET Web API资源的思路. 首先给ASP.NET Web API插上OData的翅膀,通过NuGet安装OData. 然后,给controller中需要使用OData的Action加上EnableQuery特性,并让Action方法返回IQueryable<T>类型. public class ProductsController : ApiController { // GET: api/Products [EnableQuery(…

想要让客户端能够访问API资源,就需要在Identity Server中定义好API的资源. Scope作用域:即API资源的访问范围限制. 作用域是一个资源 (通常也称为 Web API) 的标识符. public static IEnumerable<ApiResource> GetApis() { return new[] { // simple API with a single scope (in this case the scope name is the same as the…

k8s学习 - API 之前对k8s并没有很深入的了解,最近想把手头一个项目全部放到k8s上,以方便部署,需要研究.这里记录一下自己研究过程中头脑中的理解. k8s 和 docker 首先,需要先理解下docker.镜像把你要的应用和环境打包在一个容器里面,有了容器之后,部署,扩容等操作就很方便了.但是,随着微服务化,服务一多,容器就多了,多了之后,就需要对容器进行管理.需要有一套很完善的管理系统.那么 k8s 就出现了. k8s 全称就是kubernets,和 i10n 的名字类似,中间的数字…

(马蜂窝技术原创内容,公众号 ID:mfwtech) Part 1 背景 大交通业务需要对接机票.火车票.租车.接送机等业务的外部供应链,供应商的数据接口大部分通过 HTTP.HTTPS 等协议进行通信. 为了保证开发进度并支持集成测试时进行多场景支持,我们往往需要对供应商接口进行 MOCK.之前我们在开发环境和测试环境对外部接口的调用没有统一管控,无法实现调用开关,也无法对调用量进行统计和限制. 为了解决这些问题,我们设计了接入 API 资源隔离系统 JARVIS(Join Api Resou…

namespace是k8s集群级别的资源,用于将集群分隔为多个隔离的逻辑分区以配置给不同的用户.租户.环境或项目使用,例如,可以为development.qa.和production应用环境分别创建各自的名称空间. k8s的绝大多数资源都隶属于名称空间级别(另一个是全局级别或集群级别),namespace为这类资源提供了隔离的作用域,同一名称空间内的同一类资源名必须是唯一的,但跨名称空间时并无此限制.k8s还有一些资源隶属于集群级别的,如node.namespace.PersistentVolu…

使用密码保护API资源(资源所有者密码授权模式) 资源所有者(Resource Owner)就是指的User,也就是用户.所以也称为用户名密码模式.相对于客户端凭证模式,增加了一个参与者User.通过User的用户名和密码向IdentityServer申请Access Token.这种模式下要求客户端不能存储密码,否则就存在密码泄露的风险,但是又不能确保第三方Client不存储密码.所以这种模式仅适用于受信任的客户端. 创建项目 IdentityServer的ASP.NET Core Web空项…

k8s的api-server组件负责提供restful api访问端点, 并且将数据持久化到etcd server中. 那么k8s是如何组织它的restful api的? 一, namespaced resources 所谓的namespaced resources,就是这个resource是从属于某个namespace的, 也就是说它不是cluster-scoped的资源. 比如pod, deployment, service都属于namespaced resource. 那么我们看一下如何请…

1.Service概述 service是kubernetes中最核心的资源对象之一,service和pod之间是通过Label串起来,相同的Service的pod的Label是一样的.同一个service下的所有pod是通过kube-proxy实现负载均衡.而每个service都会分配一个全局唯一的虚拟ip,也就cluster ip. 在该service整个生命周期内,cluster ip保持不变,而在kubernetes中还有一个dns服务,它会把service的name解析为cluster…

k8s api仅接受及响应json格式的数据,同时,为了便于使用,它也允许用户提供yaml格式的post对象,但apiserver需要事先自行将其转换为json格式后方能提交.每个资源通常仅接受并返回单一类型的数据,而一种类型可以被多个反映特定用例的资源所接受或返回. 1.资源配置清单 资源的创建要通过用户提供的资源配置清单来进行,其格式类似于kubectl get命令获取到的yaml或json形式的输出结果.不过status字段对用户来说为只读字段,它由k8s集群自动维护 对几乎所有的资源来说…

一.namespaced resources 所谓的namespaced resources,就是这个resource是从属于某个namespace的, 比如pod, deployment, service都属于namespaced resource. http://localhost:8080/api/v1/namespaces/default/pods/test-pod   可以看出, 该restful api的组织形式是: api api版本 namespaces 所属的namespace…

1. 创建pod资源 pod是最小的资源单位 任何一个k8s资源都可以有yml清单文件来定义 k8s yaml的主要组成 apiVersion: v1 api版本 kind: pod 资源类型 metadata: 属性 spec: 详细 编写第一个yml文件 vim k8s_pod.yaml apiVersion: v1 kind: Pod metadata: name: nginx labels: app: web spec: containers: - name: nginx image:…

前文我们了解了k8s上的service资源的相关话题,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14161950.html:今天我们来了解下k8s上的Ingress资源的相关话题: 我们知道在k8s上service是用来解决Pod访问问题,它是通过kube-proxy在每个节点上创建iptables规则或ipvs规则,在用户请求某个pod时,用户的请求会被其service规则所捕获,从而实现访问对应pod:对于service来讲,用户请求直接在传输层…

前文我们了解了用Prometheus监控k8s上的节点和pod资源,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14287942.html:今天我们来了解下k8s上的HPA资源的使用: HPA的全称是Horizontal Pod Autoscaler,从字面意思理解它就是水平pod自动伸缩器:简单讲HPA的主要作用是根据指定的指标数据,监控对应的pod控制器,一旦对应pod控制器下的pod的对应指标数据达到我们定义的阀值,即HPA就会被触发,它会根据对…

Prometheus 监控K8S集群中Pod 目前cAdvisor集成到了kubelet组件内,可以在kubernetes集群中每个启动了kubelet的节点使用cAdvisor提供的metrics接口获取该节点所有容器相关的性能指标数据.cAdvisor对外提供服务的默认端口为***4194***,主要提供两种接口: Prometheus格式指标接口:nodeIP:4194/metrics(或者通过kubelet暴露的cadvisor接口nodeIP:10255/metrics/cadviso…

对于api gateway,以前总是认知感觉和proxy差不多. 最近几天,撸完了ambassador的官方文档,才比较系统的了解了gateway的功能. 它和传统的nginx proxy或是k8s里的ingress还是有一定差别的. 近期准备在公司用起来. 一,Ambassador 是什么? ambassador是datawire开源的服务网关,很好的支持kubernetes.具体详细介绍参考官网:https://www.getambassador.io/about/why-ambassado…

1. Kubernetes 如何管理存储资源 理解volume 首先我们学习 Volume,以及 Kubernetes 如何通过 Volume 为集群中的容器提供存储:然后我们会实践几种常用的 Volume 类型并理解它们各自的应用场景:最后,我们会讨论 Kubernetes 如何通过 Persistent Volume 和 Persistent Volume Claim 分离集群管理员与集群用户的职责,并实践 Volume 的静态供给和动态供给.   Volume 本节我们讨论 Kuberne…

目录 容器的资源需求和资源限制 QoS Classes分类 Guaranteed Burstable Best-Effort kubernetes之node资源紧缺时pod驱逐机制 Qos Class优先级排名 可压缩资源与不可压缩资源 存储资源不足 举例 内存资源不足 举例 Node OOM (Out Of Memory) 总结 容器的资源需求和资源限制 requests:资源需求,最低保障, 保证被调度的节点上至少有的资源配额 limits:资源限额,硬限制, 容器可以分配到的最大资源配额…

目录 资源对象 创建资源的方法 清单帮助命令 创建测试清单 资源的三种创建方式 资源对象 workload:Pod, ReplicaSet, Deployment, StatefulSet, DaemonSet, Job, Cronjob 服务发现及均衡:Service, Ingress 配置与存储:Volume,CSI,ConfigMap,Secret,DownwardAPI 集群级资源:Namespace,Node,Role,ClusterRole,RoleBinding,ClusterRo…

一.容器于pod资源对象 现代的容器技术被设计用来运行单个进程时,该进程在容器中pid名称空间中的进程号为1,可直接接收并处理信号,于是,在此进程终止时,容器即终止退出.若要在一个容器中运行多个进程,则需要为这些进程提供一个类似于linux操作系统init进程的管控类进程,以树状结构完成多进程的生命周期管理.绝大多数场景中都应该于一个容器中仅运行一个进程,它将日志信息直接输出至容器的标准输出.不过,分别运行于各自容器的进程之间无法实现基于ipc的通信机制,此时,容器间的隔离机制对于依赖于此类通信…