• 2024-10-04基础网络安全-K8S之网络策略Network policy与RBAC
    一、网络策略NetworkPolicy   默认情况下,k8s集群网络没有任何网络限制,Pod可以与任何其他Pod通信,此时为了减少网络风险暴露面,防止Pod被失陷后进行横向的移动,可通过网络策略(NetworkPolicy)进行控制,网络策略是K8S的一个资源,可用于限制Pod出入流量,提供pod级别和Namespace级别网络
  • 2024-08-12Kubernetes-二进制高可用部署v1.23.x
    目录高可用架构k8s集群组件ectdkube-apiserverkube-schedulerkube-controller-managerkubeletkube-proxykubectl高可用分析负载均衡节点设计1.环境准备1.1环境规划1.2所有节点配置host解析1.3安装必备工具1.4所有节点关闭防火墙、selinux、dnsmasq、swap1.5Master01节点免密
  • 2024-08-06kubernetes二进制安装 -- 1.30.3
    1、节点规划10.202.99.34master0110.202.99.35master0210.202.99.36master0310.202.99.37node0110.202.99.100vip2、环境准备2.1、关闭防火墙、selinux、swap和NetworkManager#关闭selinux##临时关闭setenforce0##永久关闭sed-i's/enforcing/disabl
  • 2024-07-11Kubernetes高可用集群二进制离线部署(Runtime Docker)
    Kubernetes高可用集群二进制部署(RuntimeDocker)Kubernetes(简称为:k8s)是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了资源调度、部署管理、服务
  • 2024-07-09Kubernetes-Master 基准测试
    背景Kubernetes是容器集群管理系统,为容器化的应用提供资源调度、部署运行、滚动升级、扩容缩容等功能。容器集群管理给业务带来了便利,但是随着业务的不断增长,应用数量可能会发生爆发式的增长。那在这种情况下,Kubernetes能否快速地完成扩容、扩容到大规模时Kubernetes管理能力是否
  • 2024-06-07k8s——安全机制
    一、安全机制说明  Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。APIServer是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护APIServer来设计的。 比如kubectl如果想向APIServer请求资
  • 2024-06-01Kubernetes 集群的节点安装 kubectl
    如果您在机器上没有kubectl,但您有权限访问Kubernetes集群的节点,并且您有集群的kubeconfig文件,您可以手动创建或者传输kubeconfig文件到您的机器上。kubeconfig文件包含了访问Kubernetes集群所需的配置信息,包括集群地址、认证信息、默认命名空间等。通常情况下,kubeconf
  • 2024-05-10例子
    例子需要注意的是,k8s不会提供用户管理,那么User、Group、ServiceAccount指定的用户又是从哪里来的呢?k8s组件(kubelet、kube-proxy)或其他自定义的用户在向CA申请证书时,需要提供一个证书请求文件APIServer会把客户端证书的CN字段作为User,把names.O字段作为Groupkubelet使用TLSB
  • 2024-04-22k8s node节点报错 dial tcp 127.0.0.1:8080: connect: connection refused
    前言在搭建好kubernetes环境后,master节点拥有control-plane权限,可以正常使用kubectl。但其他node节点无法使用kubectl命令,即使同步过去/root/.kube/config文件到各个node节点上,也不行。解决检查KUBECONFIG变量:确保KUBECONFIG环境变量正确设置。KUBECONFIG
  • 2024-04-17k8s更新证书
    环境操作系统:centos7.9.2009集群架构:三个节点,一主两从,k8s版本v1.21.5,kubesphere安装的集群,应该算是kubeadm部署的集群ip:192.168.106.130,192.168.106.131,192.168.106.132集群状态:3个节点证书过期,全都挂掉这是我2022年在虚拟机装的集群,现在时间是2024年3月29日报错信息[root
  • 2024-02-18二机制安装Kubernetes 1.29 高可用集群(4)--master节点配置
    1.1在k8s-master01上解压kubernetes可执行文件到/usr/local/bin目录tar-zxfkubernetes-server-linux-amd64.tar.gz--strip-components=3-C/usr/local/binkubernetes/server/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy}注:--strip-components=3
  • 2024-01-10rancher集群获取k8s的token
    你好,新入行的小伙伴!欢迎来到K8S的世界。今天,我将带你了解如何在Rancher集群中获取Kubernetes(K8s)的Token。这个过程可能会有些复杂,但别担心,我会尽可能地详细解释每一步。一、了解整体流程在开始之前,我们先大致了解一下整个流程。以下是获取KubernetesToken的基本步骤:登录到Rancher
  • 2024-01-04跨集群流量调度实现 Kubernetes 集群金丝雀升级
    有了多集群服务和跨集群的流量调度之后,使用Kubernetes的方式会发生很大的变化。流量的管理不再限制单一集群内,而是横向跨越了多个集群。最重要的是这一切“静悄悄地”发生,对应用来说毫无感知。就拿Kubernetes版本升级来说吧。记得曾经经历过集群的原地升级:团队的几个人经过多次
  • 2023-12-13玩转 K8s 权限控制:RBAC + kubeconfig 搞定 kubectl 权限管理那些事
    目录1.先抛需求2.RBAC配置2.1.K8s里的RBAC机制介绍2.2创建ServiceAccount、Role、RoleBinding和Secret3.配置kubeconfig文件3.1kubeconfig文件介绍3.2具体的kubeconfig配置3.3kubeconfig切换测试4.总结1.先抛需求当一个K8s集群需要被多个租户共享时,就
  • 2023-11-29k8s安全管理认证
    1、SAServiceaccount是为了方便Pod里面的进程调用KubernetesAPI或其他外部服务而设计的。是为Pod中的进程调用KubernetesAPI而设计;仅局限它所在的namespace;每个namespace都会自动创建一个defaultserviceaccount;Tokencontroller检测serviceaccount的创建,并为它
  • 2023-11-21k8s解析kubeconfig的两种常用方式
    k8sv1.19.0方法1staging/src/k8s.io/client-go/tools/clientcmd/client_config.goBuildConfigFromFlags函数根据本地kubeconfig文件路径来生成restclient.Config对象。staging/src/k8s.io/client-go/tools/clientcmd/loader.goLoad方法读取指定目录下多个文件内容并合并,转换
  • 2023-10-27K8S 权限管理
    k8s权限管理目录k8s权限管理1、k8s用户1.1、k8s用户概念1.2、User&ServiceAccount的区别1.3、k8s用户创建1.3.1、创建用户私钥1.3.2、创建证书签名请求1.3.3、集群证书签署2、k8s角色2.1、Role&ClusterRole2.1.1、Role2.1.2、ClusterRole2.2、Rolebinding&ClusterRoleBindi
  • 2023-10-09k8s中,如何通过kubeconfig实现权限的隔离、用户的隔离?
    1、需求及背景说明 在k8s环境,如果想要实现不同的用户,可以有操作不同的命名空间的权限,对命名空间中的不同的对象有不同的操作的权限,该如何实现呢? 有什么样的使用的场景呢? 简单来说,虽然都是通过kubectl来对k8s集群进行管理的操作,但是不同的人员,通过不同的kube-config,就可
  • 2023-09-26创建用户[devuser]认证授权的 kubeconfig 文件
    当我们安装好集群后,如果想要把kubectl命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个devuser用户并将其绑定到dev和test两个namespace为例说明。创建CA证书和秘钥创建devuser-csr.json文件{"CN":"devuser","key":{
  • 2023-09-09kubectl之kubeconfig配置
     一、介绍我们一般使用kubectl去操作K8S集群,如部署Pod,获取node信息,获取pod信息,获取svc信息,删除某个svc等。kubectl默认会从$HOME/.kube目录下查找文件名为 config 的文件,也能通过设置环境变量 KUBECONFIG 或者通过设置去指定其它kubeconfig文件。kubeconfig就是为访问集群所
  • 2023-09-08AWS配置一个工具可以连接的kubeconfig
    问题:因为eks的kubeconfig是动态生成User和IAM绑定的,所以工具无法直接连解决方案:终端创建# 创建一个命名空间kubectlcreatensvela-system# 创建一个sa账号kubectlcreatesakubevela-vela-core-nvela-system# 把sa账号(kubevela-vela-core)与cluster-admin这个具有管理员权限