k8s ~ 数据存储、安全认证、DashBoard。

这篇具有很好参考价值的文章主要介绍了k8s ~ 数据存储、安全认证、DashBoard。。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

k8s。

《Kubernetes ~ k8s 从入门到入坑。》



8. 数据存储。

在前面已经提到,容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,kubernetes 引入了 Volume 的概念。

Volume 是 Pod 中能够被多个容器访问的共享目录,它被定义在 Pod 上,然后被一个 Pod 里的多个容器挂载到具体的文件目录下,kubernetes 通过 Volume 实现同一个 Pod 中不同容器之间的数据共享以及数据的持久化存储。Volume 的生命容器不与 Pod 中单个容器的生命周期相关,当容器终止或者重启时,Volume 中的数据也不会丢失。

volume
英 [ˈvɒljuːm]
美 [ˈvɑːljuːm]
n. 体积; 容积,容量; 量,额; 大量,许多; 唱片; 一套录音磁带; 音量,响度; (成套书籍中的)一卷,一册; 书; 卷,合订本; 最大音量;
adj. 大量的;
v. (烟、蒸汽等)成团升起/卷起; 把…收集成卷,把…装订成合订本; 成团地喷出

kubernetes 的 Volume 支持多种类型,比较常见的有下面几个。

  • 简单存储:EmptyDir、HostPath、NFS。
  • 高级存储:PV、PVC。
  • 配置存储:ConfigMap、Secret。
8.1 基本存储。
8.1.1 EmptyDir。

EmptyDir 是最基础的 Volume 类型,一个 EmptyDir 就是 Host 上的一个空目录。

EmptyDir 是在 Pod 被分配到 Node 时创建的,它的初始内容为空,并且无须指定宿主机上对应的目录文件,因为 kubernetes 会自动分配一个目录,当 Pod 销毁时,EmptyDir 中的数据也会被永久删除。EmptyDir 用途如下:

  • 临时空间,例如用于某些应用程序运行时所需的临时目录,且无须永久保留。

  • 一个容器需要从另一个容器中获取数据的目录(多容器共享目录)。

接下来,通过一个容器之间文件共享的案例来使用一下 EmptyDir。

在一个 Pod 中准备两个容器 nginx 和 busybox,然后声明一个 Volume 分别挂在到两个容器的目录中,然后 nginx 容器负责向 Volume 中写日志,busybox 中通过命令将日志内容读到控制台。

k8s ~ 数据存储、安全认证、DashBoard。

创建一个 volume-emptydir.yaml。

apiVersion: v1
kind: Pod
metadata:
  name: volume-emptydir
  namespace: dev
spec:
  containers:
  - name: nginx
    image: nginx:1.17.1
    ports:
    - containerPort: 80
    volumeMounts:  # 将 logs-volume 挂在到 nginx 容器中,对应的目录为 /var/log/nginx。
    - name: logs-volume
      mountPath: /var/log/nginx
  - name: busybox
    image: busybox:1.30
    command: ["/bin/sh", "-c", "tail -f /logs/access.log"]  # 初始命令,动态读取指定文件中内容。
    volumeMounts:  # 将 logs-volume 挂在到 busybox 容器中,对应的目录为 /logs。
    - name: logs-volume
      mountPath: /logs
  volumes:  # 声明 volume,name 为 logs-volume,类型为 emptyDir。
  - name: logs-volume
    emptyDir: {}
# 创建 Pod。
[root@localhost volume]# kubectl create -f volume-emptydir.yaml
pod/volume-emptydir created

# 查看 pod。
[root@localhost volume]# kubectl get pods volume-emptydir -n dev -o wide
NAME              READY   STATUS    RESTARTS   AGE   IP            NODE                              NOMINATED NODE   READINESS GATES
volume-emptydir   2/2     Running   0          7s    10.244.2.76   localhost.localdomain.k8s.node2   <none>           <none>

# 通过 podIp 访问 nginx。
[root@k8s-master01 ~]# curl 10.42.2.9

# 通过 kubectl logs 命令查看指定容器的标准输出。
[root@localhost volume]# kubectl logs -f volume-emptydir -n dev -c busybox
10.244.0.0 - - [09/Dec/2022:15:19:28 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"



8.1.2 HostPath。

上面提到,EmptyDir 中数据不会被持久化,它会随着 Pod 的结束而销毁,如果想简单的将数据持久化到主机中,可以选择 HostPath。

HostPath 就是将 Node 主机中一个实际目录挂在到 Pod 中,以供容器使用,这样的设计就可以保证 Pod 销毁了,但是数据依据可以存在于 Node 主机上。

k8s ~ 数据存储、安全认证、DashBoard。
创建一个 volume-hostpath.yaml。

apiVersion: v1
kind: Pod
metadata:
  name: volume-hostpath
  namespace: dev
spec:
  containers:
  - name: nginx
    image: nginx:1.17.1
    ports:
    - containerPort: 80
    volumeMounts:
    - name: logs-volume
      mountPath: /var/log/nginx
  - name: busybox
    image: busybox:1.30
    command: ["/bin/sh", "-c", "tail -f /logs/access.log"]
    volumeMounts:
    - name: logs-volume
      mountPath: /logs
  volumes:
  - name: logs-volume
    hostPath: 
      path: /root/logs
      type: DirectoryOrCreate  # 目录存在就使用,不存在就先创建后使用。
关于 type 的值的一点说明。
    DirectoryOrCreate 目录存在就使用,不存在就先创建后使用。
    Directory 目录必须存在。
    FileOrCreate 文件存在就使用,不存在就先创建后使用。
    File 文件必须存在。
    Socket unix 套接字必须存在。
    CharDevice 字符设备必须存在。
    BlockDevice 块设备必须存在。
# 创建 Pod。
[root@localhost volume]# vim volume-hostpath.yaml
[root@localhost volume]# kubectl create -f volume-hostpath.yaml
pod/volume-hostpath created

# 查看 Pod。
[root@localhost volume]# kubectl get pods volume-hostpath -n dev -o wide
NAME              READY   STATUS    RESTARTS   AGE   IP            NODE                              NOMINATED NODE   READINESS GATES
volume-hostpath   2/2     Running   0          12s   10.244.1.74   localhost.localdomain.k8s.node1   <none>           <none>

# 访问 nginx。
[root@localhost volume]# curl 10.244.1.74

# 接下来就可以去 host 的/root/logs 目录下查看存储的文件了
# 注意:下面的操作需要到 Pod 所在的节点运行(案例中是 node1)。
[root@localhost ~]# uname -a
Linux localhost.localdomain.k8s.node1 3.10.0-1160.80.1.el7.x86_64 #1 SMP Tue Nov 8 15:48:59 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# ls /root/logs/
access.log  error.log
[root@localhost ~]# tail -f /root/logs/access.log
10.244.0.0 - - [09/Dec/2022:15:31:43 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"

# 同样的道理,如果在此目录下创建一个文件,到容器中也是可以看到的。


8.1.3 NFS。

HostPath 可以解决数据持久化的问题,但是一旦 Node 节点故障了,Pod 如果转移到了别的节点,又会出现问题了,此时需要准备单独的网络存储系统,比较常用的用 NFS、CIFS。

NFS 是一个网络文件存储系统,可以搭建一台 NFS 服务器,然后将 Pod 中的存储直接连接到 NFS 系统上,这样的话,无论 Pod 在节点上怎么转移,只要 Node 跟 NFS 的对接没问题,数据就可以成功访问。

k8s ~ 数据存储、安全认证、DashBoard。

  • 首先要准备 nfs 的服务器,这里为了简单,直接是 master 节点做 nfs 服务器。
# 在 nfs 上安装 nfs 服务。
[root@nfs ~]# yum install nfs-utils -y

# 准备一个共享目录。
[root@localhost volume]# mkdir -pv data/nfs
mkdir: created directory ‘data’
mkdir: created directory ‘data/nfs’

# 将共享目录以读写权限暴露给 192.168.142.0/24 网段中的所有主机。
[root@nfs ~]# vim /etc/exports
[root@localhost nfs]# pwd
/root/geek/k8s/volume/data/nfs

[root@nfs ~]# more /etc/exports
/root/geek/k8s/volume/data/nfs 192.168.142.0/24(rw,no_root_squash)

# 启动 nfs 服务。
[root@nfs ~]# systemctl restart nfs
  • 接下来,要在的每个 node 节点上都安装下 nfs,这样的目的是为了 node 节点可以驱动 nfs 设备。
# 在 node 上安装 nfs 服务,注意不需要启动。
yum install nfs-utils -y

3)接下来,就可以编写 pod 的配置文件了,创建 volume-nfs.yaml。

apiVersion: v1
kind: Pod
metadata:
  name: volume-nfs
  namespace: dev
spec:
  containers:
  - name: nginx
    image: nginx:1.17.1
    ports:
    - containerPort: 80
    volumeMounts:
    - name: logs-volume
      mountPath: /var/log/nginx
  - name: busybox
    image: busybox:1.30
    command: ["/bin/sh", "-c", "tail -f /logs/access.log"] 
    volumeMounts:
    - name: logs-volume
      mountPath: /logs
  volumes:
  - name: logs-volume
    nfs:
      server: 192.168.142.150  # nfs 服务器地址。
      path: /root/geek/k8s/volume/data/nfs  # 共享文件路径。
  • 最后,运行下 pod,观察结果。
# 创建 pod。
[root@localhost volume]# kubectl create -f volume-nfs.yaml
pod/volume-nfs created

# 查看 pod。
[root@localhost volume]# kubectl get pods volume-nfs -n dev
NAME         READY   STATUS    RESTARTS   AGE
volume-nfs   2/2     Running   0          39s

# 查看 nfs 服务器上的共享目录,发现已经有文件了。
[root@localhost volume]# ls /root/geek/k8s/volume/data/nfs/
access.log  error.log

[root@localhost volume]# tail /root/geek/k8s/volume/data/nfs/access.log
[root@localhost volume]#

[root@localhost volume]# kubectl get pods volume-nfs -n dev -o wide
NAME         READY   STATUS    RESTARTS   AGE     IP            NODE                              NOMINATED NODE   READINESS GATES
volume-nfs   2/2     Running   0          3m31s   10.244.2.77   localhost.localdomain.k8s.node2   <none>           <none>

[root@localhost volume]# curl 10.244.2.77

[root@localhost volume]# tail /root/geek/k8s/volume/data/nfs/access.log
10.244.0.0 - - [09/Dec/2022:15:57:19 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"



8.2 高级存储。

前面已经学习了使用 NFS 提供存储,此时就要求用户会搭建 NFS 系统,并且会在 yaml 配置 nfs。由于 kubernetes 支持的存储系统有很多,要求客户全都掌握,显然不现实。为了能够屏蔽底层存储实现的细节,方便用户使用,kubernetes 引入 PV 和 PVC 两种资源对象。

PV(Persistent Volume)是持久化卷的意思,是对底层的共享存储的一种抽象。一般情况下 PV 由 kubernetes 管理员进行创建和配置,它与底层具体的共享存储技术有关,并通过插件完成与共享存储的对接。

PVC(Persistent Volume Claim)是持久卷声明的意思,是用户对于存储需求的一种声明。换句话说,PVC 其实就是用户向 kubernetes 系统发出的一种资源需求申请。

k8s ~ 数据存储、安全认证、DashBoard。
使用了 PV 和 PVC 之后,工作可以得到进一步的细分:

  • 存储:存储工程师维护。

  • PV: kubernetes 管理员维护。

  • PVC:kubernetes 用户维护。



8.2.1 PV。

PV 是存储资源的抽象,下面是资源清单文件。

apiVersion: v1  
kind: PersistentVolume
metadata:
  name: pv2
spec:
  nfs: # 存储类型,与底层真正存储对应。
  capacity:  # 存储能力,目前只支持存储空间的设置。
    storage: 2Gi
  accessModes:  # 访问模式。
  storageClassName: # 存储类别。
  persistentVolumeReclaimPolicy: # 回收策略。

PV 的关键配置参数说明。

  • 存储类型

    底层实际存储的类型,kubernetes 支持多种存储类型,每种存储类型的配置都有所差异

  • 存储能力(capacity)

目前只支持存储空间的设置(storage=1Gi),不过未来可能会加入 IOPS、吞吐量等指标的配置。

  • 访问模式(accessModes)

用于描述用户应用对存储资源的访问权限,访问权限包括下面几种方式。

  • ReadWriteOnce(RWO):读写权限,但是只能被单个节点挂载。
  • ReadOnlyMany(ROX):只读权限,可以被多个节点挂载。
  • ReadWriteMany(RWX):读写权限,可以被多个节点挂载。

需要注意的是,底层不同的存储类型可能支持的访问模式不同。

  • 回收策略(persistentVolumeReclaimPolicy)

当 PV 不再被使用了之后,对其的处理方式。目前支持三种策略。

  • Retain(保留)保留数据,需要管理员手工清理数据。
  • Recycle(回收)清除 PV 中的数据,效果相当于执行 rm -rf /thevolume/*
  • Delete(删除)与 PV 相连的后端存储完成 volume 的删除操作,当然这常见于云服务商的存储服务。

需要注意的是,底层不同的存储类型可能支持的回收策略不同。

  • 存储类别

PV 可以通过 storageClassName 参数指定一个存储类别。

  • 具有特定类别的 PV 只能与请求了该类别的 PVC 进行绑定。

  • 未设定类别的 PV 则只能与不请求任何类别的 PVC 进行绑定。

  • 状态(status)

一个 PV 的生命周期中,可能会处于 4 种不同的阶段。

  • Available(可用):表示可用状态,还未被任何 PVC 绑定。
  • Bound(已绑定):表示 PV 已经被 PVC 绑定。
  • Released(已释放):表示 PVC 被删除,但是资源还未被集群重新声明。
  • Failed(失败):表示该 PV 的自动回收失败。

实验

使用 NFS 作为存储,来演示 PV 的使用,创建 3 个 PV,对应 NFS 中的 3 个暴露的路径。

  • 准备 NFS 环境。
# 创建目录。
[root@localhost data]# mkdir /root/geek/k8s/volume/data/{pv1,pv2,pv3} -pv
mkdir: created directory ‘/root/geek/k8s/volume/data/pv1’
mkdir: created directory ‘/root/geek/k8s/volume/data/pv2’
mkdir: created directory ‘/root/geek/k8s/volume/data/pv3’
# 暴露服务。
[root@localhost data]# vim /etc/exports
/root/geek/k8s/volume/data/nfs 192.168.142.0/24(rw,no_root_squash)
/root/geek/k8s/volume/data/pv1 192.168.142.0/24(rw,no_root_squash)
/root/geek/k8s/volume/data/pv2 192.168.142.0/24(rw,no_root_squash)
/root/geek/k8s/volume/data/pv3 192.168.142.0/24(rw,no_root_squash)

# 重启服务。
[root@localhost data]# systemctl restart nfs

  • 创建 pv.yaml。
apiVersion: v1
kind: PersistentVolume
metadata:
  name:  pv1
spec:
  capacity: 
    storage: 1Gi
  accessModes:
  - ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
    path: /root/geek/k8s/volume/data/pv1
    server: 192.168.142.150

---

apiVersion: v1
kind: PersistentVolume
metadata:
  name:  pv2
spec:
  capacity: 
    storage: 2Gi
  accessModes:
  - ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
    path: /root/geek/k8s/volume/data/pv2
    server: 192.168.142.150
    
---

apiVersion: v1
kind: PersistentVolume
metadata:
  name:  pv3
spec:
  capacity: 
    storage: 3Gi
  accessModes:
  - ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
    path: /root/geek/k8s/volume/data/pv3
    server: 192.168.142.150
# 创建 pv。
[root@localhost volume]# vim pv.yaml
[root@localhost volume]# kubectl create -f pv.yaml
persistentvolume/pv1 created
persistentvolume/pv2 created
persistentvolume/pv3 created

# 查看 pv。
[root@localhost volume]# kubectl get pv -o wide
NAME   CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS      CLAIM   STORAGECLASS   REASON   AGE   VOLUMEMODE
pv1    1Gi        RWX            Retain           Available                                   27s   Filesystem
pv2    2Gi        RWX            Retain           Available                                   27s   Filesystem
pv3    3Gi        RWX            Retain           Available                                   27s   Filesystem



8.2.2 PVC。

PVC 是资源的申请,用来声明对存储空间、访问模式、存储类别需求信息。下面是资源清单文件。通过 pod 使用 pvc 申请使用 pv 资源。

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pvc
  namespace: dev
spec:
  accessModes: # 访问模式。
  selector: # 采用标签对 PV 选择。
  storageClassName: # 存储类别。
  resources: # 请求空间。
    requests:
      storage: 5Gi

PVC 的关键配置参数说明。

  • 访问模式(accessModes)

用于描述用户应用对存储资源的访问权限。

  • 选择条件(selector)

通过 Label Selector 的设置,可使 PVC 对于系统中己存在的 PV 进行筛选。

  • 存储类别(storageClassName)

PVC 在定义时可以设定需要的后端存储的类别,只有设置了该 class 的 pv 才能被系统选出。

  • 资源请求(Resources )

描述对存储资源的请求。

实验

  • 创建 pvc.yaml,申请 pv。
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pvc1
  namespace: dev
spec:
  accessModes: 
  - ReadWriteMany
  resources:
    requests:
      storage: 1Gi

---

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pvc2
  namespace: dev
spec:
  accessModes: 
  - ReadWriteMany
  resources:
    requests:
      storage: 1Gi

---

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pvc3
  namespace: dev
spec:
  accessModes: 
  - ReadWriteMany
  resources:
    requests:
      storage: 5Gi
# 创建 pvc。
[root@localhost volume]# vim pvc.yaml
[root@localhost volume]# kubectl create -f pvc.yaml
persistentvolumeclaim/pvc1 created
persistentvolumeclaim/pvc2 created
persistentvolumeclaim/pvc3 created

# 查看 pvc。
[root@localhost volume]# kubectl get pvc -n dev -o wide
NAME   STATUS    VOLUME   CAPACITY   ACCESS MODES   STORAGECLASS   AGE   VOLUMEMODE
pvc1   Bound     pv1      1Gi        RWX                           27s   Filesystem
pvc2   Bound     pv2      2Gi        RWX                           26s   Filesystem
pvc3   Pending                                                     26s   Filesystem

# pending ~ 需要 5G,但没有满足要求的。

# 查看 pv。
[root@localhost volume]# kubectl get pv -o wide
NAME   CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS      CLAIM      STORAGECLASS   REASON   AGE   VOLUMEMODE
pv1    1Gi        RWX            Retain           Bound       dev/pvc1                           7m    Filesystem
pv2    2Gi        RWX            Retain           Bound       dev/pvc2                           7m    Filesystem
pv3    3Gi        RWX            Retain           Available                                      7m    Filesystem

  • 创建 pods.yaml,使用 pv。
apiVersion: v1
kind: Pod
metadata:
  name: pod1
  namespace: dev
spec:
  containers:
  - name: busybox
    image: busybox:1.30
    command: ["/bin/sh", "-c", "while true; do echo pod1 >> /root/out.txt;  sleep 10; done;"]
    volumeMounts:
    - name: volume
      mountPath: /root/
  volumes:
    - name: volume
      persistentVolumeClaim:
        claimName: pvc1
        readOnly: false

---

apiVersion: v1
kind: Pod
metadata:
  name: pod2
  namespace: dev
spec:
  containers:
  - name: busybox
    image: busybox:1.30
    command: ["/bin/sh", "-c", "while true; do echo pod2 >> /root/out.txt; sleep 10; done;"]
    volumeMounts:
    - name: volume
      mountPath: /root/
  volumes:
    - name: volume
      persistentVolumeClaim:
        claimName: pvc2
        readOnly: false
# 创建 pod。
[root@localhost volume]# kubectl create -f pods.yaml
pod/pod1 created
pod/pod2 created

# 查看 pod。
[root@localhost volume]# kubectl get pods -n dev -o wide
NAME                                 READY   STATUS    RESTARTS   AGE     IP            NODE                              NOMINATED NODE   READINESS GATES
pod1                                 1/1     Running   0          2m57s   10.244.1.75   localhost.localdomain.k8s.node1   <none>           <none>
pod2                                 1/1     Running   0          2m57s   10.244.2.78   localhost.localdomain.k8s.node2   <none>           <none>


# 查看 pvc。
[root@localhost volume]# kubectl get pvc -n dev -o wide
NAME   STATUS    VOLUME   CAPACITY   ACCESS MODES   STORAGECLASS   AGE     VOLUMEMODE
pvc1   Bound     pv1      1Gi        RWX                           8m15s   Filesystem
pvc2   Bound     pv2      2Gi        RWX                           8m14s   Filesystem
pvc3   Pending                                                     8m14s   Filesystem

# 查看 pv。
[root@localhost volume]# kubectl get pv -n dev -o wide
NAME   CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS      CLAIM      STORAGECLASS   REASON   AGE   VOLUMEMODE
pv1    1Gi        RWX            Retain           Bound       dev/pvc1                           13m   Filesystem
pv2    2Gi        RWX            Retain           Bound       dev/pvc2                           13m   Filesystem
pv3    3Gi        RWX            Retain           Available                                      13m   Filesystem

# 查看 nfs 中的文件存储。
[root@localhost volume]# cat /root/geek/k8s/volume/data/pv1/out.txt
pod1
pod1

[root@localhost volume]# cat /root/geek/k8s/volume/data/pv2/out.txt
pod2
pod2

8.2.3 生命周期。

PVC 和 PV 是一一对应的,PV 和 PVC 之间的相互作用遵循以下生命周期。

  • 资源供应:管理员手动创建底层存储和 PV。

  • 资源绑定:用户创建 PVC,kubernetes 负责根据 PVC 的声明去寻找 PV,并绑定 在用户定义好 PVC 之后,系统将根据 PVC 对存储资源的请求在已存在的 PV 中选择一个满足条件的。

    • 一旦找到,就将该 PV 与用户定义的 PVC 进行绑定,用户的应用就可以使用这个 PVC 了。
    • 如果找不到,PVC 则会无限期处于 Pending 状态,直到等到系统管理员创建了一个符合其要求的 PV。

    PV 一旦绑定到某个 PVC 上,就会被这个 PVC 独占,不能再与其他 PVC 进行绑定了。

  • 资源使用:用户可在 pod 中像 volume 一样使用 pvc。

Pod 使用 Volume 的定义,将 PVC 挂载到容器内的某个路径进行使用。

  • 资源释放:用户删除 pvc 来释放 pv。

当存储资源使用完毕后,用户可以删除 PVC,与该 PVC 绑定的 PV 将会被标记为“已释放”,但还不能立刻与其他 PVC 进行绑定。通过之前 PVC 写入的数据可能还被留在存储设备上,只有在清除之后该 PV 才能再次使用。

  • 资源回收:kubernetes 根据 pv 设置的回收策略进行资源的回收。

对于 PV,管理员可以设定回收策略,用于设置与之绑定的 PVC 释放资源之后如何处理遗留数据的问题。只有 PV 的存储空间完成回收,才能供新的 PVC 绑定和使用。

k8s ~ 数据存储、安全认证、DashBoard。



8.3 配置存储。
8.3.1 ConfigMap。

ConfigMap 是一种比较特殊的存储卷,它的主要作用是用来存储配置信息的。

创建 configmap.yaml,内容如下。

apiVersion: v1
kind: ConfigMap
metadata:
  name: configmap
  namespace: dev
data:
  info: |
    username:admin
    password:123456

接下来,使用此配置文件创建 configmap。

# 创建 configmap。
[root@localhost configmap]# kubectl create -f configmap.yaml
configmap/configmap created

# 查看 configmap 详情。
[root@localhost configmap]# kubectl describe cm configmap -n dev
Name:         configmap
Namespace:    dev
Labels:       <none>
Annotations:  <none>

Data
====
info:
----
username:admin
password:123456

Events:  <none>

接下来创建一个 pod-configmap.yaml,将上面创建的 configmap 挂载进去。

apiVersion: v1
kind: Pod
metadata:
  name: pod-configmap
  namespace: dev
spec:
  containers:
  - name: nginx
    image: nginx:1.17.1
    volumeMounts:  # 将 configmap 挂载到目录。
    - name: config
      mountPath: /configmap/config
  volumes:  # 引用 configmap。
  - name: config
    configMap:
      name: configmap
# 创建 pod。
[root@localhost configmap]# kubectl create -f pod-configmap.yaml
pod/pod-configmap created

# 查看 pod。
[root@localhost configmap]# kubectl get pod pod-configmap -n dev
NAME            READY   STATUS    RESTARTS   AGE
pod-configmap   1/1     Running   0          20s

# 进入容器。
[root@localhost configmap]# kubectl exec -it pod-configmap -n dev /bin/sh
# cd /configmap/config/
# ls
info
# cat info
username:admin
password:123456
#

# 可以看到映射已经成功,每个 configmap 都映射成了一个目录。
# key ---> 文件 value ---> 文件中的内容。
# 此时如果更新 configmap 的内容,容器中的值也会动态更新。

[root@localhost configmap]# kubectl edit cm configmap -n dev
configmap/configmap edited

[root@localhost configmap]# kubectl exec -it pod-configmap -n dev /bin/sh
# cd /configmap/config/
# cat info
username:admin
password:123456789
#



8.3.2 Secret。

在 kubernetes 中,还存在一种和 ConfigMap 非常类似的对象,称为 Secret 对象。它主要用于存储敏感信息,例如密码、秘钥、证书等等。

  • 首先使用 base64对数据进行编码。
# 准备 username。
[root@localhost k8s]# echo -n 'admin' | base64
YWRtaW4=
# 准备 password。
[root@localhost k8s]# echo -n '123456' | base64
MTIzNDU2
  • 接下来编写 secret.yaml,并创建 Secret。
apiVersion: v1
kind: Secret
metadata:
  name: secret
  namespace: dev
type: Opaque
data:
  username: YWRtaW4=
  password: MTIzNDU2
# 创建 secret。
[root@localhost k8s]# vim secret.yaml
[root@localhost k8s]# kubectl create -f secret.yaml
secret/secret created

# 查看 secret 详情。
[root@localhost k8s]# kubectl describe secret secret -n dev
Name:         secret
Namespace:    dev
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  6 bytes
username:  5 bytes
  • 创建 pod-secret.yaml,将上面创建的 secret 挂载进去。
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  namespace: dev
spec:
  containers:
  - name: nginx
    image: nginx:1.17.1
    volumeMounts:  # 将 secret 挂载到目录。
    - name: config
      mountPath: /secret/config
  volumes:
  - name: config
    secret:
      secretName: secret
# 创建 pod。
[root@localhost k8s]# vim pod-secret.yaml
[root@localhost k8s]# kubectl create -f pod-secret.yaml
pod/pod-secret created

# 查看 pod。
[root@localhost k8s]# kubectl get pod pod-secret -n dev
NAME         READY   STATUS              RESTARTS   AGE
pod-secret   0/1     ContainerCreating   0          8s
[root@localhost k8s]# kubectl get pod pod-secret -n dev
NAME         READY   STATUS    RESTARTS   AGE
pod-secret   1/1     Running   0          31s

# 进入容器,查看 secret 信息,发现已经自动解码了。
[root@localhost k8s]# kubectl exec -it pod-secret /bin/sh -n dev
# ls /secret/config/
password  username
# cat /secret/config/username
admin# cat /secret/config/password
123456#

至此,已经实现了利用 secret 实现了信息的编码。



9. 安全认证。

9.1 访问控制概述。

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对 Kubernetes 的各种客户端进行认证和鉴权操作。

客户端

在 Kubernetes 集群中,客户端通常有两类。

  • User Account:一般是独立于 kubernetes 之外的其他服务管理的用户账号。
  • Service Account:kubernetes 管理的账号,用于为 Pod 中的服务进程在访问 Kubernetes 时提供身份标识。

k8s ~ 数据存储、安全认证、DashBoard。
认证、授权与准入控制

ApiServer 是访问及管理资源对象的唯一入口。任何一个请求访问 ApiServer,都要经过下面三个流程。

  • Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
  • Authorization(授权): 判断用户是否有权限对访问的资源执行特定的动作。
  • Admission Control(准入控制):用于补充授权机制以实现更加精细的访问控制功能。

k8s ~ 数据存储、安全认证、DashBoard。



9.2 认证管理。

Kubernetes 集群安全的最关键点在于如何识别并认证客户端身份,ta 提供了 3 种客户端身份认证方式。

  • HTTP Base 认证:通过用户名 + 密码的方式认证。
    这种认证方式是把“用户名:密码”用 BASE64 算法进行编码后的字符串放在 HTTP 请求中的 Header Authorization 域里发送给服务端。服务端收到后进行解码,获取用户名及密码,然后进行用户身份认证的过程。

  • HTTP Token 认证:通过一个 Token 来识别合法用户。
    这种认证方式是用一个很长的难以被模仿的字符串 —— Token 来表明客户身份的一种方式。每个 Token 对应一个用户名,当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token,API Server 接到 Token 后会跟服务器中保存的 token 进行比对,然后进行用户身份认证的过程。

  • HTTPS 证书认证:基于 CA 根证书签名的双向数字证书认证方式。
    这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。

k8s ~ 数据存储、安全认证、DashBoard。
HTTPS 认证大体分为 3 个过程

  • 证书申请和下发。

HTTPS 通信双方的服务器向 CA 机构申请证书,CA 机构下发根证书、服务端证书及私钥给申请者。

  • 客户端和服务端的双向认证。

1> 客户端向服务器端发起请求,服务端下发自己的证书给客户端,
客户端接收到证书后,通过私钥解密证书,在证书中获得服务端的公钥,
客户端利用服务器端的公钥认证证书中的信息,如果一致,则认可这个服务器。

2> 客户端发送自己的证书给服务器端,服务端接收到证书后,通过私钥解密证书,在证书中获得客户端的公钥,并用该公钥认证证书信息,确认客户端是否合法。

  • 服务器端和客户端进行通信。

服务器端和客户端协商好加密方案后,客户端会产生一个随机的秘钥并加密,然后发送到服务器端。
服务器端接收这个秘钥后,双方接下来通信的所有内容都通过该随机秘钥加密。

注意:Kubernetes 允许同时配置多种认证方式,只要其中任意一个方式认证通过即可。



9.3 授权管理。

授权发生在认证成功之后,通过认证就可以知道请求用户是谁, 然后 Kubernetes 会根据事先定义的授权策略来决定用户是否有权限访问,这个过程就称为授权。

每个发送到 ApiServer 的请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等,授权就是根据这些信息和授权策略进行比较,如果符合策略,则认为授权通过,否则会返回错误。

API Server 目前支持以下几种授权策略。

  • AlwaysDeny:表示拒绝所有请求,一般用于测试。

  • AlwaysAllow:允许接收所有请求,相当于集群不需要授权流程(Kubernetes 默认的策略)。

  • ABAC:基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。

  • Webhook:通过调用外部 REST 服务对用户进行授权。

  • Node:是一种专用模式,用于对 kubelet 发出的请求进行访问控制。

  • RBAC:基于角色的访问控制(kubeadm 安装方式下的默认选项)。

RBAC(Role-Based Access Control)基于角色的访问控制,主要是在描述一件事情:给哪些对象授予了哪些权限

其中涉及到了下面几个概念。

  • 对象:User、Groups、ServiceAccount。
  • 角色:代表着一组定义在资源上的可操作动作(权限)的集合。
  • 绑定:将定义好的角色跟用户绑定在一起。

k8s ~ 数据存储、安全认证、DashBoard。
RBAC 引入了 4 个顶级资源对象。

  • Role、ClusterRole:角色,用于指定一组权限。
  • RoleBinding、ClusterRoleBinding:角色绑定,用于将角色(权限)赋予给对象。

Role、ClusterRole

一个角色就是一组权限的集合,这里的权限都是许可形式的(白名单)。

# Role 只能对命名空间内的资源进行授权,需要指定 namesapce。
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: dev
  name: authorization-role
rules:
- apiGroups: [""]  # 支持的 API 组列表,"" 空字符串,表示核心 API 群。
  resources: ["pods"]  # 支持的资源对象列表。
  verbs: ["get", "watch", "list"]  # 允许的对资源对象的操作方法列表。
# ClusterRole 可以对集群范围内资源、跨 namespaces 的范围资源、非资源类型进行授权。
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 name: authorization-clusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

需要详细说明的是,rules 中的参数。

  • apiGroups: 支持的 API 组列表。
"","apps", "autoscaling", "batch"
  • resources:支持的资源对象列表。

“services”, “endpoints”, “pods”,“secrets”,“configmaps”,“crontabs”,“deployments”,“jobs”,“nodes”,“rolebindings”,“clusterroles”,“daemonsets”,“replicasets”,“statefulsets”,“horizontalpodautoscalers”,“replicationcontrollers”,“cronjobs”

  • verbs:对资源对象的操作方法列表。
"get", "list", "watch", "create", "update", "patch", "delete", "exec"

RoleBinding、ClusterRoleBinding

角色绑定用来把一个角色绑定到一个目标对象上,绑定目标可以是 User、Group 或者 ServiceAccount。

# RoleBinding 可以将同一 namespace 中的 subject 绑定到某个 Role 下,则此 subject 即具有该 Role 定义的权限。
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
  namespace: dev
subjects:
- kind: User
  name: geek
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: authorization-role
  apiGroup: rbac.authorization.k8s.io
# ClusterRoleBinding 在整个集群级别和所有 namespaces 将特定的 subject 与 ClusterRole 绑定,授予权限。
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 name: authorization-clusterrole-binding
subjects:
- kind: User
  name: geek
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: authorization-clusterrole
  apiGroup: rbac.authorization.k8s.io

RoleBinding 引用 ClusterRole 进行授权

RoleBinding 可以引用 ClusterRole,对属于同一命名空间内 ClusterRole 定义的资源主体进行授权。

一种很常用的做法就是,集群管理员为集群范围预定义好一组角色(ClusterRole),然后在多个命名空间中重复使用这些 ClusterRole。这样可以大幅提高授权管理工作效率,也使得各个命名空间下的基础性授权规则与使用体验保持一致。

# 虽然 authorization-clusterrole 是一个集群角色,但是因为使用了 RoleBinding。
# 所以 geek 只能读取 dev 命名空间中的资源。
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding-ns
  namespace: dev
subjects:
- kind: User
  name: geek
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: authorization-clusterrole
  apiGroup: rbac.authorization.k8s.io

实战:创建一个只能管理 dev 空间下 Pods 资源的账号

  • 创建账号。
# 1) 创建证书。
[root@localhost k8s]# cd /etc/kubernetes/pki/
[root@localhost pki]# ls
apiserver.crt              apiserver-etcd-client.key  apiserver-kubelet-client.crt  ca.crt  etcd                front-proxy-ca.key      front-proxy-client.key  sa.pub
apiserver-etcd-client.crt  apiserver.key              apiserver-kubelet-client.key  ca.key  front-proxy-ca.crt  front-proxy-client.crt  sa.key
[root@localhost pki]# pwd
/etc/kubernetes/pki
[root@localhost pki]# umask
0022
[root@localhost pki]# umask 077
[root@localhost pki]# umask
0077
[root@localhost pki]# openssl genrsa -out devman.key 2048
Generating RSA private key, 2048 bit long modulus
.................................................................+++
....................+++
e is 65537 (0x10001)

# 2) 用 apiserver 的证书去签署。
# 2-1) 签名申请,申请的用户是 devman,组是 devgroup。
[root@localhost pki]# openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/O=devgroup"

# 2-2) 签署证书。
[root@localhost pki]# openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650
Signature ok
subject=/CN=devman/O=devgroup
Getting CA Private Key

# 3) 设置集群、用户、上下文信息。
[root@localhost pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.142.150:6443
Cluster "kubernetes" set.
[root@localhost pki]# kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key
User "devman" set.
[root@localhost pki]# kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman
Context "devman@kubernetes" created.

# 切换账户到 devman。
[root@localhost pki]# kubectl config use-context devman@kubernetes
Switched to context "devman@kubernetes".

# 查看 dev 下 pod,发现没有权限。
[root@localhost pki]# kubectl get pods -n dev
Error from server (Forbidden): pods is forbidden: User "devman" cannot list resource "pods" in API group "" in the namespace "dev"

# 切换到 admin 账户。
[root@localhost pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".

  • 创建 Role 和 RoleBinding,为 devman 用户授权。
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: dev
  name: dev-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
  namespace: dev
subjects:
- kind: User
  name: devman
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: dev-role
  apiGroup: rbac.authorization.k8s.io
[root@localhost pki]# kubectl create -f dev-role.yaml
role.rbac.authorization.k8s.io/dev-role created
rolebinding.rbac.authorization.k8s.io/authorization-role-binding created

  • 切换账户,再次验证。
# 切换账户到 devman。
[root@localhost pki]# kubectl config use-context devman@kubernetes
Switched to context "devman@kubernetes".

# 再次查看。
[root@localhost pki]# kubectl get pods -n dev
NAME            READY   STATUS    RESTARTS   AGE
pod-configmap   1/1     Running   0          4h29m
pod-secret      1/1     Running   0          52m

# 为了不影响后面的学习,切回 admin 账户。
[root@localhost pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".



9.4 准入控制。

通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。

准入控制是一个可配置的控制器列表,可以通过在 Api-Server 上通过命令行设置选择执行哪些准入控制器。

--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,
                      DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds

只有当所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。

当前可配置的 Admission Control 准入控制如下。

  • AlwaysAdmit:允许所有请求。
  • AlwaysDeny:禁止所有请求,一般用于测试。
  • AlwaysPullImages:在启动容器之前总去下载镜像。
  • DenyExecOnPrivileged:它会拦截所有想在 Privileged Container 上执行命令的请求。
  • ImagePolicyWebhook:这个插件将允许后端的一个 Webhook 程序来完成 admission controller 的功能。
  • Service Account:实现 ServiceAccount 实现了自动化。
  • SecurityContextDeny:这个插件将使用 SecurityContext 的 Pod 中的定义全部失效。
  • ResourceQuota:用于资源配额管理目的,观察所有请求,确保在 namespace 上的配额不会超标。
  • LimitRanger:用于资源限制管理,作用于 namespace 上,确保对 Pod 进行资源限制。
  • InitialResources:为未设置资源请求与限制的 Pod,根据其镜像的历史资源的使用情况进行设置。
  • NamespaceLifecycle:如果尝试在一个不存在的 namespace 中创建资源对象,则该创建请求将被拒绝。当删除一个 namespace 时,系统将会删除该 namespace 中所有对象。
  • DefaultStorageClass:为了实现共享存储的动态供应,为未指定 StorageClass 或 PV 的 PVC 尝试匹配默认的 StorageClass,尽可能减少用户在申请 PVC 时所需了解的后端存储细节。
  • DefaultTolerationSeconds:这个插件为那些没有设置 forgiveness tolerations 并具有 notready:NoExecute 和 unreachable:NoExecute 两种 taints 的 Pod 设置默认的“容忍”时间,为 5min。
  • PodSecurityPolicy:这个插件用于在创建或修改 Pod 时决定是否根据 Pod 的 security context 和可用的 PodSecurityPolicy 对 Pod 的安全策略进行控制。


10. DashBoard。

之前在 kubernetes 中完成的所有操作都是通过命令行工具 kubectl 完成的。其实,为了提供更丰富的用户体验,kubernetes 还开发了一个基于 web 的用户界面(Dashboard)。用户可以使用 Dashboard 部署容器化的应用,还可以监控应用的状态,执行故障排查以及管理 kubernetes 中各种资源。

10.1 部署 Dashboard。

https://github.com/kubernetes/dashboard/releases

https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml

  • 下载 yaml,并运行 Dashboard。
# 下载 yaml。
[root@k8s-master01 ~]# wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml

# 修改 kubernetes-dashboard 的 Service 类型。
kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
spec:
  type: NodePort  # 新增。
  ports:
    - port: 443
      targetPort: 8443
      nodePort: 30009  # 新增。
  selector:
    k8s-app: kubernetes-dashboard

# 部署。
[root@localhost k8s]# kubectl create -f recommended.yaml
namespace/kubernetes-dashboard created
serviceaccount/kubernetes-dashboard created
service/kubernetes-dashboard created
secret/kubernetes-dashboard-certs created
secret/kubernetes-dashboard-csrf created
secret/kubernetes-dashboard-key-holder created
configmap/kubernetes-dashboard-settings created
role.rbac.authorization.k8s.io/kubernetes-dashboard created
clusterrole.rbac.authorization.k8s.io/kubernetes-dashboard created
rolebinding.rbac.authorization.k8s.io/kubernetes-dashboard created
clusterrolebinding.rbac.authorization.k8s.io/kubernetes-dashboard created
error: error validating "recommended.yaml": error validating data: ValidationError(Deployment.spec.template.spec.securityContext): unknown field "seccompProfile" in io.k8s.api.core.v1.PodSecurityContext; if you choose to ignore these errors, turn validation off with --validate=false

[root@localhost k8s]# kubectl create -f recommended.yaml --validate=false
deployment.apps/kubernetes-dashboard created
service/dashboard-metrics-scraper created
deployment.apps/dashboard-metrics-scraper created
Error from server (AlreadyExists): error when creating "recommended.yaml": namespaces "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": serviceaccounts "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": services "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": secrets "kubernetes-dashboard-certs" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": secrets "kubernetes-dashboard-csrf" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": secrets "kubernetes-dashboard-key-holder" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": configmaps "kubernetes-dashboard-settings" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": roles.rbac.authorization.k8s.io "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": clusterroles.rbac.authorization.k8s.io "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": rolebindings.rbac.authorization.k8s.io "kubernetes-dashboard" already exists
Error from server (AlreadyExists): error when creating "recommended.yaml": clusterrolebindings.rbac.authorization.k8s.io "kubernetes-dashboard" already exists

# 查看 namespace 下的 kubernetes-dashboard 下的资源。
[root@localhost k8s]# kubectl get all -n kubernetes-dashboard
NAME                                            READY   STATUS              RESTARTS   AGE
pod/dashboard-metrics-scraper-c79c65bb7-4z9zd   0/1     ContainerCreating   0          24s
pod/kubernetes-dashboard-56484d4c5-qht2n        0/1     ContainerCreating   0          24s

NAME                                TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)         AGE
service/dashboard-metrics-scraper   ClusterIP   10.107.196.164   <none>        8000/TCP        24s
service/kubernetes-dashboard        NodePort    10.108.36.45     <none>        443:30009/TCP   25s

NAME                                        READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/dashboard-metrics-scraper   0/1     1            0           24s
deployment.apps/kubernetes-dashboard        0/1     1            0           24s

NAME                                                  DESIRED   CURRENT   READY   AGE
replicaset.apps/dashboard-metrics-scraper-c79c65bb7   1         1         0       24s
replicaset.apps/kubernetes-dashboard-56484d4c5        1         1         0       24s

  • 创建访问账户,获取 token。
# 创建账号。
[root@localhost k8s]# kubectl create serviceaccount dashboard-admin -n kubernetes-dashboard
serviceaccount/dashboard-admin created


# 授权。
[root@localhost k8s]# kubectl create clusterrolebinding dashboard-admin-rb --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:dashboard-admin
clusterrolebinding.rbac.authorization.k8s.io/dashboard-admin-rb created


# 获取账号 token。
[root@localhost k8s]# kubectl get secrets -n kubernetes-dashboard | grep dashboard-admin
dashboard-admin-token-tq49v        kubernetes.io/service-account-token   3      54s

[root@localhost k8s]# kubectl describe secrets dashboard-admin-token-tq49v -n kubernetes-dashboard
Name:         dashboard-admin-token-tq49v
Namespace:    kubernetes-dashboard
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: dashboard-admin
              kubernetes.io/service-account.uid: 0966eb6c-f380-476c-8c77-e8fce5f03b21

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  20 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IkFrZEc5WTgwNmpNd2tVQ1ktYVdpd2wzTVBfRUNLT1JKdGNWYk5fX2dIdEEifQ.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.nIa5B0GqzcZkKdcih93ulckEw5ArxMGayXa1F9jsR0KIz-34i2l2CL_lgulH36gyQmlC4mpvbJSQClXKKT1UIY_hzGbrQE_dTmrlSJ73xJniTqpYYaImz4QqUxaxS7x-YOdNvPPdY75r8RRScfmsmix09OhAxXXxB5hxOr0yhLzi90m4v0L79yMtStwh_6IX-upSxZr5O4D39VBE7PmcqvaJ8fin1C6mk5UpUW2rQLHbA4oYjttKZpKqmMXO-NP09zDp-HlPAB9Luj9pfVZG_jZfPzQlO1SyI3bzd9MMwTXoprL-CZ2Q0r9Rcxr4vJjexs7bxBz6SOE9njjH6GZMDw

  • 通过浏览器访问 Dashboard 的 UI。

在登录页面上输入上面的 token。

出现下面的页面代表成功。



10.2 使用 DashBoard。

本章节以 Deployment 为例演示 DashBoard 的使用。

查看

选择指定的命名空间 dev,然后点击 Deployments,查看 dev 空间下的所有 deployment。

扩缩容

Deployment 上点击 规模,然后指定 目标副本数量,点击确定。

编辑

Deployment 上点击 编辑,然后修改 yaml 文件,点击确定。

查看 Pod

点击 Pods,查看 pods 列表。

操作 Pod

选中某个 Pod,可以对其执行日志(logs)、进入执行(exec)、编辑、删除操作。

Dashboard 提供了 kubectl 的绝大部分功能,这里不再一一演示。文章来源地址https://www.toymoban.com/news/detail-432522.html

到了这里,关于k8s ~ 数据存储、安全认证、DashBoard。的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 学习笔记三十一:k8s安全管理:认证、授权、准入控制概述SA介绍

    认证基本介绍:kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符

    2024年02月06日
    浏览(38)
  • 云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露

    如上图所示:etcd服务是运行在master节点上的,master节点上查看该服务 默认通过证书认证,主要存放节点的数据,如一些token和证书。 当然,初始安全情况下,该服务是安全的(2379不对外开放,本地可访问),下面三种主要是配置问题 配置文件:/etc/kubernetes/manifests/etcd.yaml 注释

    2024年02月08日
    浏览(61)
  • 第18关 K8s数据安全无忧——持久化存储详解

    ------ 课程视频同步分享在今日头条和B站 大家好,我是博哥爱运维,本期课程将深入解析Kubernetes的持久化存储机制,包括PV、PVC、StorageClass等的工作原理、使用场景、最佳实践等,帮您构建稳定可靠的状态存储,确保应用和数据 100% 安全。 Volume 我们这里先来聊聊K8s的存储模型V

    2024年02月05日
    浏览(49)
  • k8s部署Dashboard

    1.1 安装或关闭以下服务 关闭防火墙等 linux时间校对 docker安装 二进制安装K8S集群-上 二进制安装K8S集群-下 K8S命令补全 1.2 本次安装环境 配置信息 说明 master IP地址 192.168.1.10 linux系统版本 CentOS7.4 内核 ml-3.10.0 K8S版本 1.23.4 2.1 下载 2.2 修改配置文件 2.3 安装 3.1 访问 https://192.16

    2024年02月03日
    浏览(40)
  • k8s dashboard安装

    注意,版本要和k8s版本匹配,具体参考:https://github.com/kubernetes/dashboard/releases 拉镜像: 把刚下载的 recommended.yaml 中443和8443位置所在的Service加一句,如下图: 重新启动生效: 找到所在Node节点: 找到Service的端口: 这里显示是node01,那么在浏览器中的地址就是: https://node0

    2024年02月01日
    浏览(48)
  • Kubernetes Dashboard部署安装 K8S 安装 Dashboard

    目录 Dashboard 官方文档:部署和访问 Kubernetes 仪表板(Dashboard) | Kubernetes 参考文档:(120条消息) K8S 安装 Dashboard_k8s 安装dashboard_tom.ma的博客-CSDN博客 扩展: K8S 安装 Dashboard 1、在 master 节点执行  1.1、下载recommended.yaml(可能需要翻墙才能下载) 1.2、创建 pod 2、查看dashboard是否

    2024年02月11日
    浏览(51)
  • 【3】k8s搭建DashBoard

    目录 1、创建recommended.yaml并写入下列 2、设置访问端口 3、查看要访问的端口 4、创建访问账号 5、获取访问令牌 前言 kubernetes中管理集群中资源的方式通常有四种:命令行、YAML、API和图形界面。其中dashboard是K8s官方的图形界面工具。使用简单,操作方便,能监控node和pod等。

    2024年02月02日
    浏览(38)
  • K8s排错之浏览器打不开K8s Dashboard

    10.0.0.10 通常会使用加密技术来保护您的信息。Chrome 此次尝试连接到 10.0.0.10 时,该网站发回了异常的错误凭据。这可能是因为有攻击者在试图冒充 10.0.0.10,或者 Wi-Fi 登录屏幕中断了此次连接。请放心,您的信息仍然是安全的,因为 Chrome 尚未进行任何数据交换便停止了连接

    2024年02月14日
    浏览(42)
  • k8s搭建(五、k8s可视化管理工具Dashboard配置)

    天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。 k8s搭建文章: k8s搭建(一、k8s环境配置与docker安装) k8s搭建(二、k8s组件安装) k8s搭

    2024年02月03日
    浏览(50)
  • k8s的dashboard无法正常访问

    本场景为使用google浏览器访问vmware搭建的虚拟机 建议使用google浏览器的无痕模式 网页提示信息Client sent an HTTP request to an HTTPS server. 原因: 因为直接使用ip:端口的方式是自动选择http协议 解决方法: 需要加上https,指定用https进行访问 https://ip:端口 如果还是无法访问提示此报

    2024年02月14日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包