济源企业网站建设,会展官方网站建设,如何制作网站后台管理系统,建设局焊工证图样Pod配置管理分类
可变配置就用 ConfigMap#xff1b;敏感信息是用 Secret#xff1b;身份认证是用 ServiceAccount#xff1b;资源配置是用 Resources#xff1b;安全管控是用 SecurityContext#xff1b;前置校验是用 InitContainers。
1、ConfigMap
概念#xff1a;…Pod配置管理分类
可变配置就用 ConfigMap敏感信息是用 Secret身份认证是用 ServiceAccount资源配置是用 Resources安全管控是用 SecurityContext前置校验是用 InitContainers。
1、ConfigMap
概念管理一些可变配置信息比如说配置文件、命令行参数、环境变量、端口号、其他配置绑定到pod的容器和系统组件保障工作负载Pod的可移植性。kubectl get configmapkubectl get configmap [name] -oyamlkubectl describe configmap [name] 可以看到主要的key-valuekubectl create configmap [name] [data]使用 单个、多个configMap定义容器环境变量 env[valueFrom[configMapKeyRef]]键值对配置为容器环境变量 envFrom[configMapRef]添加卷在containers里面添加volumeMounts然后定义Volumes里的configMap 注意要点 configMap 文件的大小。虽然说 ConfigMap 文件没有大小限制但是在 ETCD 里面数据的写入是有大小限制的现在是限制在 1MB 以内pod 引入 ConfigMap 的时候必须是相同的 Namespace 中的 ConfigMapConfigMap.metadata 里面是有 namespace 字段的pod 引用的 ConfigMap。假如这个 ConfigMap 不存在那么这个 pod 是无法创建成功的其实这也表示在创建 pod 前必须先把要引用的 ConfigMap 创建好envFrom 的方式。把 ConfigMap 里面所有的信息导入成环境变量时如果 ConfigMap 里有些 key 是无效的比如 key 的名字里面带有数字那么这个环境变量其实是不会注入容器的它会被忽略。但是这个 pod 本身是可以创建的无效变量记录在事件日志中kubectl get events这里只有通过 K8s api 创建的 pod 才能使用 ConfigMap比如说通过用命令行 kubectl 来创建的 pod肯定是可以使用 ConfigMap 的但其他方式创建的 pod比如说kubelet 通过 manifest 创建的 static pod是不能使用 ConfigMap 的。 kubelet通过 kubelet --pod-manifest-path路径来启动kubelet进程kubelet 定期的去扫描这个目录根据这个目录下出现或消失的 YAML/JSON 文件来创建或删除静态 pod。
[rootnode2 ~]# kubectl describe configmap nacos-cm
Name: nacos-cm
Namespace: default
Labels: none
Annotations: noneDatamysql.db.name:
----
nacos_devtest
mysql.password:
----
nacos
mysql.port:
----
3306
mysql.user:
----
nacos
Events: none2、Secret
概念存储密码、 token、ssh key 等一些敏感信息的资源对象采用 base-64 编码四种类型 第一种是 Opaque它是普通的 Secret 文件, 默认模式第二种是 service-account-token是用于 service-account 身份认证用的 Secret第三种是 dockerconfigjson这是拉取私有仓库镜像的用的一种 Secret第四种是 bootstrap.token是用于节点接入集群校验用的 Secret。 创建模式 用户创建 kubectl create secret generic [name] [data] [type] 系统创建k8s为每个namespace的默认用户创建的Secret 使用方式 环境变量 env[valueFrom[secretKeyRef]] 作为数据卷被挂载 操作模式设置为只读spec.containers.volumeMounts.readOnly true一个pod的每一个容器都需要配置volumeMounts默认挂载的文件权限是0644可以通过defaultMode修改权限
使用私有镜像库 使用案例
定义包含ssh秘钥的Pod创建隐藏文件定义一个句点符号开头的Secret
注意事项
Secret 的文件大小限制。这个跟 ConfigMap 一样也是 1MBSecret 采用了 base-64 编码但是它跟明文也没有太大区别。所以说如果有一些机密信息要用 Secret 来存储的话还是要很慎重考虑。因为如果能够访问这个集群就能拿到这个 Secret。如果是对 Secret 敏感信息要求很高对加密这块有很强的需求推荐可以使用 Kubernetes 和开源的vault做一个解决方案来解决敏感信息的加密和权限管理。Secret 读取的最佳实践建议不要用 list/watch如果用 list/watch 操作的话会把 namespace 下的所有 Secret 全部拉取下来这样暴露了更多的信息。推荐使用 GET 的方法这样只获取需要的那个 Secret。
[rootnode2 ~]# kubectl get secrets registry-secret -oyaml
apiVersion: v1
data:.dockerconfigjson: eyJhdXRocyI6eoJodHRwOi8vMTAuojI1LjEuNTU6ODA4NyI6eyJhdXRoIjoiWVdSdGFXNDZRbWxuWkdGMFlYUmxZVzB4TWpNME5RPT0iLCJwYXNzd29yZCI6IkJpZ2RhdGF0ZWFtMTIzNDUiLCJ1c2VybmFtZSI6ImFkbWluIj19fQ
kind: Secret
metadata:annotations:field.cattle.io/creatorId: user-nskmxfield.cattle.io/projectId: c-5xbj6:p-jxgb9lifecycle.cattle.io/create.secretsController_c-5xbj6: truesecret.user.cattle.io/secret: truecreationTimestamp: 2020-04-24T01:50:21Zname: registry-secretnamespace: defaultresourceVersion: 2436691selfLink: /api/v1/namespaces/default/secrets/registry-secretuid: 8773ca35-22e1-4473-aeda-56376b026b10
type: kubernetes.io/dockerconfigjson3、ServiceAccount
概念解决 pod 在集群里面的身份认证问题 具体的流程 pod 创建的时候会把这个 secret 挂载到容器固定的目录下这是 K8s 功能上实现的。它要把这个 ca.crt 和 token 这两个文件挂载到固定目录下面Go 里面实现 Pod 访问 K8s 集群时一般直接会调一个 InClusterConfig 方法来生成这个访问服务 Client 的一些信息。然后可以看一下最后这个 Config 里面有两部分信息 一个是 tlsClientConfig这个主要是用于 ca.crt 校验服务端第二个是 Bearer Token这个就是 pod 的身份认证。在服务端会利用 token 对 pod 进行一个身份认证。 认证完之后 pod 的身份信息会有两部分一个是 Group一个是 User。身份认证是就是认证这两部分信息。接着可以使用 RBAC 功能对 pod 进行一个授权管理。假如 RBAC 没有配置的话默认的 pod 具有资源 GET 权限就是可以从所属的 K8s 集群里 get 数据。如果是需要更多的权限那么就需要 自行配置 RBAC 。
4、Pod服务质量 种类 Guaranteed pod 里面每个容器都必须有内存和 CPU 的 request 以及 limit 的一个声明且 request 和 limit 必须是一样的这就是 GuaranteedBurstableBurstable 至少有一个容器存在内存和 CPU 的一个 requestBestEffort只要不是 Guaranteed 和 Burstable那就是 BestEffort。 区别节点上 memory 配额资源不足kubelet会把一些低优先级的或者说服务质量要求不高的如BestEffort、Burstablepod 驱逐掉。它们是按照先去除 BestEffort再去除 Burstable 的一个顺序来驱逐 pod 的。
