默认情况下,系统会为每个servcieaccount(sa)创建一个对应的secret,这个secret里包含一个token,一般默认是ca证书。 https://v1-10.docs.kubernetes.io/docs/concepts/configuration/secret/ 文章说可以通过将sa挂载到pod上实现secret的自动挂载,这个地方其实有些问题,缺省自动产生的secret是可以自动被挂载到pod的。但是如果额外为这个sa创建的secret是不能自动挂载到pod上的(因为系统都不知道你要挂到哪里…
[crayon-5f379fb2942df478356810/] 在一个matchexpression部分中的多条件是 AND关系 [crayon-5f379fb2942e2804403789/] 多nodeselectorterm是 或,任意一个匹配即可 [crayon-5f379fb2942e4649167487/] required首先要满足,在同时多个node满足的情况下,使用prefer,preference下只能配置一个matchexpression,如果匹配则给node加weight(因为此时sche…
用来管理pod的一种抽象,一般很少单独创建,多数情况下是deployment来自动创建和维护。 与RC不同的是,RS的selector支持 set-based,而不是RC简单的等于这样的匹配。 RS的spec.selector必须等于spec.template.labels. spec.template中的内容和一个普通的pod 定义无区别,这是没有了API和kind。 RS会根据replicas的设定维护pods的数量,但是RS与pods的唯一关系就是label selector,它甚至不知道被匹配的pod是不是…
环境 k8s版本是1.10.6,当前已经使用手工配置的kubeconfig通过证书方式实现kubelet与API的通信,配置如下: [crayon-5f379fb296a56168178862/] [crayon-5f379fb296a5b520901175/] 在测试环境中,master节点本身也是一个node节点,通过修改相关配置实现master上这个node节点的kubelet实现自动的TLS bootstrapping. Node TLS bootstrapping原理 (首先注意这是Node的TLS的bo…
预先创建相关pv [crayon-5f379fb296ec3148869671/] 执行以下yaml,创建headless servcie,statefulset,系统从statefulset模板中自动创建pvc [crayon-5f379fb296ec6210715831/] 产生的输出效果 [crayon-5f379fb296ec8816942101/] [crayon-5f379fb296ec9048440851/] [crayon-5f379fb296eca751329319/]…
http://blog.51cto.com/ylw6006/2104031 http://blog.51cto.com/ylw6006/2104692
[crayon-5f379fb297485088312567/] [crayon-5f379fb297489156234795/]
测试版本1.10.6 pvc要求1G容量,如果有多个容量不同的符合条件的pv,比如2G,3G. 会自动绑定最接近容量的那个pv。 删除一个已经被绑定的pv后,pvc依旧是bound状态,对应pv一直处于terminating,已经挂载的pod还可以继续用它,但不能被新pod再挂载。删除pvc后,pv一起跟着删除。 删除pvc后,对应的pv进入Released状态,根据reclaiming策略执行对应的动作,包含 retain,delete,recycle三种。默认是retain由管理员手工处理。delete如果对…
Pod的状态阶段 存在以下5个阶段(phase,注意和下面状态情况的差异): [crayon-5f379fb29778a649718413/] Pending 创建pod的请求已经被k8s接受,但是容器并没有启动成功,可能处在:写数据到etcd,调度,pull镜像,启动容器这四个阶段中的任何一个阶段,pending伴随的事件通常会有:ADDED, Modified这两个事件的产生。 Running pod已经绑定到node节点,并且所有的容器已经启动成功,或者至少有一个容器在运行,或者在重启中。 Succeeded…
k8s验证与授权思路综述 相信很多人装k8s都想顺手装个dashboard看看,毕竟GUI有时候还是比较重要的,哈哈。 相信很多人会有同感,那就是一个dashboard搞的那么复杂,不是不能访问,就是不能登录,要么就是没权限。下面通过自己的一点研究,将问题分析过程记录如下,供参考。如有错误,请拍砖留言。 从两个方面来分析,即: 1.dashboard的安装与访问 2.dashboard的身份验证与授权 首先,我们需要有一个共识就是,k8s这套东西非常的解耦和插件化,它为了能够提供更好的二次开发能力,将很多东西搞的从…
Today, let’s talk about Kubernetes private/public keys & certificate authorities! This blog post is about how to take your own requirements about how certificate authorities + private keys should be organized and set up your Kubernetes cluster the way you …
openssl req -new -x509 -set_serial 20180704 -keyout ca1.key -out ca1.pem -days 365 -nodes 用上述命令产生两个 Subject Name一样的CA(提示中输入的信息完全一致),例如CA1, CA2 openssl genrsa -out client1.key 2048 openssl req -new -key client1.key -out client1.csr openssl x509 -req -in client1…
两年了,架构已经改变了不少 The previous step deployed the Istio Pilot, Mixer, Ingress-Controller, and Egress-Controller, and the Istio CA (Certificate Authority). Pilot - Responsible for configuring the Envoy and Mixer at runtime. Envoy - Sidecar proxies per microservice t…
