默认情况下，系统会为每个servcieaccount（sa）创建一个对应的secret，这个secret里包含一个token，一般默认是ca证书。 https://v1-10.docs.kubernetes.io/docs/concepts/configuration/secret/ 文章说可以通过将sa挂载到pod上实现secret的自动挂载，这个地方其实有些问题，缺省自动产生的secret是可以自动被挂载到pod的。但是如果额外为这个sa创建的secret是不能自动挂载到pod上的（因为系统都不知道你要挂到哪里…

环境 k8s版本是1.10.6，当前已经使用手工配置的kubeconfig通过证书方式实现kubelet与API的通信，配置如下： [crayon-5f9b2b1ca4325323396401/] [crayon-5f9b2b1ca4328059561627/] 在测试环境中，master节点本身也是一个node节点，通过修改相关配置实现master上这个node节点的kubelet实现自动的TLS bootstrapping. Node TLS bootstrapping原理 (首先注意这是Node的TLS的bo…

[title]证书准备工作[/title] [crayon-5f9b2b1ca45b8572095191/] [title]所有服务的配置脚本[/title]       上述配置主要是希望实现kubelet能够通过bootstrap自动获取到证书，并通过证书与APIserver通信，从实际结果看，kubelet没有自动申请csr，在master上无法get到相关csr请求。有待查找问题。但整体配置不影响使用。 另，节点部分看上去其实可以保持使用非SSL配置方式，即保留Kubernet…

前言 kubernetes 1.6.7已经废弃kube2sky的dns模式. 本测试使用官方的yaml文件创建。下图描述了kube-dns的组件结构： （exechealthz-->sidecar) kubedns 接管了以前的skydns，并使用一个树状结构保存从k8s API获取到的信息。 dnsmasq为dns pod提供解析接入服务，并作为一个dns cache保护kubedns。 sidecar执行域名检查监控kubedns和 dnsmasq是否正常提供解析： [crayon-5f9b2b1ca47…

[crayon-5f9b2b1ca4b97484124852/] [crayon-5f9b2b1ca4b9a135532415/] [crayon-5f9b2b1ca4b9b248293228/] [crayon-5f9b2b1ca4b9d174913218/]

准备工作 为了学习以及理解k8s各个模块组件间关系，没有使用yum来安装，也没有使用kubeadm来做建立集群。采用全手工安装和配置方式,为了简化安装过程，集群内未使用证书来实现安全的接口通信。 环境 三台主机 172.16.199.17/24  Master 172.16.199.27/24 node 172.16.199.37/24 node 所有机器上都已安装好 docker，三机构成etcd集群，全部安装了flannel网络 系统版本Centos7 Master安装：