从零开始的云计算生活——第四十八天,自强不息,kubernetes模块之Job,NetworkPolicy与RBAC认证中心

原创 于 2025-08-21 19:57:17 发布 · 644 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云计算 #生活 #kubernetes

目录

一.故事背景

二.Job & Cronjob

1.Job & Cronjob介绍

1、Job

2、Cronjob

2. 配置解读

1、Job配置

2、Cronjob配置

3. 演练

1、Job

1.1、创建job

1.2、查看job pod生命周期

1.3、查看job详细信息

1.4、查看job运行结果

2、Cronjob

2.1、创建Cronjob

2.2、查看Cronjob详情

2.3、查看pod生命周期

2.4、查看运行结果

三.NetworkPolicy

1. 概述

1、什么是NetworkPolicy?

2、NetworkPolicy的基本原理

2. NetworkPolicy资源清单

3. NetworkPolicy的示例

示例一:允许相同Namespace下的Pod通信

示例二:限制外部访问

示例三:指定端口范围

示例四、限制其他命名空间中的pod访问podSelector匹配到的pod

示例五、只访问外部网络和同命名空间下的pod

4. NetworkPolicy的高级用法(了解)

1、网络策略的继承

2、高级Peer Pod选择器匹配

四. RBAC认证中心

1. k8s安全管理:认证、授权、准入控制概述

1.1 认证

1.2 授权

2. ServiceAccount介绍

3. RBAC认证授权策略

3.1 Role:角色

3.2 ClusterRole:集群角色

3.3 RoleBinding:角色绑定、ClusterRolebinding:集群角色绑定

4. 资源的引用方式

5. 常见角色示例

6. 常见的角色绑定示例

7. 对Service Account的授权管理

8. 使用kubectl命令行工具创建资源对象

9. 限制不同的用户操作k8s集群

(1)生成一个私钥

(2)生成一个证书请求

(3)生成一个证书

a. 把lucky这个用户添加到kubernetes集群中,可以用来认证apiserver的连接

b. 在kubeconfig下新增加一个lucky这个账号

c. 切换账号到lucky,默认没有任何权限

(1)把lucky这个用户通过rolebinding绑定到clusterrole上

(2)切换到lucky这个用户

(3)测试是否有权限

添加一个lucky的普通用户

五.总结

一.故事背景

今日继续深入,了解job和networkpolicy两个模块

二.Job & Cronjob

1.Job & Cronjob介绍

1、Job

Job 会创建一个或者多个 Pod,并将继续重试 Pod 的执行,直到指定数量的 Pod 成功终止。 随着 Pod 成功结束,Job 跟踪记录成功完成的 Pod 个数。 当数量达到指定的成功个数阈值时,任务(即 Job)结束。 删除 Job 的操作会清除所创建的全部 Pod。 挂起 Job 的操作会删除 Job 的所有活跃 Pod,直到 Job 被再次恢复执行。

一种简单的使用场景下,你会创建一个 Job 对象以便以一种可靠的方式运行某 Pod 直到完成。 当第一个 Pod 失败或者被删除(比如因为节点硬件失效或者重启)时,Job 对象会启动一个新的 Pod。

你也可以使用 Job 以并行的方式运行多个 Pod。

2、Cronjob

CronJob 创建基于时隔重复调度的 Job。

CronJob 用于执行排期操作,例如备份、生成报告等。 一个 CronJob 对象就像 Unix 系统上的 crontab(cron table)文件中的一行。 它用 Cron 格式进行编写, 并周期性地在给定的调度时间执行 Job。

2. 配置解读

1、Job配置

apiVersion: batch/v1		## api版本
kind: Job					## 资源类型
metadata:					## 元数据
  name: pi					## 资源名称
  namespace: default		## 命名空间
spec:						## 详情
  backoffLimit: 4			## 最大失败次数
  completions: 1			## 要求完成的次数
  parallelism: 1			## 并发数量
  activeDeadlineSeconds: 100		## 最大运行时间
  ttlSecondsAfterFinished: 20		## ttl时间
  template:							## Pod配置模板
    spec:							## 规约
      containers:					## 容器信息
      - name: pi					## 容器名称
        image: perl:5.34.0			## 镜像
        command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]	## 容器运行命令
        imagePullPolicy: IfNotPresent
      restartPolicy: Never			## 重启策略

2、Cronjob配置

apiVersion: batch/v1    	## api版本
kind: CronJob				## 资源类型
metadata:					## 元数据
  name: hello				## 资源名称
  namespace: default		## 命名空间
spec:						## 详情
  schedule: "* * * * *"		## 定时配置
  successfulJobsHistoryLimit: 3		## 保留运行完成pod的历史数量
  jobTemplate:				## job配置模板
    spec:					## job详细配置
      template:				## pod配置模板
        spec:				## pod详细配置
          containers:		## 容器配置
          - name: hello		## 容器名称
            image: busybox:1.28		## 容器镜像
            imagePullPolicy: IfNotPresent		## 镜像拉取策略
            command:				## 镜像启动运行命令
            - /bin/sh				
            - -c
            - date; echo Hello from the Kubernetes cluster
          restartPolicy: OnFailure	## 重启策略

重启策略 restartPolicy

Never:当 Pod 失败时,Job 控制器会启动一个新的 Pod

OnFailure:Pod 继续留在当前节点,但容器会被重新运行

3. 演练

1、Job

1.1、创建job
apiVersion: batch/v1		## api版本
kind: Job					## 资源类型
metadata:					## 元数据
  name: pi					## 资源名称
  namespace: default		## 命名空间
spec:						## 详情
  backoffLimit: 4			## 最大失败次数
  completions: 1			## 要求完成的次数
  parallelism: 1			## 并发数量
  activeDeadlineSeconds: 100		## 最大运行时间
  ttlSecondsAfterFinished: 20		## ttl时间
  template:							## Pod配置模板
    spec:							## 规约
      containers:					## 容器信息
      - name: pi					## 容器名称
        image: perl:5.34.0			## 镜像
        command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]	## 容器运行命令
        imagePullPolicy: IfNotPresent
      restartPolicy: Never			## 重启策略

1.2、查看job pod生命周期

1.3、查看job详细信息

1.4、查看job运行结果

2、Cronjob

2.1、创建Cronjob
apiVersion: batch/v1    	## api版本
kind: CronJob				## 资源类型
metadata:					## 元数据
  name: hello				## 资源名称
  namespace: default		## 命名空间
spec:						## 详情
  schedule: "* * * * *"		## 定时配置
  successfulJobsHistoryLimit: 3		## 保留运行完成pod的历史数量
  jobTemplate:				## job配置模板
    spec:					## job详细配置
      template:				## pod配置模板
        spec:				## pod详细配置
          containers:		## 容器配置
          - name: hello		## 容器名称
            image: busybox:1.28		## 容器镜像
            imagePullPolicy: IfNotPresent		## 镜像拉取策略
            command:				## 镜像启动运行命令
            - /bin/sh				
            - -c
            - date; echo Hello from the Kubernetes cluster
          restartPolicy: OnFailure	## 重启策略

2.2、查看Cronjob详情

2.3、查看pod生命周期

历史保留设置为3,在3个创建完成后,新创建会将之前的覆盖,然后只显示3个

2.4、查看运行结果

三.NetworkPolicy

1. 概述

在Kubernetes中,NetworkPolicy是一项关键功能,它允许开发者定义和控制Pod之间的网络通信。本文将深入研究Kubernetes中的NetworkPolicy,详细介绍其原理、用途,并通过实际示例演示如何使用NetworkPolicy来确保集群中的网络安全。

1、什么是NetworkPolicy?

NetworkPolicy是Kubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。这种细粒度的网络控制有助于提高集群的安全性,防止未经授权的访问和通信。

2、NetworkPolicy的基本原理

NetworkPolicy的工作原理基于以下几个核心概念:

  1. Pod选择器(PodSelector)& namespaceSelector:NetworkPolicy使用标签选择器来选择特定的Pod。通过标签,可以将网络策略应用于特定的Pod群体。

  2. Ingress规则:定义了允许从其他Pod进入被选中Pod的规则,包括允许的协议、端口范围等。

  3. Egress规则:定义了允许被选中Pod访问其他Pod或外部网络的规则。

  4. Peer Pod:NetworkPolicy中的规则是基于Peer Pod(对等Pod)的。通过选择Peer Pod,可以精确定义通信策略。

2. NetworkPolicy资源清单

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend  #选择带有 app=backend 标签的 Pod 作为目标 Pod
  ingress:  #入站
    - from:
        - podSelector:
            matchLabels:
              app: frontend  # 允许带有 app=frontend 标签的 Pod 访问目标 Pod
        - ipBlock:
            cidr: 192.168.1.0/24  # 允许来自 192.168.1.0/24 网段的流量访问目标 Pod
      ports:
        - protocol: TCP
          port: 8080  # 只允许访问目标 Pod 的 8080 端口
  egress:  #出站
    - to:
        - podSelector:
            matchLabels:
              app: database  # 允许目标 Pod 访问带有 app=database 标签的 Pod
      ports:
        - protocol: TCP
          port: 3306  #目标 Pod 访问其他 Pod 时只允许使用 3306 端口

3. NetworkPolicy的示例

创建两个命名空间myns1和myns2

myns1

apiVersion: v1
kind: Pod
metadata:
  name: pod-test1
  labels:
    app: alpine
  namespace: myns1
spec:
  containers:
  - name: alpine
    image: alpine:latest
    imagePullPolicy: IfNotPresent
    command: ["tail", "-f", "/dev/null"]

myns2

apiVersion: v1
kind: Pod
metadata:
  name: pod-test1
  labels:
    app: alpine
  namespace: myns2
spec:
  containers:
  - name: alpine
    image: alpine:latest
    imagePullPolicy: IfNotPresent
    command: ["tail", "-f", "/dev/null"]

示例一:允许相同Namespace下的Pod通信

【注意】提前给命名空间设置labels

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-same-namespace
spec:
  podSelector:
    matchLabels:
      app: myapp
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - namespaceSelector:   
        matchLabels:
          project: myproject
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          project: myproject

在上述清单文件中,我们创建了一个名为"allow-same-namespace"的NetworkPolicy,指定了Pod选择器为app: myapp。该策略允许来自同一命名空间下标签为project: myproject的Pod的Ingress和Egress通信。

示例二:限制外部访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-external-traffic
spec:
  podSelector:
    matchLabels:
      app: sensitive-app
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector: {}
  egress:
  - to:
    - podSelector: {}

在这个示例中,我们创建了一个名为"deny-external-traffic"的NetworkPolicy,限制了标签为app: sensitive-app的Pod的Ingress和Egress。该策略允许Pod之间的通信,但不允许访问任何外部网络。

示例三:指定端口范围

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-specific-ports
spec:
  podSelector:
    matchLabels:
      app: frontend
  ingress:
  - ports:
    - protocol: TCP
      port: 80
    - protoc
最低0.47元/天 解锁文章
从零开始学习K8s系列——Kubernetes指南
AI天才研究院
07-31 1947
Kubernetes(简称k8s)是一个开源的,用于自动部署、扩展和管理容器化的应用的平台。服务发现和负载均衡:Kubernetes集群中的服务能够自动地寻找其他运行着的服务并进行负载均衡。存储编排:Kubernetes允许用户声明性地请求持久化存储,这样就不需要运维人员手动配置存储。自我修复:当节点发生故障时,Kubernetes会在另一个可用节点上重建Pod。自动扩容:Kubernetes可以自动地根据CPU、内存或其他资源的使用情况来扩展集群中的节点。
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析应用实战
热门推荐
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
k8s - 安全认证(RBAC
栋院
03-18 3157
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s安全框架RBAC
qq_73797346的博客
11-04 1073
介绍K8S的RBAC,和丰富的授权案例。 以及dashboard组件如何部署授权
k8s:RBAC
m0_50434960的博客
03-12 596
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8s安全管理持久化存储实战指南
2503_91960880的博客
08-21 799
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;认证->授权->准入控制(admination controller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s中的资源无非是容器,最终其实就是容器的计算,网络,存储资源,当一个请求经过认证后,需要访问某一个资源(比如创建一个pod),授权检查会根据授权规则判定该资源(比如某namespace下的pod)是否是该客户可访问的。
k8s rbac
SHELLCODE_8BIT的博客
03-10 2153
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
从零开始云计算生活——第四十二,持之以恒,kubernetes模块之kubectl管理工具
Britz_Kevin的博客
08-13 1069
Kubernetes 支持多个虚拟集群,它们底层依赖于同一个物理集群。这些虚拟集群被称为命名空间。命名空间namespace是k8s集群级别的资源,可以给不同的用户、租户、环境或项目创建对应的命名空间,例如,可以为test、devlopment、production、deployment环境分别创建各自的命名空间。本节内容介绍了有关kubectl命令的使用方法和命令介绍,初步掌握了命令空间的使用,后续会继续补充新内容。
精选资源
Kubernetes CKA认证 1.29 题库
12-09
涵盖的主题包括:权限控制(RBAC)、部署(deployment)扩容、NetworkPolicy配置、Service和Ingress的创建、Pod调度、节点维护、PV/PVC的使用、日志管理等Kubernetes高级操作技能。 适合人群:即将参加 Kubernetes CKA ...
Kubernetes集群从零开始搭建全生命周期管理实战指南_详细步骤高可用架构设计网络插件配置存储方案集成安全策略实施监控日志系统部署自动化运维工具链故障排查手册.zip
最新发布
12-04
本文将详细介绍从零开始搭建Kubernetes集群的全过程,同时深入探讨集群的全生命周期管理。全生命周期管理包括集群的部署、监控、维护、扩展、安全策略实施以及故障排查等多个方面。 在搭建Kubernetes集群之前,首先...
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1264
在K8s上的RBAC设计和实现方式说明
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2965
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
k8s-RBAC
kxq的博客
12-22 702
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
k8s之RBAC
weixin_39246554的博客
02-06 1290
k8s
K8s系列之:KubernetesRBAC (Role-Based Access Control)
zhengzaifeidelushang的博客
07-06 216
K8s系列之:KubernetesRBAC (Role-Based Access Control)
k8s之RBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1763
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 1157
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
【k8s系列】RBAC
yunqi1215的博客
04-10 169
rbac
K8s—使用 RBAC 鉴权
Yuanshigou9的博客
12-30 961
K8s:Role、ClusterRole、RoleBinding、ClusterRoleBinding
HCIP容器云计算培训:Kubernetes核心技术实践
本文件《HCIP-Cloud Computing-Container V1.0培训PPT和实验指导手册汇总集.rar》是一套系统性极强的云计算容器技术高级培训资料,涵盖从容器基础概念到Kubernetes企业级平台深度应用的完整知识体系。该资料不仅适用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值