K8S 集群安全设置

最新推荐文章于 2025-04-01 09:27:37 发布
最新推荐文章于 2025-04-01 09:27:37 发布
阅读量1.3k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liao__ran/article/details/104828550


集群的安全设置
kubectl同时支持CA双向认证和基于HTTP Base,Token简单认证模式与API Server通信,其他客户端只能配置CA双向安全认证或非安全模式与API Server通信

1.基于CA签名的双向数字证书认证方式
1.1.设置kube-apiserver的CA证书相关的文件和启动参数
[root@kubernetes ~]# mkdir -p /var/lib/kubernetes
[root@kubernetes ~]# cd /var/lib/kubernetes/
[root@kubernetes kubernetes]# openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
.............................+++
........+++
e is 65537 (0x10001)
[root@kubernetes kubernetes]# openssl req -x509 -new -nodes -key ca.key -subj "/CN=kubernetes" -days 5000 -out ca.crt
[root@kubernetes kubernetes]# openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
....................................+++
.................+++
e is 65537 (0x10001)
[root@kubernetes kubernetes]# ls
ca.crt  ca.key  server.key
[root@kubernetes kubernetes]# vi master_ssl.cnf
[root@kubernetes kubernetes]# cat  master_ssl.cnf
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = k8s-master
IP.1 = 169.169.0.1
IP.2 = 192.168.73.100
[root@kubernetes kubernetes]# openssl req -new -key server.key -subj "/CN=kubernetes" -config master_ssl.cnf -out server.csr
[root@kubernetes kubernetes]# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt
Signature ok
subject=/CN=kubernetes
Getting CA Private Key
[root@kubernetes kubernetes]#

设置kube-apiserver的三个启动参数
--client-ca-file=/var/lib/kubernetes/ca.crt
--tls-private-key-file=/var/lib/kubernetes/server.key
--tls-cert-file=/var/lib/kubernetes/server.crt

关闭非安全端口,开启安全端口6443
--insecure-port=0
--secure-port=6443

[root@kubernetes kubernetes]# cp /etc/kubernetes/apiserver /etc/kubernetes/apiserver.bak
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# vi /etc/kubernetes/apiserver
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# cat  /etc/kubernetes/apiserver
    KUBE_API_ARGS=" \
--etcd-servers=http://127.0.0.1:2379 \
--insecure-bind-address=0.0.0.0 \
--insecure-port=0 \
--service-cluster-ip-range=169.169.0.0/16 \
--service-node-port-range=1-65535 \
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,DefaultStorageClass,DefaultTolerationSeconds,ValidatingAdmissionWebhook,ResourceQuota \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=0 \
--client-ca-file=/var/lib/kubernetes/ca.crt \
--tls-private-key-file=/var/lib/kubernetes/server.key \
--tls-cert-file=/var/lib/kubernetes/server.crt \
--secure-port=6443"

[root@kubernetes kubernetes]# systemctl restart kube-apiserver
[root@kubernetes kubernetes]# systemctl status kube-apiserver

1.2.设置kube-controller-manager的客户端证书,私钥和启动参数
[root@kubernetes kubernetes]# openssl genrsa -out cs_client.key 2048
Generating RSA private key, 2048 bit long modulus
.................................................................+++
....................+++
e is 65537 (0x10001)
[root@kubernetes kubernetes]# openssl req -new -key cs_client.key -subj "/CN=kubernetes" -out cs_client.csr
[root@kubernetes kubernetes]#  openssl x509 -req -in cs_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out cs_client.crt -days 5000
Signature ok
subject=/CN=kubernetes
Getting CA Private Key
[root@kubernetes kubernetes]# ls
ca.crt  ca.srl         cs_client.csr  master_ssl.cnf  server.csr
ca.key  cs_client.crt  cs_client.key  server.crt      server.key
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# cp /etc/kubernetes/kubeconfig /etc/kubernetes/kubeconfig.bak
[root@kubernetes kubernetes]# vim /etc/kubernetes/kubeconfig
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# cat  /etc/kubernetes/kubeconfig
Version: v1
kind: Config
users:
- name: controllermanager
  user:
    client-certificate: /var/lib/kubernetes/cs_client.crt
    client-key: /var/lib/kubernetes/cs_client.key
clusters:
- name: local
  cluster:
    certificate-authority: /var/lib/kubernetes/ca.crt
    server: http://192.168.73.100:6443
contexts:
- context:
    cluster: local
    user: controllermanager
  name: my-context
current-context: my-context

设置kube-controller-manager服务的启动参数
添加--service这个证书会报错,暂使用--service-account-private-key-file代替
--service-account-key-file=/var/lib/kubernetes/server.key
--root-ca-file=/var/lib/kubernetes/ca.crt
--kubeconfig=/etc/kubernetes/kubeconfig

[root@kubernetes kubernetes]# cp /etc/kubernetes/controller-manager /etc/kubernetes/controller-manager.bak
[root@kubernetes kubernetes]# vim /etc/kubernetes/controller-manager
[root@kubernetes kubernetes]# cat  /etc/kubernetes/controller-manager
    KUBE_CONTROLLER_MANAGER_ARGS="--kubeconfig=/etc/kubernetes/kubeconfig \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=0 \
--service-account-private-key-file=/var/lib/kubernetes/server.key \
--root-ca-file=/var/lib/kubernetes/ca.crt"

[root@kubernetes kubernetes]# systemctl restart kube-controller-manager
[root@kubernetes kubernetes]# systemctl status kube-controller-manager

1.3.设置kube-scheduler的启动参数
--kubeconfig=/etc/kubernetes/kubeconfig
原配置文件有该参数,直接重启kube-scheduler服务
[root@kubernetes kubernetes]# systemctl restart kube-scheduler
[root@kubernetes kubernetes]# systemctl status kube-scheduler

1.4.设置每个node上kubelet的客户端证书,私钥和启动参数
在每个node上创建文件夹来放置证书

1.4.1.master
node1和node2上创建/var/lib/kubernetes文件夹,并传文件到各node的该文件夹里面
[root@kubernetes-node1 ~]# mkdir /var/lib/kubernetes
[root@kubernetes-node2 ~]# mkdir /var/lib/kubernetes
[root@kubernetes kubernetes]# scp ca.crt ca.key 192.168.73.101:/var/lib/kubernetes/
root@192.168.73.101's password: 
ca.crt                                                                                                                                         100% 1099   873.2KB/s   00:00    
ca.key                                                                                                                                         100% 1679     1.4MB/s   00:00    
[root@kubernetes kubernetes]# scp ca.crt ca.key 192.168.73.102:/var/lib/kubernetes/
root@192.168.73.102's password: 
ca.crt                                                                                                                                         100% 1099   415.6KB/s   00:00    
ca.key                                                                                                                                         100% 1679     1.2MB/s   00:00    
[root@kubernetes kubernetes]# 

master上创建证书
[root@kubernetes kubernetes]# openssl genrsa -out kubelet_client.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
..................................................................................................................................................................+++
e is 65537 (0x10001)
[root@kubernetes kubernetes]# openssl req -new -key kubelet_client.key -subj "/CN=192.168.73.100" -out kubelet_client.csr
[root@kubernetes kubernetes]# openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000
Signature ok
subject=/CN=192.168.73.100
Getting CA Private Key
[root@kubernetes kubernetes]# vim /etc/kubernetes/kubeconfigbak
[root@kubernetes kubernetes]# cat /etc/kubernetes/kubeconfigbak
apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /var/lib/kubernetes/kubelet_client.crt
    client-key: /var/lib/kubernetes/kubelet_client.key
clusters:
- name: local
  cluster:
    certificate-authority: /var/lib/kubernetes/ca.crt
    server: http://192.168.73.100:6443
contexts:
- context:
    cluster: local
    user: kubelet
  name: my-context
current-context: my-context

设置kubelet启动参数
--kubeconfig=/etc/kubernetes/kubeconfigbak

[root@kubernetes kubernetes]# vi /etc/kubernetes/kubelet 
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# 
[root@kubernetes kubernetes]# cat  /etc/kubernetes/kubelet 
    KUBELET_ARGS="--kubeconfig=/etc/kubernetes/kubeconfigbak \
--hostname-override=192.168.73.100 \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=0"
[root@kubernetes kubernetes]# systemctl restart kubelet
[root@kubernetes kubernetes]# systemctl status kubelet

设置kube-proxy启动参数
--kubeconfig=/etc/kubernetes/kubeconfigbak

[root@kubernetes kubernetes]# vi /etc/kubernetes/proxy 
[root@kubernetes kubernetes]# cat /etc/kubernetes/proxy 
    KUBE_PROXY_ARGS="--kubeconfig=/etc/kubernetes/kubeconfigbak \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=2"
[root@kubernetes kubernetes]# systemctl restart kube-proxy
[root@kubernetes kubernetes]# systemctl status kube-proxy

1.4.2.node1
[root@kubernetes-node1 ~]# cd /var/lib/kubernetes/
[root@kubernetes-node1 kubernetes]# ls
ca.crt  ca.key
[root@kubernetes-node1 kubernetes]# openssl genrsa -out kubelet_client.key 2048
Generating RSA private key, 2048 bit long modulus
................................+++
..................+++
e is 65537 (0x10001)
[root@kubernetes-node1 kubernetes]# openssl req -new -key kubelet_client.key -subj "/CN=192.168.73.101" -out kubelet_client.csr
[root@kubernetes-node1 kubernetes]# openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000
Signature ok
subject=/CN=192.168.73.101
Getting CA Private Key
[root@kubernetes-node1 kubernetes]# cp /etc/kubernetes/kubeconfig /etc/kubernetes/kubeconfig.bak
[root@kubernetes-node1 kubernetes]# vi /etc/kubernetes/kubeconfig
[root@kubernetes-node1 kubernetes]# cat /etc/kubernetes/kubeconfig
apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /var/lib/kubernetes/kubelet_client.crt
    client-key: /var/lib/kubernetes/kubelet_client.key
clusters:
- name: local
  cluster:
    certificate-authority: /var/lib/kubernetes/ca.crt
    server: http://192.168.73.100:6443
contexts:
- context:
    cluster: local
    user: kubelet
  name: my-context
current-context: my-context

设置kubelet启动参数
--kubeconfig=/etc/kubernetes/kubeconfig
原kubelet配置文件有此参数,直接重启kubelet服务
[root@kubernetes-node1 kubernetes]# systemctl restart kubelet
[root@kubernetes-node1 kubernetes]# systemctl status kubelet

设置kube-proxy启动参数
--kubeconfig=/etc/kubernetes/kubeconfig
原proxy配置文件有此参数,直接重启proxy服务
[root@kubernetes-node1 kubernetes]# systemctl restart kube-proxy
[root@kubernetes-node1 kubernetes]# systemctl status kube-proxy

1.4.3.node2
[root@kubernetes-node2 ~]# cd /var/lib/kubernetes/
[root@kubernetes-node2 kubernetes]# openssl genrsa -out kubelet_client.key 2048
Generating RSA private key, 2048 bit long modulus
...+++
...................................+++
e is 65537 (0x10001)
[root@kubernetes-node2 kubernetes]# openssl req -new -key kubelet_client.key -subj "/CN=192.168.73.102" -out kubelet_client.csr
[root@kubernetes-node2 kubernetes]# openssl x509 -req -in kubelet_client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubelet_client.crt -days 5000
Signature ok
subject=/CN=192.168.73.102
Getting CA Private Key
[root@kubernetes-node2 kubernetes]# cp /etc/kubernetes/kubeconfig /etc/kubernetes/kubeconfig.bak
[root@kubernetes-node2 kubernetes]# vi /etc/kubernetes/kubeconfig
[root@kubernetes-node2 kubernetes]# 
[root@kubernetes-node2 kubernetes]# 
[root@kubernetes-node2 kubernetes]# cat /etc/kubernetes/kubeconfig
apiVersion: v1
kind: Config
users:
- name: kubelet
  user:
    client-certificate: /var/lib/kubernetes/kubelet_client.crt
    client-key: /var/lib/kubernetes/kubelet_client.key
clusters:
- name: local
  cluster:
    certificate-authority: /var/lib/kubernetes/ca.crt
    server: http://192.168.73.100:6443
contexts:
- context:
    cluster: local
    user: kubelet
  name: my-context
current-context: my-context
[root@kubernetes-node2 kubernetes]# 
[root@kubernetes-node2 kubernetes]# systemctl restart kubelet
[root@kubernetes-node2 kubernetes]# systemctl status kubelet

[root@kubernetes-node2 kubernetes]# systemctl restart kube-proxy
[root@kubernetes-node2 kubernetes]# systemctl status kube-proxy

 

 


1.5.设置kubectl客户端使用安全访问API Server
安全访问需要带上安全参数,如下
--certificate-authority :使用为kube-apiserver生成的ca.crt文件
--client-certificate : 使用为kube-controller-manager生成的cs_client.crt文件
--client-key :使用为kube-controller-manager生成的cs_client.key文件

示例:
kubectl --server=https://192.168.73.100:6443 \
--certificate-authority=/var/lib/kubernetes/ca.crt \
--client-certificate=/var/lib/kubernetes/cs_client.crt \
--client-key=/var/lib/kubernetes/cs_client.key \
get nodes

[root@kubernetes kubernetes]# kubectl --server=https://192.168.73.100:6443 --certificate-authority=/var/lib/kubernetes/ca.crt --client-certificate=/var/lib/kubernetes/cs_client.crt --client-key=/var/lib/kubernetes/cs_client.key get nodes
NAME             STATUS   ROLES    AGE   VERSION
192.168.73.100   Ready    <none>   22h   v1.17.3
192.168.73.101   Ready    <none>   22h   v1.17.3
192.168.73.102   Ready    <none>   21h   v1.17.3


2.0基于HTTP Base认证配置过程
创建用户名,密码,UID文件
[root@kubernetes kubernetes]# cd /etc/kubernetes/
[root@kubernetes kubernetes]# vim basic_auth_file
[root@kubernetes kubernetes]# cat  basic_auth_file
admin,admin,1
system,system,2

设置apiserver启动参数
--basic-auth-file=/etc/kubernetes/basic_auth_file

[root@kubernetes kubernetes]# vi /etc/kubernetes/apiserver
[root@kubernetes kubernetes]# cat  /etc/kubernetes/apiserver
    KUBE_API_ARGS=" \
--etcd-servers=http://127.0.0.1:2379 \
--insecure-bind-address=0.0.0.0 \
--insecure-port=0 \
--service-cluster-ip-range=169.169.0.0/16 \
--service-node-port-range=1-65535 \
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,DefaultStorageClass,DefaultTolerationSeconds,ValidatingAdmissionWebhook,ResourceQuota \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=0 \
--client-ca-file=/var/lib/kubernetes/ca.crt \
--tls-private-key-file=/var/lib/kubernetes/server.key \
--tls-cert-file=/var/lib/kubernetes/server.crt \
--secure-port=6443 \
--basic-auth-file=/etc/kubernetes/basic_auth_file"

[root@kubernetes kubernetes]# systemctl restart kube-apiserver
[root@kubernetes kubernetes]# systemctl status kube-apiserver

使用kubectl通过指定的用户名及密码访问API Server
[root@kubernetes kubernetes]# [root@kubernetes kubernetes]#  kubectl --server=https://192.168.73.100:6443 --username=admin --password=admin --insecure-skip-tls-verify=true get nodes
NAME             STATUS   ROLES    AGE   VERSION
192.168.73.100   Ready    <none>   22h   v1.17.3
192.168.73.101   Ready    <none>   22h   v1.17.3
192.168.73.102   Ready    <none>   21h   v1.17.3


3.0基于Token认证的配置
创建用户名,密码,UID文件
[root@kubernetes kubernetes]# cd /etc/kubernetes/
[root@kubernetes kubernetes]# vim token_auth_file
[root@kubernetes kubernetes]# cat  token_auth_file
admin,admin,1
system,system,2


设置apiserver启动参数
--token-auth-file=/etc/kubernetes/token_auth_file

[root@kubernetes kubernetes]# vi /etc/kubernetes/apiserver
[root@kubernetes kubernetes]# cat  /etc/kubernetes/apiserver
    KUBE_API_ARGS=" \
--etcd-servers=http://127.0.0.1:2379 \
--insecure-bind-address=0.0.0.0 \
--insecure-port=0 \
--service-cluster-ip-range=169.169.0.0/16 \
--service-node-port-range=1-65535 \
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,DefaultStorageClass,DefaultTolerationSeconds,ValidatingAdmissionWebhook,ResourceQuota \
--logtostderr=false \
--log-dir=/var/log/kubernetes \
--v=0 \
--client-ca-file=/var/lib/kubernetes/ca.crt \
--tls-private-key-file=/var/lib/kubernetes/server.key \
--tls-cert-file=/var/lib/kubernetes/server.crt \
--secure-port=6443 \
--basic-auth-file=/etc/kubernetes/basic_auth_file \
--token-auth-file=/etc/kubernetes/token_auth_file"


[root@kubernetes kubernetes]# systemctl restart kube-apiserver
[root@kubernetes kubernetes]# systemctl status kube-apiserver

使用curl访问API Server
[root@kubernetes kubernetes]#  curl -k --header "Authorization:Bearer admin" https://192.168.73.100:6443/version
{
  "major": "1",
  "minor": "17",
  "gitVersion": "v1.17.3",
  "gitCommit": "06ad960bfd03b39c8310aaf92d1e7c12ce618213",
  "gitTreeState": "clean",
  "buildDate": "2020-02-11T18:07:13Z",
  "goVersion": "go1.13.6",
  "compiler": "gc",
  "platform": "linux/amd64"
}

4.设置别名,进行快捷操作
[root@kubernetes kubernetes]# kubectl get namespaces
The connection to the server localhost:8080 was refused - did you specify the right host or port?

[root@kubernetes ~]# vim /root/.bashrc 
[root@kubernetes ~]# cat  /root/.bashrc 
# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
    . /etc/bashrc
fi
alias kubectl='kubectl --server=https://192.168.73.100:6443 --username=admin --password=admin --insecure-skip-tls-verify=true'
[root@kubernetes ~]# 
[root@kubernetes ~]# source /root/.bashrc 
[root@kubernetes ~]# kubectl get nodes
NAME             STATUS   ROLES    AGE   VERSION
192.168.73.100   Ready    <none>   22h   v1.17.3
192.168.73.101   Ready    <none>   22h   v1.17.3
192.168.73.102   Ready    <none>   22h   v1.17.3

 

《云原生安全攻防》-- K8s集群安全风险分析
03-29 839
在这个数字化快速发展的年代,云原生安全变得越来越重要。我明白对于很多朋友来说,这是一个既新奇又复杂的领域。因此,我整合了以往的专业积累,精心打造了一个专门讲解云原生安全的系列课程,目的是能给大家带来有价值的知识解析。为了让每位朋友都能找到适合自己的学习方式,同时支持课程能持续地更新下去,我决定这样安排课程内容和形式:免费版:通过采用图文形式简洁明了地概述每个课程的关键知识点,适合快速获取云原生安全...
纯手工搭建k8s集群
y19910825的博客
06-14 600
序 https://www.kubernetes.org.cn/3786.html 初衷 自从kubernetes(k8s)出现以来,安装复杂、部署困难就一直被业内吐槽,同时也把很多初学者挡在门外。虽然官方也有专门用来入门的单机部署方案:Minikube,和用来搭建集群的Kubeadm,但国内绿色的网络环境让官方的方案变得异常复杂。所以社区也涌现出很多专门用于部署k8s的项目,像使用ansible脚本方式的kubeasz,在github上已经有500多star;还有各种k8s相关的网站也有很多专门针对
k8s集群ClusterIP网络扩容
最美dee时光的博客
05-26 4605
本篇目录链接背景现象原因分析step1:通过终端报错,显然提示svc的网络已经用尽,无法分配ipstep2:查看apiserver中定义的svc网络(--service-cluster-ip-range) 背景 应领导要求,要 现象 Error from server (InternalError): error when creating "deployment-evaluation-api.yaml": Internal error occurred: failed to allocate a serv
kube-apiserver启动命令参数解释
小云的博客
03-07 4139
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
Kubernetes10--API访问控制
大魔王
12-03 1633
使用API来访问k8s集群,方便使用第三方客户端来访问和管理k8s集群资源,在此准备使用Java语言来封装API使用。 1.API Server 配置文件解析 如上图所示,k8s集群中主要使用Api Server来作为系统通信的中心,因此使用api相当于主要与api server来进行信息交互。 在此之前使用kubeadm方式来部署k8s集群,查看一下apiserver的yaml文件: ...
【云原生 · Kubernetes】部署kube-apiserver集群
念舒C.ying
09-06 1561
advertise-address :apiserver 对外通告的 I(kubernetes 服务后端节点 IP);default-*-toleration-seconds :设置节点异常相关的阈值;- max-*-requests-inflight :请求相关的最大阈值; - etcd-* :访问 etcd 的证书和 etcd 服务器地址; - bind-address : https 监听的 IP,不能为 127.0.0.1 ,否则外界不能访问它的安全端口 5443;- secret-po
基于Racher平台k8s集群搭建
最新发布
技术引领业务创新
04-01 7万+
Rancher 是为使用容器的公司打造的容器管理平台。Rancher 简化了使用 Kubernetes 的流程,开发者可以随处运行 Kubernetes(Run Kubernetes Everywhere),满足 IT 需求规范,赋能 DevOps 团队。
【Kubernetes】k8s集群安全机制
weixin_68840588的博客
08-19 1124
k8s集群安全机制
sealos离线安装k8s集群镜像-part3
12-25
Sealos 离线安装 Kubernetes (K8s) 集群是一个特定的部署方式,尤其适用于无法稳定连接互联网的环境。在离线安装过程中,相关的容器镜像需要提前下载到本地并进行配置。本篇主要讲述在离线环境下安装 Kubernetes ...
sealos离线安装k8s集群镜像-part2
12-25
在本文中提到的“sealos离线安装k8s集群镜像-part2”,是对Sealos安装方法的进一步阐述。除了核心的Kubernetes镜像外,用户还需要安装一些辅助组件,以确保集群的完整功能。这里的“镜像列表”就包含了这些额外的...
rancher-rke2 修改--service-cluster-ip-range
博然的宝藏库
04-21 732
因为需要部署新版本的ingress-nginx,而部署ingress-nginx的时候需要使用hostnetowrk以及nodeport的端口为80和443,service-node-port-range 默认为30000开始,部署会报错。1、api-servier的配置文件位置。默认是没有的,需要手动创建。
搭建kubernetes集群管理平台
菜鸟、上路
11-15 4440
一、 kubernetes和相关组件介绍 1、 kubernetes概述 Kubernetes是google开源的容器集群管理系统,基于docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩展等功能套件。基于容器的云平台 Kubernetes基于docker容器的云平台,简称k8s openstack基于kvm的容器云平台 2、 kubernetes架构设计图 3、 kub...
Kubeadm安装k8s( 亲测)
Geekelove的博客
06-28 289
centos7 k8s集群Kubeadm方式部署 安装k8s集群前期准备: 网络环境: 节点 主机名 ip Master k8s_master 192.168.186.138 Node1 k8s_node1 192.168.186.136 Node2 k8s_node2 192.168.186.137 查看centos7版本: [root@k8s_master ~]#...
Kubernate之安装(实战)
天涯芳草
05-16 851
Kubernate安装的时候,需要先安装主节点,然后安装从节点,主节点中,需要注意配置文件的配置,而且ETCD最好做单独服务,让etcd先启动后,然后再启动kubernate的master和node子节点,Master节点 有apiServer ,Scheduler,Controller-manager,Node节点有:kubelet和proxy和flanned,flanned是用来管理docker容器网络的,而且需要结合etcd来使用。 kubernate容器的调度模...
k8s service与ingress
ApexPredator的博客
06-08 2616
k8s service与ingress
kubernetes二进制部署k8s-master集群controller-manager服务unhealthy问题
li123128的博客
12-29 7376
  一.问题现象      我们使用二进制部署k8s的高可用集群时,在部署多master时,kube-controller-manager服务提示Unhealthy      [root@ceph-01 system]# kubectl get cs      NAME                 STATUS      MESSAGE                             ...
k8s之PodIPClusterIP和ExternalIP
yuezhilangniao的博客
06-30 1264
原文:https://blog.youkuaiyun.com/kenkao/article/details/107047756 k8s之PodIPClusterIP和ExternalIP https://www.cnblogs.com/embedded-linux/p/12657128.html Service ClusterIP Service是Kubernetes最核心的概念,通过创建Service,可以为一组具有相同功能的容器用用提供一个统一的入口地址,并且将请求进行负载分发到后端的各个容器应用上。 Pod I
Kubernetes ServiceClusterIP
tinysakura的博客
12-13 1万+
转载自麦兜搞ip的博客Kubernetes ServiceClusterIP Kubernetes Service ClusterIP Kubernetes的service有三种类型:ClusterIP,NodePort,LoadBalancer,今天我们来看看ClusterIP。 创建Deployment 首先我们先创建一个Deployment,这个Deployment是一个Python实现的...
kubernetes核心概念总结和手动集群部署实践 之一
chenmeng729970897的博客
07-28 5530
kubernetes核心概念总结和手动集群部署实践 之一基础架构MasterMaster节点上面主要由四个模块组成,APIServer,schedule,controller manager, etcd. APIServer: APIServer负责对外提供RESTful的kubernetes API的服务,它是系统管理指令的统一接口,任何对资源的增删该查都要交给APIServer处理后再交给etc
k8s集群时间设置chronyd
03-22
### 配置chronyd以同步Kubernetes集群中的时间 在Kubernetes集群中配置`chronyd`服务来实现节点间的时间同步是一项重要的操作,因为时间不同步可能会导致证书验证失败或其他依赖于时间的服务出现问题。以下是关于如何在Kubernetes集群中通过`chronyd`进行时间同步的具体方法。 #### 1. 创建Chrony DaemonSet 为了确保所有节点都安装并启用了`chronyd`,可以通过创建一个DaemonSet资源对象,在每个节点上运行`chronyd`容器。以下是一个示例YAML文件: ```yaml apiVersion: apps/v1 kind: DaemonSet metadata: name: chronyd namespace: kube-system spec: selector: matchLabels: app: chronyd template: metadata: labels: app: chronyd spec: hostNetwork: true containers: - name: chronyd image: alpine/chrony:latest securityContext: privileged: true volumeMounts: - mountPath: /etc/chrony/ name: chrony-config volumes: - name: chrony-config configMap: name: chrony-configmap ``` 此DaemonSet会基于指定的镜像启动`chronyd`容器,并挂载由ConfigMap定义的配置文件[^1]。 #### 2. 定义Chrony ConfigMap 为了让`chronyd`正常工作,需要提供一份合适的配置文件。下面是如何创建一个名为`chrony-configmap`的ConfigMap的例子: ```bash kubectl create configmap chrony-configmap --from-file=chrony.conf=/path/to/local/chrony.conf -n kube-system ``` 其中`chrony.conf`的内容可以根据实际需求调整,默认情况下可能如下所示: ```conf server ntp.example.com iburst keyfile /etc/chrony/chrony.keys driftfile /var/lib/chrony/drift logdir /var/log/chrony allow all ``` 上述配置指定了NTP服务器地址以及允许访问的范围等参数[^2]。 #### 3. 应用配置至集群 完成以上两步之后,应用这些资源配置到您的Kubernetes集群即可: ```bash kubectl apply -f chronyd-daemonset.yaml ``` 这一步骤将会把DaemonSet和关联的ConfigMap部署到整个Kubernetes环境中去[^3]。 --- ### 注意事项 - **权限管理**:由于涉及到系统级的操作,因此建议赋予Pod适当的安全上下文(Security Context),使其能够修改宿主机上的时间设置- **网络连通性**:确认所选的NTP源在网络可达范围内;如果外部不可达,则考虑内部自建NTP服务作为替代方案。 - **监控状态**:定期检查各节点上的`chronyd`进程是否健康运转,可通过命令行工具或者集成Prometheus等方式来进行持续监测。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值