- 博客(102)
- 收藏
- 关注
RSS订阅原创 iptables规则链封端口
禁止所有IP访问k8s的10250端口允许192.14.10.0/24网段访问10250端口查看INPUT策略删除INPUT策略。
2023-04-18 16:11:12
861
原创 kubernetes之sealos搭建高可用集群
kubernetes之sealos搭建高可用集群如图所示,kuernetes组件组件主要可分为APISERVICE、replication CrontrollerManger、Scheduler、ETCD、Kubelet、Kube_proxy等。部署高可用,实际就是这些组件的高可用。由于ETCD使用raft算法,所以当部署多个master节点时,会自动组成高可用;CrontrollerManger与Scheduler在设计时也自动组成了高可用。所以搭建kubernetes的高可用就是搭建apiserv
2022-05-12 17:38:11
1140
原创 kubernetes之资源限制
资源限制基于pod默认情况下,Pod 运行没有 CPU 和内存的限额。 这意味着系统中的任何 Pod 将能够像执行该 Pod 所在的节点一样,消耗足够多的 CPU 和内存 。一般会针对某些应用的 pod 资源进行资源限制,这个资源限制是通过resources 的 requests 和 limits 来实现spec: containers: - image: mynginx:v1 imagePullPolicy: Always name: auth ports:
2022-05-09 15:01:36
463
原创 kubernetes之证书更新
证书更新kubernetes的证书存放在/etc/kubernetes/pki目录下,使用kubeadm alpha certs check-expiration,可查看证书有效时间可以看出apiserver等证书有效期为一年,ca等证书有效期是10年.备份/usr/bin/kubeadm以及/etc/kubernetes/pki$ mv /usr/bin/kubeadm /usr/bin/kubeadmold$ cp -R /etc/kubernetes/pki /etc/kubernete
2022-05-09 14:59:27
594
原创 kubernetes集群内部DNS解析原理、域名解析超时问题记录
kubernetes集群内部DNS解析原理当kubernetes初始化完成后,在kube-system名称空间下会出现kube-dns的service服务与core-dnsd的pod$ kubectl get svc -n kube-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEkube-dns ClusterIP 241.254.0.10 <
2022-04-14 10:55:19
4169
1
原创 kubernetes常见问题
kubernetes常见问题1、service代理到某个节点上无法访问$ kubectl get pod -o wideNAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATESmyapp-deploy-6d4bc5cc76-7n5tn 1/1 Running 0 20h 2
2022-04-14 10:54:35
3885
2
原创 kubernetes之Service介绍
ServicePod IP仅仅是集群内可见的虚拟IP,外部无法访问。Pod IP会随着Pod的销毁而消失,当ReplicaSet对Pod进行动态伸缩时,Pod IP可能随时随地都会变化,这样对于我们访问这个服务带来了难度。因此,Kubernetes中的Service对象就是解决以上问题的实现服务发现核心关键。Service的类型在Serivce定义时,我们需要指定spec.type字段,这个字段拥有四个选项:● ClusterIP:默认值。给这个Service分配一个Cluster IP,它是K
2022-04-10 20:30:47
4359
原创 kubernetes资源清单
集群资源分类1:名称空间级别:在一个名称空间下的资源,其他名称空间看不到 pod、deployment、service、configmap...2、集群级别:一旦被定义,集群空间内都可以被调用.Namespace、Node、ClusterRole、ClusterRoleBinding3、元数据型HPA、Podtemplate、limitRangeYAML文件中必须存在的属性YAML文件中主要存在属性#可以通过kubectl explain命令查看相对应的字段[root@mast
2022-04-06 22:29:49
374
原创 Linux系统内核升级
升级Linux系统内核1、查看现有Linux系统版本cat /proc/version或uname -a2、升级系统内核一般来说,只有从https://www.kernel.org/ 下载并编译安装的内核才是官方内核,可以看出目前的稳定版版本为5.17.1。不过,大多数 Linux 发行版提供自行维护的内核,可以通过 yum 或 rpm 等包管理系统升级。ELRepo是一个为Linux提供驱动程序和内核映像的存储库,这里的升级方案就是采用ELRepo提供的内核通道。ELRepo官网:h
2022-04-05 15:52:42
13918
1
原创 kubernetes常见配置
subPath定义:为了支持单一个pod多次使用同一个volume而设计,subpath翻译过来是子路径的意思,如果是数据卷挂载在容器,指的是存储卷目录的子路径,如果是配置项configMap/Secret,则指的是挂载在容器的子路径使用场景同一个pod中多容器挂载同一个卷时提供隔离或者一个容器有多个路径需要挂载,不指定subPath默认存储在存储卷的根目录将configMap和secret作为文件挂载到容器中而不覆盖挂载目录下的文件数据卷挂载:一个pod中多容器nfs-pod.yaml
2022-03-17 18:44:28
1831
原创 kubernetes存储之ConfigMap、Volume
ConfigMap创建的三种方式1、使用目录创建[root@master config]# ls /opt/k8s/configgame.properties ui.properties[root@master config]# cat game.properties enemies=alienslives=3[root@master config]# cat ui.properties color.good=purplecolor.bad=yellow[root@master co
2022-03-16 22:49:52
1218
原创 kubernetes之Helm
Helm介绍Helm 本质就是让 K8s 的应用管理(Deployment,Service 等 ) 可配置,能动态生成。通过动态生成 K8s 资源清单文件(deployment.yaml,service.yaml)。然后调用 Kubectl 自动执行 K8s 资源部署。Helm 是官方提供的类似于 YUM 的包管理器,是部署环境的流程封装。Helm 有两个重要的概念:chart和release。chart 是创建一个应用的信息集合,包括各种 Kubernetes 对象的配置模板、参数定义、依赖关系、
2022-03-06 22:59:04
392
原创 kubernetes集群安全——认证、鉴权、准入控制
机制说明Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全。认证(Authentication)HTTP Token
2022-03-03 22:40:20
3081
原创 kubernetes调度策略
集群调度键值运算关系In:label 的值在某个列表中NotIn:label 的值不在某个列表中Gt:label 的值大于某个值Lt:label 的值小于某个值Exists:某个 label 存在DoesNotExist:某个 label 不存在Pod与Node之间的亲和性pod.spec.nodeAffinitypreferredDuringSchedulingIgnoredDuringExecution:软策略requiredDuringSchedulingIgnoredDu
2022-02-28 23:05:24
865
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人