之前我们学习了创建基于集群级别的账号和管理配置的方法,具体可以查看这个笔记:https://sulao.cn/post/939.html。实际在k8s的使用过程中,我们通常以命名空间来隔离项目或者团队,那么这个时候就有一些需求,就是通过k8sRBAC创建的账户只用于某一个命名空间下,那么这样的账户创建和之前基于集群的创建是稍有区别的,那么我们一起来看看创建过程和创建方法前面的操作也是一样,需要创建一个私钥和证书签名请求openssl genrsa -out sulao.key 2048openssl ...
有时k8s我们需要给一些人员进行查询使用,并不希望该账户又太多权限,这个时候我们需要创建一个只读权限的CLusterRole,并重新生一个对应权限的config文件,然后将这个config文件分发下,这样就能让其它用户可以查看k8s集群,但是只有只读权限。在创建账户之前,我们现了解下config文件构成kubectl config view apiVersion: v1clusters:- cluster: certificate-author...
容器在运行中产生的日志和临时如果没有限制,会很快占满宿主的磁盘空间,导致磁盘写爆,今天就介绍下常见的限制POD使用容量的方法。POD容器的临时存储如果在kubelet的配置没有更改的情况下默认存储在/var/lib/kubelet/pods目录下,容器的日志存放在/var/log/pods目录下。docker容器rootfs默认位于/var/lib/docker目录下当节点磁盘存储资源不足,kubelet会驱逐掉一些POD来释放存储资源,这种检测磁盘资源不足的信息主要来源于imagesfs和nodefs,他们分别的作用是:imagefs:容器运行时用作存...
我们有时需要添加一些自定义域名在k8s集群环境中使用,那么这时候域名解析需要依赖K8s内部的dns域名服务器来解析。例如我们提供了一个nfs服务器,但是提供的nfs服务器不是IP,而是域名,这个时候这个域名是外部的,而不是k8s内部域名,所以我们需要通过一些手段在k8s内部解析这个域名,常用的有两种方式,一种是在coredns中添加解析记录,另一种则是在需要使用这个域名的pod资源中直接解析。1.使用hostAliases解析,这种方式就是直接在POD中添加解析,具体使用如下: hos...
原来集群中一个master节点操作系统坏掉了,所以需要重装操作系统,然后以master身份加入到原有集群。安装好docker和k8s以后,使用kubeadmJoin命令加入集群一直报错,错误信息如下:The reset process does not clean your kubeconfig files and you must remove them manually.Please, check...
之前有记录如何获取token的方法:https://sulao.cn/post/803.html,添加普通节点时,可以直接通过以下命令获取添加节点全部命令kubeadm token create --print-join-commandkubeadm join <ip:port> --token 7gmpm8.yxxahvalc8exemrg --discovery-token-ca-cert-hash sha256:504ee4ac92...
在用户使用kubectl命令提交yaml时,其实在整个k8s中很多组件都协调运作最终直观的展示生成的POD,那么这中间经历了很多流程,我们来看看这其中流程和原理具体是什么样的。当用户kubectl提交yaml文件以后,kubectl会将yaml文件转成符合resfulAPI规范的json数据提交到apiserver接口,apiserver接口有鉴权认证的功能,如果有做鉴权和认证那么在这一步就会进行认证,认证通过后就会将yaml提交的信息存储到etcd,这里我们可能会想到这就直接提交到etcd中存储,其它组件是如何之前用户新建了一个POD呢?api...
在K8S1.9版本开始支持Deployment控制器,是基于第二代控制器replicaSet控制器的升级版,拥有更高级的镜像回滚等等高级功能。下面我们来看看使用DeployMent回滚到某一版本的具体操作查看orion命名空间下的rskubectl get rs -n orion查看版本迭代情况kubectl get rs -n orion orion-runtime-7b58f5c657 -o yaml | grep&nb...
在2016年12月14日,Docker公司宣布将containerd从Docker中分离,由开源社区独立发展和运营。Containerd完全可以单独运行并管理容器,而Containerd的主要职责是镜像管理和容器执行。同时,Containerd提供了containerd-shim接口封装层,向下继续对接runC项目,使得容器引擎DockerDaemon可以独立升级。Containerd可以在宿主机中管理完整的容器生命周期:容器镜像的传输和存储、容器的执行和管理、存储和网络等。总结一下,它主要负责干以下事情:管理容器的生命周...
官网安装指南可以查看这里:https://kubernetes.github.io/ingress-nginx/deploy/首先我们下载ingressdeploy文件wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.3/deploy/static/provider/aws/deploy.yaml注意ingress和k8s需要版本匹配,因为我k8s是1.19版本,所以ingress选择的是v1.1.3,下载到上述deploy.yaml...