kubernetes学习笔记.docx资源-CSDN文库

需积分: 9 60 浏览量 2019-09-26 16:42:07 上传评论收藏 274KB DOCX 举报

资源详情

资源评论

 组件运行原理



核心组件

  !

 "

 # 

 "

 

 $ %

 "

辅助组件

 # &'

 网络组件：()*)*))

 存储组件：通过各个厂商的 # 插件来使用它们提供的持久化存储

 + 包管理工具：通过将 "%*,)* !*  等资源对象打包来实现一键部署

 &)) "

 -  ! ：监控群集、自动扩容和缩容 +

  ：用于暴露内部的服务，常用的如 



核心功能是提供   各类资源对象."* * ! 等/的增、删、改、查及 ) 等。

还是集群管理的  入口、资源配额控制的入口、集群安全机制的入口、  %) 的接口。

进程名为 $) ! ，运行在 ) 节点上，默认在端口 .$$ $ 0/提供 123

服务，可以通过 +33 安全端口.$$ $ 04556/启动安全机制。

 )4556



)  、 "  、 ))  、  !  、 "

  、  7)  .配额管理三个级别是 ) 、"、'))，配额约束

包含  ) 和  7)，前者作用于 " 和 ) ，后者作用于 ))。/



调度流程有两步，分别是预选调度、确定最优节点。

调度策略有两类，分别是预选策略、优选策略。



在每个 " 节点.或称 /上都会启动一个  进程，该进程用于处理 ) 节点下发到本节点的

任务，管理 " 及 " 中的容器。每个  进程会在 ) ! 上注册节点自身信息，定期向 )

节点汇报节点资源的使用情况，并通过 )"! 监控容器和节点资源。

节点管理、" 管理、容器健康检查、)"! 资源监控



在每个 " 上都会运行一个 $ % 进程，这个进程可以看做是  ! 的透明代理兼负载均衡器。对

每一个 3# 类型的  !，$ % 都会在本地 " 上建立一个  ! 来负责接收请求，然后

均匀发送到后端某个 " 的端口上。访问  ! 的请求都会被 " 的 ) 规则重定向到 $ %

监听的  ! 服务代理端口。

 授权

 授权.) 8)/决定一个用户.普通用户或  !/是否有权请求 9  做某些

事情。开始的时候，9  授权策略是 :#. $:)"#  属性/，在

9 4 中引入 1:#.1$:)"# /。

 通过$$) 8)$"01:# 启用 1:#。9)" 部署的 9 4 集群默认开启

1:#，查看 -) 上的 $) ! %) 文件。

 ); )<$) ! %);=; 1:#

 

 资源对象

1:# 定义四个资源对象描述 1:# 中用户和资源之间的连接权限：

 1

 # 1

 1:"

 # 1:"

 和 

1 定义在某个 ')) 下，在该 ')) 下使用。

# 1 与 1 相似，只是 # 1 在整个集群范围内使用。

通过 %) 文件定义  和  。

;; ;$

;; 

;; 

 和 

账户主体 > 包含  ， 和  !。

1:" 把 1 绑定到 >，# 1:" 把 # 1 绑定到 >。

;; ";$$)$))

;; "

1:" 既可以引用相同 )) 下的 1，又可以引用 # 1，但是引用 # 1 时

用户继承的权限会被限制在 1:" 所在的 )) 下。

! "%)

默认  和 

 ! 已经创建一系列 # 1 和 # 1:"。这些资源对象中名称以 %开头，表

示这个资源对象属于 9  系统基础设施。也就说 1:# 默认的集群角色已经完成足够的覆盖，让集群

可以完全在 1:# 的管理下运行。可以使用   )0 )$"<) 这个 ) 查看

默认 # 1 和 # 1:"：

;; ;$  )0 )$"<)

;; ";$  )0 )$"<)

安全机制

实现集群的安全控制，包括  ! 的认证授权、准入控制机制及保护敏感信息的   机制等。

.))*) 8)*)"# * * ! 等/

 认证

  集群中所有资源的访问和变更都是通过  ) ! 的 123 实现的，所以集群

安全的关键点是对客户端的识别和授权。9  提供如下三种级别的客户端身份认证方式：

+33 证书认证：

基于 # 根证书签名的双向数字证书认证方式，它需要一个 # 证书，# 是 9 系统中的第三方实体。

+333 认证：

通过一个  来识别合法用户。 是一个很复杂的字符串，每个  对应一个存储在  ! 能

访问的一个文件中的用户名，当客户端发起  调用请求时，需要在 +33+)" 里放入 ，这样 

 ! 就能识别合法用户了。

+33:) 认证：

通过用户名和密码识别用户，它把“用户名密码”用 :245 算法进行编码后的字符串放在 +3317 中

的 +)"  8) 域里发送给服务端，服务端收到后进行解码，获取用户名和密码后进行用户身份的

鉴权过程。

 证书

 ：客户端使用，服务端以此验证客户端身份，例如 "、" %、" 等。

 服务端使用，客户端以此验证服务端身份*例如 " 服务端、$) ! 等。

 双向证书，既是  !   又是  ，例如 " 群集成员之间通信。

 在 " 群集中，" 节点需要标识自己服务的  !  ，需要与其他节点交互的  。指定

一个服务器证书和一个客户端证书，或指定一个对等证书。

 在   群集中，) 节点需要标识 ) ! 服务的  !  ，需要连接 " 群集的

 。使用一个对等证书。

 在   群集中，、$ %、) 只需要  ，因此证书请求中 字

段可以为空。

  证书由 " 节点 3?: ) 向 ) ! 请求，由 ) 节点的   $))

自动签发，包含一个   和一个  !  。

 授权

授予用户特定的访问权限，有三种授权策略.) 启动参数$$) 8)@"/：

)%&%：一般用于测试

)%：默认的策略

:#：基于属性的访问控制，使用用户配置的授权规则去匹配用户的请求

 准入控制



 !) 是一种账号，是给 " 里的进程使用的，为 " 里的进程提供必要的身份证明。

"  !)

每个 )) 下都有一个名为 "<) 的  !) 对象，该  !) 里面的  被

 到 " 的   上，而   协助 " 里面的进程在访问 ) ! 时进行身份鉴权。

如果一个 " 在定义时没有指定  !') 属性，系统会自动为其赋值为 "<)。如果

某个 " 需要使用非 "<) 的  !)，则需要在定义时指定：

)A !

""

)"))

)%"



) 

$)%)

)!

 !')% !)

 私密凭据

  的主要作用是保管私密数据，如密码、B)3、+9% 等。

! %)

)A !

" 

网络模型

  网络模型设计的一个基础原则是：每个 " 都拥有一个独立的  地址，而且假设所有 " 都在

一个可以直接连通的、扁平的网络空间中。所以不管它们是否运行在同一个 " 中，都要求它们可以直接通

过对方的  进行访问。按照这个网络原则抽象出来的一个 " 一个  的设计模型也被称为 $ $" 模型。

 网络

" 技术依赖于 ? 内核虚拟化技术，下面简要介绍 " 使用的与 ? 网络有关的主要技术：

 ))*! 设备对*网桥*), *路由。

" 支持 5 类网络模式，分别是  模式、) 模式、 模式、 " 模式。在  

管理模式下，" 通常使用  " 模式的网络。在  " 模式下，" ") 第一次启动时会创

建一个虚拟的网桥 " ，该网桥默认会被分配一个私有地址段及  地址（4）；对于每个容

器，" 会创建一个虚拟的以太网设备（! 设备对），其中一端关联到网桥上，另一端通过 ? 的网

络命名空间技术映射到容器内的  设备，然后从 "  网桥的私有地址段内为容器  接口动态分配

一个  地址（容器重启后也许会获得不同的  地址）。

网络命名空间

? 在网络栈中引入了网络命名空间。在网络命名空间内可以有自己独立的路由表、), 。

为了隔离出独立的协议栈，需要纳入命名空间的元素有进程、进程创建的套接字、网络设备等。





)""@)

@)@"

C$)D"@)

"<%C&D

"@)

C$)DC@)D"



$"

@))EE进入网络命名空间， 退出



)""@)%%@)

"





)""!%! )!

 @

$$

$ 

 设备对

如何让不同的网络命名空间相互通信？如何和外部的网络进行通信？答案是F! 设备对F。

)""!%! )!



!@



@

)"" )""5"!!

@)"" )""5"!!

"!!

@"!!



@

网桥

? 内核支持网口的桥接，该网桥可以是二层设备，也可以是三层设备。它可以有一个  地址。

 )"" !  

 

 )""<! ! %)@@)

<,!  

上面步骤建立一个虚拟网桥、添加物理网卡配置  地址，这样该桥就和外部网络连接起来。

! 

? 网络协议栈中有一组回调函数挂接点，它们可以在 ? 网络协议栈处理数据包的过程中对数据包进行

一些操作，如过滤、修改、丢弃等。整个挂接点技术叫做 , 和 )。

, 运行在内核模式，在内核中执行挂接的规则，挂接点有

  **< ) "* *。

) 运行在用户模式，维护内核中 , 执行的各种规则表。) 命令让用户可以维护各种规则。

路由

? 路由表至少有两个表，一个是 ?B#? 表，另一个是 -' 表。?B#? 表包含所有的本地设备地址，使

用F ))%)F查看；-' 表用于各类网络  地址的转发，可以使用静态配置生

成，也可以使用动态路由发现生成。

 

)$ 

 网络

想要支持不同 " 上的 " 之间的通信，需要以下两个条件：

 在整个   集群中对 " 的  分配进行规划，不能有冲突。该条件可以采用手工的方式进行规划，

或者采用程序自动分配，如 () 程序。

 将 " 的  和所在 " 的  关联起来以实现不同 " 上 " 之间的访问。开源界有不少程序可以实

现该条件，例如 () 和 !。

 () ： () 创建一个名为 () 的网桥，该网桥的一端连接 "  网桥，另一端连接

()" 进程。() 通过修改 " 的启动参数来为其分配  地址段，从而对每个 " 上的

"  地址段进行规划。

 !：在 " 之间建立 A' 隧道，需要手动更改 "  的地址段，不容易产生网络延迟，

但是手工操作较多。

 直接路由

" 垃圾回收

  集群中的垃圾回收.G#/机制由  完成，它定期清理不再使用的容器和镜像，每分钟进行一

次容器 G# 操作，每 H 分钟进行一次镜像 G# 操作。

容器的 "

G# 只能清理  管理的容器，使用 "   创建的容器不能被 G# 清理。

 的以下三个启动参数用于设置容器 G# 的条件：

 #已停止的容器被清理前的最小存在时间，如 ***，默认

。

 #在 " 上保留的已停止容器的最大数量，默认 5。

关闭容器 "

将$$$) $$" ) 设置为 ，另外两个参数设置为负数。

镜像的 "

通过 )  和 )"! 共同管理镜像的生命周期，主要根据 " 本地磁盘使用率来触发。

剩余63页未读，继续阅读

评论收藏

内容反馈

kubernetes学习笔记.docx

评论0

最新资源

kubernetes学习笔记.docx

评论0

最新资源

相关推荐

kubernetes(k8s)史上最强最全面的学习教程课程笔记.docx

kubernetes实验笔记.docx

kubernetes-the-hard-way-automated:我以Kelsey Hightower的笔记作为开始学习kubernetesdocker

kubernetes-and-docker:从头开始学习Docker，Docker Compose，多容器项目，部署以及所有有关Kubernetes的知识！ Udemy课程笔记

kubernetes_roadmap：2021年的Kubernetes学习笔记

2011年软考信息系统项目管理师学习笔记.docx

Kubernetes部署指南.docx

Kubernetes架构详解.docx

Kubernetes安装部署.docx

蔚来汽车的Kubernetes技术实践.docx

VMWare Enterprise部署Kubernetes服务白皮书.docx

JVM学习笔记.docx

CXF学习笔记.docx )

《信息系统项目管理师考试全程指导》笔记.docx

amchart学习笔记.docx

spring整合Hibernate学习笔记.docx

MathCad学习笔记.docx

信捷PLC学习笔记.docx

DB2学习笔记.docx

马士兵Spring学习笔记.docx

Flink学习笔记.docx

单片机STM32学习笔记.docx

oracle学习笔记.docx

web学习笔记.docx

python大作业 含爬虫、数据可视化、地图、报告、及源码（整和为一个文件）（2014-2020全国各地区原油加工量）.rar

仿真电路以及操作方法

【纯干货啊】华为IPD流程管理(完整版).pptx

可编程语言标准IEC61131-3中文版.pdf

OFDM完整仿真过程与教程.zip

python大作业含爬虫、数据可视化、地图、报告、及源码（整和为一个文件）（2014-2020全国各地区原油加工量）.rar