笔记Kubernetes核心技术-之Controller

2、Controller

2.1、概述

在集群上管理和运行容器的对象,控制器(也称为:工作负载),Controller实际存在的,Pod是抽象的;

2.2、Pod和Controller关系

  • Pod是通过Controller实现应用运维,比如:弹性伸缩、滚动升级等等;
  • Pod和Controller之间通过labeselectorl标签建立关系,通过labels名称找到selector;
    笔记Kubernetes核心技术-之Controller_第1张图片
    笔记Kubernetes核心技术-之Controller_第2张图片

2.3、常用控制器(deployment)

2.3.1、应用场景

  • 部署无状态应用(例如:nginx);
  • 管理Pod和ReplicaSet;
  • 部署,滚动升级等功能;
  • 应用场景:web服务,微服务;

2.3.2、通过yaml文件部署应用

  • 使用yaml文件部署应用
 #创建并导出yaml文件
 kubectl create deployment nginx --image=nginx --dry-run=client -o yaml > nginx.yaml
 #通过yaml文件部署应用
 kubectl apply -f nginx.yaml 
 #查看状态
 kubectl get pod

在这里插入图片描述

  • 对外发布(暴露端口号)
#暴露端口号(target-port=80)
kubectl expose deployment nginx --port=80 --type=NodePort --target-port=80 --name nginx -o yaml > nginx1.yaml
#通过yaml文件暴露端口
kubectl apply -f nginx1.yaml 

笔记Kubernetes核心技术-之Controller_第3张图片

2.4、应用升级回滚和弹性伸缩

2.4.1、应用升级

升级过程中保证服务不中断,会一个Pod一个Pod逐步替换,升级实质image版本升级;
(1)先指定应用版本部署,这里指定nginx版本为1.14
笔记Kubernetes核心技术-之Controller_第4张图片

#创建指定版本应用
kubectl apply -f nginx1.yaml 

笔记Kubernetes核心技术-之Controller_第5张图片
在Node节点查看镜像,会看到下载的1.14版本;
在这里插入图片描述
(2)应用升级,此处nginx版本为1.15

#nginx:第一个表示名称,nginx第二个表示镜像
kubectl set image deployment nginx nginx=nginx:1.15

笔记Kubernetes核心技术-之Controller_第6张图片
在Node节点查看镜像,会看到下载的1.15版本;
在这里插入图片描述
(3)查看升级状态

kubectl rollout status deployment nginx

在这里插入图片描述

2.4.2、应用版本回滚

(1)查看历史版本

kubectl rollout history deployment nginx

在这里插入图片描述
(2)回滚操作

  • 回滚到上一个版本
#回滚到上一个版本
kubectl rollout undo deployment nginx
#查看回滚后状态
kubectl rollout status deployment nginx

在这里插入图片描述
在这里插入图片描述

  • 回滚到指定版本
#回滚到指定版本
kubectl rollout undo deployment nginx --to-revision=2

笔记Kubernetes核心技术-之Controller_第7张图片

2.4.3、应用弹性伸缩

#弹性伸缩命令
kubectl scale deployment nginx --replicas=5

笔记Kubernetes核心技术-之Controller_第8张图片

2.5、部署有状态应用(StatefulSet)

2.5.1、无状态和有状态

(1)无状态

  • 认为Pod都是一样;
  • 无顺序要求;
  • 不用考虑在任意node运行;
  • 可随意伸缩和控制;
    (2)有状态
  • 上面的因素都需要考虑到;
  • 每个Pod都是独立的,保持Pod启动顺序和唯一性;
  • 唯一的网络标识符,持久存储;
  • 有序,比如:mysql主从;

2.5.2、部署有状态应用

(1)SatefulSet部署有状态应用
无头service,指ClusterIP:none。

  • 无头的service
cat < sts.yaml << EOF
apiVersion: v1
kind: Service
metadata:
  creationTimestamp: null
  labels:
    app: nginx
  name: nginx
spec:
  ports:
  - port: 80
    name: web
  selector:
    app: nginx
  clusterIP: None

---

apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: nginx-statefulset
  namespace: default
spec:
  serviceName: nginx
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx:latest
        name: nginx
        ports:
        - containerPort: 80

EOF

笔记Kubernetes核心技术-之Controller_第9张图片

  • 查看pod: 有三个pod,每个名称(NAME)都不一样
  • 笔记Kubernetes核心技术-之Controller_第10张图片
  • 查看创建无头Service:CLUSTER-IP=None
#查看服务
kubectl get svc
#删除statefulset
kubectl delete statefulset --all

在这里插入图片描述

(2)deployment和statefulset区别:

  • statefulset特点
    有唯一标识:根据主机名 + 按照一定规则生成域名;
    每个pod有唯一主机名,唯一域名,格式:主机名称.service名称.名称空间.svc.cluster.local
    nginx-statefulset-0.nginx.default.svc.cluster.local

2.6、部署守护进程(DaemonSet)

让每个node上运行同一个pod,新加入的node也同样运行在一个pod里面;
例如:在每个node节点安装数据采集工具(适用场景:每台虚拟机(Node) 进行日志采集);

  • 创建daemonset文件
cat < daemon.yaml << EOF
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: ds-test
  labels:
    app: filebeat
  namespace: default
spec:
  selector:
    matchLabels:
      app: filebeat
  template:
    metadata:
      labels:
        app: filebeat
    spec:
      containers:
      - name: logs
        image: nginx
        ports:
        - containerPort: 80
        volumeMounts:
        - name: varlog
          mountPath: /tmp/log
      volumes:
      - name: varlog
        hostPath:
          path: /var/log

EOF

笔记Kubernetes核心技术-之Controller_第11张图片

  • 创建守护进程pod
#执行daemon.yaml文件
kubectl apply -f deamon.yaml
kubectl get pods

笔记Kubernetes核心技术-之Controller_第12张图片
在这里插入图片描述

  • 进入容器查看日志
kubectl get pods
#进入容器
kubectl exec -it ds-test-bg657 bash
#查看日志
ls /tmp/log
#退出
exit

笔记Kubernetes核心技术-之Controller_第13张图片

2.6、一次性任务和定时任务

2.6.1、Job(一次性任务)

  • 创建job.yaml文件
#创建job文件,计算PI的值
cat < job.yaml <<EOF
apiVersion: batch/v1
kind: Job
metadata:
  name: pi-calculate
  namespace: default
spec:
  template:
    spec:
      containers:
      - name: pi
        image: perl
        command: ["perl", "-Mbignum=bpi", "-wle", "print bpi(2000)"]
      restartPolicy: Never
  backoffLimit: 4
  
EOF

笔记Kubernetes核心技术-之Controller_第14张图片

  • 创建job
#创建job,应用yaml文件
$kubectl apply -f job.yaml
#Node: 【Completed】表示一次性任务完成
$kubectl get pods -o wide
#查看一次性job
$kubectl get jobs
#查看日志: 格式: kubectl logs pod名称
$kubectl logs pi-calculate-dgxtr
#删除job
$kubectl delete -f job.yaml

笔记Kubernetes核心技术-之Controller_第15张图片

2.6.2、CornJob(定时任务)

  • 创建cronjob.yaml文件
cat < cronjob.yaml << EOF
apiVersion: batch/v1beta1
kind: CronJob
metadata:
  name: hello-world
  namespace: default
spec:
  schedule: "*/1 * * * *"
  jobTemplate:
    spec:
      template:
        spec:
          containers:
          - name: hello-world
            image: busybox
            args:
            - /bin/sh
            - -c
            - date; echo Hello from the kubernetes
          restartPolicy: OnFailure

EOF

笔记Kubernetes核心技术-之Controller_第16张图片

  • 创建cronjob
#创建cronjob,应用yaml文件
$kubectl apply -f cronjob.yaml
#Node: 【Completed】表示一次性任务完成,此处会定时输出
$kubectl get pods -o wide
#查看一次性job
$kubectl get cronjobs
#查看日志: 格式: kubectl logs pod名称
$kubectl logs hello-world-1624xxx
#删除job
$kubectl delete -f cronjob.yaml

笔记Kubernetes核心技术-之Controller_第17张图片

4、配置管理

4.1、Secret

作用:存储加密数据到etcd,让Pod容器以变量或者挂载Volume方式进行访问数据,适用场景:凭证(认证)。
(1)创建secret加密数据

  • base64 编码用户名或密码
#编码base64
echo -n 'admin' | base64
  • 创建加密数据文件
cat < secret.yaml << EOF
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4= 
  password: MWYyZDF1MmU2N2Rm  

EOF

笔记Kubernetes核心技术-之Controller_第18张图片

  • 生成加密数据
$kubectl create -f secret.yaml
#获取加密数据,注此处加密名称为:mysecret
$kubectl get secret
#辅助命令:kubectl delete secret --all (删除secret)

笔记Kubernetes核心技术-之Controller_第19张图片
(2)以变量方式挂载到Pod容器中

  • 创建带有加密的pod yaml文件
    环境变量名称分别为:SECRET_USERNAME,SECRET_PASSWORD
    加密名称(name):mysecret,和(1)中mysecret要相同;
cat < secret-val.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env: 
      - name: SECRET_USERNAME
        valueFrom: 
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
EOF

笔记Kubernetes核心技术-之Controller_第20张图片

  • 创建pod并访问加密数据
$kubectl apply -f secret-val.yaml
$kubectl get pods
#进入pod
$kubectl exec -it mypod bash
#查看环境变量
echo $SECRET_USERNAME
echo $SECRET_PASSWORD

笔记Kubernetes核心技术-之Controller_第21张图片
(3)以Volume方式挂载到Pod容器中

  • 创建带有加密的pod yaml文件
    加密名称(secretName):mysecret,和(1)中mysecret要相同;
    挂载目录(mountPath):容器/etc/foo目录;
cat < secret-vol.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: myfoo
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret
EOF

笔记Kubernetes核心技术-之Controller_第22张图片

  • 创建pod并访问加密数据
$kubectl apply -f secret-vol.yaml
$kubectl get pods
#进入pod
$kubectl exec -it myfoo bash
#进入目录
ls /etc/foo
cd /etc/foo
#查看文件
cat password
cat username

笔记Kubernetes核心技术-之Controller_第23张图片

4.2、ConfigMap

作用:存储不加密数据到etcd,让Pod容器以变量或者挂载Volume方式进行访问数据,适用场景:配置文件(IP、端口号、不加密的用户名和密码)。

4.2.1、挂载Volume方式访问

(1)创建配置文件

cat < redis.properties << EOF
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

EOF

(2)创建configmap(名称:redis-config)

#从配置文件创建configmap
$kubectl create configmap redis-config --from-file=redis.properties
#获取cm(configmap)
$kubectl get cm
#查看cm(configmap)
$kubectl describe cm redis-config
#辅助命令:kubectl delete cm --all  删除所有cm

笔记Kubernetes核心技术-之Controller_第24张图片
(4)以Volume方式挂载到Pod容器

  • 创建cmpod yaml文件
    mountPath:将上面redis.properties文件挂载到/etc/config目录;
    command:输入redis.properties信息;
    name:名称redis-config;
cat < cm.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: cmpod
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["/bin/sh", "-c", "cat /etc/config/redis.properties"]
    volumeMounts:
    - name: config-volume
      mountPath: "/etc/config"
  volumes:
  - name: config-volume
    configMap:
      name: redis-config
  restartPolicy: Never
  
EOF

笔记Kubernetes核心技术-之Controller_第25张图片

  • 创建pod以volume挂载并输出配置
$kubectl apply -f cm.yaml
$kubectl get pods
#查看日志,Completed状态,只能以查看日志方式,不能进入容器
$kubectl logs cmpod

笔记Kubernetes核心技术-之Controller_第26张图片

4.2.2、变量方式访问

(1)以变量方式挂载到Pod容器

  • 创建cm yaml文件
    变量名称为:special.level,special.type
    kind:类型为ConfigMap
    name:名称为cmconfig
cat < cmconfig.yaml << EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: cmconfig
  namespace: default
data:
  special.level: info
  special.type: hello

EOF

笔记Kubernetes核心技术-之Controller_第27张图片

  • 生成cm(configMap)
    笔记Kubernetes核心技术-之Controller_第28张图片
  • 创建pod以变量挂载并输出配置
    name:名称为上面cmconfig
    key:为上面定义变量special.level、special.info
cat < cmconfig-var.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: cmvarpod
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["/bin/sh", "-c", "echo $(LEVEL) $(TYPE)"]
    env:
      - name: LEVEL
        valueFrom:
          configMapKeyRef:
            name: cmconfig
            key: special.level
      - name: TYPE
        valueFrom:
          configMapKeyRef:
            name: cmconfig
            key: special.type
  restartPolicy: Never
EOF

笔记Kubernetes核心技术-之Controller_第29张图片
输出变量special.level和special.type值
笔记Kubernetes核心技术-之Controller_第30张图片

5、集群安全机制

5.1、概述

(1)访问K8s集群资源的时候,需要经过三个步骤完成具体操作;

  • 认证
    传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443;
    认证方式(客户端身份认证常用方式):

    https证书认证,基于ca证书;
    http token认证,通过token识别用户;
    http基本认证,用户名+密码认证,使用较少;

  • 鉴权(授权)
    基于RBAC进行鉴权操作(基于角色访问控制);
  • 准入控制
    就是准入控制器的列表,如果列表中找到请求内容则通过,没有拒绝;
    笔记Kubernetes核心技术-之Controller_第31张图片
    (2)访问集群时候,都需要经过apiserver,apiserver做统一协调,类似门卫职责,在访问过程中需要证书、token、或者用户名+密码,进行相关操作和授权,如果访问Pod还需要serviceAccount

5.2、RBAC

基于角色的访问控制;
(1)角色

  • role:针对特定的命名空间访问权限
  • ClusterRole:针对所有命名空间访问权限

(2)角色绑定

  • roleBinding:角色绑定到主体;
  • ClusterRoleBinding:集群角色绑定到主体;

(3)主体

  • user:用户
  • group:用户组;
  • serviceaccount:服务账号(一般用于pod访问);
    笔记Kubernetes核心技术-之Controller_第32张图片

5.3、RBAC实现鉴权

5.3.1、创建命名空间

#查看命名空间
$kubectl get ns
#创建命名空间,名称为roledemo
$kubectl create ns roledemo

笔记Kubernetes核心技术-之Controller_第33张图片
(2)在新创建的命名空间创建pod

#在namespace(roledemo)下创建pod
$kubectl run nginx --image=nginx -n roledemo
#查看指定命名空间下pod
$kubectl get pods -n roledemo

在这里插入图片描述
(3)创建角色

cat < rbac-role.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
  namespace: roledemo
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

EOF

笔记Kubernetes核心技术-之Controller_第34张图片

#在命名空间中创建角色
$kubectl apply -f rbac-role.yaml
#查看命名空间下角色
$kubectl get role -n roledemo
#辅助命令:kubectl get role 查看所有命名空间角色

在这里插入图片描述
(4)创建角色绑定

cat < rbac-rolebinding.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: roledemo
subjects:
- kind: User
  name: ["pods"]
  verbs: ["get", "watch", "list"]

EOF

你可能感兴趣的:(kubernetes,容器,云原生)