kube
Kubernetes核心组件之kube-proxy实现原理
kube-proxy,负责为Service提供集群内部的服务发现和负载均衡。 1 介绍 了解不同网络组件的工作原理有助于正确设计和配置它们,以满足你的应用程序需求。 在Kubernetes网络的背后,有一个在幕后工作的组件。它将你的服务(Services)转化为一些可用的网络规则。这个组件被称为 K ......
K8s攻击案例:kube-proxy不安全配置
通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。 (1)攻击场景 使用kubectl proxy命令设置API server接收所有主机的请求。 kubectl --insecure-skip-tls-verify proxy --accept- ......
kube-apiserver默认开启8080非安全端口
k8s v1.19.0 pkg\kubeapiserver\options\serving.goNewInsecureServingOptions函数 启动参数insecure-port设为0,不再开启非安全端口。staging\src\k8s.io\apiserver\pkg\server\opt ......
kube-prometheus的使用
1.兼容性 Github:https://github.com/prometheus-operator/kube-prometheus kube-prometheus stack Kubernetes 1.22 Kubernetes 1.23 Kubernetes 1.24 Kubernetes 1 ......
kube-apiserver开启审计
k8s v1.19.0 # /etc/kubernetes/pki/audit-policy.yaml apiVersion: audit.k8s.io/v1beta1 kind: Policy rules: - level: Request resources: - group: "" - lev ......
k8s 安装kubesphere3.4.1 多次安装报错 Error from server (InternalError): Internal error occurred: failed calling webhook \“users.iam.kubes
failed: [localhost] (item={'ns': 'kubesphere-system', 'kind': 'users.iam.kubesphere.io', 'resource': 'admin', 'release': 'ks-core'}) => {"ansible_loop ......
一文详解kube-apiserver认证鉴权能力
本文分享自华为云社区《kube-apiserver认证鉴权能力》,作者: 可以交个朋友。 HTTPS为什么要进行身份验证 首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver,有图有真相 所以要想了解kube-apiserver认证鉴权,得先从HTTPS说起;接下 ......
prometheus监控k8s集群信息(通过kube-state-metrics)
prometheus监控k8s集群信息(通过kube-state-metrics) 因为通过k8s集群中kubelet和apiserver自带的一些接口来获取的信息太少,当然如果只需要监控POD的cpu、内存等信息,可能使用kubelet也够了,但是更多的信息还需要其他的工具,这里使用kube-st ......
聊聊kube-scheduler如何完成调度和调整调度权重
Kube-scheduler作为k8s集群的默认调度器,它监听(watch机制)kube-apiserver,查询还未调度的pod,根据调度策略将pod调度至集群内最适合的Node。 ......
Kubernetes 漫游:kube-scheduler
概述 什么是 kube-scheduler ? Kubernetes 集群的核心组件之一,它负责为新创建的 Pods 分配节点。它根据多种因素进行决策,包括: 资源需求和限制:考虑每个 Pod 请求的资源量(如 CPU 和内存)以及节点上可用的资源。 亲和性和反亲和性规则:根据 Pod 的亲和性设置 ......
经过kube-proxy转发后获取client真实ip
--masquerade-all参数 true表示所有访问Service的数据包被SNAT。false(默认情况)表示源地址不属于Pod网段的数据包访问Service被SNAT。 转发场景分析 如果pod发送的响应包源地址不是client发送的请求包目的地址,那么直接丢弃。 client访问clus ......
Kubernetes:kube-apiserver 之准入
kubernetes:kube-apiserver 系列文章: Kubernetes:kube-apiserver 之 scheme(一) Kubernetes:kube-apiserver 之 scheme(二) Kubernetes:kube-apiserver 之启动流程(一) Kuberne ......
kube-apiserver健康检查接口可跳过https证书认证
k8s v1.19.0 livenessProbe、readinessProbe和startupProbe配置,这3个都是走https。 kubelet在执行https探测时跳过证书认证,kube-apiserver正常https业务接口无法跳过证书认证。pkg/probe/http/http.go ......
kube-controller-manager加分布式锁
k8s v1.19.0 kube-controller-manager加分布式锁lease,完成leader选举,与kube-scheduler相同。 cmd/kube-controller-manager/app/controllermanager.goRun函数 staging/src/k8s. ......
Kubernetes:kube-apiserver 之鉴权
kubernetes:kube-apiserver 系列文章: Kubernetes:kube-apiserver 之 scheme(一) Kubernetes:kube-apiserver 之 scheme(二) Kubernetes:kube-apiserver 之启动流程(一) Kuberne ......
Kubernetes: kube-apiserver 之认证
kubernetes:kube-apiserver 系列文章: Kubernetes:kube-apiserver 之 scheme(一) Kubernetes:kube-apiserver 之 scheme(二) Kubernetes:kube-apiserver 之启动流程(一) Kuberne ......
Kubernetes:kube-apiserver 和 etcd 的交互
kubernetes:kube-apiserver 系列文章: Kubernetes:kube-apiserver 之 scheme(一) Kubernetes:kube-apiserver 之 scheme(二) Kubernetes:kube-apiserver 之启动流程(一) Kuberne ......
Kubernetes:kube-apiserver 之启动流程(二)
接着 Kubernetes:kube-apiserver 之启动流程(一) 加以介绍。 1.2.2 创建 APIExtensions Server 创建完通用 APIServer 后继续创建 APIExtensions Server。 func (c completedConfig) New(del ......
904-907 Prometheus自动发现机制 kube-state-metrics和metrics-server Prometheus监控Kubernetes集群 9.4-9.7
一、Prometheus自动发现机制 服务发现机制:为了实现自动将被监控目标添加到Permethus Prometheus数据源的配置分为静态配置和动态发现,常见为以下几类: static_configs:静态服务发现,即将配置直接写到配置文件或Configmap file_sd_config:文件 ......
kube-proxy 详解
前言 在kubernets集群的每个节点上都运行着kube-proxy进程,负责实现Kubernetes中service组件的虚拟IP服务。目前kube-proxy有如下三种工作模式: User space 模式 iptables 模式 IPVS 模式 User space模式 在这种模式下,kub ......
kube-promethues配置钉钉告警
kube-promethues配置钉钉告警 前置:k8s部署kube-promethues 一.配置钉钉机器人 打开钉钉的智能群助手,点击添加机器人 选择自定义机器人 勾选加签,复制后保存 复制webhook地址后点击保存 二.编写dingtalk的yaml部署文件 vi dingtalk.yaml ......
kube-prometheus监控k8s集群内服务
一. 测试环境 1.1 服务器IP分布 节点 IP master-vip 10.255.61.20 tmp-k8s-master1 10.255.61.21 tmp-k8s-master2 10.255.61.22 tmp-k8s-master3 10.255.61.23 tmp-k8s-node1 ......
Kubernetes:kube-apiserver 之启动流程(一)
0. 前言 前面两篇文章 Kubernetes:kube-apiserver 之 scheme(一) 和 Kubernetes:kube-apiserver 之 scheme(二) 重点介绍了 kube-apiserver 中的资源注册表 scheme。这里进入正题,开始介绍 kube-apiser ......
kube_prometheus yml测试工具安装
工具下载地址 解压后效果 #amtool邮箱验证工具 cp amtool /usr/local/bin/ root@t-master:/# amtool --version amtool, version 0.24.0 (branch: HEAD, revision: f484b17fa3c583e ......
Kubernetes:kube-apiserver 之 scheme(二)
接 Kubernetes:kube-apiserver 之 scheme(一)。 2.2 资源 convert 上篇说到资源版本之间通过内部版本 __internal 进行资源转换。这里进一步扩展介绍资源转换内容,以加深理解。 同样以例子开始,通过 kubectl 将 apps/v1beta1/De ......
Kubernetes:kube-apiserver 之 scheme(一)
0. 前言 在进入 kube-apiserver 源码分析前,有一个非常重要的概念需要了解甚至熟悉的:资源注册表(scheme)。 Kubernetes 中一切皆资源,管理的是资源,创建、更新、删除的是资源。如何对庞杂的资源进行管理就成了一件大事。Kubernetes 通过引入 scheme 资源注 ......
Kube-proxy代理方案
IPVS 是专门为LB设计的。它用hash table管理service,对service的增删查找都是O(1)的时间复杂度。不过IPVS内核模块没有SNAT功能,因此借用了iptables的SNAT功能。IPVS针对报文做DNAT后,将连接信息保存在nf_conntrack中,iptables据此 ......
ansible-kube集群部署项目简述
ansible-kube集群部署项目简述 1.目录要求 介于证书生成文件和一些脚本使用了绝对路径;必须将ansible.tgz 包解压到 /ansible 路径下。 工作路径必须为 /ansible/Playbooks/k8s_deploy 2.目录结构以及功能概要 ├── k8s_deploy # ......
kube-ovn vpc没有cidr
kube-ovn中vpc没有cidr,不像传统vpc那样有大网段,关联的subnet cidr可以任意。 kind: Vpc apiVersion: kubeovn.io/v1 metadata: name: vpc0 kind: Subnet apiVersion: kubeovn.io/v1 m ......
scheduler,kube-controller-manager 报server returned HTTP status 401 Unauthorized
现象:K8S 组件报 server returned HTTP status 401 Unauthorized,看apiserver 日志有很多Unable to authenticate the request" err="[x509: certificate has expired or is ......