- 1解决国内GitHub下载速度慢问题_github加速下载
- 2课时1:Windows环境下安装虚拟机——Linux开发环境搭建_windows安装linux开发环境
- 3AI 大模型训练数据白皮书 2024
- 4python 列表生成式( if not(i % 2) and (i % 3))为什么是能被2整除,不能被3整除,如何理解!!_python中if i%2
- 5pnpm在系统中配置了路径,在本地终端gitbash中正常运行,vscode中pnpm报错,vscode的gibash终端显示pnpm command not found_iterm已经安装好pnpm但是vscod报错pnpm not fuond
- 6基于MediaPipe的人体摔倒检测
- 7深度学习(25)——YOLO系列(4)_python深度学习yolo
- 8开源宝藏:ZoteroQuickLook——为你的Zotero之旅加速
- 9HADOOP集群shell脚本分享
- 10VIVADO 查看各个bank固定引脚的用途/怎样打开管脚约束/分配管脚_vivado看管脚分配
4.k8s:cronJob计划任务,初始化容器,污点、容忍,亲和力,身份认证和权限
赞
踩
一、高级调度
1.CronJob 计划任务
在 k8s 中周期性运行计划任务,与 linux 中的 crontab 相同。
注意点:CronJob 执行的时间是 controller-manager 的时间,所以一定要确保 controller-manager 时间是准确的
(1)cron表达式
- * * * * *
- 分钟、小时、天、月、周几
-
- 周几:0表示周日,1表示周一
(2)cron示例
- cd /opt/k8s/
- mkdir jobs
- cd jobs/
- vim cron-job-pd.yaml
-
- ##############################################################
- apiVersion: batch/v1
- kind: CronJob #定时任务
- metadata:
- name: cron-job-test #定时任务名字
- spec:
- concurrencyPolicy: Allow # 并发调度策略:Allow 允许并发调度,Forbid:不允许并发执行,Replace:如果之前的任务还没执行完,就直接执行新的,放弃上一个任务
- failedJobsHistoryLimit: 1 # 保留多少个失败的任务
- successfulJobsHistoryLimit: 3 # 保留多少个成功的任务
- suspend: false # 是否挂起任务,若为 true 则该任务不会执行
- # startingDeadlineSeconds: 30 # 间隔多长时间检测失败的任务并重新执行,时间不能小于 10
- schedule: "* * * * *" # 调度策略
- jobTemplate:
- spec:
- template:
- spec:
- containers:
- - name: busybox
- image: busybox:1.28
- imagePullPolicy: IfNotPresent
- command:
- - /bin/sh
- - -c
- - date; echo Hello from the Kubernetes cluster
- restartPolicy: OnFailure
- ##############################################################
-
- #启动
- kubectl create -f cron-job-pd.yaml
- kubectl get cj cron-job-test
- kubectl get po
- kubectl logs -f cron-job-test-28703645-8rdgv
2.初始化容器 InitContainer
在真正的容器启动之前,先启动 InitContainer,在初始化容器中完成真实容器所需的初始化操作,完成后再启动真实的容器。
相对于 postStart 来说,首先 InitController 能够保证一定在 EntryPoint 之前执行,而 postStart 不能,其次 postStart 更适合去执行一些命令操作,而 InitController 实际就是一个容器,可以在其他基础容器环境下执行更复杂的初始化功能。
注意放置的位置:
- spec:
- initContainers:
- - image: nginx
- imagePullPolicy: IfNotPresent
- command: ["sh", "-c", "echo 'inited;' >> ~/.init"]
- name: init-test
3.污点(Taint)和容忍(Toleration)
(1)概念
污点(Taint):主节点很重要,一般不想把很多不相干的任务放在主节点上执行,因此我们给主节点打污点,那么任务就不会放置到主节点上。
- NoSchedule:如果不能容忍该污点,那么 Pod 就无法调度到该节点上。但是已经存在的会继续保留
-
NoExecute:
- 如果 Pod 不能忍受这类污点,Pod 会马上被驱逐。
- 如果 Pod 能够忍受这类污点,但是在容忍度定义中没有指定 tolerationSeconds, 则 Pod 还会一直在这个节点上运行。
- 如果 Pod 能够忍受这类污点,而且指定了 tolerationSeconds, 则 Pod 还能在这个节点上继续运行这个指定的时间长度。
容忍(Toleration):任务如果不配置容忍,不会部署到主节点上。但是如果配置了容忍,而主节点的污点正好匹配了这个容忍,则任务可以部署到主节点。
-
Equal:比较操作类型为 Equal,则意味着必须与污点值做匹配,key/value都必须相同,才表示能够容忍该污点
-
Exists:容忍与污点的比较只比较 key,不比较 value,不关心 value 是什么东西,只要 key 存在,就表示可以容忍。
(2)操作示例
- #给kubernete141添加污点,并且是NoSchedule类型
- kubectl taint node kubernete141 key=value:NoSchedule
-
- #查看,能够看到这个污点信息
- kubectl describe no kubernete141
-
- #移除污点
- kubectl taint node kubernete141 key=value:NoSchedule-
- kubectl edit deploy nginx-deploy
-
- ##########################################
- spec:
- template:
- spec:
- tolerations:
- - key: "memory"
- operator: "Equal"
- value: "low"
- effect: "NoSchedule"
- ##########################################
-
- kubectl get po -o wide
-
-
- ##########################################
- spec:
- template:
- spec:
- tolerations:
- - key: "memory"
- operator: "Exists"
- effect: "NoSchedule"
- ##########################################
4.亲和力
污点主要是驱逐为主,不适配的驱逐走。亲和力主要是优先适配。
(1)节点亲和力:NodeAffinity
硬亲和力(RequiredDuringSchedulingIgnoredDuringExecution):即支持必须部署在指定的节点上,也支持必须不部署在指定的节点上
软亲和力(PreferredDuringSchedulingIgnoredDuringExecution):尽量部署在满足条件的节点上,或尽量不要部署在被匹配的节点上
- kubectl edit deploy nginx-deploy
-
- ############################################################################
- spec:
- template:
- spec:
- affinity: # 亲和力配置
- nodeAffinity: # 节点亲和力
- requiredDuringSchedulingIgnoredDuringExecution: # 节点必须匹配下方配置
- nodeSelectorTerms: # 选择器
- - matchExpressions: # 匹配表达式
- - key: topology.kubernetes.io/zone # 匹配 label 的 key
- operator: In # 匹配方式,只要匹配成功下方的一个 value 即可
- values:
- - antarctica-east1 # 匹配的 value
- - antarctica-west1 # 匹配的 value
- preferredDuringSchedulingIgnoredDuringExecution: # 节点尽量匹配下方配置
- - weight: 1 # 权重[1,100],按照匹配规则对所有节点累加权重,最终之和会加入优先级评分,优先级越高被调度的可能性越高
- preference:
- matchExpressions: # 匹配表达式
- - key: another-node-label-key # label 的 key
- operator: In # 匹配方式,满足一个即可
- values:
- - another-node-label-value # 匹配的 value
- ############################################################################
-
-
- #打标签
- kubectl label no kubernete141 topology.kubernetes.io/zone=antarctica-east1
- kubectl label no kubernete142 topology.kubernetes.io/zone=antarctica-east1
- kubectl label no kubernete141 another-node-label-key=another-node-label-value
-
- #可以看到都去了141
- kubectl get po -o wide
-
匹配类型
-
In:满足一个就行
-
NotIn:一个都不能满足,反亲和性
-
Exists:只要存在就满足
-
DoesNotExist:不存在就满足
-
Gt:大于
-
Lt:小于
(2)PodAffinity:pod亲和性
将与指定 pod 亲和力相匹配的 pod 部署在同一节点。前提是必须已经有一个pod了。
- apiVersion: v1
- kind: Pod
- metadata:
- name: with-pod-affinity
- spec:
- affinity: # 亲和力配置
- podAffinity: # pod 亲和力配置
- requiredDuringSchedulingIgnoredDuringExecution: # 当前 pod 必须匹配到对应条件 pod 所在的 node 上
- - labelSelector: # 标签选择器
- matchExpressions: # 匹配表达式
- - key: security # 匹配的 key
- operator: In # 匹配方式
- values: # 匹配其中的一个 value
- - S1
- topologyKey: topology.kubernetes.io/zone #节点必须要有这个标签
- podAntiAffinity: # pod 反亲和力配置
- preferredDuringSchedulingIgnoredDuringExecution: # 尽量不要将当前节点部署到匹配下列参数的 pod 所在的 node 上
- - weight: 100 # 权重
- podAffinityTerm: # pod 亲和力配置条件
- labelSelector: # 标签选择器
- matchExpressions: # 匹配表达式
- - key: security # 匹配的 key
- operator: In # 匹配的方式
- values:
- - S2 # 匹配的 value
- topologyKey: topology.kubernetes.io/zone
- containers:
- - name: with-pod-affinity
- image: pause:2.0
二、身份认证与权限
Kubernetes 中提供了良好的多租户认证管理机制,如 RBAC、ServiceAccount 还有各种策略等。
通过该文件可以看到已经配置了 RBAC 访问控制:/usr/lib/systemd/system/kube-apiserver.service
(1)服务账户和普通账户
所有 Kubernetes 集群有两类用户:由 Kubernetes 管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。
普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。
需要注意:在 Kubernetes 中不能通过 API 调用将普通用户添加到集群中。
- 普通帐户是针对(人)用户的,服务账户针对 Pod 进程
- 普通帐户是全局性。在集群所有namespaces中,名称具有惟一性。
- 通常,群集的普通帐户可以与企业数据库同步,新的普通帐户创建需要特殊权限。服务账户创建目的是更轻量化,允许集群用户为特定任务创建服务账户。
- 普通帐户和服务账户的审核注意事项不同。
- 对于复杂系统的配置包,可以包括对该系统的各种组件的服务账户的定义。
(2)服务账户的控制器
服务账户主要有3个控制器构成。
*1)Service Account Admission Controller
通过 Admission Controller 插件来实现对 pod 修改,它是 apiserver 的一部分。创建或更新 pod 时会同步进行修改 pod。当插件处于激活状态(在大多数发行版中都默认情况)创建或修改 pod 时,会按以下操作执行:
- 如果 pod 没有设置 ServiceAccount,则将 ServiceAccount 设置为 default。
- 确保 pod 引用的 ServiceAccount 存在,否则将会拒绝请求
- 如果 pod 不包含任何 ImagePullSecrets,则将ServiceAccount 的 ImagePullSecrets 会添加到 pod 中
- 为包含 API 访问的 Token 的 pod 添加了一个 volume。
- 把 volumeSource 添加到安装在 pod 的每个容器中,挂载在 /var/run/secrets/kubernetes.io/serviceaccount
*2)TokenController
TokenController 作为 controller-manager 的一部分运行。异步行为:
- 观察 serviceAccount 的创建,并创建一个相应的 Secret 来允许 API 访问。
- 观察 serviceAccount 的删除,并删除所有相应的ServiceAccountToken Secret
- 观察 secret 添加,并确保关联的 ServiceAccount 存在,并在需要时向 secret 中添加一个 Token。
- 观察 secret 删除,并在需要时对应 ServiceAccount 的关联
*3)Service Account Controller
Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。
- #查看服务账户
- kubectl get sa
- kubectl get sa -n kube-system
(3)授权rbac
*1)role
代表一个角色,会包含一组权限,没有拒绝规则,只是附加允许。它是 Namespace 级别的资源,只能作用与 Namespace 之内。
- #查看角色
- kubectl get role -n ingress-nginx -o yaml
- apiVersion: rbac.authorization.k8s.io/v1
- kind: Role
- metadata:
- labels:
- app.kubernetes.io/name: ingress-nginx
- app.kubernetes.io/part-of: ingress-nginx
- name: nginx-ingress
- namespace: ingress-nginx
- roles:
- - apiGroups:
- - ""
- resources:
- - configmaps
- - pods
- - secrets
- - namespaces
- verbs:
- - get
- - apiGroups:
- - ""
- resourceNames:
- - ingress-controller-label-nginx
- resources:
- - configmaps
- verbs:
- - get
- - update
- - apiGroups:
- - ""
- resources:
- - configmaps
- verbs:
- - create
*2)ClusterRole
功能与 Role 一样,区别是资源类型为集群类型,而 Role 只在 Namespace
kubectl get clusterrole view -oyaml*3)RoleBinding
Role 或 ClusterRole 只是用于制定权限集合,具体作用与什么对象上,需要使用 RoleBinding 来进行绑定。
作用于 Namespace 内,可以将 Role 或 ClusterRole 绑定到 User、Group、Service Account 上。
kubectl get rolebinding --all-namespaces
- apiVersion: rbac.authorization.k8s.io/v1
- kind: RoleBinding
- metadata:
- ......
- roleRef:
- apiGroup: rbac.authorization.k8s.io
- kind: Role
- name nginx-ingress-role
- subjects:
- - kind: ServiceAccount
- name: nginx-ingress-serviceaccount
- namespace: ingress-nginx
*4)ClusterRoleBinding
与 RoleBinding 相同,但是作用于集群之上,可以绑定到该集群下的任意 User、Group 或 Service Account
3.感谢支持
感谢各位大佬支持,如果觉得满意可以请喝一杯咖啡吗:
