在 Kubernetes 中常用 Cert Manager 生成并管理自签名证书,常见的 CR 有👇
- Issuer: 用于定义如何生成证书
- ClusterIssuer: 用于定义如何生成集群级别的证书
- Certificate: 用来请求和管理证书的主要资源
- CertificateRequest: 是用于手动请求证书的资源
- Order: 当使用 ACME 协议时会生成,
- Challenge: 是 ACME 协议中的一部分,用于表示 ACME 服务对域名所有权的验证
生产集群的节点内核模块被异常修改,导致集群服务与服务之间网络通信异常,产生了较大规模的生产事故。
此次事故涉及到两个主要的内核模块被修改:
- net.ipv4.ip_forward: 用于启用 IP 转发,当此模块加载时,Linux 内核会允许将数据包转发到其他网络
是指在特定命名空间下部署的 Pod 都会被调度到指定标签的节点上,这个功能需要在 kube-apiserver 添加 PodNodeSelector 参数:
在 K8s 中,DNS 的解析主要用这两个工具:
- CoreDNS: 主要负责集群内部域名解析
- NodeLocalDNS: 提供 DNS 缓存
kube-proxy 以 DaemonSet 的形式运行在集群的所有节点中,负责管理集群外到 Service,以及 Service 到 Pod 的流量转发。
kube-proxy 有三种模式:
- userspace
- iptables
- ipvs
CNI 即容器网络接口,通过 CNI 能够使 K8s 支持不同的网络模式。
CNI 常见的实现模式大致分为两种:
- overlay: 通过隧道打通网络,不依赖底层网络,如 calico
- underlay: 通过底层打通网络,强依赖底层网络,如 macvlan
CSI 即容器存储接口,借助 CSI 就可以很容易的给工作负载提供存储使用。K8s 的存储插件又分为 in-tree 和 out-of-tree 两种类型,前者是与 K8s 主库共同迭代维护,后者则是独立维护的存储插件。
K8s 本身不提供容器创建的实现,容器的创建是通过 CRI 接口调用外部插件实现的,常见的 CRI 有这几种:
- docker
- containerd
- cri-dockerd
一、概念
1.1 k8s概述
Kubernetes 是一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态系统。Kubernetes 的服务、支持和工具广泛可用。
