学习 Kubernetes 基础知识

任务

任务
安装工具
安装并设置 kubectl
安装 Minikube
管理集群
用 kubeadm 进行管理
Adding Windows nodes (EN)
Upgrading Windows nodes (EN)
使用 kubeadm 进行证书管理
升级 kubeadm 集群
管理内存,CPU 和 API 资源
为命名空间配置默认的内存请求和限制
为命名空间配置默认的CPU请求和限制
配置命名空间的最小和最大内存约束
为命名空间配置CPU最小和最大限制
为命名空间配置内存和 CPU 配额
配置命名空间下pod总数
安装网络规则驱动
使用 Calico 作为 NetworkPolicy
使用 Cilium 作为 NetworkPolicy
使用 Kube-router 作为 NetworkPolicy
使用 Romana 作为 NetworkPolicy
使用 Weave Net 作为 NetworkPolicy
Debug DNS 方案
Enabling Service Topology (EN)
IP Masquerade Agent 用户指南
Kubernetes 云管理控制器
Safely Drain a Node while Respecting the PodDisruptionBudget (EN)
为 Kubernetes 运行 etcd 集群
为系统守护进程预留计算资源
为节点发布扩展资源
使用 CoreDNS 进行服务发现
使用 KMS 提供商进行数据加密
使用 Kubernetes API 访问集群
关键插件 Pod 的调度保证
启用端点切片
命名空间演练
在 Kubernetes 集群中使用 NodeLocal DNSCache
在 Kubernetes 集群中使用 sysctl
在实时集群上重新配置节点的 Kubelet
声明网络策略
开发云控制器管理器
控制节点上的 CPU 管理策略
控制节点上的拓扑管理策略
搭建高可用的 Kubernetes Masters
改变默认 StorageClass
更改 PersistentVolume 的回收策略
自定义 DNS 服务
访问集群上运行的服务
通过命名空间共享集群
通过配置文件设置 Kubelet 参数
配置 API 对象配额
配置多个调度器
配置资源不足时的处理方式
限制存储消耗
集群 DNS 服务自动伸缩
集群安全
集群管理
静态加密 Secret 数据
配置 Pods 和容器
为容器和 Pod 分配内存资源
Assign CPU Resources to Containers and Pods
Configure GMSA for Windows Pods and containers (EN)
为 Windows 的 pod 和容器配置 RunAsUserName
配置 Pod 的服务质量
为容器分派扩展资源
配置 Pod 以使用卷进行存储
配置 Pod 以使用 PersistentVolume 作为存储
配置 Pod 使用投射卷作存储
Configure a Security Context for a Pod or Container (EN)
为 Pod 配置服务账户
从私有仓库拉取镜像
配置存活、就绪和启动探测器
Assign Pods to Nodes using Node Affinity (EN)
将 Pod 分配给节点
配置 Pod 初始化
为容器的生命周期事件设置处理函数
使用 ConfigMap 配置 Pod
在 Pod 中的容器之间共享进程命名空间
创建静态 Pod
将 Docker Compose 文件转换为 Kubernetes 资源
管理 Kubernetes 对象
Declarative Management of Kubernetes Objects Using Configuration Files (EN)
Declarative Management of Kubernetes Objects Using Kustomize (EN)
Managing Kubernetes Objects Using Imperative Commands (EN)
使用配置文件对 Kubernetes 对象进行命令式管理
给应用注入数据
为容器设置启动时要执行的命令及其入参
为容器设置环境变量
使用 PodPreset 将信息注入 Pods
使用 Secret 安全地分发凭证
通过文件将Pod信息呈现给容器
通过环境变量将Pod信息呈现给容器
运行应用
运行一个有状态的应用程序
使用 kubectl patch 更新 API 对象
删除 StatefulSet
强制删除 StatefulSet 类型的 Pods
基于Replication Controller执行滚动升级
Pod 水平自动伸缩
Horizontal Pod Autoscaler演练
指定应用程序的中断预算(Disruption Budget)
使用Deployment运行一个无状态应用
弹缩StatefulSet
运行一个单实例有状态应用
运行 Jobs
使用 CronJob 运行自动化任务
使用扩展进行并行处理
使用工作队列进行粗粒度并行处理
使用工作队列进行精细的并行处理
访问集群中的应用程序
网页界面 (Dashboard)
访问集群
使用端口转发来访问集群中的应用
使用服务来访问集群中的应用
创建一个外部负载均衡器
配置你的云平台防火墙
Set up Ingress on Minikube with the NGINX Ingress Controller (EN)
列出集群中所有运行容器的镜像
为集群配置 DNS
使用 Service 把前端连接到后端
同 Pod 内的容器使用共享卷通信
配置对多集群的访问
监控、日志和排错
Auditing
Auditing with Falco (EN)
Debug Running Pods (EN)
Logging Using Stackdriver (EN)
StackDriver 中的事件
使用 crictl 对 Kubernetes 节点进行调试
使用 ElasticSearch 和 Kibana 进行日志管理
在本地开发和调试服务
应用故障排查
应用自测与调试
排错
确定 Pod 失败的原因
节点健康监测
获取正在运行容器的 Shell
调试 Init 容器
调试 Pods 和 Replication Controllers
调试 Service
调试StatefulSet
资源指标管道
资源监控工具
集群故障排查
扩展 Kubernetes
使用自定义资源
Extend the Kubernetes API with CustomResourceDefinitions (EN)
用户自定义资源版本
配置聚合层
设置一个扩展的 API server
使用 HTTP 代理访问 Kubernetes API
TLS
管理集群中的 TLS 认证
证书轮换
联邦 - 在多个集群上运行一个应用
将 CoreDNS 设置为联邦集群的 DNS 提供者
使用联合服务来实现跨集群的服务发现
管理联邦控制平面
联邦 ConfigMap
联邦 DaemonSet
联邦 Deployment
联邦 Job
联邦 ReplicaSet
联邦 Secret
联邦事件
联邦命名空间
在联邦中设置放置策略
管理集群守护进程
对 DaemonSet 执行回滚
对 DaemonSet 执行滚动更新
安装服务目录
使用 Helm 安装 Service Catalog
使用 SC 安装服务目录
网络
验证 IPv4/IPv6 双协议栈
用插件扩展 kubectl
管理巨页(HugePages)
调度 GPUs

Edit This Page

为 Pod 配置服务账户

服务账户为 Pod 中运行的进程提供了一个标识。

本文是服务账户的用户使用介绍。您也可以参考集群管理指南之服务账户

注意:

本文档描述 Kubernetes 项目推荐的集群中服务帐户的行为。 集群管理员也可能已经定制了服务账户在集群中的属性,在这种情况下,本文档可能并不适用。

当您(人类)访问集群时(例如,使用 kubectl),api 服务器将您的身份验证为特定的用户帐户(当前这通常是 admin,除非您的集群管理员已经定制了您的集群配置)。 Pod 内的容器中的进程也可以与 api 服务器接触。 当它们进行身份验证时,它们被验证为特定的服务帐户(例如,default)。

准备开始

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

要获知版本信息,请输入 kubectl version.

使用默认的服务账户访问 API 服务器

当您创建 Pod 时,如果没有指定服务账户,Pod 会被指定命名空间中的default服务账户。 如果您查看 Pod 的原始 json 或 yaml(例如:kubectl get pods/podname -o yaml), 您可以看到 spec.serviceAccountName 字段已经被自动设置了。

您可以使用自动挂载给 Pod 的服务账户凭据访问 API,访问集群 中有相关描述。 服务账户的 API 许可取决于您所使用的授权插件和策略

在 1.6 以上版本中,您可以通过在服务账户上设置 automountServiceAccountToken: false 来实现不给服务账号自动挂载 API 凭据:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: build-robot
automountServiceAccountToken: false
...

在 1.6 以上版本中,您也可以选择不给特定 Pod 自动挂载 API 凭据:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: build-robot
  automountServiceAccountToken: false
  ...

如果 Pod 和服务账户都指定了 automountServiceAccountToken 值,则 Pod 的 spec 优先于服务帐户。

使用多个服务账户

每个命名空间都有一个名为 default 的服务账户资源。 您可以用下面的命令查询这个服务账户以及命名空间中的其他 serviceAccount 资源:

kubectl get serviceAccounts
NAME      SECRETS    AGE
default   1          1d

您可以像这样来创建额外的 ServiceAccount 对象:

kubectl create -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: build-robot
EOF
serviceaccount/build-robot created

如果您查询服务帐户对象的完整信息,如下所示:

kubectl get serviceaccounts/build-robot -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2015-06-16T00:12:59Z
  name: build-robot
  namespace: default
  resourceVersion: "272500"
  uid: 721ab723-13bc-11e5-aec2-42010af0021e
secrets:
- name: build-robot-token-bvbk5

那么您就能看到系统已经自动创建了一个令牌并且被服务账户所引用。

您可以使用授权插件来 设置服务账户的访问许可

要使用非默认的服务账户,只需简单的将 Pod 的 spec.serviceAccountName 字段设置为您想用的服务账户名称。

Pod 被创建时服务账户必须存在,否则会被拒绝。

您不能更新已经创建好的 Pod 的服务账户。

您可以清除服务账户,如下所示:

kubectl delete serviceaccount/build-robot

手动创建服务账户 API 令牌

假设我们有一个上面提到的名为 “build-robot” 的服务账户,然后我们手动创建一个新的 Secret。

kubectl create -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: build-robot-secret
  annotations:
    kubernetes.io/service-account.name: build-robot
type: kubernetes.io/service-account-token
EOF
secret/build-robot-secret created

现在,您可以确认新构建的 Secret 中填充了 “build-robot” 服务帐户的 API 令牌。

令牌控制器将清理不存在的服务帐户的所有令牌。

kubectl describe secrets/build-robot-secret
Name:           build-robot-secret
Namespace:      default
Labels:         <none>
Annotations:    kubernetes.io/service-account.name=build-robot
                kubernetes.io/service-account.uid=da68f9c6-9d26-11e7-b84e-002dc52800da

Type:   kubernetes.io/service-account-token

Data
====
ca.crt:         1338 bytes
namespace:      7 bytes
token:          ...
注意:

这里省略了 token 的内容。

为服务账户添加 ImagePullSecrets

首先,创建一个 ImagePullSecrets,可以参考这里 的描述。 然后,确认创建是否成功。例如:

kubectl get secrets myregistrykey
NAME             TYPE                              DATA    AGE
myregistrykey    kubernetes.io/.dockerconfigjson   1       1d

接着修改命名空间的默认服务帐户,以将该 Secret 用作 imagePullSecret。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

需要手动编辑的交互式版本:

kubectl get serviceaccounts default -o yaml > ./sa.yaml

cat sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2015-08-07T22:02:39Z
  name: default
  namespace: default
  resourceVersion: "243024"
  uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6
secrets:
- name: default-token-uudge

vi sa.yaml
[editor session not shown]
[delete line with key "resourceVersion"]
[add lines with "imagePullSecrets:"]

cat sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2015-08-07T22:02:39Z
  name: default
  namespace: default
  uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6
secrets:
- name: default-token-uudge
imagePullSecrets:
- name: myregistrykey

kubectl replace serviceaccount default -f ./sa.yaml
serviceaccounts/default

现在,在当前命名空间中创建的每个新 Pod 的 spec 中都会添加下面的内容:

spec:
  imagePullSecrets:
  - name: myregistrykey

服务帐户令牌卷投影

FEATURE STATE: Kubernetes v1.12 beta
注意:

ServiceAccountTokenVolumeProjection 在 1.12 版本中是 beta 阶段,可以通过向 API 服务器传递以下所有参数来启用它:

  • --service-account-issuer
  • --service-account-signing-key-file
  • --service-account-api-audiences

kubelet 还可以将服务帐户令牌投影到 Pod 中。 您可以指定令牌的所需属性,例如受众和有效持续时间。 这些属性在默认服务帐户令牌上无法配置。 当删除 Pod 或 ServiceAccount 时,服务帐户令牌也将对 API 无效。

使用名为 ServiceAccountToken 的 ProjectedVolume 类型在 PodSpec 上配置此功能。 要向 Pod 提供具有 “vault” 观众以及两个小时有效期的令牌,可以在 PodSpec 中配置以下内容:

kind: Pod
apiVersion: v1
spec:
  containers:
  - image: nginx
    name: nginx
    volumeMounts:
    - mountPath: /var/run/secrets/tokens
      name: vault-token
  volumes:
  - name: vault-token
    projected:
      sources:
      - serviceAccountToken:
          path: vault-token
          expirationSeconds: 7200
          audience: vault

Kubelet 将代表 Pod 请求和存储令牌,使令牌在可配置的文件路径上对 Pod 可用,并在令牌接近到期时刷新令牌。 如果令牌存活时间大于其总 TTL 的 80% 或者大于 24 小时,Kubelet 则会主动旋转令牌。

应用程序负责在令牌旋转时重新加载令牌。 对于大多数情况,定期重新加载(例如,每 5 分钟一次)就足够了。

反馈