云原生之k8s服务管理

服务管理

Service

服务原理

• 容器化带来的题目
  

• 自动调度：在Pod创建之前，用户无法预知Pod所在的节点，以及Pod的IP地址
  
• 一个已经存在的Pod在运行过程中，假如出现故障，Pod也会在新的节点使用新的IP举行部署
  
• 应用程序访问服务的时候，地址也不能经常变更
  
• 多个雷同的Pod如何访问他们上面的服务
  

• Service就是解决这些题目的办法
  
• 服务的自动感知
  

• 服务会创建一个clusterIP这个地址对应资源地址，不管Pod如何变化，服务总能找到对应的Pod，且clusterIP保持不变
  

• 服务的负载均衡
  

• 假如服务后端对应多个Pod，则会通过IPTables/LVS规则将访问的哀求终极映射到Pod内部，自动在多个容器间实现负载均衡
  

• 服务的自动发现
  

• 服务创建时会自动在内部DNS上注册域名
  
• 域名：[服务名称].[名称空间].svc.cluster.local
  

1. 创建服务
3. [root@master ~] kubectl create service clusterip websvc --tcp=80:80 --dry-run=client -o yaml # 资源清单文件
4. [root@master ~] vim websvc.yaml
5. ---
6. kind: Service
7. apiVersion: v1
8. metadata:
9.   name: websvc
10. spec:
11.   type: ClusterIP
12.   selector:
13.     app: web
14.   ports:
15.   - protocol: TCP
16.     port: 80
17.     targetPort: 80
19. [root@master ~] kubectl apply -f websvc.yaml
20. service/websvc created
21. [root@master ~] kubectl get service
22. NAME         TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)
23. kubernetes   ClusterIP   10.245.0.1      <none>        443/TCP
24. websvc       ClusterIP   10.245.5.18     <none>        80/TCP
26. 创建后端应用
27. [root@master ~] vim web1.yaml
28. ---
29. kind: Pod
30. apiVersion: v1
31. metadata:
32.   name: web1
33.   labels:
34.     app: web   # 服务靠标签寻找后端
35. spec:
36.   containers:
37.   - name: apache
38.     image: myos:httpd
40. [root@master ~] kubectl apply -f web1.yaml
41. pod/web1 created
42. [root@master ~] curl http://10.245.5.18
43. Welcome to The Apache.

复制代码

ClusterIP服务

• ClusterIP范例
  

• 默认的ServiceType，通过集群的内部IP暴露服务，选择该值时服务只可以或许在集群内部访问
  

• 域名自动注册
  

1. 解析域名
2. [root@master ~] dnf install -y bind-utils# 安装工具软件包
3. # 查看 DNS 服务地址
4. [root@master ~] kubectl -n kube-system get service kube-dns
5. NAME       TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)
6. kube-dns   ClusterIP   10.245.0.10   <none>        53/UDP,53/TCP,9153/TCP
7. # 域名解析测试
8. [root@master ~] host websvc.default.svc.cluster.local 10.245.0.10
9. Using domain server:
10. Name: 10.245.0.10
11. Address: 10.245.0.10#53
12. Aliases:
14. websvc.default.svc.cluster.local has address 10.245.5.18
17. 服务自动感知
18. [root@master ~] kubectl delete pods --all
19. pod "web1" deleted
20. [root@master ~] kubectl create -f web1.yml
21. pod/web11 created
22. [root@master ~] curl 10.245.167.50  #删除Pod后访问CLUSTER-IP仍能收到响应
23. Welcome to The Apache.
25. 负载均衡
26. [root@master ~] sed 's,web1,web2,' web1.yaml |kubectl apply -f -
27. pod/web2 created
28. [root@master ~] sed 's,web1,web3,' web1.yaml |kubectl apply -f -
29. pod/web3 created
30. [root@master ~] curl -s http://10.245.5.18/info.php |grep php_host
31. php_host:       web1
32. [root@master ~] curl -s http://10.245.5.18/info.php |grep php_host
33. php_host:       web2
34. [root@master ~] curl -s http://10.245.5.18/info.php |grep php_host
35. php_host:       web3
37. 固定 IP 服务
38. [root@master ~] vim websvc.yaml
39. ---
40. kind: Service
41. apiVersion: v1
42. metadata:
43.   name: websvc
44. spec:
45.   type: ClusterIP
46.   clusterIP: 10.245.1.80    # 可以设置 ClusterIP
47.   selector:
48.     app: web
49.   ports:
50.   - protocol: TCP
51.     port: 80
52.     targetPort: 80
54. [root@master ~] kubectl replace --force -f websvc.yaml
55. service "websvc" deleted
56. service/websvc replaced
57. [root@master ~] kubectl get service
58. NAME         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)
59. kubernetes   ClusterIP   10.245.0.1    <none>        443/TCP
60. websvc       ClusterIP   10.245.1.80   <none>        80/TCP
62. 端口别名
63. [root@master ~] vim websvc.yaml
64. ---
65. kind: Service
66. apiVersion: v1
67. metadata:
68.   name: websvc
69. spec:
70.   type: ClusterIP
71.   clusterIP: 10.245.1.80
72.   selector:
73.     app: web
74.   ports:
75.   - protocol: TCP
76.     port: 80
77.     targetPort: myhttp    # 使用别名查找后端服务端口
79. [root@master ~] kubectl replace --force -f websvc.yaml
80. service "websvc" deleted
81. service/websvc replaced
83. [root@master ~] kubectl delete pod --all
84. pod "web1" deleted
85. pod "web2" deleted
86. pod "web3" deleted
88. [root@master ~] vim web1.yaml
89. ---
90. kind: Pod
91. apiVersion: v1
92. metadata:
93.   name: web1
94.   labels:
95.     app: web
96. spec:
97.   containers:
98.   - name: apache
99.     image: myos:httpd
100.     ports:               # 配置端口规范
101.     - name: myhttp       # 端口别名
102.       protocol: TCP      # 协议
103.       containerPort: 80  # 端口号
105. [root@master ~] kubectl apply -f web1.yaml
106. pod/web1 created
107. [root@master ~] curl http://10.245.1.80
108. Welcome to The Apache.

复制代码

• 服务的工作原理
  

• kube-proxy是在全部节点上运行的署理。可以实现简单的数据转发，可以设置更新IPTables/LVS规则，在服务创建时，还提供服务地址DNS自动注册与服务发现功能
  

对外发布应用

服务范例

• 发布服务
  

• ClusterIP服务可以解决集群内应用互访的题目，但外部的应用无法访问集群内的资源，某些应用需要访问集群内的资源，我们就需要对外发布服务
  

• 服务范例
  

• ClusterIP：默认范例，可以实现Pod的自动感知与负载均衡，是最核心的服务范例，但ClusterIP不能对外发布服务，假如想对外发布服务可以使用NodePort或Ingress
  

NodePort服务

• NodePort与Ingress
  

• NodePort：使用根本端口映射（默认值：30000-3267）的方式对外发布服务，可以发布恣意服务（四层）
  
• 使用Ingress控制器（一般由Nginx或HAProxy构成），用来发布http、https服务（七层）
  

• 服务资源清单文件
  

1. [root@master ~] vim nodeport.yml
2. ---
3. kind: Service
4. apiVersion: v1
5. metadata:
6.   name: mysvc
7. spec:
8.   type: NodePort   #指定服务类型
9.   selector:
10.     app: web
11.   ports:
12.   - protocol: TCP
13.     nodePort: 31234 #可选配置，不指定端口使用随机端口
14.     port: 80
15.     targetPort: 80
16. [root@master ~] kubectl apply -f mysvc.yaml
17. service/mysvc configured
18. [root@master ~] kubectl get service
19. NAME         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)
20. kubernetes   ClusterIP   10.245.0.1    <none>        443/TCP
21. websvc       ClusterIP   10.245.1.80   <none>        80/TCP
22. mysvc        NodePort    10.245.3.88   <none>        80:30080/TCP
24. Nodeport会在所有节点映射端口，可以访问任意节点
25. [root@master ~] curl http://node-0001:30080
26. Welcome to The Apache.
27. [root@master ~] curl http://node-0002:30080
28. Welcome to The Apache.
29. [root@master ~] curl http://node-0003:30080
30. Welcome to The Apache.
31. [root@master ~] curl http://node-0004:30080
32. Welcome to The Apache.
33. [root@master ~] curl http://node-0005:30080
34. Welcome to The Apache.

复制代码

Ingress安装

• Ingress是什么？
  

• Ingress公开从集群外部到集群内服务的HTTP和HTTPS路由。流量路由由Ingress资源上定义的规则控制
  
• Ingress控制器通常由负载均衡器来实现（Nginx、HAProxy）
  

• 安装Ingress控制器
  

• Ingress服务由（规则+控制器）构成
  
• 规则负责订定计谋，控制器负责执行
  
• 假如没有控制器，单独设置规则无效
  

1. [root@master ~] cd plugins/ingress
2. [root@master ingress] docker load -i ingress.tar.xz
3. [root@master ingress] docker images|while read i t _;do
4.     [[ "${t}" == "TAG" ]] && continue
5.     [[ "${i}" =~ ^"harbor:443/".+ ]] && continue
6.     docker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}
7.     docker push harbor:443/plugins/${i##*/}:${t}
8.     docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
9. done
10. [root@master ingress] sed -ri 's,^(\s*image: )(.*/)?(.+),\1harbor:443/plugins/\3,' deploy.yaml
11. 443:    image: registry.k8s.io/ingress-nginx/controller:v1.9.6
12. 546:    image: registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20231226-1a7112e06
13. 599:    image: registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20231226-1a7112e06
15. [root@master ingress] kubectl apply -f deploy.yaml
16. [root@master ingress] kubectl -n ingress-nginx get pods
17. NAME                                        READY   STATUS      RESTARTS
18. ingress-nginx-admission-create--1-lm52c     0/1     Completed   0
19. ingress-nginx-admission-patch--1-sj2lz      0/1     Completed   0
20. ingress-nginx-controller-5664857866-tql24   1/1     Running     0

复制代码

设置Ingress规则

1. 验证后端服务
2. [root@master ~] kubectl get pods,services
3. NAME       READY   STATUS    RESTARTS   AGE
4. pod/web1   1/1     Running   0          35m
6. NAME                 TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)
7. service/kubernetes   ClusterIP   10.245.0.1    <none>        443/TCP
8. service/websvc       ClusterIP   10.245.1.80   <none>        80/TCP
9. service/mysvc        NodePort    10.245.3.88   <none>        80:30080/TCP
11. [root@master ~] curl http://10.245.1.80
12. Welcome to The Apache.
14. 对外发布服务
15. # 查询 ingress 控制器类名称
16. [root@master ~] kubectl get ingressclasses.networking.k8s.io
17. NAME    CONTROLLER             PARAMETERS   AGE
18. nginx   k8s.io/ingress-nginx   <none>       5m7s
20. # 资源清单文件
21. [root@master ~] kubectl create ingress mying --class=nginx --rule=nsd.tedu.cn/*=mysvc:80 --dry-run=client -o yaml
22. [root@master ~] vim mying.yaml
23. ---
24. kind: Ingress
25. apiVersion: networking.k8s.io/v1
26. metadata:
27.   name: mying
28. spec:
29.   ingressClassName: nginx
30.   rules:
31.   - host: nsd.tedu.cn
32.     http:
33.       paths:
34.       - path: /
35.         pathType: Prefix
36.         backend:
37.           service:
38.             name: websvc
39.             port:
40.               number: 80
42. [root@master ~] kubectl apply -f mying.yaml
43. ingress.networking.k8s.io/mying created
44. [root@master ~] kubectl get ingress
45. NAME    CLASS   HOSTS         ADDRESS        PORTS
46. mying   nginx   nsd.tedu.cn   192.168.1.51   80
47. [root@master ~] curl -H "Host: nsd.tedu.cn" http://192.168.1.51
48. Welcome to The Apache.

复制代码

Dashboard

概述

• Dashboard 是什么？
  

• Dashboard 是基于网页的 Kubernetes 用户界面。
  
• Dashboard 同时展示了 Kubernetes 集群中的资源状态信息和全部报错信息。
  
• 你可以使用 Dashboard 将应用部署到集群中，也可以对容器应用排错，还能管理集群资源。例如，你可以对应用弹性伸缩、发起滚动升级、重启等等。
  

• 安装
  

1. [root@master ~] cd plugins/dashboard
2. [root@master dashboard] docker load -i dashboard.tar.xz
3. [root@master dashboard] docker images|while read i t _;do
4.     [[ "${t}" == "TAG" ]] && continue
5.     [[ "${i}" =~ ^"harbor:443/".+ ]] && continue
6.     docker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}
7.     docker push harbor:443/plugins/${i##*/}:${t}
8.     docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
9. done
10. [root@master dashboard] sed -ri 's,^(\s*image: )(.*/)?(.+),\1harbor:443/plugins/\3,' recommended.yaml
11. 193:    image: kubernetesui/dashboard:v2.7.0
12. 278:    image: kubernetesui/metrics-scraper:v1.0.8
13. [root@master dashboard] kubectl apply -f recommended.yaml
14. [root@master dashboard] kubectl -n kubernetes-dashboard get pods
15. NAME                                         READY   STATUS    RESTARTS
16. dashboard-metrics-scraper-66f6f56b59-b42ng   1/1     Running   0
17. kubernetes-dashboard-65ff57f4cf-lwtsk        1/1     Running   0

复制代码

• 发布服务
  

1. # 查看服务状态
2. [root@master dashboard] kubectl -n kubernetes-dashboard get service
3. NAME                        TYPE        CLUSTER-IP       PORT(S)
4. dashboard-metrics-scraper   ClusterIP   10.245.205.236   8000/TCP
5. kubernetes-dashboard        ClusterIP   10.245.215.40    443/TCP
6. # 获取服务资源对象文件
7. [root@master dashboard] sed -n '30,45p' recommended.yaml >dashboard-svc.yaml
8. [root@master dashboard] vim dashboard-svc.yaml
9. ---
10. kind: Service
11. apiVersion: v1
12. metadata:
13.   labels:
14.     k8s-app: kubernetes-dashboard
15.   name: kubernetes-dashboard
16.   namespace: kubernetes-dashboard
17. spec:
18.   type: NodePort
19.   ports:
20.     - port: 443
21.       nodePort: 30443
22.       targetPort: 8443
23.   selector:
24.     k8s-app: kubernetes-dashboard
26. [root@master dashboard] kubectl apply -f dashboard-svc.yaml
27. service/kubernetes-dashboard configured
28. [root@master dashboard] kubectl -n kubernetes-dashboard get service
29. NAME                        TYPE        CLUSTER-IP       PORT(S)
30. dashboard-metrics-scraper   ClusterIP   10.245.205.236   8000/TCP
31. kubernetes-dashboard        NodePort    10.245.215.40    443:30443/TCP

复制代码

认证和授权

ServiceAccount

用户概述

用户认证

• 全部Kubernetes集群都有两类用户：由Kubernetes管理的服务帐号和普通用户
  
• 普通用户是以证书或秘钥形式签发，重要用途是认证和鉴权，集群中并不包罗用来代表普通用户帐号的对象，普通用户的信息无法调用和查询
  
• 服务账号是KubernetesAPI所管理的用户。它们被绑定到特定的名字空间，与一组Secret凭据相干联，供Pod调用以获得相应的授权。
  

创建ServiceAccount

• 创建服务账号
  

1. # 资源对象模板
2. [root@master ~] kubectl -n kubernetes-dashboard create serviceaccount kube-admin --dry-run=client -o yaml
3. [root@master ~] vim admin-user.yaml
4. ---
5. kind: ServiceAccount
6. apiVersion: v1
7. metadata:
8.   name: kube-admin
9.   namespace: kubernetes-dashboard
11. [root@master ~] kubectl apply -f admin-user.yaml
12. serviceaccount/kube-admin created
13. [root@master ~] kubectl -n kubernetes-dashboard get serviceaccounts
14. NAME                   SECRETS   AGE
15. default                0         16m
16. kube-admin             0         11s
17. kubernetes-dashboard   0         16m

复制代码

• 获取用户 token
  

1. [root@master ~] kubectl -n kubernetes-dashboard create token kube-admin  # 生成Base64 编码的令牌数据

复制代码

权限管理

资源对象描述作用域ServiceAccount服务账号，为 Pod 中运行的历程提供了一个身份单一名称空间Role角色，包罗一组代表相干权限的规则单一名称空间ClusterRole角色，包罗一组代表相干权限的规则全集群RoleBinding将权限赋予用户，Role、ClusterRole 均可使用单一名称空间ClusterRoleBinding将权限赋予用户，只可以使用 ClusterRole全集群 资源对象权限
createdeletedeletecollectiongetlistpatchupdatewatch创建删除删除聚集获取属性获取列表补丁更新监控 角色与授权

• 假如想访问和管理kubernetes集群，就要对身份以及权限做验证，kubernetes支持的鉴权模块有Node、RBAC、ABAC、Webhook API
  

• Node：一种特殊用途的鉴权模式，专门对kubelet发出的哀求举行鉴权
  
• RBAC：是一种基于构造中用户的角色来控制资源使用的方法
  
• ABAC：基于属性的访问控制，是一种通过将用户属性与权限组合在一起向用户授权的方法
  
• Webhook：是一个HTTP回调
  

• RBAC授权（RBAC声明白四种Kubernetes对象）
  

• Role：用来在某一个名称空间内创建授权角色，创建Role时，必须指定所属的名字空间的名字
  
• ClusterRole：可以和Role雷同完成授权。但属于集群范围，对全部名称空间有用
  
• RoleBinding：是将角色中定义的权限赋予一个大概一组用户，可以使用Role或ClusterRole完成授权
  
• ClusterRoleBinding在集群范围执行授权，对全部名称空间有用，只能使用ClusterRole完成授权
  

1. 普通角色
2. [root@master ~] kubectl cluster-info dump |grep authorization-mode
3.                             "--authorization-mode=Node,RBAC",
5. # 资源对象模板
6. [root@master ~] kubectl -n default create role myrole --resource=pods --verb=get,list --dry-run=client -o yaml
7. [root@master ~] kubectl -n default create rolebinding kube-admin-role --role=myrole --serviceaccount=kubernetes-dashboard:kube-admin --dry-run=client -o yaml
8. [root@master ~] vim myrole.yaml
9. ---
10. kind: Role
11. apiVersion: rbac.authorization.k8s.io/v1
12. metadata:
13.   name: myrole
14.   namespace: default
15. rules:
16. - apiGroups:
17.   - ""
18.   resources:
19.   - pods
20.   verbs:
21.   - get
22.   - list
24. ---
25. kind: RoleBinding
26. apiVersion: rbac.authorization.k8s.io/v1
27. metadata:
28.   name: kube-admin-role
29.   namespace: default
30. roleRef:
31.   apiGroup: rbac.authorization.k8s.io
32.   kind: Role
33.   name: myrole
34. subjects:
35. - kind: ServiceAccount
36.   name: kube-admin
37.   namespace: kubernetes-dashboard
39. [root@master ~] kubectl apply -f myrole.yaml
40. role.rbac.authorization.k8s.io/myrole created
41. rolebinding.rbac.authorization.k8s.io/kube-admin-role created
43. [root@master ~] kubectl delete -f myrole.yaml
44. role.rbac.authorization.k8s.io "myrole" deleted
45. rolebinding.rbac.authorization.k8s.io "kube-admin-role" deleted
47. 集群管理员
48. [root@master ~] kubectl get clusterrole
49. NAME                              CREATED AT
50. admin                             2022-06-24T08:11:17Z
51. cluster-admin                     2022-06-24T08:11:17Z
52. ... ...
54. # 资源对象模板
55. [root@master ~] kubectl create clusterrolebinding kube-admin-role --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:kube-admin --dry-run=client -o yaml
56. [root@master ~] vim admin-user.yaml
57. ---
58. kind: ServiceAccount
59. apiVersion: v1
60. metadata:
61.   name: kube-admin
62.   namespace: kubernetes-dashboard
64. ---
65. kind: ClusterRoleBinding
66. apiVersion: rbac.authorization.k8s.io/v1
67. metadata:
68.   name: kube-admin-role
69. roleRef:
70.   apiGroup: rbac.authorization.k8s.io
71.   kind: ClusterRole
72.   name: cluster-admin
73. subjects:
74. - kind: ServiceAccount
75.   name: kube-admin
76.   namespace: kubernetes-dashboard
78. [root@master ~] kubectl apply -f admin-user.yaml
79. serviceaccount/kube-admin unchanged
80. clusterrolebinding.rbac.authorization.k8s.io/kube-admin-role created

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。