草庐IT

Kubernetes-RBAC

全部标签

ssl - Kubernetes 将 ca 证书添加到 pod 的信任根

在我的10台机器裸机Kubernetes集群中,一个服务需要调用另一个使用自签名证书的基于https的服务。但是,由于此自签名证书未添加到pod的受信任根ca中,因此调用失败说无法验证x.509证书。所有pod都基于ubuntudocker镜像。但是,将cacert添加到ubuntu上的信任列表的方法(使用dpkg-reconfigureca-certificates)不再适用于该pod。当然,即使我在一个pod上成功添加了ca证书以信任root,但当另一个pod被踢时,它就消失了。我搜索了Kubernetes文档,但惊讶地发现除了配置证书以与API服务对话之外没有找到任何其他文档,这
Kubernetessslsectioncertificatescodedockercertificate

docker - Kubernetes 上的暂存和生产

我为2个命名空间共享同一个集群:staging和production。两个命名空间之间的唯一区别是:安装到某些pod的卷(显然,staging和production之间的持久性分开!)几个用于相对寻址的网址几个用于复杂持久性的数据库IP我已设法按如下方式处理(2)和(3),以便为所有ReplicationControllers:使用命名空间本地的ConfigMaps来定义通过环境变量传递到pod的任何配置使用Services和Endpoints来处理指向不同内部IP的DNS条目但是,我无法找到令人满意的方法来获得gcePersistentDisk的pdName的引用em>-我似乎无法使
Kubernetesdockerstrongemsectiongoogle-cloud-platformgoogle-kubernetes-engine

docker - Kubernetes 上的暂存和生产

我为2个命名空间共享同一个集群:staging和production。两个命名空间之间的唯一区别是:安装到某些pod的卷(显然,staging和production之间的持久性分开!)几个用于相对寻址的网址几个用于复杂持久性的数据库IP我已设法按如下方式处理(2)和(3),以便为所有ReplicationControllers:使用命名空间本地的ConfigMaps来定义通过环境变量传递到pod的任何配置使用Services和Endpoints来处理指向不同内部IP的DNS条目但是,我无法找到令人满意的方法来获得gcePersistentDisk的pdName的引用em>-我似乎无法使
Kubernetesdockerstrongemsectiongoogle-cloud-platformgoogle-kubernetes-engine

docker - 如何在运行时将容器添加到 Kubernetes pod

我有几个Jobs在k8s上运行。这些作业运行一个自定义代理,该代理复制一些文件并为用户(受信任)提供的容器设置运行环境。该代理在用户容器一侧运行,捕获日志,等待容器退出并处理生成的结果。为了实现这一点,我们挂载Docker的套接字/var/run/docker.sock并作为特权容器运行,并在代理中使用docker-py与用户容器交互(设置、运行、捕获日志、终止)。这几乎可以正常工作,但我认为这是一个hack。由于用户容器是通过直接在节点上调用docker创建的,因此k8s不知道它的存在。由于我们的监控工具与K8s交互,并且无法查看这些独立的用户容器,因此这一直造成麻烦。这也使得pod
何在容器sectiondockerkubernetesgoogle-kubernetes-engine

docker - 如何在运行时将容器添加到 Kubernetes pod

我有几个Jobs在k8s上运行。这些作业运行一个自定义代理,该代理复制一些文件并为用户(受信任)提供的容器设置运行环境。该代理在用户容器一侧运行,捕获日志,等待容器退出并处理生成的结果。为了实现这一点,我们挂载Docker的套接字/var/run/docker.sock并作为特权容器运行,并在代理中使用docker-py与用户容器交互(设置、运行、捕获日志、终止)。这几乎可以正常工作,但我认为这是一个hack。由于用户容器是通过直接在节点上调用docker创建的,因此k8s不知道它的存在。由于我们的监控工具与K8s交互,并且无法查看这些独立的用户容器,因此这一直造成麻烦。这也使得pod
何在容器sectiondockerkubernetesgoogle-kubernetes-engine

华为云arm架构安装k8s(kubernetes)

先安装Docker华为云arm架构安装Docker设置主机名称#查看Linux内核版本uname-r4.18.0-80.7.2.el7.aarch64#或者使用uname-a#设置主机名称为k8s-master,重新连接显示生效hostnamectl--staticset-hostnamek8s-master#查看主机名称hostname配置k8s的yum源arm64的源catEOF>/etc/yum.repos.d/kubernetes.repo[kubernetes]name=Kubernetesbaseurl=https://mirrors.aliyun.com/kubernetes/y
华为kubernetesspanclasstokenarmk8s

docker - 如何在 Kubernetes 中模拟 "--log-driver=syslog"

使用docker,我可以通过log-driver=syslog命令行选项将容器日志转发到syslog。如何通过Kubernetesyaml/json描述符传递这些docker参数? 最佳答案 从可用的文档开始:在您的情况下logging和volumes.综合这两个来源,我们得出以下结论:...containers:-name:syslogtestimage:ubuntu:14.04volumeMounts:-name:logvolmountPath:/dev/logreadOnly:falsevolumes:-name:logvol
何在Kubernetessectionnoreferrernoopenerdockersyslog

docker - 如何在 Kubernetes 中模拟 "--log-driver=syslog"

使用docker,我可以通过log-driver=syslog命令行选项将容器日志转发到syslog。如何通过Kubernetesyaml/json描述符传递这些docker参数? 最佳答案 从可用的文档开始:在您的情况下logging和volumes.综合这两个来源,我们得出以下结论:...containers:-name:syslogtestimage:ubuntu:14.04volumeMounts:-name:logvolmountPath:/dev/logreadOnly:falsevolumes:-name:logvol
何在Kubernetessectionnoreferrernoopenerdockersyslog

docker - 如何根据 Kubernetes/Docker 事件发送警报?

是否可以根据Kubernetes集群中发生的事件以某种方式发送警报(发送到电子邮件/slack)?特别是,如果pod意外重启或pod无法启动,获取警报会很有用。同样,了解pod的CPU使用率是否超过某个阈值并收到警报会很有用。我们安装了Heapster(带有InfluxDB/Grafana后端)。虽然这提供了有用的数据,但遗憾的是它没有为我们提供警报。 最佳答案 两者sysdig和Datadog也提供此功能。 关于docker-如何根据Kubernetes/Docker事件发送警报?,我
警报Kubernetessectionnoreferrerdockergoogle-kubernetes-engine

docker - 如何根据 Kubernetes/Docker 事件发送警报?

是否可以根据Kubernetes集群中发生的事件以某种方式发送警报(发送到电子邮件/slack)?特别是,如果pod意外重启或pod无法启动,获取警报会很有用。同样,了解pod的CPU使用率是否超过某个阈值并收到警报会很有用。我们安装了Heapster(带有InfluxDB/Grafana后端)。虽然这提供了有用的数据,但遗憾的是它没有为我们提供警报。 最佳答案 两者sysdig和Datadog也提供此功能。 关于docker-如何根据Kubernetes/Docker事件发送警报?,我
警报Kubernetessectionnoreferrerdockergoogle-kubernetes-engine
111112113114115116117