Kubernetes 简介及部署方法

Kubernetes（简称 K8s）是一个开源的容器编排平台，用于自动化容器化应用的部署、扩展、管理和运维。它由 Google 基于内部的 Borg 系统经验开发，2014 年开源后由云原生计算基金会（CNCF）维护，现已成为容器编排的事实标准。

一、K8s 的核心功能

K8s 的核心目标是解决容器化应用在大规模部署时的复杂性，主要功能包括：

自动化部署：支持通过配置文件定义应用部署规则，自动完成容器的创建、调度和启动。
弹性伸缩：根据 CPU 使用率、内存占用等指标自动扩缩容（如 HPA Horizontal Pod Autoscaler），也支持手动调整副本数。
负载均衡：通过 Service 组件为 Pod（容器组）提供稳定的访问地址，并自动实现流量分发。
自愈能力：当容器或节点故障时，自动重启容器、替换故障节点上的 Pod，确保应用可用性。
滚动更新与回滚：支持应用版本的平滑更新（不中断服务），若更新失败可快速回滚到上一版本。
存储编排：支持多种存储类型（本地存储、云存储、分布式存储等），可动态挂载到容器。
配置管理：通过 ConfigMap、Secret 等组件统一管理应用配置和敏感信息（如密码、证书），避免硬编码。

二、K8s 的核心组件

K8s 集群由控制平面（Control Plane） 和节点（Node） 两部分组成，各组件协同工作实现集群管理。

1. 控制平面组件（集群的 "大脑"）

控制平面负责集群的全局决策（如调度、管理、监控），可部署在单个节点或多个节点（高可用架构）。

API Server：所有操作的统一入口（通过 REST API 暴露），接收用户输入的命令，提供认证、授权、API注册和发现等机制,是控制平面与其他组件、用户的交互枢纽，负责认证、授权和请求处理。
etcd：分布式键值数据库，存储集群的所有配置数据（如 Pod 状态、部署规则等），是集群的 "数据源"。
Scheduler：负责 Pod 的调度决策，根据节点资源（CPU、内存）、亲和性规则、污点 / 容忍等条件，选择最合适的节点运行 Pod。
Controller Manager ：运行各种控制器进程的组件，确保集群状态与期望状态一致。常见控制器包括：
- 节点控制器（Node Controller）：监控节点故障并处理。
- 副本控制器（ReplicaSet Controller）：确保 Pod 副本数符合期望。
- 部署控制器（Deployment Controller）：管理 Deployment 的创建、更新和回滚。
Cloud Controller Manager：可选组件，用于对接云服务提供商（如 AWS、阿里云）的 API，实现云资源（如负载均衡、存储）的自动管理。

2. 节点组件（集群的 "工作单元"）

节点是实际运行容器的服务器（物理机或虚拟机），每个节点需安装以下组件：

kubelet：运行在每个节点上的代理程序，负责与控制平面通信，确保容器（按 Pod 定义）在节点上正常运行，并监控容器状态。
kube-proxy：运行在每个节点上的网络代理，负责维护节点的网络规则（如 Service 的负载均衡、Pod 间通信），实现集群内部和外部的网络访问。
容器运行时（Container Runtime）：负责运行容器的软件，K8s 支持 Docker、containerd、CRI-O 等符合容器运行时接口（CRI）的工具。

三、K8s 的核心概念

理解这些概念是使用 K8s 的基础，它们是 K8s 抽象出的 "操作单元"。

概念	作用说明
Pod	最小部署单元，由一个或多个紧密关联的容器组成（共享网络和存储），是 K8s 调度的基本单位。
Service	为 Pod 提供稳定的访问地址（固定 IP 和端口），解决 Pod 动态创建 / 销毁导致的地址变化问题，支持 ClusterIP（集群内访问）、NodePort（节点端口）、LoadBalancer（负载均衡器）等类型。
Deployment	用于管理无状态应用的部署，支持滚动更新、回滚、扩缩容，通过控制 ReplicaSet 实现 Pod 的副本管理。
StatefulSet	用于管理有状态应用（如数据库），为 Pod 提供稳定的名称、网络标识和存储，确保部署顺序和唯一性。
ConfigMap	存储非敏感配置信息（如环境变量、配置文件），可被 Pod 挂载为文件或环境变量，便于配置与代码分离。
Secret	存储敏感信息（如密码、Token），内容会被 Base64 编码（非加密，需配合外部加密工具增强安全性），用法与 ConfigMap 类似。
Namespace	用于集群内资源的隔离（如开发、测试、生产环境），避免资源命名冲突，可配合资源配额限制资源使用。
Label	键值对标签，用于对资源（Pod、Service 等）进行分类和筛选，是 K8s 中 "关联资源" 的核心机制（如 Service 通过 Label 关联 Pod）。
Ingress	管理外部访问集群内服务的规则（如 HTTP/HTTPS 路由），可实现域名转发、SSL 终止等功能，需配合 Ingress Controller（如 Nginx Ingress）使用。
Volume	为 Pod 提供持久化存储，生命周期与 Pod 绑定（Pod 删除后 Volume 可能保留，取决于存储类型），支持 EmptyDir（临时存储）、HostPath（节点本地目录）、PV/PVC（持久卷 / 持久卷声明）等。
PV/PVC	PV（PersistentVolume）是集群级别的存储资源（由管理员创建），PVC（PersistentVolumeClaim）是用户对 PV 的 "申请"，实现存储的 "按需分配"。

四、K8s 的工作流程（以部署应用为例）

用户通过kubectl命令或 API 提交 Deployment 配置（定义应用镜像、副本数等）。
API Server 接收请求，验证后将配置存入 etcd。
Deployment Controller 检测到 "期望状态"（如 3 个副本）与 "当前状态"（0 个副本）不一致，创建 ReplicaSet。
ReplicaSet Controller 检测到副本数不足，向 API Server 请求创建 Pod。
Scheduler 根据节点资源和调度规则，为 Pod 选择合适的节点。
目标节点的 kubelet 接收到 Pod 创建请求，通过容器运行时启动容器。
kube-proxy 更新节点网络规则，确保 Service 能访问到新创建的 Pod。
后续若 Pod 故障，kubelet 会重启容器；若节点故障，Controller 会在其他节点重建 Pod，始终维持期望状态。

五、K8s 的应用场景

微服务架构：适合部署由多个独立服务组成的微服务应用，通过 Service 实现服务间通信，通过 Deployment/StatefulSet 管理不同类型的服务。
CI/CD 集成：与 Jenkins、GitLab CI 等工具结合，实现代码提交→构建镜像→自动部署到 K8s 集群的全流程自动化。
多环境管理：通过 Namespace 隔离开发、测试、生产环境，使用 ConfigMap/Secret 区分不同环境的配置。
混合云 / 多云部署：K8s 的跨平台特性支持在私有云、公有云（如 AWS EKS、阿里云 ACK）或混合环境中统一部署和管理应用。

六、K8s 的优势与挑战

优势：
- 自动化程度高，减少人工运维成本；
- 弹性伸缩能力强，适应流量波动；
- 松耦合架构，支持应用快速迭代；
- 强大的生态系统（如监控、日志、服务网格工具）。
挑战：
- 学习曲线陡峭，需掌握大量概念和操作；
- 集群运维复杂（如高可用配置、升级、故障排查）；
- 网络和存储配置需结合具体场景设计；
- 资源开销较高（控制平面和节点组件占用一定资源）。

七、K8s 生态系统

K8s 的强大得益于丰富的周边工具，常见生态组件包括：

部署工具：Helm（K8s 包管理工具，简化应用部署）、Kustomize（配置管理工具）。
监控与日志：Prometheus（ metrics 监控）、Grafana（可视化）、ELK Stack（日志收集与分析）。
服务网格：Istio（流量管理、服务间通信加密、监控）。
CI/CD：ArgoCD（GitOps 持续部署）、Tekton（云原生 CI/CD 管道）。
安全工具：Falco（运行时安全监控）、Trivy（容器镜像漏洞扫描）。

总之，K8s 是容器化时代的核心技术之一，掌握它能有效提升大规模应用的管理效率和可靠性，但也需要结合实际场景合理规划和使用。

K8S 集群环境搭建

k8s 中容器的管理方式

**centainerd**

默认情况下，K8S在创建集群时使用的方式

**docker**

Docker使用的普记录最高，虽然K8S在1.24版本后已经费力了kubelet对docker的支持，但时可以借助cri-docker方式来实现集群创建

**cri-o**

CRI-O的方式是Kubernetes创建容器最直接的一种方式，在创建集群的时候，需要借助于cri-o插件的方式来实现Kubernetes集群的创建。

> [!NOTE]

> docker 和cri-o 这两种方式要对kubelet程序的启动参数进行设置

k8s 集群部署

k8s 环境部署说明

集群环境初始化

K8S中文官网：https://kubernetes.io/zh-cn/

| ** 主机名** | **ip** | ** 角色** |

| ---------------------------- | ------------------ | --------------------------- |

| ** harbor ** | **172.25.254.200** | **harbor 仓库** |

| ** master ** | **172.25.254.100** | **master ，k8s集群控制节点** |

| ** node1 ** | **172.25.254.10** | **worker ，k8s集群工作节点** |

| ** node2 ** | **172.25.254.20** | **worker ，k8s集群工作节点** |

所有节点禁用selinux和防火墙
所有节点同步时间和解析
所有节点安装docker-ce
所有节点禁用swap，注意注释掉/etc/fstab文件中的定义

所有禁用swap和本地解析

]# systemctl mask swap.target

]# swapoff -a

]# vim /etc/fstab

swap defaults 0 0 注释这一行

root@k8s-master \~\]# vim /etc/hosts ![](https://i-blog.csdnimg.cn/direct/eb2e8d592c8a431ca09588fdb20a84c6.png) \`\`\` **所有安装虚拟机docker** \`\`\`bash \[root@k8s-master \~\]# vim /etc/yum.repos.d/docker.repo \[docker

name=docker

baseurl=https://mirrors.aliyun.com/docker-ce/linux/rhel/9/x86_64/stable/

gpgcheck=0

root@k8s-master \~\]# dnf install docker-ce -y \`\`\` **搭建私有仓库harbor** \[root@k8s-master \~\]# vim /etc/docker/daemon.json { "registry-mirrors": \["https://reg.xie.org"\], } \[root@k8s-master \~\]# ls -l /etc/docker/certs.d/reg.xie.org/ca.crt \[root@k8s-master \~\]# systemctl enable --now docker 4.3.3 为Registry提加密传输 #生成认证key和证书 \[root@docker \~\]# openssl req -newkey rsa:4096 \\-nodes -sha256 -keyout certs/xie.org.key \\-addext "subjectAltName = DNS:reg.xie.org" \\ -x509 -days 365 -out certs/xie.org.crt #指定备用名称 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.---- Country Name (2 letter code) \[XX\]:CN State or Province Name (full name) \[\]:Shaanxi Locality Name (eg, city) \[Default City\]:Xi'an Organization Name (eg, company) \[Default Company Ltd\]:xie Organizational Unit Name (eg, section) \[\]:docker Common Name (eg, your name or your server's hostname) \[\]:reg.xie.org Email Address \[\]:admin@xie.org #启动registry仓库 \[root@docker \~\]# docker run -d -p 443:443 --restart=always --name registry \\ \> --name registry -v /opt/registry:/var/lib/registry \\ \> -v /root/certs:/certs \\ \> -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \\ \> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/xie.org.crt \\ \> -e REGISTRY_HTTP_TLS_KEY=/certs/xie.org.key registry 测试： \[root@docker docker\]# docker push reg.xie.org/busybox:latest 户端没有key和证书 Error response from daemon: Get "https://reg.xie.org/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority #为客户端建立证书 \[root@docker docker\]# mkdir /etc/docker/certs.d/reg.xie.org/ -p \[root@docker docker\]# cp /root/certs/xie.org.crt /etc/docker/certs.d/reg.xie.org/ca.crt \[root@docker docker\]# systemctl restart docker #docker客 \[root@docker docker\]# docker push reg.xie.org/busybox:latest The push refers to repository \[reg.xie.org/busybox

d51af96cf93e: Pushed

latest: digest:

sha256:28e01ab32c9dbcbaae96cf0d5b472f22e231d9e603811857b295e61197e40a9b size: 527

root@docker docker\]# curl -k https://reg.xie.org/v2/_catalog {"repositories":\["busybox"\]} 4.3.4 为仓库建立登陆认证 #安装建立认证文件的工具包 \[root@docker docker\]# dnf install httpd-tools -y #建立认证文件 \[root@docker \~\]# mkdir auth \[root@docker \~\]# htpasswd -Bc auth/htpasswd xie #-B 强制使用最安全加密方式， 默认用md5加密 New password: Re-type new password: Adding password for user xie #添加认证到registry容器中 \[root@docker \~\]# docker run -d -p 443:443 --restart=always --name registry \\ \> --name registry -v /opt/registry:/var/lib/registry \\ \> -v /root/certs:/certs \\ \> -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \\ \> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/xie.org.crt \\ \> -e REGISTRY_HTTP_TLS_KEY=/certs/xie.org.key \\ \> -v /root/auth:/auth \\ \> -e "REGISTRY_AUTH=htpasswd" \\ \> -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \\ \> -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \\ \> registry \[root@docker \~\]# curl -k https://reg.xie.org/v2/_catalog -u xie:lee {"repositories":\["busybox","nginx"\]} #登陆测试 \[root@docker \~\]# docker login reg.xie.org Username: xie Password: WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credential-stores Login Succeeded 当仓库开启认证后必须登陆仓库才能进行镜像上传 #未登陆情况下上传镜像 \[root@docker \~\]# docker push reg.xie.org/busybox Using default tag: latest The push refers to repository \[reg.xie.org/busybox

d51af96cf93e: Preparing

no basic auth credentials

#未登陆下不能下载

root@docker-node2 \~\]# docker pull reg.xie.org/busybox Using default tag: latest Error response from daemon: Head "https://reg.xie.org/v2/busybox/manifests/latest": no basic auth credentials \[root@docker \~\]# tar zxf harbor-offline-installer-v2.5.4.tgz \[root@docker \~\]# ls anaconda-ks.cfg certs harbor-offline-installer-v2.5.4.tgz auth harbor \[root@docker \~\]# cd harbor/ \[root@docker harbor\]# cp harbor.yml.tmpl harbor.yml \[root@docker harbor\]# vim harbor.yml hostname: reg.xie.org certificate: /data/certs/xie.org.crt private_key: /data/certs/xie.org.key harbor_admin_password: lee \[root@docker harbor\]# ./install.sh --help Please set --with-notary Please set --with-trivy #证书签名 #安全扫描 Please set --with-chartmuseum if needs enable Chartmuseum in Harbor \[root@docker harbor\]# ./install.sh --with-chartmuseum #管理harbor的容器 \[root@docker harbor\]# docker compose stop \[root@docker harbor\]# docker compose up -d ![](https://i-blog.csdnimg.cn/direct/a22e4a8d69b04e0e868665cffd333edd.png) 输入用户名和密码后 ![](https://i-blog.csdnimg.cn/direct/b7179fb12b6748168b8eaa332799bfe2.png) docker info ![](https://i-blog.csdnimg.cn/direct/aa9a747f80e149ad9da9ea677edb8d5c.png) 认证harbor仓库 https://reg.xie.org **####** **安装K8S部署工具** \`\`\`bash #部署软件仓库，添加K8S源 \[root@k8s-master \~\]# vim /etc/yum.repos.d/k8s.repo \[k8s

name=k8s

baseurl=https://mirrors.aliyun.com/kubernetes-new/core/stable/v1.30/rpm

gpgcheck=0

#安装软件

root@k8s-master \~\]# dnf install kubelet-1.30.0 kubeadm-1.30.0 kubectl-1.30.0 -y \`\`\` **####** **设置kubectl命令补齐功能** \`\`\` \[root@k8s-master \~\]# dnf install bash-completion -y \[root@k8s-master \~\]# echo "source \<(kubectl completion bash)" \>\> \~/.bashrc \[root@k8s-master \~\]# source \~/.bashrc **在所节点安装cri-docker** k8s从1.24版本开始移除了dockershim，所以需要安装cri-docker插件才能使用docker 软件下载：https://github.com/Mirantis/cri-dockerd \`\`\`bash \[root@k8s-master \~\]# dnf install libcgroup-0.41-19.el8.x86_64.rpm \\ \> cri-dockerd-0.3.14-3.el8.x86_64.rpm -y \[root@k8s-master \~\]# vim /lib/systemd/system/cri-docker.service ![](https://i-blog.csdnimg.cn/direct/f4485fe079db4b048a3a7953b93806b7.png) \[root@k8s-master \~\]# systemctl daemon-reload \[root@k8s-master \~\]# systemctl start cri-docker ![](https://i-blog.csdnimg.cn/direct/2602f0a91d18495783b91f6efa598125.png) cri-dockerd的套接字文件 **在master节点拉取K8S所需镜像** #拉取k8s集群所需要的镜像 \[root@k8s-master \~\]# kubeadm config images pull \\ --image-repository registry.aliyuncs.com/google_containers \\ --kubernetes-version v1.30.0 \\ --cri-socket=unix:///var/run/cri-dockerd.sock #上传镜像到harbor仓库 \[root@k8s-master \~\]# docker images \| awk '/google/{ print $1":"$2}' \\ \| awk -F "/" '{system("docker tag "$0" reg.xie.org/k8s/"$3)}' \[root@k8s-master \~\]# docker images \| awk '/k8s/{system("docker push "$1":"$2)}' \`\`\` **集群初始化** \`\`\`bash #启动kubelet服务 \[root@k8s-master \~\]# systemctl status kubelet.service #执行初始化命令 \[root@k8s-master \~\]# kubeadm init --pod-network-cidr=10.244.0.0/16 \\ --image-repository reg.xie.org/k8s \\ --kubernetes-version v1.30.0 \\ --cri-socket=unix:///var/run/cri-dockerd.sock #指定集群配置文件变量 \[root@k8s-master\~\]#echo"export KUBECONFIG=/etc/kubernetes/admin.conf" \>\> \~/.bash_profile #当前节点没有就绪，因为还没有安装网络插件，容器没有运行 \[root@k8s-master \~\]# kubectl get node NAME STATUS ROLES AGE VERSION k8s-master.xie.org NotReady control-plane 4m25s v1.30.0 root@k8s-master \~\]# kubectl get pod -A NAMESPACE NAME READY STATUS RESTARTS AGE kube-system coredns-647dc958972sgn8 0/1 Pending 0 6m13s kube-system coredns-647dc95897-bvtxb 0/1 Pending 0 6m13s kube-system etcd-k8s-master.xie.org 1/1 Running 0 6m29s kube-system kube-apiserver-k8s-master.xie.org 1/1 Running 0 6m30s kube-system kube-controller-manager-k8s-master.xie.org1/1 Running 0 6m29s kube-system kube-proxy-fq85m 1/1 Running 0 6m14s kube-system kube-scheduler-k8s-master.xie.org 1/1 Running 0 6m29s \`\`\` \> \[!NOTE

> 在此阶段如果生成的集群token找不到了可以重新生成

> ```bash

> [root@k8s-master ~]# kubeadm token create --print-join-command

kubeadm join 172.25.254.100:6443 --token slx36w.np3pg2xzfhtj8hsr \

--discovery-token-ca-cert-hash sha256:29389ead6392e0bb1f68adb025e3a6817c9936a26f9140f8a166528e521addb3 --cri-socket=unix:///var/run/cri-dockerd.sock

kubeadm join 172.25.254.100:6443 --token olyuv1.g1q8jht9b1p69xla --discovery-token-ca-cert-hash sha256:29389ead6392e0bb1f68adb025e3a6817c9936a26f9140f8a166528e521addb3 --cri-socket=unix:///var/run/cri-dockerd.sock

> ```

#### 2.2.2.10 安装flannel网络插件

官方网站：https://github.com/flannel-io/flannel

```bash

#下载flannel的yaml部署文件

root@k8s-master \~\]# wget https://github.com/flannel-io/flannel/releases/latest/download/kube-flannel.yml #下载镜像： \[root@k8s-master \~\]# docker pull docker.io/flannel/flannel:v0.25.5 \[root@k8s-master \~\]# docekr docker.io/flannel/flannel-cni-plugin:v1.5.1-flannel1 #上传镜像到仓库 \[root@k8s-master \~\]# docker tag flannel/flannel:v0.25.5 \\ reg.xie.org/flannel/flannel:v0.25.5 \[root@k8s-master \~\]# docker push reg.xie.org/flannel/flannel:v0.25.5 \[root@k8s-master \~\]# docker tag flannel/flannel-cni-plugin:v1.5.1-flannel1 \\ reg.xie.org/flannel/flannel-cni-plugin:v1.5.1-flannel1 \[root@k8s-master \~\]# docker push reg.xie.org/flannel/flannel-cni-plugin:v1.5.1-flannel1 #编辑kube-flannel.yml 修改镜像下载位置 \[root@k8s-master \~\]# vim kube-flannel.yml #需要修改以下几行 \[root@k8s-master \~\]# grep -n image kube-flannel.yml 146: image: reg.xie.org/flannel/flannel:v0.25.5 173: image: reg.xie.org/flannel/flannel-cni-plugin:v1.5.1-flannel1 184: image: reg.xie.org/flannel/flannel:v0.25.5 #安装flannel网络插件 \[root@k8s-master \~\]# kubectl apply -f kube-flannel.yml \`\`\` **#### 2.2.2.11** **节点扩容** 在所有的worker节点中 1 确认部署好以下内容 2 禁用swap 3 安装： - kubelet-1.30.0 - kubeadm-1.30.0 - kubectl-1.30.0 - docker-ce - cri-dockerd 4 修改cri-dockerd启动文件添加 - --network-plugin=cni - --pod-infra-container-image=reg.xie.org/k8s/pause:3.9 5 启动服务 - kubelet.service - cri-docker.service 以上信息确认完毕后即可加入集群 \`\`\` \[root@k8s-node1 \& 2 \~\]# kubeadm join 172.25.254.100:6443 --token 5hwptm.zwn7epa6pvatbpwf --discovery-token-ca-cert-hash sha256:52f1a83b70ffc8744db5570288ab51987ef2b563bf906ba4244a300f61e9db23 --cri-socket=unix:///var/run/cri-dockerd.sock 在master阶段中查看所有node的状态 \`\`\` \[root@k8s-master \~\]# kubectl get nodes ![](https://i-blog.csdnimg.cn/direct/f71ca9f16b0f43f0804dfa4984037025.png) 测试集群运行情况 \`\`\` #建立一个pod \[root@k8s-master \~\]# kubectl run test --image nginx #查看pod状态 \[root@k8s-master \~\]# kubectl get pods ![](https://i-blog.csdnimg.cn/direct/72ee7a2c44324895be29992cf6c80b9e.png) **Kubernetes** **中pod的管理及优化** **资源管理介绍** - 在kubernetes中，所有的内容都抽象为资源，用户需要通过操作资源来管理kubernetes。 - kubernetes的本质上就是一个集群系统，用户可以在集群中部署各种服务 - 所谓的部署服务，其实就是在kubernetes集群中运行一个个的容器，并将指定的程序跑在容器中。 - kubernetes的最小管理单元是pod而不是容器，只能将容器放在\`Pod\`中， - kubernetes一般也不会直接管理Pod，而是通过\`Pod控制器\`来管理Pod的。 - Pod中服务的访问是由kubernetes提供的\`Service\`资源来实现。 - Pod中程序的数据需要持久化是由kubernetes提供的各种存储系统来实现 **资源管理方式** - 命令式对象管理：直接使用命令去操作kubernetes资源 \`kubectl run nginx-pod --image=nginx:latest --port=80\` - 命令式对象配置：通过命令配置和配置文件去操作kubernetes资源 \`kubectl create/patch -f nginx-pod.yaml\` - 声明式对象配置：通过apply命令和配置文件去操作kubernetes资源 \`kubectl apply -f nginx-pod.yaml\` \| 类型 \|适用环境\| 优点 \| 缺点 \| \| 命令式对象管理 \| 测试 \| 简单 \| 只能操作活动对象，无法审计、跟踪 \| 命令式对象配置 \| 开发 \| 可以审计、跟踪 \| 项目大时，配置文件多，操作麻烦 \| \| 声明式对象配置 \| 开发 \| 支持目录操作 \| 意外情况下难以调试 **命令式对象管理** kubectl是kubernetes集群的命令行工具，通过它能够对集群本身进行管理，并能够在集群上进行容器化应用的安装部署 kubectl命令的语法如下： \`\`\` kubectl \[command\] \[type\] \[name\] \[flags

```

**comand**：指定要对资源执行的操作，例如create、get、delete

**type**：指定资源类型，比如deployment、pod、service

**name**：指定资源的名称，名称大小写敏感

**flags**：指定额外的可选参数

```

查看所有pod

kubectl get pod

查看某个pod

kubectl get pod pod_name

查看某个pod,以yaml格式展示结果

kubectl get pod pod_name -o yaml

资源类型

kubernetes中所有的内容都抽象为资源

基本命令示例

kubectl version

kubectl cluster-info

#创建一个webcluster控制器，控制器中pod数量为2

kubectl create deployment webcluseter --image nginx --replicas 2

#查看控制器

> 注意如果多个容器运行在一个pod中，资源共享的同时在使用相同资源时也会干扰，比如端口

```bash

#一个端口干扰示例：

root@k8s-master \~\]# vim pod.yml apiVersion: v1 kind: Pod metadata: labels: run: timing name: xie spec: containers: - image: nginx:latest name: web1 - image: nginx:latest name: web2 \[root@k8s-master \~\]# kubectl apply -f pod.yml \[root@k8s-master \~\]# kubectl get pods ![](https://i-blog.csdnimg.cn/direct/dc0f1b3f33bc4b87b732afdc1270025f.png) \> \[!NOTE

> 在一个pod中开启多个容器时一定要确保容器彼此不能互相干扰

端口映射

```bash

root@k8s-master \~\]# vim pod.yml apiVersion: v1 kind: Pod metadata: labels: run: xie name: test spec: containers: - image: myapp:v1 name: myapp1 ports: - name: http containerPort: 80 hostPort: 80 protocol: TCP #测试 \[root@k8s-master \~\]# kubectl apply -f pod.yml \[root@k8s-master \~\]# kubectl get pods -o wide ![](https://i-blog.csdnimg.cn/direct/e762cb53489247f4b0a0d39d37a128e7.png) **如何设定环境变量** \`\`\`bash \[root@k8s-master \~\]# vim pod.yml apiVersion: v1 kind: Pod metadata: labels: run: xie name: test spec: containers: - image: busybox:latest name: busybox command: \["/bin/sh","-c","echo $NAME;sleep 3000000"

env:

name: NAME

value: xie

> 三种容忍方式每次测试写一个即可

kubernetes 中的认证授权

Authentication（认证）

认证方式现共有8种，可以启用一种或多种认证方式，只要有一种认证方式通过，就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
Kubernetes集群有两类用户：由Kubernetes管理的Service Accounts （服务账户）和（Users Accounts）普通账户。k8s中账号的概念不是我们理解的账号，它并不真的存在，它只是形式上存在。

Authorization（授权）

必须经过认证阶段，才到授权请求，根据所有授权策略匹配请求资源属性，决定允许或拒绝请求。授权方式现共有6种，AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

认证(在k8s中建立认证用户)

创建UserAccount

#建立证书

root@k8s-master auth\]# cd /etc/kubernetes/pki/ \[root@k8s-master pki\]# openssl genrsa -out timinglee.key 2048 \[root@k8s-master pki\]# openssl req -new -key timinglee.key -out timinglee.csr -subj "/CN=timinglee" \[root@k8s-master pki\]# openssl x509 -req -in timinglee.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out timinglee.crt -days 365 ![](https://i-blog.csdnimg.cn/direct/6fbc8cb80d73467eb74821bee7a1bd7f.png) #建立k8s中的用户 \[root@k8s-master pki\]# kubectl config set-credentials timinglee --client-certificate /etc/kubernetes/pki/timinglee.crt --client-key /etc/kubernetes/pki/timinglee.key --embed-certs=true User "timinglee" set. \[root@k8s-master pki\]# kubectl config view ![](https://i-blog.csdnimg.cn/direct/a7b90b312a1644d9bd7622ad0e77e851.png) #为用户创建集群的安全上下文 root@k8s-master pki\]# kubectl config set-context timinglee@kubernetes --cluster kubernetes --user timinglee #切换用户，用户在集群中只有用户身份没有授权 \[root@k8s-master \~\]# kubectl config use-context timinglee@kubernetes Switched to context "timinglee@kubernetes". \[root@k8s-master \~\]# kubectl get pods Error from server (Forbidden): pods is forbidden: User "timinglee" cannot list resource "pods" in API group "" in the namespace "default" #切换会集群管理 \[root@k8s-master \~\]# kubectl config use-context kubernetes-admin@kubernetes Switched to context "kubernetes-admin@kubernetes". #如果需要删除用户 \[root@k8s-master pki\]# kubectl config delete-user timinglee deleted user timinglee from /etc/kubernetes/admin.conf \`\`\` **RBAC** **（Role Based Access Control）** **基于角色访问控制授权：** - 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。 - RBAC只有授权，没有拒绝授权，所以只需要定义允许该用户做什么即可 - RBAC的三个基本概念 - Subject：被作用者，它表示k8s中的三类主体， user， group， serviceAccount - Role：角色，它其实是一组规则，定义了一组对 Kubernetes API 对象的操作权限。 - RoleBinding：定义了"被作用者"和"角色"的绑定关系 - RBAC包括四种类型：Role、ClusterRole、RoleBinding、ClusterRoleBinding - Role 和 ClusterRole - Role是一系列的权限的集合，Role只能授予单个namespace 中资源的访问权限。 - ClusterRole 跟 Role 类似，但是可以在集群中全局使用。 - Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用 - cluster-amdin、admin、edit、view **role** **授权实施** #生成role的yaml文件 \[root@k8s-master rbac\]# kubectl create role myrole --dry-run=client --verb=get --resource pods -o yaml \> myrole.yml #更改文件内容 \[root@k8s-master rbac\]# vim myrole.yml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: creationTimestamp: null name: myrole rules: - apiGroups: - "" resources: - pods verbs: - get - watch - list - create - update - path - delete #创建role \[root@k8s-master rbac\]# kubectl apply -f myrole.yml \[root@k8s-master rbac\]# kubectl describe role myrole ![](https://i-blog.csdnimg.cn/direct/52467342c23c46c69cb9cdbd2fb597fc.png) \[root@k8s-master rbac\]# kubectl create rolebinding timinglee --role myrole --namespace default --user timinglee --dry-run=client -o yaml \> rolebinding-myrole.yml \[root@k8s-master rbac\]# vim rolebinding-myrole.yml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: timinglee namespace: default #角色绑定必须指定namespace roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: myrole subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: timinglee \[root@k8s-master rbac\]# kubectl apply -f rolebinding-myrole.yml rolebinding.rbac.authorization.k8s.io/timinglee created \[root@k8s-master rbac\]# kubectl get rolebindings.rbac.authorization.k8s.io timinglee ![](https://i-blog.csdnimg.cn/direct/a56b6ad15cc54a51988862372e34bc69.png) #切换用户测试授权 \[root@k8s-master rbac\]# kubectl config use-context timinglee@kubernetes Switched to context "timinglee@kubernetes". \[root@k8s-master rbac\]# kubectl get pods No resources found in default namespace. \[root@k8s-master rbac\]# kubectl get svc #只针对pod进行了授权，所以svc依然不能操作 Error from server (Forbidden): services is forbidden: User "timinglee" cannot list resource "services" in API group "" in the namespace "default" #切换回管理员 \[root@k8s-master rbac\]# kubectl config use-context kubernetes-admin@kubernetes Switched to context "kubernetes-admin@kubernetes". ![](https://i-blog.csdnimg.cn/direct/8cc6410fa2f24e378516d047b34d5beb.png) #切换回管理员 \[root@k8s-master rbac\]# kubectl config use-context kubernetes-admin@kubernetes Switched to context "kubernetes-admin@kubernetes".

k8s 简介及部署方法以及各方面应用

查看所有pod

查看某个pod

查看某个pod,以yaml格式展示结果