一：K8s的介绍

k8s全程Kubernetes，是一个全新的基于容器的分布式架构。
在kubernetes中，service是分布式集群架构的核心，一个service对象拥有如下关键特征。
1.拥有唯一指定的名称
2.拥有一个虚拟IP
3.能够提供某种远程服务能力
4.被映射到提高这种服务能力的一组容器应用上

kubectl语法命令：
kubectl [command] [type][name][flags]
command:指定要对资源执行的操作，例如 create、get、delete
type：指定资源类型，比如dedployment、pod、service
name：指定资源的名称，名称大小写敏感
flags：指定额外的可选参数

二：K8s常用命令

查看所有pod
kubectl get pod
​
查看某个pod
kubectl get pod pod_name
​
查看某个pod,以yaml格式展示结果
kubectl get pod pod_name -o yaml

操作

kubernetes允许对资源进行多种操作，可以通过–help查看详细的操作命令

kubectl --help

经常使用的资源有下面这些：
kubernetes中所有的内容都抽象为资源，可以通过下面的命令进行查看:

kubectl api-resources
​
资源分类 资源名称 缩写 资源作用
集群级别资源 nodes no 集群组成部分
namespaces ns 隔离Pod
pod资源 pods po 装载容器
pod资源控制器 replicationcontrollers rc 控制pod资源
replicasets rs 控制pod资源
deployments deploy 控制pod资源
daemonsets ds 控制pod资源
jobs 控制pod资源
cronjobs cj 控制pod资源
horizontalpodautoscalers hpa 控制pod资源
statefulsets sts 控制pod资源
服务发现资源 services svc 统一pod对外接口
ingress ing 统一pod对外接口
存储资源 volumeattachments 存储
persistentvolumes pv 存储
persistentvolumeclaims pvc 存储
配置资源 configmaps cm 配置
secrets 配置

---

经常使用的操作有下面这些：

​
命令分类 命令 翻译 命令作用
基本命令 create 创建 创建一个资源
edit 编辑 编辑一个资源
get 获取 获取一个资源
patch 更新 更新一个资源
delete 删除 删除一个资源
explain 解释 展示资源文档
运行和调试 run 运行 在集群中运行一个指定的镜像
expose 暴露 暴露资源为Service
describe 描述 显示资源内部信息
logs 日志 输出容器在 pod 中的日志
attach 缠绕 进入运行中的容器
exec 执行 执行容器中的一个命令
cp 复制 在Pod内外复制文件
rollout 首次展示 管理资源的发布
scale 规模 扩(缩)容Pod的数量
autoscale 自动调整 自动调整Pod的数量
高级命令 apply rc 通过文件对资源进行配置
label 标签 更新资源上的标签
其他命令 cluster-info 集群信息 显示集群信息
version 版本 显示当前Server和Client的版本

replicationcontrollers
replicasets

#创建一个namespace
[root@master ~]# kubectl create namespace dev
namespace/dev created
​
#获取namespace
[root@master ~]# kubectl get ns
NAME STATUS AGE
default Active 21h
dev Active 21s
kube-node-lease Active 21h
kube-public Active 21h
kube-system Active 21h
​
在此namespace下创建并运行一个nginx的Pod
[root@master ~]# kubectl run pod --image=nginx:latest -n dev
kubectl run --generator=deployment/apps.v1 is DEPRECATED and will be removed in a future version. Use kubectl run --generator=run-pod/v1 or kubectl create instead.
deployment.apps/pod created
​
#查看新创建的pod
[root@master ~]# kubectl get pod -n dev
NAME READY STATUS RESTARTS AGE
pod 1/1 Running 0 21s
​
删除指定的pod
[root@master ~]# kubectl delete pod pod-864f9875b9-pcw7x
pod “pod” deleted
​
删除指定的namespace
[root@master ~]# kubectl delete ns dev
namespace “dev” deleted

命令格式： kubectl run (pod控制器名称) [参数]
-image 指定Pod的镜像
–port 指定端口
–namespace 指定namespace
[root@master ~]# kubectl run nginx --image=nginx:latest --port=80 --namespace dev

使用deployment（控制器）创建一个pod应用
kubectl run nginx-deploy --image=nginx:1.14-alpine --port=80 --replicas=1 --record
　　　　　　控制器名称 容器镜像　　　　　　　容器的端口　　pod的数量 在Deployment revision中可以查看到执行的历史命令

创建Pod
[root@k8s-master01 ~]# kubectl create -f pod-ports.yaml

查看pod，在下面可以明显看到配置信息
[root@k8s-master01 ~]# kubectl get pod pod-ports -n dev -o yaml

三：k8s重启策略

pod的重启策略有 3 种，分别如下：

Always ：容器失效时，自动重启该容器，这也是默认值。

OnFailure ： 容器终止运行且退出码不为0时重启

Never ： 不论状态为何，都不重启该容器

重启策略适用于pod对象中的所有容器，首次需要重启的容器，将在其需要时立即进行重启，随后再次需要重启的操作将由kubelet延迟一段时间后进行，且反复的重启操作的延迟时长以此为10s、20s、40s、80s、160s和300s，300s是最大延迟时长。

创建pod-restartpolicy.yaml：

apiVersion: v1
kind: Pod
metadata:
name: pod-restartpolicy
namespace: dev
spec:
containers:

• name: nginx
  image: nginx:1.17.1
  ports:
  • name: nginx-port
    containerPort: 80
    livenessProbe:
    httpGet:
    scheme: HTTP
    port: 80
    path: /hello
    restartPolicy: Never # 设置重启策略为Never

四：Pod调度

在默认情况下，一个Pod在哪个Node节点上运行，是由Scheduler组件采用相应的算法计算出来的，这个过程是不受人工控制的。但是在实际使用中，这并不满足的需求，因为很多情况下，我们想控制某些Pod到达某些节点上，那么应该怎么做呢？这就要求了解kubernetes对Pod的调度规则，kubernetes提供了四大类调度方式：

自动调度：运行在哪个节点上完全由Scheduler经过一系列的算法计算得出

定向调度：NodeName、NodeSelector

亲和性调度：NodeAffinity、PodAffinity、PodAntiAffinity

污点（容忍）调度：Taints、Toleration

为node1节点添加标签
kubectl label nodes node1 nodeenv=pro

1.亲和性调度

基于上面的问题，kubernetes还提供了一种亲和性调度（Affinity）。它在NodeSelector的基础之上的进行了扩展，可以通过配置的形式，实现优先选择满足条件的Node进行调度，如果没有，也可以调度到不满足条件的节点上，使调度更加灵活。

Affinity主要分为三类：

nodeAffinity(node亲和性）: 以node为目标，解决pod可以调度到哪些node的问题

podAffinity(pod亲和性) : 以pod为目标，解决pod可以和哪些已存在的pod部署在同一个拓扑域中的问题

podAntiAffinity(pod反亲和性) : 以pod为目标，解决pod不能和哪些已存在pod部署在同一个拓扑域中的问题

关于亲和性(反亲和性)使用场景的说明：

亲和性：如果两个应用频繁交互，那就有必要利用亲和性让两个应用的尽可能的靠近，这样可以减少因网络通信而带来的性能损耗。

反亲和性：当应用的采用多副本部署时，有必要采用反亲和性让各个应用实例打散分布在各个node上，这样可以提高服务的高可用性。

五：污点（Taints）

前面的调度方式都是站在Pod的角度上，通过在Pod上添加属性，来确定Pod是否要调度到指定的Node上，其实我们也可以站在Node的角度上，通过在Node上添加污点属性，来决定是否允许Pod调度过来。

Node被设置上污点之后就和Pod之间存在了一种相斥的关系，进而拒绝Pod调度进来，甚至可以将已经存在的Pod驱逐出去。

污点的格式为：key=value:effect, key和value是污点的标签，effect描述污点的作用，支持如下三个选项：

PreferNoSchedule：kubernetes将尽量避免把Pod调度到具有该污点的Node上，除非没有其他节点可调度

NoSchedule：kubernetes将不会把Pod调度到具有该污点的Node上，但不会影响当前Node上已存在的Pod

NoExecute：kubernetes将不会把Pod调度到具有该污点的Node上，同时也会将Node上已存在的Pod驱离

使用kubectl设置和去除污点的命令示例如下：

设置污点
kubectl taint nodes node1 key=value:effect

去除污点
kubectl taint nodes node1 key:effect-

去除所有污点
kubectl taint nodes node1 key-

为node1设置污点(PreferNoSchedule)
[root@k8s-master01 ~]# kubectl taint nodes node1 tag=heima:PreferNoSchedule

六：容忍

上面介绍了污点的作用，我们可以在node上添加污点用于拒绝pod调度上来，但是如果就是想将一个pod调度到一个有污点的node上去
，这时候应该怎么做呢？这就要使用到容忍。

创建pod-toleration.yaml,内容如下

apiVersion: v1
kind: Pod
metadata:
name: pod-toleration
namespace: dev
spec:
containers:

• name: nginx
  image: nginx:1.17.1
  tolerations: # 添加容忍
• key: “tag” # 要容忍的污点的key
  operator: “Equal” # 操作符
  value: “heima” # 容忍的污点的value
  effect: “NoExecute” # 添加容忍的规则，这里必须和标记的污点规则相同
  tolerationSeconds # 容忍时间, 当effect为NoExecute时生效，表示pod在Node上的停留时间

1.添加容忍之前的pod
[root@k8s-master01 ~]# kubectl get pods -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED
pod-toleration 0/1 Pending 0 3s

2.添加容忍之后的pod
[root@k8s-master01 ~]# kubectl get pods -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED
pod-toleration 1/1 Running 0 3s 10.244.1.62 node1

七：容器探测

容器探测用于检测容器中的应用实例是否正常工作，是保障业务可用性的一种传统机制。如果经过探测，实例的状态不符合预期，那么kubernetes就会把该问题实例" 摘除 "，不承担业务流量。kubernetes提供了两种探针来实现容器探测，分别是：

liveness probes：存活性探针，用于检测应用实例当前是否处于正常运行状态，如果不是，k8s会重启容器

readiness probes：就绪性探针，用于检测应用实例当前是否可以接收请求，如果不能，k8s不会转发流量

livenessProbe 决定是否重启容器，readinessProbe 决定是否将请求转发给容器。

上面两种探针目前均支持三种探测方式：

Exec命令：在容器内执行一次命令，如果命令执行的退出码为0，则认为程序正常，否则不正常

……
livenessProbe:
exec:
command:
- cat
- /tmp/healthy
……
TCPSocket：将会尝试访问一个用户容器的端口，如果能够建立这条连接，则认为程序正常，否则不正常

……
livenessProbe:
tcpSocket:
port: 8080
……
HTTPGet：调用容器内Web应用的URL，如果返回的状态码在200和399之间，则认为程序正常，否则不正常

……
livenessProbe:
httpGet:
path: / #URI地址
port: 80 #端口号
host: 127.0.0.1 #主机地址
scheme: HTTP #支持的协议，http或者https

八： Pod控制器介绍

Pod是kubernetes的最小管理单元，在kubernetes中，按照pod的创建方式可以将其分为两类：

自主式pod：kubernetes直接创建出来的Pod，这种pod删除后就没有了，也不会重建

控制器创建的pod：kubernetes通过控制器创建的pod，这种pod删除了之后还会自动重建

什么是Pod控制器

Pod控制器是管理pod的中间层，使用Pod控制器之后，只需要告诉Pod控制器，想要多少个什么样的Pod就可以了，它会创建出满足条件的Pod并确保每一个Pod资源处于用户期望的目标状态。如果Pod资源在运行中出现故障，它会基于指定策略重新编排Pod。

在kubernetes中，有很多类型的pod控制器，每种都有自己的适合的场景，常见的有下面这些：

ReplicationController：比较原始的pod控制器，已经被废弃，由ReplicaSet替代

ReplicaSet：保证副本数量一直维持在期望值，并支持pod数量扩缩容，镜像版本升级

Deployment：通过控制ReplicaSet来控制Pod，并支持滚动升级、回退版本

Horizontal Pod Autoscaler：可以根据集群负载自动水平调整Pod的数量，实现削峰填谷

DaemonSet：在集群中的指定Node上运行且仅运行一个副本，一般用于守护进程类的任务

Job：它创建出来的pod只要完成任务就立即退出，不需要重启或重建，用于执行一次性任务

Cronjob：它创建的Pod负责周期性任务控制，不需要持续后台运行

StatefulSet：管理有状态应用

8.1ReplicaSet(RS)

ReplicaSet的主要作用是保证一定数量的pod正常运行，它会持续监听这些Pod的运行状态，一旦Pod发生故障，就会重启或重建。同时它还支持对pod数量的扩缩容和镜像版本的升降级。

ReplicaSet的资源清单文件：

apiVersion: apps/v1 # 版本号
kind: ReplicaSet # 类型
metadata: # 元数据
name: # rs名称
namespace: # 所属命名空间
labels: #标签
controller: rs
spec: # 详情描述
replicas: 3 # 副本数量
selector: # 选择器，通过它指定该控制器管理哪些pod
matchLabels: # Labels匹配规则
app: nginx-pod
matchExpressions: # Expressions匹配规则
- {key: app, operator: In, values: [nginx-pod]}
template: # 模板，当副本数量不足时，会根据下面的模板创建pod副本
metadata:
labels:
app: nginx-pod
spec:
containers:
- name: nginx
image: nginx:1.17.1
ports:
- containerPort: 80

在这里面，需要新了解的配置项就是spec下面几个选项：

replicas：指定副本数量，其实就是当前rs创建出来的pod的数量，默认为1

selector：选择器，它的作用是建立pod控制器和pod之间的关联关系，采用的Label Selector机制

在pod模板上定义label，在控制器上定义选择器，就可以表明当前控制器能管理哪些pod了

template：模板，就是当前控制器创建pod所使用的模板板，里面其实就是前一章学过的pod的定义

编辑rs的副本数量
kubectl scale rs pc-rs --replicas=5 -n dev

编辑rs的副本数量，修改spec:replicas: 6即可
[root@k8s-master01 ~]# kubectl edit rs pc-replicaset -n dev
replicaset.apps/pc-replicaset edited

编辑rs的容器镜像 - image: nginx:1.17.2
[root@k8s-master01 ~]# kubectl edit rs pc-replicaset -n dev

在kubernetes删除RS前，会将RS的replicasclear调整为0，等待所有的Pod被删除后，在执行RS对象的删除
[root@k8s-master01 ~]# kubectl delete rs pc-replicaset -n dev

也可以使用yaml直接删除(推荐)
[root@k8s-master01 ~]# kubectl delete -f pc-replicaset.yaml

8.2Deployment(Deploy)

为了更好的解决服务编排的问题，kubernetes在V1.2版本开始，引入了Deployment控制器。值得一提的是，
这种控制器并不直接管理pod，而是通过管理ReplicaSet来简介管理Pod，
即：Deployment管理ReplicaSet，ReplicaSet管理Pod。所以Deployment比ReplicaSet功能更加强大。

Deployment主要功能有下面几个：

支持ReplicaSet的所有功能

支持发布的停止、继续

支持滚动升级和回滚版本

Deployment的资源清单文件：

apiVersion: apps/v1 # 版本号
kind: Deployment # 类型
metadata: # 元数据
name: # rs名称
namespace: # 所属命名空间
labels: #标签
controller: deploy
spec: # 详情描述
replicas: 3 # 副本数量
revisionHistoryLimit: 3 # 保留历史版本
paused: false # 暂停部署，默认是false
progressDeadlineSeconds: 600 # 部署超时时间（s），默认是600
strategy: # 策略
type: RollingUpdate # 滚动更新策略
rollingUpdate: # 滚动更新
maxSurge: 30% # 最大额外可以存在的副本数，可以为百分比，也可以为整数
maxUnavailable: 30% # 最大不可用状态的 Pod 的最大值，可以为百分比，也可以为整数
selector: # 选择器，通过它指定该控制器管理哪些pod
matchLabels: # Labels匹配规则
app: nginx-pod
matchExpressions: # Expressions匹配规则
- {key: app, operator: In, values: [nginx-pod]}
template: # 模板，当副本数量不足时，会根据下面的模板创建pod副本
metadata:
labels:
app: nginx-pod
spec:
containers:
- name: nginx
image: nginx:1.17.1
ports:
- containerPort: 80

创建deployment

kubectl create deployment nginx --image nginx

kubectl run nginx --image nginx

[root@k8s-master01 ~]# kubectl create -f pc-deployment.yaml --record=true
deployment.apps/pc-deployment created
​
查看deployment
UP-TO-DATE 最新版本的pod的数量
AVAILABLE 当前可用的pod的数量
[root@k8s-master01 ~]# kubectl get deploy pc-deployment -n dev
NAME READY UP-TO-DATE AVAILABLE AGE
pc-deployment 3/3 3 3 15s
变更副本数量为5个
[root@k8s-master01 ~]# kubectl scale deploy pc-deployment --replicas=5 -n dev

编辑deployment的副本数量，修改spec:replicas: 4即可
kubectl edit deploy pc-deployment -n dev
deployment.apps/pc-deployment edited

​九：镜像更新

deployment支持两种更新策略:重建更新和滚动更新,可以通过strategy指定策略类型,支持两个属性:

strategy：指定新的Pod替换旧的Pod的策略， 支持两个属性：
type：指定策略类型，支持两种策略
Recreate：在创建出新的Pod之前会先杀掉所有已存在的Pod
RollingUpdate：滚动更新，就是杀死一部分，就启动一部分，在更新过程中，存在两个版本Pod
rollingUpdate：当type为RollingUpdate时生效，用于为RollingUpdate设置参数，支持两个属性：
maxUnavailable：用来指定在升级过程中不可用Pod的最大数量，默认为25%。
maxSurge： 用来指定在升级过程中可以超过期望的Pod的最大数量，默认为25%。
变更镜像
[root@k8s-master01 ~]# kubectl set image deployment pc-deployment nginx=nginx:1.17.2 -n dev

查看当前升级版本的状态
[root@k8s-master01 ~]# kubectl rollout status deploy pc-deployment -n dev

查看升级历史记录
[root@k8s-master01 ~]# kubectl rollout history deploy pc-deployment -n dev

这里直接使用–to-revision=1回滚到了1版本， 如果省略这个选项，就是回退到上个版本，就是2版本
[root@k8s-master01 ~]# kubectl rollout undo deployment pc-deployment --to-revision=1 -n dev
deployment.apps/pc-deployment rolled back

查看发现，通过nginx镜像版本可以发现到了第一版
[root@k8s-master01 ~]# kubectl get deploy -n dev -o wide

删除deployment，其下的rs和pod也将被删除
[root@k8s-master01 ~]# kubectl delete -f pc-deployment.yaml
首先编辑一个配置文件 httpd.yml
apiVersion: apps/v1beta1
kind: Deployment
metadata:
name: httpd
spec:
replicas: 3
template:
metadata:
labels:
run: httpd
spec:
containers:
- name: httpd
image: httpd
ports:
- containerPort: 80
apiVersion: v1 # v1是service的apiversion
kind: Service # 当前资源的类型为 Service。
metadata:
name: httpd-svc # Service 的名字为 httpd-svc。
spec:
selector: # elector 指明挑选那些 label 为 run: httpd 的 Pod 作为 Service 的后端。
run: httpd
ports: # 将 Service 的 8080 端口映射到 Pod 的 80 端口，使用 TCP 协议。

• protocol: TCP
  port: 8080
  targetPort: 80

接着执行如下命令创建 Deployment 和 Service：
kubectl apply -f httpd.yml、
所有的配置文件都是 kubeclt + 命令 ±f +ymal文件
vi pod-demo.yaml可以通过来ymal创建文件
再执行对应的配置文件命令

DaemonSet类型的控制器可以保证在集群中的每一台（或指定）节点上都运行一个副本。一般适用于日志收集、节点监控等场景。
也就是说，如果一个Pod提供的功能是节点级别的（每个节点都需要且只需要一个），那么这类Pod就适合使用DaemonSet类型的控制器创建。
下面先来看下DaemonSet的资源清单文件

apiVersion: apps/v1 # 版本号
kind: DaemonSet # 类型
metadata: # 元数据
name: # rs名称
namespace: # 所属命名空间
labels: #标签
controller: daemonset
spec: # 详情描述
revisionHistoryLimit: 3 # 保留历史版本
updateStrategy: # 更新策略
type: RollingUpdate # 滚动更新策略
rollingUpdate: # 滚动更新
maxUnavailable: 1 # 最大不可用状态的 Pod 的最大值，可以为百分比，也可以为整数
selector: # 选择器，通过它指定该控制器管理哪些pod
matchLabels: # Labels匹配规则
app: nginx-pod
matchExpressions: # Expressions匹配规则
- {key: app, operator: In, values: [nginx-pod]}
template: # 模板，当副本数量不足时，会根据下面的模板创建pod副本
metadata:
labels:
app: nginx-pod
spec:
containers:
- name: nginx
image: nginx:1.17.1
ports:
- containerPort: 80

创建daemonset
[root@k8s-master01 ~]# kubectl create -f pc-daemonset.yaml

查看daemonset
kubectl get ds -n dev -o wide

十：JOB

Job，主要用于负责批量处理(一次要处理指定数量任务)短暂的一次性(每个任务仅运行一次就结束)任务。Job特点如下：

当Job创建的pod执行成功结束时，Job将记录成功结束的pod数量

当成功结束的pod达到指定的数量时，Job将完成执行
Job的资源清单文件：

apiVersion: batch/v1 # 版本号
kind: Job # 类型
metadata: # 元数据
name: # rs名称
namespace: # 所属命名空间
labels: #标签
controller: job
spec: # 详情描述
completions: 1 # 指定job需要成功运行Pods的次数。默认值: 1
parallelism: 1 # 指定job在任一时刻应该并发运行Pods的数量。默认值: 1
activeDeadlineSeconds: 30 # 指定job可运行的时间期限，超过时间还未结束，系统将会尝试进行终止。
backoffLimit: 6 # 指定job失败后进行重试的次数。默认是6
manualSelector: true # 是否可以使用selector选择器选择pod，默认是false
selector: # 选择器，通过它指定该控制器管理哪些pod
matchLabels: # Labels匹配规则
app: counter-pod
matchExpressions: # Expressions匹配规则
- {key: app, operator: In, values: [counter-pod]}
template: # 模板，当副本数量不足时，会根据下面的模板创建pod副本
metadata:
labels:
app: counter-pod
spec:
restartPolicy: Never # 重启策略只能设置为Never或者OnFailure
containers:
- name: counter
image: busybox:1.30
command: [“bin/sh”,“-c”,“for i in 9 8 7 6 5 4 3 2 1; do echo $i;sleep 2;done”]

创建job
[root@k8s-master01 ~]# kubectl create -f pc-job.yaml
查看job
kubectl get job -n dev -o wide -w

CronJob(CJ)
CronJob控制器以Job控制器资源为其管控对象，并借助它管理pod资源对象，Job控制器定义的作业任务在其控制器资源创建之后便会立即执行，
但CronJob可以以类似于Linux操作系统的周期性任务作业计划的方式控制其运行时间点及重复运行的方式。
也就是说，CronJob可以在特定的时间点(反复的)去运行job任务。
简单来说就会CJ控制job，job控制pod

创建cronjob
[root@k8s-master01 ~]# kubectl create -f pc-cronjob.yaml
cronjob.batch/pc-cronjob created
​
查看cronjob
[root@k8s-master01 ~]# kubectl get cronjobs -n dev
删除cronjob
kubectl delete -f pc-cronjob.yaml

十一：Service介绍

在kubernetes中，pod是应用程序的载体，我们可以通过pod的ip来访问应用程序，但是pod的ip地址不是固定的，这也就意味着不方便直接采用pod的ip对服务进行访问。

为了解决这个问题，kubernetes提供了Service资源，Service会对提供同一个服务的多个pod进行聚合，并且提供一个统一的入口地址。
通过访问Service的入口地址就能访问到后面的pod服务。Service在很多情况下只是一个概念，真正起作用的其实是kube-proxy服务进程，
每个Node节点上都运行着一个kube-proxy服务进程。当创建Service的时候会通过api-server向etcd写入创建的service的信息，
而kube-proxy会基于监听的机制发现这种Service的变动，然后它会将最新的Service信息转换成对应的访问规则。

kube-proxy目前支持三种工作模式:
Service的工作方式有三种:
　第一种: 是Userspace方式
userspace模式下，kube-proxy会为每一个Service创建一个监听端口，发向Cluster IP的请求被Iptables规则重定向到kube-proxy监听的端口上，kube-proxy根据LB算法选择一个提供服务的Pod并和其建立链接，
以将请求转发到Pod上。 ​ 该模式下，kube-proxy充当了一个四层负责均衡器的角色。由于kube-proxy运行在userspace中，在进行转发处理时会增加内核和用户空间之间的数据拷贝，
虽然比较稳定，但是效率比较低。
　
第二种: iptables模型
iptables模式下，kube-proxy为service后端的每个Pod创建对应的iptables规则，直接将发向Cluster IP的请求重定向到一个Pod IP。 ​
该模式下kube-proxy不承担四层负责均衡器的角色，只负责创建iptables规则。该模式的优点是较userspace模式效率更高，
但不能提供灵活的LB策略，当后端Pod不可用时也无法进行重试。

第三种: ipvs模型
ipvs模式和iptables类似，kube-proxy监控Pod的变化并创建相应的ipvs规则。ipvs相对iptables转发效率更高。
除此以外，ipvs支持更多的LB算法。

Service的资源清单文件：

kind: Service # 资源类型
apiVersion: v1 # 资源版本
metadata: # 元数据
name: service # 资源名称
namespace: dev # 命名空间
spec: # 描述
selector: # 标签选择器，用于确定当前service代理哪些pod
app: nginx
type: # Service类型，指定service的访问方式
clusterIP: # 虚拟服务的ip地址
sessionAffinity: # session亲和性，支持ClientIP、None两个选项
ports: # 端口信息
- protocol: TCP
port: 3017 # service端口
targetPort: 5003 # pod端口
nodePort: 31122 # 主机端口
ClusterIP：默认值，它是Kubernetes系统自动分配的虚拟IP，只能在集群内部访问

NodePort：将Service通过指定的Node上的端口暴露给外部，通过此方法，就可以在集群外部访问服务

LoadBalancer：使用外接负载均衡器完成到服务的负载分发，注意此模式需要外部云环境支持

ExternalName： 把集群外部的服务引入集群内部，直接使用

kubectl create service -h#创建service
创建service-clusterip.yaml文件

apiVersion: v1
kind: Service
metadata:
name: service-clusterip
namespace: dev
spec:
selector:
app: nginx-pod
clusterIP: 10.97.97.97 # service的ip地址，如果不写，默认会生成一个
type: ClusterIP
ports:

• port: 80 # Service端口
  targetPort: 80 # pod端口
  10.244.2.33

1.Endpoint
Endpoint是kubernetes中的一个资源对象，存储在etcd中，用来记录一个service对应的所有pod的访问地址，
它是根据service配置文件中selector描述产生的。

一个Service由一组Pod组成，这些Pod通过Endpoints暴露出来，Endpoints是实现实际服务的端点集合。
换句话说，service和pod之间的联系是通过endpoints实现的。

查看ipvs的映射规则【rr 轮询】
[root@k8s-master01 ~]# ipvsadm -Ln
TCP 10.97.97.97:80 rr
-> 10.244.1.39:80 Masq 1 0 0
-> 10.244.1.40:80 Masq 1 0 0
-> 10.244.2.33:80 Masq 1 0 0
​
循环访问测试
[root@k8s-master01 ~]# while true;do curl 10.97.97.97:80; sleep 5; done;
10.244.1.40
10.244.1.39
10.244.2.33
10.244.1.40
10.244.1.39
10.244.2.33
​ 修改分发策略----sessionAffinity:ClientIP
​
查看ipvs规则【persistent 代表持久】
[root@k8s-master01 ~]# ipvsadm -Ln
TCP 10.97.97.97:80 rr persistent 10800
-> 10.244.1.39:80 Masq 1 0 0
-> 10.244.1.40:80 Masq 1 0 0
-> 10.244.2.33:80 Masq 1 0 0
​
循环访问测试
[root@k8s-master01 ~]# while true;do curl 10.97.97.97; sleep 5; done;
10.244.2.33
10.244.2.33
10.244.2.33

删除service
[root@k8s-master01 ~]# kubectl delete -f service-clusterip.yaml
service “service-clusterip” deleted

curl + ip 相当于执行

ipvsadm -Ln#查看映射规则，比如采用轮训还是随机还是永久

HeadLiness类型的Service
在某些场景中，开发人员可能不想使用Service提供的负载均衡功能，而希望自己来控制负载均衡策略，针对这种情况，
kubernetes提供了HeadLiness Service，这类Service不会分配Cluster IP，如果想要访问service，只能通过service的域名进行查询。

apiVersion: v1
kind: Service
metadata:
name: service-headliness
namespace: dev
spec:
selector:
app: nginx-pod
clusterIP: None # 将clusterIP设置为None，即可创建headliness Service
type: ClusterIP
ports:

• port: 80
  targetPort: 80

查看service详情
kubectl describe svc service-headliness -n dev

2.LoadBalancer类型的Service
LoadBalancer和NodePort很相似，目的都是向外部暴露一个端口，区别在于LoadBalancer会在集群的外部再来做一个负载均衡设备，
而这个设备需要外部环境支持的，外部服务发送到这个设备上的请求，会被设备负载之后转发到集群中。

查看域名的解析情况
kubectl exec -it pc-deployment-66cb59b984-8p84h -n dev /bin/sh

service-headliness.dev.svc.cluster.local. 30 IN A 10.244.2.33
3.NodePort类型的Service
在之前的样例中，创建的Service的ip地址只有集群内部才可以访问，如果希望将Service暴露给集群外部使用，
那么就要使用到另外一种类型的Service，称为NodePort类型。
NodePort的工作原理其实就是将service的端口映射到Node的一个端口上，然后就可以通过NodeIp:NodePort来访问service了。

4.Ingress介绍
在前面课程中已经提到，Service对集群之外暴露服务的主要方式有两种：NotePort和LoadBalancer，但是这两种方式，
都有一定的缺点：

NodePort方式的缺点是会占用很多集群机器的端口，那么当集群服务变多的时候，这个缺点就愈发明显

LB方式的缺点是每个service需要一个LB，浪费、麻烦，并且需要kubernetes之外设备的支持

基于这种现状，kubernetes提供了Ingress资源对象，Ingress只需要一个NodePort或者一个LB就可以满足暴露多个Service的需求。
工作机制大致如Ingress（以Nginx为例）的工作原理如下：

用户编写Ingress规则，说明哪个域名对应kubernetes集群中的哪个Service

Ingress控制器动态感知Ingress服务规则的变化，然后生成一段对应的Nginx反向代理配置

Ingress控制器会将生成的Nginx配置写入到一个运行着的Nginx服务中，并动态更新

到此为止，其实真正在工作的就是一个Nginx了，内部配置了用户定义的请求转发规则

在前面已经提到，容器的生命周期可能很短，会被频繁地创建和销毁。那么容器在销毁时，保存在容器中的数据也会被清除。这种结果对用户来说，在某些情况下是不乐意看到的。为了持久化保存容器的数据，kubernetes引入了Volume的概念。

Volume是Pod中能够被多个容器访问的共享目录，它被定义在Pod上，然后被一个Pod里的多个容器挂载到具体的文件目录下，
kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。
Volume的生命容器不与Pod中单个容器的生命周期相关，当容器终止或者重启时，Volume中的数据也不会丢失。
kubernetes的Volume支持多种类型，比较常见的有下面几个：

简单存储：EmptyDir、HostPath、NFS

高级存储：PV、PVC

配置存储：ConfigMap、Secret

8.1 基本存储
8.1.1 EmptyDir
EmptyDir是最基础的Volume类型，一个EmptyDir就是Host上的一个空目录。

EmptyDir是在Pod被分配到Node时创建的，它的初始内容为空，并且无须指定宿主机上对应的目录文件，因为kubernetes会自动分配一个目录，
当Pod销毁时，
EmptyDir中的数据也会被永久删除。 EmptyDir用途如下：

临时空间，例如用于某些应用程序运行时所需的临时目录，且无须永久保留

一个容器需要从另一个容器中获取数据的目录（多容器共享目录）

接下来，通过一个容器之间文件共享的案例来使用一下EmptyDir。

在一个Pod中准备两个容器nginx和busybox，然后声明一个Volume分别挂在到两个容器的目录中，然后nginx容器负责向Volume中写日志，
busybox中通过命令将日志内容读到控制台。

2 HostPath
上节课提到，EmptyDir中数据不会被持久化，它会随着Pod的结束而销毁，如果想简单的将数据持久化到主机中，可以选择HostPath。

HostPath就是将Node主机中一个实际目录挂在到Pod中，以供容器使用，这样的设计就可以保证Pod销毁了，但是数据依据可以存在于Node主机上。

HostPath可以解决数据持久化的问题，但是一旦Node节点故障了，Pod如果转移到了别的节点，又会出现问题了，此时需要准备单独的网络存储系统，比较常用的用NFS、CIFS。

apiVersion: v1
kind: Pod
metadata:
name: volume-hostpath
namespace: dev
spec:
containers:

• name: nginx
  image: nginx:1.17.1
  ports:
  • containerPort: 80
    volumeMounts:
  • name: logs-volume
    mountPath: /var/log/nginx
• name: busybox
  image: busybox:1.30
  command: [“/bin/sh”,“-c”,“tail -f /logs/access.log”]
  volumeMounts:
  • name: logs-volume
    mountPath: /logs
    volumes:
• name: logs-volume
  hostPath:
  path: /root/logs
  type: DirectoryOrCreate # 目录存在就使用，不存在就先创建后使用
  关于type的值的一点说明：
  DirectoryOrCreate 目录存在就使用，不存在就先创建后使用
  Directory 目录必须存在
  FileOrCreate 文件存在就使用，不存在就先创建后使用
  File 文件必须存在
  Socket unix套接字必须存在
  CharDevice 字符设备必须存在
  BlockDevice 块设备必须存在

NFS是一个网络文件存储系统，可以搭建一台NFS服务器，然后将Pod中的存储直接连接到NFS系统上，这样的话，
无论Pod在节点上怎么转移，只要Node跟NFS的对接没问题，数据就可以成功访问。

apiVersion: v1
kind: Pod
metadata:
name: volume-nfs
namespace: dev
spec:
containers:

• name: nginx
  image: nginx:1.17.1
  ports:
  • containerPort: 80
    volumeMounts:
  • name: logs-volume
    mountPath: /var/log/nginx
• name: busybox
  image: busybox:1.30
  command: [“/bin/sh”,“-c”,“tail -f /logs/access.log”]
  volumeMounts:
  • name: logs-volume
    mountPath: /logs
    volumes:
• name: logs-volume
  nfs:
  server: 192.168.5.6 #nfs服务器地址
  path: /root/data/nfs #共享文件路径

在nfs上安装nfs服务
[root@nfs ~]# yum install nfs-utils -y
​
准备一个共享目录
[root@nfs ~]# mkdir /root/data/nfs -pv
​
将共享目录以读写权限暴露给192.168.5.0/24网段中的所有主机
[root@nfs ~]# vim /etc/exports
[root@nfs ~]# more /etc/exports
/root/data/nfs 192.168.5.0/24(rw,no_root_squash)
​
启动nfs服务
[root@nfs ~]# systemctl restart nfs

前面已经学习了使用NFS提供存储，此时就要求用户会搭建NFS系统，并且会在yaml配置nfs。由于kubernetes支持的存储系统有很多，
要求客户全都掌握，显然不现实。为了能够屏蔽底层存储实现的细节，方便用户使用， kubernetes引入PV和PVC两种资源对象。

PV（Persistent Volume）是持久化卷的意思，是对底层的共享存储的一种抽象。一般情况下PV由kubernetes管理员进行创建和配置，
它与底层具体的共享存储技术有关，并通过插件完成与共享存储的对接。

PVC（Persistent Volume Claim）是持久卷声明的意思，是用户对于存储需求的一种声明。换句话说，
PVC其实就是用户向kubernetes系统发出的一种资源需求申请。
使用了PV和PVC之后，工作可以得到进一步的细分：

存储：存储工程师维护

PV： kubernetes管理员维护

PVC：kubernetes用户维护

apiVersion: v1
kind: PersistentVolume
metadata:
name: pv2
spec:
nfs: # 存储类型，与底层真正存储对应
capacity: # 存储能力，目前只支持存储空间的设置
storage: 2Gi
accessModes: # 访问模式
storageClassName: # 存储类别
persistentVolumeReclaimPolicy: # 回收策略

PV 的关键配置参数说明：

存储类型

底层实际存储的类型，kubernetes支持多种存储类型，每种存储类型的配置都有所差异

存储能力（capacity）

目前只支持存储空间的设置( storage=1Gi )，不过未来可能会加入IOPS、吞吐量等指标的配置

访问模式（accessModes）

用于描述用户应用对存储资源的访问权限，访问权限包括下面几种方式：

ReadWriteOnce（RWO）：读写权限，但是只能被单个节点挂载

ReadOnlyMany（ROX）： 只读权限，可以被多个节点挂载

ReadWriteMany（RWX）：读写权限，可以被多个节点挂载

需要注意的是，底层不同的存储类型可能支持的访问模式不同

回收策略（persistentVolumeReclaimPolicy）

当PV不再被使用了之后，对其的处理方式。目前支持三种策略：

Retain （保留） 保留数据，需要管理员手工清理数据

Recycle（回收） 清除 PV 中的数据，效果相当于执行 rm -rf /thevolume/*

Delete （删除） 与 PV 相连的后端存储完成 volume 的删除操作，当然这常见于云服务商的存储服务

需要注意的是，底层不同的存储类型可能支持的回收策略不同

存储类别

PV可以通过storageClassName参数指定一个存储类别

具有特定类别的PV只能与请求了该类别的PVC进行绑定

未设定类别的PV则只能与不请求任何类别的PVC进行绑定

状态（status）

一个 PV 的生命周期中，可能会处于4中不同的阶段：

Available（可用）： 表示可用状态，还未被任何 PVC 绑定

Bound（已绑定）： 表示 PV 已经被 PVC 绑定

Released（已释放）： 表示 PVC 被删除，但是资源还未被集群重新声明

Failed（失败）： 表示该 PV 的自动回收失败

使用NFS作为存储，来演示PV的使用，创建3个PV，对应NFS中的3个暴露的路径。

1. 准备NFS环境

创建目录
[root@nfs ~]# mkdir /root/data/{pv1,pv2,pv3} -pv

暴露服务
[root@nfs ~]# more /etc/exports
/root/data/pv1 192.168.5.0/24(rw,no_root_squash)
/root/data/pv2 192.168.5.0/24(rw,no_root_squash)
/root/data/pv3 192.168.5.0/24(rw,no_root_squash)

重启服务
[root@nfs ~]# systemctl restart nfs

创建pv.yaml

apiVersion: v1
kind: PersistentVolume
metadata:
name: pv1
spec:
capacity:
storage: 1Gi
accessModes:

• ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
  path: /root/data/pv1
  server: 192.168.5.6

---

apiVersion: v1
kind: PersistentVolume
metadata:
name: pv2
spec:
capacity:
storage: 2Gi
accessModes:

• ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
  path: /root/data/pv2
  server: 192.168.5.6

---

apiVersion: v1
kind: PersistentVolume
metadata:
name: pv3
spec:
capacity:
storage: 3Gi
accessModes:

• ReadWriteMany
  persistentVolumeReclaimPolicy: Retain
  nfs:
  path: /root/data/pv3
  server: 192.168.5.6

8.3 配置存储
8.3.1 ConfigMap
ConfigMap是一种比较特殊的存储卷，它的主要作用是用来存储配置信息的。

创建configmap.yaml，内容如下：

apiVersion: v1
kind: ConfigMap
metadata:
name: configmap
namespace: dev
data:
info: |
username:admin
password:123456
接下来，使用此配置文件创建configmap

创建configmap
[root@k8s-master01 ~]# kubectl create -f configmap.yaml
configmap/configmap created

查看configmap详情
[root@k8s-master01 ~]# kubectl describe cm configmap -n dev
Name: configmap
Namespace: dev
Labels:
Annotations:

info:

username:admin
password:123456

Events:
接下来创建一个pod-configmap.yaml，将上面创建的configmap挂载进去

apiVersion: v1
kind: Pod
metadata:
name: pod-configmap
namespace: dev
spec:
containers:

• name: nginx
  image: nginx:1.17.1
  volumeMounts: # 将configmap挂载到目录
  • name: config
    mountPath: /configmap/config
    volumes: # 引用configmap
• name: config
  configMap:
  name: configmap
  创建pod
  [root@k8s-master01 ~]# kubectl create -f pod-configmap.yaml
  pod/pod-configmap created

查看pod
[root@k8s-master01 ~]# kubectl get pod pod-configmap -n dev
NAME READY STATUS RESTARTS AGE
pod-configmap 1/1 Running 0 6s

#进入容器
[root@k8s-master01 ~]# kubectl exec -it pod-configmap -n dev /bin/sh
cd /configmap/config/
ls
info
more info
username:admin
password:123456

可以看到映射已经成功，每个configmap都映射成了一个目录
key—>文件 value---->文件中的内容
此时如果更新configmap的内容, 容器中的值也会动态更新

8.3.2 Secret
在kubernetes中，还存在一种和ConfigMap非常类似的对象，称为Secret对象。它主要用于存储敏感信息，例如密码、秘钥、证书等等。

1. 首先使用base64对数据进行编码

[root@k8s-master01 ~]# echo -n ‘admin’ | base64 #准备username
YWRtaW4=
[root@k8s-master01 ~]# echo -n ‘123456’ | base64 #准备password
MTIzNDU2

2. 接下来编写secret.yaml，并创建Secret

apiVersion: v1
kind: Secret
metadata:
name: secret
namespace: dev
type: Opaque
data:
username: YWRtaW4=
password: MTIzNDU2

进入容器，查看secret信息，发现已经自动解码了
[root@k8s-master01 ~]# kubectl exec -it pod-secret /bin/sh -n dev
/ # ls /secret/config/
password username
/ # more /secret/config/username
admin
/ # more /secret/config/password
123456

十二： 安全认证

12.1 访问控制概述
Kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。
所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。

客户端

在Kubernetes集群中，客户端通常有两类：

User Account：一般是独立于kubernetes之外的其他服务管理的用户账号。

Service Account：kubernetes管理的账号，用于为Pod中的服务进程在访问Kubernetes时提供身份标识。

ApiServer是访问及管理资源对象的唯一入口。任何一个请求访问ApiServer，都要经过下面三个流程：

Authentication（认证）：身份鉴别，只有正确的账号才能够通过认证

Authorization（授权）： 判断用户是否有权限对访问的资源执行特定的动作

Admission Control（准入控制）：用于补充授权机制以实现更加精细的访问控制功能。

Kubernetes集群安全的最关键点在于如何识别并认证客户端身份，它提供了3种客户端身份认证方式：

HTTP Base认证：通过用户名+密码的方式认证

这种认证方式是把“用户名:密码”用BASE64算法进行编码后的字符串放在HTTP请求中的
Header Authorization域里发送给服务端。服务端收到后进行解码，获取用户名及密码，然后进行用户身份认证的过程。
HTTP Token认证：通过一个Token来识别合法用户

这种认证方式是用一个很长的难以被模仿的字符串–Token来表明客户身份的一种方式。每个Token对应一个用户名，
当客户端发起API调用请求时，需要在HTTP Header里放入Token，API Server接到Token后会跟服务器中保存的token进行比对，
然后进行用户身份认证的过程。
HTTPS证书认证：基于CA根证书签名的双向数字证书认证方式

HTTPS认证大体分为3个过程：

1.证书申请和下发

HTTPS通信双方的服务器向CA机构申请证书，CA机构下发根证书、服务端证书及私钥给申请者
2.客户端和服务端的双向认证

1> 客户端向服务器端发起请求，服务端下发自己的证书给客户端，
客户端接收到证书后，通过私钥解密证书，在证书中获得服务端的公钥，
客户端利用服务器端的公钥认证证书中的信息，如果一致，则认可这个服务器
2> 客户端发送自己的证书给服务器端，服务端接收到证书后，通过私钥解密证书，
在证书中获得客户端的公钥，并用该公钥认证证书信息，确认客户端是否合法
3.服务器端和客户端进行通信

服务器端和客户端协商好加密方案后，客户端会产生一个随机的秘钥并加密，然后发送到服务器端。
服务器端接收这个秘钥后，双方接下来通信的所有内容都通过该随机秘钥加密

授权发生在认证成功之后，通过认证就可以知道请求用户是谁， 然后Kubernetes会根据事先定义的授权策略来决定用户是否有权限访问，这个过程就称为授权。

每个发送到ApiServer的请求都带上了用户和资源的信息：比如发送请求的用户、请求的路径、请求的动作等，授权就是根据这些信息和授权策略进行比较，如果符合策略，则认为授权通过，否则会返回错误。

API Server目前支持以下几种授权策略：

AlwaysDeny：表示拒绝所有请求，一般用于测试

AlwaysAllow：允许接收所有请求，相当于集群不需要授权流程（Kubernetes默认的策略）

ABAC：基于属性的访问控制，表示使用用户配置的授权规则对用户请求进行匹配和控制

Webhook：通过调用外部REST服务对用户进行授权

Node：是一种专用模式，用于对kubelet发出的请求进行访问控制

RBAC：基于角色的访问控制（kubeadm安装方式下的默认选项）

RBAC引入了4个顶级资源对象：

Role、ClusterRole：角色，用于指定一组权限

Role、ClusterRole

一个角色就是一组权限的集合，这里的权限都是许可形式的（白名单）。

Role只能对命名空间内的资源进行授权，需要指定nameapce
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
namespace: dev
name: authorization-role
rules:

• apiGroups: [“”] # 支持的API组列表,“” 空字符串，表示核心API群
  resources: [“pods”] # 支持的资源对象列表
  verbs: [“get”, “watch”, “list”] # 允许的对资源对象的操作方法列表
  ClusterRole可以对集群范围内资源、跨namespaces的范围资源、非资源类型进行授权
  kind: ClusterRole
  apiVersion: rbac.authorization.k8s.io/v1beta1
  metadata:
  name: authorization-clusterrole
  rules:
• apiGroups: [“”]
  resources: [“pods”]
  verbs: [“get”, “watch”, “list”]

RoleBinding、ClusterRoleBinding

角色绑定用来把一个角色绑定到一个目标对象上，绑定目标可以是User、Group或者ServiceAccount。

RoleBinding可以将同一namespace中的subject绑定到某个Role下，则此subject即具有该Role定义的权限
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: authorization-role-binding
namespace: dev
subjects:

• kind: User
  name: heima
  apiGroup: rbac.authorization.k8s.io
  roleRef:
  kind: Role
  name: authorization-role
  apiGroup: rbac.authorization.k8s.io
  ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定，授予权限
  kind: ClusterRoleBinding
  apiVersion: rbac.authorization.k8s.io/v1beta1
  metadata:
  name: authorization-clusterrole-binding
  subjects:
• kind: User
  name: heima
  apiGroup: rbac.authorization.k8s.io
  roleRef:
  kind: ClusterRole
  name: authorization-clusterrole
  apiGroup: rbac.authorization.k8s.io

实战：创建一个只能管理dev空间下Pods资源的账号

1. 创建账号

2. 创建证书
   [root@k8s-master01 pki]# cd /etc/kubernetes/pki/
   [root@k8s-master01 pki]# (umask 077;openssl genrsa -out devman.key 2048)

3. 用apiserver的证书去签署
   2-1) 签名申请，申请的用户是devman,组是devgroup
   [root@k8s-master01 pki]# openssl req -new -key devman.key -out devman.csr -subj “/CN=devman/O=devgroup”
   2-2) 签署证书
   [root@k8s-master01 pki]# openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650

4. 设置集群、用户、上下文信息
   [root@k8s-master01 pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.109.100:6443

[root@k8s-master01 pki]# kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key

[root@k8s-master01 pki]# kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman

切换账户到devman
[root@k8s-master01 pki]# kubectl config use-context devman@kubernetes
Switched to context “devman@kubernetes”.

查看dev下pod，发现没有权限
[root@k8s-master01 pki]# kubectl get pods -n dev
Error from server (Forbidden): pods is forbidden: User “devman” cannot list resource “pods” in API group “” in the namespace “dev”

切换到admin账户
[root@k8s-master01 pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context “kubernetes-admin@kubernetes”.
2） 创建Role和RoleBinding，为devman用户授权

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
namespace: dev
name: dev-role
rules:

• apiGroups: [“”]
  resources: [“pods”]
  verbs: [“get”, “watch”, “list”]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: authorization-role-binding
namespace: dev
subjects:

• kind: User
  name: devman
  apiGroup: rbac.authorization.k8s.io
  roleRef:
  kind: Role
  name: dev-role
  apiGroup: rbac.authorization.k8s.io
  [root@k8s-master01 pki]# kubectl create -f dev-role.yaml
  role.rbac.authorization.k8s.io/dev-role created
  rolebinding.rbac.authorization.k8s.io/authorization-role-binding created

3. 切换账户，再次验证

切换账户到devman
[root@k8s-master01 pki]# kubectl config use-context devman@kubernetes
Switched to context “devman@kubernetes”.

再次查看
[root@k8s-master01 pki]# kubectl get pods -n dev
NAME READY STATUS RESTARTS AGE
nginx-deployment-66cb59b984-8wp2k 1/1 Running 0 4d1h
nginx-deployment-66cb59b984-dc46j 1/1 Running 0 4d1h
nginx-deployment-66cb59b984-thfck 1/1 Running 0 4d1h

为了不影响后面的学习,切回admin账户
[root@k8s-master01 pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context “kubernetes-admin@kubernetes”.

9.4 准入控制
通过了前面的认证和授权之后，还需要经过准入控制处理通过之后，apiserver才会处理这个请求。

准入控制是一个可配置的控制器列表，可以通过在Api-Server上通过命令行设置选择执行哪些准入控制器：

–admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,
DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds
只有当所有的准入控制器都检查通过之后，apiserver才执行该请求，否则返回拒绝。

当前可配置的Admission Control准入控制如下：

AlwaysAdmit：允许所有请求

AlwaysDeny：禁止所有请求，一般用于测试

AlwaysPullImages：在启动容器之前总去下载镜像

DenyExecOnPrivileged：它会拦截所有想在Privileged Container上执行命令的请求

ImagePolicyWebhook：这个插件将允许后端的一个Webhook程序来完成admission controller的功能。

Service Account：实现ServiceAccount实现了自动化

SecurityContextDeny：这个插件将使用SecurityContext的Pod中的定义全部失效

ResourceQuota：用于资源配额管理目的，观察所有请求，确保在namespace上的配额不会超标

LimitRanger：用于资源限制管理，作用于namespace上，确保对Pod进行资源限制

InitialResources：为未设置资源请求与限制的Pod，根据其镜像的历史资源的使用情况进行设置

NamespaceLifecycle：如果尝试在一个不存在的namespace中创建资源对象，则该创建请求将被拒绝。当删除一个namespace时，系统将会删除该namespace中所有对象。

DefaultStorageClass：为了实现共享存储的动态供应，为未指定StorageClass或PV的PVC尝试匹配默认的StorageClass，尽可能减少用户在申请PVC时所需了解的后端存储细节

DefaultTolerationSeconds：这个插件为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间，为5min

PodSecurityPolicy：这个插件用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制