k8s第五节安全框架RBAC、pod acl网络限制、备份etcd

k8s组件访问经过授权和证书方面的校验。![授权、认证](https://img-blog.csdnimg.cn/20210121162308376.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2FiNjAxMDI2NDYw,size_1

Dazer007

411人浏览 · 2021-01-21 16:23:40

Dazer007 · 2021-01-21 16:23:40 发布

k8s组件访问经过授权和证书方面的校验。

一、RBAC基于角色权限控制

名称	命令
查看证书	`ls /etc/kubernetes/pki/`
角色权限访问控制RBAC

安全框架

鉴权RBAC
准入控制
RBAC

二、Pod ACL流量控制

网络策略概述
pod出入流量控制

流量控制

三、etcd备份

k8s里面所有数据都在etcd里面，因此备份数据库etcd非常重要

3.1 安装ectdctl

#安装etcdctl
 yum search etcd #搜索etcd
 yum install -y etcd.x86_64 #安装etcd; 搜索中出现 etcd

3.2 备份ectd数据库

etcd备份
ETCDCTL_API=3指明是V3版本，V3必须指定证书地址；否则报错：Error: context deadline exceeded

#备份ectd数据到当前目录
ETCDCTL_API=3 etcdctl snapshot save snapshot.db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt  \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key 
## 帮助命令，主要必须是
ETCDCTL_API=3 etcdctl --help #不加api版本，默认还是2版本的; 必须是大写的 `ETCDCTL_API=3`
ETCDCTL_API=3 etcdctl snapshot save --help #查看具体的save命令

参见：备份etcd backing-up-an-etcd

3.3 恢复etcd数据库

帮助命令1，ETCDCTL_API=3 etcdctl --help
帮助命令2，ETCDCTL_API=3 etcdctl snapshot restore --help

# etcdctl恢复数据
ETCDCTL_API=3 etcdctl snapshot restore snapshot.db \
--data-dir=/var/lib/etcd

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub