云计算容器化技术与实践 课件 第五章 Kubernetes 进阶使用.pptx

云计算容器化技术与实践第五章Kubernetes进阶使用

本章大纲KubernetesAPI访问控制访问控制机制认证鉴权准入控制Pod的计算资源管理容器资源的请求和限制Pod的服务质量为命名空间中的Pod设置默认的资源请求和限制自动缩放Pod与集群节点Pod的横向自动伸缩Pod的纵向自动伸缩节点的横向伸缩高级调度污点和容忍度Kubernetes调度器及性能调优

章节内容提要

KubernetesAPI访问控制：机制概述

API访问控制：认证方式(1/2)介绍三种常用客户端身份认证方式：1.基础的HTTP认证：?+通过用户名密码方式。?BASE64HTTPHeader用户名密码编码后放Authorization域。

API访问控制：认证方式(1/2)介绍三种常用客户端身份认证方式：1.基础的HTTP认证：?+通过用户名密码方式。?BASE64HTTPHeader用户名密码编码后放Authorization域。2.Token认证(持有者令牌)：?API–token-auth-file=SOMEFILE。服务器启动时设置从文件读取令牌，每个令牌对应用户名。HTTPHeader???客户端请求时令牌长期有效，不重启中放入令牌。APIServer无法更改。

API访问控制：认证方式(2/2)-HTTPS证书认证3.HTTPS证书认证：?API–client-ca-file=SOMEFILE服务器启动时传递被认为是安全性最高的方式。CA-CA。??步骤：双方申请证书下发根证书、服务端证书、私钥-客户端与服务器双向认证-成功后通信。双向认证过程：客户端验证服务器证书，服务器验证客户端证书。?

API访问控制：鉴权-概念与请求属性鉴权指验证用户是否拥有访问系统的权利。API服务器评估请求属性决定允许或拒绝。Kubernetes审查的API请求属性?????(user)?HTTP(get,用户组额外信息是否请求动词(group)post,etc.)(extra)???(ResourceID/Name)资源API资源(API)子资源(Subresource)请求路径(RequestPath)命名空间(Namespace)?API(get,list,请求动词etc.)?API组(APIGroup)

API访问控制：常用鉴权模式

RBAC详解：Role与ClusterRoleRBACAPI四种对象:Role,ClusterRole,RoleBinding,ClusterRoleBinding。Role和ClusterRole(角色对象)指定一组权限规则(permissions)，权限是累加的(仅允许，无拒绝规则)。?Role：在某个命名空间内设置访问权限。创建时必须指定命名空间。#Role示例(授予default命名空间Pods读权限)#apiVersion:rbac.authorization.k8s.io/v1#kind:Role#metadata:##namespace:defaultname:pod-reader#rules:#-apiGroups:[]#coreAPI组##resources:[pods]verbs:[get,watch,list]

RBAC详解：RoleBindingRoleBinding(角色绑定)将Role中定义的权限赋予主体(用户、组或服务账号)。在指定命名空间执行授权。#RoleBinding示例(将pod-readerRole授予default命名空间)#apiVersion:rbac.authorization.k8s.io/v1#kind:RoleBinding#metadata:##name:read-podsnamespace:default#subjects:#-kind:User##name:PeterapiGroup:rbac.authorization.k8s.io#roleRef:###kind:Rolename:pod-readerapiGroup:rbac.authorization.k8s.io

RBAC详解：ClusterRoleBinding与注意ClusterRoleBinding在集群范围执行授权，通常引用ClusterRole。#ClusterRoleBinding示例#apiVersion:rbac.authorization.k8s.io/v1#kind:ClusterRoleBin