文档详情

云计算容器化技术与实践 课件 第五章 Kubernetes 进阶使用.pptx

发布:2025-06-11约6.53千字共32页下载文档
文本预览下载声明

云计算容器化技术与实践第五章Kubernetes进阶使用

本章大纲KubernetesAPI访问控制访问控制机制认证鉴权准入控制Pod的计算资源管理容器资源的请求和限制Pod的服务质量为命名空间中的Pod设置默认的资源请求和限制自动缩放Pod与集群节点Pod的横向自动伸缩Pod的纵向自动伸缩节点的横向伸缩高级调度污点和容忍度Kubernetes调度器及性能调优

章节内容提要

KubernetesAPI访问控制:机制概述

API访问控制:认证方式(1/2)介绍三种常用客户端身份认证方式:1.基础的HTTP认证:?+通过用户名密码方式。?BASE64HTTPHeader用户名密码编码后放Authorization域。

API访问控制:认证方式(1/2)介绍三种常用客户端身份认证方式:1.基础的HTTP认证:?+通过用户名密码方式。?BASE64HTTPHeader用户名密码编码后放Authorization域。2.Token认证(持有者令牌):?API–token-auth-file=SOMEFILE。服务器启动时设置从文件读取令牌,每个令牌对应用户名。HTTPHeader???客户端请求时令牌长期有效,不重启中放入令牌。APIServer无法更改。

API访问控制:认证方式(2/2)-HTTPS证书认证3.HTTPS证书认证:?API–client-ca-file=SOMEFILE服务器启动时传递被认为是安全性最高的方式。CA-CA。??步骤:双方申请证书下发根证书、服务端证书、私钥-客户端与服务器双向认证-成功后通信。双向认证过程:客户端验证服务器证书,服务器验证客户端证书。?

API访问控制:鉴权-概念与请求属性鉴权指验证用户是否拥有访问系统的权利。API服务器评估请求属性决定允许或拒绝。Kubernetes审查的API请求属性?????(user)?HTTP(get,用户组额外信息是否请求动词(group)post,etc.)(extra)???(ResourceID/Name)资源API资源(API)子资源(Subresource)请求路径(RequestPath)命名空间(Namespace)?API(get,list,请求动词etc.)?API组(APIGroup)

API访问控制:常用鉴权模式

RBAC详解:Role与ClusterRoleRBACAPI四种对象:Role,ClusterRole,RoleBinding,ClusterRoleBinding。Role和ClusterRole(角色对象)指定一组权限规则(permissions),权限是累加的(仅允许,无拒绝规则)。?Role:在某个命名空间内设置访问权限。创建时必须指定命名空间。#Role示例(授予default命名空间Pods读权限)#apiVersion:rbac.authorization.k8s.io/v1#kind:Role#metadata:##namespace:defaultname:pod-reader#rules:#-apiGroups:[]#coreAPI组##resources:[pods]verbs:[get,watch,list]

RBAC详解:RoleBindingRoleBinding(角色绑定)将Role中定义的权限赋予主体(用户、组或服务账号)。在指定命名空间执行授权。#RoleBinding示例(将pod-readerRole授予default命名空间)#apiVersion:rbac.authorization.k8s.io/v1#kind:RoleBinding#metadata:##name:read-podsnamespace:default#subjects:#-kind:User##name:PeterapiGroup:rbac.authorization.k8s.io#roleRef:###kind:Rolename:pod-readerapiGroup:rbac.authorization.k8s.io

RBAC详解:ClusterRoleBinding与注意ClusterRoleBinding在集群范围执行授权,通常引用ClusterRole。#ClusterRoleBinding示例#apiVersion:rbac.authorization.k8s.io/v1#kind:ClusterRoleBin

显示全部
相似文档