Tomas Lipensky - vedomostni koutek

Trace:

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
automatizace:kubernetes [2024/02/18 13:35]
tomas 		automatizace:kubernetes [2024/02/20 08:39]
tomas [Architektura]
Line 41: Line 41:
 Calico - síťový doplnek na toky mezi namespacema atd. používá Container Network Interface ([[https://github.com/containernetworking/cni|CNI]]), pody: calico-kube-controler a calico-node, příkaz calicoctl\\ Calico - síťový doplnek na toky mezi namespacema atd. používá Container Network Interface ([[https://github.com/containernetworking/cni|CNI]]), pody: calico-kube-controler a calico-node, příkaz calicoctl\\
 Flannel - Síťový plugin (CNI)\\ Flannel - Síťový plugin (CNI)\\
-Weave - Síťový plugin (CNI)\\+WeaveNet - Síťový plugin (CNI)\\
 Romana - Síťový plugin (CNI)\\ Romana - Síťový plugin (CNI)\\
 Kube-router - CNI\\ Kube-router - CNI\\
Line 125: Line 125:
   * podAffinity - snaží se dát pody dohromady   * podAffinity - snaží se dát pody dohromady
   * podAntiAffinity - snaží se dát na jiné nody   * podAntiAffinity - snaží se dát na jiné nody
 +
 +===HA===
 +  * vše konfigurovat pomocí hostname, ne IP
 +  * použít loadbalancery, TLS mít na Load balanceru, např. haproxy  (/etc/haproxy/haproxy.cfg)
 +  * na přidáni dalšího Control Plane bude nejspíš potřeba přegenerovat klíče, budou expirované
 +  * etcd lze použít externí, musí se udělat první (nonColocated etcd)
 ====DNS==== ====DNS====
 SERVICE.NAMESPACE.svc.cluster.local\\ SERVICE.NAMESPACE.svc.cluster.local\\
Line 348: Line 354:
  
 ==network policies== ==network policies==
 +[[https://github.com/ahmetb/kubernetes-network-policy-recipes|Network policy]] jsou pravidla síťového firewalu. Některé CNI drivery NP nepoužívají, ale mají jiný způsob kontroly. Pokud je NetPol prázdná, neobsahuje egress, ani ingress, tak zakazuje tok. Pokud tam sekce je, tak povoluje tok. podSelector: {} = všechny pody.
 +
 ''kubectl get networkpolicy -n namespace'' ... seznam sitovych pravidel (firewall)\\ ''kubectl get networkpolicy -n namespace'' ... seznam sitovych pravidel (firewall)\\
 ''kubectl describe networkpolicy Policy1 -n namespace'' ... popis sitovych pravidel\\ ''kubectl describe networkpolicy Policy1 -n namespace'' ... popis sitovych pravidel\\
Line 377: Line 385:
 ''kubectl create token admin-user'' ... vytvoří token pro service account\\ ''kubectl create token admin-user'' ... vytvoří token pro service account\\
  
-===clusterroles, role, clusterrolebindings, role bindings - RBAC===+===Bezpečnost=== 
 +==Autorizace== 
 +Kontrolována Autorizačním controlerem API serveru, umí používat různé formy autentifikace, OpenID, certifikáty, tokeny 
 + 
 +useradd user1\\ 
 +passwd user1\\ 
 +openssl genrsa -out ~user1/user1.key 2048\\ 
 +openssl req -new -key ~user1/user1.key -out ~user1/user1.csr -subj "/CN=DevDan/O=development"\\ 
 +sudo openssl x509 -req -in ~user1/user1.csr -CA /var/lib/minikube/certs/apiserver-etcd-client.crt -CAkey /var/lib/minikube/certs/apiserver-etcd-client.key -CAcreateserial -out ~user1/user1.crt -days 45\\ 
 +kubectl config set-credentials DevDan --client-certificate=~user1/user1.crt --client-key=~user1/user1.key\\ 
 +kubectl config set-context minukume-user1 --cluster=minikube --namespace=development --user=user1\\ 
 + 
 + 
 +==clusterroles, role, clusterrolebindings, role bindings - RBAC== 
 +Je kontrolována module authorization controllerem API serveru 
 ''%%kubectl auth can-i --list%%'' ... zobrazí, na co mám práva\\ ''%%kubectl auth can-i --list%%'' ... zobrazí, na co mám práva\\
 ''%%kubectl auth can-i create deployments --as bob --namespace developer%%''\\ ''%%kubectl auth can-i create deployments --as bob --namespace developer%%''\\
Line 385: Line 408:
 ''kubectl get clusterroles''\\ ''kubectl get clusterroles''\\
 ''kubectl get roles''\\ ''kubectl get roles''\\
 +
 +==Admission Controler==
 +PodSecurityPolicy - vynucení pravidel je od 1.25 nahrazeno Pod Security Admission. PSP/PSA je kontrolováno Admission Controlerem API serveru.
 +SecurityContext je nastavení bezpečnosti Podu pomocí SELinux/AppArmor. Je to sekce ve YAML definice
 +
 +grep admission /etc/kubernetes/manifests/kube-apiserver.yaml\\
  
 ===poddisruptionbudgets=== ===poddisruptionbudgets===
Line 426: Line 455:
  
 ''kubeadm init --config=kubeadm-config.yaml --upload-certs | tee kubeadm-init.out'' ... inicializace kubernetes pomoci ClusteConfiguration souboru, vytvoří control plane (cp) node\\ ''kubeadm init --config=kubeadm-config.yaml --upload-certs | tee kubeadm-init.out'' ... inicializace kubernetes pomoci ClusteConfiguration souboru, vytvoří control plane (cp) node\\
 +kubeadm config print init-defaults ... ukáže konfiguraci\\
 ''kubeadm token create'' ... vytvoří token\\ ''kubeadm token create'' ... vytvoří token\\
 ''kubeadm token list'' ... vylistuje certifikáty\\ ''kubeadm token list'' ... vylistuje certifikáty\\
Last modified: 2024/02/20 08:39
GNU Free Documentation License 1.3 Except where otherwise noted, content on this wiki is licensed under the following license: GNU Free Documentation License 1.3