This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
automatizace:kubernetes [2024/02/18 13:35] tomas |
automatizace:kubernetes [2024/02/20 08:39] tomas [Architektura] |
||
---|---|---|---|
Line 41: | Line 41: | ||
Calico - síťový doplnek na toky mezi namespacema atd. používá Container Network Interface ([[https:// | Calico - síťový doplnek na toky mezi namespacema atd. používá Container Network Interface ([[https:// | ||
Flannel - Síťový plugin (CNI)\\ | Flannel - Síťový plugin (CNI)\\ | ||
- | Weave - Síťový plugin (CNI)\\ | + | WeaveNet |
Romana - Síťový plugin (CNI)\\ | Romana - Síťový plugin (CNI)\\ | ||
Kube-router - CNI\\ | Kube-router - CNI\\ | ||
Line 125: | Line 125: | ||
* podAffinity - snaží se dát pody dohromady | * podAffinity - snaží se dát pody dohromady | ||
* podAntiAffinity - snaží se dát na jiné nody | * podAntiAffinity - snaží se dát na jiné nody | ||
+ | |||
+ | ===HA=== | ||
+ | * vše konfigurovat pomocí hostname, ne IP | ||
+ | * použít loadbalancery, | ||
+ | * na přidáni dalšího Control Plane bude nejspíš potřeba přegenerovat klíče, budou expirované | ||
+ | * etcd lze použít externí, musí se udělat první (nonColocated etcd) | ||
====DNS==== | ====DNS==== | ||
SERVICE.NAMESPACE.svc.cluster.local\\ | SERVICE.NAMESPACE.svc.cluster.local\\ | ||
Line 348: | Line 354: | ||
==network policies== | ==network policies== | ||
+ | [[https:// | ||
+ | |||
'' | '' | ||
'' | '' | ||
Line 377: | Line 385: | ||
'' | '' | ||
- | ===clusterroles, | + | ===Bezpečnost=== |
+ | ==Autorizace== | ||
+ | Kontrolována Autorizačním controlerem API serveru, umí používat různé formy autentifikace, | ||
+ | |||
+ | useradd user1\\ | ||
+ | passwd user1\\ | ||
+ | openssl genrsa -out ~user1/ | ||
+ | openssl req -new -key ~user1/ | ||
+ | sudo openssl x509 -req -in ~user1/ | ||
+ | kubectl config set-credentials DevDan --client-certificate=~user1/ | ||
+ | kubectl config set-context minukume-user1 --cluster=minikube --namespace=development --user=user1\\ | ||
+ | |||
+ | |||
+ | ==clusterroles, | ||
+ | Je kontrolována module authorization controllerem API serveru | ||
'' | '' | ||
'' | '' | ||
Line 385: | Line 408: | ||
'' | '' | ||
'' | '' | ||
+ | |||
+ | ==Admission Controler== | ||
+ | PodSecurityPolicy - vynucení pravidel je od 1.25 nahrazeno Pod Security Admission. PSP/PSA je kontrolováno Admission Controlerem API serveru. | ||
+ | SecurityContext je nastavení bezpečnosti Podu pomocí SELinux/ | ||
+ | |||
+ | grep admission / | ||
===poddisruptionbudgets=== | ===poddisruptionbudgets=== | ||
Line 426: | Line 455: | ||
'' | '' | ||
+ | kubeadm config print init-defaults ... ukáže konfiguraci\\ | ||
'' | '' | ||
'' | '' |