运维

官方文档 概述 在 Kubernetes 中，准入控制是保障 API 请求安全和合规性的重要机制。它在 API 请求流程中扮演着关键角色，拦截即将发送到 Kubernetes APIServer的请求，在持久化之前，但在身份验证和授权之后。其位置如下图所示： 图片来源https://sysdig.com/blog/kubernetes-admission-controllers/ 准入控制器适用于创建、删除或修改对象的请求，同时也可以阻止自定义动作。读操作会绕过准入控制层，不会受到准入控制器的影响。当有多个准入控制器存在时，它们会依次被调用，只要其中一个准入控制器拒绝请求，整个请求就会被立即驳回。 准入控制常常被用来自动化设置默认资源请求和限制、应用标签和注释以及强制命名约定等管理任务。 准入控制分两个阶段： 变更准入控制器，用于在请求处理过程中对对象进行修改。 验证准入控制器，负责验证请求是否符合特定规则。 需要注意的是，部分控制器兼具变更准入和验证准入的功能。 启用准入 1 kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ... 关闭准入 1 kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ... 准入的两种类型： 静态准入：由 Kubernetes 内置提供，无需额外配置。 动态准入：允许用户根据自身需求进行扩展。 动态准入控制器： MutatingAdmissionWebhook 此准入控制器调用任何与请求匹配的变更（Mutating） Webhook。匹配的 Webhook 将被顺序调用 ValidatingAdmissionWebhook 此准入控制器调用与请求匹配的所有验证性 Webhook。 匹配的 Webhook 将被并行调用。如果其中任何一个拒绝请求，则整个请求将失败。 该准入控制器仅在验证（Validating）阶段运行 ValidatingAdmissionPolicy 验证准入策略使用通用表达语言 (Common Expression Language，CEL) 来声明策略的验证规则，是一种声明式的、进程内的验证准入 Webhook 方案 MutatingAdmissionPolicy 提供了一种声明式的、进程内的方案， 可以用来替代变更性准入 Webhook 实现 步骤概览 实现一个 MutatingAdmissionWebhook 主要包括以下几个步骤： 生成证书，Kubernetes 和 Webhook 服务使用 TLS 加密通信 APIServer对Webhook的认证 Webhook对APIServer的认证（可选） 实现一个接口，接收AdmissionReview请求，解析并填充response字段，响应相同版本的AdmissionReview 部署上面接口，集群内外都可以 注册准入控制器 监控 Admission Webhook 以下面需求为例：...

仅作为个人笔记，不保证完全的准确性和正确性，请自行甄别 顺序写 文件IO中的“顺序写”通常指的是对文件进行连续写入操作的过程，即从文件的一个位置开始，依次向后写入数据，即追加。可以提高写入效率，尤其是在传统的机械硬盘（HDD）上，因为不需要频繁地在不同的位置之间切换，减少了寻道时间和旋转延迟。 需要注意的是，“顺序写”并不直接等同于物理磁盘上的连续空间写入。虽然理想情况下，操作系统和文件系统会尽量将文件的数据块分配到物理上连续的存储空间中，以提高读写性能，但实际上由于多种因素（如文件系统的碎片、先前删除文件留下的空洞、以及其他文件的存在等），很难保证文件的所有部分都能被分配到完全连续的物理空间中。因此，通常说的“顺序写”，更多是指逻辑上的连续写入，即按照文件内部的偏移量顺序写入数据，而不是指物理磁盘上的连续写入。 即，“顺序写”主要关注的是逻辑层面的连续性，而物理层面的连续性则是文件系统和操作系统尽力优化的结果。 示例 顺序写： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 package main import ( "fmt" "os" ) func main() { fileName := "t....

ArgoCD 遵循GitOPS模式，应用定义、配置和环境等都应该是声明式和版本化的。应用部署和生命周期管理是自动化、可审计和易于理解的 特性 拥有GitOPS的一切特性，如回滚到任意git commit点 自动发布应用到指定环境，支持多集群管理 支持多种配置管理工具、模板 (Kustomize，Helm， Jsonnet， plain-YAML，自定义配置管理插件) 支持单点登录 (OIDC, OAuth2, LDAP, SAML 2.0, GitHub, GitLab, Microsoft, LinkedIn) 支持多租户及RBAC授权 服务健康状态分析 资源版本偏移检查和Web UI实时可视化 可自动或手动同步资源到目标状态 提供命令行工具，自动化集成简单方便 Webhook 集成 (GitHub, BitBucket, GitLab) 支持访问令牌 支持各阶段钩子定义PreSync, Sync, PostSync hooks to support complex application rollouts (e.g.blue/green & canary upgrades) 应用事件和API调用审计追踪 有暴露Prometheus 指标 Parameter overrides for overriding helm parameters in Git 几个核心概念 Application：指定manifest路径下的一组kubernetes资源，是一个CRD AppProject：Application的逻辑分组，可以配置一些约束选项，如限制git源、目标集群、namespace和资源类型等，也可以订阅project roles App of Apps：官网文档中的 cluster bootstrapping，一个Application包含多个子Application，在批量创建Application时比较有用，也可以用来自我管理（官方文档有示例） 下图是定义了一个Application对象，其指定的仓库目录下包含多种资源，其中的子Application对象所指定的仓库目录又可以包含多种资源，我们可以开启递归的选项，在往仓库添加资源对象的时候自动apply到对应集群当中去 注意点： 一个ArgoCD实例中，Application名字是唯一的，且只能放在与argo部署的同一名称空间中 Application中没有指定resources-finalizer.argocd.argoproj.io终结器，在删除Application的时候是不会删除它所管理的资源，App of Apps也是一样 ApplicationSet 跨集群和仓库灵活的管理Applications，补充了以集群管理为中心的场景...

概述 开发同学用kubectl查看线上Kubernetes集群中的一些情况，如何生成kubeconfig？ 对指定的用户赋予合适的权限，首先需要明确这里的授权对象（用户）、该对象的认证方式、授权权限大小及授权方式几个概念。 在k8s集群中，当一个请求到达APIServer时，会经过多个阶段以执行访问验证、控制的行为，阶段顺序依次是： 传输安全，一般我们APIServer只开启https端口，建立TLS连接以确保传输安全 认证，请求到达APIServer后会依次尝试每个认证模块，有一个认证通过即可 鉴权，认证通过后进入到鉴权阶段，即判断特定的用户对特定的对象进行特定的操作是否有相应的权限 准入，鉴权通过则进入准入阶段，准入模块可以对请求进行验证和修改，多个准入控制器会被依次调用。有一个准入失败则立即响应拒绝服务 下面概括了认证授权相关的概念 用户 Kubernetes集群中的用户有两类： 服务账户serviceaccount，由k8s管理，绑定到指定的名称空间，每个sa与一个secret关联用以保存相关凭据 普通用户，集群中没有对应的资源专门管理普通用户，一般是在集群外管理的。这里当然也有用户组的概念 认证策略 身份认证策略有下面几种： 客户端证书：传递给APIServer的--client-ca-file=SOMEFILE参数指定了一个或多个证书机构，用此证书机构验证客户端提供的证书，验证通过则表示认证通过 持有者令牌 静态令牌：给APIServer传递--token-auth-file=SOMEFILE选项以启用 启动引导令牌：动态管理的令牌，一般用作平滑启动引导新集群 服务账户令牌：sa关联的secret中保存APIServer公开的CA证书和一个已签名的JWT令牌。一般在pod内使用，当然也可以在集群外部使用 OpenID Connect令牌：OAuth2方式 webhook令牌：用回调机制来验证令牌，Webhook插件用POST请求发送一个JSON序列化的对象到远程服务 静态密码 HTTP基本认证 用户伪装 身份认证代理 匿名 鉴权 鉴权主要有下面四个模块： Node：限制kubelet对APIServer的请求 ABAC：基于属性的访问控制 RBAC：基于角色的访问控制 Webhook：http回调，查询外部的REST服务 生成kubeconfig 利用ssl工具一步步生成 一般我们给开发同学的权限是只读的，那如何给单个开发同学或者开发组生成对应的kubeconfig以只读权限访问集群？ 在kubeconfig文件中，包含的信息有用户（组）、集群地址、客户端的数字证书（或Bearer token，或basic auth）等信息。由集群CA签名的有合法证书的用户都是通过认证的用户，Kubernetes使用证书中的subject的通用名称（Common Name）字段作为用户名，Organization字段作为用户组信息。 因此可以为指定用户或用户组生成集群CA机构签发的客户端证书，以证书认证的方式访问APIServer。 常用的证书生成工具有easyrsa、cfssl和openssl，这里以openssl为例： 1 2 3 4 5 6 7 8 9 mkdir developer; cd developer/ # 生成私钥 openssl genrsa -out developer.key # 生成签名请求文件，CN为developer，可指定organization字段值作为组名 openssl req -new -key developer.key -out developer....

使用jenkins pipeline共享库，各应用都可以引用共享库方法，更改共享库即可应用到所有使用此库的jenkins-job。我目前没有用到vars目录，但完全能够满足我们日常需求，使用方式上可能较low，直接开始体验。 下面列出了定义的部分方法，以作参考。 共享库目录结构： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 jenkins-pipeline-libraries git:(master) ✗ tree . . ├── jenkins-ci │ └── jenkinsfile-java ├── out │ └── production ├── src │ ├── ops │ │ └── jk │ │ ├── appDetail.groovy │ │ └── tools.groovy │ └── pipeline.gdsl └── vars └── pipelineCfg.groovy 7 directories, 6 files appDetail.groovy文件里面部分函数如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 // 获取时间 格式：20201208200419 def getTime() { return new Date()....