在 Kubernetes 中,网络控制平面(Network Control Plane)是一个模块化的架构,旨在负责网络和其相关的组件。它可以帮助您实现面向服务的网络(Service-Oriented Networking)架构模式,为您的应用程序提供专业级的网络控制。
一、Control-plane的基本组件
Kubernetes的网络控制平面由以下核心组件构成:
- Kube-apiserver:处理 API 对象的主控制平面组件,接收来自client的请求并将其存储到 etcd 中。
- Kube-controller-manager:是一个守护进程,用于监视 Kubernetes 系统中各种资源对象(如Pod,Service等),并在资源对象状态变更时触发动作。它是通过kubernetes API对象中的控制器(controller)配置来控制POD从其期望状态到其实际状态的转换。kube-controller-manager 通过 API Server 和各种云提供商的 API 与 Kube-apiserver 交互。
- Kube-scheduler:负责 POD 分配到节点的决策。选择最佳的 Node(节点)部署新的Pod,使得该 Pod 既能够满足资源与调度策略的要求,又与其他 Pod 能够很好地共存。
- Etcd:存放 Kubernetes 系统的主要配置和状态信息。基于 Raft一致性算法,确保集群高可用性。在Kubernetes中,主要使用etcd作为分布式key/value存储系统。
二、Control-plane Endpoint
Control-plane Endpoint是 control-plane 的 IP 地址,客户端可以通过该地址与 control-plane 交互。Control-plane Endpoint 由以下 3 部分地址组成:API Server地址,kube-scheduler地址以及kube-controller-manager地址。 为了使用 Control-plane Endpoint,需要创建一个 Service,并指定下列参数:
apiVersion: v1
kind: Service
metadata:
name: kubernetes
namespace: default
spec:
ports:
- port: 443
protocol: TCP
targetPort: 6443
selector:
component: apiserver
provider: kubernetes
这样Control-plane Endpoint的地址就会以 kubernetes.default.svc.cluster.local 的形式暴露出来。
三、Control-plane的高可用性
Control-plane的高可用性可以通过部署多个副本的方式来实现,从而避免出现单点故障。在 Kubernetes 集群中,支持多个 Kubernetes Master 节点进行控制平面组件的高可用性部署。在这种情况下,多个 Master 节点会连接到同一个 etcd 集群来保证高可用性。 以下是一个三个节点的控制面示例:
apiVersion: kubeadm.k8s.io/v1beta2
kind: ClusterConfiguration
controlPlaneEndpoint: "kubernetes.example.com:6443"
apiServer:
certSANs:
- "kubernetes.example.com"
- "10.96.0.3"
- "10.96.0.4"
- "10.96.0.5"
etcd:
external:
endpoints:
- https://10.10.10.1:2379
- https://10.10.10.2:2379
- https://10.10.10.3:2379
caFile: /etc/kubernetes/pki/etcd/ca.crt
certFile: /etc/kubernetes/pki/apiserver-etcd-client.crt
keyFile: /etc/kubernetes/pki/apiserver-etcd-client.key
四、Control-plane的安全性
Control-plane 是 Kubernetes 系统的核心,需要特别注意安全性。以下是一些措施来保证 control-plane 的安全性:
- TLS 加密:使用 TLS 对客户端和组件之间的所有通信进行加密。
- RBAC(Role-Based Access Control):控制平面组件通过 RBAC 对象与 kube-apiserver 进行联系和认证,进而限制对 Kubernetes 资产的访问。
- 静态 Token 检查:API Server 每次请求都会检查 Token ,防止未授权访问。 实现RBAC访问控制的方法如下:
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: demo-rolebinding
subjects:
- kind: User
name: demo-user
apiGroup: ""
roleRef:
kind: Role
name: demo-role
apiGroup: ""
以上是 Kubernetes Control-plane 的核心组件和相关方面的介绍,希望对您有所帮助!
