Kubernetes节点是Kubernetes集群的基本构建单元,它们负责运行容器化应用程序。要保证Kubernetes节点正常运行,需要满足一些条件。
首先,Kubernetes节点必须安装有正确的操作系统,并且必须安装有Kubernetes所需的依赖包。其次,Kubernetes节点必须能够正常连接到Kubernetes集群中的其他节点,并且能够正常地发送和接收数据。此外,Kubernetes节点上还必须安装有Docker引擎,以便能够运行容器化应用。
另外,为了保证Kubernetes集群的性能和可用性,各个Kubernetes节点上都应该部署有监控工具来监测各个节点的性能情况。如果发生故障或者性能问题时,可以通过监测工具来及早发现问题并采取相应的补救措施。
# 检测kubelet是否正常运行 $ systemctl status kubelet # 检测docker是否正常运行 $ systemctl status docker # 检测kube-proxy是否正常运行 $ systemctl status kube-proxy # 检测kube-apiserver是否正常运行 $ systemctl status kube-apiserver # 检测kube-controller-manager是否正常运行 $ systemctl status kube-controller-manager # 检测kube-scheduler是否正常运行 $ systemctl status kube-scheduler
本页介绍特定于 Windows 操作系统的安全注意事项和最佳实践。
在 Windows 上,来自 Secrets 的数据以明文形式写入节点的本地存储(与在 Linux 上使用 tmpfs / in-memory 文件系统相比)。 作为集群运营商,您应该采取以下两项额外措施:
可以为 Windows Pod 或容器指定 RunAsUsername 以作为特定用户执行容器进程。 这大致相当于 RunAsUser。
Windows 容器提供两个默认用户帐户,ContainerUser 和 ContainerAdministrator。 Microsoft 的安全 Windows 容器文档中的何时使用 ContainerAdmin 和 ContainerUser 用户帐户中介绍了这两个用户帐户之间的区别。
本地用户可以在容器构建过程中添加到容器镜像中。
Note:
- 基于 Nano Server 的图像默认以
ContainerUser身份运行- 基于 Server Core 的镜像默认作为
ContainerAdministrator运行
Windows 容器还可以通过使用组托管服务帐户作为 Active Directory 身份运行
Windows 节点不支持 Linux 特定的 pod 安全上下文机制(例如 SELinux、AppArmor、Seccomp 或自定义 POSIX 功能)。
Windows 不支持特权容器。 相反,可以在 Windows 上使用 HostProcess 容器来执行许多由特权容器在 Linux 上执行的任务。
垃圾收集垃圾收集是Kubernetes用于清理集群资源的各种机制的统称。垃圾收集允许系统清理如下资源:失败的Pod已完成的Job不再存在...
Kubernetes系统组件指标通过系统组件指标可以更好地了解系统组个内部发生的情况。系统组件指标对于构建仪表板和告警特别有用。Ku...
定制资源资源(Resource)是KubernetesAPI中的一个端点,其中存储的是某个类别的API对象的一个集合。例如内置的pods资源包含一组...
调试Init容器此页显示如何核查与Init容器执行相关的问题。下面的示例命令行将Pod称为pod-name,而Init容器称为init-contai...
资源指标管道对于Kubernetes,MetricsAPI提供了一组基本的指标,以支持自动伸缩和类似的用例。该API提供有关节点和Pod的资源使用...
