如何通过开放策略控制kubernetes GET object请求?
通过开放策略控制Kubernetes GET object请求可以通过以下步骤实现:
- 创建命名空间(Namespace):命名空间用于隔离和组织Kubernetes集群中的资源。可以使用
kubectl create namespace <namespace-name>命令创建命名空间。 - 创建服务账号(Service Account):服务账号用于标识和验证Kubernetes集群中的应用程序或服务。可以使用
kubectl create serviceaccount <service-account-name> -n <namespace-name>命令创建服务账号。 - 创建角色(Role):角色定义了一组权限,用于控制对Kubernetes资源的访问。可以使用以下示例创建一个角色:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: <role-name>
namespace: <namespace-name>
rules:
- apiGroups: [""]
resources: ["<resource>"]
verbs: ["get"]其中,<role-name>为角色名称,<namespace-name>为命名空间名称,<resource>为要控制的资源类型,例如pods、services等。
- 创建角色绑定(Role Binding):角色绑定将角色与服务账号关联起来,赋予服务账号相应的权限。可以使用以下示例创建一个角色绑定:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: <role-binding-name>
namespace: <namespace-name>
subjects:
- kind: ServiceAccount
name: <service-account-name>
namespace: <namespace-name>
roleRef:
kind: Role
name: <role-name>
apiGroup: rbac.authorization.k8s.io其中,<role-binding-name>为角色绑定名称,<service-account-name>为服务账号名称,<namespace-name>为命名空间名称,<role-name>为角色名称。
- 配置开放策略:通过以上步骤创建的角色和角色绑定,可以实现对GET object请求的开放策略控制。只有被授权的服务账号才能执行GET object请求。
推荐的腾讯云相关产品:腾讯云容器服务(Tencent Kubernetes Engine,TKE)
腾讯云容器服务(TKE)是腾讯云提供的一种高度可扩展的容器管理服务,基于Kubernetes技术构建。TKE提供了简单易用的界面和丰富的功能,可帮助用户轻松部署、管理和扩展容器化应用。
产品介绍链接地址:腾讯云容器服务(TKE)
相关·内容
1回答
我试图了解什么是开放政策代理(OPA)及其用例,而且我正处于基本阶段。当我读到opa的一篇文章时,我了解了OPA的看门人,但是对于为什么我们需要这个OPA的看门人,我没有一个明确的理解。我们可以用它来审核kubernetes中的各种策略吗?比如Pod调度、集群放置、授权etc.or,它是否只针对kubernetes的接纳控制阶段?
浏览 4提问于2020-05-13得票数 3
回答已采纳
我有一个蔚蓝的库伯奈斯集群,在那里我使用的是鼓掌网关在前面。豆荚正在为静态index.html页面服务。但不知怎么的,当我点击我们的网站到服务时,它正在创建一个post方法,浏览器正在抛出
"nginx 405不允许“错误。但是当我进入地址栏时,只要从键盘上点击enter,它就会带来内容。但是当我点击enter时,在broswer developer视图中,它将显示GET方法。是否存在使其成为GET方法而不是发送给入口控制器的POSt方法?
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
浏览 16提问于2022-08-10得票数 0
我们使用的是引擎上的Kubernetes v1.19.13。我们希望配置一个侵入控制器,以便将Google (S) LoadBalancer配置为只允许TLS1.2和1.3,并且这些特性/密码:
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TL
浏览 15提问于2021-10-27得票数 1
回答已采纳
我用Terraform创建了云装甲安全策略,我有一个负载均衡器,它是通过Kubernetes Ingress创建的。我想通过Terraform将云装甲策略附加到负载均衡器上。
根据,云装甲策略必须通过google_compute_backend_service附加。
我的负载均衡器是使用kubernetes_ingress创建的,它不允许添加云装甲策略。
在GCP控制台中,我可以手动将负载均衡器目标添加到云装甲策略中。有人知道在Terraform中实现这种行为的解决办法吗?
作为参考,我创建的资源是: google_compute_security_policy & kubernete
浏览 3提问于2021-08-26得票数 0
回答已采纳
1回答
我有一个基本的节点表达式应用程序。它通过以太和网络套接字连接到我在本地运行的安全帽网络。由于我可以成功地查询块链(例如,await ethers.getBlockNumber()返回正确的块号),所以连接似乎可以工作。
然而,我的事件侦听器似乎不起作用。回调永远不会触发。
代码示例:初始化快速应用程序时,我使用的是加载程序函数。当它被执行时,我连接到websocket提供者。然后,我成功地将当前块号打印到控制台。然后,在“块”事件(取自文档)上注册一个事件侦听器。然而,听者从不开火。
我正在连接到安全帽网络,该网络被配置为每5秒生成一个新的块(我可以看到,在硬件控制台中是这样的)。我希望侦听器
浏览 0提问于2021-04-11得票数 5
如果我在GKE、EKS或DigitalOcean Kubernetes上运行kubectl get nodes,我只能看到工作节点。如何在网络或应用程序级别构建这些系统,以便在工作人员和主机之间创建这种分离?
浏览 26提问于2019-04-17得票数 6
回答已采纳
我有一个kubernetes设置,有一个主和一个从,托管在DigitalOcean液滴上。因为暴露了我的服务,我想使用Ingresses。
由于我有一个裸金属安装,我必须配置我自己的入口控制器。如何让它听端口443或80而不是30000-32767范围?
在设置入口控制器时,我使用了以下指南:
我的控制器服务如下所示:
apiVersion: v1
kind: Service
metadata:
name: ingress-nginx
namespace: ingress-nginx
labels:
app.kubernetes.io/name: ingress-nginx
浏览 1提问于2018-12-22得票数 5
回答已采纳
1回答
我有一个运行在Kubernetes上的应用程序,它使用nginx作为入口控制器,在AWS中创建一个负载均衡器。我注意到,在默认情况下,应用程序是向World开放的,将0.0.0.0/32添加到附加到负载均衡器的application组的入站规则中。我只允许某些IP访问应用程序。这使得我在入口控制器中使用了nginx.ingress.kubernetes.io/whitelist-source-range注释。
但我不知道必须事先允许访问应用程序的实体的I。一个上游进程(Jenkins作业),它创建某些容器,试图与运行在Kube上的应用程序对话。
如何动态地修改入口控制器注释以添加和删除IP而不
浏览 4提问于2022-02-01得票数 0
回答已采纳
我有一些正在运行的豆荚,它们通过Kubernetes服务相互交谈,而不是通过pod服务,现在我想使用网络策略锁定一些东西,但我似乎无法正确地获得出口。
在这个场景中,我有两个吊舱:
sleeper,clientfrontend,是一个名为frontend-svc的服务背后的服务器,它将端口8080转发到pods端口80
都运行在同一个命名空间中:ns
在sleeper吊舱中,我只是简单地将wget作为frontend pod中的ping端点:
wget -qO- http://frontend-svc.ns:8080/api/Ping
这是我的出口政策:
kind: NetworkPolicy
浏览 8提问于2022-11-09得票数 1
回答已采纳
刚从TechEd回来,我在和OData玩。我使用StackOverflow的OData服务作为我的测试用例。
我想我死定了。我得到了一个安全异常,我认为问题是StackOverflow上没有clientaccesspolicy.xml文件来为Silverlight启用OData。
我是不是完全卡住了?StackOverflow是否不开放客户端访问策略?
更重要的是:
如果你想做数据mashup,Silverlight是不是没有被邀请参加聚会?如果没有客户端访问策略,人们如何使用Silverlight来使用任何给定站点的OData提要?
浏览 0提问于2011-05-21得票数 0
回答已采纳
1回答
有一个外部URL,我如何将其HTML内容加载到div中?
模板:
<div [innerHTML]="htmlData">
</div>
.ts文件、类变量和构造函数:
requestHeaders = new Headers();
httpOptions = new Object();
htmlContent$: Observable<string>;
htmlData: SafeHtml = 'Loading...';
private googleScholarURL = "https://sc
浏览 4提问于2022-08-18得票数 0
我已经尝试了很多次,但我没有找到好的工作方法,请帮助解决这个问题,我的频道正在运行,我可以预览流
如何访问此示例链接:',height:"100%",
所以我只能允许我的域名嵌入sream链接
谢谢..。
浏览 0提问于2018-12-04得票数 1
每当我进行Kubernetes部署时出现某种配置错误时,pod都会在CrashLoopBackOff中结束,不断地重新启动(完全损坏的) pod。我希望在部署期间出现任何类型的错误都会立即导致部署失败,而不是盲目地重试,直到部署超时。
浏览 0提问于2019-09-17得票数 1
我有一个Kibana,它以前是在NGINX入口控制器后面运行的,它使用了这个入侵配置:
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: es-kibana-ing
annotations:
nginx.ingress.kubernetes.io/backend-protocol: HTTPS
nginx.ingress.kubernetes.io/rewrite-target: /$2
spec:
rules:
- host: "example.com"
浏览 11提问于2022-02-07得票数 2
回答已采纳
我计划为生产使用一个Kubernetes集群,在外部请求中使用Ingress。
我有一个弹性数据库,它不会是Kubernetes集群的一部分。我在Kubernetes集群中有一个微服务,它通过HTTP (Get、Post等)与弹性数据库进行通信。
我应该创建另一个NodePort服务,以便与弹性数据库通信,还是应该通过大会控制器进行通信,因为它是一个HTTP?如果两者都是有效的选项,请让我知道什么更好使用,以及为什么。
浏览 4提问于2022-08-29得票数 1
我使用Azure策略->策略定义已经有一段时间了。
为此,我使用了Get-AzPolicyDefinition power shell命令。
最近,我开始使用Initiative,这很不错,所以我创建了一个定制的Initiative定义。现在,我想在Powershell或az cli中为管理小组设置主动性。当我使用Get-AzPolicyDefinition时,它没有显示Initiative的定义。
是否有我不知道的命令来存档这个文件?
注意:我的目标是通过命令行将我的自定义活动定义设置为Management。
如您所见,在运行此命令时,我创建的DefaultPolices和所有
浏览 6提问于2022-09-08得票数 0
回答已采纳
我想写一个HTML页面,它使用thumbnail.ws免费的webservice生成一个URL的快照。
这是我的代码:
var myurl = "http://api.thumbnail.ws/api/API_KEY/thumbnail/get?url=http://maps.google.com/?q=36.82,10.17&width=800"
$.ajax({
url: myurl,
crossDomain: true,
xhrFields: {
withCreden
浏览 3提问于2017-03-08得票数 0
回答已采纳
我有几个关于Kubernetes的问题:如何保护Kubernetes集群?
我的计划是开发一个默认保护Kubernetes集群的应用程序。我已经成功地编写和测试了一些网络策略。作为第二步,我想在我的应用程序中基于云提供商等动态设置这些信息。
1.)我想阻止访问主机网络以及元数据服务(我的集群在AWS上运行):
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
except:
- 10.250.0.0/16 # host network
- 169.254.169.254/32
浏览 0提问于2019-05-31得票数 1
1回答
我在EKS集群上运行哨兵,根据官方文档,它只能在rootPath / "/auth“上公开,这是默认的web上下文,因此我部署了nginx入口控制器和入口资源来匹配这些路径,但我遇到的问题是,哨兵路径( "/”)总是被重定向到"/auth“,这是键斗篷的默认路径,这将导致冲突。在我的例子中,我不允许更改keycloak的web上下文,所以我尝试为同一个类的哨兵部署另一个nginx入口控制器,但是我不知道如何做,因为所有示例都使用具有不同类的入口控制器。因此,我想知道,如果这可能,如何部署一个次要的nginx入口,这几乎是相同的第一个,或如果有另一个解决方案,请帮助我知道
浏览 3提问于2020-05-14得票数 2
回答已采纳
3回答
我需要为我的pod创建一个,它需要从网络方面访问,只需要访问集群之外的一个特定端点,只访问这个端点。
端点看起来如下所示。
在将以下网络策略应用于结束符(图像基于高山)并运行ping www.google.com之前,它按预期工作,
然而,当我应用网络策略时,我和我尝试ping google.com,我得到了ping: bad address 'www.google.com',但是当我像
ping 140.224.232.236
ping 140.224.232.236:8080
它被卡住了,在我能看到这样的东西之前
64 bytes from 140.224.
浏览 15提问于2022-02-09得票数 2
回答已采纳
我们想丰富我们的kubernetes环境与领事,有一个可移植层的应用程序/阶段/对等配置。根据我目前的理解,这将是我的步骤:
构建/重用一个码头映像以提供领事服务器
为kubernetes编写控制器和服务配置文件
根据详细信息配置三个复制:1
魔术
魔术是指这样一个事实:我需要运行如下命令:
consul join <Node A Address> <Node B Address> <Node C Address>
在刚刚开始的复制品上。我脑子里有两个半的障碍:
如何只在一台机器上执行该命令?
如何访问对等方的IP地址?
一个额外的问题是:每次启动/移动新副
浏览 0提问于2015-06-25得票数 2
我最近建立了一个在Kubernetes上运行Jenkins的实例,并安装了themes以及主题。然而,当我在Configure System -> Built-In Themes中更改主题时,所有的主题都在那里,但是它们看起来都与默认的完全相同,而选择它们没有改变什么?这里有什么我遗漏的东西吗?
浏览 1提问于2022-07-22得票数 2
我们只想使用K3S (1.23)和Traefik访问本地服务。
我们有一个在所有节点上作为DaemonSet运行的NGINX网关,公开为一个名为gateway with externalTrafficPolicy: Local的NodePort 30123。当我们ping https://node1:30123时,我们始终只从node1上的nginx实例中得到一个本地荚。✔
我们还以DaemonSet的形式运行我们的入侵控制器Traefik,并将其公开为带有externalTrafficPolicy: Local的NodePort 30999。当我们到达https://node1:30999时
浏览 8提问于2022-06-08得票数 0
存储类是kubernetes中的集群级对象吗?
因为当我输入Kubectl get sc storagclassname时,它将显示存储类,而不必指定任何特定的名称空间。
浏览 0提问于2020-04-18得票数 0
1回答
我正在尝试使用Nginx入口控制器设置canary-release。问题是它没有保持会话亲和性,导致每个请求都由一个随机服务提供服务。
我的金丝雀入口:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
namespace: canary
name: ingress-nginx
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/canary: "true"
ngi
浏览 3提问于2019-02-28得票数 0
2回答
我最近开始从事我的第一个CORBA项目。我想我得到了一些基本的东西,但是有些事情我仍然没有得到。其中之一就是CORBA如何处理同一个对象上的几个调用。
假设我有一个客户端,它向服务器注册自己,然后可以接收工作。服务器随机发送工作。
所有这些调用是否都在同一个线程上处理?这意味着,当客户端工作时,它无法接收任何东西。在这种情况下,我怎么能给他一个多线程行为。
- Or on the other hand is a thread spawned for every call received ?. In this case do I need to protect the common
浏览 6提问于2010-12-13得票数 2
回答已采纳
1回答
我正在寻找具有基于URL的亲和性的服务代理(或负载均衡器)。 这是为了在Kubernetes中使用,在集群内部:我正在寻找一个“内部”负载均衡器,我不需要在外部公开服务。 默认情况下,Kubernetes中的服务使用“循环”算法。 我希望基于HTTP URL的一部分:第一个请求将去往随机pod,而使用相同URL的后续请求将(最好)去往相同的pod。 我看过一些关于基于sourceIP的亲和力的文档,是否存在基于URL的亲和力? 我很快就读到了关于特使的文章,也许使用"Ring hash“负载均衡算法可以做到,但我不知道是否可以基于URL进行哈希。 也许使用kube-proxy (ht
浏览 14提问于2019-03-18得票数 5
回答已采纳
2回答
我有一个基于Java的服务器,由kubernetes集群管理。这是一个分布式环境,其中实例的数量被设置为4,以处理每分钟数百万的请求。
我面临的问题是,kubernetes试图平衡集群,在此过程中杀死结荚并将其带到另一个节点,但是有未决HTTP请求 GET和POST丢失。
什么是kubernetes的解决方案,还是架构解决方案,如果请求被阻塞/失败,我可以重试?
更新:
我对kubernetes服务有两种配置:
LoadBalancer (与AWS一起使用):用于外部面板
ClusterIP:用于基于内部微服务的体系结构
浏览 2提问于2019-03-11得票数 1
我在Kubernetes上运行Apache Airflow,在尝试提取日志文件时遇到一个奇怪的错误。
*** Failed to fetch log file from worker. HTTPConnectionPool(host='geometrical-galaxy-7364-worker-0.geometrical-galaxy-7364-worker.astronomer-geometrical-galaxy-7364.svc.cluster.local', port=8793): Max retries exceeded with url: /log/FILE/be
浏览 0提问于2018-12-08得票数 2
考虑到Kubernetes没有提供服务如何相互交互的完全可见性,我想自动派生和映射服务。例如,如下图所示,我们如何导出付款服务与购物车服务和购物车服务与目录和红皮书的交互作用。
到目前为止我试过的是,
kubectl get services命令--此命令只给出服务列表,但不提示服务之间发生任何通信。
尝试了Kubeview ->,这只绘制了部署体系结构,并给出了一个图形表示,但是没有派生出各种服务之间的映射。
那么,在Kubernetes中,获取有关相互交互的服务的信息最简单的方法是什么?
浏览 14提问于2022-08-17得票数 0
我有一个Java应用程序,它使用默认的连接字符串连接到CosmosDB。这个吊舱在我当地的迷你车上运行得很好。但是当我将它部署到我的AKS时,它有连接异常。
吊舱一直因为这个MongoDB错误而崩溃。
在等待匹配的服务器时,在30000 ms之后超时.集群状态的客户端视图是.xxx.documents.azure.com:10255
看起来它无法到达CosmosDB。首先,我认为这是因为默认的网络安全规则阻塞了传出端口10255。然后我将NSG添加到该资源组中。在端口10255上添加传出规则。它不能解决这个问题。
然后我偶然发现了这篇文章。是唯一的方法吗?我必须使用OSBA来访问公共C
浏览 0提问于2019-05-31得票数 1
我安装了Kubernetes,在Ubuntu 16.04.6 Box上安装了舵机,我想使用helm部署kubernetes-仪表板,但安装时出错
$ helm install stable/kubernetes-dashboard --name dashboard-demo
Error: release dashboard-demo failed: namespaces "default" is forbidden: User "system:serviceaccount:kube-system:default" cannot get resource "
浏览 0提问于2019-05-07得票数 4
我已经为在Kubernetes中运行的一些服务设置了一些HTTP GET就绪探测。这样做是为了在Kubernetes Service繁忙(处理长POST请求)时从Kubernetes Service中移除pod。是否有一种方法可以在pod开始处理POST请求时将其设置为未就绪,而不是每秒发送HTTP GET就绪探测。
浏览 19提问于2019-10-03得票数 0
回答已采纳
使用1000个副本自动创建了新的kubernetes部署。同样的问题发生在几个月前,然后我删除了kubernetes-cli部署和pod。几个月后,我再次面临这个问题,如何预防这种情况,有谁可以帮助我。
已创建部署=>
在这里,我使用"kubectl get events“命令监视kubernetes事件。相关事件如下。
CPU使用率如下所示;
PID信息如下;
创建实例;
Pod信息;
浏览 2提问于2018-08-14得票数 0
我在Kubernetes集群中使用了一个Nginx入口控制器。我在集群中有一个应用程序,可以在互联网上使用。现在,我使用Ingress访问应用程序,目的是显示一些自定义错误。
如果我访问应用程序(该应用程序不是我自己编写的,因此我不能在其中更改内容),它将接收nginx-ingress-controller-pod的IP地址。nginx-ingress-controller-pod的日志表明远程地址是不同的地址。
我已经尝试过像use-proxy-protocol这样的东西,然后我就可以使用$remote_addr并获得正确的IP。但正如我所提到的,我不能更改我的应用程序,所以我必须“欺骗”入
浏览 1提问于2021-06-30得票数 1
我在亚马逊网络服务上运行Kubernetes,并使用带有type: LoadBalancer的Service公开服务,它提供了ELB。有没有办法用这个服务上的注解来控制ELB密码配置?我需要禁用TLS 1.0和1.1。
我知道我可以手动完成此操作,但我希望Kubernetes能为我完成此操作,否则下次配置新的ELB (Kubernetes升级、配置更改等)时,我将不得不记得再次执行此操作。
浏览 78提问于2020-05-12得票数 1
回答已采纳
我最近将我的gke集群升级到1.14.x,并将nginx入口升级到最新版本0.26.1。在某种程度上,我的内线停止了工作。
例如,当尝试使用curl INGRESS_IP -H "host:nexus.myorg.com"访问Nexus时,以下是入口控制器日志:
2019/11/07 08:35:49 [error] 350#350: *2664 upstream timed out (110: Connection timed out) while connecting to upstream, client: 82.81.2.76, server: nexus.myorg.
浏览 20提问于2019-11-07得票数 0
回答已采纳
我想为GKE中的负载均衡器后面的多个应用程序启用HSTS。我看到了添加自定义请求头的文档,但没有自定义响应头。当我在customRequestHeaders资源定义中为customResponseHeaders切换BackendConfig时,会发生以下错误:
Error: Failed to morph manifest to OAPI type
with module.ephemeral_kolibri_v015_env.module.k8s.kubernetes_manifest.bck_iap_backendconfig,
on ../environments/modules
浏览 17提问于2022-01-14得票数 1
有没有什么切实可行的方法来控制气流的配额和限制? 我对控制BigQuery并发性特别感兴趣。 有不同级别的quotas on BigQuery。因此,根据操作员的输入,应该有一种方法来检查是否满足条件,否则等待它满足。 它似乎是传感器运算符的组合,例如查询诸如redis之类的数据库: QuotaSensor(Project, Dataset, Table, Query) >> QuotaAddOperator(Project, Dataset, Table, Query)
QuotaAddOperator(Project, Dataset, Table, Query) >&
浏览 23提问于2019-12-16得票数 1
1回答
我们正在升级我们的AKS集群,以便使用最近使用GA的标准SKU负载平衡器。请参阅此.Previously,只有基本的SKU负载平衡器可用,当连接失效时,它们将不允许我们发送TCP重置。例如,这将导致大量创造性的工作来处理连接池中陈旧的连接。
因此,在创建入口时,我可以使用年轮配置负载均衡器。例如,我可以使用注释将类型设置为内部设置和超时设置。但是,通过注释将TCP重置标志设置为true似乎是不可能的。我发现通过挖掘这个页面中的注释列表。
我已经成功地使用以下yaml创建了一个入口控制器。请注意这些通知。
controller:
service:
loadBalancerIP: 17
浏览 0提问于2019-12-03得票数 1
回答已采纳
我向kube-apiserver添加了以下命令行参数,以启用审计日志记录:
- --audit-log-path=/tmp/k8s-audit.log
- --audit-policy-file=/etc/kubernetes/audit.yaml
- --audit-log-maxage=1
- --audit-log-maxsize=100
- --audit-log-maxbackup=1
/etc/kubernetes/audit.yaml的内容如下:
apiVersion: audit.k8s.io/v1
kind: Policy
omitStages:
- "Respo
浏览 2提问于2020-03-28得票数 1
回答已采纳
1回答
我很难获得一个基本的NetworkPolicy资源来阻止Azure Kubernetes服务(AKS)实例上的所有入口流量。AKS是用azure网络插件(即Azure )建立的。
我们的问题是,随着VNet窥视到现场网络,AKS工作负载现在暴露在内部网络的不良参与者面前。因此,我们有一个入口控制器,但希望使它成为所有非系统工作负载的唯一入口点。
下面是NetworkPolicy资源:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: hello-node-network-policy
namespa
浏览 1提问于2020-10-20得票数 1
回答已采纳
我在kubernetes上使用DNS插件服务时出错了。
如果运行此命令,就会看到kube服务正在重新启动:
kubectl get pods --namespace=kube-system -o wide
当我拿到日志时:
kubectl logs kube-dns-v9-7mi17 -c kube2sky --namespace=kube-system
我被重复了很多次:
E0305 04:39:30.837572 1 reflector.go:136] Failed to list *api.Endpoints: Get https://10.3.0.1:443/api/v1/
浏览 2提问于2016-03-05得票数 2
当使用ek而不自定义“Kubernetes”时,可以为Kubernetes仪表板配置自定义密码吗?这个URL提到了“kube”中的更改。
浏览 1提问于2021-01-05得票数 0
我正在尝试了解从群集外部发起的呼叫的Kubernetes High Availability。(对于我的新内部Kubernetes集群) 例如:桌面应用程序需要调用托管在Kubernetes中的服务。 我认为有两种主要的方式可以实现这一点,NodePort和Ingress。 NodePort 在NodePort的节点故障期间会发生什么似乎是相当明显的。使用新脱机节点作为要寻址的节点的任何呼叫都将失败。如果您使用的是NodePort,则需要确保您有某种方法来检测您正在使用的节点是否已关闭,并将流量转移到另一个节点。(并恢复在检测到停机时间之前发生的任何丢失的流量。) 这似乎是负载均衡器的工作。
浏览 70提问于2021-02-25得票数 0
回答已采纳
我试图设置我的OPA如下所示。
OPA在Kubernetes作为侧翼安装
策略将作为包进行管理。
OPA策略将在一个单独的服务包中存储和服务
OPA需要使用config-file进行配置,以便从外部服务获取策略。
配置文件将作为一个配置映射存储在kubernetes中。
配置映射需要在- config -file中使用。
我在kubernetes的配置地图
kubectl create configmap policyconfig --from-file=./config/config.yaml
我的Sidecar OPA
- name: opa
浏览 11提问于2020-04-30得票数 2
回答已采纳
我正在尝试使用v2 api从码头集线器获取官方映像列表。如果我尝试做curl或使用postman,我会得到正确的响应,但是当我尝试使用angularjs服务获取列表时,我会得到以下错误
XMLHttpRequest无法加载。请求的资源上没有“访问-控制-允许-原产地”标题。因此,“”源是不允许访问的。
有人能为这个问题提出解决方案吗。我怎样才能启用cors呢?
浏览 4提问于2016-08-29得票数 0
我希望将nginx.ingress.kubernetes.io/upstream-hash-by用于多个客户端的websocket连接,其中相关客户端(基于URL)应该固定在同一台服务器上。
入口-nginx似乎重新平衡了流量,当一些东西改变了副本的数量(pod下降,将被一个新的自动取代,或数量增加的运行时规模)。
这种再平衡的问题在于它没有终止现有的连接。因此,已经存在的websocket连接(对于一个已经散列的URL)停留在pod上,而到同一个URL的新连接突然被分发到一个新生成的荚B中。
这是我的入口定义:
apiVersion: extensions/v1beta1
kind: Ing
浏览 5提问于2020-02-10得票数 7
我编辑了入口控制器的示例。下面的代码是controller.go
package main
import (
"log"
"os"
"os/exec"
"reflect"
"text/template"
"k8s.io/kubernetes/pkg/api"
"k8s.io/kubernetes/pkg/apis/extensions"
client "k8s.io/kubernetes/pkg/client/u
浏览 0提问于2015-12-08得票数 1
我正试图为Google平台中的Kubernetes集群创建警告策略。下面是示例代码。
service, err := monitoring.NewService(context.Background())
if err != nil {
log.Panicln(err)
return
}
mqlCondition := &monitoring.MonitoringQueryLanguageCondition{
Duration: "60s",
Query: `fetch k8s_pod
| metric '
浏览 0提问于2021-03-15得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
