OPA通过Kubernetes集群的请求
OPA(Open Policy Agent)是一个开源的、通用的、轻量级的策略引擎,它可以用于实现访问控制、认证、审计等策略管理功能。OPA通过Kubernetes集群的请求,可以实现对容器化应用的访问控制和策略管理。
具体来说,OPA可以与Kubernetes集群中的各个组件进行集成,如API Server、Controller Manager等,以实现对请求的拦截和策略判断。当一个请求到达Kubernetes集群时,OPA可以拦截该请求并根据预先定义的策略进行判断,决定是否允许该请求执行。这样可以确保集群中的应用和资源只能被授权的用户或服务访问。
OPA的优势在于其通用性和灵活性。它提供了一种声明式的策略语言(Rego),可以用于定义各种复杂的访问控制规则和策略。同时,OPA还支持与Kubernetes的RBAC(Role-Based Access Control)机制进行集成,可以与现有的RBAC策略进行协同工作,提供更加细粒度的访问控制。
OPA的应用场景包括但不限于:
- 访问控制:可以通过OPA对Kubernetes集群中的请求进行鉴权,确保只有授权的用户或服务可以执行操作。
- 策略管理:可以使用OPA定义和管理各种复杂的策略,如网络策略、资源配额等,以确保集群中的资源使用符合预期。
- 审计和合规性:OPA可以记录和审计所有的请求和策略决策,以满足合规性要求,并提供审计日志供后续分析和调查。
腾讯云提供了与OPA相关的产品和服务,如腾讯云容器服务 TKE(Tencent Kubernetes Engine),可以与OPA进行集成,实现对容器化应用的访问控制和策略管理。具体的产品介绍和使用方法可以参考腾讯云的官方文档:腾讯云容器服务 TKE。
相关·内容
1回答
我试图了解什么是开放政策代理(OPA)及其用例,而且我正处于基本阶段。当我读到opa的一篇文章时,我了解了OPA的看门人,但是对于为什么我们需要这个OPA的看门人,我没有一个明确的理解。我们可以用它来审核kubernetes中的各种策略吗?比如Pod调度、集群放置、授权etc.or,它是否只针对kubernetes的接纳控制阶段?
浏览 4提问于2020-05-13得票数 3
回答已采纳
我试图设置我的OPA如下所示。
OPA在Kubernetes作为侧翼安装
策略将作为包进行管理。
OPA策略将在一个单独的服务包中存储和服务
OPA需要使用config-file进行配置,以便从外部服务获取策略。
配置文件将作为一个配置映射存储在kubernetes中。
配置映射需要在- config -file中使用。
我在kubernetes的配置地图
kubectl create configmap policyconfig --from-file=./config/config.yaml
我的Sidecar OPA
- name: opa
浏览 11提问于2020-04-30得票数 2
回答已采纳
1回答
我想在kubernetes中使用OPA(Open Policy Agent),但有一些问题对我来说还不清楚:
让我们一起来看一个具体的案例:例如,在命名空间中有一个pod创建,我们可以从OPA的pod对象中知道命名空间。但是,我们可以单独获取名称空间对象来了解该名称空间所属的权限吗?
更明确地说,我的意思是,我们可以通过OPA通过Kubernetes集群来处理请求吗?
例如,有一个名为Test的pod创建。我只想只允许一个名为TestAuthority的机构进行此创建。创建pod时,我们知道名称空间数据,但不知道权限。要找出这个pod所属的权限,我需要拥有名称空间对象并查看它的标签。我们能不能
浏览 10提问于2020-06-05得票数 0
回答已采纳
我注意到有些云提供商为kubernetes提供了托管解决方案,我想知道这个产品涉及哪些组件。
我的直觉告诉我,会涉及到一些组件,比如NetworkPolicy、OPA,但我无法理解应该如何进行总体项目概述,因为对于集群的每个用户,API都是相同的。
他们是在部署各种控制飞机,还是为每个用户部署了一个单独的控制平面?
浏览 0提问于2021-04-16得票数 -1
回答已采纳
我们正在寻找使用OPA网守来审计K8s PodDisruptionBudget (PDB)对象。特别是,我们希望审计status字段中的disruptionsAllowed数量。 我相信这个字段在入口点是不可用的,因为一旦PDB被应用到集群,它就是由apiserver计算和添加的。 例如,对于Pod,status字段作为AdmissionReview对象1的一部分传递。在该特定示例中,似乎只有预接纳状态字段才能进入AdmissionReview对象。 1.)在PDB的情况下,是否可以审计当前的群集内状态字段? 2.)考虑到OPA网守作为准入控制器的预期用途,这会被视为反模式吗? 1(http
浏览 23提问于2020-07-28得票数 4
我有一个Kubernetes集群,其中部署了我的应用程序。还有一些其他用户应该只能将文件复制到pod或从pod复制文件。使用kubectl cp命令。此用户上下文不应允许用户在集群上执行除kubectl cp之外的任何其他操作。
浏览 38提问于2020-05-27得票数 0
我计划为生产使用一个Kubernetes集群,在外部请求中使用Ingress。
我有一个弹性数据库,它不会是Kubernetes集群的一部分。我在Kubernetes集群中有一个微服务,它通过HTTP (Get、Post等)与弹性数据库进行通信。
我应该创建另一个NodePort服务,以便与弹性数据库通信,还是应该通过大会控制器进行通信,因为它是一个HTTP?如果两者都是有效的选项,请让我知道什么更好使用,以及为什么。
浏览 4提问于2022-08-29得票数 1
我是围棋新手。我想使用Go代码获取kubernetes中节点和集群的存储统计数据。如何使用Go获取Kubernetes节点和集群的空闲和已用存储空间。
浏览 2提问于2015-10-16得票数 0
我正在(GKE) 1.8.3-gke.0上设置一个带有1.8.3-gke.0的联邦kubernetes集群。
对于一个好的和,我必须使用Open作为,因为
默认情况下,副本在所有底层集群中平均分布。例如:如果您有3个已注册的集群,并且使用spec.replicas = 9创建了一个联邦部署,那么这3个集群中的每个部署都将具有spec.replicas=3。
但是在我的例子中,每个区域的负载都会发生动态变化,每个集群都应该有动态的豆荚数。
我找不到(或者只是看不见)关于像我这样的案例的例子或手册。因此,问题是:
如果在联邦上下文中有三个集群,那么策略应该有哪些场景,每个GKE区域都有一个
浏览 1提问于2017-11-22得票数 2
回答已采纳
我们在Kubernetes集群中安装了OPA。不是看门人。“原始”OPA..。
我不明白如何看待从API-server ?接收到的输入请求。
=>如果我知道有效负载是什么样子的话,那么编写Rego就很简单了。
我尝试在-v=8中使用kubectl选项来查看来自api-server的请求和响应,如下所示:
$ kubectl get pod -v=8
...
GET https://xxxx.k8s.ovh.net/api/v1/namespaces/default/pods?limit=500
...
Request Headers: Accept: application/json;a
浏览 6提问于2022-11-22得票数 0
回答已采纳
我想在我的kubernetes集群上部署一个网站。
我跟随在我的一套树莓上建立我的kubernetes集群。现在,我已经用一些nginx容器测试了它,并且它在一定程度上工作,因为我需要找到它部署在上面的机器的正确ip。
现在我已经注册了一个域,我喜欢将流量转发到我的kubernetes集群上部署的网站。
我以前用过nginx,certbot和letsencrypt而不使用容器。现在,我错过了kubernetes如何处理网络的部分。我认为它类似于群集网络,它将所有请求转发给正确的机器。但库伯奈特斯的做法不同。
TLDNR:如何在自构建的raspberry pi kubernetes集群上部署网站
浏览 1提问于2021-04-08得票数 0
有没有什么办法可以迁移运行在两个不同Kubernetes集群中的Redis集群数据?我们如何在运行在两个不同Kubernetes集群上的Redis有状态pod之间进行通信?
我们有两个Redis集群,它们运行在两个不同的Kubernetes集群X和Y上。我想将数据从redis-X传输到redis-Y集群。我们如何在redis-X和redis-Y集群之间建立连接,以便迁移数据?
任何帮助或提示都是非常感谢的。
浏览 1提问于2021-07-02得票数 1
我正在尝试通过以下方式编辑kubernetes中的部署:
kubectl -n <namespace> edit deployment <depolyment_name>.
输入命令后,将出现vi编辑窗口,然后我进行了一些更改,例如在命令部分或volumeMounts部分。
但我得到以下错误:
A copy of your changes has been stored to "/tmp/kubectl-edit-hv5dh.yaml"
error: map: map[] does not contain declared merge key: name
浏览 7提问于2018-04-06得票数 3
在开放策略代理()中
关于Kubernetes,取决于所使用的发动机:
看门人:
或
带kube-mgmt:的普通OPA
定义验证规则的方法有多种:
在守门员中使用violation。参见这里的示例规则:
在普通OPA示例中,deny规则,参见这里的示例:
似乎是OPA约束框架将其定义为violation:。
,那么这背后的确切“故事”是什么,为什么不同引擎之间不一致呢?
备注:
这个文档对此进行了反思:
这里提到了如何在脚本中支持互操作性:
在这个问题上提到的迁移,仅仅是因为对“干运行”的支持?
浏览 2提问于2021-05-04得票数 2
回答已采纳
1回答
我目前正在将AWS EKS集群复制到Azure AKS。在我们的EKS中,我们使用带有代理协议的外部Nginx来识别客户端真正的IP,并检查它是否在我们的Nginx中被白化。
在AWS中,为了这样做,我们向Kubernetes服务注释aws-load-balancer-proxy-protocol添加了支持Nginx proxy_protocol指令的内容。
现在,这一天已经到来,我们也想在Azure AKS上运行我们的集群,我也在尝试做同样的机制。
我看到AKS负载均衡器散列了I,所以我从我的Nginx中删除了proxy_protocol指令,我尝试了几件事,我知道Azure负载均衡器不是用
浏览 2提问于2020-08-23得票数 3
回答已采纳
1回答
我有一个带有对接图像的Kubernetes集群。我有一些应用程序,每套应用程序都有一个服务。负载平衡和路径路由是由Nginx Ingress完成的。现在我有一个应用程序,它的使用非常具体。我想将它的使用限制为一次只使用一个进程/请求。这个过程也可以长达半个小时。如何在Kubernetes集群中做到这一点?如果kubernetes有这样的解决方案来跟踪在pod中运行的进程,而不为该过程分配请求,那就太好了。它也可以通过自动缩放来完成。如果我们可以删除没有使用的pod,并根据我们的请求来扩展应用程序。
浏览 0提问于2019-08-21得票数 0
回答已采纳
我使用安装在kubernetes之上的服务网格,并安装了ISTIO在其网站上提供的示例。
假设,我已经创建了一个服务FOO,并希望通过虚拟服务分级调用服务。
如何在FOO中调用评级?我必须在FOO服务中提供http客户端来调用评级。我必须为评级创建虚拟服务吗?评级不应该在kubernetes cluser之外访问。
当FOO调用评级代理时,该请求是首先通过自己的特使代理,还是直接传递给评级特使代理?
后续问题
以下是在kubernetes集群上安装的所有虚拟服务:
[
集群IP地址是:
问题是,我如何在FOO服务中调用分级服务?使用集群IP地址?
浏览 1提问于2019-12-16得票数 5
回答已采纳
我们正试图用OPA策略来替换库伯奈特中现有的PSP,使用的是守门员。我使用的是由守门员提供的默认模板,并定义了相应的约束。
但是,我不知道如何将策略应用于特定的ServiceAccount。就像。如何仅将allow-privilege-escalation策略定义为名为awsnode的ServiceAccount?
在PSP中,我为所需的podsecuritypolicies创建了一个角色/集群Role,并创建了一个RoleBinding,以允许awsnode ServiceAccount使用所需的PSP。我很难理解如何使用门卫OPA策略来实现同样的目标?
谢谢。
浏览 7提问于2022-05-11得票数 0
回答已采纳
我在minikube中应用了约束。我已经建立了一个go程序作为图像,将通过应用pod.yaml文件作为豆荚执行。当我使用"kubectl get pods“获取pod的状态时,几秒钟后它显示"crashloopbackoff”作为状态。然后,它会显示为警告"Back-off restarting failed container“。为什么pod不能永久成功运行而不显示crashoopbackoff错误或任何重启警告状态。 pod.yaml apiVersion: v1
kind: Pod
metadata:
name: opa
labels:
name: opa
浏览 31提问于2021-08-23得票数 0
opa (开放策略)可以在kubernetes资源创建、删除或更新之前引用其策略。但当它们是get (描述或get)时就不是了。如何强制执行此操作以获取请求?这是在OPA的路线图中还是在准入控制员的范围内? 我们要阻止查看服务帐户令牌。
浏览 5提问于2019-12-15得票数 0
回答已采纳
我们有一个带有三个工作节点的kubernetes集群,它是借用“Kubernetes,the hard way”教程手动构建的。
这个集群上的所有东西都按预期工作,只有一个例外:调度程序没有--或者似乎没有--遵守每个工作节点110个pod的限制。
示例:
工作节点1: 60个实例工作节点2: 100个实例工作节点3: 110个实例
当我想要部署一个新的pod时,经常会发生这样的情况:调度器认为最好将新pod调度到“Worker Node 3”。Kubelet拒绝这样做,它确实遵守其110 pod的限制。调度程序一次又一次地尝试,但始终没有成功。
我不明白为什么会发生这样的事情。我想我可能遗漏
浏览 4提问于2020-12-29得票数 0
我是k8s和opa的新手,在这个领域我没有太多的知识和经验。我希望在rego代码中使用策略(opa策略)并执行以查看结果。以下例子如下:
始终拉图-确保每个容器都将“imagePullPolicy”设置为“始终”
检查活性探测-确保每个容器都设置一个livenessProbe
检查就绪探测-确保每个容器都设置一个readinessProbe
对于以下情况,我想制定一项opa政策:
1.始终绘制图像:
apiVersion: v1
kind: Pod
metadata:
name: test-image-pull-policy
spec:
containers:
浏览 0提问于2019-07-26得票数 0
我有两个Kubernetes集群。我在一个集群上运行了一个Nginx服务器pod。其pod IP为10.40.0.1。当我从这个集群节点ping 10.40.0.1时,它可以很容易地从这个集群的任何节点ping。
当我从第二个群集节点ping第一个群集pod时,它不工作。我应该如何制作pod,以便也可以从第二个集群节点访问它?
我已经使用下面的YAML文件部署了Nginx服务器。
apiVersion: v1
kind: Pod
metadata:
name: Serverpod
spec:
containers:
浏览 0提问于2021-11-25得票数 0
3回答
我使用的是海底团队提供的kubernetes集群(不是minikube),我已经创建了traefik入口控制器和所有配置、入口容器,我们的应用程序正在集群中运行。现在我想使用域名或ip地址访问应用程序,为此,我创建了如下所示的侵入资源
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: traefik-web-ui
namespace: kube-system
spec:
rules:
- host: dummy.domain.com
http:
paths:
- path: /
浏览 0提问于2021-08-02得票数 2
回答已采纳
1回答
在我的地形基础设施中,我根据参数划分了几个Kubernetes集群,然后使用Kubernetes提供程序将一些标准内容安装到这些kubernetes集群中。
当我更改参数并且不再需要其中一个集群时,terraform无法将其删除,因为提供者和资源都在模块中。但是,我没有看到其他的选择,因为我在同一个模块中创建了kubernetes集群,kubernetes对象都是每个kubernetes集群。
我能想到的所有解决方案都涉及到在我的terraform配置中添加一堆样板。我应该考虑从脚本生成terraform配置吗?
我做了一个git回购,准确地显示了我遇到的问题:
浏览 0提问于2019-01-13得票数 2
2回答
我试图将评估为维护我们自己的体系结构,因为我们将很快扩展到构建集群。使用Kubernetes的容器化集群似乎是最前沿的地方,如果您想自己管理大量的VPS,而不是拥有一个不变的基础结构,那么将SSH‘’ing到实例中似乎更像是你想要做的事情。
那么,Teleport是一种与Container / Kubernetes /恒久不变的基础设施并行的技术,还是可以另外使用正交的?
浏览 9提问于2017-03-25得票数 2
回答已采纳
我有一个带LAMP的linux运行ubuntu。我计划在同一台服务器上添加opa (http://opalang.org)。根据opa文档,默认情况下它将通过端口8080运行。是否有一种方法可以使两者在本地主机上运行而不指定任何端口?
例如:
1. http://localhost/php_project/index.php
2. http://localhost/opa_project/
浏览 0提问于2012-03-08得票数 2
回答已采纳
我在Kubernetes上有一个运行GCP的集群,还有一些在App Engine上运行的服务,我试图在它们之间通信,而不能从外部访问App Engine。
我创建了一个具有特定子网的私有Kubernetes集群,我将此子网链接到云NAT,以拥有唯一的出口IP,我可以将其列入白名单,并且我在App Engine防火墙规则中允许此IP。
然而,当我从集群请求我的应用引擎时,我得到了一个403响应,因为它没有通过防火墙。但是如果我连接到Kubernetes pod并尝试请求站点知道我的IP,我会得到我在云NAT中设置的IP。
我在云NAT文档中发现,内部IP的转换是在应用防火墙规则()之前实现的。
浏览 0提问于2019-02-11得票数 4
这与其他cors相关问题不同。
我正在微服务上运行我的节点后端-api,部署在Digitalocean上的kubernetes。我确实读过与这个问题相关的所有博客/论坛,也没有找到任何解决方案(特别是与Digitalocean相关的解决方案)。
我无法通过运行在'localhost:3000‘上或kubernetes集群之外的任何位置的React应用程序连接到集群。
它给了我以下错误:
Access to XMLHttpRequest at 'http://cultor.dev/api/users/signin'
from origin 'http://loc
浏览 5提问于2020-09-17得票数 7
回答已采纳
2回答
有人能给我举个例子吗? CSRF在集群设置中是如何工作的?
我有一个kubernetes集群托管django网站,我偶尔会遇到403个错误的问题。在kubernetes中,我有多个站点负载平衡的实例。
当一个帖子从一个实例发送并由另一个实例处理时,CSRF是如何工作的?
如果在填写表单期间更新了码头图像,CSRF站点是否有效?
谢谢!
浏览 4提问于2017-11-24得票数 1
回答已采纳
我们希望为我们的客户提供一个预装应用程序的集群,因此我们希望赋予客户所有的权限,除了我们提供的名称空间和系统名称空间,例如"kube- system ",这样他们就看不到机密中的敏感信息,或者在那里破坏任何东西。我们已经用OPA进行了测试,但不幸的是,您不能在那里拦截GET请求,这意味着秘密仍然是可以查看的。它也不适用于RBAC,因为您不能拒绝访问那里的特定名称空间。
有办法做到这一点吗?
感谢并致以最良好的问候
韦达
浏览 3提问于2021-01-20得票数 1
回答已采纳
为了访问Kubernetes仪表板,您必须在本地机器上运行kubectl代理,然后将web浏览器指向代理。类似地,如果您想要提交一个星火作业,您可以在本地机器上再次运行kubectl代理,然后在本地主机地址上运行Spark submit。
我的问题是,为什么库伯内特斯会有这种特殊的安排?仪表板服务正在Kubernetes集群上运行,那么为什么我不直接将web浏览器指向集群呢?为什么有代理人?在某些情况下,对代理的需求是不方便的。例如,在我的Web服务器上,我想提交一个火花作业。我不能这样做--我必须先运行一个代理,但是这会把我和一个特定的集群联系起来。我可能有很多库伯奈特星系团。
为什么Kub
浏览 1提问于2019-01-23得票数 23
回答已采纳
如果Java/spring boot微服务A(部署在自己的容器中&具有自己的ClusterIP类型的Kubernetes服务)需要向同一kubernetes集群中的java/spring boot微服务B(具有自己的ClusterIP类型的Kubernetes服务)发送REST请求,那么A确定B的Kubernetes服务IP的最佳方法是什么(特别是如果B被重新部署)?注意:内部呼叫,其中B没有NodePort或LoadBalancer,也没有入口。
浏览 27提问于2019-11-22得票数 0
我有部署kubernetes集群和httptrigger函数应用程序的ARM。在httptrigger func中,我有kubernetes的客户端,如果我手动触发这个函数,它会执行一些操作,它工作得很好。但我需要在部署ARM完成后自动运行此触发器。
浏览 4提问于2019-09-06得票数 1
我是一个初学者,了解库伯内特斯。
根据我的理解,命名空间是一个由同一个物理集群支持的虚拟集群。
在哪种用法中,我们应该选择单独的物理Kubernetes集群?
选择命名空间而不是物理Kubernetes集群可以节省哪些主要资源?(存在于物理集群的一个名称空间中的Kubernetes对象可以由所有其他名称空间共享,比如kube-system中的命名空间?)物理Kubernetes集群中的节点是否为所有名称空间所共享,但不可能在多个物理Kubernetes集群之间共享节点?)
浏览 7提问于2020-06-28得票数 4
回答已采纳
我是kubernetes的新手。我已经创建了一个包含2个节点的kubernetes的db集群。我可以从像dbeaver这样的瘦客户机上访问这些kubernetes pod来检查数据。但是我不能从外部访问这些kubernetes节点。我目前正在尝试运行一个胖客户端,它会将数据加载到kubernetes上的集群中。
kubectl describe svc <svc>
我可以看到分配给服务的cluster-Ip。我的服务类型是负载均衡器。我试着使用它,但仍然连接不上。我读到过使用nodeport,但没有任何IP地址如何访问它
那么,从外部连接任何节点或群集的最佳方式是什么?
提前谢谢你
浏览 0提问于2021-02-12得票数 1
我想让我的jenkins pod进行身份验证,并从同一集群上运行的vault pod获取密码。哪种身份验证方法将是最好的选择?我考虑kubernetes auth方法,但我不确定它对我的情况是不是最好的选择。在我看来,当vault在kubernetes集群之外运行时,这种方法更适合使用。
提前谢谢。
浏览 0提问于2019-12-11得票数 1
我想用gocd-server注册kubernetes-elastic-agent。在文档中
我需要kubernetes安全令牌和群集ca证书。我的Kubernetes正在运行。如何创建安全令牌?在哪里可以找到集群证书?
杰克
浏览 12提问于2018-08-09得票数 0
1回答
从中我看到,除了开发人员和高级层之外,不支持虚拟网络。
目前,在配置APIM的VN时,我可以在"off“、”外部“和”内部“之间进行选择。对于其他层,我是否仍然可以使用外部VN或根本不使用VN?
当我试图将kubernetes集群/VM连接到APIM时,必须使用外部VN配置APIM。因此,如果其他订阅层不可能这样做,那么是否仍然可以连接到kubernetes集群?
浏览 2提问于2019-12-20得票数 1
回答已采纳
我是Kubernetes的新手,我面临着一些问题。 bitbucket中的项目代码库和每次提交时,bitbucket中都有管道,这些管道在Kubernetes集群中构建了一个pod。因此,pods执行一些任务,并在任务完成后终止。当提交数较高时,集群会因为大量pod而失败。因此,我正在尝试找到一种解决方案,使它在Kubernetes集群中排队,这样pods将使用我的集群的所有资源,在pods终止后,它将运行队列中的其他pods,依此类推。有什么帮助吗?
浏览 20提问于2020-11-06得票数 0
我已经在Kubernetes REST API参考手册中看到了支持补丁请求的链接:https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.18/#patch-ingress-v1beta1-networking-k8s-io HTTP Request
PATCH /apis/networking.k8s.io/v1beta1/namespaces/{namespace}/ingresses/{name} 但是,当通过Postman中的Kubernetes REST API服务器向Kubernetes集群发送补丁请求时,
浏览 39提问于2020-07-25得票数 2
回答已采纳
从中,我知道集群中的pod可以使用clusterIp服务kubernetes.default.svc访问api服务器,但我很好奇它是如何工作的。
集群中的pod只会尝试访问在kubernetes.default.svc中定义的集群,集群与其他集群ip没有什么不同,除了svc的名称。
那么,如何将指向特定集群的http请求路由到api服务器,在创建kubernetes.default.svc时是否由api服务器代理进行配置?
浏览 0提问于2019-01-05得票数 4
1回答
我们在Kubernetes中运行了许多应用程序,并使用HAProxy和LetsEncrypt生成的证书在pod中处理TLS终端。
这对于来自Kubernetes集群之外的通信非常有效,因为请求使用证书中指定的域名。
但是,对于使用服务名称的内部通信--使用像这样的url -- url的主机部分不再匹配证书中定义的内容,导致失败。
有没有办法让Kubernetes的dns系统将整个域名解析为特定的服务,这样它就不会被路由到集群之外?
浏览 3提问于2016-06-15得票数 1
2回答
我有一个基于Java的服务器,由kubernetes集群管理。这是一个分布式环境,其中实例的数量被设置为4,以处理每分钟数百万的请求。
我面临的问题是,kubernetes试图平衡集群,在此过程中杀死结荚并将其带到另一个节点,但是有未决HTTP请求 GET和POST丢失。
什么是kubernetes的解决方案,还是架构解决方案,如果请求被阻塞/失败,我可以重试?
更新:
我对kubernetes服务有两种配置:
LoadBalancer (与AWS一起使用):用于外部面板
ClusterIP:用于基于内部微服务的体系结构
浏览 2提问于2019-03-11得票数 1
我开始尝试对Kubernetes集群进行Oauth2授权。
我发现了一个很好的Oauth2身份提供者,它使用
我最初的意图是将其部署到Kubernetes集群中,然后允许它在该集群上提供身份验证。这将为托管在云中的解决方案提供一个单一标志,并使该解决方案能够管理Kubernetes访问以及对运行在我的集群上的应用程序的访问。
然而,当仔细考虑这个解决方案时,似乎会出现这样的配置可能是灾难性的边缘情况。例如,如果我的集群停止,那么我认为我将无法重新启动该集群,因为Oauth2提供程序将不会运行,因此我无法通过身份验证来执行任何重新启动操作。
还有其他人遇到过这个难题吗?
这是真正的风险吗
浏览 0提问于2018-11-01得票数 3
回答已采纳
1回答
我在GKE上运行一个kubernetes集群。有人告诉我,Kubernetes API服务器与Swagger UI集成在一起,UI是探索API的友好方式。但是,我不知道如何在我的集群中启用它。任何指导都是非常感谢的。谢谢!
浏览 0提问于2018-03-14得票数 2
在Kubernetes的正式文件中:
我们可以看到以下情况:
此示例需要运行Kubernetes集群和kubectl版本1.2或更高版本。需要在集群中部署度量服务器监视,以便通过Metrics API提供度量。水平Pod自动分词器使用此API来收集度量。要了解如何部署度量服务器,请参阅指标-服务器文档。要为水平Pod自动分词程序指定多个资源度量标准,您必须在版本1.6或更高版本上拥有Kubernetes集群和kubectl。要使用自定义度量,集群必须能够与提供自定义metrics API的API服务器进行通信。最后,要使用与任何Kubernetes对象无关的度量标准,您必须在1.10版或更高
浏览 2提问于2021-01-13得票数 2
回答已采纳
2回答
我在亚马逊的k8s实例中安装了一个EC2集群,我希望用GitLab配置CI。为此,GitLab要求我提供Kubernetes API。
我运行kubectl cluster-info来获取所请求的信息,我可以看到3行:
coredns kubernetes-dashboard Kubernetes
我想这需要Kubernetes主URL,但是,是一个私有IP。如何正确地公开API?
有什么想法吗?
浏览 3提问于2020-05-18得票数 1
我的应用程序部署在运行在Google上的Kubernetes集群上。我希望使用获取我的应用程序编写的日志。
从上述文档页和中,我似乎只能列出项目、组织、记帐帐户或文件夹的日志。
我想知道是否有任何REST可以用来获取以下日志:
运行在Google上的Kubernetes集群中的一个吊舱
运行在Google上的VM实例
浏览 0提问于2018-08-30得票数 1
我有一个kubernetes集群,所以我希望度量标准来衡量应用程序何时需要向外扩展。我的第一个想法是使用“延迟”来测量从应用程序用户到应用程序pod的响应,所以我不确定kubernetes是否可以表示用户应用程序pod的时间延迟?
浏览 0提问于2015-08-23得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
