在Kubernetes主节点上运行用户吊舱是否存在问题?
这个问题的答案是(Kubernetes会在主节点上运行Docker容器吗?)建议确实可以在主节点上运行用户吊舱--但没有解决是否存在与允许这样做相关的任何问题。
到目前为止,我能找到的唯一信息表明,允许这样做可能存在相关问题,那就是主节点上的吊舱通信不安全(请参见http://kubernetes.io/docs/admin/master-node-communication/和https://github.com/kubernetes/kubernetes/issues/13598)。我假设这可能会允许在主节点上运行的流氓pod访问/劫持非主节点上的pod通常无法访问的Kubernetes功能。如果只运行内部开发的pod/container,这可能没什么大不了的--尽管我猜总有可能有人侵入对pod/container的访问,从而获得对主节点的访问。
这听起来像是与此场景相关的可行的潜在风险(允许用户吊舱在Kubernetes主节点上运行)吗?这样的设置是否有其他潜在的问题?
共有1个答案
在主节点上运行豆荚肯定是可能的。
您提到的安全风险是一个问题,但是如果您配置了服务帐户,那么对于所有部署的pod来说,对apiserver进行安全的远程访问与不安全的本地访问实际上没有太大区别。
另一个问题是资源争用。如果在主节点上运行一个破坏主组件的流氓吊舱,它可能会破坏整个集群的稳定。显然,这是生产部署的一个问题,但是如果您希望在开发/实验环境中最大化地利用少量节点,那么在主服务器上运行几个额外的吊舱应该是很好的。
-
我已经设置了普罗米修斯,通过跟踪普罗米修斯留档来监控库本内斯的指标。 普罗米修斯现在有很多有用的指标。 但是,我看不到任何引用我的pod或节点状态的指标。 理想情况下-我希望能够绘制pod状态(运行,挂起,CrashLoopBackoff,错误)和节点(NodeNow,就绪)。 这个度量单位在哪里?如果没有,我可以添加到某个地方吗?怎么做?
-
我有一个后端nodeJS应用程序运行在kubernetes集群。现在我想运行两个cron作业计划每个月。cron作业在一个JS文件中。如何使用库伯内特斯创建一个作业,在每个月运行该服务的pod中运行这些JS文件? 此链接提供了对其工作原理的基本理解,但我对如何为特定服务和特定Pod运行它有点困惑 https://kubernetes.io/docs/concepts/workloads/contr
-
如何强制调度器以循环方式在节点上运行pod,以便如果任何节点宕机,那么至少有一个节点将NGINX pod处于运行模式。 这到底有没有可能?如果可能,我们如何实现这一场景?
-
我在3台裸机Centos7服务器上设置了一个Kubernetes集群,其中有一个主服务器和两个从服务器。为此,我使用了kubeadm,遵循以下指南:https://kubernetes.io/docs/setup/independent/create-cluster-kubeadm/并将Weave Net用于pod网络。 为了进行测试,我设置了2个带有服务的default-http-backend
-
我在minikube上运行kubernetes,我在一个代理后面,所以我设置了env变量(HTTP_代理) pod从未启动,我得到了错误 运行良好
-
我创建了一个kubernetes集群进行测试。但不能创建RC。我得到错误: