【Kubernetes知识点问答题】资源配额 / 访问控制

2024-09-07 00:12

本文主要是介绍【Kubernetes知识点问答题】资源配额 / 访问控制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

1. 解释 ResourceQuota 的作用。

2. 解释 Service Account 的用途。

3. 详细解释 Role 和 ClusterRole。

4. 什么是 K8s 的 NetworkPolicy?

5. 详细描述在 K8s 中如何控制跨 Namespace 的 Pod 访问?


1. 解释 ResourceQuota 的作用。

- ResourceQuota (资源配额)用来在有多个用户或团队共享具有固定节点数目的集群时,可以解决有人使用超过其基于公平原则所分配到的资源量的问题。
- 通过 ResourceQuota 对象可以对每个命名空间的资源消耗总量提供限制。它可以限制命名空间中某种类型的对象的总数目上限,也可以限制命名空间中的 Pod 可以使用的计算资源的总上限。

2. 解释 Service Account 的用途。

- Service Account (服务账号)为 Pod 中运行的进程提供身份标识,并映射到 ServiceAccount 对象。
- 当应用向 API 服务器执行身份认证时,应用会将自己标识为某个用户, K8s 能够识别用户的概念,但是 K8s 自身并不提供 User API
- 因此, Service Account 是为了方便 Pod 里面的进程调用 K8s API 或其他外部服务而设计的。

3. 详细解释 Role ClusterRole

- 基于角色( Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。
- RBAC API 声明了四种 K8s 对象: Role ClusterRole RoleBinding 和 ClusterRoleBinding。
Role 总是用来在某个命名空间内设置访问权限,在创建 Role 时,必须指定该 Role 所属的名字空间。
ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同( Role ClusterRole )是因为 K8s 对象要么是名字空间作用域的,要么是集群作用域的,不可两者兼具。
- 如果希望在命名空间内定义角色,就应该使用 Role; 如果希望定义集群范围的角色,则应该使用
ClusterRole

4. 什么是 K8s NetworkPolicy

- NetworkPolicy (网络策略)是一种以应用为中心的结构,允许我们设置如何允许 Pod 与网络上的各类网络“实体”通信。
- NetworkPolicy 适用于一端或两端与 Pod 的连接,与其他连接无关。
- 网络策略对 Pod 间的流量控制是通过如下三个标识符的组合来辩识的:
①  其他被允许的 Pods (例外: Pod 无法阻塞对自身的访问);
②  被允许的名字空间;
③ IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的,无论 Pod 或节点的 IP 地址)。

5. 详细描述在 K8s 中如何控制跨 Namespace Pod 访问?

- 默认情况下, Pod 是非隔离的,它们接受任何来源的流量。
- Pod 在被某 NetworkPolicy 选中时进入被隔离状态,一旦名字空间中有 NetworkPolicy 选择了特定的 Pod ,则该 Pod 就会拒绝该 NetworkPolicy 所不允许的连接。
- 网络策略不会冲突,它们是累积的。如果任何一个或多个策略选择了一个 Pod ,则该 Pod 受限于这些策略的入站(Ingress / 出站( Egress )规则的并集,评估的顺序并不会影响策略的结果。
- 为了允许两个 Pods 之间的网络数据流,源端 Pod 上的出站规则和目标端 Pod 上的入站规则都需要允许该流量。如果源端的出站规则或目标端的入站规则拒绝该流量,则流量将被拒绝。

这篇关于【Kubernetes知识点问答题】资源配额 / 访问控制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1143515

相关文章

基本知识点

1、c++的输入加上ios::sync_with_stdio(false);  等价于 c的输入,读取速度会加快(但是在字符串的题里面和容易出现问题) 2、lower_bound()和upper_bound() iterator lower_bound( const key_type &key ): 返回一个迭代器,指向键值>= key的第一个元素。 iterator upper_bou

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

什么是Kubernetes PodSecurityPolicy?

@TOC 💖The Begin💖点点关注,收藏不迷路💖 1、什么是PodSecurityPolicy? PodSecurityPolicy(PSP)是Kubernetes中的一个安全特性,用于在Pod创建前进行安全策略检查,限制Pod的资源使用、运行权限等,提升集群安全性。 2、为什么需要它? 默认情况下,Kubernetes允许用户自由创建Pod,可能带来安全风险。

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚:

容器编排平台Kubernetes简介

目录 什么是K8s 为什么需要K8s 什么是容器(Contianer) K8s能做什么? K8s的架构原理  控制平面(Control plane)         kube-apiserver         etcd         kube-scheduler         kube-controller-manager         cloud-controlle

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

STL经典案例(四)——实验室预约综合管理系统(项目涉及知识点很全面,内容有点多,耐心看完会有收获的!)

项目干货满满,内容有点过多,看起来可能会有点卡。系统提示读完超过俩小时,建议分多篇发布,我觉得分篇就不完整了,失去了这个项目的灵魂 一、需求分析 高校实验室预约管理系统包括三种不同身份:管理员、实验室教师、学生 管理员:给学生和实验室教师创建账号并分发 实验室教师:审核学生的预约申请 学生:申请使用实验室 高校实验室包括:超景深实验室(可容纳10人)、大数据实验室(可容纳20人)、物联网实验

C++语法知识点合集:11.模板

文章目录 一、非类型模板参数1.非类型模板参数的基本形式2.指针作为非类型模板参数3.引用作为非类型模板参数4.非类型模板参数的限制和陷阱:5.几个问题 二、模板的特化1.概念2.函数模板特化3.类模板特化(1)全特化(2)偏特化(3)类模板特化应用示例 三、模板分离编译1.概念2.模板的分离编译 模版总结 一、非类型模板参数 模板参数分类类型形参与非类型形参 非类型模板

枚举相关知识点

1.是用户定义的数据类型,为一组相关的常量赋予有意义的名字。 2.enum常量本身带有类型信息,即Weekday.SUN类型是Weekday,编译器会自动检查出类型错误,在编译期间可检查错误。 3.enum定义的枚举类有什么特点。         a.定义的enum类型总是继承自java.lang.Enum,且不能被继承,因为enum被编译器编译为final修饰的类。         b.只能定义