Cài đặt kubectl
macOS:
Cài đặt qua Homebrew:
brew install kubernetes-cliLinux:
Tải xuống bản phát hành kubectl mới nhất:
curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectlLàm cho tệp đã tải xuống có thể thực thi được:
chmod +x ./kubectlDi chuyển lệnh vào PATH của bạn:
sudo mv ./kubectl /usr/local/bin/kubectlWindows:
Truy cập tài liệu Kubernetes để biết liên kết đến bản phát hành Windows mới nhất.
Tạo cụm LKE
Đăng nhập vào tài khoản Trình quản lý đám mây của bạn.
Chọn Kubernetes từ menu điều hướng bên trái rồi nhấp vào Tạo cụm.
Trang Tạo cụm Kubernetes xuất hiện Ở đầu trang, bạn được yêu cầu chọn các tùy chọn sau:
Trong trường Nhãn cụm, hãy cung cấp tên cho cụm của bạn. Tên này phải là duy nhất giữa tất cả các cụm trên tài khoản của bạn. Tên này là cách bạn xác định cụm của mình trong Trang tổng quan của Trình quản lý đám mây.
- Từ menu thả xuống Vùng, chọn Vùng nơi bạn muốn cụm của mình cư trú.
- Từ menu thả xuống Phiên bản, chọn phiên bản Kubernetes để triển khai cho cụm của bạn.
Trong phần Thêm nhóm nút, chọn tài nguyên phần cứng cho (các) nút công nhân Linode tạo nên cụm LKE của bạn. Ở bên phải mỗi gói, hãy chọn dấu cộng + và dấu trừ – để thêm hoặc xóa Linode vào nhóm nút. một lúc.
Sau khi hài lòng với số lượng nút trong nhóm nút, hãy chọn Thêm để đưa nút đó vào cấu hình của mình. Nếu bạn quyết định rằng mình cần nhiều hoặc ít tài nguyên phần cứng hơn sau khi triển khai cụm của mình, bạn luôn có thể chỉnh sửa Nhóm nút của mình.
Khi một nhóm đã được thêm vào cấu hình của bạn, nhóm đó sẽ được liệt kê trong Tóm tắt cụm ở phía bên phải của Trình quản lý đám mây, nêu chi tiết về tài nguyên phần cứng của cụm và chi phí hàng tháng của nhóm trước khi hoàn tất quy trình tạo cụm bằng cách lặp lại quá trình trước đó. bước cho mỗi nhóm bổ sung.
Khi bạn hài lòng với cấu hình cụm của mình, hãy nhấp vào nút Tạo cụm ở phía bên phải màn hình, trang chi tiết về cụm của bạn xuất hiện và Nhóm nút của bạn được liệt kê trên trang này, bạn có thể chỉnh sửa nhóm hiện có của mình. Node Pools, truy cập tệp Kubeconfig của bạn và xem tổng quan về chi tiết tài nguyên của cụm của bạn.
Truy cập và tải xuống kubeconfig của bạn
Để truy cập kubeconfig của cụm, hãy đăng nhập vào tài khoản Trình quản lý đám mây của bạn và điều hướng đến phần Kubernetes.
Từ trang danh sách Kubernetes, nhấp vào dấu chấm lửng tùy chọn khác của cụm và chọn Tải xuống kubeconfig. Tệp được lưu vào thư mục Tải xuống trên máy tính của bạn.
Mở shell terminal và lưu đường dẫn của tệp kubeconfig vào biến môi trường $KUBECONFIG Trong lệnh ví dụ, tệp kubeconfig nằm trong thư mục Tải xuống, nhưng bạn nên thay đổi dòng này bằng vị trí của thư mục này trên máy tính của bạn:
export KUBECONFIG=~/Downloads/kubeconfig.yamlXem các nút trong cụm của bạn bằng kubectl.
kubectl get nodesThông tin chung về mạng và tường lửa
Trong cụm LKE, một số thực thể và dịch vụ chỉ có thể truy cập được từ bên trong cụm đó trong khi những thực thể và dịch vụ khác có thể truy cập công khai (có thể truy cập từ internet).
Riêng tư (chỉ có thể truy cập trong cụm):
- IP nhóm sử dụng mạng ảo trên mỗi cụm trong phạm vi 10.2.0.0/16
- Dịch vụ ClusterIP, sử dụng mạng ảo trên mỗi cụm trong phạm vi 10.128.0.0/16
Công khai (có thể truy cập qua internet):
- Dịch vụ NodePort, lắng nghe trên tất cả các Nút có cổng trong phạm vi 30000-32768
- Dịch vụ LoadBalancer, tự động triển khai và định cấu hình NodeBalancer
- Bất kỳ bảng kê khai nào sử dụng HostNetwork: true và chỉ định một cổng
- Hầu hết các bảng kê khai sử dụng HostPort và chỉ định một cổng
Việc đưa khối lượng công việc lên internet công cộng thông qua các phương pháp trên có thể thuận tiện nhưng điều này cũng có thể mang đến rủi ro bảo mật. Bạn có thể muốn cài đặt thủ công các quy tắc tường lửa trên các nút cụm của mình. mặt phẳng điều khiển và chặn lưu lượng không mong muốn:
- Cho phép kiểm tra tình trạng kubelet: Cổng TCP 10250 từ 192.168.128.0/17 Chấp nhận
- Cho phép tạo đường hầm Wireguard cho proxy kubectl: Cổng UDP 51820 từ 192.168.128.0/17 Chấp nhận
- Cho phép lưu lượng Calico BGP: Cổng TCP 179 từ 192.168.128.0/17 Chấp nhận
- Cho phép NodePorts cho các dịch vụ khối lượng công việc: Cổng TCP/UDP 30000 – 32767 192.168.128.0/17 Chấp nhận
- Chặn tất cả lưu lượng TCP khác: TCP Tất cả các cổng Tất cả IPv4/Tất cả IPv6 Thả
- Chặn tất cả lưu lượng UDP khác: UDP All Ports All IPv4/All IPv6 Drop
- Chặn tất cả lưu lượng ICMP: ICMP All Ports All IPv4/All IPv6 Drop
Để biết thêm thông tin, vui lòng xem bài đăng cộng đồng này. Bản phát hành LKE trong tương lai có thể mang lại sự linh hoạt cao hơn cho các điểm cuối mạng của các loại khối lượng công việc này.
Xin lưu ý, tại thời điểm này, các nút phải được xóa khỏi cấu hình Tường lửa đám mây trước khi xóa/tái sử dụng nhóm nút trong cấu hình Kubernetes. Ngoài ra, khi thêm nhóm nút vào cụm Kubernetes, Tường lửa đám mây phải được cập nhật với nhóm nút mới( s) Việc không thêm các nút mới sẽ tạo ra rủi ro bảo mật.
Tất cả các cụm LKE mới tạo ra một dịch vụ có tên Kubernetes trong không gian tên mặc định được thiết kế để dễ dàng tương tác với mặt phẳng điều khiển. Đây là dịch vụ tiêu chuẩn cho các cụm LKE.
Nguồn: https://techdocs.akamai.com/cloud-computing/docs/getting-started-with-lke-linode-kubernetes-engine