k8s基于secretRef认证对接rbd块设备

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 文章介绍了如何在Kubernetes集群中通过secretRef认证方式接入Ceph的RBD块设备,并提供了详细的步骤和配置文件示例。

一. k8s接入ceph的RBD-基于secret认证

1.将K8S所有的worker节点的对应的认证文件全部删除

[root@master231 ~]# rm -f  /etc/ceph/ceph.client.*
[root@worker232 ~]# rm -f  /etc/ceph/ceph.client.*
[root@worker233 ~]# rm -f  /etc/ceph/ceph.client.*

2.获取ceph集群的admin账号的key信息并经过base64编码

[root@ceph141 ~]# grep key /etc/ceph/ceph.client.admin.keyring | awk '{printf "%s", $NF}' | base64 
QVFEakZycGx5dkZDRGhBQXBKZzExMVlNSUdRNi9GL3gvWStxcFE9PQ==
[root@ceph141 ~]# 


温馨提示:
    每个ceph集群队友对应的key,根据你的实际情况来。

3.将该编码封装为secrets资源

[root@master231 rbd]# cat 03-deploy-svc-ing-secrets-volume-rbd-admin-secretRef.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: ceph-admin-secret
type: "kubernetes.io/rbd"
data:
  # 指定ceph的admin的KEY,将其进行base64编码,此处需要修改! 
  key: QVFEakZycGx5dkZDRGhBQXBKZzExMVlNSUdRNi9GL3gvWStxcFE9PQ==

---

apiVersion: apps/v1
kind: Deployment
metadata:
  name: deploy-volume-rbd-secrets-keyring
spec:
  replicas: 1
  selector:
    matchLabels:
      apps: ceph-rbd
  template:
    metadata:
      labels:
        apps: ceph-rbd
    spec:
      volumes:
      - name: data
        rbd:
          monitors:
          - 10.0.0.141:6789
          - 10.0.0.142:6789
          - 10.0.0.143:6789
          pool: yinzhengjie-k8s
          image: nginx-web
          fsType: xfs
          readOnly: false
          # 指定连接ceph集群的用户
          user: admin
          # keyring: "/etc/ceph/ceph.client.k8s.keyring"
          # 指定rbd的用户,如果定义将会覆盖"keyring"字段的配置。
          secretRef:
            # 指定用于存储ceph管理员的secret名称
            name: ceph-admin-secret
      containers:
      - name: c1
        image: registry.cn-hangzhou.aliyuncs.com/yinzhengjie-k8s/apps:v3
        volumeMounts:
        - name: data
          mountPath: /yinzhengjie-data
        ports:
        - containerPort: 80

---

apiVersion: v1
kind: Service
metadata:
  name: svc-rbd-secrets
spec:
  selector:
    apps: ceph-rbd
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80

---

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: apps-ingress-secrets
  annotations:
    # 指定Ingress controller的类型
    kubernetes.io/ingress.class: traefik
spec:
  # 指定Ingress controller的名称
  # ingressClassName: mytraefik
  rules:
  - host: v3.yinzhengjie.com
    http:
      paths:
      - backend:
          service:
            name: svc-rbd-secrets
            port:
              number: 80
        path: /
        pathType: ImplementationSpecific
[root@master231 rbd]#

4.创建资源

[root@master231 rbd]# kubectl get pods -o wide
NAME                                                 READY   STATUS        RESTARTS   AGE    IP             NODE        NOMINATED NODE   READINESS GATES
deploy-volume-rbd-secrets-keyring-6dbc6688f5-kqjxp   1/1     Running       0          6s     10.100.1.175   worker232   <none>           <none>
[root@master231 rbd]# 
[root@master231 rbd]# kubectl -n yinzhengjie-traefik get svc,po 
NAME                TYPE           CLUSTER-IP      EXTERNAL-IP   PORT(S)                      AGE
service/mytraefik   LoadBalancer   10.200.205.77   10.0.0.189    80:18238/TCP,443:13380/TCP   12d

NAME                             READY   STATUS    RESTARTS   AGE
pod/mytraefik-5f6bd48975-6w8gm   1/1     Running   0          3d
[root@master231 rbd]# 
[root@master231 rbd]# 
[root@master231 rbd]# kubectl describe ingress apps-ingress-secrets 
Name:             apps-ingress-secrets
Labels:           <none>
Namespace:        default
Address:          
Default backend:  default-http-backend:80 (<error: endpoints "default-http-backend" not found>)
Rules:
  Host              Path  Backends
  ----              ----  --------
  v3.yinzhengjie.com  
                    /   svc-rbd-secrets:80 (10.100.1.175:80)
Annotations:        kubernetes.io/ingress.class: traefik
Events:             <none>
[root@master231 rbd]#

5.windows文件解析

10.0.0.189  v3.yinzhengjie.com

6.访问测试

http://v3.yinzhengjie.com/

二.其他补充

本博客采用admin用户账号信息进行测试,如果想要使用普通用户测试,套路一样哟。

如果对于用户管理的命令不熟悉的小伙伴们,可以参考我之前的笔记。

推荐阅读:
    https://github.com/kubernetes/examples/blob/master/volumes/rbd/README.md 
    https://www.cnblogs.com/yinzhengjie/p/14275022.html
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
2月前
|
存储 Kubernetes 数据安全/隐私保护
k8s对接ceph集群的分布式文件系统CephFS
文章介绍了如何在Kubernetes集群中使用CephFS作为持久化存储,包括通过secretFile和secretRef两种方式进行认证和配置。
89 5
|
2月前
|
Kubernetes 容器 Perl
k8s基于keyring文件认证对接rbd块设备
文章介绍了如何在Kubernetes集群中使用Ceph的keyring文件进行认证,并对接RBD块设备,包括使用admin用户和自定义用户两种方式的详细步骤和注意事项。
50 3
|
2月前
|
Kubernetes 安全 API
Kubernetes系统安全-认证(Authentication)
文章主要介绍了Kubernetes系统中的安全认证机制,包括API服务器的访问控制、认证、授权策略和准入控制,以及如何使用kubeconfig文件和创建自定义用户与服务账号。
157 0
Kubernetes系统安全-认证(Authentication)
|
3月前
|
存储 Kubernetes 容灾
在k8S中,K8S持久化可以对接哪些储存,为什么要选择它?
在k8S中,K8S持久化可以对接哪些储存,为什么要选择它?
|
4月前
|
存储 Kubernetes 应用服务中间件
k8s使用rbd作为存储
k8s使用rbd作为存储
61 6
|
3月前
|
存储 运维 Kubernetes
在k8S中,如何对接外部ceph?
在k8S中,如何对接外部ceph?
|
5月前
|
Kubernetes 算法 API
K8S 集群认证管理
【6月更文挑战第22天】Kubernetes API Server通过REST API管理集群资源,关键在于客户端身份认证和授权。
|
6月前
|
Kubernetes 应用服务中间件 nginx
提升CKA认证成功率:Kubernetes Ingress七层代理全攻略!
提升CKA认证成功率:Kubernetes Ingress七层代理全攻略!
114 0
|
24天前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
|
25天前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。