node隔离/限制 - Kubernetes

原创
半兽人 发表于: 2019-08-08   最后更新时间: 2021-10-25 15:40:23  
{{totalSubscript}} 订阅, 5,921 游览

通过给Node添加标签,使得Pod定位到这些特定的Node上。

这样来确保特定pod仅在具有特定隔离,安全性或监管属性的Node上运行。

注意:为此目的使用标签时,强烈建议不要通过kubelet修改的标签键。这可以防止受损节点使用其kubelet凭据在其自己的Node对象上设置这些标签,并影响调度程序以将Pod调度到受损节点上。

通过使用NodeRestriction准入插件node-restriction.kubernetes.io/前缀来防止kubelet设置或修改标签。

使用标签前缀进行Node隔离:

  1. 检查你的Kubernetes的版本是否是v1.11 +(以便NodeRestriction可用)。

  2. 确保你使用Node认证并启用NodeRestriction准入插件

  3. node-restriction.kubernetes.io/前缀下的标签添加到Node对象,并在node选择器中使用这些标签。例如:example.com.node-restriction.kubernetes.io/fips=trueexample.com.node-restriction.kubernetes.io/pci-dss=true

更新于 2021-10-25

查看kubernetes更多相关的文章或提一个关于kubernetes的问题,也可以与我们一起分享文章