通过给Node添加标签,使得Pod定位到这些特定的Node上。
这样来确保特定pod仅在具有特定隔离,安全性或监管属性的Node上运行。
注意:为此目的使用标签时,强烈建议不要通过kubelet修改的标签键。这可以防止受损节点使用其kubelet凭据在其自己的Node对象上设置这些标签,并影响调度程序以将Pod调度到受损节点上。
通过使用NodeRestriction准入插件node-restriction.kubernetes.io/前缀来防止kubelet设置或修改标签。
使用标签前缀进行Node隔离:
检查你的Kubernetes的版本是否是
v1.11 +(以便NodeRestriction可用)。确保你使用Node认证并启用NodeRestriction准入插件。
在
node-restriction.kubernetes.io/前缀下的标签添加到Node对象,并在node选择器中使用这些标签。例如:example.com.node-restriction.kubernetes.io/fips=true或example.com.node-restriction.kubernetes.io/pci-dss=true。
