摘要:本篇文章探讨了大数据技术之Kubernetes 新概念 “Initializers”能让你为集群编写插件的新模型,希望阅读本篇文章以后大家有所收获,帮助大家对相关内容的理解更加深入。
本篇文章探讨了大数据技术之Kubernetes 新概念 “Initializers”能让你为集群编写插件的新模型,希望阅读本篇文章以后大家有所收获,帮助大家对相关内容的理解更加深入。
<
Kubernetes v1.7 新增了 Initializers,它可以用来方便地扩展准入控制,今天的文章来自 Google Kubernetes 现役工程师 Ahmet Alp Balkan,让他带领我们详解 Initializer。上期将带大家做一个简单的了解,明白 Initializers 到底能为我们带来什么。
Kubernetes 如今能大展拳脚的原因有二:一是,因为他社区的无限优势;二是,源于 Kubernetes API 的灵活性,以及能轻而易举地在其上编写自定义扩展或者插件。而在本文中,我将深入剖析一个新的概念:Initalizers,它能在实际创建之前修改 Kubernetes 动态资源和可插拔方式。
Initializers 已经在 Kubernetes 1.7 中作为 Alpha 功能。举个例子来说,我们可以在 Google Container Engine 中使用 Intializers 来扩展 Kubernetes 的基础功能,也可以根据需求实现新的 initializers 设置。
到目前为止,Kubernetes 只有在 plug-in 创建之前用准入控制插件来拦截资源。例如,你可以使用一个准入插件来强制让所有容器镜像来自特定的注册表,并组织其他镜像被部署在 pod 中。有相当多的准入控制器提供的功能,如执行限制、应用创建检查,并为缺少的字段设置默认值。
但准入控制器也存在如下问题:
他们被编译在 Kubernetes:如果你寻找的目标缺失,你需要 fork Kubernetes,并且写一个准入插件,并自己保持 fork。
您需要通过将其名称传递给 kube-apiserver 的 –admission-control 标志来启用每个准入插件 。在很多情况下,这意味着重新部署集群。
某些托管集群的供应商可能不允许自定义 API 服务器标志,因此可能无法启用源代码中可用的所有准入控制器。
于是便提出了动态/外部准入控制器来解决这些问题。目前有两种类型的插件: Initializers 和 web 钩子。Initializers 类似于准入控制器 plug-ins, 你可以在创建资源之前截取它。但它们也与准入控制器 plug-ins 不同, 因为它们不是 Kubernetes 源代码的一部分, 也不是编译而成的。你需要自己写一个控制器。
你能用 Initializers 做什么?
当你在创建 Kubernetes 对象之前截取它们时, 存在着无穷的变数: 你可以以任何方式来变换对象, 或防止对象被创建。
以下是对 Initializers 的一些想法,每个都在你的集群中实施一个特定的策略:
如果该容器开放 80 端口或具有特定的注释, 则向该 pod 注入一个代理 sidecar 容器。
将带有测试证书的卷自动插入测试命名空间中的所有 pod。
如果一个隐藏密令少于 20 个字符(有可能是密码),则阻止其创建。
如果您不打算修改对象并拦截只读对象, web 钩子可能会是一个更快和更精简的选择来获取有关对象的通知。
上面列出的一些功能,例如注入 sidecar 容器或卷,也可以使用 Pod Presets 以牺牲灵活性来进行实现。
本文由职坐标整理发布,学习更多的相关知识,请关注职坐标IT知识库!
您输入的评论内容中包含违禁敏感词
我知道了
请输入正确的手机号码
请输入正确的验证码
您今天的短信下发次数太多了,明天再试试吧!
我们会在第一时间安排职业规划师联系您!
您也可以联系我们的职业规划师咨询:
版权所有 职坐标-一站式IT培训就业服务领导者 沪ICP备13042190号-4
上海海同信息科技有限公司 Copyright ©2015 www.zhizuobiao.com,All Rights Reserved.
沪公网安备 31011502005948号