node隔离/限制 - Kubernetes

半兽人 发表于: 2019-08-08   最后更新时间: 2019-08-22  

通过给Node添加标签,使得Pod定位到这些特定的Node上。这样来确保特定pod仅在具有特定隔离,安全性或监管属性的Node上运行。

注意:为此目的使用标签时,强烈建议不要通过kubelet进程修改的标签键。这可以防止受损节点使用其kubelet凭据在其自己的Node对象上设置这些标签,并影响调度程序以将Pod调度到受损节点上。

通过使用NodeRestriction准入插件node-restriction.kubernetes.io/前缀来防止kubelet设置或修改标签。

使用标签前缀进行Node隔离:

  1. 检查你的Kubernetes的版本是否是v1.11 +(以便NodeRestriction可用)。

  2. 确保你使用Node认证并启用NodeRestriction准入插件

  3. node-restriction.kubernetes.io/前缀下的标签添加到Node对象,并在node选择器中使用这些标签。例如:example.com.node-restriction.kubernetes.io/fips=trueexample.com.node-restriction.kubernetes.io/pci-dss=true



您需要解锁本帖隐藏内容请: 点击这里
本帖隐藏的内容




上一条: Kubernetes内置的节点标签
下一条: 亲和和反亲和 - Kubernetes(k8s)