关于pod权限的信息

搭建一个k8s单机版,yaml已经创建好,但Pod状态一直处于pend

1、资源不足：原因：如果集群中的资源不足，pod可能无法被调度到任何节点上，从而处于Pending状态。解决方法：检查集群的资源使用情况，确保有足够的资源可供POD使用。可以考虑增加节点或调整Pod的资源请求和限制。调度问题：原因：调度器可能由于某些原因无法找到合适的节点来部署Pod。

2、假设一位机器学习研究人员想要在PyTorch环境中使用基于python的GPU进行测试，她请求她的工程团队提供一个带有两个GPU的Jupyter笔记本，以及她所有的库。然而，工程团队告诉她这需要三天时间，包括获取GPU、创建堆栈以及授予对JupyterHub的访问权限。

3、针对k8s 10版本中coreDNS一直处于pending状态的问题，本文提供了一系列解决方案。首先，需要注意的是，当使用kubeadm init后，关闭cni可以解决部分问题。在进行kubeadm init操作前，应该在其他节点上也执行此操作，确保整个系统的一致性。对于kube-flAnnel.yml文件的修改，是一种推荐的解决方案。

4、编写YAML资源清单：首先，需要编写一个YAML文件，定义Pod的配置信息，包括容器镜像、资源限制、环境变量、存储卷等。使用kubectl APPly命令创建：通过kubectl命令行工具，使用apply命令将YAML文件应用到Kubernetes集群中，kubernetes会根据定义创建Pod。

5、在Kubernetes（K8s）中，当pod状态显示为“ContainerCreating”，这意味着pod已经由调度器分配至特定节点，该节点的kubelet正在创建容器。在此阶段，系统会进行容器创建操作。一旦所有容器启动并运行，pod状态将从“ContainerCreating”转变为“Running”。

云原生安全系列-RBAC配置不当风险

RBAC配置不当的风险主要包括以下几点：权限提升与逃逸攻击：创建Pod权限风险：若配置不当，拥有创建Pod权限的用户或Pod可能通过特权容器逃逸到Node，进而控制整个集群或执行其他恶意操作。敏感数据泄露：list secrets权限风险：此权限允许用户获取集群中的敏感Token和其他重要信息，可能导致数据泄露或被用于执行危险操作。

现代应用程序开发与部署的急剧增长，促使了对安全性的更高需求。公共云供应商积极提升平台安全性，以避免成为攻击目标。然而，云原生应用程序中存在服务信任陷阱，即在逻辑上互信的服务，从安全角度看存在风险。为了解决这一挑战，云原生应用程序应遵循最小特权原则。

云原生是一种基于云计算特性的应用服务设计理念，而微服务架构是云原生应用常见的一种构建方式。关于云原生： 定义：云原生并不特指某一种技术，而是一种架构设计理念。它强调应用应充分利用云计算的特性，如弹性扩展、按需付费等，以提高应用的安全性、扩展性、迭代速度和运维效率。

RBAC是一种通过用户在组织中的角色来管理对计算机或网络资源访问权限的方法。Kubernetes在5版本中引入了RBAC，并在6版本升级为Beta版本，现在已成为Kubeadm安装方式下的默认选项。RBAC通过使用rbac.authorization.k8s.io API组驱动权限决策，允许动态配置策略。

k8s中Pod状态及问题排查方法

含义：调度器未能将 Pod 调度到可用节点。可能原因：节点资源不足或 Pod 依赖的资源未准备好。排查方法：检查节点资源使用情况及资源预留情况，确保集群有足够的 CPU 和其他资源。CrashLoopBackoff 状态：含义：容器在启动后立即崩溃或退出。可能原因：容器配置错误、应用程序错误、内存不足或权限问题。

解决方法：仔细检查Pod的YAML配置文件，确保语法正确且配置合理。可以使用kubectl describe pod 命令查看Pod的详细信息，以获取更多关于错误的信息。总结：Pod状态一直处于Pending通常是由于资源不足、调度问题、镜像拉取问题、权限问题或配置错误等原因导致的。

如果原因是Pod无法安装请求的卷，请确保清单适当地指定其详细信息并确保Pod可以访问存储卷。或者，如果该节点没有足够的资源，则手动从该节点删除Pod，以便将Pod调度到另一个节点上。否则，可以扩展节点资源容量。如果使用nodeSelector安排Pod在Kubernetes集群中的特定节点上运行，就会发生这种情况。

Pod驱逐 节点资源不足时，K8s驱逐内存敏感型Pod。优化资源配额和限制值，避免资源被耗尽。Pod失联 Pod处于Unknown状态，无法获取信息。检查Kubelet状态，修复节点问题。无法被删除 Pod执行删除操作后长时间处于Terminating状态。排查删除操作和集群状态，确保删除流程顺利。

要排查镜像拉取问题，可使用kubectl describe pod命令检查pod事件，寻找“Failed to pull image”或“ImagePullBackOff”事件，表明镜像拉取存在问题。资源不足时，使用kubectl describe node命令检查节点资源状态。检查持久卷（PVC）状态，确保其STATUS为“Bound”，表明存储供应无问题。

LivenessProbe支持三种探测方式：通过exec命令检查文件状态（如示例一），如cat /tmp/healthy，如果文件状态改变，容器会被视为不健康。例如，一个Pod在30秒内文件状态正常，35秒后显示失败，容器被重启。

k8s之Pod安全策略

1、开启PodSecurityPolicy准入控制器，集群默认不允许创建任何Pod，需创建PodSecurityPolicy和RBAC授权策略。修改kube-apiserver配置文件以开启此功能。创建PodSecurityPolicy时，可设定不支持特权模式等条件，如需创建特权模式Pod，创建时将提示错误。配置正确后，Pod可成功创建。

2、Pod 的 dns 策略包括以下几种：需要注意的是，这里有一个容易误解的地方：乍看之下，很多人可能会认为 Default 是默认选项。但事实上，Default 并非默认值！默认值实际上是 ClusterFirst。也就是说，如果没有明确指定 dnsPolicy，系统将自动使用 ClusterFirst。

3、因此，在部署Kubernetes时，需要关闭防火墙或对防火墙进行特定配置，以确保集群内部通信的畅通。 降低安全配置复杂度：虽然防火墙对系统安全有重要作用，但在Kubernetes集群中，安全策略通常通过网络策略和Pod安全策略等机制来实现。关闭防火墙可以降低安全配置的复杂度，提高运维效率。

4、RBAC：为Kubernetes集群添加额外的安全层，限制用户和应用程序的访问和准入。网络策略：明确声明和决定哪些流量是允许的，哪些是不允许的，保护Kubernetes环境。高可用性和负载均衡：高可用性配置：确保Kubernetes集群具有高可用性，如使用多主机和多ETCd集群。

5、通过指定镜像和标签，避免使用默认的 latest 标签，可以确保在pod中使用的容器镜像是固定的，从而提高安全性。在安全加固过程中，还需要关注资源限制，确保单个容器不能使用节点上的所有资源，避免影响集群中其他容器的性能。

6、Never策略：正常或非正常停止，容器都不会重启。停止tomcat后，正常情况下容器状态保持，非正常时显示Error状态。OnFailure策略：正常关闭无影响，非正常关闭（退出码非0）时，容器会重启。关闭Tomcat时，正常情况不重启，非正常情况会根据退出码进行重启。