Anthos clusters on VMware ora è Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Abilita porta di sola lettura kubelet

Panoramica

Questo documento mostra come eseguire il deployment di un DaemonSet privilegiato in ogni nodo di Google Distributed Cloud per modificare i parametri di kubelet in modo da attivare le porte di sola lettura. Dalla versione 1.16 in poi, la porta di sola lettura kubelet è disabilitata per impostazione predefinita.

Prerequisito

Assicurati che Google Distributed Cloud sia integro prima di eseguire quanto segue lo script della patch. Puoi utilizzare questa soluzione per applicare patch ai cluster di amministrazione e ai cluster utente 1.16 e versioni successive.

Crea un file DaemonSet

Crea e salva un file DaemonSet denominato patch.yaml nella directory corrente con i seguenti contenuti:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: onprem-node-patcher
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: onprem-node-patcher
  updateStrategy:
    type: RollingUpdate
  template:
    metadata:
      labels:
        name: onprem-node-patcher
    spec:
      tolerations:
      - operator: Exists
      volumes:
      - name: host
        hostPath:
          path: /
      hostPID: true
      initContainers:
      - name: read-only-patcher
        image: "ubuntu"
        env:
        - name: KUBELET_READONLY_PORT
          value: "10255"
        # Number of 1G hugepages. Update the value as desired.
        command:
        - /bin/bash
        - -c
        - |
          set -xeuo pipefail
          configfile="/host/var/lib/kubelet/config.yaml"
          kubeletservice="/host/etc/systemd/system/kubelet.service"
          # $1: The read-only port for the kubelet to serve on with no
          #     authentication/authorization (set to 0 to disable)
          function set-readonly-port-in-config() {
            [[ "$#" -eq 1 ]] || return
            local readonlyport; readonlyport="$1"
            local actual; actual="$(grep readOnlyPort "${configfile}")"
            if [[ "${actual}" == "" ]]; then
              echo "readOnlyPort: ${readonlyport}" >> "${configfile}"
            else
              sed -E -i 's/readOnlyPort: [0-9]+/readOnlyPort: '"${readonlyport}"'/g' ${configfile}
            fi
            echo "Successfully append readOnlyPort: ${readonlyport} to ${configfile}"
          }
          sed -E -i 's/--read-only-port=[0-9]+/--read-only-port='"${KUBELET_READONLY_PORT}"'/g' ${kubeletservice}
          [[ -f ${configfile} ]] && set-readonly-port-in-config "${KUBELET_READONLY_PORT}"
          echo "Restarting kubelet..."
          chroot /host nsenter -a -t1 -- systemctl daemon-reload
          chroot /host nsenter -a -t1 -- systemctl restart kubelet.service
          echo "Success!"
        volumeMounts:
        - name: host
          mountPath: /host
        resources:
          requests:
            memory: 5Mi
            cpu: 5m
        securityContext:
          privileged: true
      containers:
      - image: gcr.io/google-containers/pause:3.2
        name: pause
      # Ensures that the pods will only run on the nodes having the correct
      # label.
      nodeSelector:
        "kubernetes.io/os": "linux"

Aggiorna il numero di porta di sola lettura

Per modificare il numero di porta, modifica manualmente la variabile di ambiente KUBELET_READONLY_PORT nel file YAML di DaemonSet.
La porta di sola lettura predefinita è 10255. Non selezionare 10250 poiché entra in conflitto con la porta sicura predefinita.

Applica le patch al cluster di amministrazione

   kubectl apply -f patch.yaml \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Applica le patch al cluster utente

   kubectl apply -f patch.yaml \
    --kubeconfig USER_CLUSTER_KUBECONFIG

Ripristina

Per disattivare la porta di sola lettura, modifica manualmente la variabile di ambiente KUBELET_READONLY_PORT nel file YAML di DaemonSet.
Dopo aver salvato le modifiche, il DaemonSet verrà eseguito nuovamente per modificare di conseguenza.

Limitazioni

Questa patch ha lo stesso ciclo di vita delle app di terze parti installate. Puoi eseguirlo in qualsiasi momento durante il secondo giorno. Tuttavia, potrebbe non persistere dopo la ricreazione nel cluster. Per rendere permanente questa modifica, esegui il deployment di questo DaemonSet come passaggio nell'azione di post-inizializzazione di Google Distributed Cloud.
Una volta eseguita una sola volta, il file di configurazione kubelet deve essere modificato ricaricato. Puoi eseguire in sicurezza kubectl delete -f patch.yaml per eseguire la pulizia delle risorse DaemonSet.
Google Distributed Cloud in esecuzione su Windows non supporta questa patch.
Kubernetes non esegue controlli di autenticazione o autorizzazione su questa porta non sicura 10255. Se lo abiliti, i dati kubelet non saranno protetti e esposti a utenti non autorizzati. Se kubelet serve lo stesso endpoint sulla porta autenticata più sicura 10250, valuta la possibilità di eseguire la migrazione a questa porta sicura.