Für Kf sind Kubernetes und mehrere andere OSS-Projekte erforderlich. Einige der Abhängigkeiten werden mit von Google verwalteten Diensten erfüllt – beispielsweise stellt Google Kubernetes Engine (GKE) Kubernetes bereit.
Abhängigkeiten
CRD-Details abrufen
Kf unterstützt den Unterbefehl kubectl
explain
. Damit können Sie die Felder in Kf-CRDs auflisten, um zu erfahren, wie Kf-Objekte über Automatisierung erstellt werden, anstatt manuell über die CLI. Dieser Befehl ist für die Verwendung mit Config Management vorgesehen, um die Erstellung und Verwaltung von Ressourcen wie Spaces in vielen Clustern zu automatisieren. Sie können ihn für jede der nachstehenden kinds
-Komponenten verwenden.
In diesem Beispiel untersuchen wir den kind
namens space
in der spaces
-CRD:
kubectl explain space.spec
Die Ausgabe sieht etwa so aus:
$ kubectl explain space.spec
KIND: Space
VERSION: kf.dev/v1alpha1
RESOURCE: spec <Object>
DESCRIPTION:
SpaceSpec contains the specification for a space.
FIELDS:
buildConfig <Object>
BuildConfig contains config for the build pipelines.
networkConfig <Object>
NetworkConfig contains settings for the space's networking environment.
runtimeConfig <Object>
RuntimeConfig contains settings for the app runtime environment.
Kf-Komponenten
kf installiert einige seiner eigenen benutzerdefinierten Ressourcen und Controller von Kubernetes.
Die benutzerdefinierten Ressourcen dienen effektiv als Kf API und werden von der kf
-Befehlszeile verwendet, um mit dem System zu interagieren. Die Controller verwenden die CRDs von Kf, um die anderen Komponenten im System zu orchestrieren.
Mit dem folgenden Befehl können Sie die von Kf installierten und verwendeten CRDs anzeigen lassen:
kubectl api-resources --api-group=kf.dev
Die Ausgabe dieses Befehls sieht so aus:
NAME SHORTNAMES APIGROUP NAMESPACED KIND
apps kf.dev true App
builds kf.dev true Build
clusterservicebrokers kf.dev false ClusterServiceBroker
routes kf.dev true Route
servicebrokers kf.dev true ServiceBroker
serviceinstancebindings kf.dev true ServiceInstanceBinding
serviceinstances kf.dev true ServiceInstance
spaces kf.dev false Space
Apps
Anwendungen stellen eine Twelve-Factor-Anwendung in Kubernetes bereit. Sie umfassen Quellcode, Konfiguration und den aktuellen Status der Anwendung. Apps müssen für den Abgleich verwendet werden:
- Kf-Builds
- Kf-Routes
- Kubernetes-Deployments
- Kubernetes-Dienste
- Kubernetes-Dienstkonten
- Kubernetes-Secrets
Sie können Anwendungen mithilfe von Kf oder kubectl
auflisten:
kf apps
kubectl get apps -n space-name
Builds
Builds kombinieren den Quellcode und die Build-Konfiguration für Anwendungen. Sie stellen Tekton TaskRuns mit den richtigen Schritten bereit, mit denen ein Buildpack V2, Buildpack V3 oder Dockerfile-Build erstellt wird.
Sie können Builds mit Kf oder kubectl
auflisten:
kf builds
kubectl get builds -n space-name
ClusterServiceBrokers
ClusterServiceBrokers enthalten die erforderlichen Verbindungsinformationen, um Kf mit einem Service Broker zu erweitern. Sie sind dafür verantwortlich, den Katalog der Dienste, die der Broker bereitstellt, abzurufen und in der Ausgabe von kf marketplace
anzuzeigen.
Sie können ClusterServiceBrokers mit kubectl
auflisten:
kubectl get clusterservicebrokers
Routen
Routen sind eine allgemeine Struktur, die HTTP-Routingregeln enthält. Sie sind für den Abgleich von Istio VirtualServices verantwortlich.
Sie können Routes mit Kf oder kubectl
auflisten:
kf routes
kubectl get routes -n space-name
ServiceBrokers
ServiceBrokers enthalten die erforderlichen Verbindungsinformationen, um Kf mit einem Service Broker zu erweitern. Sie sind dafür verantwortlich, den Katalog der Dienste, die der Broker bereitstellt, abzurufen und in der Ausgabe von kf marketplace
anzuzeigen.
Sie können ServiceBrokers mit kubectl
auflisten:
kubectl get servicebrokers -n space-name
ServiceInstanceBinding
ServiceInstanceBindings enthalten die Parameter zum Erstellen einer Bindung für einen Dienstbroker und die Anmeldedaten, die der Broker für die Bindung zurückgibt. Sie sind für den Aufruf der bind API auf dem Broker verantwortlich, um den Dienst zu binden.
Sie können ServiceInstanceBindings mit Kf oder kubectl
auflisten:
kf bindings
kubectl get serviceinstancebindings -n space-name
ServiceInstance
ServiceInstances enthalten die Parameter zum Erstellen eines Dienstes in einem Service Broker. Sie müssen die Provisioning API auf dem Broker aufrufen, um den Dienst zu erstellen.
Sie können ServiceInstances mit Kf oder kubectl
auflisten:
kf services
kubectl get serviceinstances -n space-name
Spaces
Spaces enthalten Konfigurationsinformationen, die den Cloud Foundry-Organisationen und -Bereichen ähneln. Sie sind verantwortlich für:
- das Erstellen des Kubernetes-Namespace, in dem andere Kf-Ressourcen bereitgestellt werden.
- das Erstellen der Kubernetes-NetworkPolicies, um Netzwerkverbindungsrichtlinien zu erzwingen.
- das Halten der Konfiguration und Richtlinie für Builds, Anwendungen und Routen.
Sie können Spaces mit Kf oder kubectl
auflisten:
kf spaces
kubectl get spaces
Kf-RBAC / Berechtigungen
In den folgenden Abschnitten werden die Berechtigungen für Kf und seine Komponenten für den richtigen Zugriff auf Clusterebene aufgeführt. Diese Berechtigungen sind in Kf standardmäßig erforderlich und aktiviert. Versuchen Sie nicht, sie zu deaktivieren.
Komponenten | Namespace | Dienstkonto |
---|---|---|
controller |
kf | controller |
subresource-apiserver |
kf | controller |
webhook |
kf | controller |
appdevexperience-operator |
appdevexperience | appdevexperience-operator |
Beachten Sie, dass das Dienstkonto appdevexperience-operator
dieselben Berechtigungen wie controller
hat. Mit dem Operator werden alle Kf-Komponenten bereitgestellt, einschließlich benutzerdefinierter Ressourcendefinitionen und Controller.
RBAC für Kf-Dienstkonten
Die folgenden apiGroup
-Definitionen geben an, welche Zugriffssteuerungsberechtigungen Komponenten in Kf für welche API-Gruppen und -Ressourcen für die Dienstkonten controller
und appdevexperience-operator
haben.
- apiGroups:
- "authentication.k8s.io"
resources:
- tokenreviews
verbs:
- create
- apiGroups:
- "authorization.k8s.io"
resources:
- subjectaccessreviews
verbs:
- create
- apiGroups:
- ""
resources:
- pods
- services
- persistentvolumeclaims
- persistentvolumes
- endpoints
- events
- configmaps
- secrets
verbs: *
- apiGroups:
- ""
resources:
- services
- services/status
verbs:
- create
- delete
- get
- list
- watch
- apiGroups:
- "apps"
resources:
- deployments
- daemonsets
- replicasets
- statefulsets
verbs: *
- apiGroups:
- "apps"
resources:
- deployments/finalizers
verbs:
- get
- list
- create
- update
- delete
- patch
- watch
- apiGroups:
- "rbac.authorization.k8s.io"
resources:
- clusterroles
- roles
- clusterrolebindings
- rolebindings
verbs:
- create
- delete
- update
- patch
- escalate
- get
- list
- deletecollection
- bind
- apiGroups:
- "apiregistration.k8s.io"
resources:
- apiservices
verbs:
- update
- patch
- create
- delete
- get
- list
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- topics
- topics/status
verbs: *
- apiGroups:
- ""
resources:
- namespaces
- namespaces/finalizers
- serviceaccounts
verbs:
- get
- list
- create
- update
- watch
- delete
- patch
- watch
- apiGroups:
- "autoscaling"
resources:
- horizontalpodautoscalers
verbs:
- create
- delete
- get
- list
- update
- patch
- watch
- apiGroups:
- "coordination.k8s.io"
resources:
- leases
verbs: *
- apiGroups:
- "batch"
resources:
- jobs
- cronjobs
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- "messaging.cloud.google.com"
resources:
- channels
verbs:
- delete
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- pullsubscriptions
verbs:
- delete
- get
- list
- watch
- create
- update
- patch
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- [pullsubscriptions/status
verbs:
- get
- update
- patch
- apiGroups:
- "events.cloud.google.com"
resources: *
verbs: *
- apiGroups:
- "keda.k8s.io"
resources: *
verbs: *
- apiGroups:
- "admissionregistration.k8s.io"
resources:
- mutatingwebhookconfigurations
- validatingwebhookconfigurations
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "extensions"
resources:
- ingresses
- ingresses/status
verbs: *
- apiGroups:
- ""
resources:
- endpoints/restricted
verbs:
- create
- apiGroups:
- "certificates.k8s.io"
resources:
- certificatesigningrequests
- certificatesigningrequests/approval
- certificatesigningrequests/status
verbs:
- update
- create
- get
- delete
- apiGroups:
- "apiextensions.k8s.io"
resources:
- customresourcedefinitions
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "networking.k8s.io"
resources:
- networkpolicies
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- ""
resources:
- nodes
verbs:
- get
- list
- watch
- update
- patch
- apiGroups:
- ""
resources:
- nodes/status
verbs:
- patch
In der folgenden Tabelle ist die Verwendung der RBAC-Berechtigungen in Kf aufgeführt, wobei Folgendes gilt:
- view enthält die Verben: get, list, watch
- modify enthält die Verben: erstellen, aktualisieren, löschen, patchen
Berechtigungen | Gründe |
---|---|
Kann alle secrets ansehen |
Kf-Abgleicher müssen Secrets für Funktionen wie die Speicherplatzerstellung und die Bindung von Dienstinstanzen lesen. |
Kann pods bearbeiten |
Kf-Abgleicher müssen Pods für Funktionen wie das Erstellen/Übertragen von Anwendungen und Aufgaben ändern. |
Kann secrets bearbeiten |
Kf-Abgleicher müssen Secrets für Funktionen wie das Erstellen/Übertragen von Anwendungen und Aufgaben und die Bindung von Dienstinstanzen ändern. |
Kann configmaps bearbeiten |
Kf-Abgleicher müssen Configmaps für Funktionen wie das Erstellen/Übertragen von Apps und Aufgaben ändern. |
Kann endpoints bearbeiten |
Kf-Abgleicher müssen Endpunkte für Funktionen wie das Erstellen/Übertragen von Anwendungen und die Routenbindung ändern. |
Kann services bearbeiten |
Kf-Abgleicher müssen Pods für Funktionen wie das Erstellen/Übertragen von Anwendungen und die Routenbindung ändern. |
Kann events bearbeiten |
Kf-Controller erstellt Ereignisse für die von Kf verwalteten Ressourcen und gibt sie aus. |
Kann serviceaccounts bearbeiten |
Kf muss Dienstkonten für Anwendungsbereitstellungen ändern. |
Kann endpoints/restricted bearbeiten |
Kf muss Endpunkte für Anwendungsbereitstellungen ändern. |
Kann deployments bearbeiten |
Kf muss Bereitstellungen für Funktionen ändern, z. B. Anwendungen per Push übertragen. |
Kann mutatingwebhookconfiguration bearbeiten |
Mutatingwebhookconfiguration wird von Anthos Service Mesh, einer Kf-Abhängigkeit, für Zulassungs-Webhooks benötigt. |
Kann customresourcedefinitions customresourcedefinitions/status bearbeiten |
Kf verwaltet Ressourcen über benutzerdefinierte Ressourcen wie Anwendungen, Spaces und Builds. |
Kann horizontalpodautoscalers bearbeiten |
Kf unterstützt das Autoscaling anhand von Horizontalen Pod-Autoscalern. |
Kann namespace/finalizer bearbeiten |
Kf muss die Inhaberreferenz für Webhooks festlegen. |
Bibliotheken von Drittanbietern
Quellcode und Lizenzen von Drittanbietern finden Sie im Verzeichnis /third_party
eines beliebigen Kf-Container-Images.
Sie können auch kf third-party-licenses
ausführen, um die Drittanbieterlizenzen für die heruntergeladene Version der Kf-Befehlszeile anzuzeigen.