Kf requiere Kubernetes y varios otros proyectos de OSS para ejecutarse. Se pueden satisfacer algunas de las dependencias con los servicios administrados por Google, por ejemplo, Google Kubernetes Engine (GKE) proporciona Kubernetes.
Dependencias
Obtén detalles de CRD
Kf admite el subcomando explain
de kubectl
. Te permite enumerar los campos en las CRD de Kf para comprender cómo crear objetos de Kf a través de la automatización en lugar de la manual. Este comando se diseñó para usarse con Config Management a fin de automatizar la creación y la administración de recursos como espacios en muchos clústeres. Puedes usarla en cualquiera de los componentes kinds
a continuación.
En este ejemplo, examinamos el kind
llamado space
en la CRD de spaces
:
kubectl explain space.spec
La salida es similar a la siguiente:
$ kubectl explain space.spec
KIND: Space
VERSION: kf.dev/v1alpha1
RESOURCE: spec <Object>
DESCRIPTION:
SpaceSpec contains the specification for a space.
FIELDS:
buildConfig <Object>
BuildConfig contains config for the build pipelines.
networkConfig <Object>
NetworkConfig contains settings for the space's networking environment.
runtimeConfig <Object>
RuntimeConfig contains settings for the app runtime environment.
Componentes de Kf
Kf instala varios de sus propios
recursos personalizados
y controladores de Kubernetes.
Los recursos personalizados funcionan de forma efectiva como la API de Kf y los usa la CLI de kf
para interactuar con el sistema. Los controladores usan CRD de Kf para organizar los otros componentes del sistema.
Puedes ver los CRD que instaló y usó Kf con el siguiente comando:
kubectl api-resources --api-group=kf.dev
Este es el resultado de ese comando:
NAME SHORTNAMES APIGROUP NAMESPACED KIND
apps kf.dev true App
builds kf.dev true Build
clusterservicebrokers kf.dev false ClusterServiceBroker
routes kf.dev true Route
servicebrokers kf.dev true ServiceBroker
serviceinstancebindings kf.dev true ServiceInstanceBinding
serviceinstances kf.dev true ServiceInstance
spaces kf.dev false Space
Aplicaciones
Las apps representan una aplicación de doce factores implementada en Kubernetes. Incluyen el código fuente, la configuración y el estado actual de la aplicación. Las aplicaciones son responsables de la conciliación:
- Kf Builds
- Kf Routes
- Implementaciones de Kubernetes
- Servicios de Kubernetes
- Cuentas de servicio de Kubernetes
- Secretos de Kubernetes
Puedes enumerar apps con Kf o kubectl
:
kf apps
kubectl get apps -n space-name
Compilaciones
Las compilaciones combinan el código fuente y la configuración de compilación para apps. Proporcionan a Tekton TaskRuns los pasos correctos para activar una compilación de Buildpack V2, Buildpack V3 o de Dockerfile.
Puedes enumerar compilaciones con Kf o kubectl
:
kf builds
kubectl get builds -n space-name
ClusterServiceBrokers
Los ClusterServiceBrokers contienen la información de conexión necesaria para extender Kf con un agente del servicio. Se encargan de recuperar el catálogo de servicios que el agente proporciona y de mostrarlos en el resultado de kf marketplace
.
Puedes enumerar ClusterServiceBokers con kubectl
:
kubectl get clusterservicebrokers
Rutas
Las rutas son una estructura de alto nivel que contiene reglas de enrutamiento HTTP. Se encargan de conciliar los VirtualServices de Istio.
Puedes enumerar rutas con Kf o kubectl
:
kf routes
kubectl get routes -n space-name
ServiceBrokers
Los ServiceBrokers contienen información de conexión necesaria para extender Kf con un agente del servicio. Se encargan de recuperar el catálogo de servicios que el agente proporciona y de mostrarlos en el resultado de kf marketplace
.
Puedes enumerar ServiceBrokers con kubectl
:
kubectl get servicebrokers -n space-name
ServiceInstanceBinding
Los ServiceInstanceBinding contienen los parámetros para crear una vinculación en un agente del servicio y las credenciales que muestra el agente para la vinculación. Se encargan de llamar a la API de vinculación en el agente para vincular el servicio.
Puedes enumerar los ServiceInstanceBindings con Kf o kubectl
:
kf bindings
kubectl get serviceinstancebindings -n space-name
ServiceInstance
Las ServiceInstance contienen los parámetros para crear un servicio en un agente del servicio. Son responsables de llamar a la API de aprovisionamiento en el agente para crear el servicio.
Puedes enumerar las ServiceInstance con Kf o kubectl
:
kf services
kubectl get serviceinstances -n space-name
Spaces
Los Spaces contienen información de configuración de forma similar a las organizaciones y los espacios de Cloud Foundry. Se encargan de lo siguiente:
- Crear el espacio de nombres de Kubernetes en el que se aprovisionan otros recursos de Kf
- Crear NetworkPolicies de Kubernetes para aplicar las políticas de conexión de red
- Conservar la configuración y las políticas para compilaciones, apps y rutas
Puedes enumerar los Spaces con Kf o kubectl
:
kf spaces
kubectl get spaces
Kf RBAC / Permisos
En las siguientes secciones, se enumeran los permisos para que Kf y sus componentes tengan el acceso correcto a nivel de clúster. Estos permisos son obligatorios y están habilitados de forma predeterminada en Kf; no intentes inhabilitarlos.
Componentes | Espacio de nombres | Cuenta de servicio |
---|---|---|
controller |
kf | controlador |
subresource-apiserver |
kf | controlador |
webhook |
kf | controlador |
appdevexperience-operator |
appdevexperience | appdevexperience-operator |
Ten en cuenta que la cuenta de servicio appdevexperience-operator
tiene el mismo conjunto de permisos que controller
. El operador es el que implementa todos los componentes de Kf, incluidos los controladores y las definiciones de recursos controladores personalizados.
RBAC para cuentas de servicio de Kf
En las siguientes definiciones de apiGroup
, se detalla qué componentes de permisos de control de acceso en Kf tienen qué grupos y recursos de API para las cuentas de servicio controller
y appdevexperience-operator
.
- apiGroups:
- "authentication.k8s.io"
resources:
- tokenreviews
verbs:
- create
- apiGroups:
- "authorization.k8s.io"
resources:
- subjectaccessreviews
verbs:
- create
- apiGroups:
- ""
resources:
- pods
- services
- persistentvolumeclaims
- persistentvolumes
- endpoints
- events
- configmaps
- secrets
verbs: *
- apiGroups:
- ""
resources:
- services
- services/status
verbs:
- create
- delete
- get
- list
- watch
- apiGroups:
- "apps"
resources:
- deployments
- daemonsets
- replicasets
- statefulsets
verbs: *
- apiGroups:
- "apps"
resources:
- deployments/finalizers
verbs:
- get
- list
- create
- update
- delete
- patch
- watch
- apiGroups:
- "rbac.authorization.k8s.io"
resources:
- clusterroles
- roles
- clusterrolebindings
- rolebindings
verbs:
- create
- delete
- update
- patch
- escalate
- get
- list
- deletecollection
- bind
- apiGroups:
- "apiregistration.k8s.io"
resources:
- apiservices
verbs:
- update
- patch
- create
- delete
- get
- list
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- topics
- topics/status
verbs: *
- apiGroups:
- ""
resources:
- namespaces
- namespaces/finalizers
- serviceaccounts
verbs:
- get
- list
- create
- update
- watch
- delete
- patch
- watch
- apiGroups:
- "autoscaling"
resources:
- horizontalpodautoscalers
verbs:
- create
- delete
- get
- list
- update
- patch
- watch
- apiGroups:
- "coordination.k8s.io"
resources:
- leases
verbs: *
- apiGroups:
- "batch"
resources:
- jobs
- cronjobs
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- "messaging.cloud.google.com"
resources:
- channels
verbs:
- delete
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- pullsubscriptions
verbs:
- delete
- get
- list
- watch
- create
- update
- patch
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- [pullsubscriptions/status
verbs:
- get
- update
- patch
- apiGroups:
- "events.cloud.google.com"
resources: *
verbs: *
- apiGroups:
- "keda.k8s.io"
resources: *
verbs: *
- apiGroups:
- "admissionregistration.k8s.io"
resources:
- mutatingwebhookconfigurations
- validatingwebhookconfigurations
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "extensions"
resources:
- ingresses
- ingresses/status
verbs: *
- apiGroups:
- ""
resources:
- endpoints/restricted
verbs:
- create
- apiGroups:
- "certificates.k8s.io"
resources:
- certificatesigningrequests
- certificatesigningrequests/approval
- certificatesigningrequests/status
verbs:
- update
- create
- get
- delete
- apiGroups:
- "apiextensions.k8s.io"
resources:
- customresourcedefinitions
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "networking.k8s.io"
resources:
- networkpolicies
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- ""
resources:
- nodes
verbs:
- get
- list
- watch
- update
- patch
- apiGroups:
- ""
resources:
- nodes/status
verbs:
- patch
En la siguiente tabla, se muestra cómo se usan los permisos de RBAC en Kf, en los que sucede lo siguiente:
- view incluye los verbos: get, list, watch
- modify incluye los verbos: create, update, delete, patch
Permisos | Razones |
---|---|
Puede ver todos los secrets |
Los conciliadores de Kf deben leer Secrets para funcionalidades como la creación de espacio y la vinculación de instancias de servicio. |
Puede modificar pods |
Los conciliadores de Kf deben modificar los Pods para funcionalidades como la compilación y el envío de apps y tareas. |
Puede modificar secrets |
Los conciliadores de Kf deben modificar Secrets para funcionalidades como la compilación y el envío de apps y tareas y la vinculación de instancias de servicio. |
Puede modificar configmaps |
Los conciliadores de Kf deben modificar los mapas de configuración para funcionalidades como la compilación y el envío de apps y tareas. |
Puede modificar endpoints |
Los conciliadores de Kf deben modificar los extremos para funcionalidades como la compilación y el envío de apps y la vinculación de rutas. |
Puede modificar services |
Los conciliadores de Kf deben modificar Pods para funcionalidades como la compilación y el envío de apps y la vinculación de rutas. |
Puede modificar events |
El controlador de Kf crea y emite eventos para los recursos que administra Kf. |
Puede modificar serviceaccounts |
Kf debe modificar las cuentas de servicio para las implementaciones de apps. |
Puede modificar endpoints/restricted |
Kf debe modificar los extremos para las implementaciones de apps. |
Puede modificar deployments |
Kf debe modificar las implementaciones para funcionalidades como el envío de apps. |
Puede modificar mutatingwebhookconfiguration |
Cloud Service Mesh, una dependencia de Kf, necesita Mutatingwebhookconfiguration para los webhooks de admisión. |
Puede modificar customresourcedefinitions customresourcedefinitions/status |
Kf administra recursos a través de recursos personalizados como apps, espacios y compilaciones. |
Puede modificar horizontalpodautoscalers |
Kf admite el ajuste de escala automático basado en Horizontal Pod Autoscalers. |
Puede modificar namespace/finalizer |
Kf debe establecer la referencia del propietario de los webhooks. |
Bibliotecas de terceros
El código fuente y las licencias de las bibliotecas de terceros se pueden encontrar en el directorio /third_party
de cualquier imagen de contenedor de Kf.
También puedes ejecutar kf third-party-licenses
para ver las licencias de terceros de la versión de la CLI de Kf que descargaste.