Kf richiede Kubernetes e diversi altri progetti open source per funzionare. Alcune dipendenze sono soddisfatte dei servizi gestiti da Google, ad esempio Google Kubernetes Engine (GKE) offre ad esempio Kubernetes.
Dipendenze
Visualizzare i dettagli del CRD
Kf supporta il sottocomando kubectl
explain
. Ti consente di elencare i campi nei CRD di Kf per capire come creare oggetti Kf tramite l'automazione anziché manualmente tramite la CLI. Questo comando è progettato per essere utilizzato con Config Management per automatizzare la creazione e la gestione di risorse come Spazi in molti cluster. Puoi utilizzarlo per qualsiasi componente kinds
riportato di seguito.
In questo esempio, esaminiamo il kind
denominato space
nel CRD spaces
:
kubectl explain space.spec
L'output è simile al seguente:
$ kubectl explain space.spec
KIND: Space
VERSION: kf.dev/v1alpha1
RESOURCE: spec <Object>
DESCRIPTION:
SpaceSpec contains the specification for a space.
FIELDS:
buildConfig <Object>
BuildConfig contains config for the build pipelines.
networkConfig <Object>
NetworkConfig contains settings for the space's networking environment.
runtimeConfig <Object>
RuntimeConfig contains settings for the app runtime environment.
Componenti di kf
Kf installa diverse risorse personalizzate e controller Kubernetes.
Le risorse personalizzate fungono efficacemente da API Kf e vengono utilizzate dall'interfaccia a riga di comando kf
per interagire con il sistema. I controller utilizzano le CRD di Kf per orchestrare gli altri componenti del sistema.
Puoi visualizzare i CRD installati e utilizzati da Kf eseguendo il seguente comando:
kubectl api-resources --api-group=kf.dev
L'output di questo comando è il seguente:
NAME SHORTNAMES APIGROUP NAMESPACED KIND
apps kf.dev true App
builds kf.dev true Build
clusterservicebrokers kf.dev false ClusterServiceBroker
routes kf.dev true Route
servicebrokers kf.dev true ServiceBroker
serviceinstancebindings kf.dev true ServiceInstanceBinding
serviceinstances kf.dev true ServiceInstance
spaces kf.dev false Space
App
Le app rappresentano un'applicazione a 12 fattori implementata in Kubernetes. Includono il codice sorgente, la configurazione e lo stato corrente dell'applicazione. Le app sono responsabili della riconciliazione:
- Kf Builds
- Percorsi Kf
- Deployment Kubernetes
- Servizi Kubernetes
- Account di servizio Kubernetes
- Kubernetes Secrets
Puoi elencare le app utilizzando Kf o kubectl
:
kf apps
kubectl get apps -n space-name
Build
Le build combinano il codice sorgente e la configurazione di build per le app. Eseguono il provisioning delle esecuzioni di task Tekton con i passaggi corretti per attivare una compilazione di Buildpack V2, Buildpack V3 o Dockerfile.
Puoi elencare le build utilizzando Kf o kubectl
:
kf builds
kubectl get builds -n space-name
ClusterServiceBrokers
ClusterServiceBrokers contiene le informazioni di connessione necessarie per estendere
Kf con un broker di servizi. Sono responsabili
recuperare il catalogo dei servizi forniti dall'intermediario e mostrarli in
l'output di kf marketplace
.
Puoi elencare ClusterServiceBrokers utilizzando kubectl
:
kubectl get clusterservicebrokers
Route
Le route sono una struttura di alto livello che contiene regole di routing HTTP. Sono responsabili della riconciliazione dei VirtualService di Istio.
Puoi elencare le route utilizzando Kf o kubectl
:
kf routes
kubectl get routes -n space-name
ServiceBrokers
ServiceBrokers contiene le informazioni di connessione necessarie per estendere
Kf con un broker di servizi. Sono responsabili del recupero del catalogo dei servizi forniti dal broker e della loro visualizzazione nell'output di kf marketplace
.
Puoi elencare i ServiceBroker utilizzando kubectl
:
kubectl get servicebrokers -n space-name
ServiceInstanceBinding
ServiceInstanceBindings contiene i parametri per creare un'associazione su un servizio e le credenziali che l'intermediario restituisce per l'associazione. Sono responsabile di chiamare l'API bind sul broker per vincolare il servizio.
Puoi elencare ServiceInstanceBindings utilizzando Kf o kubectl
:
kf bindings
kubectl get serviceinstancebindings -n space-name
ServiceInstance
ServiceInstances contiene i parametri per creare un servizio su un service broker. È responsabile della chiamata all'API di provisioning sul broker per creare il servizio.
Puoi elencare le istanze di servizio utilizzando Kf o kubectl
:
kf services
kubectl get serviceinstances -n space-name
Spazi
Gli spazi contengono informazioni di configurazione simili a quelle delle organizzazioni Cloud Foundry e spazi di archiviazione. Sono responsabili di:
- Creazione dello spazio dei nomi Kubernetes in cui viene eseguito il provisioning delle altre risorse Kf.
- Creazione di NetworkPolicy Kubernetes per l'applicazione dei criteri di connessione di rete.
- Blocco della configurazione e dei criteri per build, app e route.
Puoi elencare gli spazi utilizzando Kf o kubectl
:
kf spaces
kubectl get spaces
Kf RBAC / Autorizzazioni
Le sezioni seguenti elencano le autorizzazioni necessarie per consentire a Kf e ai suoi componenti di avere accesso corretto a livello di cluster. Queste autorizzazioni sono obbligatorie e abilitate per impostazione predefinita in Kf; cosa fare non provare a disattivarle.
Componenti | Spazio dei nomi | Account di servizio |
---|---|---|
controller |
kf | controller |
subresource-apiserver |
kf | controller |
webhook |
kf | controller |
appdevexperience-operator |
appdevexperience | appdevexperience-operator |
Tieni presente che l'account di servizio appdevexperience-operator
ha lo stesso insieme di autorizzazioni di controller
. L'operatore è ciò che esegue il deployment
tra cui controller e definizioni di risorse personalizzate.
RBAC per account di servizio Kf
Le seguenti definizioni di apiGroup
descrivono in dettaglio il controllo dell'accesso
che i componenti delle autorizzazioni in Kf hanno su quali gruppi API e risorse per controller
e appdevexperience-operator
di account di servizio.
- apiGroups:
- "authentication.k8s.io"
resources:
- tokenreviews
verbs:
- create
- apiGroups:
- "authorization.k8s.io"
resources:
- subjectaccessreviews
verbs:
- create
- apiGroups:
- ""
resources:
- pods
- services
- persistentvolumeclaims
- persistentvolumes
- endpoints
- events
- configmaps
- secrets
verbs: *
- apiGroups:
- ""
resources:
- services
- services/status
verbs:
- create
- delete
- get
- list
- watch
- apiGroups:
- "apps"
resources:
- deployments
- daemonsets
- replicasets
- statefulsets
verbs: *
- apiGroups:
- "apps"
resources:
- deployments/finalizers
verbs:
- get
- list
- create
- update
- delete
- patch
- watch
- apiGroups:
- "rbac.authorization.k8s.io"
resources:
- clusterroles
- roles
- clusterrolebindings
- rolebindings
verbs:
- create
- delete
- update
- patch
- escalate
- get
- list
- deletecollection
- bind
- apiGroups:
- "apiregistration.k8s.io"
resources:
- apiservices
verbs:
- update
- patch
- create
- delete
- get
- list
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- topics
- topics/status
verbs: *
- apiGroups:
- ""
resources:
- namespaces
- namespaces/finalizers
- serviceaccounts
verbs:
- get
- list
- create
- update
- watch
- delete
- patch
- watch
- apiGroups:
- "autoscaling"
resources:
- horizontalpodautoscalers
verbs:
- create
- delete
- get
- list
- update
- patch
- watch
- apiGroups:
- "coordination.k8s.io"
resources:
- leases
verbs: *
- apiGroups:
- "batch"
resources:
- jobs
- cronjobs
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- "messaging.cloud.google.com"
resources:
- channels
verbs:
- delete
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- pullsubscriptions
verbs:
- delete
- get
- list
- watch
- create
- update
- patch
- apiGroups:
- "pubsub.cloud.google.com"
resources:
- [pullsubscriptions/status
verbs:
- get
- update
- patch
- apiGroups:
- "events.cloud.google.com"
resources: *
verbs: *
- apiGroups:
- "keda.k8s.io"
resources: *
verbs: *
- apiGroups:
- "admissionregistration.k8s.io"
resources:
- mutatingwebhookconfigurations
- validatingwebhookconfigurations
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "extensions"
resources:
- ingresses
- ingresses/status
verbs: *
- apiGroups:
- ""
resources:
- endpoints/restricted
verbs:
- create
- apiGroups:
- "certificates.k8s.io"
resources:
- certificatesigningrequests
- certificatesigningrequests/approval
- certificatesigningrequests/status
verbs:
- update
- create
- get
- delete
- apiGroups:
- "apiextensions.k8s.io"
resources:
- customresourcedefinitions
verbs:
- get
- list
- create
- update
- patch
- delete
- watch
- apiGroups:
- "networking.k8s.io"
resources:
- networkpolicies
verbs:
- get
- list
- create
- update
- patch
- delete
- deletecollection
- watch
- apiGroups:
- ""
resources:
- nodes
verbs:
- get
- list
- watch
- update
- patch
- apiGroups:
- ""
resources:
- nodes/status
verbs:
- patch
La tabella seguente elenca come vengono utilizzate le autorizzazioni RBAC in Kf, dove:
- view include i verbi: get, list, watch
- modify include i verbi: create, update, delete, patch
Autorizzazioni | Motivi |
---|---|
Può visualizzare tutti i secrets |
I riconciliatori Kf devono leggere i secret per funzionalità come la creazione di spazi e l'associazione delle istanze di servizio. |
Può modificare pods |
I riconciliatori Kf devono modificare i pod per funzionalità come la creazione/il push di app e Tasks. |
Può modificare secrets |
I riconciliatori di Kf devono modificare i secret per funzionalità come la compilazione/l'invio di app e attività e il binding delle istanze di servizio. |
Può modificare configmaps |
I riconciliatori Kf devono modificare le mappe di configurazione per funzionalità come la compilazione/l'invio di app e attività. |
Può modificare endpoints |
I riconciliatori Kf devono modificare gli endpoint per funzionalità come la compilazione/l'invio di app e la definizione di route. |
Può modificare services |
I riconciliatori Kf devono modificare i pod per funzionalità come la creazione/il push di app e l'associazione delle route. |
Può modificare events |
Il controller Kf crea ed emette eventi per le risorse gestite da Kf. |
Può modificare serviceaccounts |
Kf deve modificare gli account di servizio per i deployment delle app. |
Può modificare endpoints/restricted |
Kf deve modificare gli endpoint per i deployment delle app. |
Può modificare deployments |
Kf deve modificare i deployment per funzionalità come il push delle app. |
Può modificare mutatingwebhookconfiguration |
La configurazione Mutatingwebhook è necessaria per Cloud Service Mesh, una dipendenza Kf, per i webhook di ammissione. |
Può modificare
customresourcedefinitions customresourcedefinitions/status |
Kf gestisce le risorse tramite risorse personalizzate come app, spazi e build. |
Può modificare horizontalpodautoscalers |
Kf supporta la scalabilità automatica basata su Horizontal Pod Autoscaler. |
Può modificare namespace/finalizer |
Kf deve impostare il riferimento del proprietario dei webhook. |
Librerie di terze parti
Il codice sorgente e le licenze delle librerie di terze parti sono disponibili nella /third_party
directory di qualsiasi immagine contenitore Kf.
Puoi anche eseguire kf third-party-licenses
per visualizzare le licenze di terze parti per
la versione dell'interfaccia a riga di comando Kf che hai scaricato.