Kubernetes 入门
1. Kubernetes 生产环境
2. Kubernetes 最佳实践
Kubernetes 概述
1. Kubernetes 简介
2. Kubernetes 组件
3. Kubernetes API
Kubernetes 安装
1. Kubernetes Linux安装
2. Kubernetes macOS安装
3. Kubernetes Windows安装
Kubernetes 对象
1. Kubernetes 对象简介
2. Kubernetes 对象管理
3. Kubernetes 对象名称和IDs
4. Kubernetes 名字空间
5. Kubernetes 标签和选择算符
6. Kubernetes 注解
7. Kubernetes Finalizers
8. Kubernetes 字段选择器
9. Kubernetes 属主与附属
10. Kubernetes 推荐使用的标签
Kubernetes 架构
1. Kubernetes 节点
2. Kubernetes 控制面到节点通信
3. Kubernetes 控制器
4. Kubernetes 云控制器管理器
5. Kubernetes 垃圾收集
6. Kubernetes 容器运行时接口（CRI）
Kubernetes 容器
1. Kubernetes 镜像
2. Kubernetes 容器环境
3. Kubernetes 容器运行时类（Runtime Class）
4. Kubernetes 容器生命周期回调
Kubernetes Pods
1. Kubernetes Pod的生命周期
2. Kubernetes Init容器
3. Kubernetes Pod拓扑分布约束
4. Kubernetes 干扰（Disruptions）
5. Kubernetes 临时容器
Kubernetes 工作负载资源
1. Kubernetes Deployments
2. Kubernetes ReplicaSet
3. Kubernetes StatefulSets
4. Kubernetes DaemonSet
5. Kubernetes Jobs
6. Kubernetes 已完成 Job 的自动清理
7. Kubernetes CronJob
8. Kubernetes ReplicationController
Kubernetes 服务、负载均衡和联网
1. Kubernetes 使用拓扑键实现拓扑感知的流量路由
2. Kubernetes 服务
3. Kubernetes Pod 与 Service 的 DNS
4. Kubernetes 使用 Service 连接到应用
5. Kubernetes Ingress
6. Kubernetes Ingress 控制器
7. Kubernetes 拓扑感知提示
8. Kubernetes 服务内部流量策略
9. Kubernetes 端点切片（Endpoint Slices）
10. Kubernetes 网络策略
11. Kubernetes IPv4/IPv6 双协议栈
Kubernetes 存储
1. Kubernetes 卷
2. Kubernetes 持久卷
3. Kubernetes 投射卷
4. Kubernetes 临时卷
5. Kubernetes 存储类
Kubernetes 配置
1. Kubernetes 配置最佳实践
2. Kubernetes ConfigMap
3. Kubernetes Secret
4. Kubernetes 为 Pod 和容器管理资源
5. Kubernetes 使用 kubeconfig 文件组织集群访问
6. Kubernetes Windows 节点的资源管理
Kubernetes 安全
1. Kubernetes 云原生安全概述
2. Kubernetes Pod安全性标准
3. Kubernetes Pod安全性准入
4. Kubernetes Pod安全策略
5. Kubernetes Windows节点的安全性
6. Kubernetes API访问控制
7. Kubernetes 基于角色的访问控制良好实践
Kubernetes 策略
1. Kubernetes 限制范围
2. Kubernetes 资源配额
3. Kubernetes 进程ID约束与预留
4. Kubernetes 节点资源管理器
Kubernetes 调度，抢占和驱逐
1. Kubernetes 调度器
2. Kubernetes 将Pod指派给节点
3. Kubernetes Pod开销
4. Kubernetes 污点和容忍度
5. Kubernetes Pod优先级和抢占
6. Kubernetes 节点压力驱逐
7. Kubernetes API发起的驱逐
8. Kubernetes 扩展资源的资源装箱
9. Kubernetes 调度框架
10. Kubernetes 调度器性能调优
Kubernetes 集群管理
1. Kubernetes 管理资源
2. Kubernetes 集群网络系统
3. Kubernetes 系统组件指标
4. Kubernetes 日志架构
5. Kubernetes 系统日志
6. Kubernetes 追踪系统组件
7. Kubernetes 代理
8. Kubernetes API优先级和公平性
9. Kubernetes 安装扩展（Addons）
Kubernetes 扩展
1. Kubernetes 扩展API
  1. Kubernetes 定制资源
  2. Kubernetes 通过聚合层扩展API
2. Kubernetes Operator模式
3. Kubernetes 计算、存储和网络扩展
  1. Kubernetes 网络插件
  2. Kubernetes 设备插件
4. Kubernetes 服务目录
Kubernetes 应用故障排除
1. Kubernetes 调试Pod
2. Kubernetes 调试Service
3. Kubernetes 调试StatefulSet
4. Kubernetes 调试Init容器
5. Kubernetes 确定Pod失败的原因
6. Kubernetes 获取正在运行容器的Shell
7. Kubernetes 调试运行中的Pod
Kubernetes 集群故障排查
1. Kubernetes 资源指标管道
2. Kubernetes 节点健康监测
3. Kubernetes 使用crictl对Kubernetes节点进行调试
4. Kubernetes Windows调试提示
5. Kubernetes 使用telepresence在本地开发和调试服务
6. Kubernetes 审计
7. Kubernetes 资源监控工具
Kubernetes 管理集群
1. Kubernetes 从dockershim迁移
  1. Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
  2. Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
  3. Kubernetes CNI插件相关错误故障排除
  4. Kubernetes 查明节点上所使用的容器运行时
  5. Kubernetes 检查弃用Dockershim是否对你有影响
  6. Kubernetes 从dockershim迁移遥测和安全代理
2. Kubernetes 用kubeadm进行管理
  1. Kubernetes 使用kubeadm进行证书管理
  2. Kubernetes 配置cgroup驱动
  3. Kubernetes 重新配置kubeadm集群
  4. Kubernetes 升级kubeadm集群
  5. Kubernetes 添加Windows节点
  6. Kubernetes 升级Windows节点
3. Kubernetes 手动生成证书
4. Kubernetes 管理内存，CPU和API资源
  1. Kubernetes 为命名空间配置默认的内存请求和限制
  2. Kubernetes 为命名空间配置默认的CPU请求和限制
  3. Kubernetes 配置命名空间的最小和最大内存约束
  4. Kubernetes 为命名空间配置CPU最小和最大约束
  5. Kubernetes 为命名空间配置内存和CPU配额
  6. Kubernetes 配置命名空间下Pod配额
5. Kubernetes 安装网络策略驱动
  1. Kubernetes 使用Antrea提供NetworkPolicy
  2. Kubernetes 使用Calico提供NetworkPolicy
  3. Kubernetes 使用Cilium提供NetworkPolicy
  4. Kubernetes 使用kube-router提供NetworkPolicy
  5. Kubernetes 使用Romana提供NetworkPolicy
  6. Kubernetes 使用Weave Net提供NetworkPolicy
6. Kubernetes IP Masquerade Agent用户指南
7. Kubernetes 云管理控制器
8. Kubernetes 验证签名的容器镜像
9. Kubernetes 运行 etcd 集群
10. Kubernetes 为系统守护进程预留计算资源
11. Kubernetes 为节点发布扩展资源
12. Kubernetes 以非root用户身份运行Kubernetes节点组件
13. Kubernetes 使用CoreDNS进行服务发现
14. Kubernetes 使用KMS驱动进行数据加密
15. Kubernetes 使用Kubernetes API访问集群
16. Kubernetes 使用NUMA感知的内存管理器
17. Kubernetes 保护集群
18. Kubernetes 关键插件Pod的调度保证
19. Kubernetes 升级集群
20. Kubernetes 名字空间演练
21. Kubernetes 启用/禁用Kubernetes API
22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
23. Kubernetes 在Kubernetes集群中使用sysctl
24. Kubernetes 在运行中的集群上重新配置节点的kubelet
25. Kubernetes 在集群中使用级联删除
26. Kubernetes 声明网络策略
27. Kubernetes 安全地清空一个节点
28. Kubernetes 开发云控制器管理器
29. Kubernetes 开启服务拓扑
30. Kubernetes 控制节点上的CPU管理策略
31. Kubernetes 控制节点上的拓扑管理策略
32. Kubernetes 改变默认StorageClass
33. Kubernetes 更改PersistentVolume的回收策略
34. Kubernetes 自动扩缩集群DNS服务
35. Kubernetes 自定义DNS服务
36. Kubernetes 调试DNS问题
37. Kubernetes 迁移多副本的控制面以使用云控制器管理器
38. Kubernetes 通过名字空间共享集群
39. Kubernetes 通过配置文件设置Kubelet参数
40. Kubernetes 配置API对象配额
41. Kubernetes 限制存储消耗
42. Kubernetes 静态加密Secret数据
Kubernetes 配置Pods和容器
1. Kubernetes 为容器和Pod分配内存资源
2. Kubernetes 为Windows Pod和容器配置GMSA
3. Kubernetes 为Windows的Pod和容器配置RunAsUserName
4. Kubernetes 为容器和Pods分配CPU资源
5. Kubernetes 创建Windows HostProcess Pod
6. Kubernetes 配置Pod的服务质量
7. Kubernetes 为容器分派扩展资源
8. Kubernetes 配置Pod以使用卷进行存储
9. Kubernetes 配置Pod以使用PersistentVolume作为存储
10. Kubernetes 配置Pod使用投射卷作存储
11. Kubernetes 为Pod或容器配置安全上下文
12. Kubernetes 为Pod配置服务账户
13. Kubernetes 从私有仓库拉取镜像
14. Kubernetes 配置存活、就绪和启动探测器
15. Kubernetes 将Pod分配给节点
16. Kubernetes 用节点亲和性把Pods分配到节点
17. Kubernetes 配置Pod初始化
18. Kubernetes 为容器的生命周期事件设置处理函数
19. Kubernetes 配置Pod使用ConfigMap
20. Kubernetes 在Pod中的容器之间共享进程命名空间
21. Kubernetes 创建静态Pod
22. Kubernetes 将Docker Compose文件转换为Kubernetes资源
23. Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
24. Kubernetes 使用名字空间标签来实施Pod安全性标准
25. Kubernetes 通过配置内置准入控制器实施Pod安全标准
Kubernetes 管理Kubernetes对象
1. Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
2. Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
3. Kubernetes 使用指令式命令管理Kubernetes对象
4. Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
5. Kubernetes 使用kubectl patch更新API对象
Kubernetes 管理Secrets
1. Kubernetes 使用kubectl管理Secret
2. Kubernetes 使用配置文件管理Secret
3. Kubernetes 使用Kustomize管理Secret
Kubernetes 给应用注入数据
1. Kubernetes 为容器设置启动时要执行的命令和参数
2. Kubernetes 为容器设置环境变量
3. Kubernetes 定义相互依赖的环境变量
4. Kubernetes 通过环境变量将Pod信息呈现给容器
5. Kubernetes 通过文件将Pod信息呈现给容器
6. Kubernetes 使用Secret安全地分发凭证
Kubernetes 运行应用
1. Kubernetes 使用Deployment运行一个无状态应用
2. Kubernetes 运行一个单实例有状态应用
3. Kubernetes 运行一个有状态的应用程序
4. Kubernetes 删除StatefulSet
5. Kubernetes 强制删除StatefulSet中的Pods
6. Kubernetes Pod水平自动扩缩
7. Kubernetes HorizontalPodAutoscaler演练
8. Kubernetes 为应用程序设置干扰预算（Disruption Budget）
9. Kubernetes 从Pod中访问Kubernetes API
10. Kubernetes 扩缩StatefulSet
Kubernetes 运行Jobs
1. Kubernetes 使用CronJob运行自动化任务
2. Kubernetes 使用工作队列进行粗粒度并行处理
3. Kubernetes 使用工作队列进行精细的并行处理
4. Kubernetes 使用索引作业完成静态工作分配下的并行处理
5. Kubernetes 使用展开的方式进行并行处理
Kubernetes 访问集群中的应用程序
1. Kubernetes 部署和访问Kubernetes仪表板（Dashboard）
2. Kubernetes 访问集群
3. Kubernetes 使用端口转发来访问集群中的应用
4. Kubernetes 使用服务来访问集群中的应用
5. Kubernetes 使用Service把前端连接到后端
6. Kubernetes 创建外部负载均衡器
7. Kubernetes 列出集群中所有运行容器的镜像
8. Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
9. Kubernetes 为集群配置DNS
10. Kubernetes 同Pod内的容器使用共享卷通信
11. Kubernetes 访问集群上运行的服务
12. Kubernetes 配置对多集群的访问
Kubernetes 扩展Kubernetes
1. Kubernetes 使用自定义资源
  1. Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
  2. Kubernetes CustomResourceDefinition的版本
2. Kubernetes 配置聚合层
3. Kubernetes 安装一个扩展的API server
4. Kubernetes 配置多个调度器
5. Kubernetes 使用HTTP代理访问Kubernetes API
6. Kubernetes 使用SOCKS5代理访问Kubernetes API
7. Kubernetes 设置Konnectivity服务
Kubernetes TLS
1. Kubernetes 为kubelet配置证书轮换
2. Kubernetes 手动轮换CA证书
3. Kubernetes 管理集群中的TLS认证
Kubernetes 管理集群守护进程
1. Kubernetes 对DaemonSet执行滚动更新
2. Kubernetes 对DaemonSet执行回滚
Kubernetes 安装服务目录
1. Kubernetes 使用Helm安装Service Catalog
2. Kubernetes 使用SC安装服务目录
Kubernetes 网络
1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
2. Kubernetes 验证IPv4/IPv6双协议栈
Kubernetes 任务
1. Kubernetes 调度GPUs
2. Kubernetes 管理巨页（HugePages）
3. Kubernetes 配置kubelet镜像凭据提供程序
4. Kubernetes 用插件扩展kubectl
Kubernetes 安全
1. Kubernetes 使用AppArmor限制容器对资源的访问
2. Kubernetes 在集群级别应用Pod安全标准
3. Kubernetes 在名字空间级别应用Pod安全标准
4. Kubernetes 使用seccomp限制容器的系统调用
Kubernetes 无状态应用程序
1. Kubernetes 公开外部IP地址以访问集群中应用程序
2. Kubernetes 示例：使用Redis部署PHP留言板应用程序
Kubernetes 有状态的应用
1. Kubernetes StatefulSet基础
2. Kubernetes 示例：使用Persistent Volumes部署WordPress和MySQL
3. Kubernetes 示例：使用StatefulSet部署Cassandra
4. Kubernetes 运行ZooKeeper，一个分布式协调系统
Kubernetes Service
1. Kubernetes 使用源IP

Kubernetes 从dockershim迁移遥测和安全代理

2022-06-02 09:57 更新

从 dockershim 迁移遥测和安全代理

Kubernetes 对与 Docker Engine 直接集成的支持已被弃用并将被删除。大多数应用程序不直接依赖于托管容器的运行时。但是，仍然有大量的遥测和监控代理依赖 docker 来收集容器元数据、日志和指标。本文汇总了一些信息和链接：信息用于阐述如何探查这些依赖，链接用于解释如何迁移这些代理去使用通用的工具或其他容器运行。

遥测和安全代理

在 Kubernetes 集群中，有几种不同的方式来运行遥测或安全代理。一些代理在以 DaemonSet 的形式运行或直接在节点上运行时，直接依赖于 Docker Engine。

为什么有些遥测代理会与 Docker Engine 通信？

从历史上看，Kubernetes 是专门为与 Docker Engine 一起工作而编写的。 Kubernetes 负责网络和调度，依靠 Docker Engine 在节点上启动并运行容器（在 Pod 内）。一些与遥测相关的信息，例如 pod 名称，只能从 Kubernetes 组件中获得。其他数据，例如容器指标，不是容器运行时的责任。早期遥测代理需要查询容器运行时和 Kubernetes 以报告准确的信息。随着时间的推移，Kubernetes 获得了支持多种运行时的能力，现在支持任何兼容容器运行时接口的运行时。

一些代理和 Docker 工具紧密绑定。比如代理会用到 docker ps 或 docker top 这类命令来列出容器和进程，用 docker logs 订阅 Docker 的日志。如果现有集群中的节点使用 Docker Engine，在你切换到其它容器运行时的时候，这些命令将不再起作用。

识别依赖于 Docker Engine 的 DaemonSet

如果某 Pod 想调用运行在节点上的 dockerd，该 Pod 必须满足以下两个条件之一：

将包含 Docker 守护进程特权套接字的文件系统挂载为一个卷；或
直接以卷的形式挂载 Docker 守护进程特权套接字的特定路径。

举例来说：在 COS 镜像中，Docker 通过 /var/run/docker.sock 开放其 Unix 域套接字。这意味着 Pod 的规约中需要包含 hostPath 卷以挂载 /var/run/docker.sock。

下面是一个 shell 示例脚本，用于查找包含直接映射 Docker 套接字的挂载点的 Pod。你也可以删掉 grep '/var/run/docker.sock' 这一代码片段以查看其它挂载信息。

kubectl get pods --all-namespaces \
-o=jsonpath='{range .items[*]}{"\n"}{.metadata.namespace}{":\t"}{.metadata.name}{":\t"}{range .spec.volumes[*]}{.hostPath.path}{", "}{end}{end}' \
| sort \
| grep '/var/run/docker.sock'

Note: 对于 Pod 来说，访问宿主机上的 Docker 还有其他方式。例如，可以挂载 /var/run 的父目录而非其完整路径（就像这个例子）。上述脚本只检测最常见的使用方式。

检测节点代理对 Docker 的依赖性

在你的集群节点被定制、且在各个节点上均安装了额外的安全和遥测代理的场景下，一定要和代理的供应商确认：该代理是否依赖于 Docker。

遥测和安全代理的供应商

我们通过谷歌文档提供了为各类遥测和安全代理供应商准备的持续更新的迁移指导。请与供应商联系，获取从 dockershim 迁移的最新说明。

以上内容是否对您有帮助：

← Kubernetes 检查弃用Dockershim是否对你有影响

Kubernetes 使用kubeadm进行证书管理 →

写笔记

我要补充