如果我在命名空间中有一个微服务应用程序,我可以使用 k8s api 轻松获取该命名空间中的所有命名空间资源。但是,我无法查看微服务应用程序正在使用哪些非命名空间资源。如果我想查看我的非命名空间资源,我只能一次查看它们,而没有指示哪些是微服务应用程序中的依赖项。
如何找到与我的申请相关的依赖项?我希望能够引用应用程序的命名空间资源正在使用的 PersistentVolumes、StorageClasses、ClusterRoles 等内容。
问问题
155 次
2 回答
0
这绝对是一项不平凡的任务,因为可以通过多种方式dependency发挥作用:每当一个对象“使用”另一个对象时,我们就可以识别出依赖关系。问题是这种“使用”关系可以采取多种形式:例如,aPod可以在其定义中引用 a Volume(这将是一种直接依赖关系),但也可以使用 a PersistentVolumeClaim,然后PV通过使用 a 实例化 a StorageClass--并且这些关系仅在运行时应用 YAML 定义时为 Kubernetes 所知。
换句话说:
- 为了追逐依赖关系,您必须检查正在使用的资源的 YAML 描述,了解每个资源的语义:每个资源都没有单个
depends:值,但需要遵循例如a 的spec.storageClassaPVC、spec.volumes:a 的 aPod等。 - 在某些情况下,这甚至还不够:例如,对于匹配
Services,Pods这甚至还不够,因为必须匹配每一侧的端口。 - 所有这些都需要通过从正在运行的 K8s 集群中提取 YAML 来完成,因为资源之间的某些关系在它们被实例化之前是未知的。
您可以检查如何在 Kubernetes YAML 文件中可视化依赖项?Daniele Polencic 的文章展示了一些可用于可视化依赖关系的工具:
没有任何静态工具可以分析 YAML 文件。但是您可以使用 Weave Scope、KubeView或使用Istio跟踪流量在集群中可视化您的依赖关系。
于 2021-03-15T15:35:56.143 回答
0
您的代码在命名空间内的 pod 容器中运行,使用使用pod.spec.serviceAccountName设置的服务帐户运行。 如果未设置,它将使用默认的 serviceaccount 运行。
您需要创建一个clusterRole以授予对集群范围资源特定动词的访问权限,然后在 pod 命名空间中,通过针对之前创建的clusterRole的 roleBinding 将此 clusterRole 分配给服务帐户。
然后,您的 pod,使用 kubernetes 客户端,并使用“集群内配置”身份验证方法,将能够查询 apiserver 以获取/列出/监视/删除/补丁……上述集群范围的资源。
于 2021-03-10T00:39:19.217 回答