图表上的集群资源
卡巴斯基容器安全可扫描并显示集群的资源及其之间的链接。此扫描针对所有具有活动代理的集群执行。
集群资源是存储在编排器中并用于表示集群状态的实体或对象。在它们的帮助下,您可以获得有关正在运行的容器化应用程序的信息、它们的启动位置(节点)以及对其可用的资源。集群对象还可定义用于管理正在运行的应用程序的策略(例如,重新启动或更新)。
在卡巴斯基容器安全的界面中,最高级别的对象(父对象)是集群。它包括在其中启动应用程序的命名空间。反过来,应用程序包括 Pod 和其他对象。
集群是一组运行容器化应用程序的实体机或虚拟机(节点)。在 Kubernetes 中节点分为以下类型:
- 主节点实现 API 对象并用于管理集群及其资源。
- 工作节点用于运行工作负载。一个集群包含一个或多个工作节点。
卡巴斯基容器安全将集群显示为使用集群图标的图表()。
根据您想要集群资源显示的详细程度,卡巴斯基容器安全将图表显示为命名空间图表或应用程序图表。下表列出了可能包含在集群中并显示在图表上的所有对象。
集群内的对象
对象 |
图标 |
描述 |
---|---|---|
命名空间 |
|
用于隔离集群内资源的机制。命名空间包含单个工作区所需的各种对象(例如,部署、服务)。 卡巴斯基容器安全可以在图表上对命名空间进行分组,并显示这样的一组对象,指示其中的实体数量(例如, |
Pod |
|
包含一个或多个具有共享网络资源的容器的实体,以及一组用于运行 Pod 中包含的容器的规则。 |
应用程序 |
|
集群中的一组对象,在卡巴斯基容器安全中通常被视为单个实体。 该应用程序由以下对象组成:
单个 Pod 不构成应用程序。它们继续作为命名空间的一部分发挥作用,并在图表上单独显示。 |
部署 |
|
包含一组规则的对象,描述了 Pod 及在其中的应用程序的运行、Pod 副本的数量以及在其特性发生变化时替换它们的顺序。 |
DaemonSet |
|
负责在集群的所有节点上从同一映像创建和运行 Pod 的对象。在卡巴斯基容器安全中,DaemonSet 用于在集群的每个节点上部署代理(node-agent)来接收信息并管理 Pod 中的进程。 |
Ingress |
|
提供对集群中服务的外部访问的对象,通常通过 HTTP 和 HTTPS 进行。 |
ReplicaSet |
|
管理 Pod 复制的对象。ReplicaSet 维护一定数量的相同 Pod。 |
Secret |
|
用于存储敏感数据(例如密码、令牌或密钥)的对象。Secret 有助于避免将此类数据存储在应用程序代码中。 Secret 是与使用此类对象存储敏感数据的 Pod 分开创建的。这降低了在创建、查看或编辑 Pod 时泄露 Secret 的风险。 |
服务 |
|
描述 Pod 中应用程序的网络功能的对象。服务将 Pod 组合成逻辑组,向它们转发流量,并在它们之间平衡负载。 |
端点 |
|
服务对象查询以确定将流量引导到哪些 Pod 的网络端点列表。 |
StatefulSet |
|
用于通过跟踪和保存应用程序状态来管理应用程序的工作负载对象。 StatefulSet 用于需要以下功能的应用程序:
|
ConfigMap |
|
用于以键值对形式存储非敏感数据的对象。ConfigMap 在 Pod 中用作环境变量、命令行参数或卷内的配置文件。 使用 ConfigMap 可以将特定于环境的配置设置与容器中的镜像分开,以提高应用程序的可转移性。 |
持久卷(PV) |
|
用于在集群中存储 Pod 数据的专用持久资源(卷)。PV 独立于 Pod,存储其中包含的信息,并在实现多路访问时允许其他 Pod 使用该信息。 |
持久卷申领(PVC) |
|
用户生成的存储具有持久卷 (PV) 要求的数据的请求。例如,PVC 可以指定所需的持久卷的大小以及访问其中的数据的模式(例如,单次读取访问或多次读/写访问)。 |