kubesphere(容器管理平台) v3.0.0 官方版

　　KubeSphere是一款功能强大、简单易用的分布式操作系统，具有全栈自动IT操作和简化的DevOps工作流程，可帮助企业构建更强大且功能更丰富的平台，该软件绿色安全、免费开源，支持多维监视，可对系统操作事件和审核日志进行查询，便于用户对系统进行专业便捷的管理；KubeSphere多种存储解决方案，可帮助用户解决遇到的各种问题，该软件内置程序生命周期管理、监视、警报通知、访问控制、多集群部署等多种功能，可以说是一款功能非常丰富专业的分布式操作系统，有需要的用户可以下载使用。

软件功能

　　多租户管理

　　在KubeSphere中，资源（例如群集）可以在租户之间共享。首先，管理员或经理需要使用不同的权限设置不同的帐户角色。之后，可以为平台中的成员分配这些角色，以对各种资源执行特定的操作。同时，由于KubeSphere完全隔离了租户，因此它们根本不会相互影响。

　　多租户。它以统一的方式提供基于角色的细粒度身份验证以及三层授权系统。

　　统一身份验证。对于企业而言，KubeSphere与其基于LDAP或AD协议的中央身份验证系统兼容。还支持单点登录（SSO），以实现租户身份的统一身份验证。

　　授权系统。它分为三个级别：集群，工作区和项目。KubeSphere确保可以共享资源，同时完全隔离多个级别的不同角色以确保资源安全。

　　多维监控

　　KubeSphere具有带有图形界面的自更新监视系统，可简化操作和维护的整个过程。它提供了对各种资源的自定义监视，并包括一组警报，这些警报可以立即将任何发生的问题通知用户。

　　定制的监控仪表板。用户可以准确决定需要以哪种形式监视哪些工具。KubeSphere中提供了不同的模板供用户选择，例如Elasticsearch，MySQL和Redis。或者，他们也可以创建自己的监视模板，包括图表，颜色，间隔和单位。

　　运维友好。监视系统可以在具有开放标准API的可视化界面中操作，以供企业集成其现有系统。因此，他们可以统一实施运维。

　　第三方兼容性。KubeSphere与Prometheus兼容，Prometheus是用于在Kubernetes环境中进行监视的事实指标收集平台。监视数据可以在KubeSphere的Web控制台中无缝显示。

　　二级精度的多维监控

　　对于基础结构监视，系统提供全面的指标，例如CPU利用率，内存利用率，CPU负载平均值，磁盘使用率，inode利用率，磁盘吞吐量，IOPS，网络出站/入站速率，Pod状态，ETCD服务状态和API Server状态。

　　对于应用程序资源监视，系统提供了五个关键监视指标：CPU利用率，内存消耗，Pod数量，网络出站和入站速率。此外，用户可以通过自定义时间范围，根据资源消耗和搜索方式对数据进行排序。这样，可以快速定位发生的问题，以便用户可以采取必要的措施。

　　排名。用户可以按节点，工作空间和项目对数据进行排序，从而以直观的方式为他们的资源运行提供图形化视图。

　　组件监视。它使用户可以快速定位任何组件故障，以避免不必要的业务停机。

　　警报，事件，审核和通知

　　定制的警报策略和规则。警报系统基于多维指标的多租户监视。该系统将发送与诸如Pod，网络和工作负载之类的广泛资源有关的警报。在这方面，用户可以通过设置特定的规则（例如重复间隔和时间）来定制自己的警报策略。阈值和警报级别也可以由用户自己定义。

　　准确的事件跟踪。KubeSphere允许用户了解集群内部发生的事情，例如容器运行状态（成功或失败），节点调度和图像提取结果。它们会被准确记录，并在Web控制台中显示特定的原因，状态和消息。在生产环境中，这将帮助用户及时响应任何问题。

　　增强的审计安全性。由于KubeSphere具有对用户授权的细粒度管理，因此可以将资源和网络完全隔离以确保数据安全。全面的审核功能使用户可以搜索与任何操作或警报相关的活动。

　　多种通知方式。电子邮件是用户接收他们想知道的相关活动的通知的一种关键方法。可以根据用户自己设置的规则发送邮件，用户可以自定义发件人电子邮件地址及其收件人列表。此外，还支持其他渠道，例如Slack和WeChat，以满足我们用户的需求。因此，无论用户选择哪种渠道，KubeSphere都会为用户提供更多的通知首选项，因为他们会根据KubeSphere的最新开发进行更新。

　　日志查询与收集

　　多租户日志管理。在KubeSphere日志搜索系统中，不同的租户只能看到他们自己的日志信息。日志可以作为记录导出，以备将来参考。

　　多级日志查询。用户可以搜索与各种资源（例如项目，工作负荷和吊舱）相关的日志。提供灵活方便的日志收集配置选项。

　　多个日志收集器。用户可以选择日志收集器，例如Elasticsearch，Kafka和Fluentd。

　　磁盘上的日志收集。对于日志保存为Pod sidecar文件的应用程序，用户可以启用“磁盘日志收集”。

　　应用程序管理和编排

　　应用商店。KubeSphere提供了一个基于OpenPitrix的应用程序商店，OpenPitrix是业界领先的开源系统，用于在整个生命周期（包括发行，删除和分发）中进行应用程序管理。

　　应用程序存储库。在KubeSphere中，用户可以创建一个托管在对象存储（例如QingStor或AWS S3）或GitHub中的应用程序存储库。提交到应用程序存储库的应用程序包由应用程序的Helm Chart模板文件组成。

　　应用程序模板。有了应用程序模板，KubeSphere只需单击一下即可提供一种可视化的方法来部署应用程序。在内部，应用程序模板可以帮助企业中的不同团队共享中间件和业务系统。在外部，它们可以用作基于不同方案和需求的应用程序交付的行业标准。

软件特色

　　开源

　　一个经过CNCF认证的Kubernetes平台，100%开源，由社区构建和改进。

　　易于运行

　　可以部署在现有的Kubernetes集群或Linux机器上，支持在线安装和空口安装。

　　丰富的功能

　　在统一的平台上提供DevOps、服务网格、可观察性、应用管理、多租户、存储和网络管理。

　　模块化和可插拔

　　功能采用模块化设计，与平台松散耦合。根据自己的业务需求选择模块

官方教程

　　开始安装

　　在本教程中，您只需执行一个命令即可进行安装，其模板如下所示：

　　./kk create cluster [--with-kubernetes version] [--with-kubesphere version]

　　要创建安装了KubeSphere的Kubernetes集群，请参考以下命令作为示例：

　　./kk create cluster --with-kubernetes v1.17.9 --with-kubesphere v3.0.0

　　执行命令后，您将看到一个下表，用于环境检查。有关详细信息，请阅读上面的节点要求和依赖关系要求。输入yes继续。

　　步骤4：验证安装

　　当您看到以下输出时，表明安装已完成。

　　输入以下命令以检查结果。

　　kubectl logs -n kubesphere-system $(kubectl get pod -n kubesphere-system -l app=ks-install -o jsonpath='{.items[0].metadata.name}') -f

　　输出显示Web控制台的IP地址和端口号，NodePort 30880默认情况下通过此地址公开。现在，您可以使用EIP:30880默认帐户和密码（admin/P@88w0rd）访问控制台。

　　笔记您可能需要配置端口转发规则并在安全组中打开端口，以便外部用户可以访问控制台。

　　登录控制台后，您可以在组件中检查不同组件的状态。如果要使用相关服务，可能需要等待某些组件启动并运行。您还可以kubectl get pod --all-namespaces用来检查KubeSphere工作负载的运行状态。

　　部署KubeSphere

　　在确保您的机器满足前提条件之后，您可以按照以下步骤安装KubeSphere。

　　执行以下命令：

　　kubectl apply -f https://github.com/kubesphere/ks-installer/releases/download/v3.0.0/kubesphere-installer.yaml

　　kubectl apply -f https://github.com/kubesphere/ks-installer/releases/download/v3.0.0/cluster-configuration.yaml

　　检查安装日志：

　　kubectl logs -n kubesphere-system $(kubectl get pod -n kubesphere-system -l app=ks-install -o jsonpath='{.items[0].metadata.name}') -f

　　使用kubectl get pod --all-namespaces，看看是否所有的豆荚，在KubeSphere相关的命名空间运行正常。如果是，请30880通过以下命令检查控制台的端口（默认情况下）：

　　kubectl get svc/ks-console -n kubesphere-system

　　确保30880在您的安全组中打开了端口，并使用IP:30880默认帐户和密码（admin/P@88w0rd）通过NodePort（）访问Web控制台。

　　登录控制台后，您可以在组件中检查不同组件的状态。如果要使用相关服务，可能需要等待某些组件启动并运行。

　　步骤1：建立一个帐户

　　安装KubeSphere之后，您需要向平台添加具有不同角色的不同用户，以便他们可以在各种资源上以不同级别工作。最初，您只有一个默认帐户，即被admin授予角色platform-admin。第一步，您创建一个帐户，user-manager然后进一步创建更多帐户user-manager。

　　admin使用默认帐户和密码（admin/P@88w0rd）登录到Web控制台。

　　小费为了帐户安全，强烈建议您在首次登录控制台时更改密码。要更改密码，请在右上角的下拉菜单中选择用户设置。在“密码设置”中，设置一个新密码。您也可以在“用户设置”中更改控制台语言。

　　登录到控制台后，单击左上角的平台，然后选择访问控制。

　　在“帐户角色”中，有四个可用的内置角色，如下所示。接下来要创建的帐户将被分配角色users-manager。

　　在“帐户”中，单击“创建”。在弹出窗口中，提供所有必需的信息（带有*标记），然后users-manager为Role选择。请参考下图作为示例。

　　完成后，单击“确定”。新创建的帐户将显示在“帐户”中。

　　注销控制台，然后使用该帐户user-manager重新登录，以创建将在其他教程中使用的四个帐户。

　　小费要注销，请单击右上角的用户名，然后选择注销。

　　验证创建的四个帐户。

　　步骤2：创建一个工作区

　　在此步骤中，您将使用ws-manager上一步中创建的帐户创建一个工作区。作为项目，DevOps项目和组织成员管理的基本逻辑单元，工作区是KubeSphere多租户系统的基础。

　　登录到ws-manager具有管理平台上所有工作区权限的KubeSphere 。点击左上角的平台，然后选择访问控制。在“工作空间”中，您可以看到仅system-workspace列出了一个默认的工作空间，与系统相关的组件和服务在其中运行。您不允许删除此工作空间。

　　单击右侧的创建，命名新的工作空间demo-workspace，并将用户设置ws-admin为工作空间管理器，如下面的屏幕快照所示：

　　完成后，单击创建。

　　笔记如果启用了多集群功能，则需要为工作空间分配一个（或多个）可用集群，以便以后可以在该集群上创建项目。

　　注销控制台，然后以身份重新登录ws-admin。在“工作区设置”中，选择“工作区成员”，然后单击“邀请成员”。

　　同时邀请project-admin和project-regular进入工作区。分别授予他们角色workspace-self-provisioner和workspace-viewer。

　　笔记实际的角色名称遵循命名约定：-。例如，在这个名为demo-workspace的工作空间中，该角色的实际角色名称viewer为demo-workspace-viewer。

　　将project-admin和都添加project-regular到工作区之后，单击确定。在“工作空间成员”中，您可以看到列出的三个成员。

　　步骤3：建立专案

　　在此步骤中，您将使用project-admin上一步中创建的帐户创建一个项目。KubeSphere中的项目与Kubernetes中的名称空间相同，后者为资源提供了虚拟隔离。有关更多信息，请参见命名空间。

　　以身份登录到KubeSphere project-admin。在“项目”中，单击“创建”。

　　输入项目名称（例如demo-project），然后单击“确定”完成。您还可以为项目添加别名和描述。

　　在“项目”中，单击刚刚创建的项目以查看其详细信息。

　　在项目的“概述”页面上，默认情况下未设置项目配额。您可以单击“设置”，并根据需要指定资源请求和限制（例如1个CPU内核和1000Gi内存）。

　　邀请project-regular该项目并授予该用户角色operator。有关特定步骤，请参考下图。

　　信息被授予角色的用户operator将是项目维护者，他可以管理项目中用户和角色以外的资源。

　　创建前路线这是入口在Kubernetes，您需要启用这个项目的网关。网关是项目中运行的NGINX Ingress控制器。要设置网关，请转到“项目设置”中的“高级设置”，然后单击“设置网关”。该帐户project-admin仍在此步骤中使用。

　　选择访问方法NodePort，然后单击保存。

　　在“ Internet访问”下，可以看到页面上显示的是HTTP和https的网关地址以及NodePort。

　　笔记如果要使用类型公开服务LoadBalancer，则需要使用云提供商的LoadBalancer插件。如果您的Kubernetes集群在裸机环境中运行，建议您将PorterLB用作LoadBalancer插件。

　　步骤4：建立角色

　　完成上述步骤后，您将知道可以为用户授予不同级别的不同角色。先前步骤中使用的角色都是KubeSphere本身创建的内置角色。在此步骤中，您将学习如何定义自定义角色以满足工作需求。

　　admin再次登录到控制台，然后转到Access Control。

　　在“帐户角色”中，列出了四个不能删除或编辑的系统角色。单击创建并设置角色标识符。在此示例中，roles-manager将创建一个名为的角色。

　　笔记建议您输入角色说明，因为它说明了角色的用途。此处创建的角色将仅负责角色管理，包括添加和删除角色。

　　单击编辑授权以继续。

　　在“访问控制”中，选择要包含此角色的授权。例如，为此角色选择“用户视图”，“角色管理”和“角色视图”。单击确定以完成。

　　笔记“依赖”表示首先需要选择主要授权（“依赖于”之后列出的授权），以便可以分配关联授权。

　　新创建的角色将在“帐户角色”中列出。您可以单击右侧的三个点对其进行编辑。

　　在“帐户”中，您可以添加新帐户并通过编辑为其授予角色roles-manager或将现有帐户的角色更改为该角色roles-manager。

　　笔记角色roles-manager重叠，users-manager而后者也可以进行用户管理。本示例仅用于演示目的。您可以根据需要创建自定义角色。

　　步骤5：创建一个DevOps项目（可选）

　　笔记要创建DevOps项目，您必须预先安装KubeSphere DevOps系统，该系统是可插入的组件，提供CI / CD管道，二进制到映像，源到映像等。有关如何启用DevOps的更多信息，请参阅KubeSphere DevOps System。

　　以登录到控制台project-admin。在“ DevOps项目”中，单击“创建”。

　　输入DevOps项目名称（例如demo-devops），然后单击OK。您还可以为项目添加别名和描述。

　　在DevOps Projects中，单击刚刚创建的项目以查看其详细信息。

　　转到“项目管理”，然后选择“项目成员”。单击邀请成员以授予project-regular的角色，该角色operator允许创建管道和凭据。

更新日志

　　KubeSphere 3.0的新功能

　　多集群管理。随着我们迎来混合云时代，多集群管理已经成为我们时代的呼唤。它代表了Kubernetes上最必要的功能之一，因为它满足了我们用户的迫切需求。在最新版本3.0中，我们为KubeSphere配备了其独特的多集群功能，该功能可以为部署在不同云中的集群提供中央控制平面。用户可以导入和管理在主流基础架构提供商（例如Amazon EKS和Google Kubernetes Engine）的平台上创建的现有Kubernetes集群。通过简化运营和维护流程，这将大大降低我们用户的学习成本。Solo和Federation是多集群管理的两个特色模式，使KubeSphere在同类软件中脱颖而出。

　　改进的可观察性。我们增强了可观察性，因为它包括自定义监视，租户事件管理，多样化的通知方法（例如，微信和Slack）以及更多功能，变得更加强大。除其他外，用户现在可以自定义监视仪表板，并可以根据自己的需要选择各种度量和图形。还值得一提的是，KubeSphere 3.0与Prometheus兼容，Prometheus是云原生行业中Kubernetes监控的事实上的标准。

　　增强的安全性。安全始终是我们在KubeSphere中关注的重点之一。在这方面，功能增强可以归纳如下：

　　审核。记录将被保留，以跟踪谁在什么时间做什么。审计的支持非常重要，特别是对于金融和银行业等传统行业而言。

　　网络策略与隔离。网络策略允许在同一群集内进行网络隔离，这意味着可以在某些实例（Pods）之间设置防火墙。通过配置网络隔离来控制同一群集中Pod之间的流量和来自外部的流量，用户可以隔离具有增强安全性的应用程序。他们还可以决定是否可以从外部访问服务。

　　开放政策代理人。KubeSphere基于Open Policy Agent提供灵活，细粒度的访问控制。用户可以使用通用体系结构以统一的方式管理其安全性和授权策略。

　　OAuth 2.0。用户现在可以轻松地将第三方应用程序与OAuth 2.0协议集成在一起。

　　Web Console的多语言支持。KubeSphere最初是为全球用户设计的。多亏了我们遍布全球的社区成员，KubeSphere 3.0现在支持其Web控制台的四种官方语言：英语，简体中文，繁体中文和西班牙语。预计将来将支持更多语言。