6 天前 / reesunhuang
作者 | 白寂 阿里云开发工程师 导读:前三篇文章我们介绍了应用的开发和部署,那么在应用成功上云后,我就要面对应用的管理话题了,这一篇我们来看看如何做线上发布,并且是可灰度的。 相关文章推荐: 《SpringCloud 应用在 Kubernetes 上的最佳实践 —— 开发篇》 《SpringCloud 应用在 Kubernetes 上的最佳实践 — 部署篇 ( 开发部署)》 《SpringCloud 应用在 Kubernetes 上的最佳实践 — 部署篇 ( 工具部署)》 前言 在新版本上线时,无论是从产品稳定性还是用户对新版本的接受程度上考虑,直接将老应用升级到新版本应用都有很大风险的。
7 天前 / K8sMeetup
网络策略制定了 Pod 组之间以及与外部网络端点之间的通信,就像是 Kubernetes 的防火墙。本文针对网络策略,介绍了如何增强网络策略以控制出口(Egress)。 作者:Viswajith Venugopal 翻译:Bach(才云) 校对:bot(才云)、星空下的文仔(才云) Kubernetes 中的网络策略用于指定 Pod 组之间以及其与外部网络端点之间的通信,它就像是 Kubernetes 的防火墙。与大多数 Kubernetes 对象一样,网络策略非常灵活,功能也很强大。如果了解应用程序中服务的确切通信模式,我们就可以通过网络策略将通信限制在我们想要范围之内。
7 天前 / reesunhuang
本周四晚上 8 点,K3s 技术实践训练营第三期将准时开播!Rancher 中国研发团队出品的 IoT 设备管理开源项目 Octopus 首次线上 demo 啦!快来一睹芳容! 扫描下方二维码即可报名: 最近,我丈夫即将要去面试,他要在电脑上运行一些基本命令。他对面试很焦虑,但他学习和记忆事物的最好方法一直是把他不知道的东西等同于他非常熟悉的东西。因为我们的谈话发生逛超市期间,试图决定当晚做什么菜之后,突然启发了我把 kubectl 和 Helm 命令等同于一次普通的超市购物之行,于是这篇文章就诞生了。 首先,我先简单介绍一下 Helm 和 kubectl。
7 天前 / 崔秀龙
Kubernetes 中内置了 RBAC、SecurityContext、PodSecurityPolicy 几个对象,用于为集群的运维和运营工作提供安全支持,那么为什么还要出现 Gatekeeper、Kyverno、Polaris 等策略系统呢?答案呼之欲出——不够用。首先看看几个内置手段的工作范围。 RBAC 这是一个最基础的访问控制手段,它的任务就是描述“谁”能把“什么”“怎么样”。 谁:这个主语通常指的是操作主体,在 RBAC 体系中,会在 RoleBinding 或 ClusterRoleBinding 的 Subject 字段中进行指定,其取值范围包括 user、group 以及 ServiceAccount 等。
11 天前 / KevinYan
早先的文章《Kubernetes 入门实践 -- 部署运行 Go 项目》里我们使用 YAML 定义了 Deployment 对象,Kubernetes 推荐的使用方式也是用一个 YAML 文件来描述你所要部署的 API 对象。然后统一使用 kubectl apply 命令完成对这个对象的创建和更新操作。YAML 是一种序列化语言,它通常被用作配置文件的一种格式。除了在 Kubernetes 项目以外像 Docker-Compose、Gitlab CI/CD 项目的配置文件使用的也是 YAML 格式。通过这些在技术领域的明星项目也能反映出 YAML 在过去几年里的流行度。
20 天前 / 崔秀龙
本文将会讲述使用 conftest 这样的静态工具以及 Gatekeeper 之类的集群内 Operator 为 Kubernetes 工作负载提供策略支持的方法。 本文所讲的策略,指的是在 Kubernetes 中,阻止特定工作负载进行部署的方法。 这种要求通常是出于合规的考虑,有一些最佳实践可以推荐给集群管理员: 不要运行特权 Pod。不要用 root 运行 Pod。指定资源限制。不要使用 latest 标签的镜像。限制 Linux capability 的使用。除去上述安全要求,可能还会有一些应用管理方面的需要,例如: 所有工作负载都应该有 project 和 app 标签。
25 天前 / K8sMeetup
解决多租户集群的安全隔离问题对企业上云而言至关重要。本文介绍了多租户集群的基本概念、几种常见的应用场景以及相应的安全管理功能,希望可以帮助大家进一步了解多租户集群。 作者:Kuang Dahu 翻译:Bach(才云) 校对:星空下的文仔(才云)、bot(才云) 解决多租户集群的安全隔离问题对于企业上云而言至关重要。本文讨论了 Kubernetes 多租户集群的概念和常见的应用模式、企业内共享集群的业务场景以及 Kubernetes 现有的安全管理功能。 K8sMeetup 什么是多租户集群 首先,我们讨论一下“租户”是什么。
26 天前 / 后场技术
在 Docker 容器技术中,通过容器,我们可以很方便的将我们的应用程序打成一个镜像,然后无论我们在哪部署应用,只要这个环境支持 Docker,那么我们都可以通过 Docker 将我们的镜像运行起来,而不需要关心环境的问题。这一点真正做到了"一次打包,到处运行" 的效果。正是因为有了容器技术,我们可以不再理会应用的运行环境依赖问题,这也给微服务架构的实现带来了极大的便利。 在微服务架构下,我们的应用被拆成了一个一个的微型的服务,所有这些服务联合起来组成一个完整的 APP,每个服务都运行在容器中,这就可以让我们很方便的对某一功能进行扩容缩容...
34 天前 / K8sMeetup
在使用 Kubernetes 的过程中,我们或多或少会犯些错误,本文总结了 10 条最容易也最常犯的错误,并提供了一定的解决办法,希望可以给大家带来帮助。 作者:Tj Blogumas 翻译:Bach(才云) 校对:星空下的文仔(才云)、bot(才云) 在多年使用 Kubernetes 的过程中,我们接触了相当多的 K8s 集群,同样也犯了许多错误。本文就介绍了那些最容易也最常犯的 10 个错误,并讨论了要如何解决。 K8sMeetup 资源请求和限制 这绝对是犯错榜单的第一名。设置 CPU 请求有两种常见错误:不设置或者设置的很低。
36 天前 / KevinYan
介绍前面的几篇文章从概念层面介绍了 Kubernetes 是什么,它的内部架构是怎样的。并且也在电脑上安装了 Minikube-- 拥有一个单节点的 Kubernetes 集群,让我们能够在自己的电脑上开始体验 Kubernetes。今天的文章我准备和大家一起一步步地尝试做一个 Go 应用程序的 Docker 镜像,把它部署到 Minikuebe 上运行。今天的文章不需要什么基础,Kubernetes 的新手朋友们先一起上车学起来。 应用程序代码我们用 Go 写一个简单的 HTTP Server,Server 侦听 3000 端口包含"/"和"/health_check"两个路由...
36 天前 / kafeidou
目前 Kubernetes 在容器编排市场中占据了主导地位,与此同时,众多组织在使用 Kubernetes 时或多或少遇到了安全问题。本文深入探讨使用 Kubernetes 时可能遇到的风险和挑战,并给出了对应的安全实践。 作者:Ajmal Kohgadai 翻译:Bach(才云) 校对:星空下的文仔(才云)、bot(才云) 目前从各方面来看,Kubernetes 都在容器编排市场中占据了主导地位。近日发布的《Kubernetes 和容器安全状况报告》更是指出,87% 的组织正在使用 Kubernetes 管理容器工作负载。
39 天前 / ???米?开?朗?基?杨???
原文链接:https://fuckcloudnative.io/posts/monitoring-calico-with-prometheus-operator/ Calico 中最核心的组件就是 Felix,它负责设置路由表和 ACL 规则等,以便为该主机上的 endpoints 资源正常运行提供所需的网络连接。同时它还负责提供有关网络健康状况的数据(例如,报告配置其主机时发生的错误和问题),这些数据会被写入 etcd,以使其对网络中的其他组件和操作人员可见。 由此可见,对于我们的监控来说,监控 Calico 的核心便是监控 Felix,Felix 就相当于 Calico 的大脑。本文将学习如何使用 Prometheus-Operator 来监控 Calico。
39 天前 / BeckJin~
和 Docker 类似,Kubernetes 中也提供了 Volume 来实现数据卷挂载,但 Kubernetes 中 Volume 是基于 Pod,而不是容器,它可被 Pod 中多个容器共享,另外 Kubernetes 中提供比较丰富的 Volume 类型,如:emptyDir、hostPath、nfs、persistentVolumeClaim、downwardAPI、secret、configMap 等,每种类型都有其特点及使用场景。 下面将介绍几种常用 Volume 类型的使用方式,在这之前先在 k8sdemo .NET Core 服务中添加以下两个接口(镜像版本升级为 1.2.0),以方便后面效果演示。
40 天前 / KevinYan
前言 Minikube 是一个可以在本地电脑上运行 Kubernetes 的工具。Minikube 会在笔记本电脑中的虚拟机上运行一个单节点的 Kubernetes 集群,让用户能对 Kubernetes 进行体验或者在之上进行 Kubernetes 的日常开发。 Windows,MacOS 和 Linux 系统上都可以安装 Minikube,不过在安装前需要确认系统的版本已经支持虚拟化(一般只要不是太老的系统版本都支持虚拟化) kubectl 在电脑上安装 Minikubne 前需要先安装 kubectl,它是 Kubernetes 的命令行工具,可以使用 kubectl 部署应用程序,检查和管理集群资源以及查看日志。
41 天前 / iyacontrol
首发于 kubernetes solutions 写文章在 Kubernetes 上集成 Argo 工作流和 sparkiyacontrol 专注云原生,活跃于多个开源项目。 在我的第一篇文章中,我谈到了 Argo CD。这次是 Argo Workflow,它又来自 Argo 项目,Kubernetes 上的 Spark,以及我们如何使两者一起工作。 Argo Workflow Argo Workflow 是一个云原生工作流引擎,我们可以在其中编排具有任务序列的作业(工作流中的每个步骤都作为容器)。使用工作流定义,我们可以使用 DAG 捕获任务之间的依赖关系。