12 小时前 / 崔秀龙
Kubernetes 的安全工具多得很,有不同的功能、范围以及授权方式。因此我们建立了这个 Kubernetes 安全工具列表,其中有来自不同厂商的开源项目和商业平台,读者可以根据兴趣和需要进行了解和选择。 Kubernetes 安全工具——分类为了方便读者浏览目录,我们把这些工具按照主要功能和范围进行了分类: Kubernetes 镜像扫描和静态分析Kubernetes 运行时安全Kubernetes 网络安全镜像分发和机密管理Kubernetes 安全审计端到端的 Kubernetes 安全商业产品我们最爱的容器编排平台已经成熟,会有越来越多的 Kubernetes 安全工具涌现出来,如果读者发现我......
15 天前 / 好学的阳明
我们知道可以通过 RBAC 为操作 kubectl 的用户或组来进行权限控制,但是我们往往是通过 kubernetes集群的超级管理员手动为这些用户进行分配的,并没有一个开箱即用的 kubectl 身份验证工具。 现在参加 kubernetes 进阶课程的学生比较多,其中可能有一部分学生暂时还没有一套可用的集群环境,那么我们就可以为这部分学生授权访问我们的集群,但是如果这么多学生都手动去给他们创建身份认证必然非常麻烦。 那么我们可以用什么办法来可以很方便的为用户进行授权访问 kubernetes集群呢? Kubernetes 身份认证其实前面关于 RBAC 的文章中我们就已经和......
18 天前 / ???米?开?朗?基?杨???
前言 Kubernetes 作为云原生时代的“操作系统”,熟悉和使用它是每名用户(User)的必备技能。如果你正在 Kubernetes 上工作,你需要正确的工具和技巧来确保 Kubernetes 集群的高可用以及工作负载的稳定运行。 随着 Kubernetes 的发展和演变,人们可以从内部来驯服它的无节制行为。但有些人并不情愿干等 Kubernetes 变得易于使用,并且为已投入生产的 Kubernetes 中遇到的很多常见问题制定了自己的解决方案。 这里我们将介绍一些提高操作效率的技巧,同时列举几个比较有用的开源 Kubernetes 工具,这些工具以各种方式简化 Kubernetes,包括简化......
21 天前 / LinuxEverything
点击上方蓝色字关注我们~ BPF for security—and chaos—in KubernetesJune 10, 2019 This article was contributed bySean Kerner KubeCon EU 对LWN读者来说,BPF应该已经听过不少次了。不过Kubernetes社区还很少了解BPF。在KubeCon + CloudNativeCon Europe 2019,有好几个题目带着BPF的话题,讲解了BPF对Kubernetes的安全,监控,chaos engineering testing会有什么帮助。开源社区Cilium项目,希望帮助大家在Kubernetes container环境里使用BPF。Thomas Graf是Linux kernel的BPF开发参与者,介绍了如何利用Envoy, Cilium和BPF来做......
26 天前 / 蚂蚁金服分布式架构SOFAStack
本文作者:蚂蚁金服 昊天、枫晟 本文简单介绍了蚂蚁金服 SOFAStack 的 Kubernetes 自定义资源 CafeDeployment 的开发背景和功能特性。我们将会在6月25日的 KubeConf 上对其做详细的介绍和演示,欢迎大家来交流。点击“阅读原文”,可以了解活动详情。// 背景介绍Kubernetes 原生社区 Deployment 和 StatefulSet 解决了“服务节点版本一致性”的问题,并且通过 Rolling Update 实现了滚动升级,提供了基本的回滚策略。对于高可用建设要求不高的“年轻”业务,是一个不错的选择。 但是,在金融场景下,要解决的场景复杂得多。因此我们在金融......
32 天前 / 懒人yp
前 言 作为后台支撑,Kubernetes优势明显,具有自动化部署、服务伸缩、故障自我修复、负载均衡等特性。咪付的蓝牙过闸系统和全态识别AI系统的后台支撑采用了Kubernetes,经过线上的长期运行,其状态良好运行平稳。 蓝牙过闸系统和全态识别AI系统有着不同的数据特性,对数据的安全要求及运行效率也各不一样,因此如何选择容器的运行时成为了一个重点考虑的因素。 本文将介绍Kubernetes支持哪些容器运行时以及如何选择合适的容器运行时。 这篇文章包含以下内容: 介绍CRI接口规范内容 介绍不同OCI项目的技术特点 CRI是如何衔接Kub......
32 天前 / 小米云技术官方
本文介绍了高可用、持久存储、可动态调整的Kubernetes监控方案的实现过程。 上篇文章回顾:记一次kubernetes集群异常:kubelet连接apiserver超时 小米的弹性调度平台(Ocean)以及容器平台主要基于开源容器自动化管理平台kubernetes(简称k8s)来提供服务,完善的监控系统提高容器服务的质量的前提。不同于传统物理主机,每个容器相当于一个主机,导致一台物理主机上的系统指标数量成本增长,总的监控指标规模相当庞大(经线上统计,每node指标达到10000+)。此外,为了避免重复造轮,需要最大限度的利用公司的监控报警系统,需要把k8s的监控和......
33 天前 / 玲珑南书
原创:加多(某大型互联网公司资深 Java 开发工程师) 编辑:小君君(才云) 来源:技术原始积累 计算、网络、存储、安全一直是 Kubernetes 绕不开的话题。今天,我们就详细了解一下,Kubernetes 网络模型的那些事。 *注:万字长文,建议收藏后阅读! Kubernetes 对 Pod 之间如何进行组网通信提出了要求,Kubernetes 对集群网络有以下要求: 所有的 Pod 之间可以在不使用 NAT 网络地址转换的情况下相互通信; 所有的 Node 之间可以在不使用 NAT 网络地址转换的情况下相互通信; 每个 Pod 看到的自己的 IP 和其他 Pod 看到的一致。 Kuber......
33 天前 / 小米云技术官方
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。 上篇文章回顾:一文读懂HBase多租户 背 景 kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etcd。一般我们会部署多份apiserver实现高可用。官方建议在多个apiserver前面部署一个LB进行负载均衡,当其中一台apiserver发生故障之后,LB自动将流量切换到其他实例上面。这样虽然简单,但是也引入了额外的依赖,如果LB发生故障将会导......
40 天前 / 编程一生
kubernetes在容器编排大战中由于应用的可移植性以及支持混合云/多云部署方式上的灵活性。加上开放可扩展的理念,使得周边社区非常活跃。从既有调研结果看,kubernetes已成为容器编排领域的标准。但是它并不成熟,很多方面都大有可为,下面就是列举了一些方面: 1.集群联邦 kubernetes是一个集中式容器管理工具。横向上来说,集群管理工具还有分布式和共享式等。代表性的分布式容器管理工具如yarn与kubernetes的区别是yarn的一台宿主机作为一个master来进行容器管理。分配速度很快。kubernetes以集群为单位,资源分配更好一些。共享式管理谷歌内部......
43 天前 / 玲珑南书
原创:Marc Boorshtein 编译:小君君(才云) 当你完成 Kubernetes 部署时,你应该如何安全地将它交到开发人员和管理人员手中呢? 与其他复杂的系统一样,Kubernetes拥有自己的安全模型来与用户、系统进行交互。在本文中,我将介绍 Kubernetes 的一些身份验证方案,并提供有关管理集群访问权限的示例和建议。 身份对 Kubernetes 意味着什么 首先,你需要明白在 Kubernetes 中,“什么是身份”?Kubernetes 与大多数其他系统和应用程序截然不同。它是一组 API,没有 “Web 界面”、没有“登录”、“会话”或“超时”等选项框。每个 API 请......
44 天前 / 好学的阳明
在 Kubernetes 的监控方案中我们经常会使用到一个Promethues Operator的项目,该项目可以让我们更加方便的去使用 Prometheus,而不需要直接去使用最原始的一些资源对象,比如 Pod、Deployment,随着 Prometheus Operator 项目的成功,CoreOS 公司开源了一个比较厉害的工具:Operator Framework,该工具可以让开发人员更加容易的开发 Operator 应用。 在本篇文章中我们会为大家介绍一个简单示例来演示如何使用 Operator Framework 框架来开发一个 Operator 应用。 Kubernetes OperatorOperator 是由 CoreOS 开发的,用来扩展 Kubernetes API,特定......
45 天前 / 懒人yp
在近期的项目上,我通过流水线实现了金丝雀/灰度发布微服务应用。这些微服务被部署在Azure Kubernetes集群上(AKS)。 本文假设您熟悉Kubernetes,Helm和Istio流量管理 这篇文章描述了发布的基本要求,为这些要求选择的发布策略,以及每个阶段实现细节。 关键要求 高级要求是将应用程序服务通过金丝雀版本发布到生产环境中。 基本要求/限制: 每个Micro服务都应打包为单独的Helm图表 不同的团队管理不同的微服务,每个团队应该能够独立于其他微服务发布。 服务网格Istio安装在kubernetes集群上 在项目的初始阶段,只有Helm和Ist......