人生的哲理

摘要： OpenStack 1.7.2 & Ceph 9.2.1 运维命令，加载认证文件，实例管理，服务状态检查，计算服务 (Nova)，网络服务 (Neutron)，存储服务 (Cinder)，集群整体资源概况，计算节点维护，RabbitMQ 连通性测试，Keystone 项目管理，RAID 检查，软件 RAID（Linux mdadm），硬件 RAID，Ceph 9.2.1 集群运维，OSD 性能监控，PG（归置组）管理，OSD 管理，存储池配置，存储阈值设置，OSD 状态控制，Cinder 块存储操作，OSD 目录结构与故障处理，SSD Journal 故障处理，OpenStack 服务日志，Ceph 集群日志 阅读全文

摘要： CentOS Stream 9/CentOS Stream 10配置静态IP和配置dnf/yum源;**CentOS Stream 9**/**CentOS Stream 10**概述;NetworkManager配置静态IP;nmcli配置静态IP;dnf概述;dnf常用命令;配置dnf/yum源 阅读全文

摘要： Kubernetes集群证书过期解决方案：使用kubeadm为证书续期。Kubernetes证书过期及续期简介，使用kubeadm为Kubernetes集群证书续期，查看k8s集群证书过期时间，为master节点续期证书，为worker节点替换最新的证书 阅读全文

摘要： Kubernetes 审计（Auditing），Kubernetes 审计简介，审计策略简介，引入审计，启用审计，记录审计阶段为：ResponseStarted，审计级别为Metadata，apiVersion为group: "" 的日志，只记录audit命名空间里的日志，只记录audit命名空间的pods操作日志，只记录audit命名空间的pods,services,deployments操作日志，只记录audit命名空间的pods操作,审计级别为RequestResponse，只记录audit命名空间下的tom用户的pods操作，其他用户操作不记录，rules规则是从上往下匹配的，第一条规则已经匹配了，第二条就不匹配了，在 Metadata 级别为所有请求生成日志 阅读全文

摘要： 配置pod拉取harbor容器镜像仓库私有镜像：secret保存账号密码，Docker-Registry类型的Secret简介，镜像仓库简介，搭建Harbor容器镜像仓库，安装Harbor，创建项目，推送镜像到harbor镜像仓库，使用secret保存harbor账号密码拉取私有仓库的镜像 阅读全文

摘要： 使用Kubesec检查YAML文件安全，YAML文件是Kubernetes配置的主要载体，因此，检查YAML文件的安全性对于确保Kubernetes集群的安全至关重要，Kubesec简介，使用Kubesec检查YAML文件安全，kubesec scan podyamlsafe.yaml 阅读全文

摘要： 容器镜像安全：安全漏洞扫描神器Trivy，Trivy是一款由aquasecurity团队开发的容器镜像安全漏洞扫描工具，Trivy简介，Trivy漏洞扫描原理，CVE全称是Common Vulnerabilities and Exposures，即通用漏洞披露，Trivy漏洞扫描原理简单来说就是：**Trivy下载漏洞数据库CVE到本地，Trivy本地数据库记录了常见的漏洞信息，Trivy读取镜像里的程序和本地数据库进行比对，确定镜像是否存在漏洞**。利用trivy检测容器镜像的安全性，trivy image，trivy缓存漏洞数据库目录，.cache/trivy/，检测redis镜像漏洞，检测nginx镜像漏洞，Trivy 漏洞报告格式也可以设置为JSON格式（-f）， -o指定输出打印到文件里 阅读全文

摘要： 准入控制器(Admission Controller):ResourceQuota，ImagePolicyWebhook ，准入控制器简介，为什么需要准入控制器，启用/禁用ResourceQuota资源配额，查看默认启用/禁用的准入控制器插件，ResourceQuota资源配额示例，禁用ResourceQuota ，配置ImagePolicyWebhook准入控制器禁止使用后缀为latest的镜像，搭建Webhook服务器，配置kubernetes连接后端webhook服务器，验证 阅读全文

摘要： 以沙箱的方式运行容器:安全容器Kata Containers，Kata Containers，安全容器，gVisor，Kata Containers 的本质，就是一个轻量化虚拟机，Gvisor与Kata区别对比，配置docker使用kata作为runtime，安装docker，安装kata，配置docker支持kata作为runtime，docker使用kata作为runtime创建容器，配置containerd使用kata作为runtime，安装containerd，配置containerd支持kata作为runtime，containerd使用kata作为runtime创建容器，在k8s环境里，配置containerd作为高级别runtime，containerd使用kata作为低级别runtime，配置kubelet使其支持Kata，创建容器运行时类（Runtime Class），使用kata创建pod 阅读全文

摘要： 以沙箱的方式运行容器:安全容器gvisor，安全容器隔离技术，Gvisor简介，容器runtime简介，docker容器缺陷，配置docker使用gVisor作为runtime，升级系统内核，安装gvisor，配置docker默认的runtime为gVisor，docker使用gVisor作为runtime创建容器，配置containerd使用gvisor作为runtime，containerd使用gvisor作为runtime创建容器，在k8s环境里，配置containerd作为高级别runtime，containerd使用gvisor作为低级别runtime，配置kubelet使其支持gVisor，创建容器运行时类（Runtime Class），使用gVisor创建pod 阅读全文