随笔分类 - Mesos&Kubernetes
摘要:引言 在日常网络使用中,计算机网卡通常只接收目的地是自己的数据包,而丢弃其他所有包。但有一种特殊的工作模式——混杂模式,却让网卡能够"监听"所有流经它的网络流量,不论目的地是哪里。这种模式既是网络管理员诊断故障的利器,也是网络安全中需要关注的风险点。本文将深入探讨混杂模式的原理、应用,并以Kuber
阅读全文
摘要:1. 故障背景 单节点Kubernetes集群升级操作系统内核版本、NVIDIA驱动与CUDA后重启服务器,引发容器云管理界面访问异常。核心环境如下: 组件版本: Ubuntu 5.19.0-40-generic Kubernetes 1.21.5, Docker 27.5.1 网络插件:F
阅读全文
摘要:1.Swap介绍 Swap Space 是开辟在操作系统磁盘上的一块区域,此块区域可以是一个分区,也可以是一个文件,或者是他们的组合。基于其场景特性,也就是说:当操作系统物理内存不够用时,Linux 系统会将内存中不常访问的数据同步至 Swap 上,这样系统就有更多的物理内存为各个进程服务;反之,当
阅读全文
摘要:1、概述 kube-rbac-proxy 是 Kubernetes 生态中一个专注于“基于角色的访问控制(RBAC)”的轻量级代理组件,通常以 Sidecar 容器的形式部署在 Pod 中,为服务提供细粒度的请求鉴权能力。它尤其适用于保护 /metrics、/debug 等敏感端点,通过将 RBAC
阅读全文
摘要:1、概述 在 Kubernetes 集群中,授权(Authorization) 是保障安全的核心机制之一。无论是用户、ServiceAccount 还是自动化工具,对资源的操作都需要经过严格的权限控制。SubjectAccessReview 是 Kubernetes 提供的动态鉴权资源,允许开发者或
阅读全文
摘要:1、概述 Kubernetes 中的 TokenReview 是用于验证令牌(Token)有效性的一种 API 资源,属于 authentication.k8s.io/v1 API 组。它允许客户端通过创建 TokenReview 对象向 API Server 发起一个请求以验证一个令牌是否合法,并
阅读全文
摘要:1、概述 在当今的技术领域,容器技术的崛起与发展离不开 Docker 和 Kubernetes 的紧密合作。Docker 以其创新性的容器化技术,推动了容器在全球范围内的广泛应用,为开发者提供了从容器镜像构建、容器启动与管理到镜像分发等一站式服务。Kubernetes 则专注于大规模容器的编排和自动
阅读全文
摘要:1.概述 Kubernetes 集群巡检是一种监测和评估底层系统运行状况的重要手段,旨在快速发现系统中存在的潜在风险并提供修复建议。通过对 Kubernetes(K8s)集群进行定期巡检,可以有效保障集群稳定性、优化资源利用率、提升安全性,并降低运维风险,特别是在生产环境中,这种预防性措施尤为重要。
阅读全文
该文被密码保护。
摘要:1、生产环境业务连续性的两大支撑 选择可靠性,高质量的软硬件、靠谱的架构/交付/运维。 增加冗余性,系统内冗余(比如3 Master的高可用的Kubernetes集群)、备份、容灾、双活/多活。 2、影响Kubernetes集群可用性的因素 软件故障,比如程序有问题; 人为失误,比如误删k8s组件;
阅读全文
摘要:1、概述 1.1 什么是Subject Alternative Name(证书主体别名) SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。它允许一个证书支持多个不同的域名。通过使用SAN字段,可以在一个证书中指定多个DNS名称(域名)、IP地
阅读全文
摘要:1、概述 Kubelet 使用证书进行 Kubernetes API 的认证。 默认情况下,这些证书的签发期限为一年,所以不需要太频繁地进行更新。Kubernetes 包含特性 Kubelet 证书轮换, 在当前证书即将过期时, 将自动生成新的秘钥,并从 Kubernetes API 申请新的证书。
阅读全文
摘要:1、概述 在Kubernetes集群中,应用的配置管理是一个关键且复杂的任务。随着应用的扩展和微服务架构的普及,传统的配置文件管理方式已经难以满足动态、灵活的配置需求。幸运的是,Kubernetes提供了强大的配置管理能力,其中ConfigMap和Secret结合Volume挂载的方式是实现这一目标
阅读全文
该文被密码保护。
摘要:1、Kubernetes十年回顾 Kubernetes 的历史始于 2014 年 6 月 6 日的那次历史性提交,随后, Google 工程师 Eric Brewer 在 2014 年 6 月 10 日的 DockerCon 2014 上的主题演讲(及其相应的 Google 博客)中由宣布了该项目。
阅读全文
摘要:1、概述 容器生命周期钩子(Container Lifecycle Hooks)监听容器生命周期的特定事件,并在事件发生时执行已注册的回调函数。 钩子函数能够感知自身生命周期中的事件,并在相应的时刻到来时运行用户指定的程序代码。 kubernetes在主容器的启动之后和停止之前提供了两个钩子函数:
阅读全文
摘要:1、概述 Pod优雅关闭是指在Kubernetes中,当Pod因为某种原因(如版本更新、资源不足、故障等)需要被终止时,Kubernetes不会立即强制关闭Pod,而是首先尝试以一种“优雅”的方式关闭Pod。这个过程允许Pod中的容器有足够的时间来响应终止信号(默认为SIGTERM),并在终止前完成
阅读全文
摘要:1、概述 在《Kubernetes Headless服务》这篇博文中对Kubenertes Service资源类型进行了概述并详细介绍了Headless服务,通过这篇博文我们可以知道Service一般分为3种类型:ClusterIP、NodePort、LoadBalancer,唯独对 Externa
阅读全文
该文被密码保护。
摘要:1、概述 在《Kubernetes客户端认证(一)—— 基于CA证书的双向认证方式 》和《Kubernetes客户端认证(二)—— 基于ServiceAccount的JWTToken认证》两篇博文中详细介绍了Kubernetes客户端认证方式,包括以证书方式访问的普通用户或进程(运维人员及 kube
阅读全文
浙公网安备 33010602011771号