Here is a convenient checklist summary of the security protections to review for securing Kubernetes deployments during run-time. This list does not cover the build phase vulnerability scanning and registry protection requirements. PRE-PRODUCTION ❏ U…

https://rancher.com/blog/2019/2019-01-17-101-more-kubernetes-security-best-practices/ The CNCF recently released 9 Kubernetes Security Best Practices Everyone Must Follow, in which they outline nine basic actions that they recommend people take with…

reference from: http://www.onjava.com/pub/a/onjava/excerpt/weblogic_chap17/index1.html?page=1 .................................................................................................................................................... http://…

目录 目录 什么是Kubeadm? 什么是容器存储接口(CSI)? 什么是CoreDNS? 1.环境准备 1.1.网络配置 1.2.更改 hostname 1.3.配置 SSH 免密码登录登录 1.4.关闭防火墙 1.5.关闭交换分区 1.6.关闭 SeLinux 1.7.配置 IPTABLES 1.8.安装 NTP 1.9.升级内核 2.安装 Docker 18.06.1-ce 2.1.删除旧版本的 Docker 2.2.设置存储库 2.3.安装 Docker 2.4.启动 Docker 3.…

第一章和第二章中我们配置Prometheus的成本非常高,而且也非常麻烦.但是我们要考虑Prometheus.AlertManager 这些组件服务本身的高可用的话,成本就更高了,当然我们也完全可以用自定义的方式来实现这些需求,我们也知道 Promethues 在代码上就已经对 Kubernetes 有了原生的支持,可以通过服务发现的形式来自动监控集群,因此我们可以使用另外一种更加高级的方式来部署 Prometheus:Operator 框架. 什么是Operator Operator是由Cor…

Prometheus介绍 Prometheus是一个最初在SoundCloud上构建的开源监控系统 .它现在是一个独立的开源项目,为了强调这一点,并说明项目的治理结构,Prometheus 于2016年加入CNCF,作为继Kubernetes之后的第二个托管项目. 特点 具有由 metric 名称和键/值对标识的时间序列数据的多维数据模型 PromQL,有一个灵活的查询语言 不依赖分布式存储,只和本地磁盘有关 通过 HTTP 的服务拉取时间序列数据 也支持推送的方式来添加时间序列数据 通过服务发…

-------------------- This problem refers to the advisory found at https://confluence.atlassian.com/display/DOC/Confluence+Security+Advisory+-+2019-03-20 CVE ID: * CVE-2019-3395. * CVE-2019-3396. Product: Confluence Server and Confluence Data Center.…

Kubernetes is an open-source platform designed to automate deploying, scaling, and operating application containers. able to quickly and efficiently respond to customer demand: Deploy your applications quickly and predictably. Scale your applications…

kubernetes等容器技术可以将所有的业务进程运行在公共的资源池中,提高资源利用率,节约成本,但是为避免不同进程之间相互干扰,对底层docker, kubernetes的隔离性就有了更高的要求,kubernetes作为一门新盛的技术,在这方面还不够成熟, 近期在一个staging集群就发生了,inode资源被耗尽的事件: 现象 在测试集群中,许多pod被Evicted掉 [root@node01 ~]$ kubectl get pods NAME READY STATUS RESTARTS…

本文基于kubernetes 1.5.2版本编写 kube-state-metrics kubectl create ns monitoring kubectl create sa -n monitoring kube-state-metrics cat << EOF > kube-state-metrics.yaml apiVersion: extensions/v1beta1 kind: Deployment metadata: name: kube-state-metrics na…