Kubernetes Secrets】的更多相关文章

Secrets 背景信息 Kubernetes版本 [09:08:04 yhf@test ~]$ kubectl version Client Version: version.Info{Major:"1", Minor:"19", GitVersion:"v1.19.0", GitCommit:"c3dc785cf52536afd7b661728747292e848e74b7", GitTreeState:"cle…
目标 在你的环境中创建一个PV 创建一个MySQl的Deployment 在集群中以DNS名称的方式,将MySQL暴露给其他的pod 开始之前 你需要一个Kubernetes集群,一个可以连接到集群的kubectl命令行工具.如果你没有集群,你可以使用Minikube来创建. 我们会创建一个PV(PersistentVolume)用于数据存储.点击这里来查看PV支持的类型,该指导会使用GCEPersistentDisk来演示,但其实任何的PV类型都可以正常工作.GCEPersistentDisk…
原文地址:KUBERNETES DISTRIBUTED APPLICATION DEPLOYMENT WITH SAMPLE FACE RECOGNITION APP 原文作者:skarlso 译文出自:掘金翻译计划 好的,伙计,让我们静下心来.下面将会是一个漫长但充满希望和有趣的旅程. 我将使用 Kubernetes 部署分布式应用程序.我试图创建一个类似于真实世界 app 的应用程序.显然,由于时间和精力有限,我不得不忽略一些细节部分. 我的重点将放在 Kubernetes 和应用部署上.…
Deploy MySQL https://kubernetes.io/docs/tasks/run-application/run-single-instance-stateful-application/ You can run a stateful application by creating a Kubernetes Deployment and connecting it to an existing PersistentVolume using a PersistentVolumeC…
转自:https://www.poeticoding.com/connecting-elixir-nodes-with-libcluster-locally-and-on-kubernetes/ Transcript In the last few articles we saw how to make our Phoenix chat app distributed; at the beginning with Redis, and after with distributed Elixir…
Kubernetes 应用部署实战 2018-08-08 19:44:56 wuxiangping2017 阅读数 3084  收藏 更多 分类专栏: linux运维与架构师   简介 伙计们,请搬好小板凳坐好,下面将是一段漫长的旅程,期望你能够乐在其中. 我将基于 Kubernetes[1] 部署一个分布式应用.我曾试图编写一个尽可能真实的应用,但由于时间和精力有限,最终砍掉了很多细节. 我将聚焦 Kubernetes 及其部署. 让我们开始吧. 应用 TL;DR 该应用本身由 6 个组件构成…
介绍 本指南将引导您在 Kubernetes 集群上设置渐进式交付 GitOps 管道. GitOps Helm 研讨会 原文地址:GitOps Progressive Deliver with Flagger, Helm v3 and Linkerd GitOps 是什么? GitOps 是一种进行持续交付的方法,它通过将 Git 用作声明性基础结构和工作负载的真实来源来工作.对于 Kubernetes,这意味着使用 git push 代替 kubectl create/apply 或者 ku…
kubespray(ansible)自动化安装k8s集群 https://github.com/kubernetes-incubator/kubespray https://kubernetes.io/docs/setup/pick-right-solution/ kubespray本质是一堆ansible的role文件,通过这种方式,即ansible方式可以自动化的安装高可用k8s集群,目前支持1.9. 安装完成后,k8s所有组件都是通过hyperkube的容器化来运行的. 最佳安装cento…
凡是产生连接关系,就必定带来安全问题,人类社会如此,服务网格世界,亦是如此. 今天,我们就来谈谈Istio第二主打功能---保护服务. 那么,便引出3个问题: l  Istio凭什么保护服务? l  Istio具体如何保护服务? l  如何告诉Istio发挥保护能力? 1      Istio凭什么保护服务? 将单体应用程序分解为一个个服务,为大型软件系统的开发和维护带来了诸多好处,比如更好的灵活性.可伸缩性和可复用性.但这也带来了一些安全问题: l  为了抵御中间人攻击,需要对流量进行加密 l…
之前,已为大家介绍过 Istio 第一主打功能---连接服务. 凡是产生连接关系,就必定带来安全问题,人类社会如此,服务网格世界,亦是如此. 今天,我们就来谈谈Istio第二主打功能---保护服务. 那么,便引出3个问题: Istio 凭什么保护服务? Istio 具体如何保护服务? 如何告诉 Istio 发挥保护能力? Istio凭什么保护服务? 将单体应用程序分解为一个个服务,为大型软件系统的开发和维护带来了诸多好处,比如更好的灵活性.可伸缩性和可复用性.但这也带来了一些安全问题: 为了抵御…
原文链接:https://fuckcloudnative.io/posts/wireguard-docs-theory/ WireGuard 是由 Jason Donenfeld 等人用 C 语言编写的一个开源 威屁恩 协议,被视为下一代 威屁恩 协议,旨在解决许多困扰 IPSec/IKEv2.Open威屁恩 或 L2TP 等其他 威屁恩 协议的问题.它与 Tinc 和 MeshBird 等现代 威屁恩 产品有一些相似之处,即加密技术先进.配置简单.从 2020 年 1 月开始,它已经并入了 L…
注意:这篇文章并不是一篇入门教程,学习 Argo Workflow 请移步官方文档 Argo Documentation Argo Workflow 是一个云原生工作流引擎,专注于编排并行任务.它的特点如下: 使用 Kubernetes 自定义资源(CR)定义工作流,其中工作流中的每个步骤都是一个容器. 将多步骤工作流建模为一系列任务,或者使用有向无环图(DAG)描述任务之间的依赖关系. 可以在短时间内轻松运行用于机器学习或数据处理的计算密集型作业. Argo Workflow 可以看作 Tek…
概述 Velero(以前称为Heptio Ark)是一个开源工具,可以安全地备份和还原,执行灾难恢复以及迁移 Kubernetes 群集资源和持久卷,可以在 TKE 集群或自建 Kubernetes 集群中部署 Velero 用于: 备份集群并在丢失的情况下进行还原. 将集群资源迁移到其他集群. 将生产集群复制到开发和测试集群. 更多关于 Velero 介绍,请参阅 Velero 官网,本文将介绍使用 Velero 实现 TKE 集群间的无缝迁移复制集群资源的操作步骤. 迁移原理 在需要被迁移的…
对于此示例,我们假设有两个集群的场景:暂存(staging)和生产(production). 最终目标是利用 Flux 和 Kustomize 来管理两个集群,同时最大限度地减少重复声明. 我们将配置 Flux 以使用 HelmRepository 和 HelmRelease 自定义资源安装.测试和升级演示应用程序. Flux 将监控 Helm 存储库,并根据 semver 范围自动将 Helm 版本升级到最新的 chart 版本. 准备工作 flux2-kustomize-helm-examp…
Dapr是一个由微软主导的云原生开源项目,国内云计算巨头阿里云也积极参与其中,2019年10月首次发布,到今年2月正式发布V1.0版本.在不到一年半的时间内,github star数达到了1.2万,超过同期的kubernetes.istio.knative等,发展势头迅猛,业界关注度非常高. 什么是云原生 云原生技术有利于各组织在公有云.私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用.云原生的代表技术包括容器.服务网格.微服务.不可变基础设施和声明式API. 这些技术能够构建容错性好…
写在前面 确保容器中服务与应用安全是容器化演进的关键点.容器安全涉及到应用开发与维护的整个生命周期,本文主要从镜像构建的视角来看docker容器的一些安全问题及应对措施. 一.权限管理 1.避免以容器以root身份运行 在Openshift与k8s环境中默认容器需要以非root身份运行,使用root身份运行的情况很少,所以不要忘记在dockerfile中包含USER指令,以将启动容器时默认有效 的UID 更改为非 root 用户. 以非 root 身份运行需要在 Dockerfile 中做的两个…
地址:https://krew.sigs.k8s.io/docs/user-guide/setup/install/ macOS/Linux Bash or ZSH shells 确保已安装git 2.执行如下命令进行下载和安装krew: # 复制如下命令执行(命令包含括号) ( set -x; cd "$(mktemp -d)" && OS="$(uname | tr '[:upper:]' '[:lower:]')" && ARC…
Secret 概述 Kubernetes Secret 对象可以用来储存敏感信息,例如:密码.OAuth token.ssh 密钥等.如果不使用 Secret,此类信息可能被放置在 Pod 定义中或者容器镜像中.将此类敏感信息存储到 Secret 中,可以更好地: 控制其使用 降低信息泄露的风险 用户可以直接创建 Secret,Kubernetes 系统也会创建一些 Secret. Secret有如下几种使用方式: 作为 Pod 的数据卷挂载 作为 Pod 的环境变量 kubelet 在抓取容器…
系列目录 Secrets是Kubernetes中一种对象类型,用来保存密码.私钥.口令等敏感信息.与直接将敏感信息嵌入image.pod相比,Secrets更安全.更灵活,用户对敏感信息的控制力更强.同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume.环境变量引用Secrets. 创建Secrets 假设pod需要访问数据库.首先将用户名保存在文件./username.txt,将密码保存在./password.txt文件: #…
转:https://www.jianshu.com/p/530b3642c642 本章节展示了如何把密码秘钥等敏感数据安全的注入到Pod里面. 转换安全数据成base-64表示 假设你有两个秘密数据:一个用户名my-app和一个密码39528$vdg7Jb.首先使用Base64-encoding转换用户名和密码用base-64来表示.下面是一个用Linux转换的例子: echo -n 'my-app' | base64 echo -n '39528$vdg7Jb' | base64 输出展示了用…
重点来了,本文全面阐述一下我们的RPC是怎么实现并如何使用的,跟Kubernetes和Openstack怎么结合.  在选型一文中说到我们选定的RPC框架是Apache Thrift,它的用法是在Main方法中重启服务,在Client端连接服务去调用, 而我的想法是要跟Dubblo.HSF的用法一样,因为很多人都熟习这两个框架的用法,特别是我们好几个项目都是基于EDAS开发的,而且世面上用Dubbo的公司也很多. 顺便再说一下我们对于RPC的几点要求: 1,兼容Dubbo和HSF的使用方法,支持…
闲谈Kubernetes 的主要特性和经验分享       Capitalonline全球云主机.全球私有网络,免费试用进行时 »   主要介绍 Kubernetes 的主要特性和一些经验.先从整体上看一下Kubernetes的一些理念和基本架构, 然后从网络. 资源管理.存储.服务发现.负载均衡.高可用.rolling upgrade.安全.监控等方面向大家简单介绍Kubernetes的这些主要特性.我们先从整体上看一下Kubernetes的一些理念和基本架构, 然后从网络. 资源管理.存储.…
本教程受Kubernetes官方最新更新的文档所触发,之所以没有做单纯的翻译是因为如下几个原因: Kubernetes官方此教程基于minikube,个人对minikube可能有偏见,觉得像玩具. Minikube更新较慢,不久前试的仍然只是能模拟kubernetes1.3,kubeadm也出来了,只是用于教程的话完全可以取代. google的此教程提供了一个交互式的体验窗口,但是本来就不复杂的东西,就不想用它们的交互式的界面,感觉不真实,同时自己搭建可以先看什么就看什么,另外google目前提…
转载请注明出处:http://www.cnblogs.com/wayneiscoming/p/7707942.html traefik 是一个前端http反向代理服务器以及负载均衡器,支持多种微服务后端(Docker,Swarm,Kubernetes,Marathon,Consul,Etcd,Rancher,Amazon ECS等):同 nginx 等相比,traefik 能够自动感知后端服务新增删除升级等变化,并实现自动配置. 一.Kubernetes 服务暴露介绍 本节内容节选自漠然博客Tr…
系列文章: 1. 手工搭建环境 1. 基础环境准备 准备 3个Ubuntu节点,操作系统版本为 16.04,并做好以下配置: 系统升级 设置 /etc/hosts 文件,保持一致 设置从 0 节点上无密码ssh 其它两个节点 节点名称 IP地址 etcd flanneld K8S docker kub-node-0 172.23.100.4 Y Y master: kubctl kube-apiserver kuber-controller kuber-scheduler Y kub-node-…
Kubernetes v1.6的一个亮点就是RBAC认证特性成为了beta版本.RBAC,基于角色的访问控制(Role-Based Access Control),是用于管理Kubernetes资源访问权限的认证机制.RBAC支持灵活的认证策略配置,使得集群在不重启的情况下就可以升级权限. 本文重点聚焦在一些有趣的新特性和实践上. RBAC vs ABAC 当前Kubernetes已经支持多种认证模式.认证器是一种机制,可以决定用户是否被允许通过Kubernetes API对集群做出一些修改.这…
service 每个service对应一个cluster IP,cluster IP对应的服务网段最初是在配置kube-apiserver.kube-controller-manager和kube-proxy的systemd unit时指定的,如kube-apiserver参数为--service-cluster-ip-range. Service提供提供了一种稳定访问一组pod的方式.Service使用clusterIP:port(默认方式)对外暴露服务,将外部流量从clusterIP:por…
一.ReplicationController/ReplicaSet 在Kubernetes集群中,ReplicationController能够确保在任意时刻,指定数量的Pod副本正在运行.如果Pod副本的数量过多,则ReplicationController会Kill掉部分使其数量与预期保持一致,如果Pod数量过少,则会自动创建新的Pod副本以与预期数量相同.下面是一个ReplicationController的配置示例,如下所示: ReplicaSet是ReplicationControl…
Kubernetes Ingress Controller的使用及高可用落地 看懂本文要具备一下知识点: Service实现原理和会应用 知道反向代理原理,了解nginx和apache的vhost概念 了解service的几种类型(Nodeport.clusterip.LB) 四层和七层区别(不明白就这样去理解,七层最常见就是应用层的http,也就是url,四层是传输层,为tcp/udp端口) 域名解析,/etc/hosts等基础知识 Ingress Controller介绍 Ingress C…
摘要:本文从单机真机运营的历史讲起,逐步介绍虚拟化.容器化.Docker.Kubernetes.ServiceMesh的发展历程.并重点介绍了容器化阶段之后,各项重点技术的安装.使用.运维知识.可以说一文讲清楚服务器端运维的热点技术. 序 文章的名字起的有点纠结,实际上这是一篇真正从基础开始讲解,并试图串联起来现有一些流行技术的入门文章. 目前的企业级运营市场,很有点早几年前端工程师所面临的那样的窘境.一方面大量令人兴奋的新技术新方案层出不穷:另外一方面运维人员也往往陷入了选择困局,艰于决策也疲…