首页
学习
活动
专区
工具
TVP
发布

伪架构师

专栏成员
248
文章
348323
阅读量
52
订阅数
Kubernetes 的小秘密——从 Secret 到 Bank Vault
Kubernetes 提供了 Secret 对象用于承载少量的机密/敏感数据,在实际使用中,有几种常规或者非常规的方式能够获取到 Secret 的内容:
崔秀龙
2024-04-15
1640
使用 JWT-SVID 做为访问 Vault 的凭据
这次介绍的是在 SPIRE Server 和 Vault Server 之间建立 OIDC 联邦的方法。设置联邦之后,SPIRE 认证的工作负载就能使用 JWT-SVID 来通过 Vault Server 的认证。这样工作负载就无需使用 AppRole 或者用户名密码的方式来进行认证了。
崔秀龙
2023-02-27
8410
(译)eBPF、Sidecar 和服务网格的未来
eBPF 给云原生世界带来了很多变化。感谢 Cilium 之类的新技术,eBPF 已经成为了 Kubernetes CNI 的一个流行选择。Linkerd 这样的服务网格产品也经常会和 Cilium 或类似的 CNI 产品协同工作,从而同时在 7 层和 3/4 层分别得到 Linkderd 和 Cilium 的强大处理能力。但是 eBPF 的网络技术到底多强大?会强大到——例如替换 Linkerd 的 Sidecar Proxy,从而能在内核里完成所有操作吗?
崔秀龙
2022-11-23
7280
(译)Prometheus 和 Pod 标签
Prometheus 是为 Kubernetes 这样的动态环境而生的。它的服务发现能力和查询语言非常强大,Kubernetes 运维过程中,用户可以借 Prometheus 解决监控问题。
崔秀龙
2022-11-23
9600
(译)Kubernetes 中的用户和工作负载身份
本文中我们会试着解释,在 Kubernetes API Server 上如何对用户和工作负载进行认证的问题。
崔秀龙
2022-11-23
2K0
[译]Crossplane vs Terraform
最近在 Operator 还是 Provider 的问题上掉了不少头发,感谢 pigletfly 推荐本文,解答了我很多疑惑。
崔秀龙
2022-08-30
1.7K0
介绍一个小工具:Security Profiles Operator
在云原生安全方面,Kubernetes 在不同维度提供了很多的不同内容,例如 RBAC、Networkpolicy、SecurityContext 等等,种种措施中,像我这样基础不牢的 YAML 工程师最头大的可能就要数 SecurityContext 里面的 SELinux、Seccomp 和 AppArmor 三大块了。Security Profiles Operator 项目为此而来,希望能够降低在 Kubernetes 集群中使用这些安全技术的难度。在项目网页上转了转,发现他所说的简化,除了定义几个 CRD 封装这样的 Operator 传统技能之外;还有一个使用 CRD 在节点间传输 Security Profile 的能力;最后也是最重要的,提供了很方便的录制功能,这倒是真的戳中了痛点——手写 Profile 固然酷炫,录制生成才是生产力啊。目前支持的功能矩阵如下:
崔秀龙
2022-03-31
6660
(译)Kubernetes 策略管理白皮书
本文试图清晰地阐述 Kubernetes 策略管理的必要性以及在工作负载安全和自动化方面的作用。另外还会讲述 Kubernetes 策略的适用场景以及实现原理。
崔秀龙
2022-03-31
6780
Kyverno 和 OPA/Gatkeeper 的一点对比
在生产环境中应用 Kubernetes 时,出于安全、合规等管控目的,经常需要对工作负载进行审计、校验以及变更,例如下列场景:
崔秀龙
2022-01-25
1.1K0
酒话:Copilot 和运维代码
前些天跟同事讲,Learnk8s 的 A visual guide on troubleshooting Kubernetes deployments 是个很明显可以转换成工具运用到实际运维工作当中的东西,一套组合拳下来,基本问题搞清楚,是个挺方便的事儿,要不我周末把它搓出来给你看看。听者无意说者有心,我试了试,还真是个挺无聊的事情,设计各种场景,根据条件,捕获各种 K8s 输出,最终汇总成报表。不小心发散了一下,前一阵得到试用资格的 Github copilot 好像就很适合这种工作,周末趁娃补觉,用 Copilot + PyCharm 就真的实现了个差不多。
崔秀龙
2021-12-20
8440
用 Karmada 和 Pipy 搭建野生多集群
最近加入 CNCF 成为沙箱项目的 Karmada 项目是一个开放的多 Kubernetes 管理工具,从 Kubernetes Federation 1/2 继承的大量经验,让这个项目有成为多集群管理首选产品的潜力。Karmada 具有开箱即用的跨集群调度能力,简单的使用 PropagationPolicy 就能将 Deployment、Service 这样的原生 Kubernetes 对象在多个集群之间进行灵活的调度。
崔秀龙
2021-11-02
1.1K0
(译)Kubernetes Pod 对象也能淘汰么?
随着时间的推移,所有的软件项目都会加入新的功能和 API,与此相对地,也会有功能和 API 被移除。Kubernetes 这样的大型项目也并无不同,但是核心 API 的废弃和删除,始终有些含混,Kubernetes 中的核心对象或者说是 API,例如 Pod、Deployment 和 Service,是不是可以删除呢?如果答案是肯定的,那么该如何进行呢?
崔秀龙
2021-11-02
5300
(译)Kubernetes Semaphore:模块化、无侵入的跨集群通信框架
我们有一个环境,其中包含分属三个不同供应商(AWS、GCP 和私有云)的三个集群,我们希望不同集群中运行的应用能够互相通信,以及:
崔秀龙
2021-10-19
1.5K0
用 Volcano 填补私有集群的空闲时间
在私有 Kubernetes 场景下,因为硬件规模是一定的,不太会随着业务高峰低谷进行裁撤,因此缩减下来的服务资源并不能带来成本上的优势,如果在闲时~挖挖矿~跑跑 AI 大数据什么的是不是可以贴补一下家用呢?Volcano 值得一试。
崔秀龙
2021-09-29
1.2K0
实名反对 PodSecurity Admission
Kubernetes 1.22 中加入了一个新的功能叫 PodSecurity admission,据称是一个 PSP 的替代方案,于是我就“抱着试一试的态度”,第一时间体验了一下。
崔秀龙
2021-09-08
1.3K0
Karmada: 云原生多云容器编排平台
7月17日,在Cloud Native Days China云原生多云多集群专场,华为云原生开源负责人王泽锋发表了《Karmada: 云原生多云容器编排平台》主题演讲,分享了在云原生多云多集群方面的思考与实践。
崔秀龙
2021-08-12
1.3K0
Rego 不好用?用 Pipy 实现 OPA
•初探可编程网关 Pipy•可编程网关 Pipy 第二弹:编程实现 Metrics 及源码解读•可编程网关 Pipy 第三弹:事件模型设计
崔秀龙
2021-08-12
7580
关于 KubeArmor 的闲言碎语
早上看到了一篇关于 KubeArmor 的简介,觉得还挺新鲜的,就坐下看了一下介绍,并没有进行实际的测试,把它和我之前比较熟悉的一些类似技术做一点比较。
崔秀龙
2021-06-15
6830
在 Kubernetes 读取 Vault 中的机密信息
在 Kubernetes 中,我们通常会使用 Secret 对象来保存密码、证书等机密内容,然而 kubeadm 缺省部署的情况下,Secret 内容是用明文方式存储在 ETCD 数据库中的。能够轻松的用 etcdctl 工具获取到 Secret 的内容。通过修改 --encryption-provider-config 参数可以使用静态加密或者 KMS Server 的方式提高 Secret 数据的安全性,这种方式要求修改 API Server 的参数,在托管环境下可能没有那么方便,Hashicorp Vault 提供了一个变通的方式,用 Sidecar 把 Vault 中的内容加载成为业务容器中的文件。
崔秀龙
2021-04-25
1.9K0
为应用设计集群规模
在帮助企业进行基于私有环境的云原生转型的过程中,帮客户把存量应用迁移到 Kubenrnetes 上,是个常规任务。通常说来,在解决了初步的技术可行性之后,接下来要解决的就是资源分配的问题,我们已经讨论过,在近乎同样的资源总量情况下,少量大节点构成的集群和大量小节点构成的集群的一些差异,然而这里还是缺少一个完整的方法——如何把现有应用的需求转换为资源设计呢?
崔秀龙
2021-04-08
6050
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档