首页
学习
活动
专区
工具
TVP
发布

伪架构师

专栏成员
248
文章
348325
阅读量
52
订阅数
在 SPIRE 中用 SSH 证实节点身份
前面关于 SPIRE 的内容中,介绍了使用 JOIN Token 证实节点身份的方法。这种方法比较简易,但是完全依赖 SPIRE Server/Agent 的“内循环”,并不利于外部管理,同时每次节点更新,都要照本宣科的重来一遍。对于动态集群来说,这种方式并不理想,SPIRE 包含了面向 OpenStack、几大公有云以及 TPM 等的花钱证实节点身份的方案;除了这些之外,还有个经济型的证实方法——使用 SSH。
崔秀龙
2023-02-27
3350
(译)SPIRE 拓扑、联邦认证和部署规模
SPIRE 的容量是有限的,随着工作负载强度的不同,需要有不同的规模。一套 SPIRE 中的 Server 部分,可能由一或多个共享数据存储的 SPIRE Server 组成;还可以是同一信任域的多个 SPIRE Server;至少有一个 SPIRE Agent,当然,多数时候是多个 Agent。 部署规模和负载规模相关。单个 SPIRE Server 能够承载一定数量的 Agent 和注册项。SPIRE Server 负责管理和签发注册项的身份,因此它的内存和 CPU 消耗是随着负载注册条目的数量线性增长的。单一的 SPIRE Server 部署还可能导致单点失败。
崔秀龙
2022-11-23
6950
Kubernetes 权威指南第二章校对(3)
首先是觉得在 Service 文件里面引用环境变量的方式似乎没有什么特别的好处。因此丢弃了环境变量文件,直接把参数写入了 Service 文件。
崔秀龙
2020-02-19
5150
Kubernetes 权威指南第二章校对(2)
出于安全方面的考虑,Kubernetes 各组件之间的通信都要求使用 https 通信来完成,这就要求我们要为参与通信的各种组件提供证书来支持 https 通信。一般来说,因为都是内部通信,会采用自签署的根证书来签发其它所有证书。统一的根证书有利于建立信任关系,操作也更加方便,因此这里使用单一 CA 的方案。
崔秀龙
2020-02-19
3510
Funny Kind
事实上我们编写的 config.yaml,在文末的命令行中并没有引用,所以其中的快速安装的结果完全是 Kind 的功劳,和之前的证书操作、镜像操作没有一毛钱的关系。Kind 镜像自带了 Kubeadm 部署所需内容,因此它的的离线安装正常来说只需要:
崔秀龙
2019-08-30
4570
Istio 0.8 的 Helm Chart 解析
儿童节期间,拖拉了一个多月的 Istio 0.8 正式发布了,这可能是 Istio 1.0 之前的最后一个 LTS 版本,意义重大。
崔秀龙
2019-07-23
6640
使用 Bootstrap 请求 Kubelet 服务端证书
很少用 Kubeadm,一直用自有 CA 签发证书,所以 TLS Bootstrap 也极少接触,然后乐子就来了。
崔秀龙
2019-07-22
8900
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档