云原生技术专家

云原生工具箱

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

在这个示例中，Pod 创建时会带有两个调度门控 foo 和 bar，这意味着 Pod 不会立即被调度。

【每日一个云原生小技巧 #77】Kubernetes Pod overhead(Pod 开销)

在 Kubernetes 中，Pod 开销是指 Pod 基础设施在容器请求和限制之上消耗的资源。这些资源是运行 Pod 内部容器之外所需的系统资源。例如，某些容器运行时可能会增加额外的开销，如虚拟机或宿主操作系统所使用的资源。

【每日一个云原生小技巧 #76】Kubernetes Pod overhead(Pod 开销)

假设我们有一个 Web 应用和一个数据库服务，我们希望它们运行在不同的节点上以提高系统的可靠性。

【每日一个云原生小技巧 #75】Kubernetes 指定 Pod 所在节点

进程 ID（PID）约束与预留是 Kubernetes 中用于限制每个 Pod 可以使用的进程 ID 数量的一种机制。这是为了防止某个 Pod 中的进程耗尽整个节点上的 PID 资源，从而影响其他 Pods 的运行。

【每日一个云原生小技巧 #74】Kubernetes Pod PID 限制

这个配置创建了一个名为example-limit-range的限制范围，应用于容器级别的资源限制。它为容器设置了默认的请求和限制，并定义了最大和最小值。

【每日一个云原生小技巧 #72】Kubernetes Limit Ranges

资源配额（Resource Quotas）是 Kubernetes 中用于限制命名空间内资源使用的一种机制。它可以帮助集群管理员控制资源的使用，避免某个命名空间或用户占用了过多的资源，从而影响其他用户或应用的性能。

【每日一个云原生小技巧 #73】Kubernetes 资源配额（Resource Quotas）

在 Kubernetes (k8s) 中，身份验证是确保用户或进程正确身份的关键安全机制。身份验证过程涉及确认一个实体（用户、服务账户或其他进程）的身份以便允许其与 Kubernetes 集群交互。

【每日一个云原生小技巧 #71】Kubernetes 身份验证机制

Kubernetes Secret 是 Kubernetes 系统中用来存储和管理敏感信息的一个对象。这些敏感信息可能包括密码、OAuth tokens、SSH 密钥等。使用 Secret 可以更安全地管理敏感数据，因为它们不是以明文存储在 Pod 的定义中或者容器镜像中，而是以加密形式存放在 Kubernetes API 服务器上。

【每日一个云原生小技巧 #70】Kubernetes Secret

这个角色 read-only 允许用户在 mynamespace 命名空间中对 Pod 和 Pod 日志进行读取操作。

【每日一个云原生小技巧 #69】Kubernetes  基于角色的访问控制

假设您正在为 CI/CD 系统设置访问控制，您需要创建一个服务账户并授予它访问特定命名空间的权限。

【每日一个云原生小技巧 #68】Kubernetes API 访问控制

Pod 安全性准入控制器在 Pod 创建和更新时执行，确保 Pod 规范符合集群定义的安全性基线和限制。这些安全性策略是一组规定，用于限制 Pod 可以使用的安全特性，比如运行特权容器、访问主机网络等。

【每日一个云原生小技巧 #67】Pod 安全性准入

在 Kubernetes 中，ServiceAccount 提供了一种将 API 凭据（如密钥）自动挂载到 pod 中的方式。每个 ServiceAccount 都与一组凭证相关联，这些凭证被存储为 Kubernetes Secret 对象。当创建 pod 时，可以指定一个 ServiceAccount，Kubernetes 系统会自动将这些凭证挂载到 pod 中，使其能够安全地与 Kubernetes API 交互。

【每日一个云原生小技巧 #66】ServiceAccount 技巧

假设我们有一个名为 "my-namespace" 的命名空间，并希望检查它是否符合最新的基线版本的 Pod 安全性标准。我们可以使用以下命令设置警告：

【每日一个云原生小技巧 #65】Pod 安全性标准

假设有一个名为 my-persistent-volume 的持久卷，我们要为它创建一个快照。

【每日一个云原生小技巧 #63】Kubernetes 卷快照 Volume Snapshots

组合Secret、downwardAPI和ConfigMap：在这个示例中，Pod使用Projected Volume将一个secret、downwardAPI数据和一个configMap组合到一个单一的卷中。每个数据源在卷配置的sources下指定。每个源的数据可以放置在卷内的自定义路径中。

【每日一个云原生小技巧 #62】Kubernetes 投射卷 Projected Volumes

拓扑感知路由主要用于多区域部署的Kubernetes集群。它有助于保持流量在原始区域内部，这可以减少成本或提高网络性能。特别是在以下情况下效果最佳：

【每日一个云原生小技巧 #61】拓扑感知路由

截至目前（2023年4月），IPv4/IPv6 双协议栈在Kubernetes中可能处于Beta或GA（一般可用）阶段。不同的Kubernetes版本可能有不同的状态，因此强烈建议检查您所使用的具体Kubernetes版本的文档。

【每日一个云原生小技巧 #60】IPv4/IPv6 双协议栈

场景：在一个拥有多个 Pods 的服务中，需要创建一个 EndpointSlice 来更有效地管理网络端点。

【每日一个云原生小技巧 #59】EndpointSlice

Kubernetes (K8s) 中的 Job 是用于处理批量处理和一次性任务的资源类型。它确保指定数量的 Pods 成功运行到完成。一旦 Job 中的所有 Pods 成功运行并终止，Job 被视为完成。但是，完成的 Job（及其相关的 Pods）不会自动从 Kubernetes 集群中删除，除非配置了自动清理。

【每日一个云原生小技巧 #58】K8s 自动清理完成的 Job

Kubernetes 的 Runtime Class 是一种功能，允许您在同一个集群中为不同的 Pod 指定不同的容器运行时配置。这使得在同一个集群中可以同时使用多种不同的容器技术，例如 Docker、containerd、gVisor 或任何其他兼容的运行时。

【每日一个云原生小技巧 #57】Runtime Class

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了云原生工具箱专栏，为你提供了云原生工具箱的相关文章，致力于帮助开发者快速成长与发展。

云原生工具箱

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐