在谷歌发明 Kubernetes 后的几年中,它彻底改变了 IT 运维的方式,并逐渐成为了事实标准,可以帮助组织寻求高级容器编排。那些需要为其应用程序提供 最高级别可靠性、安全性和可扩展性 的组织选择了谷歌 Kubernetes 引擎(Google Kubernetes Engine, GKE)。光是 2020 年二季度,就有 10 多万家公司使用谷歌的应用现代化平台和服务(包括 GKE)来开发和运行他们的应用。到目前为止, Kubernetes 还需要手工装配和修补程序来优化它才能满足用户需求。如今,谷歌推出了 GKE Autopilot,这是一个管理 Kubernetes 的革命性运营模式,让用户专注于软件开发,而 GKE Autopilot 则负责基础架构。
随着更多的组织开始拥抱云原生技术,Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流,很大程度上简化了容器化应用程序的部署、扩展和管理,并实现了自动化,为传统的单体式系统提供了胜于传统管理协议的众多优势。
云安全资讯 CLOUD SECURITY 01 如何找到 AWS 环境下应用程序中易于得手的漏洞? 链接:https://c1n.cn/LYel9 本文作者介绍如何从AWS环境下的应用程序中找到易于发现的漏洞。 02 gVisor 一款Google 为容器应用开发的一套内核层,限制容器内应用的内核访问能力 链接:https://c1n.cn/gAv5j gVisor是一个用Go编写的内核,它在应用程序和主机内核之间提供隔离边界。在runsc运行时集成了Docker和Kubernetes,使得它很容
第8章 监控应用程序 首先,考虑的一些高级设计模式和原则 ---- 8.1 应用程序监控入门 应用程序开发中存在一种常见的反模式,即把监控和其他运维功能(如安全性)视为应用程序的增值组件而非核心功能。但监控(和安全性)应该是应用程序的核心功能。如果你要为应用程序构建规范或用户故事,则请把对应用程序每个组件的监控包含进去。不构建指标或监控将存在严重的业务和运营风险,这将导致 无法识别或诊断故障 无法衡量应用程序的运行性能 无法衡量应用程序或组件的业务指标以及成功与否,例如跟踪销售数据或交易价值 另一种常见的反
性能剖析是动态代码分析的一种形式,你可以在应用运行时捕获应用的特征,然后使用这些特征信息确定如何使应用更快、更高效。但是对于线上生产环境来说很难捕获到现场,所以捕获线上 profile 的时候有一定难度,Google 在论文《Google-Wide Profiling: A Continuous Profiling Infrastructure for Data Centers》(https://research.google/pubs/pub36575/) 中介绍了内部的 Profilling 系统,简称 GWP,GWP 能够持续地对跨数据中心的基础设施进行 profilling,获取包括了栈调用,硬件事件,堆 profile,内核事件等等信息,并进行后续的数据分析,这个就是现在比较热门的持续性能剖析。
云原生安全 1 Linux内核漏洞——CVE-2022-0185分析与思考 本文帮助云安全从业者理解该漏洞的原理,并做好针对性的检测和防御工作 https://mp.weixin.qq.com/s/fk1aMbsgLDlyXIhNgyONRg 2 什么是云计算?带你全方位走进“云”世界 本文从云计算基础知识,到IaaS和PaaS等,带你深入了解云计算 https://36kr.com/p/1644021188256640 3 The Route to Host:从内核提权到容器逃逸 从Linux内核漏洞的
本文档介绍了一些用于创建具有弹性和可扩展性的应用程序的模式和实践,这是许多现代架构练习的两个基本目标。设计良好的应用程序会随着需求的增加和减少而上下扩展,并且具有足够的弹性以承受服务中断。构建和运行满足这些要求的应用程序需要仔细规划和设计。
感谢孟老师的推荐,发现了这篇关于Borg自动容器托管的论文📃。Borg是Google的容器编排系统,kubernetes的原型。 去年在做global / regional awareness split的时候,专门在vns上启用了这个功能。当时大致上知道这个feature的作用,但是没有深究过背后的原理。Autopilot功能在Borg完全启用之后,SRE发表了这篇论文。只能说真是太卷了,连SRE都有一群人在做data mining。最早的可溯记录是在2016年borg就有这个计划了,并且加到了kuber
客座撰稿人:Karen Bruner,StackRox技术专员。原文可以在这里找到。
在 Kubernetes 1.24 中,gRPC 探针(probe)功能进入了测试版,默认情况下可用。现在,你可以为 gRPC 应用程序配置启动、活动和就绪探针,而无需暴露任何 HTTP 端点,也不需要可执行文件。Kubernetes 可以通过 gRPC 原生连接到你的工作负载并查询其状态。
欢迎来到Portworx技术系列视频,我是Ryan Wallner。今天我们来介绍一下存储容量管理。Portworx Autopilot,我们会专门介绍一下存储池扩充、容量管理,这样可以让用户基于一些提前设定的规则引擎,自动的添加磁盘。Portwortx Autopilot可以自动化的管理容量,自动化的运维,例如添加磁盘,扩充PVCs,或者在存储池里扩充磁盘。这些操作可以通过脚本自动执行,也可以手动方式,但都是以K8S云原生的方式来进行的,定义YAML文件,给予Portworx权限来做这些事情。
自Google Anthos推出以来在混合云领域受到极大关注,作为Google进入ToB混合云市场的战略级产品,Anthos集成了如GKE (Google Kubernetes Engine)、GKE On-Prem、Istio on GKE等……引起业界的关注。可以说这又是Google又一大利器。那么混合云作为企业数字化转型的重要基础设施建设,既留了核心数据,降低了迁移风险,又能在原来资源的基础上增加公共云的弹性,一举多得,成为当前云计算发展的热门话题。而作为数字化转型的另外一个风向标DevOps如何与当前的混合云发展进行协作,带向企业进入云原生时代,将会成日今后数字化建设的一个重要主题。
Cilium 1.11测试版(Beta)为你带来了一系列引人注目的功能和增强功能,包括OpenTelemetry支持、感知拓扑的负载均衡、Kubernetes APIServer策略匹配,以及更多功能。本文将为您详细介绍这个令人振奋的版本,以及它为现代应用程序网络安全和性能带来的突破。
作者 | Sergio De Simone 译者 | 刘雅梦 策划 | 丁晓昀 eBay 工程师一直在使用故障注入技术来提高通知平台的可靠性,并探索其弱点。虽然故障注入是一种常见的行业实践,但 eBay 尝试了一种利用插装将故障注入引入到应用程序层的新方法。 该平台负责向第三方应用程序推送平台通知,以提供商品价格、商品库存状态、支付状态等方面的最新变化。它是一个高度分布式和大规模的系统,有许多外部依赖,包括分布式存储、消息队列、推送通知端点等。 eBay 工程师 Wei Chen 表示,通常情况下
作者 | 刘燕,核子可乐 我们成功了,找到了一条适合自己的迁移道路”。 1 37signals 的“去云”和“去 K8s”行动 根据 37signals 公布的一组数据显示,2022 年,37signals 在所有 AWS 云服务上总共花费了 3,201,564 美元,这相当于每月 266,797 美元。 这一巨额支出令 37signals 决定,通过“去云”的方式大幅削减费用。 2022 年 10 月,37signals 公司首席技术官兼 Ruby On Rails 之父 David Heine
作为微软首席执行官,萨蒂亚·纳德拉可能还是位初来乍到的新人,但他对于该公司的关键性内部工具以及与Amazon及谷歌开展竞争的方案早已非常熟稔:这正是名为Autopilot的一款复杂度极高的软件系统。 Autopilot是一款帮助微软将数百万台服务器以及上万PB海量数据融合成一整套庞大强劲计算及存储资源池的工具。如果没有Autopilot,纳德拉之前所领导的服务器与工具、在线服务、搜索与广告乃至云与企业部门都将变得一塌糊涂、完全没有可靠性可言。 谈到使用Autopilot的感受,Windows Azure业务
假设现在正在设计一个电商应用,功能包括接收来自客户的订单(StoreFrontUI),验证并维护库存余额(Inventory Service),验证并维护用户可用余额(Accounting Service),下单成功并发货(Shipping Service)。这个应用被设计成一个单体架构应用,例如:JavaWeb 应用程序由运行在Web容器(如 Tomcat )上的单个 WAR 文件组成。Rails 应用程序由部署在 Nginx 或 Tomcat 上的 JRuby 或 Nginx 上的单一目录层次结构组成。可以在负载均衡器后面部署多个实例,以扩展和提高可用性。
译者注:很多人误认为JVM是一个很重量级的框架,本文作者之前也是这么认为的,但是在这篇文章中,作者从几个层面分析了一下,可以看出JVM并不是我们想象中的那么“重”。以下为译文。 大多数情况下,我之所以反对Clojure,就是由于JVM。因为它实在是太重量级了。 这是几周前在ZA Tech科技公司的Slack团队中出现的声音。假期的时候观看了一些关于Clojure的讨论后发现演讲者们又一次又一次地提到了这个反对意见。 关于这一点,我在Slack中做过一段说明。现在,我为了更广泛的讨论而把它记录下来。 背景 我
新增了一个自动配置注解 @AutoConfiguration,用来代替之前的 @Configuration,用于标识新自动配置注册文件中的顶级自动配置类,由 @AutoConfiguration 注解嵌套、导入进来的其他配置类可以继续使用 @Configuration 注解。
Kubernetes是市场上最实用的最受欢迎的容器编排引擎。最初作为一个Google项目开始,成千上万的团队使用它来部署生产中的容器。谷歌声称它每周使用Kubernetes运行数十亿个容器。
作者 | Nic Cope 译者 | 平川 在过去的几个月里,Crossplane 支持的自定义资源数量突破了 Kubernetes 的限制。在这篇文章中,我们将探讨下由 Upbound 工程师发现的限制,以及我们如何帮助克服它们。 本文最初发布于 Upbound Newsletter。 在过去的几个月里,Crossplane 支持的自定义资源数量突破了 Kubernetes 的限制。在这篇文章中,我们将探讨下由 Upbound 工程师发现的限制,以及我们如何帮助克服它们。 背 景 Upbound 创
容器生态系统比以往任何时候都增长和扩展得更快,而且有了这么多的Docker工具和服务,只要了解可用的选项,就会觉得这是一项艰巨的任务。无论你是初学者还是专家、开发人员或DevOps工程师、SRE或平台架构师,此列表都将是你理解最流行的产品以增强你与Docker开发每个阶段的指南。
Portworx,容器存储与数据管理专业解决方案提供商,对其行业领先的容器原生存储解决方案Portworx Enterprise进行了更新,使其企业用户能够在Kubernetes上对关键应用程序进行扩展、备份和恢复。PX-Backup和PX-Autopilot均用于实现存储容量管理。Portworx通过PX-Backup进入企业级备份市场,使企业用户能够方便而安全地对其所有的Kubernetes应用备份进行云原生方式的管理。PX-Backup在容器领域内的独特性在于它支持使用单个命令进行单个Pod、多个Pod以及整个Kubernetes NameSpace的备份,即便企业使用的是Microsoft Azure、AWS或谷歌存储。
越来越多的企业选择Kubernetes作为基础架构,它能够帮助我们缩短软件项目上市时间、降低基础架构成本、并提高软件质量。由于Kubernetes比较新,因此IT团队都在学习如何在生产环境中,在Kubernetes上对应用程序进行运行和维护。本文将探讨,当在需要额外的计算能力时,将Kubernetes应用程序迁移至另一个新的集群。
第9章 日志监控 虽然我们的主机、服务和应用程序可以生成关键指标和事件,但它们也会生成日志,这些日志可以告诉我们其状态的有用信息 特别是对于没有设置监控或者不容易进行监控的遗留应用程序,有时重写、修补或重构该应用程序以暴露内部状态的成本绝对不是一项有利的工程投资,或者还可能存在监控上的技术限制。但是你仍然需要了解应用程序内部发生的情况,最简单的方法之一是调整日志输出 提示:另一种方法是使用Process exporter查看/proc子系统的内容(https://github.com/ncabatoff/p
2.3 Prometheus数据模型 2.3.1 指标名称 2.3.2 标签 2.3.3 采样数据 2.3.4 符号表示 2.3.5 保留时间
原文:Security for building modern web apps 译者:杰微刊—张迪 这篇文章的灵感来自于另一篇文章,它是关于“在今天,构建Web应用之前要知道的事情”的。并不长,但遗漏了一些关于安全性的建议,所以我就此动笔,分享一些这方面的知识。 本文重点是写给那些来自初创公司,并且想要从头开始开发一个Web应用的开发者,他们并不知道太多信息安全的知识,也不想花太多时间考虑其应用程序的安全性。一些重要的内容就不在这里讨论了,诸如威胁建模(threat modeling),持续交付安全(co
在快节奏的软件开发世界中,有效管理依赖关系对构建安全可靠的应用程序至关重要。在开源软件安全领域获得认可的一款工具是 OWASP Dependency-Track。本文旨在全面介绍 Dependency Track,深入了解其功能、目的以及在 Kubernetes 上部署的方法。
k0s 是高度灵活的 Kubernetes,允许您根据使用场景需要,便捷配置和部署控制平面与工作节点。
在最近的前端开发技术的探讨中,htmx经常成为热议的话题。一些人批评它,认为尽管htmx批评现代前端框架过于复杂,但它自己却似乎也是一个复杂的框架。这种看法值得我们深入思考。因为当你将任何第三方代码引入你的项目时,无论是htmx还是其他,都意味着你需要理解并维护它,尤其是在升级的时候。所以,让我们仔细分析一下这种批评,并探究htmx在解决它所宣称的问题时的实际表现。
采用多云的承诺表明,企业应该能够从成本、性能或功能角度来看,在最有意义的云计算环境中运行其应用程序和工作负载。如果在某个云平台中运行某个特定应用程序不够经济性,那么企业应该可以根据需要,以最少的代价和努力将应用程序和数据迁移到其他云平台。
点击关注公众号,Java干货及时送达 Spring Boot 2.7 来了 大家好,我是栈长。 Spring Boot 2.6.0 发布已经过去大半年了,现在 Spring Boot 2.7.0 如期而至: Spring Boot 又接连发布了三个版本: Spring Boot 2.7.0(最新) Spring Boot 2.6.8 Spring Boot 2.5.14 后面两个版本都是修复 bug 版本,2.7.0 才是硬菜,毕竟等了大半年。。 老规矩,栈长重点来解读下 Spring Boot 2.
作者 | Omer Hamerman 译者 | 明知山 策划 | 丁晓昀 在 IT 行业,我们经常会听到诸如云计算、容器、无服务器框架等术语。 那么什么是云计算?容器是如何工作的?函数又如何变成无服务器的? 本文将尝试解读这些技术术语,并探索开发人员应该如何在技术栈中考虑采用容器或无服务器函数。 例如,如果你的应用程序启动时间较长,那么容器可以更好地满足你的需求。 需要进行大规模伸缩的高效无状态函数将从运行无服务器函数中受益。 容器的工作原理 容器 是被打包好的应用程序,包含了代码以及必要的库
如今如果没有提及容器,就很难谈论云计算。无论技术新手还是经验丰富的专家,都需要了解与云中容器相关的这些关键术语。 随着云计算中容器的普及,更多的组织选择不考虑采用外部的容器。 容器已经存在了一段时间,但Docker最近帮助他们成为企业使用的焦点。随着云计算的发展,越来越多的企业看到采用混合和多云模型的好处,但确保软件在从一个环境转移到另一个环境时可靠运行是所面临的一个挑战。容器已经通过将应用程序及其所有组件包装到一个更便携的软件包来解决问题。 而且,随着云计算中容器的日益普及,包括亚马逊网络服务(AWS)
GitLab 分为 gitlab-ce 社区版与 gitlab-ee 企业收费版两个版本,这里安装社区版。由于网络问题,国内用户,建议使用清华大学的镜像源进行安装。
docker毫无疑问是一个优秀的开源工具。但是,仅靠docker引擎和容器就不能进行复杂的应用程序部署。对于部署复杂的应用程序体系结构的容器群集,必须进行适当的配置。容器化的应用程序应该能够根据应用程序资源需求进行扩展和缩小。
在先前的文章中,我谈到了如何使用 Linux 容器技术(如 Docker)简化开发和测试体验。由于容器可跨不同类型的基础架构移植,它们可以像在裸机服务器上一样容易地在AWS中运行,容器使代码的部署非常方便。对于开发和测试工作负载,这可以消除在开发和测试环境之间的细微差异导致部署失败时倾向于发生的大量猜测和指责。
上个月,Kubernetes(世界上最受欢迎的容器编排器)生态系统因发现Kubernetes的第一个主要安全漏洞而动摇。该漏洞(CVE-2018-1002105)使攻击者能够通过Kubernetes API服务器破坏集群,允许他们运行代码来安装恶意软件等恶意活动。
根据目前的市场状况,我们大多数人都认为Kubernetes(又称 "K8s")赢得了容器编排的战斗,战胜了Docker Swarm和Mesos等替代方案。也许这是一个旧闻,但在K8s(2014年)的同时,还有一个平行的参与者在海上航行,但没有被许多技术人员所关注,那就是HashiCorp的Nomad(2015)。 从谷歌孵化出来并得到社区持续支持的Kubernetes是容器编排的事实标准。然而,Kubernetes并不是所有用例的解决方案。正如许多开发者提到的新功能的复杂性。开发困难疑问和 错误的安全配置作
在 Kubernetes 环境中,Probes 是用来检测容器内应用程序的状态的工具。具体来说,有两种类型的 Probes:Liveness 和 Readiness,它们用于确保服务按预期运行。
如果你像我们一样需要运行许多不同的应用程序,那么将开发环境容器化可以极大地提高工作效率。这里有一些可以优化本地 Docker 环境的技巧。
随着Google发布了其混合云服务:云服务平台(Cloud Service Platform,以下简称CSP)测试版,正式进军混合云领域,公有云三巨头全部拥有了混合云相关产品,云巨头角力混合云的时代正式开启。早在2015年,微软率先推出Auzre Stack混合云产品;2018年年底,AWS则跟进推出了其混合云产品OutPosts。
容器技术所提供的解耦能力,让应用程序及其依赖程序不用再和操作系统耦合在一起。和处理虚拟机镜像方式不同,容器技术并不会将操作系统同应用程序打包在一起,这给我们节约了相当多的硬件资源,不管是cpu、内存,还是磁盘空间。同时,容器的下载,更新,部署和迭代的速度,也远比虚拟机镜像要快。因此,容器技术已经在技术圈中引起不小的变革。类似谷歌、微软和亚马逊这样子的公司都已经开始使用这项技术。
随着软件供应链攻击的增加,保护我们的软件供应链变得更加重要。此外,在过去几年中,容器的采用也有所增加。有鉴于此,对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外,我们今天使用的大多数容器,即使我们在生产环境中使用它们,也容易受到供应链攻击。在传统的 CI/CD 工作流中,我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性,这意味着我们必须确保我们构建的镜像没有被篡改,这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一(多亏了 Sigstore)是在构建之后立即签名,并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。
当您准备部署Ruby on Rails应用程序时,需要考虑许多有效的设置。本教程将帮助您部署Ruby 在 Rails应用程序中的生产环境,使用PostgreSQL作为数据库,在Ubuntu 14.04上使用Unicorn和Nginx。
Hello folks,我是 Luga,今天我们来聊一下云原生生态领域的 eBPF 工具链管理框架 - Inspektor Gadget 。
使用的CNCF项目包括:Envoy、Fluentd、Helm、Kubernetes、Prometheus
旧的API版本通常会包含更多的安全漏洞,他们缺乏一些安全机制。我们可以使用REST API的一些特征来预测是否存在旧的API版本。比如当前有一个API被命名为/api/v3/login ,我们可以检查/api/v1/login是否存在 。
当您准备部署Ruby on Rails应用程序时,需要考虑许多有效的设置。本教程将帮助您部署Ruby on Rails应用程序的生产环境,使用PostgreSQL作为数据库,在Ubuntu 14.04上使用Puma和Nginx。
领取专属 10元无门槛券
手把手带您无忧上云