开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

当我们使用kops为现有的Kubernetes集群设置新的SSH密钥时，会破坏什么吗？

当我们使用kops为现有的Kubernetes集群设置新的SSH密钥时，可能会破坏以下内容：

访问权限：SSH密钥用于访问Kubernetes集群的节点和控制平面。如果我们设置了新的SSH密钥，旧的密钥将无法访问集群，可能导致无法连接到集群节点或执行管理操作。
自动化工具：一些自动化工具或脚本可能依赖旧的SSH密钥来执行操作，例如自动化部署、扩展或监控。更改SSH密钥可能导致这些工具无法正常工作，需要相应地更新配置。
安全性：SSH密钥用于身份验证和安全访问集群。如果我们设置了新的SSH密钥，需要确保新密钥的安全性，包括正确的密钥生成、存储和分发。否则，可能会面临密钥泄露或未经授权的访问风险。

总结起来，当我们使用kops为现有的Kubernetes集群设置新的SSH密钥时，可能会破坏访问权限、自动化工具的功能和安全性。因此，在进行此操作之前，需要仔细评估和计划，并确保相关的配置和流程得到正确更新和验证。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

（译）Kubernetes：移除 CPU 限制，服务运行更快

我们使用 kops 对 Kubernetes 集群进行管理，其中包含了大约 60 个运行在 AWS 的节点，运行着 1500 个左右的容器。我们的微服务迁移之路充满坎坷。...我们的在集群的测试中出现过一些不稳定的情况，部分服务占用过多资源，破坏了同一节点内的其它服务。...然而我们使用 Datadog 让集群变得易于监控，我们花了几个月的时间，对每个我们希望放开限制的服务的运行情况进行观察，根据监控结果，我们将这些容器的 CPU 请求值设置为观测到的上限的 120%。...同样的方法可以用在内存的设置上。如果觉得还不放心，可以使用 HPA 来增强服务的弹性，并在节点资源不足时告警，或者使用集群的自动扩容能力。这个操作客观上会降低容器密度。...如果你取消了 CPU 限制，请仔细监控节点中 CPU 和内存的使用情况，并确保你的 CPU 请求够大，一个安全的方法是，如果资源使用量大，就使用 HPA 来创建新的 Pod，这样 Kubernetes

2K2 0

16个 Awesome 工具让 Kubernetes 如虎添翼

根据要监视的 Kubernetes，可以在ConfigMap文件中为那些资源设置true或false。...Kops Kops是一个开源项目，用于非常轻松，快速地建立可投入生产的Kubernetes集群。Kops主要可用于在AWS和GCE上部署Kubernetes集群。...小型 Kubernetes 集群很容易创建和维护，但是在扩展集群时，会添加许多配置，并且很难进行操作管理。Kops 是可帮助您解决此类问题的工具。...它遵循配置驱动的方法，该方法可以使集群始终保持最新和安全。 Kops 还具有许多网络后端，根据使用情况选择其中一个，可以使您轻松设置各种类型的集群。...在交互模式下，它会告诉您有关手动尝试破坏的集群组件的信息。在标签模式下，您可以使用标签杀死集群上的目标对象，例如Pod。

1.1K3 0

云原生全景图详解系列（二）：供应层

从根本上讲，在这一层，你需要一个或多个工具来为 Kubernetes 集群搭建计算环境、CPU、内存、存储和网络。此外，你还需要其中的一些工具来创建和管理 Kubernetes 集群本身。...在撰写本文时，该领域中有三个 CNCF 项目：KubeEdge（一个沙盒项目）以及 Kubespray 和 Kops（后两个是 Kubernetes 子项目，虽然未在全景图中列出，但它们也属于 CNCF...它们使你能在容器和 Kubernetes 环境中设置策略（用于合规性），深入了解存在的漏洞，捕获错误配置，并加固容器和集群。...Kubernetes 默认的访问控制比较宽松，对于想攻击系统的人来说， Kubernetes 集群很容易成为目标。该空间中的工具和项目有助于增强群集，并在系统运行异常时提供工具来检测。...在撰写本文时，Falco、Notary/TUF 和 OPA 是该领域中仅有的 CNCF 项目。 ? ? K8sMeetup 密钥和身份管理是什么在进入到密钥管理之前，我们首先定义一下密钥。

1K1 0

Kubernetes 开源9年，但我们已经有了 8 年的踩坑血泪史

有时一位开发工程师会问他的同事：“你还记得这个服务应该有多少 CPU 或 RAM，或者它应该有哪些网络和端口访问权限吗？”更不用说那些已经随风而逝的密钥了。...当它创建新集群时，它没有将 etcd 证书的过期时间设置为我们提供的过期日期，而用的是一年这个默认值。因此，在第一次集群崩溃整整一年后，证书过期了，我们又经历了另一次集群崩溃。...对我们来说，由于团队带宽有限，我们决定存储和使用 shell 脚本。无论你选择哪种方法，请务必不时测试流程，以确保你可以在需要时重新创建集群。备份密钥制定备份和存储密钥的策略。...如果你的集群消失了，你所有的密钥也都会消失。相信我，这是我们的前车之鉴；当你有多个不同的微服务和外部依赖项时，需要花费大量时间才能使一切恢复正常。...然而，同时构建太多 Drone 时，它会消耗掉几乎所有的资源，让 Kubernetes 急着启动新节点。最好的解决方案可能是将其作为纯粹的 SaaS 解决方案，而不必担心产品本身的托管和维护工作。

1901 0

Kubernetes助力Nubank一周部署200次

因此，随着时间推移，会变得越来越慢，越来越痛苦。” 此外，还有其他痛点，包括应用软件的负载均衡，在 AWS 中添加新的安全组规则的难度等。...“我们为 Kubernetes 部署了 kops 解决方案，采用 kops 确认逆向工程，试图了解 Kubernetes 的具体情况，以及配置的复杂细节，”Capaverde 说，“我们自己做的自动化，...后来，“我们看到了 Kubernetes 项目的发展方向，”他说，团队开始使用 kubeadm 来创建。“我们用生产工具创建新的集群，这样就能了解整体运行状况，”软件工程师 Yago Nobre 说。...我们有 400 多个微服务，所以你可以想象我们必须等着 EC2 实例才能启动、然后启动容器时的部署情况。有了 Kubernetes，只需要启动容器就好了。”...“如果你的所有工作都在云上完成，我们就需要设置新的 AWS 账户，了解新的 AWS 账户有什么局限，” Capaverde 说，“用 Kubernetes 抽象方法更便于迭代基础设施和应用程序，速度更快

3351 0

k0smotron Anywhere: 成为完整的ClusterAPI基础设施Provider

管理多个 Kubernetes 集群，甚至可能跨越多个基础设施，绝对不容易。Cluster API 可以通过引入一种声明性的方式来管理基础设施和集群设置。...但是，如果您想在本地、裸金属或其他类似环境中使用，而现有的 Cluster API provider 并没有真正涵盖，也不用担心，我们有您的后盾。...完成意味着 k0smotron Anywhere 现在可以作为符合 Cluster API 的基础设施provider运行。这为在您的 Kubernetes 集群中无缝管理远程机器打开了新的可能性。...创建定义远程基础设施的 RemoteMachines，指定其详细信息，如地址、端口、用户和 SSH 密钥。然后，这些远程机器可以作为您的 Kubernetes 集群的一部分使用。...当然，自动扩展程序无法为您带来新的机器到数据中心，但所有这些将允许您以一种方式使用自动扩展程序和其他类似功能，在集群中收到需要另一台机器的信号时。

661 0

使用 AWS、k3s、Rancher、Vault 和 ArgoCD 在 Kubernetes 上集成 GitOps

随着 Kubernetes 将自己打造为容器编排的工业标准以来，为你的应用和工具寻找一条能够高效使用声明式模型的途径是成功的关键因素。...piblic_ssh_key – 如果你需要 SSH 到 Kubernetes 的 EC2s，该值为公共的 SSH 密钥。...keypair_name – public_ssh_key 对应的密钥对名称。 key_s3_bucket_name – 当集群创建成功时用于存储 kubeconfig 文件的存储区。...这样我们就有一整套使用 GitOps 部署应用程序的工具链了。下一步要做些什么呢？...这样的话，当一个新的应用程序镜像被构建完成，新的 tag 会自动更新到配置清单仓库中，ArgoCD 将会自动部署新的版本。希望你能享受本篇文章并能从中学到一些东西！感谢您的阅读。

2.3K4 2

原荐 Kubernetes(三) - 使

目前创建K8S集群的安装程序最受欢迎的有Kops，Kubespray，kubeadm，rancher，以及个人提供的脚本集等。...Kops和Kubespary在国外用的比较多，没有处理中国的网络问题，没法使用。...Rancher2016年的新起之秀，可以做到极简快速部署管理Docker，并支持多种编排方式：Cattle、Kubernetes、Mesos、Swarm等。通过修改镜像库的方式可以实现在国内的使用。...2.创建一个K8S集群这里统一使用的都是Centos7.4系统,Docker-17.03.02-ce版本同样在环境配置中选择添加环境 ?...选择cli可以使用在线ssh工具操作kubectl ?

1.6K5 0

使用 kubeadm 创建一个 kubernetes 集群

为了方便我们安装，我们将sshd设置为keepalive： $ sudo -i $ echo "ClientAliveInterval 10" >> /etc/ssh/sshd_config $ echo...使用kubeadm初始化master 安装完所有的依赖之后，我们就可以用 kubeadm初始化master了。...我们在初始化的时候指定一下kubernetes版本，并设置一下pod-network-cidr（后面的flannel会用到）： $ sudo -i $ kubeadm init --kubernetes-version...界面差不多如下：最下面的这行 kubeadm join什么的，就是用来让别的node加入集群的，可以看出非常方便。我们要保存好这一行东西，这是我们之后让node加入集群的凭据，一会儿会用到。...总结我们可以看到，用 kubeadm部署可以让我们比手动部署方便得多，虽然比不上 kops这样的一键部署生产Kubernetes集群的工具，但是 kubeadm最初的设计也并非是傻瓜式使用。

1.1K8 0

云原生之旅的最佳 Kubernetes 工具

为什么要使用 Kubernetes？...使用接近普通英语的语言，通过 SSH 自动化从代码部署到网络配置到云管理的所有内容，无需在远程系统上安装代理。...工具名称描述 Vault Kubernetes HashiCorp Vault 是一个商业密钥管理工具，提供统一平台来管理所有的秘密，包括密码、API 密钥和证书。...可重用性：包管理器允许您为应用程序创建可重用的包。在部署新应用程序或更新现有应用程序时，这可以节省您的时间和精力。社区支持：包管理器通常拥有庞大且活跃的社区，可以提供支持并帮助解决问题。...Kubernetes 日志记录和追踪应用程序创建日志消息来告诉我们它们正在做什么以及发生了什么。日志记录工具收集和存储这些消息，以便我们可以查看正在发生的事情，并在出现问题时进行故障排除。

1301 0

探索Kubernetes多租户解决方案

实验内容基于我在Berops公司担任Kubernetes工程师时遇到的真实问题，以及我以前在该领域的经验。挑战是直接从Slack开始的。什么是多租户？...纯 Kubernetes 最简单的多租户形式是为每个学生配置一个新的 Kubernetes 用户，提供证书和密钥以访问主机集群命名空间。...配置 Firecracker 容器的 SSH 连接也需要额外的步骤，这可能会导致一个非常大的容器，可能无法实现我想要的结果：一个基本的 Kubernetes 集群，具有完整的操作系统，我可以随意破坏。...当新的 VirtualMachine 定义被添加到 Kubernetes API 时，Kubevirt 执行以下步骤： virt-handler DaemonSet Pod 生成一个 virt-launcher...一旦这些镜像被拉取到我的 Kubernetes集群上，初始化新环境的速度会更快，大概需要 90 秒左右。尽管有所改进，时间仍然较长。为进一步优化，我创建了一组预置就绪的租户环境缓存。

2041 0

10个步骤成为K8S云原生工程师

本文不会讨论为什么要使用 kubernetes，而是重点讨论你已经确定将kubernetes作为你的解决方案后，如何使用它。...在这台便宜的机器上安装 Kubectl、KOPS 和 Helm。这台机器将被称为主节点，它将负责连接、交互和设置集群和驻留在其中的 pod。详细介绍，我们会在另一篇文章说明。...确保将所有 KOPS 命令记录在 sh 脚本文件中，这样您的基础设施构建过程就会被记录为代码，并且可以轻松复制，以防出现可能需要重新设置集群的错误。...类似地，如果微服务上的工作负载下降，k8s 将神奇地“释放”或终止它产生的 pod 以及它在变得不必要时自动创建的新节点。...它赋予 Pod 对特定节点污点的亲和（或喜欢），或对节点污点的反亲和（不喜欢）。当尝试在具有特殊功能（高 CPU、GPU、高内存）的节点上调度特定 pod 时，节点亲和性非常强大。

6553 0

K8S OS 内核性能参数调优

什么是backlog？backlog就是socket的监听队列，当一个请求（request）尚未被处理或建立时，他会进入backlog。增加连接数....= 16777216 接收套接字缓冲区大小的最大值(以字节为单位)。...允许在协议安全的情况下重用TIME_WAIT 套接字用于新的连接 net.core.netdev_max_backlog = 16384 当网卡接收数据包的速度大于内核处理的速度时，会有一个队列保存这些数据包...这个参数表示该队列的最大值如果内核接收数据包的速度超过了可以处理的速度，这个队列就会增加 fs.file-max = 2097152 该参数决定了系统中所允许的文件句柄最大数目，文件句柄设置代表linux...实例和watch的最大数量由于dockerd作为单个用户运行，每个用户的默认实例值128太低了例如使用inotify: nginx ingress controller, kubectl logs -f

1.9K2 1

解决 K8s 落地难题的方法论提炼

本文为了让使用 Kubernetes 的后来者能少走弯路，通过总结前人经验的方式给大家做一次深度提炼。构建弹性集群策略 Kubernetes 集群架构是为单数据中心设计的容器管理集群系统。...在企业落地的过程中，因为场景、业务、需求的变化，我们已经演化出不同的集群部署方案，大概分类为统一共享集群、独立环境多区集群、应用环境多区集群、专用小型集群：通过以上的对比分析，显然当前最佳的方式是，...以环境为中心或以应用为中心部署多集群模式会获得最佳的收益。...因为使用场景的不同，针对人的权限，我们一般会提供 User、Group 对象。...我建议大家可以多积累并使用这些增强组件来加固自己的集群，让我们一起站在巨人的肩膀上用好 Kubernetes 集群。

2952 0

面向 Kubernetes 开发者的设置指南

最后几部分则在开发、构建和测试方面提出了一些建议，您因而可以为 Kubernetes 项目贡献有用的代码。一些基础问题如果您是 Kubernetes 新手，在我们开始之前，您可能会遇到一些问题。...Kubernetes 在 GitHub 上提供。 Kubernetes 是 OSS 吗？ Kubernetes 是 Google 捐赠给云原生计算基金会 (CNCF) 的开源软件。...为解决此类时间差异，我提供了一些可跳过的地方。当某些操作即使是专家也需要花费很长时间时，我会告诉您。我还会提供一些捷径，让您能够从小处着手构建和测试，从而加快速度。具体操作需要多长时间取决于您的硬件。...您的开发环境首先创建基本的 Kubernetes 开发环境： Linux 终端和/或 ssh。（参阅设置您的主机操作系统、设置 Ubuntu 和使用并配置 ssh。）...：运行端到端 Kubernetes 测试以往通常需要配置无密码的 ssh（使用密钥而不是密码）。

1.9K3 0

Kubernetes 1.18 福履将之

为此，API服务器提供了一个OpenID Connect（OIDC）相关文档，其中包含令牌公共密钥以及其他数据。现有的OIDC身份验证者可以使用这些密钥来验证KSA令牌等。...这就是为什么您需要在同一集群中配置多个调度程序，并指定每个Pod使用哪个调度程序的原因。但是，这可能会导致竞争状况，因为每个调度程序在给定时刻可能具有不同的集群资源数据。...这最终会导致非常大的卷上的缓慢过程，还会破坏一些对权限敏感的应用程序，例如数据库。已添加新的FSGroupChangePolicy字段以控制此行为。如果设置为始终，它将保持当前行为。...但是，当设置为OnRootMismatch时，仅当顶级目录与预期的fsGroup值不匹配时，它才会更改卷权限。...设置为true时，将拒绝对资源密钥所做的任何更改。这样可以保护集群数据，避免意外或错误更新从而破坏应用程序。由于它们不变，因此Kubelet不需要定期检查其更新，这可以提高可伸缩性和性能。

9332 0

你一定要了解这 17 条 Docker 最佳实践！

缓存安装包到 Docker 主机上当一个需求文件被改变时，镜像需要被重建以安装新的包。先前的步骤将被缓存，正如在最小化层数中提到的。在重建镜像时下载所有的包会导致大量的网络活动，并需要大量的时间。...（我们将在本文后面进一步详细讨论这个问题）可移植性和可预测性 - 当容器有较少的部分在工作时，制作安全补丁或调试问题就会容易得多。 9....所以无论你如何对待你的内部镜像，都不应该对基本镜像使用 latest 标签，因为你可能会无意中把一个带有破坏性变化的新版本部署到生产中。...使用 AWS Secrets Manager 的密钥与 Kubernetes 的密钥[7] DigitalOcean Kubernetes - 保护 DigitalOcean Kubernetes 集群的推荐步骤...它是用来设置软限制的，当主机的内存或CPU资源不足时，它就会优先考虑。

2.6K2 0

Siloscape可在Kubernetes集群中植入后门

Palo Alto Networks网络安全研究人员披露了一种新恶意软件的惊人细节，该恶意软件会危害Windows容器以针对Kubernetes集群，它被命名为Siloscape。...Siloscape是第一个针对 Windows 容器的恶意软件，它利用影响Web服务器和数据库的已知系统漏洞，最终目标是破坏Kubernetes节点和后门集群。...专注于将Linux作为管理云环境和应用程序的首选操作系统。什么是Kubernetes集群? Kubernetes最初由Google开发，现由云原生计算基金会来维护。...它的目标是为Kubernetes集群设置后门，这为其运营商滥用受损的云基础设施进行更广泛的恶意活动提供基础，包括窃取凭证、数据泄露、勒索软件攻击，甚至是灾难性的供应链攻击。...建议Kubernetes管理员从Windows容器切换到Hyper-V容器，并确保集群是安全配置以防止像Siloscape这样的恶意软件部署新的恶意容器。

1K7 0

使用K8s的一些经验和体会

对于升级，我们已经意识到，最简单的方法是使用最新版本构建新集群，并将工作负载从旧版本过渡到新版本。节点原地升级所做的努力和计划是不值得的。...虽然像 Kubespray、Kubeone、Kops 和 Kubeaws 这样的项目使它变得更容易，但它们都有缺点. 我们在 RHEL 虚拟机上使用 Kubespray 构建了自己的集群。...当系统意外故障或崩溃导致 Kafka 启动时，问题发生了。这导致它在启动期间运行其他脚本来修复损坏的索引，根据严重性，此过程可能需要 10 到 30 分钟。...除非进行完整的计划，否则它很轻易就破坏了扩展性。我们的集群运行在Calico for CNI上，在 Kubernetes 内部采用BGP作为路由协议，并与边缘路由器对等。...最好将其设置为 false，以确保 RunAsUser 命令不能绕过其现有的权限集。

8199 0

白话 Kubernetes 基础概念

例如，您可以自动化 Kubernetes 来为您的部署创建新容器，删除现有容器并将它们的所有资源用于新容器。容器资源配额：Kubernetes 允许您指定每个容器所需 CPU 和内存（RAM）。...当容器指定了资源请求时，Kubernetes 可以做出更好的决策来管理容器的资源。...密钥与配置管理：Kubernetes 允许您存储和管理敏感信息，例如密码、OAuth 令牌和 ssh 密钥。您可以在不重建容器镜像的情况下部署和更新密钥和应用程序配置，也无需在堆栈配置中暴露密钥。...Pod代表着集群中运行的进程。 Pod中封装着应用的容器（有的情况下是好几个容器），存储、独立的网络IP，管理容器如何运行的策略选项。...首先，当容器崩溃时，kubelet 会重启它，但是容器中的文件将丢失——容器以干净的状态（镜像最初的状态）重新启动。其次，在 Pod 中同时运行多个容器时，这些容器之间通常需要共享文件。

8482 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭