book

DevOps Nativo en la Nube con Kubernetes, 2ª Edición

by Justin Domingus, John Arundel

September 2024

Intermediate to advanced

356 pages

9h 39m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

¿Qué voy a aprender?¿A quién va dirigido este libro?¿A qué preguntas responde este libro?Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
La creación de la nubeComprar tiempoInfraestructura como servicioEl amanecer de DevOpsMejorar los bucles de realimentación¿Qué significa DevOps?Infraestructura como códigoAprender juntosLa llegada de los contenedoresEl estado de la técnicaPensar dentro de la cajaPoner el software en contenedoresAplicaciones Plug and PlayDirigir la Orquesta de ContenedoresKubernetesDe Borg a Kubernetes¿Por qué Kubernetes?¿Desaparecerá Kubernetes?Kubernetes no es una panaceaNativo de la nubeEl futuro de las operacionesDevOps distribuidosAlgunas cosas seguirán centralizadasIngeniería de Productividad para DesarrolladoresTú eres el futuroResumen
Ejecutar tu primer contenedorInstalación de Docker Desktop¿Qué es Docker?Ejecutar una imagen de contenedorLa aplicación de demostraciónMirar el código fuentePresentación de GoCómo funciona la Demo AppConstruir un contenedorComprender los archivos DockerImágenes de Contenedores MínimosEjecutar la compilación de imágenes DockerPoner nombre a tus imágenesReenvío de puertosRegistros de contenedoresAutentificarse en el RegistroCómo nombrar y potenciar tu imagenEjecutar tu imagenHola, KubernetesEjecutar la aplicación de demostraciónSi el Contenedor no arrancaMinikubeResumen
Arquitectura de clústeresEl plano de controlComponentes de los nodosAlta disponibilidadLos costes del autoalojamiento de KubernetesEs más trabajo del que creesNo se trata sólo de la configuración inicialLas herramientas no hacen todo el trabajo por tiKubernetes por las malasKubernetes es difícilGastos generales de administraciónEmpieza con los Servicios GestionadosServicios gestionados de KubernetesMotor Google Kubernetes (GKE)Autoescalado de clústeresPiloto automáticoServicio Amazon Elastic Kubernetes (EKS)Servicio Azure Kubernetes (AKS)Servicio IBM Cloud KubernetesDigitalOcean KubernetesInstaladores de KuberneteskopsKubespraykubeadmMotor Rancher Kubernetes (RKE)Módulo Puppet KubernetesComprar o construir: Nuestras recomendacionesEjecutar menos softwareUtiliza Kubernetes gestionados si puedes¿Pero qué pasa con el bloqueo del proveedor?Bare-Metal y On-PremClústeres Kubernetes MulticloudOpenShiftAnthosUtiliza herramientas estándar de autoalojamiento de Kubernetes si es necesarioServicios de Contenedores sin ClústerAWS FargateInstancias de Contenedor Azure (ACI)Google Cloud RunResumen
ImplementacionesSupervisión y programaciónReiniciar ContenedoresCreación de ImplementacionesVainasConjuntosRéplicaMantener el estado deseadoEl programador de KubernetesManifiestos de recursos en formato YAMLLos recursos son datosManifiestos de ImplementaciónUtilizar kubectl applyRecursos de servicioConsulta del clúster con kubectlLlevar los recursos al siguiente nivelHelm: Un gestor de paquetes KubernetesInstalación de HelmInstalar un gráfico de HelmGráficos, repositorios y publicacionesListado de comunicados de HelmResumen
Comprender los recursosUnidades de recursosSolicitud de recursosLímites de recursosCalidad del servicioGestión del ciclo de vida de los contenedoresSondas de LividezRetardo y frecuencia de la sondaOtros tipos de sondasSondas de preparaciónSondas de arranqueSondas gRPCSondas de preparación basadas en archivosminReadySecondsPresupuestos de Disrupción PodUtilizar espacios de nombresTrabajar con espacios de nombres¿Qué espacios de nombres debo utilizar?Direcciones de servicioCuotas de recursosPeticiones y límites de recursos por defectoOptimizar los costes del clústerKubecostOptimización de las ImplementacionesOptimizar vainasAutoescalador vertical de vainasOptimizar nodosOptimizar el almacenamientoLimpieza de recursos no utilizadosComprobación de la capacidad de reservaUso de instancias reservadasUso de instancias preferentes (puntuales)Mantener equilibradas tus cargas de trabajoResumen
Dimensionamiento y escalado del clústerPlanificación de la capacidadNodos e instanciasEscalar el clústerComprobación de la conformidadCertificación CNCFPruebas de conformidad con SonobuoyRegistro de auditoría de KubernetesPruebas del caosSólo la producción es produccióncaoskubekube-monoPowerfulSealResumen
Dominar kubectlAlias de ShellUtilizar banderas cortasAbreviatura de los tipos de recursosAutocompletar comandos kubectlConseguir ayudaRecursos para obtener ayuda sobre KubernetesMostrar salida más detalladaTrabajar con datos JSON y jqObservar objetosDescribir objetosTrabajar con recursosComandos kubectl imperativosCuándo no utilizar comandos imperativosGenerar manifiestos de recursosExportar recursosRecursos de DifusiónTrabajar con contenedoresVer los Registros de un ContenedorFijación a un contenedorObservar los recursos de Kubernetes con kubespyReenviar un puerto de contenedoresEjecutar comandos en contenedoresEjecutar contenedores para solucionar problemasUso de los comandos de BusyBoxAñadir BusyBox a tus contenedoresInstalar programas en un contenedorContextos y espacios de nombresArchivos kubeconfigkubectx y kubenskube-ps1Kubernetes Shells y Herramientaskube-shellHaz clic enkubed-shPopaIDEs de KubernetesLenteVS Code Extensión KubernetesConstruye tus propias herramientas KubernetesResumen

Contenedores y cápsulas¿Qué es un contenedor?Tiempos de ejecución de contenedores en Kubernetes¿Qué hay en un contenedor?¿Qué cabe en una vaina?Manifiestos de contenedoresIdentificadores de imagenLa última EtiquetaContenedores DigestEtiquetas de la imagen basePuertosSolicitudes y límites de recursosPolítica de extracción de imágenesVariables de entornoSeguridad de los contenedoresEjecutar contenedores como usuario no rootBloquear contenedores raízEstablecer un sistema de archivos de sólo lecturaDesactivar la Escalada de PrivilegiosCapacidadesContextos de Seguridad del PodCuentas del Servicio PodVolúmenesemptyDir VolúmenesVolúmenes persistentesPolíticas de reinicioSecretos para tirar de la imagenContenedores InitResumen
Etiquetas¿Qué son las etiquetas?SelectoresSelectores más avanzadosOtros usos de las etiquetasEtiquetas y anotacionesAfinidades de los nodosAfinidades durasAfinidades blandasAfinidades y antiafinidades de las vainasMantener las vainas juntasMantener las vainas separadasAntiafinidades blandasCuándo utilizar las Afinidades PodManchas y toleranciasControladores PodDaemonSetsConjuntos de estadosEmpleoCronJobsAutoescaladores de cápsulas horizontalesOperadores y definiciones personalizadas de recursos (CRD)EntradaControladores de entradaNormas de accesoTerminar TLS con IngressMalla de servicioIstioLinkerdCónsul ConéctateMalla de servicios NGINXResumen
ConfigMapsCrear ConfigMapsEstablecer variables de entorno desde ConfigMapsConfigurar todo el entorno desde un ConfigMapUso de variables de entorno en argumentos de comandosCrear archivos de configuración a partir de ConfigMapsActualizar Pods tras un cambio de configuraciónSecretos de KubernetesUtilizar secretos como variables de entornoSecretos de escritura de archivosSecretos de lecturaAcceso a los secretosCifrado en reposoGuardar secretos y ConfigMapsEstrategias de gestión de secretosCifrar secretos en el control de versionesUtiliza una herramienta dedicada a la gestión de secretosCifrar secretos con SopsCifrar un archivo con SopsUtilizar un servidor KMSSecretos selladosResumen
Control de acceso y permisosGestionar el acceso por clústerIntroducción al Control de Acceso Basado en Funciones (RBAC)Comprender las funcionesVinculación de funciones a usuarios¿Qué funciones necesito?Proteger el acceso a cluster-adminAplicaciones e ImplementaciónSolución de problemas de RBACAnálisis de seguridad de clústeresGatekeeper/OPAkube-benchKubescapeEscaneado de seguridad de contenedoresClairAquaMotor de anclajeSynkCopias de seguridad¿Necesito hacer una copia de seguridad de Kubernetes?Copia de seguridad de etcdCopia de seguridad del estado de los recursosCopia de seguridad del estado del clústerGrandes y pequeñas catástrofesVeleroMonitoreo del Estado del ClusterkubectlUtilización de CPU y MemoriaConsola del proveedor de la nubePanel de control de KubernetesTejido Ámbitokube-ops-viewdetector de problemas de nodosOtras lecturasResumen
Crear manifiestos con Helm¿Qué hay dentro de un gráfico de Helm?Plantillas de timónInterpolación de variablesCitar valores en plantillasEspecificar dependenciasImplementación de los gráficos de HelmVariables de ajusteEspecificar valores en una liberación de HelmActualizar una aplicación con HelmRetroceder a versiones anterioresCrear un repositorio de gráficos de HelmGestionar los secretos de los gráficos de Helm con SopsGestionar varios gráficos con Helmfile¿Qué hay en un archivo de ayuda?Metadatos del gráficoAplicar el archivo de ayudaHerramientas avanzadas de gestión de manifiestospersonalizaTankaKapitankomposeAnsiblekubevalResumen
Herramientas de desarrolloSkaffoldTelepresenciaWaypointKnativeOpenFaaSPlano transversalEstrategias de ImplementaciónActualizaciones rodantesRecreamaxSurge y maxDisponibleImplementaciones Azul/VerdeImplementaciones RainbowImplementaciones CanariasGestión de migraciones con HelmGanchos de timónManejo de ganchos fallidosOtros ganchosGanchos de encadenamientoResumen
¿Qué es la Implementación Continua?¿Qué herramienta de CD debo utilizar?Herramientas CI/CD alojadasTuberías AzureGoogle Cloud BuildCodefreshAcciones de GitHubGitLab CIHerramientas CI/CD autoalojadasJenkinsDroneTektonConcourseSpinnakerArgoQuillaUna canalización CI/CD con Cloud BuildConfiguración de Google Cloud y GKEBifurcar el Repositorio de DemostracionesCrear Repositorio de Contenedores de Registro de ArtefactosConfigurar Cloud BuildConstruir el contenedor de pruebasEjecutar las pruebasConstruir el contenedor de aplicacionesVariables de sustituciónEtiquetas Git SHAValidar los manifiestos de KubernetesPublicar la imagenCrear el primer activador de creaciónProbar el disparadorImplementación desde una cadena CI/CDCreación de un activador de implementaciónAdaptación de la tubería de ejemploGitOpsFluxResumen
¿Qué es la observabilidad?¿Qué es el monitoreo?Monitoreo de caja cerrada¿Qué significa "arriba"?RegistroPresentación de las métricasRastreandoObservabilidadEl conducto de la observabilidadMonitoreo en KubernetesComprobaciones externas a cajón cerradoControles de salud internosResumen
¿Qué son realmente las métricas?Datos de series temporalesContadores y calibradores¿Qué pueden decirnos las métricas?Elegir buenas métricasServicios: El patrón REDRecursos: El patrón de usoMétricas empresarialesMétricas de KubernetesAnalizar las métricas¿Qué tiene de malo una media simple?Medias, Medianas y Valores atípicosDescubrir los percentilesAplicar percentiles a los datos métricosNormalmente queremos saber lo peorMás allá de los percentilesGraficar métricas con cuadros de mandoUtiliza un diseño estándar para todos los serviciosConstruye un Radiador de Información con Cuadros de Mando PrimariosCosas del salpicadero que se rompenAlerta sobre métricas¿Qué pasa con las alertas?La guardia no debe ser un infiernoAlertas Urgentes, Importantes y AccionablesControla tus Alertas, Páginas Fuera de Horario y DespertadoresHerramientas y servicios de métricaPrometeoSuite de Operaciones de GoogleAWS CloudWatchMonitor AzureDatadogNew RelicResumen
Dónde ir despuésNotas de la Segunda EdiciónBienvenido a bordo

Content preview from DevOps Nativo en la Nube con Kubernetes, 2ª Edición

Capítulo 11. Seguridad, copias de seguridad y salud del clúster

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Si crees que la tecnología puede resolver tus problemas de seguridad, es que no entiendes los problemas y no entiendes la tecnología.

Bruce Schneier, Criptografía Aplicada

En este capítulo, exploraremos la maquinaria de seguridad y control de acceso en Kubernetes, incluido el Control de Acceso Basado en Roles (RBAC), esbozaremos algunas herramientas y servicios de exploración de vulnerabilidades y explicaremos cómo hacer copias de seguridad de tus datos y estado de Kubernetes (y lo que es aún más importante, cómo restaurarlos). También veremos algunas formas útiles de obtener información sobre lo que ocurre en tu clúster.

Control de acceso y permisos

Las pequeñas empresas tecnológicas suelen empezar con pocos empleados, y todos tienen acceso de administrador en todos los sistemas.

Sin embargo, a medida que la organización crece, acaba quedando claro que ya no es buena idea que todo el mundo tenga derechos de administrador: es demasiado fácil que alguien cometa un error y cambie algo que no debería. Lo mismo se aplica a Kubernetes.

Gestionar el acceso por clúster

Una de las cosas más fáciles y eficaces que puedes hacer para proteger tu clúster de Kubernetes es limitar quién tiene acceso a él. Por lo general, hay dos grupos de personas que necesitan acceder a los clústeres de Kubernetes: los operadores ...