book

Kubernetes de producción

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 4m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Definición de KubernetesLos componentes básicosMás allá de la orquestación: funcionalidad ampliadaInterfaces KubernetesResumiendo KubernetesDefinición de plataformas de aplicaciónEl espectro de enfoquesAlinear tus necesidades organizativasResumiendo las Plataformas de AplicaciónConstruir plataformas de aplicaciones en KubernetesEmpezar desde abajoEl espectro de la abstracciónDeterminar los servicios de la plataformaLos bloques de construcciónResumen
Servicio gestionado frente a "hazlo tú mismoServicios gestionadosHazlo tú mismoTomar la decisiónAutomatizaciónInstalador PreconstruidoAutomatización personalizadaArquitectura y topologíaModelos de Implementación de etcdNiveles de clústerPools de nodosFederación de ClustersInfraestructuraMetal desnudo frente a virtualizadoDimensionamiento del clústerInfraestructura informáticaInfraestructura de redEstrategias de automatizaciónInstalaciones de máquinasGestión de la configuraciónImágenes de máquinasQué instalarComponentes en contenedoresComplementosActualizacionesVersionado de plataformasPlan para fracasarPruebas de integraciónEstrategiasMecanismos desencadenantesResumen
La llegada de los contenedoresLa Iniciativa de Envases AbiertosEspecificación de tiempo de ejecución OCIEspecificación de la imagen OCILa interfaz de tiempo de ejecución del contenedorIniciar un PodElegir un tiempo de ejecuciónDockercontenedordCRI-OContenedores KataKubelet virtualResumen
Consideraciones sobre el almacenamientoModos de accesoAmpliación de volumenAprovisionamiento de volumenCopia de seguridad y recuperaciónDispositivos de bloques y almacenamiento de archivos y objetosDatos efímerosElegir un proveedor de almacenamientoPrimitivas de almacenamiento de KubernetesVolúmenes persistentes y reclamacionesClases de almacenamientoLa Interfaz de Almacenamiento de Contenedores (CSI)Controlador CSINodo CSIImplantar el almacenamiento como servicioInstalaciónExponer las opciones de almacenamientoConsumir almacenamientoRedimensionarInstantáneasResumen
Consideraciones sobre la redGestión de direcciones IPProtocolos de enrutamientoEncapsulación y tunelizaciónRuteabilidad de la carga de trabajoIPv4 e IPv6Tráfico de carga de trabajo encriptadoPolítica de RedResumen: Consideraciones sobre las redesLa interfaz de red de contenedores (CNI)Instalación CNIPlug-ins CNICalicoCilioAWS VPC CNIMultusPlug-ins adicionalesResumen
Servicios KubernetesLa abstracción del servicioPuntos finalesDetalles de la implementación del servicioDescubrimiento de serviciosRendimiento del servicio DNSEntradaEl caso de IngressLa API de IngressControladores de acceso y cómo funcionanPatrones de tráfico de entradaElegir un controlador de entradaConsideraciones sobre la Implementación del Controlador de EntradaEl DNS y su papel en la entradaGestión de certificados TLSMalla de servicioCuándo (no) utilizar una Malla de ServiciosLa Interfaz de Malla de Servicios (SMI)El proxy del plano de datosMalla de servicios en KubernetesArquitectura del plano de datosAdoptar una malla de serviciosResumen
Defensa en profundidadCifrado de discoSeguridad en el transporteCifrado de aplicacionesLa API secreta de KubernetesModelos de consumo secretoDatos secretos en etcdCifrado de clave estáticaEncriptación de sobresProveedores externosBóvedaCyberarkIntegración de la inyecciónIntegración CSISecretos en el mundo declarativoSellar secretosControlador de secretos selladosRenovación de llavesModelos MulticlusterBuenas prácticas para los secretosAuditar siempre la interacción secretaNo filtres secretosPrefiere los Volúmenes a las Variables de EntornoHaz que los proveedores de la tienda secreta sean desconocidos para tu aplicaciónResumen
La cadena de admisión de KubernetesControladores de Admisión en ÁrbolWebhooksConfiguración de los Controladores de Admisión WebhookConsideraciones sobre el diseño de los webhooksEscribir un webhook mutanteGestor HTTPS simpleTiempo de ejecución del controladorSistemas políticos centralizadosResumen

Mecánica de talaProcesamiento de registros de contenedoresRegistros de auditoría de KubernetesEventos KubernetesAlerta sobre registrosImplicaciones para la seguridadMétricasPrometeoAlmacenamiento a largo plazoImpulsar las métricasMétricas personalizadasOrganización y FederaciónAlertasShowback y ContracargoComponentes métricosRastreo distribuidoOpenTracing y OpenTelemetryComponentes de seguimientoInstrumentación de la aplicaciónMallas de servicioResumen
Identidad del usuarioMétodos de autenticaciónImplementar permisos de mínimo privilegio para los usuariosIdentidad de la aplicación/carga de trabajoSecretos compartidosIdentidad de redFichas de Cuenta de Servicio (SAT)Fichas de Cuenta de Servicios Proyectados (PSAT)Identidad de nodo mediada por plataformaResumen
Puntos de extensiónExtensiones Plug-inExtensiones WebhookExtensiones de operadoraEl Patrón OperadorControladores KubernetesRecursos personalizadosCasos prácticos de operadoresUtilidades de plataformaOperadores de carga de trabajo de uso generalOperadores específicos de la aplicaciónDesarrollando OperadoresHerramientas de desarrollo del operarioDiseño del modelo de datosImplementación lógicaAmpliar el ProgramadorPredicados y prioridadesPolíticas de programaciónPerfiles de programaciónProgramadores múltiplesProgramador personalizadoResumen
Grados de aislamientoClústeres de un solo inquilinoClústeres multiusuarioEl límite del espacio de nombresMultitenencia en KubernetesControl de acceso basado en roles (RBAC)Cuotas de recursosWebhooks de admisiónSolicitudes y límites de recursosPolíticas de redPolíticas de seguridad del móduloServicios de Plataforma MultiusuarioResumen
Tipos de escaladoArquitectura de la aplicaciónAutoescalado de la carga de trabajoAutoescalador horizontal de vainasAutoescalador vertical de vainasAutoescalado con métricas personalizadasAutoescalador proporcional de clústerAutoescalado personalizadoAutoescalado de clústeresSobreaprovisionamiento del clústerResumen
Implementación de aplicaciones en KubernetesPlantillas de Manifiestos de ImplementaciónEmpaquetar aplicaciones para KubernetesIngesta de configuración y secretosConfigMaps y secretos de KubernetesObtener la configuración de sistemas externosCómo reprogramar eventosEnganche del ciclo de vida del contenedor Pre-stopApagado Gracioso de ContenedoresSatisfacer los requisitos de disponibilidadSondas estatalesSondas de LividezSondas de preparaciónSondas de arranqueImplementar sondasSolicitudes y límites de recursos PodSolicitud de recursosLímites de recursosRegistros de aplicacionesQué registrarRegistros no estructurados frente a estructuradosInformación contextual en los registrosExponer las métricasAplicaciones de instrumentaciónMétodo USOMétodo REDLas cuatro señales de oroMétricas específicas de la aplicaciónServicios de Instrumentación para el Rastreo DistribuidoInicializar el TrazadorCrear tramosPropagar el contextoResumen
Construir imágenes de contenedoresEl Antipatrón de las Imágenes Base DoradasElegir una imagen baseUsuario en tiempo de ejecuciónFijar versiones de paquetesImagen de compilación frente a imagen de tiempo de ejecuciónPaquetes de construcción nativos de la nubeRegistros de imágenesExploración de vulnerabilidadesFlujo de trabajo de cuarentenaFirma de imágenesEntrega continuaIntegrar construcciones en un pipelineImplementaciones basadas en PushPatrones de despliegueGitOpsResumen
Exposición de la plataformaOnboarding AutoservicioEl espectro de la abstracciónHerramientas de línea de comandosAbstracción mediante plantillasAbstracción de las primitivas de KubernetesHacer invisible a KubernetesResumen

Content preview from Kubernetes de producción

Capítulo 7. Gestión de secretos

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

En cualquier pila de aplicaciones, está casi garantizado que nos encontremos con datos secretos. Estos son los datos que las aplicaciones quieren mantener, bueno, secretos. Normalmente, asociamos los secretos a las credenciales. A menudo, estas credenciales se utilizan para acceder a sistemas internos o externos al clúster, como bases de datos o colas de mensajes. También nos encontramos con datos secretos cuando utilizamos claves privadas, que pueden respaldar la capacidad de nuestra aplicación para realizar TLS mutuos con otras aplicaciones. Este tipo de preocupaciones se tratan en el Capítulo 11. La existencia de secretos conlleva muchas preocupaciones operativas a tener en cuenta, como:

Políticas de rotación de secretos: ¿Cuánto tiempo puede permanecer un secreto antes de que deba cambiarse?
Políticas de rotación de claves (cifrado): Suponiendo que los datos secretos se encriptan en la capa de aplicación antes de ser transferidos al disco, ¿cuánto tiempo puede permanecer una clave de encriptación antes de que deba ser rotada?
Políticas de almacenamiento secreto: ¿Qué requisitos hay que cumplir para almacenar datos secretos? ¿Necesitas persistir secretos en hardware aislado? ¿Necesitas que tu solución de gestión de secretos se integre con un módulo de seguridad de hardware (HSM)?
Plan de reparación: Si el secreto o la clave ...