book

Kubernetes de producción

Name: Kubernetes de producción
ISBN: 9781098187958

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 4m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prólogo
Prefacio
Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
1. Un camino hacia la producción
Definición de KubernetesLos componentes básicosMás allá de la orquestación: funcionalidad ampliadaInterfaces KubernetesResumiendo KubernetesDefinición de plataformas de aplicaciónEl espectro de enfoquesAlinear tus necesidades organizativasResumiendo las Plataformas de AplicaciónConstruir plataformas de aplicaciones en KubernetesEmpezar desde abajoEl espectro de la abstracciónDeterminar los servicios de la plataformaLos bloques de construcciónResumen
2. Modelos de Implementación
Servicio gestionado frente a "hazlo tú mismoServicios gestionadosHazlo tú mismoTomar la decisiónAutomatizaciónInstalador PreconstruidoAutomatización personalizadaArquitectura y topologíaModelos de Implementación de etcdNiveles de clústerPools de nodosFederación de ClustersInfraestructuraMetal desnudo frente a virtualizadoDimensionamiento del clústerInfraestructura informáticaInfraestructura de redEstrategias de automatizaciónInstalaciones de máquinasGestión de la configuraciónImágenes de máquinasQué instalarComponentes en contenedoresComplementosActualizacionesVersionado de plataformasPlan para fracasarPruebas de integraciónEstrategiasMecanismos desencadenantesResumen
3. Tiempo de ejecución del contenedor
La llegada de los contenedoresLa Iniciativa de Envases AbiertosEspecificación de tiempo de ejecución OCIEspecificación de la imagen OCILa interfaz de tiempo de ejecución del contenedorIniciar un PodElegir un tiempo de ejecuciónDockercontenedordCRI-OContenedores KataKubelet virtualResumen
4. Almacenamiento de contenedores
Consideraciones sobre el almacenamientoModos de accesoAmpliación de volumenAprovisionamiento de volumenCopia de seguridad y recuperaciónDispositivos de bloques y almacenamiento de archivos y objetosDatos efímerosElegir un proveedor de almacenamientoPrimitivas de almacenamiento de KubernetesVolúmenes persistentes y reclamacionesClases de almacenamientoLa Interfaz de Almacenamiento de Contenedores (CSI)Controlador CSINodo CSIImplantar el almacenamiento como servicioInstalaciónExponer las opciones de almacenamientoConsumir almacenamientoRedimensionarInstantáneasResumen
5. Red de vainas
Consideraciones sobre la redGestión de direcciones IPProtocolos de enrutamientoEncapsulación y tunelizaciónRuteabilidad de la carga de trabajoIPv4 e IPv6Tráfico de carga de trabajo encriptadoPolítica de RedResumen: Consideraciones sobre las redesLa interfaz de red de contenedores (CNI)Instalación CNIPlug-ins CNICalicoCilioAWS VPC CNIMultusPlug-ins adicionalesResumen
6. Enrutamiento de servicios
Servicios KubernetesLa abstracción del servicioPuntos finalesDetalles de la implementación del servicioDescubrimiento de serviciosRendimiento del servicio DNSEntradaEl caso de IngressLa API de IngressControladores de acceso y cómo funcionanPatrones de tráfico de entradaElegir un controlador de entradaConsideraciones sobre la Implementación del Controlador de EntradaEl DNS y su papel en la entradaGestión de certificados TLSMalla de servicioCuándo (no) utilizar una Malla de ServiciosLa Interfaz de Malla de Servicios (SMI)El proxy del plano de datosMalla de servicios en KubernetesArquitectura del plano de datosAdoptar una malla de serviciosResumen
7. Gestión de secretos
Defensa en profundidadCifrado de discoSeguridad en el transporteCifrado de aplicacionesLa API secreta de KubernetesModelos de consumo secretoDatos secretos en etcdCifrado de clave estáticaEncriptación de sobresProveedores externosBóvedaCyberarkIntegración de la inyecciónIntegración CSISecretos en el mundo declarativoSellar secretosControlador de secretos selladosRenovación de llavesModelos MulticlusterBuenas prácticas para los secretosAuditar siempre la interacción secretaNo filtres secretosPrefiere los Volúmenes a las Variables de EntornoHaz que los proveedores de la tienda secreta sean desconocidos para tu aplicaciónResumen
8. Control de admisión
La cadena de admisión de KubernetesControladores de Admisión en ÁrbolWebhooksConfiguración de los Controladores de Admisión WebhookConsideraciones sobre el diseño de los webhooksEscribir un webhook mutanteGestor HTTPS simpleTiempo de ejecución del controladorSistemas políticos centralizadosResumen

9. Observabilidad
Mecánica de talaProcesamiento de registros de contenedoresRegistros de auditoría de KubernetesEventos KubernetesAlerta sobre registrosImplicaciones para la seguridadMétricasPrometeoAlmacenamiento a largo plazoImpulsar las métricasMétricas personalizadasOrganización y FederaciónAlertasShowback y ContracargoComponentes métricosRastreo distribuidoOpenTracing y OpenTelemetryComponentes de seguimientoInstrumentación de la aplicaciónMallas de servicioResumen
10. Identidad
Identidad del usuarioMétodos de autenticaciónImplementar permisos de mínimo privilegio para los usuariosIdentidad de la aplicación/carga de trabajoSecretos compartidosIdentidad de redFichas de Cuenta de Servicio (SAT)Fichas de Cuenta de Servicios Proyectados (PSAT)Identidad de nodo mediada por plataformaResumen
11. Construir servicios de plataforma
Puntos de extensiónExtensiones Plug-inExtensiones WebhookExtensiones de operadoraEl Patrón OperadorControladores KubernetesRecursos personalizadosCasos prácticos de operadoresUtilidades de plataformaOperadores de carga de trabajo de uso generalOperadores específicos de la aplicaciónDesarrollando OperadoresHerramientas de desarrollo del operarioDiseño del modelo de datosImplementación lógicaAmpliar el ProgramadorPredicados y prioridadesPolíticas de programaciónPerfiles de programaciónProgramadores múltiplesProgramador personalizadoResumen
12. Multiarrendamiento
Grados de aislamientoClústeres de un solo inquilinoClústeres multiusuarioEl límite del espacio de nombresMultitenencia en KubernetesControl de acceso basado en roles (RBAC)Cuotas de recursosWebhooks de admisiónSolicitudes y límites de recursosPolíticas de redPolíticas de seguridad del móduloServicios de Plataforma MultiusuarioResumen
13. Autoescalado
Tipos de escaladoArquitectura de la aplicaciónAutoescalado de la carga de trabajoAutoescalador horizontal de vainasAutoescalador vertical de vainasAutoescalado con métricas personalizadasAutoescalador proporcional de clústerAutoescalado personalizadoAutoescalado de clústeresSobreaprovisionamiento del clústerResumen
14. Consideraciones sobre la aplicación
Implementación de aplicaciones en KubernetesPlantillas de Manifiestos de ImplementaciónEmpaquetar aplicaciones para KubernetesIngesta de configuración y secretosConfigMaps y secretos de KubernetesObtener la configuración de sistemas externosCómo reprogramar eventosEnganche del ciclo de vida del contenedor Pre-stopApagado Gracioso de ContenedoresSatisfacer los requisitos de disponibilidadSondas estatalesSondas de LividezSondas de preparaciónSondas de arranqueImplementar sondasSolicitudes y límites de recursos PodSolicitud de recursosLímites de recursosRegistros de aplicacionesQué registrarRegistros no estructurados frente a estructuradosInformación contextual en los registrosExponer las métricasAplicaciones de instrumentaciónMétodo USOMétodo REDLas cuatro señales de oroMétricas específicas de la aplicaciónServicios de Instrumentación para el Rastreo DistribuidoInicializar el TrazadorCrear tramosPropagar el contextoResumen
15. Cadena de suministro de software
Construir imágenes de contenedoresEl Antipatrón de las Imágenes Base DoradasElegir una imagen baseUsuario en tiempo de ejecuciónFijar versiones de paquetesImagen de compilación frente a imagen de tiempo de ejecuciónPaquetes de construcción nativos de la nubeRegistros de imágenesExploración de vulnerabilidadesFlujo de trabajo de cuarentenaFirma de imágenesEntrega continuaIntegrar construcciones en un pipelineImplementaciones basadas en PushPatrones de despliegueGitOpsResumen
16. Abstracciones de plataforma
Exposición de la plataformaOnboarding AutoservicioEl espectro de la abstracciónHerramientas de línea de comandosAbstracción mediante plantillasAbstracción de las primitivas de KubernetesHacer invisible a KubernetesResumen
Índice

Content preview from Kubernetes de producción

Capítulo 8. Control de admisión

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Hemos escrito muchas veces en este libro que el diseño flexible y modular de Kubernetes es uno de sus grandes puntos fuertes. Los valores predeterminados sensibles pueden sustituirse, aumentarse o ampliarse para proporcionar experiencias alternativas o más completas a los consumidores de la plataforma. El control de admisión es un área que se beneficia especialmente de este objetivo de diseño flexible. El control de admisión se ocupa de validar y mutar las solicitudes al servidor API de Kubernetes antes de que se almacenen en etcd. Esta capacidad de interceptar objetos con granularidad y control finos abre una serie de casos de uso interesantes, por ejemplo:

Garantizar que no se puedan crear nuevos objetos en un Espacio de Nombres que se esté eliminando en ese momento (en estado de terminación).
Imponer que los nuevos Pods no se ejecuten como usuario root
Asegurarse de que la suma total de memoria utilizada por todos los Pods de un Namespace no supera un límite definido por el usuario
Garantizar que las reglas de entrada no puedan sobrescribirse accidentalmente
Añadir un contenedor sidecar a cada Pod (por ejemplo, Istio)

Primero echaremos un vistazo de alto nivel a la cadena de admisión, que es el proceso por el que pasan todas las solicitudes al servidor API. Luego pasaremos a cubrir los controladores dentro del árbol. ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098187958

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Kubernetes de producción

by Josh Rosso, Rich Lander, Alex Brand, John Harris

Capítulo 8. Control de admisión

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.