book

Kubernetes de producción

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 4m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Definición de KubernetesLos componentes básicosMás allá de la orquestación: funcionalidad ampliadaInterfaces KubernetesResumiendo KubernetesDefinición de plataformas de aplicaciónEl espectro de enfoquesAlinear tus necesidades organizativasResumiendo las Plataformas de AplicaciónConstruir plataformas de aplicaciones en KubernetesEmpezar desde abajoEl espectro de la abstracciónDeterminar los servicios de la plataformaLos bloques de construcciónResumen
Servicio gestionado frente a "hazlo tú mismoServicios gestionadosHazlo tú mismoTomar la decisiónAutomatizaciónInstalador PreconstruidoAutomatización personalizadaArquitectura y topologíaModelos de Implementación de etcdNiveles de clústerPools de nodosFederación de ClustersInfraestructuraMetal desnudo frente a virtualizadoDimensionamiento del clústerInfraestructura informáticaInfraestructura de redEstrategias de automatizaciónInstalaciones de máquinasGestión de la configuraciónImágenes de máquinasQué instalarComponentes en contenedoresComplementosActualizacionesVersionado de plataformasPlan para fracasarPruebas de integraciónEstrategiasMecanismos desencadenantesResumen
La llegada de los contenedoresLa Iniciativa de Envases AbiertosEspecificación de tiempo de ejecución OCIEspecificación de la imagen OCILa interfaz de tiempo de ejecución del contenedorIniciar un PodElegir un tiempo de ejecuciónDockercontenedordCRI-OContenedores KataKubelet virtualResumen
Consideraciones sobre el almacenamientoModos de accesoAmpliación de volumenAprovisionamiento de volumenCopia de seguridad y recuperaciónDispositivos de bloques y almacenamiento de archivos y objetosDatos efímerosElegir un proveedor de almacenamientoPrimitivas de almacenamiento de KubernetesVolúmenes persistentes y reclamacionesClases de almacenamientoLa Interfaz de Almacenamiento de Contenedores (CSI)Controlador CSINodo CSIImplantar el almacenamiento como servicioInstalaciónExponer las opciones de almacenamientoConsumir almacenamientoRedimensionarInstantáneasResumen
Consideraciones sobre la redGestión de direcciones IPProtocolos de enrutamientoEncapsulación y tunelizaciónRuteabilidad de la carga de trabajoIPv4 e IPv6Tráfico de carga de trabajo encriptadoPolítica de RedResumen: Consideraciones sobre las redesLa interfaz de red de contenedores (CNI)Instalación CNIPlug-ins CNICalicoCilioAWS VPC CNIMultusPlug-ins adicionalesResumen
Servicios KubernetesLa abstracción del servicioPuntos finalesDetalles de la implementación del servicioDescubrimiento de serviciosRendimiento del servicio DNSEntradaEl caso de IngressLa API de IngressControladores de acceso y cómo funcionanPatrones de tráfico de entradaElegir un controlador de entradaConsideraciones sobre la Implementación del Controlador de EntradaEl DNS y su papel en la entradaGestión de certificados TLSMalla de servicioCuándo (no) utilizar una Malla de ServiciosLa Interfaz de Malla de Servicios (SMI)El proxy del plano de datosMalla de servicios en KubernetesArquitectura del plano de datosAdoptar una malla de serviciosResumen
Defensa en profundidadCifrado de discoSeguridad en el transporteCifrado de aplicacionesLa API secreta de KubernetesModelos de consumo secretoDatos secretos en etcdCifrado de clave estáticaEncriptación de sobresProveedores externosBóvedaCyberarkIntegración de la inyecciónIntegración CSISecretos en el mundo declarativoSellar secretosControlador de secretos selladosRenovación de llavesModelos MulticlusterBuenas prácticas para los secretosAuditar siempre la interacción secretaNo filtres secretosPrefiere los Volúmenes a las Variables de EntornoHaz que los proveedores de la tienda secreta sean desconocidos para tu aplicaciónResumen
La cadena de admisión de KubernetesControladores de Admisión en ÁrbolWebhooksConfiguración de los Controladores de Admisión WebhookConsideraciones sobre el diseño de los webhooksEscribir un webhook mutanteGestor HTTPS simpleTiempo de ejecución del controladorSistemas políticos centralizadosResumen

Mecánica de talaProcesamiento de registros de contenedoresRegistros de auditoría de KubernetesEventos KubernetesAlerta sobre registrosImplicaciones para la seguridadMétricasPrometeoAlmacenamiento a largo plazoImpulsar las métricasMétricas personalizadasOrganización y FederaciónAlertasShowback y ContracargoComponentes métricosRastreo distribuidoOpenTracing y OpenTelemetryComponentes de seguimientoInstrumentación de la aplicaciónMallas de servicioResumen
Identidad del usuarioMétodos de autenticaciónImplementar permisos de mínimo privilegio para los usuariosIdentidad de la aplicación/carga de trabajoSecretos compartidosIdentidad de redFichas de Cuenta de Servicio (SAT)Fichas de Cuenta de Servicios Proyectados (PSAT)Identidad de nodo mediada por plataformaResumen
Puntos de extensiónExtensiones Plug-inExtensiones WebhookExtensiones de operadoraEl Patrón OperadorControladores KubernetesRecursos personalizadosCasos prácticos de operadoresUtilidades de plataformaOperadores de carga de trabajo de uso generalOperadores específicos de la aplicaciónDesarrollando OperadoresHerramientas de desarrollo del operarioDiseño del modelo de datosImplementación lógicaAmpliar el ProgramadorPredicados y prioridadesPolíticas de programaciónPerfiles de programaciónProgramadores múltiplesProgramador personalizadoResumen
Grados de aislamientoClústeres de un solo inquilinoClústeres multiusuarioEl límite del espacio de nombresMultitenencia en KubernetesControl de acceso basado en roles (RBAC)Cuotas de recursosWebhooks de admisiónSolicitudes y límites de recursosPolíticas de redPolíticas de seguridad del móduloServicios de Plataforma MultiusuarioResumen
Tipos de escaladoArquitectura de la aplicaciónAutoescalado de la carga de trabajoAutoescalador horizontal de vainasAutoescalador vertical de vainasAutoescalado con métricas personalizadasAutoescalador proporcional de clústerAutoescalado personalizadoAutoescalado de clústeresSobreaprovisionamiento del clústerResumen
Implementación de aplicaciones en KubernetesPlantillas de Manifiestos de ImplementaciónEmpaquetar aplicaciones para KubernetesIngesta de configuración y secretosConfigMaps y secretos de KubernetesObtener la configuración de sistemas externosCómo reprogramar eventosEnganche del ciclo de vida del contenedor Pre-stopApagado Gracioso de ContenedoresSatisfacer los requisitos de disponibilidadSondas estatalesSondas de LividezSondas de preparaciónSondas de arranqueImplementar sondasSolicitudes y límites de recursos PodSolicitud de recursosLímites de recursosRegistros de aplicacionesQué registrarRegistros no estructurados frente a estructuradosInformación contextual en los registrosExponer las métricasAplicaciones de instrumentaciónMétodo USOMétodo REDLas cuatro señales de oroMétricas específicas de la aplicaciónServicios de Instrumentación para el Rastreo DistribuidoInicializar el TrazadorCrear tramosPropagar el contextoResumen
Construir imágenes de contenedoresEl Antipatrón de las Imágenes Base DoradasElegir una imagen baseUsuario en tiempo de ejecuciónFijar versiones de paquetesImagen de compilación frente a imagen de tiempo de ejecuciónPaquetes de construcción nativos de la nubeRegistros de imágenesExploración de vulnerabilidadesFlujo de trabajo de cuarentenaFirma de imágenesEntrega continuaIntegrar construcciones en un pipelineImplementaciones basadas en PushPatrones de despliegueGitOpsResumen
Exposición de la plataformaOnboarding AutoservicioEl espectro de la abstracciónHerramientas de línea de comandosAbstracción mediante plantillasAbstracción de las primitivas de KubernetesHacer invisible a KubernetesResumen

Content preview from Kubernetes de producción

Capítulo 8. Control de admisión

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Hemos escrito muchas veces en este libro que el diseño flexible y modular de Kubernetes es uno de sus grandes puntos fuertes. Los valores predeterminados sensibles pueden sustituirse, aumentarse o ampliarse para proporcionar experiencias alternativas o más completas a los consumidores de la plataforma. El control de admisión es un área que se beneficia especialmente de este objetivo de diseño flexible. El control de admisión se ocupa de validar y mutar las solicitudes al servidor API de Kubernetes antes de que se almacenen en etcd. Esta capacidad de interceptar objetos con granularidad y control finos abre una serie de casos de uso interesantes, por ejemplo:

Garantizar que no se puedan crear nuevos objetos en un Espacio de Nombres que se esté eliminando en ese momento (en estado de terminación).
Imponer que los nuevos Pods no se ejecuten como usuario root
Asegurarse de que la suma total de memoria utilizada por todos los Pods de un Namespace no supera un límite definido por el usuario
Garantizar que las reglas de entrada no puedan sobrescribirse accidentalmente
Añadir un contenedor sidecar a cada Pod (por ejemplo, Istio)

Primero echaremos un vistazo de alto nivel a la cadena de admisión, que es el proceso por el que pasan todas las solicitudes al servidor API. Luego pasaremos a cubrir los controladores dentro del árbol. ...