book

Kubernetes de producción

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 4m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Convenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Definición de KubernetesLos componentes básicosMás allá de la orquestación: funcionalidad ampliadaInterfaces KubernetesResumiendo KubernetesDefinición de plataformas de aplicaciónEl espectro de enfoquesAlinear tus necesidades organizativasResumiendo las Plataformas de AplicaciónConstruir plataformas de aplicaciones en KubernetesEmpezar desde abajoEl espectro de la abstracciónDeterminar los servicios de la plataformaLos bloques de construcciónResumen
Servicio gestionado frente a "hazlo tú mismoServicios gestionadosHazlo tú mismoTomar la decisiónAutomatizaciónInstalador PreconstruidoAutomatización personalizadaArquitectura y topologíaModelos de Implementación de etcdNiveles de clústerPools de nodosFederación de ClustersInfraestructuraMetal desnudo frente a virtualizadoDimensionamiento del clústerInfraestructura informáticaInfraestructura de redEstrategias de automatizaciónInstalaciones de máquinasGestión de la configuraciónImágenes de máquinasQué instalarComponentes en contenedoresComplementosActualizacionesVersionado de plataformasPlan para fracasarPruebas de integraciónEstrategiasMecanismos desencadenantesResumen
La llegada de los contenedoresLa Iniciativa de Envases AbiertosEspecificación de tiempo de ejecución OCIEspecificación de la imagen OCILa interfaz de tiempo de ejecución del contenedorIniciar un PodElegir un tiempo de ejecuciónDockercontenedordCRI-OContenedores KataKubelet virtualResumen
Consideraciones sobre el almacenamientoModos de accesoAmpliación de volumenAprovisionamiento de volumenCopia de seguridad y recuperaciónDispositivos de bloques y almacenamiento de archivos y objetosDatos efímerosElegir un proveedor de almacenamientoPrimitivas de almacenamiento de KubernetesVolúmenes persistentes y reclamacionesClases de almacenamientoLa Interfaz de Almacenamiento de Contenedores (CSI)Controlador CSINodo CSIImplantar el almacenamiento como servicioInstalaciónExponer las opciones de almacenamientoConsumir almacenamientoRedimensionarInstantáneasResumen
Consideraciones sobre la redGestión de direcciones IPProtocolos de enrutamientoEncapsulación y tunelizaciónRuteabilidad de la carga de trabajoIPv4 e IPv6Tráfico de carga de trabajo encriptadoPolítica de RedResumen: Consideraciones sobre las redesLa interfaz de red de contenedores (CNI)Instalación CNIPlug-ins CNICalicoCilioAWS VPC CNIMultusPlug-ins adicionalesResumen
Servicios KubernetesLa abstracción del servicioPuntos finalesDetalles de la implementación del servicioDescubrimiento de serviciosRendimiento del servicio DNSEntradaEl caso de IngressLa API de IngressControladores de acceso y cómo funcionanPatrones de tráfico de entradaElegir un controlador de entradaConsideraciones sobre la Implementación del Controlador de EntradaEl DNS y su papel en la entradaGestión de certificados TLSMalla de servicioCuándo (no) utilizar una Malla de ServiciosLa Interfaz de Malla de Servicios (SMI)El proxy del plano de datosMalla de servicios en KubernetesArquitectura del plano de datosAdoptar una malla de serviciosResumen
Defensa en profundidadCifrado de discoSeguridad en el transporteCifrado de aplicacionesLa API secreta de KubernetesModelos de consumo secretoDatos secretos en etcdCifrado de clave estáticaEncriptación de sobresProveedores externosBóvedaCyberarkIntegración de la inyecciónIntegración CSISecretos en el mundo declarativoSellar secretosControlador de secretos selladosRenovación de llavesModelos MulticlusterBuenas prácticas para los secretosAuditar siempre la interacción secretaNo filtres secretosPrefiere los Volúmenes a las Variables de EntornoHaz que los proveedores de la tienda secreta sean desconocidos para tu aplicaciónResumen
La cadena de admisión de KubernetesControladores de Admisión en ÁrbolWebhooksConfiguración de los Controladores de Admisión WebhookConsideraciones sobre el diseño de los webhooksEscribir un webhook mutanteGestor HTTPS simpleTiempo de ejecución del controladorSistemas políticos centralizadosResumen

Mecánica de talaProcesamiento de registros de contenedoresRegistros de auditoría de KubernetesEventos KubernetesAlerta sobre registrosImplicaciones para la seguridadMétricasPrometeoAlmacenamiento a largo plazoImpulsar las métricasMétricas personalizadasOrganización y FederaciónAlertasShowback y ContracargoComponentes métricosRastreo distribuidoOpenTracing y OpenTelemetryComponentes de seguimientoInstrumentación de la aplicaciónMallas de servicioResumen
Identidad del usuarioMétodos de autenticaciónImplementar permisos de mínimo privilegio para los usuariosIdentidad de la aplicación/carga de trabajoSecretos compartidosIdentidad de redFichas de Cuenta de Servicio (SAT)Fichas de Cuenta de Servicios Proyectados (PSAT)Identidad de nodo mediada por plataformaResumen
Puntos de extensiónExtensiones Plug-inExtensiones WebhookExtensiones de operadoraEl Patrón OperadorControladores KubernetesRecursos personalizadosCasos prácticos de operadoresUtilidades de plataformaOperadores de carga de trabajo de uso generalOperadores específicos de la aplicaciónDesarrollando OperadoresHerramientas de desarrollo del operarioDiseño del modelo de datosImplementación lógicaAmpliar el ProgramadorPredicados y prioridadesPolíticas de programaciónPerfiles de programaciónProgramadores múltiplesProgramador personalizadoResumen
Grados de aislamientoClústeres de un solo inquilinoClústeres multiusuarioEl límite del espacio de nombresMultitenencia en KubernetesControl de acceso basado en roles (RBAC)Cuotas de recursosWebhooks de admisiónSolicitudes y límites de recursosPolíticas de redPolíticas de seguridad del móduloServicios de Plataforma MultiusuarioResumen
Tipos de escaladoArquitectura de la aplicaciónAutoescalado de la carga de trabajoAutoescalador horizontal de vainasAutoescalador vertical de vainasAutoescalado con métricas personalizadasAutoescalador proporcional de clústerAutoescalado personalizadoAutoescalado de clústeresSobreaprovisionamiento del clústerResumen
Implementación de aplicaciones en KubernetesPlantillas de Manifiestos de ImplementaciónEmpaquetar aplicaciones para KubernetesIngesta de configuración y secretosConfigMaps y secretos de KubernetesObtener la configuración de sistemas externosCómo reprogramar eventosEnganche del ciclo de vida del contenedor Pre-stopApagado Gracioso de ContenedoresSatisfacer los requisitos de disponibilidadSondas estatalesSondas de LividezSondas de preparaciónSondas de arranqueImplementar sondasSolicitudes y límites de recursos PodSolicitud de recursosLímites de recursosRegistros de aplicacionesQué registrarRegistros no estructurados frente a estructuradosInformación contextual en los registrosExponer las métricasAplicaciones de instrumentaciónMétodo USOMétodo REDLas cuatro señales de oroMétricas específicas de la aplicaciónServicios de Instrumentación para el Rastreo DistribuidoInicializar el TrazadorCrear tramosPropagar el contextoResumen
Construir imágenes de contenedoresEl Antipatrón de las Imágenes Base DoradasElegir una imagen baseUsuario en tiempo de ejecuciónFijar versiones de paquetesImagen de compilación frente a imagen de tiempo de ejecuciónPaquetes de construcción nativos de la nubeRegistros de imágenesExploración de vulnerabilidadesFlujo de trabajo de cuarentenaFirma de imágenesEntrega continuaIntegrar construcciones en un pipelineImplementaciones basadas en PushPatrones de despliegueGitOpsResumen
Exposición de la plataformaOnboarding AutoservicioEl espectro de la abstracciónHerramientas de línea de comandosAbstracción mediante plantillasAbstracción de las primitivas de KubernetesHacer invisible a KubernetesResumen

Content preview from Kubernetes de producción

Capítulo 10. Identidad

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Establecer la identidad tanto de los usuarios como de las cargas de trabajo de las aplicaciones es una preocupación clave a la hora de diseñar e implantar una plataforma Kubernetes. Nadie quiere aparecer en las noticias por la violación de sus sistemas. Así que es vital que nos aseguremos de que sólo las entidades con los privilegios adecuados (humanos o aplicaciones) pueden acceder a determinados sistemas o realizar determinadas acciones. Para ello tenemos que asegurarnos de que hay implantados sistemas de Autenticación y Autorización. A modo de repaso:

La autenticación es el proceso de establecer la identidad de una aplicación o de un usuario.
La autorización es el proceso de determinar qué acciones pueden realizar una aplicación o un usuario, una vez que se han autentificado.

Este capítulo se centra exclusivamente en la autenticación. Eso no quiere decir que la autorización no sea importante, y la trataremos brevemente cuando sea apropiado. Para más información, deberías investigar sobre el Control de Acceso Basado en Roles (RBAC) en Kubernetes (hay muchos recursos disponibles) y asegurarte de que tienes una estrategia sólida para implementarlo en tus propias aplicaciones, de modo que comprendas los permisos que requieren las aplicaciones externas que puedas implementar.

Establecer la identidad a efectos de autenticación es un requisito ...