book

Kubernetes in produzione

by Josh Rosso, Rich Lander, Alex Brand, John Harris

April 2025

Intermediate to advanced

508 pages

15h 52m

Italian

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Convenzioni utilizzate in questo libroUtilizzo di esempi di codiceFormazione online O'ReillyCome contattarciRingraziamenti
Definizione di KubernetesI componenti principaliOltre l'orchestrazione: una funzionalità estesaInterfacce KubernetesRiassunto di KubernetesDefinire le piattaforme applicativeLo spettro degli approcciAllineare le esigenze dell'organizzazioneRiassunto delle piattaforme applicativeCostruire piattaforme applicative su KubernetesPartendo dal bassoLo spettro dell'astrazioneDeterminazione dei servizi della piattaformaI blocchi di costruzioneSommario
Servizio gestito o servizio autonomoServizi gestitiFai il tuo giroPrendere una decisioneAutomazioneInstallatore precostruitoAutomazione personalizzataArchitettura e topologiaModelli di distribuzione etcdLivelli del clusterPool di nodiFederazione dei clusterInfrastruttureMetallo nudo contro virtualizzazioneDimensionamento del clusterInfrastruttura di calcoloInfrastruttura di reteStrategie di automazioneInstallazioni di macchineGestione della configurazioneImmagini della macchinaCosa installareComponenti containerizzatiComponenti aggiuntiviAggiornamentiVersione della piattaformaPiano per fallireTest di integrazioneStrategieMeccanismi di attivazioneSommario
L'avvento dei contenitoriL'iniziativa Open ContainerSpecifica OCI RuntimeSpecifiche dell'immagine OCIL'interfaccia runtime del containerAvviare un PodScelta del runtimeDockercontainerdCRI-OContenitori KataKubelet virtualeRiassunto
Considerazioni sullo stoccaggioModalità di accessoEspansione del volumeProvisioning dei volumiBackup e ripristinoDispositivi a blocchi e archiviazione di file e oggettiDati effimeriScegliere un fornitore di servizi di archiviazionePrimitive di archiviazione di KubernetesVolumi persistenti e reclamiClassi di stoccaggioL'interfaccia di archiviazione dei contenitori (CSI)Controllore CSINodo CSIImplementare lo Storage as a ServiceInstallazioneEsporre le opzioni di archiviazioneConsumo di spazioRidimensionamentoIstantaneeRiassunto
Considerazioni sulla reteGestione degli indirizzi IPProtocolli di routingIncapsulamento e tunnelingRoutabilità del carico di lavoroIPv4 e IPv6Traffico criptato del carico di lavoroPolitica di reteSommario: Considerazioni sulla reteL'interfaccia di rete dei container (CNI)Installazione CNIPlug-in CNICalicoCiliumAWS VPC CNIMultusPlug-in aggiuntiviRiassunto
Servizi KubernetesL'astrazione del servizioPunti finaliDettagli sull'implementazione del servizioScoperta del servizioPrestazioni del servizio DNSIngressoIl caso di IngressL'API di IngressI controllori d'ingresso e il loro funzionamentoSchemi di traffico in ingressoScegliere un controllore d'ingressoConsiderazioni sulla distribuzione del controller di ingressoIl DNS e il suo ruolo nell'ingressoGestione dei certificati TLSRete di servizioQuando (non) usare un Service MeshL'interfaccia Service Mesh (SMI)Il proxy del piano datiService Mesh su KubernetesArchitettura del piano datiAdottare una rete di serviziRiassunto
Difesa in profonditàCrittografia del discoSicurezza dei trasportiCrittografia delle applicazioniL'API segreta di KubernetesModelli di consumo segretoDati segreti in etcdCrittografia a chiave staticaCrittografia della bustaFornitori esterniVoltaCyberarkIntegrazione dell'iniezioneIntegrazione CSISegreti nel mondo dichiarativoSigillare i segretiControllore dei segreti sigillatiRinnovo delle chiaviModelli multiclusterMigliori pratiche per i segretiVerifica sempre le interazioni segreteNon divulgare i segretiPreferisci i volumi alle variabili d'ambienteRendi i fornitori del negozio segreto sconosciuti alla tua applicazioneRiassunto
La catena di ammissione di KubernetesControllori di Ammissione In-TreeWebhookConfigurazione dei controllori di ammissione WebhookConsiderazioni sulla progettazione dei webhookScrivere un webhook mutanteGestore HTTPS sempliceRuntime del controllerSistemi di politiche centralizzateSommario

Meccanica di registrazioneElaborazione dei registri dei containerLog di audit di KubernetesEventi di KubernetesAvvisi sui registriImplicazioni per la sicurezzaMetrichePrometeoConservazione a lungo termineSpingere le metricheMetriche personalizzateOrganizzazione e FederazioneAvvisiShowback e ChargebackComponenti della metricaTracciamento distribuitoOpenTracing e OpenTelemetryTracciamento dei componentiStrumentazione per applicazioniMaglie di servizioRiassunto
Identità dell'utenteMetodi di autenticazioneImplementare i permessi di minor privilegio per gli utentiIdentità dell'applicazione/carico di lavoroSegreti condivisiIdentità della reteGettoni di servizio (SAT)Gettoni del conto di servizio proiettato (PSAT)Identità del nodo mediata dalla piattaformaRiassunto
Punti di estensioneEstensioni dei plug-inEstensioni WebhookEstensioni dell'operatoreIl modello dell'operatoreControllori KubernetesRisorse personalizzateCasi d'uso dell'operatoreUtilità della piattaformaOperatori per carichi di lavoro genericiOperatori specifici per le appSviluppare gli operatoriAttrezzature per lo sviluppo dell'operatoreProgettazione del modello di datiImplementazione della logicaEstendere lo schedulerPredicati e prioritàPolitiche di programmazioneProfili di programmazioneProgrammatori multipliPianificatore personalizzatoSommario
Gradi di isolamentoCluster con un solo inquilinoCluster multitenantIl confine dello spazio dei nomiMultitenancy in KubernetesControllo dell'accesso basato sui ruoli (RBAC)Quote di risorseWebhook di ammissioneRichieste e limiti di risorsePolitiche di retePolitiche di sicurezza del PodServizi di piattaforma multitenantRiassunto
Tipi di scalaturaArchitettura dell'applicazioneAutoscaling del carico di lavoroAutoscaler Pod orizzontalePod verticale AutoscalerAutoscaling con metriche personalizzateAutoscaler proporzionale a clusterAutoscaling personalizzatoAutoscaling del clusterOverprovisioning del clusterRiassunto
Distribuzione delle applicazioni su KubernetesTemplare i manifesti di distribuzioneImpacchettare le applicazioni per KubernetesIngestione della configurazione e dei segretiConfigMaps e segreti di KubernetesOttenere la configurazione da sistemi esterniGestire gli eventi da riprogrammareGancio del ciclo di vita del contenitore pre-stopArresto di grazia del contenitoreSoddisfare i requisiti di disponibilitàSonde di StatoSonde di vivacitàSonde di prontezzaSonde di avvioImplementare le sondeRichieste e limiti delle risorse del PodRichieste di risorseLimiti delle risorseRegistri delle applicazioniCosa registrareRegistri non strutturati e registri strutturatiInformazioni contestuali nei logEsporre le metricheApplicazioni di strumentazioneMetodo di utilizzoMetodo REDI quattro segnali d'oroMetriche specifiche per le appServizi di strumentazione per il tracciamento distribuitoInizializzazione del tracciatoreCreazione di campatePropagare il contestoRiassunto
Creazione di immagini di contenitoriL'antipattern delle immagini base dorateScegliere un'immagine di baseUtente runtimeAppuntare le versioni dei pacchettiImmagine di build contro immagine di runtimeBuildpack nativi di CloudRegistri di immaginiScansione delle vulnerabilitàFlusso di lavoro della quarantenaFirma delle immaginiConsegna continuaIntegrare le build in una pipelineDistribuzioni basate su PushModelli di lancioGitOpsRiassunto
Esposizione della piattaformaOnboarding self-serviceLo spettro dell'astrazioneTooling a riga di comandoAstrazione attraverso il templateAstrazione delle primitive di KubernetesRendere Kubernetes invisibileRiassunto

Content preview from Kubernetes in produzione

Capitolo 7. Gestione dei segreti

Questo lavoro è stato tradotto utilizzando l'AI. Siamo lieti di ricevere il tuo feedback e i tuoi commenti: translation-feedback@oreilly.com

In qualsiasi stack applicativo è quasi garantito che ci si imbatta in dati segreti. Si tratta di dati che le applicazioni vogliono mantenere, appunto, segreti. In genere, associamo i segreti alle credenziali. Spesso queste credenziali vengono utilizzate per accedere a sistemi interni o esterni al cluster, come database o code di messaggi. Ci imbattiamo in dati segreti anche quando utilizziamo chiavi private, che possono supportare la capacità della nostra applicazione di eseguire TLS reciproco con altre applicazioni. Questo tipo di problematiche sono trattate nel Capitolo 11. L'esistenza di segreti comporta molti problemi operativi che deve prendere in considerazione, come ad esempio:

Politiche di rotazione dei segreti: Per quanto tempo è possibile mantenere un segreto prima di doverlo cambiare?
Politiche di rotazione delle chiavi (crittografia): Supponendo che i dati segreti vengano crittografati a livello di applicazione prima di essere memorizzati su disco, per quanto tempo una chiave di crittografia può rimanere in giro prima di dover essere ruotata?
Politiche di archiviazione segreta: Quali requisiti devono essere soddisfatti per memorizzare i dati segreti? Hai bisogno di conservare i segreti in un hardware isolato? Hai bisogno che la tua soluzione di gestione dei segreti si integri con un modulo di ...