book

Kubernetes: Up and Running, 3ª edição

by Brendan Burns, Joe Beda, Kelsey Hightower, Lachlan Evenson

April 2025

Intermediate to advanced

328 pages

Portuguese (Portugal, Brazil)

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Quem deve ler este livroPorque escrevemos este livroPorque actualizámos este livroUma palavra sobre as aplicações nativas Cloud hojeComo navegar neste livroRecursos onlineConvenções utilizadas neste livroUtilizar exemplos de códigoAprendizagem em linha da O'ReillyComo contactar-nosAgradecimentos
VelocidadeO valor da imutabilidadeConfiguração DeclarativaSistemas de auto-curaDimensionar o teu serviço e as tuas equipasDesacoplamentoEscala fácil para aplicações e clustersEscalar equipas de desenvolvimento com microsserviçosSeparação de preocupações para coerência e escalonamentoAbstração da tua infraestruturaEficiênciaEcossistema nativo da CloudResumo
Imagens de contentoresCriando imagens de aplicativos com o DockerDockerfilesOtimizar o tamanho das imagensSegurança da imagemCompilações de imagens em vários estágiosArmazenamento de imagens num registo remotoA interface de tempo de execução do contentorExecuta contentores com o DockerExplorar a aplicação kuardLimitar a utilização de recursosLimpezaResumo
Instalando o Kubernetes em um provedor de nuvem públicaInstalar o Kubernetes com o Google Kubernetes EngineInstalar o Kubernetes com o Serviço de Kubernetes do AzureInstalar Kubernetes no Amazon Web ServicesInstalando Kubernetes localmente usando minikubeExecutar Kubernetes no DockerO cliente KubernetesVerificação do estado do clusterListar nós KubernetesComponentes do clusterProxy de KubernetesDNS de KubernetesKubernetes UIResumo
NamespacesContextosVer objectos da API KubernetesCriar, atualizar e destruir objectos KubernetesEtiquetar e anotar objectosComandos de depuraçãoGestão de clustersPreenchimento automático de comandosFormas alternativas de ver o teu clusterResumo
Pods em KubernetesPensa com os podsO Manifesto PodCriar um podCriar um Manifesto de PodPods de corridaPods de listagemDetalhes do podEliminar um podAceder ao teu podObtendo mais informações com os logsExecutar comandos no teu contentor com o execCopiar ficheiros de e para contentoresControlos de saúdeSonda de vivacidadeSonda de prontidãoSonda de startupConfiguração avançada da sondaOutros tipos de exames de saúdeGestão de recursosPedidos de recursos: Recursos mínimos necessáriosLimitar a utilização de recursos com limitesPersistência de dados com volumesUsando Volumes com PodsDiferentes maneiras de usar volumes com podsJuntar tudoResumo
EtiquetasAplicação de etiquetasModificar etiquetasSelectores de etiquetasSelectores de etiquetas em objectos APIEtiquetas na arquitetura KubernetesAnotaçõesLimpezaResumo
O que é o Service Discovery?O objeto de serviçoServiço DNSVerificações de prontidãoOlha para além do clusterIntegração do balanceador de cargaDetalhes avançadosPontos finaisManual Service Discoverykube-proxy e IPs de clusterVariáveis de ambiente IP do clusterLigação a outros ambientesConectando a recursos fora de um clusterConectando recursos externos a serviços dentro de um clusterLimpezaResumo
Especificação de entrada versus controladores de entradaInstalar o contornoConfigurar o DNSConfigurar um ficheiro de anfitriões locaisUtilizar o IngressUtilização mais simplesUtilizar nomes de anfitriãoUtilizar caminhosLimpezaTópicos e problemas avançados de IngressExecutar vários controladores de entradaVários objectos de entradaEntrada e espaços de nomesReescrita de caminhosServir TLSImplementações alternativas de entradaO futuro do IngressResumo
Laços de reconciliaçãoRelacionando Pods e ReplicaSetsAdoção de contentores existentesColocação de contentores em quarentenaConceber com ReplicaSetsReplicaSet SpecModelos de cápsulasEtiquetasCriação de um ReplicaSetInspecionando um ReplicaSetLocalizando um ReplicaSet de um PodComo encontrar um conjunto de pods para um ReplicaSetEscalonamento de ReplicaSetsEscala imperativa com kubectl scaleEscalonamento declarativo com o kubectl applyEscalonamento automático de um ReplicaSetEliminação de ReplicaSetsResumo

A tua primeira implantaçãoCriar implantaçõesGerir implementaçõesAtualização de implementaçõesDimensionar uma implantaçãoAtualizar uma imagem de contentorHistória do lançamentoEstratégias de implementaçãoRecria a estratégiaEstratégia RollingUpdateAbrandar as implementações para garantir a saúde do serviçoEliminação de uma implantaçãoMonitorizar uma implementaçãoResumo
Programador DaemonSetCriar DaemonSetsLimitar DaemonSets a nós específicosAdicionar etiquetas aos nósSelectores de nósAtualizar um DaemonSetEliminar um DaemonSetResumo
O objeto de trabalhoPadrões de trabalhoUm tiroParalelismoFilas de trabalhoCronJobsResumo
ConfigMapsCriar ConfigMapsUtilizar um ConfigMapSegredosCriar segredosConsumir segredosRegistos de contentores privadosRestrições de nomeaçãoGerir ConfigMaps e SegredosListagemCriandoAtualizaçãoResumo
Controlo de acesso baseado em funçõesIdentidade em KubernetesCompreender as funções e as ligações de funçõesFunções e ligações de funções em KubernetesTécnicas de gestão do RBACTeste de autorização com can-iGerir o RBAC no Controlo de FontesTópicos avançadosAgregação de ClusterRolesUtilização de grupos para ligaçõesResumo
Encriptação e autenticação com Mutal TLSModelação do tráfegoIntrospeçãoPrecisas mesmo de uma rede de serviços?Introspeção de uma implementação de malha de serviçoPaisagem da malha de serviçosResumo
Importação de serviços externosServiços sem selectoresLimitações dos serviços externos: Controlo de saúdeExecutar Singletons fiáveisExecutando um MySQL SingletonProvisionamento dinâmico de volumesArmazenamento nativo do Kubernetes com StatefulSetsPropriedades de StatefulSetsReplicação manual do MongoDB com StatefulSetsAutomatizando a criação do cluster do MongoDBVolumes persistentes e StatefulSetsUma última coisa: sondas de preparaçãoResumo
O que significa estender o KubernetesPontos de extensibilidadePadrões para recursos personalizadosApenas dadosCompiladoresOperadoresComeçar a trabalharResumo
A API de Kubernetes: A perspetiva de um clienteOpenAPI e bibliotecas de clientes geradasMas e o kubectl x?Programar a API do KubernetesInstalando as bibliotecas de clientesAutenticação na API do KubernetesAceder à API do KubernetesColocando tudo junto: Listando e Criando Pods em Python, Java e .NETCriar e corrigir objectosObservando as APIs do Kubernetes em busca de alteraçõesInteragir com os podsResumo
Compreender SecurityContextDesafios de SecurityContextSegurança de cápsulasO que é a segurança de cápsulas?Aplicação das normas de segurança do PODGestão de contas de serviçoControlo de acesso baseado em funçõesClasse de tempo de execuçãoPolítica de Network+Malha de serviçoFerramentas de referência de segurançaSegurança da imagemResumo
Porque é que a política e a governação são importantesFluxo de admissãoPolítica e governação com o GatekeeperO que é um agente de apólice aberta?Instalar o GatekeeperConfiguração de políticasCompreender os modelos de restriçãoCriar restriçõesAuditoriaMutaçãoReplicação de dadosMétricasBiblioteca de políticasResumo
Antes mesmo de começaresComeçando pelo topo com uma abordagem de balanceamento de cargaCriando aplicativos para vários clustersSilos replicados: o modelo inter-regional mais simplesFragmentação: Dados regionaisMaior flexibilidade: Roteamento de microsserviçosResumo
Princípios que nos guiamOs sistemas de ficheiros como fonte da verdadeO papel da revisão de códigoCaraterísticas PortõesGerir a tua aplicação no Controlo de FontesLayout do sistema de arquivosGerir versões periódicasEstruturar a tua aplicação para desenvolvimento, teste e implementaçãoObjetivosProgressão de uma libertaçãoParametrização da aplicação com modelosParametrização com Helm e modelosLayout do sistema de arquivos para parametrizaçãoImplementar a tua aplicação em todo o mundoArquiteturas para implantação mundialImplementar a implantação mundialDashboards e monitorização para implementações em todo o mundoResumo
Lista de peçasImagens intermitentesPrimeira inicializaçãoConfigurar o Network+Instalar um tempo de execução de contentorInstalar o KubernetesConfigurar o clusterConfigura a rede do clusterResumo

Content preview from Kubernetes: Up and Running, 3ª edição

Capítulo 14. Controlo de acesso baseado em funções para Kubernetes

Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com

Nesta altura, quase todos os clusters Kubernetes que encontras têm o controlo de acesso baseado em funções (RBAC) ativado. Portanto, é provável que já tenhas encontrado o RBAC antes. Talvez inicialmente não conseguisses aceder ao teu cluster até usares algum comando mágico para adicionar um RoleBinding para mapear um utilizador para uma função. Embora possas ter tido alguma exposição ao RBAC, podes não ter tido muita experiência em entender o RBAC no Kubernetes, incluindo para que serve e como usá-lo.

O controle de acesso baseado em função fornece um mecanismo para restringir o acesso e as ações nas APIs do Kubernetes para garantir que apenas usuários autorizados tenham acesso. O RBAC é um componente crítico para endurecer o acesso ao cluster Kubernetes onde estás a implementar a tua aplicação e (possivelmente mais importante) evitar acidentes inesperados em que uma pessoa no namespace errado derruba por engano a produção quando pensa que está a destruir o seu cluster de teste.

Nota

Embora o RBAC possa ser bastante útil para limitar o acesso à API do Kubernetes, é importante lembrar que qualquer pessoa que possa executar código arbitrário dentro do cluster Kubernetes pode efetivamente obter privilégios de root em todo o cluster. Há abordagens que podes tomar para tornar tais ataques mais difíceis ...