book

《Kubernetes 最佳实践》第二版

Name: 《Kubernetes 最佳实践》第二版
ISBN: 9798341657250

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

May 2025

Intermediate to advanced

324 pages

3h 31m

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

序言
谁应该阅读这本书我们为什么写这本书本书导航本版新增内容本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
1.设置基本服务
应用概述管理配置文件使用部署创建复制服务图像管理最佳做法创建复制应用程序为 HTTP 流量设置外部入口使用配置映射配置应用程序利用秘密管理身份验证部署简单的有状态数据库使用服务创建 TCP 负载平衡器使用入口将流量路由到静态文件服务器使用 Helm 为应用程序设置参数部署服务最佳实践摘要
2.开发人员工作流程
目标建设发展集群为多个开发人员设置共享集群用户上机创建和保护命名空间管理命名空间集群级服务启用开发人员工作流程初始设置促进积极发展启用测试和调试设置开发环境最佳实践摘要
3.Kubernetes 中的监控和日志记录
指标与日志监测技术监测模式Kubernetes 指标概述cAdvisor度量衡服务器kube-state-metrics我要监控哪些指标？监测工具使用 Prometheus 监控 Kubernetes日志记录概述记录工具使用 Loki-Stack 进行日志记录警报监控、日志和警报的最佳实践监测记录警报摘要
4.配置、保密和 RBAC
通过配置映射和机密进行配置配置地图秘密ConfigMap 和 Secrets API 的常见最佳实践保密最佳做法RBACRBAC 入门RBAC 最佳实践摘要
5.持续集成、测试和部署
版本控制持续集成测试集装箱建造容器图像标记持续部署部署战略生产测试设置管道并进行混沌实验设置 CI设置光盘执行滚动升级一个简单的混沌实验CI/CD 最佳实践摘要
6.版本、发布和推广
版本控制发布推出将所有内容整合在一起版本管理、发布和推广的最佳实践摘要
7.全球应用程序分发和分期
发布您的图像为部署设置参数负载平衡全球流量在世界各地可靠地推出软件滚动前验证加那利地区识别区域类型构建全球推广计划当出现问题时 Go全球推广最佳实践摘要
8.资源管理
Kubernetes 调度器谓词优先事项高级调度技术Pod 亲和力和反亲和力节点选择器污点与宽容Pod 资源管理资源申请资源限制和 Pod 服务质量PodDisruptionBudgets使用命名空间管理资源资源配额极限范围集群扩展应用扩展使用 HPA 进行扩展带有自定义指标的 HPA垂直吊舱自动定标器资源管理最佳做法摘要
9.联网、网络安全和服务网格
Kubernetes 网络原理网络插件KubenetKubenet 最佳实践CNI 插件CNI 最佳实践Kubernetes 中的服务服务类型集群 IP服务类型节点端口服务类型外部名称服务类型负载平衡器入口和入口控制器网关 API服务和入口控制器最佳实践网络安全政策网络政策最佳实践服务网格服务网格最佳实践摘要

10.Pod 和容器安全
Pod 安全接入控制器启用 Pod 安全接入舱位安全等级使用命名空间标签激活 Pod 安全性工作负载隔离和运行时类使用 RuntimeClass运行时实施工作负载隔离和 RuntimeClass 最佳实践其他 Pod 和容器安全考虑因素入场控制器入侵和异常检测工具摘要
11.群组的政策与管理
政策和管理为何重要这项政策有何不同？云本地策略引擎网守介绍政策范例网守术语定义约束模板确定制约因素数据复制用户体验利用执法行动和审计突变测试政策熟悉网守政策与管理最佳做法摘要
12.管理多个群集
为什么需要多个集群？多集群设计关注点管理多个群集部署部署和管理模式管理集群的 GitOps 方法多集群管理工具Kubernetes 联盟管理多个群集的最佳实践摘要
13.将外部服务与 Kubernetes 集成
将服务导入 Kubernetes稳定 IP 地址的无选择器服务基于 CNAME 的稳定 DNS 名称服务基于主动控制器的方法从 Kubernetes 导出服务使用内部负载平衡器输出服务在 NodePorts 上导出服务集成外部机器和 KubernetesKubernetes 之间共享服务第三方工具连接群集和外部服务的最佳做法摘要
14.在 Kubernetes 中运行机器学习
为什么 Kubernetes 非常适合机器学习？机器学习工作流程Kubernetes 集群管理员的机器学习Kubernetes 模型培训Kubernetes 分布式培训资源限制专用硬件库、驱动程序和内核模块存储Network+专门协议数据科学家关注的问题Kubernetes 上的机器学习最佳实践摘要
15.在 Kubernetes 基础上构建更高级别的应用模式
开发高级抽象概念的方法扩展 Kubernetes扩展 Kubernetes 集群扩展 Kubernetes 用户体验让容器化开发更轻松开发 "按需部署 "体验建造平台时的设计考虑因素支持导出为容器映像支持服务和服务发现的现有机制构建应用平台最佳实践摘要
16.管理状态和有状态应用程序
卷和卷挂载音量最佳实践Kubernetes 存储持久体积持久卷索赔存储类Kubernetes 存储最佳实践有状态应用程序有状态集操作员状态集和操作员最佳实践摘要
17.准入控制和授权
准入控制它们是什么？它们为何重要？入场控制器类型配置接纳网络钩子准入控制最佳实践授权授权模块授权最佳做法摘要
18.GitOps 和部署
什么是 GitOps？为什么选择 GitOps？GitOps 仓库结构管理秘密设置通量GitOps 工具GitOps 最佳实践摘要
19.安全
集群安全etcd 访问认证授权TLSKubelet 和云元数据访问秘密日志和审计集群安全态势工具集群安全最佳实践工作负载容器安全舱位安全接纳Seccomp、AppArmor 和 SELinux入场控制器操作员Network+ 政策运行时安全工作负载容器安全最佳实践代码安全无根和无分发容器容器漏洞扫描代码库安全代码安全最佳实践摘要
20.混沌测试、负载测试和实验
混沌测试混沌测试的目标混沌测试的先决条件混沌测试应用程序的通信混沌测试应用程序的运行对应用程序进行安全和弹性模糊测试摘要负载测试负载测试的目标负载测试的先决条件生成真实的流量应用程序负载测试使用负载测试调整应用程序摘要实验实验目标实验的先决条件设置实验摘要混沌测试、负载测试和实验总结
21.执行操作员
操作员关键部件自定义资源定义创建我们的应用程序接口主计长对账资源验证控制器实施操作员生命周期版本升级运营商最佳实践摘要
22.结论
索引
关于作者

Content preview from 《Kubernetes 最佳实践》第二版

第 4 章配置、保密和 RBAC

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

容器的可组合特性允许我们作为操作员在运行时将配置数据引入容器。这样，我们就可以将应用程序的功能与其运行环境解耦。通过容器运行时允许在运行时向容器传递环境变量或挂载外部卷的约定，您可以在实例化应用程序时有效地更改应用程序的配置。作为开发人员，必须考虑到这种行为的动态性质，并允许使用环境变量或从应用程序运行时用户可用的特定路径读取配置数据。

在将机密等敏感数据移入本地 Kubernetes API 对象时，了解 Kubernetes 如何确保对 API 的访问安全非常重要。Kubernetes 中最常用的安全方法是基于角色的访问控制（RBAC），它围绕特定用户或组可以对 API 采取的行动实施细粒度的权限结构。本章将介绍有关 RBAC 的一些最佳实践，并提供一个小入门。

通过配置映射和机密进行配置

Kubernetes 允许你通过 ConfigMaps 或秘密资源向我们的应用程序原生提供配置信息。两者之间的主要区别在于 pod 存储接收信息的方式和数据在 etcd 数据存储中的存储方式。

配置地图

让应用程序通过某种机制（如命令行参数、环境变量或系统可用文件）消耗配置信息是非常常见的。容器允许开发人员将这些配置信息与应用程序分离，从而实现真正的应用程序可移植性。ConfigMap API 允许注入所提供的配置信息。ConfigMap 非常适合应用程序的要求，可以提供键/值对或复杂的批量数据，如 JSON、XML 或专有配置数据。

ConfigMaps 不仅能为 pod 提供配置信息，还能为更复杂的系统服务（如控制器、CRD、操作员等）提供所需的信息。如前所述，ConfigMap API 更适用于非敏感数据的字符串数据。如果您的应用程序需要更敏感的数据，则 Secrets API 更为合适。

要让应用程序使用 ConfigMap 数据，可以将其作为安装到 pod 中的卷或环境变量注入。

秘密

的许多属性和理由都适用于秘密。主要区别在于秘密的基本性质。秘密数据的存储和处理方式应易于隐藏，如果环境配置为加密，还可能在静态时进行加密。秘密数据是以 base64 编码信息的形式表示的，而且必须明白这并没有加密。一旦将秘密注入 pod，pod 本身就能看到纯文本的秘密数据。

秘密数据是指少量数据，Kubernetes 默认限制 base64 编码数据的大小为 1 MB，因此要确保实际数据约为 750 KB，因为编码会产生开销。Kubernetes 中有三种类型的秘密：

generic

通常只是普通的键/值对，这些键/值对是使用--from-literal= 参数从文件、目录或字符串文字中创建的，如下所示：

kubectl create secret generic mysecret --from-literal=key1=$3cr3t1
    --from-literal=key2=@3cr3t2

docker-registry

如果有imagePullsecret ，在 pod 模板中传递时，kubelet 会使用此，以提供向私有 Docker 注册表进行身份验证所需的凭据：

kubectl create secret docker-registry registryKey --docker-server
    myreg.azurecr.io --docker-username myreg --docker-password ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341657250

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business