book

Las mejores prácticas de Kubernetes, 2ª edición

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

September 2024

Intermediate to advanced

324 pages

8h 38m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Quién debería leer este libroPor qué escribimos este libroNavegar por este libroNovedades de esta ediciónConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
Visión general de la aplicaciónGestionar archivos de configuraciónCreación de un servicio replicado mediante ImplementacionesBuenas prácticas para la gestión de imágenesCrear una aplicación replicadaConfigurar una entrada externa para el tráfico HTTPConfigurar una aplicación con ConfigMapsGestionar la autenticación con secretosImplementación de una base de datos con estado simpleCreación de un equilibrador de carga TCP mediante serviciosUtilizar Ingress para dirigir el tráfico a un servidor de archivos estáticoParametrizar tu aplicación utilizando HelmImplementación de Servicios Buenas prácticasResumen
ObjetivosConstruir un Cluster de DesarrolloConfigurar un clúster compartido para varios desarrolladoresIncorporación de usuariosCrear y proteger un espacio de nombresGestión de espacios de nombresServicios a nivel de clústerHabilitar los flujos de trabajo de los desarrolladoresConfiguración inicialPermitir el desarrollo activoHabilitación de pruebas y depuraciónConfiguración de un entorno de desarrollo Buenas prácticasResumen
Métricas frente a registrosTécnicas de monitoreoPatrones de monitoreoVisión general de las métricas de KubernetescAdvisorServidor de métricaskube-state-metrics¿Qué métricas monitoreo?Herramientas de monitoreoMonitoreo de Kubernetes con PrometheusVisión general del registroHerramientas para el registroRegistro mediante una pila LokiAlertaBuenas prácticas de monitoreo, registro y alertaMonitoreoRegistroAlertaResumen
Configuración mediante ConfigMaps y SecretosConfigMapsSecretosBuenas prácticas comunes para las API ConfigMap y SecretsBuenas prácticas específicas de los secretosRBACManual RBACBuenas prácticas de RBACResumen
Control de versionesIntegración continuaPruebaConstrucción de contenedoresEtiquetado de imágenes de contenedoresImplementación continuaEstrategias de ImplementaciónPruebas en producciónConfigurar una tubería y realizar un experimento de caosConfigurar la ICConfigurar el CDRealizar una actualización progresivaUn simple experimento de caosBuenas prácticas para CI/CDResumen
VersionadoLiberaRolloutsPonerlo todo juntoBuenas prácticas para el control de versiones, las versiones y las implantacionesResumen
Distribuir tu imagenParametrizar tu ImplementaciónCarga equilibrada del tráfico en todo el mundoDespliegue fiable de software en todo el mundoValidación previa a la difusiónRegión CanariaIdentificar los tipos de regiónConstruir un despliegue globalCuando algo va malBuenas prácticas de despliegue en todo el mundoResumen
Programador de KubernetesPredicadosPrioridadesTécnicas avanzadas de programaciónAfinidad y antiafinidad de vainasselectorDeNodoManchas y toleranciasGestión de Recursos PodSolicitud de recursosLímites de recursos y Calidad de servicio del PodPodDisrupciónPresupuestosGestión de recursos mediante espacios de nombresCuota de recursosRangoLímiteEscalado de clústeresEscalado de aplicacionesEscalar con HPAHPA con métricas personalizadasAutoescalador vertical de vainasBuenas prácticas en la gestión de recursosResumen
Principios de la red KubernetesPlug-ins de redKubenetBuenas prácticas de KubenetEl complemento CNIBuenas prácticas del CNIServicios en KubernetesTipo de servicio ClusterIPTipo de servicio NodePortTipo de servicio ExternalNameTipo de servicio LoadBalancerControladores de entrada y entradapasarela de APIServicios y controladores de entrada Buenas prácticasPolítica de seguridad de la redBuenas prácticas de la política de redesMallas de servicioBuenas prácticas de la red de serviciosResumen

Controlador de Admisión de Seguridad del PodActivación de la admisión de seguridad en el podNiveles de seguridad del móduloActivar la seguridad de los pods mediante etiquetas de espacio de nombresAislamiento de la carga de trabajo y RuntimeClassUtilizar RuntimeClassImplementaciones en tiempo de ejecuciónAislamiento de la carga de trabajo y buenas prácticas de RuntimeClassOtras consideraciones sobre la seguridad de los pods y contenedoresControladores de admisiónHerramientas de detección de intrusos y anomalíasResumen
Por qué son importantes la política y la gobernanza¿En qué se diferencia esta política?Motor de Políticas Nativo de la NubePresentación de GatekeeperEjemplos de políticasTerminología del GatekeeperDefinir plantillas de restriccionesDefinir restriccionesReplicación de datosUXUtilizar la Acción de Cumplimiento y la AuditoríaMutaciónPolíticas de exámenesFamiliarizarse con GatekeeperBuenas prácticas en materia de política y gobernanzaResumen
¿Por qué varias agrupaciones?Preocupaciones sobre el diseño multiclústerGestión de Implementaciones de Clústeres MúltiplesModelos de Implementación y GestiónEl enfoque GitOps para la gestión de clustersHerramientas de gestión multiclústerFederación de KubernetesGestión de clusters múltiples Buenas prácticasResumen
Importar servicios a KubernetesServicios sin selector para direcciones IP establesServicios basados en CNAME para nombres DNS establesEnfoques basados en controladores activosExportar servicios desde KubernetesExportación de servicios mediante equilibradores de carga internosExportar servicios en NodePortsIntegración de máquinas externas y KubernetesCompartir servicios entre KubernetesHerramientas de tercerosConectar el clúster y los servicios externos Buenas prácticasResumen
¿Por qué Kubernetes es genial para el aprendizaje automático?Flujo de trabajo de aprendizaje automáticoAprendizaje automático para administradores de clústeres KubernetesFormación de modelos en KubernetesFormación distribuida en KubernetesLimitaciones de recursosFerretería especializadaBibliotecas, controladores y módulos del núcleoAlmacenamientoRedProtocolos especializadosPreocupaciones de los científicos de datosBuenas prácticas de aprendizaje automático en KubernetesResumen
Enfoques para desarrollar abstracciones de nivel superiorAmpliación de KubernetesAmpliación de clústeres KubernetesAmpliación de la experiencia de usuario de KubernetesFacilitar el desarrollo en contenedoresDesarrollo de una experiencia "Push-to-Deploy" (empujar para implementar)Consideraciones de diseño al construir plataformasApoyo a la exportación a una imagen de contenedorApoyar los mecanismos existentes para el descubrimiento de servicios y serviciosConstruir plataformas de aplicaciones Buenas prácticasResumen
Volúmenes y montajes de volúmenesVolumen Buenas prácticasAlmacenamiento KubernetesVolumenPersistenteReclamacionesVolumenPersistenteClasesDeAlmacenamientoBuenas prácticas de almacenamiento en KubernetesAplicaciones con estadoConjuntos de estadosOperariosBuenas prácticas de StatefulSet y OperadorResumen
Control de admisión¿Qué son?¿Por qué son importantes?Tipos de controladores de admisiónConfigurar webhooks de admisiónBuenas prácticas en el control de admisiónAutorizaciónMódulos de autorizaciónBuenas prácticas de autorizaciónResumen
¿Qué es GitOps?¿Por qué GitOps?Estructura del repositorio GitOpsGestión de secretosConfigurar FluxHerramientas GitOpsBuenas prácticas de GitOpsResumen
Seguridad del clústerAcceso etcdAutenticaciónAutorizaciónTLSKubelet y acceso a metadatos en la nubeSecretosRegistro y auditoríaHerramientas de Postura de Seguridad del ClústerBuenas prácticas de seguridad en los clústeresSeguridad de los contenedores de carga de trabajoAdmisión de Seguridad PodSeccomp, AppArmor y SELinuxControladores de admisiónOperariosPolítica de RedSeguridad en tiempo de ejecuciónBuenas prácticas de seguridad de los contenedores de carga de trabajoCódigo de seguridadContenedores sin Raíz y sin DistrolExploración de vulnerabilidades de contenedoresSeguridad del repositorio de códigoBuenas prácticas de seguridad del códigoResumen
Pruebas del caosObjetivos de las Pruebas del CaosRequisitos previos para la prueba del caosPruebas de caos en la comunicación de tu aplicaciónPrueba caótica del funcionamiento de tu aplicaciónPrueba Fuzz de tu aplicación para la seguridad y la resistenciaResumenPruebas de cargaObjetivos de las pruebas de cargaRequisitos previos para las pruebas de cargaGenerar tráfico realistaPrueba de carga de tu aplicaciónAjustar tu aplicación mediante pruebas de cargaResumenExperimentosObjetivos de los experimentosRequisitos previos para un experimentoPreparar un experimentoResumenResumen de Pruebas de Caos, Pruebas de Carga y Experimentos
Componentes clave del operadorDefiniciones personalizadas de recursosCrear nuestra APIConciliación del controladorValidación de recursosImplementación del controladorCiclo de vida del operadorActualizaciones de versiónBuenas prácticas de los operadoresResumen

Content preview from Las mejores prácticas de Kubernetes, 2ª edición

Capítulo 19. Seguridad

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Kubernetes es una potente plataforma para orquestar aplicaciones nativas de la nube. Sin embargo, bajo el barniz y el pulido de las API y las herramientas que conocemos y amamos, se esconde un sistema distribuido grande y complejo que requiere conocimientos específicos para protegerlo. Asegurar Kubernetes es un tema complejo que honestamente requiere su propio libro; sin embargo, hay tanto en juego si pasas por alto tomarte el tiempo necesario para comprender y aplicar las buenas prácticas de seguridad, que aquí lo cubrimos brevemente. El riesgo de no proteger adecuadamente tus clústeres y cargas de trabajo de Kubernetes es la posibilidad de exponer tus datos y recursos a piratas informáticos, malware y accesos no autorizados. Seríamos negligentes si no cubriéramos algunas de las principales áreas de seguridad y proporcionáramos buenas prácticas para ayudarte en el camino.

Dada la complejidad de Kubernetes en , recomendamos dividir el problema en capas lógicas en las que puedas centrarte en las herramientas específicas de cada capa. Una buena forma de gestionar la seguridad es seguir la estrategia de "defensa en profundidad". Esto requiere el uso de múltiples medidas de seguridad en cada capa para proteger Kubernetes y tus cargas de trabajo. Además, ten en cuenta el principio del mínimo privilegio, que establece que los usuarios y las cargas ...