book

Melhores práticas de Kubernetes, 2ª edição

by Brendan Burns, Eddie Villalba, Dave Strebel, Lachlan Evenson

April 2025

Intermediate to advanced

324 pages

8h 20m

Portuguese (Portugal, Brazil)

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Quem deve ler este livroPorque escrevemos este livroComo navegar neste livroNovidades desta ediçãoConvenções utilizadas neste livroUtilizar exemplos de códigoAprendizagem em linha da O'ReillyComo contactar-nosAgradecimentos
Visão geral da aplicaçãoGerir ficheiros de configuraçãoCriando um serviço replicado usando implantaçõesMelhores práticas para a gestão de imagensCriar uma aplicação replicadaConfiguração de uma entrada externa para tráfego HTTPConfiguração de uma aplicação com ConfigMapsGerir a autenticação com segredosImplantação de um banco de dados simples com estadoCriando um balanceador de carga TCP usando serviçosUsando o Ingress para rotear o tráfego para um servidor de arquivos estáticoParametrizando seu aplicativo usando o HelmImplantação de serviços Práticas recomendadasResumo
ObjetivosConstruir um Cluster de DesenvolvimentoConfigurando um cluster compartilhado para vários desenvolvedoresIntegração de utilizadoresCriar e proteger um espaço de nomeGerir espaços de nomesServiços a nível de clusterAtivar os fluxos de trabalho dos programadoresConfiguração inicialPermitir o desenvolvimento ativoAtivar o teste e a depuraçãoConfigurando um ambiente de desenvolvimento Práticas recomendadasResumo
Métricas versus registosTécnicas de monitorizaçãoMonitorização de padrõesVisão geral das métricas do KubernetescAdvisorServidor de métricasmétricas do estado do cuboQue métricas devo monitorizar?Ferramentas de monitorizaçãoMonitorar Kubernetes usando o PrometheusVisão geral do registoFerramentas de registoRegisto usando um Loki-StackAlertaMelhores práticas para monitorizar, registar e emitir alertasMonitorizaçãoRegistoAlertaResumo
Configuração através de ConfigMaps e SegredosConfigMapsSegredosMelhores práticas comuns para as APIs ConfigMap e SecretsMelhores práticas específicas para os segredosRBACCartilha RBACMelhores práticas RBACResumo
Controlo de versõesIntegração contínuaTestesConstrução de contentoresMarcação de imagens de contentoresImplantação contínuaEstratégias de implementaçãoTestes na produçãoConfigurar um pipeline e realizar uma experiência de caosConfigurar a ICConfigurar o CDEfetuar uma atualização evolutivaUma experiência simples do caosPráticas recomendadas para CI/CDResumo
Criação de versõesLançamentosLançamentosJuntar tudoPráticas recomendadas para criação de versões, lançamentos e implementaçõesResumo
Distribuir a tua imagemParametrizar a tua implementaçãoBalanceamento de carga do tráfego em todo o mundoImplementa software de forma fiável em todo o mundoValidação pré-implantaçãoRegião das CanáriasIdentificação de tipos de regiõesConstruir uma implementação globalQuando algo corre malMelhores Práticas de Implementação MundialResumo
Agendador de KubernetesPredicadosPrioridadesTécnicas avançadas de programaçãoAfinidade e anti-afinidade de cápsulasnóSelectorManchas e tolerânciasGestão de recursos de cápsulasPedido de recursosLimites de recursos e qualidade de serviço de podPodDisrupçãoOrçamentosGerir recursos através da utilização de espaços de nomeQuota de recursosLimitRangeDimensionamento de clustersEscalonamento de aplicaçõesDimensionamento com HPAHPA com métricas personalizadasAutoscaler de cápsula verticalMelhores práticas de gestão de recursosResumo
Princípios da rede KubernetesPlug-ins de Network+KubenetMelhores práticas do KubenetO plug-in CNIMelhores práticas da CNIServiços em KubernetesTipo de serviço ClusterIPTipo de serviço NodePortTipo de serviço ExternalNameTipo de serviço LoadBalancerIngresso e controladores de ingressoAPI de gatewayPráticas recomendadas para serviços e controladores de entradaPolítica de segurança da redeMelhores práticas de política de Network+Malhas de serviçoMelhores práticas de Service MeshResumo

Pod Security Admission ControllerAtivar a admissão de segurança de podsNíveis de segurança do podAtivar a segurança do pod utilizando etiquetas de espaço de nomeIsolamento de carga de trabalho e classe de tempo de execuçãoUsando RuntimeClassImplementações em tempo de execuçãoMelhores práticas de isolamento de carga de trabalho e classe de tempo de execuçãoOutras considerações sobre a segurança de pods e contentoresControladores de admissãoFerramentas de deteção de intrusões e anomaliasResumo
Porque é que a política e a governação são importantesEm que é que esta política é diferente?Motor de políticas nativo da CloudApresentação do GatekeeperExemplos de políticasTerminologia do GatekeeperDefinição de modelos de restriçãoDefinição de restriçõesReplicação de dadosUXUtilizar a ação de execução e a auditoriaMutaçãoPolíticas de testeFamiliarizar-se com o GatekeeperMelhores práticas de política e governaçãoResumo
Porquê vários clusters?Preocupações com a conceção de multiclustersGerir várias implementações de clustersPadrões de implantação e gestãoA abordagem GitOps para gerir clustersFerramentas de gestão de multiclustersFederação de KubernetesGerenciamento de várias práticas recomendadas de clustersResumo
Importação de serviços para o KubernetesServiços sem seletor para endereços IP estáveisServiços baseados em CNAME para nomes DNS estáveisAbordagens baseadas em controladores activosExportar serviços do KubernetesExportação de serviços usando balanceadores de carga internosExportação de serviços em NodePortsIntegração de máquinas externas e KubernetesPartilhar serviços entre KubernetesFerramentas de terceirosLigar o cluster e os serviços externos Melhores práticasResumo
Porque é que o Kubernetes é ótimo para a aprendizagem automática?Fluxo de trabalho de aprendizagem automáticaAprendizagem automática para administradores de clusters KubernetesFormação de modelos em KubernetesFormação distribuída em KubernetesRestrições de recursosHardware especializadoBibliotecas, drivers e módulos do kernelArmazenamentoNetwork+Protocolos especializadosPreocupações dos cientistas de dadosAprendizagem automática nas melhores práticas do KubernetesResumo
Abordagens ao desenvolvimento de abstrações de nível superiorExtensão do KubernetesExtensão de clusters KubernetesAmpliar a experiência do utilizador KubernetesTornar o desenvolvimento em contentores mais fácilDesenvolver uma experiência "Push-to-DeployConsiderações sobre o design na construção de plataformasSuporta a exportação para uma imagem de contentorApoia os mecanismos existentes para a descoberta de serviços e serviçosMelhores práticas de criação de plataformas de aplicaçõesResumo
Volumes e montagens de volumesMelhores práticas de volumeArmazenamento de KubernetesPersistentVolumePersistentVolumeClaimsClasses de armazenamentoPráticas recomendadas de armazenamento do KubernetesAplicações com estadoStatefulSetsOperadoresMelhores práticas de StatefulSet e OperadorResumo
Controlo de admissãoO que são?Porque é que são importantes?Tipos de controladores de admissãoConfigurar Webhooks de admissãoMelhores práticas de controlo de admissãoAutorizaçãoMódulos de autorizaçãoMelhores práticas de autorizaçãoResumo
O que é o GitOps?Porquê o GitOps?Estrutura de repositório do GitOpsGestão de segredosConfigurar o FluxFerramentas GitOpsPráticas recomendadas do GitOpsResumo
Segurança do clusterAcesso ao etcdAutenticaçãoAutorizaçãoTLSKubelet e acesso a metadados na CloudSegredosRegisto e auditoriaFerramenta de Postura de Segurança de ClusterMelhores práticas de segurança do clusterSegurança do contentor de carga de trabalhoAdmissão de segurança de cápsulasSeccomp, AppArmor e SELinuxControladores de admissãoOperadoresPolítica de Network+Segurança em tempo de execuçãoPráticas recomendadas de segurança de contêineres de carga de trabalhoSegurança do códigoContentores sem raiz e sem distribuiçãoAnálise de vulnerabilidades de contentoresSegurança do repositório de códigoMelhores práticas de segurança de códigoResumo
Teste do caosObjetivos para o teste do caosPré-requisitos para o teste de caosCaos Testando a comunicação da tua aplicaçãoCaos Testar o funcionamento da tua aplicaçãoTeste de Fuzz da tua aplicação para segurança e resiliênciaResumoTeste de cargaObjetivos dos testes de cargaPré-requisitos para testes de cargaGerar tráfego realistaTeste de carga da tua aplicaçãoAjustar a tua aplicação utilizando testes de cargaResumoExperiênciasObjetivos das experiênciasPré-requisitos para uma experiênciaPreparar uma experiênciaResumoResumo dos testes de caos, testes de carga e experiências
Componentes principais do operadorDefinições de recursos personalizadosCriar a nossa APIReconciliação do controladorValidação de recursosImplementação do controladorCiclo de vida do operadorActualizações de versõesMelhores práticas do operadorResumo

Content preview from Melhores práticas de Kubernetes, 2ª edição

Capítulo 10. Segurança de Pods e Contêineres

Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com

Quando se trata de segurança de pods através da API Kubernetes, tens duas opções principais à tua disposição: Admissão de segurança de pod e RuntimeClass. Neste capítulo, revisamos a finalidade e o uso de cada API e fornecemos as práticas recomendadas para seu uso.

Pod Security Admission Controller

Esse recurso em todo o cluster cria um único local para definir e gerenciar todos os campos sensíveis à segurança encontrados nas especificações do pod. Antes da criação do recurso Pod Security Admission, os administradores e/ou usuários do cluster usavam o PodSecurityPolicy, que era complexo e poderia ser difícil de configurar corretamente. Antes do PodSecurityPolicy, os usuários precisavam definir independentemente as configurações individuais do SecurityContextpara cada pod ou implantação em suas cargas de trabalho ou ativar controladores de admissão personalizados no cluster para impor alguns aspectos da segurança do pod.

Nota

O controlador Pod Security Admission substituiu a API PodSecurityPolicy beta a partir do Kubernetes 1.22. A PodSecurityPolicy foi removida no Kubernetes 1.25. A Admissão de Segurança de Pod fornece uma API simplificada para proteger pods, mas não fornece paridade completa de recursos com PodSecurityPolicy. Para isso, terás de instalar uma solução de política mais completa como o projeto Gatekeeper ...