book

Produktion Kubernetes

Name: Produktion Kubernetes
ISBN: 9781098194789

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 7m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Vorwort
In diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Ein Weg zur Produktion
Kubernetes definierenDie wichtigsten KomponentenÜber die Orchestrierung hinaus - Erweiterte FunktionalitätKubernetes-SchnittstellenKubernetes zusammenfassenAnwendungsplattformen definierenDas Spektrum an AnsätzenAnpassung der organisatorischen Anforderungen an die Bedürfnisse des UnternehmensAnwendungsplattformen zusammenfassenAufbau von Anwendungsplattformen auf KubernetesVon ganz unten anfangenDas Spektrum der AbstraktionFestlegen der PlattformdiensteDie BausteineZusammenfassung
2. Modelle für den Einsatz
Managed Service versus Roll Your OwnVerwaltete DiensteRoll dein EigenesDie Entscheidung treffenAutomatisierungVorgefertigter InstallateurBenutzerdefinierte AutomatisierungArchitektur und Topologieetcd-BereitstellungsmodelleCluster-TiersKnotenpoolsCluster FöderationInfrastrukturBare Metal Versus VirtualizedCluster-GrößeCompute-InfrastrukturNetzwerk-InfrastrukturAutomatisierungsstrategienMaschineninstallationenKonfigurationsmanagementMaschinenbilderWas zu installieren istContainerisierte KomponentenAdd-onsUpgradesPlattform VersionierungPlan zum FehlschlagenIntegrationstestsStrategienAuslösende MechanismenZusammenfassung
3. Container-Laufzeit
Die Ankunft der ContainerDie Open Container InitiativeOCI-Laufzeit-SpezifikationOCI-Bild-SpezifikationDie Container-Laufzeit-SchnittstelleEinen Pod gründenAuswahl einer LaufzeitDockercontainerdCRI-OKata-BehälterVirtuelles KubeletZusammenfassung
4. Container Speicherung
Überlegungen zur SpeicherungZugriffsmodiVolumen ExpansionVolumenbereitstellungSicherung und WiederherstellungBlockgeräte sowie Datei- und ObjektspeicherFlüchtige DatenAuswahl eines Anbieters für die SpeicherungKubernetes Speicher PrimitivePersistente Volumina und ClaimsKlassen der SpeicherungDas Container Storage Interface (CSI)CSI-ControllerCSI-KnotenImplementierung von Speicherung als ServiceInstallationSpeicheroptionen aufdeckenSpeicherung verbrauchenGrößenänderungSchnappschüsseZusammenfassung
5. Pod-Vernetzung
Überlegungen zur VernetzungIP-Adresse verwaltenRouting-ProtokolleVerkapselung und TunnelingWorkload RoutabilityIPv4 und IPv6Verschlüsselter Workload-VerkehrNetzwerkpolitikZusammenfassung: Überlegungen zur VernetzungDas Container Networking Interface (CNI)CNI InstallationCNI-Plug-insKattunCiliumAWS VPC CNIMultusZusätzliche Plug-insZusammenfassung
6. Service-Routing
Kubernetes DiensteDie DienstabstraktionEndpunkteDetails zur Implementierung der DienstleistungService EntdeckungLeistung des DNS-DienstesIngressDas Argument für IngressDie Ingress APIIngress-Kontrolleure und ihre FunktionsweiseIngress-VerkehrsmusterDie Wahl eines Ingress ControllersÜberlegungen zum Einsatz von Ingress ControllernDNS und seine Rolle beim IngressUmgang mit TLS-ZertifikatenService MeshWann man eine Serviceschleife (nicht) nutzen sollteDas Service Mesh Interface (SMI)Der Proxy der DatenebeneService Mesh auf KubernetesArchitektur der DatenebeneDie Einführung eines ServicenetzesZusammenfassung
7. Geheimes Management
Defense in DepthFestplattenverschlüsselungTransportsicherheitAnwendungs-VerschlüsselungDie geheime API von KubernetesGeheime VerbrauchsmodelleGeheime Daten in etcdStatic-Key-VerschlüsselungUmschlag-VerschlüsselungExterne AnbieterTresorCyberarkIntegration der InjektionCSI-IntegrationGeheimnisse in der deklarativen WeltGeheimnisse versiegelnSealed Secrets ControllerSchlüsselerneuerungMulticluster-ModelleBewährte Methoden für GeheimnisseGeheime Interaktion immer prüfenKeine Geheimnisse ausplaudernVolumes gegenüber Umgebungsvariablen bevorzugenMache die Anbieter von Geheimläden für deine Anwendung unbekanntZusammenfassung
8. Einlasskontrolle
Die Kubernetes-ZulassungsketteIn-Tree Admission ControllersWebhooksKonfigurieren von Webhook-ZulassungscontrollernÜberlegungen zum Webhook-DesignEinen mutierenden Webhook schreibenEinfacher HTTPS HandlerController LaufzeitZentralisierte PolitiksystemeZusammenfassung

9. Beobachtbarkeit
Mechanik des HolzfällensContainer Log ProcessingKubernetes Audit LogsKubernetes EreignisseAlarmierung bei ProtokollenAuswirkungen auf die SicherheitMetrikenPrometheusLangfristige SpeicherungMetriken vorantreibenBenutzerdefinierte MetrikenOrganisation und FöderationWarnungenShowback und ChargebackMetriken KomponentenVerteilte RückverfolgungOpenTracing und OpenTelemetryKomponenten zurückverfolgenAnwendung InstrumentierungService MeshesZusammenfassung
10. Identität
BenutzeridentitätAuthentifizierungsmethodenImplementierung von Least Privilege-Berechtigungen für BenutzerIdentität der Anwendung/WorkloadGeteilte GeheimnisseNetzwerk-IdentitätService Account Token (SAT)Projizierte Service Account Token (PSAT)Plattformvermittelte KnotenpunktidentitätZusammenfassung
11. Plattformdienste aufbauen
Punkte der ErweiterungPlug-in-ErweiterungenWebhook-ErweiterungenBediener-ErweiterungenDas Operator-MusterKubernetes-ControllerBenutzerdefinierte RessourcenAnwendungsfälle für BedienerPlattform-DienstprogrammeAllgemeine Workload-OperatorenApp-spezifische OperatorenEntwicklung von BetreibernOperator Entwicklung WerkzeugDatenmodell-DesignLogische UmsetzungErweiterung des ZeitplannungsprogrammsPrädikate und PrioritätenZeitplanungsprogrammeZeitplanungsprogrammeMehrere ZeitplanungsprogrammeBenutzerdefiniertes ZeitplannungsprogrammZusammenfassung
12. Multitenancy
Grad der IsolationSingle-Tenant-ClusterMultitenant-ClusterDie Namensraum-GrenzeMultitenancy in KubernetesDie rollenbasierte Zugriffskontrolle (RBAC)Ressourcen-QuotenZulassung WebhooksResource Requests und LimitsNetzwerkrichtlinienPod SicherheitsrichtlinienMandantenfähige PlattformdiensteZusammenfassung
13. Autoskalierung
Arten der SkalierungAnwendungsarchitekturAutomatische Skalierung der ArbeitslastHorizontaler Pod-AutoscalerVertikaler Pod-AutoscalerAutomatische Skalierung mit benutzerdefinierten MetrikenCluster Proportionaler AutoscalerBenutzerdefinierte AutoskalierungAutomatische Skalierung von ClusternCluster OverprovisioningZusammenfassung
14. Überlegungen zur Anwendung
Bereitstellung von Anwendungen in KubernetesTemplating von BereitstellungsmanifestenAnwendungen für Kubernetes verpackenEinlesen von Konfiguration und GeheimnissenKubernetes ConfigMaps und GeheimnisseBeziehen der Konfiguration von externen SystemenUmgang mit TerminverschiebungenPre-Stop Container Life Cycle HookAnständiges Herunterfahren von ContainernErfüllung der VerfügbarkeitsanforderungenStaatliche SondenLiveness-ProbenBereitschaftstestsStartup-SondenSonden einführenPod-Ressourcen-Anforderungen und LimitsRessourcenanfragenRessourcen-GrenzenAnwendungsprotokolleWas zu protokollieren istUnstrukturierte versus strukturierte LogsKontextbezogene Informationen in ProtokollenMetriken offenlegenInstrumentierung AnwendungenUSE-MethodeRED-MethodeDie vier goldenen SignaleApp-spezifische MetrikenInstrumentierungsdienste für verteiltes TracingInitialisierung des TracersSpannweiten schaffenKontext verbreitenZusammenfassung
15. Software-Lieferkette
Container-Images erstellenDas goldene Basisbild AntipatternAuswählen eines BasisbildesLaufzeit BenutzerPaketversionen anheftenBuild Versus Runtime ImageCloud Native BuildpacksBildregistrierungenSchwachstellen-ScanningQuarantäne-WorkflowBild signierenKontinuierliche LieferungBuilds in eine Pipeline einbindenPush-basierte EinsätzeRollout-MusterGitOpsZusammenfassung
16. Plattform-Abstraktionen
Plattform ExpositionSelf-Service OnboardingDas Spektrum der AbstraktionBefehlszeilen-ToolingAbstraktion durch TemplatingAbstrahieren von Kubernetes-PrimitivenKubernetes unsichtbar machenZusammenfassung
Index

Content preview from Produktion Kubernetes

Kapitel 7. Geheimes Management

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

In jedem Anwendungsstack stoßen wir fast garantiert auf geheime Daten. Das sind die Daten, die Anwendungen geheim halten wollen. Normalerweise verbinden wir Geheimnisse mit Anmeldedaten. Oft werden diese Zugangsdaten verwendet, um auf Systeme innerhalb oder außerhalb des Clusters zuzugreifen, z. B. auf Datenbanken oder Nachrichtenwarteschlangen. Wir stoßen auch auf geheime Daten, wenn wir private Schlüssel verwenden, die die Fähigkeit unserer Anwendung unterstützen, TLS mit anderen Anwendungen zu verwenden. Diese Art von Problemen wird in Kapitel 11 behandelt. Das Vorhandensein von Geheimnissen bringt viele betriebliche Belange mit sich, die berücksichtigt werden müssen, wie z. B:

Geheime Rotationspolitik: Wie lange darf ein Geheimnis bestehen bleiben, bevor es geändert werden muss?
Richtlinien zur Schlüsselrotation (Verschlüsselung): Angenommen, geheime Daten werden in der Anwendungsschicht verschlüsselt, bevor sie auf der Festplatte gespeichert werden: Wie lange darf ein Verschlüsselungsschlüssel im Umlauf sein, bevor er gedreht werden muss?
Maßnahmen zur geheimen Speicherung: Welche Anforderungen müssen erfüllt werden, um geheime Daten zu speichern? Müssen Sie Geheimnisse auf isolierter Hardware speichern? Muss deine Lösung zur Verwaltung von Geheimnissen mit einem Hardware-Sicherheitsmodul (HSM) integriert werden? ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098194789

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Produktion Kubernetes

by Josh Rosso, Rich Lander, Alex Brand, John Harris

Kapitel 7. Geheimes Management

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.