book

Produktion Kubernetes

Name: Produktion Kubernetes
ISBN: 9781098194789

by Josh Rosso, Rich Lander, Alex Brand, John Harris

September 2024

Intermediate to advanced

508 pages

16h 7m

German

O'Reilly Media, Inc.

Read now

Unlock full access

Vorwort
Vorwort
In diesem Buch verwendete KonventionenCode-Beispiele verwendenO'Reilly Online LearningWie du uns kontaktierstDanksagungen
1. Ein Weg zur Produktion
Kubernetes definierenDie wichtigsten KomponentenÜber die Orchestrierung hinaus - Erweiterte FunktionalitätKubernetes-SchnittstellenKubernetes zusammenfassenAnwendungsplattformen definierenDas Spektrum an AnsätzenAnpassung der organisatorischen Anforderungen an die Bedürfnisse des UnternehmensAnwendungsplattformen zusammenfassenAufbau von Anwendungsplattformen auf KubernetesVon ganz unten anfangenDas Spektrum der AbstraktionFestlegen der PlattformdiensteDie BausteineZusammenfassung
2. Modelle für den Einsatz
Managed Service versus Roll Your OwnVerwaltete DiensteRoll dein EigenesDie Entscheidung treffenAutomatisierungVorgefertigter InstallateurBenutzerdefinierte AutomatisierungArchitektur und Topologieetcd-BereitstellungsmodelleCluster-TiersKnotenpoolsCluster FöderationInfrastrukturBare Metal Versus VirtualizedCluster-GrößeCompute-InfrastrukturNetzwerk-InfrastrukturAutomatisierungsstrategienMaschineninstallationenKonfigurationsmanagementMaschinenbilderWas zu installieren istContainerisierte KomponentenAdd-onsUpgradesPlattform VersionierungPlan zum FehlschlagenIntegrationstestsStrategienAuslösende MechanismenZusammenfassung
3. Container-Laufzeit
Die Ankunft der ContainerDie Open Container InitiativeOCI-Laufzeit-SpezifikationOCI-Bild-SpezifikationDie Container-Laufzeit-SchnittstelleEinen Pod gründenAuswahl einer LaufzeitDockercontainerdCRI-OKata-BehälterVirtuelles KubeletZusammenfassung
4. Container Speicherung
Überlegungen zur SpeicherungZugriffsmodiVolumen ExpansionVolumenbereitstellungSicherung und WiederherstellungBlockgeräte sowie Datei- und ObjektspeicherFlüchtige DatenAuswahl eines Anbieters für die SpeicherungKubernetes Speicher PrimitivePersistente Volumina und ClaimsKlassen der SpeicherungDas Container Storage Interface (CSI)CSI-ControllerCSI-KnotenImplementierung von Speicherung als ServiceInstallationSpeicheroptionen aufdeckenSpeicherung verbrauchenGrößenänderungSchnappschüsseZusammenfassung
5. Pod-Vernetzung
Überlegungen zur VernetzungIP-Adresse verwaltenRouting-ProtokolleVerkapselung und TunnelingWorkload RoutabilityIPv4 und IPv6Verschlüsselter Workload-VerkehrNetzwerkpolitikZusammenfassung: Überlegungen zur VernetzungDas Container Networking Interface (CNI)CNI InstallationCNI-Plug-insKattunCiliumAWS VPC CNIMultusZusätzliche Plug-insZusammenfassung
6. Service-Routing
Kubernetes DiensteDie DienstabstraktionEndpunkteDetails zur Implementierung der DienstleistungService EntdeckungLeistung des DNS-DienstesIngressDas Argument für IngressDie Ingress APIIngress-Kontrolleure und ihre FunktionsweiseIngress-VerkehrsmusterDie Wahl eines Ingress ControllersÜberlegungen zum Einsatz von Ingress ControllernDNS und seine Rolle beim IngressUmgang mit TLS-ZertifikatenService MeshWann man eine Serviceschleife (nicht) nutzen sollteDas Service Mesh Interface (SMI)Der Proxy der DatenebeneService Mesh auf KubernetesArchitektur der DatenebeneDie Einführung eines ServicenetzesZusammenfassung
7. Geheimes Management
Defense in DepthFestplattenverschlüsselungTransportsicherheitAnwendungs-VerschlüsselungDie geheime API von KubernetesGeheime VerbrauchsmodelleGeheime Daten in etcdStatic-Key-VerschlüsselungUmschlag-VerschlüsselungExterne AnbieterTresorCyberarkIntegration der InjektionCSI-IntegrationGeheimnisse in der deklarativen WeltGeheimnisse versiegelnSealed Secrets ControllerSchlüsselerneuerungMulticluster-ModelleBewährte Methoden für GeheimnisseGeheime Interaktion immer prüfenKeine Geheimnisse ausplaudernVolumes gegenüber Umgebungsvariablen bevorzugenMache die Anbieter von Geheimläden für deine Anwendung unbekanntZusammenfassung
8. Einlasskontrolle
Die Kubernetes-ZulassungsketteIn-Tree Admission ControllersWebhooksKonfigurieren von Webhook-ZulassungscontrollernÜberlegungen zum Webhook-DesignEinen mutierenden Webhook schreibenEinfacher HTTPS HandlerController LaufzeitZentralisierte PolitiksystemeZusammenfassung

9. Beobachtbarkeit
Mechanik des HolzfällensContainer Log ProcessingKubernetes Audit LogsKubernetes EreignisseAlarmierung bei ProtokollenAuswirkungen auf die SicherheitMetrikenPrometheusLangfristige SpeicherungMetriken vorantreibenBenutzerdefinierte MetrikenOrganisation und FöderationWarnungenShowback und ChargebackMetriken KomponentenVerteilte RückverfolgungOpenTracing und OpenTelemetryKomponenten zurückverfolgenAnwendung InstrumentierungService MeshesZusammenfassung
10. Identität
BenutzeridentitätAuthentifizierungsmethodenImplementierung von Least Privilege-Berechtigungen für BenutzerIdentität der Anwendung/WorkloadGeteilte GeheimnisseNetzwerk-IdentitätService Account Token (SAT)Projizierte Service Account Token (PSAT)Plattformvermittelte KnotenpunktidentitätZusammenfassung
11. Plattformdienste aufbauen
Punkte der ErweiterungPlug-in-ErweiterungenWebhook-ErweiterungenBediener-ErweiterungenDas Operator-MusterKubernetes-ControllerBenutzerdefinierte RessourcenAnwendungsfälle für BedienerPlattform-DienstprogrammeAllgemeine Workload-OperatorenApp-spezifische OperatorenEntwicklung von BetreibernOperator Entwicklung WerkzeugDatenmodell-DesignLogische UmsetzungErweiterung des ZeitplannungsprogrammsPrädikate und PrioritätenZeitplanungsprogrammeZeitplanungsprogrammeMehrere ZeitplanungsprogrammeBenutzerdefiniertes ZeitplannungsprogrammZusammenfassung
12. Multitenancy
Grad der IsolationSingle-Tenant-ClusterMultitenant-ClusterDie Namensraum-GrenzeMultitenancy in KubernetesDie rollenbasierte Zugriffskontrolle (RBAC)Ressourcen-QuotenZulassung WebhooksResource Requests und LimitsNetzwerkrichtlinienPod SicherheitsrichtlinienMandantenfähige PlattformdiensteZusammenfassung
13. Autoskalierung
Arten der SkalierungAnwendungsarchitekturAutomatische Skalierung der ArbeitslastHorizontaler Pod-AutoscalerVertikaler Pod-AutoscalerAutomatische Skalierung mit benutzerdefinierten MetrikenCluster Proportionaler AutoscalerBenutzerdefinierte AutoskalierungAutomatische Skalierung von ClusternCluster OverprovisioningZusammenfassung
14. Überlegungen zur Anwendung
Bereitstellung von Anwendungen in KubernetesTemplating von BereitstellungsmanifestenAnwendungen für Kubernetes verpackenEinlesen von Konfiguration und GeheimnissenKubernetes ConfigMaps und GeheimnisseBeziehen der Konfiguration von externen SystemenUmgang mit TerminverschiebungenPre-Stop Container Life Cycle HookAnständiges Herunterfahren von ContainernErfüllung der VerfügbarkeitsanforderungenStaatliche SondenLiveness-ProbenBereitschaftstestsStartup-SondenSonden einführenPod-Ressourcen-Anforderungen und LimitsRessourcenanfragenRessourcen-GrenzenAnwendungsprotokolleWas zu protokollieren istUnstrukturierte versus strukturierte LogsKontextbezogene Informationen in ProtokollenMetriken offenlegenInstrumentierung AnwendungenUSE-MethodeRED-MethodeDie vier goldenen SignaleApp-spezifische MetrikenInstrumentierungsdienste für verteiltes TracingInitialisierung des TracersSpannweiten schaffenKontext verbreitenZusammenfassung
15. Software-Lieferkette
Container-Images erstellenDas goldene Basisbild AntipatternAuswählen eines BasisbildesLaufzeit BenutzerPaketversionen anheftenBuild Versus Runtime ImageCloud Native BuildpacksBildregistrierungenSchwachstellen-ScanningQuarantäne-WorkflowBild signierenKontinuierliche LieferungBuilds in eine Pipeline einbindenPush-basierte EinsätzeRollout-MusterGitOpsZusammenfassung
16. Plattform-Abstraktionen
Plattform ExpositionSelf-Service OnboardingDas Spektrum der AbstraktionBefehlszeilen-ToolingAbstraktion durch TemplatingAbstrahieren von Kubernetes-PrimitivenKubernetes unsichtbar machenZusammenfassung
Index

Content preview from Produktion Kubernetes

Kapitel 8. Einlasskontrolle

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Wir haben in diesem Buch schon oft darüber geschrieben, dass das flexible, modulare Design von Kubernetes eine seiner großen Stärken ist. Sinnvolle Standardeinstellungen können ersetzt, erweitert oder ausgebaut werden, um den Nutzern der Plattform alternative oder umfassendere Funktionen zu bieten. Die Zugangskontrolle ist ein Bereich, der besonders von diesem flexiblen Designziel profitiert. Bei der Zulassungskontrolle geht es darum, Anfragen an den Kubernetes-API-Server zu validieren und zu verändern , bevor sie in etcd gespeichert werden. Diese Fähigkeit, Objekte mit feiner Granularität und Kontrolle abzufangen, eröffnet eine Reihe interessanter Anwendungsfälle, zum Beispiel:

Sicherstellen, dass keine neuen Objekte in einem Namespace erstellt werden können, der gerade gelöscht wird (im terminierenden Zustand)
Erzwingen, dass neue Pods nicht als Root-User laufen
Sicherstellen, dass die Gesamtsumme des von allen Pods in einem Namespace verwendeten Speichers eine benutzerdefinierte Grenze nicht überschreitet
Sicherstellen, dass Ingress-Regeln nicht versehentlich überschrieben werden können
Hinzufügen eines Sidecar-Containers zu jedem Pod (z. B. Istio)

Zunächst werfen wir einen Blick auf die Zulassungskette, also den Prozess, den alle Anfragen an den API-Server durchlaufen. Dann gehen wir zu den In-Tree-Controllern ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9781098194789

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Produktion Kubernetes

by Josh Rosso, Rich Lander, Alex Brand, John Harris

Kapitel 8. Einlasskontrolle

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.