book

《使用 Kubernetes 实现云原生 DevOps（第二版）》

Name: 《使用 Kubernetes 实现云原生 DevOps（第二版）》
ISBN: 9798341659179

by Justin Domingus, John Arundel

May 2025

Intermediate to advanced

356 pages

3h 47m

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

第二版前言
第一版前言
序言
我能学到什么？这本书适合哪些人阅读？本书回答了哪些问题？本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
1.云的革命
云的创建购买时间基础设施即服务DevOps 的曙光改进反馈回路DevOps 意味着什么？基础设施即代码共同学习集装箱的到来技术现状框内思考将软件放入容器中即插即用应用指挥集装箱乐团Kubernetes从博格到 Kubernetes为什么选择 Kubernetes？Kubernetes 会消失吗？Kubernetes 不是万能药Cloud Native业务的未来分布式 DevOps有些事情仍将集中处理开发人员生产力工程你就是未来摘要
2.使用 Kubernetes 的第一步
运行第一个集装箱安装 Docker 桌面什么是 Docker？运行容器映像演示应用程序查看源代码介绍围棋演示应用程序如何运行建造集装箱了解 Dockerfiles最小化容器图像运行 Docker 映像构建为图像命名端口转发集装箱登记处验证注册表命名和推广你的形象管理您的形象你好，Kubernetes运行演示应用程序如果容器无法启动Minikube摘要
3.获取 Kubernetes
集群架构控制平面节点组件高可用性自托管 Kubernetes 的成本比你想象的更辛苦不仅仅是初始设置工具不能帮你完成所有工作Kubernetes 的艰难之路Kubernetes 很难行政间接费用从托管服务开始Kubernetes 托管服务谷歌 Kubernetes 引擎（GKE）群集自动扩展自动驾驶仪亚马逊弹性 Kubernetes 服务（EKS）Azure Kubernetes 服务（AKS）IBM Cloud Kubernetes 服务数字海洋 KubernetesKubernetes 安装程序酒壶KubespraykubeadmRancher Kubernetes 引擎（RKE）Puppet Kubernetes 模块购买或建造：我们的建议减少运行软件尽可能使用托管 Kubernetes但供应商锁定怎么办？裸机和预置多云 Kubernetes 集群OpenShift安托斯必要时使用标准 Kubernetes 自托管工具无集群容器服务AWS FargateAzure 容器实例（ACI）Google Cloud Run摘要
4.使用 Kubernetes 对象
部署监督和调度重启容器创建部署豆荚复制集保持理想状态Kubernetes 调度器YAML 格式的资源清单资源即数据部署清单使用 kubectl apply服务资源使用 kubectl 查询群集让资源更上一层楼Helm：Kubernetes 软件包管理器安装舵手安装舵手图图表、资料库和发布列出舵手发布摘要
5.资源管理
了解资源资源单位资源申请资源限制服务质量管理集装箱生命周期有效性探测器探头延迟和频率其他类型的探头就绪探测器启动探测器gRPC 探针基于文件的就绪探测器最小就绪秒数Pod 破坏预算使用命名空间使用命名空间我应该使用什么命名空间？服务地址资源配额默认资源请求和限制优化集群成本库贝科斯特优化部署优化豆荚垂直吊舱自动定标器优化节点优化存储清理未使用的资源检查备用容量使用预留实例使用可抢占（现货）实例保持工作量平衡摘要
6.运行集群
集群规模和扩展容量规划节点和实例扩展群集一致性检查CNCF 认证使用 Sonobuoy 进行一致性测试Kubernetes 审计日志混沌测试只有生产才是生产chaoskubekube-monkey强力密封摘要
7.Kubernetes 强力工具
掌握 kubectl外壳别名使用短标志资源类型缩写自动完成 kubectl 命令获取帮助获取 Kubernetes 资源帮助显示更详细的输出使用 JSON 数据和 jq观察物体描述对象利用资源强制 kubectl 命令何时不使用强制命令生成资源清单输出资源差异资源使用容器查看容器日志连接到容器用 kubespy 观察 Kubernetes 资源转发集装箱港口在容器上执行命令运行容器进行故障排除使用 BusyBox 命令在容器中添加 BusyBox在容器上安装程序上下文和命名空间kubeconfig 文件kubectx 和 kubenskube-ps1Kubernetes Shell 和工具kube-shell点击kubed-sh斯特恩Kubernetes 集成开发环境镜头VS 代码 Kubernetes 扩展构建自己的 Kubernetes 工具摘要

8.运行容器
集装箱和舱什么是集装箱？Kubernetes 中的容器运行时什么属于集装箱？什么属于花苞？集装箱清单图像标识符最新标签集装箱摘要基础图像标签港口资源申请和限制图像拉动政策环境变量集装箱安全以非根用户身份运行容器阻止根容器设置只读文件系统禁用权限升级能力Pod 安全环境Pod 服务账户卷数emptyDir 卷持久卷重启政策图像拉动秘诀初始化容器摘要
9.管理 Pod
标签什么是标签？选择器更多高级选择器标签的其他用途标签和注释节点亲和力硬亲和力软亲和力花苞亲和力和反亲和力保持花苞在一起保持舱体分离软性抗静电何时使用 Pod Affinities污点与宽容吊舱控制器守护进程集有状态集工作机会CronJobs水平吊舱自动标度仪操作符和自定义资源定义（CRD）入侵入侵控制器入境规则使用入口终止 TLS服务网格Istio林克德领事连接NGINX 服务网格摘要
10.配置和保密
配置地图创建配置地图从配置映射设置环境变量通过配置表设置整个环境在命令参数中使用环境变量从配置地图创建配置文件根据配置更改更新 PodKubernetes 的秘密将秘密作为环境变量使用档案写作秘诀阅读秘诀获取机密静态加密保密和配置地图秘密管理策略在版本控制中加密机密使用专用的秘密管理工具用 Sops 加密机密用 Sops 加密文件使用 KMS 后端密封的秘密摘要
11.安全、备份和集群健康
访问控制和权限按群组管理访问基于角色的访问控制（RBAC）介绍了解角色将角色与用户绑定我需要哪些角色？监控群集管理员的访问权限应用和部署RBAC 故障排除集群安全扫描守门员/OPAkube-bench库贝景观集装箱安全扫描克莱尔水锚机引擎Synk备份我需要备份 Kubernetes 吗？备份 etcd备份资源状态备份群集状态大小灾害Velero监测群组状态kubectlCPU 和内存利用率云提供商控制台Kubernetes 控制面板编织范围kube-op-view节点问题探测器更多阅读摘要
12.部署 Kubernetes 应用程序
用 Helm 创建任务舵手图里面有什么？舵模板插值变量在模板中引用值指定依赖关系部署舵手图设置变量在 Helm 版本中指定值使用 Helm 更新应用程序回滚到以前的版本创建 Helm 图表 Repo用 Sops 管理舵手图的秘密使用 Helmfile 管理多个图表舵手文件中有哪些内容？图表元数据应用舵手文件先进的清单管理工具定制唐卡卡皮坦叩击Ansiblekubeval摘要
13.开发工作流程
开发工具Skaffold网真航点KnativeOpenFaaS交叉平面部署战略滚动更新重新创建maxSurge 和 maxUnavailable蓝/绿部署彩虹部署金丝雀部署使用 Helm 处理迁移舵钩处理失败的钩子其他挂钩链钩摘要
14.Kubernetes 中的持续部署
什么是持续部署？我应该使用哪种 CD 工具？托管的 CI/CD 工具Azure 管道谷歌云构建代码保鲜GitHub 操作GitLab CI自托管 CI/CD 工具詹金斯无人机Tekton大堂三角帆阿尔戈龙骨云构建的 CI/CD 管道设置 Google Cloud 和 GKE分叉 Demo Repository创建人工制品注册中心容器存储库配置云构建构建测试容器运行测试构建应用程序容器替代变量Git SHA 标签验证 Kubernetes 清单发布图像创建第一个构建触发器测试触发器从 CI/CD 管道进行部署创建部署触发器调整示例管道GitOps通量摘要
15.可观察性和监测
什么是可观察性？什么是监控？封闭式监控向上 "意味着什么？记录指标介绍追踪可观察性可观察性管道Kubernetes 中的监控外部封闭检查内部健康检查摘要
16.Kubernetes 中的度量指标
衡量标准究竟是什么？时间序列数据计数器和量规指标能告诉我们什么？选择好的衡量标准服务：红色模式资源：USE 模式业务指标Kubernetes 指标分析指标简单平均数有什么问题？平均数、中位数和异常值发现百分位数将百分位数应用于度量数据我们通常想知道最坏的情况超越百分位数使用仪表盘绘制度量指标图所有服务均使用标准布局利用初级仪表板构建信息辐射器仪表板故障指标警报警报有什么问题？待命不应是地狱紧急、重要和可执行警报跟踪您的警报、非工作时间页面和唤醒服务度量工具和服务普罗米修斯谷歌运营套件AWS CloudWatchAzure 监测器Datadog新 Relic摘要
后记
下一步去哪里第二版说明欢迎登船
索引
关于作者

Content preview from 《使用 Kubernetes 实现云原生 DevOps（第二版）》

第 8 章运行容器运行容器

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

如果你有一个棘手的问题无法回答，那就先从一个你无法回答的简单问题开始。

马克斯-泰格马克

在前几章中，我们主要关注 Kubernetes 的操作方面：从哪里获取集群、如何维护集群以及如何管理集群资源。现在让我们来看看 Kubernetes 最基本的对象：容器。我们将从技术层面了解容器的工作原理、它们与 Pod 的关系，以及如何将容器映像部署到 Kubernetes。

在本章中，我们还将介绍容器安全这一重要话题，以及如何根据最佳实践使用 Kubernetes 中的安全功能，以安全的方式部署应用程序。最后，我们将了解如何在 Pod 上挂载磁盘卷，从而允许容器共享和持久化数据。

集装箱和舱

我们已经在第 2 章中介绍了 Pod，并谈到了部署如何使用 ReplicaSets 来维护一组复制 Pod，但我们还没有真正详细地了解 Pod 本身。Pod 是 Kubernetes 中的调度单元。一个 Pod 对象代表一个容器或一组容器，在 Kubernetes 中运行的一切都通过 Pod 来实现：

Pod 代表在同一执行环境中运行的应用程序容器和卷的集合。Pod 是 Kubernetes 集群中最小的可部署工件，而不是容器。这意味着 Pod 中的所有容器始终位于同一台机器上。
Kelsey Hightower 等人，Kubernetes Up & Running

到目前为止，在本书中Pod和容器这两个术语或多或少可以互换使用：演示应用程序 Pod 中只有一个容器。但在更复杂的应用程序中，一个 Pod 很可能包含两个或更多容器。因此，让我们来看看它是如何工作的，并了解何时以及为何要在 Pod 中将容器组合在一起。

什么是集装箱？

在问为什么要在 Pod 中安装多个容器之前，我们先来回顾一下容器到底是什么。

从"容器的到来 "一书中我们可以了解到，容器是一个标准化的软件包，其中包含一个软件及其依赖项、配置、数据等：运行所需的一切。但它究竟是如何运行的呢？

在 Linux 和大多数其他操作系统中，机器上运行的一切都通过进程来实现。进程代表一个正在运行的应用程序（如 Chrome 浏览器、top 或 Visual Studio Code）的二进制代码和内存状态。所有进程都存在于同一个全局命名空间中：它们可以互相查看和交互，共享同一个资源池，如 CPU、内存和文件系统。(Linux 命名空间有点像 Kubernetes 命名空间，虽然从技术上讲不是一回事）。

从操作系统的角度看，容器代表一个孤立的进程（或进程组），它存在于自己的命名空间中。容器内的进程看不到容器外的进程，反之亦然。容器不能访问属于另一个容器的资源，也不能访问容器外的进程。容器边界就像一个环形栅栏，可以阻止进程肆意运行并占用彼此的资源。

就容器内的进程而言，它运行在自己的机器上，可以完全访问其所有资源，没有其他进程在运行。如果在容器内运行一些命令，就可以看到这一点：

kubectl run busybox --image busybox:1.28 --rm -it --restart=Never /bin/sh
If you don't see a command prompt, try pressing enter.
/ # ps ax
PID   USER     TIME  COMMAND
    1 root      0:00 /bin/sh
 8 root 0:00 ps ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341659179

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design