book

《使用 Kubernetes 实现云原生 DevOps（第二版）》

Name: 《使用 Kubernetes 实现云原生 DevOps（第二版）》
ISBN: 9798341659179

by Justin Domingus, John Arundel

May 2025

Intermediate to advanced

356 pages

3h 47m

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

第二版前言
第一版前言
序言
我能学到什么？这本书适合哪些人阅读？本书回答了哪些问题？本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
1.云的革命
云的创建购买时间基础设施即服务DevOps 的曙光改进反馈回路DevOps 意味着什么？基础设施即代码共同学习集装箱的到来技术现状框内思考将软件放入容器中即插即用应用指挥集装箱乐团Kubernetes从博格到 Kubernetes为什么选择 Kubernetes？Kubernetes 会消失吗？Kubernetes 不是万能药Cloud Native业务的未来分布式 DevOps有些事情仍将集中处理开发人员生产力工程你就是未来摘要
2.使用 Kubernetes 的第一步
运行第一个集装箱安装 Docker 桌面什么是 Docker？运行容器映像演示应用程序查看源代码介绍围棋演示应用程序如何运行建造集装箱了解 Dockerfiles最小化容器图像运行 Docker 映像构建为图像命名端口转发集装箱登记处验证注册表命名和推广你的形象管理您的形象你好，Kubernetes运行演示应用程序如果容器无法启动Minikube摘要
3.获取 Kubernetes
集群架构控制平面节点组件高可用性自托管 Kubernetes 的成本比你想象的更辛苦不仅仅是初始设置工具不能帮你完成所有工作Kubernetes 的艰难之路Kubernetes 很难行政间接费用从托管服务开始Kubernetes 托管服务谷歌 Kubernetes 引擎（GKE）群集自动扩展自动驾驶仪亚马逊弹性 Kubernetes 服务（EKS）Azure Kubernetes 服务（AKS）IBM Cloud Kubernetes 服务数字海洋 KubernetesKubernetes 安装程序酒壶KubespraykubeadmRancher Kubernetes 引擎（RKE）Puppet Kubernetes 模块购买或建造：我们的建议减少运行软件尽可能使用托管 Kubernetes但供应商锁定怎么办？裸机和预置多云 Kubernetes 集群OpenShift安托斯必要时使用标准 Kubernetes 自托管工具无集群容器服务AWS FargateAzure 容器实例（ACI）Google Cloud Run摘要
4.使用 Kubernetes 对象
部署监督和调度重启容器创建部署豆荚复制集保持理想状态Kubernetes 调度器YAML 格式的资源清单资源即数据部署清单使用 kubectl apply服务资源使用 kubectl 查询群集让资源更上一层楼Helm：Kubernetes 软件包管理器安装舵手安装舵手图图表、资料库和发布列出舵手发布摘要
5.资源管理
了解资源资源单位资源申请资源限制服务质量管理集装箱生命周期有效性探测器探头延迟和频率其他类型的探头就绪探测器启动探测器gRPC 探针基于文件的就绪探测器最小就绪秒数Pod 破坏预算使用命名空间使用命名空间我应该使用什么命名空间？服务地址资源配额默认资源请求和限制优化集群成本库贝科斯特优化部署优化豆荚垂直吊舱自动定标器优化节点优化存储清理未使用的资源检查备用容量使用预留实例使用可抢占（现货）实例保持工作量平衡摘要
6.运行集群
集群规模和扩展容量规划节点和实例扩展群集一致性检查CNCF 认证使用 Sonobuoy 进行一致性测试Kubernetes 审计日志混沌测试只有生产才是生产chaoskubekube-monkey强力密封摘要
7.Kubernetes 强力工具
掌握 kubectl外壳别名使用短标志资源类型缩写自动完成 kubectl 命令获取帮助获取 Kubernetes 资源帮助显示更详细的输出使用 JSON 数据和 jq观察物体描述对象利用资源强制 kubectl 命令何时不使用强制命令生成资源清单输出资源差异资源使用容器查看容器日志连接到容器用 kubespy 观察 Kubernetes 资源转发集装箱港口在容器上执行命令运行容器进行故障排除使用 BusyBox 命令在容器中添加 BusyBox在容器上安装程序上下文和命名空间kubeconfig 文件kubectx 和 kubenskube-ps1Kubernetes Shell 和工具kube-shell点击kubed-sh斯特恩Kubernetes 集成开发环境镜头VS 代码 Kubernetes 扩展构建自己的 Kubernetes 工具摘要

8.运行容器
集装箱和舱什么是集装箱？Kubernetes 中的容器运行时什么属于集装箱？什么属于花苞？集装箱清单图像标识符最新标签集装箱摘要基础图像标签港口资源申请和限制图像拉动政策环境变量集装箱安全以非根用户身份运行容器阻止根容器设置只读文件系统禁用权限升级能力Pod 安全环境Pod 服务账户卷数emptyDir 卷持久卷重启政策图像拉动秘诀初始化容器摘要
9.管理 Pod
标签什么是标签？选择器更多高级选择器标签的其他用途标签和注释节点亲和力硬亲和力软亲和力花苞亲和力和反亲和力保持花苞在一起保持舱体分离软性抗静电何时使用 Pod Affinities污点与宽容吊舱控制器守护进程集有状态集工作机会CronJobs水平吊舱自动标度仪操作符和自定义资源定义（CRD）入侵入侵控制器入境规则使用入口终止 TLS服务网格Istio林克德领事连接NGINX 服务网格摘要
10.配置和保密
配置地图创建配置地图从配置映射设置环境变量通过配置表设置整个环境在命令参数中使用环境变量从配置地图创建配置文件根据配置更改更新 PodKubernetes 的秘密将秘密作为环境变量使用档案写作秘诀阅读秘诀获取机密静态加密保密和配置地图秘密管理策略在版本控制中加密机密使用专用的秘密管理工具用 Sops 加密机密用 Sops 加密文件使用 KMS 后端密封的秘密摘要
11.安全、备份和集群健康
访问控制和权限按群组管理访问基于角色的访问控制（RBAC）介绍了解角色将角色与用户绑定我需要哪些角色？监控群集管理员的访问权限应用和部署RBAC 故障排除集群安全扫描守门员/OPAkube-bench库贝景观集装箱安全扫描克莱尔水锚机引擎Synk备份我需要备份 Kubernetes 吗？备份 etcd备份资源状态备份群集状态大小灾害Velero监测群组状态kubectlCPU 和内存利用率云提供商控制台Kubernetes 控制面板编织范围kube-op-view节点问题探测器更多阅读摘要
12.部署 Kubernetes 应用程序
用 Helm 创建任务舵手图里面有什么？舵模板插值变量在模板中引用值指定依赖关系部署舵手图设置变量在 Helm 版本中指定值使用 Helm 更新应用程序回滚到以前的版本创建 Helm 图表 Repo用 Sops 管理舵手图的秘密使用 Helmfile 管理多个图表舵手文件中有哪些内容？图表元数据应用舵手文件先进的清单管理工具定制唐卡卡皮坦叩击Ansiblekubeval摘要
13.开发工作流程
开发工具Skaffold网真航点KnativeOpenFaaS交叉平面部署战略滚动更新重新创建maxSurge 和 maxUnavailable蓝/绿部署彩虹部署金丝雀部署使用 Helm 处理迁移舵钩处理失败的钩子其他挂钩链钩摘要
14.Kubernetes 中的持续部署
什么是持续部署？我应该使用哪种 CD 工具？托管的 CI/CD 工具Azure 管道谷歌云构建代码保鲜GitHub 操作GitLab CI自托管 CI/CD 工具詹金斯无人机Tekton大堂三角帆阿尔戈龙骨云构建的 CI/CD 管道设置 Google Cloud 和 GKE分叉 Demo Repository创建人工制品注册中心容器存储库配置云构建构建测试容器运行测试构建应用程序容器替代变量Git SHA 标签验证 Kubernetes 清单发布图像创建第一个构建触发器测试触发器从 CI/CD 管道进行部署创建部署触发器调整示例管道GitOps通量摘要
15.可观察性和监测
什么是可观察性？什么是监控？封闭式监控向上 "意味着什么？记录指标介绍追踪可观察性可观察性管道Kubernetes 中的监控外部封闭检查内部健康检查摘要
16.Kubernetes 中的度量指标
衡量标准究竟是什么？时间序列数据计数器和量规指标能告诉我们什么？选择好的衡量标准服务：红色模式资源：USE 模式业务指标Kubernetes 指标分析指标简单平均数有什么问题？平均数、中位数和异常值发现百分位数将百分位数应用于度量数据我们通常想知道最坏的情况超越百分位数使用仪表盘绘制度量指标图所有服务均使用标准布局利用初级仪表板构建信息辐射器仪表板故障指标警报警报有什么问题？待命不应是地狱紧急、重要和可执行警报跟踪您的警报、非工作时间页面和唤醒服务度量工具和服务普罗米修斯谷歌运营套件AWS CloudWatchAzure 监测器Datadog新 Relic摘要
后记
下一步去哪里第二版说明欢迎登船
索引
关于作者

Content preview from 《使用 Kubernetes 实现云原生 DevOps（第二版）》

第 10 章配置和保密

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

如果你想保守秘密，也必须瞒着自己。

乔治-奥威尔《1984

将 Kubernetes 应用程序的逻辑与其配置（即在应用程序生命周期中可能发生变化的任何值或设置）分开是非常有用的。配置值通常包括环境特定设置、第三方服务的 DNS 地址和身份验证凭据等。

虽然您可以直接将这些值写入代码，但这种方法并不灵活。首先，更改配置值需要对应用程序进行彻底的重建和重新部署。将这些值从代码中分离出来，然后从文件或环境变量中读入，效果会好得多。

Kubernetes 提供了几种不同的方法来帮助你管理配置。一种是通过 Pod 规范中的环境变量向应用程序传递值（参见"环境变量"）。另一种是直接在 Kubernetes 中使用 ConfigMap 和 Secret 对象存储配置数据。

在本章中，我们将详细探讨配置映射和秘密，并以演示应用程序为例，介绍在应用程序中管理配置和秘密的一些实用技术。

配置地图

ConfigMap 是 Kubernetes 中存储配置数据的主要对象。你可以把它想象成存储配置数据的键值对命名集。一旦有了 ConfigMap，你就可以通过在 Pod 中创建文件或将其注入 Pod 环境的方式，将数据提供给应用程序。

在本节中，我们将了解一些将数据导入 ConfigMap 的不同方法，然后探索提取这些数据并将其导入 Kubernetes 应用程序的各种途径。

创建配置地图

假设你想在 Pod 的文件系统中创建一个 YAML 配置文件，文件名为config.yaml，内容如下：

autoSaveInterval: 60
batchSize: 128
protocols:
  - http
  - https

有了这组值，如何将它们转化为可以应用到 Kubernetes 的 ConfigMap 资源呢？

一种方法是在 ConfigMap 清单中将数据指定为字面 YAML 值。这就是 ConfigMap 对象的清单：

apiVersion: v1
kind: ConfigMap
metadata:
  name: demo-config
data:
  config.yaml: |
    autoSaveInterval: 60
    batchSize: 128
    protocols:
      - http
      - https

您可以创建一个 ConfigMap，方法是从头开始编写清单，然后将config.yaml中的值添加到data 部分，就像我们在本例中所做的那样。

不过，更简单的方法是让kubectl 代劳。您可以直接从 YAML 文件创建 ConfigMap，方法如下：

kubectl create configmap demo-config --from-file=config.yaml
configmap "demo-config" created

要导出与此 ConfigMap 对应的清单文件，请运行

kubectl get configmap/demo-config -o yaml
    >demo-config.yaml

这会将集群 ConfigMap 资源的 YAML 清单表示写入文件demo-config.yml，但其中会包含额外信息，如status 部分，您可能需要在再次应用前将其删除（请参阅"导出资源"）。

从配置映射设置环境变量

现在我们已经在 ConfigMap 对象中获得了所需的配置数据，那么如何将这些数据导入容器中呢？让我们看看使用演示应用程序的完整示例。您可以在演示软件仓库的 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341659179

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

《使用 Kubernetes 实现云原生 DevOps（第二版）》

by Justin Domingus, John Arundel

第 10 章配置和保密

配置地图

创建配置地图

从配置映射设置环境变量

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

More than 5,000 organizations count on O’Reilly

Julian F.

Addison B.

Amir M.

Mark W.

You might also like

在 Kubernetes 上管理云原生数据

《Kubernetes 最佳实践》第二版

生产 Kubernetes

Cloud Native DevOps mit Kubernetes

Publisher Resources

第 10 章 配置和保密

配置地图

创建配置地图

从配置映射设置环境变量

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,and much more.

More than 5,000 organizations count on O’Reilly

Julian F.

Addison B.

Amir M.

Mark W.

You might also like

在 Kubernetes 上管理云原生数据

《Kubernetes 最佳实践》第二版

生产 Kubernetes

Cloud Native DevOps mit Kubernetes

Publisher Resources

第 10 章配置和保密

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.