May 2020
Beginner to intermediate
215 pages
3h 58m
Chinese
Content preview from 云原生:运用容器、函数计算和数据构建下一代应用
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
最佳实践
|
169
重要组成部分,因为它允许你仅向用户提供他们所需资源的细粒度访问权限。例如,
Kubernetes RBAC 可以控制对 Kubernetes API 的访问权限。使用 RBAC,你可以允许或
拒绝特定用户创建部署或列出 pod 信息等操作。最好是通过命名空间而不是集群角色来
划分 Kubernetes RBAC 权限。
6.3.10 Kubernetes pod 的隔离
Kubernetes 集群中运行的所有 pod 都是不隔离的,可以接受来自任何来源的请求。在
pod 上定义网络策略可以起到隔离 pod 的作用,并使它们能够拒绝任何该策略所不允许
的连接。例如,如果系统中的某个组件受到威胁,那么网络策略将阻止恶意程序与你不
希望它们通信的服务进行通信。使用 Kubernetes 中的 NetworkPolicy 资源,你可以定义
pod 选择器以及详细的入口(ingress)和出口(egress)策略。
6.4 处理数据
大部分现代化的应用都或多或少需要处理数据。云服务商正提供越来越多的托管数据存储
和数据分析服务。云原生应用在设计时就应考虑充分利用云服务商提供的托管数据系统,
并且应该设计成能够随功能的增多而不断进化。当在云端处理数据时,大多数标准数据处
理的最佳实践仍然是有效的。比如,需要一个灾备计划,不要把业务逻辑放到数据库中
执行,避免过度或频繁的 I/O 操作,使用数据访问实现从而避免 SQL 注入攻击,等等。
6.4.1 使用托管数据库和数据分析服务
尽可能使用托管数据库。尽管在虚拟机( ...