Kubernetes YAML最佳实践和策略

最新推荐文章于 2024-03-23 09:42:33 发布
最新推荐文章于 2024-03-23 09:42:33 发布
阅读量211 收藏
点赞数
分类专栏: CloudNative 文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shigf_2015/article/details/109471050
版权
本文介绍了在Kubernetes中用于检查YAML文件的工具,包括kubeval、kube-score、Config-lint、Copper、Conftest和Polaris。这些工具帮助验证API模式、评估最佳实践和安全策略,支持自定义检查。例如,kubeval通过API模式验证YAML,kube-score则对清单进行评分。Config-lint和Copper允许编写自定义检查,而Conftest使用Rego语言。Polaris提供了内置和自定义检查的组合。选择合适的工具取决于特定的验证需求。
摘要由CSDN通过智能技术生成

Kubernetes工作负载最常用YAML格式的文件来定义。

YAML的问题之一就是很难描述清单文件之间的约束或关系。
如果你希望检查是否已从受信任的注册表中提取部署到群集中的所有映像,该怎么办?
如何防止没有Pod安全策略的工作负载提交到集群?
集成静态检查可以在更接近开发生命周期的时间内捕获错误和违反策略的行为。
并且由于改善了资源定义的有效性和安全性,因此你可以相信生产工作负载遵循最佳实践。

Kubernetes YAML文件的静态检查生态系统可以分为以下几类:

  • API验证程序:此类工具针对Kubernetes API服务器验证给定的YAML清单。
  • 内置检查器:此类工具捆绑了针对安全性,最佳实践等的自觉检查。
  • 自定义验证器:此类工具允许使用多种语言(例如python和Javascript)编写自定义检查。

在本文中,你将学习到六个不同的工具:

Kubeval
Kube-score
Config-lint
Copper
Conftest
Polaris

Let's Go ~~~

基准服务

首先部署一个基准服务,以便后面测试对比

apiVersion: apps/v1
kind: Deployment
metadata:
  name: http-echo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: http-echo
  template:
    metadata:
      labels:
        app: http-echo
    spec:
      containers:
      - name: http-echo
        image: hashicorp/http-echo
        args: ["-text", "hello-world"]
        ports:
        - containerPort: 5678
---
apiVersion: v1
kind: Service
metadata:
  name: http-echo
spec:
  ports:
  - port: 5678
    protocol: TCP
    targetPort: 5678
  selector:
    app: http-echo

部署完成并验证如下:

[root@k8s-node001 Test]# kubectl  get po
NAME                            READY   STATUS    RESTARTS   AGE
http-echo-57dd74545-rtxzm       1/1     Running   0          65s
http-echo-57dd74545-trst7       1/1     Running   0          65s

[root@k8s-node001 Test]# kubectl  get svc
NAME             TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
http-echo        ClusterIP   10.102.221.64   <none>        5678/TCP         70s

[root@k8s-node001 Test]# curl  10.102.221.64:5678
hello-world

以上YAML文件能部署成功,但是,它遵循最佳做法吗?

Let's start.

kubeval

kubeval的前提是与Kubernetes的任何交互都通过其REST API进行。
因此,可以使用API模式来验证给定的YAML输入是否符合该模式。

安装kubeval

wget https://github.com/instrumenta/kubeval/releases/latest/download/kubeval-linux-amd64.tar.gz
tar xf kubeval-linux-amd64.tar.gz
cp kubeval /usr/local/bin

现在我们来改下base.yaml,删除

  selector:
    matchLabels:
      app: http-echo

然后使用kubeval对base.yaml检查

[root@k8s-node001 Test]# kubeval  base.yaml
WARN - base.yaml contains an invalid Deployment (http-echo) - selector: selector is required
PASS - base.yaml contains a valid Service (http-echo)

输出看到一个WARN,提示selector是必须的字段
然后恢复selector,再次检查

[root@k8s-node001 Test]# kubeval  base.yaml 
PASS - base.yaml contains a valid Deployment (http-echo)
PASS - base.yaml contains a valid Service (http-echo)

检查PASS

kubeval之类的工具的优势在于,咱们可以在部署周期的早期发现此类错误。
另外,您不需要访问集群即可运行检查-它们可以脱机运行。
默认情况下,kubeval会根据最新的未发布的Kubernetes API模式验证资源。
更多用法详情请参见官网

kube-score

kube-score会对你提供的YAML清单进行分析,并针对集群的内置检查对其进行评分。
kube-score提供在线版和离线
本文偷懒就用在线版了
首先打开https://

最低0.47元/天 解锁文章
OhMyScofield
关注
专栏目录
kubernetes使用YAML的方式管理Kubernetes
看清所以看轻
08-13 535
在K8s中创建资的方式有两种:命令行和YAML文件,本次博文主要介绍使用YAML文件的方式,如需使用命令行创建资请参考kubernetes使用命令行的方式管理Kubernetes(升级、回滚、扩容、缩容) 一、YAML文件基础 YAML是专门用来配置文件的语言,非常简洁和强大。与了解的properties、XML、json等数据格式,习惯之后就会发现越来越好用。其实YAML就是结合了大部分的标记语言的特性,整合新开发的。 YAML文件的特点: 层次分明、结构清晰; 使用简单、上手容易; 功能强大、
kubectl_YAML解析
gcc001224的博客
08-02 3155
使用ginx-service.yaml文件创建service资(对外提供访问)Kubernetes支持YAML和JSON格式创建资对象。② 创建nginx-deployment.yaml文件。explain 可一层层的查看相关资对象的帮助信息。#自动测试命令的正确性,并不执行创建。JSON格式用于接口之间消息的传递。YAML的配置参数格式比较清晰。③ 使用yaml文件创建资YAML格式用于配置和管理。#查看service资。#查看生成yaml格式。...
kubernetes--k8s之资yaml定义与常用命令(pod、deployment、service)
lzq00277的博客
04-26 303
apiVersion: v1 # apiVersion,可使用kubectl api-versions 查询可用版本号 kind: Pod metadata: name: string namespace: string labels: - name: string annotations: - name: string spec: containers: - name: string image: string # IfNotPresent
Kuberneteskubernetes-dashboard.yaml
qq_37390414的博客
11-23 456
--- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: flannel rules: - apiGroups: - "" resources: - pods verbs: - get - apiGroups: - "" resources: - nodes verbs: - list
Kubernetes集群上基于配置清单(yaml)部署prometheus
阿文的博客
07-15 1191
文章目录集群环境:具体步骤:注意事项:报错信息: 最近在搭建prometheus时,遇到了不少坑,仅写出来分享给大家。 集群环境: Master:192.168.10.200 Node1:192.168.10.210 Node2:192.168.10.220 NFS服务器:192.168.10.5 具体步骤: 1.创建专用命名空间(这里为kube-ops) 2.使用YAML清单的方式创建PV、PVC 3.创建关于Prometheus的configMap 4.因为集群中Prometheus是以Pod的形式
验证Kubernetes YAML最佳实践策略
Rancher
08-05 3033
本文来自Rancher Labs Kubernetes工作负载最常见的定义是YAML格式的文件。使用YAML所面临的挑战之一是,它相当难以表达manifest文件之间的约束或关系。 如果你想检查所有部署到集群中的镜像是否从受信任的镜像仓库中提取应该怎么做?如何防止没有PodDisruptionBudgets的部署被提交到集群? 集成静态检查可以在接近开发生命周期的时候发现错误和策略违规。而且由于围绕资定义的有效性和安全性的保证得到了改善,你可以相信生产工作负载是遵循最佳实践的。 Kubernetes YA
kube-linter:KubeLinter是一个静态分析工具,用于检查Kubernetes YAML文件和Helm图表,以确保其中表示的应用程序遵循最佳实践
02-04
KubeLinter分析Kubernetes YAML文件和Helm图表,并针对各种最佳实践检查它们,重点放在生产就绪性和安全性上。 KubeLinter运行明智的默认检查,旨在为您提供有关Kubernetes YAML文件和Helm图表的有用信息。 这是...
Kubernetes最佳实践案例.pdf
10-11
最佳实践案例聚焦于如何优化Kubernetes使用,涵盖多个关键领域,如资控制、高可用性、调试、安全性和大规模集群管理。 **资控制** 资控制是确保Kubernetes集群高效运行的关键。推荐在每个Pod的YAML清单中...
Kubernetes安全最佳实践:认证、授权与网络安全策略
本文将重点讨论Kubernetes安全相关的知识和最佳实践,帮助读者更好地保护他们的Kubernetes集群和应用。 ## 1.2 目的 本文的目的是帮助读者了解Kubernetes中的安全基础知识,掌握Kubernetes集群安全的最佳实践,...
Go-kube-score是一个对Kubernetes对象定义进行静态代码分析的工具
08-14
kube-score是一个对Kubernetes对象定义进行静态代码分析的工具。 输出是一个建议列表,其中包含可以改进的建议,以使您的应用程序更加安全和灵活。
config-lint:用于验证配置文件的命令行工具
02-03
:magnifying_glass_tilted_left: 配置文件 :magnifying_glass_tilted_right: 使用YAML中指定的规则来验证配置文件的命令行工具。 配置文件可以是以下几种格式之一:Terraform,JSON,YAML,并支持Kubernetes。 有为Terraform提供的内置规则,而自定义文件可用于其他格式。 :notebook: :construction_worker: :bug: 博客文章 :pencil_selector: :pencil_selector: 快速开始 使用在macOS上安装最新版本的config-lint: brew tap stelligent/tap brew install config-lint 或在Linux上手动: curl -L https://github.com/stelligent/config-lint/releases/latest/download/config-lint_Linux_x86_64.tar.gz | tar xz -C /usr/local/bi
Kubernetes:通过轻量化工具 kubespy 实时观察YAML变更
山河已无恙
01-23 636
kube-score用于 k8s 中 YAML文件分析它会输出是一个建议列表,其中列出了可以改进的内容博文内容涉及:下载安装、使用 kube-score静态 YAML 文件分析生成 YAML 文件分析现有集群导出YAML文件的分析理解不足小伙伴帮忙指正靡不有初,鲜克有终。——《大雅·荡》尤其对于初学者来讲 ,当在 集群中定义了一些 API 资对象,虽然 对象可以正常创建并且使用,但是我们应该如何确认定义的 API 对象是最优的,最合适。
K8S云原生渗透实战二
stopluox的博客
09-25 112
Kubernetes是一个开的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。如今,很多云原生产品,都是在k8s上进行微创新。云上攻防就是研究k8s漏洞。此次实战渗透某k8s云原生产品,分享经验心得。
探索 Kubernetes 的得力助手:kube-score
最新发布
gitblog_00083的博客
03-23 298
探索 Kubernetes 的得力助手:kube-score kube-scoreKubernetes object analysis with recommendations for improved reliability and security项目地址:https://gitcode.com/gh_mirrors/ku/kube-score 是一个开工具,专为 Kubernetes 集...
Kubernetes 学习总结(30)—— Kubernetes YAML 最佳实践策略
科技D人生
05-12 818
前言 Kubernetesv工作负载最常用 YAML 格式的文件来定义。YAML 的问题之一就是很难描述清单文件之间的约束或关系。如果你希望检查是否已从受信任的注册表中提取部署到群集中的所有映像,该怎么办?如何防止没有 Pod 安全策略的工作负载提交到集群?集成静态检查可以在更接近开发生命周期的时间内捕获错误和违反策略的行为。并且由于改善了资定义的有效性和安全性,因此你可以相信生产工作负载遵循最佳实践Kubernetes YAML 文件的静态检查生态系统可以分为以下几类: API验证程序:此类工具
【云原生 | 从零开始学Kubernetes】四、KubernetesYAML文件详解
欢迎关注,一起进步!
07-08 3663
kubernetesyaml文件如何构建,如何修改,属性等详解
Kubernetesyaml文件详解(汇总-详细)
热门推荐
BigData_Mining的博客
03-13 4万+
一、YAML基础 YAML是专门用来写配置文件的语言,非常简洁和强大,使用比json更方便。它实质上是一种通用的数据串行化格式。 YAML语法规则: 大小写敏感 使用缩进表示层级关系 缩进时不允许使用Tal键,只允许使用空格 缩进的空格数目不重要,只要相同层级的元素左侧对齐即可 ”#” 表示注释,从这个字符一直到行尾,都会被解析器忽略   在Kubernetes中,只需要知道两种结构类型即可: ...
kubeconfig的用法及生成配置文件
菲宇运维
09-20 3万+
kubectl默认会从$HOME/.kube目录下查找文件名为 config 的文件,也能通过设置环境变量 KUBECONFIG 或者通过设置去指定其它 kubeconfig 文件。kubeconfig就是为访问集群所作的配置。 在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 命...
Kubernetes深度解析:从概念到实践
"kubernetes-handbook 是一份详尽的 Kubernetes 学习参考资料,涵盖了从基本概念到高级用法的广泛内容,旨在帮助读者深入理解并掌握 Kubernetes 的核心功能和最佳实践。" Kubernetes(通常简称为 k8s)是Google ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值