weixin_43394724的博客

本文是 王树森一口气完全解读 (可能是)全网最新版本 Kubernetes 1.24.1 集群部署的实践，特别感谢https://space.bilibili.com/479602299早期的kubernetes runtime架构，远没这么复杂，kubelet创建容器，直接调用docker daemon，docker daemon自己调用libcontainer就把容器运行起来。国际大厂们认为运行时标准不能被 Docker 一家公司控制，于是就串通搞了开放容器标准 OCI。忽悠Docker 把 libco

官网：https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd什么是准入控制插件？准入控制器是一段代码，它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成， 并编译进 kube-apiserver 二进制文件，并且只能由集群管理员配置。 在该列表中，有两个特殊的控制器

项目描述备注Node OSUbuntu18.04Kubernetes1.21.1Node NamecpMasterNode Nameworkerworker说明本脚本参考Linux Foundation关于Kubernetes new Cluster的脚本，并讲源换成ali云，本脚本支持单一Master实验环境Master：#!/bin/bash#/* **************** 2021-12-20 /k8scp.s

sysdig它是一个强大的开源工具，用于系统级别的勘察和排障，它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说，sysdig的最棒特性之一在于，它不仅能分析Linux系统的“现场”状态，也能将该状态保存为转储文件以供离线检查。更重要的是，你可以自定义sysdig的行为，或者甚至通过内建的（你也可以自己编写）名为凿子（chisel）的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。sysdig安装：cur

介绍AppArmor(Application Armor)是Linux内核的一个安全模块，AppArmor允许系统管理员将每个程序与一个安全配置文件关联，从而限制程序的功能。简单的说，AppArmor是与SELinux类似的一个访问控制系统，通过它你可以指定程序可以读、写或运行哪些文件，是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充，AppArmor提供了强制访问控制机制，它已经被整合到2.6版本的Linux内核中。目前Ubuntu已自带了Apparmor。AppArmor配置文

本实验来自于使用 Helm 管理应用程序和包实验环境在此实验中，将使用 HELM 为测试部署安装一个 AKS 群集。 使用脚本来创建和配置 Azure Kubernetes 服务 (AKS) 群集。此脚本执行以下配置步骤：选择要与此模块的练习一起使用的订阅，并将其设置为所有已部署资源的默认订阅。使用 Azure CLI 创建 Azure Kubernetes 服务群集。配置默认的 Kubernetes NGINX 入口控制器和负载均衡器。从 GitHub 存储库克隆示例Web 应用和 Hel

官方文档首页概述任何应用程序的部署、版本控制和更新通常都需要规划和管理，以确保部署正确版本的软件库和配置设置，使部署的应用程序能够正常运行。Helm 是 Kubernetes 的包管理器，它将应用程序的所有资源和部署信息组合到单个部署包中。Helm 使用四个组件来管理 Kubernetes 群集上的应用程序部署。Helm 客户端Helm chartHelm releaseHelm 仓库 repositories，或者叫 reposHelm 客户端Helm 客户端是客户端安装的二进

概述Azure 容器注册表是基于开源 Docker 注册表 2.0 的托管 Docker 注册表服务。 容器注册表是私有的，托管于 Azure 中，使用它可生成、存储和管理所有类型的容器部署的映像。可以使用 Docker CLI 或 Azure CLI 通过容器注册表推送和拉取容器映像。 通过 Azure 门户集成，可直观检查容器注册表中的容器映像。 在分布式环境中，容器注册表异地复制功能可用于将容器映像分发到多个 Azure 数据中心以进行本地分发。除了存储容器映像之外，Azure 容器注册表任务还

DNS服务是非必需的通常以插件（add-on）的方式安装Kube-dns，CoreDNS常用过程Kubernetes的DNS应用部署好后，会对外暴露一个服务-Cluster IPDNS服务Cluster IP分配后，系统（一般是指安装程序）会给Kubelet配置–cluster-dns=启动参数DNS服务的IP地址将在用户容器启动时传递，并由kubelet写入每个容器的/etc/resolv.conf文件集群内的容器通过访问该服务的Cluster IP+53端口获得域名解析服务Kube.

Azure Kubernetes 服务 (AKS)Azure Kubernetes 服务 (AKS) 管理托管的 Kubernetes 环境，使用户可以在 Azure 中轻松地部署和管理容器化的应用程序。 AKS 环境启用了自动更新、自愈和轻松缩放等功能。 Kubernetes 群集主机由 Azure 免费管理。 由用户管理群集中的代理节点，且只需为节点在其上运行的 VM 付费。Kubernetes 群集体系结构Kubernetes 群集分为两个组件：控制平面：提供 Kubernetes 核心服务

Network NameSpaceLinux的namespace（名字空间）的作用就是“隔离内核资源”。而network namespace（Linux内核2.6版本引入）作用是隔离Linux系统的设备，以及IP地址、端口、路由表、防火墙规则等网络资源。因此，每个network namespace里都有自己的网络设备（如IP地址、路由表、端口范围、/proc/net目录等）。Linux虚拟网络组件veth pairveth是虚拟以太网卡（Virtual Ethernet）的缩写。veth设备总是成

官网有关信息https://kubernetes.io/zh/docs/concepts/configuration/secret/概述什么是SecretSecret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod， 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret（及其数据）的风险较小。 Kubernetes 和

审计FEATURE STATE: Kubernetes v1.22 [beta]官网链接：https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。审计功能使得集群管理员能够回答以下问题：发生了什么？什么时候发生的？谁触发的？活动发生在哪

什么是PodSecurityPolicy？PodSecurityPolicy是一个内置的许可控制器，它允许集群管理员控制Pod规范的安全敏感方面。首先，在集群中创建一个或多个PodSecurityPolicy资源，以定义pod必须满足的需求。然后，创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。如果pod满足其PSP的要求，它将像往常一样被允许进入集群。在某些情况下，PSP还可以修改Pod字段，有效地为这些字段创建新的默认值。如果Pod不符合PSP要求，它将被拒绝，并且

网络策略官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/：如果希望在 IP 地址或端口层面（OSI 第 3 层或第 4 层）控制网络流量， 则可以考虑为集群中特定应用使用 Kubernetes 网络策略（NetworkPolicy）。 NetworkPolicy 是一种以应用为中心的结构，允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。Pod 可以通信的 Pod 是通过如下

本实验实现不给服务账号自动挂载 API 凭据并应用到PodService AccountKubernetes 区分用户账户和服务账户的概念主要基于以下原因：• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的，未来的用户资源不会做 namespace 隔离， 服务账户是 namespace 隔离的。• 通常情况下，集群的用户账户可能会从企业数据库进行同步，其创建需要特殊权限，并且涉及到复杂的业务流

概述CIS安全基准互联网安全中心（CIS，Center for Internet Security），是一个非盈利组织，致力为互联网提供免费的安全防御解决方案。官网： cisecurity.orgKubernetes CIS基准： Resources • Platforms • Kuberneteskube-bench互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试。CIS 发布了Kubernetes的基准，即对这些测试的新开源实现：kube-bench。它是作为 Go 应用程序

本实验记录安装Kubernetes集群的经过，目的是在个人电脑上安装Kubernetes集群，以一个Master和两个Worker节点为例。实验环境项目内容备注虚拟平台Workstation 16 Pro17966106OSCentOS 72009Docker20.10.8docker-ce-stablekubeadm1.21.3kubelet1.21.3kubectl1.21.3coredns1.8.0k8s.gcr