Service Mesh Meetup #4 上海站 探讨和实践基于Istio的微服务治理事件监控 2018.11.25 徐运元关于我 2008年毕业于浙江大学，曾在思科和浙大网新有超过 9年的工作经验和5年的云计算领域工作经验，带领团 队完成公司第一代基于Kubernetes的云平台开发和第 二代基于Kubernetes的DevOps云平台开发。目前致力 于公司基于Istio的微服务平台打造。 Metrics Logging Tracing 指标监控 • 指标可被聚合 • 体现系统性能趋势 分布式追踪 • 和请求相关 • HTTP • SQL 日志系统 • 代码逻辑处理事件 • 异常、debug信息容器化和微服务下的监控需求 微观下的监控需求 快速错误追踪 可快速排查在性能测试场景下的 慢方法、异常调用以及异常报文 等信息 单次链路追踪 可细粒度排查应用单次链路调用

. . . . . . . . . 2.1.1. 关于 JSON OpenShift Container Platform Logging 2.1.2. 关于收集并存储 Kubernetes 事件 2.1.3. 关于更新 OpenShift Container Platform Logging 2.1.4. 关于查看集群仪表板 2.1.5. 关于 OpenShift Container Platform 关于导出字段 2.1.8. 关于 OpenShift Logging 组件 2.1.9. 关于日志记录收集器 2.1.10. 关于日志存储 2.1.11. 关于日志记录视觉化 2.1.12. 关于事件路由 2.1.13. 关于日志转发 第 第 3 章 章 安装 安装 OPENSHIFT LOGGING 3.1. 使用 WEB 控制台安装 OPENSHIFT LOGGING 3.2. 安装后的任务 ELASTICSEARCH 配置 JSON 日志数据 8.3. 将 JSON 日志转发到 ELASTICSEARCH 日志存储 第 第 9 章 章 收集并存 收集并存储 储 KUBERNETES 事件 事件 9.1. 部署和配置事件路由器 第 第 10 章 章 更新 更新 OPENSHIFT LOGGING 10.1. 从 OPENSHIFT CONTAINER PLATFORM 4.6 或更早版本的集群日志记录升级到

ELASTICSEARCH 配置 JSON 日志数据 8.3. 将 JSON 日志转发到 ELASTICSEARCH 日志存储 第 第 9 章 章 收集并存 收集并存储 储 KUBERNETES 事件 事件 9.1. 部署和配置事件路由器 第 第 10 章 章 更新 更新 OPENSHIFT LOGGING 10.1. 从 OPENSHIFT CONTAINER PLATFORM 4.6 或更早版本的集群日志记录升级到 态。在这个版本中，Operator 会在重启过程中进入新 pod 前将新 pod 标记为 ready，这会解决这 个问题。(LOG-2881) 在此次更新之前，添加多行错误检测会导致内部路由更改并将记录转发到错误的目的地。在这个 版本中，内部路由正确。(LOG-2946) 在此次更新之前，Operator 无法使用带引号的布尔值值解码索引设置 JSON 响应，并导致错误。 在这个版本中，Operator 可以正确解码这个 被删除，则不会重新创建它们。在这个版 本中，elasticsearch-operator 会监视资源，并在删除时自动重新创建这些资源。(LOG-2250) 在此次更新之前，调整缓冲区块大小可能会导致收集器生成超过事件流字节限制的块大小警告。 在这个版本中，您还可以调整读行限制，并解决问题。(LOG-2379) 在此次更新之前，OpenShift WebConsole 中的日志记录控制台链接不会被 ClusterLogging

5：Serverless 攻击...........................................................................33 2.6.1 事件注入攻击........................................................................................34 2.6 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 在 5G 核 Serverless 发起攻击，无服务器架构颠覆性的变化，给应用 服务开发商和拥有者带来了全新的安全挑战。路径 5 显示了攻击者利用 Serverless 存在的安全风险进行攻击的路径，可能存在的攻击手段包括：事件 注入攻击、敏感数据泄露攻击、身份认证攻击、权限滥用攻击、拒绝服务攻击和 针对函数供应链的攻击。 云原生安全威胁分析与能力建设白皮书 21 下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的

PTP 硬件快速事件通知框架 第 第 20 章 章 开 开发 发 PTP 事件消 事件消费 费者 者应 应用程序 用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5 5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 外部 外部 DNS OPERATOR 21.1. OPENSHIFT CONTAINER PLATFORM 中的外部 DNS OPERATOR 21.2. 在云供应商上安装外部 DNS OPERATOR 21.3. 外部 DNS OPERATOR 配置参数 21.4. 在 网络是一个功能生态系统、插件和高级网络功能，它使用高级网络相关功能来扩展 Kubernetes 网络，集群需要为其一个或多个混合集群管理网络流量。这个网络功能生态系统集成了入 口、出口、负载均衡、高性能吞吐量、安全性和集群内部流量管理，并提供基于角色的可观察工具来减少 其自然复杂性。 以下列表重点介绍集群中可用的一些最常用的 Red Hat OpenShift Networking 功能： 由以下 Container

启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER PLATFORM 集群中的系统事件信息 7.1.1. 了解事件 7.1.2. 使用 CLI 查看事件 7.1.3. 事件列表 7.2. 估算 OPENSHIFT CONTAINER PLATFORM 节点可以容纳的 POD 数量 7.2.1. 了解 OpenShift Container 是共同部署在同一主机上的一个或多个容器，也是可被定义、部署和管理的最小计算单元。 2.1.1. 了解 pod 对容器而言，Pod 大致相当于一个机器实例（物理或虚拟）。每个 pod 分配有自己的内部 IP 地址，因此 拥有完整的端口空间，并且 pod 内的容器可以共享其本地存储和网络。 Pod 有生命周期，它们经过定义后，被分配到某一节点上运行，然后持续运行，直到容器退出或它们因为 其他原因被删除为止。根据策略和退出代码，Pod 指定 指定证书 证书的名称 的名称 其他 其他 pod 可以信任集群 可以信任集群创 创建的 建的证书 证书（ （仅对 仅对内部 内部 DNS 名称 名称进 进行 行签 签名），方法是使用 名），方法是使用 pod 中自 中自动 动挂 挂载 载的 的 /var/run/secrets/kubernetes.io/serviceaccount/service-ca

启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER PLATFORM 集群中的系统事件信息 7.1.1. 了解事件 7.1.2. 使用 CLI 查看事件 7.1.3. 事件列表 7.2. 估算 OPENSHIFT CONTAINER PLATFORM 节点可以容纳的 POD 数量 7.2.1. 了解 OpenShift Container 是共同部署在同一主机上的一个或多个容器，也是可被定义、部署和管理的最小计算单元。 2.1.1. 了解 pod 对容器而言，Pod 大致相当于一个机器实例（物理或虚拟）。每个 pod 分配有自己的内部 IP 地址，因此 拥有完整的端口空间，并且 pod 内的容器可以共享其本地存储和网络。 Pod 有生命周期，它们经过定义后，被分配到某一节点上运行，然后持续运行，直到容器退出或它们因为 其他原因被删除为止。根据策略和退出代码，Pod master 生成的服务器证书相同。 为 为服 服务 务用 用证书 证书 secret 配置的服 配置的服务 务 Pod 规 规格。 格。 指定证书的名称 其他 pod 可以信任集群创建的证书（仅对内部 DNS 名称进行签名），方法是使用 pod 中自动挂载的 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 文件中的 CA 捆绑。

11.8. 为 PTP 硬件配置 FIFO 优先级调度 11.9. 常见 PTP OPERATOR 故障排除 11.10. PTP 硬件快速事件通知框架 第 第 12 章 章 网 网络 络策略 策略 12.1. 关于网络策略 12.2. 记录网络策略事件 12.3. 创建网络策略 12.4. 查看网络策略 12.5. 编辑网络策略 12.6. 删除网络策略 12.7. 为项目定义默认网络策略 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应 移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 中的 spec.hostnetwork 字段设置为 true 来获得主机网络访问。

https://console.redhat.com/openshift。您可以通过 OpenShift Container Platform 的 Red Hat OpenShift Cluster Manager 应用程序在内部环境或云环境中 部署 OpenShift 集群。 OpenShift Container Platform 4.6 需要运行在 Red Hat Enterprise Linux 7.9 及更新的版本，或 Platform。此过程使用一系列 Ansible playbook 来启用更灵活的安装。 使用安装程序置备的基础架构在 RHV 上安装 OpenShift Container Platform 不需要内部 DNS 的 静态 IP 地址。 OpenShift Container Platform 版本 4.6 需要 RHV 版本 4.4.2 或更高版本。 重要 重要 如果您在 RHV 版本 4.3 OAuth 令牌不活 令牌不活跃 跃超 超时 时 现在，您可以在 OAuth 令牌已停用一定时间后将其配置为过期。默认情况下，没有设置令牌不活跃超 时。您可以为内部 OAuth 服务器和 OAuth 客户端配置超时。 如需更多信息，请参阅为内部 OAuth 服务器配置令牌不活动超时和 为 OAuth 客户端配置令牌不活跃超 时。 1.2.3.3. 安全 安全 OAuth 令牌存 令牌存储 储格式 格式

用它会带来什么样的好处？ 好吧，让我们带着问题开始这神奇之旅。 简介 Docker —— 从入门到实践 8 Docker 简介 Docker 是一个开源项目，诞生于 2013 年初，最初是 dotCloud 公司内部的一个业余项目。它基于 Google 公司推出的 Go 语言实现。 项目后来加入了 Linux 基金会，遵从了 Apache 2.0 协议，项目代码在 GitHub 上进行维护。 Docker storage: local storage_path: /tmp/tmpdockertmp 选项 Docker —— 从入门到实践 45 配置文件 这一章介绍如何在 Docker 内部以及容器之间管理数据，在容器中管理数据主要有两种方式： 数据卷（Data volumes） 数据卷容器（Data volume containers） Docker 数据管理 Docker —— 容器中可以运行一些网络应用，要让外部也可以访问这些应用，可以通过 -P 或 -p 参数来指定端口映 射。 当使用 -P 标记时，Docker 会随机映射一个 49000~49900 的端口到内部容器开放的网络端口。 使用 docker ps 可以看到，本地主机的 49155 被映射到了容器的 5000 端口。此时访问本机的 49155 端 口即可访问容器内 web 应用提供的界面。