顾静, 阿里云 邓隽, 阿里云 Kubernetes 异常配置检测框架 我们来自阿里云容器服务 • 顾静，研发工程师 • 邓隽，技术专家 我们参与打造 • 容器服务（ACK/ASK） • 容器镜像服务（ACR） • 服务网格（ASM） • … 1 Kubernetes 典型异常 2 检测框架演进 3 生产实践 4 总结 Kubernetes 使用日常 • 应用部署 • API Server Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 在集群中运行 CIS Benchmark 检测项依赖于 CIS Benchmark 内容 能发现集群核心组件配置错误 无法发现如 Flannel 组件异常 增加检查项流程较复杂 kuberhealthy 在集群中运行 CronJob 实现检查 可以自定义检查项 无法检测集群核心组件配置 集群异常时无法进行检测 kube-hunter 适用于集群安全检测 仅能检测集群安全性 kubectl-trace

手动创建安装配置文件 1.1.8.1. 安装配置参数 1.1.8.1.1. 所需的配置参数 1.1.8.1.2. 网络配置参数 1.1.8.1.3. 可选配置参数 1.1.8.2. 裸机 install-config.yaml 文件示例 1.1.8.3. 在安装过程中配置集群范围代理 1.1.9. 配置三节点集群 1.1.10. 创建 Kubernetes 清单和 Ignition 配置文件 1 CoreOS（RHCOS）安装配置 1.1.11.3.1. 使用高级网络选项进行 PXE 和 ISO 安装 1.1.11.3.2. 磁盘分区 1.1.11.3.3. 标识 Ignition 配置 1.1.11.3.4. 高级 RHCOS 安装参考 1.1.12. 创建集群 1.1.13. 使用 CLI 登录到集群 1.1.14. 批准机器的证书签名请求 1.1.15. 初始 Operator 配置 1.1.15 15.1. 安装过程中删除的镜像 registry 1.1.15.2. 镜像 registry 存储配置 1.1.15.2.1. 为裸机和其他手动安装配置 registry 存储 1.1.15.2.2. 在非生产集群中配置镜像 registry 存储 1.1.15.2.3. 配置块 registry 存储 1.1.16. 在用户置备的基础架构上完成安装 1.1.17. OpenShift

使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 DEVELOPER 视角创建应用程序 3.2. 从已安装的 OPERATOR 创建应用程序 3.3. 使用 CLI 绑定工作负载 6.9. 使用 DEVELOPER 视角将应用程序连接到服务 第 第 7 章 章 使用 使用 HELM CHART 7.1. 了解 HELM 7.2. 安装 HELM 7.3. 配置自定义 HELM CHART 仓库 7.4. 使用 HELM 发行版本 第 第 8 章 章 DEPLOYMENTS 8.1. 了解 DEPLOYMENT 和 DEPLOYMENTCONFIG 对象 . . 第 第 9 章 章 配 配额 额 9.1. 项目的资源配额 9.2. 跨越多个项目的资源配额 第 第 10 章 章 将配置映射与 将配置映射与应 应用程序搭配使用 用程序搭配使用 10.1. 了解配置映射 10.2. 用例： 在 POD 中使用配置映射 第 第 11 章 章 使用 使用 DEVELOPER 视 视角 角监 监控 控项 项目和 目和应 应用程序的指 用程序的指标 标

OpenShift Container Platform 4.14 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2024-02-23 OpenShift Container Platform 4.14 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. 在 ALIBABA CLOUD 上安装集群到现有的 VPC 中 5.7. ALIBABA CLOUD 的安装配置参数 5.8. 在 ALIBABA CLOUD 上卸载集群 第 第 6 章 章 在 在 AWS 上安装 上安装 6.1. 准备在 AWS 上安装 6.2. 配置 AWS 帐户 6.3. 在 AWS 上快速安装集群 6.4. 使用自定义在 AWS 上安装集群 6.5. 使用自定义网络在

OpenShift Container Platform 4.13 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2024-02-20 OpenShift Container Platform 4.13 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CLOUD 上安装集群到现有的 VPC 中 5.7. 在 ALIBABA CLOUD 上卸载集群 第 第 6 章 章 在 在 AWS 上安装 上安装 6.1. 准备在 AWS 上安装 6.2. 配置 AWS 帐户 6.3. 为 AWS 手动创建 IAM 6.4. 在 AWS 上快速安装集群 6.5. 使用自定义在 AWS 上安装集群 6.6. 使用自定义网络在 AWS 上安装集群 6.7

分布式追踪平台(JAEGER) 3.1. 安装分布式追踪平台 JAEGER 3.2. 配置和部署分布式追踪平台 JAEGER 3.3. 更新分布式追踪平台 JAEGER 3.4. 删除分布式追踪平台 JAEGER 第 第 4 章 章 分布式追踪平台 分布式追踪平台(TEMPO) 4.1. 安装分布式追踪平台(TEMPO) 4.2. 配置和部署分布式追踪平台(TEMPO) 4.3. 更新分布式追踪平台(TEMPO) web 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 mTLS。(TRACING-3510) 会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.2.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 务。对于没有在最后 15 分钟内发送 trace

使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 DEVELOPER 视角创建应用程序 3.2. 从已安装的 OPERATOR 创建应用程序 3.3. 使用 CLI 绑定工作负载 5.9. 使用 DEVELOPER 视角将应用程序连接到服务 第 第 6 章 章 使用 使用 HELM CHART 6.1. 了解 HELM 6.2. 安装 HELM 6.3. 配置自定义 HELM CHART 仓库 6.4. 使用 HELM 发行版本 第 第 7 章 章 部署 部署 7.1. 了解 DEPLOYMENT 和 DEPLOYMENTCONFIG 对象 7.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 9 章 章 将配置映射与 将配置映射与应 应用程序搭配使用 用程序搭配使用 9.1. 了解配置映射 9.2. 用例： 在 POD 中使用配置映射 第 第 10 章 章 使用 使用 DEVELOPER 视 视角 角监 监控 控项 项目和 目和应 应用程序的指 用程序的指标 标

registry 存储 1.1.12.1. 安装过程中删除的镜像 registry 1.1.12.2. 镜像 registry 存储配置 1.1.12.2.1. 为 VMware vSphere 配置 registry 存储 1.1.12.2.2. 为 VMware vSphere 配置块 registry 存储 1.1.13. 备份 VMware vSphere 卷 1.1.14. OpenShift Container 私钥并将其添加到代理中 1.2.7. 获取安装程序 1.2.8. 在您的系统信任中添加 vCenter root CA 证书 1.2.9. 创建安装配置文件 1.2.9.1. 安装配置参数 1.2.9.1.1. 所需的配置参数 1.2.9.1.2. 网络配置参数 7 7 7 7 7 8 9 9 13 13 14 14 14 14 15 16 17 18 20 20 21 21 21 目录 录 1 1.2.9.1.3. 可选配置参数 1.2.9.1.4. 其他 VMware vSphere 配置参数 1.2.9.1.5. 可选的 VMware vSphere 机器池配置参数 1.2.9.2. 安装程序置备的 VMware vSphere 集群的 install-config.yaml 文件示例 1.2.9.3. 在安装过程中配置集群范围代理 1.2.10. 部署集群 1

distributed tracing Platform Operator 3.1.5. 安装 Red Hat OpenShift distributed tracing 数据收集 Operator 3.2. 配置和部署分布式追踪 3.2.1. 从 Web 控制台部署分布式追踪默认策略 3.2.1.1. 通过 CLI 部署分布式追踪默认策略 3.2.2. 从 Web 控制台部署分布式追踪生产环境策略 3 19 20 22 22 24 25 25 26 26 目 目录 录 1 3.2.5.2. 分布式追踪默认配置选项 3.2.5.3. Jaeger Collector 配置选项 3.2.5.4. 分布式追踪抽样配置选项 3.2.5.5. 分布式追踪存储配置选项 3.2.5.5.1. 自动置备 Elasticsearch 实例 3.2.5.5.2. 连接到现有 Elasticsearch Elasticsearch 管理证书 3.2.5.7. 查询配置选项 3.2.5.8. Ingester 配置选项 3.2.6. 注入 sidecar 3.2.6.1. 自动注入 sidecar 3.2.6.2. 手动注入 sidecar 3.3. 配置和部署分布式追踪数据收集 3.3.1. OpenTelemetry Collector 配置选项 3.3.2. 验证部署 3.3.3. 访问 Jaeger

OPENSHIFT VIRTUALIZATION 7.2. 关于更新 OPENSHIFT VIRTUALIZATION 7.3. 防止在 EUS 到 EUS 更新过程中进行工作负载更新 7.4. 配置工作负载更新方法 7.5. 批准待处理的 OPERATOR 更新 7.6. 监控更新状态 7.7. 其他资源 5 5 5 6 6 7 7 8 9 10 11 11 12 13 15 虚拟机实时迁移 12.2. 实时迁移限制和超时 12.3. 迁移虚拟机实例到另一节点 12.4. 在专用额外网络中迁移虚拟机 12.5. 取消虚拟机实例的实时迁移 12.6. 配置虚拟机驱除策略 12.7. 配置实时迁移策略 第 第 13 章 章 节 节点 点维护 维护 13.1. 关于节点维护 13.2. 自动续订 TLS 证书 73 73 73 74 74 75 75 为红帽支持收集数据 14.3. 监控 14.4. 故障排除 14.5. OPENSHIFT VIRTUALIZATION RUNBOOKS 第 第 15 章 章 备 备份和恢复 份和恢复 15.1. 安装和配置 OADP 15.2. 备份和恢复虚拟机 15.3. 备份虚拟机 15.4. 恢复虚拟机 283 286 288 288 289 293 325 333 370 370 380