顾静, 阿里云 邓隽, 阿里云 Kubernetes 异常配置检测框架 我们来自阿里云容器服务 • 顾静，研发工程师 • 邓隽，技术专家 我们参与打造 • 容器服务（ACK/ASK） • 容器镜像服务（ACR） • 服务网格（ASM） • … 1 Kubernetes 典型异常 2 检测框架演进 3 生产实践 4 总结 Kubernetes 使用日常 • 应用部署 • API Server Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 在集群中运行 CIS Benchmark 检测项依赖于 CIS Benchmark 内容 能发现集群核心组件配置错误 无法发现如 Flannel 组件异常 增加检查项流程较复杂 kuberhealthy 在集群中运行 CronJob 实现检查 可以自定义检查项 无法检测集群核心组件配置 集群异常时无法进行检测 kube-hunter 适用于集群安全检测 仅能检测集群安全性 kubectl-trace

trademarks are the property of their respective owners. 摘要 摘要 本文档概述了 OpenShift Container Platform 中的构建和构建配置，并且说明了执行和管理构建的各 种方法。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 构建（BUILD） 第 第 2 章 章 了解 了解构 构建配置 建配置 2.1. BUILDCONFIG 第 第 3 章 章 创 创建 建构 构建 建输 输入 入 3.1. 构建输入 3.2. DOCKERFILE 源 3.3. 镜像源 3.4. GIT 源 3.5. 二进制（本地）来源 3.6. 输入 SECRET 和配置映射 3.7. 外部工件 (ARTIFACT) 3.8. 将 DOCKER 1. 在全局范围内禁用构建策略访问 11.2. 在全局范围内限制用户使用构建策略 11.3. 在项目范围内限制用户使用构建策略 第 第 12 章 章 构 构建配置 建配置资 资源 源 12.1. 构建控制器配置参数 12.2. 配置构建设置 第 第 13 章 章 构 构建故障排除 建故障排除 13.1. 解决资源访问遭到拒绝的问题 13.2. 服务证书生成失败 第 第 14 章 章 为构

建（BUILD） ） 2.1. 理解镜像构建 2.2. 了解构建配置 2.3. 创建构建输入 2.4. 管理构建输出 2.5. 使用构建策略 2.6. 使用 BUILDAH 自定义镜像构建 2.7. 执行和配置基本构建 2.8. 触发和修改构建 2.9. 执行高级构建 2.10. 在构建中使用红帽订阅 2.11. 通过策略保护构建 2.12. 构建配置资源 2.13. 构建故障排除 2.14. 为构建设置其他可信证书颁发机构 HAT OPENSHIFT PIPELINES 第 第 4 章 章 GITOPS 4.1. 关于 RED HAT OPENSHIFT GITOPS 第 第 5 章 章 JENKINS 5.1. 配置 JENKINS 镜像 5.2. JENKINS 代理 5.3. 从 JENKINS 迁移到 OPENSHIFT PIPELINES 或 TEKTON 5.4. OPENSHIFT JENKINS 引擎的 Operator。它启用了多集群 OpenShift 和 Kubernetes 基础架构的 GitOps 工作流。使用 OpenShift GitOps，管理员可以在集群和开 发生命周期中一致地配置和部署基于 Kubernetes 的基础架构和应用程序。 如需更多信息，请参阅关于 Red Hat OpenShift GitOps 。 1.4. JENKINS Jenkins 自动化了构建

Portal 安装 View Client 7 将 VMware View Client 添加到 Dock 8 为最终用户配置证书检查 8 使用 URI 配置 View Client 8 用于创建 vmware-view URI 的语法 9 vmware-view URI 示例 10 管理服务器连接和桌面 11 首次登录 View 桌面 12 View Client 的证书检查模式 13 连接服务器配置设置，满足 View 服 务器和 Mac 客户端对系统的要求，以及从 VMware 网站下载并安装适用于 Mac 的 View Client。 n 使用 URI 配置 View Client 第 8 页， 使用统一资源标识符 (URI)，您可创建包含链接的网页或电子邮件，最终用户通过点击这些链接可启动 View Client、连接至 View 连接服务器以及启动具有特定配置选项的特定桌面。 VMware View Client，您可以解决与 View Client 相关的大多数问题。 设置和安装 设置适用于 Mac 客户端的 View 部署涉及以下内容：使用特定 View 连接服务器配置设置，满足 View 服务器 和 Mac 客户端对系统的要求，以及从 VMware 网站下载并安装适用于 Mac 的 View Client。 n Mac 客户端的系统要求第 6 页， 您可在所有使用

SecurID 软件令牌 7 支持的 View 桌面操作系统 8 安装或升级适用于 Android 的 View Client 8 使用 URI 配置 View Client 8 用于创建 vmware-view URI 的语法 9 vmware-view URI 示例 10 管理服务器连接和桌面 11 首次登录 View 桌面 12 View Client 的证书检查模式 13 在主屏幕上创建桌面快捷方式 View 连接服务器配置设置，满足 View 服 务器和 Android 设备客户端的系统要求，以及安装 VMware View 应用程序。 n 使用 URI 配置 View Client 第 8 页， 使用统一资源标识符 (URI)，您可创建包含链接的网页或电子邮件，最终用户通过点击这些链接可启动 View Client、连接至 View 连接服务器以及启动具有特定配置选项的特定桌面。 n View Client 相关的大多数问题。 适用于 Android 的 View Client 的设置和安装 为 Android 客户端设置 View 部署涉及以下内容：使用特定的 View 连接服务器配置设置，满足 View 服务器 和 Android 设备客户端的系统要求，以及安装 VMware View 应用程序。 n 适用于 Android 的 View Client 的系统要求第 6 页，

OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text property of their respective owners. 摘要 摘要 本文档提供在 OpenShift Container Platform 中定义身份提供程序的说明。它还讨论如何配置基于角 色的访问控制来保护集群的安全。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . API 身份验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH

在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 1.24. SERVICE MESH CONTROL PLANE 配置参考 1.25. KIALI 配置参考 1.26. JAEGER 配置参考 1.27. 卸载 SERVICE MESH 第 第 2 章 章 SERVICE MESH 1.X 2.1. SERVICE MESH 发行注记 2.2. 了解 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1.

图
1-1
API7
架构图
上图为
API7
产品中控制平⾯（简称
CP）与数据平⾯（简称
DP）的架构⽰意图，并包含了3个部分：
API
⽹关
1. ⽤于承载并处理业务流量，管理员在配置路由规则后，⽹关将根据预设规则将请求转发⾄上游服务。 此外，借助
API7
内置的
50
多种插件，可实现⾝份验证、安全防护、流量控制、分析监控、请求/响应 转换等常⻅业务需求；若内置插件⽆法满 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服 控制平⾯包含了
ManagerAPI
与默认配置中⼼
ETCD。管理员在访问并操作控制台时，控制台将调⽤
ManagerAPI
下发配置到
ETCD，借助
ETCD
Watch
机制，配置将在⽹关中实时⽣效。例如：管理员可 增加⼀条路由，并配置限速插件，当触发到限速阈值后，⽹关将会暂时阻⽌后续匹配到该路由的请求 进⼊。借助
ETCD
的
Watch
机制，当管理员在控制⾯板更新配置后，API7
将在毫秒级别内通知到各个

OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装、配置和使用 OpenShift Container Platform 命令行工具的信息。它还包含 CLI 命令的参考信息，以及如何使用它们的示例。 . . . . . . . . . . . . . 工具概述 工具概述 1.1. CLI 工具列表 第 第 2 章 章 OPENSHIFT CLI (OC) 2.1. OPENSHIFT CLI 入门 2.2. 配置 OPENSHIFT CLI 2.3. 管理 CLI 配置集 2.4. 使用插件扩展 OPENSHIFT CLI 2.5. OPENSHIFT CLI 开发人员命令参考 2.6. OPENSHIFT CLI 管理员命令参考 2 3.3. 安装 ODO 3.4. 配置 ODO CLI 3.5. ODO CLI 参考指南 第 第 4 章 章 用于 用于 OPENSHIFT SERVERLESS 的 的 KNATIVE CLI 4.1. 主要特性 4.2. 安装 KNATIVE CLI 第 第 5 章 章 PIPELINES CLI (TKN) 5.1. 安装 TKN 5.2. 配置 OPENSHIFT PIPELINES

SERVICE 2.2. 安装和配置 OPENSHIFT UPDATE SERVICE 2.3. 了解升级频道和发行版本 2.4. 使用 WEB 控制台更新集群 2.5. 使用 CLI 更新集群 2.6. 执行 CANARY ROLLOUT 更新 2.7. 更新包含使用 RHEL 的计算（COMPUTE）系统的集群 2.8. 更新受限网络集群 第 第 3 章 章 安装和配置 安装和配置 OPENSHIFT OPENSHIFT UPDATE SERVICE 3.1. 先决条件 3.1.1. 为 OpenShift 更新服务配置对安全 registry 的访问权限 3.1.2. 更新全局集群 pull secret 3.2. 安装 OPENSHIFT UPDATE SERVICE OPERATOR 3.2.1. 使用 Web 控制台安装 OpenShift Update Service Operator 3.2.2 1. 使用 Web 控制台创建 OpenShift Update Service 应用程序 3.3.2. 使用 CLI 创建 OpenShift Update Service 应用程序 3.3.3. 配置 Cluster Version Operator（CVO） 3.4. 删除 OPENSHIFT UPDATE SERVICE 应用程序 3.4.1. 使用 Web 控制台删除 OpenShift