0/16" accept' # firewall-cmd --run�me-to-permanent # firewall-cmd --list-all ★如果有硬件交换机做ACL或基于云的安全组做访问控制，则可关闭服务器上的 防火墙软件 ⑨加载ipvs模块 # cat > /etc/modules-load.d/k8s-ipvs.conf <控制Docker,但是这种架构缺点也很明显，调用链 更长，效率更低。 即 unix:///var/run/cri-dockerd.sock 相 当 于 v1.23 及 之 前 版 本 的 的 h�ps://raw.githubusercontent.com/projectcalico/calico/v3.26.1/manifests/custom- resources.yaml #创建控制器 Install the Tigera Calico operator and custom resource defini�ons # kubectl create -f �gera-operator

API- Gateway 镜像仓库 统⼀一代码管理理 统⼀一编程框架 统⼀一通讯协议 统⼀一部署环境 计算平台/KUN 公共服务 存储平台 Think in Cloud . 北北京 基于RBAC实现 账号管理理隔离 01 IPv6 02 Operator管理理有 状态的服务 03 监控 04 Think in Cloud . 北北京 • K8S提供了了多种身份认证策略略，具体如何实施？ 对于多集群，如何实现User跨集群的管理理？ 基于RBAC实现账号管理理隔离 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 选择Token认证⽅方式 • 通过服务账号SA模拟普通⽤用户User，即User与SA⼀一⼀一对应 • 所有模拟账号SA放置同⼀一个NS，统⼀一管理理 • 定制权限组ClusterRole • 通过授予模拟账号SA的不不同权限组，来控制不不同User在NS中的不不同权限 ……. ClusterRole: 1. cr-ns 2. cr-get Kubertnetes集群 ⽤用户管理理 ⽤用户：U1、U2 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 抽象Project对象给User使⽤用 • Project与每个集群的NS⼀一⼀一对应 • User在每个集群上都有对应模拟账号，⽤用于NS授权 NS ServiceAccount：SS

• 借助云原生的负载均衡能力暴露Service • 每个通过 LoadBalancer（ELB或NLB）暴露出来 的Service获得自己的访问地址 • 可封装 L4 (TCP) 或 L7 (HTTP) 层Service • NLB 支持客户端访问IP地址透传到后端节点 Kubernetes ServiceType: LoadBalancer © 2019, Amazon Web Services KUBELET K8s RBAC APP HOST AWS IAM 容器 升级 加固 监控 WORKER NODE 配置 升级 加固 监控 NETWORK 配置 VPC 网络策略 路由表 NACLs 数据 网络流量保护 客户端加密 服务端加密 EKS CONTROL PLANE CONTROL PLANE 配置 PRIVATE CONTROL RBAC 策略 © 2019, Amazon Confidential AWS Identity and Access Management (IAM) 身份验证 Kubectl 3) Authorizes AWS identity with RBAC K8s API 1) Passes AWS identity 2) Verifies AWS identity 4) K8s action allowed/denied © 2019,

k8s-master CPU：2 核, 内存：8GB，系统盘：40GB，docker 数据盘：80GB step1. 从模板上新建虚拟机 Step2. 配置虚拟机网络 打开虚拟机的控制台： 设置主机名： hostnamectl set-hostname k8s-master 设置网络： cd /etc/sysconfig/network-scripts vi ifcfg-ens160 1-crd.yaml Step2: 创建 RBAC 权限 vi 2-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: traefik-ingress-controller --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: traefik-ingress-controller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole

(Implement role-based access control)  將 Kubernetes密鑰加密 (Encrypt secrets at rest)  設置 Kubernetes 的許可控制器 (Configure admission controllers)  實施 Kubernetes 網路政策 (Implement networking policies)  對容器設置資安規則 https://www.cisecurity.org/benchmark/kubernetes/ 控制措施 如何查核 如何查核 參考資訊 預設配置 原因理由 如何查核 1. 控制平面元件 (Control Plane Components) 2. etcd 狀態資料庫 3. 控制平面設置 (Control Plane Configuration) 4. 工作節點 (Worker Architecture Guidance / Replacement for Checklist / Security Training OWASP CSVS – 對Docker容器應用開發/調度平台的控制措施 組織面 基礎架構 容器 調度管理 V1 V2 V3 V4 映像散佈 密鑰&金鑰 網路 儲存 整合 日誌&監控 災難備援 測試 V5 V6 V7

Canonical Kubernetes、OpenShift及Rancher均提供無需停機的自動化升級。 其中Canonical Kubernetes居於領先的部分，就是能夠讓企業對升級流程進行精細 控制。使用者可精確排序及交錯進行各項元件的更新作業，因此能夠完全升級叢集， 同時確保不會影響在叢集執行的工作負載。 2 5. 支援生命週期 有時候企業無法跟上最新的上游Kubernetes版本，未能完全保持最新狀態。為了 Kubernetes可讓企業選擇在裸機、OpenStack或任何公有雲使用完 全受管叢集。Canonical將建構及運作叢集，並由24小時全年無休的內部專家支 援及調整部署規模。此外使用者可隨時選擇完全接手控制運作，甚至使用完全相 同的工具重新部署或複製部署。Red Hat OpenShift Managed Services的運作 方式大致相同，不過只有在特定硬體才能支援私有雲和裸機部署。Rancher目前 轉、部署及設定。機器佈建後， Juju整合可讓使用者部署Canonical Kubernetes，就像在公有雲或私有雲之中 一樣簡單。相較於OpenShift IPI，MAAS針對設定選項提供更高的控制權，並 以更少的先決條件降低入門門檻。 17.GPGPU支援加速工作負載 對許多工作負載而言，將部分應用程式運算密集作業由中央處理器(CPU)卸載 至 通 用 繪 圖 處 理 器 (GPGPU)，

如何与开源生态协作？ • 如何迭代、演进？ Pinterest 有赞 Kubernetes API 到底应该怎么玩儿？ Kubernetes Deployment Service Pod Node RBAC 研发 运维 K8s 团队 Ingress Kubernetes K8s 团队 运维能力的模块化描述 API 运维 研发视角的应用描述 API 研发 K8s 的 All-in-One list of overwritable parameters (schemas) 1.Description of the application Component 核心workload 可访问 可复制 长久运行 Server √ √ √ Singleton Server √ × √ Worker × √ √ Singleton Worker × × √ Task × √ × Singleton

并为管理⼯具提供检查点状态的简单⽅法。 此外， Kubernetes control plane 所⽤的API 与开发⼈员和⽤户可⽤的API相同。⽤户可以使⽤ their own API 编写⾃⼰ 的控制器，例如 scheduler ，这些API可由通⽤ command-line tool 定位。 这种 design 使得许多其他系统可以构建在Kubernetes上。 Kubernetes不是什么？ 。实际上，它消除了编制的需要。编制的技术定义，就是执⾏定义的⼯作流： ⾸先执⾏A，然后B，然后执⾏C。相反，Kubernetes由⼀组独⽴、可组合的控制进程组成，这些控制进程可将当前状 态持续地驱动到所需的状态。 如何从A到C不要紧，集中控制也不需要；这种做法更类似于编排 。 这使系统更易⽤、更 强⼤，更具弹性和可扩展性。 译者按：编排和编制：https://wenku.baidu.co Kubernetes的含义是什么？K8S呢？ Kubernetes源⾃希腊语，意思是舵⼿或⻜⾏员 ，是governor（掌舵⼈） 和cybernetic（控制论） 的根源。 K8s是将8 个字⺟“ubernete”替换为“8”的缩写。 译者按：控制论简介（讲解了什么是 governor&cybernetic）：https://wenku.baidu.com/view/1d97762c0066f5335a812157

新的 挪进 / 挪出 没有变化 © Thoughtworks, Inc. All Rights Reserved. 采纳 1. 设计系统 2. 轻量级的 RFCs 方法 试验 3. 具有可访问性意识的组件测试设计 4. 攻击路径分析 5. 自动合并依赖项更新 PR 6. 针对 FAIR 数据的数据产品思维 7. OIDC for GitHub Actions 8. 使用 18 42 43 44 51 54 56 61 45 暂缓 暂缓 评估 评估 试验 试验 采纳 采纳 采纳 1. 设计系统 2. 轻量级的 RFCs 方法 试验 3. 具有可访问性意识的组件测试设计 4. 攻击路径分析 5. 自动合并依赖项更新 PR 6. 针对 FAIR 数据的数据产品思维 7. OIDC for GitHub Actions 8. 使用 计模式、组件库以及良好的设计和工程实践，以确保 数字产品的一致性。设计系统从过去的企业风格指南演变而来，提供易于查找和使用的共享组件库和文档。通 常，设计系统的风格指南以代码的形式记录并进行版本控制，比简单的文档记录更加清晰且易于维护。设计系 统已经成为跨团队和学科进行产品开发时的标准方法，每当需要新的视觉组件时，团队不用重新发明轮子，因 此能够集中精力，专注解决产品本身的种种挑战。 我

自我修复：容器故障后自动重启、节点故障后重新调度容器，以及容器自我修复机制。 水平扩展：通过简单明了实现水平扩展，基于CPU等资源负载率的自动水平扩展。 服务发现和负载均衡：实现内部负载均衡可以实现服务访问负载。 自动发布和回滚：可以自动实现版本的发布和回滚。 秘钥和配置管理：对于密码等信息，专门提供了Secert对象为其解耦。 存储编排：支持多种不同类型的存储，包括本地存储、云存储、网络存储等。 批 秘密 10 10 k8s基本概念和术语介绍（Master） 主节点（Master）： Master是集群的控制节点，每个k8s集群中至少需要一个Master节点来维护整个集群的管理和控制，几乎所有的控制命 令都是发给它，它负责执行具体的动作。它很重要，如果它不可用，那么我们所有的控制命令都会失效。 Master节点上运行一组关键进程： API Server API服务器（kube-apiserver）：提供HTTP 查改等操 作的唯一入口，也是集群控制的入口进程。并提供认证、授权、访问控制、API注册和发现等机制 Controller Manager控制管理器（kube-controller-manager）：k8s里所有资源对象的自动化控制中心，可以理解为 资源对象的“大总管”。运行着所有处理集群日常任务的控制器。包括节点控制器、副本控制器、端点控制器及服务账号 和令牌控制器。负责维护集群的状态，比如故障检测、自动扩展、滚动更新等。