Foudation -kubernetes secure Architecture-基础 kuberntes安全架构
1. docker Architecture
1. run container in container engine-在容器引擎中运行容器 2. Schedule containers effcient-高效的调度容器 3. Keep containers alive and health- 保持容器的存活和健康 4. Allow container communication- 允许容器的通信 5. Allow common deployment techniques-允许通用的部署技术 6. handle volumes-处理卷
2. kubernetes Architecture
2.1 Contarol Plance
Contarol Plance-控制平面,简单的不知道我理解的对不对为master节点上面的etcd scheduler apiserver controler manager 。至于cloud control manager我理解是使用云商托管的kubernets 比如腾讯云的 cke还有阿里云的ack 都有类似的kubernets的托管服务。
见: https://kubernetes.io/docs/concepts/overview/components/#control-plane-components
1. kube-apiserver apiserver
控制平面暴露kubernets的api服务,API服务器是Kubernetes控制平面的前端。 水平扩展 平衡实例之间流量
2. etcd etcd数据库
Consistent and highly-available key value store used as Kubernetes’ backing store for all cluster data 高度一直的kv键值数据库。用作kubernetes的备份与数据存储。
3. kube-scheduler 调度器
监视没有分配节点的新创建的Pod,并选择一个节点以使其运行。调度策略有很多种,官网现学现卖:
1. individual and collective resource requirements 个体和集体的资源需求 2. hardware/software/policy constraints 硬件/软件/策略约束 3. affinity and anti-affinity specifications 亲和性和反亲和力规范 4. data locality 数据本地性 5. inter-workload interference 工作负载之间的干扰 6. deadlines 生存周期
4. kube-controller-manager
Control Plane component that runs controller processes. 控制平面运行控制的进程
- 节点控制器:负责在节点出现故障时进行通知和响应。
- 复制控制器:负责为系统中的每个复制控制器对象维护正确数量的Pod。
- 端点控制器:填充“端点”对象(即,加入“服务和窗格”)。
- 服务帐户和令牌控制器:为新的名称空间创建默认帐户和API访问令牌
5. cloud-controller-manage
云控制器暂时忽略吧,一般的还接触不到的
2.2. Data Plane
Data Plane-----数据平面 。一般理解为work节点 工作节点?主要有kubelet 和kube-proxy服务
1. kubelet
在集群中每个节点上运行的代理。 确保容器在Pod中运行。维护节点上的网络规则.如果有kube-proxy可用,它将使用操作系统数据包过滤层。 否则,kube-proxy会转发流量本身
2. kube-proxy
kube-proxy是一个网络代理,它在集群中的每个节点上运行,实现了Kubernetes Service概念的一部分。
3. Container runtime
容器运行时是负责运行容器的程序。
Kubernetes支持多种容器运行时:Docker,Containerd,CRI-O以及Kubernetes CRI(容器运行时接口)的任何实现形式。
3. Addons 组件扩展
注: 插件的命名空间资源属于kube-system命名空间
1. dns 域名解析服务 2. Dashboard webui 仪表盘 3. Container Resource Monitoring 容器资源的监控 4. Cluster-level Logging 集群级别的日志
4. 关于pod之间的通信
注: 默认是全部可以通信的,当然了 可以通过networkpolicy等方式进行隔离
5. PKI (Public Key Infrastructure 公共密钥基础设施)
1 . 关于pki的CA
注: 关于ca学习的不是太透彻,有时间单独的好好学习一下
1. CA is the trusted root of all certificates inside the cluster CA是群集内所有证书的受信任根 2. All cluster ertificates are signed by the CA 所有集群的证书都由CA签名 3. .Used by components to validate each other 组件用来相互验证
2. Find various K8s certificates
关于Scheduler->Api 和controller-manage->Api 和 kubelet->Api 还有 kubelet server cert
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
向黑客支付近 500 万美元赎金,美国能源管道全线恢复运营
5 月 14 日消息 美国大型成品油管道运营商科洛尼尔管道运输公司 13 日发表声明说,该公司受网络攻击而被迫关闭的燃油运输管道当天全线恢复运营。 声明说,科洛尼尔管道运输公司已经重启整个管道系统,燃油产品正运送至该公司服务的全部市场。在系统重启的最初阶段,一些区域的管道燃油供应可能出现时断时续等不稳定状况,全面恢复到正常水平仍需数天时间。 7 日,网络黑客通过加密手段锁住科洛尼尔管道运输公司计算机系统并盗取机密文件,试图以解锁为条件来勒索赎金。该公司一度被迫关闭整个能源供应网络,美国东部和东南部地区多地出现燃油供应紧张状况,一些地区食品供应链也受到影响。 据外媒 CNBC 报道,一位熟悉情况的消息人士向 CNBC 证实,科洛尼尔管道运输公司在遭受全面的网络攻击后向黑客支付了赎金,赎金高达近 500 万美元。 此前美国白宫新闻秘书 Jen Pskai 在一次简报会上告诉记者,联邦政府的立场是不支付赎金,因为这可能会刺激网络犯罪分子发动更多的攻击。 该攻击背后的黑客组织名叫 DarkSide,他们的攻击导致科洛尼尔管道运输公司关闭网络。DarkSide 在官网发表声明,虽然没有直接提及 ...
- 下一篇
K8s Security Best Practices-K8S安全最佳实践
关于安全-写在前面的:Security is complex and a process 安全是复杂的,而且是一个过程 Security combines many diffenrent things 安全结合了许多不同的东西 Environments change,security cannot stay in a certain state 环境变化,安全性不能保持一定状态 Attackers have advantage ***者有优势 3.1 . They decide time 他们决定的时间(任意时间) 3.2. They pick what to attack ,like weakest link 他们选择要***的内容,例如最薄弱的环节 1. Security Principles 安全原则 Defense in depth 深度防御 Least Privilege 最小权限原则 Limiting the Attack Surface 限制***面 Layered defence and Redundancy 分层防御和冗余 2. K8s Security Categ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS关闭SELinux安全模块
- CentOS7,CentOS8安装Elasticsearch6.8.6