熱門Ptt文章

[爆卦]cncf介紹是什麼?優點缺點精華區懶人包

雖然這篇cncf介紹鄉民發文沒有被收入到精華區:在cncf介紹這個話題中,我們另外找到其它相關的精選爆讚文章

在 cncf介紹產品中有9篇Facebook貼文,粉絲數超過2,850的網紅矽谷牛的耕田筆記,也在其Facebook貼文中提到, ref: https://jzimnowo.medium.com/harbor-keycloak-and-istio-a-good-dance-troupe-6c3520fb87de 本篇是個經驗分享文,作者想要打造一個基於 Kubernetes namespace 的多租戶 Kubernetes...

「cncf介紹」的推薦目錄
  • 矽谷牛的耕田筆記

    cncf介紹 在 矽谷牛的耕田筆記 Facebook 的最佳貼文

    2021-08-30 00:00:11
    有 19 人按讚

    ref: https://jzimnowo.medium.com/harbor-keycloak-and-istio-a-good-dance-troupe-6c3520fb87de

    本篇是個經驗分享文,作者想要打造一個基於 Kubernetes namespace 的多租戶 Kubernetes 平台。
    該平台主要針對的是團隊內不同的 DevOps team,並且每個 Team 都會有自己的下列資源
    1. Harbor: Private Container Registry
    2. Keycloak: SSO
    3. Istio: Service Mesh.

    # Harbor
    Harbor 是 CNCF 的畢業專案,專注於提供 private container registry,本身除了有友善的操作介面外,也整合了多項常見功能,譬如
    1. 基於 OIDC 的授權認證機制
    2. 容器安全性掃描
    3. Chartmuseum (未來會被移除)
    4. 專案管理

    透過 OIDC 與專案的機制,能夠很輕鬆的針對不同專案設定不同權限,譬如屬於群組 A 的只能使用 Project A。
    此外每個專案本身也有提供 robot account,該 robot account 的目的則是讓整個工作流程更佳簡潔。

    如果要於 Kubernetes 中去抓取這些 Private Container Registry,則必須要透過 ImagePullSecret 的物件來描述登入資訊。
    為了避免使用個人帳戶來存取,作者推薦每個專案都要準備兩個 Robot Account,這兩個 Robot Account 都只能針對該專案底下的 container 去存取
    所以也不用擔心會去存取到其他 Team 的專案。
    第一個 robot account 專注於 Pull Image,主要是讓 Kubernetes 內部可以下載 Image 使用。
    第二個 robot account 則是給 CI/CD pipeline 使用,讓 pipeline 有能力將新的 image 給推向 Harbor。

    前述所說 Harbor 可以基於 OIDC 來滿足認證的機制,作者於團隊中就使用 Keycloak 這個開源來作為一個 OIDC 提供者(另外一個常見的是 Dex)。
    文章中有稍微介紹如何於 Keycloak 中創立一個 Client 的物件,並且於 Harbor 如何設定。
    如果團隊有這個需求的可以看一下要如何操作。

    文章最後探討使用這三個專案的一些經驗與痛點,有興趣的可以閱讀全文參考

  • 矽谷牛的耕田筆記

    cncf介紹 在 矽谷牛的耕田筆記 Facebook 的精選貼文

    2021-08-26 00:00:10
    有 31 人按讚

    ref: https://loft.sh/blog/the-cost-of-managed-kubernetes-a-comparison/

    本篇文章探討不同 Cloud Provider kubernetes 服務的差異,作者列舉了四個常見的 kubernetes 服務,包含 GKE, EKS, AKS 以及 DOKS。

    這四個 kubernetes 服務所部署的 Kubernetes 叢集都有獲得 CNCF Kubernetes Certification 的認證,不同 Cloud Provider 都有自己的優缺點。
    使用 Kubernetes 服務帶來的好處就是使用者通常不太需要去擔心如何處理
    1. Kubernetes 核心元件之間的 Certificate (API Server, Controller, Scheduler, Kubelet ...etc)
    2. 動態調整 Kubernetes 節點
    3. 相較於單純靠社群, Cloud Provider 可以提供更快速且更好的支援(畢竟有付錢給對方)

    因此該文章接下來就會針對這四個 Kubernetes 服務來探討一下彼此的差異。

    註: 有興趣的話都可以用 Sonobuoy 這個開源專案來檢測自己維護的 Kubernetes 叢集,通過測試就可以把測試報告送到 GitHub 開 Issue 申請認證

    GKE
    1. Kubernetes 正式公開後一個月就 GKE 就出現了 (08/2015), 是最早的 Kubernetes 服務
    2. GKE 會使用 gVisor 專注於安全層級的容器隔離技術來部署服務。
    3. 有機會使用針對 Container 最佳化的 OS,有些 cloud provider 只能使用 Ubuntu image 之類的。
    4. 服務出現問題時,可以啟動 auto-repair 來修復叢集,一種典型作法就是將一直回報為 NotReady 的 k8s 節點給重建
    5. GKE 提供自動升級 Kubernetes 版本的功能,如果不想要的話記得要去關閉這個功能,否則自動升級是有可能讓某些應用程式無法正常運作的。
    6. 使用 GKE 的話,要付每小時 $0.1 美元的管理費。如果使用 on-prem 的解決方案 (Anthos) 的話就可以免去這些管理費。

    EKS
    1. 06/2018 創立
    2. 可以使用 Ubuntu Image 或是 AWS 針對 EKS 最佳化的 EKS AMI 來獲得更好的效能。
    3. EKS 沒有提供自動升級 Kubernetes 版本的功能,官方有提供大量詳細的文件介紹如何手動升級 Kubernetes 版本
    4. 沒有類似 auto-repair 的機制去幫忙監控與修復出問題的 k8s node,因此 EKS 使用者需要自己去監控與維護這些節點。
    5. EKS 也是每小時 $0.10 的管理費用。 AWS Outposts/EKS Anywhere 這些 2021 啟動的專案讓你有機會將 EKS 部署到 on-prem 的環境中。

    AKS
    1. 06/2018 創立
    2. AKS 沒有提供任何最佳化的 OS,你只能使用常見的那些 OS image 作為你的 k8s 節點
    3. 預設情況不會自動升級 kubernetes 版本,不過 AKS 提供選項去開啟自動升級。Cluster 有四種不同策略(none,patch,stable,rapid)來自動更新你的 k8s 叢集。
    4. AKS 預設不會啟動 auto-repair 功能。對於一直持續回報 NotReady 的節點, AKS 會先重起該節點,如果問題無法解決就會砍掉重建節點。
    5. AKS 不收管理費
    6. Azure 沒有特別提供一個供 on-prem 的 AKS 解決方案,不過透過 ARC 是有機會於 on-prem 的環境運行 AKS.

    DOKS(DigitalOcean)
    1. 05/2019 創立
    2. 有提供 kubernetes 版本自動更新功能,但是只有針對 patch 版本的變化
    3. 沒有 auto-repair 的功能
    4. 文章撰寫的當下, DOKS 沒有任何文件說明如何於 on-prem 的環境運行 DOKS
    5. 不收管理費
    6. 相對其他三家來說,底層架構相對便宜,一個 DOKS 最低可以低到每個月 $10 美元。

    價錢比較:
    1. 假設需要創建一個擁有 20 節點並且有 80vCPU, 320GB RAM 的叢集 (GKE 因為每個節點都是 15GB,所以最後只能湊到 300GB)
    2. 每個月為單位去計算價格,AKS/EKS/GKE 都使用其提供的價格計算機來粗估, DOKS 需要手動計算。
    3. 價錢評比
    a. AKS: $3416
    b. EKS: $2928
    c. DOKS: $2400
    d. GKE: $1747

    對文章有興趣的別忘了參閱全文

  • 矽谷牛的耕田筆記

    cncf介紹 在 矽谷牛的耕田筆記 Facebook 的最佳貼文

    2021-08-12 00:00:11
    有 68 人按讚

    https://itnext.io/great-cks-kubernetes-security-exam-preparation-guide-to-help-you-pass-14fe5ab30ce1

    本文是作者的心路歷程分享分享文,想要探討什麼是 Certified Kubernetes Security(CKS) Specialist 以及如果要準備這個考試可以如何準備

    CKS
    1. 根據 CNCF 官網的介紹, CKS 測驗是用來確認 CKS 能夠擁有與掌握如何安全的管理 Kubernetes Clusters,安全的概念包含安全的去處理這些 Container 以及整個 Kubernetes 平台的安全性(建置,部署,運行等所有階段)
    2. 考取 CKS 之前要先通過 CKA (Certified Kubernetes Administrator) 的測試
    3. Kubernetes 官網上其實有非常多的文件與操作說明, CKS 更像是一個幫助你去挑戰自我,確認自己有能力與知識去處理 k8s 安全相關的設定與操作。

    如何準備 CKS
    作者列舉了幾個重點概念
    1. Docker Image 實作上的最佳實踐
    2. 理解下列內容
    a. CIS Kube-bench
    b. Trivy
    c. Sysdig/Falco
    d. AppArmor
    e. Seccomp
    f. OPA/Gatekeeper
    3. Linux 基礎理解,特別是 cGroup
    4. Kubernetes 架構以及相關元件,譬如 RBAC, NetworkPolicy, PSP 等
    5. API Server 相關操作,包含 Admission control, Audit 以及如何除錯

    作者於文章後半部分列出了很多文章與影片連結,資源非常豐富,其中還提到 CKS/CKA/CKAD 的模擬器 (https://killer.sh/),對於該考試有興趣的一定要使用這些資源來練習

    最後列出一些純 k8s 的一些考試內容
    1. Admission controllers.
    請確保你熟悉各種不同類型,如 PodSecurityPolicy,ImagePolicyWebhook 的實作與差異,並一定要知道這些是如何跟 API Server 互動的。
    2. Immutable containers
    如何使用 securitycontext 創造一個 Immutable 的容器並且避免一些可能會造成 mutable 的操作
    3. Network Policy
    4. PodSecurityPolicy(隨者 OPA 的發展,這個考試內容將會慢慢的被捨去)
    5. gVisor

    對於 CKS 考試有興趣的建議看看本篇文章,其中文章內有滿多跟安全相關的影片與文章也都值得閱讀

你可能也想看看

搜尋相關網站