Kubernetes修炼手册 (奈吉尔 • 波尔顿(Nigel Poulton)) (Z-Library)

分类建议：计算机／程序设计／Kubernetes 人民邮电出版社网址：www.ptpress.com.cn 美术编辑：董志桢 本书是一本Kubernetes入门图书，共分为12章，涵盖了Kubernetes的基础知识，并附带了大量的配置案例。此外，还 介绍了Kubernetes架构、构建Kubernetes集群、在Kubernetes上部署和管理应用程序、Kubernetes安全，以及云 本地、微服务、容器化等术语的含义。本书在内容上不断进行充实和完善，可以帮助读者快速入门Kubernetes。 本书适合系统管理员、开发人员，以及对Kubernetes感兴趣的初学者阅读。 作者简介 奈吉尔·波尔顿（Nigel Poulton），亚马逊畅销图书作者，存储专家，Docker技术先驱。奈吉尔有丰富的运维技术经 验，著有多部容器相关的图书，并开设了视频培训课程，在业界有非常大的影响力。 修炼手册 Kubernetes 修炼手册 Kubernetes Kubernetes 修 炼 手 册 [英] 奈吉尔·波尔顿（Nigel Poulton）◎ 著 刘康 李瑞丰 ◎ 译 异步社区 www.epubit.com 新浪微博 @人邮异步社区 投稿/反馈邮箱 chencongcong@ptpress.com.cn FM56109Kubernetes修炼手册.indd 3 21/4/15 下午1:23 异步社区qwsaeda(18638780736) 专享 请尊重版权

修炼手册 Kubernetes [英] 奈吉尔·波尔顿（Nigel Poulton）◎ 著 刘康 李瑞丰 ◎ 译 人 民 邮 电 出 版 社 北 京 FM56109Kubernetes修炼手册.indd 4 21/4/15 下午1:24 异步社区qwsaeda(18638780736) 专享 请尊重版权

版权声明 Simplified Chinese translation copyright ©2021 by Posts and Telecommunications Press. ALL RIGHTS RESERVED. The Kubernetes Book, by Nigel Poulton, ISBN 9781521823637 Copyright © 2021by Nigel Poulton 本书中文简体版由作者授权人民邮电出版社有限公司出版。未经出版者书面许可，对本书的任何部分不得以 任何方式或任何手段复制和传播。 版权所有，侵权必究。  著 ［英］奈吉尔 • 波尔顿（Nigel Poulton） 译 刘 康 李瑞丰 责任编辑 陈聪聪 责任印制 王 郁 彭志环  人民邮电出版社出版发行 北京市丰台区成寿寺路 11 号 邮编 100164 电子邮件 315@ptpress.com.cn 网址 https://www.ptpress.com.cn 北京市艺辉印刷有限公司印刷  开本：8001000 1/16 印张：13 字数：258 千字 2021 年 5 月第 1 版 印数：1 – 2 000 册 2021 年 5 月北京第 1 次印刷 著作权合同登记号 图字：01-2019-4796 号 定价：69.90 元 读者服务热线：(010)81055410 印装质量热线：(010)81055316 反盗版热线：(010)81055315 广告经营许可证：京东市监广登字 20170147 号 异步社区qwsaeda(18638780736) 专享 请尊重版权

内容提要 本书是一本 Kubernetes 入门图书，共分为 12 章，涵盖了 Kubernetes 的基础知识，并附 带了大量的配置案例。此外，还介绍了 Kubernetes 架构、构建 Kubernetes 集群、在 Kubernetes 上部署和管理应用程序、Kubernetes 安全，以及云本地、微服务、容器化等术语的含义。本 书在内容上不断进行充实和完善，可以帮助读者快速入门 Kubernetes。 本书适合系统管理员、开发人员，以及对 Kubernetes 感兴趣的初学者阅读。 异步社区qwsaeda(18638780736) 专享 请尊重版权

版本说明 这一版本于 2020 年 9 月发布。 在编写此版本的内容时，我细致校审了每一页文字和每一个示例，以确保所有内容均可 适用于新版本的 Kubernetes，以及符合云原生生态的技术趋势。 为了保证对新技术的跟进，这一版增加了如下内容。  StatefulSet 的介绍。  术语表。 希望读者能从此书中受益！ ©️2020 奈吉尔·波尔顿 异步社区qwsaeda(18638780736) 专享 请尊重版权

教育之意义在于启迪和创造机会。 我衷心地希望这本书，能够对您有所启迪，并带给您新的机会! 非常感谢我的妻子和孩子们对我的忍耐。我是一个极客—我认为自己是一套运行在生 化硬件之上的软件。我知道与我相处并不容易! 非常感谢每一个观看我在 Pluralsight、Udemy 以及 A Cloud Guru 上的视频的朋友。我很 乐意与你们交流，感谢这么多年来大家给我的反馈，这促使我写作这本书！我希望您能喜欢 这本书，并有助于推动您的事业发展。 最后的感谢送给在魔术沙盒（Magic Sandbox）的训练营中，借助我的学习资料使自己 的 Kubernetes 之旅步入新台阶的朋友。 @nigelpoulton 异步社区qwsaeda(18638780736) 专享 请尊重版权

关于作者 我要感谢普什卡（Pushkar）在有关安全章节中的贡献。在一次 KubeCon 大会上普什卡找到 我，并询问是否可以加入一些关于安全运行环境的内容。我以前并未有过合作编写的经历，因此 婉拒了他（我这个人比较散漫，较难共事）。然而，普什卡很是积极，于是我们进行了合作。需 要指出的是，在安全相关的章节中，技术方面的内容全部出自普什卡之手。我仅仅进行了一些写 作风格的调整，以便全书保持一致。 —奈吉尔·波尔顿 奈吉尔是一名致力于在云相关技术领域创作图书、培训教程和在线教育的技术极客。他是有 关 Docker 和 Kubernetes 的畅销图书的作者，同时也是在该领域广受欢迎的在线培训视频的作者。 他是一个 Docker 大牛，在此之前，奈吉尔曾在多家大型企业（多为银行）中担任与架构师相关 的角色。 他一直在钻研技术，空闲时间可能阅读科幻小说或看科幻电影。他希望能够生活在未来，这 样就可以探索时空、宇宙，以及其他脑洞大开的事物。他喜欢汽车、足球和美食。 普什卡目前是一名面向容器的防御安全工程师，这些容器涉及深度学习和分布式系统。最近 几年，他为某财富百强公司研发构建了多个“设计即安全”的容器产品。 工作之余，他喜欢骑行游览附近街区，或是悠闲地吃着自制的马萨拉姜仔饼，用相机记录落 日美景。 他同他美丽的妻子生活在一起，她也是一名工程师。 异步社区qwsaeda(18638780736) 专享 请尊重版权

资源与支持 本书由异步社区出品，社区（https://www.epubit.com/）为您提供相关资源和后续服务。 配套资源 本书配套资源请到异步社区本书购买页处下载。 要获得以上配套资源，请在异步社区本书页面中单击 ，跳转到下载界面，按提 示进行操作即可。注意：为保证购书读者的权益，该操作会给出相关提示，要求输入提取码 进行验证。 提交勘误 作者和编辑尽最大努力来确保书中内容的准确性，但难免会存在疏漏。欢迎您将发现的 问题反馈给我们，帮助我们提升图书的质量。 当您发现错误时，请登录异步社区，按书名搜索，进入本书页面，单击“提交勘误”，输 入勘误信息，单击“提交”按钮即可（见下图）。本书的作者和编辑会对您提交的勘误进行审 核，确认并接受后，您将获赠异步社区的 100 积分。积分可用于在异步社区兑换优惠券、样书 或奖品。 异步社区qwsaeda(18638780736) 专享 请尊重版权

与我们联系 我们的联系邮箱是 chencongcong@ptpress.com.cn。 如果您对本书有任何疑问或建议，请您发邮件给我们，并请在邮件标题中注明本书书名，以 便我们更高效地做出反馈。 如果您有兴趣出版图书、录制教学视频，或者参与图书翻译、技术审校等工作，可以发邮件 给我们。 如果您所在的学校、培训机构或企业，想批量购买本书或异步社区出版的其他图书，也可以 发邮件给我们。 如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为，包括对图书全部或 部分内容的非授权传播，请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作 者权益的保护，也是我们持续为您提供有价值的内容的动力之源。 关于异步社区和异步图书 “异步社区”是人民邮电出版社旗下 IT 专业图书社区，致力于出版精品 IT 技术图书和相关学习 产品，为作译者提供优质出版服务。异步社区创办于 2015 年 8 月，提供大量精品 IT 技术图书和电 子书，以及高品质技术文章和视频课程。更多详情请访问异步社区官网 https://www.epubit.com。 “异步图书”是由异步社区编辑团队策划出版的精品 IT 专业图书的品牌，依托于人民邮电出 版社近 30 年的计算机图书出版积累和专业编辑团队，相关图书在封面上印有异步图书的 LOGO。 异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。 异步社区 微信服务号 异步社区qwsaeda(18638780736) 专享 请尊重版权

前言 这是一本新的关于 Kubernetes 的图书，虽然本书并不厚，却字字珠玑。 为了避免误导读者，特此说明：本书并非一本面面俱到、系统深入阐述 Kubernetes 的图 书，而是一本易于阅读的令读者能够快速掌握 Kubernetes 的书。 纸质版 本书目前有几种不同的纸质版本。  我在 Amazon 上自出版的英文版纸书。  由 Shroff 出版的仅在印度次大陆出售的纸书。  由人民邮电出版社出版的简体中文版纸书。 为什么会有一个面向印度次大陆的特别版本呢？ 当我编写本书时，Amazon 的自出版服务尚未在印度提供，这意味着我无法在印度发行纸 质版。我调研了几种不同的方式，并最终决定与出版商 Shroff 合作。我非常感谢 Shroff 能够 帮助将本书送到更多的读者手中。 音频版 我在 2019 年 3 月于 Audible 上推出了一版相当具有娱乐性的音频版本。为了便于理解， 该版本对其中的部分例子和实验进行了微调。除此之外，读者可以获得完整的学习体验。 eBook 和 Kindle 版 获取本书英文版电子版的最方便的地方是 Leanpub。这是一个不错的平台，而且免费更新。 您也可以在美国 Amazon 网站上获取 Kindle 版本，同样也可以获取免费更新。然而众所 周知的是，Kindle 对更新的推送并不友好。如果您在获取更新的时候遇到问题，请联系 Kindle 异步社区qwsaeda(18638780736) 专享 请尊重版权

2 前言 客服来解决。 反馈 如果您喜欢本书并且觉得它有价值，那么请您推荐给您的朋友，或在 Amazon 的评论区 留言（即使通过其他渠道购买，也是可以在 Amazon 上发表评价的）。 为什么阅读本书，以及为什么关注 Kubernetes 当前 Kubernetes 异常火热，对该技能的需求也很多。因此，如果您希望在事业上有所提 升，并且在工作中使用一种能够重塑未来的技术，那么您需要阅读本书。 如果已经看过视频教程，还需要买本书吗 由于都是围绕 Kubernetes，那么可以肯定的是，我的书和视频教程的内容会有重复的部 分。但是看书和看视频是完全不同的体验。我认为，视频更有意思，但是图书更容易做笔记 以及翻阅查找。 如果我是您，我既会观看视频，也会阅读本书。二者是互补的，而且基于不同的途径进 行学习是行之有效的。 我的一些视频教程如下。  Kubernetes 入门（Getting Started with Kubernetes, pluralsight.com）  深入浅出 Kubernetes（Kubernetes Deep Dive, acloud.guru）  深入浅出 Docker（Docker Deep Dive, pluralsight.com） 本书的免费更新 我将尽力确保您对本书的投资是保值的！ Kindle 和 Leanpub 上的所有购买者都可免费获取更新。Leanpub 上的更新很及时，但是在 Kindle 上可能会遇到些许问题。许多读者抱怨 Kindle 设备上的内容无法获得更新。这是一个 普遍存在的问题，最简单的解决办法就是联系 Kindle 客服。 如果您在 Amazon 上购买了纸书，那么就可以使用折扣价格来购买 Kindle 版本。这来源 于“Kindle Matchbook”服务。遗憾的是，Kindle Matchbook 服务仅在美国地区实行，并且 可能存在问题—有时候 Kindle Matchbook 的图标无法在 Amazon 图书销售页面显示。如果 遇到此类问题，请联系 Kindle 客服来解决。 异步社区qwsaeda(18638780736) 专享 请尊重版权

前言 3 如果在其他渠道购买本书，我也爱莫能助了。我只是个搞技术的，不是出版商。 本书的 GitHub 库 本书有对应的 GitHub 库，其中的内容为书中的 YAML 代码和示例。 本书的版本 Kubernetes 发展得很快！因此，此类图书的价值与其新旧程度是密切相关的。也就是说， 图书越旧，那么其价值也就越低。鉴于此，我承诺将至少每年进行一次更新。我所说的“更 新”，是指真正的更新—每个词语和概念都会重审，每个例子都会测试和更新。我会尽心 尽责，争取让本书成为市面上最好的 Kubernetes 图书。 您也许会觉得至少每年更新一次太频繁了……然而这就是新常态。 如今，多数两年前的技术图书已经没有太多价值。事实上，对于像 Kubernetes 这样发展 迅速的技术，一年前的相关图书的价值都有待商榷。作为作者，我当然希望写出的书能够耐 得住 5 年时光的考验。但是现实并非如此。再次强调，欢迎来到新常态。  版本 7，2020 年 9 月。所有的内容都针对Kubernetes 1.18 进行了测试。新增关于StatefulSet 的章节，增加了术语表。  版本 6，2020 年 2 月。所有的内容都针对 Kubernetes 1.16.6 进行了测试。增加关于 服务发现的新章节，由于附录会给人一种未完成的感觉，从而将其删除。  版本 5，2019 年 11 月。针对 Kubernetes 1.16.2 进行了内容更新和示例测试。增加了 有关 ConfigMaps 的章节。把第 8 章移至附录，并在附录中增加了有关服务网格 （Service Mesh）技术的概述。  版本 4，2019 年 3 月。所有内容进行了更新，所有示例都在最新版本的 Kubernetes 上进行了测试。添加了新的关于存储的章节。新增了两章关于实际运行环境中的安 全问题的内容。  版本 3，2018 年 11 月。调整了部分章节的顺序从而使内容更加顺畅。删除了 ReplicaSets 的章节，并将其中的内容挪到第 5 章。  版本 2.2，2018 年 1 月。修改了一些文字错误，添加了一些解释性内容和图表。  版本 2.1，2017 年 12 月。修改了一些文字错误，更新了缺少图例的图 6.11 和图 6.12。  版本 2，2017 年 10 月。新增 ReplicaSets 的章节。对 Pod 的相关内容进行了大量改 动。修改了一些文字错误，并对现有章节进行了一些微调。  版本 1。初始版本。 异步社区qwsaeda(18638780736) 专享 请尊重版权

目录 第 1 章 初识 Kubernetes ........................................................................................................... 1 1.1 Kubernetes 的背景 ....................................................................................................................... 1 1.1.1 编排器 .................................................................................................................................. 1 1.1.2 容器化应用 .......................................................................................................................... 1 1.1.3 云原生应用 .......................................................................................................................... 2 1.1.4 微服务应用 .......................................................................................................................... 2 1.2 Kubernetes 的诞生 ....................................................................................................................... 3 1.2.1 Kubernetes 和 Docker .......................................................................................................... 3 1.2.2 Kubernetes 与 Docker Swarm 对比 ..................................................................................... 4 1.2.3 Kubernetes 和 Borg：抵抗是徒劳的 .................................................................................. 5 1.2.4 Kubernetes—名字从何而来 ............................................................................................ 5 1.3 云操作系统 .................................................................................................................................... 6 1.3.1 云的规模 .............................................................................................................................. 6 1.3.2 应用的调度 .......................................................................................................................... 7 1.3.3 一个简单的模拟 .................................................................................................................. 7 1.4 总结 ................................................................................................................................................ 7 第 2 章 Kubernetes 操作概览 ................................................................................................. 9 2.1 Kubernetes 概览 ........................................................................................................................... 9 2.1.1 作为集群的 Kubernetes ....................................................................................................... 9 2.1.2 作为编排器的 Kubernetes ................................................................................................. 10 2.1.3 Kubernetes 是如何工作的 ................................................................................................. 11 2.2 主节点与工作节点 ...................................................................................................................... 12 2.2.1 主节点（控制平面） ........................................................................................................ 12 异步社区qwsaeda(18638780736) 专享 请尊重版权

2 目录 2.2.2 工作节点 ............................................................................................................................ 15 2.3 Kubernetes DNS ........................................................................................................................ 17 2.4 Kubernetes 的应用打包 ............................................................................................................. 17 2.5 声明式模型与期望状态............................................................................................................... 18 2.6 Pod ............................................................................................................................................... 20 2.6.1 Pod 与容器 ......................................................................................................................... 20 2.6.2 Pod 深度剖析 ..................................................................................................................... 21 2.6.3 调度单元 ............................................................................................................................ 22 2.6.4 原子操作单位 .................................................................................................................... 22 2.6.5 Pod 的生命周期 ................................................................................................................. 22 2.7 Deployment ................................................................................................................................. 23 2.8 服务与稳定的网络 ...................................................................................................................... 23 2.9 总结 .............................................................................................................................................. 26 第 3 章 安装 Kubernetes ......................................................................................................... 27 3.1 Kubernetes 练习环境 ................................................................................................................. 27 3.2 托管的 Kubernetes 环境 ............................................................................................................ 27 3.3 自定义 Kubernetes 集群 ............................................................................................................ 28 3.4 安装 Kubernetes ......................................................................................................................... 28 3.5 Play with Kubernetes ................................................................................................................. 28 3.6 桌面版 Docker ............................................................................................................................. 31 3.7 Google Kubernetes 引擎（GKE） ........................................................................................... 32 3.8 其他安装方法 .............................................................................................................................. 34 3.9 kubectl .......................................................................................................................................... 34 3.10 总结 ............................................................................................................................................ 36 第 4 章 Pod 的使用 .................................................................................................................... 37 4.1 Pod 原理 ...................................................................................................................................... 37 4.1.1 Pod 和容器 ......................................................................................................................... 38 4.1.2 多容器 Pod：典型示例 ..................................................................................................... 38 4.1.3 如何部署 Pod ..................................................................................................................... 39 4.1.4 “解剖”Pod ...................................................................................................................... 40 4.1.5 Pod 与共享网络 ................................................................................................................. 40 异步社区qwsaeda(18638780736) 专享 请尊重版权

目录 3 4.1.6 Pod 与 CGroup ................................................................................................................... 42 4.1.7 Pod 的原子部署 ................................................................................................................. 42 4.1.8 Pod 的生命周期 ................................................................................................................. 42 4.1.9 小结 .................................................................................................................................... 43 4.2 Pod 实战 ...................................................................................................................................... 43 4.2.1 Pod 清单文件 ..................................................................................................................... 44 4.2.2 清单文件：共情即代码 .................................................................................................... 45 4.2.3 基于清单文件部署 Pod ..................................................................................................... 46 4.2.4 查看运行中的 Pod ............................................................................................................. 46 4.2.5 kubectl describe .................................................................................................................. 48 4.2.6 kubectl exec：在 Pod 中执行命令 .................................................................................... 49 4.2.7 kubectl logs......................................................................................................................... 50 4.3 总结 .............................................................................................................................................. 50 第 5 章 Kubernetes Deployment ......................................................................................... 51 5.1 Deployment 原理 ........................................................................................................................ 51 5.1.1 自愈和扩缩容 .................................................................................................................... 52 5.1.2 使用 Deployment 进行滚动升级 ...................................................................................... 54 5.1.3 回滚 .................................................................................................................................... 56 5.2 如何创建一个 Deployment ........................................................................................................ 56 5.2.1 查看 Deployment ............................................................................................................... 58 5.2.2 访问该应用 ........................................................................................................................ 59 5.3 执行滚动升级 .............................................................................................................................. 60 5.4 执行回滚操作 .............................................................................................................................. 63 5.5 总结 .............................................................................................................................................. 64 第 6 章 Kubernetes Service .................................................................................................. 65 6.1 要点前瞻 ...................................................................................................................................... 65 6.2 原理 .............................................................................................................................................. 66 6.2.1 Label 与松耦合 .................................................................................................................. 67 6.2.2 Service 和 Endpoint 对象 .................................................................................................. 69 6.2.3 从集群内部访问 Service ................................................................................................... 70 6.2.4 从集群外部访问 Service ................................................................................................... 70 异步社区qwsaeda(18638780736) 专享 请尊重版权

4 目录 6.2.5 服务发现 ............................................................................................................................ 72 6.2.6 小结 .................................................................................................................................... 72 6.3 Service 实战 ................................................................................................................................ 73 6.3.1 命令式 ................................................................................................................................ 73 6.3.2 声明式 ................................................................................................................................ 76 6.4 实例 .............................................................................................................................................. 79 6.5 总结 .............................................................................................................................................. 81 第 7 章 服务发现 ......................................................................................................................... 82 7.1 快速入门 ...................................................................................................................................... 82 7.2 服务注册 ...................................................................................................................................... 83 7.2.1 服务后端 ............................................................................................................................ 85 7.2.2 小结 .................................................................................................................................... 86 7.3 服务发现 ...................................................................................................................................... 86 7.3.1 使用集群 DNS 将名称解析为 IP 地址 ............................................................................. 87 7.3.2 网络“黑科技” ................................................................................................................ 88 7.3.3 小结 .................................................................................................................................... 89 7.4 服务发现与命名空间 .................................................................................................................. 90 7.5 服务发现问题排查 ...................................................................................................................... 96 7.6 总结 .............................................................................................................................................. 98 第 8 章 Kubernetes 存储 ......................................................................................................... 99 8.1 概述 .............................................................................................................................................. 99 8.2 存储提供者 ................................................................................................................................ 101 8.3 容器存储接口（CSI） .............................................................................................................. 101 8.4 Kubernetes 持久化卷子系统 ................................................................................................... 101 8.5 存储类和动态置备 .................................................................................................................... 107 8.5.1 存储类 YAML .................................................................................................................. 108 8.5.2 多个存储类 ...................................................................................................................... 109 8.5.3 实现存储类 ...................................................................................................................... 109 8.6 示例 ............................................................................................................................................ 111 8.6.1 清理 .................................................................................................................................. 111 8.6.2 创建一个存储类 .............................................................................................................. 112 异步社区qwsaeda(18638780736) 专享 请尊重版权

目录 5 8.6.3 创建一个 PVC ................................................................................................................. 113 8.6.4 清理 .................................................................................................................................. 114 8.6.5 使用默认的 StorageClass ................................................................................................ 115 8.7 总结 ............................................................................................................................................ 115 第 9 章 ConfigMap .................................................................................................................... 116 9.1 概述 ............................................................................................................................................ 116 9.1.1 简单的例子 ...................................................................................................................... 117 9.1.2 例子分析 .......................................................................................................................... 117 9.1.3 解耦的世界 ...................................................................................................................... 117 9.2 ConfigMap 原理 ........................................................................................................................ 118 9.2.1 ConfigMap 如何工作 ....................................................................................................... 119 9.2.2 ConfigMap 与 Kubernetes 原生应用 ............................................................................... 120 9.3 ConfigMap 实战 ........................................................................................................................ 120 9.3.1 命令式创建 ConfigMap ................................................................................................... 120 9.3.2 查看 ConfigMap ............................................................................................................... 122 9.3.3 声明式创建 ConfigMap ................................................................................................... 123 9.3.4 将 ConfigMap 数据注入 Pod 和容器 .............................................................................. 125 9.4 总结 ............................................................................................................................................ 129 第 10 章 StatefulSet ................................................................................................................ 130 10.1 StatefulSet 原理 ...................................................................................................................... 130 10.1.1 StatefulSet 中 Pod 的命名 ............................................................................................. 131 10.1.2 按序创建和删除 ............................................................................................................ 132 10.1.3 删除 StatefulSet .............................................................................................................. 133 10.1.4 卷 .................................................................................................................................... 133 10.1.5 故障处理 ........................................................................................................................ 134 10.1.6 网络 ID 和 headless Service .......................................................................................... 134 10.2 StatefulSet 实战 ...................................................................................................................... 135 10.2.1 部署 StorageClass .......................................................................................................... 135 10.2.2 创建一个 governing headless Service............................................................................ 136 10.2.3 部署 StatefulSet .............................................................................................................. 137 10.2.4 测试点对点发现 ............................................................................................................ 140 异步社区qwsaeda(18638780736) 专享 请尊重版权

6 目录 10.2.5 StatefulSet 扩缩容 .......................................................................................................... 141 10.2.6 执行滚动升级 ................................................................................................................ 143 10.2.7 模拟 Pod 故障 ................................................................................................................ 143 10.2.8 删除 StatefulSet .............................................................................................................. 145 10.3 总结 .......................................................................................................................................... 145 第 11 章 安全模型分析 ........................................................................................................... 146 11.1 安全模型 .................................................................................................................................. 146 11.2 伪装 .......................................................................................................................................... 146 11.2.1 与 API Server 的安全通信 ............................................................................................ 147 11.2.2 Pod 间的安全通信 ......................................................................................................... 147 11.3 篡改 .......................................................................................................................................... 149 11.3.1 对 Kubernetes 组件的篡改 ............................................................................................ 149 11.3.2 对运行在 Kubernetes 中的应用的篡改 ........................................................................ 150 11.4 抵赖 .......................................................................................................................................... 151 11.5 信息泄露 .................................................................................................................................. 153 11.5.1 保护集群数据 ................................................................................................................ 153 11.5.2 保护 Pod 中的数据 ........................................................................................................ 153 11.6 拒绝服务 .................................................................................................................................. 154 11.6.1 保护集群资源免于 DoS 攻击 ....................................................................................... 154 11.6.2 保护 API Server 防范 DoS 攻击 ................................................................................... 155 11.6.3 保护集群存储防范 DoS 攻击 ....................................................................................... 155 11.6.4 保护应用组件防范 DoS 攻击 ....................................................................................... 156 11.7 提升权限 .................................................................................................................................. 157 11.7.1 保护 API Server ............................................................................................................. 157 11.7.2 保护 Pod ......................................................................................................................... 158 11.8 Pod 安全策略 .......................................................................................................................... 162 11.9 Kubernetes 安全展望 ............................................................................................................. 164 11.10 总结 ........................................................................................................................................ 164 第 12 章 现实中 Kubernetes 的安全性 ........................................................................... 165 12.1 CI/CD 流水线 .......................................................................................................................... 165 12.1.1 镜像仓库 ........................................................................................................................ 165 异步社区qwsaeda(18638780736) 专享 请尊重版权

目录 7 12.1.2 使用已验证的基础镜像 ................................................................................................ 166 12.1.3 非标准基础镜像 ............................................................................................................ 167 12.1.4 控制镜像的访问权限 .................................................................................................... 167 12.1.5 从非生产库复制镜像到生产库 .................................................................................... 168 12.1.6 漏洞扫描 ........................................................................................................................ 168 12.1.7 配置即代码 .................................................................................................................... 169 12.1.8 镜像签名 ........................................................................................................................ 169 12.1.9 镜像晋升工作流 ............................................................................................................ 170 12.2 基础设施与网络 ...................................................................................................................... 170 12.2.1 集群层负载隔离 ............................................................................................................ 170 12.2.2 节点隔离 ........................................................................................................................ 172 12.2.3 运行时隔离 .................................................................................................................... 172 12.2.4 网络隔离 ........................................................................................................................ 173 12.3 身份认证与访问控制管理（IAM） ....................................................................................... 176 12.4 审计与安全监控 ...................................................................................................................... 177 12.4.1 安全配置 ........................................................................................................................ 177 12.4.2 容器与 Pod 的生命周期事件 ........................................................................................ 178 12.4.3 应用的日志 .................................................................................................................... 178 12.4.4 用户执行的操作 ............................................................................................................ 178 12.4.5 管理日志数据 ................................................................................................................ 179 12.4.6 迁移现有 App 到 Kubernetes ........................................................................................ 179 12.5 现实例子 .................................................................................................................................. 179 12.6 总结 .......................................................................................................................................... 180 术语表 ............................................................................................................................................... 181 延伸 .................................................................................................................................................... 184 异步社区qwsaeda(18638780736) 专享 请尊重版权

第 1 章 初识 Kubernetes 本章内容分为以下两个部分。  Kubernetes 的背景介绍，比如它的来源等。  Kubernetes 如何成为云上的操作系统。 1.1 Kubernetes 的背景 Kubernetes 是一个应用编排器（orchestrator），主要用于对容器化的云原生微服务应用进 行编排。对于这一定义读者可能会感觉技术术语太多了！ 随着对 Kubernetes 的了解和使用，这些术语都会遇到，下面就花少量的篇幅进行简 要的介绍。 1.1.1 编排器 编排器是一套部署和管理应用程序的系统。它能够部署应用，并动态地响应变化。例如， Kubernetes 包括但不仅限于以下功能。  部署应用程序。  根据需要动态扩缩容。  当出现故障时自愈。  进行不停机的滚动升级和回滚。 Kubernetes 最突出的优点是，它可以在无须人工干预决策的情况下自动完成以上所有任 务。显然，这需要用户在最初进行一些配置，一旦完成配置，就可以一劳永逸地放心交给 Kubernetes 了。 1.1.2 容器化应用 所谓容器化应用就是运行在容器中的应用。 异步社区qwsaeda(18638780736) 专享 请尊重版权