k8scaptain的博客

开发团队可以从自助工程平台中获取所需的精确预配置的Kubernetes集群，并且无论部署在何处，它们都可以以多租户的方式跨混合云基础设施进行扩展。

好消息是，Mirantis的一位工程师发现了一些修复方法，并正在分享。

调查显示，在Kubernetes上运行数据工作负载对组织有着变革性的影响。对价值的感知很高，但可能会高估实际收益。

组织层面的自动化一直是一个难以捉摸的目标，但Kubernetes可能能够改变这一切。

对于试图与Kubernetes合作的DevOps团队来说，最大的问题之一是，开发人员、运维和安全团队成员仍然是孤立的，这并不是因为他们不打算合作，而是因为他们可能采用不同类型的工具来完成工作。最近创建的Acorn Labs就是为了这个目的而推出的。Acorn是Acorn Labs的“第一个开源项目”，介绍了一种在Kubernetes上部署应用程序的“开发者友好”方法。为了描述复杂的应用程序结构，Acorn有自己的配置语言，松散地基于CUE，支持循环、条件和函数，而Acorn的范围将随着时间的推移而扩展。

此类恢复涉及自动编排多个动态、策略驱动的任务，这是一个棘手的命题，因为此类恢复的目标不仅仅是避免数据丢失，而是在生产中连续执行应用程序，同时将对这些应用程序用户的任何不利影响降到最低。因此，Kubernetes需要重新思考自动化意味着什么，而不是简单的流程图“做这件事，做决定，做那件事”的逻辑，云原生自动化本质上是动态的，逻辑可能会随时变化。数据保护必须在两个层面都起作用：首先，将数据移动作为备份和恢复过程的一部分，其次，作为驱动应用程序行为的自动化编排的一部分而发生的更广泛的数据保护。

因此，4节点控制平面的可用性比3节点控制平面差——因为两个控制平面都可能遭受单节点中断，并且都无法处理2节点中断，但在4节点集群中发生这种情况的可能性更高。但是，如果你现在向集群中添加新节点，仲裁将增加到3，因为集群现在是4节点集群，正在计算递减节点，我们需要一半以上的可用节点来防止分裂。而且，由于两个节点中一个节点死亡的概率比一个节点高（事实上，假设它们是相同的节点，概率是两倍），因此两个节点控制平面的可靠性比单个节点更差。这会将集群返回到仲裁为2的3节点集群，但在转换期间，集群可以容忍节点的故障。

Volk同意，Istio的无sidecar版本可以维护安全性，但他表示，仍存在一些警告，如在特定情况下可能出现的潜在“噪音邻居”问题。此外，使用Istio Ambient Mesh，整个服务网格上不会丢失平台或策略管理功能，不会丢失特定于应用程序的安全和应用程序卸载功能，也不需要应用程序或基础设施团队立即学习新的编程语言。出于安全和/或合规的原因，受监管的公司可能会选择sidecar模式，用于一组应用程序——这些应用程序绝对不能在数据路径中的任何位置拥有任何共享资源（如代理），这一点得到了很好的解释。

当然，无服务器并不意味着字面上的无服务器，只是服务器是托管的和虚拟的。Dickerson是一份关于无服务器开发和交付最佳实践的新报告的主要作者，他介绍了开发人员需要了解的关于无服务器环境中的部署的种种。“当无服务器开发人员为短期运行、独立的工作负载构建时，他们获得了自主水平扩展的好处，可以在很短的时间内完成，成本也很低。这不是无服务器独有的，但它是一种应用于无服务器的技术。报告指出，如果有独立的工作负载和零星的需求，则无服务器架构可以很好地工作，但如果有“难以并行处理的串行化工作单元”，它不是最佳方法。

Sosivio认识到当前数据采集器面临的挑战，构建定制化数据采集器，优化以从整个基础架构栈（内核信号、操作系统日志、进程信号、应用程序日志、容器运行时事件、网络流量、Kubernetes事件）收集非常细粒度的指标和信息，进而为ML/AI引擎提供燃料。如果没有故障序列中的所有链接，则真正的根本原因是间接的。Sosivio为每个阶段使用“数据漩涡”机器学习引擎，被动地收集数据，压缩并将所有数据翻译成统一的语言，将数据关联起来，形成集群内部发生的情况的清晰画面，然后推荐可用于修复故障的解决方案。

其中最令人痛心的一点在于实施领域：超过66%的表现出色的领导者已经将其所有服务容器化了，而只有略高于22%的表现不佳的人效仿了。问题是，在采取这些关键的第一步之前，你是否准备好做出必要的努力来掌握它，并为成功的迁移旅程构建框架。尽管几乎90%的表现最好的人声称他们的开发人员可以独立部署或按需部署，但只有39%的表现不佳的人表示同样的看法。K8s可以解决许多问题，但必须有适当的规划，更重要的是，要有致力于容器化的意愿。我们发现的一件有趣的事情是，在K8s迁移过程中，一些常见的技术障碍反复出现。......

为了实现现代化，Kubernetes必须参与其中，但随着应用程序数量的激增，保持所有敏感数据的安全是一项艰巨的任务。组织正在采取的一种更好地解决安全问题的方法是零信任。零信任假设所有网络流量都是恶意的，而不是自动将网络的一部分视为可信的，并要求对其他活动进行身份验证。在已经建立的安全实践中实施零信任原则可能会留下无法解释的漏洞，因此，转变为零信任模式需要利益相关者的认同和准备。让我们研究一下零信任的要求，将零信任应用于Kubernetes的挑战，以及可以帮助缓解这些挑战以保持应用程序现代化的开源解决方案。.

为了解决大规模Kubernetes环境中的配置问题，Nephoo将为不同的网络功能生成CRD和operator，以管理生命周期和配置。Nephio项目由Linux基金会于2022年启动，该基金会与谷歌和一系列电信运营商、解决方案供应商和集成商一起，着手构建一个统一平台，使用Kubernetes为大规模5G电信网络部署提供意图驱动的云原生自动化。我们知道，对于大型或电信网络，Kubernetes非常适合充当统一和自动化的控制平面，以配置可能分布的每个基础设施的所有方面和主机网络功能。...

它是一个可扩展的、开源的、与供应商无关的、自托管的平台，可以在几分钟内交付到你的公共云，而不是用几个月的时间从头开始构建。尽管我们拥有构建基础设施和部署平台的经验，但我们惊讶地发现，从头开始构建一个伟大的Kubernetes平台始终需要数月的时间，即使你知道自己在做什么。跳过Kubernetes旅程的前六个月，从这些非常流行、文档丰富的开源技术开始，所有这些技术都以一种简单的面向GitOps的声明方式集成在一起，并加入使用相同Kubernets工具的开源用户社区。

你可以立即了解Docker资源在计算机上使用了多少磁盘空间，并通过删除特定类型的资源（如停止的容器、悬挂的镜像和未使用的卷）来回收空间。属于你的Tailscale网络的任何人都可以看到你的容器。这使得协作变得更加容易和安全，比如在代码评审过程中与同事共享工作的阶段性副本，与团队成员共享web应用程序的进度反馈，或者让团队成员连接到本地机器上运行的微服务。在该功能的beta版发布后的三个月内，社区中的合作伙伴、Docker和开发人员找到了整合工具的新方法，并创造了更流畅、更精简的开发人员体验。

然而，使用Kubernetes，我们只需要知道AWS、Azure或谷歌如何进入Kubernete集群，然后如何配置该集群，以便能够提供基础设施并能够相互通信，无论是通过专用网络、VPN还是通过互联网的TLS。这很好，但这也意味着Kubernetes成为容错域的可能：因为K8s集群的周长等于所处基础设施的周长，因此我们可以将每个Kubernete集群视为HA目的的数据中心或云区域。实际上，你需要在每个集群中拥有相同级别的安全权限，如果你在管理它时不太小心，那么最终可能会比特定集群中需要的安全性更高或更低。

一些入口控制器，如Kong入口控制器或Tyk Operator，通过与API网关紧密集成，利用Kubernetes中的API网关功能。此外，三大云提供商提供云原生Kubernetes入口控制器，即AWS负载均衡器控制器、Azure中的应用网关入口控制器和GKE入口控制器。另一方面，入口控制器提供了企业用例所需的许多功能，如基于名称的服务虚拟主机、路径映射、代理、响应缓存，最重要的是，还提供了身份验证或TLS终止等安全功能。在成熟的设置中，入口控制器或API网关用于协调不同的微服务，它还将负责执行令牌交换。.

因此，也许这才是成功的真正标志——就像Linux一样，使用该技术的人比以往任何时候都多，但更易于使用、开发人员友好的抽象正在对它进行抽象。根据CNCF 2021的年度调查，96%的组织正在使用或评估Kubernetes，这是自CNCF自2016年开始年度调查以来的最高水平。作为一种更新，大型机在金融业无处不在，全球最大的100家银行中有96家，全球最大保险公司中有10家，美国25家最大零售商中有23家，财富500强公司中有71%使用大型机。一个可能的趋势是，Kubernetes是无服务器的中途停留。...

我们一直认为是时候让Kubernetes用在边缘了。我们相信，凭借正确的边缘架构，Kubernetes能够为每个行业的企业带来改变世界的新用例。但这个愿景有多真实？研究机构Dimension research为了了解Kubernetes用户，发布了《2022年Kubernetes生产状况报告》。去年的研究重点是清楚地了解正在使用的集群的大小和形状，以及组织是如何开始其Kubernetes之旅的，而今年，深入研究了不同的主题，包括边缘。报告对308名受访者进行了调查，他们代表着从从业者到高级管理人员的运营、开

现代的不可变Linux发行版，如Bottlerocket和Flatcar Container Linux，以及传统Linux发行版的最低版本，如Ubuntu、Red Hat或Alpine，可以用作容器的基础镜像。通过检查容器的文件系统和元数据，然后将收集的数据与来自各种可信来源（如国家漏洞数据库或私人情报来源）的漏洞信息进行比较，容器镜像扫描有助于确定镜像中是否存在漏洞组件。确保镜像扫描工具扫描容器镜像中的所有操作系统包，并且了解应用程序使用的语言，以便能够扫描应用程序依赖关系。...

该公司表示，73%的浏览器和超过25%的网站使用HTTP/3协议在网上交换数据，HTTP/3对有损网络的用户尤其有益，例如那些连接到手机、物联网设备或服务于新兴市场的应用程序的用户。在一篇博客文章中，Bryant写道“值得一提的是，互联网上的平均数据包丢失率为2%，投资于应用程序的HTTP/3支持可以提供前瞻性的能力，以处理网络中任何增加的地理特定降级。Bryan还表示，由于支持HTTP/3，网络质量因此“低且有损”，Ambassador是第一个支持该协议的边缘网关，重点关注延迟和有损网络。...

由于Gatekeeper是在集群级别执行其工作的，可以在部署之前的过渡阶段完成，也可以直接在生产中完成，因此它可以用作右移测试策略的一部分。开源软件Datree提供了一个CLI工具，可以发现Kubernetes的错误配置，可以直接在开发人员的笔记本电脑上执行，或者作为CI/CD管道的一部分，也可以作为左移测试策略的一部分。由于其声明性，Kubernetes是一个很好的工具，可以在其中实现左移策略。请记住，在团队起立时提出这个主题，庆祝成功，并讨论测试挑战，以确保左移测试成为应用程序生命周期中顺利的一部分。.

然后，数据保护解决方案可以采取不同的备份操作它可以调用Kubernetes容器存储接口（CSI），拍摄快照，写入与S3兼容的存储桶，或者采取各种不同的方法，这些方法或多或少适合你的应用程序。因此，如果你依赖多个云提供商，拥有一个混合环境或打算在未来扩展到多个环境，那么用它们可能会很麻烦，需要团队在管理和配置上花费额外的时间，并降低自动化能力。最重要的是，他们可以使用Kubernetes作为抽象层，允许他们以几乎相同的方式工作，并使用几乎相同的技能集，而不管他们的云提供商、部署方法或底层基础设施如何。...

容器提供了一种方法，可以将应用程序封装到它自己的独立包中，其中包含成功运行所需的一切，例如库和运行时。显然，你可以在单个主机上运行容器，使用Ansible或Chef之类的工具进行部署，但这种方法越来越少见。因为实际上，大规模运行容器的关键是编排。至少，编排器使你能够放置容器，在主机发生故障时迁移容器，并提供其他服务，如配置管理、网络配置和存储。Kubernetes（K8s）显然是大众市场的领导者和自然而然的默认选择，但部署、操作和故障排除需要大量时间和深入了解。鉴于其复杂性，仔细考虑它是否适合你的组织。另一

随着Kubernetes作为许多组织的IT战略选择继续受到欢迎，组织面临着越来越复杂的问题，以满足客户需求、多样化的应用程序和扩展合规性要求。随着这些组织增加其Kubernetes集群数量以满足需求，他们面临着管理这种增长的挑战。随着集群分布在内部、云和边缘位置，以及不同的配置和工具，你可以看到组织在控制混乱的同时考虑扩展。在本文中，我们将讨论一些关键方法，以管理日益复杂的Kubernetes集群，充分利用它们，并推动其IT组织以获得持续成功。关键1：拥抱混合和多云随着越来越多的公司接受远程工作，混合云和多

使用Kubernetes进行应用程序现代化的最大好处之一是，它能够跨集群中的多个节点进行操作，从而提供灵活性和可扩展性。这样做可以使应用程序跨集群甚至云环境分布。虽然Kubernetes这一功能的好处远远超过了挑战，但它确实在跟踪应用程序和基础设施的整体健康状况方面造成了重大障碍。在本文中，我们讨论了一些当今的最佳实践及其相应的解决方案，用于监控Kubernetes，以确保获得最大效率。什么是Kubernetes监控？首先，让我们从快速定义Kubernetes监控开始。在这种情况下，Kubernetes监控

在数据保护方面，Kubernetes 是最容易被误解的新技术之一。有几件事导致了这种混乱，包括：——Kubernetes作为用于无状态应用程序的解决方案的传统。——使用基础设施作为存储库中的代码自动部署应用程序甚至整个集群的趋势。——云中的组织责任线模糊。——Kubernetes 倾向于由没有传统 IT 运维背景的开发或 DevOps 团队管理。相同也不同在许多方面，备份 Kubernetes 的要求与其他关键 IT 基础设施的要求相同，但在一些方面却大不相同。对于传统的服务器基础设施，通常假设运行生产应用

这种情况一次又一次地发生。一个组织着手采用云原生技术并实现Kubernetes。然后事情开始变得有趣。集群成倍增加。变化激增。访问需求不断增加。云成本飙升。Kubernetes运营平台Rafay的首席执行官兼联合创始人Budhani表示：“无论是与高科技公司、金融服务公司、医疗保健公司还是运行边缘应用程序的零售商交流，问题都是一样的。”“如何管理对集群的访问？将在所有环境中使用的策略模型是什么？生产集群的标准蓝图中必须始终包含哪些附加组件？部署属于多个业务部门的应用程序的策略是什么？必须很快升级所有集群，因

当大多数开发人员和管理员考虑部署、管理和使用Docker容器时，他们首先考虑的是命令行。毕竟，Docker最初是作为命令行工具创建的，通过CLI（命令行界面）使用Docker没有什么不能做的。Docker CLI快速、灵活，可在任何支持Docker运行时引擎的计算机上使用。而且考虑到有不少人使用来自第三方云主机的容器，而这些主机通常不为容器环境提供GUI工具，用命令行管理部署非常有意义。但并不是每个管理员、开发人员和用户都喜欢命令行。当然，当第一次学习Docker的详细信息时，你当然应该从命令行开始。毕竟，

“编排”一词在IT行业来说相对较新，也容易让人感到困惑。当笔者向别人描述编排时，容易误会成只是在描述自动化。一个简单的说法是，编排只是自动化的一种形式。为了了解如何从编排中获益，了解它具体自动化了什么是有帮助的。理解容器容器是文件系统的镜像，只包含运行特定任务所需的内容。大多数人都不会从头开始构建容器，从公共容器中心提取现有镜像更为常见。容器引擎是运行容器的应用程序。当一个容器运行时，它是通过一个称为cgroup的内核机制启动的，该机制将容器内的进程与容器外运行的进程分开。运行容器你可以使用Podman、D

管理运行容器的云虚拟机（VM）、运行数据密集型工作负载、扩展服务以应对流量激增，但这样做不会增加组织的云开支。Kubernetes（K8s）一开始看起来很简单，但它带来了挑战，随着进一步应用，复杂性也随之增加。云原生生态系统中充满了各种工具，旨在让开发人员、数据科学家和运维工程师更容易应对这些挑战。自动化越来越成为帮助团队及其公司更快、更安全、更高效地工作的秘密。在KubeCon+CloudNativeCon EU录制的视频（https://youtu.be/cedfN_8iBQs）中，介绍了自动化帮助简化

随着开发人员和应用程序团队选择容器和Kubernetes作为构建、部署、运行和扩展应用程序的首选技术，越来越多的数据应用程序每天都会登陆Kubernetes。越来越多的独立软件供应商（ISV）将其应用程序打包成容器分发到Kubernetes上运行，在所有垂直行业中大量使用这些应用程序。许多这样的应用程序都是业务关键型的，其中断可能会导致严重的收入、生产率和声誉损失。当企业意识到保护其Kubernetes应用程序的业务需求时，他们转而使用市场上可用的开源或商业解决方案。保护Kubernetes应用程序通常需要

此外，她指出了新平台，如WASM Cloud和Spin允许用户使用WASM运行生产工作负载，以及Krustlet technology允许用户并排运行WASM和OCI容器。

Envoy Proxy项目正在扩展，目的是为Kubernetes本身建立一套标准化、简化的API。在KubeCon+CloudNativeCon EU上，该开源项目透露，正在开发一个扩展，即Envoy Gateway，它将使Envoy反向代理成为一个网络网关，使其不仅可以引导内部微服务流量，还可以管理进入网络的外部流量。Kubernetes是最初的目标。Envoy Gateway背后的想法是提供“一个简化的部署模型和API层，以满足更轻的用例”，Envoy创建者MatKlein在一篇博客文章

随着开发人员和应用程序团队选择容器和Kubernetes作为构建、部署、运行和扩展应用程序的首选技术，越来越多的数据应用程序每天都会登陆Kubernetes。越来越多的独立软件供应商（ISV）将其应用程序打包成容器分发到Kubernetes上运行，在所有垂直行业中大量使用这些应用程序。许多这样的应用程序都是业务关键型的，其中断可能会导致严重的收入、生产率和声誉损失。当企业意识到保护其Kubernetes应用程序的业务需求时，他们转而使用市场上可用的开源或商业解决方案。保护Kubernetes应用程序

Kubernetes完全改变了应用程序的交付和运行方式。今天，我们以无法想象的方式更快地构建、不断发布代码并管理巨大的工作负载。但是，随着越来越多的组织采用并接受这种新的工作方式，高度复杂的云计算原生环境正在快速发展，很难跟上。Kubernetes是帮助提高应用程序部署速度和可靠性的关键转变之一。然而，很少有人关注Kubernetes清单。这些YAML文件描述了你要创建的对象的资源（从服务到部署和pod等），以及它们应该如何在集群中运行。即使如此，事情也不简单。不断增长的云原生生态系

Kubernetes容器编排引擎的最新版本，绰号为“Stargazer”，旨在更好地支持数据库、微服务和其他新兴用例，同时摆脱此前阻碍K8s核心开发人员生产力的失误。据管理该开源项目的CNCF称，总的来说，这个版本有46个“增强”。15项增强功能已升级到稳定状态，这意味着它们已准备好投入生产使用，15项增强功能正在升级到beta，13项增强功能已进入alpha状态。首先，从老版本走出去。那些仍在使用Docker运行时引擎的人必须找到替代品或商业解决方案，才能将其用于Kubernete

笔者在此介绍一个名为Datree的工具，目的是防止Kubernetes的错误配置进入生产。理想情况下，它有助于增强协作，并在组织中培养DevOps文化。常见的情况以下场景展示了许多科技公司面临的一个问题：星期五凌晨3点46分，Bob的手机有15个未接来电。Bob忘了在部署中添加内存限制，这导致其中一个容器中出现内存泄漏，并导致所有Kubernetes节点内存不足。他对此感到非常尴尬——DevOps团队投入了大量精力来教育像他这样的开发人员Kubernetes和内存限制的重要性

如果你刚刚开始使用Kubernetes，你可能已经发现为应用程序创建完整的堆栈清单是多么具有挑战性。你花时间熟悉应用程序和服务的部署方式，这会变得容易得多，但即便如此，编写完整的清单也可能是一项艰巨的任务。这就是Helm发挥作用的地方。Helm是Kubernetes的包管理器和应用程序管理工具，使部署应用程序和服务变得相当容易。可以把Helm想象成Kubernetes式的apt或dnf。使用此应用程序，你可以更轻松地将预构建的应用程序部署（甚至自定义）到Kubernetes集群。He

在深入研究Kubernetes资源之前，让我们先澄清一下“资源”一词在这里指的是什么。我们在Kubernetes集群中创建的任何东西都被视为一种资源：部署、pod、服务等。在本文中，我们将重点介绍CPU和内存等主要资源，以及暂态存储和扩展资源等其他资源类型。集群管理的一个方面是将这些资源自动分配给在pod中运行的容器，这样，理想情况下，每个容器都有它所需的资源（但没有更多）。在本文中，我们将重点介绍集群上运行的容器的逻辑资源。我们将分析开发人员每天使用的四种常见Kubernetes资源：CP