OpenShift系列(十六) 安全上下文约束(SCC)
本文介绍了红帽 OpenShift 中的安全上下文约束(SCC)功能,包括其作用、如何列出和查询 SCC 属性,以及通过案例展示如何为应用授予 SCC 特权并解决权限问题。
OpenShift系列(十五) Kubernetes Operator概念
本文介绍了Operator的概念、用途、核心概念、分类以及与普通YAML安装方式的对比。Operator是一种运行在Kubernetes上的“智能机器人”,通过扩展Kubernetes的API实现应用的自动化管理,包括安装、升级、备份、恢复等复杂任务。它还具备保证一致性、自愈能力和扩展功能等优势,适用于复杂应用场景,能显著提高管理效率和应用稳定性。
OpenShift系列(十四) Project项目模板与权限置备
本文介绍了 Kubernetes Namespace 的权限管理、资源隔离、多租户管理、资源配额、网络隔离和安全策略等方面的挑战,以及 OpenShift Project 在权限管理、资源配额、多租户支持等方面的优势。同时,还探讨了 Kubernetes 多租户环境下的资源分配、数据安全和性能稳定性问题
OpenShift系列(十三) LimitRange实现资源公平分配
本文介绍了 Kubernetes 的 LimitRange,它能为命名空间中的资源使用设定限制,防止资源滥用,还能为 Pod 提供默认的资源请求和限制。通过具体案例,展示了 LimitRange 的创建、应用以及对 Pod 资源限制的影响,强调了其在资源管理中的重要作用。
OpenShift系列(十二) Pod与Namespace的资源配额
本文介绍了 Kubernetes 资源配额管理的关键机制,涵盖 Pod 级别、项目级别和集群级别的资源限制。通过为 Pod 设置资源请求和限制,可以有效控制单个容器的资源使用。项目级别的资源限额则通过 ResourceQuota 限制命名空间内的资源总量,防止资源过度占用。集群级别的资源配额则通过选择器对多个命名空间的资源进行统一管理,确保整个集群的资源分配更加合理和可控。
OpenShift系列(十一) Multus CNI插件的应用
本文介绍了 Kubernetes 管理容器集网络和服务网络的方式,以及 Multus CNI 插件如何帮助将容器集附加到自定义网络。通过将容器集连接到专用网络,可以提高特定流量的性能,同时满足不同的安全属性需求。
OpenShift系列(十) 服务类型详解与负载均衡实践
本文介绍了 Kubernetes 中的多种服务类型及其应用场景。详细阐述了 ClusterIP 类型服务用于集群内部通信,保障内部安全隐私;NodePort 和 LoadBalancer 类型服务用于实现外部访问,其中 NodePort 配置相对简单但不够灵活,LoadBalancer 则更高级且需外部负载均衡器配合。
OpenShift系列(九) 基于OpenShift的零信任方案
本文介绍了零信任环境的概念及其在 Kubernetes 中的实现,重点探讨了 OpenShift 的 service-ca 控制器如何为内部流量生成并签名服务证书,确保通信安全。通过详细的操作步骤,展示了如何为服务创建 TLS 机密、配置 Nginx 服务以及验证零信任通信效果。同时,还介绍了客户端如何通过 CA 证书信任服务端证书,实现安全的 HTTPS 访问。这些内容为理解和部署零信任架构提供了实用的参考。
OpenShift系列(八) 揭密Pod互访与网络策略
本文介绍了 Kubernetes 网络策略的配置与应用,通过实验展示了不同项目中 Pod 的互访情况,验证了网络策略对 Pod 流量的有效管控,为 Kubernetes 环境下 Pod 通信的安全性提供了实践参考。
OpenShift系列(七) 外部应用的TLS保护方案
本文介绍了OpenShift容器平台如何通过多种方式将应用公开至外部网络,包括HTTP、HTTPS、TCP及其他非TCP流量的公开方法。重点阐述了三种TLS保护Route方案:边缘终止、直通和再加密,详细说明了它们的特点与适用场景。