顾静, 阿里云 邓隽, 阿里云 Kubernetes 异常配置检测框架 我们来自阿里云容器服务 • 顾静，研发工程师 • 邓隽，技术专家 我们参与打造 • 容器服务（ACK/ASK） • 容器镜像服务（ACR） • 服务网格（ASM） • … 1 Kubernetes 典型异常 2 检测框架演进 3 生产实践 4 总结 Kubernetes 使用日常 • 应用部署 • API Server Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 在集群中运行 CIS Benchmark 检测项依赖于 CIS Benchmark 内容 能发现集群核心组件配置错误 无法发现如 Flannel 组件异常 增加检查项流程较复杂 kuberhealthy 在集群中运行 CronJob 实现检查 可以自定义检查项 无法检测集群核心组件配置 集群异常时无法进行检测 kube-hunter 适用于集群安全检测 仅能检测集群安全性 kubectl-trace

A. 准备主机/虚拟机 安装 k8s 集群需要至少 4 台主机/虚拟机，下面是参考配置： 1 台作为 k8s master CPU：2 核, 内存：8GB, 系统盘：40GB, docker 数据盘：80GB 3 台作为 k8s node CPU：2 核, 内存：16GB, 系统盘：40GB, docker 数据盘：40GB, ceph 数据盘：1TB *下面是 vSphere 上创建虚拟机的步骤： A1. 创建 k8s-master CPU：2 核, 内存：8GB，系统盘：40GB，docker 数据盘：80GB step1. 从模板上新建虚拟机 Step2. 配置虚拟机网络 打开虚拟机的控制台： 设置主机名： hostnamectl set-hostname k8s-master 设置网络： cd /etc/sysconfig/network-scripts centos lvdisplay mkfs.xfs -n ftype=1 /dev/mapper/centos-docker mkdir -p /var/lib/docker mount /dev/mapper/centos-docker /var/lib/docker echo "/dev/mapper/centos-docker /var/lib/docker xfs defaults

守护态运行 终止 进入容器 导出和导入 删除 访问仓库 Docker Hub 私有仓库 私有仓库高级配置 数据管理 数据卷 监听主机目录 使用网络 外部访问容器 容器互联 配置 DNS 高级网络配置 快速配置指南 容器访问控制 端口映射实现 配置 docker0 网桥 3 1.12.5 1.12.6 1.12.7 1.12.8 1.13 1.13 16.5 1.16.6 1.17 1.17.1 1.17.2 1.17.3 1.17.4 1.17.5 1.17.6 1.18 1.18.1 自定义网桥 工具和示例 编辑网络配置文件 实例：创建一个点到点连接 Docker 三剑客之 Compose 项目 简介 安装与卸载 使用 命令说明 Compose 模板文件 实战 Django 实战 Rails 实战 项目 安装 使用 Docker 三剑客之 Docker Swarm Swarm mode 基本概念 创建 Swarm 集群 部署服务 使用 compose 文件 管理敏感数据 管理配置信息 安全 内核命名空间 控制组 服务端防护 内核能力机制 其它安全特性 总结 底层实现 基本架构 4 1.18.2 1.18.3 1.18.4 1.18.5 1.18

OpenShift Container Platform 4.4 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2021-03-11 OpenShift Container Platform 4.4 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright © OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. 集群使用的组件支持 FIPS 2.3. 在 FIPS 模式下安装集群 第 第 3 章 章 安装配置 安装配置 3.1. 不同平台的安装方法 3.2. 自定义节点 3.3. 创建用于在受限网络中安装的镜像 REGISTRY 3.4. 可用的集群自定义 3.5. 配置防火墙 3.6. 配置私有集群 3 3 4 5 6 6 6 7 8 8 8 20 28 30 33 目 目录

OpenShift Container Platform 4.8 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2023-06-05 OpenShift Container Platform 4.8 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright © OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 支持的用于不同平台的安装方法 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 3.1. 先决条件 3.2. 关于镜像 REGISTRY 3.3. 准备您的镜像主机 3.4. 配置允许对容器镜像进行镜像的凭证 3.5. RED HAT OPENSHIFT 的镜像(MIRROR)REGISTRY 3.6. 为 RED HAT OPENSHIFT 升级镜像 REGISTRY 3

OpenShift Container Platform 4.14 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2024-02-23 OpenShift Container Platform 4.14 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. 在 ALIBABA CLOUD 上安装集群到现有的 VPC 中 5.7. ALIBABA CLOUD 的安装配置参数 5.8. 在 ALIBABA CLOUD 上卸载集群 第 第 6 章 章 在 在 AWS 上安装 上安装 6.1. 准备在 AWS 上安装 6.2. 配置 AWS 帐户 6.3. 在 AWS 上快速安装集群 6.4. 使用自定义在 AWS 上安装集群 6.5. 使用自定义网络在

OpenShift Container Platform 4.10 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2023-10-20 OpenShift Container Platform 4.10 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CLOUD 上安装集群到现有的 VPC 中 4.7. 在 ALIBABA CLOUD 上卸载集群 第 第 5 章 章 在 在 AWS 上安装 上安装 5.1. 准备在 AWS 上安装 5.2. 配置 AWS 帐户 5.3. 为 AWS 手动创建 IAM 5.4. 在 AWS 上快速安装集群 5.5. 使用自定义在 AWS 上安装集群 5.6. 使用自定义网络在 AWS 上安装集群 5.7. 在受限网络中的

OpenShift Container Platform 4.13 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2024-02-20 OpenShift Container Platform 4.13 安装 安装并配置 OpenShift Container Platform 集群 法律通告 法律通告 Copyright OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CLOUD 上安装集群到现有的 VPC 中 5.7. 在 ALIBABA CLOUD 上卸载集群 第 第 6 章 章 在 在 AWS 上安装 上安装 6.1. 准备在 AWS 上安装 6.2. 配置 AWS 帐户 6.3. 为 AWS 手动创建 IAM 6.4. 在 AWS 上快速安装集群 6.5. 使用自定义在 AWS 上安装集群 6.6. 使用自定义网络在 AWS 上安装集群 6.7

OpenShift Container Platform 4.7 安装 安装并配置 OpenShift Container Platform 集群 Last Updated: 2023-03-24 OpenShift Container Platform 4.7 安装 安装并配置 OpenShift Container Platform 集群 Enter your first name OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关安装和配置 OpenShift Container Platform 的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Linux 上安装 OpenShift CLI 3.3.1.2. 在 Windows 上安装 OpenShift CLI 3.3.1.3. 在 macOS 上安装 OpenShift CLI 3.4. 配置允许对容器镜像进行镜像的凭证 3.5. RED HAT OPENSHIFT 的镜像(MIRROR)REGISTRY 3.5.1. Red Hat OpenShift 简介的镜像(mirror)registry

DBMS_SCHEDULER 框架异步调用外部shell 脚本，然后由这个shell脚本提交一个Hadoop Map-Reduce 作业。该表函数与映射器 (mapper) 之 间使用 Oracle 高级队列特性进行通信。Hadoop mapper 将数据排入一个公共队列，而表函数则 从该队列中取出数据。由于该表函数能够并行运行，因此使用额外的逻辑来确保仅有一个服 务进程提交外部作业。 3 中存储的数据的一个模板实现。显然可能存在其他的甚至可能更好的实现。 下图是图 2 中原始示意图在技术上更准确、更具体的展示，解释了我们要在何处、如何使用 后文给出的部分实际代码： 图 3. 启动 Mapper 作业并检索数据 第 1 步是确定由谁作为查询协调器。对此我们采用一种将具有相同键值的记录写入表的简单 机制。首个插入胜出，作为此进程的查询协调器 (QC)。请注意，QC 表函数调用同时也承担 bash 脚本。这个 bash 脚本就是图 3 中的启动程 序 (launcher)，它在 Hadoop 集群上启动 mapper 进程（第 3 步）。 5 Oracle 白皮书 — 通过 Oracle 并行处理集成 Hadoop 数据 mapper 进程处理数据，并在第 5 步写入一个队列。在本文的示例中，我们选择了一个在集群 范围内可用的队列。现在，我们