................... 5 2.2. 操作说明 .................................................. 5 3. 镜像库凭证配置 .................................................................................................. 应用搜索查询 ............................................. 22 6.3. UI 查看应用配置 .......................................... 24 6.4. 应用配置更新 ............................................. 25 6.5. 添加附加容器（Sidecar） .......................... 25 第 3 页 共 35 页 6.6. 查看应用 yaml 配置文件 .................................... 27 6.7. 应用配置导出 ............................................. 28 6.8. 应用容器日志查询

十二因素应用（Twelve-factor App） 基准代码 依赖 配置 后端服务 构建、发布、运行 进程 端口绑定 并发 易处理 开发环境与线上环境等价 日志 管理进程 © Copyright 2020 Rancher Labs. All Rights Reserved. Confidential 应用容器化一般流程 分析解耦 基础镜像 配置管理 制作镜像 应用编排 运行测试 • 组成模块分析 应用分析解耦 ✓ 应用开发语言或平台及对应版本 ✓ 应用技术架构、运行环境及组件依赖 ✓ 应用运行包大小、一般启动时长、是否有启停脚本 ✓ 应用当前软硬件监控、调用链监控、日志分析方案 ✓ 应用当前配置管理方式、是否有健康检查接口 ✓ 应用是否实现状态数据外部化管理（如Session会话） ✓ 系统部署架构及当前生产高可用方案 ✓ 系统目前日常及特殊高峰期资源使用情况（CPU、内存等） ✓ All Rights Reserved. Confidential 通过ConfigMap管理可变应用配置 一般应用普遍会有从配置文件、命令行参数或者环境变量中读取一些配置信息的需求，Kubernetes提供了 ConfigMap资源对象来实现配置管理，可以通过以下几种方式来使用ConfigMap配置Pod中的容器： • 容器 entrypoint 的命令行参数 • 容器的环境变量 • 在只读卷里面添加一个文件，应用读取

自动化测试 性能测试 安全 部署 Jmeter Xray Ansible 测试平台 分 析 与 度 量 基础设施 开发环境 SIT环境 UAT环境 生产环境 战略目标 效率 质量 成本 安全 配置管理 落地实践 持续集成 内建质量 部署与发布管理 度量与反馈 工具平台建设-流水线过程 工具平台建设-综合门户 Jira Confluence Jenkins 测试平台 Maven Junit 代码管理 制品库 交付流水线 需求管理 版本管理 环境管理 ... ... ⚫ 流水线可视化配置； ⚫ 从系统维度对各个服务的流水线进行集成和串联； ⚫ 对流水线集成的工具统一管理配置，提供自助服务。 ⚫ 从应用视角整合工具链功能，提供统一的入口和平 台。 工具平台建设-可视化流水线配置 ⚫ 通过可视化的方式简化定义每个系统、每 个服务自己流水线的过程，提供更加灵活 的流水线支持； 因为流水线功能分为了pipeline脚本，和 可视化方式配置两部分，通过可视化配置 的部分需要考虑留痕和版本回溯的问题。 工具平台建设-面向应用的交付流水线 SIT提测 部署SIT环境 部署UAT环境 工具平台建设-面向应用的交付流水线 转型背景 01 工具平台建设 02 试点项目实践 03 目录 CONTENTS 持续改进 04 试点项目实践-配置管理 全流程可追溯：当出现问题，能够追溯源代码、测试报告、运行环境等数据。

/bin/sh -c 'if test -e /etc/kubernetes/manifests/kube- apiserver.yaml; then stat -c permissions=%a /etc/kubernetes/ manifests/kube-apiserver.yaml; fi' 1.1.2 Ensure that the API server pod specification file /bin/sh -c 'if test -e /etc/kubernetes/manifests/kube- apiserver.yaml; then stat -c %U:%G /etc/kubernetes/manifests/ kube-apiserver.yaml; fi' CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4 -e /etc/kubernetes/manifests/kube- controller-manager.yaml; then stat -c permissions=%a /etc/ kubernetes/manifests/kube-controller-manager.yaml; fi' 1.1.4 Ensure that the controller manager pod specification

authentication. Then, edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml on the master node and remove the --basic-auth-file= parameter. Audit: CIS Benchmark authentication. Then, edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml on the master node and remove the --token-auth-file= parameter. Audit: /bin/ps -ef | Remediation: Edit the API server pod specification file /etc/kubernetes/ manifests/kube-apiserver.yaml on the master node and remove the --kubelet-https parameter. Audit: /bin/ps -ef | grep kube-apiserver

authentication. Then, edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml on the master node and remove the --basic-auth-file= parameter. Audit: CIS 1.5 Benchmark authentication. Then, edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml on the master node and remove the --token-auth-file= parameter. Audit: /bin/ps -ef | Remediation: Edit the API server pod specification file /etc/kubernetes/ manifests/kube-apiserver.yaml on the master node and remove the --kubelet-https parameter. Audit: /bin/ps -ef | grep kube-apiserver

that you will use in this example procedure is k8s/single-cluster/ single_cluster_deployer_example.yaml. The procedure assumes that you've placed this manifest into a manifests directory. To install CN2 Apply the Contrail deployer manifest. kubectl apply -f manifests/single_cluster_deployer_example.yaml It may take a few minutes for the nodes and pods to come up. 3. Use standard kubectl commands to that you will use in this example procedure is k8s/single-cluster/ single_cluster_deployer_example.yaml. The procedure assumes that you've placed this manifest into a manifests directory. To install CN2

Audit On the control plane hosts for the Rancher HA cluster run: stat /etc/kubernetes/encryption.yaml Ensure that: The file is present The file mode is 0600 The file owner is root:root The file /etc/kubernetes/encryption.yaml Set the file ownership to root:root and the permissions to 0600 chown root:root /etc/kubernetes/encryption.yaml chmod 0600 /etc/kubernetes/encryption.yaml Set the contents Rancher_Hardening_Guide.md 11/30/2018 5 / 24 Audit On each control plane node, run: stat /etc/kubernetes/audit.yaml Ensure that: The file is present The file mode is 0600 The file owner is root:root The file

vider-config=.*").string' Returned Value: encryption-provider-config=/etc/kubernetes/encryption.yaml Result: Pass 1.1.35 - Ensure that the encryption provider is set to aescbc (Scored) Notes Only the first provider in the list is active. Audit grep -A 1 providers: /etc/kubernetes/encryption.yaml | grep aescbc Returned Value: - aescbc: Result: Pass 1.1.36 - Ensure that the admission control option and configuring details in the following files: /etc/kubernetes/admission.yaml /etc/kubernetes/event.yaml See Host Configuration for details. Audit (Admissions plugin) docker inspect kube-apiserver

Network CIDR [10.42.0.0/16]: [+] Cluster DNS Service IP [10.43.0.10]: [+] Add addon manifest URLs or YAML files [no]: $ Installation of the SUSE Rancher Kubernetes cluster 18 kubectl apply -f https://github.com/jetstack/cert- manager/releases/download/v1.2.0/cert-manager.crds.yaml 4. Run the following command to add the Jetstack repo to helm. Jetstack cert- manager helps with (rancher- values.yaml) for SUSE Rancher server, specifying the hostname and other details. In the following example, ranchersles15sp2 is the hostname: $ cat << EOF > rancher-values.yaml hostname: ranchersles15sp2