k8spod安全策略，k8s安全认证

什么是k8s?

1、k8s（Kubernetes）是一种编排容器的工具。具体来说：全生命周期管理：k8s能够管理应用从创建到销毁的整个生命周期。自动化部署：它可以实现应用的自动化部署，减少人工操作的复杂度。服务提供与容量调整：k8s能够根据需求自动调整服务数量和容量，确保应用的稳定运行。

2、k8s是一个编排容器的工具，也是管理应用全生命周期的工具。以下是关于k8s的详细解释：容器编排：k8s能够自动化地部署、扩展和管理容器化应用程序。它提供了容器之间的通信、负载均衡以及存储挂载等功能。应用全生命周期管理：从应用的创建、部署、提供服务，到扩容缩容、更新，k8s都能提供便捷的管理方式。

3、起源与设计：K8s由google在2014年开源，其设计灵感源于希腊语，寓意“舵手”或“飞行员”。它融合了社区最佳实践和Google在大规模运行生产工作负载的经验。核心功能：容器编排和管理：K8s允许开发者将应用程序打包为轻量、可移植的容器，并在集群中部署、运行和管理这些容器。

4、在云计算领域，OpenStack和kubernetes（简称k8s）都是用于管理云计算环境的开源平台，各自有着不同的特点和适用场景。那么OpenStack和Kubernetes有什么区别，一起来看看吧。OpenStack是一个开源的云计算管理平台，提供了丰富的API接口，帮助用户管理和控制大量虚拟资源，包括计算、存储和网络等。

5、K8s是一个容器编排和管理工具。其主要特点和作用可以概括为以下几点：简化部署：K8s旨在简化容器化应用的部署过程，通过自动化的方式，使得应用的部署更加高效和便捷。扩展与管理：它提供了强大的扩展和管理功能，可以根据实际需求动态调整容器的数量和资源，确保应用的稳定运行。

6、k8s支持无损更新，即在更新过程中无需停止服务。即使更新过程中出现问题，也不至于导致整个服务的中断，从而节省了大量的人力和时间成本。总的来说，k8s凭借其高效、稳定和灵活的特性，已经成为现代应用部署和管理的首选工具，对于企业的运维和开发团队来说，无疑是一个极其实用且不可或缺的伙伴。

K8s中Pod生命周期和重启策略

K8s中pod生命周期包括五种状态，重启策略有三种。POD生命周期状态： Pending：API Server已创建Pod，但容器镜像尚未运行。 Running：Pod中的所有容器都在运行中或正在启动中。 Succeeded：Pod中的所有容器已成功退出，并且不会重启。 Failed：Pod中的所有容器都已退出，且至少有一个容器是异常退出的。

POD的生命周期与重启策略是K8s中的关键概念，理解它们对于确保应用程序稳定运行至关重要。

Always策略：无论正常或非正常停止，容器均会重启。例如，正常关闭Tomcat服务后，Pod状态恢复正常，而非正常关闭时，容器会重启。Never策略：正常或非正常停止，容器都不会重启。停止Tomcat后，正常情况下容器状态保持，非正常时显示Error状态。

在Pod层面配置共享Volume，允许所有容器访问，保留持久数据，即使容器重启。容器间共享IP与端口空间，通过localhost相互发现。多容器Pod示例展示了共处容器与资源的打包管理，以及容器间通信与协调。Pod中设置重启策略，如Always，降低应用中断时间，适用于所有容器。

容器在其生命周期内也有waiting、Running和Terminated等状态，以及针对不同状态的具体原因（Reason）描述。例如，容器状态为Terminated且原因CrashLoopBackoff，表示容器由于某种异常退出后，系统试图重启容器。

K8S进阶—etcD相关&K8S调度

1、关于ETCD相关和K8S调度的进阶知识，可以归纳如下：ETCD相关：ETCD集群操作：使用etcdctl工具可以方便地在宿主机上操作etcd集群，如查看成员节点。etcd集群的状态查看和操作包括设置、查看、listwatch、定时快照及快照恢复等。快照恢复和集群恢复是etcd操作中的关键步骤，确保数据一致性。

2、kubulet启动时并非pod方式，其配置文件存于/var/lib/lubectl/config.yaml，静态pod配置在/等/kubernetes/manifests路径下，自定义yaml文件放于此可使kubelet拉起。etcdctl工具可方便宿主机操作etcd集群，查看成员节点使用etcdctl命令。查看etcd集群状态，操作包括设置、查看、list-watch、定时快照及快照恢复。

3、K8S核心组件etcd详解：etcdctl命令的便捷使用：版本确认：Kubernetes 6 及以后版本默认使用 etcd v3 版本，v2 和 v3 版本不兼容，需确认使用的 etcd 版本。命令简化：使用 etcdctl 命令时，需通过证书认证并指定 etcd 节点的 IP 和端口，操作繁琐。可通过定义变量存储相关参数，简化命令执行。

4、Kubernetes入门进阶教程概览：核心组件：kubectl：与Kubernetes集群交互的客户端工具。kubeapiserver：提供API服务，管理集群资源和认证。kubecontrollermanager：负责集群资源的自动管理和配置。kubescheduler：动态调度Pod以优化资源分配。etcd：分布式存储系统，用于服务发现和配置共享。

5、在Kubernetes （K8s） 系统中，etcd 起到了核心存储的作用，用于保存所有对象的 manifest，确保在 API server 重启或失败时，这些数据不会丢失。etcd 的优势在于它是一个响应快速、分布式且一致的键值存储，是存储集群状态和元数据的唯一地方。

k8s之Pod安全策略

开启PodSecurityPolicy准入控制器，集群默认不允许创建任何Pod，需创建PodSecurityPolicy和RBAC授权策略。修改kube-apiserver配置文件以开启此功能。创建PodSecurityPolicy时，可设定不支持特权模式等条件，如需创建特权模式Pod，创建时将提示错误。配置正确后，Pod可成功创建。

Pod 的 dns 策略包括以下几种：需要注意的是，这里有一个容易误解的地方：乍看之下，很多人可能会认为 Default 是默认选项。但事实上，Default 并非默认值！默认值实际上是 ClusterFirst。也就是说，如果没有明确指定 DNSPolicy，系统将自动使用 ClusterFirst。

Never策略：正常或非正常停止，容器都不会重启。停止Tomcat后，正常情况下容器状态保持，非正常时显示Error状态。OnFailure策略：正常关闭无影响，非正常关闭（退出码非0）时，容器会重启。关闭Tomcat时，正常情况不重启，非正常情况会根据退出码进行重启。

重启策略决定了容器在失效后的处理方式。Always策略自动重启容器，OnFailure在容器退出状态码非0时触发重启，Never则始终不重启。在实践部署时，发现Always策略为K8s的默认设置，适用于大多数场景，如RC、DaemonSet等。而Job通常会使用Onfailure或Never策略。Kubelet在POD失效时自动重启，无论重启策略如何设置。

通过指定镜像和标签，避免使用默认的 latest 标签，可以确保在pod中使用的容器镜像是固定的，从而提高安全性。在安全加固过程中，还需要关注资源限制，确保单个容器不能使用节点上的所有资源，避免影响集群中其他容器的性能。

10大K8s应用安全加固技术

此外，通过限制容器权限、设置read only root file system、禁止特权提升、使用Seccomp过滤器等安全措施，可以进一步增强应用安全性。设置readOnlyRootFilesystem标志使容器的根文件系统成为只读，可以避免攻击者在容器中安装工具。

加密 K8s secrets 的方案主要包括以下几种：在部署前加密机密：在将代码推送到 git 仓库之前，开发人员可以对应用程序使用的敏感信息进行加密。可以使用 Bitnami Sealed Secrets 或 KSOPS/Mozilla SOPs 来加密 Secrets，并将它们加密到 SealedSecret 中，以确保在公共存储库中的安全性。

K8s平板电脑采用的加密技术，保证了数据在传输和存储过程中的安全。它支持多种加密协议，如SSL、TLS等，确保数据在互联网上的传输安全无虞。此外，它还具备数据隔离功能，将商业数据与个人数据隔离开，避免了信息泄露的风险。在权限管理方面，K8s平板电脑为用户提供精细化的控制。

自愈和自恢复：K8s具备自动修复和恢复能力，在故障或异常时能够自动进行修复和恢复。通过健康检查、重启策略和故障转移机制，减少人工干预依赖，提高系统的稳定性和可靠性。密钥与配置管理：K8s提供安全存储和管理敏感信息的机制，如密码、OAuth令牌和SSH密钥等。

这时，Google Kubernetes Engine（GKE）作为K8s的代管服务，提供了便捷的解决方案。GKE整合了Google Compute Engine，自动创建和管理node，简化了硬件和软件的安装。它还内置了GCP服务，如网络防护和日志监控，提升了安全性与管理效率。