1.三种不同场景下的 Kubernetes 服务调试方法
2.Rancher产品说明和Demo
3.什么是K8S？

三种不同场景下的 Kubernetes 服务调试方法

       在开发和调试 Kubernetes 生产环境下的服务时，会遇到各种调试需求。本文将介绍三种不同场景下的解决方案和相应的工具。

       基本配置

       假设我们有三个服务：service-front 面向外部，通过服务暴露；service-front 后端是 service-middle，后者又依赖 service-back。学籍查询系统源码在哪通信通过 Kubernetes 服务进行。安装配置如下：

       源代码可在：github.com/erkanerol/se...

       工具1：kubectl port-forward

       场景：开发者希望在不影响其他服务的情况下，通过 service-back 直接发送请求并查看结果，但 service-back 不对外公开。

       解决方案：使用 kubectl 的 port-forward 功能创建本地到集群的隧道。

       步骤：

       在终端运行：kubectl port-forward service-back: localhost:

       在另一个终端中，尝试用 curl 访问 localhost: 来验证连接。

       工具2：kubefwd

       场景：开发者希望在本地 IDE 中设置断点调试 service-front，但 service-front 和依赖服务难以本地模拟。

       解决方案：kubefwd 可以批量端口转发并管理本地 DNS，简化配置。

       步骤：

       运行：kubefwd service-front:

       使用 sudo，配置 KUBECONFIG，运行本地 front 应用并设置断点。

       在集群中测试服务交互。

       工具3：telepresence

       场景：开发者需要在本地调试 service-middle，同时 service-middle 依赖 service-back，并且集群环境不易模拟。

       解决方案：telepresence 提供双向通道，支持本地服务与集群服务间的调试。

       步骤：

       删除集群中的 service-middle，运行 telepresence。爱客影视源码介绍

       本地运行 middle 应用并设置断点。

       通过集群临时 Pod 发送请求到 service-front。

       总结：

       对于不暴露服务的访问，kubectl port-forward 足够。

       本地调试时，kubefwd 管理 DNS，提供单向通道。

       需要双向通道和依赖服务调试时，使用 telepresence。

Rancher产品说明和Demo

       Rancher是一个为使用容器的公司打造的容器管理平台，它简化了使用Kubernetes的流程，使开发者能够“Run Kubernetes Everywhere”，满足IT需求规范，并赋能DevOps团队。随着Kubernetes在市场上的兴起，Rancher 2.x已经完全转向了Kubernetes。Rancher支持创建托管服务提供商的集群、自动创建节点并安装Kubernetes集群，或者导入已存在的Kubernetes集群。通过支持集群的身份验证和基于角色的访问控制（RBAC），Rancher使系统管理员能够从一个位置控制全部集群的访问。Rancher可以对集群及其资源进行详细的监控和在需要时发送告警，将容器日志发送给外部日志系统，并通过应用商店与Helm集成。如果您的外部CI/CD流水线系统已经存在，可以将其与Rancher对接，若没有，捕鱼源码美人鱼Rancher也提供了简单易用的流水线来帮助您自动部署和升级工作负载。Rancher还提供了多集群应用、全局DNS、服务网格、安全扫描、集群模板和基于OPA的策略管理等功能，使其成为一个全栈式的Kubernetes容器管理平台。

       Rancher的安装过程可参考文档“Rancher环境搭建.md”。在实际应用中，Rancher在IT管理团队和DevOps开发团队之间起到了关键作用。DevOps团队可以将他们的应用部署在他们选择的云上，无论是公有云还是私有云，而IT管理团队则负责管理用户、集群、多云之间的权限。

       Rancher API Server作为Rancher的核心组件，基于嵌入式Kubernetes API Server和ETCD数据库构建，提供了一系列关键功能，包括授权和角色权限控制、使用Kubernetes的功能、配置云端基础信息、查看集群信息、编辑下游集群等。

       在产品架构方面，Rancher Server由认证代理、Rancher API Server、集群控制器、资源网盘源码etcd节点和集群Agent组成。除了集群Agent，其他组件都部署在Rancher Server中。Rancher通过认证代理管理Kubernetes集群，支持在单个节点或高可用的Kubernetes集群上安装Rancher。为确保性能和安全性，建议在高可用的Kubernetes集群中部署Rancher Server，并将Rancher Server集群与运行业务的下游集群分开部署。

       与下游集群交互的流程包括：认证代理、集群控制器、集群Agent、节点Agent以及授权集群端点等组件的角色与功能。认证代理集成多种认证方式，如本地认证、活动目录认证和GitHub认证等，确保了请求的安全性。集群控制器和集群Agent负责信息的畅通，节点Agent则在集群Agent不可用时，通过创建通信管道实现与集群控制器的连接，完成与下游集群的通信。同时，Rancher提供了授权集群端点功能，以降低网络延迟，便于用户直接连接到集群。

       在运维场景中，了解相关重要文件如kubeconfig等对于问题排查和集群升级至关重要。在实际部署和使用Rancher时，jeecms 电商源码下载根据下游集群的类型（如通过云供应商自动创建节点、通过自定义主机部署、托管的Kubernetes集群或导入的Kubernetes集群）选择合适的启动工具。

       Rancher Server的组件和源代码详细信息可参考其官方文档或GitHub源代码仓库。在进行Rancher安装和配置时，可以遵循官方文档进行操作，以确保系统的稳定运行和高效管理。

什么是K8S？

       ‍

       k8s是什么?

       Kubernetes 是一个可移植的，可扩展的开源容器编排平台，用于管理容器化的工作负载和服务，方便了声明式配置和自动化。它拥有一个庞大且快速增长的生态系统。Kubernetes 的服务，支持和工具广泛可用。

       为什么现在流行使用容器?

       早期: 在物理服务器上面部署应用程序存在资源分配问题,因为其不能在物理服务器中的应用程序定义资源边界,导致应用程序资源利用不足而无法扩展.

       后来: 为了解决该问题,引入了虚拟化技术, 虚拟化技术是指允许你在单个物理服务器的 CPU 上运行多个虚拟机,可以让多个应用程序在虚拟机之间进行隔离,具有一定的安全性, 每一个虚拟机就是一台完整的计算机, 在虚拟化硬件之上运行所有组件.

       现在: 多数在物理服务器上面部署应用程序都是采kubectl用容器的方式,容器类似于虚拟机,它们都具有自己的文件系统、CPU、内存、进程空间等, 且由于它们与基础架构分离，因此可以跨云和 OS 发行版本进行移植。基于此特点被企业大范围使用.

       为什么需要使用k8s容器?

       若出现这样一个环境: 在生产环境中如果一个容器发生故障,则我们需要手动去启动另外一个容器,这样的操作是对我们的管理员来说是不太方便的, 若一个容器出现故障,另一个容器可以自动启动容器接管故障的容器,这样是最好的.

       k8s就可以实现该效果,Kubernetes 提供了一个可弹性运行分布式系统的框架。 Kubernetes 会满足你的扩展要求、故障转移、部署模式等。

       k8s功能: 服务发现和负载均衡, 存储编排, 自动部署和回滚, 自动完成装箱计算, 自我修复, 密钥与配置管理

       名词解释

       secret

       Secret有三种类型：

Service Account：用来访问Kubernetes API，由Kubernetes自动创建，并且会自动挂载到Pod的目录中；/run/secrets/kubernetes.io/serviceaccountOpaque：base编码格式的Secret，用来存储密码、密钥等；kubernetes.io/dockerconfigjson：用来存储私有docker registry的认证信息。

       k8s的组成

       k8s是由组件,API,对象等组成.

       包含所有相互关联组件的 Kubernetes 集群图如下:

       组件

控制平面组件kube-apiserver: 为k8s的api服务器,公开了所有Kubernetes API, 其他所有组件都必须通过它提供的API来操作资源数据.保证集群状态访问的安全隔离集群状态访问的方式和后端存储实现的方式：API Server是状态访问的方式，不会因为后端存储技术etcd的改变而改变。etcd: 为k8s的键值数据库,保存了k8s所有集群数据的后台数据库。kube-scheduler: 收集和分析当前Kubernetes集群中所有Node节点的资源(内存、CPU)负载情况，然后依此分发新建的Pod到Kubernetes集群中可用的节点。 kube-controller-manager: 在主节点上运行 控制器 的组件。cloud-controller-manager: 云控制器管理器是指嵌入特定云的控制逻辑的 控制平面组件Node 组件kubelet: 一个在集群中每个节点（node）上运行的代理。 它保证容器（containers）都 运行在 Pod 中。kube-proxy: kube-proxy是集群中每个节点上运行的网络代理,维护节点上的网络规则。这些网络规则允许从集群内部或外部的网络会话与 Pod 进行网络通信。容器运行时: 负责运行容器的软件。插件(Addons)DNS: 集群 DNS 是一个 DNS 服务器，和环境中的其他 DNS 服务器一起工作，它为 Kubernetes 服务提供 DNS 记录。Web 界面（仪表盘）: Dashboard 是Kubernetes 集群的通用的、基于 Web 的用户界面。容器资源监控: 容器资源监控 将关于容器的一些常见的时间序列度量值保存到一个集中的数据库中，并提供用于浏览这些数据的界面。集群层面日志: 集群层面日志 机制负责将容器的日志数据 保存到一个集中的日志存储中，该存储能够提供搜索和浏览接口。

       API

       Kubernetes 控制面 的核心是 API 服务器。 API 服务器负责提供 HTTP API，以供用户、集群中的不同部分和集群外部组件相互通信。

       对象

       Kubernetes对象是Kubernetes系统中的持久实体。Kubernetes使用这些实体来表示集群的状态.

       具体来说，他们可以描述：

容器化应用正在运行(以及在哪些节点上)这些应用可用的资源关于这些应用如何运行的策略，如重新策略，升级和容错

       Kubernetes 架构

       Kubernetes 架构由节点,控制面到节点通信, 控制器, 云控制器管理器组成.

       master 流程图

Kubecfg将特定的请求，比如创建Pod，发送给Kubernetes Client。Kubernetes Client将请求发送给API server。API Server根据请求的类型，比如创建Pod时storage类型是pods，然后依此选择何种REST Storage API对请求作出处理。REST Storage API对的请求作相应的处理。将处理的结果存入高可用键值存储系统Etcd中。在API Server响应Kubecfg的请求后，Scheduler会根据Kubernetes Client获取集群中运行Pod及Minion/Node信息。依据从Kubernetes Client获取的信息，Scheduler将未分发的Pod分发到可用的Minion/Node节点上。

       节点

       节点可以是一个虚拟机或者物理机器，取决于所在的集群配置。 每个节点包含运行 Pods 所需的服务， 这些 Pods 由 控制面 负责管理.

       节点上的组件包括 kubelet、 容器运行时以及 kube-proxy。

节点状态

       可以使用 kubectl 来查看节点状态和其他细节信息：

       kubectl describe node <�节点名称>

       一个节点包含以下信息:

地址HostName：由节点的内核设置。可以通过 kubelet 的 —hostname-override 参数覆盖。ExternalIP：通常是节点的可外部路由（从集群外可访问）的 IP 地址。InternalIP：通常是节点的仅可在集群内部路由的 IP 地址。状况(conditions 字段描述了所有 Running 节点的状态)Ready 如节点是健康的并已经准备好接收 Pod 则为 True；False 表示节点不健康而且不能接收 Pod；Unknown 表示节点控制器在最近 node-monitor-grace-period 期间（默认 秒）没有收到节点的消息DiskPressure为True则表示节点的空闲空间不足以用于添加新 Pod, 否则为 FalseMemoryPressure为True则表示节点存在内存压力，即节点内存可用量低，否则为 FalsePIDPressure为True则表示节点存在进程压力，即节点上进程过多；否则为 FalseNetworkUnavailable为True则表示节点网络配置不正确；否则为 False容量与可分配描述节点上的可用资源：CPU、内存和可以调度到节点上的 Pod 的个数上限。信息关于节点的一般性信息，例如内核版本、Kubernetes 版本（kubelet 和 kube-proxy 版本）、 Docker 版本（如果使用了）和操作系统名称。这些信息由 kubelet 从节点上搜集而来。

       控制面到节点通信

节点到控制面apiserver在安全的 HTTPS 端口（）上监听远程连接请求以客户端证书的形式将客户端凭据提供给 kubelet控制面到节点API 服务器到 kubelet连接用于获取 Pod 日志挂接（通过 kubectl）到运行中的 Pod提供 kubelet 的端口转发功能。(注: 在连接状态下, 默认apiserver 不检查 kubelet 的服务证书。容易受到中间人攻击，不安全.)apiserver 到节点、Pod 和服务SSH 隧道(目前已经废弃)产生原因: 若无服务证书, 又要求避免在非受信网络或公共网络上进行连接,则可以在apiserver 和 kubelet 之间使用ssh隧道.Kubernetes 支持使用 SSH 隧道来保护从控制面到节点的通信路径。Konnectivity 服务为ssh隧道的替代品, Konnectivity 服务提供 TCP 层的代理，以便支持从控制面到集群的通信。

       控制器

       在 Kubernetes 中，控制器通过监控集群 的公共状态，并致力于将当前状态转变为期望的状态。

       举个例子: 当前室内温度为度, 我们通过调节遥控器,使其温度上升至度, 这度到度的变化即为让其从当前状态接近期望状态。

       控制器模式分为直接控制和通过API服务器来控制.

       云控制器管理器

       云控制器管理器是指嵌入特定云的控制逻辑的 控制平面组件。 云控制器管理器允许您链接聚合到云提供商的应用编程接口中， 并分离出相互作用的组件与您的集群交互的组件。

       云控制器管理器中的控制器包括：

节点控制器节点控制器负责在云基础设施中创建了新服务器时为之 创建 节点（Node）对象。 节点控制器从云提供商获取当前租户中主机的信息。执行功能:针对控制器通过云平台驱动的 API 所发现的每个服务器初始化一个 Node 对象利用特定云平台的信息为 Node 对象添加注解和标签获取节点的网络地址和主机名检查节点的健康状况。路由控制器Route 控制器负责适当地配置云平台中的路由，以便 Kubernetes 集群中不同节点上的 容器之间可以相互通信。服务控制器服务（Service）与受控的负载均衡器、 IP 地址、网络包过滤、目标健康检查等云基础设施组件集成。 服务控制器与云驱动的 API 交互，以配置负载均衡器和其他基础设施组件。

       Kubernetes 安全性

       云原生安全

       云原生安全4个C: 云(Cloud)、集群(Cluster)、容器(Container)和代码(Code)

       云原生安全模型的每一层都是基于下一个最外层，代码层受益于强大的基础安全层（云、集群、容器）。我们无法通过在代码层解决安全问题来为基础层中糟糕的安全标准提供保护。

基础设施安全

       Kubetnetes 基础架构关注领域

       建议

       通过网络访问 API 服务（控制平面)

       所有对 Kubernetes 控制平面的访问不允许在 Internet 上公开，同时应由网络访问控制列表控制，该列表包含管理集群所需的 IP 地址集。

       通过网络访问 Node（节点)

       节点应配置为 仅能 从控制平面上通过指定端口来接受（通过网络访问控制列表）连接，以及接受 NodePort 和 LoadBalancer 类型的 Kubernetes 服务连接。如果可能的话，这些节点不应完全暴露在公共互联网上。

       Kubernetes 云访问提供商的 API

       每个云提供商都需要向 Kubernetes 控制平面和节点授予不同的权限集。为集群提供云提供商访问权限时，最好遵循对需要管理的资源的最小特权原则。Kops 文档提供有关 IAM 策略和角色的信息。

       访问 etcd

       对 etcd（Kubernetes 的数据存储）的访问应仅限于控制平面。根据配置情况，你应该尝试通过 TLS 来使用 etcd。更多信息可以在 etcd 文档中找到。

       etcd 加密

       在所有可能的情况下，最好对所有驱动器进行静态数据加密，但是由于 etcd 拥有整个集群的状态（包括机密信息），因此其磁盘更应该进行静态数据加密。

集群组件安全

运行的应用程序的安全性关注领域访问控制授权(访问 Kubernetes API)认证方式应用程序 Secret 管理 (并在 etcd 中对其进行静态数据加密)Pod 安全策略服务质量（和集群资源管理）网络策略Kubernetes Ingress 的 TLS 支持

容器安全

容器安全性关注领域容器搭建配置(配置不当,危险挂载, 特权用户)容器服务自身缺陷Linux内核漏洞镜像签名和执行

代码安全

代码安全关注领域仅通过 TLS 访问(流量加密)限制通信端口范围第三方依赖性安全静态代码分析动态探测攻击(黑盒)

       Kubernetes架构常见问题

       Kubernetes ATTACK 矩阵

       信息泄露

云账号AK泄露

       API凭证（即阿里云AccessKey）是用户访问内部资源最重要的身份凭证。用户调用API时的通信加密和身份认证会使用API凭证.

       API凭证是云上用户调用云服务API、访问云上资源的唯一身份凭证。

       API凭证相当于登录密码，用于程序方式调用云服务API.

k8s configfile泄露

       kubeconfig文件所在的位置:

       $HOME/.kube/config

       Kubeconfig文件包含有关Kubernetes集群的详细信息，包括它们的位置和凭据。

       云厂商会给用户提供该文件,以便于用户可以通过kubectl对集群进行管理. 如果攻击者能够访问到此文件（如办公网员工机器入侵、泄露到Github的代码等），就可以直接通过API Server接管K8s集群，带来风险隐患。

Master节点SSH登录泄露

       常见的容器集群管理方式是通过登录Master节点或运维跳板机，然后再通过kubectl命令工具来控制k8s。

       云服务器提供了通过ssh登陆的形式进行登陆master节点.

       若Master节点SSH连接地址泄露,攻击者可对ssh登陆进行爆破,从而登陆上ssh,控制集群.

       容器组件未鉴权服务

       Kubernetes架构下常见的开放服务指纹如下:

kube-apiserver: , kubectl proxy: , kubelet: , , dashboard: docker api: etcd: , kube-controller-manager: kube-proxy: , kube-scheduler: weave: , , kubeflow-dashboard:

       注:前六个重点关注: 一旦被控制可以直接获取相应容器、相应节点、集群权限的服务

了解各个组件被攻击时所造成的影响

       组件分工图:

       假如用户想在集群里面新建一个容器集合单元, 流程如下:

用户与 kubectl进行交互,提出需求(例: kubectl create -f pod.yaml)kubectl 会读取 ~/.kube/config 配置，并与 apiserver 进行交互，协议：/service-account

       /cloud-native-academy/cloud-native-applications/cloud-native-infrastructure/

       https://www.cdxy.me/?p=