禁用Kubernetes集群中的DES加密算法
背景在等保扫描检测时,提示SSL/TLS协议信息泄露漏洞(CVE-2016-2183),安全级别为高--必须整改。然而对应的端口皆为Kubernetes的各组件服务。端口、服务对应如下: 系统环境操作系统:银河麒麟v10Kubernetes: v1.20.15检测工具nmapopenssl上述任选一种即可,建议使用namp,更为直观。 安装摘要 # wget https://nmap.org/
容器时区配置笔记
Alpine镜像... LABEL MAINTAINER="Qiu<qiu@xx.cn>" RUN set -xe \ && sed -i 's/dl-cdn.alpinelinux.org/
Kafka 移除Zookeeper依赖实现
背景Apache Kafka Raft(KRaft)是共识协议,目的是消除Apache Kafka对ZooKeeper元数据管理的依赖性--简化了 Kafka 的架构。将元数据的集成到 Kafka 本身,而不是将其拆分到两个不同的系统:ZooKeeper 和 Kafka。KRaft 模式使用 Kafka 中新的仲裁控制器服务,
Configmap更新自动触发Pod重启
背景 在Kubernetes环境中,Pod 和ConfigMap是两种完全独立的资源,如果configmap产生变化,Pod并不会自动重新启动。但是我们有时候希望有这两者之间有个联动关系,即Configmap资源生产变化时,就自动重启Pod,以达到配置生效的目的。 解决方案 引入 Reloader 一个 Kubernetes 控制器,用于监视 ConfigMap 和 Secrets
Docker环境下使用nginx反向代理
当在 docker 环境下使用 Nginx 作为反向代理和负载均衡到其他容器时,有时需要在我们的堆栈中定义某种启动顺序,因为它们相互依赖。通常情况下需要把后端服务全部启动起来后,再来启动这个 Nginx服务。 首先这种环境循环依赖的问题就不应该存在,退一步来讲,我就部署个几个简单的服务,还要去考虑先有鸡还是先有蛋问题。谁有这功夫,反正我是没有。 上游服务不可用致nginx无法启动 当你先把 nginx 服务启动时,
Istio 札记杂录
黑白名单ACL 针对某个目录做ACL,如 /login 只限指定的白名单访问,其它一律禁止访问。 实现步骤 1、确保istio接收的IP是用户地址 <略> 2、创建AuthorizationPolicy资源 apiVersion: security.istio.io/v1beta1 kind:
Prometheus-Operator 监控位于集群外的服务
在Kubernetes中部署Prometheus我们通常使用Operator来部署,比如使用以下命令: helm repo add prometheus-community https://prometheus-community.github.io/helm-charts helm install my-prometheus prometheus-community/prometheus --version 15.12.0
使用非特权nginx容器镜像
序 容器使用非root用户是一种安全共识,而我们常用的nginx官方提供的容器镜像--docker.io/library/nginx:latest却是使用到root权限。今无意发现有个nginx-unprivileged容器镜像,使用的是非root用户。 测试 镜像拉取 docker pull nginxinc/nginx-unprivileged:1.21.4 创建容器 docker
如何正确收缩已部署的Kubernetes应用
【封面图片:广州市天河国际乒乓培训中心】如何正确收缩已部署的Kubernetes应用
体验Keda + Redis 实现副本自动扩/缩容
关于KEDAKEDA是一个Kubernetes基于事件驱动的自动缩放器。 KEDA可以根据需要处理的事件数量来推动 Kubernetes 中任何容器的扩展。 KEDA是一个单一用途的轻量级组件,可以添加到任何 Kubernetes 集群中。KEDA 与Horizontal Pod Autoscaler等标准 Kubernetes 组件一起工作,同时可以在不覆盖的情况下扩展功能。 KEDA可以明确映射想要使用事件驱动规模的应用程序,而其他应用程序继续运行。这使得 KEDA 成为与任意数量的任何其他
