http://www.allitebooks.org/kubernetes-in-action/
一、理解:PaaS认证流程中的AK/SK和Token
(转载:华为云社区:https://bbs.huaweicloud.com/blogs/100530 作者:唐盛军)
1 公有云API的认证方式
一般有一夏几种认证方式:
Token认证
AK/SK认证
RSA非对称加密方式
下面主要介绍AK/SK
AK/SK的认证
这种方式是AWS上面S3的认证方式。示意图如下:
原理:把信息放到一个箱子里,然后贴个信物。中间不管什么被动了手脚,都会被发现。
可以看到,这比token认证的方式安全很多。
因为要求客户端也要保存一份AK/SK,所以你可以在AWS上面看到,有让用户下载AK/SK的页面。
(另:AK作为用户名的别称,是支持修改的)
缺点:虽然不能修改报文,但是可以截获报文后不停地重复发送该报文。(太机智了)
PaaS引入AK/SK
使用user/paaswd的方式,对于用户登录时界面操作还行。但是对于程序直接使用API调用场景,就不安全了。所以一般的云平台,例如google,aws都提供对AK/SK方式的支持。华为公有云也不例外。所以PaaS在上公有云的时候也加入了对ak/sk的支持。
PaaS中Docker镜像仓库
Docker下载镜像的时候,需要认证。docker原生的交互是使用token的,但是登陆的时候使用user/pw,所以原生的实现不符合安全要求。这里使用ak/sk对用户名/密码做了一次映射。保证login的安全,后续上传动作还是继续使用token方式。
k8s的imagePullSecret
因为k8s启动Pod要下载镜像,就需要imagePullSecret。而上个章节我们知道Docker下载的账号经过我们特殊处理的。所以这里我们就要给k8s创建对应的imagePullSecret,创建的方法同Docker登陆账号一样:
2、《跟唐老师学习云网络》 - GRE,用于网络走私的隧道
https://bbs.huaweicloud.com/blogs/109079
3、《跟唐老师学习云网络》 - 什么是VLAN和VXLAN
https://bbs.huaweicloud.com/blogs/111665
4、《跟唐老师学云网络》——开篇
https://bbs.huaweicloud.com/blogs/109721
跟唐老师学习云网络——我的网络概念
跟唐老师学习云网络——IP和掩码
跟唐老师学习云网络——router路咋走啊
跟唐老师学习云网络——ping喂报文
跟唐老师学习云网络——ARP你在哪
跟唐老师学习云网络——Tcpdump大杀器抓包
跟唐老师学习云网络——iptables- filter过滤功能
跟唐老师学习云网络——番外篇——网络骗子
https://www.wireshark.org/download.html
5、为什么容器技术将主宰世界
https://blog.csdn.net/gaoyingju/article/details/49616295
6、Docker —— 从入门到实践
https://yeasy.gitbooks.io/docker_practice/image/pull.html
7、paas术语表
CFE
Cloud Fabric Engine
应用调度与资源管理引擎
对多种类型的应用和资源进行统一管理和调度,构建业务运行环境的基础设施层。
https://bbs.huaweicloud.com/blogs/100544
8、理解kubernetes中的静态Pod
静态Pod是由kubelet进行管理,仅存在于特定Node上的Pod。它们不能通过API Server进行管理,无法与ReplicationController、Deployment或DaemonSet进行关联,并且kubelet也无法对其健康检查。
https://blog.sctux.com/2018/12/22/kubernetes-static-pod/
9、开源APM工具pinpoint安装与使用
https://blog.csdn.net/wh211212/article/details/80437696
10、终于有人把Elasticsearch原理讲透了!(倒排索引)
https://developer.51cto.com/art/201904/594615.htm
11、Kubernetes中的Pod的到底是什么?
Pods是一种容器
http://dockone.io/article/2682
12、pod
https://kubernetes.io/docs/concepts/workloads/pods/pod/
13、Pod 的生命周期
https://kubernetes.io/zh/docs/concepts/workloads/pods/pod-lifecycle/
下面是 phase 可能的值:
挂起(Pending):Pod 已被 Kubernetes 系统接受,但有一个或者多个容器镜像尚未创建。等待时间包括调度 Pod 的时间和通过网络下载镜像的时间,这可能需要花点时间。
运行中(Running):该 Pod 已经绑定到了一个节点上,Pod 中所有的容器都已被创建。至少有一个容器正在运行,或者正处于启动或重启状态。
成功(Succeeded):Pod 中的所有容器都被成功终止,并且不会再重启。
失败(Failed):Pod 中的所有容器都已终止了,并且至少有一个容器是因为失败终止。也就是说,容器以非0状态退出或者被系统终止。
未知(Unknown):因为某些原因无法取得 Pod 的状态,通常是因为与 Pod 所在主机通信失败。
14、配置Liveness和Readiness探针
kubelet 使用 liveness probe(存活探针)来确定何时重启容器。例如,当应用程序处于运行状态但无法做进一步操作,liveness 探针将捕获到 deadlock,重启处于该状态下的容器,使应用程序在存在 bug 的情况下依然能够继续运行下去。
Kubelet 使用 readiness probe(就绪探针)来确定容器是否已经就绪可以接受流量。只有当 Pod 中的容器都处于就绪状态时 kubelet 才会认定该 Pod处于就绪状态。该信号的作用是控制哪些 Pod应该作为service的后端。如果 Pod 处于非就绪状态,那么它们将会被从 service 的 load balancer中移除。
https://k8smeetup.github.io/docs/tasks/configure-pod-container/configure-liveness-readiness-probes/
15、Kubernetes之kubectl常用命令
https://blog.csdn.net/xingwangc2014/article/details/51204224
16、kubernetes 之Guestbook 留言板
https://blog.csdn.net/zuopiezia/article/details/79299062
二、优秀的产品或公司
2.1 Salesforce
https://www.salesforce.com/ap/?ir=1
Salesforce.com(Salesforce.com, Inc.)[2]是一个以提供个人化需求进行客户关系管理规划和服务的互联网企业。