写点什么

Google Kubernetes Engine 升级:区域性集群、新控制面板和安全建议

  • 2017-12-27
  • 本文字数:1294 字

    阅读完需:约 4 分钟

Google 已经通过几次更新对它的 Kubernetes Engine (GKE)服务进行了升级。用户现在可以大规模使用 GKE,并且目前除了使用kubectl命令对集群进行控制管理外,它还支持通过一个 Web 端的控制面板云控制台Cloud Console 对集群进行管理。除此之外,GKE 还可以通过使用Google 最佳实践来运行Kubernetes 集群,从而增强了安全性。

在12 月初,Google 宣布GKE 的区域性集群(regional clusters)正处于测试中并且拥有更好的可扩展性。这就意味着,用户现在可以创建一个Kubernetes 集群,它可以有多个master 节点并且具有高可用的控制平面(control plane)。区域性集群的好处是,当升级master 节点以及恢复单个区域出现错误时,可以减少宕机时间。对于GKE 用户来说,新的云控制台可以更好地管理集群、排除故障以及执行各种修复。除此之外,Google 还提供了几种运行Kubernetes 集群的最佳实践。他们建议为各个节点、各个管理员使用尽可能少的特权账户并禁用Kubernetes Web UI (也就是Kubernetes Dashboard)和生产环境中的遗留授权。

图片来源: https://cloudplatform.googleblog.com/2017/12/Manage-Google-Kubernetes-Engine-from-Cloud-Console-dashboard-now-generally-available.html

在 Kubernetes 区域性集群中,master 节点和其他节点分布在三个区域中,每个区域默认会有三个节点。这种 master 节点和其它节点的分布使得有一个区域出现故障时依然能保证集群可用。此外,通过增加每个区域中的节点数量(通过配置 _–num-nodes_ 属性),可以进一步增强集群的可用性和可拓展性。可以从相关文档中找到关于区域性集群特性更详细的信息。

图片来源: https://cloudplatform.googleblog.com/2017/12/with-Google-Kubernetes-Engine-regional-clusters-master-nodes-are-now-highly-available.html

在测试 GKE 区域性集群这一特性期间,这一服务是免费的。最后,在对集群进行配置时,Google 建议:

  • 通过云控制台中的 IAM 来创建服务账户,在将它们与各个节点进行关联之前遵循最少特权原则。
  • 当集群已经启动并运行时,禁用 Kubernetes Web UI,因为它受控于一个拥有高度特权的账户。
  • 禁用遗留授权,那是基于属性的访问控制(ABAC,Attribute-Based Access Control)。在 Kubernetes 1.8 中,ABAC 默认是禁用的。

在 Google Cloud Platform博客中可以找到完整的如何在GKE 中运行Kubernetes 集群的安全性推荐的有关详细内容。

目前三家公有云服务提供商(Google、Amazon、Microsoft)都在通过各自的服务来支持Kubernetes。Amazon 和Microsoft 在各自的平台上都与可用的通用容器配置工具。这两家云服务提供商目前都把精力主要集中于Kubernetes。Microsoft 通过为Kubernetes 使用一个专用的Azure 容器服务(AKS)来对Kubernetes 提供支持,该服务于去年10 月推出,并可以在公开预览版中进行使用。Amazon 在他们最近的re:Invent 大会上也宣布了,他们将通过一项名为Amazon Elastic Container Service 的服务来支持Kubernetes,这项服务目前也在公开预览阶段。

查看英文原文: Google Kubernetes Engine Upgrades: Regional Clusters, New Dashboard and Security Recommendations

2017-12-27 18:002038

评论

发布
暂无评论
发现更多内容

架构训练营第二周学习总结

灰羽零

架构师训练营第 1 期 -Week2 - 框架设计学习总结

鲁大江

极客大学架构师训练营 面向对象设计原则 框架设计

作业二:第二周学习总结

静海

问题集锦:DBType not support : null

互联网应用架构

mybaitsplus

第二周总结

第二周作业

kevin

SpringBoot系列(2)-第一个SpringBoot程序

引花眠

springboot

训练营-第二周-作业一

行者

第二周课后练习-作业1

致星海

逆序局部链表、Paxos算法原理、架构师发现问题所在 John 易筋 ARTS 打卡 Week 19

John(易筋)

ARTS 打卡计划 发现问题的真正所在 逆序局部链表

一篇搞定前端高频手撕算法题(36道)

执鸢者

面试 算法 大前端

medo 支付系统架构设计

陈皮

艺术家们手握“飞桨” 划出金秋UCCA最值得一看的AI艺术展

脑极体

第二周 框架设计 学习总结

应鹏

学习 极客大学架构师训练营

架构师训练营Week02作业

IT老兵重开始

极客大学架构师训练营

Week_02

golangboy

week02 题目

xxx

第二周总结

_

极客大学架构师训练营 第二周总结

训练营-第二周-作业二

行者

第二周学习总结

alpha

极客大学架构师训练营

week02总结

xxx

第二周课后练习 - 作业 2

致星海

【FastDFS】面试官:如何实现文件的大规模分布式存储?(全程实战)

冰河

高并发 高性能 分布式存储 fastdfs 海量存储

架构第二周课后练习

Geek_Gu

极客大学架构师训练营

架构师训练营第一期 - 第二周学习总结

卖猪肉的大叔

架构师训练营第一期第2周作业及总结

木头发芽

架构一期二班 - 吴水金 - 第二课总结

吴水金

第二周作业

架构师训练营1期3班-袭望-第二周

袭望

Spring 5 中文解析数据存储篇-JDBC数据存储(中)

青年IT男

Spring5

面向对象编程与软件设计原则

zero2onemore

Google Kubernetes Engine升级:区域性集群、新控制面板和安全建议_Google_Steef-Jan Wiggers_InfoQ精选文章