写点什么

Google Kubernetes Engine 升级:区域性集群、新控制面板和安全建议

  • 2017-12-27
  • 本文字数:1294 字

    阅读完需:约 4 分钟

Google 已经通过几次更新对它的 Kubernetes Engine (GKE)服务进行了升级。用户现在可以大规模使用 GKE,并且目前除了使用kubectl命令对集群进行控制管理外,它还支持通过一个 Web 端的控制面板云控制台Cloud Console 对集群进行管理。除此之外,GKE 还可以通过使用Google 最佳实践来运行Kubernetes 集群,从而增强了安全性。

在12 月初,Google 宣布GKE 的区域性集群(regional clusters)正处于测试中并且拥有更好的可扩展性。这就意味着,用户现在可以创建一个Kubernetes 集群,它可以有多个master 节点并且具有高可用的控制平面(control plane)。区域性集群的好处是,当升级master 节点以及恢复单个区域出现错误时,可以减少宕机时间。对于GKE 用户来说,新的云控制台可以更好地管理集群、排除故障以及执行各种修复。除此之外,Google 还提供了几种运行Kubernetes 集群的最佳实践。他们建议为各个节点、各个管理员使用尽可能少的特权账户并禁用Kubernetes Web UI (也就是Kubernetes Dashboard)和生产环境中的遗留授权。

图片来源: https://cloudplatform.googleblog.com/2017/12/Manage-Google-Kubernetes-Engine-from-Cloud-Console-dashboard-now-generally-available.html

在 Kubernetes 区域性集群中,master 节点和其他节点分布在三个区域中,每个区域默认会有三个节点。这种 master 节点和其它节点的分布使得有一个区域出现故障时依然能保证集群可用。此外,通过增加每个区域中的节点数量(通过配置 _–num-nodes_ 属性),可以进一步增强集群的可用性和可拓展性。可以从相关文档中找到关于区域性集群特性更详细的信息。

图片来源: https://cloudplatform.googleblog.com/2017/12/with-Google-Kubernetes-Engine-regional-clusters-master-nodes-are-now-highly-available.html

在测试 GKE 区域性集群这一特性期间,这一服务是免费的。最后,在对集群进行配置时,Google 建议:

  • 通过云控制台中的 IAM 来创建服务账户,在将它们与各个节点进行关联之前遵循最少特权原则。
  • 当集群已经启动并运行时,禁用 Kubernetes Web UI,因为它受控于一个拥有高度特权的账户。
  • 禁用遗留授权,那是基于属性的访问控制(ABAC,Attribute-Based Access Control)。在 Kubernetes 1.8 中,ABAC 默认是禁用的。

在 Google Cloud Platform博客中可以找到完整的如何在GKE 中运行Kubernetes 集群的安全性推荐的有关详细内容。

目前三家公有云服务提供商(Google、Amazon、Microsoft)都在通过各自的服务来支持Kubernetes。Amazon 和Microsoft 在各自的平台上都与可用的通用容器配置工具。这两家云服务提供商目前都把精力主要集中于Kubernetes。Microsoft 通过为Kubernetes 使用一个专用的Azure 容器服务(AKS)来对Kubernetes 提供支持,该服务于去年10 月推出,并可以在公开预览版中进行使用。Amazon 在他们最近的re:Invent 大会上也宣布了,他们将通过一项名为Amazon Elastic Container Service 的服务来支持Kubernetes,这项服务目前也在公开预览阶段。

查看英文原文: Google Kubernetes Engine Upgrades: Regional Clusters, New Dashboard and Security Recommendations

2017-12-27 18:001752

评论

发布
暂无评论
发现更多内容

高并发架构---TCP

赖猫

TCP 后端 高并发 TCP/IP 服务器开发

阿里2021年首次公开五份Java并发编程全彩小册:模型+原理+应用+模式+面试题五管齐下

Java架构追梦

Java 学习 架构 面试 并发编程

2021年编排将成为DevSecOps关键推动者

啸天

DevSecOps 应用安全 开发安全

即构微信小程序直播组件是什么?有哪些功能?哪些小程序类目可以使用?

ZEGO即构

如何利用策略模式避免冗长的if-else/switch分支判断代码?

码农架构

Java 学习 设计模式

五分钟快速掌握Maven的核心概念

Java架构师迁哥

厉害了!来看看这份超全面的《Android面试题及解析》,一线互联网公司面经总结

欢喜学安卓

android 程序员 面试 移动开发

持续集成对IT团队和企业分别有哪些好处?

禅道项目管理

DevOps 运维 开发 CI/CD

区块链大趋势

CECBC

数字经济

“区块链+数字身份”,道路坎坷前途光明

CECBC

数字技术

量化策略交易软件开发|量化策略交易系统APP开发

系统开发

比特币矿机工作原理

v16629866266

比特币 比特币区块链

Linux网络之 从 C10K 到 DPDK

赖猫

c++ Linux linux编程 C10K DPDK

区块链发展应以密码应用创新为根基

CECBC

区块链 密码学

K线成交量管理系统开发、成交量管理系统开发

W13902449729

K线成交量管理系统开发 成交量管理系统开发

细节!3部分讲明白HotSpot:运行时+编译器+垃圾回收器

996小迁

Java 架构 虚拟机 hotspot

为什么建议没事不要随便用工厂模式创建对象?

码农架构

Java 学习 设计模式

工作11年,从阿里P8出来,头发也没了,人也虚了,就剩下这份笔记了!

Java架构之路

Java 程序员 架构 面试 编程语言

并发阻塞队列(BlockingQueue)— 生产者消费者模式核心部件

码农架构

Java 架构 jdk 设计模式

超强Android进阶路线知识图谱:Kotlin可能带来的一个深坑,持续更新中

欢喜学安卓

android 程序员 面试 移动开发

WiFi6 与 5G 的异同分析

石君

5G wifi 28天写作

中美上市软件公司对比中的投资启示

ToB行业头条

阿里面试官纯手打:金九银十跳槽必会Java核心知识点笔记整理

Java架构之路

Java 程序员 架构 面试 编程语言

百度研究院的追星逐浪,中国科技的奋发自强

脑极体

在函数计算中到底该不该使用 VPC?

donghui

Serverless

现货合约量化交易系统开发搭建

薇電13242772558

数字货币 策略模式

字节内部MySQL宝典意外流出!极致经典,堪称数据库的天花板

比伯

Java 编程 架构 面试 程序人生

DeFi流动性挖矿管理系统开发|去中心化金融借贷系统开发

W13902449729

去中心化金融借贷系统开发 DeFi流动性管理系统开发

Serverless 架构到底要不要服务器?

Serverless Devs

Java 云计算 Serverless 运维 云原生

Linux I/O 原理和 Zero-copy 技术全面揭秘

赖猫

c++ Linux linux编程 服务器开发 I/O

Java 程序经验小结:类层次优于标签类

后台技术汇

28天写作

Google Kubernetes Engine升级:区域性集群、新控制面板和安全建议_Google_Steef-Jan Wiggers_InfoQ精选文章