写点什么

Google Kubernetes Engine 升级:区域性集群、新控制面板和安全建议

  • 2017-12-27
  • 本文字数:1294 字

    阅读完需:约 4 分钟

Google 已经通过几次更新对它的 Kubernetes Engine (GKE)服务进行了升级。用户现在可以大规模使用 GKE,并且目前除了使用kubectl命令对集群进行控制管理外,它还支持通过一个 Web 端的控制面板云控制台Cloud Console 对集群进行管理。除此之外,GKE 还可以通过使用Google 最佳实践来运行Kubernetes 集群,从而增强了安全性。

在12 月初,Google 宣布GKE 的区域性集群(regional clusters)正处于测试中并且拥有更好的可扩展性。这就意味着,用户现在可以创建一个Kubernetes 集群,它可以有多个master 节点并且具有高可用的控制平面(control plane)。区域性集群的好处是,当升级master 节点以及恢复单个区域出现错误时,可以减少宕机时间。对于GKE 用户来说,新的云控制台可以更好地管理集群、排除故障以及执行各种修复。除此之外,Google 还提供了几种运行Kubernetes 集群的最佳实践。他们建议为各个节点、各个管理员使用尽可能少的特权账户并禁用Kubernetes Web UI (也就是Kubernetes Dashboard)和生产环境中的遗留授权。

图片来源: https://cloudplatform.googleblog.com/2017/12/Manage-Google-Kubernetes-Engine-from-Cloud-Console-dashboard-now-generally-available.html

在 Kubernetes 区域性集群中,master 节点和其他节点分布在三个区域中,每个区域默认会有三个节点。这种 master 节点和其它节点的分布使得有一个区域出现故障时依然能保证集群可用。此外,通过增加每个区域中的节点数量(通过配置 _–num-nodes_ 属性),可以进一步增强集群的可用性和可拓展性。可以从相关文档中找到关于区域性集群特性更详细的信息。

图片来源: https://cloudplatform.googleblog.com/2017/12/with-Google-Kubernetes-Engine-regional-clusters-master-nodes-are-now-highly-available.html

在测试 GKE 区域性集群这一特性期间,这一服务是免费的。最后,在对集群进行配置时,Google 建议:

  • 通过云控制台中的 IAM 来创建服务账户,在将它们与各个节点进行关联之前遵循最少特权原则。
  • 当集群已经启动并运行时,禁用 Kubernetes Web UI,因为它受控于一个拥有高度特权的账户。
  • 禁用遗留授权,那是基于属性的访问控制(ABAC,Attribute-Based Access Control)。在 Kubernetes 1.8 中,ABAC 默认是禁用的。

在 Google Cloud Platform博客中可以找到完整的如何在GKE 中运行Kubernetes 集群的安全性推荐的有关详细内容。

目前三家公有云服务提供商(Google、Amazon、Microsoft)都在通过各自的服务来支持Kubernetes。Amazon 和Microsoft 在各自的平台上都与可用的通用容器配置工具。这两家云服务提供商目前都把精力主要集中于Kubernetes。Microsoft 通过为Kubernetes 使用一个专用的Azure 容器服务(AKS)来对Kubernetes 提供支持,该服务于去年10 月推出,并可以在公开预览版中进行使用。Amazon 在他们最近的re:Invent 大会上也宣布了,他们将通过一项名为Amazon Elastic Container Service 的服务来支持Kubernetes,这项服务目前也在公开预览阶段。

查看英文原文: Google Kubernetes Engine Upgrades: Regional Clusters, New Dashboard and Security Recommendations

2017-12-27 18:001911

评论

发布
暂无评论
发现更多内容

NetFlow Analyzer:精准流量洞察,引领网络安全新纪元

Geek_a83400

【XIAOJUSURVEY& 北大】实现数据导出的前后端全流程

XIAOJUSURVEY

数据分析 Vue Node 问卷 数据导出

MongoDB 双活集群在运营商的实践

tapdata

数据库

Cellebrite UFED 4PC 7.70 下载 - Android 和 iOS 移动设备取证软件

sysin

ios android UFED 移动取证 手机取证

【理论篇】关于聚合根,领域事件的那点事---深入浅出理解DDD

京东科技开发者

AI赋能美好生活,OpenVINO™技术成果助力多领域发展

E科讯

总裁,这是一份覆盖50家媒体的区块链发文套餐,请您收下!

区块链项目一站式包装孵化

mac苹果电脑游戏推荐:暗黑2:毁灭之王 for Mac(含各职业存档)

你的猪会飞吗

Mac游戏下载 Mac游戏推荐

堡垒机啥意思?怎么简单理解?

行云管家

网络安全 堡垒机

丽江等级保护测评机构有几家?在哪里?

行云管家

等保 丽江 等保测评

如何保持telegram电报群活跃?

区块链项目一站式包装孵化

信创里程碑:TapData 与海量数据达成产品兼容互认证,共同助力基础设施国产化建设

tapdata

数据库

macOS Sonoma 14.7 (23H124) Boot ISO 原版可引导镜像下载

sysin

macos ISO Sonoma

一位架构师的自述:在尚未踏入的世界成为你自己

京东科技开发者

高并发设计之细粒度锁 : 5种细粒度锁的设计技巧图解(高并发篇)

肖哥弹架构

Java 乐观锁 悲观锁 高并发

VMware Tanzu Kubernetes Grid 2.5.2 发布下载,新增功能概览

sysin

Kubernetes 云原生 vmware Tanzu

DApp开发入门指南:从概念到实践!DApp开发流程+DApp 经济模型

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 公链开发 代币开发

中文区块链媒体自媒体哪些发起来最有性价比?(非权威勿喷)

区块链项目一站式包装孵化

谷歌发布新 RL 方法,性能提升巨大;苹果前设计总监正与 OpenAI 合作开发 AI 设备丨 RTE 开发者日报

声网

BPM(业务流程管理)的最佳开源工具

NocoBase

开源 项目管理 低代码 BPM 无代码

NFTScan | 09.16~09.23 NFT 市场热点汇总

NFT Research

NFT\ NFTScan

Web3 星探 a16z 新加速器启动,盘点入围的「未来之星」

TechubNews

《中国移动算力网络数据库白皮书》正式发布,NineData叶正盛分享

NineData

数据库 中国移动 叶正盛 NineData 算力网络数据库白皮书

“AI+Security”系列第3期(一):AI 安全智能体,重塑安全团队工作范式

云起无垠

数据结构与算法之间有何关系?

不在线第一只蜗牛

数据结构 算法

Cisco Jabber 15.0 发布下载 - 面向企业的多合一通信工具

sysin

Cisco 通信 思科 即时消息

机构加仓生态良好 比特币牛市延续有戏

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 NFT开发 代币开发

币圈项目为什么要做cmc+cg(双c)?

区块链项目一站式包装孵化

Google Kubernetes Engine升级:区域性集群、新控制面板和安全建议_Google_Steef-Jan Wiggers_InfoQ精选文章