在你通过 Kubernetes 部署一个应用之前，了解 Kubernetes 的网络策略是一个基本的要求。

随着越来越多的云原生应用程序通过 Kubernetes 部署到生产环境，安全性是你必须在早期就需要考虑的一个重要检查项。在设计云原生应用程序时，预先嵌入安全策略非常重要。不这样做会导致后续的安全问题，从而导致项目延迟，并最终给你带来不必要的压力和金钱投入。

这么多年来，人们总是把安全留到最后，直到他们的部署即将发布到生产环境时才考虑安全。这种做法会导致项目交付的延迟，因为每个组织都有要遵守的安全标准，这些规定被绕过或不遵守，并承受大量的风险才得以实现可交付成果。

对于刚开始学习 Kubernetes 实施的人来说，理解 Kubernetes 网络策略 NetworkPolicy 可能会令人生畏。但这是在将应用程序部署到 Kubernetes 集群之前必须了解的基本要求之一。在学习 Kubernetes 和云原生应用程序时，请把“不要把安全抛在脑后！”定为你的口号。

NetworkPolicy 概念

网络策略 NetworkPolicy 取代了你所知道的数据中心环境中的防火墙设备 —— 如 吊舱 Pod 之于计算实例、网络插件之于路由器和交换机，以及卷之于存储区域网络（SAN）。

默认情况下，Kubernetes 网络策略允许 吊舱 Pod 从任何地方接收流量。如果你不担心吊舱的安全性，那么这可能没问题。但是，如果你正在运行关键工作负载，则需要保护吊舱。控制集群内的流量（包括入口和出口流量），可以通过网络策略来实现。

要启用网络策略，你需要一个支持网络策略的网络插件。否则，你应用的任何规则都将变得毫无用处。

Kubernetes.io 上列出了不同的网络插件：

• CNI 插件：遵循 容器网络接口 Container Network Interface （CNI）规范，旨在实现互操作性。

  • Kubernetes 遵循 CNI 规范的 v0.4.0 版本。
• Kubernetes 插件：使用桥接器和主机本地 CNI 插件实现基本的 cbr0。

应用网络策略

要应用网络策略，你需要一个工作中的 Kubernetes 集群，并有支持网络策略的网络插件。

但首先，你需要了解如何在 Kubernetes 的环境使用网络策略。Kubernetes 网络策略允许 吊舱 从任何地方接收流量。这并不是理想情况。为了吊舱安全，你必须了解吊舱是可以在 Kubernetes 架构内进行通信的端点。

1、使用 podSelector 进行吊舱间的通信：

 - namespaceSelector:
    matchLabels:
      project: myproject 

2、使用 namespaceSelector 和/或 podSelector 和 namespaceSelector 的组合进行命名空间之间的通信和命名空间到吊舱的通信。：

 - namespaceSelector:
    matchLabels:
      project: myproject
 - podSelector:
    matchLabels:
      role: frontend 

3、对于吊舱的 IP 块通信，使用 ipBlock 定义哪些 IP CIDR 块决定源和目的。

 - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24 

注意吊舱、命名空间和基于 IP 的策略之间的区别。对于基于吊舱和命名空间的网络策略，使用选择器来控制流量，而对基于 IP 的网络策略，使用 IP 块（CIDR 范围）来定义控制。

把它们放在一起，一个网络策略应如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 192.168.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

参考上面的网络策略，请注意 spec 部分。在此部分下，带有标签 app=backend 的 podSelector 是我们的网络策略的目标。简而言之，网络策略保护给定命名空间内称为 backend 的应用程序。

此部分也有 policyTypes 定义。此字段指示给定策略是否适用于选定吊舱的入口流量、选定吊舱的出口流量，或两者皆有。

spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress

现在，请看 Ingress（入口）和 Egress（出口）部分。该定义规定了网络策略的控制。

首先，检查 ingress from 部分。

此实例中，网络策略允许从以下位置进行吊舱连接：

• ipBlock

  • 允许 172.17.0.0/16
  • 拒绝 192.168.1.0/24

• namespaceSelector

  • myproject: 允许来自此命名空间并具有相同标签 project=myproject 的所有吊舱。

• podSelector

  • frontend: 允许与标签 role=frontend 匹配的吊舱。

ingress:
 - from:
  - ipBlock:
      cidr: 172.17.0.0/16
      except:
      - 192.168.1.0/24
  - namespaceSelector:
      matchLabels:
        project: myproject
  - podSelector:
      matchLabels:
        role: frontend

现在，检查 egress to 部分。这决定了从吊舱出去的连接：

• ipBlock

  • 10.0.0.0/24: 允许连接到此 CIDR
  • Ports: 允许使用 TCP 和端口 5978 进行连接

egress:
 - to:
  - ipBlock:
      cidr: 10.0.0.0/24
  ports:
  - protocol: TCP
    port: 5978

网络策略的限制

仅靠网络策略无法完全保护你的 Kubernetes 集群。你可以使用操作系统组件或 7 层网络技术来克服已知限制。你需要记住，网络策略只能解决 IP 地址和端口级别的安全问题 —— 即开放系统互联（OSI）中的第 3 层或第 4 层。

为了解决网络策略无法处理的安全要求，你需要使用其它安全解决方案。以下是你需要知道的一些 用例，在这些用例中，网络策略需要其他技术的增强。

总结

了解 Kubernetes 的网络策略很重要，因为它是实现（但不是替代）你通常在数据中心设置中使用的防火墙角色的一种方式，但适用于 Kubernetes。将此视为容器安全的第一层，仅仅依靠网络策略并不是一个完整的安全解决方案。

网络策略使用选择器和标签在吊舱和命名空间上实现安全性。此外，网络策略还可以通过 IP 范围实施安全性。

充分理解网络策略是在 Kubernetes 环境中安全采用容器化的一项重要技能。

via: https://opensource.com/article/21/10/kubernetes-networkpolicy

作者：Mike Calizo 选题：lujun9972 译者：perfiffer 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解如何使用 Kubermatic Kubernetes 平台来部署、扩展与管理图像识别预测的深度学习模型。

随着企业增加了对人工智能（AI）、机器学习（ML）与深度学习（DL）的使用，出现了一个关键问题：如何将机器学习的开发进行规模化与产业化？这些讨论经常聚焦于机器学习模型本身；然而，模型仅仅只是完整解决方案的其中一环。为了达到生产环境的应用和规模，模型的开发过程必须还包括一个可以说明开发前后关键活动以及可公用部署的可重复过程。

本文演示了如何使用 Kubermatic Kubernetes 平台 对图像识别预测的深度学习模型进行部署、扩展与管理。

Kubermatic Kubernetes 平台是一个生产级的开源 Kubernetes 集群管理工具，提供灵活性和自动化，与机器学习/深度学习工作流程整合，具有完整的集群生命周期管理。

开始

这个例子部署了一个用于图像识别的深度学习模型。它使用了 CIFAR-10 数据集，包含了 60,000 张分属 10 个类别的 32x32 彩色图，同时使用了 Apache MXNet 的 Gluon 与 NVIDIA GPU 进行加速计算。如果你希望使用 CIFAR-10 数据集的预训练模型，可以查阅其 入门指南。

使用训练集中的样本对模型训练 200 次，只要训练误差保持缓慢减少，就可以保证模型不会过拟合。下方图展示了训练的过程：

训练结束后，必须保存模型训练所得到的参数，以便稍后可以加载它们：

file_name = "net.params"
net.save_parameters(file_name)

一旦你的模型训练好了，就可以用 Flask 服务器来封装它。下方的程序演示了如何接收请求中的一张图片作为参数，并在响应中返回模型的预测结果：

from gluoncv.model_zoo import get_model
import matplotlib.pyplot as plt
from mxnet import gluon, nd, image
from mxnet.gluon.data.vision import transforms
from gluoncv import utils
from PIL import Image
import io
import flask
app = flask.Flask(__name__)

@app.route("/predict",methods=["POST"])
def predict():
    if flask.request.method == "POST":
        if flask.request.files.get("img"):
           img = Image.open(io.BytesIO(flask.request.files["img"].read()))
            transform_fn = transforms.Compose([
            transforms.Resize(32),
            transforms.CenterCrop(32),
            transforms.ToTensor(),
            transforms.Normalize([0.4914, 0.4822, 0.4465], [0.2023, 0.1994, 0.2010])])
            img = transform_fn(nd.array(img))
            net = get_model('cifar_resnet20_v1', classes=10)
            net.load_parameters('net.params')
            pred = net(img.expand_dims(axis=0))
            class_names = ['airplane', 'automobile', 'bird', 'cat', 'deer',
                       'dog', 'frog', 'horse', 'ship', 'truck']
            ind = nd.argmax(pred, axis=1).astype('int')
            prediction = 'The input picture is classified as [%s], with probability %.3f.'%
                         (class_names[ind.asscalar()], nd.softmax(pred)[0][ind].asscalar())
    return prediction

if __name__ == '__main__':
   app.run(host='0.0.0.0')

容器化模型

在将模型部署到 Kubernetes 前，你需要先安装 Docker 并使用你的模型创建一个镜像。

1. 下载、安装并启动 Docker：

sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo <https://download.docker.com/linux/centos/docker-ce.repo>
sudo yum install docker-ce
sudo systemctl start docker

2. 创建一个你用来管理代码与依赖的文件夹：

mkdir kubermatic-dl
cd kubermatic-dl

3. 创建 requirements.txt 文件管理代码运行时需要的所有依赖：

flask
gluoncv
matplotlib
mxnet
requests
Pillow

4. 创建 Dockerfile，Docker 将根据这个文件创建镜像:

FROM python:3.6
WORKDIR /app
COPY requirements.txt /app
RUN pip install -r ./requirements.txt
COPY app.py /app
CMD ["python", "app.py"]

这个 Dockerfile 主要可以分为三个部分。首先，Docker 会下载 Python 的基础镜像。然后，Docker 会使用 Python 的包管理工具 pip 安装 requirements.txt 记录的包。最后，Docker 会通过执行 python app.py 来运行你的脚本。

5. 构建 Docker 容器:

sudo docker build -t kubermatic-dl:latest .

这条命令使用 kubermatic-dl 镜像为你当前工作目录的代码创建了一个容器。

6. 使用

sudo docker run -d -p 5000:5000 kubermatic-dl

命令检查你的容器可以在你的主机上正常运行。

7. 使用

sudo docker ps -a

命令查看你本地容器的运行状态:

将你的模型上传到 Docker Hub

在向 Kubernetes 上部署模型前，你的镜像首先需要是公开可用的。你可以通过将你的模型上传到 Docker Hub 来将它公开。（如果你没有 Docker Hub 的账号，你需要先创建一个）

1. 在终端中登录 Docker Hub 账号：

sudo docker login

2. 给你的镜像打上标签，这样你的模型上传到 Docker Hub 后也能拥有版本信息：

sudo docker tag <your-image-id> <your-docker-hub-name>/<your-app-name>

sudo docker push <your-docker-hub-name>/<your-app-name>

3. 使用

sudo docker images

命令检查你的镜像的 ID。

部署你的模型到 Kubernetes 集群

1. 首先在 Kubermatic Kubernetes 平台创建一个项目, 然后根据 快速开始 创建一个 Kubernetes 集群。

2. 下载用于访问你的集群的 kubeconfig，将它放置在下载目录中，并记得设置合适的环境变量，使得你的环境能找到它：

3. 使用 kubectl 命令检查集群信息，例如，需要检查 kube-system 是否在你的集群正常启动了就可以使用命令 kubectl cluster-info

4. 为了在集群中运行容器，你需要创建一个部署用的配置文件（deployment.yaml），再运行 apply 命令将其应用于集群中：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kubermatic-dl-deployment
spec:
  selector:
    matchLabels:
      app: kubermatic-dl
  replicas: 3
  template:
    metadata:
      labels:
        app: kubermatic-dl
    spec:
     containers:
     - name: kubermatic-dl
       image: kubermatic00/kubermatic-dl:latest
       imagePullPolicy: Always
       ports:
       - containerPort: 8080

kubectl apply -f deployment.yaml`

5. 为了将你的部署开放到公网环境，你需要一个能够给你的容器创建外部可达 IP 地址的服务：

kubectl expose deployment kubermatic-dl-deployment  --type=LoadBalancer --port 80 --target-port 5000`

6. 就快大功告成了！首先检查你布署的服务的状态，然后通过 IP 请求的你图像识别 API：

kubectl get service

7. 最后根据你的外部 IP 使用以下两张图片对你的图像识别服务进行测试：

总结

在这篇教程中，你可以创建一个深度学习模型，并且使用 Flask 提供 REST API 服务。它介绍了如何将应用放在 Docker 容器中，如何将这个镜像上传到 Docker Hub 中，以及如何使用 Kubernetes 部署你的服务。只需几个简单的命令，你就可以使用 Kubermatic Kubernetes 平台部署该应用程序，并且开放服务给别人使用。

via: https://opensource.com/article/20/9/deep-learning-model-kubernetes

作者：Chaimaa Zyani 选题：lujun9972 译者：chunibyo-wly 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

用 Forklift 将你的虚拟化工作负载过渡到 Kubernetes。

2017 年，KubeVirt 团队 发起 了一个在 Kubernetes 中管理容器及相关的虚拟机（VM）的项目。这个开源项目的意图是让虚拟机成为这个环境中的一等公民。

自从在 2018 年开源峰会 上推出以来，KubeVirt 一直在不断成熟和发展。它在 GitHub 上已经达到了 200 多颗星，甚至在 2021 年 2 月推出了自己的活动：KubeVirt 峰会。

KubeVirt 架构（© 2020,Red Hat OpenShift）

KubeVirt 是 OpenShift 虚拟化 的基础，它帮助开发者将虚拟机带入容器化工作流程。

在 Kubernetes 中使用虚拟机

KubeVirt 使你能够在虚拟机上原生使用 Kubernetes。这意味着它们可以连接到使用标准 Kubernetes 方法（如服务、路由、管道等）访问的 吊舱 Pod 网络。应用于虚拟机吊舱的网络策略与应用于应用吊舱的方式相同，它提供一个一致的模型来管理虚拟机到吊舱（或反之）的通信。

这方面的一个真实例子是一家航空公司利用旧的模拟器软件的方式。它注入了人工智能和机器学习 （AI/ML） 的模型，然后在基于虚拟机的模拟器上自动部署和测试它们。这使得它能够使用 Kubernetes 和 Kubeflow 完全自动化地获得测试结果和新的遥测训练数据。

（Konveyor, CC BY-SA 4.0）

Konveyor.io 是一个开源项目，帮助现有工作负载（开发、测试和生产）过渡到 Kubernetes。其工具包括将容器从一个 Kubernetes 平台转移到另一个平台的 Crane；将工作负载从 Cloud Foundry 带到 Kubernetes的 Move2Kube；以及分析 Java 应用，使其对 Kubernetes 等容器化平台中的运行时更加标准和可移植，从而使其现代化的 Tackle。

这些工具在转化模式中很有用，但许多项目希望在早期阶段利用 Kubernetes，以变得更加敏捷和富有成效。在基础设施方面，这些好处可能包括蓝/绿负载均衡、路由管理、声明式部署，或（取决于你的部署方式）由于不可变的基础设施而更容易升级。在开发方面，它们可能包括将持续集成/持续开发 （CI/CD） 管道与平台整合，使应用更快地投入生产，自我提供资源，或整合健康检查和监控。

KubeVirt 可以通过在 Kubernetes 环境中以虚拟机来运行工作负载帮助你。它能让你的工作负载迅速使用 Kubernetes，享受它的好处，并随着时间的推移稳步实现工作负载的现代化。但是，仍然有一个问题，就是把你的虚拟机从传统的虚拟化平台带到现代的 Kubernetes 平台。这就是 Konveyor 的 Forklift 项目的意义所在。

关于 Forklift

Forklift 使用 KubeVirt 将不同来源的虚拟化工作负载迁移到 Kubernetes。它的设计目标是使任务变得简单，以便你可以从一两台机器到数百台机器迁移任何东西。

迁移是一个简单的、三阶段的过程：

1. 连接到一个现有的虚拟化平台（称为“源提供者”）和一个 Kubernetes 环境（“目标提供者”）。
2. 将网络和存储资源从源提供者映射到目标提供者，在两者中寻找等价的资源。
3. 选择要迁移的虚拟机，分配网络和存储映射，制定迁移计划。然后运行它。

如何开始

要开始使用 Forklift，首先，你需要一个兼容的源提供商。你还需要一个带有 KubeVirt 0.40 或更新版本的 Kubernetes 环境和裸机节点（尽管为了测试，你可以使用嵌套虚拟化）。用读-写-执行 （RWX） 功能配置你的存储类，并使用 Multus 配置你的网络，以匹配你的虚拟机在源提供者中使用的网络。（如果你不能这样做，也不用担心。你也可以选择重新分配 IP 地址。）

最后，使用提供的操作器在你的 Kubernetes 上安装 Forklift，并进入用户界面，开始运行你的第一次测试迁移。

Forklift 是 Red Hat 的 虚拟化迁移工具套件 的上游版本。因此，如果你想在生产环境中使用它，你可以考虑使用该工具的支持版本。

迁移愉快！

via: https://opensource.com/article/21/6/migrate-vms-kubernetes-forklift

作者：Miguel Perez Colino 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这份可下载的指南充满了有用的教程，让 SRE 和系统管理员使用 Kubernetes 获得便利。

Kubernetes 是容器编排的事实标准，在基础设施管理和应用开发方面已经迅速发展成为容器环境的主导。作为一个拥有庞大的爱好者和专业人士社区的开源平台，以及作为云原生计算基金会的一部分，Kubernetes 不仅成为一个强大而令人印象深刻的编排系统本身，而且它还促进了一个庞大的相关工具和服务的生态系统，使其更容易使用，并通过更强大和复杂的组件扩展其功能。

在这本新的电子书《给 SRE 和系统管理员的 Kubernetes 指导》中，Jess Cherry（Ben Finkel 也有贡献）涵盖了一系列用于管理和整合 Kubernetes 的工具和服务。Cherry 和 Finkel 提供了一些有用的 入门 指南，包括 Kubernetes 和一些工具。他们甚至还分享了面试问题，以帮助读者为在这个快速增长的大规模生态系统中工作做好准备。

了解 Kubernetes

如果你刚开始接触 Kubernetes 和容器，Ben Finkel 的 《Kubernetes 入门》文如其题，也是一篇对你需要了解的相关概念的出色介绍。它也是一本轻量级的快速入门指南，用于设置和使用单节点集群进行测试。没有什么比亲身体验技术并直接进入学习更好的方法了。什么是 吊舱 Pod ？ 如何在集群上部署一个应用程序？ Ben 一一为你做了介绍。

与集群交互的主要方式是 kubectl 命令，这是一种 CLI 工具，它提供了一种与管理集群本身的 API 服务器交互的适合方式。例如，你可以使用 kubectl get 来列出上述的吊舱和部署，但正如你对 Kubernetes 这样复杂的东西所期望的那样，它的 CLI 界面有很强的功能和灵活性。Jess Cherry 的《9 个系统管理员需要知道的 kubectl 命令》速查表是一个很好的介绍，是使用 kubectl 的入门好方法。

同样，Cherry 的《给初学者的 Kubernetes 命令空间》也很好地解释了什么是命名空间以及它们在 Kubernetes 中的使用方式。

简化 Kubernetes 的工作

在一个复杂的系统中工作是很困难的，尤其是使用像 kubectl 这样强大而极简的 CLI 工具。幸运的是，在围绕 Kubernetes 的生态系统中，有许多工具可用于简化事情，使扩展服务和集群管理更容易。

可用于在 Kubernetes 上部署和维护应用和服务的 kubectl 命令主要使用的是 YAML 和 JSON。然而，一旦你开始管理更多应用，用 YAML 的大型仓库这样做会变得既重复又乏味。一个好的解决方案是采用一个模板化的系统来处理你的部署。Helm 就是这样一个工具，被称为 “Kubernetes 的包管理器”，Helm 提供了一种方便的方式来打包和共享应用。Cherry 写了很多关于 Helm 的有用文章：创建有效的 《Helm 海图》和有用的《Helm 命令》。

kubectl 也为你提供了很多关于集群本身的信息：上面运行的是什么，以及正在发生的事件。这些信息可以通过 kubectl 来查看和交互，但有时有一个更直观的 GUI 来进行交互是有帮助的。K9s 符合这两个世界的要求。虽然它仍然是一个终端应用，但它提供了视觉反馈和一种与集群交互的方式，而不需要长长的 kubectl 命令。Cherry 也写了一份很好的《k9s 使用入门》的指南。

建立在 Kubernetes 的强大和灵活性之上的扩展

幸运的是，尽管 Kubernetes 是复杂而强大的，但它惊人的灵活并且开源。它专注于其核心优势：容器编排，并允许围绕它的爱好者和专业人士的社区扩展其能力，以承担不同类型的工作负载。其中一个例子是 Knative，在 Kubernetes 之上提供组件，它为无服务器和事件驱动的服务提供工具，并利用 Kubernetes 的编排能力在容器中运行最小化的微服务。事实证明，这样做非常高效，既能提供在容器中开发小型、易于测试和维护的应用的好处，又能提供仅在需要时运行这些应用的成本优势，可以在特定事件中被触发，但在其他时候处于休眠。

在这本电子书中，Cherry 介绍了 Knative 和它的事件系统，以及为什么值得自己研究使用 Knative。

有一个完整的世界可以探索

通过 Jess Cherry 和 Ben Finkel 的这本新的电子书，可以开始了解 Kubernetes 和围绕它的生态系统。除了上述主题外，还有一些关于有用的 Kubernetes 扩展和第三方工具的文章。

via: https://opensource.com/article/21/6/kubernetes-ebook

作者：Chris Collins 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

开始探索 kubectl、容器、吊舱等，接着下载我们的免费的速查表，这样你就可以随时掌握关键的命令了。

云计算主要是在 Kubernetes 上运行，Kubernetes 主要是在 Linux 上运行，而 Linux 在有熟练的系统管理员控制时运行得最好。无论你认为自己是云计算架构师还是只是一个保守的系统管理员，现代互联网都需要了解如何在容器中创建应用和服务，按需扩展，按需扩展以及如何明智地进行监视和管理。

进入勇敢的容器世界的第一步是学习 Kubernetes 和它的基本命令：kubectl。

安装 kubectl

kubectl 命令允许你在 Kubernetes 集群上运行命令。你使用 kubectl 来部署应用、查看日志、检查和管理集群资源，并在出现问题时进行故障排除。kubectl（以及整个 Kubernetes）的典型“问题”是，要对集群运行命令，你首先需要一个集群。然而，有一些简单的解决方案。

首先，你可以创建自己的 Kubernetes 集群，只需买三块树莓派板和相关外围设备（主要是电源）。当你获得了硬件，阅读 Chris Collins 的 使用树莓派构建 Kubernetes 集群，你就会拥有自己的安装有 kubectl 的集群。

另一种获得集群的方法是使用 Minikube，这是一个 Kubernetes 的实践环境。在所有建立和运行集群的方法中，这是最简单的。

还有更多的选择；例如，你可以参加一个关于 Kubernetes 的课程，以获得一个运行集群的实验室，或者你可以在云上购买时间。只要你有一个 Kubernetes 环境来练习，如何获得集群并不重要。

当你你能访问一个集群，你就可以开始探索 kubectl 命令。

了解吊舱和容器

容器是一个轻量级的、部分的 Linux 系统，专门用于运行一个应用或服务。容器受到 内核命名空间 的限制，这使它能够访问其主机（运行容器的计算机）上的重要系统组件，同时防止它向其主机发送数据。容器以容器镜像（或简称 镜像）的形式保存，并由称为 Containerfile 或 Dockerfile 的文本文件定义。

吊舱 Pod 是容器的正式集合，也是管理员扩展、监控和维护任何数量的容器的一种简单方法。

这些一起就像 Kubernetes 的“应用程序”。创建或获取容器镜像是你在云上运行服务的方式。

运行一个吊舱

容器镜像的两个可靠的仓库是 Docker Hub 和 Quay。你可以在仓库中搜索可用的镜像列表。通常有由项目提供的大型项目的官方镜像，也有专门的、定制的或特殊项目的社区镜像。最简单和最小的镜像之一是 BusyBox 容器，它提供了一个最小的 shell 环境和一些常用命令。

无论你是从仓库中拉取镜像，还是自己编写镜像定义并从 Git 仓库中拉取到集群中，其工作流程都是一样的。当你想在 Kubernetes 中启动一个吊舱时：

1. 在 Docker Hub 或 Quay 上找到一个你想使用的镜像
2. 拉取镜像
3. 创建一个吊舱
4. 部署吊舱

以 BusyBox 容器为例子，你可以用一条命令完成最后三个步骤：

$ kubectl create deployment my-busybox --image=busybox

等待 kubectl 完成这个过程，最后你就有了一个正在运行的 BusyBox 实例。这个吊舱并没有暴露给其他人。它只是在后台安静地在你的集群上运行。

要看你的集群上有哪些吊舱在运行：

$ kubectl get pods --all-namespaces

你也可以获得关于吊舱部署的信息：

$ kubectl describe deployment my-busybox

与吊舱互动

容器通常包含使其自动化的配置文件。例如，将 Nginx httpd 服务器作为容器安装，应该不需要你的互动。你开始运行容器，它就会工作。对于你添加到吊舱中的第一个容器和之后的每个容器都是如此。

Kubernetes 模型的优点之一是，你可以根据需要扩展你的服务。如果你的网络服务被意外的流量淹没，你可以在你的云中启动一个相同的容器（使用 scale 或 autoscale 子命令），使你的服务处理传入请求的能力增加一倍。

即便如此，有时还是很高兴看到一些证明吊舱正在按预期运行的证据，或者能够对似乎无法正常运行的某些问题进行故障排除。为此，你可以在一个容器中运行任意的命令：

$ kubectl exec my-busybox -- echo "hello cloud"

另外，你可以在你的容器中打开一个 shell，用管道将你的标准输入输入到其中，并将其输出到终端的标准输出：

$ kubectl exec --stdin --tty my-busybox -- /bin/sh

暴露服务

默认情况下，吊舱在创建时不会暴露给外界，这样你就有时间在上线前进行测试和验证。假设你想把 Nginx Web 服务器作为一个吊舱安装和部署在你的集群上，并使其可以访问。与任何服务一样，你必须将你的吊舱指向服务器上的一个端口。kubectl 子命令 expose 可以为你做到这点：

$ kubectl create deployment \
  my-nginx --image=nginx
$ kubectl expose deployment \
  my-nginx --type=LoadBalancer --port=8080

只要你的集群可以从互联网上访问，你就可以通过打开浏览器并导航到你的公共 IP 地址来测试你的新 Web 服务器的可访问性。

不仅仅是吊舱

Kubernetes 提供了很多东西，而不仅仅是存储普通服务的镜像。除了作为一个 容器编排 系统，它还是一个云开发的平台。你可以编写和部署应用，管理和监控性能和流量，实施智能负载平衡策略等。

Kubernetes 是一个强大的系统，它已经迅速成为各种云的基础，最主要的是 开放混合云。今天就开始学习 Kubernetes 吧。随着你对 Kubernetes 的进一步了解，你会需要一些关于其主要概念和一般语法的快速提醒，所以 下载我们的 Kubernetes 速查表 并将它放在身边。

via: https://opensource.com/article/21/5/kubernetes-cheat-sheet

作者：Seth Kenlon 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

微软开源抓出 SolarWinds 黑客的工具代码

微软利用 GitHub 的 CodeQL 发现其源代码是否在 SolarWinds 供应链攻击中被修改。为了调查 SolarWinds Orion 软件更新中植入的恶意软件，微软开源了其使用的 CodeQL 查询。微软使用 CodeQL 查询分析其源代码，确认其源代码中没有与 SolarWinds 事件相关的泄密指标和编码模式。

CodeQL 是一个语义代码分析引擎，它可以扫描发现代码库中的漏洞。使用 CodeQL，可以像对待数据一样查询代码。

这是一个有用的工具，更好是，微软开源了其抓捕黑客代码的知识，这种积极主动开源的心态值得点赞。果然是开源大厂。

Google 承认 Kubernetes 容器技术太复杂

Google 的 GKE 产品负责人说，尽管有过去六年的进步，Kubernetes 仍然难以置信的复杂，过去一年他们看到很多企业用户拥抱 Kubernetes，但随后就陷入了困境。

Google 推出了新的 Autopilo 服务尝试简化配置和管理，可以通过预配置选项在减少灵活性的同时增加方便性。

相对来说，AWS 等厂商的 Kubernetes 发行版在易用性方面就比原版的强出不少。

LastPass 安卓应用中有 7 个嵌入式追踪器

一份关于著名的密码管理器 LastPass 的报告显示，它的 Android 应用中有 7 个追踪器，其中包括来自谷歌的 4 个追踪器，目的是进行分析和崩溃报告。这些追踪器收集到的信息包括正在使用的设备、移动运营商、账户类型、谷歌广告 ID 等。LastPass 表示这些数据用于帮助改进和优化产品，并且用户可以设置关闭。

而对于其它的密码管理器，1Password 和 KeePass 中没有追踪器。开源的 Bitwarden 有两个，用于谷歌的 Firebase 分析和微软 Visual Studio 崩溃报告。

我觉得，对于密码管理器这样的安全敏感应用，还是要谨慎点好。