BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Google Kubernetes Engine升级:区域性集群、新控制面板和安全建议

| 作者 Steef-Jan Wiggers 关注 7 他的粉丝 ,译者 罗远航 关注 1 他的粉丝 发布于 2017年12月28日. 估计阅读时间: 5 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Google已经通过几次更新对它的Kubernetes Engine (GKE)服务进行了升级。用户现在可以大规模使用GKE,并且目前除了使用kubectl命令对集群进行控制管理外,它还支持通过一个Web端的控制面板云控制台Cloud Console对集群进行管理。除此之外,GKE还可以通过使用Google最佳实践来运行Kubernetes集群,从而增强了安全性。

在12月初,Google宣布GKE的区域性集群(regional clusters)正处于测试中并且拥有更好的可扩展性。这就意味着,用户现在可以创建一个Kubernetes集群,它可以有多个master节点并且具有高可用的控制平面(control plane)。区域性集群的好处是,当升级master节点以及恢复单个区域出现错误时,可以减少宕机时间。对于GKE用户来说,新的云控制台可以更好地管理集群、排除故障以及执行各种修复。除此之外,Google还提供了几种运行Kubernetes集群的最佳实践。他们建议为各个节点、各个管理员使用尽可能少的特权账户并禁用Kubernetes Web UI (也就是Kubernetes Dashboard)和生产环境中的遗留授权。

图片来源:https://cloudplatform.googleblog.com/2017/12/Manage-Google-Kubernetes-Engine-from-Cloud-Console-dashboard-now-generally-available.html

在Kubernetes区域性集群中,master节点和其他节点分布在三个区域中,每个区域默认会有三个节点。这种master节点和其它节点的分布使得有一个区域出现故障时依然能保证集群可用。此外,通过增加每个区域中的节点数量(通过配置--num-nodes属性),可以进一步增强集群的可用性和可拓展性。可以从相关文档中找到关于区域性集群特性更详细的信息。

图片来源:https://cloudplatform.googleblog.com/2017/12/with-Google-Kubernetes-Engine-regional-clusters-master-nodes-are-now-highly-available.html

在测试GKE区域性集群这一特性期间,这一服务是免费的。最后,在对集群进行配置时,Google建议:

  • 通过云控制台中的IAM来创建服务账户,在将它们与各个节点进行关联之前遵循最少特权原则。
  • 当集群已经启动并运行时,禁用Kubernetes Web UI,因为它受控于一个拥有高度特权的账户。
  • 禁用遗留授权,那是基于属性的访问控制(ABAC,Attribute-Based Access Control)。在Kubernetes 1.8中,ABAC默认是禁用的。

在Google Cloud Platform博客中可以找到完整的如何在GKE中运行Kubernetes集群的安全性推荐的有关详细内容。

目前三家公有云服务提供商(Google、Amazon、Microsoft)都在通过各自的服务来支持Kubernetes。Amazon和Microsoft在各自的平台上都与可用的通用容器配置工具。这两家云服务提供商目前都把精力主要集中于Kubernetes。Microsoft通过为Kubernetes使用一个专用的Azure容器服务(AKS)来对Kubernetes提供支持,该服务于去年10月推出,并可以在公开预览版中进行使用。Amazon在他们最近的re:Invent大会上也宣布了,他们将通过一项名为Amazon Elastic Container Service的服务来支持Kubernetes,这项服务目前也在公开预览阶段。

查看英文原文:Google Kubernetes Engine Upgrades: Regional Clusters, New Dashboard and Security Recommendations

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT