进讲师微信学习群 @韩先超老师,可进行一对一答疑和远程技术指导
高级运维、资深DevOps工程师、首席技术架构师,51CTO年度十大杰出讲师;具备RHCE、RHCA、CKA、CKS等认证证书;参加过新一代云计算大会,作为主讲嘉宾分享k8s如何助力企业转型、被北京日报发文专题报道;k8s课程被选入工业和信息化部人才交流中心官方认证课程。同时也对对中国移动、咪咕视讯等企业做过线上k8s技术培训。
1、k8s入门与企业实战、二进制和kubeadm安装高可用k8s集群、k8s常见故障解决方案、DevOps简历、k8s常见面试题总结、k8s网络插件对比分析及优化指南;
2、K8s认证、授权、准入机制及多集群管理、RBAC基于角色的访问控制;
8、微服务及流量治理:SpringCloud、Istio、Springcloud+k8s、Istio+k8s、流量治理方案:熔断、超时、重试、故障注入、按百分比流量分发、按权重实现流量切分、灰度发布、滚动升级、金丝雀发布、蓝绿部署等多种升级方案讲解
1、在技术群里大家可以相互交流,和志同道合的小伙伴一起学习;
2、搞技术的避免闭门造成,要经常沟通,工作学习遇到问题,在技术群提出来,大家3、帮你解决,会提升你解决问题的效率,利用空闲时间可以学习新的知识;
4、如果大家工作或者学习遇到问题,我也可以提供远程指导,帮助大家快速解决问题。在技术群里大家可以相互交流,和志同道合的小伙伴一起学习;
5、如果大家工作或者学习遇到问题,我也可以提供远程指导,帮助大家快速解决问题;
6、提供及时高质量的售后服务,先超老师亲自答疑指导;
7、再好的课程,没有答疑,那就不能称得上是完整的课程;
8、学习遇到问题,老师的一句话可能会解决困扰你许久的难题;
9、老师在线答疑,远程一对一辅导可以提升你学习的进度,帮助你快速解决学习和工作的问题;
10、老师会把最新知识和题库实时更新,让你买一门课程,可以一直受用。
K8S体系涉及到的技术众多,包括存储、网络、安全、监控、日志、DevOps、微服务、故障排查等,很多刚接触K8S的初学者,都会感到无从下手,为了能让大家系统地学习,克服这些技术难点,推出了这套K8S架构师实战课程,帮你快速掌握这项升职加薪技能。
学习方式:随时都可以学习+提供全套源码笔记和课程资料
教学服务:模拟面试、就业指导、岗位内推、讲师24小时在线答疑、一对一答疑、远程指导
课程有效期:课程永久有效
K8s课程版本会随着官方版本随时更新,针对不同版本k8s新增功能也会同步更新。
课程提供完整的学习资料,大家可以在我提供的资料基础上做一些标注修改,课程资料会及时更新,大概每周会新增一批新的内容,大家购买一次课程,可以一直享受学习最新的技术,课程涉及到的技术也都会同步到跟官方一致的最新版。
在讲师课程首页可以看到粉丝群二维码,扫码即可进群,进粉丝群可以随时解决大家问题,也可以把课程更新的内容在群里通知大家,粉丝群也会定期发布一些技术类文章等,在群里@讲师,还可以远程一对一答疑指导
2、构建企业级容器云平台、 Docker基本用法、 Dockerfile语法详解;
4、Docker网络模式、Docker资源配额:限制Cpu、内存、磁盘IO等、Docker私有仓库;
5、Harbor、registry、阿里云镜像仓库、Harbor镜像复制以及服务高可用、Docker优化策略等。
1、二进制和kubeadm搭建k8s高可用集群;
2、k8s版本升级、备份还原、生产环境高可用安装、多集群管理、多租户管理、多种后端持久化存储、K8s架构、组件、核心资源解读;
3、Pod基础入门与资源清单编写;
4、Pod高级调度:污点、容忍度、亲和性、反亲和性、节点选择器、livenessProbe存活性探测、readinessProbe就绪性探测、startupProbe启动探测、临时容器等;
5、ReplicaSet和Deployment管理Pod:扩容、缩容、多种更新策略:蓝绿发布、金丝雀发布、滚动更新;
1、K8s自动扩缩容:基于HPA、VPA、KPA和CA的扩缩容;
4、Ingress网关代理超时、数据包丢失排查思路;
9、k8s安全记住:认证、授权、准入控制;
10、k8s+DevOps面试题和简历汇总;k8s版本升级等。
1、Prometheus架构、原理、安装、高可用方案深度解读;
4、Grafana可视化展示监控数据;
6、如何选择适合企业的监控系统?
11、选择多维度监控指标:报警阀值、自动修复、采集维度。
1、链路级别监控如何做到对代码无侵入?
2、借助Pinpoint实现微服务的链路追踪和分析;
构建完善的日志收集平台:
1、常见的日志收集方案以及如何选择;
3、采集k8s组件、容器、物理节点、业务组件日志;
4、借助缓存解决大量日志堆积问题;
5、借助监控、日志、分布式追踪系统快速定位线上问题并及时解决。
3、常见的微服务架构对比分析。
1、Istio安装和配置;
3、Istio实现灰度发布和按流量百分比发布;
4、Istio助力k8s实现流量管控:熔断降级、超时、重试、故障注入等;
5、Istio架构解析、代理异常、常见故障、生产实践。
4、k8s对接Ceph和nfs实现数据持久化;
下图列举了课程部分章节截图-课程内容会实时免费更新
完备的售后服务、提供技术答疑和远程指导:
再好的课程,如果没有课外答疑,那就相当于只买了个寂寞,因为如果看视频出现问题,自己解决不了,又找不到老师答疑,那无疑会浪费自己的很多时间,所以大家在学习的时候最希望的是出现问题有人及时帮你解答,那么老师考虑到同学们的担忧,特提供课外答疑和51CTO官方技术群,及时解决学员遇见的各种问题。
课程涉及到的部分项目截图
什么是RBAC(基于角色的访问控制)?
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。如图:
定义角色:在定义角色时会指定此角色对于资源的访问控制的规则;
绑定角色:将主体与角色进行绑定,对用户进行访问授权
在k8s的授权机制当中,采用RBAC的方式进行授权,其工作逻辑是,
上面说了两个角色绑定:
假如有6个名称空间,每个名称空间的用户都需要对自己的名称空间有管理员权限,那么需要定义6个role和rolebinding,然后依次绑定
如果名称空间更多,我们需要定义更多的role,这个是很麻烦的,所以我们引入clusterrole,定义一个clusterrole,对clusterrole授予所有权限
然后用户通过rolebinding绑定到clusterrole,就会拥有自己名称空间的管理员权限
注:RoleBinding仅仅对当前名称空间有对应的权限
在dev
命名空间内,授予mysa
服务帐户view
集群角色
案例1) 限制不同用户访问不同名称空间的资源生成一个证书
在生产环境使用k8s以后,大部分应用都实现了高可用,不仅降低了维护成本,也简化了很多应用的部署成本,但是同时也带来了诸多问题。比如开发可能需要查看自己的应用状态、连接信息、日志、执行命令等。
使用k8s后,业务应用以Pod为单位,不像之前的以服务器为单位,可以直接通过登录服务器进行相关操作。当业务应用使用k8s部署后,k8s官方的dashboard虽然可以进行查看日志、执行命令等基本操作,但是作为运维人员,不想让开发操作或查看自己范围之外的Pod,此时就要使用RBAC进行相关的权限配置。
本文章主要讲解两方面的问题:
为了方便开发和运维人员登录Dashboard,需要将Dashboard登录方式用户名密码认证(用户名密码和Token可以同时开启)。
basic_auth_file为存储账号密码的文件,格式如下:
依次是密码、用户名、ID号、用户组,因为下面会为已登录的用户进行授权,所以把组设置成了system:authentication,按需更改。
创建查看namespace资源的权限
创建Pod执行权限
创建Pod删除权限
上述权限创建完成后,只需要将对应的用户绑定对应的权限即可实现不同的用户在不同的namespace实现不同的权限。
对RBAC不熟悉的可以参考
或者参考书籍《再也不踩坑的Kubernetes实战指南》第二章。
案例:假设有一个用户叫java7,需要访问default命名空间下的资源,可以在容器执行命令和查看日志
添加权限之前是不能查看任何信息的:
方式一:使用Ratel一键配置,选择对应的集群、Namespace、用户名、勾选权限点击创建即可。
创建成功后再次登录,即可查看该Namespace的信息
执行命令:
同时也不能查看其他namespace的资源
方式二:使用yaml文件配置
使用Ratel进行权限配置,在配置权限后在对应的namespace下创建对应的RoleBinding,如下:
在没有安装Ratel的情况下,可以使用上述yaml内容直接创建至对应的namespace下即可完成权限配置。
上述只是实现了对常用资源的权限控制,其他权限控制类似。
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。