USERS > CLUSTER OPERATOR > INTERMEDIATE
Introduction
sections in this doc

如果您是希望扩展对 Kubernetes 掌控程度的集群运维人员,则此页面及其链接的主题扩展了在 基础集群运维人员页面 上提供的信息。通过此页面,您可以获得有关管理整个生产集群所需的关键 Kubernetes 任务的信息。

与 ingress,网络,存储和工作负载一起工作

Kubernetes 的介绍通常讨论简单的无状态应用程序。随着您进入更复杂的开发,测试和生产环境,您需要考虑更复杂的情况:

通信:Ingress 和网络

存储:Volume 和 PersistentVolume

工作负载

Pods

以及 Pod 如何处理调度,优先级和中断:

实施安全最佳实践

保护集群的工作超出了 Kubernetes 本身的范围。

在 Kubernetes 中,您可以配置访问控制:

您还可以配置授权。也就是说,您不仅可以决定用户和服务如何向 API server 进行身份认证,或者确定他们是否可以访问,还可以决定他们有权访问哪些资源。基于角色的访问控制(RBAC)是控制对 Kubernetes 资源授权的推荐机制。其它授权模式可用于更具体的使用场景。

您应该创建 Secrets 来保存敏感数据,例如密码,令牌或密钥。但请注意,Secret 可以提供的保护存在限制。请参阅 Secret 文档中的风险部分

实现自定义日志和监控

监视群集的健康和状态非常重要。收集指标,记录并提供对这些信息的访问是常见的需求。Kubernetes 提供了一些基本的日志记录结构,您可能需要使用其他工具来帮助汇总和分析日志数据。

Kubernetes 日志基础知识 开始,了解容器如何执行日志记录和常见模式。集群运维人员通常希望添加一些东西来收集和聚合这些日志。请参阅以下主题:

与日志聚合一样,许多集群使用其他软件来帮助捕获 metrics 并显示它们。这里是相关工具的概述:用于监视计算,存储和网络资源的工具。Kubernetes 还支持 内核 metrics 管道,可以在水平 Pod 自动伸缩器(Horizontal Pod Autoscaler)中使用自定义 metrics。

Prometheus 是另一个 CNCF 项目,它是支持捕获和临时收集 metrics 的常用选择。安装 Prometheus 有几种方式,包括使用 stable/prometheus helm chart,CoreOS 提供的 prometheus operator 以及 kube-prometheus,它增加了 Grafana 仪表板和常用配置。

Minikube 和某些 Kubernetes 集群的通常配置是 与 InfluxDB 和 Grafana 一起 使用 Heapster。 这里有一个 如何在集群中安装这个配置的参考。 从 Kubernetes 1.9 开始,sig-instrumentation 团队正在转变使用 heapster 进行全面监控的模式,相关细节在 Prometheus vs. Heapster vs. Kubernetes Metrics APIs 中进行描述。

其他资源

Analytics

Create an Issue Edit this Page