一、接入前提
ACK 集群开启日志服务组件Logtail
- 创建集群时启用Logtail(初始化ACK 集群时操作,新集群建议开启)
![]()
VPC 网络规划案例
Helm 应用部署
Git Flow 工作流
Alicloud-RAM 与 STS 权限
一、前言
当通过OpenApi接口来调用云资源时(即替代控制台的操作),当前的方式有两种:
- 通过 AK+SK 方式直接调用,只要该AK所属的账号有相关权限即可调用对应资源(授权分为系统策略和自定义策略)
- Alicloud账号(RAM用户)/Alicloud服务(ECS等)/身份提供商(SSO) 通过扮演角色获取角色的临时令牌(即通过调用AssumeRole接口),通过该临时令牌(临时令牌可设定会话时间),通过 STS接口获取到的 临时AK+临时SK+临时STSToken 进行调用对应资源
二、官方概念介绍
- STS概念
- AlicloudSTS(Security Token Service)是Alicloud提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)
Alicloud-Promotheus & Grafana 监控大盘与告警通知
一、背景
- 线上ACK 集群部署了StatefulSet 应用(rabbitMQ),由于rabbitMQ 本身自带的management 后台数据展示较为简陋且没有告警功能,因此考虑接入云上产品监控资源数据且对接告警通知功能,主要通过如下产品实现:
- 接入Prometheus 监控+grafana 进行数据图表展示。
- 利用Arms 产品获取Prometheus 的监控指标,按照设定的阈值进行告警通知功能。
二、操作过程
1)接入Prometheus 组件监控,获取数据指标
- 进入云产品 Prometheus监控服务,选择对应集群。(ACK集群需要先安装Prometheus 监控组件,安装参考:ARMS Prometheus监控)
![]()
NetworkPolicy 隔离策略
一、背景
一次对当前业务使用ACK 集群的业务调研与改造:针对NetworkPolicy 策略的调研,主要用于新建ACK 集群的网络规划与网络隔离
1)当前云环境ACK 集群使用现状和痛点
UAT/线上 环境应用较多,且应用没有做集群内隔离,所有应用全部都在ACK 集群的default namespace 中。没有做到逻辑网络隔离。
集群通过暴露公网SLB 方式进行集群调用,存在浪费资源、管理混乱、安全风险等问题。通过namespace 隔离 + NetworkPolicy 策略通信的方式可以实现集群内部应用自行调用,和VPC 打通之后使用NetworkPolicy 的IP 块策略还可实现跨集群的应用内网调用。
2)实现隔离策略价值
降低成本:可以通过网络逻辑隔离的方式将应用已namespace 方式进行隔离,减少冗余的物理设备降低成本。
增加效能:避免复杂且多余的网络设计,使应用之间的调用简单且易于排查。
Kubernetes-RBAC 权限控制
一、RBAC简易概述
1) RBAC 四种 API 对象
- Role:一组权限的集合,在一个命名空间中,可以用其来定义一个角色,只能对命名空间内的资源进行授权。如果是集群级别的资源,则需要使用ClusterRole。例如:定义一个角色用来读取Pod的权限
- ClusterRole:具有和角色一致的命名空间资源的管理能力,还可用于以下特殊元素的授权
- 集群范围的资源,例如Node
- 非资源型的路径,例如:/healthz
- 包含全部命名空间的资源,例如Pods
例如:定义一个集群角色可让用户访问任意secrets
- RoleBinding:角色绑定
- ClusterRoleBinding:集群角色绑定
角色绑定和集群角色绑定用于把一个角色绑定在一个目标上,可以是User,Group,Service Account,使用RoleBinding为某个命名空间授权,使用ClusterRoleBinding为集群范围内授权。
Role和ClusterRole是权限规则的定义
- rules代表具体的授权规则,类似于AlicloudRAM中的权限策略Policy
- Role和ClusterRole区别只在于一个是集群级别的资源控制