Change

Thoughts, stories and ideas.

最新

Service 到底把流量发给了谁?解密 K8s 隐藏的功臣:Endpoint

在 Kubernetes 的日常操作中,你一定遇到过这样令人抓狂的场景: 你部署了一个 Nginx 的 Pod,状态是 Running;你又为它创建了一个 Service,IP 也分配了。一切看起来都很完美,但是当你用 curl 去访问这个 Service 时,得到的却是无尽的等待(Timeout)或者连接拒绝(Connection Refused)。 “我的 Pod 活得好好的,Service 也建了,流量到底死在哪个环节了?” 今天,我们就来揭开 K8s 网络中这个最容易被忽视的隐藏功臣——Endpoint 的神秘面纱。弄懂了它,你将掌握 K8s 内部网络排错的终极密码。 ☎️ 通俗类比:客服热线与接线员 在传统的认知里,很多人以为 K8s 的网络拓扑是这样的: 外部流量 ->

By GFrank

再也不为底层发愁:用“租房模型”秒懂 Kubernetes 的 PV 与 PVC

如果你刚接触 Kubernetes,在搞定了 Pod 和 Deployment 后,往往会一头撞死在“持久化存储”的墙上。 在传统的单机时代,我们要存数据,直接把宿主机的目录挂载(Volume 映射)进容器就行了。但在 K8s 这种到处漂移的分布式集群里,如果 Pod 挂了,被重新调度到另一台机器上,它原本写在本地硬盘上的数据就全丢了。 为了解决这个问题,K8s 引入了网络存储(如 NFS、Ceph、阿里云云盘等)。但是,如果让写业务代码的程序员去关心底层挂载的是 Ceph 还是阿里云盘,还要写一堆复杂的连接配置,这就太反人类了。 于是,K8s 架构师们大笔一挥,发明了两个伟大的抽象概念:PV 和 PVC。 今天,我们不扯枯燥的官方文档,直接用“租房模型”让你秒懂这套机制。 🏠 角色一:

By GFrank

K8s 零信任实战:如何用 NetworkPolicy 拦截集群内的“非法访问”?

在很多人的潜意识里,Kubernetes 内部是一个绝对安全的“乌托邦”:只要把服务部署到了集群里,不暴露 NodePort 或者 Ingress,外部黑客就打不进来,内部服务也是绝对安全的。 但现实往往很骨感。Kubernetes 的默认网络模型是“扁平且全开放”的。 这意味着什么?这意味着如果你的集群里运行着一个电商系统和一个内部财务系统,只要它们在同一个集群网络下,电商系统里的任意一个微服务,都可以畅通无阻地 ping 通财务系统里的核心数据库!一旦某个边缘微服务存在漏洞被拿下,攻击者就能以此为跳板,在集群内部横向移动(Lateral Movement)。 今天,我们就来实战演练一把:如何打破这种“全连通”的默认状态,用 NetworkPolicy(网络策略) 给核心服务穿上防弹衣。 🔪 场景重现:合法的 API 与非法的“黑客” 假设我们在 auth-space 命名空间下,运行着一个极其重要的数据库服务 mysql(带有标签 db=mysql)

By GFrank
鄂ICP备2026019394号-1