Coming soon

Coming soon

This is Change Myself, a brand new site by GFrank that's just getting started. Things will be up and running here shortly, but you can subscribe in the meantime if you'd like to stay up to date and receive emails when new content is published!

阅读更多

Service 到底把流量发给了谁?解密 K8s 隐藏的功臣:Endpoint

在 Kubernetes 的日常操作中,你一定遇到过这样令人抓狂的场景: 你部署了一个 Nginx 的 Pod,状态是 Running;你又为它创建了一个 Service,IP 也分配了。一切看起来都很完美,但是当你用 curl 去访问这个 Service 时,得到的却是无尽的等待(Timeout)或者连接拒绝(Connection Refused)。 “我的 Pod 活得好好的,Service 也建了,流量到底死在哪个环节了?” 今天,我们就来揭开 K8s 网络中这个最容易被忽视的隐藏功臣——Endpoint 的神秘面纱。弄懂了它,你将掌握 K8s 内部网络排错的终极密码。 ☎️ 通俗类比:客服热线与接线员 在传统的认知里,很多人以为 K8s 的网络拓扑是这样的: 外部流量 ->

By GFrank

再也不为底层发愁:用“租房模型”秒懂 Kubernetes 的 PV 与 PVC

如果你刚接触 Kubernetes,在搞定了 Pod 和 Deployment 后,往往会一头撞死在“持久化存储”的墙上。 在传统的单机时代,我们要存数据,直接把宿主机的目录挂载(Volume 映射)进容器就行了。但在 K8s 这种到处漂移的分布式集群里,如果 Pod 挂了,被重新调度到另一台机器上,它原本写在本地硬盘上的数据就全丢了。 为了解决这个问题,K8s 引入了网络存储(如 NFS、Ceph、阿里云云盘等)。但是,如果让写业务代码的程序员去关心底层挂载的是 Ceph 还是阿里云盘,还要写一堆复杂的连接配置,这就太反人类了。 于是,K8s 架构师们大笔一挥,发明了两个伟大的抽象概念:PV 和 PVC。 今天,我们不扯枯燥的官方文档,直接用“租房模型”让你秒懂这套机制。 🏠 角色一:

By GFrank

K8s 零信任实战:如何用 NetworkPolicy 拦截集群内的“非法访问”?

在很多人的潜意识里,Kubernetes 内部是一个绝对安全的“乌托邦”:只要把服务部署到了集群里,不暴露 NodePort 或者 Ingress,外部黑客就打不进来,内部服务也是绝对安全的。 但现实往往很骨感。Kubernetes 的默认网络模型是“扁平且全开放”的。 这意味着什么?这意味着如果你的集群里运行着一个电商系统和一个内部财务系统,只要它们在同一个集群网络下,电商系统里的任意一个微服务,都可以畅通无阻地 ping 通财务系统里的核心数据库!一旦某个边缘微服务存在漏洞被拿下,攻击者就能以此为跳板,在集群内部横向移动(Lateral Movement)。 今天,我们就来实战演练一把:如何打破这种“全连通”的默认状态,用 NetworkPolicy(网络策略) 给核心服务穿上防弹衣。 🔪 场景重现:合法的 API 与非法的“黑客” 假设我们在 auth-space 命名空间下,运行着一个极其重要的数据库服务 mysql(带有标签 db=mysql)

By GFrank
鄂ICP备2026019394号-1