开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么不在生产中的kubernetes环境中运行tcpdump sidecar？

在生产中的Kubernetes环境中不建议运行tcpdump sidecar的原因有以下几点：

安全性考虑：tcpdump是一个强大的网络抓包工具，可以捕获和分析网络数据包。在生产环境中，运行tcpdump sidecar可能会导致敏感信息的泄露，包括但不限于用户凭据、敏感数据等。因此，为了确保生产环境的安全性，不建议在Kubernetes环境中直接运行tcpdump sidecar。
性能影响：tcpdump会对系统资源产生较大的负载，包括CPU、内存和磁盘IO等。在高负载的生产环境中，运行tcpdump sidecar可能会导致系统性能下降，影响应用程序的正常运行。为了保证生产环境的稳定性和性能，不建议在Kubernetes环境中直接运行tcpdump sidecar。
复杂性和维护成本：在Kubernetes环境中运行tcpdump sidecar需要额外的配置和管理工作。这包括设置网络权限、存储抓包数据、定期清理数据等。这增加了部署和维护的复杂性，并增加了管理成本。为了简化生产环境的管理和维护，不建议在Kubernetes环境中直接运行tcpdump sidecar。

相应地，腾讯云提供了一些与网络安全相关的产品和服务，可以帮助保护生产环境的安全性，例如：

腾讯云安全组：安全组是一种虚拟防火墙，用于实例级别的网络访问控制。您可以通过安全组规则限制入站和出站流量，保护实例的网络安全。了解更多：腾讯云安全组
腾讯云Web应用防火墙（WAF）：WAF可以检测和阻止Web应用程序中的恶意流量和攻击，保护Web应用程序的安全。了解更多：腾讯云Web应用防火墙（WAF）
腾讯云DDoS防护：DDoS防护服务可以帮助抵御分布式拒绝服务（DDoS）攻击，确保网络的可用性和稳定性。了解更多：腾讯云DDoS防护

请注意，以上仅是腾讯云提供的一些网络安全相关产品和服务的示例，具体的选择和配置应根据实际需求和情况进行。

相关搜索:为什么Spring不在TaskScheduler类中运行我计划的任务？为什么不在括号中运行我的js代码？为什么在生产环境中运行我的rails应用程序时会出现此错误，而不是在开发中？为什么我的RoR应用程序中的CSS会根据我是在生产中运行还是在开发中运行而发生变化？为什么这段代码不能在真实环境中运行？说‘正常’是未定义的(新的编码器)在kubernetes上通过helm运行的dask分布式环境中，我们如何选择--nthread和--nprocs per worker？我们是否需要kubernetes实例来连接运行在沙箱环境中的Eclipse Hono和Eclipse Ditto？昆明主机大连主机厦门主机

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Kubernetes 中分析调试网络流量的4种方式

这意味着像tcpdump这样的工具通常在容器中不可用。这使得调试和分析容器之间的网络通信变得更加困难，从而使得调试微服务间的通信比在非容器环境中更加困难。本文展示了一种解决方案。...为了克服这个问题，我们使用了“sidecar容器”的概念。 Sidecar 概念 sidecar容器是与实际服务/应用程序运行在相同pod中的容器，能够为服务/应用程序提供附加功能。...我们将添加一个额外的容器，安装了tcpdump的sidecar到pod中。...我最后使用的方法是登录到sidecar容器，并在sidecar中运行tcpdump命令来创建PCAP文件。...在这个例子中，我正在分析我的HTTP POST方法，它创建了Mortgage 进程的一个新实例: 总结在容器环境(如Kubernetes和/或OpenShift)中分析pod之间的网络通信可能比在非容器环境中更困难一些

1.1K5 0

非云环境中Kubernetes的配置和运行：技术栈

即无论由于何种原因导致单个 HAProxy 失败，就会完全失去对 Kubernetes API 的访问。当然，考虑到该组件在架构中的重要地位，我们应尽量避免这种情况的发生。...dnsmasq 在设计上是轻量级的，运行代价很小，适用于资源受限的路由器和防火墙。dnsmasq 还广泛应用于智能手机和便携式热点的网络共享，并支持虚拟化框架中的虚拟网络。...这意味着，用户的所有软件及依赖项（例如软件库，配置等）都打包在容器中，这使得应用移植更为轻松，无需操心应用部署环境间可能存在的潜在差异。...该方法的一大优势是，用户可在任何其他环境或新机上启动容器，而不会出现意外错误或其他配置问题。因为用户应用所需的所有内容都打包在同一容器中。通过这种方式，容器实现了可预测、可重复和不可变的管理。...Kubernetes 的内部机制，将在本系列后续文章中介绍。 ? 11Debian Debian 是一种计算机使用的免费操作系统。操作系统是计算机运行一系列的基础程序和工具。

7032 0

使用两年之后，我为什么卸载了Istio？

在 Sidecar 代理运行之前，应用程序容器的网络调用都将失败。这一点尤为糟糕，这也是我认为服务网格尚不适用于所有人的主要原因。...可以借用 Kubernetes 的故事来制作 Sidecar（你可以标记 Pod 中某个容器中为自旋向上的 Sidecar）。...我已经成功地在生产和预发集群中使用了服务网格，但有两个限制条件，只让 Sidecar 代理监控 HTTP 通信；将 mTLS 设置为可选（如果某个 Pod 不在网格上，它仍然可以与网格上的另一个 Pod...我不在审查集群上使用服务网格。把审查应用程序放到服务网格中有太多的问题需要解决了。 1为什么我卸载了 Istio？简而言之，因为操作复杂。...如果你只使用 Kubernetes 特性中的一小部分，Kubernetes 也很简单。 Nomad 现在还很活跃，如果你需要将流程直接编排到服务器上，那么这就是你的选择。

6762 0

容器与云|为什么需要关心服务网格

在微服务环境中，服务网格为开发和运营提供了好处。很多开发者不知道为什么要关心服务网格ServiceMesh。...关于简化，你可能也想知道，为什么分布式微服务必须设计得如此复杂才能在Kubernetes集群上运行。...Kubernetes加服务网格平台不需要让服务负责处理这些复杂的问题，也不需要在每个服务中添加更多的代码来处理云原生的问题，而是负责向运行在该平台上的任何应用（现有的或新的，用任何编程语言或框架）提供这些服务...那么微服务就可以轻量级，专注于其业务逻辑，而不是云原生的复杂性。 为什么服务网格对运维很重要这并没有回答为什么运维团队需要关心在Kubernetes上运行云原生微服务的服务网格。...因为运维团队必须确保在Kubernetes环境上的大型混合云和多云上部署新的云原生应用的强大安全性、合规性和可观察性。

5292 0

Dapr概览(中文翻译)

此外，Dapr与平台无关，这意味着您可以在任何Kubernetes集群和其他与Dapr集成的托管环境上本地运行应用程序。这使您能够构建可以在云和edge上运行的微服务应用程序。...包括重试，无论远程服务位于受支持的托管环境中哪个位置 State management (状态管理) 有了用于存储键值对的状态管理，就可以在应用程序中轻松编写无状态服务和长时间运行的、高可用的有状态服务...Hosting Environments Dapr可以托管寄宿在多个环境下，包括用于本地开发的自托管，或是部署到VM，K8S、Azure IOT edge等环境中。...Kubernetes hosted 在容器托管环境下，例如K8S，Dapr作为side-car容器运行与应用容器在相同的pod上。...在Kubernetes中，Dapr-sidecar注入器和Dapr-operator 服务提供了一流的集成，将Dapr作为一个sidecar容器作为服务容器在同一个pod中启动，并提供Dapr组件更新到集群中的通知

2192 1

云原生爱好者周刊：长得最像苹果的 Linux 桌面

GitHub 上有位热心大佬就用思维导图总结了自己对 Linux 操作系统，网络，C++，Golang 以及 Kubernetes 的理解。例如：为什么需要 Pod？...云原生不仅仅是 Kubernetes。虽然 45.6% 的受访者表示在生产中使用 Kubernetes，但只有 15.7% 的受访者表示专门使用 Kubernetes。...中的 Pod。...Linux 桌面环境，而且是开源的，目前只支持 Arch Linux~~ 文章推荐在 QEMU MicroVM 内运行 Docker 容器[9] 本文比较了 Docker 容器与虚拟机的优缺点，并解释了为什么要在...并通过具体的示例来演示如何在 QEMU MicroVM 内运行 Docker 容器。 Thanos 该选择 Sidecar 还是 Receiver？

1.1K4 0

译文：Istio Ambient 模式安全架构深度解析

在 ambient 模式中，数据平面组件和应用程序不在同一个 pod 中，因此，应用程序被攻破不会导致代理中的机密信息的泄露。 Envoy 代理是一个潜在的被攻击目标吗？...Envoy 是一个经过安全加固的基础设施，受到了严格的审查，并在一些关键的环境中大规模运行（例如，在生产中用于谷歌的网络前端）。然而，由于 Envoy 是软件，它对漏洞并没有免疫力。...每个命名空间/身份都有自己的L7代理；没有多租户代理在 ambient mesh 中，我们不在多个服务身份之间共享代理中的 L7 处理。...每个身份（Kubernetes 中的 service account）都有自己的专用 L7 代理（waypoint代理），这与 sidecar 模型非常相似。...在 Istio 中，sidecar 依然是 mesh 的一等公民，用户可以选择继续使用该模式。用户也可以选择同时运行 sidecar 和 ambient 模式。

6212 0

服务网格仍然很困难

Zookeeper作为Kubernetes StatefulSet运行。...不过有一个Sidecar Kubernetes增强建议（KEP），但是Kubernetes版本中尚未实现，并且要花一些时间才能使用该功能。同时，服务所有者可能会在启动或停止时观察到意外行为。...像Istio这样的一些项目已经添加了智能协议检测功能，以帮助检测协议并简化网格的入门体验，但是，我们仍然建议用户在生产中显式声明协议。...通过在Kubernetes中添加appProtocol设置，服务所有者可以使用标准方法为在较新的Kubernetes版本（例如1.19）中运行的Kubernetes应用程序服务配置协议。...在非服务网格环境中，源容器和目标容器之间可能只有1个连接池，但是在服务网格环境中会出现3个连接池：源容器到源Sidecar代理源Sidecar代理到目标Sidecar代理目标Sidecar代理到目标容器

4422 0

技术分享 | kubernetes 环境测试部署 MySQL 的随想

有了容器技术后为什么还需要 kubernetes？容器凭借其良好的移植性，敏捷性和革命性的打包方式迅速成为云服务的新基础设施。...2、容器隔离带来的监控视野问题在 kubernetes 中，如果将 MySQL 制作为 container 运行在一个 pod 中，container 会将 MySQL 进程和运行环境隔离在一个单独的...这些在传统环境中已经解决的问题在 kubernetes 中仍然需要被重新规划解决方案。...使用 kubernetes secret 存储和管理 root 密码 3. statefulset 创建的 pod 中定义两个 container，一个容纳 mysqld 进程，一个容纳以 sidecar...A：可以在创建集群时配置限制，但该功能只在 master 版本上存在，目前 helm hub 中使用的是 0.3.0 tag 版本，该版本中无该功能 Q：业务和实例不在一个 kubernetes 集群时该如何连接

5812 0

Service Mesh 体系解析

Platform9 Managed Kubernetes服务将很快提供针对混合环境的Istio的完全托管服务。...控制平面是同样在Kubernetes集群中运行的Pod，如果服务网格的任何部分中单个Pod发生故障，则可以提供更好的弹性。...这种松散耦合使得 Istio 能够在多种环境下运行（例如，Kubernetes、Consul、Nomad），同时保持用于流量管理的相同操作界面。...在 Istio 架构体系中，Envoy 被部署为 Sidecar，和对应服务在同一个 Kubernetes Pod 中。...那么，现在有个问题，既然 Istio 与 Linkerd 都作为 Service Mesh生态中的2大形态，为什么不使用相同的Proxy 呢？

6673 0

揭秘LOL背后的IT基础设施丨关键角色“调度”

Docker容器映像提供了一个不变的、可部署的“神器”，它可以一次构建并部署在开发、测试和生产中。此外，它还保证生产环境中运行的映像的依赖性，与测试期间的依赖性完全相同。...调度程序负责查找具有足够内存和CPU资源以支持这些容器的主机，并执行使这些容器运行所需的任何操作。如果这些服务器之一发生故障，调度程序还负责为受影响的容器查找替换主机。...当我们决定使用调度程序时，就快速进行原型设计，以便了解容器化服务在生产中是否适合我们。此外，我们需要确保现有的开放源代码选项可以在目前的环境中运行，或者确保维护人员愿意接受我们的调整。...它们不支持容器组（pods）——我们认为需要将sidecar容器与许多服务捆绑在一起（附注：sidecar是容器日志的一种模式）。...用Go编写，并且在生产数据中心中运行时，被编译并打包到Docker容器中。

5893 0

译文：重磅消息 - Istio 引入 Ambient Mesh 模式

译者按：Istio 于2022年9月7日宣布了一种全新的数据平面模式 “ambient mesh”（ambient 意思是“环境的”，这里指 ambient mesh 使用了环境中的共享代理而不是 sidecar...该变化是 Istio 自创建以来的第二次大的架构变动，也说明 Istio 社区在持续创新，以解决 service mesh 生产中面临的实际问题。...这导致了下述这些限制：侵入性 - 必须通过修改应用程序的 Kubernetes pod spec 来将 sidecar 代理 “注入” 到应用程序中，并且需要将 pod 中应用的流量重定向到 sidecar...构建一个 ambient mesh Ambient mesh 使用了一个共享代理，该共享代理运行在 Kubernetes 集群的每个节点上。...Ambient 只是引入了一个具有更好人体工程学和更灵活的选项而已。为何不在本地节点上进行 L7 处理？

1K2 0

服务网格和Istio初识-续

1、服务治理的三种形态 2、服务网格的特点 3、网格带来的损耗 4、为什么服务网格选择Istio 5、Istio与kubernetes 6、微服务和Istio的选择侧重 7、Istio的侵入性 8、...为什么还要写这类看似枯燥的文章？...Istio项目在发起时已经确认了将云原生生态系统中的容器作为核心打包和运行时，将Kubernetes作为管理容器的编排系统，需要一个系统管理在容器平台上运行的服务之间的交互，包括控制访问、安全、运行数据收集等...数据面数据面Sidecar运行在Kubernetes的Pod里，作为一个Proxy和业务容器部署在一起。在服务网格的定义中要求应用程序在运行的时候感知不到Sidecar的存在。...Kubernetes里已经有的，绝不再自己搞一套，避免了数据不一致和用户使用体验的问题 Istio不仅数据面Envoy跑在Kubernetes的Pod里，其控制面也运行在Kubernetes集群中，其控制面组件本身存在的形式也是

3012 0

比较服务网格体系结构

为什么是新的术语？...我们已经看到Kubernetes成为运行生产Web应用程序容器的标准方法。我最喜欢的标准是紧急而非强制的：就通用的API，协议和概念达成一致，这绝对是一种很好的艺术。想想计算机网络的历史。...在与应用程序容器一起运行的Sidecar容器中。库库方法是最初的方法，它简单而直接。在这种情况下，每个微服务应用程序都包含实现服务网格功能的库代码。...库方法也不需要底层基础架构的太多合作 -——容器运行者（如Kubernetes）不需要知道你正在运行一个Hystrix增强型应用程序。...该代码的特权仅与它代表其执行工作的微服务相同。这项工作也是在微服务环境中执行的，所以很容易公平地分配CPU时间或内存等资源 —— 操作系统可能会为你这样做。节点代理节点代理模型是下一个选择。

1.2K6 0

Linkerd 2.10—使用 Debug Sidecar，注入调试容器来捕获网络数据包

（请注意，Kubernetes pod 中的容器集不是可变的，因此简单地将此 annotation 添加到预先存在的 pod 中是行不通的。它必须在创建 pod 时存在。）...debug sidecar 镜像包含 tshark、 tcpdump、lsof 和 iproute2。...您可以通过列出带有 voting-svc 标签的 pod 中的所有容器来确认调试容器正在运行： kubectl get pods -n emojivoto -l app=voting-svc \ -...o jsonpath='{.items[*].spec.containers[*].name}' 然后，您可以通过简单地运行来查看日志中的实时 tshark 输出： kubectl -n emojivoto...debug sidecar 在故障排除中有效的实际错误消息是 Connection Refused 错误，如下所示： ERR!

6912 0

Kubernetes 在有赞的实践

一、背景我们为什么选择 Kubernetes？...Master 节点是 Kubernetes 中最重要的部分，生产中必须要保障它的高可用。 etcd 是 Kubernetes 当中唯一带状态的服务，集群中所有的数据都保存在 etcd 中。...Kubernetes 选用 etcd 作为它的后端数据存储仓库正是看重了其使用分布式架构，没有单点故障的特性。一是使用独立的 etcd 集群，使用 3 台或者5台服务器只运行etcd，独立维护和升级。...在有赞，CI/CD 的实现是通过项目环境来实现的。每个标准环境的部署，是部署在不同的 Kubernetes 集群中的，每个集群中通过不同的 namespace 来区分各自的环境。...3.Pod 中 Container 的依赖通常，在 Pod 里除了业务容器还有其他的 sidecar 容器，在我们这里特殊的是，业务容器还依赖了 sidecar 容器，但是 Pod 的启动实际是无序的

1.1K3 4

谈一下Docker与Kubernetes集群的日志和日志管理

本文的测试环境为CentOS 7.3，Kubernetes集群为1.11.2，安装步骤参见kubeadm安装kubernetes V1.11.1 集群日志对于我们管理Kubernetes集群及其上的应用具有非常重要的作用...Docker产生的日志都放在哪里？ Docker的日志的分割、清理策略默认为什么？如何配置Docker日志的分割、清理策略？ Kubernetes都会产生哪些日志？...系统组件也分为两种，一种是运行在容器中的应用，包括scheduler、kube-proxy等；一种是没有运行在容器中的应用，包括kubelet和容器运行环境。...2.2 集群级别的日志管理 Kubernetes本身没有提供集群级别的日志管理功能，如想实现集群级别的日志管理有三种方案：在每个Node中运行日志采集代理，将日志收集到集中的日志管理平台。...在前一种方案的基础上，在每个应用Pod中增加Sidecar容器来实现日志的分离。

2.5K1 1

再见 Sidecar：eBPF 能抢过 Istio 服务网格的风头吗？

从历史上看，Sidecar 模式对于管理作为容器部署并使用 Kubernetes 协调的分布式应用中的微服务有很大的意义。...资源开销在分布式托管环境中，每一个微服务旁边都要运行一个 Sidecar 容器，这使得你运行的容器总数翻倍。这意味着你的应用程序最终会消耗更多的资源。...使用带有 Sidecar 模式的服务网格比不使用服务网格和不得不在每个微服务中进行管理要容易得多，因此，为了在服务网格中对微服务进行集中管理，它们愿意为托管支付更多的费用和 / 或接受性能上的影响。...由于 eBPF 程序可以在 Kubernetes 集群中的每个（基于 Linux 的）节点上运行，它们可以从内核中直接管理微服务的连接性、安全性和可观察性，而不是作为单独的服务网格运行。...eBPF 的光明前景所以，如果你正在寻找另一个原因，为什么 eBPF 正在彻底改变开发者在分布式应用中跨越所有层的安全、可观察性和管理的方式，请将 eBPF 作为服务网格解决方案的潜力加入你的列表。

4482 0

K8s为啥要启用bridge-nf-call-iptables内核参数？用案例给你讲明白！

使用 kubernetes 遇到最多的 70%问题都可以归于网络问题，最近发现如果内核参数: bridge-nf-call-iptables设置不当的话会影响 kubernetes 中 Node 节点上的...上面的可能性二，只能祭出抓包神器了tcpdump, 通过抓包发现(抓包过程见文未)会发现请求中出现了Reset 那么问题转换一下: 为什么相同 Node 上 podA 通过 service/ClusterIP...回到 tcpdump 的抓包数据, 可以发现，响应的数据没有按照请求的路径返回，嗯，Interesting 3 罪魁祸首不管是 iptables 还是 ipvs 模式，Kubernetes 中访问 service...5s timeout[1]的问题就跟 conntrack 机制有关，由于篇幅有限，就不在这里展开. 6 tcpdump 在容器中的抓包命令 $ tcpdump -vvv host 10.224.1.34...kubernetes 的官方文档[2]中明确提及 Node 节点上需要开启这个参数,不然碰到各种诡异的现象也只是时间问题，所以还是不要随意调整。

1.8K1 0

二, 跨语言微服务框架 - Istio环境搭建

当我们知道Istio是一个好东西，能够帮助我们快速实现微服务化中的一些关键节点，那么下一步就需要考虑怎么使用Istio了，Istio现在版本是和Kubernetes强关联在一起的，如果大家还不是太了解Kubernetes...Kubernetes准备工作搭建部署Istio时需要先准备好Kubernetes环境，笔者这边使用的是Rancher进行环境的搭建，可以参考笔者的以下博文: Docker应用容器引擎介绍与搭建 - 喵了个咪博客空间...Kubernetes模板配置项,之后配置之后后面的Sidecar自动注入才能使用,否则只能手动入住Sidecar....部署Istio PS : 1.0.3版本官方已经完全把docker仓库使用了docker.io舍弃了grc.io就不需要我们去翻墙或者复制镜像了(不在推荐使用1.0.3以前的版本) 首先去官方git下载对应的版本包...只有到达指定时间才会运行或一次性脚本三.

7202 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭