我是钱锅锅,我无所畏惧,我一生渴望被收藏好,妥善安放,细心保存。免我惊,免我苦,免我四下流离,免我无枝可依。
1、systemctl stop ceph-osd@21
2、ceph osd out osd.21
3、ceph osd crush remove osd.21
4、ceph auth del osd.21
5、ceph osd rm 21
6、cd /var/lib/ceph/osd/ceph-xx #查找相应的OSD对应的/dev是什么。
7、umount /dev/sdj
8、换硬盘
smartctl –all /dev/sde ########识别硬盘SN号
9、登录到c01
10、cd /root/my-cluster
11、ceph-deploy osd create –data /dev/sdj c02
Master 组件:
1、kube-apiserver :
Kubernetes API 集群的统一入口,各组件的协调者,以RESTful API提供接口方式,所有的对象资源的
增删改查和监听操作都交给APIServer处理后再提交给etcd数据库做持久化存储
2、Kube-controller-manager
处理集群中常规后台任务,一个资源对应一个控制器,而controllerManager就是负责处理这些控制器的
3、kube-scheduler
根据调度算法为新创建的pod选择一个Node节点,可以任意部署,可以部署在同一个节点上,也可以部署在不同的节点上
4、etcd
分布式键值存储系统,用于保存集群状态数据,比如Pod,Service等对象信息
Node组件:
1、kubelet:
kubelet 是Master在Node节点上的Agent,管理本机运行容器的生命周期,比如创建容器,Pod挂载数据卷,下载secret,获取容器和节点状态等工作,kubelet 将每个Pod转换成一组容器
2、kube-proxy:
在Node节点上实现Pod网络代理,维护网络规则和四层负载均衡工作。实现让Pod节点(一个或者多个容器)对外提供服务
3、docker或rocket
容器引擎,运行容器
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。
1.1、Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
1.2、Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
1.3、Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。
面向服务的体系结构(SOA)架构样式的一种变体,它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。每个服务运行在其独立的进程中,服务与服务间采用轻量级的通信机制互相沟通(通常是基于HTTP的RESTful API)。每个服务都围绕着具体业务进行构建,并且能够独立地部署到生产环境、类生产环境等。另外,应尽量避免统一的、集中式的服务管理机制,对具体的一个服务而言,应根据上下文,选择合适的语言、工具对其进行构建。
微服务(或微服务架构)是一种云原生架构方法,其中单个应用程序由许多松散耦合且可独立部署的较小组件或服务组成。这些服务通常
云安全职责划分:共同担责
1、软件即服务SAAS
云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、运维、审计、应用安全性检测等,二租户只能给管理租户账户和权限。
2、平台及服务PAAS
云服务厂家负责平台的安全性,租户负责平台上部署的应用,包括所有的应用安全配置。两者职责几乎均分。例如RDS关系型数据库服务,云服务厂家提供RDS实例管理安全、RDS实例的修复和核心配置。租户对数据库账户、访问安全等负责。
3、基础设置即服务IAAS
云服务厂家负责基本的安全,而租户负责在此基础上搭建的其它安全。相比PAAS,IAAS租户承担更多的职责。
租户安全关注点:治理和企业风险管理
组织治理和度量云计算带来的企业风险的能力。 例如违约的判决先例,用户组织充分评估云提供商风险的能 力,当用户和提供商都有可能出现故障时保护敏感数据的责任,及国际边界对这些问题有何影响等都是关注点。
1、法律问题:合同和电子举证
使用云计算时潜在的法律问题。 本节涉及的的问题包括信息和计算机系统的保护要求、安全漏 洞信息披露的法律、监管要求,隐私要求和国际法等。
2、合规性和审计管理
保持和证明使用云计算的合规性。 本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中 证明合规性的一些指导。
3、信息治理
治理云中的数据。 本节涉及云中数据的识别和控制;以及可用于处理数据迁移到 云中时失去物理控制这一问题的补偿控制。也提及其它项,如谁负责数据机密性、完整性和可用性等。
4、管理平面和业务连续性
保护访问云时使用的管理平台和管理结构,包括 Web 控制台 和 API。确保云部署的业务连续性。
5、基础设施安全
核心云基础架构安全性,包括网络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。
6、虚拟化及容器(Container)技术
虚拟化管理系统、容器和软件定义的网络的安全性。
7、事件响应、通告 和补救
适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证,在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。
8、应用安全
保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行,如果可行,什么类型的云平 台是最合适的(SaaS, PaaS, or IaaS)。
9、数据安全和加密
实施数据的安全和加密控制,并保证可扩展的密钥管理。
10、身份、授权和访问管理
管理身份和利用目录服务来提供访问控制。关注点是组织将身 份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。
11、安全即服务
提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。
12、相关技术
与云计算有着密切关系的已建立的新兴技术,包括大数据,物联网和移动计算。
伴随云计算的滚滚浪潮,云原生(CloudNative)的概念应运而生,云原生很火,火得一塌糊涂,都2022年了,如果你还不懂云原生,那真的out了。
大家言必称云原生,却鲜少有人告诉你到底什么是云原生,若是找资料来看,读完大多会感觉云绕雾罩,一知半解,总之虚得很;
云原生之所以解释不清楚,是因为云原生没有确切的定义,云原生一直在发展变化之中,解释权不归某个人或组织所有。
何谓云原生?
技术的变革,一定是思想先行,云原生是一种构建和运行应用程序的方法,是一套技术体系和方法论。云原生(CloudNative)是一个组合词,Cloud+Native。Cloud表示应用程序位于云中,而不是传统的数据中心;Native表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳姿势运行,充分利用和发挥云平台的弹性+分布式优势。
Pivotal公司的Matt Stine于2013年首次提出云原生(CloudNative)的概念;2015年,云原生刚推广时,Matt Stine在《迁移到云原生架构》一书中定义了符合云原生架构的几个特征:12因素、微服务、自敏捷架构、基于API协作、扛脆弱性;到了2017年,Matt Stine在接受InfoQ采访时又改了口风,将云原生架构归纳为模块化、可观察、可部署、可测试、可替换、可处理6特质;而Pivotal最新官网对云原生概括为4个要点:DevOps+持续交付+微服务+容器。
2015年云原生计算基金会(CNCF)成立,CNCF掺和进来后,最初把云原生定义为包括:容器化封装+自动化管理+面向微服务;到了2018年,CNCF又更新了云原生的定义,把服务网格(Service Mesh)和声明式API给加了进来。
可见,不同的人和组织对云原生有不同的定义,相同的人和组织在不同时间点对云原生也有不同的定义,真是乱的一匹,搞得鄙人非常晕菜,我的应对很简单,选一个我最容易记住和理解的定义:DevOps+持续交付+微服务+容器。
总而言之,符合云原生架构的应用程序应该是:采用开源堆栈(K8S+Docker)进行容器化,基于微服务架构提高灵活性和可维护性,借助敏捷方法、DevOps支持持续迭代和运维自动化,利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。
云安全防护是指保护云计算所涉及的数据、应用和基础架构。云环境(无论是公共、私有还是混合云)需要考虑的安全因素与内部 IT 架构存在诸多共同之处。
主要安全顾虑包括:未经授权的数据披露和泄漏、薄弱的访问控制、易受网络攻击、可用性中断。不管是传统 IT 系统,还是云系统,都会受到这些隐患的影响。和任何计算环境一样,云安全防护也涉及持续提供充分的预防性保护,从而使您能够:
确信数据和系统安全无虞。
能够掌握当前的安全状态。
及时知晓所有异常情况。
能够跟踪意外事件并做出响应。
云安全防护为什么有所不同
虽然很多人都清楚云计算的优点,但却因各种安全威胁而对其望而却步。我们知道对于介于互联网发送的无定形资源与物理服务器之间的事物,您一定很难理解。其实,它是一种不断变化的动态环境。例如,其面临的安全威胁会不断变化。也就是说,在很大程度上,云安全防护就是 IT 安全防护。在理清这两者的具体区别之后,您就不会再觉得“云”这个词没有安全感了。
边界消融
安全与访问权限密切相关。传统环境通常会利用边界安全模型来控制访问权限。云环境具有很高的连通性,这使得流量能够轻松地绕过传统的边界防御措施。不安全的应用编程接口(API)、不严格的身份和凭据管理、帐户劫持以及存在恶意企图的内部人员,都会致使系统和数据面临各种威胁。要防止对云端的未经授权访问,您需要改用以数据为中心的方案。对数据进行加密。改进授权流程。使用高强度密码和双重身份验证。确保每个层级都安全无虞。
如今,一切都处于软件之中
“云”是指通过软件交付给用户的托管资源。云计算基础架构及其处理的所有数据都是动态、可扩展且可移植的。要控制云的安全性,就要对各种环境变量以及与之相关的静态及动态工作负载和数据作出响应,既可以通过工作负载的内在措施(如加密)作出响应,也可以利用云管理系统和 API 作出动态响应。这有助于防止云环境发生系统损坏和数据丢失。
复杂的威胁局势
复杂威胁是指会对现代化计算(当然也包括云计算)造成不利影响的所有威胁。越来越多的复杂恶意软件和其他攻击,比如高级持续性威胁(APT),都会通过利用计算堆栈中的漏洞来绕开各种网络防御措施。数据泄露可能会引发未经授权的信息披露和数据篡改。对于这些威胁,除了及时采取会随着新出现的威胁不断改进的云安全防护实践之外,没有任何明确有效的解决方案。
如下图是菜鸟给某数据中心的私有云安全防护体系架构。
2015桃李春风一杯酒,江湖夜雨十年灯。
2016等一场千年兩歇,候一人如约而至。
2017心随万里长相守,雨落千载共白头。
2018雪落长白十三载,故人心归西湖畔。
2019重启征程惊雷响,久伴深村听雨鸣。
2020长白轮转十五秋,湖畔再叙花与酒。
2021两方世界山河共,一纸内外烟雨同。
2022起灵从此年常在,无邪无忧岁平安。
感谢家人们2021年10月-至今的陪伴,感谢陪伴我度过了最艰难的日子。
