【.com速译】如果你一直在尝试Kubernetes,你就知道它有多难。不仅有很多活动组件,pod和容器的配置文件也可能相当复杂。当这些清单文件变大时,很容易忽略一个重要的配置选项。让我们这样说吧:配置错误的Kubernetes清单文件可能会导致安全问题,甚至可能让您付出金钱,尤其是当您将pod部署在AWS或GoogleCloud等云托管服务上时,您需要为所用资源付费。配置错误的Pod可能会过度使用一种或多种资源并耗尽您的每月预算。为什么不花时间检查一下配置文件呢?因为那很费时间。但是有一个更简单的方法。借助kube-score工具,您可以测试YAML文件,检查以下内容:入站CronJobs已为服务配置截止日期所有pod都设置了资源限制和请求所有pod都将资源限制设置为资源请求两者都设置为使用显式非最新标签限制相同的CPU请求pullPolicy设置为Always所有StatefulSets均由PDB指标指定可以在此处找到完整的检查列表:https://github.com/zegl/kube-score/blob/master/README_CHECKS.md。此工具非常易于使用,其输出将帮助您强制执行YAML文件的规范,以免出现明显的安全漏洞或格式错误的资源。你如何使用这个方便的工具?就是这样。你需要什么?一个正在运行的Kubernetes实例如何以具有sudo权限的用户身份安装kube-score?这很容易,因为kube-score是一个简单的二进制文件。我将在UbuntuServer20.04上进行演示。要在此平台上安装kube-score,请登录服务器并使用以下命令下载必要的文件:wgethttps://github.com/zegl/kube-score/releases/download/v1.10.1/kube-分数_1。10.1_linux_amd64.tar.gz注意:确保检查kube-score版本页面以确保您下载的是最新版本。使用以下命令提取tar文件:tarxvzfkube-score_1.10.1_linux_amd64.tar.gz您现在应该会在当前工作目录中看到kube-score文件。不妨将其移动:sudomvkube-score/usr/local/bin您已准备好检查清单文件。如何使用kube-score?使用kube-score非常简单。假设您要检查文件test.yaml。切换到包含test.yaml文件的目录并执行以下命令:kube-scoretest.yaml对于发现的任何问题,输出将列出WARNING或CRITICAL(图A)。图A.检查测试YAML文件的kube-score输出此时,您可以清楚地看到YAML文件中的哪些配置需要注意。确保在部署之前解决这些问题。如果您有正在运行的容器或Pod,您可以使用以下命令在它们上运行kube-score:kubectlapi-resources--verbs=list--namespaced-oname|xargs-n1-I{}bash-c"kubectlget{}--all-namespaces-oyaml&&echo---"|kube-scorescore-这样,您可能会发现信息量更大的输出(图B)。图B.在Kubernetes集群中使用kube-score运行容器它对你来说是否足够完整。即使它不能检查您需要什么,kube-score在验证YAML文件方面比手动检查要好得多,尤其是当您有大量复杂的清单文件时。试试kube-score,看看它是否能让您的Kubernetes部署更加安全可靠。原标题:如何快速验证你的Kubernetes配置文件,作者:JackWallen
