Search
【不只是棕色袋子的brown-bag,疫情後變常見用法的三個口語案例】#實用英文
疫情期間,James想避開午休人潮,所以每天自帶午餐到辦公室吃。只見他有時帶三明治、有時用電鍋蒸便當。外籍同事Kevin好奇詢問:Do you brown-bag today?
看過星巴克紙袋的人就不陌生brown bag,brown bag是指美國上班族用來攜帶午餐的「棕色紙袋」,若當作動詞就成了「自帶午餐上班或上學」的意思了。
下一句,我們來聊聊「care package」:
#英文口語 #生活英文 世界公民文化中心Core&Corner
ref: https://itnext.io/helm-3-secrets-management-4f23041f05c3
Secret Management 的議題一直以來都是 CI/CD 流程中不可忽似的一部分,本篇文章作者不同於以往採用常見的解決方案(Hashicorp Vault, Helm Secret, SealedSecret),反而是使用 Helm 內建的 AES 加解密功能來實作 Heml Chart 資料的加解密需求。
作者認為一個良好的機密管理解決方案需要能夠為其團隊提供三個基本需求
1) 所有的機密資訊都要能夠存放到版本控制系統中(Git...etc)
2) 所有被上傳到 Chartmuseum 的 Helm Chart Package 都不能有任何 k8s secret 物件,要放的只能有加密後結果。反之使用者要使用時也必須要有能力去解密
3) 單一工具管理,以作者來說會希望能夠都使用 Helm 這個工具來處理,愈少的工具意味者依賴性愈少,同時在維護與管理上要花的心力也更少。
作者首先列舉了兩個現存的專案,分別是 Helm Secrets 以及 Hashicorp Vault 並且針對這兩者進行了簡單的介紹,並且舉出為什麼這兩個專案並不適合作者團隊的需求與使用情境。
作者最後開始認真研究 Helm 本身有什麼內建的加解密功能可以使用,最後發現 encryptAES 以及 descryptAWS 這兩個內建函式可以使用,譬如
value: encryptAES "secretkey" {{ .Values.valueToEncrypt }}
value: {{ .Values.valueToDecrypt }} | decryptAES "secretkey"
有了基本的概念與用法後,作者透過 shell script 實作一層 wrapper 來簡化整個處理流程。
最後將這些資訊也導入到 CI/CD 流程中來幫忙進行解密的相關動作,讓 CD 可以順利的將目標 Secret 給送到 Kubernetes 中。
個人心得: 採用加解密的系統個人還是喜歡採用 SealedSecret 的設計理念,將解密的時間點延後到 Kubernetes 內而並非 CI/CD 系統上,主要是 CI/CD 的 pipeline 要是沒有仔細設計其實很多人會不小心把過程命令給輸出的,這樣的話加解密的過程,使用的 Key 等都有可能會洩漏出去。
本文延續前一篇文章,作者探討十五種 Kubernetes 不該使用的部署與維運模式,總共三篇,每篇五種。
Misusing Health probes
Kubernetes 內有設定三種不同的 Probe,分別是 Readiness, Liveness 以及 Startup,前兩者 Probe 比較常被提到而且會不停的執行,而 Startup 則是會被運行一次的 Probe。
作者認為所有開發者都要去研究這三種的差異並且小心使用。
文章中列舉一些常見的錯誤用法
1. 用相同的 endpoint 同時處理 liveness 以及 readiness
2. 繼續沿用過往針對 VM 所設計的 health endpoint,應該要針對容器環境重新設計
3. Health 的檢查過於複雜,導致需要花費一個不可預測的時間
..
等
Not using the Helm package manager
作者認為目前 Kubernetes 生態系中只有一個 Package Manager,也就是 Helm,就像是常見的 apt/rpm 等套件般去管理不同的應用程式。
然而 Helm 卻很容易被誤解並拿去跟其他工具比較,譬如 Kustomize, Jsonnet.. 等。
從本質上來看 Helm, Helm 本身有 Package 的管理能力,同時也透過 Template 的方式來產生適合於不同環境的 YAML 檔案。 而上述其他的比較解決方案基本上都只能完成後者,透過如 overlay (kustomize) 等不同的方式來產生不同的 YAML,但是本身卻沒有去管理這些安裝好的應用程式。
如何產生 YAML 這些是部署前的流程,而上述的那些工具對於檔案部署到 Kubernetes 後就無能為力了,譬如想要刪除任何安裝到 Kubernetes 資源的應用程式,必須要找到原始的 YAML 檔案。而 Helm 則不一樣,本身會於 Cluster 內去記錄這些這些資訊,讓你可以透過 helm 的指令去刪除這些安裝好的應用程式。
作者認為除非團隊很明確的瞭解與設計其工作流程,確保 Helm 帶來的部署與管理流程不需要,否則推薦任何團隊都可以採用 Helm,特別是之前因為 Helm2 Tiller 而厭惡的人必須要來試試看 Helm3
Not having a strategy for secrets
如同先前探討的 Configuration 不應該直接嵌入 Contaienr Image 一樣,Secret 這類型的物件也一樣,作者看到團隊常有下列錯誤
1. 使用各種不同的方式來管理 Secret 物件
2. 沒有區分好運行期需要的 Secret 與建制時期需要的 Secret
3. 過於複雜的處理方式導致本地測試與開發過於困難
相反的,團隊應該要
1. 選擇一個策略
2. 所有團隊使用該策略來處理 Secret
3. 所有的 Secret 應該都要用相同的方式處理
4. 這樣的機制使得 secret 的管理與追蹤更為容易
Attempting to solve all problems with Kubernetes
永遠不要認為 Kubernetes 能夠解決所有問題,團隊必須要理解到 Kubernetes 帶來的優點與缺點,團隊本身的部署與工作流程是否適合使用 Kubernetes。
也不要想說要把所有服務都搬到 Kubernetes 內,譬如 databases, caching 等,這些本來就存在的解決方案依然可以使用本來的方式繼續部署,不要一相情願地覺得這些東西放到 Kubernetes 內就一定會更好。
詳細原文可以參考下列連結。
https://medium.com/containers-101/kubernetes-deployment-antipatterns-part-3-dfbdd2fd3292
H&Y優惠網購 持續接受訂購中!
https://lingphotoclass.com/product/hy-bag/
產品頁面:
https://lingphotoclass.com/product/hy-bag/
相關組合:城市星空組合
https://lingphotoclass.com/product/hy-night-package/
長曝風景組合
https://lingphotoclass.com/product/hy-nd-package/
風景全方位組合
https://lingphotoclass.com/product/hy-bigsaver/
旭夕風景組合
https://lingphotoclass.com/product/hy-sunset-package/
產品特點
H&Y 升級版專用濾鏡包功能大提升!更實用功能、更耐用物料、更精巧設計!
***
訂購網站:https://lingphotoclass.com/store/
***
=====
阿零的攝影教室 正式開課!
https://lingphotoclass.com/
=====
阿零:土生土長香港人。既是攝影師,也是個跨媒體創作者。除了拍照,也創作攝影相關的影片和寫文章,並活躍於不同的交流平台。快來跟我交流吧!
Facebook專頁:主要用來發佈攝影作品、分享背後故事及心得、刊載文章和資訊。最重要的是和大家的交流~
https://www.facebook.com/photographerling
YouTube頻道:定期更新,一起分享攝影的樂趣!
https://goo.gl/GoK1Zx
IG:新照片最先發佈的地方!也會有較多個人生活的分享~
https://www.instagram.com/arling.hk/
Fever達人主頁:集中發佈攝影文章的地方,方便集中閱讀~
https://www.dcfever.com/column/info.php?id=643
個人網站:影片、相片、文章集中看!集合了我在不同平台創作的內容,請隨便參觀~
https://photographerling.com
Telegram攝影吹水交流Group:入來跟大家一起瘋狂交流吧!
https://t.me/joinchat/BmYJukfdhattmCLF9JDaOw
「影影貢!攝影交流谷」,互相交流學習,一起進步!
https://www.facebook.com/groups/326126641128068/
套件. 套件可以手动下载安装,但有套件命令的幫助下,它可以更快的運作。 它透過定義在 fuel/core/config/package.php 的來源列表, 及任何其他可以编輯或複製到 ... ... <看更多>
package用法 在 Github Package 用法-Docker Image為例 - 不懂英文的程序猿 的推薦與評價
Github Package 用法-Docker Image為例 · 建立Repository · 到Personal Access Tokens · 建立Token勾選權限後建立 · 得到Token · 以Docker為例 · 標記Docker名字. ... <看更多>