在GKE中包含web应用程序的pod可以有一个子域appspot.com吗？

在GKE中包含web应用程序的pod可以有一个子域appspot.com。GKE是Google Kubernetes Engine的缩写，是Google Cloud提供的托管Kubernetes服务。在GKE中，可以使用自定义域名来访问部署在集群中的应用程序。

对于使用GKE部署的web应用程序，可以通过配置Ingress资源来实现自定义域名的访问。Ingress是Kubernetes中的一种资源类型，用于管理入站网络流量。通过Ingress，可以将外部流量路由到集群中的不同服务。

在GKE中，可以使用Google Cloud的域名服务来注册和管理域名。对于子域名，可以通过在域名服务中添加相应的DNS记录来实现。因此，在GKE中包含web应用程序的pod可以有一个子域appspot.com。

推荐的腾讯云相关产品是腾讯云容器服务（Tencent Kubernetes Engine，TKE）。TKE是腾讯云提供的托管Kubernetes服务，类似于GKE。您可以通过TKE来部署和管理容器化的应用程序，并使用自定义域名来访问这些应用程序。

更多关于腾讯云容器服务的信息，请访问腾讯云官方网站：https://cloud.tencent.com/product/tke

相关·内容

介绍一个小工具：Inspektor Gadget

为了做到这一点，程序在包含要追踪的 Pod 列表的 BPF Map 中查找当前的 cgroup id，如果没有找到，程序会提前退出。...执行一段时间后使用 Ctrl+C 终止命令，可以看到指定的输出文件中包含了一堆类似 JSON 的记录内容，可以用这个文件生成网络策略： $ kubectl gadget advise network-policy...Seccomp Profile Advise 这一功能是用 advise seccomp-profile 模块完成的，这个模块有三个子命令，分别是 start、list 和 stop，例如要跟踪一个 Calico...上面 start 命令执行后出现的 HAmaTrPcxTLDNfSo 就是跟踪 ID，开始一段时间之后，可以调用 stop 命令结束跟踪，跟踪结束后会显示这个 Pod 的 Seccomp： kubectl...calico-node-zjpl5 TCP ESTABLISHED kube-system calico-node-zjpl5 TCP ESTABLISHED Top 这个模块有三个子命令

8013 0

利用Googleplex.com的盲XSS访问谷歌内网

你首先可能注意到的是网站被托管在appspot.com域上，该域多用于托管Google App Engine项目。...我们可以使用Web代理拦截请求，并将文件名和内容从.pdf更改为.html。 ?...在payload中，我将使用一个script标记，其中src指向我域上的端点，每次加载时都会向我发送一封电子邮件。我当前使用的是ezXSS来记录这些盲XSS请求。 ?...影响在googleplex.com子域上执行自定义JavaScript代码，攻击者可以访问Google的发票以及其他一些敏感信息。...这意味着攻击者仍然可以访问处理发票的子域，但由于CORS，而无法访问googleplex.com上的其他应用程序。漏洞修复我已向Google发送了有关此漏洞的详细信息。

1.6K4 0

如何使用Prometheus配置自定义告警规则

从整个Linux服务器到stand-alone web服务器、数据库服务或一个单独的进程，它都能监控。在Prometheus术语中，它所监控的事物称为目标（Target）。...集成Alertmanager以处理由客户端应用程序（在本例中为Prometheus server）发送的告警将Alertmanager与发送告警通知的邮件账户集成。...其他任意云也可以 Rancher v2.3.5（发布文章时的最新版本）运行在GKE（版本1.15.9-gke.12.）上的Kubernetes集群（使用EKS或AKS也可以）在计算机上安装好Helm...你也可以在Alertmanager UI的Status选项卡中查看此配置。...然后根据Alertmanager的定义/集成，我们收到了一封电子邮件，其中包含触发的告警的详细信息（也可以通过Slack或PagerDuty发送）

5.7K1 0

Running Solr on Kubernetes

Solr能够在不到一秒的时间内搜索大量数据集，并通过流表达式提供低延迟的专业分析，因此对于数据密集型应用程序来说，Solr是一个有吸引力的后端。...简单的说，可以将pod视为在安装了特定应用程序的逻辑主机上的一组相关的进程。Pod中的容器共享相同的IP地址和端口空间，因此它们可以通过localhost进行通信，但不能绑定到相同的端口。...我们确实想消除一个误解，即在讨论在Kubernetes上运行Solr时听到过的喃喃自语，即k8s不适合有状态应用程序。的确，k8s与运行有状态应用程序的历史混杂在一起，但这是个老新闻。...StatefulSet是k8中的一流功能，并且有许多成功的有状态应用程序的示例。...的solr.xmlkey中包含一个solr.xml文件内容。

6.2K0 0

Kubernetes安全加固的几点建议

主要的建议包括：加密存储在静态etcd中的机密信息、使用TLS证书保护控制平面通信以及开启审计日志功能。...网络和资源策略默认情况下，Kubernetes允许从任何pod到同一集群中另一个pod的通信。虽然这对于发现服务而言很理想，但没有提供网络分离，不法分子或中招的系统可以无限制地访问所有资源。...最后，如果需要额外的安全保证，可以配置自定义的RuntimeClass，以便充分利用硬件虚拟化（如gVisor或Kata）。在节点层面定义RuntimeClass，并在pod定义部分指定它。...下一步，使用开源工具（如Trivy、Clair或Anchore）或者商用工具扫描所有镜像，以查找漏洞。一些工具还允许对镜像进行签名和验证签名，以确保容器在构建和上传过程中未被篡改。...监控、日志和运行时安全至此，我们有了一个供应链严加保护的安全集群，可以生成干净的、经过验证的镜像，有限的访问权限。然而环境是动态的，安全团队需能够响应运行环境中的事件。

9483 0

每个人都必须遵循的九项Kubernetes安全最佳实践

攻击者利用了特定Kubernetes控制台没有密码保护的事实，允许他们访问其中一个包含Tesla大型AWS环境访问凭据的pod。...例如，受损节点的kubelet凭证，通常只有在机密内容安装到该节点上安排的pod中时，才能访问机密内容。如果重要机密被安排到整个集群中的许多节点上，则攻击者将有更多机会窃取它们。...GKE的元数据隐藏功能会更改集群部署机制以避免此暴露，我们建议使用它直到有永久解决方案。在其他环境中可能需要类似的对策。 6. 创建和定义集群网络策略网络策略允许你控制进出容器化应用程序的网络访问。...（如果你的集群已经存在，在GKE中启用网络策略将需要进行简短的滚动升级。）一旦到位，请从一些基本默认网络策略开始，例如默认阻止来自其他命名空间的流量。...如果你在Google容器引擎中运行，可以检查集群是否在启用了策略支持的情况下运行： ? 7. 运行集群范围的Pod安全策略 Pod安全策略设置在集群中允许运行工作负载的默认值。

1.4K1 0

通过自定义prometheus数据实现k8s hpa

在Kubernetes v1.1中首次引入了hpa特性，自那时起已经有了很大的发展。 hpa第一个版本基于观察到的CPU利用率，后续版本支持基于内存使用。...在Kubernetes 1.6中引入了一个新的API自定义指标API，它允许HPA访问任意指标。...您将安装提供核心指标的度量服务器附加组件，然后您将使用一个演示应用程序来展示基于CPU和内存使用的pod自动伸缩。在指南的第二部分，您将部署Prometheus和一个自定义API服务器。...在Kubernetes 1.9中默认启用HPA rest客户端。GKE 1.9附带了预先安装的指标服务器。...一个从应用程序中收集指标并将其存储为Prometheus时间序列数据库的组件。

3.8K2 0

（译）Prometheus 和 Pod 标签

相对其它竞品来说，这种弹性直接提高了 Prometheus 的使用门槛，向量匹配就是众多拦路虎中的一个。...Prometheus 文档中在这个主题上做了非常精彩的阐述，所以本文中不会做过多的细节阐述，而是会围绕资源使用率这个主题进行一些场景化的尝试。...还好，kube-state-metrics 提供了一个 kube_pod_labels 指标，这个指标包含一个静态时序，其中表达了 Pod 标签和 Pod 名称的关系：可以用 (pod_name="latency-api...这两个指标可以用向量匹配的方式进行合并。他们的值是一致的，所以用 min/max 都可以。后面的内容会用 label_app 进行聚合，所以需要保留这个指标标签。...因为在 kube_pod_labels 中，Pod 的指标标签是 pod，而在 containers_memory_usage_bytes 中则变成了 pod_name。

9673 0

Linkerd 2.x 入门指南

在本指南中，我们将介绍如何将Linkerd安装到Kubernetes集群中。然后，我们将部署一个示例应用程序来展示Linkerd可以为你的服务做些什么。安装Linkerd很容易。...GKE 如果在GKE上安装Linkerd，则需要根据集群的配置方式执行一些额外的步骤。如果你正在使用这些特性中的任何一个，请查看附加说明。...inject命令增加了资源，以包含数据平面的代理。与install一样，inject是一个纯文本操作，这意味着你可以在使用它之前检查输入和输出。你甚至可以遍历diff来查看到底发生了什么变化。...步骤6：看着它跑你可以查看Linkerd仪表板，并看到示例应用程序中的所有HTTP/2（gRPC）和HTTP/1（web frontend）对话服务都显示在emojivoto命名空间中运行的资源列表中...要看到这个，你可以运行： linkerd -n emojivoto top deploy 如果你有兴趣进行更深入的研究，tap将显示跨单个pod、部署甚至emojivoto命名空间中的所有内容的请求流。

2.3K1 0

Kubernetes Pod应用性能分析工具 Kubectl Flame

大多数探查器有两个主要问题：需要修改应用程序。通常，可以通过将标志添加到执行命令或将一些性能分析库导入代码中来实现。由于在性能分析过程中会严重影响性能，因此通常避免在产品中进行性能分析。...在Kubernetes集群中运行的应用程序上执行分析时，甚至更加困难。需要部署一个包含配置文件修改的新容器映像，而不是当前正在运行的容器。...Kubernetes 中可以使用 Kubectl Flame 分析 Pod 应用性能。...Kubectl Flame 是一个kubectl插件，可以使在Kubernetes中运行的分析应用程序获得流畅的体验，而无需进行任何应用程序修改或停机。...分析 Golang 多进程容器在包含多个进程的Pod中对Go应用程序进行性能分析需要通过 --pgrep 标志指定目标进程名称： $ kubectl flame mypod -t 1m --lang

1.7K1 0

开发者的Kubernetes懒人指南

例如，在Java和现代Web应用程序方面，你可以将所有源代码编译成一个单一的可执行 .jar 文件，然后通过简单的命令运行它。...在 Kubernetes 的术语中，你部署（调度）Pods，一个 Pod 包含一个或多个容器。好吧，我们在节点上运行 Pods，但是谁控制这些节点，以及你在这些节点上如何决定运行什么呢？...为简单起见，我们可以将其视为控制节点的一个组件（与其包含的大约 9472 个组件相对）。控制平面，除了其他许多功能… 让你运行调度你的应用程序，即让你将一个 Pod 放到一个节点上。...最重要的是，对于开发人员来说，有一个 Web UI/Dashboard，你可以使用它来基本管理你的集群。...简单来说，Kubernetes 需要以某种方式唯一标识集群中的资源：我是否已经运行了一个名称为 marcocodes_web 的 pod，还是我需要启动一个新的 pod？

841 0

Kubernetes Pod Disruption Budget实用指南

管理Kubernetes集群在保持一致的可用性和对故障的韧性方面存在困难。虽然使用副本可以确保存在多个应用程序实例，但并不能保证应用程序运行时的不间断。...由于节点资源约束而重新调度Pod。在Kubernetes中，有两种类型的中断：自愿中断：这些是可以控制和计划的中断。预计它们将遵守您定义的Pod Disruption Budget（PDB）。...在实际操作中，这意味着，例如，如果您的应用程序有5个副本，并且您设置了一个PDB，要求最少可用的副本数为2个，则只要有两个副本正常运行，PDB就不会影响您的应用程序。...Kubernetes节点池升级让我们在不同的工作流程中测试PDB-具体来说，在Google云平台（GCP）上的GKE集群中升级节点池，并且节点池只有一个节点和最小可用设置为1。...考虑一个简单的情景：您有一个名为“my-cool-app”的Pod，有一个副本，并且应用了PDB，其中minAvailable=1，表示应始终有一个运行中的副本，不允许对Pod进行中断。

2021 0

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

GCP KMS 是一种云服务，用于管理其他谷歌云服务的加密密钥，以便企业可以实现加密功能。云密钥管理服务允许你在单个集中式云服务中创建、导入和管理加密密钥并执行加密操作。...GCP 提供了工作负载身份特性，允许在 GKE 上运行的应用程序访问谷歌云 API，如计算引擎 API、BigQuery 存储 API 或机器学习 API。...幸运的是，我们不需要做任何额外的事情来在 GKE 上启用工作负载身份，因为 Cosign 可以通过提供环境凭据检测[11]功能支持来使用这个工作负载身份。...再次感谢 Dan Lorenc，他写了另一篇精彩的博文来解释工作负载身份和环境凭证[12]之间的关系。在我们的例子中，Kyverno 将在 GKE 上运行，因此我们将应用一个策略来验证容器镜像。...你的应用程序可以直接从环境中按需读取环境凭据，而不是在构建/部署过程中提供长期机密（需要持续二进制文件运行的时间）。

4.9K2 0

GKE Autopilot：掀起托管 Kubernetes 的一场革命

那些需要为其应用程序提供最高级别可靠性、安全性和可扩展性的组织选择了谷歌 Kubernetes 引擎（Google Kubernetes Engine, GKE）。...一套 GKE，两种运营模式随着 Autopilot 的推出，GKE 用户现在可以从两种不同的运营模式中选择一种，它们各自对 GKE 集群具有一定的控制级别，并承担与之相关的责任。...如果是这样，用户可以继续使用 GKE 中的当前运营模式，即所谓的标准（GKE Standard）模式，该模式提供了与 GKE 目前提供的同样的配置灵活性。...以下是他们为之兴奋的一些好处。像 Kubernetes 专家一样优化生产在使用 Autopilot 时，GKE 基于从谷歌 SRE 和工程经验中获得的经过实战检验和强化的最佳实践创建集群。...除了 GKE 在主机和控制平面上的 SLA 之外，Autopilot 还包括在 Pod 上的 SLA，这是第一个。

1.1K2 0

我们为何不使用Kubernetes来扩展我们的GPU工作负载

Beam 是一个函数即服务平台，允许开发人员快速在云上运行他们的 AI 应用程序。用户主要在我们的平台上运行 AI 和数据工作负载，我们目前在我们的 Python SDK 中暴露了两种自动缩放策略。...自动缩放器（autoscaler ）也是一个控制器。在无服务器工作负载的自动缩放世界中，我们可以定义一个传递函数，根据传感器数据的矢量对系统进行调整。...这很好，但主要的缺点是您需要设置 Kubernetes。您还需要在应用程序中设置一些警报系统，以便在内存超过一定数量时进行自动缩放。垂直 Pod 自动缩放。...您可以通过向托管应用程序的 Web 服务器添加更多工作程序（进程）或添加更多副本并进行水平扩展来扩展它们。然而，对于 GPU 工作负载来说，要做同样的事情要困难得多。...为了有效地扩展具有这种启动成本的工作负载，我们有一些技巧可以使这个过程更顺畅：分析历史流量，试图在流量激增之前预测何时添加副本优化加载新工作负载的启动成本。

1051 0

超适合小项目的 K8S 部署策略

当更新应用程序后应该如何推出新变化？（停止服务、部署代码、重启服务？如何避免停机？）如果搞砸了部署怎么办？有什么方法可以回滚？ 应用程序是否需要使用其他服务？又该如何配置这些服务？...应用程序你可以使用任何编程语言构建 Web 应用。...我们只需构建一个 port 端口的 HTTP 应用程序。就个人而言，我更喜欢在 Go 中构建这些应用程序，但对于某些类型，让我们尝试使用 Crystal。...Deployment，它会通知 Kubernetes 创建一个 Pod，其中包含一个运行 Docker 容器的容器，以及一个用于集群内的 service discovery。...Daemon Set 是在每个节点上运行的应用程序。Config Map 基本上是一个小文件，我们可以在容器中安装它，我们将存储 Nginx 配置。

2.4K3 0

Kubernetes 1.24：gRPC 容器探针功能进入 Beta 阶段

一些历史让管理你的工作负载的系统检查应用程序是否健康、启动是否正常，以及应用程序是否认为自己可以接受流量，是很有用的。...有一个常用工具可以实现这一点，该工具创建[2]于 2018 年 8 月 21 日，并于2018 年 9 月 19 日[3]首次发布。这种 gRPC 应用健康检查的方法非常受欢迎。...因为这是一个 alpha 特性，所以在 1.23 版中默认是禁用的。...由于特性门 GRPCContainerProbe 在 1.24 中是默认启用的，因此许多供应商都有现成提供此功能。因此，你可以在自己选择的平台上创建 1.24 集群。...一些供应商允许在 1.23 集群上启用 alpha 特性。例如，在编写本文时，你可以在 GKE 上运行测试集群来进行快速测试。

1.1K3 0

介绍一个小工具：Security Profiles Operator

在云原生安全方面，Kubernetes 在不同维度提供了很多的不同内容，例如 RBAC、Networkpolicy、SecurityContext 等等，种种措施中，像我这样基础不牢的 YAML 工程师最头大的可能就要数...在项目网页上转了转，发现他所说的简化，除了定义几个 CRD 封装这样的 Operator 传统技能之外；还有一个使用 CRD 在节点间传输 Security Profile 的能力；最后也是最重要的，提供了很方便的录制功能...这样一来就可以创建一个 Pod，引用这个 Profile： apiVersion: v1 kind: Pod metadata: name: sleep-pod spec: securityContext...有兴趣还可以查查，这里用到的 Mutating Webhook。录制 Profile SPO 支持三种录制模式，分别是 hook、log 或 eBPF。...这里看到，删除 Pod 之后，录制过程自动生成了新的 SeccompProfile，其中包含了 Pod 工作过程中使用的配置，并且已经被安装到了各个节点之上。

6701 0

构建Kubernetes集群 - 合理选择工作节点数量和大小

在主要的云提供商 Amazon Web Services、Google Cloud Platform 和 Microsoft Azure 的当前定价方案中，实例价格会随容量线性增加。...例如，如果您有一个需要 8GB 内存的机器学习应用程序，则无法在仅具有 1GB 内存的节点的集群上运行它。但是，您可以在具有 10GB 内存节点的集群上运行它。...在 Google Kubernetes Engine（GKE）上，无论节点类型如何，每个节点的限制为 100 个 Pod。...例如，如果您有 100 个 Pod 和 10 个节点，则每个节点平均只包含 10 个 Pod。这样，即便其中一个节点发生故障，它的影响也仅限于总工作负载的较小的一部分。...有可能只有部分应用程序受到影响，并且可能只有少量副本挂掉，因此整个应用程序会仍然保持运行状态。

1.7K2 0

【可扩展性】谷歌可扩展和弹性应用的模式

例如，一个可扩展的 Web 应用程序可以很好地与一个或多个用户一起工作，并且可以优雅地处理流量的高峰和低谷。调整应用程序消耗的资源的灵活性是迁移到云的关键业务驱动力。...对于可能包含多层基础架构、网络和服务的分布式应用程序尤其如此。错误和中断时有发生，提高应用程序的弹性是一个持续的过程。通过仔细规划，您可以提高应用程序抵御故障的能力。...区域集群将 GKE 控制平面组件、节点和 Pod 分布在一个区域内的多个区域中。由于您的控制平面组件是分布式的，因此即使在涉及一个或多个（但不是全部）区域的中断期间，您也可以继续访问集群的控制平面。...您可以设置缩放行为的最小和最大限制，并且可以定义具有多个信号的自动缩放策略来处理不同的场景。与 GKE 一样，您可以配置集群自动扩缩器以根据工作负载或 pod 指标或集群外部指标添加或删除节点。...如果您使用像 Istio 这样的服务网格来管理您的应用程序服务，您可以在应用程序层注入故障而不是杀死 pod 或机器，或者您可以在 TCP 层注入损坏的数据包。

1.7K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云