系统设计算法 k8s架构 jwt详解 api安全设计

最新推荐文章于 2025-07-31 12:27:05 发布
转载 最新推荐文章于 2025-07-31 12:27:05 发布 · 81 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzA4MTk3MjI0Mw==&mid=2247503444&idx=1&sn=7365d0280693178487f3b005c9fb84c2&chksm=9e08b9598b4c030e5f91980f951ba476be721eebfce2968601617d4fc443f9a746681d9ffece&scene=126&sessionid=0
文章标签:

#kubernetes #架构 #安全 #容器 #云原生


系统设计面试的 12 种算法

40994b4dc505e444d501179315dec093.gif


  • Bloom Filter:在执行磁盘作之前,检查请求的项目是否在缓存中。

  • Geohash:用于构建基于位置的服务。

  • HyperLogLog:计算用户在搜索中执行的唯一查询。

  • 一致性哈希:用于在集群节点之间高效分配数据。

  • Merkle Tree:用于检测跨多个节点的数据副本之间的不一致。

  • Raft 算法:用于实现日志复制的共识。

  • Lossy Count:网络流量分析、Web 分析和识别重磅攻击者。

  • QuadTree:用于构建基于位置的服务。

  • Operational Transformation:用于支持协作编辑系统。

  • Leaky Bucket:用于速率限制

  • Rsync:在两个不同的系统之间同步文件和目录。

  • 光线投射:用于地理空间分析、视频游戏中的碰撞检测和计算机图形学。


Kubernetes 的工作原理

Kubernetes (K8S) 是一个开源容器编排平台,最初由 Google 开发,现在由云原生计算基金会 (CNCF) 维护。


以下是开发人员与 Kubernetes 的交互方式:

f7a0349cd35e7acead8f7d3124195110.jpeg

  • 开发人员创建描述应用程序的清单文件。

  • Kubernetes 获取这些清单文件,对其进行验证,并在其 Worker 节点集群中部署应用程序。

  • Kubernetes 管理应用程序的整个生命周期。


Kubernetes 由两个主要组件组成:


控制平面:它就像 Kubernetes 的大脑,由以下部分组成:

  • API 服务器:它接收来自用户或 CLI 的所有传入请求。

  • Scheduler:它根据资源可用性和约束决定在何处运行新 Pod。

  • Controller Manager:它确保集群的所需状态与实际状态匹配。

  • Etcd:Kubernetes 保存其所有数据的键值存储,包括应用程序的配置、集群状态和所需状态。


Worker 节点:它们是集群中的 worker。每个节点都有以下子组件:

  • Kubelet:每个节点上的主要工作程序。它与 API 服务器通信,获取指令,并确保容器按预期运行。

  • Kube-proxy:处理每个节点上的网络。

  • 容器运行时


API 安全的 12 大提示

d705d24d50c266c211801036c96451a5.jpeg


  • 使用 HTTPS

  • 使用 OAuth2

  • 使用 WebAuthn

  • 使用分级 API 密钥

  • 授权

  • 速率限制

  • API 版本控制

  • 白名单

  • 检查 OWASP API 安全风险

  • 使用 API Gateway

  • 错误处理

  • 输入验证


无状态身份验证的密钥

8b8c53c8c2a3af3925a9c3123341c392.jpeg


JWT 或 JSON Web 令牌是一种开放标准,用于在两方之间安全地传输信息。它们广泛用于身份验证和授权。


JWT 由三个主要组件组成:

  • 标头 每个 JWT 都带有一个标头,用于指定用于对 JWT 进行签名的算法。它以 JSON 格式编写。

  • 有效负载 有效负载由声明和用户数据组成。有不同类型的声明,例如已注册、公共和私有声明。

  • 签名 签名是确保 JWT 安全的原因。它是通过获取编码的标头、编码的有效负载、密钥和算法并对其进行签名来创建的。


可以通过两种不同的方式对 JWT 进行签名:

  • 对称签名 它使用单个密钥对令牌进行签名和验证。签署 JWT 的服务器和验证 JWT 的系统之间必须共享相同的密钥。

  • 非对称签名 在这种情况下,使用私钥对令牌进行签名,使用公钥来验证令牌。私钥在服务器上是安全的,而公钥可以分发给需要验证令牌的任何人。


数字签名如何工作

数字签名是一种特定类型的电子签名,用于签署和保护以电子方式传输的文档。

数字签名类似于物理签名,因为它们对每个人来说都是唯一的。它们标识签名者的身份。

37690440402c2b2504d4f9f1c9fdbbfc.jpeg


以下是 Alice 作为发件人和 John 作为收件人的数字签名的工作流程示例:

  • Alice 生成一个由私有密钥和相应的公钥组成的加密密钥对。私钥保持机密状态,只有签名者知道,而公钥可以公开共享。

  • 签名者 (Alice) 使用哈希函数从文档创建唯一的固定长度数字和字母字符串,称为哈希。此哈希值表示文档的内容。

  • Alice 使用其私钥加密消息的哈希值。此哈希值称为数字签名。

  • 数字签名将附加到原始文档,从而创建一个数字签名文档。它通过网络传输给接收者。

  • 收件人 (John) 从文档中提取数字签名和原始哈希值。

  • 收件人使用 Alice 的公钥解密数字签名。这将生成一个最初使用私有密钥加密的哈希值。

  • 收件人使用与签名者相同的哈希算法为收到的邮件计算新的哈希值。然后,他们将此重新计算的哈希值与从数字签名获取的解密哈希值进行比较。

  • 如果哈希值相等,则数字签名有效,并确定文档未被篡改或更改。

来源:blog.bytebytego.com/p/ep149-jwt-101-key-to-stateless-authenticationblog.bytebytego.com/p/ep150-12-algorithms-for-system-design
BUG弄潮儿
关注
AI应用架构师:智能生产调度系统多租户架构设计与资源隔离方案
AI天才研究院
07-26 614
本文将以“智能生产调度系统”为具体场景,从业务需求到技术落地,系统讲解多租户架构设计思路与资源隔离方案。多租户架构的3种核心模式及在智能生产调度场景下的选型策略;数据层、应用层、AI模型层的资源隔离技术实现;计算、存储、网络资源的精细化隔离方案;租户定制化与系统扩展性设计;实战案例:某制造业集团多租户智能调度系统的架构落地与优化。
k8s——安全机制
sea_bunch的博客
06-07 1448
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
k8s安全机制
mikechen1的博客
06-05 981
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。
k8s安全机制(认证授权)
BushRo
03-28 2259
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernete
k8s 中的 Gateway API 的背景和简介【k8s 系列之四】
kfashfasf的博客
10-23 1761
Gateway APIKubernetes 1.19 版本引入的一种新的 API 规范,会成为 Ingress 的下一代替代方案。主要原因是 Ingress 资源对象不能很好的满足网络需求,很多场景下 Ingress 控制器都需要通过定义 annotations 或者 crd 来进行功能扩展,这对于使用标准和支持是非常不利的,新推出的 Gateway API 旨在通过可扩展的面向角色的接口来增强服务网络。
【后端开发】系统设计101——Devops,Git与CICD,云服务与云原生,Linux,安全性,案例研究(30张图详解
小哈里的博客
02-06 1180
【后端开发】系统设计101——Devops,Git与CICD,云服务与云原生,Linux,安全性,案例研究(30张图详解) 文章目录 1、Devops DevOps与SRE与平台工程的区别是什么? 什么是k8sKubernetes)? Docker与Kubernetes。我们应该使用哪个? Docker是如何工作的? 开发者生产力工具 2、Git与CICD Git命令的工作原理 Git是如何工作的? Git合并与Git变基 简单介绍CI/CD流程 Netflix技术栈(CI/CD流程) 3、云服务与云原
微服务架构详解
网络风云的博客
05-07 1万+
尽管引入分布式复杂性(如事务管理、链路追踪),但结合容器化(Docker/K8s)和 DevOps 实践,微服务已成为云原生时代的核心架构模式。近年来微服务很火,有多家大型企业都开始采用微服务分布式系统架构,所以就打算跟大家做一期关于微服务的分享,不过微服务和涉及的分布式计算非常的复杂,绝非是一篇文章就可以讲清楚的,本文只是从最简单的概念的基本使用带你入门,如果后续还有兴趣的话,可以查阅相关的文献和技术书籍去深入学习。:Eureka(AP模型)、Consul(CP模型)、Nacos(AP/CP可切换)。
Kubernetes组件_APIServer_证书_02_K8S内部交互架构和所有证书
毛毛的专栏
03-12 2936
所有证书作用
分布式架构详解
热门推荐
网络风云的博客
05-07 1万+
架构(Distributed Architecture)是分布式计算技术的应用和工具,指将一个复杂系统拆分为多个独立的组件(或服务),并将这些组件部署在不同物理节点(服务器、虚拟机、容器)上,通过网络通信协作完成整体功能。分布式数据库(如Oracle RAC)和中间件(如IBM WebSphere)。分布式事务(Seata、Saga模式)。:Kafka(高吞吐)、RabbitMQ(复杂路由)、RocketMQ(事务消息)。支持水平扩展(增加节点)和垂直扩展(提升单节点性能),应对业务增长。
ThreatSource:Google BeyondProd安全架构详解
weixin_47208161的博客
11-23 1396
安全乐观主义点评:由cnbird鸟哥分享的一份介绍Google BeyondProd实现的ppt,笔者遗憾没有现场听到具体的内容,ppt下面的“安全乐观主义点评”字样为小编的发散思考,并...
K8s 备份与恢复利器:Velero 实战指南
.
07-30 983
摘要:本文详细介绍了Kubernetes备份恢复工具Velero的核心原理与实战应用。Velero作为CNCF毕业项目,专为K8s设计,支持集群资源和持久化数据的备份恢复。文章从安装配置(以MinIO为例)入手,通过实战演示了备份、恢复全流程,包括PV/PVC的数据保护。同时介绍了定时备份、加密存储等高级功能,并分享了最佳实践建议,如定期测试恢复、分层存储备份等。最后针对常见问题提供了排查方法,强调Velero是构建K8s数据安全体系的关键工具。
k8s的权限
sky学linux的博客
07-27 801
k8s的权限
openeuler24.03部署k8s1.32.7高可用集群(三主三从)
weixin_74812406的博客
07-29 859
openeuler24.03部署k8s1.32.7高可用集群(三主三从)
k8s的csi对接GPFS
weixin_42795092的博客
07-27 1043
通过 CSI 将 GPFS 接入 k8s,可让 Pod 直接使用 GPFS 的共享存储,满足高并发、大容量的存储需求,同时利用 k8s 的编排能力实现存储的动态管理。通过 PVC(PersistentVolumeClaim)申请存储,k8s 会基于 StorageClass 自动创建 PV,并绑定到 PVC。(Controller Plugin,部署为 StatefulSet,负责存储分配、PV 管理)和。(Node Plugin,部署为 DaemonSet,负责节点上的存储挂载)。
Kubernetes 中 ConfigMap 与 Secret 的深度解析
2403_86763298的博客
07-30 517
ConfigMap 是 Kubernetes 中用于存储非敏感配置数据的 API 对象,它允许将应用程序的配置信息与容器镜像解耦,实现 “配置即代码” 的管理模式。通过 ConfigMap,开发者可以将配置数据(如应用参数、环境变量、配置文件等)集中管理,避免将配置硬编码到容器镜像或 Pod 定义中,从而提高配置的灵活性和可维护性。Secret 是 Kubernetes 中用于存储敏感配置数据的 API 对象,与 ConfigMap 结构类似,但增加了加密相关的安全特性。
docker与k8s容器数据卷
qq_36828822的博客
07-27 838
摘要:本文介绍了Docker数据卷和Kubernetes存储方案。Docker数据卷通过绕过联合文件系统实现数据持久化,包括Volume、Bind和tmpfs三种类型,支持容器间数据共享。在Kubernetes中,emptyDir用于Pod内容器共享数据,HostPath实现宿主机文件挂载,NFS提供远程存储,而PersistentVolume(PV)和PersistentVolumeClaim(PVC)则提供了更强大的存储生命周期管理能力。文章详细说明了各种存储方案的创建和使用方法,并对比了它们的适用场景
K8s 集群成本优化实战:基于 Spot 实例与模型量化的
srlsong的博客
07-28 704
【摘要】Kubernetes集群成本优化可通过Spot实例弹性调度和模型量化两大技术实现显著降本。Spot实例混合部署(核心任务用按需实例+非核心任务用Spot实例)配合中断容错机制,可降低节点成本40%+;模型量化技术(如16位浮点转换)使推理速度提升30%,内存占用减少50%,间接降低集群成本37%。某金融科技公司实践显示,综合应用这些方案可实现月成本降低46%,且不影响核心业务稳定性。实施需注意Spot实例仅适用于无状态服务,并建立完善的监控告警体系。
深入了解 Kubernetesk8s):从概念到实践
二十多岁的你迷茫又着急,想要车子,想要房子,想要享受旅行,你那么浮躁,拿什么看透人生!
07-29 928
本文系统介绍了Kubernetes(k8s)的核心技术,包括Pod、Service、Deployment等核心概念,以及k8s的自动化运维、弹性伸缩等优势特性。详细解析了k8s主从架构中的控制平面与节点组件,如kube-apiserver、etcd等关键模块。最后通过一个前后端分离项目实例,展示了从Docker镜像构建到k8s部署的全过程,包括前端React应用和后端Node.js服务的配置与部署。文章全面呈现了k8s作为容器编排标准的强大功能,为开发者提供了实用的技术参考。
Kubernetes (K8s) 部署Doris
最新发布
曼陀罗的博客
07-31 355
禁用和关闭 swap在部署 Doris 时,建议关闭 swap 分区。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值