Gcore ist stets bestrebt, kostengünstige Cloud-Lösungen anzubieten. Als neuen Meilenstein führen eine Option für die langfristige Reservierung von Bare-Metal-Server-Ressourcen zu einem reduzierten Preis ein. Schauen wir uns an, wie das funktioniert.
Was ist die Ressourcenreservierung?
Die Ressourcenreservierung ist ein Service, mit dem Sie Ressourcen für einen längeren Zeitraum zu einem günstigen Preis mieten können. Es ist vergleichbar mit einem Großhandelskauf: Normalerweise werden Cloud-Ressourcen für eine kurze Zeit gemietet und minuten- oder stundenweise bezahlt, aber mit der Ressourcenreservierung können Sie einen Server für ein oder drei Jahre am Stück zu einem vergünstigten Preis mieten.
Der Preis wird auf der Grundlage der Hardware und der Menge der Ressourcen sowie des Buchungszeitraums festgelegt. Sie können den Rabatt (die Differenz zwischen dem regulären Preis und dem Preis für die Ressourcenreservierung) sehen, bevor Sie bestellen – er wird im Control Panel angegeben.
Um Bare-Metal-Server-Ressourcen mit einer benutzerdefinierten Konfiguration zu reservieren, wenden Sie sich bitte direkt an Ihren Vertriebsmitarbeiter.
Die Vorteile einer Reservierung
Standardmäßig stellen wir Bare-Metal-Server auf Basis eines Pay-as-you-go-Modells bereit. Das heißt, Sie zahlen nur für die Ressourcen, die Sie auch nutzen. Das ist praktisch und kostengünstig, aber wir haben beschlossen, dass wir es noch besser machen können. Mit dem Start der Ressourcenreservierung haben unsere Kunden nun die Möglichkeit, ihre Infrastruktur langfristig zu noch günstigeren Konditionen zu planen und aufzubauen.
Reservierungen sind für Sie von Vorteil, wenn:
- Sie planen, die Hardware häufig zu nutzen. In diesem Fall ist die Anmietung von Ressourcen für ein Jahr mit einem Preisnachlass viel kosteneffizienter als ein zu hoher Preis für eine Kurzzeitmiete.
- wenn Sie Ihre Arbeitsbelastung für das nächste Jahr abgeschätzt haben und wissen, wie viel Hardware Sie benötigen werden. Sie können die Ressourcen reservieren und müssen sich keine Sorgen machen, dass die Server in dem Rechenzentrum, das Sie nutzen möchten, ausgebucht sind.
- wenn Sie Reservierungen für Ihre primäre Arbeitslast erstellen und in Spitzenzeiten aufgrund von Werbeaktionen, Verkäufen und anderen Ereignissen vorübergehend zusätzliche Ressourcen auf Pay-as-you-go-Basis hinzufügen möchten, um die Ressourcen möglichst kosteneffizient zu nutzen.
Die Zahlung erfolgt während des Buchungszeitraums einmal pro Monat. Wenn Sie einen Server für ein Jahr für 100 Dollar/Monat mieten, werden Ihnen für die nächsten 12 Monate monatlich 100 Dollar in Rechnung gestellt.
So wird ein Server reserviert
Mit dem neuen Dienst können Sie Bare-Metal-Server mit jeder beliebigen Konfiguration reservieren.
- Für individuelle Konfigurationen und Preisoptionen wenden Sie sich bitte direkt an Ihren Vertriebsmitarbeiter.
- Für reguläre Konfigurationen gehen Sie im Control Panel auf die Registerkarte „Reservierung“. Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Wissensdatenbank.
In Ihren Berichten können Sie sehen, wie viele Ressourcen Sie reserviert haben, wie viele davon Sie gerade nutzen und ob Sie noch etwas zusätzlich benötigen.
Ähnliche Artikel
Edge Cloud-Updates für Dezember 2024
Wir freuen uns, Ihnen die neuesten Erweiterungen unserer Edge Cloud-Plattform vorstellen zu können, mit denen Sie mehr Flexibilität, Zuverlässigkeit und Kontrolle über Ihre Infrastruktur erhalten. Die Updates umfassen die Unterstützung mehrerer öffentlicher IPs für Bare Metal und verstärkte Maßnahmen zum Schutz vor Missbrauch. Für Neukunden haben wir ein exklusives Angebot für die Aktivierung von Bare Metal-Servern. Alle Details hierzu finden Sie in diesem Blog.Unterstützung mehrerer öffentlicher IPs für Bare MetalWir führen die Unterstützung mehrerer öffentliche IPs für Bare Metal-Server in dedizierten öffentlichen Subnetzen ein und erhöhen damit ihre Flexibilität und Zuverlässigkeit. Mit diesem Update können Sie zur Sicherung einer nahtlosen Servicekontinuität mehrere öffentliche IP-Adressen konfigurieren und so die Stabilität Ihrer Infrastruktur erhöhen. Mit mehreren IPs bleiben Ihre Dienste ohne Unterbrechung online, selbst wenn eine IP-Adresse ausfallen sollte.Diese Funktionalität bietet eine hohe Flexibilität und ermöglicht es Ihnen, Ihren Betrieb mühelos zu skalieren. Besonders nützlich ist dies bei der Bewältigung unterschiedlicher Workloads, der Steuerung des Datenverkehrs und bei komplexen Hosting-Umgebungen. Es ist zudem eine ideale Lösung für Hypervisor-Umgebungen, in denen die Trennung des Datenverkehrs über verschiedene IPs unerlässlich ist.Das müssen Sie wissen, bevor Sie loslegen:Diese Funktion funktioniert ausschließlich mit einem dedizierten öffentlichen Subnetz.Um diese Funktion zu aktivieren, stellen Sie bitte eine Anfrage an unser Support-Team.Die Anzahl der unterstützten öffentlichen IPs ist durch die Größe des dedizierten Subnetzes begrenzt, das Ihrem Bare Metal-Server zugewiesen ist.Bitte wenden Sie sich an unser Support-Team, wenn Sie künftig mehrere öffentliche IPs nutzen möchten.Verschärfte Maßnahmen zur Vermeidung von MissbrauchWir haben neue Maßnahmen zum Schutz vor Missbrauch ergriffen, um problematische Datenverkehrsmuster zu erkennen und einzudämmen, die Zuverlässigkeit der Services zu verbessern und Ihre Infrastruktur vor gefährlichen Aktivitäten zu sichern. Diese Updates tragen dazu bei, Ihr Netzwerk zu schützen und eine konsistente Leistungsfähigkeit Ihrer Applikationen zu erzielen.Weitere Informationen finden Sie in unserer Produktdokumentation.Testen Sie Bare Metal diesen Monat mit 35 % RabattGcore Bare Metal-Server sind die perfekte Wahl, um herausragende Performance zu erzielen und auch die anspruchsvollsten Workloads zu bewältigen. Durch ihre globale Verfügbarkeit bieten sie eine zuverlässige, leistungsstarke und skalierbare Lösung, wo immer Sie sie brauchen. Für begrenzte Zeit erhalten Neukunden zwei Monate lang 35 % Rabatt auf High-Frequency Bare Metal-Server*.Falls Sie von Ihrem Anbieter während Spitzenzeiten enttäuscht wurden oder Ihre Leistungsfähigkeit für 2025 ausbauen möchten, ist das die Gelegenheit für Sie. Nutzen Sie das Angebot bis zum 7. Januar, um sich einen der Rabatte für die ersten 500 Kunden zu sichern.Nutzen Sie das volle Potenzial der Edge CloudDiese Updates unterstreichen unser Engagement, Ihr Unternehmen fortlaufend mit Tools und Funktionen zu unterstützen, die Ihre Anforderungen erfüllen. Ob es um die Erhöhung von Flexibilität, einfacheres Server-Management oder bessere Kostenkontrolle geht – unsere Edge-Cloud-Plattform ist so konzipiert, dass Sie Ihre Ziele mit Sicherheit erreichen können.Ob es um die Erhöhung von Flexibilität, einfacheres Server-Management oder mehr Kostenkontrolle geht – unsere Edge-Cloud-Plattform ist so konzipiert, dass Sie Ihre Ziele mit Sicherheit erreichen können.Entdecken Sie Bare Metal von Gcore* Hinweis: Dieses Angebot gilt bis zum 7. Januar 2025. Der Rabatt gilt für zwei Monate ab Beginn des Abonnements und exklusiv für Neukunden, die High-Frequency Bare Metal-Server aktivieren. Der Rabatt erlischt automatisch nach zwei Monaten. Das Angebot ist auf die ersten 500 Aktivierungen beschränkt.
Edge Cloud-Updates für Oktober 2024
Heute kündigen wir eine Reihe wichtiger Verbesserungen unserer Edge-Cloud-Lösungen an, die alle darauf ausgerichtet sind, Ihnen mehr Leistung, Flexibilität und Kontrolle über Ihre Cloud-Infrastruktur zu bieten. Lesen Sie weiter, um zu erfahren, warum wir in der IDC MarketScape 2024 für European Public Cloud als Major Player anerkannt wurden und erfahren Sie mehr über die Bare-Metal-Verfügbarkeit.Gcore wird im IDC MarketScape für die europäische Public Cloud 2024 als Major Player ausgezeichnetWir freuen uns, bekannt zu geben, dass wir im IDC MarketScape: European Public Cloud Infrastructure (IaaS) 2024 Bericht als Major Player ausgezeichnet wurden. Dieser Bericht bewertet und vergleicht Anbieter von Public Cloud-Infrastruktur-as-a-Service (IaaS) in ganz Europa, einschließlich globaler und regionaler Cloud-Anbieter, um die wichtigsten Akteure in der IaaS-Branche zu identifizieren.Diese Anerkennung als Major Player unterstreicht unser Engagement bei Gcore, hochwertige Cloud-Services bereitzustellen, die Unternehmen bei der Innovation, Skalierung und Sicherung ihrer Anwendungen mit höchster Zuverlässigkeit unterstützen. Wir setzen alles daran, die Bedürfnisse unserer Kunden mit leistungsstarken, auf Performance, Sicherheit und Skalierbarkeit zugeschnittenen Lösungen zu unterstützen und die Komplexität des Infrastrukturmanagements zu minimieren, damit Sie sich voll auf den Ausbau Ihres Unternehmens konzentrieren können.Bitte Lesen Sie die vollständige Pressemitteilung, um mehr zu erfahren.Inbetriebnahme zusätzlicher Hochfrequenz-Bare-Metal-ServerNutzen Sie die Leistung unserer neuesten Bare-Metal-Hochgeschwindigkeitsserver in Manassas, Amsterdam, Santa Clara, Singapur, Sydney und Luxemburg. Mit einer Kapazität von 128 GB RAM wurde diese Neuerung speziell für rechenintensive und latenzsensible Workloads entwickelt.Das neue Angebot in unserem Bare-Metal-Sortiment bietet die Leistung und Zuverlässigkeit, um Ihre anspruchsvollsten Anwendungen zu beschleunigen. Profitieren Sie von dedizierter Rechenleistung, Effizienz und niedrigen Latenzzeiten, die sich perfekt für High-Performance-Computing, Echtzeit-Datenanalysen und umfangreiche Simulationen eignen.Gcore Bare Metal-Server sind an 19 Standorten auf sechs Kontinenten verfügbar. Mit nur wenigen Klicks im Gcore-Kundenportal können Sie Ihren neuen hochfrequenten Server problemlos einrichten. Oder nehmen Sie Kontakt auf, wenn Sie mit einem Gcore-Experten sprechen möchten.FazitMit diesen Oktober-Updates 2024 setzen wir unser Engagement fort, Ihnen die Tools, die Leistung und die Zuverlässigkeit zu bieten, die Sie benötigen, um Ihr Unternehmen mit Zuversicht auszubauen und zu skalieren. Bleiben Sie auf dem Laufenden. Wir werden unsere Edge Cloud Lösungen weiter optimieren.Erfahren Sie mehr über Gcore Edge Cloud
Die 5 besten kostenlosen GUI-Tools für Kubernetes
Eine grafische Benutzeroberfläche (GUI) für Kubernetes ist ein visuelles Tool, mit dem Sie Kubernetes-Cluster über eine benutzerfreundliche Oberfläche mit Fenstern, Schaltflächen und Symbolen verwalten und überwachen können. Dies ist eine Alternative zur Verwendung der Befehlszeilenschnittstelle (CLI) wie kubectl. GUIs bieten eine Reihe von Funktionen zur Vereinfachung der Kubernetes-Verwaltung, von der Bereitstellung von Anwendungen bis hin zur Überwachung von Ressourcen und der Fehlerbehebung bei Problemen. In diesem Artikel werden wir die 5 besten kostenlosen GUI-Tools für Kubernetes, ihre Funktionen, Stärken und Schwächen vorstellen. Wir zeigen Ihnen auch, wie Sie Lens installieren und wie Sie damit eine Verbindung zu einem Gcore Managed Kubernetes-Cluster herstellen.Wie wir zu der Entscheidung für die K8-GUIs gekommen sindBei der Auswahl kostenloser GUIs für Kubernetes haben wir nach Tools gesucht, die die wesentlichen Funktionen für die Verwaltung eines K8s-Clusters in Produktionsqualität bieten. Diese Werkzeuge müssen nicht mit dem umfangreichen Funktionsumfang von kubectl übereinstimmen, da dies zu einer unübersichtlichen und übermäßig komplexen Schnittstelle führen könnte. Eine grafische Benutzeroberfläche sollte jedoch alle wichtigen Clusterkomponenten visualisieren und es den Benutzern ermöglichen, wichtige Verwaltungsvorgänge wie die Bearbeitung von Manifesten, das Abrufen von Protokollen und die Fehlersuche durchzuführen.Unsere Top 5:Kubernetes DashboardLensOctantSkoonerKubeviousAlle diese GUIs sind mit Gcore Managed Kubernetes kompatibel.Schauen wir uns die einzelnen Tools genauer an, wobei wir uns auf ihre wichtigsten Merkmale, Stärken und Schwächen konzentrieren.Kubernetes DashboardKubernetes Dashboard ist eine beliebte GUI, die von der Kubernetes-Community unterstützt und entwickelt wird. Es ist für den täglichen Betrieb und das Debugging von Anwendungen im Cluster gedacht.Abbildung 1: Kubernetes Dashboard GUIDas Dashboard bietet eine übersichtliche und bequeme Navigation durch die Cluster-Namensräume und zeigt alle definierten Objekte an, z.B. Bereitstellungen, Daemon-Sets und Dienste. Mit der RBAC-Funktionalität können Sie Entwicklern einen minimalen, aber ausreichenden Zugang zu einem Cluster gewähren, um die Aufgaben auszuführen, zu denen sie berechtigt sind. Es gibt auch einen Log Viewer, mit dem Sie die Protokolle der Container eines Pods einsehen können.Mit Kubernetes Dashboard können Sie containerisierte Anwendungen als Bereitstellungen erstellen und ausführen. Dazu müssen Sie die Details Ihrer Anwendung manuell angeben oder ein YAML- oder JSON-Manifest mit ihrer Konfiguration hochladen.Der größte Nachteil des Dashboards ist die fehlende Unterstützung mehrerer Cluster. Wenn Sie mehrere K8s-Cluster haben, müssen Sie separate Dashboards für diese konfigurieren.ProsIntuitive Navigation durch alle wichtigen Objekte eines ClustersAnsicht der Anwendungen nach Art und ZusammenschaltungAnsicht von Ingresses und Services, einschließlich ihrer Verbindungen zu PodsAnsicht von Persistent Volumes und Persistent Volume-AnsprüchenBearbeiten von ConfigMaps und SecretsPod LogsConsKeine Multi-Cluster-UnterstützungKeine Unterstützung für Helm Charts (vorgefertigte Anwendungen für K8s)Begrenzte AnpassungsmöglichkeitenNützliche LinksInstallationsanleitungBenutzerhandbuchWie man Anwendungen einsetztLensAbbildung 2: Benutzeroberfläche des ObjektivsLens ist als vollwertige IDE (integrierte Entwicklungsumgebung) für Kubernetes positioniert und eignet sich für alle Benutzerebenen, vom Anfänger bis zum Fortgeschrittenen. Eine IDE ist eine Softwareanwendung, die Programmierern umfassende Funktionen für die Softwareentwicklung zur Verfügung stellt, darunter einen Code-Editor, einen Debugger und Werkzeuge zur Automatisierung der Erstellung. Als eine Art grafische Benutzeroberfläche (GUI) bietet eine IDE einen visuellen Ansatz für die Softwareentwicklung, der die Verwaltung und Navigation komplexer Kodierungsaufgaben erleichtert. Im Gegensatz zum Kubernetes Dashboard, das eine Web-UI ist, ist Lens eine eigenständige Anwendung für macOS, Windows und Linux.Lens bietet viele nützliche Funktionen, darunter Unterstützung für mehrere Cluster, Helm Charts und integriertes Prometheus, das Statistiken über die Nutzung von Rechenressourcen sammelt. Außerdem bietet es Befehlszeilenzugriff auf Clusterknoten und Container. Was die Sicherheit betrifft, so unterstützt es RBAC und ermöglicht die Bearbeitung von Secrets.Ein weiterer Vorteil von Lens ist die integrierte Kommandozeile mit vorinstalliertem kubectl. Diese Befehlszeile wird automatisch mit der Kubernetes-API des Clusters synchronisiert, sodass Sie nicht mehrere Versionen von kubectl auf Ihrem Rechner installieren müssen, um mit verschiedenen Clustern zu arbeiten. Mit Lens haben Sie eine einzige kubectl-Instanz, die nahtlos in allen Ihren Clustern funktioniert.Später in diesem Artikel werden wir Lens verwenden, um eine Verbindung zu einem Gcore Managed Kubernetes-Cluster herzustellen und die GUI genauer zu untersuchen.ProsUmfassende VerwaltungsfunktionenMulti-Cluster-UnterstützungHelm-Chart-Einsatz mit vorinstallierten gängigen RepositoriesPrometheus-IntegrationIntegrierte CLI mit vorinstalliertem kubectl und Helm v3ConsEingeschränkte Sicherheitsfunktionen in der kostenlosen VersionAktualisierungen von Pod-Protokollen nicht in EchtzeitNützliche LinksErste SchritteAnleitungen für allgemeine AufgabenVerwalten von Helm ChartsKubernetes Web-AnsichtAbbildung 3: Kubernetes Web View BenutzeroberflächeKubernetes Web View ist ein Tool, das Administratoren helfen soll, auf Vorfälle zu reagieren und Fehler in einem K8s-Cluster zu beheben. Sein Autor, Henning Jacobs, nennt es „eine Web-Version von kubectl“. Kubernetes Web View unterstützt:Installationen mit mehreren ClusternVerfügbarkeit aller read-onlly Operationen von kubectlErstellung von permanenten Links zu K8s-Objekten und Deep Links zu bestimmten Abschnitten von YAML-ManifestenKubernetes Web View ist ein einfacheres Tool als z.B. Kubernetes Dashboard; es bietet eine weniger detaillierte Visualisierung. Aber das ist in Ordnung, wenn man bedenkt, dass seine Hauptnutzer wahrscheinlich erfahrene K8s-Administratoren sind.Leider unterstützt die Kubernetes-Webansicht kein Anwendungsmanagement über Deployments oder Helm Charts. Eine weitere Einschränkung ist, dass die grafische Benutzeroberfläche nur von Henning Jacobs entwickelt und seit 2021 nicht mehr aktualisiert worden ist.ProsUnterstützung für alle Kubernetes-ObjekteVerfügbarkeit aller Nur-Lese-Operationen von kubectlMulti-Cluster-UnterstützungEinfaches, zuverlässiges Frontend, das hauptsächlich auf HTML mit minimalem JavaScript basiertDauerhafte Verknüpfungen mit K8s-ObjektenDeep-Links auf bestimmte Abschnitte von YAML manifestsBearbeitung von Ressourcen als YAML manifestsConsEingeschränkte VisualisierungKein AnwendungsmanagementNur ein BeitragszahlerNicht aktiv mehr entwickeltKeine Unterstützung für Helm-ChartsNützliche LinksSchnellstartDokumentationSkooner (k8dash)Abbildung 4: Benutzeroberfläche von SkoonerSkooner, früher bekannt als k8dash, ist eine Web-UI für Echtzeit-Cluster-Management. Es bietet eine breite Palette von Funktionen, von der Erstellung von Kubernetes-Objekten bis hin zu Metriken zur Kontrolle des Ressourcenverbrauchs. Mit Skooner können Sie den Zustand eines Clusters anhand von Live-Diagrammen anzeigen und schlecht funktionierende Ressourcen verfolgen. Es ist auch das einzige mobil-optimierte Tool auf dieser Liste, so dass Sie Ihren Cluster über ein Telefon oder Tablet verwalten können.Die Hauptnachteile von Skooner sind die fehlende Unterstützung für Multicluster-Installationen und CRDs (Custom Resource Definitions). Außerdem kann der Installationsprozess für Kubernetes-Neulinge knifflig sein.ProsUnterstützung für wichtige K8s-Komponenten, einschließlich Namespaces, Nodes, Pods, Deployments, Replica Sets und StorageRBAC-UnterstützungBearbeitung von Ressourcen als YAML manifestsReal-time tracking des Cluster ZustandesIntegration von Open IDResponsive DesignConsKeine Multi-Cluster-UnterstützungKeine Unterstützung von CRDsKeine Unterstützung für Helm-ChartsNützliche LinksÜbersicht der ToolsEinrichtungKubeviousAbbildung 5: Kubevious GUIKubevious ist die einzige sicherheitsorientierte kostenlose GUI für Kubernetes in unserer Liste. Sein Hauptziel ist es, den Zustand und die Konfiguration eines Clusters sowie die Anwendungsmanifeste zu validieren. Kubevious kann Fehler wie Fehlkonfigurationen, Konflikte und sogar Tippfehler erkennen und verhindern. Es hilft Ihnen, die besten Praktiken für die Konfiguration und Verwaltung von Kubernetes zu befolgen. Sie können RBAC (rollenbasierte Zugriffskontrolle) auch über ein Arbeitsblatt mit verknüpften Rollen, Rollenbindungen und Dienstkonten verwalten.Die grafische Benutzeroberfläche von Kubevious zeigt Kubernetes-Objekte in einer Baumstruktur an und bietet Administratoren einen klaren Überblick über Microservices, ihre Verbindungen und Abhängigkeiten. Sie bietet auch verschiedene „Ansichten“ eines Clusters aus bestimmten Perspektiven. Die Logic-Ansicht konzentriert sich beispielsweise auf Anwendungskomponenten und Abhängigkeiten, während sich die Image-Ansicht auf Container-Images und deren Repositories konzentriert, die in einem K8s-Cluster verwendet werden.Der größte Nachteil von Kubevious ist die fehlende Multicluster-Unterstützung. Außerdem scheint der Entwicklungsprozess zu stagnieren: Die letzte Aktualisierung erfolgte im Jahr 2022.ProsLeistungsstarke Sicherheits- und FehlerbehebungsfunktionenErweiterte RBAC-UnterstützungOriginelle und klare Darstellung der Struktur der K8s-ObjekteKapazitätsplanung und Optimierung der RessourcennutzungIntegrierte Zeitmaschine zur Anzeige früherer ClusterkonfigurationenImpulse für die Anwendung von Best Practices für DevOpsConsKeine Multi-Cluster-UnterstützungNicht mehr aktiv weiterentwickeltKeine Unterstützung für Helm-ChartsNützliche LinksErste SchritteIntegrierte Cloud-Native-ToolsTime MachineVergleichstabelleNach der Überprüfung der einzelnen kostenlosen GUI-Tools für Kubernetes fassen wir ihre wichtigsten Funktionen in einem Vergleichsdiagramm zusammen, um die allgemeinen Funktionsunterschiede zu sehen. Kubernetes DashboardLensKubernetes Web-AnsichtSkoonerKubeviousInstallation typeK8s-ClusterDesktopDesktop, K8s-ClusterK8s-ClusterDesktop, K8s-ClusterVisualisierung des Clusterzustands✅✅✅✅✅Objekte finden✅✅✅✅✅Erstellen und Bearbeiten von Objekten✅✅–✅–Einsehen der YAML-Konfiguration✅✅✅✅✅RBAC-Verwaltung✅✅–✅–Helm-Support–✅–––Metriken zur Ressourcennutzung✅✅–✅✅Multi-Cluster-Unterstützung–✅✅––Pod Logs✅✅✅✅–Empfehlungen zur Ressourcenoptimierung–✅✅✅–Zusammenfassung des EntscheidungsfindungsprozessesDie Wahl des richtigen GUI-Tools für Kubernetes hängt von Ihren Projektanforderungen ab. Wenn Sie beispielsweise mehrere Cluster haben, werden Sie wahrscheinlich GUIs vermeiden, die keine Multicluster-Installationen unterstützen, und sich stattdessen für Kubernetes Dashboard, Skooner oder Kubevious entscheiden. Wenn Ihr Hauptaugenmerk auf der Sicherheit liegt, sollten Sie zuerst Kubevious in Betracht ziehen, auch wenn Lens die umfangreichste Funktionsliste zu haben scheint – manchmal ist eine spezialisierte GUI für Ihr Projekt besser geeignet als die mit den umfangreichsten Funktionen.Wir empfehlen Ihnen, mindestens drei verschiedene grafische Benutzeroberflächen auszuprobieren, um deren Fähigkeiten zu testen und zu sehen, wie gut sie Ihren Anforderungen entsprechen. Diese praktische Erfahrung wird Ihnen helfen, ihre Stärken und Schwächen im Zusammenhang mit Ihren spezifischen Projektanforderungen zu verstehen, so dass Sie eine fundierte Entscheidung treffen können.So installieren Sie Lens und greifen auf Gcore Managed Kubernetes zuGcore Managed Kubernetes bietet eine einfache und schnelle Möglichkeit, einen K8s-Cluster in der Cloud zu betreiben. In 10-15 Minuten haben Sie einen produktionsfähigen Cluster. Dann können Sie eine beliebige freie GUI installieren, um alle Funktionen zu nutzen, wenn Sie mit unserem Managed Kubernetes arbeiten. Wir zeigen Ihnen, wie Sie dies am Beispiel der grafischen Benutzeroberfläche für Lens tun können.Hier erfahren Sie, wie Sie Lens mit Gcore Managed Kubernetes einsetzen können:Erstellen Sie einen Kubernetes-Cluster in der Gcore Edge Cloud.Laden Sie die Kubernetes-Konfigurationsdatei herunter.Installieren und aktivieren Sie Lens.Verbinden Sie sich mit Ihrem Kubernetes-Cluster.Wir zeigen Ihnen auch, wie Sie Lens Metrics aktivieren, damit Sie sehen können, wie viele Rechenressourcen Ihr Cluster verbraucht.1. Erstellen eines Kubernetes-Clusters in der Gcore CloudMelden Sie sich im Gcore-Kundenportal an. Wenn Sie noch nicht registriert sind, melden Sie sich kostenlos mit Ihrem E-Mail-, Google- oder GitHub-Konto an.Klicken Sie im linken Navigationsmenü auf Cloud und dann auf Kubernetes. Klicken Sie auf der Hauptregisterkarte auf Cluster erstellen.Abbildung 6: Erstellen eines Gcore-Kubernetes-ClustersKonfigurieren Sie Ihren Cluster nach Bedarf, oder befolgen Sie die unten stehenden Mindestempfehlungen, die ausreichen, um Lens zu testen und zu prüfen, ob es für Sie geeignet ist:Region: Ihre bevorzugte Managed Kubernetes-RegionVersion des Kubernetes-Clusters: Es ist besser, die neueste K8s-Version zu wählen, die derzeit 1.29.2 ist.Pool > Minimum / Maximum Knoten: 1/1Instanztyp: Virtuelle Instanzen, 2 vCPU / 4 GiB Speicher sind ausreichendDatenträgertyp: SSD mit hohem IOPS-Wert 50 GiBNetzwerk-Einstellungen: Neues Netzwerk und Subnetzwerk hinzufügen oder bestehende auswählenSSH-Schlüssel: Wählen Sie Ihren öffentlichen SSH-Schlüssel oder erzeugen Sie einen neuen.Clustername: cluster-1 (oder wie immer Sie wollen)Nachdem Sie die Einrichtungsschritte abgeschlossen haben, klicken Sie auf Cluster erstellen. Der Cluster wird im Abschnitt „Kubernetes-Cluster“ angezeigt. Warten Sie ein paar Minuten, bis der Status von „Erstellen“ auf „Bereitgestellt“ wechselt.Abbildung 7: Der bereitgestellte Cluster2. Download der Kubernetes-KonfigurationsdateiStarten Sie Terminal auf Ihrem lokalen Rechner und erstellen Sie einen .kube-Ordner:mkdir ~/.kubeGehen Sie im Gcore-Kundenportal zu Ihren Cluster-Einstellungen, klicken Sie auf Kubernetes-Konfiguration und laden Sie sie in den Ordner .kube herunter:Abbildung 8: Die Cluster-Einstellungen mit einer Kubernetes-KonfigurationsdateiBenennen Sie diese Datei von k8sConfig.yml in config um und entfernen Sie die Erweiterung .yml.Jetzt kann Lens auf Ihren Cluster zugreifen.3. Objektiv installieren und aktivierenLaden Sie Lens Desktop für Ihr Betriebssystem (OS) herunter und führen Sie das Paket aus, indem Sie die Lens-Anleitungen für ein bestimmtes OS befolgen.Wenn Sie das Programm starten, werden Sie aufgefordert, Ihr Lens zu registrieren, auch in der kostenlosen Version. Sie können dies mit ein paar Klicks tun; wir werden diese Anweisungen hier überspringen; bitte registrieren Sie Lens auf eigene Faust.Nach der Aktivierung von Lens sehen Sie einen Begrüßungsbildschirm wie diesen:Abbildung 9: Willkommensbildschirm von Lens4. Verbinden Sie sich mit Ihrem Kubernetes-ClusterWählen Sie in Lens in der oberen linken Ecke die Option Katalog und dann die Option Cluster. Klicken Sie auf die Schaltfläche + in der unteren rechten Ecke, um Ihre Konfigurationsdatei hinzuzufügen:Abbildung 10: ClusterlisteWählen Sie die zuvor heruntergeladene Konfigurationsdatei aus und klicken Sie auf Synchronisieren. Sie werden sehen, dass die Verbindung hergestellt wird:Abbildung 11: Verbinden mit dem ClusterSobald Lens mit Ihrem Cluster verbunden ist, wird es in der Clusterliste angezeigt.Herzlichen Glückwunsch! Sie sind nun bereit, Ihren Cluster mit Lens zu verwalten. Doppelklicken Sie auf Ihren Cluster, um eine Übersicht zu erhalten:Abbildung 12: Allgemeiner Überblick über den Cluster5. Objektivmetriken aktivieren (optional)Die Aktivierung von Lens Metrics hilft Ihnen, Ihren Cluster auf die eigentliche Arbeit vorzubereiten. Die Funktion bietet Metrics-Exporters, die Daten über die Ressourcennutzung Ihres Clusters sammeln.Öffnen Sie die Cluster-Einstellungen und wählen Sie Lens Metrics. Schalten Sie alle Optionen ein:Abbildung 13: Aktivieren von ObjektivmetrikenAuf der Cluster-Übersichtsseite sehen Sie, dass Lens begonnen hat, die CPU-, Speicher-, Netzwerk- und andere Ressourcennutzung zu visualisieren. Sie können sogar sehen, wie viele Rechenressourcen jede Anwendung verbraucht:Abbildung 14: Statistiken zum AnwendungsverbrauchFazitKostenlose GUI-Tools für Kubernetes bieten eine Reihe von Features und Funktionen für die Visualisierung und Verwaltung von Kubernetes-Ressourcen, von intuitiven webbasierten Schnittstellen bis hin zu Multi-Cluster-Unterstützung und YAML-Editoren. Einige GUIs sind universell einsetzbar, wie Lens und Kubernetes Dashboard, während andere spezifischer sind, wie Kubevious.Egal, für welche dieser kostenlosen Kubernetes-GUIs Sie sich entscheiden, Sie können sie mit Gcore Managed Kubernetes verwenden. Gcore Managed Kubernetes bietet Unterstützung für Bare-Metal- und Virtual-Machine-Worker-Nodes, kostenloses Cluster-Management mit einem SLA von 99,9 % und die gleichen Preise für Worker-Nodes wie für VMs und Bare-Metal-Instanzen.Erfahren Sie mehr über Gcore Managed Kubernetes
Wie man versteckte Schwachstellen in Kubernetes RBAC-Berechtigungen verwaltet
Dieser Artikel wurde ursprünglich auf The New Stack veröffentlicht. Er wurde von Dmitrii Bubnov geschrieben, einem DevSecOps-Ingenieur bei Gcore mit 14 Jahren Erfahrung in der IT.Die rollenbasierte Zugriffskontrolle (RBAC) ist der Standardansatz für die Zugriffskontrolle in Kubernetes. Dieses Modell kategorisiert Berechtigungen mit Hilfe spezifischer Verbs, um erlaubte Interaktionen mit Ressourcen zu definieren. Innerhalb dieses Systems können drei weniger bekannte Berechtigungen –escalate, bind und impersonate– bestehende Rollenbeschränkungen außer Kraft setzen, unbefugten Zugriff auf eingeschränkte Bereiche gewähren, vertrauliche Daten offenlegen oder sogar die vollständige Kontrolle über einen Cluster ermöglichen. Dieser Artikel erläutert diese leistungsstarken Berechtigungen und gibt einen Überblick über ihre Funktionen sowie Hinweise zur Minderung der damit verbundenen Risiken.Eine kurze Erinnerung an RBAC-Rollen und VerbsIn diesem Artikel gehe ich davon aus, dass Sie bereits mit den Schlüsselkonzepten von Kubernetes RBAC vertraut sind. Falls nicht, lesen Sie bitte die Dokumentation von Kubernetes.Wir müssen jedoch kurz an ein wichtiges Konzept erinnern, das in direktem Zusammenhang mit diesem Artikel steht: Role. Hier werden die Zugriffsrechte auf K8s-Ressourcen innerhalb eines bestimmten Namespace und die verfügbaren Operationen beschrieben. Rollen bestehen aus einer Reihe von Regeln. Die Regeln umfassen verbs-verfügbare Vorgänge für definierte Ressourcen.Hier ist ein Beispiel für eine Rolle aus der K8s-Dokumentation, die Lesezugriff auf Pods gewährt:apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: namespace: default name: pod-readerrules:- apiGroups: [""] # "" points to the core API group resources: ["pods"] verbs: ["get", "watch", "list"]Verbs wie get, watch, und list werden häufig verwendet. Aber es gibt andere, die noch viel spannender sind.Drei weniger bekannte Kubernetes RBAC-BerechtigungenFür eine detailliertere und komplexere Verwaltung von Berechtigungen verfügt das K8s RBAC über die folgenden Verbs:escalate: Ermöglicht es Benutzern, Rollen zu erstellen und zu bearbeiten, auch wenn sie nicht über die ursprünglichen Berechtigungen dazu verfügen.bind: Ermöglicht Benutzern die Erstellung und Bearbeitung von Rollenbindungen und Cluster-Rollenbindungen mit Berechtigungen, die ihnen nicht zugewiesen wurden.impersonate: Ermöglicht es Benutzern, sich als andere Benutzer auszugeben und deren Berechtigungen im Cluster oder in einer anderen Gruppe zu erhalten. Mit diesem Verb kann auf kritische Daten zugegriffen werden.Im Folgenden werden wir sie genauer kennenlernen. Aber zuerst wollen wir einen Test-Namespace erstellen und ihn rbac nennen:kubectl create ns rbacErstellen Sie dann eine Test-SA privesc:kubectl -n rbac create sa privescWir werden sie im weiteren Verlauf dieses Lehrgangs verwenden.EscalateStandardmäßig erlaubt die RBAC-API von Kubernetes Benutzern nicht, ihre Berechtigungen durch einfaches Bearbeiten einer Rolle oder Rollenbindung zu erweitern. Diese Einschränkung gilt auf API-Ebene auch dann, wenn die RBAC-Autorisierung deaktiviert ist. Die einzige Ausnahme ist, wenn die Rolle das Verb escalate hat.In der folgenden Abbildung kann die SA, die nur über die Berechtigungen update und patch verfügt, der Rolle kein neues Verb hinzufügen. Aber wenn wir eine neue Rolle mit dem Verb escalate hinzufügen, wird es möglich:Abbildung 1: Durch Hinzufügen des Verbs „escalate“ zur Rolle kann der Benutzer die Rollenberechtigungen ändern und ein neues Verb hinzufügenSchauen wir uns die Funktionsweise im Detail an.Erstellen Sie eine Rolle, die nur Lesezugriff auf Pods und Rollen in diesem Namespace erlaubt:kubectl -n rbac create role view --verb=list,watch,get --resource=role,podVerknüpfen Sie diese Rolle mit der SA privesc:kubectl -n rbac create rolebinding view --role=view --serviceaccount=rbac:privescPrüfen Sie, ob die Rolle aktualisiert werden kann:kubectl auth can-i update role -n rbac --as=system:serviceaccount:rbac:privesc noWie wir sehen können, kann die SA Rollen lesen, aber nicht bearbeiten.Erstellen Sie eine neue Rolle, die die Bearbeitung von Rollen im rbac-Namenspace ermöglicht:kubectl -n rbac create role edit --verb=update,patch --resource=roleVerknüpfen Sie diese neue Rolle an die SA privesc:kubectl -n rbac create rolebinding edit --role=edit --serviceaccount=rbac:privescPrüfen Sie, ob die Rolle aktualisiert werden kann:kubectl auth can-i update role -n rbac --as=system:serviceaccount:rbac:privescyesPrüfen Sie, ob die Rolle gelöscht werden kann:kubectl auth can-i delete role -n rbac --as=system:serviceaccount:rbac:privescnoDie SA kann jetzt Rollen bearbeiten, aber nicht löschen.Im Interesse der experimentellen Genauigkeit sollten wir die SA-Fähigkeiten überprüfen. Dazu verwenden wir ein JWT (JSON Web Token):TOKEN=$(kubectl -n rbac create token privesc --duration=8h)Wir sollten die alten Authentifizierungsparameter aus der Konfiguration entfernen, da Kubernetes zuerst das Zertifikat des Benutzers überprüft und das Token nicht überprüft, wenn es das Zertifikat bereits kennt.cp ~/.kube/config ~/.kube/rbac.confexport KUBECONFIG=~/.kube/rbac.confkubectl config delete-user kubernetes-adminkubectl config set-credentials privesc --token=$TOKENkubectl config set-context --current --user=privescDiese Rolle zeigt, dass wir andere Rollen bearbeiten können:kubectl -n rbac get role edit -oyamlapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patchVersuchen wir, ein neues Verb hinzuzufügen, list, das wir bereits in der Ansichtsrolle verwendet haben:kubectl -n rbac edit role editOKapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - list # the new verb we addedSuccess.Versuchen wir nun, ein neues Verb hinzuzufügen, nämlich delete, das wir in anderen Rollen noch nicht verwendet haben:kubectl -n rbac edit role editapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - delete # trying to add a new verberror: roles.rbac.authorization.k8s.io "edit" could not be patched: roles.rbac.authorization.k8s.io "edit" is forbidden: user "system:serviceaccount:rbac:privesc" (groups=["system:serviceaccounts" "system:serviceaccounts:rbac" "system:authenticated"]) is attempting to grant RBAC permissions not currently held:{APIGroups:["rbac.authorization.k8s.io"], Resources:["roles"], Verbs:["delete"]}Dies bestätigt, dass Kubernetes es Benutzern oder Dienstkonten nicht erlaubt, neue Berechtigungen hinzuzufügen, wenn sie diese nicht bereits haben – nur wenn Benutzer oder Dienstkonten an Rollen mit solchen Berechtigungen gebunden sind.Erweitern wir die privesc SA-Berechtigungen. Dazu verwenden wir die Admin-Konfiguration und fügen eine neue Rolle mit dem Verb escalate hinzu:KUBECONFIG=~/.kube/config kubectl -n rbac create role escalate --verb=escalate --resource=roleJetzt binden wir die privesc SA an die neue Rolle:KUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding escalate --role=escalate --serviceaccount=rbac:privescPrüfen Sie noch einmal, ob wir der Rolle ein neues Verb hinzufügen können:kubectl -n rbac edit role editapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - delete # the new verb we addedrole.rbac.authorization.k8s.io/edit editedJetzt funktioniert es. Der Benutzer kann die SA-Rechte erweitern, indem er die bestehende Rolle bearbeitet. Das bedeutet, dass das Verb escalate die Rechte eines Admins, einschließlich der Rechte eines Namespace-Admins oder sogar eines Cluster-Admins, verleiht.BindDas bind Verb erlaubt es dem Benutzer die Bearbeitung der RoleBinding oder ClusterRoleBinding für Berechtigungserweiterung, ähnlich wie bei escalatedie es dem Benutzer ermöglicht, die Role oder ClusterRole.In der folgenden Abbildung kann die SA mit der Rollenbindung, die die Verbs update, patch und create enthält, erst dann delete hinzufügen, wenn wir eine neue Rolle mit dem Verb bind erstellen.Abbildung 2: Das Hinzufügen der neuen Rolle mit dem Verb bind ermöglicht es dem Benutzer, die Bindungsberechtigungen der Rolle zu erweiternSchauen wir uns nun genauer an, wie das funktioniert.Ändern wir die kubeconfig-Datei auf admin:export KUBECONFIG=~/.kube/configEntfernen Sie alte Rollen und Bindungen:kubectl -n rbac delete rolebinding view edit escalatekubectl -n rbac delete role view edit escalateErlauben Sie der SA, die Rollenbindung und die Pod-Ressourcen im Namenspace anzuzeigen und zu bearbeiten:kubectl -n rbac create role view --verb=list,watch,get --resource=role,rolebinding,podkubectl -n rbac create rolebinding view --role=view --serviceaccount=rbac:privesckubectl -n rbac create role edit --verb=update,patch,create --resource=rolebinding,podkubectl -n rbac create rolebinding edit --role=edit --serviceaccount=rbac:privescErstellen Sie separate Rollen für die Arbeit mit Pods, aber binden Sie die Rolle trotzdem nicht:kubectl -n rbac create role pod-view-edit --verb=get,list,watch,update,patch --resource=podkubectl -n rbac create role delete-pod --verb=delete --resource=podÄndern Sie die kubeconfig auf das SA-Recht und versuchen Sie, die Rollenbindung zu bearbeiten:export KUBECONFIG=~/.kube/rbac.confkubectl -n rbac create rolebinding pod-view-edit --role=pod-view-edit --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/pod-view-edit createdDie neue Rolle wurde erfolgreich an die SA gebunden. Beachten Sie, dass die Rolle pod-view-edit Verbs und Ressourcen enthält, die bereits durch die Rollenbindung view und edit an die SA gebunden wurden.Versuchen wir nun, eine Rolle mit einem neuen Verb zu binden, delete, das in den an die SA gebundenen Rollen fehlt:kubectl -n rbac create rolebinding delete-pod --role=delete-pod --serviceaccount=rbac:privescerror: failed to create rolebinding: rolebindings.rbac.authorization.k8s.io "delete-pod" is forbidden: user "system:serviceaccount:rbac:privesc" (groups=["system:serviceaccounts" "system:serviceaccounts:rbac" "system:authenticated"]) is attempting to grant RBAC permissions not currently held:{APIGroups:[""], Resources:["pods"], Verbs:["delete"]}Kubernetes lässt dies nicht zu, obwohl wir die Berechtigung haben, Rollenbindungen zu bearbeiten und zu erstellen. Aber das können wir mit dem Verb bind ändern. Verwenden wir dazu die Admin-Konfiguration:KUBECONFIG=~/.kube/config kubectl -n rbac create role bind --verb=bind --resource=rolerole.rbac.authorization.k8s.io/bind createdKUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding bind --role=bind --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/bind createdVersuchen Sie noch einmal, eine Rollenbindung mit dem neuen Verb delete zu erstellen:kubectl -n rbac create rolebinding delete-pod --role=delete-pod --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/delete-pod createdJetzt funktioniert es. Mit dem Verb bind kann die SA also jede Rolle an sich selbst oder an jeden Benutzer binden.ImpersonateDas Verb impersonate in K8s ist wie sudo in Linux. Wenn Benutzer Zugriff auf impersonate haben, können sie sich als andere Benutzer authentifizieren und Befehle in deren Namen ausführen. kubectl verfügt über die Optionen --as, --as-group und --as-uid, die es ermöglichen, Befehle unter einem anderen Benutzer, einer anderen Gruppe bzw. einer anderen UID (einem universell eindeutigen Bezeichner) auszuführen. Wenn ein Benutzer Impersonation-Berechtigungen erhält, wird er zum Namespace-Admin oder – wenn es im Namespace ein cluster-admin-Dienstkonto gibt – sogar zum Cluster-Admin.Impersonate ist hilfreich, um die an einen Benutzer delegierten RBAC-Berechtigungen zu überprüfen: Ein Administrator sollte einen Befehl gemäß der Vorlage kubectl auth can-i --as=$USERNAME -n $NAMESPACE $VERB $RESOURCE ausführen und prüfen, ob die Berechtigung wie vorgesehen funktioniert.In unserem Beispiel würde die SA keine Informationen über Pods im rbac-Namensraum erhalten, wenn sie nur kubectl -n rbac get pod ausführt. Aber es wird möglich, wenn es eine Rolle mit dem Verb impersonate gibt:kubectl auth can-i get pod -n rbac --as=system:serviceaccount:rbac:privescyesAbbildung 3: Abrufen von Informationen über Pods mit einer Rolle, die das Verb impersonate hatErstellen wir ein neues Dienstkonto, impersonator, im rbac-Namensraum; diese SA wird keine Berechtigungen haben:KUBECONFIG=~/.kube/config kubectl -n rbac create sa impersonatorserviceaccount/impersonator createdErstellen Sie nun eine Rolle mit dem Verb impersonate und einer Rollenbindung:KUBECONFIG=~/.kube/config kubectl -n rbac create role impersonate --resource=serviceaccounts --verb=impersonate --resource-name=privesc(Sehen Sie sich den Parameter --resource-name im obigen Befehl an: er erlaubt nur Impersonation als privesc SA.)role.rbac.authorization.k8s.io/impersonate createdKUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding impersonator --role=impersonate --serviceaccount=rbac:impersonatorrolebinding.rbac.authorization.k8s.io/impersonator createdErstellen Sie einen neuen Kontext:TOKEN=$(KUBECONFIG=~/.kube/config kubectl -n rbac create token impersonator --duration=8h)kubectl config set-credentials impersonate --token=$TOKEN User "impersonate" set.kubectl config set-context impersonate@kubernetes --user=impersonate --cluster=kubernetesContext "impersonate@kubernetes" created.kubectl config use-context impersonate@kubernetesSwitched to context "impersonate@kubernetes".Überprüfen Sie die Berechtigungen:kubectl auth can-i --list -n rbacResources Non-Resource URLs Resource Names Verbsselfsubjectaccessreviews.authorization.k8s.io [] [] [create]selfsubjectrulesreviews.authorization.k8s.io [] [] [create]...serviceaccounts [] [privesc] [impersonate]Neben impersonate gibt es keine weiteren Berechtigungen, wie in der Rolle angegeben. Wenn wir jedoch die impersonator SA als privesc SA ausgeben, können wir sehen, dass wir dieselben Berechtigungen erhalten, die die privesc SA hat:kubectl auth can-i --list -n rbac --as=system:serviceaccount:rbac:privescResources Non-Resource URLs Resource Names Verbsroles.rbac.authorization.k8s.io [] [edit] [bind escalate]selfsubjectaccessreviews.authorization.k8s.io [] [] [create]selfsubjectrulesreviews.authorization.k8s.io [] [] [create]pods [] [] [get list watch update patch delete create]...rolebindings.rbac.authorization.k8s.io [] [] [list watch get update patch create bind escalate]roles.rbac.authorization.k8s.io [] [] [list watch get update patch create bind escalate]configmaps [] [] [update patch create delete]secrets [] [] [update patch create delete]Somit hat die impersonate SA alle ihre eigenen Privilegien und alle Privilegien der SA, die sie verkörpert, einschließlich derjenigen, die ein Namespace-Admin hat.Wie man potenzielle Bedrohungen entschärftDie Verbs escalate, bind und impersonate können zur Erstellung flexibler Berechtigungen verwendet werden, die eine granulare Verwaltung des Zugriffs auf die Infrastruktur von K8 ermöglichen. Sie öffnen aber auch Tür und Tor für eine böswillige Nutzung, da sie in einigen Fällen einem Benutzer den Zugriff auf wichtige Infrastrukturkomponenten mit Administratorrechten ermöglichen.Drei Vorgehensweisen können helfen, die potenziellen Gefahren einer missbräuchlichen oder böswilligen Verwendung dieser Verbs zu entschärfen:Regelmäßige Überprüfung der RBAC-ManifestsVerwenden Sie das Feld resourceNames in den Manifests Role und ClusterRoleExterne Tools zur Überwachung von Rollen verwendenBetrachten wir sie der Reihe nach.Regelmäßige Überprüfung der RBAC-ManifestsUm unbefugten Zugriff und RBAC-Fehlkonfigurationen zu verhindern, sollten Sie die RBAC-Manifests Ihres Clusters regelmäßig überprüfen:kubectl get clusterrole -A -oyaml | yq '.items[] | select (.rules[].verbs[] | contains("esalate" | "bind" | "impersonate")) | .metadata.name'kubectl get role -A -oyaml | yq '.items[] | select (.rules[].verbs[] | contains("esalate" | "bind" | "impersonate")) | .metadata.name'Verwenden Sie das Feld ResourceNamesUm die Verwendung von escalate, bind, impersonateoder beliebige andere Verben, konfigurieren Sie die resourceNames Feld in der Role und ClusterRole Manifests. Dort können – und sollten – Sie die Namen der Ressourcen eingeben, die verwendet werden können.Hier ist ein Beispiel für ein ClusterRole, das die Erstellung eines ClusterRoleBinding mit roleRef named edit und view ermöglicht:apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: role-grantorrules:- apiGroups: ["rbac.authorization.k8s.io"] resources: ["clusterroles"] verbs: ["bind"] resourceNames: ["edit","view"]Das Gleiche gilt für „escalate“ und „impersonate“.Beachten Sie, dass im Fall von bind ein Administrator die Berechtigungen in einer Rolle festlegt und die Benutzer diese Rolle nur an sich selbst binden können, wenn dies in resourceNames erlaubt ist. Mit escalate können Benutzer beliebige Parameter innerhalb einer Rolle schreiben und Admins eines Namespaces oder Clusters werden. So schränkt bind die Nutzer ein, während escalate ihnen mehr Möglichkeiten bietet. Beachten Sie dies, wenn Sie diese Berechtigungen erteilen müssen.Verwenden Sie externe Tools für das Monitoring von RollenZiehen Sie den Einsatz automatischer Systeme in Betracht, die das Erstellen oder Bearbeiten von Rollen mit verdächtigen Inhalten überwachen, z.B. Falco oder Tetragon.Sie können Kubernetes-Audit-Protokolle auch an ein Protokollverwaltungssystem wie Gcore Managed Logging weiterleiten, das für die Analyse und Analyse von K8s-Protokollen nützlich ist. Um ein versehentliches Löschen von Ressourcen zu verhindern, erstellen Sie ein separates Dienstkonto mit dem Verb delete und erlauben Sie den Benutzern, nur dieses Dienstkonto zu verkörpern. Das ist das Prinzip des geringsten Widerstandes. Um diesen Prozess zu vereinfachen, können Sie das kubectl-Plugin kubectl-sudo verwenden.Bei Gcore nutzen wir diese Methoden, um unseren Managed Kubernetes-Service sicherer zu machen. Wir empfehlen allen unseren Kunden, dasselbe zu tun. Die Nutzung von Managed Services garantiert nicht, dass Ihre Dienste standardmäßig 100% sicher sind, aber bei Gcore tun wir alles, um den Schutz unserer Kunden zu gewährleisten, einschließlich der Förderung von RBAC Best Practices.FazitMit den Verben escalate, bind und impersonate können Administratoren den Zugriff auf die K8-Infrastruktur flexibel verwalten und Benutzern die Möglichkeit geben, ihre Berechtigungen zu erweitern. Dies sind mächtige Werkzeuge, die bei Missbrauch erheblichen Schaden an einem K8s-Cluster anrichten können. Prüfen Sie jede Verwendung dieser Verben sorgfältig und stellen Sie sicher, dass die Regel der geringsten Zugriffsberechtigung befolgt wird: Benutzer müssen die minimalen Rechte haben, die für den Betrieb erforderlich sind, nicht mehr.Suchen Sie nach einer einfachen Möglichkeit, Ihre K8s-Cluster zu verwalten? Testen Sie Gcore Managed Kubernetes. Wir bieten virtuelle Maschinen und Bare-Metal-Server mit GPU-Worker-Nodes zur Steigerung Ihrer KI/ML-Workloads. Die Preise für Worker Nodes sind dieselben wie für unsere virtuellen Maschinen und Bare Metal Server. Wir bieten Ihnen ein kostenloses, production-grade Cluster-Management mit einem SLA von 99,9 %, damit Sie sich keine Sorgen machen müssen.Entdecken Sie Gcore Managed Kubernetes
Einführung von Gcore Inference at the Edge: KI-Apps näher an Ihre Benutzer bringen, um blitzschnelle Reaktionen zu ermöglichen
Wir freuen uns, Gcore Inference at the Edge vorzustellen. Diese neue Lösung reduziert die Latenzzeit Ihrer ML-Modellausgabe und verbessert die Leistung von KI-gestützten Anwendungen. Es basiert auf Gcores globalem Netzwerk von über 180 Edge Points of Presence (PoPs), die von NVIDIA L40S GPUs angetrieben werden. Inference at the Edge kommt insbesondere latenzempfindlichen Echtzeitanwendungen zugute, darunter generative KI und Objekterkennung. Inference at the Edge befindet sich derzeit in der Beta-Phase und kann kostenlos genutzt werden. Lesen Sie weiter, um mehr über die Funktionen der Lösung, Anwendungsfälle und die ersten Schritte zu erfahren.Was ist Gcore Inference at the Edge?Gcore Inference at the Edge ermöglicht es Ihnen, ML-Modelle an Edge-Punkten einzusetzen. Anycast-Endpunkte leiten Endbenutzeranfragen an das nächstgelegene laufende Modell weiter, um eine geringe Latenzzeit zu erreichen, was zu einem nahtlosen Benutzererlebnis führt.Die zugrundeliegende Infrastruktur muss nicht verwaltet, skaliert und überwacht werden; die Einrichtung erfolgt vollständig automatisiert auf unserer Seite. Sie erhalten also einen einzigen Endpunkt zur Integration in Ihre Anwendung.Inference at the Edge stützt sich auf drei Komponenten:Unser Netzwerk mit niedriger Latenz von über 180 Edge-PoPs in über 90 Ländern mit Smart Routing und einer durchschnittlichen Netzwerklatenz von 30 msNVIDIA L40S GPUs auf Gcore Edge PoPs eingesetztden Modellkatalog von Gcore, der beliebte, quelloffene ML-Grundmodelle wie Mistral 7B, Stable-Diffusion XL und LLaMA Pro 8B enthältWie funktioniert Gcore Inference at the Edge?Wir bieten Ihnen einen einzigen Endpunkt für Ihre Anwendungen. Wenn Endbenutzer auf diesen Endpunkt zugreifen, werden ihre Anfragen an die ihnen am nächsten gelegenen Edge-PoPs weitergeleitet.Hier ist ein Beispiel dafür, wie der Dienst für Endnutzer funktioniert:Abbildung 1: So funktioniert Inference at the EdgeEine Benutzeranfrage und ein Modellergebnis können auf zwei Arten behandelt werden:Standardabfrage-Ergebnisroute: Wenn ein Benutzer eine Anfrage sendet, bestimmt ein Edge-Knoten die Route zur nächsten verfügbaren Inferenzregion mit der geringsten Latenz.Alternative Abfrage-Ergebnisroute: Wenn die nächstgelegene Region nicht verfügbar ist, leitet der Edge-Knoten die Anfrage des Nutzers dann an die nächste Region weiter, die räumlich am nahsten zum Benutzer ist.Warum sollte man sich für Gcore Inference at the Edge entscheiden?Inference at the Edge bietet viele Vorteile für Entwickler von KI-Anwendungen, die die KI-Inferenz optimieren und die Benutzerfreundlichkeit verbessern möchten.Hohe Performance: Der Dienst beschleunigt die Durchlaufzeit einer Abfrage und einer Modellantwort durch das Netz auf durchschnittlich 30 ms.Skalierbarkeit: Skalieren Sie Ihr ML-Modell automatisch nach oben und unten, entweder in einer bestimmten Region oder in allen ausgewählten Regionen.Kosteneffizient: Sie zahlen nur für die Ressourcen, die Ihr ML-Modell nutzt. Legen Sie Grenzen für die automatische Skalierung fest, um zu kontrollieren, wie viele Ressourcen Ihre Modelle bei Spitzenlasten verwenden.Schnelle Markteinführung: Indem Sie das Infrastrukturmanagement an das Gcore-Team delegieren, sparen Ihre Entwickler wertvolle Zeit und können sich auf ihre Kernaufgaben konzentrieren.Einfach zu bedienen: Inference at the Edge bietet einen intuitiven Entwickler-Workflow für eine schnelle und rationelle Entwicklung und Bereitstellung.Unternehmenstauglich: Der Service bietet Ihnen Sicherheit mit integriertem DDoS-Schutz für Endpunkte und lokaler Datenverarbeitung, um den Schutz und die Souveränität Ihrer Daten zu gewährleisten.Anwendungsfälle für Inference at the EdgeInference at the Edge kann branchenübergreifend eingesetzt werden. Hier sind nur einige Beispiele für mögliche Anwendungsfälle:TechnologieGamingEinzelhandelMedien und EntertainmentGenerative KI-Anwendungen Chatbots und virtuelle Assistenten KI-Tools für Softwareentwickler DatenerweiterungGenerierung von KI-Inhalten und Karten Echtzeit-KI-Bot-Anpassung und Konversation Echtzeit-Analyse von Media-PlayernIntelligente Lebensmittelgeschäfte mit Self-Checkout und Merchandising Erstellung von Inhalten, Vorhersagen und Empfehlungen Virtuelle AnprobeInhaltsanalyse Automatisierte Transkription Echtzeit-ÜbersetzungErste SchritteGcore Inference at the Edge befindet sich noch in der Betaphase und ist auf Anfrage erhältlich. Wenn Sie es ausprobieren möchten, nehmen Sie Kontakt über unser Kontaktformular auf oder, wenn Sie bereits Gcore-Kunde sind, wenden Sie sich an Ihren Kundenbetreuer.Sobald Sie Zugang haben, können Sie unsere Produktdokumentation einsehen:Erstellen Sie ein KI-ModellHinzufügen und Konfigurieren einer RegistryAPI-Schlüssel erstellen und verwaltenVerwalten Sie Deplyments im Gcore-KundenportalFazitGcore Inference at the Edge ist eine leistungsstarke und effiziente Lösung für die Bereitstellung Ihrer ML-Modelle und die Verbesserung des Benutzererlebnisses. Sie bietet niedrige Latenzzeiten und einen hohen Durchsatz für Ihre ML-Modelle, integrierten DDoS-Schutz, gängige Basismodelle und andere Funktionen, die für produktionsreife KI-Inferenz am Netzwerkrand unerlässlich sind.Wenn Sie eine persönliche Beratung oder Hilfe zum Produkt wünschen, setzen Sie sich bitte mit uns in Verbindung.Erkunden Sie „Gcore Inference at the Edge”
Neue Standorte von Gcore Basic VM: Dubai und Almaty
Wir freuen uns, die Verfügbarkeit von Gcore Basic VM, unseren budgetfreundlichen virtuellen Basismaschinen (VMs), in Dubai und Almaty, Kasachstan, zu verkünden. Basic VM bietet erschwingliche virtuelle Maschinen ab nur 3,20 € pro Monat. Sie sind eine hervorragende Option für Entwickler, Websitebetreiber und Privatnutzer. Jede virtuelle Maschine ist innerhalb von wenigen Minuten einsatzbereit und verfügt über einen eingebauten DDoS-Schutz.Anwendungsfälle von Gcore Basic VMGcore Basic VM ist in der Lage, kompakte Anwendungen auszuführen, unter anderem:Website- oder Blog-HostingTest- und EntwicklungsumgebungenVPN-ServerSpieleserverUmgebungen für persönliche ProjekteDie Vorteile von Gcore Basic VMGcore Basic VM glänzt mit einem hervorragenden Preis-Leistungs-Verhältnis und nutzt leistungsfähige, skalierbare Intel® Xeon® Ice Lake-Prozessoren der 3. Generation. Der Tarif beinhaltet einen DDoS-Basisschutz vor Reflection-Angriffen mit einem Traffic-Schwellenwert von 5 Gbps, eine lokale SSD-Festplatte für die Speicherung von Daten mit einer Übertragungsgeschwindigkeit von bis zu 300 MB/Sek. und einen freien Egress-Datenverkehr. Alle Einzelheiten finden Sie auf der Produktseite.Standorte von Gcore Basic VMGcore Basic VM ist derzeit an acht Standorten verfügbar:DubaiAlmatySão PauloAmsterdamFrankfurtHongkongManassasTokioGcores bemüht sich um die Ausweitung seiner globalen AbdeckungGcore möchte die Cloud-Erfahrung unserer Kunden verbessern, indem wir unsere globale Abdeckung ausweiten und somit erschwingliche und effiziente Lösungen für alle anbieten können. Unser Netzwerk besteht aus mehr als 150 Präsenzpunkten weltweit, darunter mehr als 25 Cloud-Standorte. Wir bemühen uns kontinuierlich, unsere Dienste zu verbessern und weitere Standorte zur Verfügung zu stellen, um allen unseren Kunden unabhängig von ihrem Standort eine bequeme und effiziente Erfahrung zu bieten.Holen Sie sich Gcore Basic VM
Melden Sie sich für unseren Newsletter an
Erhalten Sie die neuesten Branchentrends, exklusive Einblicke und Gcore-Updates direkt in Ihren Posteingang.