Gcore ist stets bestrebt, kostengĂŒnstige Cloud-Lösungen anzubieten. Als neuen Meilenstein fĂŒhren eine Option fĂŒr die langfristige Reservierung von Bare-Metal-Server-Ressourcen zu einem reduzierten Preis ein. Schauen wir uns an, wie das funktioniert.
Was ist die Ressourcenreservierung?
Die Ressourcenreservierung ist ein Service, mit dem Sie Ressourcen fĂŒr einen lĂ€ngeren Zeitraum zu einem gĂŒnstigen Preis mieten können. Es ist vergleichbar mit einem GroĂhandelskauf: Normalerweise werden Cloud-Ressourcen fĂŒr eine kurze Zeit gemietet und minuten- oder stundenweise bezahlt, aber mit der Ressourcenreservierung können Sie einen Server fĂŒr ein oder drei Jahre am StĂŒck zu einem vergĂŒnstigten Preis mieten.
Der Preis wird auf der Grundlage der Hardware und der Menge der Ressourcen sowie des Buchungszeitraums festgelegt. Sie können den Rabatt (die Differenz zwischen dem regulĂ€ren Preis und dem Preis fĂŒr die Ressourcenreservierung) sehen, bevor Sie bestellen â er wird im Control Panel angegeben.
Um Bare-Metal-Server-Ressourcen mit einer benutzerdefinierten Konfiguration zu reservieren, wenden Sie sich bitte direkt an Ihren Vertriebsmitarbeiter.
Die Vorteile einer Reservierung
StandardmĂ€Ăig stellen wir Bare-Metal-Server auf Basis eines Pay-as-you-go-Modells bereit. Das heiĂt, Sie zahlen nur fĂŒr die Ressourcen, die Sie auch nutzen. Das ist praktisch und kostengĂŒnstig, aber wir haben beschlossen, dass wir es noch besser machen können. Mit dem Start der Ressourcenreservierung haben unsere Kunden nun die Möglichkeit, ihre Infrastruktur langfristig zu noch gĂŒnstigeren Konditionen zu planen und aufzubauen.
Reservierungen sind fĂŒr Sie von Vorteil, wenn:
- Sie planen, die Hardware hĂ€ufig zu nutzen. In diesem Fall ist die Anmietung von Ressourcen fĂŒr ein Jahr mit einem Preisnachlass viel kosteneffizienter als ein zu hoher Preis fĂŒr eine Kurzzeitmiete.
- wenn Sie Ihre Arbeitsbelastung fĂŒr das nĂ€chste Jahr abgeschĂ€tzt haben und wissen, wie viel Hardware Sie benötigen werden. Sie können die Ressourcen reservieren und mĂŒssen sich keine Sorgen machen, dass die Server in dem Rechenzentrum, das Sie nutzen möchten, ausgebucht sind.
- wenn Sie Reservierungen fĂŒr Ihre primĂ€re Arbeitslast erstellen und in Spitzenzeiten aufgrund von Werbeaktionen, VerkĂ€ufen und anderen Ereignissen vorĂŒbergehend zusĂ€tzliche Ressourcen auf Pay-as-you-go-Basis hinzufĂŒgen möchten, um die Ressourcen möglichst kosteneffizient zu nutzen.
Die Zahlung erfolgt wĂ€hrend des Buchungszeitraums einmal pro Monat. Wenn Sie einen Server fĂŒr ein Jahr fĂŒr 100 Dollar/Monat mieten, werden Ihnen fĂŒr die nĂ€chsten 12 Monate monatlich 100 Dollar in Rechnung gestellt.
So wird ein Server reserviert
Mit dem neuen Dienst können Sie Bare-Metal-Server mit jeder beliebigen Konfiguration reservieren.
- FĂŒr individuelle Konfigurationen und Preisoptionen wenden Sie sich bitte direkt an Ihren Vertriebsmitarbeiter.
- FĂŒr regulĂ€re Konfigurationen gehen Sie im Control Panel auf die Registerkarte âReservierungâ. Eine Schritt-fĂŒr-Schritt-Anleitung finden Sie in unserer Wissensdatenbank.
In Ihren Berichten können Sie sehen, wie viele Ressourcen Sie reserviert haben, wie viele davon Sie gerade nutzen und ob Sie noch etwas zusÀtzlich benötigen.
Ăhnliche Artikel
Edge Cloud-Updates fĂŒr Dezember 2024
Wir freuen uns, Ihnen die neuesten Erweiterungen unserer Edge Cloud-Plattform vorstellen zu können, mit denen Sie mehr FlexibilitĂ€t, ZuverlĂ€ssigkeit und Kontrolle ĂŒber Ihre Infrastruktur erhalten. Die Updates umfassen die UnterstĂŒtzung mehrerer öffentlicher IPs fĂŒr Bare Metal und verstĂ€rkte MaĂnahmen zum Schutz vor Missbrauch. FĂŒr Neukunden haben wir ein exklusives Angebot fĂŒr die Aktivierung von Bare Metal-Servern. Alle Details hierzu finden Sie in diesem Blog.UnterstĂŒtzung mehrerer öffentlicher IPs fĂŒr Bare MetalWir fĂŒhren die UnterstĂŒtzung mehrerer öffentliche IPs fĂŒr Bare Metal-Server in dedizierten öffentlichen Subnetzen ein und erhöhen damit ihre FlexibilitĂ€t und ZuverlĂ€ssigkeit. Mit diesem Update können Sie zur Sicherung einer nahtlosen ServicekontinuitĂ€t mehrere öffentliche IP-Adressen konfigurieren und so die StabilitĂ€t Ihrer Infrastruktur erhöhen. Mit mehreren IPs bleiben Ihre Dienste ohne Unterbrechung online, selbst wenn eine IP-Adresse ausfallen sollte.Diese FunktionalitĂ€t bietet eine hohe FlexibilitĂ€t und ermöglicht es Ihnen, Ihren Betrieb mĂŒhelos zu skalieren. Besonders nĂŒtzlich ist dies bei der BewĂ€ltigung unterschiedlicher Workloads, der Steuerung des Datenverkehrs und bei komplexen Hosting-Umgebungen. Es ist zudem eine ideale Lösung fĂŒr Hypervisor-Umgebungen, in denen die Trennung des Datenverkehrs ĂŒber verschiedene IPs unerlĂ€sslich ist.Das mĂŒssen Sie wissen, bevor Sie loslegen:Diese Funktion funktioniert ausschlieĂlich mit einem dedizierten öffentlichen Subnetz.Um diese Funktion zu aktivieren, stellen Sie bitte eine Anfrage an unser Support-Team.Die Anzahl der unterstĂŒtzten öffentlichen IPs ist durch die GröĂe des dedizierten Subnetzes begrenzt, das Ihrem Bare Metal-Server zugewiesen ist.Bitte wenden Sie sich an unser Support-Team, wenn Sie kĂŒnftig mehrere öffentliche IPs nutzen möchten.VerschĂ€rfte MaĂnahmen zur Vermeidung von MissbrauchWir haben neue MaĂnahmen zum Schutz vor Missbrauch ergriffen, um problematische Datenverkehrsmuster zu erkennen und einzudĂ€mmen, die ZuverlĂ€ssigkeit der Services zu verbessern und Ihre Infrastruktur vor gefĂ€hrlichen AktivitĂ€ten zu sichern. Diese Updates tragen dazu bei, Ihr Netzwerk zu schĂŒtzen und eine konsistente LeistungsfĂ€higkeit Ihrer Applikationen zu erzielen.Weitere Informationen finden Sie in unserer Produktdokumentation.Testen Sie Bare Metal diesen Monat mit 35 % RabattGcore Bare Metal-Server sind die perfekte Wahl, um herausragende Performance zu erzielen und auch die anspruchsvollsten Workloads zu bewĂ€ltigen. Durch ihre globale VerfĂŒgbarkeit bieten sie eine zuverlĂ€ssige, leistungsstarke und skalierbare Lösung, wo immer Sie sie brauchen. FĂŒr begrenzte Zeit erhalten Neukunden zwei Monate lang 35 % Rabatt auf High-Frequency Bare Metal-Server*.Falls Sie von Ihrem Anbieter wĂ€hrend Spitzenzeiten enttĂ€uscht wurden oder Ihre LeistungsfĂ€higkeit fĂŒr 2025 ausbauen möchten, ist das die Gelegenheit fĂŒr Sie. Nutzen Sie das Angebot bis zum 7. Januar, um sich einen der Rabatte fĂŒr die ersten 500 Kunden zu sichern.Nutzen Sie das volle Potenzial der Edge CloudDiese Updates unterstreichen unser Engagement, Ihr Unternehmen fortlaufend mit Tools und Funktionen zu unterstĂŒtzen, die Ihre Anforderungen erfĂŒllen. Ob es um die Erhöhung von FlexibilitĂ€t, einfacheres Server-Management oder bessere Kostenkontrolle geht â unsere Edge-Cloud-Plattform ist so konzipiert, dass Sie Ihre Ziele mit Sicherheit erreichen können.Ob es um die Erhöhung von FlexibilitĂ€t, einfacheres Server-Management oder mehr Kostenkontrolle geht â unsere Edge-Cloud-Plattform ist so konzipiert, dass Sie Ihre Ziele mit Sicherheit erreichen können.Entdecken Sie Bare Metal von Gcore* Hinweis: Dieses Angebot gilt bis zum 7. Januar 2025. Der Rabatt gilt fĂŒr zwei Monate ab Beginn des Abonnements und exklusiv fĂŒr Neukunden, die High-Frequency Bare Metal-Server aktivieren. Der Rabatt erlischt automatisch nach zwei Monaten. Das Angebot ist auf die ersten 500 Aktivierungen beschrĂ€nkt.
Edge Cloud-Updates fĂŒr Oktober 2024
Heute kĂŒndigen wir eine Reihe wichtiger Verbesserungen unserer Edge-Cloud-Lösungen an, die alle darauf ausgerichtet sind, Ihnen mehr Leistung, FlexibilitĂ€t und Kontrolle ĂŒber Ihre Cloud-Infrastruktur zu bieten. Lesen Sie weiter, um zu erfahren, warum wir in der IDC MarketScape 2024 fĂŒr European Public Cloud als Major Player anerkannt wurden und erfahren Sie mehr ĂŒber die Bare-Metal-VerfĂŒgbarkeit.Gcore wird im IDC MarketScape fĂŒr die europĂ€ische Public Cloud 2024 als Major Player ausgezeichnetWir freuen uns, bekannt zu geben, dass wir im IDC MarketScape: European Public Cloud Infrastructure (IaaS) 2024 Bericht als Major Player ausgezeichnet wurden. Dieser Bericht bewertet und vergleicht Anbieter von Public Cloud-Infrastruktur-as-a-Service (IaaS) in ganz Europa, einschlieĂlich globaler und regionaler Cloud-Anbieter, um die wichtigsten Akteure in der IaaS-Branche zu identifizieren.Diese Anerkennung als Major Player unterstreicht unser Engagement bei Gcore, hochwertige Cloud-Services bereitzustellen, die Unternehmen bei der Innovation, Skalierung und Sicherung ihrer Anwendungen mit höchster ZuverlĂ€ssigkeit unterstĂŒtzen. Wir setzen alles daran, die BedĂŒrfnisse unserer Kunden mit leistungsstarken, auf Performance, Sicherheit und Skalierbarkeit zugeschnittenen Lösungen zu unterstĂŒtzen und die KomplexitĂ€t des Infrastrukturmanagements zu minimieren, damit Sie sich voll auf den Ausbau Ihres Unternehmens konzentrieren können.Bitte Lesen Sie die vollstĂ€ndige Pressemitteilung, um mehr zu erfahren.Inbetriebnahme zusĂ€tzlicher Hochfrequenz-Bare-Metal-ServerNutzen Sie die Leistung unserer neuesten Bare-Metal-Hochgeschwindigkeitsserver in Manassas, Amsterdam, Santa Clara, Singapur, Sydney und Luxemburg. Mit einer KapazitĂ€t von 128 GB RAM wurde diese Neuerung speziell fĂŒr rechenintensive und latenzsensible Workloads entwickelt.Das neue Angebot in unserem Bare-Metal-Sortiment bietet die Leistung und ZuverlĂ€ssigkeit, um Ihre anspruchsvollsten Anwendungen zu beschleunigen. Profitieren Sie von dedizierter Rechenleistung, Effizienz und niedrigen Latenzzeiten, die sich perfekt fĂŒr High-Performance-Computing, Echtzeit-Datenanalysen und umfangreiche Simulationen eignen.Gcore Bare Metal-Server sind an 19 Standorten auf sechs Kontinenten verfĂŒgbar. Mit nur wenigen Klicks im Gcore-Kundenportal können Sie Ihren neuen hochfrequenten Server problemlos einrichten. Oder nehmen Sie Kontakt auf, wenn Sie mit einem Gcore-Experten sprechen möchten.FazitMit diesen Oktober-Updates 2024 setzen wir unser Engagement fort, Ihnen die Tools, die Leistung und die ZuverlĂ€ssigkeit zu bieten, die Sie benötigen, um Ihr Unternehmen mit Zuversicht auszubauen und zu skalieren. Bleiben Sie auf dem Laufenden. Wir werden unsere Edge Cloud Lösungen weiter optimieren.Erfahren Sie mehr ĂŒber Gcore Edge Cloud
Die 5 besten kostenlosen GUI-Tools fĂŒr Kubernetes
Eine grafische BenutzeroberflĂ€che (GUI) fĂŒr Kubernetes ist ein visuelles Tool, mit dem Sie Kubernetes-Cluster ĂŒber eine benutzerfreundliche OberflĂ€che mit Fenstern, SchaltflĂ€chen und Symbolen verwalten und ĂŒberwachen können. Dies ist eine Alternative zur Verwendung der Befehlszeilenschnittstelle (CLI) wie kubectl. GUIs bieten eine Reihe von Funktionen zur Vereinfachung der Kubernetes-Verwaltung, von der Bereitstellung von Anwendungen bis hin zur Ăberwachung von Ressourcen und der Fehlerbehebung bei Problemen. In diesem Artikel werden wir die 5 besten kostenlosen GUI-Tools fĂŒr Kubernetes, ihre Funktionen, StĂ€rken und SchwĂ€chen vorstellen. Wir zeigen Ihnen auch, wie Sie Lens installieren und wie Sie damit eine Verbindung zu einem Gcore Managed Kubernetes-Cluster herstellen.Wie wir zu der Entscheidung fĂŒr die K8-GUIs gekommen sindBei der Auswahl kostenloser GUIs fĂŒr Kubernetes haben wir nach Tools gesucht, die die wesentlichen Funktionen fĂŒr die Verwaltung eines K8s-Clusters in ProduktionsqualitĂ€t bieten. Diese Werkzeuge mĂŒssen nicht mit dem umfangreichen Funktionsumfang von kubectl ĂŒbereinstimmen, da dies zu einer unĂŒbersichtlichen und ĂŒbermĂ€Ăig komplexen Schnittstelle fĂŒhren könnte. Eine grafische BenutzeroberflĂ€che sollte jedoch alle wichtigen Clusterkomponenten visualisieren und es den Benutzern ermöglichen, wichtige VerwaltungsvorgĂ€nge wie die Bearbeitung von Manifesten, das Abrufen von Protokollen und die Fehlersuche durchzufĂŒhren.Unsere Top 5:Kubernetes DashboardLensOctantSkoonerKubeviousAlle diese GUIs sind mit Gcore Managed Kubernetes kompatibel.Schauen wir uns die einzelnen Tools genauer an, wobei wir uns auf ihre wichtigsten Merkmale, StĂ€rken und SchwĂ€chen konzentrieren.Kubernetes DashboardKubernetes Dashboard ist eine beliebte GUI, die von der Kubernetes-Community unterstĂŒtzt und entwickelt wird. Es ist fĂŒr den tĂ€glichen Betrieb und das Debugging von Anwendungen im Cluster gedacht.Abbildung 1: Kubernetes Dashboard GUIDas Dashboard bietet eine ĂŒbersichtliche und bequeme Navigation durch die Cluster-NamensrĂ€ume und zeigt alle definierten Objekte an, z.B. Bereitstellungen, Daemon-Sets und Dienste. Mit der RBAC-FunktionalitĂ€t können Sie Entwicklern einen minimalen, aber ausreichenden Zugang zu einem Cluster gewĂ€hren, um die Aufgaben auszufĂŒhren, zu denen sie berechtigt sind. Es gibt auch einen Log Viewer, mit dem Sie die Protokolle der Container eines Pods einsehen können.Mit Kubernetes Dashboard können Sie containerisierte Anwendungen als Bereitstellungen erstellen und ausfĂŒhren. Dazu mĂŒssen Sie die Details Ihrer Anwendung manuell angeben oder ein YAML- oder JSON-Manifest mit ihrer Konfiguration hochladen.Der gröĂte Nachteil des Dashboards ist die fehlende UnterstĂŒtzung mehrerer Cluster. Wenn Sie mehrere K8s-Cluster haben, mĂŒssen Sie separate Dashboards fĂŒr diese konfigurieren.ProsIntuitive Navigation durch alle wichtigen Objekte eines ClustersAnsicht der Anwendungen nach Art und ZusammenschaltungAnsicht von Ingresses und Services, einschlieĂlich ihrer Verbindungen zu PodsAnsicht von Persistent Volumes und Persistent Volume-AnsprĂŒchenBearbeiten von ConfigMaps und SecretsPod LogsConsKeine Multi-Cluster-UnterstĂŒtzungKeine UnterstĂŒtzung fĂŒr Helm Charts (vorgefertigte Anwendungen fĂŒr K8s)Begrenzte AnpassungsmöglichkeitenNĂŒtzliche LinksInstallationsanleitungBenutzerhandbuchWie man Anwendungen einsetztLensAbbildung 2: BenutzeroberflĂ€che des ObjektivsLens ist als vollwertige IDE (integrierte Entwicklungsumgebung) fĂŒr Kubernetes positioniert und eignet sich fĂŒr alle Benutzerebenen, vom AnfĂ€nger bis zum Fortgeschrittenen. Eine IDE ist eine Softwareanwendung, die Programmierern umfassende Funktionen fĂŒr die Softwareentwicklung zur VerfĂŒgung stellt, darunter einen Code-Editor, einen Debugger und Werkzeuge zur Automatisierung der Erstellung. Als eine Art grafische BenutzeroberflĂ€che (GUI) bietet eine IDE einen visuellen Ansatz fĂŒr die Softwareentwicklung, der die Verwaltung und Navigation komplexer Kodierungsaufgaben erleichtert. Im Gegensatz zum Kubernetes Dashboard, das eine Web-UI ist, ist Lens eine eigenstĂ€ndige Anwendung fĂŒr macOS, Windows und Linux.Lens bietet viele nĂŒtzliche Funktionen, darunter UnterstĂŒtzung fĂŒr mehrere Cluster, Helm Charts und integriertes Prometheus, das Statistiken ĂŒber die Nutzung von Rechenressourcen sammelt. AuĂerdem bietet es Befehlszeilenzugriff auf Clusterknoten und Container. Was die Sicherheit betrifft, so unterstĂŒtzt es RBAC und ermöglicht die Bearbeitung von Secrets.Ein weiterer Vorteil von Lens ist die integrierte Kommandozeile mit vorinstalliertem kubectl. Diese Befehlszeile wird automatisch mit der Kubernetes-API des Clusters synchronisiert, sodass Sie nicht mehrere Versionen von kubectl auf Ihrem Rechner installieren mĂŒssen, um mit verschiedenen Clustern zu arbeiten. Mit Lens haben Sie eine einzige kubectl-Instanz, die nahtlos in allen Ihren Clustern funktioniert.SpĂ€ter in diesem Artikel werden wir Lens verwenden, um eine Verbindung zu einem Gcore Managed Kubernetes-Cluster herzustellen und die GUI genauer zu untersuchen.ProsUmfassende VerwaltungsfunktionenMulti-Cluster-UnterstĂŒtzungHelm-Chart-Einsatz mit vorinstallierten gĂ€ngigen RepositoriesPrometheus-IntegrationIntegrierte CLI mit vorinstalliertem kubectl und Helm v3ConsEingeschrĂ€nkte Sicherheitsfunktionen in der kostenlosen VersionAktualisierungen von Pod-Protokollen nicht in EchtzeitNĂŒtzliche LinksErste SchritteAnleitungen fĂŒr allgemeine AufgabenVerwalten von Helm ChartsKubernetes Web-AnsichtAbbildung 3: Kubernetes Web View BenutzeroberflĂ€cheKubernetes Web View ist ein Tool, das Administratoren helfen soll, auf VorfĂ€lle zu reagieren und Fehler in einem K8s-Cluster zu beheben. Sein Autor, Henning Jacobs, nennt es âeine Web-Version von kubectlâ. Kubernetes Web View unterstĂŒtzt:Installationen mit mehreren ClusternVerfĂŒgbarkeit aller read-onlly Operationen von kubectlErstellung von permanenten Links zu K8s-Objekten und Deep Links zu bestimmten Abschnitten von YAML-ManifestenKubernetes Web View ist ein einfacheres Tool als z.B. Kubernetes Dashboard; es bietet eine weniger detaillierte Visualisierung. Aber das ist in Ordnung, wenn man bedenkt, dass seine Hauptnutzer wahrscheinlich erfahrene K8s-Administratoren sind.Leider unterstĂŒtzt die Kubernetes-Webansicht kein Anwendungsmanagement ĂŒber Deployments oder Helm Charts. Eine weitere EinschrĂ€nkung ist, dass die grafische BenutzeroberflĂ€che nur von Henning Jacobs entwickelt und seit 2021 nicht mehr aktualisiert worden ist.ProsUnterstĂŒtzung fĂŒr alle Kubernetes-ObjekteVerfĂŒgbarkeit aller Nur-Lese-Operationen von kubectlMulti-Cluster-UnterstĂŒtzungEinfaches, zuverlĂ€ssiges Frontend, das hauptsĂ€chlich auf HTML mit minimalem JavaScript basiertDauerhafte VerknĂŒpfungen mit K8s-ObjektenDeep-Links auf bestimmte Abschnitte von YAML manifestsBearbeitung von Ressourcen als YAML manifestsConsEingeschrĂ€nkte VisualisierungKein AnwendungsmanagementNur ein BeitragszahlerNicht aktiv mehr entwickeltKeine UnterstĂŒtzung fĂŒr Helm-ChartsNĂŒtzliche LinksSchnellstartDokumentationSkooner (k8dash)Abbildung 4: BenutzeroberflĂ€che von SkoonerSkooner, frĂŒher bekannt als k8dash, ist eine Web-UI fĂŒr Echtzeit-Cluster-Management. Es bietet eine breite Palette von Funktionen, von der Erstellung von Kubernetes-Objekten bis hin zu Metriken zur Kontrolle des Ressourcenverbrauchs. Mit Skooner können Sie den Zustand eines Clusters anhand von Live-Diagrammen anzeigen und schlecht funktionierende Ressourcen verfolgen. Es ist auch das einzige mobil-optimierte Tool auf dieser Liste, so dass Sie Ihren Cluster ĂŒber ein Telefon oder Tablet verwalten können.Die Hauptnachteile von Skooner sind die fehlende UnterstĂŒtzung fĂŒr Multicluster-Installationen und CRDs (Custom Resource Definitions). AuĂerdem kann der Installationsprozess fĂŒr Kubernetes-Neulinge knifflig sein.ProsUnterstĂŒtzung fĂŒr wichtige K8s-Komponenten, einschlieĂlich Namespaces, Nodes, Pods, Deployments, Replica Sets und StorageRBAC-UnterstĂŒtzungBearbeitung von Ressourcen als YAML manifestsReal-time tracking des Cluster ZustandesIntegration von Open IDResponsive DesignConsKeine Multi-Cluster-UnterstĂŒtzungKeine UnterstĂŒtzung von CRDsKeine UnterstĂŒtzung fĂŒr Helm-ChartsNĂŒtzliche LinksĂbersicht der ToolsEinrichtungKubeviousAbbildung 5: Kubevious GUIKubevious ist die einzige sicherheitsorientierte kostenlose GUI fĂŒr Kubernetes in unserer Liste. Sein Hauptziel ist es, den Zustand und die Konfiguration eines Clusters sowie die Anwendungsmanifeste zu validieren. Kubevious kann Fehler wie Fehlkonfigurationen, Konflikte und sogar Tippfehler erkennen und verhindern. Es hilft Ihnen, die besten Praktiken fĂŒr die Konfiguration und Verwaltung von Kubernetes zu befolgen. Sie können RBAC (rollenbasierte Zugriffskontrolle) auch ĂŒber ein Arbeitsblatt mit verknĂŒpften Rollen, Rollenbindungen und Dienstkonten verwalten.Die grafische BenutzeroberflĂ€che von Kubevious zeigt Kubernetes-Objekte in einer Baumstruktur an und bietet Administratoren einen klaren Ăberblick ĂŒber Microservices, ihre Verbindungen und AbhĂ€ngigkeiten. Sie bietet auch verschiedene âAnsichtenâ eines Clusters aus bestimmten Perspektiven. Die Logic-Ansicht konzentriert sich beispielsweise auf Anwendungskomponenten und AbhĂ€ngigkeiten, wĂ€hrend sich die Image-Ansicht auf Container-Images und deren Repositories konzentriert, die in einem K8s-Cluster verwendet werden.Der gröĂte Nachteil von Kubevious ist die fehlende Multicluster-UnterstĂŒtzung. AuĂerdem scheint der Entwicklungsprozess zu stagnieren: Die letzte Aktualisierung erfolgte im Jahr 2022.ProsLeistungsstarke Sicherheits- und FehlerbehebungsfunktionenErweiterte RBAC-UnterstĂŒtzungOriginelle und klare Darstellung der Struktur der K8s-ObjekteKapazitĂ€tsplanung und Optimierung der RessourcennutzungIntegrierte Zeitmaschine zur Anzeige frĂŒherer ClusterkonfigurationenImpulse fĂŒr die Anwendung von Best Practices fĂŒr DevOpsConsKeine Multi-Cluster-UnterstĂŒtzungNicht mehr aktiv weiterentwickeltKeine UnterstĂŒtzung fĂŒr Helm-ChartsNĂŒtzliche LinksErste SchritteIntegrierte Cloud-Native-ToolsTime MachineVergleichstabelleNach der ĂberprĂŒfung der einzelnen kostenlosen GUI-Tools fĂŒr Kubernetes fassen wir ihre wichtigsten Funktionen in einem Vergleichsdiagramm zusammen, um die allgemeinen Funktionsunterschiede zu sehen. Kubernetes DashboardLensKubernetes Web-AnsichtSkoonerKubeviousInstallation typeK8s-ClusterDesktopDesktop, K8s-ClusterK8s-ClusterDesktop, K8s-ClusterVisualisierung des Clusterzustandsâ â â â â Objekte findenâ â â â â Erstellen und Bearbeiten von Objektenâ â ââ âEinsehen der YAML-Konfigurationâ â â â â RBAC-Verwaltungâ â ââ âHelm-Supportââ âââMetriken zur Ressourcennutzungâ â ââ â Multi-Cluster-UnterstĂŒtzungââ â ââPod Logsâ â â â âEmpfehlungen zur Ressourcenoptimierungââ â â âZusammenfassung des EntscheidungsfindungsprozessesDie Wahl des richtigen GUI-Tools fĂŒr Kubernetes hĂ€ngt von Ihren Projektanforderungen ab. Wenn Sie beispielsweise mehrere Cluster haben, werden Sie wahrscheinlich GUIs vermeiden, die keine Multicluster-Installationen unterstĂŒtzen, und sich stattdessen fĂŒr Kubernetes Dashboard, Skooner oder Kubevious entscheiden. Wenn Ihr Hauptaugenmerk auf der Sicherheit liegt, sollten Sie zuerst Kubevious in Betracht ziehen, auch wenn Lens die umfangreichste Funktionsliste zu haben scheint â manchmal ist eine spezialisierte GUI fĂŒr Ihr Projekt besser geeignet als die mit den umfangreichsten Funktionen.Wir empfehlen Ihnen, mindestens drei verschiedene grafische BenutzeroberflĂ€chen auszuprobieren, um deren FĂ€higkeiten zu testen und zu sehen, wie gut sie Ihren Anforderungen entsprechen. Diese praktische Erfahrung wird Ihnen helfen, ihre StĂ€rken und SchwĂ€chen im Zusammenhang mit Ihren spezifischen Projektanforderungen zu verstehen, so dass Sie eine fundierte Entscheidung treffen können.So installieren Sie Lens und greifen auf Gcore Managed Kubernetes zuGcore Managed Kubernetes bietet eine einfache und schnelle Möglichkeit, einen K8s-Cluster in der Cloud zu betreiben. In 10-15 Minuten haben Sie einen produktionsfĂ€higen Cluster. Dann können Sie eine beliebige freie GUI installieren, um alle Funktionen zu nutzen, wenn Sie mit unserem Managed Kubernetes arbeiten. Wir zeigen Ihnen, wie Sie dies am Beispiel der grafischen BenutzeroberflĂ€che fĂŒr Lens tun können.Hier erfahren Sie, wie Sie Lens mit Gcore Managed Kubernetes einsetzen können:Erstellen Sie einen Kubernetes-Cluster in der Gcore Edge Cloud.Laden Sie die Kubernetes-Konfigurationsdatei herunter.Installieren und aktivieren Sie Lens.Verbinden Sie sich mit Ihrem Kubernetes-Cluster.Wir zeigen Ihnen auch, wie Sie Lens Metrics aktivieren, damit Sie sehen können, wie viele Rechenressourcen Ihr Cluster verbraucht.1. Erstellen eines Kubernetes-Clusters in der Gcore CloudMelden Sie sich im Gcore-Kundenportal an. Wenn Sie noch nicht registriert sind, melden Sie sich kostenlos mit Ihrem E-Mail-, Google- oder GitHub-Konto an.Klicken Sie im linken NavigationsmenĂŒ auf Cloud und dann auf Kubernetes. Klicken Sie auf der Hauptregisterkarte auf Cluster erstellen.Abbildung 6: Erstellen eines Gcore-Kubernetes-ClustersKonfigurieren Sie Ihren Cluster nach Bedarf, oder befolgen Sie die unten stehenden Mindestempfehlungen, die ausreichen, um Lens zu testen und zu prĂŒfen, ob es fĂŒr Sie geeignet ist:Region: Ihre bevorzugte Managed Kubernetes-RegionVersion des Kubernetes-Clusters: Es ist besser, die neueste K8s-Version zu wĂ€hlen, die derzeit 1.29.2 ist.Pool > Minimum / Maximum Knoten: 1/1Instanztyp: Virtuelle Instanzen, 2 vCPU / 4 GiB Speicher sind ausreichendDatentrĂ€gertyp: SSD mit hohem IOPS-Wert 50 GiBNetzwerk-Einstellungen: Neues Netzwerk und Subnetzwerk hinzufĂŒgen oder bestehende auswĂ€hlenSSH-SchlĂŒssel: WĂ€hlen Sie Ihren öffentlichen SSH-SchlĂŒssel oder erzeugen Sie einen neuen.Clustername: cluster-1 (oder wie immer Sie wollen)Nachdem Sie die Einrichtungsschritte abgeschlossen haben, klicken Sie auf Cluster erstellen. Der Cluster wird im Abschnitt âKubernetes-Clusterâ angezeigt. Warten Sie ein paar Minuten, bis der Status von âErstellenâ auf âBereitgestelltâ wechselt.Abbildung 7: Der bereitgestellte Cluster2. Download der Kubernetes-KonfigurationsdateiStarten Sie Terminal auf Ihrem lokalen Rechner und erstellen Sie einen .kube-Ordner:mkdir ~/.kubeGehen Sie im Gcore-Kundenportal zu Ihren Cluster-Einstellungen, klicken Sie auf Kubernetes-Konfiguration und laden Sie sie in den Ordner .kube herunter:Abbildung 8: Die Cluster-Einstellungen mit einer Kubernetes-KonfigurationsdateiBenennen Sie diese Datei von k8sConfig.yml in config um und entfernen Sie die Erweiterung .yml.Jetzt kann Lens auf Ihren Cluster zugreifen.3. Objektiv installieren und aktivierenLaden Sie Lens Desktop fĂŒr Ihr Betriebssystem (OS) herunter und fĂŒhren Sie das Paket aus, indem Sie die Lens-Anleitungen fĂŒr ein bestimmtes OS befolgen.Wenn Sie das Programm starten, werden Sie aufgefordert, Ihr Lens zu registrieren, auch in der kostenlosen Version. Sie können dies mit ein paar Klicks tun; wir werden diese Anweisungen hier ĂŒberspringen; bitte registrieren Sie Lens auf eigene Faust.Nach der Aktivierung von Lens sehen Sie einen BegrĂŒĂungsbildschirm wie diesen:Abbildung 9: Willkommensbildschirm von Lens4. Verbinden Sie sich mit Ihrem Kubernetes-ClusterWĂ€hlen Sie in Lens in der oberen linken Ecke die Option Katalog und dann die Option Cluster. Klicken Sie auf die SchaltflĂ€che + in der unteren rechten Ecke, um Ihre Konfigurationsdatei hinzuzufĂŒgen:Abbildung 10: ClusterlisteWĂ€hlen Sie die zuvor heruntergeladene Konfigurationsdatei aus und klicken Sie auf Synchronisieren. Sie werden sehen, dass die Verbindung hergestellt wird:Abbildung 11: Verbinden mit dem ClusterSobald Lens mit Ihrem Cluster verbunden ist, wird es in der Clusterliste angezeigt.Herzlichen GlĂŒckwunsch! Sie sind nun bereit, Ihren Cluster mit Lens zu verwalten. Doppelklicken Sie auf Ihren Cluster, um eine Ăbersicht zu erhalten:Abbildung 12: Allgemeiner Ăberblick ĂŒber den Cluster5. Objektivmetriken aktivieren (optional)Die Aktivierung von Lens Metrics hilft Ihnen, Ihren Cluster auf die eigentliche Arbeit vorzubereiten. Die Funktion bietet Metrics-Exporters, die Daten ĂŒber die Ressourcennutzung Ihres Clusters sammeln.Ăffnen Sie die Cluster-Einstellungen und wĂ€hlen Sie Lens Metrics. Schalten Sie alle Optionen ein:Abbildung 13: Aktivieren von ObjektivmetrikenAuf der Cluster-Ăbersichtsseite sehen Sie, dass Lens begonnen hat, die CPU-, Speicher-, Netzwerk- und andere Ressourcennutzung zu visualisieren. Sie können sogar sehen, wie viele Rechenressourcen jede Anwendung verbraucht:Abbildung 14: Statistiken zum AnwendungsverbrauchFazitKostenlose GUI-Tools fĂŒr Kubernetes bieten eine Reihe von Features und Funktionen fĂŒr die Visualisierung und Verwaltung von Kubernetes-Ressourcen, von intuitiven webbasierten Schnittstellen bis hin zu Multi-Cluster-UnterstĂŒtzung und YAML-Editoren. Einige GUIs sind universell einsetzbar, wie Lens und Kubernetes Dashboard, wĂ€hrend andere spezifischer sind, wie Kubevious.Egal, fĂŒr welche dieser kostenlosen Kubernetes-GUIs Sie sich entscheiden, Sie können sie mit Gcore Managed Kubernetes verwenden. Gcore Managed Kubernetes bietet UnterstĂŒtzung fĂŒr Bare-Metal- und Virtual-Machine-Worker-Nodes, kostenloses Cluster-Management mit einem SLA von 99,9 % und die gleichen Preise fĂŒr Worker-Nodes wie fĂŒr VMs und Bare-Metal-Instanzen.Erfahren Sie mehr ĂŒber Gcore Managed Kubernetes
Wie man versteckte Schwachstellen in Kubernetes RBAC-Berechtigungen verwaltet
Dieser Artikel wurde ursprĂŒnglich auf The New Stack veröffentlicht. Er wurde von Dmitrii Bubnov geschrieben, einem DevSecOps-Ingenieur bei Gcore mit 14 Jahren Erfahrung in der IT.Die rollenbasierte Zugriffskontrolle (RBAC) ist der Standardansatz fĂŒr die Zugriffskontrolle in Kubernetes. Dieses Modell kategorisiert Berechtigungen mit Hilfe spezifischer Verbs, um erlaubte Interaktionen mit Ressourcen zu definieren. Innerhalb dieses Systems können drei weniger bekannte Berechtigungen âescalate, bind und impersonateâ bestehende RollenbeschrĂ€nkungen auĂer Kraft setzen, unbefugten Zugriff auf eingeschrĂ€nkte Bereiche gewĂ€hren, vertrauliche Daten offenlegen oder sogar die vollstĂ€ndige Kontrolle ĂŒber einen Cluster ermöglichen. Dieser Artikel erlĂ€utert diese leistungsstarken Berechtigungen und gibt einen Ăberblick ĂŒber ihre Funktionen sowie Hinweise zur Minderung der damit verbundenen Risiken.Eine kurze Erinnerung an RBAC-Rollen und VerbsIn diesem Artikel gehe ich davon aus, dass Sie bereits mit den SchlĂŒsselkonzepten von Kubernetes RBAC vertraut sind. Falls nicht, lesen Sie bitte die Dokumentation von Kubernetes.Wir mĂŒssen jedoch kurz an ein wichtiges Konzept erinnern, das in direktem Zusammenhang mit diesem Artikel steht: Role. Hier werden die Zugriffsrechte auf K8s-Ressourcen innerhalb eines bestimmten Namespace und die verfĂŒgbaren Operationen beschrieben. Rollen bestehen aus einer Reihe von Regeln. Die Regeln umfassen verbs-verfĂŒgbare VorgĂ€nge fĂŒr definierte Ressourcen.Hier ist ein Beispiel fĂŒr eine Rolle aus der K8s-Dokumentation, die Lesezugriff auf Pods gewĂ€hrt:apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: namespace: default name: pod-readerrules:- apiGroups: [""] # "" points to the core API group resources: ["pods"] verbs: ["get", "watch", "list"]Verbs wie get, watch, und list werden hĂ€ufig verwendet. Aber es gibt andere, die noch viel spannender sind.Drei weniger bekannte Kubernetes RBAC-BerechtigungenFĂŒr eine detailliertere und komplexere Verwaltung von Berechtigungen verfĂŒgt das K8s RBAC ĂŒber die folgenden Verbs:escalate: Ermöglicht es Benutzern, Rollen zu erstellen und zu bearbeiten, auch wenn sie nicht ĂŒber die ursprĂŒnglichen Berechtigungen dazu verfĂŒgen.bind: Ermöglicht Benutzern die Erstellung und Bearbeitung von Rollenbindungen und Cluster-Rollenbindungen mit Berechtigungen, die ihnen nicht zugewiesen wurden.impersonate: Ermöglicht es Benutzern, sich als andere Benutzer auszugeben und deren Berechtigungen im Cluster oder in einer anderen Gruppe zu erhalten. Mit diesem Verb kann auf kritische Daten zugegriffen werden.Im Folgenden werden wir sie genauer kennenlernen. Aber zuerst wollen wir einen Test-Namespace erstellen und ihn rbac nennen:kubectl create ns rbacErstellen Sie dann eine Test-SA privesc:kubectl -n rbac create sa privescWir werden sie im weiteren Verlauf dieses Lehrgangs verwenden.EscalateStandardmĂ€Ăig erlaubt die RBAC-API von Kubernetes Benutzern nicht, ihre Berechtigungen durch einfaches Bearbeiten einer Rolle oder Rollenbindung zu erweitern. Diese EinschrĂ€nkung gilt auf API-Ebene auch dann, wenn die RBAC-Autorisierung deaktiviert ist. Die einzige Ausnahme ist, wenn die Rolle das Verb escalate hat.In der folgenden Abbildung kann die SA, die nur ĂŒber die Berechtigungen update und patch verfĂŒgt, der Rolle kein neues Verb hinzufĂŒgen. Aber wenn wir eine neue Rolle mit dem Verb escalate hinzufĂŒgen, wird es möglich:Abbildung 1: Durch HinzufĂŒgen des Verbs âescalateâ zur Rolle kann der Benutzer die Rollenberechtigungen Ă€ndern und ein neues Verb hinzufĂŒgenSchauen wir uns die Funktionsweise im Detail an.Erstellen Sie eine Rolle, die nur Lesezugriff auf Pods und Rollen in diesem Namespace erlaubt:kubectl -n rbac create role view --verb=list,watch,get --resource=role,podVerknĂŒpfen Sie diese Rolle mit der SA privesc:kubectl -n rbac create rolebinding view --role=view --serviceaccount=rbac:privescPrĂŒfen Sie, ob die Rolle aktualisiert werden kann:kubectl auth can-i update role -n rbac --as=system:serviceaccount:rbac:privesc noWie wir sehen können, kann die SA Rollen lesen, aber nicht bearbeiten.Erstellen Sie eine neue Rolle, die die Bearbeitung von Rollen im rbac-Namenspace ermöglicht:kubectl -n rbac create role edit --verb=update,patch --resource=roleVerknĂŒpfen Sie diese neue Rolle an die SA privesc:kubectl -n rbac create rolebinding edit --role=edit --serviceaccount=rbac:privescPrĂŒfen Sie, ob die Rolle aktualisiert werden kann:kubectl auth can-i update role -n rbac --as=system:serviceaccount:rbac:privescyesPrĂŒfen Sie, ob die Rolle gelöscht werden kann:kubectl auth can-i delete role -n rbac --as=system:serviceaccount:rbac:privescnoDie SA kann jetzt Rollen bearbeiten, aber nicht löschen.Im Interesse der experimentellen Genauigkeit sollten wir die SA-FĂ€higkeiten ĂŒberprĂŒfen. Dazu verwenden wir ein JWT (JSON Web Token):TOKEN=$(kubectl -n rbac create token privesc --duration=8h)Wir sollten die alten Authentifizierungsparameter aus der Konfiguration entfernen, da Kubernetes zuerst das Zertifikat des Benutzers ĂŒberprĂŒft und das Token nicht ĂŒberprĂŒft, wenn es das Zertifikat bereits kennt.cp ~/.kube/config ~/.kube/rbac.confexport KUBECONFIG=~/.kube/rbac.confkubectl config delete-user kubernetes-adminkubectl config set-credentials privesc --token=$TOKENkubectl config set-context --current --user=privescDiese Rolle zeigt, dass wir andere Rollen bearbeiten können:kubectl -n rbac get role edit -oyamlapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patchVersuchen wir, ein neues Verb hinzuzufĂŒgen, list, das wir bereits in der Ansichtsrolle verwendet haben:kubectl -n rbac edit role editOKapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - list # the new verb we addedSuccess.Versuchen wir nun, ein neues Verb hinzuzufĂŒgen, nĂ€mlich delete, das wir in anderen Rollen noch nicht verwendet haben:kubectl -n rbac edit role editapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - delete # trying to add a new verberror: roles.rbac.authorization.k8s.io "edit" could not be patched: roles.rbac.authorization.k8s.io "edit" is forbidden: user "system:serviceaccount:rbac:privesc" (groups=["system:serviceaccounts" "system:serviceaccounts:rbac" "system:authenticated"]) is attempting to grant RBAC permissions not currently held:{APIGroups:["rbac.authorization.k8s.io"], Resources:["roles"], Verbs:["delete"]}Dies bestĂ€tigt, dass Kubernetes es Benutzern oder Dienstkonten nicht erlaubt, neue Berechtigungen hinzuzufĂŒgen, wenn sie diese nicht bereits haben â nur wenn Benutzer oder Dienstkonten an Rollen mit solchen Berechtigungen gebunden sind.Erweitern wir die privesc SA-Berechtigungen. Dazu verwenden wir die Admin-Konfiguration und fĂŒgen eine neue Rolle mit dem Verb escalate hinzu:KUBECONFIG=~/.kube/config kubectl -n rbac create role escalate --verb=escalate --resource=roleJetzt binden wir die privesc SA an die neue Rolle:KUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding escalate --role=escalate --serviceaccount=rbac:privescPrĂŒfen Sie noch einmal, ob wir der Rolle ein neues Verb hinzufĂŒgen können:kubectl -n rbac edit role editapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: edit namespace: rbacrules:- apiGroups: - rbac.authorization.k8s.io resources: - roles verbs: - update - patch - delete # the new verb we addedrole.rbac.authorization.k8s.io/edit editedJetzt funktioniert es. Der Benutzer kann die SA-Rechte erweitern, indem er die bestehende Rolle bearbeitet. Das bedeutet, dass das Verb escalate die Rechte eines Admins, einschlieĂlich der Rechte eines Namespace-Admins oder sogar eines Cluster-Admins, verleiht.BindDas bind Verb erlaubt es dem Benutzer die Bearbeitung der RoleBinding oder ClusterRoleBinding fĂŒr Berechtigungserweiterung, Ă€hnlich wie bei escalatedie es dem Benutzer ermöglicht, die Role oder ClusterRole.In der folgenden Abbildung kann die SA mit der Rollenbindung, die die Verbs update, patch und create enthĂ€lt, erst dann delete hinzufĂŒgen, wenn wir eine neue Rolle mit dem Verb bind erstellen.Abbildung 2: Das HinzufĂŒgen der neuen Rolle mit dem Verb bind ermöglicht es dem Benutzer, die Bindungsberechtigungen der Rolle zu erweiternSchauen wir uns nun genauer an, wie das funktioniert.Ăndern wir die kubeconfig-Datei auf admin:export KUBECONFIG=~/.kube/configEntfernen Sie alte Rollen und Bindungen:kubectl -n rbac delete rolebinding view edit escalatekubectl -n rbac delete role view edit escalateErlauben Sie der SA, die Rollenbindung und die Pod-Ressourcen im Namenspace anzuzeigen und zu bearbeiten:kubectl -n rbac create role view --verb=list,watch,get --resource=role,rolebinding,podkubectl -n rbac create rolebinding view --role=view --serviceaccount=rbac:privesckubectl -n rbac create role edit --verb=update,patch,create --resource=rolebinding,podkubectl -n rbac create rolebinding edit --role=edit --serviceaccount=rbac:privescErstellen Sie separate Rollen fĂŒr die Arbeit mit Pods, aber binden Sie die Rolle trotzdem nicht:kubectl -n rbac create role pod-view-edit --verb=get,list,watch,update,patch --resource=podkubectl -n rbac create role delete-pod --verb=delete --resource=podĂndern Sie die kubeconfig auf das SA-Recht und versuchen Sie, die Rollenbindung zu bearbeiten:export KUBECONFIG=~/.kube/rbac.confkubectl -n rbac create rolebinding pod-view-edit --role=pod-view-edit --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/pod-view-edit createdDie neue Rolle wurde erfolgreich an die SA gebunden. Beachten Sie, dass die Rolle pod-view-edit Verbs und Ressourcen enthĂ€lt, die bereits durch die Rollenbindung view und edit an die SA gebunden wurden.Versuchen wir nun, eine Rolle mit einem neuen Verb zu binden, delete, das in den an die SA gebundenen Rollen fehlt:kubectl -n rbac create rolebinding delete-pod --role=delete-pod --serviceaccount=rbac:privescerror: failed to create rolebinding: rolebindings.rbac.authorization.k8s.io "delete-pod" is forbidden: user "system:serviceaccount:rbac:privesc" (groups=["system:serviceaccounts" "system:serviceaccounts:rbac" "system:authenticated"]) is attempting to grant RBAC permissions not currently held:{APIGroups:[""], Resources:["pods"], Verbs:["delete"]}Kubernetes lĂ€sst dies nicht zu, obwohl wir die Berechtigung haben, Rollenbindungen zu bearbeiten und zu erstellen. Aber das können wir mit dem Verb bind Ă€ndern. Verwenden wir dazu die Admin-Konfiguration:KUBECONFIG=~/.kube/config kubectl -n rbac create role bind --verb=bind --resource=rolerole.rbac.authorization.k8s.io/bind createdKUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding bind --role=bind --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/bind createdVersuchen Sie noch einmal, eine Rollenbindung mit dem neuen Verb delete zu erstellen:kubectl -n rbac create rolebinding delete-pod --role=delete-pod --serviceaccount=rbac:privescrolebinding.rbac.authorization.k8s.io/delete-pod createdJetzt funktioniert es. Mit dem Verb bind kann die SA also jede Rolle an sich selbst oder an jeden Benutzer binden.ImpersonateDas Verb impersonate in K8s ist wie sudo in Linux. Wenn Benutzer Zugriff auf impersonate haben, können sie sich als andere Benutzer authentifizieren und Befehle in deren Namen ausfĂŒhren. kubectl verfĂŒgt ĂŒber die Optionen --as, --as-group und --as-uid, die es ermöglichen, Befehle unter einem anderen Benutzer, einer anderen Gruppe bzw. einer anderen UID (einem universell eindeutigen Bezeichner) auszufĂŒhren. Wenn ein Benutzer Impersonation-Berechtigungen erhĂ€lt, wird er zum Namespace-Admin oder â wenn es im Namespace ein cluster-admin-Dienstkonto gibt â sogar zum Cluster-Admin.Impersonate ist hilfreich, um die an einen Benutzer delegierten RBAC-Berechtigungen zu ĂŒberprĂŒfen: Ein Administrator sollte einen Befehl gemÀà der Vorlage kubectl auth can-i --as=$USERNAME -n $NAMESPACE $VERB $RESOURCE ausfĂŒhren und prĂŒfen, ob die Berechtigung wie vorgesehen funktioniert.In unserem Beispiel wĂŒrde die SA keine Informationen ĂŒber Pods im rbac-Namensraum erhalten, wenn sie nur kubectl -n rbac get pod ausfĂŒhrt. Aber es wird möglich, wenn es eine Rolle mit dem Verb impersonate gibt:kubectl auth can-i get pod -n rbac --as=system:serviceaccount:rbac:privescyesAbbildung 3: Abrufen von Informationen ĂŒber Pods mit einer Rolle, die das Verb impersonate hatErstellen wir ein neues Dienstkonto, impersonator, im rbac-Namensraum; diese SA wird keine Berechtigungen haben:KUBECONFIG=~/.kube/config kubectl -n rbac create sa impersonatorserviceaccount/impersonator createdErstellen Sie nun eine Rolle mit dem Verb impersonate und einer Rollenbindung:KUBECONFIG=~/.kube/config kubectl -n rbac create role impersonate --resource=serviceaccounts --verb=impersonate --resource-name=privesc(Sehen Sie sich den Parameter --resource-name im obigen Befehl an: er erlaubt nur Impersonation als privesc SA.)role.rbac.authorization.k8s.io/impersonate createdKUBECONFIG=~/.kube/config kubectl -n rbac create rolebinding impersonator --role=impersonate --serviceaccount=rbac:impersonatorrolebinding.rbac.authorization.k8s.io/impersonator createdErstellen Sie einen neuen Kontext:TOKEN=$(KUBECONFIG=~/.kube/config kubectl -n rbac create token impersonator --duration=8h)kubectl config set-credentials impersonate --token=$TOKEN User "impersonate" set.kubectl config set-context impersonate@kubernetes --user=impersonate --cluster=kubernetesContext "impersonate@kubernetes" created.kubectl config use-context impersonate@kubernetesSwitched to context "impersonate@kubernetes".ĂberprĂŒfen Sie die Berechtigungen:kubectl auth can-i --list -n rbacResources Non-Resource URLs Resource Names Verbsselfsubjectaccessreviews.authorization.k8s.io [] [] [create]selfsubjectrulesreviews.authorization.k8s.io [] [] [create]...serviceaccounts [] [privesc] [impersonate]Neben impersonate gibt es keine weiteren Berechtigungen, wie in der Rolle angegeben. Wenn wir jedoch die impersonator SA als privesc SA ausgeben, können wir sehen, dass wir dieselben Berechtigungen erhalten, die die privesc SA hat:kubectl auth can-i --list -n rbac --as=system:serviceaccount:rbac:privescResources Non-Resource URLs Resource Names Verbsroles.rbac.authorization.k8s.io [] [edit] [bind escalate]selfsubjectaccessreviews.authorization.k8s.io [] [] [create]selfsubjectrulesreviews.authorization.k8s.io [] [] [create]pods [] [] [get list watch update patch delete create]...rolebindings.rbac.authorization.k8s.io [] [] [list watch get update patch create bind escalate]roles.rbac.authorization.k8s.io [] [] [list watch get update patch create bind escalate]configmaps [] [] [update patch create delete]secrets [] [] [update patch create delete]Somit hat die impersonate SA alle ihre eigenen Privilegien und alle Privilegien der SA, die sie verkörpert, einschlieĂlich derjenigen, die ein Namespace-Admin hat.Wie man potenzielle Bedrohungen entschĂ€rftDie Verbs escalate, bind und impersonate können zur Erstellung flexibler Berechtigungen verwendet werden, die eine granulare Verwaltung des Zugriffs auf die Infrastruktur von K8 ermöglichen. Sie öffnen aber auch TĂŒr und Tor fĂŒr eine böswillige Nutzung, da sie in einigen FĂ€llen einem Benutzer den Zugriff auf wichtige Infrastrukturkomponenten mit Administratorrechten ermöglichen.Drei Vorgehensweisen können helfen, die potenziellen Gefahren einer missbrĂ€uchlichen oder böswilligen Verwendung dieser Verbs zu entschĂ€rfen:RegelmĂ€Ăige ĂberprĂŒfung der RBAC-ManifestsVerwenden Sie das Feld resourceNames in den Manifests Role und ClusterRoleExterne Tools zur Ăberwachung von Rollen verwendenBetrachten wir sie der Reihe nach.RegelmĂ€Ăige ĂberprĂŒfung der RBAC-ManifestsUm unbefugten Zugriff und RBAC-Fehlkonfigurationen zu verhindern, sollten Sie die RBAC-Manifests Ihres Clusters regelmĂ€Ăig ĂŒberprĂŒfen:kubectl get clusterrole -A -oyaml | yq '.items[] | select (.rules[].verbs[] | contains("esalate" | "bind" | "impersonate")) | .metadata.name'kubectl get role -A -oyaml | yq '.items[] | select (.rules[].verbs[] | contains("esalate" | "bind" | "impersonate")) | .metadata.name'Verwenden Sie das Feld ResourceNamesUm die Verwendung von escalate, bind, impersonateoder beliebige andere Verben, konfigurieren Sie die resourceNames Feld in der Role und ClusterRole Manifests. Dort können â und sollten â Sie die Namen der Ressourcen eingeben, die verwendet werden können.Hier ist ein Beispiel fĂŒr ein ClusterRole, das die Erstellung eines ClusterRoleBinding mit roleRef named edit und view ermöglicht:apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: role-grantorrules:- apiGroups: ["rbac.authorization.k8s.io"] resources: ["clusterroles"] verbs: ["bind"] resourceNames: ["edit","view"]Das Gleiche gilt fĂŒr âescalateâ und âimpersonateâ.Beachten Sie, dass im Fall von bind ein Administrator die Berechtigungen in einer Rolle festlegt und die Benutzer diese Rolle nur an sich selbst binden können, wenn dies in resourceNames erlaubt ist. Mit escalate können Benutzer beliebige Parameter innerhalb einer Rolle schreiben und Admins eines Namespaces oder Clusters werden. So schrĂ€nkt bind die Nutzer ein, wĂ€hrend escalate ihnen mehr Möglichkeiten bietet. Beachten Sie dies, wenn Sie diese Berechtigungen erteilen mĂŒssen.Verwenden Sie externe Tools fĂŒr das Monitoring von RollenZiehen Sie den Einsatz automatischer Systeme in Betracht, die das Erstellen oder Bearbeiten von Rollen mit verdĂ€chtigen Inhalten ĂŒberwachen, z.B. Falco oder Tetragon.Sie können Kubernetes-Audit-Protokolle auch an ein Protokollverwaltungssystem wie Gcore Managed Logging weiterleiten, das fĂŒr die Analyse und Analyse von K8s-Protokollen nĂŒtzlich ist. Um ein versehentliches Löschen von Ressourcen zu verhindern, erstellen Sie ein separates Dienstkonto mit dem Verb delete und erlauben Sie den Benutzern, nur dieses Dienstkonto zu verkörpern. Das ist das Prinzip des geringsten Widerstandes. Um diesen Prozess zu vereinfachen, können Sie das kubectl-Plugin kubectl-sudo verwenden.Bei Gcore nutzen wir diese Methoden, um unseren Managed Kubernetes-Service sicherer zu machen. Wir empfehlen allen unseren Kunden, dasselbe zu tun. Die Nutzung von Managed Services garantiert nicht, dass Ihre Dienste standardmĂ€Ăig 100% sicher sind, aber bei Gcore tun wir alles, um den Schutz unserer Kunden zu gewĂ€hrleisten, einschlieĂlich der Förderung von RBAC Best Practices.FazitMit den Verben escalate, bind und impersonate können Administratoren den Zugriff auf die K8-Infrastruktur flexibel verwalten und Benutzern die Möglichkeit geben, ihre Berechtigungen zu erweitern. Dies sind mĂ€chtige Werkzeuge, die bei Missbrauch erheblichen Schaden an einem K8s-Cluster anrichten können. PrĂŒfen Sie jede Verwendung dieser Verben sorgfĂ€ltig und stellen Sie sicher, dass die Regel der geringsten Zugriffsberechtigung befolgt wird: Benutzer mĂŒssen die minimalen Rechte haben, die fĂŒr den Betrieb erforderlich sind, nicht mehr.Suchen Sie nach einer einfachen Möglichkeit, Ihre K8s-Cluster zu verwalten? Testen Sie Gcore Managed Kubernetes. Wir bieten virtuelle Maschinen und Bare-Metal-Server mit GPU-Worker-Nodes zur Steigerung Ihrer KI/ML-Workloads. Die Preise fĂŒr Worker Nodes sind dieselben wie fĂŒr unsere virtuellen Maschinen und Bare Metal Server. Wir bieten Ihnen ein kostenloses, production-grade Cluster-Management mit einem SLA von 99,9 %, damit Sie sich keine Sorgen machen mĂŒssen.Entdecken Sie Gcore Managed Kubernetes
EinfĂŒhrung von Gcore Inference at the Edge: KI-Apps nĂ€her an Ihre Benutzer bringen, um blitzschnelle Reaktionen zu ermöglichen
Wir freuen uns, Gcore Inference at the Edge vorzustellen. Diese neue Lösung reduziert die Latenzzeit Ihrer ML-Modellausgabe und verbessert die Leistung von KI-gestĂŒtzten Anwendungen. Es basiert auf Gcores globalem Netzwerk von ĂŒber 180 Edge Points of Presence (PoPs), die von NVIDIA L40S GPUs angetrieben werden. Inference at the Edge kommt insbesondere latenzempfindlichen Echtzeitanwendungen zugute, darunter generative KI und Objekterkennung. Inference at the Edge befindet sich derzeit in der Beta-Phase und kann kostenlos genutzt werden. Lesen Sie weiter, um mehr ĂŒber die Funktionen der Lösung, AnwendungsfĂ€lle und die ersten Schritte zu erfahren.Was ist Gcore Inference at the Edge?Gcore Inference at the Edge ermöglicht es Ihnen, ML-Modelle an Edge-Punkten einzusetzen. Anycast-Endpunkte leiten Endbenutzeranfragen an das nĂ€chstgelegene laufende Modell weiter, um eine geringe Latenzzeit zu erreichen, was zu einem nahtlosen Benutzererlebnis fĂŒhrt.Die zugrundeliegende Infrastruktur muss nicht verwaltet, skaliert und ĂŒberwacht werden; die Einrichtung erfolgt vollstĂ€ndig automatisiert auf unserer Seite. Sie erhalten also einen einzigen Endpunkt zur Integration in Ihre Anwendung.Inference at the Edge stĂŒtzt sich auf drei Komponenten:Unser Netzwerk mit niedriger Latenz von ĂŒber 180 Edge-PoPs in ĂŒber 90 LĂ€ndern mit Smart Routing und einer durchschnittlichen Netzwerklatenz von 30 msNVIDIA L40S GPUs auf Gcore Edge PoPs eingesetztden Modellkatalog von Gcore, der beliebte, quelloffene ML-Grundmodelle wie Mistral 7B, Stable-Diffusion XL und LLaMA Pro 8B enthĂ€ltWie funktioniert Gcore Inference at the Edge?Wir bieten Ihnen einen einzigen Endpunkt fĂŒr Ihre Anwendungen. Wenn Endbenutzer auf diesen Endpunkt zugreifen, werden ihre Anfragen an die ihnen am nĂ€chsten gelegenen Edge-PoPs weitergeleitet.Hier ist ein Beispiel dafĂŒr, wie der Dienst fĂŒr Endnutzer funktioniert:Abbildung 1: So funktioniert Inference at the EdgeEine Benutzeranfrage und ein Modellergebnis können auf zwei Arten behandelt werden:Standardabfrage-Ergebnisroute: Wenn ein Benutzer eine Anfrage sendet, bestimmt ein Edge-Knoten die Route zur nĂ€chsten verfĂŒgbaren Inferenzregion mit der geringsten Latenz.Alternative Abfrage-Ergebnisroute: Wenn die nĂ€chstgelegene Region nicht verfĂŒgbar ist, leitet der Edge-Knoten die Anfrage des Nutzers dann an die nĂ€chste Region weiter, die rĂ€umlich am nahsten zum Benutzer ist.Warum sollte man sich fĂŒr Gcore Inference at the Edge entscheiden?Inference at the Edge bietet viele Vorteile fĂŒr Entwickler von KI-Anwendungen, die die KI-Inferenz optimieren und die Benutzerfreundlichkeit verbessern möchten.Hohe Performance: Der Dienst beschleunigt die Durchlaufzeit einer Abfrage und einer Modellantwort durch das Netz auf durchschnittlich 30 ms.Skalierbarkeit: Skalieren Sie Ihr ML-Modell automatisch nach oben und unten, entweder in einer bestimmten Region oder in allen ausgewĂ€hlten Regionen.Kosteneffizient: Sie zahlen nur fĂŒr die Ressourcen, die Ihr ML-Modell nutzt. Legen Sie Grenzen fĂŒr die automatische Skalierung fest, um zu kontrollieren, wie viele Ressourcen Ihre Modelle bei Spitzenlasten verwenden.Schnelle MarkteinfĂŒhrung: Indem Sie das Infrastrukturmanagement an das Gcore-Team delegieren, sparen Ihre Entwickler wertvolle Zeit und können sich auf ihre Kernaufgaben konzentrieren.Einfach zu bedienen: Inference at the Edge bietet einen intuitiven Entwickler-Workflow fĂŒr eine schnelle und rationelle Entwicklung und Bereitstellung.Unternehmenstauglich: Der Service bietet Ihnen Sicherheit mit integriertem DDoS-Schutz fĂŒr Endpunkte und lokaler Datenverarbeitung, um den Schutz und die SouverĂ€nitĂ€t Ihrer Daten zu gewĂ€hrleisten.AnwendungsfĂ€lle fĂŒr Inference at the EdgeInference at the Edge kann branchenĂŒbergreifend eingesetzt werden. Hier sind nur einige Beispiele fĂŒr mögliche AnwendungsfĂ€lle:TechnologieGamingEinzelhandelMedien und EntertainmentGenerative KI-Anwendungen Chatbots und virtuelle Assistenten KI-Tools fĂŒr Softwareentwickler DatenerweiterungGenerierung von KI-Inhalten und Karten Echtzeit-KI-Bot-Anpassung und Konversation Echtzeit-Analyse von Media-PlayernIntelligente LebensmittelgeschĂ€fte mit Self-Checkout und Merchandising Erstellung von Inhalten, Vorhersagen und Empfehlungen Virtuelle AnprobeInhaltsanalyse Automatisierte Transkription Echtzeit-ĂbersetzungErste SchritteGcore Inference at the Edge befindet sich noch in der Betaphase und ist auf Anfrage erhĂ€ltlich. Wenn Sie es ausprobieren möchten, nehmen Sie Kontakt ĂŒber unser Kontaktformular auf oder, wenn Sie bereits Gcore-Kunde sind, wenden Sie sich an Ihren Kundenbetreuer.Sobald Sie Zugang haben, können Sie unsere Produktdokumentation einsehen:Erstellen Sie ein KI-ModellHinzufĂŒgen und Konfigurieren einer RegistryAPI-SchlĂŒssel erstellen und verwaltenVerwalten Sie Deplyments im Gcore-KundenportalFazitGcore Inference at the Edge ist eine leistungsstarke und effiziente Lösung fĂŒr die Bereitstellung Ihrer ML-Modelle und die Verbesserung des Benutzererlebnisses. Sie bietet niedrige Latenzzeiten und einen hohen Durchsatz fĂŒr Ihre ML-Modelle, integrierten DDoS-Schutz, gĂ€ngige Basismodelle und andere Funktionen, die fĂŒr produktionsreife KI-Inferenz am Netzwerkrand unerlĂ€sslich sind.Wenn Sie eine persönliche Beratung oder Hilfe zum Produkt wĂŒnschen, setzen Sie sich bitte mit uns in Verbindung.Erkunden Sie âGcore Inference at the Edgeâ
Neue Standorte von Gcore Basic VM: Dubai und Almaty
Wir freuen uns, die VerfĂŒgbarkeit von Gcore Basic VM, unseren budgetfreundlichen virtuellen Basismaschinen (VMs), in Dubai und Almaty, Kasachstan, zu verkĂŒnden. Basic VM bietet erschwingliche virtuelle Maschinen ab nur 3,20 ⏠pro Monat. Sie sind eine hervorragende Option fĂŒr Entwickler, Websitebetreiber und Privatnutzer. Jede virtuelle Maschine ist innerhalb von wenigen Minuten einsatzbereit und verfĂŒgt ĂŒber einen eingebauten DDoS-Schutz.AnwendungsfĂ€lle von Gcore Basic VMGcore Basic VM ist in der Lage, kompakte Anwendungen auszufĂŒhren, unter anderem:Website- oder Blog-HostingTest- und EntwicklungsumgebungenVPN-ServerSpieleserverUmgebungen fĂŒr persönliche ProjekteDie Vorteile von Gcore Basic VMGcore Basic VM glĂ€nzt mit einem hervorragenden Preis-Leistungs-VerhĂ€ltnis und nutzt leistungsfĂ€hige, skalierbare IntelÂź XeonÂź Ice Lake-Prozessoren der 3. Generation. Der Tarif beinhaltet einen DDoS-Basisschutz vor Reflection-Angriffen mit einem Traffic-Schwellenwert von 5 Gbps, eine lokale SSD-Festplatte fĂŒr die Speicherung von Daten mit einer Ăbertragungsgeschwindigkeit von bis zu 300 MB/Sek. und einen freien Egress-Datenverkehr. Alle Einzelheiten finden Sie auf der Produktseite.Standorte von Gcore Basic VMGcore Basic VM ist derzeit an acht Standorten verfĂŒgbar:DubaiAlmatySĂŁo PauloAmsterdamFrankfurtHongkongManassasTokioGcores bemĂŒht sich um die Ausweitung seiner globalen AbdeckungGcore möchte die Cloud-Erfahrung unserer Kunden verbessern, indem wir unsere globale Abdeckung ausweiten und somit erschwingliche und effiziente Lösungen fĂŒr alle anbieten können. Unser Netzwerk besteht aus mehr als 150 PrĂ€senzpunkten weltweit, darunter mehr als 25 Cloud-Standorte. Wir bemĂŒhen uns kontinuierlich, unsere Dienste zu verbessern und weitere Standorte zur VerfĂŒgung zu stellen, um allen unseren Kunden unabhĂ€ngig von ihrem Standort eine bequeme und effiziente Erfahrung zu bieten.Holen Sie sich Gcore Basic VM
Melden Sie sich fĂŒr unseren Newsletter an
Erhalten Sie die neuesten Branchentrends, exklusive Einblicke und Gcore-Updates direkt in Ihren Posteingang.