服务网格选型:Istio与Linkerd的治理与性能
对比两大主流服务网格的治理能力与开销权衡,明确控制面/数据面、mTLS 与观测性的工程取舍。
云原生
Kubernetes NetworkPolicy零信任服务访问实践
以NetworkPolicy实现服务间零信任访问控制,提供可验证的YAML与连通性测试方法,确保安全与稳定。
KEDA事件驱动弹性伸缩实践
通过KEDA实现事件驱动的Pod弹性伸缩,提供可验证的ScaledObject配置与观测方法,保障性能与稳定性。
Workers KV与D1与R2存储选型治理
在 Cloudflare 边缘平台选择合适的存储:KV/D1/R2,根据一致性/容量/查询模型构建可靠的应用架构。
SPIFFE/SPIRE服务身份:mTLS与工作负载证书治理
使用 SPIFFE/SPIRE 为工作负载签发短期证书,构建基于身份的 mTLS 与信任域治理,提升服务间安全。
RBAC权限治理:Kubernetes角色/绑定与最小权限
通过 RBAC 在命名空间与集群级实现最小权限控制,规范角色/绑定与审计,防止越权与误操作。
Prometheus Adapter自定义指标驱动HPA治理
使用 Prometheus Adapter 暴露自定义指标驱动 HPA 扩缩容,规范指标定义与采样,协同 KEDA 与外部指标治理。
Pod Security Admission:命名空间安全治理
使用 Pod Security Admission 在命名空间粒度实施基线/受限策略,替代已废弃的 PSP,实现安全治理。
Pod Disruption Budget:优雅终止与可用性保障
使用 PDB 在节点维护与扩缩容期间保障服务可用性,通过最大不可用/最小可用控制驱逐与终止节奏。
OPA与Kyverno策略治理对比
比较 OPA Gatekeeper 与 Kyverno 的模型与能力,指导在 Kubernetes 中选择合适的验证、变更与生成策略体系。
