虽然 Redis 作为一个 key-value 数据库早已被广泛应用于各种缓存相关的场景，然而其团队的却并未故步自封，他们希望更进一步为开发者提供一个不只有缓存功能的强大的实时数据平台，用于处理所有实时数据的应用场景。

Kubernetes 集群外部的 HTTP/HTTPS 请求是如何达到 Pod 中的 container 的？HTTP 请求流转过程概述如上图所示，全过程大致为：用户从 web/mobile/pc 等客户端发出 HTTP/HTTPS 请求。由于应用服务通常是通过域名的形式对外暴露，所以请求将会先进行 DNS 域名解析，得到对应的公网 IP 地址。公网 IP 地址通常会绑定一个 Lo...

在分布式系统中，应用服务常常会通过多个节点（或实例）的方式来保证高可用。然而在某些场景下，有些数据或者任务无法被并行操作，此时就需要由一个特定的节点来执行这些特殊的任务（或者进行协调及决策），这个特定的节点也就是领导者（Leader），而在多个节点中选择领导者的机制也就是分布式选主（Leader Election）。

当用户向 Kubernetes 提交了一个创建 deployment 的请求后，Kubernetes 从接收请求直至创建对应的 pod 运行这整个过程中都发生了什么呢？

在 kubernetes 中有一系列内置的资源，诸如：pod、deployment、configmap、service …… 等等，它们由 k8s 的内部组件管理。而除了这些内置资源之外，k8s 还提供了另外一种方式让用户可以随意地自定义资源，这就是 CRD (全称 CustomResourceDefinitions) 。

容器运行时的内部结构和最新趋势（2023）原文为 Akihiro Suda 在日本京都大学做的在线讲座，完整的 PPT 可 点击此处下载本文内容分为以下三个部分：容器简介容器运行时的内部结构容器运行时的最新趋势1. 容器简介什么是容器？容器是一组用于隔离文件系统、CPU 资源、内存资源、系统权限等的各种轻量级方法。容器在很多意...

在容器环境中运行 Java 应用程序需要了解两者 —— JVM 内存机制和 Kubernetes 内存管理。这两个环境一起工作会产生一个稳定的应用程序，但是，错误配置最多可能导致基础设施超支，最坏情况下可能会导致应用程序不稳定或崩溃。我们将首先仔细研究 JVM 内存的工作原理，然后我们将转向 Kubernetes，最后，我们将把这两个概...

当我们向 k8s api-server 提交了请求之后，需要经过认证鉴权、mutation admission、validation 校验等一系列过程，最后才会将资源对象持久化到 etcd 中（其它组件诸如 controller 或 scheduler 等操作的也是持久化之后的对象）。而所谓的 Kubernetes Admission Controller 其实就是在这个过程中所提供的 webhook 机制，...

JSON Patch 本身也是一种 JSON 文档结构，用于表示要应用于 JSON 文档的操作序列；它适用于 HTTP PATCH 方法，其 MIME 媒体类型为 "application/json-patch+json"。

原文作者是 Palark 平台工程师 Anton Kuliashov，其说明了选择 Cilium 作为 Kubernetes 网络接口的原因以及喜爱 Cilium 的地方。

文本翻译自: [链接]在 Kubernetes 中，我应该如何设置 CPU 的 requests 和 limits？热门答案包括：始终使用 limits !永远不要使用 limits，只使用 requests !都不用；可以吗？让我们深入研究它。在 Kubernetes 中，您有两种方法来指定一个 pod 可以使用多少 CPU：Requests 通常用于确定平均消耗。Limits 设置允许的最大...

您以前听说过 SIG-NETWORK 的 Kubernetes Gateway API 吗？好吧，可能你们中的大多数人都是第一次遇到这个话题。尽管如此，无论您是第一次听说还是已经以某种方式使用过它，本博客的目的都是为您提供一个基本的和高度的概述来理解这个主题。

当我开始研究 crun ([链接]) 时，我正在寻找一种通过改进 OCI 运行时来更快地启动和停止容器的方法，OCI 运行时是 OCI 堆栈中负责最终与内核交互并设置容器所在环境的组件。

当你执行 kubectl delete pod 时，pod 被删除， endpoint 控制器从 service 和 etcd 中删除该 pod 的 IP 地址和端口。

文本翻译自: [链接]运行 EKS 集群时，你可能会遇到两个问题：分配给 pod 的 IP 地址用完了。每个节点的 pod 数量少（由于 ENI 限制）。在本文中，你将学习如何克服这些问题。在我们开始之前，这里有一些关于节点内网络如何在 Kubernetes 中工作的背景知识。创建节点时，kubelet 委托：创建容器到容器运行时。将容器连接...

文本翻译自: [链接]在 Kubernetes 中，运行多个集群节点是否存在隐形成本？是的，因为并非 Kubernetes 节点中的所有 CPU 和内存都可用于运行 Pod。在一个 Kubernetes 节点中，CPU 和内存分为：操作系统Kubelet、CNI、CRI、CSI（+ 系统 daemons）Pods驱逐阈值这些预留的资源取决于实例的大小，并且可能会增加相当大的开销...

文本翻译自: [链接]Kubernetes 公开了一个强大的 API，可让您控制集群的各个方面。大多数时候，它隐藏在 kubectl 后面，但没有人会阻止您直接使用它。在本文中，您将学习如何使用 curl 或者您喜欢的编程语言向 Kubernetes API 发出请求。但首先，让我们回顾一下 Kubernetes API 的工作原理。当您键入命令时，kubectl：客...

本周有一些关于 Dero Cryptojacking operation 的文章，其中关于攻击者所实施的细节之一引起了我的注意。有人提到他们正在攻击允许匿名访问 Kubernetes API 的集群。究竟如何以及为什么可以匿名访问 Kubernetes 是一个有趣的话题，涉及几个不同的领域，所以我想我会写一些关于它的内容。

API 是通用的且独立于供应商，这对于 Kubernetes 来说是典型的，因此我们可以探索它而无需深入了解特定实现的细节。让我们仔细看看快照，看看它们如何使 Kubernetes 用户受益。

Kubernetes 已经成为现代软件基础设施中不可或缺的一部分。因此，管理 Kubernetes 上的敏感数据也是现代软件工程的一个重要方面，这样您就可以将安全性重新置于 DevSecOps 中。Kubernetes 提供了一种使用 Secret 对象存储敏感数据的方法。虽然总比没有好，但它并不是真正的加密，因为它只是 base64 编码的字符串，任何有...

Elasticsearch 向量搜索本文将会介绍 Elasticsearch 向量搜索的两种方式。向量搜索提到向量搜索，我想你一定想知道：向量搜索是什么？向量搜索的应用场景有哪些？向量搜索与全文搜索有何不同？ES 的全文搜索简而言之就是将文本进行分词，然后基于词通过 BM25 算法计算相关性得分，从而找到与搜索语句相似的文本，其本质...

Terraform: 基础设施即代码问题现如今有很多 IT 系统的基础设施直接使用了云厂商提供的服务，假设我们需要构建以下基础设施：VPC 网络虚拟主机负载均衡器数据库文件存储...那么在公有云的环境中，我们一般怎么做？在云厂商提供的前端管理页面上手动操作吗？这也太费劲了吧，尤其是当基础设施越来越多、越来越复杂、以及...

Kubernetes pod 启动时会拉取用户指定的镜像，一旦这个过程耗时太久就会导致 pod 长时间处于 pending 的状态，从而无法快速提供服务。

模板引擎被设计成通过结合固定模板和可变数据来生成网页。当用户输入直接拼接到模板中，而不是作为数据传入时，可能会发生服务端模板注入攻击。这使得攻击者能够注入任意模板指令来操纵模板引擎，从而能够完全控制服务器。顾名思义，服务端模板注入有效负载是在服务端交付和执行的，这可能使它们比典型的客户端模板注入...

在成功的 CSRF 攻击中，攻击者会使受害用户无意中执行某个操作。例如，这可能是更改他们帐户上的电子邮件地址、更改密码或进行资金转账。根据操作的性质，攻击者可能能够完全控制用户的帐户。如果受害用户在应用程序中具有特权角色，则攻击者可能能够完全控制应用程序的所有数据和功能。

在本节中，我们将介绍什么是不安全的反序列化，并描述它是如何使网站遭受高危害性攻击的。我们将重点介绍典型的场景，并演示一些 PHP、Ruby 和 Java 反序列化的具体示例。最后也会介绍一些避免不安全的反序列化漏洞的方法。

Document Object Model（DOM）文档对象模型是 web 浏览器对页面上元素的层次表示。网站可以使用 JavaScript 来操作 DOM 的节点和对象，以及它们的属性。DOM 操作本身不是问题，事实上，它也是现代网站中不可或缺的一部分。然而，不安全地处理数据的 JavaScript 可能会引发各种攻击。当网站包含的 JavaScript 接受攻击者...

例如：某个用户被诱导访问了一个钓鱼网站（可能是点击了电子邮件中的链接），然后点击了一个赢取大奖的按钮。实际情况则是，攻击者在这个赢取大奖的按钮下面隐藏了另一个网站上向其他账户进行支付的按钮，而结果就是用户被诱骗进行了支付。这就是一个点击劫持攻击的例子。这项技术实际上就是通过 iframe 合并两个页面，...

HTTP 请求走私是一种干扰网站处理多个 HTTP 请求序列的技术。请求走私漏洞危害很大，它使攻击者可以绕过安全控制，未经授权访问敏感数据并直接危害其他应用程序用户。

在本节中，我们将解释什么是操作系统命令注入，描述如何检测和利用此漏洞，为不同的操作系统阐明一些有用的命令和技术，并总结如何防止操作系统命令注入。