Kubernetes开发实用工具

一些很棒的Kubernetes工具和项目，用于部署、保护和监控Kubernetes集群。

【译文】原文地址
之前我在watch上分享了 2021年顶尖技术和工具，它得到了DevOps和SRE社区的大力支持。所以今天我将列出用于测试和开发的顶尖Kubernetes工具。

Lens

有一段时间，我是个重度GKE用户，特别喜欢它的简单和GCP控制台上的管理仪表盘。对于本地开发，运行Kubernetes社区维护的Dashboard已经能满足大部分需求了。然而，当过渡到管理多云和混合云环境时，我需要一个单一的工具来与GKE、EKS和本地minikube集群交互。

Lens 是一个开源的Kubernetes IDE，可以很容易地在多个集群之间切换，并与已部署的应用程序交互。 Aqua Security也有一个扩展的工具，集成了漏洞测试，使DevSecOps工作流程更容易管理。

Fairwinds Tools

Fairwinds和Aqua security提供了几个有用的Kubernetes工具来验证、扫描和优化应用程序:

• Polaris:作为dashboard和准入控制器部署，也可以是CLI工具来审计和验证deployment最佳实践（例如你的deployment是否定义了健康检查、是否配置了资源请求约束）
• Kube-hunter: 查找集群中的安全弱点
• Kube-bench: 运行CIS Kubernetes Benchmark和标记失败的配置
• Trivy: 可集成到CI中的容器漏洞扫描工具
• Goldilocks:使用kubernetes垂直pod自动伸缩来查询各命名空间的资源使用率。
  

Kyverno

Kyverno是一个CNCF沙箱项目，旨在简化Kubernetes中的策略管理。虽然Kubernetes有管理员和操作员可配置的PodSecurityPolicies和NetworkPolicies，但通常很难正确配置、测试策略和验证资源。Kyverno通过创建一个ClusterPolicy CRD来验证和实施规则来解决这个问题。
一些策略示例：

• 容器禁用root特权
• 禁用hostNetwork、hostPort、hostPIID和hostIPC
• 禁止latest镜像tag
• 强制deployment打标签

CLI工具

Kubernetes有太多的CLI工具，以下是最有用的:

• kube-ps1: 将当前Kubernetes上下文和名称空间添加到bash/zsh提示中，以避免与错误的集群交互
• kubectx + kubens: Kubectx帮助您在集群之间切换，而kubens用于在名称空间之间切换
• krew: kubectl插件的包管理器(相当于brew, apt)
• kubectl-neat: 删除Kubernetes在运行kubectl get时添加的冗余信息。这有助于在调试Kubernetes manifest时隐藏我们通常不需要的大多数行(例如，creationTimestamp, uid, dnpolicy,terminationMessagePolicy)。
• kube-no-trouble: 检测集群中使用废弃的api。在升级cluster之前运行一个完整性检查非常有用
• helm-mapkubeapis: 更新Helm版本，包含废弃或移除Kubernetes APIs更新。将此与kube-no-trouble结合，不仅可以修复您的应用程序，还可以修复第三方Helm charts。
• kube-diff** + **helm-diff: diff检查器预览部署用的kubernetes manifest或Helm版本之间的区别

Kube Forwarder

在开发过程中，你很可能在kubernetets集群中部署数据库，而且没有通过kubernetes service暴露服务（例如NodePort、Ingress） Kubectl允许端口转发将这些服务映射到localhost，以便在本地进行交互。这对于一个或两个应用程序是没问题，但当你有多个应用程序时， Kube Forwarder 变得比管理多个终端标签更容易使用。它还可以处理自动重新连接和多集群，如果你需要在开发和qa集群之间切换进行测试，这非常方便。

Kubecost

类似任何云计算服务，在AWS/GCP/Azure上面运行Kubernetes会变得很昂贵。 即使使用可抢占实例对集群进行微调，并使用自动伸缩器来缩减未使用的资源，仍然很容易存在空闲或过度提供的资源。 kubecost监控Kubernetes的支出，并提供成本分配的详细报告。对于大型项目，可能已经有一个团队在密切监控成本支出，但对于个人项目，如果您想避免自己在云计费工具上折腾，那么kubecst是非常优秀的。

Kubespy

Kubespy 是Pulumi的一个工具，通过跟踪Kubernetes API来观察Kubernetes资源的变化。Kubespy提供比kubectl get -w更详细的信息，并在命令行中显示所有更改。我发现这个工具在调试cert-manager和TLS认证问题时很有用，但我确信它可以用于所有其他Kubernetes调试会话。