Indice

• Indice
• Descomplicando o Kubernetes - Expert Mode
  • Conteúdo
• Como usar o Laboratorio do Girus
  • Instale Girus CLI
  • Crie o Cluster
  • Importe um laboratorio
  • Usar uma versao especifica
• Provisionando um cluster EKS para testes
  • Usando eksctl e arquivo de configuração
  • Deletar o cluster
• Certificado

Descomplicando o Kubernetes - Expert Mode

Esse treinamento foi desenhado para capacitar a pessoa estudante ou a pessoa profissional de TI a trabalhar com o Kubernetes em ambientes criticos.

O Treinamento é composto por material escrito, aulas gravadas em vídeo e aulas ao vivo. Durante o treinamento a pessoa será testada de forma prática, sendo necessário completar desafios reais para dar continuidade no treinamento.

O foco do treinamento é capacitar a pessoa para trabalhar com Kubernetes de maneira eficiente e totalmente preparada para trabalhar em ambientes críticos que utilizam containers.

Conteúdo

DAY-01 - Entendendo o que são Containers e o Kubernetes

• DAY-1
  • O quê preciso saber antes de começar?
  • Inicio da aula do Day-1
    • Qual a distro GNU/Linux que devo usar?
    • Alguns sites que devemos visitar
    • O Container Engine
    • OCI - Open Container Initiative
    • O Container Runtime
    • O que é o Kubernetes?
      • Arquitetura do k8s
    • Instalando e customizando o Kubectl
      • Instalação do Kubectl no GNU/Linux
      • Instalação do Kubectl no MacOS
      • Instalação do Kubectl no Windows
      • Customizando o kubectl
      • Auto-complete do kubectl
      • Criando um alias para o kubectl
    • Criando um cluster Kubernetes
      • Criando o cluster em sua máquina local
        • Minikube
          • Requisitos básicos para o Minikube
          • Instalação do Minikube no GNU/Linux
          • Instalação do Minikube no MacOS
          • Instalação do Minikube no Microsoft Windows
          • Iniciando, parando e excluindo o Minikube
          • Ver detalhes sobre o cluster
          • Descobrindo o endereço do Minikube
          • Acessando a máquina do Minikube via SSH
          • Dashboard do Minikube
          • Logs do Minikube
          • Remover o cluster
        • Kind
          • Instalação no GNU/Linux
          • Instalação no MacOS
          • Instalação no Windows
          • Instalação no Windows via Chocolatey
          • Criando um cluster com o Kind
          • Criando um cluster com múltiplos nós locais com o Kind
    • Primeiros passos no k8s
      • Verificando os namespaces e pods
      • Executando nosso primeiro pod no k8s
      • Expondo o pod e criando um Service
    • Limpando tudo e indo para casa

DAY-02 - Descomplicando os Pods e Limites de Recursos

• DAY-2
  • O que iremos ver hoje?
    • O que é um Pod?
    • Criando um Pod
    • Visualizando detalhes sobre os Pods
    • Removendo um Pod
    • Criando um Pod através de um arquivo YAML
    • Visualizando os logs do Pod
    • Criando um Pod com mais de um container
  • Os comandos attach e exec
  • Criando um container com limites de memória e CPU
  • Adicionando um volume EmptyDir no Pod

DAY-03 - Descomplicando os Deployments e Estratégias de Rollout

• DAY-3
  • Inicio da aula do Day-3
  • O que iremos ver hoje?
  • O que é um Deployment?
    • Como criar um Deployment?
      • O que cada parte do arquivo significa?
    • Como aplicar o Deployment?
    • Como verificar os Pods que o Deployment está gerenciando?
    • Como verificar o ReplicaSet que o Deployment está gerenciando?
    • Como verificar os detalhes do Deployment?
    • Como atualizar o Deployment?
    • E qual é a estratégia de atualização padrão do Deployment?
    • As estratégias de atualização do Deployment
      • Estratégia RollingUpdate
      • Estratégia Recreate
      • Fazendo o rollback de uma atualização
    • Removendo um Deployment
  • Conclusão

DAY-04 - Descomplicando ReplicaSets, DaemonSets e as Probes do Kubernetes

• DAY-4
• Inicio da aula do Day-4
• O que iremos ver hoje?
  • ReplicaSet
    • O Deployment e o ReplicaSet
    • Criando um ReplicaSet
    • Apagando o ReplicaSet
  • O DaemonSet
    • Criando um DaemonSet
    • Criando um DaemonSet utilizando o comando kubectl create
    • Aumentando um node no cluster
    • Removendo um DaemonSet
  • As Probes do Kubernetes
    • O que são as Probes?
    • Liveness Probe
    • Readiness Probe
    • Startup Probe
  • A sua lição de casa
• Final do Day-4

DAY-05 - Criando nosso Cluster Kubernetes multi-nodes

• DAY-5
• Conteúdo do Day-5
• Inicio da aula do Day-5
  • O que iremos ver hoje?
  • Instalação de um cluster Kubernetes
    • O que é um cluster Kubernetes?
    • Formas de instalar o Kubernetes
    • Criando um cluster Kubernetes com o kubeadm
      • Instalando o kubeadm
      • Desativando o uso do swap no sistema
      • Carregando os módulos do kernel
      • Configurando parâmetros do sistema
      • Instalando os pacotes do Kubernetes
      • Instalando o Docker e o containerd
      • Configurando o containerd
      • Habilitando o serviço do kubelet
      • Configurando as portas
      • Iniciando o cluster
      • Entendendo o arquivo admin.conf
      • Instalando o Weave Net
      • O que é o CNI?
    • Visualizando detalhes dos nodes
  • A sua lição de casa
• Final do Day-5

DAY-06 - Descomplicando os Volumes no K8s

• DAY-6
  • Conteúdo do Day-6
  • Inicio da aula do Day-6
    • O que iremos ver hoje?
      • O que são volumes?
        • EmpytDir
        • Storage Class
        • PV - Persistent Volume
        • PVC - Persistent Volume Claim
    • A sua lição de casa
  • Final do Day-6

DAY-07 - Descomplicando StatefulSets e os Services no Kubernetes

• DAY-7
• Conteúdo do Day-7
  • O que iremos ver hoje?
    • O que é um StatefulSet?
      • Quando usar StatefulSets?
      • E como ele funciona?
      • O StatefulSet e os volumes persistentes
      • O StatefulSet e o Headless Service
      • Criando um StatefulSet
      • Excluindo um StatefulSet
      • Excluindo um Headless Service
      • Excluindo um PVC
    • Services
      • Tipos de Services
      • Como os Services funcionam
      • Os Services e os Endpoints
      • Criando um Service
        • ClusterIP
        • ClusterIP
        • LoadBalancer
        • ExternalName
      • Verificando os Services
      • Verificando os Endpoints
      • Removendo um Service
  • A sua lição de casa
• Final do Day-7

DAY-08 - Descomplicando os Secrets e ConfigMaps no Kubernetes

• Descomplicando o Kubernetes
  • DAY-8
    • Conteúdo do Day-8
    • O que iremos ver hoje?
      • O que são Secrets?
        • Como os Secrets funcionam
        • Tipos de Secrets
        • Antes de criar um Secret, o Base64
        • Criando nosso primeiro Secret
        • Usando o nosso primeiro Secret
        • Criando um Secret para armazenar credenciais Docker
        • Criando um Secret TLS
      • ConfigMaps
  • Final do Day-8

DAY-09 - Descomplicando o Ingress

• Descomplicando o Kubernetes
  • DAY-9: Descomplicando o Ingress no Kubernetes
  • Conteúdo do Day-9
  • O que iremos ver hoje?
    • Conteúdo do Day-9
• O Que é o Ingress?
  • O que é Ingress?
• Componentes do Ingress
  • Componentes Chave
    • Ingress Controller
    • Ingress Resources
    • Annotations e Customizations
    • Instalando um Nginx Ingress Controller
      • Instalando o Nginx Ingress Controller no Kind
        • Criando o Cluster com Configurações Especiais
        • Instalando um Ingress Controller
    • Instalando o Giropops-Senhas no Cluster
    • Criando um Recurso de Ingress
    • O que está acontecendo com o nosso Ingress?
    • Configurando um Ingress para a nossa aplicação em Flask com Redis
    • Criando múltiplos Ingresses no mesmo Ingress Controller
• Instalando um cluster EKS para os nossos testes com Ingress
  • Instalando um cluster EKS para os nossos testes com Ingress
  • Entendendo os Contexts do Kubernetes para gerenciar vários clusters
  • Instalando o Ingress Nginx Controller no EKS
  • Conhecendo o ingressClassName e configurando um novo Ingress
  • Configurando um domínio válido para o nosso Ingress no EKS
• Final do Day-9

DAY-10 - Descomplicando Ingress com TLS, Labels, Annotations e o Cert-manager

• Descomplicando o Kubernetes
  • DAY-10: Descomplicando Ingress com TLS, Labels, Annotations e o Cert-manager
    • Conteúdo do Day-10
      • O que iremos ver hoje?
• O que é o Cert-Manager?
  • Instalando e configurando o Cert-Manager
  • Configurando o Ingress para usar o Cert-Manager e ter o HTTPS
• O que são os Annotations e as Labels no Kubernetes?
  • Explorando um pouco mais as Labels
  • Explorando as Annotations no Kubernetes
  • Adicionando Autenticação ao Ingress
  • Configurando Affinity Cookie no Ingress
  • Configurando Upsream Hashing no Ingress
  • Canary Deployments com o Ingress no Kubernetes
  • Limitando requisições as nossas aplicações com o Ingress
• Final do Day-10

DAY-11 - Descomplicando o Kube-Prometheus no EKS

• Descomplicando o Kubernetes
  • DAY-11: Descomplicando o Kube-Prometheus no EKS
  • Conteúdo do Day-11
    • O que iremos ver hoje?
    • O que é o kube-prometheus?
    • Instalando o nosso cluster Kubernetes
      • Criando o EKS com arquivos de configuração (on-demand)
      • Criar Cluster com Spot Instances e Bottlerocket
    • Instalando o Kube-Prometheus
    • Acessando nosso Grafana
    • Os ServiceMonitors

DAY-12 - Descomplicando os ServiceMonitors, PodMonitors e os Alertas no Kubernetes

• Descomplicando o Prometheus
  • DAY-12
    • O que iremos ver hoje?
    • Conteúdo do Day-12
      • Os ServiceMonitors
      • Criando um ServiceMonitor
      • Os PodMonitors
      • Criando um PodMonitor
      • Criando nosso primeiro alerta
      • Criando um novo alerta
      • O que é um PrometheusRule?
        • Criando um PrometheusRule
    • Chega por hoje!
    • Lição de casa

DAY-13 - Criando Imagens de Containers e Reduzindo Vulnerabilidades com Wolfi

• Descomplicando Containers - DAY-13
• Imagens Distroless
  • Por que usar imagens Distroless?
  • O conceito de Multi-Stage Build
  • Exemplo Prático: Criando uma imagem Distroless (Golang)
    • Passo 1: O código da aplicação (main.go)
    • Passo 2: O Dockerfile
    • Passo 3: Construir e Rodar
  • E para linguagens interpretadas (Node.js, Python, Java)?
  • O Grande Desafio: Como debugar?
  • Resumo Comparativo
  • A Evolução: Chainguard Images
    • Principais Diferenciais
    • Comparativo: Google Distroless vs. Chainguard
    • Exemplo Prático com Chainguard
• A Arte da Minimização: Imagens Distroless
  • Introdução
  • O que é Distroless?
  • Benefícios do Distroless
  • Desafios do Distroless
  • Implementando Distroless
• Conclusão
• Docker Scout
  • O que é o Docker Scout?
  • Como o Docker Scout funciona?
  • Usando o Docker Scout
  • Por que o Docker Scout é importante?
    • Verificação de Segurança (Security Scanning) com Trivy
      • Por que buscar "Zero Vulnerabilidades"?
      • Como usar o Trivy (Sem instalação)
      • Comparativo Prático: Imagem Padrão vs. Chainguard
      • Integrando no Dockerfile (Best Practice)
    • Resumo Final da Documentação
    • Análise Nativa com Docker Scout
      • Diferença Principal: Contexto vs. Lista
      • Comandos Essenciais
      • Comparando na Prática: Imagem Padrão vs. Distroless
      • Comparativo Rápido: Trivy vs. Docker Scout
    • Resumo da Seção
• Escaneando as diferentes versões do giropops-senhas
  • Versão 1.0 - Relatório de Vulnerabilidades - Trivy
  • Alvo: giropops-senhas:1.0 (debian 13.3)
    • Alvo: Python
  • Versão 2.0 - Relatório de Vulnerabilidades - Trivy
  • Alvo: giropops-senhas:2.0 (debian 13.3)
    • Alvo: Python
  • Versão 3.0 - Relatório de Vulnerabilidades - Trivy
  • Alvo: giropops-senhas:3.0 (alpine 3.18.3)
    • Alvo: Python
  • Versão 4.0 - Relatório de Vulnerabilidades - Trivy
    • Alvo: giropops-senhas:4.0 (wolfi 20230201)
    • Alvo: Python
• Assinatura de Imagens (Image Signing) com Cosign
  • O que é?
  • Por que fazer?
  • A Ferramenta: Sigstore Cosign
  • Instalação do Cosign
    • A. macOS (Recomendado)
    • B. Linux (Binário Oficial)
    • C. Windows
    • Verificando a Instalação
  • Tutorial Prático: Assinando com Chaves (Key-based)
  • O Futuro: Keyless Signing (Sem Chaves)
    • Resumo da Seção

DAY-14 - Descomplicando Autoscaling no Kubernetes com o HPA - Horizontal Pod Autoscaler e Metrics-Server

• Descomplicando o Kubernetes
  • DAY-14
  • Conteúdo do Day-14
    • Início da aula do Day-14
      • O que iremos ver hoje?
      • Introdução ao Horizontal Pod Autoscaler (HPA)
      • Como o HPA Funciona?
  • Introdução ao Metrics Server
    • Por que o Metrics Server é importante para o HPA?
    • Instalando o Metrics Server
      • No Amazon EKS e na maioria dos clusters Kubernetes
      • No Minikube:
      • No KinD (Kubernetes in Docker):
      • Verificando a Instalação do Metrics Server
      • Obtendo Métricas
    • Criando um HPA
    • Exemplos Práticos com HPA
      • Autoscaling com base na utilização de CPU
      • Autoscaling com base na utilização de Memória
      • Configuração Avançada de HPA: Definindo Comportamento de Escalonamento
      • ContainerResource
      • Detalhes do Algoritmo de Escalonamento
      • Configurações Avançadas e Uso Prático
      • Integrando HPA com Prometheus para Métricas Customizadas
    • A sua lição de casa
    • Final do Day-14

DAY-15 - Descomplicando Kyverno e as policies no K8s

• Descomplicando o Kubernetes
  • DAY-15: Descomplicando Kyverno e as Policies no Kubernetes
  • Conteúdo do Day-15
  • O que iremos ver hoje?
  • Inicio do Day-15
    • Introdução ao Kyverno
    • Instalando o Kyverno
      • Utilizando Helm
    • Verificando a Instalação
    • Criando a nossa primeira Policy
    • Mais exemplos de Policies
      • Exemplo de Política: Adicionar Label ao Namespace
        • Detalhes da Política
        • Arquivo de Política: add-label-namespace.yaml
        • Utilização da Política
      • Exemplo de Política: Proibir Usuário Root
        • Detalhes da Política
        • Arquivo de Política: disallow-root-user.yaml
        • Implementação e Efeito
      • Exemplo de Política: Gerar ConfigMap para Namespace
        • Detalhes da Política
        • Arquivo de Política: generate-configmap-for-namespace.yaml
        • Implementação e Utilidade
      • Exemplo de Política: Permitir Apenas Repositórios Confiáveis
        • Detalhes da Política
        • Arquivo de Política: registry-allowed.yaml
        • Implementação e Impacto
        • Exemplo de Política: Require Probes
        • Detalhes da Política
        • Arquivo de Política: require-probes.yaml
        • Implementação e Impacto
      • Exemplo de Política: Usando o Exclude
        • Detalhes da Política
        • Arquivo de Política
        • Implementação e Efeitos
  • Final do Day-15
    • Pontos-Chave Aprendidos

DAY-16 - Descomplicando Taints, Labels, Toleration e Affinity no K8s

• Descomplicando o Kubernetes
  • Day-16: Descomplicando Taints, Tolerations e Affinity
  • Conteúdo do Day-16
    • O que vamos ver no dia de hoje?
    • O Nosso cluster de exemplo
    • O que são Taints?
    • O que são Tolerations?
    • O que são Affinity e Antiaffinity?
    • O Antiaffinity?
    • Final do Day-16

DAY-17 - Descomplicando Network Policy e o EKS

• Descomplicando o Kubernetes
  • Day-17: Descomplicando Network Policies no Kubernetes
  • Conteúdo do Day-17
  • O que iremos ver hoje?
    • O que são Network Policies?
      • Para que Servem as Network Policies?
      • Conceitos Fundamentais: Ingress e Egress
      • Como Funcionam as Network Policies?
      • Ainda não é padrão
      • Criando um Cluster EKS com Network Policies
        • Instalando o EKSCTL
        • Instalando o AWS CLI
        • Criando o Cluster EKS
        • Instalando o AWS VPC CNI Plugin
        • Habilitando o Network Policy nas Configurações Avançadas do CNI
      • Instalando o Nginx Ingress Controller
    • Instalando um Nginx Ingress Controller
      • Nossa Aplicação de Exemplo
    • Criando Regras de Network Policy
      • Ingress
      • Egress

DAY-18 - Descomplicando o RBAC no Kubernetes

• Descomplicando o Kubernetes
  • Day-18: Descomplicando RBAC e controle de acesso no Kubernetes
  • Conteúdo do Day-18
  • O que iremos ver hoje?
  • RBAC
    • O que é RBAC?
    • Primeiro exemplo de RBAC
      • Criando um Usuário para acesso ao cluster
      • Criando um Role para o nosso usuário
      • apiGroups
      • Recursos
      • Verbos
      • Criando a Role
      • Criando um RoleBinding para o nosso usuário
      • Adicionando o certificado do usuário no kubeconfig
      • Acessando o cluster com o novo usuário
      • ClusterRole e ClusterRoleBinding
      • ClusterRole e ClusterRoleBinding para o usuário admin
      • Removendo o usuário
    • Utilizando Tokens para Service Accounts
      • Criando um Service Account
      • Criando um Secret para o Service Account
      • Utilizando o Token do Service Account
      • Removendo o Service Account
  • Final do Day-18

 

Como usar o Laboratorio do Girus

Instale Girus CLI

Va ate o repositorio oficial do Girus CLI e siga as instrucoes.

Crie o Cluster

Com a linha de comando instalada, crie o cluster usando

girus create cluster

NOTA: É necessario ter Docker e kind previamente instalados

Importe um laboratorio

Importe um laboratorio usando

girus create lab -f lab.yaml

Usar uma versao especifica

kubectl set image deployment/girus-backend backend=linuxtips/girus-backend:0.5.0 -n girus 
kubectl set image deployment/girus-frontend frontend=linuxtips/girus-frontend:0.5.0 -n girus 
kubectl port-forward -n girus --address 0.0.0.0 svc/girus-frontend 8000:80

Provisionando um cluster EKS para testes

Para instalar o eksctl, siga as instruções do link: https://eksctl.io/installation/

Após instalar o eksctl, crie o cluster EKS com o comando:

Note

Não esqueça de se autenticar usando aws login ou variaveis de ambiente.

AWS_ACCESS_KEY_ID

AWS_SECRET_ACCESS_KEY

eksctl create cluster --name=eks-cluster \
--version=1.34 --region=us-east-1 \
--nodegroup-name=eks-cluster-nodegroup \
--node-type=t3.medium \
--nodes=2 --nodes-min=1 --nodes-max=3 --managed

Usando eksctl e arquivo de configuração

# Use este comando para provisionar nodes on-demand
eksctl create cluster -f eksctl/cluster-config.yaml 

# Use este comando para provisionar nodes spot+bottlerocket (com nat)
eksctl create cluster -f eksctl/cluster-config-optmized.yaml 

# Use este comando para provisionar nodes spot+bottlerocket (sem nat). Opção mais barata possivel
eksctl create cluster -f eksctl/cluster-config-no-nat.yaml 

Deletar o cluster

Para deletar os clusters criados, execute um dos comandos abaixo.

eksctl delete cluster -f eksctl/cluster-config.yaml --wait --disable-nodegroup-eviction
eksctl delete cluster -f eksctl/cluster-config-optimized.yaml --wait --disable-nodegroup-eviction
eksctl delete cluster -f eksctl/cluster-config-no-nat.yaml --wait --disable-nodegroup-eviction

Certificado

---