云技术基础

声明！

学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec]（https://space.bilibili.com/350329294)

一、云计算基础及云架构发展历程

云计算基础现状：如今基础设施大多已云化，与过去搭建应用需购置服务器、租赁机房等繁琐操作不同，现在可便捷地从云服务器厂商（如阿里云、腾讯云等）购买云服务器并快速用于应用部署。
云架构发展：从最初购买设备搭建基础设施，到处理器进化后虚拟机出现提高资源利用率实现虚拟化，再经容器化技术实现服务器、网络和存储的虚拟交付，如今的 “云” 是多种技术集合体。且无论是防御还是进攻角度，了解底层技术对构建体系、发现利用漏洞都很关键。

二、云服务相关内容

云服务特点：云作为 IT 基础设施系统，将资源创建抽象于具备容错、地理分布和可扩展的物理基础设施之上，能按需以服务器形式交付各种能力（如服务器、存储、网络等），且要稳定无频繁中断，地理分布特性可提高容错能力，还需具备快速扩展能力以满足需求。
云服务提供方式：存在公有云服务商（如 AWS、Azure、Google 的 GCP、华为云、腾讯云、阿里云等），组织也可利用 OpenStack 等工具在自己的数据中心搭建私有云，或者让部分业务运行在私有云、部分在公有云中。

三、云分类及共享责任模型

云分类：分为基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS），分别类比为提供材料工具自建房子、基于框架装修布置、直接入住装修好的房子这三种不同层次的服务模式。
共享责任模型：云服务虽提供容错和扩展功能，但也使安全性存在模糊性，例如 AWS 对于程序漏洞导致大量数据泄露可不承担责任，但如果是数据中心物理安全遭破坏致客户数据被盗取则需担责。

四、云架构详细内容

虚拟化与容器：
- 虚拟化：可把一台机器资源划分为多台虚拟机，多台裸机汇集形成资源集群来隔离资源使用，构成灵活可扩展的资源池，不过其抽象硬件安装过程存在改进空间且并非专为云而生，其技术栈灵活性提升促使容器出现。
- 容器：允许开发人员与各部分灵活交互，实现按需生成服务、提高网络抽象程度、方便应用迁移扩展以及更高效利用资源，还可将系统管理和网络工程外包。容器是对虚拟化的补充，基于映像生成，与宿主机共享内核且开销更小，可进一步分离应用组件。介绍了使用 Docker、Podman 操作容器的相关命令及示例，二者遵循开放容器计划（OCI）标准可互操作。
容器相关深入特性：
- 容器本质与历史：“容器” 是内核级别阻止进程访问其他进程和资源的特性组合，可控制其限制级别。有着从 197x 年代引入 chroot，到 1999 年 FreeBSD 发布 Jails，2002 年引入命名空间，2006 年谷歌引入进程容器（后称 cgroup）并结合发布 Linux 容器（LXC）项目等发展历程，Linux 有八种用户命名空间。
- Capabilities：Docker 默认不使用用户命名空间，而是通过内核 capabilities 和 seccomp 配置文件限制访问防止特权内核调用。Linux 区分特权与非特权进程，将一些系统级任务分组为 40 多个 Capabilities 类别，让非特权进程在需要特殊权限时可运行特定任务，同时指出随意提升工具权限存在被恶意利用破坏系统、窃取信息、控制系统等提权隐患。

五、Kubernetes 相关

概述：Kubernetes（简称 K8s）是开源的容器编排平台，可自动化部署、扩展和管理容器化应用程序，保障应用在多服务器上的高可用性和可扩展性。
核心概念：
- Pod：是最小可部署单元，可包含一个或多个容器，这些容器共享网络命名空间和存储卷，一起被调度和管理。
- Deployment：用于管理 Pod 副本数量和更新策略，确保应用保持指定数量副本运行并能实现滚动更新等功能。
- Service：定义一组 Pod 的访问方式，提供稳定 IP 地址和端口，方便外部访问。
- Node：是工作节点，可为物理服务器或虚拟机，其上运行 Kubelet 和容器运行时来管理容器生命周期。
操作流程：涵盖安装 Minikube（按操作系统选版本、依向导操作）、启动 Minikube、部署应用（创建 Deployment、创建 Service 等）、访问应用（获取 NodePort 后通过浏览器访问）、扩展应用（扩展副本数量并查看）、更新应用（更新镜像并查看进度）等具体命令操作步骤。

六、Git 相关

概述：Git 是分布式版本控制系统，用于跟踪文件变化，支持团队协作开发，可记录文件历史版本、实现版本切换及合并开发者修改内容。
安装方式：在 Windows 上可从官方网站下载安装程序安装；在 macOS 上可用 Homebrew 等包管理器安装；在 Linux 上（如 Ubuntu）可通过系统包管理器（如sudo apt-get install git）安装。
安全相关内容：
- 重要性及基本措施：Git 仓库包含源代码和敏感信息，保护其安全很重要。基本安全措施包括使用强密码、限制访问权限（利用 Git 自身或第三方工具）。
- 避免信息泄露及通信加密：避免提交敏感信息（若提交了可用相关命令从暂存区删除并修改提交），创建.gitignore文件列出不跟踪的文件和目录，确保与远程仓库通信加密（使用 SSH 或 HTTPS 协议）。
- 其他安全操作：定期进行安全审计（可用第三方工具查权限设置、信息泄露等情况）和备份仓库（用 Git 备份工具或复制到其他存储设备）。
协作开发及基本使用操作：包括克隆仓库、处理冲突、添加远程仓库、推送与拉取更改、分支管理（创建、切换、合并分支）、初始化仓库、添加文件、提交更改、查看状态以及查看历史记录等，各操作都对应相应的 Git 命令。