DevOps实践
Docker构建参数与秘密治理(ARG-Secret-白名单)最佳实践
对Docker构建使用的ARG与秘密进行白名单与前缀策略治理,剥离敏感变量并阻断异常注入,保障构建安全。
Kubernetes NetworkPolicy 双向隔离与命名空间选择器实战
通过 NetworkPolicy 实现后端命名空间的双向隔离,仅允许指定前端命名空间访问,同时保留 DNS 出口。
Kubernetes PodDisruptionBudget 与滚动升级稳定性实践
通过 PDB 与滚动升级策略控制自愿中断,确保服务在升级与节点维护期间保持可用。
Kyverno与Gatekeeper:策略引擎选型
---
title: Kyverno与Gatekeeper:策略引擎选型
keywords:
- Kyverno
- Gatekeeper
- 策略引擎
- 准入控制
- 策略即代码
description: 对比两大 Kubernetes 策略引擎在语法与生态上的差异,指导准入控制与策略治理选型。
categories:
- 文章资讯
- 技术教程
---
# Kyverno与Gatek...
Envoy Gateway流量镜像与灰度发布实践
使用 Envoy Gateway 配置权重路由与流量镜像,实现灰度发布与无侵入验证,配合健康检查与回退策略,并提供监控与验证方法。
Docker 容器安全与最小化镜像实践
概述
减少攻击面与权限是容器安全的第一原则。本文聚焦镜像与运行时的最小化策略,以提升安全性与可维护性。
已验证技术参数
- 使用最小基础镜像(如 `alpine` 或 `distroless`)减少体积与攻击面
- 在 Dockerfile 中声明非 root 用户:`USER appuser` 并设置明确的工作目录与权限
- 收敛能力:以 `--cap-drop=ALL` 运行容器,仅在必
Docker Compose 生产级最佳实践
使用 Compose 构建可维护的生产环境,涵盖健康检查、日志轮换、卷持久化与安全加固等关键实践。
Open Policy Agent/Kyverno策略治理与准入控制实践
使用 OPA/Kyverno 在 Kubernetes 中实施策略治理与准入控制,编写与验证策略、阻断不合规变更,并提供审计与集成方法。
Kyverno策略与准入治理实践
---
title: Kyverno策略与准入治理实践
keywords:
- Kyverno
- Policy
- ClusterPolicy
- validate
- mutate
- enforce
description: 使用Kyverno以声明式策略治理K8s资源,提供可验证的验证/变更策略与命令,提升合规与一致性。
date: 2025-11-26
categories:
- 文...
Playwright 1.47 新特性与时间控制实战
---
标题: Playwright 1.47 新特性与时间控制实战
关键词:
- Playwright 1.47
- Docker 镜像 Ubuntu 24.04 Noble
- 22.04 Jammy 选项
- page.clock API
- 时间冻结与跳转
- 端到端测试
描述: 概述 Playwright 1.47 的关键更新(Docker 镜像与时间控制 API),提供已验证来源与测试...
CSS overscroll-behavior:滚动链与回弹治理
使用 overscroll-behavior 控制滚动链与回弹,避免内部容器滚动引发页面滚动或系统回弹,提升模态与触控体验。
CSS object-fit 与 object-position:媒体裁剪与定位
使用 `object-fit` 与 `object-position` 控制图片与视频在容器中的裁剪与定位,改善响应式布局与视觉对齐。
Kubernetes NetworkPolicy 安全隔离实践
通过 NetworkPolicy 实施命名空间与 Pod 级网络隔离,提供默认拒绝与选择性放行的清单示例。
K8s ResourceQuota 与 LimitRange 治理实战(2025)
# K8s ResourceQuota 与 LimitRange 治理实战(2025)
## 一、配额与限制
- ResourceQuota:限制命名空间资源总量与对象数量。
- LimitRange:为 Pod/容器设定默认与最大/最小 requests/limits。
## 二、策略与模板
- 模板化:按环境/团队制定标准模板,降低误配风险。
- 联动:与 HPA/Autoscaler 与
