此技能提供在 Kubernetes 上部署和配置 Linkerd 服务网格的生产就绪模式,支持自动 mTLS、流量管理和零信任安全策略。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“linkerd-patterns”。 Install Linkerd on my Kubernetes cluster
预期结果:
以下是安装 Linkerd 的方法:
1. 安装 Linkerd CLI:
curl --proto '=https' --tlsv1.2 -sSfL https://run.linkerd.io/install | sh
2. 验证您的集群:
linkerd check --pre
3. 安装 CRD:
linkerd install --crds | kubectl apply -f -
4. 安装控制平面:
linkerd install | kubectl apply -f -
5. 验证安装:
linkerd check
正在使用“linkerd-patterns”。 Create a canary deployment setup
预期结果:
以下是用于金丝雀部署的 TrafficSplit 配置:
```yaml
apiVersion: split.smi-spec.io/v1alpha1
kind: TrafficSplit
metadata:
name: my-service-canary
namespace: my-namespace
spec:
service: my-service
backends:
- service: my-service-stable
weight: 900m
- service: my-service-canary
weight: 100m
```
这将 90% 的流量路由到稳定版本,10% 路由到金丝雀版本。
正在使用“linkerd-patterns”。 How do I enable automatic retries?
预期结果:
创建具有重试配置的 ServiceProfile:
```yaml
apiVersion: linkerd.io/v1alpha2
kind: ServiceProfile
metadata:
name: my-service.my-namespace.svc.cluster.local
spec:
routes:
- name: GET /api/users
condition:
method: GET
pathRegex: /api/users
isRetryable: true
retryBudget:
retryRatio: 0.2
minRetriesPerSecond: 10
ttl: 10s
```
retryBudget 允许最多 20% 的额外重试流量。
安全审计
低风险This skill provides Linkerd service mesh documentation and YAML templates. The static findings are false positives: shell commands are example documentation blocks, URLs point to official Linkerd resources, and the pipe-to-shell pattern is the standard installation method from Linkerd's official docs. No malicious intent detected.
中风险问题 (2)
低风险问题 (1)
风险因素
⚙️ 外部命令 (21)
质量评分
你能构建什么
DevOps 工程师设置服务网格
DevOps 工程师需要使用自动 mTLS 保护微服务通信,并为金丝雀部署实现流量分流。
安全工程师实施零信任
安全工程师希望使用 Linkerd 的 ServerAuthorization 限制服务间的流量,以强制执行零信任网络策略。
平台团队管理多集群
平台团队需要将 Linkerd 扩展到多个 Kubernetes 集群,以实现高可用性和灾难恢复。
试试这些提示
在我的 Kubernetes 集群上安装 Linkerd 并验证安装正常工作。
展示如何为命名空间 'my-app' 中的所有 Pod 启用自动 mTLS,并解释 Linkerd 如何处理证书轮换。
创建 TrafficSplit 配置,将 10% 的流量路由到 'my-service-canary',90% 的流量路由到 'my-service-stable',用于金丝雀部署。
创建 ServerAuthorization 和 Server 资源,仅允许 'frontend' 服务帐户使用网格 TLS 在端口 8080 上访问 'my-service'。
最佳实践
- 在任何配置更改后始终运行 'linkerd check' 以验证正确性
- 为所有服务启用 ServiceProfile 以获取单路由指标并启用重试
- 从宽松策略开始并逐步收紧;首先使用 Linkerd 的可见性来了解流量模式
避免
- 使用 'linkerd check --pre' 跳过预安装检查
- 在不了解对现有流量影响的情况下应用配置
- 设置过于宽泛的 ServerAuthorization 策略,从而破坏零信任目标