在最近的SAP平台讨论中，物联网技术，Kyma已成为？热门话题。主要是，宣布Kyma将作为SAP的托管服务提供似乎引起了所有人的注意。这当然引起了我的注意。

如果你还没有听说过Kyma，有一篇很好的博客文章详细解释了Kyma是什么。如果你想找一个简短的版本，Kyma是CNCF Cloud Native Landspace的一个开源项目，它运行在Kubernetes之上，以简化单片软件的扩展和集成。

至少，这是我听到的。

我还不知道Kyma是什么，或者我自己做什么。因此，我将卷起袖子，亲身体验Kyma。

如果您对Kyma感兴趣，并希望深入挖掘核心组件，我想鼓励您与我一起尝试Kyma。我将在一系列的博客文章中分享我的经验，淘客社区，其中包括我所采取的步骤，我学到的教训，以及我收集的技巧，希望这不仅能扩大你的理解，也能扩大我的理解。

安装

要开始使用Kyma，我们必须先将Kyma安装到集群上。在开始之前，物联网培训，让我分享我的设置。

Mac OS Catalina版本10.15.4Minikube版本1.11.0Hyperkit版本v0.20200224-27-g79c6a4Kyma CLI v1.13.0版

使用我共享的安装程序，使用Minikube在本地安装Kyma只需两个命令即可完成。

$Kyma provision minkube

$Kyma install

成功的安装输出将生成所有已安装组件的列表、控制台的URL、访问控制台的用户名/密码和"安装成功！祝你快乐！：）"消息

安装告诉我们什么？

1. Kyma下载了很多组件。安装的组件列表可以通过日志输出看到，也可以通过所花的时间感觉到。在Minikube上安装Kyma花了我17分钟，所以耐心似乎是必不可少的。有两个版本的Kyma可以安装：full（Kyma）和lite（Kyma-lite）。lite版本用于本地开发，不安装日志、监控等组件。完整和lite版本安装的所有组件的完整列表可在此处找到。

3。Kyma允许您灵活地自定义安装。通过修改用于安装组件的yaml文件，可以启用或禁用它们。根据文档，似乎有一些组件不提供替换就无法禁用。但是，我没有找到哪些组件是必需的，哪些组件是可选的。Kyma提供了一个控制台，可以方便地查看集群并触发管理操作以更改集群的状态。

请耐心等待安装安装文档推荐Minikube版本1.6.2，但我能够使用版本1.11.0成功运行安装（到目前为止，我还没有遇到任何问题）如果使用kyma CLI安装不起作用，请尝试从源代码运行安装kyma install--source local--src path{YOUR\u kyma\u source\u path}用于访问控制台的用户名和密码用户名为admin@kyma.cx可以通过运行以下命令检索密码kubectl get secret admin用户-n kyma system-o jsonpath。数据.密码}"| base64—解码

部署示例应用程序

测试Kyma功能的第一个示例是关于部署示例服务的教程。本教程将介绍创建部署、服务和自定义资源APIRule的步骤，以不安全地或安全地部署和公开服务的API。

尽管本教程在保护服务的API之后结束，但没有详细说明如何在之后访问API，如果您想探索如何检索测试安全API所需的令牌，什么叫云服务器，本教程有一个较长的版本可用。

使用这两个教程，我能够测试以下情况

在没有身份验证的情况下公开示例应用程序公开一个使用jsonweb令牌进行身份验证的示例应用程序使用OAuth2公开带有身份验证的示例应用程序

下面列出了我所采取步骤的概要

部署示例应用程序告诉我们什么？

1. Kyma提供了自己的网关，用于在集群之外公开应用程序。Kyma需要创建CustomResourceDefinitionapirules.gateway.kyma-项目.io用于创建Istio虚拟服务，指定应用于Kubernetes服务的流量路由规则。

2。Kyma的API网关控制器apirules.gateway.kyma-项目.io还允许您使用Dex（JWT）和Hydra（OAuth2令牌）保护公开的服务。启用这两个选项需要与hkeeper组件进行交互，并被触发以创建规则(规则.oathkeeper.ory.sh）APIRule时的资源(apirules.gateway.kyma-项目.io)声明身份验证方法。

3。Kyma附带了一个使用十九世纪允许30天SSL证书用于本地开发。证书可以在一个名为apiserver proxy tls cert的秘密中找到，更新tls证书的步骤可以在他们的官方文档中找到。Kyma自动将Istio特使sidecar代理注入除Istio系统和kube系统之外的所有名称空间中的所有pod。如果需要，可以通过将istio injection标签修改为disabled来禁用sidecar代理注入。此外，mutual TLS（mTLS）在集群范围内启用，严格的配置只允许工作负载内的mTLS通信。

在尝试应用yaml文件时，教程的"更新服务的API以保护它"部分返回404。GitHub问题可以解决这个bug教程中使用的示例文件不存在当通过UI获取jwt令牌时，在chrome中无法下载kubeconfig。改用其他浏览器（确认与safari兼容）GitHub问题已经解决了在chrome中无法下载kubeconfigGardener无法下载kubeconfig文件，CORS问题有可能以编程方式获取它，但不确定这是否可行。运行kubectl get apirule--all namespaces查看apirule资源的现有示例在头文件中使用env变量进行jwt和OAuth2身份验证可能不起作用。在这种情况下，请尝试插入值。env变量示例curl-ik https://$hostname.$domain/orders-H'授权：承载$oauth2令牌'不带env变量的示例curl-ik https://$hostname.$domain/orders-H'授权：承载askadjlnckinkfnkidkmowomf'Minikube安装的本地域是kyma.本地始终将Minikube的IP地址添加到本地计算机上的主机文件中，租用服务器，以获取任何要公开的服务回声"$（minikube ip）$主机名.kyma.local"sudo tee-a/etc/hosts要列出OAuth2Client资源，请运行以下命令kubectl获得oauth2委托人：hydra.ory.sh

-

到目前为止，我看到Kyma提供了一套现成的云本地组件，消除了集成这些技术的复杂性。