容器彻底改变了开发,打包和部署应用程序的方式。但是,暴露给容器的系统表面足够多,以至于很多安全人员并不建议使用。越来越希望运行更多应用担任更多的角色,同时也出现不同的安全问题,这引发了对沙盒容器 - 容器的新兴趣,这些容器有助于在主机操作系统和容器内运行的应用程序之间提供安全的隔离边界。为此,我们想
2023-07-15
在此之前,我记录了很多章关于docker使用的基础,从安装到编写,其中还有一些常见的使用技巧,这其中还包括一些docker-compsoe的简单操作案例,其中有一些由于编写的时间太久,bug很多,但用来学习绰绰有余,但也仅供参考。现在,我将所有的文章汇聚在一个页面中方便查看。假如你是一个docker
2023-07-15
通常我们在编排一个容器的时候,最简单的方式就是使用docker-compose,compose是简单的将docker run的命令进行组织起来。而在docker早期的产品里面compose被收购后是很重要的一个环节。当我们run一个容器的时候,一般而言,我们关注她的网络,持久化,资源情况以rabbi
2023-07-15
一个项目的master节点down了之后kubelet起不来,由于是远古时期的项目,早期未作任何监控手段。因此也没有监控,没有文档,非常棘手经过查看,master节点的kubelet未启动,查看kubelet日志: failed to run Kubelet: unable to load boot
2023-07-15
我们有两个版本的内核节点,分别是两个批次的节点,安装了3.10.95和5.4.x的内核在出现Readiness probe failed和Liveness probe failed是一次pod驱逐而后就发生的查看事件# kubectl get events --sort-by='.lastTimes
2023-07-15
简单的进行初始化1,安装相同版本的docker,复制必要的镜像文件到node节点导入2,同步时间3,将桥接的IPv4流量传递到iptables的链cat > /etc/sysctl.d/k8s.conf << EOF net.bridge.bridge-nf-call-ip6tab
2023-07-15
Kubernetes需要确保在 Pod 中运行的 应用是健康的。一旦应用出现问题,kubelet作为守护进程会根据为 Pod 设置的重启策略(restartPolicy)重启 Pod。现在的问题是 k8s 如何检测不健康的应用程序?答案是通过Probes。restartPolicy默认为:Alway
2023-07-15
通过减少误操作带来的问题和提高服务质量,Kubernetes liveness 和 readiness 探针可用于使服务更健壮和更有弹性。但是,如果不仔细实施这些探测器,它们可能会严重降低服务的整体操作,以至于让人们觉得没有它们会更好。在本文中,将探讨在实现 Kubernetes 的 livenes
2023-07-15
之前,我写过一篇Kubernetes Liveness 和 Readiness 探测避免给自己挖坑续集,描述了 Kubernetes 的 liveness 和 readiness 探针如何无意中降低服务可用性,或者导致长时间的中断。Kubernetes liveness 和 readiness 探针
2023-07-15
Kubernetes liveness 和 readiness 探针可用于提高服务的可靠性。但是,如果不小心使用它们,它们可能会适得其反,并通过微妙的、意想不到的后果降低服务的可靠性。我写了一个分别有几部分的文章(见延伸阅读),介绍如何使用 Kubernetes 的 liveness 和 readi
2023-07-15
在上次处理 kubelet.go node "master" not found问题之后的一段时间里面,我又遇到了相同的问题发生在其他节点。它的表现方式是/etc/kubernetes/bootstrap-kubelet.conf: no such file or directory我此前也写了一篇
2023-07-15
我们知道kuberentes的网络在k8s中是下沉的,为了更好理解kubernetes-cni的插件在同节点的网络中的通讯情况,我们安装ensp来模拟两层设备在网络中的使用当发起一条ping请求的时候,将会在arp中进行广播当收到这个ip是自己的时候回应,不是则丢弃在两层网络中,主要用来验证如下的这
2023-07-15
网络报文在传输中,必然是需要知道通讯四元组,缺一不可,因此在不知道的情况下会发送arp广播来寻找,当寻找到之后就能获取到了四元组的信息,而后开始发送。现在有一个问题,当A发起请求,到达B,MAC地址会变吗?相信这是一个简单的问题,那么很有可能你并不是在意答案是:网络ip地址没有发生变化,而mac地址
2023-07-15
ip地址IP地址是在计算机网络中被用来唯一标识一台设备的一组数字。IPv4地址由32位二进制数值组成,但为了便于用户识别和记忆,采用了“点分十进制表示法”。采用了这种表示法的IPv4地址由4个点分十进制整数来表示,每个十进制整数对应一个字节。IPv4地址由如下两部分组成:网络号码字段(Net-id)
2023-07-15
有这么一个场景,前面是一个中国移动的云服务器,他们的网络环境是通过SNAT和DNAT的方式进行做的网络转换。这种情况在云环境中并不多见,一般发生在自建物理机房中,通常而言,DNAT和SNAT发生在防火墙或者外部路由阶段。一个IP地址和不同的端口来进行映射到后端的一个节点上的某个端口上,这种情况下走的
2023-07-15
应用程序并不总是在稳定状态下运行。会根据日期、时间或特定事件而波动。CPU 需求各不相同,运行时内存和网络需求也各不相同。而应用程序不断变化的需求,由Kubernetes来调度程序分配计算或内存资源,这些可能会导致Kubernetes上的node或者pod处于不可用状态的原因之一,而这些pod最终是
2023-07-15
网卡网卡分为很多类型,虚拟网卡,物理网卡等。物理网卡物理网卡需要通过网卡驱动在内核中注册后才能工作,它在内核网络协议栈和外界网络之间传递数据,用户可以为物理网卡配置网卡接口属性,比如IP地址,这些属性都配置在内核的网络协议栈中。内核也可以直接创建虚拟的网卡,只要为虚拟网卡提供网卡驱动程序,使其在内核
2023-07-15
有些朋友问怎么在windows上调试自己的环境,刚好最近也在自己的虚拟环境调试,就整理下了文档以kubectl和helm以及kustomize为例下载对应的包你要正常使用当你包,必须是与你kubernetes版本匹配的,这些信息在他们的readme.md中都有介绍假如你的k8s 是1.20的,那你就
2023-07-15
首先需要已经配置好了一个ingress-nginx亦或者使用ACK上的ingress-nginx鉴于对ingress-nginx的状态,或者流量的监控是有一定的必要性,配置监控的指标有助于了解更多细节通过使用kube-prometheus的项目来监控ingress-nginx,首先需要在nginx-
2023-07-15
ingress-nginx的官网提供了更多的一些配置信息,包括url重写,金丝雀,尽管金丝雀支持并不完美,ingress-nginx仍然是最受欢迎的ingress之一。在上一篇中,我介绍了ingress-nginx应用常见的两种方式,并且采用的最新的版本,早期有非常陈旧的版本在使用。鉴于此,随后打算
2023-07-15