1. 应用架构与业务发展、运维能力匹配 在行业会议、文档博客中，我们时常能见到各种优秀的解决方案，但是如果直接照搬到自己的业务，却又频频碰壁。因为，这些技术方案是特定的业务场景孵化出来的，不同的业务形态、不同的业务规模、不同的业务发展阶段都会影响技术的落地。另一方面，应用需要人去维护，需要构建合适的平台辅助应用生命周期的管理，这就要求与之匹配的运维能力。落后的运维能力会降低生产效率，给竞争对手可乘

如果你需要监控两个主机、主机与外部服务之间的网络状况，那么就可以试一试本文提到的 Blackbox Exporter。 1. 安装 Blackbox 1.1 在主机上部署 下载二进制包 1 2 3 4 5 wget https://github.com/prometheus/blackbox_exporter/releases/download/v0.21.0/blackbox_exporter-

1. 创建负载时，通过 nodeSelector 指定 Node 给节点添加标签 1 kubectl label node node2 project=A 指定 nodeSelector 创建工作负载 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 cat <<EOF | kubectl apply -f - apiVe

如果采用 Logstash 集中接收 Filebeat 的日志输入，容易造成单点瓶颈；如果采用 Kafka 接收 Filebeat 的日志输入，日志的时效性又得不到保障。这里直接将 Filebeat 采集的日志直接输出到 Elasticsearch。 1. 准备工作 节点规划 这里没有区分 master、data、client 节点，而是直接一个集群三个节点复用。如果是超大规模的 Elastics

1. Harbor 跨区带来的挑战 如果只是简单的存放镜像数据， Registry 作为镜像仓库会是一个很好的选择。Registry 不仅支持多种存储后端，还可以配置 HTTPS 证书，访问凭证。值得一题的是，Harbor 也是使用 Registry 存储镜像数据。如果团队需要进行角色管理，存储控制，对接 LDAP 认证等功能，可以使用 Harbor。只需要一台 4C8GB 的机器，外置高可用 P

1. 自签 *.docker.io 域名证书 1.1 创建 CA 证书 生成 CA 证书私钥 1 openssl genrsa -out ca.key 4096 生成 CA 证书 1 2 3 4 openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Person

1. 异构系统带来的认证鉴权问题 企业系统，可以分为以下几种类型： 购买的商业软件，比如 JumpServer 开源的软件，比如 Kibana、Grafana 自主研发的软件，比如应用管理平台 这里需要说明的是，认证和鉴权是两个功能: 认证，证明你是你 鉴权，你是管理员，而不是普通用户 针对上面的系统，在接入认证鉴权时，主要面临如下问题: 自主定制成本高，而社区支持响应慢。定制开源组件需要投入大量

1. 相关背景 早上 10:00 因同事需求，我通过工具在集群上创建 Kubernetes Job 执行任务。工具创建 Job 时，会拿到集群上的全部节点，然后逐个绑定节点创建 Job。例如，如下集群: 1 2 3 4 5 6 7 8 9 10 kubectl get node NAME STATUS ROLES AGE VERSION node2 Ready control-plane,mast

1. Linux 下的流量控制原理 通过对包的排队，我们可以控制数据包的发送方式。这种控制，称之为数据整形，shape the data，包括对数据的以下操作: 增加延时 丢包 重新排列 重复、损坏 速率控制 在 qdisc-class-filter 结构下，对流量进行控制需要进行三个步骤: 创建 qdisc 队列 上面提到 Linux 是通过包的排队进行流量的控制，那么首先得有一个队列。 创建

1. 主机服务端口 1 2 iptables -I INPUT -p tcp --dport 80 -j DROP iptables -I INPUT -p tcp -s 1.2.3.4 --dport 80 -j ACCEPT 这里仅允许 1.2.3.4 访问本地主机的 80 端口。 2. Docker 服务端口 对于类似 docker run -d -p 80:80 shaowenchen/d

主机 主机内存使用率超过阈值 1 - node_memory_MemAvailable_bytes{mode!="idle"} / node_memory_MemTotal_bytes阈值：0.9 主机 CPU 使用率超过阈值 1 - avg(irate(node_cpu_seconds_total{mode="idle"}[5m])) by (host_name)阈值：0.85 主机硬盘使用率超

本文描述的监控指标，仅包含 Kubernetes 基础的指标，不包含业务相关指标，相关组件为 prometheus-server、kube-state-metrics、node-exporter，数据的保存周期为 3 天。 1. 集群中监控相关组件 1 2 3 4 helm -n monitor list NAME NAMESPACE REVISION UPDATED STATUS CHART A

1. 平台化才能让你走得更远 只要你比竞争对手响应市场快一点，活得久一点，就能争取更多生存的空间。绝妙的商业模式、市场机遇更像是魔法，能迅速壮大公司，但并不是人力可控的范畴。我们能做的是打磨好工具、平台，以待风起时变，稍能驾驭便能青云直上。平台建设是长周期、高收益的投资。平台会伴随着公司一起成长，大的公司一定有好的支撑平台。大部分的小公司都活不过 3-5 年，小公司不会大力建设平台，但它们会非常乐

1. 安装方式 1 2 kubectl apply -f https://openebs.github.io/charts/openebs-operator.yaml kubectl patch storageclass openebs-hostpath -p '{"metadata": {"annotations":{"storageclass.kubernetes.io/is-default-

最近有一个需求，收集 Kubernetes 的外网访问情况。因此对相关项目进行了调用和试用，本篇主要是介绍如何安装 Kindling，配置 Grafana 查看 Kubernetes 网络连接数据。 1. 什么是 Kindling Kindling 解决的是，在不入侵应用的前提下，如何观测网络的问题，其功能主要是通过暴露内核事件来实现观测。如果主机内核版本高于 4.14，可以使用 eBPF 模块；

1，接上一回，共享存储优化海外镜像的拉取 在基于 Harbor 和 Registry 的镜像管理分发方案的基础上，最近又做了一个优化。之前的方案是，在每个区域，使用一台低配大磁盘的机器，部署一个 Mirror Cache 缓存镜像。这样带来一个问题，就是每个区域都需要拉取一个镜像，如果有 N 个区域，那么发布一个应用，得拉取 N 次，同时发布时专线带宽占用得乘以 N 。这里被忽略的是，海外云厂的网

1，脱离职责的流程是没有意义的 软件架构与组织架构相匹配，不仅仅体现在功能边界，更体现在职责划分。清晰的职责边界，才能构筑良好的团队协作与发展。每个团队、每个人都应该明白自己的目标，什么事情应该承担，什么事情应该回避，将时间和精力投入到对主要目标有增益的事情，不能陷于琐屑。如此，团队中的成员才不会那么累，有可能沉淀一些领域知识，进行有深度的思考。清晰的职责边界很难。这并不是一个管理上的问题，而是一

本文翻译自 https://learnk8s.io/kubernetes-network-packets，并没有逐字翻译，带入了些自己的理解。阅读本文，你可以了解在 Kubernetes 内外，数据包是如何转发的，从原始的 Web 请求开始，到托管应用程序的容器。 Kubernetes 网络要求 在深入了解在 Kubernetes 集群中数据包如何流转的细节之前，先明确一下 Kubernetes

记录一次因为 IP 变更导致集群故障的修复过程。有两个集群，一个是单节点(allinone)，另一个是四节点(3 master 1 node)的集群。 1. 更新 Etcd 证书 【在每个 Etcd 节点】备份 Etcd 证书 1 cp -R /etc/ssl/etcd/ssl /etc/ssl/etcd/ssl-bak 查看 Etcd 证书中的域 1 2 3 openssl x509 -in /

FailedCreatePodSandBox 错误 Error response from daemon: OCI runtime create failed: container_linux.go:380: starting container process caused: process_linux.go:402: getting the final child's pid from pip