应用异常时，基本可以分为服务访问不通和服务响应慢两个大类。其中服务响应慢的问题定位非常棘手，很多无头案。应用团队有日志和追踪，对于自认为的不可能不合理的事情都会甩给基础设施团队，又由于基础设施团队现有的监控数据缺乏应用的观测视角，通常成为一切「不是我的问题」超自然现象的终极背锅侠，其中以网络团队尤为严重。 响应时延 服务为什么响应慢？？？首先，我们需要一种方式来度量何为响应慢，参考 Google

原标题： RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS：在Kubernetes1.6版本中新增角色访问控制机制（Role-Based Access，RBAC）让集群管理员可以针对特定使用者或服务账号的角色，进行更精确的资源访问控制。在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在

前言 本文首先对VictoriaMetrics的功能和架构进行介绍。接着，使用一个场景例子演示单集群VictoriaMetrics的安装，并验证其对Prometheus的兼容性和可替换性。 VictoriaMetrics简介 我们知道，若要保证一个系统的稳定运行，那么对于这个系统的监控是不可或缺的环节。当今在云原生领域中，Prometheus作为已经毕业的CNCF项目，已经成为了非常主流的监控和报

前言 这是kubernete官方文档中Ingress Resource的翻译，因为最近工作中用到，文章也不长，也很好理解，索性翻译一下，也便于自己加深理解，同时造福kubernetes中文社区。后续准备使用Traefik来做Ingress controller，文章末尾给出了几个相关链接，实际使用案例正在摸索中，届时相关安装文档和配置说明将同步更新到kubernetes-handbook中。 术语

前言 近期由于产品需求需要打通多个 K8s 集群的容器网络，要求在一个集群的容器内，通过 Pod IP直接访问另外一个集群的容器，因此笔者对相关网络技术进行了一番学习。本文将解释整体的组网思路，简单分析数据包的流转过程，最后给出详细的实验步骤。 整体思路 Kubernetes 中常见的网络插件如 cni、fannel 等的实现中每个宿主机管理一个特定的容器网段，如主机 A 管理容器 223.17.

作者注：这是深入Kubernetes 1.6特性系列的第四篇。 导读： Kubernetes 1.6高级调度的新特性主要集中在四个方面: Node的亲和性和反亲和性(Affinity/Anti-Affinity) Node的污点和容忍(Taints and Tolerations) Pod的亲和性和反亲和性(Affinity/Anti-Affinity) 自定义调度器 1、简介 Kubernete

测试小姐姐正在对云原生的电商应用进行压测，但是如何对压测结果进行持续的观测呢？这一直是比较头痛的事情，本文将介绍如何利用 DeepFlow 的全景拓扑帮助小姐姐快速找到瓶颈点。DeepFlow 全景拓扑无需业务修改代码、配置或者重启服务，利用 BPF/eBPF 技术通过对业务零侵扰的方式构建而来，这是一种很便捷且低成本的方式来观测全链路压测的结果。 背景介绍 DeepFlow 在线的 Sandbo

「可观测性峰会 2023」是云原生社区组织的技术会议，旨在分享并探讨云原生应用程序和基础架构中实现可观测性的最新技术和工具以及最佳实践。 时间：2023 年 4 月 22 日（周六） 地点：北京奥佳美术馆酒店 活动详情：https://www.huodongxing.com/event/6695157778700 本次大会的主持人来自云原生社区管委会，上半场主持人为罗广明。 下半场主持人张丽颖。

因为一些莫可名状的原因，国内网络使用 Kubeadm 颇有难度，这里大概说一下过程中的一些坑。 主体流程遵循官网指南：https://kubernetes.io/docs/getting-started-guides/kubeadm/ 1/4 准备工作 这里用包管理的方式安装 kubeadm、Docker 等组件。需要注意一点点的是，如果用的非 Root 用户，要注意 sudo 的时候的环境代理设

摘要：本文译自 OSM 官方博客。开放服务网格（OSM）宣布停止更新，将与 Istio 社区更加紧密地合作，以加速实现下一代服务网格技术的发展。服务网格社区的发展，如 Kubernetes Gateway API 和 GAMMA，进一步凸显了服务网格在当今云原生栈中的关键重要性和成熟度。OSM 团队将与 Istio 社区合作，包括利用 Kubernetes 的 ClusterTrustBundle

本文介绍了 Kubernetes 网关 API，该 API 旨在提供一种在 Kubernetes 中管理网关和负载均衡器的标准方法。文章解释了 Kubernetes 网关 API 的核心组件和概念，并且详细介绍了如何使用网关 API 来配置和管理网关和负载均衡器。文章还介绍了一些常见的网关实现，例如 Istio 和 Contour，以及如何使用它们与 Kubernetes 网关 API 进行集成。

在运行基于 Kubernetes 的 CI/CD 过程中，经常有需求在容器中对 Kubernetes 的资源进行操作，其中隐藏的安全问题，目前推荐的最佳实践也就是使用 Service Account 了。而调试账号能力的最好方法，必须是 kubectl 了。下面就讲讲如何利用 kubectl 引用 Servie Account 凭据进行 Kubernetes 操作的方法。 这里用 default

Argo workflow 是什么 老牌的 CICD 工具 Jenkins 应该是大部分都接触过的，而在云原生时代，诞生了两大 CI/CD 框架，也就是 Argo Workflow 和 Tekton，本文主要介绍一下 Argo Workflow。 Argo Workflow 是一个云原生的工作流引擎，基于 kubernetes 来做编排任务，目前 Argo 项目是 CNCF 的毕业项目。 只有当需

本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解：APIServer 认证、授权、准入控制等。 我们都知道 kubenetes 默认在两个端口提供服务：一个是基于 https 安全端口 6443，另一个是基于 http 的非安全端口 8080。其中非安全端口 8080 限制只能本机访问，即绑定的是 localhost。 对于安全端口来讲，一个 API 请求到达 6443 端口

前言 在进行日志收集的过程中，我们首先想到的是使用Logstash，因为它是ELK stack中的重要成员，但是在测试过程中发现，Logstash是基于JDK的，在没有产生日志的情况单纯启动Logstash就大概要消耗500M内存，在每个Pod中都启动一个日志收集组件的情况下，使用logstash有点浪费系统资源，经人推荐我们选择使用Filebeat替代，经测试单独启动Filebeat容器大约会消

前言 原生 Kubernetes 调度器仅基于资源的 Request 进行调度，在生产环境资源的真实使用率和申请率往往相差巨大，造成资源浪费的同时也会造成节点的负载不均衡。crane-sheduler 基于prometheus集群真实资源负载进行调度，将其应用于调度过程中的 Filter 和 Score 阶段，能够有效缓解集群资源负载不均的问题，真正实现企业的降本增效。 背景 Kubernetes

简介： 这篇文章里我们将展示如何在 kubernetes 上监控 nginx，介绍不同的使用示例，在平台上运行的特性和相关维度，以及 dashboards 和 alerts。 1、为什么选择 Nginx Nginx 是一个 web 服务器，常用作反向代理、负载均衡以及 web 缓存。天生具有高并发能力，并且具有速度快、功能丰富、可靠性高以及占用资源少等诸多优点。 Nginx 在容器化/云端部署方面

背景介绍 在Kubernetes中卷的作用在于提供给POD存储，这些存储可以挂载到POD中的容器上，进而给容器提供存储。 从图中可以看到结构体PodSpec有个属性是Volumes，通过这个Volumes属性可以关联到结构体Volume和结构体VolumeSource，而且这个Volumes属性是一个数组类型，就是说POD可以关联到多个不同类型的卷上面。 结构体Container表示POD中的容器

一、核心概念 Horizontal Pod Autoscaling，简称HPA，是Kubernetes中实现POD水平自动伸缩的功能。云计算具有水平弹性的特性，这个是云计算区别于传统IT技术架构的主要特性。对于Kubernetes中的POD集群来说，HPA可以实现很多自动化功能，比如当POD中业务负载上升的时候，可以创建新的POD来保证业务系统稳定运行，当POD中业务负载下降的时候，可以销毁POD

持续集成构建使用了以下版本的外部依赖关系，但是以下内容只供用户参考，用户在决定使用哪些版本的etcd，docker或rkt之前请查阅相关的安装或升级指南。 • Docker 1.10.3，1.11.2，1.12.6版本已经过验证 • Docker 1.12.6版本已知问题 1、 overlay2驱动程序不完全支持 2、 未完全支持实时还原 3、 没有共享的pid Namespace支持 • Doc