背景情况 从Docker1.11版本开始，Docker依赖于containerd和runC来管理容器，containerd是控制runC的后台程序，runC是docker公司按照OCI标准规范编写的一个操作容器的命令行工具，containerd这个后台程序还可以操作满足OCI标准规范的其他容器工具，也就意味着以后只要是按照OCI标准规范开发的容器工具，都可以被containerd使用起来。使用co

本文是Kubernetes.io官方文档中介绍如何创建暴露外部IP地址的Kubernetes Service 对象。 学习目标 运行Hello World应用程序的五个实例。 创建一个暴露外部IP地址的Service对象。 使用Service对象访问正在运行的应用程序。 准备工作 安装kubectl。 使用Google提供商（如Google Container Engine或Amazon Web

本指南用于kubeadm将集群从1.6.x版本升级到1.7.x版本。低于1.6的群集不支持升级，如果使用kubeadm Beta版本时，也不支持升级。 说明：本次升级将覆盖由kubeadm管理的所有资源（静态pod manifest文件，kube-system namespace中的service accounts和RBAC规则等），集群安装后对资源的任何设置都可以在升级后重新复用，以确保升级不会

背景概念 出于安全方面的考虑，Kubernetes提供了日志审计记录，用来记录不同普通用户、管理员和系统中各个组件的日志信息。 Kubernetes日志审计是Kube-apiserver组件的一部分功能，通过日志审计来记录apiserver上面所有请求处理过程。每条审计日志记录包括两行： 1、  请求行：唯一ID、源IP、请求用户、请求资源信息、模拟信息等。 2、  响应行：唯一ID、相应信息代码

背景概念 在Kubernetes中，为了保证业务不中断或业务SLA不降级，需要将应用进行集群化部署。通过PodDisruptionBudget控制器可以设置应用POD集群处于运行状态最低个数，也可以设置应用POD集群处于运行状态的最低百分比，这样可以保证在主动销毁应用POD的时候，不会一次性销毁太多的应用POD，从而保证业务不中断或业务SLA不降级。 在Kubernetes 1.5中，kubect

Node授权是一种特殊授权模式，专门授权由kubelet访问的API请求。 概述 Node授权器允许kubelet执行的API操作包括： 读： services endpoints nodes pods secrets, configmaps, persistent volume claims and persistent volumes related to pods bound to the

参考：https://kubernetes.io/docs/concepts/storage/volumes/ 一个运行中的容器，缺省情况下，对文件系统的写入，都是发生在其分层文件系统的可写层的，一旦容器运行结束，所有写入都会被丢弃。因此需要对持久化支持。 Kubernetes 中通过 Volume 的方式提供对存储的支持。下面对一些常见的存储概念进行一点简要的说明。 EmptyDir 顾名思义，

前言 本文已归档到 kubernetes-handbook 【第三章用户指南】的【在Kubernetes中开发部署应用】小节中，一切更新以 GitHub 为准。 本文档不是说明如何在 kubernetes 中开发和部署应用程序，如果您想要直接开发应用程序在 kubernetes 中运行可以参考 适用于kubernetes的应用开发部署流程。 本文旨在说明如何将已有的应用程序尤其是传统的分布式应用程

Kubernetes v1.7 新增了 Initializers，它可以用来方便地扩展准入控制，今天的文章来自 Google Kubernetes 现役工程师 Ahmet Alp Balkan，让他带领我们详解 Initializer。上期将带大家做一个简单的了解，明白 Initializers 到底能为我们带来什么。 Kubernetes 如今能大展拳脚的原因有二：一是，因为他社区的无限优势；二

基础操作 一个正常运行的 Kubernetes 集群，除了利用访问控制对集群操作的许可进行限制之外，对于操作过程的跟踪审计也是比不可少的，围绕不同的实体，例如用户、节点以及各种工作负载进行观测是很有必要的。Kubernetes 的 API Server 提供了审计日志支持，利用审计日志的方式对系统内的操作进行记录，这里我们可以沿用推荐的 Elastic Search + Fluentd 对审计日志

相关原理概述 先来讲讲什么是CNI? CNI（容器网络接口）是一种操作容器网络规范，包含方法规范，参数规范等。 CNI只关心容器的网络连接，在容器创建时分配网络资源，并在删除容器时删除分配的资源。因为这个焦点，CNI有广泛的支持，规格易于实现。CNI接口只需要实现两个方法，一个创建容器时调用，一个删除容器时调用。 Kubernetes如何支持和运行遵循CNI规范的插件 kubernetes首先以插

前面我们已经在Kubernetes上部署了Redis – 《在Kubernetes上使用Sateful Set部署Redis》。 本篇我们继续把RabbitMQ也跑在K8S上。 1.RabbitMQ的基础知识 在正式开始部署工作之前，我们先来复习一下RabbitMQ的一些基础知识。 RabbitMQ内建的集群功能可以实现其高可用，允许消费者和生产者在RabbitMQ节点崩溃的情况下继续工作，同时可

作者：李昂 曾经就职于七牛， 参与七牛大数据产品的开发工作 加入才云科技后，主要负责 Devops 的相关工作 才云科技云平台容器工程师 今天给到大家介绍一下 Client-go 中的一个非常关键的工具包 Informer。 Informer 内部实现极其复杂，详细介绍的文章也很少，很多人反馈比较难用。但不得不承认它也是一个设计精良、安全可靠的组件，值得我们去一探究竟。 Informer 简介 I

Kubernetes v1.7 新增了 Initializers，它可以用来方便地扩展准入控制，今天的文章来自 Google Kubernetes 现役工程师 Ahmet Alp Balkan，让他带领我们详解 Initializer。通过上期的文章，我们了解了 Initializers 的相关属性，今天的内容让我们进一步探索Initializers 的相关属性和操作流程。 initializat

容器通常是为了解决一个单一的、特定的问题；如微服务，但在现实世界中，通常需要多个容器，来实现一个完整的解决方案。在这篇文章中，我们将谈论结合多个容器集成进单一的Kubernetes节点，即容器互联通信。 什么是Kubernetes节点? 首先让我们解释一下容器节点是什么。容器节点即POD，它是可以由Kubernetes部署和管理的最小单位。换句话说，如果你需要运行在Kubernetes的一个容器，

NetworkPolicy是Kubernetes的一个新特性，它负责配置Pod组如何与彼此和其他网络端点进行通信。换句话说，它在运行于Kubernetes集群上的Pod间创建防火墙。 该特性在Kubernetes 1.7版中已较为稳定。本文将阐述NetworkPolicy在理论与实践中分别是如何工作的。 使用NetworkPolicy你可以做些什么 默认情况下，Kubernetes没有限制集群内p

kubeadm是Kubernetes官方提供的快速安装和初始化Kubernetes集群的工具，目前的还处于孵化开发状态，伴随Kubernetes每个版本的发布都会同步更新。 当然，目前的kubeadm是不能用于生产环境的。 但伴随着Kubernetes每次版本升级，kubeadm都会对集群配置方面的一些实践做调整，通过实验kubeadm我们可以学习到Kubernetes官方在集群配置上一些新的最佳

随着容器越来越流行，k8s也成为很多公司标配，Kubernetes 让当前主流的基础架构有一套易用的 API 。利用好 Kubernetes ，我们可以实现更高的、更通用的基础架构自动化管理。基于此， CoreOS 实现了一套能“自动驾驶”的 Kubernetes 。在本次演讲中，来自 CoreOS 的邓洪超将通过自身参与的经验，讲解其中的技术细节。并以主要负责的 etcd operator 为例

教你如何在中国区加速部署k8s，且实现自定义设置拥有k8s镜像的仓库与其命名空间。 概述 Kubernetes是一个强大的容器编排工具，帮助用户在可伸缩性系统上可靠部署和运行容器化应用。在容器领域内，K8s已毋庸置疑成为了容器编排和管理的社区标准，连Docker官方都已宣布支持K8s。在容器编排领域的战火已然分出结果，尘埃落定，K8s得到了包括Google、Huawei、Microsoft、IBM

使用kubeadm部署k8s集群 三步装集群：[离线包地址](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 基础环境 关闭swap swapoff -a 再把/etc/fstab文件中带有swap的行删了,没有就无视 装这两工具如果没装的话 yum install -y ebta