本文译自 Istio 官网。 当用户将他们的服务转移到Istio服务网格中运行时，他们通常会惊讶地发现，控制平面默认会观察和处理集群中所有命名空间中的所有Kubernetes资源。这对于拥有大量命名空间和部署的大型集群，甚至对于拥有快速流动资源（例如Spark作业）的中等规模的集群来说，都可能是一个问题。 我们需要一种方法来动态地限制作为网格一部分的命名空间集，以便Istio控制平面只处理这些命名

背景 随着云原生概念的普及，服务网格技术的流行以及 Istio 的成熟，使用Istio 进行服务治理的实践也越来越多，正成为服务治理的趋势。 在这样的背景下，我们也加入到 Istio 的研究中，希望初期通过 Istio 实现公司产品迭代版本的灰度发布，后续基于 Istio 为业务产品提供更多的流量管理及观测追踪能力。 一开始设计 Istio 部署方案时，基于当时对公司产品部署方式的了解，每款产品独

Kubernetes1.4主要新特性： 创建kubernetes集群只需要两条命令 增强了对有状态应用的支持 增加了集群联盟API 支持容器安全控制 增强包括调度在内的Kubernetes基础架构 通过Kubernetes DashBoard UI已经可以实现90%的命令行操作 两条命令创建集群 为了启动Kubernetes，用户需要提供计算节点、安装Kubernetes和启动集群。用户都渴望一种

Docker Native Orchestration     基本结构 Docker Engine 1.12 集成了原生的编排引擎，用以替换了之前独立的Docker Swarm项目。Docker原生集群（Swarm）同时包括了（Docker Engine \/ Daemons），这使原生docker可以任意充当集群的管理(manager)或工作（worker)节点角色。工作节点 （worker)

编者注： 这篇帖子来源于 Kubernetes 官方文档，是「深度探讨 Kubernetes 1.5 系列」之中的一篇，深度阐述集群联盟。 最近，Kubernetes 1.5 发布，不难发现，它对于集群联盟的支持正趋于成熟。集群联盟功能是在 Kubernetes1.3 的时候引入的。1.5 版本不仅包含了很多新功能，而且更容易设置，目测不久之后就可以支持所有的 Kubernetes API 对象了

简介 Velero前身是Heptio Ark ，是由GO语言编写的一款用于灾难恢复和迁移工具，可以安全的备份、恢复和迁移Kubernetes集群资源和持久卷。 Velero主要提供以下能力 备份Kubernetes 集群资源，并在资源丢失情况下进行还原 将集群资源迁移到其他集群 将生产集群复制到开发和测试集群 Velero 主要组件 Velero 组件主要包括服务器端和客户端两部分 服务端：运行在

目前，有很多种基于Kubernetes搭建RabbitMQ集群的解决方案。今天笔者今天将要讨论我们在Fuel CCP项目当中所采用的方式。这种方式加以转变也适用于搭建RabbitMQ集群的一般方法。所以如果你想要设计自己的解决方案，你应该收集一些更符合你定制化需求的文章。 命名你的集群 在Kubernetes内部运行RabbitMQ集群会遇到一系列有意思的问题。最先会遇到的问题是为了使各个节点之间

经常遇到全新初始安装k8s集群的问题，所以想着搞成离线模式，本着最小依赖原则，采用纯shell脚本编写 基于Centos7-1503-minimal运行脚本测试OK， 默认安装docker1.12.3 etcd-v3.0.15 k8s-v1.5.1 本离线安装所有的依赖都打包放到了百度网盘，不放心安全的，可自行打包替换，就是些镜像tar包和rpms 简要说明 基于kubeadm搭建的kuberne

前言 这是kubernete官方文档中Ingress Resource的翻译，因为最近工作中用到，文章也不长，也很好理解，索性翻译一下，也便于自己加深理解，同时造福kubernetes中文社区。后续准备使用Traefik来做Ingress controller，文章末尾给出了几个相关链接，实际使用案例正在摸索中，届时相关安装文档和配置说明将同步更新到kubernetes-handbook中。 术语

前言 近期由于产品需求需要打通多个 K8s 集群的容器网络，要求在一个集群的容器内，通过 Pod IP直接访问另外一个集群的容器，因此笔者对相关网络技术进行了一番学习。本文将解释整体的组网思路，简单分析数据包的流转过程，最后给出详细的实验步骤。 整体思路 Kubernetes 中常见的网络插件如 cni、fannel 等的实现中每个宿主机管理一个特定的容器网段，如主机 A 管理容器 223.17.

前言 原生 Kubernetes 调度器仅基于资源的 Request 进行调度，在生产环境资源的真实使用率和申请率往往相差巨大，造成资源浪费的同时也会造成节点的负载不均衡。crane-sheduler 基于prometheus集群真实资源负载进行调度，将其应用于调度过程中的 Filter 和 Score 阶段，能够有效缓解集群资源负载不均的问题，真正实现企业的降本增效。 背景 Kubernetes

利用Ansible部署kubernetes集群 本系列文档致力于提供快速部署高可用k8s集群的工具，并且也努力成为k8s实践、使用的参考书；基于二进制方式部署和利用ansible-playbook实现自动化：既提供一键安装脚本，也可以分步执行安装各个组件，同时讲解每一步主要参数配置和注意事项。项目地址：https://github.com/gjmzj/kubeasz 集群特性：`TLS

1. 理解认证授权 1.1 为什么要认证 想理解认证，我们得从认证解决什么问题、防止什么问题的发生入手。 防止什么问题呢？是防止有人入侵你的集群，root你的机器后让我们集群依然安全吗？不是吧，root都到手了，那就为所欲为，防不胜防了。 其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的，可能会被第三方窃取，也可

1、Ingress 在Kubernetes中，服务和Pod的IP地址仅可以在集群网络内部使用，对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务，在Kubernetes中可以通过NodePort和LoadBalancer这两种类型的服务，或者使用Ingress。Ingress本质是通过http代理服务器将外部的http请求转发到集群内部的后端服务。Kubernetes目前支持GCE和

0x00 文章楔子 本文停止后续维护，请转至： kubeadm HA master(v1.14.0)离线包 + 自动化脚本 + 常用插件 For Centos/Fedora 本文旨在通过最简易的方式指导读者搭建HA kubernetes 1.11集群 通过部署脚本驱动kubeadm工具进行自动化部署，自动启动keepalived负载均衡，calico网络插件，并且开启kube-proxy的IPVS

kubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具，伴随Kubernetes每个版本的发布都会同步更新，kubeadm会对集群配置方面的一些实践做调整，通过实验kubeadm可以学习到Kubernetes官方在集群配置上一些新的最佳实践。 在Kubernetes的文档Creating a single master cluster with kubeadm中已

前言： 考虑到公司持续集成与docker容器技术实施已有一段时间，取得了不错的效果，但对于设备运维、系统隔离、设备利用率和扩展性还有待提升，综合目前比较成熟的微服务技术，打算把现有业务迁移到K8S集群。 由于公司所有业务均部署在阿里云上，最开始就调研了阿里云自己提供的Kubernetes集群，但后来还是放弃了，主要考虑几方面： 阿里云K8S集群尚不成熟，使用的版本也相对较老，不能及时更新版本 阿里

0x00 文章楔子 本文停止后续维护，请转至： kubeadm HA master(v1.14.0)离线包 + 自动化脚本 + 常用插件 For Centos/Fedora 本文旨在通过最简易的方式指导读者搭建HA kubernetes 1.12.1集群 通过部署脚本驱动kubeadm工具进行自动化部署，自动启动keepalived负载均衡，calico网络插件，并且开启kube-proxy的IP

一、概述 kubernetes 1.13 已发布，这是 2018 年年内第四次也是最后一次发布新版本。Kubernetes 1.13 是迄今为止发布间隔最短的版本之一（与上一版本间隔十周），主要关注 Kubernetes 的稳定性与可扩展性，其中存储与集群生命周期相关的三项主要功能已逐步实现普遍可用性。 Kubernetes 1.13 的核心特性包括：利用 kubeadm 简化集群管理、容器存储接

集群方案： 发行版：CentOS 7 容器运行时 内核： 4.18.12-1.el7.elrepo.x86_64 版本：Kubernetes: 1.14.0 网络方案: Calico kube-proxy mode: IPVS master高可用方案：HAProxy keepalived LVS DNS插件: CoreDNS metrics插件：metrics-server 界面：kubernet