1. 理解认证授权 1.1 为什么要认证 想理解认证，我们得从认证解决什么问题、防止什么问题的发生入手。 防止什么问题呢？是防止有人入侵你的集群，root你的机器后让我们集群依然安全吗？不是吧，root都到手了，那就为所欲为，防不胜防了。 其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的，可能会被第三方窃取，也可

1、Ingress 在Kubernetes中，服务和Pod的IP地址仅可以在集群网络内部使用，对于集群外的应用是不可见的。为了使外部的应用能够访问集群内的服务，在Kubernetes中可以通过NodePort和LoadBalancer这两种类型的服务，或者使用Ingress。Ingress本质是通过http代理服务器将外部的http请求转发到集群内部的后端服务。Kubernetes目前支持GCE和

0x00 文章楔子 本文停止后续维护，请转至： kubeadm HA master(v1.14.0)离线包 + 自动化脚本 + 常用插件 For Centos/Fedora 本文旨在通过最简易的方式指导读者搭建HA kubernetes 1.11集群 通过部署脚本驱动kubeadm工具进行自动化部署，自动启动keepalived负载均衡，calico网络插件，并且开启kube-proxy的IPVS

kubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具，伴随Kubernetes每个版本的发布都会同步更新，kubeadm会对集群配置方面的一些实践做调整，通过实验kubeadm可以学习到Kubernetes官方在集群配置上一些新的最佳实践。 在Kubernetes的文档Creating a single master cluster with kubeadm中已

前言： 考虑到公司持续集成与docker容器技术实施已有一段时间，取得了不错的效果，但对于设备运维、系统隔离、设备利用率和扩展性还有待提升，综合目前比较成熟的微服务技术，打算把现有业务迁移到K8S集群。 由于公司所有业务均部署在阿里云上，最开始就调研了阿里云自己提供的Kubernetes集群，但后来还是放弃了，主要考虑几方面： 阿里云K8S集群尚不成熟，使用的版本也相对较老，不能及时更新版本 阿里

0x00 文章楔子 本文停止后续维护，请转至： kubeadm HA master(v1.14.0)离线包 + 自动化脚本 + 常用插件 For Centos/Fedora 本文旨在通过最简易的方式指导读者搭建HA kubernetes 1.12.1集群 通过部署脚本驱动kubeadm工具进行自动化部署，自动启动keepalived负载均衡，calico网络插件，并且开启kube-proxy的IP

一、概述 kubernetes 1.13 已发布，这是 2018 年年内第四次也是最后一次发布新版本。Kubernetes 1.13 是迄今为止发布间隔最短的版本之一（与上一版本间隔十周），主要关注 Kubernetes 的稳定性与可扩展性，其中存储与集群生命周期相关的三项主要功能已逐步实现普遍可用性。 Kubernetes 1.13 的核心特性包括：利用 kubeadm 简化集群管理、容器存储接

集群方案： 发行版：CentOS 7 容器运行时 内核： 4.18.12-1.el7.elrepo.x86_64 版本：Kubernetes: 1.14.0 网络方案: Calico kube-proxy mode: IPVS master高可用方案：HAProxy keepalived LVS DNS插件: CoreDNS metrics插件：metrics-server 界面：kubernet

前言 Kubernetes作为容器编排工具，简化容器管理，提升工作效率而颇受青睐。很多新手部署Kubernetes由于“科学上网”问题举步维艰，本文以实战经验详解kubeadm不用“科学上网”部署Kubernetes的最简方法。 一、Kubernetes简介 Kubernetes（简称K8S）是开源的容器集群管理系统，可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它既是一款容器编排工具，也

kubeadm是Kubernetes官方提供的用于快速安装Kubernetes集群的工具，伴随Kubernetes每个版本的发布都会同步更新，kubeadm会对集群配置方面的一些实践做调整，通过实验kubeadm可以学习到Kubernetes官方在集群配置上一些新的最佳实践。 最近发布的Kubernetes 1.15中，kubeadm对HA集群的配置已经达到beta可用，说明kubeadm距离生产

目录 API-server的作用 API-server提供的安全机制 认证方式之——TLS 授权方式之——node 授权方式之——RBAC 准入控制之——NodeRestriction 自定义准入插件 API-server的作用 在kubernetes集群中API-server的作用有以下几点： 提供了集群管理的REST API接口； 提供其他模块之间的数据交互和通信的枢纽）; 是资源配额控制的入

4. 设计总结 看完了全部的设计,那如果我们要做一个Node升级的管理器该怎么做呢？我们需要从如下几个点去考虑1.从上面的设计里面我们可以看出如果Node的状态为Ready则表明至少我们的CRI/CNI/CSI组件没有问题,从这个角度至少证明这个Node已经基本正常2.一个Node要被使用则至少需要被apiserver/scheduler/controller所感知,我们可以结合Node的驱逐机制

本文将从零开始，在干净的机器上安装 Docker、Kubernetes (使用 kubeadm)、Calico、Helm、NFS StorageClass，通过手把手的教程演示如何搭建一个高可用生产级的 Kubernetes，并在 Kubernetes 集群之上安装开源的 KubeSphere 容器平台可视化运营集群环境。 一、准备环境 开始部署之前，请先确定当前满足如下条件，本次集群搭建，所有机

背景 作为国内领先的生活服务平台，美团点评很多业务都具有非常显著、规律的“高峰”和“低谷”特征。尤其遇到节假日或促销活动，流量还会在短时间内出现爆发式的增长。这对集群中心的资源弹性和可用性有非常高的要求，同时也会使系统在支撑业务流量时的复杂度和成本支出呈现指数级增长。而我们需要做的，就是利用有限的资源最大化地提升集群的吞吐能力，以保障用户体验。 本文将介绍美团点评Kubernetes集群管理与使用

作者 | 蚂蚁金服技术专家 沧漠 前言 Kubernetes 以其超前的设计理念和优秀的技术架构，在容器编排领域拔得头筹。越来越多的公司开始在生产环境部署实践 Kubernetes，在阿里巴巴和蚂蚁金服 Kubernetes 已被大规模用于生产环境。Kubernetes 的出现使得广大开发同学也能运维复杂的分布式系统，它大幅降低了容器化应用部署的门槛，但运维和管理一个生产级的高可用 Kuberne

本文节选自《不一样的 双11 技术：阿里巴巴经济体云原生实践》一书。 作者 | 汤志敏，阿里云容器服务高级技术专家 在 2019 年 双11 中，容器服务 ACK 支撑了阿里巴巴内部核心系统容器化和阿里云的云产品本身，也将阿里巴巴多年的大规模容器技术以产品化的能力输出给众多围绕 双11 的生态公司。通过支撑来自全球各行各业的容器云，容器服务沉淀了支持单元化全球化架构和柔性架构的云原生应用托管中台能

作者 | 贤维  阿里巴巴高级技术专家 导读：Serverless Kubernetes 是阿里云容器服务团队对未来 Kubernetes 演进方向的一种探索，通过对 Kubernetes 做减法，降低运维管理负担，简化集群管理，让 Kubernetes 从复杂到简单。 背景 Kubernetes 作为通用的容器编排系统，承载了广泛的应用和场景，包括 CI／CD，数据计算，在线应用，AI 等，然而

作者 | 声东  阿里云售后技术专家 导读：排查完全陌生的问题、完全不熟悉的系统组件，是售后工程师的一大工作乐趣，当然也是挑战。今天借这篇文章，跟大家分析一例这样的问题。排查过程中，需要理解一些自己完全陌生的组件，比如 systemd 和 dbus。但是排查问题的思路和方法基本上还是可以复用了，希望对大家有所帮助。 问题一直在发生 1. I’m NotReady 阿里云有自己的 Kubernete

作者 | 声东  阿里云售后技术专家 导读：不知道大家有没有意识到一个现实：大部分时候，我们已经不像以前一样，通过命令行，或者可视窗口来使用一个系统了。 前言 现在我们上微博、或者网购，操作的其实不是眼前这台设备，而是一个又一个集群。通常，这样的集群拥有成百上千个节点，每个节点是一台物理机或虚拟机。集群一般远离用户，坐落在数据中心。为了让这些节点互相协作，对外提供一致且高效的服务，集群需要操作系统

   Kubernetes 是一门极其智能化的科学技术，但是如果搞错了方向，它就会以一种非预期的方式响应. 对于大部分 “聪明的” 科技来说， 其智能化程度取决于操作者。  为了通过使用Kubernetes组建团队来达到成功巅峰，其中最关键的是每一位组员能清晰地掌握Kubernetes 集群。这里有5种方法可以使工程师在建立Kubernetes集群时能最好的鉴定出任何未结的任务，并且尽可能确保负载