dfq737211338的博客

访问控制是用来做什么的？想象一下，在一个k8s集群里面同时存在转测环境和众测环境两个名称空间，有时候我们需要把两个名称空间分别交给两个人管理，又或者公司新招了一个新人，我们希望这个新人只能在某个固定的名称空间下进行操作。这就需要通过访问控制来实现。

docker.io 是 docker hub 的官方镜像地址，在中国无法直接访问，使用第三方镜像加速器有诸多限制。故购买一台HK服务器，自己部署docker registory服务，作为中间代理服务器使用。k8s 集群中，在部署node-exporter服务时，出现拉取镜像超时的现象。部署 docker registory服务，开放5000端口。当前所用CR containerd的版本。ctr 直接使用中间代理服务器拉取镜像。

Kustomize 是 Kubernetes 的开源配置管理工具。它允许您以声明方式为多个环境定义和管理 Kubernetes 对象，例如部署、Daemonsets、服务、configMap 等，而无需修改原始 YAML 文件。简而言之，您拥有 YAML 的单一事实来源，并且可以根据环境要求在基本 YAML 之上修补所需的配置。参考Kustomize 教程：初学者指南。

通常，持久链接需要服务器在开始发送消息体前发送 Content-Length 消息头字段（表示数据的长度），但是对于动态生成的内容来说，在内容创建完之前是不可知的。client端在跟server端长期进行交互时，并不是每次需要查询时都去调用server的接口，而是使用list + watch的方式来维护一个缓存将server端的数据缓存起来，当需要获取数据的时候直接从缓存中获取，一方面可以降低server端的压力，另一方面也可以减少自己获取数据的时间。当然，增删改还是需要调用server端的接口。

官网RKE容器奇谈：探秘 K3s 前世今生，轻舟启航的轻量级 KubernetesK3s vs K8s：轻量级和全功能的对决轻量级 Kubernetes 集群发行版 K3s 完全进阶指南。

limits的设置要能保证pod的正常启动，可以通过"kubectl top pods -n istio-demo"来观察确定pod正常启动所需的cpu资源。请注意，尽管有时候节点上的实际内存或 CPU 资源使用量非常低，但如果容量检查失败， 调度程序仍会拒绝在该节点上放置 Pod。可以选择扩容工作节点或清理正在运行的不必要的pod资源或调低pod的request设置的必要资源值。limits：pod在运行时难免会有波动，比如pod启动时、突发高并发访问时等等，limits则限制pod所能使用的最大资源。

根据报错提示，使用的容器运行时是：/var/run/dockershim.sock。然后，我目前k8s的版本是v1.25.0，容器运行时应该是/run/containerd/containerd.sock。

kubernetes高可用+harbor高可用

Dockerfile最佳实践

适用场景：在CICD流水线中，在推送到镜像仓库前，使用Trivy扫描本地容器镜像。Trivy是一种容器漏洞扫描程序，支持包括操作系统包和应用程序依赖的漏洞检测。

kubernetes&&基础学习7Helm及其它功能性组件HelmDashboardprometheusEFK日志Helm及其它功能性组件HelmDashboardprometheusEFK日志

kubernetes&&问题与解决k8s dns主机名无法正常解析 coredns服务一直处于 CrashLoopBackOff状态Error response from daemon: error while removing networkk8s dns主机名无法正常解析 coredns服务一直处于 CrashLoopBackOff状态参考地址：https://blog.youkuaiyun.com/evanxuhe/article/details/90210764Error respons

kubernetes&&基础学习pod是k8s的最小单位pod是一组容器的集合pod控制器监控一组容器的运行状态（动态移除、添加容器）service通过暴露（以ip加端口的方式），实现客户端对pod服务的访问。有状态服务系统运行过程中必须实时存在的服务，如DB，随意的移走会造成数据遗失。无状态服务系统运行过程中允许暂时更替的服务，如Apache，可随意更替功能配...

kubernetes&&简单模板Podinit Creadinesslivenessexechttpgettcpmain Cstart/stopPodinit C[root@k8s-master01 Pod]# cat init.yaml apiVersion: v1kind: Podmetadata: name: myapp-pod namespace: default labels: app: myappspec: conta

kubernetes&&集群示例1 系统初始化kubeadm部署安装系统初始化kubeadm部署安装

kubernetes&&NFS类型的PV创建安装NFS服务器所有节点服务器都安装nfs在节点服务器上检测能否正常使用NFS服务器部署PV创建服务并使用PVC安装NFS服务器yum -y install nfs-common nfs-utils rpcbindmkdir /nfsdatachmod 666 /nfsdatachown nfsnobody /nfsdatacat /etc/exports /nfsdata *(rw,no_root_squa

kubernetes&&私有镜像仓库部署固化IP地址关闭firewalld并禁止自启动，安装iptables并清空规则并保存并设置开机自启关闭SELINUX设置时区并重启与时间有关的服务安装docker软件安装docker-compose离线安装harbordocker服务上传镜像文件到私有镜像仓库固化IP地址[root@192 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33 TYPE=EthernetPROXY_METHOD=n

kubernetes&&简单命令使用运行一个pod删除一个pod改变pod副本数通过svc实现负载编辑svc通过nodeport实现外部访问运行一个pod# 指定目标镜像仓库[root@k8s-master01 flannel]# cat /etc/docker/daemon.json { "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-file", "log-opts": {

kubernetes&&基础学习2ServiceService的概念Service的类型VIP和Service代理代理模式的分类ClusterIP实现过程Headless ServiceNodePortLoadBalancerExternalName7层代理ServiceService的概念kubernetes Service定义了这样一种抽象：一个Pod的逻辑分组，一种可以...

kubernetes&&基础学习6安全机制说明认证（Authentication）鉴权AuthorizationRBAC授权模式准入控制安全机制说明kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介，也是外部控制的入口，所以kubernetes的安全机制基本就是围绕保护API Server 来设计的。kubernetes使用了认证、鉴权、准入控制三步来保证API Server的安全认证（Auth

kubernetes&&基础学习5调度器与调度算法调度说明调度亲和性节点亲和性Pod亲和性污点Taint 和 Toleration污点污点（Taint）的组成容忍（Tolerations）固定节点调度器与调度算法调度说明调度亲和性节点亲和性pod.spec.nodeAffinitypreferredDuringSchedulingIgnoredDuingExecution : 软策略requiredDuringSchedulingIgnoredDuringExecution

kubernetes&&简单安装部署资源分配固化主机名与ip对应关系安装依赖包关闭firewalld并禁止自启动，安装iptables并清空规则并保存并设置开机自启关闭SELINUX调整内核参数设置时区并重启与时间有关的服务设置rsyslogd和systemd journald升级系统内核为4.44kube-proxy开启ipvs的前置条件安装docker软件安装kubeadm主从配置导入基础镜像（可选）初始化主节点部署网络加入主节点及其他节点资源分配准备几个虚拟机或物理机并按实际需求划

kubernetes&&Helm的部署及简单使用安装分离镜像配置安装[root@k8s-master01 ~]# cd /usr/local/install-k8s/plugin/[root@k8s-master01 plugin]# mkdir Helm[root@k8s-master01 plugin]# pwd/usr/local/install-k8s/plugin[root@k8s-master01 plugin]# date2020年 06月 10日 星期三 09:

kubernetes&&基础学习2资源控制器什么是控制器控制器类型ReplicationController和ReplicaSetDeploymentDaemonSetJobCronJob（在特定的时间循环创建Job）StatefulSetHorizontal Pod AutoscalingReplicationController 和 ReplicaSetDeployment资...

kubernetes&&基础学习4存储存储类型分类configMapConfigMap的创建Pod中使用ConfigMapConfigMap的热更新SecretvolumePersistent Volume存储存储类型分类configMap主要应用在存储配置文件ConfigMap功能在Kubernetes1.2版本中引入，许多应用程序会从配置文件、命令行参数或环境变量中读...

kubernetes&&为单个用户绑定单个namespace[root@k8s-master01 ~]# cd /usr/local/install-k8s/templates/Safe/[root@k8s-master01 Safe]# useradd devuser [root@k8s-master01 Safe]# passwd devuser更改用户 devuser 的密码 。新的 密码：无效的密码： 密码少于 8 个字符重新输入新的 密码：passwd：所有的身份