flynetcn的专栏

如何打通 K8s 虚拟网络（flannel vxlan 网络）和 K8s 2层网络（macvlan网络）

很多⼈开始尝试将容器⽹络和公司所有物理机的⽹络打通，也就是形成⼀个平⾏⽹络体系。这个 体系，去除了封包和解包操作，也不再使⽤ kube-proxy 组件⽣成iptables规则。⽹络的性能⾮常⾼。

A Kata Container utilizes a Virtual Machine (VM) to enhance security and isolation of container workloads. As a result, the system has a number of differences and limitations when compared with the default Docker* runtime, runc.

容器化带来了敏捷、效率、资源利用率的提升、环境的一致性等等优点的同时，也使得整体的系统复杂度提升一个等级，特别是网络问题，容器化使得整个数据发送路径变长，排查难度增大。

macvlan 允许你在主机的一个网络接口上配置多个虚拟的网络接口，这些网络 interface 有自己独立的 mac 地址，也可以配置上 ip 地址进行通信。

ipvlan 和 macvlan 类似，都是从一个主机接口虚拟出多个虚拟网络接口。一个重要的区别就是所有的虚拟接口都有相同的 mac 地址，而拥有不同的 ip 地址。

在 Linux 中实践 VXLAN 网络

本文详细探讨了容器运行时理论，包括Docker、containerd、CRI-O和KataContainers等容器运行时的比较，以及Kubernetes(K8S)在实现多租户时遇到的问题，尤其是与runC共享内核的挑战。还介绍了KataContainers作为解决方案，通过虚拟机隔离提供安全的多租户环境。

KVM和Docker都为CPU和内存性能带来了微不足道的开销(除非在极端情况下)。对于I/O密集型工作负载，应该谨慎使用这两种形式的虚拟化。

portsServicePort arraypatch strategy: mergepatch merge key: port

static 策略针对具有整数型 CPU requests 的 Guaranteed Pod， 它允许该类 Pod 中的容器访问节点上的独占 CPU 资源。这种独占性是使用 cpuset cgroup 控制器来实现的。

PouchContainer 是阿里巴巴集团开源的高效、轻量级企业级富容器引擎技术，拥有隔离性强、可移植性高、资源占用少等特性。可以帮助企业快速实现存量业务容器化，同时提高超大规模下数据中心的物理资源利用率。已助力阿里巴巴集团实现在线业务 100% 容器化，双 11 容器规模达到百万级。

Kubernetes命令备忘录

minikube: Container image "xxxx:v1" is not present with pull policy of Never

docker build网络问题

无根容器是一个新的容器概念，它不需要root权限即可制定。

随着 Podman 的出现，无根容器（rootless containers）成为现实。

gitlab runner的设置

minikube安装过程中遇到的问题

golang静态编译

K8s 的核心价值是其通用、跨厂商和平台、可灵活扩展的声明式 API 框架， 而不是容器（虽然容器是它成功的基础）；然后手动创建一个 API extension（CRD）， 通过测试和类比来对这一论述有一个更直观的理解。...

给大家分享一个事情。背景是这样的，我们要测试某个第三方 SDK 运行性能，这是个 CPU 密集型的服务。我想评估一下它运行一遍到底有多吃 CPU，以便评估上线后我们需要部署多少台服务器。我们是在一台 16 物理核的机器上测试的，我们的想法是把它启动起来，然后执行一遍。用耗时乘以 16 核那就是总的 CPU 耗时开销。不过不巧的是我们发现这个货在并发上做的并不是特别好，运行的前半段里只能打满一个核，而后半段可以把整台机器上所有 16 核都打满。这样就没法准确估算它的 CPU 消耗了。最先我想到的方案是

在Kubernetes中要保证容器之间网络互通，网络至关重要。而Kubernetes本身并没有自己实现容器网络，而是通过插件化的方式自由接入进来。在容器网络接入进来需要满足如下基本原则： Pod无论运行在任何节点都可以互相直接通信，而不需要借助NAT地址转换实现。 Node与Pod可以互相通信，在不限制的前提下，Pod可以访问任意网络。 Pod拥有独立的网络栈，Pod看到自己的地址和外部看见的地址应该是一样的，并且同个Pod内所有的容器共享同个网络栈。 容器网络...

| 导语我们日常工作中都会遇到内核网络相关问题，包括网络不通、丢包、重传、性能问题等等，排查和解决非常困难，而容器更加重了这种复杂度，涉及2、3层转发，iptable，ipvs，namespace等，即使是网络专家，面对如此复杂的环境也非常的头大的。我们基于eBPF开发了skbtracer工具，不用修改内核代码，不用编写内核模块而能够使Linux主机网络变成一个彻底的白盒，能够看到一个数据包从产生发出去的全部过程，包括不限于数据流、namespace、路由信息跟踪，丢包原因，netfilter处...

一、什么是cgroupCgroup是linux内核用来控制系统资源的机制，它将操作系统中的所有进程以组为单位划分，给这一组进程定义对某一类资源特定的访问权限。Cgroup用子系统（subsystem）来描述所能控制的系统资源，子系统具有多种类型，每个类型的子系统都代表一种系统资源，比如freezer、CPU、memory、IO等。以freezer子系统为例，这个子系统可以对一组线程批量冻结，使用下面命令将打开freezer子系统：mount cgroup none /dev/freezer fr

最近，各大互联网巨头在技术战略层面，都把云原生列为了主要发展方向。以阿里巴巴为例，他们技术老大说，云原生是云计算释放红利的最短路径，是企业数字化的最短路径。现在云原生工程师、Kubernetes 工程师工资都特别高，并且都是急聘。为啥呢？因为现在的人才少，看到趋势的人才少，这个赛道还没有十分拥挤，机会也在日益增多。云原生工程师要学哪些东西呢？大的点就是 Go 语言 + Kubernetes，而其中，Kubernetes、Docker、DevOps 又是重中之中，我知道的很多人，因为会使用 K

CVE-2021-22555：一个影响2006年（Linux kernel v2.6.19-rc1 发布）至今（Linux kernel v5.12-rc8）的所有Linux内核版本的漏洞，可导致本地提权与容器逃逸；该漏洞是个内核级漏洞，跟Linux的发行版本没有关系，也就是说只要Linux 内核版本在v2.6.19-rc1 ～v5.12-rc8 之间的内核，都存在被黑客利用该漏洞攻击的可能。该漏洞是由Andy Nguyen (theflow@)发现，于2021年07月16日发布。换句话说，该漏洞已

网易传媒经过了一年多的探索及建设，已经将所有核心业务部署在容器环境内了。本文将以笔者在网易传媒整个容器的规划、设计、实施为内容，分享传媒在整个容器建设过程中的经验和教训，希望能给正在容器建设道路上前行的朋友们提供一些指导和帮助，避免走一些弯路。1 什么是云原生前两章为云原生的介绍和传媒的基础架构介绍，如果读者对这两块内容不感兴趣，可以直接跳到第三章云原生的产生云原生英文为Cloud Native，这个概念是Pivotal公司在2013年的时候首次提出，2015年，Pivotal公司的