lswzw的博客

2个不同的容器，启动后查询到的ip是同一个。2个容器可以直接访问对方的网络。

1、本地生成双向认证证书一、生成ca证书二、这里生成 crt 类型的证书（用户使用）三、生成p12证书文件（不使用密码直接回车）四、在k8s创建secret五、ingress配置扩展：生成私有证书（会提示安全警告）

测试node挂 机，发布需要等几分才会 在其它 的node机器 启动，这个明显不合理，对于大多数业务kube-controller-manager配置：/etc/systemd/system/kube-controller-manager.service--node-monitor-grace-period=10s \--node-monitor-period=3s \--node-startup-grace-period=20s \--pod-eviction-timeout=10s \

python项目 Dockerfile 基础镜像精简之路1、指定pip安装不缓存# 例如：pip3 install --no-cache-dir -r /tmp/requirements.txt -i https://mirrors.aliyun.com/pypi/simple/2、apt 安装时加 --no-install-recommends 不安装非必要依赖# 能直接用apt安装的依赖包直接用apt安装。apt没的包再用pip安装。apt 安装后删除apt缓存RUN apt-get

k8s 搭建 skywalking仅用于测试环境es没做持久化,正式环境最好还是把es数据做一下持久化。agent服务配置下载agent这里选择的是8.1.0版本须要对应https://mirrors.tuna.tsinghua.edu.cn/apache/skywalking/8.1.0/apache-skywalking-apm-8.1.0.tar.gz可以使用pvc方式或hostpath方式把agent目录挂载到容器内。服务配置启动项目jar前加上javaagent文件地址。- c

Kubernetes 使用Nginx-Ingress实现蓝绿发布/金丝雀发布/AB测试转载：https://juejin.cn/post/6844903927318577159背景介绍某些情况下，我们在使用Kubernetes作为业务应用的云平台，想要实现应用的蓝绿部署用来迭代应用版本，用lstio太重太复杂，而且它本身定位于流控和网格治理；Ingress-Nginx在0.21版本引入了Canary功能，可以为网关入口配置多个版本的应用程序，使用annotation来控制多个后端服..

kubernetes中多用户的实践有时候需要多个用户共用一个集群，这种情况需要为其分配一个新的用户；为了集群的安全性还需要限制新用户的权限范围；多个用户难免会有资源竞争的情况，这时还需要限制其资源使用。Kubernetes提供了一系列机制以满足多用户的使用，包括多用户，鉴权，命名空间，资源限制等等。接下来将创建一个名为staight的用户，其拥有practice命名空间下的管理员权限，该命名空间有着CPU，内存，Pod数量等限制。创建用户Kubernetes中的用户创建大体包括静态创建和动态创

ingress-nginx 实现内部局域网的url转发配置实现目的：在 192.168.4.4 物理服务器上部署 WEB服务器 端口80.外网IP80端口直接指向ingress-nginx。域名指向 ingress-nginx ip 可以访问到局域网内物理搭建的web服务器，而非容器。实例yaml：主要利用自定义Endpoints资源，指向局域网服务器。apiVersion: v1kind: Endpointsmetadata: name: proxy-ingresssubsets

k8s 拉取私有镜像 imagepullsecretsspec: imagePullSecrets: - name: aliyun-registry使用命令创建Secret 命令如下：kubectl create secret docker-registry aliyun-registry --docker-server=registry.cn-hangzhou.aliyuncs.com --docker-username=XXX --docker-password=XXX -n XXX

ISTIO bookinfo 实例 （固定版本、匹配重定向）最终效果：所有访问都会从productpage到eviews的v3版本再到ratigs。访问会一直是这个界面。kiali查看情况实现istio安装查看前面文章1、部署bookinfo实例。kubectl apply -f istio-1.6.14/samples/bookinfo/platform/kube/bookinfo.yaml# 验证[root@ops kube]# kubectl get pod,svc NAM

ETCD增加节点与删除节点（衔接上篇文章做了安装认证）查看现在状态查看文件[root@uat-master02 ssl]# pwd/data/etcd/ssl[root@uat-master02 ssl]# lsca-config.json ca-csr.json ca.pem client.json client.pem peer.csr peer.pem server-key.pemca.csr ca-key.pem clien

kubeadm安装高可用K8S-1.19集群<外部etcd方式>集群规划初始化工作(master01-master02-node01都须要操作)安装步骤一、安装keepalived创建VIP二、搭建高可用etcd集群三、安装 kubeadm, kubelet 和 kubectl四、初始化master五、将worker节点加入集群六、安装插件flannel、metrics-server七、测试集群外部二进制搭建etcd集群、系统出问题后还能通过外部etcd做恢复、操作上比直接把etcd放容器内好

自动清理harbor镜像仓库脚本请看说明再执行，出现删除过多概不负责。网上找的版本删除有点问题，做了一定的修改。我这里的镜像都是依照数字正常排序构建的。例如v:1.0.1v:1.0.2v:1.0.3v:1.0.4OLD_VERSION_NUM设置为3的话 会把v:1.0.1删除。只保留后3个。执行前须安装jqwget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repoyum install

K8S-Server实现简单灰度发布直接上yaml文件---apiVersion: extensions/v1beta1kind: Deploymentmetadata: name: nginx-group1 labels: app: nginxspec: template: metadata: labels: app: nginx spec: containers: - name: nginx

istio 允许服务间不安全连接集群中开启了自动注入istio， 但是通过 statefulset 创建的服务没办法注入。导致istio已经注入的服务访问有状态服务时出现不可信任连接。 导致服务无法访问。可以通过下面指定host允许不安全连接。apiVersion: networking.istio.io/v1alpha3kind: DestinationRulemetadata: name: consul namespace: testspec: host: test-cons

istio sidecar使用自定义镜像Istio 和 sidecar 配置保存在 istio 和 istio-sidecar-injector 这两个 ConfigMap 中，其中包含了 Go template，所谓自动 sidecar 注入就是将生成 Pod 配置从应用 YAML 文件期间转移到 mutable webhook 中。所以直接更改 istio-sidecar-injector configmap 就可以了。 具体修改内容如下：values: |- 下面"hub": "docke

二进制安装K8S - NODE 节点的安装安装系统Linux node02 3.10.0-1062.el7.x86_64 #1 SMP Wed Aug 7 18:08:02 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux配置系统关闭 防火墙systemctl stop firewalldsystemctl disable firewalld关闭 SeLinuxsetenforce 0sed -i "s/SELINUX=enforcing/SELINUX=

ingress host为错误域名或IP访问报404错误一般ingress。yaml写法如下：apiVersion: extensions/v1beta1kind: Ingressmetadata: name: nginx-test namespace: defaultspec: rules: - host: test.lswzw.cn #这里都是写固定的域名 h...

ingress TLS 访问创建create下载nginx证书。文件包含（tls.crt && tls.key）kubectl create secret tls nginx-tls --cert=pat/to/tls.crt --key=path/to/tls.keyingress 创建apiVersion: extensions/v1beta1kind: Ingr...

通过 istiogateway 暴露服务deploy.yamlapiVersion: extensions/v1beta1kind: Deploymentmetadata: name: nginxspec: replicas: 1 selector: matchLabels: k8s-app: nginx template: metadata:...

istio-虚拟服务（VirtualService）VirtualService 相当与ingress-nginx .记录好文章。https://www.kubernetes.org.cn/6278.html

Istio kiali 可视化官方文档：https://preliminary.istio.io/zh/docs/tasks/observability/kiali/安装方法1、初始化时选择的 -set profile=demo 默认会安装kiali.方法2、通过 istioctl 安装创建 Kiali secret 后，请参照 istioctl 安装说明 来安装 Kiali。 例如：...

Istio 安装官方中文文档：https://preliminary.istio.io/zh/docs/setup/getting-started下载 Istio下载 Istio，下载内容将包含：安装文件、示例和 istioctl 命令行工具。访问 Istio release 页面下载与您操作系统对应的安装文件。在 macOS 或 Linux 系统中，也可以通过以下命令下载最新版本的 I...

ingress rewrite 重定向直接看 ingress.yaml 注解1、运行2个nginx deploy kubectl apply -f nginx1.yaml -f nginx2.yaml进入nginx改 /usr/share/nginx/html/index.htmlkubectl exec -it nginx1-XXXX echo nginx1 > /usr/s...

联邦资源类型实例federateddeployment.yamlfederatednamespace.yamlfederatedservice.yamlfederatedingress.yamlfederatedconfigmap.yamlfederatedsecret.yamlfederatedendpoints.yaml (不是默认资源须添加)federatedjob.yaml参考： htt...

k8s config多集群管理 (contexts)

helm-v2.16.0 安装官方文档:下载文件https://github.com/helm/helm/releases/tag/v2.16.0安装tar zxvf helm-v2.16.0-linux-amd64.tar.gzcp ./linux-amd64/helm /usr/local/bin/helmchmod +x /usr/local/bin/helm初始化hel...

K8S 联邦集群搭建管理 V2创建集群安装Helm 2.x版本config多用户管理联邦下载安装部署helm 到主集群.查看状态添加集群到联邦创建联邦应用创建集群参考:https://blog.youkuaiyun.com/lswzw/article/details/103141782安装Helm 2.x版本参考:config多用户管理参考:联邦下载安装官方Git地址:https://git...

nginx-ingress 的灰度发布基于Request Header的流量切分nginx.ingress.kubernetes.io/canary-by-header：用于通知Ingress将请求路由到Canary Ingress中指定的服务的标头。当请求标头设置always为时，它将被路由到Canary。当标头设置never为时，它将永远不会被路由到Canary。对于任何其他值，将忽略标头...

k8s 大规模集群优化节点配额和内核参数调整对于公有云上的 Kubernetes 集群，规模大了之后很容器碰到配额问题，需要提前在云平台上增大配额。这些需要增大的配额包括虚拟机个数vCPU 个数内网 IP 地址个数公网 IP 地址个数安全组条数路由表条数持久化存储大小参考gce随着node节点的增加master节点的配置：1-5 nodes: n1-standard-16-...

kubernetes资源类别介绍类别名称pod状态介绍创建Pod经历阶段Pod生命周期的重要行为：pod重启策略pod控制器：Services：service类型（核心资源之一）特殊服务（无头服务）例子转自：https://www.cnblogs.com/zhangb8042/p/9572701.html类别名称资源对象配置对象存储对象策略对象PodNodeVol...

k8s StatefulSet 有状态应用编排官方文档：https://kubernetes.io/docs/concepts/workloads/controllers/statefulset/参考文档：http://docs.kubernetes.org.cn/732.htmlhttps://edu.aliyun.com/lesson_1651_13093?spm=5176.1073...

k8s删除node节点[root@master ~]# kubectl get nodesNAME STATUS ROLES AGE VERSIONmaster Ready master 56d v1.15.3node01 Ready <none> 56d v1.15.3node02 Ready <none> 56d v1.15.3[root@master ~...

kubeadm 证书只有1年的处理方法一、手动在1年内更新证书也可以把下面命令写一个定时任务。每1个月执行一次。# 使用二进制更新证书$ kubeadm alpha certs renew all# 每月的最后1天0 0 L * * * /usr/bin/kubeadm alpha certs renew all查看证书cd /etc/kubernetes/pkiopen...

kubeadm upgrade 升级==本文从1.15.4 升级到 1.15.5==官方文档更新k8s源查看全部可用kubeadm升级 kubeadm/kubelet/kubectl查看集群配置创建升级用的配置文件执行 kubeadm upgrade 命令升级 worker 节点检查升级结果本文从1.15.4 升级到 1.15.5官方文档https://kubernetes.io/docs/...

ingress-nginx 使用

k8s 安装 calico 网络calico.yaml官方文档直接在下载找最新版本 找到安装说明下载 calico.yamlhttps://docs.projectcalico.org/这里主要改calico.yaml里面CALICO_IPV4POOL_CIDR- name: CALICO_IPV4POOL_CIDR value: "10.44.0.0/16"这里的value...

GitLab CI/CD 书写规范参考：https://docs.gitlab.com/ee/ci/yaml/示例主作业名称imageservicesstagestypesbefore_scriptafter_scriptvariablescache配置参数script 由Runner执行的Shell脚本。image 使用docker映像。也可用：image:nam...

GitLab CI/CD 预定义变量编写测试用 .gitlab-ci.yml 文件‘ - export 在系统打印变量 ’执行后就可以在输出信息里面查看想要的信息。.gitlab-ci.ymlimage: docker:latestservices: - docker:dindbuild-master: stage: 查看预定义变量 script: - doc...

K8s 集群中运行 GitLab-Runner 来执行 GitLab-CI参考： https://blog.youkuaiyun.com/aixiaoyang168/article/details/81149264gitlab-runner-deployment.yaml运行完yaml文件后。 exec 到创建的pod里 执行 ： gitlab-runner register手动注册到服务。# k...