m0_37642477的博客

cilium安装下封闭NodePort映射端口

【代码】kubernetes之Ingress介绍。

禁止所有IP访问k8s的10250端口允许192.14.10.0/24网段访问10250端口查看INPUT策略删除INPUT策略。

istio无法安装排查

kubernetes之sealos搭建高可用集群如图所示，kuernetes组件组件主要可分为APISERVICE、replication CrontrollerManger、Scheduler、ETCD、Kubelet、Kube_proxy等。部署高可用，实际就是这些组件的高可用。由于ETCD使用raft算法，所以当部署多个master节点时，会自动组成高可用；CrontrollerManger与Scheduler在设计时也自动组成了高可用。所以搭建kubernetes的高可用就是搭建apiserv

资源限制基于pod默认情况下，Pod 运行没有 CPU 和内存的限额。 这意味着系统中的任何 Pod 将能够像执行该 Pod 所在的节点一样，消耗足够多的 CPU 和内存 。一般会针对某些应用的 pod 资源进行资源限制，这个资源限制是通过resources 的 requests 和 limits 来实现spec: containers: - image: mynginx:v1 imagePullPolicy: Always name: auth ports:

证书更新kubernetes的证书存放在/etc/kubernetes/pki目录下,使用kubeadm alpha certs check-expiration，可查看证书有效时间可以看出apiserver等证书有效期为一年，ca等证书有效期是10年.备份/usr/bin/kubeadm以及/etc/kubernetes/pki$ mv /usr/bin/kubeadm /usr/bin/kubeadmold$ cp -R /etc/kubernetes/pki /etc/kubernete

kubernetes集群内部DNS解析原理当kubernetes初始化完成后，在kube-system名称空间下会出现kube-dns的service服务与core-dnsd的pod$ kubectl get svc -n kube-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEkube-dns ClusterIP 241.254.0.10 &lt

kubernetes常见问题1、service代理到某个节点上无法访问$ kubectl get pod -o wideNAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATESmyapp-deploy-6d4bc5cc76-7n5tn 1/1 Running 0 20h 2

机制说明Kubernetes 作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介，也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证（Authentication）、鉴权（Authorization）、准入控制（AdmissionControl）三步来保证API Server的安全。认证(Authentication)HTTP Token

subPath定义：为了支持单一个pod多次使用同一个volume而设计，subpath翻译过来是子路径的意思，如果是数据卷挂载在容器，指的是存储卷目录的子路径，如果是配置项configMap/Secret，则指的是挂载在容器的子路径使用场景同一个pod中多容器挂载同一个卷时提供隔离或者一个容器有多个路径需要挂载，不指定subPath默认存储在存储卷的根目录将configMap和secret作为文件挂载到容器中而不覆盖挂载目录下的文件数据卷挂载：一个pod中多容器nfs-pod.yaml

集群调度键值运算关系In：label 的值在某个列表中NotIn：label 的值不在某个列表中Gt：label 的值大于某个值Lt：label 的值小于某个值Exists：某个 label 存在DoesNotExist：某个 label 不存在Pod与Node之间的亲和性pod.spec.nodeAffinitypreferredDuringSchedulingIgnoredDuringExecution：软策略requiredDuringSchedulingIgnoredDu

ConfigMap创建的三种方式1、使用目录创建[root@master config]# ls /opt/k8s/configgame.properties ui.properties[root@master config]# cat game.properties enemies=alienslives=3[root@master config]# cat ui.properties color.good=purplecolor.bad=yellow[root@master co

ConfigMap创建的三种方式1、使用目录创建[root@master config]# ls /opt/k8s/configgame.properties ui.properties[root@master config]# cat game.properties enemies=alienslives=3[root@master config]# cat ui.properties color.good=purplecolor.bad=yellow[root@master co

Helm介绍Helm 本质就是让 K8s 的应用管理（Deployment,Service 等 ) 可配置，能动态生成。通过动态生成 K8s 资源清单文件（deployment.yaml，service.yaml）。然后调用 Kubectl 自动执行 K8s 资源部署。Helm 是官方提供的类似于 YUM 的包管理器，是部署环境的流程封装。Helm 有两个重要的概念：chart和release。chart 是创建一个应用的信息集合，包括各种 Kubernetes 对象的配置模板、参数定义、依赖关系、

ServicePod IP仅仅是集群内可见的虚拟IP，外部无法访问。Pod IP会随着Pod的销毁而消失，当ReplicaSet对Pod进行动态伸缩时，Pod IP可能随时随地都会变化，这样对于我们访问这个服务带来了难度。因此，Kubernetes中的Service对象就是解决以上问题的实现服务发现核心关键。Service的类型在Serivce定义时，我们需要指定spec.type字段，这个字段拥有四个选项：● ClusterIP:默认值。给这个Service分配一个Cluster IP，它是K

pod介绍1、pod是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元2、只要运行pod就会产生名称为pause的容器3、在同一个pod中多个容器共享pause的协议栈（即同一个pod中的其中一个容器访问另一个容器时，可以通过pause的网络回环访问localhots:端口），所以在同一个Pod中不能存在端口冲突。4、pod与pod之间访问，当在同一台机器时，使用Docker0网桥直接转发请求。5、pod控制器：Deployment、ReplicaSet Deploym

集群资源分类1：名称空间级别:在一个名称空间下的资源，其他名称空间看不到 pod、deployment、service、configmap...2、集群级别：一旦被定义，集群空间内都可以被调用.Namespace、Node、ClusterRole、ClusterRoleBinding3、元数据型HPA、Podtemplate、limitRangeYAML文件中必须存在的属性YAML文件中主要存在属性#可以通过kubectl explain命令查看相对应的字段[root@mast

Kubernetes集群安装ip版本172.30.101.14（master）CentOS Linux release 8.2.2004 (Core)172.30.101.15（node）CentOS Linux release 8.2.2004 (Core)设置主机名并配置hosts配置文件[root@localhost ~]# hostnamectl set-hostname master[root@localhost ~]# hostnamectl set-h

Kubernetes介绍master组件APISERVICE:所有服务访问统一入口CrontrollerManger:维持副本期望数目Scheduler:负责介绍任务，选择合适的节点进行分配任务ETCD:键值对数据库，存储k8s集群所有重要信息(持久化)Kubelet:直接和容器交互实现生命周期管理Kube_proxy:负责写入规则值IPTABLES，实现服务映射访问Pod1、pod是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元2、在同一个pod中多个容器会