k8s之神秘链条追踪

原创 已于 2024-01-07 22:14:38 修改 · 1k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #docker #容器

于 2024-01-07 20:35:09 首次发布

一、证人口供

        接到报警,某公司突然多出3个nginx服务器,尝试删除其中任意一个,都会自动生成一个新的,而且数量总是保持在3个,都快过年了,影响特别恶劣,着实另人苦脑 。证人说在公司其中一台节点服务器上发现了一个名叫deployment.yaml的可疑文件,内容如下:

二、事件分析

       经过多年的从业经验判断,该公司应该存在一个k8s集群,有人利用kubectl这个CLI工具,apply了一个deployment.yaml,通过HTTP POST请求发送到了k8s的api-server.启动了3个pod,每个pod里存在1个nginx容器。因为k8s的自我修复特性,直接用delete删除某个pod是徒劳的,k8s总是可以让pod副本数量达到渴望的3个。

三、明查暗访

        Kubernetes可以部署在云端、虚拟机、祼金属组成集群或联邦,每个集群由若干个master节点和若干个worker节点组成,请注意我使用若干个,用以说明k8s集群的高可用性。先说master节点有一个控制平面,它有api-server,controler-manager控制器管理器,scheduler调度器,etcd组成,其中api-server是这个控制平台的大脑,用来接收客户端的请求,并监控控制器管理器的状态,同时会把状态存储在etcd这个分存式键值数据库。控制器管理器是一个合集,由replicaset contr

最低0.47元/天 解锁文章
wangning100
关注
微服务详解(docker jenkins k8s 链路跟踪)
CatCherry的博客
01-06 1720
一、什么是微服务 https://blog.youkuaiyun.com/kaikai0803/article/details/100935606微服务(概念篇):什么是微服务?一篇文章让你彻底搞明白 微服务开发框架 目前微服务的开发框架,最常用的有以下四个: Spring Cloud:http://projects.spring.io/spring-cloud(现在非常流行的微服务架构) D...
RAG黑盒不再神秘:Langfuse全链路观测手册,揭秘破局之道!
2401_84495872的博客
07-02 863
摘要:本文探讨了RAG应用开发中因框架抽象层导致的监控痛点,介绍了开源LLM工程平台Langfuse的全链路监控方案。Langfuse提供四大核心能力:全链路可观测性、提示工程管理、评估体系和性能监控,支持多种集成方式。文章详细解析了其核心特性,包括动态追踪、会话调试和量化评估,并给出LlamaIndex集成实践示例。该方案有效解决了RAG开发中的黑盒问题,实现了检索-生成全链路透明化监控,为LLM应用的工程化落地提供了生产级工具链。(150字)
计算机云计算常用英语(持续更新)
qq_53738093的博客
06-10 4700
小伙伴们,以下给大家带来的是,我学习过程中需要了解的英语单词基本含义,有助于学习过程中。
小心!你家的 IoT 设备可能已成为僵尸网络“肉鸡”
优快云云计算
05-14 1370
图源 |视觉中国受访者 | 吴铁军记者 | 夕颜出品 | AI科技大本营(ID:rgznai100)2020年,全球遭受了新冠疫情的袭击,人们的生产生活受到了极大的影响。在网络世界中,...
Java开发:从入门到精通
weixin_45747731的博客
07-17 1210
亲爱的读者朋友们,欢迎开启这段Java的修行之旅。代码,是思想的显化,是逻辑的禅定。本书将带您从“万物皆对象”的初心出发,掌握Java核心,驰骋于Spring的广阔天地,构建微服务的坛城,乃至驾驭AI的智慧之光。莫将此书仅作技术图谱,它更是一张心法地图。愿您于此,不仅习得一身精湛“术”法,更能悟得软件工程背后严谨、创造、演进不息的“道”。愿智慧之光,常伴您行。
51c大模型~合集133
whaosoft~aiotの开发板商城
05-31 1803
来自上海人工智能实验室团队的最新成果 Linear-MoE,首次系统性地实现了线性序列建模与 MoE 的高效结合,并开源了完整的技术框架,包括 Modeling 和 Training 两大部分,并支持层间混合架构。Linear-MoE 的核心贡献在于构建了一个从 Modeling 到 Training 的完整系统,支持线性序列建模层与 MoE 层的灵活组合,同时兼容传统的 Softmax Attention Transformer 层,支持形成混合架构。唯一的瑕疵就是那莫名飞起的镲,说实话有点出戏。
51c大模型~合集157
whaosoft~aiotの开发板商城
07-21 1856
首先,研究者从模型拒绝回答不安全输入的响应中,统计出一组高频出现的、具有明确拒绝语义的 token(如 “sorry”, “unable”, “unfortunately” 等),并利用 one-hot 编码的方式,在词汇空间中构造出一个 “拒绝语义向量” (RV),作为模型拒绝行为的表示。有趣的是,研究者发现,仅仅为一条文本攻击提示加上一张图片,就可能让模型的拒绝反应变得延迟,原本中层就能激活的拒绝信号被 “推迟” 到了后层,整体响应强度也降低,从而削弱了模型的安全防护能力。
大学英语四级单词
热门推荐
youngerhao的专栏
11-16 19万+
a [Ai, 4, 1n, 4n] art.一(个);任何一(个);每一(个) abandon [4'b1nd4n] vt.离弃,丢弃;遗弃,抛弃;放弃 ability [4'biliti] n.能力,本领;才能,才智 able ['Aib4l] a.能够…的,得以…的;有才干的 aboard [4'b3:d] prep. adv.在(船、飞机、车)上,上船等 about [4'b2ut
记录线上k8s拉取不了阿里云镜像的一次临时处理
一寸一寸光阴
12-17 817
另:在把阿里云镜像文件放到linux服务器本地时,开始直接重新在k8s管理平台部署容器镜像发现还是找不到本地镜像,后来才知道k8s运行的是自己镜像空间内的镜像,如果k8s自己镜像空间内的镜像没有运行的镜像话也是没有用的,所以如果k8s部署找不到本地镜像先执行nerdctl -n k8s.io images ls命令去查看k8s镜像空间内有没有自己所需要的镜像,如果没有去解压tar包的镜像文件到k8s镜像空间内。如上命令所示,实际在执行了前7个步骤之后,k8s中的宕机的前端服务已经正常运行了。
k8s】集群安全机制(二):鉴权
D2005_10_25的博客
12-21 456
本文主要介绍 kubernetes 安全机制的第二部分:鉴权。
k8s使用kubectl报错
weixin_39698240的博客
12-17 300
发现是“misconfiguration: kubelet cgroup driver: "systemd" is different from docker cgroup driver: "cgroupfs"错误造成的。修改 kubelet 使用 cgroupfs cgroup 驱动(略过)修改 Docker 使用 systemd cgroup 驱动(推荐)1、修改docker.json为systemd cgroup驱动。cgroup 驱动,而 Docker 使用。kubelet 使用。
K8S之rke2证书过期,如何处理以及遇到的问题
kingwz2012的专栏
12-17 209
如果使用的是高可用集群,比如3台节点都是master的方式,需要每台节点执行一次sudo systemctl restart rke2-server,保险起见再将新生成的/etc/rancher/rke2/rke2.yaml文件,copy到当前用户目录(~/.kube/config)和根目录/root/.kube/config,需要使用到sudo权限。近期在登录测试环境时,发现无法使用k8s指令来查看pod、node等信息,后来发现是rke2证书过期。如果证书过期时间大于90天,如何强制重新生成证书呢?
K8s-1.29.2二进制安装-第三章(Node组件 及其他插件安装)
会飞的小蛮猪博客
12-20 179
K8s二进制安装:本章主要是安装K8sNode端组件,安装网络插件,CoreDns 等(所有文章结束后会把使用到的容器镜像及工具一并共享)
K8S-RBAC
weixin_46683975的博客
12-18 675
Kubernetes安全管理体系摘要 Kubernetes通过认证、授权和准入控制三大机制构建完整的安全防护体系。认证环节支持多种验证方式(X509证书、ServiceAccount等)确保身份合法性;授权模块采用RBAC等模式实现细粒度权限控制;准入控制器则在对象持久化前进行最终安全检查。核心实践包括: 实施最小权限原则,通过Role/ClusterRole精确控制访问权限 严格管理ServiceAccount,自动挂载令牌到Pod 启用关键准入控制器(ResourceQuota等) 定期轮换凭证并更新安
QEMU、KVM、DockerK8sKubernetes
2401_87259519的博客
12-19 525
本文解析了QEMU、KVM、DockerKubernetesK8s)的技术关系与定位。QEMU是硬件模拟器,KVM提供硬件辅助虚拟化,二者常结合使用;Docker实现轻量级容器化;K8s则负责容器编排管理。它们分属不同层级:QEMU/KVM在硬件虚拟化层,Docker容器层,K8s在编排层。QEMU-KVM适合强隔离场景,Docker适合轻量部署K8s则用于大规模容器集群管理。这些技术可单独或组合使用,形成完整的虚拟化/容器技术栈。
排查k8s连接mysql的pod
Z_linht的博客
12-16 249
在Host列找到具体的连接IP,例如找到IP是:192.168.110.27。找到pod的IP是10.233.81.245.50950。
【云计算】【Kubernetes】 ⑥ K8S Pod优雅下线全解析:从preStop到Eureka下线实战
xiezhiyi007的专栏
12-17 1133
本文聚焦Kubernetes中Pod优雅下线的核心机制,通过preStop生命周期钩子解析服务治理的关键逻辑。以Eureka注册中心下线场景为例,结合Pod终止流程、Readiness Probe等核心概念,揭示K8S如何通过“温柔终止”避免服务中断。文章对比了K8S原生服务发现与传统注册中心(如Eureka)的差异,提出云原生架构下的演进方向。通过实战案例和源码片段,解析“硬下线”与“优雅下线”的本质区别,并提供从Eureka迁移至K8S原生服务发现的实践建议,是K8S服务治理领域的实用指南。
叩丁狼k8s - 组件篇
最新发布
qq_43350524的博客
12-21 309
叩丁狼K8s-组件篇
K8s1.28.15网络插件Calico全解析
2502_92917225的博客
12-16 948
BGP 原生模式是 Calico 的默认模式之一(部分部署方式下需手动配置)。该模式下,Calico 会在每个 K8s 节点上部署 calico-node 组件,该组件会作为 BGP 发言人(Speaker),将本节点上 Pod 的 CIDR 网段路由信息通过 BGP 协议同步到集群内的其他节点,以及集群外部的 BGP 路由器(若需跨集群通信)。Pod 间跨节点通信时,数据包无需经过隧道封装,直接通过节点间的路由表转发,实现原生的三层网络互联。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值