wangqiaowq的博客

现代应用程序通常被设计成微服务的分布式集合，每个服务执行一些离散的业务功能。服务网格是专门的基础设施层，包含了组成这类体系结构的微服务网络。服务网格不仅描述了这个网络，而且还描述了分布式应用程序组件之间的交互。所有在服务之间传递的数据都由服务网格控制和路由。随着分布式服务的部署——比如基于 Kubernetes 的系统——规模和复杂性的增长，它可能会变得更加难以理解和管理。需求可以包括发现、负载平衡、故障恢复、度量和监视。

Istio = 微服务框架 + 服务治理。Istio的关键功能:HTTP/1.1，HTTP/2，gRPC和TCP流量的自动区域感知负载平衡和故障切换。通过丰富的路由规则，容错和故障注入，对流行为的细粒度控制。支持访问控制，速率限制和配额的可插拔策略层和配置API。集群内所有流量的自动量度，日志和跟踪，包括集群入口和出口。安全的服务到服务身份验证，在集群中的服务之间具有强大的身份标识。

1、当前kubernetes集群已部署nfs服务。2、添加jenkins的pvc。2、部署 jenkins。创建jenkins目录。

服务网格（Service Mesh）是一种架构模式，它专门处理服务间通信。服务网格使得服务之间的交互更加智能和可控，同时将这些复杂的交互逻辑从业务逻辑中解耦出来。在服务网格中，服务之间的通信通过一组基础设施代理（通常是轻量级网络代理）来管理，这些代理通常被称为“边车”（sidecar）。

当您将 Istio 用于生产环境部署时，需要确定一系列的问题。网格将被限制在单个集群中还是分布在多个集群中？是将所有服务都放置在单个完全连接的网络中，还是需要网关来跨多个网络连接服务？是否存在单个控制平面（可能在集群之间共享）， 或者是否部署了多个控制平面以确保高可用（HA）？如果要部署多个集群（更具体地说是在隔离的网络中）， 是否要将它们连接到单个多集群服务网格中， 还是将它们联合到一个多网格 部署中？所有这些问题，都代表了 Istio 部署的独立配置维度。

docker run -itd --name=be --env FE_SERVERS="fe1:${当前机器的内网IP}:9010" --env BE_ADDR="${当前机器的内网IP}:9050" -p 8040:8040 -v /data/be/storage:/opt/apache-doris/be/storage -v /data/be/log:/opt/apache-doris/be/log --net=host apache/doris:2.0.0_alpha-be-x86_64。

EDS（Endpoint Discovery Service）是 Envoy 代理和服务网格（如 Istio）中用于动态发现和更新服务端点信息的关键组件。通过 EDS，Envoy 可以实时地获取服务端点的变化，并动态调整其负载均衡策略，确保流量被均匀地分发到健康的服务实例。

cgroup v2 是 LinuxcgroupAPI 的下一个版本。cgroup v2 提供了一个具有增强资源管理能力的统一控制系统。

systemctl reload docker 或者发送信号 kill -SIGHUP $(pidof dockerd)之前每次重启docker都需要 重启docker的进程。5、docker ps 查看。

在 Istio 服务网格中，Gateway和是两个关键的配置对象，它们分别用于定义入站流量的接入点和路由规则。下面详细介绍这两个配置对象的功能及其相互关系。

TLS（传输层安全，Transport Layer Security）是用于在网络上提供通信安全的一种加密协议。它是SSL（安全套接层，Secure Sockets Layer）的继任者，旨在确保两个应用程序之间数据传输的隐私性、完整性和可靠性。TLS广泛应用于Web浏览器和服务器之间的HTTPS连接，但也可以用于其他类型的客户端-服务器通信。### TLS 的主要功能1. **加密**：TLS 使用对称加密和非对称加密相结合的方法来保护数据。在会话开始时，客户端和服务器通过非对称加密交换密钥，之后

1、重装命令。

TLS（Transport Layer Security）是一种加密协议，用于在互联网通信中保护数据的安全性。TLS 是 SSL（Secure Sockets Layer）的继任者，广泛应用于各种网络协议中，尤其是 HTTPS（HTTP over TLS）。

假如一个 Pod 同时属于多个 Kubernetes Service，那么它不能在不同 Service 的端口号上使用不同的协议（比如 HTTP 和 TCP）。部署的 Pod 部署配置中增加这些标签，可以给 Istio 收集的指标和遥测信息中增加上下文信息。在部署启用 Istio 的应用程序时，需要特别注意 Istio Sidecar 模型造成的影响。要列出服务账户的权限，请在下面的命令中用你的值替换。标签：这个标签用于在特定方式部署的应用中表示版本。标签并且该标签的值应该有一定意义。

Etcd 是一个分布式的键值存储系统，因其一致性、可靠性和安全性而被广泛应用于分布式系统中。Etcd 在 Kubernetes 中发挥着核心作用，用于存储集群的状态信息。通过 Etcd，可以实现配置共享、服务发现、分布式锁等多种功能。

在本章中，我们将会学习到如何部署一套微服务、如何使用 Istio 暴露服务到集群外，并且如何使用可观测性组件监测流量和系统指标。本章教程示例使用的是 Istio 官方的一套微服务，这套微服务是一个在线书店，打开页面之后会看到一个分类、书的信息以及书的评论，页面的内容由不同的子服务提供。书店微服务分为四个单独的微服务，在上图中已经使用红色方框画出来了。detailsreviewsratingsProductpage 服务对外提供 Web 访问页面，。

xDS协议是一组API规范，用于在Envoy代理和配置服务器之间传输配置信息。它的主要目的是实现服务网格中的动态配置更新，而无需重新启动服务。xDS协议支持多种类型的配置，每种类型都有一个特定的DS（Discovery Service）协议。xDS协议是Envoy及其生态系统中的一种重要配置传递协议，用于实现服务网格中的动态配置更新。通过xDS协议，Envoy代理可以动态地获取和更新配置信息，而无需重新启动服务。这种机制极大地提高了服务网格的灵活性和可管理性。

参考。

客户端引用的协议版本是TLS12,但是服务端协议版本是10.简单说就是数据库版本太低,需要降低客户端版本才能适配。打开 java.security 文件之后，修改。

通过配置 Egress Gateway，可以更好地控制网格内部服务与外部服务之间的通信。这不仅提高了安全性，还增强了网络的可观察性和管理能力。对于那些需要与外部服务交互的服务网格来说，Egress Gateway 是一个不可或缺的组件。

Service：用于定义逻辑服务的抽象，提供稳定不变的网络标识符。Endpoints：用于存储Service后端 Pod 的实际 IP 地址和端口。通过Service和Endpoints的配合使用，可以实现服务发现、负载均衡和健康检查等功能，确保集群内部的服务通信的高效和稳定性。

CNI（Container Network Interface）机制是一种标准化的容器网络接口，旨在为容器提供一致的网络插件模型。通过 CNI 插件，可以实现容器之间的网络连接，并支持多种网络实现和技术。在 Kubernetes 中，CNI 插件用于实现 Pod 之间的网络连接，通过配置 CNI 插件，可以轻松实现复杂的网络功能。

​​​​​​​SpringBoot项目使用自签证书利用浏览器进行HTTPS接口的安全访问_springboot浏览器访问输入网站-优快云博客

和其他的接口不一样 需要 CompletionsResponse.data 封装下 ，不然前端页面需要兼容非json的格式。3、WenxinEventSourceListener 事件监听器。2、配置apikey和secretkey。4、返回的json格式。

110M参数通用模型ERNIE 3.0 Base280M参数重量级通用模型ERNIE 3.0 XBase74M轻量级通用模型ERNIE 3.0 Medium文档链接： https://github.com/PaddlePaddle/ERNIEERNIE模型汇总ERNIE模型汇总。

1、decimal 字段异常。

2、即使dockerfile中有CMD指令，我们仍然可以在docker run命令中带上容器启动时执行的命令，这会覆盖dockerfile中的CMD指令指定的命令。上面命令，因为/bin/ps覆盖了CMD指令，启动容器时会打印容器内的当前进程，但容器会立即停止，因为/bin/bash被覆盖了，无法打开交互式shell界面。docker run ubuntu /bin/ps //表示容器启动后立即运行 /bin/ps命令，显示容器的当前进程。上面命令是创建并启动容器，打开一个交互式shell。

Docker 容器设置为自动重启，分为两种情况：新建容器时设置，和对已经存在的容器设置。

ps：看到有的博主使用单节点k8s，不想看NOT READY状态，把 /var/lib/kubelet/kubeadm-flags.env 或 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 下的 --network-plugin=cni 给去掉了。我发现 /opt/cni/bin 目录下缺少很多可执行文件，处理方式是重新安装kubernetes-cni。仅就今天遇到的情况给出解决方法，基于v1.21.1版本，已安装weave，发现仍有以上错误。

当你遇到“Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?”这样的错误信息时，这意味着你的系统上的 Docker 守护进程没有运行，或者是你的用户没有权限访问 Docker 守护进程。

每当Docker客户端接收到一个层的数据，它就会显示 "Pulling fs layer" 的信息，这里的 "fs" 是 "filesystem" 的缩写，指的是文件系统层。因此，"Pulling fs layer" 指的是Docker正在下载镜像的一个特定层，也就是正在获取构成该镜像的部分文件系统数据。一旦所有必要的层都被下载完成，Docker就会组装这些层来形成完整的镜像，然后你就可以使用这个镜像来运行容器了。如果之前已经拉取过某些层，那么这些层就不会再次被下载，这可以显著减少拉取新镜像的时间。

将 `` 替换为容器的旧名称或 ID，`` 替换为您想要为容器设置的新名称。请确保替换命令中的 `` 和 `` 为实际值，并确保新名称不与现有容器名称冲突。这将把名为 "my_container" 的容器更名为 "new_container"。找到您想要更改名称的容器的 CONTAINER ID 或 NAMES。

当使用 Istio 构建服务网格时，Pilot 在其中起到了核心作用，它确保了服务间的高效通信以及策略的统一执行。通过这种方式，Istio 能够简化服务间的交互，同时提供丰富的网络控制功能，如安全、可观测性和流量管理等。Istio Pilot 是 Istio 服务网格中的一个关键组件，它主要负责管理和配置服务之间的通信。Istio 是一个连接、保护、控制和观测服务的平台，它为微服务架构提供了强大的支持，而不需要对服务本身做任何改变。