- 博客(98)
- 收藏
- 关注
RSS订阅
原创 Kubernetes安全机制
文章目录一、kubernetes的安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
2020-05-30 21:49:14
1684
1
原创 Kubernetes之配置管理
前言:在k8s中,使用一个容器镜像来启动一个container,其实有很多需要配套的问题待解决:不能把一些可变的配置写到镜像里,当这个配置需要变化的时候,可能需要我们重新编译一次镜像一些敏感信息的存储和使用,比如token容器要访问自身群集,比如访问 kube-apiserver,那么本身就有一个身份认证的问题容器在节点上运行之后,它的资源需求对于容器的安全管控,毕竟容器在节点上,它们是共享内核的容器启动之前的一个前置条件检验。比如在容器启动之前需要确认DNS服务以及确认网络是否连通那么这
2020-05-30 19:02:20
984
原创 Kubernetes核心之——控制器
前言:控制器:又称之为工作负载,分别包含以下类型控制器1:Deployment2:StatefulSet3:DaemonSet4:Job5:CronJob文章目录一、Pod与控制器之间的关系二、无状态应用与有状态应用三、Deployment1.概述2.作用3.示例四、Satefulset1.解释2.注意事项3.作用4.示例1)无头服务五、DaemonSet1.解释2.作用六、Job1.解释2.Job Controller3.Job Spec格式4.Bare Pods七、CronJob1.解释2.
2020-05-26 12:28:21
1162
原创 K8s脱坑前的挣扎——调度约束
前言:Kubernetes通过watch的机制进行每个组件的协作,每个组件之间的设计实现了解耦文章目录一、调度方式二、原理三、示例1.nodeName2.nodeSelector四、故障排除一、调度方式nodeName用于将Pod调度到指定的Node名称上(跳过调度器直接分配)nodeSelector用于将Pod调度到匹配Label的Node上二、原理API Server做为唯一入口,接受create创建资源的属性信息写入到etcd中(属性信息:名称,镜像名称,限制条件)etc
2020-05-24 22:56:22
376
原创 K8s脱坑前的挣扎——Pod资源控制
前言:对pod资源限制可以参考官方网站的模板https://kubernetes.io/docs/concepts/configuration/manage-compute-resources-container/文章目录一、资源限制1.示例二、重启策略1.示例三、健康检查1.exec方式2.httpGet方式3.tcpSocket方式一、资源限制Pod和Container的资源请求和限制:spec.containers[].resources.limits.cpu //cpu上限
2020-05-24 21:21:14
885
原创 K8s脱坑前的挣扎——Pod资源管理及部署Harbor创建私有项目
前言:Pod是kubernetes中最小的资源管理组件,Pod也是最小化运行容器化应用的资源对象。kubernetes中其他大多数组件都是围绕着Pod来进行支撑和扩展Pod功能的,例如,用于管理Pod运行的StatefulSet和Deployment等控制器对象,用于暴露Pod应用的Service和Ingress对象,为Pod提供存储的PersistentVolume存储资源对象等Pod的核心是运行容器,必须指定容器引擎,比如Docker,启动容器时,需要获取镜像,k8s的镜像获取策略可以由用户指定,比
2020-05-24 21:09:24
787
1
原创 K8s脱坑前的挣扎——YAML文件
前言:YAML(/ˈjæməl/,尾音类似 camel ) 是"YAML不是一种标记语言"的外语缩写 (见前方参考资料原文内容);但为了强调这种语言以数据做为中心,而不是以置标语言为重点,而用返璞词重新命名。它是一种直观的能够被电脑识别的数据序列化格式,是一个可读性高并且容易被人类阅读,容易和脚本语言交互,用来表达资料序列的编程语言它是类似于标准通用标记语言的子集XML的数据描述语言,语法比XML简单很多文章目录一、YAML概述1.诞生2.命名3.功能4.格式5.适用场景二、示例三、YAML文件格式的获
2020-05-23 17:38:34
571
原创 K8s脱坑前的挣扎——k8s群集部署--多节点及高可用(nginx负载均衡+keepalived双机热备)
前言:本次部署将在单节点之上增加一个master以及配置负载均衡和双机热备实现高可用,部署细节可参考前面三张单节点部署系列单节点部署1-Etcd、单节点部署2-Flannel、单节点部署3-Master及Node。文章目录一、环境部署1.节点分配2.拓扑图二、部署1.master02部署1)环境优化2)部署3)启动2.部署负载均衡及双机热备1)负载均衡1.1 环境优化2)双机热备2.1 部署2....
2020-05-06 01:01:17
2091
1
原创 K8s脱坑前的挣扎——k8s单节点群集部署(3)Master及Node部署
前言:在之前,已经部署好了Etcd以及Flannel实现了集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址,下面将部署Master以及Node实现单master的二进制群集文章目录一、部署Master组件二、部署Node组件1.node1部署2.node2配置一、部署Master组件需要部署的组件部署APIServer组件(token,csv)部署contro...
2020-04-30 17:02:04
621
原创 K8s脱坑前的挣扎——k8s单节点群集部署(2)Flannel容器群集网络部署
前言:Flannel是 CoreOS 团队针对 Kubernetes 设计的一个覆盖网络(Overlay Network)工具,其目的在于帮助每一个使用 Kuberentes 的 CoreOS 主机拥有一个完整的子网在之前已经部署完etcd群集,下面将基于前面的操作,部署Flannel,让不通的子网段实现互通文章目录一、概述1.Flannel简介2.Flannel工作原理二、部署Flanne...
2020-04-30 00:10:33
516
原创 K8s脱坑前的挣扎——k8s单节点群集部署(1)Etcd组件三副本部署
前言:Etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。Etcd内部采用raft协议作为一致性算法,Etcd基于Go语言实现文章目录一、Etcd简介1.特点2.Etcd应用场景3.Etcd架构组成4.Etcd参数二、Etcd群集部署1.环境部署2.环境优化3.部署Etcd群集1)Master配置1.1 制作Etcd服务及证...
2020-04-29 12:59:31
781
1
原创 K8s脱坑前的挣扎——基本概念
前言:kubernetes,简称K8s,是用8代替8个字符"ubernete"而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系...
2020-04-28 11:52:24
392
原创 Docker-TLS加密通讯——生产环境
前言:为了防止链路劫持、会话劫持等问题导致Docker通信时被中间人攻击,c/s两端应该通过加密方式通讯文章目录一、部署1.环境部署2.部署tls3.client操作4.验证总结一、部署一台做服务端tls。一台做客户端client1.环境部署[root@promote ~]# hostnamectl set-hostname master[root@promote ~]# su[...
2020-04-26 21:57:33
332
原创 Consul-Template+Nginx反向代理动态查询Consul群集信息实现自动化
前言:之前对consul进行了相关了解以及部署点此查看在之前的操作中,通过node1的主机对nginx以及http服务进行了容器的创建并成功的加入到了consul群集当中其实可以登录node1节点并指定端口查看到nginx与http服务界面指定的83,84端口和88,89端口都可以访问下面将通过Template工具以及Nginx的反向代理动态查询Consul群集...
2020-04-26 19:29:17
685
原创 Docker-consul群集简介及部署
前言:Consul 是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案,Consul的方案更“一站式”,内置了服务注册与发现框 架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。使用起来也较 为简单。Consul使用Go语言编写,因此具有天然可移植性(支持Linu...
2020-04-26 16:37:39
380
原创 Docker-Compose部署及编排
前言:Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。文章目录一、概述1.Docker-Compose简介2.作用3.关于YML文件二、部署1.使用步骤2.环境部署3.部署docker-compose三、总结1.YML文件的结构2.YML文件常用字段3.Docker-compose常用命令一、概述1.Docker-Compose简介...
2020-04-26 14:56:18
622
原创 Docker私有仓库Harbor理论与部署
前言:Harbor 是 Vmwar 公司开源的 企业级的 Docker Registry 管理项目它主要 提供 Dcoker Registry 管理UI,可基于角色访问控制, AD/LDAP 集成,日志审核等功能,完全的支持中文Harbor 的所有组件都在 Dcoker 中部署,所以 Harbor 可使用 Docker Compose 快速部署。文章目录一、Harbor概述1.Harbor理...
2020-04-24 22:55:52
442
原创 构建Docker镜像实战——nginx、sshd、systemctl、tomcat和mysql叠罗汉
前言:Nginx是一款轻量级的Web服务器。Tomcat是一款免费开源的轻量级Web服务器,在中小型企业和并发访问量不高的场合普遍使用,是开发和调试JSP程序的首选。MySQL是当下最流行的关系型数据库,LNMP是相应的Linux系统下的Nginx、MySQL、PHP相结合而构建成的动态网站服务器架构。以上这些都可以使用Dockerfile文件的方式来创建其Docker镜像文章目录一、概念回顾二...
2020-04-22 12:16:55
533
原创 ELK企业级日志分析系统理论+实操
前言:日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误通常,日志被分散的储存在不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志,即繁琐又效率低下...
2020-04-21 12:52:48
824
原创 Docker资源控制详细操作
前言:Cgroup是C ontrol group的简写,是Linux内核提供的一种限制使用物理资源的机制,这些资源主要包括CPU、内存、blkio。文章目录一、对CPU的控制1.限制CPU使用速率1)理解2)CPU压力测试2.多任务按比例分享CPU1)理解2)测试2.1 按比例分配2.2分别进容器2.3验证结果3.限制CPU内核使用1)理解2)测试二、对内存使用的限制1.理解2.测试三、对blk...
2020-04-20 01:08:07
1008
原创 Docker数据管理与,网络通信与Docker镜像创建方法
前言:通过对Docker镜像的创建方法,Docker数据管理以及Docker网络通信这三个方面,可以使用户自定义创建镜像,制定更符合企业需求的容器,以及实现容器中的数据迁移和外网用户对容器中数据的访问文章目录一、Docker镜像的创建方法1.基于已有镜像创建1)实例2.基于本地模板创建1)实例3.基于Dockerfile创建Docker镜像的分层1)实例1.1 建立工作目录1.2 创建并编写Do...
2020-04-19 23:04:56
872
原创 Docker简单介绍与基本操作
前言:Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。文章目录一、概述1.Docker概念1)Docker是什么2)Docker与虚拟机的区别3)Docker的使用场景2.Docker的核心概念及安装方式1)Docker核心概念2)cent...
2020-04-18 21:43:50
435
原创 CEPH概述及实验(CEPH部署及群集搭建+节点扩容+数据恢复)
前言:CEPH是一个开源的项目,它是软件定义的、同一的存储解决方案。CEPH是一个可大规模扩展、高性能并且无单点故障的分布式存储系统。从一开始它就运行在通用的商用的硬件上,具有高度的可伸缩性,容量可扩展至EB界别,甚至更大文章目录一、概述1.简述1)相关名词解释2. CEPH基础架构3. CEPH基础组件4. Ceph Clients5.CEPH存储过程二、实验1.环境介绍2.环境部署1)主机名...
2020-03-31 21:15:46
873
原创 GlusterFS分布式存储概述与实操
前言:glusterFS:分布式横向扩展文件系统,可以根据存储需求快速调配存储,内含丰富的自动故障转移功能,且摈弃集中元数据服务器的思想。适用于数据密集型任务的可扩展网络文件系统,免费开源文章目录一、概述1.GlusterFS简介2.GlusterFS特点3.GlusterFS术语4.GlusterFS结构5.GlusterFS工作流程6.弹性HASH算法7.GlusterFS的卷类型1)分布式...
2020-03-29 15:41:28
671
原创 Openstack理论——Neutron中的插件与代理
前言:在前面介绍了Openstack的核心组件——Neutron的理论知识,这次将讲解Neutron中的插件与几个代理服务文章目录一、ML2插件1.架构图2.概述3.举例二、Linux Bridge代理1.概述2.设备工作原理三、Open vSwitch代理1.Open vSwitch的设备类型2.Open vSwitch数据包流程3.Open vSwitch网络的逻辑架构四、DHCP代理1.D...
2020-03-09 23:17:53
2119
1
原创 OpenStack理论——Nova模块
前言:nova和swift是openstack最早的两个组件,nova分为控制节点和计算节点,计算节点通过nova computer进行虚拟机创建,通过libvirt调用kvm创建虚拟机,nova之间通信通过rabbitMQ队列进行通信文章目录一、Nova概述1.Nova体系结构2.Nova重要组件1)nova API2)nova schedulerNOTE3)nova-api-metadat...
2020-03-09 19:23:27
719
原创 Openstack核心组件——Neutron理论
前言:Neutron主要就是用于网络虚拟化,在openstack中属于一个大部分,这次就来了解一下Neutron文章目录一、Neutron基本架构1.Neutron-server2.Network provider3.Neutron plugin4.Neutron agent二、Neutron 功能1. 二层交换 Switching2. 三层路由 Routing3. 负载均衡 Load Bala...
2020-03-09 18:46:57
1406
原创 Openstack部署安装——线网源
前言:之前对Openstack进行了理论上的介绍,本次对Openstack进行部署安装,这次使用的是OpenStack线网源文章目录一、部署环境1.环境介绍2.系统安装二、部署安装1.配置IP地址,修改主机名2.优化3.一键部署OpenStack三、登录一、部署环境1.环境介绍使用软件:VMware软件系统:centos7系统,作为OpenStack控制节点CPU:双核双线程-CP...
2020-03-07 00:56:22
323
原创 Openstack部署安装——本地YUM源
前言:之前对Openstack进行了理论上的介绍,本次对Openstack进行部署安装,这次使用的是OpenStack本地yum源文章目录一、部署环境1.环境介绍2.系统安装3.实验思路二、安装部署1.修改ip地址2.优化1)本地YUM源部署2)关闭防火墙,核心防护,网络管理3)配置本地主机映射4)ntp时间同步5)免交互3.控制节点一件部署三、登录一、部署环境1.环境介绍使用软件:VM...
2020-03-07 00:21:37
4533
1
原创 OpenStack理论
前言:OpenStack是一个由NASA(美国国家航空航天局)和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。OpenStack云...
2020-03-06 22:24:38
1298
原创 使用KVM命令管理虚拟机
前言:在上一篇博客中已经完成对虚拟机的创建,系统也正常工作,可以配上IP地址让终端远程控制它。下面将介绍如何使用KVM命令来管理虚拟机上一篇博客地址连接文章目录一、KVM基本功能管理一、KVM基本功能管理...
2020-02-22 11:52:04
740
原创 KVM虚拟化架构理论与实操
前言:KVM(Kernel-based Virtual Machine 即基于内核的虚拟机)是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理,所以相对于Xen,其核心源码很少。KVM目前已成为学术界的主流VMM之一KVM的虚拟化需要硬件支持(如Intel VT技术或者AMD V技术)。是基于硬件的完全虚拟化。而X...
2020-02-21 21:51:18
957
原创 华为防火墙双机热备(VRRP+VGMP+HRP)
前言:在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络中断的风险防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网双机热备组网的建立和运行需要解决以下几个关键问题:设备的主备状态是如何决定的如何监控并发现接口或者设备故障发现故障后...
2020-02-21 15:55:27
5558
原创 华为防火墙NAT策略
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术文章目录一、理论1.NAT分类1)NAT NO-PAT2)NAPT3)Easy-IP4)NAT Server5)Smart NAT6)三元组NAT2.黑洞路由1)如何解决源地址转换环境下的环路和无效ARP问题3.Sever-map表1)区别2 )配置4.NAT对报文的...
2020-02-13 16:29:18
3260
原创 华为防火墙理论与管理
前言:随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险,为了解决新网络带来的新威胁,华为防火墙(称叫 Next Generation Firewall 下一代防火墙)应运而生文章目录一、华为防火墙理论1.特征2.防火墙外观结构1)百兆防火墙USG65072)千兆防火墙USG65503.防火墙的工作模式4.华为防火墙的安全区域划分5.防火墙的inb...
2020-02-11 23:50:16
1188
原创 华为综合实验——ISIS-BGP
前言:本次结合之前学习到的IS-IS与BGP协议,做一个综合实验,除了复习下IS-IS与BGP协议的配置以及BGP邻居关系的建立之外,还涉及到BGP下一跳的优化,路由反射器的配置等其他知识文章目录一、实验环境1.环境2.需求3.拓扑图二、详细配置1.给接口配置IP2.配置ISIS协议1)开启ISIS2)进入接口开启ISIS协议3.配置BGP协议1)配置IBGP协议,建立邻居关系R1与R2、R3、...
2020-02-11 23:49:51
3674
4
原创 华为小实验——BGP边界网关协议
前言:边界网关协议(BGP)是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。 BGP 构建在 EGP 的经验之上。 BGP 系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了 AS 互联的拓朴图并由此清除了路由环路,同时在...
2020-02-11 23:49:25
983
原创 华为小实验——IS-IS动态路由协议
文章目录一、IS-IS路由协议1.概念一、IS-IS路由协议1.概念IS-IS,即中间系统(Intermediate System)到中间系统的域内路由信息交换协议能够同时应用在TCP/IP和OSI环境中,称为集成化IS-ISIS-IS属于内部网关协议(IGP),是一种链路状态协议,使用最短路径优先算法进行路由计算(使用SPF算法)使用Hello包建立邻居关系、使用LSP交换链路状态...
2020-02-11 23:49:01
1592
原创 Web服务集群——LVS+Keepalived高可用集群
前言:Keepalived的设计目标是构建高可用的LVS负载均衡群集,可以调用ipvsadm工具来创建虚拟服务器、管理服务器池,而不仅仅用作双机热备。使用Keeplived构建LVS群集更加简便易用,主要优势体现在:对LVS负载调度器实现热备切换,提高可用性;对服务器池中的节点进行健康检查,自动移除失效节点,恢复后再重新输入在基于LVS+Keepalived实现的LVS群集结构中,至少包括两台热...
2020-02-11 23:47:49
450
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人