ICode9

Dapr 被设计成一个面向开发者的企业级微服务编程平台，它独立于具体的技术平台，可以运行在“任何地方”。Dapr本身并不提供“基础设施（infrastructure）”，而是利用自身的扩展来适配具体的部署环境。就目前的状态来说，如果希望真正将原生的Dapr应用与生产，只能部署在K8S环境下。虽然Dapr也

Jenkins 与 Kubernetes 的 CI 与 CD & Git + Maven + Docker+Kubectl 参考： http://www.mydlq.club/article/47/ https://plugins.jenkins.io/kubernetes/ 一、Kubernetes 部署 Jenkins 1. 使用StorageClass+NFS创建pv 具体创建StorageClass+NFS方法详见下面链接或自行百度 https:/

安全认证概述 访问控制概述 kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和授权操作。 客户端 在Kubernetes集群中，客户端通常有两类 User Account：一般是独立于kubernetes之外的其他

目录一、简介二、用户分类三、K8s角色&角色绑定（以ServiceAccount展开讲解）1）授权介绍2）角色（Role和ClusterRole）3）角色绑定（RoleBinding和ClusterRoleBinding）1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount四、实战1）User1、创建K8S 用户2、对用户授权2）Group1、创建K

X.509数字证书认证   Kubernetes 支持的 HTTPS 客户端证书认证、token 认证及 HTTP basic 认证几种认证方式中，基于 SSL/TLS  协议的客户端证书认证以其安全性高且易于实现等特性，而成为主要使用的认证方式之一。   SSL/TLS 最常见的使用场景是将 X.509 证书与服务器端相关联，但不

服务帐号管理与应用（ServiceAccount）   运行过程中，Pod 资源里的容器进程在某些场景需要调用 Kubernetes API 或其他类型的服务，而这些服务通常需要认证客户端身份，如调度器、Pod控制器或节点控制器，甚至是获取启动容器的镜像访问的私有仓库 Harbor 服务等。   服务帐号就是用于让 Pod

访问控制   在用户租户的系统上，认证和授权都是两个必不可少的功能。认证用于身份鉴别，授权是用于实现权限分派。   Kubernetes 以插件化方式实现了这两种功能，且分别存在多种可用的插件。   API Server 是 Kubernetes 集群系统的唯一网关入口，像 kube-controller-manager、kube-sc

StatefulSet控制器——案例：etcd集群   Kubernetes 的所有对象都需要持久化存储于 etcd 存储系统中，以确保系统重启或故障恢复后能将它们予以还原。 一、创建 Service 资源   StatefulSet 资源依赖于 Headless Service 为各 Pod 资源提供名称解析服务，其他 Pod 资源可直接使用 DNS

  翻译： SEAL安全 原标题： Over 900,000 Kubernetes instances found exposed online 原文链接： https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/   据 Beepingcomputer 消息，超过90万个配置错误的 Kubere

3、Ingress实践 3.1、什么是Ingress? 在ingress之前，我们想要访问k8s集群中的pod服务时，是通过部署一个service，将service的type设置为NodePort或者将设置为LoadBalance,这样可以在物理机上开辟出一个物理端口给到对应的service，service再通过dns解析出具体要路由的Pod服务，从而对Pod服

添加语法： kubectl label nodes kube-node label_name=label_value 样例： # 先查看node列表 [root@k8s-test01 ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION k8s-test01 Ready,SchedulingDisabled control-plane

  控制器 一、 Pod 的分类： 二、控制器类型： 1 Replication Controller（rc）和ReplicaSet（rs） 1.1ReplicaSet控制器示例： 2.Deployment 2.1Deployment控制器示例 3.DaemonSet 3.1DaemonSet控制器示例 4.StatefulSet 5.job控制器 5.1job控制器示例 6.CronJob控制器 6.1 CronJob控制

金丝雀部署 StatefulSet 控制器的资源 一、金丝雀部署   将处于暂存状态的更新操作的 partition 定位于 Pod 资源的最大索引号，即可放出一只金丝雀，由其测试第一轮的更新操作，在确认无误后通过修改 partition 属性的值更新其他的 Pod 对象是一种更为稳妥的更新操作。   StatefulSet

01常见的业务场景 假设有两个服务A和B，他们之间相互调用，且同时对外提供，如下图所示 服务A和B之间必须互通 服务A和B都需要访问各种需要的基础设施，如数据库、消息队列等 服务A和B都对外暴露API 服务需要高可用，自动扩缩容 我们暂且不讨论这个架构设计是否合理，假设场景就是如此，正常

Backgroud 前一章中，对kubernetes的选举原理进行了深度剖析，下面就通过一个example来实现一个，利用kubernetes提供的选举机制完成的高可用应用。 对于此章需要提前对一些概念有所了解后才可以继续看下去 leader election mechanism RBCA Pod runtime mechanism Implementation 代码

在实际生产环境中，有些容器内应用（比如编码器）需要用到物理层面的网络资源（比如组播流）。这就要求Kubernetes中的该Pod以HOST模式来启动。以下实验了Kubernetes-HOST网络模式，并给出了一些运维建议。 1、Pod的网络 每个Pod都会默认启动一个pod-infrastructure（或pause）的容器，作为共享网络

StatefulSet控制器   应用程序存在 "有状态" 和 "无状态" 两种类别。Kubernetes 系统中，Deployment、ReplicaSet 和 DaemonSet 等常用于管理无状态应用，但实际情况，应用本身是分布式的集群，也有不少有状态的应用，下面我们聊聊 "有状态" 应用的管理。 一、StatefulSet概述   无状态应

  原文：https://www.infoq.cn/article/2Pr39j0jJcbWpu7K*prP/ ----------------------------- 今天，许多企业开始运行 Kubernetes 集群，并从中受益。但我们仍然不得不承认，Kubernetes 底层实现非常复杂，这其中一个最复杂，就是网络相关的部件。   Kube-OVN 开源网络插件诞生初衷 从当前

内部pod是Https apiVersion: networking.k8s.io/v1 kind: Ingress metadata: namespace: xxx name: xxx-web annotations: # 文件上传限制 nginx.ingress.kubernetes.io/proxy-body-size: "200M" nginx.ingress.kubernetes.io/backend-protocol: HTTPS spe

应用程序配置管理及 ConfigMap 资源   说到配置中心，大家接触过微服务的话，应该不陌生，像国内的分布式配置中心相关开源项目有 Diamond（阿里）、Apollo（携程）、Qconf（奇虎360）和 disconf（百度）等。   作为分布式系统的 Kubernetes 也提供了统一配置管理方案——ConfigMap。   Kubernetes 基

Secret资源   Secret 资源的功能类似于 ConfigMap，但它专用于存放敏感数据，例如密码、数字证书、私钥、令牌 和 SSH key 等。 一、Secret概述   Secret 对象存储数据的方式及使用方式类似于 ConfigMap 对象，相同的是，都以键值方式存储数据，在 Pod 资源中通过环境变量或存储卷进行数据

利用环境变量（env.value or env.valueFrom）配置容器应用   在 Kubernetes 中使用此类镜像启动容器时，也可以在 Pod 资源或 Pod 模板资源的定义中，为容器配置段使用 env 参数来定义所使用的环境变量列表。   环境变量配置容器化应用时，需要在容器配置段中嵌套使用 env 字段，它的值是一

容器应用配置的配置方式   如何为容器中的应用提供配置信息呢？传统时间中，通常有这么几种途径：启动容器时直接向命令传递参数、将定义好的配置文件编码于（嵌入）镜像文件中、通过环境变量（Environment Variables）传递配置数据，以及基于 Docker 卷传送配置文件等。 一、通过命令行参数进行

HPA(Horizontal Pod Authscaler)控制器-上 概述 我们已经可以通过手动执行kubectl scale命令实现Pod的扩缩容，但是这显然不符合kubernetes的定位目标–自动化和智能化。kubernetes期望可以通过监测Pod的使用情况，实现Pod数量的自动调整，于是就产生了HPA这种控制器。 HPA可以获取每个

环境 两台或多台腾讯云服务器（本人搭建用了两台），都是 CentOs 7.6， master 节点：服务器为 4C8G，公网 IP：124.222.61.xxx node1节点：服务器为 4C4G，公网 IP：101.43.182.xxx 修改 hosts 信息： 在 master 节点和 node 节点的 hosts 文件中添加节点信息 $ vim /etc/hosts 124.222.61.xxx master 1