小五的个人杂货铺

k8s集群中创建一个名为hello的service，就会生成一个同名的endpoint对象，ENDPOINTS就是service关联的pod的ip地址和端口, 即动态存储pod ip地址和端口对应关系的list,Kubernetes在创建Service时，根据Service的标签选择器（Label Selector）来查找Pod，据此创建与Service同名的EndPoints对象。当Pod的地址发生变化时，EndPoints也随之变化。Service接收到请求时，就能通过EndPoints找到请求转发的目标地址endpoint不可以用来固定podip,endpoint是随着pod的改变而改变,而非pod随着endpoint的改变而改变 手动创建 Endpoint 创建service: 略 创建一个 endpoint.yaml 文件，内容如下(注意替换ip为你容器访问ip(pod ip))： 12345678910apiVersion: v1kind: Endpointsmetadata: name: nginxsubsets: - addresses: - i...

k8s deployment文件属性简介12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667apiVersion: apps/v1 #指定api版本，此值必须在k8s api-versions中kind: Deployment # 指定创建资源的角色/类型metadata: # 资源的元数据/属性 name: # 资源的名字，在同一个namespace中必须唯一 namespace: # 部署在哪个namespace中spec: # 资源规范字段 strategy: # 策略 type: RollingUpdate # 滚动更新策略 selector: # 选择器 matchLabels: # 匹配标签 app: replicas: 1 # 声明副本数目 template: # 模版 metadata: # 资源的元数据/属性 ...

Kubernetes 自己提供了 secret 这种方式，但其是一种编码方式，而非加密方式，如果需要用版本控制系统（比如 git）来对所有的文件、内容等进行版本控制时，这种用编码来处理敏感信息的方式就显得很不安全了（即使是采用私有库），这一点在实现 GitOps 时，是一个痛点。 Sealed Secrets Sealed Secrets 充分利用 kuberntes 的高扩展性，通过 CRD 来创建一个 SealedSecret 对象，通过将加密的内容存储在扩展 SealedSecret 对象中，而 SealedSecret 只能够被运行于目标集群上的 controller 解密，其他人员和方式都无法正确解密原始数据。SealedSecret 对象同时又会生成与其名称相同的 secret 对象，随后就可以按照常规方式使用 secret 对象了。最后将加密后的文件直接推送至版本控制系统即可，而不用担心敏感信息被泄漏. 简单来说就是, 我们需要用 YAML 的形式生成一个 Secret，但是我们希望 YAML 自身的内容是加密的，以保证传输过程中，Secret 自身的内容不...

PersistentVolume（PV）和PersistentVolumeClaim（PVC）这两个概念用于pod和volume之间解耦。Pod根据自己的需要提出数据卷的申请，k8s系统将符合条件的数据卷返回给pod。这样一来pod就无需直接和数据卷本身强绑定了。Pod无需知道数据卷的细节信息，比如具体用的是什么存储。 Pod中对数据卷的申请为PVC，用来和PVC绑定的数据卷称为PV。 PV可以有多种存储方式，比如NFS，iSCSI等。 PVC是使用PV资源的声明。 PVC和PV的关系是一对一的, 不能将多个PVC绑定到同一个PV上.PV和PVC的生命周期 供应阶段PV有两种供应方式 static 静态方式由系统管理员创建PV dynamic 如果没有静态的PV。系统会动态创建出PV来满足PVC。PV的提供者为StorageClass。要使用动态供应，PVC必须要指定一个StorageClass。如果StorageClass设置为空，那么针对这个PVC的动态供应特性会被禁用。 绑定阶段这个阶段指的是PV和PVC绑定的过程。系统有一个机制，循环检查新创建的PVC，然后找到一个符...

在Pod中共享卷以供多方使用是很有用的。VolumeMounts.subPath属性可用于指定所引用的卷内的子路径，而不是其根路径。 subpath的两种使用场景 1个Pod中可以有多个容器，将不同容器的路径挂载在存储卷volume的子路径，这种场景需要使用到subpath。 volume支持将configMap/secret挂载到容器的路径，但是会覆盖容器路径下原有的文件。如何支持选定configmap/secret的key-value挂载到容器中，且不会覆盖掉原目录下的文件，这个时候可以用subpath。 一个pod多组容器的情况12345678910111213141516171819202122apiVersion: v1kind: Podmetadata: name: pod-subpath-yuhaohaospec: containers: - name: redis-container image: redis volumeMounts: - mountPath: /var/lib # 容器...

仅删除1kubectl delete namespace <ns> 强制删除12# grace-period=0: 设置优雅删除时间为0kubectl delete namespace <ns> --force --grace-period=0 修改.spec.finalizer和metadata.finalizer字段12kubectl edit namespace cattle-system查找finalizers,将后面的值置为[] 通过k8s提供的api接口，修改.spec.finalizers和metadata.finalizer字段,将后面的值置为[]，从而k8s会直接将该ns删除1234561. kubectl get namespace <ns> -o json > xx.json2. 编辑该xx.json文件，修改.spec.finalizers字段,将后面的值置为[]3. 另开一个终端，开启k8s apiserver的一个http代理，以免必须带上证书才能访问: kubectl proxy --port=80814. ...

现象 系统的商户端出现响应慢，加载慢的问题 关于慢调用问题 可能带来的危害包括： **前端业务维度：**首先慢调用可能会引起前端加载慢的问题，前端加载慢可能会进一步导致应用卸载率高，进而影响品牌的口碑。 **项目交付的维度：**由于接口慢导致达不到 服务质量目标，进而导致项目延期。 **业务架构稳定性：**当接口调用慢时，非常容易引起超时，当其他业务服务都依赖这个接口，那么就会引发大量重试，进而导致资源耗尽，最终导致部分服务或者整个服务不可用的雪崩的现象。 问题排查 先排查下其他端是否也存在慢响应等问题，发现加载正常 检查网关日志(orange)，发现有大量status：499。 关于status code 499, client has closed connection 代表客户端主动断开了连接，一般是服务端处理时间太长了，客户端等不了就断开了还有一种情况就是有人攻击，故意消耗服务端资源。 说明网关下游服务响应时间过长，网关路由到app_tenant服务 此时怀疑是不是因为app_tenant服务占用cpu过多，导致将节点cpu打满（目前app...

externaltrafficpolicy作用阐述把集群外部的服务引入到集群内部来，在集群内部直接使用。没有任何类型代理被创建，这只有 kubernetes 1.7 或更高版本的 kube-dns 才支持【当我们的集群服务需要访问k8s之外的集群时，可以选择这种类型，然后把外部服务的IP及端口写入到k8s服务中来，k8s的代理将会帮助我们访问到外部的集群服务】 什么是external-traffic-policy在k8s的Service对象（申明一条访问通道）中，有一个“externalTrafficPolicy”字段可以设置。有2个值可以设置：Cluster或者Local。 1）Cluster表示：流量可以转发到其他节点上的Pod。 2）Local表示：流量只发给本机的Pod。 这2种模式有什么区别存在这2种模式的原因就是，当前节点的Kube-proxy在转发报文的时候，会不会保留原始访问者的IP。 选择（1）Cluster注：这个是默认模式，Kube-proxy不管容器实例在哪，公平转发。 Kube-proxy转发时会替换掉报文的源IP。即：容器收的报文，源IP地址，已经...

K3s私有镜像仓库配置 Containerd配置镜像仓库 参考 Kubernetes 在 Changelog 中宣布自 Kubernetes 1.20 之后将弃用 Docker 作为容器运行时之后，containerd成为下一个容器运行时的热门选项。虽然 containerd 很早就已经是 Docker 的一部分，但是纯粹使用 containerd 还是给大家带来了诸多困扰，本文将介绍如何使用 containerd 配置镜像仓库和加速器。 本文将以K3s为例对containerd进行配置，如果您的环境未使用 K3s 而是使用的 Kubernetes，你也可以参考本文来配置 containerd 的镜像仓库，因为 containerd 的配置是通用的。 关于 K3s 和 containerd K3s 是一个轻量级 Kubernetes 发行版，二进制大小小于100MB，所需内存不到Kubernetes的一半。K3s 为了降低资源消耗，将默认的 runtime 修改为 containerd，同时也内置了 Kubernetes CLI 工具 crictl和ctr。 K3s 默认的 ...

每次创建了新的namespace下都会生成一个默认的token，名为default-token-xxxx。default就相当于该namespace下的一个用户。也可以考虑新建service count来获取token 查看token secret 123[root@k3s-release-server1 ~]# kubectl get secretsNAME TYPE DATA AGEdefault-token-6f7xb kubernetes.io/service-account-token 3 16m 使用脚本方式访问api 12345678#!/usr/bin/env bashurl=$1token=`kubectl get secrets|awk 'NR>1'|awk '{print $1}'|xargs -i kubectl describe secret {...