一.一些省时技巧

1.复制粘贴。

终端:ctrl+shift+c/v
除终端外的其他地方:ctrl+c/v

2.alias设置别名。

alias k=kubectl

3.kubectl 自动补全(已经不需要手动设置了,默认已有)。

echo "source <(kubectl completion bash)" >> ~/.bashrc 
source ~/.bashrc 

4.善用 --dry-run=client -o yaml 生成yaml文件模板,更简洁的办法是直接将这一串字符设为环境变量,直接引用环境变量。

k run --dry-run=client -o yaml > *.yaml
export do="--dry-run=client -o yaml"  
k create deploy nginx --image=nginx $do

5.善用 kubectl explain [resource[.field]]

6.善用强制停止pod,避免默认优雅停止占用太多时间。

export now="--force --grace-period 0"
k delete pod x $now

7.善用一切 --help,避免搜索文档浪费时间。

k create clusterrole --help
k create rolebinding --help
k scale --help
k top pods --help
k logs --help
k drain --help

8.可以打开一个mousepad记事本,yaml粘完修改后再复制到vim中。

二.注意事项

1.黑色星期五(或Cyber Monday)时购买考试是全年价格最低的时候,推荐预算充足的同学购买CKA+CKS,性价比最高,相关课程不推荐买,video和课件都是纯英语,对英语一般的人不够友好,买后用处不大。
2.规定的是考试购买后1个月内需要兑换考试券(我超过1个月后兑换的虽然也成功了,但不建议卡时间)。
3.考试时间的选择,最好选择凌晨和清晨,比如早上7点左右,亲测网络不会卡顿。
4.浏览器和PSI插件按照指南说明准备,考前最好多测试多运行几次,确保系统环境一定没问题,比如我考时windows系统不能用win10企业版,所以需要重装系统或换个电脑。
5.关于网络,不建议在办公室等有公司防火墙的WiFi环境考试,很可能会看不到题目,可以选择在家或酒店,或者自己手机开热点这些方式。

三.考试题目

第1题.基于角色的访问控制-RBAC
第2题.节点维护—指定node节点不可用
第3题.K8s版本升级
第4题.Etcd数据库备份恢复
第5题.网络策略NetworkPolicy
第6题.四层负载均衡service
第7题.七层负载均衡Ingress
第8题.Deployment管理pod扩缩容
第9题.pod指定节点部署
第10题.检查Node节点的健康状态
第11题.一个Pod封装多个容器
第12题.持久化存储卷PersistentVolume
第13题.PersistentVolumeClaim
第14题.监控Pod日志
第15题.Sidecar代理
第16题.监控Pod度量指标
第17题.集群故障排查——kubelet故障

下面按照考试可能的顺序排序。

1.RBAC(4分)

中文解释:
创建一个名为deployment-clusterrole的clusterrole,该clusterrole只允许创建Deployment、Daemonset、Statefulset的create操作
在名字为app-team1的namespace下创建一个名为cicd-token的serviceAccount,并且将上一步创建clusterrole的权限绑定到该serviceAccount

参考:

https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/

解题:

# 创建clusterrole
kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets

# 或者
[root@k8s-master01 ~]# cat dp-clusterrole.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployment-clusterrole
rules:
- apiGroups: ["extensions", "apps"]
  resources: ["deployments","statefulsets","daemonsets"]
  verbs: ["create"]
[root@k8s-master01 ~]# kubectl create -f dp-clusterrole.yaml 
clusterrole.rbac.authorization.k8s.io/deployment-clusterrole created

# 创建serviceAccount
kubectl  create sa cicd-token -n app-team1 
serviceaccount/cicd-token created

# 绑定权限(推荐,节省时间)
kubectl create rolebinding deployment-rolebinding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token -n app-team1

或者
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: deployment-rolebinding
  namespace: app-team1
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deployment-clusterrole
subjects:
- kind: ServiceAccount
  name: cicd-token
  namespace: app-team1

# 验证:
[root@k8smaster /opt/cka]# kubectl auth can-i create deployment --as system:serviceaccount:app-team1:cicd-token -n app-team1
yes
[root@k8smaster /opt/cka]# kubectl auth can-i create daemonset --as system:serviceaccount:app-team1:cicd-token -n app-team1   
yes
[root@k8smaster /opt/cka]# kubectl auth can-i create statefulset --as system:serviceaccount:app-team1:cicd-token -n app-team1   
yes
[root@k8smaster /opt/cka]# kubectl auth can-i create pod --as system:serviceaccount:app-team1:cicd-token -n app-team1   
no
2.节点维护(4分)

中文解释:
将ek8s-node-1节点设置为不可用,然后重新调度该节点上的所有Pod

参考:

https://kubernetes.io/zh/docs/tasks/configure-pod-container/
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/
https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands#drain

解题:

kubectl config use-context ek8s
kubectl cordon ek8s-node-1
# 测试执行
kubectl drain ek8s-node-1 --delete-emptydir-data --ignore-daemonsets --force --dry-run=server
# 腾空节点
kubectl drain ek8s-node-1 --delete-emptydir-data --ignore-daemonsets --force
3.1K8S组件升级1.18.8升级为1.19.0(7分)

参考:

https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/safely-drain-node/

解题:

首先腾空节点:
# 设置为维护状态
kubectl cordon k8s-master
# 驱逐Pod
kubectl drain k8s-master --delete-emptydir-data --ignore-daemonsets --force
# 之后需要按照题目提示ssh到一个master节点
ssh master01
sudo su -
apt update
apt-cache policy kubeadm | grep 1.19.0  # (注意版本的差异,有可能并非1.18.8升级到1.19)
apt-get install kubeadm=1.19.0-00 [--allow-change-held-packages] -y

# 验证升级计划
kubeadm upgrade plan
# 看到如下信息,可升级到指定版本
You can now apply the upgrade by executing the following command:

	kubeadm upgrade apply v1.19.0
_____________________________________________________________________

# 开始升级Master节点,注意看题目是否需要升级etcd
kubeadm  upgrade apply v1.19.0 --etcd-upgrade=false
[upgrade/successful] SUCCESS! Your cluster was upgraded to "v1.19.0". Enjoy!

[upgrade/kubelet] Now that your control plane is upgraded, please proceed with upgrading your kubelets if you haven't already done so.

# 升级kubectl和kubelet
apt-get install -y kubelet=1.19.0-00 kubectl=1.19.0-00 [--allow-change-held-packages]
systemctl daemon-reload
systemctl restart kubelet

# 恢复master为可调度节点
kubectl uncordon k8s-master
node/k8s-master uncordoned

kubectl get node
NAME           STATUS     ROLES                  AGE   VERSION
k8s-master01   NotReady   control-plane,master   11d   v1.19.0
k8s-node01     Ready      <none>                 8d    v1.18.8
k8s-node02     Ready      <none>                 11d   v1.18.8
kubectl get node
NAME           STATUS   ROLES                  AGE   VERSION
k8s-master01   Ready    control-plane,master   11d   v1.19.0
k8s-node01     Ready    <none>                 8d    v1.18.8
k8s-node02     Ready    <none>                 11d   v1.18.8
3.2K8S组件升级1.20.1升级到1.21.1(7分)

参考:

https://kubernetes.io/zh/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/

解题:

首先腾空节点:
# 设置为维护状态
kubectl cordon k8s-master
# 驱逐Pod
kubectl drain k8s-master --delete-emptydir-data --ignore-daemonsets --force
# 之后需要按照题目提示ssh到一个master节点
apt update
apt-cache policy kubeadm | grep 1.21.1  
# 注意版本的差异,有可能并非1.20.1升级到1.21.1
apt-get install kubeadm=1.21.1-00
# 验证升级计划
kubeadm upgrade plan
# 看到如下信息,可升级到指定版本

# 开始升级Master节点,注意看题需不需要升级etcd
kubeadm upgrade apply v1.21.1 --etcd-upgrade=false -f

# 注意:自己的环境升级,可能会报找不到coredns的镜像,可以使用如下方法解决:
所有节点docker pull coredns/coredns:1.8.0 ; docker tag coredns/coredns:1.8.0
registry.cn-hangzhou.aliyuncs.com/google_containers/coredns/coredns:v1.8.0 
然后继续就行。1.8.0改成你自己CoreDNS 报错的版本
# 升级kubectl和kubelet
apt-get install -y kubelet=1.21.1-00 kubectl=1.21.1-00
systemctl daemon-reload
systemctl restart kubelet
# 恢复master可调度
kubectl uncordon k8s-master
node/k8s-master uncordoned

kubectl get node
NAME           STATUS     ROLES                  AGE   VERSION
k8s-master01   NotReady   control-plane,master   11d   v1.21.1
k8s-node01     Ready      <none>                 8d    v1.12.1

kubectl  get node
NAME           STATUS   ROLES                  AGE   VERSION
k8s-master01   Ready    control-plane,master   11d   v1.21.1
k8s-node01     Ready    <none>                 8d    v1.20.1
k8s-node02     Ready    <none>                 11d   v1.20.1
4.Etcd备份与恢复(7分)

中文解释:
针对etcd实例https://127.0.0.1:2379创建一个快照,保存到 /srv/data/etcd-snapshot.db。在创建快照的过程中,如果卡住了,就键入ctrl+c终止,然后重试。
然后恢复一个已经存在的快照:/var/lib/backup/etcd-snapshot-previous.db
执行etcdctl命令的证书存放在:
ca证书:/opt/KUIN00601/ca.crt
客户端证书:/opt/KUIN00601/etcd-client.crt
客户端密钥:/opt/KUIN00601/etcd-client.key

参考:

https://kubernetes.io/zh/docs/tasks/administer-cluster/configure-upgrade-etcd/

解题:

kubernetes的所有数据记录在etcd中,对etcd进行备份就是对集群进行备份。连接etcd需要证书,证书可以从apiserver获取,因为apiserver可以去连etcd。新版本的apiserver都是以static pod方式运行,证书通过volume挂载到pod中。
具体的证书路径和备份到的路径按题目要求设置。ssh到master节点很快,长时间没连上,可以中断重连。
恢复部分据说很容易卡住,不要花太多时间。

# 路径不存在的话要提前建出来
export ETCDCTL_API=3  
etcdctl --endpoints="https://127.0.0.1:2379" --cacert=/opt/KUIN000601/ca.crt --cert=/opt/KUIN000601/etcd-client.crt --key=/opt/KUIN000601/etcd-client.key snapshot save /srv/data/etcd-snapshot.db

# 还原
还原前最好关掉etcd服务,还原后重新开启etcd服务,
还原后etcd的状态可能有问题,最好不要去赌,失分可能性很大。
systemctl stop etcd

mkdir /opt/backup/ -p
cd /etc/kubernetes/manifests
mv kube-* /opt/backup

export ETCDCTL_API=3  
etcdctl --endpoints="https://127.0.0.1:2379" --cacert=/opt/KUIN000601/ca.crt --cert=/opt/KUIN000601/etcd-client.crt --key=/opt/KUIN000601/etcd-client.key snapshot restore /var/lib/backup/etcd-snapshot-previous.db --data-dir=/var/lib/etcd-restore

vim /etc/kubernetes/manifests/etcd.yaml
# 将volume配置的path: /var/lib/etcd改成/var/lib/etcd-restore
  volumes:
  - hostPath:
      path: /etc/kubernetes/pki/etcd
      type: DirectoryOrCreate
    name: etcd-certs
  - hostPath:
      path: /var/lib/etcd-restore

# 修改数据目录权限
chown -R etcd.etcd /var/lib/etcd-restore

# 还原k8s组件
mv /opt/backup/* /etc/kubernetes/manifests
systemctl restart kubelet

systemctl start etcd

# 其他答案:
# 不需要进行集群的切换,etcdctl 工具主机上已存在,无需进行安装
ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 --cacert=/opt/KUIN00601/ca.crt --cert=/opt/KUIN00601/etcd-client.crt --key=/opt/KUIN00601/etcd-client.key snapshot save /var/lib/backup/etcd-snapshot.db 
ETCDCTL_API=3 etcdctl --endpoints=https://127.0.0.1:2379 --cacert=/opt/KUIN00601/ca.crt  --cert=/opt/KUIN00601/etcd-client.crt --key=/opt/KUIN00601/etcd-client.key snapshot restore /var/lib/backup/etcd-snapshot-previous.db 

注意:

如果是二进制安装的etcd,考试环境的etcd可能并非root用户启动的,所以可以先切换到root用户(sudo su -)
然后使用ps aux | grep etcd查看启动用户是谁和启动的配置文件是谁config-file字段指定,假设用户是etcd。所以如果是二进制安装的etcd,执行恢复时需要root权限,所以在恢复数据时,可以使用root用户恢复,之后更改恢复目录的权限:sudo chown -R etcd.etcd /var/lib/etcd-restore,
然后通过systemctl status etcd(或者ps aux | grep etcd)找到它的配置文件
(如果没有配置文件,就可以直接在etcd的service 通过systemctl status etcd即可看到文件中找到data-dir的配置),然后更改data-dir配置后,执行systemctl daemon-reload,最后使用etcd用户systemctl restart etcd即可。
5.1NetworkPolicy(7)

中文解释:
创建一个名字为allow-port-from-namespace的NetworkPolicy,这个NetworkPolicy允许internal命名空间下的Pod访问该命名空间下的9000端口。
并且不允许不是internal命令空间的下的Pod访问
不允许访问没有监听9000端口的Pod。

参考:

https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/

解题:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: internal
spec:
  ingress:
  - from:
    - podSelector: {}
    ports:
    - port: 9000
      protocol: TCP
  podSelector: {}
  policyTypes:
  - Ingress
5.2(7)

上述的题目是只限制在internal命名空间下的,该题可能存在更新。更新如下:
在现有的namespace my-app中创建一个名为allow-port-from-namespace的NetworkPolicy
确保这个NetworkPolicy允许namespace my-app中的pods可以连接到namespace big-corp中的8080。
并且不允许不是my-app命令空间的下的Pod访问,不允许访问没有监听8080端口的Pod。
所以可以拿着上述的答案,进行稍加修改(注意namespaceSelector的labels配置,首先需要查看big-corp命名空间有没有标签:kubectl get ns big-corp --show-labels 如果有,可以更改 name: big-corp为查看到的即可。如果没有需要添加一个label:kubectl label ns big-corp name=big-corp):

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: my-app
spec:
  egress:
  - to:
    - namespaceSelector:
         matchLabels:
            name: big-corp
    ports:
    - protocol: TCP
      port: 8080
  ingress:
  - from:
    - podSelector: {}
    ports:
    - port: 8080
      protocol: TCP
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
5.3(7)

参考:

https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/

此题和上题比较比较简单,只需要允许internal命名空间即可。

解题:
注意namespace选择器

# 切换到指定集群
kubectl config use-context [NAME]
# 查看 namespace corp-bar 的标签,如:kubernetes.io/metadata.name=corp-bar
kubectl get ns --show-labels

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: big-corp 
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: internal
    ports:
    - port: 9200
      protocol: TCP
  podSelector: {}
  policyTypes:
  - Ingress
6.Service(7)

中文解释:
重新配置一个已经存在的deployment front-end,在名字为nginx的容器里面添加一个端口配置,名字为http,暴露端口号为80/TCP,然后创建一个service,名字为front-end-svc,暴露该deployment的http端口,并且service的类型为NodePort。

参考:

https://kubernetes.io/docs/concepts/services-networking/connect-applications-service/
https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/
https://kubernetes.io/zh-cn/docs/concepts/services-networking/service/

解题:

kubectl edit deploy front-end
    spec:
      containers:
      - name: nginx
        image: nginx
        # 需要加这四行
        ports:
        - name: http
          containerPort: 80
          protocol: TCP

添加如下配置,主要是在name为nginx的容器下

# 添加service:
kubectl expose deploy front-end --name=front-end-svc  --port=80 --target-port=http --type=NodePort

# 或者通过文件方式创建service:
apiVersion: v1
kind: Service
metadata:
  name: front-end-svc
  labels:
    app: front-end
spec:
  type: NodePort
  selector:
    app: front-end   # label需要匹配,否则访问不到。
  ports:
    - name: http
      protocol: TCP
      port: 80
      targetPort: 80
7.Ingress(7)

中文解释:
在ing-internal 命名空间下创建一个ingress,名字为pong,代理的service hi,端口为5678,配置路径/hi。
验证:访问curl -kL <INTERNAL_IP>/hi会返回hi。

参考:

https://kubernetes.io/zh/docs/concepts/services-networking/ingress/
https://kubernetes.io/zh-cn/docs/concepts/services-networking/service/

解题:

# ingressClassName需指定为nginx
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: pong
  namespace: ing-internal
spec:
  ingressClassName: nginx
  rules:
  - http:
      paths:
      - path: /hi
        pathType: Prefix
        backend:
          service:
            name: hi
            port:
              number: 5678

kubectl get ingress -n ing-internal 获取ip后curl验证

# 如果考试环境没出ip需要在annotations下加一行
cat ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: pong
  namespace: ing-internal
  annotations:
    nginx.ingress.kubernetes.io
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - http:
      paths:
      - path: /hi
        pathType: Prefix
        backend:
          service:
            name: hi
            port:
              number: 5678

ingressclassname如果不指定,则会使用集群默认的指定的ingress。

8.Deployment扩缩容(4)

中文解释:
扩容名字为loadbalancer的deployment的副本数为6

参考:

https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/

解题:

kubectl config use-context k8s
kubectl scale --replicas=6 deployment loadbalancer
kubectl edit deploy loadbalancer
9.指定节点部署(4)

中文解释:
创建一个Pod,名字为nginx-kusc00401,镜像地址是nginx,调度到具有disk=spinning标签的节点上

参考:

https://kubernetes.io/zh/docs/concepts/scheduling-eviction/assign-pod-node/
https://kubernetes.io/zh/docs/tasks/configure-pod-container/assign-pods-nodes/

解题:

vim pod-ns.yaml
apiVersion: v1
kind: Pod
metadata:
  name: nginx-kusc00401
  labels:
    role: nginx-kusc00401
spec:
  nodeSelector:
    disk: spinning
  containers:
    - name: nginx
      image: nginx

kubectl create -f pod-ns.yaml

# 省时
kubectl run nginx-kusc00401 --image=nginx --dry-run=client -o yaml > 9.yaml
10.检查Node节点健康状态(4)

中文解释:
检查集群中有多少节点为Ready状态,并且去除包含NoSchedule污点的节点。之后将数字写到/opt/KUSC00402/kusc00402.txt

参考:

https://kubernetes.io/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/

解题:

kubectl config use-context k8s
# 记录总数为A
kubectl get node|grep -i ready|wc -l  
# 记录总数为B
kubectl  describe node|grep Taints|grep NoSchedule|wc -l
# 将A减B的值x导入到/opt/KUSC00402/kusc00402.txt
echo x >> /opt/KUSC00402/kusc00402.txt

# 切换到指定集群
kubectl config use-context [NAME]
# Ready 状态的节点数减去 NoSchedule 状态的节点数
kubectl get node |grep -i ready 
kubectl describe node |grep -i 'taints'
echo '2' >> /opt/KUSC00402/kusc00402.txt
11.一个Pod多个容器(4)

中文解释:
创建一个Pod,名字为kucc1,这个Pod可能包含1-4容器,该题为四个:nginx+redis+memcached+consul

参考:

https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/

解题:

apiVersion: v1
kind: Pod
metadata:
  name: kucc1
spec:
  containers:
  - image: nginx
    name: nginx
  - image: redis
    name: redis
  - image: memchached
    name: memcached
  - image: consul
    name: consul

# 或者用dry-run=client的命令快速生成yaml模板,修改yaml,加入新容器进去
kubectl run kucc1 --image=nginx --dry-run=client -o yaml > 11.yaml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: kucc1
  name: kucc1
spec:
  containers:
  - image: nginx
    name: nginx
  - image: redis
    name: redis
  - image: memcached
    name: memcached
  - image: consul
    name: consul
  dnsPolicy: ClusterFirst
  restartPolicy: Always
12.PersistentVolume(4)

中文解释:
创建一个pv,名字为app-config,大小为2Gi,访问权限为ReadWriteMany。Volume的类型为hostPath,路径为/srv/app-config

参考:

https://kubernetes.io/docs/tasks/configure-pod-container/configure-persistent-volume-storage/
https://kubernetes.io/zh-cn/docs/concepts/storage/persistent-volumes/
可以ctrl+F 搜003,会直接跳转到创建pv
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolume

解题:

apiVersion: v1
kind: PersistentVolume
metadata:
  name: app-config
  labels:
    type: local
spec:
  storageClassName: manual   # 需要有这一项吗?题目没有要求,(可以不写)
  volumeMode: Filesystem
  capacity:
    storage: 2Gi
  accessModes:
    - ReadWriteMany
  hostPath:
    path: "/srv/app-config"

kubectl get pv app-config
13.监控Pod度量指标(5)

中文解释:
找出具有name=cpu-user的Pod,并过滤出使用CPU最高的Pod,然后把它的名字写在已经存在的 /opt/KUTR00401/KUTR00401.txt文件里(注意他没有说指定namespace。所以需要使用-A指定所以namespace)

参考:

https://kubernetes.io/zh-cn/docs/reference/kubectl/

解题:

kubectl config use-context k8s
kubectl  top pod -A -l name=cpu-user
NAMESPACE     NAME                       CPU(cores)   MEMORY(bytes)   
kube-system   coredns-54d67798b7-hl8xc   7m           8Mi   
kube-system   coredns-54d67798b7-m4m2q   6m           8Mi

# 注意这里的pod名字以实际名字为准,按照CPU那一列进行选择一个最大的Pod,另外如果CPU的数值是1 2 3这样的。是大于带m这样的,因为1颗CPU等于1000m
注意要用">>"而不是">"
echo "coredns-54d67798b7-hl8xc" >> /opt/KUTR00401/KUTR00401.txt

# 其他解法:
kubectl get pods -A --show-labels
kubectl top pods -A -l name=cpu-user --sort-by="cpu"
echo "[podname]" >> /opt/KUTR00401/KUTR00401.txt
14.监控Pod日志(5)

中文解释:
监控名为foobar的Pod的日志,并过滤出具有unable-access-website信息的行,然后将写入到 /opt/KUTR00101/foobar

参考:

https://kubernetes.io/zh-cn/docs/reference/kubectl/

解题:

kubectl config use-context k8s
kubectl logs foobar|grep 'unable-access-website' >> /opt/KUTR00101/foobar
15.CSI & PersistentVolumeClaim(7)

中文翻译:
创建一个名字为pv-volume的pvc,指定storageClass为csi-hostpath-sc,大小为10Mi
然后创建一个Pod,名字为web-server,镜像为nginx,并且挂载该PVC至/usr/share/nginx/html,挂载的权限为ReadWriteOnce。之后通过 kubectl edit或者 kubectl path将pvc改成70Mi,并且记录修改记录。

参考:

https://kubernetes.io/docs/tasks/configure-pod-container/configure-persistent-volume-storage/
https://kubernetes.io/zh-cn/docs/concepts/storage/persistent-volumes/

解题:

# 创建PVC
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pv-volume
spec:
  accessModes:
  - ReadWriteOnce
  volumeMode: Filesystem
  resources:
    requests:
      storage: 10Mi
  storageClassName: csi-hostpath-sc

# 创建Pod
apiVersion: v1
kind: Pod
metadata:
  name: web-server
spec:
  containers:
    - name: nginx
      image: nginx
      volumeMounts:
      - mountPath: "/usr/share/nginx/html"
        name: pv-volume   # 名字不是必须和pvc一直,也可以为my-volume
  volumes:
    - name: pv-volume   # 名字不是必须和pvc一直,也可以为my-volume
      persistentVolumeClaim:
        claimName: pv-volume

# 扩容
# 方式一patch命令:
kubectl patch pvc pv-volume  -p '{"spec":{"resources":{"requests":{"storage": "70Mi"}}}}' --record

# 方式二edit:
kubectl edit pvc pv-volume 
# 记录修改记录,需要加--record参数或--save-config
kubectl edit pvc pv-volume --record
kubectl edit pvc pv-volume --save-config
将两处10Mi都改为70Mi,如果是nfs,会因为不支持动态扩容而失败。
edit完需要稍等一会儿,容量才会变为70Mi

16.Sidecar(7)

中文解释:
添加一个名为busybox且镜像为busybox的sidecar到一个已经存在的名为legacy-app的Pod上,这个sidecar的启动命令为 /bin/sh, -c, 'tail -n+1 -f /var/log/legacy-app.log'
并且这个sidecar和原有的镜像挂载一个名为logs的volume,挂载的目录为/var/log/

参考:

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-volume-storage/
https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/logging/

解题:
首先将legacy-app的Pod的yaml导出,大致如下:

kubectl get pod legacy-app -o yaml > c-sidecar.yaml
apiVersion: v1
kind: Pod
metadata:
  name: legacy-app
spec:
  containers:
  - name: count
    image: busybox
    args:
    - /bin/sh
    - -c
    - >
      i=0;
      while true;
      do
        echo "$(date) INFO $i" >> /var/log/legacy-ap.log;
        i=$((i+1));
        sleep 1;
      done   

# 在此yaml中添加sidecar和volume
vim c-sidecar.yaml
apiVersion: v1
kind: Pod
metadata:
  name: legacy-app
spec:
  containers:
  - name: count
    image: busybox
    args:
    - /bin/sh
    - -c
    - >
      i=0;
      while true;
      do
        echo "$(date) INFO $i" >> /var/log/legacy-ap.log;
        i=$((i+1));
        sleep 1;
      done  
    # 加上下面部分
    volumeMounts:
    - name: logs
      mountPath: /var/log
  - name: busybox
    image: busybox
    args: [/bin/sh, -c, 'tail -n+1 -f /var/log/legacy-ap.log']
    volumeMounts:
    - name: logs
      mountPath: /var/log
  volumes:
  - name: logs
    emptyDir: {}

kubectl delete -f c-sidecar.yaml
kubectl create -f c-sidecar.yaml

# 检查
[root@k8smaster /opt/cka]# kubectl logs legacy-app -c busybox 
17.1集群故障排查——kubelet故障(13)

中文解释:
一个名为wk8s-node-0的节点状态为NotReady,让其他恢复至正常状态,并确认所有的更改开机自动完成

解题:

# 检查wk8s-node-0 kubelet服务状态
ssh wk8s-node-0
sudo su - 
systemctl status kubelet 
systemctl start kubelet
systemctl enable kubelet

其实这题没这么简单,一般启动kubelet后大概率是启动失败的
可能的原因:
1.kubelet二进制文件路径不对,which kubelet后和服务启动文件kubelet systemd service做个对比,看是否是这个原因
2.service文件路径和它启动的路径不一致,在启动目录下找不到service文件,可以全局搜下并做个软链接。
3.其他原因。

# 再次检查wk8s-node-0是否在ready
ssh master01
kubectl get nodes
17.2集群故障排查——主节点故障(13)

这是之前的考题,现在应该没有这个题了。

参考:

https://kubernetes.io/zh/docs/tasks/configure-pod-container/static-pod/

四.可能会考的题

题目1:nginx打标签
labels key1=rw01 key2=rw02

思路:

label pod/deployment

参考:

https://kubernetes.io/zh-cn/docs/concepts/cluster-administration/manage-deployment/#using-labels-effectively

步骤:

kubectl run hwcka-005 --image=nginx --labels key1=rw01,key2=rw02
kubectl apply -f name.yaml
题目2:deployment版本升级回退
1.创建deployment版本nginx
2.修改镜像1.12.0,并记录这个更新
3.回退到上个版本

思路:

1.deployment rollout
2.--record

参考:

https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/
https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/deployment/#rolling-back-a-deployment

步骤:

kubectl create deployment hwcka-07 --image=nginx --dry-run=client -o yaml > 7.yaml
kubectl apply -f 7.yaml
kubectl edit deployments.apps hwcka-07 --record    # 修改nginx镜像为nginx:1.12.0
kubectl rollout history deployment hwcka-07 
kubectl rollout undo deployment hwcka-07 --to-revision=1
# 回退前和回退后都需要edit查看下image的版本
posted on 2023-09-18 14:02  jiayou111  阅读(12355)  评论(2编辑  收藏  举报