05 2020 档案
摘要:前言: linux直接使用root权限是比较危险的,容易误操作导致不可挽回的后果,但如果使用低权限的账号,在实际的工作中却带来了很大的不便,每次进行操作时都需要输入root密码,这个问题有个折中的方案,对/etc/sudoers文件进行适当的修改,在使用需要使用root账户时,直接在普通账户ansi
阅读全文
摘要:按正常的步骤将docker-compose安装,然后下载/usr/bin/目录下的docker-compose文件,上传到需要离线安装机器的/usr/bin的目录下,赋予执行权限就可以了
阅读全文
摘要:前言: ClamAV是Linux平台上领先的开源病毒扫描程序,如果你要为Linux桌面或服务器找到一个好的病毒扫描程序,这个应用程序应该是你的首选。它在命令行中运行,可以在Linux服务器和台式机上使用,并且可以很好地消除大量不同类型的恶意软件,包括恶意软件,电子邮件服务器漏洞,病毒,甚至是Wind
阅读全文
摘要:原文链接:https://www.cnblogs.com/jichi/p/12935207.html 前言 nginx可所谓是如今最好用的软件级别的负载均衡了。通过nginx的高性能,并发能力强,占用内存小的特点,可以搭建高性能的代理服务。同时nginx还能作为web服务器,反向代理,动静分离服务器
阅读全文
摘要:openvas的安装及使用 安装 安装前的准备: sed -i "/^SELINUX=enforcing/c\SELINUX=disabled" /etc/selinux/configsetenforce 0yum install -y wget bzip2 texlive net-tools al
阅读全文
摘要:前言:Lynis是一款Unix系统的安全审计以及加固工具,能够进行深层次的安全扫描,其目的是检测潜在的时间并对未来的系统加固提供建议。这款软件会扫描一般系统信息,脆弱软件包以及潜在的错误配置. 特征: 漏洞扫描 系统加固 入侵检测 中心管理 自定义行为规划 报告 安全面板 持续监测 技术支持 目标:
阅读全文
摘要:前言: 系统安全中重要的一项便是使系统保持在最新的状态,便可以将系统被攻破的几率大大降低,本文将介绍如何安装linux系统的更新,如何开启类似windows自动更新的linux更新,以及如何只安装安全方面的更新。生产环境对软件版本和内核版本要求非常精确,别没事有事随便的进行yum update操作!
阅读全文
摘要:认证用于身份鉴别,而授权则实现权限分派。k8s以插件化的方式实现了这两种功能,且分别存在多种可用的插件。另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能。 一、访问控制概述 apiserver作为k8s集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组
阅读全文
摘要:一、StatefulSet概述 应用程序存在有状态和无状态两种类别,因为无状态类应用的pod资源可按需增加、减少或重构,而不会对由其提供的服务产生除了并发相应能力之外的其他严重影响。pod资源的常用控制器中,deployment、replicaset和daemonset等常用于管理无状态应用。但实际
阅读全文
摘要:Secret资源的功能类似于ConfigMap,但它专用于存放敏感数据,如密码、数字证书、私钥、令牌和ssh key等。 一、概述 Secret对象存储数据以键值方式存储数据,再pod资源中通过环境变量或存储卷进行数据访问。Secret对象仅会被分发至调用了此对象的pod资源所在的工作节点,且只能由
阅读全文
摘要:ConfigMap对象用于为容器中的应用提供配置数据以定制程序的行为,不过敏感的配置信息,例如密钥、证书等通常由Secret对象来进行配置。他们将相应的配置信息保存于对象中,而后在pod资源上以存储卷的形式将其挂载并获取相关的配置,以实现配置与镜像文件的解耦。ConfigMap对象将配置数据以键值对
阅读全文
摘要:pod本身具有生命周期,故其内部运行的容器及其相关数据自身均无法持久存在。docker支持配置容器使用存储卷将数据持久存储于容器自身文件系统之外的存储空间中,它们可以是节点文件系统或网络文件系统之上的存储空间。相应地,k8s也支持类似地存储卷功能,不过,其存储卷是与pod资源绑定而非容器。简单来说,
阅读全文
摘要:k8s提供了两种内建的云端负载均衡机制用于发布公共应用,一种是工作于传输层的service资源,它实现的是TCP负载均衡器,另一种是Ingress资源,它实现的是HTTP(S)负载均衡器。 1)TCP负载均衡器 无论是iptables还是ipvs模型的service资源都配置于Linux内核中的ne
阅读全文
摘要:一、service资源及其实现模型 通过规则定义出由多个pod对象组合而成的逻辑集合,以及访问这组pod的策略。service关联pod资源的规则要借助于标签选择器来完成 1、service资源概述 由deploy等控制器管理的pod对象中断后会由新建的资源对象所取代,而扩缩容后的应用则会带来pod
阅读全文
摘要:CronJob用于管理job控制器资源的运行时间,job控制器定义的作业任务在其控制器资源创建之后便会立即执行,但cronjob可以以类似于linux操作系统的周期性任务作业计划的方式控制其运行时间点及重复运行的方式 cronjob对象支持使用的时间格式类似于crontab,略有不同的是,cronj
阅读全文
摘要:Job控制器用于调配pod对象运行一次性任务,容器中的进程在正常运行结束后不会对其进行重启,而是将pod对象置于completed状态。若容器中的进程因错误而终止,则需要依据配置确定重启与否,未运行完成的pod对象因其所在的节点故障而意外终止后会被重新调度。 实践中,有的作业任务可能需要运行不止一次
阅读全文
摘要:DaemonSet用于再集群中的全部节点上同时运行一份指定的pod资源副本,后续新加入的工作节点也会自动创建一个相关的pod对象,当从集群中移除节点时,此类pod对象也将被自动回收而无须重建。也可以使用节点选择器及节点标签指定仅在部分具有特定特征的节点上运行指定的pod对象。通常运行那些执行系统级操
阅读全文
摘要:简写为deploy,是k8s控制器的另一种实现,它构建于ReplicaSet之上,可为pod和rs资源提供声明式更新。 deploy控制器资源的大部分功能均可通过调用rs来实现,同时,还增添了部分特性: 事件和状态查看:必要时可以查看deploy对象升级的详细进度和状态 回滚:升级操作完成后发现问题
阅读全文
摘要:一、ReplicaSet概述 简称RS,是pod控制器类型的一种实现,用于确保由其管控的pod对象副本数在任一时刻都能精确满足期望的数量。ReplicaSet控制器资源启动后会查找集群中匹配其标签选择器的pod资源对象,当前活动对象的数量与其期望的数量不吻合时,多则删除,少则通过pod模板创建以补足
阅读全文
摘要:自主式pod对象由调度器绑定至目标工作节点后即由相应节点上的kubelet负责监控其容器的存活性,容器主进程崩溃后,kubelet能够自动重启相应的容器。不过,kubelet对非主进程崩溃类的容器错误却无感知,这依赖于用户为pod资源对象自定义的存活性探测机制,以便kubelet能够探知到此类故障。
阅读全文
摘要:在k8s上,可由容器或pod请求或消费的计算资源时指cpu和内存,这也是目前仅有的受支持的两种类型。相比较来说,cpu属于可压缩资源,即资源额度可按需收缩,而内存则是不可压缩型资源,对其执行收缩操作可能会导致某种程度的问题。 目前来说,资源隔离尚且属于容器级别,cpu和内存资源的配置需要在pod中的
阅读全文
摘要:一、pod存活性探测 pod spec为容器列表中的相应容器定义其专用的探针即可启用存活性探测,目前,k8s的容器支持存活性探测的方法包含:ExecAction、TCPSocketActon和HTTPGetAction。 1、设置exec探针 exec类型的探针通过在目标容器中执行由用户自定义的命令
阅读全文
摘要:pod对象自从创建开始至终止退出的时间范围称为生命周期,在这段时间中,pod会处于多种不同的状态,并执行一些操作;其中,创建主容器为必须的操作,其他可选的操作还包括运行初始化容器(init container)、容器启动后钩子(start hook)、容器的存活性探测(liveness probe)
阅读全文
摘要:一、标签与标签选择器 1、标签是k8s极具特色的功能之一,它能够附加于k8s的任何资源对象之上。简单来说,标签就是键值类型的数据,它们可于资源创建时直接指定,也可随时按需添加于活动对象中,而后即可由标签选择器进行匹配度检查从而完成资源挑选。一个对象可拥有不止一个标签,同一个标签也可被添加至多个资源之
阅读全文
摘要:一、容器于pod资源对象 现代的容器技术被设计用来运行单个进程时,该进程在容器中pid名称空间中的进程号为1,可直接接收并处理信号,于是,在此进程终止时,容器即终止退出。若要在一个容器中运行多个进程,则需要为这些进程提供一个类似于linux操作系统init进程的管控类进程,以树状结构完成多进程的生命
阅读全文
摘要:pod是k8s api中的核心资源类型,它可以定义在json或yaml格式的资源清单中,由资源管理命令进行陈述式或声明式管理。创建时,用户可通过create或apply命令将请求提交到apiserver,并将其保存至集群状态存储系统etcd中,而后由调度器将其调度至最佳目标节点,并被相应节点的kub
阅读全文
摘要:namespace是k8s集群级别的资源,用于将集群分隔为多个隔离的逻辑分区以配置给不同的用户、租户、环境或项目使用,例如,可以为development、qa、和production应用环境分别创建各自的名称空间。 k8s的绝大多数资源都隶属于名称空间级别(另一个是全局级别或集群级别),namesp
阅读全文
摘要:k8s api仅接受及响应json格式的数据,同时,为了便于使用,它也允许用户提供yaml格式的post对象,但apiserver需要事先自行将其转换为json格式后方能提交。每个资源通常仅接受并返回单一类型的数据,而一种类型可以被多个反映特定用例的资源所接受或返回。 1、资源配置清单 资源的创建要
阅读全文
摘要:REST是representational state transfer的缩写,意为“表征状态转移”,它是一种程序架构风格,基本元素为资源(resource)、表征(representation)和行为(action)。 资源可以分组为集合(collection),每个集合只包含单一类型的资源,并且
阅读全文
摘要:集群环境相关命令$kubectl vertion --short=true #显示当前使用的客户端及服务端程序版本信息$kubectl cluster-info #获取集群信息$kubectl api-versions #获取当前系统的apiserver上的相关信息 常用操作相关命令$kubectl
阅读全文
摘要:apiserver提供了restful风格的编程接口,其管理的资源时k8s api中的端点,用于存储某种api对象的集合,例如,内置pod资源是包含了所有pod对象的集合。资源对象是用于表现集群状态的实体,常用于描述应于哪个节点进行容器化应用、需要为其配置什么资源以及应用程序的管理策略等。 一、po
阅读全文
摘要:K8S网络模型 一、网络模型概述 k8s的网络中主要存在四种类型的通信:同一pod内的容器间通信、各pod彼此之间的通信、pod与service间的通信、以及集群外部的流量同service之间的通信。 k8s为pod和service资源对象分别使用了各自的专用网络,pod网络由k8s的网络插件配置实
阅读全文
摘要:K8S集群组件 master节点主要由apiserver、controller-manager和scheduler三个组件,以及一个用于集群状态存储的etcd存储服务组成,而每个node节点则主要包含kubelet、kube-proxy及容器引擎等组件。此外,完整的集群服务还依赖于一些附加组件,如k
阅读全文
摘要:K8S概念 1、master master是集群的网关和中枢,负责诸如为用户和客户端暴露api、跟踪其他服务器的健康状态、以最优方式调度工作负载,以及编排其他组件之间的通信等服务,它是用户或客户端与集群之间的核心联络点,并负责k8s系统的大多数集中式管控逻辑,单个master节点即可完成其所有的功能
阅读全文
