随笔分类 - k8s
k8s相关
摘要:K8s 集群内 containerd 、docker 的区别 https://blog.csdn.net/qq_25518029/article/details/119736611 前景提要 Docker 技术使用 Linux 内核和内核功能(例如 Cgroups 和 namespaces)来分隔进
阅读全文
摘要:1、基于其出发点,k8s希望将资源限制在一个严格,精确可控范围内: Kubernetes 云原生的实现目的是将运行实例紧密包装到尽可能接近 100%:所有的部署、运行环境应该与 CPU 以及内存限定在一个可控的空间内。所以如果调度程序发送一个 Pod 到某一台节点机器,它不应该使用 Swap。如果使
阅读全文
摘要:1. 1、内核参数调化 fs.file-max=1000000 # max-file 表示系统级别的能够打开的文件句柄的数量, 一般如果遇到文件句柄达到上限时,会碰到 # "Too many open files"或者Socket/File: Can’t open so many files等错误。
阅读全文
摘要:在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ https://blog.csdn.net/vic_qxz/article/details/127568609
阅读全文
摘要:我们知道, Docker 是使用 Linux 的 Namespace 技术实现各种资源隔离的。那么究竟什么是 Namespace,各种 Namespace 都有什么作用,为什么 Docker 需要 Namespace呢?下面我带你一一揭秘。 首先我们来了解一下什么是 Namespace。 下面是 N
阅读全文
摘要:你可以认为namespaces是你kubernetes集群中的虚拟化集群。在一个Kubernetes集群中可以拥有多个命名空间,它们在逻辑上彼此隔离。 他们可以为您和您的团队提供组织,安全甚至性能方面的帮助! “default” Namespace 大多数的Kubernetes中的集群默认会有一个叫
阅读全文
摘要:Kubernetes NetworkPolicy 工作原理浅析 Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。那么如何实现呢?本文最先发布于 opsdev,转载已
阅读全文
摘要:深入理解K8S四层网络 模仿七层网络模型,抽象出四层模型 POD网络 同一节点上的pod网络 - 依赖于虚拟网桥/网卡(linux虚拟设备) - pod内容器共享网络栈(pause容器创建) 不同节点上的pod网络 - 路由方案:依赖于底层网络设备,但性能开销小 - 覆盖网络:不依赖于底层网络,但有
阅读全文
摘要:网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 说明: 所以,该网络策略示例: 可以在 ingress from 部分或 egress to 部分
阅读全文
摘要:容器网络原理 在这里插入图片描述 网络栈”,就包括:网卡(Network Interface)、回环设备(Loopback Device)、路由表(Routing Table)和 iptables 规则。 作为一个容器,它可以声明直接使用宿主机的网络栈(–net=host),即:不开启 Networ
阅读全文
摘要:在容器环境中,K8S管理着拥有数个、数百个甚至数千个节点的容器集群,其配置的重要性不可忽略。K8S的配置选项很复杂,一些安全功能并非默认开启,这加大了安全管理难度。如何有效地使用包括Pod安全策略、网络策略、API服务器、Kubelet及其他K8S组件和功能策略建立安全的K8S环境?青藤云安全为你整
阅读全文
摘要:0. 背景 项目需要在k8s上搭建一个redis cluster集群,网上找到的教程例如: github原版带配置文件 在原版基础上补充详细使用步骤但是无配置文件版 手把手教你一步一步创建的一篇博客 redis运行在容器中时必须选择一种外部存储方案,用来保存redis的持久化文件,否则容器销毁重建后
阅读全文
摘要:一、添加 Google incubator 仓库 01 02 [root@k8s-master01 efk]# helm repo add incubator http://storage.googleapis.com/kubernetes-charts-incubator "incubator"
阅读全文