Q's blog

一些个人文档笔记

发表于 分类于 本文字数: 672 阅读时长 ≈ 1 分钟

1.安装

1
yum -y install httpd

2.过程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[root@apiserver local]# mkdir basic-auth
[root@apiserver local]# cd basic-auth/
[root@apiserver basic-auth]# ls
[root@apiserver basic-auth]# htpasswd -c auth foo
New password:
Re-type new password:
Adding password for user foo
[root@apiserver basic-auth]# kubectl create secret generic basic-auth --from-file=auth
secret/basic-auth created

[root@apiserver basic-auth]# vim ingress.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: ingress-with-auth
annotations:

nginx.ingress.kubernetes.io/auth-type: basic
nginx.ingress.kubernetes.io/auth-secret: basic-auth
nginx.ingress.kubecnetes.io/auth-realm: ‘Authentication Required - foo’ #  foo对应用户名
spec:
rules:

发表于 分类于 本文字数: 4.3k 阅读时长 ≈ 4 分钟

1

故障现象

kubelet 启动不了,通过命令 journalctl -u kubelet 查看日志,报 Failed to start ContainerManager failed to initialize top level QOS containers: failed to update top level Burstable QOS cgroup : failed to set supported cgroup subsystems for cgroup [kubepods burstable]: failed to find subsystem mount for required subsystem: pids

阅读全文 »

发表于 分类于 本文字数: 4.9k 阅读时长 ≈ 4 分钟

如果你经常使用 Kubernetes,那么应该对 Helm 和 Kustomize 不陌生,这两个工具都是用来管理 Kubernetes 资源清单的,但是二者有着不同的工作方式。

Helm 使用的是模板,一个 Helm Chart 包中包含了很多模板和值文件,当被渲染时模板中的变量会使用值文件中对应的值替换。而 Kustomize 使用的是一种无模板的方式,它对 YAML 文件进行修补和合并操作,此外 Kustomize 也已经被原生内置到 kubectl 中了。这两个工具在 Kubernetes 的生态系统中都被广泛使用,而且这两个工具也可以一起结合使用。

阅读全文 »

发表于 更新于 分类于 本文字数: 1.4k 阅读时长 ≈ 1 分钟

etcd 是基于 raft算法的分布式键值数据库,生来就为集群化而设计的,由于Raft算法在做决策时需要超半数节点的投票,所以etcd集群一般推荐奇数节点,如3、5或者7个节点构成一个集群。

阅读全文 »

发表于 分类于 本文字数: 4.4k 阅读时长 ≈ 4 分钟

K8S亲和与反亲和简介

nodeSelector 提供了一种非常简单的方法来将 pod 约束到具有特定标签的节点上。亲和/反亲和功能极大地扩展了你可以表达约束的类型。关键的增强点是

  • (1) 语言更具表现力(不仅仅是“完全匹配的 AND”)
  • (2) 你可以发现规则是“软”/“偏好”,而不是硬性要求,因此,如果调度器无法满足该要求,仍然调度该 pod
  • (3) 你可以使用节点上(或其他拓扑域中)的 pod 的标签来约束,而不是使用节点本身的标签,来允许哪些 pod 可以或者不可以被放置在一起

亲和功能包含两种类型的亲和,即

  • 节点亲和
  • pod 间亲和/反亲和

节点亲和就像现有的 nodeSelector(但具有上面列出的前两个好处),然而 pod 间亲和/反亲和约束 pod 标签而不是节点标签(在上面列出的第三项中描述,除了具有上面列出的第一和第二属性)。

阅读全文 »

发表于 分类于 本文字数: 16k 阅读时长 ≈ 14 分钟

高可用

etcd 是基于 raft算法的分布式键值数据库,生来就为集群化而设计的,由于Raft算法在做决策时需要超半数节点的投票,所以etcd集群一般推荐奇数节点,如3、5或者7个节点构成一个集群。

以上是etcd集群部署的基础概念,但是还需要注意以下问题:

阅读全文 »

发表于 分类于 本文字数: 2.9k 阅读时长 ≈ 3 分钟

在使用 Kubernetes 时,可能会遇到一些网络问题。当通过检查配置与日志无法排查错误时,这时就需要抓取网络数据包,但是Pod内一般不会安装tcpdump命令,那有没有方法可以直接通过宿主机抓取Pod网络数据包?

当然有,本文介绍 nsenter 命令,能够进入Pod容器 net 命名空间。并且本文提供一个快速进入Pod容器 net 命名空间脚本,方便大家使用。

阅读全文 »

发表于 分类于 本文字数: 1.8k 阅读时长 ≈ 2 分钟

前言

随着 Kubernetes 越来越流行,不管大公司还是小公司都往 Kubernetes 迁移,每个公司最少有两套集群(测试和生产),但是多个集群就有多个 Kubeconfig 用户授权文件。虽然官方文档中有介绍多个Kubeconfig 文件合并成一个 Kubeconfig,但是对于一些新手来说,看得不是很明白。

本文介绍 Kubeconfig 文件结构,并推荐一个工具自动合并Kubeconfig

阅读全文 »

发表于 分类于 本文字数: 1.8k 阅读时长 ≈ 2 分钟

Pod status 状态解释 [1]

  • CrashLoopBackOff:容器退出,kubelet正在将它重启
  • InvalidImageName:无法解析镜像名称
  • ImageInspectError:无法校验镜像
  • ErrImageNeverPull:策略禁止拉取镜像
  • ImagePullBackOff:镜像正在重试拉取
  • RegistryUnavailable:连接不到镜像中心
  • ErrImagePull:通用的拉取镜像出错
  • CreateContainerConfigError:不能创建kubelet使用的容器配置
  • CreateContainerError:创建容器失败
  • m.internalLifecycle.PreStartContainer:执行hook报错
  • RunContainerError:启动容器失败
  • PostStartHookError:执行hook报错
  • ContainersNotInitialized:容器没有初始化完毕
  • ContainersNotReady:容器没有准备完毕
  • ContainerCreating:容器创建中
  • PodInitializing:pod 初始化中
  • DockerDaemonNotReady:docker还没有完全启动
  • NetworkPluginNotReady:网络插件还没有完全启动
阅读全文 »

发表于 更新于 本文字数: 15k 阅读时长 ≈ 13 分钟

一、openvpn原理

openvpn通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Publice key,另外一个是Private key)对数据进行加密的。这种方式称为TLS加密。

openvpn使用TLS加密的工作过程是,首先VPN Sevrver端和VPN Client端要有相同的CA证书,双方通过交换证书验证双方的合法性,用于决定是否建立VPN连接。然后使用对方的CA证书,把自己目前使用的数据加密方法加密后发送给对方,由于使用的是对方CA证书加密,所以只有对方CA证书对应的Private key才能解密该数据,这样就保证了此密钥的安全性,并且此密钥是定期改变的,对于窃听者来说,可能还没有破解出此密钥,VPN通信双方可能就已经更换密钥了。

阅读全文 »
0%