需求： K8S中的服务不可用的时候（假定k8s的某个服务出现完全不可用，理论上k8s本身会避免这个问题的出现，这里姑且认为客户需求是合理的），需要为通过CIS已经发布的VS 提供备份访问，及该vs将自动把业务导向其它静态vm提供的服务。 Solution： 需借助BIGIP AS3来实现该需求。即CIS通过部署AS3的方式来部署服务，通过在AS3里直接配置静态的低优先级组member来实现备份，一个例子如下： 上述配置中的pool members部分是重点，静态添加低优先级组member，高优先级组由CIS自动化发…

由于之前全手工安装的是1.10.6版本. 最近需要测试nginx的CRD，但是此CRD至少要v1.11以上版本。本着测试环境多一事不如少一事的原则。。。决定用kubeadm来个快速全新安装一套。 环境准备 1master，2nodes 172.16.10.210 k8s-master-v1-16.lab.f5se.io172.16.10.211 k8s-node1-v1-16.lab.f5se.io172.16.10.212 k8s-node2-v1-16.lab.f5se.io 所有节点准备工作 替换yum re…

在ingress resources里使用annotations 在IC所引用的Configmap里定义 自定义ingress resources的annotations（需自定义template） 通过configmap自定义template CRD （Virtual Server, Virtual Server Route） 在ingress resource里使用annotation的好处是可以借助mergeable ingress 来对不同的location path配置不同的nginx配置 Nginx I…

Calico是k8s诸多网络解决方案中比较优秀的一种，使用起来比较容易，且性能也很优秀，支持IPIP的隧道模式，也支持基于路由的全三层方案，特别是三层方案由于不需要额外的隧道开销，使其性能优秀，路由方案只支持BGP路由，这可能多少限制了一些其使用场景，特别是如果企业现有路由方案不是BGP的话，涉及到比较复杂的路由设计与分发考虑，但是由于k8s平台大部分情况下会是独立建设，因此对于数据中心运维人员来说，单纯的路由问题将会是比较熟悉的领域，因此建设难度并不会过于复杂。 F5是应用交付领域的领导者，凭借其优秀的3-7层控…

环境：主机1： master+node1主机2： node2主机在同一个二层网络里互通原来环境使用canal，flannel部分采用vxlan 首先通过kubectl delete -f canal.yaml删除原来的相关容器 删除后，系统遗留flannel.1网卡接口以及相关静态fdb表需要手工删除，如果不删除系统将继续使用以前的flannel以及相关路由，calico不能正确的创建相关路由条目 参考 https://docs.projectcalico.org/v3.4/getting-started/kube…

环境 : flannel vxlan，K8S 1.10， BIGIP V13 前提：将bigip作为node节点加入k8s中。 BIGIP上提前配置好vxlan tunnel和tunnel self ip （这两个资源都在/Common下） 步骤1： 在NS1下创建第一个cc，只监听这个ns内资源: 创建完毕后，F5将在/Common下创建相关FDB条目 步骤2： 在相关ns下发布对应的configmap F5资源 步骤3：在另一个ns里部署一个新的cc 在新的ns里发布相关configmap F5资源即可 最后F…

环境背景： flannel vxlan CNI 网络模型， F5 CC容器对接方案。 目标： 实现在F5上利用route domain对不同NS的流量隔离，类似如下： -- | -- | -- | -- | -- | -- Ns1 | Cc1 | Svc1 | cm1 | Partition 1 | Route domain1 -- | -- | -- | -- | -- | -- Ns2 | Cc2 | Svc2 | cm2 | Partition2 | Route domain2 过程分析： 要想实现不同cc监…

Kubernetes requires networks to follow these rules: All pods can communicate with each other without NAT All nodes can communicate with pods without NAT, in both directions The IP seen by a container is the same as the IP seen by external components There are …

http://chunqi.li/2015/11/15/Battlefield-Calico-Flannel-Weave-and-Docker-Overlay-Network/ From the previous posts, I have analysed 4 different Docker multi-host network solutions - Calico, Flannel, Weave and Docker Overlay Network. You can see more details on h…

方案思路： BIGIP通过与node节点构建vxlan网络实现F5与pod网络的直接通信。 前置要求： 1.BIGIP有一个网络须与k8s节点在一个二层上，在这个二层之上构建vxlan，这不是BIGIP的限制，而是flanne vxlan网络模型的设计要求。 2.BIGIP须与k8s中node节点的internalIP构建vxlan，即flannel的vxlan vtep接口要是k8s集群本身所用的接口。如果不是同一接口，可采用https://github.com/myf5/k8s-bigip-ctlr 补丁即可，…

bigip cc 总是使用node internal ip 导致fdb设置错误

[crayon-683918ea580dd215923535/]  

Feature Ingress on OpenShift Route on OpenShift Standard Kubernetes object X External access to services X X Persistent (sticky) sessions X X Load-balancing strategies (e.g. round robin) X X Rate-limit and throttling X X IP whitelisting X X TLS edge terminatio…

感谢媳妇和宝贝，大热天为了让我能安静学习，一鼓作气，特定回了宝贝姥姥家。为了学习考试，特地休假了一段时间，基本是闭门学习状态。老实说，随着年龄增长，现在考试学习这方面的经历要差不少，上一轮考认证还是10余年前考思科时，所以这一次学习多少压力还是有的，kubernetes.io的文档基本快要看到吐了，从conept到task到referrence到tutorials. 并不停的实验。我本身稍微有些基础但不多（可以通过我的博客看出我是在去年夏天有一段时间学习了一下，随后因工作关系，并未持续学习和使用），通过闭门14天，…

默认情况下，系统会为每个servcieaccount（sa）创建一个对应的secret，这个secret里包含一个token，一般默认是ca证书。 https://v1-10.docs.kubernetes.io/docs/concepts/configuration/secret/ 文章说可以通过将sa挂载到pod上实现secret的自动挂载，这个地方其实有些问题，缺省自动产生的secret是可以自动被挂载到pod的。但是如果额外为这个sa创建的secret是不能自动挂载到pod上的（因为系统都不知道你要挂到哪里…

[crayon-683918ea582e2777803423/] 在一个matchexpression部分中的多条件是 AND关系 [crayon-683918ea582e5812533482/] 多nodeselectorterm是 或，任意一个匹配即可 [crayon-683918ea582e7739156094/] required首先要满足，在同时多个node满足的情况下，使用prefer，preference下只能配置一个matchexpression，如果匹配则给node加weight（因为此时sche…

用来管理pod的一种抽象，一般很少单独创建，多数情况下是deployment来自动创建和维护。 与RC不同的是，RS的selector支持 set-based，而不是RC简单的等于这样的匹配。 RS的spec.selector必须等于spec.template.labels. spec.template中的内容和一个普通的pod 定义无区别，这是没有了API和kind。 RS会根据replicas的设定维护pods的数量，但是RS与pods的唯一关系就是label selector，它甚至不知道被匹配的pod是不是…