环境 k8s版本是1.10.6，当前已经使用手工配置的kubeconfig通过证书方式实现kubelet与API的通信，配置如下： [crayon-68391950ecc32899484051/] [crayon-68391950ecc39140942727/] 在测试环境中，master节点本身也是一个node节点，通过修改相关配置实现master上这个node节点的kubelet实现自动的TLS bootstrapping. Node TLS bootstrapping原理 (首先注意这是Node的TLS的bo…

预先创建相关pv [crayon-68391950edc2b789658796/] 执行以下yaml，创建headless servcie，statefulset，系统从statefulset模板中自动创建pvc [crayon-68391950edc30762026710/]   产生的输出效果 [crayon-68391950edc32595732780/]   [crayon-68391950edc33749931485/] [crayon-68391950edc35466007739/]…

http://blog.51cto.com/ylw6006/2104031 http://blog.51cto.com/ylw6006/2104692

[crayon-68391950edde7436997367/] [crayon-68391950eddeb151274411/]  

drain， 清除一个node上的pods，将node置于不可以调度状态。默认对rc,rs,job, ds,statefulset管理的pod进行drain，如果要对非上述资源管理的pod进行drain则要加--force参数。 drain命令可以加--pod-selector=参数根据label来只驱逐指定的pods，保留其它pods并将node至于不可调度状态 如果被驱逐的pod使用了本地存储，需要使用 --delete-local-data参数 drain对daemonset部署的pod不起作用

测试版本1.10.6 pvc要求1G容量，如果有多个容量不同的符合条件的pv，比如2G,3G.  会自动绑定最接近容量的那个pv。 删除一个已经被绑定的pv后，pvc依旧是bound状态，对应pv一直处于terminating，已经挂载的pod还可以继续用它，但不能被新pod再挂载。删除pvc后，pv一起跟着删除。 删除pvc后，对应的pv进入Released状态，根据reclaiming策略执行对应的动作，包含 retain，delete，recycle三种。默认是retain由管理员手工处理。delete如果对…

Pod的状态阶段 存在以下5个阶段（phase，注意和下面状态情况的差异）： [crayon-68391950edefa438408634/] Pending 创建pod的请求已经被k8s接受，但是容器并没有启动成功，可能处在：写数据到etcd，调度，pull镜像，启动容器这四个阶段中的任何一个阶段，pending伴随的事件通常会有：ADDED, Modified这两个事件的产生。 Running pod已经绑定到node节点，并且所有的容器已经启动成功，或者至少有一个容器在运行，或者在重启中。 Succeeded…

k8s验证与授权思路综述 相信很多人装k8s都想顺手装个dashboard看看，毕竟GUI有时候还是比较重要的，哈哈。 相信很多人会有同感，那就是一个dashboard搞的那么复杂，不是不能访问，就是不能登录，要么就是没权限。下面通过自己的一点研究，将问题分析过程记录如下，供参考。如有错误，请拍砖留言。 从两个方面来分析，即： 1.dashboard的安装与访问 2.dashboard的身份验证与授权 首先，我们需要有一个共识就是，k8s这套东西非常的解耦和插件化，它为了能够提供更好的二次开发能力，将很多东西搞的从…

Today, let’s talk about Kubernetes private/public keys & certificate authorities! This blog post is about how to take your own requirements about how certificate authorities + private keys should be organized and set up your Kubernetes cluster the way you …

使用Vagrant和Virtualbox搭建Kubernetes集群(F5 VERSION) 基于Jimmysong的github内容修改，修改列表如下： - 增加F5 hello world应用部署 - 修改traefik到 default namespace - 增加本地k8s二进制文件下载（v1.9.3） - 其它一些自定义修改 本文内容在Mac电脑上的fusion中的一个虚机内部署验证成功。 github链接：https://github.com/myf5/kubernetes-vagrant-centos…

Last update from July 20th, 2015 - I gave a tech talk at Airbnb office related to this topic. you may find the presentation here at my github In these days where microservices are becoming big, a compulsory modification of traditional architectural approaches …

k8s ver:1.6.7, 无CNI 使用hostnetwork来部署一个pod [crayon-68391950ee601092554114/] 上述配置文件使用指定hostNetwork: true。发现，pod会用linux系统自身的路由表查找到目的地169.169.0.1:443， linux系统本身没有到169.169.0.1的路由，只能走缺省路由，导致无法连接到kubernetes service，最终导致pod失败。 当pod是非host模式时候，pod发起到kubernetes service 的…

Ingress examples This directory contains a catalog of examples on how to run, configure and scale Ingress. Please review the prerequisites before trying them. Basic cross platform Name Description Platform Complexity Level Deployment basic deployment of contro…

在写这篇博客的时候，系统已经稳定运行在docker容器上。本着折腾的精神，觉的还是应该将博客进行docker化，一来毕竟在内存上多花了不少钱，不充分利用一下有点说不不过去，最重要的是如果docker化，以后万一需要迁移博客到别的主机上，我只需要将相关容器打包一下拷贝过去起来就行了，简单快速。 这也是我第一次实践docker化工作，从小心谨慎以及可回退角度，做了以下目标设定： 将现有的所有服务docker化，包含 nginx，php-fpm，memcached，mysql docker化工作不能影响现有底层系统上的已…

[title]证书准备工作[/title] [crayon-68391950ee91f860743474/] [title]所有服务的配置脚本[/title]       上述配置主要是希望实现kubelet能够通过bootstrap自动获取到证书，并通过证书与APIserver通信，从实际结果看，kubelet没有自动申请csr，在master上无法get到相关csr请求。有待查找问题。但整体配置不影响使用。 另，节点部分看上去其实可以保持使用非SSL配置方式，即保留Kubernet…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

现象： 从内部某个pod的容器里直接访问service的cluster地址，请求可以被正常转发到各个node上的pod里 但是从外部网络，访问nodeport发布的服务，则发现请求不能被转发到其他node上 排错发现，请求没有被转发到其他node的物理接口，说明问题出在接受请求的那台node本身上 查看iptables filter表发现，转发数据包匹配一条docker创建的规则导致丢弃 [crayon-68391950eee8e663124070/]   forward链中的 第1，2规则都导致丢弃 强…