测试版本1.10.6 pvc要求1G容量，如果有多个容量不同的符合条件的pv，比如2G,3G.  会自动绑定最接近容量的那个pv。 删除一个已经被绑定的pv后，pvc依旧是bound状态，对应pv一直处于terminating，已经挂载的pod还可以继续用它，但不能被新pod再挂载。删除pvc后，pv一起跟着删除。 删除pvc后，对应的pv进入Released状态，根据reclaiming策略执行对应的动作，包含 retain，delete，recycle三种。默认是retain由管理员手工处理。delete如果对…

Pod的状态阶段 存在以下5个阶段（phase，注意和下面状态情况的差异）： [crayon-6475ac061f5de050591099/] Pending 创建pod的请求已经被k8s接受，但是容器并没有启动成功，可能处在：写数据到etcd，调度，pull镜像，启动容器这四个阶段中的任何一个阶段，pending伴随的事件通常会有：ADDED, Modified这两个事件的产生。 Running pod已经绑定到node节点，并且所有的容器已经启动成功，或者至少有一个容器在运行，或者在重启中。 Succeeded…

k8s验证与授权思路综述 相信很多人装k8s都想顺手装个dashboard看看，毕竟GUI有时候还是比较重要的，哈哈。 相信很多人会有同感，那就是一个dashboard搞的那么复杂，不是不能访问，就是不能登录，要么就是没权限。下面通过自己的一点研究，将问题分析过程记录如下，供参考。如有错误，请拍砖留言。 从两个方面来分析，即： 1.dashboard的安装与访问 2.dashboard的身份验证与授权 首先，我们需要有一个共识就是，k8s这套东西非常的解耦和插件化，它为了能够提供更好的二次开发能力，将很多东西搞的从…

Today, let’s talk about Kubernetes private/public keys & certificate authorities! This blog post is about how to take your own requirements about how certificate authorities + private keys should be organized and set up your Kubernetes cluster the way you …

使用Vagrant和Virtualbox搭建Kubernetes集群(F5 VERSION) 基于Jimmysong的github内容修改，修改列表如下： - 增加F5 hello world应用部署 - 修改traefik到 default namespace - 增加本地k8s二进制文件下载（v1.9.3） - 其它一些自定义修改 本文内容在Mac电脑上的fusion中的一个虚机内部署验证成功。 github链接：https://github.com/myf5/kubernetes-vagrant-centos…

Last update from July 20th, 2015 - I gave a tech talk at Airbnb office related to this topic. you may find the presentation here at my github In these days where microservices are becoming big, a compulsory modification of traditional architectural approaches …

k8s ver:1.6.7, 无CNI 使用hostnetwork来部署一个pod [crayon-6475ac0620269138071046/] 上述配置文件使用指定hostNetwork: true。发现，pod会用linux系统自身的路由表查找到目的地169.169.0.1:443， linux系统本身没有到169.169.0.1的路由，只能走缺省路由，导致无法连接到kubernetes service，最终导致pod失败。 当pod是非host模式时候，pod发起到kubernetes service 的…

Ingress examples This directory contains a catalog of examples on how to run, configure and scale Ingress. Please review the prerequisites before trying them. Basic cross platform Name Description Platform Complexity Level Deployment basic deployment of contro…

在写这篇博客的时候，系统已经稳定运行在docker容器上。本着折腾的精神，觉的还是应该将博客进行docker化，一来毕竟在内存上多花了不少钱，不充分利用一下有点说不不过去，最重要的是如果docker化，以后万一需要迁移博客到别的主机上，我只需要将相关容器打包一下拷贝过去起来就行了，简单快速。 这也是我第一次实践docker化工作，从小心谨慎以及可回退角度，做了以下目标设定： 将现有的所有服务docker化，包含 nginx，php-fpm，memcached，mysql docker化工作不能影响现有底层系统上的已…

[title]证书准备工作[/title] [crayon-6475ac0620524681333577/] [title]所有服务的配置脚本[/title]       上述配置主要是希望实现kubelet能够通过bootstrap自动获取到证书，并通过证书与APIserver通信，从实际结果看，kubelet没有自动申请csr，在master上无法get到相关csr请求。有待查找问题。但整体配置不影响使用。 另，节点部分看上去其实可以保持使用非SSL配置方式，即保留Kubernet…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

现象： 从内部某个pod的容器里直接访问service的cluster地址，请求可以被正常转发到各个node上的pod里 但是从外部网络，访问nodeport发布的服务，则发现请求不能被转发到其他node上 排错发现，请求没有被转发到其他node的物理接口，说明问题出在接受请求的那台node本身上 查看iptables filter表发现，转发数据包匹配一条docker创建的规则导致丢弃 [crayon-6475ac06209fd736936570/]   forward链中的 第1，2规则都导致丢弃 强…

作者介绍：王天夫 腾讯云后台开发工程师 腾讯云容器服务是基于Kubernetes打造的。在Kubernetes中，创建和管理容器都是以controller来实现，例如：Replication Controller，Deployment,PetSet等。使用controller来管理容器，可以使用户方便的对容器数量做扩缩容，升级容器等操作。此文主要选择了两个最常用的controller，从各自功能，优缺点方面进行对比，方便大家在后续自己直接使用原生的Kubernetes功能时做参考。 Replication Cont…

使用ReplicationController来部署、升级Pod Replica Set—下一代的ReplicationController Deployment — 更加方便的管理Pod和Replica Set 一、使用ReplicationController（rc）部署、升级Pod RC保证在同一时间能够运行指定数量的Pod副本，保证Pod总是可用。如果实际Pod数量比指定的多就结束掉多余的，如果实际数量比指定的少就启动缺少的。当Pod失败、被删除或被终结时，RC会自动创建新的Pod来保证副本数量，所以即使只…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

Avoiding collisions One of the primary philosophies of Kubernetes is that users should not be exposed to situations that could cause their actions to fail through no fault of their own. In this situation, we are looking at network ports - users should not have…

确认apiserver启用了RBAC特性 检查apiserver启动参数是否包含--authorization-mode=RBAC,详细见Kubernetes 1.6.7 手工安装 yaml文件修改 修改其中的api server host配置项为自己的api server地址及端口，其它保持不变： [crayon-6475ac062123a436875752/] 创建资源 kubectl create -f  k8s-dashboard.yaml 验证 [crayon-6475ac062123e980012778…