[title]证书准备工作[/title] [crayon-69bfac6c0a0b8598240216/] [title]所有服务的配置脚本[/title]       上述配置主要是希望实现kubelet能够通过bootstrap自动获取到证书，并通过证书与APIserver通信，从实际结果看，kubelet没有自动申请csr，在master上无法get到相关csr请求。有待查找问题。但整体配置不影响使用。 另，节点部分看上去其实可以保持使用非SSL配置方式，即保留Kubernet…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

现象： 从内部某个pod的容器里直接访问service的cluster地址，请求可以被正常转发到各个node上的pod里 但是从外部网络，访问nodeport发布的服务，则发现请求不能被转发到其他node上 排错发现，请求没有被转发到其他node的物理接口，说明问题出在接受请求的那台node本身上 查看iptables filter表发现，转发数据包匹配一条docker创建的规则导致丢弃 [crayon-69bfac6c0b350914239381/]   forward链中的 第1，2规则都导致丢弃 强…

无法提供摘要。这是一篇受保护的文章。

无法提供摘要。这是一篇受保护的文章。

无法提供摘要。这是一篇受保护的文章。

作者介绍：王天夫 腾讯云后台开发工程师 腾讯云容器服务是基于Kubernetes打造的。在Kubernetes中，创建和管理容器都是以controller来实现，例如：Replication Controller，Deployment,PetSet等。使用controller来管理容器，可以使用户方便的对容器数量做扩缩容，升级容器等操作。此文主要选择了两个最常用的controller，从各自功能，优缺点方面进行对比，方便大家在后续自己直接使用原生的Kubernetes功能时做参考。 Replication Cont…

使用ReplicationController来部署、升级Pod Replica Set—下一代的ReplicationController Deployment — 更加方便的管理Pod和Replica Set 一、使用ReplicationController（rc）部署、升级Pod RC保证在同一时间能够运行指定数量的Pod副本，保证Pod总是可用。如果实际Pod数量比指定的多就结束掉多余的，如果实际数量比指定的少就启动缺少的。当Pod失败、被删除或被终结时，RC会自动创建新的Pod来保证副本数量，所以即使只…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

Avoiding collisions One of the primary philosophies of Kubernetes is that users should not be exposed to situations that could cause their actions to fail through no fault of their own. In this situation, we are looking at network ports - users should not have…

确认apiserver启用了RBAC特性 检查apiserver启动参数是否包含--authorization-mode=RBAC,详细见Kubernetes 1.6.7 手工安装 yaml文件修改 修改其中的api server host配置项为自己的api server地址及端口，其它保持不变： [crayon-69bfac6c0ba4e879387646/] 创建资源 kubectl create -f  k8s-dashboard.yaml 验证 [crayon-69bfac6c0ba52711012652…

借用网上一张图，画的挺好~ 来自http://blog.csdn.net/xinghun_4/article/details/50492041 对应解释如下 [crayon-69bfac6c0bb38400176529/] 在被转发目标node的物理网口抓包（需decode as vxlan)

deployment文件部署两个nginx pod deployment yaml文件 [crayon-69bfac6c0bc94550278911/] kubectl create -f my-nginx.yaml --record --save-config: [crayon-69bfac6c0bc98817949678/] 再启动一个pod： [crayon-69bfac6c0bc9a324427710/]   [crayon-69bfac6c0bc9b854276660/] [crayon-69b…

[crayon-69bfac6c0bf2a970939311/]  

前言 kubernetes 1.6.7已经废弃kube2sky的dns模式. 本测试使用官方的yaml文件创建。下图描述了kube-dns的组件结构： （exechealthz-->sidecar) kubedns 接管了以前的skydns，并使用一个树状结构保存从k8s API获取到的信息。 dnsmasq为dns pod提供解析接入服务，并作为一个dns cache保护kubedns。 sidecar执行域名检查监控kubedns和 dnsmasq是否正常提供解析： [crayon-69bfac6c0c0…

[crayon-69bfac6c0c52f561622099/] [crayon-69bfac6c0c533665861753/] [crayon-69bfac6c0c535271170906/] [crayon-69bfac6c0c536616114103/]

准备工作 为了学习以及理解k8s各个模块组件间关系，没有使用yum来安装，也没有使用kubeadm来做建立集群。采用全手工安装和配置方式,为了简化安装过程，集群内未使用证书来实现安全的接口通信。 环境 三台主机 172.16.199.17/24  Master 172.16.199.27/24 node 172.16.199.37/24 node 所有机器上都已安装好 docker，三机构成etcd集群，全部安装了flannel网络 系统版本Centos7 Master安装：