现象： 从内部某个pod的容器里直接访问service的cluster地址，请求可以被正常转发到各个node上的pod里 但是从外部网络，访问nodeport发布的服务，则发现请求不能被转发到其他node上 排错发现，请求没有被转发到其他node的物理接口，说明问题出在接受请求的那台node本身上 查看iptables filter表发现，转发数据包匹配一条docker创建的规则导致丢弃 [crayon-68a5c6431568a007810175/]   forward链中的 第1，2规则都导致丢弃 强…

无法提供摘要。这是一篇受保护的文章。

无法提供摘要。这是一篇受保护的文章。

无法提供摘要。这是一篇受保护的文章。

作者介绍：王天夫 腾讯云后台开发工程师 腾讯云容器服务是基于Kubernetes打造的。在Kubernetes中，创建和管理容器都是以controller来实现，例如：Replication Controller，Deployment,PetSet等。使用controller来管理容器，可以使用户方便的对容器数量做扩缩容，升级容器等操作。此文主要选择了两个最常用的controller，从各自功能，优缺点方面进行对比，方便大家在后续自己直接使用原生的Kubernetes功能时做参考。 Replication Cont…

使用ReplicationController来部署、升级Pod Replica Set—下一代的ReplicationController Deployment — 更加方便的管理Pod和Replica Set 一、使用ReplicationController（rc）部署、升级Pod RC保证在同一时间能够运行指定数量的Pod副本，保证Pod总是可用。如果实际Pod数量比指定的多就结束掉多余的，如果实际数量比指定的少就启动缺少的。当Pod失败、被删除或被终结时，RC会自动创建新的Pod来保证副本数量，所以即使只…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

Avoiding collisions One of the primary philosophies of Kubernetes is that users should not be exposed to situations that could cause their actions to fail through no fault of their own. In this situation, we are looking at network ports - users should not have…

确认apiserver启用了RBAC特性 检查apiserver启动参数是否包含--authorization-mode=RBAC,详细见Kubernetes 1.6.7 手工安装 yaml文件修改 修改其中的api server host配置项为自己的api server地址及端口，其它保持不变： [crayon-68a5c64316b78490608048/] 创建资源 kubectl create -f  k8s-dashboard.yaml 验证 [crayon-68a5c64316b7b222578325…

借用网上一张图，画的挺好~ 来自http://blog.csdn.net/xinghun_4/article/details/50492041 对应解释如下 [crayon-68a5c64316c5f215794028/] 在被转发目标node的物理网口抓包（需decode as vxlan)

deployment文件部署两个nginx pod deployment yaml文件 [crayon-68a5c64316da0391266132/] kubectl create -f my-nginx.yaml --record --save-config: [crayon-68a5c64316da4757811041/] 再启动一个pod： [crayon-68a5c64316da5829649366/]   [crayon-68a5c64316da7316603248/] [crayon-68a…

[crayon-68a5c64317059311188569/]  

前言 kubernetes 1.6.7已经废弃kube2sky的dns模式. 本测试使用官方的yaml文件创建。下图描述了kube-dns的组件结构： （exechealthz-->sidecar) kubedns 接管了以前的skydns，并使用一个树状结构保存从k8s API获取到的信息。 dnsmasq为dns pod提供解析接入服务，并作为一个dns cache保护kubedns。 sidecar执行域名检查监控kubedns和 dnsmasq是否正常提供解析： [crayon-68a5c643171…

[crayon-68a5c6431763b431320068/] [crayon-68a5c6431763f864869433/] [crayon-68a5c64317641558492539/] [crayon-68a5c64317642033710008/]

准备工作 为了学习以及理解k8s各个模块组件间关系，没有使用yum来安装，也没有使用kubeadm来做建立集群。采用全手工安装和配置方式,为了简化安装过程，集群内未使用证书来实现安全的接口通信。 环境 三台主机 172.16.199.17/24  Master 172.16.199.27/24 node 172.16.199.37/24 node 所有机器上都已安装好 docker，三机构成etcd集群，全部安装了flannel网络 系统版本Centos7 Master安装：

Vxlan模式 flannel的vxlan模式，数据包是通过kernal来转发的，而当使用udp模式时候是flannel自己转发。UDP模式下性能要差很多，性能差别可参考一些测试： UDP模式： 60秒单线程测试 iperf3 -c x.x.x.x -t 60 结果： [ 4] 0.00-60.00 sec 3.33 GBytes 477 Mbits/sec 15716 sender [ 4] 0.00-60.00 sec 3.33 GBytes 476 Mbits/sec receiver 开启30个线程传输 i…

Flannel简介 Flannel是一个开源的用于管理和组织跨主机间容器网络的一套工具，其原理是通过在所有宿主机上建立一个flannel0网卡，将所有宿主机设置为同一个大的网段，并改写每个docker0的桥IP（通过改写docker daemon启动命令）为其一个子网IP，从而实现，整体网络在一个大的网段，各个docker0分配不同的子网网段。各个docker0网络内的容器数据包最终通过flanneld进程来将数据包进行封装，通过UDP包外层封装（缺省），或者vxlan隧道，实现跨主机容器通信（主机底层物理网络只要…