什么是DNS Flag Day: DNS flag day是由google，ISC(BIND), PowerDNS，思科，Cloudflare等诸多国际知名DNS服务提供商联合发起的一项关于不再继续采取 "EDNS error workaround"措施的活动。 DNS flag day 背景： EDNS是对DNS协议的扩展补充（RFC6891），必须DNSSEC，Client Sub net，支持大于512字节DNS响应等都是通过EDNS(Version=0）来实现扩展支持的。但是一直以来，很多DNS的权威域名服…

方案思路： BIGIP通过与node节点构建vxlan网络实现F5与pod网络的直接通信。 前置要求： 1.BIGIP有一个网络须与k8s节点在一个二层上，在这个二层之上构建vxlan，这不是BIGIP的限制，而是flanne vxlan网络模型的设计要求。 2.BIGIP须与k8s中node节点的internalIP构建vxlan，即flannel的vxlan vtep接口要是k8s集群本身所用的接口。如果不是同一接口，可采用https://github.com/myf5/k8s-bigip-ctlr 补丁即可，…

bigip cc 总是使用node internal ip 导致fdb设置错误

[crayon-6475b33c7f003014407019/]  

Demo:

上述下载是个linux下可运行的二进制文件（centos7 tested）下载解压到环境变量目录下，例如/usr/bin [crayon-6475b33c7f08f292933094/] BIND 9.10以上版本默认支持, 也可以通过安装BIND9.10以上版本来获得

Feature Ingress on OpenShift Route on OpenShift Standard Kubernetes object X External access to services X X Persistent (sticky) sessions X X Load-balancing strategies (e.g. round robin) X X Rate-limit and throttling X X IP whitelisting X X TLS edge terminatio…

感谢媳妇和宝贝，大热天为了让我能安静学习，一鼓作气，特定回了宝贝姥姥家。为了学习考试，特地休假了一段时间，基本是闭门学习状态。老实说，随着年龄增长，现在考试学习这方面的经历要差不少，上一轮考认证还是10余年前考思科时，所以这一次学习多少压力还是有的，kubernetes.io的文档基本快要看到吐了，从conept到task到referrence到tutorials. 并不停的实验。我本身稍微有些基础但不多（可以通过我的博客看出我是在去年夏天有一段时间学习了一下，随后因工作关系，并未持续学习和使用），通过闭门14天，…

默认情况下，系统会为每个servcieaccount（sa）创建一个对应的secret，这个secret里包含一个token，一般默认是ca证书。 https://v1-10.docs.kubernetes.io/docs/concepts/configuration/secret/ 文章说可以通过将sa挂载到pod上实现secret的自动挂载，这个地方其实有些问题，缺省自动产生的secret是可以自动被挂载到pod的。但是如果额外为这个sa创建的secret是不能自动挂载到pod上的（因为系统都不知道你要挂到哪里…

[crayon-6475b33c7f25f018459208/] 在一个matchexpression部分中的多条件是 AND关系 [crayon-6475b33c7f263913733859/] 多nodeselectorterm是 或，任意一个匹配即可 [crayon-6475b33c7f264576240150/] required首先要满足，在同时多个node满足的情况下，使用prefer，preference下只能配置一个matchexpression，如果匹配则给node加weight（因为此时sche…

用来管理pod的一种抽象，一般很少单独创建，多数情况下是deployment来自动创建和维护。 与RC不同的是，RS的selector支持 set-based，而不是RC简单的等于这样的匹配。 RS的spec.selector必须等于spec.template.labels. spec.template中的内容和一个普通的pod 定义无区别，这是没有了API和kind。 RS会根据replicas的设定维护pods的数量，但是RS与pods的唯一关系就是label selector，它甚至不知道被匹配的pod是不是…

环境 k8s版本是1.10.6，当前已经使用手工配置的kubeconfig通过证书方式实现kubelet与API的通信，配置如下： [crayon-6475b33c7f49f594681476/] [crayon-6475b33c7f4a3951059409/] 在测试环境中，master节点本身也是一个node节点，通过修改相关配置实现master上这个node节点的kubelet实现自动的TLS bootstrapping. Node TLS bootstrapping原理 (首先注意这是Node的TLS的bo…

预先创建相关pv [crayon-6475b33c7f734651277474/] 执行以下yaml，创建headless servcie，statefulset，系统从statefulset模板中自动创建pvc [crayon-6475b33c7f738468201305/]   产生的输出效果 [crayon-6475b33c7f739832378933/]   [crayon-6475b33c7f73b890631725/] [crayon-6475b33c7f73d977205145/]…

http://blog.51cto.com/ylw6006/2104031 http://blog.51cto.com/ylw6006/2104692

[crayon-6475b33c7f87a370426583/] [crayon-6475b33c7f87d280924500/]  

drain， 清除一个node上的pods，将node置于不可以调度状态。默认对rc,rs,job, ds,statefulset管理的pod进行drain，如果要对非上述资源管理的pod进行drain则要加--force参数。 drain命令可以加--pod-selector=参数根据label来只驱逐指定的pods，保留其它pods并将node至于不可调度状态 如果被驱逐的pod使用了本地存储，需要使用 --delete-local-data参数 drain对daemonset部署的pod不起作用