[crayon-69e065f7f25c2708778414/] 在一个matchexpression部分中的多条件是 AND关系 [crayon-69e065f7f25ca252110775/] 多nodeselectorterm是 或，任意一个匹配即可 [crayon-69e065f7f25ce590302218/] required首先要满足，在同时多个node满足的情况下，使用prefer，preference下只能配置一个matchexpression，如果匹配则给node加weight（因为此时sche…

用来管理pod的一种抽象，一般很少单独创建，多数情况下是deployment来自动创建和维护。 与RC不同的是，RS的selector支持 set-based，而不是RC简单的等于这样的匹配。 RS的spec.selector必须等于spec.template.labels. spec.template中的内容和一个普通的pod 定义无区别，这是没有了API和kind。 RS会根据replicas的设定维护pods的数量，但是RS与pods的唯一关系就是label selector，它甚至不知道被匹配的pod是不是…

环境 k8s版本是1.10.6，当前已经使用手工配置的kubeconfig通过证书方式实现kubelet与API的通信，配置如下： [crayon-69e065f8005ed477465946/] [crayon-69e065f8005f2639085449/] 在测试环境中，master节点本身也是一个node节点，通过修改相关配置实现master上这个node节点的kubelet实现自动的TLS bootstrapping. Node TLS bootstrapping原理 (首先注意这是Node的TLS的bo…

预先创建相关pv [crayon-69e065f800a0e495945239/] 执行以下yaml，创建headless servcie，statefulset，系统从statefulset模板中自动创建pvc [crayon-69e065f800a13764264617/]   产生的输出效果 [crayon-69e065f800a15272089747/]   [crayon-69e065f800a18734279819/] [crayon-69e065f800a1a782894887/]…

http://blog.51cto.com/ylw6006/2104031 http://blog.51cto.com/ylw6006/2104692

[crayon-69e065f800c6f026676137/] [crayon-69e065f800c74890974494/]  

drain， 清除一个node上的pods，将node置于不可以调度状态。默认对rc,rs,job, ds,statefulset管理的pod进行drain，如果要对非上述资源管理的pod进行drain则要加--force参数。 drain命令可以加--pod-selector=参数根据label来只驱逐指定的pods，保留其它pods并将node至于不可调度状态 如果被驱逐的pod使用了本地存储，需要使用 --delete-local-data参数 drain对daemonset部署的pod不起作用

测试版本1.10.6 pvc要求1G容量，如果有多个容量不同的符合条件的pv，比如2G,3G.  会自动绑定最接近容量的那个pv。 删除一个已经被绑定的pv后，pvc依旧是bound状态，对应pv一直处于terminating，已经挂载的pod还可以继续用它，但不能被新pod再挂载。删除pvc后，pv一起跟着删除。 删除pvc后，对应的pv进入Released状态，根据reclaiming策略执行对应的动作，包含 retain，delete，recycle三种。默认是retain由管理员手工处理。delete如果对…

Pod的状态阶段 存在以下5个阶段（phase，注意和下面状态情况的差异）： [crayon-69e065f800d85068099904/] Pending 创建pod的请求已经被k8s接受，但是容器并没有启动成功，可能处在：写数据到etcd，调度，pull镜像，启动容器这四个阶段中的任何一个阶段，pending伴随的事件通常会有：ADDED, Modified这两个事件的产生。 Running pod已经绑定到node节点，并且所有的容器已经启动成功，或者至少有一个容器在运行，或者在重启中。 Succeeded…

k8s验证与授权思路综述 相信很多人装k8s都想顺手装个dashboard看看，毕竟GUI有时候还是比较重要的，哈哈。 相信很多人会有同感，那就是一个dashboard搞的那么复杂，不是不能访问，就是不能登录，要么就是没权限。下面通过自己的一点研究，将问题分析过程记录如下，供参考。如有错误，请拍砖留言。 从两个方面来分析，即： 1.dashboard的安装与访问 2.dashboard的身份验证与授权 首先，我们需要有一个共识就是，k8s这套东西非常的解耦和插件化，它为了能够提供更好的二次开发能力，将很多东西搞的从…

Today, let’s talk about Kubernetes private/public keys & certificate authorities! This blog post is about how to take your own requirements about how certificate authorities + private keys should be organized and set up your Kubernetes cluster the way you …

openssl req -new -x509 -set_serial 20180704 -keyout ca1.key -out ca1.pem -days 365 -nodes 用上述命令产生两个 Subject Name一样的CA（提示中输入的信息完全一致），例如CA1, CA2 openssl genrsa -out client1.key 2048 openssl req -new -key client1.key -out client1.csr openssl x509 -req -in client1…

两年了，架构已经改变了不少 The previous step deployed the Istio Pilot, Mixer, Ingress-Controller, and Egress-Controller, and the Istio CA (Certificate Authority). Pilot - Responsible for configuring the Envoy and Mixer at runtime. Envoy - Sidecar proxies per microservice t…

测试搭建一个使用kafka作为消息队列的ELK环境，数据采集转换实现结构如下： F5 HSL-->logstash(流处理）--> kafka -->elasticsearch 测试中的elk版本为6.3， confluent版本是4.1.1 希望实现的效果是 HSL发送的日志胫骨logstash进行流处理后输出为json，该json类容原样直接保存到kafka中，kafka不再做其它方面的格式处理。 测试环境： 192.168.214.138： 安装 logstash，confluent环境 1…

DEMO环境与操作方法说明 DEMO功能说明： 通过python脚本调用ansible自动化部署F5 VE集群 1、自动激活F5 License 2、初始化全局配置 3、网络配置 4、高可用集群配置 5、L4-L7 LTM配置 DEMO环境介绍： ansible 2.4 python 2.7 F5 VE TMOS v12 操作步骤： 1、修改f5_netops_for_ve.py中的变量，如被管理F5 VE地址，VE license base key。 2、保证你的python 2 环境有如下module： [cr…

此文力求比较详细的解释DNS可视化所能带来的场景意义，无论是运维、还是DNS安全。建议仔细看完下图之后的大篇文字段落，希望能引发您的一些思考。 在“F5利用Elastic stack（ELK）进行应用数据挖掘系列（2）-DNS”一文中阐述了通过DNS logging profile进行DNS可视化的一种方法。DNS logging profile本身对解析和响应是发出的两条日志，因此在上篇文章中我们其实用了一些特殊的方法来处理一些我们想要的场景。所以这样的处理方式可能不够灵活，也不够优雅。通过logstash根据Q…