[crayon-687e648e05d00417463144/] [crayon-687e648e05d08856266714/] openstack stack create -t deploy-lb.yaml -e deploy-lb-params.yaml f5-heat-stack

Last update from July 20th, 2015 - I gave a tech talk at Airbnb office related to this topic. you may find the presentation here at my github In these days where microservices are becoming big, a compulsory modification of traditional architectural approaches …

k8s version: 1.6.7 无CNI [title]1. 创建Service Account[/title] [crayon-687e648e070ac889897247/] kubectl create -f nginx-ingress-sa.yaml [title]2. 绑定sa到role[/title] [crayon-687e648e070b3949799399/] 注意这里随意给了一个较高的角色 kubectl create -f nginx-ingress-sa-role-binding.ya…

k8s ver:1.6.7, 无CNI 使用hostnetwork来部署一个pod [crayon-687e648e0733f857411203/] 上述配置文件使用指定hostNetwork: true。发现，pod会用linux系统自身的路由表查找到目的地169.169.0.1:443， linux系统本身没有到169.169.0.1的路由，只能走缺省路由，导致无法连接到kubernetes service，最终导致pod失败。 当pod是非host模式时候，pod发起到kubernetes service 的…

Ingress examples This directory contains a catalog of examples on how to run, configure and scale Ingress. Please review the prerequisites before trying them. Basic cross platform Name Description Platform Complexity Level Deployment basic deployment of contro…

HTTP slow http request , slow http post, slow http reading. 统称 SHA 各自原理这里不再描述。简述F5防御方法: slow request HTTP profile自身可防御，如果需要快速主动断开连接，可配合irule slow post 使用ASM，V13之前通过调整系统全局的internal的slow transaction 两个参数防御。In version 11.3.0, the ASM module's low-and-slow prevent…

[crayon-687e648e07562555936153/]  

Avi Networks is betting traditional ADCs (application delivery controllers) don't cut it in today's cloud, mobile world -- and that they have the answer. Traditional ADCs are designed for a world where users worked on tethered PCs on infrastructure owned by th…

FRAMINGHAM, Mass.--(BUSINESS WIRE)--International Data Corporation (IDC) has just released an IDC Innovators report recognizing three innovative vendors with revenue under $100 million providing cloud-native application delivery controllers (cloud-native ADCs)…

F5 bigip自11.5.0版本后增加了socks profile的支持，即可以利用LTM提供socks4,4a以及socks5的服务。socks位于OSI模型的会话层上,可以透明的为TCP或UDP提供中转代理服务。 [title]socks profile配置项含义[/title] protocol versions：选择需要支持的协议版本，可以为4，4a，5，默认则全部支持 DNS resolver：一个需要提前在网络部分配置好的resolver（只需配置resolver，无需配置系统级的DNS IP），以提…

在写这篇博客的时候，系统已经稳定运行在docker容器上。本着折腾的精神，觉的还是应该将博客进行docker化，一来毕竟在内存上多花了不少钱，不充分利用一下有点说不不过去，最重要的是如果docker化，以后万一需要迁移博客到别的主机上，我只需要将相关容器打包一下拷贝过去起来就行了，简单快速。 这也是我第一次实践docker化工作，从小心谨慎以及可回退角度，做了以下目标设定： 将现有的所有服务docker化，包含 nginx，php-fpm，memcached，mysql docker化工作不能影响现有底层系统上的已…

TLS1.0 1.1 1.2支持 优先使用ECDH算法 HTTP2支持 HSTS支持 OCSP stapling支持 Google Brotli Content-encoding支持 Certificate transparency 支持 HPKP 支持 CHACHA20_POLY1305算法支持 Dynamic TLS record sizing 支持 Secure and http only cookies enabled Partial CSP enabled Some security related he…

这个个人博客从2006开始，在这10年多的时间，博客经历了数次迁移 最早刚开始的时候，博客是我自己个人写的多用户版博客系统，当时博客放在了@56k提供的空间里 后来博客转移到了Z-blog系统，并在后来从@56k提供的服务器上迁移到了自己托管的独立服务器上（当时和朋友做了网站，购买了自己的服务器托管在网宿的机房里） 再后来那个网站卖掉后，博客就放到好友@碧落自己购买的虚拟主机里，并陆陆续续放了一段时间 来北京后，博客迁移到了@metoo的独立服务器上，那是一台位于北京某office里的主机 中间因为备案问题，博客一…

[title]证书准备工作[/title] [crayon-687e648e07bff865800661/] [title]所有服务的配置脚本[/title]       上述配置主要是希望实现kubelet能够通过bootstrap自动获取到证书，并通过证书与APIserver通信，从实际结果看，kubelet没有自动申请csr，在master上无法get到相关csr请求。有待查找问题。但整体配置不影响使用。 另，节点部分看上去其实可以保持使用非SSL配置方式，即保留Kubernet…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

现象： 从内部某个pod的容器里直接访问service的cluster地址，请求可以被正常转发到各个node上的pod里 但是从外部网络，访问nodeport发布的服务，则发现请求不能被转发到其他node上 排错发现，请求没有被转发到其他node的物理接口，说明问题出在接受请求的那台node本身上 查看iptables filter表发现，转发数据包匹配一条docker创建的规则导致丢弃 [crayon-687e648e08409306287060/]   forward链中的 第1，2规则都导致丢弃 强…