JosephThatwho的博客

在1.25版本的k8s集群中部署gpu-manage时，虽然显示gpu节点上gpu-manage的pod实例都是running状态，但是给pod申领。既可以用源码的Makefile自动编译打包成新的镜像，但是源码的。说明gpu-manager和容器运行时接口通信失败了。编译后的镜像在1.25版本的k8s中可以正常使用。，但是在k8s1.23版本之后，接口路径已经改为。资源时，却始终找不到有资源的节点。，另外有一些依赖需要国际上的支持。可以看到这里用的运行时接口是。查看节点的详情时，返回的。

vscode不能解析lombok注解的问题解决方案

keycloak的认证服务提供接口

Keycloak鉴权服务中策略执行器的介绍

问题在{MAVEN_HOME}/conf/settings.xml中添加镜像配置： <mirrors> <mirror> <id>aliyunmaven</id> <mirrorOf>*</mirrorOf> <name>阿里云公共仓库</name> <url>https://maven.aliyun.com/reposit

ingress-nginx日志iveness probe failed: Get http://10.0.0.4:10254/healthz: dial tcp 10.0.0.4:10254: connect: connection refusedReadiness probe failed: Get http://10.0.0.4:10254/healthz: dial tcp 10.0.0.4:10254: connect: connection refusedkube-proxy日志E012

背景之前搭建了一套内网环境的harbor，绑定了一个harbor.test.com的域名。现在因为工作需要，给这个harbor服务绑定了一个公网域名，并且申请了SSL证书，在调整完docker-compose中harbor.yml以及docker-compose.yml文件内的证书后，可以通过浏览器访问，并且显示SSL握手成功。但是通过docker命令行登录时，却抛出如下异常：Error response from daemon: Get "https://harbor.oulaoula.com/v2

使用Windows的WSl开发，那么可以同时兼顾办公软件和开发环境的需求，但是启用WSL需要开启Hyper-V，会和Vmware等传统虚拟化平台冲突，如果需要模拟集群，就得寻找其他方案。好在Hyper-V本就是虚拟化平台，可以直接创建虚拟机。1.启用Hyper-V管理器首先我们需要Hyper-V管理器，在windows家庭版中并没有这个软件，需要执行以下脚本创建：pushd "%~dp0"dir /b %SystemRoot%\servicing\Packages\*Hyper-V*.mum >

1. 概述keycloak支持细粒度的授权策略，并且可以和不同的访问控制机制结合，比如：基于属性的访问控制 ABAC基于角色的访问控制 RBAC基于用户的访问控制 UBAC基于上下文的访问控制 CBAC基于规则的访问控制基于时间的访问控制通过策略服务的SPI自定义访问控制策略keycloak通过一组管理界面和RESTful接口提供创建权限的必要方法，这些权限用户保护资源和作用域，把权限和鉴权策略绑定，就可以在应用或服务中执行鉴权。资源服务器（应用或者服务）通常会基于一些信息来决定使用

1.太长不看版在容器的启动命令前执行ip -4 route list match 0/0 | awk '{print $3 " host.docker.internal"}' >> /etc/hosts在容器中访问host.docker.internal即可访问宿主机上的服务。2.示例本机上运行了minio作为对象存储：zhang@zhang:~$ docker run -p 9000:9000 -e "MINIO_ROOT_USER=zhangzhipeng" -e "MIN

从pod内部访问K8S api时，可能会遇到角色权限不能访问的情况，如下：root@curl:/# curl -H "Authorization: Bearer $TOKEN" https://kubernetes{ "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "forbidden: User \"system:serviceaccount:

KubeEdge版本：keadm-v1.6.1-linux-arm64使用keadm join接入云端时，出现如下错误：Error: fail to download service file,error:{failed to exec 'bash -c cd /etc/kubeedge/ && sudo -E wget -t 5 -k --no-check-certificate https://raw.githubusercontent.com/kubeedge/kubeedge/r

这里使用Ubuntu20.04操作。1.下载imagerimager是树莓派官网提供的操作系统安装软件。下载地址：Raspberry Pi Imager，进入网页，选择Download for Ubuntu for x86即可。2.安装imager下载完成后，进入用户本地下载路径，安装deb包：zhang@zhang:~$ cd Downloads/zhang@zhang:~/Downloads$ sudo dpkg -i imager_1.6.1_amd64.deb Selecting pr

使用helm命令行时如果有以下警告信息：zhang@zhang:~$ helm lsWARNING: Kubernetes configuration file is group-readable. This is insecure. Location: /home/zhang/.kube/configWARNING: Kubernetes configuration file is world-readable. This is insecure. Location: /home/zhang/.ku

概述外部授权过滤器调用授权服务检查收到的请求是否被授权。授权过滤器可以是网络过滤器也可以是HTTP过滤器。如果网络过滤器判定请求未授权，则会关闭链接；如果HTTP过滤器判定请求未授权，则会返回403状态码。外部授权过滤器最好放在过滤器链的最前面，在其他过滤器处理请求前先鉴权。如果外部服务不可访问，那么将通过可用过滤器中的failure_mode_allow配置项来决定请求是否被授权。如果该项设置为true，那么请求会被允许。默认值是false。服务的定义流量上下文通过下面列出的服务传递给外部授权服

Envoy用C++开发的网络7层代理，被设计用于在大型的、服务导向的架构中做通信总线。既可以作为应用整体的API Gateway也可以作为每个为微服务的sidecar，组成服务网格。南北流量：来自应用外部的流量东西流量：服务内部的流量listeners / 侦听器：类似与nginx中的server类似，面向客户端提供服务，用于接受客户端、前端的请求。cluster：类似与nginx中的upstream servers，用于归类上游服务组。filter：过滤器，listener内部的子组件，支持

JWK，全称JSON Web Key，是一个JSON对象，表示一个加密的密钥。JWK中的字段表示密钥的属性。JWK中的参数“kty”（key type）表示密钥使用的加密算法，比如“RSA”或者“EC”等，是大小写敏感的字符串。JWK中必须携带这个字段。“use”（Public Key Use）表示公钥的使用目的。指示公钥是用于加密数据还是用于验证数据上的签名。可以是如下值：“sig”（signature）“enc”（encryption）大小写敏感。可以选择性携带。“key_

微服务带来灵活性、可伸缩性和复用性的同时，还需要考虑一下安全问题：使用流量加密组织中间人攻击提供灵活的访问控制，比如双向TLS加密和细粒度的访问策略检索谁在什么时间做了什么操作，这需要审计工具Istio可以处理内外部的威胁，给数据、端点、通信和平台提供安全性。Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计（AAA）工具。上层架构Istio的安全性涉及多个部分：用于密钥和证书管理的证书颁发机构（CA）配置API服务器分发给代理认证策略鉴权策略安全命名

流量管理用于控制服务之间的流量和接口调用。使用istio可以轻松配置服务级别的属性，比如断路器、超时时间和重试策略。并且可以轻松的执行A/B测试、金丝雀发布以及按百分比流量分割的策略发布等任务。istio的流量管理模型基于Enovy，和每个服务一起部署。所有网格服务发送和接收的流量（即数据面板中的流量）都会通过Envoy代理，有助于在服务变动时定向或管理网格间的流量。概述为了在网格间定向流量，Istio需要知道系统中的endponit（在k8s中，endpoint记录服务对应的pod的访问地址，存储在

API 网关API网关模式描述了网络中的一个附加跃点，每个请求都必须经过该跃点才能到达底层API。在这种情况下，有些人将API网关称为集中式部署。API 网关作为一个数据面板接受所有客户端的请求、控制流量、执行策略。API 网关可以有内置的控制面板由于关于和配置数据面板的行为。API 网关单独部署，和客户端以及 API 相互独立，所以部署简单。通常用于一下三种 API 使用场景。1. API 作为产品把 API 打包成产品供别的开发者、合作商或团队使用。客户端应运行在产品外部，比如移动应用或