justlpf的专栏

Each node in the Kubernetes cluster where Longhorn is installed must fulfill the following requirements:The Longhorn workloads must be able to run as root in order for Longhorn to be deployed and operated properly.创建命名空间安装 open-iscsi(可选)安装 NFS

按照kubord官方文档安装删除Kuboard之后，再重新执行apply时，出现报错。

给节点打标签部署LongHorn官网地址: longhorn-官网安装vi longhorn.yaml查找 , 并在其中添加如下内容：添加效果参考:longhorn.yaml查看pod状态等待Pod启动：一旦存储库创建成功，系统将启动一系列的。检查的状态：确认所有的都处于""状态。设置svc服务浏览器访问在浏览器访问此端口即可接下来，您需要创建一个存储类，以便为应用程序提供块存储。您可以将以下内容保存为 文件：创建P

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

选择Calico还是Flannel如果运行一个大型集群，需要精细的网络策略控制，并且愿意接受更复杂的配置过程，那么 Calico 可能是一个更好的选择。如果集群规模较小，对网络性能要求不是特别高，而且希望有一个易于管理和配置的网络解决方案，那么Flannel可能更适合你。随着时间的推移，这些网络插件也在不断演进和发展，因此，在决定之前，最好查阅最新的文档和参考资料以获取准确的信息。

在Kubernetes（K8s）中，每个Service都有一个内部DNS名称。这个DNS名称是基于服务的名称和命名空间构建的。例如，如果有一个名为 `my-service` 的Service位于 `default` 命名空间下，那么它的内部DNS名称将是 `对于内部Pod之间的通信，可以通过使用这个内部DNS名称来访问其他Service。当一个Pod试图解析这个DNS名称时，Kubernetes会自动将其转换为对应的Cluster IP地址，然后将流量路由到正确的Service后端Pods。

之前文章提到，k8s官方是支持nfs存储的，那么在windows常见的文件共享协议是否也支持呢。答案是肯定的。不过支持的方式是通过CSI接口进行支持的。官方提供的项目是csi-driver-smb经过在群晖上同时开启smb和nfs共享测试，nfs挂载模式下mysql能部署成功，smb却不能。基本可以断定：smb协议对特殊字符的文件夹和文件如#~支持不太好，不太适合有特殊字符的程序作为存储后端。

【代码】Docker部署NFS服务。

NFS 是。

如果以docker的形式部署nfs server, 参考此步骤, 若否, 该步骤可忽略。

metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup，就是一组用户的意思。如果为Kubernetes配置了外部认证服务，这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说，其也有用户和用户组的概念，其中，对于一个，在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组，在。

Token Controller也监听Service Account的事件，如果发现在新建的Service Account里没有对应的Service Account Secret，则会用APIServer私钥（--service-account-private-key-file指定的文件）创建一个Token，并用该Token、api-server的CA证书等三个信息产生一个新的Secret对象，然后放入刚才的Service Account中。用户自定义的其他Secret用于用户的进程中。

docker在个人电脑上，要想拉取私有镜像必须在镜像仓库上进行身份验证。使用docker命令工具来登录到 Docker Hub。更多详细信息，请查阅中的部分。当出现提示时，输入你的Docker ID和登录凭据（访问令牌或 Docker ID 的密码）。登录过程会创建或更新保存有授权令牌的文件。查看。查看authcredsStore。

【代码】kubernetes集群安装Ingress-nginx。

k8s容器部署流程具体步骤：第一步：熟悉Spring Cloud微服务项目第二步：源代码编译构建第三步：构建项目镜像并推送到镜像仓库第四步：K8s服务编排第五步：部署服务所需的基础环境第六步：部署微服务程序第七步：部署微服务前端第八步：微服务对外发布。

【代码】使用jib-maven-plugin插件构建镜像并推送至私服Harbor。

1、修改kube-apiserver配置文件，找到–enable-admission-plugins=参数，添加PodNodeSelector参数。k8s默认提供了一些插件 但是有些插件默认不启用，那么就需要我们手动启用比如一方式在master的配置文件中启用 plugin。这里–enable-admission-plugins的value 可以是一个[]string也就是说可以多个逗号隔开。但是如果我们是托管k8s master不可见这时候只能选择第二种方式，当然方式可能还有很多。

2、搭建好github/gitee/gitlab代码仓库，或者运用Argocd官方的的例子做实验Argo CD CLI 是用于管理 Argo CD 的命令行工具，不同操作系统具体的安装方式不同，以下是linux系统的安装Argo CDNodePort这里使用以下命令通过 NodePort 服务的方式暴露 Argo CD 到集群外部。现在我们已经将名字为 argocd-server 的 Service 改成NodePort类型了，可以在集群外部通过<节点 IP>:<随机生成的 NodePort 端口>

后续几篇文章围绕该图涉及组件进行整理介绍，本文主要探究Namespace及与Namespace管理相关的资源限制ResourceQuota/LimitRange部分。Kubernetes 安装成功后，默认会。

是将集群中的节点按照一定的规则进行划分。在Kubernetes中，可以使用和Affinity机制来实现Node划分。Node Selector是一种将Pod调度到符合特定节点标签的节点上的机制。在Kubernetes中，可以使用Node Selector来对节点进行划分和选择。

创建、删除或修改特定资源角色绑定则将角色与用户、组或服务账号进行关联，从而赋予其相应的权。

A 标签，各别节点有 zone=B 标签，如果 pod Affinity topologyKey 定义为 zone，那么调度pod的时候就会围绕着A拓扑，B拓扑来调度，而相同拓扑下的node就为 “同一位置”。pod 亲和性调度需要各个相关的pod对象运行于 “同一位置”， 而反亲和性调度则要求他们不能运行于 “同一位置”。如果 matchExpressions 有多个选项，则只有同时满足这些逻辑选项的节点才能运行 Pod。label 的值大于某个值（字符串比较）label 的值小于某个值（字符串比较）

总结，在 k8s 中部署一个应用，通常面临以下几个问题：Helm 包含两个组件，分别是 helm 客户端 和 Tiller 服务器：下图描述了 Helm 的几个关键组件 Helm（客户端）、Tiller（服务器）、Repository（Chart 软件仓库）、Chart（软件包）之间的关系以及它们之间如何通信。Helm的打包格式叫做chart，所谓chart就是一系列文件, 它描述了一组相关的 k8s 集群资源。Chart中的文件安装特定的目录结构组织：chart 结构使用官方提供的脚本一键安装。安装

K8S 跟POD调度相关的三个概念：Node Affinity（节点亲和性），Taints（污点），Tolerations（容忍度），这节先讲下Node Affinity（节点亲和性）。Affinity中文意思 ”亲和性” ，跟nodeSelect 类似，根据节点上的标签来调度 POD 在哪些节点上创建。硬策略表示POD 必须部署到满足条件的节点上，如果没有满足条件的节点，就不停重试。

set：在命令行设置参数。--values或者使用-f： 使用yaml文件对参数进行配置，可以设置多个文件，最后一个文件优先生效。多个文件中重复的values会进行的覆盖，不用value会叠加生效。如果同时使用两个参数，则—set会以高优先级合并到—values中。Chart目录结构和配置文件的说明redis-ha├── Chart.yaml #描述chart信息的yaml文件├── templates #config 模板└── values.yaml #默认的配置值。

的pod时，ExtendedResourceToleration admission controller 会自动给pod加上正确的toleration，这样pod就会被自动调度到这些配置了特殊硬件件的节点上。这表示如果这个pod正在运行，然后一个匹配的taint被添加到其所在的节点，那么pod还将继续在节点上运行 3600 秒，然后被驱逐。但是如果在给节点添加上述taint之前，该pod已经在上述节点运行，那么它还可以继续运行在该节点上，因为第三个taint是三个taint中唯一不能被这个pod容忍的。

但我们可以在Pod上设置容忍(Toleration)，意思是设置了容忍的Pod将可以容忍污点的存在，可以被调度到存在污点的Node上。Kubernetes 调度器处理多个 Taint 和 Toleration 能够匹配的部分，剩下的没有忽略掉的 Taint 就是对 Pod 的效果了。系统允许在同一个 node 上设置多个 taint，也可以在 pod 上设置多个 Toleration。Pod 创建完之后，一直到持久运行起来，中间有很多步骤，也就有很多出错的可能，因此会有很多不同的状态。

Pod 是一组紧密关联的容器集合，它们共享 PID、IPC、Network 和 UTS namespace，是 Kubernetes 调度的基本单位。Pod 内的多个容器共享网络和文件系统，可以通过进程间通信和文件共享这种简单高效的方式组合完成服务。k8s中的apiVersion版本,可以使用命令kubectl api-versions查看，这里列举三个常见的。Kubernetes 使用 Pod 来管理容器，每个 Pod 可以包含一个或多个紧密关联的容器。

hostPort、NodePort、Ingress暴露Pod与Service一样，因为Pod就是Service的backend。

Ingress 描述路由规则， Ingress Controller 实时实现规则。当后续多节点部署后，ingress可能会分配到别的node节点，这并不是我们想的。kubernetes-dashboard由于后端需要https访问，所以需要增加。通过集群内部端口访问即可，不需要通过外部端口访问。Ingress 的实现分为两个部分。

的 Statefule Set，数量设置3个副本，K8s 会自动创建3个Pod eureka-server-0、eureka-server-1、eureka-server-2。这样如果多个服务都使用同一个外部命名空间的服务时如果外部命名空间的服务名变更了，只需要修改一个地方即可。1、首先创建一个 ExternalName 类型的 service。这样的格式，访问目标 namespace 下的服务。以上两种格式差异，主要是第二种方式后面多了一段。类型的 Service，名称为。1、创建了一个名称为。

ingress-ngnix 国内阿里镜像安装步骤。

给 docker registry 添加上一层权限保护的功能。

如果你需要在多个 Kubernetes 集群之间进行管理，并且关注高可用性、安全性和集群间通信等方面，Rancher 是一个不错的选择。k8s集群管理dashboard有很多，比如kuboard、官方发dashboard、kubesphere、Rancher等等。如果你需要更全面的 Kubernetes 管理平台，并且对多租户和持续交付等功能有需求，KubeSphere 可能更适合你。如果你只需要一个基本的管理界面并且对自定义功能要求不高，Dashboard 是个不错的选择。

这里以 harbor 2.8.3 版本为例CPU2 CPU4 CPUMem4 GB8 GBDisk40 GB160 GB使用如下命令分别查看服务器的物理CPU和逻辑CPU个数harbor 2.8.3 版本对docker、等软件的要求docker17.06.0-ce 及以上1.18.0 及以上opensslharbor 2.8.3 版本对网络端口的要求如下表443httpshttps端口，可以从配置文件中修改4443https。

版本：ctr containerd.io 1.4.3。Container命令ctr, crictl的用法。pull 应该pause镜像。docker load 镜像。tag应该pause镜像。

当海量的请求来临的时候，我们可以用增加容器数量的办法来提高我们的服务能力，但是简单地添加实例是很危险的，因为整个系统的服务能力是被系统短板所限制的，简单地添加实例，并不是总能起到提高服务能力的作用。注册中心的方案很多，有eureka，zookeeper, consul, Nacos 等等，关于讨论各种注册中心是AP、CP的区别，优劣的文章很多，这篇文章不是一篇微服务的开发教程，我们选择比较常见的eureka为演示的注册中心。这种方案的好处是我们日志不再落地，日志IO被消除了，日志的存储也和容器做到了分离。

1 容器的主要标准：OCI) ，定义容器和镜像的标准CRI)，它定义了Kubernetes和下面的容器运行时之间的API。OCIOCI (Open Container Initiative)，是一个轻量级，开放的治理结构（项目）。在 Linux 基金会的支持下成立，致力于围绕容器格式和运行时创建开放的行业标准。

经过上面的一些测试后会发现, 在很多文章或文档中描述的参数出现了莫名其妙不好使的情况;这主要是因为容器化这两年一个很重要的更新:Cgroups v2;限于篇幅问题这里不在一一罗列测试截图, 下面仅说一下结论.

通常情况下，在部署了 K8S 服务之后，为了更好地监控服务的运行情况，都会接入对应的日志系统来进行检测和分析，比如常见的 Filebeat + ElasticSearch + Kibana 这一套组合来完成。虽然该组合可以满足我们对于服务监控的要求，但是如果只是部署一个内部单服务用的话，未免显得大材小用，而且部署服务还会带来大量的资源消耗。那么有没有简单查看 K8S 中多个 Pod 中的日志工具呢？咳咳咳，那么今天就介绍两款超好用的多容器实时日志查看工具 Kubetail 和 Stern。