l17605229954的博客

resource可以是具体资源名称，如"pod nhinx-xxx"；或者all（仅展示几种核心资源，并不完整）grace-period表示过渡存活期，默认30s，在删除pod之前允许pod慢慢终止其上的容器进程，从而优雅的退出，0表示立即终止pod。注意：当apply不生效时，先使用delete清除资源，再apply创建资源。-l app=nginx：仅显示包含app标签，且值为nginx的资源。获取资源的相关信息，-n指定命名空间，-o指定输出格式。-l app：仅显示标签为app的资源。

1、 服务器单向认证：只需要服务器端提供证书，客户端通过服务器端证书验证服务的身份，但服务器并不验证客户端的身份。④ 客户端私钥：客户端证书中包含的公钥所对应的私钥，同理，客户端使用该私钥来向服务器端证明自己是客户端证书的拥有者。⑤ 服务器端 CA 根证书：签发服务器端证书的 CA 根证书，客户端使用该 CA 根证书来验证服务器端证书的合法性。⑥ 客户端端 CA 根证书：签发客户端证书的 CA 根证书，服务器端使用该 CA 根证书来验证客户端证书的合法性。

从 Master 节点获取自己节点上 Pod 的期望状态（比如运行什么容器、运行的副本数量、网络或者存储如何配置等），直接跟容器引擎交互实现容器的生命周期管理，如果自己节点上 Pod 的状态与期望状态不一致，则调用对应的容器平台接口（即 docker 的接口）达到这个状态。在 K8S 的集群里，虽然每个 Pod 会被分配一个单独的 IP 地址，但由于 Pod 是有生命周期的（它们可以被创建，而且销毁之后不会再启动），随时可能会因为业务的变更，导致这个 IP 地址也会随着 Pod 的销毁而消失。

部署 Kubernetes Node，将节点加入Kubernetes集群中。部署 Dashboard Web 页面，可视化查看Kubernetes资源。在所有节点上安装Docker和kubeadm。部署Kubernetes Master。下载插件yaml插件。

单机容器编排：docker-compose容器集群编排：docker swarm、mesos+marathon、kubernetes应用编排：ansble。

Prometheus对指标的收集、存储同告警能力分属于Prometheus Server和AlertManager(通用的组件)两个独立的组件，前者仅负责基于"告警规则"生成告警通知，具体的告警操作则由后者完成;Alertmanager负责处理由客户端发来的告警通知客户端通常是Prometheus server，但它也支持接收来自其它工具的告警;Alertmanager对告警通知进行分组、去重后，根据路由规则将其路由到不同的receiver，如Email、短信或PagerDuty等;

浏览器访问：https://grafana.com/grafana/dashboards ，在页面中搜索 node exporter ，选择适合的面板，点击 Copy ID 或者 Download JSON。在 grafana 页面中，+ Create -> Import ，输入面板 ID 号或者上传 JSON 文件，点击 Load，即可导入监控面板。grafana默认配置文件目录 /etc/grafana/grafana.ini。：组织和管理数据的可视化面板（Panel）：提供用于展示的数据的储存系统。

因此，Prometheus为此专门设计了一组服务发现机制，以便于能够基于服务注册中心（服务总线）自动发现、检测、分类可被监控的各Target，以及更新发生了变动的Target指标抓取的生命周期。一款基于golang开发的开源工具，主要面向分布式，服务化的系统提供服务注册、服务一发现和配置管理的功能提供服务注册/发现、健康检查、Key/Value存储、多数据中心和分布式一致性保证等功能。基于文件的服务发现仅仅略优于静态配置的服务发现方式，它不依赖于任何平台或第三方服务，因而也是最为简单和通用的实现方式。

目前Prometheus支持OpenTsdb、InfluxDB、Elasticsearch等后端存储，通过适配器实现Prometheus存储的remote write和remote read接口，便可以接入Prometheus作为远程存储使用Prometheus由Go语言编写而成，采用Pull方式获取监控信息，并提供了多维度的数据模型和灵活的查询接口。Prometheus不仅可以通过静态文件配置监控对象，还支持自动发现机制，能通过Kubernetes、Consl、DNS等多种方式动态获取监控对象。

cAdvisor是一个非常好用的容器监控工具，还可以和Prometheus整合，安装和使用都很简单。CAdvisor是一个容器资源监控工具，包括容器的内存CPU，网络IO，磁盘I0等监控，同时提供了一个WEB页面用于查看容器的实时运行状态。CAdvisor默认存储2分钟的数据， 而且只是针对单物理机。不过，CAdvisor提供了很多数据集成接口，支持InfluxDB,Redis,Kafka,Elasticsearch等集成，可以加上对应配置将监控数据发往这些数据库存储起来。

Consul是HashiCorp公司推出的开源工具，用于实现分布式系统的服务发现与配置（注册中心，注册机）与Docker等轻量级容器可无缝配合template模板（更新）registrator（自动发现）后端每构建出一个容器，会向registrator进行注册，控制consul完成更新操作，consul会触发consul template模板进行热更新核心机制：consul：自动发现、自动更新、为容器提供服务（添加、删除、生命周期）

之前我们搭建了本地私有仓库，但是本地仓库的管理和使用比较麻烦，个原生的私有仓库并不好用，所以我们采用harbor私有仓库，也叫私服，更加人性化。Harbor是VMware公司开源的企业级Docker Registry项目，其目标是帮助用户迅速搭建一个企业级的Docker Registry服务。

使用一个Dockerfile模板文件可以定义一个单独的应用容器，如果需要定义多个容器就需要服务编排。下面介绍Docker官方产品，Docker Compose。Dockerfile可以让用户管理一个单独的应用容器，而compose则允许用户在一个模板（yaml格式）中定义一组相关联的应用容器（被称为一个project，即项目）例如一个web服务再加上后端的数据库服务容器等。docker-compose项目是docker官方的开源项目， 负责实现对docker容器集群的快速编排。

docker使用cgroup控制资源，K8S里面也有respones(request limit) (使用上线) CPU 内存两个部分进行管理。

Docker 官方提供了一个搭建私有仓库的镜像 registry ，运行该镜像的容器并且对外暴露5000端口就ok了。通常我们在docker拉取的镜像都是在docker hub或quay.io等公有仓库获取，那么在实际工作中，每个公司如果使用到docker，那么肯定是要搭建自己的私有仓库。那么接下来就通过docker提供的registry镜像来搭建我们自己的私有仓库。

Docker-dockerfile镜像优化。

LXC是一种内核中的容器技术，早期docker在没有将资源容器化的功能时，就是靠内核中LXC来完成容器虚拟化的。在Docker镜像的最底层是bootfs，这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中，都是在构建镜像的过程中完成的。

如果需要在容器之间共享一些数据，最简单的方法就是使用数据容器，数据卷容器是一个普通的容器，专门提供数据卷给其他容器挂载。在/var/www/data1中加点东西，在liuxu容器中也可以看到，可以使用name登陆，也可以使用ID。宿主机目录/var/www挂载容器中的/data1。php–>mysql之间想要通信，通过socker。先下载centos镜像。

因为在我们使用bridge模式的时候，是无法支持指定IP运行docker的，#启动一个容器，指定为bridge模式，并且指定该容器的ip为172.17.0.10.报错：来自守护进程的错误响应:仅在用户定义的网络上支持用户指定的IP地址。bridge无法手动指定容器的ip，只能依靠docker0来分配因为不能自定义创建容器的ip地址，全是docker0所安排的，既然这样，那我们就自己创建一个docker0出来，但是名字不能重复，ip 也不能。创建出来的默认也是bridge模式。想自定义其它网络的也可以。

在迁移过程中，可以使用docker export 命令将已经创建好的容器导出为文件，无论这个容器是处于运行状态还是停止状态均可导出。可将导出文件传输到其他机器，通过相应的导入命令实现容器的迁移。在上传镜像之前，还需要先对本地镜像添加新的标签，然后再使用 docker push 命令进行上传。新创建的容器默认处于停止状态，不运行任何程序，需要再其中发起一个进程来启动容器。IMAGE ID：镜像的唯一ID 号，唯一标识一个镜像；TAG：镜像的标签信息，标记同一个仓库中的不同镜像；CREATED：镜像创建时间；