筑梦之路

使用kubeadm + containerd搭建k8s集群，证书有效期100年，cgroup v2支持

kubeadm 1.31.2 （自编译二进制文件，证书有效期100年）

【代码】银河麒麟v10 二进制安装cri-docker+cni插件—— 筑梦之路。

【代码】银河麒麟v10 二进制安装docker开启cgroup v2支持 —— 筑梦之路。

k8s集群要清理某个名空间，把该名空间下的资源全部删除后，删除名空间，一直处于Terminating状态，无法完全清理掉。

nginx的官方镜像都是把日志重定向到标准输出，如果没有特别需求，已经能满足大多数的使用。这里我主要对官方镜像进行改造，添加logrotate，结合cronJob来实现nginx日志的自动轮转，以方便排查故障问题。

【代码】VMware OVA和vmdk文件格式转换为qcow2 —— 筑梦之路。

一款开源的图片处理工具，可以利用AI模型对照片进行轻量级智能抠图、调整尺寸生成不同的标准证件照、替换背景、美颜、智能换正装等操作。

1. 正在处理请求的pod被删除，在请求没有做幂等处理的情况下，就会出现数据重复、数据错误，亦或导致分布式系统数据不一致；2. Kubernetes 将流量路由到已被删除的 pod，导致处理请求失败造成用户体验不佳。所以，为了让代码发布的部署过程不影响业务的正常运行和用户无感知，我们需要实现容器的优雅停机。

中文版：http://114.132.181.71:8080/book/71。英文版：http://114.132.181.71:8080/book/70。

更多详细信息查看网站。

【代码】skopeo镜像搬运工 —— 筑梦之路。

【代码】K8S中使用英伟达GPU —— 筑梦之路。

比如，对于一个内存密集型的应用，如果资源请求设置为 512MB 内存，但实际运行时需要 1GB 内存，就可能出现内存不足导致的崩溃。通过深入理解其核心技术，掌握最佳实践，我们能够构建出高效、稳定、安全的容器化应用平台，为企业的数字化转型提供坚实的支撑。选择合适的监控工具，如 Prometheus、Grafana 等，采集 Kubernetes 集群和应用的各种指标，如资源使用情况、Pod 状态、服务性能等。利用动态存储供应机制，可以根据应用的需求自动创建和分配存储资源，提高存储管理的灵活性和效率。

OpenELB 是一个专为裸机 Kubernetes 集群设计的开源负载均衡器实现。在云服务环境中的 Kubernetes 集群里，通常可以用云服务提供商提供的负载均衡服务来暴露 Service，但是在本地没办法这样操作。而 OpenELB 可以让用户在裸金属服务器、边缘以及虚拟化环境中创建 LoadBalancer 类型的 Service 来暴露服务，并提供与云上的负载均衡器相同的用户体验。

【代码】K8S pod资源清单 —— 筑梦之路。

ptcpdump 是一个使用 eBPF 技术开发的、类 tcpdump 的网络抓包工具。它除了兼容 tcpdump 的常用命令行参数以及包过滤语法外， 还额外提供了如下核心特性：在输出中记录和显示发送网络流量的进程、容器、Pod 信息。支持对指定进程、容器以及 Pod 进行抓包。支持将抓取的数据包保存为 pcapng 格式，可以使用 tcpdump 或者 Wireshark 做进一步分析。

为了确保Dockerfiles的质量和安全性，将Hadolint集成到开发工作流程中是一个明智之举。这样可以在代码编写、提交前以及持续集成(CI)过程中自动检测潜在问题。hadolint 在线版本：https://hadolint.github.io/hadolint/如何你想忽略某些规则，在项目目录下创建hadolint.yaml文件，并指定要忽略的规则。运行Hadolint时指定配置文件。

应用在申请或控制资源时，前置准入控制，查看当然 request 值水位，控制到安全水位，资源不足时，扩充 Node 后，才允许申请扩容。主动驱逐，受限于 PDB，如果配置了 PDB，会防止应用出现全部不可用的状况，但是直接 操作 DELETE Pod ，不受 PDB 限制，所以 drain 比 直接 DELETE 会安全一些，当做节点维护时。节点打污点（NoExecute），导致 Pod 被驱逐，或者移除亲和性标签，导致 Pod 被驱逐， Controller Manager 发起的驱逐。

官方文档：https://docs.projectcalico.org/getting-started/clis/calicoctl/configure/文件的，所以需要为其提供 kubeconfig 配置文件，当其作为 kubectl 的插件运行时，系统会默认读取 kubectl 的配置文件。calico 的配置文件默认在 /etc/calico目录下，需要手动创建。calicoctl 使用来专门操作。是用来管理 calico 自己引入的。中与自己状态相关的数据的命令行工具。calicoctl 与。

docker可用加速器

k8s上rabbitmq安装部署和优化参考建议

构建镜像是通过运行 Dockerfile 中的RUNCOPY和ADD等指令生成镜像层和配置文件的过程。RUNCOPYADD，执行指令产生的所有文件系统变更会在指令结束后作为一个镜像层整体提交。• 镜像层具有的特性，如果去，会先将其复制到新的镜像层中再修改，造。• 如果去，只会在当前镜像层生成一个该文件的删除标记，并不。在指令只是修改了文件的元信息，但依然将整个文件拷贝到了新的镜像层中。指令虽然删除了文件，并且该文件在运行容器时不可见，但依然在前两个镜像层中以及最终的镜像中存在。

官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点，习惯于直接使用Docker Pull来拉取公共镜像，但非所有容器镜像都是公开的。此外，并不是所有的镜像仓库都允许匿名拉取，也就是说需要身份认证；kubernetes有一个secret记录类型，可用于配置镜像登陆凭证，secret的一个特定的类型：kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。

Velero 是vmware开源的一个云原生的灾难恢复和迁移工具，它本身也是开源的,采用Go语言编写，可以安全的备份、恢复和迁移Kubernetes集群资源数据；官网。Velero 是西班牙语意思是帆船，非常符合Kubernetes社区的命名风格，Velero的开发公司Heptio，已被VMware收购。Velero 支持标准的K8S集群，既可以是私有云平台也可以是公有云，除了灾备之外它还能做资源移转，支持把容器应用从一个集群迁移到另一个集群。

包含：运维，前端，后端，工具，命令，数据库。

【代码】kvm利用脚本创建一个新的虚拟机 —— 筑梦之路。

是一个命令行实用程序，可帮助初始化项目中的 Docker 资源。它根据项目的要求创建DockerfileCompose 文件。这简化了为项目配置 Docker 的过程，节省时间并降低复杂性。最新版本docker init支持Go、Python、Node.js、Rust、ASP.NET、PHP 和 Java。

注意：containerd支持oci标准的镜像，所以可以直接使用docker官方或dockerfile构建的镜像 需要注意的是，与docker不同，拉取镜像时要加上?--all-platforms：所有平台（amd64 、arm、386 、ppc64le 等），不加的话下载当前平台架构。把已下载的容器镜像挂载至当前文件系统，是为了方便查看镜像中包含的内容。同时导出可以使用--platform导出其它平台的(例如arm)--all-platforms为导出所有平台。-q 只打印镜像名称。

vmware workstation不支持两台虚拟机共享同一个磁盘文件，会提示文件锁定，无法访问，导致第二台虚拟机在启动时报错。

应用程序错误：这可能是容器运行的代码中的简单编程错误，例如“除以零”，也可能是与运行时环境相关的高级错误，例如 Java、Python 等；如果不能，重新安装容器引擎，或者解决容器引擎和主机设置之间的底层兼容性问题。检查中止进程是否是预期内的（例如，因为库处于调试模式），如果不是，则对库进行故障排除，并修改以避免中止容器。如果您的容器引擎提供了运行容器的 option，请尝试它们。例如，在 Docker 中，尝试。与退出码 126 相同，识别失败的命令，并确保容器镜像中引用的文件名或文件路径真实有效。

tomcat部署的java应用在k8s集群或容器中，想要给tomcat传自定义变量，应该如何实现？1. 在k8s集群或容器环境中通过env或者configmap方式添加自定义的环境变量。在配置文件server.conf context.xml等文件中。3. tomcat配置引用变量。

【代码】k8s 检测node节点内存使用率平衡调度脚本 —— 筑梦之路。

如上配置 `my_container` 容器的日志大小限制为 500MB，并且最多可以有 3 个日志文件。当达到这些限制时，旧的日志文件将被覆盖或轮换。

是cephfs-provisioner（cephfs的storageclass）的核心，主要是 watch kubernetes中 PVC 资源的CURD事件，然后以命令行方式调用 cephfs_provisor.py脚本创建PV。python 脚本实现的与cephfs交互的命令行工具。cephfs-provisioner 对cephfs端volume的创建都是通过该脚本实现。里面封装了volume的增删改查等功能。

k8s使用kubeadm方式搭建。

可以选择现有的镜像，比如centos、debian、apline等，特殊镜像scratch，它是一个空镜像。如果你以scratch为基础镜像的话，意味着你不以任何镜像为基础，接下来所写的指令将作为镜像第一层开始存在。不以任何系统为基础，直接将可执行文件复制进镜像的做法并不罕见，比如swarm。对于 Linux 下静态编译的程序来说，并不需要有操作系统提供运行时支持，所需的一切库都已经在可执行文件里了，因此直接会让镜像体积更加小巧。

用来对 kubectl 的输出结果进行可视化展示，可以输出为 .dot 格式，也可以输出为 .png 或任何格式。linux上安装使用。

在机器人和自动化的应用中，控制回路是一个永不休止的循环，用于调节系统状态。在 Kubernetes 中，每个控制器是一个控制回路，通过 API 服务器监视集群的共享状态， 并尝试进行更改以将当前状态转为期望状态。kube-proxy 是集群中每个节点（node）上所运行的网络代理， 实现 Kubernetes 服务（Service） 概念的一部分。调度器会将所发现的每一个未调度的 Pod 调度到一个合适的节点上来运行。等内置的节点资源之外）， 并向请求资源的 Pod 提供了这些自定义的节点本地设施。

JAVA技术广泛用于各行各业，而云原生的流行，越来越多的企业将java应用搬进K8S中进行部署管理，OOM是java应用比较常出现的故障问题，对于容器环境的java应用搜集OOM等现场比较有难度，为了持续对应用的优化，搜集故障现场也是比较重要的。如果容器已经处于已终止或者已完成状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在 Pod 的终止宽限期内被终止。