Vic的博客

操作系统版本：Ubuntu 20.04Kubernetes版本：v1.23根据最新CKS 1.23版本的考题搭建的实验模拟环境，已集成题目，可直接操作练习。资料包含 题库+答案+笔记+考试模拟环境

K8S考试 CKA CKS CKAD v1.28 模拟环境 题库 考试实验模拟器kubernetes版本为1.28 操作系统版本为Ubuntu 20.04，与官方考试系统一致。在v1.28版本里，有部分题操作内容是变了的，如果按照网上的其他v1.20 1.21 1.22的方法做，会挂掉几道题的，要注意。K8S CKA 1.28 考试环境，按照CKA最新原题搭建的，模拟环境已集成考题，可直接模拟练习，做题实操。 阅读《CKA/CKS/CKAD 考试说明和常见问题（考前必看）》，并预约考试。

Kubernetes是一个强大的容器编排平台，不管是运维、开发还是测试或多或少都会接触到，熟练的掌握k8s可大大提高工作效率和强化自身技能。

nproc：单个用户可打开的进程最大数nofile：单个进程打开文件最大数。

另外，直接修改net.netfilter.nf_conntrack_buckets内核参数会报错，需要。sysctl -w net.ipv4.tcp_tw_reuse=1 # 仅作用于客户端，允许复用TIME_WAIT端口（与tcp_rw_recycle不同，该选项不受NAT场景下时间戳不一致问题影响）网络参数，分别套用到Node和Pod，其中Pod级通过服务发布时候注入init-container生效，Node级通过运维初始化机器脚本或者编辑sysctl.conf配置文件生效到内存。

proxy-read-timeout 选项设置 nginx 与 upstream pod 之间读操作的超时时间，ingress nginx 默认设置为 60s，当业务方服务异常导致响应耗时飙涨时，异常请求会长时间夯住 ingress 网关，我们在拉取所有服务正常请求的 P99.99 耗时之后，将网关与 upstream pod 之间读写超时均缩短到 3s，使得 nginx 可以及时掐断异常请求，避免长时间被夯住。在高并发环境下，如果队列过小，可能导致队列溢出，使得连接部分连接无法建立。

vmware workstation vmx CPU使用率100%

所有节点部署docker、kubeadm、kubelect、kubectl。如果按照上面的flannel执行不起来把yaml文件换成下面的。这里的url地址是对应CLUSTER-IP的地址。查看master1 上网卡信息是否有2个ip。master节点部署keepalived。下面这个是其他节点加入时需要，提前保存。master节点上部署haproxy。如果报一下错误，执行下面命令。搭建监控平台（k8s部署）部署prometheus。6. 设置显示数据模板。master2加入集群。把镜像上传至镜像服务器。

kubelet ------> apiserver ------> 读取etcd拿到分配给当前节点的Pod ------> docker创建容器(或其他容器工具创建容器,因为1.2以后不支持docker)scheduler ------> apiserver ------> etcd(获取)------>调度算法------> node节点。create pod ------> apiserver ------> etcd(存储)先下载1.15，在下载的过程1.14还是在运行的，当下载完就替换。

架构。

Kubectl 是 Kubernetes 最重要的命令行工具。在 Flant，我们会在 Wiki 和 Slack 上相互分享 Kubectl 的妙用（其实我们还有个搜索引擎，不过那就是另外一回事了）。多年以来，我们在 kubectl 方面积累了很多技巧，现在想要将其中的部分分享给社区。我相信很多读者对这些命令都非常熟悉；然而我还是希望读者能够从本文中有所获益，进而提高生产力。本文没什么结论，但是可以提供一个小列表，其中包含本文相关的有用链接。原文来自微信公众号《CNCF》

传统部署时代，虚拟化部署时代，容器部署时代。传统部署时代：早期，各个组织是在物理服务器上运行应用程序。由于无法限制在物理服务器中运行的应用程序资源使用，因此会导致资源分配问题。例如，如果在同一台物理服务器上运行多个应用程序， 则可能会出现一个应用程序占用大部分资源的情况，而导致其他应用程序的性能下降。一种解决方案是将每个应用程序都运行在不同的物理服务器上， 但是当某个应用程式资源利用率不高时，剩余资源无法被分配给其他应用程式， 而且维护许多物理服务器的成本很高。虚拟化部署时代：因此，虚拟化技术被引入了。

当我们安装部署好一套Kubernetes集群，使用一段时间之后可能会有重新安装Kubernetes集群的需求，本文为了满足这个需求，模拟重装Kubernetes集群。重新安装Kubernetes集群的前提是已经有一套可以正常运行的Kubernetes集群，关于Kubernetes(k8s)集群的安装部署，可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园。

etcd 是兼顾一致性与高可用性的键值对数据库，可以作为保存 Kubernetes 所有集群数据的后台数据库。保持 etcd 集群的稳定对 Kubernetes 集群的稳定性至关重要。etcd是使用Go语言开发的一个开源的、高可用的分布式key-value存储系统，可以用于配置共享和服务的注册和发现。类似项目有zookeeper和consul。完全复制：集群中的每个节点都可以使用完整的存档高可用性：Etcd可用于避免硬件的单点故障或网络问题一致性：每次读取都会返回跨多主机的最新写入。

在生产环境中可能不止有一套kubernetes(k8s)集群，我们可以使用kubeconfig文件管理多套kubernetes(k8s)集群，使用 kubeconfig 文件，你可以组织集群、用户和命名空间。你还可以定义上下文，以便在集群和命名空间之间快速轻松地切换。关于Kubernetes(k8s)集群的安装部署，可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园。

kubectl是Kubernetes提供的命令行工具，kubectl 使用 Kubernetes API 与 Kubernetes 集群的控制面进行通信。针对配置信息，kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件来连接Kubernetes 集群。你可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。使用kubectl命令行工具的前提。

pod的常见管理。管理pod的前提是已经有一套可以正常运行的Kubernetes集群，关于Kubernetes(k8s)集群的安装部署，可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园Kubernetes集群架构：k8scloude1作为master节点，k8scloude2，k8scloude3作为worker节点服务器操作系统版本CPU架构进程功能描述x86_64。

一个pod里可以有一个容器，也可以有多个容器。一般一个pod里运行一个容器，那一个pod里运行两个容器的意义何在？一个容器是主容器，一个是副容器sidecar,比如nginx容器用来提供服务，另外一个容器使用工具来进行日志分析，两个容器挂载同一个数 据卷，日志分析容器读取数据卷即可分析日志。创建pod的前提是已经有一套可以正常运行的Kubernetes集群，关于Kubernetes(k8s)集群的安装部署，可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》

docker可以创建容器，Kubernetes不能直接创建容器，Kubernetes创建的是pod，pod里面包含了一个或者多个容器。创建pod的前提是已经有一套可以正常运行的Kubernetes集群，关于Kubernetes(k8s)集群的安装部署，可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》Centos7 安装部署Kubernetes(k8s)集群 - 人生的哲理 - 博客园。

只有完成彻底的检查，才有可能避免有恶意的、能够访问 kubelet 客户端证书的第三方 为任何 IP 或域名请求服务证书。如果你在寻找一种能够自动批准这些 CSR 的解决方案，建议你与你的云提供商 联系，询问他们是否有 CSR 签名组件，用来以带外（out-of-band）的方式检查 节点的标识符。这意味着证书快要过期时，会生成一组针对服务证书的新的 CSR，而 这些 CSR 也要被批准才能完成证书轮换。要在新的 kubeadm 集群中配置 kubelet 以使用被正确签名的服务证书， 你必须向。

• 工作节点：工作节点主要是指kubelet连接apiserver所需的客户端证书，这个证书由controller-manager组件自动颁发，默认是一年，如果到期，kubelet将无法使用过期的证书连接apiserver，从而导致无法正常工作，日志会给出证书过期错误（x509: certificate has expired or is not yet valid）（工作节点容易忽略掉证书有效期）容易过期的是ca证书派发出来的证书文件，这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。

例如，所有etcd server证书需要是同一个CA签署的，所有的etcd peer证书也需要是同一个CA签署的，而一个etcd server证书和一个etcd peer证书，完全可以是两个CA机构签署的，彼此没有任何关系。其实实际上，使用一套证书（都使用一套CA来签署）一样可以搭建出K8S，一样可以上生产，但是理清这些证书的关系，在遇到因为证书错误，请求被拒绝的现象的时候，不至于无从下手，而且如果没有搞清证书之间的关系，在维护或者解决问题的时候，贸然更换了证书，弄不好会把整个系统搞瘫。

类型CACN认证描述官方Etcd对外提供服务kube-etcd节点相互通信的证书clientpod中Liveness探针客户端证书k8sca.crt,keysa.pub,key服务帐户密钥serverapiserver 证书clientkubelet证书clientapiserver访问etcd的证书client用于前端代理。

前面在使用kubeadm工具部署K8S时，做过Metrics的部署，过程很简单。后来在生产上使用二进制方式部署K8S后，创建Metrics插件却屡屡遇坑，此处记录一下填坑过程。部署步骤请参考《》为了更方便厘清问题，先上一张拓扑图（flanneld网络插件可以换成calico）

我们是在 Kubernetes Cluster 部署过程中遇到该问题。由于 Calico 自动检测 IP 地址默认使用 first-found 方法，获得错误地址，需要我们手动指定检测方法。使用tigera-operator方式安装的calico，启动后报错，所有的calico相关的pod都显示CrashLoopBackoff。2、删除custom-resources.yaml。3、删除vxlan.calico。1、将所有claico删除。

Role与ClusterRole在RBACAPI中，一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义，而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace中资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...

docker是一个伟大的项目，在理清Kubernetes、Containerd和Docker之间的关系后，可以看出docker为oci贡献了runtimespec的标准参考实现runc，另外oci的imagespec镜像规范也是以Docker镜像规范V2为基础制定的，docker还为k8s贡献了一个稳定可靠的容器运行时containerd。虽然k8s后续将不再支持dockershim，但Docker本身仍然可以作为本地开发、测试和单机容器部署的利器。...

服务网格提供了一种透明且独立于语言的方式，可以灵活，轻松的自动化运维应用程序的网络功能。Service Mesh通过Sidecar(从容器)的模式，对于服务本身时没有侵入式的。开发人员只需要关注微服务本身的代码逻辑。不需要去管理service mesh的sidecar是怎么实现的，所以说它是透明的方式。Service Mesh不是跟任何开发语言绑定的，是一种平台框架。...

云的定义看似模糊，但本质上，它是一个用于描述全球服务器网络的术语，每个服务器都有一个独特的功能。云不是一个物理实体，而是一个庞大的全球远程服务器网络，它们连接在一起，旨在作为单一的生态系统运行。这些服务器设计用于存储和管理数据、运行应用程序，或者交付内容/服务（如视频短片、Web 邮件、办公室生产力软件或社交媒体）。不是从本地或个人计算机访问文件和数据，而是通过任何支持 Internet 的设备在线访问 - 这些信息在必要时随时随地可用。...

①. Service服务发现ClusterIP方式②. Service服务暴露NodePort方式③. Ingress的概述以安装④. Ingress的域名访问⑤. Ingress的路径重写⑥. Ingress的限流操作

资源创建方式NamespacePodDeploymentServiceIngress存储抽象

默认情况下，Kubernetes 集群网络没任何网络限制，Pod 可以与任何其他 Pod 通信，在某些场景下就需要进行网络控制，减少网络攻击面，提高安全性，这就会用到网络策略。

MetalLB旨在通过提供与标准网络设备集成的Network LB实现来解决这种不平衡问题，从而使裸机群集上的外部服务也尽可能“正常运行”。

k8s中MetalLB的使用

1、 概述Kubernetes要求集群中所有Pod，无论是节点内还是跨节点，都可以直接通信。默认情况下，集群中所有Pod之间、Pod与节点之间可以互通。网络主要解决两个问题，一个是连通性，实体之间能够通过网络互通。另一个是隔离性，出于安全、限制网络流量的目的，又要控制实体之间的连通性。网络策略（NetworkPolicy）用来实现隔离性，只有匹配规则的流量才能进入Pod，同理只有匹配规则的流量才可以离开Pod。NetworkPolicy 资源使用标签选择Pod，并定义选定Pod所允许的通信规则。但请

K8S认证 CKA CKS CKAD 考试报名 约考流程 常见问题允许访问的网页考试前，老师会检查什么谷歌浏览器无法共享桌面和摄像头考试优惠券 折扣码考试证件要求

转载至https://blog.csdn.net/LONG_Yi_1994/article/details/123868991

What should you do when you’ve developed and installed a cron job for your Kubernetes application, and you need to test it? When writing classic cron jobs in Unix, it’s obvious how to test the job- just manually run the command specified in the cron file.

1、--save-config为什么需要使用kubctl apply保存配置？kubectl apply <file.yaml> --save-config创建或更新部署，并将部署另存为元数据。文件上说--save-config[=false]：如果为true，则当前对象的配置将保存在其注释中。当您将来要对此对象执行kubectl apply时，这非常有用。为什么我需要save-config？如果不使用--save-config，我仍然可以使用kubectl apply更新部署

K8S CKS1.23 考试环境，按照CKS最新原题搭建的，模拟环境已集成考题，可直接模拟练习，做题实操。资料包含：题库+答案+笔记+模拟环境+技术支持、排错答疑，2周即可练出并参加考试。包学包过，资料可长期更新，资料详见下方截图。注意：考试中心在2022年2月21号，已升级CKS考试为1.23版本！3月15号题目略有变动。操作系统版本：Ubuntu 20.04Kubernetes版本：v1.23与最新考试环境一致，最近部分同学考试为：2022年 2月25号（88分），2月24号（85分）.