博然的宝藏库

原创 Gitops-万字保姆级教程-小白也可以轻松学会! (Part 2)-ArgoCD

在Part 1中我们安装了Gitlab、配置了Gitlab-Runner、并且测试了最基本的Ci流水线。接着结合Sonar_qube对代码进行静态扫描并集成在Gitlab_Ci中。我们初步的完成了Ci阶段。这篇Part 2 主要涉及到CD阶段，通过Argo结合Gitops部署到我们的环境中。在Part 1 篇中我们使用的Python代码只用于演示Ci阶段，本次演示代码使用博主的Github开源仓库。开源万岁！一、Argo-CD是什么？总结。

原创 Gitops-万字保姆级教程-小白也可以轻松学会! (Part 1)-Gitlab与Gitlab-Ci

本文章分为2个部分：Part 1主要涉及Gitlab、Gitlab-Runner、Git-Ci、Sonar-qube。Part 2主要涉及Rancher、Fleet、Git-Ci。GitOps 是一种用于持续交付（CD）的实践，它将 Git 作为单一的真理来源和配置的中心。这种方法强调开发人员和运维团队使用 Git 进行版本控制、代码审查和自动化部署的能力，以提高软件开发和部署的速度、安全性和可靠性。也可以参考下面我的另外一篇博客。

原创 Gitops-万字保姆级教程-小白也可以轻松学会! (Part 3）-关于git你需要知道的事情

这是Devops系列文章的第三篇，从git命令学习。

原创 Cilium 混合模式替换 Calico,以及安装Cilium过程(思路清晰版)

Calico替换为Cilium 有两个做法，一种鲁莽版，一种思路清晰版。今天这遍文章是官方最佳实践版本。

原创 VMware提供虚拟硬盘并使得Oracle Linux集群共享块设备并绑定raw设备。

一、Vmware操作nodeA :1、创建SCSI控制器：类型为物理。添加新磁盘。类型为独立-持久。nodeB:新增磁盘，但是选择node A刚才创建的磁盘。类型：独立-持久。二、OS层操作。

原创 Cilium + ebpf 系列文章- XDP (eXpress data Path)（四）

ebpf技术可以将XDP类型的ebpf程序附加在物理/虚拟网卡侧，即数据包都还没有到达内核的网络数据盏之前进行拆包！2、Pod的网络命名空间由Pod内的容器使用并共享但是由暂停容器（Pause Container）管理。5、当你的数据包到达其他节点的kube-proxy时，kube-proxy拦截，iptables查表。这段代码展示了一个简单的 eBPF XDP 程序，它在处理每个网络数据包时打印一条消息并增加一个计数器。3、Pod内的容器网络通过veth_pair对与主机网络命名空间打通。

原创 Cilium + ebpf 系列文章-ebpf-tool（三）

本篇文章：主要是在介绍和演示用户空间侧ebpf调试工具-ebpf-tool一、项目地址。

原创 Cilium + ebpf 系列文章-ebpf-map（二）

一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。##上面的实验是为了证明你在用户空间编写的ebpf程序可以在内核中运行，并且监控系统调用和内核函数。它们可用于在eBPF程序之间和与用户空间代码共享信息——例如，将配置传递到eBPF程序中，或将在内核中收集的可观察性数据发送到用户空间。上一章节讲述了什么是：ebpf.

原创 Cilium + ebpf 系列文章-什么是ebpf?（一）

一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。3、当你执行l s操作时，会调用open的系统调用，然后open的系统调用具体是使用do_sys_open这个内核函数来具体执行！##上面的实验是为了证明你在用户空间编写的ebpf程序可以在内核中运行，并且监控系统调用和内核函数。这篇非常非常干，很有可能读不懂。

原创 K8s Calico替换为Cilium,以及安装Cilium过程(鲁莽版)

这将会下载并解压 Cilium 的 Helm Chart 到当前目录下的 `cilium` 文件夹中。### 步骤 3：下载 Cilium Helm Chart 到本地。### 步骤 2：添加 Cilium Helm 仓库。#### 添加 Cilium Helm 仓库。### 步骤 1：安装 Helm。#### 安装 Helm。一、删除Calico。二、下载Cilium。三、安装Cilium。

原创 Linux-替换国内源

【代码】Linux-替换国内源。

原创 Linux 本地zypper源

【代码】Linux 本地zypper源。

原创 Docker Networking Tutorial（Mac-vlan vs Bridge vs overlay）

一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。二、Test-step。

原创 Docker Networking Tutorial (Bridge - None - Host - IPvlan - Macvlan )

四、mac-vlan。

原创 记录一下，Vcenter清理/storage/archive空间

storage/archive 目录通常用于存储归档的日志文件和其他历史数据。这些文件通常是由 vCenter Server 自动生成的，用于记录系统。**图中可以看到 /storage/archive 使用占比很高。1、SSH登陆到Vcenter.**清理后空间正常，Vcenter运行正常。操作、事件和其他重要信息。保留近期30天的归档文件。

原创 5分钟配置Nginx?(二)

此文章分为两个部分。5分钟搞懂什么是Nginx?(一)-CSDN博客文章浏览阅读82次。2.、那么此时入口的安全性则格外重要，同时因为加强了入口的安全性，后端的web server的安全则可以不用做额外安全工作。因为入口如果破防，后端web server一定破防，如果不加proxy server，后端web server直接暴露在公网上，破防也只是时间问题。2、prosy server 直接转发加密的请求到后端 web server，web server自行解密。

原创 VMware账户授权迁移Broadcom账户-操作指南

3、 注册成功后，点击你的账户名，点击Build your profile.7、点击页面左边的“我的凭证”，里面就有你之前在VMware的所有授权。比如：历史记录、授权升/降级等等。8、关于授权的完整操作，请查看下面的指南。2、登陆下面网址用你的企业邮箱注册账户。1、拨打电话获取Site ID。5、等待3分钟，切换浏览器。一、拨打博通-支持电话。

原创 5分钟搞懂什么是Nginx?(一)

2.、那么此时入口的安全性则格外重要，同时因为加强了入口的安全性，后端的web server的安全则可以不用做额外安全工作。因为入口如果破防，后端web server一定破防，如果不加proxy server，后端web server直接暴露在公网上，破防也只是时间问题。2、prosy server 直接转发加密的请求到后端 web server，web server自行解密。1、因为设置了proxy server之后整个后端web server都被入口proxy server代理了。2、分片（块）传输。

原创 xlsx表格-A列的值需要从C列中匹配到然后输出C列旁边D列的值，怎么写公式？

表示要返回的列的索引。区域中返回第2列（即。

原创 修改pom.xml为阿里云仓库并且让他生效

mvn clean package验证。一、项目pom.xml添加。二、清理本地仓库缓存。

原创 pom.xml和.m2的setting的区别？

（Project Object Model 文件）是 Maven 项目的核心配置文件。它定义了项目的基本信息、依赖项、插件、构建配置等。每个 Maven 项目都有一个 pom.xml。它用于配置 Maven 的全局设置，如本地仓库位置、代理设置、镜像配置、认证信息等。它影响所有使用该 Maven 安装的项目。一个是java项目的配置文件,一个是mvn编译工具的配置文件。是 Maven 的全局配置文件，通常位于用户主目录下的。

原创 Gitlab仓库的权限分配以及如何查看自己的权限

6. 选择适当的权限级别（Guest、Reporter、Developer、Maintainer）。- **Reporter**：可以查看和克隆代码，但不能推送代码。- **Owner**：拥有项目的所有权限（仅限于个人项目）。- **Developer**：可以查看、克隆和推送代码。- **Maintainer**：可以管理项目设置和成员。4. 在成员列表中，你可以看到自己和其他成员的权限级别。3. 在左侧菜单中，点击“Members”（成员）。- **Guest**：只能查看项目的公开内容。

原创 Gitlab中access token 和Deploy token的区别

可以配置不同的权限范围（Scopes），如`api`、`read_user`、`read_repository`、`write_repository`等。- **Deploy Token**：专门用于CI/CD和自动化部署，权限较为有限，适用于特定场景。- **Project Access Token**：与特定项目关联，具有项目级别的权限。- **Access Token**：用于用户身份验证，具有广泛的权限范围，适用于各种操作。- 可以用于克隆、推送代码，管理项目和组，执行CI/CD任务等。

原创 Gitops-万字保姆级教程-小白也可以轻松学会! (Part 4)-Argo-Cli安装与使用

*选择合适的符合你操作系统以及CPU架构的二进制文件。

原创 5分钟了解，Kustomize是什么工具？

那么就是说第一个deployment.yaml，其实就是定义的模版文件，但是一个非常完整的文件。另外两个development以及production，其实就是覆盖模版文件上的一些参数，来实现不同环境部署不同的配置文件。

原创 Cherry无线鼠标重新配对教程

原创 Linux文件系统讲解!

usr/bin 是二进制文件的主要存放位置，不是操作系统本身的一部分，大部分用户的程序放在这里，比如git等,有趣的人 /usr 不是代表User用户而是Unix System Resources。/usr/lib 包含/usr 二进制文件的库，这些库对于早期系统初始化并不重要。/usr/local/bin 保存由管理员安装的可执行文件，通常是从源码构建他们后放入的。/lib包含/bin和/sbin二进制文件正常运行所必需的共享库文件。在安装/usr之前，需要在引导过程的早起访问这些库，

原创 几句话理解Kubetnetes中的Service资源的几种类型

master-host = mysql-cluster-0.mysql-cluster.default.svc.cluster.local 直接告诉Slave节点主节点在哪里，并且后端程序的配置文件也可以直接写mysql-cluster-0.mysql-cluster.default.svc.cluster.local告诉后端程序Mysql主的地址。2、且因为副本机制的存在，创建多副本的Pod以及实际需要访问服务的Pod不一定在同一个worker节点上，需要一个LB的机制。

原创 几句话明白什么是Kubernetes Operator？

答案肯定是不知道的，这个时候就需要人工干预，这个人就是操作员，也就是Operator。1、要实现软件Operator层面，Kubernetes本身的api是不能够完成这类任务的，因为Kubernetes不可能存储所有应用的控制生命周期的知识。3、那么Kubernetes设计之初就说我们是一个自动化、减少人工干预的、自动修复平台，是不是优点问题。1、有状态应用，比如数据库、复杂的集群系统（ELK），本身有选举、同步等机制的应用程序。3、这些被单独定义的CRD就是Operator的具体控制生命周期的“知识”。

原创 将你的IOS升级到18

一、登录到苹果开发者网站。三、选择Download。四、登录appleid。二、选择IOS 18。

原创 纯理论容器实现的原理

容器本质上就是主机上的一个进程。这个进程拥有自己的用户空间并且和主机共享内核空间。容器内的进程可以通过系统调用与内核进行交互，使用内核提供的各种功能和资源。简单的说就是将一个目录赋予一个进程作为这个进程运行的根目录的技术。六、容器是怎么挂载和使用主机的Dir的？当容器启动时，会使用overlay2存储驱动将容器的LowerDir、UpperDir、WorkDir、MergedDir镜像合并，组成容器的Rootfs(也就是容器的用户空间),并且在 Docker 中，当你使用-v或--volume。

原创 几句话搞懂什么是docker image?它主要解决什么问题？他用什么技术实现的？

1、他使用联合文件系统基于层级概念保证docker image的不可变性。如出现读那就正常读，如有修改会新增一层复制底层中的文件进行修改，而不是直接修改原文件的内容。当你本地开发一个应用想测试，如果时虚拟机环境那你会重复做很多工作且还会出现兼容问题。2、docker image 因为可以推送到公网且镜像非常小以及本身都是标准化的产物，那么你可以在任何地方部署和移植。4、符合OCI标准的Runtime都可以运行docker image.1、除去LinuxOS内核资源的用户空间的一组资源集合的快照。

原创 4句话明白虚拟机和容器的区别

1、容器本质上是被namespace以及cgroup隔离和限制资源的进程。在容器之间的隔离相比虚拟机OS之前的安全性较差。2、扩展APP副本时到重复资源浪费（GustOS-libs）3、当你开发在本地但要移植到云端，就会出现各种兼容性问题。4、很难集成到DevOps管道中，因为CD阶段没有标准。服务器-HostOS-虚拟化层-GustOS-libs-App。服务器-HostOS-RunTime-App。

原创 浅谈什么是Google GKE?Auto Pilot模式是什么？

1、私有云的Kubetnes包括底层虚拟机的生命周期管理、安全都给Google管理，管理成本降低。2、底层实际还是一堆虚拟机，但这些虚拟机的生命周期不用你负责管理了，只需要管理Gke集群来运行你的工作负载。2、如遇到业务增长或新业务部署，扩容后的节点GKE是基于模版而不是实际的业务需求。1、集群的节点数量是预先设计好的而不是根据业务实际需求，会出现闲置资源成本。1、你需要为这个集群配置Kubetnetes版本、网络、存储、节点等等。2、如遇到业务增长、扩缩容由公有云提供不间断业务的扩、缩容集群。

原创 4句话学习-k8s节点是如何注册到k8s集群并且kubelet拿到k8s证书的

三、看到有人拿着Bootstrap token的CSR来签名请求了，CSRAppprovingController会自动签名并且生成证书。服务器端会保存你的证书，让你来下载。二、ControllerManager有一个组件叫CSRAppprovingController，专门来Watch有没有人来使用我这个api.一、kubelet拿着CSR（签名请求）使用的是Bootstrap token。四、Kubelet会下载证书并且使用这个证书来访问Api-Server.

原创 了解Kubernetes-RKE2的PKI以及证书存放位置

默认位置：/etc/kubenetes/pki ,因为我是搭建的RKE2发行版的k8s,故我的PKI在这里：/var/lib/rancher/rke2/server/tls。3、但同理Api-server相对于Etcd和Kubelet那么，Etcd、Kubelet为Server端，则Api-server有一份对应的Client证书。可以方便理解为当你的集群有Server,Client架构，那么为了安全加密之间的通信，则需要使用证书进行交互，那么利用PKI架构可以安全加密组件之间的通信。简称：证书基础设施。

原创 CentOS-内网搭建FTP-Server

3、修改/etc/vsftpd/vsftpd.conf 配置文件。1、勾选FTP、文件以及存储服务器、性能以及开发工具。2、临时关闭Selinux，不然用户无法读取你的文件。1、 Centos-everting或者DVD。6、使用客户端FileZilla进行测试。4、新增FTP用户 演示为admin。2、7.5 7.6 7.9 均可。2、最重要的一步为“软件选择”1、其余步骤和普通安装一致。密码为 admin12345。三、FTPServer搭建。查看admin用户的目录。状态要为Runing。

原创 大白话说明：k8s-Service资源的理解以及与Ingress Controller 做区分

1、kube-proxy会拦截所有访问Service Cluster-ip的流量并且通过Service的Endpoints 来list实际的后端IP地址。2、当你创建Service资源时会同时创建一个名称为Endpoints的资源对象来List 这些实际的Pod的IP。2、Ingress Controller 只需要Service 的Endpoints的信息。2、7层则可以使用应用层的Http层应用层协议并且可以做的LB更加灵活。3、它干的活儿就是一个 4层LB的活儿。五、4层LB和7层LB的区别。

原创 TOP10-k8s-安全措施

这包括 etcd 的客户端到服务器的通信（例如，API 服务器到 etcd 的通信），以及 etcd 集群内部的服务器到服务器的通信。：如果可能的话，你应该考虑使用外部的密钥管理系统，如 HashiCorp Vault 或 AWS KMS，来存储你的敏感数据。etcd保存着整个k8s集群的几乎所有资源信息，攻击者可以访问etcd那么可以说几乎拥有无限制对于k8s集群的访问权限。：你应该启用 etcd 的审计日志功能，以记录所有的请求。这可以帮助你检测任何未授权的访问尝试，以及跟踪问题的来源。

原创 Kubernetes-使用集群CA证书给用户颁发客户端证书访问Api-Server

创建了证书之后，为了让这个用户能访问 Kubernetes 集群资源，现在就要创建 Role 和 RoleBinding 了。解释：创建一个角色叫开发者，只有更新和创建以及列出对于Pod资源的权限，没有制定命名空间则默认使用default.设置 CSR 的 CN 和 O 属性很重要。CN 是用户名，O 是该用户归属的组。2、下面get pod 则验证了权限配置正常以及正确。比如我是rke2的发行版，默认是default,其他发行版类推。将上面的的开发者权限绑定到刚才颁发证书的user-myuser。