IP透传 web服务器中需要记录客户端的真实IP地址,用于做访问统计,安全防护,行为分析,区域排行等场景. Layer4与Layer7 四层：IP+PORT转发 七层：协议+内容交换 四层负载 在LVS传统的四层负载设备中,把client发送的报文目标地址(原来是负载均衡设备的IP地址),根据均衡设备设置的选择web服务器的规则选择对应的web服务器IP地址,这样client就可以直接跟此服务器建立TCP连接并发送数据,而四层负载自身不参与建立连接 而和LVS不同,haproxy是伪四层负载均衡,因为haproxy需要分别和前端客户端及后端服务器建立连接 七层代理 七层负载均衡服务器起了...

KVM安装部署 KVM做单机管理虚拟机，Openstack集群管理虚拟机 docker单机管理容器，k8s集群管理容器 宿主机环境准备 在vmware安装linux系统，并在设置中开启虚拟化 CPU开启虚拟化 一：开启虚拟化引擎两项内容 二：提高内存和处理器至8G 验证开启虚拟化 grep-Em1"vmx|svm"/proc/cpuinfo InterCPU对应vmx AMDCPU对应svm 验证是否开启虚拟化支持 [root@ubunt]grep-Em1"vmx|svm"/proc/cpuinfo flags :fpuvmedepsetscmsrpaemcecx8apicsepm...

虚拟化技术 宿主机模式：依赖操作系统，跑在软件上 裸金属模式：直接跑在硬件上 架构 KVM被集成在内核里，基于硬件辅助的功能，工作在-1层 grep-ikvm/boot/config-5.4.0-128-generic CONFIG_KVM=m modinfokvm查看模块信息 filename:/lib/modules/5.4.0-128-generic/kernel/arch/x86/kvm/kvm.ko模块目录，可按需加载 lsmod|grepkvm查看正在加载的模块目前未加载，因为没有勾中虚拟机的选项 单个kvm虚拟机对应宿主机的一个进程 架构 vm1vm2vm3......

KVM网络管理 1、集线器hub属于一层物理层设备 问题：共享冲突域和广播域 冲突域：两个设备同时发送数据（单、组、广播）会冲突，则处于同一个冲突域，反之不在。设备越多，发生冲突的几率越大。 广播域：一个设备发广播，另一个设备收到，则在同一个广播域中。 提高网络性能的办法是让冲突域和广播域不要太大。 2、网桥和交换机属于二层数据链路层设备，对冲突域进行切割，一个接口就是一个冲突域（24口、48口），所有接口在同一个广播域中。 3、路由器属于三层网络层设备 网桥 ubuntu三张网卡，对应三台机器，配成网桥，彼此之间可以通过网桥进行通讯 br0上面可以配置一个地址用于远程管理10.0...

kubernetes是一个以应用为中心的容器编排工具 是面向平台的平台，支持强大的扩展能力 容器编排 容器生命周期： 容器创建，运行，监控，终止 为容器运行提供支撑： 存储卷：卷编排 网络：网络编排 容器关系管理： 超亲密关系：运行一个整体，kubernetes抽象出来的新概念pod 非超亲密关系：各自独立运行 通过service互相发现和访问 service需要DNS的支撑 为service提供一个独立DNS域名格式的名称 kubernetes集群的节点类型： 由master和worker组成 master：控制平面 worker：数据平面 客户端通过api接口提交应用程序的...

部署前提 使用kubeadm部署Kubernetes集群的前提条件 ◼支持Kubernetes运行的Linux主机，例如Debian、RedHat及其变体等 ◼每主机2GB以上的内存，以及2颗以上的CPU ◼各主机间能够通过网络无障碍通信 ◼独占的hostname、MAC地址以及product_uuid，主机名能够正常解析 ◼放行由Kubernetes使用到的各端口，或直接禁用iptables ◼禁用各主机的上的Swap设备 ◼各主机时间同步 准备代理服务，以便接入k8s.gcr.io，或根据部署过程提示的方法获取相应的Image 部署环境 OS:Ubuntu20.04.2LTS ...

应用编排运行在kubernetes上的条件 1、以容器化形式，得有可用的Image 2、编排、调度、运行应用的最小单元是pod 3、Controller模式（控制器模式） 4、声明式API 声明式API 声明式API：声明资源对象的终态，达成终态的依赖项是Controller 声明多个资源终态：以应用为中心 工作负载型Controller资源对象:Deployment 应用更新 扩容和缩容 …… 服务的固定访问入口，负载均衡功能：Service ClusterIP NodePort 声明式API资源类型 kubectlapi-resources（列出所有资源类型，不够用，可扩展资源类...

网络插件 kubernetes最流行的网络查件：flannel和calico 如果kubernetes节点不超过50个 用InstallCalicowithKubernetesAPIdatastore,50nodesorless 如果kubernetes超过50个节点 用InstallCalicowithKubernetesAPIdatastore,morethan50nodes 如果使用独立的etcd集群 InstallCalicowithetcddatastore 使用命令 curlhttps://raw.githubusercontent.com/projectcalico/ca...

创建一个专用的交互式测试客户端： 拉取镜像 kubectlrunclient-$RANDOM--image=ikubernetes/admin-box:v1.2--restart=Never-it--rm--command-/bin/bash root@client-12383/ 在默认名称空间下的服务去访问另一个名称空间下的服务 查看另一个名称空间 [root@K8s-master01]kubectlgetsvc-ndemo NAMETYPECLUSTER-IPEXTERNAL-IPPORT(S)AGE demoappNodePort10.102.165.71<none>80...

资源范式：五个一级字段 kind：<String>指明对象的类型（资源类型），类型标签 apiVersion：<String>指明对象的类型（资源类型），类型隶属的API群组 metadata:<Object>对象元数据，名称/标签/注解和隶属的名称空间 spec：<Object>对象数据，期望状态 status：<Object>资源的实际状态，由系统组件自行负责维护 系统默认名称空间 default默认使用名称空间 kube-node-lease kube-public kube-system系统级名称空间 service类...

pod资源规范总结 资源类型获取： kubectlaip-resources 资源群组获取： kubectlaip-versions 特定资源的规范获取： kubectlexplain<Kind>. pod运行 自主式pod,非受控于工作负载型控制器 直接由kubelet管理 apiVersion:v1 kind:Pod metadata: name: namespace: lables: key1:value1: spec: containers:(唯一的必选字段，对象列表) name: image： name: image: name: image: securityC...

特殊卷 ConfigMap和Secret是Kubernetes系统上两种特殊类型的存储卷 ◼ConfigMap用于为容器中的应用提供配置数据以定制程序的行为，而敏感 的配置信息，例如密钥、证书等则通常由Secret来配置 ◼ConfigMap和Secret将相应的配置信息保存于资源对象中，而后在Pod对象 上支持以存储卷的形式将其挂载并加载相关的配置，从而降低了配置与镜 像文件的耦合关系，提高了镜像复用能力 ◼Kubernetes借助于ConfigMap对象实现了将配置文件从容器镜像中解耦，从 而增强了工作负载的可移植性，使其配置更易于更改和管理，并避免了将 配置数据硬编码到Pod配置清单...

service service的功用： 服务的固定访问入口，用于实现服务发现 流量的负载均衡 发现机制： servicelabelselecter>判断podlabel 每创建一个service，系统会自动创建一个同名的Endpoint资源 （Endpoint，Endpointslice） 评估条件： 符合标签选择器的条件 pod处于ready状态 访问： service：会自动分配一个IP地址，clusterIP，serviceIP servicename>serviceip clusterDNS:skyDNS-->kubeDNS-->CoreDNS Core...

Kubernetes的控制器 Kubernetes的控制器类型 ◼打包于ControllerManager中内置提供的控制器，例如ServiceController、DeploymentController等 ◆基础型、核心型控制器 ◆打包运行于kube-controller-manager中 ◼插件或第三方应用的专用控制器，例如Ingress插件ingress-nginx的Controller，网络插件ProjectCalico的Controller等 ◆高级控制器，通常需要借助于基础型控制器完成其功能 ◆以Pod形式托管运行于Kubernetes之上，而且这些Pod很可能会由内置的控制器...

DaemonSet的应用编排机制 DaemonSet：在集群中的每个节点上，都要部署一个且只能部署目标应用的一个实例； 也可以基于标签选择器管控一组Pod副本； DaemonSet在什么场景中可以用到： 我们使用zabbix监控目标主机的时候，通常在每一个目标主机上面部署一个zabbix.agent，但没必要在一个节点上部署多个，像这种场景下就可以使用DaemonSet 或者kube-proxy、kube-flanner、ProjectCalico、csi-node 常用场景 ◼特定类型的系统化应用，例如kube-proxy，以及Calico网络插件的节点代理calico-node等 ...

Job和CronJob编排作业级应用 Job Job控制器的应用编排机制 如果说daemoset和deployment主要负责编排始终运行的守护进程类应用；而Job则是负责编排运行有结束时间的“一次性”任务。 ◼控制器要确保Pod内的进程“正常（成功完成任务）”地退出 ◼非正常退出的Pod可以根据需要重启，并在重试一次的次数后终止 ◼有些Job是单次任务，也有些Job需要运行多次（次数通常固定） ◼有些任务支持同时创建及并行运行多个Pod以加快任务处理速度，Job控制器还允许用户自定义其并行度 需要周期性运行的Job，则由CronJob控制器负责编排 ◼CronJob建立在Job的功能之上...

有状态应用编排statefulset statefulset： 有状态应用：前后请求之间存在一定的相关性的应用 如：mysql数据库类别的应用、需要跟踪用户setion的应用 statefulset与Deployment重大不同之处在于： Deployment所编排下的每一个应用是无状态，互相可以取代，因此连应用的名字都是随机的 statefulset需要明确区分编排下的每个实例，每个实例不能互相取代。 如mysql中的实例，一个master，一个slave，slave取代master需要复杂的步骤才可以做到，让master降级为slave也是如次，因在在这种情况下，需要对每一个实例明确标...

认证体系与ServiceAccount 1、Kubernetes的访问控制体系 APIServer及其各客户端的通信模型 APIServer是Kubernetes集群的网关，是能够与etcd通信惟一入口； ◼kube-controller-manager、kube-scheduler、kubelet、kube-proxy，以及后续部署的集群插件CoreDNS、ProjectCalico等，彼此间互不通信，彼此间的所有协作均经由APIServer的RESTAPI进行，它们都是APIServer的客户端 ◼确保对APIServer的安全访问至关重要 ◆客户端对APIServer的访问应经过身份验...

Ingress与应用发布 1、Ingress和IngressController Kubernetes集群的流量管理 Service ◼基于iptables或ipvs实现的四层负载均衡机制 ◼不支持基于URL等机制对HTTP/HTTPS协议进行高级路由、超时/重试、基于流量的灰度等高级流量治理机制 ◼难以将多个Service流量统一管理 Ingress ◼由IngressAPI和IngressController共同组成 ◆前者负责以k8s标准的资源格式定义流量调度、路由等规则 ◆后者负责监视（watch）Ingress并生成自身的配置，并据此完成流量转发 ◼IngressControll...

高可用Kubernetes集群部署 部署前提 使用kubeadm部署Kubernetes集群的前提条件 ◼支持Kubernetes运行的Linux主机，例如Debian、RedHat及其变体等 ◼每主机2GB以上的内存，以及2颗以上的CPU ◼各主机间能够通过网络无障碍通信 ◼独占的hostname、MAC地址以及product_uuid，主机名能够正常解析 ◼放行由Kubernetes使用到的各端口，或直接禁用iptables ◼禁用各主机的上的Swap设备 ◼各主机时间同步 准备代理服务，以便接入k8s.gcr.io，或根据部署过程提示的方法获取相应的Image kubernetes...