为个人日志

grafana-强大的可视化web面板

2020-06-09T11:00:00.000Z

简介

Grafana 是一个开箱即用的可视化工具，具有功能齐全的度量仪表盘和图形编辑器，有灵活丰富的图形化选项，可以混合多种风格，支持多个数据源特点，大多使用在时序数据的监控方面，如同Kibana类似。Grafana的UI更加灵活，有丰富的插件，功能强大。

官方地址

grafana监控页面展示：

grafana安装配置（结合prometheus）

官方链接：

架构图：

环境：

CentOS7.5_x64
grafana-5.3.4-1

默认端口：3000

1. 下载安装

安装依赖go环境

1	yum install -y go

1 2	wget https://s3-us-west-2.amazonaws.com/grafana-releases/release/grafana-5.3.4-1.x86_64.rpm yum install -y grafana-5.3.4-1.x86_64.rpm

安装包信息：

二进制文件： /usr/sbin/grafana-server
init.d 脚本： /etc/init.d/grafana-server
环境变量文件： /etc/sysconfig/grafana-server
配置文件： /etc/grafana/grafana.ini
启动项： grafana-server.service
日志文件：/var/log/grafana/grafana.log
默认配置的sqlite3数据库：/var/lib/grafana/grafana.db

2. 服务管理

1
2
3

systemctl daemon-reload
systemctl start/stop/status/restart grafana-server
systemctl enable grafana-server.service

默认以grafana用户启动grafana进程，grafana 用户是在安装过程中自动创建的，默认http端口：3000，默认用户和密码是都admin

3. 安装图像渲染依赖

服务器端图像（PNG）渲染是可选的功能，但在共享可视化时非常有用，例如在警报通知中。如果图像缺少文本，请确保已安装字体包。

1	yum install -y fontconfig freetype* urw-fonts

配置grafana

配置文件：/etc/grafana/grafana.ini

grafana.ini注释是分号’;’，

下面列出的配置文件中的选项都可以被环境变量覆盖，即’.‘会被’_'替换，语法：

GF__

配置文件选项：

# default section
instance_name = ${HOSTNAME}

[security]
admin_user = admin

[auth.google]
client_secret = 0ldS3cretKey

环境变量替换：

1
2
3

export GF_DEFAULT_INSTANCE_NAME=my-instance
export GF_SECURITY_ADMIN_USER=true
export GF_AUTH_GOOGLE_CLIENT_SECRET=newS3cretKey

配置详细参考官方文档

配置好后，启动grafana

1	systemctl start grafana-server

访问链接:http://host_ip:3000，也可使用nginx做反向代理

grafana基本概念

1. 数据源

Grafana支持许多不同的时间序列数据（数据源）存储后端。每个数据源都有一个特定的查询编辑器，该特定的查询编辑器是针对特定数据源公开的功能和功能而定制的。

正式支持以下数据源：

Graphite
InfluxDB
OpenTSDB
Prometheus
Elasticsearch
CloudWatch。

每个数据源的查询语言和功能显然是非常不同的。您可以将来自多个数据源的数据合并到单个仪表板上，但每个面板都与属于特定组织的特定数据源相关联。

2. 组织

Grafana支持多个组织，以支持各种部署模式，包括使用单个Grafana实例为多个潜在的不受信任的组织提供服务。

在很多情况下，Grafana将部署在一个单一的组织中。

每个组织都可以有一个或多个数据源。

所有仪表板由特定组织拥有。

注意：请务必记住，大多数度量数据库不提供任何类型的个人用户系列身份验证。因此，在Grafana中，数据源和仪表板可用于特定组织中的所有用户。

3. 用户

用户是Grafana的命名帐户。用户可以属于一个或多个组织，并可以通过角色分配不同级别的权限。

Grafana支持各种各样的内部和外部方式供用户验证自己。这些包括从其自己的集成数据库，外部SQL服务器或外部LDAP服务器。

4. 行

行是仪表板内的逻辑分隔符，用于将面板组合在一起。

行总是12“单位”宽。这些单位根据浏览器的水平分辨率自动缩放。您可以通过设置自己的宽度来控制一行中面板的相对宽度。

使用抽象单位，使Grafana在所有的屏幕上看起来都很棒，而且体积很小。

注意：使用MaxDataPoint功能，无论您的分辨率还是时间范围，Grafana都可以为您显示完美的数据点数量。
根据所选的模板变量，利用重复行功能动态创建或删除整个行（可以填充面板）。

可以通过单击行标题来折叠行。如果您保存了一个折叠的行的仪表板，它将保存在该状态，并且不会预加载这些图，直到该行被展开。

5. 面板

面板是Grafana的基本可视化构建块。每个面板提供一个查询编辑器（取决于面板中选择的数据源），允许您通过使用查询编辑器提取完美的可视化以在Panel上显示
每个Panel都有各种各样的造型和格式化选项，让您创建完美的图片。

面板可以在仪表板上拖放并重新排列。他们也可以调整大小。
目前有四种面板类型：Graph，Singlestat，Dashlist，Table和Text。
像“ 图形”面板的面板允许您根据需要绘制出许多指标和系列。像Singlestat这样的其他面板需要将单个查询减少到单个数字。Dashlist和Text是不连接到任何数据源的特殊面板。

通过在面板配置中使用Dashboard Templating变量字符串（包括通过查询编辑器配置的数据源的查询），可以使面板更具动态性。
利用重复面板功能，根据所选择的模板化变量动态创建或删除面板。

面板上的时间范围通常是仪表板时间选择器中设置的时间范围，但可以通过使用面板特定时间覆盖来覆盖。

面板（或整个仪表板）可以通过各种方式轻松共享。您可以发送链接到有谁登录您的Grafana的人。您可以使用快照功能将当前正在查看的所有数据编码为静态和交互式JSON文档; 它比通过电子邮件屏幕截图好得多！

6. 查询编辑器

查询编辑器公开了数据源的功能，并允许您查询其包含的指标。
使用查询编辑器在时间序列数据库中构建一个或多个查询（一个或多个系列）。该面板将立即更新，允许您实时有效地探索数据，并为该特定面板构建完美的查询。

您可以在查询本身的查询编辑器中使用模板变量。这提供了一种基于“仪表板”上选择的“模板化”变量动态探索数据的强大方法。

Grafana允许您在查询编辑器中按照它们所在的行来引用查询。如果您向图形添加第二个查询，则可以通过键入#A来引用第一个查询。这提供了一种简单而方便的方法来构建复合查询。

7. 仪表板

仪表板是所有在一起的地方。仪表板可以被认为是由一组或多组组成并排列成一行或多行的组件。
仪表板的时间段可以由仪表板右上方的仪表板时间选择器控制。

仪表板可以利用模板来使它们更具动态性和交互性。
仪表板可以使用注释来显示面板上的事件数据。这可以帮助将Panel中的时间序列数据与其他事件相关联。
仪表板（或特定面板）可以通过各种方式轻松共享。您可以发送链接到有谁登录您的Grafana的人。您可以使用快照功能将当前正在查看的所有数据编码为静态和交互式JSON文档; 它比通过电子邮件屏幕截图好得多！

仪表板可以被标记，仪表板选择器可以快速，可搜索访问特定机构中的所有仪表板。

grafana使用

1. 登录

浏览器访问grafana主机3000端口，默认账号密码均为admin，首次登录会要求更改admin密码

2. 创建数据源

首先登入后，第一步是需要配置grafana的数据源，我们以prometheus为数据源来演示

配置以下几个参数即可，按prometheus server的实际情况来配置

3. 创建或导入Dashboard仪表盘

导入仪表盘

若已有仪表盘模板文件(json格式)或直接从官网下载的，可直接导入

官方Dashboard模板下载地址

创建仪表盘

点击导航栏"+"按键，选择dashboard，即可进入仪表盘创建界面

注意，在add下方的插件列表中，只有一些常用的基本仪表盘/面板/应用等插件，若需要其它的插件，可直接在grafana主机上通过以下命令安装并重载grafana服务

1 2	grafana-cli plugins install 插件名称 systemctl restart grafana

官方插件下载地址

我们以Graph图表示例，选中Graph，点击Edit编辑

填写好对应的数据源，指定图形对应的prometheus监控项，然后保存

4. grafana深入用法

告警及规则
用户及组权限管理
模板变量
面板编辑器
高级函数
其它

见链接

grafana高可用架构搭建

2020-01-20T02:00:00.000Z

环境：

OS：CentOS7_x86
grafana: v5.4.2
MySQL: 5.7.28

主机：

Hostname	IP	Role
centos1	192.168.2.87	grafana
centos2	192.168.2.88	grafana
centos3	192.168.2.89	grafana,mysql
haproxy1	192.168.2.99	haproxy

架构图：

其中haproxy换成nginx也可以。

效果：

Dashboard及用户等配置共享存储，以此达到多grafana高可用性。共享的完整列表如下：

+--------------------------+
| alert                    |
| alert_notification       |
| alert_notification_state |
| annotation               |
| annotation_tag           |
| api_key                  |
| dashboard                |
| dashboard_acl            |
| dashboard_provisioning   |
| dashboard_snapshot       |
| dashboard_tag            |
| dashboard_version        |
| data_source              |
| login_attempt            |
| migration_log            |
| org                      |
| org_user                 |
| playlist                 |
| playlist_item            |
| plugin_setting           |
| preferences              |
| quota                    |
| session                  |
| star                     |
| tag                      |
| team                     |
| team_member              |
| temp_user                |
| test_data                |
| user                     |
| user_auth                |
+--------------------------+

session会话保持：启用多grafana实例反向代理访问，存在会话保持问题；若代理层不支持session sticky，则可将session存储在共享数据库中，解决session无法跨节点同步的问题。

mysql安装配置

mysql安装

mysql安装配置此处略，连接信息如下：

地址：192.168.2.89:3306
用户：root
密码：root_pw

创建grafana库及session表

创建grafana库

1	CREATE DATABASE grafana default CHARACTER SET utf8;

在grafana库中创建session表

USE grafana;
CREATE TABLE `session` (
    `key`       CHAR(16) NOT NULL,
    `data`      BLOB,
    `expiry`    INT(11) UNSIGNED NOT NULL,
    PRIMARY KEY (`key`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

grafana安装及配置

所有garfana节点安装配置均相同

安装grafana

此处直接使用官方rpm包安装

1
2
3

yum install grafana-5.4.2-1.x86_64.rpm
systemctl deamon-reload
systemctl enable grafana-server

配置grafana

配置文件：/etc/grafana/grafana.ini，仅列出自定义配置项

#################################### Server ####################################
[server]
# The full public facing url you use in browser, used for redirects and emails
# If you use reverse proxy and sub path specify full url (with sub path)
root_url = http://192.168.2.99:3001

#################################### Database ####################################
[database]
# use mysql to store grafana data
type = mysql
# mysql databse connection url
host = 192.168.2.89:3306
# mysql db name
name = grafana
# mysql user
user = root
# If the password contains # or ; you have to wrap it with triple quotes. Ex """#password;"""
password = root_pw
# Set to true to log the sql calls and execution times.
log_queries =

#################################### Session ####################################
[session]
# session provide use mysql
provider = mysql
# mysql provider connection config
provider_config = root:root_pw@tcp(192.168.2.89:3306)/grafana
# Session cookie name
cookie_name = grafana_sess
# If you use session in https only, default is false
cookie_secure = false
# Session life time, default is 86400
session_life_time = 86400

注意root_url为haproxy/nginx反向代理后的地址或域名，这里若设置不正确，会导致grafana页面跳转不正常。

启动grafana

1	systemctl start grafana-server

反向代理配置

haproxy添加配置

listen grafana-ha-test
  bind 192.168.2.99:3001
  mode  tcp
  option  tcplog
  server centos1    192.168.2.87:3000 check
  server centos2    192.168.2.88:3000 check
  server centos3    192.168.2.89:3000 check

重载haproxy

1	systemctl reload haproxy

访问grafana-ha：http://192.168.2.99:3001，默认用户名密码admin/admin

使用grafana

dashboard共享

通过grafana web页面导入的dashboard会自动存储到数据库中，所以一经导入（无论通过哪个节点，包括代理节点），所有节点即可生效。此工作原理也对所有共享列表（上述列出，如用户和session等）均有效。

插件安装

由于grafana的插件是本地安装，所以额外插件必须要在三个节点都安装才完全生效。

haproxy2.0安装配置

2019-12-27T07:00:00.000Z

环境

OS: CentOS7.7_x64
Haproxy: 2.0.111

1. 安装依赖

gcc
readline-devel
systemd-devel
openssl
openssl-devel
lua5.3

1	[root@centos7 ~] yum install gcc readline-devel systemd-devel openssl openssl-devel

安装lua5.3至/usr/local/lua

[root@centos7 ~] wget http://www.lua.org/ftp/lua-5.3.5.tar.gz
[root@centos7 ~] tar zxvf lua-5.3.5.tar.gz
[root@centos7 ~] cd lua-5.3.5
[root@centos7 ~] make linux
[root@centos7 ~] make INSTALL_TOP=/usr/local/lua install

2. 安装haproxy

下载并安装至/usr/local/haproxy

[root@centos7 ~] wget https://www.haproxy.org/download/2.0/src/haproxy-2.0.11.tar.gz
[root@centos7 ~] tar zxvf haproxy-2.0.11.tar.gz 
[root@centos7 ~] cd haproxy-2.0.11
[root@centos7 ~] make -j $(nproc) TARGET=linux-glibc USE_OPENSSL=1 USE_ZLIB=1 USE_LUA=1 LUA_LIB=/usr/local/lua/lib/ LUA_INC=/usr/local/lua/include/ USE_PCRE=1 USE_SYSTEMD=1 
[root@centos7 ~] make install PREFIX=/usr/local/haproxy

创建配置文件/etc/haproxy/haproxy.cfg

global
#  daemon
  cpu-map  1 0
  log  127.0.0.1 local2
  nbproc  1
  stats socket  /var/run/haproxy.sock mode 600 level admin
  stats timeout  2m
  tune.ssl.default-dh-param  2048

defaults
  backlog  100000
  balance  leastconn
  log  global
  maxconn  14000
  option  redispatch
  option  tcpka
  option  http-keep-alive
  option  dontlog-normal
  option  dontlognull
  option  tcp-smart-accept
  option  tcp-smart-connect
  retries  5
  timeout  http-request 2m
  timeout  queue 1m
  timeout  connect 1m
  timeout  client 7d
  timeout  server 7d
  timeout  check 10s
  timeout  tunnel 7d

frontend cmdt
  bind *:8080
  mode http
  option httplog

  # ACL ENVIRONMENTS
  default_backend empty

backend empty
  mode http

listen stats
  mode http
  bind 0.0.0.0:1080
  stats enable
  stats hide-version
  stats uri /haproxy?status
  stats realm  Haproxy\ Statistics
  stats auth   admin:admin
  stats admin  if TRUE

listen mgmt-ssh
    bind 0.0.0.0:222
    mode  tcp
    balance roundrobin
    option tcplog
    option tcpka
    server centos-test 192.168.1.88:22

3. 运行

指定配置文件运行haproxy

1	[root@centos7 ~] /usr/local/haproxy/sbin/haproxy -f /usr/local/haproxy/haproxy.cfg

拷贝systemd服务配置文件

1 2	[root@centos7 ~] cd haproxy-2.0.11/contrib/systemd [root@centos7 ~] cp haproxy.service.in /lib/systemd/system/haproxy.service

修改haproxy服务执行路径：

1	[root@centos7 ~] sed -i 's/@SBINDIR@/\/usr\/local\/haproxy\/sbin/g' /lib/systemd/system/haproxy.service

修改完后haproxy.service配置如下：

[Unit]
Description=HAProxy Load Balancer
After=network.target

[Service]
EnvironmentFile=-/etc/default/haproxy
EnvironmentFile=-/etc/sysconfig/haproxy
Environment="CONFIG=/etc/haproxy/haproxy.cfg" "PIDFILE=/run/haproxy.pid" "EXTRAOPTS=-S /run/haproxy-master.sock"
ExecStartPre=/usr/local/haproxy/sbin/haproxy -f $CONFIG -c -q $EXTRAOPTS
ExecStart=/usr/local/haproxy/sbin/haproxy -Ws -f $CONFIG -p $PIDFILE $EXTRAOPTS
ExecReload=/usr/local/haproxy/sbin/haproxy -f $CONFIG -c -q $EXTRAOPTS
ExecReload=/bin/kill -USR2 $MAINPID
KillMode=mixed
Restart=always
SuccessExitStatus=143
Type=notify

# The following lines leverage SystemD's sandboxing options to provide
# defense in depth protection at the expense of restricting some flexibility
# in your setup (e.g. placement of your configuration files) or possibly
# reduced performance. See systemd.service(5) and systemd.exec(5) for further
# information.

# NoNewPrivileges=true
# ProtectHome=true
# If you want to use 'ProtectSystem=strict' you should whitelist the PIDFILE,
# any state files and any other files written using 'ReadWritePaths' or
# 'RuntimeDirectory'.
# ProtectSystem=true
# ProtectKernelTunables=true
# ProtectKernelModules=true
# ProtectControlGroups=true
# If your SystemD version supports them, you can add: @reboot, @swap, @sync
# SystemCallFilter=~@cpu-emulation @keyring @module @obsolete @raw-io

[Install]
WantedBy=multi-user.target

启动haproxy

1 2	[root@centos7 ~] systemctl daemon-reload [root@centos7 ~] systemctl start haproxy

Chrony-替换你的NTP服务

2019-11-20T07:00:00.000Z

linux在运行时间长了之后，尤其在虚拟环境中。系统时间可能会存在一定的误差，时间同步在大型集群环境中是很重要的，而通过ntp协议来同步时间，则是一个很好的解决方案。linux默认使用ntpd来同步时间的，但ntpd同步时间并不理想，有可能需要数小时来同步时间，所以在Centos7中可换成chrony来实现时间同步。chrony兼容ntpd监听在udp123端口上，另外还监听在udp的323端口上。

Chrony

Chrony是一个开源的自由软件，如果在chrony配置文件中指定了ntp服务器的地址，那么chrony就是一台客户端，会去同步ntp服务器的时间，如果在chrony配置了允许某些客户端来向自己同步时间，则chrony也充当了一台服务器，所以，安装了chrony即可充当客户端也可以充当服务端。

Chrony有两个核心组件，分别是：chronyd：是守护进程，主要用于调整内核中运行的系统时间和时间服务器同步。它确定计算机增减时间的比率，并对此进行调整补偿。chronyc：提供一个用户界面，用于监控性能并进行多样化的配置。它可以在chronyd实例控制的计算机上工作，也可以在一台不同的远程计算机上工作。

安装配置

环境

OS: CentOS7.4_x64

主机名	角色	配置目录	端口
centos-test1	Chrony Server	/etc/chrony.conf	udp/123,udp/323
centos-test2	Chrony Client	/etc/chrony.conf	udp/123,udp/323

安装

1	yum install -y chrony

配置详解

配置文件：/etc/chrony.conf

# 使用pool.ntp.org项目中的公共服务器。以server开，理论上你想添加多少时间服务器都可以。
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst

# 根据实际时间计算出服务器增减时间的比率，然后记录到一个文件中，在系统重启后为系统做出最佳时间补偿调整。
driftfile /var/lib/chrony/drift

# chronyd根据需求减慢或加速时间调整，
# 在某些情况下系统时钟可能漂移过快，导致时间调整用时过长。
# 该指令强制chronyd调整时期，大于某个阀值时步进调整系统时钟。
# 只有在因chronyd启动时间超过指定的限制时（可使用负值来禁用限制）没有更多时钟更新时才生效。
makestep 1.0 3

# 将启用一个内核模式，在该模式中，系统时间每11分钟会拷贝到实时时钟（RTC）。
rtcsync

# Enable hardware timestamping on all interfaces that support it.
# 通过使用hwtimestamp指令启用硬件时间戳
#hwtimestamp eth0
#hwtimestamp eth1
#hwtimestamp *

# Increase the minimum number of selectable sources required to adjust
# the system clock.
#minsources 2

# 指定一台主机、子网，或者网络以允许或拒绝NTP连接到扮演时钟服务器的机器
#allow 192.168.0.0/16
#deny 192.168/16

# Serve time even if not synchronized to a time source.
local stratum 10

# 指定包含NTP验证密钥的文件。
#keyfile /etc/chrony.keys

# 指定日志文件的目录。
logdir /var/log/chrony

# Select which information is logged.
#log measurements statistics tracking

一般主要配置以下参数：

server：指明时间服务器地址；
allow NETADD/NETMASK
allow all：允许所有客户端主机；
deny NETADDR/NETMASK
deny all：拒绝所有客户端；
bindcmdaddress：命令管理接口监听的地址；
local stratum 10：即使自己未能通过网络时间服务器同步到时间，也允许将本地时间作为标准时间授时给其它客户端；

客户端与服务端的区别就在于把自己的server指定为服务主机，而服务端的server就指向上游（外网）NTP服务器。

防火墙规则

1 2	firewall-cmd --add-service=ntp --permanent firewall-cmd --reload

设置时区

1	timedatectl set-timezone Asia/Shanghai

强制同步系统时钟

1	chronyc -a makestep

启动

1 2	systemctl enable chronyd systemctl restart chronyd

常用命令

查看时间同步源：

1	chronyc sources -v

查看时间同步源状态：

1	chronyc sourcestats -v

设置硬件时间

硬件时间默认为UTC：

1	timedatectl set-local-rtc 1

启用NTP时间同步：

1	timedatectl set-ntp yes

校准时间服务器：

1	chronyc tracking

chrony的交互工具chronyc

chrony自带一个交互式工具chronyc，在配置文件中指定了时间服务器之后，如果想查看同步状态，可以进入这个交互式工具的交互界面。

chronyc有很多的子命令，可以输入help来查看
chronyc> help
    选项：
    sources [-v]    显示关于当前来源的信息
    sourcestats [-v]      显示时间同步状态（如时间偏移了多少之类）
   
#例如：
chronyc> sources -v
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||      Reachability register (octal) -.           |  xxxx = adjusted offset,
||      Log2(Polling interval) --.      |          |  yyyy = measured offset,
||                                \     |          |  zzzz = estimated error.
||                                 |    |           \
MS Name/IP address         Stratum Poll Reach LastRx Last sample               
===============================================================================
^* 203.107.6.88                  2  10   104   64m  +1485us[ +417us] +/-   81ms

#主要关注第一列的MS，
^*  ^是指该行所给出的IP是服务器，也就是我们指定的互联网时间服务器；*是指当前已同步

########
chronyc> 
chronyc> sourcestats -v #sourcestats是显示同步状态，-v是详细西信息
210 Number of sources = 1
                             .- Number of sample points in measurement set.
                            /    .- Number of residual runs with same sign.
                           |    /    .- Length of measurement set (time).
                           |   |    /      .- Est. clock freq error (ppm).
                           |   |   |      /           .- Est. error in freq.
                           |   |   |     |           /         .- Est. offset.
                           |   |   |     |          |          |   On the -.
                           |   |   |     |          |          |   samples. \
                           |   |   |     |          |          |             |
Name/IP Address            NP  NR  Span  Frequency  Freq Skew  Offset  Std Dev
==============================================================================
203.107.6.88               29  18   18h     -0.003      0.132    -14us  5055us

Roy学Kubernetes(22)：Kubernetes日常维护

2019-11-05T04:00:00.000Z

kubernetes维护

kubernetes版本：v1.11.1/2

文档参考：

http://docs.kubernetes.org.cn/
https://www.kubernetes.org.cn/docs

一、节点

1. 节点查看

[root@centos-t1 ~]# kubect get nodes
NAME      STATUS    ROLES     AGE       VERSION
centos-t1    Ready     master    6d        v1.11.2
centos-t2    Ready         6d        v1.11.2
centos-t3    Ready         6d        v1.11.2

2. 节点调度

停止调度：仅阻止后续调度任务，已被调度到的pods不受影响

1 2	[root@centos-t1 ~]# kubect cordon centos-t2 node/centos-t2 already cordoned

确认节点信息

[root@centos-t1 ~]# kubect get nodes
NAME      STATUS                     ROLES     AGE       VERSION
centos-t1    Ready                      master    6d        v1.11.2
centos-t2    Ready,SchedulingDisabled       6d        v1.11.2
centos-t3    Ready                          6d        v1.11.2

恢复调度

1	[root@centos-t1 ~]# kubect uncordon centos-t2

3. 节点维护

节点维护：清除此节点上所有用户deployment运行的pods，未使用deployment的pods需要手动清理，或者使用–force参数

1
2
3

[root@centos-t1 ~]# kubect drain centos-t2 --ignore-daemonsets --delete-local-data
node/centos-t2 already cordoned
WARNING: Ignoring DaemonSet-managed pods: kube-flannel-ds-fmvbn, kube-proxy-bjwvs; Deleting pods with local storage: kubernetes-dashboard-744894d884-jwfrn, metrics-server-67cd98b87f-wlmbw

参数解析：

–ignore-daemonsets 忽略k8s的守护进程副本集pods
–delete-local-data pods使用的本地空目录将被一起清理

查看节点信息

[root@centos-t1 ~]# kubect get nodes
NAME      STATUS                     ROLES     AGE       VERSION
centos-t1    Ready                      master    6d        v1.11.2
centos-t2    Ready,SchedulingDisabled       6d        v1.11.2
centos-t3    Ready                          6d        v1.11.2

节点恢复

1 2	[root@centos-t1 ~]# kubect uncordon centos-t2 node/centos-t2 uncordoned

4. 节点移除

[root@centos-t1 ~]# kubectl delete node centos-t2
node "centos-t2" deleted
[root@centos-t1 ~]# kubectl get nodes
NAME      STATUS    ROLES     AGE       VERSION
centos-t1    Ready     master    6d        v1.11.2
centos-t3    Ready         6d        v1.11.2

为了节点能重新加入到k8s集群，必须清理掉节点上原来加入到集群成生成的一部分文件，否则再次加入会失败，文件列表如下：

/etc/kubernetes/pki/ca.crt
/etc/kubernetes/kubelet.conf
/etc/kubernetes/bootstrap-kubelet.conf

然后需要关闭kubelet服务，否则会报端口10250被占用。重新加入请使用原来初始化生成的kubeadm join命令串

二、pod

pod是k8s中最小管理单元，由一个或多个容器组合在一起得共享资源，这此资源包括:

共享存储，如Volumes卷
网络，唯一的集群IP地址
每个容器运行的信息，例如:容器镜像版本

Pod模型是特定应用程序的“逻辑主机”，Pod中的容器共享IP地址和端口。

三、service

kubernetes的service定义了Pod的逻辑分组和一种可以访问它们的策略，这组Pod能被Service访问，使用YAML（优先）或JSON来定义Service，Service所针对的一组Pod通常由LabelSelector实现,可以通过type在ServiceSpec中指定一个需要的类型的 Service，Service的四种type:

ClusterIP（默认） - 在集群中内部IP上暴露服务。此类型使Service只能从群集中访问。
NodePort - 通过每个 Node 上的 IP 和静态端口（NodePort）暴露服务。NodePort 服务会路由到 ClusterIP 服务，这个 ClusterIP 服务会自动创建。通过请求 - :，可以从集群的外部访问一个 NodePort 服务。
LoadBalancer - 使用云提供商的负载均衡器（如果支持），可以向外部暴露服务。外部的负载均衡器可以路由到 NodePort 服务和 ClusterIP 服务。
ExternalName - 通过返回 CNAME 和它的值，可以将服务映射到 externalName 字段的内容，没有任何类型代理被创建。这种类型需要v1.7版本或更高版本kube-dnsc才支持。

四、deployment

Deployment负责创建和更新应用。创建Deployment后，Kubernetes master 会将Deployment创建好的应用实例调度到集群中的各个节点。

五、secret

k8s密钥是保存各类组件连接之间认证的服务

六、namespace

Namespace是对一组资源和对象的抽象集合，比如可以用来将系统内部的对象划分为不同的项目组或用户组。常见的pods, services, replication controllers和deployments等都是属于某一个namespace的（默认是default），而node, persistentVolumes等则不属于任何namespace。Namespace常用来隔离不同的用户，比如Kubernetes自带的服务一般运行在kube-system namespace中。

1. 系统默认命名空间（不可删除）

default: 给用户定义的默认命名空间
kube-public: k8s系统公共服务的命名空间
kube-system: k8s系统服务及组件的命名空间

查看默认命名空间

[root@centos-t1 kubernetes]# kubectl get namespace
NAME          STATUS    AGE
default       Active    6d
kube-public   Active    6d
kube-system   Active    6d

2. 创新命名空间

1 2	[root@centos-t1 ~]# kubectl create namespace prod namespace/prod created

然后，你可以将你所有创建的k8s资源放在这个命名空间内，可以做到逻辑集合在一起，方便统一管理的好处

七、lables

Labels其实就一对 key/value ，被关联到对象上，标签的使用我们倾向于能够标示对象的特殊特点，并且对用户而言是有意义的（就是一眼就看出了这个Pod是尼玛数据库）

八、volume

默认情况下容器中的磁盘文件是非持久化的，对于运行在容器中的应用来说面临两个问题，第一：当容器挂掉kubelet将重启启动它时，文件将会丢失；第二：当Pod中同时运行多个容器，容器之间需要共享文件时。Kubernetes的Volume解决了这两个问题。

ES数据备份和恢复

2019-10-16T05:00:00.000Z

Elasticsearch 5.x 数据备份和恢复可由snapshot 模块来完成，snapshot模块可以通过文件共享系统为单个索引或整个集群远程创建快照和进行数据恢复。

数据备份

索引快照时增量的。在创建快照前es会分析已有快照仓库，只对上次备份后更改的内容进行增量备份。在创建备份时同一个集群中只能运行一个es snapshot进程。

Es 基础命令

创建快照仓库

curl -X PUT "node1:9200/_snapshot/my_backup" -H 'Content-Type: application/json' -d'{
  "type": "fs",
  "settings": {
    "location": "sys_backup"
  }
}'

查看已注册的快照仓库

1	curl -X GET "node1:9200/_snapshot/my_backup"

可以使用逗号间隔多个仓库，星号通配符匹配所有仓库名字，下面示例返回仓库名以repo开头的和包含backup的仓库信息：

1	curl -X GET "node1:9200/_snapshot/repo,backup*"

获取所有已注册快照仓库，省略仓库名或者使用_all

1	curl -X GET "node1:9200/_snapshot"

或者

1	curl -X GET "node1:9200/_snapshot/_all"

查看快照仓库列表

1	curl -X GET "node1:9200/_cat/repositories?v"

准备工作

文件共享系统

nfs、hdfs？

共享文件系统仓库（“type”: “fs”）使用共享文件系统存快照，如果要注册共享文件系统仓库，必须在所有master和data节点挂载相同的共享文件系统到同一个路径位置。这个路径位置（或者它的一个父目录）必须在所有master和data节点的path.repo设置上注册。

假设共享文件系统挂载到 /data/backups/es_backup ，应该在elasticsearch.yml文件中添加如下配置：

1	path.repo: ["/data/backups", "/data/longterm_backups"]

创建快照仓库

所有节点重启之后，执行下面的命令注册名字为 es_backup 的共享文件系统仓库：

curl -X PUT 'node1:9200/_snapshot/es_backup?verify=false' -H 'Content-Type: application/json' -d'{
    "type": "fs",
    "settings": {
        "location": "/mount/backups/es_backup",
        "compress": true,
        "max_restore_bytes_per_sec": 50m,
        "max_snapshot_bytes_per_sec": 30m
    }
}'

如果使用相对路径，该路径将根据在path.repo中定义的第一个路径决定：

curl -XPUT 'http://node1:9200/_snapshot/es_backup?verify=false' -H 'Content-Type: application/json' -d '{
    "type": "fs",
    "settings": {
        "location": "es_backup",
        "compress": true,
        "max_restore_bytes_per_sec": 50m,
        "max_snapshot_bytes_per_sec": 30m
    }
}'

参数说明

参数	含义
location	快照存储位置
compress	是否压缩源文件，默认为true
chunk_size	如果有需要，可以将大文件分解为多个小文件，默认不开启
max_restore_bytes_per_sec	指定数据恢复速度，默认为 40m/s
max_snapshot_bytes_per_sec	指定创建快照时的速度，默认为 40m/s
readonly	设置为只读仓库，默认为false

Repository Verification

在创建一个仓库时，会即刻在集群所有节点验证确保其功能在所有节点可用，verify 参数可以用来取消该验证（如果想使用验证功能，创建仓库时去掉 ?verify=false 参数即可）：

curl -XPUT 'http://node1:9200/_snapshot/es_backup?verify=false' -H 'Content-Type: application/json' -d '{
    "type": fs
    ... ...
}'

验证过程可以通过下面命令手动执行：

1	curl -X POST "node1:9200/_snapshot/es_backup/_verify"

Snapshot

创建快照

一个仓库可以拥有同一个集群的多个快照。在一个集群中快照拥有一个唯一名字作为标识。

示例：在仓库 es_backup 中创建名字为 test_snapshot 的快照，可以通过执行下面的命令来实现。

1	curl -X PUT "node1:9200/_snapshot/es_backup/test_snapshot?wait_for_completion=true"

参数 wait_for_completion 决定请求是在快照初始化后立即返回（默认），还是等快照创建完成之后再返回。快照初始化时，所有之前的快照信息会被加载到内存，所以在一个大的仓库中改请求需要若干秒（甚至分钟）才能返回，即使参数 wait_for_completion 的值设置为 false。

默认情况下，创建一个快照会包含集群中所有打开和启动状态的索引。可以通过在创建快照的请求体中定义索引列表来改变这个默认处理：

curl -X PUT "node1:9200/_snapshot/es_backup/test_snapshot_2?wait_for_completion=true" -H 'Content-Type: application/json' -d'
{
  "indices": "index_1,index_2",
  "ignore_unavailable": true,
  "include_global_state": false
}

要包含到快照中索引列表可以使用支持多个索引语法的 indices 参数来指定。快照请求也支持 ignore_unavailable 选项，该选项设置为 true 时，在创建快照时会忽略不存在的索引。默认情况下，如果选项 ignore_unavailable 没有设值，一个索引缺失，快照请求会失败。

通过设置 include_global_state 为 false，可以阻止集群全局状态信息被保存为快照的一部分。默认情况下，如果如果一个快照中的一个或者多个索引没有所有主分片可用，整个快照创建会失败，该情况可以通过设置 partial 为 true 来改变。

快照名可以通过使用 date_math_expressions 来自动获得，和创建新索引时类似。注意特殊字符需要 URI 转码处理。

例如，在名字中使用当前日期，比如 snapshot-2018.05.11，来创建快照，可以使用如下命令完成：

1 2	# PUT /_snapshot/es_backup/ curl -X PUT "node1:9200/_snapshot/es_backup/%3Csnapshot-%7Bnow%2Fd%7D%3E"

创建快照

curl -X PUT "node1:9200/_snapshot/es_backup/syslog?wait_for_completion=true" -H 'Content-Type: application/json' -d'
{
  "indices": "bash_history.log*,secure.log*,cron.log*",
  "ignore_unavailable": true,
  "include_global_state": false
}

查看快照信息

1	curl -X GET "node1:9200/_snapshot/es_backup/syslog"

这个命令返回快照的基本信息，包括开始合结束时间、创建快照的 ElasticSearch 版本、包含的索引列表、快照当前状态和快照期间产生的失败索引列表。快照的状态有：

状态	含义
IN_PROGRESS	正在创建快照
SUCCESS	快照创建成功
FAILED	快照创建完成，但是有错误，数据不会保存
PARTIAL	整个集群备份完成，但是至少有一个shard数据存贮失败，会有更具体报错信息
INCOMPATIBLE	创建快照的es版本和当前集群es版本不一致

查看某仓库下所有快照信息：

1	curl -X GET "node1:9200/_snapshot/es_backup/_all"

查看当前正在运行的快照：

1	curl -X GET "localhost:9200/_snapshot/my_backup/_current"

删除快照

从仓库中删除一个快照，使用如下命令：

1	curl -X DELETE "node1:9200/_snapshot/es_backup/test_snapshot_2"

当一个快照从仓库中删除，ElasticSearch 将删除该快照关联的但不被其他快照使用的所有文件。如果在快照创建的时候执行快照删除操作，此快照创建进程将终止且所有该进程已创建的文件也将被清理。所以，快照删除操作可以用来取消错误启动的长时间运行的快照操作。

删除仓库

可以使用下面命令注销仓库：

1	curl -X DELETE "node1:9200/_snapshot/es_backup"

数据恢复

全量恢复

快照可以通过执行以下命令恢复

1	curl -X POST "node1:9200/_snapshot/es_backup/syslog/_restore"

默认情况下，快照中的所有索引将被恢复，集群状态不被恢复。可以通过在恢复请求中使用 indices 和 include_global_state 选项来指定要恢复的索引和允许恢复集群全局状态。索引列表支持多索引语法。rename_pattern 和 rename_replacement 选项在恢复时通过正则表达式来重命名索引。设置 include_aliases 为 false 可以防止与索引关联的别名被一起恢复。

curl -X POST "localhost:9200/_snapshot/my_backup/snapshot_1/_restore" -H 'Content-Type: application/json' -d'
{
  "indices": "index_1,index_2",
  "ignore_unavailable": true,
  "include_global_state": true,
  "rename_pattern": "index_(.+)",
  "rename_replacement": "restored_index_$1"
}'

恢复操作可以在正常运行的集群上执行。已存在的索引只能在关闭状态下才能恢复，并且要跟快照中索引拥有相同数目的分片。还原操作自动打开关闭状态的索引，如果被还原索引在集群不存在，将创建新索引。如果集群状态通过 include_global_state （默认是 false）选项被还原，在集群中不存在的模板会被新增，已存在的同名模板会被快照中的模板替换。持久化设置会被添加到现有的持久化设置中。

参考

Roy学Kubernetes(21)：Persistent Volumes

2019-09-23T01:30:00.000Z

概述

PersistentVolume子系统提供了用户和管理员使用和管理存储的抽象API。在这个子系统中，引进了两个新的API资源：PersistentVolume和PersistentVolumeClaim。

**PersistentVolume（PV）**是已经由管理员提供或者使用Storage类动态地从k8s Volume中配备的一块存储器。PV是Volume的插件，它有自己独立的生命周期，不受使用PV的Pod的生命周期影响。这个API对象描述了存储的实现细节，例如NFS、iSCSI或云提供商特定的存储系统。

**PersistentVolumeClaim（PVC）**是由用户申请存储的请求。它和Pod类似：Pod消耗节点资源而PVC消耗PV资源；Pod可以配置请求资源的限制（CPU和存储器）而PVC可以配置存储特定的大小和访问模式（例如，挂载一次读/写或多次只读的存储）。

**StorageClass（存储类）**PVC允许用户消耗抽象存储资源，且一般带有存储参数需求：例如性能、访问模式等，且不希望暴露这些卷底层实现的细节。针对这些需，k8s提供了StorageClass资源来实现。

PV和PVC的生命周期

PV和PVC都遵循如下生命周期：

Provisioning–>Binding–>Using–>Releasing–>Recycling

存储供应

PV有二种类型：静态PV和动态PV。

静态PV

可供k8s集群用户使用的真实存储实现的PV，他们存在于Kubernetes API中，且可直接被消费。

动态PV

当管理员没有为匹配的用户PVC而创建的静态PV时，可以尝试动态地为PVC提供volume卷。此配置是基于StorageClasses：必须先配置和创建好StorageClasses，然后在PVC请求此存储类。要使用StorageClasses，请确保在API服务器上启用DefaultStorageClass控制器。可通过对apiserver的启动参数–enable-admission-plugins添加DefaultStorageClass生效。

Binding

在动态配置的情况下，用户创建或已经创建了具有特定数量的存储请求和特定访问模式的PersistentVolumeClaim。主机中的控制回路监视新的PVC，找到匹配的PV（如果可能），并将它们绑定在一起。如果为新的PVC动态配置PV，则循环将始终将该PV绑定到PVC。否则，用户总是至少得到他们要求的内容，但是卷可能超出了要求。一旦绑定，PersistentVolumeClaim绑定是排他的，不管用于绑定它们的模式。

如果匹配的卷不存在，PVC将保持无限期。随着匹配卷变得可用，PVC将被绑定。例如，提供许多50Gi PV的集群将不匹配要求100Gi的PVC。当集群中添加100Gi PV时，可以绑定PVC。

Using

Pod使用PVC作为卷。集群检查声明以找到绑定的卷并挂载该卷的卷。对于支持多种访问模式的卷，用户在将其声明用作pod中的卷时指定所需的模式。

一旦用户有声明并且该声明被绑定，绑定的PV属于用户，只要他们需要它。用户通过在其Pod的卷块中包含persistentVolumeClaim来安排Pods并访问其声明的PV。

Releasing

当用户完成卷时，他们可以从允许资源回收的API中删除PVC对象。当声明被删除时，卷被认为是“释放的”，但是它还不能用于另一个声明。以前的索赔人的数据仍然保留在必须根据政策处理的卷上.

Reclaiming

PersistentVolume的回收策略告诉集群在释放其声明后，该卷应该如何处理。目前，卷可以是保留，回收或删除。保留可以手动回收资源。对于那些支持它的卷插件，删除将从Kubernetes中删除PersistentVolume对象，以及删除外部基础架构（如AWS EBS，GCE PD，Azure Disk或Cinder卷）中关联的存储资产。动态配置的卷始终被删除

Recycling

如果受适当的卷插件支持，回收将对卷执行基本的擦除（rm -rf / thevolume / *），并使其再次可用于新的声明。
但是，管理员可以使用Kubernetes控制器管理器命令行参数来配置自定义的回收站pod模板，如这里所述。定制回收站模板必须包含卷规范，

Roy学Kubernetes(20)：Volumes

2019-09-02T01:30:00.000Z

Container中的磁盘文件（生命周期）是短暂的，这在容器中运行时会给部分特殊的应用程序带来一些问题。首先，当容器崩溃时，kubelet在重新启动它，数据文件会丢失（Container会以干净的状态启动）。其次，在Pod中运行多个Container时，通常需要在这些容器之间共享文件。Kubernetes Volume（卷）抽象的解决了这两个问题。

背景

Docker也有卷的概念，虽然它有点宽松和较少管理。在Docker中，卷只是磁盘上或另一个Container中的目录。生命周期不受管理，直到最近才有本地磁盘支持的卷。 Docker现在提供了卷驱动程序，但是现在功能非常有限（例如，从Docker 1.7开始，每个Container只允许一个卷驱动程序，并且无法将参数传递给卷）。

另一方面，Kubernetes卷具有明确的生命周期：与使用它的Pod相同。因此，卷可以比Pod中运行的任何Container更长，并且可以在Container重新启动之间保留数据。当然，当Pod不再存在时，卷也将不复存在。Kubernetes支持多种类型的卷，Pod可以同时使用任意数量的卷。

从本质上讲，卷只是一个目录，可能包含一些数据，Pod中的容器可以访问它。该目录是如何形成的，支持它的介质以及它的内容由所使用的特定卷类型决定。要使用卷，Pod指定要为Pod提供的卷（.spec.volumes字段）以及将这些卷挂载到Container中的位置（.spec.containers.volumeMounts字段）。

容器中的进程可以看到由Docker镜像和卷组成的文件系统视图。Docker镜像位于文件系统层次结构的根目录下，任何卷都挂载在镜像中的指定路径上。卷无法挂载其他卷或具有到其他卷的硬链接。Pod中的每个Container必须独立指定每个卷的挂载位置。

volumes类型

Kubernetes支持如下多种类型的Volume：

awsElasticBlockStore
azureDisk
azureFile
cephfs
cinder
configMap
csi
downwardAPI
emptyDir
fc (fibre channel)
flexVolume
flocker
gcePersistentDisk
gitRepo (deprecated)
glusterfs
hostPath
iscsi
local
nfs
persistentVolumeClaim
projected
portworxVolume
quobyte
rbd
scaleIO
secret
storageos
vsphereVolume

awsElasticBlockStore

awsElasticBlockStore卷将Amazon Web Services（AWS）EBS卷挂载到你的Pod中。与删除Pod时删除的emptyDir不同，EBS卷的内容将被保留，并且仅卸载卷。这意味着可以使用数据预先填充EBS卷，并且可以在Pod之间“切换”该数据。

注意：必须先使用aws ec2 create-volume或AWS API创建EBS卷，然后才能使用它。

使用awsElasticBlockStore卷时有一些限制：

正在运行Pod的节点必须是AWS EC2实例
这些实例需要与EBS卷位于同一区域和可用区域
EBS仅支持挂载卷的单个EC2实例

创建EBS卷

在将Pod与EBS卷一起使用之前，需要先创建它。

1	aws ec2 create-volume --availability-zone=eu-west-1a --size=10 --volume-type=gp2

确保该区域与你启动群集的区域匹配。（并检查大小和EBS卷类型是否适合你的使用！）

示例:

apiVersion: v1
kind: Pod
metadata:
  name: test-ebs
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /test-ebs
      name: test-volume
  volumes:
  - name: test-volume
    # This AWS EBS volume must already exist.
    awsElasticBlockStore:
      volumeID: 
      fsType: ext4

azureDisk

azureDisk用于将Microsoft Azure数据磁盘挂载到Pod。更多详细信息可以在这里找到。

azureFile

azureFile用于将Microsoft Azure文件卷（SMB 2.1和3.0）挂载到Pod中。更多详细信息可以在这里找到。

cephfs

cephfs卷允许将现有的CephFS卷挂载到Pod中。与删除Pod时删除的emptyDir不同，将保留cephfs卷的内容，并且仅卸载卷。这意味着可以使用数据预先填充CephFS卷，并且可以在Pod之间“切换”该数据。 CephFS可以由多个编写器同时挂载。

注意：在使用共享之前，必须运行自己的Ceph服务器并创建共享。有关更多详细信息，请参阅CephFS示例。

cinder

先决条件：已配置OpenStack Cloud Provider的Kubernetes。对于cloudprovider配置，请参阅云提供商openstack。

cinder用于将OpenStack Cinder Volume挂载到Pod中。

示例：

apiVersion: v1
kind: Pod
metadata:
  name: test-cinder
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-cinder-container
    volumeMounts:
    - mountPath: /test-cinder
      name: test-volume
  volumes:
  - name: test-volume
    # This OpenStack volume must already exist.
    cinder:
      volumeID: 
      fsType: ext4

configMap

configMap资源提供了一种将配置数据注入Pod的方法。存储在ConfigMap对象中的数据可以在configMap类型的卷中引用，然后由在Pod中运行的容器化应用程序使用。引用configMap对象时，只需在卷中提供其名称即可引用它。还可以自定义ConfigMap中特定条目的路径。例如，要将log-config ConfigMap挂载到名为configmap-pod的Pod上，可以使用下面的YAML：

apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod
spec:
  containers:
    - name: test
      image: busybox
      volumeMounts:
        - name: config-vol
          mountPath: /etc/config
  volumes:
    - name: config-vol
      configMap:
        name: log-config
        items:
          - key: log_level
            path: log_level

log-config ConfigMap作为卷挂载，存储在其log_level条目中的所有内容都挂载在路径“/etc/config/log_level”的Pod中。注意，此路径派生自卷的mountPath和使用log_level键入的路径，且必须先创建ConfigMap才能使用它。

注意：使用ConfigMap作为subPath卷挂载的Container将不会收到ConfigMap更新。

downwardAPI

downwardAPI卷用于向应用程序提供downward的API数据。它挂载目录并将所请求的数据写入纯文本文件。

注意：使用downwardAPI作为subPath卷挂载的Container不会接收downwardAPI更新。

emptyDir

将Pod分配给节点时，首先会创建一个emptyDir卷，只要Pod在该节点上运行，就会存在。顾名思义，它最初是空的。Pod中的容器都可以在emptyDir卷中读取和写入相同的文件。当从节点中删除Pod时，将永久删除emptyDir中的数据。

注意：容器崩溃不会从节点中删除Pod，因此emptyDir卷中的数据在Container崩溃中是安全的。

emptyDir的一些用途是：

临时空间，例如基于磁盘的合并排序
检查从崩溃中恢复的长计算
保存内容管理器容器在Web服务器容器提供数据时提取的文件

默认情况下，emptyDir卷存储在支持节点的任何介质上：可能是磁盘或SSD或网络存储，具体取决于你的环境。但是，可以将emptyDir.medium字段设置为“Memory”，以告知Kubernetes挂载tmpfs（RAM支持的文件系统）。虽然tmpfs非常快，但请注意，与磁盘不同，tmpfs在节点重新启动时被清除，并且你编写的任何文件都将计入Container的内存限制。

示例Pod：

apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /cache
      name: cache-volume
  volumes:
  - name: cache-volume
    emptyDir: {}

fc光纤通道

fc卷允许将现有光纤通道卷挂载在Pod中。可以使用卷配置中的参数targetWWNs指定单个或多个目标全局通用名称。如果指定了多个WWN，则targetWWN期望这些WWN来自多路径连接。

注意：你必须配置FC SAN分区以预先将这些LUN（卷）分配和屏蔽到目标WWN，以便Kubernetes主机可以访问它们。详见

flocker

Flocker是一个开源的集群Container数据卷管理器。它提供由各种存储后端支持的数据卷的管理和编排。

flocker卷允许将Flocker数据集挂载到Pod中。如果Flocker中尚不存在数据集，则需要首先使用Flocker CLI或使用Flocker API创建数据集。如果数据集已经存在，它将被Flocker重新附加到调度Pod的节点。这意味着可以根据需要在Pod之间“切换”数据。

注意：必须先运行自己的Flocker挂载才能使用它。有关更多详细信息，请参阅Flocker示例。

gcePersistentDisk

gcePersistentDisk卷将Google Compute Engine（GCE）永久磁盘装入Pod。与删除Pod时删除的emptyDir不同，PD的内容将被保留，并且仅卸载卷。这意味着PD可以预先填充数据，并且该数据可以在Pod之间“切换”。

注意：必须先使用gcloud或GCE API或UI创建PD，然后才能使用它。

使用gcePersistentDisk时有一些限制：

运行Pod的节点必须是GCE VM
这些VM需要与PD处于同一GCE项目和区域

PD的一个特征是它们可以同时由多个消费者以只读方式挂载。这意味着可以使用数据集预先填充PD，然后根据需要从多个Pod中并行提供。不幸的是，PD只能由一个消费者以读写模式挂载：不允许同时写入。

除非PD是只读的或副本计数为0或1，否则在由ReplicationController控制的Pod上使用PD将失败。

创建PD

在将GCE PD与Pod一起使用之前，需要先创建它：

1	gcloud compute disks create --size=500GB --zone=us-central1-a my-data-disk

示例Pod:

apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /test-pd
      name: test-volume
  volumes:
  - name: test-volume
    # This GCE PD must already exist.
    gcePersistentDisk:
      pdName: my-data-disk
      fsType: ext4

手动配置区域PD PersistentVolume

使用StorageClass for GCE PD可以进行动态配置。在创建PersistentVolume之前，先必须创建PD：

1
2
3

gcloud beta compute disks create --size=500GB my-data-disk
    --region us-central1
    --replica-zones us-central1-a,us-central1-b

PersistentVolume spec配置示例：

apiVersion: v1
kind: PersistentVolume
metadata:
  name: test-volume
  labels:
    failure-domain.beta.kubernetes.io/zone: us-central1-a__us-central1-b
spec:
  capacity:
    storage: 400Gi
  accessModes:
  - ReadWriteOnce
  gcePersistentDisk:
    pdName: my-data-disk
    fsType: ext4

glusterfs

glusterfs卷允许将Glusterfs（开源网络文件系统）卷挂载到Pod中。与删除Pod时删除的emptyDir不同，glusterfs卷的内容将被保留，并且仅卸载卷。这意味着可以使用数据预先填充glusterfs卷，并且可以在Pod之间“切换”该数据。GlusterFS可以由多个编写器同时挂载。

注意：必须先运行自己的GlusterFS挂载，然后才能使用它。

有关更多详细信息，请参阅GlusterFS示例。

hostPath

hostPath卷将文件或目录从主机节点的文件系统挂载到Pod中。这不是大多数Pod需要的东西，但它为某些应用程序提供了强大的用途。

例如，hostPath的一些用途是：

运行需要访问Docker内部的Container; 使用/var/lib/docker的hostPath
在容器中运行cAdvisor; 使用/sys的hostPath
允许Pod指定在Pod运行之前是否应该存在给定的hostPath，是否应该创建它以及它应该存在的内容

除了必需的path属性之外，用户还可以选择为hostPath卷指定类型。

字段类型支持的值为：

Value	Behavior
	Empty string (default) is for backward compatibility, which means that no checks will be performed before mounting the hostPath volume.
DirectoryOrCreate	If nothing exists at the given path, an empty directory will be created there as needed with permission set to 0755, having the same group and ownership with Kubelet.
Directory	A directory must exist at the given path
FileOrCreate	If nothing exists at the given path, an empty file will be created there as needed with permission set to 0644, having the same group and ownership with Kubelet.
File	A file must exist at the given path
Socket	A UNIX socket must exist at the given path
CharDevice	A character device must exist at the given path
BlockDevice	A block device must exist at the given path

请注意何时使用此类型的卷，因为：

由于节点上的文件不同，具有相同配置的Pod（例如从podTemplate创建）在不同节点上的行为可能会有所不同
当Kubernetes按计划添加资源调度时，它将无法考虑hostPath使用的资源
在底层主机上创建的文件或目录只能由root写入。需要以特权Container中的root身份运行你的进程，或者修改主机上的文件权限以便能够写入hostPath卷

示例Pod：

apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /test-pd
      name: test-volume
  volumes:
  - name: test-volume
    hostPath:
      # directory location on host
      path: /data
      # this field is optional
      type: Directory

iscsi

iscsi卷允许将现有iSCSI（SCSI over IP）卷挂载到Pod中。与删除Pod时删除的emptyDir不同，iscsi卷的内容将被保留，并且仅卸载卷。这意味着可以使用数据预先填充iscsi卷，并且可以在Pod之间“切换”该数据。

注意：必须先使用创建的卷运行自己的iSCSI服务器，然后才能使用它。

iSCSI的一个特性是它可以同时由多个消费者以只读方式挂载。这意味着你可以使用数据集预填充卷，然后根据需要从多个Pod中并行提供。遗憾的是，iSCSI卷只能由单个用户以读写模式挂载：不允许同时写入。

有关更多详细信息，请参阅iSCSI示例。

local

本地卷表示已挂载的本地存储设备，例如磁盘，分区或目录。

本地卷只能用作静态创建的PersistentVolume（持久卷）。尚不支持动态配置。

与hostPath卷相比，可以以持久且可移植的方式使用本地卷，而无需手动将Pod调度到节点，因为系统通过查看PersistentVolume上的节点关联性来了解卷的节点约束。但是，本地卷仍受基础节点可用性的限制，并不适用于所有应用程序。如果节点变得不健康，则本地卷也将变得不可访问，并且使用它的Pod将无法运行。使用本地卷的应用程序必须能够容忍这种降低的可用性以及潜在的数据丢失，具体取决于底层磁盘的持久性特征。

以下是使用本地卷和nodeAffinity的PersistentVolume规范的示例：

apiVersion: v1
kind: PersistentVolume
metadata:
  name: example-pv
spec:
  capacity:
    storage: 100Gi
  # volumeMode field requires BlockVolume Alpha feature gate to be enabled.
  volumeMode: Filesystem
  accessModes:
  - ReadWriteOnce
  persistentVolumeReclaimPolicy: Delete
  storageClassName: local-storage
  local:
    path: /mnt/disks/ssd1
  nodeAffinity:
    required:
      nodeSelectorTerms:
      - matchExpressions:
        - key: kubernetes.io/hostname
          operator: In
          values:
          - example-node

使用本地卷时需要配置PersistentVolume的nodeAffinity。它使Kubernetes调度程序能够使用本地卷正确地将Pod调度到正确的节点。

PersistentVolume的volumeMode现在可以设置为“Block”（而不是默认值“Filesystem”），以将本地卷公开为原始块设备。volumeMode字段需要启用BlockVolume的Alpha功能。

使用本地卷时，建议创建一个将volumeBindingMode设置为WaitForFirstConsumer的StorageClass。延迟卷绑定可确保PersistentVolumeClaim绑定决策也将使用Pod可能具有的任何其他节点约束进行评估，例如节点资源要求，节点选择器，Pod关联和Pod反关联。

可以单独运行外部静态配置程序，以改进对本地卷生命周期的管理。请注意，此配置程序尚不支持动态配置。有关如何运行外部本地配置程序的示例，请参阅本地卷配置程序用户指南。

注意：如果外部静态配置器未用于管理卷生命周期，则本地PersistentVolume需要用户手动清理和删除。

NFS

nfs卷允许将现有NFS（网络文件系统）共享挂载到Pod中。与删除Pod时删除的emptyDir不同，nfs仅卸载卷，卷的内容将被保留。这意味着可以使用数据预先填充NFS卷，并且可以在Pod之间“切换”该数据。NFS可以由多个编写器同时挂载。

注意：必须先使用已导出的共享运行自己的NFS服务器，然后才能使用它。

用法示例请查看

persistentVolumeClaim

persistentVolumeClaim卷（持久卷声明）用于将PersistentVolume挂载到Pod中。PersistentVolumes是用户在不知道特定云环境的详细信息的情况下“声明”持久存储（例如GCE PersistentDisk或iSCSI卷）的一种方式。

有关更多详细信息，请参阅PersistentVolumes示例。

projected

projected卷将几个现有卷源映射到同一目录中。

目前，可以映射以下类型的卷源：

secret
downwardAPI
configMap
serviceAccountToken

所有源都需要与Pod在同一名称空间中。serviceAccountToken的是Kubernetes 1.11中引入的功能，并在1.12中提升为Beta。要在1.11上启用此功能，需要将TokenRequestProjection功能门显式设置为True。

示例Pod包含密钥，downwardAPI和configmap：

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - downwardAPI:
          items:
            - path: "labels"
              fieldRef:
                fieldPath: metadata.labels
            - path: "cpu_limit"
              resourceFieldRef:
                containerName: container-test
                resource: limits.cpu
      - configMap:
          name: myconfigmap
          items:
            - key: config
              path: my-group/my-config

以下示例为具有多个secret的示例Pod，其中设置了非默认权限模式：

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - secret:
          name: mysecret2
          items:
            - key: password
              path: my-group/my-password
              mode: 511

每个projected卷源都列在源的规范中。参数几乎相同，但有两个例外：

对于secret，secretName字段已更改为name以与ConfigMap命名一致。
defaultMode只能在预计级别指定，而不能在每个卷源中指定。但是，如上所示，可以为每个单独的卷映射明确设置mode模式。

启用TokenRequestProjection功能后，可以将当前service account的令牌注入指定路径的Pod。以下是一个例子：

apiVersion: v1
kind: Pod
metadata:
  name: sa-token-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: token-vol
      mountPath: "/service-account"
      readOnly: true
  volumes:
  - name: token-vol
    projected:
      sources:
      - serviceAccountToken:
          audience: api
          expirationSeconds: 3600
          path: token

示例Pod具有包含注入的服务帐户令牌的projected卷。例如，Pod容器可以使用此标记来访问Kubernetes API服务器。受众群体字段包含令牌的目标受众。令牌的接收者必须使用令牌的受众中指定的标识符来标识自己，否则应拒绝该令牌。此字段是可选字段，默认为API服务器的标识符。

expirationSeconds是服务帐户令牌的预期有效期。默认为1小时，且必须至少为10分钟（600秒）。管理员还可以通过为API服务器指定–service-account-max-token-expiration选项来限制其最大值。 path字段指定投影体积的挂载点的相对路径。

同样，projected卷也不支持对shubPath的更新。

###　portworxVolume

portworxVolume是一个弹性块存储层，与Kubernetes运行超融合。Portworx指纹存储在服务器中，基于功能层，并聚合多个服务器之间的容量。 Portworx在虚拟机或裸机Linux节点上运行in-guest。

portworxVolume可以通过Kubernetes动态创建，也可以在Kubernetes Pod中预先配置和引用。以下是引用预先配置的PortworxVolume的Pod示例：

apiVersion: v1
kind: Pod
metadata:
  name: test-portworx-volume-pod
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /mnt
      name: pxvol
  volumes:
  - name: pxvol
    # This Portworx volume must already exist.
    portworxVolume:
      volumeID: "pxvol"
      fsType: ""

更多细节参考

quobyte

一个quobyte卷允许将现有的Quobyte卷挂载到Pod中。

注意：必须先使用创建的卷运行自己的Quobyte设置，然后才能使用它。

Quobyte支持容器存储接口。CSI是推荐在Kubernetes中使用Quobyte卷的插件。Quobyte的GitHub项目提供了使用CSI部署Quobyte的说明以及示例。

rbd

rbd卷允许将Rados Block Device卷挂载到Pod中。与删除Pod时删除的emptyDir不同，rbd卷的内容将被保留，并且仅卸载卷。这意味着RBD卷可以预先填充数据，并且该数据可以在Pod之间“切换”。

注意：在使用RBD之前，必须先运行自己的Ceph挂载。

RBD的一个特点是它可以同时由多个消费者以只读方式挂载。这意味着您可以使用数据集预填充卷，然后根据需要从多个Pod中并行提供。不幸的是，RBD卷只能由一个消费者以读写模式挂载 - 不允许同时写入。

有关更多详细信息，请参阅RBD示例。

scaleIO

ScaleIO是一个基于软件的存储平台，可以使用现有硬件来创建可伸缩共享块网络存储的集群。scaleIO卷插件允许已部署的Pod访问现有的ScaleIO卷（或者可以为持久卷声明动态配置新卷，请参阅ScaleIO持久卷）。

注意：必须先挂载现有的ScaleIO群集，并在创建卷之前运行它们，然后才能使用它们。

以下是使用ScaleIO的Pod配置示例：

apiVersion: v1
kind: Pod
metadata:
  name: pod-0
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: pod-0
    volumeMounts:
    - mountPath: /test-pd
      name: vol-0
  volumes:
  - name: vol-0
    scaleIO:
      gateway: https://localhost:443/api
      system: scaleio
      protectionDomain: sd0
      storagePool: sp1
      volumeName: vol-0
      secretRef:
        name: sio-secret
      fsType: xfs

有关详细信息，请参阅ScaleIO示例。

secret

secret卷用于将敏感信息（如密码）传递给Pod。可以将密钥存储在Kubernetes API中，并将其作为文件挂载以供Pod使用，而无需直接耦合到Kubernetes。secret卷由tmpfs（RAM支持的文件系统）支持，因此它们永远不会写入非易失性存储。

注意：您必须先在Kubernetes API中创建一个secret，然后才能使用它。且使用Secret作为子路径卷装入的Container将不会收到Secret更新。

这里将更详细地描述secret。

storageOS

storageos卷允许将现有StorageOS卷挂载到Pod中。

StorageOS在Kubernetes环境中作为Container运行，从而可以从Kubernetes集群中的任何节点访问本地或附加存储。可以复制数据以防止节点故障。精简配置和压缩可以提高利用率并降低成本。

StorageOS的核心是为容器提供块存储，可通过文件系统访问。

StorageOS Container需要64位Linux，并且没有其他依赖项。提供免费的开发人员许可。

注意：必须在要访问StorageOS卷的每个节点上运行StorageOS Container，或者为池提供存储容量。有关挂载说明，请参阅StorageOS文档。

vsphereVolume

先决条件：已配置vSphere Cloud Provider的Kubernetes。有关cloudprovider配置，请参阅vSphere入门指南。

vsphereVolume用于将vSphere VMDK卷装入Pod。在卸载卷时，将保留卷的内容。它支持VMFS和VSAN数据存储。

注意：在使用Pod之前，必须使用以下方法之一创建VMDK。

使用示例：

apiVersion: v1
kind: Pod
metadata:
  name: test-vmdk
spec:
  containers:
  - image: k8s.gcr.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /test-vmdk
      name: test-volume
  volumes:
  - name: test-volume
    # This VMDK volume must already exist.
    vsphereVolume:
      volumePath: "[DatastoreName] volumes/myDisk"
      fsType: ext4

使用subPath

有时，在单个Pod中共享一个卷用于多个用途很有用。volumeMounts.subPath属性可用于指定引用卷内的子路径而不是其根。

下面是使用单个共享卷的Pod与LAMP堆栈（Linux Apache Mysql PHP）的示例。HTML内容映射到其html文件夹，数据库将存储在其mysql文件夹中：

apiVersion: v1
kind: Pod
metadata:
  name: my-lamp-site
spec:
    containers:
    - name: mysql
      image: mysql
      env:
      - name: MYSQL_ROOT_PASSWORD
        value: "rootpasswd"
      volumeMounts:
      - mountPath: /var/lib/mysql
        name: site-data
        subPath: mysql
    - name: php
      image: php:7.0-apache
      volumeMounts:
      - mountPath: /var/www/html
        name: site-data
        subPath: html
    volumes:
    - name: site-data
      persistentVolumeClaim:
        claimName: my-lamp-site-data

使用带有扩展环境变量的subPath

API版本：Kubernetes v1.15 beta

使用subPathExpr字段从Downward API环境变量构造subPath目录名。在使用此功能之前，必须启用VolumeSubpathEnvExpansion功能。subPath和subPathExpr属性是互斥的。

在如下示例中，Pod使用subPathExpr使用Downward API中的pod名称在hostPath卷/var/log/pods中创建目录pod1。主机目录/var/log/pods/pod1挂载在容器中的/logs中。

apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  containers:
  - name: container1
    env:
    - name: POD_NAME
      valueFrom:
        fieldRef:
          apiVersion: v1
          fieldPath: metadata.name
    image: busybox
    command: [ "sh", "-c", "while [ true ]; do echo 'Hello'; sleep 10; done | tee -a /logs/hello.txt" ]
    volumeMounts:
    - name: workdir1
      mountPath: /logs
      subPathExpr: $(POD_NAME)
  restartPolicy: Never
  volumes:
  - name: workdir1
    hostPath:
      path: /var/log/pods

Roy学Kubernetes(19)：网络策略

2019-08-30T01:30:00.000Z

网络策略NetworkPolicy是允许pod组彼此之间以及和其他网络Endpoint端点通信的规则。NetworkPolicy资源使用标签来选择Pods并定义规则，这些规则指定允许所选Pods的流量请求。

前提条件

网络策略由网络插件实现，因此你必须使用支持NetworkPolicy的网络解决方案，例如calico就支持。

隔离和非隔离的Pods

默认情况下，pod是非隔离的; 他们接受任何来源的流量。通过使用选择它们的NetworkPolicy，Pod会变成隔离状态。一旦Namespace中有任何NetworkPolicy选择了指定的pod，该pod将拒绝在NetworkPolicy规则中任何不被允许的连接。（Namespace中未被任何NetworkPolicy选中的其他pod将继续接受所有流量。）

NetworkPolicy

NetworkPolicy示例：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

必填字段：与所有其他Kubernetes配置一样，NetworkPolicy需要apiVersion，kind和metadata字段。有关使用配置文件的一般信息，请参阅使用ConfigMap配置容器和对象管理。
spec：NetworkPolicy规范具有在给定Namespace中定义特定网络策略所需的所有信息。
podSelector：每个NetworkPolicy都包含一个podSelector，用于选择策略适用的pod分组。示例策略选择标签为“role=db”的pod。podSelector为空则会选择Namespace中的所有pod。
policyTypes：每个NetworkPolicy都包含一个policyTypes列表，其中可能包含Ingress，Egress或两者都有。policyTypes字段指示给定策略是否适用于所选Pod的Ingress或Egress流量。如果在NetworkPolicy上未指定policyTypes，除非指定了Egress，否则默认情况下将只设置Ingress流量。
ingress（入口）：每个NetworkPolicy可能包含Ingress规则白名单列表。每个规则允许匹配from和ports部分的流量。示例策略包含单个规则，该规则匹配单个端口上的流量，来自三个源中的一个，第一个通过ipBlock指定，第二个通过namespaceSelector，第三个通过podSelector。
egress（出口）：每个NetworkPolicy可以包括Egress规则白名单列表。每个规则允许匹配to和ports部分的流量。示例策略包含单个规则，该规则将单个端口上的流量与10.0.0.0/24中的任何目标进行匹配。

那么，示例NetworkPolicy即表示：

1. 在“default”命名空间中隔离“role=db”的pod的入口和出口请求流量
1. （入口规则）允许带有标签“role=db”的以下Pod连接到“default”命名空间中的所有pod的6379端口：
- “default”命名空间中标签为“role=frontend”的任何pod，
- 标签带“project=myproject”的任何命名空间中的Pod
- 172.17.0.0-172.17.0.255和172.17.2.0-172.17.255.255范围内的IP地址（即172.17.0.0/16除172.17.1.0/24外的IP）
1. （出口规则）允许“default”命名空间中的任何Pod连接到标签带“role=db”且CIDR IP段为10.0.0.0/24的tcp5978端口

出入口选择器行为

通过ingress from或egress to可以指定四种选择器：

podSelector：允许与NetworkPolicy同一命名空间中的指定Pod作为入口源或出口目的地。
namespaceSelector：允许所有特定命名空间的Pod作为入口源或出口目标的。
namespaceSelector和podSelector：指定namespaceSelector和podSelector的单个to/from条目选择特定命名空间中的特定Pod。policy示例：

...
ingress:
- from:
  - namespaceSelector:
      matchLabels:
        user: alice
    podSelector:
      matchLabels:
        role: client
...

上述示例包含1个from入口流量策略，允许来自命名空间本身带有标签为user=alice、且此命令空间中标签为role=client的Pod的所有连接（and关系）。但是如果二者是并列关系的policy：

...
ingress:
- from:
  - namespaceSelector:
      matchLabels:
        user: alice
  - podSelector:
      matchLabels:
        role: client
...

上述示例相当于包含2个from入口流量策略，允许来自同一Namespace中的Pod带有标签role=client的连接，或来自任何命名空间中具有标签user=alice的任何Pod的连接（or关系）。

ipBlock：选择特定的IP CIDR范围以允许作为入口源或出口目的地。这些应该是集群外部IP，因为Pod IP是短暂的和不可预测的。

群集入口和出口机制通常需要重写数据包的源IP或目标IP。如果发生这种情况，则无法确定是在NetworkPolicy处理之前还是之后发生这种情况，并且对于网络插件，云提供商，服务实施等的不同组合，行为可能会有所不同。

在入口的情况下，这意味着在某些情况下，w你可能能够根据实际的原始源IP过滤传入的数据包，而在其他情况下，NetworkPolicy作用的“源IP”可能是LoadBalancer的IP或Pod的节点等，所以需要按实际需求配置。

对于出口，这意味着从pod到服务IP的连接被重写为集群外部IP可能会不受基于ipBlock的策略的约束。

默认策略

默认情况下，如果命名空间中不存在任何NetworkPolicy策略，则允许所有入口和出口流量进出该命名空间中的pod。以下示例为更改该命名空间中的默认策略。

默认拒绝所有入口流量

可以通过创建NetworkPolicy为命名空间创建“默认”隔离策略，该策略选择所有Pod且不允许任何入口流量到这些Pod。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

这可确保即使是未被任何其他NetworkPolicy选择的pod也仍将被隔离。此策略不会更改默认的出口隔离行为。

默认允许所有入口流量

如果要允许所有流量到命名空间中的所有Pod（即使添加了导致某些Pod被“隔离”的策略），你也可以创建一个明确允许该命名空间中所有流量的策略。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

默认拒绝所有出口流量

可以通过创建NetworkPolicy来为命名空间创建“默认”出口隔离策略，该策略选择所有Pod且不允许来自这些Pod的任何出口流量。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Egress

这可确保即使是未被任何其他NetworkPolicy选择的pod也不会被允许出口流量。此策略不会更改默认的入口隔离行为。

默认允许所有出口流量

如果要允许来自命名空间中所有Pod的所有流量（即使添加了导致某些Pod被视为“隔离”的策略），你也可以创建一个明确允许该命名空间中所有出口流量的策略。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

默认拒绝所有入口和所有出口流量

可以为命名空间创建“默认”策略，通过在该命名空间中创建以下NetworkPolicy来阻止所有入口和出口流量。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

这可确保即使是未被任何其他NetworkPolicy选择的pod也不会被允许入口或出口流量。

Roy学Kubernetes(18)：Ingress Controller

2019-08-27T01:30:00.000Z

在创建Ingress资源之前，k8s群集必须先运行Ingress Controller。

与作为kube-controller-manager二进制文件的一部分运行的其他类型的控制器（详见前面关于控制器的章节）不同，Ingress控制器不会自动与集群一起启动。 Ingress Controller有多种类型，在使用时请选择最适合你的Ingress Controller。GCE和nginx controller是kubernetes官方维护的Ingress Controller。

各类Ingress Controller

Ambassador API Gateway是一个基于Envoy的Ingress Controller，具有Datawire的社区或商业支持。
AppsCode Inc.为最广泛使用的基于HAProxy的Ingress ControllerVoyager提供支持和维护。
Contour是由Heptio提供和支持的基于Envoy的Ingress Controller。
Citrix为其硬件（MPX），虚拟化（VPX）和免费容器化（CPX）ADC提供Ingress Controller，用于裸机和云部署。
F5 Networks为Kubernetes的F5 BIG-IP控制器提供支持和维护。
Gloo是一个基于Envoy的开源Ingress Controller，它提供API网关功能，并提供solo.io的企业支持。
HAProxy Technologies为Kubernetes的HAProxy Ingress控制器提供支持和维护。
基于Istio的Ingress Controller控制ingress流量。
Kong为Kungsnetes的Kong Ingress Controller提供社区或商业支持和维护。
NGINX，Inc。为Kubernetes的NGINX Ingress控制器提供支持和维护。
用于服务组合的Skipper HTTP路由器和反向代理，包括Kubernetes Ingress等用例，用作构建自定义代理的库
Traefik是一个功能齐全的Ingress Controller（Let’s Encrypt，secrets，http2，websocket），它还带有Containous的商业支持。

使用多个Ingress Controllers

你可以在k8s群集中部署任意数量的Ingress Controller。创建Ingress时，应使用适当的ingress.class描述每个Ingress，以指示在群集中存在多个Ingress Controller时应使用哪个Ingress Controller。（关于多Ingress Controllers的使用，后面我会专门写一个章节来做实际应用介绍）

如果您没有定义ingress.class类，则云提供商可能会使用默认的Ingress Controller。

理想情况下，所有Ingress Controller都应满足此规范，但各种Ingress Controller的运行方式略有不同。

Roy学Kubernetes(17)：Ingress

2019-08-26T01:30:00.000Z

Ingress是管理k8s群集中服务的外部访问（通常是HTTP/HTTPS访问请求）的API对象，它可以提供负载均衡和基于域名的虚拟主机服务（实现nginx的功能）。
在了解Ingress之前，我们需要先知道以下术语：

Node：k8s集群工作节点
Cluster：k8s集群
Edge router：为你的集群强制执行防火墙策略的路由器，这可以是由云提供商或物理硬件管理的网关。
Cluster network：一组逻辑或物理链接的网络，根据Kubernetes网络模型实现集群内的通信。
Service：Kubernetes服务，使用标签选择器标识一组Pod。默认情况下服务具有仅在k8s集群网络内可路由的虚拟IP。

什么是ingress

Ingress将集群外部的HTTP和HTTPS请求路由给集群中的Service服务，路由流量可以通过Ingress资源上定义的规则控制，结构如下：

 internet
     |
[ Ingress ]
--|-----|--
[ Services ]

可以通过Ingress配置为服务提供外部可访问的URL、负载均衡流量、SSL/TLS以及提供基于域名的虚拟主机。Ingress controllers控制器负责实现Ingress配置的功能，通常使用load balancer负载均衡器，同时Ingress也支持配置边缘路由器或其他前端来处理请求流量。

Ingress不会暴露任意端口或协议。将HTTP和HTTPS以外的服务公开给Internet通常使用Service.Type = NodePort或Service.Type = LoadBalancer类型的服务。

使用ingress的必要条件

必须先创建ingress controller，仅创建Ingress资源无效。Ingress控制器有多种类型，例如常用的ingress-nginx。各种Ingress控制器的运行方式略有不同，请按规范要求配置运行。

Ingress资源

一个ingress资源（请求）示例如下：

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: test-ingress
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - http:
      paths:
      - path: /testpath
        backend:
          serviceName: test
          servicePort: 80

与所有其他Kubernetes资源一样，Ingress需要apiVersion，kind和metadata字段。Ingress经常使用annotations注释来配置一些选项，具体取决于Ingress控制器类别，上述例子是重写目标路径的注释。不同的Ingress控制器支持不同的注释。详细配置请查看你选择的Ingress控制器的文档。

Ingress spec项具有配置负载均衡器或代理服务器所需的所有信息。最重要的是，它包含与所有传入请求匹配的规则列表。Ingress资源仅支持HTTP流量的规则。

Ingress规则

每个HTTP规则都包含以下信息：

可选主机：在上述示例中，未指定主机，因此该规则适用于通过指定的IP地址的所有入站HTTP流量。如果提供了主机（例如，foo.bar.com），则规则仅适用于该主机。
路径列表（例如，/testpath）：每个路径都有一个使用serviceName和servicePort定义的关联后端。在负载均衡器将流量定向到引用的服务之前，主机和路径都必须与传入请求的内容匹配。
后端为服务和端口名称的组合：向Ingress发出的与主机和规则路径匹配的HTTP（和HTTPS）请求将发送到列出的后端。

默认后端通常在Ingress控制器中配置，以便为与spec规范中的路径不匹配的任何请求提供服务。

默认后端

没有规则的Ingress将所有流量发送到单个默认后端。默认后端通常是Ingress控制器的配置选项，并且未在Ingress资源中指定。

如果没有任何主机或路径与Ingress对象中的HTTP请求匹配，则流量将路由到您的默认后端。

Ingress类型

单服务ingress

现有的Kubernetes概念允许公开单个服务，也可以通过指定没有规则的默认后端来使用Ingress执行此操作。

示例：ingress.yaml

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: test-ingress
spec:
  backend:
    serviceName: testsvc
    servicePort: 80

创建ingress

kubectl apply -f ingress.yaml
kubectl get ingress test-ingress
NAME           HOSTS     ADDRESS           PORTS     AGE
test-ingress   *         107.178.254.228   80        59s

其中107.178.254.228是Ingress控制器为满足此Ingress需求而分配的IP。（Ingress controllers和load balancers可能需要一两分钟来分配IP地址。在此之前，你经常会看到列为的地址）

多路由配置

多路由配置根据请求的HTTP URI将流量从单个IP地址路由到多个服务。 Ingress允许你将负载均衡器的数量降至最低。例如，请求规划如下：

1 2	foo.bar.com -> 178.91.123.132 -> / foo service1:4200 / bar service2:8080

按上述请求配置的ingress如下：

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: simple-fanout-example
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - path: /foo
        backend:
          serviceName: service1
          servicePort: 4200
      - path: /bar
        backend:
          serviceName: service2
          servicePort: 8080

创建后查看此ingress

kubectl describe ingress simple-fanout-example
Name:             simple-fanout-example
Namespace:        default
Address:          178.91.123.132
Default backend:  default-http-backend:80 (10.8.2.3:8080)
Rules:
  Host         Path  Backends
  ----         ----  --------
  foo.bar.com
               /foo   service1:4200 (10.8.0.90:4200)
               /bar   service2:8080 (10.8.0.91:8080)
Annotations:
  nginx.ingress.kubernetes.io/rewrite-target:  /
Events:
  Type     Reason  Age                From                     Message
  ----     ------  ----               ----                     -------
  Normal   ADD     22s                loadbalancer-controller  default/test

只要服务（service1，service2）存在，Ingress控制器就会提供满足Ingress的负载均衡器。创建完成后，你可以在地址字段中查看负载均衡器的地址。（注意：根据你使用的Ingress控制器类型，有此可能需要创建default-http-backend服务）

基于名称的虚拟主机ingress

基于名称的虚拟主机支持将HTTP流量路由到同一IP地址的多个主机名。

假设请求规划如下：

1
2
3

foo.bar.com --|                 |-> foo.bar.com service1:80
              | 178.91.123.132  |
bar.foo.com --|                 |-> bar.foo.com service2:80

以下Ingress告诉负载均衡器根据主机header来路由请求：

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: name-virtual-host-ingress
spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - backend:
          serviceName: service1
          servicePort: 80
  - host: bar.foo.com
    http:
      paths:
      - backend:
          serviceName: service2
          servicePort: 80

如果你创建的ingress没有在规则中定义任何主机，则可以匹配任何到Ingress控制器的IP地址的Web流量（不需要匹配基于名称的虚拟主机）。

例如，以下Ingress资源会将first.bar.com请求的流量路由到service1，将second.foo.com路由到service2，以及没有在请求中定义的主机名的IP地址的任何流量（即，没有请求头存在）路由到服务3。

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: name-virtual-host-ingress
spec:
  rules:
  - host: first.bar.com
    http:
      paths:
      - backend:
          serviceName: service1
          servicePort: 80
  - host: second.foo.com
    http:
      paths:
      - backend:
          serviceName: service2
          servicePort: 80
  - http:
      paths:
      - backend:
          serviceName: service3
          servicePort: 80

配置TLS

可以通过指定包含TLS私钥和证书的Secret来保护Ingress。目前，Ingress仅支持单个TLS端口443，如果Ingress中的TLS配置部分指定了不同的主机，则它们将根据通过SNI TLS扩展指定的主机名在同一端口上进行多路复用（前提是Ingress控制器支持SNI）。TLS Secret必须包含名为tls.crt和tls.key的密钥，其中包含用于TLS的证书和私钥。例如：

apiVersion: v1
kind: Secret
metadata:
  name: testsecret-tls
  namespace: default
data:
  tls.crt: base64 encoded cert
  tls.key: base64 encoded key
type: kubernetes.io/tls

在Ingress中引用此Secret告诉Ingress控制器使用TLS将客户端到负载均衡器的通道进行TLS加密通讯。当然了，前提你已经创建好了对应的密钥和证书。

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: tls-example-ingress
spec:
  tls:
  - hosts:
    - sslexample.foo.com
    secretName: testsecret-tls
  rules:
    - host: sslexample.foo.com
      http:
        paths:
        - path: /
          backend:
            serviceName: service1
            servicePort: 80

更新ingress

如要对现有的Ingress添加新host主机，可以通过编辑ingress资源来更新它：

1	kubectl edit ingress test

修改如下内容：

spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - backend:
          serviceName: service1
          servicePort: 80
        path: /foo
  - host: bar.baz.com
    http:
      paths:
      - backend:
          serviceName: service2
          servicePort: 80
        path: /foo
..

保存更改后，kubectl会更新API服务器中的资源，告知Ingress控制器重新配置负载均衡器。

kubectl describe ingress test
Name:             test
Namespace:        default
Address:          178.91.123.132
Default backend:  default-http-backend:80 (10.8.2.3:8080)
Rules:
  Host         Path  Backends
  ----         ----  --------
  foo.bar.com
               /foo   service1:80 (10.8.0.90:80)
  bar.baz.com
               /foo   service2:80 (10.8.0.91:80)
Annotations:
  nginx.ingress.kubernetes.io/rewrite-target:  /
Events:
  Type     Reason  Age                From                     Message
  ----     ------  ----               ----                     -------
  Normal   ADD     45s                loadbalancer-controller  default/test

你可以通过在修改后的Ingress YAML文件上执行kubectl replace -f来实现相同的结果。

Roy学Kubernetes(16)：应用程序连接Service

2019-08-13T01:30:00.000Z

本章我们将讨论kubernetes中连接到serivce容器的方法，首先我们来看它和docker容器网络工作模式的对比：

Docker默认使用主机私有网络通信，因此同一主机的容器之间可以互通。为了实现不同主机之间的容器访问，必须通过绑定本机端口来将请求转发或代理到其他节点容器。这就意味着容器必须协调好它们使用的端口，或者必须动态分配使用主机端口。当项目有多个开发人员时，协调端口及网络安全方面需要消耗更多的时间和人力成本。
kubernetes通过创建私有Pod子网，为每个pod提供了唯一的集群私有IP地址，无论Pod在哪个节点，均可互通。

下面我们来用演示如何配置访问kubernetes的Pod。

将Pod暴露给k8s集群

创建一个nginx的Deployment，配置containerPort端口，即可实现从k8s群集中的任何节点访问。

nginx.yml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80     # 指定containerPort端口暴露

创建Deployment

1	kubectl apply -f nginx.yaml

检查Pod正在运行的节点和Pod IP

kubectl get pods -l run=my-nginx -o wide

NAME                        READY     STATUS    RESTARTS   AGE       IP            NODE
my-nginx-3800858182-jr4a2   1/1       Running   0          13s       10.244.3.4    kubernetes-minion-905m
my-nginx-3800858182-kna2y   1/1       Running   0          13s       10.244.2.5    kubernetes-minion-ljyd

我们可以在k8s任何节点上通过Pod IP和containerPort访问到Pod的运行在80端口上的nginxService，且一个节点可以同时跑多个containerPort端口相同的Service而不会冲突。同样，我们仍然可以将Pod的端口映射到主机节点上，但由于k8s的上述特性，现在很少这么做。

创建Service

由上可知，我们通过部署Deployment就可以直接与这些pod进行通信，但是当节点挂掉时，pod会随之消亡，Deployment将会创建具有不同IP的新节点；nginx的访问IP也随之变更了，怎么样才能让访问方式保持不变？这就要用到Service。

Kubernetes Service是一种抽象资源，它定义了在k8s集群中运行的相同逻辑Pod集合，它们都提供相同的功能。当Service创建时，k8s会为每个Service分配一个唯一的IP地址（也称为clusterIP）。此地址与Service的生命周期相关，并且在Service处于活动状态时不会变更。可配置对Service的通信请求自动负载均衡到Service成员的pod上。

可以使用kubectl公开为2个nginx副本创建Service：

1 2	kubectl expose deployment my-nginx service/my-nginx exposed

但通常使用yaml配置文件通过kubectl apply创建

nginx-svc.yaml

apiVersion: v1
kind: Service   # 创建Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  ports:
  - port: 80    # 指定Service暴露端口
    protocol: TCP   # 端口类型
  selector:     # Pod选择器
    run: my-nginx

1	kubectl apply -f nginx-svc.yaml

此Service使用run：my-nginx标签匹配任何Pod上的TCP端口80，并在抽象的Service端口80上暴露给整个k8s集群（targetPort：是容器接受流量的端口，port：是抽象的Service端口，可以是其他pod用于访问Service的任何端口）。

查看创建的Service

kubectl get svc my-nginx

NAME       TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
my-nginx   ClusterIP   10.0.162.149           80/TCP    21s

如前所述，Service由一组Pod支持。这些Pod通过Endpoint端点（此处为Pod IP和containerPort）公开。集群将不停的检查Service的选择器，并将结果发布到名为my-nginx的端点对象。当Pod死亡时，它会自动从端点移除，与Service选择器匹配的新Pod将自动添加到端点。

查看Service详情

kubectl describe svc my-nginx

Name:                my-nginx
Namespace:           default
Labels:              run=my-nginx
Annotations:         
Selector:            run=my-nginx
Type:                ClusterIP
IP:                  10.0.162.149
Port:                 80/TCP
Endpoints:           10.244.2.5:80,10.244.3.4:80
Session Affinity:    None
Events:

kubectl get ep my-nginx

NAME       ENDPOINTS                     AGE
my-nginx   10.244.2.5:80,10.244.3.4:80   1m

现在可以从k8s群集中的任何节点通过的:访问nginx服务。请注意，Serivce IP是完全虚拟的。

访问Service

Kubernetes支持2种查找Service的主要模式 - 环境变量和DNS。前者内置在k8s中，而后者需要CoreDNS群集插件支持。详见Kubernetes之Service。现在普遍使用DNS方式实现。

Service安全

到目前为止，我们只是从群集中访问到nginx服务。在将服务暴露给互联网之前，需要确保Service通信渠道是安全的。因此，一般建议配置：

https的自签名证书（除非您已拥有身份证书）
带证书的nginx服务
pod间访问证书的secret密钥

例如：假设证书创建

#create a public private key pair
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /d/tmp/nginx.key -out /d/tmp/nginx.crt -subj "/CN=my-nginx/O=my-nginx"
#convert the keys to base64 encoding
cat /d/tmp/nginx.crt | base64
cat /d/tmp/nginx.key | base64

使用上述输出配置文件nginxsecrets.yaml

apiVersion: "v1"
kind: "Secret"
metadata:
  name: "nginxsecret"
  namespace: "default"
data:
  nginx.crt: "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"
  nginx.key: "LS0tLS1CRUdJTiBQUklWQVRFIEtFWS0tLS0tCk1JSUV2UUlCQURBTkJna3Foa2lHOXcwQkFRRUZBQVNDQktjd2dnU2pBZ0VBQW9JQkFRQ2RhaURFZlZsZHdkbFIKd1V5eFpJWmVEZWNuTkFhbWh4d1NpeWF5N1AvOE9ta3NVQ3FCWmNpQ0RzZUh2dGtzbzlCSzhBZi9WemFhWm9zcApnZjYzUlZuZmNmVUlRQUN3WHhHVFhHMXJKVEVGSzhRSHA3VkpMcnpLUC9QOUxZcFlYTE0yYzZ3MmtjZUNmZitrCkU1bEVlNUJVbUNUV09UM3c4S1lPNzFLSWVuNEZJWTZMMDUrc2JGQmd1Z0ExUE5JdWFubm9UTWtlZTRuMG4rTDQKb3NCM01ZUDhtQmtRQlAzeE9JNHl3YjREZXUraURyU2pKSHJzQmlIT05Xc0RadXJFaXVJMmdoY1kxeWIyWHI2UAozVFVOcGNSbC9pVG9zQngxcHJHclk4V09HZVdPeGxZZmcvbWIvNnBuOUYvNWxlQlkrZStjSTlTMkQ0YXBKWUdpCkwxeHZzVWtGQWdNQkFBRUNnZ0VBZFhCK0xkbk8ySElOTGo5bWRsb25IUGlHWWVzZ294RGQwci9hQ1Zkank4dlEKTjIwL3FQWkUxek1yall6Ry9kVGhTMmMwc0QxaTBXSjdwR1lGb0xtdXlWTjltY0FXUTM5SjM0VHZaU2FFSWZWNgo5TE1jUHhNTmFsNjRLMFRVbUFQZytGam9QSFlhUUxLOERLOUtnNXNrSE5pOWNzMlY5ckd6VWlVZWtBL0RBUlBTClI3L2ZjUFBacDRuRWVBZmI3WTk1R1llb1p5V21SU3VKdlNyblBESGtUdW1vVlVWdkxMRHRzaG9reUxiTWVtN3oKMmJzVmpwSW1GTHJqbGtmQXlpNHg0WjJrV3YyMFRrdWtsZU1jaVlMbjk4QWxiRi9DSmRLM3QraTRoMTVlR2ZQegpoTnh3bk9QdlVTaDR2Q0o3c2Q5TmtEUGJvS2JneVVHOXBYamZhRGR2UVFLQmdRRFFLM01nUkhkQ1pKNVFqZWFKClFGdXF4cHdnNzhZTjQyL1NwenlUYmtGcVFoQWtyczJxWGx1MDZBRzhrZzIzQkswaHkzaE9zSGgxcXRVK3NHZVAKOWRERHBsUWV0ODZsY2FlR3hoc0V0L1R6cEdtNGFKSm5oNzVVaTVGZk9QTDhPTm1FZ3MxMVRhUldhNzZxelRyMgphRlpjQ2pWV1g0YnRSTHVwSkgrMjZnY0FhUUtCZ1FEQmxVSUUzTnNVOFBBZEYvL25sQVB5VWs1T3lDdWc3dmVyClUycXlrdXFzYnBkSi9hODViT1JhM05IVmpVM25uRGpHVHBWaE9JeXg5TEFrc2RwZEFjVmxvcG9HODhXYk9lMTAKMUdqbnkySmdDK3JVWUZiRGtpUGx1K09IYnRnOXFYcGJMSHBzUVpsMGhucDBYSFNYVm9CMUliQndnMGEyOFVadApCbFBtWmc2d1BRS0JnRHVIUVV2SDZHYTNDVUsxNFdmOFhIcFFnMU16M2VvWTBPQm5iSDRvZUZKZmcraEppSXlnCm9RN3hqWldVR3BIc3AyblRtcHErQWlSNzdyRVhsdlhtOElVU2FsbkNiRGlKY01Pc29RdFBZNS9NczJMRm5LQTQKaENmL0pWb2FtZm1nZEN0ZGtFMXNINE9MR2lJVHdEbTRpb0dWZGIwMllnbzFyb2htNUpLMUI3MkpBb0dBUW01UQpHNDhXOTVhL0w1eSt5dCsyZ3YvUHM2VnBvMjZlTzRNQ3lJazJVem9ZWE9IYnNkODJkaC8xT2sybGdHZlI2K3VuCnc1YytZUXRSTHlhQmd3MUtpbGhFZDBKTWU3cGpUSVpnQWJ0LzVPbnlDak9OVXN2aDJjS2lrQ1Z2dTZsZlBjNkQKckliT2ZIaHhxV0RZK2Q1TGN1YSt2NzJ0RkxhenJsSlBsRzlOZHhrQ2dZRUF5elIzT3UyMDNRVVV6bUlCRkwzZAp4Wm5XZ0JLSEo3TnNxcGFWb2RjL0d5aGVycjFDZzE2MmJaSjJDV2RsZkI0VEdtUjZZdmxTZEFOOFRwUWhFbUtKCnFBLzVzdHdxNWd0WGVLOVJmMWxXK29xNThRNTBxMmk1NVdUTThoSDZhTjlaMTltZ0FGdE5VdGNqQUx2dFYxdEYKWSs4WFJkSHJaRnBIWll2NWkwVW1VbGc9Ci0tLS0tRU5EIFBSSVZBVEUgS0VZLS0tLS0K"

创建secret证书和密钥

1 2	kubectl apply -f nginxsecrets.yaml secret/nginxsecret created

查看secret

kubectl get secrets

NAME                  TYPE                                  DATA      AGE
default-token-il9rc   kubernetes.io/service-account-token   1         1d
nginxsecret           Opaque                                2         1m

修改nginx服务，使用secret中的证书启动https服务，暴露两个端口（80和443）：

nginx-secure-app.yaml

apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  type: NodePort    # 配置NodePort节点端口映射
  ports:
  - port: 8080
    targetPort: 80
    protocol: TCP
    name: http
  - port: 443
    protocol: TCP
    name: https
  selector:
    run: my-nginx
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 1
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      volumes:  # 指定挂载卷
      - name: secret-volume # 卷名
        secret:
          secretName: nginxsecret
      containers:
      - name: nginxhttps
        image: bprashanth/nginxhttps:1.0
        ports:
        - containerPort: 443
        - containerPort: 80
        volumeMounts:
        - mountPath: /etc/nginx/ssl # 此处挂载secret
          name: secret-volume       # 卷名

上述重要配置信息：

创建Deployment和Service
nginx Service同时监听80和443
nginx每个容器都通过/etc/nginx/ssl挂载创建的密钥和证书secret卷

然后你可以通过Pod或ClusterIP访问到nginx服务

kubectl get pods -o yaml | grep -i podip
    podIP: 10.244.3.5
node $ curl -k https://10.244.3.5
...
Welcome to nginx!

暴露Service服务

经常你需要将应用程序公开到外部IP地址，方便业务流量接入访问。为此，Kubernetes支持两种方式：NodePorts和LoadBalancers。在上一节中创建的Service服务已使用NodePort，因此如果你的节点具有公网IP，则你的nginx HTTPS副本已经可以通过Internet访问。

NodePorts

获取ClusterIP和nodePort端口

kubectl get svc my-nginx -o yaml | grep nodePort -C 5
  uid: 07191fb3-f61a-11e5-8ae5-42010af00002
spec:
  clusterIP: 10.0.162.149
  ports:
  - name: http
    nodePort: 31704
    port: 8080
    protocol: TCP
    targetPort: 80
  - name: https
    nodePort: 32453
    port: 443
    protocol: TCP
    targetPort: 443
  selector:
    run: my-nginx

测试你的nginx服务

kubectl get nodes -o yaml | grep ExternalIP -C 1
    - address: 104.197.41.11
      type: ExternalIP
    allocatable:
--
    - address: 23.251.152.56
      type: ExternalIP
    allocatable:
...

$ curl https://: -k
...
Welcome to nginx!

LoadBalancer

现在我们使用LoadBalancer方式重新创建服务，只需将my-nginx服务的类型从NodePort更改为LoadBalancer即可

kubectl edit svc my-nginx
kubectl get svc my-nginx

NAME       TYPE        CLUSTER-IP     EXTERNAL-IP        PORT(S)               AGE
my-nginx   ClusterIP   10.0.162.149   162.222.184.144    80/TCP,81/TCP,82/TCP  21s

测试

1
2
3

curl https:// -k
...
Welcome to nginx!

EXTERNAL-IP列中的IP地址是公共互联网上可用的IP地址。 CLUSTER-IP仅在您的群集/私有云网络中可用。

请注意，在AWS上，键入LoadBalancer会创建一个ELB，它使用（长）主机名，而不是IP。实际上，要适应标准的kubectl获取svc输出太长了，所以你需要做kubectl描述服务my-nginx才能看到它。你会看到这样的事情：

kubectl describe service my-nginx
...
LoadBalancer Ingress:   a320587ffd19711e5a37606cf4a74574-1142138393.us-east-1.elb.amazonaws.com
...

linux磁盘IO查看命令iotop

2019-08-12T03:00:00.000Z

linux服务器如果磁盘性能不佳，或者进程操作IO量超过磁盘负荷，都会导致磁盘IO响应缓慢，甚至出现宕机的情况。很多人会说，我有iostat命令啊。但是如果需要找到哪个进程对磁盘IO操作压力最大，iostat是不能帮我们直接呈现的，这时候，另一个利器iotop就派上用场了。

iotop命令

iotop命令是一个用来监视磁盘I/O使用状况的top类工具。iotop具有与top相似的UI，其中包括PID、用户、I/O、进程等相关信息。如果你想知道每个进程是如何使用IO的就比较麻烦，使用iotop命令可以很方便的查看。

iotop安装

一般iotop默认是没有安装的，iotop安装也很简单，你需要如下操作(其它linux版本可自行搜索安装方法)：

CentOS/Redhat：yum install iotop
Debian/Ubuntu：apt-get install iotop

编译安装：

wget http://guichaz.free.fr/iotop/files/iotop-0.6.tar.gz
tar zxf iotop-0.4.4.tar.gz
python setup.py build
python setup.py install

iotop输出

iotop输出很容易看懂：

第一行：Read和Write速率总计

第二：实际的Read和Write速率

第三行：参数如下：

线程ID（按p切换为进程ID）
优先级
用户
磁盘读速率
磁盘写速率
swap交换百分比
IO等待所占的百分比
线程/进程命令

常用参数

-o, --only只显示正在产生I/O的进程或线程。除了传参，可以在运行过程中按o生效。
-b, --batch非交互模式，一般用来记录日志。
-n NUM, --iter=NUM设置监测的次数，默认无限。在非交互模式下很有用。
-d SEC, --delay=SEC设置每次监测的间隔，默认1秒，接受非整形数据例如1.1。
-p PID, --pid=PID指定监测的进程/线程。
-u USER, --user=USER指定监测某个用户产生的I/O。
-P, --processes仅显示进程，默认iotop显示所有线程。
-a, --accumulated显示累积的I/O，而不是带宽。
-k, --kilobytes使用kB单位，而不是对人友好的单位。在非交互模式下，脚本编程有用。
-t, --time 加上时间戳，非交互非模式。
-q, --quiet 禁止头几行，非交互模式。有三种指定方式。
- -q 只在第一次监测时显示列名
- -qq 永远不显示列名。
- -qqq 永远不显示I/O汇总。

交互按键

和top命令类似，iotop也支持以下几个交互按键。

left和right方向键：改变排序。
r：反向排序。
o：切换至选项–only。
p：切换至–processes选项。
a：切换至–accumulated选项。
q：退出。
i：改变线程的优先级。

写在最后

itop通过方向键选择按哪一列来排序，基本上我们会以此来判断当前哪些线程/进程对磁盘有IO操作，以及操作的IO速率，但是要判断磁盘IO负载是否已饱和，还需要结合top命令，当前磁盘最大性能等指标综合判断。

linux磁盘IO测试工具hdparm

2019-08-09T03:00:00.000Z

磁盘IO性能

服务器磁盘IO是最可能影响服务器性能发挥的指标之一，在很多情况下，服务器负载异常都可能与磁盘IO性能不足有关。所以很多时候我们需要做磁盘测试，hdparm就是一个很好的磁盘测试工具。

命令语法

hdparm [-CfghiIqtTvyYZ][-a <快取分区>][-A <0或1>][-c ][-d <0或1>][-k <0或1>][-K <0或1>][-m <分区数>][-n <0或1>][-p ][-P <分区数>][-r <0或1>][-S <时间>][-u <0或1>][-W <0或1>][-X <传输模式>][设备]

补充说明：hdparm可检测，显示与设定IDE或SCSI硬盘的参数。

参数解析:

-a<快取分区>：设定读取文件时，预先存入块区的分区数，若不加上<快取分区>选项，则显示目前的设定。
-A<0或1>：启动或关闭读取文件时的快取功能。
-c：设定IDE32位I/O模式。
-C：检测IDE硬盘的电源管理模式。
-d<0或1>：设定磁盘的DMA模式。
-f：将内存缓冲区的数据写入硬盘，并清楚缓冲区。
-g：显示硬盘的磁轨，磁头，磁区等参数。
-h：显示帮助。
-i：显示硬盘的硬件规格信息，这些信息是在开机时由硬盘本身所提供。
-I：直接读取硬盘所提供的硬件规格信息。
-k<0或1>：重设硬盘时，保留-dmu参数的设定。
-K<0或1>：重设硬盘时，保留-APSWXZ参数的设定。
-m<磁区数>：设定硬盘多重分区存取的分区数。
-n<0或1>：忽略硬盘写入时所发生的错误。
-p：设定硬盘的PIO模式。
-P<磁区数>：设定硬盘内部快取的分区数。
-q：在执行后续的参数时，不在屏幕上显示任何信息。
-r<0或1>：设定硬盘的读写模式。
-S<时间>：设定硬盘进入省电模式前的等待时间。
-t：评估硬盘的读取效率。
-T：评估硬盘快取的读取效率。
-u<0或1>：在硬盘存取时，允许其他中断要求同时执行。
-v：显示硬盘的相关设定。
-W<0或1>：设定硬盘的写入快取。
-X<传输模式>：设定硬盘的传输模式。
-y：使IDE硬盘进入省电模式。
-Y：使IDE硬盘进入睡眠模式。
-Z：关闭某些Seagate硬盘的自动省电功能。

用法举例

普通磁盘测试

# hdparm -t /dev/sda
/dev/sda:
Timing buffered disk reads: 316 MB in 3.02 seconds = 104.71 MB/sec
# hdparm -T /dev/sda
/dev/sda:
Timing cached reads: 19328 MB in 1.99 seconds = 9691.24 MB/sec

RAID0测试(两块盘)

# hdparm -t /dev/sdb
/dev/sdb:
Timing buffered disk reads: 622 MB in 3.01 seconds = 206.89 MB/sec
# hdparm -T /dev/sdb1
/dev/sdb1:
Timing cached reads: 19632 MB in 1.99 seconds = 9844.20 MB/sec

RAID0测试(三块盘)

# hdparm -t /dev/sdb
/dev/sdb:
Timing buffered disk reads: 846 MB in 3.00 seconds = 281.54 MB/sec
# hdparm -T /dev/sdb
/dev/sdb:
Timing cached reads: 18412 MB in 1.99 seconds = 9229.67 MB/sec

RAID0测试(四块盘)

1
2
3

/dev/sdb:
Timing cached reads: 19608 MB in 1.99 seconds = 9832.76 MB/sec
Timing buffered disk reads: 860 MB in 3.00 seconds = 286.35 MB/sec

显示硬盘的相关设置

hdparm /dev/sda
/dev/sda: IO_support = 0 (default 16-bit)
readonly = 0 (off)
readahead = 256 (on)
geometry = 19457［柱面数］/255［磁头数］/63［扇区数］, sectors = 312581808［总扇区数］, start = 0［起始扇区数］

显示硬盘的柱面、磁头、扇区数

1 2	hdparm -g /dev/sda /dev/sda: geometry = 19457［柱面数］/255［磁头数］/63［扇区数］, sectors = 312581808［总扇区数］, start = 0［起始扇区数］

测试硬盘缓存的读取速度

1 2	hdparm -T /dev/xvda /dev/xvda: Timing cached reads: 11154 MB in 1.98 seconds = 5633.44 MB/sec

检测硬盘的电源管理模式

1 2	hdparm -C /dev/sda /dev/sda: drive state is: standby [省电模式]

yum通过squid代理连接外网

2019-08-09T02:00:00.000Z

平时大家在部署环境或项目时，肯定有碰到类似的网络环境：私有网络中，有一台机器（一般是跳板机或代理机）可访问外网，其它机器无外网访问权限。这时除这台以外的其他机器，yum无法正常安装软件。解决方案是：在有外网权限的机器上配置squid代理到公网，然后为内网其他机器配置yum代理，使用公网的yum源(例如mirrors.aliyun.com)安装软件包。
此次实验环境：CentOS7.3_x64
配置squid
在有外网权限的机器上（假设这台主机名为manage01）squid代理使用默认配置，只需要修改下面配置重启即可：
/etc/sqiud/squid.conf
1
2
#http_access deny all
http_access allow all
重启squid
1
systemctl restart squid
squid默认监听3128端口
配置yum代理
在/etc/yum.conf添加一行即可
1
proxy=http://manage01:3128
配置aliyun仓库
/etc/yum.repos.d/aliyun.repo
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
[base]
name=CentOS-$releasever - Base
baseurl=http://mirrors.aliyun.com/centos/7/os/$basearch/
enabled=1
gpgcheck=0
gpgkey=http://mirrors.aliyun.com/centos/7/os/x86_64/RPM-GPG-KEY-CentOS-7

#released updates
[updates]
name=CentOS-$releasever - Updates
baseurl=http://mirrors.aliyun.com/centos/7/updates/$basearch/
enabled=1
gpgcheck=0
gpgkey=http://mirrors.aliyun.com/centos/7/os/x86_64/RPM-GPG-KEY-CentOS-7

[extras]
name=CentOS-$releasever - Extras
baseurl=http://mirrors.aliyun.com/centos/7/extras//$basearch/
enabled=1
gpgcheck=0
gpgkey=http://mirrors.aliyun.com/centos/7/os/x86_64/RPM-GPG-KEY-CentOS-7

[centosplus]
name=CentOS-$releasever - Plus
baseurl=http://mirrors.aliyun.com/centos/7/centosplus//$basearch/
enabled=1
gpgcheck=0
验证
1
2
yum cleann all
yum repolist

使用Docker swarm mode创建多节点容器集群

2019-08-08T03:00:00.000Z

1.初始化创建swarm
1
docker swarm init --advertise-addr
–listen-addr：指定swarm节点监听的地址/网络接口及端口，默认端口为0.0.0.0:2377
–advertise-addr：指定为其它swarm节点提供API access和overlay networking的监听地址和端口，若不指出，会使用–listen-addr指定的端口；若系统有多个IP地址，这个参数必须指定监听到哪个网络地址
2.查看swarm信息
1
docker info
有相关swarm信息（示例如下）
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Swarm: active
NodeID: os0l8xe87o0nz0sc04vrrpppl
Is Manager: true
ClusterID: o1c3g9ockktlagwpqirgb49no
Managers: 1
Nodes: 2
Orchestration:
Task History Retention Limit: 5
Raft:
Snapshot Interval: 10000
Number of Old Snapshots to Retain: 0
Heartbeat Tick: 1
Election Tick: 3
Dispatcher:
Heartbeat Period: 5 seconds
CA Configuration:
Expiry Duration: 3 months
Node Address: 192.168.1.146
Manager Addresses:
192.168.1.146:2377
3.增加swarm节点
1
docker swarm join --token SWMTKN-1-49nj1cmql0jkz5s954yi3oex3nedyz0fb0xx14ie39trti4wxv-8vxv8rssmk743ojnwacrr2e7c 192.168.99.100:2377
4.查看主节点供连接信息
1
2
docker swarm join-token worker
docker swarm join-token manager
重新生成token
1
swarm join-token --rotate
强烈建议manager节点为奇数个，方便在某节点故障时选举出leader，以下为manager节点规划和可FT(Fault Tolerance)数，以此类推，即swarm cluster允许(N-1)/2个节点故障。
分布式manager节点配置：不同节点上配置的manager节点数，保证更好的容错性
运行manager-only节点（默认manager节点也是worker节点），即将节点状态变为drain状态
1
docker node update --availability drain
节点从故障中恢复
1
2
docker swarm init --force-new-cluster --listen-addr node01:2377
The --force-new-cluster flag puts the Docker Engine into swarm mode as a manager node of a single-node cluster. It discards cluster membership information that existed before the loss of the quorum but it retains data necessary to the Swarm cluster such as services, tasks and the list of worker nodes.This flag forces an existing node that was part of a quorum that was lost to restart as a single node Manager without losing its data
5.在主节点上查看所有节点信息
1
docker node ls
6.创建（发布）服务
1
docker service create --replicas 1 --name helloworld alpine ping docker.com
参数解析：
–replicas：服务实例数
–name：服务名称
alpine：镜像名称
ping docker.com：执行的命令等参数
还有其它常用参数如：
–publish：设置映射到外面的端口
–env：设置环境变量
–workdir：设置运行目录
–user：设置运行用户
–mode：设置任务模式
–network：创建overlay网络
–update-delay：设置更新时间间隔
–update-parallelism：设置同时更新的任务数，默认是1
–update-failure-action：设置更新失败后的行为，如continue
具体查询–help或https://docs.docker.com/engine/reference/commandline/service_create/
配置挂载项：–mount
挂载项分为卷挂载(默认)和绑定挂载,卷是指容器任务完成并被移除后仍然存在的存储，推荐使用已有的卷挂载
1
2
docker service create --mount src=,dst= --name myservice
docker service create --mount type=volume,src=,dst=,volume-driver=,volume-opt==,volume-opt== --name myservice
绑定挂载是指来自那些调度部署容器任务的主机文件系统路径，docker会挂载到容器内部的路径，这个文件系统路径必须在swarm初始化容器任务之前已存在,同时绑定挂载是有风险的，通常情况下不推荐使用，因为需要在每个机器上存在此挂载的文件系统路径，调度程序随时可能重新调度分配那些不健康或者无法连接的服务容器，并且此种挂载不能保证开发和生产一致。
1
2
docker service create --mount type=bind,src=,dst= --name myservice
docker service create --mount type=bind,src=,dst=,readonly --name myservice
7.查看服务状态
1
docker service ls
8.查看服务详细信息
1
docker service inspect --pretty helloworld
–pretty：以人性华(非json)方式显示，方便查看
9.查看有哪些节点运行此服务
1
docker service ps helloworld
也可在每个swarm节点上直接使用docker ps查看运行的容器
10.变更服务任务数（只能在manager节点执行，可同时变更多个服务的任务数）
1
docker service scale =
例如：docker service scale helloworld=5表示实例数变更为5个
11.删除服务（只能在manager节点执行）
1
docker service rm helloworld
可通过docker service inspect helloworld确认是否删除
12.滚动更新
1
docker service update --image redis:3.0.7 redis
默认更新步骤如下：
关闭第一个任务（实例）
开始在此关闭节点执行计划中的更新
更新完成后启动此任务
如果被更新的节点状态返回为RUNNING，等待指定的delay时间，然后停止下一个任务
如果，在更新的任意时间，任务返回FAILED，则暂停更新
更新完成后可以使用docker service inspect --pretty redis查看服务的images是否更新成功
若更新失败，使用docker service inspect --pretty 会显示失败，可重新使用docker service update 再次重启更新
使用docker service ps 可查看滚动更新
13.停用节点
1
docker node update --availability drain
被信用的节点即不会再接受新的任务指派，也会停止节点上所有运行的任务，此节点上的服务状态会显示为Shutdown，且它的任务会被重新指派到新的可用节点上
14.启用节点
1
docker node update --availability active
此时节点可以接受新的任务指派
15.查看本地节点信息
1
docker node inspect self --pretty
16.提升或者降职节点
1
2
docker node promote node-3 node-2
docker node demote node-3 node-2
17.节点退出swarm
1
docker swarm leave
主管理节点退出时需要加–force
待节点退出后，可在任意管理节点从节点列表中删除掉此节点
1
docker node rm node-2
18.创建overlay网络
1
docker network create --driver overlay my-network

Roy学Kubernetes(15)：Pod和Servicer的DNS

2019-08-07T01:30:00.000Z

Kubernetes为集群内的Pod和Service提供了DNS服务，它会自动配置kubelet以告知各个容器使用DNS服务的IP来解析集群内的DNS名称。集群中定义的每个Service服务（包括DNS服务器本身）都会分配一个DNS名称。默认情况下，客户端Pod的DNS搜索列表将包含Pod自己的namespace和集群的默认域（默认是cluster.local）。所以同namespace内的Servie和Pod的DNS记录查询，可以省略namespace和默认域。
Service
A记录
正常Service（非Headless Service）会以如下这种名字的形式被指派一个DNS A记录。此记录会解析成此Service的Cluster IP。
1
my-svc.my-namespace.svc.cluster.local
my-svc：你定义的Serive名
my-namespace：你定义的命名空间
Headless Service（没有Cluster IP）也会以如上相同命名的形式被指派一个DNS A记录。不同的是它会解析成该Service下所有Pod的IP组。如果客户端无法使用这一组IP，就会使用标准的round-robin策略从这一组IP中返回随机一个。
SRV记录
可以为Service（包含Headless Service）命名（绑定）的端口需要创建SRV记录。对每个命名端口，SRV记录形式如下：
1
_my-port-name._my-port-protocol.my-svc.my-namespace.svc.cluster.local
my-port-name：你命名（绑定）的port
my-port-protocol：port的协议，例如tcp/udp
对于普通的Service，这会被解析成端口号和CNAME：my-svc.my-namespace.svc.cluster.local。对于Headless Service，这会被解析成一组结果：Service对应的每个后端Pod各一个，包含auto-generated-name.my-svc.my-namespace.svc.cluster.local这种形式Pod的端口号和CNAME。
Pod
A记录
当创建pod时，其主机名是Pod的metadata.name值。
Pod规范有一个可选的主机名字段，可用于指定Pod的主机名。指定后，它优先于Pod的名称作为pod的主机名。
Pod规范还有一个可选的子域字段，可用于指定其子域。例如，在命名空间“my-namespace”中，主机名设置为“foo”，子域设置为“bar”的Pod将具有完全限定的域名（FQDN）“foo.bar.my-namespace.svc。集群cluster.local”
如果在与pod相同的命名空间中存在无头服务且与子域名称相同，则集群的KubeDNS服务器还会返回Pod的完全限定主机名的A记录。例如，给定主机名设置为“busybox-1”且子域设置为“default-subdomain”的Pod，以及同一名称空间中名为“default-subdomain”的无头服务，该pod将看到自己的FQDN为 “Busybox的1.default-subdomain.my-namespace.svc.cluster.local”。 DNS以该名称提供A记录，指向Pod的IP。pod“busybox1”和“busybox2”都可以拥有不同的A记录。

Roy学Kubernetes(14)：控制器之CronJob

2019-08-06T01:30:00.000Z

CronJob是基于时间的任务，和linux系统中的计划任务crontab同理。一个CronJob对象就像一行crontab（cron表）文件。它以给定的时间表定期运行指定的任务，语法与crontab格式相同。（在Kubernetes1.4版本名为ScheduledJob，从1.5版本开始改成CronJob）
它的常用场景和crontab一样：
在指定时间点执行Job
周期性执行Job
创建CronJob
cronjob.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
apiVersion: batch/v1beta1
kind: CronJob # 创建CronJob
metadata:
name: hello
spec:
schedule: "*/1 * * * *"
concurrencyPolicy: Allow # 默认允许并发，可配置Forbid（禁止并发）、Replace（替换当前Job）并发策略
jobTemplate: # Job模板
spec:
template:
spec:
containers:
- name: hello
image: busybox
args:
- /bin/sh
- -c
- date; echo Hello from the Kubernetes cluster
restartPolicy: OnFailure
创建
1
2
[root@node1 ~]# kubectl create -f cronjob.yaml
cronjob "hello" created
也可以使用Kubectl run来创建一个CronJob，而不需要写yaml配置文件
1
2
[root@node1 ~]# kubectl run hello --schedule="*/1 * * * *" --restart=OnFailure --image=busybox -- /bin/sh -c "date; echo Hello from the Kubernetes cluster"
cronjob "hello" created
创建后获取CronJob状态信息
1
2
3
[root@node1 ~]# kubectl get cronjob hello
NAME SCHEDULE SUSPEND ACTIVE LAST-SCHEDULE
hello */1 * * * * False 0
上述状态表示即没有active的Job，也没有被调度的Job。此时稍等约一分钟再看：
1
2
3
[root@node1 ~]# kubectl get jobs --watch
NAME DESIRED SUCCESSFUL AGE
hello-4111706356 1 1 2s
1
2
3
[root@node1 ~]# kubectl get cronjob hello
NAME SCHEDULE SUSPEND ACTIVE LAST-SCHEDULE
hello */1 * * * * False 0 Mon, 29 Aug 2018 14:34:00 -0700
LAST-SCHEDULE表示此Job在指定的时间点已被调度。此时可查看最近一次调度的Pod执行的结果输出：
1
2
3
4
5
6
[root@node1 ~]# pods=$(kubectl get pods --selector=job-name=hello-4111706356 --output=jsonpath={.items..metadata.name})
[root@node1 ~]# echo $pods
hello-4111706356-o9qcm
[root@node1 ~]# kubectl logs $pods
Mon Aug 29 21:34:09 UTC 2018
Hello from the Kubernetes cluster
删除CronJob
1
2
[root@node1 ~]# kubectl delete cronjob hello
cronjob "hello" deleted
这将会终止正在创建的Job。但运行中的Job不会被终止，包括它的Pod。为了清理这些Job和Pod，需要列出该CronJob创建的全部Job并删除它们：
1
2
3
4
5
6
7
8
9
10
[root@node1 ~]# kubectl get jobs
NAME DESIRED SUCCESSFUL AGE
hello-1201907962 1 1 11m
hello-1202039034 1 1 8m
...

[root@node1 ~]# kubectl delete jobs hello-1201907962 hello-1202039034 ...
job "hello-1201907962" deleted
job "hello-1202039034" deleted
...
删除当前namespace下的所有job，可以使用kubectl delete jobs --all来操作。

Roy学Kubernetes(13)：控制器之Jobs

2019-08-05T01:30:00.000Z

Job创建一个或多个Pod并确保指定数量的Pod成功执行并终止。当pod成功完成后，Job会跟踪任务完成情况。达到指定数量的成功完成时，任务（即Job）完成。您还可以使用Job并行运行多个Pod。
一个简单的例子是创建一个Job任务对象，以便可靠地运行一个Pod来完成。如果第一个Pod失败或被删除（例如由于节点硬件故障或节点重启），Job对象将启动一个新的Pod。
Job示例
job.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
apiVersion: batch/v1
kind: Job # 创建Job控制器
metadata:
name: pi # Job名
spec:
template: # Pod模板
spec:
containers: # 容器参数
- name: pi # 容器名
image: perl # 镜像
command: ["perl", "-Mbignum=bpi", "-wle", "print bpi(2000)"] # 运行的Job任务命令
restartPolicy: Never # 重启策略，仅支持Never和OnFailure
backoffLimit: 4 # 决定失败之前的重试次数
运行Job
1
2
[root@node1 ~]# kubectl apply -f job.yaml
job "pi" created
查看job状态
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
[root@node1 ~]# kubectl describe jobs/pi
Name: pi
Namespace: default
Selector: controller-uid=b1db589a-2c8d-11e6-b324-0209dc45a495
Labels: controller-uid=b1db589a-2c8d-11e6-b324-0209dc45a495
job-name=pi
Annotations:
Parallelism: 1
Completions: 1
Start Time: Tue, 07 Jun 2016 10:56:16 +0200
Pods Statuses: 0 Running / 1 Succeeded / 0 Failed
Pod Template:
Labels: controller-uid=b1db589a-2c8d-11e6-b324-0209dc45a495
job-name=pi
Containers:
pi:
Image: perl
Port:
Command:
perl
-Mbignum=bpi
-wle
print bpi(2000)
Environment:
Mounts:
Volumes:
Events:
FirstSeen LastSeen Count From SubobjectPath Type Reason Message
--------- -------- ----- ---- ------------- -------- ------ -------
1m 1m 1 {job-controller } Normal SuccessfulCreate Created pod: pi-dtn4q
可通过kubectl get pods查看到成功完成Job的Pod。通过kubectl logs对应Pod名，可以获取此Pod的Job执行结果。
并行Jobs
Job有如下三类：
非并行的任务
通常，只有一个Pod启动，除非Pod失败。
一旦Pod成功终止，任务就完成了。
指定完成数的并行任务：
为.spec.completions指定非零正值。
Job代表整体任务，当1到.spec.completions范围内的每个值都有一个成功的Pod时，它就完成了。
工作队列类的并行任务：
不要指定.spec.completions，默认为.spec.parallelism。
Pod必须在它们之间或外部服务之间进行协调，以确定每个应该工作的内容。
每个Pod能够独立地确定是否完成了所有对等操作，从而完成整个Job任务。
当Job中的任何Pod成功终止时，则不会创建新的Pod。
一旦至少一个Pod成功终止并且所有Pod终止，则任务成功完成。
一旦任何Pod退出成功，其他任何Pod都不会为此任务做任何工作或输出。因为他们都处于退出的过程中。
对于非并行Job，您可以保留.spec.completions和.spec.parallelism。当两者都未设置时，两者都默认为1
Job终止和清理
Job完成后，不会再创建Pod，但也不会删除Pod，保留Pod是为了完成后仍能查看它的日志。 Job对象在完成后也会保留，以便你可以查看其状态。删除 job可使用kubectl delete jobs（例如kubectl delete jobs pi或kubectl delete -f job.yaml），它创建的所有pod也将被删除。
默认情况下，除非Pod失败（restartPolicy = Never）或Container出错（restartPolicy = OnFailure），否则Job将不间断运行，此时Job一旦达到.spec.backoffLimit值，Job将被标记为失败，任何正在运行的Pod将被终止。
终止Job的另一种方法是设置活跃截止期。通过将Job的.spec.activeDeadlineSeconds字段设置为秒数来执行此操作。无论创建多少个Pod，activeDeadlineSeconds都应用于Job的持续时间。一旦Job达到activeDeadlineSeconds，它的所有正在运行的Pod都将被终止，Job状态将变为type：Failed with reason：DeadlineExceeded。
请注意，Job的.spec.activeDeadlineSeconds优先于其.spec.backoffLimit。因此，重试一个或多个失败的Pod的Job在达到activeDeadlineSeconds指定的时间限制后将不会部署其他Pod，即使尚未达到backoffLimit值也是如此。
配置示例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
apiVersion: batch/v1
kind: Job
metadata:
name: pi-with-timeout
spec:
backoffLimit: 5
activeDeadlineSeconds: 100
template:
spec:
containers:
- name: pi
image: perl
command: ["perl", "-Mbignum=bpi", "-wle", "print bpi(2000)"]
restartPolicy: Never
系统中通常不再需要完成的Job。将它们保留在系统中会给API服务器带来压力。如果Job由更高级别的控制器（如CronJobs）直接管理，CronJobs可以根据指定的基于容量的清理策略清理Job。
可为Job指定成功后的TTL生命周期
1
2
3
4
5
6
7
8
9
10
11
12
13
apiVersion: batch/v1
kind: Job
metadata:
name: pi-with-ttl
spec:
ttlSecondsAfterFinished: 100
template:
spec:
containers:
- name: pi
image: perl
command: ["perl", "-Mbignum=bpi", "-wle", "print bpi(2000)"]
restartPolicy: Never
上述配置表示Job pi-with-ttl将在完成后100秒自动删除。如果该字段设置为0，则Job将在完成后立即自动删除。如果未设置该字段，则TTL控制器完成后将不会清除此Job。
请注意，此TTL机制是alpha功能参数，在Kubernetes v1.12版本中才引入。
你可以使用CronJob创建一个将在指定时间/日期运行的Job，类似于Unix工具crontab，我会在后面篇章详细讲解CronJob。

EFK收集nginx日志并展示来源IP地图

2019-08-01T05:00:00.000Z

格式化nginx日志
首先，为了方便收集nginx日志，先格式化nginx日志为json，打开nginx.conf配置文件，在http{}中添加如下日志格式化参数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
log_format logstash_json '{ "@fields": { '
'"@timestamp": "$time_iso8601", '
'"remote_addr": "$remote_addr", '
'"remote_user": "$remote_user", '
'"body_bytes_sent": "$body_bytes_sent", '
'"request_time": "$request_time", '
'"http_device_id": "$http_device_id", '
'"http_client_type": "$http_client_type",'
'"http_device_name":"$http_device_name",'
'"status": "$status", '
'"request": "$request", '
'"request_method": "$request_method", '
'"host": "$host", '
'"server_port": "$server_port", '
'"http_referrer": "$http_referer", '
'"body_bytes_sent":"$body_bytes_sent", '
'"http_x_forwarded_for": "$http_x_forwarded_for", '
'"http_user_agent": "$http_user_agent" } }';
其次，在站点配置中引用，如下示例
1
access_log logs/access.log logstash_json;
Fluentd添加地图库插件fluent-plugin-geoip
插件地址，以下为CentOS7的安装
1
2
3
yum groupinstall "Development Tools"
yum install geoip-devel --enablerepo=epel
td-agent-gem install fluent-plugin-geoip
在GeoIP官网下载免费地图数据库包(GeoLite City即可)，解压并放在路径/etc/td-agent/下，假设文件名为GeoLiteCity.dat
Fluentd添加geoip配置信息
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
# Parse IP to Geo

@type geoip

# Specify one or more geoip lookup field which has ip address (default: host)
# in the case of accessing nested value, delimit keys by dot like 'host.ip'.
geoip_lookup_keys @fields.remote_addr

# Specify optional geoip database (using bundled GeoLiteCity databse by default)
geoip_database "/etc/td-agent/GeoLiteCity.dat"
# Specify optional geoip2 database
# geoip2_database "/path/to/your/GeoLite2-City.mmdb" (using bundled GeoLite2-City.mmdb by default)
# Specify backend library (geoip2_c, geoip, geoip2_compat)
backend_library geoip2_c

# Set adding field with placeholder (more than one settings are required.)

city ${city.names.en["@fields.remote_addr"]}
#latitude ${location.latitude["@fields.remote_addr"]}
#longitude ${location.longitude["@fields.remote_addr"]}
location '[${location.longitude["@fields.remote_addr"]},${location.latitude["@fields.remote_addr"]}]'
country ${country.iso_code["@fields.remote_addr"]}
country_name ${country.names.en["@fields.remote_addr"]}
#postal_code ${postal.code["@fields.remote_addr"]}

# To avoid get stacktrace error with `[null, null]` array for elasticsearch.
skip_adding_null_record true

# Set @log_level (default: warn)
@log_level info

修改location字段默认类型为geo_point
先不要启动fluentd，需要在elasticsearch未生成nginx的索引日志时，将location字段的默认类型个性为geo_point(若不修改，默认会是float，无法生成地图数据)；直接在kibana的Dev Tools中执行如下命令(索引根据实际情况)
1
2
3
4
5
6
7
8
9
10
11
PUT _template/logstash-nginx-*
{
"template": "logstash-nginx-*",
"mappings": {
"_default_": {
"properties" : {
"location": { "type": "geo_point"}
}
}
}
}
然后开启nginx的日志收集
1
service td-agent start/restart
然后在kibana中直接创建Tile Map即可
默认地图全是英文名称，要添加高德中文名称地图支持，在kibana.yaml文件最后添加如下一行配置，并重启kibana即可
1
tilemap.url: 'http://webrd02.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&z={z}'

为个人日志

grafana-强大的可视化web面板

简介

grafana安装配置（结合prometheus）

1. 下载安装

2. 服务管理

3. 安装图像渲染依赖

配置grafana

grafana基本概念

1. 数据源

2. 组织

3. 用户

4. 行

5. 面板

6. 查询编辑器

7. 仪表板

grafana使用

1. 登录

2. 创建数据源

3. 创建或导入Dashboard仪表盘

4. grafana深入用法

grafana高可用架构搭建

mysql安装配置

mysql安装

创建grafana库及session表

grafana安装及配置

安装grafana

配置grafana

启动grafana

反向代理配置

使用grafana

dashboard共享

插件安装

haproxy2.0安装配置

1. 安装依赖

2. 安装haproxy

3. 运行

Chrony-替换你的NTP服务

Chrony

安装配置

环境

安装

配置详解

防火墙规则

设置时区

启动

常用命令

Roy学Kubernetes(22)：Kubernetes日常维护

kubernetes维护

一、 节点

1. 节点查看

2. 节点调度

3. 节点维护

4. 节点移除

二、pod

三、service

四、deployment

五、secret

六、namespace

1. 系统默认命名空间（不可删除）

2. 创新命名空间

七、lables

八、volume

ES数据备份和恢复

数据备份

Es 基础命令

准备工作

Snapshot

数据恢复

Roy学Kubernetes(21)：Persistent Volumes

概述

PV和PVC的生命周期

存储供应

Roy学Kubernetes(20)：Volumes

背景

volumes类型

awsElasticBlockStore

azureDisk

azureFile

cephfs

一、节点