在Kubernetes中，Service和Endpoints是两个重要的概念，它们之间存在着密切的关系。Service：Service是Kubernetes中用于定义一组Pod的访问方式的抽象。通过创建Service，可以为一组具有相同标签的Pod提供统一的访问入口，使得客户端可以通过Service来访问这些Pod，而无需了解其具体的IP地址和端口号。Service通过标签选择器（selector）来选择匹配的Pod，并将请求转发到这些Pod上。Endpoints：Endpoints是Kubernetes中的另一个资源对象，它存储了与一个Service相关联的实际后端Pod的列表和对应的网络终

目录Metarget：云原生靶机环境CDK：容器环境定制的渗透测试工具container-escape-check：容器逃逸检测

k8s部署ingress-nginx前言一、ingress-nginx是什么二、ingress-nginx实现原理三、部署ingress-nginx四、编写使用Ingress样例代码总结前言k8s服务对外暴露有三种方式NodePort,LoadBalancer,IngressNodeport:服务暴露需要在集群每个节点都开放一个同样的端口，通过nodtIp:nodePort来访问，如果服务数量多了，开放的端口就难以管理LoadBalancer:大部分情况下只适用于支持外部负载均衡器的云提供商（AWS,阿里云,华为云等）使用。每个服务都会由云服务提供一个IP作为入口，转发相应的流量，但每个Loa

文章目录一、概述1）采集Pod日志流程介绍3）采集Events日志流程介绍二、K8s集群部署三、ElasticSearch和kibana环境部署四、Filebeat采集配置1）采集Pod日志配置2）采集Events日志配置1、创建filebeat授权token2、filebeat配置一、概述要使用Filebeat采集Kubernetes中的Pod和Events日志，您需要配置Filebeat以适应这两种类型的数据。以下是详细说明：1）采集Pod日志流程介绍Pod日志是容器内产生的日志数据。Filebeat可以监控这些日志并将它们发送到中央存储或分析系统。下面是如何配置Filebeat来采集Po

一、pod的镜像拉取策略1.镜像拉取说明当你在创建容器时会针对指定的镜像来进行容器的创建，所以pod的创建是以镜像为基础。当你在拉取镜向不指定仓库的主机名，Kubernetes认为你在使用Docker公共仓库。在镜像名称之后，你可以添加一个标签（Tag）（与使用docker或podman等命令时的方式相同）。使用标签能让你辨识同一镜像序列中的不同版本。镜像标签可以包含小写字母、大写字母、数字、下划线（）、句点（.）和连字符（-）。关于在镜像标签中何处可以使用分隔字符（、-和.）还有一些额外的规则。如果你不指定标签，Kubernetes认为你想使用标签latest镜像拉取的策略首先在资源式声明中

minikube部署对外访问配置我们现在大家都知道了minikube集群相当于k8s的一个虚拟机。同时pod每次消亡重建之后都会分配一个虚拟的ip，这个ip可供集群内部访问，但是如果要对外访问呢？我们可以给他暴露ip出来，但是如果pod宕机后重建ip就发生了变化，所以不能对pod进行ip的暴露。那应该对什么进行暴露呢?我们首先需要了解service，简而言之，为了解决pod动态变化的虚拟ip，因此service相当于某组pod的外部访问接口。因此我们对service为单位进行ip的暴露即可。这同时也解决了在minikube中一开始学习的时候必须要进入minikube之后才可以访问pod的问题。

Rancher部署k8s集群服务器规划：建议起码四台机器用来部署，机器为centos7.7及以上，所有机器都需要安装docker一台机器用来作为rancher服务端，一台机器用来作为k8smaster节点，另外两台作为k8sworker节点；如果条件允许的话，k8smaster节点和k8sworker节点可以部署多台；这里以172.16.104.108为rancher服务端和k8smaster节点、172.16.104.109、172.16.104.105为k8sworker节点为例进行举例1、所有机器centos7.7基本环境配置安装基本软件包 （这里可以根据机器情况进行调整）yuminst

飞鼠异地组网工具实战之访问k8s集群内部服务一、飞鼠异地组网工具介绍1.1飞鼠工具简介1.2飞鼠工具官网二、本次实践介绍2.1本次实践场景描述2.2本次实践前提2.3本次实践环境规划三、检查本地k8s集群环境3.1检查k8s各节点状态3.2检查k8s版本3.3检查k8s系统pod状态四、本地部署wordpress服务4.1创建部署目录4.2创建密码文件4.3创建命名空间4.4创建secret资源对象4.5查看secret资源对象状态4.6编辑wordpress.yaml文件4.7部署wordpress服务4.8检查pod状态4.9查看service状态五、本地访问wordpres服务5.1wo

k8spod访问集群外域名原理以及使用了systemd-resolved的不同情况1、不同情况下的linux主机访问外部域名原理没有使用systemd-resolved的linux主机上访问外部域名一般是按照以下步骤来的：从dns缓存里查找域名与ip的映射关系从/etc/hosts里查找域名与ip的映射关系从/etc/resolv.conf里查找dnsserver，并发起解析请求/etc/resolv.conf的内容一般如下：nameserver8.8.8.8使用systemd-resolved的linux主机上访问外部域名一般是按照以下步骤来的：从dns缓存里查找域名与ip的映射关系从/et

公众号「架构成长指南」，专注于生产实践、云原生、分布式系统、大数据技术分享前言最近在搞K8S的监控告警平台选型，对比了目前比较流行两款开源平台kube-prometheus、夜莺，也踩了一些坑分享一下kube-prometheus项目地址：https://github.com/prometheus-operator/kube-prometheus目前使用最广泛的k8s的开源监控告警平台，在prometheus基础上，增加了对k8s的各种指标的监控，使用了KubernetesOperator进行了封装，几乎可以一键部署，部署起来以后登录Grafana，就可以看到各种指标，如下图优点生态好，基于p