关注迪答数据公众号获取更多技术/数据干货文章 文章传送门：数据治理之指标体系管理管理容器的计算资源参考文档：Kubernetes ManagingComputeResourcesforContainers(opensnewwindow)https://kubernetes.io/docs/concepts/configuration/manage-compute-resources-container/概述在Kubernetes中创建工作负载时，您可以为Pod中的每一个容器指定其所需要的内存（RAM）大小和CPU数量。如果这些信息被指定了，Kubernetes调度器可以更好的决定将Pod调度

Kubernetes中有状态的资源对象——StatefulSet一、StatefulSet资源对象需求背景二、在Yaml文件中定义StatefulSet资源对象2.1StatefulSet资源对象状态2.2StatefulSet资源对象定义2.3StatefulSet资源对象三、StatefulSet资源对象的使用一、StatefulSet资源对象需求背景现在基本上很多服务中的应用都是有状态的，比如MySQL数据库、Redis等，因为其中的数据在不断地变化，所以这些应用每个时刻都处于一个不同的状态。或者一个系统中存在多个不同的应用，这些应用存在一定的依赖关系。例如一个博客服务，该服务中包含了R

需求&背景K8s内，要对做内部域名解析的劫持，解析*.lol.com至172.34.18.12。通过在coredns的配置文件配置*.lol.com的泛域名解析（如下所示），能够解析成功。但是在容器内部解析公网/内部地址慢。正常的http请求花费5-6秒。templateINAlol.com{match.*\.lol\.comanswer"{{.Name}}60INA172.34.18.12"fallthrough}问题解决DNS解析慢可能出现的问题在解析链路的各个环节。我们按照解析的路径逐步排查。在K8s内部从发起解析的设备，到K8s的DNS服务（coredns）。1）在需要解析域名的容器抓

1.定义在Kubernetes（常简称为k8s）中，特权模式是指让Pod中的容器能以类似于主机root用户的权限运行。当容器以特权模式运行时，它能够访问主机的资源和操作系统的功能，几乎不受限制。这通常用于特定的用例，比如当你需要容器内的应用程序进行操作系统层面的管理任务时（例如，使用系统调用或访问硬件设备）。另一个常见的使用场景是运行网络插件或存储插件，这些插件需要对底层宿主机的改动或检测。启用特权模式的容器可以通过KubernetesPod定义中的安全上下文（SecurityContext）来配置。以下是一个示例片段，展示了如何在Pod配置中为容器设置特权模式：apiVersion:v1ki

K8s集群往往会因为组件的不安全配置存在未授权访问的情况，如果攻击者能够进行未授权访问，可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞，主要包括APIServer未授权访问、kubelet未授权访问、etcd未授权访问、kube-proxy不安全配置、Dashboard未授权访问。接下来，我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、APIServer未授权访问APIServer是集群的管理入口，任何资源请求或调用都是通过kube-apiserver提供的接口进行。默认情况下，APIServer提供两个端口服务，8080和6443，配置不当将出现未授权访问。808

文章目录K8s部署EFK（elasticsear+filebeat+kibana）日志收集一.准备镜像二.搭建Elasticsearch+kibana1.在可执行kubectl命令的服务器准备安装的yml文件2.在elasticsearch-kibana目录下创建配置文件elasticsearch.yml3.创建kibana配置文件kibana.yml4.在k8s中创建elasticsearch和kibana的配置文件configmap5.检查是否有StorageClass6.创建es-kibana的yaml配置文件:es-statefulset.yaml7.创建es-kibanacluser

文章目录1.引言2.解决步骤2.1查看kubelet状态2.2查看kubelet日志2.3kubeadm重新初始化2.3.1kubeadm重新设置2.3.2kubeadm初始化2.3.3配置kubectl工具，使其生效2.3.4验证kubectl是否生效2.3.5安装flannel2.3.6查看基础的pod状态2.3.7其他节点加入3.参考1.引言有时kubectl执行命令时出现问题，无法连接kube-apiserver，报错如下：[root@master~]#kubectlgetnoTheconnectiontotheserver192.168.127.128:6443wasrefused-

常见现象：Pod一直处于Pending状态。废话不多说，直接上料。可能原因1：Pod未被调度到节点上。当Pod一直处于Pending状态时，说明该Pod还未被调度到某个节点上，需查看Pod分析问题原因。例如执行：kubectldescribepod可能原因2：检查Node节点的状态Pod在Kubernetes中必须运行在Node节点上。因此，如果没有可用的Node节点或者Node节点不可用，Pod就会被挂起。可以使用kubectlgetnodes命令检查Node节点状态是否正常。如果有节点处于NotReady状态，则需要检查该节点的状态或者考虑添加新的节点。kubectlgetnodes可能原

一、背景在服务器测试启动防火墙的影响时，启动防火墙，再关闭防火墙后，本服务器的调度出现错误，导致pod无法启动。如下图所示：二、解决思路查看pod的描述：与kuboard提示的信息一致。查看集群状态：发现也是正常的。猜测：由于之前好使，开关防火墙可能导致网络的问题。导致网络假死。故重启kubelet试试：systemctlrestartkubelet然后重启服务：发现此时，该服务长时间不能启动，会反复尝试删除上一个pod，新建pod。查看其他资料也没有发现什么，最后想了想，决定重启docker试试。systemctlrestartdocker问题直接消失不见，如下：查看日志服务日志，也正常。有

在Kubernetes中，节点驱逐是一种管理和维护集群的重要操作，允许节点在维护、升级或者发生故障时从集群中移除，等到节点修复后，再重新承担pod调度功能。1.K8s节点驱逐节点驱逐是指将节点上运行的Pod迁移到其他可用节点上，并暂时从集群中移除目标节点。这个操作通常在节点维护、系统升级、硬件故障或者其他需要暂时离线节点的场景下使用。2.使用场景节点维护在进行节点维护时，需要将节点暂时移除，确保Pod能够在其他节点上继续运行。有一点要注意，在节点驱逐前，要保持集群中服务多副本，否则驱逐过程中可能会导致业务不可用节点升级当需要对节点进行Kubernetes版本升级或者操作系统升级时，可以使用节点