题目：k8sKube-Bench不安全项修复Context:针对kubeadm创建的cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。Task:通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。修复针对API服务器发现的所有以下违规行为：1.2.7Ensurethatthe--authorization-modeargumentisnotsettoAlwaysAllow FAIL1.2.8Ensurethatthe--authorization-modeargumentincludesNode FAIL1.2.9Ensurethatthe--authorizat

1.查看阿里云的nginx-ingress配置文档https://help.aliyun.com/document_detail/42205.html容器K8s配置方案如果您的服务部署在K8s上，K8s会将真实的客户端IP记录在X-Original-Forwarded-For字段中，并将WAF回源地址记录在X-Forwarded-For字段中。您需要修改容器的配置文件，使Ingress将真实的IP添加到X-Forwarded-For字段中，以便您正常获取真实的客户端IP地址。您可以参考以下步骤，对容器配置文件进行修改。执行以下命令修改配置文件kube-system/nginx-configur

从零在单机上搭建k8s，kubeflow1.7机器学习平台前言kubeflow是在k8s之上搭建的机器学习平台，涵盖了机器学习的开发、训练、优化、部署、管理阶段。由于我是在单机上进行的，故k8s环境是基于kind来进行快速搭建。Kind是一个通过使用docker容器模拟节点来创建本地k8s集群的工具。综上，不难看出，kubeflow依赖于k8s，kind创建的k8s位于docker容器中。一、基础环境准备centos版本：CentOSLinuxrelease7.6.1810docker版本：24.0.7kind版本：0.17.0[注：kind0.17.0默认用的是v.1.25.3版本k8s]k

openelb的介绍具体根据官方文档进行安装官方文档,这里作为测试环境的安装使用.OpenELB是一个开源的云原生负载均衡器实现，可以在基于裸金属服务器、边缘以及虚拟化的Kubernetes环境中使用LoadBalancer类型的Service对外暴露服务。OpenELB项目最初由KubeSphere社区发起，目前已作为CNCF沙箱项目加入CNCF基金会，由OpenELB开源社区维护与支持。与MetalLB类似，OpenELB也拥有两种主要工作模式：Layer2模式和BGP模式。OpenELB的BGP模式目前暂不支持IPv6。layer2ModeBGPMode准备k8s的环境千云物流测试环境部

集群中的每个节点都可以分配多个角色：master、data、ingest、ml（机器学习）等。我们在当前讨论中感兴趣的角色之一是master角色。在Elasticsearch的配置中，我们可以配置一个节点为master节点。master角色的分配表明该节点是具有当选主节点资格的节点（master-eligible）。在讨论主节点资格之前，让我们了解主节点的重要性。更多关于节点描述的内容，可以参考之前的文章“Elasticsearch中的一些重要概念:cluster,node,index,document,shards及replica”。MasternodeMasternode，也即主节点。主节

 1、namespace名称空间用来对集群资源进行隔离划分，默认只隔离资源，不隔离网络k8s默认的名称空间为default查看k8s的所有命名空间kubectlgetnamespace或者kubectlgetns创建名称空间kubectlcreatens名称或使用yaml方式 编写yamlkubectlapply-fyaml文件appVersion:v1kind:Namespacemetedata:name:helloappVersion表示版本号，kind表示种类（说明是名称空间，若是pod就是pod类型），metedata.name表示名称为hello的名称空间删除yaml方式创建的名称空

K8s网络管理flannel1网络管理1.1Service1.1.1网络体系1.1.2工作模型1.1.3SVC实践1.1.4IPVS实践1.2其他资源1.2.1域名服务1.2.2CoreDNS1.2.3无头服务2容器网络2.1网络方案2.2flannel2.3主机网络1网络管理1.1Service1.1.1网络体系应用流程资源对象体系通过对Pod及其管理资源RC和Deployment的实践，我们知道，我们所有的应用服务都是工作在pod资源中，由于每个Pod都有独立的ip地址，大量的动态创建和销毁操作，虽然pod资源的数量是控制住了，但是由于pod重新启动，导致他的IP可能发生了变化，假设我们这

遇到问题：Yourbranchisaheadof'origin/master'by2commits. (use"gitpush"topublishyourlocalcommits)首先一定要自己手动备份一份代码防止意外这个消息表示你的本地分支比远程仓库的master分支超前了2个提交。这通常发生在你在本地进行了一些提交，但还没有将这些提交推送到远程仓库。我选择撤回之前的两次提交（具体次数根据实际情况）首先在gitbash中使用gitlog命令查看最近的提交情况 我想要恢复到5-7这个版本所以我使用gitreset--hardHEAD~2回溯到两次提交之前  此时如图再次查看log，发现已经恢复

搭建多主节点k8s高可用集群(三主两从一VIP）一、前期环境准备安装要求集群所有机器都要操作一台或多台机器，操作系统CentOS7.x-86_x64硬件配置：2GB或更多RAM，2个CPU或更多CPU，硬盘20GB或更多集群中所有机器之间网络互通可以访问外网，需要拉取镜像禁止swap分区服务器配置高可用集群（三主两从一VIP）主机名ip地址配置需要用到的服务备注主k8s-master1172.16.12.1112C/2G/20Gkubeadm,docker,keepalived,haproxy主k8s-master2172.16.12.1122C/2G/20Gkubeadm,docker,ke

leader-election选主机制1为什么需要leader-election？在集群中存在某种业务场景，一批相同功能的进程同时运行，但是同一时刻，只能有一个工作，只有当正在工作的进程异常时，才会由另一个进程进行接管。这种业务逻辑通常用于实现一主多从。如果有人认为，传统应用需要部署多个通常是为了容灾，而在k8s上运行的Pod受控制器管理，如果Pod异常或者Pod所在宿主机宕机，Pod是可以漂移到其他节点的，所以，不需要部署多个Pod，只需要部署一个Pod就行。k8s上的Pod确实可以漂移，但是，如果宿主机宕机，k8s认为Pod异常，并在其他节点重建Pod是有周期的，不能在查询不到Pod状态时