问题环境是4台机器，master、node1、node2、harbor，pod状态正常，但是无法访问CLUSTER-IP，每台虚拟机网路都是Nat模式，平时可以互相ping通能够访问外网，但是master中无法访问CLUSTER-IP，在对应的节点上访问服务可以显示正常信息CLUSTER-IPpod状态查看节点，发现之前是Ready，现在子节点有点不正常查看svc情况，可以看到kube-proxy也起来了kubectlgetsvcnetstat-anpt|grep:ip访问解决整合了一些自己尝试的网上解决的方法，在此记录下来一、修改k8s的配置文件，将网络模式类型修改为Nodeport（这是基

具体的错误信息klogs-felasticsearch-0-nkube-system"stacktrace":["org.elasticsearch.bootstrap.StartupException:ElasticsearchException[failedtobindservice];nested:AccessDeniedException[/usr/share/elasticsearch/data/nodes];","atorg.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:163)~[elasticsear

目录一、描述二、监控流程三、Kubernetes监控指标四、使用Prometheus监控k8s一、描述Cadvisor+node-exporter+prometheus+grafana是一套非常流行的Kubernetes监控方案。它们的功能如下:-Cadvisor:容器资源监控工具,可以实时监控CPU、内存、存储、网络等容器指标,并暴露Metrics接口。-node-exporter:节点级指标导出工具,可以监控节点的CPU、内存、磁盘、网络等指标,并暴露Metrics接口。-Prometheus:时间序列数据库和监控报警工具,可以抓取Cadvisor和node-exporter暴露的Metr

原创文档编写不易，未经许可请勿转载。文档中有疑问的可以邮件联系我。邮箱：yinwanit@163.com说明Centos7系列操作系统在安装k8s时可能会遇到hostPathtypecheckfailed：/sys/fs/bpfisnotadirecctory错误，该问题为内核版本过低导致的。/sys/fs/bpf在4.4版本中的内核中才有，对于版本比较高得k8s集群建议升级内核到4.4以上。该操作需要在能够连接互联网环境机器上进行。步骤概述查看确认当前内核导入镜像key安装elrepoyum源安装内核更改内核默认启动顺序确认内核升级成功操作过程一、确认当前内核内核版本小于4.4#uname-

一、Kubernetes1.24版本发布及重磅改动2022年5月3日，Kubernetes1.24正式发布，在新版本中，可以看到Kubernetes作为容器编排的事实标准，正愈发变得成熟，有12项功能都更新到了稳定版本，同时引入了很多实用的功能，例如StatefulSets支持批量滚动更新，NetworkPolicy新增NetworkPolicyStatus字段方便进行故障排查等。Kubernetes正式移除对Dockershim的支持，讨论很久的“弃用Dockershim”也终于在这个版本画上了句号：二、基础环境部署①前期准备（所有节点）Kubernetes相关学习请参考：Kubernete

1、jenkins在k8s内部署（请参考其他人的文章）2、jenkins安装kubenents相关插件3、配置k8s云        非常重要,目的是实现jenkins可以远程调用k8s进行部署，并可实现安装jenkins-slave进行构建。使得不再依赖jenkins单机能力进行构建，比较适合一定规模的公司。 插件安装后，打开jenkins，点击系统管理-->系统配置-->Clouds，点击新增一个kubernetes。具体配置见如下：3.1首先配置K8S地址 3.2为K8S云创建PodTemplates目的是在jenkins构建的时候，可以自动在K8S内创建一个POD服务于本次构建。以JA

应用流程安全1应用流程安全1.1镜像安全1.1.1构建原则1.1.2Dockerfile实践1.1.3构建进阶1.1.4镜像检测1.1.5仓库升级1.1.6高可用仓库1.1.7镜像策略1.2配置管理1.2.1配置基础1.2.2YAML安全1.2.3kustomize1.2.4基础实践1.2.5功能复用1.2.6配置定制1.2.7补丁实践1.3访问安全1.3.1安全检测1.3.3简单实践1.3.3虚拟主机1.3.4四层实践1.3.5策略实践1应用流程安全1.1镜像安全1.1.1构建原则学习目标这一节，我们从基础知识、原则解读、小结三个方面来学习。基础知识k8s平台使用业务环境生产中使用k8s操作

一、kube-proxy简介kube-proxy是kubernetes中网络核心组件，实现了服务暴露和转发等网络功能。kube-proxy支持userspace，ipvs和iptables三种代理模式。userspace性能问题较严重，基本不再使用，应用最多的是iptables和ipvs模式。kube-proxy以daemonset的方式运行在每个Node计算节点上，负责Pod网络代理,它会定时通过apiserver从etcd服务获取到service和endpoint资源的变化，维护网络规则和四层负载均衡工作。在K8s集群中微服务的负载均衡是由Kube-proxy实现的，它是K8s集群内部的负

使用vmWare虚拟机部署K8S集群，将虚拟机挂起重启后其中一个节点显示notReady状态，为解决该问题，进行了如下处理。 先在master节点确定问题1.查看node节点的详细信息kubectldescribenodenode01没有找到问题。2.确定不存在网络问题在node节点，执行下述命令pingmaster3.查看kubelet状态在node节点，执行下述命令systemctlstatuskubelet有报错信息，但不全。执行下述命令，查看更详细日志信息journalctl-ukubelet-f4.结论 在第3步打开的日志中看出，该node节点在尝试删除master节点上的管理pod

一、介绍Etcd被形容为Kubernetes集群的大脑，是Kubernetes的关键组件，因为它存储了集群的整个状态：其配置，规格以及运行中的工作负载的状态。在Kubernetes世界中，etcd用作服务发现的后端，并存储集群的状态及其配置。Etcd被部署为一个集群，几个节点的通信由Raft算法处理。在生产环境中，集群包含奇数个节点，并且至少需要三个。关于etcd本文的主角是etcd。名称“etcd”源自两个想法，即unix“/etc”文件夹和“d”分布式系统。“/etc”文件夹是用于存储单个系统的配置数据的位置，而etcd用于存储大规模分布式的配置信息。因此，分配了“d”的“/etc”就是“