K8S容器内存限额及JVM参数配置在Java虚拟机（JVM）中，有三种非堆内存，分别是metaspace、code_cache和non-heap。默认情况下，非堆内存总占用内存在400M左右，设置容器内存限额时，参考公式:内存限额=非堆内存(400M)+堆内存(1200M)+系统内存(200M)/80%,其中80%为内存告警线,计算之后约为2250MMetaspace：是Java8中新增的永久代替代方案，用于存储类的元数据信息。它的大小不是固定的，而是根据需要动态增长。它的扩展是通过操作系统的虚拟内存实现的。Metaspace大小可以通过JVM参数进行调整。-XX:MetaspaceSize=

问题描述K8s版本1.23.6calico-node-反复重启，READY状态一直为0，STATUS为CrashLoopBackOff，查看节点日志#calico-node-xxx对应pod名称kubectllogscalico-node-xxxx-nkube-system没有错误，只有info信息但是一直反复重启，导致coredns一直处于未准备好状态最后试出来的结论calico与k8s的版本未匹配解决：删除calico，重新安装对应k8s版本先删除calicopod#删除calicopodkubectldelete-fcalico.yaml删掉calico.yaml文件rm-fcalico

只有一个问题，原来的httpGet存活、就绪检测一直不通过，于是改为tcpSocket后pod正常。wgethttps://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml修改后的yaml文件，镜像修改为阿里云apiVersion:v1kind:ServiceAccountmetadata:labels:k8s-app:metrics-servername:metrics-servernamespace:kube-system---apiVersion:rbac.authoriz

在上一期 k8s-服务网格实战-配置Mesh 中讲解了如何配置集群内的Mesh请求，Istio同样也可以处理集群外部流量，也就是我们常见的网关。图片其实和之前讲到的k8s入门到实战-使用Ingress Ingress 作用类似，都是将内部服务暴露出去的方法。只是使用 Istio-gateway 会更加灵活。图片这里有一张功能对比图，可以明显的看出 Istio-gateway 支持的功能会更多，如果是一个中大型企业并且已经用上Istio后还是更推荐是有 Istio-gateway，使用同一个控制面就可以管理内外网流量。创建Gateway开始之前首先是创建一个 Istio-Gateway 的资源：

kafka在3.x版本后增加KRaft作为自己的注册中心，可以不依赖外部的zk；这里上一篇已经部署好了zk，kafka依然使用zk作为注册中心。这里使用kafka是为集成zipkin收发微服务接口链路日志数据，只需要部署1个实列即可够用。编写脚本yamlvikafka.yamlapiVersion:apps/v1kind:Deploymentmetadata:name:kafkanamespace:defaultspec:replicas:1strategy:type:RollingUpdaterollingUpdate:maxSurge:1maxUnavailable:0revisionHi

1、将新的config文件替换到制定的目录下通常情况下，Kubernetesconfig文件的默认位置为：Linux/macOS：~/.kube/config（当前用户的主目录下的.kube/config文件）Windows：%USERPROFILE%\.kube\config（当前用户的主目录下的.kube\config文件）2、列出所有的命名空间kubenssunyuhua@sunyuhua-PC:~$kubensinfraglobaltraefikdev-mgmtkube-systemkube-publiclogginguat-mgmtkube-node-lease3、切换到自己所需要的

题目：RBAC权限控制Context绑定到Pod的ServiceAccount的Role授予了过度宽松的权限。请完成以下项目以减少权限集。Task一个名为 web-pod 的现有Pod已在namespace db 中运行。编辑绑定到Pod的ServiceAccount service-account-web 的现有Role，仅允许只对 services 类型的资源执行 get 操作。在namespace db 中创建一个名为 role-2 ，并仅允许只对 namespaces 类型的资源执行 delete 操作的新Role。创建一个名为 role-2-binding 的新RoleBinding

使用kubectl连接远程Kubernetes集群环境准备下载kubectl下载地址安装kubectl并处理配置文件Windows的安装配置安装kubectl拉取配置文件Mac的安装配置安装kubectl拉取配置文件kubectl命令自动补全Linux的安装配置安装kubectl拉取配置文件kubectl命令自动补全环境准备你需要准备一个Kubernetes集群，你要记下你安装Kubernetes的版本。如图我已经准备好了一个版本号为v1.21.14的集群：下载kubectl下载地址注意下载的版本号最好与你安装的Kubernetes版本对应上，各个版本的下载地址（⚠️注意修改url中的版本号）

概述：FATE(FederatedAITechnologyEnabler)是一个联邦学习框架，能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下，进行数据使用和建模。但由于其系统的分布式特性，导致使用存在一定门槛。鉴于此，微众银行联合VMware一起开发了KubeFATE项目，致力于降低FATE的使用门槛和系统运维成本。本文将首先分析FATE的整体架构，帮助读者理解各部件的作用；然后将展示如何从一台Linux机器开始，通过KubeFATE一步一步来搭建联邦学习的实验环境。（这些全部都是官方的介绍大家稍微看一下就好）这篇博客详细记录了我如何按照官方文档在一台CentOS7的虚拟机上

服务发现-Service：Service、Endpoint、Pod之间的关系与原理1.关系简介2.网络访问1.关系简介在Kubernetes中，Service是一种抽象的逻辑概念，用于将一组具有相同功能的Pod组合成一个逻辑服务。Service提供了一种稳定的IP地址和DNS域名，供客户端访问这个逻辑服务。同时，Service还提供了负载均衡、会话保持等功能，可以很方便地实现服务发现与调用。在Kubernetes中，Service和Endpoint是密切相关的两个概念。Endpoints就是一组具体的Pod的IP地址和端口信息，它是Service的一部分。当一个新的Service被创建时，Ku