- ACK集群升级策略:集群默认分批升级,第一批升级节点数为1,后续以2的幂次增长,暂停后重新恢复的第一批次为1,后续也是以2的幂次增长,每一批节点的最大数量不会超过总数的10%
- 生成服务器证书和私钥的前提:创建证书和私钥
- 基于VPC环境搭建flannel的步骤:创建专有网络、配置容器网络模式、创建应用
- Kubernetes日志主要分为:Runtime日志、主机内核日志、核心组件日志、应用部日志
- 容器跨主机通信,有3种方案:直接路由、地址端口映射、数据包封包解包(隧道)
- 可以直接配置pod的阿里云产品:ACK,ASK
- ACK弹性伸缩应用场景:在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定期周期性负载变化等
- ACK弹性伸缩两个维度:调度层弹性、资源层弹性
- ACK Pro集群应用场景:互联网企业、大数据计算企业、开展中国业务的海外企业、金融企业
- Terway的网络架构支持的网络模式:VPC,ENI
- 阿里云flannel vs k8s flannel优点:基于vpc的flannel网络层面无封包,性能提升
- ACK三种伸缩方式,其分别的适用场景:
- HPA(水平伸缩):主要用于在线业务
- VPA(垂直伸缩):主要用于大型单体应用
- CronVPA(周期性伸缩):主要用于周期性负载业务
-
删除命名空间finalizers的原因:快速清除处于终止状态的命名空间
-
微服务负载均衡策略:轮询、最小连接、随机
-
需要为每一个Deployment部署独立的Sidecar来定义注入配置
-
基于CSI标准,阿里云存储提供的方式:本地存储、NAS、EBS、OSS
-
手动发布创建一个灰度发布步骤:创建灰度发布、创建测试应用、执行灰度发布
-
ACK支持的应用调度方式:应用间亲和性调度、节点间亲和性调度、应用间反亲和性调度
-
Alibaba Cloud Linux 2优点:
- 启动速度比Centos7快很多
- 优化了Linux网络栈
- 公共镜像,免费使用
- 具有更高效的系统调用
- ACK托管版的worker节点数量,官方建议2台,但实际上1台也能跑
- Annotation需要配置在Pod Spec下
- 适合DaemonSet的业务场景:glusterd或者ceph等提供持久性存储的工具、集群监控、客户端主机部署的node-exporter进程、node-exporter进程
- ACK存储CSI存储形态OSS适合媒体、图片等媒体文件只读场景
- 如果不是首次登录容器服务的控制台,且忘记密码,我们可以:配置访问凭证
- 关于抢占式实例,正确的说法:
- 使用不受抢占式实例释放影响的存储介质来保存重要数据
- 适用于无状态的应用场景,例如可伸缩的web站点服务、图像渲染、大数据分析和大规模并行计算等
- 集群网络系统是阿里云容器服务ACK的核心部分,它主要解决的问题:
- container <-> container
- pod <-> pod
- pod <->service
- service <-> outerspace
- ACK集群中各组件通信时,需要配置TLS证书校验,来保证链路的数据传输安全
- Terway相较于flannel的优势:性能、安全、SLB负载均衡、地址管理
- ACK相比自建k8s的优势:
- 控制台一键创建集群
- 支持灰度、蓝绿、Helm等多种发布方式
- 集群一键升级
-
ACK监控类型:资源监控、性能监控、服务监控、事件监控
-
容器服务ACK集群,基础应用部署方式:Deployment和Statefulset
-
ACK和SLS进行了高度集成,支持的审计日志类别:ingress路由流量审计、事件监控审计、集群API Server审计日志
-
资源操作告警方式:短信、钉钉机器人、邮件、自定义webhook、通知中心
-
构建仓库与镜像的后续步骤:创建Deployment、StatefulSet、Job
-
在私有gitlab对话框中,需要输入:Gitlab url,username,Access Token
-
配置证明者及验签策略需要登录云安全中心
-
阿里云容器镜像服务内的构建服务可以从代码源绑定
-
ACK使用自动发布模式,配置高级选项时,关于”允许失败次数“,指的是健康检查失败次数
-
配置公网的访问控制策略的前提条件:打开公网的访问入口
-
在kubernetes集群中可以看到镜像被成功更新
-
请确保 Code 项目的 Project Name 与路径名称保持一致,避免 Code 代码修改后,Hub 自动构建失败
-
Code 账号名修改后,无法构建。 请登录工单系统提交工单,目前需要订正相应的数据
-
使用角色扮演进行跨账号拉取时A用户下的ACK集群的Worker RAM角色有扮演B用户(RAM角色)的权限
-
阿里云ACK的安全体制中,可信软件供应链能够提供镜像扫描、容器就在阿⾥云容器服务ACK的安全体系中,以下哪⼀项是能够提供镜像扫描、容器就像签名、DevSecops等功能,实现云原⽣应⽤的安全交付
-
在创建ACK Kubernetes集群过程之前,需要进行RAM和RBAC授权方式
-
在阿里云容器网络中,flannel网络插件中Backend可以通过以下后端机制进行转发:
- Vxlan
- UDP
- host-gw
- 阿里云容器服务ACK可观测性体系有日志和监控两个体系构成
- 阿里云容器服务ACK容器网络配置中,Terway网络插件支持独占ENI和共享ENI两种弹性网卡模式
- Terway的网络架构支持VPC和ENI两种网络模式
- 基于VPC网络环境,搭建Flannel网络模型的步骤:创建专有网络;配置容器网络模式;创建应用
- 阿里云容器服务ACK的优点:敏捷、弹性、可移植性(与底层解耦)
- 阿里云容器服务的应用发布方式,支持灰度发布和蓝绿发布两种
- 阿里云容器服务ACK节点自动弹性伸缩时,配备worker节点的信息伸缩模式有:标准模式、极速模式
- 阿里云容器服务ACK使用灰度发布的手动发布方式时,首先必须具备以下哪些前提条件:
- 已创建Deployment结构的应用
- 完成创建一个服务
- 完成创建一个路由
- CPU/Memory资源和规格配置有:指定CPU和Memory;抢占式实例;指定Pod的ECS规格
- 为pod配置NTP服务的操作:创建配置NTP服务的yaml文件,将yaml文件中的配置应用到pod
- 如何为pod配置时区?-- 创建一个configmap,导入需要指定的时区;创建配置时区的yaml文件;将yaml文件中的配置应用到pod
- 验证是否为pod配置了时区的操作有:获取pod信息;进入容器;查询pod的时区
- 创建灰度发布模式时候,配置自动发布模式区别于手动发布的模式,主要需要注意的问题是:
- 使用自动发布模式时,需要编辑发布对象里面的YAML以设置需要更新的新版本Deployment
- 需要设置权重调整步长
- 如果集群节点和Pod不能直接访问SLB地址,请求可能经过以下过程:
- 会被当做服务的扩展ip地址
- 会被kube-proxy的iptables转发
- 会被ipvs转发
- 应用负载管理支持以下应用负载类型:Deployment、StatefulSet、Job/CronJob、Pod、CRD等原生kubernetes负载类型
- Pod支持阿里云块存储和阿里云文件存储
- 如何在ACK集群中部署示例应用?
- 为default命名空间开启自动注入
- 通过kubectl连接集群
- 创建httpbin的yaml文件、创建httpbin应用
- 验证应用
- 如何保留请求端源ip?
- 用externalTrafficPolicy: Local保留请求方客户端源IP
- 使用X-Forwarded-For HTTP标头或代理协议保留请求方客户端源IP
- 如何获取链路追踪Tracing Analysis的接入点地址?
- 登录链路追踪Tracing Analysis控制台
- 查看接入点地址
- Kubernetes中的自动伸缩的两个维度:集群自动伸缩器CA和水平自动伸缩器HPA
- 查看自动伸缩状况的具体内容:查看pod数量、查看预留时间
- 在ACK部署Dubbo服务包,需要部署一个consumer服务,一个v1 provider服务,一个v2 provider服务
- 需要查看的监控数据包括:查看prometheus网络监控指标数据、查看Grafana网格监控指标数据
- 借助RAM和STS,可以使不同的RAM用户拥有访问镜像资源的不同权限、临时的访问
- 若想要授予RAM用户容器镜像控制台相关权限,可以使用哪些典型场景的自定义策略?
- 授予RAM用户容器镜像控制台查看企业版实例权限
- 授予RAM用户容器镜像控制台企业版实例下的某个命名空间的读写权限
- RAM用户或者STS方式访问镜像服务API时,镜像服务会向RAM进行权限检查,以确保调用者拥有相应权限。每个API会根据API的语义、涉及到的资源来确定需要检查资源类型的权限
- Docker Version能看出的信息:
- Docker是社区版还是企业版
- Docker版本号
- Docker是服务端还是客户端
- 托管版ACK集群建议使用的场景:弹性业务伸缩场景、DevOps持续交付、云原生AI、微服务架构、混合云架构
- ACK监控服务提供了标准的云原生接口,可以打通到以下监控:ARMS APM(性能监控)、SLS(日志服务)、AHAS(架构感知)、XTrace(链路追踪)
- 阿里云容器服务ACK的使用流程分为四个步骤,分别为:授权账户、部署应用、创建集群、运维管理(集群运维+应用运维)
- 通过哪些方式可以连接到ACK集群? -- SSH、CloudShell、Kubectl、ServiceAccount Token、公网访问集群API
- 阿里云容器服务ACK与日志服务SLS集成,可以实现采集以下哪几种不同类型的日志?
- APIServer等核心组件的日志
- Service Mesh/Ingress等接入层的日志
- 应用的标准日志
- 阿里云容器服务Kubernetes版ACK安全体系,是从哪几个维度进行的安全体系建设的?
- 运行时安全
- 可信软件供应链
- 基础架构安全
- 阿里云容器服务Kubernetes版ACK在创建集群过程中的专有网络分为普通VPC和共享VPC两种
- 阿里云容器服务ACK基础设施层可观测性的监控方案:架构可视化监控方案、基础设施指标监控方案
- 阿里云容器服务ACK容器性能层可观测性的监控方案:云监控容器服务ACK的监控方案、阿里云托管版Prometheus的监控方案、开源Prometheus监控方案、事件的监控方案(集群、容器事件监控)
- 阿里云容器服务ACK应用性能层可观测性的监控方案:无侵入应用监控APM监控方案、侵入应用监控APM监控方案
- 阿里云容器服务ACK用户业务层可观测性的监控方案:自定义日志监控方案 https://help.aliyun.com/document_detail/203344.html
- 我们在对阿里云容器服务ACK集群进行升级时,一般要经历以下步骤:升级前置检查、升级Master、升级Node
- 阿里云CSI插件主要包括:CSI-Plugin,CSI-Provisioner
- 在下列选项中,哪些选项是属于阿里云容器服务Kubernetes版ACK的安全体系可信软件供应链的功能?
- 镜像扫描
- 镜像签名
- 云原生应用交付链
- 阿里云容器服务ACK组件管理中,我们可以对这些组件进行以下操作:安装、卸载、升级
- 阿里云容器服务ACK日志的采集,从采集位置上划分,主要分为:宿主机文件、网络文件、容器内文件
- 阿里云容器服务ACK在资源层弹性伸缩范畴涉及到以下哪几个组件? -- cluster-autoscaler、virtual-node、virtual-kubelet-autoscaler
- 在阿里云容器服务ACK集群升级过程中发生错误时,应该:
- 查看错误原因,根据报错进行排查
- 提交工单,请阿里云工程师协助
- 在使用容器镜像服务企业版之前,需要先创建企业版实例,在创建之前需要授权的资源权限:OSS、VPC、云监控
- 在阿里云容器服务ACK应用场景云原生AI中,可以实现以下哪些资源的调度与管理:云计算资源、GPU、CPU
- 通常ACK适合应用于以下业务场景:DevOps持续交付、弹性伸缩架构、云原生AI、微服务
- ACK集群创建完毕后通过控制台可以查看的状态维度分别有:节点状态、应用状态、组件状态、资源状态、事件
- 建议为每个Kubernetes服务分配一个SLB。如果多个Kubernetes服务复用同一个SLB,存在以下风险和限制:
- 使用已有的SLB会强制覆盖已有监听,可能会导致您的应用不可访问
- Kubernetes通过Service创建的SLB不能复用,只能复用您手动在控制台(或调用OpenAPI)创建的SLB
- 复用同一个SLB的多个Service不能有相同的前端监听端口,否则会造成端口冲突
- 复用SLB时,监听的名字以及虚拟服务器组的名字被Kubernetes作为唯一标识符。请勿修改监听和虚拟服务器组的名字
- 不支持跨集群、跨地域复用SLB
- 从可观测性的角度,以阿里云容器服务ACK为基础的系统架构,可以分为以下哪几个层次的可观测?
- 用户业务层场景
- 应用性能层场景
- 容器性能层场景
- 基础设施层场景
- 阿里云容器产品服务,都包括以下产品:容器服务ACK,Serverless容器服务ASK,镜像服务ACR、服务网格ASM
- 阿里云容器服务ACK监控类型分为:资源监控、性能监控、服务监控、事件监控
- 实例创建成功后,您可以查看的信息:
- 已创建的实例
- 该实例的ID、安全组
- 该实例相关的日志信息