一、网络策略NetworkPolicy   默认情况下，k8s集群网络没有任何网络限制，Pod可以与任何其他Pod通信，此时为了减少网络风险暴露面，防止Pod被失陷后进行横向的移动，可通过网络策略（NetworkPolicy）进行控制，网络策略是K8S的一个资源，可用于限制Pod出入流量，提供pod级别和Namespace级别网络

一、环境及准备集群环境：软件版本：部署前操作：关闭防火墙，关闭selinux(生产环境按需关闭或打开)同步服务器时间，选择公网ntpd服务器或者自建ntpd服务器[root@es1~]#crontab-l#为了方便直接使用公网服务器#updatetime*/5****/usr/bin/rdate-stime-b.nist.gov&>/dev/nul

前言：上一章记录了部署k8s常用的两个方式，这一章就简单一些，整理一下k8s资源对象的配置和管理命令。1、集群状态检查前天搭建的环境，然后关机了两天今天开启后第一时间需要检查集群环境是否正常[root@k8s-master1~]#kubectlgetnodeNAMESTATUSROLESAGE

前言：终于写到kubernetes（k8s），容器编排工具不止k8s一个，它的优势在于搭建集群，也是传统运维和云计算运维的第一道门槛，这里会列出两种安装方式，详细步骤会在下文列出，文章很长，根据目录取用。1、kubernetes基础名词官网地址：Kubernetes中文网地址：Kubernetes中文网官网一个简单的k8s

环境初始化#重命名[root@localhost~]#hostnamectlset-hostnamemaster1[root@localhost~]#susu#配置静态IP[root@master1~]#cd/etc/sysconfig/network-scripts/[root@master1network-scripts]#vimifcfg-ens33BOOTPROTO="none"NAME="ens33"DEV

helm安装ingress-nginxIngress-NginxController支持多种方式安装：使用heml安装chart使用kubectlapply，使用YAML文件；详情可参考：https://kubernetes.github.io/ingress-nginx/deploy/本文实践使用helm安装ingress-nginx环境信息#k8s版本root@master1:~#kubectlgetno

Containerd客户端工具nerdctl相比Containerd自带的ctr工具，nerdctl操作方式更接近之前的docker命令。nerdctl是一个与dockercli风格兼容的containerd客户端工具，而且直接兼容dockercompose的语法的。仓库：https://github.com/containerd/nerdctl1.安装二进制文件下载路

containerd的客户端工具ctr命令类似docker为docker-shim容器运行时的客户端工具，ctr是containerd的客户端工具，安装containerd作为容器运行时后，会自动安装ctr。root@master1:~#ctr-vctrgithub.com/containerd/containerd1.7.121.帮助文档ctr帮助文档root@master1:~#

​先要确保两个数据库的数据一致1、master1上操作，修改my.cnf配置文件[mysqld]#必须唯一server_id=1#开启binlog日志log-bin=mysql-binrelay-log=relay-bin#要进行主从的数据库binlog-do-db=coin#指定自增id值从几开始auto_increment_offset=1#指定自增值的步长a

K8s集群核心概念：Service我们在之前的学习过程中遇到一个问题，就是如果Pod被误删除，那么Controller重新拉起一个新的Pod时，我们发现PodIP地址是变化着的，我们访问必须更新IP地址。这样对于大量的Pod运行应用来说，我们对Pod完全无法控制的，因此在K8s集群中我们引入另一个概念Service

k8s核心概念：控制器：我们删除Pod是可以直接删除的，如果生产环境中的误操作，Pod同样也会被轻易地被删除掉。所以，在K8s中引入另外一个概念：Controller（控制器）的概念，用于在k8s集群中以loop的方式监视pod状态，如果其发现Pod被删除，将会重新拉起一个Pod，以让Pod一直保持在用户期望的状态。

内置haproxy高可用架构：1、下载脚本[root@master1~]#curl-sfLhttps://get-kk.kubesphere.io|VERSION=v2.0.0sh-如果访问Github和Googleapis受限先执行以下命令再执行上面的命令exportKKZONE=cn2、给脚本赋予执行权限[root@master1~]#chmod+xkk3、创建包含默认配

3.1.1第1道题RBAC作业提交规范https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/我们做第一个题RBAC，做完之后提交作业按照如下说明，我给大家提供的标准解题步骤如下：解题：考试时执行，切换集群。模拟环境中不需要执行。root@master1:~#kubectlcreateclu

安装helm链接：https://www.cnblogs.com/zouzou-busy/p/16134885.html配置chart存储库#添加chart存储库[root@master1~]#helmrepoaddgitlabhttps://charts.gitlab.io"gitlab"hasbeenaddedtoyourrepositories#查看存储库[root@master1~]#helmrepolist

一、背景介绍前面介绍的k8s中的pv存储卷与cm存储卷，k8s中还有2中特殊的存储卷：secret和downloadAPI。其作用分别是用来存放敏感信息和将pod中的信息暴漏给pod中运行的代码，这也是k8s中经常会用到的两个存储卷，下面就这两个存储卷展开详细说明。二、Secret存储卷尽管configMap资源也可以

mysql复制技术/mysql集群准备1.四台虚拟机都关闭防火墙systemctlstopfirewalldsystemctldisablefirewalld2.四台虚拟机都设置好host域名解析,在/etc/hosts文件中添加如下[root@mysql01~]#vim/etc/hosts192.168.70.33master1192.168.70.34master2192.168.70.35

前言：利用k8sCronJob来实现etcd集群的自动备份，并通过sftp传输到本k8s集群外的服务器上，进行存储。实验步骤：基本环境情况：服务器角色IP系统ETCD版本K8S集群操作服务器192.168.1.136Centos7.93.4.9存储服务器192.168.1.105Centos7.9-创建Dockerfile镜像：[root@k8s-master1~]#mkdir/s

一.k8s概念:从节点的角色来看一个master一个node1.1Master节点master是k8s的控制节点叫ControlPlane或者叫控制平面,在生产环境中不建议部署集群核心组件外的任何Pod,就是master节点上不允许Pod的,master只负责群集的调度正常情况master有三个角色APIServer:APIServer是集群的管理

什么是命名空间Kubernetes支持多个虚拟集群，它们底层依赖于同一个物理集群。这些虚拟集群被称为命名空间。命名空间namespace是k8s集群级别的资源，可以给不同的用户、租户、环境或项目创建对应的命名空间，例如，可以为test、devlopment、production环境分别创建各自的命名空间。names

环境准备两个mysql集群，一主一从我们简单的用docker-compose来快速搭建一个version:'3'services:master1:image:mysql:5.7environment:MYSQL_ROOT_PASSWORD:123456ports:-"3307:3306"volumes:-./master1/data:/var/lib/mysql

一、背景   在Kubernetes的网络模型中，基于官方支持的CNI插件Flannel、Calico等，可以轻松实现Pod之间的网络互通，当我们将SpringCloud的微服务部署到Kubernetes中后，无需任何改动微服务的Pod即可通过Eureka注册后进行访问。除此之外还可以通过Ingresscontroller基于80

etcd进阶和K8s资源管理1etcd进阶1.1etcd配置etcd没有配置文件，配置是从serivce文件里面加载参数实现的1.2etcd选举机制1.2.1选举简介etcd基于Raft算法进行集群角色选举，使用Raft的还有Consul、InfluxDB、kafka(KRaft)等。Raft算法是由斯坦福大学的DiegoOngaro(迭戈

生产环境中一台mysql主机存在单点故障，所以我们要确保mysql的高可用性，即两台MySQL服务器如果其中有一台MySQL服务器挂掉后，另外一台能立马接替其进行工作。MySQL的高可用方案一般有如下几种：keepalived+双主，MHA，PXC，MMM，Heartbeat+DRBD等，比较常用的是keepalived+双主，MHA和PXC。本节主

前言MySQL主主同步实际上是在主从同步的基础上将从数据库也提升成主数据库，让它们可以互相读写数据库，从数据库变成主数据库；主从相互授权连接，读取对方binlog日志并更新到本地数据库的过程,只要对方数据改变，自己就跟着改变。1.主主同步的优与劣事实上每个技术都有它的优劣势，我们

PostgresqlPostgreSQL是一种流行的开源关系型数据库管理系统，被许多组织用于存储和管理他们的数据。然而，数据库系统中的数据很容易受到攻击和泄露，因此必须采取安全措施和定期进行升级。本文介绍了保护和升级PostgreSQL的一些方法。一、开启审计PostgreSQL支持审计功能，可以记录