K8s相关 ovs controller Istio 可以参考的链接 https://developer.aliyun.com/article/759790 https://zhuanlan.zhihu.com/p/499341027 ovs and iptables https://www.cnblogs.com/jmilkfan-fanguiju/p/11825035.html http://www.openvswitch.org/support/dist-docs/ovs-vsctl.8.txt macVlan https://icloudnative.io/posts/netwnetwork-virtualization-macvlan/ https://www.cnblogs.com/bakari/p/10893589.html svc 的不同类型 NodePort等 Go defer nil 单例模式 struct 是否可以比较 new和make的区别 内存对齐……

阅读全文

简介 Calico是一个基于BGP的纯三层的网络方案,与OpenStack,Kubernetes,AWS,GCE等云平台都能够良好地集成. Calico在每个计算节点利用Linux kernel实现了一个高效的vrouter来负责转发.每个vrouter通过BGP1协议把在本节点上运行……

阅读全文

参考连接conntrack OVS supports following match fields related to conntrack: ct_state: The state of a connection matching the packet. 可能的值有: 1 2 3 4 5 6 7 8 new est rel rpl inv trk snat dnat 上述字段 如果前面有+号, 则说明是必须设置的标记; 如果前面有-号, 则说明必须取消的标记. 同样也支持多个字段同时设置, 例如 ct_state=+trk+new 参考ovs-fields了解更多 ct_zone:16bi……

阅读全文

k8siptable 了解 https://blog.csdn.net/qq_36183935/article/details/90734847 iptables工作流程 iptables是采用数据包过滤机制工作的，所以它会对请求的数据包的包头进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。 ① 防火墙是一层一层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的； ② 如果匹配上规则，即明确表明阻……

阅读全文

CustomResourceDefinition简介 在 Kubernetes 中一切都可视为资源，Kubernetes 1.7 之后增加了对 CRD 自定义资源二次开发能力来扩展 Kubernetes API，通过 CRD 我们可以向 Kubernetes API 中增加新资源类型，而不需要修改 Kubernetes 源码来创建自定义的 API server，该功能大大提高了 Kubernetes 的扩展能力。 当你创建一个新……

阅读全文

前面我们从pod的原理到生命周期介绍了pod的一些使用，作为kubernetes中最核心的对象，最基本的调度单元，我们可以发现pod中的属性还是非常繁多的，前面我们使用过一个volumes的属性，表示声明一个数据卷，我们可以通过命令kubectl explain pod.spec.volumes……

阅读全文

了解pause Kubernetes 中所谓的 pause 容器有时候也称为 infra 容器，它与用户容器”捆绑“运行在同一个 Pod 中，最大的作用是维护 Pod 网络协议栈（当然，也包括其他工作，下文会介绍）。 都说 Pod 是 Kubernetes 设计的精髓，而 pause 容器则是 Pod 网络模型的精髓，理解 pause 容器能够更好地帮助我们理解 Kubernetes Pod 的设计初衷。为什么这么说呢？还得从 Pod 沙……

阅读全文

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 apiVersion:apps/v1kind:Deploymentmetadata:name:nginx-deploymentlabels:app:nginxspec:replicas:3selector:matchLabels:app:nginxtemplate:metadata:labels:app:nginxspec:containers:- name:nginximage:nginx:1.14.2ports:- containerPort:80……

阅读全文

Service对象隐藏了各Pod资源，并负责将客户端的请求流量调度至该组pod对象之上。不过，偶尔也会存在这样一类需求：客户端需要直接访问Service资源后端的所有pod资源，这时就应该向客户端暴露每个pod资源的IP地址，而不再是中间层Service对象的ClusterIP，……

阅读全文

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 apiVersion:v1kind:Servicemetadata:name:nginxlabels:app:nginxspec:ports:- port:80name:webclusterIP:Noneselector:app:nginx---apiVersion:apps/v1kind:StatefulSetmetadata:name:webspec:selector:matchLabels:app:nginx# has to match .spec.template.metadata.labelsserviceName:"nginx"replicas:3# by default is 1minReadySeconds:10# by default is 0template:metadata:labels:app:nginx# has to match .spec.selector.matchLabelsspec:terminationGracePeriodSeconds:10containers:- name:nginximage:registry.k8s.io/nginx-slim:0.8ports:- containerPort:80name:webvolumeMounts:- name:wwwmountPath:/usr/share/nginx/htmlvolumeClaimTemplates:- metadata:name:wwwspec:accessModes:["ReadWriteOnce"]storageClassName:"my-storage-class"resources:requests:storage:1Gi……

阅读全文