12 2017 档案
摘要:kubelet单组件启动静态pod 无需k8s其他组件,单独下载kubelet的二进制,可以启动静态pod. 静态pod不受api管理,kubectl get po可以看到,但是kubectl delete pod 删除后,出去pending状态, 节点容器并没有删除,要想删除,去节点操作kubel
阅读全文
摘要:runinit启动小程序测试 与Supervisord类似的工具包括monit, daemontools和runit。 我还发现个神器,专门针对单容器启动多进程的神器s6: https://github.com/just containers/s6 overlay 参考: https://githu
阅读全文
摘要:docker0网络模型step by step 将docker的ns软链到linux ns 查看ns,无 启动b1 查看ns,有1个了 删除b1 即刻查看ns 报错 过了2 5min查看ns 无(docker延迟处理ns) 批量观察 docker0网络模型小结 参考: http://blog.dao
阅读全文
摘要:linux namespace&bridge通俗演义 linux接口类型 br0 eth0: 一个接口 veth : 一对接口,类似一跟网线,一头有地址,另一头连到别处, linux 2个namespace连通 不同namespace是隔离的. 想让他们通,需要用网线连起来(veth类型口,一头给n
阅读全文
摘要:kubespray(ansible)自动化安装k8s集群 https://github.com/kubernetes incubator/kubespray https://kubernetes.io/docs/setup/pick right solution/ kubespray本质是一堆ans
阅读全文
摘要:整理的可能有些误失,抽时间在细细的分类完善下. "发现这篇对于网络从低到高层协议整理的还不错" 每层都有一些有意思的话题 一些协议有一些设计上的弱点, 所以产生了种种的网络层安全问题 一般我们学一些 1,以太网2的数据格式 2,ip 数据格式 3,tcp/udp数据格式 .玩明白这些后,会晚一些有用
阅读全文
摘要:overlay网络实战 n3启动consul n1 n2启动docker 查看Consul/创建overlay网络/查看其ip网段 IPAM 是指 IP Address Management,docker 自动为 ov_net1 分配的 IP 空间为 10.0.0.0/24。 n1 n2跑容器在ov
阅读全文
摘要:es数据手动导入 彻底完美入库解决时间问题 协调改日志格式,让每条日志追加"@timestamp" : "2017 12 06T09:23:51.244Z"字段作为es入库时间. @timestamp修改原理 默认一条日志多了3个字段: @version host @timestamp 当日志条目本
阅读全文
摘要:docker cluster store选项 etcd calico(bgp)实现docker夸主机通信 配置calico网络 启动etcd etcd listen client urls http://0.0.0.0:2379 advertise client urls=http://192.16
阅读全文
摘要: ```
$ cat jenkins-pvc.yaml kind: PersistentVolumeClaim
apiVersion: v1
metadata: name: jenkins-pvc
spec: storageClassName: ...
阅读全文
摘要:之前一直docker compose跑zk集群,现在把它挪到k8s集群里. "docker compose跑zk集群" zk集群in k8s部署 参考: https://github.com/kubernetes/contrib/blob/master/statefulsets/zookeeper/
阅读全文
摘要:基础配置 用的c7200 adventerprisek9 mz.151 4.M2.bin cisco router架设ca服务器 r1 2生成公私钥对 r1使用sepc协议在线申请证书 3 R2操作获取CA证书 通过离线方式(不通过在线sepc协议) r1开始申请证书 r2开始申请证书 配置ipse
阅读全文
摘要:数字证书基础原理 数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密。 每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥),由本人公开,为一组用户所共享,用于加密和
阅读全文
摘要:cfssl生成证书 filebeat多输入(不能多输出)参考: https://www.elastic.co/guide/en/beats/filebeat/current/migration configuration.html filebeat配置ssl wireshark抓包: 看不到任何传输
阅读全文
摘要:准备cfssl环境 生成ca证书 cd;mkdir keys;cd keys cat ca config.json ca csr.json app csr.json http server.js app csr.json app csr.json app csr.json app csr.json
阅读全文
摘要:把cisco路由器配置成ca服务器 "参考"
阅读全文
摘要:"数字证书基础知识" "对称加密/非对称加密细枝末节" "openssl对称非对称加密实战" "使用OpenSSL实现CA证书的搭建过程" "通过openssl生成证书" "HTTPS证书生成原理和部署细节" "证书各个字段的含义" "https单向认证和双向认证" "cfssl模拟https站点
阅读全文
摘要:对称/非对称/混合加密的冷知识 数据在互联网上传输,要考虑安全性. 讲到安全,要从三方面考虑: 1、authentication 每一个IP包的认证,确保合法源的数据 2、data integrity 验证数据完整性,保证在传输过程中没有被人为改动 3、confidentiality (私密性)数据
阅读全文
摘要:证书生成工具 1,openssl 2,jdk自带的keystone 3,cfssl 证书中各个字段的含义 数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 字段名|字段值 | 公用名称 (Common Name) | 简称:CN 字段,对于 SSL 证书,一般
阅读全文
摘要:tcpdump抓取arp包 arp数据包格式 arp老化时间 linux默认30s 要想更改这个值,需要通过如下命令: arp欺骗(arp表根据发送者ip/mac学习) 正常情况下 通过arp request欺骗 刷新对端arp表的网关条目 通过arp reply欺骗 刷新对端arp表的网关条目 i
阅读全文
摘要:linux vxlan实现2台机器的通往段ip互通 https://github.com/lannyMa/scripts/blob/master/pkgs/vxlan.pcap vxlan多播实现多台互通
阅读全文
摘要:"网络知识拾遗" tcpip的4&7层模型 PDU数据包在不同层的不同称呼 链路层(2层)帧结构: 802.3数据结构 主要用于一些控制层协议,如思科的cdp LLC MAC EII数据结构 二层头部大小 数据包大小: 最小46个字节, 46 1500个字节 ip和tcp包结构 ip包 "ip包里会
阅读全文
摘要:回顾了下,真是以前是一种感觉以后是一种感觉. 特点: dhcp数据包: https://github.com/lannyMa/scripts/blob/master/pkgs/dhcp/ 正常的dhcp机制学会了,更有意思的有 "dhcp攻击" (1, dhcp耗尽攻击(交换机Port Securi
阅读全文
摘要:使用quaaga实现(rip ospf)实现主机间容器互通 georce/router的dockerfile https://hub.docker.com/r/georce/router/~/dockerfile/ quagga提供了startup configure 这个镜像同时跑了rip和osp
阅读全文
摘要:源/软件/时区/selinux/ulimit/vim/sshd 如果vmware的话,cpu开启虚拟化 如果你还喜欢中文man手册 修改网卡名(静态ip/禁用ipv6): 修改hosts 做互信 参考:https://www.thegeekdiary.com/centos rhel 7 how to
阅读全文
摘要:模拟器 链接:https://pan.baidu.com/s/1geMcmND 密码:7iir gns0.8.6的版本好用 思科的这个iso好用: c3660 js2 mz.124 21a.bin C2691 AD.BIN(这个也很ok,但是这两个支持的hash算法较少) ctrl+shit+6 停
阅读全文
摘要:ip routing: 查路由表, 如果ping的目的在RT中没有,不发出任何包(arp也不会发出) 如果RT中存在,则arp 下一跳,相当于no ip routing+配置网关 注: 静态路由: 指向出接口: 如果是广播型接口存在潜在的arp问题(路由表显示的是直连) 指向下一跳:Ad是1 no
阅读全文
摘要:关于vlan的冷知识 实验环境 发现在workstation上不支持混杂模式,导致vlan不通 在centos上 查看802.1q的数据包 https://github.com/lannyMa/scripts/blob/master/802.1q vlan.pcap 使用单臂路由的模式使得2个vla
阅读全文
摘要:参考: http://blog.51yip.com/linux/1404.html 链和表 参考: https://aliang.org/Linux/iptables.html 配置 作为服务器 用途 | 链/表 | 过滤到本机的流量: | input链 filter表 过滤到本地发出的流量:| o
阅读全文
摘要:linux namespace连接参考: http://www.cnblogs.com/iiiiher/p/8057922.html docker网络 直接路由模式 参考: https://www.yuanmas.com/info/obzmAGowzP.html 出现的问题: 本端的容器,能访问到对
阅读全文
摘要:macvlan和ipvlan的对比 http://hicu.be/macvlan vs ipvlan macvlan ipvlan 参考: https://yq.aliyun.com/articles/192998 http://hicu.be/docker networking macvlan b
阅读全文
摘要:ip操作物理网卡 ip操作netns 参考: http://cizixs.com/2017/02/10/network virtualization network namespace network namespace 之间通信 实现如下图所示 使用 bridge 连接不同的 namespace
阅读全文
摘要:参考: https://www.tecmint.com/ip command examples/ 学会linux的配置ip,配置网关,添加路由等命令 操作&查看接口 查看所有接口ip+mac ip a 查看eth0的ip+mac ip a s eth0 给一个接口设置多个ip (ip addr ad
阅读全文
摘要:网桥和交换机 2口交换机=网桥 交换机: 工作在数据链路层,根据源mac学习(控制层),目的mac转发(数据层). linux的网卡 vmware workstation中的桥接 参考: http://blog.daocloud.io/docker bridge/ docker0的桥接 参考: ht
阅读全文
摘要:hostPort相当于docker run p 8081:8080,不用创建svc,因此端口只在容器运行的vm上监听 缺点: 没法多pod负载 hostNetwork相当于 docker run net=host ,不用创建svc,因此端口只在容器运行的vm上监听 缺点: 没法多pod负载 Node
阅读全文
摘要:启动一个简单的集群: tomcat+mysql
阅读全文
摘要:参考: http://hicu.be/docker container network types docker默认3中网络类型 参考: https://docs.docker.com/engine/userguide/networking/ bridge 桥接到docker0网卡 host 和宿主
阅读全文
摘要:简单说下需求: 统计各个省份的 3大运营商的接口访问成功率,绘图展示 数据格式 最终入库(influxdb)的日志 示例数据:(influxdb的sql) 说下方案 "第一种方案之前已经实现过了elk.效果并不了解,里面有提到" 第二种方案: influxdb+grafana, 好处是可灵活计算比例
阅读全文
摘要:最近在搞容器的监控,遇到influxdb这个库,搞了两天,些许明白了些套路,做个记录,备忘.... 小结如下: influxdb go语言编写 默认情况influxdb创建的库关联autogen的RP(存储策略),即数据会保留永久 监控和日志的区别 最近搞监控,所谓监控就是监控服务肉体是否健康(还活
阅读全文
摘要:意外停掉一台node的kubelet,发现调度有问题,研究了下调度的细节 k8s架构 控制层 kubelet(配合节点docker工作) 数据层 kube proxy 逻辑图: object 参考: https://kubernetes.io/docs/concepts/ 各个组件各司其职 参考:
阅读全文
posted @ 2017-12-15 15:47
_毛台
摘要:overlay和overlay2的区别 参考:http://blog.csdn.net/styshoo/article/details/60715942 本质区别是镜像层之间共享数据的方法不同 overlay共享数据方式是通过硬连接 而overlay2是通过每层的 lower文件 查看第一层 第二层
阅读全文
摘要:磁盘结构 容量 磁盘结构 磁盘容量 = 一个柱面大小 柱面的总数 = 磁头数量 每个磁道上的扇区数 一个扇区大小 柱面总数 存储容量=磁头数 × 磁道(柱面)数 × 每道扇区数 × 每扇区字节数 了解 什么是CHS(cylinder head sector) linux磁盘容量计算 磁盘的inode
阅读全文
摘要:通俗理解buffer,cache 1. Cache:缓存区,是高速缓存,是位于CPU和主内存之间的容量较小但速度很快的存储器,因为CPU的速度远远高于主内存的速度,CPU从内存中读取数据需等待很长的时间,而 Cache保存着CPU刚用过的数据或循环使用的部分数据,这时从Cache中读取数据会更快,减
阅读全文
摘要:最近搞influxdb绘图,看到其dockerfile的entry.sh,无奈看的不是很懂. 于是查了下.. docker run 通过传参实现配置文件覆盖 参考: https://hub.docker.com/_/influxdb/ https://github.com/influxdata/in
阅读全文
摘要:es dashboard 有两款 head 这款我一直在用 https://github.com/mobz/elasticsearch head elasticsearch HQ这款相对好看点 https://github.com/royrusso/elasticsearch HQ es数据保留10
阅读全文
摘要:我会把一些dockerfile和yaml的技巧性东西不定期搜集到这里 docker学习思路 三部曲: 1,vm会搭建服务 2,docker会跑服务 3,k8s集群会调度该服务 存储 vm1 vm2 共享存储,vm1的容器挂了直接调度到vm2(docker存储驱动实现) 网络 物理机安装flannel
阅读全文
摘要:伙计们: 有任何意见或建议或看不懂的请在对应的文章下留言(请注明上下文) 我会及时改动. "这是以前的一些在物理机上搞过" ) "[ci]容器ci索引" "xmind原图" "[CI]jenkins安装&插件管理&java helloworld之旅" "[ci]jenkins slave的添加(vm
阅读全文
摘要:"另一个结合harbor自动构建镜像的思路: 即code+baseimage一体的方案" k8s持续集成的一个思路: 这里要说的是部署部分 注: 这只是一个持续集成思想.本篇按照这个思想来搞,在我的环境里我为了速度快当然还有别的因素我用这种方案,用的很6. 其他思路: 可以将code+image打在
阅读全文
摘要:jq神器 处理json数据 支持过滤某字段 支持数学运算(对字段处理) 安装 使用 参考: http://blog.just4fun.site/command tool jq.html https://www.ibm.com/developerworks/cn/linux/1612_chengg_j
阅读全文
摘要:我会定期的把看到的一些好的shell和py脚本搜集在这里,供参考学习: 命令行回收站 shell资源: 常用的一些script: 检查操作系统,内核,多少bit等 https://github.com/lannyMa/ops_doc/tree/master/LazyManage 执行时候加参数 h
阅读全文
摘要:基本原理 default backend提供了2个功能: 创建svc,外面访问80 映射到容器的8080. http://192.168.x.x/ nginx ingress搭建 参考: https://github.com/kubernetes/ingress nginx/blob/master/
阅读全文
摘要:参考: https://github.com/vozlt/nginx module vts installation https://github.com/kubernetes/ingress nginx nginx module vts第三方nginx status模块 安装第三方模块 nginx
阅读全文
摘要:运行最简单的charts示例 helm的2个chart例子: https://github.com/kubernetes/helm/tree/master/docs/examples/nginx 构建charts私有仓库: 参考: https://github.com/rootsongjc/kube
阅读全文
摘要:Mutate filter plugin参考: https://www.elastic.co/guide/en/logstash/current/plugins filters mutate.html 在线匹配: http://grokdebug.herokuapp.com/ grok github
阅读全文
摘要:正确姿势启动metricbeat metricbeat的Kubernetes插件 既然需要kube state metrics了,那就研究下吧. 监控思路 vm思路:遵从大道至简的原则 容器监控思路: pod的: top cpu top mem 别人家的监控 只能流口水了 kube state me
阅读全文
摘要:处理原始日志 日志从moogoo导出来的 要解决时间问题: logstash修改时间 发现日志已是json格式,想用date插件实现time字段赋值给@timestap字段,未果.(因为之前做的都是非json格式日志的时间匹配,先grok 后date) 改造日志为: 这样日志@timestamp的时
阅读全文
摘要:elk的诸多beats 参考: https://www.elastic.co/guide/en/beats/libbeat/current/community beats.html jmxproxybeat 参考: https://github.com/radoondas/jmxproxybeat
阅读全文
摘要:所有节点安装nfs 可以参考下以前写的: http://blog.csdn.net/iiiiher/article/details/77865530 安装nfs作为存储 参考: https://github.com/kubernetes incubator/external storage/tree
阅读全文
摘要:思想: kube dns或coredns本质上是一个dns服务软件.都需要配置配置文件.要控制怎么查询,即控制他的配置文件即可. 本文先说下coredns怎么配置,然后在配下kube dns(包含了外建dnsmasq搭建,模拟集群访问公司私有域情景) 参考: https://coredns.io/2
阅读全文
摘要:"有个小伙用sh结合jenkins搞的k8s cicd还不错" jenkins kubernetes插件 首先插件管理,搜索kubernetes plugin安装 配置kubernetes云 配置项目 执行成功 有pod tmplate 有container template
阅读全文
摘要:jenkins server启动,通过jnlp的方式启动slave. 配置jnlp端口 全局安全 配置云 配置项目 执行成功
阅读全文
摘要:jenkins server 再启动slave时候,动态的注入sshkey 只要slave有ssh+jdk即可.无需事先预置用户名密码给slave. 配置 inject ssh key 配置项目 执行结果: 构建完成后 docker ps a, slave节点消失. 我观察了下key,这个key不知
阅读全文
摘要:jenkins slave ssh docker容器化 架构 参考:https://www.youtube.com/watch?v=OxrBCt1JLuQ https://github.com/David1107/Proyecto Final 思路: jenkins slave ssh本质上是一台基
阅读全文
摘要:这是之前总结的, 发现有很多的毛病,就是重点不突出,重新翻看的时候还是得耗费很长时间去理解这玩意. js中的继承 js中什么是类 1,类是函数数据类型 2.每个类有一个自带prototype属性 prototype = constractor+__proto__ 3,每个类的实例指向类的原型 给人感
阅读全文
摘要:栗子思路说明: 不使用任何docker plugin 使用jenkins server本地(含mvn环境)构建,无jenkins slave jenkins server本地构建的war包,推送deploy机,使用sh动态生成镜像(含镜像名/标签[dev/test]等),并删掉原来的镜像,启动. j
阅读全文
摘要:"tomcat安全管理规范" java&tomcat配置参考(多看看这位大牛的博客,写的很好) Tomcat系列之Java技术详解 http://blog.51cto.com/freeloda/1298687 Tomcat系列之服务器的安装与配置以及各组件详解 http://blog.51cto.c
阅读全文
浙公网安备 33010602011771号