Containerd日志空间限制
环境Kubernetes: 1.24.17Containerd: 1.6.24需求声明工作节点中容器生成日志大小,避免节点因空间问题导致不可调度。原使用Docker 容器运行时可以使用以下配置来实现,今学习使用Containerd的配置方法: "log-driver": "json-file", "log-opts"
禁用Kubernetes集群中的DES加密算法
背景在等保扫描检测时,提示SSL/TLS协议信息泄露漏洞(CVE-2016-2183),安全级别为高--必须整改。然而对应的端口皆为Kubernetes的各组件服务。端口、服务对应如下: 系统环境操作系统:银河麒麟v10Kubernetes: v1.20.15检测工具nmapopenssl上述任选一种即可,建议使用namp,更为直观。 安装摘要 # wget https://nmap.org/
容器时区配置笔记
Alpine镜像... LABEL MAINTAINER="Qiu<qiu@xx.cn>" RUN set -xe \ && sed -i 's/dl-cdn.alpinelinux.org/
Kafka 移除Zookeeper依赖实现
背景Apache Kafka Raft(KRaft)是共识协议,目的是消除Apache Kafka对ZooKeeper元数据管理的依赖性--简化了 Kafka 的架构。将元数据的集成到 Kafka 本身,而不是将其拆分到两个不同的系统:ZooKeeper 和 Kafka。KRaft 模式使用 Kafka 中新的仲裁控制器服务,
Configmap更新自动触发Pod重启
背景 在Kubernetes环境中,Pod 和ConfigMap是两种完全独立的资源,如果configmap产生变化,Pod并不会自动重新启动。但是我们有时候希望有这两者之间有个联动关系,即Configmap资源生产变化时,就自动重启Pod,以达到配置生效的目的。 解决方案 引入 Reloader 一个 Kubernetes 控制器,用于监视 ConfigMap 和 Secrets
Docker环境下使用nginx反向代理
当在 docker 环境下使用 Nginx 作为反向代理和负载均衡到其他容器时,有时需要在我们的堆栈中定义某种启动顺序,因为它们相互依赖。通常情况下需要把后端服务全部启动起来后,再来启动这个 Nginx服务。 首先这种环境循环依赖的问题就不应该存在,退一步来讲,我就部署个几个简单的服务,还要去考虑先有鸡还是先有蛋问题。谁有这功夫,反正我是没有。 上游服务不可用致nginx无法启动 当你先把 nginx 服务启动时,
Istio 札记杂录
黑白名单ACL 针对某个目录做ACL,如 /login 只限指定的白名单访问,其它一律禁止访问。 实现步骤 1、确保istio接收的IP是用户地址 <略> 2、创建AuthorizationPolicy资源 apiVersion: security.istio.io/v1beta1 kind:
Prometheus-Operator 监控位于集群外的服务
在Kubernetes中部署Prometheus我们通常使用Operator来部署,比如使用以下命令: helm repo add prometheus-community https://prometheus-community.github.io/helm-charts helm install my-prometheus prometheus-community/prometheus --version 15.12.0
使用非特权nginx容器镜像
序 容器使用非root用户是一种安全共识,而我们常用的nginx官方提供的容器镜像--docker.io/library/nginx:latest却是使用到root权限。今无意发现有个nginx-unprivileged容器镜像,使用的是非root用户。 测试 镜像拉取 docker pull nginxinc/nginx-unprivileged:1.21.4 创建容器 docker
如何正确收缩已部署的Kubernetes应用
【封面图片:广州市天河国际乒乓培训中心】如何正确收缩已部署的Kubernetes应用
