volume

3 月，跳不动了？>>> 作者简介 Jimmy Guerrero，在开发者关系团队和开源社区拥有20多年的经验。他目前领导YugabyteDB的社区和市场团队。 本文来自 Rancher Labs Longhorn是Kubernetes的云原生分布式块存储，易于部署和升级，100%开源且持久，由业界采用最为广泛的Kubernetes管理平台创建者Rancher Labs推出，并于去年10月捐献给CNCF。Longhorn的内置增量快照和备份功能可确保volume数据的安全，而其直观的UI可以方便地管理持久卷的计划备份。使用Longhorn，你可以获得最细的管理粒度和最大的控制程度，并且可以轻松地在另一个Kubernetes中创建一个灾备恢复的volume，并在发生紧急情况时进行故障转移。 YugabyteDB是一个云原生分布式SQL数据库，它可以运行在Kubernetes环境中，所以它可以与Longhorn和许多其他CNCF项目互操作。YugabyteDB是一个开源的高性能分布式SQL数据库，该数据库基于Google Spanner的可扩展性和容错设计而构建。Yugabyte的SQL API（YSQL）与PostgreSQL兼容。 如果你正在寻找一种方法来轻松地在100%的云原生基础架构之上开始应用程序开发，那么这篇文章正是为你准备的

kubernetes 的volume 配置 标签（空格分隔）：kubernetes系列 一：kuberentes 的volume 配置 一：kuberentes 的volume 配置 1.1 背景 说明： 容器磁盘上的文件的生命周期是短暂的，这就使得在容器中运行重要应用时会出现一些问题。首先，当容器崩溃 时，kubelet 会重启它，但是容器中的文件将丢失——容器以干净的状态（镜像最初的状态）重新启动。其次，在 Pod 中同时运行多个容器时，这些容器之间通常需要共享文件。Kubernetes 中的 Volume 抽象就很好的解决了 这些问题 Kubernetes 中的卷有明确的寿命 —— 与封装它的 Pod 相同。所f以，卷的生命比 Pod 中的所有容器都长，当这 个容器重启时数据仍然得以保存。当然，当 Pod 不再存在时，卷也将不复存在。也许更重要的是，Kubernetes 支持多种类型的卷，Pod 可以同时使用任意数量的卷 1.2 卷的类型 Kubernetes 支持以下类型的卷： 1. awsElasticBlockStore azureDisk azureFile cephfs csi downwardAPI emptyDir 2. fc flocker gcePersistentDisk gitRepo glusterfs hostPath iscsi local nfs

安全漏洞CVE-2019-3874分析 Kubernetes近期重要bug fix分析 Kubernetes v1.13.5 bug fix数据分析 ——本周更新内容 安全漏洞CVE-2019-3874分析 3月21日，Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安全漏洞CVE-2019-3874以及解决方法。 这个安全漏洞最早由红帽的工程师Matteo Croce，Natale Vinto和Andrea Spagnolo发现。当Kubernetes中的Pod以Root用户运行时，它可以绕过cgroup内存隔离，通过SCTP网络传输，创建一个潜在的DoS***，此问题本身与Kubernetes无关，但是涉及到Kubernetes调用的内核模块。问题的严重性被定义为中等，社区建议将SCTP内核模块列入黑名单来规避此问题。用户可以通过执行如下命令来测试是否会到此类***。 modprobe sctp; lsmod | grep sctp 用户可以通过执行如下命令来把SCTP列入内核模块的黑名单。 echo "install sctp /bin/true" > /etc/modprobe.d/sctp.conf 如果SCTP模块已经载入内核，则需要重启机器来从内核中卸载SCTP模块

第一章、前言 默认情况下容器的数据都是非持久化的， 在容器消亡以后数据也跟着丢失， 所以 Docker 提供了 Volume 机制以便将数据持久化存储。 类似的， Kubernetes 提供了更强大的 Volume 机制和丰富的插件， 解决了容器数据持久化和容器间共享数据的问题。 与 Docker 不同， Kubernetes Volume 的生命周期与 Pod 绑定容器挂掉后 Kubelet 再次重启容器时， Volume 的数据依然还在而 Pod 删除时， Volume 才会清理。 数据是否丢失取决于具体的 Volume 类型， 比如 emptyDir 的数据会丢失， 而 PV 的数据则不会丢 PersistentVolume（pv）和PersistentVolumeClaim（pvc）是k8s提供的两种API资源，用于抽象存储细节。管理员关注于如何通过pv提供存储功能而无需关注用户如何使用，同样的用户只需要挂载pvc到容器中而不需要关注存储卷采用何种技术实现。 pvc和pv的关系与pod和node关系类似，前者消耗后者的资源。pvc可以向pv申请指定大小的存储资源并设置访问模式。 第二章、pv pvc相关知识 生命周期 pv和pvc遵循以下生命周期： 1.供应准备。管理员在集群中创建多个pv供用户使用。 　2.绑定。用户创建pvc并指定需要的资源和访问模式。在找到可用pv之前

一台虚拟机有哪些东西呢？CPU、内存、操作系统、磁盘、网络等。 那么我们需要通过规格、镜像、网络、磁盘、安全组来实现虚拟机的创建。 下面通过cirros创建一台迷你虚拟机，通过Packstack安装openstack的操作请参考上一篇文章。 一、查看信息 1)鉴权 [root@rong ~]# cat keystonerc_admin unset OS_SERVICE_TOKEN export OS_USERNAME=admin export OS_PASSWORD='8d07f364025d414e' export OS_REGION_NAME=RegionOne export OS_AUTH_URL=http://192.168.222.128:5000/v3 export PS1='[\u@\h \W(keystone_admin)]\$ ' export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_IDENTITY_API_VERSION=3 [root@rong ~]# source keystonerc_admin [root@rong ~(keystone_admin)]# 2)查看规格

一、Kubernetes核心组件 etcd:保存整个集群的状态。 apiserver:提供了资源操作的唯一入口，并提供认证、授权、访问控制、API注册和发现等机制 controller manager:负责维护集群的状态，比如故障检测、自动扩展、滚动更新等。 scheduler:负责资源的调度，按照预定的调度策略将Pod调度到相应的机器上。 kubelet:负责维护容器的生命周期，同时也负责Volume(CVI)和网络(CNI)的管理。 Container runtime:负责镜像管理以及Pod和容器的真正运行(CRI)。 kube-proxy:负责为Service提供cluster内部的服务发现和负载均衡。 二、Kubernetes基本概念 Cluster：集群，是指由Kubernetes使用一系列的物理机、虚拟机和其他基础资源来运行你的应用程序(下图)。 Node:一个node就是运行着Kubernetes的物理机或虚拟机，并且pod可以在上面被调度。 Pod:一个pod对应一个由相关容器和卷组成的容器组：(下图) Label:一个label是一个被附加到资源上的键/值对，譬如附加到一个Pod上，为它传递一个用户自定的并且可以识别的属性。Label还可以被应用来组织和选择子网中的资源。 selector:是一个通过匹配labels来定义资源之间关系的表达式

LVM（logical Volume Manager）逻辑卷管理器，作用主要是在硬盘分区和文件系统之间添加一个逻辑层，可以把多块硬盘进行卷组合并，实现对硬盘分区的动态调整。 注:PE（physical Extent）是基本单元。 PV（Physical Volume）物理卷，处于LVM最底层，可视为物理硬盘，硬盘分区或者RAID磁盘阵列； VG（Volume Group）卷组，建立在物理卷之上，一个卷组可以包含多个物理卷，而且在卷组创建后可以继续向其添加新的物理卷。 LV（Logical Volume）逻辑卷，用卷组中的资源建立的，并且可以动态地扩展或缩小空间。 1.部署逻辑卷 常用的LVM部署命令 功能/命令 物理卷管理 卷组管理 逻辑卷管理 扫描 pvscan vgscan lvscan 建立 pvcreate vgcreate lvcreate 显示 pvdisplay vgdisplay lvdisplay 删除 pvremove vgremove lvremove 扩展 vgextend lvextend 缩小 vgreduce lvreduce 让新添加的硬盘支持LVM [root @chb ~]# pvcreate /dev/sdb 把新建的物理卷添加到卷组（卷组名：vol）中，并同时指定PE基本单元大小为16M 命令 vgcreate -s 指定PE基本单元的大小

Docker 为容器提供了两种存放数据的资源： 1、由 storage driver 管理的镜像层和容器层。 2、Data Volume。 storage driver 在前面镜像章节我们学习到 Docker 镜像的分层结构。 容器由最上面一个可写的容器层，以及若干只读的镜像层组成，容器的数据就存放在这些层中。这样的分层结构最大的特性是 Copy-on-Write： 1、新数据会直接存放在最上面的容器层。 2、修改现有数据会先从镜像层将数据复制到容器层，修改后的数据直接保存在容器层中，镜像层保持不变。 3、如果多个层中有命名相同的文件，用户只能看到最上面那层中的文件。 分层结构使镜像和容器的创建、共享以及分发变得非常高效，而这些都要归功于 Docker storage driver。正是 storage driver 实现了多层数据的堆叠并为用户提供一个单一的合并之后的统一视图。 Docker 支持多种 storage driver，有 AUFS、Device Mapper、Btrfs、OverlayFS、VFS 和 ZFS。它们都能实现分层的架构，同时又有各自的特性。 优先使用 Linux 发行版默认的 storage driver 。 Docker 安装时会根据当前系统的配置选择默认的 driver。默认 driver 具有最好的稳定性 运行 docker info 查看