容器服务

近期CNCF宣布欢迎Argo项目进入 CNCF 孵化器，作为一个新加入的项目，Argo主要关注于Kubernetes原生的工作流，持续部署等方面。 Argo项目是一组Kubernetes原生工具集合，用于运行和管理Kubernetes上的作业和应用程序。

容器之所以被称为特殊的进程，是因为容器这个进程是有边界的。上一篇博客提到容器是一种沙盒技术，即能够向集装箱一样把应用装起来，这样应用与应用之间因为存在边界而不至于互相干扰，而被装进集装箱的应用也能被方便的搬运——这就是PaaS最理想的状态。容器技术的核心功能，就是通过约束和修改进程的动态表现，从而为其人为打造“边界”。在Linux中，Cgroup技术是用来制造约束的主要手段，而Namespace技术则是修改进程视图的主要方法，即让进程看到的资源信息与实际资源信息不同，俗称“障眼法”。

Linux 内核从版本 2.4.19 开始陆续引入了 namespace 的概念。其目的是将某个特定的全局系统资源（global system resource）通过抽象方法使得namespace 中的进程看起来拥有它们自己的隔离的全局系统资源实例（The purpose of each namespace is to wrap a particular global system resource in an abstraction that makes it appear to the processes within the namespace that they have their

介绍： CPFS（Cloud Paralleled File System）是一种并行文件系统。CPFS 的数据存储在集群中的多个数据节点，并可由多个客户端同时访问，从而能够为大型高性能计算机集群提供高IOPS、高吞吐、低时延的数据存储服务。

再也不要当容器小白了！Build ship and run！

1、启动Docker Quickstart Terminal,等待docker虚拟机启动完毕2、在Docker Quickstart Terminal 命令行输入命令：docker-machine ssh default意思是采用docker-machine命令，以ssh方式，从当前 Docker Quickstart Terminal 窗口登录名称为default的docker虚拟机3、此时窗口进入到了docker虚拟机，docker-machine命令已经失效。

本篇会介绍几个目前比较常用且流行的容器监控工具，首先我们来看看Docker自带的几个监控子命令：ps、top以及stats，然后是一个功能更强的开源监控工具Weave Scope。

9月26日云栖大会容器专场，在《拐点已至，云原生引领数字化转型升级》的演讲中，容器服务开发负责人汤志敏表示：“阿里云容器服务已经拥有国内最大规模的公共云容器集群，据各大国际评测机构显示，其市场份额和产品综合能力中国内第一。

概述 前面文章介绍使用docker compose组合应用并利用scale快速对容器进行扩容。 由于docker compose启动的服务都在同一台宿主机上，对于一个宿主机上运行多个容器应用时，容器的运行情况如：CPU使用率、内存使用率、网络状态、磁盘空间等一系列随时间变化的时序数据信息，都是需要去了解，因此监控是必须的。

介绍 K8S在应用中经常会用到nas共享存储卷，通常的使用方法是通过一个pv、pvc进行挂载，但当需要pv、pvc数量很大的时候，手动创建显得非常繁琐，这时动态数据卷的功能可以满足您的需求。 以下场景： 当为不同的用户提供不同的nas子目录进行挂载的时候，可以考虑使用nas动态存储卷； 当使用S.

近日，全球知名市场调研机构Forrester发布首个企业级公共云容器平台报告

云盘在线扩容功能已经发布，本文介绍如何在Kubernetes集群中在不断服的情况下实现云盘扩容。下面以StatefulSet多实例应用为例，介绍应用持续运行中实现挂载的云盘扩容。 注意：扩容云盘前，请务必先给云盘打快照，以免操作中出现数据丢失； 创建多实例statefulset应用 kubectl create -f sts.

Prometheus 作为容器生态下集群监控的首选方案，是一套开源的系统监控报警框架。2019 年7月3日，阿里云Prometheus云托管实例正式开始免费公测。针对容器集群监控场景，提供了完整的采集、存储、监控、告警、图表展现的数据监控服务。

欢迎订阅K8s学习进阶月刊 视频干货资料尽情下载 Kubernetes and Cloud Native Meetup 上海站 资料下载GitOps：Kubernetes多集群环境下的高效CICD实践 资料下载阿里云容器 AHAS Sentinel 网关流控揭秘 资料下载 推荐阅读 像Goo...

自去年年初开始放风Helm v3将要开始开发，到去年年底KubeConn 上海被一堆人追问到底啥时候发版本。今年五月份，Helm v3 终于发布了第一个alpha版本，让我们来一窥新版本的Helm 到底带来了什么。

概要 External-DNS提供了编程方式管理Kubernetes Ingress资源的DNS的功能，方便用户从Ingress管理DNS解析记录。而在kubernetes federation v2环境中，使用External-DNS可以快速的管理多个联邦集群的Ingress DNS解析，降低用户的操作成本。

提起K8s API的访问控制，很多同学应该都会想到RBAC，这是K8s用来做权限控制的方法，但是K8s对API的访问控制却不止于此，今天我们就来简单介绍下K8s的访问控制以及ACK如何利用这套方法提供便捷的访问控制管理 访问控制简要说明 控制流程如上图所示，我们今天关注点在前两步，也就是图中的Au.

容器技术的发展让软件交付和运维变得更加标准化、轻量化、自动化。这使得动态调整负载的容量变成一件非常简单的事情，在kubernetes中，通常只需要调整对应的replicas数目即可完成。当负载的容量调整变得如何简单后，我们再回过头来看下应用的资源画像。

采用容器服务后，了解容器之间的关系及依赖是一个比较有挑战的问题。容器化改造后的实际架构模型可能与预想的架构存在较大的差异，架构师或系统运维人员需要精确地了解资源实例的构成和交互情况，存在一定的困难。其次，系统架构在动态演化过程中可能引入了一些不可靠的因素，比如弱依赖变强依赖、局部容量不足、系统耦合过重等，给系统的稳定性带了极大的安全隐患。

在大型软件开发过程中，通常会推荐底层功能插件化、业务功能模块化的开发模式，以其达到低耦合、高内聚、功能复用的优点。

介绍： 本文介绍的动态生成NAS存储卷的方案：在一个已有文件系统上，自动生成一个目录，这个目录定义为目标存储卷； 镜像地址：registry.cn-hangzhou.aliyuncs.com/acs/alicloud-nas-controller:v1.11.5.4-433631d-aliyun 默认生成资源：生成的PV名字为：pvc-${pvc-uid}生成目录的名字：namespace-pvcname-pvname 可以再pvc的annotations中如下声明，自定义名字：生成的pv、目录名字为下面定义的名字。

漏洞详情： https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

在云原生领域，为什么Istio不能缺席？基于 Istio可以获得哪些服务网格能力？

容器管理 plus：docker本身是一个C/S架构客户端用于我们敲命令啊之类的服务端提供了一些api 等 可以通过ps -ef | docker 看到服务主进程 如果要拉你在公有仓库里面自己仓库里的东西可以 docker login daocloud.

Kube Controller Manager 源码分析 Controller Manager 在k8s 集群中扮演着中心管理的角色，它负责Deployment, StatefulSet, ReplicaSet 等资源的创建与管理，可以说是k8s的核心模块，下面我们以概略的形式走读一下k8s Controller Manager 代码。

阿里云宣布弹性容器实例 ECI（Elastic Container Instance）正式商业化。

容器日志存在形式 目前容器日志有两种输出形式： 1、 stdout,stderr标准输出 这种形式的日志输出我们可以直接使用docker logs查看日志，k8s集群中同样集群可以使用kubectl logs类似的形式查看日志。

前言 随着容器技术的兴起，越来越多不同类型的应用开始使用容器的方式进行交付。Golang作为服务器端非常热门的一门语言同时也是容器技术的主要编写语言备受关注。那么将一个Golang应用进行容器化的时候，需要注意哪些事情，在出现问题时该如何进行调优和诊断呢？ 先谈谈Golang本身的设计 Golang是谷歌发布的第二款开源编程语言。

### 简介 当您在阿里云容器服务中使用GPU ECS主机构建Kubernetes集群进行AI训练时，经常需要知道每个Pod使用的GPU的使用情况，比如每块显存使用情况、GPU利用率，GPU卡温度等监控信息，本文介绍如何快速在阿里云上构建基于Prometheus + Grafana的GPU监控方案。

本文通过一个官方示例来重点介绍在阿里云容器服务上如何基于Istio实现多Kubernetes集群上的应用服务混合编排。你可以看到在 一个 Kubernetes 集群上安装 Istio 控制平面，然后Istio连接了2个 Kubernetes 集群之后，就会生成一个跨越多个 Kubernetes 集群的Service Mesh。

如何在kubernetes上部署jenkins master

　　这次介绍一下List接口的另一个践行者——LinkedList，这是一位集诸多技能于一身的List接口践行者，可谓十八般武艺，样样精通，栈、队列、双端队列、链表、双向链表都可以用它来模拟，话不多说，赶紧一起来看看吧。

本文重点介绍在阿里云Kubernetes容器服务中如何启用或者禁用Sidecar自动注入，并分析自动注入Sidecar的原理机制。使用该自动注入能力，可以简化部署应用的逻辑。同时，阿里云Kubernetes容器服务也提供了可配置选型，让用户可以根据自己的需要配置是否启用该能力。

Kubernetes 作为当下最流行的的容器集群管理平台，需要统筹集群整体的资源使用情况，将合适的资源分配给pod容器使用，既要保证充分利用资源，提高资源利用率，又要保证重要容器在运行周期内能够分配到足够的资源稳定运行。

概述 就目前Docker自身默认的网络来说，单台主机上的不同Docker容器可以借助docker0网桥直接通信，这没毛病，而不同主机上的Docker容器之间只能通过在主机上用映射端口的方法来进行通信，有时这种方式会很不方便，甚至达不到我们的要求，因此位于不同物理机上的Docker容器之间直接使用本身的IP地址进行通信很有必要。

Kubernetes Dashboard 为用户提供了 k8s 的 Web 管理界面。

题记： 做技术还是得一步步慢慢来，先搞懂核心原理，一味的只会用，是没有未来的啊。在现在的区块链公司当带着大家做项目的时候，我就经常说作为一名工程师，一定不能浮于表面，如果想在技术这条路上走下去，懂原理才是根本。

chart 由一系列文件组成，这些文件描述了 Kubernetes 部署应用时所需要的资源，比如 Service、Deployment、PersistentVolumeClaim、Secret、ConfigMap 等。

本节学习 Helm 的架构。

本文讨论如何用 ConfigMap 管理应用的配置信息。

本节讨论如何以环境变量的方式使用 Secret。

k8s 是怎样管理用户名密码这类机密信息的呢？

与普通 K8s Volume 相比，PersistentVolume 和 PersistentVolumeClaim 提供了更好的可管理性。

全球开源区块链领域影响最为广泛的Hyperledger Fabric日前宣布了1.1版本的正式发布，带来了一系列丰富的新功能以及在安全性、性能与扩展性等方面的显著提升。阿里云容器服务区块链解决方案第一时间同步升级，在v1.1新功能的基础上，提供了弹性裸金属服务器（神龙）、内置容器化Explorer、集成阿里云日志服务等方面的增强。

本节学习如何将应用回滚到某个特定 revision。