容器服务

微服务和容器化带来了将应用程序分解成可重复使用的小型单元的诉求，这些单元通常作为单独的进程运行，或者在单独的容器运行。 Kubernetes的Pod模型允许用户创建一个部署单元，该单元可以打包多个容器作为应用程序的单个实例。 Knative 用户当前同样存在将多个容器部署到一个Pod中对诉求。支持多个容器的能力将有利于把更广泛的工作负载部署到Knative Serving模型中。因此 Knative 从 0.16.0 版本开始提供多个容器的能力。

这个系列文章中我们以实际案例排查，来看一看在容器网络里面，抓包分析问题的技巧，在看这一章之前，建议先看声东同学的《集群网络详解》一文

为了实现高可用，非容器应用通常有一套服务注册和发现的机制。相对而言，kubernetes容器服务为POD提供了统一的基于dns的注册和发现机制。对于http协议的非容器应用的迁移，因为都是基于dns机制，切换成本交底。而对于使用非http协议的非容器应用，服务注册和发现这个技术点为迁移带来了额外的困难。 如何从非容器的注册和发现大脑最终迁移到kubernetes的注册和发现大脑，目前尚没有广泛认可的方案。目前常见的讨论是双脑方案，就是让非容器应用在启动时同时向两套大脑注册，并从两套中发现依赖服务，然后逐步实现向kubernetes大脑过度。这套方案的优点是可以通过随时摆动来保证可用性。

近期CNCF宣布欢迎Argo项目进入 CNCF 孵化器，作为一个新加入的项目，Argo主要关注于Kubernetes原生的工作流，持续部署等方面。 Argo项目是一组Kubernetes原生工具集合，用于运行和管理Kubernetes上的作业和应用程序。

Kubernetes提供了多种容器开放接口用于对接不同的后端来提供资源，如提供计算资源的容器运行时接口（Container Runtime Interface, CRI），提供网络资源的容器网络接口(Container Network Interface, CNI)，提供提供存储资源的容器存储接口（Container Storage Interface, CSI）。

WebAssembly技术已经走出浏览器，让计算无处不在。利用containerd的扩展机制，可以为WebAssembly应用提供与其他容器应用一致的、抽象的、应用分发、交付和运维模型，可以在Kubernetes集群中进行统一调度和管理。

排查过很多次pod网络有问题的场景 ，一直没太弄明白，pod内的网络报文怎么抓，今天遇到一个liveness健康检查失败的问题，liveness是kubelet去访问pod（发生get请求）来确认的，那么对应的访问日志在pod内是可以看到的，因此可以尝试抓包排查，但是pod并不能简简单单的使用tc.

本文阐述的是业务快速恢复方案：当Pod因为数据卷挂载重启失败时，暂不去解决节点挂载的问题，而是让pod先在其他节点启动成功，快速恢复业务，待业务恢复后再去分析出问题的节点。

mPaaS 离线包源自于支付宝原生方案，经历了严苛的业务考验，让你直接和支付宝使用同一套框架层代码，拥有统一容器及内核，相对系统内核获取更低 Crash 率和 ANR 率，适配性强，并具备良好的、弹性的扩展能力，结合具体业务需求定制 JSAPI。

监控是保障系统稳定性的重要组成部分，在Kubernetes开源生态中，资源类的监控工具与组件百花齐放。除了社区自己孵化的metrics-server，到从CNCF毕业的Prometheus，开发者可选的方案有很多。

External-DNS提供了编程方式管理Kubernetes Service资源的DNS的功能，External-DNS会监听LoadBalancer类型的Service，然后与云厂商打通，按照可用区、region和全局三个维度生成独自的域名解析记录，便于服务间调用引导流量。

6月24-26日云原生年度盛会将在 KubeCon SH 召开， 阿里云多位一线专家联手打造 Kubernetes动手实践沙龙。 本沙龙邀请各位参会者动手实践，在聆听容器专家的分享同时，尝试基于阿里云的云原生体验，内容涉及弹性伸缩、日志、网络优化等最佳实践，也有serverless、Istio、Knative等社区热点项目分享。

按照上篇文章搭建了一套Kubeflow Pipelines之后，我们一起小试牛刀，用一个真实的案例，学习如何开发一套基于Kubeflow Pipelines的机器学习工作流。 准备工作 机器学习工作流是一个任务驱动的流程，同时也是数据驱动的流程，这里涉及到数据的导入和准备，模型训练Checkpoint的导出评估，到最终模型的导出。

一家大型基因测序功能公司每日会产生 10TB 到 100TB 的下机数据，大数据生信分析平台需要达到 PB 级别的数据处理能力。这背后是生物科技和计算机科技的双向支撑：测序应用从科研逐步走向临床应用，计算模式从离线向在线演进，交付效率越来越重要。

本文根据华相在「Kubernetes & Cloud Native Meetup- 广州站」现场演讲内容整理。文中介绍了阿里巴巴构建 CI/CD 管道的一些工具选择和步骤。 大家好, 我是来自阿里云容器服务团队的华相。

漏洞详情： https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

背景 k8s能够帮助我们的服务实现服务高可用，其提供的副本机制能够有效的保证运行实例的副本数，从而当某个实例异常后服务可以重新被自动唤起，但在我们的生产环境中，某些特殊的服务（如广告资金服务或计费服务）因服务重启期间而导致的业务中断，对业务请求的延时响应也是不可忽略的问题；而在kubelet的部分版本升级中，也可能会因版本的升级进而导致已经运行的容器服务发生重启；而在特殊的生产环境中类似的操作直接引起的服务重启是需要我们尽可能去规避的； 此篇内容即是对kubelet版本升级与container自动重启这一关联过程原因分析以及供参考方案的简单介绍。

我们为什么使用容器？ 我们为什么使用虚拟机（云主机）？ 为什么使用物理机？ 这一系列的问题并没有一个统一的标准答案。因为以上几类技术栈都有自身最适用的场景，在最佳实践之下，它们分别都是不可替代的。 原本没有虚拟机，所有类型的业务应用都直接跑在物理主机上面，计算资源和存储资源都难于增减，要么就是一直不够用，要么就一直是把过剩的资源浪费掉，所以后来我们看到大家越来越多得使用虚拟机（或云主机），物理机的使用场景被极大地压缩到了像数据库系统这样的特殊类型应用上面。

前言 Kubernetes集群中，如果没有存储，所有pod中应用产生的数据都是临时的，pod挂掉，被rc重新拉起之后，以前产生的数据就丢掉了，这对有些场景是不可接受的，此时，外部存储就显得尤为重要。 这里重点介绍两个API资源： PersistentVolume(PV)：集群中的一块网络存储，是集群中的资源，可类比集群中的Node资源； PersistentVolumeClaim(PVC) : 用户对存储的需求，可类比pod，pod消费node资源，PVC就消费PV资源。

docker 强制删除（rm -f）container时出现错误提示 [root@Ieat1 ~]# docker rm -f nginx Error response from daemon: Driver devicemapper failed t...

阿里云Kubernetes容器服务已经提供了Istio与日志服务Log Service的集成能力，本文通过一个官方示例来重点介绍了Istio与基于阿里云日志服务的分布式追踪系统的整合能力。

1 微服务架构带来的问题 2 微服务间如何通讯 2.1 从通讯模式角度考虑 2.2 从通讯协议角度考虑 REST API RPC MQ 最常用的就是 RPC 如何选择 RPC 框架 ...

Ingress作为所有集群服务请求的入口，其记录的请求日志对于整个请求跟踪链路至关重要，今天主要给大家分享下如何将K8S Ingress Controller日志采集到日志服务中，以便于检索分析服务请求情况。

日常工作中我们经常需要对服务进行版本更新升级，为此我们经常使用到的发布方式有滚动升级、分批暂停发布、蓝绿发布以及灰度发布，今天主要跟大家分享下在阿里云容器服务Kubernetes集群中如何通过Ingress Controller来实现应用服务的灰度发布及AB测试。

阿里容器服务K8S存储卷挂载问题排查

本节我们将安装和部署 Helm 客户端和 Tiller 服务器。

简介 在kubernetes的监控方案中，Heapster+Influxdb+Grafana的组合相比prometheus等开源方案而言更为简单直接。而且Heapster在kubernetes中承担的责任远不止监控数据的采集，还包括控制台的监控接口、HPA的POD弹性伸缩等都依赖于Heapster的功能。

问题描述：     排名    参赛选手    月收益    月收益率 在一个div中横向放置了4个inline-block，宽度为百分比，加起来总共是100%。当其中一个inline-block的文字内容超过元素本身的宽度时，发现其他3个inline-block位置会发生改变，但是如果这个inline-block的内容如果为数字或者一整个连续的英文字符串，其他3个inline-block的位置不会发生改变，不过如果这个inline-block的内容为英文段落（单词之间有空格）并且内容超过元素本身的宽度时，其他3个inline-block的位置还是会发生改变。

PouchContainer 是 Alibaba 开源的一款容器运行时产品，当前最新版本是 0.3.0。PouchContainer 从设计之初即支持 LXCFS，实现高可靠容器隔离。Linux 使用 cgroup 技术实现资源隔离，然而容器内仍然挂载宿主机的 /proc 文件系统，用户在容器内读取 /proc/meminfo 等文件时，获取的是宿主机的信息。

人脸识别技术已经被广泛应用在众多场景中。今天我们将利用Docker容器在树莓派上快速打造一个人脸识别应用。