容器服务

漏洞详情： https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

Helm 是Kubernetes 集群的包管理器(charts)， charts 是Kubernetes资源的一个打包集合。 Helm之于Kubernetes好比yum之于RHEL，或者apt-get之于Ubuntu。

在容器服务功能迭代的过程中，早期的一些版本是不支持数据盘挂载的。当需要在机器上运行的容器或者镜像的数量不断增加时，有可能磁盘的大小不再满足需求，这个时候就需要给Docker的数据目录通过增加数据盘的方式进行扩容。

网络是Kubernetes的一个重要基础能力，当下社区中也有很多可以选择的网络方案。本次分享主要介绍Kubernetes网络的实现方式，总结阿里云所遇到的问题和各类场景，并介绍开源Terway网络插件中如何解决的这些问题。

目前，阿里云容器服务已经可以创建托管版 Kubernetes 集群了。该类型集群可以免去默认类型 Kubernetes 集群中三个 Master 节点，从而节约创建三台 ECS 的所需的资金成本及维护成本。

相关原理概述 先来讲讲什么是CNI? CNI（容器网络接口）是一种操作容器网络规范，包含方法规范，参数规范等。 CNI只关心容器的网络连接，在容器创建时分配网络资源，并在删除容器时删除分配的资源。因为这个焦点，CNI有广泛的支持，规格易于实现。

毫无疑问，Kubernetes 已经成为容器领域当之无愧的事实标准。除了 Google、Microsoft 等技术巨擘们在容器领域里多年的博弈外，国内的 BAT、滴滴、蚂蚁、今日头条等技术大厂，也都已将容器和 Kubernetes 列入未来的战略重心，无数中小型企业也正走在容器化的道路上。

本文主要跟大家分享下如何通过Log-Pilot来配置采集Kubernetes集群中Pod的日志。

（一）13日 K8s 动手技术沙龙 Crafting diverse apps, Alibaba Cloud K8S playground《Kubernetes动手实践课堂》日期：11月13日，星期二时间：上午9:00 – 下午15:30Cost of event: Free 简介：本沙龙邀请各位参会者动手实践，在聆听容器专家的分享同时，尝试阿里云容器、开源工具。

本文主要跟大家分享下如何在阿里云容器服务不同K8S集群内进行应用的流量复制

如今的监控解决方案趋向于跟踪短暂和快速扩展的容器集。合作伙伴的监控解决方案通过 Docker 引擎公开的 API 可以实时收集系统以及 Docker 容器的事件和指标来监控客户的整个基础架构、应用程序和服务的运行状况和性能。

本文主要演示基于阿里云容器服务Kubernetes和Jenkins-X-Platform创建、构建和发布一个Spring Boot应用。

通过CodePipeline可以构建您的代码工作流模板，配置从应用编译到容器镜像构建和推送，再到Kubernetes应用的发布，打通代码应用发布全过程自动化。

### 基于GPU的指标扩缩容 在深度学习训练中，训练完成的模型，通过Serving服务提供模型服务。本文介绍如何构建弹性自动伸缩的Serving服务。 Kubernetes 支持HPA模块进行容器伸缩，默认支持CPU和内存等指标。

容器技术已然成为企业数据中心的标配技术，企业通过容器技术尝试快速交付业务，然而事实上目前仍未达到容器技术在企业中迅速铺开的阶段。如何通过高效可靠的容器技术，帮助企业迅速实现内部存量应用的容器化，以及提供安全隔离性强的环境，依然是容器技术急需解决的难题。

当前容器服务kubernetes支持多种应用访问的形式，最常见的如SLB:Port，NodeIP:NodePort，域名访问等；但是如果用户希望能够通过https进行应用的访问，容器服务kubernetes默认是不支持的，本文旨在通过实际案例演示https的访问配置，帮助用户在容器服务kubernetes中配置自己的证书。

杭州云栖大会见

传统上，通常使用防火墙实现网络层的访问控制，比如iptables rule，部署应用之后，通过iptables设置运行的ip白名单。在使用Kubernetes之后，由于Pod是动态分配到机器上，而且在运行过程中随时可能迁移到其他机器，显然不适合继续使用手工配置iptables的方式。

Java5.0 在java.util.concurrent 包中提供了多种并发容器类来改进同步容器的性能。 ConcurrentHashMap 同步容器类是Java5 增加的一个线程安全的哈希表。

参考资料《Java并发编程的艺术》

主要介绍开发者对于程序上kubernetes需要注意的点

　　今天来看看Map家族的另一名大将——TreeMap。前面已经介绍过Map家族的两名大将，分别是HashMap，LinkedHashMap。HashMap可以高效查找和存储元素，LinkedHashMap可以在高效查找的基础上对元素进行有序遍历，那么TreeMap又有什么特点呢？别急别急，看完这篇你就知道了。

　　一、ApplicationContext的xml解析工作是通过ClassPathXmlApplicationContext来实现的，其实看过ClassPathXmlApplicationContext的xml源码解析过程的其实都应该知道，xml的解析过程基本上就是用原来的XmlBeanFactory的解析过程完成的。

诚邀贵司成为ESP合伙伙伴

1. 更新cloud-controller-manager的镜像到最新版本v1.9.3 registry-vpc.${regionid}.aliyuncs.com/acs/cloud-controller-manager-amd64:v1.

本文分析了DeamonSetController及PriorityClass Validate时，对CriticalPod的所做的特殊处理。

大家在部署Kubernetes集群AddOn组件的时候，经常会看到Annotation **scheduler.alpha.kubernetes.io/critical-pod"=""**，以表示这是一个关键服务，那你知道这些Critical Pod跟Regular Pod到底存在哪些不同么？本文就带你一探究竟，看看Critical Pod在哪些时候会有哪些特殊行为（Predicate in Schedule、Kubelet Eviction、DaemonSet、Kubelet Preemption），便于你更优雅的在阿里云上玩转Kubernetes。

　　上一篇中对HashMap中的基本内容做了详细的介绍，解析了其中的get和put方法，想必大家对于HashMap也有了更好的认识，本篇将从了算法的角度，来分析HashMap中的那些函数。 HashCode 　　先来说说HashMap中HashCode的算法，在上一篇里，我们看到了HashMap中的...

概述 就目前Docker自身默认的网络来说，单台主机上的不同Docker容器可以借助docker0网桥直接通信，这没毛病，而不同主机上的Docker容器之间只能通过在主机上用映射端口的方法来进行通信，有时这种方式会很不方便，甚至达不到我们的要求，因此位于不同物理机上的Docker容器之间直接使用本身的IP地址进行通信很有必要。

@Bean和@Configuration Spring新的Java配置支持中的中心构件是 - @Configuration注释类和@Bean注释方法。

本节讨论 Prometheus Operator 的架构。

本系列前面的文章已经通过一个官方示例演示了如何部署应用到上述Istio环境中，并演示了如何设置智能路由、分布式追踪以及Istio 的遥测数据收集、查询及可视化等功能。本文则是继续基于此示例演示了如何在Istio中使用故障诊断与检测工具Weave Scope。

本系列前面的文章已经通过一个官方示例演示了如何部署应用到上述Istio环境中，并演示了如何设置智能路由、分布式追踪等，本文则是继续使用此示例来尝试 Istio 的遥测数据收集、查询及可视化等功能。

本文是2018年大数据峰会上的一些分享，关于在线业务，离线业务在ACK（阿里云容器服务Kubernetes）的平台上通过对bandwidth, disk quota的灵活组合完成在线，离线业务场景的混合部署，来提高总体资源的使用率，以及带宽，本地盘资源的动态分配调整，来控制离线，在线资源水位。

　　上一篇里介绍了容器家族里的大族长——Collection接口，今天来看看容器家族里的二族长——Map接口。 　　Map也是容器家族的一个大分支，但里面的元素都是以键值对（key-value）的形式存放的，就像字典一样，用相应的key就可以拿到相应的value。

Ioc概念 很多初学者在刚听到Ioc和DI等概念的时候，往往一头雾水，用了很久才理解它们的意思，这里我说一下我对它们的理解。 image.png IOC(Inversion Of Control，反转控制)一般也被理解为DI(Dependency Injection，依赖注入)，实际上两者还是略微有些区别，虽然它们经常性的出现在一起。

日常工作中我们经常需要对服务进行版本更新升级，为此我们经常使用到的发布方式有滚动升级、分批暂停发布、蓝绿发布以及灰度发布，今天主要跟大家分享下在阿里云容器服务Kubernetes集群中如何通过Ingress Controller来实现应用服务的灰度发布及AB测试。

准备就绪，可以安装和管理 chart 了。

阿里容器服务K8S存储卷挂载问题排查

Helm 通过模板创建 Kubernetes 能够理解的 YAML 格式的资源配置文件，我们将通过例子来学习如何使用模板。

Helm 的使用方法像极了 apt 和 yum，用 Helm 来管理 Kubernetes 应用非常方便。

一个宿主机上可以运行多个容器化应用，容器化应用运行于宿主机上，我们需要知道该容器的运行情况，包括 CPU使用率、内存占用、网络状况以及磁盘空间等等一系列信息，而且这些信息随时间变化，我们称其为时序数据

两个简单的步骤可以将镜像大小从948 MB缩减到79 MB。

PouchContainer 是 Alibaba 开源的一款容器运行时产品，当前最新版本是 0.3.0。PouchContainer 从设计之初即支持 LXCFS，实现高可靠容器隔离。Linux 使用 cgroup 技术实现资源隔离，然而容器内仍然挂载宿主机的 /proc 文件系统，用户在容器内读取 /proc/meminfo 等文件时，获取的是宿主机的信息。

当 PV 不再需要时，可通过删除 PVC 回收。

目前，基于Kubernetes的容器PaaS在企业级数字化转型中扮演了越来越重要的角色。而Kubernetes在开源容器编排技术里独占鳌头，并在市场中迅速升温，越来越多的企业开始使用基于Kubernetes技术构建企业级PaaS平台，从而加速业务应用的交付、提高运维效率、实现微服务架构升级。

一, 简介 Dockerfile 运行只支持一条命令，当在Docker里要运行多条命令，用supervisor来管理就比较合适了。 Supervisor是一个 Python 开发的 client/server 系统，可以管理和监控类 UNIX 操作系统上面的进程。

hostPath Volume 将 Docker Host 文件系统的目录 mount 到 Pod 的容器。