阿里云容器服务的高级研发工程师,花名溪恒,专注于容器底层技术和网络
可以的,在SLB后面创建虚拟服务器组,然后在虚拟服务器组中找到ECI容器同样IP的ENI弹性网卡添加进去就可以了
docker-proxy中的tcp6监听是兼容tcp4的,通过v4的ip和端口也是可以访问到的
阿里云k8s中的etcd在master节点中通过systemd启动,可以通过journalctl -u etcd来查看
可以通过RAM控制台创建子账号,然后在容器服务控制台就可以通过资源账号对子账号的kubectl权限进行管理
https://help.aliyun.com/document_detail/87656.html?spm=a2c4g.11186623.6.594.7935272f9UQxaf
阿里云容器服务是支持指定子网掩码和容器网段的,可以根据自己的规模和密度的需求自定义容器网段,另外容器服务还支持云原生的容器网络Terway,支持直接用VPC中的地址作为Pod的地址,更不用担心网段划分和规模问题了
k8s社区有个kompose的项目,可以转换compose模板到k8s的部署文件:https://github.com/kubernetes/kompose
Ctrl+p 之后松开两个键,然后再按Ctrl+Q就能退出了
docker run 的时候可以通过--ip参数来指定IP,这样重启后IP就不变了
可以到节点上docker ps -a --no-trunc 展示完整的command
docker的network信息是使用文件数据库保存在 /var/lib/docker/network/目录下
容器的库是来源于容器的基础镜像的,如果在宿主机上打包,在容器中运行的程序,需要保障容器的基础镜像的操作系统跟宿主机打包的操作系统版本完全一致才行。
Docker容器本身只是对进程的包装,对性能的损失非常低 1, 性能差异可以忽略不计,主要在存储方面会有一点损失 2. 容器使用Host网络的话网络没有损失,IO读写方面可以把数据库的文件放到volume中也就不会有损失了 3. 基本上不会有损失
会有公司这么干,但最近这样做的公司会越来越少,现在的容器化都会结合k8s去做自动的调度和部署,会更方便,可以试用阿里云容器服务感受下。
Docker直接开启未认证的端口非常危险,用户可以轻松的通过这个端口运行容器而拿到root权限,建议早日关闭它并对系统进行重新初始化。如果需要远程访问Docker,可以对这个端口用TLS做双向认证加密。
这里配置的密码不是阿里云账户的密码,是第一次进入到镜像服务控制台时设置的密码,如果忘记了密码可以在镜像服务控制台修改
最好选择云服务商的k8s,自建的话运维和升级会非常复杂,详细对比: https://help.aliyun.com/document_detail/86420.html?spm=5176.11065259.1996646101.searchclickresult.17b63d1a1E3WUP
ECI为了安全考虑暂时不支持privileged权限,不过很多root的权限是不需要privileged也可以用的,如果需要完全使用privileged权限可以使用阿里云容器服务ACK的集群,节点是属于您自己的,这样控制权大一些。
kubernetes的网络概念中都是一种大网的模式,也就是所有pod是在同一个网络中的,当需要隔离性时采用Network Policy来解决,就是通过一些声明的方式表示访问的权限和关系,类似于微服务的治理,而不是通过vxlan或者vlan这种传统的分区的方式。
可以开白名单解决
vpc和路由表不分AZ,vswitch才会分