Kubernetes

在 kubernetes 中找出使用 jdk9 及以上版本的应用

2022-3-30

近日, Spring Cloud (SPEL) 中发现 RCE 0-day 漏洞, 为了排查 kubernetes 中所有存在安全威胁的应用. 特地开发了一个小工具来寻找。该工具基于 golang&client-go 开发, 程序会找出当前集群中所有 Running 的 pods, 然后逐个进入容器，执行 java -version 命令，将命令输出打印到文件中，使用编辑器进行查找检索即可。

在 kubernetes 中找出过度使用资源的 namespaces

2022-3-28

Technology

Golang, Kubernetes

我们知道, 在 kubernetes 中, namespace 的资源限制在 ResourceQuota 中定义, 比如我们控制 default 名称空间使用 1核1G 的资源. 通常来讲, 由于 kubernetes 的资源控制机制, .status.used 中资源的值会小于 .status.hard 中相应资源的值. 但是也有特例. 当我们开始定义了一个较大的资源限制, 待应用部署完毕, 资源占用了很多之后, 这时调低资源限制. 此时就会出现 .status.used 中的值超过 .status.hard 中相应值的情况, 尤其是内存的限制.

比较冷门但有用的 kubectl 命令

2022-3-22

Technology

Kubectl, Kubernetes

以下冷门命令能实现某种具体的功能, 都是在实际工作中摸索总结的经验, 获取到相关的资源名称之后, 就可以配合常用的 kubectl 命令获取其他详细信息.

[解决] FailedScheduling pod/<pod-name> pod is <uid> in the cache so can't be assumed

2022-3-21

Technology

Kubernetes

pod is in the cache, so can’t be assumed, 这是调度器 scheduler 缓存失效导致的异常事件, 大致原因是 pod 已经调度, 并绑定到指定节点, 由于该节点异常导致启动失败, 重新启动 prometheus statefulset, 让集群重新调度, 其实就是将现有到 prometheus pod 副本数将至 0, 再恢复正常即可.

[解决] Warning pod/calico-node-<hash> Readiness probe failed

2022-3-21

Technology

Kubelet, Kubernetes

calico-node-4fpgp Readiness probe failed, orphaned pod found, but volume paths are still present on disk : There were a total of N errors similar to this. Turn up verbosity to see them.

load average 过高, mount nfs 问题处理

2022-3-14

Technology

Nfs, Kubernetes

周末, 有一台服务器告警: 系统负载过高, 最高的时候都已经到 100 +, 以下是排查&处理的具体过程.

发现的问题/现象 #

`uptime` 显示 load average 都在70+ #

因为服务器是40核心, 原则上负载40是满负荷, 现在明显存在大量等待的任务. 继续往下分析进程, 看具体那个进程一直在堵塞.

`ps -ef` 执行到某一个进程就卡住了 #

命令执行如下:

...

解决 kubelet cannot allocate memory 错误

2022-2-27

Technology

Kubelet, Kubernetes

问题描述 #

查看 pod 相关 events 如下：

1
2
3
4
5
Events:
  Type     Reason                    Age                   From               Message
  ----     ------                    ----                  ----               -------
  Normal   Scheduled                 18m                   default-scheduler  Successfully assigned container-186002196200947712/itms-5f6d7798-wrpjj to 10.206.65.144
  Warning  FailedCreatePodContainer  3m31s (x71 over 18m)  kubelet            unable to ensure pod container exists: failed to create container for [kubepods burstable pod31f4c93c-c3a1-49ad-b091-0802c5f1d396] : mkdir /sys/fs/cgroup/memory/kubepods/burstable/pod31f4c93c-c3a1-49ad-b091-0802c5f1d396: cannot allocate memory

这是内核bug，建议升级内核

...

使用Kubespray安装kubernetes的教程

2022-2-14

Technology

Kubespray, Kubernetes

本文使用 kubespray 容器部署 kubernetes v1.22, 提供了从国外搬运的离线软件包/容器镜像. 仅需要几步即可部署高可用集群. 所有离线文件都来自官方下载 kubespray 安装过程会进行软件包验证, 放心使用.

前提 #

禁用防火墙
重要: 本文使用 kubespray 的容器环境部署, 为避免影响节点部署(特别是 Runtime 部署), 所以需要一台独立于集群外的服务器执行下面的命令, 这台服务器安装 docker 19.03+ 并到所有节点SSH免密进入.
目标服务器要允许 IPv4 转发, 如果要给 pods 和 services 用 IPv6, 目标服务器要允许 IPv6 转发.

注意: 下面配置是适合 kubespray 的配置, 实际配置取决于集群规模.

...

[PPT] 实践中总结 Kubernetes 必须了解的核心内容

2022-2-8

Technology

Kubernetes

PPT 分享 #

以下是 <实践中总结 Kubernetes 必须了解的核心内容> 主题分享 PPT

ppt-page-1

ppt-page-3

ppt-page-4

ppt-page-5

ppt-page-6

ppt-page-7

ppt-page-8

ppt-page-9

ppt-page-10

ppt-page-11

ppt-page-12

ppt-page-13

ppt-page-14

ppt-page-15

ppt-page-16

...

kubernetes 中的 pod 究竟是什么

2022-2-8

Technology

Pod, Kubernetes

前言 #

kubernetes 中 pod 的设计是一个伟大的发明, 今天我很有必要去聊一下 pod 和 container, 探究一下它们究竟是什么? kubernetes 官方文档中关于 pod 概念介绍提供了一个完整的解释, 但写的不够详细, 表达过于专业, 但还是很推荐大家阅读一下. 当然这篇文档应该更接地气.

容器真的存在吗? #

linux 中是没有容器这个概念的, 容器就是 linux 中的普通进程, 它使用了 linux 内核提供的两个重要的特性: namespace & cgroups.

...

发现的问题/现象 #

uptime 显示 load average 都在70+ #

ps -ef 执行到某一个进程就卡住了 #

问题描述 #

前提 #

PPT 分享 #

前言 #

容器真的存在吗? #

`uptime` 显示 load average 都在70+ #

`ps -ef` 执行到某一个进程就卡住了 #