进击的 Traefik 杨川胡（阳明） 知群后台负责人 2019.10.26 Service Mesh Meetup #7 成都站 云原生边缘路由器探秘杨川胡（阳明） 知群后台负责人，原小米视频后台高级研发 ，《Prometheus 深入浅出》作者，「k8s技 术圈」社区作者，现阶段专注于云原生技术 领域，希望成为一个有产品思维的工程师1 Traefik 介绍 2 Traefik Traefik 2.0 核心概念 3 Traefik With Docker 4 Traefik With KubernetesTraefik 是什么？ • 云原生的边缘路由器 • 让部署微服务更加便捷而诞生的现 代 HTTP 反向代理、负载均衡工具 • 它支持多种后台 (Docker, Swarm, Kubernetes, M arathon, Mesos, Consul, Etcd, Z ookeeper ..1 Traefik 介绍 2 Traefik 2.0 核心概念 3 Traefik With Docker 4 Traefik With KubernetesTraefik 是一个边缘路由器Traefik 自动服务发现Traefik 2.0 架构 • Providers 用来自动发现平台上的服务 • Entrypoints 监听传入的流量（端口等… ） • Routers 分析请求（host

银河麒麟服务器操作系统 V4 Hadoop 软件适配手册 天津麒麟信息技术有限公司 2019 年 5 月 银河麒麟服务器操作系统 V4 hadoop 软件适配手册 I 目 录 目 录 ............................................................................. 银河麒麟服务器操作系统 V4 hadoop 软件适配手册 2 1 概述 1.1 系统概述 银河麒麟服务器操作系统主要面向军队综合电子信息系统、金融系统以及电 力系统等国家关键行业的服务器应用领域，突出高安全性、高可用性、高效数据 处理、虚拟化等关键技术优势，针对关键业务构建的丰富高效、安全可靠的功能 特性，兼容适配长城、联想、浪潮、华为、曙光等国内主流厂商的服务器整机产 品，以及达梦、金仓、神通等主要国产数据库和中创、金蝶、东方通等国产中间 件，满足虚拟化、云计算和大数据时代，服务器业务对操作系统在性能、安全性 及可扩展性等方面的需求，是一款具有高安全、高可用、高可靠、高性能的自主 可控服务器操作系统。 1.2 环境概述 服务器型号 长城信安擎天 DF720 服务器 CPU 类型 飞腾 2000+处理器 操作系统版本 Kylin-4.0.2-server-sp2-2000-19050910

帮助，从而保障企业业务和数据更安全的在云上运转。 1.1 云原生及云原生安全 过去十年，企业数字化转型加速推进，相继经历了服务器、云化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 生基础设施、平台及 容器的安全威胁过程中，原有的安全体系也产生了变革。主要表现在如下几个方 面：  防护对象产生变化 安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容 器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。  架构的变化 多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略 和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异 云原生应用的快速迭代和部署频率也对安全治理模式提出了新的要求。传统 的安全治理模式通常是基于静态的规则和策略，针对云原生 DevOps 安全治理 需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规 性检查等工具，以确保安全策略和控制的持续有效性。 面对这些新的挑战，国内外都开展了云原生安全技术的研究和相关标准规范 的制定完善工作，CNCF、CSA 等组织以及行业联盟等纷纷提出云原生安全标 准及

. . . . . . . . . . . . . . . . . . . 362 9.6 编码器‐解码器架构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 9.6.1 编码器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 9.6.2 解码器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 9.6.3 合并编码器和解码器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 9.7.1 编码器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 9.7.2 解码器 . . . . . . . . . . . . . . . . . . . . . . . . .

调度算法比较少，仅仅支持random的 • iptables rule 不容易调试 IPVS mode • 使用hashtable 管理service • IPVS 仅仅提供了DNAT，还需要借用 iptables+conntrack 做SNAT • 控制面和数据面算法复杂度都是O(1) • 经历了二十多年的运行，比较稳定成熟 • 支持多种调度算法 优势 IPVS mode

分离 ETCD 数据 1.8. OPENSHIFT CONTAINER PLATFORM 基础架构组件 1.9. 移动监控解决方案 1.10. 移动默认 REGISTRY 1.11. 移动路由器 1.12. 基础架构节点大小 1.13. 其他资源 第 第 2 章 章 IBM Z 和 和 LINUXONE 环 环境的推荐主机 境的推荐主机实 实践 践 2.1. 管理 CPU 过量使用 2 6. IBM Z 主机上的 RHEL KVM 建议 第 第 3 章 章 推荐的集群 推荐的集群扩 扩展 展实 实践 践 3.1. 扩展集群的建议实践 3.2. 修改机器集 3.3. 关于机器健康检查 3.4. MACHINEHEALTHCHECK 资源示例 3.5. 创建 MACHINEHEALTHCHECK 资源 第 第 4 章 章 使用 使用 NODE TUNING OPERATOR 自定义调整示例 4.7. 支持的 TUNED 守护进程插件 第 第 5 章 章 使用 使用 CPU MANAGER 和拓扑管理器 和拓扑管理器 5.1. 设置 CPU MANAGER 5.2. 拓扑管理器策略 5.3. 设置拓扑管理器 5.4. POD 与拓扑管理器策略的交互 第 第 6 章 章 调 调度 度 NUMA 感知工作 感知工作负载 负载 6.1. 关于 NUMA 感知调度 6

使用配置映射将内容注入卷 2.8. 使用设备插件通过 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 2.9. 在 POD 调度决策中纳入 POD 优先级 2.9.1. 了解 pod 优先级 2.9.1.1. Pod 优先级类 2.9.1.2. Pod 优先级名称 2.9.2 非抢占优先级类（技术预览） 2.9.2.2. Pod 抢占和其他调度程序设置 2.9.2.3. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 节点上的 点上的 POD 放置（ 放置（调 调度） 度） 3.1. 使用调度程序控制 POD 放置 3.1.1 使用污点和容限将用户绑定到节点 3.7.2.3. 使用节点选择器和容限创建项目 3.7.2.4. 使用污点和容限控制具有特殊硬件的节点 3.7.3. 删除污点和容限 3.8. 使用节点选择器将 POD 放置到特定节点 3.8.1. 关于节点选择器 3.8.2. 使用节点选择器控制 pod 放置 3.8.3. 创建默认的集群范围节点选择器 3.8.4. 创建项目范围节点选择器 3.9. 使用 POD 拓扑分布限制控制

创建和管理 Linux 和 Windows 虚拟机 (VM) 在集群中运行 pod 和虚拟机工作负载 通过各种控制台和 CLI 工具连接至虚拟机 导入和克隆现有虚拟机 管理虚拟机上附加的网络接口控制器和存储磁盘 在节点间实时迁移虚拟机 增强版 web 控制台提供了一个图形化的门户界面 来管理虚拟化资源以及 OpenShift Container Platform 集群容器和基础架构。 OpenShift 插件 中列出的其他认证网络插件一起使用。 您可以通过安装 Compliance Operator 并运行带有 ocp4-moderate 和 ocp4-moderate-node 配置集的扫 描来检查您的 OpenShift Virtualization 集群的合规性。Compliance Operator 使用 NIST 认证工具 OpenSCAP 扫描并执行安全策略。 1.1.1. OpenShift hco-operator (HCO)提供了一个单一入口点，用于部署和管理 OpenShift Virtualization 以及一些带有建 议的默认值的 helper operator。它还会为这些操作器创建自定义资源(CR)。 OpenShift Container Platform 4.13 虚 虚拟 拟化 化 8 表 表 2.1. hco-operator 组 组件 件 组 组件 件 描述