Key和Value进⾏过滤。匹配对象必须满⾜所有的Label约束， 尽管对象可能还有其他Label。允许使⽤三种运算符： = 、 == 、 != 。前两个表示相等 （只是同义），⽽后者则表 示不相等 。 例如： environment = production tier != frontend 前者选择所有与key = environment 并且value = production matchExpressions ⼀个元 素，其 key 为“key”， operator 为“In”， values 数组仅包含“value”。 matchExpressions 是⼀个Pod选择器需求列 表。有效运算符包括In、NotIn、Exists以及DoesNotExist。 当使⽤In和NotIn时，Value必须⾮空。所有来 ⾃ matchLabels 和 matchExpressions 认值、⾃动⽣成的字段或以及auto-sizing或auto-scaling的系统所设置的字段区分开。 构建信息、发布信息或镜像信息，如时间戳、release ID、git分⽀、PR编号、镜像哈希以及注册表地址。 指向⽇志、监控、分析或审计仓库。 ⽤于调试的客户端库或⼯具的信息：例如名称、版本和构建信息。 ⽤户或⼯具/系统来源信息，例如来⾃其他⽣态系统组件的相关对象的URL。 轻量级升级⼯具的元数据：例如配置或检查点。

鏈 OUTPUT 鏈 FORW/ARD 鏈 FORW/ARD 鏈 INPUT 鏈 filter 表 nat 表 mangle 表 raw 表 OUTPUT 鏈 Iptables 防火牆預設的規則表、鏈結構 第一條規則 第二條規則 第三條規則 圖 2.23 四種掛接點的規則表 當 Linux 協定堆疊的資料處理執行到掛載節點時，它會依序呼叫掛接點上所有的 hook 函數，直到資料封包的處理結果是確定地接收或拒絕。 函數，直到資料封包的處理結果是確定地接收或拒絕。 2 處理規則 每個規則的特性皆分為以下幾部分： ~ 表類型（準備做什麼事情？）； ~ 何種掛接點（何時發揮作用？）； ~ 比對的參數是什麼（針對何種類型的資料封包？）； ~ 比對後有什麼動作（比對後具體的處理是什麼？）。 表類型和何種掛接點在前面已經介紹過，現在我們來看看比對的參數和比對後的 動作。 2-89 2.5 使用率、記憶體使用情況和檔案系統的使用情況。 圖 4.6 kube-ui 主頁 5-10 Kubernetes 進階案例 5 ~ Grafana：透過 Dashboard 將 InfluxDB 中的時序資料展現成圖表或曲線等形 式，便於維運人員查看叢集的運行狀態。Grafana 的網頁為 http://grafana.org。 整體架構如圖 5.2 所示。 取得 Node 清單 圖 5.2 Heapster

OpenShift包含預先設定的Prometheus監控堆疊，並搭配使用Grafana儀表板。同樣 地，Rancher使用者只要在Rancher UI按一下，就能啟動Prometheus及Grafana。 最後，Canonical Kubernetes出貨時隨附一組標準化的開放原始碼記錄彙總及系統 監控儀表板，其中使用Prometheus、Grafana、Elasticsearch及Nagios 其他廠商並未採用模型導向作業以隔離模型與平台，而是仰賴範本系統用於多雲部 署，針對不同雲端提供不同的最佳化設定。OpenShift可讓Ansible用於簡化多雲 Kubernetes部署。同樣地，多雲搭配Rancher可運用Helm圖表，並搭配使用雲端 專屬版本的Kubernetes，例如Amazon EKS及Google GKE。這類範本系統通常缺 乏彈性，以及程式碼化應用程式管理的重複性，因此可能增加維護成本。 14.原生AWS/GCP/Azure整合

应用现代化架构图...........................................................................................16 表 目 录 表 1 2022-2023 年中国部分省市云计算相关政策..................................................11 云计算白皮书（2023 年） 例如，北京、上海、深圳等地企业购买云服务后，政府按合同金额 或上云费用进行一定比例的消费券或资金补贴；浙江、四川等则采 用对优秀上云企业直接发放不同级别资金的方式进行奖励。 云计算白皮书（2023 年） 11 表 1 2022-2023 年中国部分省市云计算相关政策 省市 时间 相关政策 重点内容 北京 2023.3 《2023 年北京市支持中小企业发 展资金实施指南》 对“专精特新”中小企业上云上平

API Server Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 全组配置是否 符合预期 安全组 B Node Node Node 安全组 A Master Master Master X 集群网络 网络配置静态检测 • 集群外部网络安全组、路由表 • 节点 iptables、路由、网卡配置 网络动态异常巡检 • 全链路网络异常收集 • 通过 ebpf 追踪丢包调用栈 Pod Node eth0 eth0 VPC 容器内配置错误

容器处于同一个二层广播域 ★k8s服务器上的各网卡关系图 [root@k8s-node01 ~]# ip route #查看k8s node结点上的路由表 default via 10.99.1.1 dev ens33 proto sta�c metric 100 #k8s服务器底层默认路由 10.99.1.0/24 dev el.1 10.244.3.0/24 dev cni0 proto kernel scope link src 10.244.3.1 #本node结点上的pod网段 #由上面的路由表可得知，各k8s服务器上的pod容器并不是在同一个二层广播域 里，虽然底层是vxlan隧道，所有的pod处于一个overlay网络里，但为了避免二 层的广播流量占用大量的网络带宽，所以k8s把pod网段进一步细分了，各服务

接入层 客户端 客户端 K8s 元信息存储的需求 • 背景介绍 • 设计思路 • 性能优化 • 落地效果 • 未来演进 性能优化 写优化 - 1 降低锁粒度 存储引擎替换 表锁 -> 行锁，增大了写的并发 写优化 - 2 单点写 -> 多点写 multi raft range 分片，增大写并发 Brain 层无磁盘 io，只有网络 io 写优化 - 3 事务优化

Kubernetes 集群； • ⽀支持 Kubernetes 集群按需伸缩和按需修补。 X-Pack 增强包 + 原⼚厂企业级⽀支持服务 KubeOperator 开源容器器平台功能列列表 Day 0 规划 集群模式 1 个 Master 节点 n 个 Worker 节点模式：适合开发测试⽤用途；3 个 Master 节点 n 个 Worker 节点模式：适合⽣生产⽤用途； 计算⽅方案

title style 12 馴服 Kubernetes Day2 Ops 複雜性 12 • A single pane of glass platform • 運營團隊需要能夠通過一個統一的儀 表板在一個地方可視化整個系統。 • Complete separation of concerns • 應用程序開發人員應該能夠盡可能地 自助服務，依靠一小群平台工程師來 管理底層操作系統。 •

试 微服务的测试阶段 测试类型 工具生成测试用例 简单高效做单元测试 • gitlab.yaml or docker-compose.yaml • 构建MySQL、Redis • 创建表 ./app --job=install • 初始化数据 ./app --job=initialize • 单元测试 go test ./... 单元测试大部分的玩法，都是在做解除依赖 • 面向接口编程