9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22 Insomnia 58. IntelliJ HTTP 客户端插件 59. KEDA 60. Kubeconform 61. mob 62. MobSF 63. Mocks Server 64. Prisma 运行时防护 65. Terratest 66. Thanos 67. Yalc 评估 68. ChatGPT 69. Codeium 70. GitHub 合并队列 71. Google Bard 72 9. ReAct 提示工程 10. 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22.

性能 Docker、Docket、Gaiastack P2P Agent下载镜像对比 Registry与P2P Agent流量占比对比 • 镜像下载引入BT协议 • 对Docker Daemon零入侵 • 每层分别做种 • 优化blob下载策略 发表论文：《FID: A Faster Image Distribution System for Docker Platform》 2017 GPU上的多个VM，GPUvm将物理GPU分成几个部分，并将每个 部分分配给单个VM。 NVIDIA GRID 在硬件层面实现GPU虚拟化，每个容器可以绑定一个虚拟GPU NVIDIA Docker 通过将GPU设备及运行时的库转为volume挂载到容器中实现了容 器与驱动的解耦。但是一个GPU设备仅能挂载到一个容器中，不 支持容器间共享GPU设备 ConvGPU 仅支持内存资源的共享且仅处理单个GPU 容器使用GPU的问题： 容器使用GPU的问题： • 需要特定的硬件设备 • 不支持容器共享 • 仅支持内存资源虚拟化 • 仅支持单个GPU卡 采用Device Plugin： • GPU资源的发现 • 为任务分配相应的硬件 资源及配置容器运行时环境 transparent. GaiaGPU不应修改Kubernetes代码或容器镜像以共享GPU。使用共享GPU执行应用程序应该就像 在物理GPU上执行一样。 Performance. Gai

based 和 set-based 。Label选择器可由逗号分隔的多个需求组成。在多重需 求的情况下，必须满⾜所有需求，因此逗号作为AND逻辑运算符。 ⼀个empty Label选择器（即⼀个零需求的选择器）选择集合中的每个对象。 null Label选择器（仅⽤于可选的选择器字段）不选择任何对象。 注意 ：两个Controller的Label选择器不能在命名空间内重叠，否则它们将会产⽣冲突。 仍在运⾏，或正在启动或重新启 动。 Succeeded：Pod中的所有容器已成功终⽌，不会重新启动。 Failed：Pod中的所有容器都已终⽌，并且⾄少有⼀个容器已终⽌失败。也就是说，容器以⾮零状态退出或被系统 终⽌。 Unknown：由于某种原因，⽆法获得Pod状态，通常是由于与Pod所在主机通信时出现错误。 Pod Condition Pod有⼀个PodStatus，它有⼀个PodConditions ，则默认为1。 使⽤ReplicaSet 删除ReplicaSet和其Pod 可使⽤ kubectl delete 删除ReplicaSet及其所有pod。Kubectl将ReplicaSet缩放为零，并等待它删除每个Pod，然后再 删除ReplicaSet本身。 如果这个kubectl命令被中断，可以重启。 当使⽤REST API或Go语⾔客户端库时，需要明确执⾏这些步骤（将副本缩放为0，等待Pod删除，然后删除

• 硬件配置需要运行时去指定 OCI (Open Container Initiative) • From Linux Foundation • 旨在为 Container 格式和运行时创建开放行业标准。 • 该组织于2015年6月22日由Docker，CoreOS等 Container 行 业的领导人推出。 • OCI目前包含两个规范： • 运行时规范（runtime-spec

舊版本。 6. 邊緣支援 在邊緣運作對Kubernetes產生全新挑戰：資源的規模、大小及可存取性很快 將成為限制因素。Canonical為了解決以上挑戰而推出的MicroK8，是一款輕 量級的零作業Kubernetes發行版本，專為邊緣及物聯網環境所建構。同樣地， Rancher K3是最小足跡的發行版本，設計在資源受限的偏遠地點發揮出色作 用。 K3及MicroK8都可在邊緣大幅簡化部署 滿足特定先決 條件才能使用IPI，而且透過IPI進行的OpenShift設定缺乏彈性，能夠自訂 的項目有限。 6 Canonical Kubernetes可讓企業運用機器即服務(MAAS)，透過零接觸的雲端型 佈建方式，全自動地進行裸機機器的探索、試運轉、部署及設定。機器佈建後， Juju整合可讓使用者部署Canonical Kubernetes，就像在公有雲或私有雲之中 一樣簡單。相較於OpenShift Z。 • Rancher支援x86及ARM。 7 20.價格 Canonical Kubernetes的價格效能，是這三種發行版本中最出色的，主要原因是能 夠以Juju自動化輕鬆部署及管理，以及零授權費的Canonical軟體；此外其中也以每 主機模式向企業提供具高度成本效益的支援服務。 OpenShift則是完全相反，收取高昂的授權費，採用每核心支援模式，因此 OpenShift的TCO一

# reboot ★第1章、部署k8s版本<=1.23 k8s在1.23及之前版本默认是调用docker作为底层的容器运行时，从1.24版本开 始移除了dockerShim组件，不再支持docker，从而默认使用containerd作为底层 的容器运行时。 k8s 1.23及之前版本： kubelet→dockerShim→dockerd→containerd→runC 默认调用的cri-socket： nerd的命令行工具为ctr，而k8s v1.24之后版本又新 增额外的辅助工具crictl crictl是遵循CRI接口规范的一个命令行工具，通常用它来检查和管理kubelet节点 上的容器运行时和镜像。（支持containerd/docker/crio） ★安装crictl工具 默认随kubeadm一起安装了，在cri-tools-xxxx.x86_64.rpm这个包里，如果想单独 安 resourceQuota-testxx.yaml ★第7章、pod控制器 pod控制器是由kube-controller-manager组件提供的一些资源，负责控制pod的创 建、删除、重新调度、运行时间等。常用的pod控制器有ReplicaSet, Deployment, DaemonSet, Job, CronJob等，如果pod被删除，则可以重新拉起一个 ★通过kind: Pod创建的容器组，在kubectl

能，更好的突出业务本 身，从根本上解决运维难的问题。 ü 集群管理：管理集群下所有主机及命名空间资源 ü 容器及业务流程管理：在 Kubernetes 上构建工作负载的基础架构，具有零宕机滚 动式更新、定点部署，且内置备份、灾难恢复等功能 ü 存储管理：支持存储卷的全生命周期管理 ü 网络管理：支持多种网络模式 Alauda Kubernetes 白皮书

那网络故障呢？磁盘故障呢？恢复呢？如何控制作用范围？ 这是一件复杂的事 TBF/NETEM/... 这是一件困难的事 1. 天然的隔离性和安全性 2. Go 的线程模型与 namespace 机制难以融合 3. 要求运行时注入和恢复 4. 和内核打交道通常都是困难的! Kubernetes 上的混沌工程方案 Chaos Mesh Cloud Native ● 在 Kubernetes 上运行，被测对象也运行在

Summary • 基于 DSL 的 Kubernetes 集群异常检测框架支撑了阿里云上万集群常态运行和关键运维动作执行 • 框架具有强通用性和扩展性，适用于多种集群版本、类型、场景 • 框架可实现零代码定制集群检查报告 • 框架可实现低代码扩展、集成多种异常检测能力 Next • 更多异常检测数据源 • 集群配置推荐 • 自动修复

ASK ACK 云上k8s集群 线下k8s集群 Creae/Delete/Update/Describe/Logs/Exec/Metrics ECI关键技术选择 - 基于安全沙箱技术的容器运行时 ECI Elastic Container Instance Pod container agent Container Container ECI ECI ECI ECI ECI