Installation - SSH - Install kubelet - $pkgmanager install kubelet - Install container runtime - $pkgmanager install [docker|rkt] - Start kubelet - Systemctl start kubelet Installation - master - SSH - Install them Installation - etcd - SSH - Install etcd - Config them correctly - Start them Installation kops, kubeup.sh, kube-AWS,... AWS, GCP API node1 node2 node3 Upgrade - SSH - Upgrade container runtime runtime - Upgrade Kubelet Upgrade - master - SSH - Upgrade master components Upgrade - etcd - SSH - Upgrade etcd Upgrade kops AWS, GCP API node1 node2 node3 Rollback ??? AWS, GCP API node1 node2

在ansible-client机器上配置免密登录 ⽣成ssh公钥和私钥 在ansible-cilent机器上执⾏： ~]# ssh-keygen 然后三次回⻋，⽣成ssh公钥和私钥。 建⽴ssh单向通道 在ansible-cilent机器上执⾏： ~]# ssh-copy-id root@172.20.0.88 #将公钥分发给88机器 ~]# ssh-copy-id root@172.20 20.0.89 ~]# ssh-copy-id root@172.20.0.90 ~]# ssh-copy-id root@172.20.0.91 ~]# ssh-copy-id root@172.20.0.92 在ansible-client机器上安装kubespray 下载kubespray TIPS：本⽂下载的是master分⽀，如果⼤家要部署到线上环境，建议下载RELEASE分⽀。笔者撰写本⽂ --kubelet-certificate-authority 标志，为apiserver提供⼀个根证书包，⽤于验证kubelet的证 书。 如果不能这样做，如果需要，请在apiiserver和kubelet之间使⽤ SSH tunneling ，以避免通过不可信或公共⽹络进⾏连 接。 最后，应启⽤ Kubelet authentication and/or authorization 来保护kubelet API。

kubectl create secret generic myssh-key-secret --from-file=ssh- privatekey=${HOME}/.ssh/id_rsa \ --from-file=ssh-publickey=${HOME}/.ssh/id_rsa.pub 创建ssl证书secret # kubectl create secret tls cof-lee

Please enter your numeric choice [2]: 2 Enter the path to the SSH private key to use (leave empty to generate): /Users/karangoel/.ssh/vsphere Enter proxy without "http://" or "https://" (leave blank

设置集群名称 -> 选择虚拟数据中⼼ -> 选择集群私⽹ip⽹段 -> 选择计费⽅式-> 设置master节点 - > 设置worker节点 -> 选择HA配置 -> 选择集群公⽹ip -> 设置集群ssh登录密码 -> 确认⽆误后点击 确认 2.使⽤须知 集群管理 1.简介 2.使⽤须知 3.操作说明 4 5 进⼊集群⻚⾯ -> 查看创建的集群，状态为正常代表创建成功 访问集群 挂载成功后，会显示私⽹IP 挂载过程可能⽤时较⻓，3-5分钟 14 挂载NAS盘到本地机器 对于已经挂载好的NAS盘，该集群内的任何⼀台计算资源（master和worker）均可访 问 ssh登录任意⼀台集群 创建⼀个新的⽬录： mkdir ~/nas 挂载NAS盘到本地： sudo mount -v -t nfs -o "vers=4,noresvport"

0 码力 | 94 页 | 9.98 MB | 1 年前

3

服务发现方案 • 平台方案 容器方案 •Supervisord •Syslog •Sshd •业务二进制 •配置文件 容器方案 •Supervisord守护其它进程 •通过ssh登陆 •集成大量工具 •使用方式与物理机无异 问题：上容器有多大性能损失？ 没有频繁的磁盘访问的应用容器和本地进程无异，网络为主要开消 想要的网络方案 •全网能够互通 •简单能掌控

Background: K8s Secrets Cluster • What they are? • Sensitive information • Passwords • OAuth tokens • ssh keys etc. • Stored in etcd • distributed Key-Value data store • How about their security? • Default

Platform不可变基础设施 base os dep2 dep1 config binary Docker K8s Pod main Container logtail sshd monitor 业务 ssh 日志 监控 通过 Dockerfile 打包应用 镜像，一次定义多次运行 通过镜像提供的组装机制 打包应用镜像，包含业务 及运维基础设施进程 更进一步组合多个容器 为一个 Pod，Pod

工作站 评估 Google Cloud 工作站 是 GCP 提供的云端开发环境（Cloud Development Environment，CDE）。它提供了完 全托管的容器化开发环境，可以通过 SSH、HTTPS、VSCode、Jetbrains IDEs 等多种方式进行访问，使开发人 员可以享受和连接本地环境一致的体验。Google Cloud 工作站允许管理员将容器化开发环境纳入私有网络，并

НАДО использовать тег :latest Расширенные настройки ● ClickHouse settings (profile, server settings) configuration: settings: compression/case/method: zstd ● Zoned deployment, Affinity rules