Posted 2024-11-08Updated 2026-03-054 minutes read (About 540 words)

Istio 使用随记

Istio 是一种开源服务网格，使用代理拦截所有网络流量，可根据配置提供广泛的应用程序感知功能。

常见的 CRD：

VirtualService：定义服务间或服务至外部流量的路由规则，支持请求匹配、路由选择、流量分割、重试、超时等策略。
DestinationRule：定义目标服务的流量策略，比如负载均衡、连接池、TLS 配置等。每个目标服务的流量策略通过 DestinationRule 配置后，对所有请求生效。
Gateway：配置边缘网关的入口流量规则，例如定义外部流量如何进入服务网格。它可以用于 HTTP、HTTPS、TLS 和 TCP 流量。
ServiceEntry：将外部服务引入到 Istio 网格中，允许 Istio 管理和监控这些服务的流量。例如，可以使用 ServiceEntry 来引入外部 API，使网格中的服务可以透明地与外部服务交互。

Posted 2024-09-14Updated 2026-03-054 minutes read (About 647 words)

ETCD 出现高碎片率事件解析

集群频繁触发 etcdDatabaseHighFragmentationRatio 告警, PrometheusRule 内容如下：

- alert: etcdDatabaseHighFragmentationRatio
  annotations:
    description: 'etcd cluster "{{ $labels.job }}": database size in use on instance
      {{ $labels.instance }} is {{ $value | humanizePercentage }} of the actual
      allocated disk space, please run defragmentation (e.g. etcdctl defrag) to
      retrieve the unused fragmented disk space.'
    runbook_url: https://etcd.io/docs/v3.5/op-guide/maintenance/#defragmentation
    summary: etcd database size in use is less than 50% of the actual allocated
      storage.
  expr: (last_over_time(etcd_mvcc_db_total_size_in_use_in_bytes{job=~".*etcd.*"}[5m])
    / last_over_time(etcd_mvcc_db_total_size_in_bytes{job=~".*etcd.*"}[5m])) <
    0.5 and etcd_mvcc_db_total_size_in_use_in_bytes{job=~".*etcd.*"} > 104857600
  for: 10m
  labels:
    severity: warning

Posted 2024-09-07Updated 2026-03-052 minutes read (About 300 words)

Cert Manager 使用随记

在 Kubernetes 中常用 Cert Manager 生成并管理自签名证书，常见的 CR 有👇

Issuer: 用于定义如何生成证书
ClusterIssuer: 用于定义如何生成集群级别的证书
Certificate: 用来请求和管理证书的主要资源
CertificateRequest: 是用于手动请求证书的资源
Order: 当使用 ACME 协议时会生成，
Challenge: 是 ACME 协议中的一部分，用于表示 ACME 服务对域名所有权的验证

Posted 2024-06-29Updated 2026-03-054 minutes read (About 610 words)

节点根目录被打满导致的ETCD憨批修复记录

背景

事情发生在 UAT 环境的其中一台 Controller 节点，节点根目录被打满，同时 etcd 数据没有落盘到独立的磁盘中，导致 etcd 憨批，节点出现 notready

Posted 2024-03-31Updated 2026-03-053 minutes read (About 436 words)

cgroup netns mountns随记

Cgroup

Cgroup 即 Control Group，是一种 Linux 内核机制，它允许对进程进行资源控制和管理。Cgroup 可以限制进程的 CPU 使用率、内存使用量、磁盘 I/O 等资源。

Posted 2024-03-31Updated 2026-03-059 minutes read (About 1294 words)

记录一次ipv4_forward被修改导致的生产事故

生产集群的节点内核模块被异常修改，导致集群服务与服务之间网络通信异常，产生了较大规模的生产事故。

此次事故涉及到两个主要的内核模块被修改:

net.ipv4.ip_forward: 用于启用 IP 转发，当此模块加载时，Linux 内核会允许将数据包转发到其他网络

Posted 2024-03-30Updated 2026-03-05a few seconds read (About 96 words)

K8s给命名空间设置专享节点

是指在特定命名空间下部署的 Pod 都会被调度到指定标签的节点上，这个功能需要在 kube-apiserver 添加 PodNodeSelector 参数：

Posted 2024-03-30Updated 2026-03-0513 minutes read (About 1972 words)

CoreDNS和NodeLocalDNS的域名解析

在 K8s 中，DNS 的解析主要用这两个工具:

CoreDNS: 主要负责集群内部域名解析
NodeLocalDNS: 提供 DNS 缓存

Posted 2024-03-30Updated 2026-03-055 minutes read (About 777 words)

kube-proxy工作原理

kube-proxy 以 DaemonSet 的形式运行在集群的所有节点中，负责管理集群外到 Service，以及 Service 到 Pod 的流量转发。

kube-proxy 有三种模式:

userspace
iptables
ipvs

Posted 2024-03-30Updated 2026-03-05a minute read (About 180 words)

CNI工作流程

CNI 即容器网络接口，通过 CNI 能够使 K8s 支持不同的网络模式。

CNI 常见的实现模式大致分为两种:

overlay: 通过隧道打通网络，不依赖底层网络，如 calico
underlay: 通过底层打通网络，强依赖底层网络，如 macvlan