背景：当前环境中有 Cluster A 和 Cluster B，各自部署了相同的应用，且该应用有两个域名用于处理不同的请求。目前，这两个域名的请求都由 Cluster A 中的应用处理。为进行应用迁移，现希望将域名 A 的请求继续由 Cluster A 处理，而域名 B 的请求则切换至由 Cluster B 中的应用来处理。

由于目前的流量处理都是由 Istio 负责，所以可以通过 ServiceEntry 来实现此需求。

Istio 是一种开源服务网格，使用代理拦截所有网络流量，可根据配置提供广泛的应用程序感知功能。

常见的 CRD：

1. VirtualService：定义服务间或服务至外部流量的路由规则，支持请求匹配、路由选择、流量分割、重试、超时等策略。
2. DestinationRule：定义目标服务的流量策略，比如负载均衡、连接池、TLS 配置等。每个目标服务的流量策略通过 DestinationRule 配置后，对所有请求生效。
3. Gateway：配置边缘网关的入口流量规则，例如定义外部流量如何进入服务网格。它可以用于 HTTP、HTTPS、TLS 和 TCP 流量。
4. ServiceEntry：将外部服务引入到 Istio 网格中，允许 Istio 管理和监控这些服务的流量。例如，可以使用 ServiceEntry 来引入外部 API，使网格中的服务可以透明地与外部服务交互。

集群频繁触发 etcdDatabaseHighFragmentationRatio 告警, PrometheusRule 内容如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

- alert: etcdDatabaseHighFragmentationRatio
  annotations:
    description: 'etcd cluster "{{ $labels.job }}": database size in use on instance
      {{ $labels.instance }} is {{ $value | humanizePercentage }} of the actual
      allocated disk space, please run defragmentation (e.g. etcdctl defrag) to
      retrieve the unused fragmented disk space.'
    runbook_url: https://etcd.io/docs/v3.5/op-guide/maintenance/#defragmentation
    summary: etcd database size in use is less than 50% of the actual allocated
      storage.
  expr: (last_over_time(etcd_mvcc_db_total_size_in_use_in_bytes{job=~".*etcd.*"}[5m])
    / last_over_time(etcd_mvcc_db_total_size_in_bytes{job=~".*etcd.*"}[5m])) <
    0.5 and etcd_mvcc_db_total_size_in_use_in_bytes{job=~".*etcd.*"} > 104857600
  for: 10m
  labels:
    severity: warning

在 Kubernetes 中常用 Cert Manager 生成并管理自签名证书，常见的 CR 有👇

1. Issuer: 用于定义如何生成证书
2. ClusterIssuer: 用于定义如何生成集群级别的证书
3. Certificate: 用来请求和管理证书的主要资源
4. CertificateRequest: 是用于手动请求证书的资源
5. Order: 当使用 ACME 协议时会生成，
6. Challenge: 是 ACME 协议中的一部分，用于表示 ACME 服务对域名所有权的验证

背景

事情发生在 UAT 环境的其中一台 Controller 节点，节点根目录被打满，同时 etcd 数据没有落盘到独立的磁盘中，导致 etcd 憨批，节点出现 notready

Cgroup

Cgroup 即 Control Group，是一种 Linux 内核机制，它允许对进程进行资源控制和管理。Cgroup 可以限制进程的 CPU 使用率、内存使用量、磁盘 I/O 等资源。

生产集群的节点内核模块被异常修改，导致集群服务与服务之间网络通信异常，产生了较大规模的生产事故。

此次事故涉及到两个主要的内核模块被修改:

1. net.ipv4.ip_forward: 用于启用 IP 转发，当此模块加载时，Linux 内核会允许将数据包转发到其他网络

是指在特定命名空间下部署的 Pod 都会被调度到指定标签的节点上，这个功能需要在 kube-apiserver 添加 PodNodeSelector 参数：

在 K8s 中，DNS 的解析主要用这两个工具:

1. CoreDNS: 主要负责集群内部域名解析
2. NodeLocalDNS: 提供 DNS 缓存

kube-proxy 以 DaemonSet 的形式运行在集群的所有节点中，负责管理集群外到 Service，以及 Service 到 Pod 的流量转发。

kube-proxy 有三种模式:

1. userspace
2. iptables
3. ipvs