k8s操作手册 前言： 1.蓝色字体表示命令行命令，正式执行时不要复制前面的#号，#号只是提示应 该使用root权限操作 2.绿色字体表示注释，有时注释太多就不用绿色表示了 3.注意：本文档的所有操作请先在测环境进行实践，请不要直接在真实的服务 器中操作！ 版权声明： 本文档以开源的形式发布，所有条款如下： （1）无担保：作者不保证文档内容的准确无误，亦不承担由于使用此文档所导致的任何后果 ★第3章、安装后续步骤 ④k8s认证文件.kube/config 在 刚 刚 安 装 好 的 master 结 点 上 有 操 作 整 个 k8s 集 群 的 认 证 文 件/etc/kubernetes/admin.conf 把它复制到需要使用kubectl命令的节点上的$HOME/.kube/目录下并命令为 config即可 # mkdir ~/.kube # cp /etc/kubernetes/admin 9f2uowba7j21qv0g master1 结 点 # kubeadm token create ka8k02.9f2uowba7j21qv0g --print-join- command 再复制（kubeadm join xxxxx）命令到node结点上执行： node结点执行# kubeadm join 10.99.1.51:6443 --token ka8k02.9f2uowba7j21qv0g

我们的⽬标是构建⼀个⽣态系统，提供组件和⼯具以减轻在公共和私有云中运⾏应⽤程序的负担。 Kubernetes是 可移植: 共有、私有、混合、多云 可扩展: 模块化、可插拔、提供Hook、可组合 ⾃愈: ⾃动放置、⾃动重启、⾃动复制、⾃动缩放 Google于2014年启动了Kubernetes项⽬。Kubernetes建⽴在Google在⼤规模运⾏⽣产⼯作负载⽅⾯ ⼗⼏年的经验之 上，并结合了社区中最佳的创意和实践。 为什么使⽤容器 虚拟集群。 这些虚拟集群被称为Namespace。 使⽤多个Namespace的场景 Namespace旨在⽤于这种环境：有许多的⽤户，这些⽤户分布在多个团队/项⽬中。对于只有⼏个或⼏⼗个⽤户的集 群，您根本不需要创建或考虑使⽤Namespace。 当您需要使⽤Namespace提供的功能时，再考虑使⽤Namespace。 Namespace为Name（名称）提供了范围。在Namespac Label和Selector（Label和选择器） Label是附加到对象（如Pod）的键值对。Label旨在⽤于指定对⽤户有意义的对象的识别属性，但不直接表示核⼼系统 的语义。Label可⽤于组织和选择对象的⼦集。Label可在创建时附加到对象，也可在创建后随时添加和修改。每个对象 都可定义⼀组Label。 对于给定的对象，Key必须唯⼀。 "labels" : { "key1" :

障后修复。 Kubernetes特点： 可移植: 支持公有云，私有云，混合云，多重云（multi-cloud） 可扩展: 模块化, 插件化, 可挂载, 可组合 自动化: 自动部署，自动重启，自动复制，自动伸缩/扩展 6 www.h3c.com Confidential 秘密 66 Kubernetes基础结构介绍 Kubernetes架构： 7 www.h3c.com Confidential kubenetnes实现了用户应用集群的高可靠性，并大大减少了很多运维工作。 Replication Controller在k8s 1.2版本之后升级成了新的概念，Replica Set（下一代RC），Replicas Set支持基于集 合的标签选择器，而RC只支持基于等式的标签选择器。 Replicas Set的一些作用和特性： 1. 大多数情况下，我们通过定义一个RC实现Pod的创建过程及副本数量的自动控制 2. RC里面包含完整的Pod定义模板 应用程序自定义的度量指标，比如服务每秒内的相应的请求数（TPS或QPS）. 24 www.h3c.com Confidential 秘密 24 24 K8s基本概念和术语介绍（DaemonSet） DaemonSet（后台支撑服务集）： 长期伺服型和批处理型服务的核心在业务应用，可能有些节点运行多个同类业务的Pod，有些节点上又没有这类Pod 运行；而后台支撑型服务的核心关注点在K8s集群中的节点（物理机或虚拟机），要保证每个节点上都有一个此类Pod运

检索增强生成（RAG） 是一种结合预训练参数和非参数记忆的文本生成技术。它使你能够通过你的领域内特有 的包含上下文的知识，来强化预训练模型中的现有知识。使用 RAG，你会先从非参数记忆中去检索相关文档集 （一般是通过在向量数据库中的相似性搜索），再使用 LLM 中的参数记忆生成与检索出的文档一致的输出。我们 发现 RAG 对各种需要大量知识的 NLP 任务十分有用，包括问答，总结和故事生成。 技术 允许我们将标签关联到数据源；如果用户与相同的标签关联，就会获得访问权限。通过利用 Immuta 和 Snowflake 的集成，我们已经能够以自助方式自动授权对数据产品或数据集的访问。当“用户”请 求访问数据产品或数据集时，一旦获得批准，数据产品标签将被关联到“用户”作为属性。由于“用户”的属 性与数据源上的标签匹配，因此根据 Immuta 的全局订阅策略，访问权限将自动授予。值得一提的是 Immuta catalog、 schema 和 table 级别授予权限和访问控制的能力。我们的团队根据可视化、报告或机器学习用例等消费模式， 使用资源组进行管理和限制资源分配。基于 JMX 的监控提供了丰富的指标集，帮助实现在查询或用户级别进行 成本分配。我们的团队将 Trino 用作跨各种数据源的数据访问网关，当涉及到查询极大规模的数据时，Trino 对 平台 © Thoughtworks, Inc. All

嚴格保密十幾年的秘密武器——Borg 的開源 專案版本。Borg 是 Google 久負盛名的一個內部使用的大規模叢集管理系統，它基 於容器技術，目的是實現資源管理的自動化，以及跨多個資料中心的資源利用率最 大化。十幾年來，Google 一直透過 Borg 系統管理著數量龐大的叢集式應用系統。 由於 Google 員工都簽署了保密協議，即便離職也不能洩露 Borg 的內部設計，所 以外界一直無法瞭解它的相關資訊。直到 快速、方便地對容器叢集進 行配置、建置和管理。 除了以上核心元件，在 Kubernetes 系統中還有許多可供配置的資源物件，例如 LimitRange、ResourceQuota。另外，一些系統內部使用的物件 Binding、Event 等 請參考 Kubernetes 的 API 說明文件。 1.5 Kubernetes 整體架構 Kubernetes 叢 集 由 兩 種 節 點 命令列工具，它提供了 Kubernetes 的叢集管理工具集。圖 1.14 描述了 Kubernetes 的系統架構。 圖 1.14 Kubernetes 的系統架構圖 2-6 Kubernetes 核心原理 2 2.1.2 透過 API Server 訪問 Node、Pod 和 Service 圖 2.1 列出了存取叢集 API Server 及叢集內資源物件互動的情況。 圖例： 圖 2

Canonical Kubernetes、Red Hat Openshift及SUSE Rancher都已獲得CNCF認證。 2. 生命週期作業 開始踏上Kubernetes的旅程時，如果沒有思考要如何長期維護叢集，很容易就會 在開發和部署期間遭遇困難。許多以Kubernetes為中心的解決方案，雖然處理了 Kubernetes生命週期的初期階段，也就是第0天和第1天，但真正的挑戰要到第2 天才開始。 就第2天作業而言，Canonical 高可用度有助於盡量減少停機時間，並達到最高的可靠度及生產力，因此是所 有主要 Kubernetes 解決方案的標準特性。Canonical Kubernetes、Rancher 及OpenShift均提供高可用度叢集。 4. 叢集升級 由於每季都有新的Kubernetes版本，企業務必要確保解決方案具有可靠的升級策 略，跟隨上游保持最新狀態，並且無需犧牲穩定性或中斷持續營運。就此而言， Canonical Kube 停機的自動化升級。 其中Canonical Kubernetes居於領先的部分，就是能夠讓企業對升級流程進行精細 控制。使用者可精確排序及交錯進行各項元件的更新作業，因此能夠完全升級叢集， 同時確保不會影響在叢集執行的工作負載。 2 5. 支援生命週期 有時候企業無法跟上最新的上游Kubernetes版本，未能完全保持最新狀態。為了 確保Kubernetes部署維持安全，必須瞭解廠商支援各個版本的時間長度。

應用在容器端本地產生並儲存的資料，以及藉由網路檔 案系統搭載在容器內的資料。 • 可擴充的透明加密 - 無需對應用程式、容器或基礎 架構進行任何變更下，提供資料安全控制。允許對 Kubernetes叢集內的所有容器施行單一政策，或是對 叢集的每一個容器施行有所區別的不同政策。這項解決 方案可因應業務需求變化而擴充或縮小 Kubernetes 環 境。 • 細粒度存取控制與可視性 - CipherTrust Transparent 來保護您的有價資料。 關鍵時刻 關鍵技術 Pod 容器集 Pod 容器集 應用程式 使用者 PV Claim CipherTrust Manager 持久儲存 儲存區 PV Controller Storage Class 儲存類別 Kubernetes 節點 CTE for Kubernetes Kubernetes 叢集

Kubernetes (GKE) PaaS (GAE) Serverless (GCF) App Engine 以原始碼為基礎佈署 Kubernetes Engine 以容器為基礎佈 隨選生成的K8S叢集 Compute Engine 隨選生成的虛擬機 IaaS and PaaS at Scale Google App Engine #全代管服務 #以容器為基礎 #適合Web應用 #適合Api 上部署、管理容器化應用程式及調整資源 為何 Google GKE 是佈署 K8S 的首選 全球佈署 業界最多的佈 署地區選擇 多重版本 支援最多的 GKE發佈版本 ，自動升級 高可用性 支援跨資料中 心自動配置叢 集 網路安全 毋須額外套件 過濾容器到容 器流量防護 自動擴展 隨需動態擴展 負載平衡 整合無流量上 限的Google Cloud Load Balancer Demo: Create

秀的几十种开源技术，经过众多 辩证选型、攻坚克难、编码调试、海量测试，“十年磨一剑，一朝试锋芒，全新 搭建的新一代容器化平台能够满足企业上云的各类场景需求。 多云编排 支持多云和混合云的统一集中管理，提供跨云资源检索及跨云的应用部署、发布和运 维能力，实现多云应用高效管控，提供基于集群资源的应用弹性扩缩，实现全局负载 均衡，具备故障恢复能力，有效解决多云应用灾备问题，助力企业构建多云、混合云 Service Mesh 两类云原生微服务注册中心。 版权 © 2023 DaoCloud 第 13 页 微服务流量治理 在流量治理层面，采用线上流量治理方案，可以快速与主流开源微服务框架集 成，用 Sentinel 和 Mesh 解决不同生产情况下的痛点。 ➢ 支持通过 Sentinel 使用流控、熔断降级、热点、系统、授权、集群流控等规则治理传 统微服务的东西向流量。 ➢

性的问题，Telepresence 本地编码。 10 秒/次 主流的云原生开发方式（开发环境） 云环境 + Telepresence 工作负载声明了 env、configmap、secret、volume 等，很难在本地复制 出完全一致的环境。 环境差异 即便是能够将远端的 env、configmap 挂载到本地，也难以屏蔽跨平台之间 的差异。 跨平台差异 全量代理的方式会使得网络拓扑产生变化，导致内网、公网访问无法达到预期。