一 背景

1.1 配置中心问题

在云原生中配置中心，例如：Configmap和Secret对象，虽然可以进行直接更新资源对象

• 对于引用这些有些不变的配置是可以打包到镜像中的，那可变的配置呢？
• 信息泄漏，很容易引发安全风险，尤其是一些敏感信息，比如密码、密钥等。
• 每次配置更新后，都要重新打包一次，升级应用。镜像版本过多，也给镜像管理和镜像中心存储带来很大的负担。
• 定制化太严重，可扩展能力差，且不容易复用。

1.2 使用方式

Configmap或Secret使用有两种方式，一种是env系统变量赋值，一种是volume挂载赋值，env写入系统的configmap是不会热更新的，而volume写入的方式支持热更新！

• 对于env环境的，必须要滚动更新pod才能生效，也就是删除老的pod，重新使用镜像拉起新pod加载环境变量才能生效。
• 对于volume的方式，虽然内容变了，但是需要我们的应用直接监控configmap的变动，或者一直去更新环境变量才能在这种情况下达到热更新的目的。

应用不支持热更新，可以在业务容器中启动一个sidercar容器，监控configmap的变动，更新配置文件，或者也滚动更新pod达到更新配置的效果。

前言

大家都知道，数据量小的备份都使用 mysqldump 命令来备份，最近本人从阿里云RDS实例备份博客数据，并再次把备份出来的数据导入到RDS实例时，会遇到错误 [Err] 1227 - Access denied; you need (at least one of) the SUPER privilege(s) for this operation。

PS：阿里云RDS实例版本：5.6

遇到上面错误感觉很奇怪，为什么没有权限写入，使用的账号是高级账号，为什么没有权限了？？？

前言

大家都知道，在没有K8S集群时，我们能直接连接测试环境服务实现debug。随着K8S到来，我们无法直接连接业务服务dubug，K8S Pod 分配的IP地址是集群内部网络，集群外部网络是无法直接访问到Pod，那有什么好的解决方法能直接连接Pod？下面介绍下开源 Telepresence。

Telepresence 简介

Telepresence 是一种开源工具，可让您在本地运行单个服务，同时将该服务连接到远程 Kubernetes 集群。这使开发 multi-service 应用程序的开发人员能够：

• 对单个服务进行快速本地开发，即使该服务依赖于集群中的其他服务。对您的服务进行更改并保存，您可以立即看到正在运行的新服务。
• 使用本地安装的任何工具来 测试/调试/编辑 您的服务。例如，您可以使用调试器或 IDE！
• 让您的本地开发机器像 Kubernetes 集群的一部分一样运行。如果您的机器上有一个应用程序要针对集群中的服务运行——这很容易做到。

开源地址: https://github.com/telepresenceio/telepresence

多实例共享存储架构图

本文 LB 不使用 Nginx，使用阿里SLB。

更多 Harbor 架构，请参考 聊聊Harbor架构

本文架构需要考虑三个问题

• 1、共享存储的选取，Harbor的后端存储目前支持AWS S3、Openstack Swift, Ceph等。本文使用阿里云极速性NAS，磁盘IO性能比单块磁盘读写性能要好。使用 NFS V3 版本挂载。
• 2、Session 不能在不同的实例上共享，所以Harbor Redis 需要单独部署，并且多个实例连接相同的Redis。
• 3、Harbor多实例数据库问题，必须单独部署一个数据库，并且多个实例连接相同的数据库。

注意：生产环境如果使用阿里云NAS，推荐使用 极速性NAS，不推荐使用 通用型NAS。

阿里云NAS性能参考文档 https://help.aliyun.com/document_detail/124577.html?spm=a2c4g.11186623.6.552.2eb05ea0HJUgUB

Harbor 简介

Harbor 是一个用于存储和分发Docker镜像的企业级Registry服务器。

作为一个企业级私有 Registry 服务器，Harbor 提供了更好的性能和安全。提升用户使用 Registry 构建和运行环境传输镜像的效率。Harbor 支持安装在多个 Registry 节点的镜像资源复制，镜像全部保存在私有 Registry 中， 确保数据和知识产权在公司内部网络中管控。另外，Harbor 也提供了高级的安全特性，诸如用户管理，访问控制和活动审计等。

• 基于角色的访问控制：用户与 Docker 镜像仓库通过“项目”进行组织管理，一个用户可以对多个镜像仓库在同一命名空间（project）里有不同的权限。
• 镜像复制：镜像可以在多个 Registry 实例中复制（同步）。尤其适合于负载均衡，高可用，混合云和多云的场景。
• 图形化用户界面：用户可以通过浏览器来浏览，检索当前 Docker 镜像仓库，管理项目和命名空间。
• AD/LDAP 支持：Harbor 可以集成企业内部已有的 AD/LDAP，用于鉴权认证管理。
• 审计管理：所有针对镜像仓库的操作都可以被记录追溯，用于审计管理。
• 国际化：已拥有英文、中文、德文、日文和俄文的本地化版本。更多的语言将会添加进来。
• RESTful API：RESTful API 提供给管理员对于 Harbor 更多的操控, 使得与其它管理软件集成变得更容易。
• 部署简单：提供在线和离线两种安装工具， 也可以安装到 vSphere 平台(OVA 方式)虚拟设备。

什么是 cluster-autoscaler

Cluster Autoscaler （CA）是一个独立程序，是用来弹性伸缩kubernetes集群的。在使用kubernetes集群经常问到的一个问题是，应该保持多大的节点规模来满足应用需求呢？ cluster-autoscaler 出现解决了这个问题，它可以自动根据部署应用所请求资源量来动态的伸缩集群。

项目地址：https://github.com/kubernetes/autoscaler

Cluster Autoscaler 什么时候伸缩集群？

在以下情况下，集群自动扩容或者缩放：

• 扩容：由于资源不足，某些Pod无法在任何当前节点上进行调度
• 缩容: Node节点资源利用率较低时，且此node节点上存在的pod都能被重新调度到其他node节点上运行

一、什么是Kubernetes集群中的minions？

• 1、它们是主节点的组件。
• 2、它们是集群的工作节点。[答案]
• 3、他们正在监控kubernetes中广泛使用的引擎。
• 4、他们是docker容器服务。

二、Kubernetes集群数据存储在以下哪个位置？

• 1、KUBE-API服务器
• 2、Kubelet
• 3、ETCD [答案]
• 4、以上都不是

需求

有时候因为 Redis Key 没有设置过期时间或者因为业务需求或者Redis内存不足或者修改Redis Key值等需求，并且这些Key是有规律的，可以通过正则表达式来匹配。

解决方法一

一般通过网上搜索，会告诉你使用下面方法，Redis 提供了一个简单暴力的指令 keys 用来列出所有满足特定正则字符串规则的 key。

1

$ redis-cli --raw keys "testkey-*" | xargs redis-cli del

通过 Redis keys 来匹配你需要删除的key，再使用 xargs 把结果传给 redis-cli del ，这样看似完美，实则有很大风险。

Nginx 配置可视化UI展示

关于容器日志

Docker的日志分为两类，一类是 Docker引擎日志；另一类是容器日志。引擎日志一般都交给了系统日志，不同的操作系统会放在不同的位置。本文主要介绍容器日志，容器日志可以理解是运行在容器内部的应用输出的日志，默认情况下，docker logs 显示当前运行的容器的日志信息，内容包含 STOUT(标准输出) 和 STDERR(标准错误输出)。日志都会以 json-file 的格式存储于 /var/lib/docker/containers/<容器id>/<容器id>-json.log ，不过这种方式并不适合放到生产环境中。

• 默认方式下容器日志并不会限制日志文件的大小，容器会一直写日志，导致磁盘爆满，影响系统应用。(docker log-driver 支持log文件的rotate)
• Docker Daemon 收集容器的标准输出，当日志量过大时会导致Docker Daemon 成为日志收集的瓶颈，日志的收集速度受限。
• 日志文件量过大时，利用docker logs -f 查看时会直接将Docker Daemon阻塞住，造成docker ps等命令也不响应。

Docker提供了logging drivers配置，用户可以根据自己的需求去配置不同的log-driver，可参考官网 Configure logging drivers 。但是上述配置的日志收集也是通过Docker Daemon收集，收集日志的速度依然是瓶颈。

• log-driver 日志收集速度
• syslog 14.9 MB/s
• json-file 37.9 MB/s

能不能找到不通过Docker Daemon收集日志直接将日志内容重定向到文件并自动 rotate的工具呢？答案是肯定的采用S6基底镜像。

S6-log 将 CMD 的标准输出重定向到/…/default/current，而不是发送到 Docker Daemon，这样就避免了 Docker Daemon 收集日志的性能瓶颈。本文就是采用S6基底镜像构建应用镜像形成统一日志收集方案。

S6：http://skarnet.org/software/s6/