要安装RHEL9，可以在虚拟机中安装RHEL9系统，先要根据习惯选择虚拟机的类型，可以选择vmware workstation，也可以选择VirtualBox，这里选择的是vmware workstation。其次要选择安装的系统，这里选择的安装系统是RHEL9.0，所需要的镜像文件均可在www.rhce.cc/img中找到。 首先要网络配置，在启动vmware workstation后，单击左上角的【编辑】按钮，选择【虚拟网络编辑器】选项，打开【虚拟网络编辑器】对话框，如图1-1所示。选择“V…

RHEL9下载地址 百度网盘下载 rhel-baseos-9.0-x下载https://pan.baidu.com/s/1JJWVnC7rEabgjTtsdM-SZw 密码:w6p3

runAsUser 刚刚创建了pod1，那么我们先进入到pod1里去之后执行whoami命令。 root@vms61:~/demo5# kubectl exec -it pod1 — bash root@vms63:/# whoami root root@vms63:/# exit exit root@vms61:~/demo5# 可以看到容器里的进程是以root身份运行的，然后删除pod1。 root@vms61:~/demo5# kuser delete pod pod1 pod &quo…

接着上文继续配置PSP 禁止使用hostNetwork 修改pod1.yaml的内容如下。 root@vms61:~/demo5# cat pod1.yaml apiVersion: v1 kind: Pod metadata: creationTimestamp: null labels: run: pod1 name: pod1 spec: hostNetwork: true terminationGracePeriodSeconds: 0 containers: – image: ngin…

平时我们创建pod的时候，对pod是没什么限制的，可以创建特权pod、也可以使用任何类型的卷。但有时我们需要对要创建的pod做一些限制，比如不允许创建特权pod，不允许在pod里使用hostNetwork选项等，这时可以使用PSP来限制(自k8s1.25开始就被取消了)。PSP来自红帽openshift的SCC。本练习所涉及的yaml都放在demo5目录里，先创建demo5目录。 root@vms61:~# mkdir demo5 ; cd demo5 root@vms61:~/demo5# 默…

1-概念介绍 deployment控制器创建出来的副本会分布在不同的节点上，比如下图创建了一个deployment里面有4个副本，这4个副本分别运行在worker1和worker2上。如果worker2宕机的话，那么worker2上的pod也不能正常工作了，对于deployment来说副本数缺失了两个，此时deployment会在有效节点上重新创建两个副本，以达到要求的4个副本。这样看起来就好像是worker2上运行的副本迁移到了worker1上了。 但是大家会发现，worker2上的pod迁移…

()kubernetes的master是需要配置高可用集群的，当一台master出问题了之后另外一台master仍然是可以继续工作的。比如下图不管是worker还是client，只要把请求发送到LB负载均衡器，然后LB会把请求在master1和master2之间进行转发。这里只要有一个master能够正常工作，整个kubernetes集群就会正常工作。master1和master2需要实时同步数据，利用的是etcd集群的数据同步，在kubernetes官网提供了两种etcd同步的方案，一个是使用…

模拟环境 现在环境里准备了3台机器 [root@vms11 ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION vms11.rhce.cc Ready control-plane 75d v1.25.2 vms12.rhce.cc Ready 75d v1.25.2 vms222.rhce.cc Ready 12m v1.25.2 [root@vms11 ~]# 在vms222.rhce.cc这台机器上根分区的使用率已经达到了63%。 [roo…

RHCE所需要的包

新的硬盘首先需要对硬盘进行分区和格式化，首先了解一下硬盘的结构，如图13-1所示。图13-1 磁盘上的磁道和扇区硬盘的磁盘上有一个个的圈，每两个圈组成一个磁道。从中间往外发射线，把每个磁道分成一个个的扇区，每个扇区的大小是512B。为了更好理解咱们把所有磁盘拼接起来，如图13-2所示。图13-2 分区是以扇区划分的假设磁盘有10000个扇区，第一个分区从2048开始到6000，第二个分区从6001到8000，第三个分区从8001到10000。每个扇区只能属于一个分区，不能同时属于多个分区。第一个…

Istio是运行在kubernetes之上的一种服务网格，极大的扩展了kubernetes的功能，可以轻松实现比kubernetes更细颗粒度的流量管理。 当我们直接在kubernetes部署应用时，有时要实现一些特殊需求是比较困难的，比如金丝雀发布（也称为灰度发布）。 金丝雀发布是这样工作的，我们已经有了一个旧版本的应用这里称之为v1，然后要发布一个新版本的应用这里称之为v2。但是现在并不想让所有的客户端都访问v2，只是想在小范围内对部分客户端开放进行测试。 所以我们可以设置90%的流量转发到…

很多时候服务器并没有显示器，我们也不可能每次都通过控制台去管理服务器，这时就需要远程登录。远程登录到服务器可以通过Telnet或ssh的方式。但是用Telnet登录，整个过程都是以明文的方式传输的，不安全。所以，建议使用ssh的方式来登录，因为ssh在整个连接过程中，数据都是加密的。本章的实验拓扑图如图12-1所示。图12-1 实验拓扑图其中server.rhce.cc中有lduan用户和tom用户，server2.rhce.cc中只有tom用户。如果没有server2.rhce.cc这台机器，…

我们下馆子吃饭，在大厅有很多桌子，那么这些人共享一个"吃饭空间"。 如果我们去包间吃饭，每一个包间都是一个"吃饭空间"，包间和包间，包间和大厅之间都是独立的，互不干扰的。 对于一个系统来说，这个系统里所有的应用不管是微信还是QQ，他们“都在大厅吃饭”，他们共享一个“吃饭空间”，我们所要说的网络空间就类似于这里的“吃饭空间”。如果在这里如果跑两个web应用程序，比如先运行了nginx，再运行apache，因为他们是在同一个网络空间里的，所以apache是运行…

当创建pod时需要在pod里的.spec.serviceAccount指定pod以哪个service account运行，如果没有指定的话则默认使用default这个sa。 然后通过投射卷，在pod的目录/run/secrets/kubernetes.io/serviceaccount/会有一个文件token，里面包括了容器所能用到令牌。我们通过RBAC对sa授了什么权限，那么容器里的app拿着这个token，就具备了什么权限。那么pod里的这个token是从哪里来的呢？我们分几个版本的kube…

如果pod所用镜像里的程序要求指定自己的IP才能正常运行的话，那么在pod还没有创建出来之前都没有IP，那么该如何在pod的yaml文件里指定自己的IP？ 这里可以在env.valueFrom里通过fileldRef.fieldPath来引用，看下面的例子。 [root@vms71 ~]# cat pod1.yaml apiVersion: v1 kind: Pod metadata: creationTimestamp: null labels: run: pod1 name: pod1 sp…