罗小爬EX
罗小爬EX

Isito - Rate Limits(请求限速)- 再战

配置生效

在之前进行ratelimit测试的时候,总觉得有时修改完对应的配置后(例如redisquota中的overrides.dimensions、maxAmount等),配置并没有生效,因此感觉生效逻辑有些混乱;但是又被Istio ratelimit功能所吸引,希望能将Isito内置的ratelimit功能开箱即用,毕竟不用修改原服务代码(之前的ratelimit逻辑需要在原服务中添加拦截器并结合redis incr+expire来实现的);

如何确定ratelimit配置修改后已生效?

(1)开启istio-policy容器日志级别为debug;

       编辑istio-system.deployment.istio-policy,修改args中--log_output_level=default:debug

Isito - Rate Limits(请求限速)- 再战_第1张图片

(2)在修改完ratelimit相关配置后(通常仅修改redisquota OR memquota),查看istio-policy中配置生效日志;

生效日志1:

2019-08-08T08:53:56.673367Z    debug    New routes in effect:
[Routing ExpectedTable]
ID: 4
[#0] TEMPLATE_VARIETY_REPORT {V}
  [#0] istio-system {NS}
    [#0] prometheus.istio-system {H}
      [#0]
        Condition: (context.protocol == "http" || context.protocol == "grpc") && (match((request.useragent | "-"), "kube-probe*") == false)
        [#0] requestcount.metric.istio-system {I}
        [#1] requestduration.metric.istio-system {I}
        [#2] requestsize.metric.istio-system {I}
        [#3] responsesize.metric.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] tcpbytereceived.metric.istio-system {I}
        [#1] tcpbytesent.metric.istio-system {I}
      [#2]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "close")
        [#0] tcpconnectionsclosed.metric.istio-system {I}
      [#3]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "open")
        [#0] tcpconnectionsopened.metric.istio-system {I}
[#1] TEMPLATE_VARIETY_QUOTA {V}
  [#0] tsp {NS}
    [#0] request-count-redisquota.tsp {H}
      [#0]
        Condition:
        [#0] request-count-quota.instance.tsp {I}
[#2] TEMPLATE_VARIETY_ATTRIBUTE_GENERATOR {V}
  [#0] istio-system {NS}
    [#0] kubernetesenv.istio-system {H}
      [#0]
        Condition:
        [#0] attributes.kubernetes.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] attributes.kubernetes.istio-system {I}

2019-08-08T08:53:56.673382Z    info    Cleaning up handler table, with config ID:3
2019-08-08T08:53:56.673423Z    debug    Closing adapter request-count-redisquota.tsp/&{0xc4218f60f0 map[request-count-quota.instance.tsp:0xc4222ac9b0] map[0xc4221dcc70:1665947451 0xc4221dcce0:3047078253] map[0:0xc4214b40c0 1:0xc4214b40e0] 0x47d3a0 {{adapter 15 0 request-count-redisquota.tsp }}}
2019-08-08T08:53:56.673610Z    debug    Closing adapter kubernetesenv.istio-system/&{{{0 0} 0 0 0 0} map[:0xc4211680a0] {{{adapter 15 0 kubernetesenv.istio-system }} 0xc4205a4880 0xc421b8c120 0xc42132a0c0 0xc42132a0c8} 0x3075200 0xc421b8c1e0}
2019-08-08T08:53:56.673639Z    info    adapters    deleted remote controller     {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673674Z    debug    Closing adapter prometheus.istio-system/&{0xc4205aa500 map[requestduration.metric.istio-system:0xc420ca9700 requestsize.metric.istio-system:0xc420ca97c0 responsesize.metric.istio-system:0xc420ca9800 tcpbytesent.metric.istio-system:0xc420ca9880 tcpbytereceived.metric.istio-system:0xc420ca98c0 tcpconnectionsopened.metric.istio-system:0xc420ca9900 tcpconnectionsclosed.metric.istio-system:0xc420ca9940 requestcount.metric.istio-system:0xc420ca96c0] 0xc421861e70}
2019-08-08T08:53:56.673693Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "request-count-redisquota.tsp"}
2019-08-08T08:53:56.673711Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "prometheus.istio-system"}
2019-08-08T08:53:56.673770Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673842Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673954Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.674075Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.764901Z    debug    caches populated
2019-08-08T08:53:57.673948Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "kubernetesenv.istio-system"}

生效日志2:

注:当前log在最后报了个error,但是并不影响配置生效,这个错误是我用旧版本的memquota所引起的,切换到新版ratelimit配置后,该条error日志便不见了(新版配置对应log参见生效日志1);

2019-08-08T02:02:33.597655Z    debug    New routes in effect:
[Routing ExpectedTable]
ID: 5
[#0] TEMPLATE_VARIETY_REPORT {V}
  [#0] istio-system {NS}
    [#0] prometheus.istio-system {H}
      [#0]
        Condition: (context.protocol == "http" || context.protocol == "grpc") && (match((request.useragent | "-"), "kube-probe*") == false)
        [#0] requestcount.metric.istio-system {I}
        [#1] requestduration.metric.istio-system {I}
        [#2] requestsize.metric.istio-system {I}
        [#3] responsesize.metric.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] tcpbytereceived.metric.istio-system {I}
        [#1] tcpbytesent.metric.istio-system {I}
      [#2]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "close")
        [#0] tcpconnectionsclosed.metric.istio-system {I}
      [#3]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "open")
        [#0] tcpconnectionsopened.metric.istio-system {I}
[#1] TEMPLATE_VARIETY_QUOTA {V}
  [#0] tsp {NS}
    [#0] handler.memquota.tsp {H}
      [#0]
        Condition:
        [#0] requestcount.quota.tsp {I}
[#2] TEMPLATE_VARIETY_ATTRIBUTE_GENERATOR {V}
  [#0] istio-system {NS}
    [#0] kubernetesenv.istio-system {H}
      [#0]
        Condition:
        [#0] attributes.kubernetes.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] attributes.kubernetes.istio-system {I}

2019-08-08T02:02:33.597664Z    info    Cleaning up handler table, with config ID:4
2019-08-08T02:02:33.597687Z    debug    Closing adapter kubernetesenv.istio-system/&{{{0 0} 0 0 0 0} map[:0xc420522e60] {{{adapter 15 0 kubernetesenv.istio-system }} 0xc4205611a0 0xc420c81aa0 0xc420bc1e40 0xc420bc1e48} 0x3075200 0xc420c81bf0}
2019-08-08T02:02:33.597706Z    info    adapters    deleted remote controller     {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597730Z    debug    Closing adapter handler.memquota.tsp/&{{{0 0} map[] map[] 0xc4214afe50 0x47d3a0 {{adapter 15 0 handler.memquota.tsp }}} map[] map[requestcount.quota.tsp;destination=mx-vehicle-parts-management;destinationVersion=v256;sourceVin=luohq:0xc42161e6c0 requestcount.quota.tsp;destination=mx-vehicle-parts-management;destinationVersion=v256;sourceVin=luohqx:0xc421a33950] map[requestcount.quota.tsp:0xc420b2f580] {{adapter 15 0 handler.memquota.tsp }}}
2019-08-08T02:02:33.597749Z    debug    Closing adapter prometheus.istio-system/&{0xc4200e2500 map[requestduration.metric.istio-system:0xc420b49840 requestsize.metric.istio-system:0xc420b49880 responsesize.metric.istio-system:0xc420b498c0 tcpbytesent.metric.istio-system:0xc420b49900 tcpbytereceived.metric.istio-system:0xc420b49940 tcpconnectionsopened.metric.istio-system:0xc420b49980 tcpconnectionsclosed.metric.istio-system:0xc420b499c0 requestcount.metric.istio-system:0xc420b49800] 0xc42050ff00}
2019-08-08T02:02:33.597770Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "prometheus.istio-system"}
2019-08-08T02:02:33.597790Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597823Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597921Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.598017Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.691536Z    debug    caches populated
2019-08-08T02:02:34.597868Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:43.599882Z    error    adapters    adapter did not close all the scheduled daemons    {"adapter": "handler.memquota.tsp"} 

(3)若配置不生效,则手动重启istio-policy后即可;

若在istio-policy中没有看到类似(2)中所提到的生效日志,即需要手动重启istio-policy(删除istio-proxy对应的pod,之后k8s会重新创建istio-policy对应pod)即可;实际测试过程中istio-policy启动速度很快(5秒内钟就可重启完成,几乎对服务请求无影响);

TODO:之后在Istio升级版本又或者搭建新Istio环境时,会再观察配置是否实时生效(当前1.1.11版本起初修改ratelimit配置生效,多次修改后便会出现配置不生效情况);

配置示例

示例1:memquota限流(新版本)

当前配置针对4个维度(app+version+请求path+请求头req-vin)进行限流控制,即一个request会以4个维度的叠加值进行请求计数,例如:

如下5个请求:
request1(app=svc1,version=v1,path=/hello,req-vin=luo)
request2(app=svc1,version=v1,path=/hello,req-vin=luo)
request3(app=svc1,version=v1,path=/bye,req-vin=luo)
request4(app=svc1,version=v1,path=/bye,req-vin=luo)
request5(app=svc1,version=v1,path=/hello,req-vin=luohq)

则对应的请求计数:
reqAmount(app=svc1,version=v1,path=/hello,req-vin=luo)=2
reqAmount(app=svc1,version=v1,path=/bye,req-vin=luo)=2
reqAmount(app=svc1,version=v1,path=/hello,req-vin=luohq)=1

envoy在发送请求时,会将以上4个维度的属性值上报给mixer进行check,mixer会检查以上维度的计数器是否在validDuration时间间隔内已超过maxAmount,若超过maxAmount则envoy直接返回429(Too Many Requests),否则envoy继续调用upstream服务;

#===========================================================================
#================ RateLimits memquota速率限制(新版本) - 实际使用 ==================
#亲测好用,多次更新规则后,在policy中看不到更新log(起初更新可以看到log)
#重启policy容器后配置即生效
#===========================================================================
---
apiVersion: config.istio.io/v1alpha2
kind: instance
metadata:
  name: request-count-quota
  namespace: tsp
spec:
  compiledTemplate: quota
  params:
    dimensions:
      destination: destination.labels["app"] | destination.service.name | "unknown"
      destinationVersion: destination.labels["version"] | "unknown"
      requestPath: request.url_path | "unknown"
      sourceVin: request.headers["req-vin"] | "unknown"
---
kind: handler
apiVersion: config.istio.io/v1alpha2
metadata:
  name: request-count-memquota
  namespace: tsp
spec:
  compiledAdapter: memquota
  params:
    quotas:
      - name: request-count-quota.instance.tsp
        maxAmount: 500
        validDuration: 1s
        overrides:
          - dimensions:
              sourceVin: luohq
            maxAmount: 1
            validDuration: 1s
          - dimensions:
              #requestPath(requestPath: request.url_path | "unknown")
              #request.url_path不带queryString参数
              #例如s267.tsp/256/battery/list -> request.url_path=/mx_vehicle_parts_management/battery/list
              #request.url_path为virtualService最终rewrite后的url_path
              #request.url带queryString参数
              requestPath: /mx_vehicle_parts_management/batteryVendor/list
            maxAmount: 1
            validDuration: 1s
---
apiVersion: config.istio.io/v1alpha2
kind: rule
metadata:
  name: request-count-rule
  namespace: tsp
spec:
  # quota only applies if you are not logged in.
  # match: match(request.headers["cookie"], "user=*") == false
  actions:
  - handler: request-count-memquota
    instances:
    - request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpec
metadata:
  name: request-count-qs
  namespace: tsp
spec:
  rules:
  - quotas:
    - charge: 1
      quota: request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpecBinding
metadata:
  name: request-count-qsb
  namespace: tsp
spec:
  quotaSpecs:
  - name: request-count-qs
    namespace: tsp
  services:
  - name: mx-vehicle-parts-management
    namespace: tsp
  - name: s267
    namespace: tsp
    #  - service: '*'  # Uncomment this to bind *all* services to request-count
---

示例2:redisquota限流(新版本)- 生产环境使用

redisquota配置与memquota基本相同,区别如下:

(1)redisquota(handler.request-count-redisquota)需要指定redis连接信息(redisServerUrl, connetionPoolSize);

(2)redisquota(handler.request-count-redisquota)-> overrides.dimensions中不能指定validDuration;

(3)redisquota(handler.request-count-redisquota)可以指定ratelimit具体算法(rateLimitAlgorithm, bucketDuration);

       
#==========================================================================
#================ 【生产环境】RateLimits redisquota速率限制(新版本) ===============
#亲测好用,多次更新规则后,在policy中看不到更新log(起初更新可以看到log),
#重启policy容器后配置即生效
#==========================================================================
---
apiVersion: config.istio.io/v1alpha2
kind: instance
metadata:
  name: request-count-quota
  namespace: tsp
spec:
  compiledTemplate: quota
  params:
    dimensions:
      sourceVin: request.headers["req-vin"] | "unknown"
      destination: destination.labels["app"] | destination.service.name | "unknown"
      #目标版本:若需要对app所有实例进行控制,则无需指定destinationVersion;                                                                      #若指定destinationVersion,则对app+version进行控制(限速仅适用于单独版本);
      destinationVersion: destination.labels["version"] | "unknown"
      #请求path
      requestPath: request.url_path | "unknown"
---
apiVersion: config.istio.io/v1alpha2
kind: handler
metadata:
  name: request-count-redisquota
  namespace: tsp
spec:
  compiledAdapter: redisquota
  params:
    redisServerUrl: 192.168.xxx.xxx:6379
    connectionPoolSize: 10
    quotas:
    - name: request-count-quota.instance.tsp
      maxAmount: 500
      validDuration: 1s
      bucketDuration: 500ms
      rateLimitAlgorithm: ROLLING_WINDOW
      overrides:
      - dimensions:
          sourceVin: luohq
        #在redisquota->overrides->dimensions中,只可以定义maxAmount,不可以定义validDuration(在memquota中可以定义validDuration)
        maxAmount: 1
      - dimensions:
          #requestPath(requestPath: request.url_path | "unknown")
          #request.url_path不带queryString参数
          #例如s267.tsp/256/battery/list -> request.url_path=/mx_vehicle_parts_management/battery/list
          #request.url_path为virtualService最终rewrite后的url_path
          #request.url带queryString参数
          requestPath: /mx_vehicle_parts_management/batteryVendor/list
        maxAmount: 1
---
apiVersion: config.istio.io/v1alpha2
kind: rule
metadata:
  name: request-count-rule
  namespace: tsp
spec:
  # quota only applies if you are not logged in.
  # match: match(request.headers["cookie"], "session=*") == false
  actions:
  - handler: request-count-redisquota
    instances:
    - request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpec
metadata:
  name: request-count-qs
  namespace: tsp
spec:
  rules:
  - quotas:
    - charge: 1
      quota: request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpecBinding
metadata:
  name: request-count-qsb
  namespace: tsp
spec:
  quotaSpecs:
  - name: request-count-qs
    namespace: tsp
  services:
  - name: mx-vehicle-parts-management
    namespace: tsp
  - name: s267
    namespace: tsp
    #  - service: '*'  # Uncomment this to bind *all* services to request-count-qs
---

运行结果

结果1:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/battery/list,
    sourceVin: luohqx
)
则对应ratelimit限制:maxAmount(500)/validDuration(1s)
请求成功率:100%
请求失败率:0%

Isito - Rate Limits(请求限速)- 再战_第2张图片

结果2:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/battery/list,
    sourceVin: luohq
)
则对应ratelimit限制:maxAmount(1)/validDuration(1s)
请求成功率:0.24%
请求失败率:99.76%

Isito - Rate Limits(请求限速)- 再战_第3张图片

结果3:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/batteryVendor/list,
    sourceVin: luohqx
)
则对应ratelimit限制:maxAmount(1)/validDuration(1s)
请求成功率:0.34%
请求失败率:99.66% 

Isito - Rate Limits(请求限速)- 再战_第4张图片

 

总结   

对于ratelimit配置修改后若没有生效,手动重启istio-policy即可               

之后会继续调查ratelimit配置没有生效的原因,亦会关注Istio之后的版本(目前使用1.1.11)......

 

你可能感兴趣的:(k8s,istio)

  • helm 部署 Kube-Prometheus + Grafana + 钉钉告警部署 Kube-Prometheus zxj19880502 grafanaprometheus
    背景角色IPK8S版本容器运行时k8s-master-1172.16.16.108v1.24.1containerd://1.6.8k8s-node-1172.16.16.109v1.24.1containerd://1.6.8k8s-node-2172.16.16.110v1.24.1containerd://1.6.8安装kube-prometheusmkdir-p/data/yaml/kub
  • k8s入门到实战(十)—— CronJob详细介绍及使用示例 一弓虽 k8s学习kubernetes容器云原生
    CronJob什么是CronJob在k8s中,CronJob是一种用于定期执行任务的资源对象。它基于Cron表达式,允许您在指定的时间间隔内自动运行容器化的任务。CronJob可以定义以下属性:schedule:指定任务执行的时间表,使用标准的Cron表达式语法。例如,“0****”表示每小时执行一次任务。jobTemplate:定义要执行的任务的模板,通常是一个Pod模板。这个模板包含了任务所需
  • 利用K8S Statefulset搭建Etcd集群 - 本地存储 夜晓码农 大数据Dockerkubernetesetcd容器
    目录概述测试环境yaml配置service.yamlcluster.yamlQ&A参考链接概述公司因项目需要使用K8S部署ETCD集群供其他业务调用,网上搜索了解了下,一般K8S搭建ETCD集群大部分都是使用EtcdOperator来搭建。但是公司的项目运行在离线ARM架构平台,直接使用网上EtcdOperator代码,他们提供的镜像都是x86_64架构,经过Opeartor编译等尝试,最后都以失
  • k8s kubectl 常用命令 _Johnny_ kuberneteskuberneteslinux容器
    查询节点nodekubectlgetnode查询节点标签kubectlgetnode--show-labels查询所有podkubectlgetpod-A查询指定命名空间下的podkubectlgetpod-nproject-3428查询pod详细kubectl-nproject-3428getpodxxxxxxxxxxxx-owidePOD打标签kubectllabelpodmypodapp=w
  • spring cloud gateway k8s优雅启停 luffy_1993 kubernetes容器云原生
    通过配置readiness探针和preStophook,实现优雅启动和停止(滚动部署)1.k8s工作负载配置readinessProbe:httpGet:path:/datetimeport:8080scheme:HTTPinitialDelaySeconds:30timeoutSeconds:1periodSeconds:30successThreshold:1failureThreshold:
  • 高可用系统有哪些设计原则 没有女朋友的程序员 架构师架构
    1.降级主动降级:开关推送被动降级:超时降级异常降级失败率熔断保护多级降级2.限流nginx的limit模块gatewayredis+Lua业务层限流本地限流gua分布式限流sentinel3.弹性计算弹性伸缩—K8S+docker主链路压力过大的时候可以将非主链路的机器给主链路的应用用上4.流量切换多机房环境:DNS端域名切换入口Clien端流量调度虚IPHaProxyLVS负载均衡应用层Ngi
  • 使用 BPF 监控 Kubernetes 集群(k8s BPF 工具 kubectl-trace认知 山河已无恙 K8s&kubelct插件BPFkubernetes容器云原生
    写在前面学习中遇到,整理分享,博文内容涉及:kubectl-trace安装,在节点,容器中如何使用需要注意的问题:job闪完成,一直Pending状态解决理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的时候,眼前的风景已经和从前不一样了。——村上春树kubectl-trace安装┌──[[email protected]]-[~/ansi
  • 云原生周刊:Istio 加入 Phippy 家族 | 2024.3.18 KubeSphere 云原生 k8s容器平台kubesphere云计算
    开源项目推荐ko"ko"是一个用于构建和部署Go应用程序的简单、快速的容器镜像构建工具。它适用于那些镜像中只包含单个Go应用程序且没有或很少依赖于操作系统基础镜像的情况(例如没有cgo,没有操作系统软件包依赖)。"ko"在本地机器上通过执行"gobuild"的方式构建镜像,因此不需要安装Docker。这使得它非常适合轻量级的CI/CD场景。"ko"支持简单的YAML模板化,并且支持跨平台构建,还默
  • 云原生部署手册01:构建k8s集群并配置持久化存储 吴智深 云原生kubernetes容器
    写在前面:k8s弃用docker的影响其实没那么大k8s通过dockershim对docker的支持从1.20版本后就已经移除,仅支持符合ContainerRuntimeInterface(CRI)的容器运行环境,比如containerd。containerd本身就是docker底层的容器运行环境,只不过docker在containerd的基础上增加了符合人类操作的接口。docker构建的镜像并不
  • 容器化应用的健康探针(Docker\Docker-Compose\K8S)——筑梦之路 筑梦之路 linux系统运维虚拟化云计算dockerkubernetes容器
    Docker应用健康探针:#Dockerfile构建时加入健康检查探针示例如下:FROMnode:11.15.0-alpineMAINTAINERwollensWORKDIR/codeRUNapkupdate&&apkupgrade&&\apkadd--no-cachebashgitcurlHEALTHCHECK--interval=2m--timeout=10s--start-period=5s
  • 【使用docker 搭建Java仓库 nexus 】 小吴小吴bug全无 kubernetesdockerjava容器kubernetes
    yaml---apiVersion:apps/v1kind:StatefulSetmetadata:annotations:k8s.eip.work/displayName:Nexus服务k8s.eip.work/ingress:'false'k8s.eip.work/service:ClusterIPk8s.eip.work/workload:nexuslabels:k8s.eip.work/l
  • 记录一次filebeat日志丢失的问题 无聊的刀刀
    在java化项目中,部署到k8s集群后,一度出现无法定位问题的情况。起初怀疑是日志调用链改造导致的,也修复了一些问题,但没有解决根本问题问题表现日志搜集不够实时在k8s中执行kubectllogs--tail=500test-6bb5648c4c-4fmrr-ntestns随机取一条记录,在kibana界面无法查询日志没有被搜集上个问题或许过一段时间能查询到,但有些日志则是完全无法查到,就算过了1
  • k8s Yaml语法解析 Starts️ 哈希算法算法
    YAML是一个类似XML、JSON的标记性语言。它强调以数据为中心,并不是以标识语言为重点。因而YAML本身的定义比较简单,号称"一种人性化的数据格式语言"。YAML的语法比较简单,主要有下面几个:1、大小写敏感2、使用缩进表示层级关系3、缩进不允许使用tab,只允许空格(低版本限制)4、缩进的空格数不重要,只要相同层级的元素左对齐即可5、'#'表示注释YAML支持以下几种数据类型:1、纯量:单个
  • 关于k8s中 storageclass 的 is-default-sc 默认存储设置 网络飞鸥 Kuberneteskubernetes容器云原生
    为什么要改变默认存储类?取决于安装模式,你的Kubernetes集群可能和一个被标记为默认的已有StorageClass一起部署。这个默认的StorageClass以后将被用于动态的为没有特定存储类需求的PersistentVolumeClaims配置存储。更多细节请查看PersistentVolumeClaim文档。如果准入控制器插件被启用,则管理员可以设置一个默认的StorageClass。所
  • k8s之DashBoard 蓝桉 释槐 kubernetes容器云原生
    一,详述:基于web的用户界面二,部署:1),下载yaml并运行wgethttps://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml2),修改kubernetes-dashboard的Service类型apiVersion:v1kind:Namespacemetadata:name
  • k8s安全控制、授权管理介绍 树下一少年 Kuberneteskubernetes权限云原生RBACk8s安全控制
    目录一.Kubernetes安全控制介绍1.客户端认证操作2.访问对象资源依次流程二.授权管理介绍1.AlwaysDeny2.AlwaysAllow3.ABAC4.Webhook5.Node6.RBAC三.Role解释1.Role和ClusterRole2.Rolebinding和ClusterBinding3.Rolebinding和ClusterRole四.准入控制1.命令格式2.可配置控制器
  • k8s排错指南 duansamve Kuberneteskuberneteslinux容器
    一、排查顺序:查看node状态→查看pod状态→查看container状态→查看service流量是否路由到pod→查看ingress配置是否正确→查看kubelet系统日志二、具体排查思路:1、排查node故障:#查看各节点状态:kubectlgetnode#查看node事件:kubectldescribenodeNode本身宕机或者Kubelet无法启动会导致Node上面的Pod无法正常运行已
  • 阿里云k8s内OSS报错UnKnownHost。 南宫文凯 kubernetes阿里云docker
    这个问题就是链接不上oss属于网络问题:1.排查服务器在服务器(ecs)上直接pingoss地址看是否能够通。不通就要修改dns和hosts(这个不说,自己网上查)2.排查容器进去ping一下你的容器是否能访问到oss//oss的地址这个要是不通的话就要修改k8s的配置文件(如果显示没有ping这个语法)就要在打docker包的时候加进去。(加到dockerFile里)RUNapt-getupda
  • docker-swarm集群管理命令 chenzfp Dockerdockerjava
    为什么选择swarm集群?灵魂疑问:同样是集群,为什么选择dockerswarm,而不不选择k8s或者k3s?我的需求场景:不想直接用docker或者java-jar直接跑,修改前是使用java-jar方式,这两种方式想要动态扩容和动态负载均衡在没有比较好的CI/CD工具的条件下还是比较麻烦的。当前个人负责的项目基本上后端只有一个人,运维也比较费时费力。就想着搭建一个集群,对比了k8s、k3s和d
  • Mac OS 安装 CGO 交叉编译环境 x86_64-linux-gnu-gcc shida_csdn 疑难杂症linuxgnu运维
    在MacOS平台编译kubelet遇到如下错误:#makeWHAT=cmd/kubeletKUBE_BUILD_PLATFORMS=linux/amd64+++[022214:39:32]Buildinggotargetsforlinux/amd64k8s.io/kubernetes/cmd/kubelet(non-static)#runtime/cgocgo:Ccompiler"x86_64-l
  • K8s replicaset 个人理解及文档搬运总结(updating) huaiyingdetective kubernetes容器云原生
    ReplicaSet的目的是维护一组在任何时候都处于运行状态的Pod副本的稳定集合。因此,它通常用来保证给定数量的、完全相同的Pod的可用性。何时使用ReplicaSetReplicaSet确保任何时间都有指定数量的Pod副本在运行。然而,Deployment是一个更高级的概念,它管理ReplicaSet,并向Pod提供声明式的更新以及许多其他有用的功能。因此,我们建议使用Deployment而不
  • k8s集群的CA证书过期处理 百战天王 kubernetes云原生
    文章目录制作延期的CA证书获取CA全名准备签发申请配置生成新CA验证并替换CA更新master组件的CA配置kube-apiserverkube-controller-managerkube-schedulerkube-admin检查证书过期时间更新ServiceAccountsecret更新node组件配置的CA更新kubelet连接配置签发kubelet自动申请的客户端证书不改变原CA的公私钥
  • Java云计算k8s weixin_51551879 java
    云计算k8sk8s简介容器技术的发展使用kubeadm安装k8skubectlKubernetes架构k8s节点节点与控制面之间的通信控制器k8skubectl命令详解k8s容器Kubernetes对象Kubernetes对象管理Kubernetes对象管理指令式命令Kubernetes对象管理指令式对象配置k8s对象管理声明式对象配置使用Kustomize对Kubernetes对象进行声明式管理
  • 云原生周刊:CNCF 宣布 Falco 毕业|2024.3.4 云计算
    开源项目推荐ldap-operator用于部署和管理LDAP目录的KubernetesOperator。UpdatecliUpdatecli是一个用于应用文件更新策略的工具。每个应用程序“运行”时都设计为可在任何地方使用,它会检测是否需要使用自定义策略更新值,然后根据该策略应用更改。AlazAlaz是一个开源DdosifyeBPF代理,可以检查和收集Kubernetes(K8s)服务流量,无需代码
  • 3、云原生安全之falco的部署 划水的小白白 云原生安全云原生安全
    文章目录1、helm安装2、拉去镜像失败与解决3、安装faclo4、安装nfs服务器,配置k8s的持久卷4.1、创建nfs服务器,4.2、部署master节点(nsf服务的客户端)4.3、pv与pvc4.4、假设pv和pvc的配置文件出错了5、安装falcosidekick可视化(建议跳过,直接使用6)6、安装faclo与falcosidekick7、创建自定义检测规则7.1、检测定时任务的查询与
  • k8s运维问题整理 筱光 kubernetes运维容器
    1.宕机或异常重启导致etcd启动失败服务器非正常关机(意外掉电、强制拔电)后etcd数据损坏。查看apiserver日志发现出现报错Errorwhiledialingdialtcp127.0.0.1:2379:connect:connectionrefused,2379是etcd的端口,那么apiserver是由于etcd无法连接而启动不了参考资料:https://blog.csdn.net/k
  • 【k8s】K8S中的cordon、uncordon和drain 冻结节点、驱离pod 云川之下 kubernetesdocker容器cordonuncordon
    Kubernetes(K8s)中使用Kubectl命令行工具管理Kubernetes集群。kubectl在$HOME/.kube目录中查找一个名为config的配置文件。可以通过设置KUBECONFIG环境变量或设置--kubeconfig参数来指定其它kubeconfig文件。本文主要介绍Kubernetes(K8s)中kubectlcordon,drain,uncordon常用命令。1、Kub
  • k8s容器访问宿主机或者集群外部服务
    需求背景k8s的集群容器需要访问宿主机的某个服务(mysql或者其他类型的服务),或者其他外部远程设备的服务,但是服务不在集群当中访问外部服务访问远程外部服务,如下任选一个实现外部域名映射到内部service外部IP映射到内部Service访问当前Pod所在宿主机服务,如下任选一个实现在pod中挂载环境变量表示宿主机的IP,容器内部通过环境变量映射的IP访问服务如果是只访问当前宿主机服务,通过创建
  • KubeSphere 镜像构建器(S2I)服务证书过期解决方案 KubeSphere 云原生 k8s容器平台kubesphere云计算
    目前KubeSphere所有3.x.x版本,如果开启了DevOps模块并使用了镜像构建器功能(S2I)都会遇到证书过期问题。解决方法已开启DevOps模块下载这个更新S2I服务证书压缩包,上传到任一可以访问K8s集群的节点;把上传的压缩包解压进入解压后的目录执行更新证书的脚本./update-s2i-cert.sh#上传压缩包到可访问k8s集群的节点...#解压缩$tar-zxvfupdate-s
  • Linux Ubuntu配置jdk的两种方法 没有胡子的猫 Linux工具javajdklinux
    1.shell中自动安装openJDKjdk11sudoaptinstallopenjdk-11-jre-headlessjdk8sudoaptinstallopenjdk-8-jre-headless卸载sudoaptautoremoveopenjdk-11-jre-headless2.手动下载安装官网1.下载后解压到/opt/jdk13/2.修改配置文件sudogedit/etc/profil
  • 关于旗正规则引擎中的MD5加密问题 何必如此 jspMD5规则加密
    一般情况下,为了防止个人隐私的泄露,我们都会对用户登录密码进行加密,使数据库相应字段保存的是加密后的字符串,而非原始密码。 在旗正规则引擎中,通过外部调用,可以实现MD5的加密,具体步骤如下: 1.在对象库中选择外部调用,选择“com.flagleader.util.MD5”,在子选项中选择“com.flagleader.util.MD5.getMD5ofStr({arg1})”; 2.在规
  • 【Spark101】Scala Promise/Future在Spark中的应用 bit1129 Promise
    Promise和Future是Scala用于异步调用并实现结果汇集的并发原语,Scala的Future同JUC里面的Future接口含义相同,Promise理解起来就有些绕。等有时间了再仔细的研究下Promise和Future的语义以及应用场景,具体参见Scala在线文档:http://docs.scala-lang.org/sips/completed/futures-promises.html
  • spark sql 访问hive数据的配置详解 daizj spark sqlhivethriftserver
    spark sql 能够通过thriftserver 访问hive数据,默认spark编译的版本是不支持访问hive,因为hive依赖比较多,因此打的包中不包含hive和thriftserver,因此需要自己下载源码进行编译,将hive,thriftserver打包进去才能够访问,详细配置步骤如下:   1、下载源码   2、下载Maven,并配置 此配置简单,就略过
  • HTTP 协议通信 周凡杨 javahttpclienthttp通信
                            一:简介  HTTPCLIENT,通过JAVA基于HTTP协议进行点与点间的通信!     二: 代码举例      测试类: import java
  • java unix时间戳转换 g21121 java
    把java时间戳转换成unix时间戳: Timestamp appointTime=Timestamp.valueOf(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date())) SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd hh:m
  • web报表工具FineReport常用函数的用法总结(报表函数) 老A不折腾 web报表finereport总结
    说明:本次总结中,凡是以tableName或viewName作为参数因子的。函数在调用的时候均按照先从私有数据源中查找,然后再从公有数据源中查找的顺序。   CLASS CLASS(object):返回object对象的所属的类。   CNMONEY CNMONEY(number,unit)返回人民币大写。 number:需要转换的数值型的数。 unit:单位,
  • java jni调用c++ 代码 报错 墙头上一根草 javaC++jni
    # # A fatal error has been detected by the Java Runtime Environment: # #  EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x00000000777c3290, pid=5632, tid=6656 # # JRE version: Java(TM) SE Ru
  • Spring中事件处理de小技巧 aijuans springSpring 教程Spring 实例Spring 入门Spring3
    Spring 中提供一些Aware相关de接口,BeanFactoryAware、 ApplicationContextAware、ResourceLoaderAware、ServletContextAware等等,其中最常用到de匙ApplicationContextAware.实现ApplicationContextAwaredeBean,在Bean被初始后,将会被注入 Applicati
  • linux shell ls脚本样例 annan211 linuxlinux ls源码linux 源码
    #! /bin/sh - #查找输入文件的路径 #在查找路径下寻找一个或多个原始文件或文件模式 # 查找路径由特定的环境变量所定义 #标准输出所产生的结果 通常是查找路径下找到的每个文件的第一个实体的完整路径 # 或是filename :not found 的标准错误输出。 #如果文件没有找到 则退出码为0 #否则 即为找不到的文件个数 #语法 pathfind [--
  • List,Set,Map遍历方式 (收集的资源,值得看一下) 百合不是茶 listsetMap遍历方式
    List特点:元素有放入顺序,元素可重复 Map特点:元素按键值对存储,无放入顺序 Set特点:元素无放入顺序,元素不可重复(注意:元素虽然无放入顺序,但是元素在set中的位置是有该元素的HashCode决定的,其位置其实是固定的) List接口有三个实现类:LinkedList,ArrayList,Vector LinkedList:底层基于链表实现,链表内存是散乱的,每一个元素存储本身
  • 解决SimpleDateFormat的线程不安全问题的方法 bijian1013 javathread线程安全
    在Java项目中,我们通常会自己写一个DateUtil类,处理日期和字符串的转换,如下所示: public class DateUtil01 { private SimpleDateFormat dateformat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); public void format(Date d
  • http请求测试实例(采用fastjson解析) bijian1013 http测试
            在实际开发中,我们经常会去做http请求的开发,下面则是如何请求的单元测试小实例,仅供参考。 import java.util.HashMap; import java.util.Map; import org.apache.commons.httpclient.HttpClient; import
  • 【RPC框架Hessian三】Hessian 异常处理 bit1129 hessian
    RPC异常处理概述   RPC异常处理指是,当客户端调用远端的服务,如果服务执行过程中发生异常,这个异常能否序列到客户端?   如果服务在执行过程中可能发生异常,那么在服务接口的声明中,就该声明该接口可能抛出的异常。   在Hessian中,服务器端发生异常,可以将异常信息从服务器端序列化到客户端,因为Exception本身是实现了Serializable的
  • 【日志分析】日志分析工具 bit1129 日志分析
    1. 网站日志实时分析工具 GoAccess http://www.vpsee.com/2014/02/a-real-time-web-log-analyzer-goaccess/ 2. 通过日志监控并收集 Java 应用程序性能数据(Perf4J) http://www.ibm.com/developerworks/cn/java/j-lo-logforperf/ 3.log.io 和
  • nginx优化加强战斗力及遇到的坑解决 ronin47 nginx 优化
       先说遇到个坑,第一个是负载问题,这个问题与架构有关,由于我设计架构多了两层,结果导致会话负载只转向一个。解决这样的问题思路有两个:一是改变负载策略,二是更改架构设计。    由于采用动静分离部署,而nginx又设计了静态,结果客户端去读nginx静态,访问量上来,页面加载很慢。解决:二者留其一。最好是保留apache服务器。      来以下优化:      
  • java-50-输入两棵二叉树A和B,判断树B是不是A的子结构 bylijinnan java
    思路来自: http://zhedahht.blog.163.com/blog/static/25411174201011445550396/ import ljn.help.*; public class HasSubtree { /**Q50. * 输入两棵二叉树A和B,判断树B是不是A的子结构。 例如,下图中的两棵树A和B,由于A中有一部分子树的结构和B是一
  • mongoDB 备份与恢复 开窍的石头 mongDB备份与恢复
    Mongodb导出与导入 1: 导入/导出可以操作的是本地的mongodb服务器,也可以是远程的. 所以,都有如下通用选项: -h host   主机 --port port    端口 -u username 用户名 -p passwd   密码 2: mongoexport 导出json格式的文件
  • [网络与通讯]椭圆轨道计算的一些问题 comsci 网络
         如果按照中国古代农历的历法,现在应该是某个季节的开始,但是由于农历历法是3000年前的天文观测数据,如果按照现在的天文学记录来进行修正的话,这个季节已经过去一段时间了。。。。。       也就是说,还要再等3000年。才有机会了,太阳系的行星的椭圆轨道受到外来天体的干扰,轨道次序发生了变
  • 软件专利如何申请 cuiyadll 软件专利申请
    软件技术可以申请软件著作权以保护软件源代码,也可以申请发明专利以保护软件流程中的步骤执行方式。专利保护的是软件解决问题的思想,而软件著作权保护的是软件代码(即软件思想的表达形式)。例如,离线传送文件,那发明专利保护是如何实现离线传送文件。基于相同的软件思想,但实现离线传送的程序代码有千千万万种,每种代码都可以享有各自的软件著作权。申请一个软件发明专利的代理费大概需要5000-8000申请发明专利可
  • Android学习笔记 darrenzhu android
    1.启动一个AVD 2.命令行运行adb shell可连接到AVD,这也就是命令行客户端 3.如何启动一个程序   am start -n package name/.activityName   am start -n com.example.helloworld/.MainActivity 启动Android设置工具的命令如下所示: # am start -
  • apache虚拟机配置,本地多域名访问本地网站 dcj3sjt126com apache
    现在假定你有两个目录,一个存在于 /htdocs/a,另一个存在于 /htdocs/b 。 现在你想要在本地测试的时候访问 www.freeman.com 对应的目录是 /xampp/htdocs/freeman ,访问 www.duchengjiu.com 对应的目录是 /htdocs/duchengjiu。 1、首先修改C盘WINDOWS\system32\drivers\etc目录下的
  • yii2 restful web服务[速率限制] dcj3sjt126com PHPyii2
    速率限制 为防止滥用,你应该考虑增加速率限制到您的API。 例如,您可以限制每个用户的API的使用是在10分钟内最多100次的API调用。 如果一个用户同一个时间段内太多的请求被接收, 将返回响应状态代码 429 (这意味着过多的请求)。 要启用速率限制, [[yii\web\User::identityClass|user identity class]] 应该实现 [[yii\filter
  • Hadoop2.5.2安装——单机模式 eksliang hadoophadoop单机部署
    转载请出自出处:http://eksliang.iteye.com/blog/2185414 一、概述        Hadoop有三种模式 单机模式、伪分布模式和完全分布模式,这里先简单介绍单机模式 ,默认情况下,Hadoop被配置成一个非分布式模式,独立运行JAVA进程,适合开始做调试工作。   二、下载地址 Hadoop 网址http:
  • LoadMoreListView+SwipeRefreshLayout(分页下拉)基本结构 gundumw100 android
    一切为了快速迭代 import java.util.ArrayList; import org.json.JSONObject; import android.animation.ObjectAnimator; import android.os.Bundle; import android.support.v4.widget.SwipeRefreshLayo
  • 三道简单的前端HTML/CSS题目 ini htmlWeb前端css题目
    使用CSS为多个网页进行相同风格的布局和外观设置时,为了方便对这些网页进行修改,最好使用( )。http://hovertree.com/shortanswer/bjae/7bd72acca3206862.htm   在HTML中加入<table style=”color:red; font-size:10pt”>,此为( )。http://hovertree.com/s
  • overrided方法编译错误 kane_xie override
    问题描述: 在实现类中的某一或某几个Override方法发生编译错误如下: Name clash: The method put(String) of type XXXServiceImpl has the same erasure as put(String) of type XXXService but does not override it   当去掉@Over
  • Java中使用代理IP获取网址内容(防IP被封,做数据爬虫) mcj8089 免费代理IP代理IP数据爬虫JAVA设置代理IP爬虫封IP
    推荐两个代理IP网站:   1. 全网代理IP:http://proxy.goubanjia.com/   2. 敲代码免费IP:http://ip.qiaodm.com/   Java语言有两种方式使用代理IP访问网址并获取内容,   方式一,设置System系统属性   // 设置代理IP System.getProper
  • Nodejs Express 报错之 listen EADDRINUSE qiaolevip 每天进步一点点学习永无止境nodejs纵观千象
    当你启动 nodejs服务报错: >node app Express server listening on port 80 events.js:85 throw er; // Unhandled 'error' event ^ Error: listen EADDRINUSE at exports._errnoException (
  • C++中三种new的用法 _荆棘鸟_ C++new
    转载自:http://news.ccidnet.com/art/32855/20100713/2114025_1.html 作者: mt 其一是new operator,也叫new表达式;其二是operator new,也叫new操作符。这两个英文名称起的也太绝了,很容易搞混,那就记中文名称吧。new表达式比较常见,也最常用,例如: string* ps = new string("
  • Ruby深入研究笔记1 wudixiaotie Ruby
    module是可以定义private方法的 module MTest def aaa puts "aaa" private_method end private def private_method puts "this is private_method" end end
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他