罗小爬EX
罗小爬EX

Isito - Rate Limits(请求限速)- 再战

配置生效

在之前进行ratelimit测试的时候,总觉得有时修改完对应的配置后(例如redisquota中的overrides.dimensions、maxAmount等),配置并没有生效,因此感觉生效逻辑有些混乱;但是又被Istio ratelimit功能所吸引,希望能将Isito内置的ratelimit功能开箱即用,毕竟不用修改原服务代码(之前的ratelimit逻辑需要在原服务中添加拦截器并结合redis incr+expire来实现的);

如何确定ratelimit配置修改后已生效?

(1)开启istio-policy容器日志级别为debug;

       编辑istio-system.deployment.istio-policy,修改args中--log_output_level=default:debug

Isito - Rate Limits(请求限速)- 再战_第1张图片

(2)在修改完ratelimit相关配置后(通常仅修改redisquota OR memquota),查看istio-policy中配置生效日志;

生效日志1:

2019-08-08T08:53:56.673367Z    debug    New routes in effect:
[Routing ExpectedTable]
ID: 4
[#0] TEMPLATE_VARIETY_REPORT {V}
  [#0] istio-system {NS}
    [#0] prometheus.istio-system {H}
      [#0]
        Condition: (context.protocol == "http" || context.protocol == "grpc") && (match((request.useragent | "-"), "kube-probe*") == false)
        [#0] requestcount.metric.istio-system {I}
        [#1] requestduration.metric.istio-system {I}
        [#2] requestsize.metric.istio-system {I}
        [#3] responsesize.metric.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] tcpbytereceived.metric.istio-system {I}
        [#1] tcpbytesent.metric.istio-system {I}
      [#2]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "close")
        [#0] tcpconnectionsclosed.metric.istio-system {I}
      [#3]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "open")
        [#0] tcpconnectionsopened.metric.istio-system {I}
[#1] TEMPLATE_VARIETY_QUOTA {V}
  [#0] tsp {NS}
    [#0] request-count-redisquota.tsp {H}
      [#0]
        Condition:
        [#0] request-count-quota.instance.tsp {I}
[#2] TEMPLATE_VARIETY_ATTRIBUTE_GENERATOR {V}
  [#0] istio-system {NS}
    [#0] kubernetesenv.istio-system {H}
      [#0]
        Condition:
        [#0] attributes.kubernetes.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] attributes.kubernetes.istio-system {I}

2019-08-08T08:53:56.673382Z    info    Cleaning up handler table, with config ID:3
2019-08-08T08:53:56.673423Z    debug    Closing adapter request-count-redisquota.tsp/&{0xc4218f60f0 map[request-count-quota.instance.tsp:0xc4222ac9b0] map[0xc4221dcc70:1665947451 0xc4221dcce0:3047078253] map[0:0xc4214b40c0 1:0xc4214b40e0] 0x47d3a0 {{adapter 15 0 request-count-redisquota.tsp }}}
2019-08-08T08:53:56.673610Z    debug    Closing adapter kubernetesenv.istio-system/&{{{0 0} 0 0 0 0} map[:0xc4211680a0] {{{adapter 15 0 kubernetesenv.istio-system }} 0xc4205a4880 0xc421b8c120 0xc42132a0c0 0xc42132a0c8} 0x3075200 0xc421b8c1e0}
2019-08-08T08:53:56.673639Z    info    adapters    deleted remote controller     {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673674Z    debug    Closing adapter prometheus.istio-system/&{0xc4205aa500 map[requestduration.metric.istio-system:0xc420ca9700 requestsize.metric.istio-system:0xc420ca97c0 responsesize.metric.istio-system:0xc420ca9800 tcpbytesent.metric.istio-system:0xc420ca9880 tcpbytereceived.metric.istio-system:0xc420ca98c0 tcpconnectionsopened.metric.istio-system:0xc420ca9900 tcpconnectionsclosed.metric.istio-system:0xc420ca9940 requestcount.metric.istio-system:0xc420ca96c0] 0xc421861e70}
2019-08-08T08:53:56.673693Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "request-count-redisquota.tsp"}
2019-08-08T08:53:56.673711Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "prometheus.istio-system"}
2019-08-08T08:53:56.673770Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673842Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.673954Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.674075Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T08:53:56.764901Z    debug    caches populated
2019-08-08T08:53:57.673948Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "kubernetesenv.istio-system"}

生效日志2:

注:当前log在最后报了个error,但是并不影响配置生效,这个错误是我用旧版本的memquota所引起的,切换到新版ratelimit配置后,该条error日志便不见了(新版配置对应log参见生效日志1);

2019-08-08T02:02:33.597655Z    debug    New routes in effect:
[Routing ExpectedTable]
ID: 5
[#0] TEMPLATE_VARIETY_REPORT {V}
  [#0] istio-system {NS}
    [#0] prometheus.istio-system {H}
      [#0]
        Condition: (context.protocol == "http" || context.protocol == "grpc") && (match((request.useragent | "-"), "kube-probe*") == false)
        [#0] requestcount.metric.istio-system {I}
        [#1] requestduration.metric.istio-system {I}
        [#2] requestsize.metric.istio-system {I}
        [#3] responsesize.metric.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] tcpbytereceived.metric.istio-system {I}
        [#1] tcpbytesent.metric.istio-system {I}
      [#2]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "close")
        [#0] tcpconnectionsclosed.metric.istio-system {I}
      [#3]
        Condition: context.protocol == "tcp" && ((connection.event | "na") == "open")
        [#0] tcpconnectionsopened.metric.istio-system {I}
[#1] TEMPLATE_VARIETY_QUOTA {V}
  [#0] tsp {NS}
    [#0] handler.memquota.tsp {H}
      [#0]
        Condition:
        [#0] requestcount.quota.tsp {I}
[#2] TEMPLATE_VARIETY_ATTRIBUTE_GENERATOR {V}
  [#0] istio-system {NS}
    [#0] kubernetesenv.istio-system {H}
      [#0]
        Condition:
        [#0] attributes.kubernetes.istio-system {I}
      [#1]
        Condition: context.protocol == "tcp"
        [#0] attributes.kubernetes.istio-system {I}

2019-08-08T02:02:33.597664Z    info    Cleaning up handler table, with config ID:4
2019-08-08T02:02:33.597687Z    debug    Closing adapter kubernetesenv.istio-system/&{{{0 0} 0 0 0 0} map[:0xc420522e60] {{{adapter 15 0 kubernetesenv.istio-system }} 0xc4205611a0 0xc420c81aa0 0xc420bc1e40 0xc420bc1e48} 0x3075200 0xc420c81bf0}
2019-08-08T02:02:33.597706Z    info    adapters    deleted remote controller     {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597730Z    debug    Closing adapter handler.memquota.tsp/&{{{0 0} map[] map[] 0xc4214afe50 0x47d3a0 {{adapter 15 0 handler.memquota.tsp }}} map[] map[requestcount.quota.tsp;destination=mx-vehicle-parts-management;destinationVersion=v256;sourceVin=luohq:0xc42161e6c0 requestcount.quota.tsp;destination=mx-vehicle-parts-management;destinationVersion=v256;sourceVin=luohqx:0xc421a33950] map[requestcount.quota.tsp:0xc420b2f580] {{adapter 15 0 handler.memquota.tsp }}}
2019-08-08T02:02:33.597749Z    debug    Closing adapter prometheus.istio-system/&{0xc4200e2500 map[requestduration.metric.istio-system:0xc420b49840 requestsize.metric.istio-system:0xc420b49880 responsesize.metric.istio-system:0xc420b498c0 tcpbytesent.metric.istio-system:0xc420b49900 tcpbytereceived.metric.istio-system:0xc420b49940 tcpconnectionsopened.metric.istio-system:0xc420b49980 tcpconnectionsclosed.metric.istio-system:0xc420b499c0 requestcount.metric.istio-system:0xc420b49800] 0xc42050ff00}
2019-08-08T02:02:33.597770Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "prometheus.istio-system"}
2019-08-08T02:02:33.597790Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597823Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.597921Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.598017Z    info    adapters    shutting down daemon...    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:33.691536Z    debug    caches populated
2019-08-08T02:02:34.597868Z    info    adapters    adapter closed all scheduled daemons and workers    {"adapter": "kubernetesenv.istio-system"}
2019-08-08T02:02:43.599882Z    error    adapters    adapter did not close all the scheduled daemons    {"adapter": "handler.memquota.tsp"} 

(3)若配置不生效,则手动重启istio-policy后即可;

若在istio-policy中没有看到类似(2)中所提到的生效日志,即需要手动重启istio-policy(删除istio-proxy对应的pod,之后k8s会重新创建istio-policy对应pod)即可;实际测试过程中istio-policy启动速度很快(5秒内钟就可重启完成,几乎对服务请求无影响);

TODO:之后在Istio升级版本又或者搭建新Istio环境时,会再观察配置是否实时生效(当前1.1.11版本起初修改ratelimit配置生效,多次修改后便会出现配置不生效情况);

配置示例

示例1:memquota限流(新版本)

当前配置针对4个维度(app+version+请求path+请求头req-vin)进行限流控制,即一个request会以4个维度的叠加值进行请求计数,例如:

如下5个请求:
request1(app=svc1,version=v1,path=/hello,req-vin=luo)
request2(app=svc1,version=v1,path=/hello,req-vin=luo)
request3(app=svc1,version=v1,path=/bye,req-vin=luo)
request4(app=svc1,version=v1,path=/bye,req-vin=luo)
request5(app=svc1,version=v1,path=/hello,req-vin=luohq)

则对应的请求计数:
reqAmount(app=svc1,version=v1,path=/hello,req-vin=luo)=2
reqAmount(app=svc1,version=v1,path=/bye,req-vin=luo)=2
reqAmount(app=svc1,version=v1,path=/hello,req-vin=luohq)=1

envoy在发送请求时,会将以上4个维度的属性值上报给mixer进行check,mixer会检查以上维度的计数器是否在validDuration时间间隔内已超过maxAmount,若超过maxAmount则envoy直接返回429(Too Many Requests),否则envoy继续调用upstream服务;

#===========================================================================
#================ RateLimits memquota速率限制(新版本) - 实际使用 ==================
#亲测好用,多次更新规则后,在policy中看不到更新log(起初更新可以看到log)
#重启policy容器后配置即生效
#===========================================================================
---
apiVersion: config.istio.io/v1alpha2
kind: instance
metadata:
  name: request-count-quota
  namespace: tsp
spec:
  compiledTemplate: quota
  params:
    dimensions:
      destination: destination.labels["app"] | destination.service.name | "unknown"
      destinationVersion: destination.labels["version"] | "unknown"
      requestPath: request.url_path | "unknown"
      sourceVin: request.headers["req-vin"] | "unknown"
---
kind: handler
apiVersion: config.istio.io/v1alpha2
metadata:
  name: request-count-memquota
  namespace: tsp
spec:
  compiledAdapter: memquota
  params:
    quotas:
      - name: request-count-quota.instance.tsp
        maxAmount: 500
        validDuration: 1s
        overrides:
          - dimensions:
              sourceVin: luohq
            maxAmount: 1
            validDuration: 1s
          - dimensions:
              #requestPath(requestPath: request.url_path | "unknown")
              #request.url_path不带queryString参数
              #例如s267.tsp/256/battery/list -> request.url_path=/mx_vehicle_parts_management/battery/list
              #request.url_path为virtualService最终rewrite后的url_path
              #request.url带queryString参数
              requestPath: /mx_vehicle_parts_management/batteryVendor/list
            maxAmount: 1
            validDuration: 1s
---
apiVersion: config.istio.io/v1alpha2
kind: rule
metadata:
  name: request-count-rule
  namespace: tsp
spec:
  # quota only applies if you are not logged in.
  # match: match(request.headers["cookie"], "user=*") == false
  actions:
  - handler: request-count-memquota
    instances:
    - request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpec
metadata:
  name: request-count-qs
  namespace: tsp
spec:
  rules:
  - quotas:
    - charge: 1
      quota: request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpecBinding
metadata:
  name: request-count-qsb
  namespace: tsp
spec:
  quotaSpecs:
  - name: request-count-qs
    namespace: tsp
  services:
  - name: mx-vehicle-parts-management
    namespace: tsp
  - name: s267
    namespace: tsp
    #  - service: '*'  # Uncomment this to bind *all* services to request-count
---

示例2:redisquota限流(新版本)- 生产环境使用

redisquota配置与memquota基本相同,区别如下:

(1)redisquota(handler.request-count-redisquota)需要指定redis连接信息(redisServerUrl, connetionPoolSize);

(2)redisquota(handler.request-count-redisquota)-> overrides.dimensions中不能指定validDuration;

(3)redisquota(handler.request-count-redisquota)可以指定ratelimit具体算法(rateLimitAlgorithm, bucketDuration);

       
#==========================================================================
#================ 【生产环境】RateLimits redisquota速率限制(新版本) ===============
#亲测好用,多次更新规则后,在policy中看不到更新log(起初更新可以看到log),
#重启policy容器后配置即生效
#==========================================================================
---
apiVersion: config.istio.io/v1alpha2
kind: instance
metadata:
  name: request-count-quota
  namespace: tsp
spec:
  compiledTemplate: quota
  params:
    dimensions:
      sourceVin: request.headers["req-vin"] | "unknown"
      destination: destination.labels["app"] | destination.service.name | "unknown"
      #目标版本:若需要对app所有实例进行控制,则无需指定destinationVersion;                                                                      #若指定destinationVersion,则对app+version进行控制(限速仅适用于单独版本);
      destinationVersion: destination.labels["version"] | "unknown"
      #请求path
      requestPath: request.url_path | "unknown"
---
apiVersion: config.istio.io/v1alpha2
kind: handler
metadata:
  name: request-count-redisquota
  namespace: tsp
spec:
  compiledAdapter: redisquota
  params:
    redisServerUrl: 192.168.xxx.xxx:6379
    connectionPoolSize: 10
    quotas:
    - name: request-count-quota.instance.tsp
      maxAmount: 500
      validDuration: 1s
      bucketDuration: 500ms
      rateLimitAlgorithm: ROLLING_WINDOW
      overrides:
      - dimensions:
          sourceVin: luohq
        #在redisquota->overrides->dimensions中,只可以定义maxAmount,不可以定义validDuration(在memquota中可以定义validDuration)
        maxAmount: 1
      - dimensions:
          #requestPath(requestPath: request.url_path | "unknown")
          #request.url_path不带queryString参数
          #例如s267.tsp/256/battery/list -> request.url_path=/mx_vehicle_parts_management/battery/list
          #request.url_path为virtualService最终rewrite后的url_path
          #request.url带queryString参数
          requestPath: /mx_vehicle_parts_management/batteryVendor/list
        maxAmount: 1
---
apiVersion: config.istio.io/v1alpha2
kind: rule
metadata:
  name: request-count-rule
  namespace: tsp
spec:
  # quota only applies if you are not logged in.
  # match: match(request.headers["cookie"], "session=*") == false
  actions:
  - handler: request-count-redisquota
    instances:
    - request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpec
metadata:
  name: request-count-qs
  namespace: tsp
spec:
  rules:
  - quotas:
    - charge: 1
      quota: request-count-quota
---
apiVersion: config.istio.io/v1alpha2
kind: QuotaSpecBinding
metadata:
  name: request-count-qsb
  namespace: tsp
spec:
  quotaSpecs:
  - name: request-count-qs
    namespace: tsp
  services:
  - name: mx-vehicle-parts-management
    namespace: tsp
  - name: s267
    namespace: tsp
    #  - service: '*'  # Uncomment this to bind *all* services to request-count-qs
---

运行结果

结果1:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/battery/list,
    sourceVin: luohqx
)
则对应ratelimit限制:maxAmount(500)/validDuration(1s)
请求成功率:100%
请求失败率:0%

Isito - Rate Limits(请求限速)- 再战_第2张图片

结果2:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/battery/list,
    sourceVin: luohq
)
则对应ratelimit限制:maxAmount(1)/validDuration(1s)
请求成功率:0.24%
请求失败率:99.76%

Isito - Rate Limits(请求限速)- 再战_第3张图片

结果3:

发送请求(3s时间 + 3个连接 + 3个处理线程)
request(
    destionation: mx-vehicle-parts-management,
    destinationVersion: v256,
    path: /mx_vehicle_parts_management/batteryVendor/list,
    sourceVin: luohqx
)
则对应ratelimit限制:maxAmount(1)/validDuration(1s)
请求成功率:0.34%
请求失败率:99.66% 

Isito - Rate Limits(请求限速)- 再战_第4张图片

 

总结   

对于ratelimit配置修改后若没有生效,手动重启istio-policy即可               

之后会继续调查ratelimit配置没有生效的原因,亦会关注Istio之后的版本(目前使用1.1.11)......

 

你可能感兴趣的:(k8s,istio)

  • Kubernetes(K8s)之DNS方案 james二次元 微服务dockerkubernetes容器云原生dnshosts
    在使用k8s过程中,有时需要配置自定义的host文件做主机名解析。如果在镜像中修改/etc/hosts文件,而容器启动初始化时,会覆盖掉该文件。就需要利用k8s自身提供的机制解决类似的问题。具体如下:1.hostAliaseshostAliases是Kubernetes中的一项功能,用于在Pod中的/etc/hosts文件中添加自定义主机名与IP地址的映射。这个功能允许开发者为每个Pod手动定义主
  • k8s 中的 service 如何找到绑定的 Pod 以及如何实现 Pod 负载均衡 「已注销」 kubernetes负载均衡docker
    前言Service资源主要用于为Pod对象提供一个固定、统一的访问接口及负载均衡的能力。service是一组具有相同labelpod集合的抽象,集群内外的各个服务可以通过service进行互相通信。当创建一个service对象时也会对应创建一个endpoint对象,endpoint是用来做容器发现的,service只是将多个pod进行关联,实际的路由转发都是由kubernetes中的kube-pr
  • k8s中 pod在delete时过于慢 (小记) AR_xsy kuberneteskuberneteslinux
    在k8s环境中当删除pod时过于缓慢的处理方式原因:我了解的常见原因就是因为k8s本身的机制,所谓优雅的删除,就会导致慢些,当然如果你公司业务本身设计的很大就另说了,例如做了持久化,有些相关数据库依赖啥的,比如这个业务因为数据量对io性能要求较强,就直接调到redis里,那么你在删除的时候,k8s的机制要做到优雅的删除,那么就会一步一步的删,先清redis,然后再各种你pod业务所依赖的各种东西,
  • 【K8S系列】Kubernetes 集群中的网络常见面试题 颜淡慕潇 K8S系列深入解析K8S网络kubernetes云原生集群网络
    在Kubernetes面试中,网络是一个重要的主题。理解Kubernetes网络模型、服务发现、网络策略等概念对候选人来说至关重要。以下是一些常见的Kubernetes网络面试题及其答案,帮助你准备面试。1.Kubernetes的网络模型是什么样的?问题:Kubernetes的网络模型是怎样的?答案:Kubernetes网络模型遵循“每个Pod都有一个唯一的IP地址”的原则。每个Pod都可以直接通
  • kkfilwview私有化接入方式(k8s) qq_41369135 kubernetes容器云原生
    dev--环境//要预览文件的访问地址(灵活用工举例)varurl='http://xxx.cn/flex-employ-static-dev/enterprise/avatar/1858353535553372160/xxx.png';window.open('http://xxx.com/api/wiat-online-preview/onlinePreview?url='+encodeURI
  • ubuntu安装k8s qq_41369135 ubuntukuberneteslinux
    centos:centos:K8Sv1.28.2集群搭建-docker版-一毛丶丶-博客园centos:Kubernetes详细安装教程_kubernetes安装-CSDN博客准备工作:1、主机名解析:确保每台机器的主机名能够被解析(可以通过/etc/hosts或DNS)。#三台机子分别执行sudohostnamectlset-hostnamek8s-mastersudohostnamectlse
  • K8S中Deployment控制器的概念、原理解读以及使用技巧 景天科技苑 云原生K8S零基础到进阶实战kubernetes容器云原生deploymentk8s
    文章目录1、Deployment控制器1.1Deployment概述1.2Deployment工作原理:如何管理rs和Pod?2、Deployment资源清单文件编写技巧3、查看控制器的历史版本4、自定义滚动更新策略5、K8S自动伸缩6、动态控制副本数量7、生产环境如何实现蓝绿部署?7.1、什么是蓝绿部署?7.2、蓝绿部署的优势和缺点7.3通过k8s实现线上业务的蓝绿部署8、通过k8s完成线上业务
  • 15. k8s二进制集群之CoreDNS部署 沙漠绿州(IT追随者) k8s二进制搭建kubernetes贪心算法dns
    为搭建DNS服务需要准备什么?如何下载CoreDNS服务配置文件创建coredns.yaml配置文件(参考原始配置创建)提前准备好CoreDNS镜像资源【可选】如何启动CoreDNS服务当服务异常,如解决coredns启动失败问题总结当我们搭建完k8s集群之后可以为此部署一个DNS提供内部主机或域名解析能力,这里就说到了CoreDNS在Kubenetes起到的作用了。CoreDNS主要为Pod和服
  • 基于Istio Ambient Mesh的无边车架构:实现零侵入式服务网格的云原生革命 桂月二二 云原生istio架构
    引言:轻量化时代的服务通信进化论当传统Sidecar模式面临内存开销暴增的困境,Istio社区推出的AmbientMesh架构给出终极解决方案。某证券交易系统实测显示,采用该架构后服务延迟降低至1.7ms(降幅达73%),同时资源消耗减少60%。零侵入式流量劫持与按需安全分层的创新设计,正在重塑服务网格的未来格局。一、传统Sidecar模式的性能天花板1.1典型服务网格开销分析(千级节点集群)资源
  • K8s第一章 搭建集群 R R kubernetesjavalinux
    三台虚拟机分别非192.168.110.126192.168.110.127192.168.110.128关闭防火墙和swap分区systemctlstopfirewalldsystemctldisablefirewalldvi/etc/fstab把最后一行注释掉三台虚拟机相互ping通
  • 红队视角出发的k8s敏感信息收集——持久化存储与数据泄露 周周的奇妙编程 kubernetes容器云原生
    在Kubernetes集群中,持久化存储卷如同数据的保险箱,承载着应用运行所必需的各类敏感信息。然而,从红队视角出发,这些存储卷也可能成为攻击者觊觎的目标。通过巧妙地利用配置不当或已知漏洞,攻击者能够从中收集到包括密钥、访问凭证在内的大量敏感数据,进而导致数据泄露事件的发生。攻击链示例:攻击者通过容器逃逸进入Pod→发现挂载的EBS卷并创建快照→共享快照至攻击者AWS账户→还原快照窃取数据库凭据→
  • Openshift或者K8S上部署xxl-job RedCong openshiftkubernetes容器
    本案例以版本2.3.0为例1.packagejarbysourcecodesourcecode:https://github.com/xuxueli/xxl-job/blob/2.3.0/2.initmysqldatabasesqlcode:https://github.com/xuxueli/xxl-job/blob/2.3.0/doc/db/tables_xxl_job.sql3.buildi
  • k8s集群离线安装kuberay operator thinkerCoder kubernetes容器云原生
    1,安装方式采用helm安装方式,首先下载对应的helmchart,这里采用v1.2.2版本,下载地址:https://github.com/ray-project/kuberay-helm/releases/tag/kuberay-operator-1.2.22,解压并修改镜像源由于是在内网环境下搭建,因此需要将对应的镜像下载下来,并导入到本地镜像仓库,并修改values.yaml的镜像仓库地址
  • Kubernetes 使用自定义资源(CRD)扩展API zhangj1125 Gokubernetes容器go
    K8sCRD即KubernetesCustomResourceDefinition,是Kubernetes提供的一种扩展机制,允许用户在Kubernetes集群中定义和使用自定义的资源类型。通过定义CRD,用户可以在Kubernetes集群中创建、读取、更新和删除自定义资源对象,就像使用原生的Pod、Service等资源一样。本文主要介绍如何使用kubebuilder快速创建自定义资源类型。完成g
  • 【Golang学习之旅】Go 语言微服务架构实践(gRPC、Kafka、Docker、K8s) 程序员林北北 架构golang学习微服务云原生kafka
    文章目录1.前言:为什么选择Go语言构建微服务架构1.1微服务架构的兴趣与挑战1.2为什么选择Go语言构建微服务架构2.Go语言简介2.1Go语言的特点与应用2.2Go语言的生态系统3.微服务架构中的gRPC实践3.1什么是gRPC?3.2gRPC在Go语言中的实现1.前言:为什么选择Go语言构建微服务架构1.1微服务架构的兴趣与挑战随着互联网技术的飞速发展,尤其是云计算的普及,微服务架构已经成为
  • 【Elasticsearch】分片与副本机制:优化数据存储与查询性能 程风破~ ElasticsearchElasticsearch实战elasticsearch大数据搜索引擎
    博主简介:CSDN博客专家,历代文学网(PC端可以访问:https://literature.sinhy.com/#/?__c=1000,移动端可微信小程序搜索“历代文学”)总架构师,15年工作经验,精通Java编程,高并发设计,Springboot和微服务,熟悉Linux,ESXI虚拟化以及云原生Docker和K8s,热衷于探索科技的边界,并将理论知识转化为实际应用。保持对新技术的好奇心,乐于分
  • Flink-k8s弹性扩缩容原理和部署步骤 spring208208 flinkkubernetes贪心算法
    背景和现状目前行内提交flink作业采用Nativekubernetes模式,提交作业时会指定并行度和taskmanager使用的内存及cpu数量。这种情况下会导致在作业运行高峰可能存在资源不足问题运行低峰又会造成资源浪费,这种粗放的使用资源的模式在实时计算业务量不多的时候还可以勉强接受,而随着实时计算业务的增多,则会造成大量的资源浪费和性能瓶颈。为了使存储和计算资源得到更加合理有效的使用,能跟据
  • k8s架构与名词解释 AllanRobinLukeman dockerk8s华为云
    Master:管控集群的管理面节点,提供Kubernetes核心服务和应用程序工作负载的业务流程,对集群进行调度管理。MasterNode由APIServer、Scheduler、ClusterStateStore和Controller-ManagerServer所组成。Node:业务运行的工作节点,用于运行应用程序的容器工作负载。WorkerNode包含kubelet、kubeproxy和Con
  • K8S资源限制之resources 是小V呀 k8sk8s云原生资源限制resources
    1资源限制介绍K8S设计资源限制的原因主要是为了确保集群的稳定运行、防止资源争用和过载,同时提高应用程序的可靠性和性能。资源限制通过Cgroups等机制控制Pod使用节点资源(CPU、内存、存储)。假设1个节点上有多个pod,其中一个pod使用了所有的资源,那么肯定会影响到到其他pod的运行。2resources介绍resources作用:resources用于定义容器的计算资源请求和限制。这些资
  • k8s1.27.7部署higress,代理非k8s集群业务 石头-豆豆 Linux运维k8skubernetes容器云原生higress
    一、简介Higress是基于阿里内部的EnvoyGateway实践沉淀、以开源Istio+Envoy为核心构建的云原生API网关,实现了流量网关+微服务网关+安全网关三合一的高集成能力,深度集成Dubbo、Nacos、Sentinel等微服务技术栈,能够帮助用户极大的降低网关的部署及运维成本且能力不打折;在标准上全面支持Ingress与GatewayAPI,积极拥抱云原生下的标准API规范;同时,
  • spring cloud k8s kubesphere 灰度发布改造(包含gateway) 山巅 Kubernetes#SpringCloud&Alibabaspringcloudkubernetesgatewaykubesphere灰度发布
    Kubernetes如何通过ingress-nginx实现应用灰度发布?在日常的工作中,我们会经常对应用进行发版升级,在互联网公司尤为频繁,主要是为了满足快速的业务发展。我们经常用到的发布方式有滚动更新、蓝绿发布、灰度发布。滚动更新:依次进行新旧替换,直到旧的全部被替换为止。蓝绿发布:两套独立的系统,对外提供服务的称为绿系统,待上线的服务称为蓝系统,当蓝系统里面的应用测试完成后,用户流量接入蓝系统
  • k8s pod详解使用 0.0-0 kubernetes容器云原生
    什么是pod?Kubernetes(简称K8s)是一个开源的容器编排平台,广泛用于构建、部署和管理容器化应用程序。在K8s中,Pod是一个核心概念,下面是对Pod的详细解释:一、Pod的定义Pod是K8s中最小的可部署单元,也是资源对象模型中由用户创建或部署的最小资源对象模型。它实现了对容器的封装和管理,是一组运行在同一主机(节点)上、共享网络和存储空间的一组容器。Pod内的容器共享同一个网络命名
  • K8S Pod详解 2401_86963593 kubernetesdockerjava
    我们之前了解到,K8S有自我修复能力,意思是如果node挂掉了,那么该节点的Pod会转移到其他node中,如node2可是如果pod在node2节点运行,node2是不是又要重新拉去镜像,那么之前数据不就没了?K8S做了一个持久化存储,也叫数据卷;通过持久化存储,当node1挂掉之后,n该节点的Pod会持久化存储,之后node2会从中读取数据5.镜像拉取策略主要有三种策略:IfNotPresent
  • k8s worker 节点使用kubectl 命令 岳来 #kubeneteskubernetes容器kubectlworker节点
    通常,kubectl命令在master节点使用,但为了方便,想要在worker节点使用该命令,如何操作?具体实现如下:$kubectlgetpodTheconnectiontotheserverlocalhost:8080wasrefused-didyouspecifytherighthostorport?#worker节点无法使用拷贝master节点文件scp/etc/kubernetes/ad
  • k8s中的service、api-server、kube-proxy有什么区别 似水流年 光阴已逝 k8skubernetesjava容器
    在Kubernetes(K8s)中,Service、APIServer和kube-proxy是三个不同的组件,它们在集群中扮演着不同的角色和功能。下面我将为你解释它们之间的区别:1.Service(服务):Service是K8s中的一种资源对象,用于定义一组具有相同功能的Pod的访问方式和负载均衡。它提供了一个虚拟的IP地址和端口,作为对外提供服务的入口。Service将后端的一组Pod抽象为一个
  • Sealos的k8s高可用集群搭建 da pai ge kubernetes容器云原生
    Sealos介绍](https://sealos.io/zh-Hans/docs/Intro)Sealos是一个Go语言开发的简单干净且轻量的Kubernetes集群部署工具,能很好的支持在生产环境中部署高可用的Kubernetes集群。Sealos特性与优势支持离线安装,工具与部署资源包分离,方便不同版本间快速升级。证书有效期默认延期至99年。工具使用非常简单。支持使用自定义配置文件,可灵活完成
  • Kubernetes之kube-proxy运行机制分析 DawnEillen kubernetes容器云原生
    一、基础知识1.Kubernetes再创建服务时会为服务分配一个虚拟IP地址,客户端通过这个虚拟Ip地址来访问服务,而服务则负责将请求转发到后端pod上。2.上述阐述的过程为一个反向代理的过程,但是这个反向代理和普通的反向代理的区别是它的IP地址是虚拟的而且它的部署和启动以及停止是由K8s统一自动管理。3.在K8s集群里每个Node上都会运行一个kube-proxy服务进程,这个进程可以看作ser
  • 运维随笔-k8s-pod介绍 容器
    pod概念pod是k8s集群管理的最小业务承载单位。我们所有的业务都是运行在pod里的,一个k8s集群可能有成千上万个pod。pod中文翻译是豌豆荚,如下图所示。豆荚里面的豆子代表一个个的container(容器),pod是一个逻辑上的组织概念。豆荚的作用是把这些豆子全部包裹在了一起,而pod则是把一组容器捆绑在了一起。这组容器便拥有相同的生命周期和生存环境,同生共死。为啥要这么设计呢,让k8s直
  • Kubernetes (K8S)决定弃用 Docker!Kubernetes (K8S)学习详解 熙媛 学习笔记javadockerjenkinslinux服务器
    确实如此。Kubernetes现已弃用Docker!!!目前,Kubernetes中的Docker支持功能现已弃用,并将在之后的版本中被删除。Kubernetes之前使用的是一个名为dockershim的模块,用以实现对Docker的CRI支持。但Kubernetes社区发现了与之相关的维护问题,因此建议大家考虑使用包含CRI完整实现(兼容v1alpha1或v1)的可用容器运行时。简而言之,Doc
  • 理解K8S CSI-S3中的节点插件与控制器插件:架构设计与核心职责 孤傲 kubernetes容器云原生
    理解K8SCSI-S3中的节点插件与控制器插件:架构设计与核心职责在云原生生态中,Kubernetes已成为容器编排的事实标准,而存储管理则是其核心挑战之一。传统块存储和文件存储已通过CSI(ContainerStorageInterface)插件实现了标准化接入,但对象存储(如AmazonS3)因其独特的接口和语义,需要特殊适配。CSI-S3项目应运而生,它通过标准的CSI接口将S3兼容的对象存
  • 关于旗正规则引擎中的MD5加密问题 何必如此 jspMD5规则加密
    一般情况下,为了防止个人隐私的泄露,我们都会对用户登录密码进行加密,使数据库相应字段保存的是加密后的字符串,而非原始密码。 在旗正规则引擎中,通过外部调用,可以实现MD5的加密,具体步骤如下: 1.在对象库中选择外部调用,选择“com.flagleader.util.MD5”,在子选项中选择“com.flagleader.util.MD5.getMD5ofStr({arg1})”; 2.在规
  • 【Spark101】Scala Promise/Future在Spark中的应用 bit1129 Promise
    Promise和Future是Scala用于异步调用并实现结果汇集的并发原语,Scala的Future同JUC里面的Future接口含义相同,Promise理解起来就有些绕。等有时间了再仔细的研究下Promise和Future的语义以及应用场景,具体参见Scala在线文档:http://docs.scala-lang.org/sips/completed/futures-promises.html
  • spark sql 访问hive数据的配置详解 daizj spark sqlhivethriftserver
    spark sql 能够通过thriftserver 访问hive数据,默认spark编译的版本是不支持访问hive,因为hive依赖比较多,因此打的包中不包含hive和thriftserver,因此需要自己下载源码进行编译,将hive,thriftserver打包进去才能够访问,详细配置步骤如下:   1、下载源码   2、下载Maven,并配置 此配置简单,就略过
  • HTTP 协议通信 周凡杨 javahttpclienthttp通信
                            一:简介  HTTPCLIENT,通过JAVA基于HTTP协议进行点与点间的通信!     二: 代码举例      测试类: import java
  • java unix时间戳转换 g21121 java
    把java时间戳转换成unix时间戳: Timestamp appointTime=Timestamp.valueOf(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date())) SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd hh:m
  • web报表工具FineReport常用函数的用法总结(报表函数) 老A不折腾 web报表finereport总结
    说明:本次总结中,凡是以tableName或viewName作为参数因子的。函数在调用的时候均按照先从私有数据源中查找,然后再从公有数据源中查找的顺序。   CLASS CLASS(object):返回object对象的所属的类。   CNMONEY CNMONEY(number,unit)返回人民币大写。 number:需要转换的数值型的数。 unit:单位,
  • java jni调用c++ 代码 报错 墙头上一根草 javaC++jni
    # # A fatal error has been detected by the Java Runtime Environment: # #  EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x00000000777c3290, pid=5632, tid=6656 # # JRE version: Java(TM) SE Ru
  • Spring中事件处理de小技巧 aijuans springSpring 教程Spring 实例Spring 入门Spring3
    Spring 中提供一些Aware相关de接口,BeanFactoryAware、 ApplicationContextAware、ResourceLoaderAware、ServletContextAware等等,其中最常用到de匙ApplicationContextAware.实现ApplicationContextAwaredeBean,在Bean被初始后,将会被注入 Applicati
  • linux shell ls脚本样例 annan211 linuxlinux ls源码linux 源码
    #! /bin/sh - #查找输入文件的路径 #在查找路径下寻找一个或多个原始文件或文件模式 # 查找路径由特定的环境变量所定义 #标准输出所产生的结果 通常是查找路径下找到的每个文件的第一个实体的完整路径 # 或是filename :not found 的标准错误输出。 #如果文件没有找到 则退出码为0 #否则 即为找不到的文件个数 #语法 pathfind [--
  • List,Set,Map遍历方式 (收集的资源,值得看一下) 百合不是茶 listsetMap遍历方式
    List特点:元素有放入顺序,元素可重复 Map特点:元素按键值对存储,无放入顺序 Set特点:元素无放入顺序,元素不可重复(注意:元素虽然无放入顺序,但是元素在set中的位置是有该元素的HashCode决定的,其位置其实是固定的) List接口有三个实现类:LinkedList,ArrayList,Vector LinkedList:底层基于链表实现,链表内存是散乱的,每一个元素存储本身
  • 解决SimpleDateFormat的线程不安全问题的方法 bijian1013 javathread线程安全
    在Java项目中,我们通常会自己写一个DateUtil类,处理日期和字符串的转换,如下所示: public class DateUtil01 { private SimpleDateFormat dateformat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); public void format(Date d
  • http请求测试实例(采用fastjson解析) bijian1013 http测试
            在实际开发中,我们经常会去做http请求的开发,下面则是如何请求的单元测试小实例,仅供参考。 import java.util.HashMap; import java.util.Map; import org.apache.commons.httpclient.HttpClient; import
  • 【RPC框架Hessian三】Hessian 异常处理 bit1129 hessian
    RPC异常处理概述   RPC异常处理指是,当客户端调用远端的服务,如果服务执行过程中发生异常,这个异常能否序列到客户端?   如果服务在执行过程中可能发生异常,那么在服务接口的声明中,就该声明该接口可能抛出的异常。   在Hessian中,服务器端发生异常,可以将异常信息从服务器端序列化到客户端,因为Exception本身是实现了Serializable的
  • 【日志分析】日志分析工具 bit1129 日志分析
    1. 网站日志实时分析工具 GoAccess http://www.vpsee.com/2014/02/a-real-time-web-log-analyzer-goaccess/ 2. 通过日志监控并收集 Java 应用程序性能数据(Perf4J) http://www.ibm.com/developerworks/cn/java/j-lo-logforperf/ 3.log.io 和
  • nginx优化加强战斗力及遇到的坑解决 ronin47 nginx 优化
       先说遇到个坑,第一个是负载问题,这个问题与架构有关,由于我设计架构多了两层,结果导致会话负载只转向一个。解决这样的问题思路有两个:一是改变负载策略,二是更改架构设计。    由于采用动静分离部署,而nginx又设计了静态,结果客户端去读nginx静态,访问量上来,页面加载很慢。解决:二者留其一。最好是保留apache服务器。      来以下优化:      
  • java-50-输入两棵二叉树A和B,判断树B是不是A的子结构 bylijinnan java
    思路来自: http://zhedahht.blog.163.com/blog/static/25411174201011445550396/ import ljn.help.*; public class HasSubtree { /**Q50. * 输入两棵二叉树A和B,判断树B是不是A的子结构。 例如,下图中的两棵树A和B,由于A中有一部分子树的结构和B是一
  • mongoDB 备份与恢复 开窍的石头 mongDB备份与恢复
    Mongodb导出与导入 1: 导入/导出可以操作的是本地的mongodb服务器,也可以是远程的. 所以,都有如下通用选项: -h host   主机 --port port    端口 -u username 用户名 -p passwd   密码 2: mongoexport 导出json格式的文件
  • [网络与通讯]椭圆轨道计算的一些问题 comsci 网络
         如果按照中国古代农历的历法,现在应该是某个季节的开始,但是由于农历历法是3000年前的天文观测数据,如果按照现在的天文学记录来进行修正的话,这个季节已经过去一段时间了。。。。。       也就是说,还要再等3000年。才有机会了,太阳系的行星的椭圆轨道受到外来天体的干扰,轨道次序发生了变
  • 软件专利如何申请 cuiyadll 软件专利申请
    软件技术可以申请软件著作权以保护软件源代码,也可以申请发明专利以保护软件流程中的步骤执行方式。专利保护的是软件解决问题的思想,而软件著作权保护的是软件代码(即软件思想的表达形式)。例如,离线传送文件,那发明专利保护是如何实现离线传送文件。基于相同的软件思想,但实现离线传送的程序代码有千千万万种,每种代码都可以享有各自的软件著作权。申请一个软件发明专利的代理费大概需要5000-8000申请发明专利可
  • Android学习笔记 darrenzhu android
    1.启动一个AVD 2.命令行运行adb shell可连接到AVD,这也就是命令行客户端 3.如何启动一个程序   am start -n package name/.activityName   am start -n com.example.helloworld/.MainActivity 启动Android设置工具的命令如下所示: # am start -
  • apache虚拟机配置,本地多域名访问本地网站 dcj3sjt126com apache
    现在假定你有两个目录,一个存在于 /htdocs/a,另一个存在于 /htdocs/b 。 现在你想要在本地测试的时候访问 www.freeman.com 对应的目录是 /xampp/htdocs/freeman ,访问 www.duchengjiu.com 对应的目录是 /htdocs/duchengjiu。 1、首先修改C盘WINDOWS\system32\drivers\etc目录下的
  • yii2 restful web服务[速率限制] dcj3sjt126com PHPyii2
    速率限制 为防止滥用,你应该考虑增加速率限制到您的API。 例如,您可以限制每个用户的API的使用是在10分钟内最多100次的API调用。 如果一个用户同一个时间段内太多的请求被接收, 将返回响应状态代码 429 (这意味着过多的请求)。 要启用速率限制, [[yii\web\User::identityClass|user identity class]] 应该实现 [[yii\filter
  • Hadoop2.5.2安装——单机模式 eksliang hadoophadoop单机部署
    转载请出自出处:http://eksliang.iteye.com/blog/2185414 一、概述        Hadoop有三种模式 单机模式、伪分布模式和完全分布模式,这里先简单介绍单机模式 ,默认情况下,Hadoop被配置成一个非分布式模式,独立运行JAVA进程,适合开始做调试工作。   二、下载地址 Hadoop 网址http:
  • LoadMoreListView+SwipeRefreshLayout(分页下拉)基本结构 gundumw100 android
    一切为了快速迭代 import java.util.ArrayList; import org.json.JSONObject; import android.animation.ObjectAnimator; import android.os.Bundle; import android.support.v4.widget.SwipeRefreshLayo
  • 三道简单的前端HTML/CSS题目 ini htmlWeb前端css题目
    使用CSS为多个网页进行相同风格的布局和外观设置时,为了方便对这些网页进行修改,最好使用( )。http://hovertree.com/shortanswer/bjae/7bd72acca3206862.htm   在HTML中加入<table style=”color:red; font-size:10pt”>,此为( )。http://hovertree.com/s
  • overrided方法编译错误 kane_xie override
    问题描述: 在实现类中的某一或某几个Override方法发生编译错误如下: Name clash: The method put(String) of type XXXServiceImpl has the same erasure as put(String) of type XXXService but does not override it   当去掉@Over
  • Java中使用代理IP获取网址内容(防IP被封,做数据爬虫) mcj8089 免费代理IP代理IP数据爬虫JAVA设置代理IP爬虫封IP
    推荐两个代理IP网站:   1. 全网代理IP:http://proxy.goubanjia.com/   2. 敲代码免费IP:http://ip.qiaodm.com/   Java语言有两种方式使用代理IP访问网址并获取内容,   方式一,设置System系统属性   // 设置代理IP System.getProper
  • Nodejs Express 报错之 listen EADDRINUSE qiaolevip 每天进步一点点学习永无止境nodejs纵观千象
    当你启动 nodejs服务报错: >node app Express server listening on port 80 events.js:85 throw er; // Unhandled 'error' event ^ Error: listen EADDRINUSE at exports._errnoException (
  • C++中三种new的用法 _荆棘鸟_ C++new
    转载自:http://news.ccidnet.com/art/32855/20100713/2114025_1.html 作者: mt 其一是new operator,也叫new表达式;其二是operator new,也叫new操作符。这两个英文名称起的也太绝了,很容易搞混,那就记中文名称吧。new表达式比较常见,也最常用,例如: string* ps = new string("
  • Ruby深入研究笔记1 wudixiaotie Ruby
    module是可以定义private方法的 module MTest def aaa puts "aaa" private_method end private def private_method puts "this is private_method" end end
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他