polarwu
polarwu

kubelet sandbox创建与calico cni网络配置流程 (二)

上一篇文章分析了kubelet创建pod时首先需要创建一个sandbox容器,该容器保证了k8s的pod中多个容器使用同一个网络命名空间,每个容器能够像访问本地端口一样访问对端容器端口。虽然sandbox的创建流程和运行时参数配置的代码我们都一一分析过了,实际的容器网络也是调用cni插件配置,但是cni插件是怎么工作的呢,这一节我们着重从cni(以caliclo为例)插件一端分析网络配置过程。
cni插件其实是一个二进制执行文件,kubelet在经过各种逻辑生成配置参数,然后根据配置配置参数去执行cni插件,我们看下这些参数是哪些

prevResult, err = invoke.ExecPluginWithResult(pluginPath, newConf.Bytes, c.args("ADD", rt))
// 其中,rt的内容为
rt := &libcni.RuntimeConf{
        ContainerID: podSandboxID.ID,
        NetNS:       podNetnsPath,
        IfName:      network.DefaultInterfaceName,
        Args: [][2]string{
            {"IgnoreUnknown", "1"},
            {"K8S_POD_NAMESPACE", podNs},
            {"K8S_POD_NAME", podName},
            {"K8S_POD_INFRA_CONTAINER_ID", podSandboxID.ID},
        },
    }
// newConf.Bytes是cni插件的配置文件,以我的集群为例
{
    "name": "k8s-pod-network",
    "cniVersion": "0.1.0",
    "type": "calico",
    "etcd_endpoints": "http://127.0.0.1:2379",
    "etcd_key_file": "",
    "etcd_cert_file": "",
    "etcd_ca_cert_file": "",
    "log_level": "debug",
    "mtu": 1500,
    "ipam": {
        "type": "calico-ipam"
    },
    "policy": {
        "type": "k8s",
        "k8s_api_root": "https://10.96.0.1:443",
        "k8s_auth_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJjYWxpY28tbm9kZS10b2tlbi14cTQ1dyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJjYWxpY28tbm9kZSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImMwZDI5NDQyLWExMGUtMTFlOC04NGM4LTAwMGMyOWUwYjU0OSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTpjYWxpY28tbm9kZSJ9.iT1WQTKMrJaDjM_cBTi4IO6m2Zx566wlyQm2N0CcCLNWmBwRfO4FKhuRTCp5yd9gNTBZlosdByovIeQJLBPXfUqcFOIZ6he4or1fVnjgBOIqy1G2zii7X0KrVMHEizwwS9sz44ielsjxD-BIbdwxaXv0U9yjaB1TH9Fp8LdmNtdMUs1UrrimODUqG4QAFcaGA9UBAfgchsx6pPmRNJ2Jft79W6kXv-BCK6vR434UeobfxM5k8rj4rXhCzLjQt8iIKfgOFYlzehH-ZWFjNETUxrRoyRDqvBvxQ9Sh9Bh8dC5ODO34acZPAKy1GiP2S-9fP1P8RwKP-hmw4em1RC4UdA"
    },
    "kubernetes": {
        "kubeconfig": "/etc/cni/net.d/calico-kubeconfig"
    }
}

该部分在第一节已经详细介绍,如有疑问可以查看第一节的内容。
带着这些信息,我们开始看calico插件的网络配置流程(只分析基于k8s的容器网络配置),先看calico的main函数(cni版本1.11.6)

func main() {
    // Set up logging formatting.
    log.SetFormatter(&logutils.Formatter{})

    // Install a hook that adds file/line no information.
    log.AddHook(&logutils.ContextHook{})

    // Display the version on "-v", otherwise just delegate to the skel code.
    // Use a new flag set so as not to conflict with existing libraries which use "flag"
    flagSet := flag.NewFlagSet("Calico", flag.ExitOnError)

    version := flagSet.Bool("v", false, "Display version")
    err := flagSet.Parse(os.Args[1:])
    if err != nil {
        fmt.Println(err)
        os.Exit(1)
    }
    if *version {
        fmt.Println(VERSION)
        os.Exit(0)
    }

    if err := AddIgnoreUnknownArgs(); err != nil {
        os.Exit(1)
    }

    skel.PluginMain(cmdAdd, nil, cmdDel, cniSpecVersion.All, "")
}

PluginMain是一个委托函数,参数的接收为cmdAdd,cmdGet,cmdDel以及cni支持版本等。在PluginMain函数里我们看到其实它调用的是PluginMainWithError,而逻辑主要是dispatcher下的pluginMain函数

func PluginMain(cmdAdd, cmdGet, cmdDel func(_ *CmdArgs) error, versionInfo version.PluginInfo, about string) {
    if e := PluginMainWithError(cmdAdd, cmdGet, cmdDel, versionInfo, about); e != nil {
        if err := e.Print(); err != nil {
            log.Print("Error writing error JSON to stdout: ", err)
        }
        os.Exit(1)
    }
}

func PluginMainWithError(cmdAdd, cmdGet, cmdDel func(_ *CmdArgs) error, versionInfo version.PluginInfo, about string) *types.Error {
    return (&dispatcher{
        Getenv: os.Getenv,
        Stdin:  os.Stdin,
        Stdout: os.Stdout,
        Stderr: os.Stderr,
    }).pluginMain(cmdAdd, cmdGet, cmdDel, versionInfo, about)
}

dispatcher从系统的环境变量和输入接收参数,同时设置系统的输出和错误,dispatcher的pluginMain函数如下

func (t *dispatcher) pluginMain(cmdAdd, cmdGet, cmdDel func(_ *CmdArgs) error, versionInfo version.PluginInfo, about string) *types.Error {
    cmd, cmdArgs, err := t.getCmdArgsFromEnv()
    if err != nil {
        // Print the about string to stderr when no command is set
        if _, ok := err.(missingEnvError); ok && t.Getenv("CNI_COMMAND") == "" && about != "" {
            fmt.Fprintln(t.Stderr, about)
            return nil
        }
        return createTypedError(err.Error())
    }

    if cmd != "VERSION" {
        err = validateConfig(cmdArgs.StdinData)
        if err != nil {
            return createTypedError(err.Error())
        }
    }

    switch cmd {
    case "ADD":
        err = t.checkVersionAndCall(cmdArgs, versionInfo, cmdAdd)
    case "GET":
        configVersion, err := t.ConfVersionDecoder.Decode(cmdArgs.StdinData)
        if err != nil {
            return createTypedError(err.Error())
        }
        if gtet, err := version.GreaterThanOrEqualTo(configVersion, "0.4.0"); err != nil {
            return createTypedError(err.Error())
        } else if !gtet {
            return &types.Error{
                Code: types.ErrIncompatibleCNIVersion,
                Msg:  "config version does not allow GET",
            }
        }
        for _, pluginVersion := range versionInfo.SupportedVersions() {
            gtet, err := version.GreaterThanOrEqualTo(pluginVersion, configVersion)
            if err != nil {
                return createTypedError(err.Error())
            } else if gtet {
                if err := t.checkVersionAndCall(cmdArgs, versionInfo, cmdGet); err != nil {
                    return createTypedError(err.Error())
                }
                return nil
            }
        }
        return &types.Error{
            Code: types.ErrIncompatibleCNIVersion,
            Msg:  "plugin version does not allow GET",
        }
    case "DEL":
        err = t.checkVersionAndCall(cmdArgs, versionInfo, cmdDel)
    case "VERSION":
        err = versionInfo.Encode(t.Stdout)
    default:
        return createTypedError("unknown CNI_COMMAND: %v", cmd)
    }

    if err != nil {
        if e, ok := err.(*types.Error); ok {
            // don't wrap Error in Error
            return e
        }
        return createTypedError(err.Error())
    }
    return nil
}

从这个函数,我们可以看出,calico接收ADD、GET、DEL、VERSION等命令操作,包含添加容器网络、清除容器网络和查看cni版本等。
既然我们主要谈的是容器网络创建流程,那我们这里主要分析ADD命令,查看checkVersionAndCall函数

func (t *dispatcher) checkVersionAndCall(cmdArgs *CmdArgs, pluginVersionInfo version.PluginInfo, toCall func(*CmdArgs) error) error {
    configVersion, err := t.ConfVersionDecoder.Decode(cmdArgs.StdinData)
    if err != nil {
        return err
    }
    verErr := t.VersionReconciler.Check(configVersion, pluginVersionInfo)
    if verErr != nil {
        return &types.Error{
            Code:    types.ErrIncompatibleCNIVersion,
            Msg:     "incompatible CNI versions",
            Details: verErr.Details(),
        }
    }

    return toCall(cmdArgs)
}

首先通过cmdArgs的StdinData参数获取cni版本,然后通过Check函数检查所获取的cni版本是否是支持(以下版本”0.1.0”, “0.2.0”, “0.3.0”, “0.3.1”, “0.4.0”)的。如果检查通过,则执行toCall函数,这个toCall函数就是cmdAdd,如果我们回到main函数查看,cmdAdd就在main.go里,这里通过回调运行cmdAdd函数。

func cmdAdd(args *skel.CmdArgs) error {
    // Unmarshal the network config, and perform validation
    conf := NetConf{}
    if err := json.Unmarshal(args.StdinData, &conf); err != nil {
        return fmt.Errorf("failed to load netconf: %v", err)
    }

    cniVersion := conf.CNIVersion

    ConfigureLogging(conf.LogLevel)

    workload, orchestrator, err := GetIdentifiers(args)
    if err != nil {
        return err
    }

    logger := CreateContextLogger(workload)

    // Allow the nodename to be overridden by the network config
    updateNodename(conf, logger)

    logger.WithFields(log.Fields{
        "Orchestrator": orchestrator,
        "Node":         nodename,
        "Workload":     workload,
        "ContainerID":  args.ContainerID,
    }).Info("Extracted identifiers")

    logger.WithFields(log.Fields{"NetConfg": conf}).Info("Loaded CNI NetConf")
    calicoClient, err := CreateClient(conf)
    if err != nil {
        return err
    }

    ready, err := IsReady(calicoClient)
    if err != nil {
        return err
    }
    if !ready {
        logger.Warn("Upgrade may be in progress, ready flag is not set")
        return fmt.Errorf("Calico is currently not ready to process requests")
    }

    // Always check if there's an existing endpoint.
    endpoints, err := calicoClient.WorkloadEndpoints().List(api.WorkloadEndpointMetadata{
        Node:         nodename,
        Orchestrator: orchestrator,
        Workload:     workload})
    if err != nil {
        return err
    }

    logger.Debugf("Retrieved endpoints: %v", endpoints)

    var endpoint *api.WorkloadEndpoint
    if len(endpoints.Items) == 1 {
        endpoint = &endpoints.Items[0]
    }

    fmt.Fprintf(os.Stderr, "Calico CNI checking for existing endpoint: %v\n", endpoint)

    // Collect the result in this variable - this is ultimately what gets "returned" by this function by printing
    // it to stdout.
    var result *current.Result

    // If running under Kubernetes then branch off into the kubernetes code, otherwise handle everything in this
    // function.
    if orchestrator == "k8s" {
        if result, err = k8s.CmdAddK8s(args, conf, nodename, calicoClient, endpoint); err != nil {
            return err
        }
    } else {
        ...
    }
    // Handle profile creation - this is only done if there isn't a specific policy handler.
    if conf.Policy.PolicyType == "" {
        logger.Debug("Handling profiles")
        // Start by checking if the profile already exists. If it already exists then there is no work to do.
        // The CNI plugin never updates a profile.
        exists := true
        _, err = calicoClient.Profiles().Get(api.ProfileMetadata{Name: conf.Name})
        if err != nil {
            _, ok := err.(errors.ErrorResourceDoesNotExist)
            if ok {
                exists = false
            } else {
                // Cleanup IP allocation and return the error.
                ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
                return err
            }
        }

        if !exists {
            // The profile doesn't exist so needs to be created. The rules vary depending on whether k8s is being used.
            // Under k8s (without full policy support) the rule is permissive and allows all traffic.
            // Otherwise, incoming traffic is only allowed from profiles with the same tag.
            fmt.Fprintf(os.Stderr, "Calico CNI creating profile: %s\n", conf.Name)
            var inboundRules []api.Rule
            if orchestrator == "k8s" {
                inboundRules = []api.Rule{{Action: "allow"}}
            } else {
                inboundRules = []api.Rule{{Action: "allow", Source: api.EntityRule{Tag: conf.Name}}}
            }

            profile := &api.Profile{
                Metadata: api.ProfileMetadata{
                    Name: conf.Name,
                    Tags: []string{conf.Name},
                },
                Spec: api.ProfileSpec{
                    EgressRules:  []api.Rule{{Action: "allow"}},
                    IngressRules: inboundRules,
                },
            }

            logger.WithField("profile", profile).Info("Creating profile")

            if _, err := calicoClient.Profiles().Create(profile); err != nil {
                // Cleanup IP allocation and return the error.
                ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
                return err
            }
        }
    }

    // Set Gateway to nil. Calico-IPAM doesn't set it, but host-local does.
    // We modify IPs subnet received from the IPAM plugin (host-local),
    // so Gateway isn't valid anymore. It is also not used anywhere by Calico.
    for _, ip := range result.IPs {
        ip.Gateway = nil
    }

    // Print result to stdout, in the format defined by the requested cniVersion.
    return types.PrintResult(result, cniVersion)

为了分析清楚,还是先给出skel.CmdArgs和NetConf的数据结构,NetConf可以看作是calico config的配置文件。

// CmdArgs captures all the arguments passed in to the plugin
// via both env vars and stdin
type CmdArgs struct {
    ContainerID string
    Netns       string
    IfName      string
    Args        string
    Path        string
    StdinData   []byte
}

// NetConf stores the common network config for Calico CNI plugin
type NetConf struct {
    CNIVersion string `json:"cniVersion,omitempty"`
    Name       string `json:"name"`
    Type       string `json:"type"`
    IPAM       struct {
        Name       string
        Type       string   `json:"type"`
        Subnet     string   `json:"subnet"`
        AssignIpv4 *string  `json:"assign_ipv4"`
        AssignIpv6 *string  `json:"assign_ipv6"`
        IPv4Pools  []string `json:"ipv4_pools,omitempty"`
        IPv6Pools  []string `json:"ipv6_pools,omitempty"`
    } `json:"ipam,omitempty"`
    MTU            int        `json:"mtu"`
    Hostname       string     `json:"hostname"`
    Nodename       string     `json:"nodename"`
    DatastoreType  string     `json:"datastore_type"`
    EtcdAuthority  string     `json:"etcd_authority"`
    EtcdEndpoints  string     `json:"etcd_endpoints"`
    LogLevel       string     `json:"log_level"`
    Policy         Policy     `json:"policy"`
    Kubernetes     Kubernetes `json:"kubernetes"`
    Args           Args       `json:"args"`
    EtcdScheme     string     `json:"etcd_scheme"`
    EtcdKeyFile    string     `json:"etcd_key_file"`
    EtcdCertFile   string     `json:"etcd_cert_file"`
    EtcdCaCertFile string     `json:"etcd_ca_cert_file"`
}

在cmdAdd函数中,通过json序列化args的StdinData(可通过上述的calico配置文件加强理解)参数到conf中,GetIdentifiers返回workloadID和orchestratorID。workloadID格式为pod的namespace.name,orchestratorID为”k8s”。因为我的环境是k8s,所以我主要关注CmdAddK8s函数,这里屏蔽掉我不关心的IPAM为host-local部分代码

func CmdAddK8s(args *skel.CmdArgs, conf utils.NetConf, nodename string, calicoClient *calicoclient.Client, endpoint *api.WorkloadEndpoint) (*current.Result, error) {
    var err error
    var result *current.Result

    k8sArgs := utils.K8sArgs{}
    err = types.LoadArgs(args.Args, &k8sArgs)
    if err != nil {
        return nil, err
    }

    utils.ConfigureLogging(conf.LogLevel)

    workload, orchestrator, err := utils.GetIdentifiers(args)
    if err != nil {
        return nil, err
    }
    logger := utils.CreateContextLogger(workload)
    logger.WithFields(log.Fields{
        "Orchestrator": orchestrator,
        "Node":         nodename,
    }).Info("Extracted identifiers for CmdAddK8s")

    endpointAlreadyExisted := endpoint != nil
    if endpointAlreadyExisted {
        // This happens when Docker or the node restarts. K8s calls CNI with the same parameters as before.
        // Do the networking (since the network namespace was destroyed and recreated).
        // There's an existing endpoint - no need to create another. Find the IP address from the endpoint
        // and use that in the response.
        result, err = utils.CreateResultFromEndpoint(endpoint)
        if err != nil {
            return nil, err
        }
        logger.WithField("result", result).Debug("Created result from existing endpoint")
        // If any labels changed whilst the container was being restarted, they will be picked up by the policy
        // controller so there's no need to update the labels here.
    } else {
        client, err := newK8sClient(conf, logger)
        if err != nil {
            return nil, err
        }
        logger.WithField("client", client).Debug("Created Kubernetes client")

        if conf.IPAM.Type == "host-local" && strings.EqualFold(conf.IPAM.Subnet, "usePodCidr") {
            ...
        }

        labels := make(map[string]string)
        annot := make(map[string]string)

        // Only attempt to fetch the labels and annotations from Kubernetes
        // if the policy type has been set to "k8s". This allows users to
        // run the plugin under Kubernetes without needing it to access the
        // Kubernetes API
        if conf.Policy.PolicyType == "k8s" {
            var err error

            labels, annot, err = getK8sLabelsAnnotations(client, k8sArgs)
            if err != nil {
                return nil, err
            }
            logger.WithField("labels", labels).Debug("Fetched K8s labels")
            logger.WithField("annotations", annot).Debug("Fetched K8s annotations")

            // Check for calico IPAM specific annotations and set them if needed.
            if conf.IPAM.Type == "calico-ipam" {

                v4pools := annot["cni.projectcalico.org/ipv4pools"]
                v6pools := annot["cni.projectcalico.org/ipv6pools"]

                if len(v4pools) != 0 || len(v6pools) != 0 {
                    var stdinData map[string]interface{}
                    if err := json.Unmarshal(args.StdinData, &stdinData); err != nil {
                        return nil, err
                    }
                    var v4PoolSlice, v6PoolSlice []string

                    if len(v4pools) > 0 {
                        if err := json.Unmarshal([]byte(v4pools), &v4PoolSlice); err != nil {
                            logger.WithField("IPv4Pool", v4pools).Error("Error parsing IPv4 IPPools")
                            return nil, err
                        }

                        if _, ok := stdinData["ipam"].(map[string]interface{}); !ok {
                            logger.Fatal("Error asserting stdinData type")
                            os.Exit(0)
                        }
                        stdinData["ipam"].(map[string]interface{})["ipv4_pools"] = v4PoolSlice
                        logger.WithField("ipv4_pools", v4pools).Debug("Setting IPv4 Pools")
                    }
                    if len(v6pools) > 0 {
                        if err := json.Unmarshal([]byte(v6pools), &v6PoolSlice); err != nil {
                            logger.WithField("IPv6Pool", v6pools).Error("Error parsing IPv6 IPPools")
                            return nil, err
                        }

                        if _, ok := stdinData["ipam"].(map[string]interface{}); !ok {
                            logger.Fatal("Error asserting stdinData type")
                            os.Exit(0)
                        }
                        stdinData["ipam"].(map[string]interface{})["ipv6_pools"] = v6PoolSlice
                        logger.WithField("ipv6_pools", v6pools).Debug("Setting IPv6 Pools")
                    }

                    newData, err := json.Marshal(stdinData)
                    if err != nil {
                        logger.WithField("stdinData", stdinData).Error("Error Marshaling data")
                        return nil, err
                    }
                    args.StdinData = newData
                    logger.WithField("stdin", string(args.StdinData)).Debug("Updated stdin data")
                }
            }
        }

        ipAddrsNoIpam := annot["cni.projectcalico.org/ipAddrsNoIpam"]
        ipAddrs := annot["cni.projectcalico.org/ipAddrs"]

        // switch based on which annotations are passed or not passed.
        switch {
        case ipAddrs == "" && ipAddrsNoIpam == "":
            // Call IPAM plugin if ipAddrsNoIpam or ipAddrs annotation is not present.
            logger.Debugf("Calling IPAM plugin %s", conf.IPAM.Type)
            ipamResult, err := ipam.ExecAdd(conf.IPAM.Type, args.StdinData)
            if err != nil {
                return nil, err
            }
            logger.Debugf("IPAM plugin returned: %+v", ipamResult)

            // Convert IPAM result into current Result.
            // IPAM result has a bunch of fields that are optional for an IPAM plugin
            // but required for a CNI plugin, so this is to populate those fields.
            // See CNI Spec doc for more details.
            result, err = current.NewResultFromResult(ipamResult)
            if err != nil {
                utils.ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
                return nil, err
            }

            if len(result.IPs) == 0 {
                utils.ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
                return nil, errors.New("IPAM plugin returned missing IP config")
            }

        case ipAddrs != "" && ipAddrsNoIpam != "":
            // Can't have both ipAddrs and ipAddrsNoIpam annotations at the same time.
            e := fmt.Errorf("Can't have both annotations: 'ipAddrs' and 'ipAddrsNoIpam' in use at the same time")
            logger.Error(e)
            return nil, e
        case ipAddrsNoIpam != "":
            // ipAddrsNoIpam annotation is set so bypass IPAM, and set the IPs manually.
            overriddenResult, err := overrideIPAMResult(ipAddrsNoIpam, logger)
            if err != nil {
                return nil, err
            }
            logger.Debugf("Bypassing IPAM to set the result to: %+v", overriddenResult)

            // Convert overridden IPAM result into current Result.
            // This method fill in all the empty fields necessory for CNI output according to spec.
            result, err = current.NewResultFromResult(overriddenResult)
            if err != nil {
                return nil, err
            }

            if len(result.IPs) == 0 {
                return nil, errors.New("Failed to build result")
            }

        case ipAddrs != "":
            // When ipAddrs annotation is set, we call out to the configured IPAM plugin
            // requesting the specific IP addresses included in the annotation.
            result, err = ipAddrsResult(ipAddrs, conf, args, logger)
            if err != nil {
                return nil, err
            }
            logger.Debugf("IPAM result set to: %+v", result)
        }

        // Create the endpoint object and configure it.
        endpoint = api.NewWorkloadEndpoint()
        endpoint.Metadata.Name = args.IfName
        endpoint.Metadata.Node = nodename
        endpoint.Metadata.Orchestrator = orchestrator
        endpoint.Metadata.Workload = workload
        endpoint.Metadata.Labels = labels

        // Set the profileID according to whether Kubernetes policy is required.
        // If it's not, then just use the network name (which is the normal behavior)
        // otherwise use one based on the Kubernetes pod's Namespace.
        if conf.Policy.PolicyType == "k8s" {
            endpoint.Spec.Profiles = []string{fmt.Sprintf("k8s_ns.%s", k8sArgs.K8S_POD_NAMESPACE)}
        } else {
            endpoint.Spec.Profiles = []string{conf.Name}
        }

        // Populate the endpoint with the output from the IPAM plugin.
        if err = utils.PopulateEndpointNets(endpoint, result); err != nil {
            // Cleanup IP allocation and return the error.
            utils.ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
            return nil, err
        }
        logger.WithField("endpoint", endpoint).Info("Populated endpoint")
    }
    fmt.Fprintf(os.Stderr, "Calico CNI using IPs: %s\n", endpoint.Spec.IPNetworks)

    // maybeReleaseIPAM cleans up any IPAM allocations if we were creating a new endpoint;
    // it is a no-op if this was a re-network of an existing endpoint.
    maybeReleaseIPAM := func() {
        logger.Debug("Checking if we need to clean up IPAM.")
        logger := logger.WithField("IPs", endpoint.Spec.IPNetworks)
        if endpointAlreadyExisted {
            logger.Info("Not cleaning up IPAM allocation; this was a pre-existing endpoint.")
            return
        }
        logger.Info("Releasing IPAM allocation after failure")
        utils.ReleaseIPAllocation(logger, conf.IPAM.Type, args.StdinData)
    }

    // Whether the endpoint existed or not, the veth needs (re)creating.
    hostVethName := k8sbackend.VethNameForWorkload(workload)
    _, contVethMac, err := utils.DoNetworking(args, conf, result, logger, hostVethName)
    if err != nil {
        logger.WithError(err).Error("Error setting up networking")
        maybeReleaseIPAM()
        return nil, err
    }

    mac, err := net.ParseMAC(contVethMac)
    if err != nil {
        logger.WithError(err).WithField("mac", mac).Error("Error parsing container MAC")
        maybeReleaseIPAM()
        return nil, err
    }
    endpoint.Spec.MAC = &cnet.MAC{HardwareAddr: mac}
    endpoint.Spec.InterfaceName = hostVethName
    endpoint.Metadata.ActiveInstanceID = args.ContainerID
    logger.WithField("endpoint", endpoint).Info("Added Mac, interface name, and active container ID to endpoint")

    // Write the endpoint object (either the newly created one, or the updated one)
    if _, err := calicoClient.WorkloadEndpoints().Apply(endpoint); err != nil {
        logger.WithError(err).Error("Error creating/updating endpoint in datastore.")
        maybeReleaseIPAM()
        return nil, err
    }
    logger.Info("Wrote updated endpoint to datastore")

    return result, nil
}

CmdAddK8s函数流程非常清晰,这里分析每个步骤的逻辑,调用GetIdentifiers获得workload和orchestrator的值(形式和上述提到的一样)。然后根据endpoint变量是否为空判断处理流程,这里直接贴出代码里的注释

// This happens when Docker or the node restarts. K8s calls CNI with the same parameters as before.
// Do the networking (since the network namespace was destroyed and recreated).
// There's an existing endpoint - no need to create another. Find the IP address from the endpoint
// and use that in the response.

如果不为空则执行CreateResultFromEndpoint函数,其实是用的之前分配的结果,这里我们先不关注,既然做为新建流程,我们就从最原始的创建开始,假设我们是在新建一个pod,那么我们现在要给这个pod配置网络,我们顺着calico的代码看需要给它配置什么。如果我们在calico的配置文件里配置conf.Policy.PolicyType为k8s,那么它会从pod中获取pod的labels和annotations,再根据配置文件的conf.IPAM.Type是否calico-ipam,然后从annotations中分别取出key为cni.projectcalico.org/ipv4pools和cni.projectcalico.org/ipv6pools(如果有)的值配置ipv4地址池和ipv6地址池。然后从annotations取出key为cni.projectcalico.org/ipAddrsNoIpam和cni.projectcalico.org/ipAddrs(如果有)的值配置ipAddrsNoIpam和ipAddrs参数。根据ipAddrsNoIpam和ipAddrs的值有下列4种情况:

  • ipAddrs和ipAddrsNoIpam的值为空,直接通过calico-ipam去分配ip地址;
  • ipAddrs和ipAddrsNoIpam的值均不为空,抛出错误,不能同时配置ipAddrs和ipAddrsNoIpam;
  • 如果ipAddrsNoIpam不为空,则使用ipAddrsNoIpam设置的ip地址作为result,不调用calico-ipam;
  • 如果ipAddrs不为空,则使用ipAddrs设置的ip地址,调用calico-ipam去分配该地址。

我们看到,除了第2、3种情况,第1、4都使用到了calico-ipam,我们都知道在cni的定义里,ipam是在各插件中抽出来的,为了避免每个插件都分配地址,简单来讲ipam就是用来分配ip地址的,最后返回分配的结果。关于calico-ipam留到第三节再分析。

获得ipam分配的ip结果后,接下来重要的事就是将这个ip结果配置在容器的网络命名空间。
为了便于分析接下来的内容,先copy个图片上来
kubelet sandbox创建与calico cni网络配置流程 (二)_第1张图片
calico配置容器网络其实就是配置veth pair,一处在主机端,另一处在容器端,这个veth pair连接容器和主机的网络空间,主机端的veth是虚拟网卡,calico的网络走的是路由模式。关于veth pair的教程可以查阅这篇文章 :Linux-虚拟网络设备-veth pair。
继续回到源码的分析,VethNameForWorkload函数获取calico在主机端的veth名称,使用sha1算法计算workload的内容,最后截取前11个字符

// VethNameForWorkload returns a deterministic veth name
// for the given Kubernetes workload.
func VethNameForWorkload(workload string) string {
    // A SHA1 is always 20 bytes long, and so is sufficient for generating the
    // veth name and mac addr.
    h := sha1.New()
    h.Write([]byte(workload))
    return fmt.Sprintf("cali%s", hex.EncodeToString(h.Sum(nil))[:11])
}

DoNetworking这里就是calico cni的核心操作了,先看DoNetworking的逻辑

// DoNetworking performs the networking for the given config and IPAM result
func DoNetworking(args *skel.CmdArgs, conf NetConf, result *current.Result, logger *log.Entry, desiredVethName string) (hostVethName, contVethMAC string, err error) {
    // Select the first 11 characters of the containerID for the host veth.
    hostVethName = "cali" + args.ContainerID[:Min(11, len(args.ContainerID))]
    contVethName := args.IfName
    var hasIPv4, hasIPv6 bool

    // If a desired veth name was passed in, use that instead.
    if desiredVethName != "" {
        hostVethName = desiredVethName
    }

    // Clean up if hostVeth exists.
    if oldHostVeth, err := netlink.LinkByName(hostVethName); err == nil {
        if err = netlink.LinkDel(oldHostVeth); err != nil {
            return "", "", fmt.Errorf("failed to delete old hostVeth %v: %v", hostVethName, err)
        }
        logger.Infof("cleaning old hostVeth: %v", hostVethName)
    }

    err = ns.WithNetNSPath(args.Netns, func(hostNS ns.NetNS) error {
        veth := &netlink.Veth{
            LinkAttrs: netlink.LinkAttrs{
                Name:  contVethName,
                Flags: net.FlagUp,
                MTU:   conf.MTU,
            },
            PeerName: hostVethName,
        }

        if err := netlink.LinkAdd(veth); err != nil {
            logger.Errorf("Error adding veth %+v: %s", veth, err)
            return err
        }

        hostVeth, err := netlink.LinkByName(hostVethName)
        if err != nil {
            err = fmt.Errorf("failed to lookup %q: %v", hostVethName, err)
            return err
        }

        if mac, err := net.ParseMAC("EE:EE:EE:EE:EE:EE"); err != nil {
            logger.Infof("failed to parse MAC Address: %v. Using kernel generated MAC.", err)
        } else {
            // Set the MAC address on the host side interface so the kernel does not
            // have to generate a persistent address which fails some times.
            if err = netlink.LinkSetHardwareAddr(hostVeth, mac); err != nil {
                logger.Warnf("failed to Set MAC of %q: %v. Using kernel generated MAC.", hostVethName, err)
            }
        }

        // Explicitly set the veth to UP state, because netlink doesn't always do that on all the platforms with net.FlagUp.
        // veth won't get a link local address unless it's set to UP state.
        if err = netlink.LinkSetUp(hostVeth); err != nil {
            return fmt.Errorf("failed to set %q up: %v", hostVethName, err)
        }

        contVeth, err := netlink.LinkByName(contVethName)
        if err != nil {
            err = fmt.Errorf("failed to lookup %q: %v", contVethName, err)
            return err
        }

        // Fetch the MAC from the container Veth. This is needed by Calico.
        contVethMAC = contVeth.Attrs().HardwareAddr.String()
        logger.WithField("MAC", contVethMAC).Debug("Found MAC for container veth")

        // At this point, the virtual ethernet pair has been created, and both ends have the right names.
        // Both ends of the veth are still in the container's network namespace.

        for _, addr := range result.IPs {

            // Before returning, create the routes inside the namespace, first for IPv4 then IPv6.
            if addr.Version == "4" {
                // Add a connected route to a dummy next hop so that a default route can be set
                gw := net.IPv4(169, 254, 1, 1)
                gwNet := &net.IPNet{IP: gw, Mask: net.CIDRMask(32, 32)}
                err := netlink.RouteAdd(
                    &netlink.Route{
                        LinkIndex: contVeth.Attrs().Index,
                        Scope:     netlink.SCOPE_LINK,
                        Dst:       gwNet,
                    },
                )

                if err != nil {
                    return fmt.Errorf("failed to add route inside the container: %v", err)
                }

                if err = ip.AddDefaultRoute(gw, contVeth); err != nil {
                    return fmt.Errorf("failed to add the default route inside the container: %v", err)
                }

                if err = netlink.AddrAdd(contVeth, &netlink.Addr{IPNet: &addr.Address}); err != nil {
                    return fmt.Errorf("failed to add IP addr to %q: %v", contVethName, err)
                }
                // Set hasIPv4 to true so sysctls for IPv4 can be programmed when the host side of
                // the veth finishes moving to the host namespace.
                hasIPv4 = true
            }

            // Handle IPv6 routes
            if addr.Version == "6" {
                // Make sure ipv6 is enabled in the container/pod network namespace.
                // Without these sysctls enabled, interfaces will come up but they won't get a link local IPv6 address
                // which is required to add the default IPv6 route.
                if err = writeProcSys("/proc/sys/net/ipv6/conf/all/disable_ipv6", "0"); err != nil {
                    return fmt.Errorf("failed to set net.ipv6.conf.all.disable_ipv6=0: %s", err)
                }

                if err = writeProcSys("/proc/sys/net/ipv6/conf/default/disable_ipv6", "0"); err != nil {
                    return fmt.Errorf("failed to set net.ipv6.conf.default.disable_ipv6=0: %s", err)
                }

                if err = writeProcSys("/proc/sys/net/ipv6/conf/lo/disable_ipv6", "0"); err != nil {
                    return fmt.Errorf("failed to set net.ipv6.conf.lo.disable_ipv6=0: %s", err)
                }

                // No need to add a dummy next hop route as the host veth device will already have an IPv6
                // link local address that can be used as a next hop.
                // Just fetch the address of the host end of the veth and use it as the next hop.
                addresses, err := netlink.AddrList(hostVeth, netlink.FAMILY_V6)
                if err != nil {
                    logger.Errorf("Error listing IPv6 addresses for the host side of the veth pair: %s", err)
                    return err
                }

                if len(addresses) < 1 {
                    // If the hostVeth doesn't have an IPv6 address then this host probably doesn't
                    // support IPv6. Since a IPv6 address has been allocated that can't be used,
                    // return an error.
                    return fmt.Errorf("failed to get IPv6 addresses for host side of the veth pair")
                }

                hostIPv6Addr := addresses[0].IP

                _, defNet, _ := net.ParseCIDR("::/0")
                if err = ip.AddRoute(defNet, hostIPv6Addr, contVeth); err != nil {
                    return fmt.Errorf("failed to add IPv6 default gateway to %v %v", hostIPv6Addr, err)
                }

                if err = netlink.AddrAdd(contVeth, &netlink.Addr{IPNet: &addr.Address}); err != nil {
                    return fmt.Errorf("failed to add IPv6 addr to %q: %v", contVeth, err)
                }

                // Set hasIPv6 to true so sysctls for IPv6 can be programmed when the host side of
                // the veth finishes moving to the host namespace.
                hasIPv6 = true
            }
        }

        // Now that the everything has been successfully set up in the container, move the "host" end of the
        // veth into the host namespace.
        if err = netlink.LinkSetNsFd(hostVeth, int(hostNS.Fd())); err != nil {
            return fmt.Errorf("failed to move veth to host netns: %v", err)
        }

        return nil
    })

    if err != nil {
        logger.Errorf("Error creating veth: %s", err)
        return "", "", err
    }

    err = configureSysctls(hostVethName, hasIPv4, hasIPv6)
    if err != nil {
        return "", "", fmt.Errorf("error configuring sysctls for interface: %s, error: %s", hostVethName, err)
    }

    // Moving a veth between namespaces always leaves it in the "DOWN" state. Set it back to "UP" now that we're
    // back in the host namespace.
    hostVeth, err := netlink.LinkByName(hostVethName)
    if err != nil {
        return "", "", fmt.Errorf("failed to lookup %q: %v", hostVethName, err)
    }

    if err = netlink.LinkSetUp(hostVeth); err != nil {
        return "", "", fmt.Errorf("failed to set %q up: %v", hostVethName, err)
    }

    // Now that the host side of the veth is moved, state set to UP, and configured with sysctls, we can add the routes to it in the host namespace.
    err = SetupRoutes(hostVeth, result)
    if err != nil {
        return "", "", fmt.Errorf("error adding host side routes for interface: %s, error: %s", hostVeth.Attrs().Name, err)
    }

    return hostVethName, contVethMAC, err
}

想一想,如果是我们自己去创建一个veth pair我们的操作步骤是什么?在某个网络空间下操作(这里使用的是容器的网络空间)

  • 创建veth pair,主机端和容器端
  • 给容器端veth 配置mac、ip、网关和路由等
  • 给主机端veth配置mac、路由等
  • 将主机端veth移到主机的网络空间

对着上面几个步骤去查看DoNetworking函数,代码里的逻辑和我们的操作其实是如出一辙的,DoNetworking函数里还有个configureSysctls函数,他将给主机端的veth配置必要的sysctls。DoNetworking最后返回主机veth name和容器mac,这些信息都更新到enpoint,最后是将这个信息通过calico client更新到etcd里。
最后返回CmdAddK8s的结果,该结果就是执行calico cni二进制文件的结果,而程序运行到这里也就退出了。

你可能感兴趣的:(kubernetes源码分析)

  • K8S集群中PLEG问题排查 序冢--磊 kubernetesjavalinux
    一、背景k8s集群排障真的很麻烦今天集群有同事找我,节点报PLEGisnothealthy集群中有的节点出现了NotReady,这是什么原因呢?二、kubernetes源码分析PLEGisnothealthy也是一个经常出现的问题POD生命周期事件生成器先说下PLEG这部分代码在kubelet里,我们看一下在kubelet中的注释://GenericPLEGisanextremelysimpleg
  • kubernetes源码分析-pod创建流程 hahachenchen789 kubernetes学习
    前言首先放一张kubernetes的架构图。其中apiserver是整个架构的信息交互中心。所有组件都会与apisever交互。kubernetes中,每个node都部署了一个kubelet,通过kubelet实现对pod的创建、删除、更新等操作。Pod正式创建前的操作那么kubelet是怎么知道何时需要创建/删除一个pod以及对应的业务容器的呢?在kubernetes中,用户通过kubectlc
  • kubernetes源码分析-pod删除流程 hahachenchen789 kubernetes学习
    在Node节点上,k8s是通过kubelet删除具体的pod。而用户删除pod一般通过kubectldeletepod命令,或者利用http直接调用api-server暴露的接口去删除pod。因此在分析kubelet删除具体pod之前,先分析用户删除pod的命令是如何一步步传达给具体node上的(以kubectldeletepod命令为例)。用户删除Pod流程k8s中采用cobra框架作为命令行的
  • 【kubernetes源码分析】解析apiserver资源类型(一) kubernetes
    前言2021年开始第4个月了,由于工作过于繁忙的缘故很久没有开始文章的写作。其实一直以来我个人把写文章这件事,当作推进自己学习成长的一种方式。这篇文章是kubernetes源码分析的第一个主题,后续会陆续更新。大致的纲要为client-go、控制器、调度器、自定义控制器、operator、网络几个方面。当操作资源与apiserver进行通信时,平时都是直接编写YAML资源文件,通过kubectl来
  • Kubernetes源码分析-阿里云Kubernetes关于HPA没有扩缩容的原因定位 发热安啃 kubernetes源码分析
    最近使用阿里云的kubernetes容器服务,在一个应用上发现了HPA的一些奇怪的地方。如下图所示,当前使用率高于期望值使用率时,没有发生扩容事件,当当前使用率低于期望值使用率时,没有发生缩容事件。由此,通过源码分析一下其中的过程。所以说我们现在遇到的情况应道发生HPA行为,拿我们的例子来说就是math.Ceil((118/110)2),比率运算约等于2.14545454然后向上取整数值应当是3,
  • kubernetes源码分析之kube-controller-manager doublegao
    1.controller-manager在集群中的作用作为集群的管理控制中心,维护集群中的所有控制器,对维持集群的稳定和自我修复,实现高可用,副本控制等起关键作用。2.controller-manager内部结构图cm-inside.png3.controller-manager源码中的关键性调用链controller-manager.png4.具体的源码分析过程4.1.组件启动的入口位置:k8s
  • kubernetes源码分析 -- kubelet组件 zhaoguoguang
    Kubelet需要在每个minion结点上运行。他负责维护在特定主机上的容器。Kubelet的代码架构与kube-proxy类似,cmd部分组织代码调用(cmd/kubelet/kubelet.go),kubelet的功能实现在pkg/kubelet包中。apiServer负责接收server发过来的Pod管理信息,通过channel推送到PodConfig。PodConfig的mux使用Stor
  • Kubernetes源码分析之Pod的删除 weixin_34378922
    本文主要梳理删除Pod时,Pod的执行流程kube-apiserver的任务我们通常使用kubectl命令删除Pod,或者通过http协议直接调用apiserver暴露的接口去删除Pod。所以,删除Pod的起源肯定在apiserver这儿。在之前分析kube-apiserver部分有分析到,kube-apiserver的http处理架构使用的是go-restful。其中,对于删除,调用的自然是DE
  • Kubernetes源码分析之kube-scheduler weixin_34174132
    本节开始主要分析kubernetes源码部分,版本基于当前最新的1.13.4。启动分析Kubernetes基础组件的入口均在cmd目录下,kube-schduler入口在scheduler.go下,如图kubernetes所有的组件启动采用的均是command的形式,引用的是spf13类库通过将配置文件转化成command的形式,调用Execute方法执行定义的Run方法进入runCommand方
  • Kubernetes 源码分析 -- API Server之编解码 weixin_30877227
    ---------------------作者:weixin_34037977来源:CSDN原文:https://blog.csdn.net/weixin_34037977/article/details/87058105在Kubernetes源码分析--APIServer之APIInstall篇中,我们了解到K8S可以支持多版本的API,但是RestAPI的不同版本中接口的输入输出参数的格式是有
  • Kubernetes源码分析之存储相关 weixin_33984032
    本节所有的代码基于1.13.4版本。前言在kubernetes中,与存储相关的controller主要由三种:1、AttachDetachController,简称ADController,主要处理真实的与volume相关的操作;2、PersistentVolumeBinderController,其实就是PVController,主要负责pv和pvc的生命周期以及状态的切换;3、VolumeEx
  • Kubernetes源码分析之kube-controller-manager weixin_34368949
    本节所有的代码基于1.13.4版本。启动分析Controller-manager的启动主要包括各种controller的配置与初始化。初始化方法在NewControllerManagerCommand下,该方法通过创建一个cobra.Command对象,完成初始化的配置工作。进入NewControllerManagerCommand方法,该方法主要对controller-manager管理的所有c
  • Kubernetes源码分析之Node Controller weixin_34161029
    本节所有的代码基于1.13.4版本。启动过程之前在分析controller-manager中说到,controller对于每个controller的控制格式基本一致,都是以start***Controller的方式封装成一个独立的方法,NodeController也不例外。在1.13.4的版本中,Node的控制器分成了两种(很早之前的版本只有一种),分别是NodeIpamController与No
  • Kubernetes源码分析之kube-apiserver weixin_33757911
    本节所有的代码基于最新的1.13.4版本。启动分析同Kubernetes所有的组件启动代码一致,apiserver启动使用的是cobra的命令行方式如图,启动主要完成三个步骤:1、完成参数的配置;2、判断配置是否合法;3、执行最终的Run方法。Run方法比较简单如图,主要执行两个步骤:1、创建server端;2、启动server。因为apiserver本质上就是一个server服务器,所有代码核心
  • kubernetes源码分析之kube-scheduler doublegao
    1.kube-scheduler在集群中的作用kube-scheduler是以插件形式存在的组件,正因为以插件形式存在,所以其具有可扩展可定制的特性。kube-scheduler相当于整个集群的调度决策者,其通过预选和优选两个过程决定容器的最佳调度位置。3.kube-scheduler源码中的关键性调用链kube-scheduler.png4.具体的源码分析过程4.1.组件启动入口位置:k8s.i
  • Kubernetes源码分析 -- Kubelet系统功能以及基础概念 何约什
    PodSource是kubelet用于获取Pod定义和描述信息的一个“数据源”,kubelet进程查询并监听PodSource来获取属于自己所在节点的Pod列表,当前支持三种PodSource类型。ConfigFile:本地配置文件作为Pod数据源。HttpURL:Pod数据源的内容通过一个HTTPURL方式获取。KubernetsAPIServer:默认方式,从APIServer获取Pod数据源
  • Kubernetes源码分析 -- API Server值API Server实例如何注册到Service中 何约什
    Kubernetes集群一经启动,就会有一个缺省的Service:kubernetes,这个服务对应的endpoints就是我们启动的APIServer进程,这个服务是不需要手工创建,我们可以删除这个service,但是可以观察到它会立即重新生成,这个service的目的是什么?它又是怎么生成的呢?在K8S集群中观察首先,在CreateKubeAPIServerConfig函数中,会根据运行参数调
  • kubernetes源码分析之API Server doublegao
    1.APIServer在集群中的作用在整个集群中,APIServer处于核心的位置,是各个组件和etcd通信的桥梁,是外部请求的入口。同时承担着集群的安全访问控制,在新节点加入分发证书等。2.APIServer内部的关系图inside.png3.APIServer源码中的关键性调用链kube-apiserver.png4.具体的源码分析过程1.组件启动的入口:位置:k8s.io/kubernete
  • kubernetes源码分析 -- kubelet组件 zhaoguoguang 源码集群容器
    Kubelet需要在每个minion结点上运行。他负责维护在特定主机上的容器。Kubelet的代码架构与kube-proxy类似,cmd部分组织代码调用(cmd/kubelet/kubelet.go),kubelet的功能实现在pkg/kubelet包中。apiServer负责接收server发过来的Pod管理信息,通过channel推送到PodConfig。PodConfig的mux使用Stor
  • kubernetes源码分析 -- kube-proxy zhaoguoguang
    Kube-proxy需要在每一个minion结点上运行。他的作用是service的代理,负责将业务连接到service后面具体执行结点(endpoints)。我们列一下体现kube-proxy主要设计的代码部分。总的来说kubernetes的代码可以从cmd看进去,看每个组件的启动过程,以及提供的业务。Cmd部分组织启动进程的过程以及代码调用,具体的代码实现在pkg里面。Kube-proxy的重点
  • kubernetes源码分析 -- kube-proxy zhaoguoguang 源码集群容器
       Kube-proxy需要在每一个minion结点上运行。他的作用是service的代理,负责将业务连接到service后面具体执行结点(endpoints)。我们列一下体现kube-proxy主要设计的代码部分。   总的来说kubernetes的代码可以从cmd看进去,看每个组件的启动过程,以及提供的业务。Cmd部分组织启动进程的过程以及代码调用,具体的代码实现在pkg里面。Kube-pr
  • java短路运算符和逻辑运算符的区别 3213213333332132 java基础
    /* * 逻辑运算符——不论是什么条件都要执行左右两边代码 * 短路运算符——我认为在底层就是利用物理电路的“并联”和“串联”实现的 * 原理很简单,并联电路代表短路或(||),串联电路代表短路与(&&)。 * * 并联电路两个开关只要有一个开关闭合,电路就会通。 * 类似于短路或(||),只要有其中一个为true(开关闭合)是
  • Java异常那些不得不说的事 白糖_ javaexception
    一、在finally块中做数据回收操作 比如数据库连接都是很宝贵的,所以最好在finally中关闭连接。 JDBCAgent jdbc = new JDBCAgent(); try{ jdbc.excute("select * from ctp_log"); }catch(SQLException e){ ... }finally{ jdbc.close();
  • utf-8与utf-8(无BOM)的区别 dcj3sjt126com PHP
    BOM——Byte Order Mark,就是字节序标记   在UCS 编码中有一个叫做"ZERO WIDTH NO-BREAK SPACE"的字符,它的编码是FEFF。而FFFE在UCS中是不存在的字符,所以不应该出现在实际传输中。UCS规范建议我们在传输字节流前,先传输 字符"ZERO WIDTH NO-BREAK SPACE"。这样如
  • JAVA Annotation之定义篇 周凡杨 java注解annotation入门注释
        Annotation: 译为注释或注解 An annotation, in the Java computer programming language, is a form of syntactic metadata that can be added to Java source code. Classes, methods, variables, pa
  • tomcat的多域名、虚拟主机配置 g21121 tomcat
    众所周知apache可以配置多域名和虚拟主机,而且配置起来比较简单,但是项目用到的是tomcat,配来配去总是不成功。查了些资料才总算可以,下面就跟大家分享下经验。 很多朋友搜索的内容基本是告诉我们这么配置: 在Engine标签下增面积Host标签,如下: <Host name="www.site1.com" appBase="webapps"
  • Linux SSH 错误解析(Capistrano 的cap 访问错误 Permission ) 510888780 linuxcapistrano
    1.ssh -v [email protected] 出现 Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 错误 运行状况如下: OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuratio
  • log4j的用法 Harry642 javalog4j
    一、前言:     log4j 是一个开放源码项目,是广泛使用的以Java编写的日志记录包。由于log4j出色的表现,     当时在log4j完成时,log4j开发组织曾建议sun在jdk1.4中用log4j取代jdk1.4 的日志工具类,但当时jdk1.4已接近完成,所以sun拒绝使用log4j,当在java开发中
  • mysql、sqlserver、oracle分页,java分页统一接口实现 aijuans oraclejave
    定义:pageStart 起始页,pageEnd 终止页,pageSize页面容量 oracle分页:     select * from ( select mytable.*,rownum num from (实际传的SQL) where rownum<=pageEnd) where num>=pageStart sqlServer分页:  
  • Hessian 简单例子 antlove javaWebservicehessian
    hello.hessian.MyCar.java package hessian.pojo; import java.io.Serializable; public class MyCar implements Serializable { private static final long serialVersionUID = 473690540190845543
  • 数据库对象的同义词和序列 百合不是茶 sql序列同义词ORACLE权限
    回顾简单的数据库权限等命令; 解锁用户和锁定用户 alter user scott account lock/unlock; //system下查看系统中的用户 select * dba_users; //创建用户名和密码 create user wj identified by wj; identified by //授予连接权和建表权 grant connect to
  • 使用Powermock和mockito测试静态方法 bijian1013 持续集成单元测试mockitoPowermock
            实例: package com.bijian.study; import static org.junit.Assert.assertEquals; import java.io.IOException; import org.junit.Before; import org.junit.Test; import or
  • 精通Oracle10编程SQL(6)访问ORACLE bijian1013 oracle数据库plsql
    /* *访问ORACLE */ --检索单行数据 --使用标量变量接收数据 DECLARE v_ename emp.ename%TYPE; v_sal emp.sal%TYPE; BEGIN select ename,sal into v_ename,v_sal from emp where empno=&no; dbms_output.pu
  • 【Nginx四】Nginx作为HTTP负载均衡服务器 bit1129 nginx
     Nginx的另一个常用的功能是作为负载均衡服务器。一个典型的web应用系统,通过负载均衡服务器,可以使得应用有多台后端服务器来响应客户端的请求。一个应用配置多台后端服务器,可以带来很多好处:   负载均衡的好处 增加可用资源 增加吞吐量 加快响应速度,降低延时 出错的重试验机制 Nginx主要支持三种均衡算法: round-robin l
  • jquery-validation备忘 白糖_ jquerycssF#Firebug
    留点学习jquery validation总结的代码:   function checkForm(){ validator = $("#commentForm").validate({// #formId为需要进行验证的表单ID errorElement :"span",// 使用"div"标签标记错误, 默认:&
  • solr限制admin界面访问(端口限制和http授权限制) ronin47 限定Ip访问
    solr的管理界面可以帮助我们做很多事情,但是把solr程序放到公网之后就要限制对admin的访问了。 可以通过tomcat的http基本授权来做限制,也可以通过iptables防火墙来限制。 我们先看如何通过tomcat配置http授权限制。 第一步: 在tomcat的conf/tomcat-users.xml文件中添加管理用户,比如: <userusername="ad
  • 多线程-用JAVA写一个多线程程序,写四个线程,其中二个对一个变量加1,另外二个对一个变量减1 bylijinnan java多线程
    public class IncDecThread { private int j=10; /* * 题目:用JAVA写一个多线程程序,写四个线程,其中二个对一个变量加1,另外二个对一个变量减1 * 两个问题: * 1、线程同步--synchronized * 2、线程之间如何共享同一个j变量--内部类 */ public static
  • 买房历程 cfyme
        2015-06-21: 万科未来城,看房子   2015-06-26: 办理贷款手续,贷款73万,贷款利率5.65=5.3675   2015-06-27: 房子首付,签完合同   2015-06-28,央行宣布降息 0.25,就2天的时间差啊,没赶上。   首付,老婆找他的小姐妹接了5万,另外几个朋友借了1-
  • [军事与科技]制造大型太空战舰的前奏 comsci 制造
           天气热了........空调和电扇要准备好..........        最近,世界形势日趋复杂化,战争的阴影开始覆盖全世界..........        所以,我们不得不关
  • dateformat dai_lm DateFormat
    "Symbol Meaning Presentation Ex." "------ ------- ------------ ----" "G era designator (Text) AD" "y year
  • Hadoop如何实现关联计算 datamachine mapreducehadoop关联计算
        选择Hadoop,低成本和高扩展性是主要原因,但但它的开发效率实在无法让人满意。     以关联计算为例。     假设:HDFS上有2个文件,分别是客户信息和订单信息,customerID是它们之间的关联字段。如何进行关联计算,以便将客户名称添加到订单列表中?   &nbs
  • 用户模型中修改用户信息时,密码是如何处理的 dcj3sjt126com yii
    当我添加或修改用户记录的时候对于处理确认密码我遇到了一些麻烦,所有我想分享一下我是怎么处理的。 场景是使用的基本的那些(系统自带),你需要有一个数据表(user)并且表中有一个密码字段(password),它使用 sha1、md5或其他加密方式加密用户密码。 面是它的工作流程: 当创建用户的时候密码需要加密并且保存,但当修改用户记录时如果使用同样的场景我们最终就会把用户加密过的密码再次加密,这
  • 中文 iOS/Mac 开发博客列表 dcj3sjt126com Blog
      本博客列表会不断更新维护,如果有推荐的博客,请到此处提交博客信息。 本博客列表涉及的文章内容支持 定制化Google搜索,特别感谢 JeOam 提供并帮助更新。 本博客列表也提供同步更新的OPML文件(下载OPML文件),可供导入到例如feedly等第三方定阅工具中,特别感谢 lcepy 提供自动转换脚本。这里有导入教程。
  • js去除空格,去除左右两端的空格 蕃薯耀 去除左右两端的空格js去掉所有空格js去除空格
    js去除空格,去除左右两端的空格 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>&g
  • SpringMVC4零配置--web.xml hanqunfeng springmvc4
    servlet3.0+规范后,允许servlet,filter,listener不必声明在web.xml中,而是以硬编码的方式存在,实现容器的零配置。 ServletContainerInitializer:启动容器时负责加载相关配置 package javax.servlet; import java.util.Set; public interface ServletContainer
  • 《开源框架那些事儿21》:巧借力与借巧力 j2eetop 框架UI
    同样做前端UI,为什么有人花了一点力气,就可以做好?而有的人费尽全力,仍然错误百出?我们可以先看看几个故事。 故事1:巧借力,乌鸦也可以吃核桃 有一个盛产核桃的村子,每年秋末冬初,成群的乌鸦总会来到这里,到果园里捡拾那些被果农们遗落的核桃。 核桃仁虽然美味,但是外壳那么坚硬,乌鸦怎么才能吃到呢?原来乌鸦先把核桃叼起,然后飞到高高的树枝上,再将核桃摔下去,核桃落到坚硬的地面上,被撞破了,于是,
  • JQuery EasyUI 验证扩展 可怜的猫 jqueryeasyui验证
      最近项目中用到了前端框架-- EasyUI,在做校验的时候会涉及到很多需要自定义的内容,现把常用的验证方式总结出来,留待后用。   以下内容只需要在公用js中添加即可。   使用类似于如下: <input class="easyui-textbox" name="mobile" id="mobile&
  • 架构师之httpurlconnection----------读取和发送(流读取效率通用类) nannan408
    1.前言.    如题. 2.代码. /* * Copyright (c) 2015, S.F. Express Inc. All rights reserved. */ package com.test.test.test.send; import java.io.IOException; import java.io.InputStream
  • Jquery性能优化 r361251 JavaScriptjquery
    一、注意定义jQuery变量的时候添加var关键字 这个不仅仅是jQuery,所有javascript开发过程中,都需要注意,请一定不要定义成如下: $loading = $('#loading'); //这个是全局定义,不知道哪里位置倒霉引用了相同的变量名,就会郁闷至死的 二、请使用一个var来定义变量 如果你使用多个变量的话,请如下方式定义: . 代码如下: var page
  • 在eclipse项目中使用maven管理依赖 tjj006 eclipsemaven
    概览: 如何导入maven项目至eclipse中 建立自有Maven  Java类库服务器 建立符合maven代码库标准的自定义类库 Maven在管理Java类库方面有巨大的优势,像白衣所说就是非常“环保”。 我们平时用IDE开发都是把所需要的类库一股脑的全丢到项目目录下,然后全部添加到ide的构建路径中,如果用了SVN/CVS,这样会很容易就 把
  • 中国天气网省市级联页面 x125858805 级联
    1、页面及级联js <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> &l
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他