elihe2011
elihe2011

K8S Core-DNS

1. Kube-dns

1.1 概述

K8S Core-DNS_第1张图片

KubeDNS 由三部分构成:

  • kube-dns:核心组件

    • KubeDNS:依赖 client-go 中的 informer 机制,监听 Service 和 Endpoint 的变化情况,并将相关信息更新到 SkyDNS 中
    • SkyDNS:负责 DNS 解析,监听在 10053 端口,同时也监听在 10055 端口提供 metrics 服务

  • dnsmasq:区分 Domain 是集群内部还是外部,给外部域名提供上游解析,内部域名发往10053端口,并将解析结构缓存,提高解析效率

    • dnsmasq-nanny:容器里的1号进程,不负责处理 DNS LookUp 请求,只负责管理 dnsmasq
    • dnsmasq:负责处理 DNS LookUp 请求,并缓存结果

  • sidecar: 对 kube-dns和dnsmasq进行监控检查和收集监控指标

1.2 创建 RBAC

# kube-dns-rbac.yml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:kube-dns
rules:
  - apiGroups:
    - ""
    resources:
    - endpoints
    - services
    verbs:
    - get
    - list
    - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:kube-dns
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:kube-dns
subjects:
- kind: ServiceAccount
  name: kube-dns
  namespace: kube-system

1.3 部署 kube-dns

# kube-dns-deploy.yml
apiVersion: v1
kind: Service
metadata:
  name: kube-dns
  namespace: kube-system
  labels:
    k8s-app: kube-dns
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
    kubernetes.io/name: "KubeDNS"
spec:
  selector:
    k8s-app: kube-dns
  clusterIP: 10.0.0.2
  ports:
  - name: dns
    port: 53
    protocol: UDP
  - name: dns-tcp
    port: 53
    protocol: TCP
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: kube-dns
  namespace: kube-system
  labels:
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: kube-dns
  namespace: kube-system
  labels:
    addonmanager.kubernetes.io/mode: EnsureExists
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: kube-dns
  namespace: kube-system
  labels:
    k8s-app: kube-dns
    kubernetes.io/cluster-service: "true"
    addonmanager.kubernetes.io/mode: Reconcile
spec:
  # replicas: not specified here:
  # 1. In order to make Addon Manager do not reconcile this replicas parameter.
  # 2. Default is 1.
  # 3. Will be tuned in real time if DNS horizontal auto-scaling is turned on.
  strategy:
    rollingUpdate:
      maxSurge: 10%
      maxUnavailable: 0
  selector:
    matchLabels:
      k8s-app: kube-dns
  template:
    metadata:
      labels:
        k8s-app: kube-dns
      annotations:
        prometheus.io/port: "10054"
        prometheus.io/scrape: "true"
    spec:
      priorityClassName: system-cluster-critical
      securityContext:
        seccompProfile:
          type: RuntimeDefault
        supplementalGroups: [ 65534 ]
        fsGroup: 65534
      affinity:
        podAntiAffinity:
          preferredDuringSchedulingIgnoredDuringExecution:
          - weight: 100
            podAffinityTerm:
              labelSelector:
                matchExpressions:
                  - key: k8s-app
                    operator: In
                    values: ["kube-dns"]
              topologyKey: kubernetes.io/hostname
      tolerations:
      - key: "CriticalAddonsOnly"
        operator: "Exists"
      volumes:
      - name: kube-dns-config
        configMap:
          name: kube-dns
          optional: true
      nodeSelector:
        kubernetes.io/os: linux
      containers:
      - name: kubedns
        image: k8s.gcr.io/dns/k8s-dns-kube-dns:1.17.3
        resources:
          # TODO: Set memory limits when we've profiled the container for large
          # clusters, then set request = limit to keep this container in
          # guaranteed class. Currently, this container falls into the
          # "burstable" category so the kubelet doesn't backoff from restarting it.
          limits:
            memory: 170Mi
          requests:
            cpu: 100m
            memory: 70Mi
        livenessProbe:
          httpGet:
            path: /healthcheck/kubedns
            port: 10054
            scheme: HTTP
          initialDelaySeconds: 60
          timeoutSeconds: 5
          successThreshold: 1
          failureThreshold: 5
        readinessProbe:
          httpGet:
            path: /readiness
            port: 8081
            scheme: HTTP
          # we poll on pod startup for the Kubernetes master service and
          # only setup the /readiness HTTP server once that's available.
          initialDelaySeconds: 3
          timeoutSeconds: 5
        args:
        - --domain=cluster.local.
        - --dns-port=10053
        - --config-dir=/kube-dns-config
        - --v=2
        env:
        - name: PROMETHEUS_PORT
          value: 10055
        ports:
        - containerPort: 10053
          name: dns-local
          protocol: UDP
        - containerPort: 10053
          name: dns-tcp-local
          protocol: TCP
        - containerPort: 10055
          name: metrics
          protocol: TCP
        volumeMounts:
        - name: kube-dns-config
          mountPath: /kube-dns-config
        securityContext:
          allowPrivilegeEscalation: false
          readOnlyRootFilesystem: true
          runAsUser: 1001
          runAsGroup: 1001
      - name: dnsmasq
        image: k8s.gcr.io/dns/k8s-dns-dnsmasq-nanny:1.17.3
        livenessProbe:
          httpGet:
            path: /healthcheck/dnsmasq
            port: 10054
            scheme: HTTP
          initialDelaySeconds: 60
          timeoutSeconds: 5
          successThreshold: 1
          failureThreshold: 5
        args:
        - -v=2
        - -logtostderr
        - -configDir=/etc/k8s/dns/dnsmasq-nanny
        - -restartDnsmasq=true
        - --
        - -k
        - --cache-size=1000
        - --no-negcache
        - --dns-loop-detect
        - --log-facility=-
        - --server=/cluster.local/127.0.0.1#10053
        - --server=/in-addr.arpa/127.0.0.1#10053
        - --server=/ip6.arpa/127.0.0.1#10053
        ports:
        - containerPort: 53
          name: dns
          protocol: UDP
        - containerPort: 53
          name: dns-tcp
          protocol: TCP
        # see: https://github.com/kubernetes/kubernetes/issues/29055 for details
        resources:
          requests:
            cpu: 150m
            memory: 20Mi
        volumeMounts:
        - name: kube-dns-config
          mountPath: /etc/k8s/dns/dnsmasq-nanny
        securityContext:
          capabilities:
            drop:
              - all
            add:
              - NET_BIND_SERVICE
              - SETGID
      - name: sidecar
        image: k8s.gcr.io/dns/k8s-dns-sidecar:1.17.3
        livenessProbe:
          httpGet:
            path: /metrics
            port: 10054
            scheme: HTTP
          initialDelaySeconds: 60
          timeoutSeconds: 5
          successThreshold: 1
          failureThreshold: 5
        args:
        - --v=2
        - --logtostderr
        - --probe=kubedns,127.0.0.1:10053,kubernetes.default.svc.cluster.local,5,SRV
        - --probe=dnsmasq,127.0.0.1:53,kubernetes.default.svc.cluster.local,5,SRV
        ports:
        - containerPort: 10054
          name: metrics
          protocol: TCP
        resources:
          requests:
            memory: 20Mi
            cpu: 10m
        securityContext:
          allowPrivilegeEscalation: false
          readOnlyRootFilesystem: true
          runAsUser: 1001
          runAsGroup: 1001
      dnsPolicy: Default  # Don't use cluster DNS.
      serviceAccountName: kube-dns

1.4 验证结果

$ kubectl apply -f kube-dns-rbac.yml
$ kubectl apply -f kube-dns-deploy.yml

$ kubectl get pod -n kube-system -o wide | grep kube-dns
kube-dns-594c5b5cb5-6wttp   3/3     Running   0          13m     10.244.2.29     k8s-node1     <none>           <none>

$ kubectl describe pod kube-dns-594c5b5cb5-mdxp6 -n kube-system
...
Events:
  Type    Reason     Age   From               Message
  ----    ------     ----  ----               -------
  Normal  Scheduled  48s   default-scheduler  Successfully assigned kube-system/kube-dns-594c5b5cb5-6wttp to k8s-node1
  Normal  Pulled     47s   kubelet            Container image "k8s.gcr.io/dns/k8s-dns-kube-dns:1.17.3" already present on machine
  Normal  Created    47s   kubelet            Created container kubedns
  Normal  Started    47s   kubelet            Started container kubedns
  Normal  Pulled     47s   kubelet            Container image "k8s.gcr.io/dns/k8s-dns-dnsmasq-nanny:1.17.3" already present on machine
  Normal  Created    47s   kubelet            Created container dnsmasq
  Normal  Started    47s   kubelet            Started container dnsmasq
  Normal  Pulled     47s   kubelet            Container image "k8s.gcr.io/dns/k8s-dns-sidecar:1.17.3" already present on machine
  Normal  Created    47s   kubelet            Created container sidecar
  Normal  Started    47s   kubelet            Started container sidecar

1.5 私有和上游 DNS 服务器

apiVersion: v1
kind: ConfigMap
metadata:
  name: kube-dns
  namespace: kube-system
data:
  stubDomains: |
    {“acme.local”: [“1.2.3.4”]}
  upstreamNameservers: |
    [“8.8.8.8”, “8.8.4.4”]

查询请求首先会被发送到 kube-dns 的 DNS 缓存层 (Dnsmasq 服务器)。Dnsmasq 服务器会先检查请求的后缀,带有集群后缀(例如:”.cluster.local”)的请求会被发往 kube-dns,拥有存根域后缀的名称(例如:”.acme.local”)将会被发送到配置的私有 DNS 服务器 [“1.2.3.4”]。最后,不满足任何这些后缀的请求将会被发送到上游 DNS [“8.8.8.8”, “8.8.4.4”] 里。

K8S Core-DNS_第2张图片

1.6 优缺点

优点:依赖 dnsmasq ,性能有保障

缺点

  • dnsmasq-nanny 通过kill 来重启 dnsmasq,简单粗暴,可能导致这段时间内大量的 DNS 请求失败

  • dnsmasq-nanny 检测文件的方式,可能会导致以下问题:

    • 每次遍历目录下的所有文件,然后用 ioutil.ReadFile 读取文件内容。如果目录下文件数量过多,可能出现在遍历的同时文件也在被修改,遍历的速度跟不上修改的速度。 这样可能导致遍历完了,某个配置文件才更新完。那么此时,你读取的一部分文件数据并不是和当前目录下文件数据完全一致,本次会重启 dnsmasq。进而,下次检测,还认为有文件变化,到时候,又重启一次 dnsmasq。

    • 文件的检测,直接使用 ioutil.ReadFile 读取文件内容,也存在问题。如果文件变化,和文件读取同时发生,很可能你读取完,文件的更新都没完成,那么你读取的并非一个完整的文件,而是坏的文件,这种文件,dnsmasq-nanny 无法做解析,不过官方代码中有数据校验,解析失败也问题不大,大不了下个周期的时候,再取到完整数据,再解析一次。

2. CoreDNS

2.1 概述

K8S Core-DNS_第3张图片

CoreDNS 使用Caddy作为底层的 Web Server,它是一个轻量易用的Web服务器,支持 HTTP、HTTPS、HTTP/2、GRPC 等多种连接方式

与 KubeDNS 相比,CoreDNS 的效率更高,资源占用更小

2.2 部署 CoreDNS

wget https://github.com/coredns/deployment/archive/refs/tags/coredns-1.14.0.tar.gz
tar zxvf coredns-1.14.0.tar.gz
cd deployment-coredns-1.14.0/kubernetes

# 部署
./deploy.sh | kubectl apply -f -
kubectl delete --namespace=kube-system deployment kube-dns

# 卸载
./rollback.sh | kubectl apply -f -
kubectl delete --namespace=kube-system deployment coredns

2.3 DNS 格式

  • Service

    • A record:${my-svc}.${my-namespace}.svc.cluster.local
      • 普通 Service 解析为 Cluster IP
      • Headless Service 解析为指定的 Pod IP 列表
    • SRV record: _${my-port-name}._${my-port-protocol}.${my-svc}.${my-namespace}.svc.cluster.local

  • Pod

    • A record: ${pod-ip-address}.${my-namespace}.pod.cluster.local
    • 指定 hostname 和 subdomain: ${hostname}.${subdomain}.${my-namespace}.svc.cluster.local
      • hostname: pod-name
      • subdomain: same as service.name

示例:

# nginx-dns-test.yml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deploy
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 3
  template:
    metadata:
      labels:
        app: nginx
    spec:
      hostname: web
      subdomain: nginx
      containers:
      - name: nginx
        image: nginx
        ports:
        - containerPort: 80
---
kind: Service
apiVersion: v1
metadata:
  name: nginx
spec:
  selector:
    app: nginx
  clusterIP: None
  ports:
  - protocol: "TCP"
    port: 80
    targetPort: 80

验证:

$ kubectl get pod -l app=nginx -o wide
NAME                            READY   STATUS    RESTARTS   AGE   IP            NODE         NOMINATED NODE   READINESS GATES
nginx-deploy-64bc9cddcf-p56qr   1/1     Running   0          15s   10.244.1.36   k8s-node01   <none>           <none>
nginx-deploy-64bc9cddcf-rq49v   1/1     Running   0          15s   10.244.2.34   k8s-node02   <none>           <none>
nginx-deploy-64bc9cddcf-xdwh6   1/1     Running   0          15s   10.244.1.35   k8s-node01   <none>           <none>

$ kubectl exec -it nginx-deploy-57776d9cd4-vkz7b -- /bin/sh
# cat /etc/resolv.conf
nameserver 10.96.0.10
search default.svc.cluster.local svc.cluster.local cluster.local 8.8.8.8
options ndots:5
# hostname
web

$ kubectl run -it dns-test --rm --image=e2eteam/dnsutils:1.1 -- /bin/sh
/ # nslookup nginx
Server:         10.96.0.10
Address:        10.96.0.10#53

Name:   nginx.default.svc.cluster.local
Address: 10.244.1.35
Name:   nginx.default.svc.cluster.local
Address: 10.244.1.36
Name:   nginx.default.svc.cluster.local
Address: 10.244.2.34

/ # dig @10.96.0.10 -t A nginx.default.svc.cluster.local
...
;; ANSWER SECTION:
nginx.default.svc.cluster.local. 30 IN  A       10.244.1.35
nginx.default.svc.cluster.local. 30 IN  A       10.244.1.36
nginx.default.svc.cluster.local. 30 IN  A       10.244.2.34

/ # dig @10.96.0.10 10-244-1-35.default.pod.cluster.local
...
;; ANSWER SECTION:
10-244-1-35.default.pod.cluster.local. 30 IN A  10.244.1.35

# 指定hostname
/ # dig @10.96.0.10 -t A web.nginx.default.svc.cluster.local
...
;; ANSWER SECTION:
web.nginx.default.svc.cluster.local. 30 IN A    10.244.2.34
web.nginx.default.svc.cluster.local. 30 IN A    10.244.1.35
web.nginx.default.svc.cluster.local. 30 IN A    10.244.1.36

2.4 Corefile

K8S Core-DNS_第4张图片

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |
    .:53 {
        errors
        health {
            lameduck 5s
        }
        ready
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           fallthrough in-addr.arpa ip6.arpa
           ttl 30
        }
        prometheus :9153
        forward . /etc/resolv.conf
        cache 30
        loop
        reload
        loadbalance
    }

CoreDNS 插件:

  • errors:错误记录输出到标准输出

  • health:健康报告 http://localhost:8080/health

  • ready:就绪检测,HTTP访问端口 :8181,返回 200 代表OK

  • kubernetes:将基于 Kubernetes 的服务和 Pod 的 IP 答复 DNS 查询

    • pods insecure:兼容kube-dns,该选项仅当在相同的命名空间中存在与IP匹配的pod时才返回A记录。如果不使用pod记录,可以使用pods disabled选项。
    • ttl:响应的TTL时间,默认5s,范围 0~3600

  • prometheus:度量指标值以 Prometheus 格式在 http://localhost:9153/metrics 上提供

  • forward: 不在 Kubernetes 集群域内的任何查询都将转发到 预定义的解析器 (/etc/resolv.conf)

  • cache:启用前端缓存

  • loop:检测到简单的转发环,如果发现死循环,则中止 CoreDNS 进程

  • reload:允许自动重新加载已更改的 Corefile。 编辑 ConfigMap 配置后,请等待两分钟,以使更改生效。

  • loadbalance:这是一个轮转式 DNS 负载均衡器, 它在应答中随机分配 A、AAAA 和 MX 记录的顺序。

2.5 CoreDNS 域名解析方案

2.5.1 配置存根域

如果集群操作员在 10.150.0.1 处运行了 Consul 域服务器, 且所有 Consul 名称都带有后缀 .consul.local

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        forward . /etc/resolv.conf
        cache 30
        loop
        reload
        loadbalance
    }
    consul.local:53 {
        errors
        cache 30
        forward . 10.150.0.1
    }

2.5.2 Hosts,自定义域名

修改配置文件,将自定义域名添加到hosts中,可以添加任意解析记录,类似在本地/etc/hosts中添加解析记录。

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |-
    .:53 {
        errors
        health
        hosts {
            192.168.100.1 tplink.cc
            fallthrough
        }
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        ready
        forward . /etc/resolv.conf
        cache 30
        loop
        reload
        loadbalance
    }

2.5.3 Rewrite,服务别名

将指定域名解析到某个 Service 的域名,即给Service取了个别名,指向域名到集群内服务

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |-
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            fallthrough in-addr.arpa ip6.arpa
        }
        rewrite name api.elihe.io nginx.default.svc.cluster.local
        prometheus :9153
        ready
        forward . /etc/resolv.conf
        cache 30
        loop
        reload
        loadbalance
    }

2.5.4 Forward,级联DNS

修改配置文件,将forward后面的/etc/resolv.conf,改成外部DNS的地址,将自建 DNS 设为上游 DNS

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |-
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            fallthrough in-addr.arpa ip6.arpa
        }
        rewrite name example.com nginx.default.svc.cluster.local
        prometheus :9153
        ready
        forward . 192.168.1.1
        cache 30
        loop
        reload
        loadbalance
    }

2.6 与 KubeDNS 比较

  • CoreDNS 每个实例只有一个容器,而 Kube-DNS 有三个
  • Kube-DNS 使用 dnsmasq 进行缓存,它是一个 C 线程。Core-DNS 使用 Go 开发,
  • CoreDNS 默认使用 negative caching,它的缓存的效率不如 dnsmasq,对集群内部域名解析的速度不如 kube-dns

3. 补充:DNS 解析依赖

DNS 解析会依赖 /etc/host.conf/etc/hosts/etc/resolv.conf 这个三个文件

nameserver 10.96.0.10
search default.svc.cluster.local svc.cluster.local cluster.local
options ndots:5

你可能感兴趣的:(Kubernetes,kubernetes,core-dns,kube-dns,dns)

  • docker怎么端口映射 Lance_mu docker容器运维
    1、默认固定的端口#Web服务器:WebApache或Nginx通常使用80端口HTTP:80HTTPS:443#数据库服务器MySQL:3306PostgreSQL:5432MongoDB:27017Redis:6379#邮件服务器SMTP:25POP3:110IMAP:143#其他服务SSH:22FTP:21DNS(域名解析):53代理服务器Squid:3128版本控制系统Git:9418(S
  • 计算机常用端口号 王依硕 linux服务器ssh
    ftp:(20端口)用于ftp服务,用于数据传输。ftp:(21端口)用于文件上传和下载。ssh:(22端口)用于安全Shell访问和文件传输。telnet:(23端口)用于远程命令行计算机管理。smtp:(25端口)用于发送电子邮件。dns:(53端口)用于域名解析。dhcp:(67和68端口)用于动态分配IP地址和配置网络参数。tftp:(69端口)使用udp连接。finger:(79端口)是
  • 系统设计之缓存(Caches)和内容分发网络(CDNs)设计 小涵 笔记缓存网络架构微服务云原生后端前端
    系统设计之缓存(Caches)和内容分发网络(CDNs)设计目录系统设计之缓存(Caches)和内容分发网络(CDNs)设计缓存不同的缓存策略1.浏览器缓存缓存命中和缓存未命中2.服务器缓存缓存失效淘汰策略:缓存的决策制定者自适应策略自定义策略淘汰策略的影响3.数据库缓存实现工作原理处理缓存未命中理想的使用情况:数据库缓存的优势淘汰策略性能影响内容分发网络(CDN)CDN工作原理CDN类型:推送v
  • DHCP服务器的优缺点简介 成都亿佰特电子科技有限公司 工业物联网物联网应用服务器运维
    DHCP服务器的优点和缺点主要体现在以下几个方面:优点:自动化配置:DHCP服务器可以自动为接入网络的客户端分配IP地址、子网掩码、默认网关、DNS服务器等网络配置信息,从而简化了网络配置过程,减少了手动配置的工作量。减少IP地址冲突:DHCP服务器能够跟踪已分配的IP地址,避免将相同的IP地址分配给多个客户端,从而减少IP地址冲突的可能性。灵活性和可扩展性:DHCP服务器可以根据网络需求动态调整
  • 高可用系统有哪些设计原则 没有女朋友的程序员 架构师架构
    1.降级主动降级:开关推送被动降级:超时降级异常降级失败率熔断保护多级降级2.限流nginx的limit模块gatewayredis+Lua业务层限流本地限流gua分布式限流sentinel3.弹性计算弹性伸缩—K8S+docker主链路压力过大的时候可以将非主链路的机器给主链路的应用用上4.流量切换多机房环境:DNS端域名切换入口Clien端流量调度虚IPHaProxyLVS负载均衡应用层Ngi
  • 【大咖力荐 新手必备】软件开发入门,这300篇文章就够了! 高校俱乐部 软件开发新手必备数据编码IP
    小编在这里根据知识图谱整理了CSDN站内的优质文章300篇,帮助见习工程提升技术能力、实现系统化学习!基础IT技术文章300篇大合集包含:【信息/编码】进制转换25篇、数据编码25篇;【IP/组网】网关与网段25篇、IP协议26篇、主机与DNS23篇、访问控制37篇;【程序逻辑】JavaScript29篇、常用算法37篇;【Web基础】HTML31篇、CSS32篇、DOM与BOM23篇扫码添加小助
  • DNS劫持怎么预防? 帝恩思 网络智能路由器网络安全安全服务器
    DNS劫持,也称为域名劫持,是一种网络攻击手段,攻击者通过拦截域名解析的请求,将用户重定向到恶意站点,以达到获取用户信息或谋取非法利益的目的。DNS劫持可以分为以下几种基本类型:1.路由器DNS劫持:大部分用户由于安全意识薄弱,从未修改过路由器的默认账号和密码。攻击者可以直接登录和管理路由器,并篡改DNS设置,从而影响所有连接到该路由器的用户。2.本地DNS劫持:攻击者会在用户的电脑上安装木马等恶
  • 使用 BPF 监控 Kubernetes 集群(k8s BPF 工具 kubectl-trace认知 山河已无恙 K8s&kubelct插件BPFkubernetes容器云原生
    写在前面学习中遇到,整理分享,博文内容涉及:kubectl-trace安装,在节点,容器中如何使用需要注意的问题:job闪完成,一直Pending状态解决理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的时候,眼前的风景已经和从前不一样了。——村上春树kubectl-trace安装┌──[[email protected]]-[~/ansi
  • Linux 网络接口管理 不知道写什么的作者 linux
    为了更深入的了解linux系统,为此做出网络接口管理的知识总结。看起来麻烦,其实一点都不难,相信多看多了解总会是没错的!❤️❤️一起加油吧!✨✨文章目录前言一、网络配置的文件介绍二、网卡配置文件三、本地域名解析文件四、DNS解析文件五、主机名配置文件六、常用网络命令前言Linux网络接口管理涵盖了对Linux操作系统中各种网络接口的配置、监控和故障排查等工作。网络接口是操作系统与物理或虚拟网络设备
  • kubernetes解决nginx跨域问题 滴流乱转的小胖子
    官方文档出处:https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#enable-cors%20%E4%BD%9C%E8%80%85%EF%BC%9AKaliArch%20%E9%93%BE%E6%8E%A5%EF%BC%9Ahttps://www.imooc.com/artic
  • Ubuntu配置静态IP 趴着喝可乐 #Ubuntuubuntutcp/ip数据库
    文章目录Ubuntu配置静态IP一、前言1.场景2.环境二、正文1)定位Netplan配置文件2)Netplan配置文件3)验证配置Ubuntu配置静态IP一、前言1.场景在Ubuntu上设置静态IP和DNS2.环境UbuntuServer版本:ubuntu-22.04.3-live-server-amd64.isoUbuntuServer:https://ubuntu.com/download/
  • VPN 在Android中的通信三 (netty DNS 域名自解析) 尚思app android
    在使用场景中会遇到需要nettysocket的域名解析到指定IP地址,怎么做到呢,在我们的netty中,提供了DNS域名解析(DefaultNameResolver)。一、自定义类MyDefaultNameResolver继承DefaultNameResolver,实现doResolve方法,解析的相关逻辑在这里面处理publicclassMyDefaultNameResolverextendsD
  • 关于k8s中 storageclass 的 is-default-sc 默认存储设置 网络飞鸥 Kuberneteskubernetes容器云原生
    为什么要改变默认存储类?取决于安装模式,你的Kubernetes集群可能和一个被标记为默认的已有StorageClass一起部署。这个默认的StorageClass以后将被用于动态的为没有特定存储类需求的PersistentVolumeClaims配置存储。更多细节请查看PersistentVolumeClaim文档。如果准入控制器插件被启用,则管理员可以设置一个默认的StorageClass。所
  • k8s之DashBoard 蓝桉 释槐 kubernetes容器云原生
    一,详述:基于web的用户界面二,部署:1),下载yaml并运行wgethttps://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml2),修改kubernetes-dashboard的Service类型apiVersion:v1kind:Namespacemetadata:name
  • k8s安全控制、授权管理介绍 树下一少年 Kuberneteskubernetes权限云原生RBACk8s安全控制
    目录一.Kubernetes安全控制介绍1.客户端认证操作2.访问对象资源依次流程二.授权管理介绍1.AlwaysDeny2.AlwaysAllow3.ABAC4.Webhook5.Node6.RBAC三.Role解释1.Role和ClusterRole2.Rolebinding和ClusterBinding3.Rolebinding和ClusterRole四.准入控制1.命令格式2.可配置控制器
  • 安全加速SCDN是服务器防御攻击较佳方案 德迅云安全-甲锵 网络安全网络安全web安全
    国家互联网应急中心的数据研究显示,基于漏洞、病毒、未知威胁的攻击正日益频繁且智能化,网络安全的防护难度也与日俱增,未来应用层攻击将成为主流。互联网飞速发展之余,对于网络安全的需求也越来越大,网络攻击的手段也越来越刁钻。CDN高防作为高防服务的代表就出现了,其实CDN高防的出现就是为了更好的服务网络安全,CDN高防其实现的手段就是通过高防DNS来实现。与传统的CDN相比,高防CDN优势可以归纳为:1
  • 云原生周刊:Helm Charts 深入探究 | 2024.3.11 KubeSphere 云原生 k8s容器平台kubesphere云计算
    开源项目推荐GlasskubeGlasskube提供了一个用于Kubernetes的缺失的包管理器。它具有图形用户界面(GUI)和命令行界面(CLI)。Glasskube包是具备依赖感知、GitOps准备和可以通过中央公共包仓库自动更新的特性。imgpkgimgpkg(发音为:"imagepackage")是一个工具,允许用户将一组任意文件存储为OCI镜像。其中一个主要用例是将Kubernetes
  • 如何解决DNS解析错误故障 Mix4大黑边 网络安全
    DNS解析错误会导致将一个域名解析为错误的IP地址,或者根本无法确定某个域名对应的IP地址,从而无法通过域名访问相应的站点,形成DNS解析故障。最常见的症状是访问站点对应的IP地址没有问题,但访问其域名时却出现错误。DNS解析异常案例下面让我们来看一下案例:DNS解析异常在某个企业网络中,员工报告无法通过域名访问公司内部网站,尽管通过直接使用IP地址可以正常访问。这引起了网络管理员的关注,他们怀疑
  • 【AI】如何创建自己的自定义ChatGPT 小涵 AIChatGPTaichatgptopenaillamalangchainpython语言模型
    如何创建自己的自定义ChatGPT目录如何创建自己的自定义ChatGPT大型语言模型(LLM)GPT模型ChatGPTOpenAIAPILlamaIndexLangChain参考推荐超级课程:Docker快速入门到精通Kubernetes入门到大师通关课本文将记录如何使用OpenAIGPT-3.5模型、LlamaIndex和LangChain创建自己的自定义ChatGPT.大型语言模型(LLM)大
  • 阿里云k8s内OSS报错UnKnownHost。 南宫文凯 kubernetes阿里云docker
    这个问题就是链接不上oss属于网络问题:1.排查服务器在服务器(ecs)上直接pingoss地址看是否能够通。不通就要修改dns和hosts(这个不说,自己网上查)2.排查容器进去ping一下你的容器是否能访问到oss//oss的地址这个要是不通的话就要修改k8s的配置文件(如果显示没有ping这个语法)就要在打docker包的时候加进去。(加到dockerFile里)RUNapt-getupda
  • 【Linux】CentOS网络故障排查大揭秘: 实战攻略解读 还在路上的秃头 Linuxphp开发语言笔记面试运维linux服务器
    个人博客:个人主页个人专栏:Linux⛳️功不唐捐,玉汝于成目录前言正文检查网络连接状态:检查网络配置:重启网络服务:检查防火墙设置:查看日志文件:硬件检查:使用网络诊断工具:更新系统和驱动程序:结语我的其他博客前言在管理CentOS服务器时,网络故障是一项常见但又令人头疼的问题。无论您是初学者还是经验丰富的管理员,都可能会遇到网络连接中断、DNS解析失败或者其他网络相关的故障。本文旨在提供一份详
  • 富途--面经 J.MSh 面经整理数据结构动态规划算法
    目录一面业务场景题:社区中有些人会创建小号,然后发布一些广告信息,对于社区的生态不友好,要怎么去处理?当时的回答编程题实现两个有序数组的交集概率题:总人口有100万人,河西有80万人,河北有20万人。每个人打电话的概率是一样的,问100万通电话,跨河电话有多少?键入一个https的一个网址这中间会发生什么?当时的回答dns中,如果更改了host文件,并且域名a对应的ipA,假设ipA是错误的,会不
  • Kubernetes API 安全详解与最佳实践 ivwdcwso 安全kubernetes安全容器
    在Kubernetes集群中,保护API的安全性至关重要,因为它是集群中各个组件进行通信和交互的核心。通过一系列详细的操作和最佳实践,我们可以加强KubernetesAPI的安全性,防范潜在的安全风险。1.证书和身份验证1.1颁发证书使用cert-manager进行证书颁发,确保集群的各个组件、用户和服务都使用有效的证书。#示例cert-managerCertificate资源apiVersion
  • Mac OS 安装 CGO 交叉编译环境 x86_64-linux-gnu-gcc shida_csdn 疑难杂症linuxgnu运维
    在MacOS平台编译kubelet遇到如下错误:#makeWHAT=cmd/kubeletKUBE_BUILD_PLATFORMS=linux/amd64+++[022214:39:32]Buildinggotargetsforlinux/amd64k8s.io/kubernetes/cmd/kubelet(non-static)#runtime/cgocgo:Ccompiler"x86_64-l
  • 《互联网的世界》第三讲-tcp dog250 tcp/ip网络网络协议
    dns找到了地址,spf确定了路径,如何运输数据呢?今天讲tcp。计算机网络领域的特定技术是最后当你干这个事时才要用的,我对孩子们这样说,实际上你可以随便看一个快递单子来理解端到端传输协议。源地址,目标地址一定要有,一个地址可能有不同住户,也就是port指示的,一系列相关联包裹的顺序编号也是必须,总共多少件,这是第几件等等,此外,一个包裹能不能被拆分运输,也要被标识,三吨大米可以拆分运输,而三吨大
  • Java云计算k8s weixin_51551879 java
    云计算k8sk8s简介容器技术的发展使用kubeadm安装k8skubectlKubernetes架构k8s节点节点与控制面之间的通信控制器k8skubectl命令详解k8s容器Kubernetes对象Kubernetes对象管理Kubernetes对象管理指令式命令Kubernetes对象管理指令式对象配置k8s对象管理声明式对象配置使用Kustomize对Kubernetes对象进行声明式管理
  • 云原生周刊:CNCF 宣布 Falco 毕业|2024.3.4 云计算
    开源项目推荐ldap-operator用于部署和管理LDAP目录的KubernetesOperator。UpdatecliUpdatecli是一个用于应用文件更新策略的工具。每个应用程序“运行”时都设计为可在任何地方使用,它会检测是否需要使用自定义策略更新值,然后根据该策略应用更改。AlazAlaz是一个开源DdosifyeBPF代理,可以检查和收集Kubernetes(K8s)服务流量,无需代码
  • 使用 kind 集群安装运行极狐GitLab Runner【上】 极小狐 kindgitlab云原生runner
    GitLab是一个全球知名的一体化DevOps平台,很多人都通过私有化部署GitLab来进行源代码托管。极狐GitLab是GitLab在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。关于kindkind是一个用来运行本地Kubernetes机群的工具,主要使用Docker容器来做为“nodes”。kind的主要设计目的是为了测试Kubernetes本身,但是也可以在本地研发或
  • DNS服务器管理与配置技巧 后端
    人们或许都有这样一个困惑:计算机在网络上通讯时本来只能识别如“123.123.123.123”之类的数字地址,那么为什么当我们打开浏览器,在地址栏中输入域名www.dexunyun.com后,就能看到我们所需要的页面呢?其实,只是一个IP地址和域名相互“翻译”的过程。前者得建立一个指向相应IP地址的域名映射记录;对于后者,此记录已经建立并且在生效了。而这种“翻译”记录的建立,则需要用到同一种被称之
  • 使用WSL时控制台输出“wsl: 检测到 localhost 代理配置,但未镜像到 WSL。NAT 模式下的 WSL 不支持 localhost 代理” fpl1116 JAVA全栈学习路线#Linuxjava服务器linuxwsl
    使用WSL时控制台输出“wsl:检测到localhost代理配置,但未镜像到WSL。NAT模式下的WSL不支持localhost代理”解决方法:1、打开或创建WSL配置文件(位于C:/User/%你的用户名/.wslconfig),并添加以下内容:[experimental]autoMemoryReclaim=gradualnetworkingMode=mirroreddnsTunneling=t
  • 分享100个最新免费的高匿HTTP代理IP mcj8089 代理IP代理服务器匿名代理免费代理IP最新代理IP
      推荐两个代理IP网站:   1. 全网代理IP:http://proxy.goubanjia.com/   2. 敲代码免费IP:http://ip.qiaodm.com/     120.198.243.130:80,中国/广东省 58.251.78.71:8088,中国/广东省 183.207.228.22:83,中国/
  • mysql高级特性之数据分区 annan211 java数据结构mongodb分区mysql
    mysql高级特性 1 以存储引擎的角度分析,分区表和物理表没有区别。是按照一定的规则将数据分别存储的逻辑设计。器底层是由多个物理字表组成。 2 分区的原理 分区表由多个相关的底层表实现,这些底层表也是由句柄对象表示,所以我们可以直接访问各个分区。存储引擎管理分区的各个底层 表和管理普通表一样(所有底层表都必须使用相同的存储引擎),分区表的索引只是
  • JS采用正则表达式简单获取URL地址栏参数 chiangfai js地址栏参数获取
    GetUrlParam:function GetUrlParam(param){ var reg = new RegExp("(^|&)"+ param +"=([^&]*)(&|$)"); var r = window.location.search.substr(1).match(reg); if(r!=null
  • 怎样将数据表拷贝到powerdesigner (本地数据库表) Array_06 powerDesigner
    ================================================== 1、打开PowerDesigner12,在菜单中按照如下方式进行操作 file->Reverse Engineer->DataBase 点击后,弹出 New Physical Data Model 的对话框 2、在General选项卡中 Model name:模板名字,自
  • logbackのhelloworld 飞翔的马甲 日志logback
    一、概述 1.日志是啥? 当我是个逗比的时候我是这么理解的:log.debug()代替了system.out.print(); 当我项目工作时,以为是一堆得.log文件。 这两天项目发布新版本,比较轻松,决定好好地研究下日志以及logback。 传送门1:日志的作用与方法: http://www.infoq.com/cn/articles/why-and-how-log 上面的作
  • 新浪微博爬虫模拟登陆 随意而生 新浪微博
    转载自:http://hi.baidu.com/erliang20088/item/251db4b040b8ce58ba0e1235     近来由于毕设需要,重新修改了新浪微博爬虫废了不少劲,希望下边的总结能够帮助后来的同学们。      现行版的模拟登陆与以前相比,最大的改动在于cookie获取时候的模拟url的请求
  • synchronized 香水浓 javathread
        Java语言的关键字,可用来给对象和方法或者代码块加锁,当它锁定一个方法或者一个代码块的时候,同一时刻最多只有一个线程执行这段代码。当两个并发线程访问同一个对象object中的这个加锁同步代码块时,一个时间内只能有一个线程得到执行。另一个线程必须等待当前线程执行完这个代码块以后才能执行该代码块。然而,当一个线程访问object的一个加锁代码块时,另一个线程仍然
  • maven 简单实用教程 AdyZhang maven
    1. Maven介绍  1.1. 简介 java编写的用于构建系统的自动化工具。目前版本是2.0.9,注意maven2和maven1有很大区别,阅读第三方文档时需要区分版本。 1.2. Maven资源 见官方网站;The 5 minute test,官方简易入门文档;Getting Started Tutorial,官方入门文档;Build Coo
  • Android 通过 intent传值获得null aijuans android
    我在通过intent 获得传递兑现过的时候报错,空指针,我是getMap方法进行传值,代码如下 1 2 3 4 5 6 7 8 9 public void getMap(View view){            Intent i =
  • apache 做代理 报如下错误:The proxy server received an invalid response from an upstream baalwolf response
    网站配置是apache+tomcat,tomcat没有报错,apache报错是: The proxy server received an invalid response from an upstream server. The proxy server could not handle the request GET /. Reason: Error reading fr
  • Tomcat6 内存和线程配置 BigBird2012 tomcat6
    1、修改启动时内存参数、并指定JVM时区 (在windows server 2008 下时间少了8个小时) 在Tomcat上运行j2ee项目代码时,经常会出现内存溢出的情况,解决办法是在系统参数中增加系统参数:  window下, 在catalina.bat最前面 set JAVA_OPTS=-XX:PermSize=64M -XX:MaxPermSize=128m -Xms5
  • Karam与TDD bijian1013 KaramTDD
    一.TDD         测试驱动开发(Test-Driven Development,TDD)是一种敏捷(AGILE)开发方法论,它把开发流程倒转了过来,在进行代码实现之前,首先保证编写测试用例,从而用测试来驱动开发(而不是把测试作为一项验证工具来使用)。         TDD的原则很简单: a.只有当某个
  • [Zookeeper学习笔记之七]Zookeeper源代码分析之Zookeeper.States bit1129 zookeeper
    public enum States { CONNECTING, //Zookeeper服务器不可用,客户端处于尝试链接状态 ASSOCIATING, //??? CONNECTED, //链接建立,可以与Zookeeper服务器正常通信 CONNECTEDREADONLY, //处于只读状态的链接状态,只读模式可以在
  • 【Scala十四】Scala核心八:闭包 bit1129 scala
    Free variable A free variable of an expression is a variable that’s used inside the expression but not defined inside the expression. For instance, in the function literal expression (x: Int) => (x
  • android发送json并解析返回json ronin47 android
    package com.http.test; import org.apache.http.HttpResponse; import org.apache.http.HttpStatus; import org.apache.http.client.HttpClient; import org.apache.http.client.methods.HttpGet; import
  • 一份IT实习生的总结 brotherlamp PHPphp资料php教程php培训php视频
    今天突然发现在不知不觉中自己已经实习了 3 个月了,现在可能不算是真正意义上的实习吧,因为现在自己才大三,在这边撸代码的同时还要考虑到学校的功课跟期末考试。让我震惊的是,我完全想不到在这 3 个月里我到底学到了什么,这是一件多么悲催的事情啊。同时我对我应该 get 到什么新技能也很迷茫。所以今晚还是总结下把,让自己在接下来的实习生活有更加明确的方向。最后感谢工作室给我们几个人这个机会让我们提前出来
  • 据说是2012年10月人人网校招的一道笔试题-给出一个重物重量为X,另外提供的小砝码重量分别为1,3,9。。。3^N。 将重物放到天平左侧,问在两边如何添加砝码 bylijinnan java
    public class ScalesBalance { /** * 题目: * 给出一个重物重量为X,另外提供的小砝码重量分别为1,3,9。。。3^N。 (假设N无限大,但一种重量的砝码只有一个) * 将重物放到天平左侧,问在两边如何添加砝码使两边平衡 * * 分析: * 三进制 * 我们约定括号表示里面的数是三进制,例如 47=(1202
  • dom4j最常用最简单的方法 chiangfai dom4j
    要使用dom4j读写XML文档,需要先下载dom4j包,dom4j官方网站在 http://www.dom4j.org/目前最新dom4j包下载地址:http://nchc.dl.sourceforge.net/sourceforge/dom4j/dom4j-1.6.1.zip 解开后有两个包,仅操作XML文档的话把dom4j-1.6.1.jar加入工程就可以了,如果需要使用XPath的话还需要
  • 简单HBase笔记 chenchao051 hbase
     一、Client-side write buffer 客户端缓存请求 描述:可以缓存客户端的请求,以此来减少RPC的次数,但是缓存只是被存在一个ArrayList中,所以多线程访问时不安全的。 可以使用getWriteBuffer()方法来取得客户端缓存中的数据。 默认关闭。 二、Scan的Caching 描述: next( )方法请求一行就要使用一次RPC,即使
  • mysqldump导出时出现when doing LOCK TABLES daizj mysqlmysqdump导数据
      执行 mysqldump -uxxx -pxxx -hxxx -Pxxxx database tablename > tablename.sql  导出表时,会报 mysqldump: Got error: 1044: Access denied for user 'xxx'@'xxx' to database 'xxx' when doing LOCK TABLES 解决
  • CSS渲染原理 dcj3sjt126com Web
      从事Web前端开发的人都与CSS打交道很多,有的人也许不知道css是怎么去工作的,写出来的css浏览器是怎么样去解析的呢?当这个成为我们提高css水平的一个瓶颈时,是否应该多了解一下呢?          一、浏览器的发展与CSS           
  • 《阿甘正传》台词 dcj3sjt126com
    Part Ⅰ: 《阿甘正传》Forrest Gump经典中英文对白 Forrest: Hello! My names Forrest. Forrest Gump. You wanna Chocolate? I could eat about a million and a half othese. My momma always said life was like a box ochocol
  • Java处理JSON dyy_gusi json
    Json在数据传输中很好用,原因是JSON 比 XML 更小、更快,更易解析。 在Java程序中,如何使用处理JSON,现在有很多工具可以处理,比较流行常用的是google的gson和alibaba的fastjson,具体使用如下: 1、读取json然后处理 class ReadJSON { public static void main(String[] args)
  • win7下nginx和php的配置 geeksun nginx
    1.  安装包准备 nginx :  从nginx.org下载nginx-1.8.0.zip php: 从php.net下载php-5.6.10-Win32-VC11-x64.zip, php是免安装文件。 RunHiddenConsole: 用于隐藏命令行窗口   2. 配置 # java用8080端口做应用服务器,nginx反向代理到这个端口即可 p
  • 基于2.8版本redis配置文件中文解释 hongtoushizi redis
    转载自: http://wangwei007.blog.51cto.com/68019/1548167        在Redis中直接启动redis-server服务时, 采用的是默认的配置文件。采用redis-server   xxx.conf 这样的方式可以按照指定的配置文件来运行Redis服务。下面是Redis2.8.9的配置文
  • 第五章 常用Lua开发库3-模板渲染 jinnianshilongnian nginxlua
    动态web网页开发是Web开发中一个常见的场景,比如像京东商品详情页,其页面逻辑是非常复杂的,需要使用模板技术来实现。而Lua中也有许多模板引擎,如目前我在使用的lua-resty-template,可以渲染很复杂的页面,借助LuaJIT其性能也是可以接受的。   如果学习过JavaEE中的servlet和JSP的话,应该知道JSP模板最终会被翻译成Servlet来执行;而lua-r
  • JZSearch大数据搜索引擎 颠覆者 JavaScript
    系统简介: 大数据的特点有四个层面:第一,数据体量巨大。从TB级别,跃升到PB级别;第二,数据类型繁多。网络日志、视频、图片、地理位置信息等等。第三,价值密度低。以视频为例,连续不间断监控过程中,可能有用的数据仅仅有一两秒。第四,处理速度快。最后这一点也是和传统的数据挖掘技术有着本质的不同。业界将其归纳为4个“V”——Volume,Variety,Value,Velocity。大数据搜索引
  • 10招让你成为杰出的Java程序员 pda158 java编程框架
    如果你是一个热衷于技术的  Java 程序员, 那么下面的 10 个要点可以让你在众多 Java 开发人员中脱颖而出。    1. 拥有扎实的基础和深刻理解 OO 原则   对于 Java 程序员,深刻理解 Object Oriented Programming(面向对象编程)这一概念是必须的。没有 OOPS 的坚实基础,就领会不了像 Java 这些面向对象编程语言
  • tomcat之oracle连接池配置 小网客 oracle
    tomcat版本7.0 配置oracle连接池方式: 修改tomcat的server.xml配置文件: <GlobalNamingResources> <Resource name="utermdatasource" auth="Container" type="javax.sql.DataSou
  • Oracle 分页算法汇总 vipbooks oraclesql算法.net
        这是我找到的一些关于Oracle分页的算法,大家那里还有没有其他好的算法没?我们大家一起分享一下! -- Oracle 分页算法一 select * from ( select page.*,rownum rn from (select * from help) page -- 20 = (currentPag
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他