Rancher大屏
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Michael Blog!
相关推荐
2020-05-20
Openshift开启Calico-BGP-与-OVS性能PK
Openshift网络方案选择 大家都知道K8S在网络插件选择上有很多种,默认的是Flannel,但是它的性能一般,互联网中使用最多的是Calico BGP,因为它的性能非常好。 而对于Openshift,官方只支持ovs一种网络方案,同时RedHat也表示ovs在Openshift平台上运行是最合适的。但是ovs的网络性能怎样呢?因为ovs方案对数据需要进行加包,解包的过程,性能肯定是会受影响的。同时经过实测,在万兆网络中的损耗近50%,虽然在绝大部分场景下ovs已经够用了,但是但是跟几乎无损耗的Calico BGP比起来还是逊色不少。 很庆幸,Openshift虽然官方不作Calico网络方案的支持,但还是很体贴地把它加入到了Openshift的安装脚本中,从而让大家都能方便地使用Calico网络方案,包括IPIP及BGP方案。 安装步骤 在ansible hosts中设置关闭openshift默认的sdn方案,开启calico方案/etc/ansible/hosts 1234[OSEv3:vars]os_sdn_network_plugi...
2020-05-20
OpenShift日志审计功能与策略配置
OpenShift支持审计功能,它可以记录下所有API服务的请求。如果将所有请求记录下来,它的量非常庞大,同时也是没有太大意义的。所以OpenShift审计记录当然出会支持请求的过滤,通过方便地策略配置,可以有选择地记录下请求的内容。通常我们会记录对集群资源作更改的请求。 打开审计功能在部署OpenShift时可以打开审计功能 12openshift_master_audit_config={"enabled": true, "auditFilePath": "/var/lib/origin/audit-ocp.log", "maximumFileRetentionDays": 14, "maximumFileSizeMegabytes": 500, "maximumRetainedFiles": 5, "policyFile": "/etc/origin/master/adv-audit.yaml", &qu...
2020-05-20
OpenShift通过EgressIP为Project设置对外的出口IP
集群管理员可以为项目分配特定的静态IP,方便外部系统能够识别项目下的应用的出口流量。 将出口IP分配到指定的Node 支持指定特定的IP 1$ oc patch hostsubnet <node-name> -p '{"egressIPs": ["192.168.1.2", "192.168.1.3"]}' 支持指定特定的IP段 1$ oc patch hostsubnet <node-name> -p '{"egressCIDRs": ["192.168.1.0/24"]}' 为项目指定静态出口IP 1$ oc patch netnamespace <project-name> -p '{"egressIPs": ["192.168.1.100"]}' OpenShift容器平...
2020-05-20
Openshift之服务网格Istio
什么是服务网格?服务网络就是指构成应用程序的微服务网络以及应用之间的交互。随着规模和复杂性的增长,服务网格越来越难以理解和管理。它的需求包括服务发现、负载均衡、故障恢复、指标收集和监控以及通常更加复杂的运维需求,例如 A/B 测试、金丝雀发布、限流、访问控制和端到端认证等。 Istio是什么?Istio 是一个用来连接、管理和保护微服务的开放平台。Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。想要让服务支持 Istio,只需要在您的环境中部署一个特殊的 sidecar,使用 Istio 控制平面功能配置和管理代理,拦截微服务之间的所有网络通信。 Istio能做什么?Istio 提供了一个完整的解决方案,通过为整个服务网格提供行为洞察和操作控制来满足微服务应用程序的多样化需求。它在服务网络中统一提供了许多关键功能: 流量管理。控制服务之间的流量和API调用的流向,使得调用更可靠,并使网络在恶劣情况下更加健壮。 服务身份和安全。为网格中的服务提供可验证身份,并提供保护服务流量的能力,使...
2020-05-20
镜像命名规范与Dockerfile编写规范
镜像命名规范镜像地址:镜像仓库/项目名/镜像名:标签名 项目名,公共项目使用名称:base,并设置为公开;其它项目使用英文小写项目名,设置为私有。 镜像名中应该包含使用的组件名称及版本信息,使用-连接。 基础镜像命名规则基础镜像命名应按照操作系统大版本:版本号-构建版本的格式命名,例如:base/rehl7:7.6-1 公共镜像全名规则公共镜像命名应按照服务名-中间件-上级中间件:服务版本号-中间件版本号-上级中间件版本号-构建版本的格式命名,中间件名称可以包含大版本号,例如:base/tomcat8-openjdk8:8.5.23-jre8u212-1 应用命名规则使用格式:系统-模块:系统版本-模块版本-构建版本,例如:sys/sys-rs:1.1-1.1-1 同一应用镜像在以上标签的规则下,还可以根据发布流程设置多个标签,以满足部署时版本依赖的管理要求。例如sys/sys-rs:v1代表v1.x的最新版本。 镜像制作规范 关键字使用大写 FROM镜像,指定明确的Tag,不要使用latest 发布向后兼容的镜像可以使用同一个Tag号,否则使用新的T...
2020-05-20
OpenShift生产集群物理机部署与虚拟机部署各自优缺点
OpenShift是物理机部署,还是虚拟机部署?这是企业在做容器平台架构选型时必须考虑的问题。尤其是大企业,有机器,有业务。今天我们就来列一列物理机与虚拟机部署各自的优缺点。 物理机部署 优点 性能好,无虚拟化层性能开销 小业务集群,节点少 配置高能够支持更大规模的容器数量 License成本更低 架构复杂度低(PaaS) 需要额外准备LB与存储 缺点 运维复杂度高 集群扩容周期长 如果出现故障,恢复周期长,需要及时去机房诊断修复 一台主机出现故障,影响业务范围更广 合规限制,需要更高要求的安全与隐私控制 虚拟机部署 优点 灵活部署、配置、维护简单 快速扩容 能与IaaS资源混合使用(LB、存储等) 一台虚拟机出现故障,影响业务范围小 虚拟机技术成熟,有热迁移技术,恢复快 IaaS高可用+PaaS高可用,两层保障 虚拟机支持虚拟快照,方便做主机回滚,集群可靠怀提升 IaaS目前已经有成熟的合规方案,在其上构建PaaS可以更方便地满足合规要求 缺点 性能较差(网络、计算等) 架构复杂度提升(IaaS + Paas) 配置较低,承载的容器容量更小(节点更多) 需要...