Author Archives: guoguo

containerd启动容器报错

报错信息 系统 原因 解决

Posted in 小技巧 | Leave a comment

vmware虚拟机配置共享

环境: OS:CentOS-7-x86_64-Minimal-2009.iso 内核版本:kernel-ml-5.18.15-1.el7.elrepo.x86_64 虚拟机平台:VMware® Workstation 16 Pro 虚拟机平台版本:16.2.3 build-19376536

Posted in 小技巧 | Leave a comment

SSH登录Vmware虚拟机Linux服务器慢问题

现象: 每次通过ssh登录机器都特别慢,大约30秒,甚至更长 环境: OS:CentOS-7-x86_64-Minimal-2009.iso 虚拟机平台:VMware® Workstation 16 Pro 虚拟机平台版本:16.2.3 build-19376536 解决:

Posted in 小技巧 | Leave a comment

移动终端网络接入

1.1 终端接入网络 1.1.1 移动终端接入网络有如下的几种情况 终端设备在属地,终端设备通过基站,接入属地的网络 终端设备在国内漫游时,移动设备会漫游连接到当地的网络,联通和电信则需要漫游回属地的网络 终端设备在国外漫游时,需要漫游回属地的网络 1.1.2 基站接入分析 移动终端通过基站接入移动运营商网络,终端与基站之间是数据链路层,不涉及网络层(IP)和传输层(TCP),终端设备的IP地址是由运营商分配的,在切换基站时一般不会引起IP地址的变化。 有以下几种情况: 当设备进行重启、飞行模式切换等时,设备会重新发起接入,这时IP地址会发生改变 设备在同一区域内切换基站的过程中,如果没有发生断网情况下,即没有重新接入,IP地址是不会变化的 设备在区域间切换基站,比如联通设备从北京到河北,接入由北京联通变成河北联通,IP地址会发生变化 终端设备切换基站一般情况下可在50ms~200ms完成,TCP是基于连接的协议,连接状态由状态机来维护,连接完毕后,双方都会处于established状态,它们之间的连接由各自的IP和TCP的端口唯一标识,即使这个连接没有任何数据,但仍是保持连接状态。TCP的KeepAlive机制用于检测连接死活,一般时间为 7200 s,失败后重试 10 次,每次超时时间 75 s,以释放无效链接。这个时间比切换基站时间要大的多,因此TCP通道在切换基站时,其IP地址一般没有变化,所以基于IP和端口的已建立的TCP连接不会失效。 1.1.3 DNS解析 当前移动 DNS 的现状: 运营商 LocalDNS 出口根据权威 DNS 目标 IP 地址进行 NAT,或将解析请求转发到其他DNS 服务器,导致权威 DNS 无法正确识别运营商的 LocalDNS IP,引发域名解析错误、流量跨网。 域名被劫持的后果:网站无法访问(无法连接服务器)、访问到钓鱼网站等。 … Continue reading

Posted in 未分类 | Leave a comment

博客网站搭建

最近把网站迁移到国内的云服务厂商上,之前几次迁移部署都是采用编译安装的方式,非常的不方便,此次采用的是docker方式搭建环境的配置,前端也不再采用nginx,采用了能够自动生成和替换证书的ca#ddy来实现的。 安装workpress 安装docker和docker-compose 编写wordpress的docker-compose.yml文件 本地需要创建mysql和wordpress的目录,docker会把本地创建的目录挂载到docker镜像中,这样mysql的数据和wordpress的配置才会在docker销毁时不会丢失。 启动docker镜像 然后临时打云厂商的防火墙的8000端口,在本地看是docker是否能到安装配置页面,如果可以正常打开,说明wordpress已经安装配置完成,可以使用 docker-compose up -d 转到后台执行,我们现在需要把云厂商的防火墙关闭。 安装配置ca#ddy 编写执行脚本 编写Ca#ddy的配置文件 预创建目录 执行脚本启动服务器,服务启动后我们在本地机器上可以通过配置hosts的方式,连接上去,看是否能打开wordpress的安装页面。 配置证书 我们使用cloudflare的证书,需要先到其官方网站上注册 https://dash.cloudflare.com/login 账号。 接下来我们需要在网站上添加我们的网站 然后到自己的域名服务商修改域名服务器为cloudflare的,等cloudflare检测通过 接下来需要拿到我们的api key,点击cloudflare右上角 “我的个人资料” – “API令牌“ 配置ca#ddy 在服务器 caddy/conf 文件夹下编写文件 caddy.service 文件内容为: 接下来重启ca#ddy 此时用chrome打开网站,查看地址栏左侧是否提示锁的图标,如果不是也不用着急,有可能是域名解析还没有完全切换到新的域名服务器,这需要一定的时间。

Posted in 未分类 | Leave a comment

k8s服务访问

k8s基本网络模型 约法三单 pod之间可以直接通信,无需显式使用NAT接收和地址转换 node与pod之间可以直接通信,无需要明显地址转换 pod可以看到自己的ip跟别人看到它所用的ip是一样的,中间不经过转换 分类 underlay:与Host网络同层 ovrelay:只要与Host网络不冲突,ip可以自由分配 Kubenets Service Service工作原理: 通过kube-proxy设置宿主机iptables规则来实现,kube-proxy通过观察service的创建,然后通过修改本机的iptables规则,将访问service vip的请求转发到真实的Pod上。 基于iptables规则的service的实现,宿主机上有大量Pod时,规则的不断刷新占用大量CPU资源,新的模式:ipvs,通过把规则放到内核态,降低了维护规则的代价 Service的DNS记录:<myservice>.<mynamespace>.svc.cluster.local,访问这条记录时,返回的是Service的VIP或代理Pod的IP地址集合 Pod的DNS记录:<pod_hostname>.<subdomain>.<mynamespace>.svc.cluster.local,注意pod的hostname和subdomain都是在Pod中定义的 集群内访问 环境变量 Headless ServiceclusterIP: None不再提供虚拟IP来负载均衡 集群外访问(外部宿主机访问) NodePort:外部client访问任意一台宿主机的8080端口,就是访问Servicer所代理的Pod的80端口,由接收外部请示请求的宿主机做转发,即client -> nodeIP:nodePort -> serviceVIP:port -> podIp:targetIp LoadBalance:公有云提供的k8s服务自带的loadbalancer做负载均衡和外部流量 的入口 ExternalName:通过ExternalName或ExternalIp给Service挂在一个公有IP或者域名,当访问这个公有IP地址时,就会转发到Service所代理的Pod服务上。类似于软链或快捷方式 ClusterIP:虚拟IP地址,外部网络无法访问,只有k8s内部访问使用。更像是一个伪造的IP网络 仅仅用于Service这个对象,并由k8s管理和分配IP地址 无法被Ping通,没有一个“实体网络对象”来响应 只能结合Service Port组成一个具体的通信端口,单独的ClusterIP不具备通信的基础,并且它们属于k8s集群这样一个封闭的空间 不同Service下的Pod节点在集群间相互访问可以通过ClusterIP Service与Ingress Ingress:全局的、为了代理不同后端Sercie而设置的负载均衡服务,只能工作在7层,而service工作在四层 … Continue reading

Posted in Kubernetes | Tagged , | Leave a comment

k8s三层网络实现

字典 下一跳:如果ip包从主机A发送到主机B,需要经过路由设备X的中转,那么X的IP地址就应该配置为主机A的下一跳地址。 Host-gw模式:将每个 Flannel 子网(Flannel Subnet,比如10.244.1.0/24)的下一跳 ,设置成该子网对应宿主机的IP地址。也就是主机(host)充当这条容器通信路径里的网关(gateway),也就是host-gw的含义;无封装,纯路由,只经过协议栈一次,性能较高 边际网关协议:BGP,Border Gateway Protocol,大规模数据中心维护不同“自治系统”之间路由信息、无中心的路由协议; 它不会在宿主上创建任何网桥设备相当于:每个边界网关上运行着一个小程序,它们会将各自的路由表信息,通过TCP传输给其它边界网关。其它边界网关上的这个小程序,则会对收到的这些数据进行分析,然后把需要的信息添加到自己的路由表。 CNI:与k8s对接的部分 Felix:DeamonSet,wmgm宿主机上插入路由规则,即写入Linux内核的FIB转发信息库,以及维护Calico所需要的网络设备等工作 BIRD:BGP客户端,专门负责在集群里分发路由信息 边际网关:负责把自治系统连接在一起的路由器。它的路由表中有其它自治系统里的主机路由信息; Calico:集群中所有的节点,都是边界路由器,被称为BGP Peer;默认情况下,是一个Node-to-Node Mesh的模式。随着节点的增多,会以N^2的规模快速增长。一般推荐在少于100个节点的集群中 Calico Route Reflector的模式,大集群,它指定一个或几个专门节点,来负责与所有节点建立BGP连接,从而学习全局路由规则,其它节点,只需要给它交换路由信息。 Calico IPIP模式:添加的路由规则10.233.2.0/24 via 192.168.2.2 tunl0,下一跳地址是Node2 IP地址,但发出去包的设备是tunl0(注意,不是flannel UDP模式的tun0,它们的功能是不同的)它是一个IP隧道设备(IP tunnel),IP包进入IP隧道后,被内核IPIP驱动接管。它会将这个IP包直接封装在一个宿主机网络的Ip包中。 Calico IPIP模式: Flannel Host-gw模式 $ ip route … 10.244.1.0/24 via 10.168.0.3 … Continue reading

Posted in Kubernetes | Tagged , | Leave a comment

Pod生命周期

Pod容器 Init Container: 支持应用容器的全部字段与特性,包括资源限制,存储券和安全设置 由于需要在pod就绪之前运行完成,所以不支持reaadinessProbe 定义多个init容器,它们会按定义顺序执行 init容器失败,如果restartPolicy不为Nerver,则会不断重启,直到成功为止 作用: 具有与应用容器分离的单独镜像,可包含不建议在生产镜像中包含的实用工具 应用程序镜像基于它可以分离出创建和部署的角色 使用linux namespace,相对应用容器来说有不同的文件系统视图,因此有访问secret的权限,应用容器则不能 可以阻塞或延迟应用容器的启动 Pod Hook 如果postStart,postStop失败,会杀死容器 postStart:容器创建后立即执行,不保证钩子在容器EntryPoint之前运行。主要用于资源部署、环境准备等。如果运行时间过长以至不能运行或者挂起容器将无法到达Running状态 preStop:容器终止之前立即调用,阻塞,同步的,必须在删除容器调用发出之前完成。主要用于优雅关闭应用程序、通知其它系统等。如果执行期间被挂起,pod将永远在running状态,并不会到达failed状态 健康检查 Pod状态 PodStatus.phase字段 挂起(Pending)信息已提交集群,但没有被调度器调度到合适的节点或pod镜像正在下载 运行中(Running)已绑定到一个节点,所有容器已被创建。至少一个正在运行,或者处理启动或重启状态 成功(Successed)所有容器成功终止,并且不会重启 失败(Failed)所有容器已终止,并且至少一个容器是因为失败终止,也就是说容器以非0状态退出或被系统终止 未知(UnKnow)无法获得状态,通常是主机通信失败导致的 PodStatus.PodCondition 描述当前Status的具体原因 PodScheduled:pod已调度到某节点 ContainersReady:pod内所有容器已就绪 Initialized:所有的init容器都已成功完成 Unschedulable Ready:可以提供服务,并且应该被添加到对应服务的负载均衡池中 Pod 资源定义(CPU、内存) 调度 Volume Projected Volume 投射数据卷 … Continue reading

Posted in Kubernetes | Tagged , | Leave a comment

qcow2镜像定制指南

背景 目前网络上关于定制镜像的说明很分散,需要搜寻很多文章才能完成镜像的定制任务。所以我尝试提供一个全面而系统的指南,遵循本指南,用户可以方便的完成镜像的定制。 实施步骤 一、环境配置 1、准备软件mac pro、VmWare fusion、CentOS-7-x86_64-DVD-1708.iso、CentOS-7-x86_64-GenericCloud-1708-20180123.qcow22、安装嵌套CentOs环境由于MacOs不支持Kvm,故需要在嵌套的操作系统中安装云镜像需要的软件,使用Fusion很容易在MacOs中虚拟出一个CentOs的环境。3、修改嵌套操作系统配置在centos关闭的情况下打开虚拟机“处理器和内存”配置,选择“高级配置”,选中“在此虚拟机中启用虚拟化管理程序”和“在此虚拟机中启用代码分析应用程序”,如无这步操作,则在启动virt-manager时会报:“virt-manager 报 WARNING : KVM不可用.这可能是因为没有安装KVM软件包,或者没有载入KVM内核模块.您的虚拟机可能性很差。”的错误,启动虚拟机。以下操作如无特殊说明都是在嵌套操作系统中执行。4、安装依赖 5、编译nbd内核模块(如不使用“nbd挂载方式修改镜像”则不需要安装此模块)执行命令,出现以下报错时,说明没有nbd模块,需要自己手动安装 执行下面的命令安装hbd模块 安装kernel组件 编译安装hbd组件 编译安装时的错误处理阶段:make CONFIG_BLK_DEV_NBD=m M=drivers/block 处理: 二、设置镜像共享 设置嵌套虚拟机文件夹共享qcow2文件放置在mac本地文件夹中,嵌套虚拟机通过文件共享的方式使用qcow2文件。需要注意的是qcow2文件权限需要在macos中设置为可读写,否则在嵌套虚拟机中无法更新配置。 嵌套虚拟机中,需要要关闭SeLinux否则同样无法更新镜像内容 三、guestfish工具使用 1、示例程序:获取镜像ip地址 2、示例程序:配置用户访问权限 四、nbd挂载方式修改镜像(qemu-nbd) 1、确保已安装nbd模块,加载模块 3、建立nbd连接,挂载到目录 4、执行chroot 5、执行修改,比如 6、修改完毕后解除挂载点,解除连接 五、通过virt-manager挂载虚拟机 1、执行 2、新建虚拟机选择“导入现有磁盘”,“使用ISO镜像”,选择qcow2文件…如果报:“WARNING : KVM不可用.这可能是因为没有安装KVM软件包,或者没有载入KVM内核模块.您的虚拟机可能性很差。”的警告相应的解决方案是: 关闭虚拟机 进入虚拟机设置(可以配置网卡,硬盘,光驱的地方) 点击“处理器和内存”,勾选虚拟化Inter VT-x/EPT … Continue reading

Posted in 未分类 | Leave a comment

Sqoop源码分析

Sqoop的Mysql数据导出实现分两种,一种是使用JDBC方式从Mysql中获取数据,一种是使用MysqlDump命令从MySql中获取数据,默认是 JDBC方式获取数据,如果要使用dump方式获取数据,需要添加 -direct 参数。 使用JDBC方式从Mysql中获取数据 配置语句时,需要添加 $CONDITIONS 点位符,比如:SELECT id FROM user WHERE $CONDITIONS,Sqoop在内部实现时会把它替换成需要的查询条件。 Sqoop启动后会先查询元数据,它会把 $CONDITIONS 替换为 (1=0) ,然后用得到的SQL语句查询数据表对应的Meta信息对于导出一个表的情况,Sqoop会使用这个SQL查询三次数据库,分别是: 1、获取 colInfo(最终得到columnTypes信息)2、查询ColumnNames信息3、生成QueryResult类执行 generateFields操作获取columnTypeNames时。 Sqoop会对获取的Fields做校验,列不能重复,它还会处理数据库的字段到Java属性名的转换 QueryResult类是通过构建java类文件,然后获取JavaCompiler,然后编译加载,为了提高处理性能,不是使用反射实现的,这个生成类内部处理mysql到hdfs属性值为空和分隔符的处理。 接着它会进行下面一个Sql查询操作,查询结果集为MIN(split列),MAX(split列),查询条件的处理逻辑为 $CONDITIONS 替换为(1=1),然后再添加外面SELECT查询 (举例:SELECT MIN(id), MAX(id) FROM (SELECT ID,NAME,PASSPORT WHERE (1=1) ) AS t1 ),这样就查询出来此次导出数据最大的split列值和最小的split列值。 对于为整数、布尔值、时间格式、Float等 的分区列,进行split时直接根据对应值的大小进行Split,Text文本的处理方式比较特殊,Sqoop先会对之前获取到的Min和Max的字串寻找它们最大的相同前缀子字串,然后把后面的字段转化为BigDecimal,结合时char占两个字节(65536),算法在 … Continue reading

Posted in 未分类 | Leave a comment