Category PaaS

我们有一个新创建的TKE 1.3.0集群，使用基于Galaxy + Flannel（VXLAN模式）的容器网络，集群由三个二层互通的Master节点 10.0.0.11、 10.0.0.12、 10.0.0.13组成。在访问宿主机端口为 30153的NodePort类型的Service时，出现了很有趣的现象：

1. 在节点 10.0.0.11、 10.0.0.13节点上 curl http://localhost:30153，有50%几率卡住
2. 在节点，100%几率卡住
3. 从集群内部，访问非本节点的30153端口，畅通
4. 从集群外部，访问任意节点的30153端口，畅通

三个节点本身并无差异，卡住几率不同，可能和服务的端点（Endpoint，即Pod）的分布情况有关。

NodePort服务的定义如下：

该服务的端点有两个：

可以看到，端点在10.0.0.11、10.0.0.13上分别有一个。假设容器网络存在问题，只能访问本机的Pod，则能解释前面的卡住现象 —— 10.0.0.12上没有端点，因此一直卡住。10.0.0.11、10.0.0.13分别占有50%端点，因此50%几…

Istio的Sidecar作为一个网络代理，它拦截入站、出站的网络流量。拦截入站流量后，会使用127.0.0.1作为源地址，将流量转发给本地服务进程。本地服务进程看不到真实源IP地址。

很多应用场景下，真实源IP地址是必须的，可能原因包括：

1. I…

在某个应用场景中，我们需要在每个K8S节点上运行一个Agent，此Agent能够执行运维人员动态配置的Python脚本，来检查节点是否出现故障。

Python脚本能够调用的库，需要按需不断更新，受限于运行环境，我们不便搭建和维护PyPI私服。因此，我们考…

服务网格（Service Mesh）是一种微服务治理基础设施，用于控制、监测微服务之间的东西向流量。它通常由控制平面、数据平面两部分组成。其中数据平面就是伴随着业务应用部署的网络代理，控制平面则是一组独立的组件，和数据平面交互，发送控制网络流量的规则，接收…

要回答标题中的疑问，我们首先要清楚，Pod是什么？

Pod的翻译叫容器组，顾名思义，是一组容器。叫做“组”是因为这些容器：

1. 总是被同时调度，调度到同一节点
2. 共享网络，具有相同的IP地址和端口空间，可以通过localhost相互访问
3. 可以基于System…

ExternalDNS项目的目的是，将Kubernetes的Service/Ingress暴露的服务（的DNS记录）同步给外部的DNS Provider。

ExternalDNS的设计思想类似于KubeDNS，都是从多种K8S API资源中推断需要生成的DNS记录。不同之处是…

集群联邦（Federation）的目的是实现单一集群统一管理多个Kubernetes集群的机制，这些集群可能是跨地区（Region），也可能是在不同公有云供应商上，亦或者是公司内部自行建立的集群。一但集群进行联邦后，就可以利用Federation API资…

容器在运行期间会产生临时文件、日志。如果没有任何配额机制，则某些容器可能很快将磁盘写满，影响宿主机内核和所有应用。

容器的临时存储，例如emptyDir，位于目录/var/lib/kubelet/pods下：

持久卷的挂载点也位于/var/lib/kubelet/pods下，但是不会导致存储空间的消耗。

容…

容器在磁盘上写的文件是临时性的，没有持久化保证。如果容器崩溃，Kubelet会重启它，临时文件就都丢失了。此外，在Pod中运行的多个容器，可能有共享存储的需求。这两点正是K8S卷（Volume）来解决的。

Docker也有卷的概念，但是它的卷仅仅是宿主…

从1.8版本开始，Kubernetes Storage SIG开始停止接受in-tree卷插件，并建议所有供应商实现out-of-tree卷插件。CSI是两种out-of-tree的K8S卷扩展机制之一，另外一个是Flexvolume。

Flexvolume的工作方式是，由…