Helm

传统企业近年来数字化转型的趋势相信各位读者已经有了非常清晰感知。在这个过程，企业在数字化路径选择上的不同也会影响企业数字化转型的最终成果与实施成本。根据市场调查和预测，企业近些年来越来越多的采用云原生的手段来让自身业务通过新一轮的数字化转型实现快速发展。 在本次2019百度云智峰会上，由百度效率云联合智能云微服务推出了云原生应用解决方案，并推出了基于百度效率云和CNAP平台的云原生DevOps实战workshop。 看到这里，您可能会好奇，什么是云原生？百度设计的云原生解决方案有什么特色？Workshop上又实操了哪些实践？下面我来为读者一一道来: 什么是云原生应用 云原生是一种方法，用于构建和运行充分利用云计算模型优势的应用。云计算不再将重点放在资本投资和员工上来运行企业数据中心，而是提供无限制的按需计算能力和根据使用情况付费的功能，从而重新定义了几乎所有行业的竞争格局。IT 开销减少意味着入行的壁垒更低，这一竞争优势使得各团队可以快速将新想法推向市场，这就是软件正在占据世界，并且初创公司正在使用云原生方法来颠覆传统行业的原因。 --- 摘选自pivotal.io 云原生应用平台 企业为了实现云原生应用的开发，就离不开一个用于构建和运行云原生应用和服务的平台，来自动执行并集成 DevOps、持续交付、微服务和容器等概念： 基于云的云原生平台和自建平台对比 根据CNCF（CLOUD

Kubernetes运行监控-使用Helm快速部署Prometheus和Grafana 使用Helm快速部署Pormetheus和Grafana非常方便，很多手工部署的方法不再需要了。 Kubernetes运行监控分为宿主机、容器以及Kubernetes集群的Node、Deployment、Replicaset、Storage、Pod、Service等数量和状态等方面，可以使用Heapster+Influxdb+Grafana的组合，或者使用Prometheus + Grafana的组合，传统的ELK方案无法穿透集群、而且集中于离线的方式不太适合Kubernetes中应用。 这里重点介绍KPG(Kubernetes+Prometheus+Grafana)的监控方案，功能全面、指标详细、模版丰富，更重要的是可以直接运行在Kubernetes集群之中。目前，Prometheus和Grafana部署都支持Helm了，安装非常方便。 简介 Prometheus主要用于度量指标的产生和收集，可以即时查询各种系统指标并以曲线图、表方式展示。Grafana提供图表化的监控面板，可以直接访问Prometheus产生的数据源并组装为可视化面板，支持监控面板的定制、保存和共享，需要与Prometheus配合起来使用。目前，已经有大量的Kubernetes监控面板面板模版可以使用，可以从 https:/

Ubuntu 18.04 + Kuberntes 1.11.2 + Istio 1.0组合来了。 完整安装说明，参考： https://linuxconfig.org/how-to-install-kubernetes-on-ubuntu-18-04-bionic-beaver-linux 安装的其它细节问题解决： https://my.oschina.net/u/2306127/blog/1628082 需要容器GPU支持，参考： http://Kubernetes安装GPU支持插件 服务网格Istio安装，参考： Istio 1.0快速安装到Kubernetes集群 安装工具相关脚本资源： https://github.com/openthings/kubernetes-tools 安装Docker #准备软件源 sudo apt install docker.io sudo systemctl enable docker Install Docker -CE add key: https_proxy=192.168.199.249:30999 wget https://download.docker.com/linux/ubuntu/gpg -O docker.key sudo apt-key add docker.key add source sudo echo "deb

这里探讨使用Let's Encrypt实现Kubernetes Ingress中自动创建、管理和部署证书，实现HTTPS支持。 编译来源， https://akomljen.com/get-automatic-https-with-lets-encrypt-and-kubernetes-ingress HTTPS是什么？ HTTPS是加密的http协议，提供数据通道加密和服务器验证功能。 使用支持https的浏览器上网，数据传输是加密的、而且可以防止中间被篡改； 对服务器需要进行验证，如果是假冒服务器浏览器会告警并拒绝与之连接，从而保护用户免于上当受骗。 不过，仅仅一个协议，也不是万能的。 比如浏览器如果就是被篡改的版本，完全可能将网站资源指向错误的路标； 证书依赖第三方机构认证，已经出现过假冒证书的情况，自签名证书也难以提供真正的安全； 部分浏览器或定制程序可以越过证书验证直接访问资源（不建议使用）。 需要指出的是，在隐私保护方面，https不支持IP地址隐藏、也不支持域名加密。 在Kubernetes中使用HTTPS 在Kubernetes集群中使用HTTPS协议发布服务，需要一个证书管理器、一个证书自动签发服务，主要通过Ingress来发布https服务，因此需要Ingress Controller并进行配置，启用https及其路由。

<a name="article-title"></a> 本周作者 | 墨封、衷源、元毅、有济、心水 <a name="cz05A"></a> 业界要闻 <a name="ohIer"></a> 1. Helm 3 首个 beta 版本 v3.0.0-beta.1 发布 该版本的重点是完成最后的修改和重构，以及移植其他 Helm 2 特性。 https://github.com/helm/helm/releases <a name="dGtSa"></a> 2. cilium 1.6 版本发布 完成了最后的两个核心需求，宣布已经可以 100% 替换 kube-proxy。 https://cilium.io/blog/2019/08/20/cilium-16/ cilium 是一个基于 eBPF 实现的可用于提供容器网络连接和负载均衡的组件，不依赖 K-V store，以下是 cilium 的性能测试结果。<br /> 3. pivotal 开源了 controller - kpack 实现镜像构建和更新的资源控制器。 https://github.com/pivotal/kpack <a name="JmQtG"></a> 上游重要进展 <a name="6oXKO"></a> Kubernetes 项目 apiserver 对 observed requests

前言 我们平时在日常生活中会经常在不同的平台上与各种各样的应用打交道，比如从苹果的 App Store 里下载的淘宝、高德、支付宝等应用，或者是在 PC 端安装的 Word、Photoshop、Steam。这些各类平台上的应用程序，对用户而言，大多只需要点击安装就可使用。 然而，在云 (Kubernetes)上，部署一个应用往往却不是那么简单。如果想要部署一个应用程序到云上，首先要准备好它所需要的环境，打包成 Docker 镜像，进而把镜像放在部署文件 (Deployment) 中、配置服务 (Service)、应用所需的账户 (ServiceAccount) 及权限 (Role)、命名空间 (Namespace)、密钥信息 (Secret)、可持久化存储 (PersistentVolumes) 等资源。也就是编写一系列互相相关的 YAML 配置文件，将它们部署在 Kubernetes 集群上。 但是即便应用的开发者可以把这些 Docker 镜像存放在公共仓库中，并且将所需的 YAML 资源文件提供给用户，用户仍然需要自己去寻找这些资源文件，并把它们一一部署。倘若用户希望修改开发者提供的默认资源，比如使用更多的副本 (Replicas) 或是修改服务端口 (Port)，他还需要自己去查需要在这些资源文件的哪些地方修改，更不用提版本变更与维护会给开发者和用户造成多少麻烦了。

导读 ：Kubernetes 作为云原生时代的“操作系统”，熟悉和使用它是每名用户的必备技能。本篇文章概述了容器服务 Kubernetes 的知识图谱，部分内容参考了网上的知识图谱，旨在帮助用户更好的了解 K8s 的相关知识。 1. 概述 容器服务 Kubernetes 知识图谱，部分内容参考网上一知识图谱，更加结合阿里云容器服务。 原图来源： https://www.processon.com/view/link/5ac64532e4b00dc8a02f05eb#map 2. 链接和备注 类别 知识点 知识链接 备注 Docker 原理 KVM--> ECS https://blog.csdn.net/weixin_43695104/article/details/88554443#32_kvm_web_192 网络隧道技术-->VPC https://blog.csdn.net/wangjianno2/article/details/75208036 NameSpace https://www.atatech.org/articles/81800 Linux 容器中用来实现“隔离”的技术手段：Namespace,Namespace 技术实际上修改了应用进程看待整个计算机的范围，它的访问范围被操作系统做了限制，只能“看到”某些指定的内容。 CGroup https://blog

作者 | 平名 阿里服务端开发技术专家 导读 ：Kubernetes 作为云原生时代的“操作系统”，熟悉和使用它是每名用户的必备技能。本篇文章概述了容器服务 Kubernetes 的知识图谱，部分内容参考了网上的知识图谱，旨在帮助用户更好的了解 K8s 的相关知识。 概述 容器服务 Kubernetes 知识图谱，部分内容参考网上一知识图谱，更加结合阿里云容器服务。 原图 by 杨传胜 原图链接地址 https://www.processon.com/view/link/5ac64532e4b00dc8a02f05eb#map 知识链接和备注 Docker 原理 KVM--> ECS https://blog.csdn.net/weixin_43695104/article/details/88554443#32_kvm_web_192 网络隧道技术-->VPC https://blog.csdn.net/wangjianno2/article/details/75208036 NameSpace https://blog.csdn.net/a352193394/article/details/53344167 备注：Linux 容器中用来实现“隔离”的技术手段：Namespace，Namespace 技术实际上修改了应用进程看待整个计算机的范围，它的访问范围被操作系统做了限制

导读 ：Kubernetes 作为云原生时代的“操作系统”，熟悉和使用它是每名用户的必备技能。本篇文章概述了容器服务 Kubernetes 的知识图谱，部分内容参考了网上的知识图谱，旨在帮助用户更好的了解 K8s 的相关知识。 1. 概述 容器服务 Kubernetes 知识图谱，部分内容参考网上一知识图谱，更加结合阿里云容器服务。 2. 链接和备注 类别 知识点 知识链接 备注 Docker 原理 KVM--> ECS https://blog.csdn.net/weixin_43695104/article/details/88554443#32_kvm_web_192 网络隧道技术-->VPC https://blog.csdn.net/wangjianno2/article/details/75208036 NameSpace https://www.atatech.org/articles/81800 Linux 容器中用来实现“隔离”的技术手段：Namespace,Namespace 技术实际上修改了应用进程看待整个计算机的范围，它的访问范围被操作系统做了限制，只能“看到”某些指定的内容。 CGroup https://blog.csdn.net/wudongxu/article/details/8474198 Linux Control Group。它最主要的作用

helm简介 Helm 可以理解为 Kubernetes 的包管理工具，可以方便地发现、共享和使用为Kubernetes构建的应用。 Helm 采用客户端/服务器架构，有如下 组件 组成： Helm CLI 是 Helm 客户端，可以在本地执行 Tiller 是服务器端组件，在 Kubernetes 群集上运行，并管理 Kubernetes 应用程序的生命周期 Repository 是 Chart 仓库，Helm客户端通过HTTP协议来访问仓库中Chart的索引文件和压缩包。 1.Helm的三个基本概念 Chart：Helm应用（package），包括该应用的所有Kubernetes manifest模版，类似于YUM RPM或Apt dpkg文件 Repository：Helm package存储仓库 Release：chart的部署实例，每个chart可以部署一个或多个release 2.Helm工作原理 Helm把Kubernetes资源(比如deployments、services或 ingress等) 打包到一个chart中，而chart被保存到chart仓库。通过chart仓库可用来存储和分享chart。Helm使发布可配置，支持发布应用配置的版本管理，简化了Kubernetes部署应用的版本控制、打包、发布、删除、更新等操作。 Helm包括两个部分