杂烩饭

适用场景： 裸机 / 虚拟机环境 无云厂商 LB 追求 eBPF + 原生路由的高性能网络 环境介绍 主机名 IP 安装组件 master1 10.0.0.11 etcd、apiserver、controller-manager、scheduler、kubelet、containerd、kubeadm、kube-vip master2 10.0.0.12 etcd、apiserver、controller-manager、scheduler、kubelet、containerd、kubeadm、kube-vip master3 10.0.0.13 etcd、apiserver、controller-manager、scheduler、kubelet、containerd、kubeadm、kube-vip 基础环境 操作系统：CentOS Stream 10 Kubernetes：v1.34.3 容器运行时：containerd CNI：Cilium 高可用方式：kube-vip（ARP 模式） 准备工作（所有节点）关闭防火墙与...

使用 CLS 来采集业务日志的好处有 运维方便，不用费劲搭建 ELK 系统，传统的 filebeat -> kafka -> logstash -> ElasticSearch 架构复杂 费用便宜（和 ES、kafka 这一套相比） 不用担心告警等（如 ES 磁盘使用率等） 开启采集在集群管理界面，点击 日志 新增采集配置： 然后选择日志源、元数据等，点击下一步，配置日志解析方式。 如果是纯 json 日志，就配置成 json 格式解析。业务日志是 Spring Boot，并且包含多行日志，所以选择 多行 - 完全正则 模式来匹配。 点击完成后就完成了日志采集。 多行正则模式匹配假设业务日志格式为： 123456782026-01-07 20:58:29.335 INFO [tsp-agent,517f1bd4b38282b2,e66be3ada6f121cf,true] [XNIO-1 task-7] c.ingeek.nub.webmvc.filter.PrintFilter [145]: 响应 ResponseHeader: ...

很早之前我在上学的时候给安卓手机刷机，root 后还可以安装了个号称 Linux 瑞士军刀的 App，不过没搞懂有什么用，不过记住了这个特别的名字 – BusyBox BusyBox 是什么BusyBox 是一款超轻量级的 Linux 工具集，也被称为 “Linux 瑞士军刀”—— 它把数百个常用的 Linux 命令（如 ls、cat、ps、telnet、unzip 等）打包进一个单一的可执行文件，体积仅 1-2MB，且支持静态编译，是嵌入式 Linux、精简系统、应急运维场景的 “神器”。 下载地址官方编译好的可执行文件：https://busybox.net/downloads/binaries/1.35.0-x86_64-linux-musl/， 可以下载主文件 busybox，也可以下载单个命令使用。 BusyBox 使用方法包含的命令12345678910111213141516171819202122232425262728293031323334353637BusyBox v1.35.0 (2022-01-17 19:57:02 CET) multi-call...

找了有两个开源项目比较不错，都可以完成镜像的迁移。 crpy 的使用crpy 使用 python 开发，有本地缓存，拉取和推送镜像速度比较快。使用体验比较接近 docker。开源地址： https://github.com/bvanelli/crpy 安装12# 也可以安装到虚拟环境pip install crpy 认证1crpy login registry.cn-hangzhou.aliyuncs.com -u <username> -p <password> 认证信息存储在：~/.crpy/config.json 拉取镜像1crpy pull nginx:1.29 nginx_1.29.tar 缓存数据存储在：~/.crpy/blobs 推送镜像1crpy push nginx_1.29.tar registry.cn-hangzhou.aliyuncs.com/iuxt/nginx:1.29 crane 的使用这个工具是 Golang 写的，支持...

基于 ubuntu 使用 kubeadm 搭建集群， centos部署文档, 有疑问的地方可以看 官方文档 准备机器 我的机器详情如下, 配置至少为 4C4G hostname IP 作用 master1 10.0.0.11 k8s master 节点 master2 10.0.0.12 k8s master 节点 master3 10.0.0.13 k8s master 节点 worker1 10.0.0.21 k8s worker 节点 worker2 10.0.0.22 k8s worker 节点 每台机器都做域名解析，或者绑定 hosts(可选但建议) 12345vim /etc/hosts10.0.0.11 master110.0.0.12 master210.0.0.13 master3 基础环境配置 基础环境是不管 master 还是 worker 都需要的环境 禁用 swap 确保每个节点上 MAC 地址和 product_uuid 的唯一性 sudo cat...

为什么有这个需求假设有如下情况： 这个服务很重要，很多服务在连，停服不知道会有什么影响。 服务是运行在 docker 里的，但是 docker 启动命令找不到了。 想给 docker 容器临时增加一个端口映射。 方法一、使用工具反向代理这个方法性能不如上面的 iptables 规则，比如可以用 nginx 的 stream 四层代理，或者用 socat 一条命令搞定。 查看容器的 IP 地址1docker inspect postgres 在结果中找到 NetworkSettings -> Networks -> <你的网络名称> -> IPAddress 123456# 安装 socatsudo apt-get install socat # Ubuntu/Debian# 创建端口转发，172.18.0.2 是容器的IPsocat TCP-LISTEN:5432,fork TCP:172.18.0.2:5432 方法二、参照 Docker 原生的方式docker 的 -p 命令来进行端口映射，本质上也是维护了一套 iptables...

要先打开服务器的内核转发：net.ipv4.ip_forward = 1假设 WireGuard 自身的虚拟网段是 10.8.0.0/24, 给服务器分配的 IP 是：10.8.0.1，服务器的公网 IP 是：124.221.31.148 服务器基础配置1234567891011121314# Ubuntu安装 WireGuardsudo apt-get install -y wireguard# CentOS 安装 WireGuardsudo yum install -y wireguard-tools# 开启内核转发echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.confsysctl -p# 配置目录创建mkdir -p /etc/wireguardcd /etc/wireguardumask 077 生成公私钥对先生成一些公私钥对，服务器需要 1 个，每个客户端 1 个。 12345678910111213# 生成服务器公私钥wg genkey > server_privatekeywg...

Elasticsearch 有自己的高可用集群机制，不建议再用 k8s 管理 适用于临时使用一下、或者测试使用 数据存储问题为了测试使用，我也没有用 pvc 来管理数据，而是选择了 hostpath，那么为了重启也可以正常访问数据，需要将 es 固定在一个节点上。 123456789101112131415161718192021222324252627282930313233343536373839404142434445apiVersion: apps/v1kind: Deploymentmetadata: name: elasticsearch labels: app: elasticsearchspec: replicas: 1 selector: matchLabels: app: elasticsearch template: metadata: labels: app: elasticsearch spec: nodeSelector: ...

可以直接使用我制作好的工具，支持自签名 HTTPS 证书和双向认证证书，纯 shell 脚本，支持 Docker 使用，一键生成证书：https://github.com/iuxt/my_cert 双向认证用途是什么： 双向认证就是客户端需要携带证书来请求服务器，证书校验通过了才会正常返回。比如说我有个网站只有自己访问，就可以配置双向认证，自己电脑安装一下证书就可以访问，还可以通过吊销证书的方式来禁止对应的人访问网站。 CA 证书生成 CA 私钥1openssl genrsa -out ca.key 4096 生成一个 ca.key 文件 生成 CA 证书非交互式创建交互式创建1openssl req -utf8 -new -x509 -days 3650 -key ca.key -out ca.crt -subj '/C=CN/ST=Shanghai/L=Pudong/O=iuxt/OU=张理坤/CN=www.i.com/emailAddress=iuxt@qq.com'1openssl req -utf8 -new -x509 -days 3650...

单域名方式部署单域名就是把 minio 的 api 接口和 web 管理控制台放在一个域名下，比如： 管理控制台：https://minio.xxx.com/ui/API 接口：https://minio.xxx.com docker 部署 这里我指定了 network，我的 nginx 也是用的这个 network，可以直接用 容器名字 来访问 123456docker run --name minio -d \ --env-file=.env \ --network iuxt \ -v ./data:/data \ -v ./config:/root/.mc \ minio/minio:RELEASE.2025-04-22T22-12-26Z server --console-address ":9001" /data .env...