目录docker安全加固之安全隔离（如何增强隔离性）设置特权级运行的容器：--privileged=true（开特权）【--cap-add只给某一个权限】docker安全加固之安全隔离（如何增强隔离性）server1docker run -it --rm --memory 200M busybox/ # free -m #给了200M但是swap出现的还是2G*proc是没有做隔离的，所以容器和宿

真机中把本次实验需要的包传输过来搭建实验环境go version #查看go语言是否安装成功设置codis--> 安装codis、下载其依赖性codis-proxy配置安装jdk安装zookeeper修改配置文件设置myid：设置myid在我们配置的dataDir指定的目录下面，创建一个myid文件，里面内容为一个数字，用来标识当前主机，conf/zoo.cfg文件配置的srver.X中的X

目录Secret简介ServiceAccountOpaque Secret编写一个secret对象：将secret挂接到volume中：向指定路径映射 secret 密钥将Secret设置为环境变量Secret简介Secret对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。敏感信息放在secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。Pod 可以用两种

目录Configmap简介Configmap创建方式使用字面值创建：使用文件创建：使用目录创建：编写configmap的yaml文件创建​使用configmap使用configmap设置环境变量使用conigmap设置命令行参数通过数据卷使用configmapconfigmap热更新Configmap简介Configmap用于保存配置数据，以键值对形式存储。configMap 资源提供了向 Pod

目录k8s平台使用：Pod管理外部访问集群节点：回滚【undo】集群外部访问：资源清单构建与应用pod生命周期探针pod的生命控制器job控制器：周期化jobk8s平台使用：server2kubectl get node#查看节点kubectl get pod#查看pod（pod是k8s最小调度单位）【默认是在default namespace来进行查询】kubectl get pod -n ku

目录ingress简介ingress地址重写加密认证ingress简介单独用service暴露服务的方式，在实际生产环境中不太合适ClusterIP的方式只能在集群内部访问。NodePort方式的话，测试环境使用还行，当有几十上百的服务在集群中运行时，NodePort的端口管理是灾难。LoadBalance方式受限于云平台，且通常在云平台部署ELB还需要额外的费用。ingress可以简单理解为se

目录k8s网络通信简介flannel网络flannel网络简介flannel网络原理flannel配置calico网络插件calico简介k8s网络通信简介k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel，calico等。CNI插件存放位置：# cat /etc/cni/net.d/10-flannel.conflist插件使用的解决方案如下：虚拟网桥，虚拟网卡，

目录一、Volumes简介二、emptyDir卷emptyDir简介emptyDir示例三、hostPath 卷hostPath 示例四、NFS 示例​五、PersistentVolume持久卷静态PVNFS动态分配PV一、Volumes简介容器中的文件在磁盘上是临时存放的，这给容器中运行的特殊应用程序带来一些问题。首先，当容器崩溃时，kubelet 将重新启动容器，容器中的文件将会丢失,因为容器

目录基本概念API Server认证ServiceAccount（SA）UserAccount（UA）RBAC授权基本概念kubernetes API 访问控制过程：认证、授权、准入控制Authentication（认证）认证方式现共有8种，可以启用一种或多种认证方式，只要有一种认证方式通过，就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tok

目录一、service简介二、IPVS模式的service三、创建service【ClusterIP方式】headless service“无头服务”NodePort方式外部访问service的第二种方式（使用于公网）外部访问service的第三种方式：ExternalName。一、service简介Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service，应用可以方便地