Kubernetes的定义 引用Kubernetes官方网站上的定义: Kubernetes是一个用于自动部署，扩展和管理容器化应用程序的开源系统。Kubernetes将多个容器组成一个逻辑单元以便于管理和服务发现。 Kubernetes源自Go……

前面一节初步学习了istio安全管理功能中的认证策略，并使用认证策略配置了服务之间的双向TLS，使用认证策略对暴露到集群外部的http服务开启了基于JWT的终端用户认证。本节将对上节配置JWT终端用户认证时用到一些JWT相关知识做一个补充学……

Prometheus是一个基于时序数据库的开源监控系统。 Prometheus在2016年加入了CNCF(云原生计算基金会)，成为继Kubernetes之后CNCF的第二个托管项目。 Prometheus HTTP API Prometheus的监控指标数据metrics存储在……

前面在第9节"Containerd是如何存储容器镜像和数据的"中介绍了，containerd的snapshotter的主要作用就是通过mount各个层为容器准备rootfs。containerd默认配置的snapshot……

前面3~12节学习了istio的流量管理功能，包括如何配置请求路由、故障注入、流量转移、流量镜像、设置请求超时和熔断、将服务网格外部流量接入到集群内、控制服务网格的出口流量等。 从本节开始学习istio的安全管理功能，看istio是如何保护服……

linux memory cgroup子系统 限制容器的内存使用需要借助memory cgroup子系统。 在使用cgroups时需要先挂载，例如在centos下memory cgroup子系统被挂载到了/sys/fs/cgroup/memory下，，在这个目录下是各个……

上一节学习了istio服务网格内部访问外部服务的三种方法，推荐使用ServiceEntry将一个外部服务注册到服务网格中的方式，这样服务网格内部的到外部服务的访问流量都是受到istio管理的，但这种方法下访问外部服务的流量都是从内部服务实例……

容器的单进程模型 容器的单进程模型是指推荐在一个容器里只运行一个进程。 容器的单进程模型并不是说容器里只能运行一个进程，而是因为容器本身没有管理多个进程的能力，推荐在一个容器里只运行一个进程。 在正常的Linux操作系统里都有个1号进程init，……

在默认情况下所有istio服务网格内某个服务实例的出战流量都将被重定向到其Envoy Sidecar代理，集群外部URL的可访问性取决于Sizdecar代理的配置。 在默认情况下，isito将Envoy代理配置为允许传递请求到未知服务(未在is……

在最近25~28节，学习了容器镜像构建的一些实践和技巧，使用Containerd替代Docker后，使用buildkit作为容器镜构建工具，到此对容器镜像构建的学习先告一段落。 在前面第6节学习了容器资源限制背后的技术cgroups的基本概念……