青蛙小白
#Istio

istio 1.10学习笔记01: 快速部署istio

本文基于istio官方文档https://istio.io/latest/zh/docs/setup/getting-started/。 试验环境是一个3节点的k8s集群,k8s版本是1.21。 1.下载istio 到istio的发布页面https://github.com/istio/istio/releases/下载安装包,此时版本为1.10.2,下载并解压缩: wget https://github.com/istio/istio/releases/download/1.10.2/istio-1.10.2-linux-amd64.tar.gz tar -zxvf istio-1.10.2-linux-amd64.tar.gz 进入解压缩后的安装包目录: cd istio-1.10.2 tree -L 1 . ├── bin 该目录下包含客户端二进制文件istioctl ├── LICENSE ├── manifests ├── manifest.yaml ├── README.md ├── samples 该目录下包含示例的应用程序 └── tools 将istioctl添加到系统PATH环境变量:

#Containerd #Cni

重学容器18: CNI的IP地址管理插件(IPAM Plugins)

容器运行时在调用CNI插件创建容器网络时,CNI插件需要为容器网络接口分配和维护一个IP地址,并配置该网络接口所需要的路由,着给了CNI插件很大的灵活性,但也给它们带来了很大负担。 许多CNI插件需要重复编写相同的代码来支持用户可能需求的集中IP管理方案(如:dhcp, host-local)。为了减轻第三方CNI插件的编写负担,将IP管理功能独立出来,CNI规范定义了第二种插件类型 IP Address Management插件(IPAM插件)。这样,CNI插件就可以在执行过程中需要的时候直接调用相应的IPAM插件,由IPAM插件负责确定IP/子网、网关、路由并将这些信息返回到主CNI插件中。 IPAM插件可以从协议(例如DHCP)、本地文件系统存储的数据、网络配置文件中的ipam,或者以上这些方式的组合中来获取IP/子网、网关、路由等信息。

#Containerd #Cni

重学容器17: CNI网络配置详解

本节来学习CNI的网络配置。 CNI网络配置(Network Configuration) CNI的网络配置是JSON格式的,可以是存储在磁盘中的文件,也可以由容器运行时以其他方式生成。 下面是cni json配置文件中的一些重要字段: cniVersion(string): 描述cni配置遵循的cni规范版本(版本号为语义化版本,如0.4.0) name(string): 表示network name,在主机(或其他管理域)上的所有容器中应该是唯一的 type(string): 表示cni插件的可执行文件名 args(dictionary, optional): 由容器运行时提供的可选参数。例如,可以通过将标签添加到args下的标签字段,将标签字典传递给CNI插件 ipMasq(boolean, optional): 如果插件支持此字段,将为这个网络上的主机设置一个ip伪装(ip masquerade)。如果主机将充当分配给容器的子网的网管,那么这个配置字段是必须的 ipam(boolean, optional): 包含具体IPAM(IP地址管理)值的键值对 type(string) 表示ipam插件的可执行文件名,如dhscp, host-local, static dns(dictionary, optional): 包含具体DNS配置的键值对 nameservers(list of strings, optional): 一个对配置网络可见的按优先级顺序排列的dns服务器列表,列表中的每个值是一个IPV4或IPV6的字符串 domain(string, optional): 用于短主机名查找的本地域名 search(list of strings, optional): 用于短主机名查找的优先级排序搜索域列表,被大多数解析器(resolver)在解析时优先于domain options (list of strings, optional): 一组可以传递给解析器(resolver)的选项值 cni网络的JSON配置除了上面这些标准字段外,某个具体的插件还可以定义自己的附加字段,但如果配置了插件未定义的字段将会报错。args中配置的附加字段可以用来传递任意数据,如果插件不认识args中传递的字段,将会直接忽略而不会报错。

#Containerd #Cni

重学容器16: 容器网络接口CNI简介

CNI(容器网络接口)是云原生计算基金会(CNCF)的一个项目,它定义了一个规范,同时提供了一个Go语言的库(Library),用于开发在Linux容器中配置网络接口的插件,CNI项目还内置提供了一系列受支持的插件。 CNI只关心容器创建时的网络分配,以及当容器被删除时已经分配网络资源的释放。 CNI作为容器网络的标准,使得各个容器管理平台可以通过相同的接口调用各种各样的网络插件来为容器配置网络。

#Containerd

重学容器15: nerdctl创建容器时指定容器连接的网络

通过上节内容的学习,nerdctl在启动容器时连接的网络默认是bridge,除此之外还可以使用--net选项指定其他网络模式。 --network value, --net value Connect a container to a network ("bridge"|"host"|"none") (default: "bridge") 从nerdctl命令的帮助中给出了使用--net选项指定启动容器时连接的网络,默认是brdige,另外还可以选择none和host。 因为容器连接的网络是由CNI插件实现的,所以除了bridge, host, none这3个选项外,还可以指定手动添加的CNI配置。 下面分别看一下这几种不同的网络。

#Containerd

重学容器12: 使用buildkit实现容器镜像的远程构建

本节做一个实战的练习,使用buildkit完成容器镜像的远程构建,即实现本地的buildctl客户端远程请求服务器上的buildkitd完成一个容器镜像的构建并推送到镜像仓库中。 部署buildkitd服务端, 暴露为TCP服务 下面将在服务器上以二进制的形式部署服务端buildkitd,并将其gRPC API以TCP服务的形式暴露出来。 此处在部署buildkitd的时候是以具备生产环境可用为目的,为了安全性会以rootless的形式启动buildkitd,同时为gRPC Server和Client生成TLS证书,开启TLS认证以保障服务的安全。