Kubernetes - Deprecating Docker

Created2022-07-15|Cloud NativeCloud Native FoundationKubernetes

|Word Count:0|Reading Time:1mins

Author: zhongmingmao

Link: https://blog.zhongmingmao.top/2022/07/15/cloud-native-foundation-k8s-deprecating-docker/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

Cloud Native Kubernetes

Related Articles

Kubernetes - Rollout

版本使用 Pod Template Hash 作为版本号 123456789101112$ k get deployments.apps -owideNAME READY UP-TO-DATE AVAILABLE AGE CONTAINERS IMAGES SELECTORnginx-deployment 2/2 2 2 57s nginx nginx:alpine app=nginx-deployment$ k get rs -owideNAME DESIRED CURRENT READY AGE CONTAINERS IMAGES SELECTORnginx-deployment-756d6b7586 2 2 2 114s nginx nginx:alpine app=nginx-deployment,...

Kubernetes - PersistentVolume

概述PersistentVolume Pod 里的容器由镜像产生，镜像文件本身是只读的，进程要读写磁盘需要一个临时的存储空间一旦 Pod 销毁，临时存储会被立即释放，数据也就丢失了 PersistentVolume 用来表示持久存储设备，隐藏了存储的底层实现 PersistentVolume 实际是一些存储设备和文件系统，如 Ceph、GlusterFS、NFS、本地磁盘 PersistentVolume 是属于集群的系统资源，是和 Node 平级的对象，Pod 只有使用权 PersistentVolumeClaim + StorageClass PersistentVolumeClaim 和 StorageClass 是 Pod 与 PersistentVolume 之间的中间层 Pod 用 PersistentVolumeClaim 来向 Kubernetes 申请存储资源 bind：一旦资源申请成功，Kubernetes 会把 PV 和 PVC 关联在一起 StorageClass 类似于 IngressClass，抽象了特定类型的存储系统在 PVC 和 PV 之间充当协调人...

容器编排 -- 控制器模型

控制器 kube-controller-manager是一系列控制器的集合，每一种控制器都以独有的方式负责某种编排功能 1234567# cd kubernetes/pkg/controller# ls -d */apis/ cronjob/ endpoint/ history/ nodelifecycle/ replication/ storageversiongc/ util/bootstrap/ daemon/ endpointslice/ job/ podautoscaler/ resourcequota/ testutil/ volume/certificates/ deployment/ endpo...

Kubernetes - Operator

应用接入应用容器化开销风险 Log Driver Blocking mode Non-Blocking mode 共享 Kernel 共享系统参数配置进程数共享 fd 数共享主机磁盘共享资源监控应用视角容器中看到的资源是主机资源 top Java Runtime.availableProcessors() cat /proc/cpuinfo cat /proc/meminfo df -k 影响应用 Java Concurrent GC Thread Heap Size 线程数不可控判断规则查询 /proc/1/cgroup 是否包含 kubepods 关键字 12345678910111213141516171819202122232425262728293031323334$ cat /proc/1/cgroup12:cpuset:/11:devices:/init.scope10:blkio:/init.scope9:freezer:/8:net_cls,net_prio:/7:pids:/init.scope6:pe...

Kubernetes - Security

层次模型开发分发部署运行时容器运行时Non-root 在 Dockerfile 中通过 USER 命令切换成非 root 用户防止某些镜像窃取宿主的 root 权限并造成危害在某些容器运行时，容器内部的 root 用户与宿主上的 root 用户是同一个用户宿主上的重要文件被 mount 到容器内，并被容器修改配置即使在容器内部也应该权限隔离 123FROM ubuntuRUN user add AUSER A User namespace 依赖 User namespace，任何容器内部的用户都会映射为宿主上的非 root 用户默认关闭，因为会引入配置复杂性系统不知道宿主用户与容器用户的映射关系，在 mount 文件时无法设置适当的权限 Rootless container 容器运行时以非 root 身份启动即使容器被攻破，在宿主层面获得的用户权限也是非 root 用户 Docker 和其它容器运行时本身的后台 Daemon 需要以 root 身份运行，其它的用户容器才能以 rootless 身份运行某些运行时，如 Podman，没有 Daemon 进程，...

Kubernetes - Health

Resources 基于 cgroup 技术内存使用 Ki、Mi、Gi 来表示 KB、MB、GB；Kubernetes 里 vCPU 的最小使用单位为 0.001，即 m nginx-pod-resources.yaml12345678910111213141516apiVersion: v1kind: Podmetadata: name: nginx-pod-resourcesspec: containers: - name: nginx image: nginx:alpine resources: requests: cpu: 10m memory: 100Mi limits: cpu: 20m memory: 200Mi 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859$ k apply -f nginx-pod-resou...