摘要: from:https://zhangge.net/4703.html昨天，同事告訴我發現一個詭異的問題，grep無法搜索shell中的變量，著實很驚訝。到他所說的服務器上試了下，還真是不行！大概就是這樣一個要求：①、有個文本為userid.txt，里面每一行一個用戶id，類似如下：Shell1234500010003000500070009②、另外還有一個文本為record...  閱讀全文

來自： http://tonybai.com/2016/02/26/deploy-a-private-docker-registry/

安裝部署一個私有的Docker Registry是引入、學習和使用 Docker 這門技術的必經之路之一。尤其是當Docker被所在組織接受，更多人、項目和產品開始接觸和使用Docker時，存儲和分發自制的Docker image便成了剛需。Docker Registry一如既往的繼承了“Docker坑多”的特點，為此這里將自己搭建”各類”Registry過程中執行的步驟、遇到的問題記錄下來，為己備忘，為他參考。

Docker在2015年推出了 distribution 項目，即Docker Registry 2。相比于 old registry ，Registry 2使用Go實現，在安全性、性能方面均有大幅改進。Registry設計了全新的Rest API，并且在image存儲格式等方面不再兼容于old Registry。去年8月份，docker官方hub使用Registriy 2.1替代了原先的old Registry。如果你要與Registry2交互，你的Docker版本至少要是Docker 1.6。

Docker的開發者也一直在致力于改善Registry安裝和使用的體驗，通過提供 官方Registry Image以及 Docker Compose工具 等來簡化Registry的配置。不過在本文中，我們只是利用Docker以及Registry的官方Image來部署Registry，這樣更便于全面了解Registry的部署配置細節。

Registry2在鏡像存儲方面不僅支持本地盤，還支持諸多主流第三方存儲方案。通過分布式存儲系統你還可以實現一個分布式Docker Registry服務。這里僅以本地盤以及single node registry2為例。

一、環境

這里還是復用以往文章中的Docker環境：

Docker Registry Server: 10.10.105.71 Ubuntu 14.04 3.16.0-57-generic；docker 1.9.1

其他兩個工作Server：
10.10.105.72 Ubuntu 14.04 3.19.0-25-generic; docker 1.9.1
10.10.126.101 Ubuntu 12.04 3.16.7-013607-generic; docker 1.9.1

本次Registry使用當前最新stable版本:Registry 2.3.0。由于鏡像采用本地磁盤存儲，root分區較小，需要映射使用其他volume。

二、初次搭建

本以為Docker Registry的搭建是何其簡單的，甚至簡單到通過一行命令就可以完成的。比如我們在Registry Server上執行：

在~/dockerregistry下，執行：

$sudo docker run -d -p 5000:5000 -v `pwd`/data:/var/lib/registry --restart=always --name registry registry:2
Unable to find image 'registry:2' locally
2: Pulling from library/registry
f32095d4ba8a: Pull complete
9b607719a62a: Pull complete
973de4038269: Pull complete
2867140211c1: Pull complete
8da16446f5ca: Pull complete
fd8c38b8b68d: Pull complete
136640b01f02: Pull complete
e039ba1c0008: Pull complete
c457c689c328: Pull complete
Digest: sha256:339d702cf9a4b0aa665269cc36255ee7ce424412d56bee9ad8a247afe8c49ef1
Status: Downloaded newer image for registry:2
e9088ef901cb00546c59f89defa4625230f4b36b0a44b3713f38ab3d2a5a2b44

$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
registry            2                   c457c689c328        9 days ago          165.7 MB

$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED              STATUS              PORTS                    NAMES
e9088ef901cb        registry:2          "/bin/registry /etc/d"   About a minute ago   Up About a minute   0.0.0.0:5000->5000/tcp   registry

Registry container已經跑起來了，其啟動日志可以通過：docker logs registry查看。

我們在71本地給busybox:latest打一個tag，并嘗試將新tag下的image push到Registry中去：

$ docker tag busybox:latest 10.10.105.71:5000/tonybai/busybox:latest
$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
registry                            2                   c457c689c328        9 days ago          165.7 MB
busybox                             latest              65e4158d9625        9 days ago          1.114 MB
10.10.105.71:5000/tonybai/busybox   latest              65e4158d9625        9 days ago          1.114 MB
... ...

push到Registry中：

$ docker push 10.10.105.71:5000/tonybai/busybox
The push refers to a repository [10.10.105.71:5000/tonybai/busybox] (len: 1)
unable to ping registry endpoint https://10.10.105.71:5000/v0/
v2 ping attempt failed with error: Get https://10.10.105.71:5000/v2/: Tunnel or SSL Forbidden
 v1 ping attempt failed with error: Get https://10.10.105.71:5000/v1/_ping: Tunnel or SSL Forbidden

出錯了！簡單分析了一下，可能是71上docker daemon配置中加了http代理的緣故，導致無法ping通registry endpoint。于是在/etc/default/docker中注釋掉export http_proxy=”xxx”的設置，并重啟docker daemon。

再次嘗試push：

$ docker push 10.10.105.71:5000/tonybai/busybox
The push refers to a repository [10.10.105.71:5000/tonybai/busybox] (len: 1)
unable to ping registry endpoint https://10.10.105.71:5000/v0/
v2 ping attempt failed with error: Get https://10.10.105.71:5000/v2/: tls: oversized record received with length 20527
 v1 ping attempt failed with error: Get https://10.10.105.71:5000/v1/_ping: tls: oversized record received with length 20527

雖然還是失敗，但錯誤信息已有所不同了。這次看來連接是可以建立的，但client端通過https訪問server端，似乎想tls通信，但這一過程并未完成。

在其他機器上嘗試push image到registry也遇到了同樣的錯誤輸出，如下：

10.10.105.72:

$ docker push 10.10.105.71:5000/tonybai/ubuntu
The push refers to a repository [10.10.105.71:5000/tonybai/ubuntu] (len: 1)
unable to ping registry endpoint https://10.10.105.71:5000/v0/
v2 ping attempt failed with error: Get https://10.10.105.71:5000/v2/: tls: oversized record received with length 20527
 v1 ping attempt failed with error: Get https://10.10.105.71:5000/v1/_ping: tls: oversized record received with length 20527

從錯誤信息來看，client與Registry交互，默認將采用https訪問，但我們在install Registry時并未配置指定任何tls相關的key和crt文件，https訪問定然失敗。要想弄清這個問題，只能查看 Registry Manual 。

三、Insecure Registry

Registry的文檔還是相對詳盡的。在文檔中，我們找到了 Insecure Registry ，即接收plain http訪問的Registry的配置和使用方法，雖然這不是官方推薦的。

實際上對于我們內部網絡而言，Insecure Registry基本能滿足需求，部署過程也避免了secure registry的那些繁瑣步驟，比如制作和部署證書等。

為了搭建一個Insecure Registry，我們需要先清理一下上面已經啟動的Registry容器。

$ docker stop registry
registry
$ docker rm registry
registry

修改Registry server上的Docker daemon的配置，為DOCKER_OPTS增加–insecure-registry：

DOCKER_OPTS="--insecure-registry 10.10.105.71:5000 ....

重啟Docker Daemon，啟動Registry容器：

$ sudo service docker restart
docker stop/waiting
docker start/running, process 6712
$ sudo docker run -d -p 5000:5000 -v `pwd`/data:/var/lib/registry --restart=always --name registry registry:2
5966e92fce9c34705050e19368d19574e021a272ede1575385ef35ecf5cea019

嘗試再次Push image:

$ docker push 10.10.105.71:5000/tonybai/busybox
The push refers to a repository [10.10.105.71:5000/tonybai/busybox] (len: 1)
65e4158d9625: Pushed
5506dda26018: Pushed
latest: digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892 size: 2739

這回push ok！

我們將本地的tag做untag處理，再從Registry pull相關image：

$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
registry                            2                   c457c689c328        9 days ago          165.7 MB
10.10.105.71:5000/tonybai/busybox   latest              65e4158d9625        9 days ago          1.114 MB
busybox                             latest              65e4158d9625        9 days ago          1.114 MB
ubuntu                              14.04               6cc0fc2a5ee3        5 weeks ago         187.9 MB

$ docker rmi 10.10.105.71:5000/tonybai/busybox
Untagged: 10.10.105.71:5000/tonybai/busybox:latest

$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
registry            2                   c457c689c328        9 days ago          165.7 MB
busybox             latest              65e4158d9625        9 days ago          1.114 MB
ubuntu              14.04               6cc0fc2a5ee3        5 weeks ago         187.9 MB

$ docker pull 10.10.105.71:5000/tonybai/busybox
Using default tag: latest
latest: Pulling from tonybai/busybox
Digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892
Status: Downloaded newer image for 10.10.105.71:5000/tonybai/busybox:latest

$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
registry                            2                   c457c689c328        9 days ago          165.7 MB
10.10.105.71:5000/tonybai/busybox   latest              65e4158d9625        9 days ago          1.114 MB
busybox                             latest              65e4158d9625        9 days ago          1.114 MB
ubuntu                              14.04               6cc0fc2a5ee3        5 weeks ago         187.9 MB

可以看到：Pull過程也很順利。

在Private Registry2中查看或檢索Repository或images， 將不能用docker search ：

$ docker search 10.10.105.71:5000/tonybai/busybox/
Error response from daemon: Unexpected status code 404

但通過v2版本的API，我們可以實現相同目的：

$curl  http://10.10.105.71:5000/v2/_catalog
{"repositories":["tonybai/busybox"]}

$ curl  http://10.10.105.71:5000/v2/tonybai/busybox/tags/list
{"name":"tonybai/busybox","tags":["latest"]}

在其他主機上，我們嘗試pull busybox：

10.10.105.72:

$docker pull 10.10.105.71:5000/tonybai/busybox
Using default tag: latest
Error response from daemon: unable to ping registry endpoint https://10.10.105.71:5000/v0/
v2 ping attempt failed with error: Get https://10.10.105.71:5000/v2/: tls: oversized record received with length 20527
 v1 ping attempt failed with error: Get https://10.10.105.71:5000/v1/_ping: tls: oversized record received with length 20527

我們發現依舊不能pull和push！在Registry手冊中講到，如果采用insecure registry的模式，那么所有與Registry交互的主機上的Docker Daemon都要配置：–insecure-registry選項。

我們按照上面的配置方法，修改105.72上的/etc/default/docker，重啟Docker daemon，再執行pull/push就會得到正確的結果：

$ sudo vi /etc/default/docker
$ sudo service docker restart
docker stop/waiting
docker start/running, process 10614
$ docker pull 10.10.105.71:5000/tonybai/busybox
Using default tag: latest
latest: Pulling from tonybai/busybox
5506dda26018: Pull complete
65e4158d9625: Pull complete
Digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892
Status: Downloaded newer image for 10.10.105.71:5000/tonybai/busybox:latest

$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
ubuntu                              14.04               36248ae4a9ac        8 days ago          187.9 MB
10.10.105.71:5000/tonybai/ubuntu    14.04               36248ae4a9ac        8 days ago          187.9 MB
10.10.105.71:5000/tonybai/busybox   latest              65e4158d9625        9 days ago          1.114 MB

$ docker push 10.10.105.71:5000/tonybai/ubuntu
The push refers to a repository [10.10.105.71:5000/tonybai/ubuntu] (len: 1)
36248ae4a9ac: Pushed
8ea5373bf5a6: Pushed
2e0188208e83: Pushed
e3c70beaa378: Pushed
14.04: digest: sha256:72e56686cb9fb38438f0fd68fecf02ef592ce2ef7069bbf97802d959d568c5cc size: 6781

四、Secure Registry

Docker官方是推薦你采用Secure Registry的工作模式的，即transport采用tls。這樣我們就需要為Registry配置tls所需的key和crt文件了。

我們首先清理一下環境，將上面的Insecure Registry停掉并rm掉；將各臺主機上Docker Daemon的DOCKER_OPTS配置中的–insecure-registry去掉，并重啟Docker Daemon。

如果你擁有一個域名，域名下主機提供Registry服務，并且你擁有某知名CA簽署的證書文件，那么你可以建立起一個Secure Registry。不過我這里沒有現成的證書，只能使用自簽署的證書。嚴格來講，使用自簽署的證書在Docker官方眼中依舊屬于Insecure，不過這里只是借助自簽署的證書來說明一下Secure Registry的部署步驟罷了。

1、制作自簽署證書

如果你有知名CA簽署的證書，那么這步可直接忽略。

$ openssl req -newkey rsa:2048 -nodes -sha256 -keyout certs/domain.key -x509 -days 365 -out certs/domain.crt
Generating a 2048 bit RSA private key
..............+++
............................................+++
writing new private key to 'certs/domain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Liaoning
Locality Name (eg, city) []:shenyang
Organization Name (eg, company) [Internet Widgits Pty Ltd]:foo
Organizational Unit Name (eg, section) []:bar
Common Name (e.g. server FQDN or YOUR name) []:mydockerhub.com
Email Address []:bigwhite.cn@gmail.com

2、啟動Secure Registry

啟動帶證書的Registry：

$ docker run -d -p 5000:5000 --restart=always --name registry \
  -v `pwd`/data:/var/lib/registry \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry:2
35e8ce77dd455f2bd50854e4581cd52be8a137f4aaea717239b6d676c5ea5777

由于證書的CN是mydockerhub.com，我們需要修改一下/etc/hosts文件:

10.10.105.71 mydockerhub.com

重新為busybox制作一個tag:

$docker tag busybox:latest mydockerhub.com:5000/tonybai/busybox:latest

Push到Registry:

$ docker push mydockerhub.com:5000/tonybai/busybox
The push refers to a repository [mydockerhub.com:5000/tonybai/busybox] (len: 1)
unable to ping registry endpoint https://mydockerhub.com:5000/v0/
v2 ping attempt failed with error: Get https://mydockerhub.com:5000/v2/: x509: certificate signed by unknown authority
 v1 ping attempt failed with error: Get https://mydockerhub.com:5000/v1/_ping: x509: certificate signed by unknown authority

push失敗了！從錯誤日志來看，docker client認為server傳輸過來的證書的簽署方是一個unknown authority（未知的CA），因此驗證失敗。我們需要讓docker client安裝我們的CA證書：

$ sudo mkdir -p /etc/docker/certs.d/mydockerhub.com:5000
$ sudo cp certs/domain.crt /etc/docker/certs.d/mydockerhub.com:5000/ca.crt
$ sudo service docker restart //安裝證書后，重啟Docker Daemon

再執行Push，我們看到了成功的輸出日志。由于data目錄下之前已經被push了tonybai/busybox repository，因此提示“已存在”：

$docker push mydockerhub.com:5000/tonybai/busybox
The push refers to a repository [mydockerhub.com:5000/tonybai/busybox] (len: 1)
65e4158d9625: Image already exists
5506dda26018: Image already exists
latest: digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892 size: 2739

3、外部訪問Registry

我們換其他機器試試訪問這個secure registry。根據之前的要求，我們照貓畫虎的修改一下hosts文件，安裝ca.cert，去除–insecure-registry選項，并重啟Docker daemon。之后嘗試從registry pull image：

$ docker pull mydockerhub.com:5000/tonybai/busybox
Using default tag: latest
latest: Pulling from tonybai/busybox

Digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892
Status: Downloaded newer image for mydockerhub.com:5000/tonybai/busybox:latest

$ docker images
REPOSITORY                             TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
10.10.105.71:5000/tonybai/ubuntu       14.04               36248ae4a9ac        9 days ago          187.9 MB
ubuntu                                 14.04               36248ae4a9ac        9 days ago          187.9 MB
10.10.105.71:5000/tonybai/busybox      latest              65e4158d9625        9 days ago          1.114 MB
mydockerhub.com:5000/tonybai/busybox   latest              65e4158d9625        9 days ago          1.114 MB

這樣來看，如果使用自簽署的證書，那么所有要與Registry交互的Docker主機都需要安裝mydockerhub.com的ca.crt(domain.crt)。但如果你使用知名CA，這一步也就可以忽略。

五、Registry的鑒權管理

Registry提供了一種基礎的鑒權方式。我們通過下面步驟即可為Registry加上基礎鑒權：

在Register server上，為Registry增加foo用戶，密碼foo123：（之前需要停掉已有的Registry，并刪除之）

//生成鑒權密碼文件
$ mkdir auth
$ docker run --entrypoint htpasswd registry:2 -Bbn foo foo123  > auth/htpasswd
$ ls auth
htpasswd

//啟動帶鑒權功能的Registry：
$ docker run -d -p 5000:5000 --restart=always --name registry \
   -v `pwd`/auth:/auth \
   -e "REGISTRY_AUTH=htpasswd" \
   -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
   -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
   -v `pwd`/data:/var/lib/registry \
   -v `pwd`/certs:/certs \
   -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
   -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
   registry:2
199ad0b3591fb9613b21b1c96f017267f3c39661a7025d30df636c6805e7ab50

在105.72上，我們嘗試push image到Registry：

$ docker push mydockerhub.com:5000/tonybai/busybox
The push refers to a repository [mydockerhub.com:5000/tonybai/busybox] (len: 1)
65e4158d9625: Image push failed
Head https://mydockerhub.com:5000/v2/tonybai/busybox/blobs/sha256:a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d00e8a7c22955b46d4: no basic auth credentials

錯誤信息提示：鑒權失敗。

在72上執行docker login:

$docker login mydockerhub.com:5000
Username: foo
Password:
Email: bigwhite.cn@gmail.com
WARNING: login credentials saved in /home/baiming/.docker/config.json
Login Succeeded

login成功后，再行Push：

$ docker push mydockerhub.com:5000/tonybai/busybox
The push refers to a repository [mydockerhub.com:5000/tonybai/busybox] (len: 1)
65e4158d9625: Image already exists
5506dda26018: Image already exists
latest: digest: sha256:800f2d4558acd67f52262fbe170c9fc2e67efaa6f230a74b41b555e6fcca2892 size: 2739

Push ok！

六、Registry中images的管理

前面提到過，通過V2版Rest API可以查詢Repository和images：

$ curl --cacert domain.crt  --basic --user foo:foo123 https://mydockerhub.com:5000/v2/_catalog
{"repositories":["tonybai/busybox","tonybai/ubuntu"]}

但如果要刪除Registry中的Repository或某個tag的Image，目前v2還不支持，原因見 Registry的roadmap中的說明 。

不過如果你的Registry的存儲引擎使用的是本地盤，倒是有一些第三方腳本可供使用，比如：delete-docker-registry-image 。

七、小結

Registry2發布不到1年，目前還有許多問題待解決，就比如delete image的問題，相信在2.4以及后續版本這些問題會被逐個解決掉或能找到一個相對理想的方案。

from:http://www.infoq.com/cn/articles/centos7-practical-kubernetes-deployment

. 前言

上一節我們闡述了Kubernetes的系統架構，讓大家對Kubernetes有一定的初步了解，但是就如何使用Kubernetes， 也許大家還不知如何下手。本文作者將帶領大家如何在本地部署、配置Kubernetes集群網絡環境以及通過實例演示跨機器服務間的通信，主要包括如下內容：

• 部署環境介紹
• Kubernetes集群邏輯架構
• 部署Open vSwitch、Kubernetes、Etcd組件
• 演示Kubernetes管理容器

2. 部署環境

• VMware Workstation：10.0.3
• VMware Workstation網絡模式：NAT
• 操作系統信息：CentOS 7 64位
• Open vSwitch版本信息：2.3.0
• Kubernetes版本信息：0.5.2
• Etcd版本信息：0.4.6
• Docker版本信息：1.3.1

• 服務器信息:

          | Role      | Hostname   | IP Address  | 	|:---------:|:----------:|:----------: | 	|APIServer  |kubernetes  |192.168.230.3| 	|Minion     | minion1    |192.168.230.4| 	|Minion     | minion2    |192.168.230.5|

3. Kubernetes集群邏輯架構

在詳細介紹部署Kubernetes集群前，先給大家展示下集群的邏輯架構。從下圖可知，整個系統分為兩部分，第一部分是Kubernetes APIServer，是整個系統的核心，承擔集群中所有容器的管理工作；第二部分是minion，運行Container Daemon，是所有容器棲息之地，同時在minion上運行Open vSwitch程序，通過GRE Tunnel負責minion之間Pod的網絡通信工作。

4. 部署Open vSwitch、Kubernetes、Etcd組件

4.1 安裝Open vSwitch及配置GRE

為了解決跨minion之間Pod的通信問題，我們在每個minion上安裝Open vSwtich，并使用GRE或者VxLAN使得跨機器之間Pod能相互通信，本文使用GRE，而VxLAN通常用在需要隔離的大規模網絡中。對于Open vSwitch的具體安裝步驟，可參考這篇博客，我們在這里就不再詳細介紹安裝步驟了。安裝完Open vSwitch后，接下來便建立minion1和minion2之間的隧道。首先在minion1和minion2上建立OVS Bridge,

[root@minion1 ~]# ovs-vsctl add-br obr0 

接下來建立gre，并將新建的gre0添加到obr0，在minion1上執行如下命令，

[root@minion1 ~]# ovs-vsctl add-port obr0 gre0 -- set Interface gre0 type=gre options:remote_ip=192.168.230.5 

在minion2上執行,

[root@minion2 ~]# ovs-vsctl add-port obr0 gre0 -- set Interface gre0 type=gre options:remote_ip=192.168.230.4 

至此，minion1和minion2之間的隧道已經建立。然后我們在minion1和minion2上創建Linux網橋kbr0替代Docker默認的docker0（我們假設minion1和minion2都已安裝Docker），設置minion1的kbr0的地址為172.17.1.1/24， minion2的kbr0的地址為172.17.2.1/24，并添加obr0為kbr0的接口，以下命令在minion1和minion2上執行。

[root@minion1 ~]# brctl addbr kbr0               //創建linux bridge [root@minion1 ~]# brctl addif kbr0 obr0          //添加obr0為kbr0的接口 [root@minion1 ~]# ip link set dev docker0 down   //設置docker0為down狀態 [root@minion1 ~]# ip link del dev docker0        //刪除docker0 

為了使新建的kbr0在每次系統重啟后任然有效，我們在/etc/sysconfig/network-scripts/目錄下新建minion1的ifcfg-kbr0如下：

DEVICE=kbr0 ONBOOT=yes BOOTPROTO=static IPADDR=172.17.1.1 NETMASK=255.255.255.0 GATEWAY=172.17.1.0 USERCTL=no TYPE=Bridge IPV6INIT=no 

同樣在minion2上新建ifcfg-kbr0，只需修改ipaddr為172.17.2.1和gateway為172.17.2.0即可，然后執行systemctl restart network重啟系統網絡服務，你能在minion1和minion2上發現kbr0都設置了相應的IP地址。為了驗證我們創建的隧道是否能通信，我們在minion1和minion2上相互ping對方kbr0的IP地址，從下面的結果發現是不通的，經查找這是因為在minion1和minion2上缺少訪問172.17.1.1和172.17.2.1的路由，因此我們需要添加路由保證彼此之間能通信。

[root@minion1 network-scripts]# ping 172.17.2.1 PING 172.17.2.1 (172.17.2.1) 56(84) bytes of data. ^C --- 172.17.2.1 ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 1000ms  [root@minion2 ~]#  ping 172.17.1.1 PING 172.17.1.1 (172.17.1.1) 56(84) bytes of data. ^C --- 172.17.1.1 ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 1000ms 

由于通過ip route add添加的路由會在下次系統重啟后失效，為此我們在/etc/sysconfig/network-scripts目錄下新建一個文件route-eth0存儲路由，這里需要注意的是route-eth0和ifcfg-eth0的黑體部分必須保持一致，否則不能工作，這樣添加的路由在下次重啟后不會失效。為了保證兩臺minion的kbr0能相互通信，我們在minion1的route-eth0里添加路由172.17.2.0/24 via 192.168.230.5 dev eno16777736，eno16777736是minion1的網卡，同樣在minion2的route-eth0里添加路由172.17.1.0/24 via 192.168.230.4 dev eno16777736。重啟網絡服務后再次驗證，彼此kbr0的地址可以ping通，如：

[root@minion2 network-scripts]# ping 172.17.1.1 PING 172.17.1.1 (172.17.1.1) 56(84) bytes of data. 64 bytes from 172.17.1.1: icmp_seq=1 ttl=64 time=2.49 ms 64 bytes from 172.17.1.1: icmp_seq=2 ttl=64 time=0.512 ms ^C --- 172.17.1.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 0.512/1.505/2.498/0.993 ms 

到現在我們已經建立了兩minion之間的隧道，而且能正確的工作。下面我們將介紹如何安裝Kubernetes APIServer及kubelet、proxy等服務。

4.2 安裝Kubernetes APIServer

在安裝APIServer之前，我們先下載Kubernetes及Etcd，做一些準備工作。在kubernetes上的具體操作如下：

[root@kubernetes ~]# mkdir /tmp/kubernetes [root@kubernetes ~]# cd /tmp/kubernetes/ [root@kubernetes kubernetes]# wget https://github.com/GoogleCloudPlatform/kubernetes/releases/download/v0.5.2/kubernetes.tar.gz [root@kubernetes kubernetes]# wget https://github.com/coreos/etcd/releases/download/v0.4.6/etcd-v0.4.6-linux-amd64.tar.gz 

然后解壓下載的kubernetes和etcd包，并在kubernetes、minion1、minion2上創建目錄/opt/kubernetes/bin，

[root@kubernetes kubernetes]# mkdir -p /opt/kubernetes/bin [root@kubernetes kubernetes]# tar xf kubernetes.tar.gz [root@kubernetes kubernetes]# tar xf etcd-v0.4.6-linux-amd64.tar.gz [root@kubernetes kubernetes]# cd ~/kubernetes/server [root@kubernetes server]# tar xf kubernetes-server-linux-amd64.tar.gz [root@kubernetes kubernetes]# /tmp/kubernetes/kubernetes/server/kubernetes/server/bin 

復制kube-apiserver，kube-controller-manager，kube-scheduler，kubecfg到kubernetes的/opt/kubernetes/bin目錄下，而kubelet，kube-proxy則復制到minion1和minion2的/opt/kubernetes/bin，并確保都是可執行的。

[root@kubernetes amd64]# cp kube-apiserver kube-controller-manager kubecfg kube-scheduler /opt/kubernetes/bin [root@kubernetes amd64]# scp kube-proxy kubelet root@192.168.230.4:/opt/kubernetes/bin [root@kubernetes amd64]# scp kube-proxy kubelet root@192.168.230.5:/opt/kubernetes/bin 

為了簡單我們只部署一臺etcd服務器，如果需要部署etcd的集群，請參考官方文檔，在本文中將其跟Kubernetes APIServer部署同一臺機器上，而且將etcd放置在/opt/kubernetes/bin下，etcdctl跟ectd同一目錄。

[root@kubernetes kubernetes]# cd /tmp/kubernetes/etcd-v0.4.6-linux-amd64 [root@kubernetes etcd-v0.4.6-linux-amd64]# cp etcd etcdctl /opt/kubernetes/bin 

需注意的是kubernetes和minion上/opt/kubernetes/bin目錄下的文件都必須是可執行的。到目前，我們準備工作已經差不多，現在開始給apiserver，controller-manager，scheduler，etcd配置unit文件。首先我們用如下腳本etcd.sh配置etcd的unit文件，

#!/bin/sh  ETCD_PEER_ADDR=192.168.230.3:7001 ETCD_ADDR=192.168.230.3:4001 ETCD_DATA_DIR=/var/lib/etcd ETCD_NAME=kubernetes  ! test -d $ETCD_DATA_DIR && mkdir -p $ETCD_DATA_DIR cat <<EOF >/usr/lib/systemd/system/etcd.service [Unit] Description=Etcd Server  [Service] ExecStart=/opt/kubernetes/bin/etcd \\     -peer-addr=$ETCD_PEER_ADDR \\     -addr=$ETCD_ADDR \\     -data-dir=$ETCD_DATA_DIR \\     -name=$ETCD_NAME \\     -bind-addr=0.0.0.0  [Install] WantedBy=multi-user.target EOF  systemctl daemon-reload systemctl enable etcd systemctl start etcd 

對剩下的apiserver,controller-manager,scheduler的unit文件配置的腳本，可以在github 上GetStartingKubernetes找到，在此就不一一列舉。運行相應的腳本后，在APIServer上etcd, apiserver, controller-manager, scheduler服務就能正常運行。

4.3 安裝Kubernetes Kubelet及Proxy

根據Kubernetes的設計架構，需要在minion上部署docker, kubelet, kube-proxy，在4.2節部署APIServer時，我們已經將kubelet和kube-proxy已經分發到兩minion上，所以只需配置docker,kubelet,proxy的unit文件，然后啟動服務就即可，具體配置見GetStartingKubernetes。

5. 演示Kubernetes管理容器

為了方便，我們使用Kubernetes提供的例子Guestbook來演示Kubernetes管理跨機器運行的容器，下面我們根據Guestbook的步驟創建容器及服務。在下面的過程中如果是第一次操作，可能會有一定的等待時間，狀態處于pending，這是因為第一次下載images需要一段時間。

5.1 創建redis-master Pod和redis-master服務

[root@kubernetes ~]# cd /tmp/kubernetes/kubernetes/examples/guestbook [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c redis-master.json create pods [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c redis-master-service.json create services 

完成上面的操作后，我們可以看到如下redis-master Pod被調度到192.168.230.4。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list pods Name                                   Image(s)                   Host                Labels                                       Status ----------                             ----------                 ----------          ----------                                   ---------- redis-master                           dockerfile/redis           192.168.230.4/      name=redis-master                            Running 

但除了發現redis-master的服務之外，還有兩個Kubernetes系統默認的服務kubernetes-ro和kubernetes。而且我們可以看到每個服務都有一個服務IP及相應的端口，對于服務IP，是一個虛擬地址，根據apiserver的portal_net選項設置的CIDR表示的IP地址段來選取，在我們的集群中設置為10.10.10.0/24。為此每新創建一個服務，apiserver都會在這個地址段中隨機選擇一個IP作為該服務的IP地址，而端口是事先確定的。對redis-master服務，其服務地址為10.10.10.206，端口為6379。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list services Name                Labels              Selector                                  IP                  Port ----------          ----------          ----------                                ----------          ---------- kubernetes-ro                           component=apiserver,provider=kubernetes   10.10.10.207        80 redis-master        name=redis-master   name=redis-master                         10.10.10.206        6379 kubernetes                              component=apiserver,provider=kubernetes   10.10.10.161        443 

5.2 創建redis-slave Pod和redis-slave服務

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c redis-slave-controller.json create replicationControllers [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c redis-slave-service.json create services 

然后通過list命令可知新建的redis-slave Pod根據調度算法調度到兩臺minion上，服務IP為10.10.10.92，端口為6379

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list pods Name                                   Image(s)                   Host                Labels                                       Status ----------                             ----------                 ----------          ----------                                   ---------- redis-master                           dockerfile/redis           192.168.230.4/      name=redis-master                            Running 8c0ddbda-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.5/      name=redisslave,uses=redis-master            Running 8c0e1430-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.4/      name=redisslave,uses=redis-master            Running  [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list services Name                Labels              Selector                                  IP                  Port ----------          ----------          ----------                                ----------          ---------- redisslave          name=redisslave     name=redisslave                           10.10.10.92         6379 kubernetes                              component=apiserver,provider=kubernetes   10.10.10.161        443 kubernetes-ro                           component=apiserver,provider=kubernetes   10.10.10.207        80 redis-master        name=redis-master   name=redis-master                         10.10.10.206        6379 

5.3 創建Frontend Pod和Frontend服務

在創建之前修改frontend-controller.json的Replicas數量為2，這是因為我們的集群中只有2臺minion，如果按照frontend-controller.json的Replicas默認值3，那會導致有2個Pod會調度到同一臺minion上，產生端口沖突，有一個Pod會一直處于pending狀態，不能被調度。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c frontend-controller.json create replicationControllers [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 -c frontend-service.json create services 

通過查看可知Frontend Pod也被調度到兩臺minion，服務IP為10.10.10.220，端口是80。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list pods Name                                   Image(s)                   Host                Labels                                       Status ----------                             ----------                 ----------          ----------                                   ---------- redis-master                           dockerfile/redis           192.168.230.4/      name=redis-master                            Running 8c0ddbda-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.5/      name=redisslave,uses=redis-master            Running 8c0e1430-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.4/      name=redisslave,uses=redis-master            Running a880b119-7295-11e4-8233-000c297db206   brendanburns/php-redis     192.168.230.4/      name=frontend,uses=redisslave,redis-master   Running a881674d-7295-11e4-8233-000c297db206   brendanburns/php-redis     192.168.230.5/      name=frontend,uses=redisslave,redis-master   Running  [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list services Name                Labels              Selector                                  IP                  Port ----------          ----------          ----------                                ----------          ---------- kubernetes-ro                           component=apiserver,provider=kubernetes   10.10.10.207        80 redis-master        name=redis-master   name=redis-master                         10.10.10.206        6379 redisslave          name=redisslave     name=redisslave                           10.10.10.92         6379 frontend            name=frontend       name=frontend                             10.10.10.220        80 kubernetes                              component=apiserver,provider=kubernetes   10.10.10.161        443 

除此之外，你可以刪除Pod、Service及更新ReplicationController的Replicas數量等操作，如刪除Frontend服務：

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 delete services/frontend Status ---------- Success 

還可以更新ReplicationController的Replicas的數量，下面是更新Replicas之前ReplicationController的信息。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list replicationControllers Name                   Image(s)                   Selector            Replicas ----------             ----------                 ----------          ---------- redisSlaveController   brendanburns/redis-slave   name=redisslave     2 frontendController     brendanburns/php-redis     name=frontend       2 

現在我們想把frontendController的Replicas更新為1，則這行如下命令，然后再通過上面的命令查看frontendController信息，發現Replicas已變為1。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 resize frontendController 1  [root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list replicationControllers Name                   Image(s)                   Selector            Replicas ----------             ----------                 ----------          ---------- redisSlaveController   brendanburns/redis-slave   name=redisslave     2 frontendController     brendanburns/php-redis     name=frontend       1 

5.4 演示跨機器服務通信

完成上面的操作后，我們來看當前Kubernetes集群中運行著的Pod信息。

[root@kubernetes guestbook]# kubecfg -h http://192.168.230.3:8080 list pods Name                                   Image(s)                   Host                Labels                                       Status ----------                             ----------                 ----------          ----------                                   ---------- a881674d-7295-11e4-8233-000c297db206   brendanburns/php-redis     192.168.230.5/      name=frontend,uses=redisslave,redis-master   Running redis-master                           dockerfile/redis           192.168.230.4/      name=redis-master                            Running 8c0ddbda-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.5/      name=redisslave,uses=redis-master            Running 8c0e1430-728c-11e4-8233-000c297db206   brendanburns/redis-slave   192.168.230.4/      name=redisslave,uses=redis-master            Running 

通過上面的結果可知當前提供前端服務的PHP和提供數據存儲的后端服務Redis master的Pod分別運行在192.168.230.5和192.168.230.4上，即容器運行在不同主機上，還有Redis slave也運行在兩臺不同的主機上，它會從Redis master同步前端寫入Redis master的數據。下面我們從兩方面驗證Kubernetes能提供跨機器間容器的通信：

• 在瀏覽器打開http://${IPAddress}:8000，IPAddress為PHP容器運行的minion的IP地址，其暴漏的端口為8000，這里IP_Address為192.168.230.5。打開瀏覽器會顯示如下信息：

  

  你可以輸入信息并提交，如"Hello Kubernetes"、"Container"，然后Submit按鈕下方會顯示你輸入的信息。

  

  由于前端PHP容器和后端Redis master容器分別在兩臺minion上，因此PHP在訪問Redis master服務時一定得跨機器通信，可見Kubernetes的實現方式避免了用link只能在同一主機上實現容器間通信的缺陷，對于Kubernetes跨機器通信的實現方法，以后我會詳細介紹。

   

• 從上面的結果，可得知已經實現了跨機器的通信，現在我們從后端數據層驗證不同機器容器間的通信。根據上面的輸出結果發現Redis slave和Redis master分別調度到兩臺不同的minion上，在192.168.230.4主機上執行docker exec -ti c41711cc8971 /bin/sh，c41711cc8971是Redis master的容器ID，進入容器后通過redis-cli命令查看從瀏覽器輸入的信息如下：

  

  如果我們在192.168.230.5上運行的Redis slave容器里查到跟Redis master容器里相同的信息，那說明Redis master和Redis slave之間的數據同步正常工作，下面是從192.168.230.5上運行的Redis slave容器查詢到的信息：

  

  由此可見Redis master和Redis slave之間數據同步正常，OVS GRE隧道技術使得跨機器間容器正常通信。

6. 結論

本文主要介紹如何在本地環境部署Kubernetes集群和演示如何通過Kubernetes管理集群中運行的容器，并通過OVS管理集群不同minion的Pod之間的網絡通信。接下來會對Kubernetes各個組件源碼進行詳細分析，闡述Kubernetes的工作原理。

7. 個人簡介

楊章顯，現就職于Cisco，主要從事WebEx SaaS服務運維，系統性能分析等工作。特別關注云計算，自動化運維，部署等技術，尤其是Go、OpenvSwitch、Docker及其生態圈技術，如Kubernetes、Flocker等Docker相關開源項目。Email: yangzhangxian@gmail.com

8. 參考資料

1. https://n40lab.wordpress.com/2014/09/04/openvswitch-2-3-0-lts-and-centos-7/
2. https://github.com/GoogleCloudPlatform/kubernetes/tree/master/examples/guestbook

---

感謝郭蕾對本文的策劃和審校。

from:http://blog.csdn.net/linuxgo/article/details/52121125

加快Kubernetes編譯速度

除了Linux/amd64，默認還會為其他平臺做交叉編譯。為了減少編譯時間，可以修改hack/lib/golang.sh，把KUBE_SERVER_PLATFORMS， KUBE_CLIENT_PLATFORMS和KUBE_TEST_PLATFORMS中除linux/amd64以外的其他平臺注釋掉

gcr.io無法訪問

Kubernetes在創建Pod的時候，需要從gcr.io下載一個helper鏡像（目前是 gcr.io/google_containers/pause-amd64:3.0 ）。

但是目前國內無法訪問gcr.io，這個問題會導致無法下載該鏡像，然后Pod一直處于ContainerCreating狀態。

解決辦法

1) 在可以訪問gcr.io的地方

docker pull gcr.io/google_containers/pause-amd64:3.0

傳到私有docker registry

docker tag gcr.io/google_containers/pause-amd64:3.0 k8s-docker.mydomain.com/google_containers/pause-amd64:3.0

docker push k8s-docker.mydomain.com/google_containers/pause-amd64:3.0

2) 在所有的k8s節點

docker pull k8s-docker.mydomain.com/google_containers/pause-amd64:3.0
docker tag k8s-docker.mydomain.com/google_containers/pause-amd64:3.0 gcr.io/google_containers/pause-amd64:3.0

Note

不通過私有registry中轉，而是使用Docker save/load應該也可以，只是要把save導出的文件復制到所有節點.

如何從集群外訪問Service和Pod

這里說的集群外是指K8s集群以外的主機，比如使用nginx/HAProxy搭建的負載均衡主機。這些主機跟K8s集群部署在一起，到K8s網絡可達。

對于不是部署在GCE以及AWS等云平臺的K8s，我們一般需要自己搭建負載均衡，然后分發請求到到Service。

使用NodePort方式發布服務，那么負載均衡主機上不需要額外配置；使用ClusterIP方式，為了能夠訪問Service的ClusterIP， 需要在這些主機上安裝Flanneld和kube-proxy

     摘要: from:http://blog.csdn.net/fenglibing/article/details/6321453這是我公司同事的GC學習筆記，寫得蠻詳細的，由淺入深，循序漸進，讓人一看就懂，特轉到這里。一、GC特性以及各種GC的選擇1、垃圾回收器的特性2、對垃圾回收器的選擇2.1 連續 VS. 并行2.2 并發 VS. stop-...  閱讀全文

     摘要: from:http://www.tuicool.com/articles/RNjUfa原文  http://286.iteye.com/blog/1924947主題 JVM        -XX 參數被稱為不穩定參數，之所以這么叫是因為此類參數的設置很容易引起JVM 性能上的差異，使JVM 存在極大...  閱讀全文

     摘要: from:http://www.cnblogs.com/redcreen/archive/2011/05/04/2037057.html不管是YGC還是Full GC,GC過程中都會對導致程序運行中中斷,正確的選擇不同的GC策略,調整JVM、GC的參數，可以極大的減少由于GC工作，而導致的程序運行中斷方面的問題，進而適當的提高Java程序的工作效率。但是調整GC是以個極為復雜的過程，由于各個程序具...  閱讀全文

from:http://www.oschina.net/news/74775/open-source-database-situation

from:https://linux.cn/article-2871-1.html

如果你想在命令行界面監控網絡吞吐量，nload 應用程序是個不錯的選擇。它是一個實時監控網絡流量和帶寬使用的控制臺應用程序，使用兩個圖表可視化地展示接收和發送的流量，并提供諸如數據交換總量、最小/最大網絡帶寬使用量等附加信息。

安裝

在 CentOS/RHEL/Red Hat/Fedora Linux 上安裝 nload

首先在 CentOS 或者基于 RHEL 的操作系統上啟用 EPEL 倉庫，然后鍵入 yum 命令安裝 nload：

# yum install nload

在 Debian 或者 Ubuntu Linux 上安裝 nload

鍵入 apt-get 命令：

$ sudo apt-get install nload

在 FreeBSD 操作系統上安裝 nload

通過 port 安裝 nload，鍵入：

# cd /usr/ports/net/nload/ && make install clean

或者添加包

# pkg install net/nload

在 OpenBSD 操作系統上安裝 nload

鍵入下列命令：

$ sudo pkg_add -i nload

在類 Unix 操作系統上從源代碼安裝 nload

首先，使用 wget 或者 curl 命令獲取源代碼：

$ cd /tmp
$ wget http://www.roland-riegel.de/nload/nload-0.7.4.tar.gz

使用 tar 命令解壓縮名為 nload-0.7.4.tar.gz 的 tar 包，鍵入：

$ tar xvf nload-0.7.4.tar.gz

使用 cd 命令進入 nload 源代碼所在目錄：

$ cd nload*

然后鍵入 ./configure 為你的操作系統配置安裝包：

$ sh ./configure

或者

$ ./configure

運行 configure 命令需要一點時間。完成后，使用 make 命令編譯 nload：

$ make

最后，鍵入 make install 命令以 root 用戶身份安裝 nload 應用程序和相關文件：

$ sudo make install

或者

# make install

使用

如何使用 nload 顯示當前網絡使用量呢？

基本語法是：

nload
nload device
nload [options] device1 device2

鍵入下列命令：

$ nload
$ nload eth0
$ nload em0 em2

會得到輸出：

圖01: 使用 nload 命令

操控 nload 應用程序

nload 命令一旦執行就會開始監控網絡設備，你可以使用下列快捷鍵操控 nload 應用程序。

1. 你可以按鍵盤上的 ← → 或者 Enter/Tab 鍵在設備間切換。
2. 按 F2 顯示選項窗口。
3. 按 F5 將當前設置保存到用戶配置文件。
4. 按 F6 從配置文件重新加載設置。
5. 按 q 或者 Ctrl+C 退出 nload。

設置顯示刷新間隔

默認每 100 毫秒刷新一次顯示數值，下面的例子將時間間隔設置成 500 毫秒：

$ nload -t {interval_number_in_millisec}
$ nload -t 500

輸出：

Animated gif 01 - nload command in action

GIF 動畫 01 - 使用 nload 命令

設置流量數值顯示的單位

語法如下：

$ nload -u h|H|b|B|k|K|m|M|g|G
$ nload -U h|H|b|B|k|K|m|M|g|G
$ nload -u h
$ nload -u G
$ nload -U G

釋義：

• 小寫選項 -u: h 意為自動格式化為人類易讀的單位，b 意為 Bit/s，k 意為 kBit/s，m 意為 MBit/s，g 意為 GBit/s。大寫字母意為使用 Byte 替代 Bit。默認為 k。
• 大寫選項 -U 與小寫選項 -u 非常相似，不同之處在于它展示的是數據量，比如 Bit, kByte, GBit 等等。（沒有 "/s"）。默認值是 M。

結論

我覺得 nload 是一個穩定可靠的應用程序，如果你喜歡 nload，你可能也想試試 Linux 和其他類 Unix 操作系統環境下的 vnstat 與 iftop 工具。

---

譯自: http://www.cyberciti.biz/networking/nload-linux-command-to-monitor-network-traffic-bandwidth-usage/