K8s RBAC授权初探

RBAC授权体系RBAC是K8s的一种授权体系，通过角色（role、clusterrole），对象（user、group、sa），绑定关系（rolebinding、clusterrolebinding）三种定义组合去灵活描述对K8s资源的操作权限。K8s还要其他授权模式，默认是A

docker registry清理历史镜像

docker registry是docker原生的镜像仓库，搭建和使用registry非常简单和轻量，我们就用这个原生registry放产出的docker image而没有选择harbor。但是image tags不断增多，而清理历史tags的操作出现了无法真正清理的坑，我也不知

Airtest是网易游戏内部工具团队开放出来的一个自动化测试工具，AirtestIDE 是一个跨平台的UI自动化测试编辑器，适用于游戏和App。自动化脚本录制、一键回放、报告查看，轻而易举实现自动化测试流程支持基于图像识别的Airtest框架，适用于所有Android和Wi

前言Kubernetes中监控节点中的容器资源使用情况是通过cAdvisor实现的，这在1.12开始发生了变化，1.12之前kubelet集成了cAdvisor，启动kubelet默认打开4194端口就可以使用cAdvisor。但是1.12之后这个功能废弃了，kubelet不再集

最近发现DNS很不稳定，我们公司的正常域名在福建解析不出了，以前在家里路由设置的科学上网DNS也不行了（ss-tunel转发），还一度怀疑是ss的问题，折腾了两天，郁闷。。。按网上方法使用chinadns、dns-forwarder试了一下也不行。既然知道问题是DNS，那这问题必

ssl双向认证简单来说就是服务端需要认证客户端证书，客户端也需要认证服务端证书。通常应用于安全等级很高的内部系统，保证能访问系统的客户端都是授信任的。证书通常我们可以使用ca自签来颁发服务端和客户端证书，值得注意的是生成服务端签名申请（csr）中的Common Name值需要填

Kubernetes集群能保证在其上运行的各种服务、应用在不同物理节点上漂移以达到高可用的目的。但Kubernetes本身的高可用在生产环境中需要特别注意，参照官网给出的文章Building High-Availability Clusters，可以搭建一个高可用的K8s环境。下

上一篇文章记录了K8s的DNS服务kube-dns搭建的过程，其中简略提到了一点就是kube-dns可以配置特定的域使用特定的DNS服务做解析。相当于DNS中的NS记录，例如配置所有*.k8s.cn的解析都转发到169.169.0.3，下面是详细的配置。搭建DNS我选择使用d

Kubernetes的网络模型假设所有pods都处在一个可以互通的二层网络，这在GCE、AWS等云端是天然实现的。但是我们自己搭建的集群就不可能了，所以需要通过第三方的网络组件实现不同物理机上的pods网络互通。基本上开源的网络组件有Flannel、waves、Open vSwi

Kubernetes把一个实际的服务抽象为pod和service资源，pod是后端，负责处理业务逻辑，后端的pod可以有很多，有些pod可能异常被controller回收或者动态缩放，pod的ip都是动态分配的，所以需要抽象出service把pod提供的服务开放出来，这样我们就不