03 Apr 2026
5 分钟阅读
Kubernetes ExternalIPs:已知六年的安全漏洞,终于要移除了
TL;DR
Kubernetes Service 的 externalIPs 字段存在长达六年的中间人攻击漏洞(CVE-2020-8554),任何有 Service 创建权限的用户都可以劫持集群流量 –v1.36 终于启动了正式 …
云原生
24 Jan 2026
3 分钟阅读
Apple Container 0.8.0:从初生到成熟的七个月演进之路
TL;DR
2026 年 1 月 22 日,Apple Container 0.8.0 发布。距离 WWDC 2025 首次发布的 0.1.0,整整七个月,九个版本。
这七个月不仅是版本号的增长,更是一个架构理念的验证:每容器独立 VM 的 …
21 Dec 2025
2 分钟阅读
不止于网络:从 Cilium 2025年度报告,洞察云原生基础设施的六大演进
Cilium 项目始于 2015 年 12 月 16 日的第一次提交,已从一个实验性的 IPv6 容器网络项目成长为云原生世界的 CNI(容器网络接口)的事实标准。也正值 Cilium 的十周年,社区发布了 《Cilium 2025 年度报 …
30 Aug 2025
3 分钟阅读
告别代码修改:传统 VM 环境下的 OpenTelemetry 自动注入
在微服务架构中,可观测性就像是给应用装上 " 眼睛 " 和 " 耳朵 “。传统方式需要在每个服务中手动集成监控代码,而 OpenTelemetry Injector 提供了一种更优雅的解决方案。 …
16 Mar 2025
2 分钟阅读
Azure 云上 10 分钟全自动部署 K3s 集群实战
背景
在云计算与容器化技术飞速发展的今天,快速搭建可扩展的 Kubernetes 集群成为开发者的必备技能。尤其是在开发测试环境中,能够快速创建、销毁集群是提升工作效率的关键。
K3s 作为轻量级 Kubernetes 发行版,非常适合在云 …
10 Nov 2024
1 分钟阅读
探索 OpenTelemetry Profiling 进展:eBPF 代理快速上手
本文将介绍 OpenTelemetry Profiling 的进展,以及快速体验 Profiling 的 eBPF 代理。关于有 OTEL Profile 的概念和实现,将在下一篇介绍。
虽然 Profiling 进展迅速,Profile …
17 Jun 2024
3 分钟阅读
K8sGPT+Ollama:免费的 Kubernetes 自动化诊断方案
周末检查博客草稿,发现了这篇。记得当时是与 Kubernetes 自动化诊断工具:k8sgpt-operator 一起写的,算算过去了一年之久,这拖延症也算是病入膏肓了。原本想使用 K8sGPT + LocalAI 的方案,由于之前试过 …
15 May 2024
3 分钟阅读
Kubernetes Gateway API V1.1 解读
几天前,K8s Network SIG 发布了 Gateway API(简称 gwapi)的 v1.1 版本,这个版本的发布包含了多项重要功能的 GA(一般可用),以及一些实验功能的引入。这两部分分别通过标准渠道和实验渠道发布。
发布渠道 …
07 Sep 2023
2 分钟阅读
探索 Gateway API 在 Service Mesh 中的工作机制
前几天 Gateway API 宣布在 0.8.0 中支持服务网格,这意味着 GAMMA(Gateway API for Mesh Management and Administration)有了新进展,虽然目前还是实验阶段。去年 6 月 …
02 May 2023
3 分钟阅读
Kubernetes 自动化诊断工具:k8sgpt-Operator
背景
在 Kubernetes 上,从部署 Deployment 到正常提供服务,整个流程可能会出现各种各样问题,有兴趣的可以浏览 Kubernetes Deployment 的故障排查可视化指南(2021 中文版)。从可视化指南也可能看出 …
06 Apr 2023
1 分钟阅读
从单集群到多集群:Kubernetes在多云混合云环境的演进
Kubernetes 作为一项核心技术已成为现代应用程序架构的基础,越来越多的企业使用 Kubernetes 作为容器编排系统。
下面的数据来自 2020 CNCF Survey 的原始数据,可以看到使用 Kubernete 的企业占比达到 …
22 Mar 2023
6 分钟阅读
使用 EBPF 技术实现更快的网络数据包传输
在 上篇文章 用了整篇的内容来描述网络数据包在 Kubernetes 网络中的轨迹,文章末尾,我们提出了一种假设:同一个内核空间中的两个 socket 可以直接传输数据,是不是就可以省掉内核网络协议栈处理带来的延迟?
不论是同 pod 中的 …
01 Dec 2022
3 分钟阅读
Kubectl Foreach 在多个集群中执行 Kubectl 命令
上周在写 K8s 多集群的流量调度 的 demo 部分时需要不停地在多个集群中安装组件、部署应用,或者执行各种命令。当时是通过 Linux shell 脚本并通过工具 kubectx 进行集群的切换,像这样:
或者这样:
操作繁琐,很是 …
27 Nov 2022
1 分钟阅读
认识一下 Kubernetes 多集群服务 API
由于各种原因,采用 Kubernetes 的企业内部存在着几个、几十甚至上百个集群。比如处于研发流程上的考虑,不同环境下都存在独立的集群;监管层面的考虑,就地存储的用户数据需要搭配应用集群;单个集群的容量限制,无法满足业务体量;可用性要求的 …
30 Oct 2022
2 分钟阅读
一文搞懂 Kubernetes Gateway API 的 Policy Attachment
背景
在《SMI 与 Gateway API 的 GAMMA 倡议意味着什么?》的一文中,介绍过 Kubernetes Gateway API 处理东西向(网格)流量的可能性。让我们重新看下 Gateway API 中对流量定义(路由)的定 …
03 Sep 2022
3 分钟阅读
K3s 上的 Kube-Ovn 轻度体验
kube-ovn 从名字不难看出其是一款云原生的网络产品,将 SDN 等能力带入云原生领域。让 ovn/ovs 的使用更容易,屏蔽了复杂度,降低了使用的难度,并与云原生进行了结合。
借助 OVS/OVN 在 SDN 领域成熟的能力 …
28 Aug 2022
1 分钟阅读
另眼旁观 Linkerd 2.12 的发布:服务网格标准的曙光?
8 月 24 日,发明服务网格的公司 Buoyant 发布了 Linkerd 2.12,这是时隔近一年的版本发布。不知道大家的对新版本期待如何,在我来看新版本中的功能对于一年的时间来说确实不算多,但是我想说的是 Linkerd 还是那个 …
22 Jul 2022
3 分钟阅读
SMI 与 Gateway API 的 GAMMA 倡议意味着什么?
就在上周 Gateway API 发布版本 0.5.0,其中几个最重要的 CRD Gateway、GatewayClass 以及 HTTPRoute 第一次升级到了 beta 版本。升级的详细内容这里不做详谈,我也想说说的是与版本一同发布的 …
30 May 2022
1 分钟阅读
Ttl.sh:临时 Docker 镜像的匿名仓库
在平时的工作中,不知道你有没有经常需要构建容器镜像进行测试,并且不一定是在构建环境中使用镜像。这时候就需要将镜像推送到镜像仓库做中转,然后在别处拉取并运行容器。久而久之,因为忘记清理镜像仓库中的“垃圾”镜像越来越多。
当然,也可以使用类似 …
13 Apr 2022
5 分钟阅读
开放服务网格 Open Service Mesh 如何开放?
TL;DR
本文从服务网格发展现状、到 Open Service Mesh 源码,分析开放服务网格中的开放是什么以及如何开放。笔者总结其开放体现在以下几点:
- 资源提供者(Provider)接口和资源的重新封装:通过资源提供者接口抽象计算平 …
07 Mar 2022
4 分钟阅读
在 Kubernetes 集群中使用 MetalLB 作为 LoadBalancer(下)- BGP
在上一篇《在 Kubernetes 集群中使用 MetalLB 作为 LoadBalancer(上)- Layer2》中,我们使用 MetalLB 的 Layer2 模式作为 LoadBalancer 的实现,将 Kubernetes 集群 …
03 Mar 2022
3 分钟阅读
在 Kubernetes 集群中使用 MetalLB 作为 LoadBalancer(上)- Layer2
这是系列文章的上篇,下篇《在 Kubernetes 集群中使用 MetalLB 作为 LoadBalancer(下)- BGP》。
TL;DR
网络方面的知识又多又杂,很多又是系统内核的部分。原本自己不是做网络方面的,系统内核知识也薄弱。但 …
13 Feb 2022
4 分钟阅读
使用 Cilium 增强 Kubernetes 网络安全
TL;DR
在本篇,我们分别使用了 Kubernetes 原生的网络策略和 Cilium 的网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。
通过网络策略来提升 …
07 Feb 2022
2 分钟阅读
探秘 K8e:极简 Kubernetes 发行版
TL;DR
本文介绍并安装体验了极简 Kubernetes 发行版,也顺便分析学习下编译的流程。
背景
k8e 本意为 kuber easy,是一个 Kubernetes 的极简发行版,意图让云原生落地部署 Kubernetes 更轻松 …
22 Jan 2022
9 分钟阅读
追踪 Kubernetes 中的网络流量
译者注:
这篇文章很全面的罗列出了 Kubernetes 中涉及的网络知识,从 Linux 内核的网络内容,到容器、Kubernetes,一一进行了详细的说明。
文章篇幅有点长,不得不说,网络是很复杂很麻烦的一层,但恰恰这层多年来变化不大 …
18 Jan 2022
4 分钟阅读
Kubernetes HPA 基于 Prometheus 自定义指标的可控弹性伸缩
在《Kubernetes 的自动伸缩你用对了吗?》 一文中详细说明了如何使用 Kubernetes 的自动伸缩。在 Kubernetes 中弹性伸缩主要有三种:HPA、VPA、CA。本文不再详细说明,有兴趣的可以看那篇文章。这里主要来说下 …
08 Dec 2021
2 分钟阅读
策略即代码:为了 OpenPolicyAgent 学 Rego?试试 Javascript策略即代码:为了 OpenPolicyAgent 学 Rego?试试 Javascript
距离上个版本 用 Pipy 实现 OPA,已经过去快半年了。当初使用Pipy 实现了可信镜像仓库的检查,那时的版本实现起来会稍微复杂,从策略仓库到证书创建到Admission Webhook 的创建都需要大量的人工操作,配置和逻辑也还是耦合 …
07 Dec 2021
1 分钟阅读
沙盒化容器:是容器还是虚拟机沙盒化容器:是容器还是虚拟机
随着 IT 技术的发展,AI、区块链和大数据等技术提升了对应用毫秒级扩展的需求,开发人员也面临着的功能快速推出的压力。混合云是新常态,数字化转型是保持竞争力的必要条件,虚拟化成为这些挑战的基本技术。
在虚拟化的世界,有两个词耳熟能详:虚拟机 …
15 Oct 2021
1 分钟阅读
低复杂度 - 服务网格的下一站低复杂度 - 服务网格的下一站
译者:
作为一个曾经在制造业企业的基础架构团队任职,为支持公司的“互联网基因”和“数字化转型”落地了云原生基础设施平台,并在尝试采用服务网格未成的我来说,看到这篇文章深有感触。尤其是文中所说的“人少,问题多,需要快速输出价值”,直戳到了痛处 …
18 Aug 2021
3 分钟阅读
使用 Flomesh 进行 Dubbo 服务治理使用 Flomesh 进行 Dubbo 服务治理
写在最前
和上一篇《使用 Flomesh 强化 Spring Cloud 服务治理》一样,这次同样是在无代码侵入的情况下对 Dubbo 服务治理的提升。
更多治理场景陆续添加中,有兴趣的可关注 …
17 Aug 2021
6 分钟阅读
使用 Flomesh 强化 Spring Cloud 服务治理使用 Flomesh 强化 Spring Cloud 服务治理
写在最前
这篇是关于如何使用 Flomesh 服务网格来强化 Spring Cloud 的服务治理能力,降低 Spring Cloud 微服务架构落地服务网格的门槛,实现“自主可控”。
文档在 github 上持续更新,欢迎大家一起讨论 …
12 Jul 2021
2 分钟阅读
Open Policy Agent: Top 5 Kubernetes 准入控制策略
如何使用 Open Policy Agent 实现准入策略控制,可以参考这里
本文翻译自 Open Policy Agent: The Top 5 Kubernetes Admission Control Policies …
11 Jul 2021
1 分钟阅读
Kubernetes 的魔力在于企业标准化,而不是应用程序的可移植性
笔者:Kubernetes 抽象了资源和工作负载的操作模式,统一了工具集,实现人机接口的标准化。正如类 Docker 工具提供了应用运行时的操作模式;Spring Framework 提供了 Java 应用的开发模式。 …
10 Jul 2021
4 分钟阅读
使用 Open Policy Agent 实现可信镜像仓库检查
从互联网(或可信镜像仓库库以外的任何地方)拉取未知镜像会带来风险——例如恶意软件。但是还有其他很好的理由来维护单一的可信来源,例如在企业中实现可支持性。通过确保镜像仅来自受信任的镜像仓库,可以密切控制镜像库存,降低软件熵和蔓延的风险,并提高 …
26 Jun 2021
3 分钟阅读
常用的几款工具让 Kubernetes 集群上的工作更容易
之前写过一篇 介绍了工具加速云原生 Java 开发。
其实日常工作中在集群上的操作也非常多,今天就来介绍我所使用的工具。
kubectl-alias
使用频率最高的工具,我自己稍微修改了一下,加入了 StatefulSet 的支持。
这个是 …
23 Jun 2021
3 分钟阅读
Jenkins 如何与 Kubernetes 集群的 Tekton Pipeline 交互?
本文详细介绍了 Jenkins 如何通过 tekton-client-plugin 实现与 Kubernetes 上的 Tekton Pipeline 交互,包括 Kubernetes 上安装 Jenkins、Tekton …
22 Jun 2021
5 分钟阅读
云原生 CICD: Tekton Pipeline 实战31 May 2021
3 分钟阅读
初探可编程网关 Pipy
有幸参加了 Flomesh 组织的workshop,了解了他们的 Pipy 网络代理,以及围绕 Pipy 构建起来的生态。Pipy 在生态中,不止是代理的角色,还是 Flomesh 服务网格中的数据平面。
整理一下,做个记录,顺便瞄一下 …
13 May 2021
2 分钟阅读
开箱即用的 Prometheus 告警规则集开箱即用的 Prometheus 告警规则集
在配置系统监控的时候,是不是即使绞尽脑汁监控的也还是不够全面,或者不知如何获取想要的指标。
Awesome Prometheus alerts 维护了一套开箱即用的 Prometheus 告警规则集合,有 300 多个告警规则。同时,还是说 …
24 Apr 2021
3 分钟阅读
Quarkus:谁说 Java 不能用来跑 Serverless?Quarkus:谁说 Java 不能用来跑 Serverless?
想到这个标题的时候,我第一时间想到的就是星爷的《唐伯虎点秋香》的这一幕。
当讨论起世界上最好的开发语言是什么的时候,Java 的粉丝们总会遇到这种场景:
吹:“Java 语法简单,容易上手!” 黑:“Java 启动慢,性能差,耗资源!” …
19 Jan 2020
1 分钟阅读
Tekton 0.9.0 更新Tekton 0.9.0 更新
翻译整理自 What’s New in Tekton 0.9
功能及Bug修复
脚本模式
以前如果要在容器里运行个简单的 bash 脚本, 需要这么写:
- name: hello
image: ubuntu
command: [ …17 Jan 2020
1 分钟阅读
Minikube安装istioMinikube安装istio
准备
注意: istioctl的安装要使用安装里的, 不要是用homebrew里的. github issue
curl -L https://istio.io/downloadIstio | sh -
cd istio-1.4.2
cp …21 Dec 2019
3 分钟阅读
加速云原生的 Java 开发加速云原生的 Java 开发
今天来说说日常在Kubernetes开发Java项目遇到的问题.
当我们新建一个项目的时候, 总是面临需要新建manifest, 平时都是copy+paste+modify. 能否以变成的方式来生成?
开发时的步骤也比较繁琐: docker …
23 Feb 2018
1 分钟阅读
MacOS 安装 MinishiftMacOS 安装 Minishift
MacOS环境安装minishift
安装minishift cli
brew cask install minishift
使用virtualbox安装
安装的时候可以指定HTTP代理, 拉取墙外镜像时需要; 还可以指定insecure的 …
20 Aug 2017
4 分钟阅读
Kubernetes — 持久卷Kubernetes — 持久卷
Persistent Volume
介绍
管理存储是管理计算的独特问题。 PersistentVolume子系统为用户和管理员提供了一个API,其中提供了如何从如何使用存储提供存储的详细信息。为此, …
17 Aug 2017
1 分钟阅读
Kubernetes学习 — Macos安装KubernetesKubernetes学习 — Macos安装Kubernetes
Kubernetes
安装
macos
检查环境
sysctl -a | grep machdep.cpu.features | grep VMX
安装VirtualBox …
张晓辉
英文名 Addo。 资深程序员,LF APAC 开源布道师,CNCF Ambassador,微软 Azure MVP,公众号“乱世不浮生”作者。 曾任职于汇丰软件、唯品会、数人云、小鹏汽车,有多年的微服务和基础架构实践经验,主要工作涉及微服务、容器 …
进一步了解