dd

Author: wangyazhou

.obsidian/app.json

@@ -3,5 +3,12 @@
   "attachmentFolderPath": "./attachments",
   "livePreview": true,
   "showLineNumber": false,
-  "readableLineLength": false
+  "readableLineLength": false,
+  "pdfExportSettings": {
+    "includeName": true,
+    "pageSize": "Letter",
+    "landscape": false,
+    "margin": "0",
+    "downscalePercent": 100
+  }
 }

.obsidian/workspace.json

@@ -62,23 +62,9 @@
               "icon": "lucide-file",
               "title": "架构设计"
             }
-          },
-          {
-            "id": "6e41c4bae6d0bed8",
-            "type": "leaf",
-            "state": {
-              "type": "markdown",
-              "state": {
-                "file": "架构/架构设计.md",
-                "mode": "source",
-                "source": false
-              },
-              "icon": "lucide-file",
-              "title": "架构设计"
-            }
           }
         ],
-        "currentTab": 4
+        "currentTab": 3
       }
     ],
     "direction": "vertical"
@@ -226,14 +212,15 @@
       "obsidian-excalidraw-plugin:新建绘图文件": false
     }
   },
-  "active": "6e41c4bae6d0bed8",
+  "active": "420f6196d6d3217b",
   "lastOpenFiles": [
-    "架构/架构设计模板.md",
-    "架构/架构设计.md",
     "middleware/nginx.md",
+    "middleware/redis.md",
+    "k8s/kubernetes.md",
+    "架构/架构设计.md",
+    "架构/架构设计模板.md",
     "k8s/kubernetes_service.md",
     "k8s/kubernetes_network.md",
-    "k8s/kubernetes.md",
     "k8s/kube_prometheus.md",
     "go/高并发.md",
     "go/go.md",
@@ -244,7 +231,6 @@
     "calico/calico.md",
     "架构/分布式.md",
     "架构/知识学习模板.md",
-    "middleware/redis.md",
     "go/go_package.md",
     "go/go_module.md",
     "containerd/docker.md",

k8s/harbor.md

@@ -182,7 +182,14 @@ registry=# select * from harbor_user update harbor_user set salt = '', password
 - 再次重启Harbor服务：重新设置密码就行了
 
 
+## 镜像
 
+### 推镜像
+
+```bash
+docker tag ysp/dp-proxy:v1.0.0.123 package.yyhocp.private.com:11036/ysp/dp-proxy:v1.0.0.123
+docker push package.yyhocp.private.com:11036/ysp/dp-proxy:v1.0.0.123
+```
 
 
 

k8s/kubernetes.md

@@ -1,4 +1,4 @@
-
+从过去以物理机和虚拟机为主体的开发运维环境，向以容器为核心的基础设施的转变过程，并不是一次温和的改革，而是涵盖了对网络、存储、调度、操作系统、分布式原理等各个方面的容器化理解和改造。这些关于 Linux 内核、分布式系统、网络、存储等方方面面的积累，并不会在Docker 或者 Kubernetes 的文档中交代清楚。可偏偏就是它们，才是真正掌握容器技术体系的精髓所在。
 
 Kubernetes是一个 **生产级别的容器编排平台和集群管理系统**，不仅能够创建、调度容器，还能够监控、管理服务器。
 
@@ -427,7 +427,7 @@ metadata:
 创建成功之后，使用 `kubectl  get` `kubectl describe` 来查看ConfigMap的状态
 
 *Secret*
-
+secret里面的数据只是进行了base64加密，如果需要更加安全的方式需要开启Secret加密插件。
 Secret中又对对象细分了很多种：
 
 - 访问私有镜像仓库的认证信息
@@ -594,6 +594,64 @@ spec:
 
 > linux中不能使用 - 和 .创建环境变量，创建ConfigMap和Secret的时候需要注意一下。
 
+### Downward API
+
+使用project将多个挂载点整合到同一个目录底下
+```yaml
+spec:
+  containers:
+    - name: main
+      image: busybox
+      volumeMounts:
+        - name: pod-info
+          mountPath: /etc/podinfo
+          readOnly: true
+  volumes:
+    - name: pod-info
+      projected:   ## 可以将下面所有信息组织放到同一个目录下面
+        sources:
+          - downwardAPI:
+              items:
+                - path: "name"  # 宿主机名字
+                  fieldRef:
+                    fieldPath: metadata.name
+                - path: "ip"
+                  fieldRef:
+                    fieldPath: status.podIP
+                - path: "namespace"
+                  fieldRef:
+                    fieldPath: metadata.namespace
+                - path: "labels"
+                  fieldRef:
+                    fieldPath: metadata.labels
+                - path: "annotations"
+                  fieldRef:
+                    fieldPath: metadata.annotations
+```
+
+
+以下是您提供的图片内容转化成的文本：
+
+---
+
+### 1. 使用 `fieldRef` 可以声明使用:
+- `spec.nodeName` - 宿主机名字
+- `status.hostIP` - 宿主机 IP
+- `metadata.name` - Pod 的名字
+- `metadata.namespace` - Pod 的 Namespace
+- `status.podIP` - Pod 的 IP
+- `spec.serviceAccountName` - Pod 的 Service Account 的名字
+- `metadata.uid` - Pod 的 UID
+- `metadata.labels['<KEY>']` - 指定 `<KEY>` 的 `Label` 值
+- `metadata.annotations['<KEY>']` - 指定 `<KEY>` 的 `Annotation` 值
+- `metadata.labels` - Pod 的所有 Label
+- `metadata.annotations` - Pod 的所有 Annotation
+
+### 2. 使用 `resourceFieldRef` 可以声明使用:
+- 容器的 CPU limit
+- 容器的 CPU request
+- 容器的 memory limit
+- 容器的 memory request
 
 ## 容器编排
 [[容器编排]]
@@ -1413,6 +1471,8 @@ Service Mesh 不像 Sidecar 需要和 Service 一起打包一起部署，Service
 ![[Pasted image 20250430202140.png]]
 
 
+k8s中yaml配置所有能用的字段都定义在 `k8s.io/api/core/v1/types.go` 文件中，如果哪个字段不明白具体使用方法可以进行查看。
+
 
 ## 文章
 

k8s/kubernetes_security.md

@@ -123,12 +123,50 @@ spec:
 Pod才能创建成功。
 
 
-
-
-
-
-
-
+### Service Account
+Service Account 对象的作用，就是 Kubernetes 系统内置的一种“服务账户”，它是Kubernetes 进行权限分配的对象。比如，Service Account A，可以只被允许对Kubernetes API 进行 GET 操作，而 Service Account B，则可以有 Kubernetes API 的所有操作的权限。
+
+像这样的 Service Account 的授权信息和文件，实际上保存在它所绑定的一个特殊的Secret 对象里的。这个特殊的 Secret 对象，就叫作ServiceAccountToken。任何运行在Kubernetes 集群上的应用，都必须使用这个 ServiceAccountToken 里保存的授权信息，也就是 Token，才可以合法地访问 API Server。
+
+为了方便使用，Kubernetes 已经为你提供了一个的默认“服务账户”（default Service Account）。并且，任何一个运行在 Kubernetes 里的 Pod，都可以直接使用这个默认的 Service Account，而无需显示地声明挂载它。
+如果你查看一下任意一个运行在 Kubernetes 集群里的 Pod，就会发现，每一个 Pod，都已经自动声明一个类型是 Secret、名为 default-token-xxxx 的 Volume，然后 自动挂载在每个容器的一个固定目录上。
+```yaml
+  - name: kube-api-access-9hqqj
+    projected:
+      defaultMode: 420
+      sources:
+      - serviceAccountToken:
+          expirationSeconds: 3607
+          path: token
+      - configMap:
+          items:
+          - key: ca.crt
+            path: ca.crt
+          name: kube-root-ca.crt
+      - downwardAPI:
+          items:
+          - fieldRef:
+              apiVersion: v1
+              fieldPath: metadata.namespace
+            path: namespace
+      - configMap:
+          items:
+          - key: service-ca.crt
+            path: service-ca.crt
+          name: openshift-service-ca.crt
+status:
+  conditions:
+  - lastProbeTime: nul
+  containerStatuses:
+  - containerID: cri-o://a24fb6fe5a7e5e0411342f6d5ff7b2e9a0ac503261eab55c27068bb02fa4fe81
+	...
+    volumeMounts:
+    ...
+	- mountPath: /var/run/secrets/kubernetes.io/serviceaccount
+      name: kube-api-access-9hqqj
+```
+所以说，Kubernetes 其实在每个 Pod 创建的时候，自动在它的spec.volumes 部分添加上了默认 ServiceAccountToken 的定义，然后自动给每个容器加上了对应的 volumeMounts 字段
+这样，一旦 Pod 创建完成，容器里的应用就可以直接从这个默认 ServiceAccountToken的挂载目录里访问到授权信息和文件。这个容器内的路径在 Kubernetes 里是固定的，即：`/var/run/secrets/kubernetes.io/serviceaccount`