内建变量
- bool
- string
- (u)int[8/16/32/64],uintptr
- byte
- rune go的char类型,长度32位
- float[32/64]
- complex[64/128] 复数类型
变量定义
1 | // 1 单个定义 |
常量与枚举
1 | // 1 单个定义 |
Kubernetes Kubectl常用命令
Basic Commands
| 命令 | 描述 |
|---|---|
| create/apply | 从文件或stdin创建资源 |
| expose | 为deployment、pod创建service |
| run | 在集群中运行指定的镜像 |
| set | 在对象上设置一个specific |
| get | 最基本的查询命令 可以get一切资源信息 |
| explain | 查看资源定义,如 kubectl explain replicaset |
| edit | 使用系统编辑器编辑资源 kubectl edit deploy/foo |
| delete | 删除指定资源,支持文件名、资源名、label selector。kubectl delete po -l foo=bar |
Deploy Commands
| 命令 | 描述 |
|---|---|
| rollout | Deployment、DaemonSet的升级过程管理 查看状态、操作历史、暂停升级、恢复升级、回滚 |
| rolling-update | 客户端滚动升级,仅限ReplicationController |
| scale | 修改Deployment、ReplicaSet、ReplicationController,Job的实例数 |
| autoscale | 为Deployment、ReplicaSet、ReplicationController配置自动伸缩规则,依赖heapster和hpa |
Kubernetes基本概念
Istio可扩展的策略和遥测
Istio策略和遥测的原理
Istio通过专门的服务端组件,提供一种扩展机制来手机服务运行的遥测数据和服务间的访问,执行一定的策略。
应用场景
采集数据、存储数据、检索数据
通过Sidecar Inbound和Outbound都想Mixer上报数据。Mixer提供对应APM的Adapter。解耦Sidecar和APM的通讯,由Mixer来集中对接。
工作原理
每个插件都是一个Adapter,Mixer通过它们与不同的基础设施后端连接。提供日志、监控、配额、ACL检查等功能。
因为每个基础设施后端都有不同的接口和操作,所以需要自定义代码进行处理,这就是Mixer的Adapter机制。
Mixer通过Protobuf格式定义Adapter的配置。
属性
Envoy上报的数据istio中称为属性 attribute。属性是一小块数据,描述服务请求或者服务运行环境的信息。
属性列表: https://istio.io/docs/reference/config/policy-and-telemetry/attribute-vocabulary/
属性表达式
属性表达式: https://istio.io/docs/reference/config/policy-and-telemetry/expression-language/
Mixer的匹配模型
istio主要通过handler、instance、rule这三个资源对象来描述Adapter的配置。
业务处理 Handler
Handler来描述Adapters及其配置。Mixer每个Adapter都需要一些配置才能运行。不同额Adapter有不同的配置,比如服务后端信息之类的。
如果Adapter看做是一个模板的定义的话,Handler就是这个模板的实现。
Kubernetes minikube
安装及启动
1 | curl -Lo minikube https://github.com/kubernetes/minikube/releases/download/v1.5.2/minikube-linux-amd64 && chmod +x minikube && sudo mv minikube /usr/local/bin/ |
Install kubectl on Linux
1 | curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.17.0/bin/linux/amd64/kubectl &&\ |
参考资料
centos7编译安装php7.2
常用到,记录一下
1 | wget https://www.php.net/distributions/php-7.2.25.tar.gz |
1 | yum install -y systemd-devel libpng-devel openjpeg-devel libxml2-devel curl-devel libicu-devel libjpeg libpng freetype libjpeg-devel libpng-devel freetype-devel |
Istio非侵入的流量治理
Istio流量治理原理
istio流量治理主要有以下流程
控制面:
- 管理员通过命令行或者api创建流量规则
- Pilot将流量规则转换为Envoy的标准格式
- Pilot将规则下发给Envoy
数据面:
- Envoy拦截Pod上本地容器Inbound和Outbound的流量
- 在流量经过Envoy时,执行对应的流量规则,进行流量治理
负载均衡
主要用户服务间访问。通过它可以在多个服务实例找到一个合适的后端把请求转发过去。
Pilot维护服务发现数据,下发给Envoy,Envoy根据负载均衡策略选择一个实例转发请求。
服务熔断
istio的熔断控制无需侵入代码,有别与hystrix。
常见的熔断器状态流转
| 序号 | 初始状态 | 条件 | 迁移状态 |
|---|---|---|---|
| 1 | 熔断关闭 | 请求成功 | 熔断关闭 |
| 2 | 熔断关闭 | 请求失败,调用失败次数自增,不超过阀值 | 熔断关闭 |
| 3 | 熔断关闭 | 请求失败,调用失败次数自增,超过阀值 | 熔断开启 |
| 4 | 熔断开启 | 熔断器维护计时器,计时未到 | 熔断开启 |
| 5 | 熔断开启 | 熔断器维护计时器,计时到了 | 熔断半开启 |
| 6 | 熔断半开启 | 访问成功 | 熔断关闭 |
| 7 | 熔断半开启 | 访问失败 | 熔断开启 |
故障注入
有些故障是不会经常触发的,以前模拟故障通常需要修改代码来模拟。而Istio也提供了这个能力。
灰度发布
- 蓝绿发布
类似热发布。先部署新版本,等新版可用后,全流量切换过去。 - AB测试
部署对等的两个版本A和B,分流一部分去a,一部分去b,然后根据运营收集数据,根据反馈选择使用哪个版本。 - 金丝雀发布/灰度发布
你叫像AB测试发布,先让小部分用户尝试新版本。观察一段时间后决定使用哪个版本。
Istio架构概览
Istio工作机制
Istio主要架构分为控制面和数据面两部分。
数据面: Envoy
控制面: Pilot、Mixer、Citadel
工作机制
- 自动注入: k8s中,当有pod创建时候,调用sidecar-injector服务,修改程序描述信息,注入sidecar。主要就是envoy。
- 流量拦截:在pod中用iptables拦截容器的流量
- 服务发现: Envoy调用Pilot的服务发现接口获取目标服务的实例列表
- 负载均衡: 服务发起方的Envoy根据负载均衡策略选择服务实例
- 流量治理: Envoy从Pilot获取流量规则,将流量转发到对应的服务上。
- 访问安全: Envoy之间的通讯进行双向认证和通道加密,并基于服务的身份授权管理。其中证书和密钥主要由Citadel组件维护
- 服务遥测: 服务通讯期间,双方的Envoy都会向Mixer组件上报访问数据。
- 策略执行: 可以用Mixer控制服务间的访问
- 外部访问: 在网格的入口有一个Envoy扮演入口网关的角色。
服务模型
由istio服务、服务版本、服务实例几个对象构成
服务模型约束
- 端口命名:
name: <protocol>[-<suffix>],协议支持常用的服务协议,如mysql、redis,如无指定,默认为tcp协议 - 服务关联:
pod需要关联到服务 - deployment使用app和version标签:
区分版本
istio服务
k8s只要满足上文提到的服务模型约束,就可以转为 istio 的服务并配置规则进行流量治理。如最小的k8s模型加上端口命名
k8s主体是 workload,istio 的对象主体是 service,没有访问方式的workload 不是 istio 治理对象。Kubernetes 的 Service 定义 就是 Istio 服务 的 元 数据。
istio服务版本
通过deployment的app: service-name 来关联服务。 通过version: v<version> 标签来区分服务不同版本。 可以根据这个实现灰度发布等功能。
istio服务实例
Istio 的 ServiceInstance 主要包括 Endpoint、 Service、 Labels、 AvailabilityZone 和 ServiceAccount 等属性, Endpoint 是其中最主要 的属性,表示这个实例对应的网络后端( ip: port), Service 表示这个服务 实例归属的服务。
express+ejs 渲染模板生成文件
需求
主要用于运营部使用h5图片,又想自定义标题. 但是时不时找我很烦,就搞了这个东西给她用。nodejs还挺好玩的。
使用说明
原理,使用表单提交数据. 将数据用ejs渲染到模板上,然后保存成html.
安全码:是防止恶意提交做的一个小验证,写死在 routes/index.js:13 xxx123
运行 npm run start 默认端口是4001
pm2运行 pm2 start npm --name "h5-generator" -- run start
删除任务 pm2 delete h5-generator
生成的文件目录在 ./public/html
由于用在www.xxx.com
所以我nginx配置如下
1 | # 访问程序 |
h5生成器页面: https://www.xxx.com/generate/h5
生成的文件访问地址: https://www.xxx.com/h5/生成文件名.html
主要代码
1 | var express = require('express'); |
项目管理
Centos安装MySQL不同版本
红帽系源是默认用mariadb的,而且mariadb也很优秀,但是我们开发是基于MySQL5.7上做的开发,基本10.2起,应该对MySQL5.7所有的特性是完整支持的.
但是为了稳妥,还是决定给客户安装一样的版本.
在官网找文档的时候,发现藏得有点深,所以还是打算记录下.
安装
点进MySQL YUM Repository
下载最新的yum源信息包
参考 Selecting a Release Series 这段
完整的命令大致如下1
2
3
4shell> yum install -y https://dev.mysql.com/get/mysql80-community-release-el7-3.noarch.rpm
shell> yum repolist all | grep mysql
shell> sudo yum-config-manager --disable mysql80-community
shell> sudo yum-config-manager --enable mysql57-community
当看到mysql源是57(自己想要的版本的时候就可以直接安装了)1
2
3
4
5
6shell> yum repolist enabled | grep mysql
mysql-connectors-community/x86_64 MySQL Connectors Community 118
mysql-tools-community/x86_64 MySQL Tools Community 95
mysql57-community/x86_64 MySQL 5.7 Community Server 364
shell> yum install mysql-community-server
charles-install
下载地址
https://www.charlesproxy.com/latest-release/download.do
example:
wget https://www.charlesproxy.com/assets/release/4.2.8/charles-proxy-4.2.8_amd64.tar.gz
破解文件
破解文件生成: https://www.zzzmode.com/mytools/charles/
tar zxvf charles-proxy-4.2.8_amd64.tar.gz
把下载的破解文件覆盖到 charles/lib 目录即可
添加charles ca证书 抓取https数据
访问: chls.pro/ssl 下载证书
放置证书
创建个目录放证书sudo mkdir /usr/share/ca-certificates/charlessudo mv ~/charles-ssl-proxying-certificate.pem /usr/share/ca-certificates/charles刷新证书配置
k8s和istio资源索引
本地istio的externalip处于pending状态
本地是在虚拟机中建立的k8s环境,安装好后,因为没有负载均衡器,所externalip一直处于pending.官网解决方案是使用nodeport转发.
但是,直接edit svc填写externalip为虚拟机ip即可正常使用了.
1 | # kubectl edit svc istio-ingressgateway -n istio-system |
nginx对前端跨域(CROS)访问的处理
之前跨域处理的header都是后端返回的.昨天改回nginx来添加这个header,感觉这样写比较好用清晰,所以记录一下.
注意在allow headers添加上自己额外增加的header就好了,比如我们header添加了token,所以这里也加了.
1 | set $origin '*'; |
Python的GraphQL库graphene-python的使用
开始
什么是 GraphQL?
GraghQL的介绍,概览和概念,参考 官方介绍
让我们构建一个基本的GraphQL schema.
依赖
- Python(2.7, 3.4, 3.5, 3.6, pypy)
- Graphene (2.0)
项目安装
1 | pip install "graphene>=2.0" |
创建一个基础的Schema
一个描述你数据模型的GraphQL Schema,和提供GraphQL 服务,关联对应的解析方法,该方法知道怎样获取对应的数据.
我们将创建一个非常简单的schema,一个Query,只有一个field:hello和输入名字.当我们查询它,它应当返回`”Hello {argument}”.
1 | import graphene |
查询
然后我们开始查询我们的schema:
1 | result = schema.execute('{ hello }') |
Consul重启后出现 error while renaming node id
最近consul节点被意外终止后,重新运行.发现该节点下的服务均无法注册上去.
看日志,发现类似的错误
1 | rpc error making call: failed inserting node: Error while renaming Node ID: "xxxxx": Node name node2 is reserved by node xxxxxx-xxxxx-384e-0bf4-xxxxx with name node2 |
日志里两个node id是不一样的. 估计是重启后,生成了新的node id.这和挂掉之前,存在consul server中的 node2的id不一致,导致冲突.
解决
上面例子中,我是在节点2执行了一个 consul leave的动作就好了.
1 | docker exec consul consul leave |
如果不行,就 离开集群 -> 重启consul -> 加入集群
另外看到其它应该可行的方法,但是我没有尝试.
以上问题,主要是因为生成了新的node id 导致的node id冲突. 那不让它生成不就好了.
启动时加入-disable-host-node-id
或者指定node id -node-id=$(uuidgen | awk ‘{print tolower($0)}‘) node id必须是guid格式
Flask路由的注册方式
1. 注解方式
如: @app.route('/')
1 | # -*- coding: utf-8 -*- |
@app.route('/')还可以附带options.如限定特定的method. @app.route(rule='/',methods=['GET','POST'])
2. app.add_url_rule('/',view_func=index)
实际上注解也是调用了这个接口,来注册的.只不过用了闭包形式来封装注册过程显得更为简洁.
1 | # -*- coding: utf-8 -*- |
centos用yum安装nodejs yarn
容器基础概念
什么是容器
- 资源视图隔离 - namespace
- 控制资源使用率 - cgroup
- 独立的文件系统 - chroot
容器是一个视图隔离、资源可限制、独立文件系统的进程集合。
什么是镜像
运行容器所需要的所有文件集合 - 容器镜像
Dockerfile - 描述镜像构建步骤
构建步骤所产生出文件系统的变化 - changeset
容器的生命周期
单进程模型
- init进程生命周期 - 容器生命周期
- 运行期间可运行exec执行运维操作
数据持久化
- 独立于容器的生命周期
- 数据卷 - docker volume vs bind
容器项目架构
moby 容器引擎架构
- containerd
- 容器运行时管理引擎,独立于moby daemon
- containerd-shim 管理容器生命周期 可以被containerd动态接管
- 容器运行时
- 容器虚拟化技术方案
- runC kata gVisor