容器服务

近期CNCF宣布欢迎Argo项目进入 CNCF 孵化器，作为一个新加入的项目，Argo主要关注于Kubernetes原生的工作流，持续部署等方面。 Argo项目是一组Kubernetes原生工具集合，用于运行和管理Kubernetes上的作业和应用程序。

Aliyun Linux 2是新一代阿里云原生Linux操作系统，为云上应用程序提供安全、稳定、高性能的定制化运行环境，并针对云基础设施进行了深度优化，为您打造最佳的运行时体验。并免费的获得阿里云针对操作系统的长期支持。 容器服务ACK目前已经全面支持AliyunLinux2的节点创建和加入集群，并结合AliyunLinux2的高内核特性提供了多场景的优化。

#背景 在目前云原生技术被如火如荼的大规模使用的过程中。越来越多的用户都会使用Kubernetes集群去部署其应用。但是在这个过程中，如果由于早期对于容量和网络的规划不当，可能造成实际生产中实践中，不能满足业务的真实需要。如果此时在重新规划就面临着集群重建、应用迁移的诸多事项，这样不仅仅浪费了大量的精力，甚至可能会造成业务有一定的中断。因此，为了使得广大使用者可以更加深入的理解阿里云容器服务Ku

Docker是最流行的开源容器工具，互联网公司大规模集群部署和运维的利器，思想起源于Linux系统的Container思想。本文我们会使用Docker实战MongoDB数据库。

本文简单介绍了Google开发的容器监控工具cAdvisor的基本安装与使用，总结下来cAdvisor可以帮助展示Host和容器两方面的监控数据，还可以动态展示历史数据的变化。cAdvisor有一个亮点之处就在于它可以将监控数据导出给第三方工具，而这个第三方工具就是我们下一篇将要学习的Prometheus，Prometheus会对这些监控数据做进一步加工处理。

1、启动Docker Quickstart Terminal,等待docker虚拟机启动完毕2、在Docker Quickstart Terminal 命令行输入命令：docker-machine ssh default意思是采用docker-machine命令，以ssh方式，从当前 Docker Quickstart Terminal 窗口登录名称为default的docker虚拟机3、此时窗口进入到了docker虚拟机，docker-machine命令已经失效。

在 Knative 中已经提供了对 Kafka 事件源的支持，那么如何在阿里云上基于 Kafka 实现消息推送，本文给大家解锁这一新的姿势。

mPaaS 离线包源自于支付宝原生方案，经历了严苛的业务考验，让你直接和支付宝使用同一套框架层代码，拥有统一容器及内核，相对系统内核获取更低 Crash 率和 ANR 率，适配性强，并具备良好的、弹性的扩展能力，结合具体业务需求定制 JSAPI。

1. 前言  负载均衡 SLB各地域带宽有峰值限制，国内区域一般量为5Gbps，对于超高流量，超高并发的应用单个 SLB 没法满足需求，因而需要前置安全设施，比如 DDOS 高防,web应用防火墙的源服务器地址都支持多个 IP轮询均匀访问，指向多个 SLB，如图：  1.

Linux容器中用来实现“隔离”的技术手段：Namespace。Namespace实际上修改了应用进程看待整个计算机“视图”，即它的“视线”被操作系统做了限制，只能“看到”某些指定的内容。对于宿主机来说，这些被“隔离”了的进程跟其他进程并没有区别。

## 1. 镜像仓库被设置为公有，导致镜像泄露风险：       ** 错误现象： **   公有镜像仓库可能会被云上其它用户拉取，导致泄露镜像安全风险；部分运维或者开发同学，因为没有设置准确的 secret 到 Deployment，为了解决无法拉取镜像问题，直接开放镜像仓库为公有。

在企业软件领域，Java依然是绝对王者。作为进击的巨人，Java技术在云原生时代也在不停地进化。

上一篇中，我们演示了如何配置并运行一条简单的流水线，可能有些读者对于上篇文章中的配置还有些疑问： 为何构建任务运行时会有一个slave节点加入 pipeline的写法似乎和Jenkins文档中的例子有点不一样 今天这篇文章就来解答上面两个问题，并解释下构建中的几个stage跟传统环境中的差异 .

在 Knative 中部署的服务异常了怎么办？不要担心，本文教你在 Knative 中一步步排查问题。

Docker公司为什么在Docker项目已经取得巨大成功之后，执意走回已经让无数先驱折戟的PaaS路呢？ 实际上，Docker项目一直伴随着公司管理层和股东们的阵阵担忧。他们心里明白，虽然Docker项目备受追捧，但用户们最终要部署的，还是他们的网站、服务、数据库，甚至是云计算业务。

Docker公司为什么在Docker项目已经取得巨大成功之后，执意走回已经让无数先驱折戟的PaaS路呢？ 实际上，Docker项目一直伴随着公司管理层和股东们的阵阵担忧。他们心里明白，虽然Docker项目备受追捧，但用户们最终要部署的，还是他们的网站、服务、数据库，甚至是云计算业务。

Knative 默认会为每一个 Service 生成一个域名，并且 Istio Gateway 要根据域名判断当前的请求应该转发给哪个 Knative Service。Knative 默认使用的主域名是 example.com，这个域名是不能作为线上服务的。

近日，全球知名市场调研机构Forrester发布首个企业级公共云容器平台报告。其中，阿里云容器服务的市场表现位居全球前三、中国第一，同时创造中国企业最好成绩，进入强劲表现者象限。 报告显示，阿里云容器服务市场表现为中国第一，与谷歌云并列全球第三。

Docker越来越受到运维人员的青睐，本篇结合源码详细介绍了Docker容器网络，初学Docker容器不可不看~

环境准备 集群创建、依赖配置、CSI插件部署等请参考：CSI部署详解 创建云盘 需要创建按量付费云盘：参考文档 创建静态PV、PVC 通过云盘控制台创建云盘后，记录其DiskId：d-bp1fqy1enb2rtymx5g5y； 通过下面模板创建静态卷PV、PVC: apiVersion: v1 k...

通过K8S使用NAS卷，请区分以下场景： 静态存储卷：   使用阿里云ACK，PV、PVC方式，nfs驱动；   使用阿里云ACK，PV、PVC方式，Flexvolume驱动；   使用阿里云ACK，Volume方式，nfs驱动；   使用阿里云ACK，Volume方式，Flexvolume驱动；.

点击查看：容器服务 Kubernetes 版点击了解：“阿里云新品发布会频道”立即订阅：阿里云新品发布会·周刊 阿里云ACK是什么？ 阿里云容器服务Kubernetes版，简称ACK，支持企业级容器化应用的全生命周期管理，基于原生Kubernetes增强，全面整合阿里云虚拟化、存储、网络和安全能力，提供高性能可伸缩的容器应用管理服务。

Brief introduction on some security enhancement for ACK, including BYOK, AD/LDAP support, and collaboration with Vault and NeuVector

文章首发于公众号《程序员果果》地址：https://mp.weixin.qq.com/s/DzF-ZwaY4QtlgM32I5wybg 一、容器的数据卷 1. 什么是数据卷？ docker的理念之一就是将应用和运行的环境打包，因此docker容器的生存周期通常都是与在容器中运行的程序相同的，而我们对数据的要求是持久化，docker容器之间也需要一个共享数据的渠道。

文章首发于公众号《程序员果果》地址：https://mp.weixin.qq.com/s/DzF-ZwaY4QtlgM32I5wybg 一、Docker 容器的网络基础 docker0（Linux的虚拟网桥） 通过ifconfig查看docker0的网络设备，docker守护进程就是通过docker0为docker的容器提供网络连接的各种服务。

概要 服务部署在多个k8s集群中，往往希望服务跨多个集群进行调度设置。在federation v2中，可以通过ReplicaSchedulingPreference来满足联邦集群的调度设置。

一个完整的业务实现想要基于 Serverless 模型来开发的话可能会分解成多个 Serverless 模块，每一个模块单独通过 Knative 的 Serving 部署，那么这些不同的 Serving 之间就需要调用链进行事务的串联。

背景 Kubernetes通过CloudProvider(又称CCM)组件在VPC路由表中添加合适的路由来打通集群中Pod之间的网络连接。近期VPC发布了对多个路由表的支持能力，让用户可以自行选择ECS关联哪些路由表，为用户提供了丰富的路由管理能力。

阿里云容器服务已正式发布Windows Container支持，用户可通过控制台或Open API创建Windows Kubernetes集群并部署Windows容器，目前已开放新加坡、吉隆坡等区域，近期计划在所有托管版中全域支持。

毫无疑问，Kubernetes 已经成为容器领域当之无愧的事实标准。除了 Google、Microsoft 等技术巨擘们在容器领域里多年的博弈外，国内的 BAT、滴滴、蚂蚁、今日头条等技术大厂，也都已将容器和 Kubernetes 列入未来的战略重心，无数中小型企业也正走在容器化的道路上。

介绍 阿里云在部分ECS类型中提供了本地盘配置，本地盘具有低时延、高随机IOPS、高吞吐量和高性价比的优势，在一些对性能要求很高的应用中有很大优势。 在Kubernetes系统中使用本地盘可以通过HostPath、LocalVolume等类型的PV使用： HostPath: 卷本身不带有调度信息，如果想对每个pod固定在某个节点上，就需要对pod配置nodeSelector等调度信息； LocalVolume: 卷本身包含了调度信息，使用这个卷的pod会被固定在特定的节点上，这样可以很好的保证数据的连续性。

直播主题内容第一部分：混沌工程的背景和原理第二部分：结合容器场景，介绍混沌工程的一些实践方法和常见工具分享嘉宾：中亭 阿里巴巴高级技术专家直播视频全程链接：https://yq.aliyun.

漏洞详情： https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

再见，2018。 你好，2019！

当节点出现pod挂载不上，且查看节点日志(/var/log/message)发现不断有“Orphaned pod”字段的日志打印出来，如下： Jan 21 03:07:08 abc_k8s_worker01 kubelet: E0121 03:07:08.

在最近的上海和北美KubeCon大会上，来自于Treasure Data的Eduardo Silva（Fluentd Maintainer）带来了最期待的关于容器日志采集工具FluentBit的最新进展以及深入解析的分享，本文主要下跟大家分享一下关于FluentBit的发展历程以及技术解析。