現代化小白也要嘗試的容器手札 - Google GKE 叢集參數深入實踐

-

 Day 27. Google GKE 叢集參數深入實踐

GKE叢集重要參數設置

上篇在GKE採用簡單的佈署示範讓我們對服務上手性更為容易,但實際上有更多很值得拿來進階應用生產環境使用的功能來做說明,我也把原來已經簡易佈署的K8s Cluster移除,本篇就來針對一些有意義的功能來圖文探索。

叢集基本資訊

  • 位置地區性可以作為多可用區域的實體層級服務保護,建議生產環境一定要選擇此。
  • 版本上篇是選擇一個穩定版本類型由系統指派,但如果自身開發上有特別版本環境的需求,其實也有下拉選單指定的版本可以選擇。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481MXEmEnOOT5.png

節點集區

  • 節點版本通常會與叢集一致性,自行選擇適合自身的部署環境為主。
  • 節點數量預設是會在底層跑3台GCE伺服器,測試環境可以選擇更低的數量節省成本,當然生產環境可能會更多,自行判斷。
  • 生產環境建議啟用自動擴展,且Pod所支撐的Node上下限可以依據預估的負載量判定設置。
  • 部署的節點位置也會呼應是否有設置可用性區域來做執行的地區選擇。
  • 如果底層更新升級後所指定的Node數量允許的上限值及如果異常Node可接受數量

https://ithelp.ithome.com.tw/upload/images/20201003/20025481yk9DykC8Z6.png

節點數

  • 預設是Google提供一個系統認為優化過的容器作業系統,而如果自己也可以選擇所熟悉的OS,如:Ubuntu等...

https://ithelp.ithome.com.tw/upload/images/20201003/20025481WyZ0XTy5oH.png

  • 伺服器等級的選用也是可以自訂的,包含以下幾種類型:
  1. 一般用途
  2. 運算(CPU)最佳化
  3. 記憶體(Memory)最佳化
  4. 涵蓋上述的自訂規格(不過CPU Core要>=2,RAM最小可以1G)已滿足客製化的生產環境或是測試節省成本之用。

https://ithelp.ithome.com.tw/upload/images/20201003/2002548129yqZvZnSy.png

  • 開機的磁碟可以是標準的HDD或是較高IOPS的SSD磁碟

https://ithelp.ithome.com.tw/upload/images/20201003/200254810Yqa20YMpR.png

  • 預設是100GB空間大小,可以自訂,不過一旦決定就無法在縮小空間。
  • 安全性選項,是否需要開機時的管理加密。
  • 先佔節點可在24hr區間內先行佔用Node資源但租用成本較低,一但設置就無法再調整,預設是沒有啟用。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481ffeWyfaYKE.png

  • 一個節點最多可以執行110個Pod,也可以根據負載等應用考量指定Pod最多的上限值。
  • 網路標記就跟原GCE上綁定的防火牆規則做法相同,如果沒有設置是無法直接對外提供服務的。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481CoRinyI1rF.png

安全性

  • 預設都是用系統的預設服務帳戶來做存取,如果有想要帳戶存取的安全性切分,則可以透過自訂的服務帳戶來作調整。
  • 防護的部分會啟用系統的完整監視。
  • 安全啟動可以視需求讓容器環境更為安全。
  • gVisor本身是Google開發的容器沙盒,在Linux內核上運行涵蓋安全,效率和易用性,並與Docker容器隔離技術相比,gVisor在用戶空間初估可以有200+的Linux系統調用,重要應用如:不受信任第三方工作負載叢集就可以透過此來做安全隔離防護。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481zTEmJ00BRP.png

中繼資料

  • 可以作為讓Node節點套用指定的標籤,進而能更智慧化的套用規則,搜尋等關聯性。 >> 科普中繼資料

https://ithelp.ithome.com.tw/upload/images/20201003/20025481oCM8J2BPil.png

叢集進階

自動化

  • 自己決定可以被底層系統維護的時間區間包含如下:
  1. 開始與結束時間
  2. 時間長度最少>=4hr
  3. 一週星期各天的選擇
  4. 排除不可以維護的時間
  • 是否啟用節點自動擴展以及上下限預設CPU與Memory資源,當然還有其他的選擇可以自行新增條件。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481yuNQWHcnYH.png

網路連線

  • 叢集可以是公開或是私人內部使用。
  • 網路都可以依據原來所設置的VPC範圍所給定CIDR
  • Pod上限自訂,一樣最多不能超過110個。
  • 一旦啟用網路政策後,GKE會在該叢集中強制執行政策,原則設置可以參考此 >>NetworkPolicy
  • 指定系统是否允许Pod發送和接收的網路流量日誌紀錄收集,此功能需依靠網路原則相輔相成。
  • 是否需要GKE集群中IP偽裝功能,讓叢集外部目標只會接收来自節點的IP而非Pod的封包。
  • 是否需要NodeLocal DNSCache來減少發送到kube-dns的DNS查询頻率次數,進而降低DNS查找延遲時間,讓服務更有效率。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481wGMOox3zmH.png

安全性

安全功能概觀:

  1. 身份驗證與授權,包含Google帳戶與服務帳戶更自授權後再對應RBAC存取控制。
  2. 節點升級,固定修補作業系統讓節點地其升級更新,減少漏洞情事發生。
  3. 容器作業系統優化,包含綁定防火牆,Read-Only以及受限的帳戶與停用Root。
  4. 保持元資料的隱藏。
  5. 限制Pod到Pod之間的通訊。
  6. 過濾負載平衡流量。
  7. 高可用保護工作負載如:自擴,快速預配資源以及保留容器資源等..
  8. 限制Pod存取Google Cloud資源的權限。
  9. 服务帳戶JSON密鑰。
  10. 日誌紀錄稽核。

功能

  • 是否要啟用適用於AI運算的Tensor Processing Unit(TPU)
  • 是否要啟用GKE的使用量成本計量來檢視是否有浪費資源的情況。可以參考此篇 >> GKE使用計量服務
  • 如需開發人員敏捷開發到生產環境的應用程式交付流程則啟用Application Manager,尚在Beta階段
  • 是否整合lstio微服務管理工具來更無縫接軌各微服務間的任務。

https://ithelp.ithome.com.tw/upload/images/20201003/20025481Gc4d2GvQEc.png

GKE叢集佈署完成

  • 以下就如同前篇,部署完成後節點集區的狀態清單視角。
    https://ithelp.ithome.com.tw/upload/images/20201003/20025481IJMYnnKC8V.png
    https://ithelp.ithome.com.tw/upload/images/20201003/20025481buDhRkSycB.png

  • 各節點的資源分配使用與健康狀態。
    https://ithelp.ithome.com.tw/upload/images/20201003/20025481OJ3chbYqTo.png

  • 單一節點的資訊狀態情況。
    https://ithelp.ithome.com.tw/upload/images/20201003/20025481M6OjcEx6nJ.png

1. 熱愛自己的工作,用技術服務客戶取得信賴,協銷推廣解決方案讓客戶的痛點無論是緩解或是治本都比賺錢更開心,利用拜訪或專案任務之餘到處探索當地新鮮事,也許是活動,也許是景點,但更多是美食。 2. 間歇運動與健康飲食的觀念讓自己保持活動力跟體態,讓自己感到舒服開心也可能感染周圍朋友也開始把心思關注自己的健康上。 3. 喜歡透過游泳來放鬆自我,尤其是水療跟蒸氣,目前蛙泳為主捷泳為輔,運動中心去過幾間泳池設施也有些利弊小心得。 4. 閱讀除了吸收新知外更重要可以沈澱心靈激發新想法,偏好商業策略,勵志心理或咖啡居多,都歡迎同好可以分享自己的想法. 5. 認真接觸咖啡後探索精品咖啡的美好,小小入手英國咖啡調配師認證,了解的越多越想自己著手,生豆挑豆烘豆萃取自己來,用過幾個萃取設備如:冰滴,法濾,塞風,手沖,義式濃縮,拿鐵等各有各的風味喜好,不過當然每天都喝還是手沖為主,咖啡同好可以一同參與探索各式咖啡廳精品風味.

留言

張貼留言

這個網誌中的熱門文章

<重要> 加密貨幣 Token 投資警示分享

-
圖片
  發生的一個加密貨幣Token投資的小故事 最近區塊鏈,加密貨幣一直是現在趨勢潮流的新寵兒,無論朋友的有心或無意,在健康智能手錶傳輸個人健康數據,讓你可以在非常舒適無腦的狀態下,搭上近期就要公開發行上市的貨幣Token就能享受高額翻好幾倍的獲利. 這夢真的很美好,無論是號稱買錶送3000個Token又或是想發橫財買Token送錶都好,一個Token發行上市一美元,襪靠!馬上噱翻基本就接近九萬獲利,如果成長個十倍一百倍呢?我真的成了大富翁啦!來來來繼續加碼買就對了! 不過我想說的是要是這麼好賺,自己買好買滿不就得了!自己賺飽不好還留個別人這真的需要頒發一下慈善家的匾額了呢?也看到客服中心回覆交易的歷程記錄如下>>> 秉持著平時老派僵固固執且好奇的工程師思維,看完給我的產品介紹影片半小時,其實我只看了十分鐘,因為講的行銷人的大數據經濟獲利模式你我的懂,就直接忽略了!直接看關鍵字交叉查詢這間公司,手錶產品就有不小的負面聲音!看看錶的價格丟回比價王與蝦皮賣場根本直接低價出售. 沒關係!庵醉翁意不在酒,可是那背後白花花可以海噱獲利的白銀阿!我又繼續看既然這麼值錢應該要在熱度信任度高的交易所吧! 加密貨幣價格、圖表和市值 這網站集結所有的加密貨幣與交易所,包含信任平等與交易熱度趨勢等等,資訊非常豐富且交易所高達450+,基本上我應該要來看看這Token要能交易的所在地的名次評等如何!滿懷欣喜,眼睛為之一亮的心情來瞧瞧!! 先來看看TOP10的排名有誰,恩恩!幣安果然是目前的王者阿!真的令人咎安心 再繼續往下滑真的好幾頁都翻破100名之外了!其實止滑了兩三頁真的受不了直接搜尋,靠!我到底看到了甚麼??早就已經下架了也!根本就沒有拿到畢業證書嘛!還排畢業成績的名次哩 又意外發現到這線上區塊鏈的論壇早有對此交易平台的負評..... 以太坊區塊鏈的線上評論代幣平台 我不想特別公佈公司,產品等相關影片資訊,希望保有朋友可能也被蒙在鼓裡最後一絲絲的善良,但希望再聽到此交易所,此類Token又或是之後換個包裝說法故事又在騙一波!大多數包括我自己都是平凡人賺辛苦錢,切記天下沒有白吃的午餐!一定要再三查證三思後行!
閱讀完整內容

對於跑者膝患部發炎,使用微波,向量干擾與低能雷射,分別是有哪些復原功效

-
這三種物理治療方法針對跑者膝(髕骨股骨疼痛綜合症或膝部炎症)有不同的作用機制和復原效果: 1. 微波治療 原理 :透過高頻電磁波(微波)將能量傳遞至深層組織,產生熱效應,促進血液循環和新陳代謝。 功效 : 減少肌肉緊張和關節僵硬。 加速發炎組織的修復。 增強局部血流供應,幫助清除炎症產物。 適用情況 :對於慢性炎症和緊繃的肌肉效果較佳,通常適合穩定期的跑者膝治療。 2. 向量干擾電療(Interferential Current Therapy, IFC) 原理 :利用不同頻率的電流在交會處形成深層干擾電流,刺激深層肌肉和神經。 功效 : 緩解疼痛:刺激神經系統,阻斷疼痛傳遞("閘門理論")。 減少腫脹:改善淋巴循環和消腫作用。 放鬆肌肉:幫助減少膝部周圍肌肉的痙攣或緊繃。 適用情況 :對於急性期的疼痛緩解效果明顯,尤其是炎症引起的疼痛。 3. 低能量雷射治療(Low-Level Laser Therapy, LLLT) 原理 :利用低能量雷射刺激細胞線粒體,促進細胞修復和新生,並減少發炎。 功效 : 減少發炎:抑制炎症反應的細胞因子釋放。 加速癒合:刺激膠原蛋白的生成和組織修復。 緩解疼痛:改善神經功能並減少疼痛訊號的傳遞。 適用情況 :對於慢性炎症和細胞層面的修復有顯著效果,通常用於促進組織恢復。 綜合建議 急性期(疼痛明顯、腫脹) :向量干擾電療更適合快速緩解疼痛和腫脹。 亞急性期(炎症減輕但仍有不適) :微波治療有助於改善血循和舒緩僵硬。 慢性期(反覆發炎或康復期) :低能量雷射是理想選擇,可促進細胞修復。 每種治療有其適用時機,建議與物理治療師討論,根據炎症階段和個人情況選擇最合適的方法。
閱讀完整內容

現代化小白也要嘗試的容器手札 - Docker Swarm 新手上路

-
圖片
  Day23. Docker Swarm 新手上路 Docker Swarm新手入門 前面說了一堆Docker知識,一路走到了這,快要進入的一個與K8s批敵的重頭戲Docker Swarm,不過我們首先要了解Docker Swarm的意義? 我們有注意到,前面的所有示範的容器其實都只有跑在一台宿主機上面,那萬一主機掛了呢? OK,我想你我大概也猜到了,沒錯,Docker Swarm 簡單說就是可以在多個宿主機上來管理容器的一種管理工具。 透過Docker Swarm,用戶可以非常容易的部署應用程式到任何一台宿主機上面,此外,假始其中一台宿主機離開人世了,也會立刻找一台最佳的宿主機上來啟動新的容器。 了解完定義後也要知道能實際帶給我們什麼樣的好處 Scaling自動擴展 Scaling本身概念簡單,也是雲端能帶來的其中一項價值所需,當回應需求服務數量或 連線流量過大時,能透過自動擴展機制一次啟動多個相應的服務同時處理需求回應與因應流量,直到流量或需求恢復正常,就可以透過縮容來減少服務數量,以節省主機成本。 Load Balacning負載平衡 當流量進到Docker Swarm的服務中,會透過像輪詢( Round Robin )的機制去把進來的流量做分流,也就是輪流把流量送到各服務去,舉例第一個進來給A容器,第二個進來給B容器,第三個進來再給A,以此類推... Service Discovery服務探索 在Docker swarm中每個服務都可以定義自己服務獨有的DNS,而接下來就可以讓其他容器透過自訂的DNS來使用服務。 啟動Docker Swarm前需要了解的兩個重要角色 Manager管理叢集 目的就是負責來管理叢集的宿主機,並調用安排每個需要的服務容器應該要被放在哪一台來做啟動,當服務停止時也要負責啟動服務容器使之正常來做服務的提供。 Worker Nodes工作節點 Node翻譯成節點,簡單說就是代表一台台的宿主機,而執行Service的地方就是在任意的Node節點上。 示範Docker Swarm部署 示範主機是在Google Cloud上的兩台Ubuntu docker1 version 19.03.6 IP:10.100.1.2 docker2 version 19.03.6 IP:10.100.1.3 前置作業 測試雙方的標的主機網路要能互...
閱讀完整內容