LinuxSre云原生

# 09 Docker 应⽤的 CICD # 1. CI/CD 实现⽅式 # 1.1 传统环境的 CI/CD CI：开发⼈员 -> 提交代码 ->Gitlab 仓库 ->Jenkins/CI 抓取代码 -> 漏洞扫描 -> 编译 --> 推送 nexus 仓库 --> 部署⾄测试环境； CD：jenkins 拉取 Nexus 仓库代码 --> 部署⽣产环境； # 1.2 Docker 实现 CI/CD CI：开发⼈员 -> 提交代码 ->gitlab 仓库 ->Jenkins/

# Jenkins 分布式与权限 # 1. Jenkins 分布式介绍 # 1.1 什么是分布式 Jenkins ⾃带分布式特性，Master/Slave 模型。在 Master 上进⾏任务分配。然后由 Slave 或 Master 来完成。 1、能够分担主节点上的压⼒，加快构建速度。 2、能够将特定的任务在特定的主机上运⾏。 # 1.2 为何需要分布式 1、如果项⽬需要定期集成，同时每次集成都需要较⻓时间。当所有任务都运⾏在 master 上，会消耗过多资源，造成构建任务缓慢。那么这个时候就需要建⽴多台 Slave 节点服务器，来为 master 提供负载服务。 2、需要不同

# Jenkins Pipeine 实践 # 1. pipeline 基本概述 # 1.1 什么是 pipeline 简单来说， Pipeline 就是通过 “代码的⽅式” 将多个任务连接起来。共同来完成⼀件事； # 1.2 为什么需要 pipeline 1、pipeline 能直观展示每个阶段的任务 2、pipeline 能直观展示每个阶段的执⾏时间 3、pipeline 能快速的定位哪个阶段的任务出现错误 # 1.3 pipeline 语法示例 agent: 指定在哪个节点运⾏这个任务 stage: 阶段 steps: 动作 # 2. pipeline 基本应⽤ # 2.1 pip

# Jenkins SonarQube 实践 # 1. SonarQube 基本概述 # 1.1 什么是 SonarQube SonarQube 是⼀个开源的代码质量管理系统，⽤于检测代码中的错误、漏洞。它可以与 Jenkins 集成，让我们进⾏⾃动化代码质量扫描。 # 1.2 Sonarqube 服务架构 # 1.3 使⽤ Sonarqube 前提 SonarQube 基于 Java 开发，版本⾄少需要安装 Open JDK17 版本。 SonarQube 依赖数据库，不在是 MySQL ，⽽是 PostgreSQL（11-15 版本）、Oracle、SQLServer 等。 Sona

# Jenkins Nexus 实践 # 1. Nexus 制品库介绍 # 1.1 Nexus 基本介绍 Nexus 是⼀个制品库管理⼯具，类似于 yum 仓库。它能够加速项⽬的构建过程，提⾼团队的开发效率。Nexus 提供了⼀个集中式的制品库，开发⼈员可以通过⼿动或⾃动的⽅式将编译⽣成的 jar、war 包等上传⾄ Nexus。这样⼀来，其他开发⼈员或团队就能⽅便地获取和使⽤这些制品，避免了重复构建和下载，从⽽节省了时间和资源。 官⽅站点： https://www.sonatype.com/products/sonatype-nexus-reposit

# Jenkins Maven 实践 # 1. Java 项⽬基本概述 # 1.1 什么是 Java 项⽬ 简单来说就是使⽤ java 编写的代码，我们将其称为 java 项⽬。 # 1.2 Java 项⽬如何编译 由于 java 编写的代码是⽆法直接在服务器上运⾏，需要使⽤ maven ⼯具进⾏编译打包。 简单理解: Java 源代码就像汽⻋的⼀堆散件，必须组装才是⼀辆完整的汽⻋。 这⾥的 "组装汽⻋的过程" 就可以理解是 "Maven 编译打包" 的过程。 # 1.3 Java 项⽬实现架构图 # 2. Java 项⽬环境搭建 # 2.1 Hapr

# Jenkins FreeStyle 实践 # 1. Jenkins 实现 CI 实践 # 1.1 实现 CI 架构图 # 1.2 实现 CI 整体思路 1. 搭建 web 集群架构环境； 2. 模拟开发提交代码⾄ gitlab 、 3. 模拟运维拉取代码，并推送⾄ web 服务器组； 4. 将⼿动发布的操作编写为 Shell|Ansible 脚本，由 Jenkins 调⽤； # 2. ⼿动实现 CI 流程 # 2.1 负载均衡配置 1. 安装 Haproxy [root@proxy01 ~]# yum install socat haproxy -y2、配置 Haproxy [roo

# Jenkins 快速入门实践 # 1. 什么是 Jenkins Jenkins 是一个开源的持续集成工具，提供友好的 UI 界面，由 JAVA 开发而成。 Jenkins 是一个调度平台，本身不处理任何事情，调用插件来完成所有的工作。 # 2. Jenkins 安装部署 安装 Jenkins 只需要简单几步即可完成。PS: Jenkins 的安装方式很多，可参考。 安装 Jenkins 1、调整系统环境 [root@jenkins ~]# setenforce 0[root@jenkins ~]# systemctl stop firewalld2、设置语言，避免后期 Jenkins 汉

# 1、分布式版本控制系统 Git # 1.1 Git 快速⼊⻔ # 1.1.1 什么是 Git Git 是⼀个分布式的版本控制软件。 1、软件，类似于 QQ、office、 等安装到电脑上才能使⽤的⼯具。 2、分布式版本控制，类似于毕业论⽂、写⽂案、视频剪辑等，需要反复修改和保留原历史数据。 为什么要做版本控制？ 要保留之前所有的版本，以便回滚和修改。 # 1.1.2 安装 Git 1、windows 系统下载地址： https://git-scm.com/install/windows Administrator@Oldxu MINGW64 ~$

# Ansible 项目实战 (六) # 1. Ansilbe 管理集群架构 # 1. 服务器地址规划 角色 主机名称 外网地址 内网地址 routes route eth0:192.168.40.200 eth1:172.16.1.200 lbservers lb01 / eth1:172.16.1.3/VIP:172.16.1.100 lbservers lb02 / eth1:172.16.1.4/VIP:172.16.1.100 proxyservers proxy01 / eth1:172.16.1.5 ga

# Ansible delegate Jinja2 Roles # 1. Ansible delegate # 1.1 什么是 Task 委派 简单来说，就是本来需要在当前 "被控制端主机" 执行的操作，被委派给其他主机执行。 # 1.2 TASK 委派场景实践 1 场景说明： 1. 为 172.16.1.7 服务器添加一条 hosts 记录：1.1.1.1 oldxu.com 2. 同时要把这个 hosts 记录写一份至到 172.16.1.5 节点 3. 除此任务以外 172.16.1.7 的其他任务都不会委派给 172.16.1.5 执行。 1. 使用 deleg

# Ansible Task Control # 1.Ansible Task Control # 1.1 when 条件语句 when 关键字主要针对 TASK 任务进行判断，对于此前我们使用过的 yum 模块是可以自动检测软件包是否已被安装，无需人为干涉；但对于有些任务则是需要进行判断才可以实现的。 比如：web 节点都需要配置 nginx 仓库，但其他节点并不需要，此时就会用到 when 判断。 比如: Centos 与 Ubuntu 都需要安装 Apache，而 Centos 系统软件包为 httpd，而 Ubuntu 系统软件包为 httpd2，那么此时就需要判断主机系统，然后为不

# Ansible Variables # 1. Ansible Variables # 1.1 什么是变量 变量提供了便捷的方式来管理 ansible 项目中的动态值。 比如 nginx-1.12，可能后期会反复的使用到这个版本的值，那么如果将此值设置为变量，后续使用和修改都将变得非常方便。 # 1.2 变量定义的方式 在 Ansible 中定义变量分为如下三种方式： 1. 通过命令行传递变量参数定义 2. 在 play 文件中进行定义变量 2.1) 通过 vars 定义变量 2.2) 通过 vars_files 定义变量 3. 通过 inventory 在主机组或单

# Ansible Playbook 入门（二） # 1.Ansible 快速入门 # 1.1 什么是 Playbook playbook 是一个 由 yml 语法编写的文本文件，它由 play 和 task 两部分组成。 play： 主要定义要操作主机或者主机组 task：主要定义对主机或主机组具体执行的任务，可以是一个任务，也可以是多个任务（模块） 总结: playbook 是由一个或多个 play 组成，一个 play 可以包含多个 task 任务。 可以理解为：使用多个不同的模块来共同完成一件事情。 # 1.2 Playbook 与 Ad-Hoc 区别 playbook 是对 AD

# 1.Ansible 快速入门 # 1.1 什么是 Ansible Ansible 是一个 IT 自动化的配置管理工具，自动化主要体现在 Ansible 集成了丰富模块，以及强大的功能组件，可以通过一个命令行完成一系列的操作。进而能减少我们重复性的工作，以提高工作的效率。 # 1.2 Ansible 主要功能 批量执行远程命令，可以对 N 多台主机同时进行命令的执行。 批量配置软件服务，可以进行自动化的方式配置和管理服务。 实现软件开发功能， jumpserver 底层使用 ansible 来实现的自动化管理。 编排高级的 IT 任务， Ansible 的 Playbook 是一门编程语

# Shell 文本处理工具 awk # **1.**Awk 文本处理 # 1.1 什么是 awk awk 不仅仅是一个文本处理工具，通常用于处理数据并生成结果报告。 当然 awk 也是一门编程语言，是 linux 上功能最强大的数据处理工具之一。 # 1.2 为何需要正则表达式 第一种形式：awk 'BEGIN {} pattern {commands} END {}' file_name 第二种形式：standard output | awk BEGIN {} pattern {commands} END {} 第三种形式：awk -f awk-script-file

# Shell 常用命令 - grep-sed # 1.grep 正则表达式介绍 # 1.1 什么是正则表达式 以特定的符号 "表示一组数字或字母的"，一种规则 # 1.2 为何需要正则表达式 在工作中，我们时刻面对着大量的日志，程序，以及命令的输出。迫切的需要过滤我们需要的一部分内容，甚至是一个字符串。 比如：现在有一个上千行的文件，我们仅需要其中包含 “ERROR” 的行，怎么办？此时就需要使用到正则表达式的规则来筛选想要的内容。 # 1.3 正则表达式注意事项 正则表达式应用非常广泛，存在于各种编程语言中。 正则表达式和 Linux 的通配符以及特殊字符是有区别

# Shell 循环控制 - for-while # 1.for 循环 # 1.1 什么是循环 脚本在执行任务的时候，总会遇到需要循环执行的时候。 场景：批量创建 100 个用户，我们就需要使用循环来实现 # 1.2 什么是 for 循环 很多人把 for 循环叫做条件循环； 因为 for 循环的次数和给予的条件是成正比的，也就是你给 5 个条件，那么他就循环 5 次； # 1.3 for 循环基础语法 #1.for 循环基础语法示例[root@web01 ~]# cat for1.sh #!/bin/bashfor i in a b c do ech

# Shell 流程控制 - if-case # 1.if 判断语句 # 1.1 什么是 if if 就是模仿人类的判断来进行的，但它没有人类那么有情感，只有 True 和 False 这两种结果。 # 1.2 为何要使用 if 当我们在写程序的时候，经常需要对上一步的执行结果进行判断，那么判断就需要使用 if 语句来实现； if 语句在我们程序中主要就是用来做判断的； 不管大家以后学习什么语言，以后只要涉及到判断的部分，大家就可以直接拿 if 来使用； 不同的语言之间的 if 只是语法不同，原理是相同的。 # 1.3 if 的基础语法 # 1.3.1 单分支结构 # 单分支代码示例if

# Shell 脚本编程及 Sed、AWK 进阶实践 # 1. Shell 脚本概述 # 1.1. 什么是 shell Shell 是一个命令解释器，它在操作系统的最外层，负责直接与用户进行对话，将用户输入的命令翻译给操作系统，并将处理的结果输出至屏幕。 当然 shell 命令是存在 交互式、非交互式两种方式： 交互：日常使用，登陆、执行命令、退出； 非交互：直接读取某个文件，文件从头执行到尾即结束； # 1.2 Shell 脚本 #号的使用 #!/bin/bash#***************************************************

# DNS 域名解析服务 # 1. DNS 基本概述 # 1.1 为什么需要域名 在互联网中，使用 IP 地址与服务器进行通信根本行不通，原因如下： 1、不好记忆，例如：学校官网的 IP 地址是 "39.104.16.126" ，难以记忆； 2、IP 地址会经常变更，所以通过 IP 地址去访问某台机器就会发生访不到的问题； 此时 DNS 协议就应运而生了，那 DNS 解决了什么问题？DNS 主要用来管理域名（比较好记忆的字符）与 IP 地址（比较难记忆）的对应关系表。 # 1.2 什么是 DNS DNS（Domain Name System） 是 ” 域名系统 “英文缩

# Firewalld 防火墙 # 1. Firewalld 基本介绍 # 1.1 什么是 Firewalld 在 Centos7 系统集成了多款防火墙管理工具，默认启用的是 Firewalld（动态防火墙管理器），Firewalld 支持 CLI 及 GUI 的两种管理方式。 对于接触 Linux 较早的人员对 Iptables 比较熟悉。 由于 Iptables 的规则比较麻烦，并且网络有一定要求，所以学习成本较高。 但是 Firewalld 的学习对网络并没有那么高的要求，相对 Iptables 来说要简单不少。 # 1.2 Firewalld 默认策略 如果开启 Fire

# Iptables 防火墙实战 # 1.Iptables 基本介绍 # 1.1 什么是防火墙 过去，很长一段时期里，房屋都是草屋结构，如果一家失火，四邻也会跟着遭殃，所以为安全起见，古人就在自己居住地周围修筑搞搞的围墙，以阻挡外来的火势，保护自身的安全，这种墙就叫 “防火墙”。 如今，“英特网” 把世界各地的计算机都紧密地连接在一起。如果不严加防卫，一旦网络被侵害，可能会出现不可预计的损失。那么互联网上，我们会采用类似防火墙的方法，来保护我们的网络不受侵害，为此我们需要设定防火墙规则，确定哪些类型的数据包允许通过，哪些不允许通过。 那么具备这种功能的 “设备或软件” 就可以称之为 “防火墙

# 企业级负载均衡 LVS 场景实战 角色 主机名称 外网地址 内网地址 客服端 client eth0:192.168.40.41 / 路由器 route eth0:192.168.40.200 eth1:172.16.1.200 LVS lb01 / eth1:172.16.1.3/VIP:172.16.1.100 LVS lb02 / eth1:172.16.1.4/VIP:172.16.1.100 proxy proxy01 / eth1:172.16.1.5 proxy proxy02 &#

# 企业级负载均衡 LVS # 1. LVS 基本概述 # 1.1 什么是 LVS LVS 是 Linux Virtual Server 的简称，即 Linux 虚拟服务器。其实它是一种 Cluster 集群技术，主要用于负载均衡，将用户请求均匀的调度到不同部服务器上执行。LVS 是基于四层目标 IP、PORT 的负载均衡。 # 1.2 为何需要 LVS 1. 解决七层端口不够问题，实现百万链接； 2. 解决七层负载均衡高可用问题； # 1.3 LVS 组成部分 ipvsadm：用户空间的客户端工具，负责 ipvs 内核框架编写规则。定义谁是集群服务，谁是后端服务，数据包如何调度，调度

# Nginx 平滑升级 # 1.Nginx 平滑升级概述 # 1.1 什么是平滑升级 在进行服务版本升级的时候，对于用户访问体验无感知、不会造成服务中断。 # 1.2 平滑升级实现原理 # 1.3 平滑升级实现思路 如何实现 Nginx 平滑升级思路（建议准备一个大文件持续下载验证升级是否会影响业务） 1. 下载新版本 nginx 2. 了解原旧版本 nginx 编译参数 3. 将旧 nginx 二进制文件进行备份，然后替换成为新的 nginx 二进制文件 4. 向旧 nginx 的 Master 进程发送 USR2 信号 旧 master 进程的 pid 文件添加后缀.oldbin

# Nginx 高可用 - Keepalived # 1. 高可用基本概述 # 1.1 什么是高可用 简单理解：两台机器启动着相同的业务系统，当有一台机器宕机，另外一台服务器能快速的接管，对于访问的用户是无感知的； 专业理解：高可用是分布式系统架构设计中必要的一环，主要目的：减少系统不能提供服务的时间。假设系统一直能够提供服务，我们说系统的可用性是 100%。如果系统每运行 100 个时间单位，会有 1 个时间单位无法提供服务，我们说系统的可用性是 99%； 高可用的目的：减少系统 down 机时间，提高 SLA 服务等级； # 1.2 高可用使用什么工具 通常服务高可用我们选

# Nginx 安全 - HTTPS 加密实践 # 1.HTTPS 基本概述 # 1.1 为何需要 HTTPS 因为 HTTP 采用的是明文传输数据，那么在传输（账号密码、交易信息、等敏感数据）时不安全。容易遭到篡改，如果使用 HTTPS 协议，数据在传输过程中是加密的，能够有效避免网站传输时信息泄露 # 1.2 什么是 HTTPS HTTPS 安全的超文本传输协议，我们现在大部分站点都是通过 HTTPS 来实现站点数据安全。 早期网景公司设计了 SSL（Secure Socket Layer）安全套接层协议，主要对 HTTP 协议传输的数据进行加密。那如何将站点变成安全的 HTTPS 站点

# Nginx Rewrite 场景实战 # 1.Rewrite 基本介绍 # 1.1 什么是 Rewrite Rewrite 主要实现 url 地址重写， 以及 url 地址跳转。就是将用户请求 web 服务器的 URL 地址重新修改为其他 URL 地址的过程。 比如说京东，google、亚马逊都在使用 域名 重写后域名 www.z.cn www.amazon.cn www.g.cn www.google.cn www.360buy.com www.jd.com 58.com bj.58.com # 1.2 Rewrite 应用场景 1. 地址跳转，用户访问

# Nginx 代理 - Uwsgi 实践 # 1. Uwsgi 代理基本概述 # 1.1 什么是 wsgi WSGI，全称 Web Server Gateway Interface 是为 Python 语言定义的 Web 服务器 和 Web 应用程序之间的一种简单通用的接口。 WSGI 的官方定义，the Python Web ServerGateway Interface。从名字就可以看出来，这是一个 Gateway 网关。那么网关的作用就是在协议之间进行转换。 也就是说，WSGI 就像是一座桥梁，一边连着 web 服务器，另一边连着 web 应用程序。 # 1.2 什么是 uWSG

# Nginx 代理 - 动静分离 # 1. 动静分离基本介绍 # 1.1 什么是动静分离 简单来说就是将动态请求和静态请求分开处理。 # 1.2 为何需要动静分离 首先 Tomcat 应用服务器在处理静态资源时效率不高，但默认情况下无论 “动态、静态 “ 资源都是由 tomcat 处理，而 Tomcat 在处理静态资源时需要进行逻辑运算，从而会导致应用响应慢，并且会占用不必要的系统资源。 那么借助 Nginx 实现动态资源请求和静态资源请求分离后，可以减少系统不必要的消耗和延时。以便加快系统的处理性能。 # 1.3 如何实现动静分离 Nginx 通过用户请求的 uri 来区分请求的类型，

# Nginx TCP 四层负载均衡 # 1. 四层负载均衡基本概述 # 1.1 什么是四层负载均衡 所谓四层就是基于 * IP+* 端口的负载均衡，它通过用户请求的端口来决定将请求转发至哪台后端服务器。 就是通过三层的 IP 地址并加上四层的端口号，来决定哪些流量需要做负载均衡。对需要负载均衡的流量进行 NAT 转换，然后转发至后端服务器节点，并记录这个 TCP 或者 UDP 的流量是由哪台后端服务器处理的，后续这个连接的所有流量都同样转发到同一台服务器处理。 # 1.2 四层负载均衡应用场景 1. 场景一、端口代理 首先 http 当然是最常用的一种协议，但是还是有很多非 http 的应用

# Nginx 负载均衡基于 uri 调度场景 # 1. Nginx 负载均衡调度场景 # 1.1 根据 uri 进行调度 (路由) # 1.1.1 环境准备 系统版本 主机角色 外网 IP 内网 IP 端口 CentOS7 负载均衡 10.0.0.5 172.16.1.5 80 CentOS7 提供 /user 集群 10.0.0.7 172.16.1.7 80 CentOS7 提供 /pass 集群 10.0.0.8 172.16.1.8 80 # 1.1.2 配置应用节点 1、web01 配置 [root@web01 conf.d]# c

# Nginx 负载均衡会话共享 # 1. 什么是会话保持 当用户登陆一个网站服务器，网站服务器会将用户的登陆信息存储下来（存储下来的内容叫 Session ）以保证 我们能够一直处于 ” 登陆在线 “ 状态。 客户端：cookies 服务端：sessionID # 2. 为什么需要会话保持 由于我们使用的是负载均衡轮询机制，会导致用户请求分散在不同的节点，从而造成会话无法保持。假设用户 A，通过负载均衡登陆了网站，此时会话信息存储在 A 节点，那么当它一刷新，负载均衡会将请求分发给 B 节点，那么 B 节点没有用户 A 的登陆信息，就会提示用户 A 登陆，当 A 用户点击登陆时又会将请求

# Nginx 代理 - 负载均衡实践 # 1.Nginx 负载均衡基本概述 # 1.1 什么是负载均衡 负载均衡 Load Balance，指的是将用户访问请求所产生的流量，进行平衡，分摊到多个应用节点处理。负载均衡扩展了应用的服务能力，增强了应用的可用性。 # 1.2 为什么需要负载均 当我们的 Web 服务器直接面向用户，往往要承载大量并发请求，单台服务器难以负荷，我使用多台 WEB 服务器组成集群，前端使用 Nginx 负载均衡，将请求分散的打到我们的后端服务器集群中，实现负载的流量分发。从而提升整体性能、以及系统的容灾能力。 # 1.3 负载均衡与代理区别 Nginx 负载均衡与

# Nginx 反向代理服务 # 1.Nginx 代理概述 # 1.1 什么是代理 代理代理，代为办理，对于代理一词而言，我们并不陌生，在我们日常生活中常常用到。 比如代理理财、代理租房、代理收货等等 # 2. Nginx 正向代理 正向代理，(内部上网) 客户端 <--> 代理 -> 服务端 比如：科学的方式访问 Google # 3. Nginx 反向代理 反向代理，用于公司集群架构中，客户端 -> 代理 <--> 服务端 # 3.1 负载均衡 将用户发送的请求，通过负载均衡调度算法挑选一台合适的节点进行请求处理。 # 3.2 动静分离

# Nginx 基础架构 LNMP # 1. LNMP 架构基本概述 # 1.1 什么是 LNMP LNMP 是一套技术的组合，L=Linux、N=Nginx、M=[MySQL|Mariadb]、P=[PHP|Python]； nginx 仅支持解析 html 文件；图片传输；视频传输，不支持 php 脚本文件； # 1.2 LNMP 实现过程 用户请求 http://hmallleasing.com/index.php，对于 Nginx 服务而言，是无法处理 index.php 这样的脚本，那么 Nginx 该如何配置

# Nginx 常用模块 # 1. Nginx 安装部署 # 1.1 安装 Nginx 方式 安装 Nginx 软件的方式有很多种，分为如下几种 源码编译 =>Nginx (1. 版本随意 2. 安装复杂 3. 升级繁琐) epel 仓库 =>Nginx (1. 版本较低 2. 安装简单 3. 配置不易读) 官方仓库 =>Nginx (1. 版本较新 2. 安装简单 3. 配置易读，强烈推荐 # 1.2 安装 Nginx 依赖 [root@web01 ~]# yum install -y gcc gcc-c++ autoconf pcre p

# Nginx 基础 Http 协议 # 1.Http 协议介绍 # 1.1 什么是 URL 通常我们在访问一个网站页面时，请求到的内容通称为 "资源"。而 “资源 “这一概念非常宽泛，它可以是一份文档，一张图片，或所有其他你能够想到的格式。每个资源都由一个 URI 来进行标识；比如: http://fj.ixuyong.cn/public/tt.jpeg 这样的资源，我们会将该其称为 URL 地址；百度百科解释：URL 简称统一资源定位符，用来唯一地标识万维网中的某一个资源。URL 由协议、主机名称、端口以及文件名几部分构成。 #

# Vsftp 服务实践 # 一、VSFTP 概述 FTP 是 File Transfer Protocol（文件传输协议）的英文简称，用于 Internet 上的文件的双向传输。使用 FTP 来传输时，是具有一定程度的危险性， 因为数据在因特网上面是完全没有受到保护的明文传输方式。 VSFTP 是一个基于 GPL 发布的类 Unix 系统上使用的 FTP 服务器软件，它的全称是 Very Secure FTP，从名称定义上基本可以看出，这是为了解决 ftp 传输安全性问题的。 # 二、VSFTP 工作模式 # 2.1 Port 模式 FTP 客户端首先和服务器的 TCP 21 端口建立连接，

# Samba 服务实践 # 一、Samba 概述 SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同操作系统的计算机之间提供文件及打印机等资源的共享服务。SMB 协议是客户机 / 服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。如图： 1. ftp 的优缺点： 优点：文件传输、应用层协议、可跨平台 缺点：只能实现文件传输，无法实现文件系统挂载；无法直接修改服务器端文件 2. Samba 的特性： 使用 smb/cifs 协议、可跨平台、可实现文件系统挂载、可实

# Rsync 服务实践 环境准备 主机名 IP 角色 server 192.168.40.101 rsync 服务端 client 192.168.40.102 rsync 客户 # 1.rsync 服务端 # 1.1 关闭防火墙、selinux [root@localhost ~]# hostnamectl set-hostname backup[root@localhost ~]# bash[root@backup ~]# hostnamectl set-hostname aizj_lb01[root@backup ~]# systemctl stop firew

# NFS 网络文件系统 # 一、NFS 基本概述 NFS 是 Network File System 的缩写及网络文件系统。 NFS 的主要功能是通过” 局域网 “络让不同主机系统之间可以共享目录。 # 二、NFS 实现原理 本地文件操作方式 1. 当用户执行 mkdir 命令，BashShell 无法完成该命令操作，会将其翻译给内核。 2.Kernel 内核解析完成后会驱动对应的磁盘设备，完成创建目录的操作。 NFS 创建文件方式 1.NFS 客户端执行增、删等操作，客户端会使用不同的函数对该操作进行封装。 2.NFS 客户端会通过 TCP/IP 的方式传递给 NFS 服务端。

# Chrony 时间同步服务 # 一、时间同步基本概念 时间同步就是将本地时间与互联网时间进行校对，为系统提供一个统一时间的过程。由于本地时间的计时速率、运行环境不一致性。所有本地时钟纵使在某一刻被校准了 ，一段时间后，这些本地时钟也会出现不一致。为了本地时钟再次达到相同的时间值，所以需要进行时间同步的操作。 # 二、Chrony 时间服务 # 2.1 Chrony 介绍 chrony 是基于 ntp 协议的实现时间同步服务，它既可以当做服务端，也可以充当客户端； 1、chrony 是 NTP 的替代品，能更精确的时间和更快的速度同步时钟； 2、chrony 占用系统资源少，只有被唤起时才

# Linux—Centos7 修改网卡名称 首先我们先了解不同网卡名称对应的内核参数： biosdevname=0 net.ifnames=1：网卡名 “enps” 此内核参数一般为默认 biosdevname=1 net.ifnames=0：网卡名 “em*” biosdevname=0 net.ifnames=0：网卡名 “eth*” 本次以将网卡名命名为 eth * 格式作示例 # 1. 查看当前网卡的信息 [root@manager ~]# ifconfigens33: flags=4163<UP,

# Prometheus 服务发现与 Relabel # 一. Prometheus 服务发现 # 1.1 为什么需要服务发现 Prometheus 采⽤ Pull 模型来抓取⽬标主机的指标数据，这就意味着 Prometheus 必须事先知道每个要监控的⽬标的端点地址。然后才能从对应的 Exporter 或 Instrumentation 进⾏数据抓取。对于规模较⼩，且监控的⽬标不会频繁的发⽣变动，直接使⽤ static_configs 静态配置来监控它们，就⾮常简便。 但是，当我们⾯对容器应⽤的场景时，会发现监控的这些⽬标端点可能会频繁的发⽣变化。因此使⽤静态配置⽅法可能不太适⽤了。那么 P

# Prometheus 告警服务 # 一。什么是 AleartManager # 1.1 什么是 AleartManager 由于 Prometheus 本身⽆法实现告警，因此需要借助 AlertManager 来实现告警的推送。 Prometheus Server 会对已经设定好的 “告警规则” 进⾏定期评估，当检测到问题时，会⽣成相应的告警通知并发送给 AlertManager。AlertManager 则会根据告警消息所携带的 “标签” 和事先配置的 “路由规则（Routes）”，将告警消息分发⾄不同的接收器 / 接收⼈（receivers）。例如，带有 "syst

# Prometheus 监控实战（三） # 一. Promtheus 节点监控 # 1.1 配置 Prometheus [root@prom-node01 ~]# cat /etc/prometheus/prometheus.yml# 全局段定义global: scrape_interval: 15s # 设置 Prometheus 抓取指标数据的间隔，默认为 15 秒。# rules 配置文件路径rule_files: - "/etc/prometheus/rules/*.yml" # 抓取指定

# PromQL 快速入门（二） # 一. PromQL 基础概念 # 1.1 什么是 PromeQL Prometheus 内置了⼀种强⼤的查询语⾔：PromQL，即 PrometheusQuery Language。PromQL 允许⽤户实时查询监控数据，并对这些数据执⾏复杂的聚合和计算操作。 在 PromQL 中，查询的结果被称为 “向量（vector）”，分为两种类型： 1、即时向量（Instant vector）：即时向量查询返回的是⼀组时间序列数据，但每个时间序列中只包含单个的最新数据点。例如：查询当前时刻服务器 1 分钟的负载，所得到的结果就是⼀个即时向量。 2、范围向量（Ra

# Prometheus 监控实战（一） # 一、Prometheus 介绍 # 1.1 Prometheus 是什么 Prometheus 是由 SoundCloud 使⽤ Go 语⾔开发的时序数据库（简称 TSDB）但它的功能并⾮局限于 TSDB，因为它还⽀持对⽬标（如服务器、应⽤程序等）进⾏监控； 因此，我们也可以理解 Prometheus 是⼀款开源的 “监控系统”，但仅仅依托 Prometheus 不⾜以⽀撑整个监控系统，它需要结合⽣态内其他的组件来构建⼀个完整的 IT 监控系统。例如： AleartManager、Grafana、PushGateway 等等。 # 1.2 什么是时

# Prometheus 监控 Kubernetes # 一、监控 Kubernetes 环境准备 [root@k8s-master01 ~]# kubectl get nodesNAME STATUS ROLES AGE VERSIONk8s-master01 Ready <none> 46d v1.27.10k8s-master02 Ready <none> 46d v1.27.10k8s-master03 Ready <none> 46d v1.27.10k8s-n

# 100 个运维相关技术官网大汇总 # 1. 操作系统官网 名称 官网链接 Ubuntu https://ubuntu.com Debian https://www.debian.org RHEL https://www.redhat.com Rocky Linux https://rockylinux.org AlmaLinux https://almalinux.org Arch Wiki https://wiki.archlinux.

# K8S 基于 Jenkins 实现微服务应用 CICD 实践（四） CI 阶段：开发人员 -> 提交代码 ->gitlab 仓库 ->Jenkins/CI 抓取代码 -> 漏洞扫描 -> 编译 -> 构建镜像 -> 推送 Harbor-> 部署应用至 K8S 测试环境； CD 阶段：Jenkins/CD-> 拉取 Harbor 仓库对应项目镜像 -> 部署应用至 K8S 测试环境； # 一、环境准备 准备好 Java 代码、Dockerfile、deploy.yaml 资源清单文件 提交到 Gitlab 服

# K8S 基于 Jenkins 实现 SpringCloud 微服务 CI 与 CD 实践（三） CI 阶段：开发人员 -> 提交代码 ->gitlab 仓库 ->Jenkins/CI 抓取代码 -> 漏洞扫描 -> 编译 -> 构建镜像 -> 推送 Harbor-> 部署应用至 K8S 测试环境； CD 阶段：Jenkins/CD-> 拉取 Harbor 仓库对应项目镜像 -> 部署应用至 K8S 测试环境； # 一、环境准备 准备好 Java 代码、Dockerfile、deploy.yaml 资源清单文件

# K8S 基于 Jenkins 实现 Java 项目 CI 与 CD 实践（二） CI 阶段：开发人员 -> 提交代码 ->Gitlab 仓库 ->Jenkins/CI 抓取代码 -> 漏洞扫描 -> 编译 -> 构建镜像 -> 推送 Harbor-> 部署应用至 K8S 测试环境； CD 阶段：Jenkins/CD-> 拉取 Harbor 仓库对应项目镜像 -> 部署应用至 K8S 生产环境； # 一、提交代码 准备好 Java 代码、Dockerfile、deploy.yaml 资源清单文件 提交到 Gi

# K8S 基于 Jenkins 实现 SpringCloud 微服务 CI 与 CD 实践（一） CI 阶段：开发人员 -> 提交代码 ->gitlab 仓库 ->Jenkins/CI 抓取代码 -> 漏洞扫描 -> 编译 -> 构建镜像 -> 推送 Harbor-> 部署应用至 K8S 测试环境； CD 阶段：Jenkins/CD-> 拉取 Harbor 仓库对应项目镜像 -> 部署应用至 K8S 测试环境 # 一、部署 Harbor # 1.1 安装基础环境 [root@harbor ~]# yum rem

# 阿里云 ECS、SLB、RDS、CDN、ESS 应用与实践

# Tomcat JVM 调优实践 # 一、JVM 基础架构 # 1.1 Jvm 执行过程 使用 java 编程语言开发 java 源代码，然后通过编译器把 java 编译为 java 类文件也叫字节码； 通过类加载器 ClassLoader 将字节码加载到内存中，将其放在运行时数据区中的方法区内； 然后调用执行引擎在 JVM 虚拟机中运行，然后将字节码编译成底层系统指令，在交由 CPU 执行； 同时我们在编写程序时，不可能从头到尾去实现所有代码功能，可以通过 Java API 调用本地库接口（Native Interface）当中已经有的 java 代码来实现其他的功能（比如图形库、语言等

# Tomcat 配置管理实践 # 一、OracleJdk 安装 OracleJdk 下载地址：https://www.oracle.com/java/technologies/downloads/#java8 [root@web01 ~]# tar xf jdk-8u451-linux-x64.tar.gz -C /usr/local[root@web01 ~]# ln -s /usr/local/jdk1.8.0_451/ /usr/local

# 虚拟隧道网络 Openvpn # 一、什么是 VPN VPN（Virtual Private Network） 翻译过来就是虚拟专⽤⽹络，那虚拟专⽤⽹提供什么功能 将两个或多个 “不同地域 “的⽹络通过⼀条虚拟隧道的⽅式连接起来，实现互通； 在不安全的线路上提供安全的数据传输； # 二、VPN 应⽤场景 # 2.1 点对点连接 Peer-to-Peer VPN (点对点连接)，将 Internet 两台机器（公⽹地址）使⽤ VPN 连接起来，⽐如上海服务器和北京服务器的之间的数据需要相互调⽤，但是数据⼜⽐较敏感，直接通过 http 公共⽹络传输，容易被窃取。如果拉⼀条专线成本⼜太⾼。所

# ELK 收集 Kubernetes 组件日志分析与实践 # 一、ELK 创建 Namespace 和 Secrets # kubectl create ns logging# kubectl create secret docker-registry harbor-admin -n logging --docker-server=registry.cn-hangzhou.aliyuncs.com --docker-username=xyapples@163.com --docker-password=passwd# 二、交付 Zookeeper 集群至 K8

# Kubenetes 部署 Rabbitmq 集群 # 1. 创建 RBAC 权限 # cat 01-rabbitmq-rbac.yaml apiVersion: v1kind: ServiceAccountmetadata: name: rabbitmq-cluster namespace: prod---apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: rabbitmq-cluster namespace: prodrules:- apiGroups: [""] re

# Rabbitmq 集群部署 # 一、环境配置 # 1.1 关闭防火墙、Selinux systemctl disable --now firewalld setenforce 0sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinuxsed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config# 1.2

# 消费租赁项目 Kubernetes 基于 ELK 日志分析与实践 # 一、ELK 创建 Namespace 和 Secrets # kubectl create ns logging# kubectl create secret docker-registry harbor-admin -n logging --docker-server=registry.cn-hangzhou.aliyuncs.com --docker-username=xyapples@163.com --docker-password=passwd# 二、交付 Zookeeper 集

# 消费租赁系统微服务应用交付实践 # 一、部署中间件 # 1.1 部署 MySQL # 1.1.1 MySQL-ConfigMap [root@k8s-master01 01-nf-flms-mysql]# cat 01-mysql-cm.yaml apiVersion: v1kind: ConfigMapmetadata: name: mysql-cm namespace: proddata: my.cnf: |- [mysqld] #performance setttings lock_wait_timeout = 3600 open_files_

# Containerd 常用命令 # 1. 安装 Containerd 1.1 配置安装源 yum install wget jq psmisc vim net-tools telnet yum-utils device-mapper-persistent-data lvm2 git -yyum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo1.2 安装 docker-ce、containerd yu

# Redis Cluster 集群部署 # 1、环境配置 # 1.1 关闭防火墙、Selinux systemctl disable --now firewalld setenforce 0sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinuxsed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config#

# 1. Ingress Nginx Controller 安装 Supported Ingress-NGINX version k8s supported version Alpine Version Nginx Version Helm Chart Version 🔄 v1.12.1 1.32, 1.31, 1.30, 1.29, 1.28 3.21.3 1.25.5 4.12.1 🔄 v1.12.0 1.32, 1.31, 1.30, 1.29, 1.28 3.21.0 1.25.5 4.12.0 🔄 v1.12.0-beta.0 1.32, 1.31, 1.

# 阿里云 + github 构建镜像仓库解决 k8s.gcr.io 访问 由于 k8s.gcr.io/ 镜像仓库位于国外，国内使用 kubeadm 构建 docker 集群时无法访问相应的 docker 镜像。 # 1. 登录 Github 创建仓库 # 2. 创建 Dockerfile 仓库下面创建一个 Dockerfile，以 ingress-nginx-controller 为例下的 dockerfile 内容如下： [root@manager ~]# mkdir ingress-nginx-controller[root@manager ~]# cd ingress-n

# K8S 云原生存储 Rook-Ceph # 1. StorageClass 动态存储 StorageClass：存储类，由 K8s 管理员创建，用于动态 PV 的管理，可以链接至不同的后端存储，比如 Ceph、GlusterFS 等。之后对存储的请求可以指向 StorageClass，然后 StorageClass 会自动的创建、删除 PV。 实现方式： in-tree: 内置于 K8s 核心代码，对于存储的管理，都需要编写相应的代码。 out-of-tree：由存储厂商提供一个驱动（CSI 或 Flex Volume），安装到 K8s 集群，然后 StorageClass 只需要配置该

# K8S 持久化存储 NFS+StorageClass # 1. 搭建 NFS 服务器 #所有 K8S 节点安装 nfs-utils[root@k8s-node02 ~]# yum install nfs-utils -y #K8S-node02 节点配置 nfs 服务[root@k8s-node02 ~]# mkdir /data/nfs -p[root@k8s-node02 ~]# cat /etc/exports/data/nfs 192.168.1.0/24(rw,no_root_squash)[root@k

# K8s 细粒度权限控制 RBAC # 1. 创建不同权限的 clusterrole # 1.1 命令空间只读 namespace-readonly $ cat namespace-readonly.yamlapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: namespace-readonlyrules:- apiGroups: - "" resources: - namespaces verbs: - get - list - watch- api

# K8s 准入控制 ResourceQuota、LimitRange、QoS 服务质量 # 1. ResourceQuota 配置解析 ResourceQuotas 实现资源配额，避免过度创建资源，针对 namespace 进行限制。cpu 内存则是根据 pod 配置的 resources 总额进行限制，如果没有配置 resources 参数则无法限制。 apiVersion: v1kind: ResourceQuotametadata: name: resourcequota-test namespace: test labels: app: resourcequotaspec

# K8s 亲和力 Affinity Pod 和节点之间的关系： 某些 Pod 优先选择有 ssd=true 标签的节点，如果没有在考虑部署到其它节点； 某些 Pod 需要部署在 ssd=true 和 type=physical 的节点上，但是优先部署在 ssd=true 的节点上。 Pod 和 Pod 之间的关系： 同一个应用的 Pod 不同的副本或者同一个项目的应用尽量或必须不部署在同一个节点或者符合某个标签的一类节点上或者不同的区域； 相互依赖的两个 Pod 尽量或必须部署在同一个节点上或者同一个域内。 # 1. Affinity 分类

# K8s 容忍和污点 Taint 指定服务器上打上污点，让不能容忍这个污点的 Pod 不能部署在打了污点的服务器上。Toleration 是让 Pod 容忍节点上配置的污点，可以让一些需要特殊配置的 Pod 能够调用到具有污点和特殊配置的节点上。 # 1. Taint 配置解析 #1.Taint 语法# kubectl taint nodes NODE_NAME TAINT_KEY=TAINT_VALUE:EFFECT#2. 创建 Taint 示例# kubectl taint nodes k8s-node01 ssd=true:PreferNoSchedule#3. 查

# K8s 初始化容器、临时容器 # 1. 初始化容器 # 1. 1 初始化容器的用途 初始化容器主要是在主应用启动之前，做一些初始化的操作，比如创建文件、修改内核参数、等待依赖程序启动或其他需要在主程序启动之前需要做的工作。 Init 容器可以包含一些安装过程中应用容器中不存在的实用工具或个性化代码； Init 容器可以安全地运行这些工具，避免这些工具导致应用镜像的安全性降低； Init 容器可以以 root 身份运行，执行一些高权限命令； Init 容器相关操作执行完成以后即退出，不会给业务容器带来安全隐患。 # 1.2 初始化容器和 PostStart 区别 PostStart：依赖

# K8s 计划任务 Job、Cronjob # 1. Job 配置参数详解 # cat job.yaml apiVersion: batch/v1kind: Jobmetadata: labels: job-name: echo name: echo namespace: defaultspec: #suspend: true # 1.21+ #ttlSecondsAfterFinished: 100 backoffLimit: 4 completions: 1 parallelism: 1 template: spec: container

# K8s 持久化存储 # 1. Volume Container（容器）中的磁盘文件是短暂的，当容器崩溃时，kubelet 会重新启动容器，Container 会以最干净的状态启动，最初的文件将丢失。另外，当一个 Pod 运行多个 Container 时，各个容器可能需要共享一些文件。Kubernetes Volume 可以解决这两个问题。 一些需要持久化数据的程序才会用到 Volumes，或者一些需要共享数据的容器需要 volumes。 日志收集的需求需要在应用程序的容器里面加一个 sidecar，这个容器是一个收集日志的容器，比如 filebeat，它通过 volumes 共享应用程序

# K8s 配置管理 Configmap # 1. Configmap # 1. 1 基于 from-env-file 创建 Configmap # cat cm_env.conf podname=nf-flms-systempodip=192.168.1.100env=prodnacosaddr=nacos.svc.cluster.local#kubectl create cm cmenv --from-env-file=./cm_env.conf# 1.2 基于 from-literal 创建 Configmap # kubect

# K8s 服务发布 Service # 1. Service 类型 Kubernetes Service Type（服务类型）主要包括以下几种： ClusterIP：在集群内部使用，默认值，只能从集群中访问。 NodePort：在所有安装了 Kube-Proxy 的节点上打开一个端口，此端口可以代理至后端 Pod，可以通过 NodePort 从集群外部访问集群内的服务，格式为 NodeIP:NodePort。 LoadBalancer：使用云提供商的负载均衡器公开服务，成本较高。 ExternalName：通过返回定义的 CNAME 别名，没有设置任何类型的代理，需要 1.7 或更高版本

# K8s 资源调度 deployment、statefulset、daemonset # 1. 无状态应用管理 Deployment [root@k8s-master01 ~]# cat nginx-deploy.yaml apiVersion: apps/v1kind: Deploymentmetadata: name: nginx-deploy labels: app: nginx-deploy annotations: app: nginx-deploy namespace: defaultspec: selector: matchLabels:

# K8s 零宕机服务发布 - 探针 # 1. Pod 状态及 Pod 故障排查命令 状态 说明 Pending（挂起） Pod 已被 Kubernetes 系统接收，但仍有一个或多个容器未被创建，可以通过 kubectl describe 查看处于 Pending 状态的原因 Running（运行中） Pod 已经被绑定到一个节点上，并且所有的容器都已经被创建，而且至少有一个是运行状态，或者是正在启动或者重启，可以通过 kubectl logs 查看 Pod 的日志 Succeeded（成功） 所有容器执行成功并终止，并且不会再次重启，可以通过 kubectl logs

# 一键永久激活 Window、office 教程 1、按下 Win 键 + R，调出运行对话框，输入 powershell 并回车，启动命令提示符窗口。接着输入以下指令执行激活： irm https://get.activated.win | iex 该脚本包含四个功能：首个命令用于 Windows 系统永久激活，第二个用于 Office 永久激活，第三个将系统有效期延长至 2038 年，第四个则实现每 180 天自动循环激活。 2. 我们再次使用 Windows 徽标 + R 快捷键打开运行框，输入 slmgr.vbs/xpr 就可以看到系统已经永久激活了。

# 二进制高可用安装 K8s 集群 # 1. 基本配置 # 1.1 基本环境配置 主机名 IP 地址 说明 k8s-master01 ~ 03 192.168.1.71 ~ 73 master 节点 * 3 / 192.168.1.70 keepalived 虚拟 IP（不占用机器） k8s-node01 ~ 02 192.168.1.74/75 worker 节点 * 2 请统一替换这些网段，Pod 网段和 service 和宿主机网段不要重复！！！ * 配置信息 * 备注 系统版本 Rocky Linux 8/9

# MySQL 运维 DBA 应用与实践 # 1. 日志 在任何一种数据库中，都会有各种各样的日志，这些日志记录了数据库运行的各个方面。可以帮助数据库管理员追踪数据库曾经发生的一些事情。 对于 MySQL 数据库，提供了四种不同的日志帮助我们追踪。 错误日志 二进制日志 查询日志 慢查询日志 # 1.1 错误日志 错误日志是 MySQL 中最重要的日志之一，它记录了当 mysqld (MySQL 服务) 启动和停止时，以及服务器在运行过程中发生任何严重错误时的相关信息。当数据库出现任何故障导致无法正常使用时，建议首先查看此日志。 该日志是默认开启的，默认存放目录 /

# 云原生 K8s 安全专家 CKS 认证考题详解 # 1、K8s 集群安全加固：禁止匿名访问 #1. 更改授权模式和添加 NodeRestriction 准入控制器root@master01:~# cat /etc/kubernetes/manifests/kube-apiserver.yaml ... - --enable-admission-plugins=NodeRestriction - --authorization-mode=Node,RBAC...#2. 删除 clusterrolebindingroot

# Redis 集群（主从 + 哨兵）模式 # 一、什么是 redis 主从复制？ 主从复制，是指将一台 Redis 服务器的数据，复制到其他的 Redis 服务器。前者称为主节点 (master)，后者称为从节点 (slave), 数据的复制是单向的，只能由主节点到从节点。master 以写为主，slave 以读为主。 # 二、主从复制的作用 数据冗余：主从复制实现了数据的热备份，是持久化之外的一种数据冗余方式。 故障恢复：当主节点出现问题时，可以由从节点提供服务，实现快速的故障恢复；实际上是一种服务的冗余。 负载均衡：在主从复制的基础上，配合读写分离，可以由主节点提供写服务，由从节点提供

# Kubeadm 高可用安装 K8s 集群 # 1. 基本配置 # 1.1 基本环境配置 主机名 IP 地址 说明 k8s-master01 ~ 03 192.168.1.71 ~ 73 master 节点 * 3 / 192.168.1.70 keepalived 虚拟 IP（不占用机器） k8s-node01 ~ 02 192.168.1.74/75 worker 节点 * 2 请统一替换这些网段，Pod 网段和 service 和宿主机网段不要重复！！！ * 配置信息 * 备注 系统版本 Rocky Linux 8/

# 企业级私有仓库 Harbor 企业部署 Kuberetes 集群环境之后，我们就可以将原来在传统虚拟机上运行的业务，迁移到 kubernetes 上，让 Kubernetes 通过容器的方式来管理。而一旦我们需要将传统业务使用容器的方式运行起来，就需要构建很多镜像，那么这些镜像就需要有一个专门的位置存储起来，为我们提供镜像上传和镜像下载等功能。但我们不能使用阿里云或者 Dockerhub 等仓库，首先拉取速度比较慢，其次镜像的安全性无法保证，所以就需要部署一个私有的镜像仓库来管理这些容器镜像。同时该仓库还需要提供高可用功能，确保随时都能上传和下载可用的容器镜像。 # 1、关闭防火墙、Sel