适用版本与环境说明:
在容器化环境中,端口暴露应遵循最小权限原则:
| 端口类型 | 是否映射到宿主机 | 说明 |
|---|---|---|
| 22/tcp (SSH) | ✅ 是 | 系统管理必需 |
| 80/tcp (HTTP) | ✅ 是 | Web 业务入口 |
| 443/tcp (HTTPS) | ✅ 是 | 安全 Web 入口(推荐) |
| 数据库端口 (5432, 3306等) | ❌ 否 | 仅容器内部访问 |
| 缓存端口 (6379, 11211等) | ❌ 否 | 仅容器内部访问 |
| 注册中心端口 (8848, 8500等) | ❌ 否 | 仅容器内部访问 |
| 后端服务端口 | ❌ 否 | 通过网关转发 |
| 管理后台端口 | ❌ 否 | 通过反向代理或VPN访问 |
[ 用户/外部网络 ] |
网络分层说明:
重要说明:
在 Docker Compose 环境中,服务间通信应使用容器名称(container_name)而非服务名称(service name)。容器名称是容器在网络中的唯一标识,确保服务间能够正确解析和访问。
安全策略:
# 启用 UFW 防火墙 |
预期输出:
Status: active |
# docker-compose.yml 顶层网络配置 |
| 服务类型 | 网络归属 | 端口映射 |
|---|---|---|
| Nginx (反向代理) | frontend + apps | 80:80, 443:443 |
| API Gateway | apps + middleware | 无 |
| Java 微服务 | apps + middleware | 无 |
| Python 后端 | apps + ai-services | 无 |
| PostgreSQL | middleware + apps | 无 |
| Redis | middleware + apps | 无 |
| Nacos | middleware + apps | 无 |
| MinIO | middleware + apps | 无 |
| AI 模型服务 | ai-services + apps | 无 |
当服务分布在不同 Docker Compose 文件中时,需要使用外部网络实现互联互通。关键步骤:
# 查看所有 Docker 网络 |
services: |
外部网络的名称必须与 docker network ls 中显示的名称完全一致。
services: |
关键点:
ports 配置中的端口是容器自身服务端口,如 Nginx 默认 80、PostgreSQL 默认 5432container_name 作为主机名,而非 service name# 危险!不要这样配置 |
# ❌ 原始配置(含敏感信息) |
# ❌ 原始配置(硬编码密码) |
# ❌ 原始配置 |
# 敏感配置文件 |
# .env.template(提交到版本库) |
server { |
说明: Nginx 反向代理配置中使用的是容器名称(gateway),这是容器在网络中的标识符,确保请求能正确路由到目标容器。
# 验证安全头是否生效 |
| 连接场景 | ❌ 错误配置 | ✅ 正确配置 |
|---|---|---|
| Java 连接 Nacos | <ip>:38848 | nacos:8848 |
| Java 连接 PostgreSQL | <ip>:35433 | postgres:5432 |
| Java 连接 Redis | <ip>:36379 | redis:6379 |
| Nginx 转发请求 | http://<ip>:8080 | http://gateway:8080 |
| 服务注册地址 | 宿主机 IP | 容器内部 IP(自动) |
核心原则: 所有服务间通信使用容器名称作为主机名,Docker 内部 DNS 会自动解析为容器的内部 IP 地址。
services: |
# 检查 Docker 端口映射 |
# 查看容器网络 |
# 检查 UFW 状态 |
# 检查配置文件中的敏感信息 |
version: '3.8' |
# .env.gateway |
诊断流程图:
┌─────────────────────────────────────────────────────────────┐ |
诊断命令链:
# ===== 第一阶段:网络连通性检查 ===== |
现象: Java 微服务无法连接 Nacos 或数据库
排查步骤:
# 1. 确认容器在同一网络 |
根因分析:
现象: 外部请求无法到达 Nginx 或返回 502
排查步骤:
# 1. 检查 Nginx 容器状态 |
根因分析:
现象: git status 显示 .env 文件或密码出现在日志中
排查步骤:
# 1. 检查 .gitignore 配置 |
修复方案:
# 1. 更新 .gitignore |
通过本指南的实施,你可以构建一个安全、可靠的 Docker 微服务架构环境,有效降低安全风险,保护业务系统免受外部威胁。
]]>适用版本与环境说明:
Kubernetes 版本迭代较快,部署前请访问 Kubernetes Releases 查看最新稳定版本和版本兼容性矩阵。
| 组件 | 功能 | 生产要求 |
|---|---|---|
| kube-apiserver | 集群 API 入口,认证授权 | 3+ 副本,负载均衡 |
| etcd | 分布式键值存储,保存集群状态 | 3+ 节点,定期备份 |
| kube-scheduler | Pod 调度决策 | 多副本,Leader选举 |
| kube-controller-manager | 控制器管理(Deployment、Node等) | 多副本,Leader选举 |
| cloud-controller-manager | 云平台集成控制器 | 可选,云环境必需 |
| 组件 | 功能 | 配置要点 |
|---|---|---|
| kubelet | 节点代理,与 API Server 通信 | 配置资源预留 |
| kube-proxy | 服务代理,实现 Service | iptables/IPVS 模式 |
| Container Runtime | 容器运行时(containerd/Docker) | systemd cgroup 驱动 |
Kubernetes 网络需满足四个要求:
┌─────────────────────────────────────────┐ |
┌────────────────────────────────────────────────────┐ |
高可用要点:
| 环境 | CPU | 内存 | 存储 | 说明 |
|---|---|---|---|---|
| 测试环境 | 2核 | 2GB | 20GB | 最小配置,仅用于学习 |
| 开发环境 | 4核 | 4GB | 50GB | 推荐配置,支持轻量应用 |
| 生产环境 | 8核+ | 16GB+ | 100GB+ | SSD存储,独立etcd |
| 大规模集群 | 16核+ | 32GB+ | 200GB+ | 高IO性能,专用磁盘 |
生产环境补充建议:
Control Plane节点:
| 端口 | 协议 | 服务 | 说明 |
|---|---|---|---|
| 6443 | TCP | API Server | Kubernetes API入口 |
| 2379-2380 | TCP | etcd | etcd服务端口 |
| 10250 | TCP | Kubelet | 节点状态和日志 |
| 10251 | TCP | Scheduler | 调度器端口 |
| 10252 | TCP | Controller | 控制器端口 |
| 10257 | TCP | kube-controller-manager | 安全端口 |
| 10259 | TCP | kube-scheduler | 安全端口 |
Worker节点:
| 端口 | 协议 | 服务 | 说明 |
|---|---|---|---|
| 10250 | TCP | Kubelet | 节点通信 |
| 10256 | TCP | kube-proxy | 代理健康检查 |
| 30000-32767 | TCP | NodePort | 服务暴露端口 |
| 网络插件 | 端口 | 说明 |
|---|---|---|
| Flannel | 8285/8472 | VXLAN通信 |
| Calico | 179/4789 | BGP/VXLAN |
| Cilium | 4240/8472 | 健康检查/VXLAN |
执行以下检查确保系统就绪:
# 1. 验证 MAC 地址唯一性 |
使用清华 TUNA 镜像加速软件包下载:
nano /etc/apt/sources.list |
替换为以下内容:
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie main contrib non-free-firmware |
Kubelet 无法在启用 Swap 的系统上运行:
# 立即禁用 |
使用 Containerd 作为容器运行时(Kubernetes 1.24+ 推荐):
# 1. 加载必需的内核模块 |
Containerd 生产级配置详解:
# /etc/containerd/config.toml 关键片段 |
添加 Kubernetes 官方仓库并安装 v1.33 版本:
# 1. 安装必需的工具 |
前置条件: 记录 Master 节点的 IP 地址(本例为 192.168.199.135)
# 初始化集群 |
初始化完成后,终端会输出:
kubeadm join 命令(必须保存供 Worker 节点使用)# 为当前用户配置 kubectl |
在 VM 2 上执行步骤 5 中保存的 kubeadm join 命令:
sudo kubeadm join 192.168.199.135:6443 --token <YOUR_TOKEN> \ |
<YOUR_TOKEN> 和 <YOUR_HASH> 来自步骤 5 的输出。
Kubernetes 需要网络插件实现 Pod 间通信。我们使用 Flannel:
# 部署 Flannel CNI |
如果网络不稳定或镜像下载缓慢,可提前在两台 VM 上加载 Flannel 镜像:
方案一:直接拉取镜像
# 1. 使用 ctr 直接拉取镜像到 containerd |
方案二:本地打包后导入
如果镜像源不可达,可在能访问外网的机器上下载后导入:
# 在能访问外网的机器上执行 |
如果 CoreDNS Pod 仍无法启动,执行以下修复:
# 1. 创建 CNI 标准目录 |
# 1. 检查所有节点状态(应全为 Ready) |
# 查看节点详细信息 |
┌─────────────────────────────────────────────────────────────┐ |
# ===== 第一阶段:节点状态检查 ===== |
原因分析:
解决方案:
# 1. 检查 Flannel Pod 状态 |
验证修复:
# 等待 1-2 分钟后检查 |
原因分析:
解决方案: 执行步骤 9 的修复步骤
# 1. 创建 CNI 标准目录(在所有节点执行) |
原因分析:
解决方案:
# 1. 在 Master 节点生成新 Token |
原因分析:
解决方案:
# 1. 检查镜像拉取错误 |
# 查看 Kubelet 日志 |
# 集群管理 |
编辑 /var/lib/kubelet/config.yaml(或通过 kubeadm 配置):
apiVersion: kubelet.config.k8s.io/v1beta1 |
应用配置:
sudo systemctl restart kubelet |
高并发场景配置(添加到 kubeadm init 参数):
sudo kubeadm init \ |
编辑 /etc/kubernetes/manifests/etcd.yaml:
spec: |
创建命名空间管理员角色:
apiVersion: rbac.authorization.k8s.io/v1 |
使用 Pod Security Standards:
apiVersion: v1 |
限制命名空间间通信:
apiVersion: networking.k8s.io/v1 |
证书有效期检查与更新:
# 检查证书有效期 |
cat << 'EOF' > k8s-health-check.sh |
备份脚本:
cat << 'EOF' > etcd-backup.sh |
恢复流程:
# 1. 停止所有控制平面组件 |
配置 Fluent Bit:
apiVersion: v1 |
应用层 文件系统 (ext4/xfs/btrfs) |
| 概念 | 说明 | 生产应用 |
|---|---|---|
| PV (Physical Volume) | 物理卷,LVM的基础构建块 | 多磁盘整合 |
| VG (Volume Group) | 卷组,存储池聚合 | 统一管理 |
| LV (Logical Volume) | 逻辑卷,虚拟分区 | 动态扩展 |
| PE (Physical Extent) | 物理块,最小分配单位 | 默认4MB |
| LE (Logical Extent) | 逻辑块,映射到PE | 空间映射 |
| 优势 | 传统分区 | LVM方案 | 生产价值 |
|---|---|---|---|
| 动态扩展 | 不支持 | 完全支持 | 在线扩容 |
| 存储池化 | 独立分区 | 统一池化 | 资源优化 |
| 快照功能 | 无 | 完整支持 | 数据保护 |
| 条带化 | 不支持 | IO性能提升 | 高性能 |
| 镜像 | 不支持 | RAID1镜像 | 高可用 |
我们的服务器配置如下:
/data)NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS |
/data 和 /home 等多个挂载点设计一个统一的LVM存储架构:
LVM采用三层架构设计,从底层到上层分别是:
应用层 文件系统 (ext4/xfs) |
物理卷是LVM的基础构建块,将物理存储设备(硬盘、分区)转换为LVM可管理的格式:
# PV创建过程中的关键操作 |
卷组将多个物理卷聚合为统一的存储池:
vgcreate data_vg /dev/nvme1n1 |
逻辑卷是用户实际使用的存储单元,具有以下特性:
| 特性 | 传统分区 | LVM |
|---|---|---|
| 大小调整 | 困难,通常需要重建 | 在线动态调整 |
| 跨磁盘 | 不支持 | 支持跨多个物理磁盘 |
| 快照 | 不支持 | 支持CoW快照 |
| 性能 | 单磁盘性能 | 支持条带化提升性能 |
| 管理复杂度 | 简单 | 中等,但功能强大 |
首先将NVMe1n1磁盘转换为LVM物理卷:
# 创建物理卷,写入LVM元数据 |
物理卷创建过程中,LVM会在磁盘开头写入以下信息:
# 创建卷组,将PV加入存储池 |
卷组创建后的关键参数:
# 创建逻辑卷,使用所有可用空间 |
关键参数说明:
-l 100%FREE: 使用所有可用的逻辑分区单元-n data1_lv: 指定逻辑卷名称data_vg: 目标卷组名称# 创建ext4文件系统 |
# 创建挂载点 |
使用rsync进行增量同步,保证数据一致性:
# 迁移/data数据,保持所有属性 |
rsync参数详解:
-a: 归档模式,保持权限、时间戳等-v: 详细输出-x: 不跨文件系统-H: 保持硬链接-A: 保持ACL-X: 保持扩展属性--progress: 显示进度# 比较文件数量 |
在卸载原分区前,必须确保没有进程占用:
# 查找占用/data的进程 |
发现SFTP进程正在传输大文件,这解释了为什么”静态文件”会有进程占用。
# 停止相关服务 |
# 备份fstab |
NVMe0n1已有分区表,需要清理:
# 清除分区表和文件系统签名 |
# 将新磁盘加入物理卷 |
# 查看存储状态 |
# 更新fstab,添加新挂载项 |
在实际项目中,我们遇到了以下挑战:
Get "http://110.1.20.3/v2/": dial tcp 110.1.20.3:80: connect: connection refused |
这个错误表明 Docker 客户端尝试使用 HTTP 协议连接 Harbor,但 Harbor 实际运行在 HTTPS 模式。
Step 1: 配置客户端证书
# 创建证书目录 |
Step 2: 配置 Docker daemon
编辑 /etc/docker/daemon.json:
{ |
关键配置说明:
"experimental": true - 启用 manifest 功能"insecure-registries": ["110.1.20.3"] - 信任自签名证书Step 3: 重启服务
# 重启 Docker |
missing key ca.key for client certificate ca.cert. CA certificates must use the extension .crt |
解决方法:
.crt 扩展名.key 文件)正确的证书目录结构:
/etc/docker/certs.d/110.1.20.3/ |
json: cannot unmarshal string into Go struct field Config.experimental of type bool |
解决方法:
// 错误写法 |
创建自动化脚本 pushImages.sh 来批量处理镜像:
|
如果需要手动创建多架构镜像,可以按以下步骤:
Step 1: 登录 Harbor
docker login 110.1.20.3 |
Step 2: 推送单架构镜像
# 为现有镜像打新标签 |
Step 3: 创建多架构 manifest
# 创建 manifest |
Step 4: 验证结果
# 查看 manifest 信息 |
1. 证书相关错误
x509: certificate signed by unknown authority |
解决: 确保正确配置了 CA 证书或使用 insecure-registries
2. Manifest 推送错误
tag does not exist: 110.1.20.3/library/java-gdal-local:3.8.5 |
解决: 使用 docker manifest push 而不是 docker push
3. 实验性功能未启用
docker manifest is only supported when experimental cli features are enabled |
解决: 在 daemon.json 中设置 "experimental": true
"experimental": true.crt)docker manifest push 推送 manifest将所有配置步骤整合成一个脚本:
|
通过本文的配置和脚本,我们成功解决了在自建 Harbor 中管理多架构镜像的问题。关键要点包括:
docker push 和 docker manifest push这套方案可以帮助团队高效地管理多架构容器镜像,支持在不同 CPU 架构的环境中无缝部署应用。
MinIO 的站点复制是一种集群级别的双向同步机制,可同步数据(桶、对象)和元数据(用户、策略、配置)。其主要特性包括:
本文将部署两个 MinIO 实例(SITE1 和 SITE2),通过 minio-mc 容器配置站点复制,并测试同步和故障恢复。
192.168.199.145,MinIO2: 192.168.199.147)。以下是 MinIO 和 minio-mc 服务的 Docker Compose 配置:
services: |
环境变量存储在 .env 文件中:
# MinIO |
site-replication.sh 用于配置站点复制:
|
mkdir -p /data/opt/installmiddleware/data/minio/data |
/data,并赋予权限:chown -R 1000:1000 ./data/minio/data |
docker-compose.yml 和 .env 文件。site-replication.sh,设置可执行权限:chmod +x site-replication.sh |
在 MinIO1 和 MinIO2 服务器上分别部署 MinIO 实例:
cd /data/opt/installmiddleware |
minio-mc 容器自动运行 site-replication.sh,配置站点复制。docker logs --tail 100 minio-mc |
Configuring aliases for SITE1 and SITE2... |
验证 MinIO1 创建的桶和上传的对象是否自动同步到 MinIO2。
docker exec -it minio-mc bash |
echo "Hello, MinIO!" > test.txt |
mc cp test.txt SITE1/test-bucket |
mc ls SITE2 |
[2025-05-13 16:40:00 CST] 0B test-bucket/ |
mc ls SITE2/test-bucket |
[2025-05-13 16:40:10 CST] 14B test.txt |
http://192.168.199.147:9000,登录(admin/Admin@123.com)。test-bucket 和 test.txt 存在。桶和文件成功同步,说明站点复制正常,同步延迟通常在毫秒级(RTT < 20ms)。
模拟 MinIO1 故障,验证 MinIO2 的服务可用性,并测试 MinIO1 恢复后的同步。
docker-compose stop minio |
minio-mc 容器中:mc admin replicate status SITE2 |
Bucket replication status: |
echo "MinIO2 test" > test2.txt |
mc ls SITE2/test-bucket |
[2025-05-13 16:45:00 CST] 14B test.txt |
docker-compose start minio |
curl -f http://192.168.199.145:9000/minio/health/live |
mc admin replicate resync start SITE2 SITE1 |
mc admin replicate status SITE2 |
Site Replication Status: |
mc ls SITE1/test-bucket |
[2025-05-13 16:45:00 CST] 14B test.txt |
test2.txt)同步成功,站点复制恢复正常。volumes: |
smartctl -a /dev/sdb |
ufw allow from 192.168.199.0/24 to any port 9000 |
admin/Admin@123.com)。environment: |
environment: |
minio_node_up)和复制延迟(minio_replication_last_hour_latency_millis)。通过 Docker Compose 和 site-replication.sh,我们部署了 MinIO 站点复制集群,实现了 MinIO1 和 MinIO2 的数据和元数据同步。同步测试验证了桶和对象的自动同步,故障恢复测试确认了 MinIO2 的高可用性和 MinIO1 恢复后的增量同步。该方案结合 20T 磁盘的存储容量,适用于高可用性场景。
如需进一步优化(如 webhook 通知、Flask API 集成),请参考 MinIO 文档:Site Replication。
]]>Windows 环境:
# 安装 WSL2 (Windows 子系统) |
Linux 环境:
# 安装 Docker |
# 验证 Docker 安装 |
# version: '3.8' |
Windows 用户注意:
$HOME/.cache/huggingface 替换为 C:/Users/Devops/.cache/huggingface/ 而非反斜杠 \# 下载 vLLM 镜像 |
# 检查容器状态 |
# 安装 huggingface_hub |
vLLM 会在首次启动时自动下载模型,但建议提前下载以避免超时。
curl http://localhost:28000/v1/completions \ |
创建 vllm-test.html 文件:
|
浏览器安全限制:
file:/// 协议直接打开 HTML 文件chrome.exe --user-data-dir="C:/Temp" --disable-web-security |
替代方案:
from openai import OpenAI |
浏览器测试:
python3 -m http.server 8000 |
http://localhost:8000/vllm-test.html命令行测试:
# 使用 httpie 工具 |
症状: 容器日志显示下载超时或失败
解决方案:
environment: |
症状: CUDA out of memory 错误
解决方案:
--gpu-memory-utilization 值 (如 0.5)--enforce-eager 参数减少内存占用症状: HTML 测试界面无法访问 API
解决方案:
command: |
症状: 卷挂载失败
解决方案:
volumes: |
量化:
command: |
批处理优化:
command: |
并行推理:
command: |
Cloudflare Tunnel 是 Cloudflare 提供的一项服务,通过运行轻量级客户端 cloudflared,在本地设备与 Cloudflare 全球网络之间建立安全的出站连接(outbound-only)。外部用户可以通过 Cloudflare 的网络访问你的本地服务,而无需直接暴露服务器的 IP 或端口。
cloudflared,这是 Cloudflare 提供的隧道守护进程。cloudflared 创建一个隧道,与 Cloudflare 边缘网络建立连接,无需公网 IP。与类似的反向隧道工具 ngrok 相比,Cloudflare Tunnel 有以下优势:
下面,我们将通过实际操作,展示如何使用 Cloudflare Tunnel 将本地运行的网页服务(http://localhost:19000)映射到公网域名 share.freemankevin.uk。
cloudflared:cloudflared.exe 放置在合适目录(如 C:\cloudflared\)。运行以下命令以安装 cloudflared 服务并绑定 Cloudflare 账户:
cloudflared.exe service install eyJhIjoiMjc0YzhmYzViSa2kih1k3MzVhNjBjNWQ1MTkzOWQyMDEiLCJ0IjoiMDEwNDI5MmEtNzEwYS00NTBkLWI3OGYtOTNjZTExYjhmYTZlIiwicyI6Ik56Um1ZVGcyT0dRdE9XUm1OaTAwWkRJM0xUbGxZemN0TWpKbFlUWmhabiJzTlRRMiJ9 |
eyJh... 是 Cloudflare 提供的认证令牌,请替换为你自己的令牌(从 Cloudflare 仪表盘获取)。
成功后,cloudflared 将作为系统服务运行。
创建名为 share 的隧道:
cloudflared tunnel create share |
输出类似以下内容:
Tunnel credentials written to C:\Users\Devops\.cloudflared\ab9d567c-00c0-46f3-83b7-680ei8b2f3f6.json. cloudflared chose this file based on where your origin certificate was found. Keep this file secret. To revoke these credentials, delete the tunnel. |
这会生成一个隧道 ID(ab9d567c-00c0-46f3-83b7-680ei8b2f3f6)和凭证文件(ab9d567c-00c0-46f3-83b7-680ei8b2f3f6.json)。请妥善保存凭证文件,避免泄露。
创建配置文件 config.yml,内容如下:
tunnel: share |
tunnel:指定隧道名称(share)。credentials-file:指定凭证文件路径。ingress:定义路由规则,将 share.freemankevin.uk 的请求转发到本地 http://localhost:19000,其他请求返回 404。将 config.yml 保存到 C:\Users\Devops\.cloudflared\ 目录。
在 Cloudflare 仪表盘中,添加 CNAME 记录:
| 类型 | 名称 | 目标 |
|---|---|---|
| CNAME | share | ab9d567c-00c0-46f3-83b7-680ei8b2f3f6.cfargotunnel.com |
或者,使用以下命令自动配置 DNS:
cloudflared tunnel route dns share share.freemankevin.uk |
运行以下命令启动隧道:
cloudflared tunnel --config C:\Users\Devops\.cloudflared\config.yml --origin-ca-pool C:\Users\Devops\.cloudflared\ca-certificates.pem --logfile C:\Users\Devops\.cloudflared\cloudflared.log run share |
参数说明:
--config:指定配置文件路径。--origin-ca-pool:指定 CA 证书路径(可选,通常用于企业环境)。--logfile:指定日志文件路径,便于调试。启动后,share.freemankevin.uk 将可通过公网访问,并指向本地 http://localhost:19000 的服务。
在浏览器中访问 https://share.freemankevin.uk,确认是否能正常访问本地服务。如果无法访问,检查以下内容:
http://localhost:19000)正在运行。cloudflared 日志(C:\Users\Devops\.cloudflared\cloudflared.log)以排查错误。为了方便启动和管理隧道,我们可以将上面的隧道共享服务添加到系统服务中:
# 以管理员身份打开 PowerShell |
添加后,cloudflared 将作为系统服务运行,无需手动启动。
如果不再需要该服务,可以卸载:
sc delete CloudflaredTunnel |
cloudflared 是否正常运行,查看日志文件。cloudflared 的出站连接(端口 443)。Ctrl+C 停止 cloudflared 进程。cloudflared tunnel delete share。Cloudflare Tunnel 是一个简单、安全且免费的工具,适合将本地服务暴露到公网。通过以上步骤,你可以轻松将本地网页服务映射到自定义域名,并享受 Cloudflare 提供的加密和 DDoS 防护。相比 ngrok,Cloudflare Tunnel 在成本、灵活性和安全性上更具优势,非常适合个人开发者、家庭用户或小型项目。
]]># 创建Nexus数据目录 |
创建.env文件:
# Nexus配置 |
创建docker-compose.yaml文件:
#version: '3' |
docker load -i images/nexus_3.79.0_amd64.tar.gz |
docker-compose up -d |
验证服务状态:
docker-compose ps |
如果需要重置管理员密码:
docker exec -it postgres bash |
--- 将默认admin 密码改为 admin123 |
docker-compose restart nexus |
curl http://localhost:18080/service/rest/v1/statuscurl http://localhost:8000/healthdocker exec postgres pg_isready -U nexusdocker logs nexus |
JVM调优:
-Xms4g -Xmx4g -XX:MaxDirectMemorySize=4g |
PostgreSQL配置:
max_connections = 200 |
清理策略:
RETAIN_COUNT: "5" |
| 问题 | 解决方案 |
|---|---|
| Nexus启动失败 | 检查JVM内存设置 |
| PostgreSQL连接错误 | 验证.env文件凭据 |
| 清理服务不工作 | 检查NEXUS_URL配置 |
本文详细介绍了Nexus在Docker环境中的完整部署方案,包含数据库集成、自动清理和备份功能。该方案适合生产环境使用,可根据实际需求进行调整优化。
相关资源:
~/.vimrc(Linux/Mac),如果文件不存在,可通过 vim ~/.vimrc 创建。以下是推荐的 Vim 配置项及其说明:
" 启用语法高亮 |
syntax on
filetype on
filetype plugin indent on 配合使用。filetype plugin indent on
colorscheme default
colorscheme desert)。set noautoindent
set nosmartindent
noautoindent 配合,适合粘贴大段文本。set formatoptions-=r
* 或 #。set formatoptions-=o
o 或 O(新行)时自动添加注释。set textwidth=0
set paste
:set paste),粘贴后关闭(:set nopaste),否则可能影响正常编辑。以下是配置项中可能发生的冲突及解决方法:
noautoindent、nosmartindent 与 filetype plugin indent on 的冲突
filetype plugin indent on 启用基于文件类型的自动缩进,而 noautoindent 和 nosmartindent 试图禁用所有自动缩进,导致行为不一致。filetype plugin indent on 或仅保留 filetype on 和 syntax on。set paste 的全局影响
set paste 是一个全局设置,会禁用缩进、自动补全等插件功能,长期启用可能干扰正常编辑。filetype plugin indent on 的效果,甚至可能与自定义键盘映射冲突。nnoremap <F2> :set paste!<CR> |
F2 启用,粘贴后再次按 F2 关闭。cindent(未包含但可能相关)的潜在冲突
set cindent(启用 C 风格缩进),会与 noautoindent 和 nosmartindent 冲突,因为 cindent 尝试应用缩进规则。cindent 和 noautoindent/nosmartindent。如果需要 C 风格缩进,移除前两者。根据上述分析,优化后的 ~/.vimrc 配置如下,兼顾语法高亮和粘贴优化:
" 启用语法高亮和文件类型检测 |
~/.vimrc,运行 source ~/.vimrc 应用。vim test.yaml),按 F2 进入粘贴模式,粘贴内容,检查格式。TERM 变量(echo $TERM 应为 xterm 或 xterm-256color)。paste 冲突。sudo apt update && sudo apt install vim 或 brew install vim)以获取最新功能。此配置优化了语法高亮和粘贴体验,消除了 noautoindent/nosmartindent 与 filetype plugin indent on 的冲突,并建议临时管理 paste 模式。安装后测试效果,若有特定需求(如支持特定语言),可进一步扩展配置。如需更多帮助,请提供使用反馈!
| 角色 | 主机名 | IP地址 | 配置 | 系统 |
|---|---|---|---|---|
| LB-1 | lb1.k8s.com | 192.168.171.134 | 2C4G | Debian 12 |
| LB-2 | lb2.k8s.com | 192.168.171.135 | 2C4G | Debian 12 |
| VIP | - | 192.168.171.133 | - | - |
| ETCD-1 | etcd1.k8s.com | 192.168.171.136 | 4C8G | Debian 12 |
| ETCD-2 | etcd2.k8s.com | 192.168.171.137 | 4C8G | Debian 12 |
| ETCD-3 | etcd3.k8s.com | 192.168.171.138 | 4C8G | Debian 12 |
| Master-1 | master1.k8s.com | 192.168.171.136 | 4C8G | Debian 12 |
| Master-2 | master2.k8s.com | 192.168.171.137 | 4C8G | Debian 12 |
| Master-3 | master3.k8s.com | 192.168.171.138 | 4C8G | Debian 12 |
| Worker-1 | worker1.k8s.com | 192.168.171.139 | 8C16G | Debian 12 |
| Harbor | harbor.k8s.com | 192.168.171.50 | 4C8G | Debian 12 |
| NFS | nfs.k8s.com | 192.168.171.140 | 4C8G | Debian 12 |
备份原始源文件 |
更新软件包索引 |
安装基础工具包 |
生成英文语言环境 |
配置SSH允许root登录 |
配置.bashrc |
配置静态IP |
关闭swap |
禁用不需要的服务 |
同步文件系统 |
创建一个初始化脚本 |
如果在初始化过程中遇到问题,可以检查以下几点:
journalctl -xesystemctl status <服务名>ping -c 4 8.8.8.8apt update更新系统并安装基础工具 |
在所有负载均衡节点上安装 |
创建健康检查脚本 |
配置主节点的keepalived |
配置备节点的keepalived |
检查配置文件语法 |
在所有负载均衡节点上安装 |
备份原配置 |
检查配置文件语法 |
检查VIP是否生效 |
检查日志 |
检查日志 |
网络配置:
安全建议:
维护建议:
性能优化:
修改主机名 |
在 etcd1 上执行 |
在所有节点上执行 |
在所有节点上执行 |
在所有节点上执行 |
在 etcd1 上执行 |
在 etcd1 上执行 |
在 etcd1 上执行 |
在所有节点上执行 |
在所有节点上执行 |
查看集群成员 |
创建备份目录 |
检查证书有效期 |
检查端口监听 |
查看实时日志 |
调整系统限制 |
--snapshot-count--quota-backend-bytes--auto-compaction-retention安全建议:
维护建议:
性能建议:
高可用建议:
配置本地解析 |
安装 LVM 工具 |
安装依赖包 |
创建 Docker 配置目录 |
下载 Docker Compose |
设置 Harbor 版本 |
创建配置文件 |
创建证书目录 |
cd /data/harbor |
复制证书到客户端 |
创建备份脚本 |
创建监控脚本 |
检查证书有效期 |
检查存储空间 |
检查服务状态 |
调整系统限制 |
安全建议:
维护建议:
高可用建议:
配置主机名 |
在所有节点上执行 |
安装 containerd |
下载并安装 CNI 插件 |
下载并安装 nerdctl |
添加 Kubernetes 软件源 |
创建证书目录 |
调整系统限制 |
禁用不必要的服务 |
验证模块加载 |
网络要求:
安全建议:
维护建议:
在 master1 节点上执行 |
在 master1 节点上执行 |
在其他 master 节点上执行 |
添加 worker 标签 |
添加 Helm 仓库 |
配置 CoreDNS |
在所有 master 节点上执行 |
验证集群状态 |
查看证书过期时间 |
升级 kubeadm |
清理节点 |
查看组件日志 |
高可用配置:
安全建议:
性能优化:
运维建议:
安装 NFS 服务器 |
允许 NFS 相关端口 |
在所有 Kubernetes 节点上执行 |
创建命名空间 |
创建测试 PVC |
创建监控脚本 |
性能优化:
安全建议:
维护建议:
高可用建议:
私有仓库Nexus信息示例:
http://nexus.your-company.com:8081/developer/your-passwordhttp://nexus.your-company.com:8081/repository/maven-public/http://nexus.your-company.com:8081/repository/maven-releases/http://nexus.your-company.com:8081/repository/maven-snapshots/需要修改settings.xml配置文件,使其完全通过企业内网Nexus访问依赖,而不是直接访问公网仓库。这样可以:
settings.xml示例配置:
<settings> |
如果在使用内网Maven公共仓库时无法拉取某些公网依赖包:
如果无法拉取内网私有包:
上传私有包到releases仓库:
hosted 类型的仓库才能上传成功对于需要批量上传的场景:
mvn deploy:deploy-file \ |
migrate-local-repo-tool.jar在项目顶级pom.xml中配置仓库信息:
<project> |
Nexus作为仓库管理工具的主要功能:
graph LR A[用户] --> |mvn install / package| B[maven] B --> C[nexus] C --> |查找依赖| D{判断} D -- 存在 --> E[直接返回给用户] D -- 不存在 --> F[找公网] F --> G[公共仓库] G --> H[maven中央仓库] G -.-> C C -.-> A为 GitLab 配置内网信任,允许 GitLab 访问内网服务。
192.168.x.x traefik.k8scluster.com |
通过 GitLab 与 ArgoCD 集成,实现流水线中对 ArgoCD 应用的自动化操作,同时隐藏 ArgoCD 真实服务器信息。
将构建的制品存储到 Minio,减轻 GitLab 服务器的负担。
修改 GitLab 配置文件:
sudo vim /etc/gitlab/gitlab.rb |
重载配置:
sudo gitlab-ctl reconfigure |
将构建的 Docker 镜像直接推送到 Harbor,无需重复配置。
调整 GitLab 上传文件的大小限制,以适应大文件的上传需求。
进入 管理员界面 或 项目组页面,选择 设置 -> CI/CD -> 流水线通用设置,调整 最大工件大小。
如果以上设置无效,修改 GitLab 服务器配置文件:
sudo vim /etc/gitlab/gitlab.rb |
重载配置:
sudo gitlab-ctl reconfigure |
配置 GitLab CI/CD,使机器人能够自动化更新代码。
优化 GitLab 性能,提高并发处理能力,减少响应时间。
shared_buffers 和 work_mem 设置:sudo vim /etc/gitlab/postgresql.conf |
sudo vim /etc/gitlab/gitlab.rb |
使用 SSD 存储:为 GitLab 配置 SSD 存储,提高 I/O 性能。
优化 Nginx 配置:调整 Nginx 设置,提高吞吐量:
sudo vim /etc/gitlab/nginx/gitlab-http.conf |
加强 GitLab 的安全性,防止潜在的安全漏洞。
sudo vim /etc/gitlab/gitlab.rb |
启用双因素认证(2FA):在 GitLab 设置页面启用 2FA。
使用 LDAP 或 OAuth 实现企业认证:
sudo vim /etc/gitlab/gitlab.rb |
配置自动备份,以确保 GitLab 数据的安全性。
sudo vim /etc/gitlab/gitlab.rb |
sudo gitlab-rake gitlab:backup:restore BACKUP=timestamp_of_backup |
通过日志管理和监控 GitLab 服务,及时发现和解决问题。
logrotate 管理 GitLab 日志文件:sudo vim /etc/logrotate.d/gitlab |
使用 Prometheus 和 Grafana 监控 GitLab:通过 Prometheus 集成监控 GitLab 性能,使用 Grafana 展示数据。
设置邮件通知:配置 GitLab 邮件通知,及时了解系统状态。
本文档涵盖了 GitLab 的常见配置优化、集成 CICD、备份恢复、安全加固和监控等方面。通过这些操作,您可以有效提升 GitLab 的性能、安全性和可靠性。如果您有任何问题或进一步的需求,欢迎留言讨论。
]]>GitLab Runner 是 GitLab CI/CD 的一个组成部分,用于执行 CI/CD 作业。本文将介绍如何在 Docker 环境中部署 GitLab Runner,并配置其与 GitLab 服务器的连接。我们将使用 Docker Compose 来管理 GitLab Runner 容器的启动和配置。
首先,我们需要为 GitLab Runner 创建一个 docker-compose.yml 配置文件。在该文件中,我们定义了 GitLab Runner 容器的基本配置信息,包括使用的镜像、挂载的卷以及容器的特权模式。
version: '3' |
在这个 docker-compose.yml 文件中,我们挂载了几个目录和文件以确保容器能够正确工作:
./gitlab-runner/:用于存储 GitLab Runner 配置。~/.docker:将主机上的 Docker 配置挂载到容器中。/var/run/docker.sock:容器通过这个挂载与宿主机的 Docker 守护进程进行通信,允许 Runner 执行 Docker 命令。GitLab Runner 需要在注册后才能与 GitLab 服务进行通信。以下是注册 GitLab Runner 的脚本,它通过 Docker 执行 gitlab-runner register 命令。
!/bin/bash |
在容器中,我们可以编辑 GitLab Runner 的配置文件 config.toml,以设置并优化 Runner 的行为。以下是 config.toml 文件的示例,其中包含了多个重要的配置项:
concurrent = 1 # 限制同时运行的作业数 |
privileged:启用特权模式,允许容器执行 Docker 操作。这是必需的,因为 GitLab Runner 需要能够在容器中执行构建任务。executor:指定运行作业的执行器,通常为 docker,可以在容器中运行任务。volumes:挂载卷,允许容器访问宿主机的文件系统。例如,挂载 Docker 套接字和共享缓存目录。memory 和 cpus:为 Runner 分配内存和 CPU 资源,根据需要调整这些参数以优化构建性能。完成以上配置后,我们可以通过以下命令启动 GitLab Runner 容器:
docker-compose up -d # 在后台启动服务 |
这将启动 GitLab Runner,并且它会自动与 GitLab 实例注册。您可以登录 GitLab 查看 Runner 是否成功注册并开始处理作业。
]]>首先创建目录并下载 Grafana 的 Helm Chart。
mkdir -p grafana |
values.yamlGrafana 的 values.yaml 文件用于配置 Helm Chart 部署的参数。以下是常用的配置项:
image: |
镜像配置 (image):选择正确的 Grafana 镜像版本。这里的 tag 参数设置为具体版本,如 10.2.3。
Ingress 配置 (ingress):
nginx.ingress.kubernetes.io/rewrite-target:将请求路径重写为适合 Grafana 的路径。path 和 pathType 配置了访问路径,并使用正则匹配来灵活处理请求。hosts 配置为本地域名,确保 Grafana 可以通过指定域名访问。持久化配置 (persistence):
1Gi,并选择合适的存储类 default。额外的挂载配置 (extraVolumeMounts):
使用以下命令来安装 Grafana 并指定自定义的 values.yaml 配置文件:
helm install grafana -f grafana/values.yaml ./grafana --namespace grafana --create-namespace |
安装完成后,您可以通过以下命令获取 Grafana 的默认管理员密码:
kubectl get secret --namespace grafana grafana -o jsonpath="{.data.admin-password}" | base64 --decode ; echo |
Grafana 控制台可以通过以下 DNS 地址访问:
http://grafana.k8scluster.com |
登录时,使用管理员账户 admin 和密码。
若需要对已部署的 Grafana 进行更新(例如修改配置),可以使用以下命令:
helm upgrade grafana -f grafana/values.yaml ./grafana --namespace grafana |
更新后同样可以通过以下命令获取更新后的管理员密码:
kubectl get secret --namespace grafana grafana -o jsonpath="{.data.admin-password}" | base64 --decode ; echo |
Grafana 控制台可以通过浏览器访问以下地址:
http://grafana.k8scluster.com:30886/grafana |
登录时,使用之前获取的管理员密码进行登录。
为 Prometheus 和 Alertmanager 创建一个 Ingress 资源,使其通过域名访问。
kind: Ingress |
通过 htpasswd 创建一个基本认证文件,并将其作为 Secret 存储:
htpasswd -c auth admin # 设置管理员密码 |
创建 Kubernetes Secret,用于存储基本认证凭证:
kubectl create secret generic prometheus-basic-auth --from-file=auth -n monitoring |
KubeSphere 是一个开源的容器管理平台,可以轻松实现 Kubernetes 集群的统一管理。要安装 KubeSphere,我们可以通过 Helm 工具进行在线安装,步骤如下:
首先,在 Kubernetes 集群中应用 KubeSphere 的安装文件:
kubectl apply -f https://github.com/kubesphere/ks-installer/releases/download/v3.4.1/kubesphere-installer.yaml |
接着,设置区域为中国:
export KKZONE=cn |
然后,通过 Helm 安装 KubeSphere:
helm repo add kubesphere https://charts.kubesphere.io/main |
安装过程会自动拉取所需的镜像并配置相应的服务。
安装完成后,您可以使用以下命令查看 KubeSphere 安装日志,确保安装成功:
kubectl logs -n kubesphere-system -l app=ks-installer -f |
然后,使用浏览器访问 KubeSphere 控制台:
控制台: http://<Your-IP>:30880 |
如果需要卸载 KubeSphere,您可以通过以下命令进行操作。请注意,卸载过程会删除 KubeSphere 所有相关资源,请谨慎操作。
首先,执行卸载命令:
helm uninstall ks --namespace kubesphere-system |
然后,清理残留的资源:
kubectl delete namespace kubesphere-system |
如果遇到命名空间无法删除的情况,可以手动删除 finalizers 字段:
kubectl get namespace kubesphere-system -o json > kubesphere-system-temp.json |
完成后,KubeSphere 就会被彻底卸载。
在一些场景下,您可能需要为 KubeSphere 控制台添加一个代理,以便更方便地通过自定义域名访问。下面是如何通过 Docker Compose 配置 Nginx 代理服务的步骤。
首先,创建一个 docker-compose.yaml 文件,配置 Nginx 代理,并映射 KubeSphere 控制台的端口。以下是完整的配置文件内容:
version: '3.8' |
ks-console-proxy:此服务为 KubeSphere 控制台提供反向代理。ports:映射容器的 HTTP (8080) 和 HTTPS (8443) 端口,方便用户通过浏览器访问控制台。volumes:/etc/localtime:/etc/localtime:ro:使容器时区与宿主机一致。./nginx/ssl:/etc/nginx/ssl:存放 SSL 证书的目录,用于加密 HTTPS 访问。./nginx/nginx.conf:/etc/nginx/nginx.conf:Nginx 的主配置文件。./nginx/conf.d/ks-console.conf:/etc/nginx/conf.d/default.conf:配置 KubeSphere 控制台的反向代理规则。/data/nginx/logs:/var/log/nginx:容器的日志文件存放目录。healthcheck:配置健康检查,确保容器正常运行。在您的服务器上,创建以下目录结构:
ks-console |
Nginx 配置文件 nginx.conf(位于 ./nginx/nginx.conf):
user nginx; |
KubeSphere 控制台代理配置 ks-console.conf(位于 ./nginx/conf.d/ks-console.conf):
# HTTP server |
完成配置后,进入 ks-console 目录并运行以下命令启动 Nginx 代理服务:
docker-compose up -d |
通过浏览器访问 KubeSphere 控制台,您应该能够通过配置的自定义域名访问控制台,如 https://kubesphere.k8scluster.com:8443。
| 功能 | 说明 | 生产应用 |
|---|---|---|
| 七层路由 | 基于域名/路径的路由 | 微服务流量管理 |
| TLS终止 | SSL/TLS证书管理 | HTTPS服务暴露 |
| 负载均衡 | 多后端Pod流量分发 | 高可用保障 |
| 会话保持 | 基于Cookie的会话粘性 | 状态应用支持 |
| 速率限制 | 基于IP/路径的限流 | 安全防护 |
| 监控指标 | Prometheus集成 | 性能观测 |
DaemonSet模式:每节点部署一个Pod
Deployment模式:指定副本数部署
首先,添加 ingress-nginx 官方仓库并更新仓库信息,接着拉取所需的 Helm 包。
helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx |
helm search repo ingress-nginx/ingress-nginx -l # 查看所有版本 |
tar xf ingress-nginx-4.8.3.tgz |
values.yaml在安装之前,您可能需要根据需求修改 values.yaml 文件,以配置 ingress-nginx 控制器的行为。常见的配置修改包括暴露 NodePort 端口。
values.yaml 文件修改 values.yaml 文件中的 service 配置,将 type 设置为 NodePort,并配置 nodePorts。
service: |
ingress-nginx 控制器安装 ingress-nginx 控制器并创建一个 ingress-nginx 命名空间:
helm upgrade --install ingress-nginx ./ingress-nginx --namespace ingress-nginx --create-namespace |
安装完成后,您将看到类似以下输出:
Release "ingress-nginx" does not exist. Installing it now. |
为测试 Ingress 控制器,首先创建一个简单的 HTTP 服务:
kubectl create deployment demo --image=httpd --port=80 |
创建一个 Ingress 资源,配置一个简单的路由规则,指向刚才暴露的 demo 服务:
kubectl create ingress demo-localhost --class=nginx \ |
kubectl port-forward 进行本地访问通过 port-forward 将 Ingress 控制器暴露到本地端口:
kubectl port-forward --namespace=ingress-nginx service/ingress-nginx-controller 8080:80 |
接着,您可以通过以下方式测试:
curl --resolve demo.localdev.me:8080:127.0.0.1 http://demo.localdev.me:8080 |
您应当看到:
<html><body><h1>It works!</h1></body></html> |
为了启用 HTTPS,需要创建一个包含证书和私钥的 Kubernetes Secret,并在 Ingress 资源中引用该 Secret。
如果您没有现成的证书,可以使用 openssl 创建一个自签名证书(仅用于测试):
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout demo-tls.key -out demo-tls.crt |
这将生成 demo-tls.crt 和 demo-tls.key 文件。
使用以下命令将证书和私钥创建为 Kubernetes Secret:
kubectl create secret tls demo-tls-secret \ |
编辑您的 Ingress 配置,引用刚刚创建的 demo-tls-secret:
apiVersion: networking.k8s.io/v1 |
在 Ingress 配置完成后,您可以通过浏览器访问 https://www.demo.io 来验证 HTTPS 是否正常工作。如果一切配置正确,您应该能够安全地访问您的服务。
如果您希望使用自定义域名访问服务,可以修改本地 hosts 文件,将域名指向相应的 IP 地址:
echo "192.168.1.120 www.demo.io" | sudo tee -a /etc/hosts |
之后,通过浏览器访问 http://www.demo.io:30886/ 或 https://www.demo.io:30887/ 来验证服务。
通过以上步骤,您成功安装并配置了 ingress-nginx 控制器,并通过 Kubernetes Secret 配置了 TLS 加密连接,确保了流量的安全传输。您还可以根据实际需求调整端口、证书和域名等配置,进一步优化您的部署。
如何修改暴露端口?
您可以通过编辑 values.yaml 文件中的 nodePorts 配置项,来修改暴露的端口号。
如何启用 TLS?
在 Ingress 配置文件中添加 tls 部分,并确保 Secret 包含有效的证书和私钥。
如果使用自签名证书?
使用自签名证书时,浏览器可能会显示不受信任的警告,您可以忽略这个警告,或者在浏览器中将证书添加到信任列表。
| 组件 | 功能 | 生产配置 |
|---|---|---|
| API Server | Web UI和API接口 | 高可用副本 |
| Repo Server | Git仓库同步服务 | 多副本 |
| Application Controller | 应用状态控制器 | 单实例Leader选举 |
| Dex | OIDC认证服务 | 可选,集成外部认证 |
┌──────────────┐ |
单实例模式:适合测试和小规模应用
高可用模式:生产环境推荐
# 查看版本兼容性 |
# 下载 ArgoCD CLI |
在所有需要使用 ArgoCD CLI 的节点上执行安装:
# 分发 CLI 到其他节点(根据实际环境修改节点名称) |
# 创建专用命名空间 |
# 添加 Helm 仓库 |
# 检查 Pod 状态 |
# 配置 NodePort 访问(端口号根据实际情况调整) |
在 CoreDNS 中添加解析:
# 编辑 CoreDNS 配置 |
# 获取管理员密码 |
# 登录 ArgoCD(使用实际的域名和端口) |
编辑 argocd-rbac-cm 配置:
apiVersion: v1 |
编辑 argocd-cm 配置:
apiVersion: v1 |
# 设置资源限制 |
# 创建 TLS 证书(使用实际的证书文件) |
# 检查密码是否正确 |
# 检查应用状态 |
# 检查组件状态 |
# 查看可用的 Runner 版本 |
# 创建工作目录 |
编辑 gitlab-runner/values.yaml 配置文件:
# Runner 镜像配置 |
kubectl create ns gitlab-runner |
# 创建 Harbor 认证密钥 |
# 创建 Runner 注册密钥 |
# 部署 Runner |
# 更新 Runner 配置 |
# 完全卸载 Runner |
# 编辑 /etc/gitlab/gitlab.rb |
http(s)://<gitlab-server>:<port>/admin/application_settings/networkharbor.your-domain.com |
http(s)://<gitlab-server>:<port>/groups/your-group/-/settings/integrationshttps://your-harbor-serveryour-project-nameyour-robot-accountyour-robot-password在所有 Worker 节点上配置 Harbor 证书:
# 复制证书 |
# 检查 Harbor 认证配置 |
# 检查 Runner 状态 |
检查 Runner Pod 的资源限制是否生效:
kubectl get pod <runner-pod-name> -n gitlab-runner -o yaml |
# 查看 Runner Pod 日志 |
# 检查 helm 版本 |
# 添加官方 helm 仓库 |
创建 values.yaml 配置文件:
# Traefik 基础配置 |
# 创建命名空间并安装 Traefik |
# 创建证书目录 |
kubectl create secret tls traefik-ingress-dashboard \ |
# 安装 htpasswd 工具 |
# traefik-websecure-dashboard.yaml |
# traefik-middleware.yaml |
# 配置 NodePort 服务 |
echo "${NODE_IP} traefik.k8scluster.com" >> /etc/hosts |
# 检查证书是否正确创建 |
# 检查 Pod 状态 |
# 更新 Traefik 配置 |
┌──────────────────────────────────┐ |
| 证书类型 | 适用场景 | 成本 | 安全性 | 生产推荐 |
|---|---|---|---|---|
| 自签名证书 | 内网测试 | 免费 | 中等 | 开发环境 |
| 企业CA证书 | 内部系统 | 低 | 高 | 企业首选 |
| 公共CA证书 | 公网服务 | 中-高 | 最高 | 生产首选 |
| Let’s Encrypt | 公网免费 | 免费 | 高 | 成本优化 |
| 配置方式 | 配置路径 | 优势 | 适用场景 |
|---|---|---|---|
| 内置TLS | /etc/minio/certs | 简单快速 | 小规模部署 |
| Nginx代理 | Nginx配置文件 | 灵活负载 | 大规模生产 |
| Traefik代理 | 动态配置 | 自动证书 | Kubernetes |
| HAProxy代理 | 高可用 | 性能优化 | 高并发场景 |
| 配置项 | 推荐值 | 说明 |
|---|---|---|
| TLS版本 | TLS 1.2/1.3 | 安全协议 |
| 加密套件 | AES-256-GCM | 强加密 |
| 证书有效期 | 365天 | 定期更换 |
| CA链验证 | 完整链 | 身份验证 |
| HSTS | 启用 | 强制HTTPS |
添加MinIO仓库 |
下载MinIO客户端 |
mkdir -p /etc/minio/ssl/certs && cd /etc/minio/ssl/certs |
cat > openssl-ca.cnf <<EOF |
cat > openssl-server.cnf <<EOF |
生成CA证书 |
mkdir -p /data/minio |
cat > /etc/default/minio <<EOF |
useradd -r minio-user -s /sbin/nologin |
apt update && apt install nginx -y |
cat > /etc/nginx/conf.d/minio.conf <<EOF |
systemctl start minio |
systemctl start nginx |
systemctl status minio |
测试API端点 |
访问控制:
证书管理:
网络安全:
/etc/security/limits.conf |
存储优化:
网络优化:
数据备份:
监控告警:
版本管理:
常见问题:
日志分析:
MinIO日志 |