istio里边另外一个概念就是 Ingress Gateways 了，我们先说一下为什么需要这个东西 前边说的VirtualService可以来控制说发送到我们service的流量，10%， 90%之类的，但是，前边说的例子是一个后端服务 也就是说，请求这个后端的也是pod，如下：   但是如果是前端的pod， 不经过任何pod……

什么是Envoy envoy是一个application , proxy，也就是我们istio中的sidecar, 这是istio使用的一个第三方工具 envoy可以脱离istio 独立运行，但是需要额外的配置，istio把envoy 和kubernetes 链接起来了，并把envoy进行了封装，让我们使用istio的时候可以简单的使用 ……

istio 的安装应该非常简单，我们不需要自己去修改每个Pod的定义来增加一个proxy 我们前提是有一个Kubernetes, 可以是自己的minikube ,也可是aws 的eks 然后我们需要一些yaml file ，我们可以从这个git 获取 https://github.com/DickChesterwood/istio-fle……

最近istiod的越来越流行，所以最近开始学习关于istio的一些原理 首先，什么是istio？ istio是 Service mess 的一种实现形式，那什么是 Service mess 呢？ Service mess 我们可以理解为是 kubernetes 其中的额外一层（不仅仅限于kubernetes），专门负责网络的一层，让我们能……

之前一篇说了如何连接两个network namespace ，那如何连接3个呢？或者5个？ 现实生活中，一根网线只能连接2台电脑，如果你有6台电脑，想相互之间通讯，那么就需要用到交换机：   我们需要把每个POD都插到交换机上，大家就可以内部通信了，首先，我们需要创建交换机 [crayon-6482d1d27176d400858……

首先，我们需要先搞清楚一个概念：network namespace , network namespace是一个类似process namespace的东西， process namespace 让我们的容器认为自己就是唯一， network namespace的作用也是一样，作用就是隔离 如果我们在一台机器上创建两个network na……

  kuberntes 中为了解决持久存储的问题，引入了新的对象：PV 因为我们docker上的临时存储都无法长久保存，pod重启就丢失了，而且pod会经常重启，所以我们就需要PV

pv 的概念相当于 是一个 磁盘，我们只是准备好了一个磁盘，可以是NFS， 也可以……

  默认情况下，kubernetes中所有的pod都是可以相互访问的，但如果你需要控制某些pod的访问权限，例如，DB pods只允许API 的pod 来访问，其他的pod无法访问，这个时候我们就要创建一个新的对象，叫networkpolicy 这其实就给我们的pod 加了一个防火墙，管理进出，进的是Ingress ，出的是Eg……

kubernetes中我们有时候可能需要从自己的registry pull代码， 这就需要使用用户名密码，kubernetes中通过一种特殊的secret来实现的：

这个是内置的secret类型，docker-registry， 里边存储了账号密码等信息，然后我们在创建po……

  个别时候，我们需要对我们cluster中的node进行维护，例如重启，我们如果不希望客户的pod手动影响，我们可以先drain这个node， 意思就是把上边的pod都迁移到其他node上，这样你重启这个机器就影响任何pod了

当我们重启完后，这个node状态时……