#!/bin/sh# 清理Docker容器日志文件的脚本logs=$(find /var/lib/docker/containers/ -name *-json.log) for log in $logs do echo -n "clean logs :"; du -sh $log cat /dev/null > $log...

0x00 前言最近在管理Rancher2.5部署的K8S集群发现一个问题，一旦Rancher Server不可用，直接在K8S master通过kubectl管理集群也会提示连接不到api提示不可用。分析Rancher UI生成的kubeconfig文件可以发现，当kubectl访问K8S API SERVER的时候，请求是先发送到Rancher，然后再...

0x00 前言在新版K8S中，即便 Service 使用 nodeport 暴露，在 node 中使用netstat -anp 或者ss -nlt命令上也看不到 kube-proxy 监听的端口了，但是 nodeport 访问是正常的。Kubernetes服务不是作为侦听特定端口的进程来实现的。取而代之的是使用iptables (或IPVS)，服务基本上...

1、滚动更新之健康检查重要性spec: containers: - name: my-container readinessProbe: tcpSocket: port: 9999 initialDelaySeconds: 60 periodSeconds: 10...

0x00 前置条件1、开启K8S API聚合。关于API聚合：https://kubernetes.io/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/2、集群中安装Metrics Server。0x01 开启Kubernetes API Aggreg...

0x00 HPA基本介绍Kubernetes 中的 Metrics Server 持续采集所有 Pod 副本的指标数据。HPA 控制器通过 Metrics Server 的 API（Heapster 的 API 或聚合 API）获取这些数据，基于用户定义的扩缩容规则进行计算，得到目标 Pod 副本数量。当目标 Pod 副本数量与当前副本数量不同时，HPA ...

0x00 Ingress金丝雀发布介绍Nginx Annotations 支持以下 4 种 Canary 规则：（1）nginx.ingress.kubernetes.io/canary-by-header：基于 Request Header 的流量切分，适用于灰度发布以及 A/B 测试。当 Request Header 设置为 always时，请求将...

0x01 Ingress-nginx的域名重定向（Redirect）# 关键配置#annotations:# nginx.ingress.kubernetes.io/permanent-redirect: 'https://www.baidu.com/'---apiVersion: networking.k8s.io/v1beta1kind: ...

0x01 开头这里的ingress一定要是nginx，进行复现的环境k8s版本是1.25，ingress里面参数nginx.ingress.kubernetes.io/rewrite-target，可以任意插入，就尝试插入 lua 代码通过注解注入特殊字符尝试闭合nginx配置文件块从而实现插入任意配置实现命令执行。0x02 复现1、exp-ingre...

0x00 介绍1、NFS-Subdir-External-Provisioner在Kubernetes中，一个PersistentVolume（PV）只能绑定到一个PersistentVolumeClaim（PVC）。PV和PVC之间是一对一的关系，每个PVC只能绑定到一个PV。使用支持动态PV和PVC创建的存储插件，您可以为每个PVC动态创建一个独立...