如何对 Kubernetes 中的应用进行抓包调试，直接进入容器安装 tcpdump 过于粗暴，更好的方式是进入 Pod 所在命名空间。

管理数据中心的 k8s 集群，最麻烦的是网络环境的限制，内网、单出口等，集群镜像拉取上，目前采用了两个方案，达成节省带宽与突破访问限制的目的。

API Server 作为 Kubernetes 的核心组件，接收包括用户和集群内部资源对象发来的请求，在处理这些请求之前，API Server 会通过凭证来认证请求是否有相应的权限。

早期版本的 Kubernetes 中，集群内以 token 作为身份认证的手段，这也意味着，如果以某种方式获取了这个 token 之后，就可以在 Kubernetes 中运行任意的 pod.

针对权限管理这个问题，Kubernetes 提出了插件形式的授权方法，包括基于角色的权限控制 ( RBAC , Role-Based Access Control ) 、基于属性的权限控制 ( ABAC , Attribute-Based Access Control )、 WebHook 插件以及自定义插件。

RBAC 作为 Kubernetes 的 GA (通用可用性) 级别的资源对象，在集群中是默认开启的，本文将介绍 RBAC 在 Kubernetes 中的利用。

一直以来都比较希望掌握在复杂系统中定位和分析问题的能力，所以也是承接上一片网络分析的文章，这篇文章中主要想试着尝试对程序运行过程中的问题进行分析和定位。

关于这个领域也是第一次接触，质量有限，之后再做增补。

灵活的使用各种网络分析工具，可以有效地快速定位问题。

承接上篇，本篇中将利用上篇构建的虚拟路由器实现几个简单的网络结构，并将测试不同路由协议。

近期接触到了 NFV (Network Function Virtulization)，简单来说就是通过虚拟化技术，在服务器、云主机上构建虚拟的网络设备(交换机、路由器等)，从灵活性、可扩展性、维护成本这些方面，是要优于专有网络硬件设备的。

NFV 主要依托KVM、LXD等虚拟化技术，在 VM 中利用 Quagga、Open vSwitch 等实现相应的功能，当然，基于容器 (Docker) 或者公有云私有云 (如 OpenStack 等) 的应用也是可以的。

本文主要内容：LXD，使用 LXD 构建虚拟路由器。

结构

参考官方文档，比较建议使用Linux发行商提供的官方cloud images进行二次定制。

数据中心集群断电后，openstack没法正常连接vm，本身系统也是前人部署，留下来的资料有限，debug比较麻烦，加之instance基本都没人在用，索性重装了。

UPDATE 2020/04/25

• 为了修个后视镜，把车都给拆咯

记录一下，以后再出问题时，稍微提供一些参考。