一世贪欢的私域

目标：用你现有的 step PKI（root CA + intermediate CA），让集群里任何服务都能 自动获得 HTTPS 证书并自动续期。以后新增服务 = 复制一份 Ingress 即可。 准备环境，harbor、dnsmaqs 等。 一、安装 cert-manager 12345678910111213helm repo add jetstack https://charts.jetstack.iohelm repo update jetstack# 查最新版本（可选）helm search repo cert-manager --versions | headhelm install cert-manager jetstack/cert-manager \ --namespace cert-manager --create-namespace \ --version v1.20.2 \ --set crds.enabled=true # 注意：新版是 crds.enabled，不是旧的 installCRDs# 三个 pod 都 Run...

MetalLB 是一个用于裸机 Kubernetes 集群的负载均衡器实现，使用标准路由协议。 占用一个虚拟的 IP 地址，转发到对应的 ingress，而不占用宿主机的端口。 一、准备工作 开启 strictARP 1kubectl edit configmap -n kube-system kube-proxy 12ipvs: strictARP: true 不确定自己是哪种模式就执行 kubectl get configmap kube-proxy -n kube-system -o yaml | grep mode，看到 mode: "ipvs" 才需要改。 二、 Helm 安装 MetalLB 本体 添加官方 Helm 仓库后安装 1234567helm repo add metallb https://metallb.github.io/metallbhelm repo updatehelm install metallb metallb/metallb \ --namespace metallb-system \ --creat...

一、安装 Github 仓库 Github Release竟然没有编译好的包。 下载 1wget https://get.helm.sh/helm-v4.2.0-linux-amd64.tar.gz 解压 1tar xf helm-v4.2.0-linux-amd64.tar.gz 移动 1mv linux-amd64/helm /usr/local/bin 合并2、3 1tar xf helm-v4.2.0-linux-amd64.tar.gz -C /usr/local/bin --strip-components=1 linux-amd64/helm 验证 1helm version 自动补全 12helm completion bash >> ~/.bashrcsource ~/.bashrc 二、问题 2.1 helm 命令补全乱码 解决方案：安装 bash-completion 1dnf install -y bash-completion 安装完成后，需要让当前 shell 加载它： 1source /etc/profile.d...

一、规划 VMware NAT：192.168.10.10/24 infra VM（192.168.10.10） 基础虚拟机，Rocky9.6 1C2G 二、配置 配置网络 123456sudo nmcli con mod ens160 ipv4.method manual \ ipv4.addresses 192.168.10.10/24 \ ipv4.gateway 192.168.10.2 \ ipv4.dns 192.168.10.2sudo nmcli con up ens160ping -c2 mirrors.rockylinux.org # 验证能联网 装 dnsmasq 和排错工具 1sudo dnf install -y dnsmasq bind-utils 写配置 123456789101112131415161718192021222324sudo tee /etc/dnsmasq.d/qx-lab.conf > /dev/null <<'EOF'# 不用 /etc/resolv.conf 的上...

有必要再整理一下 Git，方便自己检索，其实很多的命令用不到，无需学习。够用就行！ 用不到的一定不要写。 一、安装 不论是任何系统都可以轻松安装。 Windows版本官网下载安装即可 Linux直接包管理工具安装 1dnf install git -y 1apt install git -y 二、基础配置 配置用户名邮箱， 12git config --global user.name 'qiankong'git config --global user.email 'admin@bravexist.cn' glabal 代表说全局配置 查看所有配置 1git config --list 三、本地仓库用法 3.1 最基本使用 初始化仓库 1git init 添加到暂存区 1git add 文件名称.txt 将暂存区提交到本地仓库 1git commit -m "注释内容" 修改文件的名称 1git mv <旧文件的名称> <新文件的名称> 暂存区和仓库...

本来想 docker-compose 一键启动的，不过 Rocky9.6，Rocky9.7 一直不能成功。（WSL能成功，但是不想额外解决网络的问题。） 一、安装k3s 关防火墙（超级重要） 1systemctl disable --now firewalld.service 安装 k3s 集群 1curl -sfL https://get.k3s.io | sh -s - --write-kubeconfig-mode 644 验证 123export KUBECONFIG=/etc/rancher/k3s/k3s.yamlecho 'export KUBECONFIG=/etc/rancher/k3s/k3s.yaml' >> ~/.bashrc # 让它永久生效kubectl get nodes 卸载（不需要的时候可以删除） 1/usr/local/bin/k3s-uninstall.sh 二、安装helm 安装 helm 12curl -fsSL -o get_helm.sh https://g.bravexi...

图标变白，一般是Windows 的图标缓存损坏了。 最常用、也最有效的解决办法是重建图标缓存。在管理员权限的 PowerShell 或 CMD 里执行 12345taskkill /f /im explorer.execd /d %localappdata%\Microsoft\Windows\Explorerdel iconcache*.db /adel thumbcache*.db /astart explorer.exe

harbor 的安装和使用，主要是学习自签名证书。 一、环境准备 Rocky9.6 Docker Harbor 二、证书体系学习 2.1 角色 CA（签字的人）：有一把私钥用来"签字"，有一张根证书（公开)告诉别人"这是我的签名长什么样"。它自己给自己签一张证书，这就叫"自签名根证书"。 服务端(Harbor)：要证明"我就是 harbor.qx.lab"。它自己生成一把私钥，写一份申请书(CSR，里面注明我要哪个域名)，拿给 CA 签。CA 签完，给它一张服务端证书。 客户端(docker / containerd / k8s)：连 Harbor 时，Harbor 把服务端证书亮出来。客户端只问两件事——这证书是不是我信任的 CA 签的？上面的域名对不对？两个都对就放行。 让我把这三者的关系画出来，"乱"的感觉一大半来自没看清谁信任谁、签发和信任是两个相反方向： 这张图能消掉"乱"感的关键，是看清两个方向相反的关系——证书是 CA 往下"签发...

简单记录 WSL2 的网络模式。 一、疑惑 偶然的机会，发现 WSL 和 宿主机共享一个 localhost，非常的方便。不过 一直疑惑实现原理（共享 localhost） 以及外部机器该如何访问到 WSL。（内部访问外部是容易的） 二、网络模式 2.1 NAT 模式(默认) WSL2 默认是 NAT 模式。和 Vmware Workstation 的 NAT 没什么区别。 **问：**那为什么在 Windows 本机上 localhost:端口 能访问到 WSL 里的服务? 答： Windows 额外做了一个叫 localhostForwarding 的便利功能,把本机对 localhost 的请求悄悄转发进 WSL 那台小虚拟机。 这座桥只对 Windows 本机生效。它本质是一座"宿主机回环 → WSL 虚拟机"的私桥。 所以其实本质并不是"共享"：是 Windows 能通过 localhost 访问到 WSL 里的服务；反过来，WSL 用 localhost 是访问不到 Windows 的（在 WSL 里 localhost...

简单记录一下折腾的手机卡。 一、Skinny 新西兰 +64 的号码，每年只需要互转 1 新西兰币即可保号。当初 68 元人民币入手的。 二、GiffGiff 英国 +44 的号码，每180天，发送一条短信即可保号，初始需要充值 10 英镑。可以转 esim Giff 激活教程 转 esim 网站1， 用的时候遇到不少 bug，不过好在是开源项目，修复很及时。 转 esim 网站2 同上，也是类似的网站。 网上流传的几种 postman 的脚本都失效了。 三、haha sim 香港 +852 的号码，每年充值 10 港币即可保号，当初 咸鱼 88 块入手的。 10 港币充值入口（支持支付宝，好评） 或者 APP 内也可以充值（最低 20 港币） 四、Esim Plus 爱沙尼亚 +372 的号码，之前是永久的，现在变，每365天连接基站、使用流量、拨打电话、收发短信，任意即可延长。 当初 6 美元 入手的。 五、5ber 将 ESIM 转为 实体卡，一个卡片可以存储多个号码，配合读卡器，可以管理多个号码。 不过已经跑路，需要使用开源软件和读卡器。 读卡器，淘宝可以直接购买。 ...