isChen

kubernetes资源管理概述 pod是最小的原子调度单位，所有和调度以及资源管理的相关属性都应该是pod对象的字段。其中cpu和内存配置是最重要的，比如下面的配置 在kubernetes中，cpu

离线业务 Deployment，StatefulSet，DaemonSet他们编排的对象都是在线业务，比如nginx，mysql服务器这些，一旦运行起来基本都是一直运行直到宕机。 但是有一类作业是离线

Taint/Toleration kubeadm默认情况下Master节点是不允许运行用户Pod的，依靠的是Kubernetes的Taint/Toleration机制。 一旦某个节点被加上了一个Tai

kubeadm init执行流程 第1步，做一系列检查工作，确定此台机器可以部署k8s，这一步检查称为[preflight] 第2步，在通过[preflight]检查之后，kubeadm是生成k8s对

iptables概述 通过iptables，可以对本机提供的网络服务 (FTP、WEB、EMAIL、DB...) 进行保护，通过规则进行过滤。 iptables并不是真正的防火墙，可以理解为一个客户端

linux seccomp seccomp是secure computing mode的缩写，是Linux内核中的一个安全计算工具，机制用于限制应用程序可以使用的系统调用，增加系统的安全性。 在/pr

容器原理概述 rootfs做文件系统，namespace做隔离，cgroup做资源限制，切换进程的根目录 Namespace linux中的namespace的主要作用是做了一层资源的隔离，使得在na

waf匹配一般流程 对https报文进行加解密处理，根据ssl证书和密钥对对报文进行解密；对明文报文进行统一编码处理；(协议解析模块) 提取报文中的字段，与规则库内容进行匹配和筛选，(规则模块) 防御

attribute __attribute__可以设置函数属性，变量属性和类型属性 函数属性：noreturn, noinline, always_inline, pure, const, nothr