Клинбиз | Клининговая компания в Нижнем Новгороде | Цены на клининговые услуги и уборку

Настраивает тип запуска процесса для этой сервисной единицы. Один из простых , exec , разветвление , oneshot , dbus , notify или idle :

• Если установлено значение simple (значение по умолчанию, если ExecStart = ). указано, но не указаны ни Type = , ни BusName = ), диспетчер службы будет считать, что модуль запущен сразу после разветвления основного процесса обслуживания. это ожидается, что процесс, настроенный с ExecStart = , является основным процессом служба. В этом режиме, если процесс предлагает функции другим процессам в системе, его каналы связи должны быть установлены до запуска службы (например, розетки, установленные systemd, через активацию сокета), так как менеджер службы немедленно приступит к запуску последующих модулей, сразу после создания основного процесса службы и перед выполнением двоичного файла службы.Обратите внимание, что это означает systemctl start командные строки для простых служб будут сообщать успех, даже если двоичный файл службы не может быть успешно запущен (например, потому что выбранный Пользователь = не существует или двоичный файл службы отсутствует).

• Тип exec аналогичен simple , но служба manager будет считать, что модуль запущен сразу после выполнения основного служебного двоичного файла. Сервис менеджер отложит запуск последующих единиц до этого момента. (Или другими словами: simple переходит к дальнейшим заданиям сразу после возврата fork () , в то время как exec не будет продолжаться до того, как fork () и execve () в процессе службы успешно.) Обратите внимание, что это означает systemctl запустить командные строки для служб exec сообщит об ошибке, когда служба двоичный файл не может быть запущен успешно (например, потому что выбранный пользователь = не существует или двоичный файл службы отсутствует).

• Если установлено значение , разветвление , ожидается, что процесс, настроенный с ExecStart = вызовет fork () как часть своего запуска. Родитель Ожидается, что процесс завершится после завершения запуска и настройки всех каналов связи. Ребенок продолжает работать как основной сервисный процесс, и сервис-менеджер будет считать, что модуль запущен, когда родительский процесс завершается. Это поведение традиционных служб UNIX.Если этот параметр используется, он рекомендуется также использовать параметр PIDFile = , чтобы systemd могла надежно идентифицировать основной процесс обслуживания. systemd приступит к запуску последующих единиц, как только родительский процесс завершается.

• Поведение oneshot аналогично simple ; тем не менее, менеджер службы рассмотрит установку устройства после выхода из основного процесса. Тогда это будет начать последующие подразделения. RemainAfterExit = особенно полезно для этого типа службы. Type = oneshot — подразумеваемое значение по умолчанию, если ни один из них Type = или ExecStart = не указаны. Обратите внимание, что если это опция используется без RemainAfterExit = служба никогда не войдет Состояние блока « активен », но происходит прямой переход от « активация » на « деактивация » или « мертвый », поскольку не настроен процесс, который должен работать непрерывно.В частности, это означает, что после запуска службы этого типа (и которая имеет RemainAfterExit = not set) он не будет отображаться как запущенный впоследствии, но как мертвый.

• Поведение dbus аналогично простому ; Однако, ожидается, что служба получит имя на шине D-Bus, как настроено BusName = . systemd продолжит запуск дополнительных модулей после D-Bus название автобуса было получено.Сервисные единицы с этой настройкой неявно получают зависимости от модуля dbus. socket . Этот тип используется по умолчанию, если BusName = указано. Сервисная единица этого типа считается находящейся в состояние активации до тех пор, пока не будет получено указанное имя шины. Считается активированным, пока занято название автобуса. После того, как название шины выпущено, услуга считается не обслуживаемой. функционал, который приводит к тому, что диспетчер служб пытается прекратить все оставшиеся процессы, принадлежащие службе.Сервисы, в которых имя шины сбрасывается при завершении работы Таким образом, логика должна быть готова к приему SIGTERM (или любого другого сигнала настроен в KillSignal = ) в качестве результата.

• Поведение notify аналогично exec ; однако это ожидается, что служба отправит уведомление через sd_notify (3) или эквивалентный вызов по завершении запуска. systemd продолжит запуск дополнительных модулей после того, как это уведомление отправлено.Если используется эта опция, NotifyAccess = (см. ниже) должен быть установлен для открытия доступа к сокету уведомлений, предоставленному systemd. Если NotifyAccess = отсутствует или установлено значение none , будет принудительно установлено значение основной .

• Поведение idle очень похоже на simple ; Однако, фактическое выполнение служебной программы откладывается до тех пор, пока не будут отправлены все активные задания.Это может быть использовано чтобы избежать чередования вывода служб оболочки с выводом состояния на консоль. Обратите внимание, что это тип полезен только для улучшения вывода на консоль, он бесполезен в качестве общего инструмента для упорядочивания единиц, а эффект этого типа службы подвержен 5-секундному таймауту, по истечении которого вызывается служебная программа. в любом случае.

Обычно рекомендуется использовать Type = simple для длительного использования. по возможности, так как это самый простой и быстрый вариант.Однако, поскольку этот тип услуги не распространять сбои при запуске службы и не позволяет заказывать другие блоки до завершения инициализация службы (что, например, полезно, если клиентам необходимо подключиться к службе через некоторая форма IPC, и канал IPC устанавливается только самой службой — в отличие от этого заблаговременно через активацию сокета или шины или аналогичным образом), во многих случаях этого может быть недостаточно. Если так, notify или dbus (последнее только в том случае, если сервис предоставляет D-Bus интерфейс) являются предпочтительными вариантами, поскольку они позволяют программному коду службы точно планировать, когда считать, что служба запущена успешно, и когда приступить к работе с дополнительными модулями. В notify Тип службы требует явной поддержки в кодовой базе службы (как sd_notify () или эквивалентный API должен быть вызван службой в соответствующем time) — если он не поддерживается, то альтернативой является форк : он поддерживает традиционный Протокол запуска службы UNIX. Наконец, exec может быть вариантом для случаев, когда это достаточно, чтобы гарантировать, что двоичный файл службы запущен, и где двоичный файл службы сам не выполняет или мало инициализация сама по себе (и ее инициализация вряд ли завершится неудачно).Обратите внимание, что использование любого типа, кроме простой , возможно, задерживает процесс загрузки, так как диспетчер служб должен ждать обслуживания инициализация завершена. Поэтому рекомендуется не использовать без необходимости какие-либо типы, кроме простой . (Также обратите внимание, что обычно не рекомендуется использовать в режиме ожидания или oneshot для длительно работающих служб. )

Принимает логическое значение, определяющее, услуга считается активной, даже если все ее процессы завершены.По умолчанию № .

Принимает логическое значение, определяющее, systemd должна попытаться угадать основной PID службы, если она не может быть определен надежно. Эта опция игнорируется, если только Тип = разветвление установлено и PIDFile = не задано, потому что для других типов или с явно настроенным файлом PID основным PID является всегда известно. Алгоритм угадывания может оказаться неверным выводы, если демон состоит из более чем одного процесса.Если основной PID не может быть определен, обнаружение неисправности и автоматический перезапуск службы не будет работать надежно. По умолчанию да .

Принимает путь, ссылающийся на файл PID службы. Использование этой опции рекомендуется для Services, где Type = установлен на , разветвление . Указанный путь обычно указывает в файл ниже / run / . Если указан относительный путь, он, следовательно, имеет префикс / run / .Менеджер службы считывает PID основного процесса службы из этого файл после запуска сервиса. Диспетчер служб не будет записывать в настроенный здесь файл, хотя он удалит файл после завершения работы службы, если он все еще существует. Файл PID не обязательно должен принадлежать от привилегированного пользователя, но если он принадлежит непривилегированному пользователю, применяются дополнительные ограничения безопасности: файл не может быть символической ссылкой на файл, принадлежащий другому пользователю (ни прямо, ни косвенно), и PID-файл должен относиться к процессу, уже принадлежащему службе.

Обратите внимание, что в современных проектах следует избегать файлов PID. Используйте Type = notify или Тип = простой , где это возможно, что не требует использования файлов PID для определения основной процесс службы и позволяет избежать ненужного разветвления.

Принимает имя назначения D-Bus, которое эта служба должна использовать. Эта опция обязательна для служб, где Type = установлен на dbus . Рекомендуется всегда устанавливайте это свойство, если оно известно, чтобы упростить сопоставление имени службы с адресатом D-Bus.В частности, глаголы systemctl service-log-level / service-log-target используют это.

Команды с их аргументами, которые выполняется при запуске этой службы. Значение разбито на ноль или более командных строк в соответствии с описанными правилами ниже (см. раздел «Командные строки» ниже).

Если Type = не равно oneshot , должна быть дана ровно одна команда.Когда Type = oneshot используется, можно указать ноль или более команд. Команды могут быть указаны предоставление нескольких командных строк в одной и той же директиве, или, альтернативно, эта директива может быть указана более более одного раза с тем же эффектом. Если этому параметру присвоена пустая строка, список команд для запуска сброшен, предыдущие назначения этой опции не будут иметь никакого эффекта. Если нет ExecStart = , то указано, то служба должна иметь RemainAfterExit = yes и хотя бы один ExecStop = набора строк.(В службах отсутствуют как ExecStart = , так и ExecStop = недопустимы.)

Для каждой из указанных команд первым аргументом должен быть либо абсолютный путь к исполняемому файлу. или простое имя файла без косых черт. При желании перед этим именем файла может быть поставлен ряд специальных символов:

Таблица 1. Специальные префиксы исполняемых файлов

Префикс	Эффект
« @ »	Если путь к исполняемому файлу 94 «9000» равен 9000 , второй указанный токен будет передан как « argv [0] » выполняемому процессу (вместо фактического имени файла), за которым следуют дополнительные указанные аргументы.
«–»	Если путь к исполняемому файлу имеет префикс «–», записывается код выхода команды, обычно считающейся ошибкой (т.е. ненулевое состояние выхода или аварийный выход из-за сигнала). , но не имеет дальнейшего эффекта и считается приравненным к успеху.
«: »	Если путь к исполняемому файлу имеет префикс «: », подстановка переменных среды (как описано в разделе «Командные строки» ниже) не применяется.
« + »	Если путь к исполняемому файлу имеет префикс « + », то процесс выполняется с полными привилегиями. В этом режиме ограничения привилегий, настроенные с помощью User = , Group = , CapabilityBoundingSet = или различных параметров пространства имен файловой системы (например, PrivateDevices = , PrivateTmp = ), не применяются к вызываемой командной строке ( но по-прежнему влияет на любые другие строки ExecStart = , ExecStop = ,…).
«! »	Подобно описанному выше символу « + », он позволяет вызывать командные строки с повышенными привилегиями. Однако, в отличие от « + », символ «! » изменяет исключительно эффект User = , Group = и SupplementaryGroups = , то есть только строфы, которые влияют на учетные данные пользователя и группы. Обратите внимание, что этот параметр может быть объединен с DynamicUser = , и в этом случае пара динамических пользователей / групп выделяется до вызова команды, но изменение учетных данных остается на усмотрение самого выполняемого процесса.
« !! »	Этот префикс очень похож на «! », однако он влияет только на системы, в которых отсутствует поддержка возможностей внешних процессов, то есть без поддержки AmbientCapabilities = . Он предназначен для использования с юнит-файлами, которые используют внешние возможности для запуска процессов с минимальными привилегиями везде, где это возможно, при этом оставаясь совместимыми с системами, которые не поддерживают внешние возможности. Обратите внимание, что когда используется « !! » и обнаружена система, в которой отсутствует поддержка внешних возможностей, любые настроенные разделы SystemCallFilter = и CapabilityBoundingSet = неявно изменяются, чтобы позволить порожденным процессам отбрасывать учетные данные и возможности самостоятельно, даже если это не разрешено. Более того, если используется этот префикс и обнаружена система, в которой отсутствует поддержка внешних возможностей, AmbientCapabilities = будет пропущено и не будет применяться. В системах, поддерживающих внешние возможности, « !! » не действует и является избыточным.

« @ », «–», «: » и один из « + » / «! » / « !! » можно использовать вместе, и они могут появляться в любом порядок. Однако только один из « + », «! », « !! » может использоваться в время.Обратите внимание, что эти префиксы также поддерживаются для других настроек командной строки, т.е. ExecStartPre = , ExecStartPost = , ExecReload = , ExecStop = и ExecStopPost = .

Если указано более одной команды, команды вызываются последовательно в том порядке, в котором они появляются в модуле файл. Если одна из команд не работает (и не имеет префикса « - »), остальные строки не выполняются, а агрегат считается отказавшим.

Если Тип = разветвление не установлено, процесс, запущенный через эту командную строку, будет считаться основной процесс демона.

Дополнительные команды, которые выполняются перед или после команды в ExecStart = , соответственно. Синтаксис такой же, как у ExecStart = , за исключением того, что множественная команда разрешены строки, и команды выполняются после прочее, серийно.

Если любая из этих команд (без префикса « - ») не выполняются, остальные не выполняются и агрегат считается отказавшим.

ExecStart = команды запускаются только после все ExecStartPre = команды без префикса с успешным выходом « - «.

ExecStartPost = команды запускаются только после команд, указанных в ExecStart = были запущены успешно, как определено в Type = (я.е. процесс запущен для Type = simple или Type = idle , последний ExecStart = процесс завершился успешно для Type = oneshot , начальный процесс успешно завершен для Введите = разветвление , « READY = 1 » отправлено для Type = notify , или BusName = было взято для Тип = dbus ).

Обратите внимание, что ExecStartPre = не может быть используется для запуска длительных процессов.Все процессы разветвлены выключено процессами, вызванными через ExecStartPre = , будет быть убитым до того, как будет запущен следующий служебный процесс.

Обратите внимание, что если любая из команд, указанных в ExecStartPre = , ExecStart = или ExecStartPost = сбой (и не имеют префикса « - », см. Выше) или тайм-аут до того, как служба будет полностью запущена, выполнение продолжается с командами указано в ExecStopPost = , команды в ExecStop = пропускаются.

Обратите внимание, что выполнение ExecStartPost = учитывается с целью До = / После = ограничений заказа.

Необязательные команды, которые выполняются перед командой (ами) в ExecStartPre = . Синтаксис такой же, как для ExecStart = , за исключением того, что разрешены несколько командных строк и команды выполняются одна за другой поочередно.

Поведение похоже на ExecStartPre = и гибридную проверку состояния: когда ExecCondition = команда завершается с кодом выхода от 1 до 254 (включительно), остальные команды пропускаются, а блок — , а не , помеченный как сбойный. Однако если ExecCondition = команда завершается с 255 или ненормально (например, тайм-аут, прерванный сигнал и т. д.), модуль будет считаться неисправным (а остальные команды будут пропущены).Код выхода 0 или те, которые соответствуют SuccessExitStatus = , продолжат выполнение до следующей команды (команд).

Те же рекомендации по отключению длительных процессов в ExecStartPre = также применяется к ExecCondition = . ExecCondition = также запустит команды в ExecStopPost = , как часть остановки службы, в случае любого ненулевого или ненормального выходы, подобные описанным выше.

Команды для запуска конфигурации перезагрузить в сервисе. Этот аргумент принимает несколько команд линий, следуя той же схеме, что и для ExecStart = выше. Использование этой настройки по желанию. Подстановка спецификатора и переменной окружения здесь поддерживается по той же схеме, что и для ExecStart = .

Устанавливается одна дополнительная специальная переменная среды: если известно, $ MAINPID установлен для основного процесса демона и может использоваться для командных строк, таких как следующее:

 ExecReload = kill -HUP $ MAINPID 

Обратите внимание, однако, что перезагрузка демона путем отправки сигнала (как и в приведенном выше примере) обычно не лучший выбор, потому что это асинхронная операция и, следовательно, не подходит для заказа перезагрузки нескольких сервисов для каждого Другой.Настоятельно рекомендуется установить ExecReload = к команде, которая не только запускает перезагрузку конфигурации демона, но также синхронно ожидает его завершения. Например, dbus-брокер (1) использует следующее:

 ExecReload = busctl call org.freedesktop.DBus \
        / org / freedesktop / DBus org.freedesktop.DBus \
        ReloadConfig
 

Команды, выполняемые для остановки службы, запущенной через ExecStart = .Этот аргумент принимает несколько командных строк по той же схеме. как описано выше для ExecStart = . Использование этого параметра не является обязательным. После команды, настроенные в этой опции, выполняются, подразумевается, что служба остановлена, и любые оставшиеся для него процессы завершаются в соответствии с настройкой KillMode = (см. systemd.kill (5)). Если эта опция не указана, процесс завершается отправкой сигнала, указанного в KillSignal = или RestartKillSignal = , когда остановка обслуживания просил.Поддерживается подстановка указателей и переменных среды (в том числе $ MAINPID , см. Выше).

Обратите внимание, что обычно недостаточно указать команду для этого параметра, которая запрашивает только сервис для завершения (например, отправив ему некоторую форму сигнала завершения), но не подождите, пока это произойдет. Поскольку остальные процессы сервисов убиваются согласно KillMode = и KillSignal = или RestartKillSignal = , как описано выше, сразу после выхода из команды, это может не привести к чистой остановке.Следовательно, указанная команда должна быть синхронной операцией, а не асинхронный.

Обратите внимание, что команды, указанные в ExecStop = , выполняются только тогда, когда служба начал успешно сначала. Они не вызываются, если служба вообще не запускалась или не удалось запустить, например, из-за любой из команд, указанных в ExecStart = , ExecStartPre = или ExecStartPost = не удалось (и не имели префикса «–», см. Выше) или истекло время ожидания.Используйте ExecStopPost = для вызова команд, когда служба не запустилась правильно и снова закрывается. Также обратите внимание, что операция остановки всегда выполняется, если служба запущена успешно, даже если процессы в службе завершились на их владеют или были убиты. Команды останова должны быть готовы к тому, чтобы иметь дело с этим случаем. $ MAINPID будет сброшен, если systemd знает, что основной процесс завершился к моменту вызова команд остановки.

Запросы на перезапуск службы реализуются как операции остановки, за которыми следуют операции запуска. Этот означает, что ExecStop = и ExecStopPost = выполняются во время перезапуск службы.

Рекомендуется использовать этот параметр для команд, которые обмениваются данными с запрашивающей службой чистое прекращение. Вместо этого для посмертной очистки используйте ExecStopPost = .

Дополнительные команды, которые выполняются после остановки службы.Сюда входят случаи, когда использовались команды, настроенные в ExecStop = , где у службы нет ExecStop = определено, или служба неожиданно завершила работу. Этот аргумент принимает несколько командные строки, следуя той же схеме, что и для ExecStart = . Использование этих настроек не является обязательным. Поддерживается подстановка указателей и переменных среды. Обратите внимание, что — в отличие от ExecStop = — команды, указанные в этом параметре, вызываются, когда служба не запускается правильно и снова выключен.

Рекомендуется использовать эту настройку для операций очистки, которые должны выполняться, даже если служба не запустилась правильно. Команды, настроенные с этим параметром, должны работать, даже если служба не запустилась на полпути и оставила не полностью инициализированные данные. Как сервис процессы были завершены уже при выполнении команд, указанных в этом параметре, они должны не пытайтесь общаться с ними.

Обратите внимание, что все команды, настроенные с помощью этого параметра, вызываются с кодом результата service, а также код выхода и статус основного процесса, заданные в $ SERVICE_RESULT , $ EXIT_CODE и $ EXIT_STATUS переменных среды, см. systemd.exec (5) для подробности.

Обратите внимание, что выполнение ExecStopPost = учитывается с целью До = / После = ограничений заказа.

Настраивает время перехода в спящий режим перед перезапуском сервис (как настроено с Restart = ). Принимает безразмерное значение в секундах или значение временного интервала, например как «5 минут 20 секунд». По умолчанию 100 мс.

Настраивает время ожидания запуска. Если служба демона не сигнализирует о запуске завершение в течение настроенного времени, служба будет считаться неудачной и будет снова закрыта.В точное действие зависит от параметра TimeoutStartFailureMode = . Принимает безразмерное значение в секунд или значение промежутка времени, например «5мин 20с». Передайте « infinity », чтобы отключить логику тайм-аута. По умолчанию DefaultTimeoutStartSec = из файла конфигурации менеджера, кроме случаев, когда Type = oneshot Используется , в этом случае тайм-аут отключен по умолчанию (см. systemd-system.conf (5)).

Если служба Type = notify отправляет « EXTEND_TIMEOUT_USEC =… », это может вызвать время начала должно быть увеличено за пределы TimeoutStartSec = .Первое получение этого сообщения должно произойти до того, как будет превышено TimeoutStartSec = , и как только время начала превысит TimeoutStartSec = , диспетчер службы разрешит запуск службы при условии услуга повторяет « EXTEND_TIMEOUT_USEC =… » в течение указанного интервала до тех пор, пока услуга статус запуска заканчивается « READY = 1 «. (видеть sd_notify (3)).

Этот параметр служит двум целям.Во-первых, он настраивает время ожидания каждого ExecStop = команда. Если время ожидания любого из них истекает, последующие ExecStop = команды пропускаются, и обслуживание будет прекращено SIGTERM . Если нет ExecStop = указаны команды, служба немедленно получает SIGTERM . Это поведение по умолчанию можно изменить с помощью параметра TimeoutStopFailureMode = . Во-вторых, он настраивает время дождаться остановки самой службы.Если он не завершится в указанное время, он будет прекращен принудительно на SIGKILL (см. KillMode = в systemd.kill (5)). Принимает безразмерное значение в секундах или значение временного интервала, например как «5 минут 20 секунд». Передайте « infinity », чтобы отключить логика тайм-аута. По умолчанию DefaultTimeoutStopSec = от менеджера файл конфигурации (см. systemd-system.conf (5)).

Если служба Type = notify отправляет « EXTEND_TIMEOUT_USEC =… », это может вызвать время остановки должно быть увеличено за пределы TimeoutStopSec = .Первое получение этого сообщения должно произойти до того, как будет превышено TimeoutStopSec = , и как только время остановки превысит TimeoutStopSec = , диспетчер службы разрешит службе продолжить остановку при условии служба повторяет « EXTEND_TIMEOUT_USEC =… » в течение указанного интервала или завершает работу (см. sd_notify (3)).

Этот параметр настраивает время ожидания завершения службы, если она была прервана из-за Тайм-аут сторожевого таймера (см. WatchdogSec = ).Если у сервиса короткий TimeoutStopSec = эту опцию можно использовать, чтобы дать системе больше времени для записи дампа ядра службы. По истечении срока действия услуги будет принудительно завершено SIGKILL (см. KillMode = в systemd.kill (5)). Основной файл будет быть усеченным в этом случае. Используйте TimeoutAbortSec = , чтобы установить разумный тайм-аут для дампа ядра на сервис, который достаточно велик, чтобы записать все ожидаемые данные, и в то же время достаточно короткий, чтобы справиться с ошибкой службы в свое время.

Принимает безразмерное значение в секундах или значение временного интервала, например «5 мин 20 с». Передайте пустое значение, чтобы пропустить выделенный сторожевой таймер прерывает обработку тайм-аута и откатывается TimeoutStopSec = . Проходить « infinity », чтобы отключить логику тайм-аута. По умолчанию DefaultTimeoutAbortSec = от файл конфигурации менеджера (см. systemd-system.conf (5)).

Если служба Type = notify обрабатывает SIGABRT непосредственно (вместо того, чтобы полагаться на на ядре для записи дампа ядра) он может отправить « EXTEND_TIMEOUT_USEC =… » на увеличил время прерывания до TimeoutAbortSec = .Первое получение этого сообщения должно произойти до того, как будет превышено TimeoutAbortSec = , и как только время прерывания превысит TimeoutAbortSec = , диспетчер службы разрешит прекращение службы при условии служба повторяет « EXTEND_TIMEOUT_USEC =… » в течение указанного интервала или завершает работу (см. sd_notify (3)).

Сокращение для настройки обоих TimeoutStartSec = и TimeoutStopSec = до указанного значения.

Эти параметры настраивают действие, выполняемое в случае, если служба демона не подает сигнал запуск в течение его настроенного TimeoutStartSec = , соответственно, если он не останавливается в течение TimeoutStopSec = . Принимает один из , завершить , прервать и убить . Обе опции по умолчанию , завершают .

Если terminate установлено, служба будет корректно завершена путем отправки сигнала указано в KillSignal = (по умолчанию SIGTERM , см. systemd.kill (5)). Если служба не завершает FinalKillSignal = отправляется после TimeoutStopSec = . Если установлено abort , отправляется WatchdogSignal = вместо этого применяется TimeoutAbortSec = перед отправкой FinalKillSignal = .Этот параметр можно использовать для анализа служб, которые периодически не запускаются или не завершаются. При использовании kill служба немедленно завершается отправкой FinalKillSignal = без дополнительного тайм-аута. Этот параметр можно использовать для ускорения отключение отказавших служб.

Задает максимальное время запуска службы. Если это используется и услуга была активен дольше указанного времени, он прекращается и переводится в состояние отказа.Обратите внимание, что этот параметр не влияет на службы Type = oneshot , так как они прекращаются сразу после активация завершена. Передайте « infinity » (по умолчанию), чтобы настроить отсутствие времени выполнения. предел.

Если служба Type = notify отправляет « EXTEND_TIMEOUT_USEC =… », это может вызвать время выполнения должно быть расширено за пределы RuntimeMaxSec = . Первое получение этого сообщения должно произойти до того, как будет превышено RuntimeMaxSec = , и как только время выполнения расширится RuntimeMaxSec = , диспетчер службы разрешит службе продолжить работу при условии услуга повторяет « EXTEND_TIMEOUT_USEC =… » в течение указанного интервала до тех пор, пока услуга отключение достигается « STOPPING = 1 » (или завершением).(видеть sd_notify (3)).

Настраивает тайм-аут сторожевого таймера для службы. Сторожевой таймер активируется после завершения запуска. В сервис должен позвонить sd_notify (3) регулярно с « WATCHDOG = 1 » (т. е. «keep-alive ping»). Если время между двумя такими звонками равно больше настроенного времени, то услуга помещается в состояние сбоя, и оно будет прекращено с SIGABRT (или сигнал, указанный WatchdogSignal = ).Установив Перезапуск = от до при отказе , на сторожевом таймере , на ненормальном или всегда , услуга будет автоматически перезапущен. Настроенное здесь время будет передано выполненный сервисный процесс в WATCHDOG_USEC = переменная среды. Этот позволяет демонам автоматически включать проверку активности проверки связи логика, если для службы включена поддержка сторожевого таймера.Если это используется опция, NotifyAccess = (см. ниже) должен быть установлен для открытия доступа к сокету уведомлений предоставляется systemd. Если NotifyAccess = — это не задано, будет неявно установлено значение main . По умолчанию 0, что отключает эту функцию. Сервис может проверьте, ожидает ли диспетчер службы поддержки активности сторожевого пса уведомления. Видеть sd_watchdog_enabled (3) для подробностей. sd_event_set_watchdog (3) может использоваться для включения поддержки автоматического сторожевого таймера.

Определяет, должна ли служба перезапускается, когда сервисный процесс завершается, завершается или время ожидания истекло. Процесс обслуживания может быть основным сервисный процесс, но он также может быть одним из процессов указано с ExecStartPre = , ExecStartPost = , ExecStop = , ExecStopPost = , или ExecReload = .Когда смерть процесса является результатом работы systemd (например, остановка службы или перезапуск), служба не будет перезапущена. Таймауты включают отсутствует крайний срок «keep-alive ping» и служба таймауты запуска, перезагрузки и остановки операции.

Принимает одну из № , в успешном , на отказ , на ненормальном , сторожевой , при прерывании , или всегда .Если установлено значение нет (по умолчанию), служба будет не перезапускаться. Если установлено значение при успешном завершении , будет перезапущен только тогда, когда процесс обслуживания завершится правильно. В этом контексте чистый выход означает любое из следующего:

• код выхода 0;
• для типов, отличных от Тип = oneshot , один из сигналов SIGHUP , SIGINT , SIGTERM , или SIGPIPE ;
• статусы выхода и сигналы, указанные в SuccessExitStatus = .

Если установлено на при отказе , сервис будет перезапущен когда процесс завершается с ненулевым кодом выхода, завершается сигналом (в том числе на дампе ядра, но исключая вышеупомянутые четыре сигнала), когда операция (например, перезагрузка службы) истекает, и когда настроенный сторожевой таймер срабатывает тайм-аут. Если установлено значение на ненормальном , служба будет перезапущена после завершения процесса по сигналу (в том числе на дампе ядра, исключая вышеупомянутые четыре сигнала), когда время ожидания операции истекло, или при срабатывании тайм-аута сторожевого таймера.Если установлено на on-abort , услуга будет только перезапущена если процесс обслуживания завершается из-за неперехваченного сигнала, не указан как чистый статус выхода. Если установлено на on-watchdog , сервис будет перезапущен только если истечет время ожидания сторожевого таймера для службы. Если установлено на всегда , услуга будет перезапущена независимо от того, вышел он чисто или нет, был прекращен ненормально по сигналу или истекло время ожидания.

Таблица 2. Причины выхода и результат действия Restart = settings

Обратите внимание, что перезапуск службы зависит от скорости запуска агрегата. ограничение настроено с StartLimitIntervalSec = и StartLimitBurst = , см. systemd.unit (5) для подробностей. Перезапущенная служба переходит только в состояние сбоя. после достижения стартовых пределов.

Установка при отказе — это рекомендуемый выбор для долгоиграющих сервисов, чтобы повысить надежность за счет попытки автоматического восстановления из ошибки.Для услуг, которые могут быть прекращены по их собственный выбор (и избегайте немедленного перезапуска), ненормально — альтернативный выбор.

 SuccessExitStatus = TEMPFAIL 250 SIGKILL 

 RestartPreventExitStatus = 1 6 SIGABRT 

Федеральный реестр :: Агентства — Служба рыбного хозяйства и животного мира

На этом сайте представлен прототип ежедневной веб-версии 2.0. Федеральный регистр. Это не официальное юридическое издание Федерального Зарегистрируйтесь, и не заменяет официальную печатную версию или официальную электронная версия на govinfo.губ.

Документы, размещенные на этом сайте, являются XML-версиями опубликованных Федеральных Зарегистрировать документы. Каждый документ, размещенный на сайте, содержит ссылку на соответствующий официальный PDF-файл на govinfo.gov. Это прототипное издание ежедневный Федеральный регистр на FederalRegister.gov останется неофициальным информационный ресурс до Административного комитета Федеральной Регистр (ACFR) издает постановление о предоставлении ему официального правового статуса.Для получения полной информации о наших официальных публикациях и доступа к ним и услуги, перейдите на О Федеральном реестре на сайте NARA archives.gov.

Партнерство OFR / GPO стремится предоставлять точные и надежные нормативная информация на FederalRegister.gov с целью создание Федерального реестра на основе XML в качестве санкционированного ACFR публикация в будущем.Хотя были приложены все усилия для того, чтобы материалы на FederalRegister.gov отображаются правильно, в соответствии с официальная версия PDF на основе SGML на govinfo.gov, те, кто полагается на нее для юридические исследования должны проверять их результаты на соответствие официальному изданию Федеральный регистр. Пока ACFR не предоставит ему официальный статус, XML представление ежедневного Федерального реестра на FederalRegister.gov не направлять юридические уведомления общественности или судебные уведомления в суды.

Сервис | Kubernetes

С Kubernetes вам не нужно изменять приложение для использования незнакомого механизма обнаружения сервисов. Kubernetes дает Pod’ам собственные IP-адреса и единое DNS-имя для набора Pod’ов, и может балансировать нагрузку между ними.

Мотивация

Подов Kubernetes создаются и уничтожаются чтобы соответствовать состоянию вашего кластера.Поды — это непостоянные ресурсы. Если вы используете развертывание для запуска своего приложения, он может создавать и уничтожать поды динамически.

Каждый модуль получает свой IP-адрес, однако при развертывании набор модулей бег в один момент времени может отличаться от набор модулей, запускающих это приложение мгновением позже.

Это приводит к проблеме: если какой-то набор модулей (назовем их «бэкэндами») предоставляет функциональность для других модулей (назовите их «внешними интерфейсами») внутри вашего кластера, как интерфейсы узнают и отслеживают, к какому IP-адресу подключаться чтобы фронтенд мог использовать бэкэнд часть рабочей нагрузки?

Введите Услуги .

Сервисные ресурсы

В Kubernetes служба — это абстракция, которая определяет логический набор модулей. и политику доступа к ним (иногда этот шаблон называют микросервис). Набор модулей, на которые нацелена служба, обычно определяется селектором. Чтобы узнать о других способах определения конечных точек службы, см. Услуги без переключателей .

Например, рассмотрим серверную часть обработки изображений без сохранения состояния, которая работает с 3 реплики. Эти реплики взаимозаменяемы — интерфейсам безразлично, какой из них они используют.Хотя фактические модули, составляющие набор серверной части, могут измениться, клиентские интерфейсы не должны знать об этом, и им не нужно хранить отслеживать множество самих бэкэндов.

Абстракция Service включает эту развязку.

Обнаружение облачных сервисов

Если вы можете использовать API Kubernetes для обнаружения сервисов в своем приложении, вы можете запросить сервер API для конечных точек, которые обновляются при изменении набора модулей в службе.

Для неродных приложений Kubernetes предлагает способы размещения сетевого порта или загрузки балансировщик между вашим приложением и внутренними модулями.

Определение службы

Служба в Kubernetes — это объект REST, похожий на под. Как и все Объекты REST, вы можете POST определение службы для сервера API, чтобы создать новый экземпляр. Имя объекта службы должно быть действительным RFC 1035 имя метки.

Например, предположим, что у вас есть набор модулей, каждый из которых прослушивает TCP-порт 9376. и содержит метку app = MyApp :

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  селектор:
    приложение: MyApp
  порты:
    - протокол: TCP
      порт: 80
      targetPort: 9376
  

Эта спецификация создает новый объект службы с именем «my-service», который нацелен на TCP-порт 9376 на любом поде с меткой app = MyApp .

Kubernetes назначает этой Службе IP-адрес (иногда называемый «IP-адресом кластера»), который используется прокси Сервиса (см. Виртуальные IP-адреса и служебные прокси ниже).

Контроллер для сервисного селектора постоянно сканирует поды, которые соответствует его селектору, а затем отправляет любые обновления объекта Endpoint на POST также называется «мой-сервис».

Примечание: Служба может сопоставить любой входящий порт с целевым портом . По умолчанию и для удобства targetPort установлен на то же значение, что и порт поле.

Определения портов в модулях имеют имена, и вы можете ссылаться на эти имена в targetPort атрибут Сервиса. Это работает, даже если есть смесь модулей в Службе, использующих одно настроенное имя, с одной и той же сетью протокол доступен через разные номера портов. Это обеспечивает большую гибкость при развертывании и развитии ваших Сервисов. Например, вы можете изменить номера портов, которые будут отображаться в следующих модулях. версия вашего бэкэнд-ПО, не ломая клиентов.

Протоколом по умолчанию для служб является TCP; вы также можете использовать любой другой поддерживаемый протокол.

Поскольку многие службы должны предоставлять более одного порта, Kubernetes поддерживает несколько определения портов для объекта службы. Каждое определение порта может иметь один и тот же протокол или другой.

Услуги без селекторов

обычно абстрагируют доступ к модулям Kubernetes, но они также могут абстрактные другие виды бэкэндов. Например:

• Вы хотите иметь кластер внешней базы данных в производстве, но в вашем В тестовой среде вы используете собственные базы данных.
• Вы хотите указать свою Услугу на Услугу в другом Пространство имен или в другом кластере.
• Вы переносите рабочую нагрузку в Kubernetes. Оценивая подход, вы запускаете в Kubernetes только часть своих бэкэндов.

В любом из этих сценариев вы можете определить службу без селектора Pod. Например:

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  порты:
    - протокол: TCP
      порт: 80
      targetPort: 9376
  

Поскольку эта служба не имеет селектора, соответствующий объект конечных точек не создается автоматически.Вы можете вручную сопоставить Сервис с сетевым адресом и портом. где он запущен, добавив вручную объект Endpoints:

  Версия: v1
вид: Конечные точки
метаданные:
  имя: my-service
подмножества:
  - адреса:
      - ip: 192.0.2.42
    порты:
      - порт: 9376
  

Имя объекта конечных точек должно быть допустимым. Имя поддомена DNS.

Примечание:

IP-адреса конечной точки не должны быть : loopback (127.0.0.0/8 для IPv4, :: 1/128 для IPv6) или локальная ссылка (169.254.0.0 / 16 и 224.0.0.0/24 для IPv4, fe80 :: / 64 для IPv6).

IP-адреса конечных точек не могут быть IP-адресами кластера других сервисов Kubernetes, потому что kube-proxy не поддерживает виртуальные IP-адреса как пункт назначения.

Доступ к службе без селектора работает так же, как если бы у нее был селектор. В приведенном выше примере трафик направляется к единственной конечной точке, определенной в YAML: 192.0.2.42:9376 (TCP).

Служба ExternalName — это особый случай Службы, не имеющей селекторы и вместо этого использует DNS-имена.Для получения дополнительной информации см. Раздел ExternalName далее в этом документе.

Конечные точки с избыточной емкостью

Если ресурс Endpoints имеет более 1000 конечных точек, тогда Kubernetes v1.22 (или новее) cluster аннотирует эти конечные точки с конечными точками. kubernetes.io/over-capacity: усечено . Эта аннотация указывает, что затронутый объект конечных точек превышает емкость и что контроллер конечных точек усек количество конечных точек до 1000.

EndpointSlices

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.21 [стабильный]

EndpointSlices — это ресурс API, который может предоставить более масштабируемую альтернативу. в конечные точки. Хотя концептуально очень похоже на конечные точки, EndpointSlices позволяют распределять конечные точки сети по нескольким ресурсам. По умолчанию, EndpointSlice считается «полным», когда он достигает 100 конечных точек, на которых дополнительные точки EndpointSlices будут созданы для хранения любых дополнительных конечные точки.

EndpointSlices предоставляют дополнительные атрибуты и функции, которые подробно описано в EndpointSlices.

Протокол приложения

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.20 [стабильный]

Поле appProtocol позволяет указать протокол приложения для каждый Сервисный порт. Значение этого поля отражается соответствующим Конечные точки и объекты EndpointSlice.

Это поле соответствует стандартному синтаксису меток Kubernetes. Значения должны быть либо Стандартные названия служб IANA или доменные имена с префиксом, например mycompany.com / мой-кастомный-протокол .

Виртуальные IP-адреса и служебные прокси

Каждый узел в кластере Kubernetes запускает kube-proxy . kube-proxy есть отвечает за реализацию формы виртуального IP для Сервисов другого типа чем ExternalName .

Почему бы не использовать циклический DNS?

Время от времени возникает вопрос, почему Kubernetes полагается на проксирование для перенаправления входящего трафика на бэкенды. А как насчет других подходит? Например, можно ли настроить записи DNS, которые иметь несколько значений A (или AAAA для IPv6) и полагаться на циклическое имя разрешающая способность?

Есть несколько причин для использования прокси для Сервисов:

• Существует долгая история реализации DNS, не соблюдающей TTL записей, и кэширование результатов поиска имен после истечения срока их действия.
• Некоторые приложения выполняют поиск DNS только один раз и кэшируют результаты на неопределенный срок.
• Даже если приложения и библиотеки правильно изменили разрешение, низкий или нулевой TTL на записи DNS может вызвать высокую нагрузку на DNS, которая затем становится сложно управлять.

Режим прокси в пользовательском пространстве

В этом режиме kube-proxy наблюдает за уровнем управления Kubernetes для добавления и удаление объектов Service и Endpoint. Для каждой услуги открывается порт (выбранный случайным образом) на локальном узле.Любые подключения к этому «прокси-порту» проксируются на один из бэкэнд-модулей Сервиса (как сообщается через Конечные точки). kube-proxy принимает настройку Сервиса SessionAffinity в учетная запись при принятии решения о том, какой серверный модуль использовать.

Наконец, прокси-сервер пользовательского пространства устанавливает правила iptables, которые захватывают трафик для Служба clusterIP (который является виртуальным) и порт . Правила перенаправить этот трафик на порт прокси, который проксирует серверный модуль.

По умолчанию kube-proxy в режиме пользовательского пространства выбирает серверную часть с помощью алгоритма циклического перебора.

В этом режиме kube-proxy наблюдает за уровнем управления Kubernetes для добавления и удаление объектов Service и Endpoint. Для каждой службы устанавливается правила iptables, которые захватывают трафик на clusterIP службы и порт , и перенаправить этот трафик на один из бэкэнд-наборы. Для каждого объекта Endpoint он устанавливает правила iptables, которые выберите серверный модуль.

По умолчанию kube-proxy в режиме iptables выбирает серверную часть случайным образом.

Использование iptables для обработки трафика снижает нагрузку на систему, поскольку трафик обрабатывается сетевым фильтром Linux без необходимости переключения между пользовательским пространством и пространство ядра. Этот подход также, вероятно, будет более надежным.

Если kube-proxy работает в режиме iptables и первый выбранный под не отвечает, соединение не установлено. Это отличается от пользовательского пространства режим: в этом сценарии kube-proxy обнаружит, что соединение с первым Pod завершился неудачно и автоматически повторит попытку с другим серверным модулем.

Вы можете использовать зонды готовности Pod чтобы убедиться, что серверные модули работают нормально, чтобы kube-proxy в режиме iptables видит только проверенные серверные ВМ как работоспособные. Это означает, что вы избегаете трафик, отправленный через kube-proxy на под, который, как известно, вышел из строя.

Режим прокси IPVS

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.11 [стабильный]

В режиме ipvs kube-proxy наблюдает за службами и конечными точками Kubernetes, вызывает интерфейс netlink для создания соответствующих правил IPVS и синхронизирует Периодически правила IPVS с Kubernetes Services и Endpoints.Этот контур управления гарантирует, что статус IPVS соответствует желаемому. штат. При доступе к Сервису IPVS направляет трафик на один из бэкэнд-модулей.

Режим прокси IPVS основан на функции ловушки netfilter, которая аналогична iptables, но использует хеш-таблицу в качестве базовой структуры данных и работает в пространстве ядра. Это означает, что kube-proxy в режиме IPVS перенаправляет трафик с меньшей задержкой, чем kube-proxy в режиме iptables, с гораздо большей производительностью при синхронизации правила прокси.По сравнению с другими режимами прокси, режим IPVS также поддерживает более высокая пропускная способность сетевого трафика.

IPVS предоставляет больше возможностей для балансировки трафика на серверные модули; это:

• рр : циклический
• lc : наименьшее количество соединений (наименьшее количество открытых соединений)
• dh : целевое хеширование
• sh : хеширование исходного кода
• sed : кратчайшая ожидаемая задержка
• nq : никогда не вставать в очередь

Примечание:

Чтобы запустить kube-proxy в режиме IPVS, вы должны сделать IPVS доступным на узел перед запуском kube-proxy.

Когда kube-proxy запускается в режиме прокси IPVS, он проверяет, модули ядра доступны. Если модули ядра IPVS не обнаружены, то kube-proxy возвращается к работе в режиме прокси iptables.

В этих моделях прокси трафик, привязанный к IP-адресу службы: проксируется на соответствующий сервер, и клиенты ничего не знают о Kubernetes, Сервисах или Подах.

Если вы хотите убедиться, что соединения от конкретного клиента передаются в один и тот же Pod каждый раз, вы можете выбрать привязку сеанса на основе на IP-адресах клиента, установив услугу .spec.sessionAffinity на «ClientIP» (по умолчанию «Нет»). Вы также можете установить максимальное время прикрепления сеанса, установив service.spec.sessionAffinityConfig.clientIP.timeoutSeconds соответственно. (значение по умолчанию 10800, что составляет 3 часа).

Многопортовые службы

Для некоторых Сервисов нужно выставить более одного порта. Kubernetes позволяет настраивать несколько определений портов для объекта службы. При использовании нескольких портов для Сервиса вы должны дать имена всем своим портам. так что это однозначно.Например:

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  селектор:
    приложение: MyApp
  порты:
    - имя: http
      протокол: TCP
      порт: 80
      targetPort: 9376
    - имя: https
      протокол: TCP
      порт: 443
      targetPort: 9377
  

Примечание:

Как и в случае с именами Kubernetes в целом, имена портов должны содержать только строчные буквенно-цифровые символы и –. Имена портов должны также начинаются и заканчиваются буквенно-цифровыми символами.

Например, имена 123-abc и web допустимы, а 123_abc и -web — нет.

Выбор собственного IP-адреса

Вы можете указать свой собственный IP-адрес кластера как часть создания службы запрос. Для этого установите поле .spec.clusterIP . Например, если вы уже есть существующая запись DNS, которую вы хотите использовать повторно, или устаревшие системы которые настроены для определенного IP-адреса и их сложно перенастроить.

Выбранный вами IP-адрес должен быть действительным IPv4- или IPv6-адресом изнутри service-cluster-ip-range Диапазон CIDR, настроенный для сервера API. Если вы попытаетесь создать Сервис с недопустимым значением IP-адреса кластера, API сервер вернет код состояния HTTP 422, чтобы указать на наличие проблемы.

Правила дорожного движения

Политика внешнего трафика

Вы можете установить поле spec.externalTrafficPolicy для управления маршрутизацией трафика из внешних источников.Допустимые значения: Cluster и Local . Установите в поле значение Cluster для маршрутизации внешнего трафика на все готовые конечные точки. и Local только для маршрутизации к готовым локальным конечным точкам. Если политика трафика — Local и нет локальных узлов конечные точки, kube-proxy не пересылает трафик для соответствующей службы.

Примечание:

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.22 [альфа]

Если включить ProxyTerminatingEndpoints ворота функций ProxyTerminatingEndpoints для kube-proxy, kube-proxy проверяет, имеет локальные конечные точки и отмечены ли все локальные конечные точки как завершающие.Если есть локальные конечные точки и , все из них завершаются, тогда kube-proxy игнорирует любая политика внешнего трафика Локальная . Вместо этого, в то время как локальные конечные точки узла остаются как все завершение, kube-proxy перенаправляет трафик для этой службы на работоспособные конечные точки в другом месте, как если бы политика внешнего трафика была установлена ​​на Кластер . Такое поведение пересылки для завершающих конечных точек существует, чтобы позволить внешним балансировщикам нагрузки аккуратно дренировать соединения, которые поддерживаются службами NodePort , даже если проверка работоспособности порт узла начинает выходить из строя.В противном случае трафик может быть потерян между тем временем, когда узел все еще находится в пуле узлов нагрузки. балансировщик, и трафик падает в течение периода завершения работы модуля.

Политика внутреннего трафика

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.22 [бета]

Вы можете установить поле spec.internalTrafficPolicy для управления маршрутизацией трафика из внутренних источников. Допустимые значения: Cluster и Local .Установите в поле значение Cluster для маршрутизации внутреннего трафика ко всем готовым конечным точкам. и Local только для маршрутизации к готовым локальным конечным точкам. Если политика трафика — Local и нет локальных узлов конечные точки, трафик сбрасывается kube-proxy.

Службы поиска

Kubernetes поддерживает 2 основных режима поиска Сервиса — окружение. переменные и DNS.

Переменные среды

Когда под запускается на узле, кубелет добавляет набор переменных среды. для каждой активной Услуги.Он поддерживает обе ссылки Docker совместимые переменные (см. makeLinkVariables) и более простые переменные {SVCNAME} _SERVICE_HOST и {SVCNAME} _SERVICE_PORT , где имя службы набирается заглавными буквами, а дефисы преобразуются в символы подчеркивания.

Например, служба redis-master , которая предоставляет TCP-порт 6379 и была выделенный IP-адрес кластера 10.0.0.11, создает следующую среду переменные:

  REDIS_MASTER_SERVICE_HOST = 10.0.0,11
REDIS_MASTER_SERVICE_PORT = 6379
REDIS_MASTER_PORT = tcp: //10.0.0.11: 6379
REDIS_MASTER_PORT_6379_TCP = tcp: //10.0.0.11: 6379
REDIS_MASTER_PORT_6379_TCP_PROTO = TCP
REDIS_MASTER_PORT_6379_TCP_PORT = 6379
REDIS_MASTER_PORT_6379_TCP_ADDR = 10.0.0.11
  

Примечание:

Если у вас есть модуль, которому требуется доступ к службе, и вы используете метод переменной среды для публикации порта и IP-адреса кластера клиенту Модули, вы должны создать Службу до того, как появятся клиентские модули .В противном случае переменные среды этих клиентских модулей не будут заполнены.

Если вы используете DNS только для обнаружения IP-адреса кластера для службы, вам не нужно беспокоиться об этой проблеме с заказом.

DNS

Вы можете (и почти всегда должны) настроить службу DNS для своего Kubernetes кластер с помощью надстройки.

DNS-сервер с поддержкой кластера, такой как CoreDNS, следит за Kubernetes API в поисках новых Services и создает набор записей DNS для каждой из них. Если DNS был включен во всем кластере, тогда все поды должны автоматически разрешать Сервисы по их DNS-имени.

Например, если у вас есть служба под названием my-service в Kubernetes пространство имен my-ns , плоскость управления и служба DNS действуют вместе создать DNS-запись для my-service.my-ns . Поды в пространстве имен my-ns должен иметь возможность найти службу, выполнив поиск имени для my-service ( my-service.my-ns также подойдет).

Поды в других пространствах имен должны квалифицировать имя как my-service.my-ns .Эти имена будет разрешаться в IP-адрес кластера, назначенный для Службы.

Kubernetes также поддерживает записи DNS SRV (Service) для именованных портов. Если my-service.my-ns Служба имеет порт с именем http с протоколом, установленным на TCP , вы можете выполнить запрос DNS SRV для _http._tcp.my-service.my-ns , чтобы обнаружить номер порта для http , а также IP-адрес.

DNS-сервер Kubernetes — единственный способ получить доступ к службам ExternalName .Дополнительную информацию о разрешении ExternalName можно найти в Модули и службы DNS.

Безголовые службы

Иногда вам не нужна балансировка нагрузки и один IP-адрес службы. В в этом случае вы можете создать так называемые «безголовые» службы, явно указание «Нет» для IP-адреса кластера ( .spec.clusterIP ).

Вы можете использовать автономную службу для взаимодействия с другими механизмами обнаружения служб, без привязки к реализации Kubernetes.

Для безголовых Services IP-адрес кластера не выделяется, kube-proxy не обрабатывает эти Сервисы, и платформа не выполняет балансировку нагрузки или проксирование. для них. Автоматическая настройка DNS зависит от того, есть ли у Службы определены селекторы:

С переключателями

Для автономных служб, которые определяют селекторы, контроллер конечных точек создает Конечные точки записей в API и изменяют конфигурацию DNS для возврата Записи (IP-адреса), которые указывают непосредственно на Pods , поддерживающие Service .

Без селектора

Для автономных служб, которые не определяют селекторы, контроллер конечных точек выполняет не создавать Конечные точки записей. Однако система DNS ищет и настраивает либо:

• Записи CNAME для служб типа ExternalName .
• A записи для любых Конечных точек , которые имеют общее имя с Сервисом, для всех другие виды.

Издательские услуги (ServiceTypes)

Для некоторых частей вашего приложения (например, интерфейсов) вы можете захотеть предоставить Служба на внешнем IP-адресе, который находится за пределами вашего кластера.

Kubernetes ServiceTypes позволяют указать, какой тип службы вам нужен. По умолчанию ClusterIP .

Значения типа и их поведение:

• ClusterIP : Предоставляет службу на внутреннем IP-адресе кластера. Выбор этого значения делает Сервис доступным только изнутри кластера. Это по умолчанию ServiceType .
• NodePort : предоставляет услугу на каждом IP-адресе узла на статическом порте. ( NodePort ).Служба ClusterIP , к которой служба NodePort маршруты, создается автоматически. Вы сможете связаться со службой NodePort , извне кластера, запросив : .
• LoadBalancer : предоставляет доступ к службе извне с помощью облака балансировщик нагрузки провайдера. NodePort и ClusterIP Services, к которым внешний маршруты балансировщика нагрузки создаются автоматически.
• ExternalName : сопоставляет службу с содержимым externalName field (например, foo.bar.example.com ), возвращая запись CNAME со своим значением. Никакого прокси не настроено.

  Примечание: Вам потребуется kube-dns версии 1.7 или CoreDNS версии 0.0.8 или выше. для использования типа ExternalName .

Вы также можете использовать Ingress для предоставления доступа к вашему Сервису.Ingress — это не тип службы, но он действует как точка входа для вашего кластера. Это позволяет объединить правила маршрутизации в один ресурс, так как он может предоставлять несколько сервисов под одним и тем же IP-адресом.

Тип NodePort

Если вы установите для поля тип значение NodePort , плоскость управления Kubernetes выделяет порт из диапазона, указанного флагом --service-node-port-range (по умолчанию: 30000-32767). Каждый узел передает этот порт (один и тот же номер порта на каждом узле) в вашу службу.Ваша служба сообщает о выделенном порте в поле .spec.ports [*]. NodePort .

Если вы хотите указать определенные IP-адреса для проксирования порта, вы можете установить --nodeport-addresses флаг для kube-proxy или эквивалентного nodePortAddresses поле файл конфигурации kube-proxy к конкретному IP-блоку (ам).

Этот флаг принимает список IP-блоков, разделенных запятыми (например, 10.0.0.0/8 , 192.0.2.0/25 ), чтобы указать диапазоны IP-адресов, которые kube-proxy должен рассматривать как локальные для этого узла.

Например, если вы запускаете kube-proxy с флагом --nodeport-addresses = 127.0.0.0 / 8 , kube-proxy выбирает только интерфейс обратной связи для служб NodePort. По умолчанию для --nodeport-addresses — это пустой список. Это означает, что kube-proxy должен учитывать все доступные сетевые интерфейсы для NodePort. (Это также совместимо с более ранними выпусками Kubernetes).

Если вам нужен конкретный номер порта, вы можете указать значение в nodePort поле.Плоскость управления либо выделит вам этот порт, либо сообщит, что транзакция API не удалась. Это означает, что вам необходимо самостоятельно позаботиться о возможных конфликтах портов. Вы также должны использовать действительный номер порта, который находится в пределах настроенного диапазона. для использования NodePort.

Использование NodePort дает вам свободу настраивать собственное решение для балансировки нагрузки, для настройки сред, которые не полностью поддерживаются Kubernetes, или даже для прямого доступа к одному или нескольким IP-адресам узлов.

Обратите внимание, что эта услуга отображается как : spec.порты [*]. nodePort и .spec.clusterIP: spec.ports [*]. port . Если --nodeport-addresses флаг для kube-proxy или эквивалентного поля в файле конфигурации kube-proxy установлено, что будет отфильтрованным IP-адресом узла.

Например:

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  тип: NodePort
  селектор:
    приложение: MyApp
  порты:
      # По умолчанию и для удобства, для параметра targetPort установлено то же значение, что и для поля port.- порт: 80
      targetPort: 80
      # Необязательное поле
      # По умолчанию и для удобства плоскость управления Kubernetes выделяет порт из диапазона (по умолчанию: 30000-32767)
      nodePort: 30007
  

Тип Балансировщик нагрузки

На облачных провайдерах, поддерживающих внешние балансировщики нагрузки, установка типа в поле LoadBalancer подготавливает балансировщик нагрузки для вашей службы. Фактическое создание балансировщика нагрузки происходит асинхронно, и информация о подготовленном балансировщике публикуется в сервисе .Поле status.loadBalancer . Например:

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  селектор:
    приложение: MyApp
  порты:
    - протокол: TCP
      порт: 80
      targetPort: 9376
  clusterIP: 10.0.171.239
  тип: LoadBalancer
статус:
  loadBalancer:
    вход:
    - ip: 192.0.2.127
  

Трафик от внешнего балансировщика нагрузки направляется на серверные модули. Облачный провайдер решает, как выполняется балансировка нагрузки.

Некоторые облачные провайдеры позволяют указывать loadBalancerIP .В этих случаях создается балансировщик нагрузки. с указанным пользователем loadBalancerIP . Если поле loadBalancerIP не указано, loadBalancer настроен с временным IP-адресом. Если указать loadBalancer IP но ваш облачный провайдер не поддерживает эту функцию, поле loadbalancerIP , которое вы набор игнорируется.

Балансировщики нагрузки со смешанными типами протоколов

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.20 [альфа]

По умолчанию для служб типа LoadBalancer, когда определено более одного порта, все порты должны иметь один и тот же протокол, и протокол должен быть поддерживаемым поставщиком облачных услуг.

Если функция MixedProtocolLBService включена для kube-apiserver, разрешено использовать разные протоколы, если определено более одного порта.

Примечание: Набор протоколов, которые можно использовать для служб типа LoadBalancer, по-прежнему определяется поставщиком облака.

Отключение распределения нагрузки NodePort в балансировщике нагрузки

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.20 [альфа]

Начиная с v1.20, вы можете дополнительно отключить выделение портов узла для Service Type = LoadBalancer, установив поле spec.allocateLoadBalancerNodePorts от до false . Это следует использовать только для реализации балансировщика нагрузки. которые направляют трафик непосредственно к модулям, а не используют порты узлов. По умолчанию спец.allocateLoadBalancerNodePorts равно true и тип LoadBalancer Services продолжит выделять порты узлов. Если spec.allocateLoadBalancerNodePorts установлено значение false в существующей Службе с выделенными портами узлов, эти порты узлов НЕ будут автоматически отменены. Вы должны явно удалить запись nodePorts в каждом служебном порте, чтобы освободить эти порты узла. Для использования этого поля необходимо включить шлюз функции ServiceLBNodePortControl .

Указание класса реализации балансировщика нагрузки

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.22 [бета]

spec.loadBalancerClass позволяет использовать реализацию балансировщика нагрузки, отличную от используемой по умолчанию облачного провайдера. Эта функция доступна начиная с версии 1.21, необходимо включить шлюз функций ServiceLoadBalancerClass , чтобы использовать это поле в версии 1.21, а шлюз функций включен по умолчанию, начиная с версии 1.22. По умолчанию спец.loadBalancerClass равен nil , а тип службы LoadBalancer использует реализация балансировщика нагрузки облачного провайдера по умолчанию, если кластер настроен с облачный провайдер, использующий флаг компонента --cloud-provider . Если указан spec.loadBalancerClass , предполагается, что балансировщик нагрузки реализация, соответствующая указанному классу, наблюдает за Службами. Любая реализация балансировщика нагрузки по умолчанию (например, предоставленная поставщик облачных услуг) будет игнорировать Службы, для которых установлено это поле. spec.loadBalancerClass может быть установлен только для службы типа LoadBalancer . После установки его нельзя изменить. Значение spec.loadBalancerClass должно быть идентификатором стиля метки, с необязательным префиксом, например « internal-vip » или « example.com/internal-vip ». Имена без префикса зарезервированы для конечных пользователей.

Внутренний балансировщик нагрузки

В смешанной среде иногда необходимо направлять трафик от Сервисов внутри одного (виртуальный) сетевой адресный блок.

В среде DNS с разделенным горизонтом вам потребуются две службы, чтобы иметь возможность направлять внешний и внутренний трафик к вашим конечным точкам.

Чтобы установить внутренний балансировщик нагрузки, добавьте одну из следующих аннотаций к вашему Сервису. в зависимости от поставщика облачных услуг, который вы используете.

  [...]
метаданные:
    имя: my-service
    аннотации:
        cloud.google.com/load-balancer-type: "Внутренний"
[...]
  

  [...]
метаданные:
    имя: my-service
    аннотации:
        служба.beta.kubernetes.io/aws-load-balancer-internal: "правда"
[...]
  

  [...]
метаданные:
    имя: my-service
    аннотации:
        service.beta.kubernetes.io/azure-load-balancer-internal: "правда"
[...]
  

  [...]
метаданные:
    имя: my-service
    аннотации:
        service.kubernetes.io/ibm-load-balancer-cloud-provider-ip-type: "частный"
[...]
  

  [...]
метаданные:
    имя: my-service
    аннотации:
        служба.beta.kubernetes.io/openstack-internal-load-balancer: "правда"
[...]
  

  [...]
метаданные:
    имя: my-service
    аннотации:
        service.beta.kubernetes.io/cce-load-balancer-internal-vpc: "правда"
[...]
  

  [...]
метаданные:
  аннотации:
    service.kubernetes.io/qcloud-loadbalancer-internal-subnetid: подсеть-xxxxx
[...]
  

  [...]
метаданные:
  аннотации:
    service.beta.kubernetes.io/alibaba-cloud-loadbalancer-address-type: "интранет"
[...]
  

TLS на AWS

Для частичной поддержки TLS / SSL на кластерах, работающих на AWS, вы можете добавить три аннотации к сервису LoadBalancer :

  метаданные:
  имя: my-service
  аннотации:
    service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn: aws: acm: us-east-1: 123456789012: certificate / 12345678-1234-1234-1234-123456789012
  

Первый указывает ARN используемого сертификата. Это может быть либо сертификат от стороннего эмитента, который был загружен в IAM или создан в AWS Certificate Manager.

  метаданные:
  имя: my-service
  аннотации:
    service.beta.kubernetes.io/aws-load-balancer-backend-protocol: (https | http | ssl | tcp)
  

Вторая аннотация указывает протокол, по которому работает Pod. Для HTTPS и SSL, ELB ожидает, что Pod аутентифицируется через зашифрованный подключение, используя сертификат.

HTTP и HTTPS выбирает проксирование уровня 7: ELB завершается соединение с пользователем, анализирует заголовки и вводит X-Forwarded-For заголовок с IP-адресом пользователя (модули видят только IP-адрес ELB на другом конце своего соединения) при пересылке запросов.

TCP и SSL выбирают проксирование уровня 4: ELB пересылает трафик без изменение заголовков.

В смешанной среде, где одни порты защищены, а другие остаются незашифрованными, вы можете использовать следующие аннотации:

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http
        service.beta.kubernetes.io/aws-load-balancer-ssl-ports: «443,8443»
  

В приведенном выше примере, если Служба содержала три порта, 80 , 443 и 8443 , затем 443 и 8443 будут использовать сертификат SSL, но 80 будет проксировать HTTP.

Начиная с Kubernetes v1.9 и далее, вы можете использовать предопределенные политики AWS SSL с HTTPS или SSL для ваших Сервисов. Чтобы узнать, какие политики доступны для использования, вы можете использовать инструмент командной строки aws :

  aws elb describe-load-balancer-policies --query 'PolicyDescriptions []. PolicyName'
  

Затем вы можете указать любую из этих политик, используя « service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy » аннотация; например:

  метаданные:
      имя: my-service
      аннотации:
        служба.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS-1-2-2017-01"
  

Поддержка протокола PROXY на AWS

Для включения протокола PROXY поддержку кластеров, работающих на AWS, вы можете использовать следующий сервис аннотация:

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-proxy-protocol: «*»
  

Начиная с версии 1.3.0, использование этой аннотации применяется ко всем портам, проксируемым ELB. и не может быть настроен иначе.

Журналы доступа ELB на AWS

Есть несколько аннотаций для управления журналами доступа к сервисам ELB на AWS.

Аннотация service.beta.kubernetes.io/aws-load-balancer-access-log-enabled контролирует, включены ли журналы доступа.

Аннотация service.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval контролирует интервал в минутах для публикации журналов доступа. Вы можете указать интервал 5 или 60 минут.

Аннотация service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name контролирует имя корзины Amazon S3, в которой хранятся журналы доступа к балансировщику нагрузки. хранится.

Аннотация service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-prefix определяет логическую иерархию, созданную для корзины Amazon S3.

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-access-log-enabled: "true"
        # Указывает, включены ли журналы доступа для балансировщика нагрузки
        служба.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval: «60»
        # Интервал публикации журналов доступа. Вы можете указать интервал 5 или 60 (минут).
        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name: "my-bucket"
        # Имя корзины Amazon S3, в которой хранятся журналы доступа
        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-prefix: "my-bucket-prefix / prod"
        # Логическая иерархия, которую вы создали для своего ведра Amazon S3, например, `my-bucket-prefix / prod`
  

Соединение слива на AWS

Осушением соединения для классических ELB можно управлять с помощью аннотации сервис.beta.kubernetes.io/aws-load-balancer-connection-draining-enabled набор к значению «истина» . Аннотация service.beta.kubernetes.io/aws-load-balancer-connection-draining-timeout может также может использоваться для установки максимального времени в секундах, в течение которого существующие соединения остаются открытыми перед отменой регистрации экземпляров.

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-connection-draining-enabled: "true"
        служба.beta.kubernetes.io/aws-load-balancer-connection-draining-timeout: «60»
  

Другие аннотации ELB

Существуют и другие аннотации для управления Classic Elastic Load Balancer, которые описаны ниже.

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: «60»
        # Время в секундах, в течение которого соединение может находиться в режиме ожидания (данные не были отправлены по соединению) до того, как оно будет закрыто балансировщиком нагрузки

        служба.beta.kubernetes.io/aws-load-balancer-cross-zone-load-balancing-enabled: "true"
        # Указывает, включена ли межзонная балансировка нагрузки для балансировщика нагрузки

        service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "environment = prod, owner = DevOps"
        # Список пар ключ-значение, разделенных запятыми, которые будут записаны как
        # дополнительных тегов в ELB.

        service.beta.kubernetes.io/aws-load-balancer-healthcheck-healthy-threshold: ""
        # Количество последовательных успешных проверок работоспособности, необходимых для того, чтобы серверная часть
        # считаться пригодным для трафика.По умолчанию 2, должно быть от 2 до 10.

        service.beta.kubernetes.io/aws-load-balancer-healthcheck-unhealthy-threshold: «3»
        # Количество неудачных проверок работоспособности, необходимых для работы серверной части.
        # считается вредным для трафика. По умолчанию 6, должно быть от 2 до 10.

        service.beta.kubernetes.io/aws-load-balancer-healthcheck-interval: «20»
        # Приблизительный интервал в секундах между проверками работоспособности
        # индивидуальный экземпляр. По умолчанию 10, должно быть от 5 до 300.

        служба.beta.kubernetes.io/aws-load-balancer-healthcheck-timeout: «5»
        # Время в секундах, в течение которого отсутствие ответа означает сбой
        # проверка состояния здоровья. Это значение должно быть меньше, чем service.beta.kubernetes.io/aws-load-balancer-healthcheck-interval.
        # стоимость. По умолчанию 5, должно быть от 2 до 60.

        service.beta.kubernetes.io/aws-load-balancer-security-groups: «sg-53fae93f»
        # Список существующих групп безопасности, которые нужно настроить на созданном ELB. В отличие от аннотации
        # служба.beta.kubernetes.io/aws-load-balancer-extra-security-groups, это заменяет все другие группы безопасности, ранее назначенные для ELB, а также отменяет создание
        # уникально созданной группы безопасности для этого ELB.
        # Первый идентификатор группы безопасности в этом списке используется в качестве источника для разрешения входящего трафика на целевые рабочие узлы (служебный трафик и проверки работоспособности).
        # Если несколько ELB настроены с одним и тем же идентификатором группы безопасности, только одна строка разрешения будет добавлена ​​в группы безопасности рабочего узла, это означает, что если вы удалите любой
        # из этих ELB будет удалена единственная строка разрешения и заблокирован доступ для всех ELB с одним и тем же идентификатором группы безопасности.# Это может вызвать перерыв в работе сервиса, если не используется должным образом

        service.beta.kubernetes.io/aws-load-balancer-extra-security-groups: «sg-53fae93f, sg-42efd82e»
        # Список дополнительных групп безопасности, которые должны быть добавлены в созданный ELB, это оставляет уникально сгенерированную группу безопасности на месте, это гарантирует, что каждый ELB
        # имеет уникальный идентификатор группы безопасности и соответствующую строку разрешения, чтобы разрешить трафик к целевым рабочим узлам (служебный трафик и проверки работоспособности).
        # Определенные здесь группы безопасности могут использоваться разными службами.service.beta.kubernetes.io/aws-load-balancer-target-node-labels: "ingress-gw, gw-name = public-api"
        # Список используемых пар ключ-значение, разделенных запятыми
        # для выбора целевых узлов для балансировщика нагрузки
  

Поддержка Network Load Balancer на AWS

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.15 [бета]

Чтобы использовать Network Load Balancer на AWS, используйте аннотацию service.beta.kubernetes.io/aws-load-balancer-type со значением nlb .

  метаданные:
      имя: my-service
      аннотации:
        service.beta.kubernetes.io/aws-load-balancer-type: "nlb"
  

Примечание. NLB работает только с определенными классами экземпляров; см. документацию AWS на Elastic Load Balancing, чтобы получить список поддерживаемых типов экземпляров.

В отличие от классических эластичных балансировщиков нагрузки, балансировщики сетевой нагрузки (NLB) пересылают IP-адрес клиента до узла. Если служба .spec.externalTrafficPolicy установлен на Кластер , IP-адрес клиента не распространяется на конец Стручки.

При установке .spec.externalTrafficPolicy на Local IP-адреса клиентов размножаются до конечных стручков, но это может привести к неравномерному распределению движение. Узлы без каких-либо модулей для конкретной службы LoadBalancer выйдут из строя проверка работоспособности целевой группы NLB на автоматически назначенном .spec.healthCheckNodePort и не получать никакого трафика.

Для достижения равномерного трафика используйте DaemonSet или укажите стручок антиаффинности не располагаться на одном узле.

Вы также можете использовать службы NLB с внутренним балансировщиком нагрузки. аннотация.

Для того, чтобы клиентский трафик достигал экземпляров за NLB, безопасность узла группы изменяются следующими IP-правилами:

Чтобы ограничить IP-адреса клиентов, которые могут получить доступ к Network Load Balancer, укажите loadBalancerSourceRanges .

  спецификации:
  loadBalancerSourceRanges:
    - «143.231.0.0/16»
  

Примечание: Если .spec.loadBalancerSourceRanges не установлен, Kubernetes разрешает трафик от 0.0.0.0/0 к группам безопасности узлов.Если узлы имеют общедоступные IP-адреса, имейте в виду, что трафик, не связанный с NLB, также может достигать всех экземпляров в этих измененных группах безопасности.

Другие аннотации CLB для Tencent Kubernetes Engine (TKE)

Существуют и другие аннотации для управления балансировщиками облачной нагрузки на TKE, как показано ниже.

  метаданные:
      имя: my-service
      аннотации:
        # Привязать балансировщики нагрузки к указанным узлам
        service.kubernetes.io/qcloud-loadbalancer-backends-label: введите (значение1, значение2)

        # ID существующего балансировщика нагрузки
        служба.kubernetes.io/tke-existed-lbid：lb-6swtxxxx

        # Пользовательские параметры для балансировщика нагрузки (LB), пока не поддерживает изменение типа LB
        service.kubernetes.io/service.extensiveParameters: ""

        # Пользовательские параметры для прослушивателя LB
        service.kubernetes.io/service.listenerParameters: ""

        # Указывает тип балансировщика нагрузки;
        # допустимые значения: классический (Classic Cloud Load Balancer) или application (Application Cloud Load Balancer)
        service.kubernetes.io / loadbalance-type: xxxxx

        # Определяет метод выставления счетов за пропускную способность общедоступной сети;
        # допустимые значения: TRAFFIC_POSTPAID_BY_HOUR (счет за трафиком) и BANDWIDTH_POSTPAID_BY_HOUR (счет за пропускную способность).
        service.kubernetes.io/qcloud-loadbalancer-internet-charge-type: xxxxxx

        # Определяет значение полосы пропускания (диапазон значений: [1,2000] Мбит / с).
        service.kubernetes.io/qcloud-loadbalancer-internet-max-bandwidth-out: «10»

        # Когда эта аннотация установлена, балансировщики нагрузки будут регистрировать только узлы
        # с запущенным подом, иначе все узлы будут зарегистрированы.service.kubernetes.io/local-svc-only-bind-node-with-pod: правда
  

Тип Внешнее имя

Службы типа ExternalName сопоставляют Службу с именем DNS, а не с типичным селектором, таким как my-service или cassandra . Вы указываете эти службы с параметром spec.externalName .

Это определение службы, например, отображает my-service Service в пространстве имен prod до my.database.example.com :

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
  пространство имен: prod
спецификация:
  тип: ExternalName
  externalName: my.database.example.com
  

Примечание. ExternalName принимает строку адреса IPv4, но как DNS-имена, состоящие из цифр, а не как IP-адрес. Внешние имена, похожие на адреса IPv4, не разрешаются CoreDNS или ingress-nginx, поскольку ExternalName предназначен для указания канонического DNS-имени. Чтобы жестко закодировать IP-адрес, рассмотрите возможность использования безголовые службы.

При поиске узла my-service.prod.svc.cluster.local служба DNS кластера возвращает запись CNAME со значением my.database.example.com . Доступ my-service работает так же, как и другие службы, но с важными разница в том, что перенаправление происходит на уровне DNS, а не через проксирование или пересылка. Если позже вы решите переместить свою базу данных в кластер, вы может запускать свои поды, добавлять соответствующие селекторы или конечные точки и изменять Служба типа .

Предупреждение:

У вас могут возникнуть проблемы с использованием ExternalName для некоторых распространенных протоколов, включая HTTP и HTTPS. Если вы используете ExternalName, то имя хоста, используемое клиентами внутри вашего кластера, отличается от имени, на которое ссылается ExternalName.

Для протоколов, использующих имена хостов, это различие может привести к ошибкам или неожиданным ответам. HTTP-запросы будут иметь заголовок Host: , который исходный сервер не распознает; Серверы TLS не смогут предоставить сертификат, соответствующий имени хоста, к которому подключился клиент.

внешних IP-адресов

Если есть внешние IP-адреса, которые маршрутизируют один или несколько узлов кластера, Kubernetes Services могут быть доступны на этих внешних IP-адреса . Трафик, входящий в кластер с внешним IP-адресом (в качестве IP-адреса назначения), на служебном порте, будет направлен на одну из конечных точек службы. внешних IP-адресов не управляются Kubernetes и находятся под его ответственностью. администратора кластера.

В спецификации службы externalIPs можно указать вместе с любым из ServiceTypes .В приведенном ниже примере к « my-service » могут получить доступ клиенты по « 80.11.12.10:80 » ( externalIP: порт )

  Версия: v1
вид: Сервис
метаданные:
  имя: my-service
спецификация:
  селектор:
    приложение: MyApp
  порты:
    - имя: http
      протокол: TCP
      порт: 80
      targetPort: 9376
  externalIPs:
    - 80.11.12.10
  

Недостатки

Использование прокси пользовательского пространства для VIP-персон работает в малых и средних масштабах, но будет не масштабируются до очень больших кластеров с тысячами сервисов.В оригинальное дизайнерское предложение порталов есть более подробная информация об этом.

Использование прокси-сервера пользовательского пространства скрывает исходный IP-адрес пакета, услуга. Это делает невозможными некоторые виды сетевой фильтрации (брандмауэра). Iptables прокси-режим не работает неясные исходные IP-адреса в кластере, но это по-прежнему влияет на клиентов, проходящих через балансировщик нагрузки или узел-порт.

Поле Тип разработано как вложенная функциональность — каждый уровень добавляет предыдущий. Это строго не требуется для всех облачных провайдеров (например, для облачных сервисов).г. Google Compute Engine делает не нужно выделять NodePort , чтобы LoadBalancer работал, но AWS это делает) но текущий API требует этого.

Реализация виртуального IP

Предыдущей информации должно быть достаточно для многих людей, которые хотят использовать Сервисы. Однако за кулисами происходит многое, что может быть стоит понять.

Как избежать столкновений

Одна из основных философий Kubernetes заключается в том, что вы не должны подвержен ситуациям, которые могут привести к провалу ваших действий не по вине из ваших собственных.Для дизайна ресурса Сервиса это означает, что вы выбираете свой собственный номер порта, если этот выбор может противоречить чужой выбор. Это отказ изоляции.

Чтобы вы могли выбрать номер порта для ваших Сервисов, мы должны убедитесь, что никакие две службы не могут конфликтовать. Kubernetes делает это, выделяя каждый Сервис имеет собственный IP-адрес.

Чтобы гарантировать, что каждая служба получает уникальный IP-адрес, внутренний распределитель атомарно обновляет глобальную карту распределения в etcd перед созданием каждой Услуги.Объект карты должен существовать в реестре для Услуги для присвоения IP-адресов, в противном случае творения будут ошибка с сообщением, указывающим, что IP-адрес не может быть выделен.

В плоскости управления за создание этого карта (необходима для поддержки перехода со старых версий Kubernetes, которые использовали блокировка в памяти). Kubernetes также использует контроллеры для проверки недействительности назначения (например, из-за вмешательства администратора) и для очистки выделенных IP-адреса, которые больше не используются никакими Сервисами.

Сервисные IP-адреса

В отличие от IP-адресов Pod, которые фактически направляют к фиксированному месту назначения, На служебные IP-адреса фактически не отвечает ни один хост. Вместо этого kube-proxy использует iptables (логика обработки пакетов в Linux) для определения виртуальных IP-адресов которые при необходимости перенаправляются прозрачно. Когда клиенты подключаются к VIP, их трафик автоматически передается в соответствующую конечную точку. Переменные среды и DNS для служб фактически заполняются в условия виртуального IP-адреса (и порта) Сервиса.

kube-proxy поддерживает три режима прокси: пользовательское пространство, iptables и IPVS, которые каждый работает немного по-своему.

Пространство пользователя

В качестве примера рассмотрим приложение для обработки изображений, описанное выше. Когда создается серверная служба, мастер Kubernetes назначает виртуальную IP-адрес, например 10.0.0.1. Предполагая, что служебный порт — 1234, За сервисом наблюдают все экземпляры kube-proxy в кластере. Когда прокси-сервер видит новую службу, он открывает новый случайный порт, устанавливает iptables перенаправляет с виртуального IP-адреса на этот новый порт и начинает принимать связи на нем.

Когда клиент подключается к виртуальному IP-адресу службы, iptables Правило срабатывает и перенаправляет пакеты на собственный порт прокси. «Прокси-сервер службы» выбирает серверную часть и начинает проксировать трафик от клиента к серверной части.

Это означает, что владельцы сервисов могут выбрать любой порт, который они хотят, без риска столкновение. Клиенты могут подключаться к IP и порту, не зная из которых они фактически получают доступ.

iptables

Снова рассмотрим приложение для обработки изображений, описанное выше.Когда создается серверная служба, плоскость управления Kubernetes назначает виртуальную IP-адрес, например 10.0.0.1. Предполагая, что служебный порт — 1234, За сервисом наблюдают все экземпляры kube-proxy в кластере. Когда прокси-сервер видит новую службу, он устанавливает серию правил iptables, которые перенаправление с виртуального IP-адреса на правила для каждой службы. За услугу правила связаны с правилами для каждой конечной точки, которые перенаправляют трафик (с использованием NAT назначения) к бэкэндам.

Когда клиент подключается к виртуальному IP-адресу службы, срабатывает правило iptables.Выбирается серверная часть (либо на основе схожести сеанса, либо случайным образом), и пакеты перенаправлен на бэкэнд. В отличие от прокси пользовательского пространства, пакеты никогда не скопировано в пользовательское пространство, kube-proxy не обязательно должен быть запущен для виртуального IP-адрес для работы, и узлы видят трафик, поступающий с неизмененного IP-адреса клиента. адрес.

Этот же базовый поток выполняется, когда трафик входит через узел-порт или через балансировщик нагрузки, хотя в этих случаях IP-адрес клиента действительно изменяется.

ИПВС

операций iptables резко замедляется в крупномасштабном кластере e.g 10 000 услуг. IPVS разработан для балансировки нагрузки и основан на хэш-таблицах ядра. Таким образом, вы можете добиться стабильной производительности в большом количестве сервисов с помощью kube-proxy на базе IPVS. Между тем, kube-proxy на основе IPVS имеет более сложные алгоритмы балансировки нагрузки (минимум соединений, локальность, взвешенность, постоянство).

Объект API

— это ресурс верхнего уровня в Kubernetes REST API. Вы можете найти более подробную информацию об объекте API по адресу: Объект Service API.

Поддерживаемые протоколы

TCP

Вы можете использовать TCP для любого типа службы, и это сетевой протокол по умолчанию.

UDP

Вы можете использовать UDP для большинства Сервисов. Для type = LoadBalancer Services, поддержка UDP зависит от поставщика облачных услуг, предлагающего эту возможность.

SCTP

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.20 [стабильный]

При использовании сетевого плагина, поддерживающего трафик SCTP, вы можете использовать SCTP для большинство услуг. Для type = LoadBalancer Services поддержка SCTP зависит от облака. поставщик, предлагающий эту услугу. (Большинство не делают).

Предупреждения

Поддержка многосетевых ассоциаций SCTP

Предупреждение:

Для поддержки многосетевых ассоциаций SCTP требуется, чтобы подключаемый модуль CNI мог поддерживать назначение нескольких интерфейсов и IP-адресов модулю.

NAT для многосетевых ассоциаций SCTP требует специальной логики в соответствующих модулях ядра.

Windows

Примечание. SCTP не поддерживается узлами на базе Windows.

Пользовательское пространство kube-proxy

Предупреждение: Kube-proxy не поддерживает управление ассоциациями SCTP, когда он находится в режиме пользовательского пространства.

HTTP

Если ваш облачный провайдер поддерживает это, вы можете использовать Сервис в режиме LoadBalancer. для настройки внешнего обратного проксирования HTTP / HTTPS, перенаправляемого на конечные точки службы.

Примечание: Вы также можете использовать Ingress вместо службы. чтобы открыть службы HTTP / HTTPS.

Протокол PROXY

Если ваш облачный провайдер поддерживает это, вы можете использовать службу в режиме LoadBalancer для настройки балансировщика нагрузки вне самого Kubernetes, который будет перенаправлять соединения с префиксом ПРОКСИ протокол.

Балансировщик нагрузки отправит начальную серию октетов, описывающих входящее соединение, аналогично этому примеру

  ПРОКСИ TCP4 192.0.2.202 10.0.42.7 12345 7 \ r \ n
  

, а затем данные от клиента.

Что дальше

разрешений IAM для методов Storage Transfer Service

В следующей таблице перечислены минимальные разрешения, необходимые для запуска каждый метод службы передачи данных.

Разрешения источника

Cloud Storage

Storage Transfer Service использует Сервисный аккаунт, управляемый Google для перемещения данных из созданной исходной корзины Cloud Storage. в первый раз, когда ты звонишь googleServiceAccounts.get .

Формат учетной записи службы обычно проект- ПРОЕКТ НОМЕР @ хранилище-передача-сервис.iam.gserviceaccount.com . Чтобы узнать формат вашей учетной записи службы, используйте googleServiceAccounts.get Вызов API.

Учетная запись службы должна иметь следующие разрешения для источника. ковш:

ролей / storage.objectViewer и ролей / storage.legacyBucketReader вместе роли содержат разрешения, которые требуются всегда. В ролей / storage.legacyBucketWriter роль содержит storage.objects.delete разрешений. Учетная запись службы, используемая для выполнения перевод должен быть назначили желаемые роли.

Полный список ролей облачного хранилища и их разрешений. содержат, см. роли IAM.

Amazon S3

Чтобы использовать службу Storage Transfer Service для перемещения данных из Amazon S3 ведро, у вас должна быть учетная запись пользователя AWS Identity and Access Management с определенными разрешения для ведра:

Хранилище больших двоичных объектов Microsoft Azure

Использование службы передачи хранилища для перемещения данных из учетной записи хранилища Microsoft Azure или контейнер в облачное хранилище, у вас должно быть хранилище Microsoft Azure. учетная запись пользователя со следующими разрешениями, примененными к учетной записи:

Список URL-адресов

Если источником данных является список URL-адресов, убедитесь, что каждый объект в списке URL-адресов общедоступен.

Разрешения на раковину

Storage Transfer Service использует Сервисный аккаунт, управляемый Google для перемещения данных из исходной корзины Cloud Storage, в которой создается первый раз ты звонишь googleServiceAccounts.get .

Формат учетной записи службы обычно project- PROJECT_NUMBER @ storage-transfer-service.iam.gserviceaccount.com . Чтобы узнать формат вашей учетной записи службы, используйте googleServiceAccounts.get Вызов API.

Учетная запись службы должна иметь следующие разрешения для места назначения. ковш:

Все эти разрешения содержатся в ролях / хранилище. LegacyBucketWriter роль, которую вы можете назначить учетной записи службы. Для получения полного списка Роли облачного хранилища и содержащиеся в них разрешения см. В разделе «Роли IAM».

Права доступа к публикациям и публикациям

Если вы планируете использовать Pub / Sub для переводов, Предоставьте сервисному аккаунту роль IAM роли / pubsub.publisher для желаемой темы Pub / Sub.

Информация CSRS

Закон о пенсиях государственных служащих, вступивший в силу 1 августа 1920 года, установил систему выхода на пенсию для некоторых федеральных служащих. Она была заменена Системой пенсионного обеспечения федеральных служащих (FERS) для федеральных служащих, впервые перешедших на службу с 1 января 1987 года и после этой даты.

Пенсионная система государственных служащих (CSRS) — это пенсионная система с установленными выплатами и взносами. Сотрудники участвуют в расходах по аннуитетам, на которые они имеют право.Сотрудники, покрытые CSRS, вносят в CSRS 7, 7 1/2 или 8 процентов заработной платы, и, хотя они обычно не платят налога на пенсию, потерю кормильца и инвалидность (OASDI), они должны платить налог на Medicare (в настоящее время 1,45 процента от заработной платы). Агентство-работодатель подбирает взносы сотрудника в CSRS.

CSRS могут увеличить свой заработанный аннуитет, перечислив до 10 процентов базовой заработной платы за свои кредитные услуги на счет добровольных взносов. Сотрудники также могут вносить часть заработной платы в Сберегательный план сбережений (TSP).Государственного взноса нет, но взносы сотрудников отсрочены по налогам.

Этот раздел веб-сайта посвящен пенсионной системе государственных служащих (CSRS). С помощью ссылок меню слева вы можете найти информацию по следующим темам выхода на пенсию CSRS:

• Право на участие — основные требования для получения права на пенсию по обычным видам.
• Расчет — Как рассчитывается пенсионный аннуитет.
• Creditable Service — Правила, показывающие гражданскую и военную службу, которые могут использоваться для расчета ваших пенсионных пособий CSRS.
• Планирование и применение — Никогда не рано начинать планировать выход на пенсию, чтобы все прошло гладко. Здесь вы найдете информацию, которая поможет обеспечить хорошее начало выхода на пенсию.
• Типы выхода на пенсию — Узнайте о возрасте, требованиях к услугам и соображениях, влияющих на различные типы выхода на пенсию.
• Survivors — Когда федеральный служащий умирает, оставшимся в живых могут выплачиваться ежемесячные или единовременные пособия. Узнайте об этих льготах для выживших здесь.
• Оплата военного пенсионера — добавление военной службы к гражданской службе.
• Сервисный кредит — Плата для увеличения вашего аннуитета за гражданскую службу, когда пенсионные отчисления CSRS не были удержаны или возвращены, или за военную службу после 1956 года.
• Бывшие сотрудники — варианты, если вы уволитесь с работы в федеральном масштабе до того, как получите право на пенсию.

Комиссия по государственной службе | Объявления о вакансиях и информация о тестировании

Объявления о вакансиях и информация о тестировании

Заявление о совместимости

браузеров

Мы понимаем, что у наших пользователей могут быть различные интернет-браузеры и операционные системы.

Мы хотим, чтобы наши посетители могли получить наилучшие впечатления от работы с нашим веб-сайтом при использовании нашего онлайн-приложения.

Однако мы понимаем, что невозможно разрабатывать приложения, которые работают одинаково, эффективно и результативно во всех веб-браузерах.

Приложение несовместимо с FireFox. Пожалуйста, используйте один из этих браузеров; Internet Explorer 11 или Google Chrome.

Используйте настольный или портативный компьютер для доступа к вашему приложению, так как система онлайн-приложений не поддерживается мобильными устройствами.

Перейдите по ссылке ниже, чтобы загрузить последнюю версию вашего любимого браузера:

Microsoft Internet Explorer

Объявления о вакансиях для общественности

Открытые конкурсные объявления о вакансиях — это приглашение для общественности побороться за существующие и будущие вакансии на должности в государственных органах штата, округа или муниципалитета. Чтобы лучше понять процесс получения карьеры в государственной службе штата Нью-Джерси, посетите раздел «Процесс подачи заявления о приеме на работу».

Посмотреть Открытые соревнования Объявления здесь

Руководство пользователя онлайн-системы приложений (OAS)

Рекламные объявления для нынешних государственных служащих

Рекламное объявление — это уведомление о текущей или предполагаемой вакантной должности для постоянных государственных служащих штата, округа или муниципалитета.

Посмотреть Рекламные объявления здесь

Руководство пользователя онлайн-системы подачи заявок (OAS)

Объявления о межправительственном переводе

Объявление о межправительственном переводе — это приглашение для постоянных государственных служащих штата, округа или муниципалитета или служащих государственной службы, которые был уволен из-за подачи заявления о приеме на работу в другой юрисдикции.

Подробнее о возможностях межгосударственного перевода

Методы тестирования и оценки государственной службы

Подача заявки на экзамен на государственную службу? Узнайте больше о типах экзаменов, которые проводит Комиссия по государственной службе, и о методах оценки, которые мы используем:

Подробнее о наших методах тестирования и оценки

Примечание к вашему адресу (NJAC 4A: 4-3.2 (e))

Ежегодно Комиссия по государственной службе обрабатывает множество заявлений о приеме на работу и выдает тысячи открытых сертификатов. конкурентные, рекламные и специальные списки трудоустройства.Тем не менее, мы понимаем, что с момента, когда вы впервые подаете заявку до запланированного экзамена или когда ваше имя появится в списке подходящих участников, до момента выдачи сертификата из списка для рассмотрения на прием, определенные сведения, такие как ваш адрес или телефон. номер может измениться. В соответствии с N.J.A.C. 4A: 3-3.2 (e), «[i] t является обязанностью лица, имеющего право хранить текущий адрес в архиве Комиссии по государственной службе». Это означает, что если ваш адрес изменится в любое время в процессе подачи заявления и отбора или в течение срока действия соответствующего критериям или специального списка повторного трудоустройства, вы обязаны обновить свой текущий почтовый адрес непосредственно в CSC.Если вы этого не сделаете, вы можете не получать уведомления о появлении на экзаменах или уведомления о том, что ваше имя сертифицировано для рассмотрения на прием. Недостаточно заполнить форму изменения адреса в почтовом отделении; , ваша информация должна обновляться непосредственно с помощью CSC . Если вы исключены из списка подходящих, потому что мы не можем с вами связаться из-за изменения вашего адреса, о котором вы нам не сообщаете, это не будет считаться действительным основанием для подачи апелляции на восстановление вашего имени в списке.Используйте эту ссылку для доступа к официальной форме изменения адреса CSC.

Обратите внимание: вы также должны сообщить об изменении адреса в своем отделе или местном уполномоченном органе. Форма изменения адреса CSC распространяется только на переписку между CSC и вами в отношении ваших заявок, статуса приемлемости и списков сертификации. Кроме того, изменение вашего адреса после даты закрытия символа не меняет вашего статуса проживания или ранга в существующем списке участников.

Животные-поводыри — Туристическая информация — American Airlines

Полет со служебным животным

Полностью обученные служебные собаки могут летать в салоне самолета бесплатно, если они соответствуют требованиям.

Служебное животное определяется как собака, которая индивидуально обучена выполнять работу или выполнять задачи в интересах квалифицированного лица с ограниченными возможностями, включая физическую, сенсорную, психиатрическую, интеллектуальную или другую умственную отсталость, включая, но не ограничиваясь:

• Нарушение зрения
• Глухота
• Изъятия
• Нарушения опорно-двигательного аппарата
• Посттравматическое стрессовое расстройство

Члены нашей команды обучены задавать определенные вопросы, чтобы определить, является ли ваше животное животным-поводырем, приемлемым для путешествий.

Обратите внимание, что дрессируемые животные-поводыри, животные для эмоциональной поддержки и животные-поводыри могут путешествовать как домашние животные, но не как служебные животные. Будут применяться все требования и применимые сборы.

Домашние питомцы

Бланки и предварительное уведомление

Чтобы путешествовать с животным-поводырем, необходимо предоставить U.S. Форма для перевозки служебного животного воздушным транспортом Министерства транспорта (DOT), подтверждающая состояние здоровья, дрессировку и поведение животного, отправляется в службу специальной помощи не позднее, чем за 48 часов до вылета. Мы сообщим вам об утверждении документа.

Вы можете заполнить форму в аэропорту, если вы купили билет в течение 48 часов до вылета. Обязательно приходите пораньше.

Форма DOT Service для перевозки животных воздушным транспортом (PDF) Открывает PDF-форму в новом окне.

Рейсы в США

Начиная с 14 июля 2021 года, Центры США по контролю за заболеваниями (CDC) выпустили временное отстранение собак, в том числе служебных, въезжающих в США из стран с высоким риском собачьего бешенства.

Только служебные собаки с одобренным CDC разрешением на ввоз собак могут летать на рейсах American.

Рейсы более 8 часов

Если в вашем маршруте полет более 8 часов, также требуется санитарная форма аттестации по оказанию помощи животным Департамента транспортной службы, в которой указано, что вашему животному не нужно будет помогать само по себе или может это сделать так, чтобы это не ухудшало его здоровье. или проблема санитарии.

Форма аттестации службы помощи животным DOT (PDF) Открывается в новом окне

Инструкции

1. Прочтите и заполните форму
DOT Service Animal Air Transportation
2. Заполните форму аттестации службы помощи животным DOT, если применимо
3. Подайте заявку не менее чем за 48 часов до вылета.
4. Держите анкету при себе во время поездки

Отправьте форму DOT Service Animal

Служебное животное ID

После того, как вы отправите свою форму и она будет одобрена, мы отправим вам электронное письмо с вашим идентификатором служебного животного (SVAN ID).Вы можете добавить идентификатор SVAN при бронировании будущего путешествия с этим животным и получить одобрение без повторной отправки форм. Имейте в виду, что срок действия вашего SVAN ID истечет через 1 год с даты подписания или по истечении срока вакцинации животного, в зависимости от того, что наступит раньше.

Поведение животных

Животные должны быть обучены вести себя надлежащим образом в общественных местах, и им не разрешается находиться в салоне, если они демонстрируют любую форму деструктивного поведения, которое невозможно успешно исправить или контролировать, включая, помимо прочего:

• Рычащий
• Укус или попытка укусить
• Прыгать или бросаться на людей

Если такое поведение наблюдается в любой момент вашего путешествия и не исправляется или не контролируется, животное будет считаться домашним животным.