百度信息安全运维

pod 可能存在哪些状态

Pod Phase

Running
Succeeded Job 完成、CronJob 完成
Failed 程序崩溃、容器启动失败
Pending 资源不足、NodeSelector 无匹配、拉镜像慢
Unknown kubelet 无法上报状态，节点掉线、网络中断

创建/调度相关

ContainerCreating 容器正在创建容器，拉取镜像
PodInitializing 容器正在初始化，执行 init 容器
ImagePullBackOff 拉镜像失败（认证问题、镜像不存在）
ErrImagePull 同上，比 BackOff 更早期

运行中异常

CrashLoopBackOff 容器崩溃后，kubelet 会根据 backoff 策略（默认 10s 后重试）重启容器
OOMKilled 容器内存超出限制，被 kubelet 强制kill
BackOff 多次失败后进入退避（如 init 容器失败）
CrashLoopBackOff 主容器不断崩溃重启
CreateContainerConfigError 容器创建配置错误（如挂载卷不存在）
Error 容器非0退出（但不一定重启策略触发失败）

退出/终止

Terminating 容器正在终止（如删除 pod）
Completed 容器正常退出（如主容器退出）
Failed 容器非0退出，且重启策略为 Never

你们告警架构

因为涉及到公司的告警系统，不能直接展示。

Counter和Gauge 区别？什么场景下用Counter

Counter

只能递增
进程重启后归零
qps、error、数据处理量（条/包/字节）、重试次数

Gauge

可增可减
Redis/Kafka/队列等库存值、cpu/memory、在线人数

502、504区别

502 网关错误，通常是后端服务返回了无效响应（如返回了 HTML 而不是 JSON）
504 网关超时，通常是后端服务响应时间超过了网关的超时时间

192.168.1.0/25 所有的IP地址范围

共有 2^7 - 2 = 126 个 IP 地址 000 0000 192.168.1.1～192.168.1.126

192.168.1.127 是广播地址 192.168.1.128 是子网掩码

一台机器如何放行80，拒绝所有端口

iptables

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
# 放行 localhost
sudo iptables -A INPUT -i lo -j ACCEPT
# 放行已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 放行 80 端口
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 拒绝所有其他端口
sudo iptables -P INPUT DROP
# 保存规则
sudo service iptables save

python 使用装饰器统计函数运行时间

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
import time
from functools import wraps

def timer_decorator(func):
    @wraps(func)  # 保留原函数的元信息
    def wrapper(*args, **kwargs):
        start_time = time.perf_counter()  # 高精度计时开始
        result = func(*args, **kwargs)    # 执行原函数并获取结果
        end_time = time.perf_counter()    # 计时结束
        elapsed = end_time - start_time
        print(f"函数 {func.__name__} 执行耗时: {elapsed:.4f} 秒")
        return result  # 返回原函数结果
    return wrapper


@timer_decorator
def add_numbers(a, b):
    time.sleep(0.5)  # 模拟耗时操作
    return a + b

# 调用函数，自动计时
sum_result = add_numbers(3, 4)
print(f"计算结果: {sum_result}")