2020年4月 – 老胡的博客

记一次值班热线数据恢复操作

今天值班遇到个问题，热线帮用户跨项目复制wiki，由于此功能并不能将原项目wiki的树结构也完整的复制过去，从而导致复制的wiki 在目标项目中是平铺的。因此用户想回滚此次热线的操作，于是有了这篇文章的产生

需要回滚(恢复)数据，首先需要了解几个问题：

热线是什么时候进行复制操作的?
源项目是什么?目标项目是什么?
这个操作大概什么时候结束的?

关于上面三个问题的答案：

热线的回复是：

4.23号16:13分操作的
源项目是A, 目标项目是B
操作时长不确定，做完操作，就去做其他事情了，再回来看是19:15。

要解决这个问题，想过两个方案：

去源项目把wiki 的name 全部找出来，然后去目标项目用wiki的name找一把，把同名的删掉
刨binlog ，把这段操作时间内的目标项目insert 的id 找出来，然后一把删除

方案一：介于功能本身的问题，如果wiki名在目标项目已存在，则会生成一条A项目id_为前缀的新wiki名，所以不清楚有多少目标项目本身存在同名的wiki。介于这个原因，暂时不考虑这个方案

方案二：这个方案的主要问题在于要清楚的知道操作的开始时间和结束时间，上面说过开始时间知道，但是不知道结束时间，所以要搞清楚结束时间才行。

看了下rotate的binlog的文件最新时间，找出属于目标范围时间段的文件名。
具体的binlog 查找语句

mysqlbinlog --start-datetime="2020-04-23 16:13:00" --stoptime="2020-04-23 16:15:00" -vv --base64-output=decode-rows mybinlog.007001 | grep -B 6 -A 10 'INSERT INTO `库名`.`wikis`' | grep -B 10 -A 9 '@1=符合目标项目id的wiki id'

PS：@1 是表的id，这个id 本身包含了目标项目信息，所以用@1=xxxx来过滤是否是目标项目的插入操作

结束时间怎么定呢？看了下php.ini的max_execution_time 是30s。并且该复制操作没有使用异步。所以理论上不会很长时间才结束，可以看nginx upstream time，但是经我研究，发现不太准

所以我分别统计了一分钟，两分钟和余下当天时间内的，进行对比，这个对比包括数据量的对比以及数据本身的对比。

对比数据量的作用是：通常一两分钟内，同一个项目不会有很多的插入操作，不会一分钟内有很多人写wiki。（这个是项目经验之谈）

再者，对比数据本身，用提取出来的id去源项目里找，用名称找，可以找到同名的，证明很大可能是复制操作引入的。比如可以用提取出来的最后一条去源项目找找。以确定最后一条是否符合，如果最大时间符合，那么这时间之前的，理论上也应符合，因为时间比较短。

于是发现把–stoptime参数即可，当天这个开始时间点后面的插入操作的，基本热线值班的复制操作，于是在上面的基础上再提取出id即可。假设上面mysqlbinlog 代码产生的log文件是：/tmp/7001_04231612.log

接下来可以再继续刨出id行：

grep '@1=' /tmp/7001_04231612.log > /tmp/wiki_ids_7001_04231612.log

当提取出id之后，查出近w条数据，先做好备份，再删除，通过以上方法，顺利的帮用户恢复到操作之前的数据，打完收工。

c++指针常量，常量指针

const 修饰指针 — 常量指针

const int *p = &a;

特点：指针的指向可以修改，但指针指向的值不可以改

*p = 20 (x) 指针指向的值不可以改
p = &b (√) 指针的指向可以修改

指针常量

int * const p = &a;

特点：指针的指向不可以修改，但是指针指向的值可以修改

*p = 20; (√)
p = &b; (x)

const 修改指针，又修饰常量

const int * const p

特点：指针的指向和指针指向的值都不可以改

*p = 20; (x)
p = &b; (x)

平时项目不用c, 老是记不住，特此记录一下

git clone/git fetch/git pull的区别

1.git clone

将其他仓库克隆到本地，包括被clone仓库的版本变化。举个例子，你当前目录比方说是在/data/www/中，此时若想下载远程仓库，直接git clone url（url是你远程仓库的地址，直接复制就可以了）。执行git clone等待clone结束，/data/www/目录下自动会有一个.git的隐藏文件夹（如果看不见，请尝试设置隐藏文件夹可见），因为是clone来的，所以.git文件夹里存放着与远程仓库一模一样的版本库记录。clone操作是一个从无到有的克隆操作

git clone <版本库的url> [<目录名>] (目录名可选)

2. git fetch

更新远程到本地仓库，理解fetch的关键，在于理解FETCH_HEAD，FETCH_HEAD指：某个branch在服务器上的最新状态。这个列表保存在.git/FETCH_HEAD文件中，其中每一行对应于远程服务器的一个分支。

20168aa26f27b3b19778debad9c65272ea23dd7b                branch 'zzzzz' of http://git.code.oa.com/xxxxx/yyyyy

一般两种情况：

如果没有显式指定远程分支，则以master分支为默认的FETCH_HEAD
如果指定了远程分支，将这个远程分支作为FETCH_HEAD

更新本地仓库方法：

git fetch origin master //从远程origin仓库的master分支下载代码到本地的origin master
git log -p master.. origin/master //比较本地仓库和远程仓库的区别
git merge orgin/master

git fetch origin master:temp
git diff temp
git merge temp
git branch -d temp

3. git pull

git pull 远程主机名 远程分支名:本地分支名

git pull 会将代码拉下来，进行merge, git fetch 只拉代码，合并要自己去做

git pull origin master:localbranch

git fetch origin master:localbranch
git merge localbranch

服务器监控–top/w查看负载

查看系统负载

如果服务很慢，我们通常会先看一下服务器的负载，可以使用命令w或是top

[root@VM_16_5_centos ~]# w
 11:10:25 up 298 days, 18:05,  1 user,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    119.123.74.155   10:50    1.00s  0.04s  0.00s w

我们可以看到命令结果中，load average,他的意思是系统平均负载，里面三个数字，分别代表1分钟，5分钟，15分钟内系统的平均负载。

那么问题来了，这个值多少算比较合适呢？

当cpu完全空闲时，平均负载为0；当cpu工作满负载的时候，平均负载是1.

所以很显然，大家都知道，load average这个值越低越好。

判断系统负载是否过重，这里有篇不错的文章：“Unstanding linux cpu load”

大致意思是：可以把cpu想象成一座桥，系统负载为0时是大桥上一辆车都没有。

如果系统负载为0.5的时候，意思是桥上只有一半的车行驶

如果系统负载为1, 大桥上所有路段都有车，桥上已经满了。但此时大桥还是能顺畅通行的。

如果系统负载为1.x, 意思是是大桥上已经跑满车，还有x0%的的车再等待上桥。系统负载越大，过桥就必须等待的越久。

回过头再来看系统负载多少合适？

当系统负载持续大于0.7, 就必须要着手调查了，可能是代码出了问题。

当系统负载持续大于0.7，就必须要解决了，降低负载。

当负载持续越大，可能系统就会出现不可用。

以上是单cpu的情况，现在生产环境的服务器，通常都是多cpu多核。

比如说：2个cpu, 表明系统负载可以达到2.0. 大于2.0 就是超负载。n个cpu的服务器，可以接受系统负载的最大值为n

多核cpu，一个cpu内部包含多个cpu core. 这被称为多核cpu。多核cpu和多cpu类似，所以这时的满负载值要考虑几个cpu, 每个cpu几个核，然后把系统负载除以总的核心数，只要不超过1。就表明服务器负载正常。

计算电脑cpu core数：

grep -c “model name” /proc/cpuinfo。返回cpu总核数。

虚数的意义

今天突然想起虚数的概念，忽然想：为什么要有虚数？大家都是知道，我们学的数的分类，可以按以下方式分类：

复平面（complex plane）：用水平的实轴与垂直的虚轴建立起来的复数的几何表示。复数z=a+bi ,它对应的坐标为（a,b) .其中，a表示的是复平面内的横坐标，b表示的是复平面内的纵坐标。

高中我们学虚数的时候，了解了i的平方等于-1（虚数就是-1的平方根）, 以及一些基本概念，比如实部和虚部，复平面等等，那么虚数有什么几何意义呢？

带着疑问我查了下资料：资料来源于阮一峰的一篇文章，我有仔细看完，并且有参考过其他的一些文章的说明。

首先，假设一根数轴，上面有两个反方向的点：+1和-1

这根数轴的正向部分，可以绕原点旋转。显然，逆时针旋转180度，+1就会变成-1

这相当于两次逆时针转90度。

因此，我们可以得到下面的关系式：

+1 * (逆时针旋转90) * (逆时针旋转90) = -1

如果把+1消去，这个式子就变成：

(逆时针旋转90) ^ 2 = -1

而复数里： i ^ 2 = -1

所以虚数i 相当于 “逆时针旋转90度”，i 不是一个数，而是旋转量。

既然i表示旋转量，那我们就可以用i, 表示任何实数的旋转状态。

比如说：我们前面讲的复平面，一个二维平面坐标，假设1+i 这个复数，在复平面上的坐标是(1, 1), 那么就可以表示旋转量45%，很简单的1,1,根号2. 45度角

虚数的引入，大大方便了旋转的计算。

比如，物理学需要计算力的合成，假定一个力是3+i, 另一个力是1+3i, 合力就是4+4i, 实部和实部相加，虚部和虚部相加。

以上就是虚数加法的物理意义，隐约让我想起了向量，虽然已经想不起来具体的内容了。

虚数的作用：乘法

比如，一条船的航向是3+4i

如果该船的航向，逆时针增加45度，请问新航向是多少。

我们上面说过，45度，是1+i

那新航向的就是两个复数相乘：

(3+4i)*(1+i) = -1 + 7i

如果这个船在原来的航向上，逆时针增加90度，则应该乘以i

这就是虚数乘法的物理意义，改变旋转角度

至于为什么复数改变角度做乘法，这个可以查资料，有相关证明的。大体利用余弦和正弦即可证明。

k8s 中服务是如何沟通的？

文章来源： https://www.jianshu.com/p/9fae09876eb7 （这是我迄今为止看到讲k8s 讲的比较的好的一篇文章），即便你刚刚接触k8s, 看完他，也能减少很多疑惑

挡在Pod前面的Service

第一个疑问：有了Pod，让它们互相访问就可以了，为什么还需要type=Service类型的Service对象呢？答案是：不可以，因为Pod是有生命周期的，他可能随时被创建也可能随时销毁，而每次新建Pod, 都是随机分配IP的。并且k8s会自动调控Pod数量，这就导致Pod之间直接访问不太现实，如果有一个入口，可以动态绑定那些相同服务的Pod，并将其开放在固定端口上，这样访问起来就方便多了，这个入口在k8s中被称为service, 简称为svc。

svc不会自己提供服务，他身后一定要有实质的应用来提供服务（不一定是Pod）, 我们用rs来创建Pod也是可以的

先创建一个kubia-replicaset.yaml，并填入如下内容：

apiVersion: apps/v1beta2
kind: ReplicaSet
metadata:
  name: kubia
spec:
  replicas: 3
  selector:
    matchLabels:
      app: kubia
  template:
    metadata:
      labels:
        app: kubia
    spec:
      containers:
      - name: kubia
        image: luksa/kubia
        ports:
        - containerPort: 8080

这个文件将创建3个Pod，每个Pod都包含一个app: kubia的标签，并开放提供服务的8080端口。执行如下命令进行创建：

kubectl create -f kubia-replicaset.yaml

然后kubectl get pods 可以看到创建出的三个pod，接下来我们创建一个svc来提供对这三个pod来访问。新建kubia-svc.yaml文件，并填入如下内容：

apiVersion: v1
kind: Service
metadata:
  name: kubia
spec:
  ports:
  - name: http # 请为所有端口指定名称
    port: 80 # 对外开放的服务端口
    targetPort: 8080 # 后方 pod 的服务端口
  selector:
    app: kubia

可以看到基本svc的配置非常简单，只定义了两个端口和一个选择器，我们在选择器中注明了app: kubia，意思就是让这个svc去将所有携带app:kubia标签的pod 纳入自己的后方。ports.name不是必填项，但是为了方便维护，请为每个端口指定名称。然后使用下面的命令创建svc

kubectl create -f

创建好了之后来看一下，执行kubectl get svc kubia，我们可以看到svc的信息：

NAME    TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
kubia   ClusterIP   10.98.237.175   <none>        80/TCP    127m

可以在custer-ip列看到当前ip地址，其他的pod 就是通过这个ip访问到其后面的pod。接下来我们随便使用一个pod 访问这个服务。

kubectl exec kubia-7rt2n -- curl -s 10.98.237.175

这条命令里的–是一个分隔符，之前的部分是属于kubectl的，之后是属于要在pod内部执行的命令。

然后可以看到来自service后方pod的响应

root@master1:~# kubectl exec kubia-7rt2n -- curl -s 10.98.237.175 
You've hit kubia-pxfw7
root@master1:~# kubectl exec kubia-7rt2n -- curl -s 10.98.237.175 
You've hit kubia-7rt2n
root@master1:~# kubectl exec kubia-7rt2n -- curl -s 10.98.237.175 
You've hit kubia-7rt2n
root@master1:~# kubectl exec kubia-7rt2n -- curl -s 10.98.237.175 
You've hit kubia-fxqcc

我们可以看到，service同时也实现了负载均衡，合理的将请求平摊到每个pod上了。

Service对pod的动态绑定

因为svc是通过我们事先定义好的标签选择器来查找 pod 的，所以 pod 的 ip 地址变动对于svc毫无影响，其实在svc和pod之间还包含了一个资源叫做endpoint（这个我再另一篇文章里有介绍），endpoint(简称ep)是一组地址及其端口的合集，如下图，只要一个svc有标签选择器的话，他就会自动创建一个同名的ep来标记出自己的要管理的 pod。

我们可以通过如下的命令来查看我们刚创建的kubia服务的ep

root@master1:~# kubectl describe svc kubia
Name:              kubia
Namespace:         default
Labels:            <none>
Annotations:       <none>
Selector:          app=kubia
Type:              ClusterIP
IP:                10.98.237.175
Port:              <unset>  80/TCP
TargetPort:        8080/TCP
Endpoints:         10.244.1.18:8080,10.244.2.14:8080,10.244.3.14:8080
Session Affinity:  None
Events:            <none>

然后就可以在Endpoints列中找到他包含的地址及端口号，这三个用,分隔的地址正是三个 pod 的地址。你可以使用kubectl get pod -o wide来查看 pod 的地址。你可以执行如下命令来重建所有的kubia pod，然后再来查看ep，会发现其ep也会自动更换成这三个 pod 的值

kubectl delete po -l app=kubia

root@master1:~# kubectl get endpoints kubia
NAME    ENDPOINTS                                            AGE
kubia   10.244.1.18:8080,10.244.2.14:8080,10.244.3.14:8080   169m

服务发现

你可能已经发现了，在上文的测试中，我们使用了curl http://x.x.x.x的方式访问的svc，这样的话如果svc重建导致 ip 地址改变了，那我们岂不是访问不到了？k8s 也想到了这一点，所以提供了通过FQDN(全限定域名)访问服务的方式，你可以在任意一个 pod 上直接使用服务的名称来访问服务：

root@master1:~# k exec kubia-5n2m2 -- curl -s http://kubia
You've hit kubia-bv2k8

这种方式可以访问同一命名空间中的服务，k8s 也支持访问其他命名空间的服务。不过域名要长很多。有兴趣的话可以自行了解。

如果你发现你访问不到服务的话请使用kubectl delete po -l app=kubia重建 pod。因为 k8s 只会在创建时间晚于服务的 pod 中注入服务域名。你可以在容器中查看/etc/resolv.conf文件来找到对应的解析。

顺带一提，这个功能是 k8s 的 dns 服务器coredns实现的，你可以在命名空间kube-system中找到它。

访问集群外部的服务：ep

可以查看我的另一篇文章： https://www.clarkhu.net/?p=4614

以上就是k8s中，服务之间是如何沟通的

CORS详解

文章来源： http://www.ruanyifeng.com/blog/2016/04/cors.html

之所以查cors，原因是今天发现我之前做的docker，在发布之后，竟然有个跨域问题

之前都可用，但是今天突然不可用了，想到之前遇到跨域问题，也有通过add header “Access-Control-Allow-Origin” 解决过，但是没有详细了解这块内容，只是为了解决问题临时查资料码代码，经过一番定位后，结果发现我的跨域问题并非没有吐cors响应头引起的，而是后端有报错。但是network里却没有显示出来。error_log 里却可以看到是有报错，用curl -v 查看http请求详情发现返回的httpcode 是500(Server Internal 500)，导致响应头没有吐回，从而导致console显示跨域。不过当时误以为是响应头设置问题，仔细查了下这块的资料，特此手打记录一下：

cors是一个W3C标准，全称“跨域资源共享”（Cross-origin resource sharing）

它允许浏览器向跨源服务器，发出xhr请求，从而克服ajax只能同源使用的限制。

CORS机制：

cors需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10

整个cors通信过程，都是浏览器自动完成，不需要用户参与，对于开发者来说，cors通信与同源的ajax通信没有差别，代码完全一样。浏览器一旦发现ajax请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加请求，但用户不会有感觉。

因此，实现cors通信的关键是服务器，只要服务器实现了cors接口，就可以跨源通信。

浏览器将cors请求分为两类，一类是简单请求，另一类是非简单请求，只要同时满足以下两大条件，就属于简单请求：

请求方法是以下三种方法之一：HEAD、GET、POST
HTTP头信息不超过以下几种字段

a.Accept
b.Accept-Language
c.Content-Language
d.Last-Event-ID
e.Content-Type: 只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足以上两个条件，就属于非简单请求。

简单请求的基本流程：

对于简单请求，浏览器直接发出cors请求，具体来说，就是在头信息中，增加一个Origin字段。

下面是一个例子，浏览器发现这次跨源xhr请求是简单请求，就自动在头信息之中，添加一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的头信息中，Origin字段用来说明，本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。

如果Origin指定的源，不在许可范围内，服务器会返回一个正常的HTTP回应。浏览器发现，这个回应的头信息里没有包含Access-Control-Allow-Origin字段，就知道出错了，从而抛出一个错误，被xhr的onerror回调函数捕获。ps: 这种错误无法通过状态码识别，因为http code有可能是200。

如果Origin指定的域名在许可范围内，服务器返回的响应，会多出几个头信息字段。

Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

上面的头信息之中，有三个与cors请求相关的字段，都以Access-Control-开头。

Access-Control-Allow-Origin

该字段是必须的，它的值要么是请求时Orgin字段的值，要么是一个*,表示接受任意域名的请求。

Access-Control-Allow-Credentials

该字段可选，它的值是一个布尔值，表示是否允许发送Cookie, 默认情况下，Cookie不包括在cors请求中，设为true, 即表示服务器明确许可，Cookie可以包含在请示中，一起发给服务器。这个值也只能设为true, 如果服务器不再浏览器发送Cookie, 删除该字段即可。

Access-Control-Expose-Headers

该字段可选。CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader(‘FooBar’)可以返回FooBar字段的值。

withCredentials 属性

上面说到，cors请求默认不发送Cookie和http认证信息。如果要把Cookie发到服务器，一方面要服务器同意，指定Access-Control-Allow-Credentials字段

Access-Control-Allow-Credentials: true

另一方面，开发者必须在ajax请求中打开withCredentials属性

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否则，即使服务器同意发送Cookie, 浏览器也不会发送。或者，服务器要求设置Cookie, 浏览器也不会处理。

但是，如果省略withCredentials设置，有的浏览器还是会一起发送Cookie。这时，可以显示关闭withCredentials。

xhr.withCredentials = false;

需要注意的是，如果要发送Cookie, Access-Control-Allow-Origin就不能设为*, 必须指定明确的，与请求网页一致的域名。同时，Cookie依然遵循同源政策，只有用服务器域名设置的Cookie才会上传，其他域名的Cookie并不会上传，且（跨源）原网页代码中的document.cookie也无法读取服务器名下的cookie。

非简单请求

预检请求

非简单请求是那种对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。

非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为”预检”请求（preflight）。

浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

下面是一段浏览器的JavaScript脚本。

var url = 'http://api.alice.com/cors';
var xhr = new XMLHttpRequest();
xhr.open('PUT', url, true);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.send();

上面代码中，HTTP请求的方法是PUT，并且发送一个自定义头信息X-Custom-Header。

浏览器发现，这是一个非简单请求，就自动发出一个”预检”请求，要求服务器确认可以这样请求。下面是这个”预检”请求的HTTP头信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

“预检”请求用的请求方法是OPTIONS，表示这个请求是用来询问的。头信息里面，关键字段是Origin，表示请求来自哪个源。

除了Origin字段，”预检”请求的头信息包括两个特殊字段。

（1）Access-Control-Request-Method

该字段是必须的，用来列出浏览器的CORS请求会用到哪些HTTP方法，上例是PUT。

（2）Access-Control-Request-Headers

该字段是一个逗号分隔的字符串，指定浏览器CORS请求会额外发送的头信息字段，上例是X-Custom-Header。

预检请求回应

服务器收到”预检”请求以后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，确认允许跨源请求，就可以做出回应。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回应中，关键的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以请求数据。该字段也可以设为星号，表示同意任意跨源请求。

如果浏览器否定了”预检”请求，会返回一个正常的HTTP回应，但是没有任何CORS相关的头信息字段。这时，浏览器就会认定，服务器不同意预检请求，因此触发一个错误，被XMLHttpRequest对象的onerror回调函数捕获。控制台会打印出如下的报错信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服务器回应的其他cors相头字段：

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

该字段必需，它的值是逗号分隔的一个字符串，表明服务器支持的所有跨域请求的方法。注意，返回的是所有支持的方法，而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求。

（2）Access-Control-Allow-Headers

如果浏览器请求包括Access-Control-Request-Headers字段，则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串，表明服务器支持的所有头信息字段，不限于浏览器在”预检”中请求的字段。

（3）Access-Control-Allow-Credentials

该字段与简单请求时的含义相同。

（4）Access-Control-Max-Age

该字段可选，用来指定本次预检请求的有效期，单位为秒。上面结果中，有效期是20天（1728000秒），即允许缓存该条回应1728000秒（即20天），在此期间，不用发出另一条预检请求。

k8s ep访问外部服务

今天研究下了中心k8s集群，mysql 数据不在集群中，当时好奇集群内部是如何访问到集群外部db的呢？查了下资料，研究了下yaml配置，了解了ep（endpoint）
文章参考： https://blog.csdn.net/cuipengchong/article/details/71698764

k8s访问集群外独立的服务最好的方式是采用Endpoint方式，以mysql服务为例：

1. 创建mysql service

apiVersion: v1
kind: Service
metadata:
  name: mysql-production
spec:
  ports:
    - port: 3306

2.创建mysql-endpoints.yaml

kind: Endpoints
apiVersion: v1
metadata:
  name: mysql-production
  namespace: default
subsets:
  - addresses:
      - ip: 192.168.1.25
    ports:
      - port: 3306

具体业务代码内部可能用的是host, 那host怎么与这个对应的呢，可以使用coredns，具体使用可以自行查手册

k8s nodePort, targetPort, port的区别和意义

nodePort

外部机器可访问的端口, 比如一个web应用需要被其他用户访问, 那么需要配置typePort, 而且如果配置nodePort=30001, 那么外部机器可以通过浏览器访问scheme://node:30001访问到该服务。

手册上关于端口值设置解释：如果将 type 字段设置为 NodePort，则 Kubernetes 控制平面将在 --service-node-port-range 标志指定的范围内分配端口（默认值：30000-32767）。每个节点将那个端口（每个节点上的相同端口号）代理到您的服务中。您的服务在其 .spec.ports[*].nodePort 字段中要求分配的端口。

如果服务只需要被集群内部访问，则不必设置nodePort. 比如Mysql数据，一般不需要被外界访问。

targetPort

容器的端口（最终的流量端口）。targetPort 是pod上的端口，从port和nodePort来的流量，经过kube-proxy流向后端pod 的targetPort上，最后进入容器。与制作容器时暴露的端口一致

port

k8s集群内部服务之间访问service的入口。即clusterIP:port是service暴露在clusterIP上的端口。(kubernetes中的服务之间访问的端口，尽管mysql容器暴露了3306端口，但是集群内其它容器需要通过3306端口访问该服务)。

总结：port和nodePort都是service的端口，前者暴露给k8s集群内部服务访问，后者暴露给k8s集群外部流量访问。从上两个端口过来的数据都需要经过反向代理kube-proxy，流入后端pod的targetPort上，最后到达pod内的容器