版本信息

• Centos-7 3.10.0-1160
• Docker Engine 19.03.15
• jenkinsci/blueocean Jenkins 2.346.3

安装步骤

下载镜像

官方镜像仓库 中搜索 jenkinsci/blueocean，下载最新镜像

docker pull jenkinsci/blueocean

启动 jenkins 容器

创建数据目录

mkdir /data/JenkinsData_blueocean
chmod 777 /data/JenkinsData_blueocean

启动 jenkins 容器

docker run -d -p 8080:8080 --name jenkins \
          -v /var/run/docker.sock:/var/run/docker.sock  \
          -v /data/JenkinsData_blueocean/:/var/jenkins_home/ \
          -u root \
          jenkinsci/blueocean

• -v /var/run/docker.sock:/var/run/docker.sock - 在需要使用 Jenkins 构建 Docker 镜像时，Jenkins 容器中的 docker 客户端需要连接到宿主机的 Docker server
• -v /data/JenkinsData_blueocean/:/var/jenkins_home/ - 数据持久化到宿主机目录
• -u root - 容器中使用 root 用户运行，要使用 Jenkins 构建 Docker 镜像时，默认的 jenkins 用户无权限访问 /var/run/docker.sock

ArgoCD 是目前 Kubernetes 生态中最流行的 GitOps 持续交付（CD）工具。它的核心理念是将 Git 仓库视为集群状态的“唯一真理来源”。

ArgoCD 的核心工作原理 ：

• 声明式管理 ：你不在集群里手动运行 kubectl ，而是将所有的资源清单（YAML、Helm、Kustomize）存放在 Git 中管理。
• 同步与漂移检测 ：ArgoCD 会持续监控 Git 仓库和 EKS 集群。如果两者状态不一致（即发生“漂移”），它会报警或自动将集群恢复到 Git 定义的状态。

在 Kubernetes 集群中安装 ArgoCD

# kubectl create namespace argocd
namespace/argocd created

# kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml --server-side
customresourcedefinition.apiextensions.k8s.io/applications.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/applicationsets.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/appprojects.argoproj.io serverside-applied
serviceaccount/argocd-application-controller serverside-applied
serviceaccount/argocd-applicationset-controller serverside-applied
serviceaccount/argocd-dex-server serverside-applied
serviceaccount/argocd-notifications-controller serverside-applied
serviceaccount/argocd-redis serverside-applied
serviceaccount/argocd-repo-server serverside-applied
serviceaccount/argocd-server serverside-applied
role.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
role.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-redis serverside-applied
role.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-redis serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
configmap/argocd-cm serverside-applied
configmap/argocd-cmd-params-cm serverside-applied
configmap/argocd-gpg-keys-cm serverside-applied
configmap/argocd-notifications-cm serverside-applied
configmap/argocd-rbac-cm serverside-applied
configmap/argocd-ssh-known-hosts-cm serverside-applied
configmap/argocd-tls-certs-cm serverside-applied
secret/argocd-notifications-secret serverside-applied
secret/argocd-secret serverside-applied
service/argocd-applicationset-controller serverside-applied
service/argocd-dex-server serverside-applied
service/argocd-metrics serverside-applied
service/argocd-notifications-controller-metrics serverside-applied
service/argocd-redis serverside-applied
service/argocd-repo-server serverside-applied
service/argocd-server serverside-applied
service/argocd-server-metrics serverside-applied
deployment.apps/argocd-applicationset-controller serverside-applied
deployment.apps/argocd-dex-server serverside-applied
deployment.apps/argocd-notifications-controller serverside-applied
deployment.apps/argocd-redis serverside-applied
deployment.apps/argocd-repo-server serverside-applied
deployment.apps/argocd-server serverside-applied
statefulset.apps/argocd-application-controller serverside-applied
networkpolicy.networking.k8s.io/argocd-application-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-applicationset-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-dex-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-notifications-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-redis-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-repo-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-server-network-policy serverside-applied

• --server-side 选项用于解决可能的报错： The CustomResourceDefinition "applicationsets.argoproj.io" is invalid: metadata.annotations: Too long: may not be more than 262144 bytes

等待 ArgoCD 相关 Pod 运行正常

# kubectl get pods -n argocd
NAME                                               READY   STATUS    RESTARTS        AGE
argocd-application-controller-0                    1/1     Running   0               6m11s
argocd-applicationset-controller-77475dfcf-qzvsf   1/1     Running   1 (3m47s ago)   6m15s
argocd-dex-server-6485c5ddf5-4ms4f                 1/1     Running   0               6m14s
argocd-notifications-controller-758f795776-4n5rb   1/1     Running   0               6m14s
argocd-redis-6cc4bb5db5-svpwm                      1/1     Running   0               6m13s
argocd-repo-server-c76cf57cd-pv8sb                 1/1     Running   0               6m12s
argocd-server-6f85b59c87-zhmqh                     1/1     Running   0               6m12s

创建 Ingress 对外开放 ArgoCD UI，本示例中 IngressClass 为 AWS alb

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: argocd
  namespace: argocd
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip

spec:
  ingressClassName: alb
  rules:
  - host: argocd.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: argocd-server
            port:
              number: 80

创建并检查 Ingress

# kubectl apply -f argocd_ingress.yml 
ingress.networking.k8s.io/argocd configured

# kubectl get ingresses -A
NAMESPACE   NAME     CLASS   HOSTS                ADDRESS                                               PORTS   AGE
argocd      argocd   alb     argocd.example.com   k8s-argocd-argocd-8e8cb.ap-east-1.elb.amazonaws.com   80      8m22s

ArgoCD Pod 强制开启了 TLS (HTTPS)，而 ALB 却在使用 HTTP 进行健康检查。会因为健康检查失败无法访问

在集群中的 Pod 中尝试请求 argocd-server Pod 的地址，可以看到默认返回了重定向到 HTTPS 的响应，ALB 会因为证书问题对 Pod 健康检查失败

# curl -Iv 172.31.68.215:8080
> HEAD / HTTP/1.1
> Host: 172.31.68.215:8080
> User-Agent: curl/8.18.0
> Accept: */*
> 

HTTP/1.1 307 Temporary Redirect
Location: https://172.31.68.215:8080/

可以配置 ArgoCD 接受 HTTP 协议请求。 修改 ArgoCD Server 启动参数 ，执行命令 kubectl edit deployment argocd-server -n argocd 编辑 argocd-server 的 Deployment，在启动命令（ command ）中添加 --insecure 参数。

containers:
- args:
  - /usr/local/bin/argocd-server
  - --insecure

修改后等待 Pod 自动重启

$ kubectl get pods -A
NAMESPACE     NAME                                               READY   STATUS    RESTARTS   AGE
argocd        argocd-server-6ff754765c-pt5z6                     0/1     Running   0          18s

再次观察 ALB 的 Target 健康检查状态

ArgeCD 可以正常访问后，执行以下命令获取初始 admin 账户的密码

kubectl get secret argocd-initial-admin-secret -n argocd -o jsonpath="{.data.password}" | base64 -d

环境信息

• Docker 26.1.1
• Confluence Image： haxqer/confluence:9.0.2
• Jira Image： atlassian/jira-software:9.12.11
• postgresql 13

配置流程

创建项目所需新目录，用于存储持久化数据

# mkdir -p /opt/devops/{confluence,jira,postgresql}

下载 atlassian-agent.jar 文件，将其分别放置在 ./confluence/atlassian-agent.jar 和 ./jira/atlassian-agent.jar ，用于之后为 Confluence 和 Jira 生成 License

docker-compose.yaml 文件内容如下

vservices:
  # --- 数据库服务 ---
  postgres-db:
    image: postgres:13
    container_name: devops-postgres-db
    volumes:
      - ./postgresql:/var/lib/postgresql/data
    environment:
      - POSTGRES_USER=postgres
      - POSTGRES_PASSWORD=<PG_PASSWORD>
      - POSTGRES_DB=confluence
    healthcheck:
      test: ["CMD-SHELL", "pg_isready"]
      interval: 10s
      timeout: 5s
      retries: 5     
    networks:
      - devops-net


  # --- Confluence ---
  confluence:
    image: haxqer/confluence:9.0.2
    container_name: confluence
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8090:8090"
      - "8091:8091"
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=<PG_PASSWORD>
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/confluence
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
    volumes:
      - ./confluence:/var/confluence
    networks:
      - devops-net
  
  # --- Jira ---
  jira:
    image: atlassian/jira-software:9.12.11
    container_name: jira
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8080:8080" # Jira 默认端口
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=<PG_PASSWORD>
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/jira  # 注意这里是指向新创建的 jira 库
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
      - JVM_SUPPORT_RECOMMENDED_ARGS=-javaagent:/var/atlassian/application-data/jira/atlassian-agent.jar
    volumes:
      - ./jira:/var/atlassian/application-data/jira
    networks:
      - devops-net

networks:
  devops-net:
    driver: bridge

启动容器

# docker compose up -d

postgres 数据库启动正常后，执行以下命令为 Jira 创建数据库，Confluece 数据库在容器启动是会自动创建。

docker compose exec -it postgres-db psql -U postgres -c "CREATE DATABASE jira WITH ENCODING='UTF8' LC_COLLATE='en_US.utf8' LC_CTYPE='en_US.utf8' CONNECTION LIMIT=-1;"

Confluence 初始化部署

浏览器访问 http://<IP>：8090 在 Confluence 初始化页面拿到 Server ID

登录 Confluence 容器，执行以下命令获取破解得 License

# docker compose exec -it confluence bash
root@81d2f5a8f7e5:/opt/confluence# java -jar /var/agent/atlassian-agent.jar -d -p conf -m [email protected] -n [email protected]  -o your-org -s B66H-ET1W-2LYR-Q7R2

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAABmA0ODAoPeJxtUVuPojAUfu+vINlnFKoLaNJkHWBWZwEZxbk8FjxII7akFBz21y8ik00mk/Sl5
7Tf9UdSNNoT5RrGmuEsZ3g5m2u/w0TDBraQK4EqJrhHFZDbRDdMHWPkt7Rshg3JaVkD8qDOJKuGy
YGX7MIUHLWSZcBr0NJOK5Sq6uV0+rdgJUyYQFt5opzVd5BONFIX8oQywfMJzRRrgSjZAHIFV/3dD
ykryRrKUvy6ClkeJ5m4oBF/TeuChO7VfXxczdPjayzCPG9e/NxN8dP845x4cbxeFc/VWwPTFrfRG
zarNGni0+HP+WotwmhFyJ16r6hUIEdXwyi4kyRdBRG9AHG3Yejv3M0qQL0oroBTnoH/UTHZjTk5C
92w+4PGvxuPBBtv70d6YNrWwrAN++fcdhy0B9mC7NcPlrXW/cR81XHwvtOf7R2+s/eI1AV+0zTkc
YbuBWR9C820jB7Jmc3MT57vRcSNzApaw9cSx/Q+4TDaN+n/Fge2QULUXFKQ2/xQ9y+JbqLeCPnGz
FjVENKXpv4BHKbJjjAtAhRlC24D9XOs3Z9LZwzE3PehVo5lhgIVAIaOykfNKCdhuAZn7PZsJR+qr
edbX02jn

命令参数说明：

-d 调试模式 必选，用于输出生成的许可证信息。

-m 电子邮箱 随便填 ，如 [email protected]。

-n 用户名 随便填 ，如 Organization_Admin。

-p 产品标识 不可乱填 。Confluence 是 conf ，Jira 是 jira ，Bitbucket 是 bitbucket 。

-o 组织/URL 建议填你的访问地址，如 https://wiki.mysite.com 。

-s Server ID 核心参数。必须填 Web 页面上显示的那个 16 位代码 。

License 验证成功后，填写数据库连接信息并测试连接成功

Jira 初始化部署

浏览器访问 http://<IP>：8080 打开 Jira 初始化页面，在 Jira setup 中选择 I'll set it up myself 。因为后面要指定数据库信息，因此要选择自定义。

根据提示填入数据库连接信息，测试无误后，到 Specify your license key 页面，复制 Server ID

登入 jira 容器，使用以下命令为 Jira 生成 License

root@69487899ebea:/var/atlassian/application-data/jira# java -jar /var/atlassian/application-data/jira/atlassian-agent.jar -d -p jira -m [email protected] -n [email protected]  -o your-org -s BYTU-X57R-U6U3-LSIB

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAAB5Q0ODAoPeJyNU9GSmjAUfecrmOkzboKuqDOZ6YpYmQW0onb7GPEK2SKhSdDFry8K2+6q43QmL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X02n3

注意其中的参数 -p jira

根据提示完成其他配置即可开始使用 Jira。

Grafana 是一款用 GO 语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能。

基础概念

组织(Organization) 与用户(User)

Organization 相当于一个 Namespace，一个 Organization 完全独立于另一个 Organization，包括 datasource、dashboard 等，创建一个 Organization 就相当于打开了一个全新的视图，所有的 datasource、dashboard 等都需要重新创建。一个用户(User) 可以属于多个 Organization。

User 是 Grafana 里面的用户，用户可以有以下 角色

• admin - 管理员权限，可以执行任何操作。
• editor - p不可以创建用户、不可以新增 Datasource、可以创建 Dashboard**
• viewer - 仅可以查看 Dashboard
• read only editor - 允许用户修改 Dashboard，但是 不允许保存

数据源 Datasource

Grafana 中操作的数据集、可视化数据的来源

Dashboard

在 Dashboard 页面中，可以组织可视化数据图表。

• Panel - 在一个 Dashboard 中，Panel 是最基本的可视化单元。通过 Panel 的 Query Editor 可以为每一个 Panel 添加查询的数据源以及数据查询方式。每一个 Panel 都是独立的，可以选择一种或者多种数据源进行查询。一个 Panel 中可以有多个 Query Editor 来汇聚多个可视化数据集
• Row - 在 Dashboard 中，可以定义一个 Row，来组织和管理一组相关的 Panel

Variables

在 Dashboard 的设置页面中，有 Variables 页面，在其中可以为 Dashboard 配置变量，之后可以在 Panel 的 Query Editor 中使用这些预定义的变量。变量的值也可以是通过表达式获取的值。也可以在 Panel 的标题中使用变量

例如以下 Variables 配置

Node    label_values(kubernetes_io_hostname)

在 Dashboard 中定义了这些变量后，可以在 Panel 的 Query Editor 中使用，在 Query Editor 中使用了 Variables 中定义的变量后，在 Dashboard 的顶部下拉菜单中可以选择预定义的变量的值（需要在定义 Variables 时配置 Show on dashboard 为 Label and Value 以使在 Dashboard 顶部显示下拉菜单），Panel 中的 Query 表达式就会使用这些变量的值进行计算以及显示图表。

简单来说，Amazon CloudWatch 是 AWS 的全家桶级监控和观察平台。是一个用于收集、监控、分析和响应 AWS 资源及应用程序运行数据的托管服务。无论你的代码运行在虚拟机（EC2）、容器（ECS/EKS）还是无服务器环境（Lambda）中，它都能提供实时的数据洞察。

CloudWatch 的功能可以概括为以下四大支柱：

• 指标 (Metrics)

  • 概念 ：指标是反映系统性能的时间序列数据（如 CPU 利用率、磁盘读写、网络流量）。

  • AWS 指标 ：大多数 AWS 服务会自动向 CloudWatch 发送免费的基础指标。

  • 自定义指标 ：你可以推送自己应用的特定数据（如：每分钟下单量）。

    要查看所需服务（如 EC2）的 CloudWatch 监控指标（Metrics），只需要在 CloudWatch 控制面板中选择对应的服务即可
    

• 日志 (Logs)

  • 集中化管理 ：收集来自 EC2 实例、Lambda 函数、CloudTrail 或其他来源的日志文件。

  • 日志分析 (Logs Insights) ：支持类 SQL 语法的快速查询，几秒钟内就能从 GB 级别的日志中找出特定的错误代码。

• 报警 (Alarms)

  • 阈值触发 ：设定一个界限（例如：CPU > 80% 持续 5 分钟），达到时触发操作。

  • 自动化响应 ：报警可以发送通知（通过 SNS 邮件/短信），或者执行自动操作（如：Auto Scaling 自动增加机器，或者重启故障实例）。

    要创建报警（Alarms），在 CloudWatch 控制面板左侧点击 报警 (Alarms) -> 创建报警（Create Alarm） ，根据提示 选择指标（Select Metric） ， 配置 触发条件（Conditions） ， 配置 动作（Actions） 可以发送通知（Notification）或者执行脚本、自动扩容等。

• 事件 (Events / EventBridge)

  • 状态监听 ：监听 AWS 资源的状态变更。

  • 定时任务 ：相当于云端的 crontab ，可以定时触发某个 Lambda 函数或脚本。

CloudWatch 默认提供了很多 Dashboard，也可以自定义自己喜欢的仪表盘（Create Dashboard）

EKS 集群特性总结

• 节点的 IP 地址（EXTERNAL-IP 和 INTERNAL-IP）不固定，会变化。特别是在自治模式中，节点被视为 临时资源（Ephemeral） ，可能会频繁地进行节点池优化。

  如果集群需要固定的出口 IP，最推荐，最标准的做法是 使用 NAT 网关 ，将 EKS 节点部署在私有子网中，所有访问外部网络的流量都会经过 NAT 网关

通过 AWS 管理控制台部署 EKS 集群

• Kubernetes 版本： v1.35

本示例中使用 EKS 自治模式（EKS Auto Mode）

EKS 自治模式 接管了原本需要手动管理的节点、存储和网络配置，因此它需要一组非常具体且强大的权限

EKS 自治模式 有额外的费用，大概比 EC2 价格高 12%

EKS 自治模式 在集群创建完成后可修改（编辑）为非自治模式

EKS 自治模式 中的 Worker Nodes 配置 不能在控制台修改参数、不能自定义 ，具体的配置可以通过 API 接口查看 nodepool 资源

# kubectl describe nodepool general-purpose Name: general-purpose Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: karpenter.sh/nodepool-hash: 4012513481623584108 karpenter.sh/nodepool-hash-version: v3 API Version: karpenter.sh/v1 Kind: NodePool Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Generation: 1 Resource Version: 784637 UID: e85261b9-3a4b-41b0-ac5... Spec: Disruption: Budgets: Nodes: 10% # 这是一个安全阀。在同一时间内，由于缩容或更新导致的节点离线比例不能超过 10%。这保证了你的集群不会因为自动优化而导致业务大面积中断。 Consolidate After: 30s # 节点达到上述状态 30 秒后，EKS 就会考虑将其关闭，并把上面的 Pod 迁移到更划算的节点上。 Consolidation Policy: WhenEmptyOrUnderutilized # 当节点变为空闲（没有 Pod）或者利用率较低（比如一个大节点只跑了一个小 Pod）时，EKS 会自动触发节点合并。 limits: # 资源限制 cpu: "1000" memory: 1000Gi Template: Metadata: Spec: Expire After: 336h # 节点的最大“寿命”是 14 天（336 小时），强制节点定期更换，以确保所有节点都运行在最新的安全补丁和 Bottlerocket 镜像上，防止出现长期未重启的“僵尸节点”。 Node Class Ref: # nodeclass 信息，可通过 kubectl get nodeclass 查看 Group: eks.amazonaws.com Kind: NodeClass Name: default Requirements: # 节点选择标准 (Requirements) Key: karpenter.sh/capacity-type # 实例类型，on-demand 为 按需实例 Operator: In Values: on-demand Key: eks.amazonaws.com/instance-category # 限定了实例系列 c: 计算优化型（适合高并发）； m: 通用型（平衡 CPU 和内存）； r: 内存优化型（适合数据库或缓存）。 Operator: In Values: c m r Key: eks.amazonaws.com/instance-generation # 只使用 4 代以后的机型（如 c5, m6i 等）。这确保了节点拥有较新的硬件特性和性能。 Operator: Gt Values: 4 Key: kubernetes.io/arch # CPU 架构。如果你想尝试性价比更高的 ARM 架构（Graviton），需要在这里添加 arm64 Operator: In Values: amd64 Key: kubernetes.io/os # 节点操作系统（OS）类型 Operator: In Values: linux Termination Grace Period: 24h0m0s

EKS 自治模式限制资源上限 编辑 NodePool，修改 spec.limits.cpu 和 spec.limits.memory 。这决定了该池子最多能“烧”掉多少 EC2 资源。

强制回收节点 ： 如果你想让 EKS 重新平衡节点（例如你更改了实例限制），可以手动删除节点，Auto Mode 会自动根据 Pod 需求拉起符合新规的新节点

kubectl delete node <node-name>

同时要关注 nodeclass 资源，其中定义了 子网（Subnet）和安全组（Security Group）等信息

# kubectl get nodeclass NAME ROLE READY AGE default eksNodeRole True 44h # kubectl describe nodeclass default Name: default Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: eks.amazonaws.com/nodeclass-hash: 13740036326424352917 eks.amazonaws.com/nodeclass-hash-version: v2 API Version: eks.amazonaws.com/v1 Kind: NodeClass Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Finalizers: eks.amazonaws.com/termination Generation: 2 Resource Version: 827607 UID: 5065b0f3-3795-4347-893a-338ae6fa882d Spec: Ephemeral Storage: Iops: 3000 Size: 80Gi Throughput: 125 Network Policy: DefaultAllow Network Policy Event Logs: Disabled Role: eksNodeRole Security Group Selector Terms: Id: sg-058bd1ef... Snat Policy: Random Subnet Selector Terms: Id: subnet-07963d9b... Id: subnet-0e359aac... Id: subnet-0e76c601...

AWS 里 安全组（Security Group, SG）不是“防火墙规则表”，而是一套 关系型访问控制架构

安全组是在 网络接口 (ENI) 级别运行的，而不是在子网级别。这意味着即使两个实例在同一个子网内，如果它们的安全组规则不允许通信，它们也无法互相访问。

AWS 安全组（Security Group, SG）有以下关键特性

安全组可以绑定到：

• EC2 实例

• ENI（弹性网卡）

• ALB / NLB

• RDS

• EKS Pod（通过 ENI / SG for Pod）

• 📌 一个资源可以绑多个 SG，多个 SG 规则没有顺序概念

• 📌 一个 SG 也可以被多个资源复用

引用安全组作为源（Security Group Referencing）

这是 AWS 架构设计中最优雅的功能之一。在设置规则时，源（Source）不仅可以是 IP 地址（如 10.0.0.5/32），还可以是 另一个安全组 ID 。典型场景如下：

• 场景 ：Web 层服务器需要访问数据库层。为 Web 层服务器创建一个安全组，如 sg-web-servers

• 做法 ：在数据库安全组中添加规则：允许来自安全组 sg-web-servers 的 3306 端口访问。

• 好处 ：当 Web 层实例由于自动缩容（Auto Scaling）增加或减少时，你不需要手动更新 IP 地址列表，权限会自动随安全组标签流转。不关心 IP 变化，不关心实例扩缩容，只关心 角色之间的通信关系

环境信息

• Centos-7 3.10.0-1062.9.1
• Docker 19.03.15
• containerd.io-1.4.13
• kubectl-1.25.0
• kubeadm-1.25.0
• kubelet-1.25.0

kubectl 常用命令汇总

查询命令汇总

kubectl get nodes -o wide

kubectl get pods -A -o wide

kubectl get deployments -A -o wide

kubectl get daemonsets -A -o wide

kubectl get replicasets -A -o wide

kubectl get services -A -o wide

kubectl get endpointslices -A -o wide

kubectl get ingresses -A -o wide

kubectl get ingressclass -A -o wide

kubectl get deployments,replicasets,pods,services,endpointslices,ingresses

kubectl get configmaps -A

kubectl get storageclasses -o wide

kubectl get pv -o wide

kubectl get pvc -o wide

删除命令汇总

kubectl delete service -n <namespace> <name>

kubectl delete ingress -n <namespace> <name>

kubeadm 常用命令

kubeadm 命令官方参考文档

创建集群

kubeadm init --pod-network-cidr=10.244.0.0/16 --cri-socket=unix:///var/run/cri-dockerd.sock

添加节点到集群

kubeadm join 172.31.10.19:6443 --token 8ca35s.butdpihinkdczvqb --discovery-token-ca-cert-hash sha256:b2793f9a6bea44a64640f99042f11c4ff6 \ 
        --cri-socket=unix:///var/run/cri-dockerd.sock

其中的 token 可以在 master 上使用以下命令查看

$ kubeadm token list
TOKEN                     TTL         EXPIRES                USAGES                   DESCRIPTION                                                EXTRA GROUPS
8ca35s.butdpihinkdczvqb   19h         2022-09-14T02:54:55Z   authentication,signing   The default bootstrap token generated by 'kubeadm init'.   system:bootstrappers:kubeadm:default-node-token

默认情况下，令牌会在 24 小时后过期。如果要在当前令牌过期后将节点加入集群， 则可以通过在控制平面节点上运行以下命令来创建新令牌：

kubeadm token create

如果你没有 --discovery-token-ca-cert-hash 的值，则可以通过在控制平面节点上执行以下命令链来获取它^[1]：

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | \
   openssl dgst -sha256 -hex | sed 's/^.* //'

如上图所示，在每个数据中心部署单独的 Prometheus Server，用于采集当前数据中心监控数据。并由一个中心的 Prometheus Server 负责聚合多个数据中心的监控数据。这一特性在 Promthues 中称为 Federation (联邦集群）。

Prometheus Federation (联邦集群)的核心在于每一个 Prometheus Server 都包含一个用于获取当前实例中监控样本的接口 /federate。对于中心 Prometheus Server 而言，无论是从其他的 Prometheus 实例还是 Exporter 实例中获取数据实际上并没有任何差异。

以下配置示例在中心 Prometheus Server 配置其抓取其他 Prometheus Server 的指标，必须至少有一个 match 配置，以指定要抓取的目标 Prometheus Server 的 Job 名称，可以使用正则表达式匹配抓取任务

scrape_configs:
  - job_name: 'federate'
    scrape_interval: 15s
    honor_labels: true    # 保留 Leaf 上抓取的指标的标签
    honor_timestamps: false  # 强制使用 Master 的当前时间，防止时间差导致无法抓取指标
    metrics_path: '/federate'
    params:
      'match[]':
        - '{__name__=~".+"}'     # 抓取所有指标
    static_configs:
      - targets:
        - '192.168.77.11:9090'
        - '192.168.77.12:9090'

__name__ 是 Prometheus 特殊的预定义标签，表示指标的名称
使用以下配置采集目标 Prometheus Server 的所有指标

params: 'match[]': - '{job=~".+"}'

Master Prometheus 的 Explorer（Web）中不会出现 Leaf 抓取的 Target，可以使用具体的指标如 up 等检查是否抓取到了数据

Master prometheus 上面测试 match 是否能抓取指标：

# curl -G 'http://43.13.23.59:9090/federate' --data-urlencode 'match[]={__name__=~".+"}' | tail

scrape_series_added{Project="CDN",instance="110.120.64.15:9100",job="cdn_node_exporter"} 0 1770621129341
scrape_series_added{Project="CDN",instance="110.120.0.7:9100",job="cdn_node_exporter"} 0 1770621132594
# TYPE up untyped
up{Project="CDN",instance="110.120.64.6:9100",job="cdn_node_exporter"} 1 1770621137089
up{Project="CDN",instance="localhost:9100",job="cdn_node_exporter"} 0 1770621124836
up{Project="CDN",instance="110.120.64.17:9100",job="cdn_node_exporter"} 1 1770621132241

AWS 虚拟私有云 VPC

在进入具体的网络配置前，必须理解 AWS 的地理隔离：

• 区域 (Region) ：地理上的独立区域（如新加坡、弗吉尼亚）。区域之间完全隔离。

• 可用区 (Availability Zone, AZ) ：一个区域内由多个物理机房组成。AZ 之间通过高速、低延迟光纤连接。高可用架构必须跨 AZ 部署。跨 AZ 之间的流量需要付费。

VPC 是你在 AWS 云中的逻辑隔离网络。你可以完全控制其 IP 地址范围、子网、路由表和网络网关。

核心组件：

• CIDR 范围 ：你为 VPC 定义的私有 IP 地址块（如 10.0.0.0/16 ）。

• 子网 (Subnets) ：将 VPC 划分为更小的网段。子网必须位于特定的可用区内。

• 公有子网 (Public Subnet) ：路由指向互联网网关 (IGW)，实例可以有公网 IP。

• 私有子网 (Private Subnet) ：没有指向 IGW 的直接路由，通常通过 NAT 网关 访问外网 。

公有子网 和 私有子网 在配置上几乎一摸一样，唯一区别在于： 该子网关联的路由表（Route Table）中默认路由（0.0.0.0/0）是如何配置的。

• 公有子网 (Public Subnet) 其路由表中默认路由（0.0.0.0/0）指向 互联网网关 (Internet Gateway, ID 格式通常为 igw-xxxxxx) 。由于它直接连接到互联网大门，且子网内的实例拥有公网 IP，因此外部用户可以主动访问它，它也可以直接访问外部。
• 私有子网 (Private Subnet) 其路由表中默认路由（0.0.0.0/0）指向 NAT 网关 (NAT Gateway, ID 格式通常为 nat-xxxxxx)，或者干脆没有任何去往外网的路由 。它没有直通互联网的大门。它通过 NAT 网关（单向出口）实现“能出不能进”的效果。
  下图所示子网为 公有子网
  
  

• 路由表（Route Tables） 分为主路由表和自定义路由表
  • 主路由表（Main route table） 随 VPC 自动生成，它控制未与任何其他路由表显式关联的所有子网的路由，也就是 VPC 中的默认路由。
  • 自定义路由表 为新建的路由表。
  • 一个子网只能关联一个路由表，一个路由表可以关联多个子网

流量如何进出

VPC 与外界互联网通信可以使用以下方式：

部署 NAT Gateway 网关并关联子网

通过 NAT Gateway 可以实现子网中的实例的对外互联网出口 IP 都是 NAT Gateway 绑定的 EIP，子网中的实例对互联网不可见。NAT Gateway 典型使用场景：

• 为了安全，生产环境通常将 EKS 工作节点、RDS 数据库 或 缓存服务器（Redis） 放在私有子网中，这些资源不需要（也不应该）被互联网直接访问。
• 应用需要调用外部服务（如支付网关、银行接口或第三方 API）时，对方的防火墙通常需要你提供一个白名单 IP。由于 EKS 节点是动态变化的，IP 并不固定。
• 减少受攻击面，防止外部扫描。

以下为创建 NAT Gateway 并关联子网的相关步骤：

VPC
├── Public Subnet
│   ├── NAT Gateway（有 EIP）
│   └── Route Table (Public RT)
│       └── 0.0.0.0/0 → Internet Gateway
│
└── Private Subnet
    ├── EC2 / ECS / EKS Node
    └── Route Table (Private RT)
        └── 0.0.0.0/0 → NAT Gateway

关键点：

• NAT Gateway 必须在公有子网
• 私有子网的默认路由指向 NAT Gateway

1. 确认 Public Subnet 存在

   VPC 默认的 Main Route Table 已经满足这个条件，其默认网关为 Internet Gateway
   

2. 创建 NAT Gateway

   在 NAT gateways 标签页面中，点击 Create NAT gateway ， Connectivity type 选择 Public ， Elastic IP (EIP) association 选择 手动分配 EIP（Manual）
   
   创建完成后，状态应为 Available 。在路由表（Route Tables）中，这时会多一个路由表，其 Edge associations（边缘关联） 关联到了刚刚创建的 NAT Gateway
   

3. 创建一个新的子网（私有、Private Subnet）

   在 VPC → Subnets → Create subnet 标签页面中创建新的子网， 不要勾选 Auto-assign public IPv4 ，如此处于此子网中的实例，不会为其分配公网地址
   

4. 创建 Private Route Table

   在 VPC → Route tables → Create route table 标签页面中创建新的路由表，本示例名为 private-rt

5. 配置路由规则

   选择刚刚创建的新路由表 private-rt，在 Routes 中 编辑路由（Edit Routes） ，添加一条路由规则：

   | Destination | Target | | ----------- | --------------- | | 0.0.0.0/0 | NAT Gateway |

   

6. 关联 Private Subnet

   选择刚刚创建的新路由表 private-rt，在 Subnet associations(子网关联) 中 Edit subnet associations（编辑子网关联） ，选择目标子网进行关联
   

7. 最终的 VPC 整体路由可以在 VPC 的 Resource map 中进行检查
   

环境信息

• Centos 7.9.2009
• docker-ce-19.03.15
• docker-20.10.9

Docker 安装

yum 安装 docker

安装 yum 源，docker官方 centos 安装文档

yum install -y yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

安装 docker

yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin

yum 离线安装 docker

参考链接下载rpm安装包

wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

安装 docker

yum localinstall -y containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    docker-ce-19.03.15-3.el7.x86_64.rpm \
                    docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

以上 2 条命令可以使用以下 1 条命令完成

yum localinstall -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

Docker 26 安装，适用于 Centos 8、Rocky Linux 8 等

yum localinstall -y https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-ce-26.1.3-1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-ce-cli-26.1.3-1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/containerd.io-1.6.32-3.1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-compose-plugin-2.6.0-3.el8.x86_64.rpm

启动docker

systemctl enable docker --now

安装

安装步骤

安装完成之后使用 gitlab-ctl reconfigure 启动服务
访问页面，默认使用 root 登录
每次重新更改配置，都需要使用 reconfigure 重新启动

环境信息

• Centos 7
• Prometheus Server 2.4
• Node Exporter v1.4.0
• Grafana v9.2.5

安装

在 Docker 中安装 Prometheus Server

创建 Prometheus Server 配置文件，如 /root/prometheus/prometheus.yml，内容如下 ^[1]

# my global config
global:
  scrape_interval:     15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
  # scrape_timeout is set to the global default (10s).

# Alertmanager configuration
alerting:
  alertmanagers:
  - static_configs:
    - targets:
      # - alertmanager:9093

# Load rules once and periodically evaluate them according to the global 'evaluation_interval'.
rule_files:
  # - "first_rules.yml"
  # - "second_rules.yml"

# A scrape configuration containing exactly one endpoint to scrape:
# Here it's Prometheus itself.
scrape_configs:
  # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
  - job_name: 'prometheus'

    # metrics_path defaults to '/metrics'
    # scheme defaults to 'http'.

    static_configs:
    - targets: ['localhost:9090']

使用 Docker 启动时挂载此文件，作为 Prometheus Server 的配置文件，之后需要修改配置，可以直接修改此文件。

docker run -d -p 9090:9090 \
           --name prometheus \
           -v /root/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml \
           prom/prometheus

启动后，可以通过 $Prometheus_IP:9090 访问 Prometheus Server UI

地火明夷

火泽睽，内（下）兑（泽、口、悦）外（上）离（火、附丽、文明），上火下泽，两相乖离，相违不相济，水火不容，相互矛盾。睽，乖异、不同、不合、背离、矛盾之卦。

睽，小事吉。

彖曰：睽，火动而上，泽动而下。二女同居，其志不同行。悦而丽乎明，柔进而上行，得中而应乎刚。是以小事吉。天地睽而其事同也；男女睽而其志通也；万物睽而其事类也。睽之时用大矣哉！

象曰：上火下泽，睽。君子以同而异。

• 睽，小事吉 ： 睽，乖离、背离、相互违背（矛盾）的时期，应当处理小事或循序渐进，不宜图谋大事或者动作太大。因为情势复杂、有分歧，大事难以成功，宜从小处着手，反而吉。
• 睽，火动而上，泽动而下，二女同居，其志不同行 ： 离为火为中女，动而向上；兑为泽为少女，动而向下，志不同，故上下背离、不合。
• 悦而丽乎明，柔进而上行，得中而应乎刚。是以小事吉 ： 兑为泽为悦、离为火为（附）丽为（文）明，六五为卦主，得中而正应九二。睽为火上泽下，相互背离、矛盾，但仍有内悦而附丽乎明、内外（上下）相应合，异中存同，故小事吉。
• 天地睽而其事同也；男女睽而其志通也；万物睽而其事类也 ： 天地上下动静有异，但其化生万物、滋养万物之志同；男女有别，但其组件家庭、孕育子嗣之志同；万物各异，各有同类。睽并非绝对，而是异中有同、分中见合。君子要在求同的基础上保持差异，在尊重差异的前提下寻求共识

初九

悔亡，丧马勿逐，自复。见恶人，无咎。

象曰：见恶人，以辟咎也。

• 丧马勿逐，自复 ： 马，乾之象，象征刚健之行。处于睽卦中，有背离、不合，行动可能会受到牵制、掣肘，不宜盲目追逐。自复强调应顺应睽异之势，待时势流转。
• 见恶人 ： 恶人可指与己情睽、意见相左、立场相反之人。见恶人，要正视睽异，睽中有合、异中有同，不逃避或盲目对立，才能化解或求同存异。

初九阳刚处兑之下，睽之始，背道而驰之势方起。位卑而无应，本有“悔”；然刚而得正，能自守不躁，丧马勿逐，故“悔亡”。

古人注解 ：

• 王弼

  丧马自复，不必逐也。

• 程颐

  见恶人而远之，则无咎。

• 睽乖之世，不可求也。

九二

遇主于巷，无咎。

象曰：遇主于巷，未失道也。

• 遇主于巷 ： 遇，逢也、不期而会曰遇，象征睽中有合、异中有同。巷，小路、便道，与大道相对，象征权变、委曲。主，指卦主六五，与九二正应，二为臣位，五为君位，主臣睽隔，故巷遇。得中且应，虽行权而未失正，故无害。

古人注解 ：

• 王弼

  中正而应，虽睽不失。

• 程颐

  世睽，人散，惟中正者，乃能遇其主。

• 巷者，穷途也。能遇其主，是未失道也。

六三

见舆曳，其牛掣，其人天且劓。无初有终。

象曰：见舆曳，位不当也；无初有终，遇刚也。

• 见舆曳，其牛掣，其人天且劓。无始有终 ： 舆，车厢、车子、大车。曳，后拖、拖拽、牵引。掣，掣肘、牵制。天，黥也，凿其额以墨涅之，即在额头刺字。劓，割鼻之刑。车被拖住，拉车的牛被掣肘，行进困难，车夫受两重肉刑，面目毁败。开端极糟，几乎无立足之地；然六三终与上九为正应，睽极必合，故“有终”。

六三阴居阳位，处兑体之终，下乘九二、上承九四，前后皆刚，位既不当，才弱志又欲进，于是“睽”之极变，显出乖离、掣肘、刑伤之象。终与上九之刚相应，得阳刚接引，故“无初有终”。

古人注解 ：

• 王弼

  处睽之极，故多碍。

• 程颐

  始虽甚困，得刚而终有济。

• 刑罚之象，以明其困。

九四

睽孤，遇元夫。交孚，厉，无咎。

象曰：交孚无咎，志行也。

地火明夷

风火家人，内（下）离（火、附丽、文明）外（上）巽（风、顺），家人，内也；（火泽）睽，外也。家人卦核心为正家。

家人，利女贞。

彖曰：家人，女正位乎内，男正位乎外。男女正，天地之大义也。家人有严君焉，父母之谓也。父父、子子、兄兄、弟弟、夫夫、妇妇，而家道正，正家而天下定矣。

象曰：风自火出，家人。君子以言有物而行有恒。

• 家人，女正位乎内，男正位乎外 ： 六二阴柔中正于内，九五阳刚中正于外。

初九

闲有家，悔亡

象曰：闲有家，志未变也。

• 闲有家 ： 闲，本义是门口横亘一木，即木栏杆、栅栏，引申为防范、规范、约束、建立规矩。初九作为开始，强调管理必须先行于德教。必须先建立明确的界限和规范，才能保障家庭的正道。

治理家庭（有家）之初，要先建立规范、防患未然（闲），因为此时人的心志未变，态度可控，因此设立规矩最为有效，趁此时机立规，易被接受、易于推行，故能消除悔恨。

初九是家人卦的初始爻，阳爻居阳位，刚健得正、处家之始，内卦巽为 “顺、入、教化”，初爻为 “家道之基”，刚健有决断、能立规范、防患于未然。行动契合时位、合乎正道

古人注解 ：

• 王弼

  初为家道之始，宜及其时闲之也。

• 程颐

  家之始，宜早正其风。

• 始而闲之，则悔亡也。

六二

无攸遂，在中馈。贞吉。

象曰：六二之吉，顺以巽也。

• 无攸遂，在中馈 ： 遂，随心所欲、顺从自己的意愿去完成某事、独行其事。中馈，古代指掌管家中饮食（厨房）、财务等内务的职责，是古代家庭中女性的核心职责。

六二以阴居内卦离之中，得位又得中，上应九五之阳，有“妻道”之象；其德柔顺附丽而逊（巽），以柔顺之德承接主内之责，不刚愎、不专断，故能安定家庭、得享吉祥。

古人注解 ：

• 王弼

  不遂其志，舍己以顺。

• 程颐

  二以柔中居内，克尽其职。

• 中馈者，内事也。顺则吉。

九三

家人嗃嗃，悔厉吉；妇子嘻嘻，终吝。

象曰：家人嗃嗃，未失也；妇子嘻嘻，失家节也。

• 家人嗃嗃，悔厉吉 ： 嗃嗃（hè hè），严厉、刚硬、威严。以刚硬态度推行规则、约束家人，缺乏适度的巽、顺，可能引发的家人抵触、情感隔阂，长期来看，严虽有弊，却能守正，弊在当下，利在长远
• 妇子嘻嘻，终吝 ： 妇子，家庭成员。嘻嘻，嬉戏、懈怠、放纵无度。家庭规则松弛、成员不受约束，沉迷享乐、违背家风。丧失了家庭的节度与规范（失家节也），故终将招致困厄。

九三阳居阳位，处下卦离的终位，刚健过盛、处家之极，可能过于严苛，有失柔顺，但位正，未失大节（正家），故悔厉吉，治家宁失之严、不失之纵。

古人注解 ：

• 王弼

  刚正之道，虽悔厉，终吉也。

• 程颐

  家道贵严，严则无失。

• 家若无正声，则妇子当嬉笑而不肃。

六四

富家大吉。

象曰：富家大吉，顺在位也。

古人注解 ：

• 王弼

  处家之位，以柔为主，故能富家。

• 程颐

  顺以得位，家道富也。

• 六四阴顺，相应于九三，得以富家。

九五

王假有家，勿恤，吉。

象曰：王假有家，交相爱也。

• 王假有家，勿恤，吉 ： 假，至，到达、至诚。九五尊位得中得正，正应六二，为家人之主。

九五为阳爻居阳位，处尊得位而正，下应六二，王者之德来主持家庭，治理有方。

古人注解 ：

• 王弼

  以阳居尊，正家之主也。

• 程颐

  五为尊位，又得其中正，故可以正家。

• 以德理家，家乃吉也。

上九

有孚威如，终吉

象曰：威如之吉，反身之谓也。

• 威如之吉，反身之谓也 ： 孚为诚信充于内，威为庄敬形于外；先以正道修己，己正而后家齐（反身之谓），家众见其内省自律，自然心生敬畏，故曰“威如之吉”

上九处家人卦最上位，为最具影响力的人，代表家庭治理的最高境界，真正的威信，来自于“有孚”（真实可信），威来自自律，而不是压制他人，要以身作则。

古人注解 ：

• 王弼

  威而有孚，德之威也。

• 程颐

  威之在己，则终吉。

• 非暴怒之威，乃自反正己之威也。

地火明夷

地火明夷，内（下）离（火、附丽、明）外（上）坤（地、顺），夷者，伤也、诛灭也。明夷，明入地中，即光明熄灭、光明隐而不彰。晋卦（明出地上）是白天，明夷（明入地中）就是黑夜。

明夷，利艰贞。

彖曰：明入地中，明夷。内文明而外柔顺，以蒙大难，文王以之。利艰贞，晦其明也。内难而能正其志，箕子以之。

象曰：明入地中，明夷。君子以莅众用晦而明。

• 君子以莅众用晦而明 ： 莅，莅临、统辖、治理、主持。莅众，临众、治理百姓、民众。晦，黑暗、不显露。用晦而明，自抑其明、运用晦暗，藏匿锋芒，但内心清醒，保持洞察力。

初九

明夷于飞，垂其翼。君子于行，三日不食。有攸往，主人有言。

象曰：君子于行，义不食也。

• 明夷于飞，垂其翼 ： 明夷，光明隐没、时势昏暗之时。离为雉、为光明之鸟。鸟想要高飞，却不得不收敛羽翼，不敢高扬。
• 君子于行，三日不食 ： 君子被迫或主动远行、避祸，三日不食，象征君子坚守正道而不妥协，即便面临生存困境，也不接受不义之食（义不食也）
• 有攸往，主人有言 ： 君子前往他处寻求安身立命之所，即使到了新的地方，接待他的人（主人）也会对他有所非议、猜忌或防备。

古人注解 ：

• 王弼

  刚明遭伤，故垂其翼。

• 程颐

  君子不食非义之禄，故行而不食。

• 三日不食，不肯食不义之食。

六二

明夷，夷于左股，用拯马壮，吉。

象曰：六二之吉，顺以则也。

• 明夷，夷于左股，用拯马壮，吉 ： 左股，左边得大腿，古代以右为尊为主、为阳，左腿受伤，象征伤势不重。拯，拯救、救援。用拯马壮，若有强助（如强壮之马）相救，则可转危为吉。

古人注解 ：

• 王弼

  中正得位，虽夷而不陷。

• 程颐

  左股之夷，微有伤，不害行也。

• 以柔中之德，顺乎时也，所以得吉。

九三

明夷于南狩，得其大首，不可疾，贞。

象曰：南狩之志，乃得大也。

• 明夷于南狩，得其大首，不可疾，贞 ： 南，离之象，象征光明，南狩，即主动争取和追求光明，为之行动。大首，首要的、最重要的目标，或者指主要的敌人。不可疾，不可急躁、不能仓促，要坚守正道。

在黑暗时期，君子可以凭借刚强正直的力量，采取主动、积极的抗争行动去追寻光明（南狩），但必须谨慎自持，不可急躁冒进，并始终坚守正道（不可疾，贞）

古人注解 ：

• 王弼

  有光而处于暗地，故能狩得大首。

• 程颐

  得其大首者，除其大害也。

• 南者明也，狩者讨也。

六四

入于左腹，获明夷之心，于出门庭。

象曰：入于左腹，获心意也。

• 入于左腹，获明夷之心，于出门庭 ： 左腹，心腹之侧，指非正面、侧面的入局方式。腹，通常象征深处、内部、中枢。明夷之心，指施行明夷暴政的统治者（或小人）的真实动机、意图和策略。出门庭，指最终能够全身而退，安全地离开敌人的控制范围。

六四阴居阴位，得正，上近于六五（暗主），是“大臣入腹”之象；既近黑暗中心，唯“速退”可保身。

古人注解 ：

• 王弼

  入于腹者，入其深也。获心者，得其情也。

• 程颐

  处暗而不迷，故能获其心。

• 得其心情，故能出也。

六五

箕子之明夷，利贞。

象曰：箕子之贞，明不可息也。

六五阴居阳位，得中而不正，处外卦坤（地）之中，正是“大明入地”最深之处；然柔而得中，象征贤者处暴君之侧，外晦内明。贤者在极黑暗的时代，为保全光明而自晦，不得不接受羞辱。但其心之明不灭。

古人注解 ：

• 王弼

  以柔居尊，上处暗，其象为箕子之伤。

• 程颐

  明夷之时，贤者以贞守，虽辱而不失光明。

• 箕子在纣之时，明德遭夷。

上六

不明，晦，初登于天，后入于地。

象曰：初登于天，照四国也；后入于地，失则也。

• 不明，晦，初登于天，后入于地 ： 明夷之极，光明完全消失，陷入极度的黑暗中。最初像太阳一样升到天上，照耀大地；最终却像太阳沉入地下一样，彻底消失。

上六阴居阴位，处明夷之极，是“黑暗”本体；下无应，乘六五之柔主，象征“昏君”或“光明被彻底掩埋”的终极状态。

古人注解 ：

• 王弼

  失明极矣，故入于地。

• 程颐

  以柔居阴之极，不能自明，故晦。

• 虽曾照四国，今失其道，故入于地。

火地晋

火地晋，内（下）坤（地、顺）外（上）离（火、明、丽），晋者，进也。晋卦是《易经》六十四卦中 最具“进步、升迁、光明显赫”意味的卦，象征“火在地上，光明渐升”，属于 大吉之卦。

晋，康侯用锡马蕃庶，昼日三接。

彖曰：晋，进也。明出地上，顺而丽乎大明，柔进而上行，是以康侯用锡马蕃庶，昼日三接也。

象曰：明出地上，晋。君子以自昭明德。

• 晋，康侯用锡马蕃庶，昼日三接 ： 康，美之名也，德高、安宁、荣耀。康侯代之德高之侯、君子居上位者。锡，通赐，赐予、赏赐。蕃庶，繁盛、众多。康侯用天子所赐良马繁育，培育出众多良种马，天子多次接见。一个顺应天时、贤德安乐的侯王，获得了君主的支持和信任，标志着他的事业昌盛，地位稳定且受到尊重。
• 明出地上，顺而丽乎大明，柔进而上行 ： 坤为地为顺、离为火为丽（附着、依附）为光明，火地晋卦由风地观卦六四柔爻上行到六五，九五刚爻下到九四而来，故曰柔进而上行。六五为全卦主爻。晋卦的本质是靠光明而进，靠道德而进，靠正而进。以柔顺之道（臣、妻、下属）依附大明之主（君、夫、上级），逐步晋升
• 明出地上，晋。君子以自昭明德 ： 光明出现在大地之上，象征“晋升”。君子因此应当自我昭显、光大内在的美德。

初六

晋如，摧如，贞吉。罔孚，裕，无咎。

象曰：晋如摧如，独行正也。裕无咎，未受命也。

• 晋如，摧如，贞吉 ： 晋如，要前进、欲晋升、想向上。摧如，受挫、受摧折、受阻挠的样子。欲进不得，如有阻滞。要守正，不急不乱，最终吉。
• 罔孚，裕，无咎 ： 罔孚，未受信任。裕，宽宏、宽容、从容、隐忍。初六位置低，位卑言轻，尚未被信任，需要从容等待，不急于求进。
• 晋如摧如，独行正也。裕无咎，未受命也 ：未受命也，时机未到。在前进之初，力量弱小且遭遇阻碍时，君子应坚持正道，保持宽裕和耐心。等待时机成熟和使命降临，方能避免灾祸。

古人注解 ：

• 王弼

  欲进而力未备，故摧。能守正，则吉。

• 程颐

  初进之难，人未信也。能裕则无咎。

• 未受命也，未得君命，故无人信。

六二

晋如，愁如，贞吉。受兹介福，于其王母。

象曰：受兹介福，以中正也。

• 受兹介福，于其王母 ： 介，大、宏大、重大、巨大。王，指尊贵者。母，厚德、慈爱、能庇佑他人者。王母通常也指祖母、六五。心怀忧虑、谨慎小心的态度，将受到这巨大的福佑。

六二爻是阴爻居于阴位（当位），且处于下卦（坤，地）的中位（得中），象征着柔顺中正地前进，最终获得巨大的福佑。

古人注解 ：

• 王弼

  居中得正，故能晋而吉，受介福也。

• 程颐

  中正而应乎五，是以受大福。愁者，戒慎不怠之意。

• 王母，尊之极也。得其福，则吉大矣。

六三

众允，悔亡。

象曰：众允之，志上行也。

• 众允，悔亡 ： 允，信任、应允、认可。获得众人的信任与认可（众允），此前的悔恨与困厄（悔亡）彻底消除。

六三阴居阳位，位不正，但下与初六、六二比邻成“坤”众之象，前临上离（明），上应上九（离明之极），形成“众阴承阳”之势，故得“众允”而悔亡。

古人注解 ：

• 王弼

  众与之同，悔亡也。

• 程颐

  众心同然，则无所悔。

• 众人皆允其志，故悔亡。

九四

晋如鼫鼠，贞厉。

象曰：鼫鼠贞厉，位不当也。

• 晋如鼫鼠，贞厉 ： 鼫鼠，通常指土拨鼠或五技鼠（传说中它有五种技能，但都学不好，比喻能力杂而不精、贪多求全，进退失据。。能飞不能过屋，能缘不能穷木，能游不能渡谷，能穴不能掩身，能走不能先人），晋升之心急切，却像鼫鼠一样东窜西跳，无一专长。

九四阳居阴位，且处“多惧”之地，才德与位置不相称。

古人注解 ：

• 王弼

  以刚居柔，不中不正，故如鼫鼠。

• 程颐

  位不当而光明不足，故有畏光之象。

• 位高而志怯，犹鼫鼠也。

六五

悔亡，失得勿恤。往吉，无不利。

象曰：失得勿恤，往有庆也。

• 失得勿恤 ： 恤，顾虑、忧虑。不必忧虑得失

六五阴居阳位，得中而不正，本应有悔；但处离明之中，下应九二刚中之臣，居中得尊、刚柔相济、以柔御刚，以明照众，故“悔亡”。不计较得失，反得大成。

古人注解 ：

• 王弼

  处尊得中，故悔亡。心无系累，则得失不恤。

• 程颐

  六五之君，以柔中居尊位，能任贤，故其往也吉。

• 不忧失得，故往吉而无不利。

上九

晋其角，维用伐邑。厉吉，无咎，贞吝。

象曰：维用伐邑，道未光也。

• 晋其角，维用伐邑 ： 角为禽兽最刚、最上之物，喻上九以刚居极，前无去路，只能以“角”硬顶。仅可用于征伐内部城邑，有危险，但可转吉。不至于大祸。若固执此道，终有悔吝。

古人注解 ：

• 王弼

  过乎其位，进之极也，故‘晋其角’。

• 程颐

  用刚之极也。危而能谨，则吉无咎。

• 光明太盛，则伤物；故须伐邑以制之。

十天干（甲、乙、丙、丁、戊、己、庚、辛、壬、癸）是中国古代用来纪年、纪月、纪日、纪时的符号。它们最初的含义并非现代的木火土金水五行属性，而是源于古代对植物生命周期和万物生长变化的观察和描述。

以下是十天干的十个字的初始含义和核心概念：

雷天大壮

大壮卦，下（内）乾（天、健）上（外）震（雷、动），为十二消息卦之一，阴消阳息，阳长阴退，为阳气大盛之时。大壮，大者壮也，刚爻为大，柔爻为小。大壮则止，大壮是刚爻壮大（四个刚爻，两个柔爻），是较好的格局，在往前就要物极必反，因此要止。天山遁为退，雷天大壮为止。

大壮，利贞。

彖曰：大壮，大者壮也。刚以动，故壮。大壮利贞，大者正也。正大而天地之请可见矣。

象曰：雷在天山，大壮。君子以非礼弗履。

初九

壮于趾，征凶，有孚。

象曰：壮于趾，其孚穷也。

初九阳居阳位，最下最外，刚健尚浅、根基未稳；上无应，却与九四同性相敌，一动即触刚，故戒“征凶”。虽有孚诚，但位卑力孤，信亦“穷”而无所施；时机不成熟，故宜蓄力，不宜速进。

古人注解 ：

• 王弼

  以刚居初，壮而未得其正，故壮于趾也。动则凶。

• 程颐

  壮而未中，轻躁于动，故征凶。

• 趾者，始也。始而遽壮，其志虽诚，终不可济。

九二

贞吉

象曰：九二贞吉，以中也。

九二刚爻居中，上有六五为正应，得中又有应援，贞吉。

九三

小人用壮，君子用罔，贞厉。羝羊触藩，羸其角。

象曰：小人用壮，君子罔也。

• 小人用壮，君子用罔，贞厉 ： 罔，无、不、空。小人会用强盛的力量去逞强妄动，君子则宁愿放弃。
• 羝羊触藩，羸其角 ： 羝羊，公羊，以好斗、刚猛著称。藩，藩篱、篱笆、围栏。羸，卡断、损伤、受制、疲弱。公羊硬撞藩篱、角被卡住的具象，象征刚健过盛致凶。力量强大却不知审时度势，鲁莽行事，最终力量反而成了自身的桎梏。

九三处下卦乾之终，刚亢过中，大壮至三，阳气极盛，最易“恃壮为暴”。对应上六，动而上撞，正犯“藩篱”，故取“羝羊”为象。小人得此位，必“用壮”，以力服人，终撞墙折角；君子知“罔”，不用其壮，知止不乱、大智若愚，反得自全。

古人注解 ：

• 王弼

  刚过不中，动而用壮，则陷于危。

• 程颐

  壮而不知止，故触藩而困。

• 以壮处壮之时，故小人用壮。君子知其险，不敢也。

九四

贞吉悔亡，藩决不羸，壮于大舆之輹。

象曰： 藩决不羸，尚往也。

• 藩决不羸，壮于大舆之輹 ： 决，破裂、破除。輹，伏兔，大车厢下的横木、轮轴，起固定和承重作用。篱笆（藩）已经被冲破，公羊的角就不会被困住。力量强大得像大车轮子下托住轴的木块（輹），坚固而稳定。

九四阳居阴位，刚而得柔，阳刚之力用于“车輹”，比喻刚而得用，可行远载重。下乘九三之“触藩”，上接六五之柔主，刚柔相济、时位得宜，刚健而动，正是“破藩出困”的转折点。时机已转，可以向前。

古人注解 ：

• 王弼

  以刚居柔，得中之道，壮而不暴，故吉。

• 程颐

  壮而得位，故吉。若卒壮而不制，则悔也，今得位而能制之，悔亡。

• 藩障自决，不以力决也。

六五

丧羊于易，无悔。

象曰： 丧羊于易，位不当也

• 丧羊于易 ： 丧，失去、丢失，此处指主动舍弃。羊，在大壮卦中指刚爻。易，通埸（yì），田畔、边界、疆场，也含有轻易之意。

六五以阴居阳位，处全卦之尊，正是“位不当”；但得中，且正应九二，有“以柔克刚”之象。大壮至五，阳气已达极点，象征着在强盛的阳刚时期，以柔弱、谦和的方式居于君位。六五以柔弱之质居君位，本有“失位”之悔。但它懂得适时放弃刚猛，以柔顺中和之道应对大壮之势，因此无悔。

古人注解 ：

• 王弼

  羊者，刚也。六五以阴居尊，不宜用刚，故宜丧羊也。

• 程颐

  处尊位而不能以刚，舍其刚乃得无悔。

• 以柔居尊，不当用壮。丧其壮则无悔。

上六

羝羊触藩，不能退，不能遂，无悠利。艰则吉。

象曰： 不能退，不能遂，不详也；艰则吉，咎不长也。

• 羝羊触藩，不能退，不能遂，无悠利 ： 羝羊，公羊，指过盛之刚。遂，前进、顺遂。刚猛力量使用过度的最终下场是进退失据，陷入绝境。唯一的出路是接受并经受艰难困苦，耐心解角、徐徐退身，虽艰而终脱；

上六居大壮之终，震动之极；刚已过极，反被其困，成“角卡藩中”之象。九三是 “刚健过盛、主动逞强” 致困，卡得不深，还能救；上六是 “刚健终局、势尽难返” 致困，进退维谷、左右为难。不详 即 “缺乏远见、行事不审”，在刚健盛长时未及时收敛（如六五 “丧羊” 的取舍），最终陷入终局困局。

古人注解 ：

• 王弼

  过刚而穷，故不能退，不能遂。

• 程颐

  壮极则穷，能知其艰而止，自可得吉。

• 柔居上位，不能任壮，强用之必困。

天山遁

天山遁，下（内）艮（山、止）上乾（天、健），遁者，退也。是阳消阴息的十二消息卦之一，处于柔爻长而刚爻退的过程中。

遁，亨，小利贞。

彖曰：遁亨，遁而亨也。刚当位而应，与时行也。小利贞，浸而长也。遁之时义大矣哉！

象曰：天下有山，遁。君子以远小人，不恶而严。

• 遁亨，遁而亨也 ： 遁卦从乾卦一阴生得天风姤，再生一阴至天山遁，为阴长阳消的过程。天地自然都是在阴阳消息中不停运动，不论阴长阳消还是阴消阳长都是自然之道，都是亨通。在阴长阳消的自然大势中，阴来阳往、刚屈柔伸，对刚爻（阳）来说，遁（退）就是亨。刚爻为大，柔爻为小，刚往柔来，小利贞。
• 刚当位而应，与时行也 ： 指九五刚爻正应六二。六二为全卦主爻，代表柔爻的上涨势头。全卦阳爻多于阴爻，刚爻势大，九五刚爻尊位得正，是为当位，但阴长阳退为大势所趋，九五正应六二，能主动退让，是能顺应大势，即与时行也。
• 君子以远小人，不恶而严 ： 恶，惹、招惹、惹怒。严，划清界限、界限分明。小人势长，远离小人，不招惹小人，但要和其划清界限，不同流合污。

初六

遁尾，厉。勿用有攸往。

象曰：遁尾之厉，不往何灾也。

• 遁尾，厉。勿用有攸往 ： 遁尾，退避之际落在最后，喻“当遁而迟疑，落在人后”。

初六处全卦最下，阴柔才弱，又居最外（艮下），本当最先见几而退；却迟钝观望，反成“尾”，故危。这一爻不宜行动，安分自首可保无灾。

古人注解 ：

• 王弼

  处遁之始而不能遁，至于尾，故厉。

• 程颐

  尾者，遁之晚也。晚而遁，危厉之道也。

• 遁之时宜速，今至尾而后遁，是以危厉。

六二

执之用黄牛之革，莫之胜说。

象曰：执用黄牛，固志也。

• 执之用黄牛之革，莫之胜说 ： 执，捆住、扎住、抓住。革，皮革、坚韧的牛皮绳、革带。说，通脱，挣脱、脱开、解开。黄牛，黄为中央之色，牛性顺而皮韧，象征中德柔顺而坚定，与六二之正位相合。

六二阴爻居阴位，柔得中得正，在下卦艮（山、止）中位，坚守中道，不为小人所动摇、不为外物所诱惑

古人注解 ：

• 王弼

  以阴居中，志能自固，故莫之得动。

• 程颐

  能固其志，守遁之正，不为外物所夺。

• 黄牛之革，坚韧而不裂。六二止退得宜，故莫之胜说。

九三

系遁，有疾厉，畜臣妾吉。

象曰：系遁之厉，有疾惫也；畜臣妾吉，不可大事也。

• 系遁，有疾厉，畜臣妾吉 ： 系，被牵绊、羁绊、有所牵挂。疾厉，有疾病缠身得风险。臣妾，泛指从属、附属的人或事，也象征小事、内务。

九三处内卦之极，刚居阳位，上临九四之“敌刚”，下比六二之“系私”，进退两难；欲遁而被私情、家事或旧部所牵，故成“系遁”。就像疾病缠身，不仅痛苦，而且消耗精力（象曰：有疾惫也），最终招致危险（“厉”）。在大环境不利、需要退避（遁）时，九三虽无法彻底脱身，但如果能将精力放在管理内务、巩固自身根基、处理身边的小事上，则是吉祥的。

古人注解 ：

• 王弼

  系遁者，不能得遁也。处动之极，欲进不得，欲退不能，有疾惫之象。

• 程颐

  九三刚而不中，欲遁不得，宜于小事，而不可以大事也。

• 刚中处遁，心急志动，而遁不得，故有疾厉。

九四

好遁。君子吉，小人否。

象曰：君子好遁，小人否也。

• 好遁。君子吉，小人否 ： 好，乐于、喜欢、善于。君子识时务乐于退避，小人则不然（不乐于退避）。

君子知道何时进、何时退，在小人壮大、时势不利时，能洞察先机，主动退避以保全自身，符合遁卦的卦义，故为吉祥。小人贪恋权力、地位和物质，即使面对危险，也不愿意放弃自己的所得。因此，在需要退避时，他们不乐于、不肯退避（“否”），最终会因时机错过而遭受灾祸。

古人注解 ：

• 王弼

  处遁之时，得以退避，故好遁也。君子以退为吉，小人不能遁也。

• 程颐

  遁之道在九四而得其正。能遁者，君子也；不能遁者，小人也。

• 九四虽刚，而处柔位，能好遁者，故吉。小人不能遁，故否。

九五

嘉遁，贞吉。

象曰：嘉遁贞吉，以正志也。

• 嘉遁贞吉，以正志也 ： 嘉，美、善、值得赞颂、值得称颂。美好的退避、高尚的抽身、君子之退。

九五刚尊得中而应六二，以刚健中正之德，主动让贤、让功，既契合时势规律，又坚守自身正道，故美其退曰“嘉遁”。

古人注解 ：

• 王弼

  处尊而能遁，嘉之至也。志正故吉。

• 程颐

  能遁于君位之尊，非迫也，自得也。其遁之美，在于是也。

• 九五居尊，能自遁避，不与小人争。其志正也，故贞吉。

上九

肥遁，无不利

象曰：肥遁无不利，无所疑也。

• 肥遁，无不利 ： 肥，这里不是指肥胖，而是指丰裕、富足、安逸、从容。从容而退，满载而退，毫无顾虑、迟疑。

上九阳爻居阴位，处卦之极、刚柔相济

古人注解 ：

• 王弼

  肥者，大也。退避无害，得其全也，无不利也。

• 程颐

  退而无所累，德全而去，谓之肥遁。

• 上九处遁之终，遁既得其全，故无不利也。