环境信息

• Docker 26.1.1
• Confluence Image： haxqer/confluence:9.0.2
• Jira Image： atlassian/jira-software:9.12.11
• postgresql 13

配置流程

创建项目所需新目录，用于存储持久化数据

# mkdir -p /opt/devops/{confluence,jira,postgresql}

下载 atlassian-agent.jar 文件，将其分别放置在 ./confluence/atlassian-agent.jar 和 ./jira/atlassian-agent.jar ，用于之后为 Confluence 和 Jira 生成 License

docker-compose.yaml 文件内容如下

vservices:
  # --- 数据库服务 ---
  postgres-db:
    image: postgres:13
    container_name: devops-postgres-db
    volumes:
      - ./postgresql:/var/lib/postgresql/data
    environment:
      - POSTGRES_USER=postgres
      - POSTGRES_PASSWORD=<PG_PASSWORD>
      - POSTGRES_DB=confluence
    healthcheck:
      test: ["CMD-SHELL", "pg_isready"]
      interval: 10s
      timeout: 5s
      retries: 5     
    networks:
      - devops-net


  # --- Confluence ---
  confluence:
    image: haxqer/confluence:9.0.2
    container_name: confluence
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8090:8090"
      - "8091:8091"
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=<PG_PASSWORD>
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/confluence
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
    volumes:
      - ./confluence:/var/confluence
    networks:
      - devops-net
  
  # --- Jira ---
  jira:
    image: atlassian/jira-software:9.12.11
    container_name: jira
    depends_on:
      postgres-db:
        condition: service_healthy
    ports:
      - "8080:8080" # Jira 默认端口
    environment:
      - ATL_JDBC_USER=postgres
      - ATL_JDBC_PASSWORD=<PG_PASSWORD>
      - ATL_JDBC_URL=jdbc:postgresql://postgres-db:5432/jira  # 注意这里是指向新创建的 jira 库
      - ATL_DB_TYPE=postgresql
      - JVM_MINIMUM_MEMORY=2048m
      - JVM_MAXIMUM_MEMORY=4096m
      - TZ='Asia/Shanghai'
      - JVM_SUPPORT_RECOMMENDED_ARGS=-javaagent:/var/atlassian/application-data/jira/atlassian-agent.jar
    volumes:
      - ./jira:/var/atlassian/application-data/jira
    networks:
      - devops-net

networks:
  devops-net:
    driver: bridge

启动容器

# docker compose up -d

postgres 数据库启动正常后，执行以下命令为 Jira 创建数据库，Confluece 数据库在容器启动是会自动创建。

docker compose exec -it postgres-db psql -U postgres -c "CREATE DATABASE jira WITH ENCODING='UTF8' LC_COLLATE='en_US.utf8' LC_CTYPE='en_US.utf8' CONNECTION LIMIT=-1;"

Confluence 初始化部署

浏览器访问 http://<IP>：8090 在 Confluence 初始化页面拿到 Server ID

登录 Confluence 容器，执行以下命令获取破解得 License

# docker compose exec -it confluence bash
root@81d2f5a8f7e5:/opt/confluence# java -jar /var/agent/atlassian-agent.jar -d -p conf -m Hello@world.com -n Hello@world.com  -o your-org -s B66H-ET1W-2LYR-Q7R2

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAABmA0ODAoPeJxtUVuPojAUfu+vINlnFKoLaNJkHWBWZwEZxbk8FjxII7akFBz21y8ik00mk/Sl5
7Tf9UdSNNoT5RrGmuEsZ3g5m2u/w0TDBraQK4EqJrhHFZDbRDdMHWPkt7Rshg3JaVkD8qDOJKuGy
YGX7MIUHLWSZcBr0NJOK5Sq6uV0+rdgJUyYQFt5opzVd5BONFIX8oQywfMJzRRrgSjZAHIFV/3dD
ykryRrKUvy6ClkeJ5m4oBF/TeuChO7VfXxczdPjayzCPG9e/NxN8dP845x4cbxeFc/VWwPTFrfRG
zarNGni0+HP+WotwmhFyJ16r6hUIEdXwyi4kyRdBRG9AHG3Yejv3M0qQL0oroBTnoH/UTHZjTk5C
92w+4PGvxuPBBtv70d6YNrWwrAN++fcdhy0B9mC7NcPlrXW/cR81XHwvtOf7R2+s/eI1AV+0zTkc
YbuBWR9C820jB7Jmc3MT57vRcSNzApaw9cSx/Q+4TDaN+n/Fge2QULUXFKQ2/xQ9y+JbqLeCPnGz
FjVENKXpv4BHKbJjjAtAhRlC24D9XOs3Z9LZwzE3PehVo5lhgIVAIaOykfNKCdhuAZn7PZsJR+qr
edbX02jn

命令参数说明：

-d 调试模式 必选，用于输出生成的许可证信息。

-m 电子邮箱 随便填 ，如 devops@example.com。

-n 用户名 随便填 ，如 Organization_Admin。

-p 产品标识 不可乱填 。Confluence 是 conf ，Jira 是 jira ，Bitbucket 是 bitbucket 。

-o 组织/URL 建议填你的访问地址，如 https://wiki.mysite.com 。

-s Server ID 核心参数。必须填 Web 页面上显示的那个 16 位代码 。

License 验证成功后，填写数据库连接信息并测试连接成功

Jira 初始化部署

浏览器访问 http://<IP>：8080 打开 Jira 初始化页面，在 Jira setup 中选择 I'll set it up myself 。因为后面要指定数据库信息，因此要选择自定义。

根据提示填入数据库连接信息，测试无误后，到 Specify your license key 页面，复制 Server ID

登入 jira 容器，使用以下命令为 Jira 生成 License

root@69487899ebea:/var/atlassian/application-data/jira# java -jar /var/atlassian/application-data/jira/atlassian-agent.jar -d -p jira -m Hello@world.com -n Hello@world.com  -o your-org -s BYTU-X57R-U6U3-LSIB

====================================================
=======     Atlassian Crack Agent v1.3.1     =======
=======           https://zhile.io           =======
=======          QQ Group: 30347511          =======
====================================================

Your license code(Don't copy this line!!!): 

AAAB5Q0ODAoPeJyNU9GSmjAUfecrmOkzboKuqDOZ6YpYmQW0onb7GPEK2SKhSdDFry8K2+6q43QmL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X02n3

注意其中的参数 -p jira

根据提示完成其他配置即可开始使用 Jira。

Confluence 迁移

部署好相同版本的 Confluence 和 PostgreSQL 环境，

在开始之前，请确保：

• 停止旧环境和新环境的 Confluence 容器，以保证数据一致性。
• 确认新环境的 PostgreSQL 13 已经启动，并创建了一个空的数据库（例如名为 confluence ）。

1. 迁移 PostgreSQL 数据库

   由于版本一致，直接使用 pg_dump 是最稳妥的方案。

   docker exec -t <旧数据库容器名> pg_dump -U <用户名> <数据库名> > confluence_db.sql

   先删除新环境中的数据库 confluence，再新建

   # psql -h <HOST> -U postgres -d postgres postgres=> \l List of databases Name | Owner | Encoding | Collate | Ctype | Access privileges ------------+----------+----------+-------------+-------------+----------------------- confluence | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | jira | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | postgres | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | rdsadmin | rdsadmin | UTF8 | en_US.UTF-8 | en_US.UTF-8 | rdsadmin=CTc/rdsadmin template0 | rdsadmin | UTF8 | en_US.UTF-8 | en_US.UTF-8 | =c/rdsadmin + | | | | | rdsadmin=CTc/rdsadmin template1 | postgres | UTF8 | en_US.UTF-8 | en_US.UTF-8 | =c/postgres + | | | | | postgres=CTc/postgres (6 rows) postgres=> DROP DATABASE confluence; DROP DATABASE postgres=> postgres=> CREATE DATABASE confluence; CREATE DATABASE

   然后导入备份数据，将 confluence_db.sql 拷贝到新服务器，然后执行：

   cat confluence_db.sql | docker exec -i <新数据库容器名> psql -U <用户名> -d <数据库名>

2. 迁移 Confluence Home 目录

   Confluence 的用户附件、索引、插件配置等都存储在 Home 目录下。进入旧服务器的映射目录，执行

   tar -zcvf confluence_home_backup.tar.gz /path/to/old/confluence_home

   将备份文件传输到新 Confluence 环境 Home 目录并解压

3. 修改配置文件（如果数据库连接变了）

   如果新环境的数据库 IP、端口或密码与旧环境不同，你需要修改新环境 Home 目录下的配置文件：

   文件路径： <confluence-home>/confluence.cfg.xml

迁移完成后，重启 Confluence，即可加载到旧环境中的数据。

常见问题

迁移后文档无法编辑

迁移完成后，Confluence 打开正常，数据已经恢复，但是编辑文档保存时报错： Something went wrong after loading the editor. Copy your unsaved changes and refresh the page to keep editing.

这个错误通常意味着 Confluence 协作编辑（Collaborative Editing） 服务出现了通讯故障。在 Confluence 9.0.2 中，这通常与 Synchrony（负责实时协作的组件）的配置或网络环境有关。

可以 刷新 Synchrony 状态 解决

1. 以管理员身份登录 Confluence。

2. 前往 管理 (Confluence administration) > 协作编辑 (Collaborative editing) 。

3. 点击 Change mode ，将其切换为 Disabled 。

4. 等待几秒钟后，重新切换回 Enabled 。

   这会重启 Synchrony 进程并清理过时的锁定状态。

RDS 创建流程

本示例以 PostgreSQL 为例

1. 创建子网组 (Subnet Group) 。RDS 需要在至少两个可用区（AZ）中运行。
   1. 进入 Aurora and RDS 控制台 -> Subnet groups -> Create DB subnet group
   2. 选择你的 VPC，并添加该 VPC 下位于不同 AZ 的子网。
2. 创建安全组 (Security Group)
   1. 创建一个名为 rds-ops-sg 的安全组。
   2. 入站规则： 允许来自客户端流量访问 5432 端口（不要暴露给 0.0.0.0/0 ）。
3. 启动 PostgreSQL 实例
   1. 在 Aurora and RDS 控制台 -> Databases -> Create database
   2. Engine options -> Engine type 选择 PostgreSQL
   3. Templates 生产环境选 Production ，测试选 Dev/Test
   4. Availability and durability 根据需求和场景选择数据库实例的可用性
   5. 设置 DB instance identifier（实例名）、Master username（管理员账户用户名） 等信息
   6. Instance configuration（运行实例配置） ，选择数据库实例运行的环境
   7. Connectivity（连接） ，设置 VPC（配置后不可更改）。 Public access（公网访问） 决定数据库实例是否可以在公网中访问，设置后可更改。
4. PostgreSQL 实例启动成功后，即可通过 Endpoint & port 连接实例。

AWS OpenSearch 是一个完全开源的搜索和分析引擎，用于日志分析、实时应用程序监控和点击流分析等用例。

AWS OpenSearch（AOS） 和 Elasticsearch 对比

原本是同一个项目

2021 年因授权问题分叉

👉 7.10 是最后一个纯开源 Elasticsearch 版本
之后 AWS fork 出：

🔹 OpenSearch

而原厂继续发展：

🔹 Elasticsearch

在 AWS 上，Amazon 托管服务默认是 OpenSearch。

创建 OpenSearch 域 (AOS)

• AWS OpenSearch Service Version： v 3.3.0

OpenSearch 服务域是 OpenSearch 集群的同义词.域是包含您指定的设置、实例类型、实例计数和存储资源的集群。
登录控制台：前往 Amazon OpenSearch Service。 Domains -> Create domain 。

• 填写 域（Domain）名称
• 选择 标准创建
• 选择实例类型和数量
• 网络选项包含 2 种，创建集群后不能再变更：
  • VPC 访问，此中方式创建的 Domain 只支持 VPC 内部访问，不支持互联网公开访问，如果要互联网访问，可以通过在 VPC 内部使用 Nginx 代理。
  • 公开访问权限，允许互联网访问

使用 公开访问权限 部署的 AOS，可以直接使用 OpenSearch 控制面板 URL 在互联网访问。如果要控制访问，可以使用以下方法：

• 修改 集群访问策略 (Access Policy)

  1. 进入 Amazon OpenSearch Service 控制台，点击进入你的 Domain (网域) 。
  2. 点击 Security configuration (安全配置) 选项卡。
  3. 滚动到 Access policy (访问策略) 部分。
  4. 在 JSON 编辑框中，添加基于 IpAddress 的 Condition 。

     { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "es:*", "Resource": "arn:aws:es:ap-southeast-1:你的账号ID:domain/你的域/*", "Condition": { "IpAddress": { "aws:SourceIp": [ "1.2.3.4/32", // 你办公室的公网出口 IP "5.6.7.8/32" // EKS 节点的公网出口 IP (NAT Gateway EIP) ] } } } ] }

EKS 集群特性总结

• 节点的 IP 地址（EXTERNAL-IP 和 INTERNAL-IP）不固定，会变化。特别是在自治模式中，节点被视为 临时资源（Ephemeral） ，可能会频繁地进行节点池优化。

  如果集群需要固定的出口 IP，最推荐，最标准的做法是 使用 NAT 网关 ，将 EKS 节点部署在私有子网中，所有访问外部网络的流量都会经过 NAT 网关

通过 AWS 管理控制台部署 EKS 集群

• Kubernetes 版本： v1.35

本示例中使用 EKS 自治模式（EKS Auto Mode）

EKS 自治模式 接管了原本需要手动管理的节点、存储和网络配置，因此它需要一组非常具体且强大的权限

EKS 自治模式 有额外的费用，大概比 EC2 价格高 12%

EKS 自治模式 在集群创建完成后可修改（编辑）为非自治模式

EKS 自治模式 中的 Worker Nodes 配置 不能在控制台修改参数、不能自定义 ，具体的配置可以通过 API 接口查看 nodepool 资源

# kubectl describe nodepool general-purpose Name: general-purpose Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: karpenter.sh/nodepool-hash: 4012513481623584108 karpenter.sh/nodepool-hash-version: v3 API Version: karpenter.sh/v1 Kind: NodePool Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Generation: 1 Resource Version: 784637 UID: e85261b9-3a4b-41b0-ac5... Spec: Disruption: Budgets: Nodes: 10% # 这是一个安全阀。在同一时间内，由于缩容或更新导致的节点离线比例不能超过 10%。这保证了你的集群不会因为自动优化而导致业务大面积中断。 Consolidate After: 30s # 节点达到上述状态 30 秒后，EKS 就会考虑将其关闭，并把上面的 Pod 迁移到更划算的节点上。 Consolidation Policy: WhenEmptyOrUnderutilized # 当节点变为空闲（没有 Pod）或者利用率较低（比如一个大节点只跑了一个小 Pod）时，EKS 会自动触发节点合并。 limits: # 资源限制 cpu: "1000" memory: 1000Gi Template: Metadata: Spec: Expire After: 336h # 节点的最大“寿命”是 14 天（336 小时），强制节点定期更换，以确保所有节点都运行在最新的安全补丁和 Bottlerocket 镜像上，防止出现长期未重启的“僵尸节点”。 Node Class Ref: # nodeclass 信息，可通过 kubectl get nodeclass 查看 Group: eks.amazonaws.com Kind: NodeClass Name: default Requirements: # 节点选择标准 (Requirements) Key: karpenter.sh/capacity-type # 实例类型，on-demand 为 按需实例 Operator: In Values: on-demand Key: eks.amazonaws.com/instance-category # 限定了实例系列 c: 计算优化型（适合高并发）； m: 通用型（平衡 CPU 和内存）； r: 内存优化型（适合数据库或缓存）。 Operator: In Values: c m r Key: eks.amazonaws.com/instance-generation # 只使用 4 代以后的机型（如 c5, m6i 等）。这确保了节点拥有较新的硬件特性和性能。 Operator: Gt Values: 4 Key: kubernetes.io/arch # CPU 架构。如果你想尝试性价比更高的 ARM 架构（Graviton），需要在这里添加 arm64 Operator: In Values: amd64 Key: kubernetes.io/os # 节点操作系统（OS）类型 Operator: In Values: linux Termination Grace Period: 24h0m0s

EKS 自治模式限制资源上限 编辑 NodePool，修改 spec.limits.cpu 和 spec.limits.memory 。这决定了该池子最多能“烧”掉多少 EC2 资源。

强制回收节点 ： 如果你想让 EKS 重新平衡节点（例如你更改了实例限制），可以手动删除节点，Auto Mode 会自动根据 Pod 需求拉起符合新规的新节点

kubectl delete node <node-name>

同时要关注 nodeclass 资源，其中定义了 子网（Subnet）和安全组（Security Group）等信息

# kubectl get nodeclass NAME ROLE READY AGE default eksNodeRole True 44h # kubectl describe nodeclass default Name: default Namespace: Labels: app.kubernetes.io/managed-by=eks Annotations: eks.amazonaws.com/nodeclass-hash: 13740036326424352917 eks.amazonaws.com/nodeclass-hash-version: v2 API Version: eks.amazonaws.com/v1 Kind: NodeClass Metadata: Creation Timestamp: 2026-02-06T09:38:18Z Finalizers: eks.amazonaws.com/termination Generation: 2 Resource Version: 827607 UID: 5065b0f3-3795-4347-893a-338ae6fa882d Spec: Ephemeral Storage: Iops: 3000 Size: 80Gi Throughput: 125 Network Policy: DefaultAllow Network Policy Event Logs: Disabled Role: eksNodeRole Security Group Selector Terms: Id: sg-058bd1ef... Snat Policy: Random Subnet Selector Terms: Id: subnet-07963d9b... Id: subnet-0e359aac... Id: subnet-0e76c601...

环境信息

• Centos-7 3.10.0-1062.9.1
• Docker 19.03.15
• containerd.io-1.4.13
• kubectl-1.25.0
• kubeadm-1.25.0
• kubelet-1.25.0

kubectl 常用命令汇总

查询命令汇总

kubectl get nodes -o wide

kubectl get pods -A -o wide

kubectl get deployments -A -o wide

kubectl get daemonsets -A -o wide

kubectl get replicasets -A -o wide

kubectl get services -A -o wide

kubectl get endpointslices -A -o wide

kubectl get ingresses -A -o wide

kubectl get ingressclass -A -o wide

kubectl get deployments,replicasets,pods,services,endpointslices,ingresses

kubectl get configmaps -A

kubectl get storageclasses -o wide

kubectl get pv -o wide

kubectl get pvc -o wide

kubectl get pods -l app=nginx,env=prod

# 查看过往相关所有事件，在排查 Pod 重启原因时非常有用
kubectl get events -n default --sort-by='.metadata.creationTimestamp'    

删除命令汇总

kubectl delete service -n <namespace> <name>

kubectl delete ingress -n <namespace> <name>

kubeadm 常用命令

kubeadm 命令官方参考文档

创建集群

kubeadm init --pod-network-cidr=10.244.0.0/16 --cri-socket=unix:///var/run/cri-dockerd.sock

添加节点到集群

kubeadm join 172.31.10.19:6443 --token 8ca35s.butdpihinkdczvqb --discovery-token-ca-cert-hash sha256:b2793f9a6bea44a64640f99042f11c4ff6 \ 
        --cri-socket=unix:///var/run/cri-dockerd.sock

其中的 token 可以在 master 上使用以下命令查看

$ kubeadm token list
TOKEN                     TTL         EXPIRES                USAGES                   DESCRIPTION                                                EXTRA GROUPS
8ca35s.butdpihinkdczvqb   19h         2022-09-14T02:54:55Z   authentication,signing   The default bootstrap token generated by 'kubeadm init'.   system:bootstrappers:kubeadm:default-node-token

默认情况下，令牌会在 24 小时后过期。如果要在当前令牌过期后将节点加入集群， 则可以通过在控制平面节点上运行以下命令来创建新令牌：

kubeadm token create

如果你没有 --discovery-token-ca-cert-hash 的值，则可以通过在控制平面节点上执行以下命令链来获取它^[1]：

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | \
   openssl dgst -sha256 -hex | sed 's/^.* //'

版本信息

• Centos-7 3.10.0-1160
• Docker Engine 19.03.15
• jenkinsci/blueocean Jenkins 2.346.3

安装步骤

下载镜像

官方镜像仓库 中搜索 jenkinsci/blueocean，下载最新镜像

docker pull jenkinsci/blueocean

启动 jenkins 容器

创建数据目录

mkdir /data/JenkinsData_blueocean
chmod 777 /data/JenkinsData_blueocean

启动 jenkins 容器

docker run -d -p 8080:8080 --name jenkins \
          -v /var/run/docker.sock:/var/run/docker.sock  \
          -v /data/JenkinsData_blueocean/:/var/jenkins_home/ \
          -u root \
          jenkinsci/blueocean

• -v /var/run/docker.sock:/var/run/docker.sock - 在需要使用 Jenkins 构建 Docker 镜像时，Jenkins 容器中的 docker 客户端需要连接到宿主机的 Docker server
• -v /data/JenkinsData_blueocean/:/var/jenkins_home/ - 数据持久化到宿主机目录
• -u root - 容器中使用 root 用户运行，要使用 Jenkins 构建 Docker 镜像时，默认的 jenkins 用户无权限访问 /var/run/docker.sock

ArgoCD 是目前 Kubernetes 生态中最流行的 GitOps 持续交付（CD）工具。它的核心理念是将 Git 仓库视为集群状态的“唯一真理来源”。

ArgoCD 的核心工作原理 ：

• 声明式管理 ：你不在集群里手动运行 kubectl ，而是将所有的资源清单（YAML、Helm、Kustomize）存放在 Git 中管理。
• 同步与漂移检测 ：ArgoCD 会持续监控 Git 仓库和 EKS 集群。如果两者状态不一致（即发生“漂移”），它会报警或自动将集群恢复到 Git 定义的状态。

在 Kubernetes 集群中安装 ArgoCD

# kubectl create namespace argocd
namespace/argocd created

# kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml --server-side
customresourcedefinition.apiextensions.k8s.io/applications.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/applicationsets.argoproj.io serverside-applied
customresourcedefinition.apiextensions.k8s.io/appprojects.argoproj.io serverside-applied
serviceaccount/argocd-application-controller serverside-applied
serviceaccount/argocd-applicationset-controller serverside-applied
serviceaccount/argocd-dex-server serverside-applied
serviceaccount/argocd-notifications-controller serverside-applied
serviceaccount/argocd-redis serverside-applied
serviceaccount/argocd-repo-server serverside-applied
serviceaccount/argocd-server serverside-applied
role.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
role.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
role.rbac.authorization.k8s.io/argocd-redis serverside-applied
role.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrole.rbac.authorization.k8s.io/argocd-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-dex-server serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-notifications-controller serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-redis serverside-applied
rolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-application-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-applicationset-controller serverside-applied
clusterrolebinding.rbac.authorization.k8s.io/argocd-server serverside-applied
configmap/argocd-cm serverside-applied
configmap/argocd-cmd-params-cm serverside-applied
configmap/argocd-gpg-keys-cm serverside-applied
configmap/argocd-notifications-cm serverside-applied
configmap/argocd-rbac-cm serverside-applied
configmap/argocd-ssh-known-hosts-cm serverside-applied
configmap/argocd-tls-certs-cm serverside-applied
secret/argocd-notifications-secret serverside-applied
secret/argocd-secret serverside-applied
service/argocd-applicationset-controller serverside-applied
service/argocd-dex-server serverside-applied
service/argocd-metrics serverside-applied
service/argocd-notifications-controller-metrics serverside-applied
service/argocd-redis serverside-applied
service/argocd-repo-server serverside-applied
service/argocd-server serverside-applied
service/argocd-server-metrics serverside-applied
deployment.apps/argocd-applicationset-controller serverside-applied
deployment.apps/argocd-dex-server serverside-applied
deployment.apps/argocd-notifications-controller serverside-applied
deployment.apps/argocd-redis serverside-applied
deployment.apps/argocd-repo-server serverside-applied
deployment.apps/argocd-server serverside-applied
statefulset.apps/argocd-application-controller serverside-applied
networkpolicy.networking.k8s.io/argocd-application-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-applicationset-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-dex-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-notifications-controller-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-redis-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-repo-server-network-policy serverside-applied
networkpolicy.networking.k8s.io/argocd-server-network-policy serverside-applied

• --server-side 选项用于解决可能的报错： The CustomResourceDefinition "applicationsets.argoproj.io" is invalid: metadata.annotations: Too long: may not be more than 262144 bytes

等待 ArgoCD 相关 Pod 运行正常

# kubectl get pods -n argocd
NAME                                               READY   STATUS    RESTARTS        AGE
argocd-application-controller-0                    1/1     Running   0               6m11s
argocd-applicationset-controller-77475dfcf-qzvsf   1/1     Running   1 (3m47s ago)   6m15s
argocd-dex-server-6485c5ddf5-4ms4f                 1/1     Running   0               6m14s
argocd-notifications-controller-758f795776-4n5rb   1/1     Running   0               6m14s
argocd-redis-6cc4bb5db5-svpwm                      1/1     Running   0               6m13s
argocd-repo-server-c76cf57cd-pv8sb                 1/1     Running   0               6m12s
argocd-server-6f85b59c87-zhmqh                     1/1     Running   0               6m12s

创建 Ingress 对外开放 ArgoCD UI，本示例中 IngressClass 为 AWS alb

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: argocd
  namespace: argocd
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip

spec:
  ingressClassName: alb
  rules:
  - host: argocd.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: argocd-server
            port:
              number: 80

创建并检查 Ingress

# kubectl apply -f argocd_ingress.yml 
ingress.networking.k8s.io/argocd configured

# kubectl get ingresses -A
NAMESPACE   NAME     CLASS   HOSTS                ADDRESS                                               PORTS   AGE
argocd      argocd   alb     argocd.example.com   k8s-argocd-argocd-8e8cb.ap-east-1.elb.amazonaws.com   80      8m22s

ArgoCD Pod 强制开启了 TLS (HTTPS)，而 ALB 却在使用 HTTP 进行健康检查。会因为健康检查失败无法访问

在集群中的 Pod 中尝试请求 argocd-server Pod 的地址，可以看到默认返回了重定向到 HTTPS 的响应，ALB 会因为证书问题对 Pod 健康检查失败

# curl -Iv 172.31.68.215:8080
> HEAD / HTTP/1.1
> Host: 172.31.68.215:8080
> User-Agent: curl/8.18.0
> Accept: */*
> 

HTTP/1.1 307 Temporary Redirect
Location: https://172.31.68.215:8080/

可以配置 ArgoCD 接受 HTTP 协议请求。 修改 ArgoCD Server 启动参数 ，执行命令 kubectl edit deployment argocd-server -n argocd 编辑 argocd-server 的 Deployment，在启动命令（ command ）中添加 --insecure 参数。

containers:
- args:
  - /usr/local/bin/argocd-server
  - --insecure

修改后等待 Pod 自动重启

$ kubectl get pods -A
NAMESPACE     NAME                                               READY   STATUS    RESTARTS   AGE
argocd        argocd-server-6ff754765c-pt5z6                     0/1     Running   0          18s

再次观察 ALB 的 Target 健康检查状态

ArgeCD 可以正常访问后，执行以下命令获取初始 admin 账户的密码

kubectl get secret argocd-initial-admin-secret -n argocd -o jsonpath="{.data.password}" | base64 -d

Grafana 是一款用 GO 语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能。

基础概念

组织(Organization) 与用户(User)

Organization 相当于一个 Namespace，一个 Organization 完全独立于另一个 Organization，包括 datasource、dashboard 等，创建一个 Organization 就相当于打开了一个全新的视图，所有的 datasource、dashboard 等都需要重新创建。一个用户(User) 可以属于多个 Organization。

User 是 Grafana 里面的用户，用户可以有以下 角色

• admin - 管理员权限，可以执行任何操作。
• editor - p不可以创建用户、不可以新增 Datasource、可以创建 Dashboard**
• viewer - 仅可以查看 Dashboard
• read only editor - 允许用户修改 Dashboard，但是 不允许保存

数据源 Datasource

Grafana 中操作的数据集、可视化数据的来源

Dashboard

在 Dashboard 页面中，可以组织可视化数据图表。

• Panel - 在一个 Dashboard 中，Panel 是最基本的可视化单元。通过 Panel 的 Query Editor 可以为每一个 Panel 添加查询的数据源以及数据查询方式。每一个 Panel 都是独立的，可以选择一种或者多种数据源进行查询。一个 Panel 中可以有多个 Query Editor 来汇聚多个可视化数据集
• Row - 在 Dashboard 中，可以定义一个 Row，来组织和管理一组相关的 Panel

Variables

在 Dashboard 的设置页面中，有 Variables 页面，在其中可以为 Dashboard 配置变量，之后可以在 Panel 的 Query Editor 中使用这些预定义的变量。变量的值也可以是通过表达式获取的值。也可以在 Panel 的标题中使用变量

例如以下 Variables 配置

Node    label_values(kubernetes_io_hostname)

在 Dashboard 中定义了这些变量后，可以在 Panel 的 Query Editor 中使用，在 Query Editor 中使用了 Variables 中定义的变量后，在 Dashboard 的顶部下拉菜单中可以选择预定义的变量的值（需要在定义 Variables 时配置 Show on dashboard 为 Label and Value 以使在 Dashboard 顶部显示下拉菜单），Panel 中的 Query 表达式就会使用这些变量的值进行计算以及显示图表。

简单来说，Amazon CloudWatch 是 AWS 的全家桶级监控和观察平台。是一个用于收集、监控、分析和响应 AWS 资源及应用程序运行数据的托管服务。无论你的代码运行在虚拟机（EC2）、容器（ECS/EKS）还是无服务器环境（Lambda）中，它都能提供实时的数据洞察。

CloudWatch 的功能可以概括为以下四大支柱：

• 指标 (Metrics)

  • 概念 ：指标是反映系统性能的时间序列数据（如 CPU 利用率、磁盘读写、网络流量）。

  • AWS 指标 ：大多数 AWS 服务会自动向 CloudWatch 发送免费的基础指标。

  • 自定义指标 ：你可以推送自己应用的特定数据（如：每分钟下单量）。

    要查看所需服务（如 EC2）的 CloudWatch 监控指标（Metrics），只需要在 CloudWatch 控制面板中选择对应的服务即可
    

• 日志 (Logs)

  • 集中化管理 ：收集来自 EC2 实例、Lambda 函数、CloudTrail 或其他来源的日志文件。

  • 日志分析 (Logs Insights) ：支持类 SQL 语法的快速查询，几秒钟内就能从 GB 级别的日志中找出特定的错误代码。

• 报警 (Alarms)

  • 阈值触发 ：设定一个界限（例如：CPU > 80% 持续 5 分钟），达到时触发操作。

  • 自动化响应 ：报警可以发送通知（通过 SNS 邮件/短信），或者执行自动操作（如：Auto Scaling 自动增加机器，或者重启故障实例）。

    要创建报警（Alarms），在 CloudWatch 控制面板左侧点击 报警 (Alarms) -> 创建报警（Create Alarm） ，根据提示 选择指标（Select Metric） ， 配置 触发条件（Conditions） ， 配置 动作（Actions） 可以发送通知（Notification）或者执行脚本、自动扩容等。

• 事件 (Events / EventBridge)

  • 状态监听 ：监听 AWS 资源的状态变更。

  • 定时任务 ：相当于云端的 crontab ，可以定时触发某个 Lambda 函数或脚本。

CloudWatch 默认提供了很多 Dashboard，也可以自定义自己喜欢的仪表盘（Create Dashboard）

AWS 里 安全组（Security Group, SG）不是“防火墙规则表”，而是一套 关系型访问控制架构

安全组是在 网络接口 (ENI) 级别运行的，而不是在子网级别。这意味着即使两个实例在同一个子网内，如果它们的安全组规则不允许通信，它们也无法互相访问。

AWS 安全组（Security Group, SG）有以下关键特性

安全组可以绑定到：

• EC2 实例

• ENI（弹性网卡）

• ALB / NLB

• RDS

• EKS Pod（通过 ENI / SG for Pod）

• 📌 一个资源可以绑多个 SG，多个 SG 规则没有顺序概念

• 📌 一个 SG 也可以被多个资源复用

引用安全组作为源（Security Group Referencing）

这是 AWS 架构设计中最优雅的功能之一。在设置规则时，源（Source）不仅可以是 IP 地址（如 10.0.0.5/32），还可以是 另一个安全组 ID 。典型场景如下：

• 场景 ：Web 层服务器需要访问数据库层。为 Web 层服务器创建一个安全组，如 sg-web-servers

• 做法 ：在数据库安全组中添加规则：允许来自安全组 sg-web-servers 的 3306 端口访问。

• 好处 ：当 Web 层实例由于自动缩容（Auto Scaling）增加或减少时，你不需要手动更新 IP 地址列表，权限会自动随安全组标签流转。不关心 IP 变化，不关心实例扩缩容，只关心 角色之间的通信关系

如上图所示，在每个数据中心部署单独的 Prometheus Server，用于采集当前数据中心监控数据。并由一个中心的 Prometheus Server 负责聚合多个数据中心的监控数据。这一特性在 Promthues 中称为 Federation (联邦集群）。

Prometheus Federation (联邦集群)的核心在于每一个 Prometheus Server 都包含一个用于获取当前实例中监控样本的接口 /federate。对于中心 Prometheus Server 而言，无论是从其他的 Prometheus 实例还是 Exporter 实例中获取数据实际上并没有任何差异。

以下配置示例在中心 Prometheus Server 配置其抓取其他 Prometheus Server 的指标，必须至少有一个 match 配置，以指定要抓取的目标 Prometheus Server 的 Job 名称，可以使用正则表达式匹配抓取任务

scrape_configs:
  - job_name: 'federate'
    scrape_interval: 15s
    honor_labels: true    # 保留 Leaf 上抓取的指标的标签
    honor_timestamps: false  # 强制使用 Master 的当前时间，防止时间差导致无法抓取指标
    metrics_path: '/federate'
    params:
      'match[]':
        - '{__name__=~".+"}'     # 抓取所有指标
    static_configs:
      - targets:
        - '192.168.77.11:9090'
        - '192.168.77.12:9090'

__name__ 是 Prometheus 特殊的预定义标签，表示指标的名称
使用以下配置采集目标 Prometheus Server 的所有指标

params: 'match[]': - '{job=~".+"}'

Master Prometheus 的 Explorer（Web）中不会出现 Leaf 抓取的 Target，可以使用具体的指标如 up 等检查是否抓取到了数据

Master prometheus 上面测试 match 是否能抓取指标：

# curl -G 'http://43.13.23.59:9090/federate' --data-urlencode 'match[]={__name__=~".+"}' | tail

scrape_series_added{Project="CDN",instance="110.120.64.15:9100",job="cdn_node_exporter"} 0 1770621129341
scrape_series_added{Project="CDN",instance="110.120.0.7:9100",job="cdn_node_exporter"} 0 1770621132594
# TYPE up untyped
up{Project="CDN",instance="110.120.64.6:9100",job="cdn_node_exporter"} 1 1770621137089
up{Project="CDN",instance="localhost:9100",job="cdn_node_exporter"} 0 1770621124836
up{Project="CDN",instance="110.120.64.17:9100",job="cdn_node_exporter"} 1 1770621132241

AWS 虚拟私有云 VPC

在进入具体的网络配置前，必须理解 AWS 的地理隔离：

• 区域 (Region) ：地理上的独立区域（如新加坡、弗吉尼亚）。区域之间完全隔离。

• 可用区 (Availability Zone, AZ) ：一个区域内由多个物理机房组成。AZ 之间通过高速、低延迟光纤连接。高可用架构必须跨 AZ 部署。跨 AZ 之间的流量需要付费。

VPC 是你在 AWS 云中的逻辑隔离网络。你可以完全控制其 IP 地址范围、子网、路由表和网络网关。

核心组件：

• CIDR 范围 ：你为 VPC 定义的私有 IP 地址块（如 10.0.0.0/16 ）。

• 子网 (Subnets) ：将 VPC 划分为更小的网段。子网必须位于特定的可用区内。

• 公有子网 (Public Subnet) ：路由指向互联网网关 (IGW)，实例可以有公网 IP。

• 私有子网 (Private Subnet) ：没有指向 IGW 的直接路由，通常通过 NAT 网关 访问外网 。

公有子网 和 私有子网 在配置上几乎一摸一样，唯一区别在于： 该子网关联的路由表（Route Table）中默认路由（0.0.0.0/0）是如何配置的。

• 公有子网 (Public Subnet) 其路由表中默认路由（0.0.0.0/0）指向 互联网网关 (Internet Gateway, ID 格式通常为 igw-xxxxxx) 。由于它直接连接到互联网大门，且子网内的实例拥有公网 IP，因此外部用户可以主动访问它，它也可以直接访问外部。
• 私有子网 (Private Subnet) 其路由表中默认路由（0.0.0.0/0）指向 NAT 网关 (NAT Gateway, ID 格式通常为 nat-xxxxxx)，或者干脆没有任何去往外网的路由 。它没有直通互联网的大门。它通过 NAT 网关（单向出口）实现“能出不能进”的效果。
  下图所示子网为 公有子网
  
  

• 路由表（Route Tables） 分为主路由表和自定义路由表
  • 主路由表（Main route table） 随 VPC 自动生成，它控制未与任何其他路由表显式关联的所有子网的路由，也就是 VPC 中的默认路由。
  • 自定义路由表 为新建的路由表。
  • 一个子网只能关联一个路由表，一个路由表可以关联多个子网

流量如何进出

VPC 与外界互联网通信可以使用以下方式：

部署 NAT Gateway 网关并关联子网

通过 NAT Gateway 可以实现子网中的实例的对外互联网出口 IP 都是 NAT Gateway 绑定的 EIP，子网中的实例对互联网不可见。NAT Gateway 典型使用场景：

• 为了安全，生产环境通常将 EKS 工作节点、RDS 数据库 或 缓存服务器（Redis） 放在私有子网中，这些资源不需要（也不应该）被互联网直接访问。
• 应用需要调用外部服务（如支付网关、银行接口或第三方 API）时，对方的防火墙通常需要你提供一个白名单 IP。由于 EKS 节点是动态变化的，IP 并不固定。
• 减少受攻击面，防止外部扫描。

以下为创建 NAT Gateway 并关联子网的相关步骤：

VPC
├── Public Subnet
│   ├── NAT Gateway（有 EIP）
│   └── Route Table (Public RT)
│       └── 0.0.0.0/0 → Internet Gateway
│
└── Private Subnet
    ├── EC2 / ECS / EKS Node
    └── Route Table (Private RT)
        └── 0.0.0.0/0 → NAT Gateway

关键点：

• NAT Gateway 必须在公有子网
• 私有子网的默认路由指向 NAT Gateway

1. 确认 Public Subnet 存在

   VPC 默认的 Main Route Table 已经满足这个条件，其默认网关为 Internet Gateway
   

2. 创建 NAT Gateway

   在 NAT gateways 标签页面中，点击 Create NAT gateway ， Connectivity type 选择 Public ， Elastic IP (EIP) association 选择 手动分配 EIP（Manual）
   
   创建完成后，状态应为 Available 。在路由表（Route Tables）中，这时会多一个路由表，其 Edge associations（边缘关联） 关联到了刚刚创建的 NAT Gateway
   

3. 创建一个新的子网（私有、Private Subnet）

   在 VPC → Subnets → Create subnet 标签页面中创建新的子网， 不要勾选 Auto-assign public IPv4 ，如此处于此子网中的实例，不会为其分配公网地址
   

4. 创建 Private Route Table

   在 VPC → Route tables → Create route table 标签页面中创建新的路由表，本示例名为 private-rt

5. 配置路由规则

   选择刚刚创建的新路由表 private-rt，在 Routes 中 编辑路由（Edit Routes） ，添加一条路由规则：

   | Destination | Target | | ----------- | --------------- | | 0.0.0.0/0 | NAT Gateway |

   

6. 关联 Private Subnet

   选择刚刚创建的新路由表 private-rt，在 Subnet associations(子网关联) 中 Edit subnet associations（编辑子网关联） ，选择目标子网进行关联
   

7. 最终的 VPC 整体路由可以在 VPC 的 Resource map 中进行检查
   

环境信息

• Centos 7.9.2009
• docker-ce-19.03.15
• docker-20.10.9

Docker 安装

yum 安装 docker

安装 yum 源，docker官方 centos 安装文档

yum install -y yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

安装 docker

yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin

yum 离线安装 docker

参考链接下载rpm安装包

wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

安装 docker

yum localinstall -y containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    docker-ce-19.03.15-3.el7.x86_64.rpm \
                    docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

以上 2 条命令可以使用以下 1 条命令完成

yum localinstall -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

Docker 26 安装，适用于 Centos 8、Rocky Linux 8 等

yum localinstall -y https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-ce-26.1.3-1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-ce-cli-26.1.3-1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/containerd.io-1.6.32-3.1.el8.x86_64.rpm https://download.docker.com/linux/centos/8/x86_64/stable/Packages/docker-compose-plugin-2.6.0-3.el8.x86_64.rpm

启动docker

systemctl enable docker --now

安装

安装步骤

安装完成之后使用 gitlab-ctl reconfigure 启动服务
访问页面，默认使用 root 登录
每次重新更改配置，都需要使用 reconfigure 重新启动

环境信息

• Centos 7
• Prometheus Server 2.4
• Node Exporter v1.4.0
• Grafana v9.2.5

安装

在 Docker 中安装 Prometheus Server

创建 Prometheus Server 配置文件，如 /root/prometheus/prometheus.yml，内容如下 ^[1]

# my global config
global:
  scrape_interval:     15s # Set the scrape interval to every 15 seconds. Default is every 1 minute.
  evaluation_interval: 15s # Evaluate rules every 15 seconds. The default is every 1 minute.
  # scrape_timeout is set to the global default (10s).

# Alertmanager configuration
alerting:
  alertmanagers:
  - static_configs:
    - targets:
      # - alertmanager:9093

# Load rules once and periodically evaluate them according to the global 'evaluation_interval'.
rule_files:
  # - "first_rules.yml"
  # - "second_rules.yml"

# A scrape configuration containing exactly one endpoint to scrape:
# Here it's Prometheus itself.
scrape_configs:
  # The job name is added as a label `job=<job_name>` to any timeseries scraped from this config.
  - job_name: 'prometheus'

    # metrics_path defaults to '/metrics'
    # scheme defaults to 'http'.

    static_configs:
    - targets: ['localhost:9090']

使用 Docker 启动时挂载此文件，作为 Prometheus Server 的配置文件，之后需要修改配置，可以直接修改此文件。

docker run -d -p 9090:9090 \
           --name prometheus \
           -v /root/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml \
           prom/prometheus

启动后，可以通过 $Prometheus_IP:9090 访问 Prometheus Server UI

地火明夷

火泽睽，内（下）兑（泽、口、悦）外（上）离（火、附丽、文明），上火下泽，两相乖离，相违不相济，水火不容，相互矛盾。睽，乖异、不同、不合、背离、矛盾之卦。

睽，小事吉。

彖曰：睽，火动而上，泽动而下。二女同居，其志不同行。悦而丽乎明，柔进而上行，得中而应乎刚。是以小事吉。天地睽而其事同也；男女睽而其志通也；万物睽而其事类也。睽之时用大矣哉！

象曰：上火下泽，睽。君子以同而异。

• 睽，小事吉 ： 睽，乖离、背离、相互违背（矛盾）的时期，应当处理小事或循序渐进，不宜图谋大事或者动作太大。因为情势复杂、有分歧，大事难以成功，宜从小处着手，反而吉。
• 睽，火动而上，泽动而下，二女同居，其志不同行 ： 离为火为中女，动而向上；兑为泽为少女，动而向下，志不同，故上下背离、不合。
• 悦而丽乎明，柔进而上行，得中而应乎刚。是以小事吉 ： 兑为泽为悦、离为火为（附）丽为（文）明，六五为卦主，得中而正应九二。睽为火上泽下，相互背离、矛盾，但仍有内悦而附丽乎明、内外（上下）相应合，异中存同，故小事吉。
• 天地睽而其事同也；男女睽而其志通也；万物睽而其事类也 ： 天地上下动静有异，但其化生万物、滋养万物之志同；男女有别，但其组件家庭、孕育子嗣之志同；万物各异，各有同类。睽并非绝对，而是异中有同、分中见合。君子要在求同的基础上保持差异，在尊重差异的前提下寻求共识

初九

悔亡，丧马勿逐，自复。见恶人，无咎。

象曰：见恶人，以辟咎也。

• 丧马勿逐，自复 ： 马，乾之象，象征刚健之行。处于睽卦中，有背离、不合，行动可能会受到牵制、掣肘，不宜盲目追逐。自复强调应顺应睽异之势，待时势流转。
• 见恶人 ： 恶人可指与己情睽、意见相左、立场相反之人。见恶人，要正视睽异，睽中有合、异中有同，不逃避或盲目对立，才能化解或求同存异。

初九阳刚处兑之下，睽之始，背道而驰之势方起。位卑而无应，本有“悔”；然刚而得正，能自守不躁，丧马勿逐，故“悔亡”。

古人注解 ：

• 王弼

  丧马自复，不必逐也。

• 程颐

  见恶人而远之，则无咎。

• 睽乖之世，不可求也。

九二

遇主于巷，无咎。

象曰：遇主于巷，未失道也。

• 遇主于巷 ： 遇，逢也、不期而会曰遇，象征睽中有合、异中有同。巷，小路、便道，与大道相对，象征权变、委曲。主，指卦主六五，与九二正应，二为臣位，五为君位，主臣睽隔，故巷遇。得中且应，虽行权而未失正，故无害。

古人注解 ：

• 王弼

  中正而应，虽睽不失。

• 程颐

  世睽，人散，惟中正者，乃能遇其主。

• 巷者，穷途也。能遇其主，是未失道也。

六三

见舆曳，其牛掣，其人天且劓。无初有终。

象曰：见舆曳，位不当也；无初有终，遇刚也。

• 见舆曳，其牛掣，其人天且劓。无始有终 ： 舆，车厢、车子、大车。曳，后拖、拖拽、牵引。掣，掣肘、牵制。天，黥也，凿其额以墨涅之，即在额头刺字。劓，割鼻之刑。车被拖住，拉车的牛被掣肘，行进困难，车夫受两重肉刑，面目毁败。开端极糟，几乎无立足之地；然六三终与上九为正应，睽极必合，故“有终”。

六三阴居阳位，处兑体之终，下乘九二、上承九四，前后皆刚，位既不当，才弱志又欲进，于是“睽”之极变，显出乖离、掣肘、刑伤之象。终与上九之刚相应，得阳刚接引，故“无初有终”。

古人注解 ：

• 王弼

  处睽之极，故多碍。

• 程颐

  始虽甚困，得刚而终有济。

• 刑罚之象，以明其困。

九四

睽孤，遇元夫。交孚，厉，无咎。

象曰：交孚无咎，志行也。

地火明夷

风火家人，内（下）离（火、附丽、文明）外（上）巽（风、顺），家人，内也；（火泽）睽，外也。家人卦核心为正家。

家人，利女贞。

彖曰：家人，女正位乎内，男正位乎外。男女正，天地之大义也。家人有严君焉，父母之谓也。父父、子子、兄兄、弟弟、夫夫、妇妇，而家道正，正家而天下定矣。

象曰：风自火出，家人。君子以言有物而行有恒。

• 家人，女正位乎内，男正位乎外 ： 六二阴柔中正于内，九五阳刚中正于外。

初九

闲有家，悔亡

象曰：闲有家，志未变也。

• 闲有家 ： 闲，本义是门口横亘一木，即木栏杆、栅栏，引申为防范、规范、约束、建立规矩。初九作为开始，强调管理必须先行于德教。必须先建立明确的界限和规范，才能保障家庭的正道。

治理家庭（有家）之初，要先建立规范、防患未然（闲），因为此时人的心志未变，态度可控，因此设立规矩最为有效，趁此时机立规，易被接受、易于推行，故能消除悔恨。

初九是家人卦的初始爻，阳爻居阳位，刚健得正、处家之始，内卦巽为 “顺、入、教化”，初爻为 “家道之基”，刚健有决断、能立规范、防患于未然。行动契合时位、合乎正道

古人注解 ：

• 王弼

  初为家道之始，宜及其时闲之也。

• 程颐

  家之始，宜早正其风。

• 始而闲之，则悔亡也。

六二

无攸遂，在中馈。贞吉。

象曰：六二之吉，顺以巽也。

• 无攸遂，在中馈 ： 遂，随心所欲、顺从自己的意愿去完成某事、独行其事。中馈，古代指掌管家中饮食（厨房）、财务等内务的职责，是古代家庭中女性的核心职责。

六二以阴居内卦离之中，得位又得中，上应九五之阳，有“妻道”之象；其德柔顺附丽而逊（巽），以柔顺之德承接主内之责，不刚愎、不专断，故能安定家庭、得享吉祥。

古人注解 ：

• 王弼

  不遂其志，舍己以顺。

• 程颐

  二以柔中居内，克尽其职。

• 中馈者，内事也。顺则吉。

九三

家人嗃嗃，悔厉吉；妇子嘻嘻，终吝。

象曰：家人嗃嗃，未失也；妇子嘻嘻，失家节也。

• 家人嗃嗃，悔厉吉 ： 嗃嗃（hè hè），严厉、刚硬、威严。以刚硬态度推行规则、约束家人，缺乏适度的巽、顺，可能引发的家人抵触、情感隔阂，长期来看，严虽有弊，却能守正，弊在当下，利在长远
• 妇子嘻嘻，终吝 ： 妇子，家庭成员。嘻嘻，嬉戏、懈怠、放纵无度。家庭规则松弛、成员不受约束，沉迷享乐、违背家风。丧失了家庭的节度与规范（失家节也），故终将招致困厄。

九三阳居阳位，处下卦离的终位，刚健过盛、处家之极，可能过于严苛，有失柔顺，但位正，未失大节（正家），故悔厉吉，治家宁失之严、不失之纵。

古人注解 ：

• 王弼

  刚正之道，虽悔厉，终吉也。

• 程颐

  家道贵严，严则无失。

• 家若无正声，则妇子当嬉笑而不肃。

六四

富家大吉。

象曰：富家大吉，顺在位也。

古人注解 ：

• 王弼

  处家之位，以柔为主，故能富家。

• 程颐

  顺以得位，家道富也。

• 六四阴顺，相应于九三，得以富家。

九五

王假有家，勿恤，吉。

象曰：王假有家，交相爱也。

• 王假有家，勿恤，吉 ： 假，至，到达、至诚。九五尊位得中得正，正应六二，为家人之主。

九五为阳爻居阳位，处尊得位而正，下应六二，王者之德来主持家庭，治理有方。

古人注解 ：

• 王弼

  以阳居尊，正家之主也。

• 程颐

  五为尊位，又得其中正，故可以正家。

• 以德理家，家乃吉也。

上九

有孚威如，终吉

象曰：威如之吉，反身之谓也。

• 威如之吉，反身之谓也 ： 孚为诚信充于内，威为庄敬形于外；先以正道修己，己正而后家齐（反身之谓），家众见其内省自律，自然心生敬畏，故曰“威如之吉”

上九处家人卦最上位，为最具影响力的人，代表家庭治理的最高境界，真正的威信，来自于“有孚”（真实可信），威来自自律，而不是压制他人，要以身作则。

古人注解 ：

• 王弼

  威而有孚，德之威也。

• 程颐

  威之在己，则终吉。

• 非暴怒之威，乃自反正己之威也。

地火明夷

地火明夷，内（下）离（火、附丽、明）外（上）坤（地、顺），夷者，伤也、诛灭也。明夷，明入地中，即光明熄灭、光明隐而不彰。晋卦（明出地上）是白天，明夷（明入地中）就是黑夜。

明夷，利艰贞。

彖曰：明入地中，明夷。内文明而外柔顺，以蒙大难，文王以之。利艰贞，晦其明也。内难而能正其志，箕子以之。

象曰：明入地中，明夷。君子以莅众用晦而明。

• 君子以莅众用晦而明 ： 莅，莅临、统辖、治理、主持。莅众，临众、治理百姓、民众。晦，黑暗、不显露。用晦而明，自抑其明、运用晦暗，藏匿锋芒，但内心清醒，保持洞察力。

初九

明夷于飞，垂其翼。君子于行，三日不食。有攸往，主人有言。

象曰：君子于行，义不食也。

• 明夷于飞，垂其翼 ： 明夷，光明隐没、时势昏暗之时。离为雉、为光明之鸟。鸟想要高飞，却不得不收敛羽翼，不敢高扬。
• 君子于行，三日不食 ： 君子被迫或主动远行、避祸，三日不食，象征君子坚守正道而不妥协，即便面临生存困境，也不接受不义之食（义不食也）
• 有攸往，主人有言 ： 君子前往他处寻求安身立命之所，即使到了新的地方，接待他的人（主人）也会对他有所非议、猜忌或防备。

古人注解 ：

• 王弼

  刚明遭伤，故垂其翼。

• 程颐

  君子不食非义之禄，故行而不食。

• 三日不食，不肯食不义之食。

六二

明夷，夷于左股，用拯马壮，吉。

象曰：六二之吉，顺以则也。

• 明夷，夷于左股，用拯马壮，吉 ： 左股，左边得大腿，古代以右为尊为主、为阳，左腿受伤，象征伤势不重。拯，拯救、救援。用拯马壮，若有强助（如强壮之马）相救，则可转危为吉。

古人注解 ：

• 王弼

  中正得位，虽夷而不陷。

• 程颐

  左股之夷，微有伤，不害行也。

• 以柔中之德，顺乎时也，所以得吉。

九三

明夷于南狩，得其大首，不可疾，贞。

象曰：南狩之志，乃得大也。

• 明夷于南狩，得其大首，不可疾，贞 ： 南，离之象，象征光明，南狩，即主动争取和追求光明，为之行动。大首，首要的、最重要的目标，或者指主要的敌人。不可疾，不可急躁、不能仓促，要坚守正道。

在黑暗时期，君子可以凭借刚强正直的力量，采取主动、积极的抗争行动去追寻光明（南狩），但必须谨慎自持，不可急躁冒进，并始终坚守正道（不可疾，贞）

古人注解 ：

• 王弼

  有光而处于暗地，故能狩得大首。

• 程颐

  得其大首者，除其大害也。

• 南者明也，狩者讨也。

六四

入于左腹，获明夷之心，于出门庭。

象曰：入于左腹，获心意也。

• 入于左腹，获明夷之心，于出门庭 ： 左腹，心腹之侧，指非正面、侧面的入局方式。腹，通常象征深处、内部、中枢。明夷之心，指施行明夷暴政的统治者（或小人）的真实动机、意图和策略。出门庭，指最终能够全身而退，安全地离开敌人的控制范围。

六四阴居阴位，得正，上近于六五（暗主），是“大臣入腹”之象；既近黑暗中心，唯“速退”可保身。

古人注解 ：

• 王弼

  入于腹者，入其深也。获心者，得其情也。

• 程颐

  处暗而不迷，故能获其心。

• 得其心情，故能出也。

六五

箕子之明夷，利贞。

象曰：箕子之贞，明不可息也。

六五阴居阳位，得中而不正，处外卦坤（地）之中，正是“大明入地”最深之处；然柔而得中，象征贤者处暴君之侧，外晦内明。贤者在极黑暗的时代，为保全光明而自晦，不得不接受羞辱。但其心之明不灭。

古人注解 ：

• 王弼

  以柔居尊，上处暗，其象为箕子之伤。

• 程颐

  明夷之时，贤者以贞守，虽辱而不失光明。

• 箕子在纣之时，明德遭夷。

上六

不明，晦，初登于天，后入于地。

象曰：初登于天，照四国也；后入于地，失则也。

• 不明，晦，初登于天，后入于地 ： 明夷之极，光明完全消失，陷入极度的黑暗中。最初像太阳一样升到天上，照耀大地；最终却像太阳沉入地下一样，彻底消失。

上六阴居阴位，处明夷之极，是“黑暗”本体；下无应，乘六五之柔主，象征“昏君”或“光明被彻底掩埋”的终极状态。

古人注解 ：

• 王弼

  失明极矣，故入于地。

• 程颐

  以柔居阴之极，不能自明，故晦。

• 虽曾照四国，今失其道，故入于地。

火地晋

火地晋，内（下）坤（地、顺）外（上）离（火、明、丽），晋者，进也。晋卦是《易经》六十四卦中 最具“进步、升迁、光明显赫”意味的卦，象征“火在地上，光明渐升”，属于 大吉之卦。

晋，康侯用锡马蕃庶，昼日三接。

彖曰：晋，进也。明出地上，顺而丽乎大明，柔进而上行，是以康侯用锡马蕃庶，昼日三接也。

象曰：明出地上，晋。君子以自昭明德。

• 晋，康侯用锡马蕃庶，昼日三接 ： 康，美之名也，德高、安宁、荣耀。康侯代之德高之侯、君子居上位者。锡，通赐，赐予、赏赐。蕃庶，繁盛、众多。康侯用天子所赐良马繁育，培育出众多良种马，天子多次接见。一个顺应天时、贤德安乐的侯王，获得了君主的支持和信任，标志着他的事业昌盛，地位稳定且受到尊重。
• 明出地上，顺而丽乎大明，柔进而上行 ： 坤为地为顺、离为火为丽（附着、依附）为光明，火地晋卦由风地观卦六四柔爻上行到六五，九五刚爻下到九四而来，故曰柔进而上行。六五为全卦主爻。晋卦的本质是靠光明而进，靠道德而进，靠正而进。以柔顺之道（臣、妻、下属）依附大明之主（君、夫、上级），逐步晋升
• 明出地上，晋。君子以自昭明德 ： 光明出现在大地之上，象征“晋升”。君子因此应当自我昭显、光大内在的美德。

初六

晋如，摧如，贞吉。罔孚，裕，无咎。

象曰：晋如摧如，独行正也。裕无咎，未受命也。

• 晋如，摧如，贞吉 ： 晋如，要前进、欲晋升、想向上。摧如，受挫、受摧折、受阻挠的样子。欲进不得，如有阻滞。要守正，不急不乱，最终吉。
• 罔孚，裕，无咎 ： 罔孚，未受信任。裕，宽宏、宽容、从容、隐忍。初六位置低，位卑言轻，尚未被信任，需要从容等待，不急于求进。
• 晋如摧如，独行正也。裕无咎，未受命也 ：未受命也，时机未到。在前进之初，力量弱小且遭遇阻碍时，君子应坚持正道，保持宽裕和耐心。等待时机成熟和使命降临，方能避免灾祸。

古人注解 ：

• 王弼

  欲进而力未备，故摧。能守正，则吉。

• 程颐

  初进之难，人未信也。能裕则无咎。

• 未受命也，未得君命，故无人信。

六二

晋如，愁如，贞吉。受兹介福，于其王母。

象曰：受兹介福，以中正也。

• 受兹介福，于其王母 ： 介，大、宏大、重大、巨大。王，指尊贵者。母，厚德、慈爱、能庇佑他人者。王母通常也指祖母、六五。心怀忧虑、谨慎小心的态度，将受到这巨大的福佑。

六二爻是阴爻居于阴位（当位），且处于下卦（坤，地）的中位（得中），象征着柔顺中正地前进，最终获得巨大的福佑。

古人注解 ：

• 王弼

  居中得正，故能晋而吉，受介福也。

• 程颐

  中正而应乎五，是以受大福。愁者，戒慎不怠之意。

• 王母，尊之极也。得其福，则吉大矣。

六三

众允，悔亡。

象曰：众允之，志上行也。

• 众允，悔亡 ： 允，信任、应允、认可。获得众人的信任与认可（众允），此前的悔恨与困厄（悔亡）彻底消除。

六三阴居阳位，位不正，但下与初六、六二比邻成“坤”众之象，前临上离（明），上应上九（离明之极），形成“众阴承阳”之势，故得“众允”而悔亡。

古人注解 ：

• 王弼

  众与之同，悔亡也。

• 程颐

  众心同然，则无所悔。

• 众人皆允其志，故悔亡。

九四

晋如鼫鼠，贞厉。

象曰：鼫鼠贞厉，位不当也。

• 晋如鼫鼠，贞厉 ： 鼫鼠，通常指土拨鼠或五技鼠（传说中它有五种技能，但都学不好，比喻能力杂而不精、贪多求全，进退失据。。能飞不能过屋，能缘不能穷木，能游不能渡谷，能穴不能掩身，能走不能先人），晋升之心急切，却像鼫鼠一样东窜西跳，无一专长。

九四阳居阴位，且处“多惧”之地，才德与位置不相称。

古人注解 ：

• 王弼

  以刚居柔，不中不正，故如鼫鼠。

• 程颐

  位不当而光明不足，故有畏光之象。

• 位高而志怯，犹鼫鼠也。

六五

悔亡，失得勿恤。往吉，无不利。

象曰：失得勿恤，往有庆也。

• 失得勿恤 ： 恤，顾虑、忧虑。不必忧虑得失

六五阴居阳位，得中而不正，本应有悔；但处离明之中，下应九二刚中之臣，居中得尊、刚柔相济、以柔御刚，以明照众，故“悔亡”。不计较得失，反得大成。

古人注解 ：

• 王弼

  处尊得中，故悔亡。心无系累，则得失不恤。

• 程颐

  六五之君，以柔中居尊位，能任贤，故其往也吉。

• 不忧失得，故往吉而无不利。

上九

晋其角，维用伐邑。厉吉，无咎，贞吝。

象曰：维用伐邑，道未光也。

• 晋其角，维用伐邑 ： 角为禽兽最刚、最上之物，喻上九以刚居极，前无去路，只能以“角”硬顶。仅可用于征伐内部城邑，有危险，但可转吉。不至于大祸。若固执此道，终有悔吝。

古人注解 ：

• 王弼

  过乎其位，进之极也，故‘晋其角’。

• 程颐

  用刚之极也。危而能谨，则吉无咎。

• 光明太盛，则伤物；故须伐邑以制之。

十天干（甲、乙、丙、丁、戊、己、庚、辛、壬、癸）是中国古代用来纪年、纪月、纪日、纪时的符号。它们最初的含义并非现代的木火土金水五行属性，而是源于古代对植物生命周期和万物生长变化的观察和描述。

以下是十天干的十个字的初始含义和核心概念：