从零开发K8s准入控制器:实现自动注入Nginx Sidecar的完整实践

原创 于 2026-06-20 17:24:21 发布 · 129 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#kubernetes #docker #容器 #云原生 #kubelet

前言

学完前面三章的apiserver源码,我对准入控制机制有了深入理解。但总有种"纸上得来终觉浅"的感觉——知道Webhook是怎么工作的,但自己动手写一个又是另一回事。

于是决定从零开发一个MutatingAdmissionWebhook,实现类似Istio的自动Sidecar注入功能。目标很简单:当在特定namespace创建Pod时,自动注入一个Nginx Sidecar容器。

花了两个周末时间,踩了不少坑(证书问题、TLS配置、JSON Patch格式等),最终成功跑通。今天就把完整过程分享出来。

什么是自动Sidecar注入?

典型应用场景

Service Mesh(如Istio)的核心能力之一就是自动注入Envoy Sidecar:

用户创建Pod:
apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: app
    image: my-app:1.0

MutatingWebhook拦截后,自动变成:
apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: app
    image: my-app:1.0
  - name: nginx-sidecar  ← 自动注入!
    image: nginx:alpine

优势

  • 应用无感知,不需要修改业务代码
  • 统一的管理和控制
  • 可以添加代理、监控、日志收集等功能

我们的目标

开发一个Webhook,实现:

  1. 监听指定namespace(如sidecar-inject=true标签的namespace)
  2. 在该namespace创建Pod时,自动注入Nginx Sidecar
  3. Nginx作为反向代理,转发流量到主容器

整体架构

┌─────────────────────────────────────────────────────────────────┐
│                    Kubernetes Cluster                          │
├─────────────────────────────────────────────────────────────────┤
│                                                                  │
│  ┌──────────────┐        ┌──────────────────────────────┐     │
│  │   Pod        │        │   MutatingWebhookConfiguration │     │
│  │   my-app     │◄───────│   name: nginx-sidecar-injector │     │
│  └──────┬───────┘        │   namespaceSelector:           │     │
│         │                │     matchLabels:               │     │
│         │                │       sidecar-inject: enabled  │     │
│         │                └──────────────┬─────────────────┘     │
│         │                               │                        │
│         │ 1. 创建Pod                    │ 2. 匹配到Webhook      │
│         │                               │                        │
│  ┌──────▼───────────────────────────────▼─────────────────┐     │
│  │                  kube-apiserver                        │     │
│  │                                                         │     │
│  │  MutatingAdmissionWebhook                              │     │
│  │    │                                                    │     │
│  │    │ 3. HTTP POST AdmissionReview                       │     │
│  │    ▼                                                    │     │
│  │  ┌─────────────────────────────────────────────────────┐│     │
│  │  │      Nginx Sidecar Injector Webhook                  ││     │
│  │  │         (运行在集群内或集群外)                         ││     │
│  │  │                                                     ││     │
│  │  │  - 接收AdmissionReview请求                          ││     │
│  │  │  - 构造JSON Patch添加sidecar容器                     ││     │
│  │  │  - 返回AdmissionResponse                            ││     │
│  │  └─────────────────────────────────────────────────────┘│     │
│  └─────────────────────────────────────────────────────────┘     │
│                                                                  │
└─────────────────────────────────────────────────────────────────┘

实施步骤

整个实现分为6个步骤:

  1. 检查集群Webhook支持
  2. 开发Webhook服务(Go实现HTTP server)
  3. 生成TLS证书(Kubernetes需要HTTPS)
  4. 部署Webhook服务
  5. 创建MutatingWebhookConfiguration
  6. 验证注入效果

第一步:检查集群Webhook支持

首先确认集群是否启用了MutatingAdmissionWebhook控制器:

# 检查apiserver启动参数
kubectl get pods -n kube-system -l component=kube-apiserver -o yaml | grep enable-admission-plugins

# 输出应该包含MutatingAdmissionWebhook和ValidatingAdmissionWebhook
# --enable-admission-plugins=...,MutatingAdmissionWebhook,ValidatingAdmissionWebhook

如果没有启用,需要修改apiserver启动参数(Kubernetes 1.9+默认启用)。

第二步:开发Webhook服务

项目结构

sidecar-injector/
├── main.go                 # 主程序
├── go.mod                  # Go模块
├── Dockerfile              # 容器镜像
├── deploy/
│   ├── deployment.yaml     # Webhook部署
│   ├── service.yaml        # Service暴露
│   └── webhook.yaml        # MutatingWebhookConfiguration
└── certs/
    └── generate.sh         # 证书生成脚本

核心代码:main.go

package main

import (
	"encoding/json"
	"fmt"
	"io"
	"net/http"
	"os"

	"k8s.io/api/admission/v1"
	corev1 "k8s.io/api/core/v1"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
)

const (
	port     = 8443
	certFile = "/etc/webhook/certs/tls.crt"
	keyFile  = "/etc/webhook/certs/tls.key"
)

func main() {
	http.HandleFunc("/mutate", mutateHandler)
	http.HandleFunc("/health", healthHandler)

	fmt.Printf("Starting webhook server on port %d...\n", port)
	if err := http.ListenAndServeTLS(fmt.Sprintf(":%d", port), certFile, keyFile, nil); err != nil {
		fmt.Fprintf(os.Stderr, "Failed to start server: %v\n", err)
		os.Exit(1)
	}
}

// healthHandler 健康检查
func healthHandler(w http.ResponseWriter, r *http.Request) {
	w.WriteHeader(http.StatusOK)
	w.Write([]byte("ok"))
}

// mutateHandler 处理准入控制请求
func mutateHandler(w http.ResponseWriter, r *http.Request) {
	// 读取请求体
	body, err := io.ReadAll(r.Body)
	if err != nil {
		http.Error(w, fmt.Sprintf("could not read request body: %v", err), http.StatusBadRequest)
		return
	}

	// 解析AdmissionReview
	var admissionReview v1.AdmissionReview
	if err := json.Unmarshal(body, &admissionReview); err != nil {
		http.Error(w, fmt.Sprintf("could not parse admission review: %v", err), http.StatusBadRequest)
		return
	}

	// 获取请求信息
	admissionRequest := admissionReview.Request
	if admissionRequest == nil {
		http.Error(w, "admission request is nil", http.StatusBadRequest)
		return
	}

	fmt.Printf("Received admission request: %s/%s %s\n",
		admissionRequest.Namespace,
		admissionRequest.Name,
		admissionRequest.Operation)

	// 解析Pod对象
	var pod corev1.Pod
	if err := json.Unmarshal(admissionRequest.Object.Raw, &pod); err != nil {
		http.Error(w, fmt.Sprintf("could not parse pod: %v", err), http.StatusBadRequest)
		return
	}

	// 构造响应
	admissionResponse := &v1.AdmissionResponse{
		UID:     admissionRequest.UID,
		Allowed: true,
	}

	// 检查是否需要注入sidecar
	if shouldInject(&pod) {
		// 构造JSON Patch
		patch, err := createPatch(&pod)
		if err != nil {
			admissionResponse.Allowed = false
			admissionResponse.Result = &metav1.Status{
				Message: fmt.Sprintf("could not create patch: %v", err),
			}
		} else {
			patchType := v1.PatchTypeJSONPatch
			admissionResponse.PatchType = &patchType
			admissionResponse.Patch = patch
			fmt.Printf("Injected sidecar into pod %s/%s\n", pod.Namespace, pod.Name)
		}
	}

	// 构造返回的AdmissionReview
	responseReview := v1.AdmissionReview{
		TypeMeta: admissionReview.TypeMeta,
		Response: admissionResponse,
	}

	// 序列化响应
	responseBytes, err := json.Marshal(responseReview)
	if err != nil {
		http.Error(w, fmt.Sprintf("could not marshal response: %v", err), http.StatusInternalServerError)
		return
	}

	w.Header().Set("Content-Type", "application/json")
	w.Write(responseBytes)
}

// shouldInject 判断是否需要注入sidecar
func shouldInject(pod *corev1.Pod) bool {
	// 检查是否已经有sidecar
	for _, container := range pod.Spec.Containers {
		if container.Name == "nginx-sidecar" {
			return false
		}
	}

	// 检查annotation
	if pod.Annotations == nil {
		return true
	}

	// 可以通过annotation控制是否注入
	if inject, ok := pod.Annotations["sidecar-injector/inject"]; ok {
		return inject == "true"
	}

	return true
}

// createPatch 创建JSON Patch
func createPatch(pod *corev1.Pod) ([]byte, error) {
	// 获取主容器的端口
	mainPort := int32(8080)
	if len(pod.Spec.Containers) > 0 && len(pod.Spec.Containers[0].Ports) > 0 {
		mainPort = pod.Spec.Containers[0].Ports[0].ContainerPort
	}

	// 构造nginx配置
	nginxConf := fmt.Sprintf(`
server {
    listen 80;
    location / {
        proxy_pass http://localhost:%d;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}`, mainPort)

	// 构造sidecar容器
	sidecar := corev1.Container{
		Name:  "nginx-sidecar",
		Image: "nginx:alpine",
		Ports: []corev1.ContainerPort{
			{
				Name:          "http",
				ContainerPort: 80,
				Protocol:      corev1.ProtocolTCP,
			},
		},
		VolumeMounts: []corev1.VolumeMount{
			{
				Name:      "nginx-config",
				MountPath: "/etc/nginx/conf.d",
			},
		},
	}

	// 构造ConfigMap Volume
	configVolume := corev1.Volume{
		Name: "nginx-config",
		VolumeSource: corev1.VolumeSource{
			ConfigMap: &corev1.ConfigMapVolumeSource{
				LocalObjectReference: corev1.LocalObjectReference{
					Name: "nginx-sidecar-config",
				},
			},
		},
	}

	// 构造JSON Patch
	patch := []map[string]interface{}{}

	// 1. 添加sidecar容器
	patch = append(patch, map[string]interface{}{
		"op":    "add",
		"path":  "/spec/containers/-",
		"value": sidecar,
	})

	// 2. 添加volume(如果不存在)
	if len(pod.Spec.Volumes) == 0 {
		patch = append(patch, map[string]interface{}{
			"op":    "add",
			"path":  "/spec/volumes",
			"value": []corev1.Volume{configVolume},
		})
	} else {
		patch = append(patch, map[string]interface{}{
			"op":    "add",
			"path":  "/spec/volumes/-",
			"value": configVolume,
		})
	}

	// 3. 添加annotation标记已注入
	if pod.Annotations == nil {
		patch = append(patch, map[string]interface{}{
			"op":    "add",
			"path":  "/metadata/annotations",
			"value": map[string]string{
				"sidecar-injector/injected": "true",
			},
		})
	} else {
		patch = append(patch, map[string]interface{}{
			"op":    "add",
			"path":  "/metadata/annotations/sidecar-injector~1injected",
			"value": "true",
		})
	}

	return json.Marshal(patch)
}

go.mod

module sidecar-injector

go 1.21

require (
	k8s.io/api v0.28.0
	k8s.io/apimachinery v0.28.0
)

第三步:生成TLS证书

Webhook必须使用HTTPS,Kubernetes会验证证书。我们有两种方案:

方案1:使用集群CA签名(推荐)

#!/bin/bash
# certs/generate.sh

set -e

SERVICE_NAME="nginx-sidecar-injector"
NAMESPACE="kube-system"

# 生成CA私钥
openssl genrsa -out ca.key 2048

# 生成CA证书
openssl req -new -x509 -key ca.key -out ca.crt -days 365 \
  -subj "/CN=${SERVICE_NAME}-ca"

# 生成Webhook服务器私钥
openssl genrsa -out tls.key 2048

# 创建证书签名请求配置
cat > csr.conf <<EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
CN = ${SERVICE_NAME}.${NAMESPACE}.svc

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = ${SERVICE_NAME}
DNS.2 = ${SERVICE_NAME}.${NAMESPACE}
DNS.3 = ${SERVICE_NAME}.${NAMESPACE}.svc
DNS.4 = ${SERVICE_NAME}.${NAMESPACE}.svc.cluster.local
EOF

# 生成证书签名请求
openssl req -new -key tls.key -out tls.csr -config csr.conf

# 使用CA签名
openssl x509 -req -in tls.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
  -out tls.crt -days 365 -extensions v3_req -extfile csr.conf

# 创建Kubernetes Secret
echo "Creating Kubernetes secret..."
kubectl create secret tls ${SERVICE_NAME}-tls \
  --cert=tls.crt \
  --key=tls.key \
  -n ${NAMESPACE} \
  --dry-run=client -o yaml > secret.yaml

# 输出CA Bundle(base64编码,用于MutatingWebhookConfiguration)
echo ""
echo "CA Bundle (for MutatingWebhookConfiguration):"
cat ca.crt | base64 | tr -d '\n'
echo ""

# 清理临时文件
rm -f tls.csr csr.conf ca.srl

echo ""
echo "Done! Files generated:"
echo "  - ca.crt: CA certificate"
echo "  - ca.key: CA private key"
echo "  - tls.crt: Webhook server certificate"
echo "  - tls.key: Webhook server private key"
echo "  - secret.yaml: Kubernetes TLS secret"

运行生成证书:

chmod +x certs/generate.sh
cd certs && ./generate.sh

方案2:使用cert-manager自动管理

如果集群安装了cert-manager,可以自动管理证书:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: nginx-sidecar-injector-tls
  namespace: kube-system
spec:
  secretName: nginx-sidecar-injector-tls
  dnsNames:
    - nginx-sidecar-injector
    - nginx-sidecar-injector.kube-system
    - nginx-sidecar-injector.kube-system.svc
    - nginx-sidecar-injector.kube-system.svc.cluster.local
  issuerRef:
    name: kubernetes-ca
    kind: ClusterIssuer

第四步:部署Webhook服务

Dockerfile

FROM golang:1.21-alpine AS builder

WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download

COPY main.go .
RUN CGO_ENABLED=0 GOOS=linux go build -o webhook main.go

FROM alpine:latest
RUN apk --no-cache add ca-certificates

WORKDIR /
COPY --from=builder /app/webhook /webhook

# 创建证书目录
RUN mkdir -p /etc/webhook/certs

EXPOSE 8443

ENTRYPOINT ["/webhook"]

构建镜像:

docker build -t your-registry/nginx-sidecar-injector:v1.0 .
docker push your-registry/nginx-sidecar-injector:v1.0

部署配置

# deploy/namespace.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: kube-system
  labels:
    sidecar-inject: enabled

---
# deploy/configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-sidecar-config
  namespace: kube-system
data:
  default.conf: |
    server {
        listen 80;
        location / {
            proxy_pass http://localhost:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }

---
# deploy/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-sidecar-injector
  namespace: kube-system
  labels:
    app: nginx-sidecar-injector
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx-sidecar-injector
  template:
    metadata:
      labels:
        app: nginx-sidecar-injector
    spec:
      containers:
        - name: webhook
          image: your-registry/nginx-sidecar-injector:v1.0
          imagePullPolicy: Always
          ports:
            - containerPort: 8443
              name: https
          volumeMounts:
            - name: tls-certs
              mountPath: /etc/webhook/certs
              readOnly: true
          resources:
            limits:
              cpu: 500m
              memory: 256Mi
            requests:
              cpu: 100m
              memory: 128Mi
      volumes:
        - name: tls-certs
          secret:
            secretName: nginx-sidecar-injector-tls

---
# deploy/service.yaml
apiVersion: v1
kind: Service
metadata:
  name: nginx-sidecar-injector
  namespace: kube-system
  labels:
    app: nginx-sidecar-injector
spec:
  ports:
    - port: 443
      targetPort: 8443
      name: https
  selector:
    app: nginx-sidecar-injector

部署:

kubectl apply -f deploy/configmap.yaml
kubectl apply -f deploy/secret.yaml  # 使用生成的secret.yaml
kubectl apply -f deploy/deployment.yaml
kubectl apply -f deploy/service.yaml

第五步:创建MutatingWebhookConfiguration

这是最关键的一步,告诉Kubernetes什么时候调用我们的Webhook。

# deploy/webhook.yaml
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: nginx-sidecar-injector
webhooks:
  - name: sidecar-injector.webhook.example.com
    # 匹配规则
    rules:
      - operations: ["CREATE", "UPDATE"]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
        scope: "Namespaced"
    
    # 只拦截特定namespace
    namespaceSelector:
      matchLabels:
        sidecar-inject: enabled
    
    # 或根据对象标签选择
    # objectSelector:
    #   matchLabels:
    #     inject-sidecar: "true"
    
    clientConfig:
      service:
        name: nginx-sidecar-injector
        namespace: kube-system
        path: "/mutate"
        port: 443
      # CA Bundle,替换为ca.crt的base64编码
      caBundle: ${CA_BUNDLE}
    
    admissionReviewVersions: ["v1", "v1beta1"]
    sideEffects: None
    timeoutSeconds: 5
    failurePolicy: Ignore  # 生产环境建议用Fail
    reinvocationPolicy: Never

注入CA Bundle:

# 获取CA Bundle
CA_BUNDLE=$(cat certs/ca.crt | base64 | tr -d '\n')

# 替换并应用
sed "s/\${CA_BUNDLE}/$CA_BUNDLE/g" deploy/webhook.yaml | kubectl apply -f -

第六步:验证注入效果

1. 标记namespace

kubectl label namespace default sidecar-inject=enabled

2. 创建测试Pod

# test-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-app
  namespace: default
spec:
  containers:
    - name: main-app
      image: hashicorp/http-echo
      args:
        - "-text=Hello from main app"
      ports:
        - containerPort: 5678

kubectl apply -f test-pod.yaml

3. 查看注入结果

# 查看Pod详情
kubectl get pod test-app -o yaml

# 应该看到两个容器
kubectl get pod test-app -o jsonpath='{.spec.containers[*].name}'
# 输出: main-app nginx-sidecar

# 查看sidecar日志
kubectl logs test-app -c nginx-sidecar

# 测试访问(通过sidecar访问主应用)
kubectl port-forward pod/test-app 8080:80
curl http://localhost:8080
# 输出: Hello from main app

4. 查看Webhook日志

kubectl logs -n kube-system -l app=nginx-sidecar-injector

应该看到:

Received admission request: default/test-app CREATE
Injected sidecar into pod default/test-app

踩坑实录

坑1:证书CN和DNS名称不匹配

现象:Kubernetes调用Webhook时报错x509: certificate is valid for ... not for nginx-sidecar-injector.kube-system.svc

解决:确保证书的Subject Alternative Name包含Service的所有可能域名。

坑2:JSON Patch格式错误

现象:Webhook返回成功,但Pod没有变化

解决:JSON Patch路径要使用RFC 6901格式,特别是特殊字符要转义:

// annotation中的/要转义为~1
"/metadata/annotations/sidecar-injector~1injected"

坑3:failurePolicy设置不当

现象:Webhook服务挂了,导致所有Pod创建失败

解决:开发阶段用Ignore,生产环境用Fail但要注意高可用。

坑4:忽略系统namespace

现象:kube-system中的Pod也被注入sidecar,导致集群异常

解决:使用namespaceSelector排除系统namespace:

namespaceSelector:
  matchExpressions:
    - key: kubernetes.io/metadata.name
      operator: NotIn
      values: ["kube-system", "kube-public", "kube-node-lease"]

坑5:Webhook超时

现象:Pod创建慢,或超时失败

解决:优化Webhook处理逻辑,设置合理的timeout:

timeoutSeconds: 5

进阶优化

1. 添加Metrics监控

import "github.com/prometheus/client_golang/prometheus"

var (
	injectionCounter = prometheus.NewCounterVec(
		prometheus.CounterOpts{
			Name: "sidecar_injection_total",
			Help: "Total number of sidecar injections",
		},
		[]string{"namespace", "status"},
	)
)

func init() {
	prometheus.MustRegister(injectionCounter)
}

2. 支持配置化

apiVersion: v1
kind: ConfigMap
metadata:
  name: sidecar-injector-config
data:
  config.yaml: |
    sidecarContainer:
      image: nginx:alpine
      resources:
        limits:
          cpu: 100m
          memory: 128Mi
      port: 80

3. 使用Controller运行时框架

可以用controller-runtime简化Webhook开发:

import (
    "sigs.k8s.io/controller-runtime/pkg/webhook"
    "sigs.k8s.io/controller-runtime/pkg/webhook/admission"
)

type PodMutator struct {
    Client  client.Client
    Decoder *admission.Decoder
}

func (m *PodMutator) Default(ctx context.Context, obj runtime.Object) error {
    pod := obj.(*corev1.Pod)
    // 注入sidecar逻辑
    return nil
}

总结

通过这个项目,我们完整实践了K8s准入控制器的开发:

  1. 理解原理:知道Webhook在API请求链中的位置和作用
  2. 开发实现:用Go实现了MutatingWebhook服务器
  3. 证书管理:生成了自签名证书并配置到Kubernetes
  4. 部署验证:完整部署流程并验证注入效果

实际开发中还有很多细节要考虑(高可用、配置管理、错误处理等),但这个基础版本已经可以工作。

24-Django请全链路-WSGI到数据库响应的完整旅程
weixin_44081096的博客
06-15 1021
你点了浏览器的"刷新"按钮,0.5 秒后页面渲染完毕。这 0.5 秒里发生了什么?本文把 Django 处理一个 HTTP 请的完整链路拆为六个步骤:WSGI Server 接收 TCP 连接 → 中间件栈的洋葱模型逐层处理 → URL 路由匹配 → View 执行业务逻辑 → ORM 生成 SQL 并发送到数据库 → Template 渲染或 JSON 序列化返回响应。每一步都配有对应的源码位置关键代码片段,读完你能对一个请的全生命周期建立起清晰的空间模型。穿插真实调试经历——一个中间件错误导致所有
Java使用tomcat+servlet+filter实现简单的登录功能,需先登录再进行页面数据管理操作
简介
06-12 1475
实现简单的登录页面,那就设计一个简单的用户信息表,字段简约,这是mysql建表一条admin用户的数据。同样简约的前端页面(没有添加任何样式)
自己动手写一个spring之IOC_3
wang0907的博客
06-15 715
本文来继续增加IOC部分的功能,增加基于@Autowired注解注入bean的功能。。
SAP-ABAP:SAP表与视图权限管控方案:表维护权限、视图访问权限配置实操
baidu_35680696的博客
06-15 718
SAP表与视图权限管控方案摘要 本文详细介绍了SAP系统中表视图的三层级权限管控方案: 表维护生成器权限:通过配置权限组实现基础访问控制,支持自定义权限对象(SU21)进行细粒度管控 SM30事务码权限:利用权限对象S_TABU_DIS控制表维护操作,可在PFCG中配置角色实现权限细分 CDS视图DCL权限:通过访问控制定义实现记录级权限过滤,支持基于权限对象的动态数据访问控制 文章提供了完整的配置流程ABAP代码示例,涵盖权限组创建、DCL语法、权限校验等关键操作,帮助企业构建安全的数据访问体系,满足
SpringMVC 入门到实战 RESTFul 49-55
道友
06-16 551
SpringMVC 入门到实战 RESTFul 49-55
MyBatis-Plus 完整实际使用整理
最新发布
m0_73837751的博客
06-18 143
数据库操作方式总览│├── 方式一:BaseMapper + Wrapper(大厂主流)│ ├── 基础 CRUD:selectById / insert / updateById / deleteById│ ├── 条件操作:selectList(LambdaQueryWrapper) / delete(wrapper) ...│ ├── 分页:selectPage(IPage, wrapper) + 分页插件。
kaliLinux~ 与端口建立连接
Gavin
06-14 1008
本文介绍了如何使用Kali Linux中的nc命令与Spring Boot服务建立连接并发送HTTP请,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截SSL证书验证问题,通过调整防火墙设置使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作题解决方法,展现了基本的网络连接测试技术。
Java 程序员第 43 阶段05:微服务整合大模型,跨服务调用架构设计实战,Seata分布式事务实战
fuleigang的专栏
06-15 1102
第一阶段:分支事务执行SQL,Seata解析SQL获取表结构,生成数据镜像(before image),执行SQL获取数据变化,生成数据镜像(after image),将前后镜像SQL信息注册到TC。本章深入探讨了Seata分布式事务的实战应用,从四种事务模式的原理机制出发,详细讲解了AT、TCC、SAGAXA模式的工作原理适用场景。Seata通过XID(全局事务ID)串联各个分支事务,每个参与服务的每SQL执行都会被Seata代理,自动记录前后镜像数据,实现无侵入式的分布式事务管理。
Spring AI Alibaba Agent 流式输出与 outputKey 完全指南
路过君的博客
06-15 956
摘要 本文深入解析Spring AI Alibaba Agent的两个核心问题:流式输出处理outputKey机制。针对agent.stream()的流式响应,文章提出三种提取最终回复的方案:1)使用AtomicReference在onComplete时获取完整状态;2)直接监听AGENT_MODEL_FINISHED事件获取最终结果;3)利用outputKey简化数据提取。特别强调在多Agent协作中,outputKey作为数据传递桥梁的关键作用。通过源码分析实践示例,为开发者提供完整的流式输出处理指
JUC 总结:从 Java 内存模型到线程池的并发核心梳理
2301_80821045的博客
06-15 542
本文总结了Java并发编程(JUC)的基础知识要点: 进程与线程:进程是资源分配的最小单位,线程是调度的最小单位,线程更轻量级且切换成本低; 线程创建方式:继承Thread类、实现Runnable/Callable接口、使用线程池(推荐); Runnable与Callable区别:Callable有返回值且可抛异常,需通过FutureTask适配; 线程状态:新建、可运行、阻塞、等待、定时等待终止6种状态; 线程控制:start()启动新线程,run()同步执行;join()实现顺序执行,CountDow
怎么样才算是用到了反射呢?有什么关键特征吗
weixin_46028606的博客
06-13 787
摘要: 判断代码是否使用反射(Reflection)的关键在于动态操作类、方法或属性。三大核心特征:1)出现反射核心类(Class、Method、Field、Constructor);2)通过字符串动态加载类或调用方法(如Class.forName("类名"));3)突破封装访问私有成员(setAccessible(true))。反射广泛应用于框架(如Spring依赖注入、JSON解析、MyBatis结果映射),通过运行时动态处理实现灵活性,但错误可能延迟到运行期暴露。与静态编码相比,反射牺牲编译时安全性换
leecodecode【单调栈】【2026.6.12打卡-java版本】
m0_56136663的博客
06-13 877
面试官为什么这么问?这是网络协议的第一道门槛。我要看你能不能说清楚每握手的报文状态变化,以及背后“为什么这样设计”的思考,而不是背步骤。能讲清“防止旧连接请造成混乱”的学生,才算真理解。希望听到怎样的回答:三握手客户端发送 SYN=1, seq=x →SYN_SENT服务端回复 SYN=1, ACK=1, seq=y, ack=x+1 →SYN_RCVD客户端发送 ACK=1, seq=x+1, ack=y+1 → 双方进入为什么不是两?防止已失效的连接请突然传到服务端。
IDEA集成Maven
路虽远,行则必至!
06-13 636
本文详细介绍了Maven项目的创建与配置过程,包括环境设置、项目创建、JDK版本配置Maven目录结构搭建。重点讲解了Maven坐标的概念及组成(groupId、artifactId、version),并演示了如何导入Maven项目配置依赖。文章还涵盖了依赖排除的方法、依赖传递特性,以及Maven三大生命周期(clean、default、site)及其主要阶段(compile、test、package等)的操作说明,提供了图形界面命令行两种执行方式。通过本文可以系统掌握Maven项目的基础操作核心概
复习篇-常用实用类
2501_92975294的博客
06-13 347
System.out.println("相差:"+p.getYears()+"年"+p.getMonths()+"月"+p.getDays()+"日");System.out.println("片段总数:"+st.countTokens());sb.append("数字:").append(123).append(",布尔:").append(true);System.out.println("姓名:"+name+",年龄:"+age);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

加倍巴巴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值