Kubernetes #

谈谈你对k8s的理解☆ #

Kubernetes（简称 K8s）是一个开源的容器编排平台，旨在自动化容器化应用程序的部署、扩展和管理。它最初由 Google 设计，并在2014年开源。K8s 提供了一个集中的平台来管理和运行容器化的应用程序，尤其适合大规模的分布式系统和微服务架构。

从技术角度看，K8s 主要有以下几个核心组成部分：

1. 集群（Cluster）： K8s 将多个节点组织成一个集群，集群中通常有两类节点：控制平面节点（Control Plane）和工作节点（Worker Node）。控制平面负责集群的管理与调度，而工作节点运行实际的应用程序。
2. Pod： Pod 是 Kubernetes 中最小的调度单位，通常包含一个或多个容器，这些容器共享同一个网络、存储和其他资源。Pod 是容器运行的基本单位。
3. Deployment： Deployment 用于管理和控制应用程序的副本和版本。它通过定义副本数来保证应用的高可用性，支持滚动更新、回滚等功能。
4. Service： Service 用于暴露应用程序的网络接口，并提供负载均衡。通过 Service，用户可以通过稳定的 IP 或 DNS 名称访问一组 Pod。
5. Ingress： Ingress 提供 HTTP 和 HTTPS 路由到集群内的服务，可以用于管理外部流量进入集群，支持负载均衡、SSL 终端等功能。
6. ConfigMap 和 Secret： ConfigMap 用于管理应用的配置数据，Secret 用于存储敏感数据（如密码、API 密钥等）。这些资源可以被容器在运行时动态加载。
7. Namespace： Namespace 提供了对资源的隔离，允许在同一个集群中多个团队或应用之间共享资源而不发生冲突。它相当于虚拟化的逻辑分区。
8. StatefulSet： StatefulSet 是一种控制器，用于管理有状态应用，如数据库等。与 Deployment 不同，StatefulSet 保证了 Pod 的稳定性和唯一性，适合需要持久存储和有序部署的应用。
9. Persistent Volume (PV) 和 Persistent Volume Claim (PVC)： PV 是集群内的存储资源，而 PVC 是用户对存储资源的请求。通过这种方式，K8s 支持动态存储的创建和销毁。

关键优势： #

• 自动化：K8s 提供了自动化部署、滚动更新、扩展和恢复功能，极大地简化了应用程序生命周期管理。
• 高可用性：K8s 支持容错和高可用性，可以通过多副本部署、健康检查、自动恢复等机制保证应用的可靠性。
• 灵活性：通过声明式配置，K8s 让开发者可以专注于应用本身，而不必担心基础设施细节。
• 扩展性：K8s 提供了强大的插件和扩展机制，支持各种中间件、监控、日志等功能的集成。

适用场景： #

• 微服务架构：K8s 非常适合容器化微服务的管理，能有效地处理服务之间的依赖、负载均衡、容错等。
• 大规模分布式应用：由于其自动化和扩展性，K8s 很适合处理大规模、复杂的分布式系统。
• 混合云/多云架构：K8s 提供跨平台的支持，使得应用能够在不同的云环境或本地数据中心之间无缝迁移。

总的来说，Kubernetes 是现代 DevOps 和持续集成/持续交付（CI/CD）的核心技术之一，能够有效地管理容器化应用，使得开发和运维更加高效、灵活和可靠。

k8s集群架构是什么☆ #

Kubernetes (K8s) 集群架构由多个组件组成，主要分为控制平面（Control Plane）和工作节点（Worker Node）。控制平面负责集群的管理与调度，而工作节点则运行实际的应用程序和服务。下面是 K8s 集群架构的主要组件：

1. 控制平面（Control Plane） #

控制平面是集群的大脑，负责管理整个集群的状态。它处理所有的任务调度、资源分配和集群状态维护。控制平面通常由多个组件组成，以下是控制平面的核心组件：

• API Server (kube-apiserver)：
  • 作为 K8s 集群的入口点，所有的操作请求（如部署、修改、删除资源）都会通过 API Server 进行。它提供了集群资源的 RESTful API 接口，所有的组件和用户与 K8s 的交互都是通过它来实现的。
  • 它是集群中的唯一管理接口，并且与其他控制平面组件（如 etcd、controller manager）进行通信。
• etcd：
  • 一个高可用的键值存储数据库，K8s 使用它来存储集群的所有数据和状态，包括节点信息、Pod 状态、配置等。所有的集群状态都保存在 etcd 中，是集群的 “源数据”。
  • etcd 通常是一个分布式系统，可以保证数据的一致性和高可用性。
• Controller Manager (kube-controller-manager)：
  • 控制器是 K8s 的守护进程，负责维护集群状态并根据需要进行调整。它监控 K8s 集群的状态，并执行相应的操作。例如，ReplicaSet 控制器会确保指定数量的副本 Pods 始终处于运行状态。
  • Controller Manager 会通过 API Server 与 etcd 进行交互，以便同步集群的状态。
• Scheduler (kube-scheduler)：
  • 调度器负责将待运行的 Pod 调度到合适的工作节点上。它根据节点的资源利用情况、优先级、调度策略等因素来选择最适合的节点。
  • 调度器还会考虑 Pod 的 Affinity、Taints 和 Tolerations 等设置，确保 Pod 能够在合适的环境中运行。

2. 工作节点（Worker Node） #

工作节点是实际承载应用程序和服务的地方。每个工作节点上都运行着一组 K8s 组件，主要包括：

• Kubelet (kubelet)：
  • Kubelet 是每个工作节点上的主要代理，负责确保容器在节点上按照 Pod 定义的规范运行。它监控容器的生命周期，并与 API Server 通信，确保节点上的资源与集群状态保持一致。
  • 它会定期向 API Server 报告节点和 Pod 的状态，确保集群中的状态与期望的一致。
• Kube Proxy (kube-proxy)：
  • Kube Proxy 是工作节点上的网络代理，负责维护网络规则，确保 Pod 能够通过正确的网络路由进行通信。
  • 它通常会在每个节点上运行，并提供服务发现、负载均衡等功能。它根据 Service 的定义配置网络规则，使得流量能够正确地路由到相应的 Pod。
• Container Runtime：
  • 容器运行时是负责容器生命周期管理的组件，K8s 支持多种容器运行时，包括 Docker、containerd、CRI-O 等。容器运行时负责拉取镜像、创建和销毁容器等操作。
  • 在大多数 K8s 集群中，Docker 是默认的容器运行时，但现在 Kubernetes 推荐使用 containerd 或 CRI-O 等作为容器运行时。

3. K8s 集群架构示意图 #

                +--------------------------------------+
                |            Control Plane            |
                |                                      |
                |  +------------+  +----------------+  |
                |  |  API Server|  |   Controller   |  |
                |  +------------+  |    Manager     |  |
                |  +------------+  +----------------+  |
                |  |    etcd    |                      |
                |  +------------+  +----------------+  |
                |  | Scheduler  |                      |
                |  +------------+                      |
                +--------------------------------------+
                           |              |
             +-------------+--------------+-------------+
             |                                             |
  +-----------------+                         +-----------------+
  |    Worker Node 1|                         |    Worker Node 2|
  |                 |                         |                 |
  |  +----------+   |                         |  +----------+   |
  |  |  Kubelet |   |                         |  |  Kubelet |   |
  |  +----------+   |                         |  +----------+   |
  |  +----------+   |                         |  +----------+   |
  |  | Kube Proxy|   |                         |  | Kube Proxy|   |
  |  +----------+   |                         |  +----------+   |
  |  +------------+  |                         |  +------------+  |
  |  | Container  |   |                         |  | Container  |   |
  |  | Runtime    |   |                         |  | Runtime    |   |
  |  +------------+  |                         |  +------------+  |
  +-----------------+                         +-----------------+

4. 其他重要组件 #

• Ingress Controller

  ：

  • Ingress 是 Kubernetes 中的一个 API 对象，用于管理外部流量的访问控制。Ingress Controller 是实现 Ingress 规则的组件，它负责将 HTTP/HTTPS 请求路由到集群内的服务。

• Metrics Server

  ：

  • Metrics Server 是 K8s 集群的监控组件，它收集每个节点和 Pod 的资源使用情况（如 CPU、内存等）。它为自动扩缩容（如 Horizontal Pod Autoscaler）和其他资源管理提供数据支持。

5. 高可用性与冗余 #

• K8s 支持控制平面的高可用部署，可以通过在多个主机上部署多个控制平面组件（如 API Server、Controller Manager、Scheduler 和 etcd）来确保系统的容错能力。
• 工作节点也可以通过水平扩展进行增加，确保集群的弹性和负载分担。

总结 #

Kubernetes 集群架构采用了控制平面和工作节点的设计，将集群管理与应用运行分开，使得集群的维护、扩展和管理更加灵活和高效。控制平面负责集群的整体管理，而工作节点则专注于运行容器化的应用程序。通过这些组件的协作，K8s 能够实现容器化应用的自动化部署、扩展、故障恢复等关键功能。

简述Pod创建过程☆ #

Pod 是 Kubernetes 中最小的调度单位，它是由一个或多个容器组成的一个集合，这些容器共享同一个网络、存储和配置。Pod 的创建过程可以分为以下几个关键步骤：

1. 创建 Pod 配置文件 #

Pod 通常通过 YAML 或 JSON 格式的配置文件定义。配置文件描述了 Pod 的所需资源、容器的镜像、环境变量、挂载的存储卷等信息。以下是一个简单的 Pod 配置示例：

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx:latest
    ports:
    - containerPort: 80

2. 提交 Pod 配置到 Kubernetes API Server #

用户通过 kubectl 或其他客户端工具，将 Pod 的配置文件提交到 Kubernetes API Server。API Server 是集群的入口，它接收请求并将 Pod 配置存储在集群的数据库中（通常是 etcd）。

例如，使用 kubectl 提交 Pod：

kubectl apply -f pod.yaml

3. API Server 存储 Pod 配置 #

在收到请求后，API Server 会将 Pod 配置存储在 etcd 中，确保集群的状态得到持久化存储。API Server 会对请求进行验证和授权，确保只有合法的操作能够提交。

4. 调度（Scheduler）选择合适的工作节点 #

Kubernetes 的调度器（Scheduler）会根据 Pod 的资源需求和集群的资源状况，决定将 Pod 调度到哪个工作节点。调度器会考虑以下因素：

• 资源要求：CPU、内存等。
• 节点的资源利用率。
• 节点标签和亲和性规则。
• Taints 和 Tolerations 等调度策略。

调度器选择合适的节点后，会将 Pod 的调度信息更新到 API Server 中。

5. Kubelet 在工作节点上创建 Pod #

在 Pod 被调度到工作节点后，工作节点上的 Kubelet 负责管理该节点的容器和 Pod。Kubelet 会定期向 API Server 查询集群状态，发现 Pod 已经被调度到自己节点后，Kubelet 会执行以下操作：

• 拉取容器镜像（如果镜像未缓存）。
• 创建并启动容器。
• 配置网络：Kubelet 为 Pod 中的所有容器配置网络，使它们能够通过集群的网络与其他容器通信。
• 挂载存储：如果 Pod 中定义了卷（Volume），Kubelet 会挂载对应的存储到容器中。

Kubelet 会通过容器运行时（如 Docker、containerd）来启动容器，并确保容器处于运行状态。

6. Pod 启动并运行 #

一旦容器启动成功，Kubelet 会定期检查 Pod 和容器的健康状况。Pod 中的容器如果启动成功且健康，就进入运行状态，Kubelet 会向 API Server 汇报节点和 Pod 的状态，API Server 会更新集群的状态信息。

7. 集群状态更新 #

最终，API Server 会将 Pod 的状态同步到集群的各个组件，确保所有节点都知道 Pod 的状态。集群中的其他服务（如 Service、Ingress 等）可以根据 Pod 的状态进行流量调度。

8. 监控与自动恢复 #

Kubelet 和控制器持续监控 Pod 的健康状况和运行状态。如果 Pod 中的容器崩溃或停止运行，Kubelet 会根据 Pod 的定义重新启动容器，保证 Pod 处于期望的状态。

总结 #

Pod 创建过程从用户定义 Pod 配置文件开始，到 API Server 存储配置，调度器决定节点，Kubelet 在节点上拉取镜像并启动容器，最后 Pod 进入运行状态并由 Kubelet 定期检查健康。这一过程展示了 Kubernetes 自动化部署和容器管理的能力，确保应用始终处于期望的状态。

简述删除一个Pod流程 #

删除一个 Pod 的过程可以分为以下几个步骤。整个流程涉及用户发起删除请求、Kubernetes 控制平面处理请求、以及工作节点上的 Kubelet 进行容器的销毁和资源的回收。

1. 用户发起删除请求 #

用户可以通过 kubectl 或其他客户端工具发起删除 Pod 的请求。例如：

kubectl delete pod <pod-name>

这个命令会向 Kubernetes API Server 发送删除 Pod 的请求。

2. API Server 接受并验证请求 #

API Server 接收到删除 Pod 的请求后，会验证该请求是否合法。验证过程包括：

• 确保用户有足够的权限删除 Pod。
• 确保 Pod 确实存在于集群中。

如果验证通过，API Server 会将删除请求存储到集群的数据库（etcd），并更新集群的状态。

3. Pod 状态更新 #

当 API Server 确认删除 Pod 的请求后，它会更新集群的状态并将 Pod 状态标记为 “Terminating”。此时，Pod 仍在集群中，但标记为即将被删除。

4. 删除 Pod 相关的控制器对象 #

如果 Pod 是由某些控制器（如 Deployment、StatefulSet 等）管理的，控制器会识别到 Pod 被删除，并根据控制器的设置（例如 ReplicaSet）决定是否重新创建 Pod。这意味着如果 Pod 是通过 Deployment 等控制器创建的，控制器会根据设置创建一个新的 Pod 来替代被删除的 Pod。

5. Kubelet 监测到 Pod 删除请求 #

当 API Server 更新 Pod 状态为 “Terminating” 后，Kubelet 会在所在工作节点上监测到 Pod 被删除的请求。Kubelet 会执行以下操作：

• 停止容器：Kubelet 会通知容器运行时（如 Docker 或 containerd）停止运行 Pod 中的所有容器。
• 删除容器实例：容器运行时会销毁这些容器，包括清理网络接口、挂载的存储等资源。
• 清理相关资源：Kubelet 会清理 Pod 相关的资源，如临时存储卷、日志文件等。

6. Pod 资源回收 #

当容器被终止并且相关的资源被清理后，Kubelet 会向 API Server 发送更新，标记 Pod 已经成功删除。

7. API Server 完成删除操作 #

在 Kubelet 确认 Pod 已经被完全删除并清理后，API Server 会将 Pod 的状态从 “Terminating” 更新为已删除状态，并从 etcd 中彻底删除该 Pod 的记录。

8. 删除完成 #

Pod 完全删除后，集群的状态更新，Pod 在 Kubernetes 集群中不再存在，相关的网络、存储和其他资源也被回收。

总结 #

删除 Pod 的过程涉及以下关键步骤：

• 用户发起删除请求，API Server 验证并更新 Pod 状态为 “Terminating”。
• Kubelet 停止容器，清理资源并向 API Server 上报删除状态。
• API Server 在确认删除完成后，从 etcd 中删除 Pod 记录，删除过程完成。

对于由控制器管理的 Pod，控制器会根据设置决定是否重新创建 Pod，以维持预期的副本数。

不同node上的Pod之间的通信过程☆ #

Kubernetes 中不同节点（Node）上的 Pod 之间的通信过程涉及多个 Kubernetes 组件和底层网络技术。K8s 的网络模型要求每个 Pod 都有一个唯一的 IP 地址，并且允许 Pod 之间无障碍地进行通信，无论它们位于同一节点还是不同节点。

以下是不同节点上的 Pod 之间通信的过程：

1. Pod 网络模型 #

K8s 的网络模型要求每个 Pod 都有一个独立的 IP 地址。这意味着：

• Pod 间通信：不同节点上的 Pod 可以直接通过其 IP 地址进行通信。
• 容器间通信：同一 Pod 内的容器共享同一 IP 地址和端口，因此容器之间可以直接通过 localhost 进行通信。

这种设计理念避免了复杂的 NAT 转换和端口映射，使得容器和服务之间的通信更加直观。

2. CNI 插件（容器网络接口） #

Kubernetes 使用 CNI（Container Network Interface）插件来管理集群网络，CNI 插件负责 Pod 网络的创建、删除、路由和通信。常见的 CNI 插件包括 Calico、Flannel、Weave、Cilium 等。

• CNI 插件在节点上配置网络规则，确保每个 Pod 拥有唯一的 IP 地址，并能够通过底层网络进行通信。
• CNI 插件可能会使用不同的底层网络技术，例如 VXLAN、VLAN、或直接使用物理网络。

3. 通信过程 #

假设有两个 Pod，Pod A 位于 Node 1，Pod B 位于 Node 2，Pod A 和 Pod B 需要进行通信。这个过程通常包括以下几个步骤：

3.1 Pod A 发起请求 #

Pod A 想要访问 Pod B，它会向 Pod B 的 IP 地址发送请求。在 Kubernetes 网络模型下，这个请求不会经过主机的 NAT（网络地址转换）层，而是直接发送到目标 Pod 的 IP 地址。

3.2 CNI 插件处理请求 #

Pod A 的网络流量会由 CNI 插件进行处理：

• CNI 插件会将 Pod A 的请求通过容器网络转换为底层网络的格式，并决定如何路由到目标 Pod 的节点（Node 2）。这通常是通过在每个节点上配置路由表和使用网络隧道（如 VXLAN 或 GRE）来实现跨节点通信。

3.3 跨节点通信 #

• 如果 Pod A 和 Pod B 在不同节点上，CNI 插件会使用底层网络（如 VXLAN 隧道或 BGP 路由）将流量从 Node 1 路由到 Node 2。
• 通常，Pod A 发送的流量首先到达 Node 1 的物理网络接口，然后通过 CNI 插件封装和路由到 Node 2。

3.4 Node 2 处理流量 #

Node 2 上的 CNI 插件接收到从 Node 1 发来的请求，并根据目标 IP 地址找到相应的 Pod B。CNI 插件会通过相应的网络接口和路由规则将流量传递到 Pod B 上。

3.5 Pod B 响应请求 #

Pod B 收到请求后，进行处理并发送响应。Pod B 的响应流量会经过类似的过程：

• 它会将响应发送到 Pod A 的 IP 地址。
• 如果 Pod A 和 Pod B 在不同的节点上，响应会通过 Node 2 到 Node 1，再由 CNI 插件将响应路由到 Pod A。

4. 网络策略（Network Policy） #

K8s 还允许管理员定义网络策略，以限制 Pod 之间的通信。网络策略允许你控制哪些 Pod 可以与其他 Pod 通信，基于标签选择器、命名空间等规则来定义流量的允许与拒绝。

5. Service 和负载均衡 #

通常，Pod 是临时的和无状态的，所以 K8s 提供了 Service 作为 Pod 的抽象。Service 提供一个稳定的访问点，可以自动负载均衡请求到多个后端 Pod。

• 当 Pod A 想要与 Pod B 通信时，它可能通过 Service 名称而不是直接通过 IP 地址来访问 Pod B。Kubernetes 会通过 ClusterIP 或 DNS 解析 Pod B 的 Service 地址，并将流量路由到实际的 Pod。
• 如果 Pod B 在不同节点上，Service 会使用底层网络组件（如 kube-proxy）进行流量转发。

总结 #

不同节点上的 Pod 之间的通信过程包括：

1. Pod A 发起请求，向目标 Pod 的 IP 地址发送数据。
2. CNI 插件处理流量，通过底层网络进行路由。流量可能经过网络隧道（如 VXLAN）跨越节点。
3. 目标节点（Node 2）上的 CNI 插件接收流量，并将其转发到目标 Pod（Pod B）。
4. Pod B 处理请求并返回响应，响应过程与请求过程类似。

整个过程依赖于 Kubernetes 的网络模型和 CNI 插件来实现跨节点的容器通信。此外，网络策略、Service 和负载均衡等功能可以进一步优化和管理 Pod 之间的通信。

pod创建Pending状态的原因☆ #

Pod 进入 Pending 状态的原因通常是由于 Kubernetes 在调度和分配资源时遇到了问题。Pending 状态表示 Pod 已经被创建，但尚未分配到合适的节点上，或者在节点上尚未成功运行。以下是常见的导致 Pod 进入 Pending 状态的原因：

1. 资源不足 #

• CPU/内存不足

  ：如果集群中没有节点能够提供满足 Pod 所需资源（如 CPU 或内存）的空间，Pod 会一直处于 Pending 状态，直到资源可用。

  • 解决方法：检查集群中的节点资源使用情况（例如使用 kubectl describe pod <pod-name> 查看 Pod 的详细信息），并考虑扩展集群或优化资源配置。

2. 调度器找不到合适的节点 #

• 节点资源限制：Pod 可能要求的资源（如 CPU、内存、存储）超过了集群中任何节点的可用资源，导致调度器无法找到合适的节点来运行 Pod。

• 节点选择约束

  ：Pod 可能带有某些调度约束，如节点亲和性（Affinity）或反亲和性（Anti-Affinity），这些约束可能限制了调度器选择节点，从而导致无法调度 Pod。

  • 解决方法：查看 Pod 的调度策略和节点资源，确保集群资源充足，并调整节点选择规则。

3. Taints 和 Tolerations #

• 节点上有 Taints，Pod 没有相应的 Tolerations

  ：如果某个节点有 Taint（污点），而 Pod 没有相应的 Toleration（容忍），则调度器会拒绝将 Pod 调度到该节点。

  • 解决方法：检查节点是否有 Taints，并确保 Pod 配置了合适的 Tolerations。

4. 调度器无法找到适合的节点 #

• Pod 亲和性或反亲和性规则

  ：Pod 可能具有亲和性（Affinity）或反亲和性（Anti-Affinity）规则，这些规则可能要求将 Pod 调度到特定的节点或者避免将 Pod 调度到某些节点上。如果没有节点满足这些规则，Pod 会处于 Pending 状态。

  • 解决方法：检查 Pod 的亲和性和反亲和性规则，确保这些规则在当前集群中有节点可以满足。

5. 集群容量不足 #

• 集群容量不足

  ：集群中的节点可能因为负载过高或资源不足，导致无法分配新 Pod。

  • 解决方法：通过监控工具检查集群资源使用情况，扩展集群或释放部分资源。

6. PersistentVolume (PV) 或 PersistentVolumeClaim (PVC) 问题 #

• PVC 绑定失败

  ：如果 Pod 依赖于 PersistentVolume（持久化卷），但 PVC 没有成功绑定到合适的 PV，Pod 也会处于 Pending 状态，直到绑定成功。

  • 解决方法：检查 PVC 的状态和 PV 资源，确保 PVC 可以成功绑定到合适的 PV。

7. 网络问题 #

• CNI 插件问题

  ：如果集群的网络插件（CNI 插件）出现故障或配置问题，Pod 可能无法启动。网络问题会导致 Pod 的网络接口无法配置，造成 Pod 无法成功运行。

  • 解决方法：检查 CNI 插件的配置和状态，确保网络正常工作。

8. 镜像拉取失败 #

• 镜像拉取失败

  ：Pod 可能需要从远程仓库拉取容器镜像。如果镜像拉取失败（例如，镜像仓库不可访问、认证失败或镜像不存在），Pod 将无法启动并会保持 Pending 状态。

  • 解决方法：检查镜像是否存在，仓库是否可访问，并确保 Pod 配置了正确的镜像拉取凭证（如 Docker Hub 或私有镜像仓库的认证信息）。

9. Kubernetes 控制平面问题 #

• 控制平面出现故障

  ：如果 Kubernetes 的控制平面出现问题，例如 API Server 或调度器不可用，Pod 可能无法正确调度到工作节点。

  • 解决方法：检查控制平面的状态，确保 API Server 和调度器正常运行。

如何排查 Pending 状态的 Pod #

1. 查看 Pod 状态： 使用以下命令查看 Pod 的详细信息，了解它为什么没有被调度：

   kubectl describe pod <pod-name>
   

   在输出中查看 Events 部分，通常会列出导致 Pod Pending 的原因。

2. 查看节点资源： 使用以下命令查看集群中的节点资源和使用情况：

   kubectl describe node <node-name>
   

3. 检查资源请求和限制： 查看 Pod 配置文件，检查资源请求（requests）和限制（limits）的设置，确保它们不会超出节点的可用资源。

总结 #

Pod 进入 Pending 状态通常是由于以下几个原因：资源不足、调度约束问题、Taints 和 Tolerations 设置、PersistentVolume 的绑定问题、镜像拉取失败等。通过查看 Pod 的描述信息和集群资源，能够帮助诊断问题，并采取相应的措施来解决。

deployment和statefulset区别☆ #

Deployment 和 StatefulSet 都是 Kubernetes 中常用的控制器，它们的主要区别在于如何管理和部署 Pod，以及它们对 Pod 的生命周期和存储的处理方式。下面是它们的主要区别：

1. Pod 的标识和命名 #

• Deployment

  ：

  • 在 Deployment 中，所有的 Pod 都是无状态的，它们被认为是相同的、可替代的 Pod。每个 Pod 的名字是由 Kubernetes 自动生成的，通常是随机的。
  • 例如，如果你有 3 个副本，Pod 名称可能是 pod-xxxxxx-abcde，每个 Pod 没有明确的身份。

• StatefulSet

  ：

  • StatefulSet 为每个 Pod 提供唯一的标识符。Pod 的名字是基于 StatefulSet 名称和一个索引号，例如：pod-name-0, pod-name-1, pod-name-2。这些 Pod 会按照特定的顺序进行创建、删除和扩缩容。
  • Pod 的顺序性是重要的，意味着它们的启动顺序、终止顺序都需要被严格遵循。

2. Pod 生命周期 #

• Deployment

  ：

  • Deployment 中的 Pod 是 无状态的，每个 Pod 是独立的、没有顺序依赖的。如果一个 Pod 被删除，Kubernetes 会创建一个新的 Pod 来替代它，而新的 Pod 可能在其他节点上运行，并且其网络地址和存储都可能不同。

• StatefulSet

  ：

  • StatefulSet 中的 Pod 是 有状态的，每个 Pod 都有一个固定的标识符，且 Pod 在启动和终止时会按照一定顺序进行。例如，StatefulSet 会按顺序启动 pod-name-0、pod-name-1 等，并在删除时按逆序删除它们（pod-name-2、pod-name-1、pod-name-0）。
  • 这种顺序性对需要有序启动或终止的应用非常重要。

3. 存储 #

• Deployment

  ：

  • Deployment 中的 Pod 通常使用 临时存储，即每次 Pod 启动时，都会创建新的存储卷，并且 Pod 的生命周期与存储卷的生命周期是分开的。这意味着每个 Pod 启动时都可能得到不同的存储资源，且这些存储资源不会持久化。

• StatefulSet

  ：

  • StatefulSet 提供了对 持久存储的支持，每个 Pod 都可以绑定到一个持久的存储卷。即使 Pod 被删除和重建，它们也可以重新挂载到之前的持久存储。这对于数据库、文件系统等需要持久化数据的应用非常重要。
  • StatefulSet 使用 PersistentVolumeClaim 来为每个 Pod 动态分配持久存储。

4. 扩缩容 #

• Deployment

  ：

  • Deployment 可以方便地进行横向扩展和缩容，所有的 Pod 都是相同的，没有顺序依赖。
  • Pod 的扩容和缩容是同时发生的，不考虑 Pod 的启动顺序。

• StatefulSet

  ：

  • StatefulSet 也支持扩容，但每次增加一个 Pod 都会按顺序进行。新的 Pod 会根据原有 Pod 的索引顺序进行创建和分配资源。
  • 在缩容时，Pod 会按相反顺序进行删除，确保有状态的应用正确地停止。

5. 网络 #

• Deployment

  ：

  • 在 Deployment 中，Pod 的网络是无状态的，每个 Pod 都可以通过 Kubernetes Service 与其他 Pod 进行通信，但这些 Pod 的 IP 地址是临时的、随机分配的。
  • 这意味着 Pod 的 IP 地址可能会随着 Pod 的重启而变化，因此不能依赖 IP 地址来识别 Pod。

• StatefulSet

  ：

  • 在 StatefulSet 中，每个 Pod 都有一个唯一且固定的网络标识符。例如，pod-name-0 会有一个稳定的 DNS 名称 pod-name-0.<statefulset-name>.<namespace>.svc.cluster.local，即使 Pod 被重新调度或重启，它的 DNS 名称和 IP 地址依然是固定的。

6. 适用场景 #

• Deployment

  ：

  • 适用于无状态应用，比如 Web 服务器、API 服务等。这些应用可以轻松地被替换，Pod 之间没有数据共享的需求。

• StatefulSet

  ：

  • 适用于有状态应用，如数据库、分布式文件系统、缓存系统等。这些应用需要确保数据的持久性、Pod 的顺序性以及唯一性。

7. 滚动更新 #

• Deployment

  ：

  • Deployment 支持 滚动更新，即通过逐步更新 Pod 的方式，确保应用不中断。每次更新一个 Pod，直到所有 Pod 都被更新为新版本。

• StatefulSet

  ：

  • StatefulSet 也支持滚动更新，但它会按顺序更新 Pod，确保每个 Pod 在更新过程中都能按顺序处理。这对于有状态应用的有序更新非常重要。

总结对比 #

适用场景示例 #

• Deployment：Web 服务、API 网关、前端服务等，这些服务不依赖于特定的状态或数据，可以轻松替换。
• StatefulSet：数据库（如 MySQL、PostgreSQL、MongoDB）、分布式存储系统（如 Cassandra、Elasticsearch）、分布式缓存（如 Redis）等，这些应用需要持久化数据、稳定的网络标识符和有序的扩缩容。

通过理解这些区别，你可以根据应用的需求选择合适的控制器进行部署和管理。

kube-proxy有什么作用☆ #

kube-proxy 是 Kubernetes 集群中的一个重要组件，负责实现 Pod 网络通信 和 Service 负载均衡。它是 Kubernetes 中的 网络代理，运行在每个节点上，确保 Pod 和 Service 之间的流量能够正确路由和转发。

kube-proxy 的主要作用 #

1. Service 负载均衡 kube-proxy 负责根据 Kubernetes 中定义的 Service，提供负载均衡功能。它将来自集群外部或其他 Pod 的流量路由到 Service 的后端 Pod 上。
   • ClusterIP Service：kube-proxy 通过 iptables 或 IPVS（取决于配置）将流量从 Service 的虚拟 IP（VIP）转发到实际的后端 Pod。
   • NodePort Service：kube-proxy 在每个节点上开放一个固定端口，当外部流量访问该端口时，kube-proxy 会将流量转发到对应的 Pod。
   • LoadBalancer Service：在云环境中，kube-proxy 会配合云提供商的负载均衡器，将外部流量通过负载均衡器转发到集群中的 Pod。
2. 路由与转发流量 kube-proxy 负责在每个节点上管理网络路由规则。它监听 Kubernetes API Server 上关于 Service 的变化，并动态更新节点上的路由规则，确保流量能够正确地转发到对应的 Pod。
3. Service 的虚拟 IP (VIP) 转发 每个 Service 在 Kubernetes 中都有一个虚拟 IP（ClusterIP），用于在集群内部提供访问。kube-proxy 会将流量从这个虚拟 IP 路由到对应的 Pod 集合，实现集群内的负载均衡。
4. 负载均衡算法 kube-proxy 通过不同的负载均衡算法来决定如何分发流量到后端的 Pod。常见的负载均衡策略包括：
   • 轮询：流量按顺序均匀分配到各个 Pod。
   • 最少连接数：将流量转发到当前连接数最少的 Pod（当使用 IPVS 时可用）。
   • 源地址哈希：根据客户端的 IP 地址将请求固定路由到同一个 Pod。

kube-proxy 的工作原理 #

kube-proxy 的工作原理主要取决于两种模式：iptables 模式 和 IPVS 模式。

1. iptables 模式 #

在 iptables 模式下，kube-proxy 使用 Linux 内核的 iptables 工具来配置流量转发规则。具体过程如下：

• kube-proxy 会为每个 Service 创建一个对应的 iptables 规则，将流量从 Service 的 ClusterIP 转发到对应的 Pod。
• 这些规则在节点的防火墙中生效，确保流量能够被正确地路由到后端 Pod。
• kube-proxy 会定期更新这些规则，以适应 Service 和 Pod 的变化。

优点：

• iptables 模式简单且不依赖额外的工具，适合小规模集群。

缺点：

• 随着集群规模增大，iptables 规则可能会变得复杂，性能也可能成为瓶颈。

2. IPVS 模式 #

IPVS（IP Virtual Server）是 Linux 内核的一个高级负载均衡功能，可以提供比 iptables 更高效的流量路由能力。kube-proxy 在 IPVS 模式下将流量转发到后端 Pod。

• kube-proxy 会通过 IPVS 配置负载均衡规则，提供高效的流量转发。
• IPVS 模式支持多种负载均衡算法，如轮询、最少连接数、基于源 IP 的哈希等。

优点：

• 性能比 iptables 模式更好，适合大型集群和高流量环境。
• 支持更多的负载均衡策略，适用于更复杂的流量调度需求。

缺点：

• 需要在集群节点上启用 IPVS，且配置较为复杂。

kube-proxy 的工作流程 #

1. 监听 API Server kube-proxy 持续监听 Kubernetes API Server，关注 Service 和 Endpoints 的变化。每当 Service 或 Pod 状态发生变化时，kube-proxy 会更新对应的路由规则。
2. 更新路由规则 根据 Kubernetes 中的 Service 配置，kube-proxy 会为每个 Service 创建合适的流量转发规则（无论是 iptables 规则还是 IPVS 规则），并在每个节点上生效。
3. 转发流量 当集群中的某个 Pod 发送流量到 Service 时，kube-proxy 会根据路由规则将流量转发到对应的 Pod。如果使用 NodePort 或 LoadBalancer，外部请求也会被转发到正确的 Pod。
4. 健康检查和负载均衡 kube-proxy 会定期检查 Pod 的健康状态，确保将流量仅转发给健康的 Pod。它通过监听 Endpoints 更新信息，确保服务的 Pod 集合是最新的。

kube-proxy 的使用场景 #

• 集群内服务的负载均衡：无论是 ClusterIP、NodePort 还是 LoadBalancer 服务，kube-proxy 都负责流量转发和负载均衡。
• 外部访问 Kubernetes 服务：通过 NodePort 或 LoadBalancer 类型的 Service，kube-proxy 将外部流量转发到集群中的 Pod。
• 内部服务发现与负载均衡：集群内的 Pod 可以通过 Service 名称进行访问，kube-proxy 会确保流量被正确地转发到对应的 Pod。

总结 #

kube-proxy 是 Kubernetes 集群中处理 网络代理 和 负载均衡 的重要组件，它通过维护 Service 和 Pod 之间的流量转发规则，确保集群内部和外部的网络通信能够顺畅进行。kube-proxy 的核心功能是确保流量从 Service 到 Pod 的正确路由，同时提供负载均衡能力。根据集群的规模和需求，它可以使用 iptables 或 IPVS 模式来实现流量路由。

kube-proxy怎么修改ipvs规则 #

在 Kubernetes 中，kube-proxy 使用 IPVS 模式时，流量转发是通过 Linux 内核的 IP Virtual Server (IPVS) 来实现的。kube-proxy 会动态地根据 Kubernetes 服务（Service）和 Endpoints 的变化来更新 IPVS 规则。

修改 IPVS 规则 #

通常情况下，kube-proxy 会自动管理 IPVS 规则，你可以通过以下方式修改或查看 IPVS 规则：

1. 启用 IPVS 模式 #

在 Kubernetes 中启用 IPVS 模式，需要在启动 kube-proxy 时进行配置。你可以通过修改 kube-proxy 的配置文件或命令行参数来启用 IPVS 模式。

• 修改 kube-proxy 配置文件（通常是 /etc/kubernetes/manifests/kube-proxy.yaml），并设置 proxy-mode 为 ipvs。

  示例配置：

  apiVersion: apps/v1
  kind: DaemonSet
  metadata:
    name: kube-proxy
    namespace: kube-system
  spec:
    template:
      spec:
        containers:
          - name: kube-proxy
            image: k8s.gcr.io/kube-proxy:v1.23.0
            command:
              - /bin/sh
              - -c
              - |
                # 修改 kube-proxy 启动参数
                /usr/local/bin/kube-proxy --proxy-mode=ipvs
  

  这个配置确保了 kube-proxy 启动时会使用 IPVS 模式。

• 如果你使用的是 kubeadm 部署的集群，也可以通过配置文件 /etc/kubernetes/kube-proxy-config.yaml 来设置。

  apiVersion: kubeproxy.config.k8s.io/v1alpha1
  kind: KubeProxyConfiguration
  mode: "ipvs"
  

修改完配置后，kube-proxy 会重启并切换到 IPVS 模式。

2. 查看 IPVS 规则 #

你可以使用 ipvsadm 工具来查看当前的 IPVS 规则。该工具显示的是当前节点上 IPVS 路由的配置。

• 在每个节点上，执行以下命令来查看当前的 IPVS 规则：

  ipvsadm -L -n
  

  这个命令将列出当前的 IPVS 负载均衡规则。输出示例：

  TCP  10.96.0.1:80 rr 1 1 1
  -> 10.244.0.2:80  masq
  -> 10.244.0.3:80  masq
  

• 解释：

  • 10.96.0.1:80 是 Service 的虚拟 IP 和端口。
  • 后面跟的是实际 Pod 的 IP 地址和端口（如 10.244.0.2:80 和 10.244.0.3:80），它们是该 Service 后端的 Pod。
  • masq 表示使用源地址伪装。

3. 手动修改 IPVS 规则 #

如果你需要手动修改 IPVS 规则（例如，调整负载均衡策略或进行故障排查），可以使用 ipvsadm 工具。

添加一条新的 IPVS 规则：

ipvsadm -A -t 10.96.0.1:80 -s rr
ipvsadm -a -t 10.96.0.1:80 -r 10.244.0.2:80 -m
ipvsadm -a -t 10.96.0.1:80 -r 10.244.0.3:80 -m

这会向 IPVS 中添加一个新的服务，绑定虚拟 IP 10.96.0.1:80，并将流量均匀地负载到两个 Pod（10.244.0.2:80 和 10.244.0.3:80）上，采用轮询负载均衡策略（-s rr）。

删除 IPVS 规则：

ipvsadm -D -t 10.96.0.1:80

这会删除虚拟 IP 10.96.0.1:80 的规则。

4. 修改负载均衡策略 #

如果你希望修改负载均衡算法，可以通过 ipvsadm 工具来更改负载均衡策略。

• 修改为

  最少连接数

  ：

  ipvsadm -A -t 10.96.0.1:80 -s lc
  

• 修改为

  基于源 IP 的哈希

  ：

  ipvsadm -A -t 10.96.0.1:80 -s sh
  

-s 参数后跟的负载均衡策略选项：

• rr: 轮询 (Round Robin)
• lc: 最少连接数 (Least Connections)
• sh: 源地址哈希 (Source Hashing)

5. 重新应用 IPVS 规则 #

由于 kube-proxy 会自动更新 IPVS 规则，修改规则后需要确保 kube-proxy 重新加载配置并应用新的规则。

• 你可以通过重新启动

  kube-proxy
  

  来确保它重新加载和应用新的 IPVS 配置：

  kubectl -n kube-system rollout restart daemonset kube-proxy
  

总结 #

• kube-proxy 使用 IPVS 模式时，负责在集群节点上配置和管理 IPVS 规则来实现负载均衡。
• 通过 ipvsadm 工具，可以查看、修改和删除 IPVS 规则。
• 如果需要修改 kube-proxy 的行为或负载均衡策略，可以通过修改配置文件来实现。
• 一般情况下，不建议手动修改 kube-proxy 的 IPVS 规则，除非你在进行故障排查或高级定制配置。

ipvs为什么比iptables效率高 #

IPVS（IP Virtual Server）相比 iptables 更高效的原因，主要体现在以下几个方面：

1. 专门为负载均衡设计 #

• IPVS 是一个专门为负载均衡设计的内核模块，旨在提供高效的流量调度和转发。它通过内核级的负载均衡算法和高效的路由机制，可以直接对流量进行负载均衡，减少了用户空间与内核空间的交互。
• iptables 则是一个更通用的网络防火墙工具，虽然也可以用于流量转发和负载均衡，但它的初衷并非专门优化负载均衡。因此，iptables 在处理复杂的流量转发时，不如 IPVS 高效。

2. 性能优化和内核支持 #

• IPVS 使用了 内核中的负载均衡模块，并且支持多种负载均衡算法（如轮询、最少连接、基于源 IP 的哈希等），它能更高效地处理网络流量。
• iptables 工作在更底层的网络过滤和控制层面，它通过查找匹配规则、设置目标（如 DNAT、SNAT）等操作来决定数据包的处理方式，处理过程相对复杂，需要更多的规则匹配和计算。

3. 规则查找方式 #

• IPVS 使用 哈希表 来存储和查找目标 Pod 或服务的 IP 地址，采用高效的散列算法，这使得它能够快速地做出路由决策。
• iptables 在处理流量时，通过 链（chains）和规则（rules） 进行逐条匹配，尤其是在有大量规则时，性能可能会下降，因为需要依次遍历所有的规则来找到匹配项。这在大规模集群中可能会导致较高的延迟。

4. 连接状态管理 #

• IPVS 会对每个流量连接进行高效的状态管理。它能够维护每个连接的状态，并基于连接的特性（如源 IP、目标端口等）做出高效的负载均衡决策。
• iptables 也可以进行连接跟踪，但在流量处理时，它的效率不如 IPVS，因为它需要逐个规则检查，而 IPVS 是根据每个连接的具体情况快速决定流向。

5. 负载均衡算法 #

• IPVS 支持多种高效的负载均衡算法，并能够实时地根据不同的网络情况动态选择合适的策略。这使得 IPVS 能够根据流量模式进行灵活的负载均衡。
• iptables 需要用户在规则中显式配置负载均衡逻辑，且支持的负载均衡算法有限，性能也相对较差。

6. 高并发处理能力 #

• IPVS 在设计时就考虑到高并发、高负载的情况，它通过 hashing 和负载均衡池 来管理流量转发，能够高效地处理成千上万的请求。
• iptables 的性能在大规模规则和高并发流量下容易下降，尤其是在复杂规则下。

7. 内存使用和效率 #

• IPVS 对于每个 Service 和 Pod 的信息进行高效的存储和访问，内存的使用更加高效。
• iptables 在每次流量到达时，必须遍历所有的规则链，尤其是在有大量规则的情况下，会造成内存和 CPU 的消耗。

8. 流量转发的直接性 #

• IPVS 通过内核中直接的流量转发机制，将流量从客户端直接转发到后端 Pod，而无需额外的计算。
• iptables 在流量转发时，必须依次处理每条规则，通常需要更复杂的处理步骤，导致处理延迟和性能开销。

总结 #

IPVS 比 iptables 高效的主要原因是它作为专门为负载均衡设计的内核模块，在设计上进行了优化，支持高效的流量调度和转发机制，且具有更高效的规则查找方式、连接管理以及负载均衡算法。而 iptables 更多是作为一个通用的网络过滤工具，其设计上并没有专门针对负载均衡进行优化，因此在流量处理和高并发环境下，性能较 IPVS 要低。

pod之间访问不通怎么排查☆ #

当 Pod 之间无法通信 时，可以通过以下步骤来排查和解决问题。这个过程涉及从网络配置到 Kubernetes 资源的逐步检查，确保流量能够正确地流动。

1. 检查 Pod 之间的网络连接 #

• Ping 测试：首先，确认 Pod 是否可以相互 ping 通。

  kubectl exec -it <pod-name> -- ping <target-pod-ip>
  

  如果无法 ping 通，说明可能是网络问题。

• 检查 Pod 的 IP 地址：使用以下命令查看 Pod 的 IP 地址。

  kubectl get pod <pod-name> -o wide
  

  确保 Pod 的 IP 地址是有效的，并且与其他 Pod 的 IP 地址不冲突。

2. 检查网络插件是否正常工作 #

Kubernetes 中的网络插件（如 Calico、Flannel、Weave 等）负责 Pod 之间的通信。你需要确认网络插件是否在正常工作。

• 查看网络插件的 Pod 状态：

  kubectl get pods -n kube-system
  

  检查相关网络插件 Pod 的状态，确保它们没有崩溃（CrashLoopBackOff）或者处于 NotReady 状态。

• 如果使用 Calico，可以查看其日志：

  kubectl logs <calico-pod-name> -n kube-system
  

  查找是否有网络错误或者警告。

3. 检查网络策略（Network Policies） #

如果你在集群中使用了 Network Policies，这些策略可能会限制 Pod 之间的流量。

• 查看是否有正在应用的 Network Policy：

  kubectl get networkpolicy
  

• 如果有 Network Policy，确保它们没有不小心阻止 Pod 之间的流量。可以暂时禁用网络策略，测试是否是它们导致了通信问题。

4. 检查 kube-proxy 状态 #

kube-proxy 负责在集群中配置负载均衡和服务代理，确保网络流量正确转发。如果 kube-proxy 出现问题，可能导致 Pod 之间无法通信。

• 查看 kube-proxy Pod 状态：

  kubectl get pods -n kube-system -l k8s-app=kube-proxy
  

• 检查 kube-proxy 是否正常运行，特别是是否报错。

• 如果 kube-proxy 的日志中有问题，可以通过重启 kube-proxy 进行排查：

  kubectl -n kube-system rollout restart daemonset kube-proxy
  

5. 检查节点网络和防火墙设置 #

如果 Pod 跨节点通信出现问题，可能是节点之间的网络连接或防火墙设置导致的。

• 确认节点之间的 网络连接 是否正常（比如使用 ping 或 telnet 测试端口）。

• 检查节点的 防火墙设置（例如，iptables 规则）是否限制了 Pod 之间的通信。特别是确保没有防火墙阻止跨节点的流量。

  你可以检查每个节点的 iptables 设置，查看是否有任何规则阻止流量：

  iptables -L -n
  

6. 查看 DNS 配置 #

有时 Pod 之间的访问失败可能是由于 DNS 配置不正确，导致 Pod 无法解析其他 Pod 的主机名。

• 查看 DNS 服务（如 CoreDNS）的 Pod 状态：

  kubectl get pods -n kube-system -l k8s-app=coredns
  

• 查看 CoreDNS 的日志，检查是否存在解析问题：

  kubectl logs <coredns-pod-name> -n kube-system
  

• 如果是基于 DNS 名称访问出现问题，尝试使用 Pod 的 IP 地址直接访问目标 Pod，确认是否是 DNS 问题。

7. 查看 Service 配置 #

如果是通过 Service 访问 Pod，但发现通信异常，可能是 Service 配置错误导致的。

• 查看 Service 配置：

  kubectl get svc <service-name> -o yaml
  

• 检查 ClusterIP、端口、selector 是否正确，确保 Service 的 selector 能匹配到目标 Pod。

8. Pod 重启和调试 #

如果通过上述方法仍然无法定位问题，尝试重启相关的 Pod 或服务，看看是否能解决问题。你可以尝试删除 Pod，让 Kubernetes 自动重建：

kubectl delete pod <pod-name>

或者重启节点上的网络插件、kube-proxy，看看是否能够恢复通信。

9. 集群的网络诊断工具 #

可以使用 Kubernetes 集群中的一些诊断工具来帮助你定位问题。例如：

• Calico 提供的诊断工具（如果使用 Calico 作为网络插件）。
• Weave Net 提供的 weave status 命令。
• Flannel 提供的 flannel 命令，查看网络状态和日志。

总结 #

排查 Pod 之间无法通信的原因需要从以下几个方面入手：

1. 确认 Pod 网络配置正常。
2. 检查网络插件的运行状态。
3. 检查是否有 Network Policy 阻止通信。
4. 检查 kube-proxy 状态。
5. 检查节点之间的网络连接和防火墙。
6. 检查 DNS 配置。
7. 查看 Service 配置。
8. 使用诊断工具进行更深入的排查。

通常，Pod 之间无法通信的常见原因包括网络插件故障、Network Policies 配置错误、节点防火墙设置不当，或者 kube-proxy 的配置问题。

k8s中Network Policy的实现原理 #

在 Kubernetes 中，Network Policy 是一种用于控制 Pod 之间网络流量的机制。它允许你定义哪些流量可以进入或离开某个 Pod，从而在网络层面上进行细粒度的流量控制。Kubernetes 本身并不直接实现 Network Policy，而是依赖于网络插件（如 Calico、Cilium、Weave 等）来实施这些策略。

Network Policy 的基本原理 #

1. 网络插件支持：
   • Kubernetes 的网络策略由网络插件实现。不同的插件有不同的实现方式，但所有插件都遵循 Kubernetes 提供的 NetworkPolicy API 规范。
   • 例如，Calico、Cilium 和 Weave 都支持 Network Policy，并在其内部实现了策略的拦截和执行。
2. 选择器（Selector）：
   • Pod Selector：Network Policy 使用标签选择器（Label Selector）来选择应用此策略的 Pod。通常使用 matchLabels 或 matchExpressions 来定义目标 Pod。
   • Namespace Selector：除了 Pod 选择器，Network Policy 还可以选择基于命名空间的流量。例如，可以指定来自特定命名空间的流量。
   • 通过这些选择器，Network Policy 确定哪些 Pod 允许或拒绝流量。
3. 入站（Ingress）和出站（Egress）规则：
   • Ingress：指定哪些流量可以进入匹配的 Pod。Ingress 规则定义了允许从哪些源 IP 地址或 Pod 进入 Pod。
   • Egress：指定哪些流量可以从匹配的 Pod 出去。Egress 规则定义了允许 Pod 向哪些目的地址或 Pod 发送流量。
   • 这些规则允许对流量进行细粒度控制，可以基于源地址、目标地址、端口等进行限制。
4. 允许和拒绝规则：
   • 默认情况下，所有 Pod 都能与集群中的其他 Pod 通信，但如果定义了 Network Policy，它会显式地控制哪些流量可以进出 Pod。
   • 允许：可以通过 Network Policy 允许某些流量。
   • 拒绝：Network Policy 允许通过选择器指定的规则拒绝流量。如果没有匹配到规则的流量，将被拒绝。

Network Policy 的工作流程 #

1. 定义 Network Policy：

   • Network Policy 通常通过 YAML 配置文件来定义。它包括 Ingress 和 Egress 规则，以及匹配标签选择器（selectors）来选择 Pod。

   示例 Network Policy YAML：

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
     name: allow-nginx
     namespace: default
   spec:
     podSelector:
       matchLabels:
         app: nginx
     ingress:
     - from:
       - podSelector:
           matchLabels:
             app: frontend
     egress:
     - to:
       - podSelector:
           matchLabels:
             app: backend
     policyTypes:
     - Ingress
     - Egress
   

   这个示例表示：

   • 只有带有标签 app: nginx 的 Pod 可以接受来自标签为 app: frontend 的 Pod 的流量。
   • 这些 Pod 也可以向标签为 app: backend 的 Pod 发送流量。

2. 插件拦截和实施：

   • 网络插件通过在节点上配置

     iptables

     或

     eBPF

     规则来实现 Network Policy 的功能。

     • iptables：某些插件（如 Calico）使用 iptables 来拦截和过滤网络流量，根据 Network Policy 定义的规则进行控制。
     • eBPF：现代的网络插件（如 Cilium）可能会使用 eBPF（扩展的 BPF，Berkley Packet Filter）技术，以更高效的方式处理流量。

3. 策略传播和执行：

   • 当网络策略（Network Policy）被创建或更新时，网络插件会立即重新计算流量规则并将其应用到相应的网络接口或路由表上。
   • 网络插件会根据规则在 网络层 对 Pod 的流量进行控制，允许符合条件的流量进入或离开 Pod，同时阻止不符合条件的流量。

4. 默认行为：

   • 如果集群没有任何 Network Policy，则所有 Pod 默认是 无约束的，即 Pod 之间的通信是完全开放的。
   • 一旦应用了任何 Network Policy，默认的行为变为 拒绝所有流量，除非显式地允许流量。这意味着如果没有规则指定某些流量，可以访问某个 Pod，则该流量将被拒绝。

例子：如何使用 Network Policy #

假设我们有以下场景：

1. Pod A：标签 app=frontend
2. Pod B：标签 app=backend

我们希望 frontend Pod 可以与 backend Pod 通信，但 backend Pod 不允许与 frontend 以外的 Pod 通信。

定义 Network Policy： #

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
  policyTypes:
  - Ingress

这个策略做了以下事情：

• 允许标签为 app: frontend 的 Pod 向标签为 app: backend 的 Pod 发送流量。
• 除了 frontend Pod，其他 Pod 都无法访问 backend Pod。

网络策略的关键点总结 #

1. 默认拒绝所有流量：没有 Network Policy 时，Pod 之间默认是开放的；有 Network Policy 后，默认拒绝所有流量，除非显式允许。
2. 支持细粒度控制：可以基于 Pod 标签、命名空间标签、IP 地址等来定义流量控制规则。
3. 网络插件依赖：Network Policy 的实际执行是依赖于 Kubernetes 集群中使用的网络插件，插件负责将策略转化为底层的网络规则（如 iptables 或 eBPF）。
4. 策略类型：可以定义 Ingress 和 Egress 策略来分别控制入站和出站流量。

结论 #

Kubernetes 中的 Network Policy 提供了灵活、细粒度的网络流量控制，能够在集群内部有效地隔离不同 Pod 和服务的通信。它通过网络插件将高层定义的策略转化为底层的网络配置，从而实现流量控制。

探针有哪些？探测方法有哪些？ #

在 Kubernetes 中，探针（Probe） 是一种用于检测和管理容器健康状况的机制。探针能够定期检查容器的健康状态，如果容器的健康状态出现异常，Kubernetes 会根据设置的策略进行处理（如重启容器）。探针主要有三种类型：

1. Liveness Probe（存活探针） #

• 作用：检测容器是否处于存活状态。如果容器死掉或变得不可恢复，Liveness Probe 会触发容器重启（由 kubelet 管理）。如果容器无法恢复到健康状态，Kubernetes 会根据策略重新启动容器。
• 使用场景：用于检测容器是否处于“挂掉”状态，例如应用死锁、无限循环等。

2. Readiness Probe（就绪探针） #

• 作用：用于检测容器是否准备好接收流量。如果容器未准备好（如正在启动或正在初始化），则 Kubernetes 不会将流量发送到该容器，直到它通过了就绪探针检查。
• 使用场景：用于检测应用是否已经完全启动并可以接受请求。例如，在数据库连接完成之前，可以设置就绪探针来保证流量不被发送到未完全准备好的容器。

3. Startup Probe（启动探针） #

• 作用：用于检查容器是否已经成功启动。它比 Liveness Probe 更加关注容器的启动过程，尤其是对于启动时间较长的容器。通常，在容器启动过程中，Startup Probe 会持续检查容器的状态，如果启动超时，Kubernetes 会重启容器。
• 使用场景：用于处理启动时间长、初始化步骤复杂的应用，确保容器在启动时有足够的时间完成启动。

探测方法（Probe Types） #

Kubernetes 中的探针可以通过以下几种方法进行探测：

1. HTTP GET Probe #

• 描述：通过向容器内部发起 HTTP 请求来探测容器的健康状态。Kubernetes 会检查返回的 HTTP 状态码，以此判断容器是否健康。

• 使用场景：适用于基于 HTTP 服务的容器，例如 Web 应用、API 服务等。

• 配置示例：

  livenessProbe:
    httpGet:
      path: /healthz
      port: 8080
    initialDelaySeconds: 3
    periodSeconds: 5
  

这段配置说明 Kubernetes 会向容器的 /healthz 路径发起 HTTP 请求，检查容器是否健康。返回的 HTTP 状态码为 2xx 时，视为健康。

2. TCP Socket Probe #

• 描述：通过尝试与容器内部的 TCP 端口建立连接来探测容器的健康状态。成功建立连接时认为容器健康。

• 使用场景：适用于需要 TCP 连接的服务，如数据库、缓存服务等。

• 配置示例：

  livenessProbe:
    tcpSocket:
      port: 3306
    initialDelaySeconds: 3
    periodSeconds: 5
  

这段配置表示 Kubernetes 会尝试连接到容器的 TCP 端口 3306，成功建立连接时认为容器健康。

3. Exec Probe #

• 描述：通过在容器内执行一个命令来探测容器的健康状态。如果命令执行成功（返回值为 0），则认为容器健康；如果返回值非零，则认为容器不健康。

• 使用场景：适用于需要特定的命令来判断健康状态的容器。

• 配置示例：

  livenessProbe:
    exec:
      command:
        - "cat"
        - "/tmp/healthcheck"
    initialDelaySeconds: 3
    periodSeconds: 5
  

这段配置表示 Kubernetes 会在容器内部执行 cat /tmp/healthcheck 命令，若命令成功执行，视为容器健康；如果命令失败，则认为容器不健康。

配置探针时的常用参数 #

1. initialDelaySeconds：容器启动后首次探测前的延迟时间。它允许容器有时间启动并准备好接收探测。
2. periodSeconds：每次探测之间的时间间隔。默认值是 10 秒。
3. timeoutSeconds：探测请求的超时时间。如果探测超时，会认为容器不健康。默认是 1 秒。
4. successThreshold：连续成功的探测次数。默认为 1。如果设置为大于 1，Kubernetes 会要求探针连续成功多次才会认为容器健康。
5. failureThreshold：连续失败的探测次数。默认为 3。如果设置为大于 1，Kubernetes 会要求探针连续失败多次才会认为容器不可用。

示例：完整的探针配置 #

以下是一个包含三种探针的完整示例，展示如何配置 Liveness、Readiness 和 Startup Probe：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: mycontainer
      image: myimage:latest
      livenessProbe:
        httpGet:
          path: /healthz
          port: 8080
        initialDelaySeconds: 3
        periodSeconds: 5
      readinessProbe:
        httpGet:
          path: /readiness
          port: 8080
        initialDelaySeconds: 5
        periodSeconds: 5
      startupProbe:
        httpGet:
          path: /startup
          port: 8080
        initialDelaySeconds: 10
        periodSeconds: 5

总结 #

Kubernetes 提供了 Liveness Probe、Readiness Probe 和 Startup Probe 三种探针来帮助管理容器的健康状态和流量调度。探针通过不同的方式（HTTP GET、TCP Socket、Exec 命令）来检查容器的健康状况，并采取相应的措施，如重启容器或阻止流量发送到不健康的容器。

pod健康检查失败可能的原因和排查思路 #

当 Kubernetes 中的 Pod 健康检查（Health Check） 失败时，可能会导致容器被重启或者流量被拒绝。健康检查失败的原因可能有很多种，通常与应用、配置、网络、资源等问题相关。以下是一些常见的原因和排查思路。

常见的 Pod 健康检查失败的原因 #

1. 应用本身的问题：
   • 应用崩溃或挂掉：应用进程崩溃或死锁，导致健康检查失败。
   • 应用启动慢：如果应用启动时间较长，可能未能在设置的 initialDelaySeconds 内完成启动，导致健康检查失败。
   • 应用依赖问题：应用可能依赖于其他服务或资源（如数据库、外部 API 等），如果依赖的服务不可用，应用可能无法启动或运行，导致健康检查失败。
2. 健康检查配置问题：
   • 路径或端口错误：配置的 HTTP 路径、端口号或 TCP 端口号不正确，导致探针无法访问容器。
   • 命令执行错误：如果使用的是 exec 探针，命令返回非零状态码，则会被认为健康检查失败。
   • 探针超时：如果探针的超时时间 (timeoutSeconds) 配置过短，探针可能会在容器响应前超时。
   • 探针的 initialDelaySeconds 配置不足：容器刚启动时，可能需要一些时间才能启动完成，探针需要给予容器足够的时间来初始化。
3. 资源不足：
   • CPU 或内存不足：如果容器的 CPU 或内存资源不足，可能会导致容器变得不响应或死掉，从而导致健康检查失败。
   • 节点压力：如果节点负载过高或资源不够，可能会影响容器的性能，导致健康检查失败。
4. 网络问题：
   • 网络延迟或不可达：如果容器依赖网络资源（如数据库或外部 API），并且网络出现故障或延迟，健康检查可能无法成功。
   • 防火墙或网络策略问题：Network Policy 或防火墙规则可能限制了容器之间或容器与外部服务之间的通信。
5. 依赖服务不可用：
   • 如果应用依赖于其他服务（如数据库、消息队列等），这些服务的不可用会导致应用不能正常工作，从而导致健康检查失败。

健康检查失败的排查思路 #

1. 检查容器日志 #

• 查看容器的日志以确定是否有应用崩溃、错误或异常。

  kubectl logs <pod-name> -c <container-name>
  

• 查找启动过程中是否有错误消息或异常，尤其是与依赖服务相关的错误。

2. 检查探针配置 #

• 确认

  livenessProbe
  

  和

  readinessProbe
  

  的配置是否正确，尤其是路径、端口和命令。

  • 对于 HTTP 探针，确保配置的路径和端口是正确的，并且容器内的服务在该路径上提供响应。
  • 对于 TCP 探针，确保指定的端口是容器内实际开放的端口。
  • 对于 exec 探针，确保命令是容器内有效的命令，并且可以正确执行。

• 查看探针配置中的超时时间、初始延迟和检查周期，是否合理配置：

  livenessProbe:
    httpGet:
      path: /healthz
      port: 8080
    initialDelaySeconds: 5
    timeoutSeconds: 2
    periodSeconds: 5
    failureThreshold: 3
  

• 如果 initialDelaySeconds 配置过小，容器还未启动完就进行健康检查，可能导致失败。

3. 检查容器资源限制 #

• 检查容器的

  CPU

  和

  内存

  配置，是否给容器分配了足够的资源。资源不足可能导致容器响应缓慢或挂掉。

  resources:
    requests:
      memory: "64Mi"
      cpu: "250m"
    limits:
      memory: "128Mi"
      cpu: "500m"
  

• 如果容器使用的资源接近或超过节点的限制，可能会导致容器崩溃或无法及时响应健康检查。

4. 检查依赖服务的可用性 #

• 如果容器依赖外部服务（如数据库、消息队列等），检查这些服务是否可用。如果是数据库连接问题，可以查看应用日志或数据库日志。

• 通过外部工具（如

  telnet
  

  或

  curl
  

  ）测试容器和外部服务的连接：

  curl <service-ip>:<port>
  

  如果有网络连接问题，可能需要检查 Kubernetes 集群的网络配置，特别是

  Network Policy

  或防火墙设置。

5. 查看 Kubernetes 事件 #

• 查看 Pod 的事件信息，了解容器重启和探针失败的详细信息：

  kubectl describe pod <pod-name>
  

• 查找与健康检查相关的错误信息，例如：

  • “Liveness probe failed” 或 “Readiness probe failed”
  • “Back-off restarting failed container”（容器重启失败）

6. 检查节点的资源使用情况 #

• 确认节点的 CPU 和内存是否出现瓶颈，导致容器无法正常运行。

  kubectl top nodes
  kubectl top pods
  

• 如果节点资源不足，可能需要扩展节点或调整资源配额。

7. 查看网络插件和策略 #

• 检查是否有

  Network Policy

  阻止了 Pod 之间的通信。

  kubectl get networkpolicy
  

• 如果使用了网络插件（如 Calico、Cilium 等），检查插件的状态和日志，确认网络是否正常。

8. 验证探针的路径是否有效 #

• 如果健康检查是基于 HTTP 请求的，确保容器内部的服务可以响应正确的 HTTP 状态码。你可以通过以下命令手动检查服务：

  curl http://localhost:<port>/healthz
  

• 检查 HTTP 服务器是否已经启动，并且健康检查路径（如 /healthz）返回的是成功的状态码（如 200 OK）。

总结 #

Pod 健康检查失败的原因可能包括：

1. 应用本身的问题（崩溃、启动慢等）。
2. 健康检查配置错误（路径、端口、命令不正确，超时设置不合理等）。
3. 资源不足，导致容器无法正常响应。
4. 网络问题，导致容器无法访问外部服务或其他 Pod。
5. 依赖服务不可用，影响应用的启动或运行。

排查时，应从容器日志、探针配置、资源使用、依赖服务、Kubernetes 事件等多方面入手，逐步定位问题。

k8s的Service是什么☆ #

Kubernetes 中的 Service 是一种抽象层，用于定义一组 Pod 的访问方式。它是一个负载均衡器，将客户端请求转发到后端的 Pod 上，确保即使 Pod 的 IP 地址变化，外部访问也能够稳定地连接到正确的 Pod。Service 还可以提供内部或外部网络访问入口，用于跨 Pod 或外部访问服务。

Service 的主要作用 #

1. 负载均衡：
   • Kubernetes Service 会自动将请求负载均衡到其背后的多个 Pod 上。通过将请求轮流分发给后端 Pod，Service 提供了一种高可用的访问方式。
2. 服务发现：
   • Service 提供一个稳定的 IP 地址和 DNS 名称（如 <service-name>.<namespace>.svc.cluster.local），使得即使 Pod 的 IP 地址变化，客户端仍然能够通过 Service 的 IP 或 DNS 访问该服务。
3. 抽象网络通信：
   • Service 提供了一个稳定的网络接口，而不用关心 Pod 的具体网络信息。Pod 可能会被动态创建、删除或重启，但客户端始终可以通过 Service 访问服务。

Service 的类型 #

Kubernetes 提供了多种类型的 Service，以满足不同的需求：

1. ClusterIP（默认类型）：

   • 作用：为 Service 分配一个集群内的虚拟 IP（VIP），并且只能在集群内部访问该服务。
   • 使用场景：适用于集群内部的服务通信。

   kind: Service
   apiVersion: v1
   metadata:
     name: my-service
   spec:
     selector:
       app: myapp
     ports:
       - protocol: TCP
         port: 80
         targetPort: 8080
   

   • 访问方式：通过 <service-name>.<namespace>.svc.cluster.local 或 <service-ip> 进行访问。

2. NodePort：

   • 作用：将 Service 映射到集群节点的一个特定端口，使得外部可以通过 <node-ip>:<node-port> 访问服务。
   • 使用场景：适用于需要外部访问集群内服务的场景，通常用于开发、测试环境。

   kind: Service
   apiVersion: v1
   metadata:
     name: my-service
   spec:
     selector:
       app: myapp
     ports:
       - protocol: TCP
         port: 80
         targetPort: 8080
         nodePort: 30001
     type: NodePort
   

   • 访问方式：通过 <node-ip>:<node-port> 进行访问，外部用户可以通过集群节点的 IP 地址和指定端口访问服务。

3. LoadBalancer：

   • 作用：将 Service 映射到云提供商的负载均衡器（如 AWS、GCP、Azure）上，外部流量可以通过云负载均衡器的 IP 或 DNS 名称访问集群中的服务。
   • 使用场景：适用于生产环境，需要通过云负载均衡器提供外部访问。

   kind: Service
   apiVersion: v1
   metadata:
     name: my-service
   spec:
     selector:
       app: myapp
     ports:
       - protocol: TCP
         port: 80
         targetPort: 8080
     type: LoadBalancer
   

   • 访问方式：通过云负载均衡器的公共 IP 或 DNS 名称进行访问。

4. ExternalName：

   • 作用：将 Service 映射到外部 DNS 名称，而不是集群内的 Pod。这意味着 Kubernetes 会将流量转发到指定的外部服务（通常是外部 DNS 名称）上。
   • 使用场景：适用于需要将内部服务与外部服务连接的场景，例如访问外部数据库或 API。

   kind: Service
   apiVersion: v1
   metadata:
     name: my-service
   spec:
     type: ExternalName
     externalName: example.com
   

   • 访问方式：通过 <service-name>.<namespace>.svc.cluster.local 进行访问，Kubernetes 会将请求转发到外部服务 example.com。

Service 的工作原理 #

Kubernetes 的 Service 是通过与 Endpoints 配合来工作的。当 Service 与 Pod 进行绑定时，Kubernetes 会自动为该 Service 创建一个 Endpoint 对象，记录与该 Service 关联的 Pod 的 IP 地址。

• 选择器（Selector）：Service 使用标签选择器来选择哪些 Pod 作为该 Service 的后端。标签选择器会选择符合指定标签的 Pod。
• 端口映射（Port Mapping）：Service 会将客户端的请求转发到后端 Pod 的指定端口。如果有多个 Pod，Kubernetes 会对请求进行负载均衡。

当一个请求发往 ClusterIP 或 NodePort 时，Kubernetes 会使用 iptables 或 IPVS 进行负载均衡，选择一个健康的 Pod 来响应请求。

Service 的健康检查 #

Kubernetes Service 本身并不执行健康检查，而是通过 Pod 的健康检查（如 Liveness Probe 和 Readiness Probe）来判断后端 Pod 是否健康。当一个 Pod 健康检查失败时，Kubernetes 会从 Service 的 Endpoints 列表中移除该 Pod，从而不再将流量发送到该 Pod。

访问 Service 的方式 #

1. 内部访问：
   • Service 的 ClusterIP 可以在集群内通过 <service-name>.<namespace>.svc.cluster.local 进行访问。集群中的所有 Pod 都可以通过该域名访问该 Service。
2. 外部访问：
   • 对于 NodePort 和 LoadBalancer 类型的 Service，外部用户可以通过 <node-ip>:<node-port> 或云负载均衡器的 IP 或 DNS 进行访问。

总结 #

• Service 是 Kubernetes 中的一种抽象，它提供了稳定的网络接口，帮助 Pod 提供负载均衡和服务发现。
• Kubernetes 支持多种类型的 Service，适用于不同的访问场景（如集群内部访问、外部访问、云负载均衡器等）。
• Service 使用标签选择器来确定要暴露的 Pod，通过 Endpoints 维护 Pod 的 IP 地址。
• 通过健康检查机制，Kubernetes 会确保仅向健康的 Pod 发送流量。

metrics-server采集指标数据链路 #

metrics-server 是 Kubernetes 集群中的一个轻量级、聚合型的监控组件，主要用于收集集群内节点和 Pod 的资源使用情况（如 CPU、内存等）。它提供了这些指标数据，供 Horizontal Pod Autoscaler (HPA) 和其他 Kubernetes 组件使用。metrics-server 不持久化数据，它只将资源指标从节点和 Pod 中采集并聚合后提供给 API 服务供其他组件查询。

以下是 metrics-server 采集指标数据的完整链路：

1. Node 端的 Kubelet 上报资源指标 #

• 每个 Node 上的 Kubelet 会周期性地收集本节点上所有 Pod 的资源使用情况（如 CPU 和内存）。

• Kubelet

  会通过

  /metrics/cadvisor
  

  和

  /stats/summary
  

  等接口提供当前节点和 Pod 的资源使用数据。

  • /metrics/cadvisor：提供 cAdvisor 中收集的容器级别的资源指标。
  • /stats/summary：提供节点级别和容器级别的资源使用数据。

这些资源数据以 JSON 格式提供，Kubelet 定期更新这些指标。

2. Metrics Server 收集数据 #

• metrics-server 会定期通过 Kubelet 的 Metrics API 获取每个 Node 和 Pod 的资源使用数据。
• Metrics Server 并不直接向 Node 发送请求，而是通过 Kubernetes API Server 访问集群中所有 Node 的 Kubelet 端点，收集指标数据。
  • 查询方式：metrics-server 使用 Kubernetes API 访问 /apis/metrics.k8s.io/v1beta1/nodes 和 /apis/metrics.k8s.io/v1beta1/pods 等接口获取节点和 Pod 的资源使用情况。
• Metrics Server 采集的数据包括：
  • 节点（Node）：CPU 使用率、内存使用量、磁盘使用量等。
  • Pod：每个容器的 CPU 和内存使用量。

3. 数据聚合和处理 #

• metrics-server 会将从所有节点收集到的资源数据进行汇总和处理，并将它们作为 Metrics API 提供给 Kubernetes API Server。
• Metrics 数据被以 实时 的方式提供给集群内其他的组件（如 Horizontal Pod Autoscaler (HPA)）来进行自动扩缩容等操作。

4. 通过 Kubernetes API 提供访问 #

• 其他组件（如 HPA）可以通过 Kubernetes API 查询和使用这些资源数据。

  • 例如，Horizontal Pod Autoscaler 会通过以下方式查询资源指标数据：

    kubectl get --raw "/apis/metrics.k8s.io/v1beta1/namespaces/default/pods"
    

  • 这将返回一个 JSON 响应，其中包含了指定命名空间中所有 Pod 的资源使用情况（CPU、内存等）。

5. Pod Autoscaling 的触发 #

• Horizontal Pod Autoscaler (HPA) 会定期查询 metrics-server 提供的指标数据（如 CPU、内存利用率等）来决定是否扩缩容。
• 如果 Pod 的资源使用超出了设置的阈值，HPA 会增加 Pod 的副本数量；反之，则会减少副本数。

6. 数据过期与刷新 #

• metrics-server 会定期重新拉取数据，通常每 60 秒就会刷新一次数据。它不会持久化数据，只会在内存中保持最近的资源使用数据。
• 旧的指标数据会被定期清除，不会长期保存，因此 metrics-server 是一个“短期”聚合工具，用于实时监控和扩缩容决策。

7. 数据存储与可视化 #

• 虽然 metrics-server 负责实时采集并提供指标数据，但它并不负责长期存储这些数据。如果需要长期存储并进行分析，可以考虑使用 Prometheus 来收集、存储和可视化资源使用数据。
• Prometheus 和 metrics-server 不同，Prometheus 会定期从 Kubelet 和其他组件拉取数据，并将数据存储在长期数据库中，便于后续的查询和分析。

采集数据链路总结： #

1. Kubelet 定期通过 /metrics/cadvisor 和 /stats/summary 等接口提供本节点和 Pod 的资源使用情况。
2. Metrics Server 从 Kubernetes API Server 查询各个节点和 Pod 的资源使用数据。
3. Metrics Server 聚合和处理数据后，作为 Metrics API 提供给集群内部组件。
4. HPA 等组件查询 Metrics API 以决定是否扩缩容。
5. Prometheus 可用于长期存储和可视化资源使用数据。

通过这个链路，metrics-server 为 Kubernetes 集群提供了实时的资源监控，帮助其他组件做出自动化决策，如自动扩容、缩容等。

k8s服务发现有哪些方式？ #

Kubernetes 提供了多种 服务发现 机制，用于让应用和服务之间能够彼此找到并进行通信。服务发现的目标是使服务能够在动态变化的环境中，尤其是容器和 Pod 的 IP 地址不断变化时，依然能够稳定地进行访问。Kubernetes 的服务发现方式主要有以下几种：

1. DNS 服务发现 #

Kubernetes 内建的 DNS 服务 是最常用的服务发现机制，它为集群中的所有服务提供了一个稳定的名称解析系统。

• 如何工作：

  • 每个 Kubernetes 集群通常会运行一个 CoreDNS 或 kube-dns 服务，负责解析集群内的 DNS 请求。
  • 每当你创建一个 Service，Kubernetes 会为该 Service 分配一个 DNS 名称。默认情况下，服务的 DNS 名称由 <service-name>.<namespace>.svc.cluster.local 构成。
  • 例如，如果你有一个名为 my-service 的 Service 位于 default 命名空间中，那么该服务的 DNS 名称将是 my-service.default.svc.cluster.local。

• DNS 查询：

  • 集群中的 Pod 可以通过 DNS 名称访问其他服务：

    curl http://my-service.default.svc.cluster.local
    

  • Kubernetes 通过 CoreDNS（或 kube-dns）将 DNS 查询解析到对应的 Service 的 ClusterIP。

• 应用场景：

  • 集群内部通信：服务与服务之间的通信通常使用 DNS 名称。
  • Pod 和 Service 之间：Pod 内的应用可以通过 DNS 名称访问服务，无论该服务背后的 Pod 如何变化。

2. ClusterIP（内网访问） #

ClusterIP 是 Kubernetes 中 Service 的默认类型，用于将服务暴露为一个集群内部的虚拟 IP（VIP）。

• 如何工作

  ：

  • 每个 Kubernetes Service 类型为 ClusterIP 时，Kubernetes 会为该 Service 分配一个虚拟 IP 地址，该 IP 地址在集群内部是固定的，其他 Pod 可以通过该 IP 地址访问服务。
  • 服务发现可以通过 DNS 解析该 IP 地址。

• 应用场景

  ：

  • 适用于集群内部的服务通信，尤其是当服务不需要暴露到外部网络时。
  • 例如，在 Kubernetes 集群中的应用 Pod 可以通过访问 my-service.default.svc.cluster.local 来访问 ClusterIP 类型的 Service。

3. NodePort（外部访问） #

NodePort 是 Kubernetes 中 Service 的一种类型，它将服务暴露到集群外部，并将请求通过集群节点的指定端口转发到服务的 ClusterIP。

• 如何工作

  ：

  • Kubernetes 为每个 NodePort 服务分配一个端口（范围通常是 30000-32767），该端口在集群中的每个节点上都可以访问。
  • 通过访问集群任意节点的 <node-ip>:<node-port>，请求将被转发到该 Service 的 ClusterIP 上，从而访问服务。

• 应用场景

  ：

  • 适用于将 Kubernetes 服务暴露到集群外部的场景，常用于开发和测试环境。
  • 通过该方式，可以在 Kubernetes 集群外部通过节点的 IP 和端口访问集群内的服务。

4. LoadBalancer（云环境外部访问） #

LoadBalancer 是 Kubernetes 中的一个 Service 类型，通常与云服务提供商（如 AWS、Azure、GCP）结合使用，自动创建一个外部负载均衡器。

• 如何工作：
  • 当创建 LoadBalancer 类型的 Service 时，云提供商会自动创建一个外部负载均衡器，并将负载均衡器的 IP 地址或 DNS 名称映射到该 Service 上。
  • 通过负载均衡器的 IP 地址或 DNS 名称，外部用户可以访问服务，负载均衡器会将流量转发到 ClusterIP 或 NodePort 类型的服务上。
• 应用场景：
  • 适用于生产环境，尤其是需要将服务暴露到公网，且希望由云提供商管理负载均衡的场景。
  • 比如，Kubernetes 在 AWS 上时，创建 LoadBalancer 服务会自动申请一个 ELB（Elastic Load Balancer）。

5. ExternalName（外部服务访问） #

ExternalName 是 Kubernetes 中的一个 Service 类型，允许将一个 Service 映射到外部 DNS 名称，而不是集群内部的 Pod 或 ClusterIP。

• 如何工作

  ：

  • 当创建 ExternalName 类型的 Service 时，Kubernetes 不会暴露一个虚拟 IP，而是将请求转发到指定的外部 DNS 名称。
  • 通过这种方式，Kubernetes 中的应用可以访问外部的服务，而不需要了解外部服务的 IP 地址。

• 应用场景

  ：

  • 适用于需要访问集群外部服务的场景。例如，访问外部数据库、API 服务或第三方服务时，可以通过 Kubernetes 创建一个 ExternalName 类型的 Service。
  • 例如，创建一个名为 external-db 的 Service，将其映射到外部 DNS db.example.com 上，集群内的 Pod 通过 external-db.default.svc.cluster.local 访问外部数据库。

6. Headless Service（无头服务） #

Headless Service 是 Kubernetes 中 Service 的一种特殊类型，用于不使用 ClusterIP 或负载均衡机制，而是直接通过 DNS 解析访问每个 Pod。

• 如何工作

  ：

  • 在创建 Service 时，设置 ClusterIP: None，即禁用 ClusterIP，同时使用 DNS 名称进行服务发现。
  • 这种方式不会为 Service 创建虚拟 IP 地址，而是为每个 Pod 创建一个 DNS A 记录，Pod 的 DNS 名称格式为 <pod-name>.<service-name>.<namespace>.svc.cluster.local。

• 应用场景

  ：

  • 适用于需要直接访问 Pod 的情况，常见于有状态应用，如数据库集群（例如 MongoDB、Cassandra）等，Pod 的 IP 地址在集群中动态变化时，服务发现可以直接访问每个 Pod。

7. Endpoints（手动定义服务发现） #

Kubernetes 的 Endpoints 是一种低级别的服务发现方式，用于映射服务与后端 Pod 之间的关系。

• 如何工作：
  • Endpoints 是一种资源对象，它描述了 Service 后端 Pod 的 IP 地址和端口。
  • 手动创建 Endpoint 对象，将外部或其他 Pod 作为后端服务进行访问。
• 应用场景：
  • 当服务不使用 Service 对象或不使用 Kubernetes 自动化的服务发现时，可以手动定义 Endpoint 对象来实现服务发现。
  • 例如，当需要将外部数据库或服务纳入到 Kubernetes 集群的服务发现中时。

总结 #

Kubernetes 提供了多种服务发现方式，适用于不同的场景：

1. DNS 服务发现：使用 DNS 名称访问服务，适合集群内部通信。
2. ClusterIP：为服务分配一个集群内部的虚拟 IP，适合内部服务通信。
3. NodePort：将服务暴露到外部，通过节点的 IP 和端口访问。
4. LoadBalancer：与云负载均衡器结合，适合将服务暴露到公网。
5. ExternalName：将 Service 映射到外部 DNS 名称，适合访问外部服务。
6. Headless Service：通过 DNS 直接解析每个 Pod，适用于有状态服务。
7. Endpoints：手动定义服务与后端 Pod 的映射关系，用于特殊场景。

不同的服务发现方式可以根据需要选择和配置，提供灵活的服务访问和负载均衡机制。

pod几种常用状态 #

在 Kubernetes 中，Pod 的生命周期有多个状态，每个状态代表了 Pod 当前的不同阶段或健康状况。以下是一些常见的 Pod 状态及其说明：

1. Pending #

• 描述：Pod 已经被创建并且调度到一个节点，但还没有开始运行，通常是因为 Pod 的容器镜像还没有下载，或者资源（如 CPU、内存）尚未准备好。

• 原因

  ：

  • 资源不足（例如节点没有足够的内存或 CPU 来启动 Pod）。
  • 容器镜像下载失败或拉取时间过长。
  • Pod 的调度过程还未完成。

2. Running #

• 描述：Pod 已经调度到某个节点并且至少有一个容器正在运行。

• 原因

  ：

  • Pod 的所有容器都已经成功启动，并且正在运行中。
  • Pod 可以接受请求，容器内的应用可以开始提供服务。

3. Succeeded #

• 描述：Pod 内的所有容器已经成功执行完毕并退出，没有发生任何错误或异常。

• 原因

  ：

  • 适用于一次性任务（如批处理任务），容器正常完成任务后退出。

4. Failed #

• 描述：Pod 内的容器因为错误退出（退出码非零），且重启策略不允许重启容器。

• 原因

  ：

  • 容器内的应用崩溃或执行过程中发生错误导致容器失败退出。
  • 容器的重启策略为 Never 或 OnFailure 且失败条件不满足时。

5. CrashLoopBackOff #

• 描述：Pod 的容器在启动后不久崩溃，并且 Kubernetes 尝试多次重启容器，仍然无法恢复正常状态。每次重启都会有一定的延迟（BackOff），以避免过度尝试重启。

• 原因

  ：

  • 容器的启动过程失败，例如应用配置错误、环境问题、依赖服务未启动等。
  • 当容器因某种原因失败并尝试重启，但在多个重启后仍然无法恢复时，状态会变为 CrashLoopBackOff。

6. Unknown #

• 描述：Kubernetes 无法获取 Pod 的状态，通常表示节点与集群管理组件之间的通信出现问题。

• 原因

  ：

  • 节点与 Kubernetes API Server 之间的网络或通信出现问题，导致无法获取 Pod 状态。

7. Terminating #

• 描述：Pod 正在被删除，并且 Kubernetes 已经开始终止容器和清理资源。

• 原因

  ：

  • 用户或控制器发出了删除 Pod 的命令，Pod 正在关闭并释放资源。
  • 容器和 Pod 的删除过程可能会有一定的延迟，特别是在删除过程中等待容器的退出或清理临时存储等。

8. Waiting #

• 描述：Pod 内的容器正在等待某些条件才能启动。常见的等待原因包括容器镜像下载失败、挂载存储卷出现问题等。

• 原因

  ：

  • 容器在启动时遇到阻塞状态，可能是因为某些依赖没有准备好（如挂载的存储还没就绪）。
  • 容器被限制启动（如因为节点资源不足）。

总结 #

常见的 Pod 状态包括：

1. Pending：正在等待资源和调度。
2. Running：正在运行。
3. Succeeded：成功完成任务并退出。
4. Failed：由于错误容器退出。
5. CrashLoopBackOff：容器多次失败并在重启时有延迟。
6. Unknown：无法获取 Pod 状态，通常是通信问题。
7. Terminating：Pod 正在被删除。
8. Waiting：容器处于等待状态，通常是等待某些条件满足。

理解这些状态有助于排查和诊断 Kubernetes 集群中的应用问题，尤其是当 Pod 状态不正常时，可以根据不同的状态做出相应的排查与处理。

Pod 生命周期的钩子函数 #

在 Kubernetes 中，Pod 生命周期钩子函数（Lifecycle Hooks）用于在 Pod 生命周期的特定阶段执行用户自定义操作。钩子函数允许在容器启动、终止时执行特定的任务，通常用于初始化、清理、日志记录、通知等。常见的钩子函数包括：

1. PostStart #

• 描述：在容器启动之后立即执行的钩子函数。此钩子会在容器的应用程序启动之前执行。

• 使用场景：

  • 用于容器启动后执行初始化任务，例如数据库初始化、数据迁移等。
  • 可以用来启动容器内的外部服务或做其他准备工作。

• 注意事项：

  • PostStart 钩子在容器启动完成之前就会执行，因此如果该钩子执行失败，容器仍然会被认为启动失败。

• 配置示例：

  lifecycle:
    postStart:
      exec:
        command: ["sh", "-c", "echo Container started"]
  

2. PreStop #

• 描述：在容器终止之前执行的钩子函数。Kubernetes 在发送 SIGTERM 信号时会触发 PreStop 钩子，以便容器能够执行清理工作。

• 使用场景：

  • 用于在容器关闭之前执行一些清理任务，例如关闭外部连接、保存状态或清理临时文件等。
  • 适合在容器终止时进行优雅的关闭，以确保没有丢失数据或影响业务。

• 注意事项：

  • PreStop 钩子可能会受到容器的终止时间限制（通常为 30 秒，取决于 terminationGracePeriodSeconds 设置），如果钩子执行时间超过限制，容器将被强制杀死。

• 配置示例：

  lifecycle:
    preStop:
      exec:
        command: ["sh", "-c", "echo Container stopping"]
  

3. 限制与注意事项 #

• 钩子函数的 执行时间有限制，尤其是在容器终止时的 PreStop 钩子，通常 Kubernetes 会根据 terminationGracePeriodSeconds 配置给容器一定的优雅终止时间（默认为 30 秒）。如果钩子执行超过该时间，容器会被强制终止。
• 钩子执行的错误处理：如果钩子执行失败，Kubernetes 会根据具体情况采取不同的策略（如容器启动失败时 Pod 进入 Crash 状态）。特别是 PostStart 钩子失败时，容器会被视为启动失败，Kubernetes 会尝试重新启动容器。

4. 钩子的执行方式 #

Kubernetes 支持以下几种方式来执行钩子函数：

• Exec：在容器内执行指定的命令。适用于需要执行自定义命令的场景。
• HTTP：向容器内的某个 HTTP 服务发送请求。适用于需要与容器内服务进行交互的场景。

示例：

lifecycle:
  postStart:
    httpGet:
      path: /healthz
      port: 8080
  preStop:
    exec:
      command: ["sh", "-c", "curl -X POST http://localhost:8080/shutdown"]

总结 #

Pod 生命周期钩子函数 PostStart 和 PreStop 可以帮助用户在容器启动和停止时执行自定义操作。PostStart 钩子在容器启动后执行，而 PreStop 钩子在容器终止前执行。合理使用钩子函数可以帮助容器在生命周期内进行一些必要的初始化和清理操作，从而提高应用的稳定性和健壮性。

Calico和flannel区别☆ #

Calico 和 Flannel 都是 Kubernetes 中常用的网络插件，它们提供了容器间的网络通信支持，但在实现方式、功能和特性上存在一些显著的差异。以下是它们的主要区别：

1. 架构设计 #

• Flannel：
  • Flannel 是一个简单的网络插件，设计上比较轻量级，主要关注为 Kubernetes 提供一个扁平化的、可扩展的网络模型。
  • Flannel 使用的是 Overlay 网络，通过在每个节点上创建虚拟网络（通常使用 VXLAN 或者其他 tunneling 协议）来实现容器之间的通信。
  • 由于 Flannel 的架构简单，它的网络性能相对较低，适用于对性能要求不太高的场景。
• Calico：
  • Calico 提供了一个更加灵活和强大的网络解决方案，支持 Layer 3 网络，不仅支持 Overlay 网络（使用 IP-in-IP 或 VXLAN），还可以使用 路由模式（如 BGP）进行容器间的通信。
  • Calico 的架构设计允许更加细粒度的控制，包括网络策略、IP 地址管理等功能。

2. 网络模型 #

• Flannel：
  • 使用 Overlay 网络：每个 Pod 都分配一个虚拟 IP 地址，并通过隧道技术（VXLAN 或其它方式）将这些 IP 地址连接到其他节点的 Pod 上。Pod 之间的通信通过隧道（tunnel）实现。
  • 网络通信相对简单，但可能存在一些性能开销。
• Calico：
  • 支持 Overlay 和 非 Overlay（路由）网络：可以根据需求选择是否使用隧道。如果使用路由模式，Pod 会直接使用物理网络进行通信，减少了网络层的开销。
  • 在非 Overlay 模式下，Calico 会利用 BGP（边界网关协议） 来实现不同节点之间的直接路由，而不是依赖于隧道。

3. 网络策略（Network Policy） #

• Flannel：
  • Flannel 本身不提供网络策略功能。它依赖于 Kubernetes 本身的网络策略（NetworkPolicy）来控制 Pod 之间的通信，或者需要与其他插件（如 Cilium）配合使用来实现网络策略。
  • Flannel 只是提供了基础的网络通信能力。
• Calico：
  • Calico 提供了强大的 网络策略（NetworkPolicy） 功能，允许用户在粒度上定义哪些 Pod 可以与哪些 Pod 通信，控制流量的入口和出口。Calico 的网络策略比 Kubernetes 原生的网络策略更为强大，支持细粒度的控制。

4. 性能 #

• Flannel：
  • 由于使用了 Overlay 网络，Flannel 会在网络通信时引入一定的性能开销，尤其是在高流量的场景下。
  • 对于需要高性能的网络通信，Flannel 的性能可能不如 Calico。
• Calico：
  • Calico 的性能较高，尤其在使用 路由模式（非 Overlay）时，Pod 之间的通信直接通过物理网络路由，不需要额外的隧道，因此性能较优。
  • 在支持大规模集群和高吞吐量时，Calico 表现得更好。

5. IP 地址管理 #

• Flannel：
  • Flannel 提供简单的 IP 地址管理方案，通常会为每个节点分配一个子网，并为每个 Pod 分配一个虚拟 IP 地址。
  • Flannel 使用 etcd 作为后端存储来管理 IP 地址分配。
• Calico：
  • Calico 提供灵活的 IP 地址管理，支持直接在物理网络上分配 IP 地址，支持多种 IP 地址池配置，支持与现有的 IPAM（IP 地址管理）系统集成。
  • Calico 不仅可以为 Kubernetes 分配 IP 地址，还可以扩展到容器之外的网络范围。

6. 扩展性 #

• Flannel：
  • Flannel 的功能相对简单，适用于需要快速部署且不需要复杂网络策略的场景。
  • 虽然 Flannel 支持插件扩展，但它的扩展性相对较差，特别是在涉及到复杂的流量控制和安全策略时。
• Calico：
  • Calico 提供了更高的扩展性，支持与其他系统的集成（如 CNI、BGP、网络策略管理等），能够适应复杂的企业级需求。
  • 它支持更复杂的网络环境，并且可以在不同的云平台和裸机环境中高效运行。

7. 支持的环境 #

• Flannel：
  • 适合轻量级的 Kubernetes 集群，通常用于中小规模或对网络策略和性能要求较低的环境。
  • 支持大部分的 CNI 插件和 Kubernetes 部署，适用于简化的网络需求。
• Calico：
  • 适合对网络性能、可扩展性和安全性有较高要求的企业级环境，尤其在需要高级网络策略和 IP 地址管理的场景中表现出色。
  • 支持大型集群、大规模部署以及复杂的网络拓扑结构。

总结 #

总结来说，如果你需要一个简单的网络插件来快速部署 Kubernetes 集群，Flannel 是一个不错的选择；而如果你的集群需要支持更高的网络性能、更复杂的网络策略或需要更强的扩展性，Calico 是更合适的选择。

calico网络原理、组网方式 #

Calico 是一个为 Kubernetes 提供高效网络连接和安全策略的容器网络插件。它支持高性能的网络通信和复杂的网络策略，同时能与现有网络基础设施兼容，支持大规模的云原生应用。Calico 网络的原理和组网方式主要基于以下几个关键概念：

1. 网络原理 #

Calico 的核心原理基于 Layer 3 网络，并采用 路由模式（BGP）进行网络通信，而不是依赖于传统的 Overlay 网络（如 VXLAN）。这使得 Calico 在性能和可扩展性方面具有显著优势。它主要通过以下几个机制来提供高效的网络服务：

1.1 IP-in-IP 或 VXLAN 隧道 #

• 在支持路由模式的情况下，Calico 允许容器通过物理网络直接通信，而不需要通过隧道。容器的 IP 地址直接映射到物理网络上的 IP 地址。
• 如果容器的网络无法直接在物理网络上路由（例如在某些隔离的环境中），Calico 会通过 IP-in-IP 隧道 或 VXLAN 隧道来封装网络流量。这样，容器仍然能够通过隧道来进行通信，确保网络的隔离和连接。

1.2 路由模式（BGP） #

• Calico 支持 BGP（边界网关协议），用于管理不同节点之间的路由信息。每个节点都会向其他节点通告其容器网络的路由信息，使用 BGP 协议动态交换路由表。
• 这种路由机制允许节点之间直接通信，避免了传统 Overlay 网络带来的性能开销，同时保持网络的灵活性和可扩展性。

1.3 IP 地址管理（IPAM） #

• Calico 提供了 IP 地址管理（IPAM），为每个 Pod 分配一个唯一的 IP 地址。它可以使用自动化的方式为每个 Pod 分配 IP 地址，也可以与外部 IPAM 系统集成（例如与云提供商的 IP 地址池进行集成）。
• 通过这种 IP 地址管理，Calico 可以确保 Pod 和服务在 Kubernetes 集群中拥有独立且唯一的 IP 地址。

2. Calico 的组网方式 #

Calico 支持多种组网方式，根据网络拓扑和需求的不同，用户可以选择不同的部署方式。主要的组网方式包括：

2.1 Layer 3 路由模式（无 Overlay） #

• 原理：在路由模式下，Calico 使用 BGP 动态地将每个节点的容器网络 IP（Pod 的 IP 地址）公布到整个集群中。容器直接在物理网络上进行通信，不需要任何隧道或封装。

• 优点

  ：

  • 性能更高：因为容器间的通信不需要通过隧道，而是直接通过物理网络路由。
  • 低延迟：直接的 Layer 3 路由减少了网络开销。
  • 可扩展性好：能够轻松支持大型集群，因为 BGP 可以自动适应网络的扩展。

• 使用场景：适合对性能有较高要求的大型集群，尤其是需要大规模、高吞吐量容器通信的环境。

2.2 Overlay 网络模式（IP-in-IP 或 VXLAN） #

• 原理：如果物理网络无法直接支持容器间的直接路由，Calico 会使用 IP-in-IP 或 VXLAN 隧道技术来封装 Pod 的流量。通过隧道，Pod 可以像在 Overlay 网络上一样进行通信。

• 优点

  ：

  • 网络隔离：Overlay 网络可以在不同的数据中心或网络段之间提供容器隔离。
  • 容易配置：适用于在不同物理网络环境下的 Kubernetes 集群，确保容器网络的可达性。

• 使用场景：适合在需要跨多个网络环境或云环境运行的 Kubernetes 集群，或者希望对网络流量进行封装和隔离的场景。

2.3 Calico 与其他网络插件的结合 #

• Calico 可以与其他 CNI 插件（如 Flannel、Weave 等）结合使用，在这些插件的基础上提供更多的功能。例如，Calico 可以在 Flannel 或 Weave 网络基础上提供增强的网络策略功能，允许用户实现更细粒度的流量控制和安全策略。

2.4 与 Kubernetes 网络策略结合 #

• Calico 本身提供了强大的 网络策略（NetworkPolicy） 功能，用户可以基于标签、命名空间等条件控制容器之间的通信。网络策略允许控制 Pod 之间、Pod 和外部服务之间的流量，实现容器化应用的安全隔离。

3. Calico 的主要组件 #

Calico 主要由以下几个组件组成：

• Felix：Calico 的核心代理组件，负责节点之间的路由更新、网络策略的执行、以及容器网络的管理。Felix 会在每个节点上运行，并与 Etcd 或其他存储后端进行交互，更新路由和网络策略。
• BGP：使用 BGP 协议动态地交换节点之间的路由信息。每个节点上都会有一个 BGP 路由器，它将每个 Pod 的 IP 地址与节点的物理网络地址关联起来。
• Calico CNI 插件：为 Kubernetes 提供容器网络功能，负责为每个 Pod 分配 IP 地址，并与 Etcd 进行交互来管理 IP 地址和路由。
• Etcd：作为分布式的存储后端，用来存储 Calico 的配置信息、路由表、网络策略等数据。
• API Server：通过 Calico 的 API，用户可以配置网络策略、查看网络状态等。它为管理和操作 Calico 提供了一个易于使用的接口。

4. Calico 的优势 #

• 高性能：通过直接的 Layer 3 路由和 BGP 协议，避免了 Overlay 网络的性能开销，提供了低延迟的网络连接。
• 灵活性：支持多种网络模型（如 IP-in-IP、VXLAN 和纯路由模式），可以根据不同的需求和网络环境选择适合的模式。
• 扩展性：Calico 设计上适合大规模集群，能够通过 BGP 动态交换路由，适应大规模和动态变化的集群环境。
• 网络安全：通过网络策略（NetworkPolicy），Calico 允许用户定义容器间的通信规则，确保集群的网络安全。
• 支持多种部署环境：Calico 支持在云环境、物理服务器、虚拟化环境以及裸机环境中运行，能够满足不同场景的需求。

总结 #

Calico 是一个强大的网络插件，它基于 Layer 3 路由和 BGP 协议提供高效的容器网络解决方案，支持多种组网模式（如 Overlay 和路由模式），并提供高级的网络策略管理。无论是在需要高性能的容器通信环境，还是在需要灵活、安全的网络隔离和流量控制的场景中，Calico 都能够提供优异的支持。

IP-in-IP (IPIP) 是 Calico 支持的一种 Overlay 网络模式，它为不同节点上的 Pod 提供网络隔离和跨节点通信。与 BGP 模式相比，IPIP 模式使用隧道技术封装 Pod 的 IP 数据包，使得容器在不同节点间的通信能够通过隧道进行，即使在物理网络上无法直接路由。

IP-in-IP 模式的工作原理 #

在 IP-in-IP 模式下，Calico 为每个 Pod 分配一个独立的 IP 地址，这些地址属于一个大的网络范围。当 Pod 在不同节点之间进行通信时，Calico 会使用 IP-in-IP 隧道技术将流量从一个节点传输到另一个节点，具体的工作流程如下：

1. 隧道封装：
   • 当一个 Pod 发送数据包到另一个节点的 Pod 时，源节点会将数据包封装在 IP-in-IP 隧道中。即，数据包的原始目的 IP 地址是目标 Pod 的 IP 地址，而源地址是源 Pod 的 IP 地址。
   • 在封装的过程中，源节点会将原始数据包的内容保留在内层 IP 数据包中，外层则加上了源节点的 IP 地址和目标节点的 IP 地址。这种封装技术保证了数据包能够跨节点传输。
2. 隧道解封装：
   • 当数据包到达目标节点时，目标节点会根据外层的 IP 信息解封装数据包，并将内层的数据包转发到目标 Pod。
   • 目标节点知道如何将内层数据包发送到正确的 Pod，因为它已经包含了目标 Pod 的 IP 地址。
3. 与路由模式的区别：
   • 在 IP-in-IP 模式下，容器的 IP 地址和网络流量被封装成 IP 数据包，通过隧道进行跨节点传输。每个节点上的 Calico 代理 (Felix) 会负责管理隧道的建立和流量的转发。
   • 与之相对，BGP 路由模式则不使用隧道，而是直接通过物理网络路由 Pod 之间的流量，依赖于 BGP 路由协议来传递和更新路由信息。

IP-in-IP 模式的优缺点 #

优点： #

1. 跨节点通信支持：
   • IP-in-IP 模式能够实现跨节点和跨数据中心的 Pod 之间的通信，特别适用于网络拓扑较复杂或者无法直接通过物理网络路由 Pod 的环境。
2. 简单易配置：
   • 在使用 Calico 的 IP-in-IP 模式时，配置通常较为简单，不需要复杂的路由配置，适合在一些较简单的环境中快速部署。
3. 隔离性：
   • 由于每个节点之间的流量被封装在隧道中，它提供了较好的网络隔离性，避免了不同网络间的干扰。

缺点： #

1. 性能开销：
   • 隧道封装和解封装过程会带来额外的性能开销，特别是对于高吞吐量或低延迟要求的应用。封装后的数据包体积增大，网络带宽和 CPU 资源会有所消耗。
2. 调试复杂性：
   • 使用 Overlay 网络时，网络拓扑更加复杂，网络故障排查可能更困难。你需要对隧道的状态进行监控，以确保数据包能够正确地封装和解封装。
3. 不如 BGP 路由模式高效：
   • 相比于直接的路由模式（BGP），IP-in-IP 模式通过隧道传输流量，性能可能会受到影响，尤其是在大规模集群和对性能要求高的场景下。

使用场景 #

• 跨节点网络隔离：在不同节点或数据中心的 Pod 之间需要安全隔离的环境下，IP-in-IP 模式适合提供封装的网络连接。
• 不支持直接路由的网络环境：如果物理网络不支持跨节点直接路由，或者网络中存在复杂的防火墙和路由规则，IP-in-IP 模式能够通过隧道穿越这些限制，实现 Pod 间的通信。

配置 IP-in-IP 模式 #

Calico 默认启用 IP-in-IP 模式，并通过 calicoctl 工具来进行相关配置。你可以在 Calico 配置文件 中设置是否启用 IP-in-IP 模式，或者在集群安装过程中选择使用此模式。

例如，要启用或禁用 IP-in-IP，可以修改 Calico 配置中的 calico_backend 设置：

calicoctl config set ipip_enabled true

这会启动 IP-in-IP 模式，所有 Pod 之间的跨节点流量都会通过 IP-in-IP 隧道进行传输。

总结 #

• IP-in-IP 模式 是 Calico 的一种 Overlay 网络模式，通过隧道技术封装 Pod 流量，使其能够跨节点进行通信，适用于需要网络隔离、跨网络拓扑的场景。
• 该模式适合较简单的部署场景，但可能会引入性能开销。
• 对于性能要求较高、网络拓扑支持直接路由的集群，BGP 路由模式可能是更合适的选择。

VXLAN (Virtual Extensible LAN) 是一种用于构建虚拟化数据中心的 Overlay 网络技术，可以解决传统 Layer 2 网络在大型、分布式环境中的扩展性问题。Calico 支持 VXLAN 模式作为其 Overlay 网络的一种形式，用于实现跨节点的容器网络连接。与 IP-in-IP 模式类似，VXLAN 也是一种封装技术，但其工作原理和优缺点略有不同。

VXLAN 的工作原理 #

在 Calico 中使用 VXLAN 时，每个节点上的容器（Pod）都会分配一个 IP 地址，跨节点通信时，流量会通过 VXLAN 隧道进行封装和传输。具体过程如下：

1. 隧道封装：
   • 当 Pod 发送数据包到另一个节点上的 Pod 时，源节点会将数据包封装在 VXLAN 隧道中。封装后的数据包会包含原始数据包的内容（Pod 的 IP 地址、数据等），并加上外层的 VXLAN 头，外层头包含源节点的 VXLAN 端口和目标节点的 VXLAN 端口信息。
   • 这种封装方式使得数据包能够在物理网络上进行传输，即使在物理网络上没有直接的路由路径。
2. 隧道解封装：
   • 当数据包到达目标节点时，目标节点的 VXLAN 解封装器会去掉 VXLAN 头，并将原始数据包转发到目标 Pod。
   • 这意味着，目标 Pod 收到的包看起来就像是来自直接网络，而不是来自远程节点。
3. VXLAN 网络标识符 (VNI)：
   • VXLAN 使用 VNI（VXLAN Network Identifier） 来标识不同的虚拟网络。每个 VXLAN 隧道会有一个唯一的 VNI，确保不同虚拟网络之间的数据包不混淆。
   • 对于 Calico 来说，通常每个 Kubernetes 集群都会使用一个 VXLAN 隧道标识符（VNI）来区分网络流量。

VXLAN 模式的优缺点 #

优点： #

1. 网络隔离性强：
   • VXLAN 提供了强大的网络隔离功能。每个 VXLAN 隧道都能将流量隔离在虚拟网络中，避免了不同网络之间的干扰。
2. 跨数据中心支持：
   • VXLAN 能够非常方便地在跨数据中心或跨地域的环境中实现容器网络的连接。在多个数据中心之间，VXLAN 可以有效地承载虚拟网络流量。
3. 大规模支持：
   • VXLAN 支持最大 16M 个虚拟网络（VNI），远远超出了 VLAN 的 4096 限制。这使得 VXLAN 适用于大规模的容器网络和虚拟化环境。
4. 透明性：
   • VXLAN 技术与现有的物理网络无关，物理网络不需要支持 VXLAN，便可以通过 Overlay 网络将虚拟网络连接在一起。VXLAN 是在数据链路层进行封装，物理网络的设备不需要进行特殊处理。

缺点： #

1. 性能开销：
   • 像 IP-in-IP 一样，VXLAN 也会带来封装和解封装的性能开销。封装会使得每个数据包的大小增加，从而带来额外的 CPU 和网络带宽消耗。
2. 复杂性：
   • 配置和管理 VXLAN 网络相对复杂，需要确保每个 VXLAN 隧道的配置正确，同时要管理虚拟网络标识符（VNI）。这可能对操作人员的技能要求更高。
3. 调试难度：
   • 由于数据包在通过物理网络传输时被封装，网络故障排查和调试可能变得更加困难。你需要监控 VXLAN 隧道的健康状况，并对封装数据包进行解包和分析。
4. 广播流量：
   • VXLAN 在某些情况下可能会引入广播流量的开销，尤其是在需要广播的场景（如 ARP、DNS 等）。这些流量需要在 VXLAN 网络中传播，增加了网络负担。

VXLAN 与 IP-in-IP 的对比 #

• 封装方式：
  • IP-in-IP：仅使用 IP 封装数据包，封装的开销较小。
  • VXLAN：使用 VXLAN 头和 UDP 封装，封装开销较大，因为每个数据包都需要添加额外的 VXLAN 和 UDP 头。
• 可扩展性：
  • VXLAN：支持最多 16M 个虚拟网络（VNI），适合大规模集群和大规模虚拟网络。
  • IP-in-IP：相较之下，支持的虚拟网络数量较少，适用于较小的集群或环境。
• 跨数据中心支持：
  • VXLAN：具有较强的跨数据中心支持能力，适合于多数据中心部署。
  • IP-in-IP：可以支持跨数据中心，但由于 VXLAN 的设计，它通常在大规模、跨数据中心环境中表现更好。

使用场景 #

• 跨数据中心和多地域部署：
  • VXLAN 是支持跨多个数据中心或不同网络环境的容器网络的理想选择。由于其较强的可扩展性和支持大量虚拟网络，适合大规模容器化应用和多云环境。
• 大规模容器集群：
  • 对于需要支持数千甚至数万个容器的大规模 Kubernetes 集群，VXLAN 提供了更好的隔离性和可扩展性。
• 有高度网络隔离需求的环境：
  • VXLAN 能够提供强大的网络隔离能力，确保不同的应用、环境或租户之间的流量完全隔离，适合多租户环境和安全性要求较高的场景。

配置 VXLAN 模式 #

Calico 的 VXLAN 模式通常通过修改配置来启用。通过修改 calicoctl 工具中的设置，或者在 Kubernetes 部署时选择启用 VXLAN。

例如，要启用 VXLAN 模式，可以在 Calico 配置文件中进行以下设置：

calicoctl config set vxlan_enabled true

这会启用 VXLAN 模式，Pod 之间的跨节点流量将通过 VXLAN 隧道进行封装和传输。

总结 #

• VXLAN 是一种用于在分布式数据中心中实现 Overlay 网络的技术，能够提供网络隔离、跨数据中心连接和大规模虚拟网络的支持。
• Calico 的 VXLAN 模式允许通过 VXLAN 隧道来实现跨节点、跨数据中心的 Pod 之间的通信，适用于需要高可扩展性和高隔离性的场景。
• 与 IP-in-IP 相比，VXLAN 提供更好的扩展性和支持更多虚拟网络，但也带来了更大的性能开销和更复杂的配置管理。

Network Policy使用场景 #

Network Policy 是 Kubernetes 中的一种功能，允许你定义和控制 Pod 之间以及 Pod 和外部世界之间的网络通信规则。它通过定义访问控制规则来限制哪些流量可以进入或离开 Pod，从而提高了 Kubernetes 集群的安全性和可控性。

Network Policy 的使用场景 #

1. 多租户环境 #

• 在 Kubernetes 集群中，多个团队或租户可能共享同一个集群资源。在这种环境下，网络策略可以帮助确保不同租户的资源相互隔离，防止一个租户的应用程序与另一个租户的应用程序进行不必要的通信。
• 示例：你可以创建一个网络策略来禁止不同命名空间中的 Pod 之间的通信，只允许它们访问共享的服务，如数据库、API 网关等。

2. 提高安全性 #

• 网络策略允许你定义细粒度的安全规则，限制 Pod 之间的通信。通过阻止不必要的流量，减少了攻击面，降低了潜在的安全风险。
• 示例：只允许来自特定命名空间或标签的流量访问某个敏感的服务或数据库，从而确保即使某些 Pod 被攻破，攻击者无法轻易访问其他关键服务。

3. 限制 Pod 外部访问 #

• 在某些场景下，可能希望限制某些 Pod 只能在集群内部通信，而不允许它们访问外部网络或互联网。这有助于防止不必要的外部依赖或数据泄露。
• 示例：限制一个数据库 Pod 只允许访问内部流量，而不允许从外部网络发起连接。

4. 微服务架构中的通信控制 #

• 在微服务架构中，各个服务（Pod）通常需要进行通信。通过 Network Policy，可以确保不同服务之间的通信是有规则的，避免不必要的服务之间的流量。
• 示例：你可以限制微服务之间的流量，使得只有认证过的服务（如 API 网关）可以访问后台数据库服务，而其他服务无法直接访问数据库。

5. 网络隔离与分段 #

• Kubernetes 中的 Network Policy 可用于将网络流量隔离到不同的安全区域或服务段。这对于不同网络段、不同权限级别的服务进行隔离是非常有用的。
• 示例：在同一个集群中，前端应用（如 Web 服务器）可以通过网络策略与后端数据库进行通信，而与其他服务（如日志收集或监控服务）之间的流量则被限制。

6. 控制服务间的流量 #

• 在微服务架构中，服务之间可能有多个交互方式，例如 REST、gRPC 或消息队列等。通过 Network Policy，可以明确规定每种通信方式的流量来源和目标，从而提升系统的安全性和可维护性。
• 示例：控制 Web 服务与后端应用程序之间的通信，只允许 Web 服务访问后端数据库的某些端点，而禁止访问其他敏感服务。

7. 限制暴露到外部的服务 #

• 对于某些服务，可能需要限制其在内部通信的同时，避免暴露到集群外部。Network Policy 使得仅特定的 Pod 或 IP 地址能够访问这些服务，增强了集群的边界安全性。
• 示例：你可以创建一个策略，禁止数据库 Pod 从外部直接访问，或者只允许从特定的客户端应用程序访问。

8. 防止恶意流量 #

• 通过 Network Policy，可以阻止恶意流量进入集群。例如，可以防止不受信任的外部流量进入集群，避免不必要的暴露。
• 示例：如果你希望限制只有特定的 IP 地址段能够访问服务，可以通过网络策略阻止其他不信任的流量。

示例：定义 Network Policy #

以下是一个简单的示例，定义一个只允许特定命名空间内的 Pod 之间通信的网络策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-same-namespace
spec:
  podSelector: {}
  ingress:
  - from:
    - podSelector: {}
      namespaceSelector:
        matchLabels:
          name: mynamespace
  policyTypes:
  - Ingress

在这个示例中：

• podSelector：空值表示对所有 Pod 都应用该策略。
• ingress：规则表明只有来自 mynamespace 命名空间中的 Pod 才能访问这些 Pod。
• policyTypes：表示这条策略是对 Ingress 流量进行控制。

网络策略的限制和注意事项 #

1. 默认拒绝所有流量：
   • 如果没有定义任何网络策略，Kubernetes 集群中的 Pod 默认可以自由通信。然而，一旦定义了网络策略，Kubernetes 会应用 “默认拒绝” 规则，即默认会阻止所有流量，除非明确允许。
2. 只支持支持 Network Policy 的 CNI 插件：
   • 不是所有 CNI 插件都支持 Kubernetes 的 Network Policy。需要使用支持 Network Policy 的插件，如 Calico、Cilium、Weave 等。
3. 只能控制 Pod 之间的流量：
   • 网络策略只会影响 Pod 之间的流量。它不能直接控制集群外部访问（如 LoadBalancer 服务暴露的端口）。因此，外部流量的控制需要结合 Kubernetes 的 Service 和防火墙规则。
4. Ingress 和 Egress 流量：
   • Network Policy 目前主要支持控制 Ingress（入站流量）和 Egress（出站流量）。你可以通过定义不同的规则来控制流量的进入和离开 Pod。

总结 #

Network Policy 提供了一种强大的方式来控制 Kubernetes 集群内 Pod 之间的通信，特别是在多租户环境、微服务架构以及对安全性要求较高的场景中非常有用。它能够帮助你：

• 实现网络隔离和分段；
• 提高集群的安全性；
• 细粒度地控制服务间的流量；
• 防止恶意流量进入集群。

为了确保网络安全性，合理设计和实施 Network Policy 是 Kubernetes 安全架构中的重要一环。

kubectl exec 实现的原理 #

kubectl exec 是一个常用的命令，用于在 Kubernetes 集群中的 Pod 内执行命令。它允许用户直接在容器内执行交互式命令或获取容器的输出信息。理解 kubectl exec 的原理涉及 Kubernetes 中 Pod 和容器的管理机制，尤其是如何通过 API Server 与容器进行通信。

kubectl exec 原理概述 #

1. 命令发起和处理：
   • 当用户在终端中运行 kubectl exec 命令时，kubectl 客户端会构造一个请求，发送到 Kubernetes 集群的 API Server。
   • API Server 会验证请求的合法性（例如，用户是否具有执行命令的权限，Pod 是否存在，容器是否运行等），并且检查请求中指定的 Pod 和容器是否匹配。
2. 通过 API Server 访问容器：
   • API Server 接收到 kubectl exec 请求后，它会调用容器运行时接口（如 Docker、containerd 等）来执行相应的命令。
   • Kubernetes 并不会直接执行容器中的命令，而是通过 API Server 中的 PodProxy 或 ContainerRuntimeInterface (CRI) 与容器运行时进行交互。
   • PodProxy 是 Kubernetes 用来与容器交互的组件，它可以通过 HTTP 和 WebSocket 协议向容器发送指令。
3. WebSocket 或 HTTP 连接：
   • kubectl exec 使用 WebSocket 协议与容器建立一个双向通信通道。这使得客户端（kubectl）与容器之间可以进行实时交互。
   • 如果执行的命令是交互式的（如启动一个 shell），则 kubectl 会保持与容器的 WebSocket 连接，用于接收和发送数据。
   • 如果是非交互式命令（例如 kubectl exec pod -- ls），则命令会在容器内执行并返回输出，执行完毕后连接断开。
4. 容器执行命令：
   • 在 WebSocket 连接建立之后，API Server 会通过容器运行时启动指定的命令。容器运行时负责在 Pod 的容器内执行该命令，并将命令的标准输出（stdout）和标准错误（stderr）发送回 WebSocket 通道。
   • 容器的标准输入（stdin）也通过 WebSocket 连接传递，允许用户与容器进行交互。
5. 客户端与容器交互：
   • 对于交互式的命令，kubectl 客户端将会将用户的输入通过 WebSocket 连接发送到容器，同时接收容器的输出并显示在终端中。
   • 对于非交互式命令，kubectl exec 会等待命令执行完成，并输出执行结果。
6. WebSocket 通信的终止：
   • 当命令执行完毕，WebSocket 连接关闭，kubectl 会将容器的退出码返回给用户。
   • 这时，kubectl 命令会终止并返回命令执行的结果或错误。

kubectl exec 的组件与交互 #

1. kubectl 客户端：
   • 发起 exec 请求并处理用户输入/输出，管理与 API Server 的连接。
2. API Server：
   • 处理请求并进行认证、授权检查，然后通过 PodProxy 或 CRI 调用容器运行时来执行命令。
3. PodProxy：
   • Kubernetes 内部组件，负责将请求转发到正确的容器运行时，并与容器进行通信。
4. 容器运行时（如 Docker、containerd 等）：
   • 执行命令，返回命令的输出并将其传递给 API Server。
5. WebSocket 连接：
   • 用于实现客户端和容器之间的双向实时通信，特别适用于交互式命令。

kubectl exec 使用示例 #

1. 执行交互式命令（如进入容器内的 Shell）： #

kubectl exec -it <pod-name> -- /bin/bash

• -it 选项表示启用交互式终端，/bin/bash 是容器内的命令，用户可以与容器内的 shell 进行交互。

2. 执行非交互式命令： #

kubectl exec <pod-name> -- ls /app

• 这个命令会在 Pod 内执行 ls /app，并将输出返回给用户。

3. 执行命令并获取输出： #

kubectl exec <pod-name> -- cat /etc/hostname

• 该命令会在容器内执行 cat 命令，并将结果（容器的主机名）返回给用户。

安全与权限控制 #

Kubernetes 使用 RBAC（角色基础访问控制）来控制谁可以执行 kubectl exec。如果用户没有相应的权限，执行 exec 操作将被拒绝。

通常，RBAC 会为不同的角色定义权限，例如：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: exec-role
rules:
- apiGroups: [""]
  resources: ["pods/exec"]
  verbs: ["create"]

在这个例子中，create 动作允许用户在 Pod 中执行命令。

总结 #

kubectl exec 的实现原理涉及以下几个步骤：

1. 客户端发起请求，并通过 API Server 与 Kubernetes 集群通信。
2. API Server 进行认证和授权检查，并通过 PodProxy 或容器运行时接口（CRI）与容器进行交互。
3. WebSocket 连接 用于容器与客户端之间的双向实时通信。
4. 容器执行命令，并将标准输出、标准错误返回给客户端。

通过这些机制，kubectl exec 提供了在 Kubernetes 集群中灵活执行命令和与容器进行交互的功能。

cgroup中限制CPU的方式有哪些 #

在 cgroup（控制组）中，限制 CPU 资源的方式主要有以下几种。这些方式帮助管理员在系统中对进程或容器的 CPU 资源进行细粒度的管理和控制，确保在多任务和多容器环境中，系统资源能够公平地分配，避免某些进程或容器占用过多的 CPU。

1. CPU 时间限制（cpu.cfs_quota_us） #

• 描述：cpu.cfs_quota_us 用于限制某个 cgroup 在指定时间周期内（通过 cpu.cfs_period_us 设置）可以使用的最大 CPU 时间。
• 原理：系统每隔一段时间（cpu.cfs_period_us，默认 100ms）会重置并统计每个 cgroup 使用的 CPU 时间。cpu.cfs_quota_us 设置了一个限制值，表示该 cgroup 在一个周期内可以使用的最大 CPU 时间。如果使用时间超过这个值，其他任务将会被暂停，直到下一个周期开始。

使用示例：

# 限制进程在 100ms 的时间周期内最多只能使用 50ms 的 CPU 时间
echo 50000 > /sys/fs/cgroup/cpu/cpu.cfs_quota_us
echo 100000 > /sys/fs/cgroup/cpu/cpu.cfs_period_us

• 默认值：cpu.cfs_quota_us 默认为 -1，表示没有限制。cpu.cfs_period_us 默认为 100000（100ms）。
• 作用：如果你设置了 cpu.cfs_quota_us = 50000，那么在每个周期（100ms）中，该 cgroup 内的进程最多只能使用 50ms 的 CPU 时间。

2. CPU 核心限制（cpu.cpus） #

• 描述：通过设置 cpu.cpus，可以限制 cgroup 内的进程只能在指定的 CPU 核心上运行。
• 原理：此限制可以将进程固定在指定的 CPU 核心上执行，避免跨多个 CPU 核心进行调度，从而达到更精确的资源控制。

使用示例：

# 将进程限制在 CPU 核心 0 和 1 上运行
echo 0,1 > /sys/fs/cgroup/cpu/cpu.cpus

• 作用：通过设置 cpu.cpus = 0,1，该 cgroup 中的进程只能在 CPU 核心 0 和 1 上执行，避免了进程在其他核心上调度，优化了性能。

3. CPU 权重（cpu.shares） #

• 描述：cpu.shares 用于定义进程/容器相对于其他进程/容器的 CPU 权重。它不会限制 CPU 使用的时间或数量，而是通过控制进程的 CPU 分配比例来实现资源调度。
• 原理：cpu.shares 是一个相对的值，用来表示该 cgroup 在没有 CPU 限制时的调度优先级。它与其他 cgroup 中的进程竞争 CPU 时间时，系统会按照比例进行分配。例如，如果两个 cgroup 的 cpu.shares 分别为 512 和 1024，那么在 CPU 资源不足时，第二个 cgroup 会获得两倍于第一个 cgroup 的 CPU 时间。

使用示例：

# 设置进程的 CPU 权重为 512（默认值为 1024）
echo 512 > /sys/fs/cgroup/cpu/cpu.shares

• 默认值：cpu.shares 默认为 1024。
• 作用：如果两个进程的 cpu.shares 分别为 1024 和 512，则第一个进程的 CPU 时间是第二个进程的两倍。

4. CPU 限制优先级（cpu.rt_runtime_us） #

• 描述：cpu.rt_runtime_us 用于限制实时进程（例如低延迟要求的进程）的最大运行时间。通常用于实时调度。
• 原理：实时进程通常需要比普通进程更精确的 CPU 调度。通过设置 cpu.rt_runtime_us，可以限制该 cgroup 中的实时进程最多可使用的 CPU 时间（单位是微秒）。如果该进程在一个周期内使用的时间超过这个值，调度器会限制进程的运行直到下一个周期。

使用示例：

# 设置实时进程最大可用的 CPU 时间为 95000 微秒
echo 95000 > /sys/fs/cgroup/cpu/cpu.rt_runtime_us

• 默认值：cpu.rt_runtime_us 默认为 950000（即 950ms）。

5. CPU 子系统的 CFS（Completely Fair Scheduler）策略 #

• 描述：CFS 是 Linux 内核的调度策略，它会根据任务的优先级、资源需求等进行公平调度。通过 cgroup 控制 CFS 的调度策略，可以控制进程/容器的 CPU 使用情况。
• 控制项：
  • cpu.cfs_period_us：控制 CPU 时间片的周期（单位：微秒）。
  • cpu.cfs_quota_us：控制进程可用的最大 CPU 时间。

使用场景：

• 适用于需要对 CPU 使用进行精细化控制的场景，如容器化环境中，防止单个容器占用过多的 CPU 资源。

6. CPU 控制组调度器（cpuset） #

• 描述：cpuset 是 cgroup 的一个子系统，它允许管理员将进程限制在特定的 CPU 核心上运行，同时也可以限制内存的使用。与 cpu.cpus 类似，cpuset 控制进程只能在特定的 CPU 核心上调度执行。

使用示例：

# 设置容器只能使用 CPU 核心 0 和 1
echo 0,1 > /sys/fs/cgroup/cpuset/cpuset.cpus

• 作用：通过 cpuset 限制 CPU 核心，防止进程在多个 CPU 核心之间迁移，从而实现更高效的资源使用。

总结 #

通过 cgroup，用户可以从多个角度对进程或容器的 CPU 使用进行限制和优化，常见的方式包括：

1. CPU 时间限制（cpu.cfs_quota_us 和 cpu.cfs_period_us）。
2. CPU 核心绑定（cpu.cpus）。
3. CPU 权重（cpu.shares）。
4. 实时 CPU 限制（cpu.rt_runtime_us）。
5. 控制进程在指定 CPU 上运行（cpuset）。

这些方式可以帮助在多任务、多容器环境下合理分配 CPU 资源，提高集群的整体性能和稳定性。

kubeconfig存放内容 #

kubeconfig 文件是 Kubernetes 配置文件，存储了与 Kubernetes 集群进行交互所需要的所有信息。kubeconfig 文件的内容包括了集群信息、认证信息和上下文信息，允许 kubectl 等工具与 Kubernetes API Server 进行通信。一个典型的 kubeconfig 文件可以包含多个集群的配置，以及如何连接到每个集群的详细信息。

kubeconfig 文件的结构 #

kubeconfig 文件通常是一个 YAML 格式的文件，包含以下几部分：

1. apiVersion：文件的 API 版本，通常是 v1。
2. clusters：描述 Kubernetes 集群的信息。每个集群信息包含集群的名称、API Server 地址以及（可选的）TLS 配置。
3. contexts：定义不同的上下文，每个上下文指定了用户、集群和命名空间的组合。
4. current-context：当前使用的上下文，指定默认连接的集群、用户等。
5. users：存储与 Kubernetes 集群通信所需要的认证信息，通常包括证书、令牌或用户名密码等。
6. preferences：一些用户的个人偏好配置（通常不常用）。

kubeconfig 文件示例 #

apiVersion: v1
kind: Config
clusters:
- name: my-cluster
  cluster:
    server: https://k8s-api-server.example.com:6443
    certificate-authority-data: <certificate-data>  # 或者使用 certificate-authority
users:
- name: my-user
  user:
    client-certificate-data: <client-cert-data>
    client-key-data: <client-key-data>
    token: <token>  # 如果使用令牌认证
contexts:
- name: my-context
  context:
    cluster: my-cluster
    user: my-user
    namespace: default  # 可选
current-context: my-context
preferences: {}

kubeconfig 文件的关键字段 #

1. clusters #

• name：集群的名称，可以是任意名称，通常与集群名称对应。
• cluster.server：API Server 的地址，通常是 HTTPS 协议。它是 Kubernetes 集群的入口点，kubectl 会连接到这个地址。
• cluster.certificate-authority-data：用于验证 API Server 的证书的证书数据（Base64 编码）。可以替代 certificate-authority 字段，后者是一个指向证书文件的路径。

2. users #

• name：用户的名称，可以是任意名称，通常与认证方式（如用户名、证书或令牌）对应。
• user.client-certificate-data：Base64 编码的客户端证书数据，用于通过客户端证书进行认证。
• user.client-key-data：Base64 编码的客户端密钥数据，配合客户端证书使用。
• user.token：如果使用 Bearer Token 认证，存储在这里。通常用于基于令牌的认证。
• user.username 和 user.password：如果使用 HTTP 基本认证，用户名和密码可以在这里配置。

3. contexts #

• name：上下文的名称，可以根据使用的集群和用户来命名。
• context.cluster：指定使用的集群名称，引用 clusters 部分中的集群。
• context.user：指定使用的用户名称，引用 users 部分中的用户。
• context.namespace：指定默认的命名空间。可选，通常是 default。

4. current-context #

• 这个字段指定当前要使用的上下文名称。kubectl 将根据这个上下文连接到指定的集群并使用相应的认证信息。

5. preferences #

• 一些用户偏好配置，通常为空。

示例解析 #

apiVersion: v1
kind: Config
clusters:
- name: prod-cluster
  cluster:
    server: https://prod-api-server.example.com:6443
    certificate-authority-data: <prod-cert-data>
users:
- name: prod-user
  user:
    client-certificate-data: <prod-cert-data>
    client-key-data: <prod-key-data>
contexts:
- name: prod-context
  context:
    cluster: prod-cluster
    user: prod-user
    namespace: prod-namespace
current-context: prod-context

1. clusters 部分指定了 prod-cluster 集群的信息，API Server 地址是 https://prod-api-server.example.com:6443。
2. users 部分定义了 prod-user 用户的认证信息，使用客户端证书进行身份验证。
3. contexts 部分定义了一个名为 prod-context 的上下文，指定了使用 prod-cluster 集群和 prod-user 用户，且默认命名空间为 prod-namespace。
4. current-context 设置为 prod-context，表示 kubectl 将使用这个上下文连接到集群。

存放位置 #

• Linux/MacOS：~/.kube/config
• Windows：%USERPROFILE%\.kube\config

使用 kubectl 选择不同的 kubeconfig 文件 #

可以通过 --kubeconfig 参数来指定使用不同的 kubeconfig 文件：

kubectl --kubeconfig=/path/to/your/kubeconfig get pods

如果没有指定 --kubeconfig 参数，kubectl 默认会使用 ~/.kube/config（Linux 和 macOS）或 %USERPROFILE%\.kube\config（Windows）路径下的文件。

小结 #

kubeconfig 文件是 Kubernetes 用来配置集群访问、认证和上下文切换的核心文件。它通过指定多个集群、用户和上下文的配置，帮助用户方便地与多个集群进行交互。

pod DNS解析流程☆ #

在 Kubernetes 中，Pod DNS 解析是一个重要的功能，它允许 Pod 在集群内部通过服务名进行通信，而不需要使用 IP 地址。Kubernetes 使用内建的 DNS 服务（通常是 kube-dns 或 CoreDNS）来处理域名解析请求。以下是 Pod DNS 解析的流程：

1. DNS 配置 #

每个 Pod 默认会使用 Kubernetes 集群内部的 DNS 服务器进行域名解析。这个 DNS 服务器通常是 kube-dns 或 CoreDNS，其服务运行在集群内部。

• DNS 服务的地址通常为 kube-dns.kube-system.svc.cluster.local（或者 CoreDNS 的地址 coredns.kube-system.svc.cluster.local）。
• 在每个 Pod 中，DNS 服务的 IP 地址通常会被配置到 /etc/resolv.conf 文件中，Pod 会通过该配置进行 DNS 查询。

2. DNS 查询流程 #

当一个 Pod 想要解析一个域名（如 myservice.default.svc.cluster.local）时，它会通过 /etc/resolv.conf 配置中指定的 DNS 服务器进行查询。整个解析过程如下：

a. 查询初始化 #

1. Pod 中的应用程序发起 DNS 请求，查询域名。
2. DNS 请求会被发送到 Pod 中配置的 DNS 服务器（通常是 Kubernetes 集群中的 CoreDNS 或 kube-dns）。

b. DNS 请求到达 DNS 服务 #

1. DNS 请求到达 Kubernetes 集群中的 DNS 服务（如 CoreDNS 或 kube-dns）。
2. DNS 服务根据请求的域名查找其对应的记录。

c. 服务发现 #

• 服务解析：如果请求的域名是一个 Kubernetes 服务（如 myservice.default.svc.cluster.local），DNS 服务会根据服务的名称、命名空间和类型查找该服务的相关信息（如 Pod 的 IP 地址或服务的负载均衡器 IP）。
• Pod 名称解析：如果请求的域名是一个特定 Pod 的名称（如 mypod.default.svc.cluster.local），DNS 服务会返回该 Pod 的 IP 地址。

d. 返回结果 #

1. DNS 服务将解析结果（如 IP 地址）返回给发起请求的 Pod。
2. Pod 中的应用程序接收到解析结果，并使用该 IP 地址与目标 Pod 或服务进行通信。

3. DNS 解析示例 #

假设有以下 Kubernetes 服务和 Pod 配置：

• 服务名：myservice
• 命名空间：default
• 服务类型：ClusterIP

1. 一个 Pod 想要访问 myservice 服务，DNS 查询将发起如下请求：

   myservice.default.svc.cluster.local
   

2. DNS 服务（CoreDNS 或 kube-dns）会查询该服务，并返回与 myservice 相关的 Pod 的 IP 地址。

3. Pod 收到返回的 IP 地址后，可以直接通过该 IP 与服务进行通信。

4. DNS 解析规则 #

• Service 名称解析： Kubernetes 中的服务名称解析是通过 service.namespace.svc.cluster.local 格式进行的。例如，myservice.default.svc.cluster.local 会解析到 default 命名空间中的 myservice 服务。
• Pod 名称解析： Pod 也可以通过 <pod-name>.<namespace>.pod.cluster.local 进行解析。例如，mypod.default.pod.cluster.local 会解析到 default 命名空间中的 mypod Pod。
• 域名后缀： Kubernetes DNS 的域名后缀通常是：
  • svc.cluster.local：服务的完整域名。
  • pod.cluster.local：Pod 的完整域名。
  • namespace.svc.cluster.local：命名空间内的服务名。
• DNS 缓存：Pod 中的 DNS 解析通常会有缓存，避免每次都进行查询，但缓存时间有限，通常是 5 分钟。

5. DNS 服务的工作原理 #

• CoreDNS / kube-dns：Kubernetes 使用 CoreDNS 或 kube-dns 来提供集群内部的 DNS 服务。它们会根据配置解析服务名、Pod 名称等。
• Service 和 Endpoints：每个 Kubernetes 服务都有一个对应的 Endpoints 资源，表示该服务背后的 Pod IP 地址。DNS 服务会查找 Endpoints 并返回 Pod 的 IP 地址。
• Pod DNS 配置：Kubernetes 会通过环境变量和 resolv.conf 配置将 DNS 服务信息传递给 Pod，以确保它能够正确地查询域名。

6. DNS 解析优化与故障排查 #

• CoreDNS 配置：如果需要调整 DNS 解析的行为，可以通过配置 CoreDNS 插件来修改查询规则或增强性能。

• DNS 故障排查

  ：如果 Pod 无法解析域名，可能的原因包括 DNS 配置问题、

  CoreDNS
  

  或

  kube-dns
  

  服务故障、网络问题等。可以通过以下方式排查：

  • 查看 Pod 中的 /etc/resolv.conf 配置，确认 DNS 服务器是否正确。
  • 检查 CoreDNS 或 kube-dns Pod 的状态，查看是否存在异常。
  • 使用 nslookup 或 dig 命令从 Pod 内部测试 DNS 解析。

7. DNS 解析的常见问题 #

• DNS 超时：如果 DNS 查询超时，通常是因为 DNS 服务（CoreDNS 或 kube-dns）不可用或网络存在问题。
• DNS 名称解析失败：可能是由于没有正确的 Endpoints，或服务未正确创建，导致无法解析服务名。
• Pod 之间的 DNS 问题：可能是由于 Pod 的 DNS 配置不正确或网络策略（Network Policy）阻止了 DNS 请求。

总结 #

Kubernetes 中的 DNS 解析依赖于 CoreDNS 或 kube-dns 服务，它能够将集群内的服务名、Pod 名称等解析为相应的 IP 地址，使得 Pod 之间可以通过 DNS 进行通信。DNS 解析的主要流程是通过 CoreDNS 解析服务名、Pod 名称等，并返回相应的 IP 地址供 Pod 使用。通过合理的配置和排查，可以确保 Kubernetes 集群内 DNS 解析正常工作。

traefik对比nginx ingress优点 #

Traefik 和 Nginx Ingress Controller 都是 Kubernetes 中常用的反向代理和负载均衡解决方案。虽然两者都可以作为 Ingress Controller，但它们有一些不同的设计理念、功能特点和优缺点。下面是对比这两者的一些优点：

1. Traefik 的优点 #

a. 原生支持动态配置 #

• Traefik 提供了强大的动态配置能力，它会实时监控 Kubernetes 集群中的资源（如 Ingress、Service、Pod 等）并自动更新路由配置，而不需要手动重载或重新启动服务。Traefik 可以通过监控 Kubernetes API 自动发现并动态更新路由规则，具有更好的灵活性。
• Nginx 也支持动态配置，但它的配置文件通常需要手动更新，并且需要重新加载 Nginx 才能应用新配置。

b. 更易于配置 #

• Traefik 提供了基于声明式配置的简化操作方式，且其配置文件和文档简单易懂，用户可以更快速地部署和配置。它可以通过 YAML 配置文件直接与 Kubernetes 集成。
• Nginx 的配置可能稍显复杂，尤其是在处理较复杂的负载均衡、反向代理等场景时，通常需要更多的细致配置。

c. 内建支持多种负载均衡算法 #

• Traefik 支持多种负载均衡策略，如轮询、加权轮询、最少连接等，可以根据需求轻松切换和调整负载均衡策略。
• Nginx 也支持负载均衡，但 Traefik 的策略更为灵活，且配置更为简便。

d. 集成 Let’s Encrypt 支持 #

• Traefik 内建对 Let’s Encrypt 的自动支持，能够自动获取和续期 SSL/TLS 证书。只需要在 Traefik 配置中开启自动 SSL 支持，Traefik 就会为你的服务自动生成并管理 SSL 证书。
• Nginx 需要额外配置脚本或手动集成 Let’s Encrypt，虽然有相关工具，但相比 Traefik 更为复杂。

e. 更好的微服务架构支持 #

• Traefik 是专为现代微服务架构设计的，它支持 Kubernetes、Docker 和其他容器化环境的集成。Traefik 可以根据容器的标签、标签集等信息动态地调整流量路由，适合高动态环境。
• Nginx 主要是传统的 HTTP 服务器，虽然也支持 Kubernetes，但在容器化和微服务环境中的灵活性和自动化程度上不如 Traefik。

f. 内建支持 WebSocket 和 HTTP/2 #

• Traefik 原生支持 WebSocket 和 HTTP/2，且配置非常简单。
• Nginx 也支持这些协议，但相对来说配置复杂，且需要额外的模块支持。

g. UI 控制面板 #

• Traefik 提供了一个方便的 Web UI，通过该界面可以监控 Traefik 的健康状况、查看路由配置和访问日志等。这对于运维和开发人员调试非常方便。
• Nginx 没有内建 UI，虽然可以通过第三方工具（如 Nginx Amplify）进行监控，但并不如 Traefik 自带的 UI 那么方便。

h. 支持多种后端 #

• Traefik 可以同时作为反向代理支持 Kubernetes、Docker、Mesos、Consul 等多种后端架构，这使得它在多种环境下的可移植性和扩展性更强。
• Nginx 主要是面向传统的 Web 服务器/反向代理需求，尽管它也支持 Kubernetes，但支持的后端系统不如 Traefik 广泛。

2. Nginx Ingress Controller 的优点 #

虽然 Traefik 有很多优点，但 Nginx Ingress Controller 也有一些优势，尤其在某些企业环境中，Nginx 的成熟和稳定性使它成为很多用户的选择。以下是 Nginx 的一些优点：

a. 性能稳定 #

• Nginx 是经过多年稳定测试的高性能 Web 服务器，处理静态内容和反向代理流量的性能非常强大。在面对高并发流量时，Nginx 可以提供非常高的吞吐量。
• Traefik 也有很好的性能，但在某些极端高并发的情况下，Nginx 可能会有更优的表现。

b. 丰富的功能和扩展性 #

• Nginx 拥有非常丰富的功能支持，例如复杂的负载均衡、内容缓存、请求重写、SSL/TLS 优化等。对于一些复杂的 Web 应用场景，Nginx 提供了更加细致的控制和扩展。
• Traefik 主要针对微服务架构，虽然也提供了许多负载均衡功能，但在细粒度的流量控制和复杂的 HTTP 配置方面，Nginx 更加灵活和强大。

c. 社区支持和文档 #

• Nginx 具有庞大的社区和成熟的文档资源，广泛应用于全球许多企业的生产环境，因此拥有大量的解决方案和最佳实践。
• Traefik 的社区支持也在快速增长，但与 Nginx 相比，其历史稍短，且某些高级特性可能需要更多的社区贡献和测试。

d. 安全性 #

• Nginx 在安全性方面非常成熟，拥有强大的认证和防火墙功能，广泛用于企业级 Web 应用中。
• Traefik 也非常注重安全性，但在某些特性上可能没有 Nginx 那么多的配置选项和细节。

e. 企业级支持 #

• Nginx 提供了企业级的支持和付费版本，能够满足一些大型企业对稳定性和高级功能的需求（如 WAF、防火墙、负载均衡、流量分析等）。
• Traefik 主要是开源项目，虽然也有商业支持（Traefik Labs 提供的 Traefik Enterprise），但相比之下 Nginx 在企业级市场上占有更大的份额。

总结： #

选择哪种 Ingress Controller 取决于您的需求：

• 如果您的 Kubernetes 环境是高度动态的微服务架构，并且需要快速的配置和自动化支持，Traefik 可能更适合。
• 如果您需要稳定、强大且性能优化的反向代理服务，特别是在高负载、高并发的环境中，且需要丰富的自定义配置和更长的历史支持，Nginx Ingress Controller 会是更好的选择。

Harbor有哪些组件 #

Harbor 是一个开源的企业级 Docker 镜像仓库，支持 Helm chart 存储和管理，具有图形化管理界面和多种安全功能。它的组件设计旨在提供完整的镜像管理服务，确保镜像存储的安全性、可管理性和可靠性。下面是 Harbor 的主要组件：

1. Core (核心服务) #

• 核心服务 是 Harbor 的核心功能部分，负责用户的认证与授权、镜像的管理、任务调度、系统配置和日志管理等。

2. Registry (镜像仓库) #

• Registry 是 Harbor 的核心组成部分，提供镜像的存储、查询、推送和拉取等基本功能。它是基于 Docker Registry 实现的，并对其进行了扩展，支持更多的企业级特性。
• Harbor 使用 Notary 来为存储的镜像提供签名功能，确保镜像的安全性。

3. Portal (Web UI) #

• Portal 是 Harbor 的图形化管理界面，提供用户友好的界面来管理镜像仓库、用户、项目、权限等。通过 UI，用户可以进行镜像上传、删除、查看、拉取等操作，同时可以监控镜像的使用情况和安全性。

4. Jobservice (任务服务) #

• Jobservice 是 Harbor 用于处理后台任务的组件。它负责执行异步任务，如镜像扫描、镜像清理等任务。
• 它通过任务队列异步处理任务，从而减轻核心服务的负担。

5. Notary (镜像签名) #

• Notary 是 Harbor 用于实现镜像签名的组件。它通过签名确保镜像的来源和内容在传输过程中不被篡改，从而提升安全性。Harbor 使用 Notary 来确保镜像在生产环境中的可信度。

6. Clair (镜像安全扫描) #

• Clair 是 Harbor 集成的一个静态分析工具，用于扫描镜像中的安全漏洞。它检查镜像中的软件包是否存在已知的安全漏洞，并生成漏洞报告。
• Clair 可以集成到 Harbor 中，当镜像被推送或拉取时，自动扫描镜像内容并报告安全问题。

7. Chartmuseum (Helm 仓库) #

• Chartmuseum 是 Harbor 用于 Helm chart 管理的组件。它支持存储和管理 Helm chart，允许用户上传、下载和管理 Helm chart 存储库。
• 通过这个组件，用户可以将 Helm chart 作为 Kubernetes 部署包存储和版本管理。

8. Log (日志系统) #

• Log 是 Harbor 的日志管理模块，用于记录系统运行过程中的重要事件、错误、警告等信息。它有助于运维人员监控和诊断系统问题。
• Harbor 可以通过集成其他日志系统（如 ELK）来扩展日志功能。

9. Database (数据库) #

• 数据库 存储了 Harbor 的所有元数据，包括用户信息、项目、镜像标签、存储配置信息等。通常，Harbor 使用 PostgreSQL 作为其数据库后端。

10. Redis (缓存服务) #

• Redis 是 Harbor 的缓存层，用于提高系统性能，减轻数据库的负载。它缓存一些常用的请求数据和会话信息。

11. NGINX (反向代理) #

• NGINX 是 Harbor 的反向代理和负载均衡器，负责将用户的请求路由到 Harbor 的各个组件上。它也支持 SSL/TLS 加密，确保数据传输的安全性。

总结： #

Harbor 的主要组件包括：

• Core：核心服务，提供认证、授权、镜像管理等功能。
• Registry：镜像仓库，存储和管理镜像。
• Portal：Web UI，提供用户图形化界面。
• Jobservice：任务服务，处理异步任务。
• Notary：镜像签名，确保镜像可信。
• Clair：镜像安全扫描，检测漏洞。
• Chartmuseum：Helm 仓库，存储 Helm charts。
• Log：日志系统，记录系统事件。
• Database：数据库，存储元数据。
• Redis：缓存服务，提高性能。
• NGINX：反向代理，提供负载均衡和加密服务。

这些组件共同工作，提供一个完整、安全、易于管理的容器镜像仓库。

Harbor高可用怎么实现 #

在生产环境中，Harbor 的高可用（HA）是确保容器镜像仓库服务持续可用、可靠的关键。为了保证 Harbor 的高可用性，需要对多个组件进行设计和部署，以减少单点故障的风险。下面是实现 Harbor 高可用 的一些方法和最佳实践：

1. Harbor 组件的冗余设计 #

为了确保 Harbor 的高可用性，首先需要对 Harbor 的关键组件进行冗余设计，确保任何单点故障不会导致整个系统停机。

a. Harbor 核心服务 (Core) 的冗余 #

• Core 组件是 Harbor 的核心服务，负责处理用户请求、权限管理、任务调度等功能。在高可用部署中，通常需要部署多个 Core 服务实例，使用负载均衡器来分发流量。可以将多个 Core 实例部署到不同的节点上，确保如果某个实例不可用，其他实例可以继续处理请求。

b. 负载均衡器 (Load Balancer) #

• NGINX 或其他负载均衡器（如 HAProxy）通常用于在多个 Harbor 核心服务实例之间分发流量。负载均衡器通常会部署在 Harbor 的前端，代理用户请求并将其转发到可用的服务实例。
• 使用 Keepalived 或 HAProxy 等工具来实现虚拟 IP 地址（VIP）的高可用，可以在一个实例宕机时自动将流量切换到健康的实例。

c. Harbor Registry 的冗余 #

• Registry 是 Harbor 的核心组件，负责存储 Docker 镜像和其他容器化应用。在高可用部署中，应该考虑将 Registry 的数据存储使用 分布式存储系统，如 Ceph 或 GlusterFS，并在多个节点之间进行冗余备份。
• 可以通过使用 Harbor 的多副本 Registry 存储（例如部署多个 Harbor 实例，配置多个 Registry 存储位置）来确保 Registry 数据的高可用性。

d. 数据库的高可用设计 #

• Harbor 默认使用 PostgreSQL 作为数据库后端。为了保证数据库的高可用性，可以使用 PostgreSQL 集群（如 Patroni 或 PgBouncer）来实现主从复制和自动故障切换。
• 数据库可以部署为主从架构，主数据库处理写请求，从数据库处理读请求。如果主数据库出现故障，可以自动切换到从数据库。

e. Redis 缓存的高可用设计 #

• Redis 被用于 Harbor 的缓存层，在高可用部署中，建议使用 Redis 集群模式 或 Redis Sentinel 来实现 Redis 的高可用。Redis Sentinel 会自动监控 Redis 实例的状态，并在主节点发生故障时自动切换到从节点。

f. Clair（安全扫描服务）的冗余 #

• Clair 是 Harbor 中用于镜像安全扫描的组件。在高可用部署中，可以部署多个 Clair 实例，并通过负载均衡器进行流量分配。这样，即使某个 Clair 实例出现故障，其他实例也能继续提供镜像扫描服务。

g. Jobservice 的冗余 #

• Jobservice 负责处理后台任务（如镜像扫描等）。为确保任务的高可用性，可以部署多个 Jobservice 实例，并使用负载均衡器来分配任务请求。

h. Notary 服务的冗余 #

• Notary 用于实现镜像签名，确保镜像的完整性和可信性。为了确保 Notary 的高可用性，可以将其部署为多个实例，并通过负载均衡进行流量分发。

2. 高可用的部署架构 #

为了实现 Harbor 的高可用性，通常需要按照以下方式部署 Harbor：

a. 多节点部署 #

• 将 Harbor 的各个组件（如 Core、Registry、Clair、Notary 等）分别部署在多个节点上，确保即使某个节点故障，其他节点依然可以提供服务。
• 在多个节点上部署 Harbor 的各个组件，并通过 负载均衡器 来实现流量分发和故障切换。

b. 数据存储的高可用 #

• 使用 分布式存储系统（如 Ceph、GlusterFS 或 NFS）来存储 Harbor 的数据，这样即使某个存储节点出现故障，其他存储节点仍然可以提供数据访问。
• 对于 Harbor 的 数据库，可以使用 PostgreSQL 主从复制 或 Patroni 集群来保证数据库的高可用性。

c. 使用容器编排工具（如 Kubernetes） #

• 在 Kubernetes 集群中部署 Harbor 时，可以利用 Kubernetes 的 Pod 副本、Deployment 和 StatefulSet 等功能来实现服务的高可用。
• Kubernetes 的 Horizontal Pod Autoscaling（水平自动扩展）可以在流量增加时自动扩展 Harbor 的服务实例数，从而提高容器的可用性和负载能力。

d. 外部存储服务 #

• 使用 外部存储服务（如 S3 或 阿里云 OSS）来存储镜像数据，这样可以避免由于本地存储故障导致的数据丢失或不可用。

3. Harbor 高可用的部署方案（常见架构） #

以下是一个常见的 Harbor 高可用架构 示例：

               +-------------------------+
               |       Load Balancer      |
               +-------------------------+
                    |           |
                    v           v
        +----------------+  +----------------+
        |   Harbor Core  |  |   Harbor Core  |
        |    Instance 1  |  |    Instance 2  |
        +----------------+  +----------------+
                    |           |
          +-------------------------------+
          |         Harbor Registry        |
          |         (Shared Storage)       |
          +-------------------------------+
                    |           |
                    v           v
            +-------------------------+
            |        Database (HA)     |
            +-------------------------+
                    |
                    v
              +-------------+
              |   Redis HA  |
              +-------------+
                    |
                    v
               +----------------+
               |    Clair (HA)   |
               +----------------+
                    |
                    v
              +----------------+
              |  Jobservice (HA)|
              +----------------+

• 负载均衡器：将用户请求分发到多个 Harbor Core 实例。
• Harbor Core 实例：多个 Harbor 核心服务实例，支持负载均衡。
• Registry 存储：使用共享的分布式存储系统或对象存储（如 S3）。
• 数据库：使用高可用数据库架构（如 PostgreSQL 主从复制）。
• Redis：使用 Redis Sentinel 或集群模式，保证缓存高可用。
• Clair：使用多个 Clair 实例提供镜像扫描服务。
• Jobservice：多个 Jobservice 实例处理后台任务。

4. 故障恢复与备份 #

为了确保高可用架构的健壮性，还需要制定灾难恢复（DR）策略和定期备份：

• 定期备份 Harbor 数据（包括镜像、数据库、配置文件等）以便在发生故障时进行恢复。
• 使用 自动化备份 和 异地备份 确保数据不会丢失，并能在灾难发生后快速恢复服务。

总结： #

实现 Harbor 高可用 需要通过以下方式：

1. 冗余设计：确保核心组件（Core、Registry、Clair、Notary 等）部署多个实例，负载均衡分发流量。
2. 数据库和 Redis 高可用：使用 PostgreSQL 主从复制或 Redis Sentinel 实现数据和缓存的高可用。
3. 分布式存储：使用分布式存储系统（如 Ceph、GlusterFS 或 S3）确保数据高可用。
4. 容器编排工具：如 Kubernetes 提供自动扩展和容错能力。
5. 灾难恢复与备份：定期备份 Harbor 的重要数据，确保灾难发生时可以恢复。

通过这些方法，Harbor 能够实现高可用部署，保证容器镜像服务的稳定性和持续性。

ETCD调优 #

etcd 是 Kubernetes 中的核心组件，负责存储集群的所有配置信息、元数据和状态数据。因为 etcd 是分布式的键值存储数据库，它的性能直接影响到 Kubernetes 集群的可靠性和性能。因此，etcd 的调优对确保集群的高可用性、低延迟和高吞吐量至关重要。

在实际应用中，etcd 的调优可以涉及多个方面，包括硬件配置、网络配置、etcd 配置参数调整以及监控和维护策略。以下是一些常见的 etcd 调优方法：

1. 硬件配置优化 #

a. 存储硬盘 #

• 磁盘 I/O 性能：etcd 对磁盘 I/O 性能要求较高，特别是当存储的数据量较大时。推荐使用 SSD 存储而不是传统的 HDD，因为 SSD 提供更高的读写性能。
• RAID 配置：如果使用 RAID 阵列，请使用 RAID 10 来提供较好的读写性能和数据冗余。

b. 内存 #

• 内存大小：etcd 的数据存储主要依赖内存，因此需要足够的内存来缓解频繁的磁盘 I/O。建议在每个 etcd 节点上分配至少 16 GB 或更多的内存。
• 内存调整：etcd 在存储数据时，尽量让数据驻留在内存中以提高查询速度。如果 etcd 运行在较低内存的机器上，可以考虑增加内存，特别是在等候大量请求的场景下。

c. CPU #

• etcd 需要较高的计算能力来处理事务、复制和集群协调等任务，尤其是在大量写操作的情况下，确保有足够的 CPU 核心来处理并发请求。

2. 网络配置优化 #

a. 网络延迟 #

• etcd 节点之间需要进行高频率的通信，因此，网络延迟对 etcd 的性能影响非常大。应保证 etcd 集群的节点位于低延迟的网络环境中，尽量避免跨地区和不同数据中心部署。
• 建议：使用 10Gbps 或更高速率的网络连接，并避免使用共享带宽。

b. 流量限制与拥塞 #

• 配置网络的带宽限制和防止拥塞对于 etcd 性能至关重要，尤其是当数据写入量大时。如果使用 Kubernetes 时，保证网络中没有其他服务干扰 etcd 的网络流量。

c. 配置通信加密 #

• etcd 支持 TLS 加密 来保护节点间的通信。虽然加密会带来一些性能开销，但它对集群的安全性至关重要。务必确保使用强加密算法并正确配置证书。

3. etcd 配置参数调整 #

a. --max-request-bytes #

• 这个参数用于限制每个请求的最大字节数。如果你在集群中有非常大的请求或非常频繁的请求，增大该值可以避免请求被拒绝。
• 推荐设置：根据需求调整，通常 1 MB 到 10 MB 之间合适。

b. --heartbeat-interval 和 --election-timeout #

• --heartbeat-interval：控制 leader 节点和 follower 节点之间心跳的时间间隔，默认 100ms。如果心跳间隔设置得太长，集群内的节点可能会过早认为 leader 节点失效，从而触发选举。
• --election-timeout：控制选举超时时间，默认 1000ms。如果这个时间设置得太短，会导致频繁的选举过程；设置得过长，会导致集群恢复时间过慢。
• 建议：一般情况下，心跳间隔 --heartbeat-interval 设置为 100ms 到 500ms，选举超时 --election-timeout 设置为 1000ms 到 2000ms。

c. --quota-backend-bytes #

• 此参数控制 etcd 的数据存储最大限制，它表示 etcd 数据库文件最大占用的字节数。超过该值时，etcd 将阻止更多的数据写入。
• 推荐设置：根据实际情况调整，通常为 8 GB 或 16 GB。

d. --max-txn-ops #

• 该参数用于设置单个事务中最大操作数。设置过大可能导致事务执行缓慢，甚至超时。
• 推荐设置：一般不需要设置过大，默认值（--max-txn-ops=128）适合大多数场景。

e. --snapshot-count #

• --snapshot-count 是控制 etcd 每多少个写入操作后生成一个快照。快照有助于减少存储使用量，并提高数据库恢复速度。
• 推荐设置：根据数据量大小，可以设置为 10000-50000。

f. --compression #

• etcd 支持启用 数据压缩 来节省存储空间。启用压缩可能会带来额外的 CPU 开销，但对于存储密集型的应用，启用压缩可以有效减少磁盘空间占用。
• 推荐设置：--compression=snappy 或 --compression=lz4，它们提供了较好的压缩率和性能。

4. 集群规模与拓扑设计 #

a. 节点数目 #

• etcd 集群的节点数：etcd 是一个 奇数个节点 的分布式集群，以保证选举过程中不会出现脑裂现象。推荐部署 3、5 或 7 个节点的集群。
• 需要注意的是，节点数目越多，选举和一致性保证的成本也越高。通常，3 个节点适用于大多数生产环境。

b. 分布式部署 #

• 如果 etcd 的负载过高，或者需要支持跨数据中心或跨区域的高可用集群，可以考虑使用 跨数据中心的 etcd 集群，但需要注意网络延迟和带宽要求。

c. 自动化扩展 #

• etcd 集群中的节点可以根据需求进行自动扩展。比如可以使用 Kubernetes 的 StatefulSet 来管理 etcd 的自动扩展和故障恢复。

5. 监控与维护 #

a. 监控 #

• 使用

  Prometheus

  和

  Grafana

  来监控 etcd 的各项指标，包括但不限于：

  • etcd_disk_wal_fsync_duration_seconds：磁盘 WAL 写入的延迟。
  • etcd_network_round_trip_time_seconds：网络往返时延。
  • etcd_server_has_leader：查看是否有 leader 节点。
  • etcd_backend_commit_duration_seconds：后端提交的延迟。

b. 定期备份 #

• 定期备份 etcd 数据是非常重要的，尤其是在配置变更和集群扩展时。可以使用 etcdctl snapshot save 命令进行备份，建议每天进行一次完整备份，并将备份存储在不同的位置（如远程存储）。
• 在集群发生故障时，定期备份可以帮助恢复集群状态，减少数据丢失。

c. 定期清理 #

• 清理 etcd 中的无用数据，如过期的 Key 或历史版本，确保 etcd 的磁盘空间得到有效管理。

6. 故障排查 #

• ETCD 超时问题：etcd 集群出现超时时，检查节点间的网络延迟、磁盘 I/O 性能以及 etcd 配置中的超时参数。
• 数据恢复：在 etcd 出现故障时，使用备份恢复数据，并确保恢复的节点与其他节点之间的数据一致性。
• 负载过高：检查 etcd 的 CPU 和内存使用情况，查看是否存在内存泄漏或 CPU 使用率过高的情况，适时调整资源配置。

总结： #

通过合理的硬件配置、网络优化、etcd 参数调整、集群规模设计以及良好的监控和备份策略，可以有效提高 etcd 的性能和稳定性，确保 Kubernetes 集群的可靠运行。

假设k8s集群规模上千，需要注意的问题有哪些？ #

在 Kubernetes 集群规模达到上千节点时，集群的管理、性能、可用性和安全性都会面临更高的挑战。为了确保集群在大规模环境下的高效运行，需要注意以下几个方面：

1. 集群架构与资源规划 #

a. 集群拓扑设计 #

• 高可用架构：确保 API Server、etcd、控制面组件 和 工作节点 等关键组件具有高可用性。需要部署多个副本，以保证任意组件的单点故障不会导致集群的不可用。
• 分布式部署：根据节点的数量，将集群分布在多个物理或虚拟数据中心，以减少单个机房或机架的故障影响。通过 Kubernetes 多区域集群 或 多集群 架构来提升灾备能力。

b. API Server #

• 对于上千节点的集群，需要对 API Server 的负载均衡、水平扩展（--max-requests-inflight、--max-mutating-requests-inflight 等）进行调整。
• 确保有足够的 API Server 副本，合理使用 Ingress 或 负载均衡器 进行流量分配，避免单点故障。

c. etcd 集群 #

• 集群规模较大时，etcd 的性能瓶颈可能会成为集群的瓶颈。建议使用至少 5 个 etcd 节点，并确保它们处于低延迟的网络环境中。配置合理的备份策略，并确保其容量足以存储集群状态。

d. 网络拓扑与性能 #

• 需要考虑 Pod 网络的性能，如网络插件（Calico、Flannel、Cilium 等）选择和网络拓扑设计。对于大规模集群，使用 IPVS 模式的 kube-proxy 会有更好的性能。
• 网络分段：合理规划 网络策略 和 命名空间，确保集群内流量高效、可控且安全。

2. 资源管理与调度 #

a. 节点管理 #

• 对于上千个节点，手动管理变得复杂。需要借助 自动化工具 来动态添加、删除和管理节点，确保集群始终保持健康状态。
• 使用 Node Affinity 和 Taints/Tolerations 来确保 Pod 调度到适当的节点上，避免资源冲突。

b. 集群资源配额 #

• 需要在 命名空间级别 配置合理的资源配额，避免某个命名空间或应用占用过多资源，影响整个集群的稳定性。
• 通过 Horizontal Pod Autoscaling (HPA) 和 Vertical Pod Autoscaling (VPA) 来自动调整 Pod 的资源请求，确保资源得到合理分配。

c. 集群容量规划 #

• 需要定期进行 容量规划，根据应用需求预测 CPU、内存和存储的需求。通过监控数据和负载测试评估集群资源的使用情况，并做出相应调整。

3. 性能与可伸缩性 #

a. 控制平面性能优化 #

• 在规模较大的集群中，控制平面（如 API Server、Controller Manager 等）可能成为瓶颈。需要考虑通过 水平扩展 来增加 API Server 的副本数。
• 增加 etcd 节点的数量以减少锁争用，并确保其存储性能足够支撑大量节点和请求。

b. Pod 和服务的性能优化 #

• Pod 调度优化：确保 Pod 调度的高效性，合理配置 资源请求和限制，避免资源不足或资源过载的情况。
• 对 Services 使用 ClusterIP 模式时，使用 IPVS 模式的 kube-proxy 来提高服务发现性能。
• 使用 网络插件（如 Calico 或 Cilium）来提高集群内的网络性能，确保大规模集群中的容器网络通信不会成为瓶颈。

c. 日志和监控系统的扩展 #

• 监控系统（如 Prometheus、Grafana）需要确保能够处理大规模集群的指标数据。如果指标量过大，可以考虑使用 Prometheus 联邦 或 分布式 Prometheus 系统来处理。
• 日志收集系统（如 ELK 或 Loki）需要做适当的扩展，确保日志数据存储和处理不会影响集群性能。

4. 高可用与容灾 #

a. 高可用性设计 #

• API Server、etcd、Controller Manager、Scheduler 等控制面组件必须具有高可用性，至少部署 3 个副本，确保在节点或区域故障时，控制面组件能够继续运行。
• 负载均衡器：对于大规模集群，建议部署高性能的 负载均衡器（如 HAProxy、Nginx），并确保它们支持 API Server 负载均衡和流量控制。

b. 灾难恢复与备份 #

• 定期备份 etcd 数据，并且确保备份数据的可靠性。考虑使用多区域存储或异地备份，确保在灾难发生时能够快速恢复。
• 配置 跨区域故障恢复，通过 Kubernetes 的 多集群架构 来实现跨区域的灾难恢复。

5. 安全与合规 #

a. 集群安全 #

• 身份认证与授权：大规模集群中，应该使用强制认证的方式来确保集群的安全。确保 RBAC（Role-Based Access Control） 和 PodSecurityPolicy 被严格配置，避免不必要的权限暴露。
• Network Policy：使用 NetworkPolicy 来限制 Pod 之间和 Pod 与外部的通信，减少潜在的安全风险。
• Pod 安全：配置 PodSecurity（PSP）策略，确保容器在适当的安全上下文中运行，限制特权容器等不安全的操作。

b. 集群合规性 #

• 由于集群规模较大，可能涉及合规要求，因此需要定期审查集群的安全策略和操作日志，确保其符合公司或行业的安全标准。
• 容器镜像扫描：对容器镜像进行安全扫描，确保没有已知漏洞的镜像被用于生产环境。

6. 故障排查与诊断 #

a. 异常检测与诊断 #

• 使用 Prometheus、Grafana、Alertmanager 等工具建立完善的告警系统，能够及时检测到集群中出现的异常（如 CPU/内存资源超限、Pod 网络延迟过高等）。
• 日志分析：使用 ELK Stack（Elasticsearch、Logstash、Kibana） 或 Loki 来收集和分析集群的日志。对于大规模集群，日志存储和查询需要足够的性能来支持高频率的写入和查询操作。

b. 节点故障检测 #

• 在大规模集群中，节点故障是不可避免的。通过 Kubernetes 的自动扩展功能（如节点自动扩展和 Pod 自动重启）来快速恢复集群健康状态。
• 节点故障转移：通过 PodDisruptionBudget 和 Pod Affinity/Anti-Affinity 策略来确保节点故障时应用能继续运行。

c. 监控与优化 #

• 定期评估集群的性能，利用 Prometheus 收集 etcd、kubelet、Scheduler、Controller Manager 等关键组件的性能数据。
• 对于大规模集群，可以考虑使用 Kubernetes Federation 来管理多个集群，并通过联邦控制多个集群的状态和健康检查。

总结 #

当 Kubernetes 集群规模达到上千节点时，面临的挑战和复杂性大大增加。为了确保集群的可用性、性能和安全性，需要采取以下措施：

1. 进行合理的 集群架构设计 和 资源规划，确保集群的高可用性和可伸缩性。
2. 优化 API Server、etcd 和 网络插件 的配置，以支持大规模的负载。
3. 部署 监控、日志收集系统，并进行 故障排查，及时发现并处理集群中的问题。
4. 实现强有力的 安全措施 和 合规策略，确保集群的安全性和合规性。

通过这些措施，可以确保大规模集群的稳定性和高效运行。

如果在 Kubernetes 中的 Pod 没有显式设置 resources.requests 和 resources.limits，那么 VPA 会基于容器的实际资源使用情况自动生成推荐的资源请求（request）和限制（limit），但它不能直接强制限制容器的资源。在这种情况下，VPA 会根据 历史使用数据 为容器提供合理的资源请求和限制的建议。

关键点总结： #

1. VPA 的工作方式：
   • VPA 会监控容器的资源使用情况（例如 CPU 和内存），然后基于过去的使用模式来调整推荐的 resources.requests 和 resources.limits。
   • 如果你没有设置 request 和 limit，VPA 将会通过观察容器的实际负载来建议一个合适的资源请求配置，并自动应用这个推荐值。
2. requests 和 limits 重要性：
   • request：是容器启动时请求的资源量，调度器依据该值来决定将容器调度到哪个节点。Pod 在启动时会至少保证这个资源量。
   • limit：是容器使用的资源上限。如果容器使用超过 limit 的资源，Kubernetes 会限制容器的资源使用，并且可能会杀死该容器。
3. VPA 的作用：
   • VPA 推荐资源配置：如果 Pod 没有设置 resources.requests 和 resources.limits，VPA 会基于监控到的资源使用情况，自动为这些 Pod 提供资源请求和限制的推荐值。这些推荐值的计算依赖于容器的历史资源消耗数据。
   • 自动调整：VPA 会自动调整容器的资源请求，保证容器获得合适的资源配置，避免容器因为资源不足而崩溃（比如 OOM），也避免资源过多分配造成浪费。
4. VPA 不会直接强制执行限制：
   • VPA 只会推荐，它并不会直接限制容器的资源，必须结合 Deployment 或其他控制器来应用这些调整。如果没有设置 resources.requests 和 resources.limits，VPA 会依据使用情况推荐适当的值。

总结： #

• 如果 Pod 没有设置 resources.requests 和 resources.limits，VPA 会 基于实际资源使用情况 提供推荐，但它不会直接强制执行资源限制，且这些推荐值必须在 Deployment 或其他控制器中应用。
• 为了让 VPA 工作，并有效避免资源瓶颈或浪费，建议还是显式为每个 Pod 设置 requests 和 limits，让 VPA 在此基础上进行优化。

节点NotReady可能的原因？会导致哪些问题？☆ #

在 Kubernetes 中，节点（Node）处于 NotReady 状态 表示该节点无法正常与控制平面（如 API Server）进行通信或其健康状况不符合要求。NotReady 状态通常表示该节点上的 Kubelet 或 容器运行时 等关键组件出现了问题，导致 Kubernetes 无法调度或管理该节点上的 Pod。

可能导致节点 NotReady 状态的原因 #

1. Kubelet 健康检查失败：
   • Kubelet 是 Kubernetes 节点的核心组件，负责与控制平面通信、监控节点上的 Pod 和容器。如果 Kubelet 无法正常启动或无法与 API Server 通信，节点会变为 NotReady。
   • 可能的原因包括：Kubelet 配置错误、API Server 无法访问、Kubelet 进程崩溃等。
2. 节点资源不足：
   • 节点上的 CPU、内存 或 磁盘 等资源耗尽可能导致 Kubelet 无法正常运行或节点负载过高，从而进入 NotReady 状态。
   • 例如，磁盘满了导致日志写入失败，或者内存耗尽导致系统性能问题。
3. 容器运行时问题：
   • Kubernetes 使用容器运行时（如 Docker 或 containerd）来管理容器。如果容器运行时出现故障（如死锁、崩溃、配置错误等），则会影响节点的健康状况。
   • 例如，容器运行时无法启动或没有运行，导致 Kubelet 无法管理节点上的 Pod。
4. 网络故障：
   • 如果节点与集群其他节点或 API Server 之间的网络通信失败，节点无法与控制平面同步，导致状态被标记为 NotReady。
   • 网络问题可能包括 DNS 解析失败、路由或防火墙配置错误等。
5. Pod 或容器状态异常：
   • 节点上运行的某些 Pod 或容器可能处于崩溃状态，影响整个节点的健康。例如，多个容器进入 CrashLoopBackOff 状态，可能导致节点的资源紧张，从而影响节点状态。
6. 磁盘或文件系统错误：
   • 节点的磁盘或文件系统出现故障（如损坏、无法挂载等），也可能导致节点无法正常运行，进而导致 NotReady 状态。
7. Kube-proxy 问题：
   • Kube-proxy 是负责实现服务负载均衡和网络代理的组件。如果 kube-proxy 出现故障或配置错误，也可能导致节点处于 NotReady 状态，尤其是涉及到网络通信的部分。
8. 节点健康检查配置错误：
   • Kubernetes 节点的健康检查（如 kubelet 自身的健康检查）可以配置为自动检查节点的健康状况。如果健康检查失败，节点也会被标记为 NotReady。
9. 节点证书问题：
   • 如果节点的证书过期或被吊销，Kubelet 与 API Server 之间的 TLS 通信无法正常进行，节点可能会进入 NotReady 状态。
10. 资源调度冲突：
    • 节点上有未解决的资源冲突或依赖问题，可能导致 Kubelet 或其他关键组件不能正常工作。

节点 NotReady 状态可能导致的问题 #

1. Pod 无法调度：
   • Kubernetes 调度器会避免将新的 Pod 调度到 NotReady 状态的节点，因为该节点无法提供必要的资源或服务。
2. 现有 Pod 无法访问：
   • 如果节点被标记为 NotReady，节点上已经运行的 Pod 可能会面临访问失败或无法与其他服务通信的问题。这可能导致集群的服务中断。
3. 影响服务可用性：
   • 如果一个或多个关键节点进入 NotReady 状态，且这些节点运行着重要的应用或服务，可能会导致应用的部分功能不可用，甚至出现服务完全宕机的情况。
4. 影响负载均衡与网络通信：
   • 节点在 NotReady 状态时，Kubernetes 集群中的 kube-proxy 可能会更新其路由信息，从而导致集群中某些网络流量被错误路由或丢失。
   • 如果节点使用的是 IPVS 或 iptables 模式，负载均衡会受到影响。
5. 资源管理混乱：
   • 节点进入 NotReady 状态会导致节点上的资源无法有效管理，Pod 的重调度可能导致其他节点资源的过载，影响整个集群的性能。
6. 可能影响自动扩展：
   • 对于启用了 自动扩展（如 HPA 和 VPA）的集群，如果节点 NotReady，自动扩展可能无法在预定时间内完成任务，从而导致资源分配不均衡。

排查节点 NotReady 状态的思路 #

1. 检查 Kubelet 状态：
   • 使用 systemctl status kubelet 或查看 journalctl -u kubelet 日志，检查 Kubelet 是否正常运行，是否有错误信息。
2. 查看节点状态：
   • 使用 kubectl describe node <node-name> 查看节点的详细信息，特别是 Events 部分，看是否有相关的错误提示或警告信息。
3. 检查资源使用情况：
   • 查看节点的资源使用情况，使用 kubectl top node <node-name> 或通过其他监控工具（如 Prometheus）查看节点的 CPU、内存和磁盘使用情况，检查是否出现资源耗尽的情况。
4. 检查容器运行时状态：
   • 检查容器运行时的日志，使用 docker info 或 containerd 工具查看容器运行时是否正常运行。
5. 查看网络状态：
   • 使用 kubectl get pods --all-namespaces -o wide 检查 Pod 分布和节点网络状态，确保没有网络故障，Pod 能正常与其他节点通信。
6. 检查磁盘和文件系统：
   • 确保节点的磁盘和文件系统没有出现故障。可以查看磁盘空间使用情况 (df -h)，或检查是否有磁盘挂载问题。
7. 检查节点证书和身份验证：
   • 确保节点证书没有过期，并且 Kubelet 能与 API Server 正常通信。
8. 检查节点健康检查配置：
   • 查看节点的健康检查配置是否正常，确认 Kubelet 和 API Server 之间的连接没有问题。
9. 使用监控工具：
   • 通过集群监控工具（如 Prometheus、Grafana）实时监控节点和 Pod 的状态，及时发现问题并处理。

总结 #

节点 NotReady 状态的原因多种多样，常见的有 Kubelet 健康检查失败、资源不足、容器运行时故障、网络问题等。NotReady 状态会导致 Pod 无法调度、现有服务无法访问、负载均衡异常等问题，严重时会影响整个集群的可用性和稳定性。解决此问题需要排查节点日志、资源使用情况、网络状态等，逐步定位故障源并进行修复。

service和endpoints是如何关联的？ #

在 Kubernetes 中，Service 和 Endpoints 是两个非常重要的资源对象，它们通过 Endpoints 来实现对 Service 的访问路由和负载均衡。

1. Service 的作用 #

Service 是 Kubernetes 中一个抽象层，用于暴露一组运行在 Pod 中的应用或服务，它提供一个稳定的网络访问地址（DNS 或 IP），而这些 Pod 可能会随着时间的推移而被创建或销毁。通过 Service，可以确保即使 Pod 被替换或重启，客户端仍然能够通过 Service 访问到相应的应用。

2. Endpoints 的作用 #

Endpoints 资源是 Kubernetes 中 Service 对象的实际目标。每当 Service 创建时，Kubernetes 会为它自动创建对应的 Endpoints 资源。Endpoints 列出了与某个 Service 相关的所有 Pod 的 IP 地址和端口。通过这些 Endpoints，Kubernetes 知道如何将流量路由到这些 Pod。

3. Service 和 Endpoints 的关联方式 #

Service 和 Endpoints 是通过 Pod 的标签（Labels）进行关联的。具体来说，Service 会根据其 selector 字段来选择一组 Pod，这些 Pod 组成了 Service 的目标。在创建 Service 时，Kubernetes 会根据 selector 自动发现符合条件的 Pod，并将其 IP 和端口添加到对应的 Endpoints 资源中。

• Service：通过 spec.selector 字段来定义匹配哪些 Pod（例如根据标签选择）。
• Endpoints：Service 创建后，自动生成对应的 Endpoints 资源，列出符合选择条件的 Pod 的 IP 地址和端口。

4. 流程说明 #

1. 创建 Service：

   • 用户通过 kubectl expose 或 YAML 文件创建一个 Service，通常会设置 spec.selector 来指定一个标签选择器，用于匹配一组 Pod。例如：

   apiVersion: v1
   kind: Service
   metadata:
     name: my-service
   spec:
     selector:
       app: my-app
     ports:
       - port: 80
         targetPort: 8080
   

   这时，Kubernetes 会创建一个名为 my-service 的 Service，并根据 selector 查找匹配的 Pod。

2. 匹配 Pod：

   • Kubernetes 会根据

     Service
     

     的 selector 查找所有匹配的 Pod，假设有以下 Pod：

     apiVersion: v1
     kind: Pod
     metadata:
       name: my-pod-1
       labels:
         app: my-app
     spec:
       containers:
       - name: my-container
         image: nginx
         ports:
         - containerPort: 8080
     

3. 创建 Endpoints：

   • 对于上述匹配到的 Pod，Kubernetes 会自动为 my-service 创建一个 Endpoints 资源，并将匹配的 Pod 的 IP 地址和端口号列出。例如：

   apiVersion: v1
   kind: Endpoints
   metadata:
     name: my-service
   subsets:
     - addresses:
         - ip: 10.1.2.3
       ports:
         - port: 8080
   

   这个 Endpoints 资源记录了 my-pod-1 的 IP 地址和端口。

4. 负载均衡与流量转发：

   • 当请求发送到 my-service 时，Kubernetes 会查询对应的 Endpoints 资源，选择一个 Pod 的 IP 地址并转发请求。负载均衡可以通过 Round Robin（轮询）方式进行，即请求会轮流转发给不同的 Pod。

5. Endpoints 的更新 #

• 如果 Pod 的 IP 地址发生变化（比如 Pod 被重新调度或重新创建），Kubernetes 会自动更新 Endpoints 资源，确保 Service 始终指向当前可用的 Pod。
• 例如，Pod 被删除或重新调度到其他节点时，Endpoints 中会移除掉已删除 Pod 的信息，加入新 Pod 的 IP 地址。

6. 手动管理 Endpoints #

在某些场景下，也可以手动创建或管理 Endpoints，尤其是当你需要将 Service 暴露给外部资源（如外部数据库）时。这时，你可以在 Service 中不使用 selector，而是手动指定 Endpoints 对象，给定固定的 IP 和端口。

例如，手动创建一个 Endpoints 来指向外部服务：

apiVersion: v1
kind: Endpoints
metadata:
  name: my-service
subsets:
  - addresses:
      - ip: 192.168.1.100
    ports:
      - port: 80

7. 集群外的访问 #

对于 ClusterIP 类型的 Service，客户端只能在集群内部访问这个 Service。如果你需要从集群外部访问某个 Service，可以使用 NodePort 或 LoadBalancer 类型的 Service，这时 Kubernetes 会在集群外部创建端口映射。

8. 总结： #

• Service 是一个逻辑上的抽象，用于暴露一组后端 Pod。
• Endpoints 是 Service 的实际目标，记录了所有匹配 Pod 的 IP 地址和端口信息。
• Kubernetes 会根据 Service 的 selector 自动维护 Endpoints 列表，确保流量能够正确路由到正确的 Pod。

这种机制确保了在 Pod 被动态调度、重新启动或者创建新的 Pod 时，Service 的访问接口始终保持稳定，而 Pod 的具体实现和 IP 地址可以发生变化。

ReplicaSet、Deployment功能是怎么实现的？ #

ReplicaSet 和 Deployment 都是 Kubernetes 中用于管理 Pod 副本和确保集群中应用高可用的资源对象，但它们在功能和使用场景上有一些区别。下面详细讲解这两个对象的功能和实现原理。

1. ReplicaSet 的功能和实现原理 #

功能 #

ReplicaSet 是一种用于维护一组 Pod 副本 的控制器。它确保某个时刻集群中总是有指定数量的副本 Pod 在运行，并且这些 Pod 的定义始终符合预期的状态。

• 副本数量管理：ReplicaSet 会根据 spec.replicas 中定义的副本数来管理 Pod 的数量。如果当前的 Pod 数量少于指定的副本数，ReplicaSet 会创建新的 Pod；如果 Pod 数量超过了指定数量，它会删除多余的 Pod。
• Pod 副本的健康管理：ReplicaSet 会持续监控 Pod 的健康状况。如果某个 Pod 出现故障（如崩溃或被删除），ReplicaSet 会自动创建新的 Pod 来替代它。

实现原理 #

ReplicaSet 通过一个 标签选择器（Label Selector） 来确定哪些 Pod 是由该 ReplicaSet 管理的。ReplicaSet 会与其管理的 Pod 的标签进行匹配，确保符合条件的 Pod 始终保持在集群中。

1. 创建 ReplicaSet： 用户通过 kubectl 或 YAML 配置创建 ReplicaSet。ReplicaSet 会根据 spec.replicas 中指定的副本数来管理 Pod 副本，确保创建的 Pod 数量始终保持一致。 示例：

   apiVersion: apps/v1
   kind: ReplicaSet
   metadata:
     name: my-replicaset
   spec:
     replicas: 3
     selector:
       matchLabels:
         app: my-app
     template:
       metadata:
         labels:
           app: my-app
       spec:
         containers:
         - name: my-container
           image: nginx
   

2. 控制器的工作原理：

   • ReplicaSet 会监控和维护指定数量的 Pod 副本。
   • 如果某个 Pod 被删除或失败，ReplicaSet 会创建新的 Pod 进行替代。
   • ReplicaSet 会基于 Pod 模板（template）来创建新的 Pod，并确保其满足与 Selector 匹配的条件。

3. Pod 状态的监控： ReplicaSet 会通过 Kubernetes 的控制循环来检测 Pod 的状态，并通过 API 服务器与 Kubernetes 控制平面进行交互，确保 Pod 的数量和健康状况符合要求。

注意： #

• ReplicaSet 不会自己更新 Pod，它仅负责确保指定数量的 Pod 副本在集群中。如果 Pod 模板（如容器镜像、端口等）发生变化，需要手动删除旧的 ReplicaSet 并创建一个新的。

2. Deployment 的功能和实现原理 #

功能 #

Deployment 是在 ReplicaSet 的基础上提供更高级别管理功能的控制器，它不仅能管理 ReplicaSet 的副本数，还提供了 滚动更新、回滚、暂停和恢复等功能。Deployment 通过控制 ReplicaSet 来确保指定数量的 Pod 副本保持运行，同时能够进行无缝的应用更新。

实现原理 #

Deployment 主要通过 ReplicaSet 来管理 Pod 副本和滚动更新过程。每次更新应用时，Deployment 会创建一个新的 ReplicaSet 来替代旧的 ReplicaSet，而旧的 ReplicaSet 会逐步减少 Pod 副本的数量，直到所有 Pod 都由新的 ReplicaSet 管理。

1. 创建 Deployment： 用户可以通过 kubectl 或 YAML 文件创建 Deployment。在 Deployment 中，用户指定了 Pod 模板、所需副本数、更新策略等。Deployment 会自动管理 ReplicaSet，并且管理更新和回滚的过程。 示例：

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: my-deployment
   spec:
     replicas: 3
     selector:
       matchLabels:
         app: my-app
     template:
       metadata:
         labels:
           app: my-app
       spec:
         containers:
         - name: my-container
           image: nginx:1.19
   

2. 滚动更新：

   • 当 Deployment 更新时，它会创建一个新的 ReplicaSet，并逐渐停止旧 ReplicaSet 中的 Pod，创建新的 Pod 来替代它们。这个过程称为 滚动更新（Rolling Update）。
   • 默认情况下，Deployment 会确保更新时保持高可用性。通过控制器的智能调度，Kubernetes 会在 Pod 更新过程中确保某些副本始终处于运行状态。

3. 回滚功能：

   • 如果新的更新失败，用户可以回滚到之前的版本。Deployment 会自动跟踪其历史版本，允许在必要时进行快速回滚。
   • kubectl rollout undo 可以用来回滚到上一个 Deployment 版本。

4. 暂停和恢复：

   • 如果在应用更新时需要暂停，可以使用 kubectl rollout pause 暂停 Deployment 更新。暂停后，可以手动调整 Deployment 的配置，然后使用 kubectl rollout resume 恢复更新。

5. 滚动更新策略：

   • maxSurge：指定更新过程中最多可以超出副本数的 Pod 数量。
   • maxUnavailable：指定更新过程中最多不可用的 Pod 数量。

6. Deployment 更新过程：

   • 当用户修改 Deployment（例如更新容器镜像）时，Deployment 会创建一个新的 ReplicaSet，并根据滚动更新策略逐步替换旧的 Pod。

3. ReplicaSet 与 Deployment 的区别 #

4. Deployment 如何实现滚动更新 #

Deployment 使用 Rolling Update 策略来平滑地更新应用。更新过程的关键步骤如下：

1. 创建新 ReplicaSet：当 Deployment 更新时，Kubernetes 会创建一个新的 ReplicaSet。
2. 逐步替换 Pod：在更新过程中，旧的 ReplicaSet 会逐步缩减 Pod 副本的数量，而新的 ReplicaSet 会逐步增加 Pod 副本的数量。
3. 健康检查：Kubernetes 会检查每个 Pod 的健康状态，只有在新 Pod 启动并通过健康检查后，才会删除旧 Pod。
4. 可配置策略：通过 maxSurge 和 maxUnavailable 参数，用户可以配置更新的速度和策略。

5. 总结 #

• ReplicaSet 主要用于确保一组 Pod 副本数量的管理，它本身不支持自动更新，因此需要手动管理 Pod 模板和副本数量。
• Deployment 则在 ReplicaSet 的基础上提供了更高级的功能，支持滚动更新、回滚、暂停和恢复等功能，适合用于生产环境中的应用管理。通过 Deployment，Kubernetes 可以自动管理 ReplicaSet 的更新过程，确保应用的高可用性和版本控制。

一般来说，在实际使用中，Deployment 是更常见和推荐的选择，因为它提供了更多的管理和更新功能，而 ReplicaSet 通常是通过 Deployment 间接管理的。

scheduler调度流程 #

Kubernetes 的 Scheduler 负责将 Pod 调度到合适的 Node 上运行。调度的目标是确保 Pod 在集群中的高效运行，并满足资源需求、拓扑要求等各种约束条件。下面是 Kubernetes Scheduler 的详细调度流程：

1. 调度器的工作流程概述 #

Kubernetes Scheduler 主要包括以下几个步骤：

1. 监听待调度的 Pod：Scheduler 监视 API 服务器中的 Pod 列表，查找没有被调度的 Pod（状态为 Pending 的 Pod）。
2. 选择适合的节点：Scheduler 根据 Pod 的资源需求、节点的可用资源、调度策略、亲和性和反亲和性等信息选择一个合适的节点。
3. 将 Pod 绑定到节点：一旦选择了节点，Scheduler 会将 Pod 绑定到该节点，并将信息更新到 API 服务器。
4. 执行调度：节点的 kubelet 会接收到更新，并开始启动容器来运行该 Pod。

2. Scheduler 调度流程的详细步骤 #

步骤 1：监听待调度的 Pod #

• Pod 状态为 Pending：Scheduler 只会调度状态为 Pending 的 Pod，也就是那些还没有被绑定到节点的 Pod。
• Pod 和调度器：Pod 会首先被创建并发送到 Kubernetes 的 API 服务器，Scheduler 会监控这些 Pod 的状态。
• Pod 资源需求：每个 Pod 在创建时可以定义其对资源（如 CPU、内存、存储等）的请求和限制（resources.requests 和 resources.limits）。

步骤 2：调度器选择适合的节点 #

Scheduler 会根据以下几个因素来选择合适的节点：

1. Node 可用性：
   • Scheduler 会查询所有可用节点，并根据 Node 的资源（CPU、内存、存储等）和 Pod 的资源请求来筛选合适的节点。
   • 如果节点资源不足，Pod 将无法调度到该节点。
2. Pod 的亲和性和反亲和性（Affinity/Anti-Affinity）：
   • NodeAffinity：Pod 可以指定必须调度到具有特定标签的节点上，或者排除特定标签的节点。
   • PodAffinity：Pod 可以指定它应该和其他特定的 Pod 一起调度到同一个节点上。
   • PodAntiAffinity：Pod 可以指定它应该避免和其他特定的 Pod 调度到同一个节点上。 亲和性和反亲和性可以基于标签选择器来指定。
3. 资源请求和限制：
   • Scheduler 会根据 Pod 的资源请求和节点的资源使用情况进行匹配。
   • 例如，如果 Pod 请求 2 CPU 和 4GB 内存，而节点只有 1 CPU 和 2GB 内存，那么该 Pod 无法被调度到这个节点。
4. Taints 和 Tolerations：
   • 节点可以通过 taints 来标记其不适合某些 Pod 的调度，只有具有相应 tolerations 的 Pod 才能被调度到这些节点上。
   • Taints 是一种保护机制，防止 Pod 被调度到不适合的节点。
5. 资源均衡：
   • Scheduler 会尽量保证集群资源的均衡，避免某些节点资源的过度消耗。
   • Kubernetes 会根据各个节点的资源使用情况（例如 CPU、内存的消耗量）来做负载均衡，确保 Pod 被均匀调度。
6. Priority 和 Preemption：
   • Kubernetes 支持 Pod 优先级，调度器会优先调度优先级更高的 Pod。
   • 如果集群中没有足够的资源来调度新 Pod，调度器会选择抢占低优先级的 Pod，释放资源来调度高优先级的 Pod。
7. 其他约束：
   • PodDisruptionBudgets（PDB）：定义了最小的 Pod 副本数量，Scheduler 会确保不会调度导致 PDB 限制的 Pod。
   • 静态调度器插件（例如, VolumeScheduling）：调度时会考虑卷的可用性，避免选择那些无法挂载某个特定卷的节点。

步骤 3：绑定 Pod 到节点 #

一旦 Scheduler 选择了合适的节点，下一步是将该 Pod 绑定到节点。这个操作实际上是修改 API 服务器中的 Pod 状态，将 Pod 的 nodeName 字段更新为选中的节点名称。

• Pod Binding：这是调度的最后一步，Scheduler 更新 Pod 资源对象的 nodeName 字段。
• 更新 API 服务器：Pod 状态会更新为 Scheduled，并指明将该 Pod 调度到的节点。

步骤 4：执行调度 #

一旦 Pod 被绑定到节点，kubelet 会开始在该节点上执行 Pod 的启动操作，具体步骤如下：

1. kubelet 启动容器：kubelet 通过容器运行时（如 Docker、containerd 等）启动 Pod 中的容器。
2. Pod 运行：Pod 在节点上运行，kubelet 会监控容器的状态，并将 Pod 的健康状态报告给 API 服务器。
3. Pod 健康检查：如果 Pod 配置了探针（liveness、readiness），kubelet 会定期执行探针，确保 Pod 健康。

3. Scheduler 插件体系 #

Kubernetes Scheduler 是一个高度可扩展的组件，可以通过插件化的方式进行扩展。调度过程中的很多步骤可以通过不同的插件来实现，常见的插件包括：

• 过滤插件（Filter Plugin）：用于过滤不符合条件的节点。比如，如果节点没有足够的 CPU 或内存资源，Pod 就不能被调度到该节点。
• 优选插件（Score Plugin）：对节点进行评分，选择最合适的节点。
• Preemption 插件：当集群资源不足时，Preemption 插件会通过抢占低优先级 Pod 来释放资源供高优先级 Pod 使用。

4. 调度策略 #

调度器使用不同的策略来优化调度：

• Round-robin 调度策略：当集群资源分布均匀时，调度器可能使用 round-robin 算法来轮流将 Pod 分配到不同的节点。
• 资源分配优化：调度器通过均衡集群资源的使用来避免过载，并确保 Pod 调度到合适的节点上，最大限度地提高资源利用率。

5. 总结 #

Kubernetes Scheduler 是 Kubernetes 中非常重要的组件，负责将 Pod 调度到集群中的合适 Node 上运行。调度过程包括从监听待调度的 Pod、根据节点资源和调度策略选择节点、将 Pod 绑定到节点以及最终通过 kubelet 启动 Pod 的过程。调度器还支持通过插件扩展调度功能，并提供灵活的调度策略来优化集群资源利用。

HPA怎么实现的☆ #

Horizontal Pod Autoscaler (HPA) 是 Kubernetes 中的一个自动化组件，它根据负载（如 CPU、内存使用率等）自动扩展或缩减 Pod 的数量。HPA 可以确保应用在负载增加时能够自动扩展 Pod 副本数，在负载减少时自动缩减，从而保持系统的高效运行。

1. HPA 主要功能 #

• 自动扩展（Scaling Up）：当应用负载（如 CPU 使用率、内存使用率等）超过设定的阈值时，HPA 会增加 Pod 的副本数。
• 自动缩减（Scaling Down）：当应用负载低于设定的阈值时，HPA 会减少 Pod 的副本数。
• 资源监控：HPA 定期检查应用的资源使用情况（CPU/内存等）并做出扩缩容决策。

2. HPA 工作原理 #

HPA 的实现过程主要依赖于 Metrics Server 提供的指标数据（如 CPU 使用率、内存使用量等），并通过比较实际指标与目标指标来决定是否需要扩容或缩容。

2.1 HPA 组件 #

• Metrics Server：HPA 依赖于 Metrics Server，它收集 Kubernetes 集群中的资源使用数据（例如 CPU 和内存使用量），并将这些数据提供给 HPA。
• HPA 控制器：HPA 控制器在 Kubernetes 中运行，它会定期获取集群中 Pod 的资源指标，并根据这些指标自动调整 Pod 副本的数量。

2.2 HPA 的工作流程 #

1. 创建 HPA 资源： 用户创建一个 HPA 资源，并指定目标应用的资源类型（如 CPU 使用率）以及目标值。例如，目标是当 CPU 使用率达到 50% 时，自动扩容 Pod 副本。

   示例：

   apiVersion: autoscaling/v2
   kind: HorizontalPodAutoscaler
   metadata:
     name: my-app-hpa
   spec:
     scaleTargetRef:
       apiVersion: apps/v1
       kind: Deployment
       name: my-app
     minReplicas: 2
     maxReplicas: 10
     metrics:
       - type: Resource
         resource:
           name: cpu
           target:
             type: Utilization
             averageUtilization: 50
   

   • scaleTargetRef：指定了要自动扩展的资源对象（通常是一个 Deployment）。
   • minReplicas 和 maxReplicas：设置 Pod 副本数的最小值和最大值，HPA 会在这个范围内进行扩缩容。
   • metrics：指定需要监控的资源类型，这里监控的是 CPU 使用率，并且目标是达到 50% 的平均 CPU 使用率。

2. 获取资源使用指标： HPA 控制器会定期从 Metrics Server 获取集群中各个 Pod 的资源使用数据。Metrics Server 会通过 kubelet 获取每个节点的资源数据并上报给 API 服务器，然后 HPA 控制器可以查询这些数据。

3. 计算当前负载与目标负载的差异： HPA 控制器会计算当前 Pod 的资源使用情况（例如，CPU 使用率），并与配置文件中的目标值进行比较。例如，如果目标 CPU 使用率是 50%，而当前使用率是 70%，HPA 控制器就会启动扩容操作。

4. 计算需要的副本数： 基于当前的资源使用情况和目标值，HPA 会计算需要多少个副本才能使资源使用达到目标。例如，若 CPU 使用率为 70%，目标是 50%，则 HPA 会根据这个比例来决定是否增加 Pod 副本数。

   公式：

   desiredReplicas = currentReplicas * (currentUsage / targetUsage)
   

   如果计算出的副本数超出了 maxReplicas，那么副本数会被限制在 maxReplicas；如果小于 minReplicas，副本数会被限制在 minReplicas。

5. 调整副本数： HPA 控制器会根据计算的副本数修改 Deployment、ReplicaSet 或 StatefulSet 的 replicas 字段，Kubernetes 会根据这个变更开始扩容或缩容 Pod。

2.3 HPA 的触发周期 #

• 每 15 秒检查一次：默认情况下，HPA 控制器每 15 秒检查一次资源指标，并基于当前负载情况决定是否扩展或缩减 Pod 副本数。
• 计算周期：每次检查时，HPA 控制器会分析过去 1 分钟内的平均负载。HPA 会根据这个时间窗口的负载来做出决策。

3. HPA 扩展和缩减的决策 #

HPA 会基于设定的 metrics 和 目标值 来做出扩展或缩减决策，常见的度量标准有：

• CPU 使用率：HPA 会监控集群中 Pod 的 CPU 使用率，并根据当前使用情况来扩展或缩减 Pod 数量。
• 内存使用率：除了 CPU 外，内存使用率也是一个常见的衡量标准，虽然默认情况下 HPA 只支持 CPU，但可以通过自定义指标扩展来监控内存或其他资源。
• 自定义指标：用户还可以使用自定义指标（如来自 Prometheus 等监控工具的数据）来驱动 HPA 扩展 Pod 数量。

扩容（Scaling Up）： #

• 当负载超过预设目标（例如 CPU 使用率 > 50%）时，HPA 会增加 Pod 数量，以缓解负载。

缩容（Scaling Down）： #

• 当负载低于预设目标（例如 CPU 使用率 < 50%）时，HPA 会减少 Pod 数量，以节省资源。

4. HPA 相关的限制和注意事项 #

1. Metrics Server 的依赖：HPA 依赖于 Metrics Server 提供的指标数据，必须确保 Metrics Server 正常运行，否则 HPA 无法获取资源使用数据，可能导致无法触发自动扩缩容。
2. 扩缩容延迟：HPA 的调度决策是基于一定时间窗口内的平均负载，因此在负载突增的情况下，可能会有一定的延迟。
3. 最小副本数和最大副本数限制：可以通过 minReplicas 和 maxReplicas 配置来限制 Pod 副本数的最小值和最大值，避免过度扩容或缩容。
4. 不适用于所有类型的负载：HPA 主要针对计算密集型负载（如 CPU 和内存）。对于 I/O 密集型或网络密集型负载，HPA 可能并不总是最佳解决方案。
5. 资源请求和限制：为了使 HPA 正常工作，Pod 必须定义资源的 requests 和 limits，否则 HPA 将无法准确监控 Pod 的负载并进行扩缩容。

5. 总结 #

Horizontal Pod Autoscaler (HPA) 是 Kubernetes 的一种自动扩展机制，根据应用的资源负载（如 CPU 使用率、内存使用量等）来自动调整 Pod 的副本数。它通过与 Metrics Server 配合，实时获取资源使用数据，并根据这些数据动态扩展或缩减 Pod 数量，以保证应用的高可用性和资源的高效利用。HPA 可以根据目标的 CPU 使用率、内存使用量等指标来控制副本数，从而自动适应应用的负载变化。

request limit底层是怎么限制的☆ #

在 Kubernetes 中，Pod 的资源限制（request 和 limit）主要是通过 cgroup 来实现的，request 和 limit 的值会直接映射到容器的 cgroup 配置中，控制容器使用的资源（CPU 和内存）。这些限制是在容器运行时通过 容器运行时（如 Docker、containerd 等）和 Linux cgroup 系统实现的。

1. 请求资源（request）与限制资源（limit）的定义 #

• request：容器在调度时请求的资源量（CPU 或内存）。它表示 Pod 在集群中调度时需要的最低资源量。如果一个 Pod 没有设置 request，则调度器可能会将 Pod 放置到资源充足的节点上，但不会强制资源保证。
• limit：容器能够使用的最大资源量。如果容器请求超过 limit 的资源，Linux 内核会限制容器的资源使用（例如，通过 OOM Killer 来终止过度占用内存的容器）。limit 限制的是容器的资源上限，防止单个容器占用过多资源，影响其他容器。

2. 底层原理：cgroup 和容器运行时 #

容器通过 cgroup（Control Groups）来实现资源的隔离和限制。cgroup 是 Linux 内核的一个特性，用来限制、控制和监视进程的资源使用。

2.1 cgroup 和 Kubernetes 中的资源限制 #

• CPU 限制：容器的 request 和 limit 会被转换为 cgroup 中的 CPU 配额。例如，如果容器的 request 设置为 1 CPU，limit 设置为 2 CPU，cgroup 会为该容器分配 1 个 CPU 的请求资源，并且限制它最多只能使用 2 个 CPU 的资源。
• 内存限制：容器的内存 request 和 limit 会对应到 cgroup 的内存子系统（memory），指定容器可用的最小和最大内存。当容器使用的内存超过了 limit，会触发 OOM（Out of Memory）情况，内核会根据 limit 设置对容器进行杀掉或限制。

2.2 容器运行时如何应用 request 和 limit #

容器运行时（如 Docker 或 containerd）负责启动容器，并将 request 和 limit 转换为 cgroup 的配置。具体实现过程如下：

1. 容器启动时：容器运行时读取 Pod 配置中的 request 和 limit 值，并将其映射到相应的 cgroup 设置中。比如，对于 CPU 限制，Docker 会使用 cgroup 的 cpu.cfs_quota_us 和 cpu.cfs_period_us 来限制 CPU 使用。

   • CPU 请求（request）：容器的 request 会被转换为 cpu.cfs_quota_us，表示容器在调度时需要的 CPU 资源。
   • CPU 限制（limit）：容器的 limit 会被转换为 cpu.cfs_quota_us，表示容器的最大 CPU 配额。

2. 资源管理：

   • CPU：容器的 CPU 使用会受到 cgroup 的管理，容器的 CPU 使用会被限制在指定的配额范围内。
   • 内存：内存限制是通过 cgroup 的 memory.limit_in_bytes 来实现的。如果容器请求的内存超过 limit，容器将被杀死（OOM）。

3. 容器资源超限：

   • 当容器超出

     limit
     

     资源时，Linux 内核会根据资源类型采取不同的策略：

     • CPU 限制：如果容器使用的 CPU 超过了设置的 limit，容器会被限制只能使用一定量的 CPU 时间，无法进一步占用更多 CPU。
     • 内存限制：如果容器的内存使用超出了 limit，Linux 内核会通过 OOM（Out Of Memory）机制来终止该容器，以保证系统的稳定性。

2.3 Linux Cgroup 实现方式 #

在 Linux 内核中，资源限制是通过 cgroup（控制组）实现的。cgroup 用于限制、控制和监控进程的资源使用，包括 CPU、内存、磁盘 I/O 等。

• CPU 限制：cgroup 通过 cpu.cfs_quota_us 和 cpu.cfs_period_us 设置 CPU 配额。
  • cpu.cfs_period_us：设置 CPU 周期的总时长（默认是 100ms）。
  • cpu.cfs_quota_us：设置容器在周期内允许使用的最大时间（默认是 -1，表示没有限制）。比如，如果设定为 50000 微秒，容器每个周期只能使用 50ms 的 CPU。
• 内存限制：cgroup 使用 memory.limit_in_bytes 来限制容器的最大内存使用量。如果容器的内存超过了 limit，内核会触发 OOM（Out of Memory）机制，杀死进程。

3. 调度器如何使用 request 和 limit #

在 Kubernetes 中，调度器会根据 Pod 的 request 来选择合适的节点进行调度。调度器会确保节点有足够的资源（CPU、内存）来满足 Pod 的 request，同时避免超出节点的资源限制。

• request：调度时参考 Pod 的 request，确保节点有足够的资源来调度 Pod。request 是保证 Pod 最低可以获得的资源。
• limit：limit 不会影响调度过程，但会影响容器的资源使用。容器的实际资源使用不能超过 limit，否则会被操作系统限制或杀死。

4. 总结 #

在 Kubernetes 中，request 和 limit 是通过 Linux cgroup 来实现资源控制的：

• request 表示容器请求的最低资源量，会影响调度时选择节点的过程。
• limit 表示容器可以使用的最大资源量，超过这个限制会导致容器被限制或杀死。
• cgroup 是实现这些限制的底层机制，它通过限制 CPU 配额、内存限制等来控制容器的资源使用。

通过 request 和 limit，Kubernetes 提供了一个灵活的资源管理机制，确保容器在集群中的资源使用是可控的，并且能够避免资源过度消耗或浪费。

helm工作原理是什么？ #

Helm 是 Kubernetes 上的一个包管理工具，类似于 Linux 上的 apt 或 yum，用来简化 Kubernetes 应用的安装、管理和发布过程。Helm 主要通过 Charts 和 Releases 来管理 Kubernetes 应用，能够有效地打包、配置、发布和维护 Kubernetes 资源。

Helm 的核心组件 #

1. Chart：

   • Chart 是 Helm 的核心，代表一个可以部署的应用包。它是一组 Kubernetes YAML 文件的集合，用于描述 Kubernetes 中一个应用所需的所有资源。Chart 包含了部署应用所需的所有配置文件（如 Deployments、Services、ConfigMaps、Secrets 等）。

   • Chart

     可能包含：

     • templates/ 目录：包含 Kubernetes 资源的模板文件，支持使用 Helm 的模板语法进行变量替换和控制逻辑。
     • values.yaml 文件：定义默认的配置值，用于替换模板中的变量。
     • charts/ 目录：存放依赖的其他 Charts。
     • Chart.yaml 文件：包含 Chart 的元数据（如名称、版本、描述等）。
     • templates/ 目录下的模板会被渲染成具体的 Kubernetes 资源定义。

2. Release：

   • Release 是 Helm 安装 Chart 的一个实例。当你使用 Helm 安装一个 Chart 时，Helm 会创建一个 Release，将 Chart 配置值与 Kubernetes 集群中的资源进行实际的绑定。
   • 每个 Helm Release 都有一个名称和版本号，可以在同一集群中多次安装同一个 Chart，生成不同的 Release 实例。

3. Helm 仓库：

   • Helm 仓库是 Chart 的存储库，用来发布和分享 Chart 包。常见的 Helm 仓库包括官方的 Helm 仓库和第三方仓库。Helm 可以从这些仓库中拉取 Charts 进行安装。

Helm 工作原理 #

1. 安装 Chart #

Helm 安装 Chart 的过程可以分为以下几个步骤：

1. 初始化 Helm 客户端： Helm 客户端会与 Kubernetes API 服务器交互。安装和配置 Kubernetes 上的 Helm Tiller（Helm v2 中使用的服务端组件）或者在 Helm v3 中，客户端本身直接与 Kubernetes API 交互。
2. 获取 Chart： Helm 可以从本地目录或远程 Helm 仓库获取 Chart。Helm 也支持 Chart 的版本管理。
3. 渲染模板： Helm 使用模板引擎（基于 Go 模板）渲染 Chart 中的 Kubernetes 配置文件（如 Deployments、Services 等）。在渲染过程中，Helm 会根据 values.yaml 文件中的默认值，或者通过 --set 参数传入的自定义值，来替换模板文件中的变量。
4. 安装资源： 渲染后的 Kubernetes 配置文件会被应用到 Kubernetes 集群中，Helm 会使用 kubectl 或 Kubernetes API 提交这些资源，创建应用的实际部署。
5. 创建 Release： 当 Helm 成功安装应用后，会创建一个 Release，每个 Release 都会有一个唯一的名称和版本号。这个 Release 记录了 Chart 配置、版本信息以及安装的资源对象。

2. 升级和回滚 #

• 升级： Helm 允许你通过修改 values.yaml 或直接使用 --set 来修改 Chart 配置。当你更新 Chart 或配置时，可以使用 helm upgrade 命令进行应用升级。Helm 会通过对比新旧版本，生成更新的资源定义，并应用到 Kubernetes 集群中。
• 回滚： 如果升级后的应用出现问题，Helm 还支持通过 helm rollback 命令将应用回滚到先前的版本。Helm 会重新应用旧版本的配置和资源，恢复到先前的状态。

3. 卸载应用 #

使用 helm uninstall 命令可以删除已经安装的 Release，Helm 会删除与该 Release 相关的所有 Kubernetes 资源（如 Pods、Services、Deployments 等）。

4. 依赖管理 #

Helm 支持通过 charts/ 目录管理 Chart 依赖。一个 Chart 可以依赖其他 Chart，这样可以实现 Chart 的模块化管理。Helm 会在安装时自动下载和安装 Chart 的依赖包。

Helm 的模板渲染 #

Helm 使用 Go 模板语法渲染 Kubernetes 资源的 YAML 文件。模板语法允许你定义变量、条件语句、循环等，从而使得 Helm 配置更加灵活和动态。

常用的模板语法有：

• {{ .Release.Name }}：获取当前 Release 的名称。
• {{ .Values.someValue }}：获取 values.yaml 文件中的某个值。
• {{ if .Values.enabled }} ... {{ end }}：条件判断，只有当某个值为 true 时才渲染某些资源。
• {{ range .Values.items }} ... {{ end }}：循环渲染多个资源。

Helm 的优势 #

1. 简化 Kubernetes 部署： Helm 通过 Charts 模块化部署应用，减少了大量手动创建 Kubernetes 资源配置文件的工作。
2. 易于版本管理： Helm 允许你管理应用的多个版本，可以轻松地升级、回滚和恢复应用。
3. 参数化配置： Helm 允许你使用模板和 values.yaml 文件来动态配置 Kubernetes 资源，使得应用的配置可以灵活适配不同环境。
4. 依赖管理： Helm 支持 Chart 之间的依赖关系，简化了应用的复用和集成。
5. 应用发布和共享： Helm 使得 Chart 的共享和复用变得更加容易，你可以使用公共的 Helm 仓库或自己搭建私有仓库，方便团队或社区共享应用。

Helm 与 Kubernetes 资源的关系 #

Helm 主要通过将 Chart 渲染为 Kubernetes 配置文件（如 Deployment、Service 等）来管理应用。它并不会替代 Kubernetes 原生的资源管理，而是简化了 Kubernetes 应用的配置、安装、升级和卸载等操作。Helm 通过模板化和参数化的方式，提供了一个强大的工具，帮助开发和运维团队更高效地管理 Kubernetes 上的应用。

总结 #

• Helm 是 Kubernetes 的包管理工具，通过 Charts、Releases 和 Helm 仓库帮助用户简化应用的安装、配置、发布和管理。
• Chart 是 Helm 包的核心，包含 Kubernetes 资源的模板和配置文件。
• Release 是 Chart 的一个具体实例，在 Kubernetes 集群中创建和管理。
• Helm 使用模板引擎将变量渲染为实际的 Kubernetes 资源配置，并通过 kubectl 提交到 Kubernetes 集群。
• Helm 还提供了版本管理、升级、回滚、依赖管理等功能。

通过 Helm，用户可以更加方便地管理和发布 Kubernetes 应用，增强了应用的可移植性和可管理性。

helm chart rollback实现过程是什么？ #

在 Helm 中，rollback 是一种回滚操作，它允许用户将一个已安装的 Helm Release 恢复到先前的某个版本。这在应用升级后出现问题时非常有用，可以快速将应用恢复到一个已知的稳定状态。

Helm Chart Rollback 实现过程 #

Helm 的 rollback 操作依赖于 Helm Release 的版本管理机制。每次通过 Helm 安装、升级或修改一个 Release 时，Helm 都会为该 Release 创建一个新的版本，并将相关的 Kubernetes 资源状态记录到 Helm 的内部存储（称为 Helm 存储库）。通过 rollback 命令，用户可以选择恢复某个历史版本。

下面是 Helm Chart rollback 的实现过程：

1. Helm Release 的版本管理 #

Helm 会为每个安装或升级的 Release 创建一个唯一的版本号，并将每个版本的 Kubernetes 资源的当前状态保存在 Helm 的存储中。每次 Helm 操作（安装、升级、修改等）都会生成一个新的 Release 版本。

• Release Version：每次执行 helm upgrade 或 helm install 时，Helm 会自动增加 Release 的版本号，并在内部存储中保存该版本对应的 Kubernetes 资源清单（如 Deployment、Service 等）。
• Helm 会将 Release 的版本存储在 Kubernetes 集群中的 ConfigMap 或 Secret 中，具体存储方式取决于 Helm 配置。

2. 执行 Rollback 操作 #

当我们执行 helm rollback 命令时，Helm 会：

1. 读取 Release 的历史版本：
   • helm rollback 命令指定的版本号或默认的上一个版本，Helm 会从内部存储中找到该版本对应的 Kubernetes 资源清单。
   • Helm 默认会回滚到最近的一个版本（通过 --retries 参数或指定具体版本号），如果没有指定版本号，则会回滚到上一个版本。
2. 生成新版本的 Kubernetes 资源：
   • Helm 会从历史版本中提取之前的 Kubernetes 资源清单，这些清单包括之前版本的 Deployment、Service、ConfigMap、Secrets 等。
   • Helm 会将这些资源清单再次渲染并提交到 Kubernetes 集群。渲染时，Helm 会使用模板文件和 values.yaml 配置文件，确保这些资源的配置与历史版本一致。
3. 应用历史版本的资源配置：
   • 生成的 Kubernetes 资源将通过 Kubernetes API 被应用到集群中，从而恢复到历史版本的状态。
   • Kubernetes 会根据资源定义执行相应的创建、更新或删除操作。如果版本回滚导致 Kubernetes 资源（例如 Deployment）发生变更，Kubernetes 会执行 滚动更新（Rolling Update）操作，逐步用历史版本替换当前运行中的 Pods。
4. 更新 Release 版本：
   • 一旦 Kubernetes 集群成功应用了回滚的资源配置，Helm 会将 Release 的版本号更新为新版本。
   • 这个新版本的 Release 包含了回滚后的配置，确保 Helm 能够正确跟踪回滚后的版本。
5. 确认回滚结果：
   • Helm 会返回一个成功回滚的信息，表示已经将应用恢复到之前的状态。

3. Helm Rollback 中的关键操作 #

1. 版本回滚：Helm rollback 会从内部存储中获取某个版本的 Kubernetes 资源定义（包括渲染后的 YAML），并将其应用到集群中。
2. 资源替换：Helm 会根据历史版本的资源清单进行更新，更新的过程可能涉及到 Deployment 的滚动更新、ConfigMap 和 Secrets 的替换等操作。
3. 状态恢复：Helm 会将 Kubernetes 资源的实际状态恢复为历史版本的状态，包括镜像版本、环境变量、配置文件等。

4. helm rollback 示例 #

假设我们有一个名为 my-release 的 Helm Release，当前安装版本为 3，并且想将其回滚到版本 2。可以执行以下命令：

helm rollback my-release 2

这个命令会将 my-release 的 Release 配置恢复到版本 2，Helm 会从 Kubernetes 集群中获取并恢复版本 2 时的所有资源配置。

如果没有指定版本号，Helm 会默认回滚到上一个版本（即版本 2）：

helm rollback my-release

5. RollBack 时的注意事项 #

• 数据丢失：如果回滚涉及到应用的数据库或持久化存储，可能会导致数据丢失或状态不一致，因此在回滚前一定要评估数据的状态。
• 时间窗口：回滚操作可能会影响应用的可用性，尤其是当容器中的数据未持久化时。可以通过 Kubernetes 的 Deployment 滚动更新机制来减少影响。
• 回滚到合适的版本：如果在回滚操作后出现问题，可以继续回滚到更早的版本，Helm 支持无限回滚，但每次回滚都需要检查资源和应用状态。

6. Helm 回滚工作原理总结 #

• Helm 通过在每次安装或升级时保存资源配置清单，并将其记录为一个版本。
• helm rollback 会通过回滚操作恢复历史版本的 Kubernetes 资源清单。
• 回滚操作通过替换当前资源来恢复应用的状态。
• Kubernetes 使用滚动更新的方式平滑地替换 Pods，确保系统稳定运行。

通过 helm rollback，你可以轻松恢复 Helm Release 到一个健康的历史状态，避免因应用升级失败或其他问题导致的服务中断。

velero备份与恢复流程是什么 #

Velero 是一个开源工具，用于备份和恢复 Kubernetes 集群中的资源和持久化数据。它支持备份 Kubernetes 集群中的所有资源，包括应用、配置、Secrets、Persistent Volume（PV）等，支持跨集群恢复。

Velero 的备份和恢复过程通常分为以下几步：

1. Velero 架构概述 #

Velero 由以下几个主要组件组成：

• Velero 客户端：用于启动备份、恢复和其他管理操作的 CLI 工具。
• Velero 服务器：一个在 Kubernetes 集群中运行的控制器，它负责管理和调度备份、恢复任务。它运行在 velero 命名空间中。
• 存储后端：Velero 使用对象存储（如 AWS S3、Google Cloud Storage、Azure Blob Storage、MinIO 等）来存储备份文件。
• Backup和Restore：Backup 是一个操作对象，描述备份任务的配置，而 Restore 则描述从备份中恢复的操作。

2. Velero 备份流程 #

Velero 的备份流程分为以下几个步骤：

步骤 1：安装 Velero #

首先，需要安装并配置 Velero。Velero 会与 Kubernetes API 服务器交互，通过控制器进行备份和恢复操作。

1. 配置存储后端（如 S3、MinIO、GCS 等），并创建凭证用于访问存储。
2. 使用 Helm 或 kubectl 安装 Velero 到 Kubernetes 集群中。
3. 配置 Velero 连接到存储后端和集群。

安装命令（以 Helm 为例）：

helm install velero vmware-tanzu/velero --namespace velero --set configuration.provider=aws --set configuration.backupStorageLocation.bucket=<your-bucket> --set configuration.backupStorageLocation.config.region=<your-region>

步骤 2：执行备份 #

1. 备份所有资源：使用 velero backup create 命令可以创建一个备份，备份将包含整个集群的所有资源，包括命名空间、Pod、服务、部署、配置映射等。还可以选择指定某些资源或命名空间。

velero backup create <backup-name> --include-namespaces <namespace1>,<namespace2>

• --include-namespaces：指定要备份的命名空间。如果不指定，默认备份所有命名空间。
• --include-resources：指定要备份的特定资源。
• --exclude-resources：指定要排除的资源。
• --snapshot-volumes：指定是否备份持久化卷（PV）的快照。

1. 备份策略

   ：

   • 资源备份：包括 Kubernetes 的 API 资源（Pod、Deployment、Service、ConfigMap、Secret 等）。
   • 持久化卷备份：如果有持久化存储（例如 PV 和 PVC），Velero 会根据存储提供者的支持情况，创建快照并将其备份。

2. 备份检查：备份任务会开始执行，Velero 会监控任务的状态。可以使用以下命令查看备份的状态：

velero backup describe <backup-name> --details

1. 备份完成：一旦备份成功完成，备份数据就会存储在指定的对象存储中。你可以随时根据需要恢复数据。

步骤 3：定期备份 #

Velero 还支持使用 CronJob 定期备份集群。你可以使用 Velero 的 CronBackup 功能指定定期的备份任务。

velero backup create <backup-name> --schedule "0 2 * * *"

3. Velero 恢复流程 #

恢复是将之前备份的数据恢复到 Kubernetes 集群中，恢复的过程包括资源恢复和持久化数据恢复。

步骤 1：创建恢复任务 #

1. 使用 velero restore create 命令来创建恢复任务。你可以选择恢复整个备份，也可以选择恢复部分命名空间、资源等。

velero restore create --from-backup <backup-name>

• --from-backup：指定要恢复的备份名称。
• --namespace-mappings：如果恢复时需要将备份中的某些命名空间映射到目标集群的不同命名空间，可以使用此选项。
• --include-resources 和 --exclude-resources：指定要恢复的具体资源。

步骤 2：查看恢复状态 #

恢复过程会创建一个新的 Restore 资源，Velero 会根据备份中的资源和配置逐个恢复。这些恢复任务会在 Kubernetes 集群中逐步应用。

查看恢复状态：

velero restore describe <restore-name> --details

步骤 3：恢复持久化数据 #

如果备份中包括持久化卷，Velero 会在恢复时尝试从对象存储中恢复快照并创建相应的 Persistent Volume 和 Persistent Volume Claim。

• 如果集群中的持久化存储与原集群不同，可能需要手动调整存储类（StorageClass）或更改 PVC 配置。

恢复完成后，应用的资源和持久化数据会被恢复到 Kubernetes 集群中。

4. Velero 的增量备份和恢复 #

Velero 支持增量备份，这意味着它只会备份自上次备份以来发生更改的资源和数据。因此，Velero 不需要每次都对整个集群进行全量备份，可以减少备份的时间和存储空间。

增量备份的原理：

• Velero 会记录每个备份点的时间戳，并在后续备份中仅备份自上次备份之后有变化的资源。

增量恢复：在恢复时，Velero 会从最近的备份恢复数据，并根据需要补充任何增量变化。

5. Velero 的高级特性 #

• 跨集群备份和恢复：Velero 支持将备份从一个集群恢复到另一个集群。例如，你可以在灾难恢复场景中使用 Velero 将应用从一个集群恢复到另一个集群。
• 备份和恢复资源与持久化数据：Velero 支持不仅备份 Kubernetes 资源（如 Pods 和 Services），还可以备份持久化数据（如 Persistent Volumes）。
• 存储加密：Velero 支持在对象存储中加密备份数据，确保备份的安全性。

6. 常见命令汇总 #

• 备份

  ：

  velero backup create <backup-name> --include-namespaces <namespace1>,<namespace2> --snapshot-volumes
  

• 查看备份状态

  ：

  velero backup describe <backup-name> --details
  

• 恢复

  ：

  velero restore create --from-backup <backup-name>
  

• 查看恢复状态

  ：

  velero restore describe <restore-name> --details
  

• 删除备份

  ：

  velero backup delete <backup-name>
  

• 删除恢复任务

  ：

  velero restore delete <restore-name>
  

7. 总结 #

Velero 是 Kubernetes 集群备份和恢复的重要工具，它提供了灵活的备份、恢复、增量备份、持久化数据备份等功能，适用于生产环境中的灾难恢复、跨集群迁移等场景。使用 Velero，管理员可以简化备份操作，确保 Kubernetes 集群的可靠性和数据的安全性。

docker网络模式 #

Docker 提供了多种网络模式，以支持不同的容器化网络需求。每种网络模式都有其适用场景，选择合适的网络模式能优化容器间的通信、网络隔离及安全性。Docker 中主要的网络模式有以下几种：

1. Bridge 网络模式 #

• 简介：默认的网络模式，适用于单机 Docker 环境中的容器。所有容器都连接到同一个虚拟网络桥（docker0），并通过桥接交换数据。

• 特点：

  • 容器间可以通过 IP 地址互相访问。
  • 通过端口映射，可以使容器暴露到主机上。
  • 容器默认会分配一个内部 IP 地址，可以通过端口映射将其暴露给外部。

• 使用场景：

  • 默认的容器网络模式。
  • 适用于需要容器之间隔离但需要主机间访问的场景。

• 命令示例：

  docker network create --driver bridge my-bridge-network
  

2. Host 网络模式 #

• 简介：容器直接使用宿主机的网络栈，而不创建一个独立的虚拟网络接口。容器不会被分配私有 IP 地址，而是直接与宿主机共享 IP。

• 特点：

  • 容器与宿主机共享网络资源，容器的网络与宿主机一致。
  • 不需要端口映射，容器的端口即是宿主机的端口。
  • 网络性能较好，因为容器与宿主机共享网络。

• 使用场景：

  • 对于需要高性能网络通信的容器，尤其是需要直接访问宿主机网络的场景。
  • 一些需要运行在宿主机上的服务，比如负载均衡器和代理服务。

• 命令示例：

  docker run --network host my-image
  

3. None 网络模式 #

• 简介：容器没有任何网络连接。容器没有任何网络接口，也无法与其他容器或外部网络通信。

• 特点：

  • 适用于需要完全网络隔离的容器。
  • 容器内的进程不能访问外部网络。
  • 适用于需要自定义网络配置的场景，可以在容器内手动配置网络。

• 使用场景：

  • 需要完全隔离的容器。
  • 容器内部需要配置静态 IP 地址或运行特殊的网络应用。

• 命令示例：

  docker run --network none my-image
  

4. Container 网络模式 #

• 简介：容器共享另一个容器的网络命名空间，即两个容器共享相同的网络接口、IP 地址和端口。网络模式是通过 --network container:<container-name> 指定的。

• 特点：

  • 共享网络接口，容器之间使用相同的 IP 地址。
  • 适用于需要紧密耦合的容器应用，它们通过相同的网络环境协同工作。
  • 使用该模式时，容器之间的网络非常直接，不需要额外的端口映射。

• 使用场景：

  • 需要共享网络接口的容器，通常用于多个容器共同提供某一服务（如主从数据库架构）时。

• 命令示例：

  docker run --network container:<other-container-name> my-image
  

5. Overlay 网络模式 #

• 简介：用于跨多个 Docker 主机的容器间网络通信。Overlay 网络通过 Docker 的 Swarm 模式或其他集群管理工具（如 Kubernetes）来连接不同主机上的容器，使它们仿佛在同一个网络中。

• 特点：

  • 在多主机环境下创建虚拟的网络，允许容器跨主机通信。
  • Overlay 网络使用 VXLAN 技术，在物理网络之上创建一个虚拟的网络。
  • 需要 Docker Swarm 或其他容器编排工具支持。

• 使用场景：

  • 适用于需要跨主机通信的容器，尤其是在使用 Docker Swarm 或 Kubernetes 等容器编排工具时。

• 命令示例：

  docker network create --driver overlay my-overlay-network
  

6. Macvlan 网络模式 #

• 简介：Macvlan 网络模式使每个容器都拥有自己的 MAC 地址，容器通过物理网络直接与外部通信。每个容器都像一个物理主机，具有自己的 IP 地址。

• 特点：

  • 容器直接与物理网络连接，具有独立的 MAC 地址和 IP 地址。
  • 适用于需要容器与外部网络（如企业网络）无缝连接的场景。
  • 需要配置宿主机的网络接口和桥接。

• 使用场景：

  • 容器需要直接暴露给外部网络。
  • 适用于一些企业环境，尤其是对网络隔离和控制要求较高的场景。

• 命令示例：

  docker network create -d macvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 -o parent=eth0 my-macvlan-network
  

7. IPvlan 网络模式 #

• 简介：与 Macvlan 类似，IPvlan 允许容器具有独立的 IP 地址，但不同的是，IPvlan 工作在数据链路层以下，容器和宿主机共享一个 MAC 地址。IPvlan 支持更高效的网络管理。

• 特点：

  • 提供与 Macvlan 类似的网络隔离功能，但在某些环境下效率更高。
  • 支持多种模式，如 L2 和 L3 模式，可以在不同的应用场景下选择。

• 使用场景：

  • 在一些需要高性能且不希望每个容器都占用独立 MAC 地址的场景中，IPvlan 是一个不错的选择。

• 命令示例：

  docker network create -d ipvlan --subnet=192.168.1.0/24 --gateway=192.168.1.1 -o parent=eth0 my-ipvlan-network
  

8. Docker 网络模式总结 #

选择合适的网络模式可以帮助容器化应用在性能、安全性和网络隔离上达到最佳效果。

docker和container区别☆ #

Docker 和 容器（Container）是紧密相关的概念，但它们的含义和作用有所不同。下面是这两者的区别：

1. 容器（Container） #

• 定义：容器是一种轻量级、可移植的虚拟化技术，它通过操作系统级别的虚拟化（而非硬件虚拟化）来隔离应用及其依赖项，确保它们可以在任何环境中运行而不受外部环境影响。
• 特点：
  • 隔离性：容器提供应用的隔离环境，但与虚拟机（VM）不同，它们不需要运行整个操作系统，而是共享宿主机的操作系统内核。
  • 轻量级：容器通常比虚拟机更小，启动更快，因为它们不包含完整的操作系统。
  • 便携性：容器包含应用及其依赖，能够在任何支持容器的环境中运行，提供了一种“构建一次，随处运行”的方式。
  • 资源共享：容器使用宿主机的内核，并通过隔离机制（如命名空间、cgroup）来保证容器之间的资源隔离。
• 容器的使用场景：
  • 微服务架构：每个微服务都可以运行在不同的容器中，且彼此之间隔离。
  • 自动化部署：容器可以在任何地方启动应用，极大简化了应用的部署和迁移。
  • CI/CD 流水线：容器可用于持续集成和持续交付，确保在不同环境中一致运行。

2. Docker #

• 定义：Docker 是一个开源的容器化平台，用于开发、打包、部署和运行应用程序。它简化了容器的创建、部署和管理，提供了一整套工具链。
• 特点：
  • 容器管理工具：Docker 提供了方便的命令行工具和图形化界面，可以轻松创建、运行和管理容器。
  • 镜像管理：Docker 通过镜像来打包应用及其依赖，Docker Hub 提供了官方和用户贡献的镜像库，用户可以方便地拉取镜像或将自己的镜像推送到镜像库。
  • Docker 引擎：Docker 引擎是容器的运行时，负责容器的生命周期管理，包括容器的创建、启动、停止、销毁等。
  • 容器编排：Docker 支持容器的编排功能，尤其是通过 Docker Swarm 和 Docker Compose，使得多容器部署和管理变得更容易。
• Docker 的使用场景：
  • 在本地开发和测试：开发人员使用 Docker 容器在本地构建、运行、测试和调试应用。
  • 在生产环境中运行应用：Docker 容器能够快速启动和停止，非常适合高效、可扩展的生产环境。
  • 容器编排：使用 Docker Compose 或 Docker Swarm 来管理多容器的应用部署。

3. Docker 与容器的区别 #

4. 总结 #

• 容器 是一种虚拟化技术，用于隔离和运行应用程序，而 Docker 是一种具体的容器化平台，提供了完整的工具链来创建、管理和部署容器。
• Docker 作为最流行的容器引擎，简化了容器的使用，极大地推动了容器技术的普及和发展。

如何减⼩dockerfile⽣成镜像体积？ #

在 Dockerfile 中生成镜像时，镜像体积的大小是一个很重要的考虑因素。减小镜像体积不仅可以提高镜像的拉取速度和部署效率，还能减少存储空间的消耗。以下是一些常见的优化方法，可以有效减小 Docker 镜像的体积：

1. 选择合适的基础镜像 #

• 使用 精简版的基础镜像，如 alpine，它比传统的 ubuntu、debian 等镜像更小，只有几 MB。

• 如果不需要完整的操作系统功能，可以选择 更小的镜像，例如：

  • alpine: 体积小，适用于大多数轻量级应用。
  • busybox: 更小，适用于非常精简的环境。
  • debian:slim 或 ubuntu:20.04 的精简版本。

  FROM alpine:3.14
  

2. 减少不必要的文件 #

• 通过 .dockerignore 文件排除不必要的文件和目录，如构建文件、文档、测试文件等，避免将其添加到镜像中。

  .git
  node_modules
  test/
  *.md
  

• 在构建时确保 不将临时文件或无用文件 添加到镜像。

3. 合并多个 RUN 命令 #

• Dockerfile 中的每一条 RUN 命令都会生成一个新的镜像层，减少层数 可以有效减小镜像体积。将多个相关的 RUN 命令合并成一个，可以减少中间层的数量。

• 使用 && 将多个命令链接在一起，避免每个命令产生新的层。

  RUN apt-get update && \
      apt-get install -y \
      curl \
      vim && \
      rm -rf /var/lib/apt/lists/*
  

4. 清理临时文件和缓存 #

• 安装软件包后，要 清理缓存 和 临时文件，如包管理器缓存、日志文件等，以减小镜像体积。

  • 对于 APT 包管理器（如 Ubuntu 和 Debian）：

    RUN apt-get update && \
        apt-get install -y curl && \
        apt-get clean && \
        rm -rf /var/lib/apt/lists/*
    

  • 对于 YUM（如 CentOS 或 RHEL）：

    RUN yum install -y curl && \
        yum clean all && \
        rm -rf /var/cache/yum
    

  • 对于 npm：

    RUN npm install && \
        npm cache clean --force
    

5. 使用多阶段构建（Multi-stage builds） #

• 多阶段构建 可以帮助你在构建过程中只保留最终镜像所需的内容，而不包含构建过程中使用的中间文件和工具。例如，可以在第一阶段使用一个较大的构建镜像（如包含编译工具），在第二阶段只复制编译好的产物。

  # 第一阶段：构建阶段
  FROM node:14 AS builder
  WORKDIR /app
  COPY . .
  RUN npm install && npm run build
  
  # 第二阶段：运行阶段
  FROM node:14-slim
  WORKDIR /app
  COPY --from=builder /app/dist /app
  CMD ["node", "app.js"]
  

  这样做可以避免将不必要的构建工具和依赖（如 node_modules）包含在最终镜像中。

6. 避免安装不必要的依赖 #

• 只安装应用运行所需的最小依赖，避免安装多余的包或工具。使用精简的镜像和最小的依赖集，避免安装开发工具和测试库。

7. 压缩镜像文件 #

• 对于某些应用，尤其是静态文件（如网页、图片等），可以在容器中使用工具进行压缩，减少文件大小。例如，使用 gzip 压缩文件。

  RUN gzip -r /app/static
  

8. 减少镜像中的层数 #

• 通过 合并命令 和 避免多次复制，可以减少镜像的层数，从而减小镜像体积。例如，尽量避免在 Dockerfile 中多次 COPY 同一个目录。

  COPY . /app
  

  而不是：

  COPY src /app/src
  COPY config /app/config
  

9. 优化文件格式和大小 #

• 对于应用中包含的二进制文件或压缩文件，使用 优化过的格式 和 最小化的文件版本。例如，使用 strip 删除二进制文件中的调试信息。

  RUN strip /usr/local/bin/my-app
  

10. 使用 Docker BuildKit 和缓存机制 #

• 启用 Docker BuildKit，它支持更高效的构建过程并提供更强的缓存机制，能够有效减少镜像的体积。

  DOCKER_BUILDKIT=1 docker build -t myimage .
  

通过这些优化方法，能够显著减少 Docker 镜像的体积，从而提升构建效率、减少存储和网络带宽的消耗。

k8s日志采集方案 #

在 Kubernetes 环境中，日志采集是运维和监控的核心组成部分。一个良好的日志采集方案能帮助团队有效地监控、排查故障和审计操作。以下是一些常见的 Kubernetes 日志采集方案，以及如何实现这些方案。

1. Kubernetes 日志来源 #

• 容器日志：每个 Pod 中运行的容器都会生成标准输出（stdout）和标准错误（stderr）日志，这些日志是容器运行时日志的主要来源。
• 节点日志：Kubernetes 节点的系统日志，例如 kubelet、kube-proxy、docker（或 containerd）等相关组件的日志。
• 应用日志：应用本身生成的日志文件，通常存储在容器内部或者通过外部存储系统（如日志服务器）进行管理。

2. 常见的 Kubernetes 日志采集方案 #

以下是几种常见的日志采集方案，通常通过结合使用多个工具来实现更强大的日志处理能力：

1. EFK（Elasticsearch, Fluentd, Kibana） #

EFK 是 Kubernetes 中最常见的日志采集方案之一。它提供了集中式的日志收集、存储、查询和展示。

• Fluentd：Fluentd 是一个开源的日志收集器，负责从各个 Kubernetes 节点（或容器）收集日志数据。它能够将日志数据转发到 Elasticsearch 或其他后端存储系统。
• Elasticsearch：Elasticsearch 是一个强大的分布式搜索和分析引擎，存储和索引日志数据。它可以高效地处理海量日志数据，支持快速查询。
• Kibana：Kibana 提供了一个 Web 界面，用于可视化 Elasticsearch 中存储的日志数据。用户可以通过 Kibana 来查询、分析和展示日志数据。

工作流程：

• Fluentd 收集容器的标准输出和标准错误日志。
• Fluentd 将日志转发到 Elasticsearch 存储和索引。
• 用户通过 Kibana 进行日志查询和可视化展示。

优点：

• 强大的搜索和分析能力。
• 丰富的可视化功能。
• 高度可扩展。

缺点：

• 配置相对复杂，尤其是对于大规模集群。
• Elasticsearch 需要大量资源，尤其是存储和计算资源。

2. ELK Stack (Elasticsearch, Logstash, Kibana) #

ELK Stack 与 EFK 类似，但使用 Logstash 替代了 Fluentd。

• Logstash：Logstash 负责日志的采集、处理和转发。与 Fluentd 类似，Logstash 也能够从多个数据源收集日志并进行过滤和转换。
• Elasticsearch：存储和索引日志数据。
• Kibana：用于展示和分析日志数据。

优点：

• Logstash 提供了强大的日志处理能力，能够进行更复杂的数据管道处理。
• 高度集成的工具链，适合需要复杂日志处理的场景。

缺点：

• Logstash 性能上相对 Fluentd 稍弱，尤其在处理大规模日志数据时，可能会面临瓶颈。
• ELK stack 的资源消耗较大。

3. Fluent Bit + Elasticsearch + Kibana（EFK变种） #

Fluent Bit 是 Fluentd 的轻量级替代品，适用于资源受限的环境。它的工作原理与 Fluentd 相似，但更专注于高效、低资源消耗。

• Fluent Bit：作为日志收集器，负责从 Kubernetes 节点或容器中收集日志。
• Elasticsearch：存储和索引日志。
• Kibana：可视化展示日志。

优点：

• 比 Fluentd 更轻量化，适合资源有限的集群。
• 配置简单、性能优异。

缺点：

• Fluent Bit 相对于 Fluentd 功能较少，定制化和插件支持较弱。
• Elasticsearch 资源占用较高。

4. Prometheus + Loki + Grafana（PLG Stack） #

这是一个新的日志采集方案，它依赖于 Prometheus 和 Grafana，并结合 Loki 作为日志收集组件。Loki 是一个由 Grafana Labs 提供的日志聚合系统，专门用于与 Prometheus 和 Grafana 配合使用。

• Loki：Loki 是一个轻量级的日志聚合系统，可以高效地存储和查询日志数据。它的设计灵感来自于 Prometheus，旨在提供简化的日志存储和查询机制。
• Prometheus：用于监控和收集集群的指标数据。
• Grafana：用于展示日志数据和指标数据，提供统一的可视化面板。

工作流程：

• Loki 从各个节点和容器中收集日志。
• Grafana 用于展示日志数据和监控数据，提供统一的视图。

优点：

• Loki 和 Prometheus 都是由 Grafana Labs 提供，且设计理念相近，便于集成。
• 简化了日志和指标的聚合和展示。
• 轻量级，适用于资源较小的集群。

缺点：

• 相较于 ELK 或 EFK，Loki 在查询和可视化上可能略显不足。
• 适合以日志为主的轻量级日志收集需求。

5. Loggly, Datadog 等商业化解决方案 #

• 这些工具提供了即插即用的日志聚合解决方案，并集成了监控、分析、告警等功能。
• 适合那些没有时间或资源管理自己的日志基础设施的团队。

优点：

• 易于部署和使用，通常只需要配置日志代理即可开始收集日志。
• 提供强大的搜索、分析和可视化功能。

缺点：

• 需要付费，长期使用可能会产生较高的成本。
• 自定义和扩展性有限。

3. 日志采集方案的选型 #

• 规模较小的集群：如果你的集群较小，且没有复杂的日志分析需求，推荐使用 Fluent Bit + Elasticsearch + Kibana 方案，简单高效。
• 大规模集群：如果集群较大，且需要强大的日志处理能力，推荐使用 EFK Stack 或 ELK Stack，这些方案提供了灵活的日志处理、存储和可视化能力。
• Prometheus 用户：如果你的集群已经使用 Prometheus 进行监控，推荐使用 Loki + Grafana 进行日志收集和展示，能够与 Prometheus 数据源无缝集成。
• 商业化方案：如果你希望减少运维工作量并快速部署，且愿意为此支付费用，可以选择像 Datadog 或 Loggly 等商业日志管理平台。

4. 日志采集最佳实践 #

• 集中式日志收集：确保所有节点和容器的日志都通过一个集中的系统收集，以便于管理和分析。
• 日志保留策略：根据需要设定合适的日志保留策略，不必保留所有日志数据，以节省存储空间。
• 日志聚合和索引：对于大量日志数据，合理配置聚合和索引策略，避免日志数据过多导致系统性能下降。
• 日志分析和告警：根据日志内容设置关键字告警，当出现异常时及时通知相关人员，快速响应。

通过采用合适的日志采集方案，能够确保 Kubernetes 环境中的日志管理高效且易于扩展。

Pause容器的用途☆ #

在 Kubernetes 中，Pause 容器 是一种特殊的容器，通常作为 Pod 的占位容器，用于保持 Pod 中的网络命名空间（network namespace）不被销毁。它并不执行任何实际的工作负载，而是作为一个虚拟的容器存在，用来维持 Pod 的状态，特别是在 Pod 需要共享网络命名空间时。Pause 容器本身并不运行任何服务或应用程序，通常用于管理和维护 Pod 的生命周期。

Pause 容器的主要用途 #

1. 网络命名空间的管理 在 Kubernetes 中，Pod 是一个基本的部署单元，Pod 中的所有容器共享相同的网络命名空间（network namespace）。Pause 容器充当了这个网络命名空间的“守护进程”。它本身不执行任何业务逻辑，只是确保 Pod 的网络命名空间持续存在。
   • 它会创建并持有 Pod 的网络命名空间，允许其他容器在同一个命名空间中运行，并与 Pod 内的其他容器通过网络进行通信。
2. Pod 生命周期的管理 在 Pod 的生命周期中，Pause 容器是第一个启动的容器，也是最后一个退出的容器。即使 Pod 中的其他容器因故障或重启而被终止，Pause 容器会保持运行，直到整个 Pod 被删除。这确保了在 Pod 内的所有容器共享同一网络和存储卷。
3. 容器间共享存储卷 在 Pod 内，容器之间共享存储卷，而 Pause 容器通过维持网络命名空间的持续性，间接帮助 Pod 内其他容器访问共享的存储卷。它并不直接访问存储卷，但它的存在使得其他容器能够使用这些卷。
4. Pod 的资源隔离 Pause 容器在 Pod 中扮演的角色类似于占位符，确保 Pod 内的资源（如网络和存储）被正确隔离，并且网络命名空间不会被其他容器的启动和停止所干扰。

如何启动 Pause 容器 #

在 Kubernetes 中，Pause 容器是由 kubelet 自动启动的，用户通常不需要手动管理它。它在每个 Pod 的生命周期中自动创建，并由 kubelet 作为基础容器启动。当 Pod 中其他容器启动时，它们会共享该 Pause 容器所提供的网络命名空间。

典型的 Pause 容器镜像 #

• 在 Kubernetes 中，Pause 容器通常使用的是 k8s.gcr.io/pause 镜像。
• 它非常轻量，通常只包含一个简单的 /pause 进程，确保网络命名空间处于活动状态。
• 它的体积极小，通常在 100 KB 左右，最大限度地减少资源消耗。

总结 #

Pause 容器是 Kubernetes 中用于网络命名空间管理的特殊容器。它不执行任何业务逻辑，只是确保 Pod 的网络命名空间能够持续存在，并在 Pod 生命周期中充当一个基础容器，支持容器间共享网络和存储资源。

k8s证书过期怎么更新 #

Kubernetes 集群使用了多种证书，主要包括 API Server、Kubelet、Controller Manager 和 Scheduler 等组件的证书。如果这些证书过期，Kubernetes 集群将无法正常工作，因此及时更新证书是非常重要的。

1. 检查证书的有效期 #

首先，您需要确认哪些证书已经过期。可以使用以下命令查看证书的有效期：

kubectl get certificatesigningrequests -A

或者查看具体证书的有效期：

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates

这个命令可以查看 API Server 证书的有效期。其他组件证书路径通常位于 /etc/kubernetes/pki/ 下。

2. 使用 kubeadm 更新证书 #

如果您的集群是通过 kubeadm 部署的，kubeadm 提供了方便的证书更新工具。

步骤： #

1. 查看证书过期情况 使用 kubeadm certs check-expiration 命令来检查证书的到期日期：

   kubeadm certs check-expiration
   

2. 更新证书 如果某些证书已经过期或即将过期，可以使用 kubeadm certs renew 命令来更新证书。例如，更新 API Server 证书：

   kubeadm certs renew apiserver
   

   您可以根据需要更新其他证书：

   kubeadm certs renew apiserver-kubelet-client
   kubeadm certs renew controller-manager
   kubeadm certs renew scheduler
   

3. 更新完成后重启相关组件 证书更新后，Kubernetes 组件需要重新加载这些证书。通常可以通过重启组件来实现：

   systemctl restart kubelet
   

4. 验证证书更新 更新证书后，再次使用 check-expiration 命令确认证书是否已经更新。

   kubeadm certs check-expiration
   

3. 手动更新证书 #

如果集群不是通过 kubeadm 部署的，您可能需要手动更新证书。以下是手动更新 Kubernetes 组件证书的步骤：

1. 生成新的证书： 使用 openssl 工具或其他证书管理工具生成新的证书和密钥。例如：

   openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout /etc/kubernetes/pki/apiserver.key -out /etc/kubernetes/pki/apiserver.csr
   

2. 签发证书： 使用一个 Kubernetes CA 证书（通常是由 Kubernetes 集群管理员管理的证书）来签署新的证书：

   openssl x509 -req -in /etc/kubernetes/pki/apiserver.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out /etc/kubernetes/pki/apiserver.crt -days 365
   

3. 更新证书后重启组件： 更新证书后，您需要重启 Kubernetes 组件（如 kube-apiserver、kubelet 等）：

   systemctl restart kubelet
   

4. Kubernetes CA 证书的更新 #

在某些情况下，您可能还需要更新 Kubernetes 的根证书（CA 证书）。这通常发生在证书的根 CA 证书过期时。在这种情况下，您需要：

1. 生成新的 CA 证书。
2. 使用新证书重新签署所有 Kubernetes 组件的证书。
3. 分发新的 CA 证书到集群中所有节点，确保每个节点的证书库都包含新的 CA 证书。

5. Automating Certificate Rotation #

在 Kubernetes 1.14+ 中，Kubernetes 支持自动证书轮换。您可以在 API Server 中启用自动证书轮换功能，这样可以避免手动更新证书。具体配置需要在 API Server 启动时通过 --rotate-certificates 参数启用：

kube-apiserver --rotate-certificates=true

6. 检查证书更新后的状态 #

证书更新完成后，可以使用以下命令检查集群状态，确保组件正常工作：

kubectl get nodes
kubectl get pods --all-namespaces

总结 #

更新 Kubernetes 证书的步骤包括：

1. 使用 kubeadm 或手动生成和签发新的证书。
2. 更新证书后，重启相关组件（如 API Server、Kubelet、Controller Manager 等）。
3. 对于使用 kubeadm 部署的集群，kubeadm certs renew 是一个便捷的工具，简化了证书更新的流程。

在管理大规模集群时，证书的自动轮换和管理非常重要，因此建议尽量使用自动证书更新机制。

K8S QoS等级☆ #

Kubernetes 中的 QoS (Quality of Service) 是一种机制，用于定义和管理 Pod 中容器的资源优先级与保障级别，帮助 Kubernetes 在资源紧张时进行资源调度与分配。Kubernetes 将 Pod 分为三种 QoS 等级，基于其 resource requests 和 resource limits 设置来决定。不同的 QoS 等级影响到 Pod 在资源竞争时的优先级和行为。

Kubernetes QoS 等级 #

1. Guaranteed（保证）
2. Burstable（突发）
3. BestEffort（尽力而为）