binqian的专栏

Felix会监听ECTD中心的存储，从它获取事件，比如说用户在这台机器上加了一个IP，或者是创建了一个容器等。用户创建pod后，Felix负责将其网卡、IP、MAC都设置好，然后在内核的路由表里面写一条，注明这个IP应该到这张网卡。同样如果用户制定了隔离策略，Felix同样会将该策略创建到ACL中，以实现隔离。BIRD是一个标准的路由程序，它会从内核里面获取哪一些IP的路由发生了变化，然后通过标准BGP的路由协议扩散到整个其他的宿主机上，让外界都知道这个IP在这里，你们路由的时候得到这里来。

在 NGINX Ingress Controller 中，Admission Webhook 是一种用于增强 Kubernetes API 请求的机制，它允许你在资源（如 Ingress）被创建或更新之前对这些请求进行验证或修改。作用：验证传入的 API 请求是否符合预定义的规则和条件。工作原理：当用户尝试创建或更新一个 Ingress 资源时，API Server 会将请求发送给 Validating Admission Webhook 进行验证。

Kubernetes 使用 X.509 客户端证书进行身份验证是一种常见的方法。这种机制通过客户端证书来验证用户或应用程序的身份。

创建一个基于sa的token的kubeconfig文件，并用这个文件来访问集群。

k8s v1.24.0 更新之后进行创建 ServiceAccount 不会自动生成 Secret 需要对其手动创建.

kube-state-metrics 是一个用于从 Kubernetes API进行交互来收集数据，并将这些状态信息存储在本地存储中，导出各种对象的状态指标的工具。它暴露的指标包括各种 Kubernetes 对象的状态信息，如 Pod、Node、Namespace、Deployment、ReplicaSet 等。它可以给Prometheus 提供数据，用于监控k8s集群。（默认kube-state-metrics服务不在Kubernetes集群中）,go语言编写.

适用于需要详细集群状态信息的场景，通常与 Prometheus 结合使用。：适用于需要资源使用数据的场景，支持 Kubernetes 控制平面的功能。通过这两个组件，可以获得对 Kubernetes 集群的全面监控能力，确保集群的稳定性和性能。

kubeadm 安装：证书通常在。其他安装：查看kubelet的配置文件以确定证书的位置。查看证书：使用openssl工具来查看证书内容。

kubectl create secret generic harborregcred[secret 的名称] -n xxxx[根据需要设置命名空间] --from-file=.dockerconfigjson=$HOME/.docker/config.json --type=kubernetes.io/dockerconfigjson。上面的语句就是创建了一个: secret ，里面包括了：docker login --usernmae=xxx 生成之后的信息。

在k8s 中，如果需要拉取需要登录的私有仓库镜像，比如:harbor，需要创建凭证。

由于k8s是用自己虚拟机用nat网络环境搭建的，其他机器不能访问，所以借助宿主机上搭建一个nginx代理下，以下是配置。必须用https，如果用http代理后台Dashboard，那么只能在本机上访问，在其他电脑上进入不了Dashboard。

ClusterIP是一个虚拟 IP 地址，无法响应ping请求。你可以使用curltelnet或nc等工具来测试ClusterIP服务的连通性。kube-proxy通过iptables或ipvs规则来实现服务的负载均衡，这些规则只处理 TCP 和 UDP 流量，而不处理 ICMP 流量。希望这些解释能帮助你更好地理解为什么ClusterIP无法ping通，但可以正常访问。如果有更多具体的问题，欢迎继续提问。