liangpangpangyo的博客

K8s node节点替换

将default命名空间携带app=web标签的Pod隔离，只允许default命名空间携带run=client标签的Pod访问80端口。default命名空间下所有pod可以互相访问，也可以访问其他命名空间Pod，但其他命名空间不能访问default命名空间Pod。网络策略（Network Policy），用于限制Pod出入流量，提供Pod级别和Namespace级别网络访问控制。

要允许这些插件组件以超级用户权限运行，需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表，发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查，检查不通过，则拒绝请求。RBAC（Role-Based Access Control，基于角色的访问控制），允许通过Kubernetes API动态配置策略。

前面介绍过的各种存储主要都是做数据的持久化，本节介绍的ConfigMap和Secret主要用于配置文件存储，或者环境变量的配置。

statefulset控制器用于部署无状态应用，所谓无状态应用简单理解就是各个节点存在主从关系，如ZK集群存在leader、fllower，mysql集群的master和slave，他们各个独立有序运行，有单独的存储，这里存储就要用到前面咱们学习的PV/PVC。

PV/PVC

在K8s中用Volume为容器提供了外部的存储能力。Pod需要设置卷来源（spec.volume）和挂载点（spec.containers.volumeMounts）两个信息后才可以使用相应的Volume。

在 k8s 集群中，如果我们将服务暴露出来，提供访问，可以使用Nodeport方式，但是Nodeport也有缺点，比如端口号用尽，只能支持4层的负载均衡。为了弥补Nodeport的不足，Ingress应运而生。

K8s中，我们将应用跑在Pod里。多数情况下是一组Pod，用户如何访问这一组Pod，K8s提供了Service资源，来实现一组Pod的负载均衡。

Kubernetes的强大之处离不开它的调度系统，它为Pod调度到某个Node上提供了多种方式来满足不同的需求。

众所周知，Pod是K8s的原子调度单位，是 K8s 能够描述和编排各种复杂应用的基石。

健康检查在K8s中以探针的形式来实现，包括3个探针，存活（Liveness）、就绪（Readiness）和启动（Startup）探针

前言说到K8s程序的生命周期管理我们不得不提到k8s的控制器。其中Deployment是最为常用的controllers，其他控制器还有DaemonSet、StatefulSet、Cronjon等。本篇我们以deployment为例来展开研究，其他控制器我们会逐一研究。

HPA（Horizontal Pod Autoscaler）pod水平伸缩，可以基于cpu使用率、内存使用率自动扩缩 ReplicationController、Deployment和 StatefulSet 中的 Pod 数量，当然也可以基于其他监控程序的指标来执行扩缩容。

Kubernetes引入的网络模型提出了下列基本要求。只要满足了这些要求，即可成为一个K8s网络方案供应商。

K8s集群搭建部署1.18

k8s集群部署

讲述K8s核心概念。