mvcqiang的专栏

集群类型推荐操作后果多 Master (HA) 集群集群管理功能平滑切换，服务不中断。单 Master 集群不要drain，直接重启/维护集群管理功能在维护期间中断。在生产环境中，始终使用多 Master 高可用集群，这样你就可以安全地对单个 Master 节点进行维护，而不会影响整个集群的稳定性。

被标记为不可调度：Kubernetes 调度器会停止向该节点分配任何新的 Pod。驱逐现有 Pod：该节点上正在运行的 Pod 会被安全地终止。Pod 重建：如果这些 Pod 是由Deployment等控制器管理的，控制器会在其他健康的节点上重新创建它们。服务不中断：通过和Service机制，在旧 Pod 终止前，新 Pod 会启动并准备就绪，从而实现流量的平滑切换。

这个DOCKER链就是PREROUTING和OUTPUT链将数据包送来的地方。表明有两条规则（即PREROUTING和OUTPUT中的规则）跳转到了这个链。这是一个非常重要的动作。RETURN意味着“立即返回”，即跳出当前链（DOCKER链），回到原来调用它的链（PREROUTING或OUTPUT）的下一条规则继续处理。它匹配所有数据包 (这实际上是一个**“默认通过”的兜底策略**。它的意思是：“如果一个数据包进入了DOCKER。

tun/tap设备是什么？Linux 内核提供的虚拟网络设备，是用户空间和内核网络栈的桥梁。怎么工作？用户空间程序通过read()write()系统调用，像操作文件一样收发网络数据包tun) 或以太网帧tap在 K8s 中的作用？1.构建覆盖网络：作为隧道入口，将 Pod 的跨节点流量封装成能在物理网络传输的包（如 Flannel）。2.实现网络策略：作为流量拦截点，让用户空间的网络插件（如 Calico 的 Felix）能检查和控制 Pod 的流量。tun/tap。

OCI 是一个由 Linux 基金会在 2015 年主导成立的治理委员会和项目。它的诞生背景是，当时 Docker 公司如日中天，几乎成为了容器的代名词。为了避免容器技术被单一厂商（Docker）锁定，并促进容器生态的健康发展，多家行业巨头（包括 Google, Red Hat, IBM, Microsoft, Amazon 等）联合发起了 OCI。核心目标： 制定容器格式的开放行业标准。让任何人都可以基于这些标准来创建符合规范的容器工具，从而实现不同工具之间的互操作性。你可以把 OCI 想象成**“容器世