诗酒趁年华

在本文中，我将介绍一些在使用Kubernetes（K8s）时使用的最佳实践。作为最流行的容器编排系统，K8s是现代云工程师应该掌握的一项技能。K8s是一个众所周知的复杂系统，因此了解您应该做什么，不应该做什么，这会对您的部署如虎添翼。这些建议涵盖了应用程序开发、治理和集群配置这三个广泛的类别中的常见问题。

Pod中运行一个容器。“one-container-per-Pod”模式是Kubernetes最常见的用法;在这种情况下，你可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。Pods中运行多个需要一起工作的容器。Pod可以封装紧密耦合的应用，它们需要由多个容器组成，它们之间能够共享资源，这些容器可以形成一个单一的内部service单位 - 一个容器共享文件，另一个“sidecar”容器来更新这些文件。Pod将这些容器的存储资源作为一个实体来管理。网络。

可以考虑这么个场景，服务商的服务集群以K8S部署在云端，并以一条防火墙策略放通某专线ip或端口，以供外部用户访问。现在出现了这么个需求，由于周末或节假日不上班，客户要求在这些时刻去禁用这些防火墙策略，以达到用户无法访问的目的。我们能想到最简单的方法是，由运维手动连接到所有节点虚机的控制台，去执行禁用命令，但问题也非常明显，人工操作很容易出现错删、漏删，其次工作日时还要再配置回来，当用户节点过多时，操作工作量就非常大。

自从服务上云引入K8S后，我们开发模式也发生了改变。它的工作原理是在本地和Kubernetes集群中搭建一个透明的双向代理，这使得我们可以在本地用熟悉的IDE和调试工具来运行一个微服务，访问kubernetes内部服务时，telepresence能够将对应流量引入到K8S中，完成调用（可以使用FQDN，clusterIP进行调用），好像它就运行在这个集群中一样，其次还可以拦截微服务流量，将kubernetes流量引入本地，具体原理图如下：在这基础上，可以减少编译调试，更换镜像的操作，但是仍然没解决。