一、什么是 TLS Bootstrapping 在一个 Kubernetes 集群中，工作节点上的组件（kubelet 和 kube-proxy）需要与 Kubernetes 控制平面组件通信，尤其是 kube-apiserver。 为了确保通信本身是私密的...

一、Pod创建过程 1、首先，用户通过kubectl或web端向apiserver发送创建pod请求。 2、apiserver会做出认证/鉴权响应，然后检查信息并把数据存储到ETCD里，创建deployment资源并初始化。 3、contr...

一、为什么会出现临时容器 生产环境下为了优化镜像体积和提高镜像的安全性，并不会在容器中安装太多高危工具，比如curl、wget、dig以及常用的net-tools等。这样做虽然提高了镜像的安全性，但也...

一、Secret热更新背景 实际使用ConfigMap和Secret时，一般情况下都是直接使用文件创建，也就是使用--from-file=xxx的格式进行创建。创建的ConfigMap可能因为换行的问题，导致使用kubectl edit c...

一、什么是亲和力 亲和力（Affinity）是 Kubernetes 中的一种机制，用于指定 Pod 与其他资源（如节点、Pod 或标签）之间的关联性和偏好。 亲和力定义了 Pod 对其他资源的偏好和互动方式，以便在...

一、HTTP 监控（K8S 内部发现方法） 1.1 自定义发现 `Service` 监控 `端口` 和 `路径` 可以如下设置： 然后，需要在 `Service` 中配置这样的 `annotation` ： 示例：Java应用的svc： 按上面方法...

一、使用Service代理外部服务 如果我们使用Service代理k8s外部服务，可能适应于以下场景: * 希望在生产环境中使用某个固定的名称而非 IP 地址访问外部的中间件服务 * 希望 Service 指向另一个 N...

一、为什么 Pod 不能直接当服务入口 Pod 创建出来后都会有自己的 IP，但这个 IP 并不稳定： - Pod 被删除后会重建 - 重建后的 IP 很可能变化 - 上游如果直接写死 Pod IP，连接关系就会失效 也正...

- 一、先决条件 * 有一个 Rook 集群 * 在 Rook 可以配置存储之前，需要创建StorageClass * 每个 OSD 必须位于不同的节点上，因为 被failureDomain设置为`host`且 被`replicated.size`设置为`3` ...

一、RBAC对象配置解析 1.1 Role 在RBAC API中，Role包含表示一组权限的规则。权限纯粹是附加允许的，没有拒绝规则。 Role只能授权对单个命名空间内的资源的访问权限，比如授权对default命名空间...