随笔分类 - K8s与AI
摘要:在 Kubernetes 中,负载均衡器(Load Balancer) 是流量分发的核心枢纽,其核心作用可概括为:将外部请求智能分发到多个后端 Pod,实现高可用、高性能的服务暴露。以下是其核心作用及实现原理的深度解析: 一、负载均衡器的四大核心作用 1. 服务高可用(容灾防单点故障) 场景: 当某
阅读全文
摘要:在 Kubernetes 中,API Server 是集群的“中央通信枢纽”,所有模块都通过它进行交互(遵循 “唯 APIServer 原则”)。以下是各模块与 API Server 的通信机制及原理详解: 一、通信核心框架 组件 通信方向 协议 认证方式 控制平面组件(如 Scheduler) →
阅读全文
摘要:在 Kubernetes 中,Scheduler(调度器) 是集群的「智能调度大脑」,负责将新创建的 Pod 分配到最优的 Node 上运行。其核心目标是:在满足资源需求和策略约束的前提下,最大化集群资源的利用率与业务稳定性。以下是其作用与实现原理的深度解析: 一、Scheduler 的核心作用 1
阅读全文
摘要:在 Kubernetes 中,RBAC(Role-Based Access Control,基于角色的访问控制) 是管理用户和服务账户权限的核心安全机制。其核心思想是 「最小权限原则」:仅授予执行任务所必需的最小权限。以下是 RBAC 的核心特点(优势)及通俗解析: 一、RBAC 核心特点(优势)
阅读全文
摘要:在 Kubernetes 中,Secret 的核心作用是安全地管理和分发敏感数据,充当集群中的「数字保险箱」。它通过以下机制解决敏感信息暴露风险: 一、Secret 的核心价值(解决什么问题?) 敏感数据风险 Secret 的防护作用 密码/密钥硬编码在镜像中 ✅ 分离敏感数据与镜像,避免泄露 配置
阅读全文
摘要:在 Kubernetes 中,Secret 是用于存储敏感数据(如密码、令牌、证书)的安全对象。以下是其核心使用方式及场景详解,用通俗比喻辅助理解: 一、创建 Secret 的四种方式 1. 手动声明(YAML 文件) 适用场景:预定义固定密钥或证书。 apiVersion: v1 kind: Se
阅读全文
摘要:在 Kubernetes 中,PodSecurityPolicy (PSP) 的核心作用是充当集群的 “安全守门人”,它通过强制定义的安全规则,确保用户创建的 Pod 符合安全规范,从而降低攻击风险。尽管 Kubernetes v1.25 起已弃用 PSP(替代方案为 Pod Security Ad
阅读全文
摘要:在 Kubernetes 中,PodSecurityPolicy (PSP) 是一种已弃用(Kubernetes v1.25 起正式移除)的安全机制,但它曾是实现集群安全加固的核心工具。其核心目标是通过定义强制性的安全策略,限制 Pod 及其容器的权限,减少攻击面。以下是它能实现的关键安全策略,用通
阅读全文
摘要:在 Kubernetes 中,网络模型的核心目标是解决四大关键问题: 1. Pod 间通信(跨主机互通) 2. Service 访问(服务发现与负载均衡) 3. 外部流量接入(Ingress) 4. 网络策略(安全隔离) 以下是通俗易懂的模型分类(附场景比喻): 一、Pod 网络模型(解决 Pod
阅读全文
摘要:在 Kubernetes 中,CNI(Container Network Interface) 是容器网络的标准化接口,负责为 Pod 配置网络(分配 IP、设置路由等)。不同的 CNI 插件实现了不同的网络模型,主要分为三大类:Overlay(覆盖)网络、Underlay(底层)网络 和 路由模型
阅读全文
摘要:在 Kubernetes 中,网络策略(NetworkPolicy) 本身是一个具体的 API 对象(kind: NetworkPolicy),用于定义访问控制规则。严格来说,“有哪些”指的是不同类型的 NetworkPolicy 规则配置方式,而非多个独立策略类型。这些规则通过组合以下关键元素实现
阅读全文
摘要:Kubernetes 网络策略(NetworkPolicy)的原理是为集群内部的 Pod 提供一种基于标签选择器的、声明式防火墙规则,用来控制 Pod 之间以及 Pod 与外部实体之间的网络流量(主要是入站流量,也支持出站流量)。其核心思想是默认拒绝,显式允许。 以下是其工作原理的关键点: 核心目标
阅读全文
摘要:Flannel 是 Kubernetes 中最经典、最广泛使用的 CNI(Container Network Interface)网络插件之一。它的核心作用是为 Kubernetes 集群提供一个简单、可靠的 Overlay 网络(覆盖网络),确保集群中所有 Pod 能够跨节点相互通信,无论这些 P
阅读全文
摘要:Calico 是一个高性能、高度可扩展的 Kubernetes 网络和网络策略解决方案。其核心目标是提供纯三层的网络模型(基于 IP 路由),避免传统 Overlay 网络(如 VXLAN、Flannel VXLAN 模式)的性能开销和复杂性,同时提供强大的网络策略能力。以下是 Calico 的核心
阅读全文
摘要:在 Kubernetes (K8S) 中,共享存储的核心作用是允许多个 Pod(通常运行在不同的节点上)同时访问(读取和写入)同一个持久化存储卷(Persistent Volume, PV)上的数据。 它解决了分布式环境中数据共享和一致性的关键需求。 以下是共享存储的主要作用和重要性: 支持有状态应
阅读全文
摘要:在 Kubernetes 中,实现数据持久化主要有以下几种方式,它们各有特点和适用场景: 1. Persistent Volume (PV) & Persistent Volume Claim (PVC) 核心机制: 将存储抽象与应用声明分离(详见上一个回答)。 适用场景: 这是 Kubernete
阅读全文
摘要:在 Kubernetes 中,PV (Persistent Volume) 和 PVC (Persistent Volume Claim) 是管理集群持久化存储的核心机制。它们的作用是将存储的提供(基础设施层) 与 存储的消费(应用层) 分离开来,提供更大的灵活性和抽象性。 核心作用: 解耦存储管理
阅读全文
摘要:在 Kubernetes 中,PersistentVolume (PV) 的生命周期独立于 Pod,其状态流转由 PVC (PersistentVolumeClaim) 的使用情况和回收策略共同决定。以下是 PV 从创建到销毁的完整阶段详解: PV 生命周期全阶段图解 graph TD A[创建]
阅读全文
摘要:在 Kubernetes 中,存储供应模式(Provisioning Modes)决定了持久化存储资源如何被创建和管理,主要分为以下三类核心模式,每种模式适用于不同的场景和运维需求: 1. 静态供应(Static Provisioning) 核心流程 graph LR A[管理员手动创建 PV] -
阅读全文
摘要:在 Kubernetes 中,CSI(Container Storage Interface) 是容器存储的标准接口,它通过插件化机制实现了存储系统的解耦和扩展。根据架构设计和部署模式,CSI 的实现模型可分为以下三类,每种模型对应不同的运维复杂性和适用场景: 1. 单体插件模型(Monolithi
阅读全文
浙公网安备 33010602011771号