2301_79227925的博客

JumpServer是一款开源的堡垒机，可使系统的管理员和开发人员安全的连接到企业内部服务器上执行操作，并且支持大部分操作系统，是一款非常安全的远程连接工具。

最常用的无状态服务控制器，由 Deploymen、ReplicaSet、Pod 组成、支持集群扩容缩容滚动、更新、自动维护 Pod 可用性及·副本量等功能ReplicaSet 和 Pod 由 Deployment 自动管理，用户无需干预无法自定义副本数量所创建的 Pod与 node 节点绑定每个node 上都会运行一个 Pod当有新 Node 加入集群时，会为他新增 Pod 副本，当 Node 从集群移除时，这些 Pod 也会被回收典型应用：kube-proxy。

如果服务后端对应多个 Pod，则会通过 IPTables/LVS 规则将访问的请求最终映射到 Pod 的容器内部，自动在多个容器间实现负载均衡,如果想访问和管理 kubernetes 集群，就要对身份以及权限做验证，kubernetes 支持的鉴权模块有 Node、RBAC、ABAC、Webhook AP

PV 的全称是 Persistent Volume，是持久卷PVC 的全称是 PersistentVolumeClaim，是持久卷声明Secret 是一种临时卷Secret 类似于 ConfigMap 但专门用于保存机密数据在设置 Secret.data 字段时，所有键值都必须是经过base64编码的字符串emptyDir 的本质是一个简单的空目录emptyDir 可以提供临时空间，同一个 Pod 中容器也可以用来共享数据。案例:缓存服务器、数据统计分析、排序等。

污点 (Taint) 是使节点与 Pod 产生排斥的一类规则，污点策略通过嵌合在键值对上的污点标签进行声明实现。容忍刚好与污点相反，某些时候我们需要在有污点的节点上运行 Pod，这种无视污点标签的调度方式称为容忍。优先级表示一个 Pod 相比于其他 Pod 的重要性，优先级可以保证重要的 Pod 被调度运行容器是通过名称空间技术隔离的，有时候我们执行一些应用服务，需要使用或修改敏感的系统信息，这时容器需要突破隔离限制，获取更高的权限，这类容器统称特权容器。运行特权容器会有一些安全风险，这种模式下运行。

在 k8s 中，调度是将 Pod 分配到合适的计算节点上，然后对应节点上的 Kubelet 运行这些 pod。kube-scheduler 是默认调度器，是集群的核心组件调度器是如何工作的?调度器通过 k8s的监测 (Watch) 机制来发现集群中尚未被调度到节点上的 Pod。调度器依据调度原则将 Pod 分配到一个合适的节点上运行

CPU 资源的约束和请求以毫核 (m)为单位。在 k8s 中 1m是最小的调度单元，CPU 的一个核心可以看作1000m如果你有2颗 CPU，且每 CPU为4核心，那么你的 CPU资源总量就是8000mmemory的约束和请求以字节为单位可以使用以下单位来表示内存: E、P、T、G、M、k也可以使用对应的 2的幂数: Ei、Pi、Ti、Gi、Mi、Ki

就在Docker容器技术被炒得热火朝天之时，大家发现，如果想要将Docker应用于具体的业务实现，是存在困难的一一编排、管理和调度等各个方面，都不容易。于是，人们迫切需要一套管理系统，对Docker及容器进行更高级更灵活的管理就在这个时候，kubernetes出现了

容器端口可以与宿主机的端口进行映射绑定，从而把宿主机变成对应的服务，不用关心容器的IP地址，每个端口都只能和一个容器绑定。Habor 是在 Registry 上进行了相应的企业级扩展，从而获得了更加广泛的应用，这些新的企业级特性包括:提供 WEB界面，优化用户体验，支持登陆、搜索功能，区分公有、私有镜像，以及基于角色的访问控制，集成日志审计、支持水平扩展等功能。

Dockerfile是一种更强大的镜像制作方式，编写类似脚本的 Dockerfile 文件，通过该文件制作镜像。私有仓库是存储 docker image 的仓库，管理一个 docker 集群，在所有节点维护镜像的一致性是一个非常麻烦繁琐的任务，使用公共仓库，我们又无法控制仓库中的镜像、版本等数据，私有仓库就是解决这些问题的最佳方法。

早期的容器技术是一种封装系统的轻量级虚拟化，Docker眼中“容器技术”是一种以应用为核心，对程序文件、运行时环境、软件依赖包都可以封装打包、部署的技术手段