Arthur Guo 的专栏

Pause 容器是 Pod 的“地基”，它创建了共享的命名空间，让多个容器能在同一个“房间”里工作；：日志审计、国密卸载、流量加密、监控埋点，这些辅助功能通过 sidecar 与核心业务解耦，既满足了等保/信创要求，又避免了对核心交易代码的侵入式改造。# 执行 iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 15001。：如果没有 pause 容器，每个业务容器启动时都会创建独立的 netns，它们之间就无法直接。

Pod A ──► veth ──► cni0 ──► flannel.1(VTEP) ──► VXLAN封装 ──► eth0。──► 底层网络 ──► eth0 ──► VXLAN解封装 ──► flannel.1 ──► cni0 ──► Pod B。──► 底层网络（物理路由器已学习Pod CIDR路由）──► eth0 ──► 路由表 ──► veth ──► Pod B。Pod A ──► veth ──► 路由表(10.244.2.3 via Node2_IP) ──► eth0。

Flannel 的设计哲学是“最小可用”——它只做一件事：为每个节点分配一个 Pod 子网段，并确保跨节点的 Pod IP 可路由。f2:xx:xx:xx:xx:02 → VTEP IP = Node2_Physical_IP (如 192.168.1.12)查 ARP 表：10.244.2.0 → f2:xx:xx:xx:xx:02 (Node2 flannel.1 的 MAC)每个节点上的守护进程，监听 etcd/K8s API 获取集群子网分配，配置本地路由、ARP、FDB、VXLAN 设备。

虽然 1.24+ 默认使用 TokenRequest 投影（短期 Token），但传统 Secret 形式的 SA Token 曾是 Pod 访问 APIServer 的“通行证”。base64 的目的是“让二进制数据安全地穿越 JSON/YAML 文本协议”，而不是“防止人类读取”。银行生产环境中，信封里的内容必须被加密，钥匙必须放在 HSM 里，信封的开启必须被审计。etcd 是集群的“大脑”，一旦攻击者突破 Master 节点或 etcd 节点，所有 Secret 一览无余。

APIServer 的 API 在协议层面就是 HTTP/JSON（或 Protobuf），但在语义层面是"面向终态的、版本化的、事件驱动的、带内置安检链的分布式资源控制系统"。它与普通 HTTP API 的关系，类似于**"SQL 与 Excel 都是表格"**——表面都是行列数据，但底层哲学和适用域完全不同。"requestObject": { ... }, // 请求体（敏感资源可能省略）从协议底层看，它接收的仍然是标准的 HTTP/1.1 或 HTTP/2 请求，但。

lowerdir=/var/lib/containerd/.../layer1:/var/lib/containerd/.../layer2 (镜像层，只读)这个引擎比操作系统轻量得多——启动一个容器不是"开机"，而是**"执行一个系统调用序列，让普通进程换一套视图继续跑"**，耗时以毫秒计。它更像是一个**"借用宿主机内核，为单个应用进程快速搭建隔离环境"的启动器**。—— 这里对方可能会误以为容器里有完整操作系统，需要补一句："但它没有自己的内核，用的是宿主机的内核，只是被隔离了。