qq_41619571的博客

在部署一个具有多个 MySQL StatefulSet 副本的情况下，每个副本将拥有自己独立的数据卷（Persistent Volume），这些数据卷通常由独立的 Persistent Volume Claim (PVC) 绑定。每个 StatefulSet 副本都会启动一个独立的 MySQL 实例，这些实例的数据在各自的数据卷上进行存储，因此默认情况下，它们的数据是相互隔离的，不会共享数据。权限的普通用户，然后使用该用户进行授权操作。用户对所有数据库的所有权限，并允许他授权其他用户。

种类：存活（Liveness）就绪（Readiness）和启动（Startup）探针手册 — 配置存活、就绪和启动探针kubernetes -- Pod健康检查*_花非人陌_*的博客-CSDN博客临时卷类型的生命周期与 Pod 相同， 但持久卷可以比 Pod 的存活期长。当 Pod 不再存在时，Kubernetes 也会销毁临时卷；不过 Kubernetes 不会销毁持久卷卷 | Kubernetes。

虚拟机1（VM1）K8s01Master虚拟机2（VM2）K8s02Node虚拟机3（VM3）K8s03Node默认已自行配置过IP地址，配置IP方式有很多：netplan、nmtui、nmcli、networking等方式。

分隔，前缀必须是DNS子域，不得超过253个字符，系统中的 自动化组件创建的label必须指定前缀，Label 的值本身不具备具体含义，但可以通过 label 来筛选对象特定的子集，便于管理。起始必须是字母（大小写都可以）或数字，中间可以有连字符，下划线和点。起始必须是字母（大小写都可以）或数字，中间可以有连字符，下划线和点。标签不具备唯一性，在通常情况下，多个不同的对象有这相同的标签。通过标签选择器，用户或客户端可以指定批量的对象进行操作。有三种运算符可以使用，分别是'

一个pod一个容器 ” 的模式是在 Kubernetes 中主流的使用场景。Kubernetes 不能直接管理容器，而是需要通过管理Pod来管理容器。一个pod 中会分配一个 pause 容器，这也被称为根容器。这个容器是我们在创建 pod 时通过yaml 文件定义的容器。例如一个容器从共享卷提供文件，而另一个容器刷新或更新资源。在这种场景中，pod 可以被看做是一个 “包着的容器”。这些在一个pod 内的容器形成一个统一的服务单元。容器的状态代表整个 pod 的状态。命令用于在容器中执行命令。

Kubernetes 基本管理单元，每个 Pod 是一个或多个容器的一组集合一个Pod 作为一个整体运行在一个节点（node）上Pod 内的容器共享存储和网络。

同样的，诸如安装各种各样值得拥有的插件，例如：Kubernetes Dashboard、监控解决方案以特定云提供商的插件，这些都不在它负责的范围。逻辑上，每个控制器是一个 单独的进程，但是为了降低复杂性，它们都被编译成独立的可执行文件，并在单个 进程中运行。Kube-proxy 用于管理 service 的访问入口，包括集群内pod 到 service 的访问和集群 外访问 service。这些虚拟集群被称为命名空间。

可以看到Kubernetes 没有采用其他项目那样为每一个管理功能创建一个指令，然后在项目中实现其中逻辑，这样的做法可以解决当前的问题，但是当有新的需求出现时，往往又需要定义新的指令。Paas 平台除了需要定义应用之间的编排关系，应用运行的形态是影响“如何容器化应用” 的重要因素，Kubernetes 定义了新的、基于Pod改进后的对象。swarmkit 项目开始于 2016年，是docker 家出的第二个容器集群项目，虽然也叫swarm，支持公有云，私有云，混合云，以及多种平台。

Docker 容器在实现上通过 namespace 技术实现进程隔离，通过Cgroup 技术实现容器进程可用资源的限制。

①Storage driver 处理各镜像层及容器层的处理细节，实现了多层数据的堆叠，为用户 提供了多层数据合并后的统一视图②所有 Storage driver 都使用可堆叠图像层和写时复制（CoW）策略③docker info 命令可查看当系统上的 storage driver主要用于测试目的，不建议用于生成环境。

1. 挂在 host 网络上的容器共享宿主机的 network namespace。1. none 网络的 driver 类型是 null，IPAM字段为空。挂载 none 网络上的容器只有 lo，无法与外界通信。即容器的网络配置与 host 网络配置完全一样。docker0 网络创建时已默认配置了 Subnet。docker0 是一个 linux bridge。容器创建时，默认挂载在 docker0 上。c3 加入 net2 并配置静态IP。c3 与 c2 可以通信。其中c1加入net1。

3. 切换分支版本 4. 安装prometheus5.由于国内网络限制，需要额外操作（可将镜像拉到本地，改成描述中对应的镜像名）（使用bitnimi或者阿里等自己搭建）若通过修改标记没有解决的话（可能是各版本镜像策略问题导致），可以通过编辑 yaml文件方式修改image地址

Linux 操作系统由内核空间和用户空间构成①：Linux系统内核（/boot/vmlinuz-*）②（根文件系统）： Linux系统中的用户空间文件系统。rootfs 是一个操作系统所包含的文件、配置和目录，但并不包括操作系统kernel。

容器引擎或运行时提供的本地功能通常不足以支撑完整的日志记录解决方案。例如，一个容器崩溃、一个Pod被驱逐、或者一个Node死亡，往往仍然需求可以访问应用程序的日志。日志应该具有独立于Node、Pod或者容器的单独存储和生命周期，这个概念被称为Cluster 级日志记录需要一个独立的后端来存储、分析和查询日志Kubernetes 本身并没有为日志数据提供原生的存储解决方案，但可以将许多现有的日志记录解决方案集成到Kubernetes 集群中。

1. 在Kubernetes中，负责完成授权（Authorization）工作的机制，就是RBAC：基于角色的访问控制（Role-Based Access Control）2. “主体”（subject）能够或不能够“操作”（operate）哪个或哪类“对象”（object）。动作的发出者是subject，通常是（User Account），也可以是（Service Account）。“操作”（operate）用于表明执行的具体操作，

Helm的打包格式叫做chart，所谓chart就是一系列文件，它描述了一组相关的k8s集群资源​​。

Kubernetes管理的资源所管理的集群中的每一台计算节点都包含一定的资源，通过得到节点有关资源的描述。

参考文件： Kubectl Reference Docs (kubernetes.io) 配置对多集群的访问 | Kubernetes

Kubernetes 中 pod对资源的申请是以容器为最小单位进行的，针对每个容器，它都可以通过如下两个信息指定它所希望的资源量①.requestrequest指针对这种资源，这个容器希望能够保证获取到的最少的量。只有节点上的富余资源大于request值时，容器才会被调度到该节点②.limitlimit对于CPU，还有内存，指的是容器对这个资源使用的上限对CPU来说，容器使用CPU过多，内核调度器就会切换，使其使用的量不会超过limit。

有些情况下希望运行一些和上述不同的应用，包括使用持久化的存储，稳定的网络标志，Pod与Pod之间并不是完全平等（即使它们用同一个镜像创建）。如果查看日志，可以发现Pod的创建顺序是第一个创建完成之后再创建第二个，依次完成。回顾Deployment，可以发现它有一些很有趣的特征，比如，所有Pod地位都是平等的，稳定的持久化存储，Pod重新调度后访问相同的持久化数据，使用PVC来实现。可以看到Pod停止的顺序为从序号最高的开始降序终止，Pod都有一个“序号”，可以有序的进行扩展，部署等操作。

1. Secret 是一种包含少量敏感信息，例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中；将其放在一个secret 对象中可以更好地控制它的用途，并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题，而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看和编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施，例如避免将其写入磁盘中可能的位置③。

1.持久卷（pv） 和 PersistentVolumeClaim持久卷声明（pvc）是k8s提供的两种API资源，用于抽象存储细节。管理员关注如何通过pv 提供存储功能而无需关注用户如何使用，同样的用户只需要挂载pvc到容器中而不需要关注存储卷采用何种技术实现①PV 是集群中由管理员配置的一块存储空间它是集群中的资源，就像节点是集群中的资源一样。PV是卷插件，和之前介绍的volumes类似，但他又一个独立于单个Pod的生命周期。PV的后端可以是NFS，ISCSI或者云存储等等②。

一个为Kubernetes提供叠加网络的网络插件， 它基于Linux TUN/TAP，用 UDP 封装IP报文来创建叠加网络，并借助etcd维护网络的分配情况。Pod的IP是集群可见的，即集群中的任何其他Pod和节点都可以通过IP直接与Pod通信，这种通信不需要借助任何的网络地址转换、隧道或代理技术。CNI 的插件模型支持不同组织和公司开发的第三方插件，这对运维人员来说很有吸引力，可以灵活选择适合的网络方案。由Flannel 和 caco 联合发布的一个统一网络插件，提供CNI 网络插件，并支持网络策略。

failure=3 表示探测连续失败3次，视为Pod处于failure状态，重启容器。Pod的状态信息在PodStatus中定义，其中有一个phase字段，就是我们熟悉的以下一些状态。如果相应的状态码 ≥ 200 且 ＜ 400，则诊断认为是成功的。为了执行诊断，kubelet 调用 Container 实现的 Handler，有。timeout=1s 表示容器必须在1秒内反馈信息给探针，否则视为失败。由于探针仅在返回码 ≥200，小于400的情况下返回正常，10秒后探针检测失败，

kube-proxy组件，它被封装在pod中，并且时刻运行在每个Node节点中Replicaset 侧重保证 pod 数量的恒定，那该如何实现kube-proxy类应用的调度pod对应的就是相应的daemonset，默认node有几个节点，daemonset就会创建几个pod；这个是和deployment的差异。

逻辑上的一组Pod，一种可以访问它们的策略 — — 通常称为微服务。这一组Pod能够被Service访问到，通常是通过Label Selector 实现的。