weixin_61188041的博客

学到这里，我们都知道，k8s集群的外部网络分发，借助kube-proxy组件来完成；问题：我们为什么要将代理模式修改为ipvs而不继续使用iptables呐？因为：1，iptables底层使用四表五链完成网络代理，效率比较低，而ipvs是采用了iphash的方式实现代理的，效率比较高，因此才会采用ipvs作为生产环境中的网络代理；2，iptables不太适合【读】，可读性太低，很乱；通过一层一层的路由查询，我们就知道了目标地址的终点ip是什么；

引发问题目前使用svc资源做网络暴露，使用nodeport类型，一个业务对应一个宿主机端口，那么如果业务多了，所占用的宿主机端口也就多了，虽然说宿主机端口一般情况下都是够用的，但是，对于研发、运维来讲，不同业务不同的端口，业务如果过多，管理起来就更加费力；2，总结1，集群宿主机端口占用太多2，当一个端口需要被多个服务使用的时候，就力不从心了，假设两个业务，都想要用443端口，那么就无法使用了；

如下图所示，在一个企业中，可能存在多个不同的应用业务，每个业务可能包含多至十几、甚至几十个资源清单，那么对于“运维”和“研发”人员来讲，这么多的资源清单，通过人力去区分辨别，即便有“名称空间namespace”和不同“路径目录”来进行区分，也是非常吃力的；

假如，我们有一个deployment资源，创建了3个nginx的副本，对于nginx来讲，它是不区分启动或者关闭的先后顺序的，也就是“没有特殊状态”的一个服务，也成“无状态服务”，3个副本，谁先启动、谁后启动都没有关系，它只是用来web服务分发使用的一个工具而已；那么反之，有没有需要有启动顺序、关闭顺序这样的“有状态服务”呐？答案肯定是有啊；

我们之前学习过好几种存储卷用于数据的持久化，我们来回忆一下；1，emptyDir存储卷：与pod的生命周期相同，pod删除掉，数据也随之删除；2，hostpath存储卷：必须指定宿主机，不同宿主机的pod不能数据共享；3，nfs存储卷；

Dashboard是k8s集群管理的一个WebUI，它是k8s的一个附加组件，所以需要单独来部署；我们可以通过图形化的方法，创建、删除、修改、查询k8s资源；

k8s1,User3,Group本质上讲，在k8s系统中，用户，就是一个文件，这个文件在当前登录用户的家目录下；这个文件config，就代表“我”是谁；这里面并没有角色、权限信息，角色和权限信息，在其他位置；所以，要创建用户，就是要创建这个文件；那么如何创建这个文件呐？知道了ssl原理，https请求过程，我们就了解了，ssl的安全机制；实际上k8s当中“根证书”早就生成好了，在我们kubeadm部署的时候，就自动帮我们生成了；

Metrics-Server组件目的：获取集群中pod、节点等负载信息；hpa资源目的：通过metrics-server获取的pod负载信息，自动伸缩创建pod；参考链接：资源指标管道 | Kubernetes。

一、概述daemonset资源：简称ds资源；他可以实现与pod反亲和性同样的目的，每个节点分别创建一个相同的pod；换句话说：如何再集群中每个节点上，分别创建一个相同的pod？1，利用pod的反亲和性2，使用daemonset资源创建pod；daemonset资源能够确保所有节点上运行一个相同的pod；典型的用法：1，在每个节点上运行集群的守护进程（例如：flannel）2，在每个节点上运行日志收集的守护进程（例如:filebeat）

在k8s当中，“亲和性”分为三种，节点亲和性、pod亲和性、pod反亲和性；

假设：一个节点上有两个污点，但是你创建pod的时候，还想要在这个节点上创建，那么你就需要再资源清单中，写入“容忍这两个污点”，才会创建成功；可以理解为：在节点上设置了五点之后，你创建资源时，可以无视这个节点上的污点规则，也就可以在有污点的节点上创建资源；那么，k8s也同时提供了，“污点容忍”，就是即便你的节点设置了“污点”，我的资源也可以创建在这个节点上的能力；集群中的节点设置的污点，通过设置污点，来规划资源创建时所在的节点；#设置key和value的关系。至此，pod调度的污点和污点容忍，学习完毕；

那么我们有没有方法，让pod根据我们自己的想法，创建在我们想要的节点上呐？接下来，我们就学习，关于pod调度的节点选择器，nodeSelector。我们发现，其是随机创建在，k8s232和k8s233节点上的；我们先创建一个普通的deploy资源，设置为10个副本。1，给节点（k8s231、k8s232、k8s233）打标签。目的就是让pod创建在我们想要的节点上；至此，节点选择器nodeSelector学习完毕；2，pod中编辑节点选择（选择节点的标签）#调度到哪个标签的节点上？编辑了节点选择器之后。

查看k8s集群中DNS的svc的详细信息，可以看到，里面解析了coreDNS的地址在endpoint列表中；k8s系统中安装了coreDNS组件后，会有一个coreDNS开头的pod资源；查看kubelet的配置文件中，可以看到集群dns的地址；集群自带coreDNS组件，二进制部署需要自己手动部署；coreDNS组件：就是将。资源的名称解析成ClusterIP；kubeadm部署的。至此，coreDNS学习完毕；

job是执行完一次任务，就结束；cronjob控制器，是基于job控制器，定期频率性执行任务；等同于中的crontab一样；

job：就是一次性任务的pod控制器，pod完成作业后不会重启，其重启策略是：Never。

由于，k8s集群，在创建业务pod时候，需要挂载外部的nfs，那么也需要有nfs的命令的使用，所以，k8s集群中 的机器，同样也需要安装nfs；我们采用k8s外部虚拟机的路径，实现数据卷的nfs挂载，本次学习，我们采用harbor的虚拟机进行存储静态数据；5，【数据库的svc】创建业务服务wordpress的pod资源访问数据库的svc资源；4，【数据库的pod】创建deployment资源的数据库服务的pod容器；3，【用户访问的svc】创建用户访问的svc资源；

在学习rc和rs控制器资源时，我们指导，这两个资源都是控制pod的副本数量的，但是，他们两个有个缺点，就是在部署新版本pod或者回滚代码的时候，需要先apply资源清单，然后再删除现有pod，通过资源控制，重新拉取新的pod来实现回滚或者迭代升级；通过“标签”管理，实现rs资源的控制，它会在自动创建rs的过程中给rs自动生成一个特有的标签(专属于deployment)，当apply更新清单的时候，它会通过标签选定是使用历史的rs还是重新创建rs；生产环境不建议使用，因为用户在此时会访问不到服务；

replicaset副本控制器，简称：rs控制器；用法：与rc控制器“几乎”相同；能力：可以指定pod的副本始终存活，相比于rc控制器；支持标签匹配，也支持标签表达式注意：不论是rc还是rs资源，都是通过“标签”惊醒匹配pod的，如果有同样的标签，则算作一个副本；

控制器资源，简称：rc控制器；简单理解，rc控制器就是控制相同的pod副本数量；使用rc控制器资源创建pod，就可以设定创建pod的数量；

当我们运行一个pod的容器的时候，存在一个风险，就是当有人登录到容器当中时，使用root用户登录，并修改文件等危险操作，会导致业务出现严重的安全问题，因此，k8s提供了安全上下文securitycontext，用来控制有人登录到容器当中进行的操作；#配置容器为特权容器，若配置了特权容器，可能对capabilities测试有影响；#指定运行容器的用户uid，注意该用户的uid必须事先存在于镜像中；#如果容器的进程以root身份运行，则禁止容器启动；可以看见，没有这个666的用户，什么都干不了；