文章目录目标1.深入理解k8s各大资源对象及最佳实践2.熟练运用k8s各项调度策略3.掌握k8s网络原理及应用4.数量掌握pod控制器及运用场景5.熟练掌握k8s微服务DevOps实战一、核心概念1.认识k8s1.1什么是k8s1.2k8s解决了什么问题1.3企业容器调度平台1.3.1apachemesos1.3.2dockerswarm1.3.3k8s2.集群架构与组件2.1组件2.1.1控制面板：5个（master节点上）2.1.2节点组件:至少3个（slave节点上）2.1.3附加组件：6个2.2分层架构2.2.1生态系统（怎么调用）2.2.2接口层2.2.3管理层2.2.4应用层2.2

你是一个程序员，你用代码写了一个博客应用服务，并将它部署在了云平台上。但应用服务太过受欢迎，访问量太大，经常会挂。图片所以你用了一些工具自动重启挂掉的应用服务，并且将应用服务部署在了好几个服务器上，总算抗住了。k8s控制平面和Node的关系后来你又上线了商城应用服务和语音应用服务，随着应用服务变多，需求也千奇百怪。有的应用服务不希望被外网访问到，有的部署的时候要求内存得大于xxGB才能正常跑。你每次都需要登录到各个服务器上，执行手动操作更新。不仅容易出错，还贼浪费时间。原本就没时间找女朋友的你，现在哭得更大声了。那么问题就来了，有没有一个办法，可以解决上面的问题？当然有，没有什么是加一个中间层

网络策略（NetworkPolicy）是Kubernetes中的一种资源对象，用于定义和控制Pod之间的网络通信规则。它允许您在Kubernetes集群中定义详细的网络规则，以控制哪些Pod可以相互通信，以及允许或禁止的流量。网络策略提供了一种实现细粒度网络访问控制的方式，帮助管理员和开发者确保集群中的网络通信符合特定的安全性和策略需求。一、Pod隔离的两种类型Pod有两种隔离：出口隔离入口隔离它们涉及到可以建立哪些连接。这里的“隔离”不是绝对的，而是意味着“有一些限制”。另外的，“非隔离方向”意味着在所述方向上没有限制。这两种隔离（或不隔离）是独立声明的，并且都与从一个Pod到另一个Pod的

↑↑↑↑接上一篇继续部署↑↑↑↑之前已经完成了单master节点的部署，现在需要完成多master节点以及实现k8s集群的高可用一、完成master02节点的初始化操作二、在master01节点基础上，完成master02节点部署步骤一：准备好master节点所需要的文件etcd数据库所需要的ssl证书、master01节点的kubernetes安装目录（二进制文件、组件与apiserver通信的集群引导文件、启动参数配置文件）、kubectl与apiserver通信的集群引导文件、各组件被systemd管理的service文件##etcd目录只要ssl就可以，kubernetes安装目录传输

在上一章进行了node加入masterLinux：kubernetes（k8s）node节点加入master主节点（3）-CSDN博客https://blog.csdn.net/w14768855/article/details/136420447?spm=1001.2014.3001.5501但是他们显示还是没准备好看一下主节点信息看一下他的状态啥的都没问题再去看一下pods可以看到前两个Pending，这个就是因为网络引起的原因 安装CNI（calico）mkdir/opt/k8s&&cd/opt/k8scurlhttps://calico-v3-25.netlify.app/archiv

本次在虚拟机中执行操作首先第一步：准备好三台节点，设置好静态ip地址，记住三台ip地址，我这边演示的ip地址分别为： 192.168.125.101 master192.168.125.102 node1192.168.125.103 node2其中三台名字命名方式为：hostnamectlset-hostnamemaster#此命令在master节点中执行，两台node机器同理 接下来正式进行docker安装操作，三台机器同时操作，不要只执行一个节点机器1：关闭防火墙：$systemctlstopfirewalld$systemctldisablefirewalld2：关闭selinux：$

K8S安全控制框架主要由下面3个阶段进行控制，每一个阶段都支持插件方式，通过APIServer配置来启用插件。1.Authentication（认证）2.Authorization（授权）3.AdmissionControl（准入控制）客户端（kubectl或curl等）要想访问K8s集群APIServer，一般需要证书、Token或者用户名+密码。如果Pod访问，需要ServiceAccount。认证（Authentication）三种客户端身份认证：HTTPS证书认证：基于CA证书签名的数字证书认证HTTPToken认证：通过一个Token来识别用户HTTPBase认证：用户名+密码的方式

背景某天突然发现自己的测试环境中有Evicted状态的pod，于是需要排查原因。先来看看大致情况：[root@k8s-m1~]#kubectlgetpod-A-owide|grepk8s-m1kube-systemcalico-kube-controllers-bcc6f659f-575mr1/1Running3177d10.244.42.148k8s-m1none>none>kube-systemcalico-node-79p6j1/1Running2153d192.168.2.140k8s-m1none>none>kube-systemcoredns-6d56c8448f-l9xmz1/1

目录一、Kubernetes的概述二、服务器配置2.1服务器部署规划2.2服务器初始化配置三、安装Docker/kubeadm/kubelet【所有节点】3.1安装Docker3.2添加阿里云YUM软件源3.3安装kubeadm，kubelet和kubectl四、部署KubernetesMaster五、部署KubernetesNode六、部署容器网络（CNI）七、测试kubernetes集群一、Kubernetes的概述Kubernetes是一个可移植、可扩展的开源平台，用于管理容器化的工作负载和服务，可促进声明式配置和自动化。Kubernetes拥有一个庞大且快速增长的生态，其服务、支持和工

Kubectl命令详解｜K8S资源对象管理｜K8S集群管理kubectl管理命令kubectlget查询资源常用的排错命令kubectlrun创建容器POD原理pod的生命周期k8s资源对象管理资源文件使用资源文件管理对象Pod资源文件deploy资源文件集群调度的规则扩容与缩减集群更新与回滚集群调度kubectl管理命令是用于控制k8s集群的命令行工具语法格式：kubectl[command][TYPE][NAME][flags] command:子命令如creategetdescribedelete TYPE:资源类型，可以表示为单数、复数或缩写形式 name:资源的名称，如果省略，则显示