Kubernetes Pod 深度解析

在 Kubernetes 容器编排平台中，Pod 是最小的资源管理单元，也是理解 Kubernetes 架构的核心基础。与直接管理单个容器不同，Kubernetes 通过 Pod 将一个或多个紧密相关的容器组织为一个逻辑整体，使这些容器能够共享网络、存储和命名空间等资源，从而实现更复杂的应用架构。Pod 的设计解决了容器化应用中的多个关键问题：当多个容器需要协同工作时（如 Web 服务器与文件处理

后院那片海

996人浏览 · 2025-06-30 12:14:11

后院那片海 · 2025-06-30 12:14:11 发布

前言：Kubernetes 中 Pod 的核心地位
一、Pod 基础概念：容器化应用的逻辑主机
- 1.1 Pod 的本质：容器的逻辑集合
- 1.2 Pod 的核心特点：网络与存储共享
- 1.3 Pod 的状态体系：从创建到终止的全生命周期
- 1.4 Kubernetes 与 Pod：底层运行时抽象
二、Pod 探针机制：应用健康检查的核心实现
- 2.1 探针的三种实现方式：Exec、TCP、HTTP
- 2.2 探针的状态反馈：成功、失败与未知
- 2.3 探针类型详解：存活、就绪与启动探针
- 2.4 探针配置实战：YAML 示例与参数调优
三、Pod 镜像拉取与重启策略：运行时行为控制
- 3.1 镜像拉取策略：Always、IfNotPresent 与 Never
- 3.2 重启策略详解：Always、OnFailure 与 Never
- 3.3 策略组合应用：不同业务场景的配置选择
四、Pod 基础用法：从单容器到多容器编排
- 4.1 单容器 Pod 创建：YAML 配置与命令行实战
- 4.2 多容器 Pod 设计：容器间协作模式
- 4.3 端口暴露与服务关联：从 Pod 到服务的流量路由
- 4.4 存储卷配置：数据持久化与共享方案
五、静态 Pod：节点级直接管理的特殊形态
- 5.1 静态 Pod 的本质：kubelet 直接管理的 Pod
- 5.2 静态 Pod 与动态 Pod 的区别：管理方式对比
- 5.3 静态 Pod 应用场景：系统组件部署案例
- 5.4 静态 Pod 配置与管理：文件路径与删除机制
六、Pod 启动过程与运行状态：从创建到就绪的全流程
- 6.1 Pod 启动的核心组件：API Server、Scheduler 与 kubelet
- 6.2 启动流程详解：从提交请求到容器运行的十大步骤
- 6.3 关键状态转换：Pending 到 Running 的过渡条件
- 6.4 异常状态处理：Failed、Unknown 等状态的排查方向
七、Pod 故障排除：从状态分析到问题解决的实战指南
- 7.1 排查基本流程：日志查看与状态诊断
- 7.2 常见状态故障：Pending、ImagePullBackOff 等问题解决
- 7.3 容器启动失败：CrashLoopBackoff 问题深度分析
- 7.4 资源与网络问题：OOMKilled 与网络配置故障排查
八、实战案例：多容器 Pod 与复杂场景配置
- 8.1 Web 应用案例：Nginx 与 PHP-FPM 协同部署
- 8.2 数据服务案例：Redis 与应用容器的数据共享
- 8.3 微服务案例：多容器间的服务发现与通信
总结：Pod 在 Kubernetes 中的核心价值与实践建议

前言：Kubernetes 中 Pod 的核心地位

在 Kubernetes 容器编排平台中，Pod 是最小的资源管理单元，也是理解 Kubernetes 架构的核心基础。与直接管理单个容器不同，Kubernetes 通过 Pod 将一个或多个紧密相关的容器组织为一个逻辑整体，使这些容器能够共享网络、存储和命名空间等资源，从而实现更复杂的应用架构。

Pod 的设计解决了容器化应用中的多个关键问题：当多个容器需要协同工作时（如 Web 服务器与文件处理器、数据库客户端与服务端），Pod 提供了天然的部署单元；当容器需要共享数据卷或通过 localhost 进行高效通信时，Pod 提供了资源共享的基础设施；当应用需要健康检查、自动重启等可靠性机制时，Pod 提供了完整的生命周期管理能力。

本文将从 Pod 的基础概念出发，深入解析探针机制、镜像拉取策略、重启策略等核心特性，通过实战案例演示 Pod 的创建与管理，并针对常见故障提供系统化的排查方案。无论你是 Kubernetes 初学者还是有经验的运维工程师，都能通过本文全面掌握 Pod 的原理与实践，提升容器化应用的部署与管理能力。

一、Pod 基础概念：容器化应用的逻辑主机

1.1 Pod 的本质：容器的逻辑集合

Pod 是 Kubernetes 中最基本的部署单元，它本质上是一个或多个容器的逻辑集合。这些容器共享相同的运行环境，包括：

网络命名空间：共享 IP 地址和端口空间，容器间可通过 localhost 直接通信
存储卷：共享数据卷，实现容器间数据交换与持久化
进程空间：共享 PID 命名空间（可选），可通过进程 ID 相互访问

从应用视角看，Pod 是业务逻辑的 “逻辑主机”。例如，一个完整的 Web 应用可能由 Nginx 容器（负责流量转发）和 PHP-FPM 容器（处理业务逻辑）组成，这两个容器共同构成一个 Pod，对外提供统一的 Web 服务。

1.2 Pod 的核心特点：网络与存储共享

网络共享机制

每个 Pod 被分配一个唯一的 IP 地址，Pod 内所有容器共享该 IP 及端口空间。这种设计使得容器间通信变得极为简单：

容器间通信：直接使用 localhost:端口 即可访问同一 Pod 内的其他容器服务
对外通信：Pod 可通过 Kubernetes 服务（Service）机制将端口映射到集群网络，实现外部访问

存储共享机制

Pod 支持定义多个共享存储卷（Volume），这些卷可被 Pod 内所有容器访问：

数据共享：多个容器可同时读写同一卷，实现数据交换
持久化：即使容器重启，存储卷中的数据依然保留（取决于卷类型）
多种卷类型：支持 EmptyDir、HostPath、PersistentVolume 等多种存储类型

1.3 Pod 的状态体系：从创建到终止的全生命周期

Pod 的状态由其内部容器的状态综合决定，通过 kubectl get pods 命令可查看核心状态字段：

状态	说明
Pending	Pod 已被 API Server 接收，但尚未调度到节点或仍在拉取镜像
Running	Pod 已调度到节点，所有容器已创建，至少一个容器正在运行
Succeeded	所有容器成功执行并终止，适用于一次性任务
Failed	所有容器终止，至少一个容器以非零状态退出
Unknown	无法获取 Pod 状态，通常由于通信问题

此外，还有更详细的中间状态（如 ImagePullBackOff、CrashLoopBackoff 等），这些状态为故障排查提供了关键线索。

1.4 Kubernetes 与 Pod：底层运行时抽象

Kubernetes 作为容器编排工具，需要屏蔽底层容器运行时的差异（如 Docker、containerd、Rkt 等）。Pod 正是这一抽象的核心体现：

CRI 标准：Kubernetes 通过容器运行时接口（CRI）与底层运行时交互，Pod 是符合 CRI 标准的容器组
Pause 容器：每个 Pod 包含一个特殊的 Pause 容器，负责管理其他容器的命名空间共享与僵尸进程回收
运行时无关性：用户无需关心底层运行时实现，只需关注 Pod 定义即可实现跨平台部署

二、Pod 探针机制：应用健康检查的核心实现

2.1 探针的三种实现方式：Exec、TCP、HTTP

Kubernetes 提供三种探针实现方式，可根据应用特点选择合适的检查方式：

ExecAction：命令执行检查

在容器内执行指定命令，根据命令返回码判断健康状态：

成功条件：命令返回码为 0
应用场景：适用于无法通过网络检测，但可通过命令行判断状态的应用（如数据库备份状态检查）

TCPSocketAction：TCP 连接检查

尝试连接容器的指定端口，根据连接结果判断健康状态：

成功条件：端口可正常连接
应用场景：适用于提供 TCP 服务的应用（如 Redis、MySQL）

HTTPGetAction：HTTP 请求检查

向容器内的指定 URL 发送 HTTP Get 请求，根据响应状态码判断健康状态：

成功条件：响应状态码在 200-400 之间
应用场景：适用于 Web 应用或提供 HTTP API 的服务

2.2 探针的状态反馈：成功、失败与未知

每次探针检查会返回三种状态之一，Kubernetes 根据状态采取不同措施：

状态	说明	处理方式
Success	容器健康	无操作
Failure	容器不健康	存活探针会触发容器重启，就绪探针会将 Pod 从服务端点移除
Unknown	检查失败（如超时）	暂不采取措施，继续尝试检查

2.3 探针类型详解：存活、就绪与启动探针

存活探针（LivenessProbe）

作用：检测容器是否正常运行，若失败则重启容器

典型配置：

yaml

livenessProbe:
  httpGet:
    path: /healthz
    port: 8080
  initialDelaySeconds: 10  # 容器启动后等待 10 秒开始检查
  periodSeconds: 5         # 每 5 秒检查一次

就绪探针（ReadinessProbe）

作用：检测容器是否准备好接收流量，若失败则停止向其发送请求

典型配置：

yaml

readinessProbe:
  tcpSocket:
    port: 3306
  timeoutSeconds: 2  # 超时时间 2 秒
  successThreshold: 3  # 连续 3 次成功才认为就绪

启动探针（StartupProbe）

作用：专门检测容器启动阶段的状态，避免因启动缓慢导致的误判
特点：在容器启动期间生效，一旦通过则不再执行，其他探针开始生效
典型场景：数据库服务启动时需要加载大量数据，启动探针可等待其完全就绪

2.4 探针配置实战：YAML 示例与参数调优

yaml

apiVersion: v1
kind: Pod
metadata:
  name: probe-demo
spec:
  containers:
  - name: web-app
    image: nginx:1.21
    ports:
    - containerPort: 80
    livenessProbe:
      httpGet:
        path: /
        port: 80
      initialDelaySeconds: 5
      periodSeconds: 10
      timeoutSeconds: 5
      failureThreshold: 3  # 连续 3 次失败才认为不健康
    readinessProbe:
      httpGet:
        path: /health
        port: 80
      initialDelaySeconds: 2
      periodSeconds: 5

参数调优建议：

initialDelaySeconds：根据应用启动时间设置，避免启动过程中误判
periodSeconds：检查频率，频繁检查会增加开销，建议 5-30 秒
failureThreshold：失败次数阈值，避免瞬时故障导致误操作
successThreshold：就绪探针专用，确保服务稳定后再接收流量

三、Pod 镜像拉取与重启策略：运行时行为控制

3.1 镜像拉取策略：Always、IfNotPresent 与 Never

镜像拉取策略决定了 Kubernetes 何时以及如何拉取容器镜像，可在 Pod 配置中显式指定：

策略	行为描述	典型应用场景
Always	每次创建 Pod 时都拉取镜像	开发环境、测试环境，确保使用最新镜像
IfNotPresent	本地无镜像时拉取（默认策略）	生产环境，减少镜像拉取开销
Never	从不拉取镜像，仅使用本地镜像	离线环境或镜像已预先部署

特殊情况：当镜像标签为 latest 时，Kubernetes 会将 IfNotPresent 策略视为 Always，确保获取最新版本。

3.2 重启策略详解：Always、OnFailure 与 Never

重启策略定义了容器退出时 kubelet 的响应行为，是 Pod 级别的配置：

策略	触发条件	应用场景
Always	容器无论以何种原因退出都重启	长期运行的服务（Web 服务器、消息队列）
OnFailure	容器以非零状态退出时重启	批处理任务、一次性作业
Never	容器退出后不重启	完全手动管理的一次性任务

3.3 策略组合应用：不同业务场景的配置选择

场景一：高可用性 Web 服务

yaml

spec:
  containers:
  - name: web-server
    image: my-web-app:v1.0
    imagePullPolicy: IfNotPresent
  restartPolicy: Always

策略说明：使用默认镜像拉取策略，确保本地有镜像时直接启动；容器异常退出时自动重启，保证服务可用性。

场景二：数据备份任务

yaml

spec:
  containers:
  - name: backup-job
    image: backup-tool:latest
    imagePullPolicy: Always
  restartPolicy: OnFailure

策略说明：每次执行任务时拉取最新备份工具镜像；仅当备份任务执行失败（非零退出码）时重启容器，正常完成后不重启。

场景三：离线环境测试

yaml

spec:
  containers:
  - name: test-app
    image: test-image:v1
    imagePullPolicy: Never
  restartPolicy: Never

策略说明：仅使用本地已存在的镜像，不进行任何网络拉取；容器退出后不重启，适用于一次性测试。

四、Pod 基础用法：从单容器到多容器编排

4.1 单容器 Pod 创建：YAML 配置与命令行实战

YAML 配置示例

yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx-single
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx:1.21
    ports:
    - containerPort: 80
    resources:
      requests:
        cpu: 100m
        memory: 64Mi
      limits:
        cpu: 200m
        memory: 128Mi

命令行创建与管理

bash

# 创建 Pod
kubectl apply -f nginx-pod.yaml

# 查看 Pod 状态
kubectl get pods nginx-single

# 查看详细信息
kubectl describe pod nginx-single

# 查看日志
kubectl logs nginx-single

# 进入容器
kubectl exec -it nginx-single -- bash

4.2 多容器 Pod 设计：容器间协作模式

多容器 Pod 适用于需要紧密协作的应用场景，常见协作模式包括：

主从模式（Sidecar）

场景：主容器提供服务，辅助容器负责日志收集、监控等

示例配置：

yaml

spec:
  containers:
  - name: web-server
    image: nginx:1.21
  - name: log-collector
    image: fluentd:latest
    volumeMounts:
    - name: access-logs
      mountPath: /var/log/nginx
  volumes:
  - name: access-logs
    emptyDir: {}

数据共享模式

场景：多个容器需要访问同一数据

示例配置：

yaml

spec:
  containers:
  - name: app
    image: my-app:v1
    volumeMounts:
    - name: data
      mountPath: /app/data
  - name: db
    image: mysql:8.0
    volumeMounts:
    - name: data
      mountPath: /var/lib/mysql
  volumes:
  - name: data
    persistentVolumeClaim:
      claimName: my-data-pvc

4.3 端口暴露与服务关联：从 Pod 到服务的流量路由

暴露 Pod 端口

yaml

spec:
  containers:
  - name: my-service
    image: my-service:v1
    ports:
    - containerPort: 8080  # 容器内端口
      protocol: TCP         # 协议类型
      name: http-service    # 端口名称

创建服务关联 Pod

bash

# 通过标签选择器关联 Pod
kubectl expose pod my-pod --port=8080 --target-port=8080 --type=NodePort --name=my-service

# 查看服务与 Pod 映射
kubectl get service my-service -o wide

外部访问

ClusterIP 类型：集群内部访问，通过服务 IP + 端口
NodePort 类型：外部访问，通过节点 IP + 随机端口
LoadBalancer 类型：云平台负载均衡器，通过域名或公网 IP 访问

4.4 存储卷配置：数据持久化与共享方案

临时存储：EmptyDir

特点：Pod 存在时数据保留，删除后数据丢失
用途：中间数据缓存、容器间临时数据交换

yaml

volumes:
- name: temp-data
  emptyDir: {}

主机存储：HostPath

特点：映射节点本地文件系统
用途：访问节点本地资源、日志持久化

yaml

volumes:
- name: host-logs
  hostPath:
    path: /var/log/my-app
    type: DirectoryOrCreate

持久化存储：PersistentVolumeClaim

特点：通过 PVC 申请存储资源，与 PV 绑定
用途：长期数据存储、跨 Pod 数据共享

yaml

volumes:
- name: app-data
  persistentVolumeClaim:
    claimName: my-data-pvc

五、静态 Pod：节点级直接管理的特殊形态

5.1 静态 Pod 的本质：kubelet 直接管理的 Pod

静态 Pod 是一种特殊的 Pod 类型，具有以下特点：

管理方式：由节点上的 kubelet 直接管理，不通过 API Server
配置方式：通过本地 YAML 文件定义，存放在 kubelet 配置的 manifests 目录
生命周期：kubelet 会自动监控 manifests 目录，发现文件即创建 Pod，删除文件即删除 Pod

5.2 静态 Pod 与动态 Pod 的区别：管理方式对比

特性	静态 Pod	动态 Pod
管理组件	kubelet	API Server + 控制器
配置位置	节点本地文件	etcd 分布式存储
弹性伸缩	不支持	支持（通过 RC/Deployment）
健康检查	有限支持	完整支持
适用场景	系统组件、节点专属服务	业务应用、弹性服务

5.3 静态 Pod 应用场景：系统组件部署案例

kube-apiserver 部署

yaml

apiVersion: v1
kind: Pod
metadata:
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - name: kube-apiserver
    image: k8s.gcr.io/kube-apiserver:v1.24.0
    command:
    - kube-apiserver
    - --advertise-address=192.168.1.100
    - --etcd-servers=https://192.168.1.100:2379
    # 其他启动参数...

节点监控组件部署

yaml

apiVersion: v1
kind: Pod
metadata:
  name: node-exporter
  namespace: monitoring
spec:
  containers:
  - name: node-exporter
    image: prom/node-exporter:v1.3.1
    volumeMounts:
    - name: proc
      mountPath: /host/proc
    - name: sys
      mountPath: /host/sys
  volumes:
  - name: proc
    hostPath:
      path: /proc
  - name: sys
    hostPath:
      path: /sys

5.4 静态 Pod 配置与管理：文件路径与删除机制

配置文件路径

默认路径：/etc/kubernetes/manifests/
kubelet 配置：可通过 --pod-manifest-path 参数指定自定义路径

创建静态 Pod

只需将 YAML 文件放入 manifests 目录，kubelet 会自动检测并创建 Pod：

bash

cp nginx-static.yaml /etc/kubernetes/manifests/

删除静态 Pod

正确方式：删除 manifests 目录下的 YAML 文件，kubelet 会自动删除对应的 Pod
错误方式：使用 kubectl delete pod 命令，会导致 Pod 进入 Pending 状态且无法删除

bash

rm /etc/kubernetes/manifests/nginx-static.yaml

六、Pod 启动过程与运行状态：从创建到就绪的全流程

6.1 Pod 启动的核心组件：API Server、Scheduler 与 kubelet

API Server

角色：Kubernetes 控制平面的入口，接收所有资源操作请求
职责：验证请求合法性、存储 Pod 定义到 etcd、提供统一的资源访问接口

Scheduler

角色：负责 Pod 的调度决策
职责：根据资源需求、节点亲和性、污点容忍等策略选择合适的节点

kubelet

角色：节点上的代理，负责 Pod 的生命周期管理
职责：创建容器、管理存储卷、配置网络、监控容器状态

6.2 启动流程详解：从提交请求到容器运行的十大步骤

用户提交请求：通过 kubectl apply 或 API 提交 Pod YAML 定义
API Server 处理请求：验证、授权后将 Pod 定义存入 etcd
Scheduler 调度 Pod：根据调度策略选择目标节点
kubelet 接收调度结果：目标节点的 kubelet 发现有新 Pod 需创建
创建网络与存储：kubelet 调用 CNI 插件配置网络，准备存储卷
拉取容器镜像：容器运行时（如 containerd）拉取所需镜像
启动容器：运行时启动容器进程，执行初始化命令
启动探针检测：若配置了启动探针，开始检测容器启动状态
存活与就绪探针启动：启动探针通过后，开始执行存活和就绪探针
Pod 进入 Running 状态：所有容器启动成功，探针检查通过

6.3 关键状态转换：Pending 到 Running 的过渡条件

Pending 状态的常见原因

调度未完成：节点资源不足、节点亲和性不满足、污点排斥
镜像拉取中：镜像体积大、网络带宽不足、私有镜像认证失败

从 Pending 到 Running 的必要条件

成功调度到节点：Scheduler 找到符合条件的节点
镜像拉取完成：所有容器镜像成功下载到节点
容器创建成功：容器运行时成功启动所有容器

6.4 异常状态处理：Failed、Unknown 等状态的排查方向

Failed 状态

排查方向：
- 容器启动命令错误（查看日志 kubectl logs）
- 资源限制导致 OOM（查看事件 kubectl describe pod）
- 依赖服务未就绪（检查应用日志与配置）

Unknown 状态

排查方向：
- 节点通信问题（检查节点网络连接）
- kubelet 服务异常（登录节点检查 kubelet 状态）
- API Server 与节点间通信故障（检查控制平面组件状态）

CrashLoopBackoff 状态

排查方向：
- 应用程序逻辑错误（查看崩溃日志 kubectl logs --previous）
- 配置错误（如环境变量缺失、配置文件路径错误）
- 健康检查失败（调整探针参数或修复应用健康状态）

七、Pod 故障排除：从状态分析到问题解决的实战指南

7.1 排查基本流程：日志查看与状态诊断

1. 查看 Pod 基本状态

bash

kubectl get pods -n <命名空间>
# 重点关注 READY、STATUS、RESTARTS 列

2. 获取详细事件信息

bash

kubectl describe pod <pod-name> -n <命名空间>
# 查看 Events 部分，获取关键错误信息

3. 查看容器日志

bash

# 查看当前日志
kubectl logs <pod-name> -n <命名空间>
# 查看指定容器日志
kubectl logs <pod-name> -n <命名空间> -c <container-name>
# 查看之前的崩溃日志
kubectl logs <pod-name> -n <命名空间> --previous

4. 进入容器调试

bash

kubectl exec -it <pod-name> -n <命名空间> -- bash
# 在容器内执行命令，检查环境与应用状态

7.2 常见状态故障：Pending、ImagePullBackOff 等问题解决

Pending 状态解决流程

检查调度状态：

bash

kubectl describe pod <pod-name>
# 查看 Events 中是否有调度相关事件（如 FailedScheduling）

资源不足排查：

bash

kubectl get nodes -o wide
kubectl describe node <node-name>
# 检查节点 CPU、内存、Pod 数量限制等资源

PVC 绑定问题：

bash

kubectl get pvc -n <namespace>
kubectl describe pvc <pvc-name>
# 查看 PVC 是否绑定，存储类配置是否正确

ImagePullBackOff 状态解决流程

检查镜像名称与标签：

bash

# 查看 Pod 配置中的镜像名称
kubectl get pod <pod-name> -o yaml | grep image
# 手动尝试拉取镜像
docker pull <image-name>

私有镜像认证问题：

bash

# 查看是否配置了 imagePullSecrets
kubectl get pod <pod-name> -o yaml | grep imagePullSecrets
# 检查 secret 是否存在且包含正确的认证信息
kubectl get secret <secret-name> -o yaml

网络连通性问题：

bash

# 在节点上测试访问镜像仓库
curl <registry-url>
# 检查节点网络策略与防火墙配置

7.3 容器启动失败：CrashLoopBackoff 问题深度分析

常见原因与解决方案

应用程序错误：
- 现象：容器启动后立即崩溃，日志显示异常堆栈
- 解决：修复应用代码，确保可正常启动
配置错误：
- 现象：日志显示配置文件缺失或格式错误
- 解决：检查容器内配置文件路径，确保配置正确
资源限制问题：
- 现象：日志显示 OOMKilled，事件中出现 memory limit 相关信息
- 解决：增加资源请求与限制，或优化应用内存使用
依赖服务未就绪：
- 现象：应用尝试连接外部服务失败，日志显示连接超时
- 解决：添加启动延迟，或使用就绪探针等待依赖服务可用

实战案例：Node.js 应用 CrashLoopBackoff

bash

# 查看日志
kubectl logs my-node-app
# 输出：Error: ECONNREFUSED 127.0.0.1:27017

# 分析：应用尝试连接本地 MongoDB 服务但失败
# 解决：确保 MongoDB 服务已启动，或修改连接字符串为正确的服务地址

7.4 资源与网络问题：OOMKilled 与网络配置故障排查

OOMKilled 问题排查

查看事件与日志：

bash

kubectl describe pod <pod-name>
# 查看 Events 中是否有 OOMKilled 记录
kubectl logs <pod-name> --previous
# 查看崩溃前的日志，是否有内存异常使用记录

检查资源配置：

bash

kubectl get pod <pod-name> -o yaml | grep -A 10 resources
# 查看 requests 和 limits 配置是否合理

优化建议：
- 增加 memory 请求值，确保应用有足够内存
- 启用内存资源监控，分析实际内存使用模式
- 优化应用代码，减少内存占用

网络配置故障排查

Pod 内部网络检查：

bash

kubectl exec -it <pod-name> -- bash
ping 127.0.0.1  # 检查本地环回
ping <集群 IP>  # 检查集群内部通信

外部网络访问检查：

bash

# 在 Pod 内访问外部网站
curl https://www.baidu.com
# 在节点上检查网络策略
iptables -L -n

CNI 插件故障排查：

bash

# 检查节点上 CNI 插件状态
systemctl status kubelet
journalctl -u kubelet | grep CNI
# 查看 CNI 插件日志（如 calico、flannel）

八、实战案例：多容器 Pod 与复杂场景配置

8.1 Web 应用案例：Nginx 与 PHP-FPM 协同部署

应用架构说明

Nginx 容器：负责处理 HTTP 请求，静态资源响应
PHP-FPM 容器：处理动态 PHP 脚本，生成动态内容
共享存储卷：存储上传文件与缓存数据

YAML 配置文件

yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx-php
  labels:
    app: nginx-php
spec:
  containers:
  - name: nginx
    image: nginx:1.21
    ports:
    - containerPort: 80
    volumeMounts:
    - name: www-data
      mountPath: /usr/share/nginx/html
    - name: nginx-conf
      mountPath: /etc/nginx/conf.d
  - name: php-fpm
    image: php:7.4-fpm
    ports:
    - containerPort: 9000
    volumeMounts:
    - name: www-data
      mountPath: /var/www/html
  volumes:
  - name: www-data
    emptyDir: {}
  - name: nginx-conf
    configMap:
      name: nginx-config

Nginx 配置 ConfigMap

yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-config
data:
  app.conf: |
    server {
        listen 80;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index.php index.html index.htm;
        }

        location ~ \.php$ {
            fastcgi_pass php-fpm:9000;
            fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
            include fastcgi_params;
        }
    }

8.2 数据服务案例：Redis 与应用容器的数据共享

应用场景

应用容器：运行 Web 应用，需要缓存数据
Redis 容器：提供缓存服务，存储会话数据与临时缓存
共享存储卷：确保 Redis 数据持久化，避免容器重启导致数据丢失

YAML 配置文件

yaml

apiVersion: v1
kind: Pod
metadata:
  name: redis-app
  labels:
    app: redis-app
spec:
  containers:
  - name: web-app
    image: my-web-app:v1
    ports:
    - containerPort: 8080
    env:
    - name: REDIS_HOST
      value: "127.0.0.1"
    - name: REDIS_PORT
      value: "6379"
  - name: redis
    image: redis:6.2
    ports:
    - containerPort: 6379
    volumeMounts:
    - name: redis-data
      mountPath: /data
    command: ["redis-server", "--appendonly", "yes"]
  volumes:
  - name: redis-data
    persistentVolumeClaim:
      claimName: redis-pvc

持久化存储配置

yaml

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: redis-pvc
spec:
  accessModes:
  - ReadWriteOnce
  resources:
    requests:
      storage: 10Gi
  storageClassName: standard

8.3 微服务案例：多容器间的服务发现与通信

服务架构

用户服务容器：处理用户相关业务逻辑
订单服务容器：处理订单相关业务逻辑
服务发现机制：通过 Kubernetes 服务注册与发现

YAML 配置文件（用户服务部分）

yaml

apiVersion: v1
kind: Pod
metadata:
  name: user-service
  labels:
    app: user-service
    service: user
spec:
  containers:
  - name: user-app
    image: user-service:v1
    ports:
    - containerPort: 8081
    env:
    - name: ORDER_SERVICE_HOST
      value: "order-service"
    - name: ORDER_SERVICE_PORT
      value: "8082"

服务定义（订单服务）

yaml

apiVersion: v1
kind: Service
metadata:
  name: order-service
spec:
  selector:
    app: order-service
  ports:
  - protocol: TCP
    port: 8082
    targetPort: 8082

服务发现实现

java

// 用户服务中调用订单服务的代码示例
String orderServiceUrl = "http://" + System.getenv("ORDER_SERVICE_HOST") + 
                        ":" + System.getenv("ORDER_SERVICE_PORT") + 
                        "/api/orders";
Response response = restTemplate.getForObject(orderServiceUrl, OrderResponse.class);

总结：Pod 在 Kubernetes 中的核心价值与实践建议

Pod 的核心价值总结

应用抽象单元：将多个相关容器封装为统一的部署单元，简化微服务架构的部署与管理
资源共享机制：提供网络、存储等资源的共享能力，实现容器间高效协作
生命周期管理：通过探针、重启策略等机制保障应用的可靠性与可用性
运行时抽象：屏蔽底层容器运行时差异，实现跨平台的应用部署能力

实践建议

多容器设计原则：
- 仅将紧密相关、需要直接共享资源的容器放入同一 Pod
- 遵循 “一个主容器 + 多个辅助容器（Sidecar）” 的设计模式
探针配置最佳实践：
- 为关键应用同时配置存活探针与就绪探针
- 根据应用启动时间合理设置 initialDelaySeconds
- 对启动缓慢的应用添加启动探针
资源配置建议：
- 为所有容器设置合理的 requests 与 limits
- 内存资源配置遵循 “请求值>= 应用正常运行内存，限制值 >= 请求值”
- 对计算密集型应用合理设置 CPU 限制
故障排查流程：
- 先通过 kubectl get pods 查看基本状态
- 再使用 kubectl describe pod 获取详细事件
- 最后通过日志与容器内调试定位具体问题