K8s node节点替换

K8s中，我们将应用跑在Pod里。多数情况下是一组Pod，用户如何访问这一组Pod，K8s提供了Service资源，来实现一组Pod的负载均衡。

将default命名空间携带app=web标签的Pod隔离，只允许default命名空间携带run=client标签的Pod访问80端口。default命名空间下所有pod可以互相访问，也可以访问其他命名空间Pod，但其他命名空间不能访问default命名空间Pod。网络策略（Network Policy），用于限制Pod出入流量，提供Pod级别和Namespace级别网络访问控制。

本地有一个1master2worker的k8s集群，今天启动VMware虚拟机之后发现api-server没有起来，docker一直退出，这个集群是使用kubeadm安装的。于是kubectl logs查看了日志，发现证书过期了。

在K8s中用Volume为容器提供了外部的存储能力。Pod需要设置卷来源（spec.volume）和挂载点（spec.containers.volumeMounts）两个信息后才可以使用相应的Volume。

前言说到K8s程序的生命周期管理我们不得不提到k8s的控制器。其中Deployment是最为常用的controllers，其他控制器还有DaemonSet、StatefulSet、Cronjon等。本篇我们以deployment为例来展开研究，其他控制器我们会逐一研究。

健康检查在K8s中以探针的形式来实现，包括3个探针，存活（Liveness）、就绪（Readiness）和启动（Startup）探针

要允许这些插件组件以超级用户权限运行，需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表，发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查，检查不通过，则拒绝请求。RBAC（Role-Based Access Contr

Kubernetes引入的网络模型提出了下列基本要求。只要满足了这些要求，即可成为一个K8s网络方案供应商。

在 k8s 集群中，如果我们将服务暴露出来，提供访问，可以使用Nodeport方式，但是Nodeport也有缺点，比如端口号用尽，只能支持4层的负载均衡。为了弥补Nodeport的不足，Ingress应运而生。