就是:迭代查询是在同一个主体的基础上进行的,而递归查询每次都在变更查询主体.

我们的linux操作系统跟外部设备（如磁盘、光盘等）的通信都是通过设备文件进行的，应用程序可以打开、关闭、读写这些设备文件，从而对设备进行读写，这种操作就像读写普通的文件一样easy。默认的seccomp配置文件将根据所选的功能进行调整，以允许使用功能所允许的功能，所以从Docker1.12之后的版本，不应该对此进行调整。时，将允许Docker容器访问宿主机上的所有设备，并在AppArmor或SE

【代码】【Linux命令】2>&1 的使用方法。

参考K8s源码分析(5)-Resource Meta 序列化K8s源码分析(6)-Resource Content 序列化序列化1 | Resource Meta 序列化（相当于 GVK 部分）所有 resource 的基本定义 model（scheme部分已介绍），总结起来就是所有的 resource 都会通过继承的方式来继承 type meta 和 object meta 类型，通过组合成员变

接着，启动 processLoop 不断从 DeltaFIFO Pop 进行消费。通过上面的 Reflector 分析可以知道，DeltaFIFO 的职责是通过队列加锁处理(queueActionLocked)、去重(dedupDeltas)、存储在由 DeltaFIFO 实现的本地缓存(local Store) 中，包括 queue(仅存 objKeys) 和 items(存 objKeys 和

参考K8s源码分析(7)-序列化的codec和codec factoryK8s源码分析(8)-codec和codec factory的创建K8s源码分析(9)-codec的decode和encode操作内外部版本转换1 | 序列化的codec和codec factory之前介绍过 json 序列化，主要以 serializer.json.Serializer 组件做为例子，介绍了对于 json 协

这两个资源会在 pod 、 deployment、service 创建时校验，若不删除，会影响这些资源的创建。通过 WHITELIST_REGISTRIES 指定镜像白名单的配置。校验镜像的来源是否是白名单内，不在白名单内就阻断 pod 创建。目前在 webhook 中实现的逻辑是。

参考K8s源码分析(4)-Resource ModelResource Model在上一篇文章中我们主要介绍了 kubernetes 世界中的各种 resource 的 version，其中包括了资源的内部 internal version 和外部非 internal version，以及引入 internal version 来方便各种 resource 持续渐进演化的设计初衷。另外也从源码的角

参考K8s源码分析(3)-Resource Version内外部版本1 | 简介众所周知，在 kubernetes 中所有的 resource 都是基于 group 分组的，例如 apps group 中定义了我们熟悉并常用的 deployment， statefullset， daemonset 等 resource，rbac group 中定义了我们经常用到的 role， role bindi

前面我们只创建了 ServiceAccount，并赋予了权限，但是我们创建 Deployment 时，若没有携带这个 ServiceAccount，就会采用默认的 default ServiceAccount，导致没有权限创建（同时花费时间排错）