第二预选比较奇怪，为什么需要假设抢占者不在node上呢，这是因为删除牺牲者操作，实际是调用了标准的DELETE API进行操作的，这是一个"优雅关闭"的操作,所以存在默认30S的退出时间，而30S内，可能会有很多变故，比如再重新调度的时候，Node服务器挂了或者有更加高优先级的pod需要抢占这个node，这些都导致了重新调度的失败，所以说，抢占者不一定会调度到对应的node上。调度器在进行节点选择

Init Container就是用来做初始化工作的容器，可以是一个或者多个，如果有多个的话，这些容器会按定义的顺序依次执行，只有所有的Init Container执行完后，主容器才会被启动。一个Pod里面的所有容器是共享数据卷和网络命名空间的，所以Init Container里面产生的数据可以被主容器使用到的。

上面介绍的PV和PVC模式都是需要先创建好PV，然后定义好PVC和pv进行一对一的Bond，但是如果PVC请求成千上万，那么就需要创建成千上万的PV，对于运维人员来说维护成本很高，Kubernetes提供一种自动创建PV的机制，叫，它的作用就是创建PV的模板。k8s集群管理员通过创建storageclass可以动态生成一个存储卷pv供k8s pvc使用。每个StorageClass都包含字段pro

无固定比例，需结合集群规模、工作负载及监控数据动态规划。小型集群可轻量配置，中大型需HA及独立etcd，超大规模建议托管方案。定期性能调优是关键。存。- 可单master，无需HA，etcd可与master共置（但建议SSD磁盘）。中型集群（10-50 nodes）Master：4-8核CPU，8-16GB内存。建议HA部署（3 masters），etcd独立部署并使用SSD。大型集群（50+ n

ansible是新出现的自动化运维工具，基于python开发，集合了很多的运维工具（puppet、chef、func、fabric）的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能。ansible是基于paramiko开发的，并且基于模块化工作，它本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块，ansible只是提供一种框架，ansible不需要在远程主机上安装

在有的时候play的结果依赖于变量、fact或者是前一个任务的执行结果，或者有的时候，我们会基于上一个task执行返回的结果而决定如何执行后续的task。这个时候就需要用到条件判断。在目标主机上定义了一个硬限制，比如目标主机的最小内存必须达到多少，才能执行该task捕获一个命令的输出，根据命令输出结果的不同以触发不同的task根据不同目标主机的facts，以定义不同的task根据目标机的cpu的大

【代码】10、Ansible 生产级故障排查与运维最佳实践。

所有密码、密钥、token 都用 Vault 加密。写入：2. 编辑加密文件3. 运行 playbook 时指定 vault或使用 vault 密码文件（权限设为 0600）。六、执行权限最小化不要全程用 rootsudo 权限最小化不要给 NOPASSWD:ALL，只授权必要命令。安全加固配置案例（可直接用于生产环境）

playbook是ansible用于配置，部署和管理托管主机剧本，通过playbook的详细描述，执行其中一系列tasks，可以让远程主机达到预期状态，也可以说，playbook字面意思是剧本，现实中由演员按剧本表演，在ansible中由计算机进行安装，部署应用，提供对外服务，以及组织计算机处理各种各样的事情。ansible使用playbook来管理自动化task，playbook是yaml格式的

在 PlayBook中，将 PlayBook 类比成了 linux 中的shell。那么它作为一门 ansible 特殊的语言，肯定要涉及到变量定义、控制结构的使用等特性。