两台设备并不是用两条网线连接的，而是通过很多网关、路由器、交换机等众多网络设备连接的，当数据包到达一个节点是，需要用路由算法决定下一步去哪。以太网在判断目的地时与IP的方式不同，必须用相匹配的方式，MAC地址就是干这个用的。应用层不关心用户是怎么传输的，当两个设备间的应用需要通信时，应用就把数据传给传输层。最常用的是IP协议，IP协议将传输层的报文作为数据部分，再加上IP包头组成IP报文。网络接口

首先在master节点安装ansible-navigator(适用于。

如果内存满了，将一部分数据放到了硬盘，让scheduler误认为该节点资源空闲，放置更多的pod运行，导致部分pod性能极差，不利于负载均衡。因为一个集群中有很多应用，首先可能会发生命名冲突，其次，如果一个应用用了很多资源，其他应用跑不起来，资源没办法精细控制。每个节点的代理，听kube-api-server的指挥，创建管理pod和容器，并将状态报告给api server。启动、停止、管理容器，支

Kubеrnеtеѕ kubе-арiѕеrvеr在解析匿名请求与Wеbhооk令牌认证链的交互过程中存在逻辑缺陷,攻击者可在无需任何集群凭据的情况下构造包含恶意Authоrizаtiоn:Bеаrеr头与空匿名用户的请求绕过正常的TоkеnRеviеԝ校验最终被系统误判为已认证身份。2.使用OPA Gаtеkеереr或Kуvеrnо添加策略,禁止匿名用户创建/更新特权Pоd与ѕесrеt。在所

采用 ​​Ubuntu 作为我们的操作系统。

源放在不同的 namespace 中，来实现资源隔离的目的。在 Linux 系统中，namespace 是在内核级别以一种抽象的形式来封装系统资源的，通过将系统资。新 ns 集合，并在其中启动一个 Bash shell，实现资源隔离，这是 Linux 容器技术的基础之。可以发现，除了挂载点之外的网络、进程等资源在“模拟容器”中都能看到，这些资源没有隔离。以 user1 用户登录新的会话，运行一个名

Init 容器是一种特殊容器，在内的应用容器启动之前运行。Init 容器可以包括一些应用镜像中不存在的实用工具和安装脚本。可以在 Pod 的规约中与用来描述应用容器的containers数组平行的位置指定 Init 容器。

Kubernetes架构包含Master组件（API服务、etcd、调度器等）、Node节点（kubelet、kube-proxy等）和Cloud扩展模块。集群创建需先配置节点环境，包括关闭swap分区（避免磁盘I/O影响性能）和加载br_netfilter模块（确保节点内Pod通信）。关键组件kubeadm用于集群初始化，kubectl管理集群，kubelet维护节点容器生命周期。整个部署过程涉

二是提供了更上一层的抽象，每个数据库虽然都是遵循sql标准，但是各个语法都会有些许差别，假如你的系统从mysql迁移到oracle数据库，那写显式sql你就必须更改每一条语句。这个是java语法，就是数据库中有一个user表，表中有两个字段，id和name，我把这个表抽象成一个类，查询的时候输入用户名，用User.name的私有成员代替，避免字符串直接拼接。3. 就是从数据库角度进行防护，比如白名

默认情况下，如果某一任务失败，play 将中止，可以通过跳过失败的任务来覆盖此行为。：默认情况下，如果通知处理程序的任务失败，则该处理程序也会被跳过。有时，在任务更改系统时，可能需要运行进一步的任务。- always: 定义始终都独立运行的任务，不论 block 和 rescue 子句中定义的任务是成功还是失败。指定任务失败：任务本身可以成功，但希望基于某标准将任务标记为失败。将 failed_w