小小云计算，拿下！

小小云计算，拿下！

Docker是一个容器化平台，以容器的形式将我们的应用程序及其所有依赖项打包在一起，以确保我们的应用程序在任何环境中无缝运行，可以理解为一个应用打包、分发、部署的工具。我们也可以把它理解为一个轻量的虚拟机，Docker只虚拟我们的软件需要的运行环境，多余的一点都不要，而普通虚拟机则是一个完整而庞大的系统，包含各种不管我们要不要的软件。

随着越来越多的应用程序运行在容器里，各种容器安全事件也随之发生，例如攻击者可以通过容器应用获取容器控制权，利用失陷容器进行内网横向，并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯粹，当容器遭受攻击时，急需对可疑的容器进行入侵排查以确认是否已失陷，并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下，使用docker命令可以最大程度利用docker自身的特性，快速的获取相关

将三个master节点中两个文件中的 #- --port=0注释重启即可。如何解决kubeadm部署k8s集群中状态显示Unhealthy？kubeadm安装k8s的重启方法。方法一：通过脚本升级证书有效期。

每个Pod都有一个特殊的被称为“基础容器”的Pause容器。Pause容器对应的镜像属于Kubernetes平台的一部分，除了Pause容器，每个Pod还包含一个或者多个紧密相关的用户应用容器。Kubernetes中的pause容器为每个容器提供以下功能：在pod中担任linux命名空间（如网络命名空间）共享的基础启用PID命名空间，开启init进程。

Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的开源平台。它提供了一个可扩展的、高可用的集群，并包含了自动化部署、负载平衡、存储管理、自我修复、自动扩容等功能。

类似的，如果给容器设置了 CPU 的 limit 值但未设置 CPU 的 request 值，则 Kubernetes 自动为其设置 CPU 的 request 值 并使之与 CPU 的 limit 值匹配。当为 Pod 中的容器指定了 request 资源时，代表容器运行所需的最小资源量，调度器就使用该信息来决定将 Pod 调度到哪个节点上。可以以整数表示，或者以10为底数的指数的单位（E、P、

LoadBalancer和NodePort很相似，目的都是向外部暴露一个端口，区别在于LoadBalancer会在集群的外部再来做一个负载均衡设备，而这个设备需要外部云环境支持的，外部服务发送到这个设备上的请求，会被设备负载均衡转发到K8S集群中。例如Pod和Pod之间的通信，如果是Kubernetes集群外的请求访问是不行的。删除（重启）pod资源，由于存在deployment/rc之类的副本控

k8s是通过list-watch机制实现每个组件的协同工作controller-manager、scheduler、kubelet通过list-watch机制监听apiserver发出的事件，apiserver也会监听etcd发出的事件预选策略（predicate）：通过调度算法过滤掉不满足条件的node节点，如果没有满足条件的node节点，Pod会处于Pending状态，直到有符合条件的node