当default SA创建时，会自动创建一个default-token-xxx的secret，并自动关联到SA。当创建namespace时，会自动创建一个名为default的SA，这个SA没有绑定任何权限。无需单独为某个用户创建权限，统一为这个组名进行授权，所有的用户都可以以组的身份访问资源。测试：只要O字段都是dev，这些用户持有的kubeconfig文件都拥有相同的权限。Kubernetes的

在Kubernetes（K8s）中，Service和Ingress是两种不同的资源对象，它们的主要作用是为Pod提供统一的访问接口，并实现负载均衡和外部访问。一个电商网站的前端服务可以定义一个Service，通过LoadBalancer类型暴露给外部用户，这样用户访问这个前端服务时，实际请求会被分配到多个后端Pod上，实现负载均衡。通过定义一个Nginx Ingress控制器，可以将不同的URL路

客户想要访问K8s集群的API Server，一般需要证书、Token或用户名+密码。实际上是一个准入控制器插件列表，发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查。通过配置和管理准入控制器，可以确保所有进入Kubernetes集群的请求都经过严格的审查和验证。最后一步是准入控制插件，这些插件可以对即将持久化的资源进行检查、修改或拒绝。鉴权通过后，API Serve

以上四种调度方式在Kubernetes中广泛使用，可以满足不同场景下Pod的调度需求。：通过Taint使Node拒绝特定Pod的运行，通过Toleration使Pod可以容忍特定的Taint。：自动部署一个容器应用的多个副本，并持续监控和管理副本数量，确保在集群内始终维持用户指定的副本数量。：通过Node的标签和Pod的nodeSelector属性相匹配，将Pod调度到特定的Node上。：亲和性调

*managed-nfs-storage.storageclass.storage.k8s.io/requests.storage: "5G"**：特定存储类别下的PVC请求的存储总量不超过5GiB。**requests.storage: "10G"**：所有持久卷声明（PVC）请求的存储总量不超过10GiB。**requests.cpu: "4"**：所有Pod请求的CPU总和不超过4个核心。*

如果日志量不大且可以输出到stdout和stderr，可以选择第一种方式。当容器日志可以输出到某些文件时，可以通过一个Sidecar容器来读取这些日志文件，并将其重定向到stdout和stderr，然后再使用第一种方式将日志收集到Fluentd。这种方式是将Fluentd容器直接部署在Pod中，通过Sidecar容器将应用程序的日志直接发送到远端存储中，如Elasticsearch。这个示例通过一