通过镜像封装应用及其依赖环境

利用Linux Namespace和Cgroups实现进程级隔离

支持“一次构建，到处运行”

镜像仓库（如Docker Hub）用于分发镜像

容器运行时（Docker Engine）负责管理容器生命周期

Open Container Initiative定义容器运行时标准（如`runC`）

确保不同容器引擎兼容性

Docker自1.11版本起拆分出`containerd`和`runC`，遵循OCI标准

解决大规模容器的调度、扩缩容、故障恢复问题

Kubernetes通过声明式API和控制器模型实现自动化管理

API Server

Scheduler

Controller Manager

etcd

kubelet

kube-proxy

容器运行时

最小调度单元，封装一个或多个容器，共享网络（Network Namespace）和存储资源

可包含主容器和Sidecar容器（如日志收集器）

为Pod提供固定访问端点，通过标签选择器关联后端Pod，支持ClusterIP、NodePort等类型

Deployment

StatefulSet

DaemonSet

通过CNI插件（如Flannel、Calico）实现跨节点通信，要求Pod间直接互通（无NAT）

ClusterIP为虚拟IP，由kube-proxy在节点上设置转发规则

NodePort通过节点端口暴露服务到外部

CoreDNS为Service和Pod提供域名解析，格式如`service-name.namespace.svc.cluster.local`

禁用Swap（避免性能影响）

配置iptables允许集群通信

同步节点时间

`kubeadm init`生成CA证书、API Server配置、静态Pod清单，并启动CoreDNS和kubeproxy附件

`kubeadm join`通过Token和CA证书哈希值认证节点身份，加入控制平面

`get`：查看资源状态（如`kubectl get pods`）

`describe`：获取资源详细信息（如事件、配置）

`logs`：查看容器日志（支持多容器时用`-c`指定容器名）

Flannel通过VXLAN实现Overlay网络，Calico基于BGP实现三层路由和网络策略

`apiVersion`指定API群组版本（如`apps/v1`）

`kind`为资源类型（如Deployment）

`metadata`包含名称、标签

`spec`定义期望状态

命令式：直接执行命令（如`kubectl create`），不保存配置历史

声明式：通过`kubectl apply`应用YAML文件，支持版本控制和增量更新

核心资源：如Pod、Service、Namespace，属于`api/v1`群组

扩展资源：如Deployment（属于`apps/v1`）、Ingress（属于`networkingk8s.io/v1`）

自定义资源（CRD）：通过 apiextensions.k8s.io 扩展API，用于管理特定领域资源（如数据库实例）

Kubernetes定期废弃旧版本API（如extensions/v1beta1），推荐使用稳定版本（如apps/v1）

逻辑隔离资源，用于多租户或环境划分（如开发、生产），资源名称在命名空间内唯一

等值匹配：如`app=web`，匹配标签键值相等的资源

集合匹配：如`tier infrontend, backend)`，匹配标签值属于集合的资源

`Ready`：节点正常运行，可调度Pod

`NotReady`：节点故障或网络不通，无法调度新Pod

`Unknown`：API Server无法获取节点状态（如kubelet失联）

`cordon`：标记节点不可调度，用于维护（仍允许现有Pod运行）

`drain`：排空节点，驱逐Pod到其他节点，用于升级

`uncordon`：取消节点不可调度标记，恢复调度

`Pending`：已创建但未调度或镜像下载中

`Running`：已调度到节点，容器正在运行

`Succeeded`：所有容器成功终止（适用于Job任务）

`postStart`：容器启动后执行一次（如初始化配置）

`preStop`：容器终止前执行（如优雅关闭服务）

主容器与辅助容器协同，共享存储卷，如Web服务器+日志收集器

在主容器启动前执行，用于依赖检查或配置生成（如等待数据库就绪）

定期检测容器是否存活，失败时重启容器，支持Exec、HTTPGet、TCP方式

检测容器是否准备好处理请求，未通过时从Service端点移除

`emptyDir`：Pod内临时存储，随Pod删除而清空，用于缓存数据

`gitRepo`：初始化时克隆Git仓库到卷中，适用于配置文件拉取

`hostPath`：挂载节点本地路径，需注意节点间数据不一致，适用于单节点场景

`PV（PersistentVolume）`：集群级存储资源，可静态预配或动态供给

`PVC（PersistentVolumeClaim）`：用户申请的存储声明，通过标签匹配PV

`Role`：命名空间内的权限集合（如读取Pod的权限）

`ClusterRole`：集群级权限集合（如管理节点的权限）

`RoleBinding/ClusterRoleBinding`：将角色绑定到用户或组

`ValidatingWebhook`：验证资源创建/更新请求的合法性

`MutatingWebhook`：修改资源请求（如自动注入Sidecar）

硬策略（requiredDuringSchedulingIgnoredDuringExecution）：必须满足条件才调度

软策略（preferredDuringSchedulingIgnoredDuringExecution）：优先满足条件

污点：节点标记拒绝特定Pod调度（如`node-role.kubernetes.io/master:NoSchedule`）

容忍：Pod声明可接受的污点，允许调度到对应节点

`requests`：容器运行所需的最小资源（如CPU 100m、内存50Mi）

`limits`：容器可使用的最大资源，防止资源滥用

Guaranteed：资源请求等于限制，适用于关键应用

Burstable：有请求但无限制，允许突发使用资源

BestEffort：无请求和限制，资源竞争时优先被驱逐

Elasticsearch：存储和检索日志

Fluentd：收集各节点日志，过滤后发送到Elasticsearch

Kibana：可视化日志查询和分析

Pilot：管理Envoy的路由规则和服务发现

Mixer：负责策略执行和遥测数据收集

使用StatefulSet部署MySQL，确保数据持久化和顺序启动

通过Ingress暴露Nginx服务，配置域名路由和TLS终止

集成Jenkins和Argo CD实现代码自动构建和部署

金丝雀发布：通过Istio的VirtualService和DestinationRule路由部分流量到新版本Pod

mTLS认证：服务间通信使用双向TLS，增强安全性