Kubernetes 常见面试题汇总

Kubernetes Interview Question Summary

Posted by BlueFat on Monday, January 18, 2021

Kubernetes 常见面试题汇总

  1. 简述 etcd 及其特点? 答:etcd 是 CoreOS 团队发起的开源项目,是一个管理配置信息和服务发现 (service discovery)的项目,它的目标是构建一个高可用的分布式键值(key-va- ue) 数据库,基于 Go 语言实现。 特点:
  • 简单:支持 REST 风格的 HTTP+JSON API
  • 安全:支持 HTTPS 方式的访问
  • 快速:支持并发 1k/s 的写操作
  • 可靠:支持分布式结构,基于 Raft 的一致性算法,Raft 是一套通过选举主节点来 实现分布式系统一致性的算法。
  1. 简述 etcd 适应的场景? 答:etcd 基于其优秀的特点,可广泛的应用于以下场景:
  • 服务发现(Service Discovery):服务发现主要解决在同一个分布式集群中的进程 或服务,要如何才能找到对方并建立连接。本质上来说,服务发现就是想要了解 集群中是否有进程在监听 udp 或 tcp 端口,并且通过名字就可以查找和连接。 - 消息发布与订阅:在分布式系统中,最适用的一种组件间通信方式就是消息发布 与订阅。即构建一个配置共享中心,数据提供者在这个配置中心发布消息,而消 息使用者则订阅他们关心的主题,一旦主题有消息发布,就会实时通知订阅者。

    通过这种方式可以做到分布式系统配置的集中式管理与动态更新。应用中用到的 一些配置信息放到 etcd 上进行集中管理。

  • 负载均衡:在分布式系统中,为了保证服务的高可用以及数据的一致性,通常都 会把数据和服务部署多份,以此达到对等服务,即使其中的某一个服务失效了, 也不影响使用。etcd 本身分布式架构存储的信息访问支持负载均衡。etcd 集群化 以后,每个 etcd 的核心节点都可以处理用户的请求。所以,把数据量小但是访问 频繁的消息数据直接存储到 etcd 中也可以实现负载均衡的效果。

  • 分布式通知与协调:与消息发布和订阅类似,都用到了 etcd 中的 Watcher 机制, 通过注册与异步通知机制,实现分布式环境下不同系统之间的通知与协调,从而 对数据变更做到实时处理。

  • 分布式锁:因为 etcd 使用 Raft 算法保持了数据的强一致性,某次操作存储到集 群中的值必然是全局一致的,所以很容易实现分布式锁。锁服务有两种使用方式, 一是保持独占,二是控制时序。

  • 集群监控与 - eader 竞选:通过 etcd 来进行监控实现起来非常简单并且实时性强。

  1. 简述什么是 Kubernetes? 答:Kubernetes 是一个全新的基于容器技术的分布式系统支撑平台。是 Goog- e 开源 的容器集群管理系统(谷歌内部:Borg)。在 Docker 技术的基础上,为容器化的应用 提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能,提高了大规模容 器集群管理的便捷性。并且具有完备的集群管理能力,多层次的安全防护和准入机制、 多租户应用支撑能力、透明的服务注册和发现机制、內建智能负载均衡器、强大的故

障发现和自我修复能力、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制 以及多粒度的资源配额管理能力。 4. 简述 Kubernetes 和 Docker 的关系? 答:Docker 提供容器的生命周期管理和,Docker 镜像构建运行时容器。它的主要优 点是将将软件/应用程序运行所需的设置和依赖项打包到一个容器中,从而实现了可移 植性等优点。 Kubernetes 用于关联和编排在多个主机上运行的容器。 5. 简述 Kubernetes 中什么是 Minikube、Kubect- 、Kube- et? 答: Minikube 是一种可以在本地轻松运行一个单节点 Kubernetes 群集的工具。 Kubect- 是一个命令行工具,可以使用该工具控制 Kubernetes 集群管理器,如检查 群集资源,创建、删除和更新组件,查看应用程序。 Kube- et 是一个代理服务,它在每个节点上运行,并使从服务器与主服务器通信。 6. 简述 Kubernetes 常见的部署方式? 答:常见的 Kubernetes 部署方式有:

  • kubeadm:也是推荐的一种部署方式; - 二进制:
  • minikube:在本地轻松运行一个单节点 Kubernetes 群集的工具。
  1. 简述 Kubernetes 如何实现集群管理? 答:在集群管理方面,Kubernetes 将集群中的机器划分为一个 Master 节点和一群工 作节点 Node。其中,在 Master 节点运行着集群管理相关的一组进程 kube- apiserver、kube-contro- - er-manager 和 kube-schedu- er,这些进程实现了整个集 群的资源管理、Pod 调度、弹性伸缩、安全控制、系统监控和纠错等管理能力,并且 都是全自动完成的。
  2. 简述 Kubernetes 的优势、适应场景及其特点? 答: Kubernetes 作为一个完备的分布式系统支撑平台,其主要优势:
  • 容器编排

  • 轻量级

  • 开源

  • 弹性伸缩

  • 负载均衡 Kubernetes 常见场景:

  • 快速部署应用

  • 快速扩展应用

  • 无缝对接新的应用功能

  • 节省资源,优化硬件资源的使用 Kubernetes 相关特点:

  • 可移植: 支持公有云、私有云、混合云、多重云(mu- ti-c- oud)。

  • 可扩展: 模块化,、插件化、可挂载、可组合。

  • 自动化: 自动部署、自动重启、自动复制、自动伸缩/扩展。

  1. 简述 Kubernetes 的缺点或当前的不足之处? Kubernetes 当前存在的缺点(不足)如下:
  • 安装过程和配置相对困难复杂。
  • 管理服务相对繁琐。
  • 运行和编译需要很多时间。
  • 它比其他替代品更昂贵。
  • 对于简单的应用程序来说,可能不需要涉及 Kubernetes 即可满足。
  1. 简述 Kubernetes 相关基础概念? 答:
  • master:k8s 集群的管理节点,负责管理集群,提供集群的资源数据访问入口。 拥有 Etcd 存储服务(可选),运行 Api Server 进程,Contro- - er Manager 服务 进程及 Schedu- er 服务进程。
  • node(worker):Node(worker)是 Kubernetes 集群架构中运行 Pod 的服 务节点,是 Kubernetes 集群操作的单元,用来承载被分配 Pod 的运行,是 Pod 运行的宿主机。运行 docker eninge 服务,守护进程 kune- et 及负载均衡器 kube-proxy。
  • pod:运行于 Node 节点上,若干相关容器的组合。Pod 内包含的容器运行在同 一宿主机上,使用相同的网络命名空间、IP 地址和端口,能够通过 - oca- host 进

行通信。Pod 是 Kurbernetes 进行创建、调度和管理的最小单位,它提供了比容 器更高层次的抽象,使得部署和管理更加灵活。一个 Pod 可以包含一个容器或者 多个相关容器。

    • abe- :Kubernetes 中的 - abe- 实质是一系列的 Key/Va- ue 键值对,其中 key 与 va- ue 可自定义。- abe- 可以附加到各种资源对象上,如 Node、Pod、Service、 RC 等。一个资源对象可以定义任意数量的 - abe- ,同一个 - abe- 也可以被添加到 任意数量的资源对象上去。Kubernetes 通过 - abe- Se- ector(标签选择器)查询 和筛选资源对象。
  • Rep- ication Contro- - er:Rep- ication Contro- - er 用来管理 Pod 的副本,保证集 群中存在指定数量的 Pod 副本。集群中副本的数量大于指定数量,则会停止指定 数量之外的多余容器数量。反之,则会启动少于指定数量个数的容器,保证数量 不变。Rep- ication Contro- - er 是实现弹性伸缩、动态扩容和滚动升级的核心。

  • Dep- oyment:Dep- oyment 在内部使用了 RS 来实现目的,Dep- oyment 相当 于 RC 的一次升级,其最大的特色为可以随时获知当前 Pod 的部署进度。

  • HPA(Horizonta- Pod Autosca- er):Pod 的横向自动扩容,也是 Kubernetes 的一种资源,通过追踪分析 RC 控制的所有 Pod 目标的负载变化情况,来确定是 否需要针对性的调整 Pod 副本数量。

  • Service:Service 定义了 Pod 的逻辑集合和访问该集合的策略,是真实服务的抽 象。Service 提供了一个统一的服务访问入口以及服务代理和发现机制,关联多个 相同 - abe- 的 Pod,用户不需要了解后台 Pod 是如何运行。

  • Vo- ume:Vo- ume 是 Pod 中能够被多个容器访问的共享目录,Kubernetes 中的 Vo- ume 是定义在 Pod 上,可以被一个或多个 Pod 中的容器挂载到某个目录下。

  • Namespace:Namespace 用于实现多租户的资源隔离,可将集群内部的资源对 象分配到不同的 Namespace 中,形成逻辑上的不同项目、小组或用户组,便于 不同的 Namespace 在共享使用整个集群的资源的同时还能被分别管理。

  1. 简述 Kubernetes 集群相关组件? 答:Kubernetes Master 控制组件,调度管理整个系统(集群),包含如下组件:
  • Kubernetes API Server:作为 Kubernetes 系统的入口,其封装了核心对象的增 删改查操作,以 RESTfu- API 接口方式提供给外部客户和内部组件调用,集群内 各个功能模块之间数据交互和通信的中心枢纽。

  • Kubernetes Schedu- er:为新建立的 Pod 进行节点(node)选择(即分配机器),负 责集群的资源调度。

  • Kubernetes Contro- - er:负责执行各种控制器,目前已经提供了很多控制器来保 证 Kubernetes 的正常运行。

  • Rep- ication Contro- - er:管理维护 Rep- ication Contro- - er,关联 Rep- ication Contro- - er 和 Pod,保证 Rep- ication Contro- - er 定义的副本数量与实际运行 Pod 数量一致。

  • Node Contro- - er:管理维护 Node,定期检查 Node 的健康状态,标识出(失效| 未失效)的 Node 节点。

  • Namespace Contro- - er:管理维护 Namespace,定期清理无效的 Namespace, 包括 Namesapce 下的 API 对象,比如 Pod、Service 等。

  • Service Contro- - er:管理维护 Service,提供负载以及服务代理。

  • EndPoints Contro- - er:管理维护 Endpoints,关联 Service 和 Pod,创建 Endpoints 为 Service 的后端,当 Pod 发生变化时,实时更新 Endpoints。

  • Service Account Contro- - er:管理维护 Service Account,为每个 Namespace 创建默认的 Service Account,同时为 Service Account 创建 Service Account Secret。

  • Persistent Vo- ume Contro- - er:管理维护 Persistent Vo- ume 和 Persistent Vo- ume C- aim,为新的 Persistent Vo- ume C- aim 分配 Persistent Vo- ume 进 行绑定,为释放的 Persistent Vo- ume 执行清理回收。

  • Daemon Set Contro- - er:管理维护 Daemon Set,负责创建 Daemon Pod,保 证指定的 Node 上正常的运行 Daemon Pod。

  • Dep- oyment Contro- - er:管理维护 Dep- oyment,关联 Dep- oyment 和 Rep- ication Contro- - er,保证运行指定数量的 Pod。当 Dep- oyment 更新时, 控制实现 Rep- ication Contro- - er 和 Pod 的更新。

  • Job Contro- - er:管理维护 Job,为 Jod 创建一次性任务 Pod,保证完成 Job 指 定完成的任务数目

  • Pod Autosca- er Contro- - er:实现 Pod 的自动伸缩,定时获取监控数据,进行策 略匹配,当满足条件时执行 Pod 的伸缩动作。

  1. 简述 Kubernetes RC 的机制? 答:Rep- ication Contro- - er 用来管理 Pod 的副本,保证集群中存在指定数量的 Pod 副本。当定义了 RC 并提交至 Kubernetes 集群中之后,Master 节点上的 Contro- - er Manager 组件获悉,并同时巡检系统中当前存活的目标 Pod,并确保目标 Pod 实例

的数量刚好等于此 RC 的期望值,若存在过多的 Pod 副本在运行,系统会停止一些 Pod,反之则自动创建一些 Pod。 13. 简述 Kubernetes Rep- ica Set 和 Rep- ication Contro- - er 之间有什么区别? 答:Rep- ica Set 和 Rep- ication Contro- - er 类似,都是确保在任何给定时间运行指定 数量的 Pod 副本。不同之处在于 RS 使用基于集合的选择器,而 Rep- ication Contro- - er 使用基于权限的选择器。 14. 简述 kube-proxy 作用? 答:kube-proxy 运行在所有节点上,它监听 apiserver 中 service 和 endpoint 的变 化情况,创建路由规则以提供服务 IP 和负载均衡功能。简单理解此进程是 Service 的 透明代理兼负载均衡器,其核心功能是将到某个 Service 的访问请求转发到后端的多 个 Pod 实例上。 15. 简述 kube-proxy iptab- es 原理? 答:Kubernetes 从 1.2 版本开始,将 iptab- es 作为 kube-proxy 的默认模式。 iptab- es 模式下的 kube-proxy 不再起到 Proxy 的作用,其核心功能:通过 API Server 的 Watch 接口实时跟踪 Service 与 Endpoint 的变更信息,并更新对应的 iptab- es 规则,C- ient 的请求流量则通过 iptab- es 的 NAT 机制“直接路由”到目标 Pod。 16. 简述 kube-proxy ipvs 原理?

答:IPVS 在 Kubernetes1.11 中升级为 GA 稳定版。IPVS 则专门用于高性能负载均衡, 并使用更高效的数据结构(Hash 表),允许几乎无限的规模扩张,因此被 kube- proxy 采纳为最新模式。 在 IPVS 模式下,使用 iptab- es 的扩展 ipset,而不是直接调用 iptab- es 来生成规则 链。iptab- es 规则链是一个线性的数据结构,ipset 则引入了带索引的数据结构,因此 当规则很多时,也可以很高效地查找和匹配。 可以将 ipset 简单理解为一个 IP(段)的集合,这个集合的内容可以是 IP 地址、IP 网 段、端口等,iptab- es 可以直接添加规则对这个“可变的集合”进行操作,这样做的 好处在于可以大大减少 iptab- es 规则的数量,从而减少性能损耗。 17. 简述 kube-proxy ipvs 和 iptab- es 的异同? 答:iptab- es 与 IPVS 都是基于 Netfi- ter 实现的,但因为定位不同,二者有着本质的 差别:iptab- es 是为防火墙而设计的;IPVS 则专门用于高性能负载均衡,并使用更高 效的数据结构(Hash 表),允许几乎无限的规模扩张。 与 iptab- es 相比,IPVS 拥有以下明显优势:

  • 1、为大型集群提供了更好的可扩展性和性能;
  • 2、支持比 iptab- es 更复杂的复制均衡算法(最小负载、最少连接、加权等); - 3、支持服务器健康检查和连接重试等功能;
  • 4、可以动态修改 ipset 的集合,即使 iptab- es 的规则正在使用这个集合。
  1. 简述 Kubernetes 中什么是静态 Pod?

答:静态 pod 是由 kube- et 进行管理的仅存在于特定 Node 的 Pod 上,他们不能通 过 API Server 进行管理,无法与 Rep- icationContro- - er、Dep- oyment 或者 DaemonSet 进行关联,并且 kube- et 无法对他们进行健康检查。静态 Pod 总是由 kube- et 进行创建,并且总是在 kube- et 所在的 Node 上运行。 19. 简述 Kubernetes 中 Pod 可能位于的状态? 答:

  • Pending:API Server 已经创建该 Pod,且 Pod 内还有一个或多个容器的镜像没 有创建,包括正在下载镜像的过程。
  • Running:Pod 内所有容器均已创建,且至少有一个容器处于运行状态、正在启 动状态或正在重启状态。
  • Succeeded:Pod 内所有容器均成功执行退出,且不会重启。
  • Fai- ed:Pod 内所有容器均已退出,但至少有一个容器退出为失败状态。
  • Unknown:由于某种原因无法获取该 Pod 状态,可能由于网络通信不畅导致。
  1. 简述 Kubernetes 创建一个 Pod 的主要流程? 答:Kubernetes 中创建一个 Pod 涉及多个组件之间联动,主要流程如下:
  • 1、客户端提交 Pod 的配置信息(可以是 yam- 文件定义的信息)到 kube- apiserver。

  • 2、Apiserver 收到指令后,通知给 contro- - er-manager 创建一个资源对象。 - 3、Contro- - er-manager 通过 api-server 将 pod 的配置信息存储到 ETCD 数据 中心中。

  • 4、Kube-schedu- er 检测到 pod 信息会开始调度预选,会先过滤掉不符合 Pod 资源配置要求的节点,然后开始调度调优,主要是挑选出更适合运行 pod 的节点, 然后将 pod 的资源配置单发送到 node 节点上的 kube- et 组件上。

  • 5、Kube- et 根据 schedu- er 发来的资源配置单运行 pod,运行成功后,将 pod 的运行信息返回给 schedu- er,schedu- er 将返回的 pod 运行状况的信息存储到 etcd 数据中心。

  1. 简述 Kubernetes 中 Pod 的重启策略? 答:Pod 重启策略(RestartPo- icy)应用于 Pod 内的所有容器,并且仅在 Pod 所处 的 Node 上由 kube- et 进行判断和重启操作。当某个容器异常退出或者健康检查失败 时,kube- et 将根据 RestartPo- icy 的设置来进行相应操作。 Pod 的重启策略包括 A- ways、OnFai- ure 和 Never,默认值为 A- ways。
  • A- ways:当容器失效时,由 kube- et 自动重启该容器;
  • OnFai- ure:当容器终止运行且退出码不为 0 时,由 kube- et 自动重启该容器;
  • Never:不论容器运行状态如何,kube- et 都不会重启该容器。 同时 Pod 的重启策略与控制方式关联,当前可用于管理 Pod 的控制器包括 Rep- icationContro- - er、Job、DaemonSet 及直接管理 kube- et 管理(静态 Pod)。 不同控制器的重启策略限制如下:
  • RC 和 DaemonSet:必须设置为 A- ways,需要保证该容器持续运行;
  • Job:OnFai- ure 或 Never,确保容器执行完成后不再重启;
  • kube- et:在 Pod 失效时重启,不论将 RestartPo- icy 设置为何值,也不会对 Pod 进行健康检查。
  1. 简述 Kubernetes 中 Pod 的健康检查方式? 答:对 Pod 的健康检查可以通过两类探针来检查:- ivenessProbe 和 ReadinessProbe。
    • ivenessProbe 探针:用于判断容器是否存活(running 状态),如果
  • ivenessProbe 探针探测到容器不健康,则 kube- et 将杀掉该容器,并根据容器 的重启策略做相应处理。若一个容器不包含 - ivenessProbe 探针,kube- et 认为 该容器的 - ivenessProbe 探针返回值用于是“Success”。
  • ReadineeProbe 探针:用于判断容器是否启动完成(ready 状态)。如果 ReadinessProbe 探针探测到失败,则 Pod 的状态将被修改。Endpoint Contro- - er 将从 Service 的 Endpoint 中删除包含该容器所在 Pod 的 Eenpoint。
  • startupProbe 探针:启动检查机制,应用一些启动缓慢的业务,避免业务长时间 启动而被上面两类探针 ki- - 掉。
  1. 简述 Kubernetes Pod 的 - ivenessProbe 探针的常见方式? 答:kube- et 定期执行 - ivenessProbe 探针来诊断容器的健康状态,通常有以下三种 方式:
  • ExecAction:在容器内执行一个命令,若返回码为 0,则表明容器健康。
  • TCPSocketAction:通过容器的 IP 地址和端口号执行 TCP 检查,若能建立 TCP 连接,则表明容器健康。
  • HTTPGetAction:通过容器的 IP 地址、端口号及路径调用 HTTP Get 方法,若响 应的状态码大于等于 200 且小于 400,则表明容器健康。
  1. 简述 Kubernetes Pod 的常见调度方式? 答:Kubernetes 中,Pod 通常是容器的载体,主要有如下常见调度方式:
  • Dep- oyment 或 RC:该调度策略主要功能就是自动部署一个容器应用的多份副本, 以及持续监控副本的数量,在集群内始终维持用户指定的副本数量。
  • NodeSe- ector:定向调度,当需要手动指定将 Pod 调度到特定 Node 上,可以 通过 Node 的标签(- abe- )和 Pod 的 nodeSe- ector 属性相匹配。
  • NodeAffinity 亲和性调度:亲和性调度机制极大的扩展了 Pod 的调度能力,目前 有两种节点亲和力表达:
  • requiredDuringSchedu- ingIgnoredDuringExecution:硬规则,必须满足指定 的规则,调度器才可以调度 Pod 至 Node 上(类似 nodeSe- ector,语法不同)。 - preferredDuringSchedu- ingIgnoredDuringExecution:软规则,优先调度至满 足的 Node 的节点,但不强求,多个优先级规则还可以设置权重值。
  • Taints 和 To- erations(污点和容忍):
  • Taint:使 Node 拒绝特定 Pod 运行;
  • To- eration:为 Pod 的属性,表示 Pod 能容忍(运行)标注了 Taint 的 Node。
  1. 简述 Kubernetes 初始化容器(init container)? 答:init container 的运行方式与应用容器不同,它们必须先于应用容器执行完成,当 设置了多个 init container 时,将按顺序逐个运行,并且只有前一个 init container 运 行成功后才能运行后一个 init container。当所有 init container 都成功运行后, Kubernetes 才会初始化 Pod 的各种信息,并开始创建和运行应用容器。

  2. 简述 Kubernetes dep- oyment 升级过程? 答:

  • 初始创建 Dep- oyment 时,系统创建了一个 Rep- icaSet,并按用户的需求创建了 对应数量的 Pod 副本。
  • 当更新 Dep- oyment 时,系统创建了一个新的 Rep- icaSet,并将其副本数量扩展 到 1,然后将旧 Rep- icaSet 缩减为 2。
  • 之后,系统继续按照相同的更新策略对新旧两个 Rep- icaSet 进行逐个调整。
  • 最后,新的 Rep- icaSet 运行了对应个新版本 Pod 副本,旧的 Rep- icaSet 副本数 量则缩减为 0。
  1. 简述 Kubernetes dep- oyment 升级策略? 答: 在 Dep- oyment 的定义中,可以通过 spec.strategy 指定 Pod 更新的策略,目前支持 两种策略:Recreate(重建)和 Ro- - ingUpdate(滚动更新),默认值为 Ro- - ingUpdate。
  • Recreate:设置 spec.strategy.type=Recreate,表示 Dep- oyment 在更新 Pod 时,会先杀掉所有正在运行的 Pod,然后创建新的 Pod。
  • Ro- - ingUpdate:设置 spec.strategy.type=Ro- - ingUpdate,表示 Dep- oyment 会以滚动更新的方式来逐个更新 Pod。同时,可以通过设置 spec.strategy.ro- - ingUpdate 下的两个参数(maxUnavai- ab- e 和 maxSurge) 来控制滚动更新的过程。
  1. 简述 Kubernetes DaemonSet 类型的资源特性? 答:DaemonSet 资源对象会在每个 Kubernetes 集群中的节点上运行,并且每个节 点只能运行一个 pod,这是它和 dep- oyment 资源对象的最大也是唯一的区别。因此, 在定义 yam- 文件中,不支持定义 rep- icas。 它的一般使用场景如下:
  • 在去做每个节点的日志收集工作。
  • 监控每个节点的的运行状态。
  1. 简述 Kubernetes 自动扩容机制? 答:Kubernetes 使用 Horizonta- Pod Autosca- er(HPA)的控制器实现基于 CPU 使用率进行自动 Pod 扩缩容的功能。HPA 控制器周期性地监测目标 Pod 的资源性能 指标,并与 HPA 资源对象中的扩缩容条件进行对比,在满足条件时对 Pod 副本数量 进行调整。
  • HPA原理 Kubernetes 中的某个 Metrics Server(Heapster 或自定义 Metrics Server)持续采 集所有 Pod 副本的指标数据。HPA 控制器通过 Metrics Server 的 API(Heapster 的 API 或聚合 API)获取这些数据,基于用户定义的扩缩容规则进行计算,得到目标 Pod 副本数量。 当目标 Pod 副本数量与当前副本数量不同时,HPA 控制器就向 Pod 的副本控制器 (Dep- oyment、RC 或 Rep- icaSet)发起 sca- e 操作,调整 Pod 的副本数量,完成 扩缩容操作。
  1. 简述 Kubernetes Service 类型? 答:通过创建 Service,可以为一组具有相同功能的容器应用提供一个统一的入口地址, 并且将请求负载分发到后端的各个容器应用上。其主要类型有:
  • C- usterIP:虚拟的服务 IP 地址,该地址用于 Kubernetes 集群内部的 Pod 访问, 在 Node 上 kube-proxy 通过设置的 iptab- es 规则进行转发;
  • NodePort:使用宿主机的端口,使能够访问各 Node 的外部客户端通过 Node 的 IP 地址和端口号就能访问服务;
    • oadBa- ancer:使用外接负载均衡器完成到服务的负载分发,需要在 spec.status.- oadBa- ancer 字段指定外部负载均衡器的 IP 地址,通常用于公有云。
  1. 简述 Kubernetes Service 分发后端的策略? 答:Service 负载分发的策略有:RoundRobin 和 SessionAffinity
  • RoundRobin:默认为轮询模式,即轮询将请求转发到后端的各个 Pod 上。
  • SessionAffinity:基于客户端 IP 地址进行会话保持的模式,即第 1 次将某个客户 端发起的请求转发到后端的某个 Pod 上,之后从相同的客户端发起的请求都将被 转发到后端相同的 Pod 上。
  1. 简述 Kubernetes Head- ess Service? 答:在某些应用场景中,若需要人为指定负载均衡器,不使用 Service 提供的默认负 载均衡的功能,或者应用程序希望知道属于同组服务的其他实例。Kubernetes 提供了

Head- ess Service 来实现这种功能,即不为 Service 设置 C- usterIP(入口 IP 地址), 仅通过 - abe- Se- ector 将后端的 Pod 列表返回给调用的客户端。 33. 简述 Kubernetes 外部如何访问集群内的服务? 答:对于 Kubernetes,集群外的客户端默认情况,无法通过 Pod 的 IP 地址或者 Service 的虚拟 IP 地址:虚拟端口号进行访问。通常可以通过以下方式进行访问 Kubernetes 集群内的服务:

  • 映射 Pod 到物理机:将 Pod 端口号映射到宿主机,即在 Pod 中采用 hostPort 方 式,以使客户端应用能够通过物理机访问容器应用。
  • 映射 Service 到物理机:将 Service 端口号映射到宿主机,即在 Service 中采用 nodePort 方式,以使客户端应用能够通过物理机访问容器应用。
  • 映射 Sercie 到 - oadBa- ancer:通过设置 - oadBa- ancer 映射到云服务商提供的
  • oadBa- ancer 地址。这种用法仅用于在公有云服务提供商的云平台上设置 Service 的场景。
  1. 简述 Kubernetes ingress? 答:Kubernetes 的 Ingress 资源对象,用于将不同 UR- 的访问请求转发到后端不同 的 Service,以实现 HTTP 层的业务路由机制。 Kubernetes 使用了 Ingress 策略和 Ingress Contro- - er,两者结合并实现了一个完整 的 Ingress 负载均衡器。使用 Ingress 进行负载分发时,Ingress Contro- - er 基于 Ingress 规则将客户端请求直接转发到 Service 对应的后端 Endpoint(Pod)上,从

而跳过 kube-proxy 的转发功能,kube-proxy 不再起作用,全过程为:ingress contro- - er + ingress 规则 —-> services。 同时当 Ingress Contro- - er 提供的是对外服务,则实际上实现的是边缘路由器的功能。 35. 简述 Kubernetes 镜像的下载策略? 答:K8s 的镜像下载策略有三种:A- ways、Never、IFNotPresent。

  • A- ways:镜像标签为 - atest 时,总是从指定的仓库中获取镜像。
  • Never:禁止从仓库中下载镜像,也就是说只能使用本地镜像。
  • IfNotPresent:仅当本地没有对应镜像时,才从目标仓库中下载。默认的镜像下 载策略是:当镜像标签是 - atest 时,默认策略是 A- ways;当镜像标签是自定义时 (也就是标签不是 - atest),那么默认策略是 IfNotPresent。
  1. 简述 Kubernetes 的负载均衡器? 答:负载均衡器是暴露服务的最常见和标准方式之一。 根据工作环境使用两种类型的负载均衡器,即内部负载均衡器或外部负载均衡器。内 部负载均衡器自动平衡负载并使用所需配置分配容器,而外部负载均衡器将流量从外 部负载引导至后端容器。
  2. 简述 Kubernetes 各模块如何与 API Server 通信? 答:Kubernetes API Server 作为集群的核心,负责集群各功能模块之间的通信。集 群内的各个功能模块通过 API Server 将信息存入 etcd,当需要获取和操作这些数据

时,则通过 API Server 提供的 REST 接口(用 GET、- IST 或 WATCH 方法)来实现, 从而实现各模块之间的信息交互。 如 kube- et 进程与 API Server 的交互:每个 Node 上的 kube- et 每隔一个时间周期, 就会调用一次 API Server 的 REST 接口报告自身状态,API Server 在接收到这些信息 后,会将节点状态信息更新到 etcd 中。 如 kube-contro- - er-manager 进程与 API Server 的交互:kube-contro- - er- manager 中的 Node Contro- - er 模块通过 API Server 提供的 Watch 接口实时监控 Node 的信息,并做相应处理。 如 kube-schedu- er 进程与 API Server 的交互:Schedu- er 通过 API Server 的 Watch 接口监听到新建 Pod 副本的信息后,会检索所有符合该 Pod 要求的 Node 列 表,开始执行 Pod 调度逻辑,在调度成功后将 Pod 绑定到目标节点上。 38. 简述 Kubernetes Schedu- er 作用及实现原理? 答:Kubernetes Schedu- er 是负责 Pod 调度的重要功能模块,Kubernetes Schedu- er 在整个系统中承担了“承上启下”的重要功能,“承上”是指它负责接收 Contro- - er Manager 创建的新 Pod,为其调度至目标 Node;“启下”是指调度完成 后,目标 Node 上的 kube- et 服务进程接管后继工作,负责 Pod 接下来生命周期。 Kubernetes Schedu- er 的作用是将待调度的 Pod(API 新创建的 Pod、Contro- - er Manager 为补足副本而创建的 Pod 等)按照特定的调度算法和调度策略绑定 (Binding)到集群中某个合适的 Node 上,并将绑定信息写入 etcd 中。 在整个调度过程中涉及三个对象,分别是待调度 Pod 列表、可用 Node 列表,以及调 度算法和策略。

Kubernetes Schedu- er 通过调度算法调度为待调度 Pod 列表中的每个 Pod 从 Node 列表中选择一个最适合的 Node 来实现 Pod 的调度。随后,目标节点上的 kube- et 通 过 API Server 监听到 Kubernetes Schedu- er 产生的 Pod 绑定事件,然后获取对应 的 Pod 清单,下载 Image 镜像并启动容器。 39. 简述 Kubernetes Schedu- er 使用哪两种算法将 Pod 绑定到 worker 节点? 答:Kubernetes Schedu- er 根据如下两种调度算法将 Pod 绑定到最合适的工作节点: - 预选(Predicates):输入是所有节点,输出是满足预选条件的节点。kube- schedu- er 根据预选策略过滤掉不满足策略的 Nodes。如果某节点的资源不足或 者不满足预选策略的条件则无法通过预选。如“Node 的 - abe- 必须与 Pod 的 Se- ector 一致”。

  • 优选(Priorities):输入是预选阶段筛选出的节点,优选会根据优先策略为通过 预选的 Nodes 进行打分排名,选择得分最高的 Node。例如,资源越富裕、负载 越小的 Node 可能具有越高的排名。
  1. 简述 Kubernetes kube- et 的作用? 答:在 Kubernetes 集群中,在每个 Node(又称 Worker)上都会启动一个 kube- et 服务进程。该进程用于处理 Master 下发到本节点的任务,管理 Pod 及 Pod 中的容器。 每个 kube- et 进程都会在 API Server 上注册节点自身的信息,定期向 Master 汇报节 点资源的使用情况,并通过 cAdvisor 监控容器和节点资源。
  2. 简述 Kubernetes kube- et 监控 Worker 节点资源是使用什么组件来实现的?

答:kube- et 使用 cAdvisor 对 worker 节点资源进行监控。在 Kubernetes 系统中, cAdvisor 已被默认集成到 kube- et 组件内,当 kube- et 服务启动时,它会自动启动 cAdvisor 服务,然后 cAdvisor 会实时采集所在节点的性能指标及在节点上运行的容 器的性能指标。 42. 简述 Kubernetes 如何保证集群的安全性? 答:Kubernetes 通过一系列机制来实现集群的安全控制,主要有如下不同的维度: - 基础设施方面:保证容器与其所在宿主机的隔离;

  • 权限方面: ¡ 最小权限原则:合理限制所有组件的权限,确保组件只执行它被授权的行为, 通过限制单个组件的能力来限制它的权限范围。 ¡ 用户权限:划分普通用户和管理员的角色。 - 集群方面: ¡ API Server 的认证授权:Kubernetes 集群中所有资源的访问和变更都是通过 Kubernetes API Server 来实现的,因此需要建议采用更安全的 HTTPS 或 Token 来识别和认证客户端身份(Authentication),以及随后访问权限的 授权(Authorization)环节。 ¡ API Server 的授权管理:通过授权策略来决定一个 API 调用是否合法。对合 法用户进行授权并且随后在用户访问时进行鉴权,建议采用更安全的 RBAC 方式来提升集群安全授权。 ¡ 敏感数据引入 Secret 机制:对于集群敏感数据建议使用 Secret 方式进行保 护。

¡ AdmissionContro- (准入机制):对 kubernetes api 的请求过程中,顺序 为:先经过认证 & 授权,然后执行准入操作,最后对目标对象进行操作。 43. 简述 Kubernetes 准入机制? 答:在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一个准入 控制拒绝了此次请求,那么整个请求的结果将会立即返回,并提示用户相应的 error 信息。 准入控制(AdmissionContro- )准入控制本质上为一段准入代码,在对 kubernetes api 的请求过程中,顺序为:先经过认证 & 授权,然后执行准入操作,最后对目标对 象进行操作。常用组件(控制代码)如下:

  • A- waysAdmit:允许所有请求
  • A- waysDeny:禁止所有请求,多用于测试环境。
  • ServiceAccount:它将 serviceAccounts 实现了自动化,它会辅助 serviceAccount 做一些事情,比如如果 pod 没有 serviceAccount 属性,它会自 动添加一个 defau- t,并确保 pod 的 serviceAccount 始终存在。
    • imitRanger:观察所有的请求,确保没有违反已经定义好的约束条件,这些条件 定义在 namespace 中 - imitRange 对象中。
  • NamespaceExists:观察所有的请求,如果请求尝试创建一个不存在的 namespace,则这个请求被拒绝。
  1. 简述 Kubernetes RBAC 及其特点(优势)?

答:RBAC 是基于角色的访问控制,是一种基于个人用户的角色来管理对计算机或网 络资源的访问的方法。 相对于其他授权模式,RBAC 具有如下优势:

  • 对集群中的资源和非资源权限均有完整的覆盖。
  • 整个 RBAC 完全由几个 API 对象完成, 同其他 API 对象一样, 可以用 kubect- 或 API 进行操作。
  • 可以在运行时进行调整,无须重新启动 API Server。
  1. 简述 Kubernetes Secret 作用? 答:Secret 对象,主要作用是保管私密数据,比如密码、OAuth Tokens、SSH Keys 等信息。将这些私密信息放在 Secret 对象中比直接放在 Pod 或 Docker Image 中更 安全,也更便于使用和分发。
  2. 简述 Kubernetes Secret 有哪些使用方式? 答:创建完 secret 之后,可通过如下三种方式使用:
  • 在创建 Pod 时,通过为 Pod 指定 Service Account 来自动使用该 Secret。
  • 通过挂载该 Secret 到 Pod 来使用它。
  • 在 Docker 镜像下载时使用,通过指定 Pod 的 spc.ImagePu- - Secrets 来引用它。
  1. 简述 Kubernetes PodSecurityPo- icy 机制? 答:Kubernetes PodSecurityPo- icy 是为了更精细地控制 Pod 对资源的使用方式以 及提升安全策略。在开启 PodSecurityPo- icy 准入控制器后,Kubernetes 默认不允许

创建任何 Pod,需要创建 PodSecurityPo- icy 策略和相应的 RBAC 授权策略 (Authorizing Po- icies),Pod 才能创建成功。 48. 简述 Kubernetes PodSecurityPo- icy 机制能实现哪些安全策略? 答: 在 PodSecurityPo- icy 对象中可以设置不同字段来控制 Pod 运行时的各种安全策略, 常见的有:

  • 特权模式:privi- eged 是否允许 Pod 以特权模式运行。
  • 宿主机资源:控制 Pod 对宿主机资源的控制,如 hostPID:是否允许 Pod 共享宿 主机的进程空间。
  • 用户和组:设置运行容器的用户 ID(范围)或组(范围)。
  • 提升权限:A- - owPrivi- egeEsca- ation:设置容器内的子进程是否可以提升权限, 通常在设置非 root 用户(MustRunAsNonRoot)时进行设置。 - SE- inux:进行 SE- inux 的相关配置。
  1. 简述 Kubernetes 网络模型? 答:Kubernetes 网络模型中每个 Pod 都拥有一个独立的 IP 地址,并假定所有 Pod 都在一个可以直接连通的、扁平的网络空间中。所以不管它们是否运行在同一个 Node(宿主机)中,都要求它们可以直接通过对方的 IP 进行访问。设计这个原则的 原因是,用户不需要额外考虑如何建立 Pod 之间的连接,也不需要考虑如何将容器端 口映射到主机端口等问题。

同时为每个 Pod 都设置一个 IP 地址的模型使得同一个 Pod 内的不同容器会共享同一 个网络命名空间,也就是同一个 - inux 网络协议栈。这就意味着同一个 Pod 内的容器 可以通过 - oca- host 来连接对方的端口。 在 Kubernetes 的集群里,IP 是以 Pod 为单位进行分配的。一个 Pod 内部的所有容 器共享一个网络堆栈(相当于一个网络命名空间,它们的 IP 地址、网络设备、配置等 都是共享的)。 50. 简述 Kubernetes CNI 模型? 答:CNI 提供了一种应用容器的插件化网络解决方案,定义对容器网络进行操作和配 置的规范,通过插件的形式对 CNI 接口进行实现。CNI 仅关注在创建容器时分配网络 资源,和在销毁容器时删除网络资源。在 CNI 模型中只涉及两个概念:容器和网络。 - 容器(Container):是拥有独立 - inux 网络命名空间的环境,例如使用 Docker 或 rkt 创建的容器。容器需要拥有自己的 - inux 网络命名空间,这是加入网络的必 要条件。

  • 网络(Network):表示可以互连的一组实体,这些实体拥有各自独立、唯一的 IP 地址,可以是容器、物理机或者其他网络设备(比如路由器)等。 对容器网络的设置和操作都通过插件(P- ugin)进行具体实现,CNI 插件包括两种类 型:CNI P- ugin 和 IPAM(IP Address Management)P- ugin。CNI P- ugin 负责为 容器配置网络资源,IPAM P- ugin 负责对容器的 IP 地址进行分配和管理。IPAM P- ugin 作为 CNI P- ugin 的一部分,与 CNI P- ugin 协同工作。
  1. 简述 Kubernetes 网络策略?

答:为实现细粒度的容器间网络访问隔离策略,Kubernetes 引入 Network Po- icy。 Network Po- icy 的主要功能是对 Pod 间的网络通信进行限制和准入控制,设置允许 访问或禁止访问的客户端 Pod 列表。Network Po- icy 定义网络策略,配合策略控制 器(Po- icy Contro- - er)进行策略的实现。 52. 简述 Kubernetes 网络策略原理? 答:Network Po- icy 的工作原理主要为:po- icy contro- - er 需要实现一个 API - istener,监听用户设置的 Network Po- icy 定义,并将网络访问规则通过各 Node 的 Agent 进行实际设置(Agent 则需要通过 CNI 网络插件实现)。 53. 简述 Kubernetes 中 f- anne- 的作用? 答:F- anne- 可以用于 Kubernetes 底层网络的实现,主要作用有:

  • 它能协助 Kubernetes,给每一个 Node 上的 Docker 容器都分配互相不冲突的 IP 地址。
  • 它能在这些 IP 地址之间建立一个覆盖网络(Over- ay Network),通过这个覆盖 网络,将数据包原封不动地传递到目标容器内。
  1. 简述 Kubernetes Ca- ico 网络组件实现原理? 答: Ca- ico 是一个基于 BGP 的纯三层的网络方案,与 OpenStack、Kubernetes、AWS、 GCE 等云平台都能够良好地集成。

Ca- ico 在每个计算节点都利用 - inux Kerne- 实现了一个高效的 vRouter 来负责数据 转发。每个 vRouter 都通过 BGP 协议把在本节点上运行的容器的路由信息向整个 Ca- ico 网络广播,并自动设置到达其他节点的路由转发规则。 Ca- ico 保证所有容器之间的数据流量都是通过 IP 路由的方式完成互联互通的。Ca- ico 节点组网时可以直接利用数据中心的网络结构(- 2 或者 - 3),不需要额外的 NAT、 隧道或者 Over- ay Network,没有额外的封包解包,能够节约 CPU 运算,提高网络 效率。 55. 简述 Kubernetes 共享存储的作用? 答:Kubernetes 对于有状态的容器应用或者对数据需要持久化的应用,因此需要更加 可靠的存储来保存应用产生的重要数据,以便容器应用在重建之后仍然可以使用之前 的数据。因此需要使用共享存储。 56. 简述 Kubernetes 数据持久化的方式有哪些? 答:Kubernetes 通过数据持久化来持久化保存重要数据,常见的方式有:

  • EmptyDir(空目录):没有指定要挂载宿主机上的某个目录,直接由 Pod 内保 部映射到宿主机上。类似于 docker 中的 manager vo- ume。 - 场景: ¡ 只需要临时将数据保存在磁盘上,比如在合并/排序算法中; ¡ 作为两个容器的共享存储。 - 特性:

¡ 同个 pod 里面的不同容器,共享同一个持久化目录,当 pod 节点删除时, vo- ume 的数据也会被删除。 ¡ emptyDir 的数据持久化的生命周期和使用的 pod 一致,一般是作为临时存 储使用。

  • Hostpath:将宿主机上已存在的目录或文件挂载到容器内部。类似于 docker 中 的 bind mount 挂载方式。 ¡ 特性:增加了 pod 与节点之间的耦合。 PersistentVo- ume(简称 PV):如基于 NFS 服务的 PV,也可以基于 GFS 的 PV。 它的作用是统一数据持久化目录,方便管理。
  1. 简述 Kubernetes PV 和 PVC? 答: PV 是对底层网络共享存储的抽象,将共享存储定义为一种“资源”。 PVC 则是用户对存储资源的一个“申请”。
  2. 简述 Kubernetes PV 生命周期内的阶段? 答:某个 PV 在生命周期中可能处于以下 4 个阶段(Phaes)之一。
  • Avai- ab- e:可用状态,还未与某个 PVC 绑定。
  • Bound:已与某个 PVC 绑定。
  • Re- eased:绑定的 PVC 已经删除,资源已释放,但没有被集群回收。 - Fai- ed:自动资源回收失败。
  1. 简述 Kubernetes 所支持的存储供应模式? 答:Kubernetes 支持两种资源的存储供应模式:静态模式(Static)和动态模式 (Dynamic)。
  • 静态模式:集群管理员手工创建许多 PV,在定义 PV 时需要将后端存储的特性进 行设置。
  • 动态模式:集群管理员无须手工创建 PV,而是通过 StorageC- ass 的设置对后端 存储进行描述,标记为某种类型。此时要求 PVC 对存储的类型进行声明,系统将 自动完成 PV 的创建及与 PVC 的绑定。
  1. 简述 Kubernetes CSI 模型? 答:Kubernetes CSI 是 Kubernetes 推出与容器对接的存储接口标准,存储提供方只 需要基于标准接口进行存储插件的实现,就能使用 Kubernetes 的原生存储机制为容 器提供存储服务。CSI 使得存储提供方的代码能和 Kubernetes 代码彻底解耦,部署也 与 Kubernetes 核心组件分离,显然,存储插件的开发由提供方自行维护,就能为 Kubernetes 用户提供更多的存储功能,也更加安全可靠。 CSI 包括 CSI Contro- - er 和 CSI Node:
  • CSI Contro- - er 的主要功能是提供存储服务视角对存储资源和存储卷进行管理和 操作。
  • CSI Node 的主要功能是对主机(Node)上的 Vo- ume 进行管理和操作。
  1. 简述 Kubernetes Worker 节点加入集群的过程?

答:通常需要对 Worker 节点进行扩容,从而将应用系统进行水平扩展。主要过程如 下:

  • 1、在该 Node 上安装 Docker、kube- et 和 kube-proxy 服务;
  • 2、然后配置 kube- et 和 kubeproxy 的启动参数,将 Master UR- 指定为当前 Kubernetes 集群 Master 的地址,最后启动这些服务;
  • 3、通过 kube- et 默认的自动注册机制,新的 Worker 将会自动加入现有的 Kubernetes 集群中;
  • 4、Kubernetes Master 在接受了新 Worker 的注册之后,会自动将其纳入当前 集群的调度范围。
  1. 简述 Kubernetes Pod 如何实现对节点的资源控制? 答:Kubernetes 集群里的节点提供的资源主要是计算资源,计算资源是可计量的能被 申请、分配和使用的基础资源。当前 Kubernetes 集群中的计算资源主要包括 CPU、 GPU 及 Memory。CPU 与 Memory 是被 Pod 使用的,因此在配置 Pod 时可以通过 参数 CPU Request 及 Memory Request 为其中的每个容器指定所需使用的 CPU 与 Memory 量,Kubernetes 会根据 Request 的值去查找有足够资源的 Node 来调度此 Pod。 通常,一个程序所使用的 CPU 与 Memory 是一个动态的量,确切地说,是一个范围, 跟它的负载密切相关:负载增加时,CPU 和 Memory 的使用量也会增加。
  2. 简述 Kubernetes Requests 和 - imits 如何影响 Pod 的调度?

答:当一个 Pod 创建成功时,Kubernetes 调度器(Schedu- er)会为该 Pod 选择一 个节点来执行。对于每种计算资源(CPU 和 Memory)而言,每个节点都有一个能用 于运行 Pod 的最大容量值。调度器在调度时,首先要确保调度后该节点上所有 Pod 的 CPU 和内存的 Requests 总和,不超过该节点能提供给 Pod 使用的 CPU 和 Memory 的最大容量值。 64. 简述 Kubernetes Metric Service? 答:在 Kubernetes 从 1.10 版本后采用 Metrics Server 作为默认的性能数据采集和 监控,主要用于提供核心指标(Core Metrics),包括 Node、Pod 的 CPU 和内存使 用指标。 对其他自定义指标(Custom Metrics)的监控则由 Prometheus 等组件来完成。 65. 简述 Kubernetes 中,如何使用 EFK 实现日志的统一管理? 答:在 Kubernetes 集群环境中,通常一个完整的应用或服务涉及组件过多,建议对 日志系统进行集中化管理,通常采用 EFK 实现。 EFK 是 E- asticsearch、F- uentd 和 Kibana 的组合,其各组件功能如下:

  • E- asticsearch:是一个搜索引擎,负责存储日志并提供查询接口;
  • F- uentd:负责从 Kubernetes 搜集日志,每个 node 节点上面的 f- uentd 监控并 收集该节点上面的系统日志,并将处理过后的日志信息发送给 E- asticsearch;
  • Kibana:提供了一个 Web GUI,用户可以浏览和搜索存储在 E- asticsearch 中的 日志。

通过在每台 node 上部署一个以 DaemonSet 方式运行的 f- uentd 来收集每台 node 上的日志。F- uentd 将 docker 日志目录/var/- ib/docker/containers 和/var/- og 目录 挂载到 Pod 中,然后 Pod 会在 node 节点的/var/- og/pods 目录中创建新的目录,可 以区别不同的容器日志输出,该目录下有一个日志文件链接到 /var/- ib/docker/contianers 目录下的容器日志输出。 66. 简述 Kubernetes 如何进行优雅的节点关机维护? 答:由于 Kubernetes 节点运行大量 Pod,因此在进行关机维护之前,建议先使用 kubect- drain 将该节点的 Pod 进行驱逐,然后进行关机维护。 67. 简述 Kubernetes 集群联邦? 答:Kubernetes 集群联邦可以将多个 Kubernetes 集群作为一个集群进行管理。因此, 可以在一个数据中心/云中创建多个 Kubernetes 集群,并使用集群联邦在一个地方控 制/管理所有集群。 68. 简述 He- m 及其优势? 答: He- m 是 Kubernetes 的软件包管理工具。类似 Ubuntu 中使用的 apt、Centos 中使 用的 yum 或者 Python 中的 pip 一样。 He- m 能够将一组 K8S 资源打包统一管理, 是查找、共享和使用为 Kubernetes 构建的 软件的最佳方式。

He- m 中通常每个包称为一个 Chart,一个 Chart 是一个目录(一般情况下会将目录 进行打包压缩,形成 name-version.tgz 格式的单一文件,方便传输和存储)。

  • He- m 优势 在 Kubernetes 中部署一个可以使用的应用,需要涉及到很多的 Kubernetes 资源的 共同协作。使用 he- m 则具有如下优势:
  • 统一管理、配置和更新这些分散的 k8s 的应用资源文件;
  • 分发和复用一套应用模板;
  • 将应用的一系列资源当做一个软件包管理。 对于应用发布者而言,可以通过 He- m 打包应用、管理应用依赖关系、管理应用版本 并发布应用到软件仓库。
  • 对于使用者而言,使用 He- m 后不用需要编写复杂的应用部署文件,可以以简单 的方式在 Kubernetes 上查找、安装、升级、回滚、卸载应用程序。