06-理解K8s对象 07-Name 08-Namespace 09-Label和Selector 10-Annotation 11-K8s架构及基本概念 12-Master与Node的通信 13-Node 14-Pod 15-Replica Set 16-Deployment 17-StatefulSet 18-Daemon Set 19-配置最佳实践 20-管理容器的计算资源 0）时，⼀些⼯具（例如：kubectl和swagger-ui）仍在使⽤v1.2规范。OpenAPI规范在Kubernetes 1.5中，进⼊Beta 阶段。 Kubernetes为主要⽤于集群内通信的API实现了另⼀种基于Protobuf的序列化格式，在 design proposal 有记录，每个 schema的IDL⽂件都存放在定义该API对象的Go语⾔包中。 API版本 为了更容易 器、上报Pod运⾏状态等。 kube-proxy：实现K8s Service的通信与负载均衡机制。 docker：你懂的 Pod（容器组） Pod是由若⼲容器组成的容器组，同⼀个Pod内的所有容器运⾏在同⼀主机上，这些容器使⽤相同的⽹络命令空间、IP 地址和端⼝，相互之间能通过localhost来发现和通信。 不仅如此，同⼀个Pod内的所有容器还共享存储卷，这个存储卷也被称为Pod Volume。

Service for Kubernetes 主机 容器在哪里运行 Amazon EC2 AWS Fargate 服务注册发现 云端服务的黄页 AWS Cloud Map 服务网格 服务间通信的基础设施层 © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential reserved. Amazon Confidential 责任共担模型（续） 用户 IAM 用户数据 平台及应用管理 操作系统, 网络以及网络配置 客户端数据加密 及 数据完整性验证 服务端加密 文件系统和数据 网络流量保护 加密/完整性/身份管理 AWS 端点 基础服务 AWS全球基础架构 AWS IAM 计算 存储 数据库 网络 区域 可用区 边缘节点 由AWS用户管理 HOST AWS IAM 容器 升级 加固 监控 WORKER NODE 配置 升级 加固 监控 NETWORK 配置 VPC 网络策略 路由表 NACLs 数据 网络流量保护 客户端加密 服务端加密 EKS CONTROL PLANE CONTROL PLANE 配置 PRIVATE CONTROL RBAC 策略 © 2019, Amazon Web Services, Inc.

解決方案：CipherTrust Transparent Encryption for Kubernetes CipherTrust Transparent Encryption for Kubernetes 提供用於加密、存取控制和資料存取日誌記錄的容器內核 功能，使企業能夠對Kubernetes 環境中的資料建立堅實 穩固的防護。 透過 CipherTrust Transparent Encrypton 的擴 Transparent Encryption 的這 項擴充，解決了保護機敏資料的合規要求與法規命令， 例如支付卡、健康照護紀錄或者其他機敏資產。 • 防止受到特權用戶的威脅 - 該解決方案提供資料存取控 制的加密，讓特權用戶如 Docker 或 OpenShift等群組 管理員，能夠像一般用戶執行操作，不會獲得未經授權 的機敏資料存取。 • 實現強大的安全性 - 無論容器在資料中心、虛擬環 境、甚至是雲端 Transparent Encryption，讓資安團隊得以在容器內建 立資安控制。憑藉這項擴充，您能按照每個容器的狀態 一一施行加密、存取控制以及資料存取紀錄。加密可以 應用在容器端本地產生並儲存的資料，以及藉由網路檔 案系統搭載在容器內的資料。 • 可擴充的透明加密 - 無需對應用程式、容器或基礎 架構進行任何變更下，提供資料安全控制。允許對 Kubernetes叢集內的所有容器施行單一政策，或是對

憑證，獲得用戶端憑證公開金鑰，並用該公開金鑰認證憑證資訊，並確認用戶 端是否合法。 (5) 用戶端透過隨機金鑰加密資訊，並發送加密後的資訊給服務端。伺服器端和用 戶端協商好加密方案後，用戶端會產生一個隨機的金鑰，用戶端透過協商好的 加密方案，加密這隨機金鑰，並發送隨機金鑰到伺服器端。 伺服器端接收這 個金鑰後，雙方通訊的所有內容都透過隨機金鑰加密。 通訊（隨機私鑰） 身分認證（憑證） 客戶端 伺服器端 身分認證（憑證）

Pod是一组紧密关联的容器集合，它们共享PID、IPC、Network和UTS namespace，是Kubernetes调度的基本单位。 Pod的设计理念是支持多个容器在一个Pod中共享网络和文件系统，可以通过进程间通信和文件共享这种简单高效的方式 组合完成服务。 每个Pod都有一个特殊的称之为“根容器”的Pause容器。Pause容器对应的镜像属于k8s平台的一部分，除了Pause容 器外，每个Pod还包含一个 这样简化了密切相连的容器之间的通信，也解决了他们之间文件共享的问题。 k8s为每一个pod都分配唯一的IP地址，称之为pod ip，一个pod中的多个容器共享 pod ip地址。k8s要求底层网络支持集群内任意两个pod之间网络通信，采用虚拟二 层技术实现，比如flanne、calico、ovs。k8s中，一个pod的容器与另外主机上的pod 容器能够直接通信。 13 www.h3c.com 和日志。 5.Unknown。这是一个异常状态，意味着 Pod 的状态不能持续地被 kubelet 汇报给 kube-apiserver，这很有可能是主从 节点（Master 和 Kubelet）间的通信出现了问题。 更进一步地，Pod 对象的 Status 字段，还可以再细分出一组 Conditions。这些细分状态的值包括：PodScheduled、 Ready、Initialized，以及

跨集群负载统一管理能力。 策略管理 支持以命名空间或集群粒度制定网络策略、配额策略、资源限制策略、灾备策 略、安全策略。 ➢ 网络策略，支持以命名空间或集群粒度制定网络策略，限定容器组与网络平上网络” 实体“通信规则。 ➢ 配额策略，支持以命名空间或集群粒度设定配额策略，限制集群内的命名空间的资源 使用。 ➢ 资源限制策略，支持以命名空间或集群粒度设定资源限制策略，约束对应命名空间内 应用对资源的使用。 Underlay 网络的 IP 管理分配及 IP 回收能力。 不同 IP 池的使用满足了不同应用通信 场景的需求。 此网络组合的主要功能如下： 1. 以 Multus 为调度核心，实现 Pod 多 CNI 的 IP 分配，支持应用的多态网 络通信场景。基于开源方案实现本集群内跨 CNI 的 Pod 间通信。 如果应用没有 Pod 多网卡以及不同网络形态需求，可以不安装 Multus。 2. 内核加速，实现跨集群 Pod 通 信和跨集群 Service 通信，以及支持灵活的细粒度网络策略下发和丰富的流 量观测能力。 版权 © 2023 DaoCloud 第 16 页 在此方案组合中，Cilium 为必备的网络 CNI。 4. 通过 MacVLAN / SRIOV / IPVLAN CNI 提供对外访问 IP，实现 Pod 二层对 外通信能力。 搭配 Calico 动态虚拟网络，降低网络运维难度，并节省

No.202303 中国信息通信研究院 2023年7月 云计算白皮书 (2023 年) 版权声明 本白皮书版权属于中国信息通信研究院，并受法律保 护。转载、摘编或利用其它方式使用本白皮书文字或者观 点的，应注明“来源：中国信息通信研究院”。违反上述声 明者，本院将追究其相关法律责任。 前 言 党的二十大报告提出，要构建新一代信息技术等一批新的增长 引擎，打造具有国际竞争力的数字产业集群。云计算是信息技术发 效率、性能、安全等 成为用户关注点，应用现代化、一云多芯、平台工程、云成本优化、 系统稳定性、云原生安全等新技术层出不穷，满足用户多样性场景 需求，助力产业数字化升级。 在此背景下，中国信息通信研究院继《云计算白皮书（2012 年）》 之后第 9 次发布云计算白皮书。本白皮书聚焦过去一年多来云计算 产业的新发展新变化，总结梳理国内外云计算政策、市场、技术、 应用等方面的发展特点，并对未来发展进行展望。 合集群发展，加快传统产业改造升 级，协同发展智能终端、云计算等 产业。 来源：根据公开信息整理 （二）云计算市场处于快速增长阶段，运营商引领新一 轮市场增长 从整体来看，我国云计算市场保持高速增长。据中国信息通信 云计算白皮书（2023 年） 13 研究院统计，2022 年我国云计算市场规模达 4,550 亿元，较 2021 年 增长 40.91%。其中，公有云市场规模增长 49.3%至 3,256

Applications) 能力扩展：GPU支持 资源-访问代价树 四类通信方式分类中，通信开销最大的是SOC，其次是PXB，再次是PHB，PIX通信方式 的GPU之间的通信开销最小。 拓扑节点中存储3个信息： • 子节点的GPU通信方式(SOC、PXB、PHB或 PIX) • 可用的GPU资源数(如果下属n张GPU卡则为n) • 节点通信开销(非GPU节点为0) GPU节点存储3个信息： • GPU GPU id • 可用的GPU资源数(GPU节点为1) • 节点通信开销(数字越小，访问代价越低) Singular and link Fragment 成本 GPU使用方式 实现 VCUDA 在vm中构建wrapper library以拦截GPU调用并将这些调用重定向 到宿主机执行 Amazon 将设备直接挂在到vm中 GPUvm 在Zen的hypervisor层实现了全虚拟化。为了隔离运行在物理

性，此外也會針對最近的5個Kubernetes版本提供安全性修補，作為擴展安全性維 護計畫(ESM)的一部分。與K8s RBAC, Active Directory及LDAP整合、預設CIS強化、 靜態加密以及無需停機的自動安全性更新可確保使用者獲得高度安全的 Kubernetes 部署。企業也能利用Ubuntu livepatching保護主機作業系統，無需停機，可於系統 執行期間修補 Linux 可協助組織自動化容器建構流 程，確保各個部署之間的一致性及安全性。Red Hat Quay也可搭配使用Clair以掃描整 合的容器登錄檔，並向開發人員通知任何偵測到的漏洞。OpenShift預設具備強大的 加密功能、Kubernetes強化、身分管理及RBAC，而使用者可透過一系列獲得認證的 第三方工具，進一步提升安全性。 Rancher也支援K8 RBAC及遵循CIS Kubernetes基準的最佳實務，此外還提供強大文件，

k8s-node01 10.99.1.62 k8s-node02.cof-lee.com k8s-node02 EOF ★k8s初始化时要求系统里有/etc/resolv.conf文件及系统对外通信网口上配置有 默认路由；根据实际情况添加 # cat >> /etc/resolv.conf <通信，底层实现是使用了vxlan flannel源码地址： h�ps://github.com/flannel-io/flannel #先下载flannel插件的k8s部署yml文件 # wget #先删除旧的部署 #再在kube-flannel.yml部署配置文件里的- /opt/bin/flanneld下面的args:这行下面 再添加一行配置 - --iface-regex=10.99.1.* 匹配要通信的ip网段（为node结点的通 信ip网段，即pod容器流量使用此ip网络对应的网口进行vxlan封装） #最后重新部署flannel的deployment文件 # kubectl apply