目录

三、集群管理

利用node affinity、taint等机制管理node

通过pod affinity/anti-affinity机制将pod分配到合适的node

Node分级管理

从Qos角度将Pod分级

用namespace隔离不同的环境和用户

配置RBAC权限控制

1. 遵循最小权限原则

2. 使用 Role 和 ClusterRole 分离权限

3. 利用 RoleBinding 和 ClusterRoleBinding 绑定角色

 Google云原生工程师最佳实践指南下载

---

三、集群管理

利用node affinity、taint等机制管理node

        Kubernetes提供了节点亲和性和污点等机制,可以更好地控制Pod在节点上的分布。node affinity允许基于节点的标签属性来约束pod可以调度到哪些节点,常用于将特定工作负载分配到具有特定硬件/软件配置的节点。而taint则用于将节点标记为专用,只有配置了相应容忍度(toleration)的pod才能调度到这些专用节点上,适合用于节点隔离。利用这些机制,可以更合理高效地利用集群资源。

通过pod affinity/anti-affinity机制将pod分配到合适的node

        除了调度pod到合适的节点外,Kubernetes还支持通过pod亲和性和反亲和性规则来影响pod与pod之间的调度关系。pod亲和性可以将新pod调度到同一拓扑域(如节点、可用区等)的现有pod附近,常用于实现pod集群化部署;而pod反亲和性则防止新pod与指定pod部署在同一拓扑域,避免单点故障。合理利用这些规则,可以提高应用可靠性和局部性能。

Node分级管理

通过给 Node 打标签来对节点进行分级管理，可以根据资源类型（如 CPU、内存、GPU）或用途（如生产、测试）对节点进行分类。

从Qos角度将Pod分级

根据QoS 策略将Pod分为核心应用（Guaranteed）、重要应用（Burstable）、边缘应用（BestEffort）

QoS 策略

• Guaranteed: 所有容器的 requests 和 limits 应相等，确保 Pod 获得预留资源。
• Burstable: 适用于需要一定程度资源弹性的 Pod，允许 Pod 在高峰期使用更多资源。
• BestEffort: 适合非关键任务的 Pod，无固定资源预留，最低调度优先级。

用namespace隔离不同的环境和用户

配置RBAC权限控制

        在 Kubernetes 中，基于角色的访问控制（RBAC）是一种重要的安全机制，用于限制对集群资源的访问和操作权限。正确配置 RBAC 权限不仅有助于保护集群安全，还能确保用户和应用只能访问它们所需的最少资源，遵循最小权限原则

1. 遵循最小权限原则

为用户和服务帐户分配尽可能少的权限，只授予完成任务所必需的权限。这有助于减少潜在的安全风险和错误配置，尽量不要使用default serviceaccount。

2. 使用 Role 和 ClusterRole 分离权限

• Role 用于命名空间级别的权限控制。
• ClusterRole 用于集群范围内的资源和非资源端点的权限控制。

3. 利用 RoleBinding 和 ClusterRoleBinding 绑定角色

• RoleBinding 将 Role 与特定的用户、组或服务帐户在命名空间级别关联起来。
• ClusterRoleBinding 将 ClusterRole 与用户、组或服务帐户在全集群级别关联起来。

 Google云原生工程师最佳实践指南下载

Kubernetes_Best_Practices.pdfhttps://c74p900o8m.feishu.cn/docx/S84ddjQg2oQRpMxxOykcdP8Snsc