centos k8s部署的容器编排策略有哪些

在CentOS上部署Kubernetes（K8S）时，可以采用多种容器编排策略来确保集群的高效和稳定运行。以下是一些常见的容器编排策略：

基于资源请求的调度

Kubernetes调度器会根据容器声明的资源需求（如CPU和内存）来分配节点，确保资源不会被过度分配。

亲和性与反亲和性调度

• 亲和性：用于将相关的容器调度到同一节点或相近节点，以减少网络延迟，提升交互效率。
• 反亲和性：用于避免单点故障，将高可用的服务副本分散到不同节点，确保某个节点故障时，服务仍然可用。

污点（Taints）与容忍度（Tolerations）调度

• 污点：节点可以被标记为“污点”，以表示其特殊属性，如正在进行硬件维护。
• 容忍度：容器可以设置容忍度，以允许被调度到有污点的节点上。这种策略给予管理员对节点使用的精细控制权。

滚动更新和回滚

Kubernetes支持在不停机的情况下对应用程序进行升级和维护，减少停机时间和业务风险。

自我修复

Kubernetes能够重新启动失败的容器、替换不响应用户定义的运行状况检查的容器，并在准备好服务之前不将其通告给客户端。

服务发现和负载均衡

Kubernetes提供内置的服务发现和负载均衡功能，使得容器之间可以方便地相互通信。

存储编排

Kubernetes允许自动挂载所选的存储系统，例如本地存储、公共云提供商等。

自动部署和回滚

可以描述已部署容器的所需状态，并以受控的速率将实际状态更改为期望状态。

自动装箱计算

Kubernetes会根据每个容器需要的资源（如CPU和内存）将其调度到合适的节点上，以最佳方式利用资源。

密钥与配置管理

Kubernetes允许存储和管理敏感信息，如密码、OAuth令牌和SSH密钥，无需重建容器镜像即可部署和更新密钥和应用程序配置。

准入控制器

准入控制器是Kubernetes中的一个重要组件，负责在资源创建或更新时进行拦截和验证。常见的准入控制器类型包括：

• ValidatingAdmissionWebhook：允许自定义的外部Webhook服务对请求进行验证和决策。
• MutatingAdmissionWebhook：在资源创建或更新前对其进行修改，以满足特定的要求。

Pod安全策略

• 限制特权提升：禁止Pod中的容器获取不必要的特权，减少潜在的攻击面。
• 资源配额管理：为Pod中的容器设定合理的CPU、内存等资源配额，防止资源滥用导致系统不稳定。
• 访问控制：控制Pod对敏感卷（如Secret、ConfigMap）的访问，确保只有授权的Pod能够读取和使用关键配置和数据。

通过这些策略，可以确保Kubernetes集群能够高效、稳定地运行容器化应用程序。