book

《使用 Kubernetes 实现云原生 DevOps（第二版）》

Name: 《使用 Kubernetes 实现云原生 DevOps（第二版）》
ISBN: 9798341659179

by Justin Domingus, John Arundel

May 2025

Intermediate to advanced

356 pages

3h 47m

Chinese

O'Reilly Media, Inc.

Read now

Unlock full access

第二版前言
第一版前言
序言
我能学到什么？这本书适合哪些人阅读？本书回答了哪些问题？本书使用的约定使用代码示例O'Reilly 在线学习如何联系我们致谢
1.云的革命
云的创建购买时间基础设施即服务DevOps 的曙光改进反馈回路DevOps 意味着什么？基础设施即代码共同学习集装箱的到来技术现状框内思考将软件放入容器中即插即用应用指挥集装箱乐团Kubernetes从博格到 Kubernetes为什么选择 Kubernetes？Kubernetes 会消失吗？Kubernetes 不是万能药Cloud Native业务的未来分布式 DevOps有些事情仍将集中处理开发人员生产力工程你就是未来摘要
2.使用 Kubernetes 的第一步
运行第一个集装箱安装 Docker 桌面什么是 Docker？运行容器映像演示应用程序查看源代码介绍围棋演示应用程序如何运行建造集装箱了解 Dockerfiles最小化容器图像运行 Docker 映像构建为图像命名端口转发集装箱登记处验证注册表命名和推广你的形象管理您的形象你好，Kubernetes运行演示应用程序如果容器无法启动Minikube摘要
3.获取 Kubernetes
集群架构控制平面节点组件高可用性自托管 Kubernetes 的成本比你想象的更辛苦不仅仅是初始设置工具不能帮你完成所有工作Kubernetes 的艰难之路Kubernetes 很难行政间接费用从托管服务开始Kubernetes 托管服务谷歌 Kubernetes 引擎（GKE）群集自动扩展自动驾驶仪亚马逊弹性 Kubernetes 服务（EKS）Azure Kubernetes 服务（AKS）IBM Cloud Kubernetes 服务数字海洋 KubernetesKubernetes 安装程序酒壶KubespraykubeadmRancher Kubernetes 引擎（RKE）Puppet Kubernetes 模块购买或建造：我们的建议减少运行软件尽可能使用托管 Kubernetes但供应商锁定怎么办？裸机和预置多云 Kubernetes 集群OpenShift安托斯必要时使用标准 Kubernetes 自托管工具无集群容器服务AWS FargateAzure 容器实例（ACI）Google Cloud Run摘要
4.使用 Kubernetes 对象
部署监督和调度重启容器创建部署豆荚复制集保持理想状态Kubernetes 调度器YAML 格式的资源清单资源即数据部署清单使用 kubectl apply服务资源使用 kubectl 查询群集让资源更上一层楼Helm：Kubernetes 软件包管理器安装舵手安装舵手图图表、资料库和发布列出舵手发布摘要
5.资源管理
了解资源资源单位资源申请资源限制服务质量管理集装箱生命周期有效性探测器探头延迟和频率其他类型的探头就绪探测器启动探测器gRPC 探针基于文件的就绪探测器最小就绪秒数Pod 破坏预算使用命名空间使用命名空间我应该使用什么命名空间？服务地址资源配额默认资源请求和限制优化集群成本库贝科斯特优化部署优化豆荚垂直吊舱自动定标器优化节点优化存储清理未使用的资源检查备用容量使用预留实例使用可抢占（现货）实例保持工作量平衡摘要
6.运行集群
集群规模和扩展容量规划节点和实例扩展群集一致性检查CNCF 认证使用 Sonobuoy 进行一致性测试Kubernetes 审计日志混沌测试只有生产才是生产chaoskubekube-monkey强力密封摘要
7.Kubernetes 强力工具
掌握 kubectl外壳别名使用短标志资源类型缩写自动完成 kubectl 命令获取帮助获取 Kubernetes 资源帮助显示更详细的输出使用 JSON 数据和 jq观察物体描述对象利用资源强制 kubectl 命令何时不使用强制命令生成资源清单输出资源差异资源使用容器查看容器日志连接到容器用 kubespy 观察 Kubernetes 资源转发集装箱港口在容器上执行命令运行容器进行故障排除使用 BusyBox 命令在容器中添加 BusyBox在容器上安装程序上下文和命名空间kubeconfig 文件kubectx 和 kubenskube-ps1Kubernetes Shell 和工具kube-shell点击kubed-sh斯特恩Kubernetes 集成开发环境镜头VS 代码 Kubernetes 扩展构建自己的 Kubernetes 工具摘要

8.运行容器
集装箱和舱什么是集装箱？Kubernetes 中的容器运行时什么属于集装箱？什么属于花苞？集装箱清单图像标识符最新标签集装箱摘要基础图像标签港口资源申请和限制图像拉动政策环境变量集装箱安全以非根用户身份运行容器阻止根容器设置只读文件系统禁用权限升级能力Pod 安全环境Pod 服务账户卷数emptyDir 卷持久卷重启政策图像拉动秘诀初始化容器摘要
9.管理 Pod
标签什么是标签？选择器更多高级选择器标签的其他用途标签和注释节点亲和力硬亲和力软亲和力花苞亲和力和反亲和力保持花苞在一起保持舱体分离软性抗静电何时使用 Pod Affinities污点与宽容吊舱控制器守护进程集有状态集工作机会CronJobs水平吊舱自动标度仪操作符和自定义资源定义（CRD）入侵入侵控制器入境规则使用入口终止 TLS服务网格Istio林克德领事连接NGINX 服务网格摘要
10.配置和保密
配置地图创建配置地图从配置映射设置环境变量通过配置表设置整个环境在命令参数中使用环境变量从配置地图创建配置文件根据配置更改更新 PodKubernetes 的秘密将秘密作为环境变量使用档案写作秘诀阅读秘诀获取机密静态加密保密和配置地图秘密管理策略在版本控制中加密机密使用专用的秘密管理工具用 Sops 加密机密用 Sops 加密文件使用 KMS 后端密封的秘密摘要
11.安全、备份和集群健康
访问控制和权限按群组管理访问基于角色的访问控制（RBAC）介绍了解角色将角色与用户绑定我需要哪些角色？监控群集管理员的访问权限应用和部署RBAC 故障排除集群安全扫描守门员/OPAkube-bench库贝景观集装箱安全扫描克莱尔水锚机引擎Synk备份我需要备份 Kubernetes 吗？备份 etcd备份资源状态备份群集状态大小灾害Velero监测群组状态kubectlCPU 和内存利用率云提供商控制台Kubernetes 控制面板编织范围kube-op-view节点问题探测器更多阅读摘要
12.部署 Kubernetes 应用程序
用 Helm 创建任务舵手图里面有什么？舵模板插值变量在模板中引用值指定依赖关系部署舵手图设置变量在 Helm 版本中指定值使用 Helm 更新应用程序回滚到以前的版本创建 Helm 图表 Repo用 Sops 管理舵手图的秘密使用 Helmfile 管理多个图表舵手文件中有哪些内容？图表元数据应用舵手文件先进的清单管理工具定制唐卡卡皮坦叩击Ansiblekubeval摘要
13.开发工作流程
开发工具Skaffold网真航点KnativeOpenFaaS交叉平面部署战略滚动更新重新创建maxSurge 和 maxUnavailable蓝/绿部署彩虹部署金丝雀部署使用 Helm 处理迁移舵钩处理失败的钩子其他挂钩链钩摘要
14.Kubernetes 中的持续部署
什么是持续部署？我应该使用哪种 CD 工具？托管的 CI/CD 工具Azure 管道谷歌云构建代码保鲜GitHub 操作GitLab CI自托管 CI/CD 工具詹金斯无人机Tekton大堂三角帆阿尔戈龙骨云构建的 CI/CD 管道设置 Google Cloud 和 GKE分叉 Demo Repository创建人工制品注册中心容器存储库配置云构建构建测试容器运行测试构建应用程序容器替代变量Git SHA 标签验证 Kubernetes 清单发布图像创建第一个构建触发器测试触发器从 CI/CD 管道进行部署创建部署触发器调整示例管道GitOps通量摘要
15.可观察性和监测
什么是可观察性？什么是监控？封闭式监控向上 "意味着什么？记录指标介绍追踪可观察性可观察性管道Kubernetes 中的监控外部封闭检查内部健康检查摘要
16.Kubernetes 中的度量指标
衡量标准究竟是什么？时间序列数据计数器和量规指标能告诉我们什么？选择好的衡量标准服务：红色模式资源：USE 模式业务指标Kubernetes 指标分析指标简单平均数有什么问题？平均数、中位数和异常值发现百分位数将百分位数应用于度量数据我们通常想知道最坏的情况超越百分位数使用仪表盘绘制度量指标图所有服务均使用标准布局利用初级仪表板构建信息辐射器仪表板故障指标警报警报有什么问题？待命不应是地狱紧急、重要和可执行警报跟踪您的警报、非工作时间页面和唤醒服务度量工具和服务普罗米修斯谷歌运营套件AWS CloudWatchAzure 监测器Datadog新 Relic摘要
后记
下一步去哪里第二版说明欢迎登船
索引
关于作者

Content preview from 《使用 Kubernetes 实现云原生 DevOps（第二版）》

第 5 章资源管理资源管理

本作品已使用人工智能进行翻译。欢迎您提供反馈和意见：translation-feedback@oreilly.com

对一个人来说，没有什么是足够的，因为对他来说，足够的东西太少了。

伊壁鸠鲁

在本章中，我们将探讨如何充分利用集群：如何管理和优化资源使用，如何管理容器的生命周期，以及如何使用命名空间对集群进行分区。我们还将概述一些技术和最佳实践，以降低集群成本，实现物有所值。

您将了解如何使用资源请求、限制和默认值，以及如何使用 Vertical Pod Autoscaler 对其进行优化；如何使用就绪探针、有效性探针和 Pod 中断预算来管理容器；如何优化云存储；以及如何和何时使用可抢占式或保留实例来控制成本。

了解资源

假设你有一个 Kubernetes 集群，容量一定，节点数量合理，大小合适。如何才能物尽其用？也就是说，如何在确保有足够的余量应对需求高峰、节点故障和糟糕部署的同时，尽可能充分利用可用集群资源来满足工作负载的需求？

要回答这个问题，请把自己放在 Kubernetes 调度器的位置上，试着从它的角度看问题。调度器的工作是决定在哪里运行某个 Pod。是否有节点有足够的空闲资源来运行 Pod？

除非调度程序知道 Pod 运行需要多少资源，否则无法回答这个问题。需要 1 GiB 内存的 Pod 无法调度到只有 100 MiB 可用内存的节点上。

同样，当一个贪婪的 Pod 占用了太多资源，导致同一节点上的其他 Pod 陷入饥饿时，调度程序必须能够采取行动。但多少才算多？为了有效地调度 Pod，调度程序必须知道每个 Pod 的最小和最大允许资源需求。

这就是 Kubernetes 资源请求和限制的作用所在。Kubernetes 知道如何管理两种资源：CPU 和内存。还有其他一些重要的资源类型，比如网络带宽、磁盘 I/O 操作数（IOPS）和磁盘空间，这些资源可能会在集群中造成争用，但 Kubernetes 还没有办法描述 Pod 对这些资源的要求。

资源单位

如您所料，Pod 的 CPU 使用量是以 CPU 为单位表示的。一个 Kubernetes CPU 单位相当于一个 AWS 虚拟 CPU（vCPU）、一个 Google Cloud Core、一个 Azure vCore 或支持超线程的裸机处理器上的一个超线程。换句话说，1 CPU在 Kubernetes 术语中的含义就是你所想的那样。

由于大多数 Pod 不需要整个 CPU，因此请求和限制通常以毫微微（millicpus）为单位（有时也称为毫核）。内存以字节为单位，更方便的说法是兆字节（MIB）。

资源申请

Kubernetes资源请求指定了 Pod 运行所需的最低资源量。例如，资源请求为100m （100 毫pus）和250Mi （250 MiB 内存），这意味着 Pod 不能在可用资源少于这些资源的节点上调度。如果没有足够容量的节点可用，Pod 将保持pending 状态，直到有足够容量为止。

例如，如果所有集群节点都有两个 CPU 内核和 4GB 内存，那么请求 2.5 个 CPU 的容器将永远不会被调度，请求 5GB 内存的容器也不会被调度。

让我们来看看我们的演示程序中的资源请求是什么样的：

spec:
  containers:
  - name: demo
    image: cloudnatived/demo:hello
    ports:
    - containerPort: 8888
    resources:
      requests:

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341659179

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business