一、pod

二、Volume

volume可以为容器提供持久化存储，比如

三、私有镜像

在使用私有镜像时，需要创建一个docker registry secret，并在容器中引用。

创建docker registry secret：

四、RestartPoliy

支持三种RestartPolicy

• Always：只要退出就重启
• OnFailure：失败退出（exit code不等于0）时重启
• Never：只要退出就不再重启

注意，这里的重启是指在Pod所在Node上面本地重启，并不会调度到其他Node上去。

五、环境变量

环境变量为容器提供了一些重要的资源，包括容器和Pod的基本信息以及集群中服务的

信息等：

（1） hostname

HOSTNAME 环境变量保存了该Pod的hostname。

（2）容器和Pod的基本信息

Pod的名字、命名空间、IP以及容器的计算资源限制等可以以Downward API的方式获取

并存储到环境变量中。

(3) 集群中服务的信息

容器的环境变量中还包括了容器运行前创建的所有服务的信息，比如默认的kubernetes

服务对应了环境变量

• KUBERNETES_PORT_443_TCP_ADDR=10.0.0.1
• KUBERNETES_SERVICE_HOST=10.0.0.1
• KUBERNETES_SERVICE_PORT=443
• KUBERNETES_SERVICE_PORT_HTTPS=443
• KUBERNETES_PORT=tcp://10.0.0.1:443
• KUBERNETES_PORT_443_TCP=tcp://10.0.0.1:443
• KUBERNETES_PORT_443_TCP_PROTO=tcp
• KUBERNETES_PORT_443_TCP_PORT=443

由于环境变量存在创建顺序的局限性（环境变量中不包含后来创建的服务），推荐使

用DNS来解析服务。

六、ImagePullPolicy

支持三种ImagePullPolicy

• Always：不管镜像是否存在都会进行一次拉取。
• Never：不管镜像是否存在都不会进行拉取
• IfNotPresent：只有镜像不存在时，才会进行镜像拉取。

注意：

• 默认为 IfNotPresent ，但 :latest 标签的镜像默认为 Always 。
• 拉取镜像时docker会进行校验，如果镜像中的MD5码没有变，则不会拉取镜像数据。
• 生产环境中应该尽量避免使用:latest 标签，而开发环境中可以借助 :latest 标签自动拉取最新的镜像。

七、访问DNS的策略

通过设置dnsPolicy参数，设置Pod中容器访问DNS的策略

-ClusterFirst：优先基于cluster domaim 后缀，通过kube-dns查询 -Default：优先从kubelet中配置的DNS查询

注意：默认配置的dnsPolicy是ClusterFirst

1、使用主机的IPC命名空间

通过设置hostIPC参数True，使用主机的IPC命名空间，默认为False

2、使用主机的网络命名空间

通过设置hostNetwork参数True，使用主机的网络命名空间，默认为False

3、使用主机的PID空间

通过设置hostPID参数True，使用主机的PID命名空间，默认为False

4、设置Pod中的hostname

通过hostname参数实现，如果未设置默认使用PodName作为Pod的hostname

5、设置Pod的子域名

通过subdomain参数设置Pod的子域名，默认为空

指定hostname为busybox-2和subdomain为default-subdomain，完整域名

为 busybox-2.default-subdomain.default.svc.cluster.local ：

八、资源限制

Kubernetes通过cgroups限制容器的CPU和内存等计算资源，包括requests（请求，调度器保证调度到资源充足的Node上）和limits（上限）等：

• spec.containers[].resources.limits.cpu ：CPU上限，可以短暂超过，容器也不会被停止
• spec.containers[].resources.limits.memory ：内存上限，不可以超过；如果超过，容器可能会被停止或调度到其他资源充足的机器上
• spec.containers[].resources.requests.cpu ：CPU请求，可以超过
• spec.containers[].resources.requests.memory ：内存请求，可以超过；但如果超过，容器可能会在Node内存不足时清理

比如nginx容器请求30%的CPU和56MB的内存，但限制最多只用50%的CPU和128MB的内存：

注意，CPU的单位是milicpu，500mcpu=0.5cpu；而内存的单位则包括E, P, T, G, M, K,Ei, Pi, Ti, Gi, Mi, Ki等。 

九、健康检查

为了确保容器在部署后确实处在正常运行状态，Kubernetes提供了两种探针（Probe，支持exec、tcp和httpGet方式）来探测容器的状态：

• LivenessProbe：探测应用是否处于健康状态，如果不健康则删除重建改容器
• ReadinessProbe：探测应用是否启动完成并且处于正常服务状态，如果不正常则更新容器的状态

十、Init Container

Init Container在所有容器运行之前执行（run-to-completion），常用来初始化配置。

十一、容器生命周期钩子

容器生命周期钩子（Container Lifecycle Hooks）监听容器生命周期的特定事件，并在

事件发生时执行已注册的回调函数。支持两种钩子：

• postStart： 容器启动后执行，注意由于是异步执行，它无法保证一定在ENTRYPOINT之后运行。如果失败，容器会被杀死，并根据RestartPolicy决定是否重启
• preStop：容器停止前执行，常用于资源清理。如果失败，容器同样也会被杀死

而钩子的回调函数支持两种方式：

• exec：在容器内执行命令
• httpGet：向指定URL发起GET请求

postStart和preStop钩子示例：

十二、使用Capabilities

默认情况下，容器都是以非特权容器的方式运行。比如，不能在容器中创建虚拟网卡、配置虚拟网络。

Kubernetes提供了修改Capabilities的机制，可以按需要给给容器增加或删除。

比如下面的配置给容器增加了 CAP_NET_ADMIN 并删除了 CAP_KILL 。

十三、限制网络带宽

可以通过给Pod增加 kubernetes.io/ingressbandwidth和 kubernetes.io/egress-bandwidth 这两个annotation来限制Pod的网络带宽

目前只有kubenet网络插件支持限制网络带宽，其他CNI网络插件暂不支持这个功能。

kubenet的网络带宽限制其实是通过tc来实现的

十四、调度到指定的Node上

可以通过nodeSelector、nodeAffinity、podAffinity以及Taints和tolerations等来将Pod调

度到需要的Node上。

也可以通过设置nodeName参数，将Pod调度到制定node节点上。

比如，使用nodeSelector，首先给Node加上标签：

kubectl label nodes <your-node-name> disktype=ssd

接着，指定该Pod只想运行在带有 disktype=ssd 标签的Node上：

十五、自定义hosts

默认情况下，容器的 /etc/hosts 是kubelet自动生成的，并且仅包含localhost和podName等。不建议在容器内直接修改 /etc/hosts 文件，因为在Pod启动或重启时会被覆盖。

默认的 /etc/hosts 文件格式如下，其中 nginx-4217019353-fb2c5 是podName：

从v1.7开始，可以通过 pod.Spec.HostAliases 来增加hosts内容，如