机制说明

kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API server是集群内部各个组件通信的中介，也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证（Authentication）、鉴权（Authorization）、准入控制（Admission Control）三步来保证API Server的安全

指定调度节点

1 Pod.spec.nodeName将Pod直接调度到指定的Node节点上，会跳过Scheduler的调度策略，该匹配规则是强制匹配

Taint和Toleration（污点和容忍）

节点亲和性，是Pod的一种属性(偏好或硬性要求)，它使Pod被吸引到一类特定的节点。Taint则相反，它使节点能够排斥一类特定的Pod

节点亲和性

pod.spec.nodeAffinity

简介

Scheduler是kubernetes的调度器，主要的任务是把定义的Pod分配到集群的节点上。听起来非常简单，但是有很多要考虑的问题：

个人理解：PVC绑定PV

概念

容器磁盘上的文件的声明周期是短暂的，这就使得容器中运行重要应用时会出现一些问题。首先，当容器崩溃时，kubelet会重启它，但是容器中的文件将丢失–容器以干净的状态（镜像最初的状态）重新启动。其次，在pod中同时运行多个容器时，这些容器之间通常需要共享文件。kubernetes中的volume抽象就很好的解决了这些问题

背景

Secret存在意义

Secret解决了密码、token、秘钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者Pod spec中。Secret可以以Volume或者环境变量的方式使用

ConfigMap描述

ConfigMap功能在k8s1.2版本中引入，许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API给我们提供了向容器中注入配置信息的机制，ConfigMap可以被用来保存单个属性，也可以用来保存整个配置文件或JSON二进制大对象

Ingress-nginx github地址： https://github.com/kubernetes/ingress-nginx

Ingress-nginx 官方网站： https://kubernetes.github.io/ingress-nginx