编辑“︁Kubernetes架构最佳实践”︁

{{DISPLAYTITLE:Kubernetes架构最佳实践}}  
{{Note|本文适用于Kubernetes初学者及需要优化集群架构的中高级开发者。}}  

== 简介 ==  
'''Kubernetes架构最佳实践'''是一组设计原则和模式，用于构建高可用、可扩展且安全的Kubernetes集群。这些实践涵盖控制平面配置、工作节点优化、网络策略、存储管理等方面，帮助用户避免常见陷阱并提升系统稳定性。  

== 核心原则 ==  
=== 1. 控制平面高可用性 ===  
* '''实践建议'''：  
  * 部署多个API Server实例，使用负载均衡器分发请求。  
  * 使用奇数个（如3或5）`etcd`节点实现分布式共识。  
  * 将控制平面组件（如Scheduler、Controller Manager）以多副本模式运行。  

<mermaid>  
graph TD  
    A[Load Balancer] --> B[API Server 1]  
    A --> C[API Server 2]  
    A --> D[API Server 3]  
    B --> E[etcd Cluster]  
    C --> E  
    D --> E  
</mermaid>  

=== 2. 节点与工作负载隔离 ===  
* '''关键点'''：  
  * 使用节点亲和性（Node Affinity）或污点（Taint）隔离生产与测试环境。  
  * 示例：通过标签隔离GPU节点：  

<syntaxhighlight lang="yaml">  
apiVersion: v1  
kind: Pod  
metadata:  
  name: gpu-pod  
spec:  
  affinity:  
    nodeAffinity:  
      requiredDuringSchedulingIgnoredDuringExecution:  
        nodeSelectorTerms:  
        - matchExpressions:  
          - key: accelerator  
            operator: In  
            values:  
            - gpu  
</syntaxhighlight>  

=== 3. 资源请求与限制 ===  
* '''公式'''：资源超卖比例应满足：  
  <math>\frac{\sum \text{容器资源请求}}{\text{节点容量}} \leq 0.7</math>  
* '''示例配置'''：  
<syntaxhighlight lang="yaml">  
resources:  
  requests:  
    cpu: "500m"  
    memory: "1Gi"  
  limits:  
    cpu: "1"  
    memory: "2Gi"  
</syntaxhighlight>  

== 网络最佳实践 ==  
=== 1. 网络策略（NetworkPolicy） ===  
* '''场景'''：限制前端Pod仅能访问后端服务：  
<syntaxhighlight lang="yaml">  
apiVersion: networking.k8s.io/v1  
kind: NetworkPolicy  
metadata:  
  name: frontend-policy  
spec:  
  podSelector:  
    matchLabels:  
      role: frontend  
  ingress:  
  - from:  
    - podSelector:  
        matchLabels:  
          role: backend  
</syntaxhighlight>  

=== 2. 服务网格集成 ===  
* '''建议'''：使用Istio或Linkerd实现细粒度流量控制，例如金丝雀发布：  
<mermaid>  
graph LR  
    A[Ingress] --> B[Service:v1]  
    A --> C[Service:v2]  
    B --> D[Pod:v1-90%]  
    C --> E[Pod:v2-10%]  
</mermaid>  

== 存储实践 ==  
* '''推荐方案'''：  
  * 使用`StorageClass`动态配置持久卷（PV）。  
  * 避免使用`hostPath`，优先选择CSI驱动（如AWS EBS、GCE PD）。  

== 安全实践 ==  
* '''关键措施'''：  
  * 启用RBAC并遵循最小权限原则。  
  * 示例：限制命名空间访问权限：  
<syntaxhighlight lang="yaml">  
apiVersion: rbac.authorization.k8s.io/v1  
kind: Role  
metadata:  
  namespace: dev  
  name: dev-reader  
rules:  
- apiGroups: [""]  
  resources: ["pods"]  
  verbs: ["get", "list"]  
</syntaxhighlight>  

== 实际案例 ==  
=== 案例：电商平台架构 ===  
* '''挑战'''：处理黑五期间流量激增。  
* '''解决方案'''：  
  * 使用Horizontal Pod Autoscaler（HPA）自动扩展应用：  
<syntaxhighlight lang="bash">  
kubectl autoscale deployment frontend --cpu-percent=50 --min=3 --max=10  
</syntaxhighlight>  
  * 结合Cluster Autoscaler动态增减节点。  

== 总结 ==  
{| class="wikitable"  
! 领域 !! 最佳实践  
|-  
| 控制平面 | 多副本+负载均衡  
|-  
| 工作负载 | 资源限制+隔离  
|-  
| 网络 | NetworkPolicy+服务网格  
|-  
| 存储 | 动态PV配置  
|-  
| 安全 | RBAC+Pod安全策略  
|}  

{{Tip|定期使用`kube-bench`进行CIS基准测试，确保架构符合安全标准。}}

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes最佳实践]]