1.解释ResourceQuota的作用。
答:ResourceQuota(资源配额 )用于限制 Kubernetes 命名空间内资源的消耗总量,避免单个命名空间过度占用集群资源,保障资源分配公平性。
2.解释Service Account的用途。
答:为 Pod 或系统组件提供身份标识,通过 RBAC 配置 API 访问权限,区分 Pod 身份,自动挂载访问令牌,支持 Pod 与集群交互,避免默认高权限风险。
3.详细解释Role和ClusterRole。
答:Role:作用于单个命名空间,定义该命名空间内资源操作权限(如 Pod、Service 访问)。
ClusterRole:作用于整个集群,管控集群级资源(如 Node、PV )或所有命名空间资源,适用于跨命名空间或集群级权限场景。
4.什么是K8s的NetworkPolicy?
答:是控制 Pod 网络流量的规则,基于标签匹配 Pod,定义入站(Ingress)、出站(Egress)流量策略,需网络插件支持,实现 Pod 间网络隔离与访问控制。
5.详细描述在K8s中如何控制跨Namespace的Pod访问?
答:1.为 Namespace、Pod 打标签(如 env=prod );
2.配置 NetworkPolicy,通过 namespaceSelector(匹配命名空间标签 )和 podSelector(匹配 Pod 标签 ),定义允许的跨命名空间访问规则(如端口、流量方向 );
3.应用规则后,验证 Pod 访问是否符合策略。
6.举例说明K8s中都有哪些常规的维护管理操作。
答:集群检查:kubectl get nodes 查看节点状态,kubectl get cs 检查控制平面组件;
故障排查:kubectl logs 看 Pod 日志,kubectl describe 查资源事件;
资源管理:kubectl delete 删除无用资源,kubectl top 监控资源使用;
备份恢复:etcdctl 备份恢复 ETCD 数据;
版本升级:kubeadm upgrade 升级集群与节点组件。
7.如何升级K8s到新的版本?在升级过程中应该注意哪些事项?
答:1.备份 ETCD 数据,防止升级失败丢失集群状态。
查看 Kubernetes 官方文档,确认版本兼容性,小版本逐步升级,避免跨大版本。
2.在控制平面节点驱逐节点负载,升级 kubeadm,升级 kubelet 和 kubectl
3.在工作节点驱逐节点负载,升级 kubeadm,升级 kubelet 和 kubectl
注意事项:
备份关键数据、版本兼容验证、监控与验证