一文读懂K8S kubectl 命令，运维小白必看！

一、Kubectl 是什么？

Kubectl 是 Kubernetes（简称 K8S）集群的命令行工具，它就像是一把万能钥匙，让我们可以与 K8S 集群进行交互，轻松管理集群中的各种资源，像是 Pod、Service、Deployment 等等。通过向 K8S API 发送 REST 请求，kubectl 实现了对集群资源的增删改查等操作，无论是日常的运维管理，还是应用的部署调试，它都能帮上大忙。

在 K8S 运维的过程中，经常需要使用 kubectl 来完成各种任务，接下来就给大家详细介绍一下它的常用命令。如果大家想要深入了解更多细节，还可以查看官方文档：kubernetes.io/docs/reference/kubectl/overview/ 。

二、Kubectl 基本语法

kubectl 的语法格式为：kubectl [command] [TYPE] [NAME] [flags]。下面详细解释一下各部分的含义：

• command：指定要对资源执行的操作，例如 create（创建）、get（获取）、describe（描述）、delete（删除）等，这些操作涵盖了对 K8S 资源的增删改查等各个方面。比如，使用 "kubectl create" 可以从文件或标准输入创建资源，"kubectl get" 能用来查看一个或多个资源的信息。
• TYPE：表示资源对象的类型，它不区分大小写，可以指定单数、复数或缩写形式。像 Pod 资源，既可以写成 "pod"，也可以是 "pods" 或者 "po"；Deployment 可以写成 "deployment""deployments" 或 "deploy"。举个例子，"kubectl get pods" 和 "kubectl get po" 效果是一样的，都能获取 Pod 资源列表。
• NAME：资源对象的名称，区分大小写。如果省略名称，就会显示指定 TYPE 的所有资源对象的详细信息。比如 "kubectl get pods" 会列出所有 Pod，而 "kubectl get pod nginx-pod" 则是获取名为 "nginx-pod" 的 Pod 信息。另外，在一个命令中也可以同时操作多个资源对象，以多个 TYPE 和 NAME 的组合表示，像 "kubectl get pod example-pod1 example-pod2" 能同时获取两个 Pod 的信息，"kubectl get pod/example-pod1 replicationcontroller/example-rc1" 则可以获取指定 Pod 和 ReplicationController 的信息。
• flags ：这是一些可选的参数，用于满足特定的需求。例如，使用 "-s" 或 "--server" 参数可以指定 Kubernetes API 服务器的地址和端口，"-n" 或 "--namespace" 用于指定命名空间，"-o" 或 "--output" 能指定输出格式，像 "-o wide" 可以输出更详细的资源信息，"-o yaml" 则以 YAML 格式展示资源详情。

假设我们有一个名为 "nginx-deployment.yaml" 的文件，里面定义了一个 Nginx 的 Deployment 资源，现在要创建它并查看创建后的情况，就可以使用如下命令：

# 创建Deployment资源
kubectl create -f nginx-deployment.yaml
# 查看创建后的Pod信息，以宽格式输出，包含更多细节
kubectl get pods -o wide

这里先是用 "kubectl create -f" 命令依据配置文件创建资源，接着用 "kubectl get pods -o wide" 查看创建出来的 Pod 的详细信息，包括 IP 地址、所在节点等，通过这两条命令组合，完成了从创建到初步查看的操作流程。

三、常用命令分类详解

（一）获取信息类

• kubectl get ：这是查看资源的 "神器"，能列出一个或多个资源的信息。比如查看所有 Pod：kubectl get pods；查看特定命名空间下的所有服务：kubectl get svc -n <namespace>；还可以用-o wide参数查看更详细的信息，像 Pod 的 IP、所在节点等：kubectl get pods -o wide。例如，部署了一个 Nginx 服务，使用kubectl get pods -o wide就能看到 Nginx Pod 的运行状态、IP 地址以及运行在哪个节点上，方便我们快速了解服务的部署情况。
• kubectl describe ：用于显示资源的详细信息，包括资源的状态、事件、关联的其他资源等。比如查看一个 Pod 的详细情况：kubectl describe pod <pod-name>，它会列出 Pod 的生命周期、容器状态、启动时间、最近的事件等信息，帮助我们排查 Pod 启动失败或运行异常的原因；查看一个 Deployment 的详细信息：kubectl describe deployment <deployment-name>，能了解到副本数量、更新策略、Pod 模板等内容，对部署的整体情况了如指掌。假设一个 Deployment 更新出现问题，通过kubectl describe deployment查看详细信息，就能发现是镜像拉取失败还是资源配额不足等问题。
• kubectl logs ：用来查看容器内的日志，对于调试应用程序非常关键。例如，查看某个 Pod 中特定容器的日志：kubectl logs <pod-name> -c <container-name>，如果容器启动报错，通过查看日志就能快速定位问题所在；还可以使用-f参数实时跟踪日志输出，就像实时监控程序运行状态一样：kubectl logs -f <pod-name>。比如一个 Web 应用的 Pod 出现 500 错误，通过kubectl logs -f查看日志，能实时看到报错信息，及时修复问题。
• kubectl top ：可以查看资源的实时使用情况，如 CPU、内存等。像查看节点的资源使用：kubectl top nodes；查看 Pod 的资源使用：kubectl top pods，能够帮助我们及时发现资源瓶颈，合理调整资源分配。例如，发现某个节点的 CPU 使用率持续偏高，就可以考虑增加该节点的资源或者对运行在上面的 Pod 进行优化。

（二）调试诊断类

• kubectl exec ：能在容器内执行命令，相当于直接进入容器的 "内部世界"。比如进入一个运行着 Nginx 的容器：kubectl exec -it <pod-name> -c <container-name> -- bash（-c指定容器名，若 Pod 只有一个容器可省略；-it用于交互式操作），进入后可以查看容器内的文件系统、运行进程等，排查配置错误或程序运行时的问题。假设 Nginx 配置的虚拟主机不生效，进入容器后查看 Nginx 配置文件，就能快速发现是配置写错还是文件没加载成功。
• kubectl port-forward ：用于将本地端口转发到 Pod 的端口，方便在本地访问 Pod 内运行的服务。例如，将本地的 8080 端口转发到 Pod 的 80 端口：kubectl port-forward <pod-name> 8080:80，这样在本地浏览器访问localhost:8080就相当于访问 Pod 内的服务，便于调试服务接口。当开发一个后端 API 服务时，通过kubectl port-forward将服务端口转发到本地，前端开发人员就可以在本地直接调用接口进行联调，无需将服务暴露到外网。
• kubectl run ：可以快速在集群中运行一个临时的 Pod，用于测试或临时任务。比如运行一个 CentOS 镜像的 Pod：kubectl run centos-test --image=centos --rm -it -- bash（--rm表示任务结束后自动删除 Pod，-it交互式操作），进入后可进行一些临时的系统测试或命令验证。当需要在集群环境中测试一条新的系统命令是否可用，或者验证某个依赖库在特定版本系统中的安装情况时，kubectl run就能派上用场。
• kubectl attach ：用于连接到一个正在运行的容器的标准输入、输出和错误流，实时查看容器的输出信息。比如kubectl attach <pod-name> -c <container-name>，适用于一些长时间运行且输出信息重要的容器，像日志收集容器，通过kubectl attach可以实时关注日志收集情况，确保日志没有丢失或异常。
• kubectl debug ：这是 Kubernetes 1.18 版本引入的新命令，用于创建一个临时的调试容器，方便排查 Pod 的问题。例如，kubectl debug <pod-name> -it --image=busybox会在目标 Pod 的相同命名空间下创建一个基于 BusyBox 镜像的调试容器，并挂载目标 Pod 的文件系统，进入调试容器后就可以查看目标 Pod 的文件、运行环境等，辅助排查问题。假设一个应用 Pod 运行异常，通过kubectl debug创建调试容器，对比正常环境下的文件权限、配置文件内容等，找出差异，定位问题根源。

（三）状态管理类

• kubectl create ：从文件或标准输入创建资源，是资源创建的基础命令。比如创建一个 Deployment：kubectl create -f deployment.yaml，其中deployment.yaml是定义 Deployment 资源的配置文件，文件中包含了副本数量、Pod 模板、镜像等信息，通过这条命令就能将应用部署到集群中；还可以创建 Service、Pod 等其他资源：kubectl create -f service.yaml、kubectl create -f pod.yaml。当开发完成一个新的微服务，将其打包成镜像后，编写对应的 Deployment 和 Service 配置文件，使用kubectl create命令就能快速将服务上线。
• kubectl apply ：与kubectl create类似，用于从文件或标准输入应用资源配置，但它更智能，会对资源进行创建或更新操作。如果配置文件中的资源不存在，就创建；如果已存在，则根据配置文件中的更改进行更新。例如，更新一个 Deployment 的配置：kubectl apply -f updated-deployment.yaml，它会自动对比新旧配置的差异，进行滚动更新，确保服务不间断运行。在持续集成和持续部署（CI/CD）流程中，每次代码更新后构建新的镜像，修改 Deployment 配置文件中的镜像版本，使用kubectl apply就能无缝更新线上服务。
• kubectl delete ：用于删除资源，既可以删除单个资源，也可以根据标签选择器批量删除资源。比如删除一个 Pod：kubectl delete pod <pod-name>；删除指定命名空间下所有带有某个标签的 Pod：kubectl delete pod -n <namespace> -l <label-key>=<label-value>；还能删除 Deployment、Service 等其他资源：kubectl delete deployment <deployment-name>、kubectl delete service <service-name>。当一个测试环境的服务不再使用，或者某个 Pod 出现故障无法修复时，就可以使用kubectl delete清理资源。
• kubectl edit ：在默认编辑器中打开资源的配置进行编辑，编辑完成保存后，配置会自动应用到集群中的资源上。例如，编辑一个 Deployment 的副本数量：kubectl edit deployment <deployment-name>，编辑器打开后，修改spec.replicas字段的值，保存退出，集群中的 Deployment 副本数量就会相应更新。如果线上服务负载突然增加，通过kubectl edit快速调整 Deployment 的副本数量，实现快速扩容。
• kubectl label ：为资源添加、修改或删除标签，标签在 Kubernetes 中用于资源分类、筛选和管理。比如给一组 Pod 添加一个环境标签：kubectl label pods <pod-name1>,<pod-name2> environment=production；修改标签的值：kubectl label pods <pod-name> environment=test --overwrite；删除标签：kubectl label pods <pod-name> environment-。在一个多环境（开发、测试、生产）的集群中，通过给不同环境的资源打上对应的标签，方便在进行资源操作（如升级、回滚）时快速筛选出目标资源。
• kubectl annotate ：用于给资源添加注释，注释可以存储一些关于资源的额外信息，方便后续查看和管理。例如，给一个 Deployment 添加注释说明其用途：kubectl annotate deployment <deployment-name> description="This is a backend service for our app"；查看注释 ：kubectl describe deployment <deployment-name>，在描述信息中就能看到添加的注释内容。当团队成员交接项目，或者对资源的用途不太明确时，注释就能提供详细的说明信息。

（四）扩缩容类

• kubectl scale ：手动调整 Deployment、ReplicaSet 或 ReplicationController 等资源的副本数量，实现应用的扩缩容。比如将一个 Deployment 的副本数量从 3 个扩展到 5 个：kubectl scale deployment <deployment-name> --replicas=5；将副本数量减少到 1 个：kubectl scale deployment <deployment-name> --replicas=1。在电商促销活动期间，业务流量大增，通过kubectl scale快速增加后端服务的 Pod 副本数量，提升系统的处理能力；活动结束后，再将副本数量降下来，节省资源成本。
• kubectl autoscale ：根据 CPU 使用率等指标自动调整 Pod 的副本数量，确保应用在不同负载下的稳定性和资源利用率。例如，为一个 Deployment 设置自动扩缩容，使其在 CPU 使用率达到 80% 时进行扩容，副本数量在 2 到 10 之间：kubectl autoscale deployment <deployment-name> --min=2 --max=10 --cpu-percent=80。对于一些流量波动较大的在线应用，如社交媒体平台，白天用户活跃时流量高，夜间流量低，使用kubectl autoscale就能让系统自动根据负载调整资源，无需人工干预。

（五）部署管理类

• kubectl rollout ：用于管理资源的部署，包括更新、暂停、恢复、查看状态等操作。比如查看 Deployment 的滚动更新状态 ：kubectl rollout status deployment <deployment-name>，它会实时显示更新的进度，如已更新的副本数量、剩余的副本数量等；暂停 Deployment 的更新 ：kubectl rollout pause deployment <deployment-name>，在暂停期间可以对更新过程进行人工干预，如检查新版本的运行情况；恢复更新 ：kubectl rollout resume deployment <deployment-name>。当进行应用版本升级时，使用kubectl rollout系列命令能精细控制更新过程，确保升级顺利。
• kubectl rollout history ：查看资源的部署历史记录，包括每次更新的版本、变更原因等信息。例如，查看一个 Deployment 的历史版本：kubectl rollout history deployment <deployment-name>，可以看到之前部署过的各个版本，方便在出现问题时回滚到指定版本。如果新版本上线后出现兼容性问题，通过kubectl rollout history查看历史版本，选择一个稳定的旧版本进行回滚。
• kubectl rollout undo ：将资源回滚到上一个版本或指定版本，快速恢复到之前的稳定状态。比如回滚到上一个版本：kubectl rollout undo deployment <deployment-name>；回滚到指定版本：kubectl rollout undo deployment <deployment-name> --to-revision=<revision-number>。在生产环境中，新版本出现故障时，kubectl rollout undo能迅速将服务回滚，降低故障影响。
• kubectl patch ：对资源进行部分更新，无需修改整个资源配置文件，通过指定要更新的字段和值来实现。例如，更新一个 Deployment 的镜像版本：kubectl patch deployment <deployment-name> --patch '{"spec": {"template": {"spec": {"containers": [{"name": "nginx", "image": "nginx:1.19"}}]}}}'，相比重新编辑整个配置文件，kubectl patch更加灵活高效，适用于只需要修改少数字段的场景。

（六）安全认证类

• kubectl auth ：用于检查授权信息，确保用户或服务账户对资源的操作具有相应的权限。比如查看当前用户对某个资源的访问权限：kubectl auth can-i <verb> <resource> -n <namespace>（<verb>为操作动词，如get、create等，<resource>为资源类型，如pod、deployment等），可以帮助管理员排查权限问题，保障集群的安全性。当用户反馈无法创建 Pod 时，管理员通过kubectl auth命令检查用户权限，确定是权限配置错误还是其他原因。
• kubectl create secret ：创建 Secret 资源，Secret 用于存储敏感信息，如密码、密钥等，确保这些信息在集群中以加密的方式存储和传输。例如，创建一个包含数据库密码的 Secret：kubectl create secret generic db-password --from-literal=password=secret123，应用在访问数据库的 Pod 中可以通过挂载 Secret 来获取密码，避免明文密码暴露在配置文件中，提高安全性。
• kubectl certificate ：用于管理证书相关操作，如创建、更新、查看证书等，保障集群内部通信以及对外服务的安全性。像创建一个用于服务间通信的 TLS 证书：kubectl certificate create <certificate-name> --key <private-key-file> --cert <certificate-file>，确保服务之间的数据传输加密，防止数据泄露风险。在搭建对外提供 HTTPS 服务的应用时，使用kubectl certificate管理证书，保障用户数据安全。

四、命令使用注意事项

在使用 kubectl 命令时，也有一些需要注意的地方：

• 权限问题：使用 kubectl 操作 K8S 资源需要相应的权限，权限不足会导致命令执行失败。Kubernetes 使用基于角色的访问控制（RBAC）来管理权限，确保用户或服务账户具有执行操作所需的权限。如果遇到权限问题，可以检查角色绑定和集群角色绑定，确保用户或服务账户被正确授权。
• 资源依赖关系：创建或更新资源时，要注意资源之间的依赖关系。例如，一个 Pod 依赖于存储卷、配置文件等资源，如果这些依赖资源不存在或配置错误，Pod 可能无法正常启动。在部署应用时，要确保相关的资源都已正确配置和创建。
• 命令的兼容性：不同版本的 Kubernetes 和 kubectl 可能存在一些细微的命令差异或行为变化。在使用时，要注意版本兼容性，查阅对应版本的文档，确保使用的命令在当前环境下有效。有些命令在新版本中可能被废弃或更改了参数用法，及时了解这些变化能避免不必要的错误。

总之，熟练掌握 kubectl 命令能够让我们在 Kubernetes 集群管理中更加得心应手，但在操作过程中一定要谨慎，多查阅官方文档，确保每一个命令都能准确执行，保障集群的稳定运行。

五、总结与实践建议

Kubectl 作为 Kubernetes 集群管理的得力助手，其丰富的命令集能够满足我们在不同场景下的需求。无论是日常运维、应用部署，还是故障排查、性能优化，熟练掌握 kubectl 命令都能让我们事半功倍。希望大家在实际工作中多多实践，结合具体的业务场景去运用这些命令，不断加深理解。同时，Kubernetes 生态在不断发展，kubectl 也会随之更新，建议大家持续关注官方文档以及社区动态，以便及时掌握最新的知识和最佳实践，让我们在云原生的道路上越走越稳。