kubernetes

从「改个端口」到 502：Next.js on k8s 的容器端口、Service 映射与 env 覆盖起因是一个看起来人畜无害的"顺手整理":线上一个 Next.js SSR 应用,容器监听在一个非标准的高端口上,有同学觉得"端口不统一、不如对齐成 80",于是把容器端口、健康探针、流量入口都改成了 80。结果上线后,Pod 起不来(readiness 一直不过)、对外请求大面积 502。

探索云原生

K8s 1.36 这个 GA 特性，把 initContainer 拉模型的 hack 干掉了OCI 规范建立的目的就是将容器镜像格式标准化，正如其名，OCI 镜像在之前一直用来跑容器，但现在它还能干更多事。

一次k8s升级引发的DevicePlugin注册失败最近把一个 Kubernetes 集群从旧版本升级到了新版本，集群里跑着一个自研的 device plugin（以 DaemonSet 形式部署）。升级前一切正常，升级后这个 DaemonSet 一启动就疯狂报错：

Kubernetes 应用 HTTPS 安全访问配置实践目录概述准备 TLS 证书场景 A：测试 / 内网（自签名证书，最快）场景 B：生产 / 公网（可信证书，推荐 cert-manager+Let’s Encrypt）

深入kube-apiserver认证机制：从Bearer Token到mTLS的完整认证链解析去年处理过一次安全事件：攻击者通过某个泄露的服务账号token，成功连接到了我们的K8s集群并创建了恶意Pod。事后复盘时，我发现自己对K8s的认证机制理解太浅——只知道用kubectl配置token，却不清楚认证是如何进行的、有哪些防护手段。

睡不醒男孩030823

云原生运维实战：高并发架构下的云原生可观测性、韧性降级与自动化干预体系在微服务与云原生架构全面普及的今天，运维（DevOps/SRE）的核心价值正在发生根本性的转变。传统的“看屏监控、兵来将挡”模式，在动辄数百个微服务、数万个容器的复杂分布式系统面前已经捉襟见肘。

第十三篇：《K8s 安全基础：RBAC、ServiceAccount、Pod Security》安全是 Kubernetes 生产化部署的核心议题。默认情况下，K8s 集群中的用户和 ServiceAccount 拥有一定的权限，但若不加限制，任何 Pod 都可能访问 API Server，甚至越权操作。本文详细讲解基于角色的访问控制（RBAC）、ServiceAccount 的用途，以及 Pod 安全标准（Pod Security Standards）和 Pod Security Admission（PSA）。通过这些机制，你可以实现细粒度的权限隔离和安全加固。

从0到1启动kube-apiserver：深入源码解析API Server启动全流程上个月遇到个诡异的集群启动问题：kube-apiserver进程在，日志也没有报错，端口也在监听，但就是无法创建Pod，kubectl命令卡死不动。查看了半小时日志没看出问题，最后只能翻源码排查。

第十四篇：《K8s 网络模型与 CNI 插件（Calico、Flannel、Cilium）》Kubernetes 对网络的基本要求是：每个 Pod 拥有独立的 IP，且 Pod 之间无需 NAT 直接通信。这一模型由 CNI（容器网络接口）插件实现。本文介绍 K8s 网络模型的核心原则，对比三种主流 CNI 插件：Flannel（简单易用）、Calico（支持网络策略）、Cilium（高性能 eBPF），并演示如何安装和配置 NetworkPolicy 实现微隔离。

使用Kubernetes Gateway API实现域名访问应用Kubernetes Gateway API 是一组 API 类别，可提供动态基础设施制备和高级流量路由。Gateway API，能取代功能受限且维护停滞的传统 Ingress，以标准化、角色分离的方式实现更强大的流量路由与策略管理。

深入kubectl create源码：从YAML到Pod的完整链路拆解有次帮同事排查问题，他的YAML文件里有3个资源（Deployment、Service、ConfigMap），执行kubectl create -f app.yaml后只成功创建了2个，Service死活创建不了，报错说已存在。但kubectl get svc一看，根本没有同名的Service！

万能的知了

K8s到底需不需要GPU节点？集群资源分配的底层逻辑摘要：很多团队上K8s后第一件事就是往集群里加GPU节点，然后发现利用率很低、调度有问题、GPU被低负载Pod占满。本文从K8s资源分配的底层机制讲起，搞清楚K8s怎么管理GPU、什么时候该加、以及常见的调度问题和解法。

K8S基础-控制器&deploy&pod回滚更新&servicePod是K8S最小管理单元，Pod的创建方式大致可分为两类1.自助式创建，由k8s直接创建出的Pod，直接删除就没有了，也不会重建

OceanBase数据库官方博客

OceanBase × Flink 数据集成系列——旁路导入连接器的批量写入能力Apache Flink 是一个开源的分布式流处理框架，广泛应用于实时和批量数据处理场景。OceanBase Flink DirectLoad 连接器（flink-connector-oceanbase-directload）是专门为 OceanBase 数据库设计的高性能数据导入工具，它利用 OceanBase 的旁路导入（Direct Load）技术，能够以极高的吞吐量将大批量数据快速写入数据库。

皮皮蟹虾饺

DNS协议指南：从报文格式到安全加密与 K8s 实战📌 本文亮点：从 DNS 报文字节级拆解到迭代/递归解析全流程，从 dig 高级用法到 DoH/DoT/DoQ 加密方案，从 DNSSEC 信任链到 K8s CoreDNS 服务发现，附 7 个实战排障场景！

kuboard v3创建用户分配命名空间2、用户组绑定集群角色

从kubectl源码学pprof：生产环境性能分析的实战指南上周我们生产环境出了个诡异的问题：kubectl get pod的响应时间从平时的200ms突然涨到了5-8秒。运维同学第一反应是apiserver负载高，要加机器。但我总觉得不对劲——如果是apiserver问题，其他接口也应该慢才对。

爱吃龙利鱼

K8s 监控实战：victoria-metrics-k8s-stack 高可用部署，资源占用直降 70%，比 Prometheus 省 5 倍磁盘在 K8s 集群监控领域，prometheus-kube-stack 长期是企业标准，但随着集群规模扩大，它的问题也越来越明显：Prometheus 单机存储瓶颈、高基数指标下内存暴涨、长期存储需要额外对接 Thanos/Cortex/VictoriaMetrics 才能解决，整体架构越来越重。相较之下，victoria-metrics-k8s-stack 直接将高可用、长期存储、低资源占用这些能力内置到监控栈本身，开箱即用，不需要再额外堆组件，是目前中小企业 K8s 监控场景下更轻量、更务实的选择。

Kubeflow ML 流水线 K8s 部署教程：机器学习工作流编排全攻略机器学习项目的工程化落地，往往卡在工作流管理这一环。从数据预处理、特征工程、模型训练、超参调优到最终部署，每个步骤都需要精确的依赖管理和资源调度。Kubeflow 正是为解决这一痛点而生——作为专为 Kubernetes 设计的机器学习平台，它将 ML 工作流的每个阶段都封装为可复用、可观测、可版本化的 Pipeline 组件，实现模型训练、调参（Katib）与部署（KServe）的一体化编排。