开发K8s准入控制器前的准备工作:集群检查与项目搭建指南

原创 于 2026-06-20 17:26:07 发布 · 181 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#kubernetes #容器 #云原生 #kubelet #docker

前言

在上一篇文章中,我们规划了要开发一个自动注入Nginx Sidecar的Webhook。但在真正开始写代码之前,必须先做好充分的准备工作。

我曾经踩过一个坑:代码写完了,部署到集群却发现apiserver根本没有启用MutatingAdmissionWebhook插件,导致Webhook完全不生效。回过来检查配置、重新编译apiserver,浪费了大量时间。

今天就详细讲讲开发K8s准入控制器前的准备工作,包括集群环境检查、项目初始化、配置设计等。

第一步:检查集群准入配置

1.1 检查Admission Registration API

首先确认集群是否启用了准入控制的API:

kubectl api-versions | grep admission

期望的输出:

admissionregistration.k8s.io/v1
admissionregistration.k8s.io/v1beta1

说明

  • v1是稳定版本(Kubernetes 1.16+)
  • v1beta1是旧版本,建议用v1
  • 如果没有输出,说明集群版本太旧(<1.9),不支持Webhook

1.2 检查准入控制插件

确认apiserver启用了MutatingAdmissionWebhookValidatingAdmissionWebhook

# 方法1:查看apiserver进程参数
ps aux | grep kube-apiserver | grep enable-admission-plugins

# 方法2:如果是静态Pod
kubectl get pod -n kube-system -l component=kube-apiserver -o yaml | grep enable-admission-plugins

# 方法3:查看kube-apiserver帮助(如果在本地有apiserver二进制文件)
kube-apiserver -h | grep enable-admission-plugins

Kubernetes 1.20+默认启用的插件

NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, 
PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, 
StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, 
CertificateApproval, CertificateSigning, CertificateSubjectRestriction, 
DefaultIngressClass, MutatingAdmissionWebhook, ValidatingAdmissionWebhook, 
ResourceQuota

关键插件

  • MutatingAdmissionWebhook:必须启用,用于Mutating Webhook
  • ValidatingAdmissionWebhook:必须启用,用于Validating Webhook

如果发现没有启用

# 修改apiserver启动参数
kube-apiserver \
  --enable-admission-plugins=...,MutatingAdmissionWebhook,ValidatingAdmissionWebhook

# 如果是kubeadm部署的集群,修改/etc/kubernetes/manifests/kube-apiserver.yaml

1.3 测试Webhook连通性

可以先创建一个简单的测试Webhook验证环境:

# 创建一个简单的nginx服务模拟Webhook
kubectl create deployment webhook-test --image=nginx
kubectl expose deployment webhook-test --port=443 --target-port=443

# 检查是否可以访问
kubectl get svc webhook-test

第二步:创建Go项目

2.1 初始化项目

# 创建项目目录
mkdir -p ~/projects/kube-mutating-webhook-inject-pod
cd ~/projects/kube-mutating-webhook-inject-pod

# 初始化Go模块
go mod init kube-mutating-webhook-inject-pod

# 创建项目结构
mkdir -p pkg deploy certs

2.2 添加依赖

# 添加K8s API依赖
go get k8s.io/api@latest
go get k8s.io/apimachinery@latest

# 添加YAML解析依赖
go get gopkg.in/yaml.v2

# 添加日志依赖(可选,也可以用标准库)
go get github.com/golang/glog

# 整理依赖
go mod tidy

生成的go.mod文件:

module kube-mutating-webhook-inject-pod

go 1.21

require (
	github.com/golang/glog v1.2.0
	gopkg.in/yaml.v2 v2.4.0
	k8s.io/api v0.28.0
	k8s.io/apimachinery v0.28.0
)

第三步:设计配置结构

3.1 配置文件设计

我们需要一个配置文件定义要注入的Sidecar容器。复用K8s原生的Container和Volume结构:

# config.yaml
containers:
  - name: sidecar-nginx
    image: nginx:1.25-alpine
    imagePullPolicy: IfNotPresent
    ports:
      - containerPort: 80
        protocol: TCP
    volumeMounts:
      - name: nginx-conf
        mountPath: /etc/nginx/conf.d
    resources:
      limits:
        cpu: 100m
        memory: 128Mi
      requests:
        cpu: 50m
        memory: 64Mi

volumes:
  - name: nginx-conf
    configMap:
      name: nginx-sidecar-config

设计说明

  • containers:要注入的sidecar容器列表(可以注入多个)
  • volumes:sidecar需要的volume
  • 使用K8s原生结构,便于验证和使用

3.2 Go结构体定义

// pkg/config.go
package main

import (
	corev1 "k8s.io/api/core/v1"
)

// Config 存储注入配置
type Config struct {
	Containers []corev1.Container `yaml:"containers"` // 要注入的容器
	Volumes    []corev1.Volume    `yaml:"volumes"`    // 要注入的volume
}

3.3 配置加载函数

// pkg/config.go

import (
	"crypto/sha256"
	"fmt"
	"io/ioutil"

	"github.com/golang/glog"
	"gopkg.in/yaml.v2"
)

// loadConfig 从文件加载配置
func loadConfig(configFile string) (*Config, error) {
	// 读取配置文件
	data, err := ioutil.ReadFile(configFile)
	if err != nil {
		return nil, fmt.Errorf("failed to read config file: %w", err)
	}

	// 计算配置文件的hash,便于调试
	glog.Infof("New configuration: sha256sum %x", sha256.Sum256(data))

	// 解析YAML
	var cfg Config
	if err := yaml.Unmarshal(data, &cfg); err != nil {
		return nil, fmt.Errorf("failed to parse config: %w", err)
	}

	return &cfg, nil
}

第四步:搭建HTTPS服务器

Webhook必须使用HTTPS(Kubernetes要求),所以我们需要:

  1. TLS证书(后续会生成)
  2. HTTPS服务器

4.1 Webhook配置结构

// pkg/webhook.go
package main

import (
	"net/http"
)

// webhookServer Webhook服务器
type webhookServer struct {
	sidecarConfig *Config      // 注入配置
	server        *http.Server // HTTP服务器
}

4.2 命令行参数

// main.go
package main

import (
	"flag"
	"fmt"

	"github.com/golang/glog"
)

// webHookSvrOptions Webhook服务器选项
type webHookSvrOptions struct {
	port           int    // HTTPS监听端口
	certFile       string // TLS证书文件路径
	keyFile        string // TLS私钥文件路径
	sidecarCfgFile string // Sidecar配置文件路径
}

func main() {
	var runOption webHookSvrOptions

	// 解析命令行参数
	flag.IntVar(&runOption.port, "port", 8443, "Webhook server port.")
	flag.StringVar(&runOption.certFile, "tlsCertFile", "/etc/webhook/certs/cert.pem", 
		"File containing the x509 Certificate for HTTPS.")
	flag.StringVar(&runOption.keyFile, "tlsKeyFile", "/etc/webhook/certs/key.pem", 
		"File containing the x509 private key to --tlsCertFile.")
	flag.StringVar(&runOption.sidecarCfgFile, "sidecarCfgFile", "config.yaml", 
		"File containing the mutation configuration.")
	flag.Parse()

	// 加载配置
	sidecarConfig, err := loadConfig(runOption.sidecarCfgFile)
	if err != nil {
		glog.Errorf("Failed to load configuration: %v", err)
		return
	}
	glog.Infof("[sidecarConfig:%v]", sidecarConfig)
}

4.3 加载TLS证书

// main.go

import (
	"crypto/tls"
)

func main() {
	// ... 加载配置 ...

	// 加载TLS证书对
	pair, err := tls.LoadX509KeyPair(runOption.certFile, runOption.keyFile)
	if err != nil {
		glog.Errorf("Failed to load key pair: %v", err)
		return
	}
	glog.Infof("Loaded TLS certificate successfully")
}

4.4 创建HTTPS服务器

// main.go

import (
	"fmt"
	"net/http"
)

func main() {
	// ... 加载配置和证书 ...

	// 创建Webhook服务器实例
	webhooksvr := &webhookServer{
		sidecarConfig: sidecarConfig,
		server: &http.Server{
			Addr:      fmt.Sprintf(":%v", runOption.port),
			TLSConfig: &tls.Config{
				Certificates: []tls.Certificate{pair},
			},
		},
	}

	// 创建路由
	mux := http.NewServeMux()
	mux.HandleFunc("/mutate", webhooksvr.serveMutate)
	mux.HandleFunc("/health", webhooksvr.serveHealth)
	webhooksvr.server.Handler = mux

	glog.Infof("Starting webhook server on port %d", runOption.port)

	// 在goroutine中启动服务器
	go func() {
		// 注意:ListenAndServeTLS的第一个参数为空字符串,使用server.Addr
		if err := webhooksvr.server.ListenAndServeTLS("", ""); err != nil {
			glog.Errorf("Failed to listen and serve webhook server: %v", err)
		}
	}()
}

4.5 添加Handler

// pkg/webhook.go

import (
	"io"
	"net/http"

	"github.com/golang/glog"
)

// serveMutate 处理/mutate请求
func (ws *webhookServer) serveMutate(w http.ResponseWriter, r *http.Request) {
	// 读取请求体
	body, err := io.ReadAll(r.Body)
	if err != nil {
		http.Error(w, fmt.Sprintf("could not read request body: %v", err), http.StatusBadRequest)
		return
	}

	glog.Infof("Received mutation request: %s", string(body))

	// TODO: 解析AdmissionReview,构造响应
	// 这部分在下一篇文章中详细讲解
}

// serveHealth 健康检查
func (ws *webhookServer) serveHealth(w http.ResponseWriter, r *http.Request) {
	w.WriteHeader(http.StatusOK)
	w.Write([]byte("ok"))
}

4.6 优雅关闭

// main.go

import (
	"context"
	"os"
	"os/signal"
	"syscall"
)

func main() {
	// ... 启动服务器 ...

	// 监听系统信号,实现优雅关闭
	signalChan := make(chan os.Signal, 1)
	signal.Notify(signalChan, syscall.SIGINT, syscall.SIGTERM)
	
	// 等待信号
	<-signalChan

	glog.Infof("Got OS shutdown signal, shutting down webhook server gracefully...")

	// 优雅关闭服务器
	ctx, cancel := context.WithTimeout(context.Background(), 10*time.Second)
	defer cancel()
	
	if err := webhooksvr.server.Shutdown(ctx); err != nil {
		glog.Errorf("Server shutdown error: %v", err)
	}
}

第五步:本地测试准备

5.1 创建测试证书(临时)

在正式部署前,可以用自签名证书本地测试:

# 生成私钥
openssl genrsa -out certs/server.key 2048

# 生成证书签名请求
openssl req -new -key certs/server.key -out certs/server.csr \
  -subj "/CN=localhost/O=Test"

# 生成自签名证书
openssl x509 -req -days 365 -in certs/server.csr \
  -signkey certs/server.key -out certs/server.crt

5.2 创建测试配置

# test-config.yaml
containers:
  - name: sidecar-nginx
    image: nginx:alpine
    ports:
      - containerPort: 80

volumes: []

5.3 本地运行测试

# 编译
go build -o webhook-server .

# 运行(使用测试证书)
./webhook-server \
  --port=8443 \
  --tlsCertFile=certs/server.crt \
  --tlsKeyFile=certs/server.key \
  --sidecarCfgFile=test-config.yaml

# 测试健康检查
curl -k https://localhost:8443/health
# 输出: ok

第六步:容器化准备

6.1 Dockerfile

# Dockerfile
FROM golang:1.21-alpine AS builder

WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download

COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -o webhook-server .

FROM alpine:latest
RUN apk --no-cache add ca-certificates

WORKDIR /
COPY --from=builder /app/webhook-server /webhook-server

# 创建证书和配置目录
RUN mkdir -p /etc/webhook/certs /etc/webhook/config

EXPOSE 8443

ENTRYPOINT ["/webhook-server"]

6.2 构建镜像

# 构建
docker build -t nginx-sidecar-injector:v1.0 .

# 测试运行
docker run -d \
  -p 8443:8443 \
  -v $(pwd)/certs:/etc/webhook/certs \
  -v $(pwd)/test-config.yaml:/etc/webhook/config/config.yaml \
  nginx-sidecar-injector:v1.0 \
  --sidecarCfgFile=/etc/webhook/config/config.yaml

准备工作清单

在开始写核心业务逻辑前,确保完成了以下检查:

  • 集群启用了admissionregistration.k8s.io/v1 API
  • 集群启用了MutatingAdmissionWebhookValidatingAdmissionWebhook插件
  • 创建了Go项目并初始化了模块
  • 设计了配置文件结构和加载逻辑
  • 搭建了基本的HTTPS服务器框架
  • 实现了配置加载功能
  • 实现了健康检查接口
  • 创建了Dockerfile用于容器化
  • 本地测试可以正常运行

常见问题排查

问题1:kubectl api-versions没有admissionregistration

原因:集群版本太旧(<1.9)

解决:升级Kubernetes版本

问题2:加载证书失败

Failed to load key pair: open /etc/webhook/certs/cert.pem: no such file or directory

原因:证书路径错误或证书不存在

解决

# 检查证书文件是否存在
ls -la certs/

# 确保路径正确
./webhook-server --tlsCertFile=./certs/server.crt --tlsKeyFile=./certs/server.key

问题3:端口被占用

Failed to listen and serve webhook server: listen :8443: bind: address already in use

解决

# 查找占用端口的进程
lsof -i :8443

# 杀掉进程或更换端口
./webhook-server --port=8444

问题4:配置文件解析失败

Failed to load configuration: failed to parse config: yaml: unmarshal errors

原因:YAML格式错误

解决:使用YAML验证工具检查配置文件

总结

完成准备工作后,项目结构应该是:

kube-mutating-webhook-inject-pod/
├── go.mod
├── go.sum
├── main.go              # 主程序入口
├── config.yaml          # 配置文件
├── pkg/
│   └── webhook.go       # Webhook逻辑(待实现)
├── certs/               # 证书目录
│   ├── server.crt
│   └── server.key
├── deploy/              # 部署文件(待创建)
└── Dockerfile

现在基础框架已经搭建好了,下一篇文章我们将实现核心的Mutation逻辑——解析AdmissionReview、构造JSON Patch、返回响应。

下一步

准备好环境后,就可以开始实现核心的Webhook逻辑了:

  1. 解析AdmissionReview请求
  2. 构造Pod Patch
  3. 返回AdmissionResponse
  4. 部署到K8s集群

你准备好了吗?

  1. 你的集群启用了MutatingAdmissionWebhook吗?
  2. 你是如何管理项目依赖的?Go Modules还是其他工具?
  3. 你在搭建HTTPS服务器时遇到过什么问题?

求助与交流

如果你在准备工作中遇到了问题,欢迎在评论区交流。

推荐开源项目:Kubewarden - Kubernetes动态准入控制器
gitblog_00681的博客
08-07 556
推荐开源项目:Kubewarden - Kubernetes动态准入控制器 kubewarden-controller一个Kubernetes适配器,用于Kubewarden Policy Server进行通信,实现策略管理。 - 功能:策略管理;安全策略执行;Kubernetes集群安全。 - 特点:Kubernetes无缝集成;支持多种策略类型;易于扩展;高度可定制。项目地址:h...
K8S集群准备Ceph存储
Gefangenes的博客
06-01 853
只需要将Rook官方提供的示例部署组件清单项目中 /rook/deploy/examples/csi/rbd 目录下的storageclass.yaml文件或storageclass-ec.yaml文件应用到K8S里即可(这两个文件的主要区别是保障数据高可用的方式不一样,者是通过多副本的方式,后者是通过擦除算法的方式保障节点故障时数据不丢失,后者不需要三倍的存储空间,但需要更多的CPU资源进行计算),它们都需要三个节点进行部署。Rook默认的RBD配置只指定了分层特性,以便较旧的内核广泛兼容。
39、Kubernetes 准入控制器高级调度实践
oo7890的博客
09-26 61
本文深入探讨了Kubernetes准入控制器高级调度的实践应用。首先通过创建验证Webhook实现对特定命名空间中Pod标签的自定义校验规则,展示了准入控制的实际操作流程;随后解析了Kubernetes调度器的工作机制,包括过滤、评分分配三个阶段,并介绍了如何利用节点及Pod间的亲和性反亲和性策略优化调度行为,满足不同业务场景的需求。最后总结了相关技术在实际部署中的价值未来发展方向。
第十三课 k8s源码学习和二次开发原理篇-准入控制器
QnHyn
11-03 535
第十三课 k8s源码学习和二次开发原理篇-准入控制器 tags: k8s 源码学习 categories: 源码学习 二次开发 准入控制器 文章目录第十三课 k8s源码学习和二次开发原理篇-准入控制器第一节 Admission Webhook介绍1.1 准入控制器介绍1.2 创建配置一个 Admission Webhook第二节 ValidatingAdmissionWebhook 实现2.1 准入控制器示例2.2 准入控制器逻辑实现2.3 证书准备2.4 Docker 镜像2.5 部署webho
云原生 AI 模型供应链安全:SLSA、Sigstore 签名 K8s 准入治理实践
我的博客
06-16 199
AI 模型供应链安全正在经历传统软件供应链 2017-2021 年的完整演化轨迹——从安全意识的觉醒,到标准化工具的建立,再到云原生基础设施的深度集成。威胁面:AI 模型供应链的攻击面远超传统软件——Pickle 反序列化可导致远程代码执行、模型"脑叶切除"可绕过安全对齐、LoRA 适配器劫持可在推理阶段激活、命名空间劫持可静默替换被广泛引用的模型。OWASP LLM03:2025 将其列为第三大 LLM 安全风险,拆解出 13 种具体攻击场景。签名基础设施。
第十四篇:《K8s 网络模型 CNI 插件(Calico、Flannel、Cilium)》
qq_45239623的博客
06-16 447
Kubernetes 对网络的基本要求是:每个 Pod 拥有独立的 IP,且 Pod 之间无需 NAT 直接通信。本文介绍 K8s 网络模型的核心原则,对比三种主流 CNI 插件:Flannel(简单易用)、Calico(支持网络策略)、Cilium(高性能 eBPF),并演示如何安装和配置 NetworkPolicy 实现微隔离。Calico 使用 BGP 路由协议(或 VXLAN)实现 Pod 通信,并原生支持 Kubernetes NetworkPolicy,是目生产环境最常用的 CNI 之一。
K8s 监控实战:victoria-metrics-k8s-stack 高可用部署,资源占用直降 70%,比 Prometheus 省 5 倍磁盘
lwxvgdv的博客
06-14 328
本文介绍了在Kubernetes集群中部署VictoriaMetrics高可用监控栈的实践指南。相比传统Prometheus方案,VictoriaMetrics具有更低资源占用(内存仅为1/3-1/7)、更高存储效率(磁盘占用低5-10倍)和原生集群模式等优势。文章详细提供了基于Helm的部署配置,包括vmcluster高可用架构(3副本vmstorage)、14天数据保留策略、vmagent采集配置等,并展示了Grafana可视化监控和NodePort访问方式。该方案特别适合中小企业K8s监控场景,能有效
DNS协议指南:从报文格式到安全加密 K8s 实战
Pierreze的博客
06-14 415
从 DNS 报文字节级拆解到迭代/递归解析全流程,从 dig 高级用法到 DoH/DoT/DoQ 加密方案,从 DNSSEC 信任链到 K8s CoreDNS 服务发现
k8s1.36部署helm和storageclass
lwxvgdv的博客
06-14 62
本文介绍了在Kubernetes集群中使用Helm部署NFS存储类(StorageClass)的完整流程。首先列出了包含4个节点(master01、node1、node2、nfs服务器)的集群配置信息,包括IP、主机名、CPU和内存规格。随后详细说明了在NFS服务器上配置存储的步骤:创建GPT分区、格式化XFS文件系统、设置自动挂载。最后通过Helm命令部署nfs-subdir-external-provisioner,配置NFS服务器地址、共享路径,并设置默认存储类。整个过程包含镜像仓库替换为阿里云源以加
深入kube-apiserver鉴权机制:从RBAC到Node的4种鉴权模式全解析
java_cj的专栏
06-17 318
本文深入解析Kubernetes鉴权机制,从认证鉴权的区别入手,详细介绍了K8s的4种鉴权模式(Node/RBAC/ABAC/Webhook)及其适用场景。通过分析kube-apiserver源码中的Authorizer接口、鉴权决策类型和Union鉴权模式,揭示了鉴权执行的底层逻辑:按顺序执行多个鉴权器,只要有一个明确决策(允许或拒绝)就立即返回,否则默认拒绝。文章最后指出了认证流程的关键区别,并强调鉴权顺序的重要性,为K8s权限管理提供了深入的技术洞察。
K8S存储管理
Breeze的博客
06-17 300
本章概述K8S存储管理按照发展的历程,涉及到有Volume、PV/PVC、StorageClass,Volume是最早提出的存储卷,主要解决容器和数据存储的依赖关系,抽象底层驱动以及支持不同的存储类型,使用Volume需要了解底层存储细节,因此提出了PV,Persistent Volume是由k8s管理员定义的存储单元,应用端使用PersistentVolumeClaims声明去调用PV存储,进一步抽象了底层存储;
如何在不影响业务的情况下对K8S集群升级
weixin_42795092的博客
06-13 372
版本不跨跳:逐小版本升级,降低兼容风险;必备份 + 预演:测试环境跑通再上生产;滚动分批:单节点操作,利用 K8s 调度实现业务无感;流程合规:走 ITIL 变更,窗口值守,留痕归档;兜底方案:原地升级配版本回滚,重大升级优先蓝绿迁移。
从0到1启动kube-apiserver:深入源码解析API Server启动全流程
java_cj的专栏
06-16 377
本文深入分析了Kubernetes核心组件kube-apiserver的启动流程。首先介绍了kube-apiserver作为集群"大脑"的重要地位,承担API网关、认证鉴权、准入控制等核心职责。随后通过源码剖析了启动的三个关键阶段:1)准备阶段(参数解析、配置补全校验);2)创建阶段(构建由KubeAPIServer、APIExtensionsServer和AggregatorServer组成的服务链);3)运行阶段(启动HTTP服务并阻塞等待)。特别强调了kube-apiserver内部的三层服务架构设
K8S基础-控制器&deploy&pod回滚更新&service
2401_87348491的博客
06-15 269
Deployment通过控制管理Replicaset,Replicaset管理Pod,来实现对pod的管理Deploy主要功能有以下几个:支持ReplicaSe的所有功能、副本支持发布的停止、继续支持滚动升级和回滚版本apiVersion: apps/v1 # 版本号kind: Deployment # 类型metadata: # 元数据name: # rs名称namespace: # 所属命名空间labels: #标签spec: # 详情描述replicas: 3 # 副本数量。
K8s灾备利器:Velero部署备份还原演示
专注Linux运维与云原生技术分享。这里是我的技术成长基地,记录从Linux基础命令到Shell脚本,再到Docker、K8s实战的点滴积累。坚持输出干货笔记,希望能帮你避坑排雷,共同在云原生时代进阶!
06-16 599
Velero是Kubernetes集群备份、恢复及迁移的开源利器。本文实战演示了基于MinIO对象存储部署Velero的完整流程,涵盖客户端安装、服务端配置及test命名空间的备份误删恢复验证,助您快速掌握K8s数据保护核心工作流。
**国内阿里云环境**ubuntu22安装k8s1.32
yuezhilangniao的博客
06-14 278
摘要: 本文详细介绍了在国内阿里云环境下,使用Ubuntu 22.04安装Kubernetes 1.32的步骤,区分了无GPU的VMware虚拟机和有GPU(P100)的物理服务器环境。主要包括:1)系统源配置(阿里云官方源),包含内核优化和初始化脚本;2)Ubuntu和CentOS/Rocky Linux的apt/yum源配置;3)安装并配置containerd;4)直接从阿里云和quay.io拉取Kubernetes核心组件、KubeVirt和CDI镜像。所有操作均直接使用官方仓库,未使用代理或加速器。
KubernetesK8s集群的node节点因为证书过期导致的notReady问题处理
最新发布
cnskylee的博客
06-17 65
Kubernetes集群节点因证书过期更新后出现NotReady状态,通过重新生成join命令并执行节点重连时遇到两类错误:1)配置文件/端口冲突问题,通过重命名旧证书文件、停止kubelet服务解决;2)节点权限问题,使用kubeadm reset清理节点配置后成功重连。最终所有节点状态恢复Ready,集群恢复正常。关键步骤包括处理预检错误、重置节点配置和重新加入集群
k8s的控制平面是什么,有什么作用
u012534547的博客
06-13 275
负责整个集群的调度、管控、状态维护;之对应的是,也就是真正跑业务容器的「干活节点」。。
K8s 调度策略深潜:从 Predicates 到 Score 的决策链路解析
m0_50889382的博客
06-17 275
import ("context""fmt""math"const (// PluginName 插件名称// 高碎片率阈值// NodeResourceFragmentationPlugin 基于资源碎片率的调度插件// 核心思路:优先选择调度后碎片率最低的节点,减少资源浪费// New 初始化插件}, nil// Name 返回插件名称// Score 计算节点得分:碎片率越低得分越高// 获取节点信息if err!= nil {
K8s 调度器扩展:从 Scheduling Framework 到自定义插件的工程实战
m0_50889382的博客
06-15 329
import ("context""fmt""sync""time"// GangScheduler 插件:确保一组关联 Pod 同时调度成功// 记录每个 Gang 的调度状态// GangState 记录一个 Gang 的调度进度TotalPods int // Gang 中 Pod 总数ScheduledPod int // 已调度成功的 Pod 数WaitingPods []string // 等待中的 Pod UID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

加倍巴巴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值