摘要：Kubernetes（k8s）是用于自动化部署、扩展和管理容器化应用程序的开源系统，在微服务架构中有许多最佳实践，涵盖部署、网络、存储、监控等多个方面：

Kubernetes（k8s）是用于自动化部署、扩展和管理容器化应用程序的开源系统，在微服务架构中有许多最佳实践，涵盖部署、网络、存储、监控等多个方面：

部署与编排

使用Deployment进行应用部署：Deployment 是 Kubernetes 中用于部署和管理无状态应用的核心资源对象。通过定义 Deployment，你可以声明式地描述应用的期望状态，包括副本数量、镜像版本、升级策略等。例如：

apiVersion: apps/v1
kind: Deployment
metadata:
name: my - microservice
spec:
replicas: 3
selector:
matchLabels:
app: my - microservice
template:
metadata:
labels:

spec:
containers:
- name: my - microservice
image: my - microservice:v1.0
ports:
- containerPort: 8080

这段代码定义了一个名为 my - microservice 的 Deployment，期望运行 3 个副本，使用 my - microservice:v1.0 镜像，并暴露 8080 端口。

滚动升级与回滚策略：利用 Deployment 的滚动升级功能，可以在不中断服务的情况下逐步更新微服务版本。通过设置 maxSurge 和 maxUnavailable 参数，可以控制升级过程中允许的额外副本数和不可用副本数。例如：

spec:
strategy:
type: RollingUpdate
rollingUpdate:
maxSurge: 1
maxUnavailable: 1

这表示在升级过程中，最多可以有 1 个额外副本，并且最多允许 1 个副本不可用。如果升级出现问题，可以轻松回滚到上一个稳定版本。

使用StatefulSet管理有状态服务：对于有状态的微服务，如数据库、消息队列等，使用 StatefulSet 进行部署。StatefulSet 为每个 Pod 提供唯一的标识和稳定的网络标识，确保数据的持久化和一致性。例如：

apiVersion: apps/v1
kind: StatefulSet
metadata:
name: my - stateful - service
spec:
replicas: 2
selector:
matchLabels:
app: my - stateful - service
template:
metadata:
labels:

spec:
containers:
- name: my - stateful - service
image: my - stateful - service:v1.0
ports:
- containerPort: 9090

网络管理

服务暴露与负载均衡：使用 Service 将微服务暴露给外部或集群内部的其他服务。ClusterIP 类型的 Service 用于在集群内部提供服务发现和负载均衡；NodePort 类型的 Service 可以将服务暴露到集群节点的指定端口；LoadBalancer 类型的 Service 则用于在云环境中自动创建外部负载均衡器。例如，创建一个 ClusterIP 类型的 Service：

apiVersion: v1
kind: Service
metadata:
name: my - microservice - svc
spec:
selector:
app: my - microservice
ports:
- protocol: TCP
port: 80
targetPort: 8080

此 Service 将 my - microservice 应用的 8080 端口映射到集群内部的 80 端口。

网络策略（NetworkPolicy）：通过 NetworkPolicy 定义微服务之间的网络访问规则，增强安全性。例如，只允许特定的服务访问某个微服务：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow - specific - access
spec:
podSelector:
matchLabels:
app: my - microservice
ingress:
- from:
- podSelector:
matchLabels:
app: allowed - service
ports:
- protocol: TCP
port: 8080

这段代码表示只有标签为 app: allowed - service 的 Pod 可以访问标签为 app: my - microservice 的 Pod 的 8080 端口。

存储管理

持久卷（PersistentVolume）与持久卷声明（PersistentVolumeClaim）：对于需要持久化存储的微服务，如数据库，使用 PersistentVolume 和 PersistentVolumeClaim。PersistentVolume 是集群中的存储资源，PersistentVolumeClaim 是应用对存储资源的请求。例如：

# PersistentVolume
apiVersion: v1
kind: PersistentVolume
metadata:
name: my - pv
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteOnce
persistentVolumeReclaimPolicy: Retain
hostPath:
path: /data/my - pv

# PersistentVolumeClaim
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: my - pvc
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi

然后在 Pod 中挂载 PersistentVolumeClaim：

apiVersion: v1
kind: Pod
metadata:
name: my - database - pod
spec:
containers:
- name: my - database
image: my - database:v1.0
volumeMounts:
- name: my - data - volume
mountPath: /var/lib/data
volumes:

persistentVolumeClaim:
claimName: my - pvc

监控与日志

集成Prometheus和Grafana进行监控：Prometheus 用于收集和存储微服务的指标数据，Grafana 用于可视化这些数据。通过在 Kubernetes 集群中部署 Prometheus Operator，可以轻松地配置和管理 Prometheus 实例。例如，使用 Prometheus Operator 配置对某个微服务的监控：

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
name: my - microservice - monitor
spec:
selector:
matchLabels:
app: my - microservice
endpoints:
- port: http - metrics
interval: 30s

然后在 Grafana 中创建相应的仪表盘来展示监控数据。

使用EFK Stack（Elasticsearch、Fluentd、Kibana）进行日志管理：Fluentd 用于收集和转发容器日志到 Elasticsearch，Kibana 用于搜索和可视化日志。在 Kubernetes 中，可以通过 DaemonSet 部署 Fluentd，确保每个节点都能收集日志。例如：

apiVersion: apps/v1
kind: DaemonSet
metadata:
name: fluentd - es
spec:
selector:
matchLabels:
app: fluentd - es
template:
metadata:
labels:
app: fluentd - es
spec:
containers:
- name: fluentd - es
image: fluent/fluentd - elasticsearch:v3.2.0
volumeMounts:
- name: varlog
mountPath: /var/log
- name: varlibdockercontainers
mountPath: /var/lib/docker/containers
volumes:
- name: varlog
hostPath:
path: /var/log

hostPath:
path: /var/lib/docker/containers

安全管理

使用ServiceAccount进行身份认证：ServiceAccount 为运行在 Kubernetes 集群中的 Pod 提供身份标识。每个 ServiceAccount 都关联一个 Secret，用于存储认证信息。例如：

apiVersion: v1
kind: ServiceAccount
metadata:
name: my - service - account
secrets:
- name: my - service - account - token - xxxxx

在 Pod 中使用 ServiceAccount：

apiVersion: v1
kind: Pod
metadata:
name: my - pod
spec:
serviceAccountName: my - service - account
containers:
- name: my - container
image: my - image:v1.0

启用RBAC（基于角色的访问控制）：通过 RBAC 定义用户或 ServiceAccount 对 Kubernetes 资源的访问权限。例如，创建一个角色和角色绑定，允许某个用户查看 Pod：

# Role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: view - pods - role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]

# RoleBinding

kind: RoleBinding
metadata:
name: view - pods - binding
subjects:
- kind: User
name: my - user
roleRef:
kind: Role

apiGroup: rbac.authorization.k8s.io

来源：非chang娱乐