准入控制

准入控制是API Server的插件集合，通过添加不同的插件，实现额外的准入控制规则。甚至于API Server的一些主要的功能都需要通过Admission Controllers（准许进入控制）实现，比如ServiceAccount

!–https://kubernetes.io/docs/tasks/--

Authorization

机制说明

kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API server是集群内部各个组件通信的中介，也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证（Authentication）、鉴权（Authorization）、准入控制（Admission Control）三步来保证API Server的安全

指定调度节点

1 Pod.spec.nodeName将Pod直接调度到指定的Node节点上，会跳过Scheduler的调度策略，该匹配规则是强制匹配

Taint和Toleration（污点和容忍）

节点亲和性，是Pod的一种属性(偏好或硬性要求)，它使Pod被吸引到一类特定的节点。Taint则相反，它使节点能够排斥一类特定的Pod

节点亲和性

pod.spec.nodeAffinity

简介

Scheduler是kubernetes的调度器，主要的任务是把定义的Pod分配到集群的节点上。听起来非常简单，但是有很多要考虑的问题：

个人理解：PVC绑定PV

概念

容器磁盘上的文件的声明周期是短暂的，这就使得容器中运行重要应用时会出现一些问题。首先，当容器崩溃时，kubelet会重启它，但是容器中的文件将丢失–容器以干净的状态（镜像最初的状态）重新启动。其次，在pod中同时运行多个容器时，这些容器之间通常需要共享文件。kubernetes中的volume抽象就很好的解决了这些问题

背景

Secret存在意义

Secret解决了密码、token、秘钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者Pod spec中。Secret可以以Volume或者环境变量的方式使用