服务端面试题手册

Kubernetes 污点（Taints）和容忍度（Tolerations）是用于控制 Pod 调度的机制，它们允许节点拒绝（或接受）具有特定容忍度的 Pod。污点（Taints）污点是应用于节点上的键值对，用于阻止 Pod 调度到该节点，除非 Pod 具有匹配的容忍度。污点的组成每个污点包含三个部分：Key：污点的键（必需）Value：污点的值（可选）Effect：污点的影响（必需）污点的影响类型NoSchedule：不会调度新的 Pod 到该节点已存在的 Pod 不受影响适用于专用节点（如 GPU 节点）PreferNoSchedule：尽量不调度新的 Pod 到该节点但如果没有其他可用节点，仍可能调度适用于软性限制NoExecute：不会调度新的 Pod 到该节点已存在的 Pod 如果没有匹配的容忍度，将被驱逐适用于节点维护或故障场景添加污点# 添加 NoSchedule 污点kubectl taint nodes node1 key=value:NoSchedule# 添加 NoExecute 污点kubectl taint nodes node1 key=value:NoExecute# 添加没有值的污点kubectl taint nodes node1 key:NoSchedule查看污点# 查看节点的污点kubectl describe node node1 | grep Taint# 查看所有节点的污点kubectl get nodes -o custom-columns=NAME:.metadata.name,TAINTS:.spec.taints删除污点# 删除指定污点kubectl taint nodes node1 key:NoSchedule-# 删除所有指定键的污点kubectl taint nodes node1 key-容忍度（Tolerations）容忍度是应用于 Pod 上的配置，允许 Pod 调度到具有匹配污点的节点。容忍度的组成容忍度包含以下字段：Key：要容忍的污点键Operator：操作符（Equal 或 Exists）Value：要容忍的污点值（当 Operator 为 Equal 时需要）Effect：要容忍的污点影响TolerationSeconds：容忍时间（仅适用于 NoExecute）容忍度操作符Equal：键和值都必须匹配需要指定 ValueExists：只需要键匹配不需要指定 Value添加容忍度apiVersion: v1kind: Podmetadata: name: my-podspec: tolerations: - key: "key" operator: "Equal" value: "value" effect: "NoSchedule" containers: - name: my-container image: nginx容忍度示例容忍特定污点：tolerations:- key: "dedicated" operator: "Equal" value: "gpu" effect: "NoSchedule"容忍所有具有特定键的污点：tolerations:- key: "dedicated" operator: "Exists"容忍所有污点：tolerations:- operator: "Exists"容忍 NoExecute 污点并设置容忍时间：tolerations:- key: "node.kubernetes.io/not-ready" operator: "Exists" effect: "NoExecute" tolerationSeconds: 300污点和容忍度的匹配规则键匹配：如果容忍度的键为空，则匹配所有污点如果污点的键为空，则不能被任何容忍度匹配操作符匹配：Equal：键和值都必须匹配Exists：只需要键匹配影响匹配：如果容忍度的影响为空，则匹配所有影响否则，影响必须匹配常见使用场景1. 专用节点为特定用途的节点添加污点，确保只有特定的 Pod 可以调度到这些节点。# 为 GPU 节点添加污点kubectl taint nodes gpu-node dedicated=gpu:NoSchedule# 只有 GPU Pod 可以调度到 GPU 节点apiVersion: v1kind: Podmetadata: name: gpu-podspec: tolerations: - key: "dedicated" operator: "Equal" value: "gpu" effect: "NoSchedule" containers: - name: gpu-container image: nvidia/cuda:11.0.3-base-ubuntu20.042. 节点维护使用 NoExecute 污点驱逐 Pod，进行节点维护。# 标记节点为维护状态kubectl taint nodes node1 maintenance:NoExecute3. 特殊硬件节点为具有特殊硬件的节点添加污点，确保只有需要这些硬件的 Pod 可以调度。# 为 SSD 节点添加污点kubectl taint nodes ssd-node disktype=ssd:NoSchedule4. 故障节点Kubernetes 自动为故障节点添加污点，驱逐 Pod。# Pod 容忍节点故障tolerations:- key: "node.kubernetes.io/not-ready" operator: "Exists" effect: "NoExecute" tolerationSeconds: 300- key: "node.kubernetes.io/unreachable" operator: "Exists" effect: "NoExecute" tolerationSeconds: 300污点和容忍度 vs 亲和性| 特性 | 污点和容忍度 | 亲和性 ||------|-------------|--------|| 作用对象 | 节点和 Pod | 节点和 Pod || 作用方向 | 节点拒绝 Pod | Pod 选择节点 || 灵活性 | 较低 | 较高 || 使用场景 | 专用节点、节点维护 | 性能优化、高可用性 |最佳实践合理使用污点：避免过度使用污点，可能导致调度失败为专用节点添加污点：确保只有特定的 Pod 可以调度到专用节点设置合理的容忍时间：为 NoExecute 污点设置合理的容忍时间，避免频繁驱逐结合亲和性使用：结合使用污点/容忍度和亲和性，实现更精细的调度控制监控节点状态：监控节点的污点状态，及时处理故障节点文档化污点策略：记录污点和容忍度的使用策略，便于团队协作测试容忍度配置：在非生产环境测试容忍度配置，确保正确性故障排查查看节点污点：kubectl describe node <node-name>查看 Pod 容忍度：kubectl describe pod <pod-name>检查调度失败原因：kubectl describe pod <pod-name> | grep -A 10 Events查看调度器日志：kubectl logs -n kube-system <scheduler-pod-name>示例：多节点类型集群# Master 节点apiVersion: v1kind: Nodemetadata: name: master-nodespec: taints: - key: "node-role.kubernetes.io/master" effect: "NoSchedule"# GPU 节点apiVersion: v1kind: Nodemetadata: name: gpu-nodespec: taints: - key: "dedicated" value: "gpu" effect: "NoSchedule"# 普通 Pod（可以调度到普通节点）apiVersion: v1kind: Podmetadata: name: normal-podspec: containers: - name: nginx image: nginx# GPU Pod（只能调度到 GPU 节点）apiVersion: v1kind: Podmetadata: name: gpu-podspec: tolerations: - key: "dedicated" operator: "Equal" value: "gpu" effect: "NoSchedule" containers: - name: gpu-app image: nvidia/cuda:11.0.3-base-ubuntu20.04

Kubernetes 是一个开源的容器编排平台，用于自动化容器应用的部署、扩展和管理。它最初由 Google 设计并开发，于 2014 年开源，现在由 Cloud Native Computing Foundation（CNCF）管理。核心概念Kubernetes 的核心概念包括：Pod：Kubernetes 中最小的可部署单元，一个 Pod 可以包含一个或多个容器，这些容器共享网络和存储资源。Node：集群中的工作机器，可以是物理机或虚拟机。每个 Node 都运行着容器运行时（如 Docker）、kubelet 和 kube-proxy。Cluster：由多个 Node 组成的集合，是 Kubernetes 管理的计算资源池。Service：定义一组 Pod 的访问策略，提供稳定的网络端点，即使 Pod 的 IP 地址发生变化。Deployment：管理 Pod 和 ReplicaSet 的声明式更新，支持滚动更新和回滚。ConfigMap：用于存储非敏感的配置数据，可以挂载到 Pod 中或作为环境变量使用。Secret：用于存储敏感信息，如密码、OAuth 令牌和 SSH 密钥。Namespace：用于在同一个集群中创建多个虚拟集群，实现资源隔离。工作原理Kubernetes 采用主从架构：Control Plane（控制平面）：负责集群的决策和响应，包括 API Server、Scheduler、Controller Manager 和 etcd。Worker Node（工作节点）：运行容器化应用，包括 kubelet、kube-proxy 和容器运行时。主要特性自动化部署和回滚：支持声明式配置，自动实现应用的部署和更新。服务发现和负载均衡：自动为容器分配 IP 和 DNS 名称，实现负载均衡。自动扩缩容：根据 CPU 使用率或其他指标自动调整 Pod 数量。自愈能力：自动重启失败的容器、替换节点、重新调度 Pod。存储编排：自动挂载存储系统，如本地存储、云存储等。应用场景Kubernetes 广泛应用于微服务架构、CI/CD 流水线、大数据处理、机器学习等场景，是云原生应用的标准平台。

Kubernetes 工作节点（Worker Node）是集群中运行容器化应用的工作机器，可以是物理机或虚拟机。每个工作节点都运行着必要的组件来管理和运行 Pod。工作节点组件1. kubeletkubelet 是工作节点上的主要代理，负责与控制平面通信并管理 Pod。主要职责：监听 API Server，获取 Pod 的期望状态确保容器按照 Pod 规范运行定期向控制平面报告节点和 Pod 的状态处理容器的生命周期（创建、启动、停止、删除）挂载和卸载存储卷运行健康检查（livenessProbe、readinessProbe、startupProbe）工作原理：kubelet 从 API Server 获取分配到该节点的 Pod 规范通过容器运行时接口（CRI）与容器运行时交互使用容器运行时创建和管理容器定期向 API Server 汇报节点和 Pod 状态配置文件：/var/lib/kubelet/config.yaml默认端口：10250（HTTPS）、10248（健康检查）、10255（只读 HTTP）2. kube-proxykube-proxy 负责维护节点上的网络规则，实现 Service 的负载均衡和服务发现。主要职责：监听 API Server 的 Service 和 Endpoint 变化维护网络规则（iptables 或 IPVS）将流量转发到后端 Pod实现 Service 的负载均衡工作模式：iptables 模式（默认）：使用 iptables 规则实现流量转发性能较好，但规则更新有延迟不支持复杂的负载均衡算法ipvs 模式：使用 Linux IPVS 实现负载均衡支持多种负载均衡算法（轮询、最少连接、源地址哈希等）性能更高，适合大规模集群需要加载 ipvs 内核模块userspace 模式（已废弃）：在用户空间实现负载均衡性能较差，已不再推荐使用配置示例：apiVersion: kubeproxy.config.k8s.io/v1alpha1kind: KubeProxyConfigurationmode: "ipvs"3. 容器运行时（Container Runtime）容器运行时负责运行容器的核心组件。Kubernetes 使用容器运行时接口（CRI）与容器运行时交互。支持的容器运行时：containerd（推荐）：CNCF 毕业项目轻量级、高性能Docker 的底层运行时CRI-O：专为 Kubernetes 设计轻量级、安全OCI 兼容Docker Engine（通过 dockershim，已废弃）：Kubernetes 1.24+ 已移除 dockershim不再推荐使用CRI 工作流程：kubelet 通过 CRI 接口调用容器运行时容器运行时创建和管理容器容器运行时返回容器状态信息节点状态节点条件（Conditions）节点条件描述节点的健康状态：Ready：节点是否健康并可以运行 PodTrue：节点健康False：节点不健康Unknown：节点控制器无法获取节点状态MemoryPressure：节点内存压力True：节点内存不足DiskPressure：节点磁盘压力True：节点磁盘空间不足PIDPressure：节点进程压力True：节点进程数过多NetworkUnavailable：节点网络不可用True：节点网络配置有问题节点容量和可分配资源Capacity：节点的总资源（CPU、内存、存储）Allocatable：节点可分配给 Pod 的资源（扣除系统预留）节点信息OS Image：操作系统镜像Kernel Version：内核版本Kubelet Version：kubelet 版本Container Runtime Version：容器运行时版本节点管理节点维护安全驱逐 Pod：kubectl drain <node-name> --ignore-daemonsets标记节点为不可调度：kubectl cordon <node-name>取消节点不可调度标记：kubectl uncordon <node-name>节点污点（Taints）污点用于阻止 Pod 调度到特定节点：# 添加污点kubectl taint nodes <node-name> key=value:NoSchedule# 查看污点kubectl describe node <node-name> | grep Taint# 删除污点kubectl taint nodes <node-name> key:NoSchedule-污点类型：NoSchedule：不调度新 Pod，已有 Pod 不受影响PreferNoSchedule：尽量不调度，但不是强制NoExecute：不调度新 Pod，已有 Pod 会被驱逐（除非有容忍度）节点标签（Labels）标签用于组织和选择节点：# 添加标签kubectl label nodes <node-name> disktype=ssd# 查看标签kubectl get nodes --show-labels# 删除标签kubectl label nodes <node-name> disktype-节点健康检查kubelet 定期执行健康检查：节点状态检查：检查节点资源是否充足容器健康检查：执行 livenessProbe 和 readinessProbe镜像拉取检查：检查镜像是否可用最佳实践资源预留：为系统进程和 kubelet 预留足够的 CPU 和内存监控节点：监控节点的 CPU、内存、磁盘和网络使用情况日志收集：收集 kubelet 和容器运行时的日志安全加固：使用 TLS 加密通信限制 kubelet API 访问定期更新组件版本节点维护：使用 drain 命令安全维护节点自动扩缩容：使用 Cluster Autoscaler 自动调整节点数量污点和容忍度：合理使用污点和容忍度控制 Pod 调度节点亲和性：使用节点亲和性优化 Pod 分配故障排查查看节点状态：kubectl describe node <node-name>查看 kubelet 日志：journalctl -u kubelet查看容器运行时日志：journalctl -u containerd检查节点资源：kubectl top nodes

Kubernetes 亲和性（Affinity）和反亲和性（Anti-Affinity）是用于控制 Pod 调度的机制，它们允许用户定义 Pod 与节点或其他 Pod 之间的关系，从而影响调度决策。亲和性类型1. 节点亲和性（Node Affinity）节点亲和性用于控制 Pod 调度到哪些节点上。requiredDuringSchedulingIgnoredDuringExecution硬性要求，Pod 必须调度到满足条件的节点上，否则调度失败。apiVersion: v1kind: Podmetadata: name: with-node-affinityspec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: kubernetes.io/e2e-az-name operator: In values: - us-west-1a containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecution软性偏好，调度器优先选择满足条件的节点，但如果没有满足条件的节点，也可以调度到其他节点。apiVersion: v1kind: Podmetadata: name: with-node-affinityspec: affinity: nodeAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 1 preference: matchExpressions: - key: disktype operator: In values: - ssd containers: - name: my-container image: nginx2. Pod 亲和性（Pod Affinity）Pod 亲和性用于控制 Pod 调度到哪些节点上，基于已经运行在该节点上的 Pod。requiredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-affinityspec: affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: security operator: In values: - S1 topologyKey: topology.kubernetes.io/zone containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-affinityspec: affinity: podAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 podAffinityTerm: labelSelector: matchExpressions: - key: security operator: In values: - S2 topologyKey: topology.kubernetes.io/zone containers: - name: my-container image: nginx3. Pod 反亲和性（Pod Anti-Affinity）Pod 反亲和性用于控制 Pod 不调度到哪些节点上，基于已经运行在该节点上的 Pod。requiredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-antiaffinityspec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname containers: - name: my-container image: nginxpreferredDuringSchedulingIgnoredDuringExecutionapiVersion: v1kind: Podmetadata: name: with-pod-antiaffinityspec: affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 podAffinityTerm: labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname containers: - name: my-container image: nginx操作符类型In：标签的值在给定的列表中NotIn：标签的值不在给定的列表中Exists：标签存在DoesNotExist：标签不存在Gt：标签的值大于给定值（仅适用于数值）Lt：标签的值小于给定值（仅适用于数值）拓扑域键（Topology Key）拓扑域键用于定义节点的分组方式，常见的拓扑域键包括：kubernetes.io/hostname：按主机名分组topology.kubernetes.io/zone：按可用区分组topology.kubernetes.io/region：按区域分组node.kubernetes.io/instance-type：按实例类型分组亲和性规则的行为调度阶段（During Scheduling）required：硬性要求，必须满足preferred：软性偏好，优先满足执行阶段（During Execution）Ignored：Pod 运行后，如果条件不再满足，不影响已运行的 PodRequired：Pod 运行后，如果条件不再满足，需要驱逐 Pod（目前不支持）亲和性 vs nodeSelector| 特性 | nodeSelector | 节点亲和性 ||------|--------------|-----------|| 复杂度 | 简单 | 复杂 || 灵活性 | 低 | 高 || 支持的操作符 | 等值 | 多种操作符 || 优先级 | 无 | 支持权重 |使用场景节点亲和性使用场景硬件要求：将 Pod 调度到具有特定硬件的节点（如 GPU、SSD）区域要求：将 Pod 调度到特定区域或可用区操作系统要求：将 Pod 调度到运行特定操作系统的节点Pod 亲和性使用场景通信优化：将需要频繁通信的 Pod 调度到同一节点，减少网络延迟依赖关系：将依赖的 Pod 调度到同一节点，提高性能数据局部性：将 Pod 调度到存储数据的节点附近Pod 反亲和性使用场景高可用性：将相同应用的 Pod 分散到不同节点，避免单点故障资源竞争：避免资源密集型 Pod 调度到同一节点故障隔离：将不同应用的 Pod 分散到不同节点，减少故障影响范围最佳实践合理使用硬性要求：避免过度使用 required 规则，可能导致调度失败设置合理的权重：为 preferred 规则设置合适的权重，影响调度决策使用标签和注解：为节点和 Pod 添加有意义的标签，便于使用亲和性规则监控调度结果：监控 Pod 的调度情况，确保亲和性规则按预期工作结合污点和容忍度：结合使用亲和性和污点/容忍度，实现更精细的调度控制避免过度复杂：避免创建过于复杂的亲和性规则，影响调度性能测试规则：在非生产环境测试亲和性规则，确保正确性示例：高可用 Web 应用apiVersion: apps/v1kind: Deploymentmetadata: name: web-appspec: replicas: 3 selector: matchLabels: app: web template: metadata: labels: app: web spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - web topologyKey: kubernetes.io/hostname nodeAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 preference: matchExpressions: - key: disktype operator: In values: - ssd containers: - name: web image: nginx ports: - containerPort: 80这个示例确保：每个 Web Pod 调度到不同的节点（高可用性）优先选择具有 SSD 的节点（性能优化）

Kubernetes 中的 Pod 是最小的可部署单元，它包含一个或多个紧密相关的容器，这些容器共享网络和存储资源。Pod 的特点共享网络命名空间：同一个 Pod 中的容器共享同一个 IP 地址和端口空间，可以通过 localhost 相互通信。共享存储卷：Pod 中的容器可以共享挂载的存储卷，实现数据共享和持久化。原子性调度：Pod 作为一个整体被调度到同一个 Node 上运行。临时性：Pod 是临时的、可替换的，当 Pod 被删除或 Node 发生故障时，Pod 不会自动恢复。Pod 的生命周期Pod 的生命周期包括以下阶段：Pending：Pod 已被创建，但容器尚未启动，可能是因为镜像下载中或资源不足。Running：Pod 中的所有容器都已创建，至少有一个容器正在运行。Succeeded：Pod 中的所有容器都已成功终止。Failed：Pod 中的所有容器都已终止，但至少有一个容器以失败状态终止。Unknown：无法获取 Pod 的状态，通常是因为与 Pod 所在的 Node 通信失败。Pod 的重启策略Kubernetes 支持三种 Pod 重启策略：Always：容器失败时总是重启，这是默认策略。OnFailure：只有在容器以非零退出码失败时才重启。Never：容器失败时不重启。Pod 与容器的关系Pod 是容器的封装，一个 Pod 可以包含：单个主容器（最常见）一个主容器加一个或多个辅助容器（Sidecar 模式）多个协作的容器最佳实践一个 Pod 一个容器：对于大多数应用，建议一个 Pod 只包含一个容器，这样可以更好地管理和扩展。使用 Sidecar 模式：当需要多个紧密协作的容器时，可以使用 Sidecar 模式，例如日志收集、监控代理等。避免在 Pod 中运行多个不相关的容器：这会增加管理的复杂性，不利于扩展和故障排查。合理设置资源限制：为 Pod 设置 CPU 和内存的 requests 和 limits，避免资源争用。使用健康检查：配置 livenessProbe 和 readinessProbe，确保 Pod 的健康状态。

Kubernetes Service 是定义一组 Pod 的访问策略的抽象，它为 Pod 提供稳定的网络端点，即使 Pod 的 IP 地址发生变化，Service 也能保证服务的可访问性。Service 的作用服务发现：Service 为一组 Pod 提供统一的访问入口，客户端不需要知道具体的 Pod IP 地址。负载均衡：Service 自动将流量分发到后端的多个 Pod，实现负载均衡。稳定的网络标识：Service 拥有固定的 IP 地址和 DNS 名称，即使 Pod 重新创建，Service 的地址也不会改变。Service 的类型Kubernetes 支持四种 Service 类型：ClusterIP（默认）：在集群内部暴露服务只能从集群内部访问适合内部服务之间的通信NodePort：在每个 Node 上开放一个端口可以通过 NodeIP:Port 从外部访问端口范围：30000-32767LoadBalancer：在云提供商处创建外部负载均衡器自动将流量分发到 NodePort需要云提供商支持ExternalName：将服务映射到外部 DNS 名称不创建代理或负载均衡器适用于访问外部服务Service 的工作原理Service 通过 kube-proxy 实现：iptables 模式（默认）：kube-proxy 监听 API Server 的 Service 和 Endpoint 变化使用 iptables 规则将流量转发到后端 Pod性能较好，但更新规则时会有延迟IPVS 模式：使用 Linux IPVS（IP Virtual Server）实现负载均衡支持多种负载均衡算法（轮询、最少连接等）性能更高，适合大规模集群Service 的选择器Service 通过 selector 选择要代理的 Pod：apiVersion: v1kind: Servicemetadata: name: my-servicespec: selector: app: my-app ports: - protocol: TCP port: 80 targetPort: 8080EndpointService 的后端由 Endpoint 对象维护，Endpoint 包含所有匹配 selector 的 Pod 的 IP 地址和端口。无选择器的 ServiceService 可以不指定 selector，此时需要手动创建 Endpoint 对象，用于：访问集群外部的服务访问其他命名空间的服务访问外部数据库等最佳实践使用 ClusterIP 作为默认类型：除非需要外部访问，否则使用 ClusterIP 以提高安全性。合理设置 sessionAffinity：对于有状态的应用，可以设置 sessionAffinity 为 ClientIP，实现会话保持。使用 Headless Service：对于需要直接访问 Pod 的场景（如 StatefulSet），可以使用 Headless Service（ClusterIP: None）。监控 Service 的健康状态：定期检查 Endpoint 的状态，确保后端 Pod 正常。使用 Ingress 替代 LoadBalancer：对于 HTTP/HTTPS 服务，使用 Ingress 可以更灵活地管理路由和 SSL。

Kubernetes PersistentVolume（PV）和 PersistentVolumeClaim（PVC）是用于管理存储的两种重要资源，它们实现了存储资源的声明式管理和动态分配。PersistentVolume（PV）PersistentVolume 是集群中的一块存储，由管理员预先配置或通过存储类动态创建。PV 是集群级别的资源，独立于 Pod 的生命周期。PV 的生命周期Provisioning（配置）：静态配置：管理员手动创建 PV动态配置：通过 StorageClass 自动创建Binding（绑定）：PVC 请求存储时，控制器将 PVC 绑定到合适的 PV绑定是一对一的，一旦绑定，PV 就专属于该 PVCUsing（使用）：Pod 通过 PVC 使用存储存储可以挂载到 Pod 的指定路径Releasing（释放）：PVC 删除后，PV 进入 Released 状态PV 中的数据仍然保留Reclaiming（回收）：Retain（保留）：手动回收Recycle（回收）：已废弃，使用动态配置替代Delete（删除）：自动删除 PV 和底层存储PV 的访问模式ReadWriteOnce（RWO）：卷可以被单个节点以读写模式挂载适用于块存储ReadOnlyMany（ROX）：卷可以被多个节点以只读模式挂载适用于共享只读数据ReadWriteMany（RWX）：卷可以被多个节点以读写模式挂载适用于文件系统（如 NFS）ReadWriteOncePod（RWOP）：卷可以被单个 Pod 以读写模式挂载确保同一时间只有一个 Pod 访问PV 的状态Available：可用，未绑定到任何 PVCBound：已绑定到 PVCReleased：PVC 已删除，但资源尚未被集群回收Failed：自动回收失败PersistentVolumeClaim（PVC）PVC 是用户对存储的请求，类似于 Pod 对计算资源的请求。PVC 是命名空间级别的资源。PVC 的配置apiVersion: v1kind: PersistentVolumeClaimmetadata: name: my-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi storageClassName: standard selector: matchLabels: environment: productionPVC 的使用在 Pod 中使用 PVC：apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /data volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc在 Deployment 中使用 PVC：apiVersion: apps/v1kind: Deploymentmetadata: name: my-deploymentspec: replicas: 3 selector: matchLabels: app: my-app template: metadata: labels: app: my-app spec: volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /dataStorageClassStorageClass 定义了不同类型的存储，支持动态配置 PV。StorageClass 的配置apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: fastprovisioner: kubernetes.io/aws-ebsparameters: type: gp2 iopsPerGB: "10"reclaimPolicy: DeletevolumeBindingMode: WaitForFirstConsumerallowVolumeExpansion: true常见的 Provisionerkubernetes.io/aws-ebs：AWS EBS 块存储kubernetes.io/gce-pd：GCE 持久化磁盘kubernetes.io/azure-disk：Azure 磁盘kubernetes.io/azure-file：Azure 文件存储kubernetes.io/cinder：OpenStack Cinderkubernetes.io/nfs：NFS 存储rancher.io/local-path：本地路径存储StorageClass 参数provisioner：存储提供者parameters：存储提供者特定的参数reclaimPolicy：回收策略（Delete 或 Retain）volumeBindingMode：Immediate：立即绑定WaitForFirstConsumer：等待第一个消费者allowVolumeExpansion：是否允许卷扩展动态配置动态配置允许根据 PVC 自动创建 PV，无需管理员手动创建。动态配置流程用户创建 PVC，指定 StorageClassPersistentVolumeController 监听到 PVC控制器调用 StorageClass 的 provisioner 创建 PVPV 绑定到 PVCPod 可以使用 PVC动态配置示例apiVersion: v1kind: PersistentVolumeClaimmetadata: name: dynamic-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 5Gi storageClassName: fast静态配置静态配置需要管理员手动创建 PV，适用于特定的存储需求。静态 PV 示例apiVersion: v1kind: PersistentVolumemetadata: name: manual-pv labels: type: localspec: storageClassName: manual capacity: storage: 10Gi accessModes: - ReadWriteOnce persistentVolumeReclaimPolicy: Retain hostPath: path: /mnt/dataPV 和 PVC 的区别| 特性 | PV | PVC ||------|----|-----|| 作用域 | 集群级别 | 命名空间级别 || 创建者 | 管理员或动态配置 | 用户 || 用途 | 提供存储资源 | 请求存储资源 || 生命周期 | 独立于 Pod | 依赖于 Pod |最佳实践使用动态配置：优先使用 StorageClass 动态配置，减少手动管理设置合理的回收策略：生产环境使用 Retain，测试环境使用 Delete使用访问模式：根据应用需求选择合适的访问模式监控存储使用：监控 PV 和 PVC 的使用情况备份重要数据：定期备份 PV 中的重要数据使用标签和注解：为 PV 和 PVC 添加有意义的标签和注解设置资源限制：为 PVC 设置合理的存储请求使用存储类：为不同的应用需求创建不同的 StorageClass故障排查查看 PV 状态：kubectl get pvkubectl describe pv <pv-name>查看 PVC 状态：kubectl get pvckubectl describe pvc <pvc-name>查看 StorageClass：kubectl get storageclasskubectl describe storageclass <sc-name>查看 Pod 挂载情况：kubectl describe pod <pod-name>查看事件：kubectl get events --sort-by=.metadata.creationTimestamp

Logstash 是一个开源的服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到您最喜欢的"存储库"中。核心功能Logstash 的主要功能包括：数据采集：从各种数据源收集日志和事件数据数据转换：解析、过滤、丰富和规范化数据数据输出：将处理后的数据发送到目标存储系统工作原理Logstash 采用插件式架构，主要包含三个组件：1. Input 插件负责从数据源读取数据，常见的数据源包括：文件（File）系统日志（Syslog）网络协议（HTTP、TCP、UDP）消息队列（Kafka、RabbitMQ）数据库（JDBC）Beats（Filebeat、Metricbeat 等）2. Filter 插件对数据进行解析、过滤和转换，常用的过滤器包括：grok：将非结构化数据解析为结构化格式mutate：对字段进行重命名、删除、替换等操作date：解析时间戳并转换为 Logstash @timestamp 字段geoip：根据 IP 地址添加地理位置信息ruby：使用 Ruby 代码进行复杂的数据转换3. Output 插件将处理后的数据发送到目标系统，常见的输出目标包括：Elasticsearch文件系统消息队列数据库监控系统典型应用场景日志聚合：收集分布式系统中的各种日志日志分析：对日志进行解析、过滤和结构化数据转换：将不同格式的数据转换为统一格式实时监控：实时处理和转发监控数据ELK Stack：与 Elasticsearch 和 Kibana 组成完整的日志分析平台优势特点灵活性：支持多种输入和输出格式可扩展性：丰富的插件生态系统实时处理：支持流式数据处理易于配置：使用简单的配置文件定义数据处理流程高可用性：支持集群部署和负载均衡

Logstash 支持条件判断语句，可以根据字段值、标签或其他条件来控制数据流。这使得我们能够对不同的数据应用不同的处理逻辑。条件判断语法Logstash 支持以下条件操作符：比较操作符==：等于!=：不等于<：小于>：大于<=：小于等于>=：大于等于逻辑操作符and：逻辑与or：逻辑或nand：逻辑与非xor：逻辑异或not：逻辑非正则表达式=~：匹配正则表达式!~：不匹配正则表达式包含操作in：包含在数组中not in：不包含在数组中基本条件判断if 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }}if-else 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } else if [type] == "nginx" { grok { match => { "message" => "%{NGINXACCESS}" } } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}字段值判断字符串比较filter { if [log_level] == "ERROR" { mutate { add_tag => ["error_log"] } }}数值比较filter { if [response] >= 400 { mutate { add_tag => ["http_error"] } }}正则表达式匹配filter { if [message] =~ /exception/i { mutate { add_tag => ["exception"] } }}标签判断检查标签是否存在filter { if "error" in [tags] { # 处理错误日志 }}添加标签filter { if [status] >= 500 { mutate { add_tag => ["server_error"] } } else if [status] >= 400 { mutate { add_tag => ["client_error"] } }}复杂条件判断多条件组合filter { if [type] == "apache" and [response] >= 400 { mutate { add_tag => ["apache_error"] } }}使用括号分组filter { if ([type] == "apache" or [type] == "nginx") and [response] >= 400 { mutate { add_tag => ["web_error"] } }}嵌套条件filter { if [type] == "apache" { if [response] >= 500 { mutate { add_tag => ["apache_server_error"] } } else if [response] >= 400 { mutate { add_tag => ["apache_client_error"] } } }}在 Input 中使用条件判断input { file { path => "/var/log/*.log" type => "system" } if [type] == "system" { file { path => "/var/log/syslog" type => "syslog" } }}在 Filter 中使用条件判断根据字段值应用不同的过滤器filter { if [type] == "json" { json { source => "message" } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}处理解析失败filter { grok { match => { "message" => "%{PATTERN:field}" } tag_on_failure => ["_grokparsefailure"] } if "_grokparsefailure" in [tags] { # 处理解析失败的情况 mutate { add_field => { "parse_error" => "true" } } }}在 Output 中使用条件判断根据日志级别路由到不同的索引output { if [log_level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "error-logs-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "access-logs-%{+YYYY.MM.dd}" } }}多输出条件路由output { # 错误日志发送到专门的索引 if [level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "errors-%{+YYYY.MM.dd}" } } # 访问日志发送到 Kafka if [type] == "access" { kafka { bootstrap_servers => "localhost:9092" topic_id => "access-logs" } } # 所有日志都输出到文件备份 file { path => "/backup/all-logs.log" }}字段存在性检查检查字段是否存在filter { if [user_id] { # user_id 字段存在 mutate { add_tag => ["has_user_id"] } }}检查字段是否为空filter { if [user_id] and [user_id] != "" { # user_id 字段存在且不为空 mutate { add_tag => ["valid_user_id"] } }}数组操作检查数组是否包含元素filter { if "error" in [tags] { # tags 数组包含 "error" }}检查数组长度filter { if [tags] and [tags].length > 0 { # tags 数组不为空 }}最佳实践使用条件判断提高性能：避免对不必要的数据进行处理合理使用标签：使用标签标记不同类型的数据处理异常情况：使用条件判断处理解析失败等异常代码可读性：使用括号和缩进提高配置文件的可读性测试验证：使用测试数据验证条件判断逻辑实际应用示例完整的日志处理流程input { file { path => "/var/log/app/*.log" start_position => "beginning" }}filter { # 根据日志类型应用不同的解析逻辑 if [message] =~ /^\{/ { # JSON 格式日志 json { source => "message" } } else { # 文本格式日志 grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} \[%{LOGLEVEL:level}\] %{GREEDYDATA:msg}" } } } # 根据日志级别添加标签 if [level] == "ERROR" or [level] == "FATAL" { mutate { add_tag => ["error", "alert"] } } # 解析时间戳 if [timestamp] { date { match => ["timestamp", "ISO8601"] } }}output { # 错误日志发送到专门的索引 if "alert" in [tags] { elasticsearch { hosts => ["http://localhost:9200"] index => "alerts-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } }}

Logstash 支持集群部署，可以通过多个 Logstash 实例组成集群来提高处理能力和可用性。以下是 Logstash 集群部署和管理的相关内容。集群架构单机部署数据源 → Logstash → Elasticsearch适用于小规模场景，单台 Logstash 实例处理所有数据。集群部署数据源 → 负载均衡器 → Logstash 集群 → Elasticsearch ├── Logstash Node 1 ├── Logstash Node 2 └── Logstash Node 3适用于大规模场景，多个 Logstash 实例分担负载。负载均衡策略1. 使用 Beats 负载均衡# Filebeat 配置output.logstash: hosts: ["logstash1:5044", "logstash2:5044", "logstash3:5044"] loadbalance: true worker: 22. 使用消息队列数据源 → Kafka → Logstash 集群 → Elasticsearch ├── Logstash 1 ├── Logstash 2 └── Logstash 33. 使用负载均衡器数据源 → Nginx/HAProxy → Logstash 集群 → Elasticsearch持久化队列Logstash 支持持久化队列，可以在重启时保留数据，防止数据丢失。启用持久化队列# logstash.ymlqueue.type: persistedpath.queue: /path/to/queue/dataqueue.page_capacity: 250mbqueue.max_events: 0queue.max_bytes: 1gbqueue.drain: true内存队列# logstash.ymlqueue.type: memoryqueue.max_events: 10000配置管理1. 配置文件同步使用配置管理工具（如 Ansible、Puppet、Chef）同步配置文件到所有节点。2. 配置中心使用配置中心（如 Consul、etcd）管理配置。3. 配置版本控制将配置文件纳入版本控制系统（Git）。监控和告警1. Logstash 监控 API# 查看节点信息curl -XGET 'localhost:9600/_node'# 查看管道统计curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'# 查看插件统计curl -XGET 'localhost:9600/_node/stats/plugins?pretty'2. Prometheus 集成# logstash.ymlhttp.host: "0.0.0.0"http.port: 9600monitoring.enabled: truemonitoring.elasticsearch.hosts: ["http://es:9200"]3. 关键指标Events per second (EPS)Pipeline latencyQueue sizeJVM memory usageCPU usage高可用性1. 多实例部署部署多个 Logstash 实例，避免单点故障。2. 持久化队列启用持久化队列，防止数据丢失。3. 健康检查配置健康检查，自动重启失败的实例。4. 自动扩缩容根据负载自动调整实例数量。性能调优1. Pipeline Workers# logstash.ymlpipeline.workers: 4设置为 CPU 核心数的 1-2 倍。2. Batch Size# logstash.ymlpipeline.batch.size: 500增加批量大小可以提高吞吐量。3. JVM 内存# config/jvm.options-Xms4g-Xmx4g4. 垃圾回收器# config/jvm.options-XX:+UseG1GC故障排查1. 查看日志tail -f /var/log/logstash/logstash-plain.log2. 检查配置bin/logstash --config.test_and_exit -f /path/to/config.conf3. 调试模式bin/logstash --config.debug -f /path/to/config.conf4. 查看管道状态curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'实际部署示例Docker Compose 部署version: '3'services: logstash1: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash1.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5044:5044" - "9600:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g" logstash2: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash2.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5045:5044" - "9601:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g"Kubernetes 部署apiVersion: apps/v1kind: Deploymentmetadata: name: logstashspec: replicas: 3 selector: matchLabels: app: logstash template: metadata: labels: app: logstash spec: containers: - name: logstash image: docker.elastic.co/logstash/logstash:8.0.0 ports: - containerPort: 5044 - containerPort: 9600 resources: limits: memory: "4Gi" cpu: "2" requests: memory: "2Gi" cpu: "1" volumeMounts: - name: config mountPath: /usr/share/logstash/pipeline volumes: - name: config configMap: name: logstash-config最佳实践规划容量：根据数据量规划集群规模监控告警：建立完善的监控和告警机制配置管理：使用配置管理工具统一管理配置数据备份：定期备份配置和数据安全加固：启用 SSL/TLS，配置访问控制性能测试：上线前进行充分的性能测试文档记录：记录部署和运维文档