JVM 预热是一个非常头疼而又难解决的问题。基于 JVM 的应用程序在达到最高性能之前，需要一些时间来“预热”。当应用程序启动时，通常会从较低的性能开始。这归因于像即时（JIT）编译这些事儿，它会通过收集使用配置文件信息来优化常用代码。最终这样的负面影响是，与平均水平相比，预热期间接收的 request 将具有非常高的...

长期致力于云原生软件生态构建的云原生计算基金会（CNCF）于 2 月 4 日正式宣布，Open Policy Agent（OPA）成为第 15个毕业的项目。在晋升为毕业（graduation）级别的过程中，OPA 展现了其广泛的采用、开放的治理流程、完整功能成熟度以及对社区持续性和包容性的坚定承诺。OPA 是一个开源的、通用的策略引擎，它支持跨整...

Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver，简单的 API server。它公开了一个 REST 端点，用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说，它会进行以下操作：

作者：Anne LoVerso翻译：Bach（才云）校对：星空下的文仔（才云）Kubernetes 有很多东西，各种各样的名词，就像洋葱一样，一层一层包裹在一起。许多 Kubernetes 的介绍图都是这样的，解释了涵盖的所有名词。从技术上讲，它是准确的，但是对一些人而言不是很有帮助，本文将其类比于鱼类和水族馆，可能会有助于部分人将这...

在计算机中，流水线是把一个重复的过程分解为若干个子过程，使每个子过程与其他子过程并行进行的技术，也叫 Pipeline。由于这种 s工作方式与工厂中的生产流水线十分相似， 因此也被称为流水线技术。从本质上讲，流水线技术是一种时间并行技术。以“构建镜像”过程为例：

在计算机中，流水线是把一个重复的过程分解为若干个子过程，使每个子过程与其他子过程并行进行的技术，也叫 Pipeline。由于这种 s工作方式与工厂中的生产流水线十分相似， 因此也被称为流水线技术。从本质上讲，流水线技术是一种时间并行技术。以“构建镜像”过程为例：

美国时间 12 月 8 日，Kubernetes v1.20 正式发布，这是 2020 年的第三个新版本，也是最后一个版本。该版本包含 42 个增强功能：其中 11 个增强功能趋于稳定，15 个进入 Beta，16 个进入 Alpha。

Kubernetes 最新版本 Kubernetes v1.20.0-rc.0 现已正式发布。Kubernetes 计划弃用 kubelet 中 Docker Engine 支持，对于 dockershim 的支持也将在下个版本中放弃。[1]

Kubernetes Scheduler 是 Kubernetes 控制平面的核心组件之一。它在控制平面上运行，将 Pod 分配给节点，同时平衡节点之间的资源利用率。将 Pod 分配给新节点后，在该节点上运行的 kubelet 会在 Kubernetes API 中检索 Pod 定义，根据节点上的 Pod 规范创建资源和容器。换句话说，Scheduler 在控制平面内运行，并将工作...

2020 年 10 月 24 日，CNCF 正式宣布，etcd 成为第 14 个毕业项目。之前毕业的 13 个项目分别为 Kubernetes、Prometheus、Envoy、CoreDNS、containerd、TUF、Jaeger、Fluentd、Vitess、Helm、Harbor、TiKV、Rook。

大家是否曾经考虑过更改 Kubernetes 集群的 etcd 数据的“低级”方法？就是说在不使用任何通用的 Kubernetes 工具（例如 CLI 程序甚至 API）就更改 etcd 存储的数据。

Kubernetes Ingress 提供了一个基于规则的工作流，该工作流将在集群内部设置路由 API 对象。Ingress 的 API 将使用与公共网络所连接的 HTTP（S）负载均衡器，为具有外部端点的服务提供基于内容的路由。

由于各种原因，工作节点与主节点断开连接的情况会经常发生。在这种情况下，其实有很多问题，例如，主节点是否删除了在无法连接的节点上运行的 Pod？Kubernetes 控制器的行为如何？Pod 是否在工作节点上继续运行？简而言之，我们想知道当节点变得不可访问时，Kubernetes 系统行为是什么样子的？

如果大家正在学习或使用 Istio，那么以下有关 Istio 的十个技巧，可能会对大家进一步了解 Istio 和 Envoy Proxy 有所帮助。

在过去的十年中，云计算有了巨大的增长。根据 Gartner 预测，2020 年全球公共云服务市场将增长 17％，总额将达到 2664 亿美元，远高于 2019 年的 2278 亿美元。云计算使世界上一些大型公司重塑并主导其所在行业。这些公司的产品基于云服务，并利用云原生技术来比竞争对手做到更快，更具适应性。许多企业采用了云原生技术...

在 Kubernetes 集群中，Service 是将运行在一组 Pods 上的应用程序公开为网络服务的抽象方法。Service 可以充当服务发现机制，使我们能轻松地和上游 Pod 通信，而无需知道各个 Pod 的确切 IP 地址。

在微服务架构中，应用程序将调用栈（call stack）的硬性（rigidity）和稳定性（stability）换成了网络的灵活性（flexibility）和混乱（chaos）。与调用栈无关的诸如延迟、中断重试、安全性和可追溯性已成为服务调用的关注点。服务网格帮助开发人员从这些问题中脱身，从而专注于开发业务解决方案。

如果在 Kubernetes 上使用微服务，那么像 Istio 这样的服务网格将发挥出巨大作用。这里我们先讨论一下 Istio 的体系结构。

CRD（Custom Resource Definition）是 Kubernetes 中的特殊资源。如果我们只是以常规方式使用 Kubernetes，那就不必创建该资源，因此，CRD 对于许多用户而言并不那么重要。但它会经常出现在前沿的博客文章、kubernetes.io 的文档和社区讨论中。本文就简单介绍一下 CRD 是什么？我们什么时候使用？一旦需要，要如何创建？

分布式系统会不可避免地发生些故障，我们需要计划好如何解决，其中有种方法是运行多个服务实例，这样即便有一个故障了，其他的可以继续接管。在本文中，我们将探讨一些在 Kubernetes 上实现此目标的不同方法。

现在，机器学习流水线（Machine Learning Pipeline）被大家给予了极大的关注，它旨在自动化和协调训练机器学习模型所涉及的各个步骤，但是，很多人也不清楚将机器学习工作流程建模为自动流水线到底有什么好处。

随着 Kubernetes v1.16 推出了一段时间，许多 Kubernetes 托管平台已开始使用，大家应该已经听说过弃用 API（API Deprecation），这事看似简单，但如果不加注意，也会严重影响服务。

EndpointSlice 是一个新 API，它提供了 Endpoint API 可伸缩和可拓展的替代方案。EndpointSlice 会跟踪 Service Pod 的 IP 地址、端口、readiness 和拓扑信息。

微服务有很多优点，包括独立的拓展、隔离的业务逻辑、独立的生命周期管理以及简易的分布式开发。这些优点同时也带来了一些弊端，例如微服务可能会增加安全漏洞，因为每个微服务都可以是攻击目标，这无形间增加了攻击面。如果入侵者进入网络，它们可以肆意地攻击单个微服务，因此仅保护网络边界（network border）是不够...

Kubernetes 网络模型的核心要求之一是每个 Pod 都拥有自己的 IP 地址并可以使用该 IP 地址进行通信。很多人刚开始使用 Kubernetes 时，还不清楚如何为每个 Pod 分配 IP 地址。他们了解各种组件如何独立工作，但不清楚这些组件如何组合在一起使用。例如，他们了解什么是 CNI 插件，但是不知道它们是如何被调用的。本文就...

在生产环境中使用 Kubernetes 之前，我们应该了解 K8s 的资源管理，资源管理的核心就是 Kubernetes 调度器处理资源请求和限制。

Kubernetes 中的网络策略用于指定 Pod 组之间以及其与外部网络端点之间的通信，它就像是 Kubernetes 的防火墙。与大多数 Kubernetes 对象一样，网络策略非常灵活，功能也很强大。如果了解应用程序中服务的确切通信模式，我们就可以通过网络策略将通信限制在我们想要范围之内。

设想这么一个场景：我们在 K8s 上创建了一个对象，它根据需要生成副本集和 Pod。在检查时，我们遗漏了容器某个属性的设置，因此又重新编辑了 Deployment。新的 Deployment 就产生了新的副本集对象和新的 Pod。这里就出现了一个问题，旧的副本集和 Pop 去哪了？另外，如果直接删除 Deployment，那副本集和 Pod 又会如何？...

在多年使用 Kubernetes 的过程中，我们接触了相当多的 K8s 集群，同样也犯了许多错误。本文就介绍了那些最容易也最常犯的 10 个错误，并讨论了要如何解决。

目前从各方面来看，Kubernetes 都在容器编排市场中占据了主导地位。近日发布的《Kubernetes 和容器安全状况报告》更是指出，87％ 的组织正在使用 Kubernetes 管理容器工作负载。