​随着微服务架构的日渐盛行，Serverless框架的逐步落地，应用上云后带来了模块间网络调用需求的大规模增长，Kubernetes 自 1.3 引入了 Network Policy，其提供以应用为中心， 基于策略的网络控制，用于隔离应用以减少攻击面。

pod的几种状态：

• ContainerCreating: Pod创建已经提交给了k8s,但是因为集群组件异常，导致容器创建出现问题。
• Init:0/3:
• PodInitializing:
• Pending：Pod创建已经提交给k8s，但是因为某种原因不能顺利创建，例如下载镜像慢，调度不成功等。
• CrashLoopBackOff：
• Running：Pod已经绑定到一个节点上了，并且已经创建了所有容器。只是有一个容器正在运行，或者在启动中。
• Secceeded：Pod中的所有容器都已经成功终止，不能重新启动。
• Failed： Pod中所有的容器均已经终止，且至少有一个容器已经在故障中终止。
• Unkown：由于某中原因apiserver无法获取到Pod的状态。通常是由于Master与pod所在的主机失去连接了。

1

kube-system   httpd-65b588bdd6-kxprl                     0/1     ContainerCreating   0          8s      <none>         k8s01   <none>           <none>

故障分析

1、

Service

Kubernetes中一个应用服务会有一个或多个实例（Pod）,每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象，如下所示:

在Kubernetes中设计了一种网络模型，要求无论容器运行在集群中的哪个节点，所有容器都能通过一个扁平的网络平面进行通信，即在同一IP网络中。需要注意的是：在K8S集群中，IP地址分配是以Pod对象为单位，而非容器，同一Pod内的所有容器共享同一网络名称空间。

默认情况下，Kubernetes 的 Deployment 是具有滚动更新的策略来进行 Pod 更新的，该策略可以在任何时间点更新应用的时候保证某些实例依然可以正常运行来防止应用 down 掉，当新部署的 Pod 启动并可以处理流量之后，才会去杀掉旧的 Pod。

我们知道在Kubernetes集群中apiserver是整个集群的控制入口，etcd在集群中充当数据库的作用，只有apiserver才可以直接去操作etcd集群，而我们的apiserver无论是对内还是对外都提供了统一的REST API服务，包括一个8080端口的非安全服务和6443端口的安全服务。组件之间当然也是通过apiserver进行通信的，其中kube-controller-manager、kube-scheduler、kubelet是通过apiserver watch API来监控我们的资源变化，并且对资源的相关状态更新操作也都是通过apiserver进行的，所以说白了组件之间的通信就是通过apiserver REST API和apiserver watch API进行的