1、网络

容器的网络方案：underlay/overlay

network namespace

基本属性【与主机网络是隔离的】
- 拥有独立的附属网络设备（lo、veth等虚设备/物理网卡）
- 独立的协议栈、IP地址和路由表
- iptables规则
- ipvs： ip virtual server, 运行在LVS下的提供负载平衡功能的一种技术
pod内部共享一个网络空间，所有container通过pod的ip对外提供服务。
宿主机上的root namespace，属于一个特殊的网络空间，pid=1

Flannel网络方案

网络策略

基于策略的网络控制，可以隔离应用并减少攻击面。使用标签选择器模拟传统的分段网络，并通过策略控制内部流量和外部流量。
使用配置
- apiserver需要开启extensions/v1beta1/networkpolicies
- 网络插件需要支持network policy
  - https://www.cnblogs.com/tylerzhou/p/10995797.html
实现配置
- 标签选择器：namespaceSelector和podSelector
- 配置流方向和流特征
  - ingress
  - egress

Kubernetes 的 Pod 只能有且只能配置 1 个 IP 地址。（单选题）B
A. TRUE
B. FALSE
不准确，可以有多个IP地址，只是上报给CNI结果时候，只能报一个

Kubernetes network policy 只支持 TCP/UDP 作为协议字段值。（单选题）B
A. TRUE
B. FALSE
还支持stcp（alpha特性）， STCP（Scalable TCP）是TCP拥塞控制协议的一种

2、Service

服务发现的意义

service的YAML文件

service命令

集群内访问service

虚拟ip及端口
服务名：同一个namespace里面直接通过service名字去访问声明的service；不同的namespace，使用service名字+“.”+所在的namespace访问
通过环境变量访问：同一个namespace中，pod启动时k8s会将service的一些ip地址、端口和简单的配置，通过环境变量的方式放在k8s的pod里面，之后可以通过curl $取到环境变量的值

Headless Service

集群外暴露service

基本原理

从集群内部的一个 Client Pod3 去访问 Service。Client Pod3 首先通过 Coredns 这里去解析出 ServiceIP，Coredns 会返回给它 ServiceName 所对应的 service IP 是什么，这个 Client Pod3 就会拿这个 Service IP 去做请求，它的请求到宿主机的网络之后，就会被 kube-proxy 所配置的 iptables 或者 IPVS 去做一层拦截处理，之后去负载均衡到每一个实际的后端 pod 上面去，这样就实现了一个负载均衡以及服务发现。
通过公网访问的一个请求。通过外部的一个负载均衡器 Cloud Controller Manager 去监听 service 的变化之后，去配置的一个负载均衡器，然后转发到节点上的一个 NodePort 上面去，NodePort 也会经过 kube-proxy 的一个配置的一个 iptables，把 NodePort 的流量转换成 ClusterIP，紧接着转换成后端的一个 pod 的 IP 地址，去做负载均衡以及服务发现。