1、k8s各個組件之間通信,在高版本中,基本都是使用TSL通信,所以申請證書,是必不可少的,而且建議使用二進制安裝,或者在接手一套K8S集群的時候,第一件事情是檢查證書有效期,證書過期或者TSL通信問題會報x509相關錯誤。
可以從k8s kubelet-kuberconfig 使用 echo '證書' | base64 -d 反解獲得k8s證書(比如阿里雲)
# cfssl-certinfo -domain=ca.pem -cert=client.pem
2、在安裝k8s運算節點的時候,建議關閉kubelet節點的swap交換分區,否則要在啟動腳本中指定--fail-swap-on="false",在屋里內存足夠大的情況下,建議關閉交換分區。
3、etcd在大規模集群中,可以跟apiserver、controller-manager、scheduler分開部署,但是apiserver、controller-manager、scheduler這三個服務,盡量部署在一起,因為controller-manager、scheduler跟apiserver通信是使用本機的127.0.0.1:8080端口進行通信,這樣會節省網絡資源。
4、linux內核版本大於3.8.X
5、使用supervisord管理服務的時候,為了避免在重啟的時候出現端口存在(默認supervisord不會stop子進程),需要在服務的.ini配置文件中添加以下兩項:
killasgroup=true #這個東西主要用於,supervisord管理的子進程,這個子進程本身還有,子進程。那么我們如果僅僅干掉supervisord的子進程的話,子進程的子進程,有可能會變成孤兒進程。所以咱們可以設置可個選項,把整個該子進程的,整個進程組都干掉。 設置為true的話,一般killasgroup也會被設置為true。需要注意的是,該選項發送的是stop信號,默認為false。。非必須設置。
stopasgroup=true #這個和上面的stopasgroup類似,不過發送的是kill信號