ceph證書

㈠ 我在網上認證發票時，為什麼會說」登陸稅局網路認證伺服器失敗呢」這是為什麼呢謝謝

你可以換一個時間段再進行登錄的，

我們這里也常出現這種情況。

㈡ Linux雲計算就業前景怎麼樣

一、招聘企業行業分布情況

Linux應用領域非常廣泛，各個行業都會應用到。在本次調查涉及的2694家Linux人才招聘企業中，IT行業需求最為廣泛，其次是通信行業，然後是人力資源外包服務公司，其中人力資源外包服務公司主要是幫助其客戶進行Linux相關人才招聘。

二、IT招聘企業細分行業情況

IT行業是對Linux人才需求度最高的行業，也是Linux從業者喜歡從事的行業。通過針對1731家IT企業所屬細分行業的分析，可以發現，計算機軟體商對Linux的需求最大，佔到IT行業近五成，顯著高於其它細分行業，其次是互聯網與電子商務等網路科技公司。

三、招聘企業性質情況

在2694家對Linux人才有招聘需求的企業，以民營、外資和合資企業為主，佔到93,1%。相比而言，國營企業僅佔6.9%，招聘需求相對較小。其中，在外資企業中，歐美國家的企業所佔比例20.7%,顯著高於非歐美國家的13.7%。而，合資企業中，非歐美國家合資企業所佔比例（10.4%）則顯著高於歐美國家的合資企業（5.5%）。

四、招聘企業規模情況

在對Linux人才有招聘需求的企業中，有2071家企業對企業本身的員工人數規模進行了登記公布。調查顯示, 招聘企業主要以員工規模在500人以下的中小型企業為主，所佔比例達到81.0%。

五、招聘企業區域分布情況

對Linux有招聘需求的企業主要分布在高新技術產業比較集中的區域。調查顯示，2694家招聘企業，有近九成的企業分布在北京市、廣東省、江浙滬三大地區。這些區域包括蘇州、杭州、南京、深圳、北京、廣州、上海等目前國內重要的高新技術產業園區。

在本次調查中，對Linux有招聘需求的崗位共有8516個，下面我們將從崗位類型，入行條件、薪資水平、工作經驗、對認證的具備要求等幾個角度，對這些崗位進行統計分析，幫助Linux從業者或者准備從事Linux職業的朋友更好的規劃自己的職業生涯。

1、入行要求

從事Linux領域的工作，對學歷要求並不苛刻，只要具備一定的計算機和Linux基礎，就可以在工作中成長起來。

在調查的8516個招聘崗位中，雖然本科學歷是目前招聘企業主流的學歷要求，所佔比例達到78.9%。但是，很多企業在招聘員工的學歷要求一欄中填的是大專，這部分企業所佔比例為18.3%，有的甚至是中專、技校就可以。

造成這種狀況的原因：一方面是院校教育體系中，課程設置多以Windows平台為主，熟悉Linux的人才嚴重缺乏；另一方面原因是企業對Linux人才需求並非苛刻，只要掌握Linux相關技能就可以勝任。

2、工作崗位類型

根據企業對招聘崗位的具體崗位職責以及工作內容，我們將這8516個招聘崗位劃分為如下四個類型，首先是開發類工作崗位，包括JAVA軟體開發、C語言軟體開發、嵌入式軟體開發、WEB開發等熱門崗位，其次是運維類工作崗位，包括系統管理、網路管理、安全管理以及售前售後技術支持等熱門崗位，再次是管理類工作崗位，如項目經理、信息主管、技術部門經理等，最後，其它類型的工作崗位，如Linux培訓講師等。

通過調查發現，開發類工作崗位依然是目前對Linux人才需求最大，佔到招聘崗位的53.5%，其次是運維類工作崗位，佔到招聘崗位總數的25.7%。

3、對證書的要求

對於那些將認證作為其IT員工發展計劃組成部分的機構來說，由於它們擁有認證考核的基本技能，它們將獲得從降低風險到提高員工效率的眾多好處。

在本次調研涉及的21679條招聘信息中，共有839個工作崗位對應聘人員的IT認證有了明確要求 調查顯示，當前微軟認證和Linux認證是目前需求比較熱門的認證，兩者在本次調研招聘需求中，所佔比例總和高達77.4%，顯著高於思科認證和Oracle認證。

目前國內知名的Linux認證主要有紅帽的RHCT認證和RHCE認證、紅旗的RCE認證以及Novell的SUSE認證和Linux 中立認證LPI 認證。

由於紅帽是目前全球最大的Linux廠商，擁有廣泛的客戶應用基礎，而且紅帽認證工程師（RHCE）認證採用了基於實際操作能力的測試方法，是有 針對性認證的良好範例，充分顯示了認證對企業降低風險和改善運營所產生的作用，得到了Linux企業用戶的充分認可，因此，在對認證要求中，紅帽認證工程 師（RHCE）和紅帽認證技師（RHCT）的所佔比例顯著高於其它認證。

4、招聘崗位工作經驗要求

調查顯示，在對Linux有招聘需求的8516個招聘崗位中，具備1至3年的Linux相關工作經驗，是目前企業對應聘者主要的工作經驗要求，所佔比例達到76.6%。

由於Linux人才的匱乏，有些企業願意對員工進行培養，在招聘時應屆畢業生和在校學生也可，這部分的比例雖然很小，僅佔1.5%。但這對高校應屆畢業生以及在校大學生而言，是個很好的就業和實踐機會，因此，高校學生在校期間到軟體企業參與一些Linux項目或者參加Linux相關培訓對今後的就業工作有很大的幫助。

5、招聘崗位薪資水平

在本次調查過程中，招聘企業在薪水方面絕大多數是採取面議的形式，僅有376個招聘崗位明確給出了薪水范圍。

總體而言，薪資4000-14999元是目前Linux從業人員主流薪資水平,所佔比例達到58.8%。另外，3000-4499元的薪資水平所佔比例也較大到16.0%。

據了解，Linux普通網路管理人員的月薪大約5000元左右，負責編程的Linux軟體工程師月薪大約在8000元到12000元之間，Linux嵌入式軟體開發人員的月薪大約在12000元上。

影響Linux從業者的薪資水平的還有兩個重要因素：一是從業時間長短，二是具體的工作崗位。針對376個工作崗位的薪資水平與其工作年限要求交叉分析結果，我們可以看出，從業者進入Linux行業的時間越長，薪資水平越高，而且差距也是越來越大。也就是說，進入Linux行業後，只要堅持自己的工作興趣，獲得高薪待遇是必然結果。

影響薪資水平的另一個重要因素，就是Linux從業者職業發展與其具體工作崗位。每個Linux從業者的職業發展軌跡不外乎是從基層的研發人員或者系統維護人員，發展到項目經理、信息主管或者更高層的工作崗位。

本次調查顯示，運維類的工作崗位的薪資水平以2000－9999元為主，開發類工作崗位的薪資水平則以4500-14999元為主，而一旦發展到管理類工作崗位，其薪資水平的以10000元以上為主。

㈢ 婁紅祥的學術科研

作為課題負責人他先後承擔：國家自然科學基金4項，教育部重點科研課題，教育部優秀青年資助計劃課題，教育部留學回國啟動基金、山東省重點科研課題等多項，與企業合作開展的新葯研發課題多項。開展了多酚類化合物等抗氧化劑與糖尿病並發症預防方面的深入研究；中國苔蘚植物化學成分系統研究，對苔蘚植物抗真菌、抗真菌耐葯等進行了較系統的研究，有許多新的發現和突破。已完成了近40種動植物活性化合物的研究工作，發現新結構化合物100多個，發表學術論文90餘篇，SCI引用近20篇。已經獲得新葯證書的新葯3項，獲得批准進行臨床研究的新葯5項，臨床待批的新葯4項，進行中的新葯4項，申請中的專利9項。
承擔課題：國家傑出青年基金：「苔蘚植物化學成分與生物學活性意義研究」（2010）
國家基金重點項目：「苔蘚植物中抗真菌活性成分的高通量發現與衍生物制備」（2008）
國家重大新葯創制綜合大平台 （2009）
主編出版《苔蘚化學與生物學》（科學技術出版社，2012）， 譯著《葯用天然產物生物合成》（Paul M Dewick，化學工業出版社 2008）。在國際刊物Org Lett, Nat Prod Rep, J Nat Prod, Phytochem, Cancer Lett, Bio Med Chem, ChemBiochem，Plos One等發表SCI文章近150篇，他引超過1000次；授權中國專利9項，申請美國專利1項。為主承擔的兩項新葯研究獲得新葯證書，三個新葯研發項目取得臨床批件。 科研方向：活性天然產物研究和新葯開發
1. 從苔蘚植物和葯用植物中發現活性萜類、多酚和生物鹼類化合物
2. 天然產物的抗真菌、抗腫瘤和抗氧化活性機制研究
3. 天然抗氧化劑的心血管系統保護作用研究 1. 苔蘚植物中抗真菌耐葯有效成分的高通量發現與衍生物制備 國家自然科學基金重點項目(No. 30730109), 項目負責人
2. 苔類植物聯苄類化合物抗真菌及逆轉真菌耐葯機制研究 國家重點基礎研究發展計劃(973計劃)課題(No. 2006CB708511), 項目負責人
3. 苔類植物成分抑制真菌生物被膜形成及逆轉耐葯的研究 國家自然科學基金項目(No. 30672531), 項目負責人
4. 原花青素誘導心肌細胞內源性抗氧化劑分子機理和抗氧化性損傷的研究 國家自然科學基金項目(No. 30472072), 項目負責人
5. 基於糖識別的重大疾病耐葯逆轉劑的研究 山東省自主創新重大科技專項計劃(No. 2006GG1102023), 項目負責人
6. 抗肝炎葯物生物鹼-有機酸復鹽的研製 山東省科技攻關項目(No. Y2006C38), 項目負責人 1. Ren Dong-Mei, Guo Huai-Fang, Wang Shu-Qi, Lou Hong-Xiang*. Separation and structure determination of two diastereomeric pairs of enantiomers from Dracocephalum rupestre by high-performance liquid chromatography with circular dichroism detection. Journal of Chromatography A, 2007, 1161: 334337.
2. Ma Bin, Guo Huai-Fang, Lou Hong-Xiang*. A new lignan and two eudesmanes from Lepidozia vitrea. Helvetica Chimica Acta 2007, 90: 5862.
3. Ma Bin, Lu Zhi-Qiang, Guo Huai-Fang, Lou Hong-Xiang*. Rearranged calamenene and eudesmane sesquiterpenoids from two Chinese liverworts. Helvetica Chimica Acta 2007, 90: 5257.
4. Xie Chun-Feng, Qu Jian-Bo, Sun Bin, Guo Huai-Fang, Lou Hong-Xiang*. Dumhirone A, an unusual phenylethyl cyclohexadienone from the Chinese liverwort Dumortiera hirsuta. Biochemical Systematics and Ecology 2007, 35: 162165.
5. Shen Tao, Wan Wen-Zhu, Yuan Hui-Qing, Kong Feng, Fan Pei-Hong, Lou Hong-Xiang*. Secondary metabolites from Commiphora opobalsamum and their antiproliferative effect on human prostate cancer cells. Phytochemistry 2007, 68: 13311337.
6. Qu Jian-Bo, Xie Chun-Feng, Guo Huai-Fang, Lou Hong-Xiang*. Antifungal dibenzofuran bis(bibenzyl)s from the liverwort Asterella angusta. Phytochemistry 2007, 68: 17671774.
7. Xing Jie, Xie Chun-Feng, Lou Hong-Xiang*. Recent applications of liquid chromatography–mass spectrometry in natural procts bioanalysis. Journal of Pharmaceutical and Biomedical Analysis 2007, 44: 368378.
8. Zhan Tian-Rong, Lou Hong-Xiang*. Synthesis of azole nucleoside analogues of d-pinitol as potential antitumor agents. Carbohydrate Research 2007, 342: 86958699.
9. Qu Jian-Bo, Xie Chun-Feng, Ji Mei, Shi Yan-Qiu, Lou Hong-Xiang*. Water-soluble constituents from the liverwort Marchantia polymorpha. Helvetica Chimica Acta, 2007, 90: 21092115.
10. Zhao Gui-Sen, Liu Chuan, Wang Rui, Song Dan-Dan, Wang Xiao-Bing, Lou Hong-Xiang*, Jing Yong-Kui*. The synthesis of α,β-unsaturated carbonyl derivatives with the ability to inhibit both glutathione S-transferase P1-1 activity and the proliferation of leukemia cells. Bioorganic & Medicinal Chemistry 2007, 15: 27012707.
11. Fang Lei, Guo Huai-Fang, Lou Hong-Xiang*. Three new bibenzyl derivatives from the Chinese liverwort Marchantia polymorpha L. Helvetica Chimica Acta 2007, 90: 748752.
12. Xing Jie, Xie Chun-Feng, Qu Jian-Bo, Guo Huai-Fang, Lv Bei-Bei, Lou Hong-Xiang*. Rapid screening for bisbibenzyls in bryophyte crude extracts using liquid chromatography/ tandem mass spectrometry. Rapid Communications in Mass Spectrometry 2007, 21: 24672476.
13. Guo Huai-Fang, Xing Jie, Xie Chun-Feng, Qu Jian-Bo, Gao Yan-Hui, Lou Hong-Xiang*. Study of bis(bibenzyls) in bryophytes using electron ionization time-of-flight and electrospray ionization triple-quadrupole mass spectrometry. Rapid Communications in Mass Spectrometry 2007, 21: 13671374.
14. Yu Bei-Bei, Han Xiu-Zhen, Lou Hong-Xiang*. Oligomers of resveratrol and ferulic acid prepared by peroxidase-catalyzed oxidation and their protective effects on cardiac injury. Journal of Agricultural and Food Chemistry 2007, 55: 7753–7757.
15. Du Yu, Guo Huai-Fang, Lou Hong-Xiang*. Grape seed polyphenols protect cardiac cells from apoptosis via inction of endogenous antioxidant enzymes. Journal of Agricultural and Food Chemistry 2007, 55: 16951701. 1. 婁紅祥, 王小寧. 苔蘚植物化學成分研究. 天然產物化學進展; 於德泉, 吳毓林 主編; 化學工業出版社: 北京, 2005年; pp 251300.
2. 婁紅祥 主編, 苔蘚植物化學和生物學. 北京科學技術出版社: 北京, 2006年; pp 1363..
3. 婁紅祥, 范培紅. 鞣質. 實用天然有機產物化學; 吳立軍 主編; 人民衛生出版社: 北京, 2007年; pp 946-983.
4. 聯苄類化合物13,13-O-異丙叉基片葉苔素D及其提取分離方法與應用
5. 姜黃素磷脂復合物及其制備方法
6. 一種聯苄類化合物羽苔素E及其提取分離方法與應用
7. 乙醯水楊醯基葛根素衍生物及其制備方法及應用
8. 一種治療心腦血管系統疾病的總黃酮及其制備方法與應用

㈣ 如何查看kubernetes的更新信息

我們先從整體上看一下Kubernetes的一些理念和基本架構，然後從網路、資源管理、存儲、服務發現、負載均衡、高可用、rollingupgrade、安全、監控等方面向大家簡單介紹Kubernetes的這些主要特性。當然也會包括一些需要注意的問題。主要目的是幫助大家快速理解Kubernetes的主要功能，今後在研究和使用這個具的時候有所參考和幫助。1.Kubernetes的一些理念：用戶不需要關心需要多少台機器，只需要關心軟體（服務）運行所需的環境。以服務為中心，你需要關心的是api，如何把大服務拆分成小服務，如何使用api去整合它們。保證系統總是按照用戶指定的狀態去運行。不僅僅提給你供容器服務，同樣提供一種軟體系統升級的方式；在保持HA的前提下去升級系統是很多用戶最想要的功能，也是最難實現的。那些需要擔心和不需要擔心的事情。更好的支持微服務理念，劃分、細分服務之間的邊界，比如lablel、pod等概念的引入。對於Kubernetes的架構，可以參考官方文檔。大致由一些主要組件構成，包括Master節點上的kube-apiserver、kube-scheler、kube-controller-manager、控制組件kubectl、狀態存儲etcd、Slave節點上的kubelet、kube-proxy，以及底層的網路支持（可以用Flannel、OpenVSwitch、Weave等）。看上去也是微服務的架構設計，不過目前還不能很好支持單個服務的橫向伸縮，但這個會在Kubernetes的未來版本中解決。2.Kubernetes的主要特性會從網路、服務發現、負載均衡、資源管理、高可用、存儲、安全、監控等方面向大家簡單介紹Kubernetes的這些主要特性->由於時間有限，只能簡單一些了。另外，對於服務發現、高可用和監控的一些更詳細的介紹，感興趣的朋友可以通過這篇文章了解。1）網路Kubernetes的網路方式主要解決以下幾個問題：a.緊耦合的容器之間通信，通過Pod和localhost訪問解決。b.Pod之間通信，建立通信子網，比如隧道、路由，Flannel、OpenvSwitch、Weave。c.Pod和Service，以及外部系統和Service的通信，引入Service解決。Kubernetes的網路會給每個Pod分配一個IP地址，不需要在Pod之間建立鏈接，也基本不需要去處理容器和主機之間的埠映射。注意：Pod重建後，IP會被重新分配，所以內網通信不要依賴PodIP；通過Service環境變數或者DNS解決。2）服務發現及負載均衡kube-proxy和DNS，在v1之前，Service含有欄位portalip和publicIPs，分別指定了服務的虛擬ip和服務的出口機ip，publicIPs可任意指定成集群中任意包含kube-proxy的節點，可多個。portalIp通過NAT的方式跳轉到container的內網地址。在v1版本中，publicIPS被約定廢除，標記為deprecatedPublicIPs，僅用作向後兼容，portalIp也改為ClusterIp,而在serviceport定義列表裡，增加了nodePort項，即對應node上映射的服務埠。DNS服務以addon的方式，需要安裝skydns和kube2dns。kube2dns會通過讀取KubernetesAPI獲取服務的clusterIP和port信息，同時以watch的方式檢查service的變動，及時收集變動信息，並將對於的ip信息提交給etcd存檔，而skydns通過etcd內的DNS記錄信息，開啟53埠對外提供服務。大概的DNS的域名記錄是servicename.namespace.tenx.domain,「tenx.domain」是提前設置的主域名。注意：kube-proxy在集群規模較大以後，可能會有訪問的性能問題，可以考慮用其他方式替換，比如HAProxy，直接導流到Service的endpints或者Pods上。Kubernetes官方也在修復這個問題。3）資源管理有3個層次的資源限制方式，分別在Container、Pod、Namespace層次。Container層次主要利用容器本身的支持，比如Docker對CPU、內存、磁碟、網路等的支持；Pod方面可以限制系統內創建Pod的資源范圍，比如最大或者最小的CPU、memory需求；Namespace層次就是對用戶級別的資源限額了，包括CPU、內存，還可以限定Pod、rc、service的數量。資源管理模型－》簡單、通用、准確，並可擴展目前的資源分配計算也相對簡單，沒有什麼資源搶占之類的強大功能，通過每個節點上的資源總量、以及已經使用的各種資源加權和，來計算某個Pod優先非配到哪些節點，還沒有加入對節點實際可用資源的評估，需要自己的schelerplugin來支持。其實kubelet已經可以拿到節點的資源，只要進行收集計算即可，相信Kubernetes的後續版本會有支持。4）高可用主要是指Master節點的HA方式官方推薦利用etcd實現master選舉，從多個Master中得到一個kube-apiserver保證至少有一個master可用，實現highavailability。對外以loadbalancer的方式提供入口。這種方式可以用作ha，但仍未成熟，據了解，未來會更新升級ha的功能。一張圖幫助大家理解：也就是在etcd集群背景下，存在多個kube-apiserver，並用pod-master保證僅是主master可用。同時kube-sheller和kube-controller-manager也存在多個，而且伴隨著kube-apiserver同一時間只能有一套運行。5）rollingupgradeRC在開始的設計就是讓rollingupgrade變的更容易，通過一個一個替換Pod來更新service，實現服務中斷時間的最小化。基本思路是創建一個復本為1的新的rc，並逐步減少老的rc的復本、增加新的rc的復本，在老的rc數量為0時將其刪除。通過kubectl提供，可以指定更新的鏡像、替換pod的時間間隔，也可以rollback當前正在執行的upgrade操作。同樣，Kuberntes也支持多版本同時部署，並通過lable來進行區分，在service不變的情況下，調整支撐服務的Pod，測試、監控新Pod的工作情況。6）存儲大家都知道容器本身一般不會對數據進行持久化處理，在Kubernetes中，容器異常退出，kubelet也只是簡單的基於原有鏡像重啟一個新的容器。另外，如果我們在同一個Pod中運行多個容器，經常會需要在這些容器之間進行共享一些數據。Kuberenetes的Volume就是主要來解決上面兩個基礎問題的。Docker也有Volume的概念，但是相對簡單，而且目前的支持很有限，Kubernetes對Volume則有著清晰定義和廣泛的支持。其中最核心的理念：Volume只是一個目錄，並可以被在同一個Pod中的所有容器訪問。而這個目錄會是什麼樣，後端用什麼介質和裡面的內容則由使用的特定Volume類型決定。創建一個帶Volume的Pod：spec.volumes指定這個Pod需要的volume信息spec.containers.volumeMounts指定哪些container需要用到這個VolumeKubernetes對Volume的支持非常廣泛，有很多貢獻者為其添加不同的存儲支持，也反映出Kubernetes社區的活躍程度。emptyDir隨Pod刪除，適用於臨時存儲、災難恢復、共享運行時數據，支持RAM-backedfilesystemhostPath類似於Docker的本地Volume用於訪問一些本地資源（比如本地Docker）。gcePersistentDiskGCEdisk-只有在GoogleCloudEngine平台上可用。awsElasticBlockStore類似於GCEdisk節點必須是AWSEC2的實例nfs-支持網路文件系統。rbd-RadosBlockDevice-Cephsecret用來通過KubernetesAPI向Pod傳遞敏感信息，使用tmpfs（aRAM-backedfilesystem）persistentVolumeClaim-從抽象的PV中申請資源，而無需關心存儲的提供方glusterfsiscsigitRepo根據自己的需求選擇合適的存儲類型，反正支持的夠多，總用一款適合的:）7）安全一些主要原則：基礎設施模塊應該通過APIserver交換數據、修改系統狀態，而且只有APIserver可以訪問後端存儲（etcd）。把用戶分為不同的角色：Developers/ProjectAdmins/Administrators。允許Developers定義secrets對象，並在pod啟動時關聯到相關容器。以secret為例，如果kubelet要去pull私有鏡像，那麼Kubernetes支持以下方式：通過dockerlogin生成.dockercfg文件，進行全局授權。通過在每個namespace上創建用戶的secret對象，在創建Pod時指定imagePullSecrets屬性（也可以統一設置在serviceAcouunt上），進行授權。認證（Authentication）APIserver支持證書、token、和基本信息三種認證方式。授權（Authorization）通過apiserver的安全埠，authorization會應用到所有http的請求上AlwaysDeny、AlwaysAllow、ABAC三種模式，其他需求可以自己實現Authorizer介面。8）監控比較老的版本Kubernetes需要外接cadvisor主要功能是將node主機的containermetrics抓取出來。在較新的版本里，cadvior功能被集成到了kubelet組件中，kubelet在與docker交互的同時，對外提供監控服務。Kubernetes集群范圍內的監控主要由kubelet、heapster和storagebackend（如influxdb）構建。Heapster可以在集群范圍獲取metrics和事件數據。它可以以pod的方式運行在k8s平台里，也可以單獨運行以standalone的方式。注意：heapster目前未到1.0版本，對於小規模的集群監控比較方便。但對於較大規模的集群，heapster目前的cache方式會吃掉大量內存。因為要定時獲取整個集群的容器信息，信息在內存的臨時存儲成為問題，再加上heaspter要支持api獲取臨時metrics，如果將heapster以pod方式運行，很容易出現OOM。所以目前建議關掉cache並以standalone的方式獨立出k8s平台。

㈤ kubernetes env 變數是臨時的嗎

我們先從整體上看一下Kubernetes的一些理念和基本架構， 然後從網路、 資源管理、存儲、服務發現、負載均衡、高可用、rolling upgrade、安全、監控等方面向大家簡單介紹Kubernetes的這些主要特性。

當然也會包括一些需要注意的問題。主要目的是幫助大家快速理解 Kubernetes的主要功能，今後在研究和使用這個具的時候有所參考和幫助。

1.Kubernetes的一些理念：
用戶不需要關心需要多少台機器，只需要關心軟體（服務）運行所需的環境。以服務為中心，你需要關心的是api，如何把大服務拆分成小服務，如何使用api去整合它們。
保證系統總是按照用戶指定的狀態去運行。
不僅僅提給你供容器服務，同樣提供一種軟體系統升級的方式；在保持HA的前提下去升級系統是很多用戶最想要的功能，也是最難實現的。
那些需要擔心和不需要擔心的事情。

更好的支持微服務理念，劃分、細分服務之間的邊界，比如lablel、pod等概念的引入。

對於Kubernetes的架構，可以參考官方文檔。

大致由一些主要組件構成，包括Master節點上的kube-apiserver、kube-scheler、kube-controller-manager、控制組件kubectl、狀態存儲etcd、Slave節點上的kubelet、kube-proxy，以及底層的網路支持（可以用Flannel、OpenVSwitch、Weave等）。

看上去也是微服務的架構設計，不過目前還不能很好支持單個服務的橫向伸縮，但這個會在 Kubernetes 的未來版本中解決。

2.Kubernetes的主要特性
會從網路、服務發現、負載均衡、資源管理、高可用、存儲、安全、監控等方面向大家簡單介紹Kubernetes的這些主要特性 -> 由於時間有限，只能簡單一些了。

另外，對於服務發現、高可用和監控的一些更詳細的介紹，感興趣的朋友可以通過這篇文章了解。

1）網路
Kubernetes的網路方式主要解決以下幾個問題：

a. 緊耦合的容器之間通信，通過 Pod 和 localhost 訪問解決。
b. Pod之間通信，建立通信子網，比如隧道、路由，Flannel、Open vSwitch、Weave。
c. Pod和Service，以及外部系統和Service的通信，引入Service解決。

Kubernetes的網路會給每個Pod分配一個IP地址，不需要在Pod之間建立鏈接，也基本不需要去處理容器和主機之間的埠映射。

注意：Pod重建後，IP會被重新分配，所以內網通信不要依賴Pod IP；通過Service環境變數或者DNS解決。

2） 服務發現及負載均衡
kube-proxy和DNS， 在v1之前，Service含有欄位portalip 和publicIPs， 分別指定了服務的虛擬ip和服務的出口機ip，publicIPs可任意指定成集群中任意包含kube-proxy的節點，可多個。portalIp 通過NAT的方式跳轉到container的內網地址。在v1版本中，publicIPS被約定廢除，標記為deprecatedPublicIPs，僅用作向後兼容，portalIp也改為ClusterIp, 而在service port 定義列表裡，增加了nodePort項，即對應node上映射的服務埠。

DNS服務以addon的方式，需要安裝skydns和kube2dns。kube2dns會通過讀取Kubernetes API獲取服務的clusterIP和port信息，同時以watch的方式檢查service的變動，及時收集變動信息，並將對於的ip信息提交給etcd存檔，而skydns通過etcd內的DNS記錄信息，開啟53埠對外提供服務。大概的DNS的域名記錄是servicename.namespace.tenx.domain, "tenx.domain"是提前設置的主域名。

注意：kube-proxy 在集群規模較大以後，可能會有訪問的性能問題，可以考慮用其他方式替換，比如HAProxy，直接導流到Service 的endpints 或者 Pods上。Kubernetes官方也在修復這個問題。
3）資源管理
有3 個層次的資源限制方式，分別在Container、Pod、Namespace 層次。Container層次主要利用容器本身的支持，比如Docker 對CPU、內存、磁碟、網路等的支持；Pod方面可以限制系統內創建Pod的資源范圍，比如最大或者最小的CPU、memory需求；Namespace層次就是對用戶級別的資源限額了，包括CPU、內存，還可以限定Pod、rc、service的數量。

資源管理模型 －》 簡單、通用、准確，並可擴展

目前的資源分配計算也相對簡單，沒有什麼資源搶占之類的強大功能，通過每個節點上的資源總量、以及已經使用的各種資源加權和，來計算某個Pod優先非配到哪些節點，還沒有加入對節點實際可用資源的評估，需要自己的scheler plugin來支持。其實kubelet已經可以拿到節點的資源，只要進行收集計算即可，相信Kubernetes的後續版本會有支持。

4）高可用
主要是指Master節點的 HA方式 官方推薦 利用etcd實現master 選舉，從多個Master中得到一個kube-apiserver 保證至少有一個master可用，實現high availability。對外以loadbalancer的方式提供入口。這種方式可以用作ha，但仍未成熟，據了解，未來會更新升級ha的功能。

一張圖幫助大家理解：

也就是在etcd集群背景下，存在多個kube-apiserver，並用pod-master保證僅是主master可用。同時kube-sheller和kube-controller-manager也存在多個，而且伴隨著kube-apiserver 同一時間只能有一套運行。

5） rolling upgrade
RC 在開始的設計就是讓rolling upgrade變的更容易，通過一個一個替換Pod來更新service，實現服務中斷時間的最小化。基本思路是創建一個復本為1的新的rc，並逐步減少老的rc的復本、增加新的rc的復本，在老的rc數量為0時將其刪除。

通過kubectl提供，可以指定更新的鏡像、替換pod的時間間隔，也可以rollback 當前正在執行的upgrade操作。

同樣， Kuberntes也支持多版本同時部署，並通過lable來進行區分，在service不變的情況下，調整支撐服務的Pod，測試、監控新Pod的工作情況。

6）存儲
大家都知道容器本身一般不會對數據進行持久化處理，在Kubernetes中，容器異常退出，kubelet也只是簡單的基於原有鏡像重啟一個新的容器。另外，如果我們在同一個Pod中運行多個容器，經常會需要在這些容器之間進行共享一些數據。Kuberenetes 的 Volume就是主要來解決上面兩個基礎問題的。

Docker 也有Volume的概念，但是相對簡單，而且目前的支持很有限，Kubernetes對Volume則有著清晰定義和廣泛的支持。其中最核心的理念：Volume只是一個目錄，並可以被在同一個Pod中的所有容器訪問。而這個目錄會是什麼樣，後端用什麼介質和裡面的內容則由使用的特定Volume類型決定。

創建一個帶Volume的Pod：

spec.volumes 指定這個Pod需要的volume信息 spec.containers.volumeMounts 指定哪些container需要用到這個Volume Kubernetes對Volume的支持非常廣泛，有很多貢獻者為其添加不同的存儲支持，也反映出Kubernetes社區的活躍程度。

emptyDir 隨Pod刪除，適用於臨時存儲、災難恢復、共享運行時數據，支持 RAM-backed filesystemhostPath 類似於Docker的本地Volume 用於訪問一些本地資源（比如本地Docker）。
gcePersistentDisk GCE disk - 只有在 Google Cloud Engine 平台上可用。
awsElasticBlockStore 類似於GCE disk 節點必須是 AWS EC2的實例 nfs - 支持網路文件系統。
rbd - Rados Block Device - Ceph
secret 用來通過Kubernetes API 向Pod 傳遞敏感信息，使用 tmpfs （a RAM-backed filesystem）
persistentVolumeClaim - 從抽象的PV中申請資源，而無需關心存儲的提供方
glusterfs
iscsi
gitRepo

根據自己的需求選擇合適的存儲類型，反正支持的夠多，總用一款適合的 :)

7）安全
一些主要原則：

基礎設施模塊應該通過API server交換數據、修改系統狀態，而且只有API server可以訪問後端存儲（etcd）。
把用戶分為不同的角色：Developers/Project Admins/Administrators。
允許Developers定義secrets 對象，並在pod啟動時關聯到相關容器。

以secret 為例，如果kubelet要去pull 私有鏡像，那麼Kubernetes支持以下方式：

通過docker login 生成 .dockercfg 文件，進行全局授權。
通過在每個namespace上創建用戶的secret對象，在創建Pod時指定 imagePullSecrets 屬性（也可以統一設置在serviceAcouunt 上），進行授權。

認證 （Authentication）
API server 支持證書、token、和基本信息三種認證方式。

授權 （Authorization）
通過apiserver的安全埠，authorization會應用到所有http的請求上
AlwaysDeny、AlwaysAllow、ABAC三種模式，其他需求可以自己實現Authorizer介面。

8）監控
比較老的版本Kubernetes需要外接cadvisor主要功能是將node主機的container metrics抓取出來。在較新的版本里，cadvior功能被集成到了kubelet組件中，kubelet在與docker交互的同時，對外提供監控服務。

Kubernetes集群范圍內的監控主要由kubelet、heapster和storage backend（如influxdb）構建。Heapster可以在集群范圍獲取metrics和事件數據。它可以以pod的方式運行在k8s平台里，也可以單獨運行以standalone的方式。

注意： heapster目前未到1.0版本，對於小規模的集群監控比較方便。但對於較大規模的集群，heapster目前的cache方式會吃掉大量內存。因為要定時獲取整個集群的容器信息，信息在內存的臨時存儲成為問題，再加上heaspter要支持api獲取臨時metrics，如果將heapster以pod方式運行，很容易出現OOM。所以目前建議關掉cache並以standalone的方式獨立出k8s平台。