K8s容器

本文聚焦企业私有镜像仓库在多团队、多环境、多流水线场景下的Harbor权限设计，从项目边界、角色授权、机器人账号、镜像准入和审计追踪等维度建立治理模型，帮助平台团队降低误推、越权和高危镜像流入生产的风险。

本文聚焦企业镜像从构建、推送到Kubernetes部署的供应链安全场景，从签名身份、摘要校验、准入验证、密钥管理和审计追踪等维度建立可信镜像交付流程。

本文聚焦容器工作负载被入侵后可能进一步突破隔离的场景，从镜像来源、运行时权限、宿主机挂载、内核暴露和监控响应等维度拆解攻击面，帮助团队建立分层防护。

本文聚焦运维组件、采集代理和历史业务误用特权容器的场景，从宿主机边界、设备访问、内核能力、准入治理等维度评估风险，帮助团队用更小权限替代privileged模式。

本文聚焦业务容器从默认root运行改造为非root运行的场景，从用户身份、文件权限、能力收敛、运行时验证等维度建立最小权限基线，帮助团队降低越权操作和横向移动风险。

本文聚焦数据处理、报表生成、离线同步和周期巡检等K8s批处理任务场景，从Job、CronJob、重试策略、并发控制与运维检查维度说明使用方法，帮助团队把一次性和定时任务稳定运行在集群中。

本文聚焦日志采集、节点监控、网络插件和存储代理等节点级服务部署场景，从覆盖范围、调度约束、升级策略与运维检查维度解析DaemonSet实践，帮助平台团队稳定管理每台节点上的基础能力。

本文聚焦K8s应用副本数量不稳定、Pod异常退出和滚动发布排障场景，从ReplicaSet控制循环、选择器、Deployment关系与故障处理维度说明副本控制机制，帮助团队提升工作负载运行稳定性。

本文聚焦Kubernetes集群接入块存储、文件存储和云盘等场景，从CSI组件、卷生命周期、权限边界与故障定位维度拆解存储插件机制，帮助运维和平台团队形成可落地的容器存储治理方法。

本文聚焦数据库、中间件和分布式有状态服务在Kubernetes中的部署场景，从稳定身份、独立PVC、volumeClaimTemplates、扩缩容、备份恢复和故障迁移维度梳理StatefulSet存储设计方法，帮助团队降低有状态应用上云风险。

本文聚焦Kubernetes集群中应用按需申请持久化存储的实践场景，从StorageClass、PVC、PV、CSI驱动、回收策略和扩容能力维度梳理K8s动态存储供给方法，帮助平台团队建立可复用的存储交付标准。

本文聚焦容器运行中需要高速、短生命周期和低落盘风险的临时数据场景，从内存存储机制、性能、安全、容量控制和故障影响维度解析tmpfs mount，帮助团队判断哪些容器临时存储适合放在内存中。

本文聚焦Docker容器在开发调试、配置注入、数据持久化和生产运维中的挂载选择，从数据归属、生命周期、权限、安全和迁移维度对比bind mount与Volume，帮助团队形成可落地的Docker挂载决策标准。

本文聚焦在多租户隔离、敏感服务保护和最小访问控制这些场景，围绕策略模型、流量方向和上线验证三个维度展开，帮助你把 NetworkPolicy 从概念理解推进到可执行的网络隔离方案。

本文聚焦在多服务对外暴露、HTTPS 统一接入和灰度入口管理这些场景，围绕配置规则、流量路径和排障检查三个维度展开，帮助你把 Ingress 从“能用”配置到“可维护”状态。

本文聚焦在 Kubernetes 集群选型、网络性能调优和安全策略落地这些典型场景，围绕功能能力、适用边界和选型路径三个维度展开，帮助你在 Calico、Flannel 与 Cilium 之间做出更稳妥的判断。

本文聚焦在多主机 Docker 环境里容器互通、服务迁移与网络隔离这类场景，围绕 overlay 网络的封装方式、转发路径和故障定位三个维度展开，帮助你建立可落地的跨主机容器通信认知。

本文聚焦K8s应用从首次上线到持续发布的运维场景，围绕Deployment资源模型、ReplicaSet副本控制、滚动更新、回滚和配置检查等维度，帮助读者掌握稳定部署应用的核心方法。

本文聚焦Kubernetes应用运行与排障场景，围绕Pod作为容器组的结构、共享资源、生命周期阶段、探针机制和常见异常定位维度，帮助读者建立从部署到运维的Pod理解框架。

本文聚焦容器化应用从单机运行走向多节点集群的典型场景，围绕服务定义、调度、伸缩、故障恢复和运维治理等维度，帮助读者判断Docker Compose与Kubernetes编排的适用边界并形成选型思路。