Kubernetes

Pod Pending不一定是CPU或内存不够，很多问题藏在调度插件的过滤、打分、预留和绑定阶段。本篇用Filter、Score到Bind的链路解释kube-scheduler如何做决策，并给出排查事件、日志和配置的对应视角。

发布被 Admission Webhook 卡住时，不同日志信号对应不同根因。本篇用排障矩阵拆解证书、Service、Endpoint、网络策略和 failurePolicy 的检查顺序，帮助你先定位链路，再验证策略结果。

集群数量增加后，权限风险往往来自临时授权、跨集群角色不一致和 ServiceAccount 复用。本篇从身份源、角色模板、集群绑定和例外流程入手，帮助你把多集群权限管理变成可复查清单。

告警来了靠人翻群、脚本散落在各处、复盘结论无法复用，是 Runbook 自动化最常见的断点。本篇从告警入口、诊断证据、处置分级和升级策略切入，拆解 Kubernetes 场景下的闭环落地顺序。

节点自动扩缩容选错，常见后果不是少省几台机器，而是 Pending 等待、节点碎片和容量策略长期失控。本文把 Karpenter vs Cluster Autoscaler 放到真实平台场景中比较，给出可执行的选型与迁移判断。

Pod从Pending到Running，背后经历了调度队列、节点过滤、打分、绑定、镜像拉取和容器启动等多个阶段。本文用图解方式拆解Kubernetes调度流程和常见误解。

排查Kubernetes问题时，kubectl命令要按场景组合使用，而不是零散记忆。本文围绕Pod状态、日志、事件、资源、网络和配置检查，整理一份适合日常排障的速查清单。

Kubernetes版本更新不能只看新增功能，平台团队更需要判断哪些变化会影响控制面、插件、API兼容性和生产升级窗口。本文从升级前检查角度解读Kubernetes 1.32的关注点。

K8s入口流量治理不是只有Ingress一种选择。Gateway API提供更强的多角色和扩展模型，Service Mesh则更偏服务治理。本文用矩阵方式比较三类入口方案的能力边界和适用场景。

从Docker Compose迁移到Kubernetes不是把YAML格式转换一下，而是把单机编排模型迁移到声明式集群模型。本文围绕配置拆分、服务暴露、存储和回滚策略给出迁移指南。

Sidecar容器常用于日志采集、代理、配置同步和服务网格，但它不是普通业务容器，也不同于只在启动前执行的Init容器。本文用定义、例子、类比和对比表讲清它的作用边界。

RBAC最小权限的难点不在YAML语法，而在角色边界、绑定范围和长期审计。本文从原则、配置模板、风险项和检查清单出发，梳理生产环境Kubernetes权限治理方法。

入口网关选型不能只看功能清单，延迟、吞吐、CPU、内存、配置复杂度和观测能力都会影响生产表现。本文用可复现的测试口径说明Ingress-Nginx与Traefik应该怎么评估。

CrashLoopBackOff不是一个单一错误，而是Pod中的容器不断启动失败后的状态结果。本文用6步排查法串起事件、日志、退出码、OOM、探针和依赖检查，帮助快速定位Pod反复重启原因。

Kubernetes审计日志用于回答谁在什么时候对集群做了什么操作。本文从audit policy设计开始，讲清API Server配置、日志采集、验证方法和安全告警接入，帮助团队建立可追踪的集群审计能力。

Kubernetes 1.28 实用新功能

一文带你了解Kubernetes 1.28混合版本代理功能

一文带你了解如何使用新的边车特性

Planternetes

一文带你了解如何实现零信任安全策略