pod使用多个镜像？ pod 镜像？

机密容器和加密容器镜像

1、机密容器和加密容器镜像是容器安全领域的重要概念，它们旨在保护容器中的敏感数据和应用程序免受未经授权的访问和攻击。机密容器 机密容器是一种特殊的容器，它利用硬件和软件技术来确保容器内的数据和应用程序在执行过程中保持机密性。

2、如果CPU TEE通过了身份认证，远程证明服务将授权密钥管理服务（KMS）返回attestation-agent请求的敏感数据，如容器镜像的解密密钥和加密引导过程中用到的磁盘解密密钥。产品解决方案 作为机密容器项目的核心成员，阿里云除了积极参与社区的开源工作，也一直致力于机密容器产品化和推广工作。

3、BuildKit作为Docker官方提供的下一代镜像构建工具，具有诸多优势。它不仅优化了构建步骤，提高了构建效率，还提供了高效灵活的缓存机制和多种输出格式。同时，BuildKit还支持扩展语法以安全地处理机密信息，并适用于不同的使用场景。

4、ConfigMap 的功能 ConfigMap 在 kubernetes 中主要用于存储非机密的配置信息，如环境变量、配置文件内容等。它实现了应用程序配置与容器镜像的分离，从而提高了配置管理的灵活性和效率。通过 ConfigMap，可以轻松地在不同的环境（如开发、测试、生产）之间共享和切换配置，而无需重新构建容器镜像。

5、在privileged模式下运行的所有容器可以访问同一节点上的所有secret。 镜像拉取Secret：用于配置kubelet从私有仓库拉取容器镜像的身份认证。总结：ConfigMap和Secret都是Kubernetes中用于管理配置数据和机密数据的重要工具。ConfigMap主要用于非敏感配置信息的存储和分发，而Secret则专门用于存储和管理敏感信息。

k8s如何修改Pod的容器运行参数

1、在KuberneTES（k8s）中，修改POD的容器运行参数可以通过修改pod的配置文件、使用ConfigMaps或Secrets、修改资源请求或限制以及使用特权容器和initContainers等方式实现。修改Pod的配置文件 这是最直接的方式，适用于大多数需要更改的参数。

2、在Kubernetes中，可以通过在Pod的YAML配置文件中设置securityContext来定义ulimit值。要在Kubernetes中设置Pod内的ulimit值，你需要在Pod的定义中加入securityContext字段，并在其中指定所需的ulimit。这通常是在Pod的YAML配置文件中完成的。

3、containerdshim接收到容器级的OOM事件通知后，通过GRPC消息向containerd传输关键数据，包括容器ID、进程ID、退出码以及时间戳等信息。containerd更新容器状态：containerd接收到这些信息后，调用UpdateSync方法更新容器的状态，以进一步管理容器的生命周期。

4、在Kubernetes 27版本中，引入了一个新的alpha特性，允许用户在不重启Pod的情况下调整分配给Pod的cpu或内存资源的大小。此功能通过允许在Pod容器的resources字段中对CPU和内存资源进行更改实现，用户可以通过patch修改正在运行的Podspec来实现资源调整。

Kubernetes组件之Coredns及DNS解析不通问题

如果CoreDNS也无法解析该请求，则可能会根据配置将请求转发给外部的DNS服务器。DNS解析不通问题分析及解决方案 问题描述：在某些情况下，Pod可能无法解析特定的域名，即使这些域名在CoreDNS中已正确配置。这个问题通常与nodeLocalDNS的配置有关，特别是与其转发DNS请求的方式有关。

解决方案是修改为直接使用全局DNS服务器的IP进行转发，即forward . 200.0.3。通过此方法解决了域名解析不通的问题。为了测试和调试DNS相关问题，提供了一个容器内的测试工具，该工具内置了nslookup工具、curl等常用工具，方便进行DNS排错。以下是用于测试的yaml脚本示例。

另一种情况下，服务器重启后仍遇到coredns异常，可能是由于/etc/resolv.conf文件丢失所致。检查pod的日志和dns配置文件，可以发现类似问题。此问题的解决方式与场景一相同，即重新配置/ETC/resolv.conf文件。如果coredns部署后状态在CrashLoopBackoff和Error之间不断切换，查看日志会发现coredns无法启动的迹象。

难用的Runpod记录

1、在Runpod上部署comfyUI的步骤 尽管Runpod存在上述难用之处，但以下步骤将指导用户如何在Runpod上成功部署ComfyUI：平台充值与注册：首先，用户需要在Runpod平台上进行充值，以便支付后续的服务费用。

2、租用步骤：充值：首先，你需要使用银行卡在runpod平台上进行充值，以便后续支付租用费用。点击右上角进行充值操作。选择服务：充值完成后，回到服务选择界面。在这里，建议选择“Secure Cloud”服务。这个服务提供了独立的计算空间，可以长期使用，不用担心资源丢失，也无需与他人共用资源。

3、H100的市场需求巨大，包括微软Azure、谷歌GCP、亚马逊AWS等云计算巨头，以及独立云GPU服务商如CoreWeave、Lambda、RunPod等，都对H100表现出浓厚兴趣。此外，大小公司如Anthropic、Inflection、midjourney、苹果、特斯拉、Meta等也在积极采购，旨在训练或自建大模型。

4、在RuntimeService部分，CRI设计的一个重要原则是保证接口本身只关注容器，而不关注Pod。原因：Pod是Kubernetes的编排概念，不是容器运行时的概念。因此，不能假设所有下层容器项目都可以暴露API，并直接映射到Pods。同时，如果在CRI中引入了Pod的概念，那么只要Pod API对象的字段发生变化，CRI很可能需要改变。

Pod镜像拉取策略imagePullPolicy

Pod镜像拉取策略imagePullPolicy定义了Kubernetes在启动Pod时如何获取容器镜像。该策略有三种取值：Always、IfNotPresent和Never，每种策略都有其特定的行为模式。Always 行为描述：总是拉取镜像。

Pod镜像拉取策略有三种：Always、IfNotPresent、Never，其默认值为IfNotPresent。Always策略总是拉取远程仓库中的镜像。首先获取远程仓库的镜像信息，若远程镜像与本地镜像不同，则拉取远程镜像覆盖本地；若相同，则不进行拉取操作。如果远程仓库无法访问，pod运行将会失败。

创建pod-base.yaml，定义一个包含两个容器的简单Pod配置。2 镜像拉取 通过pod-imagepullpolicy.yaml文件，设置镜像拉取策略。默认值为Always，强制拉取；IfNotPresent，只当本地无镜像时拉取；Never，从本地直接使用。

容器与pod中的僵尸进程

Kubernetes使用pause镜像作为容器的入口点，实现Namespace的共享。pause镜像处理僵尸进程：pause镜像的关键特性是它能处理孤儿进程的父进程置为PID1，并通过sigreap函数处理SIGCHLD信号，确保子进程的及时回收。

为了实现这个父容器的构想，kubernetes中，用pause容器来作为一个pod中所有容器的父容器。这个pause容器有两个核心的功能，第一，它提供整个pod的Linux命名空间的基础。第二，启用PID命名空间，它在每个pod中都作为PID为1进程，并回收僵尸进程。 在linux中，当我们运行一个新的进程时，这个进程会继承父进程的命名空间。

kubeapiserver：API服务器，处理REST操作。etcd：存储集群状态。kubescheduler：调度Pod到Node。kubecontrollermanager：管理控制器。kubelet：Node上的代理，管理Pod和容器。kubelet功能：管理Pod生命周期，与kubeapiserver通信。kubeapiserver端口及访问方式：默认端口6443，Pod通过Service Account访问。