pod不挂载token，pod挂载存储

kubernetes(K8S)secret使用

Secret有三种类型： Opaque：Base64 编码格式的 Secret，用来存储密码、密钥等；但数据也可以通过base64 –decode解码得到原始数据，所以加密性很弱。 Kubernetes.io/Dockerconfigjson：用来存储私有docker registry的认证信息。

在KuberneTES（K8s）中进入容器设置密码，通常是通过Secret或ConfigMap来安全地管理密码，而不是直接进入容器设置。对于redis：创建Secret：首先，需要创建一个Kubernetes Secret来存储Redis的密码。这个密码在创建Secret时会被base64编码，以确保在KuberNETes集群中的传输和存储过程中保持加密状态。

Kubernetes 中的Secret用于安全地存储敏感数据，如数据库用户名和密码，以下是其详细解释：Secret的用途：安全存储敏感数据，如密码、OAuth令牌和SSH密钥。Secret的创建方式：内建Secret：使用kubectl create secret命令创建，数据会被加密并存储在APIserver中。查看时需解码Base64编码的内容。

在Kubernetes（k8s）中，修改Pod的容器运行参数可以通过修改POD的配置文件、使用ConfigMaps或Secrets、修改资源请求或限制以及使用特权容器和initContainers等方式实现。修改pod的配置文件 这是最直接的方式，适用于大多数需要更改的参数。

k8s常用命令及其用途 Kubernetes（k8s）是一个开源的容器编排系统，用于自动部署、扩展和管理容器化应用程序。kubectl 是 Kubernetes 的命令行工具，用于与 Kubernetes 集群进行交互。

配置与密钥管理：通过ConfigMap和Secret分离配置与代码，保障敏感信息安全。

kubernetes常见故障

原因：端口映射错误，服务正常工作但不能提供服务。解决方法：删除SVC，重新映射端口。Kubernetes集群服务暴露失败：原因：容器已暴露服务，但SVC配置有误。解决方法：删除SVC，重新映射端口。外网无法访问Kubernetes集群提供的服务：原因：集群的type为ClusterIP，未将服务暴露至外网。

就绪探针失败是应用程序的特定错误，因此你应检查kubectl describe中的“ 事件”部分以识别错误。 服务的故障排除 如果你的Pod正在运行并处于就绪状态，但仍无法收到应用程序的响应，则应检查服务的配置是否正确。 Service旨在根据流量的标签将流量路由到Pod。 因此，你应该检查的第一件事是服务关联了多少个Pod。

在Kubernetes的日常运维中，遇到的故障处理问题通常包括ContainerCreating、ErrImagePull或ImagePullBackoff、Pending、CrashLoopBackOff或ERROR、Terminating或Unknown以及UnexpectedAdmISSionError等。以下是对这些问题的详细分析与解决办法。ContainerCreating：这种情况表示容器正在创建中，常见于配置问题导致的容器创建失败。

Kubernetes核心组件故障：etcd集群异常表现为API Server返回504错误，需使用SSD磁盘、定期备份。控制平面瘫痪可采用高可用配置。网络系统故障：CNI插件异常、dns解析中断、网络策略冲突会影响集群。可通过检查对等连接、快速检测DNS解析、监控关键指标排查问题。

离线环境中，Kubernetes启动Pod异常时，可以按照以下步骤进行排查和解决：检查node状态：使用kubectl get Nodes命令检查所有Node的状态。如果发现有Node处于非Ready状态，需要确认异常Pod是否部署在该Node上。如果是，尝试将Pod迁移至状态正常的Node上，或者解决该Node的故障。

诊断OOMKilLED错误时，可以查询Pod对应的宿主机日志。常见原因包括已达到容器内存限制（可能是由于内存限制设置不当或应用程序遇到内存泄漏），节点过载（Pod使用的总内存大于可用的总节点内存），以及在调整内存请求和限制时考虑优先级顺序。

dnspod获取token失败是什么意思

1、dnspod获取Token失败意味着在尝试从DNSPod服务获取访问令牌的过程中出现了问题，导致无法成功获取该令牌。这种情况可能由以下几个原因引起：认证信息错误：用户名或密码错误：在请求token时，如果提供的用户名或密码不正确，DNSPod服务器将无法验证你的身份，从而拒绝颁发token。

2、首先，获取dnspod的ID和token。访问dnspod官网，注册并登录后，进入管理控制台，点击用户管理或密钥管理，创建密钥以获取ID和token，这是后续koolDDNS插件验证的依据。接下来，在Openwrt系统中安装并配置koolddns插件。由于安装过程中遇到文件校验码不匹配的问题，需要检查IP设置。

3、注册账号并获取Token使用DDnspod前需注册对应平台账号（如DNSPod），生成Token用于身份验证，避免直接输入账号密码。进入路由器软件中心登录华硕路由器后台，点击左下角软件中心选项。切换至未安装插件列表在软件中心页面，将安装面板从默认的“已安装”切换至未安装（27），查看可安装插件。

4、步骤获取DNSPODTOKEN 步骤另购有DDNS功能的无线路由通过桥接模式连到电信光猫 步骤无线路由添加DDNS相关信息 步骤保存设置。检查周期即可在DNSPOD发现更新记录。域名如何动态解析？正规网站一般都是都是用的静态解析，动态域名解析一般是一个域名指向一个动态IP。

5、**DNSPOD设置**：实名验证后，在DNSPOD添加域名和A记录，对应公网IP。 **创建API Token**：在DNSPod中创建API Token，用于后续操作。 **光猫桥接**：获取超级管理员密码，设置光猫为桥接模式，确保网络连接。

serviceaccount没有token

serviceaccount没有token是因为服务账号是给到在Pod中运行的进程用的。

在k8s中，使用RSA私钥/公钥进行加密和验证，kube-controller-manager，使用如下参数指定私钥，对token进行签名 kube-apiserver使用如下参数指定公钥，对token进行验证 JWT包含三部分，分别为： Header，Payload，Signature，之间用.分隔，所以一般形式为xxx.yyy.zzz。

从上面可以看到 Service Account Token 被挂载到 Pod 中了。 $ kubectl exec -it -n DevOps pod-sa-demo -- /bin/sh# ls /var/run/secrets/kubernetes.io/serviceaccountca.crt namespace token 其中ca，crt 就是用来访问 API Server 的。

CKAD考试实操指南(五)---定制你的舞台:配置实践要点

1、CKAD考试实操指南定制你的舞台：配置实践要点 ConfigMap的使用：创建ConfigMap：可以通过命令行直接创建ConfigMap，如创建一个名为config的ConfigMap，其值为foo=lala，foo2=lolo。从文件创建ConfigMap：可以从文件创建ConfigMap，并查看其值。

2、第一步：创建一个名为configTXT的文件并向文件中写入配置项。第二步：从文件创建ConfigMap。第三步：查看创建好的ConfigMap。创建一个名为options的ConfigMap，其值为var5=val5。创建一个新的nginx Pod，从名为var5的变量中加载值到名为option的环境变量中。第一步：创建ConfigMap。

3、CKAD考试实操指南剖析系统：深入可观察性实践的要点如下：访问知十平台并进行实践：使用微信扫码登录知十平台，以延长每个环境的可用时间至1小时，每日登录次数限制为5次。选择相应的环境后，等待一分钟左右即可进入，期间可浏览环境说明文档，了解组件与版本。