51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
视频课免费课排行榜短视频直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

面试官逼问 “ 如何设计永不宕机的 K8s 集群 ” ?这套生产级方案让他当场发 Offer!

作者:刘俊夏
云计算 云原生
工具链推荐: 网络诊断:Cilium Network Observability,存储分析:Rook Dashboard,成本监控:Kubecost + Grafana。策略管理:OPA Gatekeeper + Kyverno,通过以上深度扩展,你的Kubernetes集群将具备企业级抗风险能力,从容应对千万级并发与区域级故障。​

引言

我们今天的内容极其广泛,我不知道你是否可以吸收的了(就是含金量非常高),尽力吧!

try your best, bro。

我们最后有面试群。

开始

一、控制平面高可用设计

1. 多Master节点部署

• 跨可用区部署优化:

a.AWS示例:使用topology.kubernetes.io/zone标签强制etcd节点分布在3个AZ。

b.性能调优参数:

# etcd配置(/etc/etcd/etcd.conf)
ETCD_HEARTBEAT_INTERVAL="500ms"  
ETCD_ELECTION_TIMEOUT="2500ms"  
ETCD_MAX_REQUEST_BYTES="157286400"  # 提高大请求吞吐量
  • 1.
  • 2.
  • 3.
  • 4.

• API Server负载均衡实战:

# Nginx配置示例(健康检查与熔断)
upstream kube-apiserver {
  server 10.0.1.10:6443 max_fails=3 fail_timeout=10s;
  server 10.0.2.10:6443 max_fails=3 fail_timeout=10s;
  check interval=5000 rise=2 fall=3 timeout=3000 type=http;
  check_http_send "GET /readyz HTTP/1.0\r\n\r\n";
  check_http_expect_alive http_2xx http_3xx;
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.

2. etcd集群深度调优

etcd的写入性能直接影响集群稳定性,需根据业务负载计算所需节点数:

• 公式:

所需etcd节点数 = (预期写入QPS × 平均请求大小) / (单节点最大吞吐量) + 冗余系数
  • 1.

• 示例:

a.单节点吞吐量:1.5MB/s(SSD磁盘)

b.业务负载:2000 QPS,每个请求10KB → 2000×10KB=20MB/s

c.计算结果:20/1.5≈13节点 → 实际部署5节点(3工作节点+2冗余)

• 调优参数:

# /etc/etcd/etcd.conf  
# 增加网络和磁盘吞吐  
ETCD_HEARTBEAT_INTERVAL="500ms"  
ETCD_ELECTION_TIMEOUT="2500ms"  
ETCD_SNAPSHOT_COUNT="10000"  # 提高快照频率
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

• 监控与告警规则:

# 主节点切换频繁告警
increase(etcd_server_leader_changes_seen_total[1h]) > 3  
# 写入延迟过高告警  
histogram_quantile(0.99, rate(etcd_disk_wal_fsync_duration_seconds_bucket[5m])) > 1s
  • 1.
  • 2.
  • 3.
  • 4.

• 灾难恢复命令:

# 从快照恢复etcd  
ETCDCTL_API=3 etcdctl snapshot restore snapshot.db --data-dir /var/lib/etcd-new
  • 1.
  • 2.

二、工作节点高可用设计

3. Cluster Autoscaler高级策略

• 分优先级扩容:为关键服务预留专用节点池(如GPU节点)。

# 节点组配置(AWS EKS)
- name: gpu-nodegroup  
  instanceTypes: ["p3.2xlarge"]  
  labels: { node.kubernetes.io/accelerator: "nvidia" }  
  taints: { dedicated=gpu:NoSchedule }  
  scalingConfig: { minSize: 1, maxSize: 5 }
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

• HPA自定义指标示例:

# 基于Prometheus的QPS扩缩容  
metrics:  
- type: Pods  
  pods:  
    metric:  
      name: http_requests_per_second  
    target:  
      type: AverageValue  
      averageValue: 500
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.

4. Pod调度深度策略

• 拓扑分布约束:确保Pod均匀分布至不同硬件拓扑。

spec:  
  topologySpreadConstraints:  
  - maxSkew: 1  
    topologyKey: topology.kubernetes.io/zone  
    whenUnsatisfiable: DoNotSchedule
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

5. 基于污点的精细化调度

• 场景:为AI训练任务预留GPU节点,并防止普通Pod调度到GPU节点:

# 节点打标签  
kubectl label nodes gpu-node1 accelerator=nvidia  
# 设置污点  
kubectl taint nodes gpu-node1 dedicated=ai:NoSchedule  

# Pod配置容忍度 + 资源请求  
spec:  
  tolerations:  
    - key: "dedicated"  
      operator: "Equal"  
      value: "ai"  
      effect: "NoSchedule"  
  containers:  
    - resources:  
        limits:  
          nvidia.com/gpu: 1
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.

三、网络高可用设计

6. Cilium eBPF网络加速

• 优势:减少50%的CPU开销,支持基于eBPF的细粒度安全策略。

• 部署步骤:

helm install cilium cilium/cilium --namespace kube-system \  
  --set kubeProxyReplacement=strict \  
  --set k8sServiceHost=API_SERVER_IP \  
  --set k8sServicePort=6443
  • 1.
  • 2.
  • 3.
  • 4.

• 验证:

cilium status  
# 应显示 "KubeProxyReplacement: Strict"
  • 1.
  • 2.

• 网络策略性能对比:

插件

策略数量

吞吐量下降

Calico

1000

25%

Cilium

1000

8%

7. Ingress多活架构

• 全局负载均衡配置(AWS示例):

resource "aws_globalaccelerator_endpoint_group" "ingress" {  
  listener_arn = aws_globalaccelerator_listener.ingress.arn  
  endpoint_configuration {  
    endpoint_id = aws_lb.ingress.arn  
    weight      = 100  
  }  
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.

四、存储高可用设计

8. Rook/Ceph生产级配置

• 存储集群部署:

apiVersion: ceph.rook.io/v1  
kind: CephCluster  
metadata:  
  name: rook-ceph  
spec:  
  dataDirHostPath: /var/lib/rook  
  mon:  
    count: 3  
    allowMultiplePerNode: false  
  storage:  
    useAllNodes: false  
    nodes:  
    - name: "storage-node-1"  
      devices:  
      - name: "nvme0n1"
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.

9. Velero跨区域备份实战

• 定时备份与复制:

velero schedule create daily-backup --schedule="0 3 * * *" \  
  --include-namespaces=production \  
  --ttl 168h  
velero backup-location create secondary --provider aws \  
  --bucket velero-backup-dr \  
  --config region=eu-west-1
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

10. 灾难恢复:Velero跨区域备份策略

velero install \  
  --provider aws \  
  --plugins velero/velero-plugin-for-aws:v1.5.0 \  
  --bucket velero-backups \  
  --backup-location-config region=us-west-2 \  
  --snapshot-location-config region=us-west-2 \  
  --use-volume-snapshots=false \  
  --secret-file ./credentials-velero  

# 添加跨区域复制规则  
velero backup-location create secondary \  
  --provider aws \  
  --bucket velero-backups \  
  --config region=us-east-1
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

• 场景:将AWS us-west-2的备份自动复制到us-east-1:

五、监控与日志

11. Thanos长期存储优化

• 公式:计算Thanos的存储分块策略

存储周期 = 原始数据保留时间(如2周) + 压缩块保留时间(如1年)  
存储成本 = 原始数据量 × 压缩比(约3:1) × 云存储单价
  • 1.
  • 2.

• 分层存储配置:

# thanos-store.yaml  
args:  
  - --retention.resolution-raw=14d  
  - --retention.resolution-5m=180d  
  - --objstore.config-file=/etc/thanos/s3.yml
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

• 多集群查询:

thanos query \  
  --http-address 0.0.0.0:10902 \  
  --store=thanos-store-01:10901 \  
  --store=thanos-store-02:10901
  • 1.
  • 2.
  • 3.
  • 4.

12. EFK日志过滤规则:

# Fluentd配置(提取Kubernetes元数据)
<filter kubernetes.**>  
  @type parser  
  key_name log  
  reserve_data true  
  <parse>  
    @type json  
  </parse>  
</filter>
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.

六、安全与合规

13. OPA Gatekeeper策略库

• 禁止特权容器:

apiVersion: constraints.gatekeeper.sh/v1beta1  
kind: K8sPSPPrivilegedContainer  
spec:  
  match:  
    kinds: [{ apiGroups: [""], kinds: ["Pod"] }]  
  parameters:  
    privileged: false
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.

14. 运行时安全检测:

# Falco检测特权容器启动  
falco -r /etc/falco/falco_rules.yaml \  
  -o json_output=true \  
  -o "webserver.enabled=true"
  • 1.
  • 2.
  • 3.
  • 4.

15. 基于OPA的镜像扫描准入控制

# image_scan.rego  
package kubernetes.admission  

deny[msg] {  
  input.request.kind.kind == "Pod"  
  image := input.request.object.spec.containers[_].image  
  vuln_score := data.vulnerabilities[image].maxScore  
  vuln_score >= 7.0  
  msg := sprintf("镜像 %v 存在高危漏洞(CVSS评分 %.1f)", [image, vuln_score])  
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

• 策略:禁止使用存在高危漏洞的镜像:

七、灾难恢复与备份

16. 多集群联邦流量切分:

apiVersion: types.kubefed.io/v1beta1  
kind: FederatedService  
metadata:  
  name: frontend  
spec:  
  placement:  
    clusters:  
      - name: cluster-us  
      - name: cluster-eu  
  trafficSplit:  
    - cluster: cluster-us  
      weight: 70  
    - cluster: cluster-eu  
      weight: 30
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

17. 混沌工程全链路测试:

apiVersion: chaos-mesh.org/v1alpha1  
kind: NetworkChaos  
metadata:  
  name: simulate-az-failure  
spec:  
  action: partition  
  mode: all  
  selector:  
    namespaces: [production]  
    labelSelectors:  
      "app": "frontend"  
  direction: both  
  duration: "10m"
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.

18. 混沌工程:模拟Master节点故障

• 使用Chaos Mesh测试控制平面韧性:

apiVersion: chaos-mesh.org/v1alpha1  
kind: PodChaos  
metadata:  
  name: kill-master  
spec:  
  action: pod-kill  
  mode: one  
  selector:  
    namespaces: [kube-system]  
    labelSelectors:  
      "component": "kube-apiserver"  
  scheduler:  
    cron: "@every 10m"  
  duration: "5m"
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

观测指标:

• API Server恢复时间(应<1分钟)

• 工作节点Pod是否正常调度

八:成本控制

19. Kubecost多集群预算分配

• 配置示例:

apiVersion: kubecost.com/v1alpha1  
kind: Budget  
metadata:  
  name: team-budget  
spec:  
  target:  
    namespace: team-a  
  amount:  
    value: 5000  
    currency: USD  
  period: monthly  
  notifications:  
    - threshold: 80%  
      message: "团队A的云资源消耗已达预算80%"
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

九:自动化

20. Argo Rollouts金丝雀发布

• 分阶段灰度策略:

apiVersion: argoproj.io/v1alpha1  
kind: Rollout  
spec:  
  strategy:  
    canary:  
      steps:  
        - setWeight: 10%  
        - pause: { duration: 5m }  # 监控业务指标  
        - setWeight: 50%  
        - pause: { duration: 30m } # 观察日志和性能  
        - setWeight: 100%  
  analysis:  
    templates:  
      - templateName: success-rate  
    args:  
      - name: service-name  
        value: my-service
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.

• 自动回滚条件:当请求错误率 > 5%时终止发布。

十:总结

关键性能指标:

• 控制平面:API Server P99延迟 < 500ms

• 数据平面:Pod启动时间 < 5s(冷启动)

• 网络:跨AZ延迟 < 10ms

十一、实战案例:某电商平台优化成果

指标

优化前

优化后

提升幅度

API Server可用性

99.2%

99.99%

0.79%

节点故障恢复时间

15分钟

2分钟

86.6%

集群扩容速度

10节点/分钟

50节点/分钟

400%

十二、工具链推荐

• 网络诊断:Cilium Network Observability

• 存储分析:Rook Dashboard

• 成本监控:Kubecost + Grafana

• 策略管理:OPA Gatekeeper + Kyverno

通过以上深度扩展,你的Kubernetes集群将具备企业级抗风险能力,从容应对千万级并发与区域级故障。

责任编辑:武晓燕 来源: 云原生运维圈
Kubernetes区域级故障
相关推荐
面试官聊聊:那次我成长最快 K8s 故障
通过系统化的故障处理与架构优化,Kubernetes集群的稳定性达到99.99%SLA,支撑了后续多次大促活动。

2025-03-10 08:00:05

生产K8S监控告警方案分享给你
可能有些人有疑问,说VictoriaMetrics兼容Prometheus,可以完全替换掉Prometheus,是的没错,但是我们已经用了Prometheus,目前没有精力去做迁移,等后期有时间逐步过渡到VictoriaMetrics完全替换掉Prometheus​。

2024-01-05 11:49:30

K8S监控告警
面试官想听 Nginx:直接上生产配置!
Nginx具有强大的缓存功能,可以通过缓存机制大幅度减少后端服务器的负载,降低响应时间。HTTP缓存,可以通过配置proxycache来缓存响应,避免每次请求都转发到后端服务。

2025-03-05 08:04:31

面试官:说说 OpenStack、Docker、Mesos 和 K8S关系?你会吗?
Mesos是一个分布式系统内核,用于管理和调度大规模集群资源。它可以管理多种计算资源,包括传统的物理机、虚拟机和容器等。Mesos可以与Docker和其他容器技术集成,提供强大的资源管理和调度功能。

2023-03-01 08:44:42

OpenStackDockerK8S
面试官如何搭建Redis集群
Redis将所有的数据分为16384个slots(槽),每个节点负责其中的一部分槽位,当有Redis客户端连接集群时,会得到一份集群的槽位配置信息,这样它就可以直接把请求命令发送给对应的节点进行处理。

2024-04-03 00:00:00

Redis集群代码
面试官:你了解大厂接口设计原则么?就会curd当场自闭
服务网格,服务与服务间的交互越来越复杂,如何优雅的设计一个接口,需要考虑哪些方面特别是对公服务(比如BFF)需要对外提供公网域名的接口,安全性怎么保证,我整理了我工作以来一些常见的措施以及具体如何去实现。

2020-11-12 18:20:28

接口数据分布式
美团面试官:讲清楚MySQL结构体系,立马offer
今天我们就来聊聊MySQL的架构体系,尽管咱们是Java开发人员,但是在日常开发过程中也会经常和MySQL数据库打交道。如果公司有DBA能干点事还稍微好点,如果是没有DBA或者DBA没什么卵用的情况下,我们还是很有必要了解MySQL的整个体系的,况且在面试中遇到了也是一个加分项。

2021-08-04 20:36:12

MySQL结构体系
如何面试面试官
我最近在给麻省理工大学计算机科学系的学生做关于技术通信公共演讲的专题讲座时,发生了一些让我记忆犹新的事情。我原来以为一切肯定会进展顺利,但是当回顾面试场景,想透过现象告诉学生当雇佣他们时,公司内部所发生的行为时,情况开始变得难以掌控。

2015-08-13 10:29:12

面试面试官
K8s 集群容量 - kluster capacity
随着集群中节点上新的Pod被调度,消耗的资源越来越多。监控集群中可用的资源非常重要,因为运维人员可以及时增加当前的资源,以免所有资源都耗尽。或者,采取不同的步骤来增加可用资源。

2023-09-03 23:58:23

k8s集群容量
K8s 集群容量 - kluster capacity
容量管理还可以帮助管理员对系统进行更好的规划和预测,避免因资源不足而需要紧急扩容的情况出现,从而提高了系统的可维护性和可靠性。

2023-03-05 21:50:46

K8s集群容量
面试官聊聊如何零重启修复 K8s 环境中 Log4j 漏洞?
某日深夜,安全团队紧急通告:ApacheLog4j2.x存在远程代码执行漏洞(CVE202144228),攻击者可通过JNDI注入攻击接管服务器。公司要求所有业务2小时内修复。然而,核心交易系统负责人反馈:“系统正在处理高并发订单,重启会导致数千万资损,必须延迟修复。”

2025-03-21 07:59:04

如果面试官你讲讲发布订阅设计模式?
发布订阅设计模式在程序中经常涉及,例如Vue中的$on和$off、document.addEventListener()、document.removeEventListener()等,发布订阅模式可以降低程序的耦合度,统一管理维护消息、处理事件也使得程序更容易维护和扩展。

2021-08-02 17:21:08

设计模式订阅
面试官:换人!连哈希扣都不懂
我们通常说的hashCode其实就是一个经过哈希运算之后的整型值。而这个哈希运算的算法,在Object类中就是通过一个本地方法hashCode()来实现的(HashMap中还会有一些其它的运算)。

2020-06-22 08:16:16

哈希hashCodeequals
面试官:Redis 内存数据满了,会宕机吗?
Redis数据库内存数据满了,会宕机吗?答案是:不会让它出现存满的情况,在使用Redis的时候我们要配置Redis能使用的最大的内存大小,存到一定容量的时候还有Redis的内存淘汰策略呢,还有LRU算法进行淘汰,等等。。。

2020-03-06 15:36:01

Redis内存宕机
面试官问我zookeeper选举过程,我当场给他讲了源码
本文主要是基于zookeeper3.8.0讲解,主要是通过源码的维度来分析zookeeper选举过程对于zookeeper的源码编译大家可以参考:编译运行Zookeeper源码.

2021-04-01 08:12:20

zookeeper集群源码
面试官灵魂拷问:日均 TB 日志高效处理架构如何设计
在云原生架构中,微服务、容器化和动态调度(如Kubernetes)的广泛应用,使得日志管理面临前所未有的复杂性。

2025-04-07 00:00:00

云原生架构Kubernetes
反问面试官如何实现集群内选主
本文主要演示了一个简易的多Server的选主过程,以下代码是一个简单的基于Netty实现的集群选举过程的示例。

2024-09-29 16:17:02

面试官: 如何localStorage支持过期时间设置?
localStorage属性允许我们访问一个Document源(origin)的对象Storage;存储的数据将保存在浏览器会话中。

2021-12-13 09:02:13

localStorag面试前端
基于K8SStatefulSet部署MySQL集群
展示如何使用StatefulSet控制器运行一个有状态的应用程序。此例是多副本的MySQL数据库。示例应用的拓扑结构有一个主服务器和多个副本,使用异步的基于行(RowBased)的数据复制。

2021-11-04 07:49:58

K8SStatefulSetMySQL
K8S Cluster Autoscaler 集群自动伸缩
在使用kubernetes集群经常问到的一个问题是,应该保持多大的节点规模来满足应用需求呢clusterautoscaler出现解决了这个问题,它可以自动根据部署应用所请求资源量来动态的伸缩集群。

2021-04-22 09:46:35

K8SCluster Aut集群
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服