专有名词对照表
以下介绍本文档中出现的专有名词、术语以及缩略语。
| 中文全称 | 英文全称 | 缩略语 | 说明 |
|---|---|---|---|
| 集群 | Cluster | - | Kubernetes 集群,管理 Kubernetes 容器平台中,供容器运行的基础设施集群,关联了若干节点、负载均衡、专有网络等资源。 单点集群:只有一个 Master 节点的集群; 高可用集群:至少具有 3 个 Master 节点的集群。 |
| 节点 | Node | - | 集群下的节点,分为控制节点和计算节点。 控制节点负责运行集群中的 kube-apiserver、kube-scheduler、kube-controller-manager、etcd 和容器网络以及平台的部分管理组件。 计算节点是 Kubernetes 集群中承担工作负载的节点,可以是虚拟机也可以是物理机。计算节点承担实际的 Pod 调度以及与管理节点的通信等。 |
| 项目 | Project | - | 平台的项目(租户)之间可以灵活的划分出独立且相互隔离的资源空间,每个项目都拥有独立的项目环境,能够代表企业中不同的子公司、部门或项目组。通过项目管理,能够轻松实现项目组之间的资源隔离、租户内的配额管理。 |
| 命名空间 | Namespace | - | Kubernetes Namespace,在平台上是项目下相互隔离的更小的资源空间,也是用户实现作业生产的工作区间。一个项目下可以创建多个命名空间,可占用的资源配额总和不能超过项目配额。命名空间更细粒度的划分了资源配额的同时,还限制了命名空间下容器的大小(CPU、内存),有效的提升了资源利用率。 |
| 镜像 | Image | - | 镜像是容器应用打包的标准格式,在部署容器化应用时可以指定镜像,镜像可以来自于 Docker Hub,本公司的 DevOps 平台镜像仓库,或者用户的私有镜像仓库。镜像 ID 可以由镜像所在仓库 URI 和镜像 Tag(缺省为 latest)唯一确认。 |
| 容器 | Container | - | 通过镜像创建的运行实例。 |
| 容器组 | Pod | - | Pod 是 Kubernetes 部署应用或服务的最小的基本单位。一个 Pod 封装了多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 |
| 应用 | Application | - | 应用是本平台中的自定义 Kubernetes 资源,由一个或多个关联的计算组件构成整体业务应用,支持通过 UI 编辑模式或 YAML 编排文件创建,运行在开发、测试或生产环境中。 |
| 计算组件 | Workload | - | 平台上构成应用的组件,是基于镜像创建的可以组合提供服务也可以独立运行的程序的统称。 |
| 自定义资源类型 | CustomResourceDefinition | CRD | 在 Kubernetes API 中,资源是一个用于存储某种类型的 API 对象集合的端点。而 CRD 对象在集群中定义了一个新的、唯一的对象 Kind,并让 Kubernetes API 服务器处理该对象的整个生命周期。 Kubernetes 支持用户通过 CustomResourceDefinition API 自定义 Kubernetes 扩展资源,并能保证新的资源能够快速注册和使用。 |
| 事件 | Event | - | 平台对接了 Kubernetes 事件,记录了 Kubernetes 资源的重要状态变更及各种运行状态变化的事件。能够在具体资源如集群、应用、任务等出现异常情况时,通过事件分析具体原因。 |
| 审计 | Audit | - | 平台对接了 Kubernetes 审计,提供了安全相关的时序操作记录,包括:时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等。通过审计,平台审计员能够清晰的了解 Kubernetes 集群发生的变更。 |
| 日志 | Log | - | 平台对接了 Kubernetes 的日志,能够快速采集 Kubernetes 集群的容器日志,包括容器的标准输出以及容器内的文本文件。同时,支持采集 Kubelet、Docker、Kubernetes 容器化组件的日志。 |
| 令牌 | Token | - | 系统颁发给用户的令牌,承载了用户的身份、权限等信息。当用户调用 API 时,将令牌加到请求消息头中,可通过身份认证,获得调用 API 操作资源的权限。 |
| - | OpenId Connect | OIDC | OIDC(OpenId Connect)是基于 OAuth 2.0 协议的身份认证标准协议。 它使用 OAuth 2.0 的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端。 |
| 轻量级目录访问协议 | Lightweight Directory Access Protocol | LDAP | 是一种成熟、灵活且受良好支持的与目录服务器交互的标准机制。LDAP 允许客户机在目录服务器中执行各种操作,包括存储和检索数据、搜索与给定条件集匹配的数据、对客户机进行身份验证等等。LDAP 目录服务器是一种相当通用的数据存储,可以用于各种应用程序。 |
| - | Identity Provider | IDP | 身份提供者,能够存储和管理用户的数字身份。 |
| 角色 | Role | - | 角色是操作权限的集合。平台上资源的操作权限包括创建、查看、更新、删除,平台通过角色将不同资源的操作权限进行分类和组合,一个角色可拥有一个或多个类型资源的一种或多种操作权限。通过为用户分配特定的角色可快速为用户开通或限制对指定资源的操作权限。 |
| 地域 | Region | - | 地理区域,地域之间故障完全隔离(包含自然灾害),地域之间一般通过城域网或专线互通。 |
| 标签 | Label | - | 标签是附加到 Kubernetes 对象(比如 Pods)上的键值对,用于指定对用户有意义且相关的标识属性,支持高效的查询和监听操作。 |
| 注解 | Annotation | - | 注解是以键值对的形式附加到 Kubernetes 对象(比如 Pods)上的非标识的元数据,客户端程序可以检索这些元数据。相较于标签,注解不用于标识和选择对象,能够包含标签不允许的字符,可以帮助用户记录对象的一些信息。 |