使用 K8S 几年后，这些技术专家有话要说(12)_图1

（1）用户可以直接通过公网接入。

（2）系统管理员不需要找安全部门开白名单。

通过 kubectl 或者 Restful API 向 master API 发起一个授权，进而推送一个资源，安全资源有变更时，会把配置后的信息发送到一个源数据服务，源数据服务会实时更新该插件上的防火墙配置，业务的节点就会比较快速地接入集群。这样做的好处是：边缘节点分布在各个地方，edge mate 可以进行统一的管理，它会把边缘配置下发到各个节点，然后对自身进行配置，提供一种边缘集群的对外访问能力。

图10/15

另外，原地升级是对 K8S 比较好的一个补充。如果要进行升级，按照 K8S 现在的方式，会把 pod 销毁重建，这样业务是不答应的，所以原地升级可以 pod 不变，业务容器也不动，只是把 Sidecar 容器做一个更改。当集群的规模到一定的程度之后，有很多的业务要进行更新操作，更新的时候会对调度器带来一些压力，这是可以完全避免的。从这一点上看，K8S 原生设计上对规模比较大的集群还需要一定的优化。从资源锁定的角度，资源不足的时候被内部抢占，也可以通过原地升级来解决，因为 Pod 根本没有销毁，所以 pod 的立面没有改变，其它的 pod 不会调到这一台物理机上，不能达到 pod 锁定的目的。