5.1 容器与云原生运维规范
一、适用范围与目标
- 适用于Kubernetes、Docker等容器平台及云原生相关的资源、服务、CI/CD等运维管理。
- 目标:提升容器与云原生环境的标准化、自动化、安全性和可观测性。
二、管理目标
- 资源命名、标签、注释标准化,便于自动化与治理
- 镜像、仓库、CI/CD流水线安全合规
- 监控、日志、告警、弹性伸缩体系完善
三、详细规范
- 资源管理:K8s资源命名、标签、注释规范,命名空间、资源配额、网络策略管理
- 镜像与仓库:镜像构建、扫描、签名、拉取策略,私有仓库接入与权限管理
- CI/CD流水线:自动化构建、测试、部署,多环境隔离与回滚机制
- 监控与日志:容器级监控(如Prometheus、cAdvisor)、日志采集与聚合(如ELK、Loki)
- 安全与合规:镜像最小化、漏洞扫描、RBAC权限、Pod安全策略(PSP/OPA)
- 弹性与高可用:HPA/VPA策略、Pod反亲和性、多可用区部署与容灾
四、操作流程
- 新增K8s资源 → 命名/标签/注释 → 配置资源配额与网络策略 → 审核上线
- 镜像构建 → 安全扫描 → 推送仓库 → CI/CD自动部署
- 监控/日志/告警配置 → 验证 → 持续优化
五、实际案例
- 新增业务命名空间,统一标签,配置资源配额与网络隔离
- 镜像构建后自动扫描漏洞,合规后推送私有仓库
- 生产环境Pod自动弹性伸缩,监控指标实时可视化
六、K8s资源命名模板
<业务>-<模块>-<环境>-<序号>
例:order-api-prod-01
七、注意事项
- 禁止使用latest标签,禁止未扫描镜像上线
- 资源命名、标签、注释需统一,便于治理
- 生产环境变更需审批,关键配置需备份
八、参考资料
- 《Kubernetes 最佳实践》
- 《云原生运维指南》
- 团队内部K8s运维手册