openstack 里面有 magnum 的组件方便直接搭建 k8s 平台，但是目前活跃度不是很高。云平台上搭建 k8s 和物理机没有什么区别，组网这块可能会复杂一点，如果pod 网络涉及到 vlan等，还有openstack 默认的安全组可能会对 k8s cni 有影响，最好是把虚拟机 port的安全组...

我不太清楚你们是哪种情况，如果是外网去访问内网的非容器应用（合法），现在访问了内网的容器应用，那么我们在安全策略上可以去设置访问内网容器应用的src的网段。互联网的应用和内网的应用彻底隔离开，不在一台机器上。放弃使用host网络模式...

Kubernets系统提供了三种认证方式：CA认证、Token认证和Base认证。安全功能是一把双刃剑，它保护系统不被攻击，但是也带来额外的性能损耗。集群内的各组件访问API Server时，由于它们与API Server同时处于同一局域网内，所以建议用非安全的方式访问API Server，效率更高。-双向认证...