书籍摘要

核心定位

《Core Kubernetes》是一本面向已经了解 Kubernetes 基本概念、希望深入理解其内部机制的进阶书。它不是“从零部署第一个 Pod”的入门教程，也不是 API 对象大全，而是围绕 Pod、Linux primitives、cgroups、CNI、CSI、kubelet、CoreDNS、control plane、etcd、安全与应用安装工具，解释 Kubernetes 为什么这样设计、底层如何工作、生产故障该如何推理。

内容主线

全书的主线是从“为什么需要 Kubernetes”走向“它到底如何把容器、网络、存储、安全和控制平面组织成一个可持续协调的系统”。作者强调 Kubernetes 是一个声明式、最终一致的基础设施控制系统：用户用 YAML 描述期望状态，API server、scheduler、controller manager、kubelet、CNI/CSI 插件、etcd 等组件协同完成调度、运行、网络连接、存储挂载、DNS 解析和状态保存。

章节内容

第一章~第三章 从 Kubernetes 存在的原因、Pod 的抽象意义和 Linux primitives 入手。第一章解释 infrastructure drift、containers/images、YAML/API 与何时不该使用 Kubernetes；第二章说明为什么 Pod 是应用的原子单位；第三章用 chroot、mount、unshare、network namespace、cgroups 等底层机制帮助读者理解 Pod 并非魔法。

第四章~第六章 聚焦资源隔离与网络。第四章讲 processes、threads、systemd、cgroups、QoS classes、kubelet 如何管理资源，以及 Prometheus/cAdvisor/API server 指标；第五章讲 CNI、kube-proxy、Calico、Antrea 和软件定义网络；第六章进一步讲大规模网络故障排查、iptables、OVS、tcpdump、network policies 与 ingress controllers。

第七章~第十章 处理存储、节点运行时与服务发现。第七章介绍 VFS、storage requirements、PVC、CSI 及存储驱动工作方式；第八章讲 dynamic provisioning、StorageClass、PersistentVolumes、Secrets、hostPath 和实际存储建模；第九章深入 kubelet、CRI、container runtimes、node lifecycle、pause container、ImagePullSecrets；第十章解释 Kubernetes DNS、CoreDNS、headless services、StatefulSets 与 resolv.conf。

第十一章~第十二章 进入控制平面核心。第十一章拆解 API server、API objects、CRDs、scheduler、controller manager、service accounts 与 cloud controller managers；第十二章讲 etcd 作为 Kubernetes 数据存储的角色，包括 watch、strict consistency、write-ahead log、CAP、encryption at rest、性能与容错。

第十三章~第十五章 关注安全与应用交付。第十三章讨论 container 与 Pod security，包括镜像更新、container screening、非 root 用户、security context、capabilities、service account token 等；第十四章扩展到 node security、RBAC、Authn/Authz、Secrets、network policies、OPA 与 multi-tenancy；第十五章用 Carvel toolkit 展示如何管理复杂应用配置、打包和 Operator-like 生命周期。

适用读者

适合已经知道 Pod、Deployment、Service、kubectl 等基础概念，并希望理解 Kubernetes internals、生产故障模式和扩展机制的 DevOps、平台工程师、SRE 或后端基础设施工程师。若你完全不知道 Pod 是什么，最好先读一本更入门的 Kubernetes 书；若你只是想快速部署应用而不关心底层细节，本书会显得偏深。

总评

这本书的价值在于把 Kubernetes 从“会写 YAML”推进到“理解系统为什么这样运转”。它覆盖网络、存储、kubelet、控制平面、etcd 和安全等核心主题，适合想提升生产集群诊断能力和平台工程判断力的读者。若你正在从 Kubernetes 使用者转向平台维护者、SRE 或贡献者，这本书值得投入时间；若目标只是完成日常应用部署，它不是最高效的第一本书。