生产环境 Kubernetes：集群上线前 CTO 检查清单

Kubernetes 承诺「开箱即用的自动扩缩容」。实践中，缺乏规范的集群是昂贵的混乱：CrashLoop、OOMKill、明文密钥，以及周五晚上用 `kubectl apply -f` 部署。

生产环境最低检查清单

1. RBAC 与命名空间 — 分离 prod/stage，CI 遵循最小权限。
2. Requests/limits — 每个 Deployment 都要设；没有 limits，邻居会互相拖垮。
3. Ingress + TLS — cert-manager、HSTS、边缘限流。
4. GitOps — Argo CD / Flux，一键回滚。
5. 监控 — Prometheus + Pod 重启、饱和度、错误率告警。
6. etcd 与 PV 备份 — DR 方案写在纸上，而不是记在 DevOps 脑子里。

常见错误

• 一个集群包办一切 — prod 与实验共用一个命名空间。
• 有状态服务没有 Operator — PostgreSQL「跑在 Pod 里」却没有 Patroni/Crunchy。
• 没有与 prod 拓扑一致的 staging 环境。

我们在高负载与 IoT 项目中搭建并运维集群。服务：交钥匙 Kubernetes、DevOps 与 CI/CD。现有集群审计 — 起价 35 000 ₽，见价格。