对齐文件规范

ansible/files/04-01/04-08-nodejs-demo.yaml

@@ -0,0 +1,110 @@
+# 对应文档：docs/04-08-nodejs-安全上下文.md
+# 累积：04-07 + pod securityContext.fsGroup、容器 securityContext、只读根、/tmp emptyDir
+apiVersion: v1 # ConfigMap API 版本
+kind: ConfigMap # 配置资源：ConfigMap
+metadata: # ConfigMap 元信息
+  name: nodejs-demo-config # ConfigMap 名称
+  namespace: default # 命名空间
+data: # 配置键值
+  APP_MSG: "Hello from ConfigMap" # 注入给应用的消息内容
+---
+apiVersion: apps/v1 # Deployment API 版本
+kind: Deployment # 工作负载：Deployment
+metadata: # Deployment 元信息
+  name: nodejs-demo # Deployment 名称
+  namespace: default # 命名空间
+spec: # Deployment 规格
+  replicas: 1 # 副本数
+  selector: # Deployment 选择器
+    matchLabels: # 标签匹配集合
+      app: nodejs-demo # 匹配 app=nodejs-demo 的 Pod
+  template: # Pod 模板
+    metadata: # Pod 元信息
+      labels: # Pod 标签
+        app: nodejs-demo # 与 selector.matchLabels 对齐
+    spec: # Pod 规格
+      nodeSelector: # 调度到指定节点
+        kubernetes.io/hostname: ylc62 # 节点主机名（按实际修改）
+      securityContext: # Pod 级安全上下文
+        fsGroup: 1000 # 挂载卷文件组 ID
+      containers: # 容器列表
+        - name: nodejs-demo # 容器名
+          image: node:18.20-alpine # Node.js 镜像
+          imagePullPolicy: IfNotPresent # 拉取策略
+          securityContext: # 容器级安全上下文
+            allowPrivilegeEscalation: false # 禁止提权
+            runAsNonRoot: true # 强制非 root 运行
+            runAsUser: 1000 # 运行用户 UID
+            readOnlyRootFilesystem: true # 根文件系统只读
+          env: # 环境变量注入
+            - name: APP_MSG # 环境变量名
+              valueFrom: # 从资源引用取值
+                configMapKeyRef: # 从 ConfigMap key 读取
+                  name: nodejs-demo-config # ConfigMap 名称
+                  key: APP_MSG # ConfigMap 键名
+          command: # 启动命令
+            - node # 运行 node
+            - "-e" # 执行内联脚本
+            - | # 多行 JS 脚本（内部内容不改动）
+              const http=require('http');
+              const msg=process.env.APP_MSG||'no env';
+              http.createServer((q,s)=>s.end(msg)).listen(8080);
+          ports: # 容器端口
+            - containerPort: 8080 # 应用监听端口
+          resources: # 资源请求与限制
+            requests: # 最小资源请求
+              cpu: "50m" # 请求 CPU
+              memory: "64Mi" # 请求内存
+            limits: # 资源上限
+              cpu: "500m" # CPU 限制
+              memory: "256Mi" # 内存限制
+          livenessProbe: # 存活探针
+            httpGet: # HTTP 探测
+              path: / # 探测路径
+              port: 8080 # 探测端口
+            initialDelaySeconds: 3 # 启动后首次探测延迟
+            periodSeconds: 10 # 探测周期
+          readinessProbe: # 就绪探针
+            httpGet: # HTTP 探测
+              path: / # 探测路径
+              port: 8080 # 探测端口
+            initialDelaySeconds: 2 # 启动后首次探测延迟
+            periodSeconds: 5 # 探测周期
+          volumeMounts: # 卷挂载
+            - name: tmp # 引用临时卷
+              mountPath: /tmp # 容器内临时目录
+      volumes: # 卷定义
+        - name: tmp # 临时卷名称
+          emptyDir: {} # 空目录卷（Pod 生命周期内）
+---
+apiVersion: v1 # Service API 版本
+kind: Service # Service 资源
+metadata: # Service 元信息
+  name: nodejs-demo # Service 名称
+  namespace: default # 命名空间
+spec: # Service 规格
+  selector: # 选择后端 Pod
+    app: nodejs-demo # 选中 app=nodejs-demo
+  ports: # 端口映射
+    - port: 80 # Service 暴露端口
+      targetPort: 8080 # 转发到容器端口
+---
+apiVersion: networking.k8s.io/v1 # Ingress API 版本
+kind: Ingress # Ingress 资源
+metadata: # Ingress 元信息
+  name: nodejs-demo # Ingress 名称
+  namespace: default # 命名空间
+  annotations: # Traefik 注解
+    traefik.ingress.kubernetes.io/router.entrypoints: web # 使用 web(HTTP) 入口
+spec: # Ingress 规则
+  rules: # 规则列表
+    - http: # HTTP 路由
+        paths: # 路径列表
+          - path: /node # 匹配路径前缀
+            pathType: Prefix # 前缀匹配
+            backend: # 后端目标
+              service: # 后端 Service
+                name: nodejs-demo # Service 名称
+                port: # Service 端口
+                  number: 80 # 端口号
+