# 对应文档：docs/04-08-nodejs-安全上下文.md
# 累积：04-07 + pod securityContext.fsGroup、容器 securityContext、只读根、/tmp emptyDir
apiVersion: v1 # ConfigMap API 版本
kind: ConfigMap # 配置资源：ConfigMap
metadata: # ConfigMap 元信息
  name: nodejs-demo-config # ConfigMap 名称
  namespace: default # 命名空间
data: # 配置键值
  APP_MSG: "Hello from ConfigMap" # 注入给应用的消息内容
---
apiVersion: apps/v1 # Deployment API 版本
kind: Deployment # 工作负载：Deployment
metadata: # Deployment 元信息
  name: nodejs-demo # Deployment 名称
  namespace: default # 命名空间
spec: # Deployment 规格
  replicas: 1 # 副本数
  selector: # Deployment 选择器
    matchLabels: # 标签匹配集合
      app: nodejs-demo # 匹配 app=nodejs-demo 的 Pod
  template: # Pod 模板
    metadata: # Pod 元信息
      labels: # Pod 标签
        app: nodejs-demo # 与 selector.matchLabels 对齐
    spec: # Pod 规格
      nodeSelector: # 调度到指定节点
        kubernetes.io/hostname: ylc62 # 节点主机名（按实际修改）
      securityContext: # Pod 级安全上下文
        fsGroup: 1000 # 挂载卷文件组 ID
      containers: # 容器列表
        - name: nodejs-demo # 容器名
          image: node:18.20-alpine # Node.js 镜像
          imagePullPolicy: IfNotPresent # 拉取策略
          securityContext: # 容器级安全上下文
            allowPrivilegeEscalation: false # 禁止提权
            runAsNonRoot: true # 强制非 root 运行
            runAsUser: 1000 # 运行用户 UID
            readOnlyRootFilesystem: true # 根文件系统只读
          env: # 环境变量注入
            - name: APP_MSG # 环境变量名
              valueFrom: # 从资源引用取值
                configMapKeyRef: # 从 ConfigMap key 读取
                  name: nodejs-demo-config # ConfigMap 名称
                  key: APP_MSG # ConfigMap 键名
          command: # 启动命令
            - node # 运行 node
            - "-e" # 执行内联脚本
            - | # 多行 JS 脚本（内部内容不改动）
              const http=require('http');
              const msg=process.env.APP_MSG||'no env';
              http.createServer((q,s)=>s.end(msg)).listen(8080);
          ports: # 容器端口
            - containerPort: 8080 # 应用监听端口
          resources: # 资源请求与限制
            requests: # 最小资源请求
              cpu: "50m" # 请求 CPU
              memory: "64Mi" # 请求内存
            limits: # 资源上限
              cpu: "500m" # CPU 限制
              memory: "256Mi" # 内存限制
          livenessProbe: # 存活探针
            httpGet: # HTTP 探测
              path: / # 探测路径
              port: 8080 # 探测端口
            initialDelaySeconds: 3 # 启动后首次探测延迟
            periodSeconds: 10 # 探测周期
          readinessProbe: # 就绪探针
            httpGet: # HTTP 探测
              path: / # 探测路径
              port: 8080 # 探测端口
            initialDelaySeconds: 2 # 启动后首次探测延迟
            periodSeconds: 5 # 探测周期
          volumeMounts: # 卷挂载
            - name: tmp # 引用临时卷
              mountPath: /tmp # 容器内临时目录
      volumes: # 卷定义
        - name: tmp # 临时卷名称
          emptyDir: {} # 空目录卷（Pod 生命周期内）
---
apiVersion: v1 # Service API 版本
kind: Service # Service 资源
metadata: # Service 元信息
  name: nodejs-demo # Service 名称
  namespace: default # 命名空间
spec: # Service 规格
  selector: # 选择后端 Pod
    app: nodejs-demo # 选中 app=nodejs-demo
  ports: # 端口映射
    - port: 80 # Service 暴露端口
      targetPort: 8080 # 转发到容器端口
---
apiVersion: networking.k8s.io/v1 # Ingress API 版本
kind: Ingress # Ingress 资源
metadata: # Ingress 元信息
  name: nodejs-demo # Ingress 名称
  namespace: default # 命名空间
  annotations: # Traefik 注解
    traefik.ingress.kubernetes.io/router.entrypoints: web # 使用 web(HTTP) 入口
spec: # Ingress 规则
  rules: # 规则列表
    - http: # HTTP 路由
        paths: # 路径列表
          - path: /node # 匹配路径前缀
            pathType: Prefix # 前缀匹配
            backend: # 后端目标
              service: # 后端 Service
                name: nodejs-demo # Service 名称
                port: # Service 端口
                  number: 80 # 端口号