From c5626fd69d4c06777bcaa9b80f6eb745772c0401 Mon Sep 17 00:00:00 2001
From: Kubernetes Prow Robot <k8s-ci-robot@users.noreply.github.com>
Date: Thu, 5 Mar 2020 15:52:50 -0800
Subject: [PATCH 01/19] Consolidate and redirect training content (#19500)

* Consolidate and redirect training

* Update static/_redirects

Co-Authored-By: Tim Bannister <tim@scalefactory.com>

* Remove Udacity link

Co-authored-by: Tim Bannister <tim@scalefactory.com>
---
 content/en/docs/tutorials/_index.md           |  2 -
 .../docs/tutorials/online-training/_index.md  |  5 --
 .../tutorials/online-training/overview.md     | 71 -------------------
 static/_redirects                             |  3 +-
 4 files changed, 2 insertions(+), 79 deletions(-)
 delete mode 100755 content/en/docs/tutorials/online-training/_index.md
 delete mode 100644 content/en/docs/tutorials/online-training/overview.md

diff --git a/content/en/docs/tutorials/_index.md b/content/en/docs/tutorials/_index.md
index 04013216c3dcf..9f8de2129e658 100644
--- a/content/en/docs/tutorials/_index.md
+++ b/content/en/docs/tutorials/_index.md
@@ -22,8 +22,6 @@ Before walking through each tutorial, you may want to bookmark the
 
 * [Kubernetes Basics](/docs/tutorials/kubernetes-basics/) is an in-depth interactive tutorial that helps you understand the Kubernetes system and try out some basic Kubernetes features.
 
-* [Scalable Microservices with Kubernetes (Udacity)](https://www.udacity.com/course/scalable-microservices-with-kubernetes--ud615)
-
 * [Introduction to Kubernetes (edX)](https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x#)
 
 * [Hello Minikube](/docs/tutorials/hello-minikube/)
diff --git a/content/en/docs/tutorials/online-training/_index.md b/content/en/docs/tutorials/online-training/_index.md
deleted file mode 100755
index 9b4b09f17f83e..0000000000000
--- a/content/en/docs/tutorials/online-training/_index.md
+++ /dev/null
@@ -1,5 +0,0 @@
----
-title: "Online Training Courses"
-weight: 20
----
-
diff --git a/content/en/docs/tutorials/online-training/overview.md b/content/en/docs/tutorials/online-training/overview.md
deleted file mode 100644
index e76b22481a975..0000000000000
--- a/content/en/docs/tutorials/online-training/overview.md
+++ /dev/null
@@ -1,71 +0,0 @@
----
-title: Overview of Kubernetes Online Training
-content_template: templates/concept
----
-
-{{% capture overview %}}
-
-Here are some of the sites that offer online training for Kubernetes:
-
-{{% /capture %}}
-
-{{% capture body %}}
-
-* [AIOps Essentials (Autoscaling Kubernetes with Prometheus Metrics) with Hands-On Labs (Linux Academy)](https://linuxacademy.com/devops/training/course/name/using-machine-learning-to-scale-kubernetes-clusters)
-
-* [Amazon EKS Deep Dive with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/amazon-web-services/training/course/name/amazon-eks-deep-dive)
-
-* [Cloud Native Certified Kubernetes Administrator (CKA) with Hands-On Labs & Practice Exams (Linux Academy)](https://linuxacademy.com/linux/training/course/name/cloud-native-certified-kubernetes-administrator-cka)
-
-* [Certified Kubernetes Administrator (CKA) Preparation Course (CloudYuga)](https://cloudyuga.guru/courses/cka-online-self-paced)
-
-* [Certified Kubernetes Administrator Preparation Course with Practice Tests (KodeKloud)](https://kodekloud.com/p/certified-kubernetes-administrator-with-practice-tests)
-
-* [Certified Kubernetes Application Developer (CKAD) with Hands-On Labs & Practice Exams (Linux Academy)] (https://linuxacademy.com/containers/training/course/name/certified-kubernetes-application-developer-ckad/)
-
-* [Certified Kubernetes Application Developer (CKAD) Preparation Course (CloudYuga)](https://cloudyuga.guru/courses/ckad-online-self-paced)
-
-* [Certified Kubernetes Application Developer Preparation Course with Practice Tests (KodeKloud)](https://kodekloud.com/p/kubernetes-certification-course)
-
-* [Getting Started with Google Kubernetes Engine (Coursera)](https://www.coursera.org/learn/google-kubernetes-engine)
-
-* [Getting Started with Kubernetes (Pluralsight)](https://www.pluralsight.com/courses/getting-started-kubernetes)
-
-* [Getting Started with Kubernetes Clusters on OCI Oracle Kubernetes Engine (OKE) (Learning Library)](https://apexapps.oracle.com/pls/apex/f?p=44785:50:0:::50:P50_EVENT_ID,P50_COURSE_ID:5935,256)
-
-* [Google Kubernetes Engine Deep Dive (Linux Academy)] (https://linuxacademy.com/google-cloud-platform/training/course/name/google-kubernetes-engine-deep-dive)
-
-* [Helm Deep Dive with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/helm-deep-dive-part-1)
-
-* [Hands-on Introduction to Kubernetes (Instruqt)](https://play.instruqt.com/public/topics/getting-started-with-kubernetes)
-
-* [Introduction to Kubernetes (edX)](https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x)
-
-* [Kubernetes Essentials with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/kubernetes-essentials)
-
-* [Kubernetes for the Absolute Beginners with Hands-on Labs (KodeKloud)](https://kodekloud.com/p/kubernetes-for-the-absolute-beginners-hands-on)
-
-* [Kubernetes Fundamentals (LFS258) (The Linux Foundation)](https://training.linuxfoundation.org/training/kubernetes-fundamentals/)
-
-* [Kubernetes Quick Start with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/kubernetes-quick-start)
-
-* [Kubernetes the Hard Way with Hands-On Labs (Linux Academy)](https://linuxacademy.com/linux/training/course/name/kubernetes-the-hard-way)
-
-* [Kubernetes Security with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/kubernetes-security)
-
-* [Launch Your First OpenShift Operator with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/containers/training/course/name/red-hat-open-shift)
-
-* [Learn Kubernetes by Doing - 100% Hands-On Experience (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/learn-kubernetes-by-doing)
-
-* [Learn Kubernetes using Interactive Hands-on Scenarios (Katacoda)](https://www.katacoda.com/courses/kubernetes/)
-
-* [Microservice Applications in Kubernetes - 100% Hands-On Experience (Linux Academy)] (https://linuxacademy.com/devops/training/course/name/learn-microservices-by-doing)
-
-* [Monitoring Kubernetes With Prometheus with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/kubernetes-and-prometheus)
-
-* [Service Mesh with Istio with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/service-mesh-with-istio-part-1)
-
-* [Scalable Microservices with Kubernetes (Udacity)](https://www.udacity.com/course/scalable-microservices-with-kubernetes--ud615)
-
-* [Self-paced Kubernetes online course (Learnk8s Academy)](https://learnk8s.io/academy)
-{{% /capture %}}
diff --git a/static/_redirects b/static/_redirects
index 614b13a1a47b6..64dd0e90416cf 100644
--- a/static/_redirects
+++ b/static/_redirects
@@ -334,6 +334,8 @@
 /docs/tutorials/object-management-kubectl/imperative-object-management-command/      /docs/concepts/overview/object-management-kubectl/imperative-command/ 301
 /docs/tutorials/object-management-kubectl/imperative-object-management-configuration/      /docs/concepts/overview/object-management-kubectl/imperative-config/ 301
 /docs/tutorials/object-management-kubectl/object-management/      /docs/concepts/overview/object-management-kubectl/overview/ 301
+/docs/tutorials/online-training/      /training/ 301
+/docs/tutorials/online-training/overview/      /training/ 301
 /docs/tutorials/stateful-application/run-replicated-stateful-application/     /docs/tasks/run-application/run-replicated-stateful-application/ 301
 /docs/tutorials/stateful-application/run-stateful-application/     /docs/tasks/run-application/run-single-instance-stateful-application/ 301
 /docs/tutorials/stateless-application/expose-external-ip-address-service/     /docs/tasks/access-application-cluster/service-access-application-cluster/ 301
@@ -554,4 +556,3 @@ https://kubernetes-io-v1-7.netlify.com/*    https://v1-7.docs.kubernetes.io/:spl
 /docs/setup/cluster-large/     /docs/setup/best-practices/cluster-large/   301
 /docs/setup/node-conformance/     /docs/setup/best-practices/node-conformance/   301
 /docs/setup/certificates/     /docs/setup/best-practices/certificates/   301
-

From 6a8085fac5b0b8c9026c6acc1125de5b9325d812 Mon Sep 17 00:00:00 2001
From: Dean Coakley <dean.s.coakley@gmail.com>
Date: Fri, 6 Mar 2020 03:10:50 +0000
Subject: [PATCH 02/19] Update deploy-interactive to include note on pods
 (#19455)

* Update deploy-interactive to include note on pods

Signed-off-by: Dean Coakley <dean.s.coakley@gmail.com>

* Update copy

Signed-off-by: Dean Coakley <dean.s.coakley@gmail.com>
---
 .../kubernetes-basics/deploy-app/deploy-interactive.html  | 8 ++++++++
 1 file changed, 8 insertions(+)

diff --git a/content/en/docs/tutorials/kubernetes-basics/deploy-app/deploy-interactive.html b/content/en/docs/tutorials/kubernetes-basics/deploy-app/deploy-interactive.html
index 7636f8ea943af..6d7e15a7c44c2 100644
--- a/content/en/docs/tutorials/kubernetes-basics/deploy-app/deploy-interactive.html
+++ b/content/en/docs/tutorials/kubernetes-basics/deploy-app/deploy-interactive.html
@@ -17,6 +17,14 @@
 
     <main class="content katacoda-content">
 
+        <div class="row">
+            <div class="col-md-12">
+                <p>
+                    A Pod is the basic execution unit of a Kubernetes application. Each Pod represents a part of a workload that is running on your cluster. <a href="/docs/concepts/workloads/pods/pod-overview/#understanding-pods">Learn more about Pods</a>.
+                </p>
+            </div>
+        </div>
+
         <br>
         <div class="katacoda">
             <div class="katacoda__alert">

From 02f466fcdd5b41cbe6fbac5623af7d6da9c9fbf5 Mon Sep 17 00:00:00 2001
From: gorquan <gorquanwu@gmail.com>
Date: Fri, 6 Mar 2020 12:15:23 +0800
Subject: [PATCH 03/19] Modify wrong command (#19471)

An error occurred when executing the original command. After comparison, it was found that there was a problem with the command on the Chinese document.
---
 .../kubeadm/setup-ha-etcd-with-kubeadm.md     | 56 +++++++++----------
 1 file changed, 28 insertions(+), 28 deletions(-)

diff --git a/content/zh/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md b/content/zh/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
index ef00f6562c0cf..c8d4fe2da3a5d 100644
--- a/content/zh/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
+++ b/content/zh/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
@@ -196,7 +196,7 @@ kubeadm 包含生成下述证书所需的所有必要的密码学工具；在这
     如果您还没有 CA，则在 `$HOST0`（您为 kubeadm 生成配置文件的位置）上运行此命令。
 
     ```
-    kubeadm alpha phase certs etcd-ca
+    kubeadm init alpha phase certs etcd-ca
     ```
 
     <!--
@@ -214,25 +214,25 @@ kubeadm 包含生成下述证书所需的所有必要的密码学工具；在这
 
     <!--
     ```sh
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
     cp -R /etc/kubernetes/pki /tmp/${HOST2}/
     # cleanup non-reusable certificates
     find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
 
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
     cp -R /etc/kubernetes/pki /tmp/${HOST1}/
     find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
 
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
     # No need to move the certs because they are for HOST0
 
     # clean up certs that should not be copied off this host
@@ -241,25 +241,25 @@ kubeadm 包含生成下述证书所需的所有必要的密码学工具；在这
     ```
     -->
     ```sh
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST2}/kubeadmcfg.yaml
     cp -R /etc/kubernetes/pki /tmp/${HOST2}/
     # 清理不可重复使用的证书
     find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
 
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST1}/kubeadmcfg.yaml
     cp -R /etc/kubernetes/pki /tmp/${HOST1}/
     find /etc/kubernetes/pki -not -name ca.crt -not -name ca.key -type f -delete
 
-    kubeadm alpha phase certs etcd-server --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-peer --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs etcd-healthcheck-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    kubeadm alpha phase certs apiserver-etcd-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-server --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-peer --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs etcd-healthcheck-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    kubeadm init phase certs apiserver-etcd-client --config=/tmp/${HOST0}/kubeadmcfg.yaml
     # 不需要移动 certs 因为它们是给 HOST0 使用的
 
     # 清理不应从此主机复制的证书
@@ -370,9 +370,9 @@ kubeadm 包含生成下述证书所需的所有必要的密码学工具；在这
     既然证书和配置已经就绪，是时候去创建清单了。在每台主机上运行 `kubeadm` 命令来生成 etcd 使用的静态清单。
 
     ```sh
-    root@HOST0 $ kubeadm alpha phase etcd local --config=/tmp/${HOST0}/kubeadmcfg.yaml
-    root@HOST1 $ kubeadm alpha phase etcd local --config=/home/ubuntu/kubeadmcfg.yaml
-    root@HOST2 $ kubeadm alpha phase etcd local --config=/home/ubuntu/kubeadmcfg.yaml
+    root@HOST0 $ kubeadm init phase etcd local --config=/tmp/${HOST0}/kubeadmcfg.yaml
+    root@HOST1 $ kubeadm init phase etcd local --config=/home/ubuntu/kubeadmcfg.yaml
+    root@HOST2 $ kubeadm init phase etcd local --config=/home/ubuntu/kubeadmcfg.yaml
     ```
 
     <!--

From 1003e0e90d1b25b10d8ea47b656c0dd6b2b660df Mon Sep 17 00:00:00 2001
From: Carlos Almeida <carlosalmeida.xon@gmail.com>
Date: Fri, 6 Mar 2020 03:43:23 -0300
Subject: [PATCH 04/19] Add
 content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
 (#17172)

* starting with the translation

* updating, review and adding more translations

* updating, review and adding more translations

* last review

* replaced 'archivos' by 'ficheros'

* removed comments with original content

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* replaced 'ficheros by archivos' and 'fichero by archivo'

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

* Update content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

Co-Authored-By: Victor Morales <chipahuac@hotmail.com>

Co-authored-by: Victor Morales <chipahuac@hotmail.com>
---
 .../organize-cluster-access-kubeconfig.md     | 153 ++++++++++++++++++
 1 file changed, 153 insertions(+)
 create mode 100644 content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md

diff --git a/content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md b/content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
new file mode 100644
index 0000000000000..dc9f9e14a5015
--- /dev/null
+++ b/content/es/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
@@ -0,0 +1,153 @@
+---
+title: Organizar el acceso a los clústeres utilizando archivos kubeconfig
+content_template: templates/concept
+weight: 60
+---
+
+{{% capture overview %}}
+
+Utilice los archivos kubeconfig para organizar la información acerca de los clústeres, los
+usuarios, los Namespaces y los mecanismos de autenticación. La herramienta de
+línea de comandos `kubectl` utiliza los archivos kubeconfig para hallar la información que
+necesita para escoger un clúster y comunicarse con el servidor API de un clúster.
+
+{{< note >}}
+Un archivo utilizado para configurar el acceso a los clústeres se denomina
+*archivo kubeconfig*. Esta es una forma genérica de referirse a los archivos de
+configuración. Esto no significa que exista un archivo llamado `kubeconfig`.
+{{< /note >}}
+
+Por defecto, `kubectl` busca un archivo llamado `config` en el directorio `$HOME/.kube`.
+Puedes especificar otros archivos kubeconfig mediante la configuración de la variable
+de entorno `KUBECONFIG` o mediante la configuracion del flag
+[`--kubeconfig`](/docs/reference/generated/kubectl/kubectl/).
+
+Para obtener instrucciones paso a paso acerca de cómo crear y especificar los archivos kubeconfig,
+consulte el recurso
+[Configurar El Acceso A Múltiples Clústeres](/docs/tasks/access-application-cluster/configure-access-multiple-clusters).
+
+{{% /capture %}}
+
+{{% capture body %}}
+
+## Compatibilidad con múltiples clústeres, usuarios y mecanismos de autenticación
+
+Suponga que tiene diversos clústeres y que sus usuarios y componentes se autentican
+de diversas maneras. Por ejemplo:
+
+- Un kubelet en ejecución se podría autenticar usando certificados.
+- Un usuario se podría autenticar utilizando tokens.
+- Los administradores podrían tener un conjunto de certificados que sean suministrados a los usuarios individualmente.
+
+Con los archivos kubeconfig puedes organizar tus clústeres, usuarios y Namespaces.
+También puedes definir diferentes contextos para realizar de forma rápida y
+fácil cambios entre clústeres y Namespaces.
+
+## Contexto
+
+Un elemento *context* en un archivo kubeconfig se utiliza para agrupar los parámetros de
+acceso bajo un nombre apropiado. Cada contexto tiene tres parámetros: clúster, Namespace
+y usuario.
+Por defecto, la herramienta de línea de comandos `kubectl` utiliza los parámetros del
+*contexto actual* para comunicarse con el clúster.
+
+Para seleccionar el contexto actual:
+
+```shell
+kubectl config use-context
+```
+
+## Variable de entorno KUBECONFIG
+
+La variable de entorno `KUBECONFIG` contiene una lista de archivos kubeconfig.
+En el caso de Linux y Mac, la lista está delimitada por dos puntos.  Si se trata
+de Windows, la lista está delimitada por punto y coma. La variable de entorno
+`KUBECONFIG` no es indispensable. Si la variable de entorno `KUBECONFIG` no existe,
+`kubectl` utiliza el archivo kubeconfig por defecto `$HOME/.kube/config`.
+
+Si la variable de entorno `KUBECONFIG` existe, `kubectl` utiliza una
+configuración eficiente que es el resultado de la fusión de los archivos
+listados en la variable de entorno `KUBECONFIG`.
+
+## Fusionando archivos kubeconfig
+
+Para poder ver su configuración, escriba el siguiente comando:
+
+```shell
+kubectl config view
+```
+
+Como se ha descrito anteriormente, la respuesta de este comando podría resultar a partir de un solo
+archivo kubeconfig, o podría ser el resultado de la fusión de varios archivos kubeconfig.
+
+A continuación se muestran las reglas que usa `kubectl` cuando fusiona archivos kubeconfig:
+
+1. Si el flag `--kubeconfig` está activado, usa solamente el archivo especificado. Sin fusionar.
+   Sólo se permite una instancia con este flag.
+
+   En caso contrario, si la variable de entorno `KUBECONFIG` está activada, sera usada
+   como un listado de los archivos a ser fusionados.
+   Fusionar los archivos listados en la variable de entorno `KUBECONFIG` de acuerdo
+   con estas reglas:
+
+   * Ignorar nombres de archivo vacíos.
+   * Producir errores para archivos con contenido que no pueden ser deserializados.
+   * El primer archivo que establezca un valor particular o una clave se impone.
+   * Nunca cambie el valor o la clave.
+     Ejemplo: Conserva el contexto del primer archivo para configurar el `contexto actual`.
+     Ejemplo: Si dos archivos especifican un `red-user`, utilice sólo los valores del primer archivo.
+     Incluso desechar el segundo archivo aunque tenga registros que no tengan conflictos.
+
+   Para obtener un ejemplo de configuración de la variable de entorno `KUBECONFIG`, consulte la sección
+   [Configuración de la variable de entorno KUBECONFIG](/docs/tasks/access-application-cluster/configure-access-multiple-clusters/#set-the-kubeconfig-environment-variable).
+
+   En caso contrario, utilice el archivo kubeconfig predeterminado `$HOME/.kube/config`, sin fusionar.
+
+2. Determinar el contexto a utilizar con base en el primer acierto en esta secuencia:
+
+   1. Si es que existe, utilice el flag `---contexto` de la línea de comandos.
+   2. Utilice el `contexto actual` procedente de los archivos kubeconfig fusionados.
+
+   En este punto se permite un contexto vacío.
+
+3. Determinar el clúster y el usuario. En este caso, puede o no haber un contexto.
+   Determine el clúster y el usuario con base en el primer acierto que se ejecute dos veces en
+   esta secuencia: una para el usuario y otra para el clúster:
+
+   1. Si es que existen, utilice el flag `--user` o `--cluster` de la línea de comandos.
+   2. Si el contexto no está vacío, tome el usuario o clúster del contexto.
+
+   En este caso el usuario y el clúster pueden estar vacíos.
+
+4. Determinar la información del clúster a utilizar. En este caso, puede o no haber información del clúster.
+   Se construye cada pieza de la información del clúster con base en esta secuencia, el primer acierto se impone:
+
+   1. Si es que existen, use el flag `--server`, `--certificate-authority`, `--insecure-skip-tls-verify` en la línea de comandos.
+   2. Si existen atributos de información de clúster procedentes de los archivos kubeconfig fusionados, utilícelos.
+   3. Falla si no existe la ubicación del servidor.
+
+5. Determinar la información del usuario a utilizar. Cree información de usuario utilizando las mismas reglas que
+   la información de clúster, con la excepción de permitir sólo un mecanismo de autenticación por usuario:
+
+   1. Si es que existen, utilice el flag `--client-certificate`, `--client-key`, `--username`, `--password`, `--token` de la línea de comandos.
+   2. Utilice los campos `user` de los archivos kubeconfig fusionados.
+   3. Falla si hay dos mecanismos de autenticación contradictorios.
+
+6. Si todavía falta información, utilice los valores predeterminados y solicite
+   información de autenticación.
+
+## Referencias de archivos
+
+Las referencias, así también como, las rutas de un archivo kubeconfig son relativas a la ubicación del archivo kubeconfig.
+Las referencias de un archivo en la línea de comandos son relativas al directorio actual de trabajo.
+Dentro de `$HOME/.kube/config`, las rutas relativas se almacenan de manera relativa a la ubicación del archivo kubeconfig , al igual que las rutas absolutas
+se almacenan absolutamente.
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+* [Configurar el acceso a multiples Clústeres](/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
+* [`kubectl config`](/docs/reference/generated/kubectl/kubectl-commands#config)
+
+{{% /capture %}}

From f7494bbc59bfd059cdc580ac625af97aff5a7440 Mon Sep 17 00:00:00 2001
From: liyinda246 <liyinda0000@163.com>
Date: Fri, 6 Mar 2020 15:05:23 +0800
Subject: [PATCH 05/19] create zh-trans
 content/zh/docs/reference/access-authn-authz/rbac.md (#19276)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

* create rabc.md file

Add rbac.md file,  I found that there is no corresponding Chinese translation in the official website, so I translated rbac.md in Chinese, I hope it will be helpful, thanks
新增rabc.md文件，我发现官网中没有对应的中文翻译，所以我将官网中对应的rbac文档翻译成中文，希望有帮助，谢谢

* update rbac.md

Add comments to the original English text

* update rbac.md

中英文之间应留白处未留白；
中文仍有半角标点出现；
有些句子不符合汉语表达习惯；
有些英文原文需要多读几遍，以求正确理解。

* update rbac.md

review更新至代码行1940行

* update  rbac.md

* update rbac.md

update zh-trans content/zh/docs/reference/access-authn-authz/rbac.md

* update rbac.md

replace line 1-4 with "---".

* update rbac.md

del 1,3 line

* update rbac.md

line 42, add a space .because of the API Overview's text display problem.

* update rbac.md

replace "角色（Role）" to “角色”

* update rbac.md

Permissive RBAC Permissions 'text format is error

* update rbac.md

translate the contents of the column
---
 .../docs/reference/access-authn-authz/rbac.md | 2138 +++++++++++++++++
 1 file changed, 2138 insertions(+)
 create mode 100644 content/zh/docs/reference/access-authn-authz/rbac.md

diff --git a/content/zh/docs/reference/access-authn-authz/rbac.md b/content/zh/docs/reference/access-authn-authz/rbac.md
new file mode 100644
index 0000000000000..5f3adb0190447
--- /dev/null
+++ b/content/zh/docs/reference/access-authn-authz/rbac.md
@@ -0,0 +1,2138 @@
+---
+title: 使用 RBAC 鉴权
+content_template: templates/concept
+weight: 70
+---
+
+<!--
+---
+reviewers:
+- erictune
+- deads2k
+- liggitt
+title: Using RBAC Authorization
+content_template: templates/concept
+weight: 70
+---
+-->
+
+{{% capture overview %}}
+<!--
+Role-based access control (RBAC) is a method of regulating access to computer or network resources based on the roles of individual users within an enterprise.
+-->
+基于角色（Role）的访问控制（RBAC）是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。
+{{% /capture %}}
+
+{{% capture body %}}
+<!--
+`RBAC` uses the `rbac.authorization.k8s.io` {{< glossary_tooltip text="API Group" term_id="api-group" >}}
+to drive authorization decisions, allowing admins to dynamically configure policies
+through the Kubernetes API.
+
+As of 1.8, RBAC mode is stable and backed by the rbac.authorization.k8s.io/v1 API.
+
+To enable RBAC, start the apiserver with `--authorization-mode=RBAC`.
+-->
+`RBAC` 使用 `rbac.authorization.k8s.io` {{< glossary_tooltip text="API 组" term_id="api-group" >}}
+来驱动鉴权操作，允许管理员通过 Kubernetes API 动态配置策略。
+
+在 1.8 版本中，RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。
+
+要启用 RBAC，在启动 API 服务器时添加 `--authorization-mode=RBAC` 参数。
+
+<!--
+## API Overview
+
+The RBAC API declares four top-level types which will be covered in this
+section. Users can interact with these resources as they would with any other
+API resource (via `kubectl`, API calls, etc.). For instance,
+`kubectl apply -f (resource).yml` can be used with any of these examples,
+though readers who wish to follow along should review the section on
+bootstrapping first.
+-->
+
+## API 概述
+
+本节介绍 RBAC API 所声明的四种顶级类型。用户可以像与其他 API 资源交互一样，
+（通过 `kubectl`、API 调用等方式）与这些资源交互。例如，
+命令 `kubectl apply -f (resource).yml` 可以用在这里的任何一个例子之上。
+尽管如此，建议读者循序渐进阅读下面的章节，由浅入深。
+
+<!--
+### Role and ClusterRole
+
+In the RBAC API, a role contains rules that represent a set of permissions.
+Permissions are purely additive (there are no "deny" rules).
+A role can be defined within a namespace with a `Role`, or cluster-wide with a `ClusterRole`.
+
+A `Role` can only be used to grant access to resources within a single namespace.
+Here's an example `Role` in the "default" namespace that can be used to grant read access to pods:
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: pod-reader
+rules:
+- apiGroups: [""] # "" indicates the core API group
+  resources: ["pods"]
+  verbs: ["get", "watch", "list"]
+```
+
+A `ClusterRole` can be used to grant the same permissions as a `Role`,
+but because they are cluster-scoped, they can also be used to grant access to:
+
+* cluster-scoped resources (like nodes)
+* non-resource endpoints (like "/healthz")
+* namespaced resources (like pods) across all namespaces (needed to run `kubectl get pods --all-namespaces`, for example)
+
+The following `ClusterRole` can be used to grant read access to secrets in any particular namespace,
+or across all namespaces (depending on how it is [bound](#rolebinding-and-clusterrolebinding)):
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  # "namespace" omitted since ClusterRoles are not namespaced
+  name: secret-reader
+rules:
+- apiGroups: [""]
+  resources: ["secrets"]
+  verbs: ["get", "watch", "list"]
+```
+-->
+### Role 和 ClusterRole
+
+在 RBAC API 中，一个角色包含一组相关权限的规则。权限是纯粹累加的（不存在拒绝某操作的规则）。
+角色可以用 `Role`  来定义到某个命名空间上，
+或者用 `ClusterRole` 来定义到整个集群作用域。
+
+一个 `Role` 只可以用来对某一命名空间中的资源赋予访问权限。
+下面的 `Role` 示例定义到名称为 "default" 的命名空间，可以用来授予对该命名空间中的 Pods 的读取权限：
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: pod-reader
+rules:
+- apiGroups: [""] # "" 指定核心 API 组
+  resources: ["pods"]
+  verbs: ["get", "watch", "list"]
+```
+
+`ClusterRole` 可以授予的权限和 `Role` 相同，
+但是因为 `ClusterRole` 属于集群范围，所以它也可以授予以下访问权限：
+
+* 集群范围资源 （比如 nodes）
+* 非资源端点（比如 "/healthz"）
+* 跨命名空间访问的有名字空间作用域的资源（如 Pods），比如运行命令`kubectl get pods --all-namespaces` 时需要此能力
+
+下面的 `ClusterRole` 示例可用来对某特定命名空间下的 Secrets 的读取操作授权，
+或者跨所有命名空间执行授权（取决于它是如何[绑定](#rolebinding-and-clusterrolebinding)的）:
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  # 此处的 "namespace" 被省略掉是因为 ClusterRoles 是没有命名空间的。
+  name: secret-reader
+rules:
+- apiGroups: [""]
+  resources: ["secrets"]
+  verbs: ["get", "watch", "list"]
+```
+
+<!--
+### RoleBinding and ClusterRoleBinding
+
+A role binding grants the permissions defined in a role to a user or set of users.
+It holds a list of subjects (users, groups, or service accounts), and a reference to the role being granted.
+Permissions can be granted within a namespace with a `RoleBinding`, or cluster-wide with a `ClusterRoleBinding`.
+
+A `RoleBinding` may reference a `Role` in the same namespace.
+The following `RoleBinding` grants the "pod-reader" role to the user "jane" within the "default" namespace.
+This allows "jane" to read pods in the "default" namespace.
+
+`roleRef` is how you will actually create the binding.  The `kind` will be either `Role` or `ClusterRole`, and the `name` will reference the name of the specific `Role` or `ClusterRole` you want. In the example below, this RoleBinding is using `roleRef` to bind the user "jane" to the `Role` created above named `pod-reader`.
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# This role binding allows "jane" to read pods in the "default" namespace.
+kind: RoleBinding
+metadata:
+  name: read-pods
+  namespace: default
+subjects:
+- kind: User
+  name: jane # Name is case sensitive
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: Role #this must be Role or ClusterRole
+  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
+  apiGroup: rbac.authorization.k8s.io
+```
+-->
+### RoleBinding 和 ClusterRoleBinding
+
+角色绑定（RoleBinding）是将角色中定义的权限赋予一个或者一组用户。
+它包含若干主体（用户，组和服务账户）的列表和对这些主体所获得的角色的引用。
+可以使用 `RoleBinding` 在指定的命名空间中执行授权，
+或者在集群范围的命名空间使用 `ClusterRoleBinding` 来执行授权。
+
+一个 `RoleBinding` 可以引用同一的命名空间中的 `Role` 。
+下面的例子 `RoleBinding` 将 "pod-reader" 角色授予在 "default" 命名空间中的用户 "jane"；
+这样，用户 "jane" 就具有了读取 "default" 命名空间中 pods 的权限。
+
+`roleRef` 里的内容决定了实际创建绑定的方法。`kind` 可以是 `Role` 或 `ClusterRole`，
+`name` 将引用你要指定的 `Role` 或 `ClusterRole` 的名称。在下面的例子中，角色绑定使用
+`roleRef` 将用户 "jane" 绑定到前文创建的角色 `Role`，其名称是 `pod-reader`。
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# 此角色绑定使得用户 "jane" 能够读取 "default" 命名空间中的 Pods
+kind: RoleBinding
+metadata:
+  name: read-pods
+  namespace: default
+subjects:
+- kind: User
+  name: jane # Name is case sensitive
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: Role #this must be Role or ClusterRole
+  name: pod-reader # 这里的名称必须与你想要绑定的 Role 或 ClusterRole 名称一致
+  apiGroup: rbac.authorization.k8s.io
+```
+
+<!--
+A `RoleBinding` may also reference a `ClusterRole` to grant the permissions to namespaced
+resources defined in the `ClusterRole` within the `RoleBinding`'s namespace.
+This allows administrators to define a set of common roles for the entire cluster,
+then reuse them within multiple namespaces.
+
+For instance, even though the following `RoleBinding` refers to a `ClusterRole`,
+"dave" (the subject, case sensitive) will only be able to read secrets in the "development"
+namespace (the namespace of the `RoleBinding`).
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# This role binding allows "dave" to read secrets in the "development" namespace.
+kind: RoleBinding
+metadata:
+  name: read-secrets
+  namespace: development # This only grants permissions within the "development" namespace.
+subjects:
+- kind: User
+  name: dave # Name is case sensitive
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: ClusterRole
+  name: secret-reader
+  apiGroup: rbac.authorization.k8s.io
+```
+-->
+`RoleBinding` 也可以引用 `ClusterRole`，对 `ClusterRole` 所定义的、位于 `RoleBinding` 命名空间内的资源授权。
+这可以允许管理者在
+整个集群中定义一组通用的角色，然后在多个命名空间中重用它们。
+
+例如下面的例子，`RoleBinding` 指定的是 `ClusterRole`，
+"dave" （主体，区分大小写）将只可以读取在"development"
+命名空间（ `RoleBinding` 的命名空间）中的"secrets"。
+
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# 这个角色绑定允许 "dave" 用户在 "development" 命名空间中有读取 secrets 的权限。 
+kind: RoleBinding
+metadata:
+  name: read-secrets
+  namespace: development # 这里只授予 "development" 命名空间的权限。
+subjects:
+- kind: User
+  name: dave # 名称区分大小写
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: ClusterRole
+  name: secret-reader
+  apiGroup: rbac.authorization.k8s.io
+```
+
+<!--
+Finally, a `ClusterRoleBinding` may be used to grant permission at the cluster level and in all
+namespaces. The following `ClusterRoleBinding` allows any user in the group "manager" to read 
+secrets in any namespace.
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# This cluster role binding allows anyone in the "manager" group to read secrets in any namespace.
+kind: ClusterRoleBinding
+metadata:
+  name: read-secrets-global
+subjects:
+- kind: Group
+  name: manager # Name is case sensitive
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: ClusterRole
+  name: secret-reader
+  apiGroup: rbac.authorization.k8s.io
+```
+
+You cannot modify which `Role` or `ClusterRole` a binding object refers to.
+Attempts to change the `roleRef` field of a binding object will result in a validation error.
+To change the `roleRef` field on an existing binding object, the binding object must be deleted and recreated.
+There are two primary reasons for this restriction:
+
+1. A binding to a different role is a fundamentally different binding.
+Requiring a binding to be deleted/recreated in order to change the `roleRef`
+ensures the full list of subjects in the binding is intended to be granted
+the new role (as opposed to enabling accidentally modifying just the roleRef 
+without verifying all of the existing subjects should be given the new role's permissions).
+2. Making `roleRef` immutable allows giving `update` permission on an existing binding object
+to a user, which lets them manage the list of subjects, without being able to change the 
+role that is granted to those subjects.
+
+The `kubectl auth reconcile` command-line utility creates or updates a manifest file containing RBAC objects,
+and handles deleting and recreating binding objects if required to change the role they refer to.
+See [command usage and examples](#kubectl-auth-reconcile) for more information.
+-->
+
+最后，`ClusterRoleBinding` 可用来在集群级别或对所有命名空间执行授权。
+下面的例子允许 "manager" 组中的任何用户读取任意命名空间中 "secrets"。
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+# 这个集群角色绑定允许 "manager" 组中的任何用户读取任意命名空间中 "secrets"。
+kind: ClusterRoleBinding
+metadata:
+  name: read-secrets-global
+subjects:
+- kind: Group
+  name: manager # 名称区分大小写
+  apiGroup: rbac.authorization.k8s.io
+roleRef:
+  kind: ClusterRole
+  name: secret-reader
+  apiGroup: rbac.authorization.k8s.io
+```
+
+你不能修改绑定对象所引用的 `Role` 或 `ClusterRole` 。
+试图改变绑定对象的 `roleRef` 将导致验证错误。想要
+改变现有绑定对象中 `roleRef` 字段的内容，必须删除并
+重新创建绑定对象。这种限制有两个主要原因：
+
+1.关于不同角色的绑定是完全不一样的。更改 `roleRef`
+ 需要删除/重建绑定，确保要赋予绑定的完整主体列表是新
+的角色（而不是只是启用修改 `roleRef` 在不验证所有现有
+主体的情况下的，应该授予新角色对应的权限）。
+
+2.使得 `roleRef` 不可以改变现有绑定主体用户的 `update` 权限，
+这样可以让它们能够管理主体列表，而不能更改授予这些主体相关
+的角色。
+
+命令 `kubectl auth reconcile` 可以创建或者更新包含 RBAC 对象的清单文件，
+并且在必要的情况下删除和重新创建绑定对象，以改变所引用的角色。
+更多相关信息请参照[命令用法和示例](#kubectl-auth-reconcile)
+
+<!--
+### Referring to Resources
+
+Most resources are represented by a string representation of their name, such as "pods", just as it
+appears in the URL for the relevant API endpoint. However, some Kubernetes APIs involve a
+"subresource", such as the logs for a pod. The URL for the pods logs endpoint is:
+
+```http
+GET /api/v1/namespaces/{namespace}/pods/{name}/log
+```
+
+In this case, "pods" is the namespaced resource, and "log" is a subresource of pods. To represent
+this in an RBAC role, use a slash to delimit the resource and subresource. To allow a subject
+to read both pods and pod logs, you would write:
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: pod-and-pod-logs-reader
+rules:
+- apiGroups: [""]
+  resources: ["pods", "pods/log"]
+  verbs: ["get", "list"]
+```
+-->
+### 对资源的引用
+
+大多数资源都是使用名称的字符串表示，例如在相关的 API 端点的 URL 之中出现的  "pods" 。
+然而有一些 Kubernetes API 涉及 "子资源（subresources）"，例如 pod 的日志。Pod 日志相关的端点 URL 如下：
+
+```http
+GET /api/v1/namespaces/{namespace}/pods/{name}/log
+```
+
+在这种情况下，"pods" 是有命名空间的资源，而 "log" 是 pods 的子资源。在 RBAC 角色中，
+使用"/"分隔资源和子资源。允许一个主体要同时读取 pods 和 pod logs，你可以这么写：
+
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: pod-and-pod-logs-reader
+rules:
+- apiGroups: [""]
+  resources: ["pods", "pods/log"]
+  verbs: ["get", "list"]
+```
+
+<!--
+Resources can also be referred to by name for certain requests through the `resourceNames` list.
+When specified, requests can be restricted to individual instances of a resource. To restrict a
+subject to only "get" and "update" a single configmap, you would write:
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: configmap-updater
+rules:
+- apiGroups: [""]
+  resources: ["configmaps"]
+  resourceNames: ["my-configmap"]
+  verbs: ["update", "get"]
+```
+
+Note that `create` requests cannot be restricted by resourceName, as the object name is not known at
+authorization time. The other exception is `deletecollection`.
+-->
+对于某些请求，也可以通过 `resourceNames` 列表按名称引用资源。
+在指定时，可以将请求类型限制资源的单个实例。限制只可以 "get" 和 "update"
+的单一configmap，你可以这么写：
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: Role
+metadata:
+  namespace: default
+  name: configmap-updater
+rules:
+- apiGroups: [""]
+  resources: ["configmaps"]
+  resourceNames: ["my-configmap"]
+  verbs: ["update", "get"]
+```
+
+需要注意的是，`create` 请求不能被 resourceName 限制，因为在鉴权时还不知道对象名称。
+另一个例外是 `deletecollection`。
+
+<!--
+### Aggregated ClusterRoles
+
+As of 1.9, ClusterRoles can be created by combining other ClusterRoles using an `aggregationRule`. The
+permissions of aggregated ClusterRoles are controller-managed, and filled in by unioning the rules of any
+ClusterRole that matches the provided label selector. An example aggregated ClusterRole:
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: monitoring
+aggregationRule:
+  clusterRoleSelectors:
+  - matchLabels:
+      rbac.example.com/aggregate-to-monitoring: "true"
+rules: [] # Rules are automatically filled in by the controller manager.
+```
+
+Creating a ClusterRole that matches the label selector will add rules to the aggregated ClusterRole. In this case
+rules can be added to the "monitoring" ClusterRole by creating another ClusterRole that has the label
+`rbac.example.com/aggregate-to-monitoring: true`.
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: monitoring-endpoints
+  labels:
+    rbac.example.com/aggregate-to-monitoring: "true"
+# These rules will be added to the "monitoring" role.
+rules:
+- apiGroups: [""]
+  resources: ["services", "endpoints", "pods"]
+  verbs: ["get", "list", "watch"]
+```
+-->
+### Aggregated ClusterRoles
+
+从 1.9 开始，集群角色（ClusterRole）可以通过使用 `aggregationRule` 的方式并组合其他 ClusterRoles 来创建。
+聚合集群角色的权限是由控制器管理的，方法是通过过滤与标签选择器匹配的 ClusterRules，并将其中的权限进行组合。
+一个聚合集群角色的示例如下：
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: monitoring
+aggregationRule:
+  clusterRoleSelectors:
+  - matchLabels:
+      rbac.example.com/aggregate-to-monitoring: "true"
+rules: [] # 具体规则由控制器管理器自动填写。
+```
+
+创建一个与标签选择器匹配的 ClusterRole 之后，其上定义的规则将成为聚合集群角色的一部分。在下面的例子中，
+通过创建一个新的、标签同样为 `rbac.example.com/aggregate-to-monitoring: true` 的
+ClusterRole，新的规则可被添加到 "monitoring" 集群角色中。
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: monitoring-endpoints
+  labels:
+    rbac.example.com/aggregate-to-monitoring: "true"
+# 这些规则将被添加到 "monitoring" 角色中。
+rules:
+- apiGroups: [""]
+  resources: ["services", "endpoints", "pods"]
+  verbs: ["get", "list", "watch"]
+```
+
+<!--
+The default user-facing roles (described below) use ClusterRole aggregation. This lets admins include rules
+for custom resources, such as those served by CustomResourceDefinitions or Aggregated API servers, on the
+default roles.
+
+For example, the following ClusterRoles let the "admin" and "edit" default roles manage the custom resource
+"CronTabs" and the "view" role perform read-only actions on the resource.
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: aggregate-cron-tabs-edit
+  labels:
+    # Add these permissions to the "admin" and "edit" default roles.
+    rbac.authorization.k8s.io/aggregate-to-admin: "true"
+    rbac.authorization.k8s.io/aggregate-to-edit: "true"
+rules:
+- apiGroups: ["stable.example.com"]
+  resources: ["crontabs"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+---
+kind: ClusterRole
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: aggregate-cron-tabs-view
+  labels:
+    # Add these permissions to the "view" default role.
+    rbac.authorization.k8s.io/aggregate-to-view: "true"
+rules:
+- apiGroups: ["stable.example.com"]
+  resources: ["crontabs"]
+  verbs: ["get", "list", "watch"]
+```
+-->
+
+默认的面向用户的角色（如下所述）使用 ClusterRole 聚合。这使得管理者可以为自定义资源设置使用规则属性，
+比如通过 CustomResourceDefinitions 或聚合 API 服务器为默认角色提供的服务。
+
+例如，在以下 ClusterRoles 中让 "admin" 和 "edit" 拥有管理自定义资源 "CronTabs" 的权限，
+ "view" 角色对资源有只读操作权限。
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: aggregate-cron-tabs-edit
+  labels:
+    # 将这些权限添加到默认角色 "admin" 和 "edit" 中。
+    rbac.authorization.k8s.io/aggregate-to-admin: "true"
+    rbac.authorization.k8s.io/aggregate-to-edit: "true"
+rules:
+- apiGroups: ["stable.example.com"]
+  resources: ["crontabs"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+---
+kind: ClusterRole
+apiVersion: rbac.authorization.k8s.io/v1
+metadata:
+  name: aggregate-cron-tabs-view
+  labels:
+    # 将这些权限添加到默认角色 "view" 中。
+    rbac.authorization.k8s.io/aggregate-to-view: "true"
+rules:
+- apiGroups: ["stable.example.com"]
+  resources: ["crontabs"]
+  verbs: ["get", "list", "watch"]
+```
+
+<!--
+#### Role Examples
+
+Only the `rules` section is shown in the following examples.
+
+Allow reading the resource "pods" in the core {{< glossary_tooltip text="API Group" term_id="api-group" >}}:
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["pods"]
+  verbs: ["get", "list", "watch"]
+```
+
+Allow reading/writing "deployments" in both the "extensions" and "apps" API groups:
+
+```yaml
+rules:
+- apiGroups: ["extensions", "apps"]
+  resources: ["deployments"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+```
+Allow reading "pods" and reading/writing "jobs":
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["pods"]
+  verbs: ["get", "list", "watch"]
+- apiGroups: ["batch", "extensions"]
+  resources: ["jobs"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+```
+-->
+#### 角色示例
+
+在以下示例中，我们仅截取展示了 `rules` 对应部分，
+允许读取在核心 {{< glossary_tooltip text="API 组" term_id="api-group" >}}下的 Pods:
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["pods"]
+  verbs: ["get", "list", "watch"]
+```
+
+允许读/写在 "extensions" 和 "apps" API 组中的 "deployments" 资源：
+
+```yaml
+rules:
+- apiGroups: ["extensions", "apps"]
+  resources: ["deployments"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+```
+
+允许读取 "pods" 和读/写 "jobs" :
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["pods"]
+  verbs: ["get", "list", "watch"]
+- apiGroups: ["batch", "extensions"]
+  resources: ["jobs"]
+  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
+```
+
+<!--
+Allow reading a `ConfigMap` named "my-config" (must be bound with a `RoleBinding` to limit to a single `ConfigMap` in a single namespace):
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["configmaps"]
+  resourceNames: ["my-config"]
+  verbs: ["get"]
+```
+
+Allow reading the resource "nodes" in the core group (because a `Node` is cluster-scoped, this must be in a `ClusterRole` bound with a `ClusterRoleBinding` to be effective):
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["nodes"]
+  verbs: ["get", "list", "watch"]
+```
+
+Allow "GET" and "POST" requests to the non-resource endpoint "/healthz" and all subpaths (must be in a `ClusterRole` bound with a `ClusterRoleBinding` to be effective):
+
+```yaml
+rules:
+- nonResourceURLs: ["/healthz", "/healthz/*"] # '*' in a nonResourceURL is a suffix glob match
+  verbs: ["get", "post"]
+```
+-->
+允许读取名称为 "my-config"的 `ConfigMap` （需要通过 `RoleBinding` 绑定带某名字空间中特定的 `ConfigMap`）：
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["configmaps"]
+  resourceNames: ["my-config"]
+  verbs: ["get"]
+```
+
+允许读取在核心组中的 "nodes" 资源（因为 `Node` 是集群范围的，所以需要 `ClusterRole` 绑定到 `ClusterRoleBinding` 才生效）
+
+```yaml
+rules:
+- apiGroups: [""]
+  resources: ["nodes"]
+  verbs: ["get", "list", "watch"]
+```
+
+允许在非资源端点 "/healthz" 和其子路径上发起 "GET" 和 "POST" 请求（必须在 `ClusterRole` 绑定 `ClusterRoleBinding` 才生效）
+
+```yaml
+rules:
+- nonResourceURLs: ["/healthz", "/healthz/*"] # '*' 在 nonResourceURL 中的意思是后缀全局匹配。
+  verbs: ["get", "post"]
+```
+
+<!--
+### Referring to Subjects
+
+A `RoleBinding` or `ClusterRoleBinding` binds a role to *subjects*.
+Subjects can be groups, users or service accounts.
+
+Users are represented by strings.  These can be plain usernames, like
+"alice", email-style names, like "bob@example.com", or numeric IDs
+represented as a string.  It is up to the Kubernetes admin to configure
+the [authentication modules](/docs/reference/access-authn-authz/authentication/) to produce
+usernames in the desired format.  The RBAC authorization system does
+not require any particular format.  However, the prefix `system:` is
+reserved for Kubernetes system use, and so the admin should ensure
+usernames do not contain this prefix by accident.
+
+Group information in Kubernetes is currently provided by the Authenticator
+modules. Groups, like users, are represented as strings, and that string 
+has no format requirements, other than that the prefix `system:` is reserved.
+
+[Service Accounts](/docs/tasks/configure-pod-container/configure-service-account/) have usernames with the `system:serviceaccount:` prefix and belong
+to groups with the `system:serviceaccounts:` prefix.
+-->
+### 对主体的引用
+
+`RoleBinding` 或者 `ClusterRoleBinding` 需要绑定角色到 *主体*。
+主体可以是组，用户或者服务账户。
+
+用户是由字符串表示，它们可以是普通的用户名，像 "alice"，或者是
+邮件格式 "bob@example.com"，或者是数字ID。由 Kubernetes 管理员配置[身份认证模块](/docs/reference/access-authn-authz/authentication/)
+需要的格式。RBAC 鉴权系统不对格式作任何要求，但是前缀 `system:` 是 Kubernetes 系统保留的，
+所以管理员要确保配置的用户名不能出现上述前缀格式。
+
+用户组信息是 Kubernetes 现在提供的一种身份验证模块，与用户一样，对组的字符串没有格式要求，
+只是不能使用保留的前缀 `system:` 。
+
+[服务账号](/docs/tasks/configure-pod-container/configure-service-account/) 的用户名前缀为`system:serviceaccount:`，
+属于前缀为 `system:serviceaccounts:` 的用户组。
+
+<!--
+#### Role Binding Examples
+
+Only the `subjects` section of a `RoleBinding` is shown in the following examples.
+
+For a user named "alice@example.com":
+
+```yaml
+subjects:
+- kind: User
+  name: "alice@example.com"
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For a group named "frontend-admins":
+
+```yaml
+subjects:
+- kind: Group
+  name: "frontend-admins"
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For the default service account in the kube-system namespace:
+
+```yaml
+subjects:
+- kind: ServiceAccount
+  name: default
+  namespace: kube-system
+```
+-->
+#### RoleBinding的示例
+
+下面的示例只是展示 `RoleBinding` 中 `subjects` 的部分。
+
+用户的名称为 "alice@example.com":
+
+```yaml
+subjects:
+- kind: User
+  name: "alice@example.com"
+  apiGroup: rbac.authorization.k8s.io
+```
+
+组的名称为 "frontend-admins":
+
+```yaml
+subjects:
+- kind: Group
+  name: "frontend-admins"
+  apiGroup: rbac.authorization.k8s.io
+```
+
+服务账号在 kube-system 命名空间中:
+
+```yaml
+subjects:
+- kind: ServiceAccount
+  name: default
+  namespace: kube-system
+```
+
+在名称为 "qa" 命名空间中所有的服务账号:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:serviceaccounts:qa
+  apiGroup: rbac.authorization.k8s.io
+```
+
+<!--
+For all service accounts in the "qa" namespace:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:serviceaccounts:qa
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For all service accounts everywhere:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:serviceaccounts
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For all authenticated users (version 1.5+):
+
+```yaml
+subjects:
+- kind: Group
+  name: system:authenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For all unauthenticated users (version 1.5+):
+
+```yaml
+subjects:
+- kind: Group
+  name: system:unauthenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+
+For all users (version 1.5+):
+
+```yaml
+subjects:
+- kind: Group
+  name: system:authenticated
+  apiGroup: rbac.authorization.k8s.io
+- kind: Group
+  name: system:unauthenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+-->
+
+所有的服务账号:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:serviceaccounts
+  apiGroup: rbac.authorization.k8s.io
+```
+
+所有认证过的用户 （版本 1.5+）:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:authenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+
+所有未认证的用户 （版本 1.5+）:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:unauthenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+
+所有用户 （版本 1.5+）:
+
+```yaml
+subjects:
+- kind: Group
+  name: system:authenticated
+  apiGroup: rbac.authorization.k8s.io
+- kind: Group
+  name: system:unauthenticated
+  apiGroup: rbac.authorization.k8s.io
+```
+
+<!--
+## Default Roles and Role Bindings
+
+API servers create a set of default `ClusterRole` and `ClusterRoleBinding` objects.
+Many of these are `system:` prefixed, which indicates that the resource is "owned" by the infrastructure.
+Modifications to these resources can result in non-functional clusters. One example is the `system:node` ClusterRole.
+This role defines permissions for kubelets. If the role is modified, it can prevent kubelets from working.
+
+All of the default cluster roles and rolebindings are labeled with `kubernetes.io/bootstrapping=rbac-defaults`.
+-->
+## 默认 Roles 和 Role Bindings
+
+API servers创建一组默认为 `ClusterRole` 和 `ClusterRoleBinding` 的对象。
+其中许多是以 `system:` 为前缀的，它表示资源是基础设施 "owned" 的。对于这些资源的修改可能导致集群功能失效。
+例如，`system:node` 是集群角色，它是定义 kubelets 相关的权限，如果这个角色被修改，它将导致 kubelets 无法正常工作。
+
+所有默认的 ClusterRole 和 ClusterRoleBinding 对象都会被标记为 `kubernetes.io/bootstrapping=rbac-defaults`。
+
+<!--
+### Auto-reconciliation
+
+At each start-up, the API server updates default cluster roles with any missing permissions,
+and updates default cluster role bindings with any missing subjects.
+This allows the cluster to repair accidental modifications,
+and to keep roles and rolebindings up-to-date as permissions and subjects change in new releases.
+
+To opt out of this reconciliation, set the `rbac.authorization.kubernetes.io/autoupdate` 
+annotation on a default cluster role or rolebinding to `false`.
+Be aware that missing default permissions and subjects can result in non-functional clusters.
+
+Auto-reconciliation is enabled in Kubernetes version 1.6+ when the RBAC authorizer is active.
+-->
+### 自动更新
+
+在每次启动时，API Server 都会更新默认 ClusterRole 所缺少的各种权限，并更新默认 ClusterRoleBinding 所缺少的各个角色绑定主体。
+这种自动更新机制允许集群去修复一些特殊的修改。
+由于权限和角色绑定主体在新的 Kubernetes 版本中可能发生变化，所以这样的话也能够保证角色和角色绑定始终保持是最新的。
+
+如果要禁止此功能,请将默认ClusterRole以及ClusterRoleBinding的`rbac.authorization.kubernetes.io/autoupdate`设置成`false`。
+
+注意，缺乏默认权限和角色绑定主体可能会导致非功能性集群问题。
+
+自动更新功能在 Kubernetes 版本1.6+ 的 RBAC 认证是默认开启的。
+
+<!--
+### Discovery Roles
+
+Default role bindings authorize unauthenticated and authenticated users to read API information that is deemed safe to be publicly accessible (including CustomResourceDefinitions). To disable anonymous unauthenticated access add `--anonymous-auth=false` to the API server configuration.
+
+To view the configuration of these roles via `kubectl` run:
+
+```
+kubectl get clusterroles system:discovery -o yaml
+```
+
+NOTE: editing the role is not recommended as changes will be overwritten on API server restart via auto-reconciliation (see above).
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>Default ClusterRole</th>
+<th>Default ClusterRoleBinding</th>
+<th>Description</th>
+</tr>
+<tr>
+<td><b>system:basic-user</b></td>
+<td><b>system:authenticated</b> group</td>
+<td>Allows a user read-only access to basic information about themselves. Prior to 1.14, this role was also bound to `system:unauthenticated` by default.</td>
+</tr>
+<tr>
+<td><b>system:discovery</b></td>
+<td><b>system:authenticated</b> group</td>
+<td>Allows read-only access to API discovery endpoints needed to discover and negotiate an API level. Prior to 1.14, this role was also bound to `system:unauthenticated` by default.</td>
+</tr>
+<tr>
+<td><b>system:public-info-viewer</b></td>
+<td><b>system:authenticated</b> and <b>system:unauthenticated</b> groups</td>
+<td>Allows read-only access to non-sensitive information about the cluster. Introduced in 1.14.</td>
+</tr>
+</table>
+-->
+### Discovery Roles
+
+无论是经过身份验证的还是未经过身份验证的用户，默认角色的用户读取API被认为是安全的，可以公开访问（包括CustomResourceDefinitions），
+如果要禁用匿名未经过身份验证的用户访问，请在 API server 中添加 `--anonymous-auth=false` 的配置选项。
+
+通过运行命令 `kubectl` 可以查看这些角色的配置信息:
+
+```
+kubectl get clusterroles system:discovery -o yaml
+```
+
+注意：不建议编辑这个角色，因为更改将在 API server 重启时自动更新时覆盖（见上文）
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>默认 ClusterRole</th>
+<th>默认 ClusterRoleBinding</th>
+<th>描述</th>
+</tr>
+<tr>
+<td><b>system:basic-user</b></td>
+<td><b>system:authenticated</b> 组</td>
+<td>允许用户以只读的方式去访问他们自己的基本信息。在1.14版本之前，这个角色在默认情况下也绑定在 `system:unauthenticated` 上。</td>
+</tr>
+<tr>
+<td><b>system:discovery</b></td>
+<td><b>system:authenticated</b> 组</td>
+<td>允许以只读方式访问 API 发现端点，这些端点用来发现和协商 API 级别。在1.14版本之前，这个角色在默认情况下绑定在 `system:unauthenticated` 上。</td>
+</tr>
+<tr>
+<td><b>system:public-info-viewer</b></td>
+<td><b>system:authenticated</b> 和 <b>system:unauthenticated</b> 组</td>
+<td>允许对集群的非敏感信息进行只读访问，它是在1.14版本中引入的。</td>
+</tr>
+</table>
+
+<!--
+### User-facing Roles
+
+Some of the default roles are not `system:` prefixed. These are intended to be user-facing roles.
+They include super-user roles (`cluster-admin`),
+roles intended to be granted cluster-wide using ClusterRoleBindings (`cluster-status`),
+and roles intended to be granted within particular namespaces using RoleBindings (`admin`, `edit`, `view`).
+
+As of 1.9, user-facing roles use [ClusterRole Aggregation](#aggregated-clusterroles) to allow admins to include
+rules for custom resources on these roles. To add rules to the "admin", "edit", or "view" role, create a
+ClusterRole with one or more of the following labels:
+
+```yaml
+metadata:
+  labels:
+    rbac.authorization.k8s.io/aggregate-to-admin: "true"
+    rbac.authorization.k8s.io/aggregate-to-edit: "true"
+    rbac.authorization.k8s.io/aggregate-to-view: "true"
+```
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>Default ClusterRole</th>
+<th>Default ClusterRoleBinding</th>
+<th>Description</th>
+</tr>
+<tr>
+<td><b>cluster-admin</b></td>
+<td><b>system:masters</b> group</td>
+<td>Allows super-user access to perform any action on any resource.
+When used in a <b>ClusterRoleBinding</b>, it gives full control over every resource in the cluster and in all namespaces.
+When used in a <b>RoleBinding</b>, it gives full control over every resource in the rolebinding's namespace, including the namespace itself.</td>
+</tr>
+<tr>
+<td><b>admin</b></td>
+<td>None</td>
+<td>Allows admin access, intended to be granted within a namespace using a <b>RoleBinding</b>.
+If used in a <b>RoleBinding</b>, allows read/write access to most resources in a namespace,
+including the ability to create roles and rolebindings within the namespace.
+It does not allow write access to resource quota or to the namespace itself.</td>
+</tr>
+<tr>
+<td><b>edit</b></td>
+<td>None</td>
+<td>Allows read/write access to most objects in a namespace.
+It does not allow viewing or modifying roles or rolebindings.</td>
+</tr>
+<tr>
+<td><b>view</b></td>
+<td>None</td>
+<td>Allows read-only access to see most objects in a namespace.
+It does not allow viewing roles or rolebindings.
+It does not allow viewing secrets, since those are escalating.</td>
+</tr>
+</table>
+-->
+### 面向用户的角色
+
+一些默认的角色不是前缀 `system:` 开头的。这些是面向用户的角色。它们包括 super-user 角色（`cluster-admin`），
+使用 ClusterRoleBindings （`cluster-status`）在集群范围内授予角色，
+以及使用 RoleBindings （`admin`, `edit`, `view`）在特定命名空间中授予的角色。
+
+在 1.9 开始，面向用户的角色使用[ClusterRole Aggregation](#aggregated-clusterroles)允许管理员在包含这些角色上的
+自定义资源上添加规则。如果想要添加 "admin" "edit" 或者 "view" ，需要先创建使用以下一个或多个的 ClusterRole 的标签：
+
+```yaml
+metadata:
+  labels:
+    rbac.authorization.k8s.io/aggregate-to-admin: "true"
+    rbac.authorization.k8s.io/aggregate-to-edit: "true"
+    rbac.authorization.k8s.io/aggregate-to-view: "true"
+```
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>默认 ClusterRole</th>
+<th>默认 ClusterRoleBinding</th>
+<th>描述</th>
+</tr>
+<tr>
+<td><b>cluster-admin</b></td>
+<td><b>system:masters</b> 组</td>
+<td>允许超级用户在平台上的任何资源的所有操作。
+当在 <b>ClusterRoleBinding</b> 中使用时，可以授权对集群中以及所有命名空间中的全部资源进行完全控制。
+当在 <b>RoleBinding</b> 中使用时，可以授权控制 RoleBinding 所在命名空间中的所有资源，包括命名空间本身。</td>
+</tr>
+<tr>
+<td><b>admin</b></td>
+<td>无</td>
+<td>允许管理员访问权限，旨在使用 <b>RoleBinding</b> 在命名空间内执行授权。
+如果在 <b>RoleBinding</b> 中使用，则可授予对命名空间中的大多数资源的读/写权限，
+包括创建角色和绑定角色（RoleBinding）的能力。
+但是它不允许对资源配额或者命名空间本身进行写操作。</td>
+</tr>
+<tr>
+<td><b>edit</b></td>
+<td>无</td>
+<td>允许对命名空间的大多数对象进行读/写操作。
+它不允许查看或者修改角色（Roles）或者角色绑定（RoleBindings）。</td>
+</tr>
+<tr>
+<td><b>view</b></td>
+<td>无</td>
+<td>允许对命名空间的大多数对象有只读权限。
+它不允许查看角色（Roles）或角色绑定（RoleBindings）。
+它不允许查看 Secrets，因为这类操作属于越权。</td>
+</tr>
+</table>
+
+<!--
+### Core Component Roles
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>Default ClusterRole</th>
+<th>Default ClusterRoleBinding</th>
+<th>Description</th>
+</tr>
+<tr>
+<td><b>system:kube-scheduler</b></td>
+<td><b>system:kube-scheduler</b> user</td>
+<td>Allows access to the resources required by the kube-scheduler component.</td>
+</tr>
+<tr>
+<td><b>system:volume-scheduler</b></td>
+<td><b>system:kube-scheduler</b> user</td>
+<td>Allows access to the volume resources required by the kube-scheduler component.</td>
+</tr>
+<tr>
+<td><b>system:kube-controller-manager</b></td>
+<td><b>system:kube-controller-manager</b> user</td>
+<td>Allows access to the resources required by the kube-controller-manager component.
+The permissions required by individual control loops are contained in the <a href="#controller-roles">controller roles</a>.</td>
+</tr>
+<tr>
+<td><b>system:node</b></td>
+<td>None in 1.8+</td>
+<td>Allows access to resources required by the kubelet component, <b>including read access to all secrets, and write access to all pod status objects</b>.
+
+As of 1.7, use of the <a href="/docs/reference/access-authn-authz/node/">Node authorizer</a> and <a href="/docs/reference/access-authn-authz/admission-controllers/#noderestriction">NodeRestriction admission plugin</a> is recommended instead of this role, and allow granting API access to kubelets based on the pods scheduled to run on them.
+Prior to 1.7, this role was automatically bound to the `system:nodes` group.
+In 1.7, this role was automatically bound to the `system:nodes` group if the `Node` authorization mode is not enabled.
+In 1.8+, no binding is automatically created.
+</td>
+</tr>
+<tr>
+<td><b>system:node-proxier</b></td>
+<td><b>system:kube-proxy</b> user</td>
+<td>Allows access to the resources required by the kube-proxy component.</td>
+</tr>
+</table>
+-->
+### 核心组件角色
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>默认 ClusterRole</th>
+<th>默认 ClusterRoleBinding</th>
+<th>描述</th>
+</tr>
+<tr>
+<td><b>system:kube-scheduler</b></td>
+<td><b>system:kube-scheduler</b> 用户</td>
+<td>允许访问 kube-scheduler 组件所需要的资源。</td>
+</tr>
+<tr>
+<td><b>system:volume-scheduler</b></td>
+<td><b>system:kube-scheduler</b> 用户</td>
+<td>允许访问 kube-scheduler 组件所需要的的卷资源。</td>
+</tr>
+<tr>
+<td><b>system:kube-controller-manager</b></td>
+<td><b>system:kube-controller-manager</b> 用户</td>
+<td>允许访问 kube-controller-manager 组件所需要的资源。
+各个控制环所需要的权限包含在 <a href="#controller-roles">controller roles</a> 之中。</td>
+</tr>
+<tr>
+<td><b>system:node</b></td>
+<td>在版本1.8之后无</td>
+<td>允许访问 kubelet 组件所需要的资源，<b>它包括读取所有的 Secrets 和对所有 Pod 状态对象的写操作。</b>
+
+从版本 1.7 开始，推荐使用 <a href="/docs/reference/access-authn-authz/node/">Node authorizer</a> 和 <a href="/docs/reference/access-authn-authz/admission-controllers/#noderestriction">NodeRestriction 准入插件</a> 来代替这个角色，它允许基于 kubelet 上调度执行的 Pods 来授权对 kubelet  API 的访问。
+在版本 1.7 之前，这个角色会自动绑定到 `system:nodes` 组。
+在版本 1.7中，如果未启用`Node` 鉴权模式，这个角色将自动绑定到 `system:nodes` 组
+在版本 1.8+ 之后，不再自动创建绑定。
+</td>
+</tr>
+<tr>
+<td><b>system:node-proxier</b></td>
+<td><b>system:kube-proxy</b> 用户</td>
+<td>允许访问 kube-proxy 组件所需要的资源。</td>
+</tr>
+</table>
+
+<!--
+### Other Component Roles
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>Default ClusterRole</th>
+<th>Default ClusterRoleBinding</th>
+<th>Description</th>
+</tr>
+<tr>
+<td><b>system:auth-delegator</b></td>
+<td>None</td>
+<td>Allows delegated authentication and authorization checks.
+This is commonly used by add-on API servers for unified authentication and authorization.</td>
+</tr>
+<tr>
+<td><b>system:heapster</b></td>
+<td>None</td>
+<td>Role for the <a href="https://github.com/kubernetes/heapster">Heapster</a> component.</td>
+</tr>
+<tr>
+<td><b>system:kube-aggregator</b></td>
+<td>None</td>
+<td>Role for the <a href="https://github.com/kubernetes/kube-aggregator">kube-aggregator</a> component.</td>
+</tr>
+<tr>
+<td><b>system:kube-dns</b></td>
+<td><b>kube-dns</b> service account in the <b>kube-system</b> namespace</td>
+<td>Role for the <a href="/docs/concepts/services-networking/dns-pod-service/">kube-dns</a> component.</td>
+</tr>
+<tr>
+<td><b>system:kubelet-api-admin</b></td>
+<td>None</td>
+<td>Allows full access to the kubelet API.</td>
+</tr>  
+<tr>
+<td><b>system:node-bootstrapper</b></td>
+<td>None</td>
+<td>Allows access to the resources required to perform
+<a href="/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/">Kubelet TLS bootstrapping</a>.</td>
+</tr>
+<tr>
+<td><b>system:node-problem-detector</b></td>
+<td>None</td>
+<td>Role for the <a href="https://github.com/kubernetes/node-problem-detector">node-problem-detector</a> component.</td>
+</tr>
+<tr>
+<td><b>system:persistent-volume-provisioner</b></td>
+<td>None</td>
+<td>Allows access to the resources required by most <a href="/docs/concepts/storage/persistent-volumes/#provisioner">dynamic volume provisioners</a>.</td>
+</tr>
+</table>
+-->
+### 其他组件角色
+
+<table>
+<colgroup><col width="25%"><col width="25%"><col></colgroup>
+<tr>
+<th>默认 ClusterRole</th>
+<th>默认 ClusterRoleBinding</th>
+<th>描述</th>
+</tr>
+<tr>
+<td><b>system:auth-delegator</b></td>
+<td>无</td>
+<td>允许代理身份认证和鉴权，
+它通常用在插件式 API 服务器上，以实现统一的身份认证和鉴权。</td>
+</tr>
+<tr>
+<td><b>system:heapster</b></td>
+<td>无</td>
+<td>为 <a href="https://github.com/kubernetes/heapster">Heapster</a> 组件定义的角色。</td>
+</tr>
+<tr>
+<td><b>system:kube-aggregator</b></td>
+<td>无</td>
+<td>为 <a href="https://github.com/kubernetes/kube-aggregator">kube-aggregator</a> 组件定义的角色。</td>
+</tr>
+<tr>
+<td><b>system:kube-dns</b></td>
+<td>在<b>kube-system</b>命名空间中的<b>kube-dns</b>服务账号</td>
+<td>为 <a href="/docs/concepts/services-networking/dns-pod-service/">kube-dns</a> 组件定义的角色。</td>
+</tr>
+<tr>
+<td><b>system:kubelet-api-admin</b></td>
+<td>无</td>
+<td>允许完全访问 kubelet API 。</td>
+</tr>  
+<tr>
+<td><b>system:node-bootstrapper</b></td>
+<td>无</td>
+<td>允许访问执行
+<a href="/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/">Kubelet TLS 启动引导</a> 所需要的资源。</td>
+</tr>
+<tr>
+<td><b>system:node-problem-detector</b></td>
+<td>无</td>
+<td>为 <a href="https://github.com/kubernetes/node-problem-detector">node-problem-detector</a> 组件定义的角色。</td>
+</tr>
+<tr>
+<td><b>system:persistent-volume-provisioner</b></td>
+<td>无</td>
+<td>允许访问大部分的 <a href="/docs/concepts/storage/persistent-volumes/#provisioner">动态卷驱动</a> 所需要的资源。</td>
+</tr>
+</table>
+
+<!--
+### Controller Roles
+
+The [Kubernetes controller manager](/docs/admin/kube-controller-manager/) runs core control loops.
+When invoked with `--use-service-account-credentials`, each control loop is started using a separate service account.
+Corresponding roles exist for each control loop, prefixed with `system:controller:`.
+If the controller manager is not started with `--use-service-account-credentials`, 
+it runs all control loops using its own credential, which must be granted all the relevant roles.
+These roles include:
+
+* system:controller:attachdetach-controller
+* system:controller:certificate-controller
+* system:controller:clusterrole-aggregation-controller
+* system:controller:cronjob-controller
+* system:controller:daemon-set-controller
+* system:controller:deployment-controller
+* system:controller:disruption-controller
+* system:controller:endpoint-controller
+* system:controller:expand-controller
+* system:controller:generic-garbage-collector
+* system:controller:horizontal-pod-autoscaler
+* system:controller:job-controller
+* system:controller:namespace-controller
+* system:controller:node-controller
+* system:controller:persistent-volume-binder
+* system:controller:pod-garbage-collector
+* system:controller:pv-protection-controller
+* system:controller:pvc-protection-controller
+* system:controller:replicaset-controller
+* system:controller:replication-controller
+* system:controller:resourcequota-controller
+* system:controller:root-ca-cert-publisher
+* system:controller:route-controller
+* system:controller:service-account-controller
+* system:controller:service-controller
+* system:controller:statefulset-controller
+* system:controller:ttl-controller
+-->
+### 控制器角色   {#controller-roles}
+
+[Kubernetes 控制器管理器](/docs/admin/kube-controller-manager/) 运行核心控制环。
+当使用 `--use-service-account-credentials` 参数时, 每个控制环使用一个单独的服务账号启动。
+每个控制环都有相应的、前缀为 `system:controller:` 的角色。
+如果控制管理器启动时未设置 `--use-service-account-credentials`，
+它使用自己的身份信息来运行所有的控制环，该身份必须被授予所有相关的角色。
+这些角色包括:
+
+* system:controller:attachdetach-controller
+* system:controller:certificate-controller
+* system:controller:clusterrole-aggregation-controller
+* system:controller:cronjob-controller
+* system:controller:daemon-set-controller
+* system:controller:deployment-controller
+* system:controller:disruption-controller
+* system:controller:endpoint-controller
+* system:controller:expand-controller
+* system:controller:generic-garbage-collector
+* system:controller:horizontal-pod-autoscaler
+* system:controller:job-controller
+* system:controller:namespace-controller
+* system:controller:node-controller
+* system:controller:persistent-volume-binder
+* system:controller:pod-garbage-collector
+* system:controller:pv-protection-controller
+* system:controller:pvc-protection-controller
+* system:controller:replicaset-controller
+* system:controller:replication-controller
+* system:controller:resourcequota-controller
+* system:controller:root-ca-cert-publisher
+* system:controller:route-controller
+* system:controller:service-account-controller
+* system:controller:service-controller
+* system:controller:statefulset-controller
+* system:controller:ttl-controller
+
+<!--
+## Privilege Escalation Prevention and Bootstrapping
+
+The RBAC API prevents users from escalating privileges by editing roles or role bindings.
+Because this is enforced at the API level, it applies even when the RBAC authorizer is not in use.
+
+A user can only create/update a role if at least one of the following things is true:
+
+1. They already have all the permissions contained in the role, at the same scope as the object being modified
+(cluster-wide for a `ClusterRole`, within the same namespace or cluster-wide for a `Role`)
+2. They are given explicit permission to perform the `escalate` verb on the `roles` or `clusterroles` resource in the `rbac.authorization.k8s.io` API group (Kubernetes 1.12 and newer)
+
+For example, if "user-1" does not have the ability to list secrets cluster-wide, they cannot create a `ClusterRole`
+containing that permission. To allow a user to create/update roles:
+
+1. Grant them a role that allows them to create/update `Role` or `ClusterRole` objects, as desired.
+2. Grant them permission to include specific permissions in the roles the create/update:
+    * implicitly, by giving them those permissions (if they attempt to create or modify a `Role` or `ClusterRole` with permissions they themselves have not been granted, the API request will be forbidden)
+    * or explicitly allow specifying any permission in a `Role` or `ClusterRole` by giving them permission to perform the `escalate` verb on `roles` or `clusterroles` resources in the `rbac.authorization.k8s.io` API group (Kubernetes 1.12 and newer)
+
+A user can only create/update a role binding if they already have all the permissions contained in the referenced role 
+(at the same scope as the role binding) *or* if they've been given explicit permission to perform the `bind` verb on the referenced role.
+For example, if "user-1" does not have the ability to list secrets cluster-wide, they cannot create a `ClusterRoleBinding`
+to a role that grants that permission. To allow a user to create/update role bindings:
+
+1. Grant them a role that allows them to create/update `RoleBinding` or `ClusterRoleBinding` objects, as desired.
+2. Grant them permissions needed to bind a particular role:
+    * implicitly, by giving them the permissions contained in the role.
+    * explicitly, by giving them permission to perform the `bind` verb on the particular role (or cluster role).
+-->
+## 初始化与预防权限升级
+
+RBAC API 会阻止用户通过编辑角色或者角色绑定来升级权限。 
+由于这一点是在 API 级别实现的，所以在 RBAC 鉴权器（RBAC authorizer）未启用的状态下依然可以正常工作。
+
+用户只有在符合下列条件之一的情况下，才能创建/更新角色:
+
+
+1. 他们已经拥有角色中包含的所有权限，且其作用域与正被修改的对象相同。
+（对 `ClusterRole` 而言意味着集群范围，对 `Role` 而言意味着相同命名空间或者集群范围）
+2. 他们被明确允许在 `rbac.authorization.k8s.io` API 组中的 `roles` 或者 `clusterroles` 资源上使用 `escalate` 动词（Kubernetes 版本 1.12 及以上）
+
+例如，如果 "user-1" 没有列举集群范围所有 Secrets 的权限，他将不能创建包含对应权限的  `ClusterRole`。
+若要允许用户创建/更新角色：
+
+根据需要授予他们一个角色，允许他们根据需要创建/更新 `Role` 或者 `ClusterRole` 对象。
+2. 授予他们在所创建/更新角色中包含特殊权限的权限:
+    * 隐式的，通过给他们权限（如果它们试图创建或者更改 `Role` 或 `ClusterRole` 的权限，但自身没有被授权，API 请求将被禁止）
+    * 或通过允许他们在 `Role` 或 `ClusterRole` 资源上执行 `escalate` 动作的权限，它包含在 `rbac.authorization.k8s.io` API 组中 （Kubernetes 1.12 及以上版本）
+
+如果用户已经拥有引用角色中包含的权限，那他则只能创建/更新角色绑定。
+（在角色绑定相同的作用域内）*或* 如果他们被授予对所引用角色执行 `bind` 操作的显式权限。
+例如，如果 "user-1" 没有集群范围内 Secret 的列表权限，他就不能创建可以授予角色权限的 `ClusterRoleBinding`。
+通过以下方法可以允许用户创建/更新角色绑定：
+
+授予他们一个角色，允许他们根据需要创建/更新 `RoleBinding` 或者`ClusterRoleBinding` 对象。
+2. 授予他们绑定特定角色所需的权限:
+    * 隐式地，通过给他们授予角色中包含的权限。
+    * 显式地，通过允许他们对特定角色（或集群角色）执行`bind` 操作的权限。
+
+<!--
+For example, this cluster role and role binding would allow "user-1" to grant other users the `admin`, `edit`, and `view` roles in the "user-1-namespace" namespace:
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: role-grantor
+rules:
+- apiGroups: ["rbac.authorization.k8s.io"]
+  resources: ["rolebindings"]
+  verbs: ["create"]
+- apiGroups: ["rbac.authorization.k8s.io"]
+  resources: ["clusterroles"]
+  verbs: ["bind"]
+  resourceNames: ["admin","edit","view"]
+---
+apiVersion: rbac.authorization.k8s.io/v1
+kind: RoleBinding
+metadata:
+  name: role-grantor-binding
+  namespace: user-1-namespace
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: ClusterRole
+  name: role-grantor
+subjects:
+- apiGroup: rbac.authorization.k8s.io
+  kind: User
+  name: user-1
+```
+
+When bootstrapping the first roles and role bindings, it is necessary for the initial user to grant permissions they do not yet have.
+To bootstrap initial roles and role bindings:
+
+* Use a credential with the `system:masters` group, which is bound to the `cluster-admin` super-user role by the default bindings.
+* If your API server runs with the insecure port enabled (`--insecure-port`), you can also make API calls via that port, which does not enforce authentication or authorization.
+-->
+例如，这个集群角色和角色绑定将允许 "user-1" 有对"user-1-namespace" 命名空间中的角色执行 `admin`、`edit` 和 `view` 操作权限：
+
+```yaml
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRole
+metadata:
+  name: role-grantor
+rules:
+- apiGroups: ["rbac.authorization.k8s.io"]
+  resources: ["rolebindings"]
+  verbs: ["create"]
+- apiGroups: ["rbac.authorization.k8s.io"]
+  resources: ["clusterroles"]
+  verbs: ["bind"]
+  resourceNames: ["admin","edit","view"]
+---
+apiVersion: rbac.authorization.k8s.io/v1
+kind: RoleBinding
+metadata:
+  name: role-grantor-binding
+  namespace: user-1-namespace
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: ClusterRole
+  name: role-grantor
+subjects:
+- apiGroup: rbac.authorization.k8s.io
+  kind: User
+  name: user-1
+```
+
+当初始化第一个角色和角色绑定时，需要为初始用户授予他们尚未拥有的权限。 对初始角色和角色绑定进行初始化时需要：
+
+* 使用用户组为 `system:masters` 的凭据，该用户组由默认绑定关联到 `cluster-admin` 这个超级用户角色。
+* 如果你的 API server 启动时启用了不安全端口（使用`--insecure-port`）, 你也可以通过该端口调用 API ，这样操作会绕过身份验证或鉴权。
+
+<!--
+## Command-line Utilities
+
+### `kubectl create role`
+
+Creates a `Role` object defining permissions within a single namespace. Examples:
+
+* Create a `Role` named "pod-reader" that allows user to perform "get", "watch" and "list" on pods:
+
+    ```
+    kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
+    ```
+
+* Create a `Role` named "pod-reader" with resourceNames specified:
+
+    ```
+    kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
+    ```
+
+* Create a `Role` named "foo" with apiGroups specified:
+
+    ```
+    kubectl create role foo --verb=get,list,watch --resource=replicasets.apps
+    ```
+
+* Create a `Role` named "foo" with subresource permissions:
+
+    ```
+    kubectl create role foo --verb=get,list,watch --resource=pods,pods/status
+    ```
+
+* Create a `Role` named "my-component-lease-holder" with permissions to get/update a resource with a specific name:
+
+    ```
+    kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component
+    ```
+-->
+## 一些命令行工具
+
+### `kubectl create role`
+
+创建 `Role` 对象，定义在某命名空间中的权限。例如:
+
+* 创建名称为 "pod-reader" 的 `Role` 对象，允许用户对 pods 执行 "get"、"watch" 和 "list" 操作：
+
+    ```
+    kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
+    ```
+
+* 创建名称为 "pod-reader" 的 `Role` 对象并指定 resourceNames：
+
+    ```
+    kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
+    ```
+
+* 创建名为 "foo" 的 `Role` 对象并指定 apiGroups:
+
+    ```
+    kubectl create role foo --verb=get,list,watch --resource=replicasets.apps
+    ```
+
+* 创建名为 "foo" 的 `Role` 对象并指定子资源权限:
+
+    ```
+    kubectl create role foo --verb=get,list,watch --resource=pods,pods/status
+    ```
+
+* 创建名为 "my-component-lease-holder" 的 `Role` 对象，使其具有对特定名称资源执行 get/update 的权限：
+
+    ```
+    kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component
+    ```
+
+<!--
+### `kubectl create clusterrole`
+
+Creates a `ClusterRole` object. Examples:
+
+* Create a `ClusterRole` named "pod-reader" that allows user to perform "get", "watch" and "list" on pods:
+
+    ```
+    kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods
+    ```
+
+* Create a `ClusterRole` named "pod-reader" with resourceNames specified:
+
+    ```
+    kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
+    ```
+
+* Create a `ClusterRole` named "foo" with apiGroups specified:
+
+    ```
+    kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps
+    ```
+
+* Create a `ClusterRole` named "foo" with subresource permissions:
+
+    ```
+    kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status
+    ```
+
+* Create a `ClusterRole` name "foo" with nonResourceURL specified:
+
+    ```
+    kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*
+    ```
+
+* Create a `ClusterRole` name "monitoring" with aggregationRule specified:
+
+    ```
+    kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"
+    ```
+-->
+### `kubectl create clusterrole`
+
+创建 `ClusterRole` 对象。例如：
+
+* 创建名称为 "pod-reader" 的 `ClusterRole` 对象，允许用户对 pods 对象执行 "get"、"watch" 和 "list" 操作：
+
+    ```
+    kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods
+    ```
+
+* 创建名为 "pod-reader" 的 `ClusterRole` 对象并指定资源名称：
+
+    ```
+    kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
+    ```
+
+* 创建名为 "foo" 的 `ClusterRole` 对象并指定 apiGroups：
+
+    ```
+    kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps
+    ```
+
+* 创建名为 "foo" 的`ClusterRole` 对象并指定子资源:
+
+    ```
+    kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status
+    ```
+
+* 创建名为 "foo" 的 `ClusterRole` 对象并指定非资源路径：
+
+    ```
+    kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*
+    ```
+
+* 创建名为 "monitoring" 的 `ClusterRole` 对象并指定聚合规则：
+
+    ```
+    kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"
+    ```
+
+<!--
+### `kubectl create rolebinding`
+
+Grants a `Role` or `ClusterRole` within a specific namespace. Examples:
+
+* Within the namespace "acme", grant the permissions in the `admin` `ClusterRole` to a user named "bob":
+
+    ```
+    kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
+    ```
+
+* Within the namespace "acme", grant the permissions in the `view` `ClusterRole` to the service account in the namespace "acme" named "myapp" :
+
+    ```
+    kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
+    ```
+
+* Within the namespace "acme", grant the permissions in the `view` `ClusterRole` to a service account in the namespace "myappnamespace" named "myapp":
+
+    ```
+    kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme
+    ```
+-->
+### `kubectl create rolebinding`
+
+在特定的命名空间中对 `Role` 或 `ClusterRole` 授权。例如：
+
+* 在命名空间 "acme" 中，将名为 `admin` 的 `ClusterRole` 中的权限授予名称 "bob" 的用户:
+
+    ```
+    kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
+    ```
+
+* 在命名空间 "acme"中，将名为 `view` 的 `ClusterRole` 中的权限授予该命名空间 "acme" 中名为  "myapp" 的服务账号：
+
+    ```
+    kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
+    ```
+
+* 在命名空间 "acme" 中，将名为 `view` 的 `ClusterRole` 对象中的权限授予命名空间 "myappnamespace" 中名称为 "myapp" 的服务账号：
+
+    ```
+    kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme
+    ```
+
+<!--
+### `kubectl create clusterrolebinding`
+
+Grants a `ClusterRole` across the entire cluster, including all namespaces. Examples:
+
+* Across the entire cluster, grant the permissions in the `cluster-admin` `ClusterRole` to a user named "root":
+
+    ```
+    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
+    ```
+
+* Across the entire cluster, grant the permissions in the `system:node-proxier	` `ClusterRole` to a user named "system:kube-proxy":
+
+    ```
+    kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy
+    ```
+
+* Across the entire cluster, grant the permissions in the `view` `ClusterRole` to a service account named "myapp" in the namespace "acme":
+
+    ```
+    kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
+    ```
+-->
+### `kubectl create clusterrolebinding`
+
+在整个集群、包括所有的命名空间中对 `ClusterRole` 授权。例如：
+
+* 在整个集群范围，将名为 `cluster-admin` 的 `ClusterRole` 中定义的权限授予名为 "root" 用户：
+
+    ```
+    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
+    ```
+
+* 在整个集群范围，将名为 `system:node-proxier` 的 `ClusterRole` 的权限授予名为 "system:kube-proxy" 的用户：
+
+    ```
+    kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy
+    ```
+
+* 在整个集群范围，将名为 `view` 的 `ClusterRole` 对象中定义的权限授予 "acme" 命名空间中名为 "myapp" 的服务账号：
+
+    ```
+    kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
+    ```
+
+<!--
+### `kubectl auth reconcile` {#kubectl-auth-reconcile}
+
+Creates or updates `rbac.authorization.k8s.io/v1` API objects from a manifest file.
+
+Missing objects are created, and the containing namespace is created for namespaced objects, if required.
+
+Existing roles are updated to include the permissions in the input objects,
+and remove extra permissions if `--remove-extra-permissions` is specified.
+
+Existing bindings are updated to include the subjects in the input objects,
+and remove extra subjects if `--remove-extra-subjects` is specified.
+
+Examples:
+
+* Test applying a manifest file of RBAC objects, displaying changes that would be made:
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml --dry-run
+    ```
+
+* Apply a manifest file of RBAC objects, preserving any extra permissions (in roles) and any extra subjects (in bindings):
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml
+    ```
+
+* Apply a manifest file of RBAC objects, removing any extra permissions (in roles) and any extra subjects (in bindings):
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions
+    ```
+
+See the CLI help for detailed usage.
+-->
+### `kubectl auth reconcile` {#kubectl-auth-reconcile}
+
+使用清单文件来创建或者更新 `rbac.authorization.k8s.io/v1` API 对象。
+
+尚不存在的对象会被创建，如果对应的命名空间也不存在，必要的话也会被创建。
+已经存在的角色会被更新，使之包含输入对象中所给的权限。如果指定了 `--remove-extra-permissions`，可以删除其余权限。
+
+已经存在的绑定也会被更新，使之包含输入对象中所给的主体。如果指定了 `--remove-extra-permissions`，则可以删除其余主体。
+
+例如:
+
+* 测试应用 RBAC 对象的清单文件，显示将要进行的更改：
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml --dry-run
+    ```
+
+* 应用 RBAC 对象的清单文件， 保留角色中的其余权限和绑定中的其他主体：
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml
+    ```
+
+* 应用 RBAC 对象的清单文件, 删除角色中的其他权限和绑定中的其他主体：
+
+    ```
+    kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions
+    ```
+
+查看 CLI 帮助获取详细的用法。
+
+<!--
+## Service Account Permissions
+
+Default RBAC policies grant scoped permissions to control-plane components, nodes,
+and controllers, but grant *no permissions* to service accounts outside the `kube-system` namespace
+(beyond discovery permissions given to all authenticated users).
+
+This allows you to grant particular roles to particular service accounts as needed.
+Fine-grained role bindings provide greater security, but require more effort to administrate.
+Broader grants can give unnecessary (and potentially escalating) API access to service accounts, but are easier to administrate.
+
+In order from most secure to least secure, the approaches are:
+
+1. Grant a role to an application-specific service account (best practice)
+
+    This requires the application to specify a `serviceAccountName` in its pod spec,
+    and for the service account to be created (via the API, application manifest, `kubectl create serviceaccount`, etc.).
+
+    For example, grant read-only permission within "my-namespace" to the "my-sa" service account:
+
+    ```shell
+    kubectl create rolebinding my-sa-view \
+      --clusterrole=view \
+      --serviceaccount=my-namespace:my-sa \
+      --namespace=my-namespace
+    ```
+
+2. Grant a role to the "default" service account in a namespace
+
+    If an application does not specify a `serviceAccountName`, it uses the "default" service account.
+
+    {{< note >}}Permissions given to the "default" service
+    account are available to any pod in the namespace that does not
+    specify a `serviceAccountName`.{{< /note >}}
+
+    For example, grant read-only permission within "my-namespace" to the "default" service account:
+
+    ```shell
+    kubectl create rolebinding default-view \
+      --clusterrole=view \
+      --serviceaccount=my-namespace:default \
+      --namespace=my-namespace
+    ```
+
+    Many [add-ons](/docs/concepts/cluster-administration/addons/) currently run as the "default" service account in the `kube-system` namespace.
+    To allow those add-ons to run with super-user access, grant cluster-admin permissions to the "default" service account in the `kube-system` namespace.
+
+    {{< note >}}Enabling this means the `kube-system`
+    namespace contains secrets that grant super-user access to the
+    API.{{< /note >}}
+
+    ```shell
+    kubectl create clusterrolebinding add-on-cluster-admin \
+      --clusterrole=cluster-admin \
+      --serviceaccount=kube-system:default
+    ```
+-->
+## 服务账号权限
+
+默认的 RBAC 策略为控制面组件、节点和控制器授予权限。
+但是不会对 `kube-system` 命名空间之外的服务账号授予权限。
+（除了授予所有已认证用户的 discovery 权限）
+
+这使得您可以根据需要向特定服务账号授予特定权限。 细粒度的角色绑定可带来更好的安全性，但需要更多精力管理。
+更粗粒度的授权可能导致服务账号被授予不必要的 API 访问权限（甚至导致潜在的权限升级），但更易于管理。
+
+按从最安全到最不安全的顺序，存在以下方法：
+
+1. 为特定应用的服务账户授予角色（最佳实践）
+
+    这要求应用在其 pod 规范中指定  `serviceAccountName` ，
+	并额外创建服务账号（包括通过 API、应用程序清单、`kubectl create serviceaccount` 等）。  
+
+    例如，在命名空间 "my-namespace" 中授予服务账号 "my-sa" 只读权限：
+
+    ```shell
+    kubectl create rolebinding my-sa-view \
+      --clusterrole=view \
+      --serviceaccount=my-namespace:my-sa \
+      --namespace=my-namespace
+    ```
+
+2. 将角色授予某命名空间中的 ”default” 服务账号
+
+    如果一个应用没有指定 `serviceAccountName`，那么它将使用 "default" 服务账号。
+
+    {{< note >}}不指定 `serviceAccountName` 的话，
+	"default" 服务账号的权限会授予给命名空间中所有未指定 `serviceAccountName` 的 Pods。{{< /note >}}
+
+
+    例如，在命名空间 "my-namespace" 中授予服务账号 "default" 只读权限：
+
+    ```shell
+    kubectl create rolebinding default-view \
+      --clusterrole=view \
+      --serviceaccount=my-namespace:default \
+      --namespace=my-namespace
+    ```
+
+    许多附加组件 [add-ons](/docs/concepts/cluster-administration/addons/) 目前在 `kube-system` 命名空间以 "default" 服务账号运行。
+    要允许这些附加组件以超级用户权限运行，需要将集群的 cluster-admin 权限授予 `kube-system` 命名空间中的 "default" 服务账号。
+
+    {{< note >}}启用这一配置意味着在 `kube-system` 命名空间中包含以超级用户账号来访问 API 的 Secrets。{{< /note >}}
+
+    ```shell
+    kubectl create clusterrolebinding add-on-cluster-admin \
+      --clusterrole=cluster-admin \
+      --serviceaccount=kube-system:default
+    ```
+
+<!--
+3. Grant a role to all service accounts in a namespace
+
+    If you want all applications in a namespace to have a role, no matter what service account they use,
+    you can grant a role to the service account group for that namespace.
+
+    For example, grant read-only permission within "my-namespace" to all service accounts in that namespace:
+
+    ```shell
+    kubectl create rolebinding serviceaccounts-view \
+      --clusterrole=view \
+      --group=system:serviceaccounts:my-namespace \
+      --namespace=my-namespace
+    ```
+
+4. Grant a limited role to all service accounts cluster-wide (discouraged)
+
+    If you don't want to manage permissions per-namespace, you can grant a cluster-wide role to all service accounts.
+
+    For example, grant read-only permission across all namespaces to all service accounts in the cluster:
+
+    ```shell
+    kubectl create clusterrolebinding serviceaccounts-view \
+      --clusterrole=view \
+     --group=system:serviceaccounts
+    ```
+
+5. Grant super-user access to all service accounts cluster-wide (strongly discouraged)
+
+    If you don't care about partitioning permissions at all, you can grant super-user access to all service accounts.
+
+    {{< warning >}}
+    This allows any user with read access
+    to secrets or the ability to create a pod to access super-user
+    credentials.
+    {{< /warning >}}
+
+    ```shell
+    kubectl create clusterrolebinding serviceaccounts-cluster-admin \
+      --clusterrole=cluster-admin \
+      --group=system:serviceaccounts
+    ```
+-->
+
+3. 将角色授予命名空间中所有的服务账号
+
+    如果你想要在命名空间中所有的应用都具有某角色，无论它们使用的什么服务账号，
+    你可以将角色授予该命名空间的服务账号组。
+
+    例如，在命名空间 "my-namespace" 中的只读权限授予该命名空间中的所有服务账号：
+
+    ```shell
+    kubectl create rolebinding serviceaccounts-view \
+      --clusterrole=view \
+      --group=system:serviceaccounts:my-namespace \
+      --namespace=my-namespace
+    ```
+
+4. 对集群范围内的所有服务账户授予一个受限角色（不鼓励）
+
+    如果你不想管理每一个命名空间的权限，你可以向所有的服务账号授予集群范围的角色。
+
+    例如，为集群范围的所有服务账号授予跨所有命名空间的只读权限：
+
+    ```shell
+    kubectl create clusterrolebinding serviceaccounts-view \
+      --clusterrole=view \
+     --group=system:serviceaccounts
+    ```
+
+5. 授予超级用户访问权限给集群范围内的所有服务帐户（强烈不鼓励）
+
+    如果你不关心如何区分权限，你可以将超级用户访问权限授予所有服务账号。
+
+    {{< warning >}}
+	这将允许所有能够读取 Secrets 和创建 Pods 的用户访问超级用户的私密信息。
+    {{< /warning >}}
+
+    ```shell
+    kubectl create clusterrolebinding serviceaccounts-cluster-admin \
+      --clusterrole=cluster-admin \
+      --group=system:serviceaccounts
+    ```
+
+<!--
+## Upgrading from 1.5
+
+Prior to Kubernetes 1.6, many deployments used very permissive ABAC policies,
+including granting full API access to all service accounts.
+
+Default RBAC policies grant scoped permissions to control-plane components, nodes,
+and controllers, but grant *no permissions* to service accounts outside the `kube-system` namespace
+(beyond discovery permissions given to all authenticated users).
+
+While far more secure, this can be disruptive to existing workloads expecting to automatically receive API permissions.
+Here are two approaches for managing this transition:
+-->
+# 从版本1.5升级
+
+在Kubernetes 1.6版本之前，许多部署可以使用非常宽松的 ABAC 策略，
+包括授予所有服务帐户全权访问 API 的能力。
+
+默认的 RBAC 策略被授予控制面组件、节点和控制器。
+`kube-system` 命名空间外的服务账号将没有权限
+（除了授予所有认证用户的发现权限之外）
+
+这样做虽然安全得多，但可能会干扰期望自动获得 API 权限的现有工作负载。
+这里有两种方法来完成这种转变:
+
+<!--
+### Parallel Authorizers
+
+Run both the RBAC and ABAC authorizers, and specify a policy file that contains
+[the legacy ABAC policy](/docs/reference/access-authn-authz/abac/#policy-file-format):
+
+```
+--authorization-mode=RBAC,ABAC --authorization-policy-file=mypolicy.json
+```
+
+
+
+The RBAC authorizer will attempt to authorize requests first. If it denies an API request,
+the ABAC authorizer is then run. This means that any request allowed by *either* the RBAC
+or ABAC policies is allowed.
+
+When the apiserver is run with a log level of 5 or higher for the RBAC component (`--vmodule=rbac*=5` or `--v=5`),
+you can see RBAC denials in the apiserver log (prefixed with `RBAC DENY:`).
+You can use that information to determine which roles need to be granted to which users, groups, or service accounts.
+Once you have [granted roles to service accounts](#service-account-permissions) and workloads are running with no RBAC denial messages
+in the server logs, you can remove the ABAC authorizer.
+-->
+### 平行鉴权
+
+同时运行 RBAC 和 ABAC 鉴权模式, 并指定包含
+[现有的 ABAC 策略](/docs/reference/access-authn-authz/abac/#policy-file-format) 的策略文件：
+
+```
+--authorization-mode=RBAC,ABAC --authorization-policy-file=mypolicy.json
+```
+
+RBAC 鉴权器将首先尝试对请求进行鉴权。如果它拒绝 API 请求，
+则 ABAC 鉴权器运行。这意味着被 RBAC 或 ABAC 策略所允许的任何请求
+都是被允许的请求。
+
+如果 API 服务器启动时，RBAC 组件的日志级别为 5 或更高（`--vmodule=rbac*=5` or `--v=5`），
+你可以在 API 服务器的日志中看到 RBAC 的细节 （前缀 `RBAC DENY:`）
+您可以使用这些信息来确定需要将哪些角色授予哪些用户、组或服务帐户。
+一旦你将 [角色授予服务账号](#服务账号权限) ，工作负载运行时在服务器日志中
+没有出现 RBAC 拒绝消息，就可以删除 ABAC 鉴权器。
+
+<!--
+## Permissive RBAC Permissions
+
+You can replicate a permissive policy using RBAC role bindings.
+
+{{< warning >}}
+The following policy allows **ALL** service accounts to act as cluster administrators.
+Any application running in a container receives service account credentials automatically,
+and could perform any action against the API, including viewing secrets and modifying permissions.
+This is not a recommended policy.
+
+```
+kubectl create clusterrolebinding permissive-binding \
+  --clusterrole=cluster-admin \
+  --user=admin \
+  --user=kubelet \
+  --group=system:serviceaccounts
+```
+{{< /warning >}}
+
+-->
+
+## 宽松的 RBAC 权限
+
+可以使用 RBAC 角色绑定在多个场合使用宽松的策略。
+
+{{< warning >}}
+下面的策略允许 **所有** 服务帐户充当集群管理员。
+容器中运行的所有应用程序都会自动收到服务帐户的凭据，
+可以对 API 执行任何操作，包括查看 Secrets 和修改权限。
+这个策略是不被推荐的。
+
+```
+kubectl create clusterrolebinding permissive-binding \
+  --clusterrole=cluster-admin \
+  --user=admin \
+  --user=kubelet \
+  --group=system:serviceaccounts
+```
+{{< /warning >}}
+
+{{% /capture %}}

From dd1d544f99534b491acafdaca704b9d88f84dd0a Mon Sep 17 00:00:00 2001
From: GoodGameZoo <gaoguangze111@gmail.com>
Date: Fri, 6 Mar 2020 15:11:24 +0800
Subject: [PATCH 06/19] Csi volume cloning modification (#19252)

---
 .../concepts/storage/volume-pvc-datasource.md   | 17 +++--------------
 1 file changed, 3 insertions(+), 14 deletions(-)

diff --git a/content/zh/docs/concepts/storage/volume-pvc-datasource.md b/content/zh/docs/concepts/storage/volume-pvc-datasource.md
index c740f56a5ffae..a8e1a5117569c 100644
--- a/content/zh/docs/concepts/storage/volume-pvc-datasource.md
+++ b/content/zh/docs/concepts/storage/volume-pvc-datasource.md
@@ -24,18 +24,7 @@ weight: 30
 This document describes the concept of cloning existing CSI Volumes in Kubernetes.  Familiarity with [Volumes](/docs/concepts/storage/volumes) is suggested.
 -->
 
-本文档描述 Kubernetes 中克隆现有 CSI 卷的概念。建议先熟悉[卷](/docs/concepts/storage/volumes)。
-
-<!--
-This feature requires VolumePVCDataSource feature gate to be enabled:
--->
-
-此功能需要启动 VolumePVCDataSource 功能门：
-
-```
---feature-gates=VolumePVCDataSource=true
-```
-
+本文档介绍 Kubernetes 中克隆现有 CSI 卷的概念。阅读前建议先熟悉[卷](/docs/concepts/storage/volumes)。
 
 {{% /capture %}}
 
@@ -52,13 +41,13 @@ This feature requires VolumePVCDataSource feature gate to be enabled:
 The {{< glossary_tooltip text="CSI" term_id="csi" >}} Volume Cloning feature adds support for specifying existing {{< glossary_tooltip text="PVC" term_id="persistent-volume-claim" >}}s in the `dataSource` field to indicate a user would like to clone a {{< glossary_tooltip term_id="volume" >}}.
 -->
 
-{{< glossary_tooltip text="CSI" term_id="csi" >}} 卷克隆功能增加了在 `dataSource` 字段指定现有的 {{< glossary_tooltip text="PVC" term_id="persistent-volume-claim" >}}s，来表示用户想要克隆的 {{< glossary_tooltip term_id="volume" >}}。
+{{< glossary_tooltip text="CSI" term_id="csi" >}} 卷克隆功能增加了通过在 `dataSource` 字段中指定存在的 {{< glossary_tooltip text="PVC" term_id="persistent-volume-claim" >}}s，来表示用户想要克隆的 {{< glossary_tooltip term_id="volume" >}}。
 
 <!--
 A Clone is defined as a duplicate of an existing Kubernetes Volume that can be consumed as any standard Volume would be.  The only difference is that upon provisioning, rather than creating a "new" empty Volume, the back end device creates an exact duplicate of the specified Volume.
 -->
 
-克隆定义为已有 Kubernetes 卷的副本，可以像任何标准卷一样被使用。唯一的区别就是配置后，后端设备将创建指定卷的精确副本，而不是创建一个“新的”空卷。
+克隆，意思是为已有的 Kubernetes 卷创建副本，它可以像任何其它标准卷一样被使用。唯一的区别就是配置后，后端设备将创建指定完全相同的副本，而不是创建一个“新的”空卷。
 
 <!--
 The implementation of cloning, from the perspective of the Kubernetes API simply adds the ability to specify an existing unbound PVC as a dataSource during new pvc creation.

From 7fa46cb10601e1f5068da08178f7f38a276031ae Mon Sep 17 00:00:00 2001
From: LogX2 <50541066+LogX2@users.noreply.github.com>
Date: Fri, 6 Mar 2020 15:13:23 +0800
Subject: [PATCH 07/19] Correct mismatched code examples (#19193)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

fix a bug that code examples don't match the corresponding descriptions  in section "存储Pod字段" and "存储容器字段" .
---
 .../downward-api-volume-expose-pod-information.md             | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/content/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md b/content/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
index f00d36d457bf3..e702a8dcf24b1 100644
--- a/content/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
+++ b/content/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
@@ -31,7 +31,7 @@ content_template: templates/task
 
 在这个练习中，你将创建一个包含一个容器的pod。这是该pod的配置文件：
 
-{{< codenew file="pods/inject/dapi-volume-resources.yaml" >}}
+{{< codenew file="pods/inject/dapi-volume.yaml" >}}
 
 在配置文件中，你可以看到Pod有一个`downwardAPI`类型的Volume，并且挂载到容器中的`/etc`。
 
@@ -148,7 +148,7 @@ drwxrwxrwt    3 root     root           120 Dec  5 07:00 ..
 
 前面的练习中，你将Pod字段保存到DownwardAPIVolumeFile中。接下来这个练习，你将存储容器字段。这里是包含一个容器的pod的配置文件：
 
-{{< codenew file="pods/inject/dapi-volume.yaml" >}}
+{{< codenew file="pods/inject/dapi-volume-resources.yaml" >}}
 
 在这个配置文件中，你可以看到Pod有一个`downwardAPI`类型的Volume,并且挂载到容器的`/etc`目录。
 

From 73ac24399d899f62b805fac8f7a836661e3f436f Mon Sep 17 00:00:00 2001
From: LiuDui <1693291525@qq.com>
Date: Fri, 6 Mar 2020 15:15:23 +0800
Subject: [PATCH 08/19] =?UTF-8?q?ZH-trans=EF=BC=9Aupdate=20the=20yaml=20fi?=
 =?UTF-8?q?le=20name=20(#19223)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

original:
```
For example, here’s the configuration file with a Pod name as `nginx-demo` and a Container name as `nginx`:
```

From d555c1b037c95552f8c1fa856af69ca1b0340003 Mon Sep 17 00:00:00 2001
From: huccshen <1171593960@qq.com>
Date: Fri, 6 Mar 2020 15:17:23 +0800
Subject: [PATCH 09/19] Clean up extensions/v1beta1 in docs (#19379)

---
 .../docs/tasks/manage-kubernetes-objects/imperative-config.md | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/content/zh/docs/tasks/manage-kubernetes-objects/imperative-config.md b/content/zh/docs/tasks/manage-kubernetes-objects/imperative-config.md
index 29e4da57932db..d001d4638a89f 100644
--- a/content/zh/docs/tasks/manage-kubernetes-objects/imperative-config.md
+++ b/content/zh/docs/tasks/manage-kubernetes-objects/imperative-config.md
@@ -249,11 +249,11 @@ Example label:
 ```yaml
 selector:
   matchLabels:
-      controller-selector: "extensions/v1beta1/deployment/nginx"
+      controller-selector: "apps/v1/deployment/nginx"
 template:
   metadata:
     labels:
-      controller-selector: "extensions/v1beta1/deployment/nginx"
+      controller-selector: "apps/v1/deployment/nginx"
 ```
 
 {{% /capture %}}

From 272834ce0fad975f4c1d1bcdc11d2d93bafc4818 Mon Sep 17 00:00:00 2001
From: 2BFL <imqksl@gmail.com>
Date: Fri, 6 Mar 2020 23:55:24 +0800
Subject: [PATCH 10/19] translation assign memory resource for zh (#19458)

Accept SataQiu's suggestion
---
 .../assign-memory-resource.md                 | 539 ++++++++++++++++++
 1 file changed, 539 insertions(+)
 create mode 100644 content/zh/docs/tasks/configure-pod-container/assign-memory-resource.md

diff --git a/content/zh/docs/tasks/configure-pod-container/assign-memory-resource.md b/content/zh/docs/tasks/configure-pod-container/assign-memory-resource.md
new file mode 100644
index 0000000000000..1a67f8afaa31c
--- /dev/null
+++ b/content/zh/docs/tasks/configure-pod-container/assign-memory-resource.md
@@ -0,0 +1,539 @@
+---
+title: 为容器和 Pod 分配内存资源
+content_template: templates/task
+weight: 10
+---
+
+<!--
+---
+title: Assign Memory Resources to Containers and Pods
+content_template: templates/task
+weight: 10
+---
+-->
+
+{{% capture overview %}}
+
+<!--
+This page shows how to assign a memory *request* and a memory *limit* to a
+Container. A Container is guaranteed to have as much memory as it requests,
+but is not allowed to use more memory than its limit.
+-->
+此页面显示如何将内存 *请求* （request）和内存 *限制* （limit）分配给一个容器。我们保障容器拥有它请求数量的内存，但不允许使用超过限制数量的内存。
+
+{{% /capture %}}
+
+
+{{% capture prerequisites %}}
+
+{{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
+
+<!--
+Each node in your cluster must have at least 300 MiB of memory.
+-->
+您集群中的每个节点必须拥有至少 300 MiB 的内存。
+
+<!--
+A few of the steps on this page require you to run the
+[metrics-server](https://github.com/kubernetes-incubator/metrics-server)
+service in your cluster. If you have the metrics-server
+running, you can skip those steps.
+-->
+该页面上的一些步骤要求您在集群中运行 [metrics-server](https://github.com/kubernetes-incubator/metrics-server) 服务。如果您已经有在运行中的 metrics-server，则可以跳过这些步骤。
+
+<!--
+If you are running Minikube, run the following command to enable the
+metrics-server:
+-->
+如果您运行的是 Minikube，可以运行下面的命令启用 metrics-server：
+
+```shell
+minikube addons enable metrics-server
+```
+
+<!--
+To see whether the metrics-server is running, or another provider of the resource metrics
+API (`metrics.k8s.io`), run the following command:
+-->
+要查看 metrics-server 或资源指标 API (`metrics.k8s.io`) 是否已经运行，请运行以下命令：
+
+```shell
+kubectl get apiservices
+```
+
+<!--
+If the resource metrics API is available, the output includes a
+reference to `metrics.k8s.io`.
+-->
+如果资源指标 API 可用，则输出结果将包含对 `metrics.k8s.io` 的引用信息。
+
+```shell
+NAME
+v1beta1.metrics.k8s.io
+```
+
+{{% /capture %}}
+
+{{% capture steps %}}
+
+<!--
+## Create a namespace
+
+Create a namespace so that the resources you create in this exercise are
+isolated from the rest of your cluster.
+-->
+## 创建命名空间
+
+创建一个命名空间，以便将本练习中创建的资源与集群的其余部分隔离。
+
+```shell
+kubectl create namespace mem-example
+```
+
+<!--
+## Specify a memory request and a memory limit
+
+To specify a memory request for a Container, include the `resources:requests` field
+in the Container's resource manifest. To specify a memory limit, include `resources:limits`.
+
+In this exercise, you create a Pod that has one Container. The Container has a memory
+request of 100 MiB and a memory limit of 200 MiB. Here's the configuration file
+for the Pod:
+-->
+## 指定内存请求和限制
+
+要为容器指定内存请求，请在容器资源清单中包含 `resources：requests` 字段。
+同理，要指定内存限制，请包含 `resources：limits`。
+
+在本练习中，您将创建一个拥有一个容器的 Pod。
+容器将会请求 100 MiB 内存，并且内存会被限制在 200 MiB 以内。
+这是 Pod 的配置文件：
+
+{{< codenew file="pods/resource/memory-request-limit.yaml" >}}
+
+<!--
+The `args` section in the configuration file provides arguments for the Container when it starts.
+The `"--vm-bytes", "150M"` arguments tell the Container to attempt to allocate 150 MiB of memory.
+
+Create the Pod:
+-->
+配置文件的 `args` 部分提供了容器启动时的参数。
+`"--vm-bytes", "150M"` 参数告知容器尝试分配 150 MiB 内存。
+
+开始创建 Pod：
+
+```shell
+kubectl apply -f https://k8s.io/examples/pods/resource/memory-request-limit.yaml --namespace=mem-example
+```
+
+<!--
+Verify that the Pod Container is running:
+-->
+验证 Pod 中的容器是否已运行：
+
+```shell
+kubectl get pod memory-demo --namespace=mem-example
+```
+
+<!--
+View detailed information about the Pod:
+-->
+查看 Pod 相关的详细信息：
+
+```shell
+kubectl get pod memory-demo --output=yaml --namespace=mem-example
+```
+
+<!--
+The output shows that the one Container in the Pod has a memory request of 100 MiB
+and a memory limit of 200 MiB.
+-->
+输出结果显示：该 Pod 中容器的内存请求为 100 MiB，内存限制为 200 MiB。
+
+```yaml
+...
+resources:
+  limits:
+    memory: 200Mi
+  requests:
+    memory: 100Mi
+...
+```
+
+<!--
+Run `kubectl top` to fetch the metrics for the pod:
+-->
+运行 `kubectl top` 命令，获取该 Pod 的指标数据：
+
+```shell
+kubectl top pod memory-demo --namespace=mem-example
+```
+
+<!--
+The output shows that the Pod is using about 162,900,000 bytes of memory, which
+is about 150 MiB. This is greater than the Pod's 100 MiB request, but within the
+Pod's 200 MiB limit.
+-->
+输出结果显示：Pod 正在使用的内存大约为 162,900,000 字节，约为 150 MiB。
+这大于 Pod 请求的 100 MiB，但在 Pod 限制的 200 MiB之内。
+
+```
+NAME                        CPU(cores)   MEMORY(bytes)
+memory-demo                 <something>  162856960
+```
+
+<!--
+Delete your Pod:
+-->
+删除 Pod：
+
+```shell
+kubectl delete pod memory-demo --namespace=mem-example
+```
+
+<!--
+## Exceed a Container's memory limit
+
+A Container can exceed its memory request if the Node has memory available. But a Container
+is not allowed to use more than its memory limit. If a Container allocates more memory than
+its limit, the Container becomes a candidate for termination. If the Container continues to
+consume memory beyond its limit, the Container is terminated. If a terminated Container can be
+restarted, the kubelet restarts it, as with any other type of runtime failure.
+-->
+## 超过容器限制的内存
+
+当节点拥有足够的可用内存时，容器可以使用其请求的内存。但是，容器不允许使用超过其限制的内存。
+如果容器分配的内存超过其限制，该容器会成为被终止的候选容器。如果容器继续消耗超出其限制的内存，则终止容器。
+如果终止的容器可以被重启，则 kubelet 会重新启动它，就像其他任何类型的运行时失败一样。
+
+<!--
+In this exercise, you create a Pod that attempts to allocate more memory than its limit.
+Here is the configuration file for a Pod that has one Container with a
+memory request of 50 MiB and a memory limit of 100 MiB:
+-->
+在本练习中，您将创建一个 Pod，尝试分配超出其限制的内存。
+这是一个 Pod 的配置文件，其拥有一个容器，该容器的内存请求为 50 MiB，内存限制为 100 MiB：
+
+{{< codenew file="pods/resource/memory-request-limit-2.yaml" >}}
+
+<!--
+In the `args` section of the configuration file, you can see that the Container
+will attempt to allocate 250 MiB of memory, which is well above the 100 MiB limit.
+
+Create the Pod:
+-->
+在配置文件的 `args` 部分中，您可以看到容器会尝试分配 250 MiB 内存，这远高于 100 MiB 的限制。
+
+创建 Pod：
+
+```shell
+kubectl apply -f https://k8s.io/examples/pods/resource/memory-request-limit-2.yaml --namespace=mem-example
+```
+
+<!--
+View detailed information about the Pod:
+-->
+查看 Pod 相关的详细信息：
+
+```shell
+kubectl get pod memory-demo-2 --namespace=mem-example
+```
+<!--
+At this point, the Container might be running or killed. Repeat the preceding command until the Container is killed:
+-->
+此时，容器可能正在运行或被杀死。重复前面的命令，直到容器被杀掉：
+
+```shell
+NAME            READY     STATUS      RESTARTS   AGE
+memory-demo-2   0/1       OOMKilled   1          24s
+```
+
+<!--
+Get a more detailed view of the Container status:
+-->
+获取容器更详细的状态信息：
+
+```shell
+kubectl get pod memory-demo-2 --output=yaml --namespace=mem-example
+```
+
+<!--
+The output shows that the Container was killed because it is out of memory (OOM):
+-->
+输出结果显示：由于内存溢出（OOM），容器已被杀掉：
+
+```shell
+lastState:
+   terminated:
+     containerID: docker://65183c1877aaec2e8427bc95609cc52677a454b56fcb24340dbd22917c23b10f
+     exitCode: 137
+     finishedAt: 2017-06-20T20:52:19Z
+     reason: OOMKilled
+     startedAt: null
+```
+
+<!--
+The Container in this exercise can be restarted, so the kubelet restarts it. Repeat
+this command several times to see that the Container is repeatedly killed and restarted:
+-->
+本练习中的容器可以被重启，所以 kubelet 会重启它。多次运行下面的命令，可以看到容器在反复的被杀死和重启：
+
+```shell
+kubectl get pod memory-demo-2 --namespace=mem-example
+```
+
+<!--
+The output shows that the Container is killed, restarted, killed again, restarted again, and so on:
+-->
+输出结果显示：容器被杀掉、重启、再杀掉、再重启……：
+
+```
+kubectl get pod memory-demo-2 --namespace=mem-example
+NAME            READY     STATUS      RESTARTS   AGE
+memory-demo-2   0/1       OOMKilled   1          37s
+```
+```
+
+kubectl get pod memory-demo-2 --namespace=mem-example
+NAME            READY     STATUS    RESTARTS   AGE
+memory-demo-2   1/1       Running   2          40s
+```
+
+<!--
+View detailed information about the Pod history:
+-->
+查看关于该 Pod 历史的详细信息：
+
+```
+kubectl describe pod memory-demo-2 --namespace=mem-example
+```
+
+<!--
+The output shows that the Container starts and fails repeatedly:
+-->
+输出结果显示：该容器反复的在启动和失败：
+
+```
+... Normal  Created   Created container with id 66a3a20aa7980e61be4922780bf9d24d1a1d8b7395c09861225b0eba1b1f8511
+... Warning BackOff   Back-off restarting failed container
+```
+
+<!--
+View detailed information about your cluster's Nodes:
+-->
+查看关于集群节点的详细信息：
+
+```
+kubectl describe nodes
+```
+
+<!--
+The output includes a record of the Container being killed because of an out-of-memory condition:
+-->
+输出结果包含了一条练习中的容器由于内存溢出而被杀掉的记录：
+
+```
+Warning OOMKilling Memory cgroup out of memory: Kill process 4481 (stress) score 1994 or sacrifice child
+```
+
+<!--
+Delete your Pod:
+-->
+删除 Pod:
+
+```shell
+kubectl delete pod memory-demo-2 --namespace=mem-example
+```
+
+<!--
+## Specify a memory request that is too big for your Nodes
+
+Memory requests and limits are associated with Containers, but it is useful to think
+of a Pod as having a memory request and limit. The memory request for the Pod is the
+sum of the memory requests for all the Containers in the Pod. Likewise, the memory
+limit for the Pod is the sum of the limits of all the Containers in the Pod.
+-->
+## 超过整个节点容量的内存
+
+内存请求和限制是与容器关联的，但将 Pod 视为具有内存请求和限制，也是很有用的。
+Pod 的内存请求是 Pod 中所有容器的内存请求之和。
+同理，Pod 的内存限制是 Pod 中所有容器的内存限制之和。
+
+<!--
+Pod scheduling is based on requests. A Pod is scheduled to run on a Node only if the Node
+has enough available memory to satisfy the Pod's memory request.
+
+In this exercise, you create a Pod that has a memory request so big that it exceeds the
+capacity of any Node in your cluster. Here is the configuration file for a Pod that has one
+Container with a request for 1000 GiB of memory, which likely exceeds the capacity
+of any Node in your cluster.
+-->
+Pod 的调度基于请求。只有当节点拥有足够满足 Pod 内存请求的内存时，才会将 Pod 调度至节点上运行。
+
+在本练习中，你将创建一个 Pod，其内存请求超过了您集群中的任意一个节点所拥有的内存。
+这是该 Pod 的配置文件，其拥有一个请求 1000 GiB 内存的容器，这应该超过了您集群中任何节点的容量。
+
+{{< codenew file="pods/resource/memory-request-limit-3.yaml" >}}
+
+<!--
+Create the Pod:
+-->
+创建 Pod：
+
+```shell
+kubectl apply -f https://k8s.io/examples/pods/resource/memory-request-limit-3.yaml --namespace=mem-example
+```
+
+<!--
+View the Pod status:
+-->
+查看 Pod 状态：
+
+```shell
+kubectl get pod memory-demo-3 --namespace=mem-example
+```
+
+<!--
+The output shows that the Pod status is PENDING. That is, the Pod is not scheduled to run on any Node, and it will remain in the PENDING state indefinitely:
+-->
+输出结果显示：Pod 处于 PENDING 状态。这意味着，该 Pod 没有被调度至任何节点上运行，并且它会无限期的保持该状态：
+
+```
+kubectl get pod memory-demo-3 --namespace=mem-example
+NAME            READY     STATUS    RESTARTS   AGE
+memory-demo-3   0/1       Pending   0          25s
+```
+
+<!--
+View detailed information about the Pod, including events:
+-->
+查看关于 Pod 的详细信息，包括事件：
+
+
+```shell
+kubectl describe pod memory-demo-3 --namespace=mem-example
+```
+
+<!--
+The output shows that the Container cannot be scheduled because of insufficient memory on the Nodes:
+-->
+输出结果显示：由于节点内存不足，该容器无法被调度：
+
+```shell
+Events:
+  ...  Reason            Message
+       ------            -------
+  ...  FailedScheduling  No nodes are available that match all of the following predicates:: Insufficient memory (3).
+```
+
+<!--
+## Memory units
+
+The memory resource is measured in bytes. You can express memory as a plain integer or a
+fixed-point integer with one of these suffixes: E, P, T, G, M, K, Ei, Pi, Ti, Gi, Mi, Ki.
+For example, the following represent approximately the same value:
+-->
+## 内存单位
+
+内存资源的基本单位是字节（byte）。您可以使用这些后缀之一，将内存表示为纯整数或定点整数：E、P、T、G、M、K、Ei、Pi、Ti、Gi、Mi、Ki。例如，下面是一些近似相同的值：
+
+```shell
+128974848, 129e6, 129M , 123Mi
+```
+
+<!--
+Delete your Pod:
+-->
+删除 Pod：
+
+```shell
+kubectl delete pod memory-demo-3 --namespace=mem-example
+```
+
+<!--
+## If you do not specify a memory limit
+
+If you do not specify a memory limit for a Container, one of the following situations applies:
+-->
+## 如果你没有指定内存限制
+
+如果你没有为一个容器指定内存限制，则自动遵循以下情况之一：
+
+<!--
+* The Container has no upper bound on the amount of memory it uses. The Container
+could use all of the memory available on the Node where it is running which in turn could invoke the OOM Killer. Further, in case of an OOM Kill, a container with no resource limits will have a greater chance of being killed.
+
+* The Container is running in a namespace that has a default memory limit, and the
+Container is automatically assigned the default limit. Cluster administrators can use a
+[LimitRange](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#limitrange-v1-core)
+to specify a default value for the memory limit.
+-->
+* 容器可无限制地使用内存。容器可以使用其所在节点所有的可用内存，进而可能导致该节点调用 OOM Killer。
+此外，如果发生 OOM Kill，没有资源限制的容器将被杀掉的可行性更大。
+
+* 运行的容器所在命名空间有默认的内存限制，那么该容器会被自动分配默认限制。
+集群管理员可用使用 [LimitRange](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#limitrange-v1-core)
+来指定默认的内存限制。
+
+<!--
+## Motivation for memory requests and limits
+
+By configuring memory requests and limits for the Containers that run in your
+cluster, you can make efficient use of the memory resources available on your cluster's
+Nodes. By keeping a Pod's memory request low, you give the Pod a good chance of being
+scheduled. By having a memory limit that is greater than the memory request, you accomplish two things:
+-->
+## 内存请求和限制的目的
+
+通过为集群中运行的容器配置内存请求和限制，您可以有效利用集群节点上可用的内存资源。通过将 Pod 的内存请求保持在较低水平，您可以更好地安排 Pod 调度。通过让内存限制大于内存请求，您可以完成两件事：
+
+<!--
+* The Pod can have bursts of activity where it makes use of memory that happens to be available.
+* The amount of memory a Pod can use during a burst is limited to some reasonable amount.
+-->
+* Pod 可以进行一些突发活动，从而更好的利用可用内存。
+* Pod 在突发活动期间，可使用的内存被限制为合理的数量。
+
+<!--
+## Clean up
+
+Delete your namespace. This deletes all the Pods that you created for this task:
+-->
+## 清理
+
+删除命名空间。下面的命令会删除你根据这个任务创建的所有 Pod：
+
+```shell
+kubectl delete namespace mem-example
+```
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+### 应用开发者扩展阅读
+
+* [为容器和 Pod 分配 CPU 资源](/docs/tasks/configure-pod-container/assign-cpu-resource/)
+
+* [配置 Pod 的服务质量](/docs/tasks/configure-pod-container/quality-service-pod/)
+
+### 集群管理员扩展阅读
+
+* [为命名空间配置默认的内存请求和限制](/docs/tasks/administer-cluster/memory-default-namespace/)
+
+* [为命名空间配置默认的 CPU 请求和限制](/docs/tasks/administer-cluster/cpu-default-namespace/)
+
+* [配置命名空间的最小和最大内存约束](/docs/tasks/administer-cluster/memory-constraint-namespace/)
+
+* [配置命名空间的最小和最大 CPU 约束](/docs/tasks/administer-cluster/cpu-constraint-namespace/)
+
+* [为命名空间配置内存和 CPU 配额](/docs/tasks/administer-cluster/quota-memory-cpu-namespace/)
+
+* [配置命名空间下 Pod 总数](/docs/tasks/administer-cluster/quota-pod-namespace/)
+
+* [配置 API 对象配额](/docs/tasks/administer-cluster/quota-api-object/)
+
+{{% /capture %}}
+
+
+

From e9342c00a208a63521cd87c7a66ebb952991ba60 Mon Sep 17 00:00:00 2001
From: GoodGameZoo <gaoguangze111@gmail.com>
Date: Sat, 7 Mar 2020 00:15:23 +0800
Subject: [PATCH 11/19] Translation modification (#19250)

---
 content/zh/docs/concepts/storage/storage-classes.md | 10 +++++-----
 1 file changed, 5 insertions(+), 5 deletions(-)

diff --git a/content/zh/docs/concepts/storage/storage-classes.md b/content/zh/docs/concepts/storage/storage-classes.md
index 3c7dc98bc8b32..b1d8becc60ce9 100644
--- a/content/zh/docs/concepts/storage/storage-classes.md
+++ b/content/zh/docs/concepts/storage/storage-classes.md
@@ -36,7 +36,7 @@ systems.
 ## 介绍
 
 `StorageClass` 为管理员提供了描述存储 `"类"` 的方法。
-不同的`类型`可能会映射到不同的服务质量等级或备份策略，或是由群集管理员制定的任意策略。
+不同的`类型`可能会映射到不同的服务质量等级或备份策略，或是由集群管理员制定的任意策略。
 Kubernetes 本身并不清楚各种`类`代表的什么。这个`类`的概念在其他存储系统中有时被称为"配置文件"。
 
 <!--
@@ -66,8 +66,8 @@ request any particular class to bind to: see the
 [`PersistentVolumeClaim` section](/docs/concepts/storage/persistent-volumes/#class-1)
 for details.
  -->
-管理员可以为没有申请绑定到特定 `StorageClass` 的 PVC 指定一个默认的`类` ：
-更多详情请参阅 [`PersistentVolumeClaim` 章节](#persistentvolumeclaims)。
+管理员可以为没有申请绑定到特定 `StorageClass` 的 PVC 指定一个默认的存储`类` ：
+更多详情请参阅 [`PersistentVolumeClaim` 章节](/docs/concepts/storage/persistent-volumes/#class-1)。
 
 ```yaml
 apiVersion: storage.k8s.io/v1
@@ -92,13 +92,13 @@ for provisioning PVs. This field must be specified.
  -->
 ### 存储分配器
 
-`StorageClass` 有一个分配器，用来决定使用哪个`卷插件`分配`持久化卷申领`。该字段必须指定。
+`StorageClass` 有一个分配器，用来决定使用哪个`卷插件`分配`PV`。该字段必须指定。
 
 <!--
 | Volume Plugin        | Internal Provisioner| Config Example                       |
 -->
 
-| 卷插件        | 提供厂商 | 配置例子                      |
+| 卷插件        | 内置分配器 | 配置例子                      |
 | :---                 |     :---:           |    :---:                             |
 | AWSElasticBlockStore | &#x2713;            | [AWS EBS](#aws-ebs)                          |
 | AzureFile            | &#x2713;            | [Azure File](#azure-file)            |

From 03f13f0fb034b0bfcd90dafd742a1ef98f9dfb72 Mon Sep 17 00:00:00 2001
From: Jie Shen <drfish.me@gmail.com>
Date: Sat, 7 Mar 2020 00:25:24 +0800
Subject: [PATCH 12/19] Polish configure-pod-configmap.md format (#19508)

---
 .../configure-pod-configmap.md                      | 13 +++++++++++--
 1 file changed, 11 insertions(+), 2 deletions(-)

diff --git a/content/zh/docs/tasks/configure-pod-container/configure-pod-configmap.md b/content/zh/docs/tasks/configure-pod-container/configure-pod-configmap.md
index 1d4dce70ce7da..fcaaf4f940c9d 100644
--- a/content/zh/docs/tasks/configure-pod-container/configure-pod-configmap.md
+++ b/content/zh/docs/tasks/configure-pod-container/configure-pod-configmap.md
@@ -74,9 +74,16 @@ For example: -->
 
 例如：
 
-# Create the local directory
+<!-- # Create the local directory
+mkdir -p configure-pod-container/configmap/
+
 # Download the sample files into `configure-pod-container/configmap/` directory
+wget https://kubernetes.io/examples/configmap/game.properties -O configure-pod-container/configmap/game.properties
+wget https://kubernetes.io/examples/configmap/ui.properties -O configure-pod-container/configmap/ui.properties
+
 # Create the configmap
+kubectl create configmap game-config --from-file=configure-pod-container/configmap/ -->
+
 ```shell
 # 创建本地目录
 mkdir -p configure-pod-container/configmap/
@@ -242,7 +249,7 @@ allowed="true" -->
 #   env 文件中的每一行必须为 VAR = VAL 格式。
 #   以＃开头的行(即注释)将被忽略。
 #   空行将被忽略。
-#   引号没有特殊处理(即它们将成为 ConfigMap 值的一部分)。 
+#   引号没有特殊处理(即它们将成为 ConfigMap 值的一部分)。
 
 # 将样本文件下载到 `configure-pod-container/configmap/` 目录
 wget https://kubernetes.io/examples/configmap/game-env-file.properties -O configure-pod-container/configmap/game-env-file.properties
@@ -527,6 +534,7 @@ configmap/game-config-5-m67dt67794 created
 <!-- To generate a ConfigMap from literals `special.type=charm` and `special.how=very`,
 you can specify the ConfigMap generator in `kusotmization.yaml` as -->
 要从文字 `special.type=charm` 和 `special.how=very` 生成 ConfigMap，可以在 `kusotmization.yaml` 中将 ConfigMap 生成器指定。
+
 <!-- ```shell
 # Create a kustomization.yaml file with ConfigMapGenerator
 cat <<EOF >./kustomization.yaml
@@ -537,6 +545,7 @@ configMapGenerator:
   - special.type=charm
 EOF
 ``` -->
+
 ```shell
 # 使用 ConfigMapGenerator 创建 kustomization.yaml 文件
 cat <<EOF >./kustomization.yaml

From ee049c4431b841001172539dff26ec590eefbeee Mon Sep 17 00:00:00 2001
From: "Yuk, Yongsu" <ysyukr@gmail.com>
Date: Sat, 7 Mar 2020 14:05:34 +0900
Subject: [PATCH 13/19] Update to Outdated files in dev-1.17-ko.6 branch.
 (#19368)

* Update to Outdated files in dev-1.17-ko.6 branch.

* Apply suggestions from code review

Co-Authored-By: Seokho Son <shsongist@gmail.com>

Co-authored-by: Seokho Son <shsongist@gmail.com>
---
 .../ko/docs/concepts/architecture/nodes.md    |  4 +-
 .../docs/concepts/configuration/overview.md   |  4 +-
 content/ko/docs/concepts/containers/images.md | 15 ++--
 .../overview/working-with-objects/names.md    | 33 +++++++-
 .../concepts/services-networking/ingress.md   |  2 +-
 .../workloads/controllers/cron-jobs.md        | 11 ++-
 .../workloads/controllers/replicaset.md       | 82 +++++++++----------
 .../workloads/controllers/ttlafterfinished.md |  4 +-
 content/ko/docs/contribute/participating.md   | 11 +--
 content/ko/docs/tasks/_index.md               |  4 -
 .../configure-access-multiple-clusters.md     |  4 +-
 .../tutorials/online-training/overview.md     |  2 -
 12 files changed, 103 insertions(+), 73 deletions(-)

diff --git a/content/ko/docs/concepts/architecture/nodes.md b/content/ko/docs/concepts/architecture/nodes.md
index f9c28cee9c135..a94a81a0cbdc9 100644
--- a/content/ko/docs/concepts/architecture/nodes.md
+++ b/content/ko/docs/concepts/architecture/nodes.md
@@ -184,7 +184,7 @@ kubelet은 `NodeStatus` 와 리스 오브젝트를 생성하고 업데이트 할
 #### 안정성
 
 쿠버네티스 1.4에서, 대량의 노드들이 마스터 접근에 
-문제를 지닐 경우 (예를 들어 마스터에 네트워크 문제가 발생했기 때문에) 
+문제를 지닐 경우 (예를 들어 마스터에 네트워크 문제들이 발생했기 때문에) 
 더 개선된 문제 해결을 하도록 노드 컨트롤러의 로직을 업데이트 했다. 1.4를 시작으로, 
 노드 컨트롤러는 파드 축출에 대한 결정을 내릴 경우 클러스터 
 내 모든 노드를 살핀다.
@@ -210,7 +210,7 @@ kubelet은 `NodeStatus` 와 리스 오브젝트를 생성하고 업데이트 할
 노드가 가용성 영역들에 걸쳐 퍼져 있는 주된 이유는 하나의 전체 영역이 
 장애가 발생할 경우 워크로드가 상태 양호한 영역으로 이전되어질 수 있도록 하기 위해서이다. 
 그러므로, 하나의 영역 내 모든 노드들이 상태가 불량하면 노드 컨트롤러는 
-정상 비율 `--node-eviction-rate`로 축출한다. 코너 케이스란 모든 영역이 
+`--node-eviction-rate` 의 정상 비율로 축출한다. 코너 케이스란 모든 영역이 
 완전히 상태불량 (즉 클러스터 내 양호한 노드가 없는 경우) 한 경우이다. 
 이러한 경우, 노드 컨트롤러는 마스터 연결에 문제가 있어 일부 연결이 
 복원될 때까지 모든 축출을 중지하는 것으로 여긴다.
diff --git a/content/ko/docs/concepts/configuration/overview.md b/content/ko/docs/concepts/configuration/overview.md
index 794f46d079b60..1bcb7362d6593 100644
--- a/content/ko/docs/concepts/configuration/overview.md
+++ b/content/ko/docs/concepts/configuration/overview.md
@@ -28,7 +28,7 @@ weight: 10
 - 더 나은 인트로스펙션(introspection)을 위해서, 어노테이션에 오브젝트의 설명을 넣는다.
 
 
-## "단독(Naked)" 파드 vs 레플리카 셋, 디플로이먼트, 그리고 잡
+## "단독(Naked)" 파드 vs 레플리카 셋, 디플로이먼트, 그리고 잡 {#naked-pods-vs-replicasets-deployments-and-jobs}
 
 - 가능하다면 단독 파드(즉, [레플리카 셋](/ko/docs/concepts/workloads/controllers/replicaset/)이나 [디플로이먼트](/ko/docs/concepts/workloads/controllers/deployment/)에 연결되지 않은 파드)를 사용하지 않는다. 단독 파드는 노드 장애 이벤트가 발생해도 다시 스케줄링되지 않는다.
 
@@ -85,7 +85,7 @@ DNS 서버는 새로운 `서비스`를 위한 쿠버네티스 API를 Watch하며
 - `imagePullPolicy: Never`: 이미지가 로컬에 존재한다고 가정한다. 이미지를 풀(Pull) 하기 위해 시도하지 않는다.
 
 {{< note >}}
-컨테이너가 항상 같은 버전의 이미지를 사용하도록 만들기 위해, `sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2`와 같은 이미지의 [다이제스트](https://docs.docker.com/engine/reference/commandline/pull/#pull-an-image-by-digest-immutable-identifier)를 명시할 수 있다. 다이제스트는 특정 버전의 이미지를 고유하게 식별하며, 다이제스트 값을 변경하지 않는 한 쿠버네티스에 의해 절대로 변경되지 않는다.
+컨테이너가 항상 같은 버전의 이미지를 사용하도록 하기 위해, `<이미지 이름>:<태그>` 를 `<이미지 이름>@<다이제스트>` (예시 `image@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2`)로 변경해서 이미지의 [다이제스트](https://docs.docker.com/engine/reference/commandline/pull/#pull-an-image-by-digest-immutable-identifier)를 명시할 수 있다. 다이제스트는 특정 버전의 이미지를 고유하게 식별하며, 다이제스트 값을 변경하지 않는 한 쿠버네티스에 의해 절대로 변경되지 않는다.
 {{< /note >}}
 
 {{< note >}}
diff --git a/content/ko/docs/concepts/containers/images.md b/content/ko/docs/concepts/containers/images.md
index 3bc71c53c82f3..615e84dc40c38 100644
--- a/content/ko/docs/concepts/containers/images.md
+++ b/content/ko/docs/concepts/containers/images.md
@@ -64,6 +64,7 @@ Docker *18.06 또는 그 이상* 을 사용하길 바란다. 더 낮은 버전
     - IAM 역할과 정책을 사용하여 OCIR 저장소에 접근을 제어함
   - Azure 컨테이너 레지스트리(ACR) 사용
   - IBM 클라우드 컨테이너 레지스트리 사용
+    - IAM 역할 및 정책을 사용하여 IBM 클라우드 컨테이너 레지스트리에 대한 접근 권한 부여
   - 프라이빗 레지스트리에 대한 인증을 위한 노드 구성
     - 모든 파드는 구성된 프라이빗 레지스트리를 읽을 수 있음
     - 클러스터 관리자에 의한 노드 구성 필요
@@ -85,8 +86,9 @@ Docker *18.06 또는 그 이상* 을 사용하길 바란다. 더 낮은 버전
 
 클러스터 내에서 모든 파드는 해당 레지스트리에 있는 이미지에 읽기 접근 권한을 가질 것이다.
 
-Kubelet은 해당 인스턴스의 Google 서비스 계정을 이용하여 GCR을 인증할 것이다.
-인스턴스의 서비스 계정은 `https://www.googleapis.com/auth/devstorage.read_only`라서,
+Kubelet은 해당 인스턴스의 Google 서비스 계정을 이용하여
+GCR을 인증할 것이다. 인스턴스의 서비스 계정은
+`https://www.googleapis.com/auth/devstorage.read_only`라서,
 프로젝트의 GCR로부터 풀은 할 수 있지만 푸시는 할 수 없다.
 
 ### Amazon Elastic Container Registry 사용
@@ -144,12 +146,11 @@ kubelet은 ECR 자격 증명을 가져오고 주기적으로 갱신할 것이다
 [쿠버네티스 시크릿을 구성하고 그것을 파드 디플로이를 위해서 사용](/ko/docs/concepts/containers/images/#파드에-imagepullsecrets-명시)할 수 있다.
 
 ### IBM 클라우드 컨테이너 레지스트리 사용
-IBM 클라우드 컨테이너 레지스트리는 멀티-테넌트 프라이빗 이미지 레지스트리를 제공하여 사용자가 Docker 이미지를 안전하게 저장하고 공유할 수 있도록 한다. 기본적으로, 
-프라이빗 레지스트리의 이미지는 통합된 취약점 조언기(Vulnerability Advisor)를 통해 조사되어 보안 이슈와 잠재적 취약성을 검출한다. IBM 클라우드 계정의 모든 사용자가 이미지에 접근할 수 있도록 하거나, 레지스트리 네임스페이스에 접근을 승인하는 토큰을 생성할 수 있다.
+IBM 클라우드 컨테이너 레지스트리는 멀티-테넌트 프라이빗 이미지 레지스트리를 제공하여 사용자가 이미지를 안전하게 저장하고 공유할 수 있도록 한다. 기본적으로, 프라이빗 레지스트리의 이미지는 통합된 취약점 조언기(Vulnerability Advisor)를 통해 조사되어 보안 이슈와 잠재적 취약성을 검출한다. IBM 클라우드 계정의 모든 사용자가 이미지에 접근할 수 있도록 하거나, IAM 역할과 정책으로 IBM 클라우드 컨테이너 레지스트리 네임스페이스의 접근 권한을 부여해서 사용할 수 있다.
 
-IBM 클라우드 컨테이너 레지스트리 CLI 플러그인을 설치하고 사용자 이미지를 위한 네임스페이스를 생성하기 위해서는, [IBM 클라우드 컨테이너 레지스트리 시작하기](https://cloud.ibm.com/docs/services/Registry?topic=registry-getting-started)를 참고한다.
+IBM 클라우드 컨테이너 레지스트리 CLI 플러그인을 설치하고 사용자 이미지를 위한 네임스페이스를 생성하기 위해서는, [IBM 클라우드 컨테이너 레지스트리 시작하기](https://cloud.ibm.com/docs/Registry?topic=registry-getting-started)를 참고한다.
 
-[IBM 클라우드 퍼블릭 이미지](https://cloud.ibm.com/docs/services/Registry?topic=registry-public_images) 및 사용자의 프라이빗 이미지로부터 컨테이너를 사용자의 IBM 클라우드 쿠버네티스 서비스 클러스터의 `default` 네임스페이스에 디플로이하기 위해서 IBM 클라우드 컨테이너 레지스트리를 사용하면 된다. 컨테이너를 다른 네임스페이스에 디플로이하거나, 다른 IBM 클라우드 컨테이너 레지스트리 지역 또는 IBM 클라우드 계정을 사용하기 위해서는, 쿠버네티스 `imagePullSecret`를 생성한다. 더 자세한 정보는, [이미지로부터 컨테이너 빌드하기](https://cloud.ibm.com/docs/containers?topic=containers-images)를 참고한다.
+다른 추가적인 구성이 없는 IBM 클라우드 쿠버네티스 서비스 클러스터의 IBM 클라우드 컨테이너 레지스트리 내 기본 네임스페이스에 저장되어 있는 배포된 이미지를 동일 계정과 동일 지역에서 사용하려면 [이미지로부터 컨테이너 빌드하기](https://cloud.ibm.com/docs/containers?topic=containers-images)를 본다. 다른 구성 옵션에 대한 것은 [레지스트리부터 클러스터에 이미지를 가져오도록 권한을 부여하는 방법 이해하기](https://cloud.ibm.com/docs/containers?topic=containers-registry#cluster_registry_auth)를 본다.
 
 ### 프라이빗 레지스트리에 대한 인증을 위한 노드 구성
 
@@ -239,6 +240,7 @@ kubectl describe pods/private-image-test-1 | grep 'Failed'
   Fri, 26 Jun 2015 15:36:13 -0700    Fri, 26 Jun 2015 15:39:13 -0700    19    {kubelet node-i2hq}    spec.containers{uses-private-image}    failed        Failed to pull image "user/privaterepo:v1": Error: image user/privaterepo:v1 not found
 ```
 
+
 클러스터의 모든 노드가 반드시 동일한 `.docker/config.json`를 가져야 한다. 그렇지 않으면, 파드가 
 일부 노드에서만 실행되고 다른 노드에서는 실패할 것이다. 예를 들어, 노드 오토스케일링을 사용한다면, 각 인스턴스 
 템플릿은 `.docker/config.json`을 포함하거나 그것을 포함한 드라이브를 마운트해야 한다.
@@ -362,7 +364,6 @@ imagePullSecrets을 셋팅하여 자동화할 수 있다.
    - 테넌트는 해당 시크릿을 각 네임스페이스의 imagePullSecrets에 추가한다.
 
 
-
 다중 레지스트리에 접근해야 하는 경우, 각 레지스트리에 대해 하나의 시크릿을 생성할 수 있다.
 Kubelet은 모든`imagePullSecrets` 파일을 하나의 가상`.docker / config.json` 파일로 병합한다.
 
diff --git a/content/ko/docs/concepts/overview/working-with-objects/names.md b/content/ko/docs/concepts/overview/working-with-objects/names.md
index 0804c0d425cd6..0ab2681a77022 100644
--- a/content/ko/docs/concepts/overview/working-with-objects/names.md
+++ b/content/ko/docs/concepts/overview/working-with-objects/names.md
@@ -1,5 +1,5 @@
 ---
-title: 이름(Name)
+title: 오브젝트 이름과 ID
 content_template: templates/concept
 weight: 20
 ---
@@ -22,7 +22,35 @@ weight: 20
 
 {{< glossary_definition term_id="name" length="all" >}}
 
-관례에 따라, 쿠버네티스 리소스의 이름은 최대 253자까지 허용되고 소문자 알파벳과 숫자(alphanumeric), `-`, 그리고 `.`로 구성되며 특정 리소스는 보다 구체적인 제약을 갖는다.
+다음은 리소스에 일반적으로 사용되는 세가지 유형의 이름 제한 조건이다.
+
+### DNS 서브도메인 이름들
+
+대부분의 리소스 유형에는 [RFC 1123](https://tools.ietf.org/html/rfc1123)에 정의된 대로 
+DNS 서브도메인 이름으로 사용할 수 있는 이름이 필요하다.
+이것은 이름이 다음을 충족해야 한다는 것을 의미한다.
+
+- 253자를 넘지 말아야 한다.
+- 소문자와 영숫자 `-` 또는 `.` 만 포함한다.
+- 영숫자로 시작한다.
+- 영숫자로 끝난다.
+
+### DNS 레이블 이름
+
+일부 리소스 유형은 [RFC 1123](https://tools.ietf.org/html/rfc1123)에
+정의된 대로 DNS 레이블 표준을 따라야 한다.
+이것은 이름이 다음을 충족해야 한다는 것을 의미한다.
+
+- 최대 63자이다.
+- 소문자와 영숫자 또는 `-` 만 포함한다.
+- 영숫자로 시작한다.
+- 영숫자로 끝난다.
+
+### 경로 세그먼트 이름
+
+일부 리소스 유형에서는 이름을 경로 세그먼트로 안전하게 인코딩 할 수
+있어야 한다. 즉 이름이 "." 또는 ".."이 아닐 수 있으며 이름에는
+"/" 또는 "%"가 포함될 수 없다.
 
 여기 파드의 이름이 `nginx-demo`라는 매니페스트 예시가 있다.
 
@@ -39,6 +67,7 @@ spec:
     - containerPort: 80
 ```
 
+
 {{< note >}}
 일부 리소스 유형은 이름에 추가적인 제약이 있다.
 {{< /note >}}
diff --git a/content/ko/docs/concepts/services-networking/ingress.md b/content/ko/docs/concepts/services-networking/ingress.md
index 793a1520e322a..64d610a49944b 100644
--- a/content/ko/docs/concepts/services-networking/ingress.md
+++ b/content/ko/docs/concepts/services-networking/ingress.md
@@ -334,7 +334,7 @@ spec:
 {{< note >}}
 TLS 기능을 제공하는 다양한 인그레스 컨트롤러간의 기능
 차이가 있다. 사용자 환경에서의 TLS의 작동 방식을 이해하려면
-[nginx](https://git.k8s.io/ingress-nginx/README.md#https),
+[nginx](https://kubernetes.github.io/ingress-nginx/user-guide/tls/),
 [GCE](https://git.k8s.io/ingress-gce/README.md#frontend-https) 또는 기타
 플랫폼의 특정 인그레스 컨트롤러에 대한 설명서를 참조한다.
 {{< /note >}}
diff --git a/content/ko/docs/concepts/workloads/controllers/cron-jobs.md b/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
index ff76d12f868bf..4e912069ec921 100644
--- a/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
+++ b/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
@@ -13,9 +13,14 @@ _크론 잡은_ 시간 기반의 일정에 따라 [잡](/docs/concepts/workloads
 하나의 크론잡 객체는 _크론탭_ (크론 테이블) 파일의 한 줄과 같다. 크론잡은 잡을 [크론](https://en.wikipedia.org/wiki/Cron)형식으로 쓰여진 주어진 일정에 따라 주기적으로 동작시킨다.
 
 
-{{< note >}}
-모든 **크론잡** `일정:` 시간은 잡이 처음 시작된 마스터의 시간대를 기반으로 한다.
-{{< /note >}}
+{{< caution >}}
+모든 **크론잡** `일정:` 시간은 {{< glossary_tooltip term_id="kube-controller-manager" text="kube-controller-manager" >}}
+의 시간대를 기준으로 한다.
+
+컨트롤 플레인이 파드 또는 베어 컨테이너에서 kube-controller-manager를
+실행하는 경우 kube-controller-manager 컨테이너의 설정된 시간대는 크론 잡 컨트롤러가
+사용하는 시간대로 설정한다.
+{{< /caution >}}
 
 크론잡 리소스에 대한 매니페스트를 생성할때에는 제공하는 이름이
 52자 이하인지 확인해야 한다. 이는 크론잡 컨트롤러는 제공된 잡 이름에
diff --git a/content/ko/docs/concepts/workloads/controllers/replicaset.md b/content/ko/docs/concepts/workloads/controllers/replicaset.md
index f5d199c746578..47b74587aa956 100644
--- a/content/ko/docs/concepts/workloads/controllers/replicaset.md
+++ b/content/ko/docs/concepts/workloads/controllers/replicaset.md
@@ -71,53 +71,50 @@ kubectl describe rs/frontend
 
 출력은 다음과 유사할 것이다.
 ```shell
-Name:		frontend
-Namespace:	default
-Selector:	tier=frontend
-Labels:		app=guestbook
-		tier=frontend
-Annotations:	<none>
-Replicas:	3 current / 3 desired
-Pods Status:	3 Running / 0 Waiting / 0 Succeeded / 0 Failed
+Name:         frontend
+Namespace:    default
+Selector:     tier=frontend
+Labels:       app=guestbook
+              tier=frontend
+Annotations:  kubectl.kubernetes.io/last-applied-configuration:
+                {"apiVersion":"apps/v1","kind":"ReplicaSet","metadata":{"annotations":{},"labels":{"app":"guestbook","tier":"frontend"},"name":"frontend",...
+Replicas:     3 current / 3 desired
+Pods Status:  3 Running / 0 Waiting / 0 Succeeded / 0 Failed
 Pod Template:
-  Labels:       app=guestbook
-                tier=frontend
+  Labels:  tier=frontend
   Containers:
    php-redis:
-    Image:      gcr.io/google_samples/gb-frontend:v3
-    Port:       80/TCP
-    Requests:
-      cpu:      100m
-      memory:   100Mi
-    Environment:
-      GET_HOSTS_FROM:   dns
-    Mounts:             <none>
-  Volumes:              <none>
+    Image:        gcr.io/google_samples/gb-frontend:v3
+    Port:         <none>
+    Host Port:    <none>
+    Environment:  <none>
+    Mounts:       <none>
+  Volumes:        <none>
 Events:
-  FirstSeen    LastSeen    Count    From                SubobjectPath    Type        Reason            Message
-  ---------    --------    -----    ----                -------------    --------    ------            -------
-  1m           1m          1        {replicaset-controller }             Normal      SuccessfulCreate  Created pod: frontend-qhloh
-  1m           1m          1        {replicaset-controller }             Normal      SuccessfulCreate  Created pod: frontend-dnjpy
-  1m           1m          1        {replicaset-controller }             Normal      SuccessfulCreate  Created pod: frontend-9si5l
+  Type    Reason            Age   From                   Message
+  ----    ------            ----  ----                   -------
+  Normal  SuccessfulCreate  117s  replicaset-controller  Created pod: frontend-wtsmm
+  Normal  SuccessfulCreate  116s  replicaset-controller  Created pod: frontend-b2zdv
+  Normal  SuccessfulCreate  116s  replicaset-controller  Created pod: frontend-vcmts
 ```
 
 마지막으로 파드가 올라왔는지 확인할 수 있다.
 ```shell
-kubectl get Pods
+kubectl get pods
 ```
 
 다음과 유사한 파드 정보를 볼 수 있다.
 ```shell
-NAME             READY     STATUS    RESTARTS   AGE
-frontend-9si5l   1/1       Running   0          1m
-frontend-dnjpy   1/1       Running   0          1m
-frontend-qhloh   1/1       Running   0          1m
+NAME             READY   STATUS    RESTARTS   AGE
+frontend-b2zdv   1/1     Running   0          6m36s
+frontend-vcmts   1/1     Running   0          6m36s
+frontend-wtsmm   1/1     Running   0          6m36s
 ```
 
 또한 파드들의 소유자 참조 정보가 해당 프런트엔드 레플리카셋으로 설정되어 있는지 확인할 수 있다.
 확인을 위해서는 실행 중인 파드 중 하나의 yaml을 확인한다.
 ```shell
-kubectl get pods frontend-9si5l -o yaml
+kubectl get pods frontend-b2zdv -o yaml
 ```
 
 메타데이터의 ownerReferences 필드에 설정되어있는 프런트엔드 레플리카셋의 정보가 다음과 유사하게 나오는 것을 볼 수 있다.
@@ -125,11 +122,11 @@ kubectl get pods frontend-9si5l -o yaml
 apiVersion: v1
 kind: Pod
 metadata:
-  creationTimestamp: 2019-01-31T17:20:41Z
+  creationTimestamp: "2020-02-12T07:06:16Z"
   generateName: frontend-
   labels:
     tier: frontend
-  name: frontend-9si5l
+  name: frontend-b2zdv
   namespace: default
   ownerReferences:
   - apiVersion: apps/v1
@@ -137,7 +134,7 @@ metadata:
     controller: true
     kind: ReplicaSet
     name: frontend
-    uid: 892a2330-257c-11e9-aecd-025000000001
+    uid: f391f6db-bb9b-4c09-ae74-6a1f77f3d5cf
 ...
 ```
 
@@ -166,16 +163,17 @@ kubectl apply -f https://kubernetes.io/examples/pods/pod-rs.yaml
 
 파드를 가져온다.
 ```shell
-kubectl get Pods
+kubectl get pods
 ```
 
 결과에는 새로운 파드가 이미 종료되었거나 종료가 진행 중인 것을 보여준다.
 ```shell
 NAME             READY   STATUS        RESTARTS   AGE
-frontend-9si5l   1/1     Running       0          1m
-frontend-dnjpy   1/1     Running       0          1m
-frontend-qhloh   1/1     Running       0          1m
-pod2             0/1     Terminating   0          4s
+frontend-b2zdv   1/1     Running       0          10m
+frontend-vcmts   1/1     Running       0          10m
+frontend-wtsmm   1/1     Running       0          10m
+pod1             0/1     Terminating   0          1s
+pod2             0/1     Terminating   0          1s
 ```
 
 파드를 먼저 생성한다.
@@ -191,15 +189,15 @@ kubectl apply -f https://kubernetes.io/examples/controllers/frontend.yaml
 레플리카셋이 해당 파드를 소유한 것을 볼 수 있으며 새 파드 및 기존 파드의 수가 
 레플리카셋이 필요로 하는 수와 일치할 때까지 사양에 따라 신규 파드만 생성한다. 파드를 가져온다.
 ```shell
-kubectl get Pods
+kubectl get pods
 ```
 
 다음 출력에서 볼 수 있다.
 ```shell
 NAME             READY   STATUS    RESTARTS   AGE
-frontend-pxj4r   1/1     Running   0          5s
-pod1             1/1     Running   0          13s
-pod2             1/1     Running   0          13s
+frontend-hmmj2   1/1     Running   0          9s
+pod1             1/1     Running   0          36s
+pod2             1/1     Running   0          36s
 ```
 
 이러한 방식으로 레플리카셋은 템플릿을 사용하지 않는 파드를 소유하게 된다.
diff --git a/content/ko/docs/concepts/workloads/controllers/ttlafterfinished.md b/content/ko/docs/concepts/workloads/controllers/ttlafterfinished.md
index ff6cc0284f22d..48a8bdb303db2 100644
--- a/content/ko/docs/concepts/workloads/controllers/ttlafterfinished.md
+++ b/content/ko/docs/concepts/workloads/controllers/ttlafterfinished.md
@@ -33,8 +33,8 @@ TTL 컨트롤러는 실행이 완료된 리소스 오브젝트의 수명을
 완료된 잡(`완료` 또는 `실패`)을 자동으로 정리하기 위해 이 기능을 사용할 수 있다.
 리소스의 작업이 완료된 TTL 초(sec) 후 (다른 말로는, TTL이 만료되었을 때),
 TTL 컨트롤러는 해당 리소스가 정리될 수 있다고 가정한다.
-TTL 컨트롤러가 리소스를 정리할때 리소스를 연속적으로 삭제한다. 즉,
-의존하는 오브젝트와 함께 삭제한다. 리소스가 삭제되면 완료자(finalizers)와
+TTL 컨트롤러가 리소스를 정리할때 리소스를 연속적으로 삭제한다. 이는
+의존하는 오브젝트도 해당 리소스와 함께 삭제되는 것을 의미한다. 리소스가 삭제되면 완료자(finalizers)와
 같은 라이프 사이클 보증이 적용 된다.
 
 TTL 초(sec)는 언제든지 설정이 가능하다. 여기에 잡 필드 중
diff --git a/content/ko/docs/contribute/participating.md b/content/ko/docs/contribute/participating.md
index 88db56aa340d0..f1abbfc27c9e7 100644
--- a/content/ko/docs/contribute/participating.md
+++ b/content/ko/docs/contribute/participating.md
@@ -24,6 +24,7 @@ SIG Docs는 모든 컨트리뷰터의 콘텐츠와 리뷰를 환영한다.
 쿠버네티스 커뮤니티 내에서 멤버십이 운영되는 방식에 대한 보다 많은 정보를 확인하려면
 [커뮤니티 멤버십](https://github.com/kubernetes/community/blob/master/community-membership.md)
 문서를 확인한다.
+
 문서의 나머지에서는 대외적으로 쿠버네티스를 가장 잘 드러내는 수단 중 하나인 쿠버네티스 웹사이트와
 문서를 관리하는 책임을 가지는 SIG Docs에서,
 이런 체계가 작동하는 특유의 방식에 대한 윤곽을 잡아보겠다.
@@ -52,7 +53,8 @@ SIG Docs는 모든 컨트리뷰터의 콘텐츠와 리뷰를 환영한다.
 누구나 다음 작업을 할 수 있다.
 
 - 문서를 포함한 쿠버네티스의 모든 부분에 대해 GitHub 이슈 열기.
-- 풀 리퀘스트/ 에 대한 구속력 없는 피드백 제공
+- 풀 리퀘스트에 대한 구속력 없는 피드백 제공
+- 기존 컨텐츠를 현지화하는데 도움주는 것
 - [슬랙](http://slack.k8s.io/) 또는 [SIG docs 메일링 리스트](https://groups.google.com/forum/#!forum/kubernetes-sig-docs)에 개선할 아이디어를 제시한다.
 - `/lgtm` Prow 명령 ("looks good to me" 의 줄임말)을 사용해서 병합을 위한 풀 리퀘스트의 변경을 추천한다.
   {{< note >}}
@@ -120,7 +122,6 @@ GitHub 그룹의 멤버이다. 리뷰어는 문서 풀 리퀘스트를 리뷰하
 - 이슈 해결 및 분류
 - 풀 리퀘스트 리뷰와 구속력있는 피드백 제공
 - 다이어그램, 그래픽 자산과 포함가능한 스크린샷과 비디오를 생성
-- 현지화
 - 코드에서 사용자 화면 문자열 편집
 - 코드 코멘트 개선
 
@@ -166,7 +167,7 @@ GitHub 그룹에 당신을 추가하기를 요청한다. `kubernetes-website-adm
 
 승인자는
 [@kubernetes/sig-docs-maintainers](https://github.com/orgs/kubernetes/teams/sig-docs-maintainers)
-GitHub 그룹의 멤버이다. [SIG Docs의 팀과 그룹](#teams-and-groups-within-sig-docs) 문서를 참조한다.
+GitHub 그룹의 멤버이다. [SIG Docs 팀과 자동화](#sig-docs-팀과-자동화) 문서를 참조한다.
 
 승인자는 다음의 작업을 할 수 있다.
 
@@ -225,7 +226,7 @@ GitHub 그룹에 당신을 추가하기를 요청한다. `kubernetes-website-adm
 것으로 기대한다. [일주일 간 PR Wrangler 되기](/docs/contribute/advanced#be-the-pr-wrangler-for-a-week)
 문서를 참고한다.
 
-## SIG Docs chairperson
+## SIG Docs 의장
 
 SIG Docs를 포함한 각 SIG는, 한 명 이상의 SIG 멤버가 의장 역할을 하도록 선정한다. 이들은 SIG Docs와
 다른 쿠버네티스 조직 간 연락책(point of contact)이 된다. 이들은 쿠버네티스 프로젝트 전반의 조직과
@@ -297,7 +298,7 @@ PR 소유자에게 조언하는데 활용된다.
 - 모든 쿠버네티스 맴버는 코멘트에 `/lgtm` 을 추가해서 `lgtm` 레이블을 추가할 수 있다.
 - SIG Docs 승인자들만이 코멘트에 `/approve` 를
   추가해서 풀 리퀘스트를 병합할 수 있다. 일부 승인자들은
-  [PR Wrangler](#pr-wrangler) EHsms [SIG Docs 의장](#sig-docs-chairperson)과
+  [PR Wrangler](#pr-wrangler) 또는 [SIG Docs 의장](#sig-docs-의장)과
   같은 특정 역할도 수행한다.
 
 {{% /capture %}}
diff --git a/content/ko/docs/tasks/_index.md b/content/ko/docs/tasks/_index.md
index 4289d0544dbe4..9624c907d30a4 100644
--- a/content/ko/docs/tasks/_index.md
+++ b/content/ko/docs/tasks/_index.md
@@ -57,10 +57,6 @@ content_template: templates/concept
 
 클러스터를 운영하기 위한 일반적인 태스크를 배운다.
 
-## 페더레이션(federation) 운영하기(administering)
-
-클러스터 페더레이션의 컴포넌트들을 구성한다.
-
 ## 스테이트풀 애플리케이션 관리하기
 
 스테이트풀 셋의 스케일링, 삭제하기, 디버깅을 포함하는 스테이트풀 애플리케이션 관리를 위한 일반적인 태스크를 수행한다.
diff --git a/content/ko/docs/tasks/access-application-cluster/configure-access-multiple-clusters.md b/content/ko/docs/tasks/access-application-cluster/configure-access-multiple-clusters.md
index 0a3778288d355..0ab00f5d1c25b 100644
--- a/content/ko/docs/tasks/access-application-cluster/configure-access-multiple-clusters.md
+++ b/content/ko/docs/tasks/access-application-cluster/configure-access-multiple-clusters.md
@@ -86,7 +86,9 @@ kubectl config --kubeconfig=config-demo set-credentials experimenter --username=
 ```
 
 {{< note >}}
-`kubectl config unset users.<name>`을 실행하여 사용자를 삭제할 수 있다.
+- 사용자를 삭제하려면 `kubectl --kubeconfig=config-demo config unset users.<name>` 를 실행한다.
+- 클러스터를 제거하려면 `kubectl --kubeconfig=config-demo config unset clusters.<name>` 를 실행한다.
+- 컨텍스트를 제거하려면 `kubectl --kubeconfig=config-demo config unset contexts.<name>` 를 실행한다.
 {{< /note >}}
 
 컨텍스트 세부사항들을 구성 파일에 추가한다.
diff --git a/content/ko/docs/tutorials/online-training/overview.md b/content/ko/docs/tutorials/online-training/overview.md
index 9a9dfd794b490..44f1c69ddc358 100644
--- a/content/ko/docs/tutorials/online-training/overview.md
+++ b/content/ko/docs/tutorials/online-training/overview.md
@@ -39,8 +39,6 @@ content_template: templates/concept
 
 * [Hands-on Introduction to Kubernetes (Instruqt)](https://play.instruqt.com/public/topics/getting-started-with-kubernetes)
 
-* [IBM Cloud: Deploying Microservices with Kubernetes (Coursera)](https://www.coursera.org/learn/deploy-micro-kube-ibm-cloud)
-
 * [Introduction to Kubernetes (edX)](https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x)
 
 * [Kubernetes Essentials with Hands-On Labs (Linux Academy)] (https://linuxacademy.com/linux/training/course/name/kubernetes-essentials)

From b68978c959ecf7337b334023aa7fc73587bc7363 Mon Sep 17 00:00:00 2001
From: Sophy417 <53026875+Sophy417@users.noreply.github.com>
Date: Sat, 7 Mar 2020 14:35:34 +0800
Subject: [PATCH 14/19] Create proxy.md (#19510)

---
 content/zh/docs/reference/glossary/proxy.md | 55 +++++++++++++++++++++
 1 file changed, 55 insertions(+)
 create mode 100644 content/zh/docs/reference/glossary/proxy.md

diff --git a/content/zh/docs/reference/glossary/proxy.md b/content/zh/docs/reference/glossary/proxy.md
new file mode 100644
index 0000000000000..e8ab669393c2f
--- /dev/null
+++ b/content/zh/docs/reference/glossary/proxy.md
@@ -0,0 +1,55 @@
+---
+title: 代理
+id: proxy
+date: 2019-09-10
+short_description: >
+  充当客户端和服务器之间的中介的应用程序
+
+aka:
+tags:
+- networking
+---
+<!--
+---
+title: Proxy
+id: proxy
+date: 2019-09-10
+short_description: >
+  An application acting as an intermediary beween clients and servers
+
+aka:
+tags:
+- networking
+---
+-->
+<!--
+ In computing, a proxy is a server that acts as an intermediary for a remote
+service.
+-->
+在计算机领域，代理指的是充当远程服务中介的服务器。
+
+
+<!--more-->
+
+<!--
+A client interacts with the proxy; the proxy copies the client's data to the
+actual server; the actual server replies to the proxy; the proxy sends the
+actual server's reply to the client.
+-->
+客户端与代理进行交互；代理将客户端的数据复制到实际服务器；实际服务器回复代理；代理将实际服务器的回复发送给客户端。
+
+<!--
+[kube-proxy](/docs/reference/command-line-tools-reference/kube-proxy/) is a
+network proxy that runs on each node in your cluster, implementing part of
+the Kubernetes {{< glossary_tooltip term_id="service">}} concept.
+-->
+[kube-proxy](/docs/reference/command-line-tools-reference/kube-proxy/) 是集群中每个节点上运行的网络代理，实现了部分 Kubernetes {{< glossary_tooltip term_id="service">}} 概念。
+
+<!--
+You can run kube-proxy as a plain userland proxy service. If your operating
+system supports it, you can instead run kube-proxy in a hybrid mode that
+achieves the same overall effect using less system resources.
+-->
+你可以将 kube-proxy 作为普通的用户态代理服务运行。
+如果你的操作系统支持，则可以在混合模式下运行 kube-proxy；该模式使用较少的系统资源即可达到相同的总体效果。
+

From 8f371f4c84b4122d98c10021282bb0c3f6a2467d Mon Sep 17 00:00:00 2001
From: bryan <fancc24@vip.qq.com>
Date: Sat, 7 Mar 2020 16:43:34 +0800
Subject: [PATCH 15/19] Add zh translation of `Metrics For The Kubernetes
 Control Plane` (#19403)

* Add zh translation of

* update some translations

* resolve conversation

* resolve conversation
---
 .../cluster-administration/monitoring.md      | 222 ++++++++++++++++++
 1 file changed, 222 insertions(+)
 create mode 100644 content/zh/docs/concepts/cluster-administration/monitoring.md

diff --git a/content/zh/docs/concepts/cluster-administration/monitoring.md b/content/zh/docs/concepts/cluster-administration/monitoring.md
new file mode 100644
index 0000000000000..b2ff727eac241
--- /dev/null
+++ b/content/zh/docs/concepts/cluster-administration/monitoring.md
@@ -0,0 +1,222 @@
+---
+title: Kubernetes 控制面板的指标
+content_template: templates/concept
+weight: 60
+---
+
+{{% capture overview %}}
+
+<!--
+System component metrics can give a better look into what is happening inside them. Metrics are particularly useful for building dashboards and alerts.
+
+Metrics in Kubernetes control plane are emitted in [prometheus format](https://prometheus.io/docs/instrumenting/exposition_formats/) and are human readable.
+-->
+
+系统组件的指标可以让我们更好的看清系统内部究竟发生了什么，尤其对于构建仪表盘和告警都非常有用。
+
+Kubernetes 控制面板中的指标是以 [prometheus](https://prometheus.io/docs/instrumenting/exposition_formats/) 格式发出的，而且是易于阅读的。
+
+{{% /capture %}}
+
+{{% capture body %}}
+
+<!--
+## Metrics in Kubernetes
+In most cases metrics are available on `/metrics` endpoint of the HTTP server. For components that doesn't expose endpoint by default it can be enabled using `--bind-address` flag.
+-->
+
+## Kubernetes 的指标
+
+在大多数情况下，指标在 HTTP 服务器的 `/metrics` 端点使用，对于默认情况下不暴露端点的组件，可以使用 `--bind-address` 参数启用。
+
+<!--
+Examples of those components:
+-->
+
+举例下面这些组件：
+
+* {{< glossary_tooltip term_id="kube-controller-manager" text="kube-controller-manager" >}}
+* {{< glossary_tooltip term_id="kube-proxy" text="kube-proxy" >}}
+* {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}}
+* {{< glossary_tooltip term_id="kube-scheduler" text="kube-scheduler" >}}
+* {{< glossary_tooltip term_id="kubelet" text="kubelet" >}}
+
+<!--
+In a production environment you may want to configure [Prometheus Server](https://prometheus.io/) or some other metrics scraper
+to periodically gather these metrics and make them available in some kind of time series database.
+
+Note that {{< glossary_tooltip term_id="kubelet" text="kubelet" >}} also exposes metrics in `/metrics/cadvisor`, `/metrics/resource` and `/metrics/probes` endpoints. Those metrics do not have same lifecycle.
+
+If your cluster uses {{< glossary_tooltip term_id="rbac" text="RBAC" >}}, reading metrics requires authorization via a user, group or ServiceAccount with a ClusterRole that allows accessing `/metrics`.
+For example:
+-->
+
+在生产环境中，你可能需要配置 [Prometheus Server](https://prometheus.io/) 或其他指标收集器来定期收集这些指标，并使它们在某种时间序列数据库中可用。
+
+请注意 {{< glossary_tooltip term_id="kubelet" text="kubelet" >}} 同样在 `/metrics/cadvisor`、`/metrics/resource` 和 `/metrics/probes`  等端点提供性能指标。这些指标的生命周期并不相同。
+
+如果你的集群还使用了 {{< glossary_tooltip term_id="rbac" text="RBAC" >}} ，那读取指标数据的时候，还需要通过具有 ClusterRole 的用户、组或者 ServiceAccount 来进行授权，才有权限访问 `/metrics` 。
+
+举例：
+
+```
+apiVersion: rbac.authorization.k8s.io/v1	
+kind: ClusterRole	
+metadata:	
+  name: prometheus	
+rules:	
+  - nonResourceURLs:	
+      - "/metrics"	
+    verbs:	
+      - get
+```
+
+<!--
+## Metric lifecycle
+Alpha metric →  Stable metric →  Deprecated metric →  Hidden metric → Deletion
+
+Alpha metrics have no stability guarantees; as such they can be modified or deleted at any time.
+
+Stable metrics can be guaranteed to not change; Specifically, stability means:
+-->
+
+## 指标的生命周期
+
+内测版指标 → 稳定版指标 → 弃用指标 → 隐藏指标 → 删除
+
+内测版指标没有任何稳定性保证，因此可能随时被修改或删除。
+
+稳定版指标可以保证不会改变，具体的说，稳定就意味着：
+
+<!--
+* the metric itself will not be deleted (or renamed)
+* the type of metric will not be modified
+-->
+
+* 这个指标自身不会被删除或者重命名。
+* 这个指标类型不会被更改
+
+<!--
+Deprecated metric signal that the metric will eventually be deleted; to find which version, you need to check annotation, which includes from which kubernetes version that metric will be considered deprecated.
+
+Before deprecation:
+-->
+
+弃用指标表明这个指标最终将会被删除，要想查找是哪个版本，你需要检查其注释，注释中包括该指标从哪个 kubernetes 版本被弃用。
+
+指标弃用前：
+
+```
+# HELP some_counter this counts things
+# TYPE some_counter counter
+some_counter 0
+```
+
+<!--
+After deprecation:
+-->
+
+指标弃用后：
+
+```
+# HELP some_counter (Deprecated since 1.15.0) this counts things
+# TYPE some_counter counter
+some_counter 0
+```
+
+<!--
+Once a metric is hidden then by default the metrics is not published for scraping. To use a hidden metric, you need to override the configuration for the relevant cluster component.
+
+Once a metric is deleted, the metric is not published. You cannot change this using an override.
+-->
+
+一个指标一旦被隐藏，默认这个指标是不会发布来被抓取的。如果你想要使用这个隐藏指标，你需要覆盖相关集群组件的配置。
+
+一个指标一旦被删除，那这个指标就不会被发布，您也不可以通过覆盖配置来进行更改。
+
+<!--
+## Show Hidden Metrics
+
+As described above, admins can enable hidden metrics through a command-line flag on a specific binary. This intends to be used as an escape hatch for admins if they missed the migration of the metrics deprecated in the last release.
+
+The flag `show-hidden-metrics-for-version` takes a version for which you want to show metrics deprecated in that release. The version is expressed as x.y, where x is the major version, y is the minor version. The patch version is not needed even though a metrics can be deprecated in a patch release, the reason for that is the metrics deprecation policy runs against the minor release.
+
+The flag can only take the previous minor version as it's value. All metrics hidden in previous will be emitted if admins set the previous version to `show-hidden-metrics-for-version`. The too old version is not allowed because this violates the metrics deprecated policy.
+
+Take metric `A` as an example, here assumed that `A` is deprecated in 1.n. According to metrics deprecated policy, we can reach the following conclusion:
+-->
+
+## 显示隐藏指标
+
+综上所述，管理员可以通过在运行可执行文件时添加一些特定的参数来开启一些隐藏的指标。当管理员错过了之前版本的的一些已弃用的指标时，这个可被视作是一个后门。
+
+`show-hidden-metrics-for-version` 参数可以指定一个版本，用来显示这个版本中被隐藏的指标。这个版本号形式是x.y，x 是主要版本号，y 是次要版本号。补丁版本并不是必须的，尽管在一些补丁版本中也会有一些指标会被弃用，因为指标弃用策略主要是针对次要版本。
+
+这个参数只能使用上一版本作为其值，如果管理员将上一版本设置为 `show-hidden-metrics-for-version` 的值，那么就会显示上一版本所有被隐藏的指标，太老的版本是不允许的，因为这不符合指标弃用策略。
+
+以指标 `A` 为例，这里假设 `A` 指标在 1.n 版本中被弃用，根据指标弃用策略，我们可以得出以下结论：
+
+<!--
+* In release `1.n`, the metric is deprecated, and it can be emitted by default.
+* In release `1.n+1`, the metric is hidden by default and it can be emitted by command line `show-hidden-metrics-for-version=1.n`.
+* In release `1.n+2`, the metric should be removed from the codebase. No escape hatch anymore.
+
+If you're upgrading from release `1.12` to `1.13`, but still depend on a metric `A` deprecated in `1.12`, you should set hidden metrics via command line: `--show-hidden-metrics=1.12` and remember to remove this metric dependency before upgrading to `1.14`
+-->
+
+* 在 `1.n` 版本中，这个指标被弃用，并且默认情况下，这个指标还是可以发出.
+* 在 `1.n+1` 版本中，这个指标默认被隐藏，你可以通过设置参数 `show-hidden-metrics-for-version=1.n` 来使它可以被发出.
+* 在 `1.n+2` 版本中，这个指标就被从代码库中删除，也不会再有后门了.
+
+如果你想要从 `1.12` 版本升级到 `1.13` ，但仍然需要依赖指标 `A` ，你可以通过命令行设置隐藏指标 `--show-hidden-metrics=1.12` ，但是在升级到 `1.14`时就必须要删除这个指标的依赖，因为这个版本中这个指标已经被删除了。
+
+<!--
+## Component metrics
+
+### kube-controller-manager metrics
+
+Controller manager metrics provide important insight into the performance and health of the controller manager.
+These metrics include common Go language runtime metrics such as go_routine count and controller specific metrics such as
+etcd request latencies or Cloudprovider (AWS, GCE, OpenStack) API latencies that can be used
+to gauge the health of a cluster.
+
+Starting from Kubernetes 1.7, detailed Cloudprovider metrics are available for storage operations for GCE, AWS, Vsphere and OpenStack.
+These metrics can be used to monitor health of persistent volume operations.
+
+For example, for GCE these metrics are called:
+-->
+
+## 组件指标
+
+### kube-controller-manager 指标
+
+控制器管理器指标提供了有关控制器管理器性能和运行状况的重要见解。这些指标包括常见的一些 Go 语言运行时的重要指标（比如 go_routine 的数量）和一些控制器的特定指标（比如 etcd 的请求时延），还有一些云供应商（比如 AWS、GCE、OpenStack）的 API 请求延迟，用来评估集群的整体运行状况。
+
+从 Kubernetes 1.7 开始，详细的云供应商指标便可用于 GCE、 AWS、Vsphere 和 OpenStack 的存储操作，这些指标可用于监控持久卷运行时的健康状况。
+
+举例，GCE 的这些指标是这些：
+
+```
+cloudprovider_gce_api_request_duration_seconds { request = "instance_list"}
+cloudprovider_gce_api_request_duration_seconds { request = "disk_insert"}
+cloudprovider_gce_api_request_duration_seconds { request = "disk_delete"}
+cloudprovider_gce_api_request_duration_seconds { request = "attach_disk"}
+cloudprovider_gce_api_request_duration_seconds { request = "detach_disk"}
+cloudprovider_gce_api_request_duration_seconds { request = "list_disk"}
+```
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+<!--
+* Read about the [Prometheus text format](https://github.com/prometheus/docs/blob/master/content/docs/instrumenting/exposition_formats.md#text-based-format) for metrics
+* See the list of [stable Kubernetes metrics](https://github.com/kubernetes/kubernetes/blob/master/test/instrumentation/testdata/stable-metrics-list.yaml)
+* Read about the [Kubernetes deprecation policy](https://kubernetes.io/docs/reference/using-api/deprecation-policy/#deprecating-a-feature-or-behavior )
+-->
+
+* 了解有关 [Prometheus 指标相关的文本格式](https://github.com/prometheus/docs/blob/master/content/docs/instrumenting/exposition_formats.md#text-based-format)
+* 查看 [Kubernetes 稳定版指标](https://github.com/kubernetes/kubernetes/blob/master/test/instrumentation/testdata/stable-metrics-list.yaml)列表
+* 了解有关 [Kubernetes 指标弃用策略](https://kubernetes.io/docs/reference/using-api/deprecation-policy/#deprecating-a-feature-or-behavior )
+
+{{% /capture %}}

From 2e55fa8a4732250f4ac347548e466970c36d680a Mon Sep 17 00:00:00 2001
From: Alexey Pyltsyn <lex61rus@gmail.com>
Date: Sat, 7 Mar 2020 11:47:34 +0300
Subject: [PATCH 16/19] Translate Documentation style overview section into
 Russian (#19521)

---
 content/ru/docs/contribute/style/_index.md    |   7 +
 .../ru/docs/contribute/style/content-guide.md | 101 ++++
 .../contribute/style/content-organization.md  | 131 ++++
 .../style/hugo-shortcodes/example1.md         |   9 +
 .../style/hugo-shortcodes/example2.md         |   7 +
 .../contribute/style/hugo-shortcodes/index.md | 245 ++++++++
 .../style/hugo-shortcodes/podtemplate.json    |  22 +
 .../docs/contribute/style/page-templates.md   | 186 ++++++
 .../ru/docs/contribute/style/style-guide.md   | 570 ++++++++++++++++++
 .../docs/contribute/style/write-new-topic.md  | 119 ++++
 10 files changed, 1397 insertions(+)
 create mode 100644 content/ru/docs/contribute/style/_index.md
 create mode 100644 content/ru/docs/contribute/style/content-guide.md
 create mode 100644 content/ru/docs/contribute/style/content-organization.md
 create mode 100644 content/ru/docs/contribute/style/hugo-shortcodes/example1.md
 create mode 100644 content/ru/docs/contribute/style/hugo-shortcodes/example2.md
 create mode 100644 content/ru/docs/contribute/style/hugo-shortcodes/index.md
 create mode 100644 content/ru/docs/contribute/style/hugo-shortcodes/podtemplate.json
 create mode 100644 content/ru/docs/contribute/style/page-templates.md
 create mode 100644 content/ru/docs/contribute/style/style-guide.md
 create mode 100644 content/ru/docs/contribute/style/write-new-topic.md

diff --git a/content/ru/docs/contribute/style/_index.md b/content/ru/docs/contribute/style/_index.md
new file mode 100644
index 0000000000000..57686140c2beb
--- /dev/null
+++ b/content/ru/docs/contribute/style/_index.md
@@ -0,0 +1,7 @@
+---
+title: Обзор оформления документации
+main_menu: true
+weight: 80
+---
+
+Темы в этом разделе содержат рекомендации по написанию, форматированию и организации контента, а также охватывают настройку Hugo в контексте документации Kubernetes.
diff --git a/content/ru/docs/contribute/style/content-guide.md b/content/ru/docs/contribute/style/content-guide.md
new file mode 100644
index 0000000000000..567e3b6dceeed
--- /dev/null
+++ b/content/ru/docs/contribute/style/content-guide.md
@@ -0,0 +1,101 @@
+---
+title: Руководство по содержанию документации
+linktitle: Руководство по содержанию
+content_template: templates/concept
+weight: 10
+card:
+  name: contribute
+  weight: 20
+  title: Руководство по содержанию документации
+---
+
+{{% capture overview %}}
+
+Эта страница содержит рекомендации по добавлению контента в документацию Kubernetes.
+Если у вас есть вопросы по поводу допустимого контента, обратитесь к каналу #sig-docs в [Slack Kubernetes](http://slack.k8s.io/) и задайте свои вопросы! Поступайте на своё усмотрение и не стесняйтесь вносить изменения в этот документ через пулреквест.
+
+Для получения дополнительной информации о создании нового контента для документации Kubernetes следуйте инструкциям в [руководстве по оформлению](/ru/docs/contribute/style/style-guide).
+{{% /capture %}}
+
+{{% capture body %}}
+
+## Участие в контенте
+
+Документация Kubernetes включает содержимое из оригинального репозитория [kubernetes/website](https://github.com/kubernetes/website). Документация Kubernetes находится в директории `kubernetes/website/content/<language_code>/docs`, большая часть которой относится к [проекту Kubernetes](https://github.com/kubernetes/kubernetes). Документация Kubernetes может также включать содержимое их проектов в GitHub-организациях [kubernetes](https://github.com/kubernetes) и [kubernetes-sigs](https://github.com/kubernetes-sigs), если у этих проектов нет собственной документации. Всегда можно ссылаться на действующие проекты kubernetes, kubernetes-sigs и ({{< glossary_tooltip text="CNCF" term_id="cncf" >}}) в документации Kubernetes, но перелинковка с продуктами определённого разработчика не допускается. Проверьте списки проектов CNCF ([Graduated/Incubating](https://www.cncf.io/projects/), [Sandbox](https://www.cncf.io/sandbox-projects/), [Archived](https://www.cncf.io/archived-projects/)), если вы не уверены в статусе CNCF проекта
+
+### Контент, полученный из двух источников
+
+Документация Kubernetes не содержит дублированный контент, полученный из разных мест (так называемый **контент из двумя источниками**). Контент из двух источников требует дублирования работы со стороны мейнтейнеров проекта и к тому же быстро теряет актуальность.
+Перед добавлением контента, задайте себе вопрос:
+
+- Новая информация относится к действующему проекту CNCF ИЛИ проекту в организациях на GitHub kubernetes или kubernetes-sigs?
+    - Если да, то:
+        - У этого проекта есть собственная документация?
+            - если да, то укажите ссылку на документацию проекта в документации Kubernetes
+            - если нет, добавьте информацию в репозиторий проекта (если это возможно), а затем укажите ссылку на неё в документации Kubernetes
+    - Если нет, то:
+        - Остановитесь!
+            - Добавление информации по продуктам от других разработчиков не допускается
+            - Не разрешено ссылаться на документацию и сайты сторонних разработчиков.
+
+### Разрешенная и запрещённая информация
+
+Есть несколько условий, когда в документации Kubernetes может быть информация, относящиеся не к проектам Kubernetes.
+Ниже перечислены основные категории по содержанию проектов, не касающихся к Kubernetes, а также приведены рекомендации о том, что разрешено, а что нет:
+
+1. Инструкции по установке или эксплуатации Kubernetes, которые не связаны с проектами Kubernetes
+    - Разрешено:
+        - Ссылаться на документацию на CNCF-проекта или на проект в GitHub-организациях kubernetes или kubernetes-sigs
+            - Пример: для установки Kubernetes в процессе обучения нужно обязательно установить и настроить minikube, а также сослаться на соответствующую документацию minikube
+        - Добавление инструкций для проектов в организации kubernetes или kubernetes-sigs, если по ним нет инструкций
+            - Пример: добавление инструкций по установке и решению неполадок [kubadm](https://github.com/kubernetes/kubeadm)
+    - Запрещено:
+        - Добавление информацию, которая повторяет документацию в другом репозитории
+            - Примеры:
+                - Добавление инструкций по установке и настройке minikube; Minikube имеет собственную [документацию](https://minikube.sigs.k8s.io/docs/), которая включают эти инструкции
+                - Добавление инструкций по установке Docker, CRI-O, containerd и других окружений для выполнения контейнеров в разных операционных системах
+                - Добавление инструкций по установке Kubernetes в промышленных окружениях, используя разные проекты:
+                     -Kubernetes Rebar Integrated Bootstrap (KRIB) — это проект стороннего разработчика, поэтому все содержимое находится репозитории разработчика.
+                    - У проекта [Kubernetes Operations (kops)](https://github.com/kubernetes/kops) есть инструкции по установке и руководства в GitHub-репозитории.
+                    - У проекта [Kubespray](https://kubespray.io) есть собственная документация
+        - Добавление руководства, в котором объясняется, как выполнить задачу с использованием продукта определенного разработчика или проекта с открытым исходным кодом, не являющиеся CNCF-проектом или проектом в GitHub-организациях kubernetes или kubnetes-sigs.
+        - Добавление руководства по использованию CNCF-проекта или проекта в GitHub-организациях kubernetes или kubnetes-sigs, если у проекта есть собственная документация
+1. Подробное описание технических аспектов по использованию стороннего проекта (не Kubernetes) или как этот проект разработан
+
+    Добавление такого типа информации в документацию Kubernetes не допускается.
+1. Информация стороннему проекту
+    - Разрешено:
+        - Добавление краткого введения о CNCF-проекте или проекте в GitHub-организациях kubernetes или kubernetes-sigs; этот абзац может содержать ссылки на проект
+    - Запрещено:
+        - Добавление информации по продукту определённого разработчика
+        - Добавление информации по проекту с открытым исходным кодом, который не является CNCF-проектом или проектом в GitHub-организациях kubernetes или kubnetes-sigs
+        - Добавление информации, дублирующего документацию из другого проекта, независимо от оригинального репозитория
+            - Пример: добавление документации для проекта [Kubernetes in Docker (KinD)](https://kind.sigs.k8s.io) в документацию Kubernetes
+1. Только ссылки на сторонний проект
+    - Разрешено:
+        - Ссылаться на проекты в GitHub-организациях kubernetes и kubernetes-sigs
+            - Пример: добавление ссылок на [документацию](https://kind.sigs.k8s.io/docs/user/quick-start) проекта Kubernetes in Docker (KinD), который находится в GitHub-организации kubernetes-sigs
+        - Добавление ссылок на действующие CNCF-проекты
+            - Пример: добавление ссылок на [документацию](https://prometheus.io/docs/introduction/overview/) проекта Prometheus; Prometheus — это действующий проект CNCF
+    - Запрещено:
+        - Ссылаться на продукты стороннего разработчика
+        - Ссылаться на архивированные проекты CNCF
+        - Ссылаться на недействующие проекты в организациях GitHub в kubernetes и kubernetes-sigs
+        - Ссылаться на проекты с открытым исходным кодом, которые не являются проектами CNCF или не находятся в организациях GitHub kubernetes или kubernetes-sigs.
+1. Содержание учебных курсов
+    - Разрешено:
+        - Ссылаться на независимые от разработчиков учебные курсы Kubernetes, предлагаемыми [CNCF](https://www.cncf.io/), [Linux Foundation](https://www.linuxfoundation.org/) и [Linux Academy](https://linuxacademy.com/) (партнер Linux Foundation)
+            - Пример: добавление ссылок на курсы Linux Academy, такие как [Kubernetes Quick Start](https://linuxacademy.com/course/kubernetes-quick-start/) в [Kubernetes Security](https://linuxacademy.com/course/kubernetes-security/)
+    - Запрещено:
+        - Ссылаться на учебныЕе онлайн-курсы, вне CNCF, Linux Foundation или Linux Academy; документация Kubernetes не содержит ссылок на сторонний контент
+            - Пример: добавление ссылок на учебные руководства или курсы Kubernetes на Medium, KodeKloud, Udacity, Coursera, learnk8s и т.д.
+        - Ссылаться на руководства определённых разработчиков вне зависимости от обучающей организации
+            - Пример: добавление ссылок на такие курсы Linux Academy, как [Google Kubernetes Engine Deep Dive](https://linuxacademy.com/google-cloud-platform/training/course/name/google-kubernetes-engine-deep-dive) and [Amazon EKS Deep Dive](https://linuxacademy.com/course/amazon-eks-deep-dive/)
+
+Если у вас есть вопросы по поводу допустимого контента, присоединяйтесь к каналу #sig-docs в [Slack Kubernetes](http://slack.k8s.io/)!
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+* Прочитайте [руководство по оформлению](/ru/docs/contribute/style/style-guide).
+{{% /capture %}}
diff --git a/content/ru/docs/contribute/style/content-organization.md b/content/ru/docs/contribute/style/content-organization.md
new file mode 100644
index 0000000000000..5c2e00dba68d7
--- /dev/null
+++ b/content/ru/docs/contribute/style/content-organization.md
@@ -0,0 +1,131 @@
+---
+title: Организация контента
+content_template: templates/concept
+weight: 40
+---
+
+
+{{% capture overview %}}
+
+Этот сайт использует Hugo. В Hugo [организация контента](https://gohugo.io/content-management/organization/) — основная концепция.
+
+{{% /capture %}}
+
+{{% capture body %}}
+
+{{% note %}}
+**Подсказка:** при редактировании контента используйте команду `hugo server --navigateToChanged`, чтобы запустить Hugo.
+{{% /note %}}
+
+## Списки страниц
+
+### Порядок страницы
+
+Меню в сайдбаре, каталог страниц документации используют стандартный порядок перечисления Hugo, который сортирует элементы по весу (от 1), дате (начиная с самых новых) и затем по заголовку ссылки.
+
+Таким образом, если вам нужно поднять страницу или раздел, определите её вес в фронтальной части:
+
+```yaml
+title: Моя страница
+weight: 10
+```
+
+{{% note %}}
+Для значений веса страниц лучше не использовать привычный порядок 1, 2, 3..., а предпочесть другой интервал, например, 10, 20, 30... В будущем это позволит вставить последующие страницы в желаемую позицию.
+{{% /note %}}
+
+### Главное меню документации
+
+Главное меню `Документация` состоит из разделов по пути `docs/` с установленным флагом `main_menu` в фронтальной части файла раздела `_index.md`:
+
+```yaml
+main_menu: true
+```
+
+Обратите внимание, что текст ссылки берётся из переменной `linkTitle`, поэтому, если вы хотите, чтобы он отличался от заголовка страницы, измените его в файле:
+
+```yaml
+main_menu: true
+title: Название страницы
+linkTitle: Название, которое будет использоваться в ссылках
+```
+
+{{% note %}}
+Перечисленные выше переменные должны быть определены для каждого перевода. Если вы не видите созданный вами раздел в меню, скорее всего, это может быть связано с тем, что Hugo не определил его как раздел. Создайте файл `_index.md` в директории раздела.
+{{% /note %}}
+
+### Документация в боковом меню
+
+Меню сайдбара в документации собирается из _текущего дерева разделов_ по пути `docs/`.
+
+Оно отобразит все разделы и их страницы.
+
+Если вы хотите, чтобы раздел или страница не отображались в меню, установите для флага `toc_hide` значение `true` в фронтальной части файла:
+
+```yaml
+toc_hide: true
+```
+
+При переходе к непустому разделу будет отображаться указанный раздел или страница (например, `_index.md`). В противном случае выводиться первая страница в этом разделе.
+
+### Каталог документации
+
+Каталог страниц на главной странице документации сгенерирован с учётом всех разделов и страниц документации.
+
+Если вы хотите скрыть раздел или страницу, установите для флага `toc_hide` значение `true` в фронтальной части файла:
+
+```yaml
+toc_hide: true
+```
+
+### Главное меню
+
+Ссылки сайта в верхнем правом меню, а также в футере, создаются посредством сканирования страниц. Этот процесс гарантирует, что страница действительно существует на сайте. Поэтому, если раздела `case-studies` на сайте (или в переводе) не существует, ссылка не появится.
+
+## Пакеты страниц
+
+В дополнение к отдельным страницам с контентом (Markdown-файлам), Hugo поддерживает [пакеты страниц (page bundles)](https://gohugo.io/content-management/page-bundles/).
+
+К примеру, [пользовательские макрокоды Hugo](/docs/contribute/style/hugo-shortcodes/) — узел пакета (`leaf bundle`). Все, что находится в директории, включая `index.md`, будет частью пакета. Сюда также относятся относительные ссылки на страницы, изображения, которые могут быть обработаны и т.д.:
+
+```bash
+en/docs/home/contribute/includes
+├── example1.md
+├── example2.md
+├── index.md
+└── podtemplate.json
+```
+
+Другой распространённый пример — это пакет `includes`. Он устанавливает переменную `headless: true`, которая означает, что файл не будет доступен по собственному URL-адресу. Вместо этого он будет использоваться в других страницах как вставляемый файл.
+
+```bash
+en/includes
+├── default-storage-class-prereqs.md
+├── federated-task-tutorial-prereqs.md
+├── index.md
+├── partner-script.js
+├── partner-style.css
+├── task-tutorial-prereqs.md
+├── user-guide-content-moved.md
+└── user-guide-migration-notice.md
+```
+
+Необходимо отметить следующие особенности файлов в пакетах:
+
+* Для переведенных пакетов любые отсутствующие файлы будут унаследованы от файлов на оригинальном (английском) языке. Это позволяет избежать дублирования.
+* Все файлы в пакете — в Hugo называются ресурсы (`Resources`), в которых вы можете определить метаданные, зависимые от языка, например, параметры и заголовок, даже если они не поддерживают в фронтальной части (YAML-файлы и т.д.). Смотрите [Метаданные ресурсов страницы](https://gohugo.io/content-management/page-resources/#page-resources-metadata) для получения дополнительной информации.
+* Значение, которое вы получаете через `.RelPermalink` в `Resource` будет отличаться в зависимости от страницы. Смотрите [Постоянные ссылки](https://gohugo.io/content-management/urls/#permalinks) для получения дополнительной информации.
+
+## Стилизация
+
+Исходные файлы стилей в формате [SASS](https://sass-lang.com/) находятся в директории `assets/sass` и автоматически собираются Hugo.
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+* Подробнее про [пользовательские макрокоды Hugo](/ru/docs/contribute/style/hugo-shortcodes/)
+* Подробнее про [оформление документации](/ru/docs/contribute/style/style-guide)
+* Подробнее про [содержание документации](/ru/docs/contribute/style/content-guide)
+
+{{% /capture %}}
diff --git a/content/ru/docs/contribute/style/hugo-shortcodes/example1.md b/content/ru/docs/contribute/style/hugo-shortcodes/example1.md
new file mode 100644
index 0000000000000..30ffcf0235fce
--- /dev/null
+++ b/content/ru/docs/contribute/style/hugo-shortcodes/example1.md
@@ -0,0 +1,9 @@
+---
+title: Пример #1
+---
+
+Это **пример** содержимого в файле внутри пакета узла **includes**.
+
+{{< note >}}
+Подключаемые файлы также могут содержать макрокоды.
+{{< /note >}}
\ No newline at end of file
diff --git a/content/ru/docs/contribute/style/hugo-shortcodes/example2.md b/content/ru/docs/contribute/style/hugo-shortcodes/example2.md
new file mode 100644
index 0000000000000..68a9730617bed
--- /dev/null
+++ b/content/ru/docs/contribute/style/hugo-shortcodes/example2.md
@@ -0,0 +1,7 @@
+---
+title: Пример #1
+---
+
+Это другой **пример** содержимого в файле внутри пакета узла **includes**.
+
+
diff --git a/content/ru/docs/contribute/style/hugo-shortcodes/index.md b/content/ru/docs/contribute/style/hugo-shortcodes/index.md
new file mode 100644
index 0000000000000..b77cc77ec1b45
--- /dev/null
+++ b/content/ru/docs/contribute/style/hugo-shortcodes/index.md
@@ -0,0 +1,245 @@
+---
+approvers:
+- chenopis
+title: Пользовательские макрокоды Hugo
+content_template: templates/concept
+---
+
+{{% capture overview %}}
+На этой странице объясняются пользовательские макрокоды Hugo, которые можно использовать в Markdown-файлах документации Kubernetes.
+
+Узнать подробнее про макрокоды можно в [документации Hugo](https://gohugo.io/content-management/shortcodes).
+{{% /capture %}}
+
+{{% capture body %}}
+
+## Состояние функциональности
+
+В Markdown странице (файл с расширением `.md`) вы можете добавить макрокод, чтобы отобразить версию и состояние документированной функциональной возможности.
+
+### Демонстрация состояния функциональности
+
+Ниже показан фрагмент кода для вывода состояния функциональности, который сообщает о функциональности в стабильной версии Kubernetes 1.10.
+
+```
+{{</* feature-state for_k8s_version="v1.10" state="stable" */>}}
+```
+
+Результат:
+
+{{< feature-state for_k8s_version="v1.10" state="stable" >}}
+
+Допустимые значения для `state`:
+
+* alpha
+* beta
+* deprecated
+* stable
+
+### Код состояния функциональности
+
+По умолчанию отображается версия Kubernetes, соответствующая версии страницы или сайта. Это значение можно переопределить, передав параметр макрокода <code>for_k8s_version</code>.
+
+```
+{{</* feature-state for_k8s_version="v1.10" state="stable" */>}}
+```
+
+Результат:
+
+{{< feature-state for_k8s_version="v1.10" state="stable" >}}
+
+#### Функциональность в альфа-версии
+
+```
+{{</* feature-state state="alpha" */>}}
+```
+
+Результат:
+
+{{< feature-state state="alpha" >}}
+
+#### Функциональность в бета-версии
+
+```
+{{</* feature-state state="beta" */>}}
+```
+
+Результат:
+
+{{< feature-state state="beta" >}}
+
+#### Функциональность в стабильной версии
+
+```
+{{</* feature-state state="stable" */>}}
+```
+
+Результат:
+
+{{< feature-state state="stable" >}}
+
+#### Устаревшая функциональность
+
+```
+{{</* feature-state state="deprecated" */>}}
+```
+
+Результат:
+
+{{< feature-state state="deprecated" >}}
+
+## Глоссарий
+
+Вы можете сослаться на термины из [глоссария](/docs/reference/glossary/) в виде всплывающей (при наведении мыши) подсказки, что удобно при чтении документации через интернет.
+
+Исходные файлы терминов глоссария хранятся в отдельной директории по URL-адресу [https://github.com/kubernetes/website/tree/master/content/en/docs/reference/glossary](https://github.com/kubernetes/website/tree/master/content/en/docs/reference/glossary).
+
+### Демонстрация глоссария
+
+Например, следующий фрагмент кода в Markdown будет отображен в виде всплывающей подсказки — {{< glossary_tooltip text="cluster" term_id="cluster" >}}:
+
+```liquid
+{{</* glossary_tooltip text="cluster" term_id="cluster" */>}}
+```
+
+## Заголовки таблиц
+
+Для улучшения доступности таблиц для программ для чтения с экрана, добавьте заголовок к таблице. Чтобы добавить [заголовок](https://www.w3schools.com/tags/tag_caption.asp) таблицы, поместите таблицу в макрокод `table` и определите значение заголовка в параметре` caption`.
+
+{{< note >}}
+Заголовки таблиц предназначены только для программ чтения с экрана, поэтому в браузере они не будут отображаться.
+{{< /note >}}
+
+Пример:
+
+```go-html-template
+{{</* table caption="Конфигурационные параметры" >}}
+Параметр | Описание | Значение по умолчанию
+:---------|:------------|:-------
+`timeout` | Тайм-аут для запросов | `30s`
+`logLevel` | Уровень логирования | `INFO`
+{{< /table */>}}
+```
+
+Результат:
+
+{{</* table caption="Конфигурационные параметры" >}}
+Параметр | Описание | Значение по умолчанию
+:---------|:------------|:-------
+`timeout` | Тайм-аут для запросов | `30s`
+`logLevel` | Уровень логирования | `INFO`
+{{< /table >}}
+
+Если вы изучите HTML-код таблицы, вы заметите следующий ниже элемент сразу после открывающего элемента `<table>`:
+
+```html
+<caption style="display: none;"></caption>
+```
+
+## Вкладки
+
+Страница в формате Markdown (файл с расширением `.md`) на этом сайте может содержать набор вкладок для отображения нескольких разновидностей определённого решения.
+
+Макрокод `tabs` принимает следующие параметры:
+
+* `name`: имя, отображаемое на вкладке.
+* `codelang`: если вы указываете встроенный контент для макрокода `tab`, вы можете сообщить Hugo, какой язык использовать для подсветки синтаксиса.
+* `include`: включаемый файл в вкладку. Если вкладка находится в [узле пакета (leaf bundle)](https://gohugo.io/content-management/page-bundles/#leaf-bundles) Hugo, то файл (может быть любым MIME-типом, который поддерживает Hugo) ищется в самом пакете. Если нет, то включаемое содержимое ищется относительно текущей страницы. Обратите внимание, что при использовании `include` вам следует использовать самозакрывающийся синтаксис. Например, <code>{{</* tab name="Content File #1" include="example1" /*/>}}</code>. Язык может быть указан в `codelang`, в противном случае язык определяется из имени файла.
+* Если содержимое вкладки это Markdown, вам нужно использовать символ `%`. Например, `{{%/* tab name="Вкладка 1" %}}This is **markdown**{{% /tab */%}}`
+* Вы можете совместно использовать перечисленные выше параметры.
+Ниже приведена демонстрация шорткода вкладок.
+
+Ниже приведены примеры вкладок.
+
+{{< note >}}
+**Имя** вкладки в элементе `tabs` должно быть уникальным на странице.
+{{< /note >}}
+
+### Демонстрация вкладок: подсветка синтаксиса в блоках кода
+
+```go-text-template
+{{</* tabs name="tab_with_code" >}}
+{{{< tab name="Вкладка 1" codelang="bash" >}}
+echo "Это вкладка 1."
+{{< /tab >}}
+{{< tab name="Вкладка 2" codelang="go" >}}
+println "Это вкладка 2."
+{{< /tab >}}}
+{{< /tabs */>}}
+```
+
+Результат:
+
+{{< tabs name="tab_with_code" >}}
+{{< tab name="Вкладка 1" codelang="bash" >}}
+echo "Это вкладка 1."
+{{< /tab >}}
+{{< tab name="Вкладка 2" codelang="go" >}}
+println "Это вкладка 2."
+{{< /tab >}}
+{{< /tabs >}}
+
+### Демонстрация вкладок: встроенный Markdown и HTML
+
+```go-html-template
+{{</* tabs name="tab_with_md" >}}
+{{% tab name="Markdown" %}}
+Это **разметка Markdown.**
+{{< note >}}
+Также можно использовать макрокоды.
+{{< /note >}}
+{{% /tab %}}
+{{< tab name="HTML" >}}
+<div>
+	<h3>Обычный HTML</h3>
+	<p>Это <i>обычный</i> HTML.</p>
+</div>
+{{< /tab >}}
+{{< /tabs */>}}
+```
+
+Результат:
+
+{{< tabs name="tab_with_md" >}}
+{{% tab name="Markdown" %}}
+Это **разметка Markdown.**
+
+{{< note >}}
+Также можно использовать макрокоды.
+{{< /note >}}
+
+{{% /tab %}}
+{{< tab name="HTML" >}}
+<div>
+	<h3>Обычный HTML</h3>
+	<p>Это <i>обычный</i> HTML.</p>
+</div>
+{{< /tab >}}
+{{< /tabs >}}
+
+### Демонстрация вкладок: включение файлов
+
+```go-text-template
+{{</* tabs name="tab_with_file_include" >}}
+{{< tab name="Content File #1" include="example1" />}}
+{{< tab name="Content File #2" include="example2" />}}
+{{< tab name="JSON File" include="podtemplate" />}}
+{{< /tabs */>}}
+```
+
+Результат:
+
+{{< tabs name="tab_with_file_include" >}}
+{{< tab name="Content File #1" include="example1" />}}
+{{< tab name="Content File #2" include="example2" />}}
+{{< tab name="JSON File" include="podtemplate" />}}
+{{< /tabs >}}
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+* Подробнее про [Hugo](https://gohugo.io/).
+* Подробнее про [написание новой темы](/ru/docs/contribute/style/write-new-topic/).
+* Подробнее про [использование шаблонов страниц](/ru/docs/contribute/style/page-templates/).
+* Подробнее про [создание пулреквеста](/ru/docs/contribute/start/#отправка-пулреквеста).
+{{% /capture %}}
\ No newline at end of file
diff --git a/content/ru/docs/contribute/style/hugo-shortcodes/podtemplate.json b/content/ru/docs/contribute/style/hugo-shortcodes/podtemplate.json
new file mode 100644
index 0000000000000..bd4327414a10a
--- /dev/null
+++ b/content/ru/docs/contribute/style/hugo-shortcodes/podtemplate.json
@@ -0,0 +1,22 @@
+  {
+    "apiVersion": "v1",
+    "kind": "PodTemplate",
+    "metadata": {
+      "name": "nginx"
+    },
+    "template": {
+      "metadata": {
+        "labels": {
+          "name": "nginx"
+        },
+        "generateName": "nginx-"
+      },
+      "spec": {
+         "containers": [{
+           "name": "nginx",
+           "image": "dockerfile/nginx",
+           "ports": [{"containerPort": 80}]
+         }]
+      }
+    }
+  }
diff --git a/content/ru/docs/contribute/style/page-templates.md b/content/ru/docs/contribute/style/page-templates.md
new file mode 100644
index 0000000000000..f49307b414102
--- /dev/null
+++ b/content/ru/docs/contribute/style/page-templates.md
@@ -0,0 +1,186 @@
+---
+title: Использование шаблонов страниц
+content_template: templates/concept
+weight: 30
+card:
+  name: contribute
+  weight: 30
+---
+
+{{% capture overview %}}
+При добавлении новых тем воспользуйтесь одним из перечисленных ниже шаблонов.
+Это регламентирует пользовательское восприятие определённой страницы.
+
+Шаблоны страниц находятся в директории [`layouts/partials/templates`](https://git.k8s.io/website/layouts/partials/templates) репозитория [`kubernetes/website`](https://github.com/kubernetes/website).
+
+{{< note >}}
+Каждая новая тема должна использовать шаблон. Если вы не уверены, какой шаблон использовать для новой темы, начните с [шаблона концепции](#шаблон-концепции).
+{{< /note >}}
+
+{{% /capture %}}
+
+
+{{% capture body %}}
+
+## Шаблон концепции
+
+Страница концепции объясняет некоторые аспекты Kubernetes. Например, страницы концепции может описывать объект Deployment в Kubernetes и разъяснить какую роль он играет после развертывания, масштабирования и обновления приложения. Как правило, страницы концепций не включают последовательности шагов, и вместо этого содержат ссылки на задачи или руководства.
+
+Для написания новой страницы концепции в директории `/content/en/docs/concepts` создайте поддиректорию с Markdown-файлом со следующим требованиями:
+
+- Во фронтальной части YAML этой страницы определите поле `content_template: templates/concept`.
+- В теле страницы укажите переменные  `capture` и любые другие, которые вы хотите включить:
+
+    | Переменная | Обязательна? |
+    |------------|--------------|
+    | overview   | да           |
+    | body       | да           |
+    | whatsnext  | нет          |
+
+
+    Тело страницы будет выглядеть следующим образом (удалите все необязательные capture-блоки, если они вам не понадобятся):
+
+    ```
+    {{%/* capture overview */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture body */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture whatsnext */%}}
+
+    {{%/* /capture */%}}
+    ```
+
+- Заполните каждый раздел информацией. Следуйте этим рекомендациям:
+  - Структурируйте контент с помощью заголовков H2 и H3.
+  - В блоке `overview` одним абзацем сформируйте контекст темы.
+  - В блоке `body` объясните суть концепции.
+  - В блоке `whatsnext` сформируйте ненумерованный список тем (до 5), к которым нужно обратиться, чтобы получить дополнительную информацию о концепции.
+
+[Annotations](/docs/concepts/overview/working-with-objects/annotations/) — это готовый пример шаблона концепции. Кстати, текущая страница использует шаблон концепции.
+
+## Шаблон задачи
+
+На странице задачи показывается, как сделать что-то одно конкретное, главным образом с помощью короткой последовательности шагов. В страницах задач очень короткое объяснение, хотя они часто ссылаются на концептуальные темы, где уже можно найти соответствующую справочную информацию и ресурсы.
+
+Для написания новой страницы задачи в директории `/content/en/docs/tasks` создайте поддиректорию с Markdown-файлом со следующим требованиями:
+
+- Во фронтальной части YAML этой страницы определите поле `content_template: templates/task`.
+- В теле страницы укажите переменные  `capture` и любые другие, которые вы хотите включить:
+
+    | Переменная | Обязательна? |
+    |------------|--------------|
+    | overview      | да       |
+    | prerequisites | да       |
+    | steps         | нет        |
+    | discussion    | нет       |
+    | whatsnext     | нет       |
+
+
+    Тело страницы будет выглядеть следующим образом (удалите все необязательные capture-блоки, если они вам не нужны):
+
+    ```
+    {{%/* capture overview */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture prerequisites */%}}
+
+    {{</* include "task-tutorial-prereqs.md" */>}} {{</* version-check */>}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture steps */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture discussion */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture whatsnext */%}}
+
+    {{%/* /capture */%}}
+    ```
+
+- Заполните каждый блок информацией. Следуйте этим рекомендациям:
+  - Используйте по минимуму заголовков H2 (с двумя ведущими символами `#`). У самих разделов заголовок формируется автоматически по заданному шаблону.
+  - В блоке `overview` обозначьте контекст для всей темы.
+  - В блоке `prerequisites` используйте ненумерованные списки, где это возможно. Добавьте дополнительные предварительные условия ниже `include`. Предварительные условия по умолчанию содержат пункт про наличие работающего кластера.
+  - В блоке `steps` используйте нумерованные списки.
+  - В блоке `discussion` подробно распишите информацию, описанную в разделе `steps`.
+  - В блоке `whatsnext` сформируйте ненумерованный список тем (до 5), которые могут быть интересны читателю в качестве дополнительного чтения.
+
+Пример готовой темы, в которой используется шаблон задачи — [Using an HTTP proxy to access the Kubernetes API](/docs/tasks/access-kubernetes-api/http-proxy-access-api).
+
+## Шаблон руководства
+
+На странице руководства показывается, как выполнить что-то более крупнее одной-единственной задачи. Как правило, страницы руководства поделена на несколько разделов, в каждом из которых есть последовательность шагов. Например, руководство может включать анализ примера кода, демонстрирующий определенную возможность Kubernetes. Руководства могут содержать поверхностные объяснения и одновременно включать ссылки на соответствующие концептуальные темы для получения углубленных знаний.
+
+Для написания новой страницы задачи в директории `/content/en/docs/tutorials` создайте поддиректорию с Markdown-файлом со следующим требованиями:
+
+- Во фронтальной части YAML этой страницы определите поле `content_template: templates/tutorial`.
+- В теле страницы укажите переменные `capture` и любые другие, которые вы хотите включить:
+
+    | Переменная | Обязательна? |
+    |------------|--------------|
+    | overview      | да       |
+    | prerequisites | да       |
+    | objectives    | да       |
+    | lessoncontent | да       |
+    | cleanup       | нет        |
+    | whatsnext     | нет        |
+
+    Тело страницы будет выглядеть следующим образом (удалите все необязательные capture-блоки, если они вам не понадобятся):
+
+    ```
+    {{%/* capture overview */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture prerequisites */%}}
+
+    {{</* include "task-tutorial-prereqs.md" */>}} {{</* version-check */>}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture objectives */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture lessoncontent */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture cleanup */%}}
+
+    {{%/* /capture */%}}
+
+    {{%/* capture whatsnext */%}}
+
+    {{%/* /capture */%}}
+    ```
+
+- Заполните каждый блок информацией. Следуйте этим рекомендациям:
+  - Используйте по минимуму заголовков H2 (с двумя ведущими символами `#`). У самих разделов заголовок формируется автоматически по заданному шаблону.
+  - В блоке `overview` обозначьте контекст для всей темы.
+  - В блоке `prerequisites` используйте ненумерованные списки, где это возможно. Добавьте дополнительные предварительные условия ниже `include`. Предварительные условия по умолчанию содержат пункт про наличие работающего кластера.
+  - В блоке `objectives` используйте ненумерованные списки.
+  - В блоке `lessoncontent` целесообразно используйте совместно нумерованные списки и повествовательное содержание.
+  - В блоке `cleanup` используйте нумерованные списки для описания шагов для очистки состояния кластера после выполнения задачи.
+  - В блоке `whatsnext` сформируйте ненумерованный список тем (до 5), которые могут быть интересны читателю в качестве дополнительного чтения.
+
+Пример завершенной темы, в которой используется шаблон руководства — [Running a Stateless Application Using a Deployment](/docs/tutorials/stateless-application/run-stateless-application-deployment/).
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+- Подробнее про [оформление документации](/ru/docs/contribute/style/style-guide/)
+- Подробнее про [содержание документации](/ru/docs/contribute/style/content-guide/)
+- Подробнее про [организацию контента](/ru/docs/contribute/style/content-organization/)
+
+{{% /capture %}}
diff --git a/content/ru/docs/contribute/style/style-guide.md b/content/ru/docs/contribute/style/style-guide.md
new file mode 100644
index 0000000000000..612111c673daf
--- /dev/null
+++ b/content/ru/docs/contribute/style/style-guide.md
@@ -0,0 +1,570 @@
+---
+title: Руководство по оформлению документации
+linktitle: Руководство по оформлению
+content_template: templates/concept
+weight: 10
+card:
+  name: contribute
+  weight: 20
+  title: Руководство по оформлению документации
+---
+
+{{% capture overview %}}
+На этой странице вы найдёте рекомендации по оформлению написания документации Kubernetes. Это рекомендации, а не правила. Используйте здравый смысл и не стесняйтесь предлагать изменения в этот документ в виде пулреквеста.
+
+Для получения подробной информации о создании нового контента в документацию Kubernetes посмотрите [руководство по контенту документации](/ru/docs/contribute/style/content-guide/), а также следуйте инструкциям по [использованию шаблонов страниц](/ru/docs/contribute/style/page-templates/) и [открытию пулревеста в документацию](/ru/docs/contribute/start/#улучшение-существующего-текста).
+
+{{% /capture %}}
+
+{{% capture body %}}
+
+{{< note >}}
+В документации Kubernetes используется [Blackfriday Markdown Renderer](https://github.com/russross/blackfriday) вместе с несколькими [макрокодами Hugo](/docs/home/contribute/includes/) для добавления поддержки записей глоссария, вкладок и отображения состояний функциональностей.
+{{< /note >}}
+
+## Язык
+
+Документация Kubernetes была переведена на несколько языков (см. [README-файлы локализаций](https://github.com/kubernetes/website/blob/master/README.md#localization-readmemds)).
+
+Процесс локализации документации на другие языки описан в [соответствующей странице по локализации](/ru/docs/contribute/localization/).
+
+## Правила форматирования документации
+
+### Используйте верблюжью нотацию для написания объектов API
+
+Когда вы указываете имя API-объекта, используйте те же самые прописные и строчные буквы так, как они записаны в имени объекта. Как правило, имена объектов API написаны с использованием [верблюжьей нотации](https://ru.wikipedia.org/wiki/Camel_case).
+
+Не разделяйте имя объекта API на отдельные слова. Например, пишите PodTemplateList, а не Pod Template List.
+
+Указывая имена API-объектов, не добавляйте к ним слово "объект", за исключением случаев, когда это только ухудшает читаемость.
+
+{{< table caption = "Можно делать и нельзя - Объекты API" >}}
+Можно | Нельзя
+:--| :-----
+В Pod два контейнера. | В поде два контейнера.
+Deployment отвечает за ... | Объект Deployment отвечает за ...
+PodList — это список Pod. | Pod List — это список подов.
+Два ContainerPorts ... | Два объекта ContainerPort ...
+Два объекта ContainerStateTerminated ... | Два ContainerStateTerminated ...
+{{< /table >}}
+
+
+### Используйте угловые скобки для заполнителей
+
+Используйте угловые скобки для заполнителей. Сообщите читателю, что означает заполнитель.
+
+1. Отобразить информацию о Pod:
+
+        kubectl describe pod <pod-name> -n <namespace>
+
+    Если пространство имён пода равняется `default`, вы можете опустить параметр '-n'.
+
+### Используйте полужирное начертание для элементов пользовательского интерфейса
+
+{{< table caption = "Можно делать и нельзя - Элементы интерфейса в полужирном начертании" >}}
+Можно | Нельзя
+:--| :-----
+Нажмите на **Fork**. | Нажмите на "Fork".
+Выберите **Other**. | Выберите "Other".
+{{< /table >}}
+
+### Используйте курсивное начертание для определения или включения новых терминов
+
+{{< table caption = "Можно делать и нельзя - Используйте курсивное начертание для новых терминов" >}}
+Можно | Нельзя
+:--| :-----
+_Кластер_ — это набор узлов ... | "Кластер" — это набор узлов ...
+Эти компоненты формируют _панель управления_. | Эти компоненты формируют **панель управления**.
+{{< /table >}}
+
+### Оформляйте как код имена файлов, директории и пути
+
+{{< table caption = "Можно делать и нельзя - Оформляйте как код имена файлов, директории и пути" >}}
+Можно | Нельзя
+:--| :-----
+Откройте файл `envars.yaml`. | Откройте файл envars.yaml.
+Перейдите в директорию `/docs/tutorials`. | Перейдите в директорию /docs/tutorials.
+Откройте файл `/_data/concepts.yaml` file. | Откройте файл /_data/concepts.yaml.
+{{< /table >}}
+
+### Используйте международные правила для пунктуации внутри кавычек
+
+{{< table caption = "Можно делать и нельзя - Используйте международные правила для пунктуации внутри кавычек" >}}
+Можно | Нельзя
+:--| :-----
+события записываются с соответствующей "стадией". | события записываются с соответствующей "стадией."
+Копия называется "fork". | Копия называется "fork."
+{{< /table >}}
+
+## Форматирование с использованием однострочного кода
+
+### Используйте оформление кода для встроенного кода и команд
+
+Для однострочного (встроенного) блока кода в HTML-документе используйте тег `<code>`. В файле Markdown используйте обратную кавычку (`).
+
+{{< table caption = "Можно делать и нельзя - Use code style for inline code and commands" >}}
+Можно | Нельзя
+:--| :-----
+Команда `kubectl run` создает Deployment. | Команда "kubectl run" создает Deployment.
+Для декларативного управления используйте `kubectl apply`. | Для декларативного управления используйте "kubectl apply".
+Заключите примеры кода в тройные обратные кавычки. `(```)` | Заключите примеры кода с использованием любого другого синтаксиса.
+Используйте одинарные обратные кавычки для выделения встроенного кода. Например, `var example = true`. | Используйте две звездочки (**) или подчёркивание (_) для выделения встроенного кода. Например, **var example = true**.
+Используйте тройные обратные кавычки до и после многострочного блока кода для отдельных блоков кода. | Используйте многострочные блоки кода для создания диаграмм, блок-схем или т.д.
+Используйте понятные имена переменных с соответствующим контекстом. | Используйте имена переменных, такие как  'foo', 'bar' и 'baz', которые не имеют смысла и которым не хватает контекста.
+Удаляйте завершающие пробелы в коде. | Добавляйте конечные пробелы в код там, где они необходимо, поскольку программа для чтения с экрана также будет зачитывать пробелы.
+{{< /table >}}
+
+{{< note >}}
+На сайте включена подсветка синтаксиса для примеров кода, хотя указывать язык необязательно. Подсветка синтаксиса в блоке кода должна соответствовать [рекомендациям по контрастности](https://www.w3.org/WAI/WCAG21/quickref/?versions=2.0&showtechniques=141%2C143#contrast-minimum).
+{{< /note >}}
+
+### Имена полей объектов и пространства имён оформляйте как код
+
+{{< table caption = "Можно делать и нельзя - Имена полей объектов и пространства имён оформляйте как код" >}}
+Можно | Нельзя
+:--| :-----
+Задайте значение для поля `replicas` в конфигурационном файле. | Задайте значение для поля "replicas" в конфигурационном файле.
+Значением поля `exec` является объект ExecAction. | Значением поля "exec" является объект ExecAction.
+Запустите процесс как Daemonset в пространстве имен `kube-system`. | Запустите процесс как Daemonset в пространстве имен kube-system.
+{{< /table >}}
+
+### Имена компонентов и командного инструмента оформляйте как код
+
+{{< table caption = "Можно делать и нельзя - Имена компонентов и командного инструмента оформляйте как код" >}}
+Можно | Нельзя
+:--| :-----
+kubelet сохраняет стабильность узла. | `kubelet` сохраняет стабильность узла.
+`kubectl` обрабатывает поиск и аутентификацию на сервере API. | kubectl обрабатывает поиск и аутентификацию на apiserver.
+Запустите процесс с использованием сертификата `kube-apiserver --client-ca-file=FILENAME`. | Запустите процесс с использованием сертификата kube-apiserver --client-ca-file=FILENAME.
+{{< /table >}}
+
+### Начинайте предложение с имени инструмента или компонента
+
+{{< table caption = "Можно делать и нельзя - Начинайте предложение с имени инструмента или компонента" >}}
+Можно | Нельзя
+:--| :-----
+The `kubeadm` tool bootstraps and provisions machines in a cluster. | `kubeadm` tool bootstraps and provisions machines in a cluster.
+The kube-scheduler is the default scheduler for Kubernetes. | kube-scheduler is the default scheduler for Kubernetes.
+{{< /table >}}
+
+### Используйте общее описание вместо имени компонента
+
+{{< table caption = "Можно делать и нельзя - Используйте общее описание вместо имени компонента" >}}
+Можно | Нельзя
+:--| :-----
+Сервер Kubernetes API следует спецификации OpenAPI. | apiserver следует спецификации OpenAPI.
+Агрегированные API-интерфейсы — вспомогательные API-серверы. | Агрегированные API-интерфейсы — вспомогательные APIServers.
+{{< /table >}}
+
+### Cтроковые и целочисленные значения полей пишите в обычном стиле
+
+Для значений полей типа string или integer используйте обычный стиль без кавычек.
+
+{{< table caption = "Можно делать и нельзя - Cтроковые и целочисленные значения полей пишите в обычном стиле" >}}
+Можно | Нельзя
+:--| :-----
+Задайте значение для поля `imagePullPolicy` как Always. | Задайте значение для поля `imagePullPolicy` как "Always".
+Задайте значение для поля `image` как nginx:1.8. | Задайте значение для поля`image` как `nginx:1.8`.
+Задайте значение для поля `replicas` как 2. | Задайте значение для поля `replicas` как `2`.
+{{< /table >}}
+
+
+## Форматирование фрагментов кода
+
+### Не добавляйте символ приглашения командной строки
+
+{{< table caption = "Можно делать и нельзя - Не добавляйте символ приглашения командной строки" >}}
+Можно | Нельзя
+:--| :-----
+kubectl get pods | $ kubectl get pods
+{{< /table >}}
+
+
+### Отделяйте команды от вывода
+
+Убедитесь, что Pod работает на выбранном вами узле:
+
+    kubectl get pods --output=wide
+
+Вывод будет примерно таким:
+
+    NAME     READY     STATUS    RESTARTS   AGE    IP           NODE
+    nginx    1/1       Running   0          13s    10.200.0.4   worker0
+
+### Версионирование примеров Kubernetes
+
+Примеры кода и примеры конфигурации, которые включают информацию о версии, должны согласовываться с относящемуся к нему тексту.
+
+Если информация зависит от версии, необходимо определить версию Kubernetes в секции `prerequisites` [шаблона задачи](/ru/docs/contribute/style/page-templates/#шаблон-задачи) или [шаблона руководства](/ru/docs/contribute/style/page-templates/#шаблон-руководства). После сохранения страницы секция `prerequisites` отобразится в отдельном блоке с заголовком **Подготовка к работе**.
+
+Для указания версии Kubernetes для страницы задачи или руководства в фронтальную часть файла добавьте поле `min-kubernetes-server-version`.
+
+Если YAML-пример определён в отдельном файле, поищите и просмотрите темы, которые ссылаются на него.
+Убедитесь, что темы с подключённым YAML-файлом содержат соответствующую информацию о версии.
+Если ни одна из тем не использует какой-либо YAML-файл подумайте над тем, чтобы удалить его вместо того, чтобы обновления.
+
+Например, если вы пишете руководство, предназначенное для использования с версией Kubernetes 1.8, фронтальная часть вашего Markdown-файла должен выглядеть примерно так:
+
+```yaml
+---
+title: <your tutorial title here>
+min-kubernetes-server-version: v1.8
+---
+```
+
+В примерах кода и конфигурации не добавляйте комментарии про альтернативные версии.
+Убедитесь в том, чтобы в комментариях ваших примеров не содержались некорректные сведения, такие как ниже:
+
+```yaml
+apiVersion: v1 # в более ранних версиях...
+kind: Pod
+...
+```
+
+## Словарь Kubernetes.io
+
+Список специфичных для Kubernetes терминов и слов, которые будут регулярно встречаться по всему сайту.
+
+{{< table caption = "Словарь Kubernetes.io" >}}
+Термин | Пример использования
+:--- | :----
+Kubernetes | Kubernetes всегда должен начинаться с заглавной буквы.
+Docker | Docker всегда должен начинаться с заглавной буквы.
+SIG Docs | SIG Docs, а не SIG-DOCS или другие варианты.
+On-premises | On-premises or On-prem rather than On-premise or other variations.
+{{< /table >}}
+
+## Макрокоды
+
+[Макрокоды Hugo](https://gohugo.io/content-management/shortcodes) помогают создавать разного рода обращений к читателю. Наша документация поддерживает три разных макрокода для этого: **примечание** {{</* note */>}}, **предостережение** {{</* caution */>}} и **предупреждение** {{</* warning */>}}.
+
+1. Заключите текст в открывающий и закрывающий макрокод.
+
+2. Используйте следующий синтаксис для определения стиля:
+
+    ```
+    {{</* note */>}}
+    Вам не нужно указывать надпись; макрокод автоматически добавит её. (Примечание:, Предостережение:, и т.д.)
+    {{</* /note */>}}
+    ```
+
+Результат:
+
+{{< note >}}
+Надпись блока будет такой же, как и имя тега.
+{{< /note >}}
+
+### Примечание
+
+Используйте {{</* note */>}} для выделения подсказки или части информации, которая может быть полезна для ознакомления.
+
+Например:
+
+```
+{{</* note */>}}
+Вы _также_ можете использовать Markdown внутри этих выносок.
+{{</* /note */>}}
+```
+
+Результат:
+
+{{< note >}}
+Вы _также_ можете использовать Markdown внутри этих выносок.
+{{< /note >}}
+
+Вы можете использовать {{</* note */>}} в списке:
+
+```
+1. Используйте макрокод примечания в списке
+
+1. Второй пункт с добавленным блоком примечания
+
+   {{</* note */>}}
+   Макрокоды предупреждения, предостережения и примечания, добавленные в списки, должны содержать отступ в четыре пробела. Смотрите раздел [Распространённые проблемы с шорткодами](#распространённые-проблемы-с-шорткодами).
+   {{</* /note */>}}
+
+1. Третий пункт в списке
+
+1. Четвертый пункт в списке
+```
+
+Результат:
+
+1. Используйте макрокод примечания в списке
+
+1. Второй пункт с добавленным блоком примечания
+
+    {{< note >}}
+   Макрокоды предупреждения, предостережения и примечания, добавленные в списки, должны содержать отступ в четыре пробела. Смотрите раздел [Распространённые проблемы с шорткодами](#распространённые-проблемы-с-шорткодами).
+    {{< /note >}}
+
+1. Третий пункт в списке
+
+1. Четвертый пункт в списке
+
+### Предостережение
+
+Используйте {{</* caution */>}}, чтобы обратить внимание к важной информации, которая поможет избежать подводных камней.
+
+Например:
+
+```
+{{</* caution */>}}
+Оформление выноски применяется только к строке, следующей после тега выше.
+{{</* /caution */>}}
+```
+
+Результат:
+
+{{< caution >}}
+Оформление выноски применяется только к строке, следующей после тега выше.
+{{< /caution >}}
+
+### Предупреждение
+
+Используйте {{</* warning */>}} для обозначения предупреждающей информации или такой, которую чрезвычайно важно соблюдать.
+
+Например:
+
+```
+{{</* warning */>}}
+Острожно.
+{{</* /warning */>}}
+```
+
+Результат:
+
+{{< warning >}}
+Острожно.
+{{< /warning >}}
+
+### Встраиваемая среда выполнения Katacoda
+
+С помощью этой кнопки пользователи могут запустить Minikube в своём браузере с помощью [терминала Katacoda](https://www.katacoda.com/embed/panel).
+Таким образом снижается порог входа, позволяя пользователям попробовать Minikube с помощью одного щелчка мыши, вместо того, чтобы устанавливать Minikube и Kubectl локально.
+
+Встроенная среда выполнения сконфигурирована для выполнения команды `minikube start` и позволяет пользователям пройти руководство в той же самой вкладке, что и документация.
+
+{{< caution >}}
+Сессия ограничена 15 минутами.
+{{< /caution >}}
+
+Например:
+
+```
+{{</* kat-button */>}}
+```
+
+Результат:
+
+{{< kat-button >}}
+
+## Распространённые проблемы с шорткодами
+
+### Упорядоченные списки
+
+Макрокоды сбросят нумерацию в нумерованных списках, если вы не добавите отступ в четыре пробела перед уведомлением и тегом.
+
+Например:
+
+    1. Разогреть духовку до 350˚F
+
+    1. Подготовить тесто и вылить её в формочку для выпечки.
+       {{</* note */>}}Для лучшего результата смажьте формочку.{{</* /note */>}}
+
+    1. Выпекать 20-25 minutes или пока тесто не зарумянится.
+
+Результат:
+
+1. Разогреть духовку до 350˚F
+
+1. Подготовить тесто и вылить её в формочку для выпечки.
+
+    {{< note >}}Для лучшего результата смажьте формочку.{{< /note >}}
+
+1. Выпекать 20-25 minutes или пока тесто не зарумянится.
+
+### Выражения для вставок
+
+Макрокоды внутри include-выражений нарушит процесс сборки. Поэтому они должны быть вставлены в родительский документ до и после вызова include. Например:
+
+```
+{{</* note */>}}
+{{</* include "task-tutorial-prereqs.md" */>}}
+{{</* /note */>}}
+```
+
+
+## Элементы Markdown
+
+### Переносы строк
+Добавляйте одну новую строку для разделения содержимого таких блоков, как заголовки, списки, изображения, многострочный код и т.д. Исключение составляют заголовки второго уровня, которые должны быть разделены двумя переводами строки. Заголовки второго уровня следуют за первым уровнем (или названием страницы). Две пустые строки помогает лучше наглядно представить общую структуру содержимого в редакторе кода.
+
+### Заголовки
+Люди, просматривающие документацию, могут использовать программу чтения с экрана или другую вспомогательную технологию (Assistive technologies, AT). [Программы чтения с экрана](https://ru.wikipedia.org/wiki/%D0%AD%D0%BA%D1%80%D0%B0%D0%BD%D0%BD%D0%BE%D0%B5_%D1%81%D1%87%D0%B8%D1%82%D1%8B%D0%B2%D0%B0%D1%8E%D1%89%D0%B5%D0%B5_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE) — устройства вывода, которые выводят элементы на странице по очереди. Если на странице много текста, вы можете использовать заголовки, чтобы придать странице внутреннюю структуру. Хорошая структура страницы помогает всем читателям легко перемещаться по странице или выбрать интересующие темы.
+
+{{< table caption = "Можно делать и нельзя - Заголовки" >}}
+Можно | Нельзя
+:--| :-----
+Обновите заголовок в фронтальной части страницы или записи блога. | Используйте заголовок первого уровня, так как Hugo автоматически преобразует название страницы в фронтальной части в заголовок первого уровня.
+Используйте упорядоченные заголовки, чтобы сформировать общее представление о содержании страницы. | Используйте заголовки с уровня 4 по 6, если только это только в этом нет необходимости. Если текст настолько подробный, возможно, его нужно разделить на отдельные статьи.
+Используйте знак решётки или хеша (#) для всех видов контента, кроме записей блога. | Используйте подчеркивание (--- или ===) для обозначения заголовков первого уровня.
+Начинайте с большой буквы только первое слово в заголовке. Например, **Расширение kubectl с помощью плагинов** | Пишите с заглавной буквы все слова в заголовке. Например, **Расширение Kubectl С Помощью Плагинов**
+{{< /table >}}
+
+### Параграфы
+
+{{< table caption = "Можно делать и нельзя - Параграфы" >}}
+Можно | Нельзя
+:--| :-----
+Проследите за тем, чтобы в одном абзаце было не более 6 предложений. | Добавить к первом абзацу отступ с пробелами. Например, ⋅⋅⋅Три пробела перед абзацем образуют отступ.
+Используйте три дефиса (---) для создания горизонтальной черты. Используйте горизонтальные линии для обозначения конца в содержании абзаца. Например, смена места в истории или переход темы в разделе. | Используйте горизонтальные линии для оформления.
+{{< /table >}}
+
+### Ссылки
+
+{{< table caption = "Можно делать и нельзя - Ссылки" >}}
+Можно | Нельзя
+:--| :-----
+Указывайте ссылки, которые передают суть содержания, на который они ссылаются. Например: "Некоторые порты открыты на ваших машинах. Смотрите раздел <a href="#check-required-ports">Проверка необходимых портов</a>, чтобы получить дополнительную информацию". | Используйте двусмысленные термины, такие как "нажмите сюда". Например: Некоторые порты открыты на ваших машинах. Смотрите <a href="#check-required-ports">этот раздел</a>, чтобы получить дополнительную информацию".
+Указывайте ссылки в стиле Markdown: `[текст ссылки](URL)`. Например: `[Макрокоды Hugo](/docs/contribute/style/hugo-shortcodes/#table-captions)` отобразится как [Макрокоды Hugo](/docs/contribute/style/hugo-shortcodes/#table-captions). | Указывайте ссылки в формате HTML: `<a href="/media/examples/link-element-example.css" target="_blank">Ознакомьтесь с нашим руководством!</a>` или добавляйте ссылки, которые открываются в новых вкладках или окнах. Например: `[example website](https://example.com){target="_blank"}`
+{{< /table >}}
+
+
+### Списки
+Сгруппируйте пункты в списке так, чтобы они были связаны друг с другом и следовали в определённом порядке, либо чтобы они сохраняли взаимосвязь между несколькими элементами. Когда программа чтения с экрана встречает нумерованный или неупорядоченный список, пользователю будет проинформирован, что существует группа из элементов списка. Затем пользователь может использовать клавиши-стрелки для перемещения между разными элементами в списке.
+Навигационные ссылки по сайту также могут быть помечены как элементы списка; в конечном счёте, все они просто группа связанных ссылок.
+
+ - Заканчивайте каждый элемент в списке точкой, если один или несколько элементов в списке являются законченными предложениями. Как правило, для согласованности либо все элементы должны быть целыми предложениями, либо ни один из них.
+
+   {{< note >}} Упорядоченные списки, которые являются частью неполного вступительного предложения, могут быть написаны в нижнем регистре и оканчиваться на точку, как если бы каждый элемент был составляющей вступительного предложения.{{< /note >}}
+
+ - Используйте цифру один (1.) для упорядоченных списков.
+
+ - Используйте (+), (*) или (-) для неупорядоченных списков.
+
+ - Добавьте пустую строку после каждого списка.
+
+ - Во вложенных списках добавьте отступ в четыре пробела (например, ⋅⋅⋅⋅).
+
+ - Элементы списка могут содержать несколько абзацев. Каждый последующий абзац в элементе списка должен иметь отступ в четыре пробела или один символ табуляции.
+
+### Таблицы
+
+Семантическая цель таблицы данных состоит в представлении данных в табличном виде. Пользователи с нормальным зрением могут бегло просмотреть таблицу, однако программа для чтения с экрана сканирует таблицу построчно. Заголовок таблицы используется для создания информативного заголовка для табличных данных. Инструменты вспомогательных технологий (Assistive technologies, AT) используют элемент заголовка HTML-таблицы, чтобы идентифицировать для пользователей, какие на странице есть таблицы.
+
+- Добавьте подписи к таблицам с помощью соответствующих [макрокодов Hugo](/docs/contribute/style/hugo-shortcodes/#table-captions).
+
+## Рекомендации по написанию контента
+
+В этом разделе перечислены рекомендации для написания ясного, лаконичного и единообразного текста документации.
+
+### Используйте настоящее время
+
+{{< table caption = "Можно делать и нельзя - Используйте настоящее время" >}}
+Можно | Нельзя
+:--| :-----
+Эта команда запускает прокси. | Эта команда запустит прокси.
+ {{< /table >}}
+
+Исключение: используйте будущее или прошедшее время, если требуется передать правильный смысл.
+
+### Используйте действительный залог
+
+{{< table caption = "Можно делать и нельзя - Используйте действительный залог" >}}
+Можно | Нельзя
+:--| :-----
+Вы можете изучить API с помощью браузера. | API можно изучить с помощью браузера.
+В файле YAML определяется количество реплик. | Количество реплик определяется в файле YAML.
+{{< /table >}}
+
+Исключение: используйте страдательный залог, если в действительном залоге получается неудачная формулировка.
+
+### Используйте простой и понятный язык
+
+Используйте простой и доступный язык. Избегайте использования ненужных фраз, например, "пожалуйста".
+
+{{< table caption = "Можно делать и нельзя - Используйте простой и понятный язык" >}}
+Можно | Нельзя
+:--| :-----
+Чтобы создать ReplicaSet, ... | Для того чтобы создать a ReplicaSet, ...
+Смотрите конфигурационный файл. | Пожалуйста, смотрите конфигурационный файл.
+Посмотрите Pods. | С помощью следующей команды мы посмотрим Pods.
+{{< /table >}}
+
+### Обращайтесь к читателю на "вы"
+
+{{< table caption = "Можно делать и нельзя - Обращайтесь к читателю на вы" >}}
+Можно | Нельзя
+:--| :-----
+Вы можете создать Deployment с помощью ... | Мы создадим Deployment с помощью ...
+В предыдущем выводе вы можете увидеть ... | В предыдущем выводе мы можем увидеть ...
+{{< /table >}}
+
+
+### Избегайте использования латинских фраз
+
+Вместо латинских аббревиатур используйте соответствующие выражения на английском.
+
+{{< table caption = "Можно делать и нельзя - Избегайте использования латинских фраз" >}}
+Можно | Нельзя
+:--| :-----
+For example, ... | e.g., ...
+That is, ...| i.e., ...
+{{< /table >}}
+
+
+Исключение: используйте "etc." вместо "et cetera".
+
+## Ошибки, которые следует избегать
+
+### Избегайте использования "мы"
+
+Использование "мы" в предложении может сбить с толку, так так неясно, кто под этим "мы" подразумевается (имеется ли в виду сам читатель при этом).
+
+{{< table caption = "Можно делать и нельзя - Избегайте использования мы" >}}
+Можно | Нельзя
+:--| :-----
+Версия 1.4 включает в себя ... | В версии 1.4 мы добавили ...
+Kubernetes представляет новую возможность для ... | Мы представляем новую возможность ...
+На этой странице вы узнаете, как использовать Pods. | На этой странице мы познакомимся с Pods.
+{{< /table >}}
+
+
+### Избегайте жаргона и идиомы
+
+Некоторые читатели говорят на английском как на втором языке. Избегайте жаргона и идиом, чтобы облегчить им понимание.
+
+{{< table caption = "Можно делать и нельзя - Избегайте жаргона и идиомы" >}}
+Можно | Нельзя
+:--| :-----
+Internally, ... | Under the hood, ...
+Create a new cluster. | Turn up a new cluster.
+{{< /table >}}
+
+
+### Избегайте выражений о будущем
+
+Не давайте обещаний или намеков на будущее. Если вам нужно рассказать про функциональность в альфа-версии, под соответствующем заголовком напишите поясняющий текст, что информация относится к альфа-версии.
+
+### Избегайте выражений, которые могут потерять актуальность
+
+Избегайте таких слов, как "в настоящее время" и "новый". Новая функциональность в настоящее время не будет таковой через несколько месяцев.
+
+{{< table caption = "Можно делать и нельзя - Избегайте выражений, которые могут потерять актуальность" >}}
+Можно | Нельзя
+:--| :-----
+В версии 1.4 ... | В текущей версии ...
+Функциональность Federation предоставляет ... | Новая функциональность Federation предоставляет ...
+{{< /table >}}
+
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+
+* Подробнее про [написание новой темы](/ru/docs/contribute/style/write-new-topic/).
+* Подробнее про [использование шаблонов страниц](/ru/docs/contribute/style/page-templates/).
+* Подробнее про [создание пулреквеста](/ru/docs/contribute/start/#отправка-пулреквеста)).
+
+{{% /capture %}}
diff --git a/content/ru/docs/contribute/style/write-new-topic.md b/content/ru/docs/contribute/style/write-new-topic.md
new file mode 100644
index 0000000000000..d13789e52921d
--- /dev/null
+++ b/content/ru/docs/contribute/style/write-new-topic.md
@@ -0,0 +1,119 @@
+---
+title: Написание новой темы
+content_template: templates/task
+weight: 20
+---
+
+{{% capture overview %}}
+На этой странице показано, как создать новую тему для документации Kubernetes.
+{{% /capture %}}
+
+
+{{% capture prerequisites %}}
+Создайте копию репозитория документации Kubernetes, как описано в разделе [Участие для начинающих](/ru/docs/contribute/start/).
+{{% capture steps %}}
+
+## Выбор типы страницы
+
+Перед написанием новой темы, выберите тип страницы, который бы лучше всего подходил под ваш текст:
+
+{{< table caption = "Правила выбора типа страницы" >}}
+Тип | Описание
+:--- | :----------
+Концепция | Страница концепции объясняет некоторые аспекты Kubernetes. Например, страницы концепции может описывать объект Deployment в Kubernetes и разъяснить, какую роль он играет после развертывания, масштабирования и обновления приложения. Как правило, страницы концепций не включают последовательности шагов, а вместо этого содержат ссылки на задачи или руководства. В качестве примера концептуальной темы посмотрите страницу <a href="/docs/concepts/architecture/nodes/">Nodes</a>.
+Задача | На странице задачи показывается, как сделать что-то одно конкретное, главным образом с помощью короткой последовательности шагов. Страница задачи может быть короткой или длинной, если она остаётся сконцентрированной на одном аспекте. На странице задач можно сочетать краткие объяснения с необходимыми шагами для выполнения, однако если вам нужно дать подробное пояснение, вам следует сделать это в концептуальной теме. Смежные задачи и концептуальные темы должны быть связаны друг с другом. В качестве примера короткой страницы задачи посмотрите <a href="/docs/tasks/configure-pod-container/configure-volume-storage/">Configure a Pod to Use a Volume for Storage</a>. Пример длинной страницы задачи смотрите <a href="/docs/tasks/configure-pod-container/configure-liveness-readiness-probes/">Configure Liveness and Readiness Probes</a>
+Руководство | На странице руководства показано, как сделать что-то более крупнее одной-единственной задачи. В руководстве может быть несколько последовательностей шагов, которые читатели могут реально выполнить по ходу чтения страницы. Либо на странице руководства могут приведены объяснения связанных частей кода. Например, руководство может содержать разбор примера кода. Руководство может включать в себя краткие объяснения связанной функциональности Kubernetes, но при они этом должны ссылаться на сопутствующие концептуальные темы, где можно узнать подробнее про конкретные возможности.
+{{< /table >}}
+
+Используйте шаблон для каждой новой страницы. Каждый тип страницы использует определённый [шаблон](/docs/contribute/style/page-templates/), поэтому при написании собственных тем вам следует выбрать свой шаблон. Использование шаблонов помогает поддерживать единообразие в темах конкретного типа.
+
+## Выбор заголовка и имени файла a title and filename
+
+Подберите заголовок, содержащий такие ключевые слова, по которым вы могли его найти в поисковике.
+Имя файла должно создаваться из слов в заголовке, написанных через дефис.
+Например, для темы с заголовком [Using an HTTP Proxy to Access the Kubernetes API](/docs/tasks/access-kubernetes-api/http-proxy-access-api/) имя файла будет `http-proxy-access-api.md`. Вам не нужно указывать "kubernetes" в имени файла, потому что слово "kubernetes" уже есть в полном URL-адресе темы, например:
+
+       /docs/tasks/access-kubernetes-api/http-proxy-access-api/
+
+## Добавление заголовка темы в фронтальную часть
+
+В [фронтальную часть](https://gohugo.io/content-management/front-matter/) файла вашей темы поместите поле заголовка `title`. Фронтальная часть — YAML-блок, который находится тремя дефисами в самом верху страницы. Например:
+
+    ---
+    title: Using an HTTP Proxy to Access the Kubernetes API
+    ---
+
+## Выбор директории
+
+В зависимости от типа вашей страницы поместите новый файл в одну из следующую поддиректорию:
+
+* /content/en/docs/tasks/
+* /content/en/docs/tutorials/
+* /content/en/docs/concepts/
+
+Вы можете поместить файл в имеющуюся поддиректорию либо создать новую.
+
+## Добавление темы в оглавлении
+
+Оглавление динамически генерируется исходя из структуры директорий документации. Корневые директории в `/content/en/docs/` создают навигацию с основными ссылками, где у каждой поддиректории есть записи в оглавлении.
+
+В каждой поддиректории есть файл `_index.md`, представляющий собой "главную" страницу всего содержимого этой поддиректории. В файле `_index.md` не нужно применять шаблон. В нём находится обзор содержания тем в поддиректории.
+
+Другие файлы в директории по умолчанию сортируются в алфавитном порядке. Такой порядок сортировки редко устраивает. Для управления такой относительной сортировкой тем в поддиректории, определите ключ `weight:` с целым числом в фронтальной части файла. Как правило, мы используем значения, кратные 10, чтобы оставить про запас для будущих страниц. Например, тема с весом `10` будет отображаться перед темой с весом `20`.
+
+## Вставка кода в тему
+
+Если вы хотите добавить код в тему, вы можете встроить код из файла напрямую, используя синтаксис блока кода в Markdown. Такой способ рекомендуется использовать в следующих случаев (это не исчерпывающий список):
+
+- В вашем коде показывается вывод такой команды, как `kubectl get deploy mydeployment -o json | jq '.status'`.
+- Ваш код недостаточно универсален, чтобы пользователи могли его попробовать сами. В качестве примера можно привести пример YAML-файла для создания Pod, который зависит от конкретной реализации [FlexVolume](/docs/concepts/storage/volumes#flexvolume).
+- Ваш код — это не готовый пример, потому что он предзначен для выделения части большего файла. Например, при описании способов настройки [PodSecurityPolicy](/docs/tasks/administer-cluster/sysctl-cluster/#podsecuritypolicy) по определённым причинам вы можете включить небольшой фрагмент напрямую в файле темы.
+- Ваш код по разным причинам не подходит для тестирования пользователями. Например, если вы описываете, как новый атрибут должен добавляться к ресурсу с помощью команды `kubectl edit`, то вы можете добавить короткий пример, показывающий только добавляемый атрибут.
+
+## Добавление кода из другого файла
+
+Другой способ добавить код в вашу тему — создать новый полноценный файл с примером (или группу файлов примеров), а затем из вашей темы подключить этот пример.
+Используйте этот метод, чтобы включить универсальный и повторно используемый пример YAML-файла, который читатель может проверить сам.
+
+При добавлении нового отдельного файла примера, например, в формате YAML, поместите код в одну из директорий `<LANG>/examples/`, где `<LANG>` — язык темы. В вашем файле темы используйте макрокод `codenew`:
+
+```none
+{{</* codenew file="<RELPATH>/my-example-yaml>" */>}}
+```
+
+где `<RELPATH>` — это путь к включаемому файлу относительно директории `examples`. Следующий макрокод Hugo ссылается на YAML-файл по пути `/content/en/examples/pods/storage/gce-volume.yaml`.
+
+```none
+{{</* codenew file="pods/storage/gce-volume.yaml" */>}}
+```
+
+{{< note >}}
+Чтобы отобразить Hugo-макрокоды в исходном виде, как в приведенном выше примере, поместите их в комментарии в стиле языка Си между `<` и `>`. Для примера посмотрите исходный код этой страницы.
+{{< /note >}}
+
+## Демонстрация создания API-объекта из конфигурационного файла
+
+Если вам нужно показать, как создать объект API из файла конфигурации, поместите файл конфигурации в одну из директорий в `<LANG>/examples`.
+
+В вашей теме укажите эту команду:
+
+```
+kubectl create -f https://k8s.io/examples/pods/storage/gce-volume.yaml
+```
+
+{{< note >}}
+При добавлении новых YAML-файлов в директорию `<LANG>/examples`, убедитесь, что этот файл перечислен в файле `<LANG>/examples_test.go`. Подключённый к сайту Travis CI автоматически выполнит этот тестовый сценарий при отправке PR, чтобы проверить все примеры.
+{{< /note >}}
+
+В качестве примера темы, в которой используется этот метод, смотрите [Running a Single-Instance Stateful Application](/docs/tutorials/stateful-application/run-stateful-application/).
+
+## Добавление изображений в тему
+
+Поместите файлы изображений в директорию `/images`. Предпочтительный формат изображения — SVG.
+
+{{% /capture %}}
+
+{{% capture whatsnext %}}
+* Подробнее про [использование шаблонов страниц](/ru/docs/contribute/style/page-templates/).
+* Подробнее про [создание пулреквеста](/ru/docs/contribute/start/#отправка-пулреквеста)).
+{{% /capture %}}

From aa44d74fc9d0162bfa43f1965faf585881ac171e Mon Sep 17 00:00:00 2001
From: 2BFL <imqksl@gmail.com>
Date: Sat, 7 Mar 2020 18:25:34 +0800
Subject: [PATCH 17/19] translation certificates for zh (#19492)

Accept tengqm's suggestion
---
 .../docs/setup/best-practices/certificates.md | 285 ++++++++++++++++++
 1 file changed, 285 insertions(+)
 create mode 100644 content/zh/docs/setup/best-practices/certificates.md

diff --git a/content/zh/docs/setup/best-practices/certificates.md b/content/zh/docs/setup/best-practices/certificates.md
new file mode 100644
index 0000000000000..0d04a4dbf48d2
--- /dev/null
+++ b/content/zh/docs/setup/best-practices/certificates.md
@@ -0,0 +1,285 @@
+---
+title: PKI 证书和要求
+reviewers:
+- sig-cluster-lifecycle
+content_template: templates/concept
+weight: 40
+---
+<!--
+---
+title: PKI certificates and requirements
+reviewers:
+- sig-cluster-lifecycle
+content_template: templates/concept
+weight: 40
+---
+-->
+
+{{% capture overview %}}
+
+<!--
+Kubernetes requires PKI certificates for authentication over TLS.
+If you install Kubernetes with [kubeadm](/docs/reference/setup-tools/kubeadm/kubeadm/), the certificates that your cluster requires are automatically generated.
+You can also generate your own certificates -- for example, to keep your private keys more secure by not storing them on the API server.
+This page explains the certificates that your cluster requires.
+-->
+Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果您是使用 [kubeadm](/docs/reference/setup-tools/kubeadm/kubeadm/) 安装的 Kubernetes，则会自动生成集群所需的证书。您还可以生成自己的证书。例如，不将私钥存储在 API 服务器上，可以让私钥更加安全。此页面说明了集群必需的证书。
+
+{{% /capture %}}
+
+{{% capture body %}}
+
+<!--
+## How certificates are used by your cluster
+
+Kubernetes requires PKI for the following operations:
+-->
+## 集群是如何使用证书的
+
+Kubernetes 需要 PKI 才能执行以下操作：
+
+<!--
+* Client certificates for the kubelet to authenticate to the API server
+* Server certificate for the API server endpoint
+* Client certificates for administrators of the cluster to authenticate to the API server
+* Client certificates for the API server to talk to the kubelets
+* Client certificate for the API server to talk to etcd
+* Client certificate/kubeconfig for the controller manager to talk to the API server
+* Client certificate/kubeconfig for the scheduler to talk to the API server.
+* Client and server certificates for the [front-proxy][proxy]
+-->
+* Kubelet 的客户端证书，用于 API 服务器身份验证
+* API 服务器端点的证书
+* 集群管理员的客户端证书，用于 API 服务器身份认证
+* API 服务器的客户端证书，用于和 Kubelet 的会话
+* API 服务器的客户端证书，用于和 etcd 的会话
+* 控制器管理器的客户端证书/kubeconfig，用于和 API server 的会话
+* 调度器的客户端证书/kubeconfig，用于和 API server 的会话
+* [前端代理][proxy] 的客户端及服务端证书
+
+{{< note >}}
+<!--
+`front-proxy` certificates are required only if you run kube-proxy to support [an extension API server](/docs/tasks/access-kubernetes-api/setup-extension-api-server/).
+-->
+只有当您运行 kube-proxy 并要支持[扩展 API 服务器](/docs/tasks/access-kubernetes-api/setup-extension-api-server/)时，才需要 `front-proxy` 证书
+{{< /note >}}
+
+<!--
+etcd also implements mutual TLS to authenticate clients and peers.
+-->
+etcd 还实现了双向 TLS 来对客户端和对其他对等节点进行身份验证。
+
+<!--
+## Where certificates are stored
+
+If you install Kubernetes with kubeadm, certificates are stored in `/etc/kubernetes/pki`. All paths in this documentation are relative to that directory.
+-->
+## 证书存放的位置
+
+如果你是通过 kubeadm 安装的 Kubernetes，所有证书都存放在 `/etc/kuberntes/pki` 目录下。本文所有相关的路径都是基于该路径的相对路径。
+
+<!--
+## Configure certificates manually
+
+If you don't want kubeadm to generate the required certificates, you can create them in either of the following ways.
+-->
+## 手动配置证书
+
+如果你不想通过 kubeadm 生成这些必需的证书，你可以通过下面两种方式之一来手动创建他们。
+
+<!--
+### Single root CA
+
+You can create a single root CA, controlled by an administrator. This root CA can then create multiple intermediate CAs, and delegate all further creation to Kubernetes itself.
+-->
+### 单根 CA
+
+你可以创建一个单根 CA，由管理员控制器它。该根 CA 可以创建多个中间 CA，并将所有进一步的创建委托给 Kubernetes。
+
+<!--
+Required CAs:
+
+| 路径                    | 默认 CN                    | 描述                             |
+|------------------------|---------------------------|----------------------------------|
+| ca.crt,key             | kubernetes-ca             | Kubernetes general CA            |
+| etcd/ca.crt,key        | etcd-ca                   | For all etcd-related functions   |
+| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | For the [front-end proxy][proxy] |
+
+On top of the above CAs, it is also necessary to get a public/private key pair for service account management, `sa.key` and `sa.pub`.
+-->
+需要这些 CA：
+
+| 路径                    | 默认 CN                    | 描述                             |
+|------------------------|---------------------------|----------------------------------|
+| ca.crt,key             | kubernetes-ca             | Kubernetes 通用 CA                |
+| etcd/ca.crt,key        | etcd-ca                   | 与 etcd 相关的所有功能              |
+| front-proxy-ca.crt,key | kubernetes-front-proxy-ca | 用于 [前端代理][proxy] |
+
+上面的 CA 之外，还需要获取用于服务账户管理的密钥对，也就是 `sa.key` 和 `sa.pub`。
+
+<!--
+### All certificates
+
+If you don't wish to copy the CA private keys to your cluster, you can generate all certificates yourself.
+
+Required certificates:
+-->
+### 所有的证书
+
+如果你不想将 CA 的私钥拷贝至你的集群中，你也可以自己生成全部的证书。
+
+需要这些证书：
+
+| 默认 CN                    | 父级 CA                 | O (位于 Subject 中) | 类型                                   | 主机 (SAN)                                 |
+|-------------------------------|---------------------------|----------------|----------------------------------------|---------------------------------------------|
+| kube-etcd                     | etcd-ca                   |                | server, client                         | `localhost`, `127.0.0.1`                        |
+| kube-etcd-peer                | etcd-ca                   |                | server, client                         | `<hostname>`, `<Host_IP>`, `localhost`, `127.0.0.1` |
+| kube-etcd-healthcheck-client  | etcd-ca                   |                | client                                 |                                             |
+| kube-apiserver-etcd-client    | etcd-ca                   | system:masters | client                                 |                                             |
+| kube-apiserver                | kubernetes-ca             |                | server                                 | `<hostname>`, `<Host_IP>`, `<advertise_IP>`, `[1]` |
+| kube-apiserver-kubelet-client | kubernetes-ca             | system:masters | client                                 |                                             |
+| front-proxy-client            | kubernetes-front-proxy-ca |                | client                                 |                                             |
+
+<!--
+[1]: any other IP or DNS name you contact your cluster on (as used by [kubeadm][kubeadm] the load balancer stable IP and/or DNS name, `kubernetes`, `kubernetes.default`, `kubernetes.default.svc`,
+`kubernetes.default.svc.cluster`, `kubernetes.default.svc.cluster.local`)
+
+where `kind` maps to one or more of the [x509 key usage][usage] types:
+-->
+[1]: 用来连接到集群的不同 IP 或 DNS 名（就像 [kubeadm][kubeadm] 为负载均衡所使用的固定 IP 或 DNS 名，`kubernetes`、`kubernetes.default`、`kubernetes.default.svc`、`kubernetes.default.svc.cluster`、`kubernetes.default.svc.cluster.local`）
+
+其中，`kind` 对应一种或多种类型的 [x509 密钥用途][usage]：
+
+<!--
+| kind   | Key usage                                                                       |
+|--------|---------------------------------------------------------------------------------|
+| server | digital signature, key encipherment, server auth                                |
+| client | digital signature, key encipherment, client auth                                |
+-->
+| kind   | 密钥用途                                                                         |
+|--------|---------------------------------------------------------------------------------|
+| server | 数字签名、密钥加密、服务端认证                                                       |
+| client | 数字签名、密钥加密、客户端认证                                                       |
+
+
+{{< note >}}
+<!--
+Hosts/SAN listed above are the recommended ones for getting a working cluster; if required by a specific setup, it is possible to add additional SANs on all the server certificates.
+-->
+上面列出的 Hosts/SAN 是推荐的配置方式；如果需要特殊安装，则可以在所有服务器证书上添加其他 SAN。
+{{< /note >}}
+
+{{< note >}}
+<!--
+For kubeadm users only:
+
+* The scenario where you are copying to your cluster CA certificates without private keys is referred as external CA in the kubeadm documentation.
+* If you are comparing the above list with a kubeadm generated PKI, please be aware that `kube-etcd`, `kube-etcd-peer` and `kube-etcd-healthcheck-client` certificates
+  are not generated in case of external etcd.
+-->
+对于 kubeadm 用户：
+
+* 不使用私钥，将证书复制到集群 CA 的方案，在 kubeadm 文档中将这种方案称为外部 CA。
+* 如果将以上列表与 kubeadm 生成的 PKI 进行比较，你会注意到，如果使用外部 etcd，则不会生成 `kube-etcd`、`kube-etcd-peer` 和 `kube-etcd-healthcheck-client` 证书。
+
+{{< /note >}}
+
+<!--
+### Certificate paths
+
+Certificates should be placed in a recommended path (as used by [kubeadm][kubeadm]). Paths should be specified using the given argument regardless of location.
+-->
+### 证书路径
+
+证书应放置在建议的路径中（以便 [kubeadm][kubeadm]使用）。无论使用什么位置，都应使用给定的参数指定路径。
+
+| 默认 CN                   | 建议的密钥路径         | 建议的证书路径       | 命令        | 密钥参数               | 证书参数                             |
+|------------------------------|------------------------------|-----------------------------|----------------|------------------------------|-------------------------------------------|
+| etcd-ca                      |     etcd/ca.key                         | etcd/ca.crt                 | kube-apiserver |                              | --etcd-cafile                             |
+| kube-apiserver-etcd-client   | apiserver-etcd-client.key    | apiserver-etcd-client.crt   | kube-apiserver | --etcd-keyfile               | --etcd-certfile                           |
+| kubernetes-ca                |    ca.key                          | ca.crt                      | kube-apiserver |                              | --client-ca-file                          |
+| kubernetes-ca                |    ca.key                          | ca.crt                      | kube-controller-manager | --cluster-signing-key-file      | --client-ca-file, --root-ca-file, --cluster-signing-cert-file  |
+| kube-apiserver               | apiserver.key                | apiserver.crt               | kube-apiserver | --tls-private-key-file       | --tls-cert-file                           |
+| kube-apiserver-kubelet-client|     apiserver-kubelet-client.key                         | apiserver-kubelet-client.crt| kube-apiserver | --kubelet-client-key | --kubelet-client-certificate              |
+| front-proxy-ca               |     front-proxy-ca.key                         | front-proxy-ca.crt          | kube-apiserver |                              | --requestheader-client-ca-file            |
+| front-proxy-ca               |     front-proxy-ca.key                         | front-proxy-ca.crt          | kube-controller-manager |                              | --requestheader-client-ca-file |
+| front-proxy-client           | front-proxy-client.key       | front-proxy-client.crt      | kube-apiserver | --proxy-client-key-file      | --proxy-client-cert-file                  |
+| etcd-ca                      |         etcd/ca.key                     | etcd/ca.crt                 | etcd           |                              | --trusted-ca-file, --peer-trusted-ca-file |
+| kube-etcd                    | etcd/server.key              | etcd/server.crt             | etcd           | --key-file                   | --cert-file                               |
+| kube-etcd-peer               | etcd/peer.key                | etcd/peer.crt               | etcd           | --peer-key-file              | --peer-cert-file                          |
+| etcd-ca                      |                              | etcd/ca.crt                 | etcdctl    |                              | --cacert                                  |
+| kube-etcd-healthcheck-client | etcd/healthcheck-client.key  | etcd/healthcheck-client.crt | etcdctl     | --key                        | --cert                                    |
+
+<!--
+Same considerations apply for the service account key pair:
+-->
+注意事项同样适用于服务帐户密钥对：
+
+| 私钥路径            | 公钥路径            | 命令                 | 参数                             |
+|------------------------------|-----------------------------|-------------------------|--------------------------------------|
+|  sa.key                      |                             | kube-controller-manager | service-account-private              |
+|                              | sa.pub                      | kube-apiserver          | service-account-key                  |
+
+<!--
+## Configure certificates for user accounts
+
+You must manually configure these administrator account and service accounts:
+-->
+## 为用户帐户配置证书
+
+您必须手动配置以下管理员帐户和服务帐户：
+
+| 文件名                | 凭据名称            | 默认 CN                     | O (位于 Subject 中) |
+|-------------------------|----------------------------|--------------------------------|----------------|
+| admin.conf              | default-admin              | kubernetes-admin               | system:masters |
+| kubelet.conf            | default-auth               | system:node:`<nodeName>` (see note) | system:nodes   |
+| controller-manager.conf | default-controller-manager | system:kube-controller-manager |                |
+| scheduler.conf          | default-scheduler          | system:kube-scheduler          |                |
+
+{{< note >}}
+<!--
+The value of `<nodeName>` for `kubelet.conf` **must** match precisely the value of the node name provided by the kubelet as it registers with the apiserver. For further details, read the [Node Authorization](/docs/reference/access-authn-authz/node/).
+-->
+`kubelet.conf` 中 `<nodeName>` 的值 **必须** 与 kubelet 向 apiserver 注册时提供的节点名称的值完全匹配。有关更多详细信息，请阅读[节点授权](/docs/reference/access-authn-authz/node/)。
+{{< /note >}}
+
+<!--
+1. For each config, generate an x509 cert/key pair with the given CN and O.
+
+1. Run `kubectl` as follows for each config:
+-->
+1. 对于每个配置，请都使用给定的 CN 和 O 生成 x509 证书/密钥偶对。
+
+1. 为每个配置运行下面的 `kubectl` 命令：
+
+```shell
+KUBECONFIG=<filename> kubectl config set-cluster default-cluster --server=https://<host ip>:6443 --certificate-authority <path-to-kubernetes-ca> --embed-certs
+KUBECONFIG=<filename> kubectl config set-credentials <credential-name> --client-key <path-to-key>.pem --client-certificate <path-to-cert>.pem --embed-certs
+KUBECONFIG=<filename> kubectl config set-context default-system --cluster default-cluster --user <credential-name>
+KUBECONFIG=<filename> kubectl config use-context default-system
+```
+
+<!--
+These files are used as follows:
+
+| filename                | command                 | comment                                                               |
+|-------------------------|-------------------------|-----------------------------------------------------------------------|
+| admin.conf              | kubectl                 | Configures administrator user for the cluster                                      |
+| kubelet.conf            | kubelet                 | One required for each node in the cluster.                            |
+| controller-manager.conf | kube-controller-manager | Must be added to manifest in `manifests/kube-controller-manager.yaml` |
+| scheduler.conf          | kube-scheduler          | Must be added to manifest in `manifests/kube-scheduler.yaml`          |
+-->
+这些文件用途如下：
+
+| 文件名                   | 命令                     | 说明                                                                  |
+|-------------------------|-------------------------|-----------------------------------------------------------------------|
+| admin.conf              | kubectl                 | 配置集群的管理员                                                         |
+| kubelet.conf            | kubelet                 | 集群中的每个节点都需要一份                                                 |
+| controller-manager.conf | kube-controller-manager | 必需添加到 `manifests/kube-controller-manager.yaml` 清单中               |
+| scheduler.conf          | kube-scheduler          | 必需添加到 `manifests/kube-scheduler.yaml` 清单中                        |
+
+[usage]: https://godoc.org/k8s.io/api/certificates/v1beta1#KeyUsage
+[kubeadm]: /docs/reference/setup-tools/kubeadm/kubeadm/
+[proxy]: /docs/tasks/access-kubernetes-api/configure-aggregation-layer/
+
+{{% /capture %}}

From 56379649d38f5e49a77b54ccf737cf7177c1dacd Mon Sep 17 00:00:00 2001
From: divya-mohan0209 <divya.mohan0209@gmail.com>
Date: Sat, 7 Mar 2020 19:01:34 +0530
Subject: [PATCH 18/19] Added date metadata to blog articles #19503 (#19523)

Added <time> </time> HTML element to the date heading in blog post articles.
The opening <time> tag also was given a datetime attribute, with the value using another Hugo shortcode. Since these use Go time patterns; we included the following in the opening <time> tag datetime="{{ .Date.Format "2006-01-02" }}".
---
 layouts/blog/post.html | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/layouts/blog/post.html b/layouts/blog/post.html
index cd07c5395d150..3d1afae8e279d 100644
--- a/layouts/blog/post.html
+++ b/layouts/blog/post.html
@@ -1,3 +1,3 @@
-<h4 class="date-header">{{ .Date.Format site.Params.time_format_blog }}</h4>
+<h4 class="date-header"><time datetime="{{ .Date.Format "2006-01-02" }}">{{ .Date.Format site.Params.time_format_blog }}</time></h4>
 <h3 class="post-title entry-title"><a href="{{ .Permalink }}">{{ .Title }}</a></h3>
 {{ .Content }}

From 159bf5983d198007745ef4e03e5d67d76126621f Mon Sep 17 00:00:00 2001
From: divya-mohan0209 <divya.mohan0209@gmail.com>
Date: Sat, 7 Mar 2020 19:31:34 +0530
Subject: [PATCH 19/19] Updated ingress address in Single Service Ingress
 (#19522)

Replaced 107.178.254.228 with a documentation IP address 203.0.113.123
---
 content/en/docs/concepts/services-networking/ingress.md | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/content/en/docs/concepts/services-networking/ingress.md b/content/en/docs/concepts/services-networking/ingress.md
index 667e3741106f2..f69cce446f54b 100644
--- a/content/en/docs/concepts/services-networking/ingress.md
+++ b/content/en/docs/concepts/services-networking/ingress.md
@@ -136,10 +136,10 @@ kubectl get ingress test-ingress
 
 ```
 NAME           HOSTS     ADDRESS           PORTS     AGE
-test-ingress   *         107.178.254.228   80        59s
+test-ingress   *         203.0.113.123   80        59s
 ```
 
-Where `107.178.254.228` is the IP allocated by the Ingress controller to satisfy
+Where `203.0.113.123` is the IP allocated by the Ingress controller to satisfy
 this Ingress.
 
 {{< note >}}