K8s 必备：kubectl patch 命令详解

一、引言：为什么选择kubectl patch？

在日常Kubernetes运维中，资源更新是常见操作。虽然kubectl apply和kubectl edit都有其用途，但它们存在明显局限：

• kubectl apply：需要完整的配置文件，无法进行局部更新
• kubectl edit：交互式操作，难以自动化且需要处理整个资源定义

相比之下，kubectl patch命令提供了精准的局部更新能力，只需指定变更部分，极大提升了运维效率和自动化可能性。

二、深度解析三种Patch策略

1. Strategic Merge Patch（策略合并补丁，默认方式）

Kubernetes特有的智能补丁机制，基于字段的patchStrategy和patchMergeKey标签实现智能合并。

实战示例：向Deployment动态添加容器

# 创建基础Deployment
kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  name: patch-demo
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx-container
        image: nginx:1.19
        ports:
        - containerPort: 80
EOF

# 使用patch添加Redis容器
kubectl patch deployment patch-demo --patch '{
  "spec": {
    "template": {
      "spec": {
        "containers": [
          {
            "name": "redis-container",
            "image": "redis:6.0",
            "ports": [
              {"containerPort": 6379}
            ]
          }
        ]
      }
    }
  }
}'

智能合并机制解析：

• 对于containers、initContainers等数组字段，Kubernetes使用name作为合并键
• 同名容器执行更新，新名称容器执行添加操作
• 保持现有配置不变，只应用指定变更

2. JSON Merge Patch（JSON合并补丁）

遵循RFC 7386标准，行为直观：

• 存在的字段：执行替换（字段值为null表示删除）
• 不存在的字段：保持原样

实战示例：灵活调整资源配置

# 调整副本数量
kubectl patch deployment --type merge patch-demo --patch '{
  "spec": {
    "replicas": 5
  }
}'

# 更新资源限制
kubectl patch deployment --type merge patch-demo --patch '{
  "spec": {
    "template": {
      "spec": {
        "containers": [{
          "name": "nginx-container",
          "resources": {
            "requests": {"cpu": "200m", "memory": "256Mi"},
            "limits": {"cpu": "500m", "memory": "512Mi"}
          }
        }]
      }
    }
  }
}'

重要限制：JSON Merge Patch会整体替换数组，不适合精细操作容器列表等数组字段。

3. JSON Patch（JSON补丁）

遵循RFC 6902标准，通过明确的操作指令实现精确控制：

六种操作类型：

• add：添加字段或数组元素
• remove：删除字段或数组元素
• replace：替换字段值
• move：移动字段值
• copy：复制字段值
• test：验证字段值（条件执行）

实战示例：精确的字段级操作

# 精确更新特定字段
kubectl patch deployment --type json patch-demo --patch '[
  {
    "op": "replace",
    "path": "/spec/replicas",
    "value": 3
  },
  {
    "op": "replace",
    "path": "/spec/template/spec/containers/0/image",
    "value": "nginx:1.21"
  }
]'

# 删除特定注解
kubectl patch deployment --type json patch-demo --patch '[{
  "op": "remove",
  "path": "/metadata/annotations/old-annotation"
}]'

三、策略对比与选型指南

选型建议：

• 日常K8s运维：优先使用Strategic Merge Patch（默认）
• 简单字段更新：选择JSON Merge Patch
• 复杂精确操作：使用JSON Patch

四、生产环境实战技巧

1. 使用Patch文件提升可维护性

对于复杂变更，使用独立的patch文件：

# deployment-patch.yaml
spec:
  template:
    spec:
      containers:
      - name: nginx-container
        image: nginx:1.21.3
        resources:
          requests:
            cpu: 300m
            memory: 512Mi
          limits:
            cpu: 800m
            memory: 1Gi

kubectl patch deployment patch-demo --patch-file deployment-patch.yaml

2. 预检机制：dry-run与diff

执行前充分验证变更：

# 预览变更效果
kubectl patch deployment patch-demo \
  --patch '{"spec":{"replicas":5}}' \
  --dry-run=client -o yaml

# 结合kubectl diff（需安装diff插件）
kubectl diff -f deployment-patch.yaml

3. 处理特殊字段模式

某些字段需要特殊处理策略：

# 更新Deployment策略类型
kubectl patch deployment patch-demo --patch '{
  "spec": {
    "strategy": {
      "$retainKeys": ["type", "rollingUpdate"],
      "type": "RollingUpdate",
      "rollingUpdate": {
        "maxSurge": "25%",
        "maxUnavailable": "25%"
      }
    }
  }
}'

4. 批量操作与脚本集成

# 批量更新所有匹配的Deployment
kubectl get deployments -l app=webapp -o name | \
xargs -I {} kubectl patch {} --patch '{
  "spec": {
    "template": {
      "metadata": {
        "labels": {
          "updated": "'$(date +%s)'"
        }
      }
    }
  }
}'

# 在CI/CD流水线中使用
kubectl patch deployment $APP_NAME --type json --patch '[{
  "op": "replace",
  "path": "/spec/template/spec/containers/0/image",
  "value": "'${NEW_IMAGE}'"
}]'

五、典型应用场景详解

1. 持续部署：镜像版本更新

# 精确更新镜像版本
kubectl patch deployment my-app --type json --patch '[{
  "op": "replace",
  "path": "/spec/template/spec/containers/0/image",
  "value": "my-registry/app:v2.1.0"
}]'

# 多容器应用选择性更新
kubectl patch deployment multi-container-app --type json --patch '[
  {
    "op": "replace",
    "path": "/spec/template/spec/containers/0/image",
    "value": "nginx:1.21"
  },
  {
    "op": "replace", 
    "path": "/spec/template/spec/containers/1/image",
    "value": "redis:6.2"
  }
]'

2. 弹性伸缩：资源动态调整

# 根据负载调整资源配额
kubectl patch deployment my-app --patch '{
  "spec": {
    "template": {
      "spec": {
        "containers": [{
          "name": "app",
          "resources": {
            "requests": {
              "cpu": "500m",
              "memory": "1Gi"
            },
            "limits": {
              "cpu": "2",
              "memory": "4Gi"
            }
          }
        }]
      }
    }
  }
}'

# 调整HPA相关注解
kubectl patch deployment my-app --type json --patch '[{
  "op": "add",
  "path": "/metadata/annotations/autoscaling.alpha.kubernetes.io~1metrics",
  "value": "[{\"type\":\"Resource\",\"resource\":{\"name\":\"cpu\",\"targetAverageUtilization\":70}}]"
}]'

3. 元数据管理：标签与注解

# 添加业务标签
kubectl patch deployment my-app --type json --patch '[{
  "op": "add",
  "path": "/metadata/labels/environment",
  "value": "production"
}, {
  "op": "add", 
  "path": "/metadata/labels/team",
  "value": "platform-engineering"
}]'

# 更新监控注解
kubectl patch deployment my-app --type json --patch '[{
  "op": "replace",
  "path": "/metadata/annotations/prometheus.io~1port",
  "value": "8080"
}, {
  "op": "replace",
  "path": "/metadata/annotations/prometheus.io~1path", 
  "value": "/metrics"
}]'

六、高级技巧与故障排查

1. 条件式Patch操作

# 仅当当前副本数为3时才执行更新
current_replicas=$(kubectl get deployment patch-demo -o jsonpath='{.spec.replicas}')
if [ "$current_replicas" -eq 3 ]; then
  kubectl patch deployment patch-demo --patch '{"spec":{"replicas":5}}'
fi

2. 错误处理与重试机制

# 带错误处理和重试的patch操作
max_retries=3
retry_count=0

while [ $retry_count -lt $max_retries ]; do
  if kubectl patch deployment patch-demo --patch '...'; then
    echo "Patch successful"
    break
  else
    ((retry_count++))
    echo "Patch failed, retrying... ($retry_count/$max_retries)"
    sleep 5
  fi
done

3. 性能优化：减少API调用

# 合并多个操作为单个API调用
kubectl patch deployment patch-demo --type json --patch '[
  {
    "op": "replace",
    "path": "/spec/replicas",
    "value": 4
  },
  {
    "op": "replace",
    "path": "/spec/template/spec/containers/0/image", 
    "value": "nginx:latest"
  },
  {
    "op": "add",
    "path": "/metadata/annotations/deployed-at",
    "value": "'$(date -Iseconds)'"
  }
]'

七、总结

kubectl patch是Kubernetes运维中不可或缺的精准操作工具，其核心价值在于：

• 精准性：靶向更新特定字段，避免完整资源配置的维护负担
• 效率性：减少数据传输量，提升大规模集群操作性能
• 自动化友好：完美集成CI/CD流水线和自动化运维脚本
• 安全性：降低误操作风险，变更范围可控

最佳实践总结：

1. 策略选择：默认Strategic Merge，简单字段用JSON Merge，精确控制用JSON Patch
2. 变更管理：始终使用dry-run预览，重要变更先备份
3. 脚本化：复杂操作用patch文件，提升可读性和可维护性
4. 错误处理：实现重试机制，妥善处理版本冲突等异常情况

掌握kubectl patch的高级用法，将显著提升你的Kubernetes运维效能，实现真正意义上的"基础设施即代码"的精准管理。

本文来自博客园，作者：dashery，转载请注明原文链接：https://www.cnblogs.com/ydswin/p/19099353