diff --git a/.gitignore b/.gitignore
index 6a629010d04..a1bead7d255 100644
--- a/.gitignore
+++ b/.gitignore
@@ -29,6 +29,7 @@ nohup.out
 # Hugo output
 public/
 resources/
+.hugo_build.lock
 
 # Netlify Functions build output
 package-lock.json
diff --git a/Makefile b/Makefile
index 4b3ca99864f..dedd387eb6a 100644
--- a/Makefile
+++ b/Makefile
@@ -9,7 +9,7 @@ CONTAINER_ENGINE ?= docker
 IMAGE_REGISTRY ?= gcr.io/k8s-staging-sig-docs
 IMAGE_VERSION=$(shell scripts/hash-files.sh Dockerfile Makefile | cut -c 1-12)
 CONTAINER_IMAGE   = $(IMAGE_REGISTRY)/k8s-website-hugo:v$(HUGO_VERSION)-$(IMAGE_VERSION)
-CONTAINER_RUN     = $(CONTAINER_ENGINE) run --rm --interactive --tty --volume $(CURDIR):/src
+CONTAINER_RUN     = "$(CONTAINER_ENGINE)" run --rm --interactive --tty --volume "$(CURDIR):/src"
 
 CCRED=\033[0;31m
 CCEND=\033[0m
@@ -95,7 +95,7 @@ docker-internal-linkcheck:
 
 container-internal-linkcheck: link-checker-image-pull
 	$(CONTAINER_RUN) $(CONTAINER_IMAGE) hugo --config config.toml,linkcheck-config.toml --buildFuture --environment test
-	$(CONTAINER_ENGINE) run --mount type=bind,source=$(CURDIR),target=/test --rm wjdp/htmltest htmltest
+	$(CONTAINER_ENGINE) run --mount "type=bind,source=$(CURDIR),target=/test" --rm wjdp/htmltest htmltest
 
 clean-api-reference: ## Clean all directories in API reference directory, preserve _index.md
 	rm -rf content/en/docs/reference/kubernetes-api/*/
diff --git a/OWNERS_ALIASES b/OWNERS_ALIASES
index 296e743a845..443410ae561 100644
--- a/OWNERS_ALIASES
+++ b/OWNERS_ALIASES
@@ -200,6 +200,7 @@ aliases:
     - devlware
     - jhonmike
     - rikatz
+    - stormqueen1990
     - yagonobre
   sig-docs-vi-owners: # Admins for Vietnamese content
     - huynguyennovem
diff --git a/README-ko.md b/README-ko.md
index c3e1068b2e5..fd17e2b6559 100644
--- a/README-ko.md
+++ b/README-ko.md
@@ -4,6 +4,9 @@
 
 이 저장소에는 [쿠버네티스 웹사이트 및 문서](https://kubernetes.io/)를 빌드하는 데 필요한 자산이 포함되어 있습니다. 기여해주셔서 감사합니다!
 
+- [문서에 기여하기](#contributing-to-the-docs)
+- [`README.md`에 대한 쿠버네티스 문서 현지화](#localization-readmemds)
+
 # 저장소 사용하기
 
 Hugo(확장 버전)를 사용하여 웹사이트를 로컬에서 실행하거나, 컨테이너 런타임에서 실행할 수 있습니다. 라이브 웹사이트와의 배포 일관성을 제공하므로, 컨테이너 런타임을 사용하는 것을 적극 권장합니다.
@@ -40,6 +43,8 @@ make container-image
 make container-serve
 ```
 
+에러가 발생한다면, Hugo 컨테이너를 위한 컴퓨팅 리소스가 충분하지 않기 때문일 수 있습니다. 이를 해결하려면, 머신에서 도커에 허용할 CPU 및 메모리 사용량을 늘립니다([MacOSX](https://docs.docker.com/docker-for-mac/#resources) / [Windows](https://docs.docker.com/docker-for-windows/#resources)).
+
 웹사이트를 보려면 브라우저를 http://localhost:1313 으로 엽니다. 소스 파일을 변경하면 Hugo가 웹사이트를 업데이트하고 브라우저를 강제로 새로 고칩니다.
 
 ## Hugo를 사용하여 로컬에서 웹사이트 실행하기
@@ -56,7 +61,45 @@ make serve
 
 그러면 포트 1313에서 로컬 Hugo 서버가 시작됩니다. 웹사이트를 보려면 http://localhost:1313 으로 브라우저를 엽니다. 소스 파일을 변경하면, Hugo가 웹사이트를 업데이트하고 브라우저를 강제로 새로 고칩니다.
 
+## API 레퍼런스 페이지 빌드하기
+
+`content/en/docs/reference/kubernetes-api`에 있는 API 레퍼런스 페이지는 <https://github.com/kubernetes-sigs/reference-docs/tree/master/gen-resourcesdocs>를 사용하여 Swagger 명세로부터 빌드되었습니다.
+
+새로운 쿠버네티스 릴리스를 위해 레퍼런스 페이지를 업데이트하려면 다음 단계를 수행합니다.
+
+1. `api-ref-generator` 서브모듈을 받아옵니다.
+
+   ```bash
+   git submodule update --init --recursive --depth 1
+   ```
+
+2. Swagger 명세를 업데이트합니다.
+
+   ```bash
+   curl 'https://raw.githubusercontent.com/kubernetes/kubernetes/master/api/openapi-spec/swagger.json' > api-ref-assets/api/swagger.json
+   ```
+
+3. `api-ref-assets/config/`에서, 새 릴리스의 변경 사항이 반영되도록 `toc.yaml` 및 `fields.yaml` 파일을 업데이트합니다.
+
+4. 다음으로, 페이지를 빌드합니다.
+
+   ```bash
+   make api-reference
+   ```
+
+   로컬에서 결과를 테스트하기 위해 컨테이너 이미지를 이용하여 사이트를 빌드 및 실행합니다.
+
+   ```bash
+   make container-image
+   make container-serve
+   ```
+
+   웹 브라우저에서, <http://localhost:1313/docs/reference/kubernetes-api/>로 이동하여 API 레퍼런스를 확인합니다.
+
+5. 모든 API 변경사항이 `toc.yaml` 및 `fields.yaml` 구성 파일에 반영되었다면, 새로 생성된 API 레퍼런스 페이지에 대한 PR을 엽니다.
+
 ## 문제 해결
+
 ### error: failed to transform resource: TOCSS: failed to transform "scss/main.scss" (text/x-scss): this feature is not available in your current Hugo version
 
 Hugo는 기술적인 이유로 2개의 바이너리 세트로 제공됩니다. 현재 웹사이트는 **Hugo 확장** 버전 기반에서만 실행됩니다. [릴리스 페이지](https://github.com/gohugoio/hugo/releases)에서 이름에 `extended` 가 포함된 아카이브를 찾습니다. 확인하려면, `hugo version` 을 실행하고 `extended` 라는 단어를 찾습니다.
@@ -97,17 +140,17 @@ sudo launchctl load -w /Library/LaunchDaemons/limit.maxfiles.plist
 
 이 내용은 Catalina와 Mojave macOS에서 작동합니다.
 
-
 # SIG Docs에 참여하기
 
 [커뮤니티 페이지](https://github.com/kubernetes/community/tree/master/sig-docs#meetings)에서 SIG Docs 쿠버네티스 커뮤니티 및 회의에 대한 자세한 내용을 확인합니다.
 
 이 프로젝트의 메인테이너에게 연락을 할 수도 있습니다.
 
-- [슬랙](https://kubernetes.slack.com/messages/sig-docs) [슬랙에 초대 받기](https://slack.k8s.io/)
+- [슬랙](https://kubernetes.slack.com/messages/sig-docs)
+  - [슬랙에 초대 받기](https://slack.k8s.io/)
 - [메일링 리스트](https://groups.google.com/forum/#!forum/kubernetes-sig-docs)
 
-# 문서에 기여하기
+# 문서에 기여하기 {#contributing-to-the-docs}
 
 이 저장소에 대한 복제본을 여러분의 GitHub 계정에 생성하기 위해 화면 오른쪽 위 영역에 있는 **Fork** 버튼을 클릭하면 됩니다. 이 복제본은 *fork* 라고 부릅니다. 여러분의 fork에서 원하는 임의의 변경 사항을 만들고, 해당 변경 사항을 보낼 준비가 되었다면, 여러분의 fork로 이동하여 새로운 풀 리퀘스트를 만들어 우리에게 알려주시기 바랍니다.
 
@@ -124,7 +167,15 @@ sudo launchctl load -w /Library/LaunchDaemons/limit.maxfiles.plist
 * [문서화 스타일 가이드](http://kubernetes.io/docs/contribute/style/style-guide/)
 * [쿠버네티스 문서 현지화](https://kubernetes.io/docs/contribute/localization/)
 
-# `README.md`에 대한 쿠버네티스 문서 현지화(localization)
+### 신규 기여자 대사(ambassadors)
+
+기여 과정에서 도움이 필요하다면, [신규 기여자 대사](https://kubernetes.io/docs/contribute/advanced/#serve-as-a-new-contributor-ambassador)에게 연락하는 것이 좋습니다. 이들은 신규 기여자를 멘토링하고 첫 PR 과정에서 도움을 주는 역할도 담당하는 SIG Docs 승인자입니다. 신규 기여자 대사에게 문의할 가장 좋은 곳은 [쿠버네티스 슬랙](https://slack.k8s.io/)입니다. 현재 SIG Docs 신규 기여자 대사는 다음과 같습니다.
+
+| Name                       | Slack                      | GitHub                     |                   
+| -------------------------- | -------------------------- | -------------------------- |
+| Arsh Sharma                | @arsh                      | @RinkiyaKeDad              |
+
+# `README.md`에 대한 쿠버네티스 문서 현지화(localization) {#localization-readmemds}
 
 ## 한국어
 
@@ -135,6 +186,7 @@ sudo launchctl load -w /Library/LaunchDaemons/limit.maxfiles.plist
 * 손석호 ([GitHub - @seokho-son](https://github.com/seokho-son))
 * [슬랙 채널](https://kubernetes.slack.com/messages/kubernetes-docs-ko)
 
+
 # 행동 강령
 
 쿠버네티스 커뮤니티 참여는 [CNCF 행동 강령](https://github.com/cncf/foundation/blob/master/code-of-conduct-languages/ko.md)을 따릅니다.
diff --git a/README-zh.md b/README-zh.md
index e3ac58fb935..0b9dfc1ce70 100644
--- a/README-zh.md
+++ b/README-zh.md
@@ -80,7 +80,7 @@ To build the site in a container, run the following to build the container image
 要在容器中构建网站，请通过以下命令来构建容器镜像并运行：
 
 ```bash
-make container-image
+# 你可以将 $CONTAINER_ENGINE 设置为任何 Docker 类容器工具的名称
 make container-serve
 ```
 
@@ -257,6 +257,51 @@ This works for Catalina as well as Mojave macOS.
 -->
 这适用于 Catalina 和 Mojave macOS。
 
+### 对执行 make container-image 命令部分地区访问超时的故障排除
+
+现象如下：
+
+```shell
+langs/language.go:23:2: golang.org/x/text@v0.3.7: Get "https://proxy.golang.org/golang.org/x/text/@v/v0.3.7.zip": dial tcp 142.251.43.17:443: i/o timeout
+langs/language.go:24:2: golang.org/x/text@v0.3.7: Get "https://proxy.golang.org/golang.org/x/text/@v/v0.3.7.zip": dial tcp 142.251.43.17:443: i/o timeout
+common/text/transform.go:21:2: golang.org/x/text@v0.3.7: Get "https://proxy.golang.org/golang.org/x/text/@v/v0.3.7.zip": dial tcp 142.251.43.17:443: i/o timeout
+common/text/transform.go:22:2: golang.org/x/text@v0.3.7: Get "https://proxy.golang.org/golang.org/x/text/@v/v0.3.7.zip": dial tcp 142.251.43.17:443: i/o timeout
+common/text/transform.go:23:2: golang.org/x/text@v0.3.7: Get "https://proxy.golang.org/golang.org/x/text/@v/v0.3.7.zip": dial tcp 142.251.43.17:443: i/o timeout
+hugolib/integrationtest_builder.go:29:2: golang.org/x/tools@v0.1.11: Get "https://proxy.golang.org/golang.org/x/tools/@v/v0.1.11.zip": dial tcp 142.251.42.241:443: i/o timeout
+deploy/google.go:24:2: google.golang.org/api@v0.76.0: Get "https://proxy.golang.org/google.golang.org/api/@v/v0.76.0.zip": dial tcp 142.251.43.17:443: i/o timeout
+parser/metadecoders/decoder.go:32:2: gopkg.in/yaml.v2@v2.4.0: Get "https://proxy.golang.org/gopkg.in/yaml.v2/@v/v2.4.0.zip": dial tcp 142.251.42.241:443: i/o timeout
+The command '/bin/sh -c mkdir $HOME/src &&     cd $HOME/src &&     curl -L https://github.com/gohugoio/hugo/archive/refs/tags/v${HUGO_VERSION}.tar.gz | tar -xz &&     cd "hugo-${HUGO_VERS    ION}" &&     go install --tags extended' returned a non-zero code: 1
+make: *** [Makefile:69：container-image] error 1
+```
+
+请修改 `Dockerfile` 文件，为其添加网络代理。修改内容如下：
+
+```dockerfile
+...
+FROM golang:1.18-alpine
+
+LABEL maintainer="Luc Perkins <lperkins@linuxfoundation.org>"
+
+ENV GO111MODULE=on                            # 需要添加内容1
+
+ENV GOPROXY=https://proxy.golang.org,direct   # 需要添加内容2
+
+RUN apk add --no-cache \
+    curl \
+    gcc \
+    g++ \
+    musl-dev \
+    build-base \
+    libc6-compat
+
+ARG HUGO_VERSION
+...
+```
+
+将 "https://proxy.golang.org" 替换为本地可以使用的代理地址。
+
+**注意：** 此部分仅适用于中国大陆 
+
 <!--
 ## Get involved with SIG Docs
 
diff --git a/content/de/docs/concepts/cluster-administration/addons.md b/content/de/docs/concepts/cluster-administration/addons.md
index 60a54b9ef12..77f098198be 100644
--- a/content/de/docs/concepts/cluster-administration/addons.md
+++ b/content/de/docs/concepts/cluster-administration/addons.md
@@ -21,15 +21,15 @@ Die Add-Ons in den einzelnen Kategorien sind alphabetisch sortiert - Die Reihenf
 
 * [ACI](https://www.github.com/noironetworks/aci-containers) bietet Container-Networking und Network-Security mit Cisco ACI.
 * [Calico](https://docs.projectcalico.org/latest/introduction/) ist ein Networking- und Network-Policy-Provider. Calico unterstützt eine Reihe von Networking-Optionen, damit Du die richtige für deinen Use-Case wählen kannst. Dies beinhaltet Non-Overlaying and Overlaying-Networks mit oder ohne BGP. Calico nutzt die gleiche Engine um Network-Policies für Hosts, Pods und (falls Du Istio & Envoy benutzt) Anwendungen auf Service-Mesh-Ebene durchzusetzen.
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install) vereint Flannel und Calico um Networking- und Network-Policies bereitzustellen.
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel) vereint Flannel und Calico um Networking- und Network-Policies bereitzustellen.
 * [Cilium](https://github.com/cilium/cilium) ist ein L3 Network- and Network-Policy-Plugin welches das transparent HTTP/API/L7-Policies durchsetzen kann. Sowohl Routing- als auch Overlay/Encapsulation-Modes werden uterstützt. Außerdem kann Cilium auf andere CNI-Plugins aufsetzen.
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie) ermöglicht das nahtlose Verbinden von Kubernetes mit einer Reihe an CNI-Plugins wie z.B. Calico, Canal, Flannel, Romana, oder Weave.
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie) ermöglicht das nahtlose Verbinden von Kubernetes mit einer Reihe an CNI-Plugins wie z.B. Calico, Canal, Flannel, Romana, oder Weave.
 * [Contiv](https://contivpp.io/) bietet konfigurierbares Networking (Native L3 auf BGP, Overlay mit vxlan, Klassisches L2, Cisco-SDN/ACI) für verschiedene Anwendungszwecke und auch umfangreiches Policy-Framework. Das Contiv-Projekt ist vollständig [Open Source](http://github.com/contiv). Der [installer](http://github.com/contiv/install) bietet sowohl kubeadm als auch nicht-kubeadm basierte Installationen.
 * [Contrail](http://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/), basierend auf [Tungsten Fabric](https://tungsten.io), ist eine Open Source, multi-Cloud Netzwerkvirtualisierungs- und Policy-Management Plattform. Contrail und Tungsten Fabric sind mit Orechstratoren wie z.B. Kubernetes, OpenShift, OpenStack und Mesos integriert und bieten Isolationsmodi für Virtuelle Maschinen, Container (bzw. Pods) und Bare Metal workloads.
 * [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually) ist ein Overlay-Network-Provider der mit Kubernetes genutzt werden kann.
 * [Knitter](https://github.com/ZTE/Knitter/) ist eine Network-Lösung die Mehrfach-Network in Kubernetes ermöglicht.
-* Multus ist ein Multi-Plugin für Mehrfachnetzwerk-Unterstützung um alle CNI-Plugins (z.B. Calico, Cilium, Contiv, Flannel), zusätzlich zu SRIOV-, DPDK-, OVS-DPDK- und VPP-Basierten Workloads in Kubernetes zu unterstützen.
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) Container Plug-in (NCP) bietet eine Integration zwischen VMware NSX-T und einem Orchestator wie z.B. Kubernetes. Außerdem bietet es eine Integration zwischen NSX-T und Containerbasierten CaaS/PaaS-Plattformen wie z.B. Pivotal Container Service (PKS) und OpenShift.
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni) ist ein Multi-Plugin für Mehrfachnetzwerk-Unterstützung um alle CNI-Plugins (z.B. Calico, Cilium, Contiv, Flannel), zusätzlich zu SRIOV-, DPDK-, OVS-DPDK- und VPP-Basierten Workloads in Kubernetes zu unterstützen.
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) Container Plug-in (NCP) bietet eine Integration zwischen VMware NSX-T und einem Orchestator wie z.B. Kubernetes. Außerdem bietet es eine Integration zwischen NSX-T und Containerbasierten CaaS/PaaS-Plattformen wie z.B. Pivotal Container Service (PKS) und OpenShift.
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst) ist eine SDN-Plattform die Policy-Basiertes Networking zwischen Kubernetes Pods und nicht-Kubernetes Umgebungen inklusive Sichtbarkeit und Security-Monitoring bereitstellt.
 * [Romana](https://github.com/romana/romana) ist eine Layer 3 Network-Lösung für Pod-Netzwerke welche auch die [NetworkPolicy API](/docs/concepts/services-networking/network-policies/) unterstützt. Details zur Installation als kubeadm Add-On sind [hier](https://github.com/romana/romana/tree/master/containerize) verfügbar.
 * [Weave Net](https://www.weave.works/docs/net/latest/kube-addon/) bietet Networking and Network-Policies und arbeitet auf beiden Seiten der Network-Partition ohne auf eine externe Datenbank angwiesen zu sein.
diff --git a/content/de/docs/concepts/containers/images.md b/content/de/docs/concepts/containers/images.md
index d142405f068..68bc356bc00 100644
--- a/content/de/docs/concepts/containers/images.md
+++ b/content/de/docs/concepts/containers/images.md
@@ -16,7 +16,7 @@ Die `image` Eigenschaft eines Containers unterstüzt die gleiche Syntax wie die
 
 ## Aktualisieren von Images
 
-Die Standardregel für das Herunterladen von Images ist `IfNotPresent`, dies führt dazu, dass das Kubelet Images überspringt, die bereits auf einem Node vorliegen.
+Die Standardregel für das Herunterladen von Images ist `IfNotPresent`, dies führt dazu, dass das Image wird nur heruntergeladen wenn es noch nicht lokal verfügbar ist.
 Wenn sie stattdessen möchten, dass ein Image immer forciert heruntergeladen wird, können sie folgendes tun:
 
 
diff --git a/content/de/docs/concepts/overview/what-is-kubernetes.md b/content/de/docs/concepts/overview/what-is-kubernetes.md
index f84a0a2cded..c9b49eed2af 100644
--- a/content/de/docs/concepts/overview/what-is-kubernetes.md
+++ b/content/de/docs/concepts/overview/what-is-kubernetes.md
@@ -54,14 +54,14 @@ die Entwicklern und Anwendern zur Verfügung stehen. Benutzer können ihre eigen
 ihren [eigenen APIs](/docs/concepts/api-extension/custom-resources/) schreiben, die von einem
 universellen [Kommandozeilen-Tool](/docs/user-guide/kubectl-overview/) angesprochen werden können.
 
-Dieses [Design](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) hat es einer Reihe anderer Systeme ermöglicht, auf Kubernetes aufzubauen.
+Dieses [Design](https://git.k8s.io/design-proposals-archive/architecture/architecture.md) hat es einer Reihe anderer Systeme ermöglicht, auf Kubernetes aufzubauen.
 
 ## Was Kubernetes nicht ist
 
 Kubernetes ist kein traditionelles, allumfassendes PaaS (Plattform als ein Service) System. Da Kubernetes nicht auf Hardware-,
 sondern auf Containerebene arbeitet, bietet es einige allgemein anwendbare Funktionen, die PaaS-Angeboten gemeinsam sind,
 wie Bereitstellung, Skalierung, Lastausgleich, Protokollierung und Überwachung.
-Kubernetes ist jedoch nicht monolithisch, und diese Standardlösungen sind optional und modular etweiterbar.
+Kubernetes ist jedoch nicht monolithisch, und diese Standardlösungen sind optional und modular erweiterbar.
 Kubernetes liefert die Bausteine für den Aufbau von Entwicklerplattformen, bewahrt aber die
 Wahlmöglichkeiten und Flexibilität der Benutzer, wo es wichtig ist.
 
@@ -79,7 +79,7 @@ Kubernetes:
   Cluster-Speichersysteme (z.B. Ceph) als eingebaute Dienste. Solche Komponenten können
   auf Kubernetes laufen und/oder von Anwendungen, die auf Kubernetes laufen, über
   portable Mechanismen wie den Open Service Broker angesprochen werden.
-* Bietet keine Konfigurationssprache bzw. kein Konfigurationssystem (z.B.[jsonnet](https://github.com/google/jsonnet)).
+* Bietet keine Konfigurationssprache bzw. kein Konfigurationssystem (z.B. [jsonnet](https://github.com/google/jsonnet)).
   Es bietet eine deklarative API, die von beliebigen Formen deklarativer Spezifikationen angesprochen werden kann.
 * Bietet keine umfassenden Systeme zur Maschinenkonfiguration, Wartung, Verwaltung oder Selbstheilung.
 
@@ -135,17 +135,17 @@ Zusammenfassung der Container-Vorteile:
 * **Dev und Ops Trennung der Bedenken**:
     Erstellen Sie Anwendungscontainer-Images nicht zum Deployment-, sondern zum Build-Releasezeitpunkt
     und entkoppeln Sie so Anwendungen von der Infrastruktur.
-* **Überwachbarkeit**
+* **Überwachbarkeit**:
     Nicht nur Informationen und Metriken auf Betriebssystemebene werden angezeigt,
     sondern auch der Zustand der Anwendung und andere Signale.
 * **Umgebungskontinuität in Entwicklung, Test und Produktion**:
     Läuft auf einem Laptop genauso wie in der Cloud.
-* **Cloud- und OS-Distribution portabilität**:
+* **Cloud- und OS-Distribution-Portabilität**:
     Läuft auf Ubuntu, RHEL, CoreOS, On-Prem, Google Kubernetes Engine und überall sonst.
 * **Anwendungsorientiertes Management**:
     Erhöht den Abstraktionsgrad vom Ausführen eines Betriebssystems auf virtueller Hardware
     bis zum Ausführen einer Anwendung auf einem Betriebssystem unter Verwendung logischer Ressourcen.
-* **Locker gekoppelte, verteilte, elastische, freie [micro-services](https://martinfowler.com/articles/microservices.html)**:
+* **Locker gekoppelte, verteilte, elastische, freie [Microservices](https://martinfowler.com/articles/microservices.html)**:
     Anwendungen werden in kleinere, unabhängige Teile zerlegt und können dynamisch bereitgestellt
     und verwaltet werden -- nicht ein monolithischer Stack, der auf einer großen Single-Purpose-Maschine läuft.
 * **Ressourcenisolierung**:
diff --git a/content/de/docs/reference/_index.md b/content/de/docs/reference/_index.md
index 7ffa9c04c9b..9df5aa53baf 100644
--- a/content/de/docs/reference/_index.md
+++ b/content/de/docs/reference/_index.md
@@ -56,6 +56,6 @@ Offiziell unterstützte Clientbibliotheken:
 
 ## Design Dokumentation
 
-Ein Archiv der Designdokumente für Kubernetes-Funktionalität. Gute Ansatzpunkte sind [Kubernetes Architektur](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) und [Kubernetes Design Übersicht](https://git.k8s.io/community/contributors/design-proposals).
+Ein Archiv der Designdokumente für Kubernetes-Funktionalität. Gute Ansatzpunkte sind [Kubernetes Architektur](https://git.k8s.io/design-proposals-archive/architecture/architecture.md) und [Kubernetes Design Übersicht](https://git.k8s.io/community/contributors/design-proposals).
 
 
diff --git a/content/de/docs/setup/minikube.md b/content/de/docs/setup/minikube.md
index 643348ee893..35de917a657 100644
--- a/content/de/docs/setup/minikube.md
+++ b/content/de/docs/setup/minikube.md
@@ -424,7 +424,7 @@ export no_proxy=$no_proxy,$(minikube ip)
 
 Minikube verwendet [libmachine](https://github.com/docker/machine/tree/master/libmachine) zur Bereitstellung von VMs, und [kubeadm](https://github.com/kubernetes/kubeadm) um einen Kubernetes-Cluster in Betrieb zu nehmen.
 
-Weitere Informationen zu Minikube finden Sie im [Vorschlag](https://git.k8s.io/community/contributors/design-proposals/cluster-lifecycle/local-cluster-ux.md).
+Weitere Informationen zu Minikube finden Sie im [Vorschlag](https://git.k8s.io/design-proposals-archive/cluster-lifecycle/local-cluster-ux.md).
 
 ## Zusätzliche Links
 
diff --git a/content/de/docs/tasks/run-application/horizontal-pod-autoscale.md b/content/de/docs/tasks/run-application/horizontal-pod-autoscale.md
index 7814ae55d8a..31019744a7b 100644
--- a/content/de/docs/tasks/run-application/horizontal-pod-autoscale.md
+++ b/content/de/docs/tasks/run-application/horizontal-pod-autoscale.md
@@ -11,7 +11,7 @@ weight: 90
 
 <!-- overview -->
 
-Der Horizontal Pod Autoscaler skaliert automatisch die Anzahl der Pods eines Replication Controller, Deployment oder Replikat Set basierend auf der beobachteten CPU-Auslastung (oder, mit Unterstützung von [benutzerdefinierter Metriken](https://git.k8s.io/community/contributors/design-proposals/instrumentation/custom-metrics-api.md), von der Anwendung bereitgestellten Metriken). Beachte, dass die horizontale Pod Autoskalierung nicht für Objekte gilt, die nicht skaliert werden können, z. B. DaemonSets.
+Der Horizontal Pod Autoscaler skaliert automatisch die Anzahl der Pods eines Replication Controller, Deployment oder Replikat Set basierend auf der beobachteten CPU-Auslastung (oder, mit Unterstützung von [benutzerdefinierter Metriken](https://git.k8s.io/design-proposals-archive/instrumentation/custom-metrics-api.md), von der Anwendung bereitgestellten Metriken). Beachte, dass die horizontale Pod Autoskalierung nicht für Objekte gilt, die nicht skaliert werden können, z. B. DaemonSets.
 
 Der Horizontal Pod Autoscaler ist als Kubernetes API-Ressource und einem Controller implementiert.
 Die Ressource bestimmt das Verhalten des Controllers.
@@ -46,7 +46,7 @@ Das Verwenden von Metriken aus Heapster ist seit der Kubernetes Version 1.11 ver
 
 Siehe [Unterstützung der Metrik APIs](#unterstützung-der-metrik-apis) für weitere Details.
 
-Der Autoscaler greift über die Scale Sub-Ressource auf die entsprechenden skalierbaren Controller (z.B. Replication Controller, Deployments und Replika Sets) zu. Scale ist eine Schnittstelle, mit der Sie die Anzahl der Replikate dynamisch einstellen und jeden ihrer aktuellen Zustände untersuchen können. Weitere Details zu der Scale Sub-Ressource findest du [hier](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md#scale-subresource).
+Der Autoscaler greift über die Scale Sub-Ressource auf die entsprechenden skalierbaren Controller (z.B. Replication Controller, Deployments und Replika Sets) zu. Scale ist eine Schnittstelle, mit der Sie die Anzahl der Replikate dynamisch einstellen und jeden ihrer aktuellen Zustände untersuchen können. Weitere Details zu der Scale Sub-Ressource findest du [hier](https://git.k8s.io/design-proposals-archive/autoscaling/horizontal-pod-autoscaler.md#scale-subresource).
 
 ### Details zum Algorithmus
 
@@ -90,7 +90,7 @@ Die aktuelle stabile Version, die nur die Unterstützung für die automatische S
 
 Die Beta-Version, welche die Skalierung des Speichers und benutzerdefinierte Metriken unterstützt, befindet sich unter `autoscaling/v2beta2`. Die in `autoscaling/v2beta2` neu eingeführten Felder bleiben bei der Arbeit mit `autoscaling/v1` als Anmerkungen erhalten.
 
-Weitere Details über das API Objekt kann unter dem [HorizontalPodAutoscaler Objekt](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md#horizontalpodautoscaler-object) gefunden werden.
+Weitere Details über das API Objekt kann unter dem [HorizontalPodAutoscaler Objekt](https://git.k8s.io/design-proposals-archive/autoscaling/horizontal-pod-autoscaler.md#horizontalpodautoscaler-object) gefunden werden.
 
 ## Unterstützung des Horizontal Pod Autoscaler in kubectl
 
@@ -166,7 +166,7 @@ Standardmäßig ruft der HorizontalPodAutoscaler Controller Metriken aus einer R
 ## {{% heading "whatsnext" %}}
 
 
-* Design Dokument [Horizontal Pod Autoscaling](https://git.k8s.io/community/contributors/design-proposals/autoscaling/horizontal-pod-autoscaler.md).
+* Design Dokument [Horizontal Pod Autoscaling](https://git.k8s.io/design-proposals-archive/autoscaling/horizontal-pod-autoscaler.md).
 * kubectl autoscale Befehl: [kubectl autoscale](/docs/reference/generated/kubectl/kubectl-commands/#autoscale).
 * Verwenden des [Horizontal Pod Autoscaler](/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough/).
 
diff --git a/content/en/_index.html b/content/en/_index.html
index 7557fe8f993..fbdd5d57208 100644
--- a/content/en/_index.html
+++ b/content/en/_index.html
@@ -16,7 +16,7 @@ It groups containers that make up an application into logical units for easy man
 {{% blocks/feature image="scalable" %}}
 #### Planet Scale
 
-Designed on the same principles that allows Google to run billions of containers a week, Kubernetes can scale without increasing your ops team.
+Designed on the same principles that allow Google to run billions of containers a week, Kubernetes can scale without increasing your operations team.
 
 {{% /blocks/feature %}}
 
@@ -43,12 +43,12 @@ Kubernetes is open source giving you the freedom to take advantage of on-premise
         <button id="desktopShowVideoButton" onclick="kub.showVideo()">Watch Video</button>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2022/?utm_source=kubernetes.io&utm_medium=nav&utm_campaign=kccnceu22" button id="desktopKCButton">Attend KubeCon Europe on May 17-20, 2022</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america" button id="desktopKCButton">Attend KubeCon North America on October 24-28, 2022</a>
         <br>
         <br>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/?utm_source=kubernetes.io&utm_medium=nav&utm_campaign=kccncna22" button id="desktopKCButton">Attend KubeCon North America on October 24-28, 2022</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/" button id="desktopKCButton">Attend KubeCon Europe on April 17-21, 2023</a>
 </div>
 <div id="videoPlayer">
     <iframe data-url="https://www.youtube.com/embed/H06qrNmGqyE?autoplay=1" frameborder="0" allowfullscreen></iframe>
diff --git a/content/en/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md b/content/en/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
index 38fd24372c3..4c9af11a9eb 100644
--- a/content/en/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
+++ b/content/en/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
@@ -41,7 +41,7 @@ These repo labels let reviewers filter for PRs and issues by language. For examp
 
 ### Team review 
 
-L10n teams can now review and approve their own PRs. For example, review and approval permissions for English are [assigned in an OWNERS file](https://github.com/kubernetes/website/blob/master/content/en/OWNERS) in the top subfolder for English content. 
+L10n teams can now review and approve their own PRs. For example, review and approval permissions for English are [assigned in an OWNERS file](https://github.com/kubernetes/website/blob/main/content/en/OWNERS) in the top subfolder for English content.
 
 Adding `OWNERS` files to subdirectories lets localization teams review and approve changes without requiring a rubber stamp approval from reviewers who may lack fluency.
 
diff --git a/content/en/blog/_posts/2020-05-05-introducing-podtopologyspread.md b/content/en/blog/_posts/2020-05-05-introducing-podtopologyspread.md
index dfed13ca43e..eab08ed299c 100644
--- a/content/en/blog/_posts/2020-05-05-introducing-podtopologyspread.md
+++ b/content/en/blog/_posts/2020-05-05-introducing-podtopologyspread.md
@@ -67,7 +67,7 @@ Let's see an example of a cluster to understand this API.
 As the feature name "PodTopologySpread" implies, the basic usage of this feature
 is to run your workload with an absolute even manner (maxSkew=1), or relatively
 even manner (maxSkew>=2). See the [official
-document](/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+document](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 for more details.
 
 In addition to this basic usage, there are some advanced usage examples that
diff --git a/content/en/blog/_posts/2020-09-30-writing-crl-scheduler/index.md b/content/en/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
index 0fab185f986..dc4b97db2a9 100644
--- a/content/en/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
+++ b/content/en/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
@@ -70,7 +70,7 @@ To correct the latter issue, we now employ a "hunt and peck" approach to removin
 ### 1. Upgrade to kubernetes 1.18 and make use of Pod Topology Spread Constraints
 
 While this seems like it could have been the perfect solution, at the time of writing Kubernetes 1.18 was unavailable on the two most common managed Kubernetes services in public cloud, EKS and GKE.
-Furthermore, [pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/) were still a [beta feature in 1.18](https://v1-18.docs.kubernetes.io/docs/concepts/workloads/pods/pod-topology-spread-constraints/) which meant that it [wasn't guaranteed to be available in managed clusters](https://cloud.google.com/kubernetes-engine/docs/concepts/types-of-clusters#kubernetes_feature_choices) even when v1.18 became available.
+Furthermore, [pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/) were still a beta feature in 1.18 which meant that it [wasn't guaranteed to be available in managed clusters](https://cloud.google.com/kubernetes-engine/docs/concepts/types-of-clusters#kubernetes_feature_choices) even when v1.18 became available.
 The entire endeavour was concerningly reminiscent of checking [caniuse.com](https://caniuse.com/) when Internet Explorer 8 was still around.
 
 ### 2. Deploy a statefulset _per zone_.
diff --git a/content/en/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md b/content/en/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
index 4c969ff50c2..a1ac132c482 100644
--- a/content/en/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
+++ b/content/en/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
@@ -1,9 +1,9 @@
 ---
 layout: blog
 title: "Meet Our Contributors - APAC (India region)"
-date: 2022-01-10T12:00:00+0000
+date: 2022-01-10
 slug: meet-our-contributors-india-ep-01
-canonicalUrl: https://kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
+canonicalUrl: https://www.kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
 ---
 
 **Authors & Interviewers:** [Anubhav Vardhan](https://github.com/anubha-v-ardhan), [Atharva Shinde](https://github.com/Atharva-Shinde), [Avinesh Tripathi](https://github.com/AvineshTripathi), [Debabrata Panigrahi](https://github.com/Debanitrkl), [Kunal Verma](https://github.com/verma-kunal), [Pranshu Srivastava](https://github.com/PranshuSrivastava), [Pritish Samal](https://github.com/CIPHERTron), [Purneswar Prasad](https://github.com/PurneswarPrasad), [Vedant Kakde](https://github.com/vedant-kakde)
@@ -19,7 +19,7 @@ Welcome to the first episode of the APAC edition of the "Meet Our Contributors"
 
 In this post, we'll introduce you to five amazing folks from the India region who have been actively contributing to the upstream Kubernetes projects in a variety of ways, as well as being the leaders or maintainers of numerous community initiatives.
 
-💫 *Let's get started, so without further ado…* 
+💫 *Let's get started, so without further ado…*
 
 
 ## [Arsh Sharma](https://github.com/RinkiyaKeDad)
@@ -39,7 +39,7 @@ To the newcomers, Arsh helps plan their early contributions sustainably.
 
 Kunal Kushwaha is a core member of the Kubernetes marketing council. He is also a CNCF ambassador and one of the founders of the [CNCF Students Program](https://community.cncf.io/cloud-native-students/).. He also served as a Communications role shadow during the 1.22 release cycle.
 
-At the end of his first year, Kunal began contributing to the [fabric8io kubernetes-client](https://github.com/fabric8io/kubernetes-client) project. He was then selected to work on the same project as part of Google Summer of Code. Kunal mentored people on the same project, first through Google Summer of Code then through Google Code-in. 
+At the end of his first year, Kunal began contributing to the [fabric8io kubernetes-client](https://github.com/fabric8io/kubernetes-client) project. He was then selected to work on the same project as part of Google Summer of Code. Kunal mentored people on the same project, first through Google Summer of Code then through Google Code-in.
 
 As an open-source enthusiast, he believes that diverse participation in the community is beneficial since it introduces new perspectives and opinions and respect for one's peers. He has worked on various open-source projects, and his participation in communities has considerably assisted his development as a developer.
 
@@ -103,4 +103,3 @@ If you have any recommendations/suggestions for who we should interview next, pl
 
 
 We'll see you all in the next one. Everyone, till then, have a happy contributing! 👋
-
diff --git a/content/en/blog/_posts/2022-02-17-updated-dockershim-faq.md b/content/en/blog/_posts/2022-02-17-updated-dockershim-faq.md
index 74e61b117da..4950f880973 100644
--- a/content/en/blog/_posts/2022-02-17-updated-dockershim-faq.md
+++ b/content/en/blog/_posts/2022-02-17-updated-dockershim-faq.md
@@ -86,7 +86,7 @@ in Kubernetes 1.24.
 
 If you're running Kubernetes v1.24 or later, see [Can I still use Docker Engine as my container runtime?](#can-i-still-use-docker-engine-as-my-container-runtime).
 (Remember, you can switch away from the dockershim if you're using any supported Kubernetes release; from release v1.24, you
-**must** switch as Kubernetes no longer incluides the dockershim).
+**must** switch as Kubernetes no longer includes the dockershim).
 
 [kubelet]: /docs/reference/command-line-tools-reference/kubelet/
 
diff --git a/content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md b/content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
similarity index 98%
rename from content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md
rename to content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
index 5a8a4a2989b..e8d9cfdf89d 100644
--- a/content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md
+++ b/content/en/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
@@ -1,7 +1,7 @@
 ---
 layout: blog
 title: "Meet Our Contributors - APAC (Aus-NZ region)"
-date: 2022-03-16T12:00:00+0000
+date: 2022-03-16
 slug: meet-our-contributors-au-nz-ep-02
 canonicalUrl: https://www.kubernetes.dev/blog/2022/03/14/meet-our-contributors-au-nz-ep-02/
 ---
@@ -60,19 +60,13 @@ Nick Young works at VMware as a technical lead for Contour, a CNCF ingress contr
 
 His contribution path was notable in that he began working on major areas of the Kubernetes project early on, skewing his trajectory.
 
-He asserts the best thing a new contributor can do is to "start contributing". Naturally, if it is relevant to their employment, that is excellent; however, investing non-work time in contributing can pay off in the long run in terms of work. He believes that new contributors, particularly those who are currently Kubernetes users, should be encouraged to participate in higher-level project discussions. 
+He asserts the best thing a new contributor can do is to "start contributing". Naturally, if it is relevant to their employment, that is excellent; however, investing non-work time in contributing can pay off in the long run in terms of work. He believes that new contributors, particularly those who are currently Kubernetes users, should be encouraged to participate in higher-level project discussions.
 
 > _Just being active and contributing will get you a long way. Once you've been active for a while, you'll find that you're able to answer questions, which will mean you're asked questions, and before you know it you are an expert._
 
-
-
-
 ---
 
 If you have any recommendations/suggestions for who we should interview next, please let us know in #sig-contribex. Your suggestions would be much appreciated. We're thrilled to have additional folks assisting us in reaching out to even more wonderful individuals of the community.
 
 
 We'll see you all in the next one. Everyone, till then, have a happy contributing! 👋
-
-
-
diff --git a/content/en/blog/_posts/2022-07-13-gateway-api-in-beta.md b/content/en/blog/_posts/2022-07-13-gateway-api-in-beta.md
new file mode 100644
index 00000000000..54457cd3366
--- /dev/null
+++ b/content/en/blog/_posts/2022-07-13-gateway-api-in-beta.md
@@ -0,0 +1,178 @@
+---
+layout: blog
+title: Kubernetes Gateway API Graduates to Beta
+date: 2022-07-13
+slug: gateway-api-graduates-to-beta
+canonicalUrl: https://gateway-api.sigs.k8s.io/blog/2022/graduating-to-beta/
+---
+
+**Authors:** Shane Utt (Kong), Rob Scott (Google), Nick Young (VMware), Jeff Apple (HashiCorp)
+
+We are excited to announce the v0.5.0 release of Gateway API. For the first
+time, several of our most important Gateway API resources are graduating to
+beta. Additionally, we are starting a new initiative to explore how Gateway API
+can be used for mesh and introducing new experimental concepts such as URL
+rewrites. We'll cover all of this and more below.
+
+## What is Gateway API?
+
+Gateway API is a collection of resources centered around [Gateway][gw] resources
+(which represent the underlying network gateways / proxy servers) to enable
+robust Kubernetes service networking through expressive, extensible and
+role-oriented interfaces that are implemented by many vendors and have broad
+industry support.
+
+Originally conceived as a successor to the well known [Ingress][ing] API, the
+benefits of Gateway API include (but are not limited to) explicit support for
+many commonly used networking protocols (e.g. `HTTP`, `TLS`, `TCP`, `UDP`) as
+well as tightly integrated support for Transport Layer Security (TLS). The
+`Gateway` resource in particular enables implementations to manage the lifecycle
+of network gateways as a Kubernetes API.
+
+If you're an end-user interested in some of the benefits of Gateway API we
+invite you to jump in and find an implementation that suits you. At the time of
+this release there are over a dozen [implementations][impl] for popular API
+gateways and service meshes and guides are available to start exploring quickly.
+
+[gw]:https://gateway-api.sigs.k8s.io/api-types/gateway/
+[ing]:https://kubernetes.io/docs/reference/kubernetes-api/service-resources/ingress-v1/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+
+### Getting started
+
+Gateway API is an official Kubernetes API like
+[Ingress](https://kubernetes.io/docs/concepts/services-networking/ingress/).
+Gateway API represents a superset of Ingress functionality, enabling more
+advanced concepts. Similar to Ingress, there is no default implementation of
+Gateway API built into Kubernetes. Instead, there are many different
+[implementations][impl] available, providing significant choice in terms of underlying
+technologies while providing a consistent and portable experience.
+
+Take a look at the [API concepts documentation][concepts] and check out some of
+the [Guides][guides] to start familiarizing yourself with the APIs and how they
+work. When you're ready for a practical application open the [implementations
+page][impl] and select an implementation that belongs to an existing technology
+you may already be familiar with or the one your cluster provider uses as a
+default (if applicable). Gateway API is a [Custom Resource Definition
+(CRD)][crd] based API so you'll need to [install the CRDs][install-crds] onto a
+cluster to use the API.
+
+If you're specifically interested in helping to contribute to Gateway API, we
+would love to have you! Please feel free to [open a new issue][issue] on the
+repository, or join in the [discussions][disc]. Also check out the [community
+page][community] which includes links to the Slack channel and community meetings.
+
+[crd]:https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/
+[concepts]:https://gateway-api.sigs.k8s.io/concepts/api-overview/
+[guides]:https://gateway-api.sigs.k8s.io/guides/getting-started/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+[install-crds]:https://gateway-api.sigs.k8s.io/guides/getting-started/#install-the-crds
+[issue]:https://github.com/kubernetes-sigs/gateway-api/issues/new/choose
+[disc]:https://github.com/kubernetes-sigs/gateway-api/discussions
+[community]:https://gateway-api.sigs.k8s.io/contributing/community/
+
+## Release highlights
+
+### Graduation to beta
+
+The `v0.5.0` release is particularly historic because it marks the growth in
+maturity to a beta API version (`v1beta1`) release for some of the key APIs:
+
+- [GatewayClass](https://gateway-api.sigs.k8s.io/api-types/gatewayclass/)
+- [Gateway](https://gateway-api.sigs.k8s.io/api-types/gateway/)
+- [HTTPRoute](https://gateway-api.sigs.k8s.io/api-types/httproute/)
+
+This achievement was marked by the completion of several graduation criteria:
+
+- API has been [widely implemented][impl].
+- Conformance tests provide basic coverage for all resources and have multiple implementations passing tests.
+- Most of the API surface is actively being used.
+- Kubernetes SIG Network API reviewers have approved graduation to beta.
+
+For more information on Gateway API versioning, refer to the [official
+documentation](https://gateway-api.sigs.k8s.io/concepts/versioning/). To see
+what's in store for future releases check out the [next steps](#next-steps)
+section.
+
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+
+### Release channels
+
+This release introduces the `experimental` and `standard` [release channels][ch]
+which enable a better balance of maintaining stability while still enabling
+experimentation and iterative development.
+
+The `standard` release channel includes:
+
+- resources that have graduated to beta
+- fields that have graduated to standard (no longer considered experimental)
+
+The `experimental` release channel includes everything in the `standard` release
+channel, plus:
+
+- `alpha` API resources
+- fields that are considered experimental and have not graduated to `standard` channel
+
+Release channels are used internally to enable iterative development with
+quick turnaround, and externally to indicate feature stability to implementors
+and end-users.
+
+For this release we've added the following experimental features:
+
+- [Routes can attach to Gateways by specifying port numbers](https://gateway-api.sigs.k8s.io/geps/gep-957/)
+- [URL rewrites and path redirects](https://gateway-api.sigs.k8s.io/geps/gep-726/)
+
+[ch]:https://gateway-api.sigs.k8s.io/concepts/versioning/#release-channels-eg-experimental-standard
+
+### Other improvements
+
+For an exhaustive list of changes included in the `v0.5.0` release, please see
+the [v0.5.0 release notes](https://github.com/kubernetes-sigs/gateway-api/releases/tag/v0.5.0).
+
+## Gateway API for service mesh: the GAMMA Initiative
+Some service mesh projects have [already implemented support for the Gateway
+API](https://gateway-api.sigs.k8s.io/implementations/). Significant overlap
+between the Service Mesh Interface (SMI) APIs and the Gateway API has [inspired
+discussion in the SMI
+community](https://github.com/servicemeshinterface/smi-spec/issues/249) about
+possible integration.
+
+We are pleased to announce that the service mesh community, including
+representatives from Cilium Service Mesh, Consul, Istio, Kuma, Linkerd, NGINX
+Service Mesh and Open Service Mesh, is coming together to form the [GAMMA
+Initiative](https://gateway-api.sigs.k8s.io/contributing/gamma/), a dedicated
+workstream within the Gateway API subproject focused on Gateway API for Mesh
+Management and Administration.
+
+This group will deliver [enhancement
+proposals](https://gateway-api.sigs.k8s.io/v1beta1/contributing/gep/) consisting
+of resources, additions, and modifications to the Gateway API specification for
+mesh and mesh-adjacent use-cases.
+
+This work has begun with [an exploration of using Gateway API for
+service-to-service
+traffic](https://docs.google.com/document/d/1T_DtMQoq2tccLAtJTpo3c0ohjm25vRS35MsestSL9QU/edit#heading=h.jt37re3yi6k5)
+and will continue with enhancement in areas such as authentication and
+authorization policy.
+
+## Next steps
+
+As we continue to mature the API for production use cases, here are some of the highlights of what we'll be working on for the next Gateway API releases:
+
+- [GRPCRoute][gep1016] for [gRPC][grpc] traffic routing
+- [Route delegation][pr1085]
+- Layer 4 API maturity: Graduating [TCPRoute][tcpr], [UDPRoute][udpr] and
+  [TLSRoute][tlsr] to beta
+- [GAMMA Initiative](https://gateway-api.sigs.k8s.io/contributing/gamma/) - Gateway API for Service Mesh
+
+If there's something on this list you want to get involved in, or there's
+something not on this list that you want to advocate for to get on the roadmap
+please join us in the #sig-network-gateway-api channel on Kubernetes Slack or our weekly [community calls](https://gateway-api.sigs.k8s.io/contributing/community/#meetings).
+
+[gep1016]:https://github.com/kubernetes-sigs/gateway-api/blob/master/site-src/geps/gep-1016.md
+[grpc]:https://grpc.io/
+[pr1085]:https://github.com/kubernetes-sigs/gateway-api/pull/1085
+[tcpr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/tcproute_types.go
+[udpr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/udproute_types.go
+[tlsr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/tlsroute_types.go
+[community]:https://gateway-api.sigs.k8s.io/contributing/community/
diff --git a/content/en/docs/concepts/architecture/control-plane-node-communication.md b/content/en/docs/concepts/architecture/control-plane-node-communication.md
index df384800e96..785040cda31 100644
--- a/content/en/docs/concepts/architecture/control-plane-node-communication.md
+++ b/content/en/docs/concepts/architecture/control-plane-node-communication.md
@@ -33,7 +33,7 @@ are allowed.
 Nodes should be provisioned with the public root certificate for the cluster such that they can
 connect securely to the API server along with valid client credentials. A good approach is that the
 client credentials provided to the kubelet are in the form of a client certificate. See
-[kubelet TLS bootstrapping](/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/)
+[kubelet TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
 for automated provisioning of kubelet client certificates.
 
 Pods that wish to connect to the API server can do so securely by leveraging a service account so
diff --git a/content/en/docs/concepts/architecture/nodes.md b/content/en/docs/concepts/architecture/nodes.md
index 2321fc6474f..f57179df8ea 100644
--- a/content/en/docs/concepts/architecture/nodes.md
+++ b/content/en/docs/concepts/architecture/nodes.md
@@ -479,29 +479,24 @@ these pods will be stuck in terminating status on the shutdown node forever.
 To mitigate the above situation, a  user can manually add the taint `node 
 kubernetes.io/out-of-service` with either `NoExecute` or `NoSchedule` effect to 
 a Node marking it out-of-service. 
-If the `NodeOutOfServiceVolumeDetach`  [feature gate](/docs/reference/
-command-line-tools-reference/feature-gates/) is enabled on
-`kube-controller-manager`, and a Node is marked out-of-service with this taint, the 
-pods on the node will be forcefully deleted if there are no matching tolerations on
-it and volume detach operations for the pods terminating on the node will happen
-immediately. This allows the Pods on the out-of-service node to recover quickly on a
-different node. 
+If the `NodeOutOfServiceVolumeDetach`[feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
+is enabled on `kube-controller-manager`, and a Node is marked out-of-service with this taint, the
+pods on the node will be forcefully deleted if there are no matching tolerations on it and volume
+detach operations for the pods terminating on the node will happen immediately. This allows the
+Pods on the out-of-service node to recover quickly on a different node. 
 
 During a non-graceful shutdown, Pods are terminated in the two phases:
 
 1. Force delete the Pods that do not have matching `out-of-service` tolerations.
 2. Immediately perform detach volume operation for such pods. 
 
-
 {{< note >}}
 - Before adding the taint `node.kubernetes.io/out-of-service` , it should be verified
-that the node is already in shutdown or power off state (not in the middle of
-restarting).
+  that the node is already in shutdown or power off state (not in the middle of
+  restarting).
 - The user is required to manually remove the out-of-service taint after the pods are
-moved to a new node and the user has checked that the shutdown node has been
-recovered since the user was the one who originally added the taint.
-
-
+  moved to a new node and the user has checked that the shutdown node has been
+  recovered since the user was the one who originally added the taint.
 {{< /note >}}
 
 ### Pod Priority based graceful node shutdown {#pod-priority-graceful-node-shutdown}
diff --git a/content/en/docs/concepts/cluster-administration/_index.md b/content/en/docs/concepts/cluster-administration/_index.md
index ace5297b330..d5d6a273e23 100644
--- a/content/en/docs/concepts/cluster-administration/_index.md
+++ b/content/en/docs/concepts/cluster-administration/_index.md
@@ -11,31 +11,37 @@ no_list: true
 ---
 
 <!-- overview -->
+
 The cluster administration overview is for anyone creating or administering a Kubernetes cluster.
 It assumes some familiarity with core Kubernetes [concepts](/docs/concepts/).
 
-
 <!-- body -->
+
 ## Planning a cluster
 
-See the guides in [Setup](/docs/setup/) for examples of how to plan, set up, and configure Kubernetes clusters. The solutions listed in this article are called *distros*.
+See the guides in [Setup](/docs/setup/) for examples of how to plan, set up, and configure
+Kubernetes clusters. The solutions listed in this article are called *distros*.
 
-   {{< note  >}}
-   Not all distros are actively maintained. Choose distros which have been tested with a recent version of Kubernetes.
-   {{< /note >}}
+{{< note  >}}
+Not all distros are actively maintained. Choose distros which have been tested with a recent
+version of Kubernetes.
+{{< /note >}}
 
 Before choosing a guide, here are some considerations:
 
- - Do you want to try out Kubernetes on your computer, or do you want to build a high-availability, multi-node cluster? Choose distros best suited for your needs.
- - Will you be using **a hosted Kubernetes cluster**, such as [Google Kubernetes Engine](https://cloud.google.com/kubernetes-engine/), or **hosting your own cluster**?
- - Will your cluster be **on-premises**, or **in the cloud (IaaS)**? Kubernetes does not directly support hybrid clusters. Instead, you can set up multiple clusters.
- - **If you are configuring Kubernetes on-premises**, consider which [networking model](/docs/concepts/cluster-administration/networking/) fits best.
- - Will you be running Kubernetes on **"bare metal" hardware** or on **virtual machines (VMs)**?
- - Do you **want to run a cluster**, or do you expect to do **active development of Kubernetes project code**? If the
-   latter, choose an actively-developed distro. Some distros only use binary releases, but
-   offer a greater variety of choices.
- - Familiarize yourself with the [components](/docs/concepts/overview/components/) needed to run a cluster.
-
+- Do you want to try out Kubernetes on your computer, or do you want to build a high-availability,
+  multi-node cluster? Choose distros best suited for your needs.
+- Will you be using **a hosted Kubernetes cluster**, such as
+  [Google Kubernetes Engine](https://cloud.google.com/kubernetes-engine/), or **hosting your own cluster**?
+- Will your cluster be **on-premises**, or **in the cloud (IaaS)**? Kubernetes does not directly
+  support hybrid clusters. Instead, you can set up multiple clusters.
+- **If you are configuring Kubernetes on-premises**, consider which
+  [networking model](/docs/concepts/cluster-administration/networking/) fits best.
+- Will you be running Kubernetes on **"bare metal" hardware** or on **virtual machines (VMs)**?
+- Do you **want to run a cluster**, or do you expect to do **active development of Kubernetes project code**?
+  If the latter, choose an actively-developed distro. Some distros only use binary releases, but
+  offer a greater variety of choices.
+- Familiarize yourself with the [components](/docs/concepts/overview/components/) needed to run a cluster.
 
 ## Managing a cluster
 
@@ -45,29 +51,43 @@ Before choosing a guide, here are some considerations:
 
 ## Securing a cluster
 
-* [Generate Certificates](/docs/tasks/administer-cluster/certificates/) describes the steps to generate certificates using different tool chains.
+* [Generate Certificates](/docs/tasks/administer-cluster/certificates/) describes the steps to
+  generate certificates using different tool chains.
 
-* [Kubernetes Container Environment](/docs/concepts/containers/container-environment/) describes the environment for Kubelet managed containers on a Kubernetes node.
+* [Kubernetes Container Environment](/docs/concepts/containers/container-environment/) describes
+  the environment for Kubelet managed containers on a Kubernetes node.
 
-* [Controlling Access to the Kubernetes API](/docs/concepts/security/controlling-access) describes how Kubernetes implements access control for its own API.
+* [Controlling Access to the Kubernetes API](/docs/concepts/security/controlling-access) describes
+  how Kubernetes implements access control for its own API.
 
-* [Authenticating](/docs/reference/access-authn-authz/authentication/) explains authentication in Kubernetes, including the various authentication options.
+* [Authenticating](/docs/reference/access-authn-authz/authentication/) explains authentication in
+  Kubernetes, including the various authentication options.
 
-* [Authorization](/docs/reference/access-authn-authz/authorization/) is separate from authentication, and controls how HTTP calls are handled.
+* [Authorization](/docs/reference/access-authn-authz/authorization/) is separate from
+  authentication, and controls how HTTP calls are handled.
 
-* [Using Admission Controllers](/docs/reference/access-authn-authz/admission-controllers/) explains plug-ins which intercepts requests to the Kubernetes API server after authentication and authorization.
+* [Using Admission Controllers](/docs/reference/access-authn-authz/admission-controllers/)
+  explains plug-ins which intercepts requests to the Kubernetes API server after authentication
+  and authorization.
 
-* [Using Sysctls in a Kubernetes Cluster](/docs/tasks/administer-cluster/sysctl-cluster/) describes to an administrator how to use the `sysctl` command-line tool to set kernel parameters .
+* [Using Sysctls in a Kubernetes Cluster](/docs/tasks/administer-cluster/sysctl-cluster/)
+  describes to an administrator how to use the `sysctl` command-line tool to set kernel parameters
+.
 
-* [Auditing](/docs/tasks/debug/debug-cluster/audit/) describes how to interact with Kubernetes' audit logs.
+* [Auditing](/docs/tasks/debug/debug-cluster/audit/) describes how to interact with Kubernetes'
+  audit logs.
 
 ### Securing the kubelet
-  * [Control Plane-Node communication](/docs/concepts/architecture/control-plane-node-communication/)
-  * [TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
-  * [Kubelet authentication/authorization](/docs/reference/acess-authn-authz/kubelet-authn-authz/)
+
+* [Control Plane-Node communication](/docs/concepts/architecture/control-plane-node-communication/)
+* [TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
+* [Kubelet authentication/authorization](/docs/reference/access-authn-authz/kubelet-authn-authz/)
 
 ## Optional Cluster Services
 
-* [DNS Integration](/docs/concepts/services-networking/dns-pod-service/) describes how to resolve a DNS name directly to a Kubernetes service.
+* [DNS Integration](/docs/concepts/services-networking/dns-pod-service/) describes how to resolve
+  a DNS name directly to a Kubernetes service.
+
+* [Logging and Monitoring Cluster Activity](/docs/concepts/cluster-administration/logging/)
+  explains how logging in Kubernetes works and how to implement it.
 
-* [Logging and Monitoring Cluster Activity](/docs/concepts/cluster-administration/logging/) explains how logging in Kubernetes works and how to implement it.
diff --git a/content/en/docs/concepts/configuration/manage-resources-containers.md b/content/en/docs/concepts/configuration/manage-resources-containers.md
index 2cb2ee1b7f2..9428da09e31 100644
--- a/content/en/docs/concepts/configuration/manage-resources-containers.md
+++ b/content/en/docs/concepts/configuration/manage-resources-containers.md
@@ -332,7 +332,7 @@ container of a Pod can specify either or both of the following:
 
 Limits and requests for `ephemeral-storage` are measured in byte quantities.
 You can express storage as a plain integer or as a fixed-point number using one of these suffixes:
-E, P, T, G, M, K. You can also use the power-of-two equivalents: Ei, Pi, Ti, Gi,
+E, P, T, G, M, k. You can also use the power-of-two equivalents: Ei, Pi, Ti, Gi,
 Mi, Ki. For example, the following quantities all represent roughly the same value:
 
 - `128974848`
@@ -340,6 +340,10 @@ Mi, Ki. For example, the following quantities all represent roughly the same val
 - `129M`
 - `123Mi`
 
+Pay attention to the case of the suffixes. If you request `400m` of ephemeral-storage, this is a request
+for 0.4 bytes. Someone who types that probably meant to ask for 400 mebibytes (`400Mi`)
+or 400 megabytes (`400M`).
+
 In the following example, the Pod has two containers. Each container has a request of
 2GiB of local ephemeral storage. Each container has a limit of 4GiB of local ephemeral
 storage. Therefore, the Pod has a request of 4GiB of local ephemeral storage, and
@@ -799,7 +803,7 @@ memory limit (and possibly request) for that container.
 * Get hands-on experience [assigning Memory resources to containers and Pods](/docs/tasks/configure-pod-container/assign-memory-resource/).
 * Get hands-on experience [assigning CPU resources to containers and Pods](/docs/tasks/configure-pod-container/assign-cpu-resource/).
 * Read how the API reference defines a [container](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)
-  and its [resource requirements](https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)
+  and its [resource requirements](/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)
 * Read about [project quotas](https://xfs.org/index.php/XFS_FAQ#Q:_Quota:_Do_quotas_work_on_XFS.3F) in XFS
 * Read more about the [kube-scheduler configuration reference (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/)
 
diff --git a/content/en/docs/concepts/configuration/overview.md b/content/en/docs/concepts/configuration/overview.md
index a4dd5c59014..5dc5a64826b 100644
--- a/content/en/docs/concepts/configuration/overview.md
+++ b/content/en/docs/concepts/configuration/overview.md
@@ -63,7 +63,7 @@ DNS server watches the Kubernetes API for new `Services` and creates a set of DN
 
 ## Using Labels
 
-- Define and use [labels](/docs/concepts/overview/working-with-objects/labels/) that identify __semantic attributes__ of your application or Deployment, such as `{ app: myapp, tier: frontend, phase: test, deployment: v3 }`. You can use these labels to select the appropriate Pods for other resources; for example, a Service that selects all `tier: frontend` Pods, or all `phase: test` components of `app: myapp`. See the [guestbook](https://github.com/kubernetes/examples/tree/master/guestbook/) app for examples of this approach.
+- Define and use [labels](/docs/concepts/overview/working-with-objects/labels/) that identify __semantic attributes__ of your application or Deployment, such as `{ app.kubernetes.io/name: MyApp, tier: frontend, phase: test, deployment: v3 }`. You can use these labels to select the appropriate Pods for other resources; for example, a Service that selects all `tier: frontend` Pods, or all `phase: test` components of `app.kubernetes.io/name: MyApp`. See the [guestbook](https://github.com/kubernetes/examples/tree/master/guestbook/) app for examples of this approach.
 
 A Service can be made to span multiple Deployments by omitting release-specific labels from its selector. When you need to update a running service without downtime, use a [Deployment](/docs/concepts/workloads/controllers/deployment/).
 
diff --git a/content/en/docs/concepts/containers/runtime-class.md b/content/en/docs/concepts/containers/runtime-class.md
index 6366ee05519..cd8f74aa292 100644
--- a/content/en/docs/concepts/containers/runtime-class.md
+++ b/content/en/docs/concepts/containers/runtime-class.md
@@ -116,7 +116,7 @@ Runtime handlers are configured through containerd's configuration at
 [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.${HANDLER_NAME}]
 ```
 
-See containerd's [config documentation](https://github.com/containerd/cri/blob/master/docs/config.md)
+See containerd's [config documentation](https://github.com/containerd/containerd/blob/main/docs/cri/config.md)
 for more details:
 
 #### {{< glossary_tooltip term_id="cri-o" >}}
diff --git a/content/en/docs/concepts/overview/working-with-objects/kubernetes-objects.md b/content/en/docs/concepts/overview/working-with-objects/kubernetes-objects.md
index bcfd32ef7d7..8e4214991c7 100644
--- a/content/en/docs/concepts/overview/working-with-objects/kubernetes-objects.md
+++ b/content/en/docs/concepts/overview/working-with-objects/kubernetes-objects.md
@@ -8,21 +8,29 @@ card:
 ---
 
 <!-- overview -->
-This page explains how Kubernetes objects are represented in the Kubernetes API, and how you can express them in `.yaml` format.
-
+This page explains how Kubernetes objects are represented in the Kubernetes API, and how you can
+express them in `.yaml` format.
 
 <!-- body -->
 ## Understanding Kubernetes objects {#kubernetes-objects}
 
-*Kubernetes objects* are persistent entities in the Kubernetes system. Kubernetes uses these entities to represent the state of your cluster. Specifically, they can describe:
+*Kubernetes objects* are persistent entities in the Kubernetes system. Kubernetes uses these
+entities to represent the state of your cluster. Specifically, they can describe:
 
 * What containerized applications are running (and on which nodes)
 * The resources available to those applications
 * The policies around how those applications behave, such as restart policies, upgrades, and fault-tolerance
 
-A Kubernetes object is a "record of intent"--once you create the object, the Kubernetes system will constantly work to ensure that object exists. By creating an object, you're effectively telling the Kubernetes system what you want your cluster's workload to look like; this is your cluster's *desired state*.
+A Kubernetes object is a "record of intent"--once you create the object, the Kubernetes system
+will constantly work to ensure that object exists. By creating an object, you're effectively
+telling the Kubernetes system what you want your cluster's workload to look like; this is your
+cluster's *desired state*.
 
-To work with Kubernetes objects--whether to create, modify, or delete them--you'll need to use the [Kubernetes API](/docs/concepts/overview/kubernetes-api/). When you use the `kubectl` command-line interface, for example, the CLI makes the necessary Kubernetes API calls for you. You can also use the Kubernetes API directly in your own programs using one of the [Client Libraries](/docs/reference/using-api/client-libraries/).
+To work with Kubernetes objects--whether to create, modify, or delete them--you'll need to use the
+[Kubernetes API](/docs/concepts/overview/kubernetes-api/). When you use the `kubectl` command-line
+interface, for example, the CLI makes the necessary Kubernetes API calls for you. You can also use
+the Kubernetes API directly in your own programs using one of the
+[Client Libraries](/docs/reference/using-api/client-libraries/).
 
 ### Object Spec and Status
 
@@ -48,11 +56,17 @@ the status to match your spec. If any of those instances should fail
 between spec and status by making a correction--in this case, starting
 a replacement instance.
 
-For more information on the object spec, status, and metadata, see the [Kubernetes API Conventions](https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md).
+For more information on the object spec, status, and metadata, see the
+[Kubernetes API Conventions](https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md).
 
 ### Describing a Kubernetes object
 
-When you create an object in Kubernetes, you must provide the object spec that describes its desired state, as well as some basic information about the object (such as a name). When you use the Kubernetes API to create the object (either directly or via `kubectl`), that API request must include that information as JSON in the request body. **Most often, you provide the information to `kubectl` in a .yaml file.** `kubectl` converts the information to JSON when making the API request.
+When you create an object in Kubernetes, you must provide the object spec that describes its
+desired state, as well as some basic information about the object (such as a name). When you use
+the Kubernetes API to create the object (either directly or via `kubectl`), that API request must
+include that information as JSON in the request body. **Most often, you provide the information to
+`kubectl` in a .yaml file.** `kubectl` converts the information to JSON when making the API
+request.
 
 Here's an example `.yaml` file that shows the required fields and object spec for a Kubernetes Deployment:
 
@@ -81,7 +95,9 @@ In the `.yaml` file for the Kubernetes object you want to create, you'll need to
 * `metadata` - Data that helps uniquely identify the object, including a `name` string, `UID`, and optional `namespace`
 * `spec` - What state you desire for the object
 
-The precise format of the object `spec` is different for every Kubernetes object, and contains nested fields specific to that object. The [Kubernetes API Reference](https://kubernetes.io/docs/reference/kubernetes-api/) can help you find the spec format for all of the objects you can create using Kubernetes.
+The precise format of the object `spec` is different for every Kubernetes object, and contains
+nested fields specific to that object. The [Kubernetes API Reference](/docs/reference/kubernetes-api/)
+can help you find the spec format for all of the objects you can create using Kubernetes.
 
 For example, see the [`spec` field](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
 for the Pod API reference.
@@ -103,5 +119,3 @@ detail the structure of that `.status` field, and its content for each different
 * Learn about [controllers](/docs/concepts/architecture/controller/) in Kubernetes.
 * [Using the Kubernetes API](/docs/reference/using-api/) explains some more API concepts.
 
-
-
diff --git a/content/en/docs/concepts/overview/working-with-objects/object-management.md b/content/en/docs/concepts/overview/working-with-objects/object-management.md
index b85c6228231..10b6dacf856 100644
--- a/content/en/docs/concepts/overview/working-with-objects/object-management.md
+++ b/content/en/docs/concepts/overview/working-with-objects/object-management.md
@@ -169,9 +169,9 @@ Disadvantages compared to imperative object configuration:
 ## {{% heading "whatsnext" %}}
 
 - [Managing Kubernetes Objects Using Imperative Commands](/docs/tasks/manage-kubernetes-objects/imperative-command/)
-- [Managing Kubernetes Objects Using Object Configuration (Imperative)](/docs/tasks/manage-kubernetes-objects/imperative-config/)
-- [Managing Kubernetes Objects Using Object Configuration (Declarative)](/docs/tasks/manage-kubernetes-objects/declarative-config/)
-- [Managing Kubernetes Objects Using Kustomize (Declarative)](/docs/tasks/manage-kubernetes-objects/kustomization/)
+- [Imperative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/imperative-config/)
+- [Declarative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/declarative-config/)
+- [Declarative Management of Kubernetes Objects Using Kustomize](/docs/tasks/manage-kubernetes-objects/kustomization/)
 - [Kubectl Command Reference](/docs/reference/generated/kubectl/kubectl-commands/)
 - [Kubectl Book](https://kubectl.docs.kubernetes.io)
 - [Kubernetes API Reference](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)
diff --git a/content/en/docs/concepts/scheduling-eviction/_index.md b/content/en/docs/concepts/scheduling-eviction/_index.md
index 21e9371f037..fd1c0bbf00b 100644
--- a/content/en/docs/concepts/scheduling-eviction/_index.md
+++ b/content/en/docs/concepts/scheduling-eviction/_index.md
@@ -23,6 +23,7 @@ of terminating one or more Pods on Nodes.
 * [Kubernetes Scheduler](/docs/concepts/scheduling-eviction/kube-scheduler/)
 * [Assigning Pods to Nodes](/docs/concepts/scheduling-eviction/assign-pod-node/)
 * [Pod Overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
+* [Pod Topology Spread Constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 * [Taints and Tolerations](/docs/concepts/scheduling-eviction/taint-and-toleration/)
 * [Scheduling Framework](/docs/concepts/scheduling-eviction/scheduling-framework)
 * [Scheduler Performance Tuning](/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
diff --git a/content/en/docs/concepts/scheduling-eviction/assign-pod-node.md b/content/en/docs/concepts/scheduling-eviction/assign-pod-node.md
index db9f1d900d6..9cd70f9e976 100644
--- a/content/en/docs/concepts/scheduling-eviction/assign-pod-node.md
+++ b/content/en/docs/concepts/scheduling-eviction/assign-pod-node.md
@@ -11,24 +11,27 @@ weight: 20
 
 <!-- overview -->
 
-You can constrain a {{< glossary_tooltip text="Pod" term_id="pod" >}} so that it can only run on particular set of
-{{< glossary_tooltip text="node(s)" term_id="node" >}}.
+You can constrain a {{< glossary_tooltip text="Pod" term_id="pod" >}} so that it is 
+_restricted_ to run on particular {{< glossary_tooltip text="node(s)" term_id="node" >}},
+or to _prefer_ to run on particular nodes.
 There are several ways to do this and the recommended approaches all use
 [label selectors](/docs/concepts/overview/working-with-objects/labels/) to facilitate the selection.
-Generally such constraints are unnecessary, as the scheduler will automatically do a reasonable placement
+Often, you do not need to set any such constraints; the
+{{< glossary_tooltip text="scheduler" term_id="kube-scheduler" >}}  will automatically do a reasonable placement
 (for example, spreading your Pods across nodes so as not place Pods on a node with insufficient free resources).
 However, there are some circumstances where you may want to control which node
-the Pod deploys to, for example, to ensure that a Pod ends up on a node with an SSD attached to it, or to co-locate Pods from two different
-services that communicate a lot into the same availability zone.
+the Pod deploys to, for example, to ensure that a Pod ends up on a node with an SSD attached to it,
+or to co-locate Pods from two different services that communicate a lot into the same availability zone.
 
 <!-- body -->
 
 You can use any of the following methods to choose where Kubernetes schedules
-specific Pods: 
+specific Pods:
 
   * [nodeSelector](#nodeselector) field matching against [node labels](#built-in-node-labels)
   * [Affinity and anti-affinity](#affinity-and-anti-affinity)
   * [nodeName](#nodename) field
+  * [Pod topology spread constraints](#pod-topology-spread-constraints)
 
 ## Node labels {#built-in-node-labels}
 
@@ -170,7 +173,7 @@ For example, consider the following Pod spec:
 {{< codenew file="pods/pod-with-affinity-anti-affinity.yaml" >}}
 
 If there are two possible nodes that match the
-`requiredDuringSchedulingIgnoredDuringExecution` rule, one with the
+`preferredDuringSchedulingIgnoredDuringExecution` rule, one with the
 `label-1:key-1` label and another with the `label-2:key-2` label, the scheduler
 considers the `weight` of each node and adds the weight to the other scores for
 that node, and schedules the Pod onto the node with the highest final score.
@@ -337,13 +340,15 @@ null `namespaceSelector` matches the namespace of the Pod where the rule is defi
 Inter-pod affinity and anti-affinity can be even more useful when they are used with higher
 level collections such as ReplicaSets, StatefulSets, Deployments, etc.  These
 rules allow you to configure that a set of workloads should
-be co-located in the same defined topology, eg., the same node.
+be co-located in the same defined topology; for example, preferring to place two related
+Pods onto the same node.
 
-Take, for example, a three-node cluster running a web application with an
-in-memory cache like redis. You could use inter-pod affinity and anti-affinity
-to co-locate the web servers with the cache as much as possible.
+For example: imagine a three-node cluster. You use the cluster to run a web application
+and also an in-memory cache (such as Redis). For this example, also assume that latency between
+the web application and the memory cache should be as low as is practical. You could use inter-pod
+affinity and anti-affinity to co-locate the web servers with the cache as much as possible.
 
-In the following example Deployment for the redis cache, the replicas get the label `app=store`. The
+In the following example Deployment for the Redis cache, the replicas get the label `app=store`. The
 `podAntiAffinity` rule tells the scheduler to avoid placing multiple replicas
 with the `app=store` label on a single node. This creates each cache in a
 separate node.
@@ -378,10 +383,10 @@ spec:
         image: redis:3.2-alpine
 ```
 
-The following Deployment for the web servers creates replicas with the label `app=web-store`. The
-Pod affinity rule tells the scheduler to place each replica on a node that has a
-Pod with the label `app=store`. The Pod anti-affinity rule tells the scheduler
-to avoid placing multiple `app=web-store` servers on a single node.
+The following example Deployment for the web servers creates replicas with the label `app=web-store`.
+The Pod affinity rule tells the scheduler to place each replica on a node that has a Pod
+with the label `app=store`. The Pod anti-affinity rule tells the scheduler never to place
+multiple `app=web-store` servers on a single node.
 
 ```yaml
 apiVersion: apps/v1
@@ -430,6 +435,10 @@ where each web server is co-located with a cache, on three separate nodes.
 | *webserver-1*        |   *webserver-2*     |    *webserver-3*   |
 |  *cache-1*           |     *cache-2*       |     *cache-3*      |
 
+The overall effect is that each cache instance is likely to be accessed by a single client, that
+is running on the same node. This approach aims to minimize both skew (imbalanced load) and latency.
+
+You might have other reasons to use Pod anti-affinity.
 See the [ZooKeeper tutorial](/docs/tutorials/stateful-application/zookeeper/#tolerating-node-failure)
 for an example of a StatefulSet configured with anti-affinity for high
 availability, using the same technique as this example.
@@ -468,6 +477,16 @@ spec:
 
 The above Pod will only run on the node `kube-01`.
 
+## Pod topology spread constraints
+
+You can use _topology spread constraints_ to control how {{< glossary_tooltip text="Pods" term_id="Pod" >}}
+are spread across your cluster among failure-domains such as regions, zones, nodes, or among any other
+topology domains that you define. You might do this to improve performance, expected availability, or
+overall utilization.
+
+Read [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+to learn more about how these work.
+
 ## {{% heading "whatsnext" %}}
 
 * Read more about [taints and tolerations](/docs/concepts/scheduling-eviction/taint-and-toleration/) .
diff --git a/content/en/docs/concepts/scheduling-eviction/kube-scheduler.md b/content/en/docs/concepts/scheduling-eviction/kube-scheduler.md
index df688ded9a5..c27013f6b7a 100644
--- a/content/en/docs/concepts/scheduling-eviction/kube-scheduler.md
+++ b/content/en/docs/concepts/scheduling-eviction/kube-scheduler.md
@@ -83,7 +83,7 @@ of the scheduler:
 ## {{% heading "whatsnext" %}}
 
 * Read about [scheduler performance tuning](/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
-* Read about [Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+* Read about [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 * Read the [reference documentation](/docs/reference/command-line-tools-reference/kube-scheduler/) for kube-scheduler
 * Read the [kube-scheduler config (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/) reference
 * Learn about [configuring multiple schedulers](/docs/tasks/extend-kubernetes/configure-multiple-schedulers/)
diff --git a/content/en/docs/concepts/scheduling-eviction/node-pressure-eviction.md b/content/en/docs/concepts/scheduling-eviction/node-pressure-eviction.md
index 6142c050c6b..244298d1504 100644
--- a/content/en/docs/concepts/scheduling-eviction/node-pressure-eviction.md
+++ b/content/en/docs/concepts/scheduling-eviction/node-pressure-eviction.md
@@ -66,8 +66,8 @@ the signal.
 
 The value for `memory.available` is derived from the cgroupfs instead of tools
 like `free -m`. This is important because `free -m` does not work in a
-container, and if users use the [node
-allocatable](/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable) feature, out of resource decisions
+container, and if users use the [node allocatable](/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
+feature, out of resource decisions
 are made local to the end user Pod part of the cgroup hierarchy as well as the
 root node. This [script](/examples/admin/resource/memory-available.sh)
 reproduces the same set of steps that the kubelet performs to calculate
@@ -85,10 +85,15 @@ The kubelet supports the following filesystem partitions:
 Kubelet auto-discovers these filesystems and ignores other filesystems. Kubelet
 does not support other configurations.
 
-{{<note>}}
-Some kubelet garbage collection features are deprecated in favor of eviction.
-For a list of the deprecated features, see [kubelet garbage collection deprecation](/docs/concepts/cluster-administration/kubelet-garbage-collection/#deprecation).
-{{</note>}}
+Some kubelet garbage collection features are deprecated in favor of eviction:
+
+| Existing Flag | New Flag | Rationale |
+| ------------- | -------- | --------- |
+| `--image-gc-high-threshold` | `--eviction-hard` or `--eviction-soft` | existing eviction signals can trigger image garbage collection |
+| `--image-gc-low-threshold` | `--eviction-minimum-reclaim` | eviction reclaims achieve the same behavior |
+| `--maximum-dead-containers` | - | deprecated once old logs are stored outside of container's context |
+| `--maximum-dead-containers-per-container` | - | deprecated once old logs are stored outside of container's context |
+| `--minimum-container-ttl-duration` | - | deprecated once old logs are stored outside of container's context |
 
 ### Eviction thresholds
 
@@ -211,7 +216,7 @@ the kubelet frees up disk space in the following order:
 If the kubelet's attempts to reclaim node-level resources don't bring the eviction
 signal below the threshold, the kubelet begins to evict end-user pods. 
 
-The kubelet uses the following parameters to determine pod eviction order:
+The kubelet uses the following parameters to determine the pod eviction order:
 
 1. Whether the pod's resource usage exceeds requests
 1. [Pod Priority](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
@@ -314,7 +319,7 @@ The kubelet sets an `oom_score_adj` value for each container based on the QoS fo
 
 {{<note>}}
 The kubelet also sets an `oom_score_adj` value of `-997` for containers in Pods that have
-`system-node-critical` {{<glossary_tooltip text="Priority" term_id="pod-priority">}}
+`system-node-critical` {{<glossary_tooltip text="Priority" term_id="pod-priority">}}.
 {{</note>}}
 
 If the kubelet can't reclaim memory before a node experiences OOM, the
@@ -396,7 +401,7 @@ counted as `active_file`. If enough of these kernel block buffers are on the
 active LRU list, the kubelet is liable to observe this as high resource use and 
 taint the node as experiencing memory pressure - triggering pod eviction.
 
-For more more details, see [https://github.com/kubernetes/kubernetes/issues/43916](https://github.com/kubernetes/kubernetes/issues/43916)
+For more details, see [https://github.com/kubernetes/kubernetes/issues/43916](https://github.com/kubernetes/kubernetes/issues/43916)
 
 You can work around that behavior by setting the memory limit and memory request
 the same for containers likely to perform intensive I/O activity. You will need 
diff --git a/content/en/docs/concepts/scheduling-eviction/taint-and-toleration.md b/content/en/docs/concepts/scheduling-eviction/taint-and-toleration.md
index ff7718a1f3f..82e812c53b9 100644
--- a/content/en/docs/concepts/scheduling-eviction/taint-and-toleration.md
+++ b/content/en/docs/concepts/scheduling-eviction/taint-and-toleration.md
@@ -15,14 +15,15 @@ is a property of {{< glossary_tooltip text="Pods" term_id="pod" >}} that *attrac
 a set of {{< glossary_tooltip text="nodes" term_id="node" >}} (either as a preference or a
 hard requirement). _Taints_ are the opposite -- they allow a node to repel a set of pods.
 
-_Tolerations_ are applied to pods. Tolerations allow the scheduler to schedule pods with matching taints. Tolerations allow scheduling but don't guarantee scheduling: the scheduler also [evaluates other parameters](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/) as part of its function.
+_Tolerations_ are applied to pods. Tolerations allow the scheduler to schedule pods with matching
+taints. Tolerations allow scheduling but don't guarantee scheduling: the scheduler also
+[evaluates other parameters](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
+as part of its function.
 
 Taints and tolerations work together to ensure that pods are not scheduled
 onto inappropriate nodes. One or more taints are applied to a node; this
 marks that the node should not accept any pods that do not tolerate the taints.
 
-
-
 <!-- body -->
 
 ## Concepts
@@ -266,7 +267,8 @@ This ensures that DaemonSet pods are never evicted due to these problems.
 ## Taint Nodes by Condition
 
 The control plane, using the node {{<glossary_tooltip text="controller" term_id="controller">}},
-automatically creates taints with a `NoSchedule` effect for [node conditions](/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions).
+automatically creates taints with a `NoSchedule` effect for
+[node conditions](/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions).
 
 The scheduler checks taints, not node conditions, when it makes scheduling
 decisions. This ensures that node conditions don't directly affect scheduling.
@@ -297,7 +299,7 @@ arbitrary tolerations to DaemonSets.
 
 ## {{% heading "whatsnext" %}}
 
-* Read about [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/) and how you can configure it
+* Read about [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
+  and how you can configure it
 * Read about [Pod Priority](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
 
-
diff --git a/content/en/docs/concepts/scheduling-eviction/topology-spread-constraints.md b/content/en/docs/concepts/scheduling-eviction/topology-spread-constraints.md
new file mode 100644
index 00000000000..77f4d1ea553
--- /dev/null
+++ b/content/en/docs/concepts/scheduling-eviction/topology-spread-constraints.md
@@ -0,0 +1,570 @@
+---
+title: Pod Topology Spread Constraints
+content_type: concept
+weight: 40
+---
+
+
+<!-- overview -->
+
+You can use _topology spread constraints_ to control how
+{{< glossary_tooltip text="Pods" term_id="Pod" >}} are spread across your cluster
+among failure-domains such as regions, zones, nodes, and other user-defined topology
+domains. This can help to achieve high availability as well as efficient resource
+utilization.
+
+You can set [cluster-level constraints](#cluster-level-default-constraints) as a default,
+or configure topology spread constraints for individual workloads.
+
+<!-- body -->
+
+## Motivation
+
+Imagine that you have a cluster of up to twenty nodes, and you want to run a
+{{< glossary_tooltip text="workload" term_id="workload" >}}
+that automatically scales how many replicas it uses. There could be as few as
+two Pods or as many as fifteen.
+When there are only two Pods, you'd prefer not to have both of those Pods run on the
+same node: you would run the risk that a single node failure takes your workload
+offline.
+
+In addition to this basic usage, there are some advanced usage examples that
+enable your workloads to benefit on high availability and cluster utilization.
+
+As you scale up and run more Pods, a different concern becomes important. Imagine
+that you have three nodes running five Pods each. The nodes have enough capacity
+to run that many replicas; however, the clients that interact with this workload
+are split across three different datacenters (or infrastructure zones). Now you
+have less concern about a single node failure, but you notice that latency is
+higher than you'd like, and you are paying for network costs associated with
+sending network traffic between the different zones.
+
+You decide that under normal operation you'd prefer to have a similar number of replicas
+[scheduled](/docs/concepts/scheduling-eviction/) into each infrastructure zone,
+and you'd like the cluster to self-heal in the case that there is a problem.
+
+Pod topology spread constraints offer you a declarative way to configure that.
+
+
+## `topologySpreadConstraints` field
+
+The Pod API includes a field, `spec.topologySpreadConstraints`. Here is an example:
+
+```yaml
+---
+apiVersion: v1
+kind: Pod
+metadata:
+  name: example-pod
+spec:
+  # Configure a topology spread constraint
+  topologySpreadConstraints:
+    - maxSkew: <integer>
+      minDomains: <integer> # optional; alpha since v1.24
+      topologyKey: <string>
+      whenUnsatisfiable: <string>
+      labelSelector: <object>
+  ### other Pod fields go here
+```
+
+You can read more about this field by running `kubectl explain Pod.spec.topologySpreadConstraints`.
+
+### Spread constraint definition
+
+You can define one or multiple `topologySpreadConstraints` entries to instruct the
+kube-scheduler how to place each incoming Pod in relation to the existing Pods across
+your cluster. Those fields are:
+
+- **maxSkew** describes the degree to which Pods may be unevenly distributed. You must
+  specify this field and the number must be greater than zero. Its semantics differ
+  according to the value of `whenUnsatisfiable`:
+
+  - if you select `whenUnsatisfiable: DoNotSchedule`, then `maxSkew` defines the
+    maximum permitted difference between the number of matching pods in the target
+    topology and the _global minimum_
+    (the minimum number of pods that match the label selector in a topology domain).
+    For example, if you have 3 zones with 2, 4 and 5 matching pods respectively,
+    then the global minimum is 2 and `maxSkew` is compared relative to that number.
+  - if you select `whenUnsatisfiable: ScheduleAnyway`, the scheduler gives higher
+    precedence to topologies that would help reduce the skew.
+
+- **minDomains** indicates a minimum number of eligible domains. This field is optional.
+  A domain is a particular instance of a topology. An eligible domain is a domain whose
+  nodes match the node selector.
+
+  {{< note >}}
+  The `minDomains` field is an alpha field added in 1.24. You have to enable the
+  `MinDomainsInPodToplogySpread` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
+  in order to use it.
+  {{< /note >}}
+
+  - The value of `minDomains` must be greater than 0, when specified.
+    You can only specify `minDomains` in conjunction with `whenUnsatisfiable: DoNotSchedule`.
+  - When the number of eligible domains with match topology keys is less than `minDomains`,
+    Pod topology spread treats global minimum as 0, and then the calculation of `skew` is performed.
+    The global minimum is the minimum number of matching Pods in an eligible domain,
+    or zero if the number of eligible domains is less than `minDomains`.
+  - When the number of eligible domains with matching topology keys equals or is greater than
+    `minDomains`, this value has no effect on scheduling.
+  - If you do not specify `minDomains`, the constraint behaves as if `minDomains` is 1.
+
+- **topologyKey** is the key of [node labels](#node-labels). If two Nodes are labelled
+  with this key and have identical values for that label, the scheduler treats both
+  Nodes as being in the same topology. The scheduler tries to place a balanced number
+  of Pods into each topology domain.
+
+- **whenUnsatisfiable** indicates how to deal with a Pod if it doesn't satisfy the spread constraint:
+  - `DoNotSchedule` (default) tells the scheduler not to schedule it.
+  - `ScheduleAnyway` tells the scheduler to still schedule it while prioritizing nodes that minimize the skew.
+
+- **labelSelector** is used to find matching Pods. Pods
+  that match this label selector are counted to determine the
+  number of Pods in their corresponding topology domain.
+  See [Label Selectors](/docs/concepts/overview/working-with-objects/labels/#label-selectors)
+  for more details.
+
+When a Pod defines more than one `topologySpreadConstraint`, those constraints are
+combined using a logical AND operation: the kube-scheduler looks for a node for the incoming Pod
+that satisfies all the configured constraints.
+
+### Node labels
+
+Topology spread constraints rely on node labels to identify the topology
+domain(s) that each {{< glossary_tooltip text="node" term_id="node" >}} is in.
+For example, a node might have labels:
+```yaml
+  region: us-east-1
+  zone: us-east-1a
+```
+
+{{< note >}}
+For brevity, this example doesn't use the
+[well-known](/docs/reference/labels-annotations-taints/) label keys
+`topology.kubernetes.io/zone` and `topology.kubernetes.io/region`. However,
+those registered label keys are nonetheless recommended rather than the private
+(unqualified) label keys `region` and `zone` that are used here.
+
+You can't make a reliable assumption about the meaning of a private label key
+between different contexts.
+{{< /note >}}
+
+
+Suppose you have a 4-node cluster with the following labels:
+
+```
+NAME    STATUS   ROLES    AGE     VERSION   LABELS
+node1   Ready    <none>   4m26s   v1.16.0   node=node1,zone=zoneA
+node2   Ready    <none>   3m58s   v1.16.0   node=node2,zone=zoneA
+node3   Ready    <none>   3m17s   v1.16.0   node=node3,zone=zoneB
+node4   Ready    <none>   2m43s   v1.16.0   node=node4,zone=zoneB
+```
+
+Then the cluster is logically viewed as below:
+
+{{<mermaid>}}
+graph TB
+    subgraph "zoneB"
+        n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        n1(Node1)
+        n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+## Consistency
+
+You should set the same Pod topology spread constraints on all pods in a group.
+
+Usually, if you are using a workload controller such as a Deployment, the pod template
+takes care of this for you. If you mix different spread constraints then Kubernetes
+follows the API definition of the field; however, the behavior is more likely to become
+confusing and troubleshooting is less straightforward.
+
+You need a mechanism to ensure that all the nodes in a topology domain (such as a
+cloud provider region) are labelled consistently.
+To avoid you needing to manually label nodes, most clusters automatically
+populate well-known labels such as `topology.kubernetes.io/hostname`. Check whether
+your cluster supports this.
+
+## Topology spread constraint examples
+
+### Example: one topology spread constraint {#example-one-topologyspreadconstraint}
+
+Suppose you have a 4-node cluster where 3 Pods labelled `foo: bar` are located in
+node1, node2 and node3 respectively:
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+If you want an incoming Pod to be evenly spread with existing Pods across zones, you
+can use a manifest similar to:
+
+{{< codenew file="pods/topology-spread-constraints/one-constraint.yaml" >}}
+
+From that manifest, `topologyKey: zone` implies the even distribution will only be applied
+to nodes that are labelled `zone: <any value>` (nodes that don't have a `zone` label
+are skipped). The field `whenUnsatisfiable: DoNotSchedule` tells the scheduler to let the
+incoming Pod stay pending if the scheduler can't find a way to satisfy the constraint.
+
+If the scheduler placed this incoming Pod into zone `A`, the distribution of Pods would
+become `[3, 1]`. That means the actual skew is then 2 (calculated as `3 - 1`), which
+violates `maxSkew: 1`. To satisfy the constraints and context for this example, the
+incoming Pod can only be placed onto a node in zone `B`:
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        p4(mypod) --> n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+OR
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        p4(mypod) --> n3
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+You can tweak the Pod spec to meet various kinds of requirements:
+
+- Change `maxSkew` to a bigger value - such as `2` -  so that the incoming Pod can
+  be placed into zone `A` as well.
+- Change `topologyKey` to `node` so as to distribute the Pods evenly across nodes
+  instead of zones. In the above example, if `maxSkew` remains `1`, the incoming
+  Pod can only be placed onto the node `node4`.
+- Change `whenUnsatisfiable: DoNotSchedule` to `whenUnsatisfiable: ScheduleAnyway`
+  to ensure the incoming Pod to be always schedulable (suppose other scheduling APIs
+  are satisfied). However, it's preferred to be placed into the topology domain which
+  has fewer matching Pods. (Be aware that this preference is jointly normalized
+  with other internal scheduling priorities such as resource usage ratio).
+
+### Example: multiple topology spread constraints {#example-multiple-topologyspreadconstraints}
+
+This builds upon the previous example. Suppose you have a 4-node cluster where 3
+existing Pods labeled `foo: bar` are located on node1, node2 and node3 respectively:
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+You can combine two topology spread constraints to control the spread of Pods both
+by node and by zone:
+
+{{< codenew file="pods/topology-spread-constraints/two-constraints.yaml" >}}
+
+In this case, to match the first constraint, the incoming Pod can only be placed onto
+nodes in zone `B`; while in terms of the second constraint, the incoming Pod can only be
+scheduled to the node `node4`. The scheduler only considers options that satisfy all
+defined constraints, so the only valid placement is onto node `node4`.
+
+### Example: conflicting topology spread constraints {#example-conflicting-topologyspreadconstraints}
+
+Multiple constraints can lead to conflicts. Suppose you have a 3-node cluster across 2 zones:
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p4(Pod) --> n3(Node3)
+        p5(Pod) --> n3
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n1
+        p3(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3,p4,p5 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+If you were to apply
+[`two-constraints.yaml`](https://raw.githubusercontent.com/kubernetes/website/main/content/en/examples/pods/topology-spread-constraints/two-constraints.yaml)
+(the manifest from the previous example)
+to **this** cluster, you would see that the Pod `mypod` stays in the `Pending` state.
+This happens because: to satisfy the first constraint, the Pod `mypod` can only
+be placed into zone `B`; while in terms of the second constraint, the Pod `mypod`
+can only schedule to node `node2`. The intersection of the two constraints returns
+an empty set, and the scheduler cannot place the Pod.
+
+To overcome this situation, you can either increase the value of `maxSkew` or modify
+one of the constraints to use `whenUnsatisfiable: ScheduleAnyway`. Depending on
+circumstances, you might also decide to delete an existing Pod manually - for example,
+if you are troubleshooting why a bug-fix rollout is not making progress.
+
+#### Interaction with node affinity and node selectors
+
+The scheduler will skip the non-matching nodes from the skew calculations if the
+incoming Pod has `spec.nodeSelector` or `spec.affinity.nodeAffinity` defined.
+
+### Example: topology spread constraints with node affinity {#example-topologyspreadconstraints-with-nodeaffinity}
+
+Suppose you have a 5-node cluster ranging across zones A to C:
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+class n1,n2,n3,n4,p1,p2,p3 k8s;
+class p4 plain;
+class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneC"
+        n5(Node5)
+    end
+
+classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+class n5 k8s;
+class zoneC cluster;
+{{< /mermaid >}}
+
+and you know that zone `C` must be excluded. In this case, you can compose a manifest
+as below, so that Pod `mypod` will be placed into zone `B` instead of zone `C`.
+Similarly, Kubernetes also respects `spec.nodeSelector`.
+
+{{< codenew file="pods/topology-spread-constraints/one-constraint-with-nodeaffinity.yaml" >}}
+
+## Implicit conventions
+
+There are some implicit conventions worth noting here:
+
+- Only the Pods holding the same namespace as the incoming Pod can be matching candidates.
+
+- The scheduler bypasses any nodes that don't have any `topologySpreadConstraints[*].topologyKey`
+  present. This implies that:
+
+  1. any Pods located on those bypassed nodes do not impact `maxSkew` calculation - in the
+     above example, suppose the node `node1` does not have a label "zone", then the 2 Pods will
+     be disregarded, hence the incoming Pod will be scheduled into zone `A`.
+  2. the incoming Pod has no chances to be scheduled onto this kind of nodes -
+     in the above example, suppose a node `node5` has the **mistyped** label `zone-typo: zoneC`
+     (and no `zone` label set). After node `node5` joins the cluster, it will be bypassed and
+     Pods for this workload aren't scheduled there.
+
+- Be aware of what will happen if the incoming Pod's
+  `topologySpreadConstraints[*].labelSelector` doesn't match its own labels. In the
+  above example, if you remove the incoming Pod's labels, it can still be placed onto
+  nodes in zone `B`, since the constraints are still satisfied. However, after that
+  placement, the degree of imbalance of the cluster remains unchanged - it's still zone `A`
+  having 2 Pods labelled as `foo: bar`, and zone `B` having 1 Pod labelled as
+  `foo: bar`. If this is not what you expect, update the workload's
+  `topologySpreadConstraints[*].labelSelector` to match the labels in the pod template.
+
+## Cluster-level default constraints
+
+It is possible to set default topology spread constraints for a cluster. Default
+topology spread constraints are applied to a Pod if, and only if:
+
+- It doesn't define any constraints in its `.spec.topologySpreadConstraints`.
+- It belongs to a Service, ReplicaSet, StatefulSet or ReplicationController.
+
+Default constraints can be set as part of the `PodTopologySpread` plugin
+arguments in a [scheduling profile](/docs/reference/scheduling/config/#profiles).
+The constraints are specified with the same [API above](#api), except that
+`labelSelector` must be empty. The selectors are calculated from the Services,
+ReplicaSets, StatefulSets or ReplicationControllers that the Pod belongs to.
+
+An example configuration might look like follows:
+
+```yaml
+apiVersion: kubescheduler.config.k8s.io/v1beta3
+kind: KubeSchedulerConfiguration
+
+profiles:
+  - schedulerName: default-scheduler
+    pluginConfig:
+      - name: PodTopologySpread
+        args:
+          defaultConstraints:
+            - maxSkew: 1
+              topologyKey: topology.kubernetes.io/zone
+              whenUnsatisfiable: ScheduleAnyway
+          defaultingType: List
+```
+
+{{< note >}}
+The [`SelectorSpread` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
+is disabled by default. The Kubernetes project recommends using `PodTopologySpread`
+to achieve similar behavior.
+{{< /note >}}
+
+### Built-in default constraints {#internal-default-constraints}
+
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
+
+If you don't configure any cluster-level default constraints for pod topology spreading,
+then kube-scheduler acts as if you specified the following default topology constraints:
+
+```yaml
+defaultConstraints:
+  - maxSkew: 3
+    topologyKey: "kubernetes.io/hostname"
+    whenUnsatisfiable: ScheduleAnyway
+  - maxSkew: 5
+    topologyKey: "topology.kubernetes.io/zone"
+    whenUnsatisfiable: ScheduleAnyway
+```
+
+Also, the legacy `SelectorSpread` plugin, which provides an equivalent behavior,
+is disabled by default.
+
+{{< note >}}
+The `PodTopologySpread` plugin does not score the nodes that don't have
+the topology keys specified in the spreading constraints. This might result
+in a different default behavior compared to the legacy `SelectorSpread` plugin when
+using the default topology constraints.
+
+If your nodes are not expected to have **both** `kubernetes.io/hostname` and
+`topology.kubernetes.io/zone` labels set, define your own constraints
+instead of using the Kubernetes defaults.
+{{< /note >}}
+
+If you don't want to use the default Pod spreading constraints for your cluster,
+you can disable those defaults by setting `defaultingType` to `List` and leaving
+empty `defaultConstraints` in the `PodTopologySpread` plugin configuration:
+
+```yaml
+apiVersion: kubescheduler.config.k8s.io/v1beta3
+kind: KubeSchedulerConfiguration
+
+profiles:
+  - schedulerName: default-scheduler
+    pluginConfig:
+      - name: PodTopologySpread
+        args:
+          defaultConstraints: []
+          defaultingType: List
+```
+
+## Comparison with podAffinity and podAntiAffinity {#comparison-with-podaffinity-podantiaffinity}
+
+In Kubernetes, [inter-Pod affinity and anti-affinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity)
+control how Pods are scheduled in relation to one another - either more packed
+or more scattered.
+
+`podAffinity`
+: attracts Pods; you can try to pack any number of Pods into qualifying
+  topology domain(s)
+`podAntiAffinity`
+: repels Pods. If you set this to `requiredDuringSchedulingIgnoredDuringExecution` mode then
+  only a single Pod can be scheduled into a single topology domain; if you choose
+  `preferredDuringSchedulingIgnoredDuringExecution` then you lose the ability to enforce the
+  constraint.
+
+For finer control, you can specify topology spread constraints to distribute
+Pods across different topology domains - to achieve either high availability or
+cost-saving. This can also help on rolling update workloads and scaling out
+replicas smoothly.
+
+For more context, see the
+[Motivation](https://github.com/kubernetes/enhancements/tree/master/keps/sig-scheduling/895-pod-topology-spread#motivation)
+section of the enhancement proposal about Pod topology spread constraints.
+
+## Known limitations
+
+- There's no guarantee that the constraints remain satisfied when Pods are removed. For
+  example, scaling down a Deployment may result in imbalanced Pods distribution.
+
+  You can use a tool such as the [Descheduler](https://github.com/kubernetes-sigs/descheduler)
+  to rebalance the Pods distribution.
+- Pods matched on tainted nodes are respected.
+  See [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921).
+- The scheduler doesn't have prior knowledge of all the zones or other topology
+  domains that a cluster has. They are determined from the existing nodes in the
+  cluster. This could lead to a problem in autoscaled clusters, when a node pool (or
+  node group) is scaled to zero nodes, and you're expecting the cluster to scale up,
+  because, in this case, those topology domains won't be considered until there is
+  at least one node in them.  
+  You can work around this by using an cluster autoscaling tool that is aware of
+  Pod topology spread constraints and is also aware of the overall set of topology
+  domains.
+
+
+## {{% heading "whatsnext" %}}
+
+- The blog article [Introducing PodTopologySpread](/blog/2020/05/introducing-podtopologyspread/)
+  explains `maxSkew` in some detail, as well as covering some advanced usage examples.
+- Read the [scheduling](/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling) section of
+  the API reference for Pod.
diff --git a/content/en/docs/concepts/security/controlling-access.md b/content/en/docs/concepts/security/controlling-access.md
index 04b13a82c5f..1718aa4a54a 100644
--- a/content/en/docs/concepts/security/controlling-access.md
+++ b/content/en/docs/concepts/security/controlling-access.md
@@ -23,10 +23,11 @@ following diagram:
 
 ## Transport security
 
-In a typical Kubernetes cluster, the API serves on port 443, protected by TLS.
+By default, the Kubernetes API server listens on port 6443 on the first non-localhost network interface, protected by TLS. In a typical production Kubernetes cluster, the API serves on port 443. The port can be changed with the `--secure-port`, and the listening IP address with the `--bind-address` flag.
+
 The API server presents a certificate. This certificate may be signed using
 a private certificate authority (CA), or based on a public key infrastructure linked
-to a generally recognized CA.
+to a generally recognized CA. The certificate and corresponding private key can be set by using the `--tls-cert-file` and `--tls-private-key-file` flags.
 
 If your cluster uses a private certificate authority, you need a copy of that CA
 certificate configured into your `~/.kube/config` on the client, so that you can
@@ -137,34 +138,6 @@ The cluster audits the activities generated by users, by applications that use t
 
 For more information, see [Auditing](/docs/tasks/debug/debug-cluster/audit/).
 
-## API server ports and IPs
-
-The previous discussion applies to requests sent to the secure port of the API server
-(the typical case).  The API server can actually serve on 2 ports:
-
-By default, the Kubernetes API server serves HTTP on 2 ports:
-
-  1. `localhost` port:
-
-      - is intended for testing and bootstrap, and for other components of the master node
-        (scheduler, controller-manager) to talk to the API
-      - no TLS
-      - default is port 8080
-      - default IP is localhost, change with `--insecure-bind-address` flag.
-      - request **bypasses** authentication and authorization modules.
-      - request handled by admission control module(s).
-      - protected by need to have host access
-
-  2. “Secure port”:
-
-      - use whenever possible
-      - uses TLS.  Set cert with `--tls-cert-file` and key with `--tls-private-key-file` flag.
-      - default is port 6443, change with `--secure-port` flag.
-      - default IP is first non-localhost network interface, change with `--bind-address` flag.
-      - request handled by authentication and authorization modules.
-      - request handled by admission control module(s).
-      - authentication and authorization modules run.
-
 ## {{% heading "whatsnext" %}}
 
 Read more documentation on authentication, authorization and API access control:
diff --git a/content/en/docs/concepts/security/multi-tenancy.md b/content/en/docs/concepts/security/multi-tenancy.md
index 8db2ad87c1c..0ba9eb8d10b 100755
--- a/content/en/docs/concepts/security/multi-tenancy.md
+++ b/content/en/docs/concepts/security/multi-tenancy.md
@@ -126,10 +126,10 @@ Pod-to-pod communication can be controlled  using [Network Policies](/docs/conce
 Namespace management tools may simplify the creation of default or common network policies. In addition, some of these tools allow you to enforce a consistent set of namespace labels across your cluster, ensuring that they are a trusted basis for your policies.
 
 {{< warning >}}
-Network policies require a [CNI plugin](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#cni) that supports the implementation of network policies. Otherwise, NetworkPolicy resources will be ignored.
+Network policies require a [CNI plugin](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#cni) that supports the implementation of network policies. Otherwise, NetworkPolicy resources will be ignored.
 {{< /warning >}}
 
-More advanced network isolation may be provided by service meshes, which provide OSI Layer 7 policies based on workload identity, in addition to namespaces. These higher-level policies can make it easier to manage namespaced based multi-tenancy, especially when multiple namespaces are dedicated to a single tenant. They frequently also offer encryption using mutual TLS, protecting your data even in the presence of a compromised node, and work across dedicated or virtual clusters. However, they can be significantly more complex to manage and may not be appropriate for all users.
+More advanced network isolation may be provided by service meshes, which provide OSI Layer 7 policies based on workload identity, in addition to namespaces. These higher-level policies can make it easier to manage namespace-based multi-tenancy, especially when multiple namespaces are dedicated to a single tenant. They frequently also offer encryption using mutual TLS, protecting your data even in the presence of a compromised node, and work across dedicated or virtual clusters. However, they can be significantly more complex to manage and may not be appropriate for all users.
 
 ### Storage isolation
 
@@ -165,7 +165,7 @@ Although workloads from different tenants are running on different nodes, it is
 
 Node isolation is a little easier to reason about from a billing standpoint than sandboxing containers since you can charge back per node rather than per pod. It also has fewer compatibility and performance issues and may be easier to implement than sandboxing containers. For example, nodes for each tenant can be configured with taints so that only pods with the corresponding toleration can run on them. A mutating webhook could then be used to automatically add tolerations and node affinities to pods deployed into tenant namespaces so that they run on a specific set of nodes designated for that tenant.
 
-Node isolation can be implemented using an [pod node selectors](https://kubernetes.io/docs/concepts/scheduling-eviction/assign-pod-node/) or a [Virtual Kubelet](https://github.com/virtual-kubelet).
+Node isolation can be implemented using an [pod node selectors](/docs/concepts/scheduling-eviction/assign-pod-node/) or a [Virtual Kubelet](https://github.com/virtual-kubelet).
 
 ## Additional Considerations
 
diff --git a/content/en/docs/concepts/security/pod-security-policy.md b/content/en/docs/concepts/security/pod-security-policy.md
index cc0acc410dc..c296f31cc2c 100644
--- a/content/en/docs/concepts/security/pod-security-policy.md
+++ b/content/en/docs/concepts/security/pod-security-policy.md
@@ -214,6 +214,9 @@ controller selects policies according to the following criteria:
 2. If the pod must be defaulted or mutated, the first PodSecurityPolicy
    (ordered by name) to allow the pod is selected.
 
+When a Pod is validated against a PodSecurityPolicy, [a `kubernetes.io/psp` annotation](/docs/reference/labels-annotations-taints/#kubernetes-io-psp)
+is added to the Pod, with the name of the PodSecurityPolicy as the annotation value.
+
 {{< note >}}
 During update operations (during which mutations to pod specs are disallowed)
 only non-mutating PodSecurityPolicies are used to validate the pod.
@@ -245,8 +248,7 @@ alias kubectl-user='kubectl --as=system:serviceaccount:psp-example:fake-user -n
 
 ### Create a policy and a pod
 
-Define the example PodSecurityPolicy object in a file. This is a policy that
-prevents the creation of privileged pods.
+This is a policy that prevents the creation of privileged pods.
 The name of a PodSecurityPolicy object must be a valid
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
@@ -255,7 +257,7 @@ The name of a PodSecurityPolicy object must be a valid
 And create it with kubectl:
 
 ```shell
-kubectl-admin create -f example-psp.yaml
+kubectl-admin create -f https://k8s.io/examples/policy/example-psp.yaml
 ```
 
 Now, as the unprivileged user, try to create a simple pod:
@@ -284,6 +286,11 @@ pod's service account nor `fake-user` have permission to use the new policy:
 
 ```shell
 kubectl-user auth can-i use podsecuritypolicy/example
+```
+
+The output is similar to this:
+
+```
 no
 ```
 
@@ -300,14 +307,27 @@ kubectl-admin create role psp:unprivileged \
     --verb=use \
     --resource=podsecuritypolicy \
     --resource-name=example
-role "psp:unprivileged" created
+```
 
+```
+role "psp:unprivileged" created
+```
+
+```shell
 kubectl-admin create rolebinding fake-user:psp:unprivileged \
     --role=psp:unprivileged \
     --serviceaccount=psp-example:fake-user
-rolebinding "fake-user:psp:unprivileged" created
+```
 
+```
+rolebinding "fake-user:psp:unprivileged" created
+```
+
+```shell
 kubectl-user auth can-i use podsecuritypolicy/example
+```
+
+```
 yes
 ```
 
@@ -332,7 +352,20 @@ The output is similar to this
 pod "pause" created
 ```
 
-It works as expected! But any attempts to create a privileged pod should still
+It works as expected! You can verify that the pod was validated against the
+newly created PodSecurityPolicy:
+
+```shell
+kubectl-user get pod pause -o yaml | grep kubernetes.io/psp
+```
+
+The output is similar to this
+
+```
+kubernetes.io/psp: example
+```
+
+But any attempts to create a privileged pod should still
 be denied:
 
 ```shell
diff --git a/content/en/docs/concepts/security/pod-security-standards.md b/content/en/docs/concepts/security/pod-security-standards.md
index 47e93d3e9ea..d60f3b0ae1e 100644
--- a/content/en/docs/concepts/security/pod-security-standards.md
+++ b/content/en/docs/concepts/security/pod-security-standards.md
@@ -462,11 +462,11 @@ of individual policies are not defined here.
 {{% thirdparty-content %}}
 
 Other alternatives for enforcing policies are being developed in the Kubernetes ecosystem, such as: 
+
 - [Kubewarden](https://github.com/kubewarden)
 - [Kyverno](https://kyverno.io/policies/pod-security/)
 - [OPA Gatekeeper](https://github.com/open-policy-agent/gatekeeper)
 
-
 ## FAQ
 
 ### Why isn't there a profile between privileged and baseline?
@@ -493,9 +493,9 @@ built-in [Pod Security Admission Controller](/docs/concepts/security/pod-securit
 ### What profiles should I apply to my Windows Pods?
 
 Windows in Kubernetes has some limitations and differentiators from standard Linux-based
-workloads. Specifically, many of the Pod SecurityContext fields [have no effect on
-Windows](/docs/setup/production-environment/windows/intro-windows-in-kubernetes/#v1-podsecuritycontext). As
-such, no standardized Pod Security profiles currently exist.
+workloads. Specifically, many of the Pod SecurityContext fields
+[have no effect on Windows](/docs/concepts/windows/intro/#compatibility-v1-pod-spec-containers-securitycontext).
+As such, no standardized Pod Security profiles currently exist.
 
 If you apply the restricted profile for a Windows pod, this **may** have an impact on the pod
 at runtime. The restricted profile requires enforcing Linux-specific restrictions (such as seccomp
@@ -504,7 +504,9 @@ these Linux-specific values, then the Windows pod should still work normally wit
 profile. However, the lack of enforcement means that there is no additional restriction, for Pods
 that use Windows containers, compared to the baseline profile.
 
-The use of the HostProcess flag to create a HostProcess pod should only be done in alignment with the privileged policy. Creation of a Windows HostProcess pod is blocked under the baseline and restricted policies, so any HostProcess pod should be considered privileged.
+The use of the HostProcess flag to create a HostProcess pod should only be done in alignment with the privileged policy.
+Creation of a Windows HostProcess pod is blocked under the baseline and restricted policies,
+so any HostProcess pod should be considered privileged.
 
 ### What about sandboxed Pods?
 
@@ -518,3 +520,4 @@ kernel. This allows for workloads requiring heightened permissions to still be i
 
 Additionally, the protection of sandboxed workloads is highly dependent on the method of
 sandboxing. As such, no single recommended profile is recommended for all sandboxed workloads.
+
diff --git a/content/en/docs/concepts/security/rbac-good-practices.md b/content/en/docs/concepts/security/rbac-good-practices.md
index cfcc8b3cb93..fe858bba72b 100644
--- a/content/en/docs/concepts/security/rbac-good-practices.md
+++ b/content/en/docs/concepts/security/rbac-good-practices.md
@@ -15,7 +15,8 @@ execute their roles. It is important to ensure that, when designing permissions
 users, the cluster administrator understands the areas where privilge escalation could occur, 
 to reduce the risk of excessive access leading to security incidents.
 
-The good practices laid out here should be read in conjunction with the general [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update).
+The good practices laid out here should be read in conjunction with the general
+[RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update).
 
 <!-- body -->
 
@@ -23,18 +24,19 @@ The good practices laid out here should be read in conjunction with the general
 
 ### Least privilege
 
-Ideally minimal RBAC rights should be assigned to users and service accounts. Only permissions 
-explicitly required for their operation should be used. Whilst each cluster will be different, 
+Ideally, minimal RBAC rights should be assigned to users and service accounts. Only permissions 
+explicitly required for their operation should be used. While each cluster will be different, 
 some general rules that can be applied are :
 
  - Assign permissions at the namespace level where possible. Use RoleBindings as opposed to 
    ClusterRoleBindings to give users rights only within a specific namespace.
  - Avoid providing wildcard permissions when possible, especially to all resources.
    As Kubernetes is an extensible system, providing wildcard access gives rights
-   not just to all object types presently in the cluster, but also to all future object types
+   not just to all object types that currently exist in the cluster, but also to all future object types
    which are created in the future.
  - Administrators should not use `cluster-admin` accounts except where specifically needed. 
-   Providing a low privileged account with [impersonation rights](/docs/reference/access-authn-authz/authentication/#user-impersonation)
+   Providing a low privileged account with
+   [impersonation rights](/docs/reference/access-authn-authz/authentication/#user-impersonation)
    can avoid accidental modification of cluster resources.
  - Avoid adding users to the `system:masters` group. Any user who is a member of this group 
    bypasses all RBAC rights checks and will always have unrestricted superuser access, which cannot be 
@@ -44,15 +46,17 @@ some general rules that can be applied are :
 
 ### Minimize distribution of privileged tokens
 
-Ideally, pods shouldn't be assigned service accounts that have been granted powerful permissions (for example, any of the rights listed under
-[privilege escalation risks](#privilege-escalation-risks)). 
+Ideally, pods shouldn't be assigned service accounts that have been granted powerful permissions
+(for example, any of the rights listed under [privilege escalation risks](#privilege-escalation-risks)). 
 In cases where a workload requires powerful permissions, consider the following practices:
 
  - Limit the number of nodes running powerful pods. Ensure that any DaemonSets you run
   are necessary and are run with least privilege to limit the blast radius of container escapes.
  - Avoid running powerful pods alongside untrusted or publicly-exposed ones. Consider using 
-   [Taints and Toleration](/docs/concepts/scheduling-eviction/taint-and-toleration/), [NodeAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity), or [PodAntiAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity) to ensure 
-   pods don't run alongside untrusted or less-trusted Pods. Pay especial attention to
+   [Taints and Toleration](/docs/concepts/scheduling-eviction/taint-and-toleration/),
+   [NodeAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity), or
+   [PodAntiAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity)
+   to ensure pods don't run alongside untrusted or less-trusted Pods. Pay especial attention to
    situations where less-trustworthy Pods are not meeting the **Restricted** Pod Security Standard.
 
 ### Hardening
@@ -62,7 +66,7 @@ the RBAC rights provided by default can provide opportunities for security harde
 In general, changes should not be made to rights provided to `system:` accounts some options 
 to harden cluster rights exist:
 
-- Review bindings for the `system:unauthenticated` group and remove where possible, as this gives 
+- Review bindings for the `system:unauthenticated` group and remove them where possible, as this gives 
   access to anyone who can contact the API server at a network level.
 - Avoid the default auto-mounting of service account tokens by setting
   `automountServiceAccountToken: false`. For more details, see
@@ -107,7 +111,7 @@ with the ability to create suitably secure and isolated Pods, you should enforce
 You can use [Pod Security admission](/docs/concepts/security/pod-security-admission/)
 or other (third party) mechanisms to implement that enforcement.
 
-You can also use the deprecated [PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/) mechanism
+You can also use the deprecated [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/) mechanism
 to restrict users' abilities to create privileged Pods (N.B. PodSecurityPolicy is scheduled for removal
 in version 1.25).
 
@@ -117,25 +121,27 @@ Secrets they would not have through RBAC directly.
 
 ### Persistent volume creation
 
-As noted in the [PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/#volumes-and-file-systems) documentation, access to create PersistentVolumes can allow for escalation of access to the underlying host. Where access to persistent storage is required trusted administrators should create 
+As noted in the [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/#volumes-and-file-systems)
+documentation, access to create PersistentVolumes can allow for escalation of access to the underlying host.
+Where access to persistent storage is required trusted administrators should create 
 PersistentVolumes, and constrained users should use PersistentVolumeClaims to access that storage.
 
 ### Access to `proxy` subresource of Nodes
 
 Users with access to the proxy sub-resource of node objects have rights to the Kubelet API, 
-which allows for command execution on every pod on the node(s) which they have rights to. 
+which allows for command execution on every pod on the node(s) to which they have rights. 
 This access bypasses audit logging and admission control, so care should be taken before 
 granting rights to this resource.
 
 ### Escalate verb
 
-Generally the RBAC system prevents users from creating clusterroles with more rights than 
-they possess. The exception to this is the `escalate` verb. As noted in the [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update),
+Generally, the RBAC system prevents users from creating clusterroles with more rights than the user possesses. 
+The exception to this is the `escalate` verb. As noted in the [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update),
 users with this right can effectively escalate their privileges.
 
 ### Bind verb
 
-Similar to the `escalate` verb, granting users this right allows for bypass of Kubernetes 
+Similar to the `escalate` verb, granting users this right allows for the bypass of Kubernetes 
 in-built protections against privilege escalation, allowing users to create bindings to 
 roles with rights they do not already have.
 
@@ -173,8 +179,11 @@ objects to create a denial of service condition either based on the size or numb
 specifically relevant in multi-tenant clusters if semi-trusted or untrusted users 
 are allowed limited access to a system.
 
-One option for mitigation of this issue would be to use [resource quotas](/docs/concepts/policy/resource-quotas/#object-count-quota)
+One option for mitigation of this issue would be to use
+[resource quotas](/docs/concepts/policy/resource-quotas/#object-count-quota)
 to limit the quantity of objects which can be created.
 
 ## {{% heading "whatsnext" %}}
+
 * To learn more about RBAC, see the [RBAC documentation](/docs/reference/access-authn-authz/rbac/).
+
diff --git a/content/en/docs/concepts/security/windows-security.md b/content/en/docs/concepts/security/windows-security.md
index 8c0704ac2ba..c6523e3a43a 100644
--- a/content/en/docs/concepts/security/windows-security.md
+++ b/content/en/docs/concepts/security/windows-security.md
@@ -22,34 +22,41 @@ storage (as compared to using tmpfs / in-memory filesystems on Linux). As a clus
 operator, you should take both of the following additional measures:
 
 1. Use file ACLs to secure the Secrets' file location.
-1. Apply volume-level encryption using [BitLocker](https://docs.microsoft.com/windows/security/information-protection/bitlocker/bitlocker-how-to-deploy-on-windows-server).
+1. Apply volume-level encryption using
+   [BitLocker](https://docs.microsoft.com/windows/security/information-protection/bitlocker/bitlocker-how-to-deploy-on-windows-server).
 
 ## Container users
 
 [RunAsUsername](/docs/tasks/configure-pod-container/configure-runasusername)
 can be specified for Windows Pods or containers to execute the container
 processes as specific user. This is roughly equivalent to
-[RunAsUser](/docs/concepts/policy/pod-security-policy/#users-and-groups).
+[RunAsUser](/docs/concepts/security/pod-security-policy/#users-and-groups).
 
 Windows containers offer two default user accounts, ContainerUser and ContainerAdministrator.
 The differences between these two user accounts are covered in
-[When to use ContainerAdmin and ContainerUser user accounts](https://docs.microsoft.com/virtualization/windowscontainers/manage-containers/container-security#when-to-use-containeradmin-and-containeruser-user-accounts) within Microsoft's _Secure Windows containers_ documentation.
+[When to use ContainerAdmin and ContainerUser user accounts](https://docs.microsoft.com/virtualization/windowscontainers/manage-containers/container-security#when-to-use-containeradmin-and-containeruser-user-accounts)
+within Microsoft's _Secure Windows containers_ documentation.
 
 Local users can be added to container images during the container build process.
 
 {{< note >}}
 
-* [Nano Server](https://hub.docker.com/_/microsoft-windows-nanoserver) based images run as `ContainerUser` by default
-* [Server Core](https://hub.docker.com/_/microsoft-windows-servercore) based images run as `ContainerAdministrator` by default
+* [Nano Server](https://hub.docker.com/_/microsoft-windows-nanoserver) based images run as
+  `ContainerUser` by default
+* [Server Core](https://hub.docker.com/_/microsoft-windows-servercore) based images run as
+  `ContainerAdministrator` by default
 
 {{< /note >}}
 
-Windows containers can also run as Active Directory identities by utilizing [Group Managed Service Accounts](/docs/tasks/configure-pod-container/configure-gmsa/)
+Windows containers can also run as Active Directory identities by utilizing
+[Group Managed Service Accounts](/docs/tasks/configure-pod-container/configure-gmsa/)
 
 ## Pod-level security isolation
 
 Linux-specific pod security context mechanisms (such as SELinux, AppArmor, Seccomp, or custom
 POSIX capabilities) are not supported on Windows nodes.
 
-Privileged containers are [not supported](/docs/concepts/windows/intro/#compatibility-v1-pod-spec-containers-securitycontext) on Windows.
-Instead [HostProcess containers](/docs/tasks/configure-pod-container/create-hostprocess-pod) can be used on Windows to perform many of the tasks performed by privileged containers on Linux.
+Privileged containers are [not supported](/docs/concepts/windows/intro/#compatibility-v1-pod-spec-containers-securitycontext)
+on Windows.
+Instead [HostProcess containers](/docs/tasks/configure-pod-container/create-hostprocess-pod)
+can be used on Windows to perform many of the tasks performed by privileged containers on Linux.
diff --git a/content/en/docs/concepts/services-networking/dual-stack.md b/content/en/docs/concepts/services-networking/dual-stack.md
index 921d69e8fbf..1716d7483b2 100644
--- a/content/en/docs/concepts/services-networking/dual-stack.md
+++ b/content/en/docs/concepts/services-networking/dual-stack.md
@@ -37,7 +37,7 @@ IPv4/IPv6 dual-stack on your Kubernetes cluster provides the following features:
 
 The following prerequisites are needed in order to utilize IPv4/IPv6 dual-stack Kubernetes clusters:
 
-* Kubernetes 1.20 or later  
+* Kubernetes 1.20 or later
 
   For information about using dual-stack services with earlier
   Kubernetes versions, refer to the documentation for that version
@@ -95,7 +95,7 @@ set the `.spec.ipFamilyPolicy` field to one of the following values:
 
 If you would like to define which IP family to use for single stack or define the order of IP
 families for dual-stack, you can choose the address families by setting an optional field,
-`.spec.ipFamilies`, on the Service. 
+`.spec.ipFamilies`, on the Service.
 
 {{< note >}}
 The `.spec.ipFamilies` field is immutable because the `.spec.ClusterIP` cannot be reallocated on a
@@ -133,11 +133,11 @@ These examples demonstrate the behavior of various dual-stack Service configurat
    address assignments. The field `.spec.ClusterIPs` is the primary field, and contains both assigned
    IP addresses; `.spec.ClusterIP` is a secondary field with its value calculated from
    `.spec.ClusterIPs`.
-   
+
    * For the `.spec.ClusterIP` field, the control plane records the IP address that is from the
-     same address family as the first service cluster IP range. 
+     same address family as the first service cluster IP range.
    * On a single-stack cluster, the `.spec.ClusterIPs` and `.spec.ClusterIP` fields both only list
-     one address. 
+     one address.
    * On a cluster with dual-stack enabled, specifying `RequireDualStack` in `.spec.ipFamilyPolicy`
      behaves the same as `PreferDualStack`.
 
@@ -174,7 +174,7 @@ dual-stack.)
    kind: Service
    metadata:
      labels:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      name: my-service
    spec:
      clusterIP: 10.0.197.123
@@ -188,7 +188,7 @@ dual-stack.)
        protocol: TCP
        targetPort: 80
      selector:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      type: ClusterIP
    status:
      loadBalancer: {}
@@ -214,7 +214,7 @@ dual-stack.)
    kind: Service
    metadata:
      labels:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      name: my-service
    spec:
      clusterIP: None
@@ -228,7 +228,7 @@ dual-stack.)
        protocol: TCP
        targetPort: 80
      selector:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
    ```
 
 #### Switching Services between single-stack and dual-stack
diff --git a/content/en/docs/concepts/services-networking/ingress-controllers.md b/content/en/docs/concepts/services-networking/ingress-controllers.md
index 5516306ffa7..f2d593448e0 100644
--- a/content/en/docs/concepts/services-networking/ingress-controllers.md
+++ b/content/en/docs/concepts/services-networking/ingress-controllers.md
@@ -46,6 +46,7 @@ Kubernetes as a project supports and maintains [AWS](https://github.com/kubernet
   is an [Istio](https://istio.io/) based ingress controller.
 * The [Kong Ingress Controller for Kubernetes](https://github.com/Kong/kubernetes-ingress-controller#readme)
   is an ingress controller driving [Kong Gateway](https://konghq.com/kong/).
+* [Kusk Gateway](https://kusk.kubeshop.io/) is an OpenAPI-driven ingress controller based on [Envoy](https://www.envoyproxy.io).
 * The [NGINX Ingress Controller for Kubernetes](https://www.nginx.com/products/nginx-ingress-controller/)
   works with the [NGINX](https://www.nginx.com/resources/glossary/nginx/) webserver (as a proxy).
 * The [Pomerium Ingress Controller](https://www.pomerium.com/docs/k8s/ingress.html) is based on [Pomerium](https://pomerium.com/), which offers context-aware access policy.
diff --git a/content/en/docs/concepts/services-networking/service-traffic-policy.md b/content/en/docs/concepts/services-networking/service-traffic-policy.md
index b9abe34b3fc..8755b5298b5 100644
--- a/content/en/docs/concepts/services-networking/service-traffic-policy.md
+++ b/content/en/docs/concepts/services-networking/service-traffic-policy.md
@@ -43,7 +43,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/docs/concepts/services-networking/service.md b/content/en/docs/concepts/services-networking/service.md
index ad5af427ec3..eda3b6b9b33 100644
--- a/content/en/docs/concepts/services-networking/service.md
+++ b/content/en/docs/concepts/services-networking/service.md
@@ -75,7 +75,7 @@ The name of a Service object must be a valid
 [RFC 1035 label name](/docs/concepts/overview/working-with-objects/names#rfc-1035-label-names).
 
 For example, suppose you have a set of Pods where each listens on TCP port 9376
-and contains a label `app=MyApp`:
+and contains a label `app.kubernetes.io/name=MyApp`:
 
 ```yaml
 apiVersion: v1
@@ -84,7 +84,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
@@ -92,7 +92,7 @@ spec:
 ```
 
 This specification creates a new Service object named "my-service", which
-targets TCP port 9376 on any Pod with the `app=MyApp` label.
+targets TCP port 9376 on any Pod with the `app.kubernetes.io/name=MyApp` label.
 
 Kubernetes assigns this Service an IP address (sometimes called the "cluster IP"),
 which is used by the Service proxies
@@ -126,7 +126,7 @@ spec:
     ports:
       - containerPort: 80
         name: http-web-svc
-        
+
 ---
 apiVersion: v1
 kind: Service
@@ -144,9 +144,9 @@ spec:
 
 
 This works even if there is a mixture of Pods in the Service using a single
-configured name, with the same network protocol available via different 
-port numbers. This offers a lot of flexibility for deploying and evolving 
-your Services. For example, you can change the port numbers that Pods expose 
+configured name, with the same network protocol available via different
+port numbers. This offers a lot of flexibility for deploying and evolving
+your Services. For example, you can change the port numbers that Pods expose
 in the next version of your backend software, without breaking clients.
 
 The default protocol for Services is TCP; you can also use any other
@@ -159,7 +159,7 @@ Each port definition can have the same `protocol`, or a different one.
 ### Services without selectors
 
 Services most commonly abstract access to Kubernetes Pods thanks to the selector,
-but when used with a corresponding Endpoints object and without a selector, the Service can abstract other kinds of backends, 
+but when used with a corresponding Endpoints object and without a selector, the Service can abstract other kinds of backends,
 including ones that run outside the cluster. For example:
 
 * You want to have an external database cluster in production, but in your
@@ -222,10 +222,10 @@ In the example above, traffic is routed to the single endpoint defined in
 the YAML: `192.0.2.42:9376` (TCP).
 
 {{< note >}}
-The Kubernetes API server does not allow proxying to endpoints that are not mapped to 
-pods. Actions such as `kubectl proxy <service-name>` where the service has no 
-selector will fail due to this constraint. This prevents the Kubernetes API server 
-from being used as a proxy to endpoints the caller may not be authorized to access. 
+The Kubernetes API server does not allow proxying to endpoints that are not mapped to
+pods. Actions such as `kubectl proxy <service-name>` where the service has no
+selector will fail due to this constraint. This prevents the Kubernetes API server
+from being used as a proxy to endpoints the caller may not be authorized to access.
 {{< /note >}}
 
 An ExternalName Service is a special case of Service that does not have
@@ -289,7 +289,7 @@ There are a few reasons for using proxying for Services:
 
 Later in this page you can read about various kube-proxy implementations work. Overall,
 you should note that, when running `kube-proxy`, kernel level rules may be
-modified (for example, iptables rules might get created), which won't get cleaned up, 
+modified (for example, iptables rules might get created), which won't get cleaned up,
 in some cases until you reboot.  Thus, running kube-proxy is something that should
 only be done by an administrator which understands the consequences of having a
 low level, privileged network proxying service on a computer.  Although the `kube-proxy`
@@ -299,9 +299,14 @@ thus is only available to use as-is.
 ### Configuration
 
 Note that the kube-proxy starts up in different modes, which are determined by its configuration.
-- The kube-proxy's configuration is done via a ConfigMap, and the ConfigMap for kube-proxy effectively deprecates the behaviour for almost all of the flags for the kube-proxy.
+- The kube-proxy's configuration is done via a ConfigMap, and the ConfigMap for kube-proxy
+  effectively deprecates the behaviour for almost all of the flags for the kube-proxy.
 - The ConfigMap for the kube-proxy does not support live reloading of configuration.
-- The ConfigMap parameters for the kube-proxy cannot all be validated and verified on startup.  For example, if your operating system doesn't allow you to run iptables commands, the standard kernel kube-proxy implementation will not work.  Likewise, if you have an operating system which doesn't support `netsh`, it will not run in Windows userspace mode.
+- The ConfigMap parameters for the kube-proxy cannot all be validated and verified on startup.
+  For example, if your operating system doesn't allow you to run iptables commands,
+  the standard kernel kube-proxy implementation will not work.
+  Likewise, if you have an operating system which doesn't support `netsh`,
+  it will not run in Windows userspace mode.
 
 ### User space proxy mode {#proxy-mode-userspace}
 
@@ -418,7 +423,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - name: http
       protocol: TCP
@@ -492,7 +497,11 @@ variables and DNS.
 ### Environment variables
 
 When a Pod is run on a Node, the kubelet adds a set of environment variables
-for each active Service. It adds `{SVCNAME}_SERVICE_HOST` and `{SVCNAME}_SERVICE_PORT` variables, where the Service name is upper-cased and dashes are converted to underscores. It also supports variables (see [makeLinkVariables](https://github.com/kubernetes/kubernetes/blob/dd2d12f6dc0e654c15d5db57a5f9f6ba61192726/pkg/kubelet/envvars/envvars.go#L72)) that are compatible with Docker Engine's "_[legacy container links](https://docs.docker.com/network/links/)_" feature.
+for each active Service. It adds `{SVCNAME}_SERVICE_HOST` and `{SVCNAME}_SERVICE_PORT` variables,
+where the Service name is upper-cased and dashes are converted to underscores.
+It also supports variables (see [makeLinkVariables](https://github.com/kubernetes/kubernetes/blob/dd2d12f6dc0e654c15d5db57a5f9f6ba61192726/pkg/kubelet/envvars/envvars.go#L72))
+that are compatible with Docker Engine's
+"_[legacy container links](https://docs.docker.com/network/links/)_" feature.
 
 For example, the Service `redis-master` which exposes TCP port 6379 and has been
 allocated cluster IP address 10.0.0.11, produces the following environment
@@ -604,8 +613,10 @@ The default is `ClusterIP`.
   to use the `ExternalName` type.
   {{< /note >}}
 
-You can also use [Ingress](/docs/concepts/services-networking/ingress/) to expose your Service. Ingress is not a Service type, but it acts as the entry point for your cluster. It lets you consolidate your routing rules
-into a single resource as it can expose multiple services under the same IP address.
+You can also use [Ingress](/docs/concepts/services-networking/ingress/) to expose your Service.
+Ingress is not a Service type, but it acts as the entry point for your cluster.
+It lets you consolidate your routing rules into a single resource as it can expose multiple
+services under the same IP address.
 
 ### Type NodePort {#type-nodeport}
 
@@ -620,9 +631,14 @@ field of the
 [kube-proxy configuration file](/docs/reference/config-api/kube-proxy-config.v1alpha1/)
 to particular IP block(s).
 
-This flag takes a comma-delimited list of IP blocks (e.g. `10.0.0.0/8`, `192.0.2.0/25`) to specify IP address ranges that kube-proxy should consider as local to this node.
+This flag takes a comma-delimited list of IP blocks (e.g. `10.0.0.0/8`, `192.0.2.0/25`)
+to specify IP address ranges that kube-proxy should consider as local to this node.
 
-For example, if you start kube-proxy with the `--nodeport-addresses=127.0.0.0/8` flag, kube-proxy only selects the loopback interface for NodePort Services. The default for `--nodeport-addresses` is an empty list. This means that kube-proxy should consider all available network interfaces for NodePort. (That's also compatible with earlier Kubernetes releases).
+For example, if you start kube-proxy with the `--nodeport-addresses=127.0.0.0/8` flag,
+kube-proxy only selects the loopback interface for NodePort Services.
+The default for `--nodeport-addresses` is an empty list.
+his means that kube-proxy should consider all available network interfaces for NodePort.
+(That's also compatible with earlier Kubernetes releases).
 
 If you want a specific port number, you can specify a value in the `nodePort`
 field. The control plane will either allocate you that port or report that
@@ -650,7 +666,7 @@ metadata:
 spec:
   type: NodePort
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
       # By default and for convenience, the `targetPort` is set to the same value as the `port` field.
     - port: 80
@@ -676,7 +692,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
@@ -689,7 +705,8 @@ status:
     - ip: 192.0.2.127
 ```
 
-Traffic from the external load balancer is directed at the backend Pods. The cloud provider decides how it is load balanced.
+Traffic from the external load balancer is directed at the backend Pods.
+The cloud provider decides how it is load balanced.
 
 Some cloud providers allow you to specify the `loadBalancerIP`. In those cases, the load-balancer is created
 with the user-specified `loadBalancerIP`. If the `loadBalancerIP` field is not specified,
@@ -704,7 +721,11 @@ to create a static type public IP address resource. This public IP address resou
 be in the same resource group of the other automatically created resources of the cluster.
 For example, `MC_myResourceGroup_myAKSCluster_eastus`.
 
-Specify the assigned IP address as loadBalancerIP. Ensure that you have updated the securityGroupName in the cloud provider configuration file. For information about troubleshooting `CreatingLoadBalancerFailed` permission issues see, [Use a static IP address with the Azure Kubernetes Service (AKS) load balancer](https://docs.microsoft.com/en-us/azure/aks/static-ip) or [CreatingLoadBalancerFailed on AKS cluster with advanced networking](https://github.com/Azure/AKS/issues/357).
+Specify the assigned IP address as loadBalancerIP. Ensure that you have updated the
+`securityGroupName` in the cloud provider configuration file.
+For information about troubleshooting `CreatingLoadBalancerFailed` permission issues see,
+[Use a static IP address with the Azure Kubernetes Service (AKS) load balancer](https://docs.microsoft.com/en-us/azure/aks/static-ip)
+or [CreatingLoadBalancerFailed on AKS cluster with advanced networking](https://github.com/Azure/AKS/issues/357).
 
 {{< /note >}}
 
@@ -744,13 +765,13 @@ You must explicitly remove the `nodePorts` entry in every Service port to de-all
 `spec.loadBalancerClass` enables you to use a load balancer implementation other than the cloud provider default.
 By default, `spec.loadBalancerClass` is `nil` and a `LoadBalancer` type of Service uses
 the cloud provider's default load balancer implementation if the cluster is configured with
-a cloud provider using the `--cloud-provider` component flag. 
+a cloud provider using the `--cloud-provider` component flag.
 If `spec.loadBalancerClass` is specified, it is assumed that a load balancer
 implementation that matches the specified class is watching for Services.
 Any default load balancer implementation (for example, the one provided by
 the cloud provider) will ignore Services that have this field set.
 `spec.loadBalancerClass` can be set on a Service of type `LoadBalancer` only.
-Once set, it cannot be changed. 
+Once set, it cannot be changed.
 The value of `spec.loadBalancerClass` must be a label-style identifier,
 with an optional prefix such as "`internal-vip`" or "`example.com/internal-vip`".
 Unprefixed names are reserved for end-users.
@@ -760,7 +781,8 @@ Unprefixed names are reserved for end-users.
 In a mixed environment it is sometimes necessary to route traffic from Services inside the same
 (virtual) network address block.
 
-In a split-horizon DNS environment you would need two Services to be able to route both external and internal traffic to your endpoints.
+In a split-horizon DNS environment you would need two Services to be able to route both external
+and internal traffic to your endpoints.
 
 To set an internal load balancer, add one of the following annotations to your Service
 depending on the cloud Service provider you're using.
@@ -925,7 +947,9 @@ you can use the following annotations:
 In the above example, if the Service contained three ports, `80`, `443`, and
 `8443`, then `443` and `8443` would use the SSL certificate, but `80` would be proxied HTTP.
 
-From Kubernetes v1.9 onwards you can use [predefined AWS SSL policies](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) with HTTPS or SSL listeners for your Services.
+From Kubernetes v1.9 onwards you can use
+[predefined AWS SSL policies](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html)
+with HTTPS or SSL listeners for your Services.
 To see which policies are available for use, you can use the `aws` command line tool:
 
 ```bash
@@ -981,14 +1005,17 @@ specifies the logical hierarchy you created for your Amazon S3 bucket.
     metadata:
       name: my-service
       annotations:
-        service.beta.kubernetes.io/aws-load-balancer-access-log-enabled: "true"
         # Specifies whether access logs are enabled for the load balancer
-        service.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval: "60"
+        service.beta.kubernetes.io/aws-load-balancer-access-log-enabled: "true"
+
         # The interval for publishing the access logs. You can specify an interval of either 5 or 60 (minutes).
-        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name: "my-bucket"
+        service.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval: "60"
+
         # The name of the Amazon S3 bucket where the access logs are stored
-        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-prefix: "my-bucket-prefix/prod"
+        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name: "my-bucket"
+
         # The logical hierarchy you created for your Amazon S3 bucket, for example `my-bucket-prefix/prod`
+        service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-prefix: "my-bucket-prefix/prod"
 ```
 
 #### Connection Draining on AWS
@@ -997,7 +1024,8 @@ Connection draining for Classic ELBs can be managed with the annotation
 `service.beta.kubernetes.io/aws-load-balancer-connection-draining-enabled` set
 to the value of `"true"`. The annotation
 `service.beta.kubernetes.io/aws-load-balancer-connection-draining-timeout` can
-also be used to set maximum time, in seconds, to keep the existing connections open before deregistering the instances.
+also be used to set maximum time, in seconds, to keep the existing connections open before
+deregistering the instances.
 
 ```yaml
     metadata:
@@ -1015,50 +1043,56 @@ There are other annotations to manage Classic Elastic Load Balancers that are de
     metadata:
       name: my-service
       annotations:
+        # The time, in seconds, that the connection is allowed to be idle (no data has been sent
+        # over the connection) before it is closed by the load balancer
         service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: "60"
-        # The time, in seconds, that the connection is allowed to be idle (no data has been sent over the connection) before it is closed by the load balancer
 
-        service.beta.kubernetes.io/aws-load-balancer-cross-zone-load-balancing-enabled: "true"
         # Specifies whether cross-zone load balancing is enabled for the load balancer
+        service.beta.kubernetes.io/aws-load-balancer-cross-zone-load-balancing-enabled: "true"
 
-        service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "environment=prod,owner=devops"
         # A comma-separated list of key-value pairs which will be recorded as
         # additional tags in the ELB.
+        service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "environment=prod,owner=devops"
 
-        service.beta.kubernetes.io/aws-load-balancer-healthcheck-healthy-threshold: ""
         # The number of successive successful health checks required for a backend to
         # be considered healthy for traffic. Defaults to 2, must be between 2 and 10
+        service.beta.kubernetes.io/aws-load-balancer-healthcheck-healthy-threshold: ""
 
-        service.beta.kubernetes.io/aws-load-balancer-healthcheck-unhealthy-threshold: "3"
         # The number of unsuccessful health checks required for a backend to be
         # considered unhealthy for traffic. Defaults to 6, must be between 2 and 10
+        service.beta.kubernetes.io/aws-load-balancer-healthcheck-unhealthy-threshold: "3"
 
-        service.beta.kubernetes.io/aws-load-balancer-healthcheck-interval: "20"
         # The approximate interval, in seconds, between health checks of an
         # individual instance. Defaults to 10, must be between 5 and 300
+        service.beta.kubernetes.io/aws-load-balancer-healthcheck-interval: "20"
 
-        service.beta.kubernetes.io/aws-load-balancer-healthcheck-timeout: "5"
         # The amount of time, in seconds, during which no response means a failed
         # health check. This value must be less than the service.beta.kubernetes.io/aws-load-balancer-healthcheck-interval
         # value. Defaults to 5, must be between 2 and 60
+        service.beta.kubernetes.io/aws-load-balancer-healthcheck-timeout: "5"
 
-        service.beta.kubernetes.io/aws-load-balancer-security-groups: "sg-53fae93f"
         # A list of existing security groups to be configured on the ELB created. Unlike the annotation
-        # service.beta.kubernetes.io/aws-load-balancer-extra-security-groups, this replaces all other security groups previously assigned to the ELB and also overrides the creation 
+        # service.beta.kubernetes.io/aws-load-balancer-extra-security-groups, this replaces all other
+        # security groups previously assigned to the ELB and also overrides the creation
         # of a uniquely generated security group for this ELB.
-        # The first security group ID on this list is used as a source to permit incoming traffic to target worker nodes (service traffic and health checks).
-        # If multiple ELBs are configured with the same security group ID, only a single permit line will be added to the worker node security groups, that means if you delete any
+        # The first security group ID on this list is used as a source to permit incoming traffic to
+        # target worker nodes (service traffic and health checks).
+        # If multiple ELBs are configured with the same security group ID, only a single permit line
+        # will be added to the worker node security groups, that means if you delete any
         # of those ELBs it will remove the single permit line and block access for all ELBs that shared the same security group ID.
         # This can cause a cross-service outage if not used properly
+        service.beta.kubernetes.io/aws-load-balancer-security-groups: "sg-53fae93f"
 
+        # A list of additional security groups to be added to the created ELB, this leaves the uniquely
+        # generated security group in place, this ensures that every ELB
+        # has a unique security group ID and a matching permit line to allow traffic to the target worker nodes
+        # (service traffic and health checks).
+        # Security groups defined here can be shared between services.
         service.beta.kubernetes.io/aws-load-balancer-extra-security-groups: "sg-53fae93f,sg-42efd82e"
-        #  A list of additional security groups to be added to the created ELB, this leaves the uniquely generated security group in place, this ensures that every ELB
-        # has a unique security group ID and a matching permit line to allow traffic to the target worker nodes (service traffic and health checks).
-        # Security groups defined here can be shared between services. 
 
-        service.beta.kubernetes.io/aws-load-balancer-target-node-labels: "ingress-gw,gw-name=public-api"
         # A comma separated list of key-value pairs which are used
         # to select the target nodes for the load balancer
+        service.beta.kubernetes.io/aws-load-balancer-target-node-labels: "ingress-gw,gw-name=public-api"
 ```
 
 #### Network Load Balancer support on AWS {#aws-nlb-support}
@@ -1075,7 +1109,8 @@ To use a Network Load Balancer on AWS, use the annotation `service.beta.kubernet
 ```
 
 {{< note >}}
-NLB only works with certain instance classes; see the [AWS documentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#register-deregister-targets)
+NLB only works with certain instance classes; see the
+[AWS documentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#register-deregister-targets)
 on Elastic Load Balancing for a list of supported instance types.
 {{< /note >}}
 
@@ -1182,7 +1217,8 @@ spec:
 ```
 
 {{< note >}}
-ExternalName accepts an IPv4 address string, but as a DNS name comprised of digits, not as an IP address. ExternalNames that resemble IPv4 addresses are not resolved by CoreDNS or ingress-nginx because ExternalName
+ExternalName accepts an IPv4 address string, but as a DNS name comprised of digits, not as an IP address.
+ExternalNames that resemble IPv4 addresses are not resolved by CoreDNS or ingress-nginx because ExternalName
 is intended to specify a canonical DNS name. To hardcode an IP address, consider using
 [headless Services](#headless-services).
 {{< /note >}}
@@ -1196,9 +1232,13 @@ can start its Pods, add appropriate selectors or endpoints, and change the
 Service's `type`.
 
 {{< warning >}}
-You may have trouble using ExternalName for some common protocols, including HTTP and HTTPS. If you use ExternalName then the hostname used by clients inside your cluster is different from the name that the ExternalName references.
+You may have trouble using ExternalName for some common protocols, including HTTP and HTTPS.
+If you use ExternalName then the hostname used by clients inside your cluster is different from
+the name that the ExternalName references.
 
-For protocols that use hostnames this difference may lead to errors or unexpected responses. HTTP requests will have a `Host:` header that the origin server does not recognize; TLS servers will not be able to provide a certificate matching the hostname that the client connected to.
+For protocols that use hostnames this difference may lead to errors or unexpected responses.
+HTTP requests will have a `Host:` header that the origin server does not recognize;
+TLS servers will not be able to provide a certificate matching the hostname that the client connected to.
 {{< /warning >}}
 
 {{< note >}}
@@ -1223,7 +1263,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - name: http
       protocol: TCP
@@ -1357,12 +1397,15 @@ through a load-balancer, though in those cases the client IP does get altered.
 #### IPVS
 
 iptables operations slow down dramatically in large scale cluster e.g 10,000 Services.
-IPVS is designed for load balancing and based on in-kernel hash tables. So you can achieve performance consistency in large number of Services from IPVS-based kube-proxy. Meanwhile, IPVS-based kube-proxy has more sophisticated load balancing algorithms (least conns, locality, weighted, persistence).
+IPVS is designed for load balancing and based on in-kernel hash tables.
+So you can achieve performance consistency in large number of Services from IPVS-based kube-proxy.
+Meanwhile, IPVS-based kube-proxy has more sophisticated load balancing algorithms
+(least conns, locality, weighted, persistence).
 
 ## API Object
 
 Service is a top-level resource in the Kubernetes REST API. You can find more details
-about the API object at: [Service API object](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#service-v1-core).
+about the [Service API object](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#service-v1-core).
 
 ## Supported protocols {#protocol-support}
 
@@ -1388,7 +1431,8 @@ provider offering this facility. (Most do not).
 ##### Support for multihomed SCTP associations {#caveat-sctp-multihomed}
 
 {{< warning >}}
-The support of multihomed SCTP associations requires that the CNI plugin can support the assignment of multiple interfaces and IP addresses to a Pod.
+The support of multihomed SCTP associations requires that the CNI plugin can support the
+assignment of multiple interfaces and IP addresses to a Pod.
 
 NAT for multihomed SCTP associations requires special logic in the corresponding kernel modules.
 {{< /warning >}}
diff --git a/content/en/docs/concepts/storage/dynamic-provisioning.md b/content/en/docs/concepts/storage/dynamic-provisioning.md
index 63263fb3708..6da1850adaf 100644
--- a/content/en/docs/concepts/storage/dynamic-provisioning.md
+++ b/content/en/docs/concepts/storage/dynamic-provisioning.md
@@ -116,7 +116,7 @@ can enable this behavior by:
   is enabled on the API server.
 
 An administrator can mark a specific `StorageClass` as default by adding the
-`storageclass.kubernetes.io/is-default-class` annotation to it.
+`storageclass.kubernetes.io/is-default-class` [annotation](/docs/reference/labels-annotations-taints/#storageclass-kubernetes-io-is-default-class) to it.
 When a default `StorageClass` exists in a cluster and a user creates a
 `PersistentVolumeClaim` with `storageClassName` unspecified, the
 `DefaultStorageClass` admission controller automatically adds the
diff --git a/content/en/docs/concepts/storage/ephemeral-volumes.md b/content/en/docs/concepts/storage/ephemeral-volumes.md
index a51984885e9..045bcafe768 100644
--- a/content/en/docs/concepts/storage/ephemeral-volumes.md
+++ b/content/en/docs/concepts/storage/ephemeral-volumes.md
@@ -76,8 +76,8 @@ is managed by kubelet, or injecting different data.
 
 {{< feature-state for_k8s_version="v1.16" state="beta" >}}
 
-This feature requires the `CSIInlineVolume` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) to be enabled. It
-is enabled by default starting with Kubernetes 1.16.
+This feature requires the `CSIInlineVolume` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
+to be enabled. It is enabled by default starting with Kubernetes 1.16.
 
 {{< note >}}
 CSI ephemeral volumes are only supported by a subset of CSI drivers.
@@ -136,8 +136,11 @@ should not be exposed to users through the use of inline ephemeral volumes.
 
 Cluster administrators who need to restrict the CSI drivers that are
 allowed to be used as inline volumes within a Pod spec may do so by:
-- Removing `Ephemeral` from `volumeLifecycleModes` in the CSIDriver spec, which prevents the driver from being used as an inline ephemeral volume.
-- Using an [admission webhook](/docs/reference/access-authn-authz/extensible-admission-controllers/) to restrict how this driver is used.
+
+- Removing `Ephemeral` from `volumeLifecycleModes` in the CSIDriver spec, which prevents the
+  driver from being used as an inline ephemeral volume.
+- Using an [admission webhook](/docs/reference/access-authn-authz/extensible-admission-controllers/)
+  to restrict how this driver is used.
 
 ### Generic ephemeral volumes
 
@@ -207,7 +210,7 @@ because then the scheduler is free to choose a suitable node for
 the Pod. With immediate binding, the scheduler is forced to select a node that has
 access to the volume once it is available.
 
-In terms of [resource ownership](/docs/concepts/workloads/controllers/garbage-collection/#owners-and-dependents),
+In terms of [resource ownership](/docs/concepts/architecture/garbage-collection/#owners-dependents),
 a Pod that has generic ephemeral storage is the owner of the PersistentVolumeClaim(s)
 that provide that ephemeral storage. When the Pod is deleted,
 the Kubernetes garbage collector deletes the PVC, which then usually
@@ -252,10 +255,11 @@ Enabling the GenericEphemeralVolume feature allows users to create
 PVCs indirectly if they can create Pods, even if they do not have
 permission to create PVCs directly. Cluster administrators must be
 aware of this. If this does not fit their security model, they should
-use an [admission webhook](/docs/reference/access-authn-authz/extensible-admission-controllers/) that rejects objects like Pods that have a generic ephemeral volume.
+use an [admission webhook](/docs/reference/access-authn-authz/extensible-admission-controllers/)
+that rejects objects like Pods that have a generic ephemeral volume.
 
-The normal [namespace quota for PVCs](/docs/concepts/policy/resource-quotas/#storage-resource-quota) still applies, so
-even if users are allowed to use this new mechanism, they cannot use
+The normal [namespace quota for PVCs](/docs/concepts/policy/resource-quotas/#storage-resource-quota)
+still applies, so even if users are allowed to use this new mechanism, they cannot use
 it to circumvent other policies.
 
 ## {{% heading "whatsnext" %}}
@@ -266,11 +270,13 @@ See [local ephemeral storage](/docs/concepts/configuration/manage-resources-cont
 
 ### CSI ephemeral volumes
 
-- For more information on the design, see the [Ephemeral Inline CSI
-  volumes KEP](https://github.com/kubernetes/enhancements/blob/ad6021b3d61a49040a3f835e12c8bb5424db2bbb/keps/sig-storage/20190122-csi-inline-volumes.md).
-- For more information on further development of this feature, see the [enhancement tracking issue #596](https://github.com/kubernetes/enhancements/issues/596).
+- For more information on the design, see the
+  [Ephemeral Inline CSI volumes KEP](https://github.com/kubernetes/enhancements/blob/ad6021b3d61a49040a3f835e12c8bb5424db2bbb/keps/sig-storage/20190122-csi-inline-volumes.md).
+- For more information on further development of this feature, see the
+  [enhancement tracking issue #596](https://github.com/kubernetes/enhancements/issues/596).
 
 ### Generic ephemeral volumes
 
 - For more information on the design, see the
-[Generic ephemeral inline volumes KEP](https://github.com/kubernetes/enhancements/blob/master/keps/sig-storage/1698-generic-ephemeral-volumes/README.md).
+  [Generic ephemeral inline volumes KEP](https://github.com/kubernetes/enhancements/blob/master/keps/sig-storage/1698-generic-ephemeral-volumes/README.md).
+
diff --git a/content/en/docs/concepts/storage/persistent-volumes.md b/content/en/docs/concepts/storage/persistent-volumes.md
index 66aa8f7f8a8..07521f42eec 100644
--- a/content/en/docs/concepts/storage/persistent-volumes.md
+++ b/content/en/docs/concepts/storage/persistent-volumes.md
@@ -558,7 +558,7 @@ If the access modes are specified as ReadWriteOncePod, the volume is constrained
 | AzureFile            | &#x2713;               | &#x2713;              | &#x2713;      | -                      |
 | AzureDisk            | &#x2713;               | -                     | -             | -                      |
 | CephFS               | &#x2713;               | &#x2713;              | &#x2713;      | -                      |
-| Cinder               | &#x2713;               | -                     | -             | -                      |
+| Cinder               | &#x2713;               | -                     | ([if multi-attach volumes are available](https://github.com/kubernetes/cloud-provider-openstack/blob/master/docs/cinder-csi-plugin/features.md#multi-attach-volumes))            | -                      |
 | CSI                  | depends on the driver  | depends on the driver | depends on the driver | depends on the driver |
 | FC                   | &#x2713;               | &#x2713;              | -             | -                      |
 | FlexVolume           | &#x2713;               | &#x2713;              | depends on the driver | -              |
diff --git a/content/en/docs/concepts/storage/projected-volumes.md b/content/en/docs/concepts/storage/projected-volumes.md
index df67132cf59..a404a26e5e0 100644
--- a/content/en/docs/concepts/storage/projected-volumes.md
+++ b/content/en/docs/concepts/storage/projected-volumes.md
@@ -73,7 +73,7 @@ volume mount will not receive updates for those volume sources.
 
 ## SecurityContext interactions
 
-The [proposal](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal) for file permission handling in projected service account volume enhancement introduced the projected files having the the correct owner permissions set.
+The [proposal](https://git.k8s.io/enhancements/keps/sig-storage/2451-service-account-token-volumes#proposal) for file permission handling in projected service account volume enhancement introduced the projected files having the correct owner permissions set.
 
 ### Linux
 
@@ -99,6 +99,7 @@ into their own volume mount outside of `C:\`.
 
 By default, the projected files will have the following ownership as shown for
 an example projected volume file:
+
 ```powershell
 PS C:\> Get-Acl C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt | Format-List
 
@@ -111,6 +112,7 @@ Access : NT AUTHORITY\SYSTEM Allow  FullControl
 Audit  :
 Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)
 ```
+
 This implies all administrator users like `ContainerAdministrator` will have
 read, write and execute access while, non-administrator users will have read and
 execute access.
diff --git a/content/en/docs/concepts/windows/intro.md b/content/en/docs/concepts/windows/intro.md
index 91e9412759f..f3867ea86cd 100644
--- a/content/en/docs/concepts/windows/intro.md
+++ b/content/en/docs/concepts/windows/intro.md
@@ -121,7 +121,7 @@ section refers to several key workload abstractions and how they map to Windows.
     In the above list, wildcards (`*`) indicate all elements in a list.
     For example, `spec.containers[*].securityContext` refers to the SecurityContext object
     for all containers. If any of these fields is specified, the Pod will
-    not be admited by the API server.
+    not be admitted by the API server.
 
 * [Workload resources](/docs/concepts/workloads/controllers/) including:
   * ReplicaSet
@@ -132,7 +132,7 @@ section refers to several key workload abstractions and how they map to Windows.
   * CronJob
   * ReplicationController
 * {{< glossary_tooltip text="Services" term_id="service" >}}
-  See [Load balancing and Services](#load-balancing-and-services) for more details.
+  See [Load balancing and Services](/docs/concepts/services-networking/windows-networking/#load-balancing-and-services) for more details.
 
 Pods, workload resources, and Services are critical elements to managing Windows
 workloads on Kubernetes. However, on their own they are not enough to enable
diff --git a/content/en/docs/concepts/windows/user-guide.md b/content/en/docs/concepts/windows/user-guide.md
index 450a1bb5e07..da5b8a6fec7 100644
--- a/content/en/docs/concepts/windows/user-guide.md
+++ b/content/en/docs/concepts/windows/user-guide.md
@@ -105,12 +105,12 @@ port 80 of the container directly to the Service.
     * Node-to-pod communication across the network, `curl` port 80 of your pod IPs from the Linux control plane node
       to check for a web server response
     * Pod-to-pod communication, ping between pods (and across hosts, if you have more than one Windows node)
-      using docker exec or kubectl exec
+      using `docker exec` or `kubectl exec`
     * Service-to-pod communication, `curl` the virtual service IP (seen under `kubectl get services`)
       from the Linux control plane node and from individual pods
     * Service discovery, `curl` the service name with the Kubernetes [default DNS suffix](/docs/concepts/services-networking/dns-pod-service/#services)
     * Inbound connectivity, `curl` the NodePort from the Linux control plane node or machines outside of the cluster
-    * Outbound connectivity, `curl` external IPs from inside the pod using kubectl exec
+    * Outbound connectivity, `curl` external IPs from inside the pod using `kubectl exec`
 
 {{< note >}}
 Windows container hosts are not able to access the IP of services scheduled on them due to current platform limitations of the Windows networking stack.
@@ -307,4 +307,4 @@ spec:
     app: iis-2019
 ```
 
-[RuntimeClass]: https://kubernetes.io/docs/concepts/containers/runtime-class/
+[RuntimeClass]: /docs/concepts/containers/runtime-class/
diff --git a/content/en/docs/concepts/workloads/_index.md b/content/en/docs/concepts/workloads/_index.md
index 2c9dd8aa8eb..dffd727505d 100644
--- a/content/en/docs/concepts/workloads/_index.md
+++ b/content/en/docs/concepts/workloads/_index.md
@@ -70,7 +70,7 @@ visit [Configuration](/docs/concepts/configuration/).
 
 There are two supporting concepts that provide backgrounds about how Kubernetes manages pods
 for applications:
-* [Garbage collection](/docs/concepts/workloads/controllers/garbage-collection/) tidies up objects
+* [Garbage collection](/docs/concepts/architecture/garbage-collection/) tidies up objects
   from your cluster after their _owning resource_ has been removed.
 * The [_time-to-live after finished_ controller](/docs/concepts/workloads/controllers/ttlafterfinished/)
   removes Jobs once a defined time has passed since they completed.
diff --git a/content/en/docs/concepts/workloads/controllers/job.md b/content/en/docs/concepts/workloads/controllers/job.md
index 9d917505dee..b4ab6f72717 100644
--- a/content/en/docs/concepts/workloads/controllers/job.md
+++ b/content/en/docs/concepts/workloads/controllers/job.md
@@ -71,7 +71,7 @@ Pod Template:
            job-name=pi
   Containers:
    pi:
-    Image:      perl
+    Image:      perl:5.34.0
     Port:       <none>
     Host Port:  <none>
     Command:
@@ -125,7 +125,7 @@ spec:
         - -Mbignum=bpi
         - -wle
         - print bpi(2000)
-        image: perl
+        image: perl:5.34.0
         imagePullPolicy: Always
         name: pi
         resources: {}
@@ -356,7 +356,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
 ```
@@ -402,7 +402,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
 ```
diff --git a/content/en/docs/concepts/workloads/controllers/replicaset.md b/content/en/docs/concepts/workloads/controllers/replicaset.md
index 470a5e50241..a282b8455a4 100644
--- a/content/en/docs/concepts/workloads/controllers/replicaset.md
+++ b/content/en/docs/concepts/workloads/controllers/replicaset.md
@@ -13,9 +13,6 @@ weight: 20
 A ReplicaSet's purpose is to maintain a stable set of replica Pods running at any given time. As such, it is often
 used to guarantee the availability of a specified number of identical Pods.
 
-
-
-
 <!-- body -->
 
 ## How a ReplicaSet works
@@ -26,14 +23,14 @@ it should create to meet the number of replicas criteria. A ReplicaSet then fulf
 and deleting Pods as needed to reach the desired number. When a ReplicaSet needs to create new Pods, it uses its Pod
 template.
 
-A ReplicaSet is linked to its Pods via the Pods' [metadata.ownerReferences](/docs/concepts/workloads/controllers/garbage-collection/#owners-and-dependents)
+A ReplicaSet is linked to its Pods via the Pods' [metadata.ownerReferences](/docs/concepts/architecture/garbage-collection/#owners-and-dependents)
 field, which specifies what resource the current object is owned by. All Pods acquired by a ReplicaSet have their owning
 ReplicaSet's identifying information within their ownerReferences field. It's through this link that the ReplicaSet
 knows of the state of the Pods it is maintaining and plans accordingly.
 
-A ReplicaSet identifies new Pods to acquire by using its selector. If there is a Pod that has no OwnerReference or the
-OwnerReference is not a {{< glossary_tooltip term_id="controller" >}} and it matches a ReplicaSet's selector, it will be immediately acquired by said
-ReplicaSet.
+A ReplicaSet identifies new Pods to acquire by using its selector. If there is a Pod that has no
+OwnerReference or the OwnerReference is not a {{< glossary_tooltip term_id="controller" >}} and it
+matches a ReplicaSet's selector, it will be immediately acquired by said ReplicaSet.
 
 ## When to use a ReplicaSet
 
@@ -253,7 +250,9 @@ In the ReplicaSet, `.spec.template.metadata.labels` must match `spec.selector`,
 be rejected by the API.
 
 {{< note >}}
-For 2 ReplicaSets specifying the same `.spec.selector` but different `.spec.template.metadata.labels` and `.spec.template.spec` fields, each ReplicaSet ignores the Pods created by the other ReplicaSet.
+For 2 ReplicaSets specifying the same `.spec.selector` but different
+`.spec.template.metadata.labels` and `.spec.template.spec` fields, each ReplicaSet ignores the
+Pods created by the other ReplicaSet.
 {{< /note >}}
 
 ### Replicas
@@ -267,11 +266,14 @@ If you do not specify `.spec.replicas`, then it defaults to 1.
 
 ### Deleting a ReplicaSet and its Pods
 
-To delete a ReplicaSet and all of its Pods, use [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete). The [Garbage collector](/docs/concepts/workloads/controllers/garbage-collection/) automatically deletes all of the dependent Pods by default.
+To delete a ReplicaSet and all of its Pods, use
+[`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete). The
+[Garbage collector](/docs/concepts/architecture/garbage-collection/) automatically deletes all of
+the dependent Pods by default.
+
+When using the REST API or the `client-go` library, you must set `propagationPolicy` to
+`Background` or `Foreground` in the `-d` option. For example:
 
-When using the REST API or the `client-go` library, you must set `propagationPolicy` to `Background` or `Foreground` in
-the -d option.
-For example:
 ```shell
 kubectl proxy --port=8080
 curl -X DELETE  'localhost:8080/apis/apps/v1/namespaces/default/replicasets/frontend' \
@@ -281,9 +283,12 @@ curl -X DELETE  'localhost:8080/apis/apps/v1/namespaces/default/replicasets/fron
 
 ### Deleting just a ReplicaSet
 
-You can delete a ReplicaSet without affecting any of its Pods using [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete) with the `--cascade=orphan` option.
+You can delete a ReplicaSet without affecting any of its Pods using
+[`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete)
+with the `--cascade=orphan` option.
 When using the REST API or the `client-go` library, you must set `propagationPolicy` to `Orphan`.
 For example:
+
 ```shell
 kubectl proxy --port=8080
 curl -X DELETE  'localhost:8080/apis/apps/v1/namespaces/default/replicasets/frontend' \
@@ -295,7 +300,8 @@ Once the original is deleted, you can create a new ReplicaSet to replace it.  As
 as the old and new `.spec.selector` are the same, then the new one will adopt the old Pods.
 However, it will not make any effort to make existing Pods match a new, different pod template.
 To update Pods to a new spec in a controlled way, use a
-[Deployment](/docs/concepts/workloads/controllers/deployment/#creating-a-deployment), as ReplicaSets do not support a rolling update directly.
+[Deployment](/docs/concepts/workloads/controllers/deployment/#creating-a-deployment), as
+ReplicaSets do not support a rolling update directly.
 
 ### Isolating Pods from a ReplicaSet
 
@@ -310,17 +316,19 @@ ensures that a desired number of Pods with a matching label selector are availab
 
 When scaling down, the ReplicaSet controller chooses which pods to delete by sorting the available pods to
 prioritize scaling down pods based on the following general algorithm:
- 1. Pending (and unschedulable) pods are scaled down first
- 2. If `controller.kubernetes.io/pod-deletion-cost` annotation is set, then
-    the pod with the lower value will come first.
- 3. Pods on nodes with more replicas come before pods on nodes with fewer replicas.
- 4. If the pods' creation times differ, the pod that was created more recently
-    comes before the older pod (the creation times are bucketed on an integer log scale
-    when the `LogarithmicScaleDown` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
+
+1. Pending (and unschedulable) pods are scaled down first
+1. If `controller.kubernetes.io/pod-deletion-cost` annotation is set, then
+   the pod with the lower value will come first.
+1. Pods on nodes with more replicas come before pods on nodes with fewer replicas.
+1. If the pods' creation times differ, the pod that was created more recently
+   comes before the older pod (the creation times are bucketed on an integer log scale
+   when the `LogarithmicScaleDown` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
     
 If all of the above match, then selection is random.
 
 ### Pod deletion cost 
+
 {{< feature-state for_k8s_version="v1.22" state="beta" >}}
 
 Using the [`controller.kubernetes.io/pod-deletion-cost`](/docs/reference/labels-annotations-taints/#pod-deletion-cost) 
@@ -344,6 +352,7 @@ This feature is beta and enabled by default. You can disable it using the
 {{< /note >}}
 
 #### Example Use Case
+
 The different pods of an application could have different utilization levels. On scale down, the application 
 may prefer to remove the pods with lower utilization. To avoid frequently updating the pods, the application
 should update `controller.kubernetes.io/pod-deletion-cost` once before issuing a scale down (setting the 
@@ -387,12 +396,17 @@ As such, it is recommended to use Deployments when you want ReplicaSets.
 
 ### Bare Pods
 
-Unlike the case where a user directly created Pods, a ReplicaSet replaces Pods that are deleted or terminated for any reason, such as in the case of node failure or disruptive node maintenance, such as a kernel upgrade. For this reason, we recommend that you use a ReplicaSet even if your application requires only a single Pod. Think of it similarly to a process supervisor, only it supervises multiple Pods across multiple nodes instead of individual processes on a single node. A ReplicaSet delegates local container restarts to some agent on the node such as Kubelet.
+Unlike the case where a user directly created Pods, a ReplicaSet replaces Pods that are deleted or
+terminated for any reason, such as in the case of node failure or disruptive node maintenance,
+such as a kernel upgrade. For this reason, we recommend that you use a ReplicaSet even if your
+application requires only a single Pod. Think of it similarly to a process supervisor, only it
+supervises multiple Pods across multiple nodes instead of individual processes on a single node. A
+ReplicaSet delegates local container restarts to some agent on the node such as Kubelet.
 
 ### Job
 
-Use a [`Job`](/docs/concepts/workloads/controllers/job/) instead of a ReplicaSet for Pods that are expected to terminate on their own
-(that is, batch jobs).
+Use a [`Job`](/docs/concepts/workloads/controllers/job/) instead of a ReplicaSet for Pods that are
+expected to terminate on their own (that is, batch jobs).
 
 ### DaemonSet
 
@@ -402,12 +416,12 @@ to a machine lifetime: the Pod needs to be running on the machine before other P
 safe to terminate when the machine is otherwise ready to be rebooted/shutdown.
 
 ### ReplicationController
-ReplicaSets are the successors to [_ReplicationControllers_](/docs/concepts/workloads/controllers/replicationcontroller/).
+
+ReplicaSets are the successors to [ReplicationControllers](/docs/concepts/workloads/controllers/replicationcontroller/).
 The two serve the same purpose, and behave similarly, except that a ReplicationController does not support set-based
 selector requirements as described in the [labels user guide](/docs/concepts/overview/working-with-objects/labels/#label-selectors).
 As such, ReplicaSets are preferred over ReplicationControllers
 
-
 ## {{% heading "whatsnext" %}}
 
 * Learn about [Pods](/docs/concepts/workloads/pods).
@@ -419,3 +433,4 @@ As such, ReplicaSets are preferred over ReplicationControllers
   object definition to understand the API for replica sets.
 * Read about [PodDisruptionBudget](/docs/concepts/workloads/pods/disruptions/) and how
   you can use it to manage application availability during disruptions.
+
diff --git a/content/en/docs/concepts/workloads/controllers/statefulset.md b/content/en/docs/concepts/workloads/controllers/statefulset.md
index 2ae481a4311..1687399abd3 100644
--- a/content/en/docs/concepts/workloads/controllers/statefulset.md
+++ b/content/en/docs/concepts/workloads/controllers/statefulset.md
@@ -39,10 +39,18 @@ that provides a set of stateless replicas.
 
 ## Limitations
 
-* The storage for a given Pod must either be provisioned by a [PersistentVolume Provisioner](https://github.com/kubernetes/examples/tree/master/staging/persistent-volume-provisioning/README.md) based on the requested `storage class`, or pre-provisioned by an admin.
-* Deleting and/or scaling a StatefulSet down will *not* delete the volumes associated with the StatefulSet. This is done to ensure data safety, which is generally more valuable than an automatic purge of all related StatefulSet resources.
-* StatefulSets currently require a [Headless Service](/docs/concepts/services-networking/service/#headless-services) to be responsible for the network identity of the Pods. You are responsible for creating this Service.
-* StatefulSets do not provide any guarantees on the termination of pods when a StatefulSet is deleted. To achieve ordered and graceful termination of the pods in the StatefulSet, it is possible to scale the StatefulSet down to 0 prior to deletion.
+* The storage for a given Pod must either be provisioned by a
+  [PersistentVolume Provisioner](https://github.com/kubernetes/examples/tree/master/staging/persistent-volume-provisioning/README.md)
+  based on the requested `storage class`, or pre-provisioned by an admin.
+* Deleting and/or scaling a StatefulSet down will *not* delete the volumes associated with the
+  StatefulSet. This is done to ensure data safety, which is generally more valuable than an
+  automatic purge of all related StatefulSet resources.
+* StatefulSets currently require a [Headless Service](/docs/concepts/services-networking/service/#headless-services)
+  to be responsible for the network identity of the Pods. You are responsible for creating this
+  Service.
+* StatefulSets do not provide any guarantees on the termination of pods when a StatefulSet is
+  deleted. To achieve ordered and graceful termination of the pods in the StatefulSet, it is
+  possible to scale the StatefulSet down to 0 prior to deletion.
 * When using [Rolling Updates](#rolling-updates) with the default
   [Pod Management Policy](#pod-management-policies) (`OrderedReady`),
   it's possible to get into a broken state that requires
@@ -108,18 +116,24 @@ In the above example:
 
 * A Headless Service, named `nginx`, is used to control the network domain.
 * The StatefulSet, named `web`, has a Spec that indicates that 3 replicas of the nginx container will be launched in unique Pods.
-* The `volumeClaimTemplates` will provide stable storage using [PersistentVolumes](/docs/concepts/storage/persistent-volumes/) provisioned by a PersistentVolume Provisioner.
+* The `volumeClaimTemplates` will provide stable storage using
+  [PersistentVolumes](/docs/concepts/storage/persistent-volumes/) provisioned by a
+  PersistentVolume Provisioner.
 
 The name of a StatefulSet object must be a valid
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
 ### Pod Selector
 
-You must set the `.spec.selector` field of a StatefulSet to match the labels of its `.spec.template.metadata.labels`. Failing to specify a matching Pod Selector will result in a validation error during StatefulSet creation.
+You must set the `.spec.selector` field of a StatefulSet to match the labels of its
+`.spec.template.metadata.labels`. Failing to specify a matching Pod Selector will result in a
+validation error during StatefulSet creation.
 
 ### Volume Claim Templates
 
-You can set the  `.spec.volumeClaimTemplates` which can provide stable storage using [PersistentVolumes](/docs/concepts/storage/persistent-volumes/) provisioned by a PersistentVolume Provisioner.
+You can set the `.spec.volumeClaimTemplates` which can provide stable storage using
+[PersistentVolumes](/docs/concepts/storage/persistent-volumes/) provisioned by a PersistentVolume
+Provisioner.
 
 
 ### Minimum ready seconds
@@ -128,9 +142,11 @@ You can set the  `.spec.volumeClaimTemplates` which can provide stable storage u
 
 `.spec.minReadySeconds` is an optional field that specifies the minimum number of seconds for which a newly
 created Pod should be ready without any of its containers crashing, for it to be considered available.
-Please note that this feature is beta and enabled by default. Please opt out by unsetting the StatefulSetMinReadySeconds flag, if you don't
+Please note that this feature is beta and enabled by default. Please opt out by unsetting the
+StatefulSetMinReadySeconds flag, if you don't
 want this feature to be enabled. This field defaults to 0 (the Pod will be considered 
-available as soon as it is ready). To learn more about when a Pod is considered ready, see [Container Probes](/docs/concepts/workloads/pods/pod-lifecycle/#container-probes).
+available as soon as it is ready). To learn more about when a Pod is considered ready, see
+[Container Probes](/docs/concepts/workloads/pods/pod-lifecycle/#container-probes).
 
 ## Pod Identity
 
@@ -166,8 +182,8 @@ remembered and reused, even after the Pod is running, for at least a few seconds
 If you need to discover Pods promptly after they are created, you have a few options:
 
 - Query the Kubernetes API directly (for example, using a watch) rather than relying on DNS lookups.
-- Decrease the time of caching in your Kubernetes DNS provider (typically this means editing the config map for CoreDNS, which currently caches for 30 seconds).
-
+- Decrease the time of caching in your Kubernetes DNS provider (typically this means editing the
+  config map for CoreDNS, which currently caches for 30 seconds).
 
 As mentioned in the [limitations](#limitations) section, you are responsible for
 creating the [Headless Service](/docs/concepts/services-networking/service/#headless-services)
@@ -189,7 +205,9 @@ Cluster Domain will be set to `cluster.local` unless
 
 ### Stable Storage
 
-For each VolumeClaimTemplate entry defined in a StatefulSet, each Pod receives one PersistentVolumeClaim. In the nginx example above, each Pod receives a single PersistentVolume with a StorageClass of `my-storage-class` and 1 Gib of provisioned storage. If no StorageClass
+For each VolumeClaimTemplate entry defined in a StatefulSet, each Pod receives one
+PersistentVolumeClaim. In the nginx example above, each Pod receives a single PersistentVolume
+with a StorageClass of `my-storage-class` and 1 Gib of provisioned storage. If no StorageClass
 is specified, then the default StorageClass will be used. When a Pod is (re)scheduled
 onto a node, its `volumeMounts` mount the PersistentVolumes associated with its
 PersistentVolume Claims. Note that, the PersistentVolumes associated with the
@@ -210,7 +228,9 @@ the StatefulSet.
 * Before a scaling operation is applied to a Pod, all of its predecessors must be Running and Ready.
 * Before a Pod is terminated, all of its successors must be completely shutdown.
 
-The StatefulSet should not specify a `pod.Spec.TerminationGracePeriodSeconds` of 0. This practice is unsafe and strongly discouraged. For further explanation, please refer to [force deleting StatefulSet Pods](/docs/tasks/run-application/force-delete-stateful-set-pod/).
+The StatefulSet should not specify a `pod.Spec.TerminationGracePeriodSeconds` of 0. This practice
+is unsafe and strongly discouraged. For further explanation, please refer to
+[force deleting StatefulSet Pods](/docs/tasks/run-application/force-delete-stateful-set-pod/).
 
 When the nginx example above is created, three Pods will be deployed in the order
 web-0, web-1, web-2. web-1 will not be deployed before web-0 is
@@ -256,7 +276,8 @@ annotations for the Pods in a StatefulSet. There are two possible values:
   create new Pods that reflect modifications made to a StatefulSet's `.spec.template`.
 
 `RollingUpdate`
-: The `RollingUpdate` update strategy implements automated, rolling update for the Pods in a StatefulSet. This is the default update strategy.
+: The `RollingUpdate` update strategy implements automated, rolling update for the Pods in a
+  StatefulSet. This is the default update strategy.
 
 ## Rolling Updates
 
@@ -299,7 +320,7 @@ unavailable Pod in the range `0` to `replicas - 1`, it will be counted towards
 {{< note >}}
 The `maxUnavailable` field is in Alpha stage and it is honored only by API servers
 that are running with the `MaxUnavailableStatefulSet`
-[feature gate](/docs/reference/commmand-line-tools-reference/feature-gates/)
+[feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
 enabled.
 {{< /note >}}
 
@@ -375,8 +396,8 @@ spec:
 ...
 ```
 
-The StatefulSet {{<glossary_tooltip text="controller" term_id="controller">}} adds [owner
-references](/docs/concepts/overview/working-with-objects/owners-dependents/#owner-references-in-object-specifications)
+The StatefulSet {{<glossary_tooltip text="controller" term_id="controller">}} adds
+[owner references](/docs/concepts/overview/working-with-objects/owners-dependents/#owner-references-in-object-specifications)
 to its PVCs, which are then deleted by the {{<glossary_tooltip text="garbage collector"
 term_id="garbage-collection">}} after the Pod is terminated. This enables the Pod to
 cleanly unmount all volumes before the PVCs are deleted (and before the backing PV and
diff --git a/content/en/docs/concepts/workloads/pods/_index.md b/content/en/docs/concepts/workloads/pods/_index.md
index e7b5b4dc86e..77994f754f9 100644
--- a/content/en/docs/concepts/workloads/pods/_index.md
+++ b/content/en/docs/concepts/workloads/pods/_index.md
@@ -320,12 +320,12 @@ in the Pod Lifecycle documentation.
 * Learn about the [lifecycle of a Pod](/docs/concepts/workloads/pods/pod-lifecycle/).
 * Learn about [RuntimeClass](/docs/concepts/containers/runtime-class/) and how you can use it to
   configure different Pods with different container runtime configurations.
-* Read about [Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
 * Read about [PodDisruptionBudget](/docs/concepts/workloads/pods/disruptions/) and how you can use it to manage application availability during disruptions.
 * Pod is a top-level resource in the Kubernetes REST API.
   The {{< api-reference page="workload-resources/pod-v1" >}}
   object definition describes the object in detail.
 * [The Distributed System Toolkit: Patterns for Composite Containers](/blog/2015/06/the-distributed-system-toolkit-patterns/) explains common layouts for Pods with more than one container.
+* Read about [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 
 To understand the context for why Kubernetes wraps a common Pod API in other resources (such as {{< glossary_tooltip text="StatefulSets" term_id="statefulset" >}} or {{< glossary_tooltip text="Deployments" term_id="deployment" >}}), you can read about the prior art, including:
 
diff --git a/content/en/docs/concepts/workloads/pods/init-containers.md b/content/en/docs/concepts/workloads/pods/init-containers.md
index 61b90d17d0b..85c5ec413b0 100644
--- a/content/en/docs/concepts/workloads/pods/init-containers.md
+++ b/content/en/docs/concepts/workloads/pods/init-containers.md
@@ -28,7 +28,7 @@ Init containers are exactly like regular containers, except:
 * Init containers always run to completion.
 * Each init container must complete successfully before the next one starts.
 
-If a Pod's init container fails, the kubelet repeatedly restarts that init container until it succeeds. 
+If a Pod's init container fails, the kubelet repeatedly restarts that init container until it succeeds.
 However, if the Pod has a `restartPolicy` of Never, and an init container fails during startup of that Pod, Kubernetes treats the overall Pod as failed.
 
 To specify an init container for a Pod, add the `initContainers` field into
@@ -115,7 +115,7 @@ kind: Pod
 metadata:
   name: myapp-pod
   labels:
-    app: myapp
+    app.kubernetes.io/name: MyApp
 spec:
   containers:
   - name: myapp-container
@@ -159,7 +159,7 @@ The output is similar to this:
 Name:          myapp-pod
 Namespace:     default
 [...]
-Labels:        app=myapp
+Labels:        app.kubernetes.io/name=MyApp
 Status:        Pending
 [...]
 Init Containers:
diff --git a/content/en/docs/concepts/workloads/pods/pod-topology-spread-constraints.md b/content/en/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
deleted file mode 100644
index fe50cf7e2d4..00000000000
--- a/content/en/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
+++ /dev/null
@@ -1,421 +0,0 @@
----
-title: Pod Topology Spread Constraints
-content_type: concept
-weight: 40
----
-
-
-<!-- overview -->
-
-You can use _topology spread constraints_ to control how {{< glossary_tooltip text="Pods" term_id="Pod" >}} are spread across your cluster among failure-domains such as regions, zones, nodes, and other user-defined topology domains. This can help to achieve high availability as well as efficient resource utilization.
-
-
-<!-- body -->
-
-## Prerequisites
-
-### Node Labels
-
-Topology spread constraints rely on node labels to identify the topology domain(s) that each Node is in. For example, a Node might have labels: `node=node1,zone=us-east-1a,region=us-east-1`
-
-Suppose you have a 4-node cluster with the following labels:
-
-```
-NAME    STATUS   ROLES    AGE     VERSION   LABELS
-node1   Ready    <none>   4m26s   v1.16.0   node=node1,zone=zoneA
-node2   Ready    <none>   3m58s   v1.16.0   node=node2,zone=zoneA
-node3   Ready    <none>   3m17s   v1.16.0   node=node3,zone=zoneB
-node4   Ready    <none>   2m43s   v1.16.0   node=node4,zone=zoneB
-```
-
-Then the cluster is logically viewed as below:
-
-{{<mermaid>}}
-graph TB
-    subgraph "zoneB"
-        n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        n1(Node1)
-        n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-Instead of manually applying labels, you can also reuse the [well-known labels](/docs/reference/labels-annotations-taints/) that are created and populated automatically on most clusters.
-
-## Spread Constraints for Pods
-
-### API
-
-The API field `pod.spec.topologySpreadConstraints` is defined as below:
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  topologySpreadConstraints:
-    - maxSkew: <integer>
-      minDomains: <integer>
-      topologyKey: <string>
-      whenUnsatisfiable: <string>
-      labelSelector: <object>
-```
-
-You can define one or multiple `topologySpreadConstraint` to instruct the kube-scheduler how to place each incoming Pod in relation to the existing Pods across your cluster. The fields are:
-
-- **maxSkew** describes the degree to which Pods may be unevenly distributed.
-  It must be greater than zero. Its semantics differs according to the value of `whenUnsatisfiable`:
-
-  - when `whenUnsatisfiable` equals to "DoNotSchedule", `maxSkew` is the maximum
-    permitted difference between the number of matching pods in the target
-    topology and the global minimum
-    (the minimum number of pods that match the label selector in a topology domain.
-    For example, if you have 3 zones with 0, 2 and 3 matching pods respectively,
-    The global minimum is 0).
-  - when `whenUnsatisfiable` equals to "ScheduleAnyway", scheduler gives higher
-    precedence to topologies that would help reduce the skew.
-
-- **minDomains** indicates a minimum number of eligible domains.
-  A domain is a particular instance of a topology. An eligible domain is a domain whose
-  nodes match the node selector.
-
-  - The value of `minDomains` must be greater than 0, when specified.
-  - When the number of eligible domains with match topology keys is less than `minDomains`,
-    Pod topology spread treats "global minimum" as 0, and then the calculation of `skew` is performed.
-    The "global minimum" is the minimum number of matching Pods in an eligible domain,
-    or zero if the number of eligible domains is less than `minDomains`.
-  - When the number of eligible domains with matching topology keys equals or is greater than 
-    `minDomains`, this value has no effect on scheduling.
-  - When `minDomains` is nil, the constraint behaves as if `minDomains` is 1.
-  - When `minDomains` is not nil, the value of `whenUnsatisfiable` must be "`DoNotSchedule`".
-
-  {{< note >}}
-  The `minDomains` field is an alpha field added in 1.24. You have to enable the
-  `MinDomainsInPodToplogySpread` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
-  in order to use it.
-  {{< /note >}}
-
-- **topologyKey** is the key of node labels. If two Nodes are labelled with this key and have identical values for that label, the scheduler treats both Nodes as being in the same topology. The scheduler tries to place a balanced number of Pods into each topology domain.
-
-- **whenUnsatisfiable** indicates how to deal with a Pod if it doesn't satisfy the spread constraint:
-  - `DoNotSchedule` (default) tells the scheduler not to schedule it.
-  - `ScheduleAnyway` tells the scheduler to still schedule it while prioritizing nodes that minimize the skew.
-
-- **labelSelector** is used to find matching Pods. Pods that match this label selector are counted to determine the number of Pods in their corresponding topology domain. See [Label Selectors](/docs/concepts/overview/working-with-objects/labels/#label-selectors) for more details.
-
-When a Pod defines more than one `topologySpreadConstraint`, those constraints are ANDed: The kube-scheduler looks for a node for the incoming Pod that satisfies all the constraints.
-
-You can read more about this field by running `kubectl explain Pod.spec.topologySpreadConstraints`.
-
-### Example: One TopologySpreadConstraint
-
-Suppose you have a 4-node cluster where 3 Pods labeled `foo:bar` are located in node1, node2 and node3 respectively:
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-If we want an incoming Pod to be evenly spread with existing Pods across zones, the spec can be given as:
-
-{{< codenew file="pods/topology-spread-constraints/one-constraint.yaml" >}}
-
-`topologyKey: zone` implies the even distribution will only be applied to the nodes which have label pair "zone:&lt;any value&gt;" present. `whenUnsatisfiable: DoNotSchedule` tells the scheduler to let it stay pending if the incoming Pod can't satisfy the constraint.
-
-If the scheduler placed this incoming Pod into "zoneA", the Pods distribution would become [3, 1], hence the actual skew is 2 (3 - 1) - which violates `maxSkew: 1`. In this example, the incoming Pod can only be placed into "zoneB":
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        p4(mypod) --> n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-OR
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        p4(mypod) --> n3
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-You can tweak the Pod spec to meet various kinds of requirements:
-
-- Change `maxSkew` to a bigger value like "2" so that the incoming Pod can be placed into "zoneA" as well.
-- Change `topologyKey` to "node" so as to distribute the Pods evenly across nodes instead of zones. In the above example, if `maxSkew` remains "1", the incoming Pod can only be placed onto "node4".
-- Change `whenUnsatisfiable: DoNotSchedule` to `whenUnsatisfiable: ScheduleAnyway` to ensure the incoming Pod to be always schedulable (suppose other scheduling APIs are satisfied). However, it's preferred to be placed onto the topology domain which has fewer matching Pods. (Be aware that this preferability is jointly normalized with other internal scheduling priorities like resource usage ratio, etc.)
-
-### Example: Multiple TopologySpreadConstraints
-
-This builds upon the previous example. Suppose you have a 4-node cluster where 3 Pods labeled `foo:bar` are located in node1, node2 and node3 respectively:
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-You can use 2 TopologySpreadConstraints to control the Pods spreading on both zone and node:
-
-{{< codenew file="pods/topology-spread-constraints/two-constraints.yaml" >}}
-
-In this case, to match the first constraint, the incoming Pod can only be placed into "zoneB"; while in terms of the second constraint, the incoming Pod can only be placed onto "node4". Then the results of 2 constraints are ANDed, so the only viable option is to place on "node4".
-
-Multiple constraints can lead to conflicts. Suppose you have a 3-node cluster across 2 zones:
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p4(Pod) --> n3(Node3)
-        p5(Pod) --> n3
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n1
-        p3(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3,p4,p5 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-If you apply "two-constraints.yaml" to this cluster, you will notice "mypod" stays in `Pending` state. This is because: to satisfy the first constraint, "mypod" can only placed into "zoneB"; while in terms of the second constraint, "mypod" can only be placed onto "node2". Then a joint result of "zoneB" and "node2" returns nothing.
-
-To overcome this situation, you can either increase the `maxSkew` or modify one of the constraints to use `whenUnsatisfiable: ScheduleAnyway`.
-
-### Interaction With Node Affinity and Node Selectors
-
-The scheduler will skip the non-matching nodes from the skew calculations if the incoming Pod has `spec.nodeSelector` or `spec.affinity.nodeAffinity` defined.
-
-### Example: TopologySpreadConstraints with NodeAffinity
-
-Suppose you have a 5-node cluster ranging from zoneA to zoneC:
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-class n1,n2,n3,n4,p1,p2,p3 k8s;
-class p4 plain;
-class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneC"
-        n5(Node5)
-    end
-
-classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-class n5 k8s;
-class zoneC cluster;
-{{< /mermaid >}}
-
-and you know that "zoneC" must be excluded. In this case, you can compose the yaml as below, so that "mypod" will be placed into "zoneB" instead of "zoneC". Similarly `spec.nodeSelector` is also respected.
-
-{{< codenew file="pods/topology-spread-constraints/one-constraint-with-nodeaffinity.yaml" >}}
-
-The scheduler doesn't have prior knowledge of all the zones or other topology domains that a cluster has. They are determined from the existing nodes in the cluster. This could lead to a problem in autoscaled clusters, when a node pool (or node group) is scaled to zero nodes and the user is expecting them to scale up, because, in this case, those topology domains won't be considered until there is at least one node in them.
-
-### Other Noticeable Semantics
-
-There are some implicit conventions worth noting here:
-
-- Only the Pods holding the same namespace as the incoming Pod can be matching candidates.
-
-- The scheduler will bypass the nodes without `topologySpreadConstraints[*].topologyKey` present. This implies that:
-
-  1. the Pods located on those nodes do not impact `maxSkew` calculation - in the above example, suppose "node1" does not have label "zone", then the 2 Pods will be disregarded, hence the incoming Pod will be scheduled into "zoneA".
-  2. the incoming Pod has no chances to be scheduled onto such nodes - in the above example, suppose a "node5" carrying label `{zone-typo: zoneC}` joins the cluster, it will be bypassed due to the absence of label key "zone".
-
-- Be aware of what will happen if the incoming Pod's `topologySpreadConstraints[*].labelSelector` doesn't match its own labels. In the above example, if we remove the incoming Pod's labels, it can still be placed into "zoneB" since the constraints are still satisfied. However, after the placement, the degree of imbalance of the cluster remains unchanged - it's still zoneA having 2 Pods which hold label {foo:bar}, and zoneB having 1 Pod which holds label {foo:bar}. So if this is not what you expect, we recommend the workload's `topologySpreadConstraints[*].labelSelector` to match its own labels.
-
-### Cluster-level default constraints
-
-It is possible to set default topology spread constraints for a cluster. Default
-topology spread constraints are applied to a Pod if, and only if:
-
-- It doesn't define any constraints in its `.spec.topologySpreadConstraints`.
-- It belongs to a service, replication controller, replica set or stateful set.
-
-Default constraints can be set as part of the `PodTopologySpread` plugin args
-in a [scheduling profile](/docs/reference/scheduling/config/#profiles).
-The constraints are specified with the same [API above](#api), except that
-`labelSelector` must be empty. The selectors are calculated from the services,
-replication controllers, replica sets or stateful sets that the Pod belongs to.
-
-An example configuration might look like follows:
-
-```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta3
-kind: KubeSchedulerConfiguration
-
-profiles:
-  - schedulerName: default-scheduler
-    pluginConfig:
-      - name: PodTopologySpread
-        args:
-          defaultConstraints:
-            - maxSkew: 1
-              topologyKey: topology.kubernetes.io/zone
-              whenUnsatisfiable: ScheduleAnyway
-          defaultingType: List
-```
-
-{{< note >}}
-[`SelectorSpread` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
-is disabled by default. It's recommended to use `PodTopologySpread` to achieve similar
-behavior.
-{{< /note >}}
-
-#### Built-in default constraints {#internal-default-constraints}
-
-{{< feature-state for_k8s_version="v1.24" state="stable" >}}
-
-If you don't configure any cluster-level default constraints for pod topology spreading,
-then kube-scheduler acts as if you specified the following default topology constraints:
-
-```yaml
-defaultConstraints:
-  - maxSkew: 3
-    topologyKey: "kubernetes.io/hostname"
-    whenUnsatisfiable: ScheduleAnyway
-  - maxSkew: 5
-    topologyKey: "topology.kubernetes.io/zone"
-    whenUnsatisfiable: ScheduleAnyway
-```
-
-Also, the legacy `SelectorSpread` plugin, which provides an equivalent behavior,
-is disabled by default.
-
-{{< note >}}
-The `PodTopologySpread` plugin does not score the nodes that don't have
-the topology keys specified in the spreading constraints. This might result
-in a different default behavior compared to the legacy `SelectorSpread` plugin when
-using the default topology constraints.
-
-If your nodes are not expected to have **both** `kubernetes.io/hostname` and
-`topology.kubernetes.io/zone` labels set, define your own constraints
-instead of using the Kubernetes defaults.
-{{< /note >}}
-
-If you don't want to use the default Pod spreading constraints for your cluster,
-you can disable those defaults by setting `defaultingType` to `List` and leaving
-empty `defaultConstraints` in the `PodTopologySpread` plugin configuration:
-
-```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta3
-kind: KubeSchedulerConfiguration
-
-profiles:
-  - schedulerName: default-scheduler
-    pluginConfig:
-      - name: PodTopologySpread
-        args:
-          defaultConstraints: []
-          defaultingType: List
-```
-
-## Comparison with PodAffinity/PodAntiAffinity
-
-In Kubernetes, directives related to "Affinity" control how Pods are
-scheduled - more packed or more scattered.
-
-- For `PodAffinity`, you can try to pack any number of Pods into qualifying
-  topology domain(s)
-- For `PodAntiAffinity`, only one Pod can be scheduled into a
-  single topology domain.
-
-For finer control, you can specify topology spread constraints to distribute
-Pods across different topology domains - to achieve either high availability or
-cost-saving. This can also help on rolling update workloads and scaling out
-replicas smoothly. See
-[Motivation](https://github.com/kubernetes/enhancements/tree/master/keps/sig-scheduling/895-pod-topology-spread#motivation)
-for more details.
-
-## Known Limitations
-
-- There's no guarantee that the constraints remain satisfied when Pods are removed. For example, scaling down a Deployment may result in imbalanced Pods distribution.
-You can use [Descheduler](https://github.com/kubernetes-sigs/descheduler) to rebalance the Pods distribution.
-- Pods matched on tainted nodes are respected. See [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921)
-
-## {{% heading "whatsnext" %}}
-
-- [Blog: Introducing PodTopologySpread](https://kubernetes.io/blog/2020/05/introducing-podtopologyspread/)
-  explains `maxSkew` in details, as well as bringing up some advanced usage examples.
diff --git a/content/en/docs/contribute/localization.md b/content/en/docs/contribute/localization.md
index 0358005d268..1c741b32e57 100644
--- a/content/en/docs/contribute/localization.md
+++ b/content/en/docs/contribute/localization.md
@@ -278,7 +278,7 @@ For an example of adding a new localization, see the PR to enable
 
 To guide other localization contributors, add a new
 [`README-**.md`](https://help.github.com/articles/about-readmes/) to the top level of
-[k/website](https://github.com/kubernetes/website/), where `**` is the two-letter language code.
+[kubernetes/website](https://github.com/kubernetes/website/), where `**` is the two-letter language code.
 For example, a German README file would be `README-de.md`.
 
 Provide guidance to localization contributors in the localized `README-**.md` file.
@@ -299,7 +299,7 @@ Once a localization meets requirements for workflow and minimum output, SIG Docs
 - Enable language selection on the website
 - Publicize the localization's availability through
   [Cloud Native Computing Foundation](https://www.cncf.io/about/)(CNCF) channels, including the
-  [Kubernetes blog](https://kubernetes.io/blog/).
+  [Kubernetes blog](/blog/).
 
 ## Translating content
 
@@ -418,7 +418,7 @@ To collaborate on a localization branch:
    `dev-<source version>-<language code>.<team milestone>`
 
    For example, an approver on a German localization team opens the localization branch
-   `dev-1.12-de.1` directly against the k/website repository, based on the source branch for
+   `dev-1.12-de.1` directly against the `kubernetes/website` repository, based on the source branch for
    Kubernetes v1.12.
 
 2. Individual contributors open feature branches based on the localization branch.
diff --git a/content/en/docs/contribute/new-content/new-features.md b/content/en/docs/contribute/new-content/new-features.md
index 268c447402e..d40195c32d1 100644
--- a/content/en/docs/contribute/new-content/new-features.md
+++ b/content/en/docs/contribute/new-content/new-features.md
@@ -37,7 +37,7 @@ the techniques described in
 ### Find out about upcoming features
 
 To find out about upcoming features, attend the weekly SIG Release meeting (see
-the [community](https://kubernetes.io/community/) page for upcoming meetings)
+the [community](/community/) page for upcoming meetings)
 and monitor the release-specific documentation
 in the [kubernetes/sig-release](https://github.com/kubernetes/sig-release/)
 repository. Each release has a sub-directory in the [/sig-release/tree/master/releases/](https://github.com/kubernetes/sig-release/tree/master/releases)
diff --git a/content/en/docs/contribute/new-content/open-a-pr.md b/content/en/docs/contribute/new-content/open-a-pr.md
index 666dfdce965..50b5a00608e 100644
--- a/content/en/docs/contribute/new-content/open-a-pr.md
+++ b/content/en/docs/contribute/new-content/open-a-pr.md
@@ -15,13 +15,15 @@ upcoming Kubernetes release, see
 [Document a new feature](/docs/contribute/new-content/new-features/).
 {{< /note >}}
 
-To contribute new content pages or improve existing content pages, open a pull request (PR). Make sure you follow all the requirements in the [Before you begin](/docs/contribute/new-content/overview/#before-you-begin) section.
-
-If your change is small, or you're unfamiliar with git, read [Changes using GitHub](#changes-using-github) to learn how to edit a page.
-
-If your changes are large, read [Work from a local fork](#fork-the-repo) to learn how to make changes locally on your computer.
+To contribute new content pages or improve existing content pages, open a pull request (PR).
+Make sure you follow all the requirements in the
+[Before you begin](/docs/contribute/new-content/) section.
 
+If your change is small, or you're unfamiliar with git, read
+[Changes using GitHub](#changes-using-github) to learn how to edit a page.
 
+If your changes are large, read [Work from a local fork](#fork-the-repo) to learn how to make
+changes locally on your computer.
 
 <!-- body -->
 
@@ -63,38 +65,39 @@ class id1 k8s
 
 Figure 1. Steps for opening a PR using GitHub.
 
-1.  On the page where you see the issue, select the pencil icon at the top right.
-    You can also scroll to the bottom of the page and select **Edit this page**.
+1. On the page where you see the issue, select the pencil icon at the top right.
+   You can also scroll to the bottom of the page and select **Edit this page**.
 
-2.  Make your changes in the GitHub markdown editor.
+1. Make your changes in the GitHub markdown editor.
 
-3.  Below the editor, fill in the **Propose file change**
-    form. In the first field, give your commit message a title. In
-    the second field, provide a description.
+1. Below the editor, fill in the **Propose file change** form.
+   In the first field, give your commit message a title.
+   In the second field, provide a description.
 
-    {{< note >}}
-    Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword) in your commit message. You can add those to the pull request
-    description later.
-    {{< /note >}}
+   {{< note >}}
+   Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)
+   in your commit message. You can add those to the pull request description later.
+   {{< /note >}}
 
-4.  Select **Propose file change**.
+1. Select **Propose file change**.
 
-5.  Select **Create pull request**.
+1. Select **Create pull request**.
 
-6.  The **Open a pull request** screen appears. Fill in the form:
+1. The **Open a pull request** screen appears. Fill in the form:
 
-    - The **Subject** field of the pull request defaults to the commit summary.
-    You can change it if needed.
-    - The **Body** contains your extended commit message, if you have one,
-    and some template text. Add the
-    details the template text asks for, then delete the extra template text.
-    - Leave the **Allow edits from maintainers** checkbox selected.
+   - The **Subject** field of the pull request defaults to the commit summary.
+     You can change it if needed.
+   - The **Body** contains your extended commit message, if you have one,
+     and some template text. Add the
+     details the template text asks for, then delete the extra template text.
+   - Leave the **Allow edits from maintainers** checkbox selected.
 
-    {{< note >}}
-    PR descriptions are a great way to help reviewers understand your change. For more information, see [Opening a PR](#open-a-pr).
-    {{</ note >}}
+   {{< note >}}
+   PR descriptions are a great way to help reviewers understand your change.
+   For more information, see [Opening a PR](#open-a-pr).
+   {{</ note >}}
 
-7.  Select **Create pull request**.
+1. Select **Create pull request**.
 
 ### Addressing feedback in GitHub
 
@@ -106,12 +109,12 @@ leave a comment with their GitHub username in it.
 If a reviewer asks you to make changes:
 
 1. Go to the **Files changed** tab.
-2. Select the pencil (edit) icon on any files changed by the
-pull request.
-3. Make the changes requested.
-4. Commit the changes.
+1. Select the pencil (edit) icon on any files changed by the pull request.
+1. Make the changes requested.
+1. Commit the changes.
 
-If you are waiting on a reviewer, reach out once every 7 days. You can also post a message in the `#sig-docs` Slack channel.
+If you are waiting on a reviewer, reach out once every 7 days. You can also post a message in the
+`#sig-docs` Slack channel.
 
 When your review is complete, a reviewer merges your PR and your changes go live a few minutes later.
 
@@ -120,7 +123,8 @@ When your review is complete, a reviewer merges your PR and your changes go live
 If you're more experienced with git, or if your changes are larger than a few lines,
 work from a local fork.
 
-Make sure you have [git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git) installed on your computer. You can also use a git UI application.
+Make sure you have [git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git) installed
+on your computer. You can also use a git UI application.
 
 Figure 2 shows the steps to follow when you work from a local fork. The details for each step follow.
 
@@ -157,75 +161,80 @@ Figure 2. Working from a local fork to make your changes.
 ### Fork the kubernetes/website repository
 
 1. Navigate to the [`kubernetes/website`](https://github.com/kubernetes/website/) repository.
-2. Select **Fork**.
+1. Select **Fork**.
 
 ### Create a local clone and set the upstream
 
-3. In a terminal window, clone your fork and update the [Docsy Hugo theme](https://github.com/google/docsy#readme):
+1. In a terminal window, clone your fork and update the [Docsy Hugo theme](https://github.com/google/docsy#readme):
 
-    ```bash
-    git clone git@github.com/<github_username>/website
-    cd website
-    git submodule update --init --recursive --depth 1
-    ```
+   ```shell
+   git clone git@github.com/<github_username>/website
+   cd website
+   git submodule update --init --recursive --depth 1
+   ```
 
-4. Navigate to the new `website` directory. Set the `kubernetes/website` repository as the `upstream` remote:
+1. Navigate to the new `website` directory. Set the `kubernetes/website` repository as the `upstream` remote:
 
-      ```bash
-      cd website
+   ```shell
+   cd website
 
-      git remote add upstream https://github.com/kubernetes/website.git
-      ```
+   git remote add upstream https://github.com/kubernetes/website.git
+   ```
 
-5. Confirm your `origin` and `upstream` repositories:
+1. Confirm your `origin` and `upstream` repositories:
 
-    ```bash
-    git remote -v
-    ```
+   ```shell
+   git remote -v
+   ```
 
-    Output is similar to:
+   Output is similar to:
 
-    ```bash
-    origin	git@github.com:<github_username>/website.git (fetch)
-    origin	git@github.com:<github_username>/website.git (push)
-    upstream	https://github.com/kubernetes/website.git (fetch)
-    upstream	https://github.com/kubernetes/website.git (push)
-    ```
+   ```none
+   origin	git@github.com:<github_username>/website.git (fetch)
+   origin	git@github.com:<github_username>/website.git (push)
+   upstream	https://github.com/kubernetes/website.git (fetch)
+   upstream	https://github.com/kubernetes/website.git (push)
+   ```
 
-6. Fetch commits from your fork's `origin/main` and `kubernetes/website`'s `upstream/main`:
+1. Fetch commits from your fork's `origin/main` and `kubernetes/website`'s `upstream/main`:
 
-    ```bash
-    git fetch origin
-    git fetch upstream
-    ```
+   ```shell
+   git fetch origin
+   git fetch upstream
+   ```
 
-    This makes sure your local repository is up to date before you start making changes.
+   This makes sure your local repository is up to date before you start making changes.
 
-    {{< note >}}
-    This workflow is different than the [Kubernetes Community GitHub Workflow](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md). You do not need to merge your local copy of `main` with `upstream/main` before pushing updates to your fork.
-    {{< /note >}}
+   {{< note >}}
+   This workflow is different than the
+   [Kubernetes Community GitHub Workflow](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md).
+   You do not need to merge your local copy of `main` with `upstream/main` before pushing updates
+   to your fork.
+   {{< /note >}}
 
 ### Create a branch
 
 1. Decide which branch base to your work on:
 
-  - For improvements to existing content, use `upstream/main`.
-  - For new content about existing features, use `upstream/main`.
-  - For localized content, use the localization's conventions. For more information, see [localizing Kubernetes documentation](/docs/contribute/localization/).
-  - For new features in an upcoming Kubernetes release, use the feature branch. For more information, see [documenting for a release](/docs/contribute/new-content/new-features/).
-  - For long-running efforts that multiple SIG Docs contributors collaborate on,
-    like content reorganization, use a specific feature branch created for that
-    effort.
+   - For improvements to existing content, use `upstream/main`.
+   - For new content about existing features, use `upstream/main`.
+   - For localized content, use the localization's conventions. For more information, see
+     [localizing Kubernetes documentation](/docs/contribute/localization/).
+   - For new features in an upcoming Kubernetes release, use the feature branch. For more
+     information, see [documenting for a release](/docs/contribute/new-content/new-features/).
+   - For long-running efforts that multiple SIG Docs contributors collaborate on,
+     like content reorganization, use a specific feature branch created for that effort.
 
-    If you need help choosing a branch, ask in the `#sig-docs` Slack channel.
+   If you need help choosing a branch, ask in the `#sig-docs` Slack channel.
 
-2. Create a new branch based on the branch identified in step 1. This example assumes the base branch is `upstream/main`:
+1. Create a new branch based on the branch identified in step 1. This example assumes the base
+   branch is `upstream/main`:
 
-    ```bash
-    git checkout -b <my_new_branch> upstream/main
-    ```
+   ```shell
+   git checkout -b <my_new_branch> upstream/main
+   ```
 
-3.  Make your changes using a text editor.
+1. Make your changes using a text editor.
 
 At any time, use the `git status` command to see what files you've changed.
 
@@ -235,109 +244,116 @@ When you are ready to submit a pull request, commit your changes.
 
 1. In your local repository, check which files you need to commit:
 
-    ```bash
-    git status
-    ```
+   ```shell
+   git status
+   ```
 
-    Output is similar to:
+   Output is similar to:
 
-    ```bash
-    On branch <my_new_branch>
-    Your branch is up to date with 'origin/<my_new_branch>'.
+   ```none
+   On branch <my_new_branch>
+   Your branch is up to date with 'origin/<my_new_branch>'.
 
-    Changes not staged for commit:
-    (use "git add <file>..." to update what will be committed)
-    (use "git checkout -- <file>..." to discard changes in working directory)
+   Changes not staged for commit:
+   (use "git add <file>..." to update what will be committed)
+   (use "git checkout -- <file>..." to discard changes in working directory)
 
-    modified:   content/en/docs/contribute/new-content/contributing-content.md
+   modified:   content/en/docs/contribute/new-content/contributing-content.md
 
-    no changes added to commit (use "git add" and/or "git commit -a")
-    ```
+   no changes added to commit (use "git add" and/or "git commit -a")
+   ```
 
-2. Add the files listed under **Changes not staged for commit** to the commit:
+1. Add the files listed under **Changes not staged for commit** to the commit:
 
-    ```bash
-    git add <your_file_name>
-    ```
+   ```shell
+   git add <your_file_name>
+   ```
 
-    Repeat this for each file.
+   Repeat this for each file.
 
-3.  After adding all the files, create a commit:
+1. After adding all the files, create a commit:
 
-    ```bash
-    git commit -m "Your commit message"
-    ```
+   ```shell
+   git commit -m "Your commit message"
+   ```
 
-    {{< note >}}
-    Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword) in your commit message. You can add those to the pull request
-    description later.
-    {{< /note >}}
+   {{< note >}}
+   Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)
+   in your commit message. You can add those to the pull request
+   description later.
+   {{< /note >}}
 
-4. Push your local branch and its new commit to your remote fork:
+1. Push your local branch and its new commit to your remote fork:
 
-    ```bash
-    git push origin <my_new_branch>
-    ```
+   ```shell
+   git push origin <my_new_branch>
+   ```
 
 ### Preview your changes locally {#preview-locally}
 
-It's a good idea to preview your changes locally before pushing them or opening a pull request. A preview lets you catch build errors or markdown formatting problems.
+It's a good idea to preview your changes locally before pushing them or opening a pull request.
+A preview lets you catch build errors or markdown formatting problems.
 
-You can either build the website's container image or run Hugo locally. Building the container image is slower but displays [Hugo shortcodes](/docs/contribute/style/hugo-shortcodes/), which can be useful for debugging.
+You can either build the website's container image or run Hugo locally. Building the container
+image is slower but displays [Hugo shortcodes](/docs/contribute/style/hugo-shortcodes/), which can
+be useful for debugging.
 
 {{< tabs name="tab_with_hugo" >}}
 {{% tab name="Hugo in a container" %}}
 
 {{< note >}}
-The commands below use Docker as default container engine. Set the `CONTAINER_ENGINE` environment variable to override this behaviour.
+The commands below use Docker as default container engine. Set the `CONTAINER_ENGINE` environment
+variable to override this behaviour.
 {{< /note >}}
 
 1. Build the container image locally  
    _You only need this step if you are testing a change to the Hugo tool itself_
-   ```bash
+
+   ```shell
    # Run this in a terminal (if required)
    make container-image
    ```
 
 1. Start Hugo in a container:
 
-   ```bash
+   ```shell
    # Run this in a terminal
    make container-serve
    ```
 
-1.  In a web browser, navigate to `https://localhost:1313`. Hugo watches the
-    changes and rebuilds the site as needed.
+1. In a web browser, navigate to `https://localhost:1313`. Hugo watches the
+   changes and rebuilds the site as needed.
 
-1.  To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
-    or close the terminal window.
+1. To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
+   or close the terminal window.
 
 {{% /tab %}}
 {{% tab name="Hugo on the command line" %}}
 
 Alternately, install and use the `hugo` command on your computer:
 
-1.  Install the [Hugo](https://gohugo.io/getting-started/installing/) version specified in [`website/netlify.toml`](https://raw.githubusercontent.com/kubernetes/website/main/netlify.toml).
+1. Install the [Hugo](https://gohugo.io/getting-started/installing/) version specified in
+   [`website/netlify.toml`](https://raw.githubusercontent.com/kubernetes/website/main/netlify.toml).
 
-2.  If you have not updated your website repository, the `website/themes/docsy` directory is empty.
-    The site cannot build without a local copy of the theme. To update the website theme, run:
+1. If you have not updated your website repository, the `website/themes/docsy` directory is empty.
+   The site cannot build without a local copy of the theme. To update the website theme, run:
 
-    ```bash
-    git submodule update --init --recursive --depth 1
-    ```
+   ```shell
+   git submodule update --init --recursive --depth 1
+   ```
 
-3.  In a terminal, go to your Kubernetes website repository and start the Hugo server:
+1. In a terminal, go to your Kubernetes website repository and start the Hugo server:
 
-      ```bash
-      cd <path_to_your_repo>/website
-      hugo server --buildFuture
-      ```
+   ```shell
+   cd <path_to_your_repo>/website
+   hugo server --buildFuture
+   ```
 
-4.  In a web browser, navigate to `https://localhost:1313`. Hugo watches the
-    changes and rebuilds the site as needed.
+1. In a web browser, navigate to `https://localhost:1313`. Hugo watches the
+   changes and rebuilds the site as needed.
 
-5.  To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
-    or close the terminal window.
+1. To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
+   or close the terminal window.
 
 {{% /tab %}}
 {{< /tabs >}}
@@ -345,6 +361,7 @@ Alternately, install and use the `hugo` command on your computer:
 ### Open a pull request from your fork to kubernetes/website {#open-a-pr}
 
 Figure 3 shows the steps to open a PR from your fork to the K8s/website. The details follow.
+
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
 <!-- You can also cut/paste the mermaid code into the live editor at https://mermaid-js.github.io/mermaid-live-editor to play around with it -->
 
@@ -374,47 +391,55 @@ class first,second white
 Figure 3. Steps to open a PR from your fork to the K8s/website.
 
 1. In a web browser, go to the [`kubernetes/website`](https://github.com/kubernetes/website/) repository.
-2. Select **New Pull Request**.
-3. Select **compare across forks**.
-4. From the **head repository** drop-down menu, select your fork.
-5. From the **compare** drop-down menu, select your branch.
-6. Select **Create Pull Request**.
-7. Add a description for your pull request:
+1. Select **New Pull Request**.
+1. Select **compare across forks**.
+1. From the **head repository** drop-down menu, select your fork.
+1. From the **compare** drop-down menu, select your branch.
+1. Select **Create Pull Request**.
+1. Add a description for your pull request:
+
     - **Title** (50 characters or less): Summarize the intent of the change.
     - **Description**: Describe the change in more detail.
-      - If there is a related GitHub issue, include `Fixes #12345` or `Closes #12345` in the description. GitHub's automation closes the mentioned issue after merging the PR if used. If there are other related PRs, link those as well.
-      - If you want advice on something specific, include any questions you'd like reviewers to think about in your description.
 
-8. Select the **Create pull request** button.
+      - If there is a related GitHub issue, include `Fixes #12345` or `Closes #12345` in the
+        description. GitHub's automation closes the mentioned issue after merging the PR if used.
+        If there are other related PRs, link those as well.
+      - If you want advice on something specific, include any questions you'd like reviewers to
+        think about in your description.
+
+1. Select the **Create pull request** button.
 
 Congratulations! Your pull request is available in [Pull requests](https://github.com/kubernetes/website/pulls).
 
+After opening a PR, GitHub runs automated tests and tries to deploy a preview using
+[Netlify](https://www.netlify.com/).
 
-After opening a PR, GitHub runs automated tests and tries to deploy a preview using [Netlify](https://www.netlify.com/).
+- If the Netlify build fails, select **Details** for more information.
+- If the Netlify build succeeds, select **Details** opens a staged version of the Kubernetes
+  website with your changes applied. This is how reviewers check your changes.
 
-  - If the Netlify build fails, select **Details** for more information.
-  - If the Netlify build succeeds, select **Details** opens a staged version of the Kubernetes website with your changes applied. This is how reviewers check your changes.
-
-GitHub also automatically assigns labels to a PR, to help reviewers. You can add them too, if needed. For more information, see [Adding and removing issue labels](/docs/contribute/review/for-approvers/#adding-and-removing-issue-labels).
+GitHub also automatically assigns labels to a PR, to help reviewers. You can add them too, if
+needed. For more information, see [Adding and removing issue labels](/docs/contribute/review/for-approvers/#adding-and-removing-issue-labels).
 
 ### Addressing feedback locally
 
 1. After making your changes, amend your previous commit:
 
-    ```bash
-    git commit -a --amend
-    ```
+   ```shell
+   git commit -a --amend
+   ```
 
-    - `-a`: commits all changes
-    - `--amend`: amends the previous commit, rather than creating a new one
+   - `-a`: commits all changes
+   - `--amend`: amends the previous commit, rather than creating a new one
 
-2. Update your commit message if needed.
+1. Update your commit message if needed.
 
-3. Use `git push origin <my_new_branch>` to push your changes and re-run the Netlify tests.
+1. Use `git push origin <my_new_branch>` to push your changes and re-run the Netlify tests.
 
-    {{< note >}}
-      If you use `git commit -m` instead of amending, you must [squash your commits](#squashing-commits) before merging.
-    {{< /note >}}
+   {{< note >}}
+   If you use `git commit -m` instead of amending, you must [squash your commits](#squashing-commits)
+   before merging.
+   {{< /note >}}
 
 #### Changes from reviewers
 
@@ -422,89 +447,97 @@ Sometimes reviewers commit to your pull request. Before making any other changes
 
 1. Fetch commits from your remote fork and rebase your working branch:
 
-    ```bash
-    git fetch origin
-    git rebase origin/<your-branch-name>
-    ```
+   ```shell
+   git fetch origin
+   git rebase origin/<your-branch-name>
+   ```
 
-2. After rebasing, force-push new changes to your fork:
+1. After rebasing, force-push new changes to your fork:
 
-    ```bash
-    git push --force-with-lease origin <your-branch-name>
-    ```
+   ```shell
+   git push --force-with-lease origin <your-branch-name>
+   ```
 
 #### Merge conflicts and rebasing
 
 {{< note >}}
-For more information, see [Git Branching - Basic Branching and Merging](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts), [Advanced Merging](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging), or ask in the `#sig-docs` Slack channel for help.
+For more information, see [Git Branching - Basic Branching and Merging](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts),
+[Advanced Merging](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging), or ask in the
+`#sig-docs` Slack channel for help.
 {{< /note >}}
 
-If another contributor commits changes to the same file in another PR, it can create a merge conflict. You must resolve all merge conflicts in your PR.
+If another contributor commits changes to the same file in another PR, it can create a merge
+conflict. You must resolve all merge conflicts in your PR.
 
 1. Update your fork and rebase your local branch:
 
-    ```bash
-    git fetch origin
-    git rebase origin/<your-branch-name>
-    ```
+   ```shell
+   git fetch origin
+   git rebase origin/<your-branch-name>
+   ```
 
-    Then force-push the changes to your fork:
+   Then force-push the changes to your fork:
 
-    ```bash
-    git push --force-with-lease origin <your-branch-name>
-    ```
+   ```shell
+   git push --force-with-lease origin <your-branch-name>
+   ```
 
-2. Fetch changes from `kubernetes/website`'s `upstream/main` and rebase your branch:
+1. Fetch changes from `kubernetes/website`'s `upstream/main` and rebase your branch:
 
-    ```bash
-    git fetch upstream
-    git rebase upstream/main
-    ```
+   ```shell
+   git fetch upstream
+   git rebase upstream/main
+   ```
 
-3. Inspect the results of the rebase:
+1. Inspect the results of the rebase:
 
-    ```bash
-    git status
-    ```
+   ```shell
+   git status
+   ```
 
-  This results in a number of files marked as conflicted.
+   This results in a number of files marked as conflicted.
 
-4. Open each conflicted file and look for the conflict markers: `>>>`, `<<<`, and `===`. Resolve the conflict and delete the conflict marker.
+1. Open each conflicted file and look for the conflict markers: `>>>`, `<<<`, and `===`.
+   Resolve the conflict and delete the conflict marker.
 
-    {{< note >}}
-    For more information, see [How conflicts are presented](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
-    {{< /note >}}
+   {{< note >}}
+   For more information, see [How conflicts are presented](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
+   {{< /note >}}
 
-5. Add the files to the changeset:
+1. Add the files to the changeset:
 
-    ```bash
-    git add <filename>
-    ```
-6.  Continue the rebase:
+   ```shell
+   git add <filename>
+   ```
 
-    ```bash
-    git rebase --continue
-    ```
+1. Continue the rebase:
 
-7.  Repeat steps 2 to 5 as needed.
+   ```shell
+   git rebase --continue
+   ```
 
-    After applying all commits, the `git status` command shows that the rebase is complete.
+1. Repeat steps 2 to 5 as needed.
 
-8. Force-push the branch to your fork:
+   After applying all commits, the `git status` command shows that the rebase is complete.
 
-    ```bash
-    git push --force-with-lease origin <your-branch-name>
-    ```
+1. Force-push the branch to your fork:
 
-    The pull request no longer shows any conflicts.
+   ```shell
+   git push --force-with-lease origin <your-branch-name>
+   ```
+
+   The pull request no longer shows any conflicts.
 
 ### Squashing commits
 
 {{< note >}}
-For more information, see [Git Tools - Rewriting History](https://git-scm.com/book/en/v2/Git-Tools-Rewriting-History), or ask in the `#sig-docs` Slack channel for help.
+For more information, see [Git Tools - Rewriting History](https://git-scm.com/book/en/v2/Git-Tools-Rewriting-History),
+or ask in the `#sig-docs` Slack channel for help.
 {{< /note >}}
 
-If your PR has multiple commits, you must squash them into a single commit before merging your PR. You can check the number of commits on your PR's **Commits** tab or by running the `git log` command locally.
+If your PR has multiple commits, you must squash them into a single commit before merging your PR.
+You can check the number of commits on your PR's **Commits** tab or by running the `git log`
+command locally.
 
 {{< note >}}
 This topic assumes `vim` as the command line text editor.
@@ -512,79 +545,83 @@ This topic assumes `vim` as the command line text editor.
 
 1. Start an interactive rebase:
 
-    ```bash
-    git rebase -i HEAD~<number_of_commits_in_branch>
-    ```
+   ```shell
+   git rebase -i HEAD~<number_of_commits_in_branch>
+   ```
 
-    Squashing commits is a form of rebasing. The `-i` switch tells git you want to rebase interactively. `HEAD~<number_of_commits_in_branch` indicates how many commits to look at for the rebase.
+   Squashing commits is a form of rebasing. The `-i` switch tells git you want to rebase interactively.
+   `HEAD~<number_of_commits_in_branch` indicates how many commits to look at for the rebase.
 
-    Output is similar to:
+   Output is similar to:
 
-    ```bash
-    pick d875112ca Original commit
-    pick 4fa167b80 Address feedback 1
-    pick 7d54e15ee Address feedback 2
+   ```none
+   pick d875112ca Original commit
+   pick 4fa167b80 Address feedback 1
+   pick 7d54e15ee Address feedback 2
 
-    # Rebase 3d18sf680..7d54e15ee onto 3d183f680 (3 commands)
+   # Rebase 3d18sf680..7d54e15ee onto 3d183f680 (3 commands)
 
-    ...
+   ...
 
-    # These lines can be re-ordered; they are executed from top to bottom.
-    ```
+   # These lines can be re-ordered; they are executed from top to bottom.
+   ```
 
-    The first section of the output lists the commits in the rebase. The second section lists the options for each commit. Changing the word `pick` changes the status of the commit once the rebase is complete.
+   The first section of the output lists the commits in the rebase. The second section lists the
+   options for each commit. Changing the word `pick` changes the status of the commit once the rebase
+   is complete.
 
-    For the purposes of rebasing, focus on `squash` and `pick`.
+   For the purposes of rebasing, focus on `squash` and `pick`.
 
-    {{< note >}}
-    For more information, see [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode).
-    {{< /note >}}
+   {{< note >}}
+   For more information, see [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode).
+   {{< /note >}}
 
-2. Start editing the file.
+1. Start editing the file.
 
-    Change the original text:
+   Change the original text:
 
-    ```bash
-    pick d875112ca Original commit
-    pick 4fa167b80 Address feedback 1
-    pick 7d54e15ee Address feedback 2
-    ```
+   ```none
+   pick d875112ca Original commit
+   pick 4fa167b80 Address feedback 1
+   pick 7d54e15ee Address feedback 2
+   ```
 
-    To:
+   To:
 
-    ```bash
-    pick d875112ca Original commit
-    squash 4fa167b80 Address feedback 1
-    squash 7d54e15ee Address feedback 2
-    ```
+   ```none
+   pick d875112ca Original commit
+   squash 4fa167b80 Address feedback 1
+   squash 7d54e15ee Address feedback 2
+   ```
 
-    This squashes commits `4fa167b80 Address feedback 1` and `7d54e15ee Address feedback 2` into `d875112ca Original commit`, leaving only `d875112ca Original commit` as a part of the timeline.
+   This squashes commits `4fa167b80 Address feedback 1` and `7d54e15ee Address feedback 2` into
+   `d875112ca Original commit`, leaving only `d875112ca Original commit` as a part of the timeline.
 
-3. Save and exit your file.
+1. Save and exit your file.
 
-4. Push your squashed commit:
+1. Push your squashed commit:
 
-    ```bash
-    git push --force-with-lease origin <branch_name>
-    ```
+   ```shell
+   git push --force-with-lease origin <branch_name>
+   ```
 
 ## Contribute to other repos
 
-The [Kubernetes project](https://github.com/kubernetes) contains 50+ repositories. Many of these repositories contain documentation: user-facing help text, error messages, API references or code comments.
+The [Kubernetes project](https://github.com/kubernetes) contains 50+ repositories. Many of these
+repositories contain documentation: user-facing help text, error messages, API references or code
+comments.
 
-If you see text you'd like to improve, use GitHub to search all repositories in the Kubernetes organization.
-This can help you figure out where to submit your issue or PR.
+If you see text you'd like to improve, use GitHub to search all repositories in the Kubernetes
+organization. This can help you figure out where to submit your issue or PR.
 
-Each repository has its own processes and procedures. Before you file an
-issue or submit a PR, read that repository's `README.md`, `CONTRIBUTING.md`, and
-`code-of-conduct.md`, if they exist.
+Each repository has its own processes and procedures. Before you file an issue or submit a PR,
+read that repository's `README.md`, `CONTRIBUTING.md`, and `code-of-conduct.md`, if they exist.
 
-Most repositories use issue and PR templates. Have a look through some open
-issues and PRs to get a feel for that team's processes. Make sure to fill out
-the templates with as much detail as possible when you file issues or PRs.
+Most repositories use issue and PR templates. Have a look through some open issues and PRs to get
+a feel for that team's processes. Make sure to fill out the templates with as much detail as
+possible when you file issues or PRs.
 
 ## {{% heading "whatsnext" %}}
 
-
 - Read [Reviewing](/docs/contribute/review/reviewing-prs) to learn more about the review process.
 
diff --git a/content/en/docs/contribute/review/for-approvers.md b/content/en/docs/contribute/review/for-approvers.md
index 9f137c23b53..5d0606d60df 100644
--- a/content/en/docs/contribute/review/for-approvers.md
+++ b/content/en/docs/contribute/review/for-approvers.md
@@ -141,7 +141,7 @@ To add a label, leave a comment in one of the following formats:
 To remove a label, leave a comment in one of the following formats:
 
 - `/remove-<label-to-remove>` (for example, `/remove-help`)
-- `/remove-<label-category> <label-to-remove>` (for example, `/remove-triage needs-information`)`
+- `/remove-<label-category> <label-to-remove>` (for example, `/remove-triage needs-information`)
 
 In both cases, the label must already exist. If you try to add a label that does not exist, the command is
 silently ignored.
@@ -181,7 +181,7 @@ If the dead link issue is in the API or `kubectl` documentation, assign them `/p
 
 ### Blog issues
 
-We expect [Kubernetes Blog](https://kubernetes.io/blog/) entries to become
+We expect [Kubernetes Blog](/blog/) entries to become
 outdated over time. Therefore, we only maintain blog entries less than a year old.
 If an issue is related to a blog entry that is more than one year old,
 close the issue without fixing.
diff --git a/content/en/docs/contribute/review/reviewing-prs.md b/content/en/docs/contribute/review/reviewing-prs.md
index 54b209dc0e2..41aaecea171 100644
--- a/content/en/docs/contribute/review/reviewing-prs.md
+++ b/content/en/docs/contribute/review/reviewing-prs.md
@@ -10,9 +10,8 @@ weight: 10
 Anyone can review a documentation pull request. Visit the [pull requests](https://github.com/kubernetes/website/pulls)
 section in the Kubernetes website repository to see open pull requests.
 
-Reviewing documentation pull requests is a
-great way to introduce yourself to the Kubernetes community.
-It helps you learn the code base and build trust with other contributors.
+Reviewing documentation pull requests is a great way to introduce yourself to the Kubernetes
+community.  It helps you learn the code base and build trust with other contributors.
 
 Before reviewing, it's a good idea to:
 
@@ -28,7 +27,6 @@ Before reviewing, it's a good idea to:
 
 Before you start a review:
 
-
 - Read the [CNCF Code of Conduct](https://github.com/cncf/foundation/blob/main/code-of-conduct.md)
   and ensure that you abide by it at all times.
 - Be polite, considerate, and helpful.
@@ -73,6 +71,7 @@ class third,fourth white
 
 Figure 1. Review process steps.
 
+
 1. Go to [https://github.com/kubernetes/website/pulls](https://github.com/kubernetes/website/pulls).
    You see a list of every open pull request against the Kubernetes website and docs.
 
@@ -103,12 +102,20 @@ Figure 1. Review process steps.
 4. Go to the **Files changed** tab to start your review.
 
    1. Click on the `+` symbol  beside the line you want to comment on.
-   1. Fill in any comments you have about the line and click either **Add single comment** (if you
-      have only one comment to make) or  **Start a review** (if you have multiple comments to make).
+   1. Fill in any comments you have about the line and click either **Add single comment**
+      (if you have only one comment to make) or **Start a review** (if you have multiple comments to make).
    1. When finished, click **Review changes** at the top of the page. Here, you can add
-      a summary of your review (and leave some positive comments for the contributor!),
-      approve the PR, comment or request changes as needed. New contributors should always
-      choose **Comment**.
+      a summary of your review (and leave some positive comments for the contributor!).
+      Please always use the "Comment"
+
+     - Avoid clicking the "Request changes" button when finishing your review.
+       If you want to block a PR from being merged before some further changes are made,
+       you can leave a "/hold" comment.
+       Mention why you are setting a hold, and optionally specify the conditions under
+       which the hold can be removed by you or other reviewers.
+
+     - Avoid clicking the "Approve" button when finishing your review.
+       Leaving a "/approve" comment is recommended most of the time.
 
 ## Reviewing checklist
 
diff --git a/content/en/docs/contribute/style/diagram-guide.md b/content/en/docs/contribute/style/diagram-guide.md
index b31c2e190ea..ac3a4fd529b 100644
--- a/content/en/docs/contribute/style/diagram-guide.md
+++ b/content/en/docs/contribute/style/diagram-guide.md
@@ -438,7 +438,7 @@ Note that the live editor doesn't recognize Hugo shortcodes.
 ### Example 1 - Pod topology spread constraints
 
 Figure 6 shows the diagram appearing in the
-[Pod topology pread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/#node-labels)
+[Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/#node-labels)
 page.
 
 {{< mermaid >}}
diff --git a/content/en/docs/contribute/style/style-guide.md b/content/en/docs/contribute/style/style-guide.md
index 73119e0375e..960efc01a79 100644
--- a/content/en/docs/contribute/style/style-guide.md
+++ b/content/en/docs/contribute/style/style-guide.md
@@ -46,10 +46,6 @@ When you refer specifically to interacting with an API object, use [UpperCamelCa
 
 When you are generally discussing an API object, use [sentence-style capitalization](https://docs.microsoft.com/en-us/style-guide/text-formatting/using-type/use-sentence-style-capitalization).
 
-You may use the word "resource", "API", or "object" to clarify a Kubernetes resource type in a sentence.
-
-Don't split an API object name into separate words. For example, use PodTemplateList, not Pod Template List.
-
 The following examples focus on capitalization. For more information about formatting API object names, review the related guidance on [Code Style](#code-style-inline-code).
 
 {{< table caption = "Do and Don't - Use Pascal case for API objects" >}}
@@ -187,6 +183,36 @@ Set the value of `image` to nginx:1.16. | Set the value of `image` to `nginx:1.1
 Set the value of the `replicas` field to 2. | Set the value of the `replicas` field to `2`.
 {{< /table >}}
 
+## Referring to Kubernetes API resources
+
+This section talks about how we reference API resources in the documentation.
+
+### Clarification about "resource"
+
+Kubernetes uses the word "resource" to refer to API resources, such as `pod`, `deployment`, and so on. We also use "resource" to talk about CPU and memory requests and limits. Always refer to API resources as "API resources" to avoid confusion with CPU and memory resources.
+
+### When to use Kubernetes API terminologies
+
+The different Kubernetes API terminologies are:
+
+- Resource type: the name used in the API URL (such as `pods`, `namespaces`)
+- Resource: a single instance of a resource type (such as `pod`, `secret`)
+- Object: a resource that serves as a "record of intent". An object is a desired state for a specific part of your cluster, which the Kubernetes control plane tries to maintain.
+
+Always use "resource" or "object" when referring to an API resource in docs. For example, use "a `Secret` object" over just "a `Secret`".
+
+### API resource names
+
+Always format API resource names using [UpperCamelCase](https://en.wikipedia.org/wiki/Camel_case), also known as PascalCase, and code formatting.
+
+For inline code in an HTML document, use the `<code>` tag. In a Markdown document, use the backtick (`` ` ``).
+
+Don't split an API object name into separate words. For example, use `PodTemplateList`, not Pod Template List.
+
+For more information about PascalCase and code formatting, please review the related guidance on [Use upper camel case for API objects](/docs/contribute/style/style-guide/#use-upper-camel-case-for-api-objects) and [Use code style for inline code, commands, and API objects](/docs/contribute/style/style-guide/#code-style-inline-code).
+
+For more information about Kubernetes API terminologies, please review the related guidance on [Kubernetes API terminology](/docs/reference/using-api/api-concepts/#standard-api-terminology).
+
 ## Code snippet formatting
 
 ### Don't include the command prompt
@@ -361,7 +387,7 @@ Beware.
 
 ### Katacoda Embedded Live Environment
 
-This button lets users run Minikube in their browser using the [Katacoda Terminal](https://www.katacoda.com/embed/panel).
+This button lets users run Minikube in their browser using the Katacoda Terminal.
 It lowers the barrier of entry by allowing users to use Minikube with one click instead of going through the complete
 Minikube and Kubectl installation process locally.
 
diff --git a/content/en/docs/reference/_index.md b/content/en/docs/reference/_index.md
index 0ebd59c4068..2ed1396c8fa 100644
--- a/content/en/docs/reference/_index.md
+++ b/content/en/docs/reference/_index.md
@@ -77,7 +77,7 @@ operator to use or manage a cluster.
 * [kube-apiserver configuration (v1alpha1)](/docs/reference/config-api/apiserver-config.v1alpha1/)
 * [kube-apiserver configuration (v1)](/docs/reference/config-api/apiserver-config.v1/)
 * [kube-apiserver encryption (v1)](/docs/reference/config-api/apiserver-encryption.v1/)
-* [kube-apiserver event rate limit (v1alpha1)](/docs/reference/config-api/apiserver-eventratelimit.v1/)
+* [kube-apiserver event rate limit (v1alpha1)](/docs/reference/config-api/apiserver-eventratelimit.v1alpha1/)
 * [kubelet configuration (v1alpha1)](/docs/reference/config-api/kubelet-config.v1alpha1/) and
   [kubelet configuration (v1beta1)](/docs/reference/config-api/kubelet-config.v1beta1/)
 * [kubelet credential providers (v1alpha1)](/docs/reference/config-api/kubelet-credentialprovider.v1alpha1/)
diff --git a/content/en/docs/reference/access-authn-authz/authorization.md b/content/en/docs/reference/access-authn-authz/authorization.md
index 3e7d71977c3..ea6147fcbad 100644
--- a/content/en/docs/reference/access-authn-authz/authorization.md
+++ b/content/en/docs/reference/access-authn-authz/authorization.md
@@ -74,6 +74,10 @@ PUT       | update
 PATCH     | patch
 DELETE    | delete (for individual resources), deletecollection (for collections)
 
+{{< caution >}}
+The `get`, `list` and `watch` verbs can all return the full details of a resource. In terms of the returned data they are equivalent. For example, `list` on `secrets` will still reveal the `data` attributes of any returned resources.
+{{< /caution >}}
+
 Kubernetes sometimes checks authorization for additional permissions using specialized verbs. For example:
 
 * [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/)
diff --git a/content/en/docs/reference/access-authn-authz/extensible-admission-controllers.md b/content/en/docs/reference/access-authn-authz/extensible-admission-controllers.md
index 6f7154cc8a1..05f9b8369c0 100644
--- a/content/en/docs/reference/access-authn-authz/extensible-admission-controllers.md
+++ b/content/en/docs/reference/access-authn-authz/extensible-admission-controllers.md
@@ -16,8 +16,8 @@ In addition to [compiled-in admission plugins](/docs/reference/access-authn-auth
 admission plugins can be developed as extensions and run as webhooks configured at runtime.
 This page describes how to build, configure, use, and monitor admission webhooks.
 
-
 <!-- body -->
+
 ## What are admission webhooks?
 
 Admission webhooks are HTTP callbacks that receive admission requests and do
@@ -37,29 +37,25 @@ should use a validating admission webhook, since objects can be modified after b
 ## Experimenting with admission webhooks
 
 Admission webhooks are essentially part of the cluster control-plane. You should
-write and deploy them with great caution. Please read the [user
-guides](/docs/reference/access-authn-authz/extensible-admission-controllers/#write-an-admission-webhook-server) for
-instructions if you intend to write/deploy production-grade admission webhooks.
+write and deploy them with great caution. Please read the
+[user guides](/docs/reference/access-authn-authz/extensible-admission-controllers/#write-an-admission-webhook-server)
+for instructions if you intend to write/deploy production-grade admission webhooks.
 In the following, we describe how to quickly experiment with admission webhooks.
 
 ### Prerequisites
 
-* Ensure that the Kubernetes cluster is at least as new as v1.16 (to use `admissionregistration.k8s.io/v1`),
-  or v1.9 (to use `admissionregistration.k8s.io/v1beta1`).
-
 * Ensure that MutatingAdmissionWebhook and ValidatingAdmissionWebhook
   admission controllers are enabled.
   [Here](/docs/reference/access-authn-authz/admission-controllers/#is-there-a-recommended-set-of-admission-controllers-to-use)
   is a recommended set of admission controllers to enable in general.
 
-* Ensure that the `admissionregistration.k8s.io/v1` or `admissionregistration.k8s.io/v1beta1` API is enabled.
+* Ensure that the `admissionregistration.k8s.io/v1` API is enabled.
 
 ### Write an admission webhook server
 
-Please refer to the implementation of the [admission webhook
-server](https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)
+Please refer to the implementation of the [admission webhook server](https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)
 that is validated in a Kubernetes e2e test. The webhook handles the
-`AdmissionReview` request sent by the apiservers, and sends back its decision
+`AdmissionReview` request sent by the API servers, and sends back its decision
 as an `AdmissionReview` object in the same version it received.
 
 See the [webhook request](#request) section for details on the data sent to webhooks.
@@ -69,9 +65,9 @@ See the [webhook response](#response) section for the data expected from webhook
 The example admission webhook server leaves the `ClientAuth` field
 [empty](https://github.com/kubernetes/kubernetes/blob/v1.22.0/test/images/agnhost/webhook/config.go#L38-L39),
 which defaults to `NoClientCert`. This means that the webhook server does not
-authenticate the identity of the clients, supposedly apiservers. If you need
+authenticate the identity of the clients, supposedly API servers. If you need
 mutual TLS or other ways to authenticate the clients, see
-how to [authenticate apiservers](#authenticate-apiservers).
+how to [authenticate API servers](#authenticate-apiservers).
 
 ### Deploy the admission webhook service
 
@@ -95,8 +91,6 @@ or
 The following is an example `ValidatingWebhookConfiguration`, a mutating webhook configuration is similar.
 See the [webhook configuration](#webhook-configuration) section for details about each config field.
 
-{{< tabs name="ValidatingWebhookConfiguration_example_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
@@ -114,39 +108,18 @@ webhooks:
     service:
       namespace: "example-namespace"
       name: "example-service"
-    caBundle: "Ci0tLS0tQk...<`caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate.>...tLS0K"
-  admissionReviewVersions: ["v1", "v1beta1"]
+    caBundle: <CA_BUNDLE>
+  admissionReviewVersions: ["v1"]
   sideEffects: None
   timeoutSeconds: 5
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-metadata:
-  name: "pod-policy.example.com"
-webhooks:
-- name: "pod-policy.example.com"
-  rules:
-  - apiGroups:   [""]
-    apiVersions: ["v1"]
-    operations:  ["CREATE"]
-    resources:   ["pods"]
-    scope:       "Namespaced"
-  clientConfig:
-    service:
-      namespace: "example-namespace"
-      name: "example-service"
-    caBundle: "Ci0tLS0tQk...<`caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate>...tLS0K"
-  admissionReviewVersions: ["v1beta1"]
-  timeoutSeconds: 5
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-The scope field specifies if only cluster-scoped resources ("Cluster") or namespace-scoped
+{{< note >}}
+You must replace the `<CA_BUNDLE>` in the above example by a valid CA bundle
+which is a PEM-encoded CA bundle for validating the webhook's server certificate.
+{{< /note >}}
+
+The `scope` field specifies if only cluster-scoped resources ("Cluster") or namespace-scoped
 resources ("Namespaced") will match this rule. "&lowast;" means that there are no scope restrictions.
 
 {{< note >}}
@@ -155,27 +128,26 @@ When using `clientConfig.service`, the server cert must be valid for
 {{< /note >}}
 
 {{< note >}}
-Default timeout for a webhook call is 10 seconds for webhooks registered created using `admissionregistration.k8s.io/v1`,
-and 30 seconds for webhooks created using `admissionregistration.k8s.io/v1beta1`. Starting in kubernetes 1.14 you
-can set the timeout and it is encouraged to use a small timeout for webhooks.
+Default timeout for a webhook call is 10 seconds,
+You can set the `timeout` and it is encouraged to use a short timeout for webhooks.
 If the webhook call times out, the request is handled according to the webhook's
 failure policy.
 {{< /note >}}
 
-When an apiserver receives a request that matches one of the `rules`, the
-apiserver sends an `admissionReview` request to webhook as specified in the
+When an API server receives a request that matches one of the `rules`, the
+API server sends an `admissionReview` request to webhook as specified in the
 `clientConfig`.
 
 After you create the webhook configuration, the system will take a few seconds
 to honor the new configuration.
 
-### Authenticate apiservers
+### Authenticate API servers   {#authenticate-apiservers}
 
 If your admission webhooks require authentication, you can configure the
-apiservers to use basic auth, bearer token, or a cert to authenticate itself to
+API servers to use basic auth, bearer token, or a cert to authenticate itself to
 the webhooks. There are three steps to complete the configuration.
 
-* When starting the apiserver, specify the location of the admission control
+* When starting the API server, specify the location of the admission control
   configuration file via the `--admission-control-config-file` flag.
 
 * In the admission control configuration file, specify where the
@@ -228,55 +200,55 @@ For more information about `AdmissionConfiguration`, see the
 [AdmissionConfiguration (v1) reference](/docs/reference/config-api/apiserver-webhookadmission.v1/).
 See the [webhook configuration](#webhook-configuration) section for details about each config field.
 
-* In the kubeConfig file, provide the credentials:
+In the kubeConfig file, provide the credentials:
 
-    ```yaml
-    apiVersion: v1
-    kind: Config
-    users:
-    # name should be set to the DNS name of the service or the host (including port) of the URL the webhook is configured to speak to.
-    # If a non-443 port is used for services, it must be included in the name when configuring 1.16+ API servers.
-    #
-    # For a webhook configured to speak to a service on the default port (443), specify the DNS name of the service:
-    # - name: webhook1.ns1.svc
-    #   user: ...
-    #
-    # For a webhook configured to speak to a service on non-default port (e.g. 8443), specify the DNS name and port of the service in 1.16+:
-    # - name: webhook1.ns1.svc:8443
-    #   user: ...
-    # and optionally create a second stanza using only the DNS name of the service for compatibility with 1.15 API servers:
-    # - name: webhook1.ns1.svc
-    #   user: ...
-    #
-    # For webhooks configured to speak to a URL, match the host (and port) specified in the webhook's URL. Examples:
-    # A webhook with `url: https://www.example.com`:
-    # - name: www.example.com
-    #   user: ...
-    #
-    # A webhook with `url: https://www.example.com:443`:
-    # - name: www.example.com:443
-    #   user: ...
-    #
-    # A webhook with `url: https://www.example.com:8443`:
-    # - name: www.example.com:8443
-    #   user: ...
-    #
-    - name: 'webhook1.ns1.svc'
-      user:
-        client-certificate-data: "<pem encoded certificate>"
-        client-key-data: "<pem encoded key>"
-    # The `name` supports using * to wildcard-match prefixing segments.
-    - name: '*.webhook-company.org'
-      user:
-        password: "<password>"
-        username: "<name>"
-    # '*' is the default match.
-    - name: '*'
-      user:
-        token: "<token>"
-    ```
+```yaml
+apiVersion: v1
+kind: Config
+users:
+# name should be set to the DNS name of the service or the host (including port) of the URL the webhook is configured to speak to.
+# If a non-443 port is used for services, it must be included in the name when configuring 1.16+ API servers.
+#
+# For a webhook configured to speak to a service on the default port (443), specify the DNS name of the service:
+# - name: webhook1.ns1.svc
+#   user: ...
+#
+# For a webhook configured to speak to a service on non-default port (e.g. 8443), specify the DNS name and port of the service in 1.16+:
+# - name: webhook1.ns1.svc:8443
+#   user: ...
+# and optionally create a second stanza using only the DNS name of the service for compatibility with 1.15 API servers:
+# - name: webhook1.ns1.svc
+#   user: ...
+#
+# For webhooks configured to speak to a URL, match the host (and port) specified in the webhook's URL. Examples:
+# A webhook with `url: https://www.example.com`:
+# - name: www.example.com
+#   user: ...
+#
+# A webhook with `url: https://www.example.com:443`:
+# - name: www.example.com:443
+#   user: ...
+#
+# A webhook with `url: https://www.example.com:8443`:
+# - name: www.example.com:8443
+#   user: ...
+#
+- name: 'webhook1.ns1.svc'
+  user:
+    client-certificate-data: "<pem encoded certificate>"
+    client-key-data: "<pem encoded key>"
+# The `name` supports using * to wildcard-match prefixing segments.
+- name: '*.webhook-company.org'
+  user:
+    password: "<password>"
+    username: "<name>"
+# '*' is the default match.
+- name: '*'
+  user:
+    token: "<token>"
+```
 
-Of course you need to set up the webhook server to handle these authentications.
+Of course you need to set up the webhook server to handle these authentication requests.
 
 ## Webhook request and response
 
@@ -289,39 +261,17 @@ serialized to JSON as the body.
 Webhooks can specify what versions of `AdmissionReview` objects they accept
 with the `admissionReviewVersions` field in their configuration:
 
-{{< tabs name="ValidatingWebhookConfiguration_admissionReviewVersions" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   admissionReviewVersions: ["v1", "v1beta1"]
-  ...
 ```
 
-`admissionReviewVersions` is a required field when creating
-`admissionregistration.k8s.io/v1` webhook configurations.
+`admissionReviewVersions` is a required field when creating webhook configurations.
 Webhooks are required to support at least one `AdmissionReview`
 version understood by the current and previous API server.
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  admissionReviewVersions: ["v1beta1"]
-  ...
-```
-
-If no `admissionReviewVersions` are specified, the default when creating
-`admissionregistration.k8s.io/v1beta1` webhook configurations is `v1beta1`.
-{{% /tab %}}
-{{< /tabs >}}
 
 API servers send the first `AdmissionReview` version in the `admissionReviewVersions` list they support.
 If none of the versions in the list are supported by the API server, the configuration will not be allowed to be created.
@@ -331,154 +281,100 @@ versions the API server knows how to send, attempts to call to the webhook will
 This example shows the data contained in an `AdmissionReview` object
 for a request to update the `scale` subresource of an `apps/v1` `Deployment`:
 
-
-{{< tabs name="AdmissionReview_request" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```yaml
-{
-  "apiVersion": "admission.k8s.io/v1",
-  "kind": "AdmissionReview",
-  "request": {
-    # Random uid uniquely identifying this admission call
-    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
+apiVersion: admission.k8s.io/v1
+kind: AdmissionReview
+request:
+  # Random uid uniquely identifying this admission call
+  uid: 705ab4f5-6393-11e8-b7cc-42010a800002
 
-    # Fully-qualified group/version/kind of the incoming object
-    "kind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # Fully-qualified group/version/kind of the resource being modified
-    "resource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subresource, if the request is to a subresource
-    "subResource": "scale",
+  # Fully-qualified group/version/kind of the incoming object
+  kind:
+    group: autoscaling
+    version: v1
+    kind: Scale
 
-    # Fully-qualified group/version/kind of the incoming object in the original request to the API server.
-    # This only differs from `kind` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    "requestKind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # Fully-qualified group/version/kind of the resource being modified in the original request to the API server.
-    # This only differs from `resource` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    "requestResource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subresource, if the request is to a subresource
-    # This only differs from `subResource` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    "requestSubResource": "scale",
+  # Fully-qualified group/version/kind of the resource being modified
+  resource:
+    group: apps
+    version: v1
+    resource: deployments
 
-    # Name of the resource being modified
-    "name": "my-deployment",
-    # Namespace of the resource being modified, if the resource is namespaced (or is a Namespace object)
-    "namespace": "my-namespace",
+  # subresource, if the request is to a subresource
+  subResource: scale
 
-    # operation can be CREATE, UPDATE, DELETE, or CONNECT
-    "operation": "UPDATE",
+  # Fully-qualified group/version/kind of the incoming object in the original request to the API server.
+  # This only differs from `kind` if the webhook specified `matchPolicy: Equivalent` and the
+  # original request to the API server was converted to a version the webhook registered for.
+  requestKind:
+    group: autoscaling
+    version: v1
+    kind: Scale
 
-    "userInfo": {
-      # Username of the authenticated user making the request to the API server
-      "username": "admin",
-      # UID of the authenticated user making the request to the API server
-      "uid": "014fbff9a07c",
-      # Group memberships of the authenticated user making the request to the API server
-      "groups": ["system:authenticated","my-admin-group"],
-      # Arbitrary extra info associated with the user making the request to the API server.
-      # This is populated by the API server authentication layer and should be included
-      # if any SubjectAccessReview checks are performed by the webhook.
-      "extra": {
-        "some-key":["some-value1", "some-value2"]
-      }
-    },
+  # Fully-qualified group/version/kind of the resource being modified in the original request to the API server.
+  # This only differs from `resource` if the webhook specified `matchPolicy: Equivalent` and the
+  # original request to the API server was converted to a version the webhook registered for.
+  requestResource:
+    group: apps
+    version: v1
+    resource: deployments
 
-    # object is the new object being admitted.
-    # It is null for DELETE operations.
-    "object": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # oldObject is the existing object.
-    # It is null for CREATE and CONNECT operations.
-    "oldObject": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # options contains the options for the operation being admitted, like meta.k8s.io/v1 CreateOptions, UpdateOptions, or DeleteOptions.
-    # It is null for CONNECT operations.
-    "options": {"apiVersion":"meta.k8s.io/v1","kind":"UpdateOptions",...},
+  # subresource, if the request is to a subresource
+  # This only differs from `subResource` if the webhook specified `matchPolicy: Equivalent` and the
+  # original request to the API server was converted to a version the webhook registered for.
+  requestSubResource: scale
 
-    # dryRun indicates the API request is running in dry run mode and will not be persisted.
-    # Webhooks with side effects should avoid actuating those side effects when dryRun is true.
-    # See http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request for more details.
-    "dryRun": false
-  }
-}
+  # Name of the resource being modified
+  name: my-deployment
+
+  # Namespace of the resource being modified, if the resource is namespaced (or is a Namespace object)
+  namespace: my-namespace
+
+  # operation can be CREATE, UPDATE, DELETE, or CONNECT
+  operation: UPDATE
+
+  userInfo:
+    # Username of the authenticated user making the request to the API server
+    username: admin
+
+    # UID of the authenticated user making the request to the API server
+    uid: 014fbff9a07c
+
+    # Group memberships of the authenticated user making the request to the API server
+    groups:
+      - system:authenticated
+      - my-admin-group
+    # Arbitrary extra info associated with the user making the request to the API server.
+    # This is populated by the API server authentication layer and should be included
+    # if any SubjectAccessReview checks are performed by the webhook.
+    extra:
+      some-key:
+        - some-value1
+        - some-value2
+
+  # object is the new object being admitted.
+  # It is null for DELETE operations.
+  object:
+    apiVersion: autoscaling/v1
+    kind: Scale
+
+  # oldObject is the existing object.
+  # It is null for CREATE and CONNECT operations.
+  oldObject:
+    apiVersion: autoscaling/v1
+    kind: Scale
+
+  # options contains the options for the operation being admitted, like meta.k8s.io/v1 CreateOptions, UpdateOptions, or DeleteOptions.
+  # It is null for CONNECT operations.
+  options:
+    apiVersion: meta.k8s.io/v1
+    kind: UpdateOptions
+
+  # dryRun indicates the API request is running in dry run mode and will not be persisted.
+  # Webhooks with side effects should avoid actuating those side effects when dryRun is true.
+  # See http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request for more details.
+  dryRun: False
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```yaml
-{
-  # Deprecated in v1.16 in favor of admission.k8s.io/v1
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "request": {
-    # Random uid uniquely identifying this admission call
-    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
-
-    # Fully-qualified group/version/kind of the incoming object
-    "kind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # Fully-qualified group/version/kind of the resource being modified
-    "resource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subresource, if the request is to a subresource
-    "subResource": "scale",
-
-    # Fully-qualified group/version/kind of the incoming object in the original request to the API server.
-    # This only differs from `kind` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    # Only sent by v1.15+ API servers.
-    "requestKind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # Fully-qualified group/version/kind of the resource being modified in the original request to the API server.
-    # This only differs from `resource` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    # Only sent by v1.15+ API servers.
-    "requestResource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subresource, if the request is to a subresource
-    # This only differs from `subResource` if the webhook specified `matchPolicy: Equivalent` and the
-    # original request to the API server was converted to a version the webhook registered for.
-    # Only sent by v1.15+ API servers.
-    "requestSubResource": "scale",
-
-    # Name of the resource being modified
-    "name": "my-deployment",
-    # Namespace of the resource being modified, if the resource is namespaced (or is a Namespace object)
-    "namespace": "my-namespace",
-
-    # operation can be CREATE, UPDATE, DELETE, or CONNECT
-    "operation": "UPDATE",
-
-    "userInfo": {
-      # Username of the authenticated user making the request to the API server
-      "username": "admin",
-      # UID of the authenticated user making the request to the API server
-      "uid": "014fbff9a07c",
-      # Group memberships of the authenticated user making the request to the API server
-      "groups": ["system:authenticated","my-admin-group"],
-      # Arbitrary extra info associated with the user making the request to the API server.
-      # This is populated by the API server authentication layer and should be included
-      # if any SubjectAccessReview checks are performed by the webhook.
-      "extra": {
-        "some-key":["some-value1", "some-value2"]
-      }
-    },
-
-    # object is the new object being admitted.
-    # It is null for DELETE operations.
-    "object": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # oldObject is the existing object.
-    # It is null for CREATE and CONNECT operations (and for DELETE operations in API servers prior to v1.15.0)
-    "oldObject": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # options contains the options for the operation being admitted, like meta.k8s.io/v1 CreateOptions, UpdateOptions, or DeleteOptions.
-    # It is null for CONNECT operations.
-    # Only sent by v1.15+ API servers.
-    "options": {"apiVersion":"meta.k8s.io/v1","kind":"UpdateOptions",...},
-
-    # dryRun indicates the API request is running in dry run mode and will not be persisted.
-    # Webhooks with side effects should avoid actuating those side effects when dryRun is true.
-    # See http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request for more details.
-    "dryRun": false
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 ### Response
 
@@ -492,8 +388,7 @@ At a minimum, the `response` stanza must contain the following fields:
 * `allowed`, either set to `true` or `false`
 
 Example of a minimal response from a webhook to allow a request:
-{{< tabs name="AdmissionReview_response_allow" >}}
-{{% tab name="admission.k8s.io/v1" %}}
+
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -504,55 +399,26 @@ Example of a minimal response from a webhook to allow a request:
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": true
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 Example of a minimal response from a webhook to forbid a request:
-{{< tabs name="AdmissionReview_response_forbid_minimal" >}}
-{{% tab name="admission.k8s.io/v1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": false
-  }
-}
-```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": false
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-When rejecting a request, the webhook can customize the http code and message returned to the user using the `status` field.
-The specified status object is returned to the user.
-See the [API documentation](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#status-v1-meta) for details about the status type.
+```json
+{
+  "apiVersion": "admission.k8s.io/v1",
+  "kind": "AdmissionReview",
+  "response": {
+    "uid": "<value from request.uid>",
+    "allowed": false
+  }
+}
+```
+
+When rejecting a request, the webhook can customize the http code and message returned to the user
+using the `status` field. The specified status object is returned to the user.
+See the [API documentation](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#status-v1-meta)
+for details about the `status` type.
 Example of a response to forbid a request, customizing the HTTP status code and message presented to the user:
-{{< tabs name="AdmissionReview_response_forbid_details" >}}
-{{% tab name="admission.k8s.io/v1" %}}
+
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -567,24 +433,6 @@ Example of a response to forbid a request, customizing the HTTP status code and
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": false,
-    "status": {
-      "code": 403,
-      "message": "You cannot do this because it is Tuesday and your name starts with A"
-    }
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 When allowing a request, a mutating admission webhook may optionally modify the incoming object as well.
 This is done using the `patch` and `patchType` fields in the response.
@@ -592,13 +440,13 @@ The only currently supported `patchType` is `JSONPatch`.
 See [JSON patch](https://jsonpatch.com/) documentation for more details.
 For `patchType: JSONPatch`, the `patch` field contains a base64-encoded array of JSON patch operations.
 
-As an example, a single patch operation that would set `spec.replicas` would be `[{"op": "add", "path": "/spec/replicas", "value": 3}]`
+As an example, a single patch operation that would set `spec.replicas` would be
+`[{"op": "add", "path": "/spec/replicas", "value": 3}]`
 
 Base64-encoded, this would be `W3sib3AiOiAiYWRkIiwgInBhdGgiOiAiL3NwZWMvcmVwbGljYXMiLCAidmFsdWUiOiAzfV0=`
 
 So a webhook response to add that label would be:
-{{< tabs name="AdmissionReview_response_modify" >}}
-{{% tab name="admission.k8s.io/v1" %}}
+
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -611,27 +459,12 @@ So a webhook response to add that label would be:
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": true,
-    "patchType": "JSONPatch",
-    "patch": "W3sib3AiOiAiYWRkIiwgInBhdGgiOiAiL3NwZWMvcmVwbGljYXMiLCAidmFsdWUiOiAzfV0="
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-Starting in v1.19, admission webhooks can optionally return warning messages that are returned to the requesting client
+Admission webhooks can optionally return warning messages that are returned to the requesting client
 in HTTP `Warning` headers with a warning code of 299. Warnings can be sent with allowed or rejected admission responses.
 
 If you're implementing a webhook that returns a warning:
+
 * Don't include a "Warning:" prefix in the message
 * Use warning messages to describe problems the client making the API request should correct or be aware of
 * Limit warnings to 120 characters if possible
@@ -641,8 +474,6 @@ Individual warning messages over 256 characters may be truncated by the API serv
 If more than 4096 characters of warning messages are added (from all sources), additional warning messages are ignored.
 {{< /caution >}}
 
-{{< tabs name="AdmissionReview_response_warning" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -657,24 +488,6 @@ If more than 4096 characters of warning messages are added (from all sources), a
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": true,
-    "warnings": [
-      "duplicate envvar entries specified with name MY_ENV",
-      "memory request less than 4MB specified for container mycontainer, which will not start successfully"
-    ]
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 ## Webhook configuration
 
@@ -683,9 +496,9 @@ The name of a `MutatingWebhookConfiguration` or a `ValidatingWebhookConfiguratio
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
 Each configuration can contain one or more webhooks.
-If multiple webhooks are specified in a single configuration, each should be given a unique name.
-This is required in `admissionregistration.k8s.io/v1`, but strongly recommended when using `admissionregistration.k8s.io/v1beta1`,
-in order to make resulting audit logs and metrics easier to match up to active configurations.
+If multiple webhooks are specified in a single configuration, each must be given a unique name.
+This is required in order to make resulting audit logs and metrics easier to match up to active
+configurations.
 
 Each webhook defines the following things.
 
@@ -694,27 +507,31 @@ Each webhook defines the following things.
 Each webhook must specify a list of rules used to determine if a request to the API server should be sent to the webhook.
 Each rule specifies one or more operations, apiGroups, apiVersions, and resources, and a resource scope:
 
-* `operations` lists one or more operations to match. Can be `"CREATE"`, `"UPDATE"`, `"DELETE"`, `"CONNECT"`, or `"*"` to match all.
+* `operations` lists one or more operations to match. Can be `"CREATE"`, `"UPDATE"`, `"DELETE"`, `"CONNECT"`,
+  or `"*"` to match all.
 * `apiGroups` lists one or more API groups to match. `""` is the core API group. `"*"` matches all API groups.
 * `apiVersions` lists one or more API versions to match. `"*"` matches all API versions.
 * `resources` lists one or more resources to match.
-    * `"*"` matches all resources, but not subresources.
-    * `"*/*"` matches all resources and subresources.
-    * `"pods/*"` matches all subresources of pods.
-    * `"*/status"` matches all status subresources.
-* `scope` specifies a scope to match. Valid values are `"Cluster"`, `"Namespaced"`, and `"*"`. Subresources match the scope of their parent resource. Supported in v1.14+. Default is `"*"`, matching pre-1.14 behavior.
-    * `"Cluster"` means that only cluster-scoped resources will match this rule (Namespace API objects are cluster-scoped).
-    * `"Namespaced"` means that only namespaced resources will match this rule.
-    * `"*"` means that there are no scope restrictions.
 
-If an incoming request matches one of the specified operations, groups, versions, resources, and scope for any of a webhook's rules, the request is sent to the webhook.
+  * `"*"` matches all resources, but not subresources.
+  * `"*/*"` matches all resources and subresources.
+  * `"pods/*"` matches all subresources of pods.
+  * `"*/status"` matches all status subresources.
+
+* `scope` specifies a scope to match. Valid values are `"Cluster"`, `"Namespaced"`, and `"*"`.
+  Subresources match the scope of their parent resource. Default is `"*"`.
+
+  * `"Cluster"` means that only cluster-scoped resources will match this rule (Namespace API objects are cluster-scoped).
+  * `"Namespaced"` means that only namespaced resources will match this rule.
+  * `"*"` means that there are no scope restrictions.
+
+If an incoming request matches one of the specified `operations`, `groups`, `versions`,
+`resources`, and `scope` for any of a webhook's `rules`, the request is sent to the webhook.
 
 Here are other examples of rules that could be used to specify which resources should be intercepted.
 
 Match `CREATE` or `UPDATE` requests to `apps/v1` and `apps/v1beta1` `deployments` and `replicasets`:
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
@@ -729,123 +546,56 @@ webhooks:
     scope: "Namespaced"
   ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE", "UPDATE"]
-    apiGroups: ["apps"]
-    apiVersions: ["v1", "v1beta1"]
-    resources: ["deployments", "replicasets"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 Match create requests for all resources (but not subresources) in all API groups and versions:
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_2" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
+  - name: my-webhook.example.com
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "*"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 Match update requests for all `status` subresources in all API groups and versions:
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_3" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["UPDATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*/status"]
-    scope: "*"
-  ...
+  - name: my-webhook.example.com
+    rules:
+      - operations: ["UPDATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*/status"]
+        scope: "*"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["UPDATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*/status"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 ### Matching requests: objectSelector
 
-In v1.15+, webhooks may optionally limit which requests are intercepted based on the labels of the
+Webhooks may optionally limit which requests are intercepted based on the labels of the
 objects they would be sent, by specifying an `objectSelector`. If specified, the objectSelector
 is evaluated against both the object and oldObject that would be sent to the webhook,
 and is considered to match if either object matches the selector.
 
-A null object (oldObject in the case of create, or newObject in the case of delete),
+A null object (`oldObject` in the case of create, or `newObject` in the case of delete),
 or an object that cannot have labels (like a `DeploymentRollback` or a `PodProxyOptions` object)
 is not considered to match.
 
-Use the object selector only if the webhook is opt-in, because end users may skip the admission webhook by setting the labels.
+Use the object selector only if the webhook is opt-in, because end users may skip
+the admission webhook by setting the labels.
 
 This example shows a mutating webhook that would match a `CREATE` of any resource with the label `foo: bar`:
 
-{{< tabs name="objectSelector_example" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   objectSelector:
@@ -857,32 +607,10 @@ webhooks:
     apiVersions: ["*"]
     resources: ["*"]
     scope: "*"
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  objectSelector:
-    matchLabels:
-      foo: bar
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for more examples of label selectors.
+See [labels concept](/docs/concepts/overview/working-with-objects/labels)
+for more examples of label selectors.
 
 ### Matching requests: namespaceSelector
 
@@ -897,128 +625,75 @@ If the object is a cluster scoped resource other than a Namespace, `namespaceSel
 This example shows a mutating webhook that matches a `CREATE` of any namespaced resource inside a namespace
 that does not have a "runlevel" label of "0" or "1":
 
-{{< tabs name="MutatingWebhookConfiguration_namespaceSelector_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: runlevel
-      operator: NotIn
-      values: ["0","1"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
+  - name: my-webhook.example.com
+    namespaceSelector:
+      matchExpressions:
+        - key: runlevel
+          operator: NotIn
+          values: ["0","1"]
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "Namespaced"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: runlevel
-      operator: NotIn
-      values: ["0","1"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-This example shows a validating webhook that matches a `CREATE` of any namespaced resource inside a namespace
-that is associated with the "environment" of "prod" or "staging":
+This example shows a validating webhook that matches a `CREATE` of any namespaced resource inside
+a namespace that is associated with the "environment" of "prod" or "staging":
 
-{{< tabs name="ValidatingWebhookConfiguration_namespaceSelector_2" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: environment
-      operator: In
-      values: ["prod","staging"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
+  - name: my-webhook.example.com
+    namespaceSelector:
+      matchExpressions:
+        - key: environment
+          operator: In
+          values: ["prod","staging"]
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "Namespaced"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: environment
-      operator: In
-      values: ["prod","staging"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
-See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for more examples of label selectors.
+See [labels concept](/docs/concepts/overview/working-with-objects/labels)
+for more examples of label selectors.
 
 ### Matching requests: matchPolicy
 
 API servers can make objects available via multiple API groups or versions.
-For example, the Kubernetes API server may allow creating and modifying `Deployment` objects
-via `extensions/v1beta1`, `apps/v1beta1`, `apps/v1beta2`, and `apps/v1` APIs.
 
-For example, if a webhook only specified a rule for some API groups/versions (like `apiGroups:["apps"], apiVersions:["v1","v1beta1"]`),
+For example, if a webhook only specified a rule for some API groups/versions
+(like `apiGroups:["apps"], apiVersions:["v1","v1beta1"]`),
 and a request was made to modify the resource via another API group/version (like `extensions/v1beta1`),
 the request would not be sent to the webhook.
 
-In v1.15+, `matchPolicy` lets a webhook define how its `rules` are used to match incoming requests.
+The `matchPolicy` lets a webhook define how its `rules` are used to match incoming requests.
 Allowed values are `Exact` or `Equivalent`.
 
 * `Exact` means a request should be intercepted only if it exactly matches a specified rule.
-* `Equivalent` means a request should be intercepted if modifies a resource listed in `rules`, even via another API group or version.
+* `Equivalent` means a request should be intercepted if modifies a resource listed in `rules`,
+  even via another API group or version.
 
 In the example given above, the webhook that only registered for `apps/v1` could use `matchPolicy`:
 
 * `matchPolicy: Exact` would mean the `extensions/v1beta1` request would not be sent to the webhook
-* `matchPolicy: Equivalent` means the `extensions/v1beta1` request would be sent to the webhook (with the objects converted to a version the webhook had specified: `apps/v1`)
+* `matchPolicy: Equivalent` means the `extensions/v1beta1` request would be sent to the webhook
+  (with the objects converted to a version the webhook had specified: `apps/v1`)
 
 Specifying `Equivalent` is recommended, and ensures that webhooks continue to intercept the
 resources they expect when upgrades enable new versions of the resource in the API server.
 
-When a resource stops being served by the API server, it is no longer considered equivalent to other versions of that resource that are still served.
+When a resource stops being served by the API server, it is no longer considered equivalent to
+other versions of that resource that are still served.
 For example, `extensions/v1beta1` deployments were first deprecated and then removed (in Kubernetes v1.16).
 
 Since that removal, a webhook with a `apiGroups:["extensions"], apiVersions:["v1beta1"], resources:["deployments"]` rule
@@ -1028,12 +703,9 @@ for stable versions of resources.
 This example shows a validating webhook that intercepts modifications to deployments (no matter the API group or version),
 and is always sent an `apps/v1` `Deployment` object:
 
-{{< tabs name="ValidatingWebhookConfiguration_matchPolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   matchPolicy: Equivalent
@@ -1043,32 +715,9 @@ webhooks:
     apiVersions: ["v1"]
     resources: ["deployments"]
     scope: "Namespaced"
-  ...
 ```
 
-Admission webhooks created using `admissionregistration.k8s.io/v1` default to `Equivalent`.
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  matchPolicy: Equivalent
-  rules:
-  - operations: ["CREATE","UPDATE","DELETE"]
-    apiGroups: ["apps"]
-    apiVersions: ["v1"]
-    resources: ["deployments"]
-    scope: "Namespaced"
-  ...
-```
-
-Admission webhooks created using `admissionregistration.k8s.io/v1beta1` default to `Exact`.
-{{% /tab %}}
-{{< /tabs >}}
+The `matchPolicy` for an admission webhooks defaults to `Equivalent`.
 
 ### Contacting the webhook
 
@@ -1086,51 +735,32 @@ and can optionally include a custom CA bundle to use to verify the TLS connectio
 
 The `host` should not refer to a service running in the cluster; use
 a service reference by specifying the `service` field instead.
-The host might be resolved via external DNS in some apiservers
+The host might be resolved via external DNS in some API servers
 (e.g., `kube-apiserver` cannot resolve in-cluster DNS as that would
 be a layering violation). `host` may also be an IP address.
 
 Please note that using `localhost` or `127.0.0.1` as a `host` is
 risky unless you take great care to run this webhook on all hosts
-which run an apiserver which might need to make calls to this
+which run an API server which might need to make calls to this
 webhook. Such installations are likely to be non-portable or not readily
 run in a new cluster.
 
 The scheme must be "https"; the URL must begin with "https://".
 
-Attempting to use a user or basic auth (for example "user:password@") is not allowed.
-Fragments ("#...") and query parameters ("?...") are also not allowed.
+Attempting to use a user or basic auth (for example `user:password@`) is not allowed.
+Fragments (`#...`) and query parameters (`?...`) are also not allowed.
 
 Here is an example of a mutating webhook configured to call a URL
 (and expects the TLS certificate to be verified using system trust roots, so does not specify a caBundle):
 
-{{< tabs name="MutatingWebhookConfiguration_url" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   clientConfig:
     url: "https://my-webhook.example.com:9443/my-webhook-path"
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  clientConfig:
-    url: "https://my-webhook.example.com:9443/my-webhook-path"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 #### Service reference
 
@@ -1143,43 +773,24 @@ Here is an example of a mutating webhook configured to call a service on port "1
 at the subpath "/my-path", and to verify the TLS connection against the ServerName
 `my-service-name.my-service-namespace.svc` using a custom CA bundle:
 
-{{< tabs name="MutatingWebhookConfiguration_service" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   clientConfig:
-    caBundle: "Ci0tLS0tQk...<base64-encoded PEM bundle containing the CA that signed the webhook's serving certificate>...tLS0K"
+    caBundle: <CA_BUNDLE>
     service:
       namespace: my-service-namespace
       name: my-service-name
       path: /my-path
       port: 1234
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  clientConfig:
-    caBundle: "Ci0tLS0tQk...<`caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate>...tLS0K"
-    service:
-      namespace: my-service-namespace
-      name: my-service-name
-      path: /my-path
-      port: 1234
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
+
+{{< note >}}
+You must replace the `<CA_BUNDLE>` in the above example by a valid CA bundle
+which is a PEM-encoded CA bundle for validating the webhook's server certificate.
+{{< /note >}}
 
 ### Side effects
 
@@ -1199,46 +810,20 @@ or the dry-run request will not be sent to the webhook and the API request will
 
 Webhooks indicate whether they have side effects using the `sideEffects` field in the webhook configuration:
 
-* `Unknown`: no information is known about the side effects of calling the webhook.
-If a request with `dryRun: true` would trigger a call to this webhook, the request will instead fail, and the webhook will not be called.
 * `None`: calling the webhook will have no side effects.
-* `Some`: calling the webhook will possibly have side effects.
-If a request with the dry-run attribute would trigger a call to this webhook, the request will instead fail, and the webhook will not be called.
-* `NoneOnDryRun`: calling the webhook will possibly have side effects,
-but if a request with `dryRun: true` is sent to the webhook, the webhook will suppress the side effects (the webhook is `dryRun`-aware).
-
-Allowed values:
-
-* In `admissionregistration.k8s.io/v1beta1`, `sideEffects` may be set to `Unknown`, `None`, `Some`, or `NoneOnDryRun`, and defaults to `Unknown`.
-* In `admissionregistration.k8s.io/v1`, `sideEffects` must be set to `None` or `NoneOnDryRun`.
+* `NoneOnDryRun`: calling the webhook will possibly have side effects, but if a request with
+  `dryRun: true` is sent to the webhook, the webhook will suppress the side effects (the webhook
+  is `dryRun`-aware).
 
 Here is an example of a validating webhook indicating it has no side effects on `dryRun: true` requests:
 
-{{< tabs name="ValidatingWebhookConfiguration_sideEffects" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  sideEffects: NoneOnDryRun
-  ...
+  - name: my-webhook.example.com
+    sideEffects: NoneOnDryRun
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  sideEffects: NoneOnDryRun
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 ### Timeouts
 
@@ -1253,35 +838,15 @@ The timeout value must be between 1 and 30 seconds.
 
 Here is an example of a validating webhook with a custom timeout of 2 seconds:
 
-{{< tabs name="ValidatingWebhookConfiguration_timeoutSeconds" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  timeoutSeconds: 2
-  ...
+  - name: my-webhook.example.com
+    timeoutSeconds: 2
 ```
 
-Admission webhooks created using `admissionregistration.k8s.io/v1` default timeouts to 10 seconds.
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  timeoutSeconds: 2
-  ...
-```
-
-Admission webhooks created using `admissionregistration.k8s.io/v1` default timeouts to 30 seconds.
-{{% /tab %}}
-{{< /tabs >}}
+The timeout for an admission webhook defaults to 10 seconds.
 
 ### Reinvocation policy
 
@@ -1290,50 +855,35 @@ A single ordering of mutating admissions plugins (including webhooks) does not w
 to the object (like adding a `container` to a `pod`), and other mutating plugins which have already
 run may have opinions on those new structures (like setting an `imagePullPolicy` on all containers).
 
-In v1.15+, to allow mutating admission plugins to observe changes made by other plugins,
+To allow mutating admission plugins to observe changes made by other plugins,
 built-in mutating admission plugins are re-run if a mutating webhook modifies an object,
 and mutating webhooks can specify a `reinvocationPolicy` to control whether they are reinvoked as well.
 
 `reinvocationPolicy` may be set to `Never` or `IfNeeded`. It defaults to `Never`.
 
-* `Never`: the webhook must not be called more than once in a single admission evaluation
+* `Never`: the webhook must not be called more than once in a single admission evaluation.
 * `IfNeeded`: the webhook may be called again as part of the admission evaluation if the object
-being admitted is modified by other admission plugins after the initial webhook call.
+  being admitted is modified by other admission plugins after the initial webhook call.
 
 The important elements to note are:
 
 * The number of additional invocations is not guaranteed to be exactly one.
-* If additional invocations result in further modifications to the object, webhooks are not guaranteed to be invoked again.
+* If additional invocations result in further modifications to the object, webhooks are not
+  guaranteed to be invoked again.
 * Webhooks that use this option may be reordered to minimize the number of additional invocations.
-* To validate an object after all mutations are guaranteed complete, use a validating admission webhook instead (recommended for webhooks with side-effects).
+* To validate an object after all mutations are guaranteed complete, use a validating admission
+  webhook instead (recommended for webhooks with side-effects).
 
-Here is an example of a mutating webhook opting into being re-invoked if later admission plugins modify the object:
+Here is an example of a mutating webhook opting into being re-invoked if later admission plugins
+modify the object:
 
-{{< tabs name="MutatingWebhookConfiguration_reinvocationPolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   reinvocationPolicy: IfNeeded
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  reinvocationPolicy: IfNeeded
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 Mutating webhooks must be [idempotent](#idempotence), able to successfully process an object they have already admitted
 and potentially modified. This is true for all mutating admission webhooks, since any change they can make
@@ -1349,35 +899,15 @@ are handled. Allowed values are `Ignore` or `Fail`.
 
 Here is a mutating webhook configured to reject an API request if errors are encountered calling the admission webhook:
 
-{{< tabs name="MutatingWebhookConfiguration_failurePolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   failurePolicy: Fail
-  ...
 ```
 
-Admission webhooks created using `admissionregistration.k8s.io/v1` default `failurePolicy` to `Fail`.
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# Deprecated in v1.16 in favor of admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  failurePolicy: Fail
-  ...
-```
-
-Admission webhooks created using `admissionregistration.k8s.io/v1beta1` default `failurePolicy` to `Ignore`.
-{{% /tab %}}
-{{< /tabs >}}
+The default `failurePolicy` for an admission webhooks is `Fail`.
 
 ## Monitoring admission webhooks
 
@@ -1388,121 +918,123 @@ monitoring mechanisms help cluster admins to answer questions like:
 
 2. What change did the mutating webhook applied to the object?
 
-3. Which webhooks are frequently rejecting API requests? What's the reason for a
-   rejection?
+3. Which webhooks are frequently rejecting API requests? What's the reason for a rejection?
 
 ### Mutating webhook auditing annotations
 
 Sometimes it's useful to know which mutating webhook mutated the object in a API request, and what change did the
 webhook apply.
 
-In v1.16+, kube-apiserver performs [auditing](/docs/tasks/debug/debug-cluster/audit/) on each mutating webhook
-invocation. Each invocation generates an auditing annotation
-capturing if a request object is mutated by the invocation, and optionally generates an annotation capturing the applied
-patch from the webhook admission response. The annotations are set in the audit event for given request on given stage of
-its execution, which is then pre-processed according to a certain policy and written to a backend.
+The Kubernetes API server performs [auditing](/docs/tasks/debug/debug-cluster/audit/) on each
+mutating webhook invocation. Each invocation generates an auditing annotation
+capturing if a request object is mutated by the invocation, and optionally generates an annotation
+capturing the applied patch from the webhook admission response. The annotations are set in the
+audit event for given request on given stage of its execution, which is then pre-processed
+according to a certain policy and written to a backend.
 
 The audit level of a event determines which annotations get recorded:
 
 - At `Metadata` audit level or higher, an annotation with key
-`mutation.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
-a webhook gets invoked for given request and whether it mutated the object or not.
+  `mutation.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON
+  payload indicating a webhook gets invoked for given request and whether it mutated the object or not.
 
-For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the third in the
-mutating webhook chain, and didn't mutated the request object during the invocation.
+  For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is
+  ordered the third in the mutating webhook chain, and didn't mutated the request object during the
+  invocation.
 
-```yaml
-# the audit event recorded
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "mutation.webhook.admission.k8s.io/round_1_index_2": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook.example.com\",\"mutated\": false}"
-        # other annotations
-        ...
-    }
-    # other fields
-    ...
-}
-```
+  ```yaml
+  # the audit event recorded
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "mutation.webhook.admission.k8s.io/round_1_index_2": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook.example.com\",\"mutated\": false}"
+          # other annotations
+          ...
+      }
+      # other fields
+      ...
+  }
+  ```
+  
+  ```yaml
+  # the annotation value deserialized
+  {
+      "configuration": "my-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook.example.com",
+      "mutated": false
+  }
+  ```
+  
+  The following annotation gets recorded for a webhook being invoked in the first round. The webhook
+  is ordered the first in the mutating webhook chain, and mutated the request object during the
+  invocation.
 
-```yaml
-# the annotation value deserialized
-{
-    "configuration": "my-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook.example.com",
-    "mutated": false
-}
-```
-
-The following annotation gets recorded for a webhook being invoked in the first round. The webhook is ordered the first in\
-the mutating webhook chain, and mutated the request object during the invocation.
-
-```yaml
-# the audit event recorded
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "mutation.webhook.admission.k8s.io/round_0_index_0": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"mutated\": true}"
-        # other annotations
-        ...
-    }
-    # other fields
-    ...
-}
-```
-
-```yaml
-# the annotation value deserialized
-{
-    "configuration": "my-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook-always-mutate.example.com",
-    "mutated": true
-}
-```
+  ```yaml
+  # the audit event recorded
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "mutation.webhook.admission.k8s.io/round_0_index_0": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"mutated\": true}"
+          # other annotations
+          ...
+      }
+      # other fields
+      ...
+  }
+  ```
+  
+  ```yaml
+  # the annotation value deserialized
+  {
+      "configuration": "my-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook-always-mutate.example.com",
+      "mutated": true
+  }
+  ```
 
 - At `Request` audit level or higher, an annotation with key
-`patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
-a webhook gets invoked for given request and what patch gets applied to the request object.
+  `patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
+  a webhook gets invoked for given request and what patch gets applied to the request object.
 
-For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the fourth in the
-mutating webhook chain, and responded with a JSON patch which got applied to the request object.
-
-```yaml
-# the audit event recorded
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "patch.webhook.admission.k8s.io/round_1_index_3": "{\"configuration\":\"my-other-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"patch\":[{\"op\":\"add\",\"path\":\"/data/mutation-stage\",\"value\":\"yes\"}],\"patchType\":\"JSONPatch\"}"
-        # other annotations
-        ...
-    }
-    # other fields
-    ...
-}
-```
-
-```yaml
-# the annotation value deserialized
-{
-    "configuration": "my-other-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook-always-mutate.example.com",
-    "patchType": "JSONPatch",
-    "patch": [
-        {
-            "op": "add",
-            "path": "/data/mutation-stage",
-            "value": "yes"
-        }
-    ]
-}
-```
+  For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the fourth in the
+  mutating webhook chain, and responded with a JSON patch which got applied to the request object.
+  
+  ```yaml
+  # the audit event recorded
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "patch.webhook.admission.k8s.io/round_1_index_3": "{\"configuration\":\"my-other-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"patch\":[{\"op\":\"add\",\"path\":\"/data/mutation-stage\",\"value\":\"yes\"}],\"patchType\":\"JSONPatch\"}"
+          # other annotations
+          ...
+      }
+      # other fields
+      ...
+  }
+  ```
+  
+  ```yaml
+  # the annotation value deserialized
+  {
+      "configuration": "my-other-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook-always-mutate.example.com",
+      "patchType": "JSONPatch",
+      "patch": [
+          {
+              "op": "add",
+              "path": "/data/mutation-stage",
+              "value": "yes"
+          }
+      ]
+  }
+  ```
 
 ### Admission webhook metrics
 
-Kube-apiserver exposes Prometheus metrics from the `/metrics` endpoint, which can be used for monitoring and
+The API server  exposes Prometheus metrics from the `/metrics` endpoint, which can be used for monitoring and
 diagnosing API server status. The following metrics record status related to admission webhooks.
 
 #### API server admission webhook rejection count
@@ -1510,7 +1042,7 @@ diagnosing API server status. The following metrics record status related to adm
 Sometimes it's useful to know which admission webhooks are frequently rejecting API requests, and the
 reason for a rejection.
 
-In v1.16+, kube-apiserver exposes a Prometheus counter metric recording admission webhook rejections. The
+The API server exposes a Prometheus counter metric recording admission webhook rejections. The
 metrics are labelled to identify the causes of webhook rejection(s):
 
 - `name`: the name of the webhook that rejected a request.
@@ -1519,11 +1051,13 @@ metrics are labelled to identify the causes of webhook rejection(s):
 - `type`: the admission webhook type, can be one of `admit` and `validating`.
 - `error_type`: identifies if an error occurred during the webhook invocation
   that caused the rejection. Its value can be one of:
-   - `calling_webhook_error`: unrecognized errors or timeout errors from the admission webhook happened and the
-   webhook's [Failure policy](#failure-policy) is set to `Fail`.
-   - `no_error`: no error occurred. The webhook rejected the request with `allowed: false` in the admission
-   response. The metrics label `rejection_code` records the `.status.code` set in the admission response.
-   - `apiserver_internal_error`: an API server internal error happened.
+
+  - `calling_webhook_error`: unrecognized errors or timeout errors from the admission webhook happened and the
+    webhook's [Failure policy](#failure-policy) is set to `Fail`.
+  - `no_error`: no error occurred. The webhook rejected the request with `allowed: false` in the admission
+    response. The metrics label `rejection_code` records the `.status.code` set in the admission response.
+  - `apiserver_internal_error`: an API server internal error happened.
+
 - `rejection_code`: the HTTP status code set in the admission response when a
   webhook rejected a request.
 
@@ -1553,7 +1087,8 @@ the initial application.
 2. For a `CREATE` pod request, if the field `.spec.containers[].resources.limits`
    of a container is not set, set default resource limits.
 
-3. For a `CREATE` pod request, inject a sidecar container with name `foo-sidecar` if no container with the name `foo-sidecar` already exists.
+3. For a `CREATE` pod request, inject a sidecar container with name `foo-sidecar` if no container
+   with the name `foo-sidecar` already exists.
 
 In the cases above, the webhook can be safely reinvoked, or admit an object that already has the fields set.
 
@@ -1587,21 +1122,25 @@ versions. See [Matching requests: matchPolicy](#matching-requests-matchpolicy) f
 
 ### Availability
 
-It is recommended that admission webhooks should evaluate as quickly as possible (typically in milliseconds), since they add to API request latency.
+It is recommended that admission webhooks should evaluate as quickly as possible (typically in
+milliseconds), since they add to API request latency.
 It is encouraged to use a small timeout for webhooks. See [Timeouts](#timeouts) for more detail.
 
-It is recommended that admission webhooks should leverage some format of load-balancing, to provide high availability and
-performance benefits. If a webhook is running within the cluster, you can run multiple webhook backends behind a service
-to leverage the load-balancing that service supports.
+It is recommended that admission webhooks should leverage some format of load-balancing, to
+provide high availability and performance benefits. If a webhook is running within the cluster,
+you can run multiple webhook backends behind a service to leverage the load-balancing that service
+supports.
 
 ### Guaranteeing the final state of the object is seen
 
 Admission webhooks that need to guarantee they see the final state of the object in order to enforce policy
 should use a validating admission webhook, since objects can be modified after being seen by mutating webhooks.
 
-For example, a mutating admission webhook is configured to inject a sidecar container with name "foo-sidecar" on every
-`CREATE` pod request. If the sidecar *must* be present, a validating admisson webhook should also be configured to intercept `CREATE` pod requests, and validate
-that a container with name "foo-sidecar" with the expected configuration exists in the to-be-created object.
+For example, a mutating admission webhook is configured to inject a sidecar container with name
+"foo-sidecar" on every `CREATE` pod request. If the sidecar *must* be present, a validating
+admisson webhook should also be configured to intercept `CREATE` pod requests, and validate that a
+container with name "foo-sidecar" with the expected configuration exists in the to-be-created
+object.
 
 ### Avoiding deadlocks in self-hosted webhooks
 
@@ -1614,7 +1153,8 @@ When a node that runs the webhook server pods
 becomes unhealthy, the webhook deployment will try to reschedule the pods to another node. However the requests will
 get rejected by the existing webhook server since the `"env"` label is unset, and the migration cannot happen.
 
-It is recommended to exclude the namespace where your webhook is running with a [namespaceSelector](#matching-requests-namespaceselector).
+It is recommended to exclude the namespace where your webhook is running with a
+[namespaceSelector](#matching-requests-namespaceselector).
 
 ### Side effects
 
@@ -1636,4 +1176,3 @@ If your admission webhooks don't intend to modify the behavior of the Kubernetes
 plane, exclude the `kube-system` namespace from being intercepted using a
 [`namespaceSelector`](#matching-requests-namespaceselector).
 
-
diff --git a/content/en/docs/reference/access-authn-authz/psp-to-pod-security-standards.md b/content/en/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
index 6c820a6e99c..82394b363af 100644
--- a/content/en/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
+++ b/content/en/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
@@ -9,7 +9,7 @@ weight: 95
 
 <!-- overview -->
 The tables below enumerate the configuration parameters on
-[PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/) objects, whether the field mutates
+[PodSecurityPolicy](/docs/concepts/security/pod-security-policy/) objects, whether the field mutates
 and/or validates pods, and how the configuration values map to the
 [Pod Security Standards](/docs/concepts/security/pod-security-standards/).
 
@@ -31,9 +31,9 @@ The fields enumerated in this table are part of the `PodSecurityPolicySpec`, whi
 under the `.spec` field path.
 
 <table class="no-word-break">
-	<caption style="display:none">Mapping PodSecurityPolicySpec fields to Pod Security Standards</caption>
-	<tbody>
-		<tr>
+  <caption style="display:none">Mapping PodSecurityPolicySpec fields to Pod Security Standards</caption>
+  <tbody>
+    <tr>
       <th><code>PodSecurityPolicySpec</code></th>
       <th>Type</th>
       <th>Pod Security Standards Equivalent</th>
@@ -54,19 +54,19 @@ under the `.spec` field path.
       <td>
         <p><b>Baseline</b>: subset of</p>
         <ul>
-					<li><code>AUDIT_WRITE</code></li>
-					<li><code>CHOWN</code></li>
-					<li><code>DAC_OVERRIDE</code></li>
-					<li><code>FOWNER</code></li>
-					<li><code>FSETID</code></li>
-					<li><code>KILL</code></li>
-					<li><code>MKNOD</code></li>
-					<li><code>NET_BIND_SERVICE</code></li>
-					<li><code>SETFCAP</code></li>
-					<li><code>SETGID</code></li>
-					<li><code>SETPCAP</code></li>
-					<li><code>SETUID</code></li>
-					<li><code>SYS_CHROOT</code></li>
+          <li><code>AUDIT_WRITE</code></li>
+          <li><code>CHOWN</code></li>
+          <li><code>DAC_OVERRIDE</code></li>
+          <li><code>FOWNER</code></li>
+          <li><code>FSETID</code></li>
+          <li><code>KILL</code></li>
+          <li><code>MKNOD</code></li>
+          <li><code>NET_BIND_SERVICE</code></li>
+          <li><code>SETFCAP</code></li>
+          <li><code>SETGID</code></li>
+          <li><code>SETPCAP</code></li>
+          <li><code>SETUID</code></li>
+          <li><code>SYS_CHROOT</code></li>
         </ul>
         <p><b>Restricted</b>: empty / undefined / nil OR a list containing <i>only</i> <code>NET_BIND_SERVICE</code>
       </td>
@@ -236,9 +236,9 @@ The [annotations](/docs/concepts/overview/working-with-objects/annotations/) enu
 table can be specified under `.metadata.annotations` on the PodSecurityPolicy object.
 
 <table class="no-word-break">
-	<caption style="display:none">Mapping PodSecurityPolicy annotations to Pod Security Standards</caption>
-	<tbody>
-		<tr>
+  <caption style="display:none">Mapping PodSecurityPolicy annotations to Pod Security Standards</caption>
+  <tbody>
+    <tr>
       <th><code>PSP Annotation</code></th>
       <th>Type</th>
       <th>Pod Security Standards Equivalent</th>
diff --git a/content/en/docs/reference/access-authn-authz/rbac.md b/content/en/docs/reference/access-authn-authz/rbac.md
index d085251e433..a681164fe9d 100644
--- a/content/en/docs/reference/access-authn-authz/rbac.md
+++ b/content/en/docs/reference/access-authn-authz/rbac.md
@@ -54,8 +54,8 @@ it can't be both.
 
 ClusterRoles have several uses. You can use a ClusterRole to:
 
-1. define permissions on namespaced resources and be granted within individual namespace(s)
-1. define permissions on namespaced resources and be granted across all namespaces
+1. define permissions on namespaced resources and be granted access within individual namespace(s)
+1. define permissions on namespaced resources and be granted access across all namespaces
 1. define permissions on cluster-scoped resources
 
 If you want to define a role within a namespace, use a Role; if you want to define
diff --git a/content/en/docs/reference/command-line-tools-reference/feature-gates.md b/content/en/docs/reference/command-line-tools-reference/feature-gates.md
index 9d1e67b3c05..d2d740c1930 100644
--- a/content/en/docs/reference/command-line-tools-reference/feature-gates.md
+++ b/content/en/docs/reference/command-line-tools-reference/feature-gates.md
@@ -808,7 +808,7 @@ Each feature gate is designed for enabling/disabling a specific feature:
   availability during update per node.
   See [Perform a Rolling Update on a DaemonSet](/docs/tasks/manage-daemon/update-daemon-set/).
 - `DefaultPodTopologySpread`: Enables the use of `PodTopologySpread` scheduling plugin to do
-  [default spreading](/docs/concepts/workloads/pods/pod-topology-spread-constraints/#internal-default-constraints).
+  [default spreading](/docs/concepts/scheduling-eviction/topology-spread-constraints/#internal-default-constraints).
 - `DelegateFSGroupToCSIDriver`: If supported by the CSI driver, delegates the
   role of applying `fsGroup` from a Pod's `securityContext` to the driver by
   passing `fsGroup` through the NodeStageVolume and NodePublishVolume CSI calls.
@@ -854,7 +854,7 @@ Each feature gate is designed for enabling/disabling a specific feature:
   {{< glossary_tooltip text="ephemeral containers" term_id="ephemeral-container" >}}
   to running pods.
 - `EvenPodsSpread`: Enable pods to be scheduled evenly across topology domains. See
-  [Pod Topology Spread Constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [Pod Topology Spread Constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
 - `ExecProbeTimeout`: Ensure kubelet respects exec probe timeouts.
   This feature gate exists in case any of your existing workloads depend on a
   now-corrected fault where Kubernetes ignored exec probe timeouts. See
@@ -995,7 +995,7 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `MemoryQoS`: Enable memory protection and usage throttle on pod / container using
   cgroup v2 memory controller.
 - `MinDomainsInPodTopologySpread`: Enable `minDomains` in Pod
-  [topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
 - `MixedProtocolLBService`: Enable using different protocols in the same `LoadBalancer` type
   Service instance.
 - `MountContainers`: Enable using utility containers on host as the volume mounter.
diff --git a/content/en/docs/reference/command-line-tools-reference/kube-scheduler.md b/content/en/docs/reference/command-line-tools-reference/kube-scheduler.md
index ed0980e2994..84d1d84b153 100644
--- a/content/en/docs/reference/command-line-tools-reference/kube-scheduler.md
+++ b/content/en/docs/reference/command-line-tools-reference/kube-scheduler.md
@@ -27,7 +27,7 @@ each Pod in the scheduling queue according to constraints and available
 resources. The scheduler then ranks each valid Node and binds the Pod to a
 suitable Node. Multiple different schedulers may be used within a cluster;
 kube-scheduler is the reference implementation.
-See [scheduling](https://kubernetes.io/docs/concepts/scheduling-eviction/)
+See [scheduling](/docs/concepts/scheduling-eviction/)
 for more information about scheduling and the kube-scheduler component.
 
 ```
diff --git a/content/en/docs/reference/command-line-tools-reference/kubelet.md b/content/en/docs/reference/command-line-tools-reference/kubelet.md
index b10e1b70574..f2a80315021 100644
--- a/content/en/docs/reference/command-line-tools-reference/kubelet.md
+++ b/content/en/docs/reference/command-line-tools-reference/kubelet.md
@@ -90,7 +90,7 @@ kubelet [flags]
 </tr>
 
 <tr>
-<td colspan="2">--authorization-mode string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>AlwaysAllow</code></td></td>
+<td colspan="2">--authorization-mode string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>AlwaysAllow</code></td>
 </tr>
 <tr>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Authorization mode for Kubelet server. Valid options are AlwaysAllow or Webhook. Webhook mode uses the SubjectAccessReview API to determine authorization. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's --config flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
@@ -187,27 +187,6 @@ kubelet [flags]
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Domain for this cluster. If set, kubelet will configure all containers to search this domain in addition to the host's search domains (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--cni-bin-dir string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>/opt/cni/bin</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">A comma-separated list of full paths of directories in which to search for CNI plugin binaries. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
-<tr>
-<td colspan="2">--cni-cache-dir string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>/var/lib/cni/cache</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">The full path of the directory in which CNI should store cache files. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
-<tr>
-<td colspan="2">--cni-conf-dir string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>/etc/cni/net.d</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">&lt;Warning: Alpha feature&gt; The full path of the directory in which to search for CNI config files. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--config string</td>
 </tr>
@@ -230,20 +209,19 @@ kubelet [flags]
 </tr>
 
 <tr>
-<td colspan="2">--container-runtime string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>docker</code></td>
+<td colspan="2">--container-runtime string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>remote</code></td>
 </tr>
 <tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">The container runtime to use. Possible values: <code>docker</code>, <code>remote</code>.</td>
+<td></td><td style="line-height: 130%; word-wrap: break-word;">The container runtime to use. Possible values: <code>docker</code>, <code>remote</code>. (DEPRECATED: will be removed in 1.27 as the only valid value is 'remote')</td>
 </tr>
 
 <tr>
-<td colspan="2">--container-runtime-endpoint string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>unix:///var/run/dockershim.sock</code></td>
+<td colspan="2">--container-runtime-endpoint string</td>
 </tr>
 <tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">[Experimental] The endpoint of remote runtime service. Currently unix socket endpoint is supported on Linux, while npipe and tcp endpoints are supported on windows. Examples: <code>unix:///var/run/dockershim.sock</code>, <code>npipe:////./pipe/dockershim</code>.</td>
+<td></td><td style="line-height: 130%; word-wrap: break-word;">The endpoint of remote runtime service. Unix Domain SOckets are supported on Linux, while npipe and tcp endpoints are supported on windows. Examples: <code>unix:///var/run/dockershim.sock</code>, <code>npipe:////./pipe/dockershim</code>.</td>
 </tr>
 
-
 <tr>
 <td colspan="2">--contention-profiling</td>
 </tr>
@@ -276,7 +254,7 @@ kubelet [flags]
 <td colspan="2">--cpu-manager-policy-options mapStringString</td>
 </tr>
 <tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">Comma-separated list of options to fine-tune the behavior of the selected CPU Manager policy. If not supplied, keep the default behaviour. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
+<td></td><td style="line-height: 130%; word-wrap: break-word;">A set of key=value CPU Manager policy options to use, to fine tune their behaviour. If not supplied, keep the default behaviour. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
 <tr>
@@ -286,20 +264,6 @@ kubelet [flags]
 <td></td><td style="line-height: 130%; word-wrap: break-word;">&lt;Warning: Alpha feature&gt; CPU Manager reconciliation period. Examples: <code>10s</code>, or <code>1m</code>. If not supplied, defaults to node status update frequency. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--docker-endpoint string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>unix:///var/run/docker.sock</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">Use this for the <code>docker</code> endpoint to communicate with. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
-<tr>
-<td colspan="2">--dynamic-config-dir string</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">The Kubelet will use this directory for checkpointing downloaded configurations and tracking configuration health. The Kubelet will create this directory if it does not already exist. The path may be absolute or relative; relative paths start at the Kubelet's current working directory. Providing this flag enables dynamic Kubelet configuration. The <code>DynamicKubeletConfig</code> feature gate must be enabled to pass this flag. (DEPRECATED: Feature DynamicKubeletConfig is deprecated in 1.22 and will not move to GA. It is planned to be removed from Kubernetes in the version 1.24 or later. Please use alternative ways to update kubelet configuration.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--enable-controller-attach-detach&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>true</code></td>
 </tr>
@@ -398,13 +362,6 @@ kubelet [flags]
 <td></td><td style="line-height: 130%; word-wrap: break-word;">When set to <code>true</code>, hard eviction thresholds will be ignored while calculating node allocatable. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/reserve-compute-resources/">here</a> for more details. (DEPRECATED: will be removed in 1.24 or later)</td>
 </tr>
 
-<tr>
-<td colspan="2">--experimental-check-node-capabilities-before-mount</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">[Experimental] if set to <code>true</code>, the kubelet will check the underlying node for required components (binaries, etc.) before performing the mount (DEPRECATED: will be removed in 1.24 or later, in favor of using CSI.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--experimental-kernel-memcg-notification</td>
 </tr>
@@ -412,13 +369,6 @@ kubelet [flags]
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Use kernelMemcgNotification configuration, this flag will be removed in 1.24 or later. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--experimental-log-sanitization bool</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">[Experimental] When enabled, prevents logging of fields tagged as sensitive (passwords, keys, tokens). Runtime log sanitization may introduce significant computation overhead and therefore should not be enabled in production. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)
-</tr>
-
 <tr>
 <td colspan="2">--experimental-mounter-path string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>mount</code></td>
 </tr>
@@ -445,83 +395,76 @@ APIServerIdentity=true|false (ALPHA - default=false)<br/>
 APIServerTracing=true|false (ALPHA - default=false)<br/>
 AllAlpha=true|false (ALPHA - default=false)<br/>
 AllBeta=true|false (BETA - default=false)<br/>
-AnyVolumeDataSource=true|false (ALPHA - default=false)<br/>
+AnyVolumeDataSource=true|false (BETA - default=true)<br/>
 AppArmor=true|false (BETA - default=true)<br/>
 CPUManager=true|false (BETA - default=true)<br/>
 CPUManagerPolicyAlphaOptions=true|false (ALPHA - default=false)<br/>
 CPUManagerPolicyBetaOptions=true|false (BETA - default=true)<br/>
-CPUManagerPolicyOptions=true|false (ALPHA - default=false)<br/>
+CPUManagerPolicyOptions=true|false (BETA - default=true)<br/>
 CSIInlineVolume=true|false (BETA - default=true)<br/>
 CSIMigration=true|false (BETA - default=true)<br/>
-CSIMigrationAWS=true|false (BETA - default=false)<br/>
-CSIMigrationAzureDisk=true|false (BETA - default=true)<br/>
-CSIMigrationAzureFile=true|false (BETA - default=false)<br/>
+CSIMigrationAWS=true|false (BETA - default=true)<br/>
+CSIMigrationAzureFile=true|false (BETA - default=true)<br/>
 CSIMigrationGCE=true|false (BETA - default=true)<br/>
-CSIMigrationOpenStack=true|false (BETA - default=true)<br/>
 CSIMigrationPortworx=true|false (ALPHA - default=false)<br/>
+CSIMigrationRBD=true|false (ALPHA - default=false)<br/>
 CSIMigrationvSphere=true|false (BETA - default=false)<br/>
-CSIStorageCapacity=true|false (BETA - default=true)<br/>
 CSIVolumeHealth=true|false (ALPHA - default=false)<br/>
-CSRDuration=true|false (BETA - default=true)<br/>
-ControllerManagerLeaderMigration=true|false (BETA - default=true)<br/>
+ContextualLogging=true|false (ALPHA - default=false)<br/>
+CronJobTimeZone=true|false (ALPHA - default=false)<br/>
 CustomCPUCFSQuotaPeriod=true|false (ALPHA - default=false)<br/>
 CustomResourceValidationExpressions=true|false (ALPHA - default=false)<br/>
 DaemonSetUpdateSurge=true|false (BETA - default=true)<br/>
-DefaultPodTopologySpread=true|false (BETA - default=true)<br/>
 DelegateFSGroupToCSIDriver=true|false (BETA - default=true)<br/>
 DevicePlugins=true|false (BETA - default=true)<br/>
 DisableAcceleratorUsageMetrics=true|false (BETA - default=true)<br/>
 DisableCloudProviders=true|false (ALPHA - default=false)<br/>
 DisableKubeletCloudCredentialProviders=true|false (ALPHA - default=false)<br/>
 DownwardAPIHugePages=true|false (BETA - default=true)<br/>
-EfficientWatchResumption=true|false (BETA - default=true)<br/>
 EndpointSliceTerminatingCondition=true|false (BETA - default=true)<br/>
 EphemeralContainers=true|false (BETA - default=true)<br/>
-ExpandCSIVolumes=true|false (BETA - default=true)<br/>
-ExpandInUsePersistentVolumes=true|false (BETA - default=true)<br/>
-ExpandPersistentVolumes=true|false (BETA - default=true)<br/>
 ExpandedDNSConfig=true|false (ALPHA - default=false)<br/>
 ExperimentalHostUserNamespaceDefaulting=true|false (BETA - default=false)<br/>
-GRPCContainerProbe=true|false (ALPHA - default=false)<br/>
+GRPCContainerProbe=true|false (BETA - default=true)<br/>
 GracefulNodeShutdown=true|false (BETA - default=true)<br/>
-GracefulNodeShutdownBasedOnPodPriority=true|false (ALPHA - default=false)<br/>
+GracefulNodeShutdownBasedOnPodPriority=true|false (BETA - default=true)<br/>
 HPAContainerMetrics=true|false (ALPHA - default=false)<br/>
 HPAScaleToZero=true|false (ALPHA - default=false)<br/>
 HonorPVReclaimPolicy=true|false (ALPHA - default=false)<br/>
-IdentifyPodOS=true|false (ALPHA - default=false)<br/>
+IdentifyPodOS=true|false (BETA - default=true)<br/>
 InTreePluginAWSUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginAzureDiskUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginAzureFileUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginGCEUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginOpenStackUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginPortworxUnregister=true|false (ALPHA - default=false)<br/>
-InTreePluginRBDUnregister=true|false (ALPHA - default=false)<br>
+InTreePluginRBDUnregister=true|false (ALPHA - default=false)<br/>
 InTreePluginvSphereUnregister=true|false (ALPHA - default=false)<br/>
-IndexedJob=true|false (BETA - default=true)<br/>
 JobMutableNodeSchedulingDirectives=true|false (BETA - default=true)<br/>
-JobReadyPods=true|false (ALPHA - default=false)<br/>
-JobTrackingWithFinalizers=true|false (BETA - default=true)<br/>
-KubeletCredentialProviders=true|false (ALPHA - default=false)<br/>
+JobReadyPods=true|false (BETA - default=true)<br/>
+JobTrackingWithFinalizers=true|false (BETA - default=false)<br/>
+KubeletCredentialProviders=true|false (BETA - default=true)<br/>
 KubeletInUserNamespace=true|false (ALPHA - default=false)<br/>
 KubeletPodResources=true|false (BETA - default=true)<br/>
 KubeletPodResourcesGetAllocatable=true|false (BETA - default=true)<br/>
+LegacyServiceAccountTokenNoAutoGeneration=true|false (BETA - default=true)<br/>
 LocalStorageCapacityIsolation=true|false (BETA - default=true)<br/>
 LocalStorageCapacityIsolationFSQuotaMonitoring=true|false (ALPHA - default=false)<br/>
 LogarithmicScaleDown=true|false (BETA - default=true)<br/>
+MaxUnavailableStatefulSet=true|false (ALPHA - default=false)<br/>
 MemoryManager=true|false (BETA - default=true)<br/>
 MemoryQoS=true|false (ALPHA - default=false)<br/>
-MixedProtocolLBService=true|false (ALPHA - default=false)<br/>
+MinDomainsInPodTopologySpread=true|false (ALPHA - default=false)<br/>
+MixedProtocolLBService=true|false (BETA - default=true)<br/>
 NetworkPolicyEndPort=true|false (BETA - default=true)<br/>
+NetworkPolicyStatus=true|false (ALPHA - default=false)<br/>
+NodeOutOfServiceVolumeDetach=true|false (ALPHA - default=false)<br/>
 NodeSwap=true|false (ALPHA - default=false)<br/>
-NonPreemptingPriority=true|false (BETA - default=true)<br/>
-OpenAPIEnums=true|false (ALPHA - default=false)<br/>
-OpenAPIV3=true|false (ALPHA - default=false)<br/>
-PodAffinityNamespaceSelector=true|false (BETA - default=true)<br/>
+OpenAPIEnums=true|false (BETA - default=true)<br/>
+OpenAPIV3=true|false (BETA - default=true)<br/>
 PodAndContainerStatsFromCRI=true|false (ALPHA - default=false)<br/>
 PodDeletionCost=true|false (BETA - default=true)<br/>
-PodOverhead=true|false (BETA - default=true)<br/>
 PodSecurity=true|false (BETA - default=true)<br/>
-PreferNominatedNode=true|false (BETA - default=true)<br/>
 ProbeTerminationGracePeriod=true|false (BETA - default=false)<br/>
 ProcMountType=true|false (ALPHA - default=false)<br/>
 ProxyTerminatingEndpoints=true|false (ALPHA - default=false)<br/>
@@ -529,25 +472,22 @@ QOSReserved=true|false (ALPHA - default=false)<br/>
 ReadWriteOncePod=true|false (ALPHA - default=false)<br/>
 RecoverVolumeExpansionFailure=true|false (ALPHA - default=false)<br/>
 RemainingItemCount=true|false (BETA - default=true)<br/>
-RemoveSelfLink=true|false (BETA - default=true)<br/>
 RotateKubeletServerCertificate=true|false (BETA - default=true)<br/>
 SeccompDefault=true|false (ALPHA - default=false)<br/>
+ServerSideFieldValidation=true|false (ALPHA - default=false)<br/>
+ServiceIPStaticSubrange=true|false (ALPHA - default=false)<br/>
 ServiceInternalTrafficPolicy=true|false (BETA - default=true)<br/>
-ServiceLBNodePortControl=true|false (BETA - default=true)<br/>
-ServiceLoadBalancerClass=true|false (BETA - default=true)<br/>
 SizeMemoryBackedVolumes=true|false (BETA - default=true)<br/>
 StatefulSetAutoDeletePVC=true|false (ALPHA - default=false)<br/>
 StatefulSetMinReadySeconds=true|false (BETA - default=true)<br/>
 StorageVersionAPI=true|false (ALPHA - default=false)<br/>
 StorageVersionHash=true|false (BETA - default=true)<br/>
-SuspendJob=true|false (BETA - default=true)<br/>
 TopologyAwareHints=true|false (BETA - default=true)<br/>
 TopologyManager=true|false (BETA - default=true)<br/>
 VolumeCapacityPriority=true|false (ALPHA - default=false)<br/>
 WinDSR=true|false (ALPHA - default=false)<br/>
 WinOverlay=true|false (BETA - default=true)<br/>
 WindowsHostProcessContainers=true|false (BETA - default=true)<br/>
-csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
@@ -628,18 +568,11 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">The percent of disk usage before which image garbage collection is never run. Lowest disk usage to garbage collect to. Values must be within the range [0, 100] and should not be larger than that of <code>--image-gc-high-threshold</code>. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--image-pull-progress-deadline duration&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>1m0s</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">If no pulling progress is made before this deadline, the image pulling will be cancelled. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--image-service-endpoint string</td>
 </tr>
 <tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">[Experimental] The endpoint of remote image service. If not specified, it will be the same with <code>--container-runtime-endpoint</code> by default. Currently UNIX socket endpoint is supported on Linux, while npipe and TCP endpoints are supported on Windows.  Examples: <code>unix:///var/run/dockershim.sock</code>, <code>npipe:////./pipe/dockershim</code></td>
+<td></td><td style="line-height: 130%; word-wrap: break-word;">[Experimental] The endpoint of remote image service. If not specified, it will be the same with <code>--container-runtime-endpoint</code> by default. Unix Domain Socket are supported on Linux, while npipe and TCP endpoints are supported on Windows.  Examples: <code>unix:///var/run/dockershim.sock</code>, <code>npipe:////./pipe/dockershim</code></td>
 </tr>
 
 <tr>
@@ -866,20 +799,6 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Minimum age for an unused image before it is garbage collected. Examples: <code>'300ms'</code>, <code>'10s'</code> or <code>'2h45m'</code>. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--network-plugin string</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">The name of the network plugin to be invoked for various events in kubelet/pod lifecycle. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
-<tr>
-<td colspan="2">--network-plugin-mtu int32</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">The MTU to be passed to the network plugin, to override the default. Set to <code>0</code> to use the default 1460 MTU. This docker-specific flag only works when container-runtime is set to <code>docker</code>. (DEPRECATED: will be removed along with dockershim.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--node-ip string</td>
 </tr>
@@ -908,13 +827,6 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Specifies how often kubelet posts node status to master. Note: be cautious when changing the constant, it must work with <code>nodeMonitorGracePeriod</code> in Node controller. (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--non-masquerade-cidr string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>10.0.0.0/8</code></td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">Traffic to IPs outside this range will use IP masquerade. Set to <code>'0.0.0.0/0'</code> to never masquerade. (DEPRECATED: will be removed in a future version)</td>
-</tr>
-
 <tr>
 <td colspan="2">--one-output</td>
 </tr>
@@ -999,13 +911,6 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">The read-only port for the kubelet to serve on with no authentication/authorization (set to <code>0</code> to disable). (DEPRECATED: This parameter should be set via the config file specified by the Kubelet's <code>--config</code> flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)</td>
 </tr>
 
-<tr>
-<td colspan="2">--really-crash-for-testing</td>
-</tr>
-<tr>
-<td></td><td style="line-height: 130%; word-wrap: break-word;">If true, when panics occur crash. Intended for testing. (DEPRECATED: will be removed in a future version.)</td>
-</tr>
-
 <tr>
 <td colspan="2">--register-node&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Default: <code>true</code></td>
 </tr>
@@ -1105,7 +1010,7 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 </tr>
 
 <tr>
-<td colspan="2">--seccomp-default RuntimeDefault</td>
+<td colspan="2">--seccomp-default string</td>
 </tr>
 <tr>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">&lt;Warning: Alpha feature&gt; Enable the use of <code>RuntimeDefault</code> as the default seccomp profile for all workloads. The <code>SeccompDefault</code> feature gate must be enabled to allow this flag, which is disabled by default.</td>
@@ -1187,10 +1092,10 @@ csiMigrationRBD=true|false (ALPHA - default=false)<br/>
 <tr>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Comma-separated list of cipher suites for the server. If omitted, the default Go cipher suites will be used.<br/>
 Preferred values:
-TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384<br/>
-Insecure values:
-TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_RC4_128_SHA.
-(DEPRECATED: This parameter should be set via the config file specified by the Kubelet's --config flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)
+`TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`, `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`, `TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256`, `TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA`, `TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384`, `TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305`, `TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256`, `TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA`, `TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256`, `TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA`, `TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384`, `TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305`, `TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256`, `TLS_RSA_WITH_AES_128_CBC_SHA`, `TLS_RSA_WITH_AES_128_GCM_SHA256`, `TLS_RSA_WITH_AES_256_CBC_SHA`, `TLS_RSA_WITH_AES_256_GCM_SHA384`<br/>
+Insecure values:<br/>
+`TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256`, `TLS_ECDHE_ECDSA_WITH_RC4_128_SHA`, `TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA`, `TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256`, `TLS_ECDHE_RSA_WITH_RC4_128_SHA`, `TLS_RSA_WITH_3DES_EDE_CBC_SHA`, `TLS_RSA_WITH_AES_128_CBC_SHA256`, `TLS_RSA_WITH_RC4_128_SHA`.<br/>
+(DEPRECATED: This parameter should be set via the config file specified by the Kubelet's `--config` flag. See <a href="https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/">kubelet-config-file</a> for more information.)
 </tr>
 
 <tr>
@@ -1237,7 +1142,7 @@ TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_E
 </tr>
 
 <tr>
-<td colspan="2">--vmodule &lt;A list of 'pattern=N' string&gt;</td>
+<td colspan="2">--vmodule &lt;A list of 'pattern=N' strings&gt;</td>
 </tr>
 <tr>
 <td></td><td style="line-height: 130%; word-wrap: break-word;">Comma-separated list of <code>pattern=N</code> settings for file-filtered logging</td>
diff --git a/content/en/docs/reference/config-api/kubeadm-config.v1beta2.md b/content/en/docs/reference/config-api/kubeadm-config.v1beta2.md
index 377ac021b67..a6e2bd98cd3 100644
--- a/content/en/docs/reference/config-api/kubeadm-config.v1beta2.md
+++ b/content/en/docs/reference/config-api/kubeadm-config.v1beta2.md
@@ -113,7 +113,7 @@ components by adding customized setting or overriding kubeadm default settings.<
 </span></pre><p>The KubeProxyConfiguration type should be used to change the configuration passed to kube-proxy instances deployed
 in the cluster. If this object is not provided or provided only partially, kubeadm applies defaults.</p>
 <p>See https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/ or
-https://godoc.org/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration
+https://pkg.go.dev/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration
 for kube proxy official documentation.</p>
 <pre style="background-color:#fff"><span style="color:#000;font-weight:bold">apiVersion</span>:<span style="color:#bbb"> </span>kubelet.config.k8s.io/v1beta1<span style="color:#bbb">
 </span><span style="color:#bbb"></span><span style="color:#000;font-weight:bold">kind</span>:<span style="color:#bbb"> </span>KubeletConfiguration<span style="color:#bbb">
@@ -121,7 +121,7 @@ for kube proxy official documentation.</p>
 </span></pre><p>The KubeletConfiguration type should be used to change the configurations that will be passed to all kubelet instances
 deployed in the cluster. If this object is not provided or provided only partially, kubeadm applies defaults.</p>
 <p>See https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/ or
-https://godoc.org/k8s.io/kubelet/config/v1beta1#KubeletConfiguration
+https://pkg.go.dev/k8s.io/kubelet/config/v1beta1#KubeletConfiguration
 for kubelet official documentation.</p>
 <p>Here is a fully populated example of a single YAML file containing multiple
 configuration types to be used during a <code>kubeadm init</code> run.</p>
@@ -1307,4 +1307,4 @@ current node is registered.</p>
 </tr>
 </tbody>
 </table>
-  
+  
\ No newline at end of file
diff --git a/content/en/docs/reference/config-api/kubeadm-config.v1beta3.md b/content/en/docs/reference/config-api/kubeadm-config.v1beta3.md
index 75fc7c1ecfd..20f5e44d93a 100644
--- a/content/en/docs/reference/config-api/kubeadm-config.v1beta3.md
+++ b/content/en/docs/reference/config-api/kubeadm-config.v1beta3.md
@@ -122,7 +122,7 @@ components by adding customized setting or overriding kubeadm default settings.<
 </span></pre><p>The KubeProxyConfiguration type should be used to change the configuration passed to kube-proxy instances
 deployed in the cluster. If this object is not provided or provided only partially, kubeadm applies defaults.</p>
 <p>See https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/ or
-https://godoc.org/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration
+https://pkg.go.dev/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration
 for kube-proxy official documentation.</p>
 <pre style="background-color:#fff"><span style="color:#000;font-weight:bold">apiVersion</span>:<span style="color:#bbb"> </span>kubelet.config.k8s.io/v1beta1<span style="color:#bbb">
 </span><span style="color:#bbb"></span><span style="color:#000;font-weight:bold">kind</span>:<span style="color:#bbb"> </span>KubeletConfiguration<span style="color:#bbb">
@@ -130,7 +130,7 @@ for kube-proxy official documentation.</p>
 </span></pre><p>The KubeletConfiguration type should be used to change the configurations that will be passed to all kubelet instances
 deployed in the cluster. If this object is not provided or provided only partially, kubeadm applies defaults.</p>
 <p>See https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/ or
-https://godoc.org/k8s.io/kubelet/config/v1beta1#KubeletConfiguration
+https://pkg.go.dev/k8s.io/kubelet/config/v1beta1#KubeletConfiguration
 for kubelet official documentation.</p>
 <p>Here is a fully populated example of a single YAML file containing multiple
 configuration types to be used during a <code>kubeadm init</code> run.</p>
@@ -555,7 +555,7 @@ by kubeadm during <code>kubeadm join</code>.</p>
 <code>int32</code>
 </td>
 <td>
-   <p><code>bindPorti</code> sets the secure port for the API Server to bind to.
+   <p><code>bindPort</code> sets the secure port for the API Server to bind to.
 Defaults to 6443.</p>
 </td>
 </tr>
@@ -1159,7 +1159,7 @@ This information will be annotated to the Node API object, for later re-use</p>
 <a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#taint-v1-core"><code>[]core/v1.Taint</code></a>
 </td>
 <td>
-   <p><code>tains</code> specifies the taints the Node API object should be registered with.
+   <p><code>taints</code> specifies the taints the Node API object should be registered with.
 If this field is unset, i.e. nil, in the <code>kubeadm init</code> process it will be defaulted
 with a control-plane taint for control-plane nodes.
 If you don't want to taint your control-plane node, set this field to an empty list,
diff --git a/content/en/docs/reference/glossary/api-eviction.md b/content/en/docs/reference/glossary/api-eviction.md
index d450f907439..e6db5624614 100644
--- a/content/en/docs/reference/glossary/api-eviction.md
+++ b/content/en/docs/reference/glossary/api-eviction.md
@@ -22,6 +22,6 @@ When an `Eviction` object is created, the API server terminates the Pod.
 API-initiated evictions respect your configured [`PodDisruptionBudgets`](/docs/tasks/run-application/configure-pdb/)
 and [`terminationGracePeriodSeconds`](/docs/concepts/workloads/pods/pod-lifecycle#pod-termination).
 
-API-initiated eviction is not the same as [node-pressure eviction](/docs/concepts/scheduling-eviction/eviction/#kubelet-eviction).
+API-initiated eviction is not the same as [node-pressure eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/).
 
 * See [API-initiated eviction](/docs/concepts/scheduling-eviction/api-eviction/) for more information.
diff --git a/content/en/docs/reference/glossary/extensions.md b/content/en/docs/reference/glossary/extensions.md
index 4f5c5ebd787..c994b601a1a 100644
--- a/content/en/docs/reference/glossary/extensions.md
+++ b/content/en/docs/reference/glossary/extensions.md
@@ -2,9 +2,10 @@
 title: Extensions
 id: Extensions
 date: 2019-02-01
-full_link: /docs/concepts/extend-kubernetes/extend-cluster/#extensions
+full_link: /docs/concepts/extend-kubernetes/#extensions
 short_description: >
-  Extensions are software components that extend and deeply integrate with Kubernetes to support new types of hardware.
+  Extensions are software components that extend and deeply integrate with Kubernetes to support
+  new types of hardware.
 
 aka:
 tags:
@@ -15,4 +16,6 @@ tags:
 
 <!--more-->
 
-Many cluster administrators use a hosted or distribution instance of Kubernetes. These clusters come with extensions pre-installed. As a result, most Kubernetes users will not need to install [extensions](/docs/concepts/extend-kubernetes/extend-cluster/#extensions) and even fewer users will need to author new ones. 
+Many cluster administrators use a hosted or distribution instance of Kubernetes. These clusters
+come with extensions pre-installed. As a result, most Kubernetes users will not need to install
+[extensions](/docs/concepts/extend-kubernetes/) and even fewer users will need to author new ones. 
diff --git a/content/en/docs/reference/glossary/garbage-collection.md b/content/en/docs/reference/glossary/garbage-collection.md
index ec2fe19af7c..1d4b9b57852 100644
--- a/content/en/docs/reference/glossary/garbage-collection.md
+++ b/content/en/docs/reference/glossary/garbage-collection.md
@@ -2,7 +2,7 @@
 title: Garbage Collection
 id: garbage-collection
 date: 2021-07-07
-full_link: /docs/concepts/workloads/controllers/garbage-collection/
+full_link: /docs/concepts/architecture/garbage-collection/
 short_description: >
   A collective term for the various mechanisms Kubernetes uses to clean up cluster
   resources.
@@ -12,13 +12,16 @@ tags:
 - fundamental
 - operation
 ---
- Garbage collection is a collective term for the various mechanisms Kubernetes uses to clean up
- cluster resources. 
+
+Garbage collection is a collective term for the various mechanisms Kubernetes uses to clean up
+cluster resources. 
 
 <!--more-->
 
-Kubernetes uses garbage collection to clean up resources like [unused containers and images](/docs/concepts/workloads/controllers/garbage-collection/#containers-images),
+Kubernetes uses garbage collection to clean up resources like
+[unused containers and images](/docs/concepts/architecture/garbage-collection/#containers-images),
 [failed Pods](/docs/concepts/workloads/pods/pod-lifecycle/#pod-garbage-collection),
 [objects owned by the targeted resource](/docs/concepts/overview/working-with-objects/owners-dependents/),
 [completed Jobs](/docs/concepts/workloads/controllers/ttlafterfinished/), and resources
-that have expired or failed.
\ No newline at end of file
+that have expired or failed.
+
diff --git a/content/en/docs/reference/kubectl/cheatsheet.md b/content/en/docs/reference/kubectl/cheatsheet.md
index 693c66d1fbe..fa7e9bffe0b 100644
--- a/content/en/docs/reference/kubectl/cheatsheet.md
+++ b/content/en/docs/reference/kubectl/cheatsheet.md
@@ -68,6 +68,11 @@ kubectl config get-contexts                          # display list of contexts
 kubectl config current-context                       # display the current-context
 kubectl config use-context my-cluster-name           # set the default context to my-cluster-name
 
+kubectl config set-cluster my-cluster-name           # set a cluster entry in the kubeconfig
+
+# configure the URL to a proxy server to use for requests made by this client in the kubeconfig
+kubectl config set-cluster my-cluster-name --proxy-url=my-proxy-url
+
 # add a new user to your kubeconf that supports basic auth
 kubectl config set-credentials kubeuser/foo.kubernetes.com --username=kubeuser --password=kubepassword
 
@@ -182,6 +187,9 @@ kubectl get pods --selector=app=cassandra -o \
 kubectl get configmap myconfig \
   -o jsonpath='{.data.ca\.crt}'
 
+# Retrieve a base64 encoded value with dashes instead of underscores.
+kubectl get secret my-secret --template='{{index .data "key-name-with-dashes"}}'
+
 # Get all worker nodes (use a selector to exclude results that have a label
 # named 'node-role.kubernetes.io/control-plane')
 kubectl get node --selector='!node-role.kubernetes.io/control-plane'
@@ -381,6 +389,9 @@ kubectl cluster-info                                                  # Display
 kubectl cluster-info dump                                             # Dump current cluster state to stdout
 kubectl cluster-info dump --output-directory=/path/to/cluster-state   # Dump current cluster state to /path/to/cluster-state
 
+# View existing taints on which exist on current nodes.
+kubectl get nodes -o=custom-columns=NodeName:.metadata.name,TaintKey:.spec.taints[*].key,TaintValue:.spec.taints[*].value,TaintEffect:.spec.taints[*].effect
+
 # If a taint with that key and effect already exists, its value is replaced as specified.
 kubectl taint nodes foo dedicated=special-user:NoSchedule
 ```
diff --git a/content/en/docs/reference/labels-annotations-taints/_index.md b/content/en/docs/reference/labels-annotations-taints/_index.md
index 4b74774ea78..d132642e2c5 100644
--- a/content/en/docs/reference/labels-annotations-taints/_index.md
+++ b/content/en/docs/reference/labels-annotations-taints/_index.md
@@ -618,6 +618,16 @@ or updating objects that contain Pod templates, such as Deployments, Jobs, State
 See [Enforcing Pod Security at the Namespace Level](/docs/concepts/security/pod-security-admission)
 for more information.
 
+### kubernetes.io/psp (deprecated) {#kubernetes-io-psp}
+
+Example: `kubernetes.io/psp: restricted`
+
+This annotation is only relevant if you are using [PodSecurityPolicies](/docs/concepts/security/pod-security-policy/).
+
+When the PodSecurityPolicy admission controller admits a Pod, the admission controller
+modifies the Pod to have this annotation.
+The value of the annotation is the name of the PodSecurityPolicy that was used for validation.
+
 ### seccomp.security.alpha.kubernetes.io/pod (deprecated) {#seccomp-security-alpha-kubernetes-io-pod}
 
 This annotation has been deprecated since Kubernetes v1.19 and will become non-functional in v1.25.
diff --git a/content/en/docs/reference/scheduling/config.md b/content/en/docs/reference/scheduling/config.md
index 502ffcb61e4..0911058ad46 100644
--- a/content/en/docs/reference/scheduling/config.md
+++ b/content/en/docs/reference/scheduling/config.md
@@ -123,7 +123,7 @@ extension points:
   and [node affinity](/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity).
   Extension points: `filter`, `score`.
 - `PodTopologySpread`: Implements
-  [Pod topology spread](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [Pod topology spread](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
   Extension points: `preFilter`, `filter`, `preScore`, `score`.
 - `NodeUnschedulable`: Filters out nodes that have `.spec.unschedulable` set to
   true.
diff --git a/content/en/docs/reference/setup-tools/kubeadm/generated/kubeadm_certs_generate-csr.md b/content/en/docs/reference/setup-tools/kubeadm/generated/kubeadm_certs_generate-csr.md
index 9cd82c43167..4bb4c30f76d 100644
--- a/content/en/docs/reference/setup-tools/kubeadm/generated/kubeadm_certs_generate-csr.md
+++ b/content/en/docs/reference/setup-tools/kubeadm/generated/kubeadm_certs_generate-csr.md
@@ -17,7 +17,7 @@ Generate keys and certificate signing requests
 
 Generates keys and certificate signing requests (CSRs) for all the certificates required to run the control plane. This command also generates partial kubeconfig files with private key data in the  "users &gt; user &gt; client-key-data" field, and for each kubeconfig file an accompanying ".csr" file is created.
 
-This command is designed for use in [Kubeadm External CA Mode](https://kubernetes.io/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#external-ca-mode). It generates CSRs which you can then submit to your external certificate authority for signing.
+This command is designed for use in [Kubeadm External CA Mode](/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/#external-ca-mode). It generates CSRs which you can then submit to your external certificate authority for signing.
 
 The PEM encoded signed certificates should then be saved alongside the key files, using ".crt" as the file extension, or in the case of kubeconfig files, the PEM encoded signed certificate should be base64 encoded and added to the kubeconfig file in the "users &gt; user &gt; client-certificate-data" field.
 
diff --git a/content/en/docs/reference/setup-tools/kubeadm/kubeadm-init.md b/content/en/docs/reference/setup-tools/kubeadm/kubeadm-init.md
index fdb117c5d54..124d1ddfd22 100644
--- a/content/en/docs/reference/setup-tools/kubeadm/kubeadm-init.md
+++ b/content/en/docs/reference/setup-tools/kubeadm/kubeadm-init.md
@@ -6,7 +6,9 @@ title: kubeadm init
 content_type: concept
 weight: 20
 ---
+
 <!-- overview -->
+
 This command initializes a Kubernetes control-plane node.
 
 <!-- body -->
@@ -26,12 +28,12 @@ following steps:
 1. Generates a self-signed CA to set up identities for each component in the cluster. The user can provide their
    own CA cert and/or key by dropping it in the cert directory configured via `--cert-dir`
    (`/etc/kubernetes/pki` by default).
-   The APIServer certs will have additional SAN entries for any `--apiserver-cert-extra-sans` arguments, lowercased if necessary.
+   The APIServer certs will have additional SAN entries for any `--apiserver-cert-extra-sans`
+   arguments, lowercased if necessary.
 
-1. Writes kubeconfig files in `/etc/kubernetes/`  for
-   the kubelet, the controller-manager and the scheduler to use to connect to the
-   API server, each with its own identity, as well as an additional
-   kubeconfig file for administration named `admin.conf`.
+1. Writes kubeconfig files in `/etc/kubernetes/` for the kubelet, the controller-manager and the
+   scheduler to use to connect to the API server, each with its own identity, as well as an
+   additional kubeconfig file for administration named `admin.conf`.
 
 1. Generates static Pod manifests for the API server,
    controller-manager and scheduler. In case an external etcd is not provided,
@@ -76,10 +78,12 @@ following steps:
 
 Kubeadm allows you to create a control-plane node in phases using the `kubeadm init phase` command.
 
-To view the ordered list of phases and sub-phases you can call `kubeadm init --help`. The list will be located at the top of the help screen and each phase will have a description next to it.
+To view the ordered list of phases and sub-phases you can call `kubeadm init --help`. The list
+will be located at the top of the help screen and each phase will have a description next to it.
 Note that by calling `kubeadm init` all of the phases and sub-phases will be executed in this exact order.
 
-Some phases have unique flags, so if you want to have a look at the list of available options add `--help`, for example:
+Some phases have unique flags, so if you want to have a look at the list of available options add
+`--help`, for example:
 
 ```shell
 sudo kubeadm init phase control-plane controller-manager --help
@@ -91,7 +95,8 @@ You can also use `--help` to see the list of sub-phases for a certain parent pha
 sudo kubeadm init phase control-plane --help
 ```
 
-`kubeadm init` also exposes a flag called `--skip-phases` that can be used to skip certain phases. The flag accepts a list of phase names and the names can be taken from the above ordered list.
+`kubeadm init` also exposes a flag called `--skip-phases` that can be used to skip certain phases.
+The flag accepts a list of phase names and the names can be taken from the above ordered list.
 
 An example:
 
@@ -102,7 +107,10 @@ sudo kubeadm init phase etcd local --config=configfile.yaml
 sudo kubeadm init --skip-phases=control-plane,etcd --config=configfile.yaml
 ```
 
-What this example would do is write the manifest files for the control plane and etcd in `/etc/kubernetes/manifests` based on the configuration in `configfile.yaml`. This allows you to modify the files and then skip these phases using `--skip-phases`. By calling the last command you will create a control plane node with the custom manifest files.
+What this example would do is write the manifest files for the control plane and etcd in
+`/etc/kubernetes/manifests` based on the configuration in `configfile.yaml`. This allows you to
+modify the files and then skip these phases using `--skip-phases`. By calling the last command you
+will create a control plane node with the custom manifest files.
 
 {{< feature-state for_k8s_version="v1.22" state="beta" >}}
 
@@ -249,7 +257,7 @@ To set a custom image for these you need to configure this in your
 to use the image.
 Consult the documentation for your container runtime to find out how to change this setting;
 for selected container runtimes, you can also find advice within the
-[Container Runtimes]((/docs/setup/production-environment/container-runtimes/) topic.
+[Container Runtimes](/docs/setup/production-environment/container-runtimes/) topic.
 
 ### Uploading control-plane certificates to the cluster
 
@@ -284,30 +292,35 @@ and certificate renewal.
 
 ### Managing the kubeadm drop-in file for the kubelet {#kubelet-drop-in}
 
-The `kubeadm` package ships with a configuration file for running the `kubelet` by `systemd`. Note that the kubeadm CLI never touches this drop-in file. This drop-in file is part of the kubeadm DEB/RPM package.
+The `kubeadm` package ships with a configuration file for running the `kubelet` by `systemd`.
+Note that the kubeadm CLI never touches this drop-in file. This drop-in file is part of the kubeadm
+DEB/RPM package.
 
-For further information, see [Managing the kubeadm drop-in file for systemd](/docs/setup/production-environment/tools/kubeadm/kubelet-integration/#the-kubelet-drop-in-file-for-systemd).
+For further information, see
+[Managing the kubeadm drop-in file for systemd](/docs/setup/production-environment/tools/kubeadm/kubelet-integration/#the-kubelet-drop-in-file-for-systemd).
 
 ### Use kubeadm with CRI runtimes
 
-By default kubeadm attempts to detect your container runtime. For more details on this detection, see
-the [kubeadm CRI installation guide](/docs/setup/production-environment/tools/kubeadm/install-kubeadm/#installing-runtime).
+By default kubeadm attempts to detect your container runtime. For more details on this detection,
+see the [kubeadm CRI installation guide](/docs/setup/production-environment/tools/kubeadm/install-kubeadm/#installing-runtime).
 
 ### Setting the node name
 
-By default, `kubeadm` assigns a node name based on a machine's host address. You can override this setting with the `--node-name` flag.
+By default, `kubeadm` assigns a node name based on a machine's host address.
+You can override this setting with the `--node-name` flag.
 The flag passes the appropriate [`--hostname-override`](/docs/reference/command-line-tools-reference/kubelet/#options)
 value to the kubelet.
 
-Be aware that overriding the hostname can [interfere with cloud providers](https://github.com/kubernetes/website/pull/8873).
+Be aware that overriding the hostname can
+[interfere with cloud providers](https://github.com/kubernetes/website/pull/8873).
 
 ### Automating kubeadm
 
 Rather than copying the token you obtained from `kubeadm init` to each node, as
-in the [basic kubeadm tutorial](/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/), you can parallelize the
-token distribution for easier automation. To implement this automation, you must
-know the IP address that the control-plane node will have after it is started,
-or use a DNS name or an address of a load balancer.
+in the [basic kubeadm tutorial](/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/),
+you can parallelize the token distribution for easier automation. To implement this automation,
+you must know the IP address that the control-plane node will have after it is started, or use a
+DNS name or an address of a load balancer.
 
 1. Generate a token. This token must have the form  `<6 character string>.<16
    character string>`. More formally, it must match the regex:
@@ -341,7 +354,11 @@ provisioned). For details, see the [kubeadm join](/docs/reference/setup-tools/ku
 ## {{% heading "whatsnext" %}}
 
 * [kubeadm init phase](/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/) to understand more about
-`kubeadm init` phases
-* [kubeadm join](/docs/reference/setup-tools/kubeadm/kubeadm-join/) to bootstrap a Kubernetes worker node and join it to the cluster
-* [kubeadm upgrade](/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/) to upgrade a Kubernetes cluster to a newer version
-* [kubeadm reset](/docs/reference/setup-tools/kubeadm/kubeadm-reset/) to revert any changes made to this host by `kubeadm init` or `kubeadm join`
+  `kubeadm init` phases
+* [kubeadm join](/docs/reference/setup-tools/kubeadm/kubeadm-join/) to bootstrap a Kubernetes
+  worker node and join it to the cluster
+* [kubeadm upgrade](/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/) to upgrade a Kubernetes
+  cluster to a newer version
+* [kubeadm reset](/docs/reference/setup-tools/kubeadm/kubeadm-reset/) to revert any changes made
+  to this host by `kubeadm init` or `kubeadm join`
+
diff --git a/content/en/docs/reference/using-api/_index.md b/content/en/docs/reference/using-api/_index.md
index 6592deb3c71..182bbd4fe63 100644
--- a/content/en/docs/reference/using-api/_index.md
+++ b/content/en/docs/reference/using-api/_index.md
@@ -39,7 +39,7 @@ The JSON and Protobuf serialization schemas follow the same guidelines for
 schema changes. The following descriptions cover both formats.
 
 The API versioning and software versioning are indirectly related.
-The [API and release versioning proposal](https://git.k8s.io/design-proposals-archive/release/versioning.md)
+The [API and release versioning proposal](https://git.k8s.io/sig-release/release-engineering/versioning.md)
 describes the relationship between API versioning and software versioning.
 
 Different API versions indicate different levels of stability and support. You
diff --git a/content/en/docs/reference/using-api/deprecation-guide.md b/content/en/docs/reference/using-api/deprecation-guide.md
index d448344504a..0b5969e9f18 100644
--- a/content/en/docs/reference/using-api/deprecation-guide.md
+++ b/content/en/docs/reference/using-api/deprecation-guide.md
@@ -330,7 +330,7 @@ For example:
 
 ### Locate use of deprecated APIs
 
-Use [client warnings, metrics, and audit information available in 1.19+](https://kubernetes.io/blog/2020/09/03/warnings/#deprecation-warnings)
+Use [client warnings, metrics, and audit information available in 1.19+](/blog/2020/09/03/warnings/#deprecation-warnings)
 to locate use of deprecated APIs.
 
 ### Migrate to non-deprecated APIs
@@ -340,11 +340,11 @@ to locate use of deprecated APIs.
 
   You can use the `kubectl-convert` command (`kubectl convert` prior to v1.20)
   to automatically convert an existing object:
-    
+
   `kubectl-convert -f <file> --output-version <group>/<version>`.
 
   For example, to convert an older Deployment to `apps/v1`, you can run:
-    
+
   `kubectl-convert -f ./my-deployment.yaml --output-version apps/v1`
 
   Note that this may use non-ideal default values. To learn more about a specific
diff --git a/content/en/docs/setup/best-practices/multiple-zones.md b/content/en/docs/setup/best-practices/multiple-zones.md
index 8f51a3bd060..3bce1669372 100644
--- a/content/en/docs/setup/best-practices/multiple-zones.md
+++ b/content/en/docs/setup/best-practices/multiple-zones.md
@@ -63,7 +63,7 @@ These labels can include
 
 If your cluster spans multiple zones or regions, you can use node labels
 in conjunction with
-[Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+[Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 to control how Pods are spread across your cluster among fault domains:
 regions, zones, and even specific nodes.
 These hints enable the
diff --git a/content/en/docs/setup/production-environment/_index.md b/content/en/docs/setup/production-environment/_index.md
index 32c91d4f752..f1c6587c752 100644
--- a/content/en/docs/setup/production-environment/_index.md
+++ b/content/en/docs/setup/production-environment/_index.md
@@ -55,7 +55,7 @@ are influenced by the following issues:
 Before building a Kubernetes production environment on your own, consider
 handing off some or all of this job to 
 [Turnkey Cloud Solutions](/docs/setup/production-environment/turnkey-solutions/) 
-providers or other [Kubernetes Partners](https://kubernetes.io/partners/).
+providers or other [Kubernetes Partners](/partners/).
 Options include:
 
 - *Serverless*: Just run workloads on third-party equipment without managing
@@ -288,7 +288,7 @@ needs of your cluster's workloads:
 
 - Decide if you want to build your own production Kubernetes or obtain one from
   available [Turnkey Cloud Solutions](/docs/setup/production-environment/turnkey-solutions/)
-  or [Kubernetes Partners](https://kubernetes.io/partners/).
+  or [Kubernetes Partners](/partners/).
 - If you choose to build your own cluster, plan how you want to
   handle [certificates](/docs/setup/best-practices/certificates/)
   and set up high availability for features such as
diff --git a/content/en/docs/setup/production-environment/container-runtimes.md b/content/en/docs/setup/production-environment/container-runtimes.md
index dd432afd3de..44f098ccfcf 100644
--- a/content/en/docs/setup/production-environment/container-runtimes.md
+++ b/content/en/docs/setup/production-environment/container-runtimes.md
@@ -179,9 +179,9 @@ Follow the instructions for [getting started with containerd](https://github.com
 {{% tab name="Linux" %}}
 You can find this file under the path `/etc/containerd/config.toml`.
 {{% /tab %}}
-{{< tab name="Windows" >}}
+{{% tab name="Windows" %}}
 You can find this file under the path `C:\Program Files\containerd\config.toml`.
-{{< /tab >}}
+{{% /tab %}}
 {{< /tabs >}}
 
 On Linux the default CRI socket for containerd is `/run/containerd/containerd.sock`.
@@ -217,7 +217,7 @@ When using kubeadm, manually configure the
 
 #### Overriding the sandbox (pause) image {#override-pause-image-containerd}
 
-In your [containerd config](https://github.com/containerd/cri/blob/master/docs/config.md) you can overwrite the
+In your [containerd config](https://github.com/containerd/containerd/blob/main/docs/cri/config.md) you can overwrite the
 sandbox image by setting the following config:
 
 ```toml
diff --git a/content/en/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm.md b/content/en/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm.md
index eedee3b5a30..9aa1dfbff5b 100644
--- a/content/en/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm.md
+++ b/content/en/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm.md
@@ -11,7 +11,7 @@ weight: 30
 <img src="/images/kubeadm-stacked-color.png" align="right" width="150px"></img>
 Using `kubeadm`, you can create a minimum viable Kubernetes cluster that conforms to best practices.
 In fact, you can use `kubeadm` to set up a cluster that will pass the
-[Kubernetes Conformance tests](https://kubernetes.io/blog/2017/10/software-conformance-certification).
+[Kubernetes Conformance tests](/blog/2017/10/software-conformance-certification/).
 `kubeadm` also supports other cluster lifecycle functions, such as
 [bootstrap tokens](/docs/reference/access-authn-authz/bootstrap-tokens/) and cluster upgrades.
 
@@ -76,8 +76,9 @@ Install a {{< glossary_tooltip term_id="container-runtime" text="container runti
 For detailed instructions and other prerequisites, see [Installing kubeadm](/docs/setup/production-environment/tools/kubeadm/install-kubeadm/).
 
 {{< note >}}
-If you have already installed kubeadm, run `apt-get update &&
-apt-get upgrade` or `yum update` to get the latest version of kubeadm.
+If you have already installed kubeadm, run
+`apt-get update && apt-get upgrade` or
+`yum update` to get the latest version of kubeadm.
 
 When you upgrade, the kubelet restarts every few seconds as it waits in a crashloop for
 kubeadm to tell it what to do. This crashloop is expected and normal.
@@ -582,7 +583,7 @@ Example for `kubeadm upgrade`:
 or {{< skew currentVersion >}}
 
 To learn more about the version skew between the different Kubernetes component see
-the [Version Skew Policy](https://kubernetes.io/releases/version-skew-policy/).
+the [Version Skew Policy](/releases/version-skew-policy/).
 
 ## Limitations {#limitations}
 
diff --git a/content/en/docs/setup/production-environment/tools/kubespray.md b/content/en/docs/setup/production-environment/tools/kubespray.md
index e0525562c65..9877088a5b1 100644
--- a/content/en/docs/setup/production-environment/tools/kubespray.md
+++ b/content/en/docs/setup/production-environment/tools/kubespray.md
@@ -8,19 +8,24 @@ weight: 30
 
 This quickstart helps to install a Kubernetes cluster hosted on GCE, Azure, OpenStack, AWS, vSphere, Equinix Metal (formerly Packet), Oracle Cloud Infrastructure (Experimental) or Baremetal with [Kubespray](https://github.com/kubernetes-sigs/kubespray).
 
-Kubespray is a composition of [Ansible](https://docs.ansible.com/) playbooks, [inventory](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md), provisioning tools, and domain knowledge for generic OS/Kubernetes clusters configuration management tasks. Kubespray provides:
+Kubespray is a composition of [Ansible](https://docs.ansible.com/) playbooks, [inventory](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md#inventory), provisioning tools, and domain knowledge for generic OS/Kubernetes clusters configuration management tasks. 
 
-* a highly available cluster
-* composable attributes
-* support for most popular Linux distributions
-  * Ubuntu 16.04, 18.04, 20.04
-  * CentOS/RHEL/Oracle Linux 7, 8
-  * Debian Buster, Jessie, Stretch, Wheezy
-  * Fedora 31, 32
-  * Fedora CoreOS
-  * openSUSE Leap 15
-  * Flatcar Container Linux by Kinvolk
-* continuous integration tests
+Kubespray provides:
+* Highly available cluster.
+* Composable (Choice of the network plugin for instance).
+* Supports most popular Linux distributions:
+  - Flatcar Container Linux by Kinvolk
+  - Debian Bullseye, Buster, Jessie, Stretch
+  - Ubuntu 16.04, 18.04, 20.04, 22.04
+  - CentOS/RHEL 7, 8
+  - Fedora 34, 35
+  - Fedora CoreOS
+  - openSUSE Leap 15.x/Tumbleweed
+  - Oracle Linux 7, 8
+  - Alma Linux 8
+  - Rocky Linux 8
+  - Amazon Linux 2 
+* Continuous integration tests.
 
 To choose a tool which best fits your use case, read [this comparison](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/comparisons.md) to
 [kubeadm](/docs/reference/setup-tools/kubeadm/) and [kops](/docs/setup/production-environment/tools/kops/).
@@ -33,13 +38,13 @@ To choose a tool which best fits your use case, read [this comparison](https://g
 
 Provision servers with the following [requirements](https://github.com/kubernetes-sigs/kubespray#requirements):
 
-* **Ansible v2.9 and python-netaddr are installed on the machine that will run Ansible commands**
-* **Jinja 2.11 (or newer) is required to run the Ansible Playbooks**
-* The target servers must have access to the Internet in order to pull docker images. Otherwise, additional configuration is required ([See Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
-* The target servers are configured to allow **IPv4 forwarding**
-* **Your ssh key must be copied** to all the servers in your inventory
-* **Firewalls are not managed by kubespray**. You'll need to implement appropriate rules as needed. You should disable your firewall in order to avoid any issues during deployment
-* If kubespray is run from a non-root user account, correct privilege escalation method should be configured in the target servers and the `ansible_become` flag or command parameters `--become` or `-b` should be specified
+* **Minimum required version of Kubernetes is v1.22**
+* **Ansible v2.11+, Jinja 2.11+ and python-netaddr is installed on the machine that will run Ansible commands**
+* The target servers must have **access to the Internet** in order to pull docker images. Otherwise, additional configuration is required See ([Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
+* The target servers are configured to allow **IPv4 forwarding**.
+* If using IPv6 for pods and services, the target servers are configured to allow **IPv6 forwarding**.
+* The **firewalls are not managed**, you'll need to implement your own rules the way you used to. in order to avoid any issue during deployment you should disable your firewall.
+* If kubespray is run from non-root user account, correct privilege escalation method should be configured in the target servers. Then the `ansible_become` flag or command parameters `--become` or `-b` should be specified.
 
 Kubespray provides the following utilities to help provision your environment:
 
@@ -110,11 +115,10 @@ When running the reset playbook, be sure not to accidentally target your product
 
 ## Feedback
 
-* Slack Channel: [#kubespray](https://kubernetes.slack.com/messages/kubespray/) (You can get your invite [here](https://slack.k8s.io/))
-* [GitHub Issues](https://github.com/kubernetes-sigs/kubespray/issues)
+* Slack Channel: [#kubespray](https://kubernetes.slack.com/messages/kubespray/) (You can get your invite [here](https://slack.k8s.io/)).
+* [GitHub Issues](https://github.com/kubernetes-sigs/kubespray/issues).
 
 ## {{% heading "whatsnext" %}}
 
-
-Check out planned work on Kubespray's [roadmap](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md).
-
+* Check out planned work on Kubespray's [roadmap](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md).
+* Learn more about [Kubespray](https://github.com/kubernetes-sigs/kubespray).
diff --git a/content/en/docs/tasks/access-application-cluster/communicate-containers-same-pod-shared-volume.md b/content/en/docs/tasks/access-application-cluster/communicate-containers-same-pod-shared-volume.md
index 95066ac6121..897d44a54f9 100644
--- a/content/en/docs/tasks/access-application-cluster/communicate-containers-same-pod-shared-volume.md
+++ b/content/en/docs/tasks/access-application-cluster/communicate-containers-same-pod-shared-volume.md
@@ -127,7 +127,7 @@ the shared Volume is lost.
 ## {{% heading "whatsnext" %}}
 
 
-* Learn more about [patterns for composite containers](https://kubernetes.io/blog/2015/06/the-distributed-system-toolkit-patterns).
+* Learn more about [patterns for composite containers](/blog/2015/06/the-distributed-system-toolkit-patterns/).
 
 * Learn about [composite containers for modular architecture](https://www.slideshare.net/Docker/slideshare-burns).
 
diff --git a/content/en/docs/tasks/administer-cluster/access-cluster-api.md b/content/en/docs/tasks/administer-cluster/access-cluster-api.md
index 5732aed3af8..3d620e4b63f 100644
--- a/content/en/docs/tasks/administer-cluster/access-cluster-api.md
+++ b/content/en/docs/tasks/administer-cluster/access-cluster-api.md
@@ -226,7 +226,7 @@ mvn install
 See [https://github.com/kubernetes-client/java/releases](https://github.com/kubernetes-client/java/releases) to see which versions are supported.
 
 The Java client can use the same [kubeconfig file](/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
-as the kubectl CLI does to locate and authenticate to the API server. See this [example](https://github.com/kubernetes-client/java/blob/master/examples/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java):
+as the kubectl CLI does to locate and authenticate to the API server. See this [example](https://github.com/kubernetes-client/java/blob/master/examples/examples-release-15/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java):
 
 ```java
 package io.kubernetes.client.examples;
diff --git a/content/en/docs/tasks/administer-cluster/certificates.md b/content/en/docs/tasks/administer-cluster/certificates.md
index 44effe93403..f48ddaac662 100644
--- a/content/en/docs/tasks/administer-cluster/certificates.md
+++ b/content/en/docs/tasks/administer-cluster/certificates.md
@@ -4,124 +4,156 @@ content_type: task
 weight: 20
 ---
 
-
 <!-- overview -->
 
 When using client certificate authentication, you can generate certificates
 manually through `easyrsa`, `openssl` or `cfssl`.
 
-
-
-
 <!-- body -->
 
 ### easyrsa
 
 **easyrsa** can manually generate certificates for your cluster.
 
-1.  Download, unpack, and initialize the patched version of easyrsa3.
+1. Download, unpack, and initialize the patched version of `easyrsa3`.
 
-        curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
-        tar xzf easy-rsa.tar.gz
-        cd easy-rsa-master/easyrsa3
-        ./easyrsa init-pki
-1.  Generate a new certificate authority (CA). `--batch` sets automatic mode;
-    `--req-cn` specifies the Common Name (CN) for the CA's new root certificate.
+   ```shell
+   curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
+   tar xzf easy-rsa.tar.gz
+   cd easy-rsa-master/easyrsa3
+   ./easyrsa init-pki
+   ```
+1. Generate a new certificate authority (CA). `--batch` sets automatic mode;
+   `--req-cn` specifies the Common Name (CN) for the CA's new root certificate.
 
-        ./easyrsa --batch "--req-cn=${MASTER_IP}@`date +%s`" build-ca nopass
-1.  Generate server certificate and key.
-    The argument `--subject-alt-name` sets the possible IPs and DNS names the API server will
-    be accessed with. The `MASTER_CLUSTER_IP` is usually the first IP from the service CIDR
-    that is specified as the `--service-cluster-ip-range` argument for both the API server and
-    the controller manager component. The argument `--days` is used to set the number of days
-    after which the certificate expires.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
+   ```shell
+   ./easyrsa --batch "--req-cn=${MASTER_IP}@`date +%s`" build-ca nopass
+   ```
 
-        ./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
-        "IP:${MASTER_CLUSTER_IP},"\
-        "DNS:kubernetes,"\
-        "DNS:kubernetes.default,"\
-        "DNS:kubernetes.default.svc,"\
-        "DNS:kubernetes.default.svc.cluster,"\
-        "DNS:kubernetes.default.svc.cluster.local" \
-        --days=10000 \
-        build-server-full server nopass
-1.  Copy `pki/ca.crt`, `pki/issued/server.crt`, and `pki/private/server.key` to your directory.
-1.  Fill in and add the following parameters into the API server start parameters:
+1. Generate server certificate and key.
 
-        --client-ca-file=/yourdirectory/ca.crt
-        --tls-cert-file=/yourdirectory/server.crt
-        --tls-private-key-file=/yourdirectory/server.key
+   The argument `--subject-alt-name` sets the possible IPs and DNS names the API server will
+   be accessed with. The `MASTER_CLUSTER_IP` is usually the first IP from the service CIDR
+   that is specified as the `--service-cluster-ip-range` argument for both the API server and
+   the controller manager component. The argument `--days` is used to set the number of days
+   after which the certificate expires.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
+
+   ```shell
+   ./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
+   "IP:${MASTER_CLUSTER_IP},"\
+   "DNS:kubernetes,"\
+   "DNS:kubernetes.default,"\
+   "DNS:kubernetes.default.svc,"\
+   "DNS:kubernetes.default.svc.cluster,"\
+   "DNS:kubernetes.default.svc.cluster.local" \
+   --days=10000 \
+   build-server-full server nopass
+   ```
+
+1. Copy `pki/ca.crt`, `pki/issued/server.crt`, and `pki/private/server.key` to your directory.
+
+1. Fill in and add the following parameters into the API server start parameters:
+
+   ```shell
+   --client-ca-file=/yourdirectory/ca.crt
+   --tls-cert-file=/yourdirectory/server.crt
+   --tls-private-key-file=/yourdirectory/server.key
+   ```
 
 ### openssl
 
 **openssl** can manually generate certificates for your cluster.
 
-1.  Generate a ca.key with 2048bit:
+1. Generate a ca.key with 2048bit:
 
-        openssl genrsa -out ca.key 2048
-1.  According to the ca.key generate a ca.crt (use -days to set the certificate effective time):
+   ```shell
+   openssl genrsa -out ca.key 2048
+   ```
 
-        openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
-1.  Generate a server.key with 2048bit:
+1. According to the ca.key generate a ca.crt (use `-days` to set the certificate effective time):
 
-        openssl genrsa -out server.key 2048
-1.  Create a config file for generating a Certificate Signing Request (CSR).
-    Be sure to substitute the values marked with angle brackets (e.g. `<MASTER_IP>`)
-    with real values before saving this to a file (e.g. `csr.conf`).
-    Note that the value for `MASTER_CLUSTER_IP` is the service cluster IP for the
-    API server as described in previous subsection.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
+   ```shell
+   openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
+   ```
 
-        [ req ]
-        default_bits = 2048
-        prompt = no
-        default_md = sha256
-        req_extensions = req_ext
-        distinguished_name = dn
+1. Generate a server.key with 2048bit:
 
-        [ dn ]
-        C = <country>
-        ST = <state>
-        L = <city>
-        O = <organization>
-        OU = <organization unit>
-        CN = <MASTER_IP>
+   ```shell
+   openssl genrsa -out server.key 2048
+   ```
 
-        [ req_ext ]
-        subjectAltName = @alt_names
+1. Create a config file for generating a Certificate Signing Request (CSR).
 
-        [ alt_names ]
-        DNS.1 = kubernetes
-        DNS.2 = kubernetes.default
-        DNS.3 = kubernetes.default.svc
-        DNS.4 = kubernetes.default.svc.cluster
-        DNS.5 = kubernetes.default.svc.cluster.local
-        IP.1 = <MASTER_IP>
-        IP.2 = <MASTER_CLUSTER_IP>
+   Be sure to substitute the values marked with angle brackets (e.g. `<MASTER_IP>`)
+   with real values before saving this to a file (e.g. `csr.conf`).
+   Note that the value for `MASTER_CLUSTER_IP` is the service cluster IP for the
+   API server as described in previous subsection.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
 
-        [ v3_ext ]
-        authorityKeyIdentifier=keyid,issuer:always
-        basicConstraints=CA:FALSE
-        keyUsage=keyEncipherment,dataEncipherment
-        extendedKeyUsage=serverAuth,clientAuth
-        subjectAltName=@alt_names
-1.  Generate the certificate signing request based on the config file:
+   ```ini
+   [ req ]
+   default_bits = 2048
+   prompt = no
+   default_md = sha256
+   req_extensions = req_ext
+   distinguished_name = dn
 
-        openssl req -new -key server.key -out server.csr -config csr.conf
-1.  Generate the server certificate using the ca.key, ca.crt and server.csr:
+   [ dn ]
+   C = <country>
+   ST = <state>
+   L = <city>
+   O = <organization>
+   OU = <organization unit>
+   CN = <MASTER_IP>
 
-        openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
-        -CAcreateserial -out server.crt -days 10000 \
-        -extensions v3_ext -extfile csr.conf
-1.  View the certificate signing request:
+   [ req_ext ]
+   subjectAltName = @alt_names
 
-        openssl req  -noout -text -in ./server.csr
-1.  View the certificate:
+   [ alt_names ]
+   DNS.1 = kubernetes
+   DNS.2 = kubernetes.default
+   DNS.3 = kubernetes.default.svc
+   DNS.4 = kubernetes.default.svc.cluster
+   DNS.5 = kubernetes.default.svc.cluster.local
+   IP.1 = <MASTER_IP>
+   IP.2 = <MASTER_CLUSTER_IP>
 
-        openssl x509  -noout -text -in ./server.crt
+   [ v3_ext ]
+   authorityKeyIdentifier=keyid,issuer:always
+   basicConstraints=CA:FALSE
+   keyUsage=keyEncipherment,dataEncipherment
+   extendedKeyUsage=serverAuth,clientAuth
+   subjectAltName=@alt_names
+   ```
+
+1. Generate the certificate signing request based on the config file:
+
+   ```shell
+   openssl req -new -key server.key -out server.csr -config csr.conf
+   ```
+
+1. Generate the server certificate using the ca.key, ca.crt and server.csr:
+
+   ```shell
+   openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
+       -CAcreateserial -out server.crt -days 10000 \
+       -extensions v3_ext -extfile csr.conf
+   ```
+
+1. View the certificate signing request:
+
+   ```shell
+   openssl req  -noout -text -in ./server.csr
+   ```
+
+1. View the certificate:
+
+   ```shell
+   openssl x509  -noout -text -in ./server.crt
+   ```
 
 Finally, add the same parameters into the API server start parameters.
 
@@ -129,101 +161,121 @@ Finally, add the same parameters into the API server start parameters.
 
 **cfssl** is another tool for certificate generation.
 
-1.  Download, unpack and prepare the command line tools as shown below.
-    Note that you may need to adapt the sample commands based on the hardware
-    architecture and cfssl version you are using.
+1. Download, unpack and prepare the command line tools as shown below.
 
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64 -o cfssl
-        chmod +x cfssl
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64 -o cfssljson
-        chmod +x cfssljson
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64 -o cfssl-certinfo
-        chmod +x cfssl-certinfo
-1.  Create a directory to hold the artifacts and initialize cfssl:
+   Note that you may need to adapt the sample commands based on the hardware
+   architecture and cfssl version you are using.
 
-        mkdir cert
-        cd cert
-        ../cfssl print-defaults config > config.json
-        ../cfssl print-defaults csr > csr.json
-1.  Create a JSON config file for generating the CA file, for example, `ca-config.json`:
+   ```shell
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64 -o cfssl
+   chmod +x cfssl
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64 -o cfssljson
+   chmod +x cfssljson
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64 -o cfssl-certinfo
+   chmod +x cfssl-certinfo
+   ```
 
-        {
-          "signing": {
-            "default": {
-              "expiry": "8760h"
-            },
-            "profiles": {
-              "kubernetes": {
-                "usages": [
-                  "signing",
-                  "key encipherment",
-                  "server auth",
-                  "client auth"
-                ],
-                "expiry": "8760h"
-              }
-            }
-          }
-        }
-1.  Create a JSON config file for CA certificate signing request (CSR), for example,
-    `ca-csr.json`. Be sure to replace the values marked with angle brackets with
-    real values you want to use.
+1. Create a directory to hold the artifacts and initialize cfssl:
 
-        {
-          "CN": "kubernetes",
-          "key": {
-            "algo": "rsa",
-            "size": 2048
-          },
-          "names":[{
-            "C": "<country>",
-            "ST": "<state>",
-            "L": "<city>",
-            "O": "<organization>",
-            "OU": "<organization unit>"
-          }]
-        }
-1.  Generate CA key (`ca-key.pem`) and certificate (`ca.pem`):
+   ```shell
+   mkdir cert
+   cd cert
+   ../cfssl print-defaults config > config.json
+   ../cfssl print-defaults csr > csr.json
+   ```
 
-        ../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
-1.  Create a JSON config file for generating keys and certificates for the API
-    server, for example, `server-csr.json`. Be sure to replace the values in angle brackets with
-    real values you want to use. The `MASTER_CLUSTER_IP` is the service cluster
-    IP for the API server as described in previous subsection.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
+1. Create a JSON config file for generating the CA file, for example, `ca-config.json`:
 
-        {
-          "CN": "kubernetes",
-          "hosts": [
-            "127.0.0.1",
-            "<MASTER_IP>",
-            "<MASTER_CLUSTER_IP>",
-            "kubernetes",
-            "kubernetes.default",
-            "kubernetes.default.svc",
-            "kubernetes.default.svc.cluster",
-            "kubernetes.default.svc.cluster.local"
-          ],
-          "key": {
-            "algo": "rsa",
-            "size": 2048
-          },
-          "names": [{
-            "C": "<country>",
-            "ST": "<state>",
-            "L": "<city>",
-            "O": "<organization>",
-            "OU": "<organization unit>"
-          }]
-        }
-1.  Generate the key and certificate for the API server, which are by default
-    saved into file `server-key.pem` and `server.pem` respectively:
+   ```json
+   {
+     "signing": {
+       "default": {
+         "expiry": "8760h"
+       },
+       "profiles": {
+         "kubernetes": {
+           "usages": [
+             "signing",
+             "key encipherment",
+             "server auth",
+             "client auth"
+           ],
+           "expiry": "8760h"
+         }
+       }
+     }
+   }
+   ```
 
-        ../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
+1. Create a JSON config file for CA certificate signing request (CSR), for example,
+   `ca-csr.json`. Be sure to replace the values marked with angle brackets with
+   real values you want to use.
+
+   ```json
+   {
+     "CN": "kubernetes",
+     "key": {
+       "algo": "rsa",
+       "size": 2048
+     },
+     "names":[{
+       "C": "<country>",
+       "ST": "<state>",
+       "L": "<city>",
+       "O": "<organization>",
+       "OU": "<organization unit>"
+     }]
+   }
+   ```
+
+1. Generate CA key (`ca-key.pem`) and certificate (`ca.pem`):
+
+   ```shell
+   ../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
+   ```
+
+1. Create a JSON config file for generating keys and certificates for the API
+   server, for example, `server-csr.json`. Be sure to replace the values in angle brackets with
+   real values you want to use. The `<MASTER_CLUSTER_IP>` is the service cluster
+   IP for the API server as described in previous subsection.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
+
+   ```json
+   {
+     "CN": "kubernetes",
+     "hosts": [
+       "127.0.0.1",
+       "<MASTER_IP>",
+       "<MASTER_CLUSTER_IP>",
+       "kubernetes",
+       "kubernetes.default",
+       "kubernetes.default.svc",
+       "kubernetes.default.svc.cluster",
+       "kubernetes.default.svc.cluster.local"
+     ],
+     "key": {
+       "algo": "rsa",
+       "size": 2048
+     },
+     "names": [{
+       "C": "<country>",
+       "ST": "<state>",
+       "L": "<city>",
+       "O": "<organization>",
+       "OU": "<organization unit>"
+     }]
+   }
+   ```
+
+1. Generate the key and certificate for the API server, which are by default
+   saved into file `server-key.pem` and `server.pem` respectively:
+
+   ```shell
+   ../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
         --config=ca-config.json -profile=kubernetes \
         server-csr.json | ../cfssljson -bare server
-
+   ```
 
 ## Distributing Self-Signed CA Certificate
 
@@ -234,12 +286,12 @@ refresh the local list for valid certificates.
 
 On each client, perform the following operations:
 
-```bash
+```shell
 sudo cp ca.crt /usr/local/share/ca-certificates/kubernetes.crt
 sudo update-ca-certificates
 ```
 
-```
+```none
 Updating certificates in /etc/ssl/certs...
 1 added, 0 removed; done.
 Running hooks in /etc/ca-certificates/update.d....
@@ -250,6 +302,6 @@ done.
 
 You can use the `certificates.k8s.io` API to provision
 x509 certificates to use for authentication as documented
-[here](/docs/tasks/tls/managing-tls-in-a-cluster).
-
+in the [Managing TLS in a cluster](/docs/tasks/tls/managing-tls-in-a-cluster)
+task page.
 
diff --git a/content/en/docs/tasks/administer-cluster/controller-manager-leader-migration.md b/content/en/docs/tasks/administer-cluster/controller-manager-leader-migration.md
index 45abdde6aca..7d0890197bc 100644
--- a/content/en/docs/tasks/administer-cluster/controller-manager-leader-migration.md
+++ b/content/en/docs/tasks/administer-cluster/controller-manager-leader-migration.md
@@ -15,7 +15,7 @@ content_type: task
 
 ## Background
 
-As part of the [cloud provider extraction effort](https://kubernetes.io/blog/2019/04/17/the-future-of-cloud-providers-in-kubernetes/), all cloud specific controllers must be moved out of the `kube-controller-manager`. All existing clusters that run cloud controllers in the `kube-controller-manager` must migrate to instead run the controllers in a cloud provider specific `cloud-controller-manager`.
+As part of the [cloud provider extraction effort](/blog/2019/04/17/the-future-of-cloud-providers-in-kubernetes/), all cloud specific controllers must be moved out of the `kube-controller-manager`. All existing clusters that run cloud controllers in the `kube-controller-manager` must migrate to instead run the controllers in a cloud provider specific `cloud-controller-manager`.
 
 Leader Migration provides a mechanism in which HA clusters can safely migrate "cloud specific" controllers between the `kube-controller-manager` and the `cloud-controller-manager` via a shared resource lock between the two components while upgrading the replicated control plane. For a single-node control plane, or if unavailability of controller managers can be tolerated during the upgrade, Leader Migration is not needed and this guide can be ignored.
 
diff --git a/content/en/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md b/content/en/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
index 783b1079271..66f59a3dadb 100644
--- a/content/en/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
+++ b/content/en/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
@@ -11,7 +11,7 @@ weight: 20
 This page explains how to upgrade a Kubernetes cluster created with kubeadm from version
 {{< skew currentVersionAddMinor -1 >}}.x to version {{< skew currentVersion >}}.x, and from version
 {{< skew currentVersion >}}.x to {{< skew currentVersion >}}.y (where `y > x`). Skipping MINOR versions
-when upgrading is unsupported. For more details, please visit [Version Skew Policy](https://kubernetes.io/releases/version-skew-policy/).
+when upgrading is unsupported. For more details, please visit [Version Skew Policy](/releases/version-skew-policy/).
 
 To see information about upgrading clusters created using older versions of kubeadm,
 please refer to following pages instead:
diff --git a/content/en/docs/tasks/administer-cluster/kubelet-config-file.md b/content/en/docs/tasks/administer-cluster/kubelet-config-file.md
index 668f4532a51..2ed522628d3 100644
--- a/content/en/docs/tasks/administer-cluster/kubelet-config-file.md
+++ b/content/en/docs/tasks/administer-cluster/kubelet-config-file.md
@@ -27,12 +27,12 @@ The configuration file must be a JSON or YAML representation of the parameters
 in this struct. Make sure the Kubelet has read permissions on the file.
 
 Here is an example of what this file might look like:
-```
+```yaml
 apiVersion: kubelet.config.k8s.io/v1beta1
 kind: KubeletConfiguration
-address: "192.168.0.8",
-port: 20250,
-serializeImagePulls: false,
+address: "192.168.0.8"
+port: 20250
+serializeImagePulls: false
 evictionHard:
     memory.available:  "200Mi"
 ```
diff --git a/content/en/docs/tasks/administer-cluster/kubelet-in-userns.md b/content/en/docs/tasks/administer-cluster/kubelet-in-userns.md
index 2b088b7a5dc..90e4a11f631 100644
--- a/content/en/docs/tasks/administer-cluster/kubelet-in-userns.md
+++ b/content/en/docs/tasks/administer-cluster/kubelet-in-userns.md
@@ -41,13 +41,12 @@ See [Running kind with Rootless Docker](https://kind.sigs.k8s.io/docs/user/rootl
 
 ### minikube
 
-[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker.
+[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker or Rootless Podman.
 
-See the page about the [docker](https://minikube.sigs.k8s.io/docs/drivers/docker/) driver in the Minikube documentation.
+See the Minikube documentation:
 
-Rootless Podman is not supported.
-
-<!-- Supporting rootless podman is discussed in https://github.com/kubernetes/minikube/issues/8719 -->
+* [Rootless Docker](https://minikube.sigs.k8s.io/docs/drivers/docker/)
+* [Rootless Podman](https://minikube.sigs.k8s.io/docs/drivers/podman/)
 
 ## Running Kubernetes inside Unprivileged Containers
 
diff --git a/content/en/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md b/content/en/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
index 8c5c8b3a724..5b6afe04e5a 100644
--- a/content/en/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
+++ b/content/en/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
@@ -5,8 +5,8 @@ content_type: task
 ---
 
 This task outlines the steps needed to update your container runtime to containerd from Docker. It
-is applicable for cluster operators running Kubernetes 1.23 or earlier. Also  this covers an
-example scenario for migrating from dockershim to containerd and alternative container runtimes
+is applicable for cluster operators running Kubernetes 1.23 or earlier. This also covers an
+example scenario for migrating from dockershim to containerd. Alternative container runtimes
 can be picked from this [page](/docs/setup/production-environment/container-runtimes/).
 
 ## {{% heading "prerequisites" %}}
@@ -100,7 +100,7 @@ then run the following commands:
 
 Edit the file `/var/lib/kubelet/kubeadm-flags.env` and add the containerd runtime to the flags.
 `--container-runtime=remote` and
-`--container-runtime-endpoint=unix:///run/containerd/containerd.sock"`.
+`--container-runtime-endpoint=unix:///run/containerd/containerd.sock`.
 
 Users using kubeadm should be aware that the `kubeadm` tool stores the CRI socket for each host as
 an annotation in the Node object for that host. To change it you can execute the following command
diff --git a/content/en/docs/tasks/administer-cluster/nodelocaldns.md b/content/en/docs/tasks/administer-cluster/nodelocaldns.md
index c953196fa19..ba019080690 100644
--- a/content/en/docs/tasks/administer-cluster/nodelocaldns.md
+++ b/content/en/docs/tasks/administer-cluster/nodelocaldns.md
@@ -3,7 +3,7 @@ reviewers:
 - bowei
 - zihongz
 - sftim
-title: Using NodeLocal DNSCache in Kubernetes clusters
+title: Using NodeLocal DNSCache in Kubernetes Clusters
 content_type: task
 ---
  
@@ -40,7 +40,7 @@ hostnames ("`cluster.local`" suffix by default).
   [conntrack races](https://github.com/kubernetes/kubernetes/issues/56903)
   and avoid UDP DNS entries filling up conntrack table.
 
-* Connections from local caching agent to kube-dns service can be upgraded to TCP.
+* Connections from the local caching agent to kube-dns service can be upgraded to TCP.
   TCP conntrack entries will be removed on connection close in contrast with
   UDP entries that have to timeout
   ([default](https://www.kernel.org/doc/Documentation/networking/nf_conntrack-sysctl.txt)
@@ -52,7 +52,7 @@ hostnames ("`cluster.local`" suffix by default).
 
 * Metrics & visibility into DNS requests at a node level.
 
-* Negative caching can be re-enabled, thereby reducing number of queries to kube-dns service.
+* Negative caching can be re-enabled, thereby reducing the number of queries for the kube-dns service.
 
 ## Architecture Diagram
 
@@ -66,7 +66,7 @@ This is the path followed by DNS Queries after NodeLocal DNSCache is enabled:
 {{< note >}}
 The local listen IP address for NodeLocal DNSCache can be any address that
 can be guaranteed to not collide with any existing IP in your cluster.
-It's recommended to use an address with a local scope, per example,
+It's recommended to use an address with a local scope, for example,
 from the 'link-local' range '169.254.0.0/16' for IPv4 or from the
 'Unique Local Address' range in IPv6 'fd00::/8'.
 {{< /note >}}
@@ -77,9 +77,9 @@ This feature can be enabled using the following steps:
   [`nodelocaldns.yaml`](https://github.com/kubernetes/kubernetes/blob/master/cluster/addons/dns/nodelocaldns/nodelocaldns.yaml)
   and save it as `nodelocaldns.yaml.`
 
-* If using IPv6, the CoreDNS configuration file need to enclose all the IPv6 addresses
+* If using IPv6, the CoreDNS configuration file needs to enclose all the IPv6 addresses
   into square brackets if used in 'IP:Port' format. 
-  If you are using the sample manifest from the previous point, this will require to modify
+  If you are using the sample manifest from the previous point, this will require you to modify
   [the configuration line L70](https://github.com/kubernetes/kubernetes/blob/b2ecd1b3a3192fbbe2b9e348e095326f51dc43dd/cluster/addons/dns/nodelocaldns/nodelocaldns.yaml#L70)
   like this: "`health [__PILLAR__LOCAL__DNS__]:8080`"
 
@@ -103,7 +103,7 @@ This feature can be enabled using the following steps:
     `__PILLAR__CLUSTER__DNS__` and `__PILLAR__UPSTREAM__SERVERS__` will be populated by
     the `node-local-dns` pods.
     In this mode, the `node-local-dns` pods listen on both the kube-dns service IP
-    as well as `<node-local-address>`, so pods can lookup DNS records using either IP address.
+    as well as `<node-local-address>`, so pods can look up DNS records using either IP address.
 
   * If kube-proxy is running in IPVS mode:
 
diff --git a/content/en/docs/tasks/administer-cluster/verify-signed-images.md b/content/en/docs/tasks/administer-cluster/verify-signed-images.md
index 5ae1db11348..074a9f3410e 100644
--- a/content/en/docs/tasks/administer-cluster/verify-signed-images.md
+++ b/content/en/docs/tasks/administer-cluster/verify-signed-images.md
@@ -68,5 +68,5 @@ e.g. [conformance image](https://github.com/kubernetes/kubernetes/blob/master/te
 admission controller. To get started with `cosigned` here are a few helpful
 resources:
 
-* [Installation](https://github.com/sigstore/helm-charts/tree/main/charts/cosigned)
-* [Configuration Options](https://github.com/sigstore/cosign/tree/main/config)
+* [Installation](https://github.com/sigstore/cosign#installation)
+* [Configuration Options](https://github.com/sigstore/cosign/blob/main/USAGE.md#detailed-usage)
diff --git a/content/en/docs/tasks/configmap-secret/managing-secret-using-config-file.md b/content/en/docs/tasks/configmap-secret/managing-secret-using-config-file.md
index 6fb5cdca3d1..e3299ec8434 100644
--- a/content/en/docs/tasks/configmap-secret/managing-secret-using-config-file.md
+++ b/content/en/docs/tasks/configmap-secret/managing-secret-using-config-file.md
@@ -13,65 +13,70 @@ description: Creating Secret objects using resource configuration file.
 
 <!-- steps -->
 
-## Create the Config file
+## Create the Secret {#create-the-config-file}
 
-You can create a Secret in a file first, in JSON or YAML format, and then
-create that object.  The
+You can define the `Secret` object in a manifest first, in JSON or YAML format,
+and then create that object. The
 [Secret](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#secret-v1-core)
 resource contains two maps: `data` and `stringData`.
 The `data` field is used to store arbitrary data, encoded using base64. The
 `stringData` field is provided for convenience, and it allows you to provide
-Secret data as unencoded strings.
+the same data as unencoded strings.
 The keys of `data` and `stringData` must consist of alphanumeric characters,
 `-`, `_` or `.`.
 
-For example, to store two strings in a Secret using the `data` field, convert
-the strings to base64 as follows:
+The following example stores two strings in a Secret using the `data` field.
 
-```shell
-echo -n 'admin' | base64
-```
+1. Convert the strings to base64:
 
-The output is similar to:
+   ```shell
+   echo -n 'admin' | base64
+   echo -n '1f2d1e2e67df' | base64
+   ```
 
-```
-YWRtaW4=
-```
+   {{< note >}}
+   The serialized JSON and YAML values of Secret data are encoded as base64 strings. Newlines are not valid within these strings and must be omitted. When using the `base64` utility on Darwin/macOS, users should avoid using the `-b` option to split long lines. Conversely, Linux users *should* add the option `-w 0` to `base64` commands or the pipeline `base64 | tr -d '\n'` if the `-w` option is not available.
+   {{< /note >}}
 
-```shell
-echo -n '1f2d1e2e67df' | base64
-```
+   The output is similar to:
 
-The output is similar to:
+   ```
+   YWRtaW4=
+   MWYyZDFlMmU2N2Rm
+   ```
 
-```
-MWYyZDFlMmU2N2Rm
-```
+1. Create the manifest:
 
-Write a Secret config file that looks like this:
+   ```yaml
+   apiVersion: v1
+   kind: Secret
+   metadata:
+     name: mysecret
+   type: Opaque
+   data:
+     username: YWRtaW4=
+     password: MWYyZDFlMmU2N2Rm
+   ```
 
-```yaml
-apiVersion: v1
-kind: Secret
-metadata:
-  name: mysecret
-type: Opaque
-data:
-  username: YWRtaW4=
-  password: MWYyZDFlMmU2N2Rm
-```
+   Note that the name of a Secret object must be a valid
+   [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
-Note that the name of a Secret object must be a valid
-[DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
+1. Create the Secret using [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply):
 
-{{< note >}}
-The serialized JSON and YAML values of Secret data are encoded as base64
-strings. Newlines are not valid within these strings and must be omitted. When
-using the `base64` utility on Darwin/macOS, users should avoid using the `-b`
-option to split long lines. Conversely, Linux users *should* add the option
-`-w 0` to `base64` commands or the pipeline `base64 | tr -d '\n'` if the `-w`
-option is not available.
-{{< /note >}}
+   ```shell
+   kubectl apply -f ./secret.yaml
+   ```
+
+   The output is similar to:
+
+   ```
+   secret/mysecret created
+   ```
+
+To verify that the Secret was created and to decode the Secret data, refer to
+[Managing Secrets using kubectl](/docs/tasks/configmap-secret/managing-secret-using-kubectl/#verify-the-secret).
+
+### Specify unencoded data when creating a Secret
 
 For certain scenarios, you may wish to use the `stringData` field instead. This
 field allows you to put a non-base64 encoded string directly into the Secret,
@@ -103,25 +108,10 @@ stringData:
     username: <user>
     password: <password>
 ```
+When you retrieve the Secret data, the command returns the encoded values,
+and not the plaintext values you provided in `stringData`.
 
-## Create the Secret object
-
-Now create the Secret using [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply):
-
-```shell
-kubectl apply -f ./secret.yaml
-```
-
-The output is similar to:
-
-```
-secret/mysecret created
-```
-
-## Check the Secret
-
-The `stringData` field is a write-only convenience field. It is never output when
-retrieving Secrets. For example, if you run the following command:
+For example, if you run the following command:
 
 ```shell
 kubectl get secret mysecret -o yaml
@@ -143,14 +133,11 @@ metadata:
 type: Opaque
 ```
 
-The commands `kubectl get` and `kubectl describe` avoid showing the contents of a `Secret` by
-default. This is to protect the `Secret` from being exposed accidentally to an onlooker,
-or from being stored in a terminal log.
-To check the actual content of the encoded data, please refer to
-[decoding secret](/docs/tasks/configmap-secret/managing-secret-using-kubectl/#decoding-secret).
+### Specifying both `data` and `stringData`
 
-If a field, such as `username`, is specified in both `data` and `stringData`,
-the value from `stringData` is used. For example, the following Secret definition:
+If you specify a field in both `data` and `stringData`, the value from `stringData` is used.
+
+For example, if you define the following Secret:
 
 ```yaml
 apiVersion: v1
@@ -164,7 +151,7 @@ stringData:
   username: administrator
 ```
 
-Results in the following Secret:
+The `Secret` object is created as follows:
 
 ```yaml
 apiVersion: v1
@@ -180,7 +167,7 @@ metadata:
 type: Opaque
 ```
 
-Where `YWRtaW5pc3RyYXRvcg==` decodes to `administrator`.
+`YWRtaW5pc3RyYXRvcg==` decodes to `administrator`.
 
 ## Clean Up
 
diff --git a/content/en/docs/tasks/configmap-secret/managing-secret-using-kubectl.md b/content/en/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
index 7e607b9b799..72ec2a7bc30 100644
--- a/content/en/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
+++ b/content/en/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
@@ -113,6 +113,8 @@ The commands `kubectl get` and `kubectl describe` avoid showing the contents
 of a `Secret` by default. This is to protect the `Secret` from being exposed
 accidentally, or from being stored in a terminal log.
 
+To check the actual content of the encoded data, refer to [Decoding the Secret](#decoding-secret).
+
 ## Decoding the Secret  {#decoding-secret}
 
 To view the contents of the Secret you created, run the following command:
diff --git a/content/en/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md b/content/en/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
index 54a9da1c08a..8148a465f04 100644
--- a/content/en/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
+++ b/content/en/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
@@ -88,7 +88,7 @@ would provision a network resource like a Google Compute Engine persistent disk,
 an NFS share, or an Amazon Elastic Block Store volume. Cluster administrators can also
 use [StorageClasses](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#storageclass-v1-storage)
 to set up
-[dynamic provisioning](https://kubernetes.io/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes).
+[dynamic provisioning](/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes).
 
 Here is the configuration file for the hostPath PersistentVolume:
 
diff --git a/content/en/docs/tasks/configure-pod-container/configure-pod-configmap.md b/content/en/docs/tasks/configure-pod-container/configure-pod-configmap.md
index a4882ff8829..02329f931ca 100644
--- a/content/en/docs/tasks/configure-pod-container/configure-pod-configmap.md
+++ b/content/en/docs/tasks/configure-pod-container/configure-pod-configmap.md
@@ -10,7 +10,7 @@ card:
 <!-- overview -->
 Many applications rely on configuration which is used during either application initialization or runtime.
 Most of the times there is a requirement to adjust values assigned to configuration parameters.
-ConfigMaps is the kubernetes way to inject application pods with configuration data.
+ConfigMaps are the Kubernetes way to inject application pods with configuration data.
 ConfigMaps allow you to decouple configuration artifacts from image content to keep containerized applications portable. This page provides a series of usage examples demonstrating how to create ConfigMaps and configure Pods using data stored in ConfigMaps.
 
 
@@ -623,24 +623,6 @@ Like before, all previous files in the `/etc/config/` directory will be deleted.
 You can project keys to specific paths and specific permissions on a per-file
 basis. The [Secrets](/docs/concepts/configuration/secret/#using-secrets-as-files-from-a-pod) user guide explains the syntax.
 
-### Optional References
-
-A ConfigMap reference may be marked "optional".  If the ConfigMap is non-existent, the mounted volume will be empty. If the ConfigMap exists, but the referenced
-key is non-existent the path will be absent beneath the mount point.
-
-### Mounted ConfigMaps are updated automatically
-
-When a mounted ConfigMap is updated, the projected content is eventually updated too.  This applies in the case where an optionally referenced ConfigMap comes into
-existence after a pod has started.
-
-Kubelet checks whether the mounted ConfigMap is fresh on every periodic sync. However, it uses its local TTL-based cache for getting the current value of the
-ConfigMap. As a result, the total delay from the moment when the ConfigMap is updated to the moment when new keys are projected to the pod can be as long as
-kubelet sync period (1 minute by default) + TTL of ConfigMaps cache (1 minute by default) in kubelet.
-
-{{< note >}}
-A container using a ConfigMap as a [subPath](/docs/concepts/storage/volumes/#using-subpath) volume will not receive ConfigMap updates.
-{{< /note >}}
-
 
 
 <!-- discussion -->
@@ -675,7 +657,7 @@ data:
 
 ### Restrictions
 
-- You must create a ConfigMap before referencing it in a Pod specification (unless you mark the ConfigMap as "optional"). If you reference a ConfigMap that doesn't exist, the Pod won't start. Likewise, references to keys that don't exist in the ConfigMap will prevent the pod from starting.
+- You must create the `ConfigMap` object before you reference it in a Pod specification. Alternatively, mark the ConfigMap reference as `optional` in the Pod spec (see [Optional ConfigMaps](#optional-configmaps)). If you reference a ConfigMap that doesn't exist and you don't mark the reference as `optional`, the Pod won't start. Similarly, references to keys that don't exist in the ConfigMap will also prevent the Pod from starting, unless you mark the key references as `optional`.
 
 - If you use `envFrom` to define environment variables from ConfigMaps, keys that are considered invalid will be skipped. The pod will be allowed to start, but the invalid names will be recorded in the event log (`InvalidVariableNames`). The log message lists each skipped key. For example:
 
@@ -693,7 +675,75 @@ data:
 
 - You can't use ConfigMaps for {{< glossary_tooltip text="static pods" term_id="static-pod" >}}, because the Kubelet does not support this.
 
+### Optional ConfigMaps
 
+You can mark a reference to a ConfigMap as _optional_ in a Pod specification.
+If the ConfigMap doesn't exist, the configuration for which it provides data in the Pod (e.g. environment variable, mounted volume) will be empty.
+If the ConfigMap exists, but the referenced key is non-existent the data is also empty.
+
+For example, the following Pod specification marks an environment variable from a ConfigMap as optional:
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: dapi-test-pod
+spec:
+  containers:
+    - name: test-container
+      image: gcr.io/google_containers/busybox
+      command: [ "/bin/sh", "-c", "env" ]
+      env:
+        - name: SPECIAL_LEVEL_KEY
+          valueFrom:
+            configMapKeyRef:
+              name: a-config
+              key: akey
+              optional: true # mark the variable as optional
+  restartPolicy: Never
+```
+
+If you run this pod, and there is no ConfigMap named `a-config`, the output is empty.
+If you run this pod, and there is a ConfigMap named `a-config` but that ConfigMap doesn't have
+a key named `akey`, the output is also empty. If you do set a value for `akey` in the `a-config`
+ConfigMap, this pod prints that value and then terminates.
+
+You can also mark the volumes and files provided by a ConfigMap as optional. Kubernetes always creates the mount paths for the volume, even if the referenced ConfigMap or key doesn't exist. For example, the following
+Pod specification marks a volume that references a ConfigMap as optional:
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: dapi-test-pod
+spec:
+  containers:
+    - name: test-container
+      image: gcr.io/google_containers/busybox
+      command: [ "/bin/sh", "-c", "ls /etc/config" ]
+      volumeMounts:
+      - name: config-volume
+        mountPath: /etc/config
+  volumes:
+    - name: config-volume
+      configMap:
+        name: no-config
+        optional: true # mark the source ConfigMap as optional
+  restartPolicy: Never
+```
+
+### Mounted ConfigMaps are updated automatically
+
+When a mounted ConfigMap is updated, the projected content is eventually updated too.  This applies in the case where an optionally referenced ConfigMap comes into
+existence after a pod has started.
+
+The kubelet checks whether the mounted ConfigMap is fresh on every periodic sync. However, it uses its local TTL-based cache for getting the current value of the
+ConfigMap. As a result, the total delay from the moment when the ConfigMap is updated to the moment when new keys are projected to the pod can be as long as
+kubelet sync period (1 minute by default) + TTL of ConfigMaps cache (1 minute by default) in kubelet.
+
+{{< note >}}
+A container using a ConfigMap as a [subPath](/docs/concepts/storage/volumes/#using-subpath) volume will not receive ConfigMap updates.
+{{< /note >}}
 
 ## {{% heading "whatsnext" %}}
 
diff --git a/content/en/docs/tasks/configure-pod-container/configure-service-account.md b/content/en/docs/tasks/configure-pod-container/configure-service-account.md
index 70122389448..b241eb9d126 100644
--- a/content/en/docs/tasks/configure-pod-container/configure-service-account.md
+++ b/content/en/docs/tasks/configure-pod-container/configure-service-account.md
@@ -29,7 +29,7 @@ When they do, they are authenticated as a particular Service Account (for exampl
 
 <!-- steps -->
 
-## Use the Default Service Account to access the API server.
+## Use the Default Service Account to access the API server
 
 When you create a pod, if you do not specify a service account, it is
 automatically assigned the `default` service account in the same namespace.
@@ -68,7 +68,7 @@ spec:
 
 The pod spec takes precedence over the service account if both specify a `automountServiceAccountToken` value.
 
-## Use Multiple Service Accounts.
+## Use Multiple Service Accounts
 
 Every namespace has a default service account resource called `default`.
 You can list this and any other serviceAccount resources in the namespace with this command:
@@ -136,7 +136,7 @@ You can clean up the service account from this example like this:
 kubectl delete serviceaccount/build-robot
 ```
 
-## Manually create a service account API token.
+## Manually create a service account API token
 
 Suppose we have an existing service account named "build-robot" as mentioned above, and we create
 a new secret manually.
diff --git a/content/en/docs/tasks/debug/debug-application/debug-statefulset.md b/content/en/docs/tasks/debug/debug-application/debug-statefulset.md
index 73c0d0c78ad..428b8d0ee56 100644
--- a/content/en/docs/tasks/debug/debug-application/debug-statefulset.md
+++ b/content/en/docs/tasks/debug/debug-application/debug-statefulset.md
@@ -24,11 +24,11 @@ This task shows you how to debug a StatefulSet.
 
 ## Debugging a StatefulSet
 
-In order to list all the pods which belong to a StatefulSet, which have a label `app=myapp` set on them,
+In order to list all the pods which belong to a StatefulSet, which have a label `app.kubernetes.io/name=MyApp` set on them,
 you can use the following:
 
 ```shell
-kubectl get pods -l app=myapp
+kubectl get pods -l app.kubernetes.io/name=MyApp
 ```
 
 If you find that any Pods listed are in `Unknown` or `Terminating` state for an extended period of time,
diff --git a/content/en/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md b/content/en/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
index 7766bcedf3b..812c723a51b 100644
--- a/content/en/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
+++ b/content/en/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
@@ -362,9 +362,9 @@ and create it:
 kubectl create --validate=false -f my-crontab.yaml -o yaml
 ```
 
-your output is similar to:
+Your output is similar to:
 
-```console
+```yaml
 apiVersion: stable.example.com/v1
 kind: CronTab
 metadata:
@@ -836,7 +836,7 @@ Validation Rules Examples:
 | `has(self.expired) && self.created + self.ttl < self.expired`                    | Validate that 'expired' date is after a 'create' date plus a 'ttl' duration       |
 | `self.health.startsWith('ok')`                                                   | Validate a 'health' string field has the prefix 'ok'                              |
 | `self.widgets.exists(w, w.key == 'x' && w.foo < 10)`                             | Validate that the 'foo' property of a listMap item with a key 'x' is less than 10 |
-| `type(self) == string ? self == '100%' : self == 1000`                           | Validate an int-or-string field for both the the int and string cases             |
+| `type(self) == string ? self == '100%' : self == 1000`                           | Validate an int-or-string field for both the int and string cases             |
 | `self.metadata.name.startsWith(self.prefix)`                                     | Validate that an object's name has the prefix of another field value              |
 | `self.set1.all(e, !(e in self.set2))`                                            | Validate that two listSets are disjoint                                           |
 | `size(self.names) == size(self.details) && self.names.all(n, n in self.details)` | Validate the 'details' map is keyed by the items in the 'names' listSet           |
@@ -844,7 +844,6 @@ Validation Rules Examples:
 
 Xref: [Supported evaluation on CEL](https://github.com/google/cel-spec/blob/v0.6.0/doc/langdef.md#evaluation)
 
-
 - If the Rule is scoped to the root of a resource, it may make field selection into any fields
   declared in the OpenAPIv3 schema of the CRD as well as `apiVersion`, `kind`, `metadata.name` and
   `metadata.generateName`. This includes selection of fields in both the `spec` and `status` in the
diff --git a/content/en/docs/tasks/job/automated-tasks-with-cron-jobs.md b/content/en/docs/tasks/job/automated-tasks-with-cron-jobs.md
index e99ea5473c5..ca514103406 100644
--- a/content/en/docs/tasks/job/automated-tasks-with-cron-jobs.md
+++ b/content/en/docs/tasks/job/automated-tasks-with-cron-jobs.md
@@ -26,21 +26,16 @@ Therefore, jobs should be idempotent.
 
 For more limitations, see [CronJobs](/docs/concepts/workloads/controllers/cron-jobs).
 
-
-
 ## {{% heading "prerequisites" %}}
 
-
 * {{< include "task-tutorial-prereqs.md" >}}
 
-
-
 <!-- steps -->
 
-## Creating a Cron Job
+## Creating a CronJob {#creating-a-cron-job}
 
 Cron jobs require a config file.
-This example cron job config `.spec` file prints the current time and a hello message every minute:
+Here is a manifest for a CronJob that runs a simple demonstration task every minute:
 
 {{< codenew file="application/job/cronjob.yaml" >}}
 
@@ -60,6 +55,7 @@ After creating the cron job, get its status using this command:
 ```shell
 kubectl get cronjob hello
 ```
+
 The output is similar to this:
 
 ```
@@ -102,14 +98,14 @@ You should see that the cron job `hello` successfully scheduled a job at the tim
 Now, find the pods that the last scheduled job created and view the standard output of one of the pods.
 
 {{< note >}}
-The job name and pod name are different.
+The job name is different from the pod name.
 {{< /note >}}
 
 ```shell
 # Replace "hello-4111706356" with the job name in your system
 pods=$(kubectl get pods --selector=job-name=hello-4111706356 --output=jsonpath={.items[*].metadata.name})
 ```
-Show pod log:
+Show the pod log:
 
 ```shell
 kubectl logs $pods
@@ -121,7 +117,7 @@ Fri Feb 22 11:02:09 UTC 2019
 Hello from the Kubernetes cluster
 ```
 
-## Deleting a Cron Job
+## Deleting a CronJob {#deleting-a-cron-job}
 
 When you don't need a cron job any more, delete it with `kubectl delete cronjob <cronjob name>`:
 
@@ -132,16 +128,20 @@ kubectl delete cronjob hello
 Deleting the cron job removes all the jobs and pods it created and stops it from creating additional jobs.
 You can read more about removing jobs in [garbage collection](/docs/concepts/architecture/garbage-collection/).
 
-## Writing a Cron Job Spec
+## Writing a CronJob Spec {#writing-a-cron-job-spec}
 
-As with all other Kubernetes configs, a cron job needs `apiVersion`, `kind`, and `metadata` fields. For general
-information about working with config files, see [deploying applications](/docs/tasks/run-application/run-stateless-application-deployment/),
+As with all other Kubernetes objects, a CronJob must have `apiVersion`, `kind`, and `metadata` fields.
+For more information about working with Kubernetes objects and their
+{{< glossary_tooltip text="manifests" term_id="manifest" >}}, see the
+[managing resources](/docs/concepts/cluster-administration/manage-deployment/),
 and [using kubectl to manage resources](/docs/concepts/overview/working-with-objects/object-management/) documents.
 
-A cron job config also needs a [`.spec` section](https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status).
+Each manifest for a CrobJob also needs a [`.spec`](/docs/concepts/overview/working-with-objects/kubernetes-objects/#object-spec-and-status) section.
 
 {{< note >}}
-All modifications to a cron job, especially its `.spec`, are applied only to the following runs.
+If you modify a CronJob, the changes you make will apply to new jobs that start to run after your modification
+is complete. Jobs (and their Pods) that have already started continue to run without changes.
+That is, the CronJob does _not_ update existing jobs, even if those remain running.
 {{< /note >}}
 
 ### Schedule
@@ -153,11 +153,11 @@ as schedule time of its jobs to be created and executed.
 The format also includes extended "Vixie cron" step values. As explained in the
 [FreeBSD manual](https://www.freebsd.org/cgi/man.cgi?crontab%285%29):
 
-> Step values can be	used in	conjunction with ranges.  Following a range
-> with `/<number>` specifies skips	of the number's	value through the
-> range.  For example, `0-23/2` can be used in the	hours field to specify
-> command execution every other hour	(the alternative in the	V7 standard is
-> `0,2,4,6,8,10,12,14,16,18,20,22`).  Steps are also permitted after an
+> Step values can be used in conjunction with ranges. Following a range
+> with `/<number>` specifies skips of the number's value through the
+> range. For example, `0-23/2` can be used in the hours field to specify
+> command execution every other hour (the alternative in the V7 standard is
+> `0,2,4,6,8,10,12,14,16,18,20,22`). Steps are also permitted after an
 > asterisk, so if you want to say "every two hours", just use `*/2`.
 
 {{< note >}}
@@ -221,5 +221,3 @@ The `.spec.successfulJobsHistoryLimit` and `.spec.failedJobsHistoryLimit` fields
 These fields specify how many completed and failed jobs should be kept.
 By default, they are set to 3 and 1 respectively.  Setting a limit to `0` corresponds to keeping
 none of the corresponding kind of jobs after they finish.
-
-
diff --git a/content/en/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md b/content/en/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
index 70e514b4732..16547f0bf45 100644
--- a/content/en/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
+++ b/content/en/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
@@ -7,7 +7,7 @@ description: Configure the kubelet's image credential provider plugin
 content_type: task
 ---
 
-{{< feature-state for_k8s_version="v1.20" state="alpha" >}}
+{{< feature-state for_k8s_version="v1.24" state="beta" >}}
 
 <!-- overview -->
 
diff --git a/content/en/docs/tasks/manage-kubernetes-objects/imperative-command.md b/content/en/docs/tasks/manage-kubernetes-objects/imperative-command.md
index 8e0670a89f1..07c631bc3a6 100644
--- a/content/en/docs/tasks/manage-kubernetes-objects/imperative-command.md
+++ b/content/en/docs/tasks/manage-kubernetes-objects/imperative-command.md
@@ -165,8 +165,8 @@ kubectl create --edit -f /tmp/srv.yaml
 ## {{% heading "whatsnext" %}}
 
 
-* [Managing Kubernetes Objects Using Object Configuration (Imperative)](/docs/tasks/manage-kubernetes-objects/imperative-config/)
-* [Managing Kubernetes Objects Using Object Configuration (Declarative)](/docs/tasks/manage-kubernetes-objects/declarative-config/)
+* [Imperative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/imperative-config/)
+* [Declarative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/declarative-config/)
 * [Kubectl Command Reference](/docs/reference/generated/kubectl/kubectl-commands/)
 * [Kubernetes API Reference](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)
 
diff --git a/content/en/docs/tasks/manage-kubernetes-objects/imperative-config.md b/content/en/docs/tasks/manage-kubernetes-objects/imperative-config.md
index 87cc423da7f..4e59491c62f 100644
--- a/content/en/docs/tasks/manage-kubernetes-objects/imperative-config.md
+++ b/content/en/docs/tasks/manage-kubernetes-objects/imperative-config.md
@@ -161,7 +161,7 @@ template:
 
 
 * [Managing Kubernetes Objects Using Imperative Commands](/docs/tasks/manage-kubernetes-objects/imperative-command/)
-* [Managing Kubernetes Objects Using Object Configuration (Declarative)](/docs/tasks/manage-kubernetes-objects/declarative-config/)
+* [Declarative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/declarative-config/)
 * [Kubectl Command Reference](/docs/reference/generated/kubectl/kubectl-commands/)
 * [Kubernetes API Reference](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)
 
diff --git a/content/en/docs/tasks/network/validate-dual-stack.md b/content/en/docs/tasks/network/validate-dual-stack.md
index 33a8d390914..a27fc8050de 100644
--- a/content/en/docs/tasks/network/validate-dual-stack.md
+++ b/content/en/docs/tasks/network/validate-dual-stack.md
@@ -134,7 +134,7 @@ spec:
     protocol: TCP
     targetPort: 9376
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   sessionAffinity: None
   type: ClusterIP
 status:
@@ -158,7 +158,7 @@ apiVersion: v1
 kind: Service
 metadata:
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   name: my-service
 spec:
   clusterIP: fd00::5118
@@ -172,7 +172,7 @@ spec:
     protocol: TCP
     targetPort: 80
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   sessionAffinity: None
   type: ClusterIP
 status:
@@ -187,7 +187,7 @@ Create the following Service that explicitly defines `PreferDualStack` in `.spec
 The `kubectl get svc` command will only show the primary IP in the `CLUSTER-IP` field.
 
 ```shell
-kubectl get svc -l app=MyApp
+kubectl get svc -l app.kubernetes.io/name=MyApp
 
 NAME         TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
 my-service   ClusterIP   10.0.216.242   <none>        80/TCP    5s
@@ -197,15 +197,15 @@ my-service   ClusterIP   10.0.216.242   <none>        80/TCP    5s
 Validate that the Service gets cluster IPs from the IPv4 and IPv6 address blocks using `kubectl describe`. You may then validate access to the service via the IPs and ports.
 
 ```shell
-kubectl describe svc -l app=MyApp
+kubectl describe svc -l app.kubernetes.io/name=MyApp
 ```
 
 ```
 Name:              my-service
 Namespace:         default
-Labels:            app=MyApp
+Labels:            app.kubernetes.io/name=MyApp
 Annotations:       <none>
-Selector:          app=MyApp
+Selector:          app.kubernetes.io/name=MyApp
 Type:              ClusterIP
 IP Family Policy:  PreferDualStack
 IP Families:       IPv4,IPv6
@@ -220,14 +220,14 @@ Events:            <none>
 
 ### Create a dual-stack load balanced Service
 
-If the cloud provider supports the provisioning of IPv6 enabled external load balancers, create the following Service with `PreferDualStack` in `.spec.ipFamilyPolicy`, `IPv6` as the first element of the `.spec.ipFamilies` array and the `type` field set to `LoadBalancer`. 
+If the cloud provider supports the provisioning of IPv6 enabled external load balancers, create the following Service with `PreferDualStack` in `.spec.ipFamilyPolicy`, `IPv6` as the first element of the `.spec.ipFamilies` array and the `type` field set to `LoadBalancer`.
 
 {{< codenew file="service/networking/dual-stack-prefer-ipv6-lb-svc.yaml" >}}
 
 Check the Service:
 
 ```shell
-kubectl get svc -l app=MyApp
+kubectl get svc -l app.kubernetes.io/name=MyApp
 ```
 
 Validate that the Service receives a `CLUSTER-IP` address from the IPv6 address block along with an `EXTERNAL-IP`. You may then validate access to the service via the IP and port.
diff --git a/content/en/docs/tasks/run-application/delete-stateful-set.md b/content/en/docs/tasks/run-application/delete-stateful-set.md
index eff3aaee176..a867b73a617 100644
--- a/content/en/docs/tasks/run-application/delete-stateful-set.md
+++ b/content/en/docs/tasks/run-application/delete-stateful-set.md
@@ -50,10 +50,10 @@ For example:
 kubectl delete -f <file.yaml> --cascade=orphan
 ```
 
-By passing `--cascade=orphan` to `kubectl delete`, the Pods managed by the StatefulSet are left behind even after the StatefulSet object itself is deleted. If the pods have a label `app=myapp`, you can then delete them as follows:
+By passing `--cascade=orphan` to `kubectl delete`, the Pods managed by the StatefulSet are left behind even after the StatefulSet object itself is deleted. If the pods have a label `app.kubernetes.io/name=MyApp`, you can then delete them as follows:
 
 ```shell
-kubectl delete pods -l app=myapp
+kubectl delete pods -l app.kubernetes.io/name=MyApp
 ```
 
 ### Persistent Volumes
@@ -70,13 +70,13 @@ To delete everything in a StatefulSet, including the associated pods, you can ru
 
 ```shell
 grace=$(kubectl get pods <stateful-set-pod> --template '{{.spec.terminationGracePeriodSeconds}}')
-kubectl delete statefulset -l app=myapp
+kubectl delete statefulset -l app.kubernetes.io/name=MyApp
 sleep $grace
-kubectl delete pvc -l app=myapp
+kubectl delete pvc -l app.kubernetes.io/name=MyApp
 
 ```
 
-In the example above, the Pods have the label `app=myapp`; substitute your own label as appropriate.
+In the example above, the Pods have the label `app.kubernetes.io/name=MyApp`; substitute your own label as appropriate.
 
 ### Force deletion of StatefulSet pods
 
diff --git a/content/en/docs/tasks/run-application/run-replicated-stateful-application.md b/content/en/docs/tasks/run-application/run-replicated-stateful-application.md
index 8d9e754c2e3..89127691e99 100644
--- a/content/en/docs/tasks/run-application/run-replicated-stateful-application.md
+++ b/content/en/docs/tasks/run-application/run-replicated-stateful-application.md
@@ -206,7 +206,7 @@ Ready before starting Pod `N+1`.
 After the init containers complete successfully, the regular containers run.
 The MySQL Pods consist of a `mysql` container that runs the actual `mysqld`
 server, and an `xtrabackup` container that acts as a
-[sidecar](https://kubernetes.io/blog/2015/06/the-distributed-system-toolkit-patterns).
+[sidecar](/blog/2015/06/the-distributed-system-toolkit-patterns).
 
 The `xtrabackup` sidecar looks at the cloned data files and determines if
 it's necessary to initialize MySQL replication on the replica.
diff --git a/content/en/docs/tasks/tls/managing-tls-in-a-cluster.md b/content/en/docs/tasks/tls/managing-tls-in-a-cluster.md
index 2ca497842d0..bca428d7501 100644
--- a/content/en/docs/tasks/tls/managing-tls-in-a-cluster.md
+++ b/content/en/docs/tasks/tls/managing-tls-in-a-cluster.md
@@ -18,7 +18,7 @@ draft](https://github.com/ietf-wg-acme/acme/).
 
 {{< note >}}
 Certificates created using the `certificates.k8s.io` API are signed by a
-[dedicated CA](#a-note-to-cluster-administrators). It is possible to configure your cluster to use the cluster root
+[dedicated CA](#configuring-your-cluster-to-provide-signing). It is possible to configure your cluster to use the cluster root
 CA for this purpose, but you should never rely on this. Do not assume that
 these certificates will validate against the cluster root CA.
 {{< /note >}}
@@ -42,7 +42,7 @@ install it via your operating system's software sources, or fetch it from
 
 ## Trusting TLS in a cluster
 
-Trusting the [custom CA](#a-note-to-cluster-administrators) from an application running as a pod usually requires
+Trusting the [custom CA](#configuring-your-cluster-to-provide-signing) from an application running as a pod usually requires
 some extra application configuration. You will need to add the CA certificate
 bundle to the list of CA certificates that the TLS client or server trusts. For
 example, you would do this with a golang TLS config by parsing the certificate
diff --git a/content/en/docs/tasks/tools/install-kubectl-linux.md b/content/en/docs/tasks/tools/install-kubectl-linux.md
index d027ab647d8..77af85d887c 100644
--- a/content/en/docs/tasks/tools/install-kubectl-linux.md
+++ b/content/en/docs/tasks/tools/install-kubectl-linux.md
@@ -110,9 +110,19 @@ For example, to download version {{< param "fullversion" >}} on Linux, type:
 
    ```shell
    sudo apt-get update
-   sudo apt-get install -y apt-transport-https ca-certificates curl
+   sudo apt-get install -y ca-certificates curl
    ```
-
+   
+   {{< note >}}
+   
+   If you use Debian 9 (stretch) or earlier you would also need to install `apt-transport-https`:
+    
+    ```shell
+    sudo apt-get install -y apt-transport-https
+    ```
+   
+   {{< /note >}}
+   
 2. Download the Google Cloud public signing key:
 
    ```shell
diff --git a/content/en/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md b/content/en/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
index dccf214c473..8055f6774eb 100644
--- a/content/en/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
+++ b/content/en/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
@@ -6,34 +6,63 @@ weight: 10
 
 <!-- overview -->
 
-In this tutorial you will learn how and why to externalize your microservice’s configuration.  Specifically, you will learn how to use Kubernetes ConfigMaps and Secrets to set environment variables and then consume them using MicroProfile Config.
+In this tutorial you will learn how and why to externalize your microservice’s configuration.
+Specifically, you will learn how to use Kubernetes ConfigMaps and Secrets to set environment
+variables and then consume them using MicroProfile Config.
 
 
 ## {{% heading "prerequisites" %}}
 
 ### Creating Kubernetes ConfigMaps & Secrets
-There are several ways to set environment variables for a Docker container in Kubernetes, including: Dockerfile, kubernetes.yml, Kubernetes ConfigMaps, and Kubernetes Secrets.  In the tutorial, you will learn how to use the latter two for setting your environment variables whose values will be injected into your microservices.  One of the benefits for using ConfigMaps and Secrets is that they can be re-used across multiple containers, including being assigned to different environment variables for the different containers.
 
-ConfigMaps are API Objects that store non-confidential key-value pairs.  In the Interactive Tutorial you will learn how to use a ConfigMap to store the application's name.  For more information regarding ConfigMaps, you can find the documentation [here](/docs/tasks/configure-pod-container/configure-pod-configmap/).
+There are several ways to set environment variables for a Docker container in Kubernetes,
+including: Dockerfile, kubernetes.yml, Kubernetes ConfigMaps, and Kubernetes Secrets.  In the
+tutorial, you will learn how to use the latter two for setting your environment variables whose
+values will be injected into your microservices.  One of the benefits for using ConfigMaps and
+Secrets is that they can be re-used across multiple containers, including being assigned to
+different environment variables for the different containers.
 
-Although Secrets are also used to store key-value pairs, they differ from ConfigMaps in that they're intended for confidential/sensitive information and are stored using Base64 encoding.  This makes secrets the appropriate choice for storing such things as credentials, keys, and tokens, the former of which you'll do in the Interactive Tutorial.  For more information on Secrets, you can find the documentation [here](/docs/concepts/configuration/secret/).
+ConfigMaps are API Objects that store non-confidential key-value pairs.  In the Interactive
+Tutorial you will learn how to use a ConfigMap to store the application's name.  For more
+information regarding ConfigMaps, you can find the documentation
+[here](/docs/tasks/configure-pod-container/configure-pod-configmap/).
+
+Although Secrets are also used to store key-value pairs, they differ from ConfigMaps in that
+they're intended for confidential/sensitive information and are stored using Base64 encoding.
+This makes secrets the appropriate choice for storing such things as credentials, keys, and
+tokens, the former of which you'll do in the Interactive Tutorial.  For more information on
+Secrets, you can find the documentation [here](/docs/concepts/configuration/secret/).
 
 
 ### Externalizing Config from Code
-Externalized application configuration is useful because configuration usually changes depending on your environment.  In order to accomplish this, we'll use Java's Contexts and Dependency Injection (CDI) and MicroProfile Config. MicroProfile Config is a feature of MicroProfile, a set of open Java technologies for developing and deploying cloud-native microservices.
 
-CDI provides a standard dependency injection capability enabling an application to be assembled from collaborating, loosely-coupled beans.  MicroProfile Config provides apps and microservices a standard way to obtain config properties from various sources, including the application, runtime, and environment.  Based on the source's defined priority, the properties are automatically combined into a single set of properties that the application can access via an API.  Together, CDI & MicroProfile will be used in the Interactive Tutorial to retrieve the externally provided properties from the Kubernetes ConfigMaps and Secrets and get injected into your application code.
+Externalized application configuration is useful because configuration usually changes depending
+on your environment.  In order to accomplish this, we'll use Java's Contexts and Dependency
+Injection (CDI) and MicroProfile Config. MicroProfile Config is a feature of MicroProfile, a set
+of open Java technologies for developing and deploying cloud-native microservices.
 
-Many open source frameworks and runtimes implement and support MicroProfile Config.  Throughout the interactive tutorial, you'll be using Open Liberty, a flexible open-source Java runtime for building and running cloud-native apps and microservices.  However, any MicroProfile compatible runtime could be used instead. 
+CDI provides a standard dependency injection capability enabling an application to be assembled
+from collaborating, loosely-coupled beans.  MicroProfile Config provides apps and microservices a
+standard way to obtain config properties from various sources, including the application, runtime,
+and environment.  Based on the source's defined priority, the properties are automatically
+combined into a single set of properties that the application can access via an API.  Together,
+CDI & MicroProfile will be used in the Interactive Tutorial to retrieve the externally provided
+properties from the Kubernetes ConfigMaps and Secrets and get injected into your application code.
+
+Many open source frameworks and runtimes implement and support MicroProfile Config.  Throughout
+the interactive tutorial, you'll be using Open Liberty, a flexible open-source Java runtime for
+building and running cloud-native apps and microservices.  However, any MicroProfile compatible
+runtime could be used instead. 
 
 
 ## {{% heading "objectives" %}}
 
 * Create a Kubernetes ConfigMap and Secret
 * Inject microservice configuration using MicroProfile Config
-
   
 <!-- lessoncontent -->
 
 ## Example: Externalizing config using MicroProfile, ConfigMaps and Secrets
-### [Start Interactive Tutorial](/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
+
+[Start Interactive Tutorial](/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
+
diff --git a/content/en/docs/tutorials/security/cluster-level-pss.md b/content/en/docs/tutorials/security/cluster-level-pss.md
index 4da0502aca0..3b662efc602 100644
--- a/content/en/docs/tutorials/security/cluster-level-pss.md
+++ b/content/en/docs/tutorials/security/cluster-level-pss.md
@@ -17,14 +17,18 @@ created. This tutorial shows you how to enforce the `baseline` Pod Security
 Standard at the cluster level which applies a standard configuration
 to all namespaces in a cluster.
 
-To apply Pod Security Standards to specific namespaces, refer to [Apply Pod Security Standards at the namespace level](/docs/tutorials/security/ns-level-pss).
+To apply Pod Security Standards to specific namespaces, refer to
+[Apply Pod Security Standards at the namespace level](/docs/tutorials/security/ns-level-pss).
+
+If you are running a version of Kubernetes other than v{{< skew currentVersion >}},
+check the documentation for that version.
 
 ## {{% heading "prerequisites" %}}
 
 Install the following on your workstation:
 
 - [KinD](https://kind.sigs.k8s.io/docs/user/quick-start/#installation)
-- [kubectl](https://kubernetes.io/docs/tasks/tools/)
+- [kubectl](/docs/tasks/tools/)
 
 ## Choose the right Pod Security Standard to apply
 
@@ -38,12 +42,12 @@ that are most appropriate for your configuration, do the following:
 1. Create a cluster with no Pod Security Standards applied:
 
     ```shell
-    kind create cluster --name psa-wo-cluster-pss --image kindest/node:v1.23.0
+    kind create cluster --name psa-wo-cluster-pss --image kindest/node:v1.24.0
     ```
    The output is similar to this:
     ```
     Creating cluster "psa-wo-cluster-pss" ...
-    ✓ Ensuring node image (kindest/node:v1.23.0) 🖼
+    ✓ Ensuring node image (kindest/node:v1.24.0) 🖼
     ✓ Preparing nodes 📦  
     ✓ Writing configuration 📜
     ✓ Starting control-plane 🕹️
@@ -245,12 +249,12 @@ following:
    these Pod Security Standards:
 
    ```shell
-    kind create cluster --name psa-with-cluster-pss --image kindest/node:v1.23.0 --config /tmp/pss/cluster-config.yaml
+    kind create cluster --name psa-with-cluster-pss --image kindest/node:v1.24.0 --config /tmp/pss/cluster-config.yaml
    ```
    The output is similar to this:
    ```
     Creating cluster "psa-with-cluster-pss" ...
-     ✓ Ensuring node image (kindest/node:v1.23.0) 🖼 
+     ✓ Ensuring node image (kindest/node:v1.24.0) 🖼 
      ✓ Preparing nodes 📦  
      ✓ Writing configuration 📜 
      ✓ Starting control-plane 🕹️ 
diff --git a/content/en/docs/tutorials/security/ns-level-pss.md b/content/en/docs/tutorials/security/ns-level-pss.md
index 4a20895df73..43a48d0932d 100644
--- a/content/en/docs/tutorials/security/ns-level-pss.md
+++ b/content/en/docs/tutorials/security/ns-level-pss.md
@@ -17,7 +17,7 @@ one namespace at a time.
 
 You can also apply Pod Security Standards to multiple namespaces at once at the cluster
 level. For instructions, refer to
-[Apply Pod Security Standards at the cluster level](/docs/tutorials/security/cluster-level-pss).
+[Apply Pod Security Standards at the cluster level](/docs/tutorials/security/cluster-level-pss/).
 
 ## {{% heading "prerequisites" %}}
 
diff --git a/content/en/docs/tutorials/stateful-application/zookeeper.md b/content/en/docs/tutorials/stateful-application/zookeeper.md
index cc2bd853f6e..3f57ab3ad47 100644
--- a/content/en/docs/tutorials/stateful-application/zookeeper.md
+++ b/content/en/docs/tutorials/stateful-application/zookeeper.md
@@ -123,7 +123,7 @@ zk-2      1/1       Running   0         40s
 ```
 
 The StatefulSet controller creates three Pods, and each Pod has a container with
-a [ZooKeeper](https://www-us.apache.org/dist/zookeeper/stable/) server.
+a [ZooKeeper](https://archive.apache.org/dist/zookeeper/stable/) server.
 
 ### Facilitating leader election
 
@@ -305,7 +305,7 @@ numChildren = 0
 
 ### Providing durable storage
 
-As mentioned in the [ZooKeeper Basics](#zookeeper-basics) section,
+As mentioned in the [ZooKeeper Basics](#zookeeper) section,
 ZooKeeper commits all entries to a durable WAL, and periodically writes snapshots
 in memory state, to storage media. Using WALs to provide durability is a common
 technique for applications that use consensus protocols to achieve a replicated
diff --git a/content/en/examples/admin/konnectivity/egress-selector-configuration.yaml b/content/en/examples/admin/konnectivity/egress-selector-configuration.yaml
index c85f25ea515..631e6cc2686 100644
--- a/content/en/examples/admin/konnectivity/egress-selector-configuration.yaml
+++ b/content/en/examples/admin/konnectivity/egress-selector-configuration.yaml
@@ -2,7 +2,7 @@ apiVersion: apiserver.k8s.io/v1beta1
 kind: EgressSelectorConfiguration
 egressSelections:
 # Since we want to control the egress traffic to the cluster, we use the
-# "cluster" as the name. Other supported values are "etcd", and "master".
+# "cluster" as the name. Other supported values are "etcd", and "controlplane".
 - name: cluster
   connection:
     # This controls the protocol between the API Server and the Konnectivity
diff --git a/content/en/examples/controllers/job.yaml b/content/en/examples/controllers/job.yaml
index a6e40bc778d..d8befe89dba 100644
--- a/content/en/examples/controllers/job.yaml
+++ b/content/en/examples/controllers/job.yaml
@@ -7,7 +7,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl:5.34
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
   backoffLimit: 4
diff --git a/content/en/examples/pods/pod-with-affinity-anti-affinity.yaml b/content/en/examples/pods/pod-with-affinity-anti-affinity.yaml
index 5dcc7693b67..10d3056f2d2 100644
--- a/content/en/examples/pods/pod-with-affinity-anti-affinity.yaml
+++ b/content/en/examples/pods/pod-with-affinity-anti-affinity.yaml
@@ -8,11 +8,10 @@ spec:
       requiredDuringSchedulingIgnoredDuringExecution:
         nodeSelectorTerms:
         - matchExpressions:
-          - key: topology.kubernetes.io/zone
+          - key: kubernetes.io/os
             operator: In
             values:
-            - antarctica-east1
-            - antarctica-west1
+            - linux
       preferredDuringSchedulingIgnoredDuringExecution:
       - weight: 1
         preference:
diff --git a/content/en/examples/pods/pod-with-node-affinity.yaml b/content/en/examples/pods/pod-with-node-affinity.yaml
index e077f79883e..ebc6f144903 100644
--- a/content/en/examples/pods/pod-with-node-affinity.yaml
+++ b/content/en/examples/pods/pod-with-node-affinity.yaml
@@ -8,10 +8,11 @@ spec:
       requiredDuringSchedulingIgnoredDuringExecution:
         nodeSelectorTerms:
         - matchExpressions:
-          - key: kubernetes.io/os
+          - key: topology.kubernetes.io/zone
             operator: In
             values:
-            - linux
+            - antarctica-east1
+            - antarctica-west1
       preferredDuringSchedulingIgnoredDuringExecution:
       - weight: 1
         preference:
diff --git a/content/en/examples/service/networking/dual-stack-default-svc.yaml b/content/en/examples/service/networking/dual-stack-default-svc.yaml
index 86eadd5478a..a42c7d8a251 100644
--- a/content/en/examples/service/networking/dual-stack-default-svc.yaml
+++ b/content/en/examples/service/networking/dual-stack-default-svc.yaml
@@ -3,10 +3,10 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml b/content/en/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
index 7c7239cae6c..77949c883f0 100644
--- a/content/en/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
+++ b/content/en/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
@@ -3,12 +3,12 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilies:
   - IPv6
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/examples/service/networking/dual-stack-ipv6-svc.yaml b/content/en/examples/service/networking/dual-stack-ipv6-svc.yaml
index 2aa0725059b..feb12f61a91 100644
--- a/content/en/examples/service/networking/dual-stack-ipv6-svc.yaml
+++ b/content/en/examples/service/networking/dual-stack-ipv6-svc.yaml
@@ -5,8 +5,8 @@ metadata:
 spec:
   ipFamily: IPv6
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
-      targetPort: 9376
\ No newline at end of file
+      targetPort: 9376
diff --git a/content/en/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml b/content/en/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
index 0949a754281..5a4a99a45ca 100644
--- a/content/en/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
+++ b/content/en/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
@@ -3,14 +3,14 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilyPolicy: PreferDualStack
   ipFamilies:
   - IPv6
   type: LoadBalancer
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml b/content/en/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
index c31acfec581..79a4f34a7f7 100644
--- a/content/en/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
+++ b/content/en/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
@@ -3,14 +3,14 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilyPolicy: PreferDualStack
   ipFamilies:
   - IPv6
   - IPv4
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/examples/service/networking/dual-stack-preferred-svc.yaml b/content/en/examples/service/networking/dual-stack-preferred-svc.yaml
index 8fb5bfa3d34..66d42b96129 100644
--- a/content/en/examples/service/networking/dual-stack-preferred-svc.yaml
+++ b/content/en/examples/service/networking/dual-stack-preferred-svc.yaml
@@ -3,11 +3,11 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilyPolicy: PreferDualStack
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/en/releases/patch-releases.md b/content/en/releases/patch-releases.md
index 91bdcc58bb9..f263e431c2a 100644
--- a/content/en/releases/patch-releases.md
+++ b/content/en/releases/patch-releases.md
@@ -78,7 +78,6 @@ releases may also occur in between these.
 
 | Monthly Patch Release | Cherry Pick Deadline | Target date |
 | --------------------- | -------------------- | ----------- |
-| July 2022             | 2022-07-08           | 2022-07-13  |
 | August 2022           | 2022-08-12           | 2022-08-17  |
 | September 2022        | 2022-09-09           | 2022-09-14  |
 | October 2022          | 2022-10-07           | 2022-10-12  |
@@ -87,24 +86,28 @@ releases may also occur in between these.
 
 ### 1.24
 
-Next patch release is **1.24.1**
+Next patch release is **1.24.4**
 
-End of Life for **1.24** is **2023-09-29**
+End of Life for **1.24** is **2023-07-28**
 
 | PATCH RELEASE | CHERRY PICK DEADLINE | TARGET DATE | NOTE |
 |---------------|----------------------|-------------|------|
+| 1.24.4        | 2022-08-12           | 2022-08-17  |      |
 | 1.24.3        | 2022-07-08           | 2022-07-13  |      |
 | 1.24.2        | 2022-06-10           | 2022-06-15  |      |
 | 1.24.1        | 2022-05-20           | 2022-05-24  |      |
 
 ### 1.23
 
+Next patch release is **1.23.10**
+
 **1.23** enters maintenance mode on **2022-12-28**.
 
 End of Life for **1.23** is **2023-02-28**.
 
 | Patch Release | Cherry Pick Deadline | Target Date | Note |
 |---------------|----------------------|-------------|------|
+| 1.23.10       | 2022-08-12           | 2022-08-17  |      |
 | 1.23.9        | 2022-07-08           | 2022-07-13  |      |
 | 1.23.8        | 2022-06-10           | 2022-06-15  |      |
 | 1.23.7        | 2022-05-20           | 2022-05-24  |      |
@@ -117,12 +120,15 @@ End of Life for **1.23** is **2023-02-28**.
 
 ### 1.22
 
+Next patch release is **1.22.13**
+
 **1.22** enters maintenance mode on **2022-08-28**
 
 End of Life for **1.22** is **2022-10-28**
 
 | Patch Release | Cherry Pick Deadline | Target Date | Note |
 |---------------|----------------------|-------------|------|
+| 1.22.13       | 2022-08-12           | 2022-08-17  |      |
 | 1.22.12       | 2022-07-08           | 2022-07-13  |      |
 | 1.22.11       | 2022-06-10           | 2022-06-15  |      |
 | 1.22.10       | 2022-05-20           | 2022-05-24  |      |
diff --git a/content/en/releases/release-managers.md b/content/en/releases/release-managers.md
index b3a562c9e3a..61afd672679 100644
--- a/content/en/releases/release-managers.md
+++ b/content/en/releases/release-managers.md
@@ -4,8 +4,8 @@ type: docs
 ---
 
 "Release Managers" is an umbrella term that encompasses the set of Kubernetes
-contributors responsible for maintaining release branches, tagging releases,
-and building/packaging Kubernetes.
+contributors responsible for maintaining release branches and creating releases
+by using the tools SIG Release provides.
 
 The responsibilities of each role are described below.
 
@@ -69,7 +69,7 @@ Release Managers are responsible for:
   - Reviewing cherry picks
   - Ensuring the release branch stays healthy and that no unintended patch
     gets merged
-- Mentoring the [Release Manager Associates](#associates) group
+- Mentoring the [Release Manager Associates](#release-manager-associates) group
 - Actively developing features and maintaining the code in k/release
 - Supporting Release Manager Associates and contributors through actively
   participating in the Buddy program
@@ -133,7 +133,9 @@ referred to as Release Manager shadows. They are responsible for:
 GitHub Mentions: @kubernetes/release-engineering
 
 - Arnaud Meukam ([@ameukam](https://github.com/ameukam))
+- Jeremy Rickard ([@jeremyrickard](https://github.com/jeremyrickard))
 - Jim Angel ([@jimangel](https://github.com/jimangel))
+- Joseph Sandoval ([@jrsapi](https://github.com/jrsapi))
 - Joyce Kung ([@thejoycekung](https://github.com/thejoycekung))
 - Max Körbächer ([@mkorbi](https://github.com/mkorbi))
 - Seth McCombs ([@sethmccombs](https://github.com/sethmccombs))
@@ -212,7 +214,7 @@ Example: [1.15 Release Team](https://git.k8s.io/sig-release/releases/release-1.1
 [handbook-packaging]: https://git.k8s.io/sig-release/release-engineering/packaging.md
 [handbook-patch-release]: https://git.k8s.io/sig-release/release-engineering/role-handbooks/patch-release-team.md
 [k-sig-release-releases]: https://git.k8s.io/sig-release/releases
-[patches]: /patch-releases.md
+[patches]: /releases/patch-releases/
 [src]: https://git.k8s.io/community/committee-security-response/README.md
 [release-team]: https://git.k8s.io/sig-release/release-team/README.md
 [security-release-process]: https://git.k8s.io/security/security-release-process.md
diff --git a/content/en/releases/release.md b/content/en/releases/release.md
index f69424b7f9f..e0d21c0df16 100644
--- a/content/en/releases/release.md
+++ b/content/en/releases/release.md
@@ -124,7 +124,7 @@ The general labeling process should be consistent across artifact types.
   referring to a release MAJOR.MINOR `vX.Y` version.
 
   See also
-  [release versioning](https://git.k8s.io/design-proposals-archive/release/versioning.md).
+  [release versioning](https://git.k8s.io/sig-release/release-engineering/versioning.md).
 
 - *release branch*: Git branch `release-X.Y` created for the `vX.Y` milestone.
 
@@ -136,7 +136,7 @@ The general labeling process should be consistent across artifact types.
 
 ## The Release Cycle
 
-![Image of one Kubernetes release cycle](release-cycle.jpg)
+![Image of one Kubernetes release cycle](/images/releases/release-cycle.jpg)
 
 Kubernetes releases currently happen approximately three times per year.
 
@@ -204,7 +204,7 @@ back to the release branch. The release is built from the release branch.
 
 Each release is part of a broader Kubernetes lifecycle:
 
-![Image of Kubernetes release lifecycle spanning three releases](release-lifecycle.jpg)
+![Image of Kubernetes release lifecycle spanning three releases](/images/releases/release-lifecycle.jpg)
 
 ## Removal Of Items From The Milestone
 
@@ -281,7 +281,7 @@ Issues are marked as targeting a milestone via the Prow "/milestone" command.
 The Release Team's [Bug Triage Lead](https://git.k8s.io/sig-release/release-team/role-handbooks/bug-triage/README.md)
 and overall community watch incoming issues and triage them, as described in
 the contributor guide section on
-[issue triage](/contributors/guide/issue-triage.md).
+[issue triage](https://k8s.dev/docs/guide/issue-triage/).
 
 Marking issues with the milestone provides the community better visibility
 regarding when an issue was observed and by when the community feels it must be
@@ -355,11 +355,11 @@ issue kind labels must be set:
 - `kind/feature`: New functionality.
 - `kind/flake`: CI test case is showing intermittent failures.
 
-[cherry-picks]: /contributors/devel/sig-release/cherry-picks.md
+[cherry-picks]: https://git.k8s.io/community/contributors/devel/sig-release/cherry-picks.md
 [code-freeze]: https://git.k8s.io/sig-release/releases/release_phases.md#code-freeze
 [enhancements-freeze]: https://git.k8s.io/sig-release/releases/release_phases.md#enhancements-freeze
 [exceptions]: https://git.k8s.io/sig-release/releases/release_phases.md#exceptions
 [keps]: https://git.k8s.io/enhancements/keps
-[release-managers]: https://kubernetes.io/releases/release-managers/
+[release-managers]: /releases/release-managers/
 [release-team]: https://git.k8s.io/sig-release/release-team
-[sig-list]: /sig-list.md
\ No newline at end of file
+[sig-list]: https://k8s.dev/sigs
diff --git a/content/en/releases/version-skew-policy.md b/content/en/releases/version-skew-policy.md
index 730f892c80c..0d1c96f9226 100644
--- a/content/en/releases/version-skew-policy.md
+++ b/content/en/releases/version-skew-policy.md
@@ -21,12 +21,12 @@ Specific cluster deployment tools may place additional restrictions on version s
 ## Supported versions
 
 Kubernetes versions are expressed as **x.y.z**, where **x** is the major version, **y** is the minor version, and **z** is the patch version, following [Semantic Versioning](https://semver.org/) terminology.
-For more information, see [Kubernetes Release Versioning](https://git.k8s.io/design-proposals-archive/release/versioning.md#kubernetes-release-versioning).
+For more information, see [Kubernetes Release Versioning](https://git.k8s.io/sig-release/release-engineering/versioning.md#kubernetes-release-versioning).
 
 The Kubernetes project maintains release branches for the most recent three minor releases ({{< skew currentVersion >}}, {{< skew currentVersionAddMinor -1 >}}, {{< skew currentVersionAddMinor -2 >}}).  Kubernetes 1.19 and newer receive approximately 1 year of patch support. Kubernetes 1.18 and older received approximately 9 months of patch support.
 
 Applicable fixes, including security fixes, may be backported to those three release branches, depending on severity and feasibility.
-Patch releases are cut from those branches at a [regular cadence](https://kubernetes.io/releases/patch-releases/#cadence), plus additional urgent releases, when required.
+Patch releases are cut from those branches at a [regular cadence](/releases/patch-releases/#cadence), plus additional urgent releases, when required.
 
 The [Release Managers](/releases/release-managers/) group owns this decision.
 
diff --git a/content/es/_index.html b/content/es/_index.html
index af07c0764bb..1a5d8d06cdf 100644
--- a/content/es/_index.html
+++ b/content/es/_index.html
@@ -41,12 +41,12 @@ Kubernetes es código abierto lo que le brinda la libertad de aprovechar su infr
         <button id="desktopShowVideoButton" onclick="kub.showVideo()">Ver vídeo</button>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/events/kubecon-cloudnativecon-north-america-2019" button id="desktopKCButton">Asista a la KubeCon en San Diego del 18 al 21 de Nov. 2019</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/" button id="desktopKCButton">Asista a la KubeCon en Norte América del 24 al 28 de Octubre 2022</a>
         <br>
         <br>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/events/kubecon-cloudnativecon-europe-2020/" button id="desktopKCButton">Asista a la KubeCon en Amsterdam del 30 Marzo al 2 Abril</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2023/" button id="desktopKCButton">Asista a la KubeCon en Europa del 17 al 21 de Abril 2023</a>
 </div>
 <div id="videoPlayer">
     <iframe data-url="https://www.youtube.com/embed/H06qrNmGqyE?autoplay=1" frameborder="0" allowfullscreen></iframe>
diff --git a/content/es/docs/concepts/architecture/nodes.md b/content/es/docs/concepts/architecture/nodes.md
index d2313849eff..ccb3e582905 100644
--- a/content/es/docs/concepts/architecture/nodes.md
+++ b/content/es/docs/concepts/architecture/nodes.md
@@ -8,7 +8,7 @@ weight: 10
 
 <!-- overview -->
 
-Un nodo es una máquina de trabajo en Kubernetes, previamente conocida como `minion`. Un nodo puede ser una máquina virtual o física, dependiendo del tipo de clúster. Cada nodo está gestionado por el componente máster y contiene los servicios necesarios para ejecutar [pods](/docs/concepts/workloads/pods/pod). Los servicios en un nodo incluyen el [container runtime](/docs/concepts/overview/components/#node-components), kubelet y el kube-proxy. Accede a la sección [The Kubernetes Node](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md#the-kubernetes-node) en el documento de diseño de arquitectura para más detalle.
+Un nodo es una máquina de trabajo en Kubernetes, previamente conocida como `minion`. Un nodo puede ser una máquina virtual o física, dependiendo del tipo de clúster. Cada nodo está gestionado por el componente máster y contiene los servicios necesarios para ejecutar [pods](/docs/concepts/workloads/pods/pod). Los servicios en un nodo incluyen el [container runtime](/docs/concepts/overview/components/#node-components), kubelet y el kube-proxy. Accede a la sección [The Kubernetes Node](https://git.k8s.io/design-proposals-archive/architecture/architecture.md#the-kubernetes-node) en el documento de diseño de arquitectura para más detalle.
 
 
 
diff --git a/content/es/docs/concepts/configuration/manage-resources-containers.md b/content/es/docs/concepts/configuration/manage-resources-containers.md
index 9630d271ba7..4cdc6c4a26a 100644
--- a/content/es/docs/concepts/configuration/manage-resources-containers.md
+++ b/content/es/docs/concepts/configuration/manage-resources-containers.md
@@ -676,7 +676,7 @@ La cantidad de recursos disponibles para los pods es menor que la capacidad del
 los demonios del sistema utilizan una parte de los recursos disponibles. El campo `allocatable`
 [NodeStatus](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#nodestatus-v1-core)
 indica la cantidad de recursos que están disponibles para los Pods. Para más información, mira 
-[Node Allocatable Resources](https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md).
+[Node Allocatable Resources](https://git.k8s.io/design-proposals-archive/node/node-allocatable.md).
 
 La característica [resource quota](/docs/concepts/policy/resource-quotas/) se puede configurar
 para limitar la cantidad total de recursos que se pueden consumir. Si se usa en conjunto
@@ -757,7 +757,7 @@ Puedes ver que el Contenedor fué terminado a causa de `reason:OOM Killed`, dond
 * Obtén experiencia práctica [assigning CPU resources to Containers and Pods](/docs/tasks/configure-pod-container/assign-cpu-resource/).
 
 * Para más detalles sobre la diferencia entre solicitudes y límites, mira
-  [Resource QoS](https://git.k8s.io/community/contributors/design-proposals/node/resource-qos.md).
+  [Resource QoS](https://git.k8s.io/design-proposals-archive/node/resource-qos.md).
 
 * Lee [Container](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#container-v1-core) referencia de API
 
diff --git a/content/es/docs/concepts/configuration/pod-overhead.md b/content/es/docs/concepts/configuration/pod-overhead.md
index 0d7a89bcd69..baaf8a902fc 100644
--- a/content/es/docs/concepts/configuration/pod-overhead.md
+++ b/content/es/docs/concepts/configuration/pod-overhead.md
@@ -38,4 +38,4 @@ Para obtener más detalles vea la [documentación sobre autorización](/docs/ref
 <!-- whatsnext -->
 
 * [RuntimeClass](/docs/concepts/containers/runtime-class/)
-* [PodOverhead Design](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190226-pod-overhead.md)
+* [Diseño de capacidad de PodOverhead](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/688-pod-overhead)
diff --git a/content/es/docs/concepts/configuration/secret.md b/content/es/docs/concepts/configuration/secret.md
index 8fd08c02854..ffbc78fa700 100644
--- a/content/es/docs/concepts/configuration/secret.md
+++ b/content/es/docs/concepts/configuration/secret.md
@@ -14,7 +14,7 @@ weight: 50
 
 Los objetos de tipo {{< glossary_tooltip text="Secret" term_id="secret" >}} en Kubernetes te permiten almacenar y administrar información confidencial, como
 contraseñas, tokens OAuth y llaves ssh.  Poniendo esta información en un Secret
-es más seguro y más flexible que ponerlo en la definición de un {{< glossary_tooltip term_id="pod" >}} o en un {{< glossary_tooltip text="container image" term_id="image" >}}. Ver [Secrets design document](https://git.k8s.io/community/contributors/design-proposals/auth/secrets.md) para más información.
+es más seguro y más flexible que ponerlo en la definición de un {{< glossary_tooltip term_id="pod" >}} o en un {{< glossary_tooltip text="container image" term_id="image" >}}. Ver [Secrets design document](https://git.k8s.io/design-proposals-archive/auth/secrets.md) para más información.
 
 <!-- body -->
 
@@ -345,7 +345,7 @@ echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
 ## Usando Secrets
 
 Los Secrets se pueden montar como volúmenes de datos o ser expuestos como 
-{{< glossary_tooltip text="variables de ambiente" term_id="container-env-variables" >}}
+{{< glossary_tooltip text="variables de entorno" term_id="container-env-variables" >}}
 para ser usados por un contenedor en un pod.  También pueden ser utilizados por otras partes del sistema, 
 sin estar directamente expuesto en el pod.  Por ejemplo, pueden tener credenciales que otras partes del sistema usan para interactuar con sistemas externos en su nombre.
 
diff --git a/content/es/docs/concepts/containers/container-environment-variables.md b/content/es/docs/concepts/containers/container-environment-variables.md
index 7f35309329c..f266ff7796b 100644
--- a/content/es/docs/concepts/containers/container-environment-variables.md
+++ b/content/es/docs/concepts/containers/container-environment-variables.md
@@ -48,7 +48,7 @@ FOO_SERVICE_HOST=<El host donde está funcionando el servicio>
 FOO_SERVICE_PORT=<El puerto dónde está funcionando el servicio>
 ```
 Los servicios tienen direcciones IP dedicadas y están disponibles para el Container a través de DNS,
-si el [complemento para DNS](http://releases.k8s.io/{{< param "githubbranch" >}}/cluster/addons/dns/) está habilitado.
+si el [complemento para DNS](http://releases.k8s.io/master/cluster/addons/dns/) está habilitado.
 
 
 
diff --git a/content/es/docs/concepts/containers/runtime-class.md b/content/es/docs/concepts/containers/runtime-class.md
index fa27366b35a..ef4c5e0d2c8 100644
--- a/content/es/docs/concepts/containers/runtime-class.md
+++ b/content/es/docs/concepts/containers/runtime-class.md
@@ -202,4 +202,4 @@ cuentan en Kubernetes.
 - [Diseño de RuntimeClass](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/585-runtime-class/README.md)
 - [Diseño de programación de RuntimeClass](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/585-runtime-class/README.md#runtimeclass-scheduling)
 - Leer sobre el concepto de [Pod Overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
-- [Diseño de capacidad de PodOverhead](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/20190226-pod-overhead.md)
+- [Diseño de capacidad de PodOverhead](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/688-pod-overhead)
diff --git a/content/es/docs/concepts/overview/kubernetes-api.md b/content/es/docs/concepts/overview/kubernetes-api.md
index 25cfe180493..54155a63026 100644
--- a/content/es/docs/concepts/overview/kubernetes-api.md
+++ b/content/es/docs/concepts/overview/kubernetes-api.md
@@ -66,7 +66,7 @@ Para facilitar la eliminación de propiedades o reestructurar la representación
 
 Se versiona a nivel de la API en vez de a nivel de los recursos o propiedades para asegurarnos de que la API presenta una visión clara y consistente de los recursos y el comportamiento del sistema, y para controlar el acceso a las APIs experimentales o que estén terminando su ciclo de vida. Los esquemas de serialización JSON y Protobuf siguen los mismos lineamientos para los cambios, es decir, estas descripciones cubren ambos formatos.
 
-Se ha de tener en cuenta que hay una relación indirecta entre el versionado de la API y el versionado del resto del software. La propuesta de [versionado de la API y releases](https://git.k8s.io/community/contributors/design-proposals/release/versioning.md) describe esta relación.
+Se ha de tener en cuenta que hay una relación indirecta entre el versionado de la API y el versionado del resto del software. La propuesta de [versionado de la API y releases](https://git.k8s.io/design-proposals-archive/release/versioning.md) describe esta relación.
 
 Las distintas versiones de la API implican distintos niveles de estabilidad y soporte. El criterio para cada nivel se describe en detalle en la documentación de [Cambios a la API](https://git.k8s.io/community/contributors/devel/sig-architecture/api_changes.md#alpha-beta-and-stable-versions). A continuación se ofrece un resumen:
 
@@ -89,7 +89,7 @@ Las distintas versiones de la API implican distintos niveles de estabilidad y so
 
 ## Grupos de API
 
-Para que sea más fácil extender la API de Kubernetes, se han creado los [*grupos de API*](https://git.k8s.io/community/contributors/design-proposals/api-machinery/api-group.md).
+Para que sea más fácil extender la API de Kubernetes, se han creado los [*grupos de API*](https://git.k8s.io/design-proposals-archive/api-machinery/api-group.md).
 Estos grupos se especifican en una ruta REST y en la propiedad `apiVersion` de un objeto serializado.
 
 Actualmente hay varios grupos de API en uso:
diff --git a/content/es/docs/concepts/overview/what-is-kubernetes.md b/content/es/docs/concepts/overview/what-is-kubernetes.md
index 510f32202d8..9fe53180b27 100644
--- a/content/es/docs/concepts/overview/what-is-kubernetes.md
+++ b/content/es/docs/concepts/overview/what-is-kubernetes.md
@@ -60,7 +60,7 @@ APIs](/docs/concepts/api-extension/custom-resources/)
 desde una [herramienta de línea de comandos](/docs/user-guide/kubectl-overview/).
 
 Este
-[diseño](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md)
+[diseño](https://git.k8s.io/design-proposals-archive/architecture/architecture.md)
 ha permitido que otros sistemas sean construidos sobre Kubernetes.
 
 ## Lo que Kubernetes no es
diff --git a/content/es/docs/concepts/overview/working-with-objects/names.md b/content/es/docs/concepts/overview/working-with-objects/names.md
index ef241f6aff5..f683b3d9854 100644
--- a/content/es/docs/concepts/overview/working-with-objects/names.md
+++ b/content/es/docs/concepts/overview/working-with-objects/names.md
@@ -10,7 +10,7 @@ Todos los objetos de la API REST de Kubernetes se identifica de forma inequívoc
 
 Para aquellos atributos provistos por el usuario que no son únicos, Kubernetes provee de [etiquetas](/docs/user-guide/labels) y [anotaciones](/docs/concepts/overview/working-with-objects/annotations/).
 
-Echa un vistazo al [documento de diseño de identificadores](https://git.k8s.io/community/contributors/design-proposals/architecture/identifiers.md) para información precisa acerca de las reglas sintácticas de los Nombres y UIDs.
+Echa un vistazo al [documento de diseño de identificadores](https://git.k8s.io/design-proposals-archive/architecture/identifiers.md) para información precisa acerca de las reglas sintácticas de los Nombres y UIDs.
 
 
 
diff --git a/content/es/docs/concepts/policy/limit-range.md b/content/es/docs/concepts/policy/limit-range.md
index 22d4c74f518..5fccd8b13dc 100644
--- a/content/es/docs/concepts/policy/limit-range.md
+++ b/content/es/docs/concepts/policy/limit-range.md
@@ -58,7 +58,7 @@ Ni la contención ni los cambios en un LimitRange afectarán a los recursos ya c
 
 ## {{% heading "whatsnext" %}}
 
-Consulte el [documento de diseño del LimitRanger](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_limit_range.md) para más información.
+Consulte el [documento de diseño del LimitRanger](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_limit_range.md) para más información.
 
 Los siguientes ejemplos utilizan límites y están pendientes de su traducción:
 
diff --git a/content/es/docs/concepts/services-networking/network-policies.md b/content/es/docs/concepts/services-networking/network-policies.md
new file mode 100644
index 00000000000..09f65765a4c
--- /dev/null
+++ b/content/es/docs/concepts/services-networking/network-policies.md
@@ -0,0 +1,287 @@
+---
+reviewers:
+- raelga
+- electrocucaracha
+title: Políticas de red (Network Policies)
+content_type: concept
+weight: 50
+---
+
+<!-- overview -->
+
+Si quieres controlar el tráfico de red a nivel de dirección IP o puerto (capa OSI 3 o 4), puedes considerar el uso de Kubernetes NetworkPolicies para las aplicaciones que corren en tu clúster. Las NetworkPolicies son una estructura enfocada en las aplicaciones que permite establecer cómo un {{< glossary_tooltip text="Pod" term_id="pod">}} puede comunicarse con otras "entidades" (utilizamos la palabra "entidad" para evitar sobrecargar términos más comunes como "Endpoint" o "Service", que tienen connotaciones específicas de Kubernetes) a través de la red. Las NetworkPolicies se aplican a uno o ambos extremos de la conexión a un Pod, sin afectar a otras conexiones.
+
+Las entidades con las que un Pod puede comunicarse son de una combinación de estos 3 tipos:
+
+1. Otros Pods permitidos (excepción: un Pod no puede bloquear el acceso a sí mismo)
+2. Namespaces permitidos
+3. Bloqueos de IP (excepción: el tráfico hacia y desde el nodo donde se ejecuta un Pod siempre está permitido, independientemente de la dirección IP del Pod o del nodo)
+
+Cuando se define una NetworkPolicy basada en Pods o Namespaces, se utiliza un {{< glossary_tooltip text="Selector" term_id="selector">}} para especificar qué tráfico se permite desde y hacia los Pod(s) que coinciden con el selector.
+
+Por otro lado, cuando se crean NetworkPolicies basadas en IP, se definen políticas basadas en bloques de IP (rangos CIDR).
+
+
+  <!-- body -->
+## Prerrequisitos
+
+Las políticas de red son implementadas por el [plugin de red](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/). Para usar políticas de red, debes estar utilizando una solución de red que soporte NetworkPolicy. Crear un recurso NetworkPolicy sin un controlador que lo habilite no tendrá efecto alguno.
+
+
+## Dos Tipos de Aislamiento de Pod
+
+Hay dos tipos de aislamiento para un Pod: el aislamiento para la salida y el aislamiento para la entrada. Estos se refieren a las conexiones que pueden establecerse. El término "Aislamiento" en el contexto de este documento no es absoluto, sino que significa "se aplican algunas restricciones".  La alternativa, "no aislado para $dirección", significa que no se aplican restricciones en la dirección descrita.  Los dos tipos de aislamiento (o no) se declaran independientemente, y ambos son relevantes para una conexión de un Pod a otro.
+
+Por defecto, un Pod no está aislado para la salida; todas las conexiones salientes están permitidas. Un Pod está aislado para la salida si hay alguna NetworkPolicy con "Egress" en su `policyTypes` que seleccione el Pod; decimos que tal política se aplica al Pod para la salida. Cuando un Pod está aislado para la salida, las únicas conexiones permitidas desde el Pod son las permitidas por la lista `egress` de las NetworkPolicy que se aplique al Pod para la salida. Los valores de esas listas `egress` se combinan de forma aditiva.
+
+Por defecto, un Pod no está aislado para la entrada; todas las conexiones entrantes están permitidas. Un Pod está aislado para la entrada si hay alguna NetworkPolicy con "Ingress" en su `policyTypes` que seleccione el Pod; decimos que tal política se aplica al Pod para la entrada. Cuando un Pod está aislado para la entrada, las únicas conexiones permitidas en el Pod son las del nodo del Pod y las permitidas por la lista `ingress` de alguna NetworkPolicy que se aplique al Pod para la entrada. Los valores de esas listas de direcciones se combinan de forma aditiva.
+
+Las políticas de red no entran en conflicto; son aditivas. Si alguna política(s) se aplica a un Pod para una dirección determinada, las conexiones permitidas en esa dirección desde ese Pod es la unión de lo que permiten las políticas aplicables. Por tanto, el orden de evaluación no afecta al resultado de la política.
+
+Para que se permita una conexión desde un Pod de origen a un Pod de destino, tanto la política de salida del Pod de origen como la de entrada del Pod de destino deben permitir la conexión. Si cualquiera de los dos lados no permite la conexión, ésta no se producirá.
+
+
+## El Recurso NetworkPolicy {#networkpolicy-resource}
+
+Ver la referencia [NetworkPolicy](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#networkpolicy-v1-networking-k8s-io) para una definición completa del recurso.
+
+Un ejemplo de NetworkPolicy pudiera ser este:
+
+{{< codenew file="service/networking/networkpolicy.yaml" >}}
+
+{{< note >}}
+Enviar esto al API Server de su clúster no tendrá ningún efecto a menos que su solución de red soporte de políticas de red.
+{{< /note >}}
+
+__Campos Obligatorios__: Como con todos los otras configuraciones de Kubernetes, una NetworkPolicy
+necesita los campos `apiVersion`, `kind`, y `metadata`.  Para obtener información general
+sobre cómo funcionan esos ficheros de configuración, puedes consultar
+[Configurar un Pod para usar un ConfigMap](/docs/tasks/configure-pod-container/configure-pod-configmap/),
+y [Gestión de Objetos](/docs/concepts/overview/working-with-objects/object-management).
+
+__spec__: NetworkPolicy [spec](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#spec-and-status) contiene toda la información necesaria para definir una política de red dado un Namespace.
+
+__podSelector__: Cada NetworkPolicy incluye un `podSelector` el cual selecciona el grupo de Pods en los cuales aplica la política. La política de ejemplo selecciona Pods con el label "role=db". Un `podSelector` vacío selecciona todos los Pods en un Namespace.
+
+__policyTypes__: Cada NetworkPolicy incluye una lista de `policyTypes` la cual puede incluir `Ingress`, `Egress`, o ambas. Los campos `policyTypes` indican si la política aplica o no al tráfico de entrada hacia el Pod seleccionado, el tráfico de salida desde el Pod seleccionado, o ambos. Si no se especifican `policyTypes` en una NetworkPolicy el valor `Ingress` será siempre aplicado por defecto y `Egress` será aplicado si la NetworkPolicy contiene alguna regla de salida.
+
+__ingress__: Cada NetworkPolicy puede incluir una lista de reglas `ingress` permitidas. Cada regla permite el tráfico con que se relaciona a ambos valores de las secciones de `from` y `ports`. La política de ejemplo contiene una única regla, la cual se relaciona con el tráfico sobre un solo puerto, desde uno de los tres orígenes definidos, el primero especificado por el valor `ipBlock`, el segundo especificado por el valor `namespaceSelector` y el tercero especificado por el `podSelector`.
+
+__egress__: Cada NetworkPolicy puede incluir una lista de reglas de `egress` permitidas. Cada regla permite el tráfico con que se relaciona a ambos valores de las secciones de `to` and `ports`. La política de ejemplo contiene una única regla, la cual se relaciona con el tráfico en un único puerto para cualquier destino en el rango de IPs `10.0.0.0/24`.
+
+Por lo tanto, la NetworkPolicy de ejemplo:
+
+1. Aísla los Pods "role=db" en el Namespace "default" para ambos tipos de tráfico ingress y egress (si ellos no están aún aislados)
+2. (Reglas Ingress) permite la conexión hacia todos los Pods en el Namespace "default" con el label "role=db" en el puerto TCP 6379 desde los siguientes orígenes:
+
+  * cualquier Pod en el Namespace "default" con el label "role=frontend"
+  * cualquier Pod en un Namespace con el label "project=myproject"
+  * La dirección IP en los rangos 172.17.0.0–172.17.0.255 y 172.17.2.0–172.17.255.255 (por ejemplo, todo el rango de IPs de 172.17.0.0/16 con excepción del 172.17.1.0/24)
+3. (Egress rules) permite conexión desde cualquier Pod en el Namespace "default" con el label "role=db" hacia CIDR 10.0.0.0/24 en el puerto TCP 5978
+
+Ver el artículo de [Declarar Network Policy](/docs/tasks/administer-clúster/declare-network-policy/) para más ejemplos.
+
+
+## Comportamiento de los selectores `to` y `from`
+
+Existen cuatro tipos de selectores que pueden ser especificados en una sección de `ingress` `from` o en una sección de `egress` `to`:
+
+__podSelector__: Este selector selecciona Pods específicos en el mismo Namespace que la NetworkPolicy para permitir el tráfico como origen de entrada o destino de salida.
+
+__namespaceSelector__: Este selector selecciona Namespaces específicos para permitir el tráfico como origen de entrada o destino de salida.
+
+__namespaceSelector__ *y* __podSelector__: Una única entrada `to`/`from` que especifica tanto `namespaceSelector` como `podSelector` selecciona Pods específicos dentro de Namespaces específicos. Es importante revisar que se utiliza la sintaxis de YAML correcta. A continuación se muestra un ejemplo de esta política:
+
+```yaml
+  ...
+  ingress:
+  - from:
+    - namespaceSelector:
+        matchLabels:
+          user: alice
+      podSelector:
+        matchLabels:
+          role: client
+  ...
+```
+
+contiene un elemento `from` permitiendo conexiones desde los Pods con el label `role=client` en Namespaces con el label `user=alice`. Por el contrario, *esta* política:
+
+```yaml
+  ...
+  ingress:
+  - from:
+    - namespaceSelector:
+        matchLabels:
+          user: alice
+    - podSelector:
+        matchLabels:
+          role: client
+  ...
+```
+
+contiene dos elementos en el array `from`, y permite conexiones desde Pods en los Namespaces con el label `role=client`, *o* desde cualquier Pod en cualquier Namespace con el label `user=alice`.
+
+En caso de duda, utilice `kubectl describe` para ver cómo Kubernetes ha interpretado la política.
+
+
+<a name="behavior-of-ipblock-selectors"></a>
+__ipBlock__: Este selector selecciona rangos CIDR de IP específicos para permitirlas como origen de entrada o destino de salida. Estas IPs deben ser externas al clúster, ya que las IPs de Pod son efímeras e impredecibles.
+
+Los mecanismos de entrada y salida del clúster a menudo requieren reescribir la IP de origen o destino
+de los paquetes. En los casos en los que esto ocurre, no está definido si esto ocurre antes o
+después del procesamiento de NetworkPolicy, y el comportamiento puede ser diferente para diferentes
+combinaciones de plugin de red, proveedor de nube, implementación de `Service`, etc.
+
+En el caso de la entrada, esto significa que en algunos casos se pueden filtrar paquetes 
+entrantes basándose en la IP de origen real, mientras que en otros casos, la "IP de origen" sobre la que actúa la
+la NetworkPolicy actúa puede ser la IP de un `LoadBalancer` o la IP del Nodo donde este el Pod involucrado, etc.
+
+Para la salida, esto significa que las conexiones de los Pods a las IPs de `Service` que se reescriben a
+IPs externas al clúster pueden o no estar sujetas a políticas basadas en `ipBlock`.
+
+
+## Políticas por defecto
+
+Por defecto, si no existen políticas en un Namespace, se permite todo el tráfico de entrada y salida hacia y desde los Pods de ese Namespace. Los siguientes ejemplos muestran cómo cambiar el comportamiento por defecto en ese Namespace.
+
+
+### Denegar todo el tráfico de entrada por defecto
+
+Puedes crear una política que "por defecto" aisle a un Namespace del tráfico de entrada con la creación de una política que seleccione todos los Pods del Namespace pero no permite ningún tráfico de entrada en esos Pods.
+
+{{< codenew file="service/networking/network-policy-default-deny-ingress.yaml" >}}
+
+Esto asegura que incluso los Pods que no están seleccionados por ninguna otra NetworkPolicy también serán aislados del tráfico de entrada. Esta política no afecta el aislamiento en el tráfico de salida desde cualquier Pod. 
+
+
+### Permitir todo el tráfico de entrada
+
+Si tu quieres permitir todo el tráfico de entrada a todos los Pods en un Namespace, puedes crear una política que explícitamente permita eso.
+
+{{< codenew file="service/networking/network-policy-allow-all-ingress.yaml" >}}
+
+Con esta política en curso, ninguna política(s) adicional puede hacer que se niegue cualquier conexión entrante a esos Pods. Esta política no tiene efecto sobre el aislamiento del tráfico de salida de cualquier Pod.
+
+
+### Denegar por defecto todo el tráfico de salida
+
+Puedes crear una política que "por defecto" aisle el tráfico de salida para un Namespace, creando una NetworkPolicy que seleccione todos los Pods pero que no permita ningún tráfico de salida desde esos Pods.
+
+{{< codenew file="service/networking/network-policy-default-deny-egress.yaml" >}}
+
+Esto asegura que incluso los Pods que no son seleccionados por ninguna otra NetworkPolicy no tengan permitido el tráfico de salida. Esta política no cambia el comportamiento de aislamiento para el tráfico de entrada de ningún Pod.
+
+
+### Permitir todo el tráfico de salida
+
+Si quieres permitir todas las conexiones desde todos los Pods de un Namespace, puedes crear una política que permita explícitamente todas las conexiones salientes de los Pods de ese Namespace.
+
+{{< codenew file="service/networking/network-policy-allow-all-egress.yaml" >}}
+
+Con esta política en vigor, ninguna política(s) adicional puede hacer que se niegue cualquier conexión de salida desde esos Pods. Esta política no tiene efecto sobre el aislamiento para el tráfico de entrada a cualquier Pod.
+
+
+### Denegar por defecto todo el tráfico de entrada y de salida
+
+Puede crear una política que "por defecto" en un Namespace impida todo el tráfico de entrada y de salida creando la siguiente NetworkPolicy en ese Namespace.
+
+{{< codenew file="service/networking/network-policy-default-deny-all.yaml" >}}
+
+Esto asegura que incluso los Pods que no son seleccionados por ninguna otra NetworkPolicy no tendrán permitido el tráfico de entrada o salida.
+
+
+## Soporte a SCTP 
+
+{{< feature-state for_k8s_version="v1.20" state="stable" >}}
+
+Como característica estable, está activada por defecto. Para deshabilitar SCTP a nivel de clúster, usted (o el administrador de su clúster) tiene que deshabilitar la [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) `SCTPSupport` para el API Server con el flag `--feature-gates=SCTPSupport=false,...`.
+Cuando esta feature gate está habilitada, puede establecer el campo `protocol` de una NetworkPolicy como `SCTP`.
+
+{{< note >}}
+Debes utilizar un plugin de {{< glossary_tooltip text="CNI" term_id="cni" >}} que soporte el protocolo SCTP NetworkPolicies.
+{{< /note >}}
+
+
+## Apuntar a un rango de puertos
+
+{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+
+Cuando se escribe una NetworkPolicy, se puede apuntar a un rango de puertos en lugar de un solo puerto.
+
+Esto se puede lograr con el uso del campo `endPort`, como el siguiente ejemplo:
+
+```yaml
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: multi-port-egress
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      role: db
+  policyTypes:
+  - Egress
+  egress:
+  - to:
+    - ipBlock:
+        cidr: 10.0.0.0/24
+    ports:
+    - protocol: TCP
+      port: 32000
+      endPort: 32768
+```
+
+La regla anterior permite que cualquier Pod con la etiqueta `role=db` en el Namespace `default` se comunique 
+con cualquier IP dentro del rango `10.0.0.0/24` sobre el protocolo TCP, siempre que el puerto 
+esté entre el rango 32000 y 32768.
+
+Se aplican las siguientes restricciones al utilizar este campo:
+* Como característica en estado beta, está activada por defecto. Para desactivar el campo `endPort` a nivel de clúster, usted (o su administrador de clúster) debe desactivar la [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) `NetworkPolicyEndPort`  
+en el API Server con el flag `--feature-gates=NetworkPolicyEndPort=false,...`.
+* El campo `endPort` debe ser igual o mayor que el campo `port`.
+* Sólo se puede definir `endPort` si también se define `port`.
+* Ambos puertos deben ser numéricos.
+
+
+{{< note >}}
+Su clúster debe utilizar un plugin de {{< glossary_tooltip text="CNI" term_id="cni" >}} que
+soporte el campo `endPort` en las especificaciones de NetworkPolicy.
+Si su [plugin de red](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/) 
+no soporta el campo `endPort` y usted especifica una NetworkPolicy que use este campo,
+la política se aplicará sólo para el campo `port`.
+{{< /note >}}
+
+
+## Como apuntar a un Namespace usando su nombre
+
+{{< feature-state for_k8s_version="1.22" state="stable" >}}
+
+El plano de control de Kubernetes establece una etiqueta inmutable `kubernetes.io/metadata.name` en todos los
+Namespaces, siempre que se haya habilitado la [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) `NamespaceDefaultLabelName`.
+El valor de la etiqueta es el nombre del Namespace.
+
+Aunque NetworkPolicy no puede apuntar a un Namespace por su nombre con algún campo de objeto, puede utilizar la etiqueta estandarizada para apuntar a un Namespace específico.
+
+
+ ## Que no puedes hacer con políticas de red (al menos, aún no)
+
+Actualmente, en Kubernetes {{< skew currentVersion >}}, la siguiente funcionalidad no existe en la API de NetworkPolicy, pero es posible que se puedan implementar soluciones mediante componentes del sistema operativo (como SELinux, OpenVSwitch, IPTables, etc.) o tecnologías de capa 7 (Ingress controllers, implementaciones de Service Mesh) o controladores de admisión.  En caso de que seas nuevo en la seguridad de la red en Kubernetes, vale la pena señalar que las siguientes historias de usuario no pueden (todavía) ser implementadas usando la API NetworkPolicy.
+
+- Forzar que el tráfico interno del clúster pase por una puerta de enlace común (esto se puede implementar con una malla de servicios u otro proxy).
+- Cualquier cosa relacionada con TLS (se puede implementar con una malla de servicios o un Ingress controllers para esto).
+- Políticas específicas de los nodos (se puede utilizar la notación CIDR para esto, pero no se puede apuntar a los nodos por sus identidades Kubernetes específicamente).
+- Apuntar Services por nombre (sin embargo, puede orientar los Pods o los Namespaces por su {{< glossary_tooltip text="labels" term_id="label" >}}, lo que suele ser una solución viable).
+- Creación o gestión de "solicitudes de políticas" que son atendidas por un tercero.
+- Políticas que por defecto son aplicadas a todos los Namespaces o Pods (hay algunas distribuciones y proyectos de Kubernetes de terceros que pueden hacer esto).
+- Consulta avanzada de políticas y herramientas de accesibilidad.
+- La capacidad de registrar los eventos de seguridad de la red (por ejemplo, las conexiones bloqueadas o aceptadas).
+- La capacidad de negar explícitamente las políticas (actualmente el modelo para NetworkPolicies es negar por defecto, con sólo la capacidad de añadir reglas de permitir).
+- La capacidad de impedir el tráfico entrante de Loopback o de Host (actualmente los Pods no pueden bloquear el acceso al host local, ni tienen la capacidad de bloquear el acceso desde su nodo residente).
+
+
+## {{% heading "whatsnext" %}}
+
+- Leer el artículo de como [Declarar de Políticas de Red](/docs/tasks/administer-clúster/declare-network-policy/) para ver más ejemplos.
+- Ver más [recetas](https://github.com/ahmetb/kubernetes-network-policy-recipes) de escenarios comunes habilitados por los recursos de las NetworkPolicy.
diff --git a/content/es/docs/concepts/services-networking/service.md b/content/es/docs/concepts/services-networking/service.md
index 5ef231df3a5..3bd85a17012 100644
--- a/content/es/docs/concepts/services-networking/service.md
+++ b/content/es/docs/concepts/services-networking/service.md
@@ -54,7 +54,7 @@ Para aplicaciones no nativas, Kubernetes ofrece una manera de colocar un puerto
 Un Service en Kubernetes es un objeto REST, similar a un Pod. Como todos los objetos REST, puedes hacer un `Post` a una definición de un Service al servidor API para crear una nueva instancia.
 EL nombre de un objeto Service debe ser un [nombre RFC 1035 válido](/docs/concepts/overview/working-with-objects/names#rfc-1035-label-names).
 
-Por ejemplo, supongamos que tienes un conjunto de Pods en el que cada uno escucha el puerto TCP 9376 y contiene la etiqueta `app=MyApp`:
+Por ejemplo, supongamos que tienes un conjunto de Pods en el que cada uno escucha el puerto TCP 9376 y contiene la etiqueta `app.kubernetes.io/name=MyApp`:
 
 ```yaml
 apiVersion: v1
@@ -63,14 +63,14 @@ metadata:
   name: mi-servicio
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
       targetPort: 9376
 ```
 
-Esta especificación crea un nuevo objeto Service llamado "mi-servicio", que apunta via TCP al puerto 9376 de cualquier Pod con la etiqueta `app=MyApp`.
+Esta especificación crea un nuevo objeto Service llamado "mi-servicio", que apunta via TCP al puerto 9376 de cualquier Pod con la etiqueta `app.kubernetes.io/name=MyApp`.
 
 Kubernetes asigna una dirección IP a este Service (Algunas veces llamado "Cluster IP"), la cual es usada por los proxies de los Services (mira [IPs Virtuales y proxies de servicios](#virtual-ips-and-service-proxies) abajo).
 
@@ -95,7 +95,7 @@ Los Services comúnmente abstraen el acceso a los Pods de Kubernetes, pero tambi
 
 Por ejemplo:
 
-- Quieres tener un clúster de base de datos externo en producción, pero en el ambiente de pruebas quieres usar tus propias bases de datos.
+- Quieres tener un clúster de base de datos externo en producción, pero en el entorno de pruebas quieres usar tus propias bases de datos.
 - Quieres apuntar tu Service a un Service en un {{< glossary_tooltip term_id="namespace" text="Namespace" >}} o en un clúster diferente.
 - Estás migrando tu carga de trabajo a Kubernetes. Mientras evalúas la aproximación, corres solo una porción de tus backends en Kubernetes.
 
@@ -297,7 +297,7 @@ spec:
 {{< note >}}
 Como con los {{< glossary_tooltip term_id="name" text="nombres">}} de Kubernetes en general, los nombres para los puertos deben contener alfanuméricos en minúsculas y `-`. Los nombres de puertos deben comenzar y terminar con un carácter alfanumérico.
 
-Por ejemplo, los nombres `123-abc` and `web` son válidos, pero `123_abc` y `-web` no lo son.  
+Por ejemplo, los nombres `123-abc` and `web` son válidos, pero `123_abc` y `-web` no lo son.
 {{< /note >}}
 
 ## Eligiendo tu propia dirección IP
@@ -418,7 +418,7 @@ Si quieres un número de puerto específico, puedes especificar un valor en el c
 Esto significa que necesitas prestar atención a posibles colisiones de puerto por tu cuenta.
 También tienes que usar un número de puerto válido, uno que esté dentro del rango configurado para uso del NodePort.
 
-Usar un NodePort te da libertad para configurar tu propia solución de balanceo de cargas, para configurar ambientes que no soportan Kubernetes del todo, o para exponer uno o más IPs del nodo directamente.
+Usar un NodePort te da libertad para configurar tu propia solución de balanceo de cargas, para configurar entornos que no soportan Kubernetes del todo, o para exponer uno o más IPs del nodo directamente.
 
 Ten en cuenta que este Service es visible como `<NodeIP>:spec.ports[*].nodePort` y `.spec.clusterIP:spec.ports[*].port`.
 Si la bandera `--nodeport-addresses` está configurada para el kube-proxy o para el campo equivalente en el fichero de configuración, `<NodeIP>` sería IP filtrada del nodo. Si
@@ -514,7 +514,7 @@ El valor de `spec.loadBalancerClass` debe ser un identificador de etiqueta, con
 
 #### Balanceador de carga interno
 
-En un ambiente mixto algunas veces es necesario enrutar el tráfico desde Services dentro del mismo bloque (virtual) de direcciones de red.
+En un entorno mixto algunas veces es necesario enrutar el tráfico desde Services dentro del mismo bloque (virtual) de direcciones de red.
 
 En un entorno de split-horizon DNS necesitarías dos Services para ser capaz de enrutar tanto el tráfico externo como el interno a tus Endpoints.
 
@@ -646,7 +646,7 @@ HTTP y HTTPS seleccionan un proxy de capa 7: el ELB termina la conexión con el
 
 TCP y SSL seleccionan un proxy de capa 4: el ELB reenvía el tráfico sin modificar los encabezados.
 
-En un ambiente mixto donde algunos puertos están asegurados y otros se dejan sin encriptar, puedes usar una de las siguientes anotaciones:
+En un entorno mixto donde algunos puertos están asegurados y otros se dejan sin encriptar, puedes usar una de las siguientes anotaciones:
 
 ```yaml
 metadata:
@@ -799,11 +799,11 @@ NLB solo funciona con ciertas clases de instancias; mira la [documentación AWS]
 A diferencia de los balanceadores de cargas, el balanceador de carga de red (NLB) reenvía la dirección IP del cliente a través del nodo. Si el campo `.spec.externalTrafficPolicy` está fijado a `clúster`, la dirección IP del cliente no es propagada a los Pods finales.
 
 Al fijar `.spec.externalTrafficPolicy` en `Local`, la dirección IP del cliente se propaga a los Pods finales,
-pero esto puede resultar a una distribución de tráfico desigual. Los nodos sin ningún Pod para un Service particular de tipo LoadBalancer fallarán en la comprobación de estado del grupo objetivo del NLB en el puerto `.spec.healthCheckNodePort` y no recibirán ningún tráfico.  
+pero esto puede resultar a una distribución de tráfico desigual. Los nodos sin ningún Pod para un Service particular de tipo LoadBalancer fallarán en la comprobación de estado del grupo objetivo del NLB en el puerto `.spec.healthCheckNodePort` y no recibirán ningún tráfico.
 
-Para conseguir trafico equilibrado, usa un DaemonSet o especifica [pod anti-affinity](/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity) para no localizar en el mismo nodo. 
+Para conseguir trafico equilibrado, usa un DaemonSet o especifica [pod anti-affinity](/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity) para no localizar en el mismo nodo.
 
-También puedes usar Services NLB con la anotación del [balanceador de carga interno](/docs/concepts/services-networking/service/#internal-load-balancer) 
+También puedes usar Services NLB con la anotación del [balanceador de carga interno](/docs/concepts/services-networking/service/#internal-load-balancer)
 
 Para permitir que el tráfico del cliente alcance las instancias detrás del NLB, los grupos de seguridad del Nodo se modifican con las siguientes reglas de IP:
 
@@ -822,7 +822,7 @@ spec:
 ```
 
 {{< note >}}
-Si no se establece `.spec.loadBalancerSourceRanges`, Kubernetes permite el tráfico 
+Si no se establece `.spec.loadBalancerSourceRanges`, Kubernetes permite el tráfico
 desde  `0.0.0.0/0` a los Grupos de Seguridad del Nodo. Si los nodos tienen direcciones IP públicas, ten en cuenta que el tráfico que no viene del NLB
 también puede alcanzar todas las instancias en esos grupos de seguridad modificados.
 {{< /note >}}
@@ -865,9 +865,9 @@ Hay otras anotaciones para administrar balanceadores de carga en la nube en TKE
 
 ### Tipo ExternalName {#externalname}
 
-Los Services de tipo ExternalName mapean un Service a un nombre DNS, no a un selector típico como `mi-servicio` o `cassandra`. Estos Services se especifican con el parámetro `spec.externalName`. 
+Los Services de tipo ExternalName mapean un Service a un nombre DNS, no a un selector típico como `mi-servicio` o `cassandra`. Estos Services se especifican con el parámetro `spec.externalName`.
 
-Esta definición de Service, por ejemplo, mapea el Service `mi-Servicio` en el namespace `prod` a `my.database.example.com`: 
+Esta definición de Service, por ejemplo, mapea el Service `mi-Servicio` en el namespace `prod` a `my.database.example.com`:
 
 ```yaml
 apiVersion: v1
@@ -884,7 +884,7 @@ spec:
 ExternalName acepta una cadena de texto IPv4, pero como un nombre DNS compuesto de dígitos, no como una dirección IP. ExternalNames que se parecen a direcciones IPv4 no se resuelven por el CoreDNS o ingress-nginx, ya que ExternalName se usa para especificar un nombre DNS canónico. Al fijar una dirección IP, considera usar [headless Services](#headless-services).
 {{< /note >}}
 
-Cuando busca el host `mi-servicio.prod.svc.cluster.local`, el Service DNS del clúster devuelve un registro `CNAME` con el valor `my.database.example.com`. Acceder a `mi-servicio` funciona de la misma manera que otros Services, pero con la diferencia crucial de que la redirección ocurre a nivel del DNS en lugar reenviarlo o redirigirlo. Si posteriormente decides mover tu base de datos al clúster, puedes iniciar sus Pods, agregar selectores apropiados o endpoints, y cambiar el `type` del Service. 
+Cuando busca el host `mi-servicio.prod.svc.cluster.local`, el Service DNS del clúster devuelve un registro `CNAME` con el valor `my.database.example.com`. Acceder a `mi-servicio` funciona de la misma manera que otros Services, pero con la diferencia crucial de que la redirección ocurre a nivel del DNS en lugar reenviarlo o redirigirlo. Si posteriormente decides mover tu base de datos al clúster, puedes iniciar sus Pods, agregar selectores apropiados o endpoints, y cambiar el `type` del Service.
 
 
 {{< warning >}}
@@ -894,15 +894,15 @@ Para protocolos que usan el nombre del host esta diferencia puede llevar a error
 {{< /warning >}}
 
 {{< note >}}
-Esta sección está en deuda con el artículo de blog [Kubernetes Tips - Part 1](https://akomljen.com/kubernetes-tips-part-1/) de [Alen Komljen](https://akomljen.com/).  
+Esta sección está en deuda con el artículo de blog [Kubernetes Tips - Part 1](https://akomljen.com/kubernetes-tips-part-1/) de [Alen Komljen](https://akomljen.com/).
 {{< /note >}}
 
 ### IPs Externas
 
-Si existen IPs externas que enrutan hacia uno o más nodos del clúster, los Services de Kubernetes pueden ser expuestos en esas `externalIPs`. El tráfico que ingresa al clúster con la IP externa (como IP de destino), en el puerto del Service, será enrutado a uno de estos endpoints del Service. Las `externalIPs` no son administradas por Kubernetes y son responsabilidad del administrador del clúster. 
+Si existen IPs externas que enrutan hacia uno o más nodos del clúster, los Services de Kubernetes pueden ser expuestos en esas `externalIPs`. El tráfico que ingresa al clúster con la IP externa (como IP de destino), en el puerto del Service, será enrutado a uno de estos endpoints del Service. Las `externalIPs` no son administradas por Kubernetes y son responsabilidad del administrador del clúster.
 
 En la especificación del Service, las `externalIPs` se pueden especificar junto con cualquiera de los `ServiceTypes`.
-En el ejemplo de abajo, "`mi-servicio`" puede ser accedido por clientes en "`80.11.12.10:80`" (`externalIP:port`) 
+En el ejemplo de abajo, "`mi-servicio`" puede ser accedido por clientes en "`80.11.12.10:80`" (`externalIP:port`)
 
 ```yaml
 apiVersion: v1
@@ -911,7 +911,7 @@ metadata:
   name: mi-servicio
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - name: http
       protocol: TCP
@@ -925,21 +925,21 @@ spec:
 
 Usar el proxy del userspace for VIPs funciona en pequeña y mediana escala, pero no escalará a clústeres muy grandes con miles de Services. El tópico [original design proposal for portals](https://github.com/kubernetes/kubernetes/issues/1107) tiene más detalles sobre esto.
 
-Usar el proxy del userspace oculta la dirección IP de origen de un paquete que accede al Service. Esto hace que algún tipo de filtrado (firewalling) sea imposible. El modo proxy iptables no oculta IPs de origen en el clúster, pero aún tiene impacto en clientes que vienen desde un balanceador de carga o un node-port. 
+Usar el proxy del userspace oculta la dirección IP de origen de un paquete que accede al Service. Esto hace que algún tipo de filtrado (firewalling) sea imposible. El modo proxy iptables no oculta IPs de origen en el clúster, pero aún tiene impacto en clientes que vienen desde un balanceador de carga o un node-port.
 
-El campo `Type` está diseñado como una funcionalidad anidada - cada nivel se agrega al anterior. Esto no es estrictamente requerido en todos los proveedores de la nube (ej. Google Compute Engine no necesita asignar un `NodePort` para que funcione el `LoadBalancer`, pero AWS si) pero la API actual lo requiere.   
+El campo `Type` está diseñado como una funcionalidad anidada - cada nivel se agrega al anterior. Esto no es estrictamente requerido en todos los proveedores de la nube (ej. Google Compute Engine no necesita asignar un `NodePort` para que funcione el `LoadBalancer`, pero AWS si) pero la API actual lo requiere.
 
 ## Implementación de IP Virtual {#the-gory-details-of-virtual-ips}
 
 La información previa sería suficiente para muchas personas que quieren usar Services. Sin embargo, ocurren muchas cosas detrás de bastidores que valdría la pena entender.
 
-### Evitar colisiones 
+### Evitar colisiones
 
 Una de las principales filosofías de Kubernetes es que no debe estar expuesto a situaciones que podrían hacer que sus acciones fracasen por su propia culpa. Para el diseño del recurso de Service, esto significa no obligarlo a elegir su propio número de puerto si esa elección puede colisionar con la de otra persona. Eso es un fracaso de aislamiento.
 
 Para permitirte elegir un número de puerto en tus Services, debemos asegurarnos que dos Services no puedan colisionar. Kubernetes lo hace asignando a cada Service su propia dirección IP.
 
-Para asegurarse que cada Service recibe una IP única, un asignador interno actualiza atómicamente el mapa global de asignaciones en {{< glossary_tooltip term_id="etcd" >}} antes de crear cada Service. El objeto mapa debe existir en el registro para que los Services obtengan asignaciones de dirección IP, de lo contrario las creaciones fallarán con un mensaje indicando que la dirección IP no pudo ser asignada. 
+Para asegurarse que cada Service recibe una IP única, un asignador interno actualiza atómicamente el mapa global de asignaciones en {{< glossary_tooltip term_id="etcd" >}} antes de crear cada Service. El objeto mapa debe existir en el registro para que los Services obtengan asignaciones de dirección IP, de lo contrario las creaciones fallarán con un mensaje indicando que la dirección IP no pudo ser asignada.
 
 En el plano de control, un controlador de trasfondo es responsable de crear el mapa (requerido para soportar la migración desde versiones más antiguas de Kubernetes que usaban bloqueo en memoria). Kubernetes también utiliza controladores para revisar asignaciones inválidas (ej. debido a la intervención de un administrador) y para limpiar las direcciones IP que ya no son usadas por ningún Service.
 
@@ -947,7 +947,7 @@ En el plano de control, un controlador de trasfondo es responsable de crear el m
 
 A diferencia de direcciones IP del Pod, que enrutan a un destino fijo, las IPs del Service no son respondidas por ningún host. En lugar de ello, El kube-proxy usa iptables (lógica de procesamiento de paquetes en Linux) para definir direcciones IP _virtuales_ que se redirigen de forma transparente cuando se necesita. Cuando el cliente se conecta con la VIP, su tráfico es transportado automáticamente al endpoint apropiado. Las variables de entorno y DNS para los Services son pobladas en términos de la dirección IP virtual del Service (y el puerto).
 
-Kube-proxy soporta tres modos &mdash; userspace, iptables e IPVS &mdash; los cuales operan ligeramente diferente cada uno. 
+Kube-proxy soporta tres modos &mdash; userspace, iptables e IPVS &mdash; los cuales operan ligeramente diferente cada uno.
 
 #### Userspace
 
@@ -955,11 +955,11 @@ Por ejemplo, considera la aplicación de procesamiento de imágenes descrita arr
 
 Cuando un cliente se conecta a la dirección IP virtual del Service, la regla de iptables entra en acción, y redirige los paquetes al propio puerto del proxy. El "proxy del Service" elige un backend, y comienza a redirigir el tráfico desde el cliente al backend.
 
-Esto quiere decir que los dueños del Service pueden elegir cualquier puerto que quieran sin riesgo de colisión. Los clientes pueden conectarse a una IP y un puerto, sin estar conscientes de a cuáles Pods están accediendo. 
+Esto quiere decir que los dueños del Service pueden elegir cualquier puerto que quieran sin riesgo de colisión. Los clientes pueden conectarse a una IP y un puerto, sin estar conscientes de a cuáles Pods están accediendo.
 
 #### iptables
 
-Nuevamente, considera la aplicación de procesamiento de imágenes descrita arriba. Cuando se crea el Service Backend, el plano de control de Kubernetes asigna una dirección IP virtual, por ejemplo 10.0.0.1. Asumiendo que el puerto del servicio es 1234, el Service es observado por todas las instancias del kube-proxy en el clúster. Cuando un proxy mira un nuevo Service, instala una serie de reglas de iptables que redirigen desde la dirección IP virtual a las reglas del Service. Las reglas del Service enlazan a las reglas del Endpoint que redirigen el tráfico (usando NAT de destino) a los backends. 
+Nuevamente, considera la aplicación de procesamiento de imágenes descrita arriba. Cuando se crea el Service Backend, el plano de control de Kubernetes asigna una dirección IP virtual, por ejemplo 10.0.0.1. Asumiendo que el puerto del servicio es 1234, el Service es observado por todas las instancias del kube-proxy en el clúster. Cuando un proxy mira un nuevo Service, instala una serie de reglas de iptables que redirigen desde la dirección IP virtual a las reglas del Service. Las reglas del Service enlazan a las reglas del Endpoint que redirigen el tráfico (usando NAT de destino) a los backends.
 
 Cuando un cliente se conecta a la dirección IP virtual del Service la regla de iptables son aplicadas. A diferencia del modo proxy userspace, el kube-proxy no tiene que estar corriendo para que funcione la dirección IP virtual, y los nodos observan el tráfico que viene desde la dirección IP del cliente sin alteraciones.
 
@@ -1014,11 +1014,11 @@ El kube-proxy no soporta la administración de asociaciones SCTP cuando está en
 Si tu proveedor de la nube lo soporta, puedes usar un Service en modo LoadBalancer para configurar un proxy invertido HTTP/HTTPS, redirigido a los Endpoints del Service.
 
 {{< note >}}
-También puedes usar {{< glossary_tooltip term_id="ingress" >}} en lugar de un Service para exponer Services HTTP/HTTPS.  
+También puedes usar {{< glossary_tooltip term_id="ingress" >}} en lugar de un Service para exponer Services HTTP/HTTPS.
 {{< /note >}}
 
 ### Protocolo PROXY
-Si tu proveedor de la nube lo soporta, puedes usar un Service en modo LoadBalancer para configurar un balanceador de carga fuera de Kubernetes mismo, que redirigirá las conexiones prefijadas con [protocolo PROXY](https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt). 
+Si tu proveedor de la nube lo soporta, puedes usar un Service en modo LoadBalancer para configurar un balanceador de carga fuera de Kubernetes mismo, que redirigirá las conexiones prefijadas con [protocolo PROXY](https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt).
 
 El balanceador de carga enviará una serie inicial de octetos describiendo la conexión entrante, similar a este ejemplo
 
diff --git a/content/es/docs/concepts/storage/volume-health-monitoring.md b/content/es/docs/concepts/storage/volume-health-monitoring.md
new file mode 100644
index 00000000000..a300368f836
--- /dev/null
+++ b/content/es/docs/concepts/storage/volume-health-monitoring.md
@@ -0,0 +1,36 @@
+---
+reviewers:
+- edithturn
+- raelga
+- electrocucaracha
+title: Supervisión del Estado del Volumen
+content_type: concept
+---
+
+<!-- overview -->
+
+{{< feature-state for_k8s_version="v1.21" state="alpha" >}}
+
+La supervisión del estado del volumen de {{< glossary_tooltip text="CSI" term_id="csi" >}}  permite que los controladores de CSI detecten condiciones de volumen anómalas de los sistemas de almacenamiento subyacentes y las notifiquen como eventos en {{< glossary_tooltip text="PVCs" term_id="persistent-volume-claim" >}} o {{< glossary_tooltip text="Pods" term_id="pod" >}}.
+
+
+
+<!-- body -->
+
+## Supervisión del Estado del Volumen
+
+El _monitoreo del estado del volumen_ de Kubernetes es parte de cómo Kubernetes implementa la Interfaz de Almacenamiento de Contenedores (CSI). La función de supervisión del estado del volumen se implementa en dos componentes: un controlador de supervisión del estado externo y {{< glossary_tooltip term_id="kubelet" text="Kubelet" >}}.
+
+Si un controlador CSI admite la función supervisión del estado del volumen desde el lado del controlador, se informará un evento en el {{< glossary_tooltip text="PersistentVolumeClaim" term_id="persistent-volume-claim" >}} (PVC) relacionado cuando se detecte una condición de volumen anormal en un volumen CSI.
+
+El {{< glossary_tooltip text="controlador" term_id="controller" >}} de estado externo también observa los eventos de falla del nodo. Se puede habilitar la supervisión de fallas de nodos configurando el indicador `enable-node-watcher` en verdadero. Cuando el monitor de estado externo detecta un evento de falla de nodo, el controlador reporta que se informará un evento en el PVC para indicar que los Pods que usan este PVC están en un nodo fallido.
+
+Si un controlador CSI es compatible con la función monitoreo del estado del volumen desde el lado del nodo, se informará un evento en cada Pod que use el PVC cuando se detecte una condición de volumen anormal en un volumen CSI.
+
+{{< note >}}
+Se necesita habilitar el `CSIVolumeHealth` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) para usar esta función desde el lado del nodo.
+{{< /note >}}
+
+## {{% heading "whatsnext" %}}
+
+Ver la [documentación del controlador CSI](https://kubernetes-csi.github.io/docs/drivers.html) para averiguar qué controladores CSI han implementado esta característica.
diff --git a/content/es/docs/concepts/storage/volumes.md b/content/es/docs/concepts/storage/volumes.md
index c8e7a9d24b8..84ee2a2be2e 100644
--- a/content/es/docs/concepts/storage/volumes.md
+++ b/content/es/docs/concepts/storage/volumes.md
@@ -638,7 +638,7 @@ Mira el [ ejemplo NFS ](https://github.com/kubernetes/examples/tree/master/stagi
 
 ### persistentVolumeClaim {#persistentvolumeclaim}
 
-Un volumen `persistenceVolumeClain` se utiliza para montar un [PersistentVolume](/docs/concepts/storage/persistent-volumes/) en tu Pod. PersistentVolumeClaims son una forma en que el usuario "reclama" almacenamiento duradero (como un PersistentDisk GCE o un volumen ISCSI) sin conocer los detalles del ambiente de la nube en particular.
+Un volumen `persistenceVolumeClain` se utiliza para montar un [PersistentVolume](/docs/concepts/storage/persistent-volumes/) en tu Pod. PersistentVolumeClaims son una forma en que el usuario "reclama" almacenamiento duradero (como un PersistentDisk GCE o un volumen ISCSI) sin conocer los detalles del entorno de la nube en particular.
 
 Mira la información spbre [PersistentVolumes](/docs/concepts/storage/persistent-volumes/) para más detalles.
 
diff --git a/content/es/docs/concepts/workloads/controllers/garbage-collection.md b/content/es/docs/concepts/workloads/controllers/garbage-collection.md
index bc18541ce2f..9653e6f582c 100644
--- a/content/es/docs/concepts/workloads/controllers/garbage-collection.md
+++ b/content/es/docs/concepts/workloads/controllers/garbage-collection.md
@@ -170,7 +170,7 @@ Seguimiento en [#26120](https://github.com/kubernetes/kubernetes/issues/26120)
 ## {{% heading "whatsnext" %}}
 
 
-[Documento de Diseño 1](https://git.k8s.io/community/contributors/design-proposals/api-machinery/garbage-collection.md)
+[Documento de Diseño 1](https://git.k8s.io/design-proposals-archive/api-machinery/garbage-collection.md)
 
-[Documento de Diseño 2](https://git.k8s.io/community/contributors/design-proposals/api-machinery/synchronous-garbage-collection.md)
+[Documento de Diseño 2](https://git.k8s.io/design-proposals-archive/api-machinery/synchronous-garbage-collection.md)
 
diff --git a/content/es/docs/concepts/workloads/pods/init-containers.md b/content/es/docs/concepts/workloads/pods/init-containers.md
index fafb6ae2f60..2ae5323771d 100644
--- a/content/es/docs/concepts/workloads/pods/init-containers.md
+++ b/content/es/docs/concepts/workloads/pods/init-containers.md
@@ -113,7 +113,7 @@ kind: Pod
 metadata:
   name: myapp-pod
   labels:
-    app: myapp
+    app.kubernetes.io/name: MyApp
 spec:
   containers:
   - name: myapp-container
@@ -165,7 +165,7 @@ El resultado es similar a esto:
 Name:          myapp-pod
 Namespace:     default
 [...]
-Labels:        app=myapp
+Labels:        app.kubernetes.io/name=MyApp
 Status:        Pending
 [...]
 Init Containers:
diff --git a/content/es/docs/concepts/workloads/pods/podpreset.md b/content/es/docs/concepts/workloads/pods/podpreset.md
index d4406f56ea8..76110e5ee84 100644
--- a/content/es/docs/concepts/workloads/pods/podpreset.md
+++ b/content/es/docs/concepts/workloads/pods/podpreset.md
@@ -92,4 +92,4 @@ modificación del Pod Preset. En estos casos, se puede añadir una observación
 
 Ver [Inyectando datos en un Pod usando PodPreset](/docs/tasks/inject-data-application/podpreset/)
 
-Para más información sobre los detalles de los trasfondos, consulte la [propuesta de diseño de PodPreset](https://git.k8s.io/community/contributors/design-proposals/service-catalog/pod-preset.md). 
+Para más información sobre los detalles de los trasfondos, consulte la [propuesta de diseño de PodPreset](https://git.k8s.io/design-proposals-archive/service-catalog/pod-preset.md). 
diff --git a/content/es/docs/reference/_index.md b/content/es/docs/reference/_index.md
index a3625a903ee..8ea72cfb26a 100644
--- a/content/es/docs/reference/_index.md
+++ b/content/es/docs/reference/_index.md
@@ -59,6 +59,6 @@ En estos momento, las librerías con soporte oficial son:
 
 Un archivo de los documentos de diseño para la funcionalidad de Kubernetes.
 
-Puedes empezar por [Arquitectura de Kubernetes](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) y [Vista general del diseño de Kubernetes](https://git.k8s.io/community/contributors/design-proposals).
+Puedes empezar por [Arquitectura de Kubernetes](https://git.k8s.io/design-proposals-archive/architecture/architecture.md) y [Vista general del diseño de Kubernetes](https://git.k8s.io/community/contributors/design-proposals).
 
 
diff --git a/content/es/docs/setup/release/building-from-source.md b/content/es/docs/setup/release/building-from-source.md
index 42db05df4c3..0ff6152b97a 100644
--- a/content/es/docs/setup/release/building-from-source.md
+++ b/content/es/docs/setup/release/building-from-source.md
@@ -30,7 +30,7 @@ cd kubernetes
 make release
 ```
 
-Para más detalles sobre el proceso de compilación de una release, visita la carpeta kubernetes/kubernetes [`build`](http://releases.k8s.io/{{< param "githubbranch" >}}/build/)
+Para más detalles sobre el proceso de compilación de una release, visita la carpeta kubernetes/kubernetes [`build`](http://releases.k8s.io/master/build/)
 
 
 
diff --git a/content/es/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md b/content/es/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md
index 9e7097ffbca..080a91df302 100644
--- a/content/es/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md
+++ b/content/es/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md
@@ -52,6 +52,6 @@ El servidor reune métricas de la Summary API, que es expuesta por el [Kubelet](
 El servidor de métricas se añadió a la API de Kubernetes utilizando el
 [Kubernetes aggregator](/docs/concepts/api-extension/apiserver-aggregation/) introducido en Kubernetes 1.7.
 
-Puedes aprender más acerca del servidor de métricas en el [documento de diseño](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/instrumentation/metrics-server.md).
+Puedes aprender más acerca del servidor de métricas en el [documento de diseño](https://github.com/kubernetes/design-proposals-archive/blob/main/instrumentation/metrics-server.md).
 
 
diff --git a/content/es/docs/tutorials/hello-minikube.md b/content/es/docs/tutorials/hello-minikube.md
index 67d7bf7afae..fb40f2fdb0b 100644
--- a/content/es/docs/tutorials/hello-minikube.md
+++ b/content/es/docs/tutorials/hello-minikube.md
@@ -17,7 +17,7 @@ card:
 
 Este tutorial muestra como ejecutar una aplicación Node.js Hola Mundo en Kubernetes utilizando 
 [Minikube](/docs/setup/learning-environment/minikube) y Katacoda.
-Katacoda provee un ambiente de Kubernetes desde el navegador.
+Katacoda provee un entorno de Kubernetes desde el navegador.
 
 {{< note >}}
 También se puede  seguir este tutorial si se ha instalado [Minikube localmente](/docs/tasks/tools/install-minikube/).
@@ -63,9 +63,9 @@ Para más información sobre el comando `docker build`, lea la [documentación d
     minikube dashboard
     ```
 
-3. Solo en el ambiente de Katacoda: En la parte superior de la terminal, haz clic en el símbolo + y luego clic en **Select port to view on Host 1**.
+3. Solo en el entorno de Katacoda: En la parte superior de la terminal, haz clic en el símbolo + y luego clic en **Select port to view on Host 1**.
 
-4. Solo en el ambiente de Katacoda: Escribir `30000`, y hacer clic en **Display Port**.
+4. Solo en el entorno de Katacoda: Escribir `30000`, y hacer clic en **Display Port**.
 
 ## Crear un Deployment
 
@@ -154,15 +154,15 @@ Por defecto, el Pod es accedido por su dirección IP interna dentro del clúster
     minikube service hello-node
     ```
 
-4. Solo en el ambiente de Katacoda: Hacer clic sobre el símbolo +, y luego en **Select port to view on Host 1**.
+4. Solo en el entorno de Katacoda: Hacer clic sobre el símbolo +, y luego en **Select port to view on Host 1**.
 
-5. Solo en el ambiente de Katacoda: Anotar el puerto de 5 dígitos ubicado al lado del valor de `8080` en el resultado de servicios. Este número de puerto es generado aleatoriamente y puede ser diferente al indicado en el ejemplo. Escribir el número de puerto en el cuadro de texto y hacer clic en Display Port. Usando el ejemplo anterior, usted escribiría `30369`.
+5. Solo en el entorno de Katacoda: Anotar el puerto de 5 dígitos ubicado al lado del valor de `8080` en el resultado de servicios. Este número de puerto es generado aleatoriamente y puede ser diferente al indicado en el ejemplo. Escribir el número de puerto en el cuadro de texto y hacer clic en Display Port. Usando el ejemplo anterior, usted escribiría `30369`.
 
     Esto abre una ventana de navegador que contiene la aplicación y muestra el mensaje "Hello World".
 
 ## Habilitar Extensiones
 
-Minikube tiene un conjunto  de {{< glossary_tooltip text="Extensiones" term_id="addons" >}} que pueden ser habilitados y desahabilitados en el ambiente local de Kubernetes.
+Minikube tiene un conjunto  de {{< glossary_tooltip text="Extensiones" term_id="addons" >}} que pueden ser habilitados y desahabilitados en el entorno local de Kubernetes.
 
 1. Listar las extensiones soportadas actualmente:
 
diff --git a/content/es/examples/service/networking/network-policy-allow-all-egress.yaml b/content/es/examples/service/networking/network-policy-allow-all-egress.yaml
new file mode 100644
index 00000000000..42b2a2a2966
--- /dev/null
+++ b/content/es/examples/service/networking/network-policy-allow-all-egress.yaml
@@ -0,0 +1,11 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: allow-all-egress
+spec:
+  podSelector: {}
+  egress:
+  - {}
+  policyTypes:
+  - Egress
diff --git a/content/es/examples/service/networking/network-policy-allow-all-ingress.yaml b/content/es/examples/service/networking/network-policy-allow-all-ingress.yaml
new file mode 100644
index 00000000000..462912dae4e
--- /dev/null
+++ b/content/es/examples/service/networking/network-policy-allow-all-ingress.yaml
@@ -0,0 +1,11 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: allow-all-ingress
+spec:
+  podSelector: {}
+  ingress:
+  - {}
+  policyTypes:
+  - Ingress
diff --git a/content/es/examples/service/networking/network-policy-default-deny-all.yaml b/content/es/examples/service/networking/network-policy-default-deny-all.yaml
new file mode 100644
index 00000000000..5c0086bd71e
--- /dev/null
+++ b/content/es/examples/service/networking/network-policy-default-deny-all.yaml
@@ -0,0 +1,10 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: default-deny-all
+spec:
+  podSelector: {}
+  policyTypes:
+  - Ingress
+  - Egress
diff --git a/content/es/examples/service/networking/network-policy-default-deny-egress.yaml b/content/es/examples/service/networking/network-policy-default-deny-egress.yaml
new file mode 100644
index 00000000000..a4659e14174
--- /dev/null
+++ b/content/es/examples/service/networking/network-policy-default-deny-egress.yaml
@@ -0,0 +1,9 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: default-deny-egress
+spec:
+  podSelector: {}
+  policyTypes:
+  - Egress
diff --git a/content/es/examples/service/networking/network-policy-default-deny-ingress.yaml b/content/es/examples/service/networking/network-policy-default-deny-ingress.yaml
new file mode 100644
index 00000000000..e8238024878
--- /dev/null
+++ b/content/es/examples/service/networking/network-policy-default-deny-ingress.yaml
@@ -0,0 +1,9 @@
+---
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: default-deny-ingress
+spec:
+  podSelector: {}
+  policyTypes:
+  - Ingress
diff --git a/content/es/examples/service/networking/networkpolicy.yaml b/content/es/examples/service/networking/networkpolicy.yaml
new file mode 100644
index 00000000000..e91eed2f67e
--- /dev/null
+++ b/content/es/examples/service/networking/networkpolicy.yaml
@@ -0,0 +1,35 @@
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: test-network-policy
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      role: db
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - ipBlock:
+            cidr: 172.17.0.0/16
+            except:
+              - 172.17.1.0/24
+        - namespaceSelector:
+            matchLabels:
+              project: myproject
+        - podSelector:
+            matchLabels:
+              role: frontend
+      ports:
+        - protocol: TCP
+          port: 6379
+  egress:
+    - to:
+        - ipBlock:
+            cidr: 10.0.0.0/24
+      ports:
+        - protocol: TCP
+          port: 5978
+
diff --git a/content/es/partners/_index.html b/content/es/partners/_index.html
index 87ae9d5349a..afb2f6128f1 100644
--- a/content/es/partners/_index.html
+++ b/content/es/partners/_index.html
@@ -7,85 +7,48 @@ cid: partners
 ---
 
 <section id="users">
-    <main>
-        <h5>Kubernetes trabaja con socios para crear una base de código sólida y vibrante que admita un espectro de plataformas complementarias.</h5>
-        <div class="col-container">
-          <div class="col-nav">
-            <center>
-              <h5>
-                <b>Kubernetes Certified Service Providers</b>
-              </h5>
-              <br>Proveedores de servicios con amplia experiencia ayudando a las empresas a adoptar Kubernetes con éxito.
-              <br><br><br>
-              <button id="kcsp" class="button" onClick="updateSrc(this.id)">See KCSP Partners</button>
-              <br><br>Conviértete en <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>
-            </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <h5>
-                <b>Certified Kubernetes Distributions, Hosted Platforms, and Installers</b>
-              </h5>La conformidad del software garantiza que la versión de Kubernetes de cada proveedor sea compatible con las API requeridas.
-              <br><br><br>
-              <button id="conformance" class="button" onClick="updateSrc(this.id)">See Conformance Partners</button>
-              <br><br>Conviértete en <a href="https://www.cncf.io/certification/software-conformance/">Certified Kubernetes</a>
-            </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <h5><b>Kubernetes Training Partners</b></h5>
-              <br>Partners de formación que ofrecen cursos de alta calidad y con una amplia experiencia en formación de tecnologías nativas de la nube.
-              <br><br><br><br>
-              <button id="ktp" class="button" onClick="updateSrc(this.id)">See KTP Partners</button>
-              <br><br>Conviértete en <a href="https://www.cncf.io/certification/training/">KTP</a>
-            </center>
-          </div>
-        </div>
-<script src="https://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8=" crossorigin="anonymous"></script>
-<script type="text/javascript">
-
-			var defaultLink = "https://landscape.cncf.io/category=kubernetes-certified-service-provider&format=card-mode&grouping=category&embed=yes";
-			var firstLink = "https://landscape.cncf.io/category=certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer&format=card-mode&grouping=category&embed=yes";
-      var secondLink = "https://landscape.cncf.io/category=kubernetes-training-partner&format=card-mode&grouping=category&embed=yes";
-
-      function updateSrc(buttonId) {
-      	if (buttonId == "kcsp") {
-        		$("#landscape").attr("src",defaultLink);
-            window.location.hash = "#kcsp";
-        }
-        if (buttonId == "conformance") {
-         		$("#landscape").attr("src",firstLink);
-            window.location.hash = "#conformance";
-        }
-        if (buttonId == "ktp") {
-        		$("#landscape").attr("src",secondLink);
-            window.location.hash = "#ktp";
-        }
-      }
-
-      // Automatically load the correct iframe based on the URL fragment
-      document.addEventListener('DOMContentLoaded', function() {
-        var showContent = "kcsp";
-        if (window.location.hash) {
-          console.log('hash is:', window.location.hash.substring(1));
-          showContent = window.location.hash.substring(1);
-        }
-        updateSrc(showContent);
-      });
-</script>
-<body>
-    <div id="frameHolder">
-      <iframe id="landscape" frameBorder="0" scrolling="no" style="width: 1px; min-width: 100%" src=""></iframe>
-      <script src="https://landscape.cncf.io/iframeResizer.js"></script>
+    <h5>Kubernetes trabaja con socios para crear una base de código sólida y vibrante que admita un espectro de plataformas complementarias.</h5>
+    <div class="col-container">
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Kubernetes Certified Service Providers</b>
+          </h5>
+          <br>Proveedores de servicios con amplia experiencia ayudando a las empresas a adoptar Kubernetes con éxito.
+          <br><br><br>
+          <button class="button landscape-trigger landscape-default" data-landscape-types="kubernetes-certified-service-provider" id="kcsp">See KCSP Partners</button>
+          <br><br>Conviértete en 
+          <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>?
+        </center>
+      </div>
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Certified Kubernetes Distributions, Hosted Platforms, and Installers</b>
+          </h5>La conformidad del software garantiza que la versión de Kubernetes de cada proveedor sea compatible con las API requeridas.
+          <br><br><br>
+          <button class="button landscape-trigger" data-landscape-types="certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer" id="conformance">See Conformance Partners</button>
+          <br><br>Conviértete en 
+          <a href="https://www.cncf.io/certification/software-conformance/">Certified Kubernetes</a>?
+        </center>
+      </div>
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Kubernetes Training Partners</b>
+          </h5>
+          <br>Partners de formación que ofrecen cursos de alta calidad y con una amplia experiencia en formación de tecnologías nativas de la nube.
+          <br><br><br>
+          <button class="button landscape-trigger" data-landscape-types="kubernetes-training-partner" id="ktp">See KTP Partners</button>
+          <br><br>Conviértete en 
+          <a href="https://www.cncf.io/certification/training/">KTP</a>?
+        </center>
+      </div>
     </div>
-</body>
-    </main>
+    {{< cncf-landscape helpers=true >}}
 </section>
 
 <style>
     {{< include "partner-style.css" >}}
 </style>
 
-<script>
-    {{< include "partner-script.js" >}}
-</script>
diff --git a/content/fr/docs/concepts/containers/container-environment.md b/content/fr/docs/concepts/containers/container-environment.md
index adad1ab64a3..d73e26442db 100644
--- a/content/fr/docs/concepts/containers/container-environment.md
+++ b/content/fr/docs/concepts/containers/container-environment.md
@@ -49,7 +49,7 @@ FOO_SERVICE_PORT=<le port sur lequel le service fonctionne>
 ```
 
 Les services ont des adresses IP dédiées et sont disponibles pour le conteneur avec le DNS,
-si le [module DNS](http://releases.k8s.io/{{< param "githubbranch" >}}/cluster/addons/dns/) est activé. 
+si le [module DNS](http://releases.k8s.io/master/cluster/addons/dns/) est activé. 
 
 
 
diff --git a/content/fr/docs/concepts/overview/what-is-kubernetes.md b/content/fr/docs/concepts/overview/what-is-kubernetes.md
index 07a6c738d80..e962c05dd7e 100644
--- a/content/fr/docs/concepts/overview/what-is-kubernetes.md
+++ b/content/fr/docs/concepts/overview/what-is-kubernetes.md
@@ -46,7 +46,7 @@ C'est pourquoi Kubernetes a également été conçu pour servir de plate-forme e
 
 De plus, le [plan de contrôle Kubernetes (control
 plane)](/docs/concepts/overview/components/) est construit sur les mêmes [APIs](/docs/reference/using-api/api-overview/) que celles accessibles aux développeurs et utilisateurs.
-Les utilisateurs peuvent écrire leurs propres contrôleurs (controllers), tels que les [ordonnanceurs (schedulers)](https://github.com/kubernetes/community/blob/{{< param "githubbranch" >}}/contributors/devel/scheduler.md),
+Les utilisateurs peuvent écrire leurs propres contrôleurs (controllers), tels que les [ordonnanceurs (schedulers)](https://github.com/kubernetes/community/blob/master/contributors/devel/scheduler.md),
 avec [leurs propres APIs](/docs/concepts/api-extension/custom-resources/) qui peuvent être utilisés par un [outil en ligne de commande](/docs/user-guide/kubectl-overview/).
 
 Ce choix de [conception](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) a permis de construire un ensemble d'autres systèmes par dessus Kubernetes.
diff --git a/content/fr/docs/concepts/services-networking/service.md b/content/fr/docs/concepts/services-networking/service.md
index 9d8484b18e7..d8587068fc7 100644
--- a/content/fr/docs/concepts/services-networking/service.md
+++ b/content/fr/docs/concepts/services-networking/service.md
@@ -289,7 +289,7 @@ Kubernetes prend en charge 2 modes principaux de recherche d'un service: les var
 ### Variables d'environnement
 
 Lorsqu'un pod est exécuté sur un nœud, le kubelet ajoute un ensemble de variables d'environnement pour chaque service actif.
-Il prend en charge à la fois les variables [Docker links](https://docs.docker.com/userguide/dockerlinks/) (voir [makeLinkVariables](http://releases.k8s.io/{{< param "githubbranch" >}}/pkg/kubelet/envvars/envvars.go#L49)) et plus simplement les variables `{SVCNAME}_SERVICE_HOST` et `{SVCNAME}_SERVICE_PORT`, où le nom du service est en majuscules et les tirets sont convertis en underscore.
+Il prend en charge à la fois les variables [Docker links](https://docs.docker.com/userguide/dockerlinks/) (voir [makeLinkVariables](http://releases.k8s.io/master/pkg/kubelet/envvars/envvars.go#L49)) et plus simplement les variables `{SVCNAME}_SERVICE_HOST` et `{SVCNAME}_SERVICE_PORT`, où le nom du service est en majuscules et les tirets sont convertis en underscore.
 
 Par exemple, le service `redis-master` qui expose le port TCP 6379 et a reçu l'adresse IP de cluster 10.0.0.11, produit les variables d'environnement suivantes:
 
diff --git a/content/fr/docs/concepts/storage/volumes.md b/content/fr/docs/concepts/storage/volumes.md
index 9fc229b5f27..596bb846447 100644
--- a/content/fr/docs/concepts/storage/volumes.md
+++ b/content/fr/docs/concepts/storage/volumes.md
@@ -137,7 +137,7 @@ Afin d'utiliser cette fonctionnalité, le [Pilote AWS EBS CSI](https://github.co
 
 Un type de volume `azureDisk` est utilisé pour monter un disque de données ([Data Disk](https://azure.microsoft.com/en-us/documentation/articles/virtual-machines-linux-about-disks-vhds/)) dans un Pod.
 
-Plus de détails sont disponibles [ici](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/azure_disk/README.md).
+Plus de détails sont disponibles [ici](https://github.com/kubernetes/examples/tree/master/staging/volumes/azure_disk/README.md).
 
 #### Migration CSI
 
@@ -150,7 +150,7 @@ Afin d'utiliser cette fonctionnalité, le [Pilote Azure Disk CSI](https://github
 
 Un type de volume `azureFile` est utilisé pour monter un volume de fichier Microsoft Azure (SMB 2.1 et 3.0) dans un Pod.
 
-Plus de détails sont disponibles [ici](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/azure_file/README.md).
+Plus de détails sont disponibles [ici](https://github.com/kubernetes/examples/tree/master/staging/volumes/azure_file/README.md).
 
 #### Migration CSI
 
@@ -170,7 +170,7 @@ CephFS peut être monté plusieurs fois en écriture simultanément.
 Vous devez exécuter votre propre serveur Ceph avec le partage exporté avant de pouvoir l'utiliser.
 {{< /caution >}}
 
-Voir [l'exemple CephFS](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/volumes/cephfs/) pour plus de détails.
+Voir [l'exemple CephFS](https://github.com/kubernetes/examples/tree/master/volumes/cephfs/) pour plus de détails.
 
 ### cinder {#cinder}
 
@@ -315,7 +315,7 @@ Si plusieurs WWNs sont spécifiés, targetWWNs s'attend à ce que ces WWNs provi
 Vous devez configurer un zonage FC SAN pour allouer et masquer au préalable ces LUNs (volumes) aux cibles WWNs afin que les hôtes Kubernetes puissent y accéder.
 {{< /caution >}}
 
-Voir [l'exemple FC](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/fibre_channel) pour plus de détails.
+Voir [l'exemple FC](https://github.com/kubernetes/examples/tree/master/staging/volumes/fibre_channel) pour plus de détails.
 
 ### flocker {#flocker}
 
@@ -330,7 +330,7 @@ Cela signifie que les données peuvent être transmises entre les Pods selon les
 Vous devez exécuter votre propre installation de Flocker avant de pouvoir l'utiliser.
 {{< /caution >}}
 
-Voir [l'exemple Flocker](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/flocker) pour plus de détails.
+Voir [l'exemple Flocker](https://github.com/kubernetes/examples/tree/master/staging/volumes/flocker) pour plus de détails.
 
 ### gcePersistentDisk {#gcepersistentdisk}
 
@@ -465,7 +465,7 @@ GlusterFS peut être monté plusieurs fois en écriture simultanément.
 Vous devez exécuter votre propre installation de GlusterFS avant de pouvoir l'utiliser.
 {{< /caution >}}
 
-Voir [l'exemple GlusterFS](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/volumes/glusterfs) pour plus de détails.
+Voir [l'exemple GlusterFS](https://github.com/kubernetes/examples/tree/master/volumes/glusterfs) pour plus de détails.
 
 ### hostPath {#hostpath}
 
@@ -537,7 +537,7 @@ Une fonctionnalité de iSCSI est qu'il peut être monté en lecture seule par pl
 Cela signifie que vous pouvez préremplir un volume avec votre jeu de données et l'exposer en parallèle à partir d'autant de Pods que nécessaire.
 Malheureusement, les volumes iSCSI peuvent seulement être montés par un seul consommateur en mode lecture-écriture - les écritures simultanées ne sont pas autorisées.
 
-Voir [l'exemple iSCSI](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/volumes/iscsi) pour plus de détails.
+Voir [l'exemple iSCSI](https://github.com/kubernetes/examples/tree/master/volumes/iscsi) pour plus de détails.
 
 ### local {#local}
 
@@ -605,7 +605,7 @@ Cela signifie qu'un volume NFS peut être prérempli avec des données et que le
 Vous devez exécuter votre propre serveur NFS avec le partage exporté avant de pouvoir l'utiliser.
 {{< /caution >}}
 
-Voir [l'exemple NFS](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/nfs) pour plus de détails.
+Voir [l'exemple NFS](https://github.com/kubernetes/examples/tree/master/staging/volumes/nfs) pour plus de détails.
 
 ### persistentVolumeClaim {#persistentvolumeclaim}
 
@@ -624,7 +624,7 @@ Actuellement, les types de sources de volume suivantes peuvent être projetés :
 - [`configMap`](#configmap)
 - `serviceAccountToken`
 
-Toutes les sources doivent se trouver dans le même namespace que celui du Pod. Pour plus de détails, voir le [document de conception tout-en-un ](https://github.com/kubernetes/community/blob/{{< param "githubbranch" >}}/contributors/design-proposals/node/all-in-one-volume.md).
+Toutes les sources doivent se trouver dans le même namespace que celui du Pod. Pour plus de détails, voir le [document de conception tout-en-un ](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/node/all-in-one-volume.md).
 
 La projection des jetons de compte de service (service account) est une fonctionnalité introduite dans Kubernetes 1.11 et promue en Beta dans la version 1.12.
 Pour activer cette fonctionnalité dans la version 1.11, il faut configurer explicitement la ["feature gate" `TokenRequestProjection`](/docs/reference/command-line-tools-reference/feature-gates/) à "True".
@@ -776,7 +776,7 @@ spec:
 Il faut s'assurer d'avoir un PortworxVolume existant avec le nom `pxvol` avant de l'utiliser dans le Pod.
 {{< /caution >}}
 
-Plus de détails et d'exemples peuvent être trouvé [ici](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/portworx/README.md).
+Plus de détails et d'exemples peuvent être trouvé [ici](https://github.com/kubernetes/examples/tree/master/staging/volumes/portworx/README.md).
 
 ### quobyte {#quobyte}
 
@@ -804,7 +804,7 @@ Une fonctionnalité de RBD est qu'il peut être monté en lecture seule par plus
 Cela signifie que vous pouvez préremplir un volume avec votre jeu de données et l'exposer en parallèle à partir d'autant de Pods que nécessaire.
 Malheureusement, les volumes RBD peuvent seulement être montés par un seul consommateur en mode lecture-écriture - les écritures simultanées ne sont pas autorisées.
 
-Voir [l'exemple RBD](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/volumes/rbd) pour plus de détails.
+Voir [l'exemple RBD](https://github.com/kubernetes/examples/tree/master/volumes/rbd) pour plus de détails.
 
 ### scaleIO {#scaleio}
 
@@ -842,7 +842,7 @@ spec:
       fsType: xfs
 ```
 
-Pour plus de détails, consulter [les exemples ScaleIO](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/volumes/scaleio).
+Pour plus de détails, consulter [les exemples ScaleIO](https://github.com/kubernetes/examples/tree/master/staging/volumes/scaleio).
 
 ### secret {#secret}
 
diff --git a/content/fr/docs/concepts/workloads/controllers/statefulset.md b/content/fr/docs/concepts/workloads/controllers/statefulset.md
index f223a8432f6..14221ba82af 100644
--- a/content/fr/docs/concepts/workloads/controllers/statefulset.md
+++ b/content/fr/docs/concepts/workloads/controllers/statefulset.md
@@ -32,7 +32,7 @@ Un [Deployment](/fr/docs/concepts/workloads/controllers/deployment/) ou
 
 ## Limitations
 
-* Le stockage pour un Pod donné doit être provisionné soit par un [approvisionneur de PersistentVolume](https://github.com/kubernetes/examples/tree/{{< param "githubbranch" >}}/staging/persistent-volume-provisioning/README.md) basé sur un `storage class` donné, soit pré-provisionné par un admin.
+* Le stockage pour un Pod donné doit être provisionné soit par un [approvisionneur de PersistentVolume](https://github.com/kubernetes/examples/tree/master/staging/persistent-volume-provisioning/README.md) basé sur un `storage class` donné, soit pré-provisionné par un admin.
 * Supprimer et/ou réduire l'échelle d'un StatefulSet à zéro ne supprimera *pas* les volumes associés avec le StatefulSet. Ceci est fait pour garantir la sécurité des données, ce qui a généralement plus de valeur qu'une purge automatique de toutes les ressources relatives à un StatefulSet.
 * Les StatefulSets nécessitent actuellement un [Service Headless](/fr/docs/concepts/services-networking/service/#headless-services) qui est responsable de l'identité réseau des Pods. Vous êtes responsable de la création de ce Service.
 * Les StatefulSets ne fournissent aucune garantie de la terminaison des pods lorsqu'un StatefulSet est supprimé. Pour avoir une terminaison ordonnée et maîtrisée des pods du StatefulSet, il est possible de réduire l'échelle du StatefulSet à 0 avant de le supprimer.
diff --git a/content/fr/docs/contribute/localization.md b/content/fr/docs/contribute/localization.md
index 91667afdd24..332aeb4ea44 100644
--- a/content/fr/docs/contribute/localization.md
+++ b/content/fr/docs/contribute/localization.md
@@ -147,7 +147,7 @@ La dernière version est **{{< latest-version >}}**, donc la branche de la relea
 
 ### Chaînes de sites en i18n/
 
-Les localisations doivent inclure le contenu des éléments suivants [`i18n/en.toml`](https://github.com/kubernetes/website/blob/master/i18n/en.toml) dans un nouveau fichier spécifique à la langue.
+Les localisations doivent inclure le contenu des éléments suivants [`i18n/en.toml`](https://github.com/kubernetes/website/blob/main/i18n/en.toml) dans un nouveau fichier spécifique à la langue.
 Prenons l'allemand comme exemple : `i18n/de.toml`.
 
 Ajouter un nouveau fichier de localisation dans `i18n/`. Par exemple, avec l'allemand (de) :
@@ -230,5 +230,3 @@ Une fois qu'une traduction répond aux exigences de logistique et à une couvert
 
 - Activer la sélection de la langue sur le site Web
 - Publier la disponibilité de la traduction via les canaux de la [Cloud Native Computing Foundation](https://www.cncf.io/), y compris sur le blog de [Kubernetes](https://kubernetes.io/blog/).
-
-
diff --git a/content/fr/docs/contribute/participating.md b/content/fr/docs/contribute/participating.md
index 0658be231f6..4fe25838593 100644
--- a/content/fr/docs/contribute/participating.md
+++ b/content/fr/docs/contribute/participating.md
@@ -102,7 +102,7 @@ Pour en savoir plus sur comment devenir un relecteur SIG Docs et sur les respons
 Lorsque vous remplissez les [conditions requises](https://github.com/kubernetes/community/blob/master/community-membership.md#reviewer), vous pouvez devenir un relecteur SIG Docs.
 Les relecteurs d'autres SIG doivent demander séparément le statut de relecteur dans le SIG Docs.
 
-Pour postuler, ouvrez une pull request et ajoutez vous à la section `reviewers` du fichier [top-level OWNERS](https://github.com/kubernetes/website/blob/master/OWNERS) dans le dépôt `kubernetes/website`.
+Pour postuler, ouvrez une pull request et ajoutez vous à la section `reviewers` du fichier [top-level OWNERS](https://github.com/kubernetes/website/blob/main/OWNERS) dans le dépôt `kubernetes/website`.
 Affectez la PR à un ou plusieurs approbateurs SIG Docs.
 
 Si votre pull request est approuvée, vous êtes maintenant un relecteur SIG Docs.
@@ -130,7 +130,7 @@ Pour en savoir plus sur comment devenir un approbateur SIG Docs et sur les respo
 Lorsque vous remplissez les [conditions requises](https://github.com/kubernetes/community/blob/master/community-membership.md#approver), vous pouvez devenir un approbateur SIG Docs.
 Les approbateurs appartenant à d'autres SIG doivent demander séparément le statut d'approbateur dans SIG Docs.
 
-Pour postuler, ouvrez une pull request pour vous ajouter à la section `approvers` du fichier [top-level OWNERS](https://github.com/kubernetes/website/blob/master/OWNERS) dans le dépot `kubernetes/website`.
+Pour postuler, ouvrez une pull request pour vous ajouter à la section `approvers` du fichier [top-level OWNERS](https://github.com/kubernetes/website/blob/main/OWNERS) dans le dépot `kubernetes/website`.
 Affectez la PR à un ou plusieurs approbateurs SIG Docs.
 
 Si votre Pull Request est approuvée, vous êtes à présent approbateur SIG Docs.
@@ -184,9 +184,9 @@ Le [dépôt du site web Kubernetes](https://github.com/kubernetes/website) utili
 - blunderbuss
 - approve
 
-Ces deux plugins utilisent les fichiers [OWNERS](https://github.com/kubernetes/website/blob/master/OWNERS) et [OWNERS_ALIASES](https://github.com/kubernetes/website/blob/master/OWNERS_ALIASES) à la racine du dépôt Github `kubernetes/website` pour contrôler comment prow fonctionne.
+Ces deux plugins utilisent les fichiers [OWNERS](https://github.com/kubernetes/website/blob/main/OWNERS) et [OWNERS_ALIASES](https://github.com/kubernetes/website/blob/main/OWNERS_ALIASES) à la racine du dépôt Github `kubernetes/website` pour contrôler comment prow fonctionne.
 
-Un fichier [OWNERS](https://github.com/kubernetes/website/blob/master/OWNERS) contient une liste de personnes qui sont des relecteurs et des approbateurs SIG Docs.
+Un fichier [OWNERS](https://github.com/kubernetes/website/blob/main/OWNERS) contient une liste de personnes qui sont des relecteurs et des approbateurs SIG Docs.
 Les fichiers OWNERS existent aussi dans les sous-dossiers, et peuvent ignorer qui peut agir en tant que relecteur ou approbateur des fichiers de ce sous-répertoire et de ses descendants.
 Pour plus d'informations sur les fichiers OWNERS en général, voir [OWNERS](https://github.com/kubernetes/community/blob/master/contributors/guide/owners.md).
 
@@ -203,5 +203,3 @@ Pour plus d'informations sur la contribution à la documentation Kubernetes, voi
 
 - [Commencez à contribuer](/docs/contribute/start/)
 - [Documentation style](/docs/contribute/style/)
-
-
diff --git a/content/fr/docs/reference/kubectl/cheatsheet.md b/content/fr/docs/reference/kubectl/cheatsheet.md
index a50eb8f320c..e1d86f7dac9 100644
--- a/content/fr/docs/reference/kubectl/cheatsheet.md
+++ b/content/fr/docs/reference/kubectl/cheatsheet.md
@@ -36,7 +36,7 @@ Vous pouvez de plus déclarer un alias pour `kubectl` qui fonctionne aussi avec
 
 ```bash
 alias k=kubectl
-complete -F __start_kubectl k
+complete -o default -F __start_kubectl k
 ```
 
 ### ZSH
diff --git a/content/fr/docs/setup/custom-cloud/kubespray.md b/content/fr/docs/setup/custom-cloud/kubespray.md
index cde3cbb3f92..4a9709818d5 100644
--- a/content/fr/docs/setup/custom-cloud/kubespray.md
+++ b/content/fr/docs/setup/custom-cloud/kubespray.md
@@ -15,8 +15,8 @@ Kubespray se base sur des outils de provisioning, des [paramètres](https://gith
 * Le support des principales distributions Linux:
   * Container Linux de CoreOS
   * Debian Jessie, Stretch, Wheezy
-  * Ubuntu 16.04, 18.04
-  * CentOS/RHEL 7
+  * Ubuntu 16.04, 18.04, 20.04, 22.04
+  * CentOS/RHEL 7, 8
   * Fedora/CentOS Atomic
   * openSUSE Leap 42.3/Tumbleweed
 * des tests d'intégration continue
@@ -33,8 +33,8 @@ Afin de choisir l'outil le mieux adapté à votre besoin, veuillez lire [cette c
 
 Les serveurs doivent être installés en s'assurant des éléments suivants:
 
-* **Ansible v2.6 (ou version plus récente) et python-netaddr installés sur la machine qui exécutera les commandes Ansible**
-* **Jinja 2.9 (ou version plus récente) est nécessaire pour exécuter les playbooks Ansible**
+* **Ansible v2.11 (ou version plus récente) et python-netaddr installés sur la machine qui exécutera les commandes Ansible**
+* **Jinja 2.11 (ou version plus récente) est nécessaire pour exécuter les playbooks Ansible**
 * Les serveurs cibles doivent avoir **accès à Internet** afin de télécharger les images Docker. Autrement, une configuration supplémentaire est nécessaire, (se référer à [Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/downloads.md#offline-environment))
 * Les serveurs cibles doivent être configurés afin d'autoriser le transfert IPv4 (**IPv4 forwarding**)
 * **Votre clé ssh doit être copiée** sur tous les serveurs faisant partie de votre inventaire Ansible.
diff --git a/content/fr/docs/setup/release/building-from-source.md b/content/fr/docs/setup/release/building-from-source.md
index b8a8e46bca0..81b2328a1a5 100644
--- a/content/fr/docs/setup/release/building-from-source.md
+++ b/content/fr/docs/setup/release/building-from-source.md
@@ -29,6 +29,6 @@ cd kubernetes
 make release
 ```
 
-Pour plus de détails sur le processus de release, voir le repertoire [`build`](http://releases.k8s.io/{{< param "githubbranch" >}}/build/) dans kubernetes/kubernetes.
+Pour plus de détails sur le processus de release, voir le repertoire [`build`](http://releases.k8s.io/master/build/) dans kubernetes/kubernetes.
 
 
diff --git a/content/fr/docs/tasks/tools/install-kubectl.md b/content/fr/docs/tasks/tools/install-kubectl.md
index 2d57145edd2..651b224987a 100644
--- a/content/fr/docs/tasks/tools/install-kubectl.md
+++ b/content/fr/docs/tasks/tools/install-kubectl.md
@@ -363,7 +363,7 @@ Vous devez maintenant vérifier que le script de completion de kubectl est bien
 
     ```shell
     echo 'alias k=kubectl' >>~/.bashrc
-    echo 'complete -F __start_kubectl k' >>~/.bashrc
+    echo 'complete -o default -F __start_kubectl k' >>~/.bashrc
     ```
 
 {{< note >}}
@@ -431,7 +431,7 @@ Si vous n'avez pas installé via Homebrew, vous devez maintenant vous assurer qu
 
     ```shell
     echo 'alias k=kubectl' >>~/.bashrc
-    echo 'complete -F __start_kubectl k' >>~/.bashrc
+    echo 'complete -o default -F __start_kubectl k' >>~/.bashrc
     ```
     
 Si vous avez installé kubectl avec Homebrew (comme expliqué [ici](#installer-avec-homebrew-sur-macos)), alors le script de complétion a été automatiquement installé dans `/usr/local/etc/bash_completion.d/kubectl`. Dans ce cas, vous n'avez rien à faire.
diff --git a/content/id/docs/concepts/cluster-administration/addons.md b/content/id/docs/concepts/cluster-administration/addons.md
index 5d44364314d..a39668ee247 100644
--- a/content/id/docs/concepts/cluster-administration/addons.md
+++ b/content/id/docs/concepts/cluster-administration/addons.md
@@ -22,15 +22,15 @@ Laman ini akan menjabarkan beberapa *add-ons* yang tersedia serta tautan instruk
 
 * [ACI](https://www.github.com/noironetworks/aci-containers) menyediakan integrasi jaringan kontainer dan keamanan jaringan dengan Cisco ACI.
 * [Calico](https://docs.projectcalico.org/latest/getting-started/kubernetes/) merupakan penyedia jaringan L3 yang aman dan *policy* jaringan.
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install) menggabungkan Flannel dan Calico, menyediakan jaringan serta *policy* jaringan.
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel) menggabungkan Flannel dan Calico, menyediakan jaringan serta *policy* jaringan.
 * [Cilium](https://github.com/cilium/cilium) merupakan *plugin* jaringan L3 dan *policy* jaringan yang dapat menjalankan *policy* HTTP/API/L7 secara transparan. Mendukung mode *routing* maupun *overlay/encapsulation*.
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie) memungkinkan Kubernetes agar dapat terkoneksi dengan beragam *plugin* CNI, seperti Calico, Canal, Flannel, Romana, atau Weave dengan mulus.
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie) memungkinkan Kubernetes agar dapat terkoneksi dengan beragam *plugin* CNI, seperti Calico, Canal, Flannel, Romana, atau Weave dengan mulus.
 * [Contiv](http://contiv.github.io) menyediakan jaringan yang dapat dikonfigurasi (*native* L3 menggunakan BGP, *overlay* menggunakan vxlan, klasik L2, dan Cisco-SDN/ACI) untuk berbagai penggunaan serta *policy framework* yang kaya dan beragam. Proyek Contiv merupakan proyek [open source](http://github.com/contiv). Laman [instalasi](http://github.com/contiv/install) ini akan menjabarkan cara instalasi, baik untuk klaster dengan kubeadm maupun non-kubeadm.
 * [Contrail](http://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/), yang berbasis dari [Tungsten Fabric](https://tungsten.io), merupakan sebuah proyek *open source* yang menyediakan virtualisasi jaringan *multi-cloud* serta platform manajemen *policy*. Contrail dan Tungsten Fabric terintegrasi dengan sistem orkestrasi lainnya seperti Kubernetes, OpenShift, OpenStack dan Mesos, serta menyediakan mode isolasi untuk mesin virtual (VM), kontainer/pod dan *bare metal*.
 * [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually) merupakan penyedia jaringan *overlay* yang dapat digunakan pada Kubernetes.
 * [Knitter](https://github.com/ZTE/Knitter/) merupakan solusi jaringan yang mendukung multipel jaringan pada Kubernetes.
-* Multus merupakan sebuah multi *plugin* agar Kubernetes mendukung multipel jaringan secara bersamaan sehingga dapat menggunakan semua *plugin* CNI (contoh: Calico, Cilium, Contiv, Flannel), ditambah pula dengan SRIOV, DPDK, OVS-DPDK dan VPP pada *workload* Kubernetes.
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) Container Plug-in (NCP) menyediakan integrasi antara VMware NSX-T dan orkestrator kontainer seperti Kubernetes, termasuk juga integrasi antara NSX-T dan platform CaaS/PaaS berbasis kontainer seperti *Pivotal Container Service* (PKS) dan OpenShift.
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni) merupakan sebuah multi *plugin* agar Kubernetes mendukung multipel jaringan secara bersamaan sehingga dapat menggunakan semua *plugin* CNI (contoh: Calico, Cilium, Contiv, Flannel), ditambah pula dengan SRIOV, DPDK, OVS-DPDK dan VPP pada *workload* Kubernetes.
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) Container Plug-in (NCP) menyediakan integrasi antara VMware NSX-T dan orkestrator kontainer seperti Kubernetes, termasuk juga integrasi antara NSX-T dan platform CaaS/PaaS berbasis kontainer seperti *Pivotal Container Service* (PKS) dan OpenShift.
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst) merupakan platform SDN yang menyediakan *policy-based* jaringan antara Kubernetes Pods dan non-Kubernetes *environment* dengan *monitoring* visibilitas dan keamanan.
 * [Romana](http://romana.io) merupakan solusi jaringan  *Layer* 3 untuk jaringan pod yang juga mendukung [*NetworkPolicy* API](/id/docs/concepts/services-networking/network-policies/). Instalasi Kubeadm *add-on* ini tersedia [di sini](https://github.com/romana/romana/tree/master/containerize).
 * [Weave Net](https://www.weave.works/docs/net/latest/kube-addon/) menyediakan jaringan serta *policy* jaringan, yang akan membawa kedua sisi dari partisi jaringan, serta tidak membutuhkan basis data eksternal.
diff --git a/content/it/docs/concepts/cluster-administration/addons.md b/content/it/docs/concepts/cluster-administration/addons.md
index aed6cdf7561..782ce4ecfa4 100644
--- a/content/it/docs/concepts/cluster-administration/addons.md
+++ b/content/it/docs/concepts/cluster-administration/addons.md
@@ -22,14 +22,14 @@ I componenti aggiuntivi in ogni sezione sono ordinati alfabeticamente - l'ordine
 
 * [ACI](https://www.github.com/noironetworks/aci-containers) fornisce funzionalità integrate di networking e sicurezza di rete con Cisco ACI.
 * [Calico](https://docs.projectcalico.org/latest/getting-started/kubernetes/) è un provider di sicurezza e rete L3 sicuro.
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install) unisce Flannel e Calico, fornendo i criteri di rete e di rete.
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel) unisce Flannel e Calico, fornendo i criteri di rete e di rete.
 * [Cilium](https://github.com/cilium/cilium) è un plug-in di criteri di rete e di rete L3 in grado di applicare in modo trasparente le politiche HTTP / API / L7. Sono supportate entrambe le modalità di routing e overlay / incapsulamento.
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie) consente a Kubernetes di connettersi senza problemi a una scelta di plugin CNI, come Calico, Canal, Flannel, Romana o Weave.
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie) consente a Kubernetes di connettersi senza problemi a una scelta di plugin CNI, come Calico, Canal, Flannel, Romana o Weave.
 * [Contiv](https://contivpp.io/) offre networking configurabile (L3 nativo con BGP, overlay con vxlan, L2 classico e Cisco-SDN / ACI) per vari casi d'uso e un ricco framework di policy. Il progetto Contiv è completamente [open source](http://github.com/contiv). Il [programma di installazione](http://github.com/contiv/install) fornisce sia opzioni di installazione basate su kubeadm che non su Kubeadm.
 * [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually) è un provider di reti sovrapposte che può essere utilizzato con Kubernetes.
 * [Knitter](https://github.com/ZTE/Knitter/) è una soluzione di rete che supporta più reti in Kubernetes.
-* Multus è un multi-plugin per il supporto di più reti in Kubernetes per supportare tutti i plugin CNI (es. Calico, Cilium, Contiv, Flannel), oltre a SRIOV, DPDK, OVS-DPDK e carichi di lavoro basati su VPP in Kubernetes.
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) Container Plug-in (NCP) fornisce l'integrazione tra VMware NSX-T e orchestratori di contenitori come Kubernetes, oltre all'integrazione tra NSX-T e piattaforme CaaS / PaaS basate su container come Pivotal Container Service (PKS) e OpenShift.
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni) è un multi-plugin per il supporto di più reti in Kubernetes per supportare tutti i plugin CNI (es. Calico, Cilium, Contiv, Flannel), oltre a SRIOV, DPDK, OVS-DPDK e carichi di lavoro basati su VPP in Kubernetes.
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) Container Plug-in (NCP) fornisce l'integrazione tra VMware NSX-T e orchestratori di contenitori come Kubernetes, oltre all'integrazione tra NSX-T e piattaforme CaaS / PaaS basate su container come Pivotal Container Service (PKS) e OpenShift.
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1/docs/kubernetes-1-installation.rst) è una piattaforma SDN che fornisce una rete basata su policy tra i pod di Kubernetes e non Kubernetes con visibilità e monitoraggio della sicurezza.
 * [Romana](https://github.com/romana/romana) è una soluzione di rete Layer 3 per pod network che supporta anche [API NetworkPolicy](/docs/concepts/services-networking/network-policies/). Dettagli di installazione del componente aggiuntivo di Kubeadm disponibili [qui](https://github.com/romana/romana/tree/master/containerize).
 * [Weave Net](https://www.weave.works/docs/net/latest/kube-addon/) fornisce i criteri di rete e di rete, continuerà a funzionare su entrambi i lati di una partizione di rete e non richiede un database esterno.
diff --git a/content/ja/docs/concepts/cluster-administration/addons.md b/content/ja/docs/concepts/cluster-administration/addons.md
index 70619ab3c1b..f1740c56c86 100644
--- a/content/ja/docs/concepts/cluster-administration/addons.md
+++ b/content/ja/docs/concepts/cluster-administration/addons.md
@@ -17,19 +17,20 @@ content_type: concept
 
 * [ACI](https://www.github.com/noironetworks/aci-containers)は、統合されたコンテナネットワークとネットワークセキュリティをCisco ACIを使用して提供します。
 * [Antrea](https://antrea.io/)は、L3またはL4で動作して、Open vSwitchをネットワークデータプレーンとして活用する、Kubernetes向けのネットワークとセキュリティサービスを提供します。
-* [Calico](https://docs.projectcalico.org/latest/introduction/)はネットワークとネットワークプリシーのプロバイダーです。Calicoは、BGPを使用または未使用の非オーバーレイおよびオーバーレイネットワークを含む、フレキシブルなさまざまなネットワークオプションをサポートします。Calicoはホスト、Pod、そして(IstioとEnvoyを使用している場合には)サービスメッシュ上のアプリケーションに対してネットワークポリシーを強制するために、同一のエンジンを使用します。
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install)はFlannelとCalicoをあわせたもので、ネットワークとネットワークポリシーを提供します。
+* [Calico](https://docs.projectcalico.org/latest/introduction/)はネットワークとネットワークポリシーのプロバイダーです。Calicoは、BGPを使用または未使用の非オーバーレイおよびオーバーレイネットワークを含む、フレキシブルなさまざまなネットワークオプションをサポートします。Calicoはホスト、Pod、そして(IstioとEnvoyを使用している場合には)サービスメッシュ上のアプリケーションに対してネットワークポリシーを強制するために、同一のエンジンを使用します。
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel)はFlannelとCalicoをあわせたもので、ネットワークとネットワークポリシーを提供します。
 * [Cilium](https://github.com/cilium/cilium)は、L3のネットワークとネットワークポリシーのプラグインで、HTTP/API/L7のポリシーを透過的に強制できます。ルーティングとoverlay/encapsulationモードの両方をサポートしており、他のCNIプラグイン上で機能できます。
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie)は、KubernetesをCalico、Canal、Flannel、Romana、Weaveなど選択したCNIプラグインをシームレスに接続できるようにするプラグインです。
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie)は、KubernetesをCalico、Canal、Flannel、Weaveなど選択したCNIプラグインをシームレスに接続できるようにするプラグインです。
+* [Contiv](https://contivpp.io/)は、さまざまなユースケースと豊富なポリシーフレームワーク向けに設定可能なネットワーク(BGPを使用したネイティブのL3、vxlanを使用したオーバーレイ、古典的なL2、Cisco-SDN/ACI)を提供します。Contivプロジェクトは完全に[オープンソース](https://github.com/contiv)です。[インストーラー](https://github.com/contiv/install)はkubeadmとkubeadm以外の両方をベースとしたインストールオプションがあります。
 * [Contrail](https://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/)は、[Tungsten Fabric](https://tungsten.io)をベースにしている、オープンソースでマルチクラウドに対応したネットワーク仮想化およびポリシー管理プラットフォームです。ContrailおよびTungsten Fabricは、Kubernetes、OpenShift、OpenStack、Mesosなどのオーケストレーションシステムと統合されており、仮想マシン、コンテナ/Pod、ベアメタルのワークロードに隔離モードを提供します。
 * [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually)は、Kubernetesで使用できるオーバーレイネットワークプロバイダーです。
 * [Knitter](https://github.com/ZTE/Knitter/)は、1つのKubernetes Podで複数のネットワークインターフェイスをサポートするためのプラグインです。
-* Multus は、すべてのCNIプラグイン(たとえば、Calico、Cilium、Contiv、Flannel)に加えて、SRIOV、DPDK、OVS-DPDK、VPPをベースとするKubernetes上のワークロードをサポートする、複数のネットワークサポートのためのマルチプラグインです。
-* [OVN-Kubernetes](https://github.com/ovn-org/ovn-kubernetes/)は、Open vSwitch(OVS)プロジェクトから生まれた仮想ネットワーク実装である[OVN(Open Virtual Network)](https://github.com/ovn-org/ovn/)をベースとする、Kubernetesのためのネットワークプロバイダです。OVN-Kubernetesは、OVSベースのロードバランサーおよびネットワークポリシーの実装を含む、Kubernetes向けのオーバーレイベースのネットワーク実装を提供します。
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni)は、すべてのCNIプラグイン(たとえば、Calico、Cilium、Contiv、Flannel)に加えて、SRIOV、DPDK、OVS-DPDK、VPPをベースとするKubernetes上のワークロードをサポートする、複数のネットワークサポートのためのマルチプラグインです。
+* [OVN-Kubernetes](https://github.com/ovn-org/ovn-kubernetes/)は、Open vSwitch(OVS)プロジェクトから生まれた仮想ネットワーク実装である[OVN(Open Virtual Network)](https://github.com/ovn-org/ovn/)をベースとする、Kubernetesのためのネットワークプロバイダーです。OVN-Kubernetesは、OVSベースのロードバランサーおよびネットワークポリシーの実装を含む、Kubernetes向けのオーバーレイベースのネットワーク実装を提供します。
 * [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin)は、クラウドネイティブベースのService function chaining(SFC)、Multiple OVNオーバーレイネットワーク、動的なサブネットの作成、動的な仮想ネットワークの作成、VLANプロバイダーネットワーク、Directプロバイダーネットワークを提供し、他のMulti-networkプラグインと付け替え可能なOVNベースのCNIコントローラープラグインです。
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) Container Plug-in(NCP)は、VMware NSX-TとKubernetesなどのコンテナオーケストレーター間のインテグレーションを提供します。また、NSX-Tと、Pivotal Container Service(PKS)とOpenShiftなどのコンテナベースのCaaS/PaaSプラットフォームとのインテグレーションも提供します。
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) Container Plug-in(NCP)は、VMware NSX-TとKubernetesなどのコンテナオーケストレーター間のインテグレーションを提供します。また、NSX-Tと、Pivotal Container Service(PKS)とOpenShiftなどのコンテナベースのCaaS/PaaSプラットフォームとのインテグレーションも提供します。
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst)は、Kubernetes Podと非Kubernetes環境間で可視化とセキュリティモニタリングを使用してポリシーベースのネットワークを提供するSDNプラットフォームです。
-* [Romana](https://github.com/romana/romana)は、[NetworkPolicy API](/ja/docs/concepts/services-networking/network-policies/)もサポートするPodネットワーク向けのL3のネットワークソリューションです。Kubeadmアドオンのインストールの詳細は[こちら](https://github.com/romana/romana/tree/master/containerize)で確認できます。
+* [Romana](https://github.com/romana)は、[NetworkPolicy](/ja/docs/concepts/services-networking/network-policies/) APIもサポートするPodネットワーク向けのL3のネットワークソリューションです。
 * [Weave Net](https://www.weave.works/docs/net/latest/kubernetes/kube-addon/)は、ネットワークパーティションの両面で機能し、外部データベースを必要とせずに、ネットワークとネットワークポリシーを提供します。
 
 ## サービスディスカバリ
@@ -44,6 +45,7 @@ content_type: concept
 ## インフラストラクチャ
 
 * [KubeVirt](https://kubevirt.io/user-guide/#/installation/installation)は仮想マシンをKubernetes上で実行するためのアドオンです。通常、ベアメタルのクラスタで実行します。
+* [node problem detector](https://github.com/kubernetes/node-problem-detector)はLinuxノード上で動作し、システムの問題を[Event](/docs/reference/kubernetes-api/cluster-resources/event-v1/)または[ノードのCondition](/ja/docs/concepts/architecture/nodes/#condition)として報告します。
 
 ## レガシーなアドオン
 
diff --git a/content/ja/docs/concepts/configuration/secret.md b/content/ja/docs/concepts/configuration/secret.md
index ca8b3126593..3a2dd6ce431 100644
--- a/content/ja/docs/concepts/configuration/secret.md
+++ b/content/ja/docs/concepts/configuration/secret.md
@@ -277,7 +277,7 @@ kubectl create secret tls my-tls-secret \
 
 Bootstrap token Secretは、Secretの`type`を`bootstrap.kubernetes.io/token`に明示的に指定することで作成できます。このタイプのSecretは、ノードのブートストラッププロセス中に使用されるトークン用に設計されています。よく知られているConfigMapに署名するために使用されるトークンを格納します。
 
-Bootstrap toke Secretは通常、`kube-system`namespaceで作成され`bootstrap-token-<token-id>`の形式で名前が付けられます。ここで`<token-id>`はトークンIDの6文字の文字列です。
+Bootstrap token Secretは通常、`kube-system`namespaceで作成され`bootstrap-token-<token-id>`の形式で名前が付けられます。ここで`<token-id>`はトークンIDの6文字の文字列です。
 
 Kubernetesマニフェストとして、Bootstrap token Secretは次のようになります。
 
diff --git a/content/ja/docs/reference/using-api/_index.md b/content/ja/docs/reference/using-api/_index.md
index 2dff67b71fc..4cf5b25a953 100644
--- a/content/ja/docs/reference/using-api/_index.md
+++ b/content/ja/docs/reference/using-api/_index.md
@@ -30,7 +30,7 @@ JSONとProtobufなどのシリアル化スキーマの変更については同
 以下の説明は、両方のフォーマットをカバーしています。
 
 APIのバージョニングとソフトウェアのバージョニングは間接的に関係しています。
-[API and release versioning proposal](https://git.k8s.io/community/contributors/design-proposals/release/versioning.md)は、APIバージョニングとソフトウェアバージョニングの関係を説明しています。
+[API and release versioning proposal](https://git.k8s.io/sig-release/release-engineering/versioning.md)は、APIバージョニングとソフトウェアバージョニングの関係を説明しています。
 
 APIのバージョンが異なると、安定性やサポートのレベルも異なります。
 各レベルの基準については、[API Changes documentation](https://git.k8s.io/community/contributors/devel/sig-architecture/api_changes.md#alpha-beta-and-stable-versions)で詳しく説明しています。
diff --git a/content/ja/docs/setup/production-environment/tools/kubespray.md b/content/ja/docs/setup/production-environment/tools/kubespray.md
index 4fe5c6e978b..9d6497c0547 100644
--- a/content/ja/docs/setup/production-environment/tools/kubespray.md
+++ b/content/ja/docs/setup/production-environment/tools/kubespray.md
@@ -6,19 +6,20 @@ weight: 30
 
 <!-- overview -->
 
-This quickstart helps to install a Kubernetes cluster hosted on GCE, Azure, OpenStack, AWS, vSphere, Packet (bare metal), Oracle Cloud Infrastructure (Experimental) or Baremetal with [Kubespray](https://github.com/kubernetes-sigs/kubespray).
+This quickstart helps to install a Kubernetes cluster hosted on GCE, Azure, OpenStack, AWS, vSphere, Equinix Metal (formerly Packet), Oracle Cloud Infrastructure (Experimental) or Baremetal with [Kubespray](https://github.com/kubernetes-sigs/kubespray).
 
 Kubespray is a composition of [Ansible](https://docs.ansible.com/) playbooks, [inventory](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md), provisioning tools, and domain knowledge for generic OS/Kubernetes clusters configuration management tasks. Kubespray provides:
 
 * a highly available cluster
 * composable attributes
 * support for most popular Linux distributions
-  * Container Linux by CoreOS
+  * Ubuntu 16.04, 18.04, 20.04, 22.04
+  * CentOS/RHEL/Oracle Linux 7, 8
   * Debian Buster, Jessie, Stretch, Wheezy
-  * Ubuntu 16.04, 18.04
-  * CentOS/RHEL/Oracle Linux 7
-  * Fedora 28
+  * Fedora 34, 35
+  * Fedora CoreOS
   * openSUSE Leap 15
+  * Flatcar Container Linux by Kinvolk
 * continuous integration tests
 
 To choose a tool which best fits your use case, read [this comparison](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/comparisons.md) to
@@ -34,13 +35,13 @@ To choose a tool which best fits your use case, read [this comparison](https://g
 
 Provision servers with the following [requirements](https://github.com/kubernetes-sigs/kubespray#requirements):
 
-* **Ansible v2.7.8 and python-netaddr is installed on the machine that will run Ansible commands**
-* **Jinja 2.9 (or newer) is required to run the Ansible Playbooks**
+* **Ansible v2.11 and python-netaddr are installed on the machine that will run Ansible commands**
+* **Jinja 2.11 (or newer) is required to run the Ansible Playbooks**
 * The target servers must have access to the Internet in order to pull docker images. Otherwise, additional configuration is required ([See Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
 * The target servers are configured to allow **IPv4 forwarding**
-* **Your ssh key must be copied** to all the servers part of your inventory
-* The **firewalls are not managed**, you'll need to implement your own rules the way you used to. in order to avoid any issue during deployment you should disable your firewall
-* If kubespray is ran from non-root user account, correct privilege escalation method should be configured in the target servers. Then the `ansible_become` flag or command parameters `--become` or `-b` should be specified
+* **Your ssh key must be copied** to all the servers in your inventory
+* **Firewalls are not managed by kubespray**. You'll need to implement appropriate rules as needed. You should disable your firewall in order to avoid any issues during deployment
+* If kubespray is run from a non-root user account, correct privilege escalation method should be configured in the target servers and the `ansible_become` flag or command parameters `--become` or `-b` should be specified
 
 Kubespray provides the following utilities to help provision your environment:
 
diff --git a/content/ja/docs/setup/release/version-skew-policy.md b/content/ja/docs/setup/release/version-skew-policy.md
index 3e58503462e..bd1875aa419 100644
--- a/content/ja/docs/setup/release/version-skew-policy.md
+++ b/content/ja/docs/setup/release/version-skew-policy.md
@@ -12,7 +12,7 @@ weight: 30
 
 ## サポートされるバージョン {#supported-versions}
 
-Kubernetesのバージョンは**x.y.z**の形式で表現され、**x**はメジャーバージョン、**y**はマイナーバージョン、**z**はパッチバージョンを指します。これは[セマンティック バージョニング](https://semver.org/)に従っています。詳細は、[Kubernetesのリリースバージョニング](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/release/versioning.md#kubernetes-release-versioning)を参照してください。
+Kubernetesのバージョンは**x.y.z**の形式で表現され、**x**はメジャーバージョン、**y**はマイナーバージョン、**z**はパッチバージョンを指します。これは[セマンティック バージョニング](https://semver.org/)に従っています。詳細は、[Kubernetesのリリースバージョニング](https://git.k8s.io/sig-release/release-engineering/versioning.md#kubernetes-release-versioning)を参照してください。
 
 Kubernetesプロジェクトでは、最新の3つのマイナーリリースについてリリースブランチを管理しています ({{< skew latestVersion >}}, {{< skew prevMinorVersion >}}, {{< skew oldestMinorVersion >}})。
 
diff --git a/content/ko/blog/_posts/2020-12-02-dont-panic-kubernetes-and-docker.md b/content/ko/blog/_posts/2020-12-02-dont-panic-kubernetes-and-docker.md
index d5405651871..13e137f3b5b 100644
--- a/content/ko/blog/_posts/2020-12-02-dont-panic-kubernetes-and-docker.md
+++ b/content/ko/blog/_posts/2020-12-02-dont-panic-kubernetes-and-docker.md
@@ -3,6 +3,13 @@ layout: blog
 title: "당황하지 마세요. 쿠버네티스와 도커"
 date: 2020-12-02
 slug: dont-panic-kubernetes-and-docker
+evergreen: true
+---
+
+**업데이트:** _쿠버네티스의 `dockershim`을 통한 도커 지원이 제거되었습니다.
+더 자세한 정보는 [제거와 관련된 자주 묻는 질문](/dockershim/)을 참고하세요.
+또는 지원 중단에 대한 [GitHub 이슈](https://github.com/kubernetes/kubernetes/issues/106917)에서 논의를 할 수도 있습니다._
+
 ---
 
 **저자:** Jorge Castro, Duffie Cooley, Kat Cosgrove, Justin Garrison, Noah Kantrowitz, Bob Killen, Rey Lejano, Dan “POP” Papandrea, Jeffrey Sica, Davanum “Dims” Srinivas
@@ -10,8 +17,7 @@ slug: dont-panic-kubernetes-and-docker
 **번역:** 박재화(삼성SDS), 손석호(한국전자통신연구원)
 
 쿠버네티스는 v1.20 이후 컨테이너 런타임으로서
-[도커를
-사용 중단(deprecating)](https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md#deprecation)합니다.
+[도커를 사용 중단(deprecating)](https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md#deprecation)합니다.
 
 **당황할 필요는 없습니다. 말처럼 극적이진 않습니다.**
 
@@ -26,7 +32,7 @@ slug: dont-panic-kubernetes-and-docker
 빌드하는 데 유용한 도구이며, `docker
 build` 실행 결과로 만들어진 이미지도 여전히 쿠버네티스 클러스터에서 동작합니다.
 
-GKE, EKS 또는 AKS([containerd가 기본](https://github.com/Azure/AKS/releases/tag/2020-11-16)인)와 같은 관리형 쿠버네티스 서비스를
+AKS, EKS 또는 GKE와 같은 관리형 쿠버네티스 서비스를
 사용하는 경우 쿠버네티스의 향후 버전에서 도커에 대한 지원이
 없어지기 전에, 워커 노드가 지원되는 컨테이너 런타임을 사용하고 있는지 확인해야 합니다. 노드에
 사용자 정의가 적용된 경우 사용자 환경 및 런타임 요구 사항에 따라 업데이트가 필요할 수도
@@ -35,8 +41,8 @@ GKE, EKS 또는 AKS([containerd가 기본](https://github.com/Azure/AKS/releases
 
 자체 클러스터를 운영하는 경우에도, 클러스터의 고장을 피하기 위해서
 변경을 수행해야 합니다. v1.20에서는 도커에 대한 지원 중단 경고(deprecation warning)가 표시됩니다.
-도커 런타임 지원이 쿠버네티스의 향후 릴리스(현재는 2021년 하반기의
-1.22 릴리스로 계획됨)에서 제거되면 더 이상 지원되지
+도커 런타임 지원이 쿠버네티스의 향후 릴리스(<del>현재는 2021년 하반기의
+1.22 릴리스로 계획됨</del>)에서 제거되면 더 이상 지원되지
 않으며, containerd 또는 CRI-O와 같은 다른 호환 컨테이너 런타임 중
 하나로 전환해야 합니다. 선택한 런타임이 현재 사용 중인
 도커 데몬 구성(예: 로깅)을 지원하는지 확인하세요.
@@ -103,4 +109,4 @@ containerd가 정말 필요로 하는 것들을 확보하기 위해서 도커심
 모든 사람이 다가오는 변경 사항에 대해 최대한 많은 교육을 받을 수 있도록 하는 것입니다. 이 글이
 여러분이 가지는 대부분의 질문에 대한 답이 되었고, 불안을 약간은 진정시켰기를 바랍니다! ❤️
 
-더 많은 답변을 찾고 계신가요? 함께 제공되는 [도커심 사용 중단 FAQ](/blog/2020/12/02/dockershim-faq/)를 확인하세요.
+더 많은 답변을 찾고 계신가요? 함께 제공되는 [도커심 제거 FAQ](/blog/2022/02/17/dockershim-faq/)(2022년 2월에 갱신됨)를 확인하세요.
diff --git a/content/ko/blog/_posts/2021-08-04-kubernetes-release-1.22.md b/content/ko/blog/_posts/2021-08-04-kubernetes-release-1.22.md
index d6df46ac55d..c67cc47ea11 100644
--- a/content/ko/blog/_posts/2021-08-04-kubernetes-release-1.22.md
+++ b/content/ko/blog/_posts/2021-08-04-kubernetes-release-1.22.md
@@ -3,6 +3,7 @@ layout: blog
 title: '쿠버네티스 1.22: 새로운 정점에 도달(Reaching New Peaks)'
 date: 2021-08-04
 slug: kubernetes-1-22-release-announcement
+evergreen: true
 ---
 
 **저자:** [쿠버네티스 1.22 릴리스 팀](https://github.com/kubernetes/sig-release/blob/master/releases/release-1.22/release-team.md)
@@ -50,7 +51,7 @@ SIG Windows는 계속해서 성장하는 개발자 커뮤니티를 지원하기
 
 ### 기본(default) seccomp 프로파일
 
-알파 기능인 기본 seccomp 프로파일이 신규 커맨드라인 플래그 및 설정과 함께 kubelet에 추가되었습니다. 이 신규 기능을 사용하면, `Unconfined`대신 `RuntimeDefault` seccomp 프로파일을 기본으로 사용하는 seccomp이 클러스터 전반에서 기본이 됩니다. 이는 쿠버네티스 디플로이먼트(Deployment)의 기본 보안을 강화합니다. 워크로드에 대한 보안이 기본으로 더 강화되었으므로, 이제 보안 관리자도 조금 더 안심하고 쉴 수 있습니다. 이 기능에 대한 자세한 사항은 공식적인 [seccomp 튜토리얼](https://kubernetes.io/docs/tutorials/clusters/seccomp/#enable-the-use-of-runtimedefault-as-the-default-seccomp-profile-for-all-workloads)을 참고하시기 바랍니다.
+알파 기능인 기본 seccomp 프로파일이 신규 커맨드라인 플래그 및 설정과 함께 kubelet에 추가되었습니다. 이 신규 기능을 사용하면, `Unconfined`대신 `RuntimeDefault` seccomp 프로파일을 기본으로 사용하는 seccomp이 클러스터 전반에서 기본이 됩니다. 이는 쿠버네티스 디플로이먼트(Deployment)의 기본 보안을 강화합니다. 워크로드에 대한 보안이 기본으로 더 강화되었으므로, 이제 보안 관리자도 조금 더 안심하고 쉴 수 있습니다. 이 기능에 대한 자세한 사항은 공식적인 [seccomp 튜토리얼](/docs/tutorials/security/seccomp/#enable-the-use-of-runtimedefault-as-the-default-seccomp-profile-for-all-workloads)을 참고하시기 바랍니다.
 
 ### kubeadm을 통한 보안성이 더 높은 컨트롤 플레인
 
diff --git a/content/ko/community/_index.html b/content/ko/community/_index.html
index 30ede236bc7..867916e2083 100644
--- a/content/ko/community/_index.html
+++ b/content/ko/community/_index.html
@@ -1,257 +1,183 @@
 ---
-title: 커뮤니티
+title: Community
 layout: basic
 cid: community
+community_styles_migrated: true
 ---
+<img
+  id="banner"
+  srcset="/images/community/kubernetes-community-final-02.jpg 1500w, /images/community/kubernetes-community-02-mobile.jpg 900w"
+  sizes="(max-width: 900px) 900px, (max-width: 1920px) 1500px"
+  src="/images/community/kubernetes-community-final-02.jpg"
+  alt="Kubernetes conference photo">
 
-<div class="newcommunitywrapper">
-<div class="banner1">
-  <img src="/images/community/kubernetes-community-final-02.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%;padding-left:0px" class="desktop">
-  <img src="/images/community/kubernetes-community-02-mobile.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%;padding-left:0px" class="mobile">
+<div class="community-section" id="introduction">
+  <p>사용자, 기여자, 그리고 우리가 함께 구축한 문화를 통해 구성된 쿠버네티스 커뮤니티는 
+  본 오픈소스 프로젝트가 급부상하는 가장 큰 이유 중 하나입니다. 
+  프로젝트 자체가 성장하고 변화함에 따라 
+  우리의 문화와 가치관 또한 지속적으로 성장하고 변화하고 있습니다. 
+  우리 모두는 프로젝트와 작업 방식을 지속적으로 개선하기 위해 함께 노력합니다.</p>
+  <p>우리는 이슈(issue)와 풀 리퀘스트(pull request)를 제출하고, SIG 미팅과 쿠버네티스 모임 그리고 KubeCon에 참석하고, 
+  도입(adoption)과 혁신(innovation)을 지지하며, 
+  <code>kubectl get pods</code> 를 실행하고, 
+  다른 수천가지 중요한 방법으로 기여하는 사람들 입니다. 
+  어떻게 하면 이 놀라운 공동체의 일부가 될 수 있는지 계속 읽어보세요.</p>
 </div>
 
-<div class="intro">
-<br class="mobile">
-<p>사용자, 기여자, 그리고 우리가 함께 구축한 문화를 통해 구성된 쿠버네티스 커뮤니티는 본 오픈소스 프로젝트가 급부상하는 가장 큰 이유 중 하나입니다. 프로젝트 자체가 성장하고 변화함에 따라 우리의 문화와 가치관 또한 지속적으로 성장하고 변화하고 있습니다. 우리 모두는 프로젝트와 작업 방식을 지속적으로 개선하기 위해 함께 노력합니다.
-<br><br>우리는 이슈(issue)와 풀 리퀘스트(pull request)를 제출하고, SIG 미팅과 쿠버네티스 모임 그리고 KubeCon에 참석하고, 도입(adoption)과 혁신(innovation)을 지지하며, <code>kubectl get pods</code> 를 실행하고, 다른 수천가지 중요한 방법으로 기여하는 사람들 입니다. 어떻게 하면 이 놀라운 공동체의 일부가 될 수 있는지 계속 읽어보세요.</p>
-<br class="mobile">
-</div>
-
-<div class="community__navbar">
-
-<a href="https://www.kubernetes.dev/">기여자 커뮤니티</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#values">커뮤니티 가치</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#conduct">행동 강령 </a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#videos">비디오</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#discuss">토론</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#events">이벤트와 모임들</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="#news">새소식</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
-<a href="/releases">릴리즈</a>
-
-</div>
-<br class="mobile"><br class="mobile">
-<div class="imagecols">
-<br class="mobile">
-  <div class="imagecol">
-    <img src="/images/community/kubernetes-community-final-03.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%" class="desktop">
+<div id="navigation-items">
+  <div class="community-nav-item external-link">
+    <a href="https://www.kubernetes.dev/">기여자 커뮤니티</a>
   </div>
-
-  <div class="imagecol">
-    <img src="/images/community/kubernetes-community-final-04.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%" class="desktop">
+  <div class="community-nav-item">
+    <a href="#values">커뮤니티 가치</a>
   </div>
-
-  <div class="imagecol" style="margin-right:0% important">
-    <img src="/images/community/kubernetes-community-final-05.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%;margin-right:0% important" class="desktop">
+  <div class="community-nav-item">
+    <a href="#conduct">행동 강령</a>
+  </div>
+  <div class="community-nav-item">
+    <a href="#videos">비디오</a>
+  </div>
+  <div class="community-nav-item">
+    <a href="#discuss">토론</a>
+  </div>
+  <div class="community-nav-item">
+    <a href="#meetups">밋업</a>
+  </div>
+  <div class="community-nav-item">
+    <a href="#news">새소식</a>
+  </div>
+  <div class="community-nav-item">
+    <a href="/releases">릴리스</a>
   </div>
-  <img src="/images/community/kubernetes-community-04-mobile.jpg" alt="쿠버네티스 컨퍼런스 갤러리" style="width:100%;margin-bottom:3%" class="mobile">
-<a name="values"></a>
 </div>
 
-<div><a name="values"></a></div>
-<div class="conduct">
-<div class="conducttext">
-<br class="mobile"><br class="mobile">
-<br class="tablet"><br class="tablet">
-<div class="conducttextnobutton" style="margin-bottom:2%"><h1>커뮤니티 가치</h1>
-쿠버네티스 커뮤니티가 추구하는 가치는 프로젝트의 지속적인 성공의 핵심입니다.<br>
-이러한 원칙은 쿠버네티스 프로젝트의 모든 측면을 이끌어 갑니다.
-<br>
-<a href="/community/values/">
-<br class="mobile"><br class="mobile">
-<span class="fullbutton">
-  더 읽어 보기
-  </span>
+<div class="community-section" id="gallery">
+  <img src="/images/community/kubernetes-community-final-03.jpg" alt="쿠버네티스 컨퍼런스 갤러리 사진" class="community-gallery-desktop">
+  <img src="/images/community/kubernetes-community-final-04.jpg" alt="쿠버네티스 컨퍼런스 갤러리 사진" class="community-gallery-desktop">
+  <img src="/images/community/kubernetes-community-final-05.jpg" alt="쿠버네티스 컨퍼런스 갤러리 사진" class="community-gallery-desktop">
+  <img src="/images/community/kubernetes-community-04-mobile.jpg" alt="쿠버네티스 컨퍼런스 갤러리 사진" class="community-gallery-mobile">
+</div>
+
+<div class="community-section" id="values">
+  <h2>커뮤니티 가치</h2>
+  <p>쿠버네티스 커뮤니티가 추구하는 가치는 프로젝트의 지속적인 성공의 핵심입니다.<br class="optional"/>
+  이러한 원칙은 쿠버네티스 프로젝트의 모든 측면을 이끌어 갑니다.</p>
+  <a href="https://www.kubernetes.dev/community/values/" class="community-cta-button">
+    <span class="community-cta">더 읽어 보기</span>
   </a>
-  </div><a name="conduct"></a>
+</div>
+
+<div class="community-section" id="conduct">
+  <h2>행동 강령</h2>
+  <p>쿠버네티스 커뮤니티는 존중과 포괄성을 중요시하며 모든 상호작용에 행동 강령을 시행합니다.</p>
+  <p>이벤트나 회의, <a href="#slack">슬랙</a> 또는 다른 커뮤니케이션 메커니즘에서 행동 강령의 위반이 발견되면, 쿠버네티스 행동 강령 위원회 <a href="mailto:conduct@kubernetes.io">conduct@kubernetes.io</a>에 연락하세요. 모든 제보는 기밀로 유지됩니다. <a href="https://github.com/kubernetes/community/tree/master/committee-code-of-conduct">여기</a>서 위원회에 대한 내용을 읽을 수 있습니다.</p>
+  <a href="/ko/community/code-of-conduct/" class="community-cta-button">
+    <span class="community-cta">더 읽어 보기</span>
+  </a>
+</div>
+
+<div id="videos" class="community-section">
+  <h2>비디오</h2>
+
+  <p class="community-simple">유튜브에 많이 올라와 있어요. 다양한 주제에 대해 구독하세요.</p>
+
+  <div class="container">
+    <div class="video youtube">
+      <iframe src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP3azFUvYJjGn45YbF6C-uIg" title="Monthly office hours" allow="camera 'none'; microphone 'none'; geolocation 'none'; fullscreen https://www.youtube.com/" ></iframe>
+      <a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP3azFUvYJjGn45YbF6C-uIg">
+       <span class="videocta">월간 Office Hours 보기&nbsp;&#9654;</span>
+      </a>
+    </div>
+
+    <div class="video youtube">
+      <iframe src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP1pkHsbPjzAewvMgGUpkCnJ" title="Weekly community meetings" allow="camera 'none'; microphone 'none'; geolocation 'none'; fullscreen https://www.youtube.com/"></iframe>
+      <a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP1pkHsbPjzAewvMgGUpkCnJ">
+        <span class="videocta">주간 커뮤니티 미팅 보기&nbsp;&#9654;</span>
+      </a>
+    </div>
+
+    <div class="video youtube" id="discuss">
+      <iframe src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP3QpQrhZq_sLYo77BVKv09F" title="Talk from a community member" allow="camera 'none'; microphone 'none'; geolocation 'none'; fullscreen https://www.youtube.com/"></iframe>
+      <a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP3QpQrhZq_sLYo77BVKv09F">
+        <span class="videocta">커뮤니티 멤버와의 대화 보기&nbsp;&#9654;</span>
+      </a>
+    </div>
   </div>
+</div>
+
+<div id="resources" class="community-section">
+  <h2>토론</h2>
+
+  <p class="community-simple">우리는 대화를 많이 합니다. 아래의 플랫폼에서 우리를 찾아 대화에 참여하세요.</p>
+
+  <div class="container">
+    <div class="community-resource">
+      <a href="https://discuss.kubernetes.io/">
+        <img src="/images/community/discuss.png" alt="Forum">
+      </a>
+      <a href="https://discuss.kubernetes.io/">커뮤니티 포럼&nbsp;&#9654;</a>
+      <p>문서, 트러블슈팅 및 그 외 더 많은 것을 소개하는 
+        주제 기반 기술 토론이 열리는 곳입니다.</p>
+    </div>
+
+    <div id="twitter" class="community-resource">
+      <a href="https://twitter.com/kubernetesio">
+        <img src="/images/community/twitter.png" alt="Twitter">
+      </a>
+      <a href="https://twitter.com/kubernetesio">트위터&nbsp;&#9654;</a>
+      <p><em>#kubernetesio</em></p>
+      <p>블로그 게시물, 이벤트, 뉴스, 아이디어에 대한 실시간 소식들입니다.</p>
+    </div>
+
+    <div id="github" class="community-resource">
+      <a href="https://github.com/kubernetes/kubernetes">
+        <img src="/images/community/github.png" alt="GitHub">
+      </a>
+      <a href="https://github.com/kubernetes/kubernetes">GitHub&nbsp;&#9654;</a>
+      <p>모든 프로젝트와 이슈 추적, 그리고 물론 코드도 있습니다.</p>
+    </div>
+
+    <div id="server-fault" class="community-resource">
+      <a href="https://serverfault.com/questions/tagged/kubernetes">
+        <img src="/images/community/serverfault.png" alt="Server Fault">
+      </a>
+      <a href="https://serverfault.com/questions/tagged/kubernetes">Server Fault&nbsp;&#9654;</a>
+      <p>Server Fault에 쿠버네티스 관련 토론들이 있습니다. 질문을 하거나, 질문에 답해 보세요.</p>
+    </div>
+
+    <div id="slack" class="community-resource">
+      <a href="https://kubernetes.slack.com/">
+        <img src="/images/community/slack.png" alt="Slack">
+      </a>
+      <a href="https://kubernetes.slack.com/">Slack&nbsp;&#9654;</a>
+      <p>170개 이상의 채널이 있으며, 필요에 맞는 채널을 찾을 수 있습니다.</p>
+      <details><summary><em>초대가 필요하신가요?</em></summary>
+        초대를 받으려면 <a href="https://slack.k8s.io/">https://slack.k8s.io/</a> 를
+        방문하세요.</details>
+    </div>
   </div>
-
-
-
-<div class="conduct">
-<div class="conducttext">
-<br class="mobile"><br class="mobile">
-<br class="tablet"><br class="tablet">
-<div class="conducttextnobutton" style="margin-bottom:2%"><h1>행동 강령</h1>
-쿠버네티스 커뮤니티는 존중과 포괄성을 중요시하며 모든 상호작용에 행동 강령을 시행합니다. 이벤트나 회의, 슬랙 또는 다른 커뮤니케이션 메커니즘에서 행동 강령의 위반이 발견되면, 쿠버네티스 행동 강령 위원회 <a href="mailto:conduct@kubernetes.io" style="color:#0662EE;font-weight:300">conduct@kubernetes.io</a>에 연락하세요. 모든 보고서는 기밀로 유지됩니다. <a href="https://github.com/kubernetes/community/tree/master/committee-code-of-conduct" style="color:#0662EE;font-weight:300">여기</a>서 위원회에 대한 내용을 읽을 수 있습니다.
-<br>
-<a href="/ko/community/code-of-conduct/">
-<br class="mobile"><br class="mobile">
-
-<span class="fullbutton">
-더 읽어 보기
-</span>
-</a>
-</div><a name="videos"></a>
-</div>
 </div>
 
-
-
-<div class="videos">
-<br class="mobile"><br class="mobile">
-<br class="tablet"><br class="tablet">
-<h1 style="margin-top:0px">비디오</h1>
-
-<div style="margin-bottom:4%;font-weight:300;text-align:center;padding-left:10%;padding-right:10%">유튜브에 많이 올라와 있어요. 다양한 주제에 대해 구독하세요.</div>
-
-<div class="videocontainer">
-
-<div class="video">
-
-  <iframe width="100%" height="250" src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP3azFUvYJjGn45YbF6C-uIg" title="월간 Office Hours" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>
-
-<a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP3azFUvYJjGn45YbF6C-uIg">
-<div class="videocta">
-월간 Office Hours 보기&nbsp;&#9654;</div>
-</a>
+<div class="community-section" id="events">
+  <div class="container">
+   <h2>다가오는 이벤트</h2>
+   {{< upcoming-events >}}
+  </div>
 </div>
 
-<div class="video">
-  <iframe width="100%" height="250" src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP1pkHsbPjzAewvMgGUpkCnJ" title="주간 커뮤니티 미팅" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>
-<a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP1pkHsbPjzAewvMgGUpkCnJ">
-<div class="videocta">
-주간 커뮤니티 미팅 보기&nbsp;&#9654;
-</div>
-</a>
-</div>
-
-<div class="video">
-
-<iframe width="100%" height="250" src="https://www.youtube.com/embed/videoseries?list=PL69nYSiGNLP3QpQrhZq_sLYo77BVKv09F" title="커뮤니티 멤버와의 대화" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>
-
-<a href="https://www.youtube.com/playlist?list=PL69nYSiGNLP3QpQrhZq_sLYo77BVKv09F">
-<div class="videocta">
-커뮤니티 멤버와의 대화 보기&nbsp;&#9654;
-</div>
-
-</a>
-<a name="discuss"></a>
-</div>
-</div>
-</div>
-
-
-<div class="resources">
-<br class="mobile"><br class="mobile">
-<br class="tablet"><br class="tablet">
-<h1 style="padding-top:1%">토론</h1>
-
-<div style="font-weight:300;text-align:center">우리는 대화를 많이 합니다. 이 모든 플랫폼에서 우리를 찾아 대화에 참여하세요.</div>
-
-<div class="resourcecontainer">
-
-<div class="resourcebox">
-<img src="/images/community/discuss.png" alt=Forum" style="width:80%;padding-bottom:2%">
-<a href="https://discuss.kubernetes.io/" style="color:#0662EE;display:block;margin-top:1%">
-포럼&nbsp;&#9654;
-</a>
-<div class="resourceboxtext" style="font-size:12px;text-transform:none !important;font-weight:300;line-height:1.4em;color:#333333;margin-top:4%">
-문서, 스택오버플로우 등을 연결하는 주제 기반 기술 토론하는 곳입니다.
-</div>
-</div>
-
-<div class="resourcebox">
-<img src="/images/community/twitter.png" alt="Twitter" style="width:80%;padding-bottom:2%">
-<a href="https://twitter.com/kubernetesio" style="color:#0662EE;display:block;margin-top:1%">
-트위터&nbsp;&#9654;
-</a>
-<div class="resourceboxtext" style="font-size:12px;text-transform:none !important;font-weight:300;line-height:1.4em;color:#333333;margin-top:4%">블로그 게시물, 이벤트, 뉴스, 아이디어의 실시간 소식들입니다.
-</div>
-</div>
-
-<div class="resourcebox">
-<img src="/images/community/github.png" alt="GitHub" style="width:80%;padding-bottom:2%">
-<a href="https://github.com/kubernetes/kubernetes" style="color:#0662EE;display:block;margin-top:1%">
-깃헙&nbsp;&#9654;
-</a>
-<div class="resourceboxtext" style="font-size:12px;text-transform:none !important;font-weight:300;line-height:1.4em;color:#333333;margin-top:4%">
-모든 프로젝트와 이슈 추적, 더불어 코드도 물론이죠.
-</div>
-</div>
-
-<div class="resourcebox">
-<img src="/images/community/stack.png" alt="Stack Overflow" style="width:80%;padding-bottom:2%">
-<a href="https://stackoverflow.com/search?q=kubernetes" style="color:#0662EE;display:block;margin-top:1%">
-스택 오버플로우&nbsp;&#9654;
-</a>
-<div class="resourceboxtext" style="font-size:12px;text-transform:none !important;font-weight:300;line-height:1.4em;color:#333333;margin-top:4%">
-  모든 유스 케이스에 대한 기술적인 문제 해결입니다.
-  <a name="events"></a>
-</div>
-</div>
-
-<!--
-<div class="resourcebox">
-
-<img src="/images/community/slack.png" style="width:80%">
-
-slack&nbsp;&#9654;
-
-<div class="resourceboxtext" style="font-size:11px;text-transform:none !important;font-weight:200;line-height:1.4em;color:#333333;margin-top:4%">
-170개 이상의 채널이 있으며, 필요에 맞는 채널을 찾을 수 있습니다.
-</div>
-
-</div>-->
-
-</div>
-</div>
-<div class="events">
-  <br class="mobile"><br class="mobile">
-  <br class="tablet"><br class="tablet">
-<div class="eventcontainer">
- <h1 style="color:white !important">다가오는 이벤트</h1>
-    {{< upcoming-events >}}
-</div>
-</div>
-
-<div class="meetups">
-<div class="meetupcol">
-<div class="meetuptext">
-<h1 style="text-align:left">글로벌 커뮤니티</h1>
-전 세계 150개가 넘는 모임이 있고 성장하고 있는 가운데, 현지 kube 사람들을 찾아보세요. 가까운 곳에 없다면, 책임감을 갖고 직접 만들어보세요.
-</div>
-<a href="https://www.meetup.com/topics/kubernetes/">
-<div class="button">
-모임 찾아보기
-</div>
-</a>
-<a name="news"></a>
-</div>
-</div>
-
-
-<!--
-<div class="contributor">
-<div class="contributortext">
-<br>
-<h1 style="text-align:left">
-New Contributors Site
- </h1>
-Text about new contributors site.
-
-<br><br>
-
-<div class="button">
-VISIT SITE
-</div>
-</div>
-</div>
-
--->
-
-<div class="news">
-<br class="mobile"><br class="mobile">
-<br class="tablet"><br class="tablet">
-<h1 style="margin-bottom:2%">최근 소식들</h1>
-
-<br>
-<div class="twittercol1">
-<a class="twitter-timeline" data-tweet-limit="1" href="https://twitter.com/kubernetesio?ref_src=twsrc%5Etfw">Tweets by kubernetesio</a> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>
-</div>
-
-<br>
-<br><br><br><br>
+<div class="community-section" id="meetups">
+  <h2>글로벌 커뮤니티</h2>
+  <p>
+    전 세계 150개가 넘는 모임이 있고 성장하고 있는 가운데, 가까이에 있는 kube people을 찾아보세요. 가까운 곳에 없다면, 역할을 맡아 직접 만들어보세요.
+  </p>
+  <a href="https://www.meetup.com/topics/kubernetes/" class="community-cta-button">
+    <span class="community-cta">밋업 찾아보기</span>
+  </a>
 </div>
 
+<div class="community-section community-frame" id="news">
+  <h2>최근 소식</h2>
+  <div class="twittercol1">
+    <a class="twitter-timeline" data-tweet-limit="1" href="https://twitter.com/kubernetesio?ref_src=twsrc%5Etfw">kubernetesio의 트윗</a>
+  </div>
 </div>
diff --git a/content/ko/community/code-of-conduct.md b/content/ko/community/code-of-conduct.md
index 5781d0cfd7a..e0adb28c273 100644
--- a/content/ko/community/code-of-conduct.md
+++ b/content/ko/community/code-of-conduct.md
@@ -1,27 +1,29 @@
 ---
-title: 커뮤니티
+title: 쿠버네티스 커뮤니티 행동 강령
 layout: basic
 cid: community
-css: /css/community.css
+community_styles_migrated: true
 ---
 
-<div class="community_main">
-<h1>쿠버네티스 커뮤니티 행동 강령</h1>
-
+<div class="community-section" id="cncf-code-of-conduct-intro">
+<p>
 쿠버네티스는
 <a href="https://github.com/cncf/foundation/blob/master/code-of-conduct.md">CNCF의 행동 강령</a>을 따르고 있습니다.
 <a href="https://github.com/cncf/foundation/blob/214585e24aab747fb85c2ea44fbf4a2442e30de6/code-of-conduct.md">커밋 214585e</a>
 에 따라 CNCF 행동 강령의 내용이 아래에 복제됩니다.
 만약 최신 버전이 아닌 경우에는
 <a href="https://github.com/kubernetes/website/issues/new">이슈를 제기해 주세요</a>.
+</p>
 
+<p>
 이벤트나 회의, 슬랙 또는 다른 커뮤니케이션
 메커니즘에서 행동 강령을 위반한 경우
 <a href="https://git.k8s.io/community/committee-code-of-conduct">쿠버네티스 행동 강령 위원회</a>에 연락하세요.
 <a href="mailto:conduct@kubernetes.io">conduct@kubernetes.io</a>로 이메일을 보내 주세요.
 당신의 익명성은 보호됩니다.
+</p>
+</div>
 
-<div class="cncf_coc_container">
+<div id="cncf-code-of-conduct">
 {{< include "/static/cncf-code-of-conduct.md" >}}
 </div>
-</div>
diff --git a/content/ko/community/static/README.md b/content/ko/community/static/README.md
index 2732334d687..b216650275b 100644
--- a/content/ko/community/static/README.md
+++ b/content/ko/community/static/README.md
@@ -1,2 +1,5 @@
 이 디렉터리의 파일은 다른 소스에서 가져왔습니다. 새 버전으로
-교체하는 경우를 제외하고 직접 편집하지 마십시오.
\ No newline at end of file
+교체하는 경우를 제외하고 직접 편집하지 마십시오.
+
+현지화 관련 노트: 이 디렉토리의 어떤 파일도 
+                    번역할 필요는 없습니다.
\ No newline at end of file
diff --git a/content/ko/docs/concepts/architecture/garbage-collection.md b/content/ko/docs/concepts/architecture/garbage-collection.md
index 89dd7bc8f8d..e3ffffe4320 100644
--- a/content/ko/docs/concepts/architecture/garbage-collection.md
+++ b/content/ko/docs/concepts/architecture/garbage-collection.md
@@ -13,7 +13,7 @@ weight: 50
   * [소유자 참조가 없는 오브젝트](#owners-dependents)
   * [사용되지 않는 컨테이너와 컨테이너 이미지](#containers-images)
   * [반환 정책이 삭제인 스토리지클래스에 의해 동적으로 생성된 퍼시스턴트볼륨](/ko/docs/concepts/storage/persistent-volumes/#delete)
-  * [Stale 또는 만료된 CertificateSigningRequests (CSRs)](/docs/reference/access-authn-authz/certificate-signing-requests/#request-signing-process) <!-- en 글에서부터 링크가 깨져있어 /docs를 따로 추가-->
+  * [Stale 또는 만료된 CertificateSigningRequests (CSRs)](/docs/reference/access-authn-authz/certificate-signing-requests/#request-signing-process)
   * {{<glossary_tooltip text="노드" term_id="node">}} 는 다음과 같은 상황에서 삭제된다:
     * 클러스터가 [클라우드 컨트롤러 매니저](/ko/docs/concepts/architecture/cloud-controller/)를 사용하는 클라우드
     * 클러스터가 클라우드 컨트롤러 매니저와 유사한 애드온을 사용하는 온프레미스
diff --git a/content/ko/docs/concepts/architecture/nodes.md b/content/ko/docs/concepts/architecture/nodes.md
index f8452cbab97..76b1801daa8 100644
--- a/content/ko/docs/concepts/architecture/nodes.md
+++ b/content/ko/docs/concepts/architecture/nodes.md
@@ -86,14 +86,18 @@ kubelet 플래그 `--register-node`가 참(기본값)일 경우, kubelet은 API
 자체-등록에 대해, kubelet은 다음 옵션과 함께 시작된다.
 
   - `--kubeconfig` - apiserver에 스스로 인증하기 위한 자격증명에 대한 경로.
-  - `--cloud-provider` - 자신에 대한 메터데이터를 읽기 위해 어떻게 {{< glossary_tooltip text="클라우드 제공자" term_id="cloud-provider" >}}와 소통할지에 대한 방법.
+  - `--cloud-provider` - 자신에 대한 메터데이터를 읽기 위해 어떻게 
+    {{< glossary_tooltip text="클라우드 제공자" term_id="cloud-provider" >}}와 소통할지에 대한 방법.
   - `--register-node` - 자동으로 API 서버에 등록.
-  - `--register-with-taints` - 주어진 {{< glossary_tooltip text="테인트(taint)" term_id="taint" >}} 리스트(콤마로 분리된 `<key>=<value>:<effect>`)를 가진 노드 등록.
+  - `--register-with-taints` - 주어진 {{< glossary_tooltip text="테인트(taint)" term_id="taint" >}} 
+    리스트(콤마로 분리된 `<key>=<value>:<effect>`)를 가진 노드 등록.
 
     `register-node`가 거짓이면 동작 안 함.
   - `--node-ip` - 노드의 IP 주소.
-  - `--node-labels` - 클러스터에 노드를 등록할 때 추가 할 {{< glossary_tooltip text="레이블" term_id="label" >}}([NodeRestriction admission plugin](/docs/reference/access-authn-authz/admission-controllers/#noderestriction)에 의해 적용되는 레이블 제한 사항 참고).
-  - `--node-status-update-frequency` - 얼마나 자주 kubelet이 마스터에 노드 상태를 게시할 지 정의.
+  - `--node-labels` - 클러스터에 노드를 등록할 때 추가 할 
+    {{< glossary_tooltip text="레이블" term_id="label" >}}
+    ([NodeRestriction admission plugin](/docs/reference/access-authn-authz/admission-controllers/#noderestriction)에 의해 적용되는 레이블 제한 사항 참고).
+  - `--node-status-update-frequency` - 얼마나 자주 kubelet이 API 서버에 해당 노드 상태를 게시할 지 정의.
 
 [Node authorization mode](/docs/reference/access-authn-authz/node/)와
 [NodeRestriction admission plugin](/docs/reference/access-authn-authz/admission-controllers/#noderestriction)이 활성화 되면,
@@ -168,8 +172,10 @@ kubectl describe node <insert-node-name-here>
 
 이 필드의 용법은 클라우드 제공사업자 또는 베어메탈 구성에 따라 다양하다.
 
-* HostName: 노드의 커널에 의해 알려진 호스트명이다. `--hostname-override` 파라미터를 통해 치환될 수 있다.
-* ExternalIP: 일반적으로 노드의 IP 주소는 외부로 라우트 가능 (클러스터 외부에서 이용 가능) 하다 .
+* HostName: 노드의 커널에 의해 알려진 호스트명이다. 
+  `--hostname-override` 파라미터를 통해 치환될 수 있다.
+* ExternalIP: 일반적으로 노드의 IP 주소는 외부로 라우트 가능 
+  (클러스터 외부에서 이용 가능) 하다 .
 * InternalIP: 일반적으로 노드의 IP 주소는 클러스터 내에서만 라우트 가능하다.
 
 
@@ -289,7 +295,6 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
   만약 리스 업데이트가 실패하면, kubelet은 200밀리초에서 시작하고
   7초의 상한을 갖는 지수적 백오프를 사용해서 재시도한다.
 
-
 ### 노드 컨트롤러
 
 노드 {{< glossary_tooltip text="컨트롤러" term_id="controller" >}}는
@@ -306,18 +311,21 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
 
 세 번째는 노드의 동작 상태를 모니터링하는 것이다. 노드 컨트롤러는
 다음을 담당한다.
-- 노드가 접근 불가능(unreachable) 상태가 되는 경우, 노드의 `.status`
-  내에 있는 NodeReady 컨디션을 업데이트한다.
-  이 경우에는 노드 컨트롤러가 NodeReady 컨디션을 `ConditionUnknown`으로 설정한다.
+
+- 노드가 접근 불가능(unreachable) 상태가 되는 경우, 
+  노드의 `.status` 필드의 `Ready` 컨디션을 업데이트한다. 
+  이 경우에는 노드 컨트롤러가 `Ready` 컨디션을 `Unknown`으로 설정한다.
 - 노드가 계속 접근 불가능 상태로 남아있는 경우, 해당 노드의 모든 파드에 대해서
   [API를 이용한 축출](/ko/docs/concepts/scheduling-eviction/api-eviction/)을
   트리거한다. 기본적으로, 노드 컨트롤러는 노드를
-  `ConditionUnknown`으로 마킹한 뒤 5분을 기다렸다가
+  `Unknown`으로 마킹한 뒤 5분을 기다렸다가
   최초의 축출 요청을 시작한다. 
 
-노드 컨트롤러는 매 `--node-monitor-period` 초 마다 각 노드의 상태를 체크한다.
+기본적으로, 노드 컨트롤러는 5 초마다 각 노드의 상태를 체크한다.
+체크 주기는 `kube-controller-manager` 구성 요소의 
+`--node-monitor-period` 플래그를 이용하여 설정할 수 있다.
 
-#### 축출 빈도 한계
+#### 축출 빈도 제한
 
  대부분의 경우, 노드 컨트롤러는 초당 `--node-eviction-rate`(기본값 0.1)로
 축출 속도를 제한한다. 이 말은 10초당 1개의 노드를 초과하여
@@ -325,8 +333,9 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
 
 노드 축출 행위는 주어진 가용성 영역 내 하나의 노드가 상태가 불량할
 경우 변화한다. 노드 컨트롤러는 영역 내 동시에 상태가 불량한 노드의 퍼센티지가 얼마나 되는지
-체크한다(NodeReady 컨디션은 `ConditionUnknown` 또는
-`ConditionFalse` 다).
+체크한다(`Ready` 컨디션은 `Unknown` 또는
+`False` 값을 가진다).
+
 - 상태가 불량한 노드의 비율이 최소 `--unhealthy-zone-threshold`
   (기본값 0.55)가 되면 축출 속도가 감소한다.
 - 클러스터가 작으면 (즉 `--large-cluster-size-threshold`
@@ -335,7 +344,7 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
   `--secondary-node-eviction-rate`(기본값 0.01)로 감소된다.
 
 이 정책들이 가용성 영역 단위로 실행되어지는 이유는 나머지가 연결되어 있는 동안
-하나의 가용성 영역이 마스터로부터 분할되어 질 수도 있기 때문이다.
+하나의 가용성 영역이 컨트롤 플레인으로부터 분할되어 질 수도 있기 때문이다.
 만약 클러스터가 여러 클라우드 제공사업자의 가용성 영역에 걸쳐 있지 않는 이상,
 축출 매커니즘은 영역 별 가용성을 고려하지 않는다.
 
@@ -377,7 +386,7 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
 
 ## 노드 토폴로지
 
-{{< feature-state state="alpha" for_k8s_version="v1.16" >}}
+{{< feature-state state="beta" for_k8s_version="v1.18" >}}
 
 `TopologyManager`
 [기능 게이트(feature gate)](/ko/docs/reference/command-line-tools-reference/feature-gates/)를
@@ -391,7 +400,9 @@ kubelet은 노드의 `.status` 생성과 업데이트 및
 
 kubelet은 노드 시스템 셧다운을 감지하고 노드에서 실행 중인 파드를 종료하려고 시도한다.
 
-Kubelet은 노드가 종료되는 동안 파드가 일반 [파드 종료 프로세스](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)를 따르도록 한다.
+Kubelet은 노드가 종료되는 동안 파드가 
+일반 [파드 종료 프로세스](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)를 
+따르도록 한다.
 
 그레이스풀 노드 셧다운 기능은
 [systemd inhibitor locks](https://www.freedesktop.org/wiki/Software/systemd/inhibit/)를
@@ -404,18 +415,26 @@ Kubelet은 노드가 종료되는 동안 파드가 일반 [파드 종료 프로
 기본적으로, 아래 설명된 두 구성 옵션,
 `shutdownGracePeriod` 및 `shutdownGracePeriodCriticalPods` 는 모두 0으로 설정되어 있으므로,
 그레이스풀 노드 셧다운 기능이 활성화되지 않는다.
-기능을 활성화하려면, 두 개의 kubelet 구성 설정을 적절하게 구성하고 0이 아닌 값으로 설정해야 한다.
+기능을 활성화하려면, 두 개의 kubelet 구성 설정을 적절하게 구성하고 
+0이 아닌 값으로 설정해야 한다.
 
 그레이스풀 셧다운 중에 kubelet은 다음의 두 단계로 파드를 종료한다.
 
 1. 노드에서 실행 중인 일반 파드를 종료시킨다.
-2. 노드에서 실행 중인 [중요(critical) 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)를 종료시킨다.
+2. 노드에서 실행 중인 
+  [중요(critical) 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)를 종료시킨다.
+
+그레이스풀 노드 셧다운 기능은 
+두 개의 [`KubeletConfiguration`](/docs/tasks/administer-cluster/kubelet-config-file/) 옵션으로 구성된다.
 
-그레이스풀 노드 셧다운 기능은 두 개의 [`KubeletConfiguration`](/docs/tasks/administer-cluster/kubelet-config-file/) 옵션으로 구성된다.
 * `shutdownGracePeriod`:
-  * 노드가 종료를 지연해야 하는 총 기간을 지정한다. 이것은 모든 일반 및 [중요 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)의 파드 종료에 필요한 총 유예 기간에 해당한다.
+  * 노드가 종료를 지연해야 하는 총 기간을 지정한다. 
+    이것은 모든 일반 및 [중요 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)의 
+    파드 종료에 필요한 총 유예 기간에 해당한다.
 * `shutdownGracePeriodCriticalPods`:
-  * 노드 종료 중에 [중요 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)를 종료하는 데 사용되는 기간을 지정한다. 이 값은 `shutdownGracePeriod` 보다 작아야 한다.
+  * 노드 종료 중에 [중요 파드](/ko/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/#파드를-중요-critical-로-표시하기)를 
+    종료하는 데 사용되는 기간을 지정한다. 
+    이 값은 `shutdownGracePeriod` 보다 작아야 한다.
 
 예를 들어, `shutdownGracePeriod=30s`,
 `shutdownGracePeriodCriticalPods=10s` 인 경우, kubelet은 노드 종료를 30초까지
@@ -433,6 +452,56 @@ Reason:         Terminated
 Message:        Pod was terminated in response to imminent node shutdown.
 ```
 
+{{< /note >}}
+
+## 논 그레이스풀 노드 셧다운 {#non-graceful-node-shutdown}
+
+{{< feature-state state="alpha" for_k8s_version="v1.24" >}}
+
+전달한 명령이 kubelet에서 사용하는 금지 잠금 메커니즘(inhibitor locks mechanism)을 트리거하지 않거나, 
+또는 사용자 오류(예: ShutdownGracePeriod 및 ShutdownGracePeriodCriticalPods가 제대로 설정되지 않음)로 인해 
+kubelet의 노드 셧다운 관리자(Node Shutdown Mananger)가 
+노드 셧다운 액션을 감지하지 못할 수 있다. 
+자세한 내용은 위의 [그레이스풀 노드 셧다운](#graceful-node-shutdown) 섹션을 참조한다.
+
+노드가 셧다운되었지만 kubelet의 노드 셧다운 관리자가 이를 감지하지 못하면, 
+스테이트풀셋에 속한 파드는 셧다운된 노드에 '종료 중(terminating)' 상태로 고착되어 
+다른 동작 중인 노드로 이전될 수 없다. 
+이는 셧다운된 노드의 kubelet이 파드를 지울 수 없어서 
+결국 스테이트풀셋이 동일한 이름으로 새 파드를 만들 수 없기 때문이다. 
+만약 파드가 사용하던 볼륨이 있다면, 
+볼륨어태치먼트(VolumeAttachment)도 기존의 셧다운된 노드에서 삭제되지 않아 
+결국 파드가 사용하던 볼륨이 다른 동작 중인 노드에 연결(attach)될 수 없다. 
+결과적으로, 스테이트풀셋에서 실행되는 애플리케이션이 제대로 작동하지 않는다. 
+기존의 셧다운된 노드가 정상으로 돌아오지 못하면, 
+이러한 파드는 셧다운된 노드에 '종료 중(terminating)' 상태로 영원히 고착될 것이다.
+
+위와 같은 상황을 완화하기 위해, 
+사용자가 `node.kubernetes.io/out-of-service` 테인트를 
+`NoExecute` 또는 `NoSchedule` 값으로 추가하여 
+노드를 서비스 불가(out-of-service) 상태로 표시할 수 있다. 
+`kube-controller-manager`에 `NodeOutOfServiceVolumeDetach` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있고, 
+노드가 이 테인트에 의해 서비스 불가 상태로 표시되어 있는 경우, 
+노드에 매치되는 톨러레이션이 없다면 노드 상의 파드는 강제로 삭제될 것이고, 
+노드 상에서 종료되는 파드에 대한 볼륨 해제(detach) 작업은 즉시 수행될 것이다. 
+이를 통해 서비스 불가 상태 노드의 파드가 빠르게 다른 노드에서 복구될 수 있다.
+
+논 그레이스풀 셧다운 과정 동안, 파드는 다음의 두 단계로 종료된다.
+
+1. 매치되는 `out-of-service` 톨러레이션이 없는 파드를 강제로 삭제한다.
+2. 이러한 파드에 대한 볼륨 해제 작업을 즉시 수행한다.
+
+
+{{< note >}}
+- `node.kubernetes.io/out-of-service` 테인트를 추가하기 전에, 
+  노드가 완전한 셧다운 또는 전원 꺼짐 상태에 있는지 
+  (재시작 중인 것은 아닌지) 확인한다.
+- 사용자가 서비스 불가 상태 테인트를 직접 추가한 것이기 때문에, 
+  파드가 다른 노드로 옮겨졌고 셧다운 상태였던 노드가 복구된 것을 확인했다면 
+  사용자가 서비스 불가 상태 테인트를 수동으로 제거해야 한다.
+
+
 {{< /note >}}
 
 ### 파드 우선순위 기반 그레이스풀 노드 셧다운 {#pod-priority-graceful-node-shutdown}
@@ -443,7 +512,7 @@ Message:        Pod was terminated in response to imminent node shutdown.
 클러스터에 프라이어리티클래스(PriorityClass) 기능이 활성화되어 있으면 
 그레이스풀 노드 셧다운 과정에서 파드의 프라이어리티클래스가 고려된다. 
 이 기능으로 그레이스풀 노드 셧다운 시 파드가 종료되는 순서를 클러스터 관리자가 
-[프라이어리티클래스](/ko/docs/concepts/scheduling-eviction/pod-priority-preemption/#프라이어리티클래스) 
+[프라이어리티 클래스](/ko/docs/concepts/scheduling-eviction/pod-priority-preemption/#프라이어리티클래스) 
 기반으로 명시적으로 정할 수 있다.
 
 위에서 기술된 것처럼, [그레이스풀 노드 셧다운](#graceful-node-shutdown) 기능은 파드를 
@@ -492,7 +561,7 @@ shutdownGracePeriodByPodPriority:
     shutdownGracePeriodSeconds: 60
 ```
 
-위의 표에 의하면 우선순위 값이 100000 이상인 파드는 종료까지 10초만 주어지며, 
+위의 표에 의하면 `priority` 값이 100000 이상인 파드는 종료까지 10초만 주어지며, 
 10000 이상 ~ 100000 미만이면 180초, 
 1000 이상 ~ 10000 미만이면 120초가 주어진다.
 마지막으로, 다른 모든 파드는 종료까지 60초가 주어질 것이다.
@@ -507,7 +576,7 @@ shutdownGracePeriodByPodPriority:
 | 0                      |60 seconds     |
 
 
-위의 경우, custom-class-b에 속하는 파드와 custom-class-c에 속하는 파드는 
+위의 경우, `custom-class-b`에 속하는 파드와 `custom-class-c`에 속하는 파드는 
 동일한 종료 대기 시간을 갖게 될 것이다.
 
 특정 범위에 해당되는 파드가 없으면, 
@@ -517,10 +586,21 @@ kubelet은 해당 범위에 해당되는 파드를 위해 기다려 주지 않
 기능이 활성화되어 있지만 환경 설정이 되어 있지 않으면, 
 순서 지정 동작이 수행되지 않을 것이다.
 
-이 기능을 사용하려면 `GracefulNodeShutdownBasedOnPodPriority` 기능 게이트를 활성화해야 하고, 
-kubelet 환경 설정의 `ShutdownGracePeriodByPodPriority`를 
-파드 프라이어리티 클래스 값과 
-각 값에 대한 종료 대기 시간을 명시하여 지정해야 한다.
+이 기능을 사용하려면 `GracefulNodeShutdownBasedOnPodPriority` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 하고, 
+[kubelet config](/docs/reference/config-api/kubelet-config.v1beta1/)의 
+`ShutdownGracePeriodByPodPriority`를 
+파드 프라이어리티 클래스 값과 각 값에 대한 종료 대기 시간을 명시하여 
+지정해야 한다.
+
+{{< note >}}
+그레이스풀 노드 셧다운 과정에서 파드 프라이어리티를 고려하는 기능은 
+쿠버네티스 v1.23에서 알파 기능으로 도입되었다. 
+쿠버네티스 {{< skew currentVersion >}}에서 이 기능은 베타 상태이며 기본적으로 활성화되어 있다.
+{{< /note >}}
+
+`graceful_shutdown_start_time_seconds` 및 `graceful_shutdown_end_time_seconds` 메트릭은 
+노드 셧다운을 모니터링하기 위해 kubelet 서브시스템에서 방출된다.
 
 ## 스왑(swap) 메모리 관리 {#swap-memory}
 
diff --git a/content/ko/docs/concepts/cluster-administration/_index.md b/content/ko/docs/concepts/cluster-administration/_index.md
index 5879f3cf8ff..83feab60ba6 100644
--- a/content/ko/docs/concepts/cluster-administration/_index.md
+++ b/content/ko/docs/concepts/cluster-administration/_index.md
@@ -59,7 +59,7 @@ no_list: true
 
 * [쿠버네티스 클러스터에서 Sysctls 사용하기](/ko/docs/tasks/administer-cluster/sysctl-cluster/)는 관리자가 `sysctl` 커맨드라인 도구를 사용하여 커널 파라미터를 설정하는 방법에 대해 설명한다.
 
-* [감사(audit)](/docs/tasks/debug-application-cluster/audit/)는 쿠버네티스의 감사 로그를 다루는 방법에 대해 설명한다.
+* [감사(audit)](/docs/tasks/debug/debug-cluster/audit/)는 쿠버네티스의 감사 로그를 다루는 방법에 대해 설명한다.
 
 ### kubelet 보안
   * [컨트롤 플레인-노드 통신](/ko/docs/concepts/architecture/control-plane-node-communication/)
diff --git a/content/ko/docs/concepts/cluster-administration/addons.md b/content/ko/docs/concepts/cluster-administration/addons.md
index e1d27a1f59f..2d758cce13d 100644
--- a/content/ko/docs/concepts/cluster-administration/addons.md
+++ b/content/ko/docs/concepts/cluster-administration/addons.md
@@ -30,7 +30,7 @@ content_type: concept
 * [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin)은 OVN 기반의 CNI 컨트롤러 플러그인으로 클라우드 네이티브 기반 서비스 기능 체인(Service function chaining(SFC)), 다중 OVN 오버레이 네트워킹, 동적 서브넷 생성, 동적 가상 네트워크 생성, VLAN 공급자 네트워크, 직접 공급자 네트워크와 멀티 클러스터 네트워킹의 엣지 기반 클라우드 등 네이티브 워크로드에 이상적인 멀티 네티워크 플러그인이다.
 * [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) 컨테이너 플러그인(NCP)은 VMware NSX-T와 쿠버네티스와 같은 컨테이너 오케스트레이터 간의 통합은 물론 NSX-T와 PKS(Pivotal 컨테이너 서비스) 및 OpenShift와 같은 컨테이너 기반 CaaS/PaaS 플랫폼 간의 통합을 제공한다.
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst)는 가시성과 보안 모니터링 기능을 통해 쿠버네티스 파드와 비-쿠버네티스 환경 간에 폴리시 기반 네트워킹을 제공하는 SDN 플랫폼이다.
-* [Romana](https://github.com/romana/romana)는 [네트워크폴리시 API](/ko/docs/concepts/services-networking/network-policies/)도 지원하는 파드 네트워크용 Layer 3 네트워킹 솔루션이다. Kubeadm 애드온 설치에 대한 세부 정보는 [여기](https://github.com/romana/romana/tree/master/containerize)에 있다.
+* **Romana**는 [네트워크폴리시 API](/ko/docs/concepts/services-networking/network-policies/)도 지원하는 파드 네트워크용 Layer 3 네트워킹 솔루션이다. Kubeadm 애드온 설치에 대한 세부 정보는 [여기](https://github.com/romana/romana/tree/master/containerize)에 있다.
 * [Weave Net](https://www.weave.works/docs/net/latest/kubernetes/kube-addon/)은 네트워킹 및 네트워크 폴리시를 제공하고, 네트워크 파티션의 양면에서 작업을 수행하며, 외부 데이터베이스는 필요하지 않다.
 
 ## 서비스 검색
diff --git a/content/ko/docs/concepts/cluster-administration/logging.md b/content/ko/docs/concepts/cluster-administration/logging.md
index 50439da3290..cd81413ff89 100644
--- a/content/ko/docs/concepts/cluster-administration/logging.md
+++ b/content/ko/docs/concepts/cluster-administration/logging.md
@@ -12,7 +12,9 @@ weight: 60
 애플리케이션 로그는 애플리케이션 내부에서 발생하는 상황을 이해하는 데 도움이 된다. 로그는 문제를 디버깅하고 클러스터 활동을 모니터링하는 데 특히 유용하다. 대부분의 최신 애플리케이션에는 일종의 로깅 메커니즘이 있다. 마찬가지로, 컨테이너 엔진들도 로깅을 지원하도록 설계되었다. 컨테이너화된 애플리케이션에 가장 쉽고 가장 널리 사용되는 로깅 방법은 표준 출력과 표준 에러 스트림에 작성하는 것이다.
 
 그러나, 일반적으로 컨테이너 엔진이나 런타임에서 제공하는 기본 기능은 완전한 로깅 솔루션으로 충분하지 않다.
+
 예를 들어, 컨테이너가 크래시되거나, 파드가 축출되거나, 노드가 종료된 경우에도 애플리케이션의 로그에 접근하고 싶을 것이다.
+
 클러스터에서 로그는 노드, 파드 또는 컨테이너와는 독립적으로 별도의 스토리지와 라이프사이클을 가져야 한다. 이 개념을 _클러스터-레벨-로깅_ 이라고 한다.  
 
 <!-- body -->
@@ -55,7 +57,15 @@ kubectl logs counter
 ...
 ```
 
-`kubectl logs --previous` 를 사용해서 컨테이너의 이전 인스턴스에 대한 로그를 검색할 수 있다. 파드에 여러 컨테이너가 있는 경우, 명령에 컨테이너 이름을 추가하여 접근하려는 컨테이너 로그를 지정해야 한다. 자세한 내용은 [`kubectl logs` 문서](/docs/reference/generated/kubectl/kubectl-commands#logs)를 참조한다.
+`kubectl logs --previous` 를 사용해서 컨테이너의 이전 인스턴스에 대한 로그를 검색할 수 있다. 
+파드에 여러 컨테이너가 있는 경우, 
+다음과 같이 명령에 `-c` 플래그와 컨테이너 이름을 추가하여 접근하려는 컨테이너 로그를 지정해야 한다. 
+
+```console
+kubectl logs counter -c count
+```
+
+자세한 내용은 [`kubectl logs` 문서](/docs/reference/generated/kubectl/kubectl-commands#logs)를 참조한다.
 
 ## 노드 레벨에서의 로깅
 
@@ -141,7 +151,7 @@ systemd를 사용하지 않으면, kubelet과 컨테이너 런타임은 `/var/lo
 
 노드-레벨 로깅은 노드별 하나의 에이전트만 생성하며, 노드에서 실행되는 애플리케이션에 대한 변경은 필요로 하지 않는다.
 
-컨테이너는 stdout과 stderr를 동의되지 않은 포맷으로 작성한다. 노드-레벨 에이전트는 이러한 로그를 수집하고 취합을 위해 전달한다.
+컨테이너는 로그를 stdout과 stderr로 출력하며, 합의된 형식은 없다. 노드-레벨 에이전트는 이러한 로그를 수집하고 취합을 위해 전달한다.
 
 ### 로깅 에이전트와 함께 사이드카 컨테이너 사용 {#sidecar-container-with-logging-agent}
 
diff --git a/content/ko/docs/concepts/cluster-administration/manage-deployment.md b/content/ko/docs/concepts/cluster-administration/manage-deployment.md
index 61c85db796f..cd52e8ba4b5 100644
--- a/content/ko/docs/concepts/cluster-administration/manage-deployment.md
+++ b/content/ko/docs/concepts/cluster-administration/manage-deployment.md
@@ -154,7 +154,7 @@ deployment.apps/my-deployment created
 persistentvolumeclaim/my-pvc created
 ```
 
-`kubectl` 에 대해 더 자세히 알고 싶다면, [kubectl 개요](/ko/docs/reference/kubectl/overview/)를 참조한다.
+`kubectl` 에 대해 더 자세히 알고 싶다면, [명령줄 도구 (kubectl)](/ko/docs/reference/kubectl/)를 참조한다.
 
 ## 효과적인 레이블 사용
 
@@ -461,5 +461,5 @@ kubectl edit deployment/my-nginx
 ## {{% heading "whatsnext" %}}
 
 
-- [애플리케이션 검사 및 디버깅에 `kubectl` 을 사용하는 방법](/docs/tasks/debug-application-cluster/debug-application-introspection/)에 대해 알아본다.
+- [애플리케이션 검사 및 디버깅에 `kubectl` 을 사용하는 방법](/ko/docs/tasks/debug/debug-application/debug-running-pod/)에 대해 알아본다.
 - [구성 모범 사례 및 팁](/ko/docs/concepts/configuration/overview/)을 참고한다.
diff --git a/content/ko/docs/concepts/cluster-administration/system-logs.md b/content/ko/docs/concepts/cluster-administration/system-logs.md
index 6d0ecb7849d..3dc9aa88b64 100644
--- a/content/ko/docs/concepts/cluster-administration/system-logs.md
+++ b/content/ko/docs/concepts/cluster-administration/system-logs.md
@@ -110,6 +110,55 @@ I1025 00:15:15.525108       1 example.go:116] "Example" data="This is text with
 second line.}
 ```
 
+### 컨텍스츄얼 로깅(Contextual Logging)
+
+{{< feature-state for_k8s_version="v1.24" state="alpha" >}}
+
+컨텍스츄얼 로깅은 구조화된 로깅을 기반으로 한다. 
+컨텍스츄얼 로깅은 주로 개발자가 로깅 호출을 사용하는 방법에 관한 것이다. 
+해당 개념을 기반으로 하는 코드는 좀 더 유연하며, 
+[컨텍스츄얼 로깅 KEP](https://github.com/kubernetes/enhancements/tree/master/keps/sig-instrumentation/3077-contextual-logging)에 기술된 추가적인 사용 사례를 지원한다.
+
+개발자가 자신의 구성 요소에서 
+`WithValues` 또는 `WithName`과 같은 추가 기능을 사용하는 경우, 
+로그 항목에는 호출자가 함수로 전달하는 추가 정보가 포함된다.
+
+현재 이 기능은 `StructuredLogging` 기능 게이트 뒤에 있으며 
+기본적으로 비활성화되어 있다. 
+이 기능을 위한 인프라는 구성 요소를 수정하지 않고 1.24에 추가되었다. 
+[`component-base/logs/example`](https://github.com/kubernetes/kubernetes/blob/v1.24.0-beta.0/staging/src/k8s.io/component-base/logs/example/cmd/logger.go) 
+명령은 새 로깅 호출을 사용하는 방법과 
+컨텍스츄얼 로깅을 지원하는 구성 요소가 어떻게 작동하는지 보여준다.
+
+```console
+$ cd $GOPATH/src/k8s.io/kubernetes/staging/src/k8s.io/component-base/logs/example/cmd/
+$ go run . --help
+...
+      --feature-gates mapStringBool  A set of key=value pairs that describe feature gates for alpha/experimental features. Options are:
+                                     AllAlpha=true|false (ALPHA - default=false)
+                                     AllBeta=true|false (BETA - default=false)
+                                     ContextualLogging=true|false (ALPHA - default=false)
+$ go run . --feature-gates ContextualLogging=true
+...
+I0404 18:00:02.916429  451895 logger.go:94] "example/myname: runtime" foo="bar" duration="1m0s"
+I0404 18:00:02.916447  451895 logger.go:95] "example: another runtime" foo="bar" duration="1m0s"
+```
+
+`runtime` 메시지 및 `duration="1m0s"` 값을 로깅하는 
+기존 로깅 함수를 수정하지 않고도, 
+이 함수의 호출자에 의해 `example` 접두사 및 `foo="bar"` 문자열이 로그에 추가되었다.
+
+컨텍스츄얼 로깅이 비활성화되어 있으면, `WithValues` 및 `WithName` 은 아무 효과가 없으며, 
+로그 호출은 전역 klog 로거를 통과한다. 
+따라서 이 추가 정보는 더 이상 로그 출력에 포함되지 않는다.
+
+```console
+$ go run . --feature-gates ContextualLogging=false
+...
+I0404 18:03:31.171945  452150 logger.go:94] "runtime" duration="1m0s"
+I0404 18:03:31.171962  452150 logger.go:95] "another runtime" duration="1m0s"
+```
+
 ### JSON 로그 형식
 
 {{< feature-state for_k8s_version="v1.19" state="alpha" >}}
@@ -150,27 +199,6 @@ JSON 로그 형식 예시(보기좋게 출력된 형태)는 다음과 같다.
 * {{< glossary_tooltip term_id="kube-scheduler" text="kube-scheduler" >}}
 * {{< glossary_tooltip term_id="kubelet" text="kubelet" >}}
 
-### 로그 정리(sanitization)
-
-{{< feature-state for_k8s_version="v1.20" state="alpha" >}}
-
-{{<warning >}}
-로그 정리(sanitization)는 상당한 오버 헤드를 발생시킬 수 있으므로 프로덕션 환경에서는 사용하지 않아야한다.
-{{< /warning >}}
-
- `--experimental-logging-sanitization` 플래그는 klog 정리(sanitization) 필터를 활성화한다.
-활성화된 경우 모든 로그 인자에서 민감한 데이터(예: 비밀번호, 키, 토큰)가 표시된 필드를 검사하고 이러한 필드의 로깅이 방지된다.
-
-현재 로그 정리(sanitization)를 지원하는 컴포넌트 목록:
-* kube-controller-manager
-* kube-apiserver
-* kube-scheduler
-* kubelet
-
-{{< note >}}
-로그 정리(sanitization) 필터는 사용자 작업 로그로부터 민감한 데이터가 유출되는 것을 방지할 수 없다.
-{{< /note >}}
-
 ### 로그 상세 레벨(verbosity)
 
 `-v` 플래그로 로그 상세 레벨(verbosity)을 제어한다. 값을 늘리면 기록된 이벤트 수가 증가한다. 값을 줄이면 기록된 이벤트 수가 줄어든다.
@@ -197,5 +225,6 @@ systemd를 사용하는 시스템에서는, kubelet과 컨테이너 런타임은
 
 * [쿠버네티스 로깅 아키텍처](/ko/docs/concepts/cluster-administration/logging/) 알아보기
 * [구조화된 로깅](https://github.com/kubernetes/enhancements/tree/master/keps/sig-instrumentation/1602-structured-logging) 알아보기
+* [컨텍스츄얼 로깅](https://github.com/kubernetes/enhancements/tree/master/keps/sig-instrumentation/3077-contextual-logging) 알아보기
 * [klog 플래그 사용 중단](https://github.com/kubernetes/enhancements/tree/master/keps/sig-instrumentation/2845-deprecate-klog-specific-flags-in-k8s-components) 알아보기
 * [로깅 심각도(serverity) 규칙](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-instrumentation/logging.md) 알아보기
diff --git a/content/ko/docs/concepts/cluster-administration/system-traces.md b/content/ko/docs/concepts/cluster-administration/system-traces.md
new file mode 100644
index 00000000000..589c62eb862
--- /dev/null
+++ b/content/ko/docs/concepts/cluster-administration/system-traces.md
@@ -0,0 +1,89 @@
+---
+title: 쿠버네티스 시스템 컴포넌트에 대한 추적(trace)
+
+
+
+content_type: concept
+weight: 60
+---
+
+<!-- overview -->
+
+{{< feature-state for_k8s_version="v1.22" state="alpha" >}}
+
+시스템 컴포넌트 추적은 클러스터 내에서 수행된 동작들 간의 지연(latency)과 관계(relationship)를 기록한다.
+
+쿠버네티스 컴포넌트들은 [OpenTelemetry 프로토콜](https://github.com/open-telemetry/opentelemetry-specification/blob/main/specification/protocol/otlp.md#opentelemetry-protocol-specification)과
+gRPC exporter를 이용하여 추적을 생성하고
+[OpenTelemetry 수집기](https://github.com/open-telemetry/opentelemetry-collector#-opentelemetry-collector)를
+통해 추적 백엔드(tracing backends)로 라우팅되거나 수집될 수 있다.
+
+<!-- body -->
+
+## 추적 수집
+
+추적 수집 및 수집기에 대한 전반적인 가이드는
+[OpenTelemetry 수집기 시작하기](https://opentelemetry.io/docs/collector/getting-started/)에서 제공한다.
+그러나, 쿠버네티스 컴포넌트에 관련된 몇 가지 사항에 대해서는 특별히 살펴볼 필요가 있다.
+
+기본적으로, 쿠버네티스 컴포넌트들은 [IANA OpenTelemetry 포트](https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?search=opentelemetry)인
+4317 포트로 OTLP에 대한 grpc exporter를 이용하여 추적를 내보낸다.
+예를 들면, 수집기가 쿠버네티스 컴포넌트에 대해 사이드카(sidecar)로 동작한다면,
+다음과 같은 리시버 설정을 통해 span을 수집하고 그 로그를 표준 출력(standard output)으로 내보낼 것이다.
+
+```yaml
+receivers:
+  otlp:
+    protocols:
+      grpc:
+exporters:
+  # 이 exporter를 사용자의 백엔드를 위한 exporter로 변경
+  logging:
+    logLevel: debug
+service:
+  pipelines:
+    traces:
+      receivers: [otlp]
+      exporters: [logging]
+```
+
+## 컴포넌트 추적
+
+### kube-apiserver 추적
+
+kube-apiserver는 들어오는 HTTP 요청들과 
+webhook, etcd 로 나가는 요청들, 그리고 재진입 요청들에 대해 span을 생성한다. 
+kube-apiserver는 자주 퍼블릭 엔드포인트로 이용되기 때문에, 
+들어오는 요청들에 첨부된 추적 컨택스트를 사용하지 않고, 
+나가는 요청들을 통해 [W3C Trace Context](https://www.w3.org/TR/trace-context/)를 전파한다.
+
+#### kube-apiserver 에서의 추적 활성화
+
+추적을 활성화하기 위해서는, kube-apiserve에서 `APIServerTracing`
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화한다. 
+또한, kube-apiserver의 추적 설정 파일에 
+`--tracing-config-file=<path-to-config>`을 추가한다. 
+다음은 10000개 요청 당 1개에 대한 span을 기록하는 설정에 대한 예시이고, 이는 기본 OpenTelemetry 엔드포인트를 이용한다.
+
+```yaml
+apiVersion: apiserver.config.k8s.io/v1alpha1
+kind: TracingConfiguration
+# 기본값
+#endpoint: localhost:4317
+samplingRatePerMillion: 100
+```
+
+`TracingConfiguration` 구조체에 대해 더 많은 정보를 얻고 싶다면 
+[API server config API (v1alpha1)](/docs/reference/config-api/apiserver-config.v1alpha1/#apiserver-k8s-io-v1alpha1-TracingConfiguration)를 참고한다.
+
+## 안정성
+
+추적의 계측화(tracing instrumentation)는 여전히 활발히 개발되는 중이어서 다양한 형태로 변경될 수 있다. 
+span의 이름, 첨부되는 속성, 계측될 엔드포인트(instrumented endpoints)들 등이 그렇다. 
+이 속성이 안정화(graduates to stable)되기 전까지는 
+이전 버전과의 호환성은 보장되지 않는다.
+
+## {{% heading "whatsnext" %}}
+
+* [OpenTelemetry 수집기 시작하기](https://opentelemetry.io/docs/collector/getting-started/)을 참고
+
diff --git a/content/ko/docs/concepts/configuration/configmap.md b/content/ko/docs/concepts/configuration/configmap.md
index 3f5ad6596ec..e8e51ca7287 100644
--- a/content/ko/docs/concepts/configuration/configmap.md
+++ b/content/ko/docs/concepts/configuration/configmap.md
@@ -15,7 +15,6 @@ weight: 20
 사용하여 데이터를 비공개로 유지하자.
 {{< /caution >}}
 
-
 <!-- body -->
 ## 사용 동기
 
@@ -42,7 +41,7 @@ API [오브젝트](/ko/docs/concepts/overview/working-with-objects/kubernetes-ob
 `spec` 이 있는 대부분의 쿠버네티스 오브젝트와 달리, 컨피그맵에는 `data` 및 `binaryData`
 필드가 있다. 이러한 필드는 키-값 쌍을 값으로 허용한다. `data` 필드와
 `binaryData` 는 모두 선택 사항이다. `data` 필드는
-UTF-8 바이트 시퀀스를 포함하도록 설계되었으며 `binaryData` 필드는 바이너리
+UTF-8 문자열을 포함하도록 설계되었으며 `binaryData` 필드는 바이너리
 데이터를 base64로 인코딩된 문자열로 포함하도록 설계되었다.
 
 컨피그맵의 이름은 유효한
@@ -280,5 +279,6 @@ immutable: true
 
 * [시크릿](/ko/docs/concepts/configuration/secret/)에 대해 읽어본다.
 * [컨피그맵을 사용하도록 파드 구성하기](/docs/tasks/configure-pod-container/configure-pod-configmap/)를 읽어본다.
+* [컨피그맵 (또는 어떠한 쿠버네티스 오브젝트) 변경하기](/docs/tasks/manage-kubernetes-objects/update-api-object-kubectl-patch/)를 읽어본다.
 * 코드를 구성에서 분리하려는 동기를 이해하려면
   [Twelve-Factor 앱](https://12factor.net/ko/)을 읽어본다.
diff --git a/content/ko/docs/concepts/configuration/manage-resources-containers.md b/content/ko/docs/concepts/configuration/manage-resources-containers.md
index e0465fe9408..0bb1a35566e 100644
--- a/content/ko/docs/concepts/configuration/manage-resources-containers.md
+++ b/content/ko/docs/concepts/configuration/manage-resources-containers.md
@@ -47,10 +47,9 @@ feature:
 다른 방식으로 동일한 제약을 구현할 수 있다.
 
 {{< note >}}
-컨테이너가 자체 메모리 제한을 지정하지만, 메모리 요청을 지정하지 않는 경우, 쿠버네티스는
-제한과 일치하는 메모리 요청을 자동으로 할당한다. 마찬가지로, 컨테이너가 자체 CPU 제한을
-지정하지만, CPU 요청을 지정하지 않는 경우, 쿠버네티스는 제한과 일치하는 CPU 요청을 자동으로
-할당한다.
+리소스에 대해 제한은 지정하지만 요청은 지정하지 않고, 
+해당 리소스에 대한 요청 기본값을 지정하는 승인-시점 메커니즘(admission-time mechanism)이 없는 경우, 
+쿠버네티스는 당신이 지정한 제한을 복사하여 해당 리소스의 요청 값으로 사용한다.
 {{< /note >}}
 
 ## 리소스 타입
@@ -229,8 +228,8 @@ kubelet은 해당 컨테이너의 메모리/CPU 요청 및 제한을 컨테이
 kubelet은 파드의 리소스 사용량을 파드 
 [`status`](/ko/docs/concepts/overview/working-with-objects/kubernetes-objects/#오브젝트-명세-spec-와-상태-status)에 포함하여 보고한다.
 
-클러스터에서 선택적인 모니터링 도구를
-사용할 수 있다면, [메트릭 API](/ko/docs/tasks/debug-application-cluster/resource-metrics-pipeline/#메트릭-api)에서
+클러스터에서 선택적인 [모니터링 도구](/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)를
+사용할 수 있다면, [메트릭 API](/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/#metrics-api)에서
 직접 또는 모니터링 도구에서 파드 리소스
 사용량을 검색할 수 있다.
 
@@ -801,5 +800,5 @@ Events:
 * [컨테이너와 파드에 CPU 리소스를 할당](/docs/tasks/configure-pod-container/assign-cpu-resource/)하는 핸즈온 경험을 해보자.
 * API 레퍼런스에 [컨테이너](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)와 
   [컨테이너 리소스 요구사항](/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)이 어떻게 정의되어 있는지 확인한다.
-* XFS의 [프로젝트 쿼터](https://xfs.org/docs/xfsdocs-xml-dev/XFS_User_Guide/tmp/en-US/html/xfs-quotas.html)에 대해 읽어보기
+* XFS의 [프로젝트 쿼터](https://xfs.org/index.php/XFS_FAQ#Q:_Quota:_Do_quotas_work_on_XFS.3F)에 대해 읽어보기
 * [kube-scheduler 정책 레퍼런스 (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/)에 대해 더 읽어보기
diff --git a/content/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig.md b/content/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
index aa739b381c7..48b3c9a9609 100644
--- a/content/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
+++ b/content/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig.md
@@ -148,7 +148,28 @@ kubeconfig 파일에서 파일과 경로 참조는 kubeconfig 파일의 위치
 `$HOME/.kube/config`에서 상대 경로는 상대적으로, 절대 경로는
 절대적으로 저장한다.
 
+## 프록시
 
+다음과 같이 kubeconfig 파일에 `proxy-url`을 설정하여 `kubectl`이 프록시를 거치도록 설정할 수 있다.
+
+```yaml
+apiVersion: v1
+kind: Config
+
+proxy-url: https://proxy.host:3128
+
+clusters:
+- cluster:
+  name: development
+
+users:
+- name: developer
+
+contexts:
+- context:
+  name: development
+
+```
 
 
 ## {{% heading "whatsnext" %}}
diff --git a/content/ko/docs/concepts/configuration/secret.md b/content/ko/docs/concepts/configuration/secret.md
index d27faddc20a..9591c472202 100644
--- a/content/ko/docs/concepts/configuration/secret.md
+++ b/content/ko/docs/concepts/configuration/secret.md
@@ -6,7 +6,8 @@ content_type: concept
 feature:
   title: 시크릿과 구성 관리
   description: >
-    사용자의 이미지를 다시 빌드하거나 스택 구성의 시크릿을 노출하지 않고 시크릿과 애플리케이션 구성을 배포하고 업데이트한다.
+    사용자의 이미지를 다시 빌드하거나 스택 구성의 시크릿을 노출하지 않고 
+    시크릿과 애플리케이션 구성을 배포하고 업데이트한다.
 weight: 30
 ---
 
@@ -22,7 +23,7 @@ weight: 30
 시크릿은 시크릿을 사용하는 파드와 독립적으로 생성될 수 있기 때문에,
 파드를 생성하고, 확인하고, 수정하는 워크플로우 동안 시크릿(그리고 데이터)이
 노출되는 것에 대한 위험을 경감시킬 수 있다. 쿠버네티스
-및 클러스터에서 실행되는 애플리케이션은 기밀 데이터를 비휘발성
+및 클러스터에서 실행되는 애플리케이션은 비밀 데이터를 비휘발성
 저장소에 쓰는 것을 피하는 것과 같이, 시크릿에 대해 추가 예방 조치를 취할 수도 있다.
 
 시크릿은 {{< glossary_tooltip text="컨피그맵" term_id="configmap" >}}과 유사하지만
@@ -34,32 +35,76 @@ weight: 30
 
 시크릿을 안전하게 사용하려면 최소한 다음의 단계를 따르는 것이 좋다.
 
-1. 시크릿에 대한 [암호화 활성화](/docs/tasks/administer-cluster/encrypt-data/).
-2. 시크릿의 데이터 읽기 및 쓰기(간접적인 방식 포함)를 제한하는 [RBAC 규칙](/ko/docs/reference/access-authn-authz/authorization/)
-   활성화 또는 구성.
-3. 적절한 경우, RBAC과 같은 메커니즘을 사용하여 새로운 시크릿을 생성하거나 기존 시크릿을 대체할 수 있는 주체(principal)들을 제한한다.
+1. 시크릿에 대해 [저장된 데이터 암호화(Encryption at Rest)를 활성화](/docs/tasks/administer-cluster/encrypt-data/)한다.
+1. 시크릿 읽기 및 쓰기를 제한하는 
+   [RBAC 규칙을 활성화 또는 구성](/ko/docs/reference/access-authn-authz/authorization/)한다. 
+   파드 생성 권한을 가진 사람은 암묵적으로 시크릿에 접근할 수 있음에 주의한다.
+1. 적절한 경우, RBAC과 같은 메커니즘을 사용하여 새로운 시크릿을 생성하거나 
+   기존 시크릿을 대체할 수 있는 주체(principal)들을 제한한다.
 
 {{< /caution >}}
 
+더 자세한 것은 [시크릿을 위한 정보 보안(Information security)](#시크릿을-위한-정보-보안-information-security)을 참고한다.
+
 <!-- body -->
 
-## 시크릿 개요
-
-시크릿을 사용하려면, 파드가 시크릿을 참조해야 한다.
-시크릿은 세 가지 방법으로 파드와 함께 사용할 수 있다.
+## 시크릿의 사용
 
+파드가 시크릿을 사용하는 주요한 방법으로 다음의 세 가지가 있다.
 - 하나 이상의 컨테이너에 마운트된
   {{< glossary_tooltip text="볼륨" term_id="volume" >}} 내의
-  [파일](#시크릿을-파드의-파일로-사용하기)로써 사용.
-- [컨테이너 환경 변수](#시크릿을-환경-변수로-사용하기)로써 사용.
+  [파일](#using-secrets-as-files-from-a-pod)로써 사용.
+- [컨테이너 환경 변수](#시크릿을-환경-변수-형태로-사용하기)로써 사용.
 - 파드의 [이미지를 가져올 때 kubelet](#imagepullsecrets-사용하기)에 의해 사용.
 
 쿠버네티스 컨트롤 플레인 또한 시크릿을 사용한다. 예를 들어,
 [부트스트랩 토큰 시크릿](#부트스트랩-토큰-시크릿)은
 노드 등록을 자동화하는 데 도움을 주는 메커니즘이다.
 
+### 시크릿의 대체품
+
+기밀 데이터를 보호하기 위해 시크릿 대신 다음의 대안 중 하나를 고를 수 있다.
+
+다음과 같은 대안이 존재한다.
+
+- 클라우드 네이티브 구성 요소가 
+  동일 쿠버네티스 클러스터 안에 있는 다른 애플리케이션에 인증해야 하는 경우, 
+  [서비스어카운트(ServiceAccount)](/docs/reference/access-authn-authz/authentication/#service-account-tokens) 및 
+  그의 토큰을 이용하여 클라이언트를 식별할 수 있다.
+- 비밀 정보 관리 기능을 제공하는 써드파티 도구를 
+  클러스터 내부 또는 외부에 실행할 수 있다. 
+  예를 들어, 클라이언트가 올바르게 인증했을 때에만(예: 서비스어카운트 토큰으로 인증) 비밀 정보를 공개하고, 
+  파드가 HTTPS를 통해서만 접근하도록 처리하는 서비스가 있을 수 있다.
+- 인증을 위해, X.509 인증서를 위한 커스텀 인증자(signer)를 구현하고, 
+  [CertificateSigningRequests](/docs/reference/access-authn-authz/certificate-signing-requests/)를 사용하여 
+  해당 커스텀 인증자가 인증서를 필요로 하는 파드에 인증서를 발급하도록 할 수 있다.
+- [장치 플러그인](/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)을 사용하여 
+  노드에 있는 암호화 하드웨어를 특정 파드에 노출할 수 있다. 
+  예를 들어, 신뢰할 수 있는 파드를 별도로 구성된 TPM(Trusted Platform Module, 신뢰할 수 있는 플랫폼 모듈)을 제공하는 노드에 스케줄링할 수 있다.
+
+위의 옵션들 및 시크릿 오브젝트 자체를 이용하는 옵션 중 2가지 이상을 조합하여 사용할 수도 있다.
+
+예시: 외부 서비스에서 단기 유효(short-lived) 세션 토큰을 가져오는 
+{{< glossary_tooltip text="오퍼레이터" term_id="operator-pattern" >}}를 구현(또는 배포)한 다음, 
+이 단기 유효 세션 토큰을 기반으로 시크릿을 생성할 수 있다. 
+클러스터의 파드는 이 세션 토큰을 활용할 수 있으며, 오퍼레이터는 토큰이 유효한지 검증해 준다. 
+이러한 분리 구조는 곧 파드가 이러한 세션 토큰의 발급 및 갱신에 대한 정확한 메커니즘을 모르게 하면서도 파드를 실행할 수 있음을 의미한다.
+
+## 시크릿 다루기
+
+### 시크릿 생성하기
+
+시크릿 생성에는 다음과 같은 방법이 있다.
+
+- [`kubectl` 명령으로 시크릿 생성](/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl/)
+- [환경 설정 파일을 사용하여 시크릿 생성](/ko/docs/tasks/configmap-secret/managing-secret-using-config-file/)
+- [kustomize를 사용하여 시크릿 생성](/ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/)
+
+#### 시크릿 이름 및 데이터에 대한 제약 사항 {#restriction-names-data}
+
 시크릿 오브젝트의 이름은 유효한
 [DNS 서브도메인 이름](/ko/docs/concepts/overview/working-with-objects/names/#dns-서브도메인-이름)이어야 한다.
+
 사용자는 시크릿을 위한 파일을 구성할 때 `data` 및 (또는) `stringData` 필드를
 명시할 수 있다. 해당 `data` 와 `stringData` 필드는 선택적으로 명시할 수 있다.
 `data` 필드의 모든 키(key)에 해당하는 값(value)은 base64로 인코딩된 문자열이어야 한다.
@@ -72,6 +117,717 @@ weight: 30
 있으면, `stringData` 필드에 지정된 값이
 우선적으로 사용된다.
 
+#### 크기 제한 {#restriction-data-size}
+
+개별 시크릿의 크기는 1 MiB로 제한된다. 
+이는 API 서버 및 kubelet 메모리를 고갈시킬 수 있는 매우 큰 시크릿의 생성을 방지하기 위함이다. 
+그러나, 작은 크기의 시크릿을 많이 만드는 것도 메모리를 고갈시킬 수 있다. 
+[리소스 쿼터](/ko/docs/concepts/policy/resource-quotas/)를 사용하여 
+한 네임스페이스의 시크릿 (또는 다른 리소스) 수를 제한할 수 있다.
+
+### 시크릿 편집하기
+
+kubectl을 사용하여 기존 시크릿을 편집할 수 있다.
+
+```shell
+kubectl edit secrets mysecret
+```
+
+이렇게 하면 기본으로 설정된 에디터가 열리며, 
+다음과 같이 `data` 필드에 base64로 인코딩된 시크릿 값을 업데이트할 수 있다.
+
+```yaml
+# 아래 오브젝트를 수정한다. '#'로 시작하는 줄은 무시되고,
+# 빈 파일을 저장하면 편집이 취소된다. 이 파일을 저장하는 도중에 오류가 발생하면
+# 관련 오류와 함께 파일이 다시 열릴 것이다.
+#
+apiVersion: v1
+data:
+  username: YWRtaW4=
+  password: MWYyZDFlMmU2N2Rm
+kind: Secret
+metadata:
+  annotations:
+    kubectl.kubernetes.io/last-applied-configuration: { ... }
+  creationTimestamp: 2020-01-22T18:41:56Z
+  name: mysecret
+  namespace: default
+  resourceVersion: "164619"
+  uid: cfee02d6-c137-11e5-8d73-42010af00002
+type: Opaque
+```
+
+위의 예시 매니페스트는 `data`에 `username` 및 `password` 2개의 키를 갖는 시크릿을 정의한다. 
+매니페스트에서 이 값들은 Base64 문자열이지만, 
+이 시크릿을 파드에 대해 사용할 때에는 kubelet이 파드와 컨테이너에 _디코드된_ 데이터를 제공한다.
+
+한 시크릿에 여러 키 및 값을 넣을 수도 있고, 여러 시크릿으로 정의할 수도 있으며, 둘 중 편리한 쪽을 고르면 된다.
+
+### 시크릿 사용하기
+
+시크릿은 데이터 볼륨으로 마운트되거나 파드의 컨테이너에서 사용할
+{{< glossary_tooltip text="환경 변수" term_id="container-env-variables" >}}로
+노출될 수 있다. 또한, 시크릿은 파드에 직접 노출되지 않고,
+시스템의 다른 부분에서도 사용할 수 있다. 예를 들어, 시크릿은
+시스템의 다른 부분이 사용자를 대신해서 외부 시스템과 상호 작용하는 데 사용해야 하는
+자격 증명을 보유할 수 있다.
+
+특정된 오브젝트 참조(reference)가 실제로 시크릿 유형의 오브젝트를 가리키는지 확인하기 위해, 
+시크릿 볼륨 소스의 유효성이 검사된다. 
+따라서, 시크릿은 자신에 의존하는 파드보다 먼저 생성되어야 한다.
+
+시크릿을 가져올 수 없는 경우 
+(아마도 시크릿이 존재하지 않거나, 또는 API 서버에 대한 일시적인 연결 불가로 인해) 
+kubelet은 해당 파드 실행을 주기적으로 재시도한다. 
+kubelet은 또한 시크릿을 가져올 수 없는 문제에 대한 세부 정보를 포함하여 해당 파드에 대한 이벤트를 보고한다.
+
+#### 선택적 시크릿 {#restriction-secret-must-exist}
+
+시크릿을 기반으로 컨테이너 환경 변수를 정의하는 경우, 
+이 환경 변수를 _선택 사항_ 으로 표시할 수 있다. 
+기본적으로는 시크릿은 필수 사항이다.
+
+모든 필수 시크릿이 사용 가능해지기 전에는 
+파드의 컨테이너가 시작되지 않을 것이다.
+
+파드가 시크릿의 특정 키를 참조하고, 해당 시크릿이 존재하지만 해당 키가 존재하지 않는 경우, 
+파드는 시작 과정에서 실패한다.
+
+### 파드에서 시크릿을 파일처럼 사용하기 {#using-secrets-as-files-from-a-pod}
+
+파드 안에서 시크릿의 데이터에 접근하고 싶다면, 한 가지 방법은 
+쿠버네티스로 하여금 해당 시크릿의 값을 
+파드의 하나 이상의 컨테이너의 파일시스템 내에 파일 형태로 표시하도록 만드는 것이다.
+
+이렇게 구성하려면, 다음을 수행한다.
+
+1. 시크릿을 생성하거나 기존 시크릿을 사용한다. 여러 파드가 동일한 시크릿을 참조할 수 있다.
+1. `.spec.volumes[].` 아래에 볼륨을 추가하려면 파드 정의를 수정한다. 볼륨의 이름을 뭐든지 지정하고, 시크릿 오브젝트의 이름과 동일한 `.spec.volumes[].secret.secretName` 필드를 생성한다.
+1. 시크릿이 필요한 각 컨테이너에 `.spec.containers[].volumeMounts[]` 를 추가한다. 시크릿을 표시하려는 사용되지 않은 디렉터리 이름에 `.spec.containers[].volumeMounts[].readOnly = true` 와 `.spec.containers[].volumeMounts[].mountPath` 를 지정한다.
+1. 프로그램이 해당 디렉터리에서 파일을 찾도록 이미지 또는 커맨드 라인을 수정한다. 시크릿 `data` 맵의 각 키는 `mountPath` 아래의 파일명이 된다.
+
+다음은 볼륨에 `mysecret`이라는 시크릿을 마운트하는 파드의 예시이다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: mypod
+spec:
+  containers:
+  - name: mypod
+    image: redis
+    volumeMounts:
+    - name: foo
+      mountPath: "/etc/foo"
+      readOnly: true
+  volumes:
+  - name: foo
+    secret:
+      secretName: mysecret
+      optional: false # 기본값임; "mysecret" 은 반드시 존재해야 함
+```
+
+사용하려는 각 시크릿은 `.spec.volumes` 에서 참조해야 한다.
+
+파드에 여러 컨테이너가 있는 경우, 모든 컨테이너는
+자체 `volumeMounts` 블록이 필요하지만, 시크릿에 대해서는 시크릿당 하나의 `.spec.volumes` 만 필요하다.
+
+{{< note >}}
+쿠버네티스 v1.22 이전 버전은 쿠버네티스 API에 접근하기 위한 크리덴셜을 자동으로 생성했다. 
+이러한 예전 메커니즘은 토큰 시크릿 생성 및 이를 실행 중인 파드에 마운트하는 절차에 기반했다. 
+쿠버네티스 v{{< skew currentVersion >}} 버전을 포함한 최근 버전에서는, 
+API 크리덴셜이 [TokenRequest](/docs/reference/kubernetes-api/authentication-resources/token-request-v1/) API를 사용하여 직접 얻어지고, 
+[프로젝티드 볼륨](/ko/docs/reference/access-authn-authz/service-accounts-admin/#바인딩된-서비스-어카운트-토큰-볼륨)을 
+사용하여 파드 내에 마운트된다. 
+이러한 방법을 사용하여 얻은 토큰은 수명이 제한되어 있으며, 
+토큰이 탑재된 파드가 삭제되면 자동으로 무효화된다.
+
+여전히 서비스 어카운트 토큰 시크릿을 [수동으로 생성](/docs/tasks/configure-pod-container/configure-service-account/#manually-create-a-service-account-api-token)할 수도 있다. 
+예를 들어, 영원히 만료되지 않는 토큰이 필요한 경우에 활용할 수 있다. 
+그러나, 이렇게 하기보다는 API 접근에 필요한 토큰을 얻기 위해 
+[TokenRequest](/docs/reference/kubernetes-api/authentication-resources/token-request-v1/) 서브리소스를 사용하는 것을 권장한다.
+{{< /note >}}
+
+#### 특정 경로에 대한 시크릿 키 투영하기
+
+시크릿 키가 투영되는 볼륨 내 경로를 제어할 수도 있다.
+`.spec.volumes[].secret.items` 필드를 사용하여 각 키의 대상 경로를 변경할 수 있다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: mypod
+spec:
+  containers:
+  - name: mypod
+    image: redis
+    volumeMounts:
+    - name: foo
+      mountPath: "/etc/foo"
+      readOnly: true
+  volumes:
+  - name: foo
+    secret:
+      secretName: mysecret
+      items:
+      - key: username
+        path: my-group/my-username
+```
+
+다음과 같은 일들이 일어날 것이다.
+
+* `mysecret`의 `username` 키는 컨테이너의 `/etc/foo/username` 경로 대신 
+  `/etc/foo/my-group/my-username` 경로에서 사용 가능하다.
+* 시크릿 오브젝트의 `password` 키는 투영되지 않는다.
+
+`.spec.volumes[].secret.items` 를 사용하면, `items` 에 지정된 키만 투영된다.
+시크릿의 모든 키를 사용하려면, 모든 키가 `items` 필드에 나열되어야 한다.
+
+키를 명시적으로 나열했다면, 나열된 모든 키가 해당 시크릿에 존재해야 한다. 
+그렇지 않으면, 볼륨이 생성되지 않는다.
+
+#### 시크릿 파일 퍼미션
+
+단일 시크릿 키에 대한 POSIX 파일 접근 퍼미션 비트를 설정할 수 있다.
+만약 사용자가 퍼미션을 지정하지 않는다면, 기본적으로 `0644` 가 사용된다.
+전체 시크릿 볼륨에 대한 기본 모드를 설정하고 필요한 경우 키별로 오버라이드할 수도 있다.
+
+예를 들어, 다음과 같은 기본 모드를 지정할 수 있다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: mypod
+spec:
+  containers:
+  - name: mypod
+    image: redis
+    volumeMounts:
+    - name: foo
+      mountPath: "/etc/foo"
+  volumes:
+  - name: foo
+    secret:
+      secretName: mysecret
+      defaultMode: 0400
+```
+
+시크릿이 `/etc/foo` 에 마운트되고, 
+시크릿 볼륨 마운트로 생성된 모든 파일의 퍼미션은 `0400` 이다.
+
+
+{{< note >}}
+JSON을 사용하여 파드 또는 파드 템플릿을 정의하는 경우, 
+JSON 스펙은 8진수 표기법을 지원하지 않음에 유의한다. 
+`defaultMode` 값으로 대신 10진수를 사용할 수 있다(예를 들어, 8진수 0400은 10진수로는 256이다). 
+YAML로 작성하는 경우, `defaultMode` 값을 8진수로 표기할 수 있다.
+{{< /note >}}
+
+#### 볼륨으로부터 시크릿 값 사용하기
+
+시크릿 볼륨을 마운트하는 컨테이너 내부에서, 시크릿 키는 파일 형태로 나타난다. 
+시크릿 값은 base64로 디코딩되어 이러한 파일 내에 저장된다.
+
+다음은 위 예시의 컨테이너 내부에서 실행된 명령의 결과이다.
+
+```shell
+ls /etc/foo/
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+username
+password
+```
+
+```shell
+cat /etc/foo/username
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+admin
+```
+
+```shell
+cat /etc/foo/password
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+1f2d1e2e67df
+```
+
+컨테이너의 프로그램은 필요에 따라 
+이러한 파일에서 시크릿 데이터를 읽는다.
+
+#### 마운트된 시크릿은 자동으로 업데이트됨
+
+볼륨이 시크릿의 데이터를 포함하고 있는 상태에서 시크릿이 업데이트되면, 쿠버네티스는 이를 추적하고 
+최종적으로 일관된(eventually-consistent) 접근 방식을 사용하여 볼륨 안의 데이터를 업데이트한다.
+
+{{< note >}}
+시크릿을 [subPath](/ko/docs/concepts/storage/volumes/#subpath-사용하기)
+볼륨 마운트로 사용하는 컨테이너는 자동 시크릿 업데이트를
+받지 못한다.
+{{< /note >}}
+
+kubelet은 해당 노드의 파드의 볼륨에서 사용되는 시크릿의 현재 키 및 값 캐시를 유지한다. 
+kubelet이 캐시된 값에서 변경 사항을 감지하는 방식을 변경할 수 있다. 
+[kubelet 환경 설정](/docs/reference/config-api/kubelet-config.v1beta1/)의 `configMapAndSecretChangeDetectionStrategy` 필드는 
+kubelet이 사용하는 전략을 제어한다. 기본 전략은 `Watch`이다.
+
+시크릿 업데이트는 TTL(time-to-live)이 설정된 캐시 기반의 
+API 감시(watch) 메커니즘에 의해 전파되거나 (기본값임), 
+각 kubelet 동기화 때마다 클러스터 API 서버로부터의 폴링으로 달성될 수 있다.
+
+결과적으로 시크릿이 업데이트되는 순간부터 
+새 키가 파드에 투영되는 순간까지의 총 지연은 
+kubelet 동기화 기간 + 캐시 전파 지연만큼 길어질 수 있다. 
+여기서 캐시 전파 지연은 선택한 캐시 유형에 따라 다르다(이전 단락과 동일한 순서로 나열하면, 
+감시(watch) 전파 지연, 설정된 캐시 TTL, 또는 직접 폴링의 경우 0임).
+
+### 시크릿을 환경 변수 형태로 사용하기
+
+파드에서 {{< glossary_tooltip text="환경 변수" term_id="container-env-variables" >}} 형태로
+시크릿을 사용하려면 다음과 같이 한다.
+
+1. 시크릿을 생성(하거나 기존 시크릿을 사용)한다. 여러 파드가 동일한 시크릿을 참조할 수 있다.
+1. 사용하려는 각 시크릿 키에 대한 환경 변수를 추가하려면 
+   시크릿 키 값을 사용하려는 각 컨테이너에서 파드 정의를 수정한다. 
+   시크릿 키를 사용하는 환경 변수는 시크릿의 이름과 키를 `env[].valueFrom.secretKeyRef` 에 채워야 한다.
+1. 프로그램이 지정된 환경 변수에서 값을 찾도록 
+   이미지 및/또는 커맨드 라인을 수정한다.
+
+다음은 환경 변수를 통해 시크릿을 사용하는 파드의 예시이다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: secret-env-pod
+spec:
+  containers:
+  - name: mycontainer
+    image: redis
+    env:
+      - name: SECRET_USERNAME
+        valueFrom:
+          secretKeyRef:
+            name: mysecret
+            key: username
+            optional: false # 기본값과 동일하다
+                            # "mysecret"이 존재하고 "username"라는 키를 포함해야 한다
+      - name: SECRET_PASSWORD
+        valueFrom:
+          secretKeyRef:
+            name: mysecret
+            key: password
+            optional: false # 기본값과 동일하다
+                            # "mysecret"이 존재하고 "password"라는 키를 포함해야 한다
+  restartPolicy: Never
+```
+
+
+#### 올바르지 않은 환경 변수 {#restriction-env-from-invalid}
+
+유효하지 않은 환경 변수 이름으로 간주되는 키가 있는 `envFrom` 필드로 
+환경 변수를 채우는 데 사용되는 시크릿은 해당 키를 건너뛴다. 
+하지만 파드를 시작할 수는 있다.
+
+유효하지 않은 변수 이름이 파드 정의에 포함되어 있으면, 
+`reason`이 `InvalidVariableNames`로 설정된 이벤트와 
+유효하지 않은 스킵된 키 목록 메시지가 파드 시작 실패 정보에 추가된다. 
+다음 예시는 2개의 유효하지 않은 키 `1badkey` 및 `2alsobad`를 포함하는 `mysecret` 시크릿을 참조하는 파드를 보여준다.
+
+```shell
+kubectl get events
+```
+
+출력은 다음과 같다.
+
+```
+LASTSEEN   FIRSTSEEN   COUNT     NAME            KIND      SUBOBJECT                         TYPE      REASON
+0s         0s          1         dapi-test-pod   Pod                                         Warning   InvalidEnvironmentVariableNames   kubelet, 127.0.0.1      Keys [1badkey, 2alsobad] from the EnvFrom secret default/mysecret were skipped since they are considered invalid environment variable names.
+```
+
+
+#### 환경 변수로부터 시크릿 값 사용하기
+
+환경 변수 형태로 시크릿을 사용하는 컨테이너 내부에서, 
+시크릿 키는 일반적인 환경 변수로 보인다. 
+이러한 환경 변수의 값은 시크릿 데이터를 base64 디코드한 값이다.
+
+다음은 위 예시 컨테이너 내부에서 실행된 명령의 결과이다.
+
+```shell
+echo "$SECRET_USERNAME"
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+admin
+```
+
+```shell
+echo "$SECRET_PASSWORD"
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+1f2d1e2e67df
+```
+
+{{< note >}}
+컨테이너가 이미 환경 변수 형태로 시크릿을 사용하는 경우, 
+컨테이너가 다시 시작되기 전에는 
+시크릿 업데이트를 볼 수 없다. 
+시크릿이 변경되면 컨테이너 재시작을 트리거하는 써드파티 솔루션이 존재한다.
+{{< /note >}}
+
+### 컨테이너 이미지 풀 시크릿 {#using-imagepullsecrets}
+
+비공개 저장소에서 컨테이너 이미지를 가져오고 싶다면, 
+각 노드의 kubelet이 해당 저장소에 인증을 수행하는 방법을 마련해야 한다. 
+이를 위해 _이미지 풀 시크릿_ 을 구성할 수 있다. 
+이러한 시크릿은 파드 수준에 설정된다.
+
+파드의 `imagePullSecrets` 필드는 파드가 속한 네임스페이스에 있는 시크릿들에 대한 참조 목록이다.
+`imagePullSecrets`를 사용하여 이미지 저장소 접근 크리덴셜을 kubelet에 전달할 수 있다. 
+kubelet은 이 정보를 사용하여 파드 대신 비공개 이미지를 가져온다.
+`imagePullSecrets` 필드에 대한 더 많은 정보는 
+[파드 API 레퍼런스](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)의 
+`PodSpec` 부분을 확인한다.
+
+#### imagePullSecrets 사용하기
+
+`imagePullSecrets` 필드는 동일한 네임스페이스의 시크릿에 대한 참조 목록이다.
+`imagePullSecrets` 를 사용하여 도커(또는 다른 컨테이너) 이미지 레지스트리 비밀번호가 포함된 시크릿을 kubelet에 전달할 수 있다. 
+kubelet은 이 정보를 사용해서 파드를 대신하여 프라이빗 이미지를 가져온다.
+`imagePullSecrets` 필드에 대한 자세한 정보는 [PodSpec API](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podspec-v1-core)를 참고한다.
+
+##### imagePullSecret 수동으로 지정하기
+
+[컨테이너 이미지](/ko/docs/concepts/containers/images/#파드에-imagepullsecrets-명시) 문서에서 
+`imagePullSecrets`를 지정하는 방법을 배울 수 있다.
+
+##### imagePullSecrets가 자동으로 연결되도록 준비하기
+
+수동으로 `imagePullSecrets` 를 생성하고, 
+서비스어카운트(ServiceAccount)에서 이들을 참조할 수 있다. 
+해당 서비스어카운트로 생성되거나 기본적인 서비스어카운트로 생성된 모든 파드는 
+파드의 `imagePullSecrets` 필드를 가져오고 서비스 어카운트의 필드로 설정한다. 
+해당 프로세스에 대한 자세한 설명은 
+[서비스 어카운트에 ImagePullSecrets 추가하기](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account)를 참고한다.
+
+### 스태틱 파드에서의 시크릿 사용 {#restriction-static-pod}
+
+{{< glossary_tooltip text="스태틱(static) 파드" term_id="static-pod" >}}에서는 
+컨피그맵이나 시크릿을 사용할 수 없다.
+
+## 사용 사레
+
+### 사용 사례: 컨테이너 환경 변수로 사용하기
+
+시크릿 정의를 작성한다.
+```yaml
+apiVersion: v1
+kind: Secret
+metadata:
+  name: mysecret
+type: Opaque
+data:
+  USER_NAME: YWRtaW4=
+  PASSWORD: MWYyZDFlMmU2N2Rm
+```
+
+시크릿을 생성한다.
+```shell
+kubectl apply -f mysecret.yaml
+```
+
+모든 시크릿 데이터를 컨테이너 환경 변수로 정의하는 데 `envFrom` 을 사용한다. 시크릿의 키는 파드의 환경 변수 이름이 된다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: secret-test-pod
+spec:
+  containers:
+    - name: test-container
+      image: k8s.gcr.io/busybox
+      command: [ "/bin/sh", "-c", "env" ]
+      envFrom:
+      - secretRef:
+          name: mysecret
+  restartPolicy: Never
+```
+
+### 사용 사례: SSH 키를 사용하는 파드
+
+몇 가지 SSH 키를 포함하는 시크릿을 생성한다.
+
+```shell
+kubectl create secret generic ssh-key-secret --from-file=ssh-privatekey=/path/to/.ssh/id_rsa --from-file=ssh-publickey=/path/to/.ssh/id_rsa.pub
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+secret "ssh-key-secret" created
+```
+
+SSH 키를 포함하는 `secretGenerator` 필드가 있는 `kustomization.yaml` 를 만들 수도 있다.
+
+{{< caution >}}
+사용자 자신의 SSH 키를 보내기 전에 신중하게 생각한다. 
+클러스터의 다른 사용자가 시크릿에 접근할 수 있게 될 수도 있기 때문이다.
+
+대신, 쿠버네티스 클러스터를 공유하는 모든 사용자가 접근할 수 있으면서도, 
+크리덴셜이 유출된 경우 폐기가 가능한 서비스 아이덴티티를 가리키는 
+SSH 프라이빗 키를 만들 수 있다.
+{{< /caution >}}
+
+이제 SSH 키를 가진 시크릿을 참조하고
+볼륨에서 시크릿을 사용하는 파드를 만들 수 있다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: secret-test-pod
+  labels:
+    name: secret-test
+spec:
+  volumes:
+  - name: secret-volume
+    secret:
+      secretName: ssh-key-secret
+  containers:
+  - name: ssh-test-container
+    image: mySshImage
+    volumeMounts:
+    - name: secret-volume
+      readOnly: true
+      mountPath: "/etc/secret-volume"
+```
+
+컨테이너의 명령이 실행될 때, 다음 위치에서 키 부분을 사용할 수 있다.
+
+```
+/etc/secret-volume/ssh-publickey
+/etc/secret-volume/ssh-privatekey
+```
+
+그러면 컨테이너는 SSH 연결을 맺기 위해 시크릿 데이터를 자유롭게 사용할 수 있다.
+
+### 사용 사례: 운영 / 테스트 자격 증명을 사용하는 파드
+
+이 예제에서는 
+운영 환경의 자격 증명이 포함된 시크릿을 사용하는 파드와 
+테스트 환경의 자격 증명이 있는 시크릿을 사용하는 다른 파드를 보여준다.
+
+사용자는 `secretGenerator` 필드가 있는 `kustomization.yaml` 을 만들거나
+`kubectl create secret` 을 실행할 수 있다.
+
+```shell
+kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+secret "prod-db-secret" created
+```
+
+테스트 환경의 자격 증명에 대한 시크릿을 만들 수도 있다.
+
+```shell
+kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+secret "test-db-secret" created
+```
+
+{{< note >}}
+`$`, `\`, `*`, `=` 그리고 `!` 와 같은 특수 문자는 사용자의 [셸](https://ko.wikipedia.org/wiki/셸)에 의해 해석되고 이스케이핑이 필요하다.
+
+대부분의 셸에서 비밀번호를 이스케이프하는 가장 쉬운 방법은 작은 따옴표(`'`)로 묶는 것이다.
+예를 들어, 실제 비밀번호가 `S!B\*d$zDsb=` 이면, 다음과 같은 명령을 실행해야 한다.
+
+```shell
+kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb='
+```
+
+파일(`--from-file`)에서는 비밀번호의 특수 문자를 이스케이프할 필요가 없다.
+{{< /note >}}
+
+이제 파드를 생성한다.
+
+```shell
+cat <<EOF > pod.yaml
+apiVersion: v1
+kind: List
+items:
+- kind: Pod
+  apiVersion: v1
+  metadata:
+    name: prod-db-client-pod
+    labels:
+      name: prod-db-client
+  spec:
+    volumes:
+    - name: secret-volume
+      secret:
+        secretName: prod-db-secret
+    containers:
+    - name: db-client-container
+      image: myClientImage
+      volumeMounts:
+      - name: secret-volume
+        readOnly: true
+        mountPath: "/etc/secret-volume"
+- kind: Pod
+  apiVersion: v1
+  metadata:
+    name: test-db-client-pod
+    labels:
+      name: test-db-client
+  spec:
+    volumes:
+    - name: secret-volume
+      secret:
+        secretName: test-db-secret
+    containers:
+    - name: db-client-container
+      image: myClientImage
+      volumeMounts:
+      - name: secret-volume
+        readOnly: true
+        mountPath: "/etc/secret-volume"
+EOF
+```
+
+동일한 `kustomization.yaml`에 파드를 추가한다.
+
+```shell
+cat <<EOF >> kustomization.yaml
+resources:
+- pod.yaml
+EOF
+```
+
+다음을 실행하여 API 서버에 이러한 모든 오브젝트를 적용한다.
+
+```shell
+kubectl apply -k .
+```
+
+두 컨테이너 모두 각 컨테이너의 환경에 대한 값을 가진 파일시스템에 
+다음의 파일이 존재한다.
+
+```
+/etc/secret-volume/username
+/etc/secret-volume/password
+```
+
+두 파드의 사양이 한 필드에서만 어떻게 다른지 확인한다. 이를 통해
+공통 파드 템플릿에서 다양한 기능을 가진 파드를 생성할 수 있다.
+
+두 개의 서비스 어카운트를 사용하여 기본 파드 명세를 더욱 단순화할 수 있다.
+
+1. `prod-db-secret` 을 가진 `prod-user`
+1. `test-db-secret` 을 가진 `test-user`
+
+파드 명세는 다음과 같이 단축된다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: prod-db-client-pod
+  labels:
+    name: prod-db-client
+spec:
+  serviceAccount: prod-db-client
+  containers:
+  - name: db-client-container
+    image: myClientImage
+```
+
+### 사용 사례: 시크릿 볼륨의 도트 파일(dotfile)
+
+점으로 시작하는 키를 정의하여 데이터를 "숨김"으로 만들 수 있다.
+이 키는 도트 파일 또는 "숨겨진" 파일을 나타낸다.
+예를 들어, 다음 시크릿이 `secret-volume` 볼륨에 마운트되면 아래와 같다.
+
+```yaml
+apiVersion: v1
+kind: Secret
+metadata:
+  name: dotfile-secret
+data:
+  .secret-file: dmFsdWUtMg0KDQo=
+---
+apiVersion: v1
+kind: Pod
+metadata:
+  name: secret-dotfiles-pod
+spec:
+  volumes:
+  - name: secret-volume
+    secret:
+      secretName: dotfile-secret
+  containers:
+  - name: dotfile-test-container
+    image: k8s.gcr.io/busybox
+    command:
+    - ls
+    - "-l"
+    - "/etc/secret-volume"
+    volumeMounts:
+    - name: secret-volume
+      readOnly: true
+      mountPath: "/etc/secret-volume"
+```
+
+볼륨은 `.secret-file` 이라는 하나의 파일을 포함하고,
+`dotfile-test-container` 는 `/etc/secret-volume/.secret-file` 경로에
+이 파일을 가지게 된다.
+
+{{< note >}}
+`ls -l` 명령의 결과에서 숨겨진 점으로 시작하는 파일들은
+디렉터리 내용을 나열할 때 `ls -la` 를 사용해야 이 파일들을 볼 수 있다.
+{{< /note >}}
+
+### 사용 사례: 파드의 한 컨테이너에 표시되는 시크릿
+
+HTTP 요청을 처리하고, 복잡한 비즈니스 로직을 수행한 다음, HMAC이 있는 일부 메시지에
+서명해야 하는 프로그램을 고려한다. 애플리케이션 로직이
+복잡하기 때문에, 서버에서 눈에 띄지 않는 원격 파일 읽기 공격이
+있을 수 있으며, 이로 인해 개인 키가 공격자에게 노출될 수 있다.
+
+이는 두 개의 컨테이너의 두 개 프로세스로 나눌 수 있다. 사용자 상호 작용과
+비즈니스 로직을 처리하지만, 개인 키를 볼 수 없는 프론트엔드 컨테이너와
+개인 키를 볼 수 있고, 프론트엔드의 간단한 서명 요청(예를 들어, localhost 네트워킹을 통해)에
+응답하는 서명자 컨테이너로 나눌 수 있다.
+
+이 분할된 접근 방식을 사용하면, 공격자는 이제 애플리케이션 서버를 속여서
+파일을 읽는 것보다 다소 어려운 임의적인 어떤 작업을 수행해야
+한다.
+
 ## 시크릿 타입 {#secret-types}
 
 시크릿을 생성할 때, [`Secret`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#secret-v1-core)
@@ -94,15 +850,20 @@ weight: 30
 | `kubernetes.io/tls` | TLS 클라이언트나 서버를 위한 데이터 |
 | `bootstrap.kubernetes.io/token` | 부트스트랩 토큰 데이터 |
 
-사용자는 시크릿 오브젝트의 `type` 값에 비어 있지 않은 문자열을 할당하여 자신만의 시크릿
-타입을 정의하고 사용할 수 있다. 비어 있는 문자열은 `Opaque` 타입으로 인식된다.
-쿠버네티스는 타입 명칭에 제약을 부과하지는 않는다. 그러나 만약
-빌트인 타입 중 하나를 사용한다면, 해당 타입에 정의된 모든 요구 사항을
-만족시켜야 한다.
+사용자는 시크릿 오브젝트의 `type` 값에 비어 있지 않은 문자열을 할당하여 자신만의 시크릿 타입을 정의하고 사용할 수 있다 
+(비어 있는 문자열은 `Opaque` 타입으로 인식된다).
+
+쿠버네티스는 타입 명칭에 제약을 부과하지는 않는다. 
+그러나 만약 빌트인 타입 중 하나를 사용한다면, 
+해당 타입에 정의된 모든 요구 사항을 만족시켜야 한다.
+
+공개 사용을 위한 시크릿 타입을 정의하는 경우, 규칙에 따라 
+`cloud-hosting.example.net/cloud-api-credentials`와 같이 시크릿 타입 이름 앞에 도메인 이름 및 `/`를 추가하여 
+전체 시크릿 타입 이름을 구성한다.
 
 ### 불투명(Opaque) 시크릿
 
-`Opaque` 은 시크릿 구성 파일에서 누락된 경우의 기본 시크릿 타입이다.
+`Opaque` 은 시크릿 구성 파일에서 시크릿 타입을 지정하지 않았을 경우의 기본 시크릿 타입이다.
 `kubectl` 을 사용하여 시크릿을 생성할 때 `Opaque` 시크릿 타입을 나타내기
 위해서는 `generic` 하위 커맨드를 사용할 것이다. 예를 들어, 다음 커맨드는
 타입 `Opaque` 의 비어 있는 시크릿을 생성한다.
@@ -120,16 +881,20 @@ empty-secret   Opaque   0      2m6s
 ```
 
 해당 `DATA` 열은 시크릿에 저장된 데이터 아이템의 수를 보여준다.
-이 경우, `0` 은 비어 있는 시크릿을 하나 생성하였다는 것을 의미한다.
+이 경우, `0` 은 비어 있는 시크릿을 생성하였다는 것을 의미한다.
 
 ###  서비스 어카운트 토큰 시크릿
 
-`kubernetes.io/service-account-token` 시크릿 타입은 서비스 어카운트를 확인하는 토큰을 저장하기 위해서 사용한다. 이 시크릿 타입을 사용할 때는,
-`kubernetes.io/service-account.name` 어노테이션이 존재하는 서비스
-어카운트 이름으로 설정되도록 해야 한다. 쿠버네티스 컨트롤러는
-`kubernetes.io/service-account.uid` 및 실제 토큰
-콘텐츠로 설정된 `data` 필드의 `token` 키와 같은,
-몇 가지 다른 필드들을 채운다.
+`kubernetes.io/service-account-token` 시크릿 타입은 
+{{< glossary_tooltip text="서비스 어카운트" term_id="service-account" >}}를 확인하는 
+토큰을 저장하기 위해서 사용한다. 
+이 시크릿 타입을 사용할 때는, 
+`kubernetes.io/service-account.name` 어노테이션이 존재하는 
+서비스 어카운트 이름으로 설정되도록 해야 한다. 
+쿠버네티스 {{< glossary_tooltip text="컨트롤러" term_id="controller" >}}는 
+`kubernetes.io/service-account.uid` 어노테이션 및 
+`data` 필드의 `token` 키와 같은 몇 가지 다른 필드들을 채우며, 
+이들은 인증 토큰을 보관한다.
 
 다음은 서비스 어카운트 토큰 시크릿의 구성 예시이다.
 
@@ -169,7 +934,7 @@ data:
 - `kubernetes.io/dockercfg`
 - `kubernetes.io/dockerconfigjson`
 
-`kubernetes.io/dockercfg` 는 직렬화 된 도커 커맨드라인 구성을
+`kubernetes.io/dockercfg` 는 직렬화된 도커 커맨드라인 구성을
 위한 기존(legacy) 포맷 `~/.dockercfg` 를 저장하기 위해 할당된 타입이다.
 시크릿 타입을 사용할 때는, `data` 필드가 base64 포맷으로
 인코딩된 `~/.dockercfg` 파일의 콘텐츠를 값으로 가지는 `.dockercfg` 키를 포함하고 있는지
@@ -196,8 +961,8 @@ data:
 ```
 
 {{< note >}}
-만약 base64 인코딩 수행을 원하지 않는다면, 그 대신 `stringData` 필드의
-사용을 선택할 수 있다.
+만약 base64 인코딩 수행을 원하지 않는다면, 
+그 대신 `stringData` 필드를 사용할 수 있다.
 {{< /note >}}
 
 이러한 타입들을 매니페스트를 사용하여 생성하는 경우, API
@@ -210,37 +975,42 @@ data:
 
 ```shell
 kubectl create secret docker-registry secret-tiger-docker \
+  --docker-email=tiger@acme.example \
   --docker-username=tiger \
-  --docker-password=pass113 \
-  --docker-email=tiger@acme.com \
+  --docker-password=pass1234 \
   --docker-server=my-registry.example:5000
 ```
 
-이 커맨드는 `kubernetes.io/dockerconfigjson` 타입의 시크릿을 생성한다.
-만약 `data` 필드로부터 `.dockerconfigjson` 콘텐츠를 복사(dump)해오면,
-다음과 같이 유효한 도커 JSON 콘텐츠를
-즉석에서 얻게 될 것이다.
+이 커맨드는 `kubernetes.io/dockerconfigjson` 타입의 시크릿을 생성한다. 
+다음 명령으로 이 새 시크릿에서 `.data.dockercfgjson` 필드를 덤프하고 
+base64로 디코드하면,
+
+```shell
+kubectl get secret secret-tiger-docker -o jsonpath='{.data.*}' | base64 -d
+```
+
+출력은 다음과 같은 JSON 문서이다(그리고 
+이는 또한 유효한 도커 구성 파일이다).
 
 ```json
 {
-    "apiVersion": "v1",
-    "data": {
-        ".dockerconfigjson": "eyJhdXRocyI6eyJteS1yZWdpc3RyeTo1MDAwIjp7InVzZXJuYW1lIjoidGlnZXIiLCJwYXNzd29yZCI6InBhc3MxMTMiLCJlbWFpbCI6InRpZ2VyQGFjbWUuY29tIiwiYXV0aCI6ImRHbG5aWEk2Y0dGemN6RXhNdz09In19fQ=="
-    },
-    "kind": "Secret",
-    "metadata": {
-        "creationTimestamp": "2021-07-01T07:30:59Z",
-        "name": "secret-tiger-docker",
-        "namespace": "default",
-        "resourceVersion": "566718",
-        "uid": "e15c1d7b-9071-4100-8681-f3a7a2ce89ca"
-    },
-    "type": "kubernetes.io/dockerconfigjson"
+  "auths": {
+    "my-registry.example:5000": {
+      "username": "tiger",
+      "password": "pass1234",
+      "email": "tiger@acme.example",
+      "auth": "dGlnZXI6cGFzczEyMzQ="
+    }
+  }
 }
-
 ```
 
-### 기본 인증 시크릿
+{{< note >}}
+위의 `auth` 값은 base64 인코딩되어 있다. 이는 난독화된 것이지 암호화된 것이 아니다. 
+이 시크릿을 읽을 수 있는 사람은 레지스트리 접근 베어러 토큰을 알 수 있는 것이다.
+{{< /note >}}
+
+### 기본 인증(Basic authentication) 시크릿
 
 `kubernetes.io/basic-auth` 타입은 기본 인증을 위한 자격 증명을 저장하기
 위해 제공된다. 이 시크릿 타입을 사용할 때는 시크릿의 `data` 필드가
@@ -262,15 +1032,17 @@ metadata:
   name: secret-basic-auth
 type: kubernetes.io/basic-auth
 stringData:
-  username: admin
-  password: t0p-Secret
+  username: admin      # kubernetes.io/basic-auth 에서 요구하는 필드
+  password: t0p-Secret # kubernetes.io/basic-auth 에서 요구하는 필드
 ```
 
-이 기본 인증 시크릿 타입은 사용자 편의만을 위해서 제공된다.
-사용자는 기본 인증에서 사용되는 자격 증명을 위한 `Opaque` 를 생성할 수도 있다.
-그러나, 빌트인 시크릿 타입을 사용하는 것은 사용자의 자격 증명들의 포맷을 통합하는 데 도움이 되고,
-API 서버는 요구되는 키가 시크릿 구성에서 제공되고 있는지
-검증도 한다.
+이 기본 인증 시크릿 타입은 오직 사용자 편의를 위해 제공되는 것이다.
+사용자는 기본 인증에서 사용할 자격 증명을 위해 `Opaque` 타입의 시크릿을 생성할 수도 있다. 
+그러나, 미리 정의되어 공개된 시크릿 타입(`kubernetes.io/basic-auth`)을 사용하면 
+다른 사람이 이 시크릿의 목적을 이해하는 데 도움이 되며, 
+예상되는 키 이름에 대한 규칙이 설정된다. 
+쿠버네티스 API는 이 유형의 시크릿에 대해 
+필수 키가 설정되었는지 확인한다.
 
 ### SSH 인증 시크릿
 
@@ -279,7 +1051,8 @@ API 서버는 요구되는 키가 시크릿 구성에서 제공되고 있는지
 키-값 쌍을 사용할 SSH 자격 증명으로 `data` (또는 `stringData`)
 필드에 명시해야 할 것이다.
 
-다음 YAML은 SSH 인증 시크릿의 구성 예시이다.
+다음 매니페스트는 
+SSH 공개/개인 키 인증에 사용되는 시크릿 예시이다.
 
 ```yaml
 apiVersion: v1
@@ -293,11 +1066,13 @@ data:
      MIIEpQIBAAKCAQEAulqb/Y ...
 ```
 
-SSH 인증 시크릿 타입은 사용자 편의만을 위해서 제공된다.
-사용자는 SSH 인증에서 사용되는 자격 증명을 위한 `Opaque` 를 생성할 수도 있다.
-그러나, 빌트인 시크릿 타입을 사용하는 것은 사용자의 자격 증명들의 포맷을 통합하는 데 도움이 되고,
-API 서버는 요구되는 키가 시크릿 구성에서 제공되고 있는지
-검증도 한다.
+SSH 인증 시크릿 타입은 오직 사용자 편의를 위해 제공되는 것이다. 
+사용자는 SSH 인증에서 사용할 자격 증명을 위해 `Opaque` 타입의 시크릿을 생성할 수도 있다. 
+그러나, 미리 정의되어 공개된 시크릿 타입(`kubernetes.io/ssh-auth`)을 사용하면 
+다른 사람이 이 시크릿의 목적을 이해하는 데 도움이 되며, 
+예상되는 키 이름에 대한 규칙이 설정된다. 
+그리고 API 서버가 
+시크릿 정의에 필수 키가 명시되었는지 확인한다.
 
 {{< caution >}}
 SSH 개인 키는 자체적으로 SSH 클라이언트와 호스트 서버 간에 신뢰할 수 있는 통신을
@@ -308,13 +1083,15 @@ SSH 개인 키는 자체적으로 SSH 클라이언트와 호스트 서버 간에
 
 ### TLS 시크릿
 
-쿠버네티스는 보통 TLS를 위해 사용되는 인증서와 관련된 키를 저장하기 위해서
+쿠버네티스는 일반적으로 TLS를 위해 사용되는 인증서 및 관련된 키를 저장하기 위한 
 빌트인 시크릿 타입 `kubernetes.io/tls` 를 제공한다.
-이 데이터는 인그레스 리소스의 TLS 종료에 주로 사용되지만, 다른
-리소스나 워크로드에 의해 직접적으로 사용될 수도 있다.
-이 타입의 시크릿을 사용할 때는 `tls.key` 와 `tls.crt` 키가 시크릿 구성의
-`data` (또는 `stringData`) 필드에서 제공되어야 한다. 그러나, API
-서버가 각 키에 대한 값이 유효한지 실제로 검증하지는 않는다.
+
+TLS 시크릿의 일반적인 용도 중 하나는 [인그레스](/ko/docs/concepts/services-networking/ingress/)에 대한 
+전송 암호화(encryption in transit)를 구성하는 것이지만, 
+다른 리소스와 함께 사용하거나 워크로드에서 직접 사용할 수도 있다. 
+이 타입의 시크릿을 사용할 때는 `tls.key` 와 `tls.crt` 키가 
+시크릿 구성의 `data` (또는 `stringData`) 필드에서 제공되어야 한다. 
+그러나, API 서버가 각 키에 대한 값이 유효한지 실제로 검증하지는 않는다.
 
 다음 YAML은 TLS 시크릿을 위한 구성 예시를 포함한다.
 
@@ -346,13 +1123,21 @@ kubectl create secret tls my-tls-secret \
   --key=path/to/key/file
 ```
 
-공개/개인 키 쌍은 사전에 존재해야 한다. `--cert` 를 위한 공개 키 인증서는
-.PEM 으로 인코딩(Base64로 인코딩된 DER 포맷)되어야 하며, `--key` 를 위해 주어진
-개인 키에 맞아야 한다.
-개인 키는 일반적으로 PEM 개인 키 포맷이라고 하는,
-암호화되지 않은 형태(unencrypted)이어야 한다. 두 가지 방식 모두에 대해서, PEM의
-시작과 끝 라인(예를 들면, 인증서의 `--------BEGIN CERTIFICATE-----` 및 `-------END CERTIFICATE----`)
-은 포함되면 *안* 된다.
+공개/개인 키 쌍은 사전에 준비되어야 한다. 
+`--cert` 에 들어가는 공개 키 인증서는 
+[RFC 7468의 섹션 5.1](https://datatracker.ietf.org/doc/html/rfc7468#section-5.1)에 있는 DER 형식이어야 하고, 
+`--key` 에 들어가는 개인 키 인증서는 
+[RFC 7468의 섹션 11](https://datatracker.ietf.org/doc/html/rfc7468#section-11)에 있는 DER 형식 PKCS #8 을 따라야 한다.
+
+{{< note >}}
+`kubernetes.io/tls` 시크릿은 
+키 및 인증서에 Base64 인코드된 DER 데이터를 보관한다. 
+개인 키 및 인증서에 사용되는 PEM 형식에 익숙하다면, 
+이 base64 데이터는 PEM 형식에서 맨 윗줄과 아랫줄을 제거한 것과 동일하다.
+
+예를 들어, 인증서의 경우, 
+`--------BEGIN CERTIFICATE-----` 및 `-------END CERTIFICATE----` 줄은 포함되면 **안** 된다.
+{{< /note >}}
 
 ### 부트스트랩 토큰 시크릿
 
@@ -421,367 +1206,23 @@ stringData:
   usage-bootstrap-signing: "true"
 ```
 
-## 시크릿 생성하기
 
-시크릿을 생성하기 위한 몇 가지 옵션이 있다.
-
-- [`kubectl` 명령을 사용하여 시크릿 생성하기](/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl/)
-- [구성 파일로 시크릿 생성하기](/ko/docs/tasks/configmap-secret/managing-secret-using-config-file/)
-- [kustomize를 사용하여 시크릿 생성하기](/ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/)
-
-## 시크릿 편집하기
-
-기존 시크릿은 다음 명령을 사용하여 편집할 수 있다.
-
-```shell
-kubectl edit secrets mysecret
-```
-
-이렇게 하면 기본으로 설정된 에디터가 열리고 `data` 필드에 base64로 인코딩된 시크릿 값을 업데이트할 수 있다.
-
-```yaml
-# 아래 오브젝트를 수정한다. '#'로 시작하는 줄은 무시되고,
-# 빈 파일은 편집이 취소될 것이다. 이 파일을 저장하는 도중에 오류가 발생하면
-# 관련 오류와 함께 다시 열린다.
-#
-apiVersion: v1
-data:
-  username: YWRtaW4=
-  password: MWYyZDFlMmU2N2Rm
-kind: Secret
-metadata:
-  annotations:
-    kubectl.kubernetes.io/last-applied-configuration: { ... }
-  creationTimestamp: 2016-01-22T18:41:56Z
-  name: mysecret
-  namespace: default
-  resourceVersion: "164619"
-  uid: cfee02d6-c137-11e5-8d73-42010af00002
-type: Opaque
-```
-
-## 시크릿 사용하기
-
-시크릿은 데이터 볼륨으로 마운트되거나 파드의 컨테이너에서 사용할
-{{< glossary_tooltip text="환경 변수" term_id="container-env-variables" >}}로
-노출될 수 있다. 또한, 시크릿은 파드에 직접 노출되지 않고,
-시스템의 다른 부분에서도 사용할 수 있다. 예를 들어, 시크릿은
-시스템의 다른 부분이 사용자를 대신해서 외부 시스템과 상호 작용하는 데 사용해야 하는
-자격 증명을 보유할 수 있다.
-
-### 시크릿을 파드의 파일로 사용하기
-
-파드의 볼륨에서 시크릿을 사용하려면 다음과 같이 한다.
-
-1. 시크릿을 생성하거나 기존 시크릿을 사용한다. 여러 파드가 동일한 시크릿을 참조할 수 있다.
-1. `.spec.volumes[].` 아래에 볼륨을 추가하려면 파드 정의를 수정한다. 볼륨의 이름을 뭐든지 지정하고, 시크릿 오브젝트의 이름과 동일한 `.spec.volumes[].secret.secretName` 필드를 생성한다.
-1. 시크릿이 필요한 각 컨테이너에 `.spec.containers[].volumeMounts[]` 를 추가한다. 시크릿을 표시하려는 사용되지 않은 디렉터리 이름에 `.spec.containers[].volumeMounts[].readOnly = true` 와 `.spec.containers[].volumeMounts[].mountPath` 를 지정한다.
-1. 프로그램이 해당 디렉터리에서 파일을 찾도록 이미지 또는 커맨드 라인을 수정한다. 시크릿 `data` 맵의 각 키는 `mountPath` 아래의 파일명이 된다.
-
-다음은 볼륨에 시크릿을 마운트하는 파드의 예시이다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  containers:
-  - name: mypod
-    image: redis
-    volumeMounts:
-    - name: foo
-      mountPath: "/etc/foo"
-      readOnly: true
-  volumes:
-  - name: foo
-    secret:
-      secretName: mysecret
-```
-
-사용하려는 각 시크릿은 `.spec.volumes` 에서 참조해야 한다.
-
-파드에 여러 컨테이너가 있는 경우, 모든 컨테이너는
-자체 `volumeMounts` 블록이 필요하지만, 시크릿에 대해서는 시크릿당 하나의 `.spec.volumes` 만 필요하다.
-
-많은 파일을 하나의 시크릿으로 패키징하거나, 여러 시크릿을 사용할 수 있으며, 어느 쪽이든 편리한 방법을 사용하면 된다.
-
-#### 특정 경로에 대한 시크릿 키 투영하기
-
-시크릿 키가 투영되는 볼륨 내 경로를 제어할 수도 있다.
-`.spec.volumes[].secret.items` 필드를 사용하여 각 키의 대상 경로를 변경할 수 있다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  containers:
-  - name: mypod
-    image: redis
-    volumeMounts:
-    - name: foo
-      mountPath: "/etc/foo"
-      readOnly: true
-  volumes:
-  - name: foo
-    secret:
-      secretName: mysecret
-      items:
-      - key: username
-        path: my-group/my-username
-```
-
-다음과 같은 일들이 일어날 것이다.
-
-* `username` 시크릿은 `/etc/foo/username` 대신 `/etc/foo/my-group/my-username` 아래의 파일에 저장된다.
-* `password` 시크릿은 투영되지 않는다.
-
-`.spec.volumes[].secret.items` 를 사용하면, `items` 에 지정된 키만 투영된다.
-시크릿의 모든 키를 사용하려면, 모든 키가 `items` 필드에 나열되어야 한다.
-나열된 모든 키는 해당 시크릿에 존재해야 한다. 그렇지 않으면, 볼륨이 생성되지 않는다.
-
-#### 시크릿 파일 퍼미션
-
-단일 시크릿 키에 대한 파일 접근 퍼미션 비트를 설정할 수 있다.
-만약 사용자가 퍼미션을 지정하지 않는다면, 기본적으로 `0644` 가 사용된다.
-전체 시크릿 볼륨에 대한 기본 모드를 설정하고 필요한 경우 키별로 오버라이드할 수도 있다.
-
-예를 들어, 다음과 같은 기본 모드를 지정할 수 있다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  containers:
-  - name: mypod
-    image: redis
-    volumeMounts:
-    - name: foo
-      mountPath: "/etc/foo"
-  volumes:
-  - name: foo
-    secret:
-      secretName: mysecret
-      defaultMode: 0400
-```
-
-그러고 나면, 시크릿이 `/etc/foo` 에 마운트되고 시크릿 볼륨 마운트로 생성된
-모든 파일의 퍼미션은 `0400` 이 될 것이다.
-
-참고로 JSON 스펙은 8진수 표기법을 지원하지 않으므로, 0400 퍼미션에 대해서
-값 256을 사용한다. 파드에 대해 JSON 대신 YAML을 사용하는 경우, 8진수 표기법을
-사용하여 보다 자연스러운 방식으로 퍼미션을 지정할 수 있다.
-
-참고로 파드에 `kubectl exec` 을 사용하는 경우, 예상되는 파일 모드를 찾기 위해
-심볼릭 링크를 따라가야 한다. 예를 들면, 다음과 같다.
-
-파드에서 시크릿 파일 모드를 확인한다.
-```
-kubectl exec mypod -it sh
-
-cd /etc/foo
-ls -l
-```
-
-출력 결과는 다음과 비슷하다.
-```
-total 0
-lrwxrwxrwx 1 root root 15 May 18 00:18 password -> ..data/password
-lrwxrwxrwx 1 root root 15 May 18 00:18 username -> ..data/username
-```
-
-올바른 파일 모드를 찾으려면 심볼릭 링크를 따라간다.
-
-```
-cd /etc/foo/..data
-ls -l
-```
-
-출력 결과는 다음과 비슷하다.
-```
-total 8
--r-------- 1 root root 12 May 18 00:18 password
--r-------- 1 root root  5 May 18 00:18 username
-```
-
-이전 예제에서와 같이 매핑을 사용하여, 다음과 같이
-다른 파일에 대해 다른 퍼미션을 지정할 수도 있다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  containers:
-  - name: mypod
-    image: redis
-    volumeMounts:
-    - name: foo
-      mountPath: "/etc/foo"
-  volumes:
-  - name: foo
-    secret:
-      secretName: mysecret
-      items:
-      - key: username
-        path: my-group/my-username
-        mode: 0777
-```
-
-이 경우, `/etc/foo/my-group/my-username` 에 있는 파일은
-결과적으로 `0777` 퍼미션 값을 갖게 된다. JSON을 사용하는 경우, JSON 제한으로 인해
-10진수 표기법(`511`)으로 모드를 지정해야 한다.
-
-참고로 이 퍼미션 값은 나중에 읽을 때 10진수 표기법으로
-표시될 수 있다.
-
-#### 볼륨에서 시크릿 값 사용하기
-
-시크릿 볼륨을 마운트하는 컨테이너 내부에서, 시크릿 키는 파일로
-나타나고 시크릿 값은 base64로 디코딩되어 이런 파일 내에 저장된다.
-다음은 위의 예에서 컨테이너 내부에서 실행된 명령의 결과이다.
-
-```shell
-ls /etc/foo/
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-username
-password
-```
-
-```shell
-cat /etc/foo/username
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-admin
-```
-
-```shell
-cat /etc/foo/password
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-1f2d1e2e67df
-```
-
-컨테이너의 프로그램은 파일에서 시크릿을 읽는 역할을
-한다.
-
-#### 마운트된 시크릿은 자동으로 업데이트됨
-
-볼륨에서 현재 사용되는 시크릿이 업데이트되면, 투영된 키도 결국 업데이트된다.
-kubelet은 마운트된 시크릿이 모든 주기적인 동기화에서 최신 상태인지 여부를 확인한다.
-그러나, kubelet은 시크릿의 현재 값을 가져 오기 위해 로컬 캐시를 사용한다.
-캐시의 유형은 [KubeletConfiguration 구조체](/docs/reference/config-api/kubelet-config.v1beta1/)의
-`ConfigMapAndSecretChangeDetectionStrategy` 필드를 사용하여 구성할 수 있다.
-시크릿은 watch(기본값), ttl 기반 또는 API 서버로 모든 요청을 직접
-리디렉션하여 전파할 수 있다.
-결과적으로, 시크릿이 업데이트된 순간부터 새로운 키가 파드에 투영되는
-순간까지의 총 지연 시간은 kubelet 동기화 시간 + 캐시
-전파 지연만큼 길 수 있다. 여기서 캐시 전파 지연은 선택한 캐시 유형에 따라
-달라질 수 있다(캐시 전파 지연은 각 캐시 유형에 따라 watch 전파 지연, 캐시의 ttl, 또는 0 에 상응함).
-
-{{< note >}}
-시크릿을 [subPath](/ko/docs/concepts/storage/volumes/#subpath-사용하기)
-볼륨 마운트로 사용하는 컨테이너는 시크릿 업데이트를
-받지 않는다.
-{{< /note >}}
-
-### 시크릿을 환경 변수로 사용하기
-
-파드에서 {{< glossary_tooltip text="환경 변수" term_id="container-env-variables" >}}에
-시크릿을 사용하려면 다음과 같이 한다.
-
-1. 시크릿을 생성하거나 기존 시크릿을 사용한다. 여러 파드가 동일한 시크릿을 참조할 수 있다.
-1. 사용하려는 각 시크릿 키에 대한 환경 변수를 추가하려면 시크릿 키 값을 사용하려는 각 컨테이너에서 파드 정의를 수정한다. 시크릿 키를 사용하는 환경 변수는 시크릿의 이름과 키를 `env[].valueFrom.secretKeyRef` 에 채워야 한다.
-1. 프로그램이 지정된 환경 변수에서 값을 찾도록 이미지 및/또는 커맨드 라인을 수정한다.
-
-다음은 환경 변수의 시크릿을 사용하는 파드의 예시이다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: secret-env-pod
-spec:
-  containers:
-  - name: mycontainer
-    image: redis
-    env:
-      - name: SECRET_USERNAME
-        valueFrom:
-          secretKeyRef:
-            name: mysecret
-            key: username
-      - name: SECRET_PASSWORD
-        valueFrom:
-          secretKeyRef:
-            name: mysecret
-            key: password
-  restartPolicy: Never
-```
-
-#### 환경 변수에서 시크릿 값 사용하기
-
-환경 변수에서 시크릿을 사용하는 컨테이너 내부에서, 시크릿 키는
-시크릿 데이터의 base64 디코딩된 값을 포함하는 일반 환경 변수로 나타난다.
-다음은 위의 예에서 컨테이너 내부에서 실행된 명령의 결과이다.
-
-```shell
-echo $SECRET_USERNAME
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-admin
-```
-
-```shell
-echo $SECRET_PASSWORD
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-1f2d1e2e67df
-```
-
-#### 시크릿 업데이트 후 환경 변수가 업데이트되지 않음
-
-컨테이너가 환경 변수에서 이미 시크릿을 사용하는 경우, 다시 시작하지 않는 한 컨테이너에서 시크릿 업데이트를 볼 수 없다.
-시크릿이 변경될 때 재시작을 트리거하는 써드파티 솔루션이 있다.
-
-## 변경할 수 없는(immutable) 시크릿 {#secret-immutable}
+## 수정 불가능한(immutable) 시크릿 {#secret-immutable}
 
 {{< feature-state for_k8s_version="v1.21" state="stable" >}}
 
-쿠버네티스 기능인 _변경할 수 없는 시크릿과 컨피그맵_ 은
-개별 시크릿과 컨피그맵을 변경할 수 없는 것으로 설정하는 옵션을 제공한다. 시크릿을 광범위하게 사용하는
-클러스터(최소 수만 개의 고유한 시크릿이 파드에 마운트)의 경우, 데이터 변경을 방지하면
-다음과 같은 이점이 있다.
+쿠버네티스에서 특정 시크릿(및 컨피그맵)을 _수정 불가능_ 으로 표시할 수 있다.
+기존 시크릿 데이터의 변경을 금지시키면 다음과 같은 이점을 가진다.
 
-- 애플리케이션 중단을 유발할 수 있는 우발적(또는 원하지 않는) 업데이트로부터 보호
-- immutable로 표시된 시크릿에 대한 감시를 중단하여, kube-apiserver의 부하를
-크게 줄임으로써 클러스터의 성능을 향상시킴
+- 잘못된(또는 원치 않은) 업데이트를 차단하여 애플리케이션 중단을 방지
+- (수만 개 이상의 시크릿-파드 마운트와 같이 시크릿을 대규모로 사용하는 클러스터의 경우,) 
+  수정 불가능한 시크릿으로 전환하면 kube-apiserver의 부하를 크게 줄여 클러스터의 성능을 향상시킬 수 있다. 
+  kubelet은 수정 불가능으로 지정된 시크릿에 대해서는 
+  [감시(watch)]를 유지할 필요가 없기 때문이다.
 
-이 기능은 v1.19부터 기본적으로 활성화된 `ImmutableEphemeralVolumes`
-[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)에
-의해 제어된다. `immutable` 필드를 `true` 로 설정하여
-변경할 수 없는 시크릿을 생성할 수 있다. 다음은 예시이다.
+### 시크릿을 수정 불가능으로 지정하기 {#secret-immutable-create}
+
+다음과 같이 시크릿의 `immutable` 필드를 `true`로 설정하여 수정 불가능한 시크릿을 만들 수 있다.
 ```yaml
 apiVersion: v1
 kind: Secret
@@ -792,395 +1233,19 @@ data:
 immutable: true
 ```
 
-{{< note >}}
-시크릿 또는 컨피그맵을 immutable로 표시하면, 이 변경 사항을 되돌리거나
-`data` 필드 내용을 변경할 수 _없다_. 시크릿을 삭제하고 다시 생성할 수만 있다.
-기존 파드는 삭제된 시크릿에 대한 마운트 포인트를 유지하며, 이러한 파드를 다시 생성하는 것을
-권장한다.
-{{< /note >}}
-
-### imagePullSecrets 사용하기
-
-`imagePullSecrets` 필드는 동일한 네임스페이스의 시크릿에 대한 참조 목록이다.
-`imagePullSecretsDocker` 를 사용하여 도커(또는 다른 컨테이너) 이미지 레지스트리
-비밀번호가 포함된 시크릿을 kubelet에 전달할 수 있다. kubelet은 이 정보를 사용해서 파드를 대신하여 프라이빗 이미지를 가져온다.
-`imagePullSecrets` 필드에 대한 자세한 정보는 [PodSpec API](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podspec-v1-core)를 참고한다.
-
-#### imagePullSecret 수동으로 지정하기
-
-[컨테이너 이미지 문서](/ko/docs/concepts/containers/images/#파드에-imagepullsecrets-명시)에서 `ImagePullSecrets` 지정하는 방법을 배울 수 있다.
-
-### imagePullSecrets가 자동으로 연결되도록 정렬하기
-
-수동으로 `imagePullSecrets` 를 생성하고, 서비스어카운트(ServiceAccount)에서
-참조할 수 있다. 해당 서비스어카운트로 생성되거나
-기본적인 서비스어카운트로 생성된 모든 파드는 파드의 `imagePullSecrets`
-필드를 가져오고 서비스 어카운트의 필드로 설정한다.
-해당 프로세스에 대한 자세한 설명은
-[서비스 어카운트에 ImagePullSecrets 추가하기](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account)를 참고한다.
-
-## 상세 내용
-
-### 제약 사항
-
-시크릿 볼륨 소스는 지정된 오브젝트 참조가
-실제로 시크릿 유형의 오브젝트를 가리키는지 확인하기 위해 유효성을 검사한다. 따라서, 시크릿에
-의존하는 모든 파드보다 먼저 시크릿을 만들어야 한다.
-
-시크릿 리소스는 {{< glossary_tooltip text="네임스페이스" term_id="namespace" >}}에 존재한다.
-시크릿은 동일한 네임스페이스에 있는 파드에서만 참조할 수 있다.
-
-개별 시크릿의 크기는 1MiB로 제한된다. 이는 API 서버와
-kubelet 메모리를 소진시키는 매우 큰 시크릿 생성을 막기 위한 것이다.
-그러나, 많은 작은 시크릿을 만들어도 메모리가 고갈될 수 있다. 시크릿으로
-인한 메모리 사용에 대한 보다 포괄적인 제한은 향후 버전에 계획된 기능이다.
-
-kubelet은 API 서버에서 시크릿을 가져오는 파드에 대한
-시크릿 사용만 지원한다.
-여기에는 `kubectl` 을 사용하거나, 레플리케이션 컨트롤러를 통해 간접적으로 생성된 모든
-파드가 포함된다. kubelet의 `--manifest-url` 플래그, `--config` 플래그 또는
-kubectl의 REST API(이 방법들은 파드를 생성하는 일반적인 방법이 아님)로
-생성된 파드는 포함하지 않는다.
-{{< glossary_tooltip text="스태틱(static) 파드" term_id="static-pod" >}}의 `spec`은 컨피그맵
-또는 다른 API 오브젝트를 참조할 수 없다.
-
-
-시크릿은 optional(선택 사항)로 표시되지 않는 한 파드에서 환경
-변수로 사용되기 전에 생성되어야 한다. 존재하지 않는 시크릿을
-참조하면 파드가 시작되지 않는다.
-
-명명된 시크릿에 존재하지 않는 키에 대한 참조(`secretKeyRef` 필드)는
-파드가 시작되지 않도록 한다.
-
-잘못된 환경 변수 이름으로 간주되는 키가 있는 `envFrom` 필드로
-환경 변수를 채우는 데 사용되는 시크릿은 해당 키를
-건너뛴다. 이러면 해당 파드가 시작될 수 있다. 원인이 `InvalidVariableNames` 인
-이벤트가 발생하며 건너뛴 유효하지 않은 키 목록이
-포함된 메시지가 생성된다. 다음의 예는 2개의 유효하지 않은
-키(`1badkey` 와 `2alsobad`)가 포함된 default/mysecret을 참조하는 파드를 보여준다.
-
-```shell
-kubectl get events
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-LASTSEEN   FIRSTSEEN   COUNT     NAME            KIND      SUBOBJECT                         TYPE      REASON
-0s         0s          1         dapi-test-pod   Pod                                         Warning   InvalidEnvironmentVariableNames   kubelet, 127.0.0.1      Keys [1badkey, 2alsobad] from the EnvFrom secret default/mysecret were skipped since they are considered invalid environment variable names.
-```
-
-### 시크릿 및 파드 수명 상호 작용
-
-쿠버네티스 API를 호출하여 파드가 생성될 때, 참조된 시크릿이 있는지 확인하지
-않는다. 일단 파드가 스케줄되면, kubelet은 시크릿 값 가져오기를
-시도한다. 시크릿이 존재하지 않거나 API 서버에 대한
-일시적인 연결 부족으로 인해 시크릿을 가져올 수 없는 경우, kubelet은
-주기적으로 재시도한다. kubelet은 아직 시작되지 않은 이유를 설명하는
-파드에 대한 이벤트를 보고한다. 시크릿을 가져오면, kubelet은
-이를 포함하는 볼륨을 생성하고 마운트한다. 모든 파드의 볼륨이
-마운트될 때까지 파드의 컨테이너는 시작되지 않는다.
-
-## 사용 사레
-
-### 사용 사례: 컨테이너 환경 변수로 사용하기
-
-시크릿 정의를 작성한다.
-
-```yaml
-apiVersion: v1
-kind: Secret
-metadata:
-  name: mysecret
-type: Opaque
-data:
-  USER_NAME: YWRtaW4=
-  PASSWORD: MWYyZDFlMmU2N2Rm
-```
-
-시크릿을 생성한다.
-
-```shell
-kubectl apply -f mysecret.yaml
-```
-
-모든 시크릿 데이터를 컨테이너 환경 변수로 정의하는 데 `envFrom` 을 사용한다. 시크릿의 키는 파드의 환경 변수 이름이 된다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: secret-test-pod
-spec:
-  containers:
-    - name: test-container
-      image: k8s.gcr.io/busybox
-      command: [ "/bin/sh", "-c", "env" ]
-      envFrom:
-      - secretRef:
-          name: mysecret
-  restartPolicy: Never
-```
-
-### 사용 사례: ssh 키가 있는 파드
-
-몇 가지 ssh 키를 포함하는 시크릿을 생성한다.
-
-```shell
-kubectl create secret generic ssh-key-secret --from-file=ssh-privatekey=/path/to/.ssh/id_rsa --from-file=ssh-publickey=/path/to/.ssh/id_rsa.pub
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-secret "ssh-key-secret" created
-```
-
-ssh 키를 포함하는 `secretGenerator` 필드가 있는 `kustomization.yaml` 를 만들 수도 있다.
-
-{{< caution >}}
-사용자 자신의 ssh 키를 보내기 전에 신중하게 생각한다. 클러스터의 다른 사용자가 시크릿에 접근할 수 있다. 쿠버네티스 클러스터를 공유하는 모든 사용자가 접근할 수 있도록 하려는 서비스 어카운트를 사용하고, 사용자가 손상된 경우 이 계정을 취소할 수 있다.
-{{< /caution >}}
-
-이제 ssh 키를 가진 시크릿을 참조하고
-볼륨에서 시크릿을 사용하는 파드를 만들 수 있다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: secret-test-pod
-  labels:
-    name: secret-test
-spec:
-  volumes:
-  - name: secret-volume
-    secret:
-      secretName: ssh-key-secret
-  containers:
-  - name: ssh-test-container
-    image: mySshImage
-    volumeMounts:
-    - name: secret-volume
-      readOnly: true
-      mountPath: "/etc/secret-volume"
-```
-
-컨테이너의 명령이 실행될 때, 다음 위치에서 키 부분을 사용할 수 있다.
-
-```
-/etc/secret-volume/ssh-publickey
-/etc/secret-volume/ssh-privatekey
-```
-
-그러면 컨테이너는 ssh 연결을 맺기 위해 시크릿 데이터를 자유롭게 사용할 수 있다.
-
-### 사용 사례: 운영 / 테스트 자격 증명이 있는 파드
-
-이 예제에서는 운영 환경의 자격 증명이 포함된 시크릿을
-사용하는 파드와 테스트 환경의 자격 증명이 있는 시크릿을 사용하는 다른 파드를
-보여준다.
-
-사용자는 `secretGenerator` 필드가 있는 `kustomization.yaml` 을 만들거나
-`kubectl create secret` 을 실행할 수 있다.
-
-```shell
-kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-secret "prod-db-secret" created
-```
-
-테스트 환경의 자격 증명에 대한 시크릿을 만들 수도 있다.
-
-```shell
-kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-secret "test-db-secret" created
-```
+또한 기존의 수정 가능한 시크릿을 변경하여 수정 불가능한 시크릿으로 바꿀 수도 있다.
 
 {{< note >}}
-`$`, `\`, `*`, `=` 그리고 `!` 와 같은 특수 문자는 사용자의 [셸](https://ko.wikipedia.org/wiki/셸)에 의해 해석되고 이스케이핑이 필요하다.
-대부분의 셸에서 비밀번호를 이스케이프하는 가장 쉬운 방법은 작은 따옴표(`'`)로 묶는 것이다.
-예를 들어, 실제 비밀번호가 `S!B\*d$zDsb=` 이면, 다음과 같은 명령을 실행해야 한다.
-
-```shell
-kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb='
-```
-
-파일(`--from-file`)에서는 비밀번호의 특수 문자를 이스케이프할 필요가 없다.
+시크릿 또는 컨피그맵이 수정 불가능으로 지정되면, 이 변경을 취소하거나 `data` 필드의 내용을 바꿀 수 _없다_. 
+시크릿을 삭제하고 다시 만드는 것만 가능하다. 
+기존의 파드는 삭제된 시크릿으로의 마운트 포인트를 유지하기 때문에, 
+이러한 파드는 재생성하는 것을 추천한다.
 {{< /note >}}
 
-이제 파드를 생성한다.
+## 시크릿을 위한 정보 보안(Information security)
 
-```shell
-cat <<EOF > pod.yaml
-apiVersion: v1
-kind: List
-items:
-- kind: Pod
-  apiVersion: v1
-  metadata:
-    name: prod-db-client-pod
-    labels:
-      name: prod-db-client
-  spec:
-    volumes:
-    - name: secret-volume
-      secret:
-        secretName: prod-db-secret
-    containers:
-    - name: db-client-container
-      image: myClientImage
-      volumeMounts:
-      - name: secret-volume
-        readOnly: true
-        mountPath: "/etc/secret-volume"
-- kind: Pod
-  apiVersion: v1
-  metadata:
-    name: test-db-client-pod
-    labels:
-      name: test-db-client
-  spec:
-    volumes:
-    - name: secret-volume
-      secret:
-        secretName: test-db-secret
-    containers:
-    - name: db-client-container
-      image: myClientImage
-      volumeMounts:
-      - name: secret-volume
-        readOnly: true
-        mountPath: "/etc/secret-volume"
-EOF
-```
-
-동일한 kustomization.yaml에 파드를 추가한다.
-
-```shell
-cat <<EOF >> kustomization.yaml
-resources:
-- pod.yaml
-EOF
-```
-
-다음을 실행하여 API 서버에 이러한 모든 오브젝트를 적용한다.
-
-```shell
-kubectl apply -k .
-```
-
-두 컨테이너 모두 각 컨테이너의 환경에 대한 값을 가진 파일시스템에 다음의 파일이 존재한다.
-
-```
-/etc/secret-volume/username
-/etc/secret-volume/password
-```
-
-두 파드의 사양이 한 필드에서만 어떻게 다른지 확인한다. 이를 통해
-공통 파드 템플릿에서 다양한 기능을 가진 파드를 생성할 수 있다.
-
-두 개의 서비스 어카운트를 사용하여 기본 파드 명세를 더욱 단순화할 수 있다.
-
-1. `prod-db-secret` 을 가진 `prod-user`
-1. `test-db-secret` 을 가진 `test-user`
-
-파드 명세는 다음과 같이 단축된다.
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: prod-db-client-pod
-  labels:
-    name: prod-db-client
-spec:
-  serviceAccount: prod-db-client
-  containers:
-  - name: db-client-container
-    image: myClientImage
-```
-
-### 사용 사례: 시크릿 볼륨의 도트 파일(dotfile)
-
-점으로 시작하는 키를 정의하여 데이터를 "숨김"으로 만들 수 있다.
-이 키는 도트 파일 또는 "숨겨진" 파일을 나타낸다. 예를 들어, 다음 시크릿이 `secret-volume` 볼륨에
-마운트되면 아래와 같다.
-
-```yaml
-apiVersion: v1
-kind: Secret
-metadata:
-  name: dotfile-secret
-data:
-  .secret-file: dmFsdWUtMg0KDQo=
----
-apiVersion: v1
-kind: Pod
-metadata:
-  name: secret-dotfiles-pod
-spec:
-  volumes:
-  - name: secret-volume
-    secret:
-      secretName: dotfile-secret
-  containers:
-  - name: dotfile-test-container
-    image: k8s.gcr.io/busybox
-    command:
-    - ls
-    - "-l"
-    - "/etc/secret-volume"
-    volumeMounts:
-    - name: secret-volume
-      readOnly: true
-      mountPath: "/etc/secret-volume"
-```
-
-볼륨은 `.secret-file` 이라는 하나의 파일을 포함하고,
-`dotfile-test-container` 는 `/etc/secret-volume/.secret-file` 경로에
-이 파일을 가지게 된다.
-
-{{< note >}}
-`ls -l` 명령의 결과에서 숨겨진 점으로 시작하는 파일들은
-디렉터리 내용을 나열할 때 `ls -la` 를 사용해야 이 파일들을 볼 수 있다.
-{{< /note >}}
-
-### 사용 사례: 파드의 한 컨테이너에 표시되는 시크릿
-
-HTTP 요청을 처리하고, 복잡한 비즈니스 로직을 수행한 다음, HMAC이 있는 일부 메시지에
-서명해야 하는 프로그램을 고려한다. 애플리케이션 로직이
-복잡하기 때문에, 서버에서 눈에 띄지 않는 원격 파일 읽기 공격이
-있을 수 있으며, 이로 인해 개인 키가 공격자에게 노출될 수 있다.
-
-이는 두 개의 컨테이너의 두 개 프로세스로 나눌 수 있다. 사용자 상호 작용과
-비즈니스 로직을 처리하지만, 개인 키를 볼 수 없는 프론트엔드 컨테이너와
-개인 키를 볼 수 있고, 프론트엔드의 간단한 서명 요청(예를 들어, localhost 네트워킹을 통해)에
-응답하는 서명자 컨테이너로 나눌 수 있다.
-
-이 분할된 접근 방식을 사용하면, 공격자는 이제 애플리케이션 서버를 속여서
-파일을 읽는 것보다 다소 어려운 임의적인 어떤 작업을 수행해야
-한다.
-
-<!-- TODO: explain how to do this while still using automation. -->
-
-## 모범 사례
-
-### 시크릿 API를 사용하는 클라이언트
-
-시크릿 API와 상호 작용하는 애플리케이션을 배포할 때,
-[RBAC](/docs/reference/access-authn-authz/rbac/)과 같은
-[인가 정책](/ko/docs/reference/access-authn-authz/authorization/)을
-사용하여 접근을 제한해야 한다.
+컨피그맵과 시크릿은 비슷하게 동작하지만, 
+쿠버네티스는 시크릿 오브젝트에 대해 약간의 추가적인 보호 조치를 적용한다.
 
 시크릿은 종종 다양한 중요도에 걸친 값을 보유하며, 이 중 많은 부분이
 쿠버네티스(예: 서비스 어카운트 토큰)와 외부 시스템으로 단계적으로
@@ -1188,78 +1253,78 @@ HTTP 요청을 처리하고, 복잡한 비즈니스 로직을 수행한 다음,
 동일한 네임스페이스 내의 다른 앱이 이러한 가정을
 무효화할 수 있다.
 
-이러한 이유로 네임스페이스 내 시크릿에 대한 `watch` 와 `list` 요청은
-매우 강력한 기능이며, 시크릿을 나열하면 클라이언트가 해당 네임스페이스에
-있는 모든 시크릿의 값을 검사할 수 있기 때문에 피해야 한다. 클러스터의
-모든 시크릿을 감시(`watch`)하고 나열(`list`)하는 기능은 가장 특권이 있는 시스템 레벨의
-컴포넌트에 대해서만 예약되어야 한다.
+해당 노드의 파드가 필요로 하는 경우에만 시크릿이 노드로 전송된다. 
+시크릿을 파드 내부로 마운트할 때, 기밀 데이터가 보존적인(durable) 저장소에 기록되지 않도록 하기 위해 
+kubelet이 데이터 복제본을 `tmpfs`에 저장한다. 
+해당 시크릿을 사용하는 파드가 삭제되면, 
+kubelet은 시크릿에 있던 기밀 데이터의 로컬 복사본을 삭제한다.
 
-시크릿 API에 접근해야 하는 애플리케이션은 필요한 시크릿에 대한 `get` 요청을
-수행해야 한다. 이를 통해 관리자는 앱에 필요한
-[개별 인스턴스에 대한 접근을 허용 목록에 추가](/docs/reference/access-authn-authz/rbac/#referring-to-resources)하면서 모든 시크릿에 대한 접근을
-제한할 수 있다.
+파드에는 여러 개의 컨테이너가 있을 수 있다. 
+기본적으로, 사용자가 정의한 컨테이너는 기본 서비스어카운트 및 이에 연관된 시크릿에만 접근할 수 있다. 
+다른 시크릿에 접근할 수 있도록 하려면 
+명시적으로 환경 변수를 정의하거나 컨테이너 내에 볼륨을 맵핑해야 한다.
 
-`get` 반복을 통한 성능 향상을 위해, 클라이언트는 시크릿을
-참조한 다음 리소스를 감시(`watch`)하고, 참조가 변경되면 시크릿을 다시 요청하는 리소스를
-설계할 수 있다. 덧붙여, 클라이언트에게 개별 리소스를 감시(`watch`)하도록 하는 ["대량 감시" API](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/api-machinery/bulk_watch.md)도
-제안되었으며, 쿠버네티스의 후속 릴리스에서 사용할 수
-있을 것이다.
-
-## 보안 속성
-
-### 보호
-
-시크릿은 시크릿을 사용하는 파드와 독립적으로 생성될 수
-있으므로, 파드 생성, 보기, 편집 워크플로 중에
-시크릿이 노출될 위험이 적다. 또한 시스템은 가능한 경우
-디스크에 기록하지 않는 등 시크릿에 대한 추가 예방 조치를
-취할 수 있다.
-
-해당 노드의 파드에 필요한 경우에만 시크릿이 노드로 전송된다.
-kubelet은 시크릿이 디스크 저장소에 기록되지 않도록 시크릿을
-`tmpfs` 에 저장한다. 일단 시크릿에 의존하는 파드가 삭제되면, kubelet은
-시크릿 데이터의 로컬 복제본도 삭제한다.
-
-동일한 노드의 여러 파드에 대한 시크릿이 있을 수 있다. 그러나
-파드가 요청하는 시크릿만 해당 컨테이너 내에서 잠재적으로 볼 수 있다.
+동일한 노드의 여러 파드에 대한 시크릿이 있을 수 있다. 
+그러나 잠재적으로는 파드가 요청한 시크릿만 해당 파드의 컨테이너 내에서 볼 수 있다. 
 따라서, 하나의 파드는 다른 파드의 시크릿에 접근할 수 없다.
 
-파드에는 여러 개의 컨테이너가 있을 수 있다. 그러나, 파드의 각 컨테이너는
-컨테이너 내에서 볼 수 있도록 파드의 `volumeMounts` 에 있는 시크릿 볼륨을
-요청해야 한다. 이것은 유용한 [파드 레벨에서의 보안
-파티션](#사용-사례-파드의-한-컨테이너에-표시되는-시크릿)을 구성하는 데 사용할 수 있다.
+{{< warning >}}
+노드 상의 높은 권한을 갖는(privileged) 컨테이너는 
+해당 노드에 있는 모든 시크릿에 접근할 수 있다.
+{{< /warning >}}
 
-대부분의 쿠버네티스 배포판에서, 사용자와 API 서버 간,
-API 서버에서 kubelet으로의 통신은 SSL/TLS로 보호된다.
-이러한 채널을 통해 전송될 때 시크릿이 보호된다.
 
-{{< feature-state for_k8s_version="v1.13" state="beta" >}}
+### 개발자를 위한 보안 추천 사항
 
-시크릿 데이터에 대해 [저장 시 암호화(encryption at rest)](/docs/tasks/administer-cluster/encrypt-data/)를
-활성화할 수 있으며, 이를 통해 보안성에 대한 보장 없이는 시크릿이 {{< glossary_tooltip term_id="etcd" >}}에 저장되지 않도록 한다 .
+- 애플리케이션은 환경 변수 또는 볼륨에서 기밀 정보를 읽은 뒤에 기밀 정보를 계속 보호해야 한다. 
+  예를 들어, 애플리케이션은 비밀 데이터를 암호화되지 않은 상태로 기록하거나 
+  신뢰할 수 없는 당사자에게 전송하지 말아야 한다.
+- 파드에 여러 컨테이너가 있고, 
+  그 중 한 컨테이너만 시크릿에 접근해야 하는 경우, 
+  다른 컨테이너는 해당 시크릿에 접근할 수 없도록 
+  볼륨 마운트 또는 환경 변수 구성을 적절히 정의한다.
+- {{< glossary_tooltip text="매니페스트" term_id="manifest" >}}를 통해 시크릿을 구성하고, 
+  이 안에 비밀 데이터가 base64로 인코딩된 경우, 
+  이 파일을 공유하거나 소스 저장소에 올리면 
+  해당 매니페스트를 읽을 수 있는 모든 사람이 이 비밀 정보를 볼 수 있음에 주의한다. 
+  base64 인코딩은 암호화 수단이 _아니기 때문에_, 평문과 마찬가지로 기밀성을 제공하지 않는다.
+- 시크릿 API와 통신하는 애플리케이션을 배포할 때, 
+  [RBAC](/docs/reference/access-authn-authz/rbac/)과 같은 
+  [인증 정책](/ko/docs/reference/access-authn-authz/authorization/)을 사용하여 
+  접근을 제한해야 한다.
+- 쿠버네티스 API에서, 네임스페이스 내 시크릿에 대한 `watch` 와 `list` 요청은 매우 강력한 기능이다. 
+  시크릿 목록 조회를 가능하게 하면 
+  클라이언트가 해당 네임스페이스에 있는 모든 시크릿의 값을 검사할 수도 있기 때문에 
+  가능한 한 이러한 접근 권한을 주는 것은 피해야 한다.
 
-### 위험
+### 클러스터 관리자를 위한 보안 추천 사항
 
- - API 서버에서 시크릿 데이터는 {{< glossary_tooltip term_id="etcd" >}}에 저장된다.
-   따라서,
-   - 관리자는 클러스터 데이터에 대해 저장 시 암호화를 활성화해야 한다. (v1.13 이상 필요)
-   - 관리자는 etcd에 대한 접근을 admin 사용자로 제한해야 한다.
-   - 관리자는 더 이상 사용하지 않을 때 etcd에서 사용하는 디스크를 지우거나 폐기할 수 있다.
-   - 클러스터에서 etcd를 실행하는 경우, 관리자는 etcd peer-to-peer 통신에 대해
-     SSL/TLS를 사용해야 한다.
- - base64로 인코딩된 시크릿 데이터가 있는 매니페스트(JSON 또는 YAML)
-   파일을 통해 시크릿을 구성하는 경우, 이 파일을 공유하거나 소스 리포지터리에
-   체크인하면 시크릿이 손상된다. Base64 인코딩은 암호화 방법이 _아니며_
-   일반 텍스트와 동일한 것으로 간주된다.
- - 실수로 기록하거나 신뢰할 수 없는 상대방에게 전송하지 않는 것과 같이,
-   애플리케이션은 볼륨에서 읽은 후에 시크릿 값을 보호해야 한다.
- - 시크릿을 사용하는 파드를 생성할 수 있는 사용자는 해당 시크릿의 값도 볼 수 있다.
-   API 서버 정책이 해당 사용자가 시크릿을 읽을 수 있도록 허용하지 않더라도, 사용자는
-   시크릿을 노출하는 파드를 실행할 수 있다.
+{{< caution >}}
+시크릿을 사용하는 파드를 생성할 수 있는 사용자는 해당 시크릿의 값을 볼 수도 있다. 
+클러스터 정책에서 사용자가 직접 시크릿을 조회하는 것을 금지했더라도, 
+동일한 사용자가 시크릿을 노출하는 파드에 접근 권한을 가질 수 있다.
+{{< /caution >}}
+
+- (쿠버네티스 API를 사용하여) 클러스터의 모든 시크릿을 감시(`watch`) 또는 나열(`list`)하는 권한을 제한하여, 
+  가장 특권이 있는 시스템 레벨의 컴포넌트에만 이 동작을 허용한다.
+- 시크릿 API와 통신하는 애플리케이션을 배포할 때, 
+  [RBAC](/docs/reference/access-authn-authz/rbac/)과 같은 
+  [인증 정책](/ko/docs/reference/access-authn-authz/authorization/)을 사용하여 
+  접근을 제한해야 한다.
+- API 서버에서, (시크릿을 포함한) 오브젝트는 
+  {{< glossary_tooltip term_id="etcd" >}}에 저장된다. 그러므로
+  - 클러스터 관리자만 etcd에 접근할 수 있도록 한다(읽기 전용 접근 포함)
+  - 시크릿 오브젝트에 대해 
+    [저장된 데이터 암호화(encryption at rest)](/docs/tasks/administer-cluster/encrypt-data/)를 활성화하여, 
+    이러한 시크릿의 데이터가 {{< glossary_tooltip term_id="etcd" >}}에 암호화되지 않은 상태로 저장되지 않도록 한다.
+  - etcd가 동작하던 장기 저장 장치를 더 이상 사용하지 않는다면 
+    초기화 또는 파쇄하는 것을 검토한다.
+  - etcd 인스턴스가 여러 개라면, 
+    etcd 피어 간 통신에 SSL/TLS를 사용하고 있는지 확인한다.
 
 ## {{% heading "whatsnext" %}}
 
-- [`kubectl` 을 사용한 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl/)하는 방법 배우기
-- [구성 파일을 사용한 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-config-file/)하는 방법 배우기
-- [kustomize를 사용한 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/)하는 방법 배우기
+- [`kubectl` 을 사용하여 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl/)하는 방법 배우기
+- [구성 파일을 사용하여 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-config-file/)하는 방법 배우기
+- [kustomize를 사용하여 시크릿 관리](/ko/docs/tasks/configmap-secret/managing-secret-using-kustomize/)하는 방법 배우기
 - [API 레퍼런스](/docs/reference/kubernetes-api/config-and-storage-resources/secret-v1/)에서 `Secret`에 대해 읽기
diff --git a/content/ko/docs/concepts/containers/container-lifecycle-hooks.md b/content/ko/docs/concepts/containers/container-lifecycle-hooks.md
index d9a11370249..9354e1dac66 100644
--- a/content/ko/docs/concepts/containers/container-lifecycle-hooks.md
+++ b/content/ko/docs/concepts/containers/container-lifecycle-hooks.md
@@ -99,28 +99,28 @@ TERM 신호를 보내기 전에 실행을 완료해야 한다. 실행 중에 `Pr
 예를 들어, 훅을 전송하는 도중에 kubelet이 재시작된다면,
 Kubelet이 구동된 후에 해당 훅은 재전송될 것이다.
 
-### 디버깅 훅 핸들러
+### 훅 핸들러 디버깅
 
 훅 핸들러의 로그는 파드 이벤트로 노출되지 않는다.
 만약 핸들러가 어떠한 이유로 실패하면, 핸들러는 이벤트를 방송한다.
 `PostStart`의 경우, 이것은 `FailedPostStartHook` 이벤트이며,
 `PreStop`의 경우, 이것은 `FailedPreStopHook` 이벤트이다.
-이 이벤트는 `kubectl describe pod <파드_이름>`를 실행하면 볼 수 있다.
-다음은 이 커맨드 실행을 통한 이벤트 출력의 몇 가지 예다.
+실패한 `FailedPreStopHook` 이벤트를 직접 생성하려면, [lifecycle-events.yaml](https://raw.githubusercontent.com/kubernetes/website/main/content/en/examples/pods/lifecycle-events.yaml) 파일을 수정하여 postStart 명령을 "badcommand"로 변경하고 이를 적용한다.
+다음은 `kubectl describe pod lifecycle-demo` 를 실행하여 볼 수 있는 이벤트 출력 예시이다.
 
 ```
 Events:
-  FirstSeen  LastSeen  Count  From                                                   SubObjectPath          Type      Reason               Message
-  ---------  --------  -----  ----                                                   -------------          --------  ------               -------
-  1m         1m        1      {default-scheduler }                                                          Normal    Scheduled            Successfully assigned test-1730497541-cq1d2 to gke-test-cluster-default-pool-a07e5d30-siqd
-  1m         1m        1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Pulling              pulling image "test:1.0"
-  1m         1m        1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Created              Created container with docker id 5c6a256a2567; Security:[seccomp=unconfined]
-  1m         1m        1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Pulled               Successfully pulled image "test:1.0"
-  1m         1m        1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Started              Started container with docker id 5c6a256a2567
-  38s        38s       1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Killing              Killing container with docker id 5c6a256a2567: PostStart handler: Error executing in Docker Container: 1
-  37s        37s       1      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Normal    Killing              Killing container with docker id 8df9fdfd7054: PostStart handler: Error executing in Docker Container: 1
-  38s        37s       2      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}                         Warning   FailedSync           Error syncing pod, skipping: failed to "StartContainer" for "main" with RunContainerError: "PostStart handler: Error executing in Docker Container: 1"
-  1m         22s       2      {kubelet gke-test-cluster-default-pool-a07e5d30-siqd}  spec.containers{main}  Warning   FailedPostStartHook
+  Type     Reason               Age              From               Message
+  ----     ------               ----             ----               -------
+  Normal   Scheduled            7s               default-scheduler  Successfully assigned default/lifecycle-demo to ip-XXX-XXX-XX-XX.us-east-2...
+  Normal   Pulled               6s               kubelet            Successfully pulled image "nginx" in 229.604315ms
+  Normal   Pulling              4s (x2 over 6s)  kubelet            Pulling image "nginx"
+  Normal   Created              4s (x2 over 5s)  kubelet            Created container lifecycle-demo-container
+  Normal   Started              4s (x2 over 5s)  kubelet            Started container lifecycle-demo-container
+  Warning  FailedPostStartHook  4s (x2 over 5s)  kubelet            Exec lifecycle hook ([badcommand]) for Container "lifecycle-demo-container" in Pod "lifecycle-demo_default(30229739-9651-4e5a-9a32-a8f1688862db)" failed - error: command 'badcommand' exited with 126: , message: "OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: \"badcommand\": executable file not found in $PATH: unknown\r\n"
+  Normal   Killing              4s (x2 over 5s)  kubelet            FailedPostStartHook
+  Normal   Pulled               4s               kubelet            Successfully pulled image "nginx" in 215.66395ms
+  Warning  BackOff              2s (x2 over 3s)  kubelet            Back-off restarting failed container
 ```
 
 
diff --git a/content/ko/docs/concepts/containers/images.md b/content/ko/docs/concepts/containers/images.md
index d0667199210..5ccd3e7e538 100644
--- a/content/ko/docs/concepts/containers/images.md
+++ b/content/ko/docs/concepts/containers/images.md
@@ -29,8 +29,7 @@ weight: 10
 
 레지스트리 호스트 이름을 지정하지 않으면, 쿠버네티스는 도커 퍼블릭 레지스트리를 의미한다고 가정한다.
 
-이미지 이름 부분 다음에 _tag_ 를 추가할 수 있다(`docker` 와 `podman`
-등의 명령과 함께 사용).
+이미지 이름 부분 다음에 _tag_ 를 추가할 수 있다(`docker` 또는 `podman` 과 같은 명령을 사용할 때와 동일한 방식으로).
 태그를 사용하면 동일한 시리즈 이미지의 다른 버전을 식별할 수 있다.
 
 이미지 태그는 소문자와 대문자, 숫자, 밑줄(`_`),
@@ -91,7 +90,7 @@ weight: 10
 `<image-name>:<tag>`를 `<image-name>@<digest>`로 교체한다.
 (예를 들어, `image@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2`).
 
-이미지 태그를 사용하는 경우, 이미지 레지스트리에서 한 이미지를 나타내는 태그에 코드를 변경하게 되면, 기존 코드와 신규 코드를 구동하는 파드가 섞이게 되고 만다. 이미지 다이제스트를 통해 이미지의 특정 버전을 유일하게 식별할 수 있기 때문에, 쿠버네티스는 매번 해당 이미지 이름과 다이제스트가 명시된 컨테이너를 기동해서 같은 코드를 구동한다. 이미지를 명시하는 것은 구동할 코드를 고정시켜서 레지스트리에서의 변경으로 인해 버전이 섞이는 일이 발생하지 않도록 해준다.
+이미지 태그를 사용하는 경우, 이미지 레지스트리에서 한 이미지를 나타내는 태그에 코드를 변경하게 되면, 기존 코드와 신규 코드를 구동하는 파드가 섞이게 되고 만다. 이미지 다이제스트를 통해 이미지의 특정 버전을 유일하게 식별할 수 있기 때문에, 쿠버네티스는 매번 해당 이미지 이름과 다이제스트가 명시된 컨테이너를 기동해서 같은 코드를 구동한다. 이미지를 다이제스트로 명시하면 구동할 코드를 고정시켜서 레지스트리에서의 변경으로 인해 버전이 섞이는 일이 발생하지 않도록 해 준다.
 
 파드(및 파드 템플릿)가 생성될 때 구동 중인 워크로드가 
 태그가 아닌 이미지 다이제스트를 통해 정의되도록 조작해주는
@@ -175,95 +174,11 @@ kubelet이 컨테이너 런타임을 사용하여 파드의 컨테이너 생성
 
 ### 프라이빗 레지스트리에 인증하도록 노드 구성
 
-노드에서 도커를 실행하는 경우, 프라이빗 컨테이너 레지스트리를 인증하도록
-도커 컨테이너 런타임을 구성할 수 있다.
+크리덴셜 설정에 대한 상세 지침은 사용하는 컨테이너 런타임 및 레지스트리에 따라 다르다. 가장 정확한 정보는 솔루션 설명서를 참조해야 한다.
 
-이 방법은 노드 구성을 제어할 수 있는 경우에 적합하다.
-
-{{< note >}}
-기본 쿠버네티스는 도커 구성에서 `auths` 와 `HttpHeaders` 섹션만 지원한다.
-도커 자격 증명 도우미(`credHelpers` 또는 `credsStore`)는 지원되지 않는다.
-{{< /note >}}
-
-
-도커는 프라이빗 레지스트리를 위한 키를 `$HOME/.dockercfg` 또는 `$HOME/.docker/config.json` 파일에 저장한다. 만약 동일한 파일을
-아래의 검색 경로 리스트에 넣으면, kubelet은 이미지를 풀 할 때 해당 파일을 자격 증명 공급자로 사용한다.
-
-* `{--root-dir:-/var/lib/kubelet}/config.json`
-* `{cwd of kubelet}/config.json`
-* `${HOME}/.docker/config.json`
-* `/.docker/config.json`
-* `{--root-dir:-/var/lib/kubelet}/.dockercfg`
-* `{cwd of kubelet}/.dockercfg`
-* `${HOME}/.dockercfg`
-* `/.dockercfg`
-
-{{< note >}}
-kubelet 프로세스의 환경 변수에서 `HOME=/root` 를 명시적으로 설정해야 할 수 있다.
-{{< /note >}}
-
-프라이빗 레지스트리를 사용도록 사용자의 노드를 구성하기 위해서 권장되는 단계는 다음과 같다. 이
-예제의 경우, 사용자의 데스크탑/랩탑에서 아래 내용을 실행한다.
-
-   1. 사용하고 싶은 각 자격 증명 세트에 대해서 `docker login [서버]`를 실행한다. 이것은 여러분 PC의 `$HOME/.docker/config.json`를 업데이트한다.
-   1. 편집기에서 `$HOME/.docker/config.json`를 보고 사용하고 싶은 자격 증명만 포함하고 있는지 확인한다.
-   1. 노드의 리스트를 구한다. 예를 들면 다음과 같다.
-      - 이름을 원하는 경우: `nodes=$( kubectl get nodes -o jsonpath='{range.items[*].metadata}{.name} {end}' )`
-      - IP를 원하는 경우: `nodes=$( kubectl get nodes -o jsonpath='{range .items[*].status.addresses[?(@.type=="ExternalIP")]}{.address} {end}' )`
-   1. 로컬의 `.docker/config.json`를 위의 검색 경로 리스트 중 하나에 복사한다.
-      - 이를 테스트하기 위한 예: `for n in $nodes; do scp ~/.docker/config.json root@"$n":/var/lib/kubelet/config.json; done`
-
-{{< note >}}
-프로덕션 클러스터의 경우, 이 설정을 필요한 모든 노드에 적용할 수 있도록
-구성 관리 도구를 사용한다.
-{{< /note >}}
-
-프라이빗 이미지를 사용하는 파드를 생성하여 검증한다. 예를 들면 다음과 같다.
-
-```shell
-kubectl apply -f - <<EOF
-apiVersion: v1
-kind: Pod
-metadata:
-  name: private-image-test-1
-spec:
-  containers:
-    - name: uses-private-image
-      image: $PRIVATE_IMAGE_NAME
-      imagePullPolicy: Always
-      command: [ "echo", "SUCCESS" ]
-EOF
-```
-```
-pod/private-image-test-1 created
-```
-
-만약 모든 것이 잘 작동한다면, 잠시 후에, 다음을 실행할 수 있다.
-
-```shell
-kubectl logs private-image-test-1
-```
-그리고 커맨드 출력을 본다.
-```
-SUCCESS
-```
-
-명령이 실패한 것으로 의심되는 경우 다음을 실행할 수 있다.
-```shell
-kubectl describe pods/private-image-test-1 | grep 'Failed'
-```
-실패하는 케이스에는 출력이 다음과 유사하다.
-```
-  Fri, 26 Jun 2015 15:36:13 -0700    Fri, 26 Jun 2015 15:39:13 -0700    19    {kubelet node-i2hq}    spec.containers{uses-private-image}    failed        Failed to pull image "user/privaterepo:v1": Error: image user/privaterepo:v1 not found
-```
-
-
-클러스터의 모든 노드가 반드시 동일한 `.docker/config.json`를 가져야 한다. 그렇지 않으면, 파드가
-일부 노드에서만 실행되고 다른 노드에서는 실패할 것이다. 예를 들어, 노드 오토스케일링을 사용한다면, 각 인스턴스
-템플릿은 `.docker/config.json`을 포함하거나 그것을 포함한 드라이브를 마운트해야 한다.
-
-프라이빗 레지스트리 키가 `.docker/config.json`에 추가되고 나면 모든 파드는
-프라이빗 레지스트리의 이미지에 읽기 접근 권한을 가지게 될 것이다.
+프라이빗 컨테이너 이미지 레지스트리 구성 예시를 보려면, 
+[프라이빗 레지스트리에서 이미지 가져오기](/ko/docs/tasks/configure-pod-container/pull-image-private-registry/)를 참조한다. 
+해당 예시는 도커 허브에서 제공하는 프라이빗 레지스트리를 사용한다.
 
 ### config.json 파일 해석 {#config-json}
 
@@ -332,6 +247,7 @@ kubelet은 인식된 모든 크리덴셜을 순차적으로 이용하여 이미
 이미지를 풀 해야 한다고 명시하면,
 kubelet은 크리덴셜을 순차적으로 사용하여 풀을 시도한다.
 
+
 ### 미리 내려받은 이미지 {#pre-pulled-images}
 
 {{< note >}}
@@ -362,6 +278,8 @@ kubelet은 크리덴셜을 순차적으로 사용하여 풀을 시도한다.
 
 #### 도커 구성으로 시크릿 생성
 
+레지스트리에 인증하기 위해서는, 레지스트리 호스트네임 뿐만 아니라, 
+사용자 이름, 비밀번호 및 클라이언트 이메일 주소를 알아야 한다.
 대문자 값을 적절히 대체하여, 다음 커맨드를 실행한다.
 
 ```shell
@@ -426,16 +344,15 @@ imagePullSecrets을 셋팅하여 자동화할 수 있다.
 일반적인 유스케이스와 제안된 솔루션이다.
 
 1. 비소유 이미지(예를 들어, 오픈소스)만 실행하는 클러스터의 경우. 이미지를 숨길 필요가 없다.
-   - 도커 허브의 퍼블릭 이미지를 사용한다.
+   - 퍼블릭 레지스트리의 퍼블릭 이미지를 사용한다.
      - 설정이 필요 없다.
      - 일부 클라우드 제공자는 퍼블릭 이미지를 자동으로 캐시하거나 미러링하므로, 가용성이 향상되고 이미지를 가져오는 시간이 줄어든다.
 1. 모든 클러스터 사용자에게는 보이지만, 회사 외부에는 숨겨야하는 일부 독점 이미지를
    실행하는 클러스터의 경우.
-   - 호스트 된 프라이빗 [도커 레지스트리](https://docs.docker.com/registry/)를 사용한다.
-     - 그것은 [도커 허브](https://hub.docker.com/signup)에 호스트 되어 있거나, 다른 곳에 되어 있을 것이다.
-     - 위에 설명된 바와 같이 수동으로 .docker/config.json을 구성한다.
+   - 호스트된 프라이빗 레지스트리를 사용한다.
+     - 프라이빗 레지스트리에 접근해야 하는 노드에 수동 설정이 필요할 수 있다
    - 또는, 방화벽 뒤에서 읽기 접근 권한을 가진 내부 프라이빗 레지스트리를 실행한다.
-     - 쿠버네티스 구성은 필요 없다.
+     - 쿠버네티스 구성은 필요하지 않다.
    - 이미지 접근을 제어하는 호스팅된 컨테이너 이미지 레지스트리 서비스를 사용한다.
      - 그것은 수동 노드 구성에 비해서 클러스터 오토스케일링과 더 잘 동작할 것이다.
    - 또는, 노드의 구성 변경이 불편한 클러스터에서는, `imagePullSecrets`를 사용한다.
@@ -450,8 +367,6 @@ imagePullSecrets을 셋팅하여 자동화할 수 있다.
 
 
 다중 레지스트리에 접근해야 하는 경우, 각 레지스트리에 대해 하나의 시크릿을 생성할 수 있다.
-Kubelet은 모든 `imagePullSecrets` 파일을 하나의 가상 `.docker/config.json` 파일로 병합한다.
-
 
 ## {{% heading "whatsnext" %}}
 
diff --git a/content/ko/docs/concepts/containers/runtime-class.md b/content/ko/docs/concepts/containers/runtime-class.md
index ffcda1b2b80..eeab1e06800 100644
--- a/content/ko/docs/concepts/containers/runtime-class.md
+++ b/content/ko/docs/concepts/containers/runtime-class.md
@@ -16,9 +16,6 @@ weight: 20
 런타임클래스는 컨테이너 런타임을 구성을 선택하는 기능이다. 컨테이너 런타임
 구성은 파드의 컨테이너를 실행하는 데 사용된다.
 
-
-
-
 <!-- body -->
 
 ## 동기
@@ -62,12 +59,15 @@ weight: 20
 (`handler`)로 단 2개의 중요 필드만 가지고 있다. 오브젝트 정의는 다음과 같은 형태이다.
 
 ```yaml
-apiVersion: node.k8s.io/v1  # 런타임클래스는 node.k8s.io API 그룹에 정의되어 있음
+# 런타임클래스는 node.k8s.io API 그룹에 정의되어 있음
+apiVersion: node.k8s.io/v1
 kind: RuntimeClass
 metadata:
-  name: myclass  # 런타임클래스는 해당 이름을 통해서 참조됨
+  # 런타임클래스 참조에 사용될 이름
   # 런타임클래스는 네임스페이스가 없는 리소스임
-handler: myconfiguration  # 상응하는 CRI 설정의 이름임
+  name: myclass
+# 상응하는 CRI 설정의 이름
+handler: myconfiguration
 ```
 
 런타임클래스 오브젝트의 이름은 유효한
@@ -81,8 +81,8 @@ handler: myconfiguration  # 상응하는 CRI 설정의 이름임
 
 ## 사용
 
-클러스터를 위해서 런타임클래스를 설정하고 나면, 그것을 사용하는 것은 매우 간단하다. 파드 스펙에
-`runtimeClassName`를 명시한다. 예를 들면 다음과 같다.
+클러스터에 런타임클래스를 설정하고 나면, 
+다음과 같이 파드 스펙에 `runtimeClassName`를 명시하여 해당 런타임클래스를 사용할 수 있다.
 
 ```yaml
 apiVersion: v1
@@ -97,7 +97,7 @@ spec:
 이것은 kubelet이 지명된 런타임클래스를 사용하여 해당 파드를 실행하도록 지시할 것이다.
 만약 지명된 런타임클래스가 없거나, CRI가 상응하는 핸들러를 실행할 수 없는 경우, 파드는
 `Failed` 터미널 [단계](/ko/docs/concepts/workloads/pods/pod-lifecycle/#파드의-단계-phase)로 들어간다.
-에러 메시지에 상응하는 [이벤트](/docs/tasks/debug-application-cluster/debug-application-introspection/)를
+에러 메시지에 상응하는 [이벤트](/ko/docs/tasks/debug/debug-application/debug-running-pod/)를
 확인한다.
 
 만약 명시된 `runtimeClassName`가 없다면, 기본 런타임 핸들러가 사용되며,
@@ -107,16 +107,6 @@ spec:
 
 CRI 런타임 설치에 대한 자세한 내용은 [CRI 설치](/ko/docs/setup/production-environment/container-runtimes/)를 확인한다.
 
-#### dockershim
-
-{{< feature-state for_k8s_version="v1.20" state="deprecated" >}}
-
-dockershim은 쿠버네티스 v1.20에서 사용 중단되었으며, v1.24에서 제거될 것이다. 상세 사항은 
-[dockershim 사용 중단](/blog/2020/12/08/kubernetes-1-20-release-announcement/#dockershim-deprecation)을 참고한다.
-
-dockershim을 사용하는 경우 RuntimeClass는 런타임 핸들러를 `docker`로 고정한다.
-dockershim은 사용자 정의 런타임 핸들러를 지원하지 않는다.
-
 #### {{< glossary_tooltip term_id="containerd" >}}
 
 런타임 핸들러는 containerd의 구성 파일인 `/etc/containerd/config.toml` 통해 설정한다.
@@ -126,8 +116,8 @@ dockershim은 사용자 정의 런타임 핸들러를 지원하지 않는다.
 [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.${HANDLER_NAME}]
 ```
 
-더 자세한 containerd의 구성 문서를 살펴본다.
-https://github.com/containerd/cri/blob/master/docs/config.md
+더 자세한 내용은 containerd의 [구성 문서](https://github.com/containerd/cri/blob/master/docs/config.md)를 
+살펴본다.
 
 #### {{< glossary_tooltip term_id="cri-o" >}}
 
@@ -166,21 +156,17 @@ RuntimeClass에 `scheduling` 필드를 지정하면, 이 RuntimeClass로 실행
 
 ### 파드 오버헤드
 
-{{< feature-state for_k8s_version="v1.18" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 파드 실행과 연관되는 _오버헤드_ 리소스를 지정할 수 있다. 오버헤드를 선언하면
 클러스터(스케줄러 포함)가 파드와 리소스에 대한 결정을 내릴 때 처리를 할 수 있다.
-PodOverhead를 사용하려면, PodOverhead [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)
-를 활성화 시켜야 한다. (기본으로 활성화 되어 있다.)
 
 파드 오버헤드는 런타임 클래스에서 `overhead` 필드를 통해 정의된다. 이 필드를 사용하면,
 해당 런타임 클래스를 사용해서 구동 중인 파드의 오버헤드를 특정할 수 있고 이 오버헤드가
 쿠버네티스 내에서 처리된다는 것을 보장할 수 있다.
 
-
 ## {{% heading "whatsnext" %}}
 
-
 - [런타임클래스 설계](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/585-runtime-class/README.md)
 - [런타임클래스 스케줄링 설계](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/585-runtime-class/README.md#runtimeclass-scheduling)
 - [파드 오버헤드](/ko/docs/concepts/scheduling-eviction/pod-overhead/) 개념에 대해 읽기
diff --git a/content/ko/docs/concepts/extend-kubernetes/_index.md b/content/ko/docs/concepts/extend-kubernetes/_index.md
index 42a6561bc6e..a00bc89cc43 100644
--- a/content/ko/docs/concepts/extend-kubernetes/_index.md
+++ b/content/ko/docs/concepts/extend-kubernetes/_index.md
@@ -39,13 +39,14 @@ no_list: true
 *구성 파일* 및 *플래그* 는 온라인 문서의 레퍼런스 섹션에 각 바이너리 별로 문서화되어 있다.
 
 * [kubelet](/docs/reference/command-line-tools-reference/kubelet/)
+* [kube-proxy](/docs/reference/command-line-tools-reference/kube-proxy/)
 * [kube-apiserver](/docs/reference/command-line-tools-reference/kube-apiserver/)
 * [kube-controller-manager](/docs/reference/command-line-tools-reference/kube-controller-manager/)
 * [kube-scheduler](/docs/reference/command-line-tools-reference/kube-scheduler/).
 
 호스팅된 쿠버네티스 서비스 또는 매니지드 설치 환경의 배포판에서 플래그 및 구성 파일을 항상 변경할 수 있는 것은 아니다. 변경 가능한 경우 일반적으로 클러스터 관리자만 변경할 수 있다. 또한 향후 쿠버네티스 버전에서 변경될 수 있으며, 이를 설정하려면 프로세스를 다시 시작해야 할 수도 있다. 이러한 이유로 다른 옵션이 없는 경우에만 사용해야 한다.
 
-[리소스쿼터](/ko/docs/concepts/policy/resource-quotas/), [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/policy/pod-security-policy/), [네트워크폴리시](/ko/docs/concepts/services-networking/network-policies/) 및 역할 기반 접근 제어([RBAC](/docs/reference/access-authn-authz/rbac/))와 같은 *빌트인 정책 API(built-in Policy API)* 는 기본적으로 제공되는 쿠버네티스 API이다. API는 일반적으로 호스팅된 쿠버네티스 서비스 및 매니지드 쿠버네티스 설치 환경과 함께 사용된다. 그것들은 선언적이며 파드와 같은 다른 쿠버네티스 리소스와 동일한 규칙을 사용하므로, 새로운 클러스터 구성을 반복할 수 있고 애플리케이션과 동일한 방식으로 관리할 수 있다. 또한, 이들 API가 안정적인 경우, 다른 쿠버네티스 API와 같이 [정의된 지원 정책](/docs/reference/using-api/deprecation-policy/)을 사용할 수 있다. 이러한 이유로 인해 *구성 파일* 과 *플래그* 보다 선호된다.
+[리소스쿼터](/ko/docs/concepts/policy/resource-quotas/), [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/security/pod-security-policy/), [네트워크폴리시](/ko/docs/concepts/services-networking/network-policies/) 및 역할 기반 접근 제어([RBAC](/docs/reference/access-authn-authz/rbac/))와 같은 *빌트인 정책 API(built-in Policy API)* 는 기본적으로 제공되는 쿠버네티스 API이다. API는 일반적으로 호스팅된 쿠버네티스 서비스 및 매니지드 쿠버네티스 설치 환경과 함께 사용된다. 그것들은 선언적이며 파드와 같은 다른 쿠버네티스 리소스와 동일한 규칙을 사용하므로, 새로운 클러스터 구성을 반복할 수 있고 애플리케이션과 동일한 방식으로 관리할 수 있다. 또한, 이들 API가 안정적인 경우, 다른 쿠버네티스 API와 같이 [정의된 지원 정책](/docs/reference/using-api/deprecation-policy/)을 사용할 수 있다. 이러한 이유로 인해 *구성 파일* 과 *플래그* 보다 선호된다.
 
 ## 익스텐션
 
diff --git a/content/ko/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md b/content/ko/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
index 7658464ec0a..5e8d7b2734f 100644
--- a/content/ko/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
+++ b/content/ko/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
@@ -13,7 +13,7 @@ weight: 10
 애그리게이션 레이어는 코어 쿠버네티스 API가 제공하는 기능 이외에 더 많은 기능을 제공할 수 있도록 추가 API를 더해 쿠버네티스를 확장할 수 있게 해준다.
 추가 API는 [메트릭 서버](https://github.com/kubernetes-sigs/metrics-server)와 같이 미리 만들어진 솔루션이거나 사용자가 직접 개발한 API일 수 있다.
 
-애그리게이션 레이어는 [사용자 정의 리소스](/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources/)와는 다르며, 애그리게이션 레이어는 {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}} 가 새로운 종류의 오브젝트를 인식하도록 하는 방법이다.
+애그리게이션 레이어는 {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}}가 새로운 종류의 오브젝트를 인식하도록 하는 방법인 [사용자 정의 리소스](/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources/)와는 다르다.
 
 <!-- body -->
 
@@ -28,7 +28,7 @@ APIService를 구현하는 가장 일반적인 방법은 클러스터 내에 실
 Extension-apiserver는 kube-apiserver로 오가는 연결의 레이턴시가 낮아야 한다.
 kube-apiserver로 부터의 디스커버리 요청은 왕복 레이턴시가 5초 이내여야 한다.
 
-extention API server가 레이턴시 요구 사항을 달성할 수 없는 경우 이를 충족할 수 있도록 변경하는 것을 고려한다.
+Extension API server가 레이턴시 요구 사항을 달성할 수 없는 경우 이를 충족할 수 있도록 변경하는 것을 고려한다.
 
 ## {{% heading "whatsnext" %}}
 
diff --git a/content/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources.md b/content/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources.md
index 2e5bc89cd98..ef87cd1ec6a 100644
--- a/content/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources.md
+++ b/content/ko/docs/concepts/extend-kubernetes/api-extension/custom-resources.md
@@ -26,7 +26,7 @@ weight: 10
 동적 등록을 통해 실행 중인 클러스터에서 커스텀 리소스가 나타나거나 사라질 수 있으며
 클러스터 관리자는 클러스터 자체와 독립적으로 커스텀 리소스를 업데이트 할 수 있다.
 커스텀 리소스가 설치되면 사용자는 *파드* 와 같은 빌트인 리소스와 마찬가지로
-[kubectl](/ko/docs/reference/kubectl/overview/)을 사용하여 해당 오브젝트를 생성하고
+[kubectl](/ko/docs/reference/kubectl/)을 사용하여 해당 오브젝트를 생성하고
 접근할 수 있다.
 
 ## 커스텀 컨트롤러
diff --git a/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins.md b/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins.md
index 0450864dcd4..0459685034a 100644
--- a/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins.md
+++ b/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins.md
@@ -344,12 +344,11 @@ pluginapi.Device{ID: "25102017", Health: pluginapi.Healthy, Topology:&pluginapi.
 다음은 장치 플러그인 구현의 예이다.
 
 * [AMD GPU 장치 플러그인](https://github.com/RadeonOpenCompute/k8s-device-plugin)
-* 인텔 GPU, FPGA 및 QuickAssist 장치용 [인텔 장치 플러그인](https://github.com/intel/intel-device-plugins-for-kubernetes)
+* 인텔 GPU, FPGA, QAT, VPU, SGX, DSA, DLB 및 IAA 장치용 [인텔 장치 플러그인](https://github.com/intel/intel-device-plugins-for-kubernetes)
 * 하드웨어 지원 가상화를 위한 [KubeVirt 장치 플러그인](https://github.com/kubevirt/kubernetes-device-plugins)
-* [NVIDIA GPU 장치 플러그인](https://github.com/NVIDIA/k8s-device-plugin)
-    * GPU를 지원하는 Docker 컨테이너를 실행할 수 있는 [nvidia-docker](https://github.com/NVIDIA/nvidia-docker) 2.0이 필요하다.
 * [컨테이너에 최적화된 OS를 위한 NVIDIA GPU 장치 플러그인](https://github.com/GoogleCloudPlatform/container-engine-accelerators/tree/master/cmd/nvidia_gpu)
 * [RDMA 장치 플러그인](https://github.com/hustcat/k8s-rdma-device-plugin)
+* [SocketCAN 장치 플러그인](https://github.com/collabora/k8s-socketcan)
 * [Solarflare 장치 플러그인](https://github.com/vikaschoudhary16/sfc-device-plugin)
 * [SR-IOV 네트워크 장치 플러그인](https://github.com/intel/sriov-network-device-plugin)
 * Xilinx FPGA 장치용 [Xilinx FPGA 장치 플러그인](https://github.com/Xilinx/FPGA_as_a_Service/tree/master/k8s-fpga-device-plugin)
diff --git a/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins.md b/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins.md
index ce53f997c82..09f448d83a5 100644
--- a/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins.md
+++ b/content/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins.md
@@ -11,17 +11,20 @@ weight: 10
 
 <!-- overview -->
 
-쿠버네티스의 네트워크 플러그인은 몇 가지 종류가 있다.
+쿠버네티스 {{< skew currentVersion >}} 버전은 클러스터 네트워킹을 위해 [컨테이너 네트워크 인터페이스](https://github.com/containernetworking/cni)(CNI) 플러그인을 지원한다. 
+클러스터와 호환되며 사용자의 요구 사항을 충족하는 CNI 플러그인을 사용해야 한다. 더 넓은 쿠버네티스 생태계에 다양한 플러그인이 존재한다(오픈소스 및 클로즈드 소스).
 
-* CNI 플러그인: 상호 운용성을 위해 설계된 [컨테이너 네트워크 인터페이스](https://github.com/containernetworking/cni)(CNI) 명세를 준수한다.
-* 쿠버네티스는 CNI 명세의 [v0.4.0](https://github.com/containernetworking/cni/blob/spec-v0.4.0/SPEC.md) 릴리스를 따른다.
-* Kubenet 플러그인: `bridge` 와 `host-local` CNI 플러그인을 사용하여 기본 `cbr0` 구현한다.
+[v0.4.0](https://github.com/containernetworking/cni/blob/spec-v0.4.0/SPEC.md) 이상의 
+CNI 스펙과 호환되는 CNI 플러그인을 사용해야 한다. 
+쿠버네티스 플러그인은 
+CNI 스펙 [v1.0.0](https://github.com/containernetworking/cni/blob/spec-v1.0.0/SPEC.md)과 호환되는 
+플러그인의 사용을 권장한다(플러그인은 여러 스펙 버전과 호환 가능).
 
 <!-- body -->
 
 ## 설치
 
-kubelet에는 단일 기본 네트워크 플러그인과 전체 클러스터에 공통된 기본 네트워크가 있다. 플러그인은 시작할 때 플러그인을 검색하고, 찾은 것을 기억하며, 파드 라이프사이클에서 적절한 시간에 선택한 플러그인을 실행한다(CRI는 자체 CNI 플러그인을 관리하므로 도커에만 해당됨). 플러그인 사용 시 명심해야 할 두 가지 Kubelet 커맨드라인 파라미터가 있다.
+CNI 플러그인은 [쿠버네티스 네트워크 모델](/ko/docs/concepts/services-networking/#쿠버네티스-네트워크-모델)을 구현해야 한다. CRI는 자체 CNI 플러그인을 관리한다. 플러그인 사용 시 명심해야 할 두 가지 Kubelet 커맨드라인 파라미터가 있다.
 
 * `cni-bin-dir`: Kubelet은 시작할 때 플러그인에 대해 이 디렉터리를 검사한다.
 * `network-plugin`: `cni-bin-dir` 에서 사용할 네트워크 플러그인. 플러그인 디렉터리에서 검색한 플러그인이 보고된 이름과 일치해야 한다. CNI 플러그인의 경우, 이는 "cni"이다.
@@ -129,35 +132,8 @@ metadata:
 ...
 ```
 
-### kubenet
-
-Kubenet은 리눅스에서만 사용할 수 있는 매우 기본적이고, 간단한 네트워크 플러그인이다. 그 자체로는, 크로스-노드 네트워킹 또는 네트워크 정책과 같은 고급 기능을 구현하지 않는다. 일반적으로 노드 간, 또는 단일 노드 환경에서 통신을 위한 라우팅 규칙을 설정하는 클라우드 제공자와 함께 사용된다.
-
-Kubenet은 `cbr0` 라는 리눅스 브리지를 만들고 각 쌍의 호스트 끝이 `cbr0` 에 연결된 각 파드에 대한 veth 쌍을 만든다. 쌍의 파드 끝에는 구성 또는 컨트롤러 관리자를 통해 노드에 할당된 범위 내에서 할당된 IP 주소가 지정된다. `cbr0` 에는 호스트에서 활성화된 일반 인터페이스의 가장 작은 MTU와 일치하는 MTU가 지정된다.
-
-플러그인에는 몇 가지 사항이 필요하다.
-
-* 표준 CNI `bridge`, `lo` 및 `host-local` 플러그인은 최소 0.2.0 버전이 필요하다. Kubenet은 먼저 `/opt/cni/bin` 에서 검색한다. 추가 검색 경로를 제공하려면 `cni-bin-dir` 을 지정한다. 처음 검색된 디렉터리가 적용된다.
-* 플러그인을 활성화하려면 Kubelet을 `--network-plugin=kubenet` 인수와 함께 실행해야 한다.
-* Kubelet은 `--non-masquerade-cidr=<clusterCidr>` 인수와 함께 실행하여 이 범위 밖 IP로의 트래픽이 IP 마스커레이드(masquerade)를 사용하도록 해야 한다.
-* `--pod-cidr` kubelet 커맨드라인 옵션 또는 `--allocate-node-cidrs=true --cluster-cidr=<cidr>` 컨트롤러 관리자 커맨드라인 옵션을 통해 노드에 IP 서브넷을 할당해야 한다.
-
-### MTU 사용자 정의 (kubenet 사용)
-
-최상의 네트워킹 성능을 얻으려면 MTU를 항상 올바르게 구성해야 한다. 네트워크 플러그인은 일반적으로 합리적인 MTU를
-유추하려고 시도하지만, 때로는 로직에 따라 최적의 MTU가 지정되지 않는다. 예를 들어,
-도커 브리지나 다른 인터페이스에 작은 MTU가 지정되어 있으면, kubenet은 현재 해당 MTU를 선택한다. 또는
-IPSEC 캡슐화를 사용하는 경우, MTU를 줄여야 하며, 이 계산은 대부분의
-네트워크 플러그인에서 범위를 벗어난다.
-
-필요한 경우, `network-plugin-mtu` kubelet 옵션을 사용하여 MTU를 명시 적으로 지정할 수 있다. 예를 들어,
-AWS에서 `eth0` MTU는 일반적으로 9001이므로, `--network-plugin-mtu=9001` 을 지정할 수 있다. IPSEC를 사용하는 경우
-캡슐화 오버헤드를 허용하도록 `--network-plugin-mtu=8873` 과 같이 IPSEC을 줄일 수 있다.
-
-이 옵션은 네트워크 플러그인에 제공된다. 현재 **kubenet만 `network-plugin-mtu` 를 지원한다**.
-
 ## 용법 요약
 
 * `--network-plugin=cni` 는 `--cni-bin-dir`(기본값 `/opt/cni/bin`)에 있는 실제 CNI 플러그인 바이너리와 `--cni-conf-dir`(기본값 `/etc/cni/net.d`)에 있는 CNI 플러그인 구성과 함께 `cni` 네트워크 플러그인을 사용하도록 지정한다.
-* `--network-plugin=kubenet` 은 `/opt/cni/bin` 또는 `cni-bin-dir` 에 있는 CNI `bridge`, `lo` 및 `host-local` 플러그인과 함께 `kubenet` 네트워크 플러그인을 사용하도록 지정한다.
-* 현재 kubenet 네트워크 플러그인에서만 사용하는 `--network-plugin-mtu=9001` 은 사용할 MTU를 지정한다.
+
+## {{% heading "whatsnext" %}}
diff --git a/content/ko/docs/concepts/extend-kubernetes/operator.md b/content/ko/docs/concepts/extend-kubernetes/operator.md
index 36b217db9cd..0403a1f1b81 100644
--- a/content/ko/docs/concepts/extend-kubernetes/operator.md
+++ b/content/ko/docs/concepts/extend-kubernetes/operator.md
@@ -111,6 +111,7 @@ kubectl edit SampleDB/example-database # 일부 설정을 수동으로 변경하
 {{% thirdparty-content %}}
 
 * [Charmed Operator Framework](https://juju.is/)
+* [Kopf](https://github.com/nolar/kopf) (Kubernetes Operator Pythonic Framework)
 * [kubebuilder](https://book.kubebuilder.io/) 사용하기
 * [KubeOps](https://buehler.github.io/dotnet-operator-sdk/) (.NET 오퍼레이터 SDK)
 * [KUDO](https://kudo.dev/) (Kubernetes Universal Declarative Operator)
diff --git a/content/ko/docs/concepts/extend-kubernetes/service-catalog.md b/content/ko/docs/concepts/extend-kubernetes/service-catalog.md
index fa3d50aeb65..6d2bd2ee399 100644
--- a/content/ko/docs/concepts/extend-kubernetes/service-catalog.md
+++ b/content/ko/docs/concepts/extend-kubernetes/service-catalog.md
@@ -230,4 +230,3 @@ spec:
 * 만약 당신이 {{< glossary_tooltip text="Helm Charts" term_id="helm-chart" >}}에 익숙하다면, 당신의 쿠버네티스 클러스터에 [Helm을 이용하여 서비스 카탈로그를 설치](/docs/tasks/service-catalog/install-service-catalog-using-helm/)할 수 있다. 다른 방법으로 [SC tool을 이용하여 서비스 카탈로그를 설치](/ko/docs/tasks/service-catalog/install-service-catalog-using-sc/)할 수 있다.
 * [샘플 서비스 브로커](https://github.com/openservicebrokerapi/servicebroker/blob/master/gettingStarted.md#sample-service-brokers) 살펴보기
 * [kubernetes-sigs/service-catalog](https://github.com/kubernetes-sigs/service-catalog) 프로젝트 탐색
-* [svc-cat.io](https://svc-cat.io/docs/) 살펴보기
diff --git a/content/ko/docs/concepts/overview/components.md b/content/ko/docs/concepts/overview/components.md
index 4a93cf9e5cf..c48219e9d7a 100644
--- a/content/ko/docs/concepts/overview/components.md
+++ b/content/ko/docs/concepts/overview/components.md
@@ -28,7 +28,7 @@ card:
 
 컨트롤 플레인 컴포넌트는 클러스터 내 어떠한 머신에서든지 동작할 수 있다. 그러나
 간결성을 위하여, 구성 스크립트는 보통 동일 머신 상에 모든 컨트롤 플레인 컴포넌트를 구동시키고,
-사용자 컨테이너는 해당 머신 상에 동작시키지 않는다. 여러 VM에서
+사용자 컨테이너는 해당 머신 상에 동작시키지 않는다. 여러 머신에서
 실행되는 컨트롤 플레인 설정의 예제를 보려면
 [kubeadm을 사용하여 고가용성 클러스터 만들기](/docs/setup/production-environment/tools/kubeadm/high-availability/)를 확인해본다.
 
@@ -114,7 +114,7 @@ kube-controller-manager와 마찬가지로 cloud-controller-manager는 논리적
 
 ### 컨테이너 리소스 모니터링
 
-[컨테이너 리소스 모니터링](/ko/docs/tasks/debug-application-cluster/resource-usage-monitoring/)은
+[컨테이너 리소스 모니터링](/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)은
 중앙 데이터베이스 내의 컨테이너들에 대한 포괄적인 시계열 매트릭스를 기록하고 그 데이터를 열람하기 위한 UI를 제공해 준다.
 
 ### 클러스터-레벨 로깅
diff --git a/content/ko/docs/concepts/overview/kubernetes-api.md b/content/ko/docs/concepts/overview/kubernetes-api.md
index cc043139c49..0281daaae0f 100644
--- a/content/ko/docs/concepts/overview/kubernetes-api.md
+++ b/content/ko/docs/concepts/overview/kubernetes-api.md
@@ -22,7 +22,7 @@ card:
 쿠버네티스 API를 사용하면 쿠버네티스의 API 오브젝트(예:
 파드(Pod), 네임스페이스(Namespace), 컨피그맵(ConfigMap) 그리고 이벤트(Event))를 질의(query)하고 조작할 수 있다.
 
-대부분의 작업은 [kubectl](/ko/docs/reference/kubectl/overview/)
+대부분의 작업은 [kubectl](/ko/docs/reference/kubectl/)
 커맨드 라인 인터페이스 또는 API를 사용하는
 [kubeadm](/ko/docs/reference/setup-tools/kubeadm/)과
 같은 다른 커맨드 라인 도구를 통해 수행할 수 있다.
@@ -82,18 +82,42 @@ IDL(인터페이스 정의 언어) 파일을 참고한다.
 
 ### OpenAPI V3
 
-{{< feature-state state="alpha"  for_k8s_version="v1.23" >}}
+{{< feature-state state="beta"  for_k8s_version="v1.24" >}}
 
-쿠버네티스 v1.23은 OpenAPI v3 API 발행(publishing)에 대한 초기 지원을 제공한다. 
-이는 알파 기능이며 기본적으로 비활성화되어 있다.
+쿠버네티스 {{< param "version" >}} 버전은 OpenAPI v3 API 발행(publishing)에 대한 베타 지원을 제공한다. 
+이는 베타 기능이며 기본적으로 활성화되어 있다.
 kube-apiserver 구성 요소에 
-`OpenAPIV3` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 이용하여 
-이 알파 기능을 활성화할 수 있다.
+`OpenAPIV3` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 비활성화하여 
+이 베타 기능을 비활성화할 수 있다.
 
-이 기능이 활성화되면, 쿠버네티스 API 서버는 
-통합된(aggregated) OpenAPI v3 스펙을 쿠버네티스 그룹 버전별로 
-`/openapi/v3/apis/<group>/<version>` 엔드포인트에 제공한다. 
-사용할 수 있는 요청 헤더는 아래의 표를 참고한다.
+`/openapi/v3` 디스커버리 엔드포인트는 사용 가능한 모든 
+그룹/버전의 목록을 제공한다. 이 엔드포인트는 JSON 만을 반환한다.
+이러한 그룹/버전은 다음과 같은 형식으로 제공된다.
+```json
+{
+    "paths": {
+        ...
+        "api/v1": {
+            "serverRelativeURL": "/openapi/v3/api/v1?hash=CC0E9BFD992D8C59AEC98A1E2336F899E8318D3CF4C68944C3DEC640AF5AB52D864AC50DAA8D145B3494F75FA3CFF939FCBDDA431DAD3CA79738B297795818CF"
+        },
+        "apis/admissionregistration.k8s.io/v1": {
+            "serverRelativeURL": "/openapi/v3/apis/admissionregistration.k8s.io/v1?hash=E19CC93A116982CE5422FC42B590A8AFAD92CDE9AE4D59B5CAAD568F083AD07946E6CB5817531680BCE6E215C16973CD39003B0425F3477CFD854E89A9DB6597"
+        },
+        ...
+}
+```
+
+위의 상대 URL은 변경 불가능한(immutable) OpenAPI 상세를 가리키고 있으며, 
+이는 클라이언트에서의 캐싱을 향상시키기 위함이다. 
+같은 목적을 위해 API 서버는 적절한 HTTP 캐싱 헤더를 
+설정한다(`Expires`를 1년 뒤로, `Cache-Control`을 `immutable`). 
+사용 중단된 URL이 사용되면, API 서버는 최신 URL로의 리다이렉트를 반환한다.
+
+쿠버네티스 API 서버는 
+쿠버네티스 그룹 버전에 따른 OpenAPI v3 스펙을 
+`/openapi/v3/apis/<group>/<version>?hash=<hash>` 엔드포인트에 게시한다.
+
+사용 가능한 요청 헤더 목록은 아래의 표를 참고한다.
 
 <table>
   <caption style="display:none"> OpenAPI v3 질의에 사용할 수 있는 유효한 요청 헤더 값</caption>
@@ -126,9 +150,6 @@ kube-apiserver 구성 요소에
   </tbody>
 </table>
 
-`/openapi/v3` 디스커버리 엔드포인트는 사용 가능한 모든 
-그룹/버전의 목록을 제공한다. 이 엔드포인트는 JSON 만을 반환한다.
-
 ## 지속성
 
 쿠버네티스는 오브젝트의 직렬화된 상태를
diff --git a/content/ko/docs/concepts/overview/working-with-objects/kubernetes-objects.md b/content/ko/docs/concepts/overview/working-with-objects/kubernetes-objects.md
index c090b171f49..b320dc8eb88 100644
--- a/content/ko/docs/concepts/overview/working-with-objects/kubernetes-objects.md
+++ b/content/ko/docs/concepts/overview/working-with-objects/kubernetes-objects.md
@@ -63,7 +63,7 @@ spec과 status간의 차이에 대응한다.
 [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply) 커맨드를 이용하는 것이다. 다음 예시와 같다.
 
 ```shell
-kubectl apply -f https://k8s.io/examples/application/deployment.yaml --record
+kubectl apply -f https://k8s.io/examples/application/deployment.yaml
 ```
 
 그 출력 내용은 다음과 유사하다.
@@ -83,14 +83,22 @@ deployment.apps/nginx-deployment created
 
 오브젝트 `spec`에 대한 정확한 포맷은 모든 쿠버네티스 오브젝트마다 다르고, 그 오브젝트 특유의 중첩된 필드를 포함한다. [쿠버네티스 API 레퍼런스](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/) 는 쿠버네티스를 이용하여 생성할 수 있는 오브젝트에 대한 모든 spec 포맷을 살펴볼 수 있도록 해준다.
 
-예를 들어, API 내 파드에 대한 상세 정보는 [`spec` 필드](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)에 대한 레퍼런스에서,
-디플로이먼트에 대한 상세 정보는 [`spec` 필드](/docs/reference/kubernetes-api/workload-resources/deployment-v1/#DeploymentSpec)에 대한 레퍼런스에서 확인할 수 있다.
-해당 API 레퍼런스 페이지에서 PodSpec과 DeploymentSpec에 대해 언급된 내용을 볼 수 있다. 이 이름들은 쿠버네티스가 API를 구현하는데 사용한 Go 언어 코드 구현의 세부 내용이다.
-
+예를 들어, 파드 API 레퍼런스를 보려면 
+[`spec` 필드](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)를 참조한다. 
+각 파드에 대해, `.spec` 필드는 파드 및 파드의 원하는 상태(desired state)를 
+기술한다(예: 파드의 각 컨테이너에 대한 컨테이너 이미지). 
+오브젝트 상세에 대한 또 다른 예시는 스테이트풀셋 API의 
+[`spec` 필드](/docs/reference/kubernetes-api/workload-resources/stateful-set-v1/#StatefulSetSpec)이다. 
+스테이트풀셋의 경우, `.spec` 필드는 스테이트풀셋 및 스테이트풀셋의 원하는 상태(desired state)를 기술한다. 
+스테이트풀셋의 `.spec`에는 파드 오브젝트에 대한 
+[템플릿](/ko/docs/concepts/workloads/pods/#파드-템플릿)이 존재한다. 
+이 템플릿은 스테이트풀셋 명세를 만족시키기 위해 
+스테이트풀셋 컨트롤러가 생성할 파드에 대한 상세 사항을 설명한다.
+서로 다른 종류의 오브젝트는 서로 다른 `.status`를 가질 수 있다. 
+다시 한번 말하자면, 각 API 레퍼런스 페이지는 각 오브젝트 타입에 대해 해당 `.status` 필드의 구조와 내용에 대해 소개한다. 
 
 ## {{% heading "whatsnext" %}}
 
-
 * [파드](/ko/docs/concepts/workloads/pods/)와 같이, 가장 중요하고 기본적인 쿠버네티스 오브젝트에 대해 배운다.
 * 쿠버네티스의 [컨트롤러](/ko/docs/concepts/architecture/controller/)에 대해 배운다.
 * API 개념의 더 많은 설명은 [쿠버네티스 API 사용](/ko/docs/reference/using-api/)을 본다.
diff --git a/content/ko/docs/concepts/policy/resource-quotas.md b/content/ko/docs/concepts/policy/resource-quotas.md
index f3d8604fddc..40fe1144532 100644
--- a/content/ko/docs/concepts/policy/resource-quotas.md
+++ b/content/ko/docs/concepts/policy/resource-quotas.md
@@ -442,7 +442,7 @@ pods        0     10
 
 ### 네임스페이스 간 파드 어피니티 쿼터
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 오퍼레이터는 네임스페이스를 교차하는 어피니티가 있는 파드를 가질 수 있는 네임스페이스를
 제한하기 위해 `CrossNamespacePodAffinity` 쿼터 범위를 사용할 수 있다. 특히, 파드 어피니티 용어의
@@ -493,10 +493,6 @@ plugins:
 해당 필드를 사용하는 파드 수보다 크거나 같은 하드 제한이 있는 경우에만
 파드 어피니티에서 `namespaces` 및 `namespaceSelector` 를 사용할 수 있다.
 
-이 기능은 베타이며 기본으로 활성화되어 있다. kube-apiserver 및 kube-scheduler 모두에서
-[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)
-`PodAffinityNamespaceSelector` 를 사용하여 비활성화할 수 있다.
-
 ## 요청과 제한의 비교 {#requests-vs-limits}
 
 컴퓨트 리소스를 할당할 때 각 컨테이너는 CPU 또는 메모리에 대한 요청과 제한값을 지정할 수 있다.
diff --git a/content/ko/docs/concepts/scheduling-eviction/api-eviction.md b/content/ko/docs/concepts/scheduling-eviction/api-eviction.md
index 45077a6674a..8368be9831b 100644
--- a/content/ko/docs/concepts/scheduling-eviction/api-eviction.md
+++ b/content/ko/docs/concepts/scheduling-eviction/api-eviction.md
@@ -1,18 +1,122 @@
 ---
-title: API를 이용한 축출(Eviction)
+title: API를 이용한 축출(API-initiated Eviction)
 content_type: concept
 weight: 70
 ---
 
 {{< glossary_definition term_id="api-eviction" length="short" >}} </br>
 
-`kubectl drain` 명령과 같은 kube-apiserver의 클라이언트를 사용하여,
-축출 API를 직접 호출해 축출 요청을 할 수 있다.
-그러면 API 서버가 파드를 종료하는 `Eviction` 오브젝트가 생성된다.
+축출 API를 직접 호출하거나, 또는 `kubectl drain` 명령과 같이 
+{{<glossary_tooltip term_id="kube-apiserver" text="API 서버">}}의 클라이언트를 사용하여 프로그램적인 방법으로 축출 요청을 할 수 있다. 
+이는 `Eviction` 오브젝트를 만들며, API 서버로 하여금 파드를 종료하도록 만든다.
 
-API를 이용한 축출은 구성된 [`PodDisruptionBudgets`](/docs/tasks/run-application/configure-pdb/) 및 [`terminationGracePeriodSeconds`](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)를 준수한다.
+API를 이용한 축출은 사용자가 설정한 [`PodDisruptionBudgets`](/docs/tasks/run-application/configure-pdb/) 및 
+[`terminationGracePeriodSeconds`](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination) 값을 준수한다.
+
+API를 사용하여 `Eviction` 오브젝트를 만드는 것은 
+정책 기반의 파드 [`DELETE` 동작](/docs/reference/kubernetes-api/workload-resources/pod-v1/#delete-delete-a-pod)을 수행하는 것과 
+비슷한 효과를 낸다.
+
+## 축출 API 호출하기
+
+[각 언어 별 쿠버네티스 클라이언트](/ko/docs/tasks/administer-cluster/access-cluster-api/#api에-프로그래밍-방식으로-접근)를 사용하여 
+쿠버네티스 API를 호출하고 `Eviction` 오브젝트를 생성할 수 있다. 
+이를 실행하려면, 아래의 예시를 참고하여 POST 호출을 수행한다.
+
+{{< tabs name="Eviction_example" >}}
+{{% tab name="policy/v1" %}}
+{{< note >}}
+`policy/v1` 축출은 v1.22 이상에서 사용 가능하다. 이전 버전에서는 `policy/v1beta1`를 사용한다.
+{{< /note >}}
+
+```json
+{
+  "apiVersion": "policy/v1",
+  "kind": "Eviction",
+  "metadata": {
+    "name": "quux",
+    "namespace": "default"
+  }
+}
+```
+{{% /tab %}}
+{{% tab name="policy/v1beta1" %}}
+{{< note >}}
+v1.22에서 사용 중단 및 `policy/v1`으로 대체되었다.
+{{< /note >}}
+
+```json
+{
+  "apiVersion": "policy/v1beta1",
+  "kind": "Eviction",
+  "metadata": {
+    "name": "quux",
+    "namespace": "default"
+  }
+}
+```
+{{% /tab %}}
+{{< /tabs >}}
+
+또는 다음 예시와 같이 `curl` 또는 `wget`으로 API에 접근하여 
+축출 동작을 시도할 수도 있다.
+
+```bash
+curl -v -H 'Content-type: application/json' https://your-cluster-api-endpoint.example/api/v1/namespaces/default/pods/quux/eviction -d @eviction.json
+```
+
+## API를 이용한 축출의 동작
+
+API를 사용하여 축출을 요청하면, 
+API 서버는 인가 확인(admission checks)를 수행하고 다음 중 하나로 응답한다.
+
+* `200 OK`: 축출 요청이 허용되었고, `Eviction` 서브리소스가 생성되었고, 
+  (마치 파드 URL에 `DELETE` 요청을 보낸 것처럼) 파드가 삭제되었다.
+* `429 Too Many Requests`: 현재 설정된 
+  {{<glossary_tooltip term_id="pod-disruption-budget" text="PodDisruptionBudget">}} 때문에 
+  축출이 현재 허용되지 않는다. 
+  또는 API 요청 속도 제한(rate limiting) 때문에 이 응답을 받았을 수도 있다.
+* `500 Internal Server Error`: 잘못된 환경 설정(예: 
+  여러 PodDisruptionBudget이 하나의 동일한 파드를 참조함)으로 인해 축출이 허용되지 않는다.
+
+축출하려는 파드가 
+PodDisruptionBudget이 설정된 워크로드에 속하지 않는다면, 
+API 서버는 항상 `200 OK`를 반환하고 축출을 허용한다.
+
+API 서버가 축출을 허용하면, 파드는 다음과 같이 삭제된다.
+
+1. API 서버 내 `Pod` 리소스의 삭제 타임스탬프(deletion timestamp)가 업데이트되며, 
+   이 타임스탬프에 명시된 시각이 경과하면 API 서버는 해당 `Pod` 리소스를 종료 대상으로 간주한다. 
+   또한 설정된 그레이스 시간(grace period)이 `Pod` 리소스에 기록된다.
+1. 로컬 파드가 실행되고 있는 노드의 {{<glossary_tooltip term_id="kubelet" text="kubelet">}}이 
+   `Pod`가 종료 대상으로 표시된 것을 감지하고 
+   로컬 파드의 그레이스풀 셧다운을 시작한다.
+1. kubelet이 파드를 종료하는 와중에, 컨트롤 플레인은 
+   {{<glossary_tooltip term_id="endpoint" text="엔드포인트">}} 및 
+   {{<glossary_tooltip term_id="endpoint-slice" text="엔드포인트슬라이스">}} 오브젝트에서 파드를 삭제한다. 
+   이 결과, 컨트롤러는 파드를 더 이상 유효한 오브젝트로 간주하지 않는다.
+1. 파드의 그레이스 시간이 만료되면, 
+   kubelet이 로컬 파드를 강제로 종료한다.
+1. kubelet이 API 서버에 `Pod` 리소스를 삭제하도록 지시한다.
+1. API 서버가 `Pod` 리소스를 삭제한다.
+
+## 문제가 있어 중단된 축출 트러블슈팅하기
+
+일부 경우에, 애플리케이션이 잘못된 상태로 돌입하여, 
+직접 개입하기 전에는 축출 API가 `429` 또는 `500` 응답만 반환할 수 있다. 
+이러한 현상은, 예를 들면 레플리카셋이 애플리케이션을 서비스할 파드를 생성했지만 
+새 파드가 `Ready`로 바뀌지 못하는 경우에 발생할 수 있다. 
+또는 마지막으로 축출된 파드가 긴 종료 그레이스 시간을 가진 경우에 이러한 현상을 목격할 수도 있다.
+
+문제가 있어 중단된 축출을 발견했다면, 다음 해결책 중 하나를 시도해 본다.
+
+* 이 문제를 발생시키는 자동 동작(automated operation)을 중단하거나 일시 중지한다. 
+  해당 동작을 재시작하기 전에, 문제가 있어 중단된 애플리케이션을 조사한다.
+* 잠시 기다린 뒤, 축출 API를 사용하는 것 대신 
+  클러스터 컨트롤 플레인에서 파드를 직접 삭제한다.
 
 ## {{% heading "whatsnext" %}}
 
-- [노드-압박 축출](/ko/docs/concepts/scheduling-eviction/node-pressure-eviction/)에 대해 더 배우기
-- [파드 우선순위와 선점](/ko/docs/concepts/scheduling-eviction/pod-priority-preemption/)에 대해 더 배우기
+* [Pod Disruption Budget](/docs/tasks/run-application/configure-pdb/)을 사용하여 애플리케이션을 보호하는 방법에 대해 알아본다.
+* [노드-압박 축출](/ko/docs/concepts/scheduling-eviction/node-pressure-eviction/)에 대해 알아본다.
+* [파드 우선순위와 선점](/ko/docs/concepts/scheduling-eviction/pod-priority-preemption/)에 대해 알아본다.
diff --git a/content/ko/docs/concepts/scheduling-eviction/assign-pod-node.md b/content/ko/docs/concepts/scheduling-eviction/assign-pod-node.md
index 494d3b16019..51ecff20b49 100644
--- a/content/ko/docs/concepts/scheduling-eviction/assign-pod-node.md
+++ b/content/ko/docs/concepts/scheduling-eviction/assign-pod-node.md
@@ -15,159 +15,182 @@ weight: 20
 {{< glossary_tooltip text="파드" term_id="pod" >}}를 제한할 수 있다.
 이를 수행하는 방법에는 여러 가지가 있으며 권장되는 접근 방식은 모두
 [레이블 셀렉터](/ko/docs/concepts/overview/working-with-objects/labels/)를 사용하여 선택을 용이하게 한다.
-보통 스케줄러가 자동으로 합리적인 배치(예: 자원이 부족한 노드에 파드를 배치하지 않도록
-노드 간에 파드를 분배하는 등)를 수행하기에 이러한 제약 조건은 필요하지 않지만
-간혹 파드가 배포될 노드를 제어해야 하는 경우가 있다.
-예를 들어 SSD가 장착된 머신에 파드가 배포되도록 하거나 또는 많은 통신을 하는 두 개의 서로 다른 서비스의 파드를
-동일한 가용성 영역(availability zone)에 배치할 수 있다.
-
+보통은 스케줄러가 자동으로 합리적인 배치(예: 자원이 부족한 노드에 파드를 배치하지 않도록 
+노드 간에 파드를 분배)를 수행하기에 이러한 제약 조건은 필요하지 않다.
+그러나, 예를 들어 SSD가 장착된 머신에 파드가 배포되도록 하거나 또는 
+많은 통신을 하는 두 개의 서로 다른 서비스의 파드를 동일한 가용성 영역(availability zone)에 배치하는 경우와 같이, 
+파드가 어느 노드에 배포될지를 제어해야 하는 경우도 있다.
 
 <!-- body -->
 
-## 노드 셀렉터(nodeSelector)
+쿠버네티스가 특정 파드를 어느 노드에 스케줄링할지 고르는 
+다음의 방법 중 하나를 골라 사용할 수 있다.
 
-`nodeSelector` 는 가장 간단하고 권장되는 노드 선택 제약 조건의 형태이다.
-`nodeSelector` 는 PodSpec의 필드이다. 이는 키-값 쌍의 매핑으로 지정한다. 파드가 노드에서 동작할 수 있으려면,
-노드는 키-값의 쌍으로 표시되는 레이블을 각자 가지고 있어야 한다(이는 추가 레이블을 가지고 있을 수 있다).
-일반적으로 하나의 키-값 쌍이 사용된다.
+  * [노드 레이블](#built-in-node-labels)에 매칭되는 [nodeSelector](#nodeselector) 필드
+  * [어피니티 / 안티 어피니티](#affinity-and-anti-affinity)
+  * [nodeName](#nodename) 필드
 
-`nodeSelector` 를 어떻게 사용하는지 예시를 통해 알아보도록 하자.
+## 노드 레이블 {#built-in-node-labels}
 
-### 0 단계: 사전 준비
+다른 쿠버네티스 오브젝트와 마찬가지로, 노드도 [레이블](/ko/docs/concepts/overview/working-with-objects/labels/)을 가진다.
+[레이블을 수동으로 추가](/ko/docs/tasks/configure-pod-container/assign-pods-nodes/#노드에-레이블-추가)할 수 있다.
+또한 쿠버네티스도 클러스터의 모든 노드에 표준화된 레이블 집합을 적용한다.
+[잘 알려진 레이블, 어노테이션, 테인트](/ko/docs/reference/labels-annotations-taints/)에서 널리 사용되는 노드 레이블의 목록을 확인한다.
 
-이 예시는 쿠버네티스 파드에 대한 기본적인 이해를 하고 있고 [쿠버네티스 클러스터가 설정](/ko/docs/setup/)되어 있다고 가정한다.
+{{<note>}}
+이러한 레이블에 대한 값은 클라우드 제공자별로 다르며 정확하지 않을 수 있다.
+예를 들어, `kubernetes.io/hostname`에 대한 값은 특정 환경에서는 노드 이름과 동일할 수 있지만 
+다른 환경에서는 다른 값일 수도 있다.
+{{</note>}}
 
-### 1 단계: 노드에 레이블 붙이기
+### 노드 격리/제한 {#node-isolation-restriction}
 
-`kubectl get nodes` 를 실행해서 클러스터 노드 이름을 가져온다. 이 중에 레이블을 추가하기 원하는 것 하나를 선택한 다음에 `kubectl label nodes <노드 이름> <레이블 키>=<레이블 값>` 을 실행해서 선택한 노드에 레이블을 추가한다. 예를 들어 노드의 이름이 'kubernetes-foo-node-1.c.a-robinson.internal' 이고, 원하는 레이블이 'disktype=ssd' 라면, `kubectl label nodes kubernetes-foo-node-1.c.a-robinson.internal disktype=ssd` 를 실행한다.
+노드에 레이블을 추가하여 
+파드를 특정 노드 또는 노드 그룹에 스케줄링되도록 지정할 수 있다.
+이 기능을 사용하여 특정 파드가 특정 격리/보안/규제 속성을 만족하는 노드에서만 
+실행되도록 할 수 있다.
 
-`kubectl get nodes --show-labels` 를 다시 실행해서 노드가 현재 가진 레이블을 확인하여, 이 작업을 검증할 수 있다. 또한 `kubectl describe node "노드 이름"` 을 사용해서 노드에 주어진 레이블의 전체 목록을 확인할 수 있다.
+노드 격리를 위해 레이블을 사용할 때, {{<glossary_tooltip text="kubelet" term_id="kubelet">}}이 변경할 수 없는 레이블 키를 선택한다.
+그렇지 않으면 kubelet이 해당 레이블을 변경하여 노드가 사용 불가능(compromised) 상태로 빠지고 
+스케줄러가 이 노드에 워크로드를 스케줄링하는 일이 발생할 수 있다.
 
-### 2 단계: 파드 설정에 nodeSelector 필드 추가하기
+[`NodeRestriction` 어드미션 플러그인](/docs/reference/access-authn-authz/admission-controllers/#noderestriction)은 
+kubelet이 `node-restriction.kubernetes.io/` 접두사를 갖는 레이블을 
+설정하거나 변경하지 못하도록 한다.
 
-실행하고자 하는 파드의 설정 파일을 가져오고, 이처럼 nodeSelector 섹션을 추가한다. 예를 들어 이것이 파드 설정이라면,
+노드 격리를 위해 레이블 접두사를 사용하려면,
 
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: nginx
-  labels:
-    env: test
-spec:
-  containers:
-  - name: nginx
-    image: nginx
-```
+1. [노드 인가자(authorizer)](/docs/reference/access-authn-authz/node/)를 사용하고 있는지, 그리고 `NodeRestriction` 어드미션 플러그인을 **활성화** 했는지 확인한다.
+1. 노드에 `node-restriction.kubernetes.io/` 접두사를 갖는 레이블을 추가하고, [노드 셀렉터](#nodeselector)에서 해당 레이블을 사용한다.
+   예: `example.com.node-restriction.kubernetes.io/fips=true` 또는 `example.com.node-restriction.kubernetes.io/pci-dss=true`
 
-이 다음에 nodeSelector 를 다음과 같이 추가한다.
+## 노드셀렉터(nodeSelector) {#nodeselector}
 
-{{< codenew file="pods/pod-nginx.yaml" >}}
+`nodeSelector`는 노드 선택 제약사항의 가장 간단하면서도 추천하는 형태이다.
+파드 스펙에 `nodeSelector` 필드를 추가하고, 
+타겟으로 삼고 싶은 노드가 갖고 있는 [노드 레이블](#built-in-node-labels)을 명시한다.
+쿠버네티스는 사용자가 명시한 레이블을 갖고 있는 노드에만 
+파드를 스케줄링한다.
 
-그런 다음에 `kubectl apply -f https://k8s.io/examples/pods/pod-nginx.yaml` 을
-실행하면, 레이블이 붙여진 노드에 파드가 스케줄된다.
-`kubectl get pods -o wide` 를 실행해서 파드가 할당된
-"NODE" 를 보면 작동하는지 검증할 수 있다.
+[노드에 파드 할당](/ko/docs/tasks/configure-pod-container/assign-pods-nodes)에서 
+더 많은 정보를 확인한다.
 
-## 넘어가기 전에: 내장 노드 레이블들 {#built-in-node-labels}
+## 어피니티(affinity)와 안티-어피니티(anti-affinity) {#affinity-and-anti-affinity}
 
-[붙인](#1-단계-노드에-레이블-붙이기) 레이블뿐만 아니라, 노드에는
-표준 레이블 셋이 미리 채워져 있다. 이들 목록은 [잘 알려진 레이블, 어노테이션 및 테인트](/ko/docs/reference/labels-annotations-taints/)를 참고한다.
+`nodeSelector` 는 파드를 특정 레이블이 있는 노드로 제한하는 가장 간단한 방법이다.
+어피니티/안티-어피니티 기능은 표현할 수 있는 제약 종류를 크게 확장한다.
+주요 개선 사항은 다음과 같다.
 
-{{< note >}}
-이 레이블들의 값은 클라우드 공급자에 따라 다르고 신뢰성이 보장되지 않는다.
-예를 들어 `kubernetes.io/hostname` 은 어떤 환경에서는 노드 이름과 같지만,
-다른 환경에서는 다른 값일 수 있다.
-{{< /note >}}
+* 어피니티/안티-어피니티 언어가 더 표현적이다.
+  `nodeSelector`로는 명시한 레이블이 있는 노드만 선택할 수 있다.
+  어피니티/안티-어피니티는 선택 로직에 대한 좀 더 많은 제어권을 제공한다.
+* 규칙이 "소프트(soft)" 또는 "선호사항(preference)" 임을 나타낼 수 있으며, 
+  이 덕분에 스케줄러는 매치되는 노드를 찾지 못한 경우에도 파드를 스케줄링할 수 있다.
+* 다른 노드 (또는 다른 토폴로지 도메인)에서 실행 중인 
+  다른 파드의 레이블을 사용하여 파드를 제한할 수 있으며, 
+  이를 통해 어떤 파드들이 노드에 함께 위치할 수 있는지에 대한 규칙을 정의할 수 있다.
 
-## 노드 격리(isolation)/제한(restriction)
+어피니티 기능은 다음의 두 가지 종류로 구성된다.
 
-노드 오브젝트에 레이블을 추가하면 파드가 특정 노드 또는 노드 그룹을 목표 대상으로 할 수 있게 된다.
-이는 특정 파드가 어떤 격리, 보안, 또는 규제 속성이 있는 노드에서만 실행되도록 사용할 수 있다.
-이 목적으로 레이블을 사용하는 경우, 노드에서 kubelet 프로세스로 수정할 수 없는 레이블 키를 선택하는 것을 권장한다.
-이렇게 하면 손상된 노드가 해당 kubelet 자격 증명을 사용해서 해당 레이블을 자체 노드 오브젝트에 설정하고,
-스케줄러가 손상된 노드로 워크로드를 스케줄 하는 것을 방지할 수 있다.
+* *노드 어피니티* 기능은 `nodeSelector` 필드와 비슷하지만 
+  더 표현적이고 소프트(soft) 규칙을 지정할 수 있게 해 준다.
+* *파드 간 어피니티/안티-어피니티* 는 다른 파드의 레이블을 이용하여 
+  해당 파드를 제한할 수 있게 해 준다.
 
-`NodeRestriction` 어드미션 플러그인은 kubelet이 `node-restriction.kubernetes.io/` 접두사로 레이블을 설정 또는 수정하지 못하게 한다.
-노드 격리에 해당 레이블 접두사를 사용하려면 다음과 같이 한다.
+### 노드 어피니티 {#node-affinity}
 
-1. [노드 권한부여자](/docs/reference/access-authn-authz/node/)를 사용하고 있고, [NodeRestriction 어드미션 플러그인](/docs/reference/access-authn-authz/admission-controllers/#noderestriction)을 _활성화_ 해야 한다.
-2. 노드 오브젝트의 `node-restriction.kubernetes.io/` 접두사 아래에 레이블을 추가하고, 해당 레이블을 노드 셀렉터에서 사용한다.
-예를 들어, `example.com.node-restriction.kubernetes.io/fips=true` 또는 `example.com.node-restriction.kubernetes.io/pci-dss=true` 이다.
+노드 어피니티는 개념적으로 `nodeSelector` 와 비슷하며, 
+노드의 레이블을 기반으로 파드가 스케줄링될 수 있는 노드를 제한할 수 있다.
+노드 어피니티에는 다음의 두 종류가 있다.
 
-## 어피니티(affinity)와 안티-어피니티(anti-affinity)
+  * `requiredDuringSchedulingIgnoredDuringExecution`: 
+    규칙이 만족되지 않으면 스케줄러가 파드를 스케줄링할 수 없다.
+    이 기능은 `nodeSelector`와 유사하지만, 좀 더 표현적인 문법을 제공한다.
+  * `preferredDuringSchedulingIgnoredDuringExecution`: 
+    스케줄러는 조건을 만족하는 노드를 찾으려고 노력한다.
+    해당되는 노드가 없더라도, 스케줄러는 여전히 파드를 스케줄링한다.
 
-`nodeSelector` 는 파드를 특정 레이블이 있는 노드로 제한하는 매우 간단한 방법을 제공한다.
-어피니티/안티-어피니티 기능은 표현할 수 있는 제약 종류를 크게 확장한다. 주요 개선 사항은 다음과 같다.
+{{<note>}}
+앞의 두 유형에서, `IgnoredDuringExecution`는 
+쿠버네티스가 파드를 스케줄링한 뒤에 노드 레이블이 변경되어도 파드는 계속 해당 노드에서 실행됨을 의미한다.
+{{</note>}}
 
-1. 어피니티/안티-어피니티 언어가 더 표현적이다. 언어는 논리 연산자인 AND 연산으로 작성된
-   정확한 매칭 항목 이외에 더 많은 매칭 규칙을 제공한다.
-2. 규칙이 엄격한 요구 사항이 아니라 "유연한(soft)"/"선호(preference)" 규칙을 나타낼 수 있기에 스케줄러가 규칙을 만족할 수 없더라도,
-   파드가 계속 스케줄되도록 한다.
-3. 노드 자체에 레이블을 붙이기보다는 노드(또는 다른 토폴로지 도메인)에서 실행 중인 다른 파드의 레이블을 제한할 수 있다.
-   이를 통해 어떤 파드가 함께 위치할 수 있는지와 없는지에 대한 규칙을 적용할 수 있다.
+파드 스펙의 `.spec.affinity.nodeAffinity` 필드에 
+노드 어피니티를 명시할 수 있다.
 
-어피니티 기능은 "노드 어피니티" 와 "파드 간 어피니티/안티-어피니티" 두 종류의 어피니티로 구성된다.
-노드 어피니티는 기존 `nodeSelector` 와 비슷하지만(그러나 위에서 나열된 첫째와 두 번째 이점이 있다.),
-파드 간 어피니티/안티-어피니티는 위에서 나열된 세번째 항목에 설명된 대로
-노드 레이블이 아닌 파드 레이블에 대해 제한되고 위에서 나열된 첫 번째와 두 번째 속성을 가진다.
-
-### 노드 어피니티
-
-노드 어피니티는 개념적으로 `nodeSelector` 와 비슷하다 -- 이는 노드의 레이블을 기반으로 파드를
-스케줄할 수 있는 노드를 제한할 수 있다.
-
-여기에 현재 `requiredDuringSchedulingIgnoredDuringExecution` 와 `preferredDuringSchedulingIgnoredDuringExecution` 로 부르는
-두 가지 종류의 노드 어피니티가 있다. 전자는 파드가 노드에 스케줄되도록 *반드시*
-규칙을 만족해야 하는 것(`nodeSelector` 와 비슷하나 보다 표현적인 구문을 사용해서)을 지정하고,
-후자는 스케줄러가 시도하려고는 하지만, 보증하지 않는 *선호(preferences)* 를 지정한다는 점에서
-이를 각각 "엄격함(hard)" 과 "유연함(soft)" 으로 생각할 수 있다.
-이름의 "IgnoredDuringExecution" 부분은 `nodeSelector` 작동 방식과 유사하게 노드의
-레이블이 런타임 중에 변경되어 파드의 어피니티 규칙이 더 이상 충족되지 않으면 파드가 그 노드에서
-동작한다는 의미이다. 향후에는 파드의 노드 어피니티 요구 사항을 충족하지 않는 노드에서 파드를 제거한다는
-점을 제외하고는 `requiredDuringSchedulingIgnoredDuringExecution` 와 동일한 `requiredDuringSchedulingRequiredDuringExecution` 를 제공할 계획이다.
-
-따라서 `requiredDuringSchedulingIgnoredDuringExecution` 의 예로는 "인텔 CPU가 있는 노드에서만 파드 실행"이
-될 수 있고, `preferredDuringSchedulingIgnoredDuringExecution` 의 예로는 "장애 조치 영역 XYZ에 파드 집합을 실행하려고
-하지만, 불가능하다면 다른 곳에서 일부를 실행하도록 허용"이 있을 것이다.
-
-노드 어피니티는 PodSpec의 `affinity` 필드의 `nodeAffinity` 필드에서 지정된다.
-
-여기에 노드 어피니티를 사용하는 파드 예시가 있다.
+예를 들어, 다음과 같은 파드 스펙이 있다고 하자.
 
 {{< codenew file="pods/pod-with-node-affinity.yaml" >}}
 
-이 노드 어피니티 규칙은 키가 `kubernetes.io/e2e-az-name` 이고 값이 `e2e-az1` 또는 `e2e-az2` 인
-레이블이 있는 노드에만 파드를 배치할 수 있다고 말한다. 또한, 이 기준을 충족하는 노드들
-중에서 키가 `another-node-label-key` 이고 값이 `another-node-label-value` 인 레이블이 있는 노드를
-선호하도록 한다.
+이 예시에서는 다음의 규칙이 적용된다.
 
-예시에서 연산자 `In` 이 사용되고 있는 것을 볼 수 있다. 새로운 노드 어피니티 구문은 다음의 연산자들을 지원한다. `In`, `NotIn`, `Exists`, `DoesNotExist`, `Gt`, `Lt`.
-`NotIn` 과 `DoesNotExist` 를 사용해서 안티-어피니티를 수행하거나,
-특정 노드에서 파드를 쫓아내는 [노드 테인트(taint)](/ko/docs/concepts/scheduling-eviction/taint-and-toleration/)를 설정할 수 있다.
+  * 노드는 키가 `kubernetes.io/os`이고 값이 `linux`인 레이블을 
+    갖고 *있어야 한다* .
+  * 키가 `another-node-label-key`이고 값이 `another-node-label-value`인 레이블을 
+    갖고 있는 노드를 *선호한다* .
 
-`nodeSelector` 와 `nodeAffinity` 를 모두 지정한다면 파드가 후보 노드에 스케줄되기 위해서는
-*둘 다* 반드시 만족해야 한다.
+`operator` 필드를 사용하여 
+쿠버네티스가 규칙을 해석할 때 사용할 논리 연산자를 지정할 수 있다.
+`In`, `NotIn`, `Exists`, `DoesNotExist`, `Gt` 및 `Lt` 연산자를 사용할 수 있다.
 
-`nodeAffinity` 유형과 연관된 `nodeSelectorTerms` 를 지정하면, `nodeSelectorTerms` 중 **하나라도** 만족시키는 노드에 파드가 스케줄된다.
+`NotIn` 및 `DoesNotExist` 연산자를 사용하여 노드 안티-어피니티 규칙을 정의할 수 있다.
+또는, 특정 노드에서 파드를 쫓아내는 
+[노드 테인트(taint)](/ko/docs/concepts/scheduling-eviction/taint-and-toleration/)를 설정할 수 있다.
 
-`nodeSelectorTerms` 와 연관된 여러 `matchExpressions` 를 지정하면, 파드는 `matchExpressions` 를 **모두** 만족하는 노드에만 스케줄된다.
+{{<note>}}
+`nodeSelector`와 `nodeAffinity`를 모두 사용하는 경우, 
+파드가 노드에 스케줄링되려면 두 조건 *모두* 만족되어야 한다.
 
-파드가 스케줄된 노드의 레이블을 지우거나 변경해도 파드는 제거되지 않는다. 다시 말해서 어피니티 선택은 파드를 스케줄링 하는 시점에만 작동한다.
+`nodeAffinity`에 연결된 `nodeSelectorTerms`를 여러 개 명시한 경우, 
+명시된 `nodeSelectorTerms` 중 하나를 만족하는 노드에도 
+파드가 스케줄링될 수 있다.
 
-`preferredDuringSchedulingIgnoredDuringExecution` 의 `weight` 필드의 범위는 1-100이다. 모든 스케줄링 요구 사항 (리소스 요청, RequiredDuringScheduling 어피니티 표현식 등)을 만족하는 각 노드들에 대해 스케줄러는 이 필드의 요소들을 반복해서 합계를 계산하고 노드가 MatchExpressions 에 일치하는 경우 합계에 "가중치(weight)"를 추가한다. 이후에 이 점수는 노드에 대한 다른 우선순위 함수의 점수와 합쳐진다. 전체 점수가 가장 높은 노드를 가장 선호한다.
+단일 `nodeSelectorTerms`와 연결된 `matchExpressions`를 여러 개 명시한 경우, 
+모든 `matchExpressions`를 만족하는 노드에만 
+파드가 스케줄링될 수 있다.
+{{</note>}}
 
-#### 스케줄링 프로파일당 노드 어피니티
+[노드 어피니티를 사용해 노드에 파드 할당](/ko/docs/tasks/configure-pod-container/assign-pods-nodes-using-node-affinity/)에서 
+더 많은 정보를 확인한다.
+
+#### 노드 어피니티 가중치(weight) {#node-affinity-weight}
+
+각 `preferredDuringSchedulingIgnoredDuringExecution` 어피니티 타입 인스턴스에 대해 
+1-100 범위의 `weight`를 명시할 수 있다.
+스케줄러가 다른 모든 파드 스케줄링 요구 사항을 만족하는 노드를 찾으면, 
+스케줄러는 노드가 만족한 모든 선호하는(preferred) 규칙에 대해 
+합계 계산을 위한 `weight` 값을 각각 추가한다.
+
+최종 합계는 해당 노드에 대한 다른 우선 순위 함수 점수에 더해진다.
+스케줄러가 파드에 대한 스케줄링 판단을 할 때, 
+총 점수가 가장 높은 노드가 우선 순위를 갖는다.
+
+예를 들어, 다음과 같은 파드 스펙이 있다고 하자.
+
+{{< codenew file="pods/pod-with-affinity-anti-affinity.yaml" >}}
+
+`requiredDuringSchedulingIgnoredDuringExecution` 규칙을 만족하는 노드가 2개 있고, 
+하나에는 `label-1:key-1` 레이블이 있고 다른 하나에는 `label-2:key-2` 레이블이 있으면, 
+스케줄러는 각 노드의 `weight`를 확인한 뒤 
+해당 노드에 대한 다른 점수에 가중치를 더하고, 
+최종 점수가 가장 높은 노드에 해당 파드를 스케줄링한다.
+
+{{<note>}}
+이 예시에서 쿠버네티스가 정상적으로 파드를 스케줄링하려면, 
+보유하고 있는 노드에 `kubernetes.io/os=linux` 레이블이 있어야 한다.
+{{</note>}}
+
+#### 스케줄링 프로파일당 노드 어피니티 {#node-affinity-per-scheduling-profile}
 
 {{< feature-state for_k8s_version="v1.20" state="beta" >}}
 
 여러 [스케줄링 프로파일](/ko/docs/reference/scheduling/config/#여러-프로파일)을 구성할 때
 노드 어피니티가 있는 프로파일을 연결할 수 있는데, 이는 프로파일이 특정 노드 집합에만 적용되는 경우 유용하다.
-이렇게 하려면 [스케줄러 구성](/ko/docs/reference/scheduling/config/)에 있는
-[`NodeAffinity` 플러그인](/ko/docs/reference/scheduling/config/#스케줄링-플러그인-1)의 인수에 `addedAffinity`를 추가한다. 예를 들면
+이렇게 하려면 다음과 같이 [스케줄러 구성](/ko/docs/reference/scheduling/config/)에 있는
+[`NodeAffinity` 플러그인](/ko/docs/reference/scheduling/config/#스케줄링-플러그인-1)의 `args` 필드에 `addedAffinity`를 추가한다.
 
 ```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta1
+apiVersion: kubescheduler.config.k8s.io/v1beta3
 kind: KubeSchedulerConfiguration
 
 profiles:
@@ -188,29 +211,41 @@ profiles:
 
 `addedAffinity`는 `.spec.schedulerName`을 `foo-scheduler`로 설정하는 모든 파드에 적용되며
 PodSpec에 지정된 NodeAffinity도 적용된다.
-즉, 파드를 매칭시키려면, 노드가 `addedAffinity`와 파드의 `.spec.NodeAffinity`를 충족해야 한다.
+즉, 파드를 매칭시키려면, 노드가 `addedAffinity`와 
+파드의 `.spec.NodeAffinity`를 충족해야 한다.
 
-`addedAffinity`는 엔드 유저에게 표시되지 않으므로, 예상치 못한 동작이 일어날 수 있다. 프로파일의
-스케줄러 이름과 명확한 상관 관계가 있는 노드 레이블을 사용하는 것이 좋다.
+`addedAffinity`는 엔드 유저에게 표시되지 않으므로, 
+예상치 못한 동작이 일어날 수 있다.
+스케줄러 프로파일 이름과 명확한 상관 관계가 있는 노드 레이블을 사용한다.
 
 {{< note >}}
-[데몬셋용 파드를 생성](/ko/docs/concepts/workloads/controllers/daemonset/#기본-스케줄러로-스케줄)하는 데몬셋 컨트롤러는
-스케줄링 프로파일을 인식하지 못한다.
-따라서 `addedAffinity`없이 `default-scheduler`와 같은 스케줄러 프로파일을 유지하는 것이 좋다. 그런 다음 데몬셋의 파드 템플릿이 스케줄러 이름을 사용해야 한다.
-그렇지 않으면, 데몬셋 컨트롤러에 의해 생성된 일부 파드가 스케줄되지 않은 상태로 유지될 수 있다.
+[데몬셋 파드를 생성](/ko/docs/concepts/workloads/controllers/daemonset/#기본-스케줄러로-스케줄)하는 데몬셋 컨트롤러는 
+스케줄링 프로파일을 지원하지 않는다.
+데몬셋 컨트롤러가 파드를 생성할 때, 기본 쿠버네티스 스케줄러는 해당 파드를 배치하고 
+데몬셋 컨트롤러의 모든 `nodeAffinity` 규칙을 준수한다.
 {{< /note >}}
 
-### 파드간 어피니티와 안티-어피니티
+### 파드간 어피니티와 안티-어피니티 {#inter-pod-affinity-and-anti-affinity}
 
-파드간 어피니티와 안티-어피니티를 사용하면 노드의 레이블을 기반으로 하지 않고, *노드에서 이미 실행 중인 파드 레이블을 기반으로*
-파드가 스케줄될 수 있는 노드를 제한할 수 있다. 규칙은 "X가 규칙 Y를 충족하는 하나 이상의 파드를 이미 실행중인 경우
-이 파드는 X에서 실행해야 한다(또는 안티-어피니티가 없는 경우에는 동작하면 안된다)"는 형태이다. Y는
-선택적으로 연관된 네임스페이스 목록을 가진 LabelSelector로 표현된다. 노드와는 다르게 파드는 네임스페이스이기에
-(그리고 따라서 파드의 레이블은 암암리에 네임스페이스이다) 파드 레이블위의 레이블 셀렉터는 반드시
-셀렉터가 적용될 네임스페이스를 지정해야만 한다. 개념적으로 X는 노드, 랙,
-클라우드 공급자 영역, 클라우드 공급자 지역 등과 같은 토폴로지 도메인이다. 시스템이 이런 토폴로지
-도메인을 나타내는 데 사용하는 노드 레이블 키인 `topologyKey` 를 사용하여 이를 표현한다.
-예: [넘어가기 전에: 빌트인 노드 레이블](#built-in-node-labels) 섹션 위에 나열된 레이블 키를 본다.
+파드간 어피니티와 안티-어피니티를 사용하여, 
+노드 레이블 대신, 각 노드에 이미 실행 중인 다른 **파드** 의 레이블을 기반으로 
+파드가 스케줄링될 노드를 제한할 수 있다.
+
+파드간 어피니티와 안티-어피니티 규칙은 
+"X가 규칙 Y를 충족하는 하나 이상의 파드를 이미 실행중인 경우 이 파드는 X에서 실행해야 한다(또는 
+안티-어피니티의 경우에는 "실행하면 안 된다")"의 형태이며, 
+여기서 X는 노드, 랙, 클라우드 제공자 존 또는 리전 등이며 
+Y는 쿠버네티스가 충족할 규칙이다.
+
+이러한 규칙(Y)은 [레이블 셀렉터](/ko/docs/concepts/overview/working-with-objects/labels/#레이블-셀렉터) 형태로 작성하며, 
+연관된 네임스페이스 목록을 선택적으로 명시할 수도 있다.
+쿠버네티스에서 파드는 네임스페이스에 속하는(namespaced) 오브젝트이므로, 
+파드 레이블도 암묵적으로 특정 네임스페이스에 속하게 된다.
+파드 레이블에 대한 모든 레이블 셀렉터는 쿠버네티스가 해당 레이블을 어떤 네임스페이스에서 탐색할지를 명시해야 한다.
+
+`topologyKey`를 사용하여 토폴로지 도메인(X)를 나타낼 수 있으며, 
+이는 시스템이 도메인을 표시하기 위해 사용하는 노드 레이블의 키이다.
+이에 대한 예시는 [잘 알려진 레이블, 어노테이션, 테인트](/ko/docs/reference/labels-annotations-taints/)를 참고한다.
 
 {{< note >}}
 파드간 어피니티와 안티-어피니티에는 상당한 양의 프로세싱이 필요하기에
@@ -219,80 +254,100 @@ PodSpec에 지정된 NodeAffinity도 적용된다.
 {{< /note >}}
 
 {{< note >}}
-파드 안티-어피니티에서는 노드에 일관된 레이블을 지정해야 한다. 즉, 클러스터의 모든 노드는 `topologyKey` 와 매칭되는 적절한 레이블을 가지고 있어야 한다. 일부 또는 모든 노드에 지정된 `topologyKey` 레이블이 없는 경우에는 의도하지 않은 동작이 발생할 수 있다.
+파드 안티-어피니티에서는 노드에 일관된 레이블을 지정해야 한다.
+즉, 클러스터의 모든 노드는 `topologyKey` 와 매칭되는 적절한 레이블을 가지고 있어야 한다.
+일부 또는 모든 노드에 지정된 `topologyKey` 레이블이 없는 경우에는 
+의도하지 않은 동작이 발생할 수 있다.
 {{< /note >}}
 
-노드 어피니티와 마찬가지로 현재 파드 어피니티와 안티-어피니티로 부르는 "엄격함" 대 "유연함"의 요구사항을 나타내는 `requiredDuringSchedulingIgnoredDuringExecution` 와
-`preferredDuringSchedulingIgnoredDuringExecution` 두 가지 종류가 있다.
-앞의 노드 어피니티 섹션의 설명을 본다.
-`requiredDuringSchedulingIgnoredDuringExecution` 어피니티의 예시는
-"서로 많은 통신을 하기 때문에 서비스 A와 서비스 B를 같은 영역에 함께 위치시키는 것"이고,
-`preferredDuringSchedulingIgnoredDuringExecution` 안티-어피니티의 예시는 "서비스를 여러 영역에 걸쳐서 분배하는 것"이다
-(엄격한 요구사항은 영역보다 파드가 더 많을 수 있기 때문에 엄격한 요구사항은 의미가 없다).
+#### 파드간 어피니티 및 안티-어피니티 종류 {#types-of-inter-pod-affinity-and-anti-affinity}
 
-파드간 어피니티는 PodSpec에서 `affinity` 필드 중 `podAffinity` 필드로 지정한다.
-그리고 파드간 안티-어피니티는 PodSpec에서 `affinity` 필드 중 `podAntiAffinity` 필드로 지정한다.
+노드 어피니티와 마찬가지로 
+파드 어피니티 및 안티-어피니티에는 다음의 2 종류가 있다.
 
-#### 파드 어피니티를 사용하는 파드의 예시
+  * `requiredDuringSchedulingIgnoredDuringExecution`
+  * `preferredDuringSchedulingIgnoredDuringExecution`
+
+예를 들어, `requiredDuringSchedulingIgnoredDuringExecution` 어피니티를 사용하여 
+서로 통신을 많이 하는 두 서비스의 파드를 
+동일 클라우드 제공자 존에 배치하도록 스케줄러에게 지시할 수 있다.
+비슷하게, `preferredDuringSchedulingIgnoredDuringExecution` 안티-어피니티를 사용하여 
+서비스의 파드를 
+여러 클라우드 제공자 존에 퍼뜨릴 수 있다.
+
+파드간 어피니티를 사용하려면, 파드 스펙에 `affinity.podAffinity` 필드를 사용한다.
+파드간 안티-어피니티를 사용하려면, 
+파드 스펙에 `affinity.podAntiAffinity` 필드를 사용한다.
+
+#### 파드 어피니티 예시 {#an-example-of-a-pod-that-uses-pod-affinity}
+
+다음과 같은 파드 스펙을 가정한다.
 
 {{< codenew file="pods/pod-with-pod-affinity.yaml" >}}
 
-이 파드의 어피니티는 하나의 파드 어피니티 규칙과 하나의 파드 안티-어피니티 규칙을 정의한다.
-이 예시에서 `podAffinity` 는 `requiredDuringSchedulingIgnoredDuringExecution` 이고 `podAntiAffinity` 는
-`preferredDuringSchedulingIgnoredDuringExecution` 이다. 파드 어피니티 규칙에 의하면 키 "security" 와 값
-"S1"인 레이블이 있는 하나 이상의 이미 실행 중인 파드와 동일한 영역에 있는 경우에만 파드를 노드에 스케줄할 수 있다.
-(보다 정확하게는, 클러스터에 키 "security"와 값 "S1"인 레이블을 가지고 있는 실행 중인 파드가 있는 키
-`topology.kubernetes.io/zone` 와 값 V인 노드가 최소 하나 이상 있고,
-노드 N이 키 `topology.kubernetes.io/zone` 와
-일부 값이 V인 레이블을 가진다면 파드는 노드 N에서 실행할 수 있다.)
-파드 안티-어피니티 규칙에 의하면 파드는 키 "security"와 값 "S2"인 레이블을 가진 파드와
-동일한 영역의 노드에 스케줄되지 않는다.
-[디자인 문서](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md)를 통해
-`requiredDuringSchedulingIgnoredDuringExecution` 와 `preferredDuringSchedulingIgnoredDuringExecution` 의
-파드 어피니티와 안티-어피니티에 대한 많은 예시를 맛볼 수 있다.
+이 예시는 하나의 파드 어피니티 규칙과 
+하나의 파드 안티-어피니티 규칙을 정의한다.
+파드 어피니티 규칙은 "하드" `requiredDuringSchedulingIgnoredDuringExecution`을, 
+안티-어피니티 규칙은 "소프트" `preferredDuringSchedulingIgnoredDuringExecution`을 사용한다.
 
-파드 어피니티와 안티-어피니티의 적합한 연산자는 `In`, `NotIn`, `Exists`, `DoesNotExist` 이다.
+위의 어피니티 규칙은 `security=S1` 레이블이 있는 하나 이상의 기존 파드의 존와 동일한 존에 있는 노드에만 
+파드를 스케줄링하도록 스케줄러에 지시한다.
+더 정확히 말하면, 만약 `security=S1` 파드 레이블이 있는 하나 이상의 기존 파드를 실행하고 있는 노드가 
+`zone=V`에 하나 이상 존재한다면, 
+스케줄러는 파드를 `topology.kubernetes.io/zone=V` 레이블이 있는 노드에 배치해야 한다.
 
-원칙적으로, `topologyKey` 는 적법한 어느 레이블-키도 될 수 있다.
-하지만, 성능과 보안상의 이유로 topologyKey에는 몇 가지 제약조건이 있다.
+위의 안티-어피니티 규칙은 `security=S2` 레이블이 있는 하나 이상의 기존 파드의 존와 동일한 존에 있는 노드에는 
+가급적 파드를 스케줄링하지 않도록 스케줄러에 지시한다.
+더 정확히 말하면, 만약 `security=S2` 파드 레이블이 있는 파드가 실행되고 있는 `zone=R`에 
+다른 노드도 존재한다면, 
+스케줄러는 `topology.kubernetes.io/zone=R` 레이블이 있는 노드에는 가급적 해당 파드를 스케줄링하지 않야아 한다.
 
-1. 파드 어피니티에서 `requiredDuringSchedulingIgnoredDuringExecution` 와 `preferredDuringSchedulingIgnoredDuringExecution` 는
-`topologyKey` 의 빈 값을 허용하지 않는다.
-2. 파드 안티-어피니티에서도 `requiredDuringSchedulingIgnoredDuringExecution` 와 `preferredDuringSchedulingIgnoredDuringExecution` 는
-`topologyKey` 의 빈 값을 허용하지 않는다.
-3. `requiredDuringSchedulingIgnoredDuringExecution` 파드 안티-어피니티에서 `topologyKey` 를 `kubernetes.io/hostname` 로 제한하기 위해 어드미션 컨트롤러 `LimitPodHardAntiAffinityTopology` 가 도입되었다. 사용자 지정 토폴로지를 사용할 수 있도록 하려면, 어드미션 컨트롤러를 수정하거나 아니면 이를 비활성화해야 한다.
-4. 위의 경우를 제외하고, `topologyKey` 는 적법한 어느 레이블-키도 가능하다.
+[디자인 문서](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md)에서 
+파드 어피니티와 안티-어피니티에 대한 
+많은 예시를 볼 수 있다.
 
-`labelSelector` 와 `topologyKey` 외에도 `labelSelector` 와 일치해야 하는 네임스페이스 목록 `namespaces` 를
-선택적으로 지정할 수 있다(이것은 `labelSelector` 와 `topologyKey` 와 같은 수준의 정의이다).
-생략되어 있거나 비어있을 경우 어피니티/안티-어피니티 정의가 있는 파드의 네임스페이스가 기본 값이다.
+파드 어피니티와 안티-어피니티의 `operator` 필드에 
+`In`, `NotIn`, `Exists` 및 `DoesNotExist` 값을 사용할 수 있다.
 
-파드를 노드에 스케줄하려면 `requiredDuringSchedulingIgnoredDuringExecution` 어피니티와 안티-어피니티와
-연관된 `matchExpressions` 가 모두 충족되어야 한다.
+원칙적으로, `topologyKey` 에는 성능과 보안상의 이유로 다음의 예외를 제외하면 
+어느 레이블 키도 사용할 수 있다.
 
-#### 네임스페이스 셀렉터
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+* 파드 어피니티 및 안티-어피니티에 대해, 빈 `topologyKey` 필드는 
+  `requiredDuringSchedulingIgnoredDuringExecution` 및 `preferredDuringSchedulingIgnoredDuringExecution` 내에 허용되지 않는다.
+* `requiredDuringSchedulingIgnoredDuringExecution` 파드 안티-어피니티 규칙에 대해, 
+  `LimitPodHardAntiAffinityTopology` 어드미션 컨트롤러는 
+  `topologyKey`를 `kubernetes.io/hostname`으로 제한한다.
+  커스텀 토폴로지를 허용하고 싶다면 어드미션 컨트롤러를 수정하거나 비활성화할 수 있다.
 
-사용자는 네임스페이스 집합에 대한 레이블 쿼리인 `namespaceSelector` 를 사용하여 일치하는 네임스페이스를 선택할 수도 있다.
-어피니티 용어는 `namespaceSelector` 에서 선택한 네임스페이스와 `namespaces` 필드에 나열된 네임스페이스의 결합에 적용된다.
-빈 `namespaceSelector` ({})는 모든 네임스페이스와 일치하는 반면, null 또는 빈 `namespaces` 목록과
-null `namespaceSelector` 는 "이 파드의 네임스페이스"를 의미한다.
+`labelSelector`와 `topologyKey`에 더하여 선택적으로, 
+`labelSelector`가 비교해야 하는 네임스페이스의 목록을 
+`labelSelector` 및 `topologyKey` 필드와 동일한 계위의 `namespaces` 필드에 명시할 수 있다.
+생략하거나 비워 두면, 
+해당 어피니티/안티-어피니티 정의가 있는 파드의 네임스페이스를 기본값으로 사용한다.
 
-이 기능은 베타이며 기본으로 활성화되어 있다. kube-apiserver 및 kube-scheduler 모두에서
-[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)
-`PodAffinityNamespaceSelector` 를 사용하여 비활성화할 수 있다.
+#### 네임스페이스 셀렉터 {#namespace-selector}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-#### 더 실용적인 유스케이스
+네임스페이스 집합에 대한 레이블 쿼리인 `namespaceSelector` 를 사용하여 일치하는 네임스페이스를 선택할 수도 있다.
+`namespaceSelector` 또는 `namespaces` 필드에 의해 선택된 네임스페이스 모두에 적용된다.
+빈 `namespaceSelector` ({})는 모든 네임스페이스와 일치하는 반면, 
+null 또는 빈 `namespaces` 목록과 null `namespaceSelector` 는 규칙이 적용된 파드의 네임스페이스에 매치된다.
 
-파드간 어피니티와 안티-어피니티는 레플리카셋, 스테이트풀셋, 디플로이먼트 등과 같은
-상위 레벨 모음과 함께 사용할 때 더욱 유용할 수 있다. 워크로드 집합이 동일한 노드와 같이
+#### 더 실제적인 유스케이스 {#more-practical-use-cases}
+
+파드간 어피니티와 안티-어피니티는 레플리카셋, 스테이트풀셋, 디플로이먼트 등과 같은 
+상위 레벨 모음과 함께 사용할 때 더욱 유용할 수 있다.
+이러한 규칙을 사용하여, 워크로드 집합이 예를 들면 '동일한 노드'와 같이 
 동일하게 정의된 토폴로지와 같은 위치에 배치되도록 쉽게 구성할 수 있다.
 
-##### 항상 같은 노드에 위치시키기
+redis와 같은 인-메모리 캐시를 사용하는 웹 애플리케이션을 실행하는 세 개의 노드로 구성된 클러스터를 가정한다.
+이 때 웹 서버를 가능한 한 캐시와 같은 위치에서 실행되도록 하기 위해 
+파드간 어피니티/안티-어피니티를 사용할 수 있다.
 
-세 개의 노드가 있는 클러스터에서 웹 애플리케이션에는 redis와 같은 인-메모리 캐시가 있다. 웹 서버가 가능한 캐시와 함께 위치하기를 원한다.
-
-다음은 세 개의 레플리카와 셀렉터 레이블이 `app=store` 가 있는 간단한 redis 디플로이먼트의 yaml 스니펫이다. 디플로이먼트에는 스케줄러가 단일 노드에서 레플리카를 함께 배치하지 않도록 `PodAntiAffinity` 가 구성되어 있다.
+다음의 redis 캐시 디플로이먼트 예시에서, 레플리카는 `app=store` 레이블을 갖는다.
+`podAntiAffinity` 규칙은 스케줄러로 하여금 
+`app=store` 레이블이 있는 레플리카를 한 노드에 여러 개 배치하지 못하도록 한다.
+이렇게 하여 캐시 파드를 각 노드에 분산하여 생성한다.
 
 ```yaml
 apiVersion: apps/v1
@@ -324,7 +379,10 @@ spec:
         image: redis:3.2-alpine
 ```
 
-아래 yaml 스니펫의 웹서버 디플로이먼트는 `podAntiAffinity` 와 `podAffinity` 설정을 가지고 있다. 이렇게 하면 스케줄러에 모든 레플리카는 셀렉터 레이블이 `app=store` 인 파드와 함께 위치해야 한다. 또한 각 웹 서버 레플리카가 단일 노드의 같은 위치에 있지 않도록 한다.
+웹 서버를 위한 다음의 디플로이먼트는 `app=web-store` 레이블을 갖는 레플리카를 생성한다.
+파드 어피니티 규칙은 스케줄러로 하여금 `app=store` 레이블이 있는 파드를 실행 중인 노드에 각 레플리카를 배치하도록 한다.
+파드 안티-어피니티 규칙은 스케줄러로 하여금 `app=web-store` 레이블이 있는 서버 파드를 
+한 노드에 여러 개 배치하지 못하도록 한다.
 
 ```yaml
 apiVersion: apps/v1
@@ -365,44 +423,25 @@ spec:
         image: nginx:1.16-alpine
 ```
 
-만약 위의 두 디플로이먼트를 생성하면 세 개의 노드가 있는 클러스터는 다음과 같아야 한다.
+위의 두 디플로이먼트를 생성하면 다음과 같은 클러스터 형상이 나타나는데, 
+세 노드에 각 웹 서버가 캐시와 함께 있는 형상이다.
 
 |       node-1         |       node-2        |       node-3       |
 |:--------------------:|:-------------------:|:------------------:|
 | *webserver-1*        |   *webserver-2*     |    *webserver-3*   |
 |  *cache-1*           |     *cache-2*       |     *cache-3*      |
 
-여기서 볼 수 있듯이 `web-server` 의 세 레플리카들이 기대했던 것처럼 자동으로 캐시와 함께 위치하게 된다.
+[ZooKeeper 튜토리얼](/ko/docs/tutorials/stateful-application/zookeeper/#노드-실패-방지)에서 
+위 예시와 동일한 기술을 사용해 
+고 가용성을 위한 안티-어피니티로 구성된 스테이트풀셋의 예시를 확인한다.
 
-```
-kubectl get pods -o wide
-```
-출력은 다음과 유사할 것이다.
-```
-NAME                           READY     STATUS    RESTARTS   AGE       IP           NODE
-redis-cache-1450370735-6dzlj   1/1       Running   0          8m        10.192.4.2   kube-node-3
-redis-cache-1450370735-j2j96   1/1       Running   0          8m        10.192.2.2   kube-node-1
-redis-cache-1450370735-z73mh   1/1       Running   0          8m        10.192.3.1   kube-node-2
-web-server-1287567482-5d4dz    1/1       Running   0          7m        10.192.2.3   kube-node-1
-web-server-1287567482-6f7v5    1/1       Running   0          7m        10.192.4.3   kube-node-3
-web-server-1287567482-s330j    1/1       Running   0          7m        10.192.3.2   kube-node-2
-```
+## nodeName {#nodename}
 
-##### 절대 동일한 노드에 위치시키지 않게 하기
-
-위의 예시에서 `topologyKey:"kubernetes.io/hostname"` 과 함께 `PodAntiAffinity` 규칙을 사용해서
-두 개의 인스터스가 동일한 호스트에 있지 않도록 redis 클러스터를 배포한다.
-같은 기술을 사용해서 고 가용성을 위해 안티-어피니티로 구성된 스테이트풀셋의 예시는
-[ZooKeeper 튜토리얼](/ko/docs/tutorials/stateful-application/zookeeper/#노드-실패-방지)을 본다.
-
-## nodeName
-
-`nodeName` 은 가장 간단한 형태의 노트 선택 제약 조건이지만,
-한계로 인해 일반적으로는 사용하지 않는다.
-`nodeName` 은 PodSpec의 필드이다. 만약 비어있지 않으면, 스케줄러는
-파드를 무시하고 명명된 노드에서 실행 중인 kubelet이
-파드를 실행하려고 한다. 따라서 만약 PodSpec에 `nodeName` 가
-제공된 경우, 노드 선택을 위해 위의 방법보다 우선한다.
+`nodeName`은 어피니티 또는 `nodeSelector`보다 더 직접적인 형태의 노드 선택 방법이다.
+`nodeName`은 파드 스펙의 필드 중 하나이다.
+`nodeName` 필드가 비어 있지 않으면, 스케줄러는 파드를 무시하고, 
+명명된 노드의 kubelet이 해당 파드를 자기 노드에 배치하려고 시도한다.
+`nodeName`은 `nodeSelector` 또는 어피니티/안티-어피니티 규칙보다 우선적으로 적용(overrule)된다.
 
 `nodeName` 을 사용해서 노드를 선택할 때의 몇 가지 제한은 다음과 같다.
 
@@ -414,7 +453,7 @@ web-server-1287567482-s330j    1/1       Running   0          7m        10.192.3
 -   클라우드 환경의 노드 이름은 항상 예측 가능하거나
     안정적인 것은 아니다.
 
-여기에 `nodeName` 필드를 사용하는 파드 설정 파일 예시가 있다.
+다음은 `nodeName` 필드를 사용하는 파드 스펙 예시이다.
 
 ```yaml
 apiVersion: v1
@@ -428,19 +467,14 @@ spec:
   nodeName: kube-01
 ```
 
-위 파드는 kube-01 노드에서 실행될 것이다.
-
-
+위 파드는 `kube-01` 노드에서만 실행될 것이다.
 
 ## {{% heading "whatsnext" %}}
 
-
-[테인트](/ko/docs/concepts/scheduling-eviction/taint-and-toleration/)는 노드가 특정 파드들을 *쫓아낼* 수 있다.
-
-[노드 어피니티](https://git.k8s.io/community/contributors/design-proposals/scheduling/nodeaffinity.md)와
-[파드간 어피니티/안티-어피니티](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md)에 대한 디자인 문서에는
-이러한 기능에 대한 추가 배경 정보가 있다.
-
-파드가 노드에 할당되면 kubelet은 파드를 실행하고 노드의 로컬 리소스를 할당한다.
-[토폴로지 매니저](/docs/tasks/administer-cluster/topology-manager/)는
-노드 수준의 리소스 할당 결정에 참여할 수 있다.
+* [테인트 및 톨러레이션](/ko/docs/concepts/scheduling-eviction/taint-and-toleration/)에 대해 더 읽어본다.
+* [노드 어피니티](https://git.k8s.io/community/contributors/design-proposals/scheduling/nodeaffinity.md)와
+  [파드간 어피니티/안티-어피니티](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md)에 대한 디자인 문서를 읽어본다.
+* [토폴로지 매니저](/docs/tasks/administer-cluster/topology-manager/)가 
+  노드 수준 리소스 할당 결정에 어떻게 관여하는지 알아본다.
+* [노드셀렉터(nodeSelector)](/ko/docs/tasks/configure-pod-container/assign-pods-nodes/)를 어떻게 사용하는지 알아본다.
+* [어피니티/안티-어피니티](/ko/docs/tasks/configure-pod-container/assign-pods-nodes-using-node-affinity/)를 어떻게 사용하는지 알아본다.
diff --git a/content/ko/docs/concepts/scheduling-eviction/pod-overhead.md b/content/ko/docs/concepts/scheduling-eviction/pod-overhead.md
index b0da80ceaed..0feb96eb9a5 100644
--- a/content/ko/docs/concepts/scheduling-eviction/pod-overhead.md
+++ b/content/ko/docs/concepts/scheduling-eviction/pod-overhead.md
@@ -1,4 +1,8 @@
 ---
+
+
+
+
 title: 파드 오버헤드
 content_type: concept
 weight: 30
@@ -6,17 +10,12 @@ weight: 30
 
 <!-- overview -->
 
-{{< feature-state for_k8s_version="v1.18" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-
-노드 위에서 파드를 구동할 때, 파드는 그 자체적으로 많은 시스템 리소스를 사용한다.
+노드 상에서 파드를 구동할 때, 파드는 그 자체적으로 많은 시스템 리소스를 사용한다.
 이러한 리소스는 파드 내의 컨테이너들을 구동하기 위한 리소스 이외에 추가적으로 필요한 것이다.
-_파드 오버헤드_ 는 컨테이너 리소스 요청과 상한 위에서 파드의 인프라에 의해
-소비되는 리소스를 계산하는 기능이다.
-
-
-
-
+쿠버네티스에서, _파드 오버헤드_ 는 리소스 요청 및 상한 외에도 
+파드의 인프라에 의해 소비되는 리소스를 계산하는 방법 중 하나이다.
 
 <!-- body -->
 
@@ -25,33 +24,30 @@ _파드 오버헤드_ 는 컨테이너 리소스 요청과 상한 위에서 파
 [어드미션](/docs/reference/access-authn-authz/extensible-admission-controllers/#what-are-admission-webhooks)
 이 수행될 때 지정된다.
 
-파드 오버헤드가 활성화 되면, 파드를 노드에 스케줄링 할 때 컨테이너 리소스 요청의 합에
-파드의 오버헤드를 추가해서 스케줄링을 고려한다. 마찬가지로, kubelet은 파드의 cgroups 크기를 변경하거나
-파드의 축출 등급을 부여할 때에도 파드의 오버헤드를 포함하여 고려한다.
+파드를 노드에 스케줄링할 때, 컨테이너 리소스 요청의 합 뿐만 아니라 파드의 오버헤드도 함께 고려된다. 
+마찬가지로, kubelet은 파드의 cgroups 크기를 변경하거나 파드의 축출 등급을 부여할 때에도 
+파드의 오버헤드를 포함하여 고려한다.
 
-## 파드 오버헤드 활성화하기 {#set-up}
+## 파드 오버헤드 환경 설정하기 {#set-up}
 
-기능 활성화를 위해 클러스터에서
-`PodOverhead` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있고(1.18 버전에서는 기본적으로 활성화),
 `overhead` 필드를 정의하는 `RuntimeClass` 가 사용되고 있는지 확인해야 한다.
 
 ## 사용 예제
 
-파드 오버헤드 기능을 사용하기 위하여, `overhead` 필드를 정의하는 런타임클래스가 필요하다.
+파드 오버헤드를 활용하려면, `overhead` 필드를 정의하는 런타임클래스가 필요하다.
 예를 들어, 가상 머신 및 게스트 OS에 대하여 파드 당 120 MiB를 사용하는
 가상화 컨테이너 런타임의 런타임클래스의 경우 다음과 같이 정의 할 수 있다.
 
 ```yaml
----
-kind: RuntimeClass
 apiVersion: node.k8s.io/v1
+kind: RuntimeClass
 metadata:
-    name: kata-fc
+  name: kata-fc
 handler: kata-fc
 overhead:
-    podFixed:
-        memory: "120Mi"
-        cpu: "250m"
+  podFixed:
+    memory: "120Mi"
+    cpu: "250m"
 ```
 
 `kata-fc` 런타임클래스 핸들러를 지정하는 워크로드는 리소스 쿼터 계산,
@@ -68,7 +64,7 @@ spec:
   runtimeClassName: kata-fc
   containers:
   - name: busybox-ctr
-    image: busybox
+    image: busybox:1.28
     stdin: true
     tty: true
     resources:
@@ -88,13 +84,15 @@ spec:
 파드는 거부된다. 주어진 예제에서, 오직 런타임클래스의 이름만이 정의되어 있기 때문에, 어드미션 컨트롤러는 파드가
 `overhead` 를 포함하도록 변경한다.
 
-런타임클래스의 어드미션 수행 후에, 파드의 스펙이 갱신된 것을 확인할 수 있다.
+런타임클래스 어드미션 컨트롤러가 변경을 완료하면, 
+다음의 명령어로 업데이트된 파드 오버헤드 값을 확인할 수 있다.
 
 ```bash
 kubectl get pod test-pod -o jsonpath='{.spec.overhead}'
 ```
 
 명령 실행 결과는 다음과 같다.
+
 ```
 map[cpu:250m memory:120Mi]
 ```
@@ -106,23 +104,26 @@ kube-scheduler 는 어떤 노드에 파드가 기동 되어야 할지를 정할
 해당 파드에 대한 컨테이너의 리소스 요청의 합을 고려한다. 이 예제에서, 스케줄러는
 리소스 요청과 파드의 오버헤드를 더하고, 2.25 CPU와 320 MiB 메모리가 사용 가능한 노드를 찾는다.
 
-일단 파드가 특정 노드에 스케줄링 되면, 해당 노드에 있는 kubelet 은 파드에 대한 새로운 {{< glossary_tooltip text="cgroup" term_id="cgroup" >}}을 생성한다.
+일단 파드가 특정 노드에 스케줄링 되면, 해당 노드에 있는 kubelet 은 
+파드에 대한 새로운 {{< glossary_tooltip text="cgroup" term_id="cgroup" >}}을 생성한다.
 기본 컨테이너 런타임이 만들어내는 컨테이너들은 이 파드 안에 존재한다.
 
-만약 각 컨테이너에 대하여 QoS가 보장되었거나 향상이 가능하도록 QoS 의 리소스 상한 제한이 걸려있으면,
-kubelet 은 해당 리소스(CPU의 경우 cpu.cfs_quota_us, 메모리의 경우 memory.limit_in_bytes)와 연관된 파드의
-cgroup 의 상한선을 설정한다. 이 상한선은 컨테이너 리소스 상한과 PodSpec에
-정의된 `overhead` 의 합에 기반한다.
+만약 각 컨테이너에 대하여 리소스 상한 제한이 걸려있으면 
+(제한이 걸려있는 보장된(Guaranteed) Qos 또는 향상 가능한(Burstable) QoS), 
+kubelet 은 해당 리소스(CPU의 경우 cpu.cfs_quota_us, 메모리의 경우 memory.limit_in_bytes)와 연관된 파드의 cgroup 의 상한선을 설정한다. 
+이 상한선은 컨테이너 리소스 상한과 PodSpec에 정의된 `overhead` 의 합에 기반한다.
 
-CPU의 경우, 만약 파드가 보장형 또는 버스트형 QoS로 설정되었으면, kubelet은 PodSpec에 정의된 `overhead` 에 컨테이너의
-리소스 요청의 합을 더한 값을 `cpu.shares` 로 설정한다.
+CPU의 경우, 만약 파드가 보장형 또는 버스트형 QoS로 설정되었으면, 
+kubelet은 PodSpec에 정의된 `overhead` 에 컨테이너의 리소스 요청의 합을 더한 값을 `cpu.shares` 로 설정한다.
 
 다음의 예제를 참고하여, 워크로드에 대하여 컨테이너의 리소스 요청을 확인하자.
+
 ```bash
 kubectl get pod test-pod -o jsonpath='{.spec.containers[*].resources.limits}'
 ```
 
 컨테이너 리소스 요청의 합은 각각 CPU 2000m 와 메모리 200MiB 이다.
+
 ```
 map[cpu: 500m memory:100Mi] map[cpu:1500m memory:100Mi]
 ```
@@ -133,19 +134,21 @@ map[cpu: 500m memory:100Mi] map[cpu:1500m memory:100Mi]
 kubectl describe node | grep test-pod -B2
 ```
 
-CPU 2250m와 메모리 320MiB 가 리소스로 요청되었으며, 이 결과는 파드의 오버헤드를 포함한다.
+결과를 보면 2250 m의 CPU와 320 MiB의 메모리가 리소스로 요청되었다. 여기에는 파드 오버헤드가 포함되어 있다.
+
 ```
-  Namespace                   Name                CPU Requests  CPU Limits   Memory Requests  Memory Limits  AGE
-  ---------                   ----                ------------  ----------   ---------------  -------------  ---
-  default                     test-pod            2250m (56%)   2250m (56%)  320Mi (1%)       320Mi (1%)     36m
+  Namespace    Name       CPU Requests  CPU Limits   Memory Requests  Memory Limits  AGE
+  ---------    ----       ------------  ----------   ---------------  -------------  ---
+  default      test-pod   2250m (56%)   2250m (56%)  320Mi (1%)       320Mi (1%)     36m
 ```
 
 ## 파드 cgroup 상한 확인하기
 
-워크로드가 실행 중인 노드에서 파드의 메모리 cgroup들을 확인 해보자. 다음의 예제에서, [`crictl`](https://github.com/kubernetes-sigs/cri-tools/blob/master/docs/crictl.md)은 노드에서 사용되며,
-CRI-호환 컨테이너 런타임을 위해서 노드에서 사용할 수 있는 CLI 를 제공한다.
-파드의 오버헤드 동작을 보여주는 좋은 예이며,
-사용자가 노드에서 직접 cgroup들을 확인하지 않아도 된다.
+워크로드가 실행 중인 노드에서 파드의 메모리 cgroup들을 확인해 보자. 
+다음의 예제에서, 
+[`crictl`](https://github.com/kubernetes-sigs/cri-tools/blob/master/docs/crictl.md)은 노드에서 사용되며, 
+CRI-호환 컨테이너 런타임을 위해서 노드에서 사용할 수 있는 CLI 를 제공한다. 
+파드 오버헤드 동작을 보여주는 좋은 예이며, 사용자가 노드에서 직접 cgroup들을 확인하지 않아도 된다.
 
 먼저 특정 노드에서 파드의 식별자를 확인해 보자.
 
@@ -155,39 +158,41 @@ POD_ID="$(sudo crictl pods --name test-pod -q)"
 ```
 
 여기에서, 파드의 cgroup 경로를 확인할 수 있다.
+
 ```bash
 # 파드가 스케줄 된 노드에서 이것을 실행
 sudo crictl inspectp -o=json $POD_ID | grep cgroupsPath
 ```
 
 명령의 결과로 나온 cgroup 경로는 파드의 `pause` 컨테이너를 포함한다. 파드 레벨의 cgroup은 하나의 디렉터리이다.
+
 ```
-        "cgroupsPath": "/kubepods/podd7f4b509-cf94-4951-9417-d1087c92a5b2/7ccf55aee35dd16aca4189c952d83487297f3cd760f1bbf09620e206e7d0c27a"
+  "cgroupsPath": "/kubepods/podd7f4b509-cf94-4951-9417-d1087c92a5b2/7ccf55aee35dd16aca4189c952d83487297f3cd760f1bbf09620e206e7d0c27a"
 ```
 
-아래의 특정한 경우에, 파드 cgroup 경로는 `kubepods/podd7f4b509-cf94-4951-9417-d1087c92a5b2` 이다. 메모리의 파드 레벨 cgroup 설정을 확인하자.
+아래의 특정한 경우에, 파드 cgroup 경로는 `kubepods/podd7f4b509-cf94-4951-9417-d1087c92a5b2` 이다. 
+메모리의 파드 레벨 cgroup 설정을 확인하자.
+
 ```bash
 # 파드가 스케줄 된 노드에서 이것을 실행.
 # 또한 사용자의 파드에 할당된 cgroup 이름에 맞춰 해당 이름을 수정.
  cat /sys/fs/cgroup/memory/kubepods/podd7f4b509-cf94-4951-9417-d1087c92a5b2/memory.limit_in_bytes
 ```
 
-예상대로 320 MiB 이다.
+예상한 것과 같이 320 MiB 이다.
+
 ```
 335544320
 ```
 
 ### 관찰성
-`kube_pod_overhead` 항목은 [kube-state-metrics](https://github.com/kubernetes/kube-state-metrics)
-에서 사용할 수 있어, 파드 오버헤드가 사용되는 시기를 식별하고,
-정의된 오버헤드로 실행되는 워크로드의 안정성을 관찰할 수 있다.
-이 기능은 kube-state-metrics 의 1.9 릴리스에서는 사용할 수 없지만, 다음 릴리스에서는 가능할 예정이다.
-그 전까지는 소스로부터 kube-state-metric 을 빌드해야 한다.
-
 
+몇몇 `kube_pod_overhead` 메트릭은 
+[kube-state-metrics](https://github.com/kubernetes/kube-state-metrics) 에서 사용할 수 있어, 
+파드 오버헤드가 사용되는 시기를 식별하고, 정의된 오버헤드로 실행되는 워크로드의 안정성을 관찰할 수 있다.
 
 ## {{% heading "whatsnext" %}}
 
-
-* [런타임클래스](/ko/docs/concepts/containers/runtime-class/)
-* [파드오버헤드 디자인](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/688-pod-overhead)
+* [런타임클래스](/ko/docs/concepts/containers/runtime-class/)에 대해 알아본다.
+* 더 자세한 문맥은 
+  [파드오버헤드 디자인](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/688-pod-overhead) 향상 제안을 확인한다.
diff --git a/content/ko/docs/concepts/scheduling-eviction/pod-priority-preemption.md b/content/ko/docs/concepts/scheduling-eviction/pod-priority-preemption.md
index f10ee8524c6..778b9b5614b 100644
--- a/content/ko/docs/concepts/scheduling-eviction/pod-priority-preemption.md
+++ b/content/ko/docs/concepts/scheduling-eviction/pod-priority-preemption.md
@@ -104,7 +104,7 @@ description: "이 프라이어리티클래스는 XYZ 서비스 파드에만 사
 
 ## 비-선점 프라이어리티클래스 {#non-preempting-priority-class}
 
-{{< feature-state for_k8s_version="v1.19" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 `preemptionPolicy: Never` 를 가진 파드는 낮은 우선순위 파드의 스케줄링 대기열의
 앞쪽에 배치되지만,
@@ -203,9 +203,11 @@ spec:
 정보를 제공한다.
 
 파드 P는 반드시 "지정된 노드"로 스케줄링되지는 않는다.
+The scheduler always tries the "nominated Node" before iterating over any other nodes.
+스케줄러는 다른 노드에 스케줄링을 시도하기 전에 항상 "지정된 노드"부터 시도한다.
 피해자 파드가 축출된 후, 그것은 정상적(graceful)으로 종료되는 기간을 갖는다.
 스케줄러가 종료될 피해자 파드를 기다리는 동안 다른 노드를 사용할 수
-있게 되면, 스케줄러는 파드 P를 스케줄링하기 위해 다른 노드를 사용한다. 그 결과,
+있게 되면, 스케줄러는 파드 P를 스케줄링하기 위해 다른 노드를 사용할 수 있다. 그 결과,
 파드 스펙의 `nominatedNodeName` 과 `nodeName` 은 항상 동일하지 않다. 또한,
 스케줄러가 노드 N에서 파드를 축출했지만, 파드 P보다 우선순위가 높은 파드가
 도착하면, 스케줄러가 노드 N에 새로운 우선순위가 높은 파드를 제공할 수 있다. 이러한
diff --git a/content/ko/docs/concepts/scheduling-eviction/resource-bin-packing.md b/content/ko/docs/concepts/scheduling-eviction/resource-bin-packing.md
index c3dcf84727d..8c5f19b8ffe 100644
--- a/content/ko/docs/concepts/scheduling-eviction/resource-bin-packing.md
+++ b/content/ko/docs/concepts/scheduling-eviction/resource-bin-packing.md
@@ -21,25 +21,24 @@ kube-scheduler를 미세 조정할 수 있다.
 
 ## RequestedToCapacityRatioResourceAllocation을 사용해서 빈 패킹 활성화하기
 
-쿠버네티스를 사용하면 사용자가 각 리소스에 대한 가중치와 함께 리소스를 지정하여
-용량 대비 요청 비율을 기반으로 노드의 점수를 매기는 것을 허용한다. 이를
-통해 사용자는 적절한 파라미터를 사용해서 확장된 리소스를 빈 팩으로 만들 수 있어
-대규모의 클러스터에서 부족한 리소스의 활용도가 향상된다.
-`RequestedToCapacityRatioResourceAllocation` 우선 순위 기능의
-동작은 `RequestedToCapacityRatioArgs`라는
-구성 옵션으로 제어할 수 있다. 이 인수는 `shape`와 `resources`
-두 개의 파라미터로 구성된다. `shape` 파라미터는 사용자가 `utilization`과
-`score` 값을 기반으로 최소 요청 또는 최대 요청된 대로 기능을
-조정할 수 있게 한다. `resources` 파라미터는 점수를 매길 때 고려할
-리소스의 `name` 과 각 리소스의 가중치를 지정하는 `weight` 로
-구성된다.
+쿠버네티스는 사용자가 각 리소스에 대한 가중치와 함께 리소스를 지정하여 
+용량 대비 요청 비율을 기반으로 노드의 점수를 매기는 것을 허용한다. 
+이를 통해 사용자는 적절한 파라미터를 사용해서 확장된 리소스를 빈 팩으로 만들 수 있어 
+대규모의 클러스터에서 부족한 리소스의 활용도가 향상된다. 
+`RequestedToCapacityRatioResourceAllocation` 우선 순위 기능의 동작은 
+`RequestedToCapacityRatioArgs`라는 구성 옵션으로 제어할 수 있다. 
+이 인수는 `shape`와 `resources` 두 개의 파라미터로 구성된다. 
+`shape` 파라미터는 사용자가 `utilization`과 `score` 값을 기반으로 
+최소 요청 또는 최대 요청된 대로 기능을 조정할 수 있게 한다. 
+`resources` 파라미터는 점수를 매길 때 고려할 리소스의 `name` 과 
+각 리소스의 가중치를 지정하는 `weight` 로 구성된다.
 
 다음은 확장된 리소스 `intel.com/foo` 와 `intel.com/bar` 에 대한
 `requestedToCapacityRatioArguments` 를 빈 패킹 동작으로
 설정하는 구성의 예시이다.
 
 ```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta1
+apiVersion: kubescheduler.config.k8s.io/v1beta3
 kind: KubeSchedulerConfiguration
 profiles:
 # ...
diff --git a/content/ko/docs/concepts/security/controlling-access.md b/content/ko/docs/concepts/security/controlling-access.md
index cf2fc529ceb..ad30adf3c67 100644
--- a/content/ko/docs/concepts/security/controlling-access.md
+++ b/content/ko/docs/concepts/security/controlling-access.md
@@ -1,7 +1,9 @@
 ---
+
+
+
 title: 쿠버네티스 API 접근 제어하기
 content_type: concept
-weight: 5
 ---
 
 <!-- overview -->
@@ -29,13 +31,16 @@ API 서버의 인증서에 대한 루트 인증서를 포함하며,
 이 인증서는 일반적으로 `$USER/.kube/config`에 자동으로 기록된다.
 클러스터에 여러 명의 사용자가 있는 경우, 작성자는 인증서를 다른 사용자와 공유해야 한다.
 
+클라이언트는 이 단계에서 TLS 클라이언트 인증서를 제시할 수 있다.
+
 ## 인증
 
 TLS가 설정되면 HTTP 요청이 인증 단계로 넘어간다.
 이는 다이어그램에 **1**단계로 표시되어 있다.
 클러스터 생성 스크립트 또는 클러스터 관리자는
 API 서버가 하나 이상의 인증기 모듈을 실행하도록 구성한다.
-인증기는 [여기](/docs/reference/access-authn-authz/authentication/)에서 더 자세히 서술한다.
+인증기에 대해서는 
+[인증](/docs/reference/access-authn-authz/authentication/)에서 더 자세히 서술한다.
 
 인증 단계로 들어가는 것은 온전한 HTTP 요청이지만
 일반적으로 헤더 그리고/또는 클라이언트 인증서를 검사한다.
@@ -46,8 +51,6 @@ JWT 토큰(서비스 어카운트에 사용됨)을 포함한다.
 여러 개의 인증 모듈을 지정할 수 있으며,
 이 경우 하나의 인증 모듈이 성공할 때까지 각 모듈을 순차적으로 시도한다.
 
-GCE에서는 클라이언트 인증서, 암호, 일반 토큰 및 JWT 토큰이 모두 사용 가능하다.
-
 요청을 인증할 수 없는 경우 HTTP 상태 코드 401과 함께 거부된다.
 이 외에는 사용자가 특정 `username`으로 인증되며,
 이 username은 다음 단계에서 사용자의 결정에 사용할 수 있다.
@@ -126,6 +129,12 @@ Bob이 `projectCaribou` 네임스페이스에 있는 오브젝트에 쓰기(`cre
 요청이 모든 어드미션 제어 모듈을 통과하면 유효성 검사 루틴을 사용하여 해당 API 오브젝트를 검증한 후
 오브젝트 저장소에 기록(**4**단계)된다.
 
+## 감사(Auditing)
+
+쿠버네티스 감사는 클러스터에서 발생하는 일들의 순서를 문서로 기록하여, 보안과 관련되어 있고 시간 순서로 정리된 기록을 제공한다.
+클러스터는 사용자, 쿠버네티스 API를 사용하는 애플리케이션, 그리고 컨트롤 플레인 자신이 생성한 활동을 감사한다.
+
+더 많은 정보는 [감사](/docs/tasks/debug/debug-cluster/audit/)를 참고한다.
 
 ## API 서버 포트와 IP
 
diff --git a/content/ko/docs/concepts/policy/pod-security-policy.md b/content/ko/docs/concepts/security/pod-security-policy.md
similarity index 99%
rename from content/ko/docs/concepts/policy/pod-security-policy.md
rename to content/ko/docs/concepts/security/pod-security-policy.md
index a100c61acaa..13e1d4cde64 100644
--- a/content/ko/docs/concepts/policy/pod-security-policy.md
+++ b/content/ko/docs/concepts/security/pod-security-policy.md
@@ -652,13 +652,13 @@ spec:
 ### AppArmor
 
 파드시큐리티폴리시의 어노테이션을 통해 제어된다. [AppArmor
-문서](/ko/docs/tutorials/clusters/apparmor/#podsecuritypolicy-annotations)를 참고하길 바란다.
+문서](/ko/docs/tutorials/security/apparmor/#podsecuritypolicy-annotations)를 참고하길 바란다.
 
 ### Seccomp
 
 쿠버네티스 v1.19부터 파드나 컨테이너의 `securityContext` 에서
 `seccompProfile` 필드를 사용하여 [seccomp 프로파일 사용을
-제어](/docs/tutorials/clusters/seccomp)할 수 있다. 이전 버전에서는, 파드에
+제어](/docs/tutorials/security/seccomp/)할 수 있다. 이전 버전에서는, 파드에
 어노테이션을 추가하여 seccomp를 제어했다. 두 버전에서 동일한 파드시큐리티폴리시를 사용하여
 이러한 필드나 어노테이션이 적용되는 방식을 적용할 수 있다.
 
diff --git a/content/ko/docs/concepts/services-networking/dns-pod-service.md b/content/ko/docs/concepts/services-networking/dns-pod-service.md
index 75c1d14ccf1..9b4521e2b77 100644
--- a/content/ko/docs/concepts/services-networking/dns-pod-service.md
+++ b/content/ko/docs/concepts/services-networking/dns-pod-service.md
@@ -323,17 +323,6 @@ kube-apiserver와 kubelet에 `ExpandedDNSConfig` 기능 게이트가 활성화
 쿠버네티스는 최대 32개의 탐색 도메인과 
 최대 2048자의 탐색 도메인 목록을 허용한다.
 
-### 기능 가용성
-
-파드 DNS 환경 설정 기능과 DNS 정책 "`None`" 기능의 쿠버네티스 버전별 가용성은 다음과 같다.
-
-| 쿠버네티스 버전 | 기능 지원 |
-| :---------: |:-----------:|
-| 1.14 | 안정 |
-| 1.10 | 베타 (기본값으로 켜져 있음)|
-| 1.9 | 알파 |
-
-
 ## {{% heading "whatsnext" %}}
 
 
diff --git a/content/ko/docs/concepts/services-networking/dual-stack.md b/content/ko/docs/concepts/services-networking/dual-stack.md
index c17dca7ff9b..1e8c9c2a032 100644
--- a/content/ko/docs/concepts/services-networking/dual-stack.md
+++ b/content/ko/docs/concepts/services-networking/dual-stack.md
@@ -43,7 +43,7 @@ IPv4/IPv6 이중 스택 쿠버네티스 클러스터를 활용하려면 다음
      쿠버네티스 버전, 쿠버네티스 해당 버전에 대한
      문서 참조
    * 이중 스택 네트워킹을 위한 공급자의 지원(클라우드 공급자 또는 다른 방식으로 쿠버네티스 노드에 라우팅 가능한 IPv4/IPv6 네트워크 인터페이스를 제공할 수 있어야 한다.)
-   * 이중 스택(예: Kubenet 또는 Calico)을 지원하는 네트워크 플러그인
+   * 이중 스택 네트워킹을 지원하는 [네트워크 플러그인](/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)
 
 ## IPv4/IPv6 이중 스택 구성
 
diff --git a/content/ko/docs/concepts/services-networking/endpoint-slices.md b/content/ko/docs/concepts/services-networking/endpoint-slices.md
index 4ea1281faa9..7a3c2f0e0e6 100644
--- a/content/ko/docs/concepts/services-networking/endpoint-slices.md
+++ b/content/ko/docs/concepts/services-networking/endpoint-slices.md
@@ -1,4 +1,6 @@
 ---
+
+
 title: 엔드포인트슬라이스
 content_type: concept
 weight: 45
@@ -144,12 +146,12 @@ endpoints:
 v1 API에서는, 전용 필드 `nodeName` 및 `zone` 을 위해 엔드 포인트별
 `topology` 가 효과적으로 제거되었다.
 
-`EndpointSlice` 리소스의 `endpoint` 필드에 임의의 토폴로지 필드를
-설정하는 것은 더 이상 사용되지 않으며, v1 API에서 지원되지 않는다. 대신,
-v1 API는 개별 `nodeName` 및 `zone` 필드 설정을 지원한다. 이러한
-필드는 API 버전 간에 자동으로 번역된다. 예를 들어,
-v1beta1 API의 `topology` 필드에 있는 `"topology.kubernetes.io/zone"`
-키 값은 v1 API의 `zone` 필드로 접근할 수 있다.
+`EndpointSlice` 리소스의 `endpoint` 필드에 임의의 토폴로지 필드를 설정하는 것은 
+더 이상 사용되지 않으며 v1 API에서 지원되지 않는다. 
+대신, v1 API는 개별 `nodeName` 및 `zone` 필드 설정을 지원한다. 
+이러한 필드는 API 버전 간에 자동으로 번역된다. 
+예를 들어, v1beta1 API의 `topology` 필드에 있는 `"topology.kubernetes.io/zone"` 키 값은 
+v1 API의 `zone` 필드로 접근할 수 있다.
 {{< /note >}}
 
 ### 관리
diff --git a/content/ko/docs/concepts/services-networking/ingress-controllers.md b/content/ko/docs/concepts/services-networking/ingress-controllers.md
index 72c68d05633..67073efa4c2 100644
--- a/content/ko/docs/concepts/services-networking/ingress-controllers.md
+++ b/content/ko/docs/concepts/services-networking/ingress-controllers.md
@@ -23,7 +23,7 @@ weight: 40
 
 {{% thirdparty-content %}}
 
-* [AKS 애플리케이션 게이트웨이 인그레스 컨트롤러](https://azure.github.io/application-gateway-kubernetes-ingress/)는 [Azure 애플리케이션 게이트웨이](https://docs.microsoft.com)를 구성하는 인그레스 컨트롤러다.
+* [AKS 애플리케이션 게이트웨이 인그레스 컨트롤러](https://docs.microsoft.com/azure/application-gateway/tutorial-ingress-controller-add-on-existing?toc=https%3A%2F%2Fdocs.microsoft.com%2Fen-us%2Fazure%2Faks%2Ftoc.json&bc=https%3A%2F%2Fdocs.microsoft.com%2Fen-us%2Fazure%2Fbread%2Ftoc.json)는 [Azure 애플리케이션 게이트웨이](https://docs.microsoft.com/azure/application-gateway/overview)를 구성하는 인그레스 컨트롤러다.
 * [Ambassador](https://www.getambassador.io/) API 게이트웨이는 [Envoy](https://www.envoyproxy.io) 기반 인그레스
   컨트롤러다.
 * [Apache APISIX 인그레스 컨트롤러](https://github.com/apache/apisix-ingress-controller)는 [Apache APISIX](https://github.com/apache/apisix) 기반의 인그레스 컨트롤러이다.
@@ -48,6 +48,7 @@ weight: 40
   구동하는 인그레스 컨트롤러다.
 * [쿠버네티스 용 NGINX 인그레스 컨트롤러](https://www.nginx.com/products/nginx-ingress-controller/)는 [NGINX](https://www.nginx.com/resources/glossary/nginx/)
   웹서버(프록시로 사용)와 함께 작동한다.
+* [Pomerium 인그레스 컨트롤러](https://www.pomerium.com/docs/k8s/ingress.html)는 [Pomerium](https://pomerium.com/) 기반 인그레스 컨트롤러이며, 상황 인지 접근 정책을 제공한다.
 * [Skipper](https://opensource.zalando.com/skipper/kubernetes/ingress-controller/)는 사용자의 커스텀 프록시를 구축하기 위한 라이브러리로 설계된 쿠버네티스 인그레스와 같은 유스케이스를 포함한 서비스 구성을 위한 HTTP 라우터 및 역방향 프록시다.
 * [Traefik 쿠버네티스 인그레스 제공자](https://doc.traefik.io/traefik/providers/kubernetes-ingress/)는
   [Traefik](https://traefik.io/traefik/) 프록시 용 인그레스 컨트롤러다.
diff --git a/content/ko/docs/concepts/services-networking/ingress.md b/content/ko/docs/concepts/services-networking/ingress.md
index dff0437b008..ba281bf6599 100644
--- a/content/ko/docs/concepts/services-networking/ingress.md
+++ b/content/ko/docs/concepts/services-networking/ingress.md
@@ -74,7 +74,7 @@ graph LR;
 
 {{< codenew file="service/networking/minimal-ingress.yaml" >}}
 
-다른 모든 쿠버네티스 리소스와 마찬가지로 인그레스에는 `apiVersion`, `kind`, 그리고 `metadata` 필드가 필요하다.
+인그레스에는 `apiVersion`, `kind`, `metadata` 및 `spec` 필드가 명시되어야 한다.
 인그레스 오브젝트의 이름은 유효한
 [DNS 서브도메인 이름](/ko/docs/concepts/overview/working-with-objects/names/#dns-서브도메인-이름)이어야 한다.
 설정 파일의 작성에 대한 일반적인 내용은 [애플리케이션 배포하기](/ko/docs/tasks/run-application/run-stateless-application-deployment/), [컨테이너 구성하기](/docs/tasks/configure-pod-container/configure-pod-configmap/), [리소스 관리하기](/ko/docs/concepts/cluster-administration/manage-deployment/)를 참조한다.
@@ -118,8 +118,14 @@ graph LR;
 
 ### DefaultBackend {#default-backend}
 
-규칙이 없는 인그레스는 모든 트래픽을 단일 기본 백엔드로 전송한다. `defaultBackend` 는 일반적으로
-[인그레스 컨트롤러](/ko/docs/concepts/services-networking/ingress-controllers)의 구성 옵션이며, 인그레스 리소스에 지정되어 있지 않다.
+규칙이 없는 인그레스는 모든 트래픽을 단일 기본 백엔드로 전송하며, 
+`.spec.defaultBackend`는 이와 같은 경우에 요청을 처리할 백엔드를 지정한다. 
+`defaultBackend` 는 일반적으로 [인그레스 컨트롤러](/ko/docs/concepts/services-networking/ingress-controllers)의 구성 옵션이며, 
+인그레스 리소스에 지정되어 있지 않다. 
+`.spec.rules` 가 명시되어 있지 않으면, 
+`.spec.defaultBackend` 는 반드시 명시되어 있어야 한다. 
+`defaultBackend` 가 설정되어 있지 않으면, 어느 규칙에도 해당되지 않는 요청의 처리는 인그레스 컨트롤러의 구현을 따른다(이러한 
+경우를 어떻게 처리하는지 알아보려면 해당 인그레스 컨트롤러 문서를 참고한다).
 
 만약 인그레스 오브젝트의 HTTP 요청과 일치하는 호스트 또는 경로가 없으면, 트래픽은
 기본 백엔드로 라우팅 된다.
@@ -309,7 +315,7 @@ spec:
   controller: example.com/ingress-controller
   parameters:
     # 이 인그레스클래스에 대한 파라미터는 
-    # "external-configuration" 환경 설정 네임스페이스에 있는
+    # "external-configuration" 네임스페이스에 있는
     # "external-config" 라는 IngressParameter(API 그룹 k8s.example.com)에 기재되어 있다.
     scope: Namespace
     apiGroup: k8s.example.com
diff --git a/content/ko/docs/concepts/services-networking/network-policies.md b/content/ko/docs/concepts/services-networking/network-policies.md
index a7d47701ac4..f72d1f0cff5 100644
--- a/content/ko/docs/concepts/services-networking/network-policies.md
+++ b/content/ko/docs/concepts/services-networking/network-policies.md
@@ -45,42 +45,7 @@ pod- 또는 namespace- 기반의 네트워크폴리시를 정의할 때, {{< glo
 
 네트워크폴리시 의 예시는 다음과 같다.
 
-```yaml
-apiVersion: networking.k8s.io/v1
-kind: NetworkPolicy
-metadata:
-  name: test-network-policy
-  namespace: default
-spec:
-  podSelector:
-    matchLabels:
-      role: db
-  policyTypes:
-  - Ingress
-  - Egress
-  ingress:
-  - from:
-    - ipBlock:
-        cidr: 172.17.0.0/16
-        except:
-        - 172.17.1.0/24
-    - namespaceSelector:
-        matchLabels:
-          project: myproject
-    - podSelector:
-        matchLabels:
-          role: frontend
-    ports:
-    - protocol: TCP
-      port: 6379
-  egress:
-  - to:
-    - ipBlock:
-        cidr: 10.0.0.0/24
-    ports:
-    - protocol: TCP
-      port: 5978
-```
+{{< codenew file="service/networking/networkpolicy.yaml" >}}
 
 {{< note >}}
 선택한 네트워킹 솔루션이 네트워킹 정책을 지원하지 않으면 클러스터의 API 서버에 이를 POST 하더라도 효과가 없다.
@@ -281,7 +246,7 @@ API 서버에 대해 `--feature-gates=NetworkPolicyEndPort=false,…` 명령을
 
 ## 이름으로 네임스페이스 지정
 
-{{< feature-state state="beta" for_k8s_version="1.21" >}}
+{{< feature-state for_k8s_version="1.22" state="stable" >}}
 
 쿠버네티스 컨트롤 플레인은 `NamespaceDefaultLabelName`
 [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 경우
diff --git a/content/ko/docs/concepts/services-networking/service-topology.md b/content/ko/docs/concepts/services-networking/service-topology.md
index 8814c772c7e..898daa78538 100644
--- a/content/ko/docs/concepts/services-networking/service-topology.md
+++ b/content/ko/docs/concepts/services-networking/service-topology.md
@@ -16,7 +16,7 @@ weight: 10
 
 이 기능, 특히 알파 `topologyKeys` API는 쿠버네티스 v1.21부터
 더 이상 사용되지 않는다.
-쿠버네티스 v1.21에 도입된 [토폴로지 인지 힌트](/docs/concepts/services-networking/topology-aware-hints/)는
+쿠버네티스 v1.21에 도입된 [토폴로지 인지 힌트](/ko/docs/concepts/services-networking/topology-aware-hints/)는
 유사한 기능을 제공한다.
 
 {{</ note >}}
diff --git a/content/ko/docs/concepts/services-networking/service-traffic-policy.md b/content/ko/docs/concepts/services-networking/service-traffic-policy.md
index 34e6b3df39f..7696657c65c 100644
--- a/content/ko/docs/concepts/services-networking/service-traffic-policy.md
+++ b/content/ko/docs/concepts/services-networking/service-traffic-policy.md
@@ -68,6 +68,6 @@ kube-proxy는 `spec.internalTrafficPolicy` 의 설정에 따라서 라우팅되
 
 ## {{% heading "whatsnext" %}}
 
-* [토폴로지 인식 힌트](/docs/concepts/services-networking/topology-aware-hints/)에 대해서 읽기
+* [토폴로지 인지 힌트](/ko/docs/concepts/services-networking/topology-aware-hints/)에 대해서 읽기
 * [서비스 외부 트래픽 정책](/docs/tasks/access-application-cluster/create-external-load-balancer/#preserving-the-client-source-ip)에 대해서 읽기
 * [서비스와 애플리케이션 연결하기](/ko/docs/concepts/services-networking/connect-applications-service/) 읽기
diff --git a/content/ko/docs/concepts/services-networking/service.md b/content/ko/docs/concepts/services-networking/service.md
index 871323ea2a6..858c5ab09a3 100644
--- a/content/ko/docs/concepts/services-networking/service.md
+++ b/content/ko/docs/concepts/services-networking/service.md
@@ -24,7 +24,7 @@ weight: 10
 
 ## 동기
 
-쿠버네티스 {{< glossary_tooltip term_id="pod" text="파드" >}}는 클러스터 상태와
+쿠버네티스 {{< glossary_tooltip term_id="pod" text="파드" >}}는 클러스터 목표 상태(desired state)와
 일치하도록 생성되고 삭제된다. 파드는 비영구적 리소스이다.
 만약 앱을 실행하기 위해 {{< glossary_tooltip term_id="deployment" text="디플로이먼트" >}}를 사용한다면,
 동적으로 파드를 생성하고 제거할 수 있다.
@@ -108,13 +108,46 @@ spec:
 필드와 같은 값으로 설정된다.
 {{< /note >}}
 
-파드의 포트 정의에는 이름이 있고, 서비스의 `targetPort` 속성에서 이 이름을
-참조할 수 있다. 이것은 다른 포트 번호를 통한 가용한 동일 네트워크 프로토콜이 있고,
-단일 구성 이름을 사용하는 서비스 내에
-혼합된 파드가 존재해도 가능하다.
-이를 통해 서비스를 배포하고 진전시키는데 많은 유연성을 제공한다.
-예를 들어, 클라이언트를 망가뜨리지 않고, 백엔드 소프트웨어의 다음
-버전에서 파드가 노출시키는 포트 번호를 변경할 수 있다.
+파드의 포트 정의에 이름이 있으므로, 
+서비스의 `targetPort` 속성에서 이 이름을 참조할 수 있다. 
+예를 들어, 다음과 같은 방법으로 서비스의 `targetPort`를 파드 포트에 바인딩할 수 있다.
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: nginx
+  labels:
+    app.kubernetes.io/name: proxy
+spec:
+  containers:
+  - name: nginx
+    image: nginx:11.14.2
+    ports:
+      - containerPort: 80
+        name: http-web-svc
+        
+---
+apiVersion: v1
+kind: Service
+metadata:
+  name: nginx-service
+spec:
+  selector:
+    app.kubernetes.io/name: proxy
+  ports:
+  - name: name-of-service-port
+    protocol: TCP
+    port: 80
+    targetPort: http-web-svc
+```
+
+
+이것은 서로 다른 포트 번호를 통해 가용한 동일 네트워크 프로토콜이 있고, 
+단일 구성 이름을 사용하는 서비스 내에 혼합된 파드가 존재해도 가능하다. 
+이를 통해 서비스를 배포하고 진전시키는 데 많은 유연성을 제공한다. 
+예를 들어, 클라이언트를 망가뜨리지 않고, 
+백엔드 소프트웨어의 다음 버전에서 파드가 노출시키는 포트 번호를 변경할 수 있다.
 
 서비스의 기본 프로토콜은 TCP이다. 다른
 [지원되는 프로토콜](#protocol-support)을 사용할 수도 있다.
@@ -125,9 +158,9 @@ spec:
 
 ### 셀렉터가 없는 서비스
 
-서비스는 일반적으로 쿠버네티스 파드에 대한 접근을 추상화하지만,
-다른 종류의 백엔드를 추상화할 수도 있다.
-예를 들면
+서비스는 일반적으로 셀렉터를 이용하여 쿠버네티스 파드에 대한 접근을 추상화하지만, 
+셀렉터 대신 매칭되는(corresponding) 엔드포인트와 함께 사용되면 다른 종류의 백엔드도 추상화할 수 있으며, 
+여기에는 클러스터 외부에서 실행되는 것도 포함된다. 예시는 다음과 같다.
 
 * 프로덕션 환경에서는 외부 데이터베이스 클러스터를 사용하려고 하지만,
   테스트 환경에서는 자체 데이터베이스를 사용한다.
@@ -668,44 +701,38 @@ status:
 
 #### 프로토콜 유형이 혼합된 로드밸런서
 
-{{< feature-state for_k8s_version="v1.20" state="alpha" >}}
+{{< feature-state for_k8s_version="v1.24" state="beta" >}}
 
 기본적으로 로드밸런서 서비스 유형의 경우 둘 이상의 포트가 정의되어 있을 때 모든
 포트는 동일한 프로토콜을 가져야 하며 프로토콜은 클라우드 공급자가
 지원하는 프로토콜이어야 한다.
 
-kube-apiserver에 대해 기능 게이트 `MixedProtocolLBService`가 활성화된 경우 둘 이상의 포트가 정의되어 있을 때 다른 프로토콜을 사용할 수 있다.
+`MixedProtocolLBService` 기능 게이트(v1.24에서 kube-apiserver에 대해 기본적으로 활성화되어 있음)는 
+둘 이상의 포트가 정의되어 있는 경우에 로드밸런서 타입의 서비스에 대해 서로 다른 프로토콜을 사용할 수 있도록 해 준다.
 
 {{< note >}}
 
 로드밸런서 서비스 유형에 사용할 수 있는 프로토콜 세트는 여전히 클라우드 제공 업체에서 정의한다.
+클라우드 제공자가 혼합 프로토콜을 지원하지 않는다면 이는 단일 프로토콜만을 제공한다는 것을 의미한다.
 
 {{< /note >}}
 
 #### 로드밸런서 NodePort 할당 비활성화
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 `type=LoadBalancer` 서비스에 대한 노드 포트 할당을 선택적으로 비활성화할 수 있으며, 
 이는 `spec.allocateLoadBalancerNodePorts` 필드를 `false`로 설정하면 된다. 
 노드 포트를 사용하지 않고 트래픽을 파드로 직접 라우팅하는 로드 밸런서 구현에만 사용해야 한다.
 기본적으로 `spec.allocateLoadBalancerNodePorts`는 `true`이며 로드밸런서 서비스 유형은 계속해서 노드 포트를 할당할 것이다.
-노드 포트가 할당된 기존 서비스에서 `spec.allocateLoadBalancerNodePorts`가 `false`로 설정된 경우 
-해당 노드 포트는 자동으로 할당 해제되지 **않는다**.
+노드 포트가 할당된 기존 서비스에서 `spec.allocateLoadBalancerNodePorts`가 `false`로 설정된 경우 해당 노드 포트는 자동으로 할당 해제되지 **않는다**.
 이러한 노드 포트를 할당 해제하려면 모든 서비스 포트에서 `nodePorts` 항목을 명시적으로 제거해야 한다.
-이 필드를 사용하려면 클러스터에 `ServiceLBNodePortControl` 
-[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있어야 한다.
-쿠버네티스 v{{< skew currentVersion >}}에서, 이 기능 게이트는 기본적으로 활성화되어 있으므로, 
-`spec.allocateLoadBalancerNodePorts` 필드를 사용할 수 있다. 
-다른 버전의 쿠버네티스를 실행하는 클러스터에 대해서는, 해당 릴리스의 문서를 참조한다.
 
 #### 로드 밸런서 구현 클래스 지정 {#load-balancer-class}
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 `spec.loadBalancerClass` 필드를 설정하여 클라우드 제공자가 설정한 기본값 이외의 로드 밸런서 구현을 사용할 수 있다. 
-이 필드를 사용하기 위해서는 클러스터에 `ServiceLoadBalancerClass` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있어야 한다. 
-쿠버네티스 v{{< skew currentVersion >}}에서, 이 기능 게이트는 기본적으로 활성화되어 있다. 다른 버전의 쿠버네티스를 실행하는 클러스터에 대해서는, 해당 릴리스의 문서를 참조한다.
 기본적으로, `spec.loadBalancerClass` 는 `nil` 이고, 
 클러스터가 클라우드 제공자의 로드밸런서를 이용하도록 `--cloud-provider` 컴포넌트 플래그를 이용하여 설정되어 있으면 
 `LoadBalancer` 유형의 서비스는 클라우드 공급자의 기본 로드 밸런서 구현을 사용한다.
@@ -1211,7 +1238,7 @@ VIP용 유저스페이스 프록시를 사용하면 중소 규모의 스케일
 충분해야 한다. 그러나, 이해가 필요한 부분 뒤에는
 많은 일이 있다.
 
-### 충돌 방지
+### 충돌 방지 {#avoiding-collisions}
 
 쿠버네티스의 주요 철학 중 하나는 잘못한 것이
 없는 경우 실패할 수 있는 상황에 노출되어서는
@@ -1219,9 +1246,10 @@ VIP용 유저스페이스 프록시를 사용하면 중소 규모의 스케일
 충돌할 경우에 대비해 자신의 포트 번호를 선택하지
 않아도 된다. 그것은 격리 실패이다.
 
-서비스에 대한 포트 번호를 선택할 수 있도록 하기 위해, 두 개의
-서비스가 충돌하지 않도록 해야 한다. 쿠버네티스는 각 서비스에 고유한 IP 주소를
-할당하여 이를 수행한다.
+서비스에 대한 포트 번호를 선택할 수 있도록 하기 위해, 
+두 개의 서비스가 충돌하지 않도록 해야 한다. 
+쿠버네티스는 API 서버에 설정되어 있는 `service-cluster-ip-range` CIDR 범위에서 
+각 서비스에 고유한 IP 주소를 할당하여 이를 달성한다.
 
 각 서비스가 고유한 IP를 받도록 하기 위해, 내부 할당기는
 각 서비스를 만들기 전에 {{< glossary_tooltip term_id="etcd" >}}에서
@@ -1235,6 +1263,25 @@ IP 주소를 할당할 수 없다는 메시지와 함께 생성에 실패한다.
 할당 (예: 관리자 개입으로)을 체크하고 더 이상 서비스에서 사용하지 않는 할당된
 IP 주소를 정리한다.
 
+#### `type: ClusterIP` 서비스의 IP 주소 범위 {#service-ip-static-sub-range}
+
+{{< feature-state for_k8s_version="v1.24" state="alpha" >}}
+그러나, 이러한 `ClusterIP` 할당 전략에는 한 가지 문제가 있는데, 
+그것은 사용자 또한 [서비스의 IP 주소를 직접 고를 수 있기 때문이다](#choosing-your-own-ip-address).
+이로 인해 만약 내부 할당기(allocator)가 다른 서비스에 대해 동일한 IP 주소를 선택하면 
+충돌이 발생할 수 있다.
+
+`ServiceIPStaticSubrange` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화하면, 
+할당 전략은 `min(max(16, cidrSize / 16), 256)` 공식을 사용하여 얻어진 
+`service-cluster-ip-range`의 크기에 기반하여 `ClusterIP` 범위를 두 대역으로 나누며, 
+여기서 이 공식은 _16 이상 256 이하이며, 그 사이에 계단 함수가 있음_ 으로 설명할 수 있다. 
+동적 IP 할당은 상위 대역에서 우선적으로 선택하며, 
+이를 통해 하위 대역에서 할당된 IP와의 충돌 위험을 줄인다. 
+이렇게 함으로써 사용자가 서비스의 고정 IP를 
+`service-cluster-ip-range`의 하위 대역에서 할당하면서도 
+충돌 위험을 줄일 수 있다.
+
 ### 서비스 IP 주소 {#ips-and-vips}
 
 실제로 고정된 목적지로 라우팅되는 파드 IP 주소와 달리,
diff --git a/content/ko/docs/concepts/services-networking/topology-aware-hints.md b/content/ko/docs/concepts/services-networking/topology-aware-hints.md
index 7f086a5eee0..bf0f1fb8c28 100644
--- a/content/ko/docs/concepts/services-networking/topology-aware-hints.md
+++ b/content/ko/docs/concepts/services-networking/topology-aware-hints.md
@@ -19,6 +19,12 @@ _토폴로지 인지 힌트(Topology Aware Hints)_ 는 클라이언트가 엔드
 예를 들어, 비용을 줄이거나 네트워크 성능을 높이기 위해, 
 인접성을 고려하여 트래픽을 라우트할 수 있다.
 
+{{< note >}}
+"토폴로지 인지 힌트" 기능은 베타 단계이며 기본적으로 활성화되어 있지 **않다**. 
+이 기능을 사용해 보려면, 
+`TopologyAwareHints` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
+{{< /note >}}
+
 <!-- body -->
 
 ## 동기(motivation)
diff --git a/content/ko/docs/concepts/storage/ephemeral-volumes.md b/content/ko/docs/concepts/storage/ephemeral-volumes.md
index ea3a05d74bd..0360d4e59c7 100644
--- a/content/ko/docs/concepts/storage/ephemeral-volumes.md
+++ b/content/ko/docs/concepts/storage/ephemeral-volumes.md
@@ -107,7 +107,7 @@ metadata:
 spec:
   containers:
     - name: my-frontend
-      image: busybox
+      image: busybox:1.28
       volumeMounts:
       - mountPath: "/data"
         name: my-csi-inline-vol
@@ -125,8 +125,19 @@ spec:
 더 자세한 사항은 각 CSI 드라이버 문서를 
 참고한다.
 
-클러스터 관리자는, [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/policy/pod-security-policy/)를 사용하여 파드 내에서 어떤 CSI 드라이버가 사용될 수 있는지를 제어할 수 있으며, 
-[`allowedCSIDrivers` 필드](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritypolicyspec-v1beta1-policy)에 기재하면 된다.
+### CSI 드라이버 제한 사항
+
+CSI 임시 볼륨은 사용자로 하여금 `volumeAttributes`를 
+파드 스펙의 일부로서 CSI 드라이버에 직접 제공할 수 있도록 한다. 
+보통은 관리자만 사용할 수 있는 `volumeAttributes`를 허용하는 CSI 드라이버는 
+내장(inline) 임시 볼륨 내에서 사용하는 것이 적합하지 않다. 
+예를 들어, 일반적으로 스토리지클래스 내에 정의되어 있는 파라미터들은 
+내장 임시 볼륨 사용을 통해 사용자에게 노출되어서는 안 된다.
+
+클러스터 관리자가 이처럼 파드 스펙 내장 임시 볼륨 사용이 가능한 CSI 드라이버를 제한하려면 
+다음을 수행할 수 있다.
+- CSIDriver 스펙의 `volumeLifecycleModes`에서 `Ephemeral`을 제거하여, 해당 드라이버가 내장 임시 볼륨으로 사용되는 것을 막는다.
+- [어드미션 웹훅](/docs/reference/access-authn-authz/extensible-admission-controllers/)을 사용하여 드라이버를 활용하는 방법을 제한한다.
 
 ### 일반 임시 볼륨 {#generic-ephemeral-volumes}
 
@@ -158,7 +169,7 @@ metadata:
 spec:
   containers:
     - name: my-frontend
-      image: busybox
+      image: busybox:1.28
       volumeMounts:
       - mountPath: "/scratch"
         name: scratch-volume
@@ -196,7 +207,7 @@ spec:
 즉각적인 바인딩을 사용하는 경우, 
 스케줄러는 볼륨이 사용 가능해지는 즉시 해당 볼륨에 접근 가능한 노드를 선택하도록 강요받는다.
 
-[리소스 소유권](/ko/docs/concepts/workloads/controllers/garbage-collection/#소유자-owner-와-종속-dependent) 관점에서, 
+[리소스 소유권](/ko/docs/concepts/architecture/garbage-collection/#owners-dependents) 관점에서, 
 일반 임시 스토리지를 갖는 파드는 
 해당 임시 스토리지를 제공하는 퍼시스턴트볼륨클레임의 소유자이다. 
 파드가 삭제되면, 쿠버네티스 가비지 콜렉터는 해당 PVC를 삭제하는데, 
@@ -239,16 +250,9 @@ PVC 이름 규칙에 따라 서로 다른 파드 간 이름 충돌이 발생할
 
 GenericEphemeralVolume 기능을 활성화하면 
 사용자가 파드를 생성할 수 있는 경우 PVC를 간접적으로 생성할 수 있도록 허용하며, 
-심지어 사용자가 PVC를 직접적으로 만들 수 있는 권한이 없는 경우에도 이를 허용한다. 
-클러스터 관리자는 이를 명심해야 한다. 
-이것이 보안 모델에 부합하지 않는다면, 다음의 두 가지 선택지가 있다.
-- `volumes`의 목록 중에 `ephemeral` 볼륨 타입이 없는 경우, 
-  [파드시큐리티폴리시](/ko/docs/concepts/policy/pod-security-policy/)를 
-  사용한다(쿠버네티스 
-  1.21에서 사용 중단됨).
-- 일반 임시 볼륨을 갖는 파드와 같은 오브젝트를 거부하는 
-  [어드미션 웹훅](/docs/reference/access-authn-authz/extensible-admission-controllers/)을 
-  사용한다.
+심지어 사용자가 PVC를 직접적으로 만들 수 있는 권한이 없는 경우에도 이를 허용한다. 클러스터 관리자는 이를 명심해야 한다. 
+이것이 보안 모델에 부합하지 않는다면, [어드미션 웹훅](/docs/reference/access-authn-authz/extensible-admission-controllers/)을 사용하여 
+일반 임시 볼륨을 갖는 파드와 같은 오브젝트를 거부해야 한다.
 
 일반적인 [PVC의 네임스페이스 쿼터](/ko/docs/concepts/policy/resource-quotas/#스토리지-리소스-쿼터)는 여전히 적용되므로, 
 사용자가 이 새로운 메카니즘을 사용할 수 있도록 허용되었어도, 
diff --git a/content/ko/docs/concepts/storage/persistent-volumes.md b/content/ko/docs/concepts/storage/persistent-volumes.md
index 8796d2fd50d..857d25e8aec 100644
--- a/content/ko/docs/concepts/storage/persistent-volumes.md
+++ b/content/ko/docs/concepts/storage/persistent-volumes.md
@@ -175,6 +175,74 @@ spec:
 
 그러나 `volumes` 부분의 사용자 정의 재활용 파드 템플릿에 지정된 특정 경로는 재활용되는 볼륨의 특정 경로로 바뀐다.
 
+### 퍼시스턴트볼륨 삭제 보호 파이널라이저(finalizer) {#persistentvolume-deletion-protection-finalizer}
+{{< feature-state for_k8s_version="v1.23" state="alpha" >}}
+
+퍼시스턴트볼륨에 파이널라이저를 추가하여, `Delete` 반환 정책을 갖는 퍼시스턴트볼륨이 
+기반 스토리지(backing storage)가 삭제된 이후에만 삭제되도록 할 수 있다.
+
+새롭게 도입된 `kubernetes.io/pv-controller` 및 `external-provisioner.volume.kubernetes.io/finalizer` 파이널라이저는 
+동적으로 프로비전된 볼륨에만 추가된다.
+
+`kubernetes.io/pv-controller` 파이널라이저는 인-트리 플러그인 볼륨에 추가된다. 다음은 이에 대한 예시이다.
+
+```shell
+kubectl describe pv pvc-74a498d6-3929-47e8-8c02-078c1ece4d78
+Name:            pvc-74a498d6-3929-47e8-8c02-078c1ece4d78
+Labels:          <none>
+Annotations:     kubernetes.io/createdby: vsphere-volume-dynamic-provisioner
+                 pv.kubernetes.io/bound-by-controller: yes
+                 pv.kubernetes.io/provisioned-by: kubernetes.io/vsphere-volume
+Finalizers:      [kubernetes.io/pv-protection kubernetes.io/pv-controller]
+StorageClass:    vcp-sc
+Status:          Bound
+Claim:           default/vcp-pvc-1
+Reclaim Policy:  Delete
+Access Modes:    RWO
+VolumeMode:      Filesystem
+Capacity:        1Gi
+Node Affinity:   <none>
+Message:         
+Source:
+    Type:               vSphereVolume (a Persistent Disk resource in vSphere)
+    VolumePath:         [vsanDatastore] d49c4a62-166f-ce12-c464-020077ba5d46/kubernetes-dynamic-pvc-74a498d6-3929-47e8-8c02-078c1ece4d78.vmdk
+    FSType:             ext4
+    StoragePolicyName:  vSAN Default Storage Policy
+Events:                 <none>
+```
+
+`external-provisioner.volume.kubernetes.io/finalizer` 파이널라이저는 CSI 볼륨에 추가된다.
+다음은 이에 대한 예시이다.
+```shell
+Name:            pvc-2f0bab97-85a8-4552-8044-eb8be45cf48d
+Labels:          <none>
+Annotations:     pv.kubernetes.io/provisioned-by: csi.vsphere.vmware.com
+Finalizers:      [kubernetes.io/pv-protection external-provisioner.volume.kubernetes.io/finalizer]
+StorageClass:    fast
+Status:          Bound
+Claim:           demo-app/nginx-logs
+Reclaim Policy:  Delete
+Access Modes:    RWO
+VolumeMode:      Filesystem
+Capacity:        200Mi
+Node Affinity:   <none>
+Message:         
+Source:
+    Type:              CSI (a Container Storage Interface (CSI) volume source)
+    Driver:            csi.vsphere.vmware.com
+    FSType:            ext4
+    VolumeHandle:      44830fa8-79b4-406b-8b58-621ba25353fd
+    ReadOnly:          false
+    VolumeAttributes:      storage.kubernetes.io/csiProvisionerIdentity=1648442357185-8081-csi.vsphere.vmware.com
+                           type=vSphere CNS Block Volume
+Events:                <none>
+```
+
+특정 인-트리 볼륨 플러그인에 대해 `CSIMigration` 기능을 활성화하면 `kubernetes.io/pv-controller` 파이널라이저는 제거되고, 
+`external-provisioner.volume.kubernetes.io/finalizer` 파이널라이저가 추가된다. 
+이와 비슷하게, `CSIMigration` 기능을 비활성화하면 `external-provisioner.volume.kubernetes.io/finalizer` 파이널라이저는 제거되고, 
+`kubernetes.io/pv-controller` 파이널라이저가 추가된다.
+
 ### 퍼시스턴트볼륨 예약
 
 컨트롤 플레인은 클러스터에서 [퍼시스턴트볼륨클레임을 일치하는 퍼시스턴트볼륨에 바인딩](#바인딩)할
@@ -284,18 +352,13 @@ FlexVolume은 파드 재시작 시 크기를 조정할 수 있다.
 
 #### 사용 중인 퍼시스턴트볼륨클레임 크기 조정
 
-{{< feature-state for_k8s_version="v1.15" state="beta" >}}
-
-{{< note >}}
-사용 중인 PVC 확장은 쿠버네티스 1.15 이후 버전에서는 베타로, 1.11 이후 버전에서는 알파로 제공된다. `ExpandInUsePersistentVolumes` 기능을 사용하도록 설정해야 한다. 베타 기능의 경우 여러 클러스터에서 자동으로 적용된다. 자세한 내용은 [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/) 문서를 참고한다.
-{{< /note >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 이 경우 기존 PVC를 사용하는 파드 또는 디플로이먼트를 삭제하고 다시 만들 필요가 없다.
 파일시스템이 확장되자마자 사용 중인 PVC가 파드에서 자동으로 사용 가능하다.
 이 기능은 파드나 디플로이먼트에서 사용하지 않는 PVC에는 영향을 미치지 않는다. 확장을 완료하기 전에
 PVC를 사용하는 파드를 만들어야 한다.
 
-
 다른 볼륨 유형과 비슷하게 FlexVolume 볼륨도 파드에서 사용 중인 경우 확장할 수 있다.
 
 {{< note >}}
@@ -329,7 +392,7 @@ EBS 볼륨 확장은 시간이 많이 걸리는 작업이다. 또한 6시간마
 PVC 확장 실패의 사용자에 의한 복구는 쿠버네티스 1.23부터 제공되는 알파 기능이다. 이 기능이 작동하려면 `RecoverVolumeExpansionFailure` 기능이 활성화되어 있어야 한다. 더 많은 정보는 [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/) 문서를 참조한다.
 {{< /note >}}
 
-클러스터에 `ExpandPersistentVolumes`와 `RecoverVolumeExpansionFailure` 
+클러스터에 `RecoverVolumeExpansionFailure` 
 기능 게이트가 활성화되어 있는 상태에서 PVC 확장이 실패하면 
 이전에 요청했던 값보다 작은 크기로의 확장을 재시도할 수 있다. 
 더 작은 크기를 지정하여 확장 시도를 요청하려면, 
@@ -849,17 +912,12 @@ spec:
 
 ## 볼륨 파퓰레이터(Volume populator)와 데이터 소스
 
-{{< feature-state for_k8s_version="v1.22" state="alpha" >}}
+{{< feature-state for_k8s_version="v1.24" state="beta" >}}
 
-{{< note >}}
 쿠버네티스는 커스텀 볼륨 파퓰레이터를 지원한다. 
-이 알파 기능은 쿠버네티스 1.18에서 도입되었으며 
-1.22에서는 새로운 메카니즘과 리디자인된 API로 새롭게 구현되었다.
-현재 사용 중인 클러스터의 버전에 맞는 쿠버네티스 문서를 읽고 있는지 다시 한번 
-확인한다. {{% version-check %}}
-커스텀 볼륨 파퓰레이터를 사용하려면, kube-apiserver와 kube-controller-manager에 대해 
-`AnyVolumeDataSource` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
-{{< /note >}}
+커스텀 볼륨 파퓰레이터를 사용하려면, 
+kube-apiserver와 kube-controller-manager에 대해 `AnyVolumeDataSource` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
 
 볼륨 파퓰레이터는 `dataSourceRef`라는 PVC 스펙 필드를 활용한다. 
 다른 PersistentVolumeClaim 또는 VolumeSnapshot을 가리키는 참조만 명시할 수 있는 
@@ -877,6 +935,7 @@ spec:
 
 `dataSourceRef` 필드와 `dataSource` 필드 사이에는 
 사용자가 알고 있어야 할 두 가지 차이점이 있다.
+
 * `dataSource` 필드는 유효하지 않은 값(예를 들면, 빈 값)을 무시하지만, 
   `dataSourceRef` 필드는 어떠한 값도 무시하지 않으며 유효하지 않은 값이 들어오면 에러를 발생할 것이다. 
   유효하지 않은 값은 PVC를 제외한 모든 코어 오브젝트(apiGroup이 없는 오브젝트)이다.
diff --git a/content/ko/docs/concepts/storage/storage-capacity.md b/content/ko/docs/concepts/storage/storage-capacity.md
index 86c95ae13aa..69ce7e9e651 100644
--- a/content/ko/docs/concepts/storage/storage-capacity.md
+++ b/content/ko/docs/concepts/storage/storage-capacity.md
@@ -16,37 +16,41 @@ weight: 70
 예를 들어, 일부 노드에서 NAS(Network Attached Storage)에 접근할 수 없는 경우가 있을 수 있으며,
 또는 각 노드에 종속적인 로컬 스토리지를 사용하는 경우일 수도 있다.
 
-{{< feature-state for_k8s_version="v1.21" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 이 페이지에서는 쿠버네티스가 어떻게 스토리지 용량을 추적하고
 스케줄러가 남아 있는 볼륨을 제공하기 위해 스토리지 용량이 충분한 노드에
-파드를 스케줄링하기 위해 이 정보를 어떻게 사용하는지 설명한다.
+[파드를 스케줄링](/ko/docs/concepts/scheduling-eviction/)하기 위해 이 정보를 어떻게 사용하는지 설명한다.
 스토리지 용량을 추적하지 않으면, 스케줄러는
 볼륨을 제공할 충분한 용량이 없는 노드를 선정할 수 있으며,
 스케줄링을 여러 번 다시 시도해야 한다.
 
-스토리지 용량 추적은 {{< glossary_tooltip
-text="컨테이너 스토리지 인터페이스(CSI)" term_id="csi" >}} 드라이버에서 지원하며,
-CSI 드라이버를 설치할 때 [사용하도록 설정](#스토리지-용량-추적-활성화)해야 한다.
+## {{% heading "prerequisites" %}}
+
+쿠버네티스 v{{< skew currentVersion >}} 버전은 스토리지 용량 추적을 위한 클러스터-수준 API를 지원한다. 
+이를 사용하려면, 스토리지 용량 추적을 지원하는 CSI 드라이버를 사용하고 있어야 한다. 
+사용 중인 CSI 드라이버가 이를 지원하는지, 지원한다면 어떻게 사용하는지를 알아보려면 
+해당 CSI 드라이버의 문서를 참고한다. 
+쿠버네티스 v{{< skew currentVersion >}} 버전을 사용하고 있지 않다면, 
+해당 버전 쿠버네티스 문서를 참고한다.
 
 <!-- body -->
 
 ## API
 
  이 기능에는 다음 두 가지 API 확장이 있다.
-- CSIStorageCapacity 오브젝트:
+- [CSIStorageCapacity](/docs/reference/kubernetes-api/config-and-storage-resources/csi-storage-capacity-v1/) 오브젝트:
   CSI 드라이버가 설치된 네임스페이스에
   CSI 드라이버가 이 오브젝트를 생성한다. 각 오브젝트는
   하나의 스토리지 클래스에 대한 용량 정보를 담고 있으며,
   어떤 노드가 해당 스토리지에 접근할 수 있는지를 정의한다.
-- [ `CSIDriverSpec.StorageCapacity` 필드](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#csidriverspec-v1-storage-k8s-io):
+- [`CSIDriverSpec.StorageCapacity` 필드](/docs/reference/kubernetes-api/config-and-storage-resources/csi-driver-v1/#CSIDriverSpec):
   `true`로 설정하면, 쿠버네티스 스케줄러가
   CSI 드라이버를 사용하는 볼륨의 스토리지 용량을 고려하게 된다.
 
 ## 스케줄링
 
 다음과 같은 경우 쿠버네티스 스케줄러에서 스토리지 용량 정보를 사용한다.
-- `CSIStorageCapacity` 기능 게이트(feature gate)가 true이고,
 - 파드가 아직 생성되지 않은 볼륨을 사용하고,
 - 해당 볼륨은 CSI 드라이버를 참조하고
   `WaitForFirstConsumer`
@@ -97,20 +101,9 @@ CSI 스토리지 드라이버에 볼륨 생성을 요청한다
 토폴로지 세그먼트에 하나의 볼륨이 이미 생성되어
 다른 볼륨에 충분한 용량이 남아 있지 않을 수 있다.
 이러한 상황을 복구하려면
-용량을 늘리거나 이미 생성된 볼륨을 삭제하는 등의 수작업이 필요하며,
-자동으로 처리하려면
-[추가 작업](https://github.com/kubernetes/enhancements/pull/1703)이 필요하다.
-
-## 스토리지 용량 추적 활성화
-
-스토리지 용량 추적은 베타 기능이며,
-쿠버네티스 1.21 이후 버전부터 쿠버네티스 클러스터에 기본적으로 활성화되어 있다.
-클러스터에서 스토리지 용량 추적 기능을 활성화하는 것뿐만 아니라, CSI 드라이버에서도 이 기능을 지원해야 한다.
-자세한 내용은 드라이버 문서를 참조한다.
+용량을 늘리거나 이미 생성된 볼륨을 삭제하는 등의 수작업이 필요하다.
 
 ## {{% heading "whatsnext" %}}
 
 - 설계에 대한 자세한 내용은
  [파드 스케줄링 스토리지 용량 제약 조건](https://github.com/kubernetes/enhancements/blob/master/keps/sig-storage/1472-storage-capacity-tracking/README.md)을 참조한다.
-- 이 기능의 추가 개발에 대한 자세한 내용은 [개선 추적 이슈 #1472](https://github.com/kubernetes/enhancements/issues/1472)를 참조한다.
-- [쿠버네티스 스케줄러](/ko/docs/concepts/scheduling-eviction/kube-scheduler/)에 대해 살펴본다.
diff --git a/content/ko/docs/concepts/storage/storage-classes.md b/content/ko/docs/concepts/storage/storage-classes.md
index 4fff50dcedf..970b7f3ddd5 100644
--- a/content/ko/docs/concepts/storage/storage-classes.md
+++ b/content/ko/docs/concepts/storage/storage-classes.md
@@ -87,7 +87,7 @@ volumeBindingMode: Immediate
 여기 목록에서 "내부" 프로비저너를 지정할 수 있다(이
 이름은 "kubernetes.io" 가 접두사로 시작하고, 쿠버네티스와
 함께 제공된다). 또한, 쿠버네티스에서 정의한
-[사양](https://git.k8s.io/community/contributors/design-proposals/storage/volume-provisioning.md)을
+[사양](https://github.com/kubernetes/design-proposals-archive/blob/main/storage/volume-provisioning.md)을
 따르는 독립적인 프로그램인 외부 프로비저너를 실행하고 지정할 수 있다.
 외부 프로비저너의 작성자는 코드의 수명, 프로비저너의
 배송 방법, 실행 방법, (Flex를 포함한)볼륨 플러그인
@@ -241,8 +241,8 @@ allowedTopologies:
 - matchLabelExpressions:
   - key: failure-domain.beta.kubernetes.io/zone
     values:
-    - us-central1-a
-    - us-central1-b
+    - us-central-1a
+    - us-central-1b
 ```
 
 ## 파라미터
diff --git a/content/ko/docs/concepts/storage/volume-health-monitoring.md b/content/ko/docs/concepts/storage/volume-health-monitoring.md
index ce149165da9..99cc8ca3530 100644
--- a/content/ko/docs/concepts/storage/volume-health-monitoring.md
+++ b/content/ko/docs/concepts/storage/volume-health-monitoring.md
@@ -1,4 +1,9 @@
 ---
+
+
+
+
+
 title: 볼륨 헬스 모니터링
 content_type: concept
 ---
@@ -19,7 +24,7 @@ CSI 드라이버가 컨트롤러 측의 볼륨 헬스 모니터링 기능을 지
 
 외부 헬스 모니터 {{< glossary_tooltip text="컨트롤러" term_id="controller" >}}는 노드 장애 이벤트도 감시한다. `enable-node-watcher` 플래그를 true로 설정하여 노드 장애 모니터링을 활성화할 수 있다. 외부 헬스 모니터가 노드 장애 이벤트를 감지하면, 컨트롤러는 이 PVC를 사용하는 파드가 장애 상태인 노드에 있음을 나타내는 이벤트가 PVC에 보고된다고 알린다.
 
-CSI 드라이버가 노드 측에서 볼륨 헬스 모니터링 기능을 지원하는 경우, CSI 볼륨에서 비정상적인 볼륨 상태가 감지되면 PVC를 사용하는 모든 파드에서 이벤트가 보고된다.
+CSI 드라이버가 노드 측에서 볼륨 헬스 모니터링 기능을 지원하는 경우, CSI 볼륨에서 비정상적인 볼륨 상태가 감지되면 PVC를 사용하는 모든 파드에서 이벤트가 보고된다. 그리고, 볼륨 헬스 정보는 kubelet VolumeStats 메트릭 형태로 노출된다. 새로운 kubelet_volume_stats_health_status_abnormal 메트릭이 추가되었다. 이 메트릭은 `namespace` 및 `persistentvolumeclaim` 2개의 레이블을 포함한다. 카운터는 1 또는 0이다. 카운터가 1이면 볼륨이 정상적이지 않음을, 0이면 정상적임을 의미한다. 더 많은 정보는 [KEP](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/1432-volume-health-monitor#kubelet-metrics-changes)를 참고한다.
 
 {{< note >}}
 노드 측에서 이 기능을 사용하려면 `CSIVolumeHealth` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
diff --git a/content/ko/docs/concepts/storage/volume-snapshots.md b/content/ko/docs/concepts/storage/volume-snapshots.md
index d54ed5c45c0..0d02310ae86 100644
--- a/content/ko/docs/concepts/storage/volume-snapshots.md
+++ b/content/ko/docs/concepts/storage/volume-snapshots.md
@@ -120,6 +120,7 @@ spec:
   driver: hostpath.csi.k8s.io
   source:
     volumeHandle: ee0cfb94-f8d4-11e9-b2d8-0242ac110002
+  sourceVolumeMode: Filesystem
   volumeSnapshotClassName: csi-hostpath-snapclass
   volumeSnapshotRef:
     name: new-snapshot-test
@@ -141,6 +142,7 @@ spec:
   driver: hostpath.csi.k8s.io
   source:
     snapshotHandle: 7bdd0de3-aaeb-11e8-9aae-0242ac110002
+  sourceVolumeMode: Filesystem
   volumeSnapshotRef:
     name: new-snapshot-test
     namespace: default
@@ -148,6 +150,51 @@ spec:
 
 `snapshotHandle` 은 스토리지 백엔드에서 생성된 볼륨 스냅샷의 고유 식별자이다. 이 필드는 사전 프로비저닝된 스냅샷에 필요하다. `VolumeSnapshotContent` 가 나타내는 스토리지 시스템의 CSI 스냅샷 id를 지정한다.
 
+`sourceVolumeMode` 은 스냅샷이 생성된 볼륨의 모드를 나타낸다. 
+`sourceVolumeMode` 필드의 값은 `Filesystem` 또는 `Block` 일 수 있다. 
+소스 볼륨 모드가 명시되어 있지 않으면, 
+쿠버네티스는 해당 스냅샷의 소스 볼륨 모드를 알려지지 않은 상태(unknown)로 간주하여 스냅샷을 처리한다.
+
+## 스냅샷의 볼륨 모드 변환하기 {#convert-volume-mode}
+
+클러스터에 설치된 `VolumeSnapshots` API가 `sourceVolumeMode` 필드를 지원한다면, 
+인증되지 않은 사용자가 볼륨의 모드를 변경하는 것을 금지하는 기능이 
+API에 있는 것이다.
+
+클러스터가 이 기능을 지원하는지 확인하려면, 다음 명령어를 실행한다.
+
+```yaml
+$ kubectl get crd volumesnapshotcontent -o yaml
+```
+
+사용자가 기존 `VolumeSnapshot`으로부터 `PersistentVolumeClaim`을 생성할 때 
+기존 소스와 다른 볼륨 모드를 지정할 수 있도록 하려면, 
+`VolumeSnapshot`와 연관된 `VolumeSnapshotContent`에 
+`snapshot.storage.kubernetes.io/allowVolumeModeChange: "true"` 어노테이션을 추가해야 한다.
+
+이전에 프로비전된 스냅샷의 경우에는, 
+클러스터 관리자가 `Spec.SourceVolumeMode`를 추가해야 한다.
+
+이 기능이 활성화된 예시 `VolumeSnapshotContent` 리소스는 다음과 같을 것이다.
+
+```yaml
+apiVersion: snapshot.storage.k8s.io/v1
+kind: VolumeSnapshotContent
+metadata:
+  name: new-snapshot-content-test
+  annotations:
+    - snapshot.storage.kubernetes.io/allowVolumeModeChange: "true"
+spec:
+  deletionPolicy: Delete
+  driver: hostpath.csi.k8s.io
+  source:
+    snapshotHandle: 7bdd0de3-aaeb-11e8-9aae-0242ac110002
+  sourceVolumeMode: Filesystem
+  volumeSnapshotRef:
+    name: new-snapshot-test
+    namespace: default
+```
+
 ## 스냅샷을 위한 프로비저닝 볼륨
 
 `PersistentVolumeClaim` 오브젝트의 *dataSource* 필드를 사용하여
diff --git a/content/ko/docs/concepts/storage/volumes.md b/content/ko/docs/concepts/storage/volumes.md
index ea5b9ed25ed..c7f6a2df5a0 100644
--- a/content/ko/docs/concepts/storage/volumes.md
+++ b/content/ko/docs/concepts/storage/volumes.md
@@ -143,14 +143,20 @@ EBS 볼륨이 파티션된 경우, 선택적 필드인 `partition: "<partition n
 
 #### azureDisk CSI 마이그레이션
 
-{{< feature-state for_k8s_version="v1.19" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-`azureDisk` 의 `CSIMigration` 기능이 활성화된 경우, 기존 트리 내 플러그인에서
-`disk.csi.azure.com` 컨테이너 스토리지 인터페이스(CSI)
-드라이버로 모든 플러그인 작업을 수행한다. 이 기능을 사용하려면, 클러스터에 [Azure 디스크 CSI
-드라이버](https://github.com/kubernetes-sigs/azuredisk-csi-driver)
-를 설치하고 `CSIMigration` 과 `CSIMigrationAzureDisk`
-기능을 활성화해야 한다.
+`azureDisk` 의 `CSIMigration` 기능이 활성화된 경우, 
+기존 인-트리 플러그인의 모든 플러그인 작업을 
+`disk.csi.azure.com` 컨테이너 스토리지 인터페이스(CSI) 드라이버로 리다이렉트한다. 
+이 기능을 사용하려면, 클러스터에 [Azure 디스크 CSI 드라이버](https://github.com/kubernetes-sigs/azuredisk-csi-driver) 를 설치하고 
+`CSIMigration` 기능을 활성화해야 한다.
+
+#### azureDisk CSI 마이그레이션 완료
+
+{{< feature-state for_k8s_version="v1.21" state="alpha" >}}
+
+컨트롤러 매니저 및 kubelet이 `azureDisk` 스토리지 플러그인을 로드하지 않도록 하려면, 
+`InTreePluginAzureDiskUnregister` 플래그를 `true`로 설정한다.
 
 ### azureFile {#azurefile}
 
@@ -170,7 +176,15 @@ EBS 볼륨이 파티션된 경우, 선택적 필드인 `partition: "<partition n
 를 설치하고 `CSIMigration` 과 `CSIMigrationAzureFile`
 [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
 
-Azure File CSI 드라이버는 동일한 볼륨을 다른 fsgroup에서 사용하는 것을 지원하지 않는다. Azurefile CSI 마이그레이션이 활성화된 경우, 다른 fsgroup에서 동일한 볼륨을 사용하는 것은 전혀 지원되지 않는다.
+Azure File CSI 드라이버는 동일한 볼륨을 다른 fsgroup에서 사용하는 것을 지원하지 않는다. 
+Azurefile CSI 마이그레이션이 활성화된 경우, 다른 fsgroup에서 동일한 볼륨을 사용하는 것은 전혀 지원되지 않는다.
+
+#### azureFile CSI 마이그레이션 완료
+
+{{< feature-state for_k8s_version="v1.21" state="alpha" >}}
+
+컨트롤러 매니저 및 kubelet이 `azureFile` 스토리지 플러그인을 로드하지 않도록 하려면, 
+`InTreePluginAzureFileUnregister` 플래그를 `true`로 설정한다.
 
 ### cephfs
 
@@ -219,17 +233,17 @@ spec:
 
 #### 오픈스택 CSI 마이그레이션
 
-{{< feature-state for_k8s_version="v1.21" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-Cinder의`CSIMigration` 기능은 Kubernetes 1.21에서 기본적으로 활성화됩니다.
+Cinder의`CSIMigration` 기능은 Kubernetes 1.21부터 기본적으로 활성화되어 있다.
 기존 트리 내 플러그인에서 `cinder.csi.openstack.org` 컨테이너 스토리지 인터페이스(CSI)
 드라이버로 모든 플러그인 작업을 수행한다.
 [오픈스택 Cinder CSI 드라이버](https://github.com/kubernetes/cloud-provider-openstack/blob/master/docs/cinder-csi-plugin/using-cinder-csi-plugin.md)가
 클러스터에 설치되어 있어야 한다.
-`CSIMigrationOpenStack` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를
-`false` 로 설정하여 클러스터에 대한 Cinder CSI 마이그레이션을 비활성화할 수 있다.
-`CSIMigrationOpenStack` 기능을 비활성화하면, 트리 내 Cinder 볼륨 플러그인이
-Cinder 볼륨 스토리지 관리의 모든 측면을 담당한다.
+
+컨트롤러 매니저 및 kubelet이 인-트리 Cinder 플러그인을 로드하지 않도록 하려면, 
+`InTreePluginOpenStackUnregister` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화한다.
 
 ### 컨피그맵(configMap) {#configmap}
 
@@ -251,7 +265,7 @@ metadata:
 spec:
   containers:
     - name: test
-      image: busybox
+      image: busybox:1.28
       volumeMounts:
         - name: config-vol
           mountPath: /etc/config
@@ -879,7 +893,7 @@ RBD CSI 드라이버로의 마이그레이션을 시도하기 전에
 * 또한, 트리 내(in-tree) 스토리지클래스의 
   `adminId` 값이 `admin`이 아니면, 트리 내(in-tree) 스토리지클래스의 
   `adminSecretName` 값이 `adminId` 파라미터 값의 
-  base64 값으로 패치되어야 하며, 아니면 이 단계를 건너뛸 수 있다.
+  base64 값으로 패치되어야 하며, 아니면 이 단계를 건너뛸 수 있다. {{< /note >}}
 
 ### secret
 
@@ -955,66 +969,15 @@ spec:
 StorageOS, 동적 프로비저닝과 퍼시스턴트 볼륨 클래임에 대한 더 자세한 정보는
 [StorageOS 예제](https://github.com/kubernetes/examples/blob/master/volumes/storageos)를 참고한다.
 
-### vsphereVolume {#vspherevolume}
+### vsphereVolume (사용 중단됨) {#vspherevolume}
 
 {{< note >}}
-쿠버네티스 vSphere 클라우드 공급자를 구성해야 한다. 클라우드공급자
-구성에 대해선 [vSphere 시작 가이드](https://vmware.github.io/vsphere-storage-for-kubernetes/documentation/)를 참조한다.
+이 드라이버 대신 외부(out-of-tree) vSphere CSI 드라이버를 사용하는 것을 권장한다.
 {{< /note >}}
 
 `vsphereVolume` 은 vSphere VMDK 볼륨을 파드에 마운트하는데 사용된다.  볼륨을
 마운트 해제해도 볼륨의 내용이 유지된다. VMFS와 VSAM 데이터스토어를 모두 지원한다.
 
-{{< note >}}
-파드와 함께 사용하기 위해선 먼저 다음 방법 중 하나를 사용하여 vSphere VMDK 볼륨을 생성해야 한다.
-{{< /note >}}
-
-#### VMDK 볼륨 생성하기 {#creating-vmdk-volume}
-
-다음 중 하나를 선택해서 VMDK를 생성한다.
-
-{{< tabs name="tabs_volumes" >}}
-{{% tab name="vmkfstools를 사용해서 생성" %}}
-먼저 ESX에 ssh로 들어간 다음, 다음 명령을 사용해서 VMDK를 생성한다.
-
-```shell
-vmkfstools -c 2G /vmfs/volumes/DatastoreName/volumes/myDisk.vmdk
-```
-
-{{% /tab %}}
-{{% tab name="vmware-vdiskmanager를 사용해서 생성" %}}
-다음 명령을 사용해서 VMDK를 생성한다.
-
-```shell
-vmware-vdiskmanager -c -t 0 -s 40GB -a lsilogic myDisk.vmdk
-```
-
-{{% /tab %}}
-
-{{< /tabs >}}
-
-#### vSphere VMDK 구성 예시 {#vsphere-vmdk-configuration}
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: test-vmdk
-spec:
-  containers:
-  - image: k8s.gcr.io/test-webserver
-    name: test-container
-    volumeMounts:
-    - mountPath: /test-vmdk
-      name: test-volume
-  volumes:
-  - name: test-volume
-    # 이 VMDK 볼륨은 이미 있어야 한다.
-    vsphereVolume:
-      volumePath: "[DatastoreName] volumes/myDisk"
-      fsType: ext4
-```
-
 더 자세한 내용은 [vSphere 볼륨](https://github.com/kubernetes/examples/tree/master/staging/volumes/vsphere) 예제를 참고한다.
 
 #### vSphere CSI 마이그레이션 {#vsphere-csi-migration}
@@ -1026,8 +989,15 @@ spec:
 [vSphere CSI 드라이버](https://github.com/kubernetes-sigs/vsphere-csi-driver)가
 클러스터에 설치되어야 하며 `CSIMigration` 및 `CSIMigrationvSphere`
 [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있어야 한다.
+마이그레이션에 대한 추가 조언은 VMware의 문서 페이지 
+[인-트리 vSphere 볼륨을 vSphere 컨테이너 스토리지 플러그인으로 마이그레이션하기](https://docs.vmware.com/en/VMware-vSphere-Container-Storage-Plug-in/2.0/vmware-vsphere-csp-getting-started/GUID-968D421F-D464-4E22-8127-6CB9FF54423F.html)를 참고한다.
 
-또한 최소 vSphere vCenter/ESXi 버전은 7.0u1이고 최소 HW 버전은 VM 버전 15여야 한다.
+쿠버네티스 v{{< skew currentVersion >}} 버전에서 외부(out-of-tree) CSI 드라이버로 마이그레이션하려면 
+vSphere 7.0u2 이상을 사용하고 있어야 한다. 
+v{{< skew currentVersion >}} 외의 쿠버네티스 버전을 사용 중인 경우, 
+해당 쿠버네티스 버전의 문서를 참고한다. 
+쿠버네티스 v{{< skew currentVersion >}} 버전과 vSphere 이전 버전을 사용 중이라면, 
+vSphere 버전을 7.0u2 이상으로 업그레이드하는 것을 추천한다.
 
 {{< note >}}
 빌트인 `vsphereVolume` 플러그인의 다음 스토리지클래스 파라미터는 vSphere CSI 드라이버에서 지원되지 않는다.
@@ -1128,7 +1098,7 @@ spec:
         fieldRef:
           apiVersion: v1
           fieldPath: metadata.name
-    image: busybox
+    image: busybox:1.28
     command: [ "sh", "-c", "while [ true ]; do echo 'Hello'; sleep 10; done | tee -a /logs/hello.txt" ]
     volumeMounts:
     - name: workdir1
@@ -1196,10 +1166,9 @@ CSI 호환 볼륨 드라이버가 쿠버네티스 클러스터에 배포되면
 `csi` 볼륨은 세 가지 방법으로 파드에서 사용할 수 있다.
 
 * [퍼시스턴트볼륨클레임](#persistentvolumeclaim)에 대한 참조를 통해서
-* [일반 임시 볼륨](/docs/concepts/storage/ephemeral-volumes/#generic-ephemeral-volume)과 함께
-(알파 기능)
+* [일반 임시 볼륨](/ko/docs/concepts/storage/ephemeral-volumes/#generic-ephemeral-volumes)과 함께
 * 드라이버가 지원하는 경우
-[CSI 임시 볼륨](/docs/concepts/storage/ephemeral-volumes/#csi-ephemeral-volume)과 함께 (베타 기능)
+  [CSI 임시 볼륨](/ko/docs/concepts/storage/ephemeral-volumes/#csi-ephemeral-volumes)과 함께 (베타 기능)
 
 스토리지 관리자가 다음 필드를 사용해서 CSI 퍼시스턴트 볼륨을
 구성할 수 있다.
@@ -1262,11 +1231,11 @@ CSI 설정 변경 없이 평소와 같이
 
 {{< feature-state for_k8s_version="v1.16" state="beta" >}}
 
-파드 명세 내에서 CSI 볼륨을 직접 구성할 수
-있다. 이 방식으로 지정된 볼륨은 임시 볼륨이며
-파드가 다시 시작할 때 지속되지 않는다. 자세한 내용은 [임시
-볼륨](/docs/concepts/storage/ephemeral-volumes/#csi-ephemeral-volumes)을
-참고한다.
+파드 명세 내에서 CSI 볼륨을 직접 구성할 수 있다. 
+이 방식으로 지정된 볼륨은 임시 볼륨이며 
+파드가 다시 시작할 때 지속되지 않는다. 
+자세한 내용은 
+[임시 볼륨](/ko/docs/concepts/storage/ephemeral-volumes/#csi-ephemeral-volumes)을 참고한다.
 
 CSI 드라이버의 개발 방법에 대한 더 자세한 정보는
 [쿠버네티스-csi 문서](https://kubernetes-csi.github.io/docs/)를 참조한다.
diff --git a/content/ko/docs/concepts/workloads/controllers/cron-jobs.md b/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
index 34ac547b737..7ab8eca81ee 100644
--- a/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
+++ b/content/ko/docs/concepts/workloads/controllers/cron-jobs.md
@@ -69,7 +69,7 @@ kube-controller-manager 컨테이너에 설정된 시간대는
 # │ │ │ ┌───────────── 월 (1 - 12)
 # │ │ │ │ ┌───────────── 요일 (0 - 6) (일요일부터 토요일까지;
 # │ │ │ │ │                                   특정 시스템에서는 7도 일요일)
-# │ │ │ │ │
+# │ │ │ │ │                                   또는 sun, mon, tue, wed, thu, fri, sat
 # │ │ │ │ │
 # * * * * *
 ```
@@ -91,6 +91,21 @@ kube-controller-manager 컨테이너에 설정된 시간대는
 
 크론잡 스케줄 표현을 생성하기 위해서 [crontab.guru](https://crontab.guru/)와 같은 웹 도구를 사용할 수도 있다.
 
+## 타임 존
+크론잡에 타임 존이 명시되어 있지 않으면, kube-controller-manager는 로컬 타임 존을 기준으로 스케줄을 해석한다.
+
+{{< feature-state for_k8s_version="v1.24" state="alpha" >}}
+
+`CronJobTimeZone` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화하면, 
+크론잡에 대해 타임 존을 명시할 수 있다(기능 게이트를 활성화하지 않거나, 
+타임 존에 대한 실험적 지원을 제공하지 않는 쿠버네티스 버전을 사용 중인 경우, 
+클러스터의 모든 크론잡은 타임 존이 명시되지 않은 것으로 동작한다).
+
+이 기능을 활성화하면, `spec.timeZone`을 유효한 [타임 존](https://en.wikipedia.org/wiki/List_of_tz_database_time_zones) 이름으로 지정할 수 있다. 
+예를 들어, `spec.timeZone: "Etc/UTC"`와 같이 설정하면 쿠버네티스는 협정 세계시를 기준으로 스케줄을 해석한다.
+
+Go 표준 라이브러리의 타임 존 데이터베이스가 바이너리로 인클루드되며, 시스템에서 외부 데이터베이스를 사용할 수 없을 때 폴백(fallback)으로 사용된다.
+
 ## 크론잡의 한계 {#cron-job-limitations}
 
 크론잡은 일정의 실행시간 마다 _약_ 한 번의 잡 오브젝트를 생성한다. "약" 이라고 하는 이유는
diff --git a/content/ko/docs/concepts/workloads/controllers/daemonset.md b/content/ko/docs/concepts/workloads/controllers/daemonset.md
index 33b8812d1a8..ffd07afd9a9 100644
--- a/content/ko/docs/concepts/workloads/controllers/daemonset.md
+++ b/content/ko/docs/concepts/workloads/controllers/daemonset.md
@@ -76,11 +76,11 @@ kubectl apply -f https://k8s.io/examples/controllers/daemonset.yaml
 `.spec.selector` 필드는 파드 셀렉터이다. 이것은
 [잡](/ko/docs/concepts/workloads/controllers/job/)의 `.spec.selector` 와 같은 동작을 한다.
 
-쿠버네티스 1.8 부터는 레이블이 `.spec.template` 와 일치하는 파드 셀렉터를 명시해야 한다.
-파드 셀렉터는 비워두면 더 이상 기본 값이 설정이 되지 않는다.
-셀렉터의 기본 값은 `kubectl apply` 과 호환되지 않는다.
-또한, 한 번 데몬셋이 만들어지면 `.spec.selector` 의 변형은 가능하지 않다.
-파드 셀렉터를 변형하면 의도하지 않게 파드는 고아가 되거나 사용자에게 혼란을 주는 것으로 밝혀졌다.
+`.spec.template`의 레이블과 매치되는 
+파드 셀렉터를 명시해야 한다.
+또한, 한 번 데몬셋이 만들어지면 
+`.spec.selector` 는 바꿀 수 없다.
+파드 셀렉터를 변형하면 의도치 않게 파드가 고아가 될 수 있으며, 이는 사용자에게 혼란을 주는 것으로 밝혀졌다.
 
 `.spec.selector` 는 다음 2개의 필드로 구성된 오브젝트이다.
 
@@ -91,8 +91,8 @@ kubectl apply -f https://k8s.io/examples/controllers/daemonset.yaml
 
 2개의 필드가 명시되면 두 필드를 모두 만족하는 것(ANDed)이 결과가 된다.
 
-만약 `.spec.selector` 를 명시하면, 이것은 `.spec.template.metadata.labels` 와 일치해야 한다. 
-일치하지 않는 구성은 API에 의해 거부된다.
+`.spec.selector` 는 `.spec.template.metadata.labels` 와 일치해야 한다. 
+이 둘이 서로 일치하지 않는 구성은 API에 의해 거부된다.
 
 ### 오직 일부 노드에서만 파드 실행
 
@@ -107,7 +107,7 @@ kubectl apply -f https://k8s.io/examples/controllers/daemonset.yaml
 
 ### 기본 스케줄러로 스케줄
 
-{{< feature-state state="stable" for-kubernetes-version="1.17" >}}
+{{< feature-state for_k8s_version="1.17" state="stable" >}}
 
 데몬셋은 자격이 되는 모든 노드에서 파드 사본이 실행하도록 보장한다. 일반적으로
 쿠버네티스 스케줄러에 의해 파드가 실행되는 노드가 선택된다. 그러나
diff --git a/content/ko/docs/concepts/workloads/controllers/deployment.md b/content/ko/docs/concepts/workloads/controllers/deployment.md
index 440307f381b..395ad1b73a2 100644
--- a/content/ko/docs/concepts/workloads/controllers/deployment.md
+++ b/content/ko/docs/concepts/workloads/controllers/deployment.md
@@ -255,10 +255,11 @@ kubectl apply -f https://k8s.io/examples/controllers/nginx-deployment.yaml
     또한 디플로이먼트는 의도한 파드 수 보다 더 많이 생성되는 파드의 수를 제한한다.
     기본적으로, 의도한 파드의 수 기준 최대 125%까지만 추가 파드가 동작할 수 있도록 제한한다(최대 25% 까지).
 
-    예를 들어, 위 디플로이먼트를 자세히 살펴보면 먼저 새로운 파드를 생성한 다음
-    이전 파드를 삭제하고, 새로운 파드를 만든 것을 볼 수 있다. 충분한 수의 새로운 파드가 나올 때까지 이전 파드를 죽이지 않으며,
-    충분한 수의 이전 파드들이 죽기 전까지 새로운 파드를 만들지 않는다.
-    이것은 최소 2개의 파드를 사용할 수 있게 하고, 최대 4개의 파드를 사용할 수 있게 한다.
+    예를 들어, 위 디플로이먼트를 자세히 살펴보면 먼저 새로운 파드를 생성한 다음, 
+    이전 파드를 삭제하고, 또 다른 새로운 파드를 만든 것을 볼 수 있다. 
+    충분한 수의 새로운 파드가 나올 때까지 이전 파드를 죽이지 않으며, 충분한 수의 이전 파드들이 죽기 전까지 새로운 파드를 만들지 않는다. 
+    이것은 최소 3개의 파드를 사용할 수 있게 하고, 최대 4개의 파드를 사용할 수 있게 한다. 
+    디플로이먼트의 레플리카 크기가 4인 경우, 파드 숫자는 3개에서 5개 사이이다.
 
 * 디플로이먼트의 세부 정보 가져오기
   ```shell
@@ -303,13 +304,20 @@ kubectl apply -f https://k8s.io/examples/controllers/nginx-deployment.yaml
       Normal  ScalingReplicaSet  19s   deployment-controller  Scaled up replica set nginx-deployment-1564180365 to 3
       Normal  ScalingReplicaSet  14s   deployment-controller  Scaled down replica set nginx-deployment-2035384211 to 0
     ```
-    처음 디플로이먼트를 생성했을 때, 디플로이먼트가 레플리카셋(nginx-deployment-2035384211)을 생성해서
-    3개의 레플리카로 직접 스케일 업한 것을 볼 수 있다.
-    디플로이먼트를 업데이트할 때 새 레플리카셋(nginx-deployment-1564180365)을 생성하고, 1개로   스케일 업한 다음
-    이전 레플리카셋을 2개로 스케일 다운해서, 최소 2개의 파드를 사용할 수 있고 최대 4개의 파드가 항상 생성되어 있도록 하였다.
-    이후 지속해서 같은 롤링 업데이트 정책으로 새 레플리카셋은 스케일 업하고 이전 레플리카셋은 스케일 다운한다.
+    처음 디플로이먼트를 생성했을 때, 디플로이먼트가 레플리카셋(nginx-deployment-2035384211)을 생성하고 
+    3개의 레플리카로 직접 스케일 업한 것을 볼 수 있다. 
+    디플로이먼트를 업데이트하자, 새 레플리카셋(nginx-deployment-1564180365)을 생성하고, 1개로 스케일 업한 다음 모두 실행될 때까지 대기하였다. 
+    그 뒤 이전 레플리카셋을 2개로 스케일 다운하고 새 레플리카셋을 2개로 스케일 업하여 모든 시점에 대해 최소 3개 / 최대 3개의 파드가 존재하도록 하였다. 
+    이후 지속해서 같은 롤링 업데이트 정책으로 새 레플리카셋은 스케일 업하고 이전 레플리카셋은 스케일 다운한다. 
     마지막으로 새로운 레플리카셋에 3개의 사용 가능한 레플리카가 구성되며, 이전 레플리카셋은 0개로 스케일 다운된다.
 
+{{< note >}}
+쿠버네티스가 `availableReplicas` 수를 계산할 때 종료 중인(terminating) 파드는 포함하지 않으며, 
+이 수는 `replicas - maxUnavailable` 와 `replicas + maxSurge` 사이에 존재한다. 
+그 결과, 롤아웃 중에는 파드의 수가 예상보다 많을 수 있으며, 
+종료 중인 파드의 `terminationGracePeriodSeconds`가 만료될 때까지는 디플로이먼트가 소비하는 총 리소스가 `replicas + maxSurge` 이상일 수 있다.
+{{< /note >}}
+
 ### 롤오버(일명 인-플라이트 다중 업데이트)
 
 디플로이먼트 컨트롤러는 각 시간마다 새로운 디플로이먼트에서 레플리카셋이
diff --git a/content/ko/docs/concepts/workloads/controllers/job.md b/content/ko/docs/concepts/workloads/controllers/job.md
index 06ce5278694..1c05462b10e 100644
--- a/content/ko/docs/concepts/workloads/controllers/job.md
+++ b/content/ko/docs/concepts/workloads/controllers/job.md
@@ -42,7 +42,9 @@ weight: 50
 ```shell
 kubectl apply -f https://kubernetes.io/examples/controllers/job.yaml
 ```
+
 출력 결과는 다음과 같다.
+
 ```
 job.batch/pi created
 ```
@@ -52,7 +54,9 @@ job.batch/pi created
 ```shell
 kubectl describe jobs/pi
 ```
+
 출력 결과는 다음과 같다.
+
 ```
 Name:           pi
 Namespace:      default
@@ -97,7 +101,9 @@ Events:
 pods=$(kubectl get pods --selector=job-name=pi --output=jsonpath='{.items[*].metadata.name}')
 echo $pods
 ```
+
 출력 결과는 다음과 같다.
+
 ```
 pi-5rwd7
 ```
@@ -110,7 +116,9 @@ pi-5rwd7
 ```shell
 kubectl logs $pods
 ```
+
 출력 결과는 다음과 같다.
+
 ```shell
 3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679821480865132823066470938446095505822317253594081284811174502841027019385211055596446229489549303819644288109756659334461284756482337867831652712019091456485669234603486104543266482133936072602491412737245870066063155881748815209209628292540917153643678925903600113305305488204665213841469519415116094330572703657595919530921861173819326117931051185480744623799627495673518857527248912279381830119491298336733624406566430860213949463952247371907021798609437027705392171762931767523846748184676694051320005681271452635608277857713427577896091736371787214684409012249534301465495853710507922796892589235420199561121290219608640344181598136297747713099605187072113499999983729780499510597317328160963185950244594553469083026425223082533446850352619311881710100031378387528865875332083814206171776691473035982534904287554687311595628638823537875937519577818577805321712268066130019278766111959092164201989380952572010654858632788659361533818279682303019520353018529689957736225994138912497217752834791315155748572424541506959508295331168617278558890750983817546374649393192550604009277016711390098488240128583616035637076601047101819429555961989467678374494482553797747268471040475346462080466842590694912933136770289891521047521620569660240580381501935112533824300355876402474964732639141992726042699227967823547816360093417216412199245863150302861829745557067498385054945885869269956909272107975093029553211653449872027559602364806654991198818347977535663698074265425278625518184175746728909777727938000816470600161452491921732172147723501414419735685481613611573525521334757418494684385233239073941433345477624168625189835694855620992192221842725502542568876717904946016534668049886272327917860857843838279679766814541009538837863609506800642251252051173929848960841284886269456042419652850222106611863067442786220391949450471237137869609563643719172874677646575739624138908658326459958133904780275901
 ```
@@ -190,7 +198,7 @@ _작업 큐_ 잡은 `.spec.completions` 를 설정하지 않은 상태로 두고
 
 ### 완료 모드
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 완료 횟수가 _고정적인 완료 횟수_ 즉, null이 아닌 `.spec.completions` 가 있는 잡은
 `.spec.completionMode` 에 지정된 완료 모드를 가질 수 있다.
@@ -308,7 +316,7 @@ spec:
 
 ### 완료된 잡을 위한 TTL 메커니즘
 
-{{< feature-state for_k8s_version="v1.21" state="beta" >}}
+{{< feature-state for_k8s_version="v1.23" state="stable" >}}
 
 완료된 잡 (`Complete` 또는 `Failed`)을 자동으로 정리하는 또 다른 방법은
 잡의 `.spec.ttlSecondsAfterFinished` 필드를 지정해서 완료된 리소스에 대해
@@ -425,13 +433,7 @@ spec:
 
 ### 잡 일시 중지
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
-
-{{< note >}}
-이 기능은 쿠버네티스 버전 1.21에서는 알파 상태였으며, 
-이 때문에 이 기능을 활성화하기 위해서는 추가적인 단계를 진행해야 한다. 
-[현재 사용 중인 쿠버네티스 버전과 맞는 문서](/ko/docs/home/supported-doc-versions/)를 읽고 있는 것이 맞는지 다시 한번 확인한다.
-{{< /note >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 잡이 생성되면, 잡 컨트롤러는 잡의 요구 사항을 충족하기 위해
 즉시 파드 생성을 시작하고 잡이 완료될 때까지
@@ -482,7 +484,7 @@ spec:
 kubectl get jobs/myjob -o yaml
 ```
 
-```json
+```yaml
 apiVersion: batch/v1
 kind: Job
 # .metadata and .spec omitted
@@ -581,7 +583,9 @@ Events:
 ```shell
 kubectl get job old -o yaml
 ```
+
 출력 결과는 다음과 같다.
+
 ```yaml
 kind: Job
 metadata:
@@ -631,7 +635,8 @@ spec:
 
 이 기능이 활성화되면, 컨트롤 플레인은 아래에 설명할 동작을 이용하여 새로운 잡이 생성되는지 추적한다. 
 이 기능이 활성화되기 이전에 생성된 잡은 영향을 받지 않는다. 
-사용자가 느낄 수 있는 유일한 차이점은 컨트롤 플레인이 잡 종료를 좀 더 정확하게 추적할 수 있다는 것이다.
+사용자가 느낄 수 있는 유일한 차이점은 
+컨트롤 플레인이 잡 종료를 좀 더 정확하게 추적할 수 있다는 것이다.
 {{< /note >}}
 
 이 기능이 활성화되지 않으면, 잡 
diff --git a/content/ko/docs/concepts/workloads/controllers/replicaset.md b/content/ko/docs/concepts/workloads/controllers/replicaset.md
index e03f2bedb73..5a799680b21 100644
--- a/content/ko/docs/concepts/workloads/controllers/replicaset.md
+++ b/content/ko/docs/concepts/workloads/controllers/replicaset.md
@@ -223,8 +223,6 @@ pod2             1/1     Running   0          36s
 
 레플리카셋은 모든 쿠버네티스 API 오브젝트와 마찬가지로 `apiVersion`, `kind`, `metadata` 필드가 필요하다.
 레플리카셋에 대한 `kind` 필드의 값은 항상 레플리카셋이다.
-쿠버네티스 1.9에서의 레플리카셋의 kind에 있는 API 버전 `apps/v1`은 현재 버전이며, 기본으로 활성화 되어 있다. API 버전 `apps/v1beta2`은 사용 중단(deprecated)되었다.
-API 버전에 대해서는 `frontend.yaml` 예제의 첫 번째 줄을 참고한다.
 
 레플리카셋 오브젝트의 이름은 유효한
 [DNS 서브도메인 이름](/ko/docs/concepts/overview/working-with-objects/names/#dns-서브도메인-이름)이어야 한다.
diff --git a/content/ko/docs/concepts/workloads/controllers/replicationcontroller.md b/content/ko/docs/concepts/workloads/controllers/replicationcontroller.md
index bcf8a9771a2..3de8fbfc029 100644
--- a/content/ko/docs/concepts/workloads/controllers/replicationcontroller.md
+++ b/content/ko/docs/concepts/workloads/controllers/replicationcontroller.md
@@ -185,8 +185,8 @@ delete`](/docs/reference/generated/kubectl/kubectl-commands#delete) 를 사용
 Kubectl은 레플리케이션 컨트롤러를 0으로 스케일하고 레플리케이션 컨트롤러 자체를
 삭제하기 전에 각 파드를 삭제하기를 기다린다. 이 kubectl 명령이 인터럽트되면 다시 시작할 수 있다.
 
-REST API나 Go 클라이언트 라이브러리를 사용하는 경우 명시적으로 단계를 수행해야 한다(레플리카를 0으로 스케일하고 파드의 삭제를 기다린 이후,
-레플리케이션 컨트롤러를 삭제).
+REST API나 [클라이언트 라이브러리](/ko/docs/reference/using-api/client-libraries)를 사용하는 경우 
+명시적으로 단계를 수행해야 한다(레플리카를 0으로 스케일하고 파드의 삭제를 기다린 이후, 레플리케이션 컨트롤러를 삭제).
 
 ### 레플리케이션 컨트롤러만 삭제
 
@@ -194,7 +194,7 @@ REST API나 Go 클라이언트 라이브러리를 사용하는 경우 명시적
 
 kubectl을 사용하여, [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete)에 옵션으로 `--cascade=orphan`을 지정하라.
 
-REST API나 Go 클라이언트 라이브러리를 사용하는 경우 레플리케이션 컨트롤러 오브젝트를 삭제하라.
+REST API나 [클라이언트 라이브러리](/ko/docs/reference/using-api/client-libraries)를 사용하는 경우 레플리케이션 컨트롤러 오브젝트를 삭제하라.
 
 원본이 삭제되면 대체할 새로운 레플리케이션 컨트롤러를 생성하여 교체할 수 있다. 오래된 파드와 새로운 파드의 `.spec.selector` 가 동일하다면,
 새로운 레플리케이션 컨트롤러는 오래된 파드를 채택할 것이다. 그러나 기존 파드를
diff --git a/content/ko/docs/concepts/workloads/controllers/statefulset.md b/content/ko/docs/concepts/workloads/controllers/statefulset.md
index ff9eca91550..94d51125035 100644
--- a/content/ko/docs/concepts/workloads/controllers/statefulset.md
+++ b/content/ko/docs/concepts/workloads/controllers/statefulset.md
@@ -115,7 +115,7 @@ spec:
 
 ### 파드 셀렉터
 
-스테이트풀셋의 `.spec.selector` 필드는 `.spec.template.metadata.labels` 레이블과 일치하도록 설정해야 한다. 1.8 버전 이상에서는, 해당되는 파드 셀렉터를 찾지 못하면 스테이트풀셋 생성 과정에서 검증 오류가 발생한다.
+스테이트풀셋의 `.spec.selector` 필드는 `.spec.template.metadata.labels` 레이블과 일치하도록 설정해야 한다. 해당되는 파드 셀렉터를 찾지 못하면 스테이트풀셋 생성 과정에서 검증 오류가 발생한다.
 
 ### 볼륨 클레임 템플릿
 
@@ -226,8 +226,8 @@ web-0이 실패할 경우 web-1은 web-0이 Running 및 Ready 상태가
 되기 전까지 종료되지 않는다.
 
 ### 파드 관리 정책
-쿠버네티스 1.7 및 이후에는 스테이트풀셋의 `.spec.podManagementPolicy` 필드를
-통해 고유성 및 신원 보증을 유지하면서 순차 보증을 완화한다.
+스테이트풀셋의 `.spec.podManagementPolicy` 필드를 통해 
+고유성 및 신원 보증을 유지하면서 순차 보증을 완화한다.
 
 #### OrderedReady 파드 관리
 
@@ -266,7 +266,9 @@ web-0이 실패할 경우 web-1은 web-0이 Running 및 Ready 상태가
 각 파드의 업데이트는 한 번에 하나씩 한다.
 
 쿠버네티스 컨트롤 플레인은 이전 버전을 업데이트 하기 전에, 업데이트된 파드가 실행 및 준비될 때까지 기다린다.
-`.spec.minReadySeconds`([최소 준비 시간 초](#minimum-ready-seconds) 참조)를 설정한 경우, 컨트롤 플레인은 파드가 준비 상태로 전환된 후 해당 시간을 추가로 기다린 후 이동한다.
+`.spec.minReadySeconds`([최소 준비 시간 초](#minimum-ready-seconds) 참조)를 
+설정한 경우, 
+컨트롤 플레인은 파드가 준비 상태로 전환된 후 해당 시간을 추가로 기다린 후 이동한다.
 
 ### 파티션 롤링 업데이트 {#partitions}
 
@@ -280,6 +282,27 @@ web-0이 실패할 경우 web-1은 web-0이 Running 및 Ready 상태가
 대부분의 케이스는 파티션을 사용할 필요가 없지만 업데이트를 준비하거나,
 카나리의 롤 아웃 또는 단계적인 롤 아웃을 행하려는 경우에는 유용하다.
 
+### 최대 사용 불가능(unavailable) 파드 수
+
+{{< feature-state for_k8s_version="v1.24" state="alpha" >}}
+
+`.spec.updateStrategy.rollingUpdate.maxUnavailable` 필드를 명시하여, 
+업데이트 과정에서 사용 불가능(unavailable) 파드를 최대 몇 개까지 허용할 것인지를 조절할 수 있다. 
+값은 절대값(예: `5`) 또는 목표 파드 퍼센티지(예: `10%`)로 명시할 수 있다. 
+절대값은 퍼센티지 값으로 계산한 뒤 올림하여 얻는다. 
+이 필드는 0일 수 없다. 기본값은 1이다.
+
+이 필드는 `0` 에서 `replicas - 1` 사이 범위에 있는 모든 파드에 적용된다. 
+이 범위 내에 사용 불가능한 파드가 있으면, 
+`maxUnavailable`로 집계된다.
+
+{{< note >}}
+`maxUnavailable` 필드는 현재 알파 단계이며 
+`MaxUnavailableStatefulSet` 
+[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 API 서버에서만 
+동작한다.
+{{< /note >}}
+
 ### 강제 롤백
 
 기본 [파드 관리 정책](#파드-관리-정책) (`OrderedReady`)과
diff --git a/content/ko/docs/concepts/workloads/pods/_index.md b/content/ko/docs/concepts/workloads/pods/_index.md
index 6a13adb91fc..ce0c6203929 100644
--- a/content/ko/docs/concepts/workloads/pods/_index.md
+++ b/content/ko/docs/concepts/workloads/pods/_index.md
@@ -180,7 +180,7 @@ spec:
     spec:
       containers:
       - name: hello
-        image: busybox
+        image: busybox:1.28
         command: ['sh', '-c', 'echo "Hello, Kubernetes!" && sleep 3600']
       restartPolicy: OnFailure
     # 여기까지 파드 템플릿이다
@@ -251,20 +251,19 @@ spec:
 
 ### 파드 네트워킹
 
-각 파드에는 각 주소 패밀리에 대해 고유한 IP 주소가 할당된다. 파드의
-모든 컨테이너는 IP 주소와 네트워크 포트를 포함하여 네트워크 네임스페이스를
-공유한다. 파드 내부(그때 **만** 해당)에서, 파드에 속한
-컨테이너는 `localhost` 를 사용하여 서로 통신할 수 있다. 파드의 컨테이너가
-*파드 외부의* 엔티티와 통신할 때,
-공유 네트워크 리소스(포트와 같은)를 사용하는 방법을 조정해야 한다.
-파드 내에서 컨테이너는 IP 주소와 포트 공간을 공유하며,
-`localhost` 를 통해 서로를 찾을 수 있다. 파드의 컨테이너는 SystemV 세마포어 또는
-POSIX 공유 메모리와 같은 표준 프로세스 간 통신을 사용하여 서로
-통신할 수도 있다. 다른 파드의 컨테이너는
-고유한 IP 주소를 가지며
-[특별한 구성](/ko/docs/concepts/policy/pod-security-policy/) 없이 IPC로 통신할 수 없다.
-다른 파드에서 실행되는 컨테이너와 상호 작용하려는 컨테이너는 IP 네트워킹을
-사용하여 통신할 수 있다.
+각 파드에는 각 주소 패밀리에 대해 고유한 IP 주소가 할당된다. 
+파드의 모든 컨테이너는 네트워크 네임스페이스를 공유하며, 
+여기에는 IP 주소와 네트워크 포트가 포함된다. 
+파드 내부(이 경우에 **만** 해당)에서, 파드에 속한 컨테이너는 
+`localhost` 를 사용하여 서로 통신할 수 있다. 
+파드의 컨테이너가 *파드 외부의* 엔티티와 통신할 때, 
+공유 네트워크 리소스(포트와 같은)를 사용하는 방법을 조정해야 한다. 
+파드 내에서 컨테이너는 IP 주소와 포트 공간을 공유하며, 
+`localhost` 를 통해 서로를 찾을 수 있다. 
+파드의 컨테이너는 SystemV 세마포어 또는 POSIX 공유 메모리와 같은 
+표준 프로세스 간 통신을 사용하여 서로 통신할 수도 있다. 
+다른 파드의 컨테이너는 고유한 IP 주소를 가지며 특별한 구성 없이 OS 수준의 IPC로 통신할 수 없다. 
+다른 파드에서 실행되는 컨테이너와 상호 작용하려는 컨테이너는 IP 네트워킹을 사용하여 통신할 수 있다.
 
 파드 내의 컨테이너는 시스템 호스트명이 파드에 대해 구성된
 `name` 과 동일한 것으로 간주한다. [네트워킹](/ko/docs/concepts/cluster-administration/networking/) 섹션에 이에 대한
diff --git a/content/ko/docs/concepts/workloads/pods/ephemeral-containers.md b/content/ko/docs/concepts/workloads/pods/ephemeral-containers.md
index 90d881d0c01..2700946a580 100644
--- a/content/ko/docs/concepts/workloads/pods/ephemeral-containers.md
+++ b/content/ko/docs/concepts/workloads/pods/ephemeral-containers.md
@@ -70,4 +70,4 @@ API에서 특별한 `ephemeralcontainers` 핸들러를 사용해서 만들어지
 
 ## {{% heading "whatsnext" %}}
 
-* [임시 컨테이너 디버깅하기](/ko/docs/tasks/debug-application-cluster/debug-running-pod/#ephemeral-container)에 대해 알아보기.
+* [임시 컨테이너 디버깅하기](/ko/docs/tasks/debug/debug-application/debug-running-pod/#ephemeral-container)에 대해 알아보기.
diff --git a/content/ko/docs/concepts/workloads/pods/init-containers.md b/content/ko/docs/concepts/workloads/pods/init-containers.md
index f3ca8455491..5e532fe5a90 100644
--- a/content/ko/docs/concepts/workloads/pods/init-containers.md
+++ b/content/ko/docs/concepts/workloads/pods/init-containers.md
@@ -332,4 +332,4 @@ Active deadline은 초기화 컨테이너를 포함한다.
 ## {{% heading "whatsnext" %}}
 
 * [초기화 컨테이너를 가진 파드 생성하기](/ko/docs/tasks/configure-pod-container/configure-pod-initialization/#초기화-컨테이너를-갖는-파드-생성)
-* [초기화 컨테이너 디버깅](/ko/docs/tasks/debug-application-cluster/debug-init-containers/) 알아보기
+* [초기화 컨테이너 디버깅](/ko/docs/tasks/debug/debug-application/debug-init-containers/) 알아보기
diff --git a/content/ko/docs/concepts/workloads/pods/pod-lifecycle.md b/content/ko/docs/concepts/workloads/pods/pod-lifecycle.md
index fbaa26548a7..b5a83a77209 100644
--- a/content/ko/docs/concepts/workloads/pods/pod-lifecycle.md
+++ b/content/ko/docs/concepts/workloads/pods/pod-lifecycle.md
@@ -136,8 +136,8 @@ UID로 정의된 특정 파드는 다른 노드로 절대 "다시 스케줄"되
 쿼리하면, 이유와 종료 코드 그리고 해당 컨테이너의 실행 기간에 대한 시작과
 종료 시간이 표시된다.
 
-컨테이너에 구성된 `preStop` 훅이 있는 경우, 컨테이너가 `Terminated` 상태에 들어가기 전에
-실행된다.
+컨테이너에 구성된 `preStop` 훅이 있는 경우, 
+이 혹은 컨테이너가 `Terminated` 상태에 들어가기 전에 실행된다.
 
 ## 컨테이너 재시작 정책 {#restart-policy}
 
diff --git a/content/ko/docs/concepts/workloads/pods/pod-topology-spread-constraints.md b/content/ko/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
index d25f0016077..ee458256f50 100644
--- a/content/ko/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
+++ b/content/ko/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
@@ -4,21 +4,11 @@ content_type: concept
 weight: 40
 ---
 
-{{< feature-state for_k8s_version="v1.19" state="stable" >}}
-<!-- leave this shortcode in place until the note about EvenPodsSpread is
-obsolete -->
 
 <!-- overview -->
 
 사용자는 _토폴로지 분배 제약 조건_ 을 사용해서 지역, 영역, 노드 그리고 기타 사용자-정의 토폴로지 도메인과 같이 장애-도메인으로 설정된 클러스터에 걸쳐 파드가 분산되는 방식을 제어할 수 있다. 이를 통해 고가용성뿐만 아니라, 효율적인 리소스 활용의 목적을 이루는 데 도움이 된다.
 
-{{< note >}}
-v1.18 이전 버전의 쿠버네티스에서는 파드 토폴로지 분배 제약조건을 사용하려면
-[API 서버](/ko/docs/concepts/overview/components/#kube-apiserver)와
-[스케줄러](/docs/reference/command-line-tools-reference/kube-scheduler/)에서
-`EvenPodsSpread`[기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를
-활성화해야 한다
-{{< /note >}}
 
 <!-- body -->
 
@@ -83,16 +73,42 @@ spec:
 
 - **maxSkew** 는 파드가 균등하지 않게 분산될 수 있는 정도를 나타낸다.
   이것은 0보다는 커야 한다. 그 의미는 `whenUnsatisfiable` 의 값에 따라 다르다.
+
   - `whenUnsatisfiable` 이 "DoNotSchedule"과 같을 때, `maxSkew` 는
     대상 토폴로지에서 일치하는 파드 수와 전역 최솟값
-    (토폴로지 도메인에서 레이블 셀렉터와 일치하는 최소 파드 수. 예를 들어 3개의 영역에 각각 0, 2, 3개의 일치하는 파드가 있으면, 전역 최솟값은 0) 
+    (토폴로지 도메인에서 레이블 셀렉터와 일치하는 최소 파드 수. 
+    예를 들어 3개의 영역에 각각 0, 2, 3개의 일치하는 파드가 있으면, 
+    전역 최솟값은 0) 
     사이에 허용되는 최대 차이이다.
   - `whenUnsatisfiable` 이 "ScheduleAnyway"와 같으면, 스케줄러는
     왜곡을 줄이는데 도움이 되는 토폴로지에 더 높은 우선 순위를 부여한다.
+
+- **minDomains** 는 적합한(eligible) 도메인의 최소 수를 나타낸다. 
+  도메인은 토폴로지의 특정 인스턴스 중 하나이다. 
+  도메인의 노드가 노드 셀렉터에 매치되면 그 도메인은 적합한 도메인이다.
+
+  - `minDomains` 값을 명시하는 경우, 이 값은 0보다 커야 한다.
+  - 매치되는 토폴로지 키의 적합한 도메인 수가 `minDomains`보다 적으면, 
+    파드 토폴로지 스프레드는 "글로벌 미니멈"을 0으로 간주한 뒤, `skew` 계산이 수행된다. 
+    "글로벌 미니멈"은 적합한 도메인 내에 매치되는 파드의 최소 수 이며, 
+    적합한 도메인 수가 `minDomains`보다 적은 경우에는 0이다.
+  - 매치되는 토폴로지 키의 적합한 도메인 수가 `minDomains`보다 크거나 같으면, 
+    이 값은 스케줄링에 영향을 미치지 않는다.
+  - `minDomains`가 nil이면, 이 제약은 `minDomains`가 1인 것처럼 동작한다.
+  - `minDomains`가 nil이 아니면, `whenUnsatisfiable`의 값은 "`DoNotSchedule`"이어야 한다.
+
+  {{< note >}}
+  `minDomains` 필드는 1.24에서 추가된 알파 필드이다. 
+  이를 사용하려면 `MinDomainsInPodToplogySpread` 
+  [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)를 활성화해야 한다.
+  {{< /note >}}
+
 - **topologyKey** 는 노드 레이블의 키다. 만약 두 노드가 이 키로 레이블이 지정되고, 레이블이 동일한 값을 가진다면 스케줄러는 두 노드를 같은 토폴로지에 있는것으로 여기게 된다. 스케줄러는 각 토폴로지 도메인에 균형잡힌 수의 파드를 배치하려고 시도한다.
+
 - **whenUnsatisfiable** 는 분산 제약 조건을 만족하지 않을 경우에 처리하는 방법을 나타낸다.
   - `DoNotSchedule` (기본값)은 스케줄러에 스케줄링을 하지 말라고 알려준다.
   - `ScheduleAnyway` 는 스케줄러에게 차이(skew)를 최소화하는 노드에 높은 우선 순위를 부여하면서, 스케줄링을 계속하도록 지시한다.
+
 - **labelSelector** 는 일치하는 파드를 찾는데 사용된다. 이 레이블 셀렉터와 일치하는 파드의 수를 계산하여 해당 토폴로지 도메인에 속할 파드의 수를 결정한다. 자세한 내용은 [레이블 셀렉터](/ko/docs/concepts/overview/working-with-objects/labels/#레이블-셀렉터)를 참조한다.
 
 파드에 2개 이상의 `topologySpreadConstraint`가 정의되어 있으면, 각 제약 조건은 AND로 연결된다 - kube-scheduler는 새로운 파드의 모든 제약 조건을 만족하는 노드를 찾는다.
@@ -306,11 +322,12 @@ class zoneC cluster;
 예시 구성은 다음과 같다.
 
 ```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta1
+apiVersion: kubescheduler.config.k8s.io/v1beta3
 kind: KubeSchedulerConfiguration
 
 profiles:
-  - pluginConfig:
+  - schedulerName: default-scheduler
+    pluginConfig:
       - name: PodTopologySpread
         args:
           defaultConstraints:
@@ -321,21 +338,17 @@ profiles:
 ```
 
 {{< note >}}
-기본 스케줄링 제약 조건에 의해 생성된 점수는
-[`SelectorSpread` 플러그인](/ko/docs/reference/scheduling/config/#스케줄링-플러그인)에
-의해 생성된 점수와 충돌 할 수 있다.
-`PodTopologySpread` 에 대한 기본 제약 조건을 사용할 때 스케줄링 프로파일에서
-이 플러그인을 비활성화 하는 것을 권장한다.
+[`SelectorSpread` 플러그인](/ko/docs/reference/scheduling/config/#스케줄링-플러그인)은 
+기본적으로 비활성화되어 있다. 
+비슷한 효과를 얻기 위해 `PodTopologySpread`를 사용하는 것을 추천한다.
 {{< /note >}}
 
-#### 내부 기본 제약
+#### 내장 기본 제약 {#internal-default-constraints}
 
-{{< feature-state for_k8s_version="v1.20" state="beta" >}}
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-기본적으로 활성화된 `DefaultPodTopologySpread` 기능 게이트를 사용하면, 기존
-`SelectorSpread` 플러그인이 비활성화된다.
-kube-scheduler는 `PodTopologySpread` 플러그인 구성에 다음과 같은
-기본 토폴로지 제약 조건을 사용한다.
+파드 토폴로지 스프레딩에 대해 클러스터 수준의 기본 제약을 설정하지 않으면, 
+kube-scheduler는 다음과 같은 기본 토폴로지 제약을 설정한 것처럼 동작한다.
 
 ```yaml
 defaultConstraints:
@@ -347,8 +360,8 @@ defaultConstraints:
     whenUnsatisfiable: ScheduleAnyway
 ```
 
-또한, 같은 동작을 제공하는 레거시 `SelectorSpread` 플러그인이
-비활성화된다.
+또한, 같은 동작을 제공하는 레거시 `SelectorSpread` 플러그인은
+기본적으로 비활성화되어 있다.
 
 {{< note >}}
 `PodTopologySpread` 플러그인은 분배 제약 조건에 지정된 토폴로지 키가
@@ -366,11 +379,12 @@ defaultConstraints:
 `defaultConstraints` 를 비워두어 기본값을 비활성화할 수 있다.
 
 ```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta1
+apiVersion: kubescheduler.config.k8s.io/v1beta3
 kind: KubeSchedulerConfiguration
 
 profiles:
-  - pluginConfig:
+  - schedulerName: default-scheduler
+    pluginConfig:
       - name: PodTopologySpread
         args:
           defaultConstraints: []
diff --git a/content/ko/docs/contribute/_index.md b/content/ko/docs/contribute/_index.md
index 64b7ba594ed..62b98b68d31 100644
--- a/content/ko/docs/contribute/_index.md
+++ b/content/ko/docs/contribute/_index.md
@@ -95,9 +95,9 @@ class A,B,C,D,E,F,G,H,M,Q,N,O,P,V grey
 class S,T,U spacewhite
 class first,second,third white
 {{</ mermaid >}}
-***그림 - 신규 기여자를 위한 시작 가이드***
+그림 1. 신규 기여자를 위한 시작 가이드.
 
-위의 그림은 신규 기여자를 위한 로드맵을 간략하게 보여줍니다. `가입` 및 `리뷰` 단계의 일부 또는 전체를 따를 수 있습니다. 이제 `PR 열기` 아래에 나열된 항목들을 수행하여 당신의 기여 목표를 달성할 수 있습니다. 다시 말하지만 질문은 언제나 환영입니다!
+그림 1은 신규 기여자를 위한 로드맵을 간략하게 보여줍니다. `가입` 및 `리뷰` 단계의 일부 또는 전체를 따를 수 있습니다. 이제 `PR 열기` 아래에 나열된 항목들을 수행하여 당신의 기여 목표를 달성할 수 있습니다. 다시 말하지만 질문은 언제나 환영입니다!
 
 일부 작업에는 쿠버네티스 조직에서 더 많은 신뢰와 더 많은 접근이 필요할 수 있습니다.
 역할과 권한에 대한 자세한 내용은
@@ -105,7 +105,7 @@ class first,second,third white
 
 ## 첫 번째 기여
 
-몇 가지 단계를 미리 검토하여 첫 번째 기여를 준비할 수 있습니다. 아래 그림은 각 단계를 설명하며, 그 다음에 세부 사항도 설명되어 있습니다.
+몇 가지 단계를 미리 검토하여 첫 번째 기여를 준비할 수 있습니다. 그림 2는 각 단계를 설명하며, 그 다음에 세부 사항도 설명되어 있습니다.
 
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
 <!-- You can also cut/paste the mermaid code into the live editor at https://mermaid-js.github.io/mermaid-live-editor to play around with it -->
@@ -136,7 +136,7 @@ class A,B,D,E,F,G grey
 class S,T spacewhite
 class first,second white
 {{</ mermaid >}}
-***그림 - 첫 기여를 위한 준비***
+그림 2. 첫 기여를 위한 준비.
 
 - [기여 개요](/ko/docs/contribute/new-content/)를 읽고
   기여할 수 있는 다양한 방법에 대해 알아봅니다.
diff --git a/content/ko/docs/contribute/advanced.md b/content/ko/docs/contribute/advanced.md
index 9b4f8835e3e..e40ebc71c1a 100644
--- a/content/ko/docs/contribute/advanced.md
+++ b/content/ko/docs/contribute/advanced.md
@@ -86,6 +86,7 @@ SIG Docs [승인자](/ko/docs/contribute/participate/roles-and-responsibilities/
 - 문서 리포지터리에 대한 처음 몇 번의 PR을 통해 새로운 기여자를 멘토링한다.
 - 새로운 기여자가 쿠버네티스 멤버가 되기 위해 필요한 보다 복잡한 PR을 작성하도록 지원한다.
 - 쿠버네티스 멤버 가입을 위해 [기여자를 후원](/ko/docs/contribute/advanced/#새로운-기여자-후원)한다.
+- 월간 미팅을 개최하여 새로운 기여자에게 도움을 주고 조언을 해 준다.
 
 현재 새로운 기여자 홍보대사는 각 SIG-Docs 회의와 [쿠버네티스 #sig-docs 채널](https://kubernetes.slack.com)에서 발표된다.
 
diff --git a/content/ko/docs/contribute/localization_ko.md b/content/ko/docs/contribute/localization_ko.md
index e2e10f01cc8..aee88732483 100644
--- a/content/ko/docs/contribute/localization_ko.md
+++ b/content/ko/docs/contribute/localization_ko.md
@@ -19,7 +19,7 @@ content_type: concept
 위한 팀 마일스톤과 개발 브랜치를 관리한다. 본 섹션은 한글화팀의 팀 마일스톤 관리에 특화된
 내용을 다룬다.
 
-한글화팀은 `master` 브랜치에서 분기한 개발 브랜치를 사용한다. 개발 브랜치 이름은 다음과 같은
+한글화팀은 `main` 브랜치에서 분기한 개발 브랜치를 사용한다. 개발 브랜치 이름은 다음과 같은
 구조를 갖는다.
 
 `dev-<소스 버전>-ko.<팀 마일스톤>`
@@ -46,7 +46,7 @@ content_type: concept
 - [CLA 서명 없음, 병합할 수 없음](https://github.com/kubernetes/website/pulls?q=is%3Aopen+is%3Apr+label%3A%22cncf-cla%3A+no%22+-label%3Ado-not-merge+label%3Alanguage%2Fko)
 - [LGTM 필요](https://github.com/kubernetes/website/pulls?utf8=%E2%9C%93&q=is%3Aopen+is%3Apr+-label%3Ado-not-merge+label%3Alanguage%2Fko+-label%3Algtm+)
 - [LGTM 보유, 문서 승인 필요](https://github.com/kubernetes/website/pulls?q=is%3Aopen+is%3Apr+-label%3Ado-not-merge+label%3Alanguage%2Fko+label%3Algtm)
-- [퀵윈(Quick Wins)](https://github.com/kubernetes/website/pulls?utf8=%E2%9C%93&q=is%3Apr+is%3Aopen+base%3Amaster+-label%3A%22do-not-merge%2Fwork-in-progress%22+-label%3A%22do-not-merge%2Fhold%22+label%3A%22cncf-cla%3A+yes%22+label%3A%22size%2FXS%22+label%3A%22language%2Fko%22+)
+- [퀵윈(Quick Wins)](https://github.com/kubernetes/website/pulls?utf8=%E2%9C%93&q=is%3Apr+is%3Aopen+base%3Amain+-label%3A%22do-not-merge%2Fwork-in-progress%22+-label%3A%22do-not-merge%2Fhold%22+label%3A%22cncf-cla%3A+yes%22+label%3A%22size%2FXS%22+label%3A%22language%2Fko%22+)
 
 팀 마일스톤 일정과 PR 랭글러는 커뮤니티 슬랙 내 [#kubernetes-docs-ko 채널](https://kubernetes.slack.com/archives/CA1MMR86S)에 공지된다.
 
@@ -221,7 +221,7 @@ API 오브젝트의 필드 이름, 파일 이름, 경로와 같은 내용은 독
 
 한글화 용어집의 개선(추가, 수정, 삭제 등)을 위한 과정은 다음과 같다.
 
-1. 컨트리뷰터가 개선이 필요한 용어을 파악하면, ISSUE를 생성하여 개선 필요성을 공유하거나 `master` 브랜치에
+1. 컨트리뷰터가 개선이 필요한 용어을 파악하면, ISSUE를 생성하여 개선 필요성을 공유하거나 `main` 브랜치에
 PR을 생성하여 개선된 용어를 제안한다.
 
 1. 개선 제안에 대한 논의는 ISSUE 및 PR을 통해서 이루어지며, 한글화팀 회의를 통해 확정한다.
diff --git a/content/ko/docs/contribute/participate/pr-wranglers.md b/content/ko/docs/contribute/participate/pr-wranglers.md
index 833b006f1a4..0bcffe84fa7 100644
--- a/content/ko/docs/contribute/participate/pr-wranglers.md
+++ b/content/ko/docs/contribute/participate/pr-wranglers.md
@@ -48,8 +48,7 @@ PR 랭글러는 일주일 간 매일 다음의 일을 해야 한다.
   CLA에 서명한 후 PR을 열 수 있음을 알린다.
   **작성자가 CLA에 서명하지 않은 PR은 리뷰하지 않는다!**
 - [LGTM 필요](https://github.com/kubernetes/website/pulls?q=is%3Aopen+is%3Apr+-label%3A%22cncf-cla%3A+no%22+-label%3Ado-not-merge%2Fwork-in-progress+-label%3Ado-not-merge%2Fhold+label%3Alanguage%2Fen+-label%3Algtm):
-  멤버의 LGTM이 필요한 PR을 나열한다. PR에 기술 리뷰가 필요한 경우, 봇이 제안한 리뷰어 중 한 명을
-  지정한다. 콘텐츠에 대한 작업이 필요하다면, 제안하거나 인라인 피드백을 추가한다.
+  멤버의 LGTM이 필요한 PR을 나열한다. PR에 기술 리뷰가 필요한 경우, 봇이 제안한 리뷰어 중 한 명을 지정한다. 콘텐츠에 대한 작업이 필요하다면, 제안하거나 인라인 피드백을 추가한다.
 - [LGTM 보유, 문서 승인 필요](https://github.com/kubernetes/website/pulls?q=is%3Aopen+is%3Apr+-label%3Ado-not-merge%2Fwork-in-progress+-label%3Ado-not-merge%2Fhold+label%3Alanguage%2Fen+label%3Algtm+):
   병합을 위해 `/approve` 코멘트가 필요한 PR을 나열한다.
 - [퀵윈(Quick Wins)](https://github.com/kubernetes/website/pulls?utf8=%E2%9C%93&q=is%3Apr+is%3Aopen+base%3Amain+-label%3A%22do-not-merge%2Fwork-in-progress%22+-label%3A%22do-not-merge%2Fhold%22+label%3A%22cncf-cla%3A+yes%22+label%3A%22size%2FXS%22+label%3A%22language%2Fen%22): 명확한 결격 사유가 없는 메인 브랜치에 대한 PR을 나열한다. ([XS, S, M, L, XL, XXL] 크기의 PR을 작업할 때 크기 레이블에서 "XS"를 변경한다)
@@ -88,3 +87,17 @@ PR 랭글러는 일주일 간 매일 다음의 일을 해야 한다.
 [`k8s-triage-robot`](https://github.com/k8s-triage-robot)이라는 봇은 90일 동안 활동이 없으면 이슈를 오래된 것(stale)으로 표시한다. 30일이 더 지나면 rotten으로 표시하고 종료한다. PR 랭글러는 14-30일 동안 활동이 없으면 이슈를 닫아야 한다.
 
 {{< /note >}}
+
+## PR 랭글러 섀도우 프로그램
+
+2021년 말에, SIG Docs는 PR 랭글러 섀도우 프로그램을 도입했다. 이 프로그램은 새로운 기여자가 PR 랭글링 과정을 이해하는 데 도움을 주기 위해 도입되었다.
+
+### 섀도우 되기
+
+- PR 랭글러 섀도우 활동에 관심이 있다면, [PR 랭글러 위키 페이지](https://github.com/kubernetes/website/wiki/PR-Wranglers)에서 올해의 PR 랭글링 스케줄을 확인하고 지원한다.
+
+- 쿠버네티스 org 멤버는 [PR 랭글러 위키 페이지](https://github.com/kubernetes/website/wiki/PR-Wranglers)를 수정하여 기존 PR 랭글러를 1주일 간 섀도잉할 수 있다.
+
+- 쿠버네티스 org 비 멤버는 [#sig-docs 슬랙 채널](https://kubernetes.slack.com/messages/sig-docs)에서 특정 주간에 대해 기존 PR 랭글러에 대한 섀도잉을 요청할 수 있다. Brad Topol (`@bradtopol`) 또는 [SIG Docs co-chairs/leads](https://github.com/kubernetes/community/tree/master/sig-docs#leadership) 중 한 명에게 연락하면 된다.
+
+- PR 랭글러 섀도워로 지원했다면, [쿠버네티스 슬랙](https://slack.k8s.io)에서 PR 랭글러에게 자신을 소개한다.
diff --git a/content/ko/docs/contribute/review/reviewing-prs.md b/content/ko/docs/contribute/review/reviewing-prs.md
index e6bb3dc84c2..91f8627e175 100644
--- a/content/ko/docs/contribute/review/reviewing-prs.md
+++ b/content/ko/docs/contribute/review/reviewing-prs.md
@@ -36,7 +36,7 @@ weight: 10
 
 ## 리뷰 과정
 
-일반적으로, 영어로 콘텐츠와 스타일에 대한 풀 리퀘스트를 리뷰한다. 아래의 그림은 리뷰 과정의 단계를 보여 준다. 각 단계에 대한 상세 사항은 아래에 나와 있다.
+일반적으로, 영어로 콘텐츠와 스타일에 대한 풀 리퀘스트를 리뷰한다. 그림 1은 리뷰 과정의 단계를 보여 준다. 각 단계에 대한 상세 사항은 아래에 나와 있다.
 
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
 <!-- You can also cut/paste the mermaid code into the live editor at https://mermaid-js.github.io/mermaid-live-editor to play around with it -->
@@ -67,7 +67,7 @@ class S,T spacewhite
 class third,fourth white
 {{</ mermaid >}}
 
-***그림 - 리뷰 과정 절차***
+그림 1. 리뷰 과정 절차.
 
 1.  [https://github.com/kubernetes/website/pulls](https://github.com/kubernetes/website/pulls)로
     이동한다.
diff --git a/content/ko/docs/home/_index.md b/content/ko/docs/home/_index.md
index 52338566482..5becc565f92 100644
--- a/content/ko/docs/home/_index.md
+++ b/content/ko/docs/home/_index.md
@@ -60,7 +60,7 @@ cards:
   title: K8s 릴리스 노트
   description: 쿠버네티스를 설치하거나 최신의 버전으로 업그레이드하는 경우, 현재 릴리스 노트를 참고한다.
   button: "쿠버네티스 다운로드"
-  button_path: "/docs/setup/release/notes"
+  button_path: "/releases/download"
 - name: about
   title: 문서에 대하여
   description: 이 웹사이트는 현재 버전과 이전 4개 버전의 쿠버네티스 문서를 포함한다.
diff --git a/content/ko/docs/reference/_index.md b/content/ko/docs/reference/_index.md
index ca824db37d9..0f1f0d71554 100644
--- a/content/ko/docs/reference/_index.md
+++ b/content/ko/docs/reference/_index.md
@@ -43,7 +43,7 @@ no_list: true
 
 ## CLI
 
-* [kubectl](/ko/docs/reference/kubectl/overview/) - 명령어를 실행하거나 쿠버네티스 클러스터를 관리하기 위해 사용하는 주된 CLI 도구.
+* [kubectl](/ko/docs/reference/kubectl/) - 명령어를 실행하거나 쿠버네티스 클러스터를 관리하기 위해 사용하는 주된 CLI 도구.
     * [JSONPath](/ko/docs/reference/kubectl/jsonpath/) - kubectl에서 [JSONPath 표현](https://goessner.net/articles/JsonPath/)을 사용하기 위한 문법 가이드.
 * [kubeadm](/ko/docs/reference/setup-tools/kubeadm/) - 안정적인 쿠버네티스 클러스터를 쉽게 프로비전하기 위한 CLI 도구.
 
@@ -66,6 +66,7 @@ TCP/UDP 스트림 포워딩이나 백-엔드 집합에 걸쳐서 라운드-로
 
 * 컨트롤 플레인과 워커 노드에서 꼭 열어야 하는
   [포트와 프로토콜](/ko/docs/reference/ports-and-protocols/) 리스트
+
 ## API 설정
 
 이 섹션은 쿠버네티스 구성요소 또는 도구를 환경설정하는 데에 사용되는
@@ -73,10 +74,12 @@ TCP/UDP 스트림 포워딩이나 백-엔드 집합에 걸쳐서 라운드-로
 사용/관리하는 데에 중요하지만, 이들 API의 대부분은 아직 API 서버가
 제공하지 않는다.
 
-
+* [kube-apiserver 환경설정 (v1alpha1)](/docs/reference/config-api/apiserver-config.v1alpha1/)
 * [kube-apiserver 환경설정 (v1)](/docs/reference/config-api/apiserver-config.v1/)
+* [kube-apiserver 암호화 (v1)](/docs/reference/config-api/apiserver-encryption.v1/)
 * [kubelet 환경설정 (v1alpha1)](/docs/reference/config-api/kubelet-config.v1alpha1/) 및
   [kubelet 환경설정 (v1beta1)](/docs/reference/config-api/kubelet-config.v1beta1/)
+* [kubelet 크리덴셜 제공자 (v1alpha1)](/docs/reference/config-api/kubelet-credentialprovider.v1alpha1/)
 * [kube-scheduler 환경설정 (v1beta2)](/docs/reference/config-api/kube-scheduler-config.v1beta2/) 및
   [kube-scheduler 환경설정 (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/)
 * [kube-proxy 환경설정 (v1alpha1)](/docs/reference/config-api/kube-proxy-config.v1alpha1/)
diff --git a/content/ko/docs/reference/access-authn-authz/authorization.md b/content/ko/docs/reference/access-authn-authz/authorization.md
index cca6ea66b9b..bd36cd0f548 100644
--- a/content/ko/docs/reference/access-authn-authz/authorization.md
+++ b/content/ko/docs/reference/access-authn-authz/authorization.md
@@ -76,7 +76,7 @@ DELETE    | delete(개별 리소스), deletecollection(리소스 모음)
 
 쿠버네티스는 종종 전문 동사를 사용하여 부가적인 권한 인가를 확인한다. 예를 들면,
 
-* [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/policy/pod-security-policy/)
+* [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/security/pod-security-policy/)
   * `policy` API 그룹의 `podsecuritypolicies` 리소스에 대한 `use` 동사.
 * [RBAC](/docs/reference/access-authn-authz/rbac/#privilege-escalation-prevention-and-bootstrapping)
   * `rbac.authorization.k8s.io` API 그룹의 `roles` 및 `clusterroles` 리소스에 대한 `bind` 동사.
@@ -87,7 +87,7 @@ DELETE    | delete(개별 리소스), deletecollection(리소스 모음)
 
 쿠버네티스 API 서버는 몇 가지 인가 모드 중 하나를 사용하여 요청을 승인할 수 있다.
 
- * **Node** - 실행되도록 스케줄된 파드에 따라 kubelet에게 권한을 부여하는 특수 목적 인가 모드. Node 인가 모드 사용에 대한 자세한 내용은 [Node 인가](/docs/reference/access-authn-authz/node/)을 참조한다.
+ * **Node** - 실행되도록 스케줄된 파드에 따라 kubelet에게 권한을 부여하는 특수 목적 인가 모드. Node 인가 모드 사용에 대한 자세한 내용은 [Node 인가](/docs/reference/access-authn-authz/node/)를 참조한다.
  * **ABAC** - 속성 기반 접근 제어 (ABAC, Attribute-based access control)는 속성과 결합한 정책의 사용을 통해 사용자에게 접근 권한을 부여하는 접근 제어 패러다임을 말한다. 이 정책은 모든 유형의 속성(사용자 속성, 리소스 속성, 오브젝트, 환경 속성 등)을 사용할 수 있다. ABAC 모드 사용에 대한 자세한 내용은 [ABAC 모드](/docs/reference/access-authn-authz/abac/)를 참조한다.
  * **RBAC** - 역할 기반 접근 제어(RBAC, Role-based access control)는 기업 내 개별 사용자의 역할을 기반으로 컴퓨터나 네트워크 리소스에 대한 접근을 규제하는 방식이다. 이 맥락에서 접근은 개별 사용자가 파일을 보거나 만들거나 수정하는 것과 같은 특정 작업을 수행할 수 있는 능력이다. RBAC 모드 사용에 대한 자세한 내용은 [RBAC 모드](/docs/reference/access-authn-authz/rbac/)를 참조한다.
    * 지정된 RBAC(역할 기반 접근 제어)이 인가 결정을 위해 `rbac.authorization.k8s.io` API 그룹을 사용하면, 관리자가 쿠버네티스 API를 통해 권한 정책을 동적으로 구성할 수 있다.
diff --git a/content/ko/docs/reference/command-line-tools-reference/feature-gates.md b/content/ko/docs/reference/command-line-tools-reference/feature-gates.md
index b39ea382926..c1746978b21 100644
--- a/content/ko/docs/reference/command-line-tools-reference/feature-gates.md
+++ b/content/ko/docs/reference/command-line-tools-reference/feature-gates.md
@@ -29,7 +29,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 기능 쌍 목록에 지정된 `--feature-gates` 플래그를 사용한다.
 
 ```shell
---feature-gates="...,GracefulNodeShutdown=true"
+--feature-gates=...,GracefulNodeShutdown=true
 ```
 
 다음 표는 다른 쿠버네티스 컴포넌트에서 설정할 수 있는 기능 게이트를
@@ -61,9 +61,9 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `APIServerIdentity` | `false` | 알파 | 1.20 | |
 | `APIServerTracing` | `false` | 알파 | 1.22 | |
 | `AllowInsecureBackendProxy` | `true` | 베타 | 1.17 | |
-| `AnyVolumeDataSource` | `false` | 알파 | 1.18 | |
+| `AnyVolumeDataSource` | `false` | 알파 | 1.18 | 1.23 |
+| `AnyVolumeDataSource` | `true` | 베타 | 1.24 | |
 | `AppArmor` | `true` | 베타 | 1.4 | |
-| `ControllerManagerLeaderMigration` | `false` | 알파 | 1.21 | |
 | `CPUManager` | `false` | 알파 | 1.8 | 1.9 |
 | `CPUManager` | `true` | 베타 | 1.10 | |
 | `CPUManagerPolicyAlphaOptions` | `false` | 알파 | 1.23 | |
@@ -74,34 +74,24 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `CSIInlineVolume` | `true` | 베타 | 1.16 | - |
 | `CSIMigration` | `false` | 알파 | 1.14 | 1.16 |
 | `CSIMigration` | `true` | 베타 | 1.17 | |
-| `CSIMigrationAWS` | `false` | 알파 | 1.14 | |
+| `CSIMigrationAWS` | `false` | 알파 | 1.14 | 1.16 |
 | `CSIMigrationAWS` | `false` | 베타 | 1.17 | 1.22 |
 | `CSIMigrationAWS` | `true` | 베타 | 1.23 | |
-| `CSIMigrationAzureDisk` | `false` | 알파 | 1.15 | 1.18 |
-| `CSIMigrationAzureDisk` | `false` | 베타 | 1.19 | 1.22 |
-| `CSIMigrationAzureDisk` | `true` | 베타 | 1.23 | |
 | `CSIMigrationAzureFile` | `false` | 알파 | 1.15 | 1.19 |
-| `CSIMigrationAzureFile` | `false` | 베타 | 1.21 | |
+| `CSIMigrationAzureFile` | `false` | 베타 | 1.21 | 1.23 |
+| `CSIMigrationAzureFile` | `true` | 베타 | 1.24 | |
 | `CSIMigrationGCE` | `false` | 알파 | 1.14 | 1.16 |
 | `CSIMigrationGCE` | `false` | 베타 | 1.17 | 1.22 |
 | `CSIMigrationGCE` | `true` | 베타 | 1.23 | |
-| `CSIMigrationOpenStack` | `false` | 알파 | 1.14 | 1.17 |
-| `CSIMigrationOpenStack` | `true` | 베타 | 1.18 | |
 | `CSIMigrationvSphere` | `false` | 베타 | 1.19 | |
 | `CSIMigrationPortworx` | `false` | 알파 | 1.23 | |
 | `csiMigrationRBD` | `false` | 알파 | 1.23 | |
-| `CSIStorageCapacity` | `false` | 알파 | 1.19 | 1.20 |
-| `CSIStorageCapacity` | `true` | 베타 | 1.21 | |
 | `CSIVolumeHealth` | `false` | 알파 | 1.21 | |
-| `CSRDuration` | `true` | 베타 | 1.22 | |
-| `ControllerManagerLeaderMigration` | `false` | 알파 | 1.21 | 1.21 |
-| `ControllerManagerLeaderMigration` | `true` | 베타 | 1.22 | |
+| `ContextualLogging` | `false` | 알파 | 1.24 | |
 | `CustomCPUCFSQuotaPeriod` | `false` | 알파 | 1.12 | |
 | `CustomResourceValidationExpressions` | `false` | 알파 | 1.23 | |
 | `DaemonSetUpdateSurge` | `false` | 알파 | 1.21 | 1.21 |
 | `DaemonSetUpdateSurge` | `true` | 베타 | 1.22 | |
-| `DefaultPodTopologySpread` | `false` | 알파 | 1.19 | 1.19 |
-| `DefaultPodTopologySpread` | `true` | 베타 | 1.20 | |
 | `DelegateFSGroupToCSIDriver` | `false` | 알파 | 1.22 | 1.22 |
 | `DelegateFSGroupToCSIDriver` | `true` | 베타 | 1.23 | |
 | `DevicePlugins` | `false` | 알파 | 1.8 | 1.9 |
@@ -111,31 +101,25 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `DisableCloudProviders` | `false` | 알파 | 1.22 | |
 | `DisableKubeletCloudCredentialProviders` | `false` | 알파 | 1.23 | |
 | `DownwardAPIHugePages` | `false` | 알파 | 1.20 | 1.20 |
-| `DownwardAPIHugePages` | `false` | 베타 | 1.21 | |
-| `EfficientWatchResumption` | `false` | 알파 | 1.20 | 1.20 |
-| `EfficientWatchResumption` | `true` | 베타 | 1.21 | |
+| `DownwardAPIHugePages` | `false` | 베타 | 1.21 | 1.21 |
+| `DownwardAPIHugePages` | `true` | 베타 | 1.22 | |
 | `EndpointSliceTerminatingCondition` | `false` | 알파 | 1.20 | 1.21 |
 | `EndpointSliceTerminatingCondition` | `true` | 베타 | 1.22 | |
 | `EphemeralContainers` | `false` | 알파 | 1.16 | 1.22 |
 | `EphemeralContainers` | `true` | 베타 | 1.23 | |
-| `ExpandCSIVolumes` | `false` | 알파 | 1.14 | 1.15 |
-| `ExpandCSIVolumes` | `true` | 베타 | 1.16 | |
 | `ExpandedDNSConfig` | `false` | 알파 | 1.22 | |
-| `ExpandInUsePersistentVolumes` | `false` | 알파 | 1.11 | 1.14 |
-| `ExpandInUsePersistentVolumes` | `true` | 베타 | 1.15 | |
-| `ExpandPersistentVolumes` | `false` | 알파 | 1.8 | 1.10 |
-| `ExpandPersistentVolumes` | `true` | 베타 | 1.11 | |
 | `ExperimentalHostUserNamespaceDefaulting` | `false` | 베타 | 1.5 | |
 | `GracefulNodeShutdown` | `false` | 알파 | 1.20 | 1.20 |
 | `GracefulNodeShutdown` | `true` | 베타 | 1.21 | |
-| `GracefulNodeShutdownBasedOnPodPriority` | `false` | 알파 | 1.23 | |
-| `GRPCContainerProbe` | `false` | 알파 | 1.23 | |
-| `HonorPVReclaimPolicy` | `false` | 알파 | 1.23 | |
+| `GracefulNodeShutdownBasedOnPodPriority` | `false` | 알파 | 1.23 | 1.23 |
+| `GracefulNodeShutdownBasedOnPodPriority` | `true` | 베타 | 1.24 | |
+| `GRPCContainerProbe` | `false` | 알파 | 1.23 | 1.23 |
+| `GRPCContainerProbe` | `true` | 베타 | 1.24 | |
+| `HonorPVReclaimPolicy` | `false` | 알파 | 1.23 |  |
 | `HPAContainerMetrics` | `false` | 알파 | 1.20 | |
 | `HPAScaleToZero` | `false` | 알파 | 1.16 | |
-| `IdentifyPodOS` | `false` | 알파 | 1.23 | |
-| `IndexedJob` | `false` | 알파 | 1.21 | 1.21 |
-| `IndexedJob` | `true` | 베타 | 1.22 | |
+| `IdentifyPodOS` | `false` | 알파 | 1.23 | 1.23 |
+| `IdentifyPodOS` | `true` | 베타 | 1.24 | |
 | `InTreePluginAWSUnregister` | `false` | 알파 | 1.21 | |
 | `InTreePluginAzureDiskUnregister` | `false` | 알파 | 1.21 | |
 | `InTreePluginAzureFileUnregister` | `false` | 알파 | 1.21 | |
@@ -145,42 +129,44 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `InTreePluginRBDUnregister` | `false` | 알파 | 1.23 | |
 | `InTreePluginvSphereUnregister` | `false` | 알파 | 1.21 | |
 | `JobMutableNodeSchedulingDirectives` | `true` | 베타 | 1.23 | |
-| `JobReadyPods` | `false` | 알파 | 1.23 | |
+| `JobReadyPods` | `false` | 알파 | 1.23 | 1.23 |
+| `JobReadyPods` | `true` | 베타 | 1.24 | |
 | `JobTrackingWithFinalizers` | `false` | 알파 | 1.22 | 1.22 |
-| `JobTrackingWithFinalizers` | `true` | 베타 | 1.23 | |
-| `KubeletCredentialProviders` | `false` | 알파 | 1.20 | |
+| `JobTrackingWithFinalizers` | `true` | 베타 | 1.23 | 1.23 |
+| `JobTrackingWithFinalizers` | `false` | 베타 | 1.24 | |
+| `KubeletCredentialProviders` | `false` | 알파 | 1.20 | 1.23 |
+| `KubeletCredentialProviders` | `true` | 베타 | 1.24 | |
 | `KubeletInUserNamespace` | `false` | 알파 | 1.22 | |
 | `KubeletPodResources` | `false` | 알파 | 1.13 | 1.14 |
 | `KubeletPodResources` | `true` | 베타 | 1.15 | |
 | `KubeletPodResourcesGetAllocatable` | `false` | 알파 | 1.21 | 1.22 |
-| `KubeletPodResourcesGetAllocatable` | `false` | 베타 | 1.23 | |
+| `KubeletPodResourcesGetAllocatable` | `true` | 베타 | 1.23 | |
 | `LocalStorageCapacityIsolation` | `false` | 알파 | 1.7 | 1.9 |
 | `LocalStorageCapacityIsolation` | `true` | 베타 | 1.10 | |
 | `LocalStorageCapacityIsolationFSQuotaMonitoring` | `false` | 알파 | 1.15 | |
 | `LogarithmicScaleDown` | `false` | 알파 | 1.21 | 1.21 |
 | `LogarithmicScaleDown` | `true` | 베타 | 1.22 | |
+| `MaxUnavailableStatefulSet` | `false` | 알파 | 1.24 | |
 | `MemoryManager` | `false` | 알파 | 1.21 | 1.21 |
 | `MemoryManager` | `true` | 베타 | 1.22 | |
 | `MemoryQoS` | `false` | 알파 | 1.22 | |
-| `MixedProtocolLBService` | `false` | 알파 | 1.20 | |
+| `MinDomainsInPodTopologySpread` | `false` | 알파 | 1.24 | |
+| `MixedProtocolLBService` | `false` | 알파 | 1.20 | 1.23 |
+| `MixedProtocolLBService` | `true` | 베타 | 1.24 | |
 | `NetworkPolicyEndPort` | `false` | 알파 | 1.21 | 1.21 |
 | `NetworkPolicyEndPort` | `true` | 베타 | 1.22 |  |
+| `NetworkPolicyStatus` | `false` | 알파 | 1.24 |  |
 | `NodeSwap` | `false` | 알파 | 1.22 | |
-| `NonPreemptingPriority` | `false` | 알파 | 1.15 | 1.18 |
-| `NonPreemptingPriority` | `true` | 베타 | 1.19 | |
-| `OpenAPIEnums` | `false` | 알파 | 1.23 | |
-| `OpenAPIV3` | `false` | 알파 | 1.23 | |
+| `NodeOutOfServiceVolumeDetach` | `false` | 알파 | 1.24 | |
+| `OpenAPIEnums` | `false` | 알파 | 1.23 | 1.23 |
+| `OpenAPIEnums` | `true` | 베타 | 1.24 | |
+| `OpenAPIV3` | `false` | 알파 | 1.23 | 1.23 |
+| `OpenAPIV3` | `true` | 베타 | 1.24 | |
 | `PodAndContainerStatsFromCRI` | `false` | 알파 | 1.23 | |
-| `PodAffinityNamespaceSelector` | `false` | 알파 | 1.21 | 1.21 |
-| `PodAffinityNamespaceSelector` | `true` | 베타 | 1.22 | |
 | `PodDeletionCost` | `false` | 알파 | 1.21 | 1.21 |
 | `PodDeletionCost` | `true` | 베타 | 1.22 | |
-| `PodOverhead` | `false` | 알파 | 1.16 | 1.17 |
-| `PodOverhead` | `true` | 베타 | 1.18 | |
 | `PodSecurity` | `false` | 알파 | 1.22 | 1.22 |
 | `PodSecurity` | `true` | 베타 | 1.23 | |
-| `PreferNominatedNode` | `false` | 알파 | 1.21 | 1.21 |
-| `PreferNominatedNode` | `true` | 베타 | 1.22 | |
 | `ProbeTerminationGracePeriod` | `false` | 알파 | 1.21 | 1.21 |
 | `ProbeTerminationGracePeriod` | `false` | 베타 | 1.22 | |
 | `ProcMountType` | `false` | 알파 | 1.12 | |
@@ -190,17 +176,13 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `RecoverVolumeExpansionFailure` | `false` | 알파 | 1.23 | |
 | `RemainingItemCount` | `false` | 알파 | 1.15 | 1.15 |
 | `RemainingItemCount` | `true` | 베타 | 1.16 | |
-| `RemoveSelfLink` | `false` | 알파 | 1.16 | 1.19 |
-| `RemoveSelfLink` | `true` | 베타 | 1.20 | |
 | `RotateKubeletServerCertificate` | `false` | 알파 | 1.7 | 1.11 |
 | `RotateKubeletServerCertificate` | `true` | 베타 | 1.12 | |
 | `SeccompDefault` | `false` | 알파 | 1.22 | |
+| `ServerSideFieldValidation` | `false` | 알파 | 1.23 | - |
 | `ServiceInternalTrafficPolicy` | `false` | 알파 | 1.21 | 1.21 |
 | `ServiceInternalTrafficPolicy` | `true` | 베타 | 1.22 | |
-| `ServiceLBNodePortControl` | `false` | 알파 | 1.20 | 1.21 |
-| `ServiceLBNodePortControl` | `true` | 베타 | 1.22 | |
-| `ServiceLoadBalancerClass` | `false` | 알파 | 1.21 | 1.21 |
-| `ServiceLoadBalancerClass` | `true` | 베타 | 1.22 | |
+| `ServiceIPStaticSubrange` | `false` | 알파 | 1.24 | |
 | `SizeMemoryBackedVolumes` | `false` | 알파 | 1.20 | 1.21 |
 | `SizeMemoryBackedVolumes` | `true` | 베타 | 1.22 | |
 | `StatefulSetAutoDeletePVC` | `false` | 알파 | 1.22 | |
@@ -209,10 +191,9 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `StorageVersionAPI` | `false` | 알파 | 1.20 | |
 | `StorageVersionHash` | `false` | 알파 | 1.14 | 1.14 |
 | `StorageVersionHash` | `true` | 베타 | 1.15 | |
-| `SuspendJob` | `false` | 알파 | 1.21 | 1.21 |
-| `SuspendJob` | `true` | 베타 | 1.22 | |
 | `TopologyAwareHints` | `false` | 알파 | 1.21 | 1.22 |
-| `TopologyAwareHints` | `false` | 베타 | 1.23 | |
+| `TopologyAwareHints` | `false` | 베타 | 1.23 | 1.23 |
+| `TopologyAwareHints` | `true` | 베타 | 1.24 | |
 | `TopologyManager` | `false` | 알파 | 1.16 | 1.17 |
 | `TopologyManager` | `true` | 베타 | 1.18 | |
 | `VolumeCapacityPriority` | `false` | 알파 | 1.21 | - |
@@ -220,7 +201,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `WinOverlay` | `false` | 알파 | 1.14 | 1.19 |
 | `WinOverlay` | `true` | 베타 | 1.20 | |
 | `WindowsHostProcessContainers` | `false` | 알파 | 1.22 | 1.22 |
-| `WindowsHostProcessContainers` | `false` | 베타 | 1.23 | |
+| `WindowsHostProcessContainers` | `true` | 베타 | 1.23 | |
 {{< /table >}}
 
 ### GA 또는 사용 중단된 기능을 위한 기능 게이트
@@ -230,19 +211,19 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | 기능     | 디폴트    | 단계   | 도입   | 종료   |
 |---------|---------|-------|-------|-------|
 | `Accelerators` | `false` | 알파 | 1.6 | 1.10 |
-| `Accelerators` | - | 사용중단 | 1.11 | - |
+| `Accelerators` | - | Deprecated | 1.11 | - |
 | `AdvancedAuditing` | `false` | 알파 | 1.7 | 1.7 |
 | `AdvancedAuditing` | `true` | 베타 | 1.8 | 1.11 |
 | `AdvancedAuditing` | `true` | GA | 1.12 | - |
 | `AffinityInAnnotations` | `false` | 알파 | 1.6 | 1.7 |
-| `AffinityInAnnotations` | - | 사용중단 | 1.8 | - |
+| `AffinityInAnnotations` | - | Deprecated | 1.8 | - |
 | `AllowExtTrafficLocalEndpoints` | `false` | 베타 | 1.4 | 1.6 |
 | `AllowExtTrafficLocalEndpoints` | `true` | GA | 1.7 | - |
 | `AttachVolumeLimit` | `false` | 알파 | 1.11 | 1.11 |
 | `AttachVolumeLimit` | `true` | 베타 | 1.12 | 1.16 |
 | `AttachVolumeLimit` | `true` | GA | 1.17 | - |
 | `BalanceAttachedNodeVolumes` | `false` | 알파 | 1.11 | 1.21 |
-| `BalanceAttachedNodeVolumes` | `false` | 사용중단 | 1.22 | |
+| `BalanceAttachedNodeVolumes` | `false` | Deprecated | 1.22 | |
 | `BlockVolume` | `false` | 알파 | 1.9 | 1.12 |
 | `BlockVolume` | `true` | 베타 | 1.13 | 1.17 |
 | `BlockVolume` | `true` | GA | 1.18 | - |
@@ -251,7 +232,10 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `BoundServiceAccountTokenVolume` | `true` | GA | 1.22 | - |
 | `ConfigurableFSGroupPolicy` | `false` | 알파 | 1.18 | 1.19 |
 | `ConfigurableFSGroupPolicy` | `true` | 베타 | 1.20 | 1.22 |
-| `ConfigurableFSGroupPolicy` | `true` | GA | 1.23 | |
+| `ConfigurableFSGroupPolicy` | `true` | GA | 1.23 | - |
+| `ControllerManagerLeaderMigration` | `false` | 알파 | 1.21 | 1.21 |
+| `ControllerManagerLeaderMigration` | `true` | 베타 | 1.22 | 1.23 |
+| `ControllerManagerLeaderMigration` | `true` | GA | 1.24 | - |
 | `CRIContainerLogRotation` | `false` | 알파 | 1.10 | 1.10 |
 | `CRIContainerLogRotation` | `true` | 베타 | 1.11 | 1.20 |
 | `CRIContainerLogRotation` | `true` | GA | 1.21 | - |
@@ -260,34 +244,47 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `CSIBlockVolume` | `true` | GA | 1.18 | - |
 | `CSIDriverRegistry` | `false` | 알파 | 1.12 | 1.13 |
 | `CSIDriverRegistry` | `true` | 베타 | 1.14 | 1.17 |
-| `CSIDriverRegistry` | `true` | GA | 1.18 | |
+| `CSIDriverRegistry` | `true` | GA | 1.18 | - |
 | `CSIMigrationAWSComplete` | `false` | 알파 | 1.17 | 1.20 |
-| `CSIMigrationAWSComplete` | - | 사용중단 | 1.21 | - |
+| `CSIMigrationAWSComplete` | - | Deprecated | 1.21 | - |
+| `CSIMigrationAzureDisk` | `false` | 알파 | 1.15 | 1.18 |
+| `CSIMigrationAzureDisk` | `false` | 베타 | 1.19 | 1.22 |
+| `CSIMigrationAzureDisk` | `true` | 베타 | 1.23 | 1.23 |
+| `CSIMigrationAzureDisk` | `true` | GA | 1.24 | |
 | `CSIMigrationAzureDiskComplete` | `false` | 알파 | 1.17 | 1.20 |
-| `CSIMigrationAzureDiskComplete` | - | 사용중단 | 1.21 | - |
+| `CSIMigrationAzureDiskComplete` | - | Deprecated | 1.21 | - |
 | `CSIMigrationAzureFileComplete` | `false` | 알파 | 1.17 | 1.20 |
-| `CSIMigrationAzureFileComplete` | - | 사용중단 |  1.21 | - |
+| `CSIMigrationAzureFileComplete` | - | Deprecated |  1.21 | - |
 | `CSIMigrationGCEComplete` | `false` | 알파 | 1.17 | 1.20 |
-| `CSIMigrationGCEComplete` | - | 사용중단 | 1.21 | - |
+| `CSIMigrationGCEComplete` | - | Deprecated | 1.21 | - |
+| `CSIMigrationOpenStack` | `false` | 알파 | 1.14 | 1.17 |
+| `CSIMigrationOpenStack` | `true` | 베타 | 1.18 | 1.23 |
+| `CSIMigrationOpenStack` | `true` | GA | 1.24 | |
 | `CSIMigrationOpenStackComplete` | `false` | 알파 | 1.17 | 1.20 |
-| `CSIMigrationOpenStackComplete` | - | 사용중단 | 1.21 | - |
+| `CSIMigrationOpenStackComplete` | - | Deprecated | 1.21 | - |
 | `CSIMigrationvSphereComplete` | `false` | 베타 | 1.19 | 1.21 |
-| `CSIMigrationvSphereComplete` | - | 사용중단 | 1.22 | - |
+| `CSIMigrationvSphereComplete` | - | Deprecated | 1.22 | - |
 | `CSINodeInfo` | `false` | 알파 | 1.12 | 1.13 |
 | `CSINodeInfo` | `true` | 베타 | 1.14 | 1.16 |
-| `CSINodeInfo` | `true` | GA | 1.17 | |
+| `CSINodeInfo` | `true` | GA | 1.17 | - |
 | `CSIPersistentVolume` | `false` | 알파 | 1.9 | 1.9 |
 | `CSIPersistentVolume` | `true` | 베타 | 1.10 | 1.12 |
 | `CSIPersistentVolume` | `true` | GA | 1.13 | - |
 | `CSIServiceAccountToken` | `false` | 알파 | 1.20 | 1.20 |
 | `CSIServiceAccountToken` | `true` | 베타 | 1.21 | 1.21 |
-| `CSIServiceAccountToken` | `true` | GA | 1.22 | |
+| `CSIServiceAccountToken` | `true` | GA | 1.22 | - |
+| `CSIStorageCapacity` | `false` | 알파 | 1.19 | 1.20 |
+| `CSIStorageCapacity` | `true` | 베타 | 1.21 | 1.23 |
+| `CSIStorageCapacity` | `true` | GA | 1.24 | - |
 | `CSIVolumeFSGroupPolicy` | `false` | 알파 | 1.19 | 1.19 |
 | `CSIVolumeFSGroupPolicy` | `true` | 베타 | 1.20 | 1.22 |
 | `CSIVolumeFSGroupPolicy` | `true` | GA | 1.23 | |
+| `CSRDuration` | `true` | 베타 | 1.22 | 1.23 |
+| `CSRDuration` | `true` | GA | 1.24 | - |
 | `CronJobControllerV2` | `false` | 알파 | 1.20 | 1.20 |
 | `CronJobControllerV2` | `true` | 베타 | 1.21 | 1.21 |
 | `CronJobControllerV2` | `true` | GA | 1.22 | - |
+| `CronJobTimeZone` | `false` | 알파 | 1.24 | |
 | `CustomPodDNS` | `false` | 알파 | 1.9 | 1.9 |
 | `CustomPodDNS` | `true` | 베타| 1.10 | 1.13 |
 | `CustomPodDNS` | `true` | GA | 1.14 | - |
@@ -306,25 +303,31 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `CustomResourceWebhookConversion` | `false` | 알파 | 1.13 | 1.14 |
 | `CustomResourceWebhookConversion` | `true` | 베타 | 1.15 | 1.15 |
 | `CustomResourceWebhookConversion` | `true` | GA | 1.16 | - |
+| `DefaultPodTopologySpread` | `false` | 알파 | 1.19 | 1.19 |
+| `DefaultPodTopologySpread` | `true` | 베타 | 1.20 | 1.23 |
+| `DefaultPodTopologySpread` | `true` | GA | 1.24 | - |
 | `DryRun` | `false` | 알파 | 1.12 | 1.12 |
 | `DryRun` | `true` | 베타 | 1.13 | 1.18 |
 | `DryRun` | `true` | GA | 1.19 | - |
 | `DynamicAuditing` | `false` | 알파 | 1.13 | 1.18 |
-| `DynamicAuditing` | - | 사용중단 | 1.19 | - |
+| `DynamicAuditing` | - | Deprecated | 1.19 | - |
 | `DynamicKubeletConfig` | `false` | 알파 | 1.4 | 1.10 |
 | `DynamicKubeletConfig` | `true` | 베타 | 1.11 | 1.21 |
-| `DynamicKubeletConfig` | `false` | 사용중단 | 1.22 | - |
+| `DynamicKubeletConfig` | `false` | Deprecated | 1.22 | - |
 | `DynamicProvisioningScheduling` | `false` | 알파 | 1.11 | 1.11 |
-| `DynamicProvisioningScheduling` | - | 사용중단| 1.12 | - |
+| `DynamicProvisioningScheduling` | - | Deprecated| 1.12 | - |
 | `DynamicVolumeProvisioning` | `true` | 알파 | 1.3 | 1.7 |
 | `DynamicVolumeProvisioning` | `true` | GA | 1.8 | - |
-| `EnableAggregatedDiscoveryTimeout` | `true` | 사용중단 | 1.16 | - |
+| `EfficientWatchResumption` | `false` | 알파 | 1.20 | 1.20 |
+| `EfficientWatchResumption` | `true` | 베타 | 1.21 | 1.23 |
+| `EfficientWatchResumption` | `true` | GA | 1.24 | - |
+| `EnableAggregatedDiscoveryTimeout` | `true` | Deprecated | 1.16 | - |
 | `EnableEquivalenceClassCache` | `false` | 알파 | 1.8 | 1.14 |
-| `EnableEquivalenceClassCache` | - | 사용중단 | 1.15 | - |
+| `EnableEquivalenceClassCache` | - | Deprecated | 1.15 | - |
 | `EndpointSlice` | `false` | 알파 | 1.16 | 1.16 |
 | `EndpointSlice` | `false` | 베타 | 1.17 | 1.17 |
 | `EndpointSlice` | `true` | 베타 | 1.18 | 1.20 |
-| `EndpointSlice` | `true` | GA | 1.21 | -  |
+| `EndpointSlice` | `true` | GA | 1.21 | - |
 | `EndpointSliceNodeName` | `false` | 알파 | 1.20 | 1.20 |
 | `EndpointSliceNodeName` | `true` | GA | 1.21 | - |
 | `EndpointSliceProxying` | `false` | 알파 | 1.18 | 1.18 |
@@ -334,8 +337,17 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `EvenPodsSpread` | `true` | 베타 | 1.18 | 1.18 |
 | `EvenPodsSpread` | `true` | GA | 1.19 | - |
 | `ExecProbeTimeout` | `true` | GA | 1.20 | - |
+| `ExpandCSIVolumes` | `false` | 알파 | 1.14 | 1.15 |
+| `ExpandCSIVolumes` | `true` | 베타 | 1.16 | 1.23 |
+| `ExpandCSIVolumes` | `true` | GA | 1.24 | - |
+| `ExpandInUsePersistentVolumes` | `false` | 알파 | 1.11 | 1.14 |
+| `ExpandInUsePersistentVolumes` | `true` | 베타 | 1.15 | 1.23 |
+| `ExpandInUsePersistentVolumes` | `true` | GA | 1.24 | - |
+| `ExpandPersistentVolumes` | `false` | 알파 | 1.8 | 1.10 |
+| `ExpandPersistentVolumes` | `true` | 베타 | 1.11 | 1.23 |
+| `ExpandPersistentVolumes` | `true` | GA | 1.24 |- |
 | `ExperimentalCriticalPodAnnotation` | `false` | 알파 | 1.5 | 1.12 |
-| `ExperimentalCriticalPodAnnotation` | `false` | 사용중단 | 1.13 | - |
+| `ExperimentalCriticalPodAnnotation` | `false` | Deprecated | 1.13 | - |
 | `ExternalPolicyForExternalIP` | `true` | GA | 1.18 | - |
 | `GCERegionalPersistentDisk` | `true` | 베타 | 1.10 | 1.12 |
 | `GCERegionalPersistentDisk` | `true` | GA | 1.13 | - |
@@ -349,47 +361,60 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `HugePages` | `true` | 베타| 1.10 | 1.13 |
 | `HugePages` | `true` | GA | 1.14 | - |
 | `HyperVContainer` | `false` | 알파 | 1.10 | 1.19 |
-| `HyperVContainer` | `false` | 사용중단 | 1.20 | - |
+| `HyperVContainer` | `false` | Deprecated | 1.20 | - |
+| `IPv6DualStack` | `false` | 알파 | 1.15 | 1.20 |
+| `IPv6DualStack` | `true` | 베타 | 1.21 | 1.22 |
+| `IPv6DualStack` | `true` | GA | 1.23 | - |
 | `ImmutableEphemeralVolumes` | `false` | 알파 | 1.18 | 1.18 |
 | `ImmutableEphemeralVolumes` | `true` | 베타 | 1.19 | 1.20 |
 | `ImmutableEphemeralVolumes` | `true` | GA | 1.21 | |
+| `IndexedJob` | `false` | 알파 | 1.21 | 1.21 |
+| `IndexedJob` | `true` | 베타 | 1.22 | 1.23 |
+| `IndexedJob` | `true` | GA | 1.24 | - |
 | `IngressClassNamespacedParams` | `false` | 알파 | 1.21 | 1.21 |
 | `IngressClassNamespacedParams` | `true` | 베타 | 1.22 | 1.22 |
 | `IngressClassNamespacedParams` | `true` | GA | 1.23 | - |
 | `Initializers` | `false` | 알파 | 1.7 | 1.13 |
-| `Initializers` | - | 사용중단 | 1.14 | - |
-| `IPv6DualStack` | `false` | 알파 | 1.15 | 1.20 |
-| `IPv6DualStack` | `true` | 베타 | 1.21 | 1.22 |
-| `IPv6DualStack` | `true` | GA | 1.23 | - |
+| `Initializers` | - | Deprecated | 1.14 | - |
 | `KubeletConfigFile` | `false` | 알파 | 1.8 | 1.9 |
-| `KubeletConfigFile` | - | 사용중단 | 1.10 | - |
+| `KubeletConfigFile` | - | Deprecated | 1.10 | - |
 | `KubeletPluginsWatcher` | `false` | 알파 | 1.11 | 1.11 |
 | `KubeletPluginsWatcher` | `true` | 베타 | 1.12 | 1.12 |
 | `KubeletPluginsWatcher` | `true` | GA | 1.13 | - |
 | `LegacyNodeRoleBehavior` | `false` | 알파 | 1.16 | 1.18 |
 | `LegacyNodeRoleBehavior` | `true` | 베타 | 1.19 | 1.20 |
 | `LegacyNodeRoleBehavior` | `false` | GA | 1.21 | - |
+| `LegacyServiceAccountTokenNoAutoGeneration` | `true` | 베타 | 1.24 | |
 | `MountContainers` | `false` | 알파 | 1.9 | 1.16 |
-| `MountContainers` | `false` | 사용중단 | 1.17 | - |
+| `MountContainers` | `false` | Deprecated | 1.17 | - |
 | `MountPropagation` | `false` | 알파 | 1.8 | 1.9 |
 | `MountPropagation` | `true` | 베타 | 1.10 | 1.11 |
 | `MountPropagation` | `true` | GA | 1.12 | - |
+| `NamespaceDefaultLabelName` | `true` | 베타 | 1.21 | 1.21 |
+| `NamespaceDefaultLabelName` | `true` | GA | 1.22 | - |
 | `NodeDisruptionExclusion` | `false` | 알파 | 1.16 | 1.18 |
 | `NodeDisruptionExclusion` | `true` | 베타 | 1.19 | 1.20 |
 | `NodeDisruptionExclusion` | `true` | GA | 1.21 | - |
 | `NodeLease` | `false` | 알파 | 1.12 | 1.13 |
 | `NodeLease` | `true` | 베타 | 1.14 | 1.16 |
 | `NodeLease` | `true` | GA | 1.17 | - |
-| `NamespaceDefaultLabelName` | `true` | 베타 | 1.21 | 1.21 |
-| `NamespaceDefaultLabelName` | `true` | GA | 1.22 | - |
+| `NonPreemptingPriority` | `false` | 알파 | 1.15 | 1.18 |
+| `NonPreemptingPriority` | `true` | 베타 | 1.19 | 1.23 |
+| `NonPreemptingPriority` | `true` | GA | 1.24 | - |
 | `PVCProtection` | `false` | 알파 | 1.9 | 1.9 |
-| `PVCProtection` | - | 사용중단 | 1.10 | - |
+| `PVCProtection` | - | Deprecated | 1.10 | - |
 | `PersistentLocalVolumes` | `false` | 알파 | 1.7 | 1.9 |
 | `PersistentLocalVolumes` | `true` | 베타 | 1.10 | 1.13 |
 | `PersistentLocalVolumes` | `true` | GA | 1.14 | - |
+| `PodAffinityNamespaceSelector` | `false` | 알파 | 1.21 | 1.21 |
+| `PodAffinityNamespaceSelector` | `true` | 베타 | 1.22 | 1.23 |
+| `PodAffinityNamespaceSelector` | `true` | GA | 1.24 | - |
 | `PodDisruptionBudget` | `false` | 알파 | 1.3 | 1.4 |
 | `PodDisruptionBudget` | `true` | 베타 | 1.5 | 1.20 |
 | `PodDisruptionBudget` | `true` | GA | 1.21 | - |
+| `PodOverhead` | `false` | 알파 | 1.16 | 1.17 |
+| `PodOverhead` | `true` | 베타 | 1.18 | 1.23 |
+| `PodOverhead` | `true` | GA | 1.24 | - |
 | `PodPriority` | `false` | 알파 | 1.8 | 1.10 |
 | `PodPriority` | `true` | 베타 | 1.11 | 1.13 |
 | `PodPriority` | `true` | GA | 1.14 | - |
@@ -399,10 +424,16 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `PodShareProcessNamespace` | `false` | 알파 | 1.10 | 1.11 |
 | `PodShareProcessNamespace` | `true` | 베타 | 1.12 | 1.16 |
 | `PodShareProcessNamespace` | `true` | GA | 1.17 | - |
+| `PreferNominatedNode` | `false` | 알파 | 1.21 | 1.21 |
+| `PreferNominatedNode` | `true` | 베타 | 1.22 | 1.23 |
+| `PreferNominatedNode` | `true` | GA | 1.24 | - |
+| `RemoveSelfLink` | `false` | 알파 | 1.16 | 1.19 |
+| `RemoveSelfLink` | `true` | 베타 | 1.20 | 1.23 |
+| `RemoveSelfLink` | `true` | GA | 1.24 | - |
 | `RequestManagement` | `false` | 알파 | 1.15 | 1.16 |
-| `RequestManagement` | - | 사용중단 | 1.17 | - |
+| `RequestManagement` | - | Deprecated | 1.17 | - |
 | `ResourceLimitsPriorityFunction` | `false` | 알파 | 1.9 | 1.18 |
-| `ResourceLimitsPriorityFunction` | - | 사용중단 | 1.19 | - |
+| `ResourceLimitsPriorityFunction` | - | Deprecated | 1.19 | - |
 | `ResourceQuotaScopeSelectors` | `false` | 알파 | 1.11 | 1.11 |
 | `ResourceQuotaScopeSelectors` | `true` | 베타 | 1.12 | 1.16 |
 | `ResourceQuotaScopeSelectors` | `true` | GA | 1.17 | - |
@@ -434,6 +465,12 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `ServiceAppProtocol` | `false` | 알파 | 1.18 | 1.18 |
 | `ServiceAppProtocol` | `true` | 베타 | 1.19 | 1.19 |
 | `ServiceAppProtocol` | `true` | GA | 1.20 | - |
+| `ServiceLBNodePortControl` | `false` | 알파 | 1.20 | 1.21 |
+| `ServiceLBNodePortControl` | `true` | 베타 | 1.22 | 1.23 |
+| `ServiceLBNodePortControl` | `true` | GA | 1.24 | - |
+| `ServiceLoadBalancerClass` | `false` | 알파 | 1.21 | 1.21 |
+| `ServiceLoadBalancerClass` | `true` | 베타 | 1.22 | 1.23 |
+| `ServiceLoadBalancerClass` | `true` | GA | 1.24 | - |
 | `ServiceLoadBalancerFinalizer` | `false` | 알파 | 1.15 | 1.15 |
 | `ServiceLoadBalancerFinalizer` | `true` | 베타 | 1.16 | 1.16 |
 | `ServiceLoadBalancerFinalizer` | `true` | GA | 1.17 | - |
@@ -441,7 +478,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `ServiceNodeExclusion` | `true` | 베타 | 1.19 | 1.20 |
 | `ServiceNodeExclusion` | `true` | GA | 1.21 | - |
 | `ServiceTopology` | `false` | 알파 | 1.17 | 1.19 |
-| `ServiceTopology` | `false` | 사용중단 | 1.20 | - |
+| `ServiceTopology` | `false` | Deprecated | 1.20 | - |
 | `SetHostnameAsFQDN` | `false` | 알파 | 1.19 | 1.19 |
 | `SetHostnameAsFQDN` | `true` | 베타 | 1.20 | 1.21 |
 | `SetHostnameAsFQDN` | `true` | GA | 1.22 | - |
@@ -452,8 +489,8 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `StorageObjectInUseProtection` | `true` | GA | 1.11 | - |
 | `StreamingProxyRedirects` | `false` | 베타 | 1.5 | 1.5 |
 | `StreamingProxyRedirects` | `true` | 베타 | 1.6 | 1.17 |
-| `StreamingProxyRedirects` | `true` | 사용중단 | 1.18 | 1.21 |
-| `StreamingProxyRedirects` | `false` | 사용중단 | 1.22 | - |
+| `StreamingProxyRedirects` | `true` | Deprecated | 1.18 | 1.21 |
+| `StreamingProxyRedirects` | `false` | Deprecated | 1.22 | - |
 | `SupportIPVSProxyMode` | `false` | 알파 | 1.8 | 1.8 |
 | `SupportIPVSProxyMode` | `false` | 베타 | 1.9 | 1.9 |
 | `SupportIPVSProxyMode` | `true` | 베타 | 1.10 | 1.10 |
@@ -464,8 +501,11 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `SupportPodPidsLimit` | `false` | 알파 | 1.10 | 1.13 |
 | `SupportPodPidsLimit` | `true` | 베타 | 1.14 | 1.19 |
 | `SupportPodPidsLimit` | `true` | GA | 1.20 | - |
+| `SuspendJob` | `false` | 알파 | 1.21 | 1.21 |
+| `SuspendJob` | `true` | 베타 | 1.22 | 1.23 |
+| `SuspendJob` | `true` | GA | 1.24 | - |
 | `Sysctls` | `true` | 베타 | 1.11 | 1.20 |
-| `Sysctls` | `true` | GA | 1.21 | |
+| `Sysctls` | `true` | GA | 1.21 | - |
 | `TTLAfterFinished` | `false` | 알파 | 1.12 | 1.20 |
 | `TTLAfterFinished` | `true` | 베타 | 1.21 | 1.22 |
 | `TTLAfterFinished` | `true` | GA | 1.23 | - |
@@ -483,7 +523,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 | `TokenRequestProjection` | `true` | GA | 1.20 | - |
 | `ValidateProxyRedirects` | `false` | 알파 | 1.12 | 1.13 |
 | `ValidateProxyRedirects` | `true` | 베타 | 1.14 | 1.21 |
-| `ValidateProxyRedirects` | `true` | 사용중단 | 1.22 | - |
+| `ValidateProxyRedirects` | `true` | Deprecated | 1.22 | - |
 | `VolumePVCDataSource` | `false` | 알파 | 1.15 | 1.15 |
 | `VolumePVCDataSource` | `true` | 베타 | 1.16 | 1.17 |
 | `VolumePVCDataSource` | `true` | GA | 1.18 | - |
@@ -567,7 +607,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   플러그인의 초기 형태를 제공하였으며, 사용 중단되었다. 
   대안을 위해서는 [장치 플러그인](/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)을 
   확인한다.
-- `AdvancedAuditing`: [고급 감사](/docs/tasks/debug-application-cluster/audit/#advanced-audit) 기능을 활성화한다.
+- `AdvancedAuditing`: [고급 감사](/docs/tasks/debug/debug-cluster/audit/#advanced-audit) 기능을 활성화한다.
 - `AffinityInAnnotations`: [파드 어피니티 또는 안티-어피니티](/ko/docs/concepts/scheduling-eviction/assign-pod-node/#어피니티-affinity-와-안티-어피니티-anti-affinity)
   설정을 활성화한다.
 - `AllowExtTrafficLocalEndpoints`: 서비스가 외부 요청을 노드의 로컬 엔드포인트로 라우팅할 수 있도록 한다.
@@ -579,48 +619,58 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   자세한 내용은 [AppArmor 튜토리얼](/ko/docs/tutorials/security/apparmor/)을 참고한다.
 - `AttachVolumeLimit`: 볼륨 플러그인이 노드에 연결될 수 있는 볼륨 수에
   대한 제한을 보고하도록 한다.
-  자세한 내용은 [동적 볼륨 제한](/ko/docs/concepts/storage/storage-limits/#동적-볼륨-한도)을 참고한다.
+  자세한 내용은 [동적 볼륨 제한](/ko/docs/concepts/storage/storage-limits/#동적-볼륨-한도)을 
+  참고한다.
 - `BalanceAttachedNodeVolumes`: 스케줄링 시 균형 잡힌 리소스 할당을 위해 고려할 노드의 볼륨 수를
   포함한다. 스케줄러가 결정을 내리는 동안 CPU, 메모리 사용률 및 볼륨 수가
   더 가까운 노드가 선호된다.
 - `BlockVolume`: 파드에서 원시 블록 장치의 정의와 사용을 활성화한다.
   자세한 내용은 [원시 블록 볼륨 지원](/ko/docs/concepts/storage/persistent-volumes/#원시-블록-볼륨-지원)을
   참고한다.
-- `BoundServiceAccountTokenVolume`: ServiceAccountTokenVolumeProjection으로 구성된 프로젝션 볼륨을 사용하도록 서비스어카운트 볼륨을
-  마이그레이션한다. 클러스터 관리자는 `serviceaccount_stale_tokens_total` 메트릭을 사용하여
-  확장 토큰에 의존하는 워크로드를 모니터링 할 수 있다. 이러한 워크로드가 없는 경우 `--service-account-extend-token-expiration=false` 플래그로
-  `kube-apiserver`를 시작하여 확장 토큰 기능을 끈다.
-  자세한 내용은 [바운드 서비스 계정 토큰](https://github.com/kubernetes/enhancements/blob/master/keps/sig-auth/1205-bound-service-account-tokens/README.md)을
-  확인한다.
+- `BoundServiceAccountTokenVolume`: ServiceAccountTokenVolumeProjection으로 구성된 프로젝션 볼륨을 사용하도록 
+  서비스어카운트 볼륨을 마이그레이션한다. 
+  클러스터 관리자는 `serviceaccount_stale_tokens_total` 메트릭을 사용하여 
+  확장 토큰에 의존하는 워크로드를 모니터링 할 수 있다. 
+  이러한 워크로드가 없는 경우 `--service-account-extend-token-expiration=false` 플래그로 
+  `kube-apiserver`를 시작하여 확장 토큰 기능을 끈다. 
+  자세한 내용은 [바운드 서비스 계정 토큰](https://github.com/kubernetes/enhancements/blob/master/keps/sig-auth/1205-bound-service-account-tokens/README.md)을 확인한다.
 - `ControllerManagerLeaderMigration`: HA 클러스터에서 클러스터 오퍼레이터가
   kube-controller-manager의 컨트롤러들을 외부 controller-manager(예를 들면,
   cloud-controller-manager)로 다운타임 없이 라이브 마이그레이션할 수 있도록 허용하도록
-  [kube-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#initial-leader-migration-configuration)와 [cloud-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager)의
+  [kube-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#initial-leader-migration-configuration)와 
+  [cloud-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager)의
   리더 마이그레이션(Leader Migration)을 활성화한다.
 - `CPUManager`: 컨테이너 수준의 CPU 어피니티 지원을 활성화한다.
   [CPU 관리 정책](/docs/tasks/administer-cluster/cpu-management-policies/)을 참고한다.
-- `CPUManagerPolicyAlphaOptions`: CPUManager 정책 중 실험적이며 알파 품질인 옵션의 미세 조정을 허용한다. 
+- `CPUManagerPolicyAlphaOptions`: CPUManager 정책 중 실험적이며 알파 품질인 옵션의 
+  미세 조정을 허용한다. 
   이 기능 게이트는 품질 수준이 알파인 CPUManager 옵션의 *그룹*을 보호한다.
   이 기능 게이트는 베타 또는 안정(stable) 상태로 변경되지 않을 것이다.
-- `CPUManagerPolicyBetaOptions`: CPUManager 정책 중 실험적이며 베타 품질인 옵션의 미세 조정을 허용한다. 
+- `CPUManagerPolicyBetaOptions`: CPUManager 정책 중 실험적이며 베타 품질인 옵션의 
+  미세 조정을 허용한다. 
   이 기능 게이트는 품질 수준이 베타인 CPUManager 옵션의 *그룹*을 보호한다.
   이 기능 게이트는 안정(stable) 상태로 변경되지 않을 것이다.
 - `CPUManagerPolicyOptions`: CPUManager 정책의 미세 조정을 허용한다.
-- `CRIContainerLogRotation`: cri 컨테이너 런타임에 컨테이너 로그 로테이션을 활성화한다. 로그 파일 사이즈 기본값은 10MB이며,
-컨테이너 당 최대 로그 파일 수 기본값은 5이다. 이 값은 kubelet 환경설정으로 변경할 수 있다.
-더 자세한 내용은 [노드 레벨에서의 로깅](/ko/docs/concepts/cluster-administration/logging/#노드-레벨에서의-로깅)을 참고한다.
+- `CRIContainerLogRotation`: CRI 컨테이너 런타임에 컨테이너 로그 로테이션을 활성화한다. 
+  로그 파일 사이즈 기본값은 10MB이며, 
+  컨테이너 당 최대 로그 파일 수 기본값은 5이다. 
+  이 값은 kubelet 환경설정으로 변경할 수 있다. 
+  더 자세한 내용은 
+  [노드 레벨에서의 로깅](/ko/docs/concepts/cluster-administration/logging/#노드-레벨에서의-로깅)을 참고한다.
 - `CSIBlockVolume`: 외부 CSI 볼륨 드라이버가 블록 스토리지를 지원할 수 있게 한다.
-  자세한 내용은 [`csi` 원시 블록 볼륨 지원](/ko/docs/concepts/storage/volumes/#csi-원시-raw-블록-볼륨-지원)
-  문서를 참고한다.
+  자세한 내용은 [`csi` 원시 블록 볼륨 지원](/ko/docs/concepts/storage/volumes/#csi-원시-raw-블록-볼륨-지원)을
+  참고한다.
 - `CSIDriverRegistry`: csi.storage.k8s.io에서 CSIDriver API 오브젝트와 관련된
   모든 로직을 활성화한다.
 - `CSIInlineVolume`: 파드에 대한 CSI 인라인 볼륨 지원을 활성화한다.
 - `CSIMigration`: shim 및 변환 로직을 통해 볼륨 작업을 인-트리 플러그인에서
   사전 설치된 해당 CSI 플러그인으로 라우팅할 수 있다.
-- `CSIMigrationAWS`: shim 및 변환 로직을 통해 볼륨 작업을
-  AWS-EBS 인-트리 플러그인에서 EBS CSI 플러그인으로 라우팅할 수 있다. 노드에
-  EBS CSI 플러그인이 설치와 구성이 되어 있지 않은 경우 인-트리 EBS 플러그인으로
-  폴백(falling back)을 지원한다. CSIMigration 기능 플래그가 필요하다.
+- `CSIMigrationAWS`: shim 및 변환 로직을 통해 볼륨 작업을 
+  AWS-EBS 인-트리 플러그인에서 EBS CSI 플러그인으로 라우팅할 수 있다. 
+  이 기능이 비활성화되어 있거나 EBS CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 EBS 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
 - `CSIMigrationAWSComplete`: kubelet 및 볼륨 컨트롤러에서 EBS 인-트리
   플러그인 등록을 중지하고 shim 및 변환 로직을 사용하여 볼륨 작업을 AWS-EBS
   인-트리 플러그인에서 EBS CSI 플러그인으로 라우팅할 수 있다.
@@ -630,21 +680,26 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   더 이상 사용되지 않는다. 
 - `CSIMigrationAzureDisk`: shim 및 변환 로직을 통해 볼륨 작업을
   Azure-Disk 인-트리 플러그인에서 AzureDisk CSI 플러그인으로 라우팅할 수 있다.
-  노드에 AzureDisk CSI 플러그인이 설치와 구성이 되어 있지 않은 경우 인-트리
-  AzureDisk 플러그인으로 폴백을 지원한다. CSIMigration 기능 플래그가
-  필요하다.
-- `CSIMigrationAzureDiskComplete`: kubelet 및 볼륨 컨트롤러에서 Azure-Disk 인-트리
-  플러그인 등록을 중지하고 shim 및 변환 로직을 사용하여 볼륨 작업을
-  Azure-Disk 인-트리 플러그인에서 AzureDisk CSI 플러그인으로
-  라우팅할 수 있다. 클러스터의 모든 노드에 CSIMigration과 CSIMigrationAzureDisk 기능
-  플래그가 활성화되고 AzureDisk CSI 플러그인이 설치 및 구성이 되어
-  있어야 한다. 이 플래그는 인-트리 AzureDisk 플러그인의 등록을 막는 `InTreePluginAzureDiskUnregister` 기능 플래그로 인해
-  더 이상 사용되지 않는다.
+  이 기능이 비활성화되어 있거나 AzureDisk CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 AzureDisk 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
+  이 기능을 사용하려면 CSIMigration 기능 플래그가 활성화되어 있어야 한다.
+- `CSIMigrationAzureDiskComplete`: kubelet 및 볼륨 컨트롤러에서 
+  Azure-Disk 인-트리 플러그인 등록을 중지하고 
+  shim 및 변환 로직을 사용하여 
+  볼륨 작업을 Azure-Disk 인-트리 플러그인에서 AzureDisk CSI 플러그인으로 라우팅할 수 있다. 
+  클러스터의 모든 노드에 CSIMigration과 CSIMigrationAzureDisk 기능 플래그가 활성화되고 
+  AzureDisk CSI 플러그인이 설치 및 구성이 되어 있어야 한다. 
+  이 플래그는 인-트리 AzureDisk 플러그인의 등록을 막는 
+  `InTreePluginAzureDiskUnregister` 기능 플래그로 인해 더 이상 사용되지 않는다.
 - `CSIMigrationAzureFile`: shim 및 변환 로직을 통해 볼륨 작업을
   Azure-File 인-트리 플러그인에서 AzureFile CSI 플러그인으로 라우팅할 수 있다.
-  노드에 AzureFile CSI 플러그인이 설치 및 구성이 되어 있지 않은 경우 인-트리
-  AzureFile 플러그인으로 폴백을 지원한다. CSIMigration 기능 플래그가
-  필요하다.
+  이 기능이 비활성화되어 있거나 AzureFile CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 AzureFile 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
+  이 기능을 사용하려면 CSIMigration 기능 플래그가 활성화되어 있어야 한다.
 - `CSIMigrationAzureFileComplete`: kubelet 및 볼륨 컨트롤러에서 Azure 파일 인-트리
   플러그인 등록을 중지하고 shim 및 변환 로직을 통해 볼륨 작업을
   Azure 파일 인-트리 플러그인에서 AzureFile CSI 플러그인으로
@@ -654,46 +709,57 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   `InTreePluginAzureFileUnregister` 기능 플래그로 인해
   더 이상 사용되지 않는다.
 - `CSIMigrationGCE`: shim 및 변환 로직을 통해 볼륨 작업을
-  GCE-PD 인-트리 플러그인에서 PD CSI 플러그인으로 라우팅할 수 있다. 노드에
-  PD CSI 플러그인이 설치 및 구성이 되어 있지 않은 경우 인-트리 GCE 플러그인으로 폴백을
-  지원한다. CSIMigration 기능 플래그가 필요하다.
-- `csiMigrationRBD`: RBD 트리 내(in-tree) 플러그인으로 가는 볼륨 작업을 
-  Ceph RBD CSI 플러그인으로 라우트하는 심(shim)과 변환 로직을 활성화한다. 
-  클러스터에 CSIMigration 및 csiMigrationRBD 기능 플래그가 활성화되어 있어야 하고, 
-  Ceph CSI 플러그인이 설치 및 설정되어 있어야 한다. 
-  이 플래그는 트리 내(in-tree) RBD 플러그인 등록을 금지시키는 
-  `InTreePluginRBDUnregister` 기능 플래그에 의해 
-  사용 중단되었다.
+  GCE-PD 인-트리 플러그인에서 PD CSI 플러그인으로 라우팅할 수 있다. 
+  이 기능이 비활성화되어 있거나 PD CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 GCE 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
+  이 기능을 사용하려면 CSIMigration 기능 플래그가 활성화되어 있어야 한다.
 - `CSIMigrationGCEComplete`: kubelet 및 볼륨 컨트롤러에서 GCE-PD
   인-트리 플러그인 등록을 중지하고 shim 및 변환 로직을 통해 볼륨 작업을 GCE-PD
   인-트리 플러그인에서 PD CSI 플러그인으로 라우팅할 수 있다.
   CSIMigration과 CSIMigrationGCE 기능 플래그가 활성화되고 PD CSI
-  플러그인이 클러스터의 모든 노드에 설치 및 구성이 되어 있어야 한다. 이 플래그는 인-트리 GCE PD 플러그인의 등록을 막는 `InTreePluginGCEUnregister` 기능 플래그로 인해
+  플러그인이 클러스터의 모든 노드에 설치 및 구성이 되어 있어야 한다. 
+  이 플래그는 인-트리 GCE PD 플러그인의 등록을 막는 `InTreePluginGCEUnregister` 기능 플래그로 인해
   더 이상 사용되지 않는다.
 - `CSIMigrationOpenStack`: shim 및 변환 로직을 통해 볼륨 작업을
-  Cinder 인-트리 플러그인에서 Cinder CSI 플러그인으로 라우팅할 수 있다. 노드에
-  Cinder CSI 플러그인이 설치 및 구성이 되어 있지 않은 경우 인-트리
-  Cinder 플러그인으로 폴백을 지원한다. CSIMigration 기능 플래그가 필요하다.
+  Cinder 인-트리 플러그인에서 Cinder CSI 플러그인으로 라우팅할 수 있다. 
+  이 기능이 비활성화되어 있거나 Cinder CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 Cinder 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
+  이 기능을 사용하려면 CSIMigration 기능 플래그가 활성화되어 있어야 한다.
 - `CSIMigrationOpenStackComplete`: kubelet 및 볼륨 컨트롤러에서
   Cinder 인-트리 플러그인 등록을 중지하고 shim 및 변환 로직이 Cinder 인-트리
   플러그인에서 Cinder CSI 플러그인으로 볼륨 작업을 라우팅할 수 있도록 한다.
   클러스터의 모든 노드에 CSIMigration과 CSIMigrationOpenStack 기능 플래그가 활성화되고
-  Cinder CSI 플러그인이 설치 및 구성이 되어 있어야 한다. 이 플래그는 인-트리 openstack cinder 플러그인의 등록을 막는 `InTreePluginOpenStackUnregister` 기능 플래그로 인해
+  Cinder CSI 플러그인이 설치 및 구성이 되어 있어야 한다. 
+  이 플래그는 인-트리 openstack cinder 플러그인의 등록을 막는 `InTreePluginOpenStackUnregister` 기능 플래그로 인해 
   더 이상 사용되지 않는다.
+- `csiMigrationRBD`: RBD 트리 내(in-tree) 플러그인으로 가는 볼륨 작업을 
+  Ceph RBD CSI 플러그인으로 라우트하는 심(shim)과 변환 로직을 활성화한다. 
+  클러스터에 CSIMigration 및 csiMigrationRBD 기능 플래그가 활성화되어 있어야 하고, 
+  Ceph CSI 플러그인이 설치 및 설정되어 있어야 한다. 
+  이 플래그는 트리 내(in-tree) RBD 플러그인 등록을 금지시키는 `InTreePluginRBDUnregister` 기능 플래그에 의해 
+  사용 중단되었다.
 - `CSIMigrationvSphere`: vSphere 인-트리 플러그인에서 vSphere CSI 플러그인으로 볼륨 작업을
   라우팅하는 shim 및 변환 로직을 사용한다.
-  노드에 vSphere CSI 플러그인이 설치 및 구성이 되어 있지 않은 경우
-  인-트리 vSphere 플러그인으로 폴백을 지원한다. CSIMigration 기능 플래그가 필요하다.
+  이 기능이 비활성화되어 있거나 vSphere CSI 플러그인이 설치 및 구성되어 있지 않은 노드에서의 마운트 동작에 대해 
+  인-트리 vSphere 플러그인으로의 폴백(falling back)을 지원한다. 
+  프로비전 동작에 대해서는 폴백을 지원하지 않는데, 
+  프로비전 동작은 해당 CSI 플러그인이 설치 및 구성되어 있어야 가능하기 때문이다.
+  이 기능을 사용하려면 CSIMigration 기능 플래그가 활성화되어 있어야 한다.
 - `CSIMigrationvSphereComplete`: kubelet 및 볼륨 컨트롤러에서 vSphere 인-트리
   플러그인 등록을 중지하고 shim 및 변환 로직을 활성화하여 vSphere 인-트리 플러그인에서
   vSphere CSI 플러그인으로 볼륨 작업을 라우팅할 수 있도록 한다. CSIMigration 및
   CSIMigrationvSphere 기능 플래그가 활성화되고 vSphere CSI 플러그인이
-  클러스터의 모든 노드에 설치 및 구성이 되어 있어야 한다. 이 플래그는 인-트리 vsphere 플러그인의 등록을 막는 `InTreePluginvSphereUnregister` 기능 플래그로 인해
+  클러스터의 모든 노드에 설치 및 구성이 되어 있어야 한다. 
+  이 플래그는 인-트리 vsphere 플러그인의 등록을 막는 `InTreePluginvSphereUnregister` 기능 플래그로 인해
   더 이상 사용되지 않는다.
 - `CSIMigrationPortworx`: Portworx 트리 내(in-tree) 플러그인으로 가는 볼륨 작업을 
   Portworx CSI 플러그인으로 라우트하는 심(shim)과 변환 로직을 활성화한다. 
-  Portworx CSI 드라이버가 설치 및 설정되어 있어야 하며, kube-controller-manager와 kubelet 환경 설정 내에 `CSIMigrationPortworx=true` 기능 게이트가 활성화되어 있어야 한다.
-- `CSINodeInfo`: csi.storage.k8s.io에서 CSINodeInfo API 오브젝트와 관련된 모든 로직을 활성화한다.
+  Portworx CSI 드라이버가 설치 및 설정되어 있어야 한다.
+- `CSINodeInfo`: `csi.storage.k8s.io` 내의 CSINodeInfo API 오브젝트와 관련된 모든 로직을 활성화한다.
 - `CSIPersistentVolume`: [CSI (Container Storage Interface)](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/storage/container-storage-interface.md)
   호환 볼륨 플러그인을 통해 프로비저닝된 볼륨을 감지하고
   마운트할 수 있다.
@@ -714,14 +780,19 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   볼륨 권한 변경 정책을 구성할 수 있다. 자세한 내용은
   [파드의 볼륨 권한 및 소유권 변경 정책 구성](/docs/tasks/configure-pod-container/security-context/#configure-volume-permission-and-ownership-change-policy-for-pods)을
   참고한다.
+- `ContextualLogging`: 이 기능을 활성화하면, 
+  컨텍스츄얼 로깅을 지원하는 쿠버네티스 구성 요소가 로그 출력에 추가 상세를 추가한다.
 - `ControllerManagerLeaderMigration`: `kube-controller-manager` 및 `cloud-controller-manager`에 
   대한 리더 마이그레이션을 지원한다.
 - `CronJobControllerV2`: {{< glossary_tooltip text="크론잡(CronJob)" term_id="cronjob" >}}
   컨트롤러의 대체 구현을 사용한다. 그렇지 않으면,
   동일한 컨트롤러의 버전 1이 선택된다.
+- `CronJobTimeZone`: [크론잡](/ko/docs/concepts/workloads/controllers/cron-jobs/)의 선택적 `timeZone` 필드 사용을 허용한다.
 - `CustomCPUCFSQuotaPeriod`: [kubelet config](/docs/tasks/administer-cluster/kubelet-config-file/)에서
   `cpuCFSQuotaPeriod` 를 노드가 변경할 수 있도록 한다.
-- `CustomResourceValidationExpressions`: `x-kubernetes-validations` 확장 기능으로 작성된 검증 규칙을 기반으로 커스텀 리소스를 검증하는 표현 언어 검증(expression language validation)을 CRD에 활성화한다.
+- `CustomResourceValidationExpressions`: `x-kubernetes-validations` 확장 기능으로 작성된 
+  검증 규칙을 기반으로 커스텀 리소스를 검증하는 
+  표현 언어 검증(expression language validation)을 CRD에 활성화한다.
 - `CustomPodDNS`: `dnsConfig` 속성을 사용하여 파드의 DNS 설정을 사용자 정의할 수 있다.
   자세한 내용은 [파드의 DNS 설정](/ko/docs/concepts/services-networking/dns-pod-service/#pod-dns-config)을
   확인한다.
@@ -755,8 +826,9 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `DryRun`: 서버 측의 [dry run](/docs/reference/using-api/api-concepts/#dry-run) 요청을
   요청을 활성화하여 커밋하지 않고 유효성 검사, 병합 및 변화를 테스트할 수 있다.
 - `DynamicAuditing`: v1.19 이전의 버전에서 동적 감사를 활성화하는 데 사용된다.
-- `DynamicKubeletConfig`: kubelet의 동적 구성을 활성화한다.
-  [kubelet 재구성](/docs/tasks/administer-cluster/reconfigure-kubelet/)을 참고한다.
+- `DynamicKubeletConfig`: kubelet의 동적 구성을 활성화한다. 
+  이 기능은 지원하는 버전 차이(supported skew policy) 바깥에서는 더 이상 지원되지 않는다. 
+  이 기능 게이트는 1.24에 kubelet에서 제거되었다. [kubelet 재구성하기](/docs/tasks/administer-cluster/reconfigure-kubelet/)를 참고한다.
 - `DynamicProvisioningScheduling`: 볼륨 토폴로지를 인식하고 PV 프로비저닝을 처리하도록
   기본 스케줄러를 확장한다.
   이 기능은 v1.12의 `VolumeScheduling` 기능으로 대체되었다.
@@ -804,12 +876,13 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   권한이 있는 컨테이너 또는 특정 비-네임스페이스(non-namespaced) 기능(예: `MKNODE`, `SYS_MODULE` 등)을
   사용하는 컨테이너를 위한 것이다. 도커 데몬에서 사용자 네임스페이스
   재 매핑이 활성화된 경우에만 활성화해야 한다.
-- `ExternalPolicyForExternalIP`: ExternalTrafficPolicy가 서비스(Service) ExternalIP에 적용되지 않는 버그를 수정한다.
+- `ExternalPolicyForExternalIP`: ExternalTrafficPolicy가 서비스(Service) ExternalIP에 적용되지 않는 
+  버그를 수정한다.
 - `GCERegionalPersistentDisk`: GCE에서 지역 PD 기능을 활성화한다.
 - `GenericEphemeralVolume`: 일반 볼륨의 모든 기능을 지원하는 임시, 인라인
   볼륨을 활성화한다(타사 스토리지 공급 업체, 스토리지 용량 추적, 스냅샷으로부터 복원
   등에서 제공할 수 있음).
-  [임시 볼륨](/docs/concepts/storage/ephemeral-volumes/)을 참고한다.
+  [임시 볼륨](/ko/docs/concepts/storage/ephemeral-volumes/)을 참고한다.
 - `GracefulNodeShutdown` : kubelet에서 정상 종료를 지원한다.
   시스템 종료 중에 kubelet은 종료 이벤트를 감지하고 노드에서 실행 중인
   파드를 정상적으로 종료하려고 시도한다. 자세한 내용은
@@ -817,8 +890,12 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   참조한다.
 - `GracefulNodeShutdownBasedOnPodPriority`: 그레이스풀(graceful) 노드 셧다운을 할 때 
   kubelet이 파드 우선순위를 체크할 수 있도록 활성화한다.
-- `GRPCContainerProbe`: 활성 프로브(Liveness Probe), 준비성 프로브(Readiness Probe), 스타트업 프로브(Startup Probe)에 대해 gRPC 프로브를 활성화한다. [활성/준비성/스타트업 프로브 구성하기](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe)를 참조한다.
+- `GRPCContainerProbe`: 활성 프로브(Liveness Probe), 준비성 프로브(Readiness Probe), 스타트업 프로브(Startup Probe)에 대해 gRPC 프로브를 활성화한다. 
+  [활성/준비성/스타트업 프로브 구성하기](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe)를 참조한다.
 - `HonorPVReclaimPolicy`: 퍼시스턴트 볼륨 회수 정책이 `Delete`인 경우 PV-PVC 삭제 순서와 상관없이 정책을 준수한다.
+  더 자세한 정보는 
+  [퍼시스턴트볼륨 삭제 보호 파이널라이저(finalizer)](/ko/docs/concepts/storage/persistent-volumes/#persistentvolume-deletion-protection-finalizer) 문서를 
+  참고한다.
 - `HPAContainerMetrics`: `HorizontalPodAutoscaler` 를 활성화하여 대상 파드의
   개별 컨테이너 메트릭을 기반으로 확장한다.
 - `HPAScaleToZero`: 사용자 정의 또는 외부 메트릭을 사용할 때 `HorizontalPodAutoscaler` 리소스에 대해
@@ -830,10 +907,19 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `HyperVContainer`: 윈도우 컨테이너를 위한
   [Hyper-V 격리](https://docs.microsoft.com/ko-kr/virtualization/windowscontainers/manage-containers/hyperv-container)
   기능을 활성화한다.
-- `IdentifyPodOS`: 파드 OS 필드를 지정할 수 있게 한다. 이를 통해 API 서버 관리 시 파드의 OS를 정석적인 방법으로 알 수 있다. 
-  쿠버네티스 {{< skew currentVersion >}}에서, `pod.spec.os.name` 에 사용할 수 있는 값은 `windows` 와 `linux` 이다.
+- `IdentifyPodOS`: 파드 OS 필드를 지정할 수 있게 한다. 
+  이를 통해 API 서버 관리 시 파드의 OS를 정석적인 방법으로 알 수 있다. 
+  쿠버네티스 {{< skew currentVersion >}}에서, 
+  `pod.spec.os.name` 에 사용할 수 있는 값은 `windows` 와 `linux` 이다.
 - `ImmutableEphemeralVolumes`: 안정성과 성능 향상을 위해 개별 시크릿(Secret)과 컨피그맵(ConfigMap)을
   변경할 수 없는(immutable) 것으로 표시할 수 있다.
+- `IndexedJob`: [잡](/ko/docs/concepts/workloads/controllers/job/) 컨트롤러가 파드 완료(completion)를 
+  완료 인덱스에 따라 관리할 수 있도록 허용한다.
+- `IngressClassNamespacedParams`: 네임스페이스 범위의 파라미터가 
+  `IngressClass` 리소스를 참조할 수 있도록 허용한다. 
+  이 기능은 `IngressClass.spec.parameters`에 `Scope` 및 `Namespace`의 2 필드를 추가한다.
+- `Initializers`: Initializers 어드미션 플러그인을 사용하여, 
+  오브젝트 생성 시 비동기 협조(asynchronous coordination)를 허용한다.
 - `InTreePluginAWSUnregister`: kubelet 및 볼륨 컨트롤러에 aws-ebs 인-트리 
   플러그인의 등록을 중지한다.
 - `InTreePluginAzureDiskUnregister`: kubelet 및 볼륨 컨트롤러에 azuredisk 인-트리 
@@ -850,13 +936,6 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   플러그인의 등록을 중지한다.
 - `InTreePluginvSphereUnregister`: kubelet 및 볼륨 컨트롤러에 vSphere 인-트리 
   플러그인의 등록을 중지한다.
-- `IndexedJob`: [잡](/ko/docs/concepts/workloads/controllers/job/) 컨트롤러가
-  완료 횟수를 기반으로 파드 완료를 관리할 수 있도록 한다.
-- `IngressClassNamespacedParams`: `IngressClass` 리소스가 네임스페이스 범위로
-  한정된 파라미터를 이용할 수 있도록 한다. 이 기능은 `IngressClass.spec.parameters` 에
-  `Scope` 와 `Namespace` 2개의 필드를 추가한다.
-- `Initializers`: Initializers 어드미션 플러그인을 사용하여 오브젝트 생성의
-  비동기 조정을 허용한다.
 - `IPv6DualStack`: IPv6을 위한 [이중 스택](/ko/docs/concepts/services-networking/dual-stack/)
   기능을 활성화한다.
 - `JobMutableNodeSchedulingDirectives`: [잡](/ko/docs/concepts/workloads/controllers/job/)의 
@@ -874,20 +953,26 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   kubelet 구성을 로드할 수 있다.
   자세한 내용은 [구성 파일을 통해 kubelet 파라미터 설정](/docs/tasks/administer-cluster/kubelet-config-file/)을
   참고한다.
-- `KubeletCredentialProviders`: 이미지 풀 자격 증명에 대해 kubelet exec 자격 증명 공급자를 활성화한다.
-- `KubeletInUserNamespace`: {{<glossary_tooltip text="user namespace" term_id="userns">}}에서 kubelet 실행을 활성화한다.
+- `KubeletCredentialProviders`: 이미지 풀 자격 증명에 대해 
+  kubelet exec 자격 증명 공급자를 활성화한다.
+- `KubeletInUserNamespace`: {{<glossary_tooltip text="user namespace" term_id="userns">}}에서 
+  kubelet 실행을 활성화한다.
   [루트가 아닌 유저로 쿠버네티스 노드 컴포넌트 실행](/docs/tasks/administer-cluster/kubelet-in-userns/)을 참고한다.
 - `KubeletPluginsWatcher`: kubelet이 [CSI 볼륨 드라이버](/ko/docs/concepts/storage/volumes/#csi)와 같은
   플러그인을 검색할 수 있도록 프로브 기반 플러그인 감시자(watcher) 유틸리티를 사용한다.
 - `KubeletPodResources`: kubelet의 파드 리소스 gPRC 엔드포인트를 활성화한다. 자세한 내용은
   [장치 모니터링 지원](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/606-compute-device-assignment/README.md)을
   참고한다.
-- `KubeletPodResourcesGetAllocatable`: kubelet의 파드 리소스 `GetAllocatableResources` 기능을 활성화한다.
-  이 API는 클라이언트가 노드의 여유 컴퓨팅 자원을 잘 파악할 수 있도록, 할당 가능 자원에 대한 정보를
+- `KubeletPodResourcesGetAllocatable`: kubelet의 파드 리소스 
+  `GetAllocatableResources` 기능을 활성화한다.
+  이 API는 클라이언트가 노드의 여유 컴퓨팅 자원을 잘 파악할 수 있도록, 
+  할당 가능 자원에 대한 정보를
   [자원 할당 보고](/ko/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/#장치-플러그인-리소스-모니터링)한다.
 - `LegacyNodeRoleBehavior`: 비활성화되면, 서비스 로드 밸런서 및 노드 중단의 레거시 동작은
   `NodeDisruptionExclusion` 과 `ServiceNodeExclusion` 에 의해 제공된 기능별 레이블을 대신하여
   `node-role.kubernetes.io/master` 레이블을 무시한다.
+- `LegacyServiceAccountTokenNoAutoGeneration`: 시크릿 기반 
+  [서비스 어카운트 토큰](/docs/reference/access-authn-authz/authentication/#service-account-tokens)의 자동 생성을 중단한다.
 - `LocalStorageCapacityIsolation`:
   [로컬 임시 스토리지](/ko/docs/concepts/configuration/manage-resources-containers/)와
   [emptyDir 볼륨](/ko/docs/concepts/storage/volumes/#emptydir)의
@@ -901,20 +986,34 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   향상시킨다.
 - `LogarithmicScaleDown`: 컨트롤러 스케일 다운 시에 파드 타임스탬프를 로그 스케일로 버켓화하여
   축출할 파드를 반-랜덤하게 선택하는 기법을 활성화한다.
+- `MaxUnavailableStatefulSet`: 스테이트풀셋의 
+  [롤링 업데이트 전략](/ko/docs/concepts/workloads/controllers/statefulset/#롤링-업데이트)에 대해 
+  `maxUnavailable` 필드를 설정할 수 있도록 한다. 
+  이 필드는 업데이트 동안 사용 불가능(unavailable) 상태의 파드를 몇 개까지 허용할지를 정한다.
 - `MemoryManager`: NUMA 토폴로지를 기반으로 컨테이너에 대한 
   메모리 어피니티를 설정할 수 있다.
-- `MemoryQoS`: cgroup v2 메모리 컨트롤러를 사용하여 파드/컨테이너에서 메모리 보호 및 사용 제한을 사용하도록 설정한다.
+- `MemoryQoS`: cgroup v2 메모리 컨트롤러를 사용하여 
+  파드/컨테이너에서 메모리 보호 및 사용 제한을 사용하도록 설정한다.
+- `MinDomainsInPodTopologySpread`: 파드 [토폴로지 분배 제약 조건](/ko/docs/concepts/workloads/pods/pod-topology-spread-constraints/) 내의 
+  `minDomains` 사용을 활성화한다.
 - `MixedProtocolLBService`: 동일한 로드밸런서 유형 서비스 인스턴스에서 다른 프로토콜
   사용을 활성화한다.
 - `MountContainers`: 호스트의 유틸리티 컨테이너를 볼륨 마운터로 사용할 수 있다.
 - `MountPropagation`: 한 컨테이너에서 다른 컨테이너 또는 파드로 마운트된 볼륨을 공유할 수 있다.
   자세한 내용은 [마운트 전파(propagation)](/ko/docs/concepts/storage/volumes/#마운트-전파-propagation)을 참고한다.
 - `NamespaceDefaultLabelName`: API 서버로 하여금 모든 네임스페이스에 대해 변경할 수 없는 (immutable)
-  {{< glossary_tooltip text="레이블" term_id="label" >}} `kubernetes.io/metadata.name`을 설정하도록 한다. (네임스페이스의 이름도 변경 불가)
-- `NetworkPolicyEndPort`: 네트워크폴리시(NetworkPolicy)	오브젝트에서 단일 포트를 지정하는 것 대신에 포트 범위를 지정할 수 있도록, `endPort` 필드의 사용을 활성화한다.
+  {{< glossary_tooltip text="레이블" term_id="label" >}} `kubernetes.io/metadata.name`을 설정하도록 한다. 
+  (네임스페이스의 이름도 변경 불가)
+- `NetworkPolicyEndPort`: 네트워크폴리시(NetworkPolicy)	오브젝트에서 단일 포트를 지정하는 것 대신에 
+  포트 범위를 지정할 수 있도록, `endPort` 필드의 사용을 활성화한다.
+- `NetworkPolicyStatus`: 네트워크폴리시 오브젝트에 대해 `status` 서브리소스를 활성화한다.
 - `NodeDisruptionExclusion`: 영역(zone) 장애 시 노드가 제외되지 않도록 노드 레이블 `node.kubernetes.io/exclude-disruption`
   사용을 활성화한다.
 - `NodeLease`: 새로운 리스(Lease) API가 노드 상태 신호로 사용될 수 있는 노드 하트비트(heartbeats)를 보고할 수 있게 한다.
+- `NodeOutOfServiceVolumeDetach`: 노드가 `node.kubernetes.io/out-of-service` 테인트를 사용하여 서비스 불가(out-of-service)로 표시되면, 
+  노드에 있던 이 테인트를 허용하지 않는 파드는 강제로 삭제되며, 
+  종료되는 파드에 대한 볼륨 해제(detach) 동작도 즉시 수행된다. 
+  이로 인해 삭제된 파드가 다른 노드에서 빠르게 복구될 수 있다.
 - `NodeSwap`: 노드의 쿠버네티스 워크로드용 스왑 메모리를 할당하려면 kubelet을 활성화한다.
   반드시 `KubeletConfiguration.failSwapOn`를 false로 설정한 후 사용해야 한다.
   더 자세한 정보는 [스왑 메모리](/ko/docs/concepts/architecture/nodes/#swap-memory)를 참고한다.
@@ -922,8 +1021,6 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `OpenAPIEnums`: API 서버로부터 리턴된 스펙 내 OpenAPI 스키마의 
   "enum" 필드 채우기를 활성화한다.
 - `OpenAPIV3`: API 서버의 OpenAPI v3 발행을 활성화한다.
-- `PVCProtection`: 파드에서 사용 중일 때 퍼시스턴트볼륨클레임(PVC)이
-  삭제되지 않도록 한다.
 - `PodDeletionCost`: 레플리카셋 다운스케일 시 삭제될 파드의 우선순위를 사용자가 조절할 수 있도록,
    [파드 삭제 비용](/ko/docs/concepts/workloads/controllers/replicaset/#파드-삭제-비용) 기능을 활성화한다.
 - `PersistentLocalVolumes`: 파드에서 `local` 볼륨 유형의 사용을 활성화한다.
@@ -931,8 +1028,10 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `PodAndContainerStatsFromCRI`: kubelet이 컨테이너와 파드 통계(stat) 정보를 cAdvisor가 아니라 
   CRI 컨테이너 런타임으로부터 수집하도록 설정한다.
 - `PodDisruptionBudget`: [PodDisruptionBudget](/docs/tasks/run-application/configure-pdb/) 기능을 활성화한다.
-- `PodAffinityNamespaceSelector`: [파드 어피니티 네임스페이스 셀렉터](/ko/docs/concepts/scheduling-eviction/assign-pod-node/#네임스페이스-셀렉터) 기능과
-  [CrossNamespacePodAffinity](/ko/docs/concepts/policy/resource-quotas/#네임스페이스-간-파드-어피니티-쿼터) 쿼터 범위 기능을 활성화한다.
+- `PodAffinityNamespaceSelector`: [파드 어피니티 네임스페이스 셀렉터](/ko/docs/concepts/scheduling-eviction/assign-pod-node/#네임스페이스-셀렉터) 
+  기능과
+  [CrossNamespacePodAffinity](/ko/docs/concepts/policy/resource-quotas/#네임스페이스-간-파드-어피니티-쿼터) 
+  쿼터 범위 기능을 활성화한다.
 - `PodOverhead`: 파드 오버헤드를 판단하기 위해 [파드오버헤드(PodOverhead)](/ko/docs/concepts/scheduling-eviction/pod-overhead/)
   기능을 활성화한다.
 - `PodPriority`: [우선 순위](/ko/docs/concepts/scheduling-eviction/pod-priority-preemption/)를
@@ -948,12 +1047,15 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   지정된 노드를 먼저 검사할지 여부를 
   스케줄러에 알려준다.
 - `ProbeTerminationGracePeriod`: 파드의 [프로브-수준
-  `terminationGracePeriodSeconds` 설정하기](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#probe-level-terminationgraceperiodseconds) 기능을 활성화한다.
+  `terminationGracePeriodSeconds` 설정하기](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#probe-level-terminationgraceperiodseconds) 
+  기능을 활성화한다.
   더 자세한 사항은 [기능개선 제안](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/2238-liveness-probe-grace-period)을 참고한다.
 - `ProcMountType`: SecurityContext의 `procMount` 필드를 설정하여
   컨테이너의 proc 타입의 마운트를 제어할 수 있다.
 - `ProxyTerminatingEndpoints`: `ExternalTrafficPolicy=Local`일 때 종료 엔드포인트를 처리하도록 
   kube-proxy를 활성화한다.
+- `PVCProtection`: 파드에서 사용 중일 때 퍼시스턴트볼륨클레임(PVC)이
+  삭제되지 않도록 한다.
 - `QOSReserved`: QoS 수준에서 리소스 예약을 허용하여 낮은 QoS 수준의 파드가
   더 높은 QoS 수준에서 요청된 리소스로 파열되는 것을 방지한다
   (현재 메모리만 해당).
@@ -966,8 +1068,10 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `RemainingItemCount`: API 서버가
   [청크(chunking) 목록 요청](/docs/reference/using-api/api-concepts/#retrieving-large-results-sets-in-chunks)에 대한
   응답에서 남은 항목 수를 표시하도록 허용한다.
-- `RemoveSelfLink`: ObjectMeta 및 ListMeta에서 `selfLink` 를 사용하지 않고
-  제거한다.
+- `RemoveSelfLink`: 모든 오브젝트와 콜렉션에 대해 `.metadata.selfLink` 필드를 빈 칸(빈 문자열)으로 설정한다. 
+  이 필드는 쿠버네티스 v1.16에서 사용 중단되었다. 
+  이 기능을 활성화하면, `.metadata.selfLink` 필드는 쿠버네티스 API에 존재하지만, 
+  항상 빈 칸으로 유지된다.
 - `RequestManagement`: 각 API 서버에서 우선 순위 및 공정성으로 요청 동시성을
   관리할 수 있다. 1.17 이후 `APIPriorityAndFairness` 에서 사용 중단되었다.
 - `ResourceLimitsPriorityFunction`: 입력 파드의 CPU 및 메모리 한도 중
@@ -982,7 +1086,8 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   [바운드 서비스 계정 토큰](https://github.com/kubernetes/enhancements/blob/master/keps/sig-auth/1205-bound-service-account-tokens/README.md)을
   참조한다.
 - `RotateKubeletClientCertificate`: kubelet에서 클라이언트 TLS 인증서의 로테이션을 활성화한다.
-  자세한 내용은 [kubelet 구성](/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#kubelet-configuration)을 참고한다.
+  자세한 내용은 
+  [kubelet 구성](/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#kubelet-configuration)을 참고한다.
 - `RotateKubeletServerCertificate`: kubelet에서 서버 TLS 인증서의 로테이션을 활성화한다.
   자세한 사항은
   [kubelet 구성](/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#kubelet-configuration)을 확인한다.
@@ -994,12 +1099,16 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   스케줄링할 수 있다.
 - `SCTPSupport`: 파드, 서비스, 엔드포인트, 엔드포인트슬라이스 및 네트워크폴리시 정의에서
   _SCTP_ `protocol` 값을 활성화한다.
-- `SeccompDefault`: 모든 워크로드의 기본 구분 프로파일로 `RuntimeDefault`을 사용한다.
+- `SeccompDefault`: 모든 워크로드의 기본 구분 프로파일로 
+  `RuntimeDefault`을 사용한다.
   seccomp 프로파일은 파드 및 컨테이너 `securityContext`에 지정되어 있다.
 - `SelectorIndex`: API 서버 감시(watch) 캐시의 레이블 및 필드 기반 인덱스를 사용하여
   목록 작업을 가속화할 수 있다.
 - `ServerSideApply`: API 서버에서 [SSA(Sever Side Apply)](/docs/reference/using-api/server-side-apply/)
   경로를 활성화한다.
+- `ServerSideFieldValidation`: 서버-사이드(server-side) 필드 검증을 활성화한다. 
+  이는 리소스 스키마의 검증이 클라이언트 사이드(예: `kubectl create` 또는 `kubectl apply` 명령줄)가 아니라 
+  API 서버 사이드에서 수행됨을 의미한다.
 - `ServiceAccountIssuerDiscovery`: API 서버에서 서비스 어카운트 발행자에 대해 OIDC 디스커버리 엔드포인트(발급자 및
   JWKS URL)를 활성화한다. 자세한 내용은
   [파드의 서비스 어카운트 구성](/docs/tasks/configure-pod-container/configure-service-account/#service-account-issuer-discovery)을
@@ -1007,7 +1116,8 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 - `ServiceAppProtocol`: 서비스와 엔드포인트에서 `appProtocol` 필드를 활성화한다.
 - `ServiceInternalTrafficPolicy`: 서비스에서 `internalTrafficPolicy` 필드를 활성화한다.
 - `ServiceLBNodePortControl`: 서비스에서 `allocateLoadBalancerNodePorts` 필드를 활성화한다.
-- `ServiceLoadBalancerClass`: 서비스에서 `loadBalancerClass` 필드를 활성화한다. 자세한 내용은
+- `ServiceLoadBalancerClass`: 서비스에서 `loadBalancerClass` 필드를 활성화한다. 
+  자세한 내용은
   [로드밸런서 구현체의 종류 확인하기](/ko/docs/concepts/services-networking/service/#load-balancer-class)를 참고한다.
 - `ServiceLoadBalancerFinalizer`: 서비스 로드 밸런서에 대한 Finalizer 보호를 활성화한다.
 - `ServiceNodeExclusion`: 클라우드 제공자가 생성한 로드 밸런서에서 노드를
@@ -1017,6 +1127,12 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   있도록 한다. 자세한 내용은
   [서비스토폴로지(ServiceTopology)](/ko/docs/concepts/services-networking/service-topology/)를
   참고한다.
+- `ServiceIPStaticSubrange`: ClusterIP 범위를 분할하는 
+  서비스 ClusterIP 할당 전략을 활성화한다. 
+  ClusterIP 동적 할당을 주로 상위 범위에서 수행하여, 
+  사용자가 고정 ClusterIP를 하위 범위에서 할당하는 상황에서도 충돌 확률을 낮출 수 있다. 
+  더 자세한 사항은 
+  [충돌 방지](/ko/docs/concepts/services-networking/service/#avoiding-collisions)를 참고한다.
 - `SetHostnameAsFQDN`: 전체 주소 도메인 이름(FQDN)을 파드의 호스트 이름으로
   설정하는 기능을 활성화한다.
   [파드의 `setHostnameAsFQDN` 필드](/ko/docs/concepts/services-networking/dns-pod-service/#pod-sethostnameasfqdn-field)를 참고한다.
@@ -1064,7 +1180,7 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
   서비스 어카운트 토큰을 파드에 주입할 수 있다.
 - `TopologyAwareHints`: 엔드포인트슬라이스(EndpointSlices)에서 토폴로지 힌트 기반
   토폴로지-어웨어 라우팅을 활성화한다. 자세한 내용은
-  [토폴로지 어웨어 힌트](/docs/concepts/services-networking/topology-aware-hints/)
+  [토폴로지 인지 힌트](/ko/docs/concepts/services-networking/topology-aware-hints/)
   를 참고한다.
 - `TopologyManager`: 쿠버네티스의 다른 컴포넌트에 대한 세분화된 하드웨어 리소스
   할당을 조정하는 메커니즘을 활성화한다.
@@ -1103,3 +1219,8 @@ kubelet과 같은 컴포넌트의 기능 게이트를 설정하려면,
 
 * [사용 중단 정책](/docs/reference/using-api/deprecation-policy/)은 쿠버네티스에 대한
   기능과 컴포넌트를 제거하는 프로젝트의 접근 방법을 설명한다.
+* 쿠버네티스 1.24부터, 새로운 베타 API는 기본적으로 활성화되어 있지 않다. 
+  베타 기능을 활성화하려면, 연관된 API 리소스도 활성화해야 한다. 
+  예를 들어, `storage.k8s.io/v1beta1/csistoragecapacities`와 같은 특정 리소스를 활성화하려면, 
+  `--runtime-config=storage.k8s.io/v1beta1/csistoragecapacities`를 설정한다. 
+  명령줄 플래그에 대한 상세 사항은 [API 버전 규칙](/ko/docs/reference/using-api/#api-버전-규칙)을 참고한다.
diff --git a/content/ko/docs/reference/glossary/api-eviction.md b/content/ko/docs/reference/glossary/api-eviction.md
index 7d5ee606670..d155f0152af 100644
--- a/content/ko/docs/reference/glossary/api-eviction.md
+++ b/content/ko/docs/reference/glossary/api-eviction.md
@@ -10,7 +10,6 @@ aka:
 tags:
   - operation
 ---
-
 API를 이용한 축출은 [축출 API](/docs/reference/generated/kubernetes-api/{{<param "version">}}/#create-eviction-pod-v1-core)를 사용하여
 생성된 `Eviction` 오브젝트로 파드를 정상 종료한다.
 
@@ -20,4 +19,9 @@ API를 이용한 축출은 [축출 API](/docs/reference/generated/kubernetes-api
 축출 API를 직접 호출해 축출 요청을 할 수 있다.
 `Eviction` 오브젝트가 생성되면, API 서버가 파드를 종료한다.
 
+API를 이용한 축출은 사용자가 설정한 [`PodDisruptionBudgets`](/docs/tasks/run-application/configure-pdb/) 및 
+[`terminationGracePeriodSeconds`](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination) 값을 준수한다.
+
 API를 이용한 축출은 [노드-압박 축출](/docs/concepts/scheduling-eviction/eviction/#kubelet-eviction)과 동일하지 않다.
+
+* 더 많은 정보는 [API를 이용한 축출](/ko/docs/concepts/scheduling-eviction/api-eviction/)을 참고한다.
diff --git a/content/ko/docs/reference/glossary/container-runtime-interface.md b/content/ko/docs/reference/glossary/container-runtime-interface.md
index c0d6155a4ab..6ab65dc3f0c 100644
--- a/content/ko/docs/reference/glossary/container-runtime-interface.md
+++ b/content/ko/docs/reference/glossary/container-runtime-interface.md
@@ -18,5 +18,5 @@ Kubelet과 컨테이너 런타임 사이의 통신을 위한 주요 프로토콜
 쿠버네티스 컨테이너 런타임 인터페이스(CRI)는
 [클러스터 컴포넌트](/ko/docs/concepts/overview/components/#노드-컴포넌트)
 {{< glossary_tooltip text="kubelet" term_id="kubelet" >}}과
-{{< glossary_tooltip text="container runtime" term_id="container-runtime" >}} 사이의
+{{< glossary_tooltip text="container runtime" term_id="container-runtime" >}} 사이의
 통신을 위한 주요 [gRPC](https://grpc.io) 프로토콜을 정의한다.
diff --git a/content/ko/docs/reference/glossary/kubectl.md b/content/ko/docs/reference/glossary/kubectl.md
index 0de6f958985..fadfb2b2751 100644
--- a/content/ko/docs/reference/glossary/kubectl.md
+++ b/content/ko/docs/reference/glossary/kubectl.md
@@ -4,16 +4,19 @@ id: kubectl
 date: 2018-04-12
 full_link: /docs/user-guide/kubectl-overview/
 short_description: >
-  쿠버네티스 API 서버와 통신하기 위한 커맨드라인 툴.
+  쿠버네티스 클러스터와 통신하기 위한 커맨드라인 툴.
 
 aka:
+- kubectl
 tags:
 - tool
 - fundamental
 ---
- {{< glossary_tooltip text="쿠버네티스 API" term_id="kubernetes-api" >}} 서버와 통신하기 위한 커맨드라인 툴.
+쿠버네티스 API를 사용하여 
+쿠버네티스 클러스터의 {{< glossary_tooltip text="컨트롤 플레인" term_id="control-plane" >}}과 
+통신하기 위한 커맨드라인 툴
 
 <!--more-->
 
-사용자는 쿠버네티스 오브젝트를 생성, 점검, 업데이트, 삭제하기 위해서 kubectl를 사용할 수 있다.
+사용자는 쿠버네티스 오브젝트를 생성, 점검, 업데이트, 삭제하기 위해서 `kubectl`을 사용할 수 있다.
 
diff --git a/content/ko/docs/reference/glossary/namespace.md b/content/ko/docs/reference/glossary/namespace.md
index 417ad0672fa..3c98d7a7a70 100644
--- a/content/ko/docs/reference/glossary/namespace.md
+++ b/content/ko/docs/reference/glossary/namespace.md
@@ -2,9 +2,9 @@
 title: 네임스페이스(Namespace)
 id: namespace
 date: 2018-04-12
-full_link: /ko/docs/concepts/overview/working-with-objects/namespaces
+full_link: /ko/docs/concepts/overview/working-with-objects/namespaces/
 short_description: >
-  쿠버네티스에서 동일한 물리 클러스터에서 다중의 가상 클러스터를 지원하기 위해 사용하는 추상화.
+  쿠버네티스에서, 하나의 클러스터 내에서 리소스 그룹의 격리를 지원하기 위해 사용하는 추상화.
 
 aka: 
 tags:
diff --git a/content/ko/docs/reference/glossary/pod-security-policy.md b/content/ko/docs/reference/glossary/pod-security-policy.md
index 4ef734d9461..8dd0a09af44 100644
--- a/content/ko/docs/reference/glossary/pod-security-policy.md
+++ b/content/ko/docs/reference/glossary/pod-security-policy.md
@@ -2,7 +2,7 @@
 title: 파드 시큐리티 폴리시(Pod Security Policy)
 id: pod-security-policy
 date: 2018-04-12
-full_link: /ko/docs/concepts/policy/pod-security-policy/
+full_link: /ko/docs/concepts/security/pod-security-policy/
 short_description: >
   파드 생성과 업데이트에 대한 세밀한 인가를 활성화한다.
 
@@ -17,3 +17,4 @@ tags:
 
 파드 명세에서 보안에 민감한 측면을 제어하는 클러스터 수준의 리소스. `PodSecurityPolicy` 오브젝트는 파드가 시스템에 수용될 수 있도록 파드가 실행해야 하는 조건의 집합과 관련된 필드의 기본 값을 정의한다. 파드 시큐리티 폴리시 제어는 선택적인 어드미션 컨트롤러로서 구현된다.
 
+파드 시큐리티 폴리시는 쿠버네티스 v1.21에서 사용 중단되었고, v1.25에서 제거될 예정이다. [파드 시큐리티 어드미션](/docs/concepts/security/pod-security-admission/) 또는 써드파티 어드미션 플러그인으로 이전(migrate)하는 것을 추천한다.
diff --git a/content/ko/docs/reference/issues-security/security.md b/content/ko/docs/reference/issues-security/security.md
index 2c5a287df47..84fda494787 100644
--- a/content/ko/docs/reference/issues-security/security.md
+++ b/content/ko/docs/reference/issues-security/security.md
@@ -19,8 +19,6 @@ weight: 20
 
 보안 및 주요 API 공지에 대한 이메일을 위해서는 [kubernetes-security-announce](https://groups.google.com/forum/#!forum/kubernetes-security-announce)) 그룹에 가입한다.
 
-[이 링크](https://groups.google.com/forum/feed/kubernetes-security-announce/msgs/rss_v2_0.xml?num=50)를 사용하여 RSS 피드도 구독할 수 있다.
-
 ## 취약점 보고
 
 우리는 쿠버네티스 오픈소스 커뮤니티에 취약점을 보고하는 보안 연구원들과 사용자들에게 매우 감사하고 있다. 모든 보고서는 커뮤니티 자원 봉사자들에 의해 철저히 조사된다.
diff --git a/content/ko/docs/reference/kubectl/_index.md b/content/ko/docs/reference/kubectl/_index.md
index 765adb6fe87..26890840a1d 100644
--- a/content/ko/docs/reference/kubectl/_index.md
+++ b/content/ko/docs/reference/kubectl/_index.md
@@ -1,5 +1,556 @@
 ---
-title: "kubectl"
+title: 명령줄 도구 (kubectl)
+content_type: reference
 weight: 60
+no_list: true
+card:
+  name: reference
+  weight: 20
 ---
 
+<!-- overview -->
+{{< glossary_definition prepend="쿠버네티스는 다음을 제공한다: " term_id="kubectl" length="short" >}}
+
+이 툴의 이름은 `kubectl`이다.
+
+구성을 위해, `kubectl` 은 config 파일을 $HOME/.kube 에서 찾는다.
+KUBECONFIG 환경 변수를 설정하거나 [`--kubeconfig`](/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
+플래그를 설정하여 다른 [kubeconfig](/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
+파일을 지정할 수 있다.
+
+이 개요는 `kubectl` 구문을 다루고, 커맨드 동작을 설명하며, 일반적인 예제를 제공한다.
+지원되는 모든 플래그 및 하위 명령을 포함한 각 명령에 대한 자세한 내용은
+[kubectl](/docs/reference/generated/kubectl/kubectl-commands/) 참조 문서를 참고한다.
+
+설치 방법에 대해서는 [kubectl 설치](/ko/docs/tasks/tools/)를 참고하고, 
+빠른 가이드는 [치트 시트](/ko/docs/reference/kubectl/cheatsheet/)를 참고한다. `docker` 명령줄 도구에 익숙하다면, 
+[도커 사용자를 위한 `kubectl`](/ko/docs/reference/kubectl/docker-cli-to-kubectl/)에서 대응되는 쿠버네티스 명령어를 볼 수 있다.
+
+<!-- body -->
+
+## 구문
+
+터미널 창에서 `kubectl` 명령을 실행하려면 다음의 구문을 사용한다.
+
+```shell
+kubectl [command] [TYPE] [NAME] [flags]
+```
+
+다음은 `command`, `TYPE`, `NAME` 과 `flags` 에 대한 설명이다.
+
+* `command`: 하나 이상의 리소스에서 수행하려는 동작을 지정한다.
+예: `create`, `get`, `describe`, `delete`
+
+* `TYPE`: [리소스 타입](#리소스-타입)을 지정한다. 리소스 타입은 대소문자를 구분하지 않으며
+  단수형, 복수형 또는 약어 형식을 지정할 수 있다.
+  예를 들어, 다음의 명령은 동일한 출력 결과를 생성한다.
+
+   ```shell
+   kubectl get pod pod1
+   kubectl get pods pod1
+   kubectl get po pod1
+   ```
+
+* `NAME`: 리소스 이름을 지정한다. 이름은 대소문자를 구분한다. 이름을 생략하면, 모든 리소스에 대한 세부 사항이 표시된다. 예: `kubectl get pods`
+
+   여러 리소스에 대한 작업을 수행할 때, 타입 및 이름별로 각 리소스를 지정하거나 하나 이상의 파일을 지정할 수 있다.
+
+   * 타입 및 이름으로 리소스를 지정하려면 다음을 참고한다.
+
+      * 리소스가 모두 동일한 타입인 경우 리소스를 그룹화하려면 다음을 사용한다. `TYPE1 name1 name2 name<#>`<br/>
+      예: `kubectl get pod example-pod1 example-pod2`
+
+      * 여러 리소스 타입을 개별적으로 지정하려면 다음을 사용한다. `TYPE1/name1 TYPE1/name2 TYPE2/name3 TYPE<#>/name<#>`<br/>
+      예: `kubectl get pod/example-pod1 replicationcontroller/example-rc1`
+
+   * 하나 이상의 파일로 리소스를 지정하려면 다음을 사용한다. `-f file1 -f file2 -f file<#>`
+
+      * YAML이 특히 구성 파일에 대해 더 사용자 친화적이므로, [JSON 대신 YAML을 사용한다](/ko/docs/concepts/configuration/overview/#일반적인-구성-팁).<br/>
+     예: `kubectl get -f ./pod.yaml`
+
+* `flags`: 선택적 플래그를 지정한다. 예를 들어, `-s` 또는 `--server` 플래그를 사용하여 쿠버네티스 API 서버의 주소와 포트를 지정할 수 있다.<br/>
+
+{{< caution >}}
+커맨드 라인에서 지정하는 플래그는 기본값과 해당 환경 변수를 무시한다.
+{{< /caution >}}
+
+도움이 필요하다면, 터미널 창에서 `kubectl help` 를 실행한다.
+
+## 클러스터 내 인증과 네임스페이스 오버라이드
+
+기본적으로 `kubectl`은 먼저 자신이 파드 안에서 실행되고 있는지, 즉 클러스터 안에 있는지를 판별한다. 이를 위해 `KUBERNETES_SERVICE_HOST`와 `KUBERNETES_SERVICE_PORT` 환경 변수, 그리고 서비스 어카운트 토큰 파일이 `/var/run/secrets/kubernetes.io/serviceaccount/token` 경로에 있는지를 확인한다. 세 가지가 모두 감지되면, 클러스터 내 인증이 적용된다.
+
+하위 호환성을 위해, 클러스터 내 인증 시에 `POD_NAMESPACE` 환경 변수가 설정되어 있으면, 서비스 어카운트 토큰의 기본 네임스페이스 설정을 오버라이드한다. 기본 네임스페이스 설정에 의존하는 모든 매니페스트와 도구가 영향을 받을 것이다.
+
+**`POD_NAMESPACE` 환경 변수**
+
+`POD_NAMESPACE` 환경 변수가 설정되어 있으면, 네임스페이스에 속하는 자원에 대한 CLI 작업은 환경 변수에 설정된 네임스페이스를 기본값으로 사용한다. 예를 들어, 환경 변수가 `seattle`로 설정되어 있으면, `kubectl get pods` 명령은 `seattle` 네임스페이스에 있는 파드 목록을 반환한다. 이는 파드가 네임스페이스에 속하는 자원이며, 명령어에 네임스페이스를 특정하지 않았기 때문이다. `kubectl api-resources` 명령을 실행하고 결과를 확인하여 특정 자원이 네임스페이스에 속하는 자원인지 판별한다.
+
+명시적으로 `--namespace <value>` 인자를 사용하면 위와 같은 동작을 오버라이드한다.
+
+**kubectl이 서비스어카운트 토큰을 관리하는 방법**
+
+만약
+* 쿠버네티스 서비스 어카운트 토큰 파일이 
+  `/var/run/secrets/kubernetes.io/serviceaccount/token` 경로에 마운트되어 있고,
+* `KUBERNETES_SERVICE_HOST` 환경 변수가 설정되어 있고,
+* `KUBERNETES_SERVICE_PORT` 환경 변수가 설정되어 있고,
+* kubectl 명령에 네임스페이스를 명시하지 않으면
+
+kubectl은 자신이 클러스터 내부에서 실행되고 있다고 가정한다. 
+kubectl은 해당 서비스어카운트의 네임스페이스(파드의 네임스페이스와 동일하다)를 인식하고 해당 네임스페이스에 대해 동작한다.
+이는 클러스터 외부에서 실행되었을 때와는 다른데, 
+kubectl이 클러스터 외부에서 실행되었으며 네임스페이스가 명시되지 않은 경우 
+kubectl은 `default` 네임스페이스에 대해 동작한다.
+
+## 명령어
+
+다음 표에는 모든 `kubectl` 작업에 대한 간단한 설명과 일반적인 구문이 포함되어 있다.
+
+명령어       | 구문    |       설명
+-------------------- | -------------------- | --------------------
+`alpha`    | `kubectl alpha SUBCOMMAND [flags]` | 쿠버네티스 클러스터에서 기본적으로 활성화되어 있지 않은 알파 기능의 사용할 수 있는 명령을 나열한다.
+`annotate`    | <code>kubectl annotate (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) KEY_1=VAL_1 ... KEY_N=VAL_N [--overwrite] [--all] [--resource-version=version] [flags]</code> | 하나 이상의 리소스 어노테이션을 추가하거나 업데이트한다.
+`api-resources`    | `kubectl api-resources [flags]` | 사용 가능한 API 리소스를 나열한다.
+`api-versions`    | `kubectl api-versions [flags]` | 사용 가능한 API 버전을 나열한다.
+`apply`            | `kubectl apply -f FILENAME [flags]`| 파일이나 표준입력(stdin)으로부터 리소스에 구성 변경 사항을 적용한다.
+`attach`        | `kubectl attach POD -c CONTAINER [-i] [-t] [flags]` | 실행 중인 컨테이너에 연결하여 출력 스트림을 보거나 표준입력을 통해 컨테이너와 상호 작용한다.
+`auth`    | `kubectl auth [flags] [options]` | 승인을 검사한다.
+`autoscale`    | <code>kubectl autoscale (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [--min=MINPODS] --max=MAXPODS [--cpu-percent=CPU] [flags]</code> | 레플리케이션 컨트롤러에서 관리하는 파드 집합을 자동으로 조정한다.
+`certificate`    | `kubectl certificate SUBCOMMAND [options]` | 인증서 리소스를 수정한다.
+`cluster-info`    | `kubectl cluster-info [flags]` | 클러스터의 마스터와 서비스에 대한 엔드포인트 정보를 표시한다.
+`completion`    | `kubectl completion SHELL [options]` | 지정된 셸(bash 또는 zsh)에 대한 셸 완성 코드를 출력한다.
+`config`        | `kubectl config SUBCOMMAND [flags]` | kubeconfig 파일을 수정한다. 세부 사항은 개별 하위 명령을 참고한다.
+`convert`    | `kubectl convert -f FILENAME [options]` | 다른 API 버전 간에 구성 파일을 변환한다. YAML 및 JSON 형식이 모두 허용된다. 참고 - `kubectl-convert` 플러그인을 설치해야 한다.
+`cordon`    | `kubectl cordon NODE [options]` | 노드를 스케줄 불가능(unschedulable)으로 표시한다.
+`cp`    | `kubectl cp <file-spec-src> <file-spec-dest> [options]` | 컨테이너에서 그리고 컨테이너로 파일 및 디렉터리를 복사한다.
+`create`        | `kubectl create -f FILENAME [flags]` | 파일이나 표준입력에서 하나 이상의 리소스를 생성한다.
+`delete`        | <code>kubectl delete (-f FILENAME &#124; TYPE [NAME &#124; /NAME &#124; -l label &#124; --all]) [flags]</code> | 파일, 표준입력 또는 레이블 셀렉터, 이름, 리소스 셀렉터 또는 리소스를 지정하여 리소스를 삭제한다.
+`describe`    | <code>kubectl describe (-f FILENAME &#124; TYPE [NAME_PREFIX &#124; /NAME &#124; -l label]) [flags]</code> | 하나 이상의 리소스의 자세한 상태를 표시한다.
+`diff`        | `kubectl diff -f FILENAME [flags]`| 라이브 구성에 대해 파일이나 표준입력의 차이점을 출력한다.
+`drain`    | `kubectl drain NODE [options]` | 유지 보수를 준비 중인 노드를 드레인한다.
+`edit`        | <code>kubectl edit (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [flags]</code> | 기본 편집기를 사용하여 서버에서 하나 이상의 리소스 정의를 편집하고 업데이트한다.
+`exec`        | `kubectl exec POD [-c CONTAINER] [-i] [-t] [flags] [-- COMMAND [args...]]` | 파드의 컨테이너에 대해 명령을 실행한다.
+`explain`    | `kubectl explain  [--recursive=false] [flags]` | 파드, 노드, 서비스 등의 다양한 리소스에 대한 문서를 출력한다.
+`expose`        | <code>kubectl expose (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [--port=port] [--protocol=TCP&#124;UDP] [--target-port=number-or-name] [--name=name] [--external-ip=external-ip-of-service] [--type=type] [flags]</code> | 레플리케이션 컨트롤러, 서비스 또는 파드를 새로운 쿠버네티스 서비스로 노출한다.
+`get`        | <code>kubectl get (-f FILENAME &#124; TYPE [NAME &#124; /NAME &#124; -l label]) [--watch] [--sort-by=FIELD] [[-o &#124; --output]=OUTPUT_FORMAT] [flags]</code> | 하나 이상의 리소스를 나열한다.
+`kustomize`    | `kubectl kustomize <dir> [flags] [options]` | kustomization.yaml 파일의 지시 사항에서 생성된 API 리소스 집합을 나열한다. 인수는 파일을 포함하는 디렉터리의 경로이거나, 리포지터리 루트와 관련하여 경로 접미사가 동일한 git 리포지터리 URL이어야 한다.
+`label`        | <code>kubectl label (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) KEY_1=VAL_1 ... KEY_N=VAL_N [--overwrite] [--all] [--resource-version=version] [flags]</code> | 하나 이상의 리소스 레이블을 추가하거나 업데이트한다.
+`logs`        | `kubectl logs POD [-c CONTAINER] [--follow] [flags]` | 파드의 컨테이너에 대한 로그를 출력한다.
+`options`    | `kubectl options` | 모든 명령에 적용되는 전역 커맨드 라인 옵션을 나열한다.
+`patch`        | <code>kubectl patch (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) --patch PATCH [flags]</code> | 전략적 병합 패치 프로세스를 사용하여 리소스의 하나 이상의 필드를 업데이트한다.
+`plugin`    | `kubectl plugin [flags] [options]` | 플러그인과 상호 작용하기 위한 유틸리티를 제공한다.
+`port-forward`    | `kubectl port-forward POD [LOCAL_PORT:]REMOTE_PORT [...[LOCAL_PORT_N:]REMOTE_PORT_N] [flags]` | 하나 이상의 로컬 포트를 파드로 전달한다.
+`proxy`        | `kubectl proxy [--port=PORT] [--www=static-dir] [--www-prefix=prefix] [--api-prefix=prefix] [flags]` | 쿠버네티스 API 서버에 프록시를 실행한다.
+`replace`        | `kubectl replace -f FILENAME` | 파일 또는 표준입력에서 리소스를 교체한다.
+`rollout`    | `kubectl rollout SUBCOMMAND [options]` | 리소스의 롤아웃을 관리한다. 유효한 리소스 타입에는 디플로이먼트(deployment), 데몬셋(daemonset)과 스테이트풀셋(statefulset)이 포함된다.
+`run`        | <code>kubectl run NAME --image=image [--env="key=value"] [--port=port] [--dry-run=server&#124;client&#124;none] [--overrides=inline-json] [flags]</code> | 클러스터에서 지정된 이미지를 실행한다.
+`scale`        | <code>kubectl scale (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) --replicas=COUNT [--resource-version=version] [--current-replicas=count] [flags]</code> | 지정된 레플리케이션 컨트롤러의 크기를 업데이트한다.
+`set`    | `kubectl set SUBCOMMAND [options]` | 애플리케이션 리소스를 구성한다.
+`taint`    | `kubectl taint NODE NAME KEY_1=VAL_1:TAINT_EFFECT_1 ... KEY_N=VAL_N:TAINT_EFFECT_N [options]` | 하나 이상의 노드에서 테인트(taint)를 업데이트한다.
+`top`    | `kubectl top [flags] [options]` | 리소스(CPU/메모리/스토리지) 사용량을 표시한다.
+`uncordon`    | `kubectl uncordon NODE [options]` | 노드를 스케줄 가능(schedulable)으로 표시한다.
+`version`        | `kubectl version [--client] [flags]` | 클라이언트와 서버에서 실행 중인 쿠버네티스 버전을 표시한다.
+`wait`    | <code>kubectl wait ([-f FILENAME] &#124; resource.group/resource.name &#124; resource.group [(-l label &#124; --all)]) [--for=delete&#124;--for condition=available] [options]</code> | 실험(experimental) 기능: 하나 이상의 리소스에서 특정 조건을 기다린다.
+
+명령 동작에 대한 자세한 내용을 배우려면 [kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
+
+## 리소스 타입
+
+다음 표에는 지원되는 모든 리소스 타입과 해당 약어가 나열되어 있다.
+
+(이 출력은 `kubectl api-resources` 에서 확인할 수 있으며, 쿠버네티스 1.19.1 에서의 출력을 기준으로 한다.)
+
+| NAME | SHORTNAMES | APIGROUP | NAMESPACED | KIND |
+|---|---|---|---|---|
+| `bindings` | | | true | Binding |
+| `componentstatuses` | `cs` | | false | ComponentStatus |
+| `configmaps` | `cm` | | true | ConfigMap |
+| `endpoints` | `ep` | | true | Endpoints |
+| `events` | `ev` | | true | Event |
+| `limitranges` | `limits` | | true | LimitRange |
+| `namespaces` | `ns` | | false | Namespace |
+| `nodes` | `no` | | false | Node |
+| `persistentvolumeclaims` | `pvc` | | true | PersistentVolumeClaim |
+| `persistentvolumes` | `pv` | | false | PersistentVolume |
+| `pods` | `po` | | true | Pod |
+| `podtemplates` | | | true | PodTemplate |
+| `replicationcontrollers` | `rc` | | true | ReplicationController |
+| `resourcequotas` | `quota` | | true | ResourceQuota |
+| `secrets` | | | true | Secret |
+| `serviceaccounts` | `sa` | | true | ServiceAccount |
+| `services` | `svc` | | true | Service |
+| `mutatingwebhookconfigurations` | | admissionregistration.k8s.io | false | MutatingWebhookConfiguration |
+| `validatingwebhookconfigurations` | | admissionregistration.k8s.io | false | ValidatingWebhookConfiguration |
+| `customresourcedefinitions` | `crd,crds` | apiextensions.k8s.io | false |  CustomResourceDefinition |
+| `apiservices` | | apiregistration.k8s.io | false | APIService |
+| `controllerrevisions` | | apps | true | ControllerRevision |
+| `daemonsets` | `ds` | apps | true | DaemonSet |
+| `deployments` | `deploy` | apps | true | Deployment |
+| `replicasets` | `rs` | apps | true | ReplicaSet |
+| `statefulsets` | `sts` | apps | true | StatefulSet |
+| `tokenreviews` | | authentication.k8s.io | false | TokenReview |
+| `localsubjectaccessreviews` | | authorization.k8s.io | true | LocalSubjectAccessReview |
+| `selfsubjectaccessreviews` | | authorization.k8s.io | false | SelfSubjectAccessReview |
+| `selfsubjectrulesreviews` | | authorization.k8s.io | false | SelfSubjectRulesReview |
+| `subjectaccessreviews` | | authorization.k8s.io | false | SubjectAccessReview |
+| `horizontalpodautoscalers` | `hpa` | autoscaling | true | HorizontalPodAutoscaler |
+| `cronjobs` | `cj` | batch | true | CronJob |
+| `jobs` | | batch | true | Job |
+| `certificatesigningrequests` | `csr` | certificates.k8s.io | false | CertificateSigningRequest |
+| `leases` | | coordination.k8s.io | true | Lease |
+| `endpointslices` |  | discovery.k8s.io | true | EndpointSlice |
+| `events` | `ev` | events.k8s.io | true | Event |
+| `ingresses` | `ing` | extensions | true | Ingress |
+| `flowschemas` |  | flowcontrol.apiserver.k8s.io | false | FlowSchema |
+| `prioritylevelconfigurations` |  | flowcontrol.apiserver.k8s.io | false | PriorityLevelConfiguration |
+| `ingressclasses` |  | networking.k8s.io | false | IngressClass |
+| `ingresses` | `ing` | networking.k8s.io | true | Ingress |
+| `networkpolicies` | `netpol` | networking.k8s.io | true | NetworkPolicy |
+| `runtimeclasses` |  | node.k8s.io | false | RuntimeClass |
+| `poddisruptionbudgets` | `pdb` | policy | true | PodDisruptionBudget |
+| `podsecuritypolicies` | `psp` | policy | false | PodSecurityPolicy |
+| `clusterrolebindings` | | rbac.authorization.k8s.io | false | ClusterRoleBinding |
+| `clusterroles` | | rbac.authorization.k8s.io | false | ClusterRole |
+| `rolebindings` | | rbac.authorization.k8s.io | true | RoleBinding |
+| `roles` | | rbac.authorization.k8s.io | true | Role |
+| `priorityclasses` | `pc` | scheduling.k8s.io | false | PriorityClass |
+| `csidrivers` | | storage.k8s.io | false | CSIDriver |
+| `csinodes` | | storage.k8s.io | false | CSINode |
+| `storageclasses` | `sc` | storage.k8s.io | false | StorageClass |
+| `volumeattachments` | | storage.k8s.io | false | VolumeAttachment |
+
+## 출력 옵션
+
+특정 명령의 출력을 서식화하거나 정렬하는 방법에 대한 정보는 다음 섹션을 참고한다. 다양한 출력 옵션을 지원하는 명령에 대한 자세한 내용은 [kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
+
+### 출력 서식화
+
+모든 `kubectl` 명령의 기본 출력 형식은 사람이 읽을 수 있는 일반 텍스트 형식이다. 특정 형식으로 터미널 창에 세부 정보를 출력하려면, 지원되는 `kubectl` 명령에 `-o` 또는 `--output` 플래그를 추가할 수 있다.
+
+#### 구문
+
+```shell
+kubectl [command] [TYPE] [NAME] -o <output_format>
+```
+
+`kubectl` 명령에 따라, 다음과 같은 출력 형식이 지원된다.
+
+출력 형식 | 설명
+--------------| -----------
+`-o custom-columns=<spec>` | 쉼표로 구분된 [사용자 정의 열](#custom-columns) 목록을 사용하여 테이블을 출력한다.
+`-o custom-columns-file=<filename>` | `<filename>` 파일에서 [사용자 정의 열](#custom-columns) 템플릿을 사용하여 테이블을 출력한다.
+`-o json`     | JSON 형식의 API 오브젝트를 출력한다.
+`-o jsonpath=<template>` | [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식에 정의된 필드를 출력한다.
+`-o jsonpath-file=<filename>` | `<filename>` 파일에서 [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식으로 정의된 필드를 출력한다.
+`-o name`     | 리소스 이름만 출력한다.
+`-o wide`     | 추가 정보가 포함된 일반 텍스트 형식으로 출력된다. 파드의 경우, 노드 이름이 포함된다.
+`-o yaml`     | YAML 형식의 API 오브젝트를 출력한다.
+
+##### 예제
+
+이 예제에서, 다음의 명령은 단일 파드에 대한 세부 정보를 YAML 형식의 오브젝트로 출력한다.
+
+```shell
+kubectl get pod web-pod-13je7 -o yaml
+```
+
+기억하기: 각 명령이 지원하는 출력 형식에 대한 자세한 내용은
+[kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
+
+#### 사용자 정의 열 {#custom-columns}
+
+사용자 정의 열을 정의하고 원하는 세부 정보만 테이블에 출력하려면, `custom-columns` 옵션을 사용할 수 있다.
+사용자 정의 열을 인라인으로 정의하거나 템플릿 파일을 사용하도록 선택할 수 있다. `-o custom-columns=<spec>` 또는 `-o custom-columns-file=<filename>`
+
+##### 예제
+
+인라인:
+
+```shell
+kubectl get pods <pod-name> -o custom-columns=NAME:.metadata.name,RSRC:.metadata.resourceVersion
+```
+
+템플릿 파일:
+
+```shell
+kubectl get pods <pod-name> -o custom-columns-file=template.txt
+```
+
+`template.txt` 파일에 포함된 내용은 다음과 같다.
+
+```
+NAME          RSRC
+metadata.name metadata.resourceVersion
+```
+두 명령 중 하나를 실행한 결과는 다음과 비슷하다.
+
+```
+NAME           RSRC
+submit-queue   610995
+```
+
+#### 서버측 열
+
+`kubectl` 는 서버에서 오브젝트에 대한 특정 열 정보 수신을 지원한다.
+이는 클라이언트가 출력할 수 있도록, 주어진 리소스에 대해 서버가 해당 리소스와 관련된 열과 행을 반환한다는 것을 의미한다.
+이는 서버가 출력의 세부 사항을 캡슐화하도록 하여, 동일한 클러스터에 대해 사용된 클라이언트에서 사람이 읽을 수 있는 일관된 출력을 허용한다.
+
+이 기능은 기본적으로 활성화되어 있다. 사용하지 않으려면,
+`kubectl get` 명령에 `--server-print=false` 플래그를 추가한다.
+
+##### 예제
+
+파드 상태에 대한 정보를 출력하려면, 다음과 같은 명령을 사용한다.
+
+```shell
+kubectl get pods <pod-name> --server-print=false
+```
+
+출력 결과는 다음과 비슷하다.
+
+```
+NAME       AGE
+pod-name   1m
+```
+
+### 오브젝트 목록 정렬
+
+터미널 창에서 정렬된 목록으로 오브젝트를 출력하기 위해, 지원되는 `kubectl` 명령에 `--sort-by` 플래그를 추가할 수 있다. `--sort-by` 플래그와 함께 숫자나 문자열 필드를 지정하여 오브젝트를 정렬한다. 필드를 지정하려면, [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식을 사용한다.
+
+#### 구문
+
+```shell
+kubectl [command] [TYPE] [NAME] --sort-by=<jsonpath_exp>
+```
+
+##### 예제
+
+이름별로 정렬된 파드 목록을 출력하려면, 다음을 실행한다.
+
+```shell
+kubectl get pods --sort-by=.metadata.name
+```
+
+## 예제: 일반적인 작업
+
+다음 예제 세트를 사용하여 일반적으로 사용되는 `kubectl` 조작 실행에 익숙해진다.
+
+`kubectl apply` - 파일 또는 표준입력에서 리소스를 적용하거나 업데이트한다.
+
+```shell
+# example-service.yaml의 정의를 사용하여 서비스를 생성한다.
+kubectl apply -f example-service.yaml
+
+# example-controller.yaml의 정의를 사용하여 레플리케이션 컨트롤러를 생성한다.
+kubectl apply -f example-controller.yaml
+
+# <directory> 디렉터리 내의 .yaml, .yml 또는 .json 파일에 정의된 오브젝트를 생성한다.
+kubectl apply -f <directory>
+```
+
+`kubectl get` - 하나 이상의 리소스를 나열한다.
+
+```shell
+# 모든 파드를 일반 텍스트 출력 형식으로 나열한다.
+kubectl get pods
+
+# 모든 파드를 일반 텍스트 출력 형식으로 나열하고 추가 정보(예: 노드 이름)를 포함한다.
+kubectl get pods -o wide
+
+# 지정된 이름의 레플리케이션 컨트롤러를 일반 텍스트 출력 형식으로 나열한다. 팁: 'replicationcontroller' 리소스 타입을 'rc'로 짧게 바꿔쓸 수 있다.
+kubectl get replicationcontroller <rc-name>
+
+# 모든 레플리케이션 컨트롤러와 서비스를 일반 텍스트 출력 형식으로 함께 나열한다.
+kubectl get rc,services
+
+# 모든 데몬 셋을 일반 텍스트 출력 형식으로 나열한다.
+kubectl get ds
+
+# 노드 server01에서 실행 중인 모든 파드를 나열한다.
+kubectl get pods --field-selector=spec.nodeName=server01
+```
+
+`kubectl describe` - 초기화되지 않은 리소스를 포함하여 하나 이상의 리소스의 기본 상태를 디폴트로 표시한다.
+
+```shell
+# 노드 이름이 <node-name>인 노드의 세부 사항을 표시한다.
+kubectl describe nodes <node-name>
+
+# 파드 이름이 <pod-name> 인 파드의 세부 정보를 표시한다.
+kubectl describe pods/<pod-name>
+
+# 이름이 <rc-name>인 레플리케이션 컨트롤러가 관리하는 모든 파드의 세부 정보를 표시한다.
+# 기억하기: 레플리케이션 컨트롤러에서 생성된 모든 파드에는 레플리케이션 컨트롤러 이름이 접두사로 붙는다.
+kubectl describe pods <rc-name>
+
+# 모든 파드의 정보를 출력한다.
+kubectl describe pods
+```
+
+{{< note >}}
+`kubectl get` 명령은 일반적으로 동일한 리소스 타입의 하나 이상의
+리소스를 검색하는 데 사용된다. 예를 들어, `-o` 또는 `--output` 플래그를
+사용하여 출력 형식을 사용자 정의할 수 있는 풍부한 플래그 세트가 있다.
+`-w` 또는 `--watch` 플래그를 지정하여 특정 오브젝트에 대한 업데이트 진행과정을 확인할 수
+있다. `kubectl describe` 명령은 지정된 리소스의 여러 관련 측면을
+설명하는 데 더 중점을 둔다. API 서버에 대한 여러 API 호출을 호출하여
+사용자에 대한 뷰(view)를 빌드할 수 있다. 예를 들어, `kubectl describe node`
+명령은 노드에 대한 정보뿐만 아니라, 노드에서 실행 중인 파드의 요약 정보, 노드에 대해 생성된 이벤트 등의
+정보도 검색한다.
+{{< /note >}}
+
+`kubectl delete` - 파일, 표준입력 또는 레이블 선택기, 이름, 리소스 선택기나 리소스를 지정하여 리소스를 삭제한다.
+
+```shell
+# pod.yaml 파일에 지정된 타입과 이름을 사용하여 파드를 삭제한다.
+kubectl delete -f pod.yaml
+
+# '<label-key>=<label-value>' 레이블이 있는 모든 파드와 서비스를 삭제한다.
+kubectl delete pods,services -l <label-key>=<label-value>
+
+# 초기화되지 않은 파드를 포함한 모든 파드를 삭제한다.
+kubectl delete pods --all
+```
+
+`kubectl exec` - 파드의 컨테이너에 대해 명령을 실행한다.
+
+```shell
+# 파드 <pod-name>에서 'date'를 실행한 결과를 얻는다. 기본적으로, 첫 번째 컨테이너에서 출력된다.
+kubectl exec <pod-name> -- date
+
+# 파드 <pod-name>의 <container-name> 컨테이너에서 'date'를 실행하여 출력 결과를 얻는다.
+kubectl exec <pod-name> -c <container-name> -- date
+
+# 파드 <pod-name>에서 대화식 TTY를 연결해 /bin/bash를 실행한다. 기본적으로, 첫 번째 컨테이너에서 출력된다.
+kubectl exec -ti <pod-name> -- /bin/bash
+```
+
+`kubectl logs` - 파드의 컨테이너에 대한 로그를 출력한다.
+
+```shell
+# 파드 <pod-name>에서 로그의 스냅샷을 반환한다.
+kubectl logs <pod-name>
+
+# 파드 <pod-name>에서 로그 스트리밍을 시작한다. 이것은 리눅스 명령 'tail -f'와 비슷하다.
+kubectl logs -f <pod-name>
+```
+
+`kubectl diff` - 제안된 클러스터 업데이트의 차이점을 본다.
+
+```shell
+# "pod.json"에 포함된 리소스의 차이점을 출력한다.
+kubectl diff -f pod.json
+
+# 표준입력에서 파일을 읽어 차이점을 출력한다.
+cat service.yaml | kubectl diff -f -
+```
+
+## 예제: 플러그인 작성 및 사용
+
+`kubectl` 플러그인 작성과 사용에 익숙해지려면 다음의 예제 세트를 사용한다.
+
+```shell
+# 어떤 언어로든 간단한 플러그인을 만들고 "kubectl-" 접두사로
+# 시작하도록 실행 파일의 이름을 지정한다.
+cat ./kubectl-hello
+```
+```shell
+#!/bin/sh
+
+# 이 플러그인은 "hello world"라는 단어를 출력한다
+echo "hello world"
+```
+작성한 플러그인을 실행 가능하게 한다
+```bash
+chmod a+x ./kubectl-hello
+
+# 그리고 PATH의 위치로 옮긴다
+sudo mv ./kubectl-hello /usr/local/bin
+sudo chown root:root /usr/local/bin
+
+# 이제 kubectl 플러그인을 만들고 "설치했다".
+# kubectl에서 플러그인을 일반 명령처럼 호출하여 플러그인을 사용할 수 있다
+kubectl hello
+```
+```
+hello world
+```
+
+```shell
+# 플러그인을 배치한 $PATH의 폴더에서 플러그인을 삭제하여,
+# 플러그인을 "제거"할 수 있다
+sudo rm /usr/local/bin/kubectl-hello
+```
+
+`kubectl` 에 사용할 수 있는 모든 플러그인을 보려면,
+`kubectl plugin list` 하위 명령을 사용한다.
+
+```shell
+kubectl plugin list
+```
+출력 결과는 다음과 비슷하다.
+```
+The following kubectl-compatible plugins are available:
+
+/usr/local/bin/kubectl-hello
+/usr/local/bin/kubectl-foo
+/usr/local/bin/kubectl-bar
+```
+
+`kubectl plugin list` 는 또한 실행 가능하지 않거나,
+다른 플러그인에 의해 차단된 플러그인에 대해 경고한다. 예를 들면 다음과 같다.
+```shell
+sudo chmod -x /usr/local/bin/kubectl-foo # 실행 권한 제거
+kubectl plugin list
+```
+```
+The following kubectl-compatible plugins are available:
+
+/usr/local/bin/kubectl-hello
+/usr/local/bin/kubectl-foo
+  - warning: /usr/local/bin/kubectl-foo identified as a plugin, but it is not executable
+/usr/local/bin/kubectl-bar
+
+error: one plugin warning was found
+```
+
+플러그인은 기존 kubectl 명령 위에 보다 복잡한 기능을
+구축하는 수단으로 생각할 수 있다.
+
+```shell
+cat ./kubectl-whoami
+```
+다음 몇 가지 예는 이미 `kubectl-whoami` 에
+다음 내용이 있다고 가정한다.
+```shell
+#!/bin/bash
+
+# 이 플러그인은 현재 선택된 컨텍스트를 기반으로 현재 사용자에 대한
+# 정보를 출력하기 위해 'kubectl config' 명령을 사용한다.
+kubectl config view --template='{{ range .contexts }}{{ if eq .name "'$(kubectl config current-context)'" }}Current user: {{ printf "%s\n" .context.user }}{{ end }}{{ end }}'
+```
+
+위의 플러그인을 실행하면 KUBECONFIG 파일에서 현재의 컨텍스트에 대한
+사용자가 포함된 출력이 제공된다.
+
+```shell
+# 파일을 실행 가능하게 한다
+sudo chmod +x ./kubectl-whoami
+
+# 그리고 PATH로 옮긴다
+sudo mv ./kubectl-whoami /usr/local/bin
+
+kubectl whoami
+Current user: plugins-user
+```
+
+## {{% heading "whatsnext" %}}
+
+* `kubectl` 레퍼런스 문서를 읽는다.
+  * kubectl [명령어 레퍼런스](/ko/docs/reference/kubectl/kubectl/)
+  * [명령줄 인자](/docs/reference/generated/kubectl/kubectl-commands/) 레퍼런스
+* [`kubectl` 사용 규칙](/ko/docs/reference/kubectl/conventions/)에 대해 알아본다.
+* kubectl의 [JSONPath 지원](/ko/docs/reference/kubectl/jsonpath/)에 대해 알아본다.
+* [플러그인으로 kubectl 확장](/ko/docs/tasks/extend-kubectl/kubectl-plugins/)에 대해 알아본다.
+  * 플러그인에 대해 좀 더 알아보려면, [예시 CLI 플러그인](https://github.com/kubernetes/sample-cli-plugin)을 살펴본다.
diff --git a/content/ko/docs/reference/kubectl/cheatsheet.md b/content/ko/docs/reference/kubectl/cheatsheet.md
index b4e39aa736f..051c4502ed6 100644
--- a/content/ko/docs/reference/kubectl/cheatsheet.md
+++ b/content/ko/docs/reference/kubectl/cheatsheet.md
@@ -5,6 +5,7 @@ title: kubectl 치트 시트
 
 
 content_type: concept
+weight: 10 # highlight it
 card:
   name: reference
   weight: 30
@@ -38,6 +39,11 @@ complete -F __start_kubectl k
 source <(kubectl completion zsh)  # 현재 셸에 zsh의 자동 완성 설정
 echo "[[ $commands[kubectl] ]] && source <(kubectl completion zsh)" >> ~/.zshrc # 자동 완성을 zsh 셸에 영구적으로 추가한다.
 ```
+### --all-namespaces 에 대한 노트
+
+`--all-namespaces`를 붙여야 하는 상황이 자주 발생하므로, `--all-namespaces`의 축약형을 알아 두는 것이 좋다.
+
+```kubectl -A```
 
 ## Kubectl 컨텍스트와 설정
 
@@ -56,11 +62,11 @@ kubectl config view
 # e2e 사용자의 암호를 확인한다
 kubectl config view -o jsonpath='{.users[?(@.name == "e2e")].user.password}'
 
-kubectl config view -o jsonpath='{.users[].name}'    # 첫 번째 사용자 출력
+kubectl config view -o jsonpath='{.users[].name}'     # 첫 번째 사용자 출력
 kubectl config view -o jsonpath='{.users[*].name}'    # 사용자 리스트 조회
-kubectl config get-contexts                          # 컨텍스트 리스트 출력
-kubectl config current-context              # 현재 컨텍스트 출력
-kubectl config use-context my-cluster-name  # my-cluster-name를 기본 컨텍스트로 설정
+kubectl config get-contexts                           # 컨텍스트 리스트 출력
+kubectl config current-context                        # 현재 컨텍스트 출력
+kubectl config use-context my-cluster-name            # my-cluster-name를 기본 컨텍스트로 설정
 
 # 기본 인증을 지원하는 새로운 사용자를 kubeconf에 추가한다
 kubectl config set-credentials kubeuser/foo.kubernetes.com --username=kubeuser --password=kubepassword
@@ -73,6 +79,10 @@ kubectl config set-context gce --user=cluster-admin --namespace=foo \
   && kubectl config use-context gce
 
 kubectl config unset users.foo                       # foo 사용자 삭제
+
+# 컨텍스트/네임스페이스를 설정/조회하는 단축 명령 (bash 및 bash 호환 셸에서만 동작함, 네임스페이스 설정을 위해 kn 을 사용하기 전에 현재 컨텍스트가 설정되어야 함)
+alias kx='f() { [ "$1" ] && kubectl config use-context $1 || kubectl config current-context ; } ; f'
+alias kn='f() { [ "$1" ] && kubectl config set-context --current --namespace $1 || kubectl config view --minify | grep namespace | cut -d" " -f6 ; } ; f'
 ```
 
 ## Kubectl apply
@@ -92,10 +102,10 @@ kubectl apply -f https://git.io/vPieo          # url로부터 리소스(들) 생
 kubectl create deployment nginx --image=nginx  # nginx 단일 인스턴스를 시작
 
 # "Hello World"를 출력하는 잡(Job) 생성
-kubectl create job hello --image=busybox -- echo "Hello World"
+kubectl create job hello --image=busybox:1.28 -- echo "Hello World"
 
 # 매분마다 "Hello World"를 출력하는 크론잡(CronJob) 생성
-kubectl create cronjob hello --image=busybox   --schedule="*/1 * * * *" -- echo "Hello World"    
+kubectl create cronjob hello --image=busybox:1.28   --schedule="*/1 * * * *" -- echo "Hello World"
 
 kubectl explain pods                           # 파드 매니페스트 문서를 조회
 
@@ -108,7 +118,7 @@ metadata:
 spec:
   containers:
   - name: busybox
-    image: busybox
+    image: busybox:1.28
     args:
     - sleep
     - "1000000"
@@ -120,7 +130,7 @@ metadata:
 spec:
   containers:
   - name: busybox
-    image: busybox
+    image: busybox:1.28
     args:
     - sleep
     - "1000"
@@ -172,9 +182,9 @@ kubectl get pods --selector=app=cassandra -o \
 kubectl get configmap myconfig \
   -o jsonpath='{.data.ca\.crt}'
 
-# 모든 워커 노드 조회 (셀렉터를 사용하여 'node-role.kubernetes.io/master'
+# 모든 워커 노드 조회 (셀렉터를 사용하여 'node-role.kubernetes.io/control-plane'
 # 으로 명명된 라벨의 결과를 제외)
-kubectl get node --selector='!node-role.kubernetes.io/master'
+kubectl get node --selector='!node-role.kubernetes.io/control-plane'
 
 # 네임스페이스의 모든 실행 중인 파드를 조회
 kubectl get pods --field-selector=status.phase=Running
@@ -212,19 +222,21 @@ kubectl diff -f ./my-manifest.yaml
 
 # 노드에 대해 반환된 모든 키의 마침표로 구분된 트리를 생성한다.
 # 복잡한 중첩 JSON 구조 내에서 키를 찾을 때 유용하다.
-kubectl get nodes -o json | jq -c 'path(..)|[.[]|tostring]|join(".")'
+kubectl get nodes -o json | jq -c 'paths|join(".")'
 
 # 파드 등에 대해 반환된 모든 키의 마침표로 구분된 트리를 생성한다.
-kubectl get pods -o json | jq -c 'path(..)|[.[]|tostring]|join(".")'
+kubectl get pods -o json | jq -c 'paths|join(".")'
 
 # 모든 파드에 대해 ENV를 생성한다(각 파드에 기본 컨테이너가 있고, 기본 네임스페이스가 있고, `env` 명령어가 동작한다고 가정).
 # `env` 뿐만 아니라 다른 지원되는 명령어를 모든 파드에 실행할 때에도 참고할 수 있다.
 for pod in $(kubectl get po --output=jsonpath={.items..metadata.name}); do echo $pod && kubectl exec -it $pod -- env; done
+
+# 디플로이먼트의 status 서브리소스를 조회한다.
+kubectl get deployment nginx-deployment --subresource=status
 ```
 
 ## 리소스 업데이트
 
-
 ```bash
 kubectl set image deployment/frontend www=image:v2               # "frontend" 디플로이먼트의 "www" 컨테이너 이미지를 업데이트하는 롤링 업데이트
 kubectl rollout history deployment/frontend                      # 현 리비전을 포함한 디플로이먼트의 이력을 체크
@@ -234,7 +246,7 @@ kubectl rollout status -w deployment/frontend                    # 완료될 때
 kubectl rollout restart deployment/frontend                      # "frontend" 디플로이먼트의 롤링 재시작
 
 
-cat pod.json | kubectl replace -f -                              # std로 전달된 JSON을 기반으로 파드 교체
+cat pod.json | kubectl replace -f -                              # stdin으로 전달된 JSON을 기반으로 파드 교체
 
 # 리소스를 강제 교체, 삭제 후 재생성함. 이것은 서비스를 중단시킴.
 kubectl replace --force -f ./pod.json
@@ -266,11 +278,15 @@ kubectl patch deployment valid-deployment  --type json   -p='[{"op": "remove", "
 
 # 위치 배열에 새 요소 추가
 kubectl patch sa default --type='json' -p='[{"op": "add", "path": "/secrets/1", "value": {"name": "whatever" } }]'
+
+# Update a deployment's replicas count by patching it's scale subresource
+# 디플로이먼트의 scale 서브리소스를 패치하여 레플리카 카운트를 업데이트.
+kubectl patch deployment nginx-deployment --subresource='scale' --type='merge' -p '{"spec":{"replicas":2}}'
 ```
 
 ## 리소스 편집
 
-편집기로 모든 API 리소스를 편집.
+선호하는 편집기로 모든 API 리소스를 편집할 수 있다.
 
 ```bash
 kubectl edit svc/docker-registry                      # docker-registry라는 서비스 편집
@@ -310,7 +326,7 @@ kubectl logs my-pod -c my-container --previous      # 컨테이너의 이전 인
 kubectl logs -f my-pod                              # 실시간 스트림 파드 로그(stdout)
 kubectl logs -f my-pod -c my-container              # 실시간 스트림 파드 로그(stdout, 멀티-컨테이너 경우)
 kubectl logs -f -l name=myLabel --all-containers    # name이 myLabel인 모든 파드의 로그 스트리밍 (stdout)
-kubectl run -i --tty busybox --image=busybox -- sh  # 대화형 셸로 파드를 실행
+kubectl run -i --tty busybox --image=busybox:1.28 -- sh  # 대화형 셸로 파드를 실행
 kubectl run nginx --image=nginx -n mynamespace      # mynamespace 네임스페이스에서 nginx 파드 1개 실행
 kubectl run nginx --image=nginx                     # nginx 파드를 실행하고 해당 스펙을 pod.yaml 파일에 기록
 --dry-run=client -o yaml > pod.yaml
@@ -419,7 +435,7 @@ kubectl get pods -A -o=custom-columns='DATA:spec.containers[?(@.image!="k8s.gcr.
 kubectl get pods -A -o=custom-columns='DATA:metadata.*'
 ```
 
-더 많은 예제는 kubectl [참조 문서](/ko/docs/reference/kubectl/overview/#custom-columns)를 참고한다.
+더 많은 예제는 kubectl [참조 문서](/ko/docs/reference/kubectl/#custom-columns)를 참고한다.
 
 ### Kubectl 출력 로그 상세 레벨(verbosity)과 디버깅
 
@@ -440,10 +456,10 @@ Kubectl 로그 상세 레벨(verbosity)은 `-v` 또는`--v` 플래그와 로그
 
 ## {{% heading "whatsnext" %}}
 
-* [kubectl 개요](/ko/docs/reference/kubectl/overview/)를 읽고 [JsonPath](/ko/docs/reference/kubectl/jsonpath)에 대해 배워보자.
+* [kubectl 개요](/ko/docs/reference/kubectl/)를 읽고 [JsonPath](/ko/docs/reference/kubectl/jsonpath)에 대해 배워보자.
 
 * [kubectl](/ko/docs/reference/kubectl/kubectl/) 옵션을 참고한다.
 
-* 재사용 스크립트에서 kubectl 사용 방법을 이해하기 위해 [kubectl 사용법](/ko/docs/reference/kubectl/conventions/)을 참고한다.
+* 재사용 스크립트에서 kubectl 사용 방법을 이해하기 위해 [kubectl 사용 규칙](/ko/docs/reference/kubectl/conventions/)을 참고한다.
 
 * 더 많은 커뮤니티 [kubectl 치트시트](https://github.com/dennyzhang/cheatsheet-kubernetes-A4)를 확인한다.
diff --git a/content/ko/docs/reference/kubectl/conventions.md b/content/ko/docs/reference/kubectl/conventions.md
index c2d03ff23a9..b4fec4c0b14 100644
--- a/content/ko/docs/reference/kubectl/conventions.md
+++ b/content/ko/docs/reference/kubectl/conventions.md
@@ -19,6 +19,16 @@ content_type: concept
 * 예를 들어 `jobs.v1.batch/myjob`과 같이 전체 버전을 사용한다. 이를 통해 `kubectl`이 시간이 지남에 따라 변경될 수 있는 기본 버전을 사용하지 않도록 한다.
 * 문맥, 설정 또는 기타 암묵적 상태에 의존하지 않는다.
 
+## 서브리소스 {#subresources}
+
+* kubectl의 `get`, `patch`, `edit` 및 `replace`와 같은 명령어에서 
+  서브리소스를 지원하는 모든 리소스에 대해 `--subresource` 알파 플래그를 사용하여 
+  서브리소스를 조회하고 업데이트할 수 있다. 현재, `status`와 `scale` 서브리소스만 지원된다.
+* 서브리소스에 대한 API 계약은 전체 리소스와 동일하다. 
+  `status` 서브리소스를 새 값으로 업데이트해도, 
+  컨트롤러에서 서브리소스를 잠재적으로 다른 값으로 조정할 수 있다는 점을 염두에 두어야 한다.
+
+
 ## 모범 사례
 
 ### `kubectl run`
diff --git a/content/ko/docs/reference/kubectl/docker-cli-to-kubectl.md b/content/ko/docs/reference/kubectl/docker-cli-to-kubectl.md
index 4935b83ec6a..b6dd29c8514 100644
--- a/content/ko/docs/reference/kubectl/docker-cli-to-kubectl.md
+++ b/content/ko/docs/reference/kubectl/docker-cli-to-kubectl.md
@@ -187,7 +187,7 @@ kubectl exec -ti nginx-app-5jyvm -- /bin/sh
 # exit
 ```
 
-자세한 내용은 [실행 중인 컨테이너의 셸 얻기](/ko/docs/tasks/debug-application-cluster/get-shell-running-container/)를 참고한다.
+자세한 내용은 [실행 중인 컨테이너의 셸 얻기](/ko/docs/tasks/debug/debug-application/get-shell-running-container/)를 참고한다.
 
 ## docker logs
 
diff --git a/content/ko/docs/reference/kubectl/jsonpath.md b/content/ko/docs/reference/kubectl/jsonpath.md
index 4a910829f85..b3ecc4e70b6 100644
--- a/content/ko/docs/reference/kubectl/jsonpath.md
+++ b/content/ko/docs/reference/kubectl/jsonpath.md
@@ -1,7 +1,6 @@
 ---
 title: JSONPath 지원
 content_type: concept
-weight: 25
 ---
 
 <!-- overview -->
diff --git a/content/ko/docs/reference/kubectl/kubectl.md b/content/ko/docs/reference/kubectl/kubectl.md
index b2a16bf452c..55d83debe2e 100644
--- a/content/ko/docs/reference/kubectl/kubectl.md
+++ b/content/ko/docs/reference/kubectl/kubectl.md
@@ -9,7 +9,7 @@ weight: 30
 
 kubectl은 쿠버네티스 클러스터 관리자를 제어한다.
 
- 자세한 정보는 [kubectl 개요](/ko/docs/reference/kubectl/overview/)를 확인한다.
+ 자세한 정보는 [kubectl 개요](/ko/docs/reference/kubectl/)를 확인한다.
 
 ```
 kubectl [flags]
diff --git a/content/ko/docs/reference/kubectl/overview.md b/content/ko/docs/reference/kubectl/overview.md
deleted file mode 100644
index 4b289d50d29..00000000000
--- a/content/ko/docs/reference/kubectl/overview.md
+++ /dev/null
@@ -1,547 +0,0 @@
----
-
-
-title: kubectl 개요
-content_type: concept
-weight: 20
-card:
-  name: reference
-  weight: 20
----
-
-<!-- overview -->
-Kubectl은 쿠버네티스 클러스터를 제어하기 위한 커맨드 라인 도구이다.
-구성을 위해, `kubectl` 은 config 파일을 $HOME/.kube 에서 찾는다.
-KUBECONFIG 환경 변수를 설정하거나 [`--kubeconfig`](/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
-플래그를 설정하여 다른 [kubeconfig](/ko/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
-파일을 지정할 수 있다.
-
-이 개요는 `kubectl` 구문을 다루고, 커맨드 동작을 설명하며, 일반적인 예제를 제공한다.
-지원되는 모든 플래그 및 하위 명령을 포함한 각 명령에 대한 자세한 내용은
-[kubectl](/docs/reference/generated/kubectl/kubectl-commands/) 참조 문서를 참고한다.
-설치 방법에 대해서는 [kubectl 설치](/ko/docs/tasks/tools/)를 참고한다.
-
-<!-- body -->
-
-## 구문
-
-터미널 창에서 `kubectl` 명령을 실행하려면 다음의 구문을 사용한다.
-
-```shell
-kubectl [command] [TYPE] [NAME] [flags]
-```
-
-다음은 `command`, `TYPE`, `NAME` 과 `flags` 에 대한 설명이다.
-
-* `command`: 하나 이상의 리소스에서 수행하려는 동작을 지정한다.
-예: `create`, `get`, `describe`, `delete`
-
-* `TYPE`: [리소스 타입](#리소스-타입)을 지정한다. 리소스 타입은 대소문자를 구분하지 않으며
-  단수형, 복수형 또는 약어 형식을 지정할 수 있다.
-  예를 들어, 다음의 명령은 동일한 출력 결과를 생성한다.
-
-   ```shell
-   kubectl get pod pod1
-   kubectl get pods pod1
-   kubectl get po pod1
-   ```
-
-* `NAME`: 리소스 이름을 지정한다. 이름은 대소문자를 구분한다. 이름을 생략하면, 모든 리소스에 대한 세부 사항이 표시된다. 예: `kubectl get pods`
-
-   여러 리소스에 대한 작업을 수행할 때, 타입 및 이름별로 각 리소스를 지정하거나 하나 이상의 파일을 지정할 수 있다.
-
-   * 타입 및 이름으로 리소스를 지정하려면 다음을 참고한다.
-
-      * 리소스가 모두 동일한 타입인 경우 리소스를 그룹화하려면 다음을 사용한다. `TYPE1 name1 name2 name<#>`<br/>
-      예: `kubectl get pod example-pod1 example-pod2`
-
-      * 여러 리소스 타입을 개별적으로 지정하려면 다음을 사용한다. `TYPE1/name1 TYPE1/name2 TYPE2/name3 TYPE<#>/name<#>`<br/>
-      예: `kubectl get pod/example-pod1 replicationcontroller/example-rc1`
-
-   * 하나 이상의 파일로 리소스를 지정하려면 다음을 사용한다. `-f file1 -f file2 -f file<#>`
-
-      * YAML이 특히 구성 파일에 대해 더 사용자 친화적이므로, [JSON 대신 YAML을 사용한다](/ko/docs/concepts/configuration/overview/#일반적인-구성-팁).<br/>
-     예: `kubectl get -f ./pod.yaml`
-
-* `flags`: 선택적 플래그를 지정한다. 예를 들어, `-s` 또는 `--server` 플래그를 사용하여 쿠버네티스 API 서버의 주소와 포트를 지정할 수 있다.<br/>
-
-{{< caution >}}
-커맨드 라인에서 지정하는 플래그는 기본값과 해당 환경 변수를 무시한다.
-{{< /caution >}}
-
-도움이 필요하다면, 터미널 창에서 `kubectl help` 를 실행한다.
-
-## 클러스터 내 인증과 네임스페이스 오버라이드
-
-기본적으로 `kubectl`은 먼저 자신이 파드 안에서 실행되고 있는지, 즉 클러스터 안에 있는지를 판별한다. 이를 위해 `KUBERNETES_SERVICE_HOST`와 `KUBERNETES_SERVICE_PORT` 환경 변수, 그리고 서비스 어카운트 토큰 파일이 `/var/run/secrets/kubernetes.io/serviceaccount/token` 경로에 있는지를 확인한다. 세 가지가 모두 감지되면, 클러스터 내 인증이 적용된다.
-
-하위 호환성을 위해, 클러스터 내 인증 시에 `POD_NAMESPACE` 환경 변수가 설정되어 있으면, 서비스 어카운트 토큰의 기본 네임스페이스 설정을 오버라이드한다. 기본 네임스페이스 설정에 의존하는 모든 매니페스트와 도구가 영향을 받을 것이다.
-
-**`POD_NAMESPACE` 환경 변수**
-
-`POD_NAMESPACE` 환경 변수가 설정되어 있으면, 네임스페이스에 속하는 자원에 대한 CLI 작업은 환경 변수에 설정된 네임스페이스를 기본값으로 사용한다. 예를 들어, 환경 변수가 `seattle`로 설정되어 있으면, `kubectl get pods` 명령은 `seattle` 네임스페이스에 있는 파드 목록을 반환한다. 이는 파드가 네임스페이스에 속하는 자원이며, 명령어에 네임스페이스를 특정하지 않았기 때문이다. `kubectl api-resources` 명령을 실행하고 결과를 확인하여 특정 자원이 네임스페이스에 속하는 자원인지 판별한다.
-
-명시적으로 `--namespace <value>` 인자를 사용하면 위와 같은 동작을 오버라이드한다.
-
-**kubectl이 서비스어카운트 토큰을 관리하는 방법**
-
-만약
-* 쿠버네티스 서비스 어카운트 토큰 파일이 
-  `/var/run/secrets/kubernetes.io/serviceaccount/token` 경로에 마운트되어 있고,
-* `KUBERNETES_SERVICE_HOST` 환경 변수가 설정되어 있고,
-* `KUBERNETES_SERVICE_PORT` 환경 변수가 설정되어 있고,
-* kubectl 명령에 네임스페이스를 명시하지 않으면
-
-kubectl은 자신이 클러스터 내부에서 실행되고 있다고 가정한다. 
-kubectl은 해당 서비스어카운트의 네임스페이스(파드의 네임스페이스와 동일하다)를 인식하고 해당 네임스페이스에 대해 동작한다.
-이는 클러스터 외부에서 실행되었을 때와는 다른데, 
-kubectl이 클러스터 외부에서 실행되었으며 네임스페이스가 명시되지 않은 경우 
-kubectl은 `default` 네임스페이스에 대해 동작한다.
-
-## 명령어
-
-다음 표에는 모든 `kubectl` 작업에 대한 간단한 설명과 일반적인 구문이 포함되어 있다.
-
-명령어       | 구문    |       설명
--------------------- | -------------------- | --------------------
-`alpha`    | `kubectl alpha SUBCOMMAND [flags]` | 쿠버네티스 클러스터에서 기본적으로 활성화되어 있지 않은 알파 기능의 사용할 수 있는 명령을 나열한다.
-`annotate`    | <code>kubectl annotate (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) KEY_1=VAL_1 ... KEY_N=VAL_N [--overwrite] [--all] [--resource-version=version] [flags]</code> | 하나 이상의 리소스 어노테이션을 추가하거나 업데이트한다.
-`api-resources`    | `kubectl api-resources [flags]` | 사용 가능한 API 리소스를 나열한다.
-`api-versions`    | `kubectl api-versions [flags]` | 사용 가능한 API 버전을 나열한다.
-`apply`            | `kubectl apply -f FILENAME [flags]`| 파일이나 표준입력(stdin)으로부터 리소스에 구성 변경 사항을 적용한다.
-`attach`        | `kubectl attach POD -c CONTAINER [-i] [-t] [flags]` | 실행 중인 컨테이너에 연결하여 출력 스트림을 보거나 표준입력을 통해 컨테이너와 상호 작용한다.
-`auth`    | `kubectl auth [flags] [options]` | 승인을 검사한다.
-`autoscale`    | <code>kubectl autoscale (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [--min=MINPODS] --max=MAXPODS [--cpu-percent=CPU] [flags]</code> | 레플리케이션 컨트롤러에서 관리하는 파드 집합을 자동으로 조정한다.
-`certificate`    | `kubectl certificate SUBCOMMAND [options]` | 인증서 리소스를 수정한다.
-`cluster-info`    | `kubectl cluster-info [flags]` | 클러스터의 마스터와 서비스에 대한 엔드포인트 정보를 표시한다.
-`completion`    | `kubectl completion SHELL [options]` | 지정된 셸(bash 또는 zsh)에 대한 셸 완성 코드를 출력한다.
-`config`        | `kubectl config SUBCOMMAND [flags]` | kubeconfig 파일을 수정한다. 세부 사항은 개별 하위 명령을 참고한다.
-`convert`    | `kubectl convert -f FILENAME [options]` | 다른 API 버전 간에 구성 파일을 변환한다. YAML 및 JSON 형식이 모두 허용된다. 참고 - `kubectl-convert` 플러그인을 설치해야 한다.
-`cordon`    | `kubectl cordon NODE [options]` | 노드를 스케줄 불가능(unschedulable)으로 표시한다.
-`cp`    | `kubectl cp <file-spec-src> <file-spec-dest> [options]` | 컨테이너에서 그리고 컨테이너로 파일 및 디렉터리를 복사한다.
-`create`        | `kubectl create -f FILENAME [flags]` | 파일이나 표준입력에서 하나 이상의 리소스를 생성한다.
-`delete`        | <code>kubectl delete (-f FILENAME &#124; TYPE [NAME &#124; /NAME &#124; -l label &#124; --all]) [flags]</code> | 파일, 표준입력 또는 레이블 셀렉터, 이름, 리소스 셀렉터 또는 리소스를 지정하여 리소스를 삭제한다.
-`describe`    | <code>kubectl describe (-f FILENAME &#124; TYPE [NAME_PREFIX &#124; /NAME &#124; -l label]) [flags]</code> | 하나 이상의 리소스의 자세한 상태를 표시한다.
-`diff`        | `kubectl diff -f FILENAME [flags]`| 라이브 구성에 대해 파일이나 표준입력의 차이점을 출력한다.
-`drain`    | `kubectl drain NODE [options]` | 유지 보수를 준비 중인 노드를 드레인한다.
-`edit`        | <code>kubectl edit (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [flags]</code> | 기본 편집기를 사용하여 서버에서 하나 이상의 리소스 정의를 편집하고 업데이트한다.
-`exec`        | `kubectl exec POD [-c CONTAINER] [-i] [-t] [flags] [-- COMMAND [args...]]` | 파드의 컨테이너에 대해 명령을 실행한다.
-`explain`    | `kubectl explain  [--recursive=false] [flags]` | 파드, 노드, 서비스 등의 다양한 리소스에 대한 문서를 출력한다.
-`expose`        | <code>kubectl expose (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) [--port=port] [--protocol=TCP&#124;UDP] [--target-port=number-or-name] [--name=name] [--external-ip=external-ip-of-service] [--type=type] [flags]</code> | 레플리케이션 컨트롤러, 서비스 또는 파드를 새로운 쿠버네티스 서비스로 노출한다.
-`get`        | <code>kubectl get (-f FILENAME &#124; TYPE [NAME &#124; /NAME &#124; -l label]) [--watch] [--sort-by=FIELD] [[-o &#124; --output]=OUTPUT_FORMAT] [flags]</code> | 하나 이상의 리소스를 나열한다.
-`kustomize`    | `kubectl kustomize <dir> [flags] [options]` | kustomization.yaml 파일의 지시 사항에서 생성된 API 리소스 집합을 나열한다. 인수는 파일을 포함하는 디렉터리의 경로이거나, 리포지터리 루트와 관련하여 경로 접미사가 동일한 git 리포지터리 URL이어야 한다.
-`label`        | <code>kubectl label (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) KEY_1=VAL_1 ... KEY_N=VAL_N [--overwrite] [--all] [--resource-version=version] [flags]</code> | 하나 이상의 리소스 레이블을 추가하거나 업데이트한다.
-`logs`        | `kubectl logs POD [-c CONTAINER] [--follow] [flags]` | 파드의 컨테이너에 대한 로그를 출력한다.
-`options`    | `kubectl options` | 모든 명령에 적용되는 전역 커맨드 라인 옵션을 나열한다.
-`patch`        | <code>kubectl patch (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) --patch PATCH [flags]</code> | 전략적 병합 패치 프로세스를 사용하여 리소스의 하나 이상의 필드를 업데이트한다.
-`plugin`    | `kubectl plugin [flags] [options]` | 플러그인과 상호 작용하기 위한 유틸리티를 제공한다.
-`port-forward`    | `kubectl port-forward POD [LOCAL_PORT:]REMOTE_PORT [...[LOCAL_PORT_N:]REMOTE_PORT_N] [flags]` | 하나 이상의 로컬 포트를 파드로 전달한다.
-`proxy`        | `kubectl proxy [--port=PORT] [--www=static-dir] [--www-prefix=prefix] [--api-prefix=prefix] [flags]` | 쿠버네티스 API 서버에 프록시를 실행한다.
-`replace`        | `kubectl replace -f FILENAME` | 파일 또는 표준입력에서 리소스를 교체한다.
-`rollout`    | `kubectl rollout SUBCOMMAND [options]` | 리소스의 롤아웃을 관리한다. 유효한 리소스 타입에는 디플로이먼트(deployment), 데몬셋(daemonset)과 스테이트풀셋(statefulset)이 포함된다.
-`run`        | <code>kubectl run NAME --image=image [--env="key=value"] [--port=port] [--dry-run=server&#124;client&#124;none] [--overrides=inline-json] [flags]</code> | 클러스터에서 지정된 이미지를 실행한다.
-`scale`        | <code>kubectl scale (-f FILENAME &#124; TYPE NAME &#124; TYPE/NAME) --replicas=COUNT [--resource-version=version] [--current-replicas=count] [flags]</code> | 지정된 레플리케이션 컨트롤러의 크기를 업데이트한다.
-`set`    | `kubectl set SUBCOMMAND [options]` | 애플리케이션 리소스를 구성한다.
-`taint`    | `kubectl taint NODE NAME KEY_1=VAL_1:TAINT_EFFECT_1 ... KEY_N=VAL_N:TAINT_EFFECT_N [options]` | 하나 이상의 노드에서 테인트(taint)를 업데이트한다.
-`top`    | `kubectl top [flags] [options]` | 리소스(CPU/메모리/스토리지) 사용량을 표시한다.
-`uncordon`    | `kubectl uncordon NODE [options]` | 노드를 스케줄 가능(schedulable)으로 표시한다.
-`version`        | `kubectl version [--client] [flags]` | 클라이언트와 서버에서 실행 중인 쿠버네티스 버전을 표시한다.
-`wait`    | <code>kubectl wait ([-f FILENAME] &#124; resource.group/resource.name &#124; resource.group [(-l label &#124; --all)]) [--for=delete&#124;--for condition=available] [options]</code> | 실험(experimental) 기능: 하나 이상의 리소스에서 특정 조건을 기다린다.
-
-명령 동작에 대한 자세한 내용을 배우려면 [kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
-
-## 리소스 타입
-
-다음 표에는 지원되는 모든 리소스 타입과 해당 약어가 나열되어 있다.
-
-(이 출력은 `kubectl api-resources` 에서 확인할 수 있으며, 쿠버네티스 1.19.1 에서의 출력을 기준으로 한다.)
-
-| NAME | SHORTNAMES | APIGROUP | NAMESPACED | KIND |
-|---|---|---|---|---|
-| `bindings` | | | true | Binding |
-| `componentstatuses` | `cs` | | false | ComponentStatus |
-| `configmaps` | `cm` | | true | ConfigMap |
-| `endpoints` | `ep` | | true | Endpoints |
-| `events` | `ev` | | true | Event |
-| `limitranges` | `limits` | | true | LimitRange |
-| `namespaces` | `ns` | | false | Namespace |
-| `nodes` | `no` | | false | Node |
-| `persistentvolumeclaims` | `pvc` | | true | PersistentVolumeClaim |
-| `persistentvolumes` | `pv` | | false | PersistentVolume |
-| `pods` | `po` | | true | Pod |
-| `podtemplates` | | | true | PodTemplate |
-| `replicationcontrollers` | `rc` | | true | ReplicationController |
-| `resourcequotas` | `quota` | | true | ResourceQuota |
-| `secrets` | | | true | Secret |
-| `serviceaccounts` | `sa` | | true | ServiceAccount |
-| `services` | `svc` | | true | Service |
-| `mutatingwebhookconfigurations` | | admissionregistration.k8s.io | false | MutatingWebhookConfiguration |
-| `validatingwebhookconfigurations` | | admissionregistration.k8s.io | false | ValidatingWebhookConfiguration |
-| `customresourcedefinitions` | `crd,crds` | apiextensions.k8s.io | false |  CustomResourceDefinition |
-| `apiservices` | | apiregistration.k8s.io | false | APIService |
-| `controllerrevisions` | | apps | true | ControllerRevision |
-| `daemonsets` | `ds` | apps | true | DaemonSet |
-| `deployments` | `deploy` | apps | true | Deployment |
-| `replicasets` | `rs` | apps | true | ReplicaSet |
-| `statefulsets` | `sts` | apps | true | StatefulSet |
-| `tokenreviews` | | authentication.k8s.io | false | TokenReview |
-| `localsubjectaccessreviews` | | authorization.k8s.io | true | LocalSubjectAccessReview |
-| `selfsubjectaccessreviews` | | authorization.k8s.io | false | SelfSubjectAccessReview |
-| `selfsubjectrulesreviews` | | authorization.k8s.io | false | SelfSubjectRulesReview |
-| `subjectaccessreviews` | | authorization.k8s.io | false | SubjectAccessReview |
-| `horizontalpodautoscalers` | `hpa` | autoscaling | true | HorizontalPodAutoscaler |
-| `cronjobs` | `cj` | batch | true | CronJob |
-| `jobs` | | batch | true | Job |
-| `certificatesigningrequests` | `csr` | certificates.k8s.io | false | CertificateSigningRequest |
-| `leases` | | coordination.k8s.io | true | Lease |
-| `endpointslices` |  | discovery.k8s.io | true | EndpointSlice |
-| `events` | `ev` | events.k8s.io | true | Event |
-| `ingresses` | `ing` | extensions | true | Ingress |
-| `flowschemas` |  | flowcontrol.apiserver.k8s.io | false | FlowSchema |
-| `prioritylevelconfigurations` |  | flowcontrol.apiserver.k8s.io | false | PriorityLevelConfiguration |
-| `ingressclasses` |  | networking.k8s.io | false | IngressClass |
-| `ingresses` | `ing` | networking.k8s.io | true | Ingress |
-| `networkpolicies` | `netpol` | networking.k8s.io | true | NetworkPolicy |
-| `runtimeclasses` |  | node.k8s.io | false | RuntimeClass |
-| `poddisruptionbudgets` | `pdb` | policy | true | PodDisruptionBudget |
-| `podsecuritypolicies` | `psp` | policy | false | PodSecurityPolicy |
-| `clusterrolebindings` | | rbac.authorization.k8s.io | false | ClusterRoleBinding |
-| `clusterroles` | | rbac.authorization.k8s.io | false | ClusterRole |
-| `rolebindings` | | rbac.authorization.k8s.io | true | RoleBinding |
-| `roles` | | rbac.authorization.k8s.io | true | Role |
-| `priorityclasses` | `pc` | scheduling.k8s.io | false | PriorityClass |
-| `csidrivers` | | storage.k8s.io | false | CSIDriver |
-| `csinodes` | | storage.k8s.io | false | CSINode |
-| `storageclasses` | `sc` | storage.k8s.io | false | StorageClass |
-| `volumeattachments` | | storage.k8s.io | false | VolumeAttachment |
-
-## 출력 옵션
-
-특정 명령의 출력을 서식화하거나 정렬하는 방법에 대한 정보는 다음 섹션을 참고한다. 다양한 출력 옵션을 지원하는 명령에 대한 자세한 내용은 [kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
-
-### 출력 서식화
-
-모든 `kubectl` 명령의 기본 출력 형식은 사람이 읽을 수 있는 일반 텍스트 형식이다. 특정 형식으로 터미널 창에 세부 정보를 출력하려면, 지원되는 `kubectl` 명령에 `-o` 또는 `--output` 플래그를 추가할 수 있다.
-
-#### 구문
-
-```shell
-kubectl [command] [TYPE] [NAME] -o <output_format>
-```
-
-`kubectl` 명령에 따라, 다음과 같은 출력 형식이 지원된다.
-
-출력 형식 | 설명
---------------| -----------
-`-o custom-columns=<spec>` | 쉼표로 구분된 [사용자 정의 열](#custom-columns) 목록을 사용하여 테이블을 출력한다.
-`-o custom-columns-file=<filename>` | `<filename>` 파일에서 [사용자 정의 열](#custom-columns) 템플릿을 사용하여 테이블을 출력한다.
-`-o json`     | JSON 형식의 API 오브젝트를 출력한다.
-`-o jsonpath=<template>` | [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식에 정의된 필드를 출력한다.
-`-o jsonpath-file=<filename>` | `<filename>` 파일에서 [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식으로 정의된 필드를 출력한다.
-`-o name`     | 리소스 이름만 출력한다.
-`-o wide`     | 추가 정보가 포함된 일반 텍스트 형식으로 출력된다. 파드의 경우, 노드 이름이 포함된다.
-`-o yaml`     | YAML 형식의 API 오브젝트를 출력한다.
-
-##### 예제
-
-이 예제에서, 다음의 명령은 단일 파드에 대한 세부 정보를 YAML 형식의 오브젝트로 출력한다.
-
-```shell
-kubectl get pod web-pod-13je7 -o yaml
-```
-
-기억하기: 각 명령이 지원하는 출력 형식에 대한 자세한 내용은
-[kubectl](/ko/docs/reference/kubectl/kubectl/) 참조 문서를 참고한다.
-
-#### 사용자 정의 열 {#custom-columns}
-
-사용자 정의 열을 정의하고 원하는 세부 정보만 테이블에 출력하려면, `custom-columns` 옵션을 사용할 수 있다.
-사용자 정의 열을 인라인으로 정의하거나 템플릿 파일을 사용하도록 선택할 수 있다. `-o custom-columns=<spec>` 또는 `-o custom-columns-file=<filename>`
-
-##### 예제
-
-인라인:
-
-```shell
-kubectl get pods <pod-name> -o custom-columns=NAME:.metadata.name,RSRC:.metadata.resourceVersion
-```
-
-템플릿 파일:
-
-```shell
-kubectl get pods <pod-name> -o custom-columns-file=template.txt
-```
-
-`template.txt` 파일에 포함된 내용은 다음과 같다.
-
-```
-NAME          RSRC
-metadata.name metadata.resourceVersion
-```
-두 명령 중 하나를 실행한 결과는 다음과 비슷하다.
-
-```
-NAME           RSRC
-submit-queue   610995
-```
-
-#### 서버측 열
-
-`kubectl` 는 서버에서 오브젝트에 대한 특정 열 정보 수신을 지원한다.
-이는 클라이언트가 출력할 수 있도록, 주어진 리소스에 대해 서버가 해당 리소스와 관련된 열과 행을 반환한다는 것을 의미한다.
-이는 서버가 출력의 세부 사항을 캡슐화하도록 하여, 동일한 클러스터에 대해 사용된 클라이언트에서 사람이 읽을 수 있는 일관된 출력을 허용한다.
-
-이 기능은 기본적으로 활성화되어 있다. 사용하지 않으려면,
-`kubectl get` 명령에 `--server-print=false` 플래그를 추가한다.
-
-##### 예제
-
-파드 상태에 대한 정보를 출력하려면, 다음과 같은 명령을 사용한다.
-
-```shell
-kubectl get pods <pod-name> --server-print=false
-```
-
-출력 결과는 다음과 비슷하다.
-
-```
-NAME       AGE
-pod-name   1m
-```
-
-### 오브젝트 목록 정렬
-
-터미널 창에서 정렬된 목록으로 오브젝트를 출력하기 위해, 지원되는 `kubectl` 명령에 `--sort-by` 플래그를 추가할 수 있다. `--sort-by` 플래그와 함께 숫자나 문자열 필드를 지정하여 오브젝트를 정렬한다. 필드를 지정하려면, [jsonpath](/ko/docs/reference/kubectl/jsonpath/) 표현식을 사용한다.
-
-#### 구문
-
-```shell
-kubectl [command] [TYPE] [NAME] --sort-by=<jsonpath_exp>
-```
-
-##### 예제
-
-이름별로 정렬된 파드 목록을 출력하려면, 다음을 실행한다.
-
-```shell
-kubectl get pods --sort-by=.metadata.name
-```
-
-## 예제: 일반적인 작업
-
-다음 예제 세트를 사용하여 일반적으로 사용되는 `kubectl` 조작 실행에 익숙해진다.
-
-`kubectl apply` - 파일 또는 표준입력에서 리소스를 적용하거나 업데이트한다.
-
-```shell
-# example-service.yaml의 정의를 사용하여 서비스를 생성한다.
-kubectl apply -f example-service.yaml
-
-# example-controller.yaml의 정의를 사용하여 레플리케이션 컨트롤러를 생성한다.
-kubectl apply -f example-controller.yaml
-
-# <directory> 디렉터리 내의 .yaml, .yml 또는 .json 파일에 정의된 오브젝트를 생성한다.
-kubectl apply -f <directory>
-```
-
-`kubectl get` - 하나 이상의 리소스를 나열한다.
-
-```shell
-# 모든 파드를 일반 텍스트 출력 형식으로 나열한다.
-kubectl get pods
-
-# 모든 파드를 일반 텍스트 출력 형식으로 나열하고 추가 정보(예: 노드 이름)를 포함한다.
-kubectl get pods -o wide
-
-# 지정된 이름의 레플리케이션 컨트롤러를 일반 텍스트 출력 형식으로 나열한다. 팁: 'replicationcontroller' 리소스 타입을 'rc'로 짧게 바꿔쓸 수 있다.
-kubectl get replicationcontroller <rc-name>
-
-# 모든 레플리케이션 컨트롤러와 서비스를 일반 텍스트 출력 형식으로 함께 나열한다.
-kubectl get rc,services
-
-# 모든 데몬 셋을 일반 텍스트 출력 형식으로 나열한다.
-kubectl get ds
-
-# 노드 server01에서 실행 중인 모든 파드를 나열한다.
-kubectl get pods --field-selector=spec.nodeName=server01
-```
-
-`kubectl describe` - 초기화되지 않은 리소스를 포함하여 하나 이상의 리소스의 기본 상태를 디폴트로 표시한다.
-
-```shell
-# 노드 이름이 <node-name>인 노드의 세부 사항을 표시한다.
-kubectl describe nodes <node-name>
-
-# 파드 이름이 <pod-name> 인 파드의 세부 정보를 표시한다.
-kubectl describe pods/<pod-name>
-
-# 이름이 <rc-name>인 레플리케이션 컨트롤러가 관리하는 모든 파드의 세부 정보를 표시한다.
-# 기억하기: 레플리케이션 컨트롤러에서 생성된 모든 파드에는 레플리케이션 컨트롤러 이름이 접두사로 붙는다.
-kubectl describe pods <rc-name>
-
-# 모든 파드의 정보를 출력한다.
-kubectl describe pods
-```
-
-{{< note >}}
-`kubectl get` 명령은 일반적으로 동일한 리소스 타입의 하나 이상의
-리소스를 검색하는 데 사용된다. 예를 들어, `-o` 또는 `--output` 플래그를
-사용하여 출력 형식을 사용자 정의할 수 있는 풍부한 플래그 세트가 있다.
-`-w` 또는 `--watch` 플래그를 지정하여 특정 오브젝트에 대한 업데이트 진행과정을 확인할 수
-있다. `kubectl describe` 명령은 지정된 리소스의 여러 관련 측면을
-설명하는 데 더 중점을 둔다. API 서버에 대한 여러 API 호출을 호출하여
-사용자에 대한 뷰(view)를 빌드할 수 있다. 예를 들어, `kubectl describe node`
-명령은 노드에 대한 정보뿐만 아니라, 노드에서 실행 중인 파드의 요약 정보, 노드에 대해 생성된 이벤트 등의
-정보도 검색한다.
-{{< /note >}}
-
-`kubectl delete` - 파일, 표준입력 또는 레이블 선택기, 이름, 리소스 선택기나 리소스를 지정하여 리소스를 삭제한다.
-
-```shell
-# pod.yaml 파일에 지정된 타입과 이름을 사용하여 파드를 삭제한다.
-kubectl delete -f pod.yaml
-
-# '<label-key>=<label-value>' 레이블이 있는 모든 파드와 서비스를 삭제한다.
-kubectl delete pods,services -l <label-key>=<label-value>
-
-# 초기화되지 않은 파드를 포함한 모든 파드를 삭제한다.
-kubectl delete pods --all
-```
-
-`kubectl exec` - 파드의 컨테이너에 대해 명령을 실행한다.
-
-```shell
-# 파드 <pod-name>에서 'date'를 실행한 결과를 얻는다. 기본적으로, 첫 번째 컨테이너에서 출력된다.
-kubectl exec <pod-name> -- date
-
-# 파드 <pod-name>의 <container-name> 컨테이너에서 'date'를 실행하여 출력 결과를 얻는다.
-kubectl exec <pod-name> -c <container-name> -- date
-
-# 파드 <pod-name>에서 대화식 TTY를 연결해 /bin/bash를 실행한다. 기본적으로, 첫 번째 컨테이너에서 출력된다.
-kubectl exec -ti <pod-name> -- /bin/bash
-```
-
-`kubectl logs` - 파드의 컨테이너에 대한 로그를 출력한다.
-
-```shell
-# 파드 <pod-name>에서 로그의 스냅샷을 반환한다.
-kubectl logs <pod-name>
-
-# 파드 <pod-name>에서 로그 스트리밍을 시작한다. 이것은 리눅스 명령 'tail -f'와 비슷하다.
-kubectl logs -f <pod-name>
-```
-
-`kubectl diff` - 제안된 클러스터 업데이트의 차이점을 본다.
-
-```shell
-# "pod.json"에 포함된 리소스의 차이점을 출력한다.
-kubectl diff -f pod.json
-
-# 표준입력에서 파일을 읽어 차이점을 출력한다.
-cat service.yaml | kubectl diff -f -
-```
-
-## 예제: 플러그인 작성 및 사용
-
-`kubectl` 플러그인 작성과 사용에 익숙해지려면 다음의 예제 세트를 사용한다.
-
-```shell
-# 어떤 언어로든 간단한 플러그인을 만들고 "kubectl-" 접두사로
-# 시작하도록 실행 파일의 이름을 지정한다.
-cat ./kubectl-hello
-```
-```shell
-#!/bin/sh
-
-# 이 플러그인은 "hello world"라는 단어를 출력한다
-echo "hello world"
-```
-작성한 플러그인을 실행 가능하게 한다
-```bash
-chmod a+x ./kubectl-hello
-
-# 그리고 PATH의 위치로 옮긴다
-sudo mv ./kubectl-hello /usr/local/bin
-sudo chown root:root /usr/local/bin
-
-# 이제 kubectl 플러그인을 만들고 "설치했다".
-# kubectl에서 플러그인을 일반 명령처럼 호출하여 플러그인을 사용할 수 있다
-kubectl hello
-```
-```
-hello world
-```
-
-```shell
-# 플러그인을 배치한 $PATH의 폴더에서 플러그인을 삭제하여,
-# 플러그인을 "제거"할 수 있다
-sudo rm /usr/local/bin/kubectl-hello
-```
-
-`kubectl` 에 사용할 수 있는 모든 플러그인을 보려면,
-`kubectl plugin list` 하위 명령을 사용한다.
-
-```shell
-kubectl plugin list
-```
-출력 결과는 다음과 비슷하다.
-```
-The following kubectl-compatible plugins are available:
-
-/usr/local/bin/kubectl-hello
-/usr/local/bin/kubectl-foo
-/usr/local/bin/kubectl-bar
-```
-
-`kubectl plugin list` 는 또한 실행 가능하지 않거나,
-다른 플러그인에 의해 차단된 플러그인에 대해 경고한다. 예를 들면 다음과 같다.
-```shell
-sudo chmod -x /usr/local/bin/kubectl-foo # 실행 권한 제거
-kubectl plugin list
-```
-```
-The following kubectl-compatible plugins are available:
-
-/usr/local/bin/kubectl-hello
-/usr/local/bin/kubectl-foo
-  - warning: /usr/local/bin/kubectl-foo identified as a plugin, but it is not executable
-/usr/local/bin/kubectl-bar
-
-error: one plugin warning was found
-```
-
-플러그인은 기존 kubectl 명령 위에 보다 복잡한 기능을
-구축하는 수단으로 생각할 수 있다.
-
-```shell
-cat ./kubectl-whoami
-```
-다음 몇 가지 예는 이미 `kubectl-whoami` 에
-다음 내용이 있다고 가정한다.
-```shell
-#!/bin/bash
-
-# 이 플러그인은 현재 선택된 컨텍스트를 기반으로 현재 사용자에 대한
-# 정보를 출력하기 위해 'kubectl config' 명령을 사용한다.
-kubectl config view --template='{{ range .contexts }}{{ if eq .name "'$(kubectl config current-context)'" }}Current user: {{ printf "%s\n" .context.user }}{{ end }}{{ end }}'
-```
-
-위의 플러그인을 실행하면 KUBECONFIG 파일에서 현재의 컨텍스트에 대한
-사용자가 포함된 출력이 제공된다.
-
-```shell
-# 파일을 실행 가능하게 한다
-sudo chmod +x ./kubectl-whoami
-
-# 그리고 PATH로 옮긴다
-sudo mv ./kubectl-whoami /usr/local/bin
-
-kubectl whoami
-Current user: plugins-user
-```
-
-## {{% heading "whatsnext" %}}
-
-* [kubectl](/docs/reference/generated/kubectl/kubectl-commands/) 명령을 사용하여 시작한다.
-
-* 플러그인에 대한 자세한 내용은 [cli plugin 예제](https://github.com/kubernetes/sample-cli-plugin)를 참고한다.
diff --git a/content/ko/docs/reference/labels-annotations-taints.md b/content/ko/docs/reference/labels-annotations-taints/_index.md
similarity index 99%
rename from content/ko/docs/reference/labels-annotations-taints.md
rename to content/ko/docs/reference/labels-annotations-taints/_index.md
index 748b6899d0d..5c098a0084b 100644
--- a/content/ko/docs/reference/labels-annotations-taints.md
+++ b/content/ko/docs/reference/labels-annotations-taints/_index.md
@@ -461,7 +461,7 @@ kubelet이 "외부" 클라우드 공급자에 의해 실행되었다면 노드
 ## container.seccomp.security.alpha.kubernetes.io/[이름] {#container-seccomp-security-alpha-kubernetes-io}
 
 이 어노테이션은 쿠버네티스 v1.19부터 사용 중단되었으며 v1.25에서는 작동하지 않을 것이다. 
-[seccomp를 이용하여 컨테이너의 syscall 제한하기](/docs/tutorials/clusters/seccomp/) 튜토리얼에서 
+[seccomp를 이용하여 컨테이너의 syscall 제한하기](/docs/tutorials/security/seccomp/) 튜토리얼에서 
 seccomp 프로파일을 파드 또는 파드 내 컨테이너에 적용하는 단계를 확인한다. 
 튜토리얼에서는 쿠버네티스에 seccomp를 설정하기 위해 사용할 수 있는 방법을 소개하며, 
 이는 파드의 `.spec` 내에 `securityContext` 를 설정함으로써 가능하다.
diff --git a/content/ko/docs/reference/tools/_index.md b/content/ko/docs/reference/tools/_index.md
index 86a09927457..328fc68a256 100644
--- a/content/ko/docs/reference/tools/_index.md
+++ b/content/ko/docs/reference/tools/_index.md
@@ -30,9 +30,6 @@ no_list: true
 [Helm](https://helm.sh/)은 사전 구성된 쿠버네티스 리소스 패키지를 관리하기 위한 도구이다.
 이 패키지는 _Helm charts_ 라고 알려져 있다.
 
-Helm은 미리 구성된 쿠버네티스 리소스 패키지를 관리하기 위한 제 3자가
-관리하는 도구로, 쿠버네티스 차트(charts)라고도 알려져 있다.
-
 Helm의 용도
 
 * 쿠버네티스 차트로 배포된 인기있는 소프트웨어를 검색하고 사용
diff --git a/content/ko/docs/reference/using-api/_index.md b/content/ko/docs/reference/using-api/_index.md
index 423d82e0f2c..28e7dace35e 100644
--- a/content/ko/docs/reference/using-api/_index.md
+++ b/content/ko/docs/reference/using-api/_index.md
@@ -1,5 +1,9 @@
 ---
 title: API 개요
+
+
+
+
 content_type: concept
 weight: 10
 no_list: true
@@ -104,6 +108,7 @@ API 그룹은 REST 경로와 직렬화된 오브젝트의 `apiVersion` 필드에
 
  - `batch/v1` 을 비활성화하려면, `--runtime-config=batch/v1=false` 로 설정
  - `batch/v2alpha1` 을 활성화하려면, `--runtime-config=batch/v2alpha1` 으로 설정
+ - 예를 들어 `storage.k8s.io/v1beta1/csistoragecapacities`와 같이 특정 버전의 API를 활성화하려면, `--runtime-config=storage.k8s.io/v1beta1/csistoragecapacities`와 같이 설정
 
 {{< note >}}
 그룹이나 리소스를 활성화 또는 비활성화하려면, apiserver와 controller-manager를 재시작하여
diff --git a/content/ko/docs/setup/best-practices/certificates.md b/content/ko/docs/setup/best-practices/certificates.md
index b4559e98cf5..2774fca3e0e 100644
--- a/content/ko/docs/setup/best-practices/certificates.md
+++ b/content/ko/docs/setup/best-practices/certificates.md
@@ -22,6 +22,8 @@ weight: 40
 쿠버네티스는 다음 작업에서 PKI를 필요로 한다.
 
 * kubelet에서 API 서버 인증서를 인증시 사용하는 클라이언트 인증서
+* API 서버가 kubelet과 통신하기 위한 
+  kubelet [서버 인증서](/docs/reference/command-line-tools-reference/kubelet-tls-bootstrapping/#client-and-serving-certificates)
 * API 서버 엔드포인트를 위한 서버 인증서
 * API 서버에 클러스터 관리자 인증을 위한 클라이언트 인증서
 * API 서버에서 kubelet과 통신을 위한 클라이언트 인증서
@@ -89,7 +91,7 @@ etcd 역시 클라이언트와 피어 간에 상호 TLS 인증을 구현한다.
 로드 밸런서 안정 IP 또는 DNS 이름, `kubernetes`, `kubernetes.default`, `kubernetes.default.svc`,
 `kubernetes.default.svc.cluster`, `kubernetes.default.svc.cluster.local`)
 
-`kind`는 하나 이상의 [x509 키 사용](https://godoc.org/k8s.io/api/certificates/v1beta1#KeyUsage) 종류를 가진다.
+`kind`는 하나 이상의 [x509 키 사용](https://pkg.go.dev/k8s.io/api/certificates/v1beta1#KeyUsage) 종류를 가진다.
 
 | 종류   | 키 사용                                                                         |
 |--------|---------------------------------------------------------------------------------|
diff --git a/content/ko/docs/setup/best-practices/node-conformance.md b/content/ko/docs/setup/best-practices/node-conformance.md
index c2f919968fa..4e765f3e870 100644
--- a/content/ko/docs/setup/best-practices/node-conformance.md
+++ b/content/ko/docs/setup/best-practices/node-conformance.md
@@ -1,4 +1,6 @@
 ---
+
+
 title: 노드 구성 검증하기
 weight: 30
 ---
@@ -6,13 +8,15 @@ weight: 30
 
 ## 노드 적합성 테스트
 
-*노드 적합성 테스트* 는 노드의 시스템 검증과 기능 테스트를 제공하기 위해 컨테이너화된 테스트 프레임워크이다.
-테스트는 노드가 쿠버네티스를 위한 최소 요구조건을 만족하는지를 검증한다. 그리고 테스트를 통과한 노드는 쿠버네티스 클러스터에 참
-여할 자격이 주어진다.
+*노드 적합성 테스트* 는 노드의 시스템 검증과 기능 테스트를 제공하기 위해 컨테이너화된 
+테스트 프레임워크이다. 
+테스트는 노드가 쿠버네티스를 위한 최소 요구조건을 만족하는지를 검증한다. 
+그리고 테스트를 통과한 노드는 쿠버네티스 클러스터에 참여할 자격이 주어진다.
 
 ## 노드 필수 구성 요소
 
-노드 적합성 테스트를 실행하기 위해서는, 해당 노드는 표준 쿠버네티스 노드로서 동일한 전제조건을 만족해야 한다.
+노드 적합성 테스트를 실행하기 위해서는, 
+해당 노드는 표준 쿠버네티스 노드로서 동일한 전제조건을 만족해야 한다.
 노드는 최소한 아래 데몬들이 설치되어 있어야 한다.
 
 * 컨테이너 런타임 (Docker)
@@ -21,14 +25,13 @@ weight: 30
 ## 노드 적합성 테스트 실행
 
 노드 적합성 테스트는 다음 순서로 진행된다.
-
 1. kubelet에 대한 `--kubeconfig` 옵션의 값을 계산한다. 예를 들면, 다음과 같다.
    `--kubeconfig = / var / lib / kubelet / config.yaml`.
    테스트 프레임워크는 kubelet을 테스트하기 위해 로컬 컨트롤 플레인을 시작하기 때문에,
    `http://localhost:8080` 을 API 서버의 URL로 사용한다.
    사용할 수 있는 kubelet 커맨드 라인 파라미터가 몇 개 있다.
-  * `--pod-cidr`: `kubenet`을 사용 중이라면, 임의의 CIDR을 Kubelet에 지정해주어야 한다. 예) `--pod-cidr=10.180.0.0/24`.
-  * `--cloud-provider`: `--cloud-provider=gce`를 사용 중이라면, 테스트 실행 시에는 제거해야 한다.
+  * `--cloud-provider`: `--cloud-provider=gce`를 사용 중이라면, 
+    테스트 실행 시에는 제거해야 한다.
 
 2. 다음 커맨드로 노드 적합성 테스트를 실행한다.
 
diff --git a/content/ko/docs/setup/production-environment/_index.md b/content/ko/docs/setup/production-environment/_index.md
index 1394c2f3257..e14fce8baa4 100644
--- a/content/ko/docs/setup/production-environment/_index.md
+++ b/content/ko/docs/setup/production-environment/_index.md
@@ -197,7 +197,7 @@ etcd 백업 계획을 세우려면
 스크립트를 구성할 수 있는 가상화 플랫폼이 있다.
 - *노드 헬스 체크 구성*: 중요한 워크로드의 경우, 
 해당 노드에서 실행 중인 노드와 파드의 상태가 정상인지 확인하고 싶을 것이다. 
-[Node Problem Detector](/docs/tasks/debug-application-cluster/monitor-node-health/) 
+[Node Problem Detector](/docs/tasks/debug/debug-cluster/monitor-node-health/) 
 데몬을 사용하면 노드가 정상인지 확인할 수 있다.
 
 ## 프로덕션 사용자 관리
diff --git a/content/ko/docs/setup/production-environment/container-runtimes.md b/content/ko/docs/setup/production-environment/container-runtimes.md
index b5ec7c84238..6f375e081bb 100644
--- a/content/ko/docs/setup/production-environment/container-runtimes.md
+++ b/content/ko/docs/setup/production-environment/container-runtimes.md
@@ -8,21 +8,21 @@ weight: 20
 ---
 <!-- overview -->
 
+{{% dockershim-removal %}}
+
 파드가 노드에서 실행될 수 있도록 클러스터의 각 노드에
 {{< glossary_tooltip text="컨테이너 런타임" term_id="container-runtime" >}}을
 설치해야 한다. 이 페이지에서는 관련된 항목을 설명하고
 노드 설정 관련 작업을 설명한다.
 
-<!-- body -->
-
 쿠버네티스 {{< skew currentVersion >}}에서는 
 {{< glossary_tooltip term_id="cri" text="컨테이너 런타임 인터페이스">}}(CRI) 요구사항을 만족하는 
 런타임을 사용해야 한다.
 
 더 자세한 정보는 [CRI 버전 지원](#cri-versions)을 참조한다.
 
-이 페이지에는 리눅스 환경의 쿠버네티스에서 여러 공통 컨테이너 런타임을 사용하는 방법에 대한
-세부 정보가 있다.
+이 페이지는 쿠버네티스에서 
+여러 공통 컨테이너 런타임을 사용하는 방법에 대한 개요를 제공한다.
 
 - [containerd](#containerd)
 - [CRI-O](#cri-o)
@@ -30,12 +30,27 @@ weight: 20
 - [미란티스 컨테이너 런타임](#mcr)
 
 {{< note >}}
-다른 운영 체제의 경우, 해당 플랫폼과 관련된 문서를 찾아보자.
+쿠버네티스 v1.24 이전 릴리스는 
+_dockershim_ 이라는 구성 요소를 사용하여 도커 엔진과의 직접 통합을 지원했다. 
+이 특별한 직접 통합은 
+더 이상 쿠버네티스에 포함되지 않는다(이 제거는 
+v1.20 릴리스의 일부로 [공지](/blog/2020/12/08/kubernetes-1-20-release-announcement/#dockershim-deprecation)되었다). 
+이 제거가 어떻게 영향을 미치는지 알아보려면 
+[Dockershim 사용 중단이 영향을 미치는지 확인하기](/docs/tasks/administer-cluster/migrating-from-dockershim/check-if-dockershim-removal-affects-you/) 문서를 확인한다. 
+dockershim을 사용하던 환경에서 이전(migrating)하는 방법을 보려면, 
+[dockershim에서 이전하기](/docs/tasks/administer-cluster/migrating-from-dockershim/)를 확인한다.
+
+v{{< skew currentVersion >}} 이외의 쿠버네티스 버전을 사용하고 있다면, 
+해당 버전의 문서를 참고한다.
 {{< /note >}}
 
+
+<!-- body -->
+
 ## cgroup 드라이버
 
-Control group은 프로세스에 할당된 리소스를 제한하는데 사용된다.
+리눅스에서, {{< glossary_tooltip text="control group" term_id="cgroup" >}}은 
+프로세스에 할당된 리소스를 제한하는데 사용된다.
 
 리눅스 배포판의 init 시스템이 [systemd](https://www.freedesktop.org/wiki/Software/systemd/)인
 경우, init 프로세스는 root control group(`cgroup`)을
@@ -64,7 +79,7 @@ kubelet을 재시작하는 것은 에러를 해결할 수 없을 것이다.
 교체하거나, 자동화를 사용하여 다시 설치한다.
 {{< /caution >}}
 
-## cgroup v2
+### Cgroup 버전 2 {#cgroup-v2}
 
 cgroup v2는 cgroup Linux API의 다음 버전이다. 
 cgroup v1과는 다르게 각 컨트롤러마다 다른 계층 대신 단일 계층이 있다.
@@ -102,8 +117,8 @@ cgroup v2를 사용하려면 CRI 런타임에서도 cgroup v2를 지원해야 
 
 ### kubeadm으로 생성한 클러스터의 드라이버를 `systemd`로 변경하기
 
-kubeadm으로 생성한 클러스터의 cgroup 드라이버를 `systemd`로 변경하려면
-[변경 가이드](/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/)를 참고한다.
+기존에 kubeadm으로 생성한 클러스터의 cgroup 드라이버를 `systemd`로 변경하려면, 
+[cgroup 드라이버 설정하기](/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/)를 참고한다.
 
 ## CRI 버전 지원 {#cri-versions}
 
@@ -120,95 +135,47 @@ kubelet은 대신 (사용 중단된) v1alpha2 API를 사용하도록 설정된
 
 ### containerd
 
-이 섹션에는 containerd를 CRI 런타임으로 사용하는 데 필요한 단계가 포함되어 있다.
+이 섹션에는 containerd를 CRI 런타임으로 사용하는 데 필요한 단계를 간략하게 설명한다.
 
 다음 명령을 사용하여 시스템에 containerd를 설치한다.
 
-필수 구성 요소를 설치 및 구성한다.
+1. 필수 구성 요소를 설치 및 구성한다.
 
-```shell
-cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
-overlay
-br_netfilter
-EOF
-
-sudo modprobe overlay
-sudo modprobe br_netfilter
-
-# 필요한 sysctl 파라미터를 설정하면 재부팅 후에도 유지된다.
-cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
-net.bridge.bridge-nf-call-iptables  = 1
-net.ipv4.ip_forward                 = 1
-net.bridge.bridge-nf-call-ip6tables = 1
-EOF
-
-# 재부팅하지 않고 sysctl 파라미터 적용
-sudo sysctl --system
-```
-
-containerd를 설치한다.
-
-{{< tabs name="tab-cri-containerd-installation" >}}
-{{% tab name="Linux" %}}
-
-1. 공식 도커 리포지터리에서 `containerd.io` 패키지를 설치한다.
-각 리눅스 배포판에 대한 도커 리포지터리를 설정하고
-`containerd.io` 패키지를 설치하는 방법은
-[도커 엔진 설치](https://docs.docker.com/engine/install/#server)에서 찾을 수 있다.
-
-2. containerd 설정
+   (이 지침은 리눅스 노드에만 적용된다)
 
    ```shell
-   sudo mkdir -p /etc/containerd
-   containerd config default | sudo tee /etc/containerd/config.toml
+   cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf
+   overlay
+   br_netfilter
+   EOF
+
+   sudo modprobe overlay
+   sudo modprobe br_netfilter
+
+   # 필요한 sysctl 파라미터를 설정하면 재부팅 후에도 유지된다.
+   cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
+   net.bridge.bridge-nf-call-iptables  = 1
+   net.ipv4.ip_forward                 = 1
+   net.bridge.bridge-nf-call-ip6tables = 1
+   EOF
+
+   # 재부팅하지 않고 sysctl 파라미터 적용
+   sudo sysctl --system
    ```
 
-3. containerd 재시작
+1. containerd를 설치한다.
 
-   ```shell
-   sudo systemctl restart containerd
-   ```
+   [containerd 시작하기](https://github.com/containerd/containerd/blob/main/docs/getting-started.md) 
+   문서를 확인하고, 
+   유효한 환경 설정 파일(`config.toml`)을 작성하는 부분까지의 
+   가이드를 따른다. 
+   리눅스에서, 이 파일은 `/etc/containerd/config.toml`에 존재한다. 
+   윈도우에서, 이 파일은 `C:\Program Files\containerd\config.toml`에 존재한다.
 
-{{% /tab %}}
-{{% tab name="Windows (PowerShell)" %}}
+리눅스에서, containerd를 위한 기본 CRI 소켓은 `/run/containerd/containerd.sock`이다.
+윈도우에서, 기본 CRI 엔드포인트는 `npipe://./pipe/containerd-containerd`이다.
 
-PowerShell 세션을 시작하고 `$Version`을 원하는 버전으로
-설정(예: `$Version:"1.4.3"`)한 후 다음 명령을 실행한다.
-
-1. containerd 다운로드
-
-   ```powershell
-   curl.exe -L https://github.com/containerd/containerd/releases/download/v$Version/containerd-$Version-windows-amd64.tar.gz -o containerd-windows-amd64.tar.gz
-   tar.exe xvf .\containerd-windows-amd64.tar.gz
-   ```
-
-2. 추출과 설정
-
-   ```powershell
-   Copy-Item -Path ".\bin\" -Destination "$Env:ProgramFiles\containerd" -Recurse -Force
-   cd $Env:ProgramFiles\containerd\
-   .\containerd.exe config default | Out-File config.toml -Encoding ascii
-
-   # 설정을 검토한다. 설정에 따라 다음을 조정할 수 있다.
-   # - sandbox_image (쿠버네티스 일시중지 이미지)
-   # - cni bin 폴더와 conf 폴더 위치
-   Get-Content config.toml
-
-   # (선택사항 - 그러나 적극 권장함) Windows 디펜더 검사에서 containerd 제외
-   Add-MpPreference -ExclusionProcess "$Env:ProgramFiles\containerd\containerd.exe"
-   ```
-
-3. containerd 실행
-
-   ```powershell
-   .\containerd.exe --register-service
-   Start-Service containerd
-   ```
-
-{{% /tab %}}
-{{< /tabs >}}
-
-#### `systemd` cgroup 드라이버의 사용 {#containerd-systemd}
+#### `systemd` cgroup 드라이버 환경 설정하기 {#containerd-systemd}
 
 `/etc/containerd/config.toml` 의 `systemd` cgroup 드라이버를 `runc` 에서 사용하려면, 다음과 같이 설정한다.
 
@@ -219,7 +186,7 @@ PowerShell 세션을 시작하고 `$Version`을 원하는 버전으로
     SystemdCgroup = true
 ```
 
-이 변경 사항을 적용하는 경우 containerd를 재시작한다.
+이 변경 사항을 적용하려면, containerd를 재시작한다.
 
 ```shell
 sudo systemctl restart containerd
@@ -232,176 +199,14 @@ kubeadm을 사용하는 경우,
 
 이 섹션은 CRI-O를 컨테이너 런타임으로 설치하는 필수적인 단계를 담고 있다.
 
-시스템에 CRI-O를 설치하기 위해서 다음의 커맨드를 사용한다.
-
-{{< note >}}
-CRI-O 메이저와 마이너 버전은 쿠버네티스 메이저와 마이너 버전이 일치해야 한다.
-더 자세한 정보는 [CRI-O 호환 매트릭스](https://github.com/cri-o/cri-o#compatibility-matrix-cri-o--kubernetes)를 본다.
-{{< /note >}}
-
-필수 구성 요소를 설치하고 구성한다.
-
-```shell
-# .conf 파일을 만들어 부팅 시 모듈을 로드한다
-cat <<EOF | sudo tee /etc/modules-load.d/crio.conf
-overlay
-br_netfilter
-EOF
-
-sudo modprobe overlay
-sudo modprobe br_netfilter
-
-# 요구되는 sysctl 파라미터 설정, 이 설정은 재부팅 간에도 유지된다.
-cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf
-net.bridge.bridge-nf-call-iptables  = 1
-net.ipv4.ip_forward                 = 1
-net.bridge.bridge-nf-call-ip6tables = 1
-EOF
-
-sudo sysctl --system
-```
-
-{{< tabs name="tab-cri-cri-o-installation" >}}
-{{% tab name="Debian" %}}
-
-다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 `OS` 를
-아래의 표에서 적절한 필드로 설정한다.
-
-| 운영 체제          | `$OS`             |
-| ---------------- | ----------------- |
-| Debian Unstable  | `Debian_Unstable` |
-| Debian Testing   | `Debian_Testing`  |
-
-<br />
-그런 다음, `$VERSION` 을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
-예를 들어, CRI-O 1.20을 설치하려면, `VERSION=1.20` 로 설정한다.
-사용자의 설치를 특정 릴리스에 고정할 수 있다.
-버전 1.20.0을 설치하려면, `VERSION=1.20:1.20.0` 을 설정한다.
-<br />
-
-그런 다음, 아래를 실행한다.
-```shell
-cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
-deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /
-EOF
-cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.list
-deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$VERSION/$OS/ /
-EOF
-
-curl -L https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
-curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
-
-sudo apt-get update
-sudo apt-get install cri-o cri-o-runc
-```
-
-{{% /tab %}}
-
-{{% tab name="Ubuntu" %}}
-
-다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 `OS` 를
-아래의 표에서 적절한 필드로 설정한다.
-
-| 운영 체제          | `$OS`             |
-| ---------------- | ----------------- |
-| Ubuntu 20.04     | `xUbuntu_20.04`   |
-| Ubuntu 19.10     | `xUbuntu_19.10`   |
-| Ubuntu 19.04     | `xUbuntu_19.04`   |
-| Ubuntu 18.04     | `xUbuntu_18.04`   |
-
-<br />
-그런 다음, `$VERSION` 을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
-예를 들어, CRI-O 1.20을 설치하려면, `VERSION=1.20` 로 설정한다.
-사용자의 설치를 특정 릴리스에 고정할 수 있다.
-버전 1.20.0을 설치하려면, `VERSION=1.20:1.20.0` 을 설정한다.
-<br />
-
-그런 다음, 아래를 실행한다.
-```shell
-cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable.list
-deb https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/ /
-EOF
-cat <<EOF | sudo tee /etc/apt/sources.list.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.list
-deb http://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable:/cri-o:/$VERSION/$OS/ /
-EOF
-
-curl -L https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers.gpg add -
-curl -L https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/Release.key | sudo apt-key --keyring /etc/apt/trusted.gpg.d/libcontainers-cri-o.gpg add -
-
-apt-get update
-apt-get install cri-o cri-o-runc
-```
-{{% /tab %}}
-
-{{% tab name="CentOS" %}}
-
-다음의 운영 체제에서 CRI-O를 설치하려면, 환경 변수 `OS` 를
-아래의 표에서 적절한 필드로 설정한다.
-
-| 운영 체제          | `$OS`             |
-| ---------------- | ----------------- |
-| Centos 8         | `CentOS_8`        |
-| Centos 8 Stream  | `CentOS_8_Stream` |
-| Centos 7         | `CentOS_7`        |
-
-<br />
-그런 다음, `$VERSION` 을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
-예를 들어, CRI-O 1.20을 설치하려면, `VERSION=1.20` 로 설정한다.
-사용자의 설치를 특정 릴리스에 고정할 수 있다.
-버전 1.20.0을 설치하려면, `VERSION=1.20:1.20.0` 을 설정한다.
-<br />
-
-그런 다음, 아래를 실행한다.
-```shell
-sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable.repo https://download.opensuse.org/repositories/devel:/kubic:/libcontainers:/stable/$OS/devel:kubic:libcontainers:stable.repo
-sudo curl -L -o /etc/yum.repos.d/devel:kubic:libcontainers:stable:cri-o:$VERSION.repo https://download.opensuse.org/repositories/devel:kubic:libcontainers:stable:cri-o:$VERSION/$OS/devel:kubic:libcontainers:stable:cri-o:$VERSION.repo
-sudo yum install cri-o
-```
-
-{{% /tab %}}
-
-{{% tab name="openSUSE Tumbleweed" %}}
-
-```shell
-sudo zypper install cri-o
-```
-{{% /tab %}}
-{{% tab name="Fedora" %}}
-
-`$VERSION` 을 사용자의 쿠버네티스 버전과 일치하는 CRI-O 버전으로 설정한다.
-예를 들어, CRI-O 1.20을 설치하려면, `VERSION=1.20` 로 설정한다.
-
-사용할 수 있는 버전을 찾으려면 다음을 실행한다.
-```shell
-sudo dnf module list cri-o
-```
-CRI-O는 Fedora에서 특정 릴리스를 고정하여 설치하는 방법은 지원하지 않는다.
-
-그런 다음, 아래를 실행한다.
-```shell
-sudo dnf module enable cri-o:$VERSION
-sudo dnf install cri-o
-```
-
-{{% /tab %}}
-{{< /tabs >}}
-
-CRI-O를 시작한다.
-
-```shell
-sudo systemctl daemon-reload
-sudo systemctl enable crio --now
-```
-
-자세한 사항은 [CRI-O 설치 가이드](https://github.com/cri-o/cri-o/blob/master/install.md)를
-참고한다.
-
+CRI-O를 설치하려면, [CRI-O 설치 방법](https://github.com/cri-o/cri-o/blob/main/install.md#readme)을 따른다.
 
 #### cgroup 드라이버
 
-CRI-O는 기본적으로 systemd cgroup 드라이버를 사용한다. `cgroupfs` cgroup 드라이버로
-전환하려면, `/etc/crio/crio.conf` 를 수정하거나 `/etc/crio/crio.conf.d/02-cgroup-manager.conf` 에
-드롭-인(drop-in) 구성을 배치한다. 예를 들면, 다음과 같다.
+CRI-O는 기본적으로 systemd cgroup 드라이버를 사용하며, 이는 대부분의 경우에 잘 동작할 것이다. 
+`cgroupfs` cgroup 드라이버로 전환하려면, `/etc/crio/crio.conf` 를 수정하거나 
+`/etc/crio/crio.conf.d/02-cgroup-manager.conf` 에 드롭-인(drop-in) 구성을 배치한다. 
+예를 들면 다음과 같다.
 
 ```toml
 [crio.runtime]
@@ -410,27 +215,27 @@ cgroup_manager = "cgroupfs"
 ```
 
 또한 `cgroupfs` 와 함께 CRI-O를 사용할 때 `pod` 값으로 설정해야 하는
-변경된 `conmon_cgroup` 에 유의한다. 일반적으로 kubelet(일반적으로 kubeadm을 통해 수행됨)과
+변경된 `conmon_cgroup` 에 유의해야 한다. 일반적으로 kubelet(일반적으로 kubeadm을 통해 수행됨)과
 CRI-O의 cgroup 드라이버 구성을 동기화 상태로
 유지해야 한다.
 
+CRI-O의 경우, CRI 소켓은 기본적으로 `/var/run/crio/crio.sock`이다.
+
 ### 도커 엔진 {#docker}
 
-도커 엔진은 모든 것을 시작한 컨테이너 런타임이다. 
-이전에는 간단히 도커로 알려졌던 이 컨테이너 런타임은 다양한 형태로 사용할 수 있다.
-[도커 엔진 설치하기](https://docs.docker.com/engine/install/)에서 
-이 런타임 설치의 옵션들을 확인할 수 있다.
+{{< note >}}
+아래의 지침은 
+당신이 도커 엔진과 쿠버네티스를 통합하는 데 
+[`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) 어댑터를 사용하고 있다고 가정한다.
+{{< /note >}}
 
-도커 엔진은 쿠버네티스 {{< skew currentVersion >}}와 직접 호환되며, 이는 사용 중단된 `dockershim` 컴포넌트를 활용하기 때문에 가능하다. 
-더 많은 정보와 맥락을 보려면, [Dockershim 사용 중단 FAQ](/dockershim)를 참고한다.
+1. 각 노드에서, [도커 엔진 설치하기](https://docs.docker.com/engine/install/#server)에 따라 
+   리눅스 배포판에 맞게 도커를 설치한다.
 
-지원되는 {{< glossary_tooltip term_id="cri" text="컨테이너 런타임 인터페이스">}}(CRI)를 통해 
-쿠버네티스에서 도커 엔진을 사용할 수 있게 해 주는 
-써드파티 어댑터를 찾아볼 수도 있다.
+2. [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) 소스 코드 저장소의 지침대로 
+   `cri-dockerd`를 설치한다.
 
-다음 CRI 어댑터는 도커 엔진과 함께 동작하도록 설계되었다.
-
-- 미란티스의 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd)
+`cri-dockerd`의 경우, CRI 소켓은 기본적으로 `/run/cri-dockerd.sock`이다.
 
 ### 미란티스 컨테이너 런타임 {#mcr}
 
@@ -439,3 +244,14 @@ CRI-O의 cgroup 드라이버 구성을 동기화 상태로
 
 오픈소스인 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) 컴포넌트를 이용하여 쿠버네티스에서 미란티스 컨테이너 런타임을 사용할 수 있으며, 
 이 컴포넌트는 MCR에 포함되어 있다.
+
+미란티스 컨테이너 런타임을 설치하는 방법에 대해 더 알아보려면, 
+[MCR 배포 가이드](https://docs.mirantis.com/mcr/20.10/install.html)를 참고한다.
+
+CRI 소켓의 경로를 찾으려면 
+`cri-docker.socket`라는 이름의 systemd 유닛을 확인한다.
+
+## {{% heading "whatsnext" %}}
+
+컨테이너 런타임과 더불어, 클러스터에는 
+동작하는 [네트워크 플러그인](/ko/docs/concepts/cluster-administration/networking/#쿠버네티스-네트워크-모델의-구현-방법)도 필요하다.
diff --git a/content/ko/docs/setup/production-environment/tools/kops.md b/content/ko/docs/setup/production-environment/tools/kops.md
index 3bfb49380e8..d4ec7f47def 100644
--- a/content/ko/docs/setup/production-environment/tools/kops.md
+++ b/content/ko/docs/setup/production-environment/tools/kops.md
@@ -231,7 +231,7 @@ kops는 클러스터에 사용될 설정을 생성할것이다. 여기서 주의
 ## {{% heading "whatsnext" %}}
 
 
-* 쿠버네티스 [개념](/ko/docs/concepts/) 과 [`kubectl`](/ko/docs/reference/kubectl/overview/)에 대해 더 알아보기.
+* 쿠버네티스 [개념](/ko/docs/concepts/) 과 [`kubectl`](/ko/docs/reference/kubectl/)에 대해 더 알아보기.
 * 튜토리얼, 모범사례 및 고급 구성 옵션에 대한 `kops` [고급 사용법](https://kops.sigs.k8s.io/)에 대해 더 자세히 알아본다.
 * 슬랙(Slack)에서 `kops` 커뮤니티 토론을 할 수 있다: [커뮤니티 토론](https://github.com/kubernetes/kops#other-ways-to-communicate-with-the-contributors)
 * 문제를 해결하거나 이슈를 제기하여 `kops` 에 기여한다. [깃헙 이슈](https://github.com/kubernetes/kops/issues)
diff --git a/content/ko/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md b/content/ko/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
index 51d8009e838..cfba872e2a2 100644
--- a/content/ko/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
+++ b/content/ko/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
@@ -24,9 +24,12 @@ kubeadm의 CoreDNS 디플로이먼트 사용자 정의는 현재 제공되지 
 더 자세한 사항은 [kubeadm에서 초기화 단계 사용하기](/docs/reference/setup-tools/kubeadm/kubeadm-init/#init-phases)을 참고한다.
 {{< /note >}}
 
-<!-- body -->
+{{< note >}}
+이미 생성된 클러스터를 다시 구성하려면 
+[kubeadm 클러스터 다시 구성하기](/docs/tasks/administer-cluster/kubeadm/kubeadm-reconfigure/)를 참고한다.
+{{< /note >}}
 
-{{< feature-state for_k8s_version="v1.12" state="stable" >}}
+<!-- body -->
 
 ## `ClusterConfiguration`의 플래그로 컨트롤 플레인 사용자 정의하기
 
diff --git a/content/ko/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md b/content/ko/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
index 71520bf0e8d..6d11250ac85 100644
--- a/content/ko/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
+++ b/content/ko/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
@@ -15,7 +15,6 @@ card:
 이 설치 프로세스를 수행한 후 kubeadm으로 클러스터를 만드는 방법에 대한 자세한 내용은 [kubeadm을 사용하여 클러스터 생성하기](/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/) 페이지를 참고한다.
 
 
-
 ## {{% heading "prerequisites" %}}
 
 
@@ -69,61 +68,69 @@ sudo sysctl --system
 ## 필수 포트 확인 {#check-required-ports}
 [필수 포트들](/ko/docs/reference/ports-and-protocols/)은
 쿠버네티스 컴포넌트들이 서로 통신하기 위해서 열려 있어야
-한다. 다음과 같이 telnet 명령을 이용하여 포트가 열려 있는지 확인해 볼 수 있다.
+한다. 다음과 같이 netcat과 같은 도구를 이용하여 포트가 열려 있는지 확인해 볼 수 있다.
 
 ```shell
-telnet 127.0.0.1 6443
+nc 127.0.0.1 6443
 ```
 
 사용자가 사용하는 파드 네트워크 플러그인(아래 참조)은 특정 포트를 열어야 할 수도
 있다. 이것은 각 파드 네트워크 플러그인마다 다르므로, 필요한 포트에 대한
 플러그인 문서를 참고한다.
 
-## 런타임 설치 {#installing-runtime}
+## 컨테이너 런타임 설치 {#installing-runtime}
 
 파드에서 컨테이너를 실행하기 위해, 쿠버네티스는
 {{< glossary_tooltip term_id="container-runtime" text="컨테이너 런타임" >}}을 사용한다.
 
-{{< tabs name="container_runtime" >}}
-{{% tab name="리눅스 노드" %}}
-
 기본적으로, 쿠버네티스는
 {{< glossary_tooltip term_id="cri" text="컨테이너 런타임 인터페이스">}}(CRI)를
 사용하여 사용자가 선택한 컨테이너 런타임과 인터페이스한다.
 
-런타임을 지정하지 않으면, kubeadm은 잘 알려진 유닉스 도메인 소켓 목록을 검색하여
+런타임을 지정하지 않으면, kubeadm은 잘 알려진 엔드포인트를 스캐닝하여 
 설치된 컨테이너 런타임을 자동으로 감지하려고 한다.
-다음 표에는 컨테이너 런타임 및 관련 소켓 경로가 나열되어 있다.
 
-{{< table caption = "컨테이너 런타임과 소켓 경로" >}}
-| 런타임       | 유닉스 도메인 소켓 경로                |
-|------------|-----------------------------------|
-| 도커        | `/var/run/dockershim.sock`            |
-| containerd | `/run/containerd/containerd.sock` |
-| CRI-O      | `/var/run/crio/crio.sock`         |
+컨테이너 런타임이 여러 개 감지되거나 하나도 감지되지 않은 경우, 
+kubeadm은 에러를 반환하고 사용자가 어떤 것을 사용할지를 명시하도록 요청할 것이다.
+
+더 많은 정보는 
+[컨테이너 런타임](/ko/docs/setup/production-environment/container-runtimes/)을 참고한다.
+
+{{< note >}}
+도커 엔진은 컨테이너 런타임이 쿠버네티스와 호환되기 위한 요구 사항인 
+[CRI](/ko/docs/concepts/architecture/cri/)를 만족하지 않는다. 
+이러한 이유로, 추가 서비스인 [cri-dockerd](https://github.com/Mirantis/cri-dockerd)가 설치되어야 한다. 
+cri-dockerd는 쿠버네티스 버전 1.24부터 kubelet에서 [제거](/dockershim/)된 
+기존 내장 도커 엔진 지원을 기반으로 한 프로젝트이다.
+{{< /note >}}
+
+아래 표는 지원 운영 체제에 대한 알려진 엔드포인트를 담고 있다.
+
+{{< tabs name="container_runtime" >}}
+{{% tab name="리눅스" %}}
+
+{{< table >}}
+| 런타임                            | 유닉스 도메인 소켓 경로                   |
+|------------------------------------|----------------------------------------------|
+| containerd                         | `unix:///var/run/containerd/containerd.sock` |
+| CRI-O                              | `unix:///var/run/crio/crio.sock`             |
+| 도커 엔진 (cri-dockerd 사용)  | `unix:///var/run/cri-dockerd.sock`           |
 {{< /table >}}
 
-<br />
-도커와 containerd가 모두 감지되면 도커가 우선시된다. 이것이 필요한 이유는 도커 18.09에서
-도커만 설치한 경우에도 containerd와 함께 제공되므로 둘 다 감지될 수 있기
-때문이다.
-다른 두 개 이상의 런타임이 감지되면, kubeadm은 오류와 함께 종료된다.
-
-kubelet은 빌트인 `dockershim` CRI 구현을 통해 도커와 통합된다.
-
-자세한 내용은 [컨테이너 런타임](/ko/docs/setup/production-environment/container-runtimes/)을
-참고한다.
 {{% /tab %}}
-{{% tab name="다른 운영 체제" %}}
-기본적으로, kubeadm은 컨테이너 런타임으로 {{< glossary_tooltip term_id="docker" >}}를 사용한다.
-kubelet은 빌트인 `dockershim` CRI 구현을 통해 도커와 통합된다.
 
-자세한 내용은 [컨테이너 런타임](/ko/docs/setup/production-environment/container-runtimes/)을
-참고한다.
+{{% tab name="윈도우" %}}
+
+{{< table >}}
+| 런타임                            | 윈도우 네임드 파이프(named pipe) 경로                   |
+|------------------------------------|----------------------------------------------|
+| containerd                         | `npipe:////./pipe/containerd-containerd`     |
+| 도커 엔진 (cri-dockerd 사용)  | `npipe:////./pipe/cri-dockerd`               |
+{{< /table >}}
+
 {{% /tab %}}
 {{< /tabs >}}
 
-
 ## kubeadm, kubelet 및 kubectl 설치
 
 모든 머신에 다음 패키지들을 설치한다.
@@ -217,6 +224,10 @@ sudo systemctl enable --now kubelet
 
   - 구성 방법을 알고 있는 경우 SELinux를 활성화된 상태로 둘 수 있지만 kubeadm에서 지원하지 않는 설정이 필요할 수 있다.
 
+  - 사용 중인 레드햇 배포판이 `basearch`를 해석하지 못하여 `baseurl`이 실패하면, `\$basearch`를 당신의 컴퓨터의 아키텍처로 치환한다.
+    `uname -m` 명령을 실행하여 해당 값을 확인한다.
+    예를 들어, `x86_64`에 대한 `baseurl` URL은 `https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64` 이다.
+
 {{% /tab %}}
 {{% tab name="패키지 매니저를 사용하지 않는 경우" %}}
 CNI 플러그인 설치(대부분의 파드 네트워크에 필요)
diff --git a/content/ko/docs/setup/production-environment/tools/kubespray.md b/content/ko/docs/setup/production-environment/tools/kubespray.md
index 598ad326099..16cae936fab 100644
--- a/content/ko/docs/setup/production-environment/tools/kubespray.md
+++ b/content/ko/docs/setup/production-environment/tools/kubespray.md
@@ -13,10 +13,10 @@ Kubespray는 [Ansible](https://docs.ansible.com/) 플레이북, [인벤토리](h
 * 고가용성을 지닌 클러스터
 * 구성할 수 있는 속성들
 * 대부분의 인기있는 리눅스 배포판들에 대한 지원
-    * Ubuntu 16.04, 18.04, 20.04
+    * Ubuntu 16.04, 18.04, 20.04, 22.04
     * CentOS/RHEL/Oracle Linux 7, 8
     * Debian Buster, Jessie, Stretch, Wheezy
-    * Fedora 31, 32
+    * Fedora 34, 35
     * Fedora CoreOS
     * openSUSE Leap 15
     * Flatcar Container Linux by Kinvolk
@@ -33,7 +33,7 @@ Kubespray는 [Ansible](https://docs.ansible.com/) 플레이북, [인벤토리](h
 
 언더레이(underlay) [요건](https://github.com/kubernetes-sigs/kubespray#requirements)을 만족하는 프로비전 한다.
 
-* **Ansible의 명령어를 실행하기 위해 Ansible v 2.9와 Python netaddr 라이브러리가 머신에 설치되어 있어야 한다**
+* **Ansible의 명령어를 실행하기 위해 Ansible v 2.11와 Python netaddr 라이브러리가 머신에 설치되어 있어야 한다**
 * **Ansible 플레이북을 실행하기 위해 2.11 (혹은 그 이상) 버전의 Jinja가 필요하다**
 * 타겟 서버들은 docker 이미지를 풀(pull) 하기 위해 반드시 인터넷에 접속할 수 있어야 한다. 아니라면, 추가적인 설정을 해야 한다 ([오프라인 환경 확인하기](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
 * 타겟 서버들의 **IPv4 포워딩**이 활성화되어야 한다
diff --git a/content/ko/docs/setup/production-environment/windows/intro-windows-in-kubernetes.md b/content/ko/docs/setup/production-environment/windows/intro-windows-in-kubernetes.md
index d1a16728e14..18234f97aa0 100644
--- a/content/ko/docs/setup/production-environment/windows/intro-windows-in-kubernetes.md
+++ b/content/ko/docs/setup/production-environment/windows/intro-windows-in-kubernetes.md
@@ -830,7 +830,7 @@ DNS, 라우트, 메트릭과 같은 많은 구성은 리눅스에서와 같이 /
 [RunAsUsername](/ko/docs/tasks/configure-pod-container/configure-runasusername/)은
 컨테이너 프로세스를 노드 기본 사용자로 실행하기 위해 윈도우 파드 또는
 컨테이너에 지정할 수 있다. 이것은
-[RunAsUser](/ko/docs/concepts/policy/pod-security-policy/#사용자-및-그룹)와 거의 동일하다.
+[RunAsUser](/ko/docs/concepts/security/pod-security-policy/#사용자-및-그룹)와 거의 동일하다.
 
 SELinux, AppArmor, Seccomp, 기능(POSIX 기능)과 같은
 리눅스 특유의 파드 시큐리티 컨텍스트 권한은 지원하지 않는다.
@@ -997,8 +997,8 @@ PodSecurityContext 필드는 윈도우에서 작동하지 않는다. 참조를 
 ## 도움 받기 및 트러블슈팅 {#troubleshooting}
 
 쿠버네티스 클러스터 트러블슈팅을 위한 기본
-도움말은 이
-[섹션](/ko/docs/tasks/debug-application-cluster/troubleshooting/)에서 먼저 찾아야 한다. 이
+도움말은 
+[이 섹션](/ko/docs/tasks/debug/debug-cluster/)에서 먼저 찾아야 한다. 이
 섹션에는 몇 가지 추가 윈도우 관련 트러블슈팅 도움말이 포함되어 있다.
 로그는 쿠버네티스에서 트러블슈팅하는데 중요한 요소이다. 다른
 기여자로부터 트러블슈팅 지원을 구할 때마다 이를 포함해야
diff --git a/content/ko/docs/setup/production-environment/windows/user-guide-windows-containers.md b/content/ko/docs/setup/production-environment/windows/user-guide-windows-containers.md
index 3331c072163..eeeb6bc09b2 100644
--- a/content/ko/docs/setup/production-environment/windows/user-guide-windows-containers.md
+++ b/content/ko/docs/setup/production-environment/windows/user-guide-windows-containers.md
@@ -29,7 +29,7 @@ weight: 75
 포함하는 쿠버네티스 클러스터를 생성한다.
 * 쿠버네티스에서 서비스와 워크로드를 생성하고 배포하는 것은 리눅스나 윈도우 컨테이너
 모두 비슷한 방식이라는 것이 중요하다.
-[Kubectl 커맨드](/ko/docs/reference/kubectl/overview/)로 클러스터에 접속하는 것은 동일하다.
+[Kubectl 커맨드](/ko/docs/reference/kubectl/)로 클러스터에 접속하는 것은 동일하다.
 아래 단원의 예시를 통해 윈도우 컨테이너와 좀 더 빨리 친숙해질 수 있다.
 
 ## 시작하기: 윈도우 컨테이너 배포하기
@@ -160,21 +160,28 @@ GMSA로 구성한 컨테이너는 GMSA로 구성된 신원을 들고 있는 동
 노드셀렉터(nodeSelector)의 조합을 이용해야 한다.
 이것은 윈도우 사용자에게만 부담을 줄 것으로 보인다. 아래는 권장되는 방식의 개요인데,
 이것의 주요 목표 중에 하나는 이 방식이 기존 리눅스 워크로드와 호환되어야 한다는 것이다.
- {{< note >}}
+
+
 `IdentifyPodOS` [기능 게이트](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화되어 있으면, 
 파드의 컨테이너가 어떤 운영 체제용인지를 파드의 `.spec.os.name`에 설정할 수 있다(그리고 설정해야 한다). 
 리눅스 컨테이너를 실행하는 파드에는 `.spec.os.name`을 `linux`로 설정한다. 
 윈도우 컨테이너를 실행하는 파드에는 `.spec.os.name`을 
 `windows`로 설정한다.
 
-스케줄러는 파드를 노드에 할당할 때 `.spec.os.name` 필드의 값을 사용하지 않는다. 
+{{< note >}}
+1.24부터, `IdentifyPodOS` 기능은 베타 단계이며 기본적으로 활성화되어 있다.
+{{< /note >}}
+
+스케줄러는 파드를 노드에 할당할 때 
+`.spec.os.name` 필드의 값을 사용하지 않는다. 
 컨트롤 플레인이 파드를 적절한 운영 체제가 실행되고 있는 노드에 배치하도록 하려면, 
 [파드를 노드에 할당](/ko/docs/concepts/scheduling-eviction/assign-pod-node/)하는 
 일반적인 쿠버네티스 메카니즘을 사용해야 한다. 
+
 `.spec.os.name` 필드는 윈도우 파드의 스케줄링에는 영향을 미치지 않기 때문에, 
 윈도우 파드가 적절한 윈도우 노드에 할당되도록 하려면 테인트, 
 톨러레이션 및 노드 셀렉터가 여전히 필요하다.
- {{< /note >}}
+
 ### 특정 OS 워크로드를 적절한 컨테이너 호스트에서 처리하도록 보장하기
 
 사용자는 테인트와 톨러레이션을 이용하여 윈도우 컨테이너가 적절한 호스트에서 스케줄링되기를 보장할 수 있다.
diff --git a/content/ko/docs/tasks/administer-cluster/access-cluster-services.md b/content/ko/docs/tasks/access-application-cluster/access-cluster-services.md
similarity index 100%
rename from content/ko/docs/tasks/administer-cluster/access-cluster-services.md
rename to content/ko/docs/tasks/access-application-cluster/access-cluster-services.md
diff --git a/content/ko/docs/tasks/access-application-cluster/access-cluster.md b/content/ko/docs/tasks/access-application-cluster/access-cluster.md
index 46003991ae8..ab884150aaa 100644
--- a/content/ko/docs/tasks/access-application-cluster/access-cluster.md
+++ b/content/ko/docs/tasks/access-application-cluster/access-cluster.md
@@ -27,8 +27,8 @@ kubectl config view
 ```
 
 [여기](/ko/docs/reference/kubectl/cheatsheet/)에서 
-kubectl 사용 예시를 볼 수 있으며, 완전한 문서는
-[kubectl 매뉴얼](/ko/docs/reference/kubectl/overview/)에서 확인할 수 있다.
+`kubectl` 사용 예시를 볼 수 있으며, 완전한 문서는
+[kubectl 레퍼런스](/ko/docs/reference/kubectl/)에서 확인할 수 있다.
 
 ## REST API에 직접 접근
 
@@ -86,12 +86,36 @@ curl http://localhost:8080/api/
 
 ### kubectl proxy를 사용하지 않음
 
-기본 서비스 어카운트의 토큰을 얻어내려면 `kubectl describe secret...`을 grep/cut과 함께 사용한다.
+`kubectl apply` 및 `kubectl describe secret...` 명령과 grep/cut을 활용하여 기본 서비스 어카운트의 토큰을 생성한다.
+
+먼저, 기본 서비스어카운트를 위한 토큰을 요청하는 시크릿을 생성한다.
+
+```shell
+kubectl apply -f - <<EOF
+apiVersion: v1
+kind: Secret
+metadata:
+  name: default-token
+  annotations:
+    kubernetes.io/service-account.name: default
+type: kubernetes.io/service-account-token
+EOF
+```
+
+다음으로, 토큰 컨트롤러가 해당 시크릿에 토큰을 채우기를 기다린다.
+
+```shell
+while ! kubectl describe secret default-token | grep -E '^token' >/dev/null; do
+  echo "waiting for token..." >&2
+  sleep 1
+done
+```
+
+결과를 캡처하여 생성된 토큰을 사용한다.
 
 ```shell
 APISERVER=$(kubectl config view --minify | grep server | cut -f 2- -d ":" | tr -d " ")
-SECRET_NAME=$(kubectl get secrets | grep ^default | cut -f1 -d ' ')
-TOKEN=$(kubectl describe secret $SECRET_NAME | grep -E '^token' | cut -f2 -d':' | tr -d " ")
+TOKEN=$(kubectl describe secret default-token | grep -E '^token' | cut -f2 -d':' | tr -d " ")
 
 curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
 ```
@@ -117,8 +141,7 @@ curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
 
 ```shell
 APISERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')
-SECRET_NAME=$(kubectl get serviceaccount default -o jsonpath='{.secrets[0].name}')
-TOKEN=$(kubectl get secret $SECRET_NAME -o jsonpath='{.data.token}' | base64 --decode)
+TOKEN=$(kubectl get secret default-token -o jsonpath='{.data.token}' | base64 --decode)
 
 curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
 ```
@@ -181,40 +204,17 @@ Python 클라이언트는 apiserver의 위치지정과 인증에 kubectl CLI와
 
 ## 파드에서 API 접근
 
-파드에서 API를 접속한다면 apiserver의
-위치지정과 인증은 다소 다르다.
+파드에서 API에 접근하는 경우, 
+API 서버를 찾고 인증하는 방식이 약간 다를 수 있다.
 
-파드 내에서 apiserver의 위치를 지정하는데 추천하는 방식은
-`kubernetes.default.svc` DNS 네임을 사용하는 것이다.
-이 DNS 네임은 apiserver로 라우팅되는 서비스 IP로 resolve된다.
-
-apiserver 인증에 추천되는 방식은
-[서비스 어카운트](/docs/tasks/configure-pod-container/configure-service-account/)
-인증정보를 사용하는 것이다. kube-system에 의해 파드는 서비스 어카운트와 연계되며
-해당 서비스 어카운트의 인증정보(토큰)은 파드 내 각 컨테이너의 파일시스템 트리의
-`/var/run/secrets/kubernetes.io/serviceaccount/token`에 위치한다.
-
-사용 가능한 경우, 인증서 번들은 각 컨테이너 내 파일시스템 트리의
-`/var/run/secrets/kubernetes.io/serviceaccount/ca.crt`에 위치하며
-apiserver의 인증서 제공을 검증하는데 사용되어야 한다.
-
-마지막으로 네임스페이스 한정의 API 조작에 사용되는 기본 네임스페이스는 각 컨테이터 내의
-`/var/run/secrets/kubernetes.io/serviceaccount/namespace` 파일로 존재한다.
-
-파드 내에서 API에 접근하는데 권장되는 방식은 다음과 같다.
-
-  - 파드의 sidecar 컨테이너 내에서 `kubectl proxy`를 실행하거나,
-    컨테이너 내부에서 백그라운드 프로세스로 실행한다.
-    이는 쿠버네티스 API를 파드의 localhost 인터페이스로 프록시하여
-    해당 파드의 컨테이너 내에 다른 프로세스가 API에 접속할 수 있게 해준다.
-  - Go 클라이언트 라이브러리를 이용하여 `rest.InClusterConfig()`와 `kubernetes.NewForConfig()` 함수들을 사용하도록 클라이언트를 만든다.
-    이는 apiserver의 위치지정과 인증을 처리한다. [예제](https://git.k8s.io/client-go/examples/in-cluster-client-configuration/main.go)
-
-각각의 사례에서 apiserver와의 보안 통신에 파드의 인증정보가 사용된다.
+더 자세한 내용은 
+[파드 내에서 쿠버네티스 API에 접근](/ko/docs/tasks/run-application/access-api-from-pod/)을 참조한다.
 
 ## 클러스터에서 실행되는 서비스로 접근
 
-이전 섹션에서는 쿠버네티스 API 서버에 연결하는 방법을 소개하였다. 쿠버네티스 클러스터에서 실행되는 다른 서비스에 연결하는 방법은 [클러스터 서비스에 접근](/ko/docs/tasks/administer-cluster/access-cluster-services/) 페이지를 참조한다.
+이전 섹션에서는 쿠버네티스 API 서버에 연결하는 방법을 소개하였다. 
+쿠버네티스 클러스터에서 실행되는 다른 서비스에 연결하는 방법은 
+[클러스터 서비스에 접근](/ko/docs/tasks/access-application-cluster/access-cluster-services/) 페이지를 참조한다.
 
 ## redirect 요청하기
 
diff --git a/content/ko/docs/tasks/access-application-cluster/ingress-minikube.md b/content/ko/docs/tasks/access-application-cluster/ingress-minikube.md
index a59c25d3907..f4d24f4e492 100644
--- a/content/ko/docs/tasks/access-application-cluster/ingress-minikube.md
+++ b/content/ko/docs/tasks/access-application-cluster/ingress-minikube.md
@@ -240,13 +240,13 @@ storage-provisioner                         1/1       Running   0          2m
 하단에 다음 줄을 추가한다.
 
     ```yaml
-          - path: /v2
-            pathType: Prefix
-            backend:
-              service:
-                name: web2
-                port:
-                  number: 8080
+              - path: /v2
+                pathType: Prefix
+                backend:
+                  service:
+                    name: web2
+                    port:
+                      number: 8080
     ```
 
 1. 변경 사항을 적용한다.
diff --git a/content/ko/docs/tasks/access-application-cluster/web-ui-dashboard.md b/content/ko/docs/tasks/access-application-cluster/web-ui-dashboard.md
index ae1cf08fdd1..30d72d40159 100644
--- a/content/ko/docs/tasks/access-application-cluster/web-ui-dashboard.md
+++ b/content/ko/docs/tasks/access-application-cluster/web-ui-dashboard.md
@@ -2,6 +2,8 @@
 
 
 
+
+
 title: 쿠버네티스 대시보드를 배포하고 접속하기
 description: >-
   웹 UI(쿠버네티스 대시보드)를 배포하고 접속한다.
@@ -35,7 +37,7 @@ card:
 대시보드 UI는 기본으로 배포되지 않는다. 배포하려면 다음 커맨드를 실행한다.
 
 ```
-kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.4.0/aio/deploy/recommended.yaml
+kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.5.0/aio/deploy/recommended.yaml
 ```
 
 ## 대시보드 UI 접근
diff --git a/content/ko/docs/tasks/administer-cluster/access-cluster-api.md b/content/ko/docs/tasks/administer-cluster/access-cluster-api.md
index 329dcc8ed2c..3ea33818800 100644
--- a/content/ko/docs/tasks/administer-cluster/access-cluster-api.md
+++ b/content/ko/docs/tasks/administer-cluster/access-cluster-api.md
@@ -31,7 +31,7 @@ kubectl config view
 ```
 
 많은 [예제](https://github.com/kubernetes/examples/tree/master/)는 kubectl 사용에 대한 소개를
-제공한다. 전체 문서는 [kubectl 매뉴얼](/ko/docs/reference/kubectl/overview/)에 있다.
+제공한다. 전체 문서는 [kubectl 매뉴얼](/ko/docs/reference/kubectl/)에 있다.
 
 ### REST API에 직접 접근
 
@@ -95,8 +95,25 @@ export CLUSTER_NAME="some_server_name"
 # 클러스터 이름을 참조하는 API 서버를 가리킨다.
 APISERVER=$(kubectl config view -o jsonpath="{.clusters[?(@.name==\"$CLUSTER_NAME\")].cluster.server}")
 
+# 기본 서비스 어카운트용 토큰을 보관할 시크릿을 생성한다.
+kubectl apply -f - <<EOF
+apiVersion: v1
+kind: Secret
+metadata:
+  name: default-token
+  annotations:
+    kubernetes.io/service-account.name: default
+type: kubernetes.io/service-account-token
+EOF
+
+# 토큰 컨트롤러가 해당 시크릿에 토큰을 기록할 때까지 기다린다.
+while ! kubectl describe secret default-token | grep -E '^token' >/dev/null; do
+  echo "waiting for token..." >&2
+  sleep 1
+done
+
 # 토큰 값을 얻는다
-TOKEN=$(kubectl get secrets -o jsonpath="{.items[?(@.metadata.annotations['kubernetes\.io/service-account\.name']=='default')].data.token}"|base64 --decode)
+TOKEN=$(kubectl get secret default-token -o jsonpath='{.data.token}' | base64 --decode)
 
 # TOKEN으로 API 탐색
 curl -X GET $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
@@ -119,26 +136,6 @@ curl -X GET $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
 }
 ```
 
-`jsonpath` 방식을 사용한다.
-
-```shell
-APISERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')
-TOKEN=$(kubectl get secret $(kubectl get serviceaccount default -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode )
-curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
-{
-  "kind": "APIVersions",
-  "versions": [
-    "v1"
-  ],
-  "serverAddressByClientCIDRs": [
-    {
-      "clientCIDR": "0.0.0.0/0",
-      "serverAddress": "10.0.1.149:443"
-    }
-  ]
-}
-```
-
 위의 예는 `--insecure` 플래그를 사용한다. 이로 인해 MITM 공격이
 발생할 수 있다. kubectl이 클러스터에 접근하면 저장된 루트 인증서와
 클라이언트 인증서를 사용하여 서버에 접근한다. (`~/.kube` 디렉터리에
@@ -153,7 +150,7 @@ http 클라이언트가 루트 인증서를 사용하도록 하려면 특별한
 
 ### API에 프로그래밍 방식으로 접근
 
-쿠버네티스는 공식적으로 [Go](#go-client), [Python](#python-client), [Java](#java-client), [dotnet](#dotnet-client), [Javascript](#javascript-client) 및 [Haskell](#haskell-client) 용 클라이언트 라이브러리를 지원한다. 쿠버네티스 팀이 아닌 작성자가 제공하고 유지 관리하는 다른 클라이언트 라이브러리가 있다. 다른 언어에서 API에 접근하고 인증하는 방법에 대해서는 [클라이언트 라이브러리](/ko/docs/reference/using-api/client-libraries/)를 참고한다.
+쿠버네티스는 공식적으로 [Go](#go-client), [Python](#python-client), [Java](#java-client), [dotnet](#dotnet-client), [JavaScript](#javascript-client) 및 [Haskell](#haskell-client) 용 클라이언트 라이브러리를 지원한다. 쿠버네티스 팀이 아닌 작성자가 제공하고 유지 관리하는 다른 클라이언트 라이브러리가 있다. 다른 언어에서 API에 접근하고 인증하는 방법에 대해서는 [클라이언트 라이브러리](/ko/docs/reference/using-api/client-libraries/)를 참고한다.
 
 #### Go 클라이언트 {#go-client}
 
diff --git a/content/ko/docs/tasks/administer-cluster/change-pv-reclaim-policy.md b/content/ko/docs/tasks/administer-cluster/change-pv-reclaim-policy.md
index 2f663befecb..1c3b362a56e 100644
--- a/content/ko/docs/tasks/administer-cluster/change-pv-reclaim-policy.md
+++ b/content/ko/docs/tasks/administer-cluster/change-pv-reclaim-policy.md
@@ -7,14 +7,10 @@ content_type: task
 이 페이지는 쿠버네티스 퍼시트턴트볼륨(PersistentVolume)의 반환 정책을
 변경하는 방법을 보여준다.
 
-
 ## {{% heading "prerequisites" %}}
 
-
 {{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
 
-
-
 <!-- steps -->
 
 ## 왜 퍼시스턴트볼륨 반환 정책을 변경하는가?
@@ -33,55 +29,58 @@ content_type: task
 
 1. 사용자의 클러스터에서 퍼시스턴트볼륨을 조회한다.
 
-    ```shell
-    kubectl get pv
-    ```
+   ```shell
+   kubectl get pv
+   ```
 
-	결과는 아래와 같다.
+   결과는 아래와 같다.
 
-        NAME                                       CAPACITY   ACCESSMODES   RECLAIMPOLICY   STATUS    CLAIM             STORAGECLASS     REASON    AGE
-        pvc-b6efd8da-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim1    manual                     10s
-        pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim2    manual                     6s
-        pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim3    manual                     3s
+   ```none
+   NAME                                       CAPACITY   ACCESSMODES   RECLAIMPOLICY   STATUS    CLAIM             STORAGECLASS     REASON    AGE
+   pvc-b6efd8da-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim1    manual                     10s
+   pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim2    manual                     6s
+   pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim3    manual                     3s
+   ```
 
-	 이 목록은 동적으로 프로비저닝 된 볼륨을 쉽게 식별할 수 있도록
+   이 목록은 동적으로 프로비저닝 된 볼륨을 쉽게 식별할 수 있도록
    각 볼륨에 바인딩 되어 있는 퍼시스턴트볼륨클레임(PersistentVolumeClaim)의 이름도 포함한다.
 
 1. 사용자의 퍼시스턴트볼륨 중 하나를 선택한 후에 반환 정책을 변경한다.
 
-    ```shell
-    kubectl patch pv <your-pv-name> -p '{"spec":{"persistentVolumeReclaimPolicy":"Retain"}}'
-    ```
+   ```shell
+   kubectl patch pv <your-pv-name> -p '{"spec":{"persistentVolumeReclaimPolicy":"Retain"}}'
+   ```
 
-	`<your-pv-name>` 는 사용자가 선택한 퍼시스턴트볼륨의 이름이다.
+   여기서 `<your-pv-name>` 는 사용자가 선택한 퍼시스턴트볼륨의 이름이다.
 
-    {{< note >}}
-	윈도우에서는, 공백이 포함된 모든 JSONPath 템플릿에 _겹_ 따옴표를 사용해야 한다.(bash에 대해 위에서 표시된 홑 따옴표가 아니다.) 따라서 템플릿의 모든 표현식에서 홑 따옴표를 쓰거나, 이스케이프 처리된 겹 따옴표를 써야 한다. 예를 들면 다음과 같다.
+   {{< note >}}
+   윈도우에서는, 공백이 포함된 모든 JSONPath 템플릿에 _겹_ 따옴표를 사용해야 한다.
+   (bash에 대해 위에서 표시된 홑 따옴표가 아니다.) 
+   따라서 템플릿의 모든 표현식에서 홑 따옴표를 쓰거나, 이스케이프 처리된 겹 따옴표를 써야 한다. 예를 들면 다음과 같다.
 
-```cmd
-kubectl patch pv <your-pv-name> -p "{\"spec\":{\"persistentVolumeReclaimPolicy\":\"Retain\"}}"
-```
-
-    {{< /note >}}
+   ```cmd
+   kubectl patch pv <your-pv-name> -p "{\"spec\":{\"persistentVolumeReclaimPolicy\":\"Retain\"}}"
+   ```
+   {{< /note >}}
 
 1. 선택한 PersistentVolume이 올바른 정책을 갖는지 확인한다.
 
-    ```shell
-    kubectl get pv
-    ```
+   ```shell
+   kubectl get pv
+   ```
 
-	결과는 아래와 같다.
-
-        NAME                                       CAPACITY   ACCESSMODES   RECLAIMPOLICY   STATUS    CLAIM             STORAGECLASS     REASON    AGE
-        pvc-b6efd8da-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim1    manual                     40s
-        pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim2    manual                     36s
-        pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Retain          Bound     default/claim3    manual                     33s
-
-	위 결과에서, `default/claim3` 클레임과 바인딩 되어 있는 볼륨이 `Retain` 반환 정책을
-	갖는 것을 볼 수 있다. 사용자가 `default/claim3` 클레임을 삭제할 경우,
-	볼륨은 자동으로 삭제 되지 않는다.
+   결과는 아래와 같다.
 
+   ```none
+   NAME                                       CAPACITY   ACCESSMODES   RECLAIMPOLICY   STATUS    CLAIM             STORAGECLASS     REASON    AGE
+   pvc-b6efd8da-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim1    manual                     40s
+   pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Delete          Bound     default/claim2    manual                     36s
+   pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94   4Gi        RWO           Retain          Bound     default/claim3    manual                     33s
+   ```
 
+   위 결과에서, `default/claim3` 클레임과 바인딩 되어 있는 볼륨이 `Retain` 반환 정책을
+   갖는 것을 볼 수 있다. 사용자가 `default/claim3` 클레임을 삭제할 경우,
+   볼륨은 자동으로 삭제 되지 않는다.
 
 ## {{% heading "whatsnext" %}}
 
@@ -91,5 +90,7 @@ kubectl patch pv <your-pv-name> -p "{\"spec\":{\"persistentVolumeReclaimPolicy\"
 ### 레퍼런스 {#reference}
 
 * {{< api-reference page="config-and-storage-resources/persistent-volume-v1" >}}
-  * Pay attention to the 퍼시스턴트볼륨의 `.spec.persistentVolumeReclaimPolicy` [필드](docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec)에 주의한다.
+  * 퍼시스턴트볼륨의 `.spec.persistentVolumeReclaimPolicy` 
+    [필드](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec)에 
+    주의한다.
 * {{< api-reference page="config-and-storage-resources/persistent-volume-claim-v1" >}}
diff --git a/content/ko/docs/tasks/administer-cluster/coredns.md b/content/ko/docs/tasks/administer-cluster/coredns.md
index 414f681901f..820575365a9 100644
--- a/content/ko/docs/tasks/administer-cluster/coredns.md
+++ b/content/ko/docs/tasks/administer-cluster/coredns.md
@@ -1,4 +1,6 @@
 ---
+
+
 title: 서비스 디스커버리를 위해 CoreDNS 사용하기
 min-kubernetes-server-version: v1.9
 content_type: task
@@ -17,11 +19,14 @@ content_type: task
 
 ## CoreDNS 소개
 
-[CoreDNS](https://coredns.io)는 쿠버네티스 클러스터의 DNS 역할을 수행할 수 있는, 유연하고 확장 가능한 DNS 서버이다.
-쿠버네티스와 동일하게, CoreDNS 프로젝트도 {{< glossary_tooltip text="CNCF" term_id="cncf" >}}가 관리한다.
+[CoreDNS](https://coredns.io)는 쿠버네티스 클러스터의 DNS 역할을 수행할 수 있는, 
+유연하고 확장 가능한 DNS 서버이다.
+쿠버네티스와 동일하게, CoreDNS 프로젝트도 
+{{< glossary_tooltip text="CNCF" term_id="cncf" >}}가 관리한다.
 
-사용자는 기존 디플로이먼트인 kube-dns를 교체하거나, 클러스터를 배포하고 업그레이드하는 
-kubeadm과 같은 툴을 사용하여 클러스터 안의 kube-dns 대신 CoreDNS를 사용할 수 있다.
+사용자는 기존 디플로이먼트인 kube-dns를 교체하거나, 
+클러스터를 배포하고 업그레이드하는 kubeadm과 같은 툴을 사용하여 
+클러스터 안의 kube-dns 대신 CoreDNS를 사용할 수 있다.
 
 ## CoreDNS 설치
 
@@ -32,46 +37,43 @@ Kube-dns의 배포나 교체에 관한 매뉴얼은 [CoreDNS GitHub 프로젝트
 
 ### Kubeadm을 사용해 기존 클러스터 업그레이드하기
 
-쿠버네티스 버전 1.10 이상에서, `kube-dns` 를 사용하는 클러스터를 업그레이드하기 위하여
-`kubeadm` 을 사용할 때 CoreDNS로 전환할 수도 있다. 이 경우, `kubeadm` 은
-`kube-dns` 컨피그맵(ConfigMap)을 기반으로 스텁 도메인(stub domain), 업스트림 네임 서버의
-설정을 유지하며 CoreDNS 설정("Corefile")을 생성한다.
+쿠버네티스 버전 1.21에서, kubeadm은 DNS 애플리케이션으로서의 `kube-dns` 지원을 제거했다. 
+`kubeadm` v{{< skew currentVersion >}} 버전에서는, 
+DNS 애플리케이션으로 CoreDNS만이 지원된다.
 
-만약 kube-dns에서 CoreDNS로 이동하는 경우, 업그레이드 과정에서 기능 게이트의 `CoreDNS` 값을 `true` 로 설정해야 한다.
-예를 들어, `v1.11.0` 로 업그레이드 하는 경우는 다음과 같다.
-```
-kubeadm upgrade apply v1.11.0 --feature-gates=CoreDNS=true
-```
-
-쿠버네티스 1.13 이상에서 기능 게이트의 `CoreDNS` 항목은 제거되었으며, CoreDNS가 기본적으로 사용된다.
-
-1.11 미만 버전일 경우 업그레이드 과정에서 만들어진 파일이 Corefile을 **덮어쓴다**.
-**만약 컨피그맵을 사용자 정의한 경우, 기존의 컨피그맵을 저장해야 한다.** 새 컨피그맵이
-시작된 후에 변경 사항을 다시 적용해야 할 수도 있다.
-
-만약 쿠버네티스 1.11 이상 버전에서 CoreDNS를 사용하는 경우, 업그레이드 과정에서,
-기존의 Corefile이 유지된다.
-
-쿠버네티스 버전 1.21에서, kubeadm 의 `kube-dns` 지원 기능이 삭제되었다.
+`kube-dns`를 사용 중인 클러스터를 업그레이드하기 위하여 
+`kubeadm` 을 사용할 때 CoreDNS로 전환할 수 있다. 
+이 경우, `kubeadm` 은 `kube-dns` 컨피그맵(ConfigMap)을 기반으로 
+스텁 도메인(stub domain), 업스트림 네임 서버의 설정을 유지하며 CoreDNS 설정("Corefile")을 생성한다.
 
 ## CoreDNS 업그레이드하기
 
-CoreDNS는 쿠버네티스 1.9 버전부터 사용할 수 있다.
-쿠버네티스와 함께 제공되는 CoreDNS의 버전과 CoreDNS의 변경 사항은 [여기](https://github.com/coredns/deployment/blob/master/kubernetes/CoreDNS-k8s_version.md)에서 확인할 수 있다.
+[쿠버네티스에서의 CoreDNS 버전](https://github.com/coredns/deployment/blob/master/kubernetes/CoreDNS-k8s_version.md) 페이지에서, 
+쿠버네티스 각 버전에 대해 kubeadm이 설치하는 
+CoreDNS의 버전을 확인할 수 있다.
+
+CoreDNS만 업그레이드하고 싶거나 커스텀 이미지를 사용하고 싶은 경우, 
+CoreDNS를 수동으로 업그레이드할 수 있다. 
+[가이드라인 및 따라해보기](https://github.com/coredns/deployment/blob/master/kubernetes/Upgrading_CoreDNS.md)를 참고하여 
+부드러운 업그레이드를 수행할 수 있다. 
+클러스터를 업그레이드할 때 
+기존 CoreDNS 환경 설정("Corefile")을 보존했는지 확인한다.
+
+`kubeadm` 도구를 사용하여 클러스터를 업그레이드하는 경우, 
+`kubeadm`이 자동으로 기존 CoreDNS 환경 설정을 보존한다.
 
-CoreDNS는 사용자 정의 이미지를 사용하거나 CoreDNS만 업그레이드 하려는 경우에 수동으로 업그레이드할 수 있다.
-업그레이드를 원활하게 수행하는 데 유용한 [가이드라인 및 연습](https://github.com/coredns/deployment/blob/master/kubernetes/Upgrading_CoreDNS.md)을 참고하자.
 
 ## CoreDNS 튜닝하기
 
-리소스 활용이 중요한 경우, CoreDNS 구성을 조정하는 것이 유용할 수 있다. 
-더 자세한 내용은 [CoreDNS 스케일링에 대한 설명서](https://github.com/coredns/deployment/blob/master/kubernetes/Scaling_CoreDNS.md)를 확인하자.
-
-
+리소스 활용이 중요한 경우, 
+CoreDNS 구성을 조정하는 것이 유용할 수 있다. 
+더 자세한 내용은 [CoreDNS 스케일링에 대한 설명서](https://github.com/coredns/deployment/blob/master/kubernetes/Scaling_CoreDNS.md)를 확인한다.
 
 ## {{% heading "whatsnext" %}}
 
-
-`Corefile` 을 수정하여 kube-dns 보다 더 많은 유스케이스를 지원하도록 
-[CoreDNS](https://coredns.io)를 구성할 수 있다.
-더 자세한 내용은 [CoreDNS 웹사이트](https://coredns.io/2017/05/08/custom-dns-entries-for-kubernetes/)을 확인하자.
+CoreDNS 환경 설정("Corefile")을 수정하여 
+kube-dns보다 더 많은 유스케이스를 지원하도록 [CoreDNS](https://coredns.io)를 구성할 수 있다. 
+더 많은 정보는 CoreDNS의 `kubernetes` 플러그인 
+[문서](https://coredns.io/plugins/kubernetes/)를 참고하거나, 
+CoreDNS 블로그의 
+[쿠버네티스를 위한 커스텀 DNS 엔트리](https://coredns.io/2017/05/08/custom-dns-entries-for-kubernetes/)를 확인한다.
diff --git a/content/ko/docs/tasks/administer-cluster/declare-network-policy.md b/content/ko/docs/tasks/administer-cluster/declare-network-policy.md
index 6d4193e63c9..682ad19a24c 100644
--- a/content/ko/docs/tasks/administer-cluster/declare-network-policy.md
+++ b/content/ko/docs/tasks/administer-cluster/declare-network-policy.md
@@ -68,7 +68,7 @@ pod/nginx-701339712-e0qfq   1/1           Running       0          35s
 사용자는 다른 파드에서 새 `nginx` 서비스에 접근할 수 있어야 한다. `default` 네임스페이스에 있는 다른 파드에서 `nginx` 서비스에 접근하기 위하여, busybox 컨테이너를 생성한다.
 
 ```console
-kubectl run busybox --rm -ti --image=busybox -- /bin/sh
+kubectl run busybox --rm -ti --image=busybox:1.28 -- /bin/sh
 ```
 
 사용자 쉘에서, 다음의 명령을 실행한다.
@@ -111,7 +111,7 @@ networkpolicy.networking.k8s.io/access-nginx created
 올바른 레이블이 없는 파드에서 `nginx` 서비스에 접근하려 할 경우, 요청 타임 아웃이 발생한다.
 
 ```console
-kubectl run busybox --rm -ti --image=busybox -- /bin/sh
+kubectl run busybox --rm -ti --image=busybox:1.28 -- /bin/sh
 ```
 
 사용자 쉘에서, 다음의 명령을 실행한다.
@@ -130,7 +130,7 @@ wget: download timed out
 사용자는 요청이 허용되도록 하기 위하여 올바른 레이블을 갖는 파드를 생성한다.
 
 ```console
-kubectl run busybox --rm -ti --labels="access=true" --image=busybox -- /bin/sh
+kubectl run busybox --rm -ti --labels="access=true" --image=busybox:1.28 -- /bin/sh
 ```
 
 사용자 쉘에서, 다음의 명령을 실행한다.
diff --git a/content/ko/docs/tasks/administer-cluster/kubeadm/adding-windows-nodes.md b/content/ko/docs/tasks/administer-cluster/kubeadm/adding-windows-nodes.md
index 4ce00186a35..a950d50b959 100644
--- a/content/ko/docs/tasks/administer-cluster/kubeadm/adding-windows-nodes.md
+++ b/content/ko/docs/tasks/administer-cluster/kubeadm/adding-windows-nodes.md
@@ -17,8 +17,6 @@ weight: 30
 쿠버네티스를 사용하여 리눅스와 윈도우 노드를 혼합하여 실행할 수 있으므로, 리눅스에서 실행되는 파드와 윈도우에서 실행되는 파드를 혼합할 수 있다. 이 페이지는 윈도우 노드를 클러스터에 등록하는 방법을 보여준다.
 
 
-
-
 ## {{% heading "prerequisites" %}}
  {{< version-check >}}
 
@@ -147,33 +145,7 @@ curl -L https://github.com/kubernetes-sigs/sig-windows-tools/releases/latest/dow
 {{< /note >}}
 
 {{< tabs name="tab-windows-kubeadm-runtime-installation" >}}
-{{% tab name="Docker EE" %}}
 
-#### Docker EE 설치
-
-`컨테이너` 기능 설치
-
-```powershell
-Install-WindowsFeature -Name containers
-```
-
-도커 설치
-자세한 내용은 [도커 엔진 설치 - 윈도우 서버 엔터프라이즈](https://docs.microsoft.com/ko-kr/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-Server#install-docker)에서 확인할 수 있다.
-
-#### wins, kubelet 및 kubeadm 설치
-
-```PowerShell
-curl.exe -LO https://raw.githubusercontent.com/kubernetes-sigs/sig-windows-tools/master/kubeadm/scripts/PrepareNode.ps1
-.\PrepareNode.ps1 -KubernetesVersion {{< param "fullversion" >}}
-```
-
-#### `kubeadm` 실행하여 노드에 조인
-
-컨트롤 플레인 호스트에서 `kubeadm init` 실행할 때 제공된 명령을 사용한다.
-이 명령이 더 이상 없거나, 토큰이 만료된 경우, `kubeadm token create --print-join-command`
-(컨트롤 플레인 호스트에서)를 실행하여 새 토큰 및 조인 명령을 생성할 수 있다.
-
-{{% /tab %}}
 {{% tab name="CRI-containerD" %}}
 
 #### containerD 설치
@@ -191,9 +163,6 @@ curl.exe -LO https://github.com/kubernetes-sigs/sig-windows-tools/releases/lates
 .\Install-Containerd.ps1 -ContainerDVersion 1.4.1
 ```
 
-{{< /note >}}
-
-{{< note >}}
 윈도우 노드에서 이더넷(예: "Ethernet0 2")이 아닌 다른 인터페이스를 사용하는 경우, `-netAdapterName` 으로 이름을 지정한다.
 
 ```powershell
@@ -210,17 +179,59 @@ curl.exe -LO https://raw.githubusercontent.com/kubernetes-sigs/sig-windows-tools
 .\PrepareNode.ps1 -KubernetesVersion {{< param "fullversion" >}} -ContainerRuntime containerD
 ```
 
+kubeadm이 CRI 엔드포인트와 통신하기 위해 필요한 
+[`crictl`을 cri-tools 패키지로부터 설치한다](https://github.com/kubernetes-sigs/cri-tools).
+
 #### `kubeadm` 실행하여 노드에 조인
 
     컨트롤 플레인 호스트에서 `kubeadm init` 실행할 때 제공된 명령을 사용한다.
     이 명령이 더 이상 없거나, 토큰이 만료된 경우, `kubeadm token create --print-join-command`
     (컨트롤 플레인 호스트에서)를 실행하여 새 토큰 및 조인 명령을 생성할 수 있다.
 
+{{% /tab %}}
+
+{{% tab name="Docker Engine" %}}
+
+#### Docker Engine 설치
+
+`컨테이너` 기능 설치
+
+```powershell
+Install-WindowsFeature -Name containers
+```
+
+도커 설치에 대한 
+자세한 내용은 [도커 엔진 설치 - 윈도우 서버 엔터프라이즈](https://docs.microsoft.com/ko-kr/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-Server#install-docker)에서 확인할 수 있다.
+
+kubelet이 CRI 호환 엔드포인트를 통해 도커와 통신하기 위해 필요한 
+[cri-dockerd를 설치](https://github.com/Mirantis/cri-dockerd)한다.
+
 {{< note >}}
-**CRI-containerD** 를 사용하는 경우 kubeadm 호출에 `--cri-socket "npipe:////./pipe/containerd-containerd"` 를 추가한다
+도커 엔진은 컨테이너 런타임이 쿠버네티스와 호환되기 위한 요구 사항인 
+[CRI](/ko/docs/concepts/architecture/cri/)를 만족하지 않는다. 
+이러한 이유로, 추가 서비스인 [cri-dockerd](https://github.com/Mirantis/cri-dockerd)가 설치되어야 한다. 
+cri-dockerd는 쿠버네티스 버전 1.24부터 kubelet에서 [제거](/dockershim/)된 
+기존 내장 도커 엔진 지원을 기반으로 한 프로젝트이다.
 {{< /note >}}
 
+kubeadm이 CRI 엔드포인트와 통신하기 위해 필요한 
+`crictl`을 [cri-tools 프로젝트](https://github.com/kubernetes-sigs/cri-tools)로부터 설치한다.
+
+#### wins, kubelet 및 kubeadm 설치
+
+```PowerShell
+curl.exe -LO https://raw.githubusercontent.com/kubernetes-sigs/sig-windows-tools/master/kubeadm/scripts/PrepareNode.ps1
+.\PrepareNode.ps1 -KubernetesVersion {{< param "fullversion" >}}
+```
+
+#### `kubeadm` 실행하여 노드에 조인
+
+컨트롤 플레인 호스트에서 `kubeadm init` 실행할 때 제공된 명령을 사용한다.
+이 명령이 더 이상 없거나, 토큰이 만료된 경우, `kubeadm token create --print-join-command`
+(컨트롤 플레인 호스트에서)를 실행하여 새 토큰 및 조인 명령을 생성할 수 있다.
+
 {{% /tab %}}
+
 {{< /tabs >}}
 
 ### 설치 확인
diff --git a/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-certs.md b/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-certs.md
index ca47aa53456..c5fc28ba3f1 100644
--- a/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-certs.md
+++ b/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-certs.md
@@ -10,7 +10,9 @@ weight: 10
 
 {{< feature-state for_k8s_version="v1.15" state="stable" >}}
 
-[kubeadm](/ko/docs/reference/setup-tools/kubeadm/)으로 생성된 클라이언트 인증서는 1년 후에 만료된다. 이 페이지는 kubeadm으로 인증서 갱신을 관리하는 방법을 설명한다.
+[kubeadm](/ko/docs/reference/setup-tools/kubeadm/)으로 생성된 클라이언트 인증서는 1년 후에 만료된다. 
+이 페이지는 kubeadm으로 인증서 갱신을 관리하는 방법을 설명하며, 
+kubeadm 인증서 관리와 관련된 다른 작업에 대해서도 다룬다.
 
 ## {{% heading "prerequisites" %}}
 
@@ -126,7 +128,7 @@ kubeadm 1.17 이전 버전에는 `kubeadm upgrade node` 명령에서
 
 `kubeadm certs renew` 명령을 사용하여 언제든지 인증서를 수동으로 갱신할 수 있다.
 
-이 명령은 `/etc/kubernetes/pki` 에 저장된 CA(또는 프론트 프록시 CA) 인증서와 키를 사용하여 갱신을 수행한다. 
+이 명령은 `/etc/kubernetes/pki` 에 저장된 CA(또는 프론트 프록시 CA) 인증서와 키를 사용하여 갱신을 수행한다.
 
 명령을 실행한 후에는 컨트롤 플레인 파드를 재시작해야 한다.
 이는 현재 일부 구성 요소 및 인증서에 대해 인증서를 동적으로 다시 로드하는 것이 지원되지 않기 때문이다.
@@ -171,7 +173,7 @@ HA 클러스터를 실행 중인 경우, 모든 컨트롤 플레인 노드에서
 
 빌트인 서명자를 활성화하려면, `--cluster-signing-cert-file` 와 `--cluster-signing-key-file` 플래그를 전달해야 한다.
 
-새 클러스터를 생성하는 경우, kubeadm [구성 파일](https://godoc.org/k8s.io/kubernetes/cmd/kubeadm/app/apis/kubeadm/v1beta3)을 사용할 수 있다.
+새 클러스터를 생성하는 경우, kubeadm [구성 파일](https://pkg.go.dev/k8s.io/kubernetes/cmd/kubeadm/app/apis/kubeadm/v1beta3)을 사용할 수 있다.
 
 ```yaml
 apiVersion: kubeadm.k8s.io/v1beta3
@@ -289,3 +291,52 @@ CSR 서명자를 가지고 있는지 문의하는 것을 추천한다.
 모두 검증하지 않는 한, 보안이 되는 메커니즘이 아니다. 이것을 통해 악의적 행위자가
 kubelet 인증서(클라이언트 인증)를 사용하여 아무 IP나 도메인 네임에 대해 인증서를
 요청하는 CSR의 생성을 방지할 수 있을 것이다.
+
+## 추가 사용자를 위한 kubeconfig 파일 생성하기 {#kubeconfig-additional-users}
+
+클러스터 생성 과정에서, kubeadm은 
+`Subject: O = system:masters, CN = kubernetes-admin` 값이 설정되도록 `admin.conf`의 인증서에 서명한다.
+[`system:masters`](/docs/reference/access-authn-authz/rbac/#user-facing-roles)는 
+인증 계층(예: RBAC)을 우회하는 획기적인 슈퍼유저 그룹이다. 
+`admin.conf`를 추가 사용자와 공유하는 것은 **권장하지 않는다**!
+
+대신, [`kubeadm kubeconfig user`](/docs/reference/setup-tools/kubeadm/kubeadm-kubeconfig) 
+명령어를 사용하여 추가 사용자를 위한 kubeconfig 파일을 생성할 수 있다. 
+이 명령어는 명령줄 플래그와 
+[kubeadm 환경 설정](/docs/reference/config-api/kubeadm-config.v1beta3/) 옵션을 모두 인식한다. 
+생성된 kubeconfig는 stdout으로 출력되며, 
+`kubeadm kubeconfig user ... > somefile.conf` 명령어를 사용하여 파일에 기록될 수 있다.
+
+다음은 `--config` 플래그와 함께 사용될 수 있는 환경 설정 파일 예시이다.
+
+```yaml
+# example.yaml
+apiVersion: kubeadm.k8s.io/v1beta3
+kind: ClusterConfiguration
+# kubeconfig에서 타겟 "cluster"로 사용될 것이다.
+clusterName: "kubernetes"
+# kubeconfig에서 클러스터의 "server"(IP 또는 DNS 이름)로 사용될 것이다.
+controlPlaneEndpoint: "some-dns-address:6443"
+# 클러스터 CA 키 및 인증서가 이 로컬 디렉토리에서 로드될 것이다.
+certificatesDir: "/etc/kubernetes/pki"
+```
+
+이러한 항목들이 사용하고자 하는 클러스터의 상세 사항과 일치하는지 확인한다.
+기존 클러스터의 환경 설정을 보려면 다음 명령을 사용한다.
+
+```shell
+kubectl get cm kubeadm-config -n kube-system -o=jsonpath="{.data.ClusterConfiguration}"
+```
+
+다음 예시는 `appdevs` 그룹의 새 사용자 `johndoe`를 위해 
+24시간동안 유효한 인증서와 함께 kubeconfig 파일을 생성할 것이다.
+
+```shell
+kubeadm kubeconfig user --config example.yaml --org appdevs --client-name johndoe --validity-period 24h
+```
+
+다음 예시는 1주일간 유효한 관리자 크리덴셜을 갖는 kubeconfig 파일을 생성할 것이다.
+
+```shell
+kubeadm kubeconfig user --config example.yaml --client-name admin --validity-period 168h
+```
diff --git a/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md b/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
index 17cae75e0b8..ad8e8d7529a 100644
--- a/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
+++ b/content/ko/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade.md
@@ -8,10 +8,10 @@ weight: 20
 
 <!-- overview -->
 
-이 페이지는 kubeadm으로 생성된 쿠버네티스 클러스터를
-{{< skew currentVersionAddMinor -1 >}}.x 버전에서 {{< skew currentVersion >}}.x 버전으로,
-{{< skew currentVersion >}}.x 버전에서 {{< skew currentVersion >}}.y(여기서 `y > x`) 버전으로 업그레이드하는 방법을 설명한다.  업그레이드가 지원되지 않는 경우
-마이너 버전을 건너뛴다.
+이 페이지는 kubeadm으로 생성된 쿠버네티스 클러스터를 {{< skew currentVersionAddMinor -1 >}}.x 버전에서 {{< skew currentVersion >}}.x 버전으로, 
+{{< skew currentVersion >}}.x 버전에서 {{< skew currentVersion >}}.y(여기서 `y > x`) 버전으로 업그레이드하는 방법을 설명한다. 
+업그레이드가 지원되지 않는 경우 마이너 버전을 건너뛴다. 
+더 자세한 정보는 [버전 차이(skew) 정책](/ko/releases/version-skew-policy/)을 참고한다.
 
 이전 버전의 kubeadm을 사용하여 생성된 클러스터 업그레이드에 대한 정보를 보려면,
 이 페이지 대신 다음의 페이지들을 참고한다.
@@ -43,6 +43,12 @@ weight: 20
   컨트롤 플레인 노드의 경우, CoreDNS 파드 또는 다른 중요한 워크로드를 실행 중일 수 있다. 
   더 많은 정보는 [노드 드레인하기](/docs/tasks/administer-cluster/safely-drain-node/)를 참조한다.
 - 컨테이너 사양 해시 값이 변경되므로, 업그레이드 후 모든 컨테이너가 다시 시작된다.
+- kubelet이 업그레이드된 이후 kubelet 서비스가 성공적으로 재시작되었는지 확인하려면, 
+  `systemctl status kubelet` 명령을 실행하거나, `journalctl -xeu kubelet` 명령을 실행하여 서비스 로그를 확인할 수 있다.
+- 클러스터를 재구성하기 위해 `kubeadm upgrade` 시에 
+  [kubeadm 구성 API 종류](/docs/reference/config-api/kubeadm-config.v1beta3)를 명시하여 
+  `--config` 플래그를 사용하는 것은 추천하지 않으며 예상치 못한 결과를 초래할 수 있다. 
+  대신 [kubeadm 클러스터 재구성하기](/docs/tasks/administer-cluster/kubeadm/kubeadm-reconfigure)를 참조한다.
 
 <!-- steps -->
 
diff --git a/content/ko/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace.md b/content/ko/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace.md
index c6677c7ddd6..9ec6eb119aa 100644
--- a/content/ko/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace.md
+++ b/content/ko/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace.md
@@ -171,7 +171,7 @@ kubectl apply -f https://k8s.io/examples/admin/resource/cpu-constraints-pod-3.ya
 
 결과를 보면 파드가 생성되지 않은 것을 확인할 수 있으며, 이는 해당 파드가 수용 불가능한 컨테이너를 정의하고 있기 때문이다.
 해당 컨테이너가 수용 불가능한 이유는 
-지정된 최저 CPU 상한보다도 낮은 CPU 상한을 지정하고 있기 때문이다.
+지정된 최저 CPU 요청량보다도 낮은 CPU 요청량을 지정하고 있기 때문이다.
 
 ```
 Error from server (Forbidden): error when creating "examples/admin/resource/cpu-constraints-pod-3.yaml":
diff --git a/content/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl.md b/content/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
index 7a5e502c476..410b5722aa5 100644
--- a/content/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
+++ b/content/ko/docs/tasks/configmap-secret/managing-secret-using-kubectl.md
@@ -130,6 +130,12 @@ kubectl get secret db-user-pass -o jsonpath='{.data}'
 이제 `password` 데이터를 디코딩할 수 있다.
 
 ```shell
+# 이 예시는 문서화를 위한 것이다. 
+# 아래와 같은 방법으로 이를 수행했다면, 
+# 'MWYyZDFlMmU2N2Rm' 데이터가 셸 히스토리에 저장될 수 있다. 
+# 당신의 컴퓨터에 접근할 수 있는 사람이 당신 몰래 저장된 명령을 찾아 
+# 시크릿을 base-64 디코드할 수도 있다. 
+# 따라서 이 페이지의 아래 부분에 나오는 다른 단계들과 조합하는 것이 좋다.
 echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
 ```
 
@@ -139,6 +145,15 @@ echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
 1f2d1e2e67df
 ```
 
+인코딩된 시크릿 값이 셸 히스토리에 저장되는 것을 피하려면, 
+다음의 명령을 실행할 수 있다.
+
+```shell
+kubectl get secret db-user-pass -o jsonpath='{.data.password}' | base64 --decode
+```
+
+출력은 위의 경우와 유사할 것이다.
+
 ## 삭제
 
 생성한 시크릿을 삭제하려면 다음 명령을 실행한다.
diff --git a/content/ko/docs/tasks/configure-pod-container/assign-memory-resource.md b/content/ko/docs/tasks/configure-pod-container/assign-memory-resource.md
index 04f0c8db116..ffcf47d0974 100644
--- a/content/ko/docs/tasks/configure-pod-container/assign-memory-resource.md
+++ b/content/ko/docs/tasks/configure-pod-container/assign-memory-resource.md
@@ -99,10 +99,10 @@ kubectl get pod memory-demo --output=yaml --namespace=mem-example
 ```yaml
 ...
 resources:
-  limits:
-    memory: 200Mi
   requests:
     memory: 100Mi
+  limits:
+    memory: 200Mi
 ...
 ```
 
diff --git a/content/ko/docs/tasks/configure-pod-container/configure-gmsa.md b/content/ko/docs/tasks/configure-pod-container/configure-gmsa.md
index 926d9e8d7d4..d5fa867d40c 100644
--- a/content/ko/docs/tasks/configure-pod-container/configure-gmsa.md
+++ b/content/ko/docs/tasks/configure-pod-container/configure-gmsa.md
@@ -225,7 +225,7 @@ kubectl exec -it iis-auth-7776966999-n5nzr powershell.exe
 
 `nltest.exe /parentdomain` 는 다음과 같은 오류를 발생시킨다.
 
-```
+```output
 Getting parent domain failed: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE
 ```
 
@@ -244,7 +244,8 @@ nltest.exe /query
 ```
 
 결과는 다음과 같다.
-```
+
+```output
 I_NetLogonControl failed: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE
 ```
 
@@ -255,7 +256,8 @@ nltest /sc_reset:domain.example
 ```
 
 명령이 성공하면 다음과 유사한 출력이 표시된다.
-```
+
+```output
 Flags: 30 HAS_IP  HAS_TIMESERV
 Trusted DC Name \\dc10.domain.example
 Trusted DC Connection Status Status = 0 0x0 NERR_Success
diff --git a/content/ko/docs/tasks/configure-pod-container/configure-pod-initialization.md b/content/ko/docs/tasks/configure-pod-container/configure-pod-initialization.md
index 92abf6e4f66..9343b7116f6 100644
--- a/content/ko/docs/tasks/configure-pod-container/configure-pod-initialization.md
+++ b/content/ko/docs/tasks/configure-pod-container/configure-pod-initialization.md
@@ -85,4 +85,4 @@ init-demo 파드 내 실행 중인 nginx 컨테이너의 셸을 실행한다.
 대해 배우기.
 * [초기화 컨테이너](/ko/docs/concepts/workloads/pods/init-containers/)에 대해 배우기.
 * [볼륨](/ko/docs/concepts/storage/volumes/)에 대해 배우기.
-* [초기화 컨테이너 디버깅](/ko/docs/tasks/debug-application-cluster/debug-init-containers/)에 대해 배우기.
+* [초기화 컨테이너 디버깅](/ko/docs/tasks/debug/debug-application/debug-init-containers/)에 대해 배우기.
diff --git a/content/ko/docs/tasks/configure-pod-container/quality-service-pod.md b/content/ko/docs/tasks/configure-pod-container/quality-service-pod.md
index c644a8aff1c..b8b2448f04d 100644
--- a/content/ko/docs/tasks/configure-pod-container/quality-service-pod.md
+++ b/content/ko/docs/tasks/configure-pod-container/quality-service-pod.md
@@ -107,7 +107,7 @@ kubectl delete pod qos-demo --namespace=qos-example
 다음의 경우 파드에 Burstable QoS 클래스가 부여된다.
 
 * 파드가 Guaranteed QoS 클래스 기준을 만족하지 않는다.
-* 파드 내에서 최소한 하나의 컨테이너가 메모리 또는 CPU 요청량을 가진다.
+* 파드 내에서 최소한 하나의 컨테이너가 메모리 또는 CPU 요청량/상한을 가진다.
 
 컨테이너가 하나인 파드의 구성 파일은 다음과 같다. 컨테이너는
 200MiB의 메모리 상한과 100MiB의 메모리 요청량을 가진다.
diff --git a/content/ko/docs/tasks/configure-pod-container/static-pod.md b/content/ko/docs/tasks/configure-pod-container/static-pod.md
index e4e11cc7047..6eac6f3e203 100644
--- a/content/ko/docs/tasks/configure-pod-container/static-pod.md
+++ b/content/ko/docs/tasks/configure-pod-container/static-pod.md
@@ -182,8 +182,7 @@ static-web   1/1     Running   0               2m
 ```
 
 {{< note >}}
-Kubelet에 API 서버에서 미러 파드를 생성할 수 있는 권한이 있는지 미리 확인해야 한다. 그렇지 않을 경우 API 서버에 의해서 생성 요청이 거부된다.
-[파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/policy/pod-security-policy/) 에 대해 보기.
+Kubelet에 API 서버에서 미러 파드를 생성할 수 있는 권한이 있는지 미리 확인해야 한다. 그렇지 않을 경우 API 서버에 의해서 생성 요청이 거부된다. [파드 시큐리티 어드미션](/docs/concepts/security/pod-security-admission/) 및 [파드시큐리티폴리시(PodSecurityPolicy)](/ko/docs/concepts/security/pod-security-policy/)를 확인한다.
 {{< /note >}}
 
 스태틱 파드에 있는 {{< glossary_tooltip term_id="label" text="레이블" >}} 은
diff --git a/content/ko/docs/tasks/debug-application-cluster/_index.md b/content/ko/docs/tasks/debug-application-cluster/_index.md
deleted file mode 100644
index d0bda0ea0f0..00000000000
--- a/content/ko/docs/tasks/debug-application-cluster/_index.md
+++ /dev/null
@@ -1,6 +0,0 @@
----
-title: "모니터링, 로깅, 그리고 디버깅"
-description: 모니터링 및 로깅을 설정하여 클러스터 문제를 해결하거나, 컨테이너화된 애플리케이션을 디버깅한다.
-weight: 80
----
-
diff --git a/content/ko/docs/tasks/debug-application-cluster/debug-cluster.md b/content/ko/docs/tasks/debug-application-cluster/debug-cluster.md
deleted file mode 100644
index 674eb759452..00000000000
--- a/content/ko/docs/tasks/debug-application-cluster/debug-cluster.md
+++ /dev/null
@@ -1,124 +0,0 @@
----
-
-
-title: 클러스터 트러블슈팅
-content_type: concept
----
-
-<!-- overview -->
-
-이 문서는 클러스터 트러블슈팅에 대해 설명한다. 사용자가 겪고 있는 문제의 근본 원인으로서 사용자의 애플리케이션을 
-이미 배제했다고 가정한다.
-애플리케이션 디버깅에 대한 팁은 [애플리케이션 트러블슈팅 가이드](/docs/tasks/debug-application-cluster/debug-application/)를 참조한다.
-자세한 내용은 [트러블슈팅 문서](/ko/docs/tasks/debug-application-cluster/troubleshooting/)를 참조한다.
-
-<!-- body -->
-
-## 클러스터 나열하기
-
-클러스터에서 가장 먼저 디버그해야 할 것은 노드가 모두 올바르게 등록되었는지 여부이다.
-
-다음을 실행한다.
-
-```shell
-kubectl get nodes
-```
-
-그리고 보일 것으로 예상되는 모든 노드가 존재하고 모두 `Ready` 상태인지 확인한다.
-
-클러스터의 전반적인 상태에 대한 자세한 정보를 얻으려면 다음을 실행할 수 있다.
-
-```shell
-kubectl cluster-info dump
-```
-## 로그 보기
-
-현재로서는 클러스터를 더 깊이 파고들려면 관련 머신에서 로그 확인이 필요하다. 관련 로그 파일 
-위치는 다음과 같다. (systemd 기반 시스템에서는 `journalctl`을 대신 사용해야 할 수도 있다.)
-
-### 마스터
-
-   * `/var/log/kube-apiserver.log` - API 서버, API 제공을 담당
-   * `/var/log/kube-scheduler.log` - 스케줄러, 스케줄 결정을 담당
-   * `/var/log/kube-controller-manager.log` - 레플리케이션 컨트롤러를 담당하는 컨트롤러
-
-### 워커 노드
-
-   * `/var/log/kubelet.log` - Kubelet, 노드에서 컨테이너 실행을 담당
-   * `/var/log/kube-proxy.log` - Kube Proxy, 서비스 로드밸런싱을 담당
-
-## 클러스터 장애 모드의 일반적인 개요
-
-아래에 일부 오류 상황 예시 및 문제를 완화하기 위해 클러스터 설정을 조정하는 방법을 나열한다.
-
-### 근본 원인
-
-  - VM(들) 종료
-  - 클러스터 내 또는 클러스터와 사용자 간의 네트워크 분할
-  - 쿠버네티스 소프트웨어의 충돌
-  - 데이터 손실 또는 퍼시스턴트 스토리지 사용 불가 (e.g. GCE PD 또는 AWS EBS 볼륨)
-  - 운영자 오류, 예를 들면 잘못 구성된 쿠버네티스 소프트웨어 또는 애플리케이션 소프트웨어
-
-### 특정 시나리오
-
-  - API 서버 VM 종료 또는 API 서버 충돌
-    - 다음의 현상을 유발함
-      - 새로운 파드, 서비스, 레플리케이션 컨트롤러를 중지, 업데이트 또는 시작할 수 없다.
-      -  쿠버네티스 API에 의존하지 않는 기존 파드 및 서비스는 계속 정상적으로 작동할 것이다.
-  - API 서버 백업 스토리지 손실
-    - 다음의 현상을 유발함
-      - API 서버가 구동되지 않을 것이다.
-      - kubelet에 도달할 수 없게 되지만, kubelet이 여전히 동일한 파드를 계속 실행하고 동일한 서비스 프록시를 제공할 것이다.
-      - API 서버를 재시작하기 전에, 수동으로 복구하거나 API서버 상태를 재생성해야 한다.
-  - 지원 서비스 (노드 컨트롤러, 레플리케이션 컨트롤러 매니저, 스케쥴러 등) VM 종료 또는 충돌
-    - 현재 그것들은 API 서버와 같은 위치에 있기 때문에 API 서버와 비슷한 상황을 겪을 것이다.
-    - 미래에는 이들도 복제본을 가질 것이며 API서버와 별도로 배치될 수도 있다.
-    - 지원 서비스들은 상태(persistent state)를 자체적으로 유지하지는 않는다.
-  - 개별 노드 (VM 또는 물리적 머신) 종료
-    - 다음의 현상을 유발함
-      - 해당 노드의 파드가 실행을 중지
-  - 네트워크 분할
-    - 다음의 현상을 유발함
-      - 파티션 A는 파티션 B의 노드가 다운되었다고 생각한다. 파티션 B는 API 서버가 다운되었다고 생각한다. (마스터 VM이 파티션 A에 있다고 가정)
-  - Kubelet 소프트웨어 오류
-    - 다음의 현상을 유발함
-      - 충돌한 kubelet은 노드에서 새 파드를 시작할 수 없다.
-      - kubelet이 파드를 삭제할 수도 있고 삭제하지 않을 수도 있다.
-      - 노드는 비정상으로 표시된다.
-      - 레플리케이션 컨트롤러는 다른 곳에서 새 파드를 시작한다.
-  - 클러스터 운영자 오류
-    - 다음의 현상을 유발함
-      - 파드, 서비스 등의 손실
-      - API 서버 백업 저장소 분실
-      - API를 읽을 수 없는 사용자
-      - 기타
-
-### 완화
-
-- 조치: IaaS VM을 위한 IaaS 공급자의 자동 VM 다시 시작 기능을 사용한다.
-  - 다음을 완화할 수 있음: API 서버 VM 종료 또는 API 서버 충돌
-  - 다음을 완화할 수 있음: 지원 서비스 VM 종료 또는 충돌
-
-- 조치: API 서버+etcd가 있는 VM에 IaaS 제공자의 안정적인 스토리지(예: GCE PD 또는 AWS EBS 볼륨)를 사용한다.
-  - 다음을 완화할 수 있음: API 서버 백업 스토리지 손실
-
-- 조치: [고가용성](/docs/setup/production-environment/tools/kubeadm/high-availability/) 구성을 사용한다.
-  - 다음을 완화할 수 있음: 컨트롤 플레인 노드 종료 또는 컨트롤 플레인 구성 요소(스케줄러, API 서버, 컨트롤러 매니저) 충돌
-    - 동시에 발생하는 하나 이상의 노드 또는 구성 요소 오류를 허용한다.
-  - 다음을 완화할 수 있음: API 서버 백업 스토리지(i.e., etcd의 데이터 디렉터리) 손실
-    - 고가용성 etcd 구성을 사용하고 있다고 가정
-
-- 조치: API 서버 PD/EBS 볼륨의 주기적인 스냅샷
-  - 다음을 완화할 수 있음: API 서버 백업 스토리지 손실
-  - 다음을 완화할 수 있음: 일부 운영자 오류 사례
-  - 다음을 완화할 수 있음: 일부 쿠버네티스 소프트웨어 오류 사례
-
-- 조치: 파드 앞에 레플리케이션 컨트롤러와 서비스 사용
-  - 다음을 완화할 수 있음: 노드 종료
-  - 다음을 완화할 수 있음: Kubelet 소프트웨어 오류
-
-- 조치: 예기치 않은 재시작을 허용하도록 설계된 애플리케이션(컨테이너)
-  - 다음을 완화할 수 있음: 노드 종료
-  - 다음을 완화할 수 있음: Kubelet 소프트웨어 오류
-
-
diff --git a/content/ko/docs/tasks/debug-application-cluster/debug-pod-replication-controller.md b/content/ko/docs/tasks/debug-application-cluster/debug-pod-replication-controller.md
deleted file mode 100644
index 11b46ede8ed..00000000000
--- a/content/ko/docs/tasks/debug-application-cluster/debug-pod-replication-controller.md
+++ /dev/null
@@ -1,105 +0,0 @@
----
-
-
-title: 파드와 레플리케이션컨트롤러(ReplicationController) 디버그하기
-content_type: task
----
-
-<!-- overview -->
-
-이 페이지에서는 파드와 레플리케이션컨트롤러를 디버깅하는 방법을 소개한다.
-
-## {{% heading "prerequisites" %}}
-
-
-{{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
-
-* 사용자는
-  {{< glossary_tooltip text="파드" term_id="pod" >}} 기본 사항과 파드의  
-  [라이프사이클](/ko/docs/concepts/workloads/pods/pod-lifecycle/)에 대해 잘 알고 있어야 한다.
-
-<!-- steps -->
-
-## 파드 디버깅
-
-파드 디버깅의 첫 번째 단계는 파드를 살펴 보는 것이다. 다음의 명령어를
-사용하여 파드의 현재 상태와 최근 이벤트를 점검한다.
-
-```shell
-kubectl describe pods ${POD_NAME}
-```
-
-파드 내부 컨테이너의 상태를 확인한다. 모두 `Running` 상태인가?
-최근에 재시작 되었는가?
-
-파드의 상태에 따라 디버깅을 계속한다.
-
-### 파드가 pending 상태로 유지
-
-파드가 `Pending` 상태로 멈춰 있는 경우는, 노드에 스케줄 될 수 없음을 의미한다.
-일반적으로 이것은 어떤 유형의 리소스가 부족하거나 스케줄링을 방해하는 다른 요인 때문이다.
-상단의 `kubectl describe ...` 명령의 결과를 확인하자.
-파드를 스케줄 할 수 없는 이유에 대한 스케줄러의 메세지가 있어야 한다.
-이유는 다음과 같다.
-
-#### 부족한 리소스
-
-사용자 클러스터의 CPU 나 Memory의 공급이 소진되었을 수 있다. 이 경우
-몇 가지 방법을 시도할 수 있다.
-
-* 클러스터에 노드를 더 추가하기.
-
-* pending 상태인 파드를 위한 공간을 확보하기 위해
-  [불필요한 파드 종료하기](/ko/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)
-
-* 파드가 노드보다 크지 않은지 확인한다. 예를 들어 모든
-  노드가 `cpu:1` 의 용량을 가지고 있을 경우, `cpu: 1.1` 을 요청하는 파드는
-  절대 스케줄 될 수 없다.
-
-	사용자는 `kubectl get nodes -o <format>` 명령으로 노드의
-	용량을 점검할 수 있다. 다음은 필요한 정보를 추출하는 몇 가지
-	명령의 예이다.
-
-    ```shell
-    kubectl get nodes -o yaml | egrep '\sname:|cpu:|memory:'
-    kubectl get nodes -o json | jq '.items[] | {name: .metadata.name, cap: .status.capacity}'
-    ```
-
-  [리소스 쿼터](/ko/docs/concepts/policy/resource-quotas/)
-  기능은 사용할 수 있는 전체 리소스의 양을 제한하도록 설정할 수 있다.
-  네임스페이스와 함께 사용하면,
-  한 팀이 모든 리소스를 점유하는 것을 방지할 수 있다.
-
-#### hostPort 사용하기
-
-파드를 `hostPort` 에 바인딩 할 때 파드를 스케줄링 할 수 있는
-위치는 제한되어 있다. 대부분의 경우 `hostPort` 는 불필요하다. 서비스 오브젝트를
-사용하여 파드를 노출하도록 한다. `hostPort` 가 필요한 경우
-컨테이너 클러스터에 있는 노드의 수만큼 파드를 스케줄 할 수 있다.
-
-### 파드가 waiting 상태로 유지
-
-파드가 `Waiting` 상태에서 멈춘 경우, 워커 노드에 스케줄 되었지만, 해당 장비에서 사용할 수 없다.
-거듭 강조하지만, `kubectl describe ...` 의 정보는 유익하게 사용되어야 한다.
-`Waiting` 파드의 가장 일반적인 원인은 이미지를 가져오지 못하는 경우이다.
-확인해야 할 3가지 사항이 있다.
-
-* 이미지 이름이 올바른지 확인한다.
-* 이미지를 저장소에 푸시하였는가?
-* 이미지가 풀 될 수 있는지 보기 위해, 사용자의 장비에서 `docker pull <image>` 를 수동으로
-  실행한다.
-
-### 파드가 손상(crashing)되었거나 양호하지 않을(unhealthy) 경우
-
-일단 사용자의 파드가 스케줄 되면, [구동중인 파드 디버그하기](/ko/docs/tasks/debug-application-cluster/debug-running-pod/)에
-기술된 메서드를 디버깅에 사용할 수 있다.
-
-
-## 레플리케이션컨트롤러 디버깅
-
-레플리케이션컨트롤러는 매우 간단하다. 이 오브젝트는 파드를 만들거나
-만들 수 없는 경우뿐이다. 만약 파드를 만들 수 없는 경우,
-[위의 지침](#파드-디버깅)을 참조하여 파드를 디버그한다.
-
-사용자는 `kubectl describe rc ${CONTROLLER_NAME}` 을 사용하여 레플리케이션 컨트롤러와
-관련된 이벤트를 검사할 수도 있다.
diff --git a/content/ko/docs/tasks/debug-application-cluster/debug-running-pod.md b/content/ko/docs/tasks/debug-application-cluster/debug-running-pod.md
deleted file mode 100644
index cbd69454f58..00000000000
--- a/content/ko/docs/tasks/debug-application-cluster/debug-running-pod.md
+++ /dev/null
@@ -1,332 +0,0 @@
----
-
-
-
-title: 동작 중인 파드 디버그
-content_type: task
----
-
-<!-- overview -->
-
-이 페이지는 노드에서 동작 중인(혹은 크래시된) 파드를 디버그하는 방법에 대해 설명한다.
-
-
-
-## {{% heading "prerequisites" %}}
-
-
-* 여러분의 {{< glossary_tooltip text="파드" term_id="pod" >}}는 이미 스케줄링 되어
-  동작하고 있을 것이다. 만약 파드가 아직 동작중이지 않다면, [애플리케이션
-  트러블슈팅](/docs/tasks/debug-application-cluster/debug-application/)을 참고한다.
-* 일부 고급 디버깅 과정에서는 해당 파드가 어떤 노드에서 동작하고 있는지
-  알아야 하고, 해당 노드에서 쉘 명령어를 실행시킬 수 있어야 한다.
-  `kubectl`을 사용하는 일반적인 디버깅 과정에서는 이러한 접근 권한이 필요하지 않다.
-
-
-
-<!-- steps -->
-
-## 파드의 로그 확인하기 {#examine-pod-logs}
-
-먼저, 확인하고자 하는 컨테이너의 로그를 확인한다.
-
-```shell
-kubectl logs ${POD_NAME} ${CONTAINER_NAME}
-```
-
-만약 컨테이너가 이전에 크래시 되었다면, 다음의 명령을 통해 컨테이너의 크래시 로그를 살펴볼 수 있다.
-
-```shell
-kubectl logs --previous ${POD_NAME} ${CONTAINER_NAME}
-```
-
-## exec를 통해 컨테이너 디버깅하기 {#container-exec}
-
-만약 {{< glossary_tooltip text="컨테이너 이미지" term_id="image" >}}에
-디버깅 도구가 포함되어 있다면, `kubectl exec`을 통해 특정 컨테이너에서 해당 명령들을
-실행할 수 있다. (리눅스나 윈도우 OS를 기반으로 만들어진 이미지에는 대부분 디버깅 도구를 포함하고
-있다.)
-
-```shell
-kubectl exec ${POD_NAME} -c ${CONTAINER_NAME} -- ${CMD} ${ARG1} ${ARG2} ... ${ARGN}
-```
-
-{{< note >}}
-`-c ${CONTAINER_NAME}` 인자는 선택적이다. 만약 하나의 컨테이너만 포함된 파드라면 해당 옵션을 생략할 수 있다.
-{{< /note >}}
-
-예를 들어, 동작 중인 카산드라 파드의 로그를 살펴보기 위해서는 다음과 같은 명령을 실행할 수 있다.
-
-```shell
-kubectl exec cassandra -- cat /var/log/cassandra/system.log
-```
-
-`kubectl exec`에 `-i`와 `-t` 옵션을 사용해서 터미널에서 접근할 수 있는 쉘을 실행시킬 수도 있다.
-예를 들면 다음과 같다.
-
-```shell
-kubectl exec -it cassandra -- sh
-```
-
-더욱 상세한 내용은 다음 [동작중인 컨테이너의 쉘에 접근하기](
-/ko/docs/tasks/debug-application-cluster/get-shell-running-container/)를 참고하라.
-
-## 임시(ephemeral) 디버그 컨테이너를 사용해서 디버깅하기 {#ephemeral-container}
-
-{{< feature-state state="beta" for_k8s_version="v1.23" >}}
-
-컨테이너가 크래시 됐거나 
-[distroless 이미지](https://github.com/GoogleContainerTools/distroless)처럼
-컨테이너 이미지에 디버깅 도구를 포함하고 있지 않아 `kubectl exec`로는 충분하지 않은 경우에는
-{{< glossary_tooltip text="임시(Ephemeral) 컨테이너" term_id="ephemeral-container" >}}를 사용하는 것이
-인터랙티브한 트러블슈팅에 유용하다.
-
-### 임시 컨테이너를 사용한 디버깅 예시 {#ephemeral-container-example}
-
-`kubectl debug` 명령어를 사용해서 동작 중인 파드에 임시 컨테이너를 추가할 수 있다.
-먼저, 다음과 같이 파드를 추가한다.
-
-```shell
-kubectl run ephemeral-demo --image=k8s.gcr.io/pause:3.1 --restart=Never
-```
-
-이 섹션의 예시에서는 디버깅 도구가 포함되지 않은 이미지의 사례를 보여드리기 위해
-`pause` 컨테이너 이미지를 사용했는데, 이 대신 어떠한 이미지를 사용해도
-될 것이다.
-
-만약 `kubectl exec`을 통해 쉘을 생성하려 한다면 다음과 같은 에러를
-확인할 수 있을 텐데, 그 이유는 이 이미지에 쉘이 존재하지 않기 때문이다.
-
-```shell
-kubectl exec -it ephemeral-demo -- sh
-```
-
-```
-OCI runtime exec failed: exec failed: container_linux.go:346: starting container process caused "exec: \"sh\": executable file not found in $PATH": unknown
-```
-
-이 명령어 대신 `kubectl debug`을 사용해서 디버깅 컨테이너를 생성할 수 있다.
-만약 `-i`/`--interactive` 인자를 사용한다면, `kubectl`은 임시
-컨테이너의 콘솔에 자동으로 연결할 것이다.
-
-```shell
-kubectl debug -it ephemeral-demo --image=busybox --target=ephemeral-demo
-```
-
-```
-Defaulting debug container name to debugger-8xzrl.
-If you don't see a command prompt, try pressing enter.
-/ #
-```
-
-이 명령어는 새로운 busybox 컨테이너를 추가하고 해당 컨테이너로 연결한다. `--target`
-파라미터를 사용하면 다른 컨테이너의 프로세스 네임스페이스를 대상으로 하게 된다. 여기서는
-이 옵션이 꼭 필요한데, `kubectl run`이 생성하는 파드에 대해
-[프로세스 네임스페이스 공유](/docs/tasks/configure-pod-container/share-process-namespace/)를
-활성화하지 않기 때문이다.
-
-{{< note >}}
-`--target` 파라미터는 사용 중인 {{< glossary_tooltip text="컨테이너 런타임" term_id="container-runtime" >}}에서
-지원해야지만 사용할 수 있다. 만일 지원되지 않는다면,
-임시 컨테이너가 시작되지 않을 수 있거나 독립적인 프로세스
-네임스페이스를 가지고 시작될 수 있다.
-{{< /note >}}
-
-`kubectl describe` 명령을 사용하면 새롭게 생성된 임시 컨테이너의 상태를 확인할 수 있다.
-
-```shell
-kubectl describe pod ephemeral-demo
-```
-
-```
-...
-Ephemeral Containers:
-  debugger-8xzrl:
-    Container ID:   docker://b888f9adfd15bd5739fefaa39e1df4dd3c617b9902082b1cfdc29c4028ffb2eb
-    Image:          busybox
-    Image ID:       docker-pullable://busybox@sha256:1828edd60c5efd34b2bf5dd3282ec0cc04d47b2ff9caa0b6d4f07a21d1c08084
-    Port:           <none>
-    Host Port:      <none>
-    State:          Running
-      Started:      Wed, 12 Feb 2020 14:25:42 +0100
-    Ready:          False
-    Restart Count:  0
-    Environment:    <none>
-    Mounts:         <none>
-...
-```
-
-디버깅이 다 끝나면 `kubectl delete`을 통해 파드를 제거할 수 있다.
-
-```shell
-kubectl delete pod ephemeral-demo
-```
-
-## 파드의 복제본을 이용해서 디버깅하기
-
-때때로 파드의 설정 옵션에 따라 특정 상황에서 트러블슈팅을 하기가 어려울 수 있다.
-예를 들어, 만일 여러분의 컨테이너 이미지가 쉘을 포함하고 있지 않거나, 여러분의
-애플리케이션이 컨테이너 시작에서 크래시가 발생한다면 `kubectl exec`을 이용해서
-컨테이너를 트러블슈팅할 수 없을 수 있다. 이러한 상황에서는 `kubectl debug`을 사용해서
-파드의 복제본을 디버깅을 위한 추가적인 설정 옵션과 함께 생성할 수 있다.
-
-### 새 컨테이너와 함께 파드의 복제본 생성하기
-
-만일 여러분의 애플리케이션이 동작은 하고 있지만 예상과는 다르게 동작하는 경우,
-파드의 복제본에 새로운 컨테이너를 추가함으로써 추가적인 트러블슈팅 도구들을
-파드에 함께 추가할 수 있다.
-
-가령, 여러분의 애플리케이션 컨테이너 이미지는 `busybox`를 기반으로 하고 있는데
-여러분은 `busybox`에는 없는 디버깅 도구를 필요로 한다고 가정해 보자. 이러한
-시나리오는 `kubectl run` 명령을 통해 시뮬레이션 해볼 수 있다.
-
-```shell
-kubectl run myapp --image=busybox --restart=Never -- sleep 1d
-```
-
-다음의 명령을 실행시켜 디버깅을 위한 새로운 우분투 컨테이너와 함께 `myapp-debug`이란
-이름의 `myapp` 컨테이너 복제본을 생성할 수 있다.
-
-```shell
-kubectl debug myapp -it --image=ubuntu --share-processes --copy-to=myapp-debug
-```
-
-```
-Defaulting debug container name to debugger-w7xmf.
-If you don't see a command prompt, try pressing enter.
-root@myapp-debug:/#
-```
-
-{{< note >}}
-* 만일 여러분이 새로 생성되는 컨테이너의 이름을 `--container` 플래그와 함께 지정하지 않는다면,
-  `kubectl debug`는 자동으로 새로운 컨테이너 이름을 생성한다.
-* `-i` 플래그를 사용하면 `kubectl debug` 명령이 새로운 컨테이너에 기본적으로 연결되게 된다.
-  이러한 동작은 `--attach=false`을 지정하여 방지할 수 있다. 만일 여러분의 세션이
-  연결이 끊어진다면 `kubectl attach`를 사용해서 다시 연결할 수 있다.
-* `--share-processes` 옵션은 이 파드에 있는 컨테이너가 해당 파드에 속한 다른 컨테이너의
-  프로세스를 볼 수 있도록 한다. 이 옵션이 어떻게 동작하는지에 대해 더 알아보기 위해서는
-  다음의 [파드의 컨테이너 간 프로세스 네임스페이스 공유](
-  /docs/tasks/configure-pod-container/share-process-namespace/)를 참고하라.
-{{< /note >}}
-
-사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
-
-```shell
-kubectl delete pod myapp myapp-debug
-```
-
-### 명령어를 변경하며 파드의 복제본 생성하기
-
-때때로 컨테이너의 명령어를 변경하는 것이 유용한 경우가 있는데, 예를 들면 디버그 플래그를 추가하기
-위해서나 애플리케이션이 크래시 되는 경우이다.
-
-다음의 `kubectl run` 명령을 통해 즉각적으로 크래시가 발생하는 애플리케이션의
-사례를 시뮬레이션해 볼 수 있다.
-
-```
-kubectl run --image=busybox myapp -- false
-```
-
-`kubectl describe pod myapp` 명령을 통해 이 컨테이너에 크래시가 발생하고 있음을 확인할 수 있다.
-
-```
-Containers:
-  myapp:
-    Image:         busybox
-    ...
-    Args:
-      false
-    State:          Waiting
-      Reason:       CrashLoopBackOff
-    Last State:     Terminated
-      Reason:       Error
-      Exit Code:    1
-```
-
-이러한 경우에 `kubectl debug`을 통해 명령어를 지정함으로써 해당 파드의
-복제본을 인터랙티브 쉘로 생성할 수 있다.
-
-```
-kubectl debug myapp -it --copy-to=myapp-debug --container=myapp -- sh
-```
-
-```
-If you don't see a command prompt, try pressing enter.
-/ #
-```
-
-이제 인터랙티브 쉘에 접근할 수 있으니 파일 시스템 경로를 확인하거나
-동작 중인 컨테이너의 명령어를 직접 확인하는 등의 작업이 가능하다.
-
-{{< note >}}
-* 특정 컨테이너의 명령어를 변경하기 위해서는 `--container` 옵션을 통해 해당 컨테이너의
-  이름을 지정해야만 한다. 이름을 지정하지 않는다면 `kubectl debug`은 이전에 지정한 명령어를
-  그대로 사용해서 컨테이너를 생성할 것이다.
-* 기본적으로 `-i` 플래그는 `kubectl debug` 명령이 컨테이너에 바로 연결되도록 한다.
-  이러한 동작을 방지하기 위해서는 `--attach=false` 옵션을 지정할 수 있다. 만약 여러분이 세션이
-  종료된다면 `kubectl attach` 명령을 통해 다시 연결할 수 있다.
-{{< /note >}}
-
-사용이 모두 끝나면, 디버깅에 사용된 파드들을 잊지 말고 정리한다.
-
-```shell
-kubectl delete pod myapp myapp-debug
-```
-
-### 컨테이너 이미지를 변경하며 파드의 복제본 생성하기
-
-특정한 경우에 여러분은 제대로 동작하지 않는 파드의 이미지를
-기존 프로덕션 컨테이너 이미지에서 디버깅 빌드나 추가적인 도구를 포함한
-이미지로 변경하고 싶을 수 있다.
-
-이 사례를 보여주기 위해 `kubectl run` 명령을 통해 파드를 생성하였다.
-
-```
-kubectl run myapp --image=busybox --restart=Never -- sleep 1d
-```
-
-여기서는 `kubectl debug` 명령을 통해 해당 컨테이너 이미지를 `ubuntu`로 변경하며
-복제본을 생성하였다.
-
-```
-kubectl debug myapp --copy-to=myapp-debug --set-image=*=ubuntu
-```
-
-`--set-image`의 문법은 `kubectl set image`와 동일하게 `container_name=image`
-형식의 문법을 사용한다. `*=ubuntu`라는 의미는 모든 컨테이너의 이미지를 `ubuntu`로
-변경하겠다는 의미이다.
-
-사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
-
-```shell
-kubectl delete pod myapp myapp-debug
-```
-
-## 노드의 쉘을 사용해서 디버깅하기 {#node-shell-session}
-
-만약 위의 어떠한 방법도 사용할 수 없다면, 파드가 현재 동작 중인 노드를 찾아
-호스트의 네임스페이스로 동작하는 특권 파드를 생성할 수 있다.
-다음 `kubectl debug` 명령을 통해 해당 노드에서 인터랙티브한 쉘을 생성할 수 있다.
-
-```shell
-kubectl debug node/mynode -it --image=ubuntu
-```
-
-```
-Creating debugging pod node-debugger-mynode-pdx84 with container debugger on node mynode.
-If you don't see a command prompt, try pressing enter.
-root@ek8s:/#
-```
-
-노드에서 디버깅 세션을 생성할 때 유의해야 할 점은 다음과 같다.
-
-* `kubectl debug`는 노드의 이름에 기반해 새로운 파드의 이름을
-  자동으로 생성한다.
-* 컨테이너는 호스트 네임스페이스(IPC, 네트워크, PID 네임스페이스)에서 동작한다.
-* 노드의 루트 파일시스템은 `/host`에 마운트된다.
-
-사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
-
-```shell
-kubectl delete pod node-debugger-mynode-pdx84
-```
diff --git a/content/ko/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md b/content/ko/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md
deleted file mode 100644
index dc3981954de..00000000000
--- a/content/ko/docs/tasks/debug-application-cluster/resource-metrics-pipeline.md
+++ /dev/null
@@ -1,76 +0,0 @@
----
-
-
-
-title: 리소스 메트릭 파이프라인
-content_type: concept
----
-
-<!-- overview -->
-
-컨테이너 CPU 및 메모리 사용량과 같은 리소스 사용량 메트릭은
-쿠버네티스의 메트릭 API를 통해 사용할 수 있다. 이 메트릭은
-`kubectl top` 커맨드 사용하여 사용자가 직접적으로 액세스하거나,
-Horizontal Pod Autoscaler 같은 클러스터의 컨트롤러에서 결정을 내릴 때 사용될 수 있다.
-
-<!-- body -->
-
-## 메트릭 API
-
-메트릭 API를 통해, 주어진 노드나 파드에서 현재 사용중인
-리소스의 양을 알 수 있다. 이 API는 메트릭 값을 저장하지
-않으므로, 예를 들어, 지정된 노드에서 10분 전에 사용된 리소스의 양을
-가져오는 것과 같은 일을 할 수는 없다.
-
-이 API와 다른 API는 차이가 없다.
-
-- 다른 쿠버네티스 API의 엔드포인트와 같이 `/apis/metrics.k8s.io/` 하위 경로에서 발견될 수 있다
-- 동일한 보안, 확장성 및 신뢰성 보장을 제공한다
-
-[k8s.io/metrics](https://github.com/kubernetes/metrics/blob/master/pkg/apis/metrics/v1beta1/types.go)
-리포지터리에서 이 API를 정의하고 있다. 여기에서 이 API에 대한 더 상세한 정보를 찾을 수 있다.
-
-{{< note >}}
-이 API를 사용하려면 메트릭 서버를 클러스터에 배포해야 한다. 그렇지 않으면 사용할 수 없다.
-{{< /note >}}
-
-## 리소스 사용량 측정
-
-### CPU
-
-CPU는 일정 기간 동안
-[CPU 코어](/ko/docs/concepts/configuration/manage-resources-containers/#cpu의-의미)에서
-평균 사용량으로 리포트된다. 이 값은 커널(리눅스와 윈도우 커널 모두)에서 제공하는
-누적 CPU 카운터보다 높은 비율을 적용해서 얻는다.
-kubelet은 비율 계산에 사용할 윈도우를 선택한다.
-
-### 메모리
-
-메모리는 메트릭이 수집된 순간 작업 집합으로 리포트 된다.
-이상적인 환경에서 "작업 집합(working set)"은 압박(memory pressure)에서 풀려날 수 없는 사용 중인(in-use) 메모리의 양이다.
-그러나 작업 집합의 계산은 호스트 OS에 따라 다르며, 일반적으로 휴리스틱스를 사용해서 평가한다.
-쿠버네티스는 스왑(swap)을 지원하지 않기 때문에 모든 익명(파일로 백업되지 않은) 메모리를 포함한다.
-호스트 OS가 항상 이러한 페이지를 회수할 수 없기 때문에 메트릭에는 일반적으로 일부 캐시된(파일 백업) 메모리도 포함된다.
-
-## 메트릭 서버
-
-[메트릭 서버](https://github.com/kubernetes-sigs/metrics-server)는 클러스터 전역에서 리소스 사용량 데이터를 집계한다.
-`kube-up.sh` 스크립트에 의해 생성된 클러스터에는 기본적으로 메트릭 서버가
-디플로이먼트 오브젝트로 배포된다. 만약 다른 쿠버네티스 설치 메커니즘을 사용한다면, 제공된
-[디플로이먼트 components.yaml](https://github.com/kubernetes-sigs/metrics-server/releases) 파일을 사용하여 메트릭 서버를 배포할 수 있다.
-
-메트릭 서버는 각 노드에서 [Kubelet](/docs/reference/command-line-tools-reference/kubelet/)에 의해
-노출된 Summary API에서 메트릭을 수집하고, [쿠버네티스 aggregator](/ko/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/)를
-통해 메인 API 서버에 등록된다.
-
-[설계 문서](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/instrumentation/metrics-server.md)에서
-메트릭 서버에 대해 자세하게 배울 수 있다.
-
-### 요약(Summary) API 소스
-[Kubelet](/docs/reference/command-line-tools-reference/kubelet/)은 노드, 볼륨, 파드, 컨테이너 수준의 통계를 수집하며, 
-소비자(consumer)가 읽을 수 있도록 이 통계를 
-[요약 API](https://github.com/kubernetes/kubernetes/blob/7d309e0104fedb57280b261e5677d919cb2a0e2d/staging/src/k8s.io/kubelet/pkg/apis/stats/v1alpha1/types.go)에 기록한다.
-
-1.23 이전에는 이러한 자원들은 기본적으로 [cAdvisor](https://github.com/google/cadvisor)에 의해 수집되었다. 
-그러나, 1.23에서 `PodAndContainerStatsFromCRI` 기능 게이트가 추가되면서, 컨테이너 및 파드 수준 통계를 CRI 구현에서 수집할 수 있게 되었다.
-참고: 이를 위해서는 CRI 구현에서도 이 기능을 지원해야 한다(containerd >= 1.6.0, CRI-O >= 1.23.0).
diff --git a/content/ko/docs/tasks/debug-application-cluster/troubleshooting.md b/content/ko/docs/tasks/debug/_index.md
similarity index 87%
rename from content/ko/docs/tasks/debug-application-cluster/troubleshooting.md
rename to content/ko/docs/tasks/debug/_index.md
index 91501a05bca..43972f2bac9 100644
--- a/content/ko/docs/tasks/debug-application-cluster/troubleshooting.md
+++ b/content/ko/docs/tasks/debug/_index.md
@@ -1,9 +1,12 @@
 ---
+title: "모니터링, 로깅, 및 디버깅"
+description: 클러스터를 트러블슈팅할 수 있도록 모니터링과 로깅을 설정하거나, 컨테이너화된 애플리케이션을 디버깅한다.
+weight: 20
 
 
 
 content_type: concept
-title: 트러블슈팅하기
+no_list: true
 ---
 
 <!-- overview -->
@@ -11,9 +14,9 @@ title: 트러블슈팅하기
 때때로 문제가 발생할 수 있다. 이 가이드는 이러한 상황을 해결하기 위해 작성되었다. 문제 해결에는
 다음 두 가지를 참고해 볼 수 있다.
 
-* [애플리케이션 트러블슈팅하기](/docs/tasks/debug-application-cluster/debug-application/) - 쿠버네티스에
+* [애플리케이션 디버깅하기](/ko/docs/tasks/debug/debug-application/) - 쿠버네티스에
   코드를 배포하였지만 제대로 동작하지 않는 사용자들에게 유용한 가이드이다.
-* [클러스터 트러블슈팅하기](/ko/docs/tasks/debug-application-cluster/debug-cluster/) - 쿠버네티스 클러스터에
+* [클러스터 디버깅하기](/ko/docs/tasks/debug/debug-cluster/) - 쿠버네티스 클러스터에
   문제를 겪고 있는 클러스터 관리자 혹은 기분이 나쁜 사람들에게 유용한 가이드이다.
 
 여러분이 현재 사용중인 릴리스에 대한 알려진 이슈들을 다음의 [릴리스](https://github.com/kubernetes/kubernetes/releases)
@@ -35,7 +38,7 @@ title: 트러블슈팅하기
 [튜토리얼](/ko/docs/tutorials/)은 실무, 산업 특화 혹은 종단간 개발에 특화된 시나리오를 통해 차근차근 설명한다. 
 [레퍼런스](/ko/docs/reference/) 섹션에서는 
 [쿠버네티스 API](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)와 
-[`kubectl`](/ko/docs/reference/kubectl/overview/)과 같은 커맨드 라인 인터페이스(CLI)에 대한 
+[`kubectl`](/ko/docs/reference/kubectl/)과 같은 커맨드 라인 인터페이스(CLI)에 대한 
 상세한 설명을 다룬다.
 
 ## 도와주세요! 내 질문이 다뤄지지 않았어요! 도움이 필요해요!
@@ -45,8 +48,9 @@ title: 트러블슈팅하기
 여러분들이 겪고 있는 문제와 동일한 문제에 대한 도움을 위해 커뮤니티의 다른 사람들이 이미
 질문을 올렸을 수 있다. 쿠버네티스 팀은
 [쿠버네티스 태그가 등록된 글](https://stackoverflow.com/questions/tagged/kubernetes)들을 모니터링하고 있다.
-발생한 문제와 도움이 되는 질문이 없다면,
-[새로운 질문](https://stackoverflow.com/questions/ask?tags=kubernetes)을 올려라!
+발생한 문제에 도움이 되는 기존 질문이 없다면,
+**[해당 질문이 스택 오버플로우에 적합한지](https://stackoverflow.com/help/on-topic)와 [새로운 질문을 올리는 방법](https://stackoverflow.com/help/how-to-ask)에 대한 가이드를 읽은 뒤에** 
+[새로운 질문](https://stackoverflow.com/questions/ask?tags=kubernetes)을 올리자!
 
 ### 슬랙
 
@@ -102,6 +106,3 @@ Turkey(터키) | [`#tr-users`](https://kubernetes.slack.com/messages/tr-users),
 * 쿠버네티스 버전: `kubectl version`
 * 클라우드 프로바이더, OS 배포판, 네트워크 구성, 및 도커 버전
 * 문제를 재현하기 위한 절차
-
-
-
diff --git a/content/ko/docs/tasks/debug/debug-application/_index.md b/content/ko/docs/tasks/debug/debug-application/_index.md
new file mode 100644
index 00000000000..6208a081666
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-application/_index.md
@@ -0,0 +1,7 @@
+---
+title: "애플리케이션 트러블슈팅하기"
+description: 일반적인 컨테이너화된 애플리케이션 이슈를 디버깅한다.
+weight: 20
+---
+
+이 문서는 컨테이너화된 애플리케이션의 이슈를 해결하기 위한 자원을 담고 있다. 쿠버네티스 리소스(예: 파드, 서비스, 스테이트풀셋)의 일반적 이슈, 컨테이너 종료 메시지 이해에 대한 조언, 실행 중인 컨테이너를 디버그하는 방법 등을 다룬다.
diff --git a/content/ko/docs/tasks/debug-application-cluster/debug-init-containers.md b/content/ko/docs/tasks/debug/debug-application/debug-init-containers.md
similarity index 99%
rename from content/ko/docs/tasks/debug-application-cluster/debug-init-containers.md
rename to content/ko/docs/tasks/debug/debug-application/debug-init-containers.md
index a831f5d2672..3e4dd6aec6e 100644
--- a/content/ko/docs/tasks/debug-application-cluster/debug-init-containers.md
+++ b/content/ko/docs/tasks/debug/debug-application/debug-init-containers.md
@@ -1,6 +1,15 @@
 ---
+
+
+
+
+
+
+
+
 title: 초기화 컨테이너(Init Containers) 디버그하기
 content_type: task
+weight: 40
 ---
 
 <!-- overview -->
diff --git a/content/ko/docs/tasks/debug/debug-application/debug-pods.md b/content/ko/docs/tasks/debug/debug-application/debug-pods.md
new file mode 100644
index 00000000000..c575663a054
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-application/debug-pods.md
@@ -0,0 +1,159 @@
+---
+
+
+
+title: 파드 디버깅하기
+content_type: task
+weight: 10
+---
+
+<!-- overview -->
+
+이 가이드는 쿠버네티스에 배포되었지만 제대로 동작하지 않는 애플리케이션을 디버깅하는 방법을 소개한다. 
+이 가이드는 클러스터 디버깅에 대한 것은 아니다. 
+클러스터 디버깅에 대해서는 [이 가이드](/ko/docs/tasks/debug/debug-cluster/)를 참고한다.
+
+<!-- body -->
+
+## 문제 진단하기
+
+트러블슈팅의 첫 단계는 문제를 파악하는 것이다. 
+무엇이 문제인가? 파드인가, 레플리케이션 컨트롤러인가, 서비스인가?
+
+   * [파드 디버깅하기](#debugging-pods)
+   * [레플리케이션컨트롤러 디버깅하기](#debugging-replication-controllers)
+   * [서비스 디버깅하기](#debugging-services)
+
+### 파드 디버깅하기 {#debugging-pods}
+
+파드 디버깅의 첫 번째 단계는 파드를 살펴 보는 것이다. 다음의 명령어를 사용하여 파드의 현재 상태와 최근 이벤트를 점검한다.
+
+```shell
+kubectl describe pods ${POD_NAME}
+```
+
+파드 내부 컨테이너의 상태를 확인한다. 모두 `Running` 상태인가? 최근에 재시작 되었는가?
+
+파드의 상태에 따라 디버깅을 계속한다.
+
+#### 파드가 계속 pending 상태인 경우
+
+파드가 `Pending` 상태로 멈춰 있는 경우는, 노드에 스케줄 될 수 없음을 의미한다.
+일반적으로 이것은 어떤 유형의 리소스가 부족하거나 스케줄링을 방해하는 다른 요인 때문이다.
+상단의 `kubectl describe ...` 명령의 결과를 확인하자.
+파드를 스케줄 할 수 없는 사유에 대한 스케줄러의 메세지가 있을 것이다. 다음과 같은 사유가 있을 수 있다.
+
+* **리소스가 부족한 경우**: 사용자 클러스터의 CPU 나 메모리가 고갈되었을 수 있다. 
+이러한 경우, 파드를 삭제하거나, 리소스 요청을 조정하거나, 클러스터에 노드를 추가해야 한다. 
+[컴퓨트 자원 문서](/ko/docs/concepts/configuration/manage-resources-containers/)에서 더 많은 정보를 확인한다.
+
+* **`hostPort`를 사용하고 있는 경우**: 파드를 `hostPort`에 바인딩할 때, 파드가 스케줄링될 수 있는 장소 수 제한이 존재한다. 
+대부분의 경우 `hostPort`는 불필요하므로, 파드를 노출하기 위해서는 서비스(Service) 오브젝트 사용을 고려해 본다. 
+`hostPort`가 꼭 필요하다면 클러스터의 노드 수 만큼만 파드를 스케줄링할 수 있다.
+
+
+#### 파드가 계속 waiting 상태인 경우
+
+파드가 `Waiting` 상태에서 멈춘 경우는, 파드가 워커 노드에 스케줄링되었지만 해당 노드에서 실행될 수 없음을 의미한다.
+다시 말하지만, `kubectl describe ...` 명령은 유용한 정보를 제공한다. 파드가 `Waiting` 상태에서 멈추는 가장 흔한 원인은 이미지 풀링(pulling)에 실패했기 때문이다. 다음의 3가지 사항을 확인한다.
+
+* 이미지 이름이 올바른지 확인한다.
+* 해당 이미지를 저장소에 푸시하였는가?
+* 이미지가 풀 될 수 있는지 확인하기 위해 수동으로 이미지를 풀 해본다. 
+  예를 들어, PC에서 도커를 사용하는 경우, `docker pull <image>` 명령을 실행한다.
+
+#### 파드가 손상(crashing)되었거나 양호하지 않을(unhealthy) 경우
+
+일단 사용자의 파드가 스케줄 되면, [구동중인 파드 디버그하기](/ko/docs/tasks/debug/debug-application/debug-running-pod/)에
+있는 방법을 사용하여 디버깅을 할 수 있다.
+
+#### 파드가 running 상태이지만 해야 할 일을 하고 있지 않은 경우
+
+파드가 예상과 다르게 동작 중이라면, 파드 상세(예: 로컬 머신에 있는 `mypod.yaml` 파일)에 에러가 있었는데 
+파드 생성 시에 에러가 조용히 지나쳐진 경우일 수 있다. 
+종종 파드 상세의 들여쓰기가 잘못되었거나, 
+키 이름에 오타가 있어서 해당 키가 무시되는 일이 있을 수 있다. 
+예를 들어, `command`를 `commnd`로 잘못 기재했다면 
+해당 파드는 생성은 되지만 명시한 명령줄을 실행하지 않을 것이다.
+
+가장 먼저 해야 할 일은 파드를 삭제한 다음, `--validate` 옵션을 사용하여 다시 만들어 보는 것이다.
+예를 들어, `kubectl apply --validate -f mypod.yaml` 를 실행한다.
+`command`를 `commnd`로 잘못 기재했다면 다음과 같은 에러가 발생할 것이다.
+
+```shell
+I0805 10:43:25.129850   46757 schema.go:126] unknown field: commnd
+I0805 10:43:25.129973   46757 schema.go:129] this may be a false alarm, see https://github.com/kubernetes/kubernetes/issues/6842
+pods/mypod
+```
+
+<!-- TODO: Now that #11914 is merged, this advice may need to be updated -->
+
+다음으로 확인할 것은 apiserver를 통해 확인한 파드 상세가 
+사용자가 의도한 파드 상세(예: 로컬 머신에 있는 yaml 파일)와 일치하는지 여부이다.
+예를 들어, `kubectl get pods/mypod -o yaml > mypod-on-apiserver.yaml` 를 실행한 다음, 
+원본 파드 상세(`mypod.yaml`)와 apiserver를 통해 확인한 파드 상세(`mypod-on-apiserver.yaml`)를 수동으로 비교한다. 
+보통 원본 버전에는 없지만 "apiserver" 버전에는 있는 줄들이 존재한다. 
+이는 예상대로이다. 
+하지만, 원본 버전에는 있지만 "apiserver" 버전에는 없는 줄들이 있다면, 
+이는 원본 파드 상세에 문제가 있을 수도 있음을 의미한다.
+
+## 레플리케이션컨트롤러 디버깅하기 {#debugging-replication-controllers}
+
+레플리케이션컨트롤러의 경우에는 매우 직관적이다. 파드 생성이 가능하거나 또는 불가능한 경우 둘 뿐이다. 
+레플리케이션컨트롤러가 파드를 생성할 수 없다면, [위의 지침](#debugging-pods)을 참고하여 파드를 디버깅한다.
+
+사용자는 `kubectl describe rc ${CONTROLLER_NAME}` 을 사용하여 
+레플리케이션 컨트롤러와 관련된 이벤트를 검사할 수도 있다.
+
+### 서비스 디버깅하기 {#debugging-services}
+
+서비스는 파드 집합에 대한 로드 밸런싱 기능을 제공한다. 일반적인 몇몇 문제들 때문에 서비스가 제대로 동작하지 않을 수 있다. 
+다음 지침을 이용하여 서비스 문제를 디버깅할 수 있다.
+
+먼저, 서비스를 위한 엔드포인트가 존재하는지 확인한다. 모든 서비스 오브젝트에 대해, apiserver는 `endpoints` 리소스를 생성하고 사용 가능한(available) 상태로 만든다.
+
+다음 명령을 사용하여 이 리소스를 볼 수 있다.
+
+```shell
+kubectl get endpoints ${SERVICE_NAME}
+```
+
+엔드포인트의 수가 해당 서비스에 속하는 파드의 수와 일치하는지 확인한다.
+예를 들어, 서비스가 레플리카 3개인 nginx 컨테이너를 위한 것이라면, 
+서비스의 엔드포인트 항목에서 서로 다른 3개의 IP 주소가 확인되어야 한다.
+
+#### 서비스에 엔드포인트가 없는 경우
+
+엔드포인트가 없는 상태라면, 서비스가 사용 중인 레이블을 이용하여 파드 목록을 조회해 본다. 
+다음과 같은 레이블을 갖는 서비스를 가정한다.
+
+```yaml
+...
+spec:
+  - selector:
+     name: nginx
+     type: frontend
+```
+
+다음의 명령을 사용하여,
+
+```shell
+kubectl get pods --selector=name=nginx,type=frontend
+```
+
+이 셀렉터에 매치되는 파드 목록을 조회할 수 있다. 서비스에 속할 것으로 예상하는 파드가 모두 조회 결과에 있는지 확인한다. 
+파드의 `containerPort`가 서비스의 `targetPort`와 일치하는지 확인한다.
+
+#### 네트워크 트래픽이 포워드되지 않는 경우
+
+[서비스 디버깅하기](/docs/tasks/debug/debug-application/debug-service/)에서 더 많은 정보를 확인한다.
+
+## {{% heading "whatsnext" %}}
+
+위의 방법 중 어떤 것으로도 문제가 해결되지 않는다면, 
+[서비스 디버깅하기 문서](/docs/tasks/debug/debug-application/debug-service/)를 참조하여 
+`서비스`가 실행 중인지, 서비스에 `엔드포인트`가 있는지, `파드`가 실제로 서빙 중인지 확인한다. 
+예를 들어, DNS가 실행 중이고, iptables 규칙이 설정되어 있고, kube-proxy가 정상적으로 동작하는 것으로 보이는 상황이라면, 
+위와 같은 사항을 확인해 볼 수 있다.
+
+[트러블슈팅 문서](/ko/docs/tasks/debug/)에서 더 많은 정보를 볼 수도 있다.
diff --git a/content/ko/docs/tasks/debug/debug-application/debug-running-pod.md b/content/ko/docs/tasks/debug/debug-application/debug-running-pod.md
new file mode 100644
index 00000000000..a31c83f82a3
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-application/debug-running-pod.md
@@ -0,0 +1,638 @@
+---
+
+
+
+title: 동작 중인 파드 디버그
+content_type: task
+---
+
+<!-- overview -->
+
+이 페이지는 노드에서 동작 중인(혹은 크래시된) 파드를 디버그하는 방법에 대해 설명한다.
+
+
+## {{% heading "prerequisites" %}}
+
+
+* 여러분의 {{< glossary_tooltip text="파드" term_id="pod" >}}는 이미 스케줄링 되어
+  동작하고 있을 것이다. 만약 파드가 아직 동작중이지 않다면, [애플리케이션
+  트러블슈팅](/ko/docs/tasks/debug/debug-application/)을 참고한다.
+* 일부 고급 디버깅 과정에서는 해당 파드가 어떤 노드에서 동작하고 있는지
+  알아야 하고, 해당 노드에서 쉘 명령어를 실행시킬 수 있어야 한다.
+  `kubectl`을 사용하는 일반적인 디버깅 과정에서는 이러한 접근 권한이 필요하지 않다.
+
+## `kubectl describe pod` 명령으로 파드 상세사항 가져오기
+
+이 예제에서는 앞의 예제와 비슷하게 두 개의 파드를 생성하기 위해 디플로이먼트를 사용할 것이다.
+
+{{< codenew file="application/nginx-with-request.yaml" >}}
+
+다음 명령을 실행하여 디플로이먼트를 생성한다.
+
+```shell
+kubectl apply -f https://k8s.io/examples/application/nginx-with-request.yaml
+```
+
+```none
+deployment.apps/nginx-deployment created
+```
+
+다음 명령을 실행하여 파드 상태를 확인한다.
+
+```shell
+kubectl get pods
+```
+
+```none
+NAME                                READY   STATUS    RESTARTS   AGE
+nginx-deployment-67d4bdd6f5-cx2nz   1/1     Running   0          13s
+nginx-deployment-67d4bdd6f5-w6kd7   1/1     Running   0          13s
+```
+
+다음과 같이 `kubectl describe pod` 명령을 사용하여 각 파드에 대한 더 많은 정보를 가져올 수 있다.
+
+```shell
+kubectl describe pod nginx-deployment-67d4bdd6f5-w6kd7
+```
+
+```none
+Name:         nginx-deployment-67d4bdd6f5-w6kd7
+Namespace:    default
+Priority:     0
+Node:         kube-worker-1/192.168.0.113
+Start Time:   Thu, 17 Feb 2022 16:51:01 -0500
+Labels:       app=nginx
+              pod-template-hash=67d4bdd6f5
+Annotations:  <none>
+Status:       Running
+IP:           10.88.0.3
+IPs:
+  IP:           10.88.0.3
+  IP:           2001:db8::1
+Controlled By:  ReplicaSet/nginx-deployment-67d4bdd6f5
+Containers:
+  nginx:
+    Container ID:   containerd://5403af59a2b46ee5a23fb0ae4b1e077f7ca5c5fb7af16e1ab21c00e0e616462a
+    Image:          nginx
+    Image ID:       docker.io/library/nginx@sha256:2834dc507516af02784808c5f48b7cbe38b8ed5d0f4837f16e78d00deb7e7767
+    Port:           80/TCP
+    Host Port:      0/TCP
+    State:          Running
+      Started:      Thu, 17 Feb 2022 16:51:05 -0500
+    Ready:          True
+    Restart Count:  0
+    Limits:
+      cpu:     500m
+      memory:  128Mi
+    Requests:
+      cpu:        500m
+      memory:     128Mi
+    Environment:  <none>
+    Mounts:
+      /var/run/secrets/kubernetes.io/serviceaccount from kube-api-access-bgsgp (ro)
+Conditions:
+  Type              Status
+  Initialized       True 
+  Ready             True 
+  ContainersReady   True 
+  PodScheduled      True 
+Volumes:
+  kube-api-access-bgsgp:
+    Type:                    Projected (a volume that contains injected data from multiple sources)
+    TokenExpirationSeconds:  3607
+    ConfigMapName:           kube-root-ca.crt
+    ConfigMapOptional:       <nil>
+    DownwardAPI:             true
+QoS Class:                   Guaranteed
+Node-Selectors:              <none>
+Tolerations:                 node.kubernetes.io/not-ready:NoExecute op=Exists for 300s
+                             node.kubernetes.io/unreachable:NoExecute op=Exists for 300s
+Events:
+  Type    Reason     Age   From               Message
+  ----    ------     ----  ----               -------
+  Normal  Scheduled  34s   default-scheduler  Successfully assigned default/nginx-deployment-67d4bdd6f5-w6kd7 to kube-worker-1
+  Normal  Pulling    31s   kubelet            Pulling image "nginx"
+  Normal  Pulled     30s   kubelet            Successfully pulled image "nginx" in 1.146417389s
+  Normal  Created    30s   kubelet            Created container nginx
+  Normal  Started    30s   kubelet            Started container nginx
+```
+
+위 예시에서 컨테이너와 파드에 대한 구성 정보(레이블, 리소스 요구사항 등) 및 상태 정보(상태(state), 준비성(readiness), 재시작 횟수, 이벤트 등)를 볼 수 있다.
+
+컨테이너의 상태(state)값은 Waiting, Running, 또는 Terminated 중 하나이다. 각 상태에 따라, 추가 정보가 제공될 것이다. 위 예시에서 Running 상태의 컨테이너에 대해서는 컨테이너의 시작 시각을 시스템이 표시해 주는 것을 볼 수 있다.
+
+Ready 값은 컨테이너의 마지막 준비성 프로브(readiness probe) 통과 여부를 알려 준다. (위 예시에서는 컨테이너에 준비성 프로브가 설정되어 있지 않다. 컨테이너에 준비성 프로브가 설정되어 있지 않으면, 컨테이너는 준비(ready) 상태로 간주된다.)
+
+'재시작 카운트'는 컨테이너가 재시작된 횟수를 보여 준다. 이 정보는 재시작 정책이 'always'로 설정된 컨테이너의 반복적인 강제 종료를 알아차리는 데에 유용하다.
+
+위 예시에서 파드와 연관된 유일한 컨디션(Condition)은 True 또는 False 값을 갖는 Ready 컨디션이며, 이 값이 True라는 것은 파드가 요청을 처리할 수 있으며 모든 동일한 서비스를 묶는 로드 밸런싱 풀에 추가되어야 함을 의미한다.
+
+마지막으로, 파드와 관련된 최근 이벤트 로그가 표시된다. 시스템은 동일한 여러 이벤트를 처음/마지막 발생 시간 및 발생 횟수만 압축적으로 표시한다. "From"은 이벤트 로그를 발생하는 구성 요소를 가리키고, "SubobjectPath"는 참조되는 개체(예: 파드 내 컨테이너)를 나타내며, "Reason" 및 "Message"는 발생한 상황을 알려 준다.
+
+
+## 예시: Pending 상태의 파드 디버깅하기
+
+이벤트를 사용하여 감지할 수 있는 일반적인 시나리오는 노드에 할당될 수 없는 파드를 생성하는 경우이다. 예를 들어 파드가 노드에 사용 가능한 리소스보다 더 많은 리소스를 요청하거나, 또는 어떤 노드에도 해당되지 않는 레이블 셀렉터를 명시했을 수 있다. 예를 들어 4개 노드로 구성되며 각 (가상) 머신에 1 CPU가 있는 클러스터가 있는 상황에서, 위 예시 대신 2 레플리카가 아니라 5 레플리카를, 500 밀리코어가 아니라 600 밀리코어를 요청하는 디플로이먼트를 배포했다고 해 보자. 이러한 경우 5개의 파드 중 하나는 스케줄링될 수 없을 것이다. (각 노드에는 fluentd, skydns 등의 클러스터 애드온도 실행되고 있으므로, 만약 1000 밀리코어를 요청했다면 파드가 하나도 스케줄될 수 없었을 것이다.)
+
+```shell
+kubectl get pods
+```
+
+```none
+NAME                                READY     STATUS    RESTARTS   AGE
+nginx-deployment-1006230814-6winp   1/1       Running   0          7m
+nginx-deployment-1006230814-fmgu3   1/1       Running   0          7m
+nginx-deployment-1370807587-6ekbw   1/1       Running   0          1m
+nginx-deployment-1370807587-fg172   0/1       Pending   0          1m
+nginx-deployment-1370807587-fz9sd   0/1       Pending   0          1m
+```
+
+nginx-deployment-1370807587-fz9sd 파드가 왜 실행되지 않는지를 알아 보려면, pending 상태의 파드에 대해 `kubectl describe pod` 명령을 실행하고 이벤트(event) 항목을 확인해 볼 수 있다.
+
+```shell
+kubectl describe pod nginx-deployment-1370807587-fz9sd
+```
+
+```none
+  Name:		nginx-deployment-1370807587-fz9sd
+  Namespace:	default
+  Node:		/
+  Labels:		app=nginx,pod-template-hash=1370807587
+  Status:		Pending
+  IP:
+  Controllers:	ReplicaSet/nginx-deployment-1370807587
+  Containers:
+    nginx:
+      Image:	nginx
+      Port:	80/TCP
+      QoS Tier:
+        memory:	Guaranteed
+        cpu:	Guaranteed
+      Limits:
+        cpu:	1
+        memory:	128Mi
+      Requests:
+        cpu:	1
+        memory:	128Mi
+      Environment Variables:
+  Volumes:
+    default-token-4bcbi:
+      Type:	Secret (a volume populated by a Secret)
+      SecretName:	default-token-4bcbi
+  Events:
+    FirstSeen	LastSeen	Count	From			        SubobjectPath	Type		Reason			    Message
+    ---------	--------	-----	----			        -------------	--------	------			    -------
+    1m		    48s		    7	    {default-scheduler }			        Warning		FailedScheduling	pod (nginx-deployment-1370807587-fz9sd) failed to fit in any node
+  fit failure on node (kubernetes-node-6ta5): Node didn't have enough resource: CPU, requested: 1000, used: 1420, capacity: 2000
+  fit failure on node (kubernetes-node-wul5): Node didn't have enough resource: CPU, requested: 1000, used: 1100, capacity: 2000
+```
+
+여기서 스케줄러가 기록한 이벤트를 통해, 파드가 `FailedScheduling` 사유로 인해 스케줄링되지 않았음을 알 수 있다(다른 이유도 있을 수 있음). 이 메시지를 통해 어떤 노드에도 이 파드를 실행하기 위한 충분한 리소스가 없었음을 알 수 있다.
+
+이 상황을 바로잡으려면, `kubectl scale` 명령으로 디플로이먼트의 레플리카를 4 이하로 줄일 수 있다. (또는 한 파드를 pending 상태로 두어도 되며, 이렇게 해도 문제는 없다.)
+
+`kubectl describe pod` 출력의 마지막에 있는 것과 같은 이벤트는 etcd에 기록되어 보존되며 클러스터에 어떤 일이 일어나고 있는지에 대한 높은 차원의 정보를 제공한다. 모든 이벤트의 목록을 보려면 다음 명령을 실행한다.
+
+```shell
+kubectl get events
+```
+
+그런데 이벤트는 네임스페이스 스코프 객체라는 것을 기억해야 한다. 즉 네임스페이스 스코프 객체에 대한 이벤트(예: `my-namespace` 네임스페이스의 파드에 어떤 일이 발생했는지)가 궁금하다면, 다음과 같이 커맨드에 네임스페이스를 명시해야 한다.
+
+```shell
+kubectl get events --namespace=my-namespace
+```
+
+모든 네임스페이스에 대한 이벤트를 보려면, `--all-namespaces` 인자를 사용할 수 있다.
+
+`kubectl describe pod` 명령 외에도, `kubectl get pod` 이상의 정보를 얻는 다른 방법은 `kubectl get pod` 명령에 출력 형식 플래그 `-o yaml` 인자를 추가하는 것이다. 이렇게 하면 `kubectl describe pod` 명령보다 더 많은 정보, 원천적으로는 시스템이 파드에 대해 알고 있는 모든 정보를 YAML 형식으로 볼 수 있다. 여기서 어노테이션(레이블 제한이 없는 키-밸류 메타데이터이며, 쿠버네티스 시스템 구성 요소가 내부적으로 사용함), 재시작 정책, 포트, 볼륨과 같은 정보를 볼 수 있을 것이다.
+
+```shell
+kubectl get pod nginx-deployment-1006230814-6winp -o yaml
+```
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  creationTimestamp: "2022-02-17T21:51:01Z"
+  generateName: nginx-deployment-67d4bdd6f5-
+  labels:
+    app: nginx
+    pod-template-hash: 67d4bdd6f5
+  name: nginx-deployment-67d4bdd6f5-w6kd7
+  namespace: default
+  ownerReferences:
+  - apiVersion: apps/v1
+    blockOwnerDeletion: true
+    controller: true
+    kind: ReplicaSet
+    name: nginx-deployment-67d4bdd6f5
+    uid: 7d41dfd4-84c0-4be4-88ab-cedbe626ad82
+  resourceVersion: "1364"
+  uid: a6501da1-0447-4262-98eb-c03d4002222e
+spec:
+  containers:
+  - image: nginx
+    imagePullPolicy: Always
+    name: nginx
+    ports:
+    - containerPort: 80
+      protocol: TCP
+    resources:
+      limits:
+        cpu: 500m
+        memory: 128Mi
+      requests:
+        cpu: 500m
+        memory: 128Mi
+    terminationMessagePath: /dev/termination-log
+    terminationMessagePolicy: File
+    volumeMounts:
+    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
+      name: kube-api-access-bgsgp
+      readOnly: true
+  dnsPolicy: ClusterFirst
+  enableServiceLinks: true
+  nodeName: kube-worker-1
+  preemptionPolicy: PreemptLowerPriority
+  priority: 0
+  restartPolicy: Always
+  schedulerName: default-scheduler
+  securityContext: {}
+  serviceAccount: default
+  serviceAccountName: default
+  terminationGracePeriodSeconds: 30
+  tolerations:
+  - effect: NoExecute
+    key: node.kubernetes.io/not-ready
+    operator: Exists
+    tolerationSeconds: 300
+  - effect: NoExecute
+    key: node.kubernetes.io/unreachable
+    operator: Exists
+    tolerationSeconds: 300
+  volumes:
+  - name: kube-api-access-bgsgp
+    projected:
+      defaultMode: 420
+      sources:
+      - serviceAccountToken:
+          expirationSeconds: 3607
+          path: token
+      - configMap:
+          items:
+          - key: ca.crt
+            path: ca.crt
+          name: kube-root-ca.crt
+      - downwardAPI:
+          items:
+          - fieldRef:
+              apiVersion: v1
+              fieldPath: metadata.namespace
+            path: namespace
+status:
+  conditions:
+  - lastProbeTime: null
+    lastTransitionTime: "2022-02-17T21:51:01Z"
+    status: "True"
+    type: Initialized
+  - lastProbeTime: null
+    lastTransitionTime: "2022-02-17T21:51:06Z"
+    status: "True"
+    type: Ready
+  - lastProbeTime: null
+    lastTransitionTime: "2022-02-17T21:51:06Z"
+    status: "True"
+    type: ContainersReady
+  - lastProbeTime: null
+    lastTransitionTime: "2022-02-17T21:51:01Z"
+    status: "True"
+    type: PodScheduled
+  containerStatuses:
+  - containerID: containerd://5403af59a2b46ee5a23fb0ae4b1e077f7ca5c5fb7af16e1ab21c00e0e616462a
+    image: docker.io/library/nginx:latest
+    imageID: docker.io/library/nginx@sha256:2834dc507516af02784808c5f48b7cbe38b8ed5d0f4837f16e78d00deb7e7767
+    lastState: {}
+    name: nginx
+    ready: true
+    restartCount: 0
+    started: true
+    state:
+      running:
+        startedAt: "2022-02-17T21:51:05Z"
+  hostIP: 192.168.0.113
+  phase: Running
+  podIP: 10.88.0.3
+  podIPs:
+  - ip: 10.88.0.3
+  - ip: 2001:db8::1
+  qosClass: Guaranteed
+  startTime: "2022-02-17T21:51:01Z"
+```
+
+## 파드의 로그 확인하기 {#examine-pod-logs}
+
+먼저, 확인하고자 하는 컨테이너의 로그를 확인한다.
+
+```shell
+kubectl logs ${POD_NAME} ${CONTAINER_NAME}
+```
+
+만약 컨테이너가 이전에 크래시 되었다면, 다음의 명령을 통해 컨테이너의 크래시 로그를 살펴볼 수 있다.
+
+```shell
+kubectl logs --previous ${POD_NAME} ${CONTAINER_NAME}
+```
+
+## exec를 통해 컨테이너 디버깅하기 {#container-exec}
+
+만약 {{< glossary_tooltip text="컨테이너 이미지" term_id="image" >}}에
+디버깅 도구가 포함되어 있다면, `kubectl exec`을 통해 특정 컨테이너에서 해당 명령들을
+실행할 수 있다. (리눅스나 윈도우 OS를 기반으로 만들어진 이미지에는 대부분 디버깅 도구를 포함하고
+있다.)
+
+```shell
+kubectl exec ${POD_NAME} -c ${CONTAINER_NAME} -- ${CMD} ${ARG1} ${ARG2} ... ${ARGN}
+```
+
+{{< note >}}
+`-c ${CONTAINER_NAME}` 인자는 선택적이다. 만약 하나의 컨테이너만 포함된 파드라면 해당 옵션을 생략할 수 있다.
+{{< /note >}}
+
+예를 들어, 동작 중인 카산드라 파드의 로그를 살펴보기 위해서는 다음과 같은 명령을 실행할 수 있다.
+
+```shell
+kubectl exec cassandra -- cat /var/log/cassandra/system.log
+```
+
+`kubectl exec`에 `-i`와 `-t` 옵션을 사용해서 터미널에서 접근할 수 있는 쉘을 실행시킬 수도 있다.
+예를 들면 다음과 같다.
+
+```shell
+kubectl exec -it cassandra -- sh
+```
+
+더욱 상세한 내용은 
+[동작중인 컨테이너의 쉘에 접근하기](/ko/docs/tasks/debug/debug-application/get-shell-running-container/)를 참고한다.
+
+## 임시(ephemeral) 디버그 컨테이너를 사용해서 디버깅하기 {#ephemeral-container}
+
+{{< feature-state state="beta" for_k8s_version="v1.23" >}}
+
+컨테이너가 크래시 됐거나 
+[distroless 이미지](https://github.com/GoogleContainerTools/distroless)처럼
+컨테이너 이미지에 디버깅 도구를 포함하고 있지 않아 `kubectl exec`로는 충분하지 않은 경우에는
+{{< glossary_tooltip text="임시(Ephemeral) 컨테이너" term_id="ephemeral-container" >}}를 사용하는 것이
+인터랙티브한 트러블슈팅에 유용하다.
+
+### 임시 컨테이너를 사용한 디버깅 예시 {#ephemeral-container-example}
+
+`kubectl debug` 명령어를 사용해서 동작 중인 파드에 임시 컨테이너를 추가할 수 있다.
+먼저, 다음과 같이 파드를 추가한다.
+
+```shell
+kubectl run ephemeral-demo --image=k8s.gcr.io/pause:3.1 --restart=Never
+```
+
+이 섹션의 예시에서는 디버깅 도구가 포함되지 않은 이미지의 사례를 보여드리기 위해
+`pause` 컨테이너 이미지를 사용했는데, 이 대신 어떠한 이미지를 사용해도
+될 것이다.
+
+만약 `kubectl exec`을 통해 쉘을 생성하려 한다면 다음과 같은 에러를
+확인할 수 있을 텐데, 그 이유는 이 이미지에 쉘이 존재하지 않기 때문이다.
+
+```shell
+kubectl exec -it ephemeral-demo -- sh
+```
+
+```
+OCI runtime exec failed: exec failed: container_linux.go:346: starting container process caused "exec: \"sh\": executable file not found in $PATH": unknown
+```
+
+이 명령어 대신 `kubectl debug`을 사용해서 디버깅 컨테이너를 생성할 수 있다.
+만약 `-i`/`--interactive` 인자를 사용한다면, `kubectl`은 임시
+컨테이너의 콘솔에 자동으로 연결할 것이다.
+
+```shell
+kubectl debug -it ephemeral-demo --image=busybox --target=ephemeral-demo
+```
+
+```
+Defaulting debug container name to debugger-8xzrl.
+If you don't see a command prompt, try pressing enter.
+/ #
+```
+
+이 명령어는 새로운 busybox 컨테이너를 추가하고 해당 컨테이너로 연결한다. `--target`
+파라미터를 사용하면 다른 컨테이너의 프로세스 네임스페이스를 대상으로 하게 된다. 여기서는
+이 옵션이 꼭 필요한데, `kubectl run`이 생성하는 파드에 대해
+[프로세스 네임스페이스 공유](/docs/tasks/configure-pod-container/share-process-namespace/)를
+활성화하지 않기 때문이다.
+
+{{< note >}}
+`--target` 파라미터는 사용 중인 
+{{< glossary_tooltip text="컨테이너 런타임" term_id="container-runtime" >}}에서
+지원해야지만 사용할 수 있다. 만일 지원되지 않는다면,
+임시 컨테이너가 시작되지 않을 수 있거나 독립적인 프로세스
+네임스페이스를 가지고 시작될 수 있다.
+{{< /note >}}
+
+`kubectl describe` 명령을 사용하면 새롭게 생성된 임시 컨테이너의 상태를 확인할 수 있다.
+
+```shell
+kubectl describe pod ephemeral-demo
+```
+
+```
+...
+Ephemeral Containers:
+  debugger-8xzrl:
+    Container ID:   docker://b888f9adfd15bd5739fefaa39e1df4dd3c617b9902082b1cfdc29c4028ffb2eb
+    Image:          busybox
+    Image ID:       docker-pullable://busybox@sha256:1828edd60c5efd34b2bf5dd3282ec0cc04d47b2ff9caa0b6d4f07a21d1c08084
+    Port:           <none>
+    Host Port:      <none>
+    State:          Running
+      Started:      Wed, 12 Feb 2020 14:25:42 +0100
+    Ready:          False
+    Restart Count:  0
+    Environment:    <none>
+    Mounts:         <none>
+...
+```
+
+디버깅이 다 끝나면 `kubectl delete`을 통해 파드를 제거할 수 있다.
+
+```shell
+kubectl delete pod ephemeral-demo
+```
+
+## 파드의 복제본을 이용해서 디버깅하기
+
+때때로 파드의 설정 옵션에 따라 특정 상황에서 트러블슈팅을 하기가 어려울 수 있다.
+예를 들어, 만일 여러분의 컨테이너 이미지가 쉘을 포함하고 있지 않거나, 여러분의
+애플리케이션이 컨테이너 시작에서 크래시가 발생한다면 `kubectl exec`을 이용해서
+컨테이너를 트러블슈팅할 수 없을 수 있다. 이러한 상황에서는 `kubectl debug`을 사용해서
+파드의 복제본을 디버깅을 위한 추가적인 설정 옵션과 함께 생성할 수 있다.
+
+### 새 컨테이너와 함께 파드의 복제본 생성하기
+
+만일 여러분의 애플리케이션이 동작은 하고 있지만 예상과는 다르게 동작하는 경우,
+파드의 복제본에 새로운 컨테이너를 추가함으로써 추가적인 트러블슈팅 도구들을
+파드에 함께 추가할 수 있다.
+
+가령, 여러분의 애플리케이션 컨테이너 이미지는 `busybox`를 기반으로 하고 있는데
+여러분은 `busybox`에는 없는 디버깅 도구를 필요로 한다고 가정해 보자. 이러한
+시나리오는 `kubectl run` 명령을 통해 시뮬레이션 해볼 수 있다.
+
+```shell
+kubectl run myapp --image=busybox --restart=Never -- sleep 1d
+```
+
+다음의 명령을 실행시켜 디버깅을 위한 새로운 우분투 컨테이너와 함께 `myapp-debug`이란
+이름의 `myapp` 컨테이너 복제본을 생성할 수 있다.
+
+```shell
+kubectl debug myapp -it --image=ubuntu --share-processes --copy-to=myapp-debug
+```
+
+```
+Defaulting debug container name to debugger-w7xmf.
+If you don't see a command prompt, try pressing enter.
+root@myapp-debug:/#
+```
+
+{{< note >}}
+* 만일 여러분이 새로 생성되는 컨테이너의 이름을 `--container` 플래그와 함께 지정하지 않는다면,
+  `kubectl debug`는 자동으로 새로운 컨테이너 이름을 생성한다.
+* `-i` 플래그를 사용하면 `kubectl debug` 명령이 새로운 컨테이너에 기본적으로 연결되게 된다.
+  이러한 동작은 `--attach=false`을 지정하여 방지할 수 있다. 만일 여러분의 세션이
+  연결이 끊어진다면 `kubectl attach`를 사용해서 다시 연결할 수 있다.
+* `--share-processes` 옵션은 이 파드에 있는 컨테이너가 해당 파드에 속한 다른 컨테이너의
+  프로세스를 볼 수 있도록 한다. 이 옵션이 어떻게 동작하는지에 대해 더 알아보기 위해서는
+  다음의 [파드의 컨테이너 간 프로세스 네임스페이스 공유](
+  /docs/tasks/configure-pod-container/share-process-namespace/)를 참고하라.
+{{< /note >}}
+
+사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
+
+```shell
+kubectl delete pod myapp myapp-debug
+```
+
+### 명령어를 변경하며 파드의 복제본 생성하기
+
+때때로 컨테이너의 명령어를 변경하는 것이 유용한 경우가 있는데, 예를 들면 디버그 플래그를 추가하기
+위해서나 애플리케이션이 크래시 되는 경우이다.
+
+다음의 `kubectl run` 명령을 통해 즉각적으로 크래시가 발생하는 애플리케이션의
+사례를 시뮬레이션해 볼 수 있다.
+
+```
+kubectl run --image=busybox myapp -- false
+```
+
+`kubectl describe pod myapp` 명령을 통해 이 컨테이너에 크래시가 발생하고 있음을 확인할 수 있다.
+
+```
+Containers:
+  myapp:
+    Image:         busybox
+    ...
+    Args:
+      false
+    State:          Waiting
+      Reason:       CrashLoopBackOff
+    Last State:     Terminated
+      Reason:       Error
+      Exit Code:    1
+```
+
+이러한 경우에 `kubectl debug`을 통해 명령어를 지정함으로써 해당 파드의
+복제본을 인터랙티브 쉘로 생성할 수 있다.
+
+```
+kubectl debug myapp -it --copy-to=myapp-debug --container=myapp -- sh
+```
+
+```
+If you don't see a command prompt, try pressing enter.
+/ #
+```
+
+이제 인터랙티브 쉘에 접근할 수 있으니 파일 시스템 경로를 확인하거나
+동작 중인 컨테이너의 명령어를 직접 확인하는 등의 작업이 가능하다.
+
+{{< note >}}
+* 특정 컨테이너의 명령어를 변경하기 위해서는 `--container` 옵션을 통해 해당 컨테이너의
+  이름을 지정해야만 한다. 이름을 지정하지 않는다면 `kubectl debug`은 이전에 지정한 명령어를
+  그대로 사용해서 컨테이너를 생성할 것이다.
+* 기본적으로 `-i` 플래그는 `kubectl debug` 명령이 컨테이너에 바로 연결되도록 한다.
+  이러한 동작을 방지하기 위해서는 `--attach=false` 옵션을 지정할 수 있다. 만약 여러분이 세션이
+  종료된다면 `kubectl attach` 명령을 통해 다시 연결할 수 있다.
+{{< /note >}}
+
+사용이 모두 끝나면, 디버깅에 사용된 파드들을 잊지 말고 정리한다.
+
+```shell
+kubectl delete pod myapp myapp-debug
+```
+
+### 컨테이너 이미지를 변경하며 파드의 복제본 생성하기
+
+특정한 경우에 여러분은 제대로 동작하지 않는 파드의 이미지를
+기존 프로덕션 컨테이너 이미지에서 디버깅 빌드나 추가적인 도구를 포함한
+이미지로 변경하고 싶을 수 있다.
+
+이 사례를 보여주기 위해 `kubectl run` 명령을 통해 파드를 생성하였다.
+
+```
+kubectl run myapp --image=busybox --restart=Never -- sleep 1d
+```
+
+여기서는 `kubectl debug` 명령을 통해 해당 컨테이너 이미지를 `ubuntu`로 변경하며
+복제본을 생성하였다.
+
+```
+kubectl debug myapp --copy-to=myapp-debug --set-image=*=ubuntu
+```
+
+`--set-image`의 문법은 `kubectl set image`와 동일하게 `container_name=image`
+형식의 문법을 사용한다. `*=ubuntu`라는 의미는 모든 컨테이너의 이미지를 `ubuntu`로
+변경하겠다는 의미이다.
+
+사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
+
+```shell
+kubectl delete pod myapp myapp-debug
+```
+
+## 노드의 쉘을 사용해서 디버깅하기 {#node-shell-session}
+
+만약 위의 어떠한 방법도 사용할 수 없다면, 파드가 현재 동작 중인 노드를 찾아
+호스트의 네임스페이스로 동작하는 특권 파드를 생성할 수 있다.
+다음 `kubectl debug` 명령을 통해 해당 노드에서 인터랙티브한 쉘을 생성할 수 있다.
+
+```shell
+kubectl debug node/mynode -it --image=ubuntu
+```
+
+```
+Creating debugging pod node-debugger-mynode-pdx84 with container debugger on node mynode.
+If you don't see a command prompt, try pressing enter.
+root@ek8s:/#
+```
+
+노드에서 디버깅 세션을 생성할 때 유의해야 할 점은 다음과 같다.
+
+* `kubectl debug`는 노드의 이름에 기반해 새로운 파드의 이름을
+  자동으로 생성한다.
+* 컨테이너는 호스트 네임스페이스(IPC, 네트워크, PID 네임스페이스)에서 동작한다.
+* 노드의 루트 파일시스템은 `/host`에 마운트된다.
+
+사용이 모두 끝나면, 디버깅에 사용된 파드를 잊지 말고 정리한다.
+
+```shell
+kubectl delete pod node-debugger-mynode-pdx84
+```
diff --git a/content/ko/docs/tasks/debug-application-cluster/debug-stateful-set.md b/content/ko/docs/tasks/debug/debug-application/debug-statefulset.md
similarity index 84%
rename from content/ko/docs/tasks/debug-application-cluster/debug-stateful-set.md
rename to content/ko/docs/tasks/debug/debug-application/debug-statefulset.md
index 45f170f5d32..92c5b96d59d 100644
--- a/content/ko/docs/tasks/debug-application-cluster/debug-stateful-set.md
+++ b/content/ko/docs/tasks/debug/debug-application/debug-statefulset.md
@@ -9,6 +9,7 @@
 
 title: 스테이트풀셋 디버깅하기
 content_type: task
+weight: 30
 ---
 
 <!-- overview -->
@@ -34,10 +35,8 @@ kubectl get pods -l app=myapp
 파드들을 발견하였다면, 이러한 파드들을 어떻게 다루는지 알아보기 위해 
 [스테이트풀셋 파드 삭제하기](/ko/docs/tasks/run-application/delete-stateful-set/)를 참고하길 바란다.
 스테이트풀셋에 포함된 개별 파드들을 디버깅하기 위해서는
-[파드 디버그하기](/ko/docs/tasks/debug-application-cluster/debug-pod-replication-controller/) 가이드를 참고하길 바란다.
+[파드 디버그하기](/ko/docs/tasks/debug/debug-application/debug-pods/) 가이드를 참고하길 바란다.
 
 ## {{% heading "whatsnext" %}}
 
-[초기화 컨테이너(Init container) 디버그하기](/ko/docs/tasks/debug-application-cluster/debug-init-containers/)를 참고길 바란다.
-
-
+[초기화 컨테이너(Init container) 디버그하기](/ko/docs/tasks/debug/debug-application/debug-init-containers/)를 참고하길 바란다.
diff --git a/content/ko/docs/tasks/debug-application-cluster/determine-reason-pod-failure.md b/content/ko/docs/tasks/debug/debug-application/determine-reason-pod-failure.md
similarity index 92%
rename from content/ko/docs/tasks/debug-application-cluster/determine-reason-pod-failure.md
rename to content/ko/docs/tasks/debug/debug-application/determine-reason-pod-failure.md
index 4dde485c139..40b9a24205c 100644
--- a/content/ko/docs/tasks/debug-application-cluster/determine-reason-pod-failure.md
+++ b/content/ko/docs/tasks/debug/debug-application/determine-reason-pod-failure.md
@@ -75,6 +75,12 @@ content_type: task
 
         kubectl get pod termination-demo -o go-template="{{range .status.containerStatuses}}{{.lastState.terminated.message}}{{end}}"
 
+여러 컨테이너를 포함하는 파드의 경우, Go 템플릿을 사용하여 컨테이너 이름도 출력할 수 있다. 이렇게 하여, 어떤 컨테이너가 실패하는지 찾을 수 있다.
+
+```shell
+kubectl get pod multi-container-pod -o go-template='{{range .status.containerStatuses}}{{printf "%s:\n%s\n\n" .name .lastState.terminated.message}}{{end}}'
+```
+
 ## 종료 메시지 사용자 정의하기
 
 쿠버네티스는 컨테이너의 `terminationMessagePath` 필드에 지정된
diff --git a/content/ko/docs/tasks/debug-application-cluster/get-shell-running-container.md b/content/ko/docs/tasks/debug/debug-application/get-shell-running-container.md
similarity index 99%
rename from content/ko/docs/tasks/debug-application-cluster/get-shell-running-container.md
rename to content/ko/docs/tasks/debug/debug-application/get-shell-running-container.md
index 4eba18bbd38..7eba18aebc2 100644
--- a/content/ko/docs/tasks/debug-application-cluster/get-shell-running-container.md
+++ b/content/ko/docs/tasks/debug/debug-application/get-shell-running-container.md
@@ -154,4 +154,4 @@ kubectl exec -i -t my-pod --container main-app -- /bin/bash
 ## {{% heading "whatsnext" %}}
 
 
-* [kubectl exec](/docs/reference/generated/kubectl/kubectl-commands/#exec)를 참고한다.
\ No newline at end of file
+* [kubectl exec](/docs/reference/generated/kubectl/kubectl-commands/#exec)를 참고한다.
diff --git a/content/ko/docs/tasks/debug/debug-cluster/_index.md b/content/ko/docs/tasks/debug/debug-cluster/_index.md
new file mode 100644
index 00000000000..05a5b645e4d
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-cluster/_index.md
@@ -0,0 +1,316 @@
+---
+
+
+title: 클러스터 트러블슈팅
+description: 일반적인 클러스터 이슈를 디버깅한다.
+weight: 20
+no_list: true
+---
+
+<!-- overview -->
+
+이 문서는 클러스터 트러블슈팅에 대해 설명한다. 사용자가 겪고 있는 문제의 근본 원인으로서 사용자의 애플리케이션을 
+이미 배제했다고 가정한다.
+애플리케이션 디버깅에 대한 팁은 [애플리케이션 트러블슈팅 가이드](/ko/docs/tasks/debug/debug-application/)를 참조한다.
+자세한 내용은 [트러블슈팅 문서](/ko/docs/tasks/debug/)를 참조한다.
+
+<!-- body -->
+
+## 클러스터 나열하기
+
+클러스터에서 가장 먼저 디버그해야 할 것은 노드가 모두 올바르게 등록되었는지 여부이다.
+
+다음을 실행한다.
+
+```shell
+kubectl get nodes
+```
+
+그리고 보일 것으로 예상되는 모든 노드가 존재하고 모두 `Ready` 상태인지 확인한다.
+
+클러스터의 전반적인 상태에 대한 자세한 정보를 얻으려면 다음을 실행할 수 있다.
+
+```shell
+kubectl cluster-info dump
+```
+
+### 예제: 다운(down) 상태이거나 통신이 닿지 않는(unreachable) 노드 디버깅하기
+
+때때로 디버깅할 때 노드의 상태를 확인하는 것이 유용할 수 있다(예를 들어, 어떤 노드에서 실행되는 파드가 이상하게 행동하는 것을 발견했거나, 특정 노드에 파드가 스케줄링되지 않는 이유를 알아보기 위해). 파드의 경우와 마찬가지로, `kubectl describe node` 및 `kubectl get node -o yaml` 명령을 사용하여 노드에 대한 상세 정보를 볼 수 있다. 예를 들어, 노드가 다운 상태(네트워크 연결이 끊어졌거나, kubelet이 종료된 후 재시작되지 못했거나 등)라면 아래와 같은 출력이 나올 것이다. 노드가 NotReady 상태라는 것을 나타내는 이벤트(event)와, 더 이상 실행 중이 아닌 파드(NotReady 상태 이후 5분 뒤에 축출되었음)에 주목한다.
+
+```shell
+kubectl get nodes
+```
+
+```none
+NAME                     STATUS       ROLES     AGE     VERSION
+kube-worker-1            NotReady     <none>    1h      v1.23.3
+kubernetes-node-bols     Ready        <none>    1h      v1.23.3
+kubernetes-node-st6x     Ready        <none>    1h      v1.23.3
+kubernetes-node-unaj     Ready        <none>    1h      v1.23.3
+```
+
+```shell
+kubectl describe node kube-worker-1
+```
+
+```none
+Name:               kube-worker-1
+Roles:              <none>
+Labels:             beta.kubernetes.io/arch=amd64
+                    beta.kubernetes.io/os=linux
+                    kubernetes.io/arch=amd64
+                    kubernetes.io/hostname=kube-worker-1
+                    kubernetes.io/os=linux
+Annotations:        kubeadm.alpha.kubernetes.io/cri-socket: /run/containerd/containerd.sock
+                    node.alpha.kubernetes.io/ttl: 0
+                    volumes.kubernetes.io/controller-managed-attach-detach: true
+CreationTimestamp:  Thu, 17 Feb 2022 16:46:30 -0500
+Taints:             node.kubernetes.io/unreachable:NoExecute
+                    node.kubernetes.io/unreachable:NoSchedule
+Unschedulable:      false
+Lease:
+  HolderIdentity:  kube-worker-1
+  AcquireTime:     <unset>
+  RenewTime:       Thu, 17 Feb 2022 17:13:09 -0500
+Conditions:
+  Type                 Status    LastHeartbeatTime                 LastTransitionTime                Reason              Message
+  ----                 ------    -----------------                 ------------------                ------              -------
+  NetworkUnavailable   False     Thu, 17 Feb 2022 17:09:13 -0500   Thu, 17 Feb 2022 17:09:13 -0500   WeaveIsUp           Weave pod has set this
+  MemoryPressure       Unknown   Thu, 17 Feb 2022 17:12:40 -0500   Thu, 17 Feb 2022 17:13:52 -0500   NodeStatusUnknown   Kubelet stopped posting node status.
+  DiskPressure         Unknown   Thu, 17 Feb 2022 17:12:40 -0500   Thu, 17 Feb 2022 17:13:52 -0500   NodeStatusUnknown   Kubelet stopped posting node status.
+  PIDPressure          Unknown   Thu, 17 Feb 2022 17:12:40 -0500   Thu, 17 Feb 2022 17:13:52 -0500   NodeStatusUnknown   Kubelet stopped posting node status.
+  Ready                Unknown   Thu, 17 Feb 2022 17:12:40 -0500   Thu, 17 Feb 2022 17:13:52 -0500   NodeStatusUnknown   Kubelet stopped posting node status.
+Addresses:
+  InternalIP:  192.168.0.113
+  Hostname:    kube-worker-1
+Capacity:
+  cpu:                2
+  ephemeral-storage:  15372232Ki
+  hugepages-2Mi:      0
+  memory:             2025188Ki
+  pods:               110
+Allocatable:
+  cpu:                2
+  ephemeral-storage:  14167048988
+  hugepages-2Mi:      0
+  memory:             1922788Ki
+  pods:               110
+System Info:
+  Machine ID:                 9384e2927f544209b5d7b67474bbf92b
+  System UUID:                aa829ca9-73d7-064d-9019-df07404ad448
+  Boot ID:                    5a295a03-aaca-4340-af20-1327fa5dab5c
+  Kernel Version:             5.13.0-28-generic
+  OS Image:                   Ubuntu 21.10
+  Operating System:           linux
+  Architecture:               amd64
+  Container Runtime Version:  containerd://1.5.9
+  Kubelet Version:            v1.23.3
+  Kube-Proxy Version:         v1.23.3
+Non-terminated Pods:          (4 in total)
+  Namespace                   Name                                 CPU Requests  CPU Limits  Memory Requests  Memory Limits  Age
+  ---------                   ----                                 ------------  ----------  ---------------  -------------  ---
+  default                     nginx-deployment-67d4bdd6f5-cx2nz    500m (25%)    500m (25%)  128Mi (6%)       128Mi (6%)     23m
+  default                     nginx-deployment-67d4bdd6f5-w6kd7    500m (25%)    500m (25%)  128Mi (6%)       128Mi (6%)     23m
+  kube-system                 kube-proxy-dnxbz                     0 (0%)        0 (0%)      0 (0%)           0 (0%)         28m
+  kube-system                 weave-net-gjxxp                      100m (5%)     0 (0%)      200Mi (10%)      0 (0%)         28m
+Allocated resources:
+  (Total limits may be over 100 percent, i.e., overcommitted.)
+  Resource           Requests     Limits
+  --------           --------     ------
+  cpu                1100m (55%)  1 (50%)
+  memory             456Mi (24%)  256Mi (13%)
+  ephemeral-storage  0 (0%)       0 (0%)
+  hugepages-2Mi      0 (0%)       0 (0%)
+Events:
+...
+```
+
+```shell
+kubectl get node kube-worker-1 -o yaml
+```
+
+```yaml
+apiVersion: v1
+kind: Node
+metadata:
+  annotations:
+    kubeadm.alpha.kubernetes.io/cri-socket: /run/containerd/containerd.sock
+    node.alpha.kubernetes.io/ttl: "0"
+    volumes.kubernetes.io/controller-managed-attach-detach: "true"
+  creationTimestamp: "2022-02-17T21:46:30Z"
+  labels:
+    beta.kubernetes.io/arch: amd64
+    beta.kubernetes.io/os: linux
+    kubernetes.io/arch: amd64
+    kubernetes.io/hostname: kube-worker-1
+    kubernetes.io/os: linux
+  name: kube-worker-1
+  resourceVersion: "4026"
+  uid: 98efe7cb-2978-4a0b-842a-1a7bf12c05f8
+spec: {}
+status:
+  addresses:
+  - address: 192.168.0.113
+    type: InternalIP
+  - address: kube-worker-1
+    type: Hostname
+  allocatable:
+    cpu: "2"
+    ephemeral-storage: "14167048988"
+    hugepages-2Mi: "0"
+    memory: 1922788Ki
+    pods: "110"
+  capacity:
+    cpu: "2"
+    ephemeral-storage: 15372232Ki
+    hugepages-2Mi: "0"
+    memory: 2025188Ki
+    pods: "110"
+  conditions:
+  - lastHeartbeatTime: "2022-02-17T22:20:32Z"
+    lastTransitionTime: "2022-02-17T22:20:32Z"
+    message: Weave pod has set this
+    reason: WeaveIsUp
+    status: "False"
+    type: NetworkUnavailable
+  - lastHeartbeatTime: "2022-02-17T22:20:15Z"
+    lastTransitionTime: "2022-02-17T22:13:25Z"
+    message: kubelet has sufficient memory available
+    reason: KubeletHasSufficientMemory
+    status: "False"
+    type: MemoryPressure
+  - lastHeartbeatTime: "2022-02-17T22:20:15Z"
+    lastTransitionTime: "2022-02-17T22:13:25Z"
+    message: kubelet has no disk pressure
+    reason: KubeletHasNoDiskPressure
+    status: "False"
+    type: DiskPressure
+  - lastHeartbeatTime: "2022-02-17T22:20:15Z"
+    lastTransitionTime: "2022-02-17T22:13:25Z"
+    message: kubelet has sufficient PID available
+    reason: KubeletHasSufficientPID
+    status: "False"
+    type: PIDPressure
+  - lastHeartbeatTime: "2022-02-17T22:20:15Z"
+    lastTransitionTime: "2022-02-17T22:15:15Z"
+    message: kubelet is posting ready status. AppArmor enabled
+    reason: KubeletReady
+    status: "True"
+    type: Ready
+  daemonEndpoints:
+    kubeletEndpoint:
+      Port: 10250
+  nodeInfo:
+    architecture: amd64
+    bootID: 22333234-7a6b-44d4-9ce1-67e31dc7e369
+    containerRuntimeVersion: containerd://1.5.9
+    kernelVersion: 5.13.0-28-generic
+    kubeProxyVersion: v1.23.3
+    kubeletVersion: v1.23.3
+    machineID: 9384e2927f544209b5d7b67474bbf92b
+    operatingSystem: linux
+    osImage: Ubuntu 21.10
+    systemUUID: aa829ca9-73d7-064d-9019-df07404ad448
+```
+
+
+## 로그 보기
+
+현재로서는 클러스터를 더 깊이 파고들려면 관련 머신에서 로그 확인이 필요하다. 관련 로그 파일 
+위치는 다음과 같다. (systemd 기반 시스템에서는 `journalctl`을 대신 사용해야 할 수도 있다.)
+
+### 컨트롤 플레인 노드
+
+   * `/var/log/kube-apiserver.log` - API 서버, API 제공을 담당
+   * `/var/log/kube-scheduler.log` - 스케줄러, 스케줄 결정을 담당
+   * `/var/log/kube-controller-manager.log` - 레플리케이션 컨트롤러를 담당하는 컨트롤러
+
+### 워커 노드
+
+   * `/var/log/kubelet.log` - Kubelet, 노드에서 컨테이너 실행을 담당
+   * `/var/log/kube-proxy.log` - Kube Proxy, 서비스 로드밸런싱을 담당
+
+## 클러스터 장애 모드
+
+아래에 일부 오류 상황 예시 및 문제를 완화하기 위해 클러스터 설정을 조정하는 방법을 나열한다.
+
+### 근본 원인
+
+  - VM(들) 종료
+  - 클러스터 내 또는 클러스터와 사용자 간의 네트워크 분할
+  - 쿠버네티스 소프트웨어의 충돌
+  - 데이터 손실 또는 퍼시스턴트 스토리지 사용 불가 (e.g. GCE PD 또는 AWS EBS 볼륨)
+  - 운영자 오류, 예를 들면 잘못 구성된 쿠버네티스 소프트웨어 또는 애플리케이션 소프트웨어
+
+### 특정 시나리오
+
+  - API 서버 VM 종료 또는 API 서버 충돌
+    - 다음의 현상을 유발함
+      - 새로운 파드, 서비스, 레플리케이션 컨트롤러를 중지, 업데이트 또는 시작할 수 없다.
+      -  쿠버네티스 API에 의존하지 않는 기존 파드 및 서비스는 계속 정상적으로 작동할 것이다.
+  - API 서버 백업 스토리지 손실
+    - 다음의 현상을 유발함
+      - API 서버가 구동되지 않을 것이다.
+      - kubelet에 도달할 수 없게 되지만, kubelet이 여전히 동일한 파드를 계속 실행하고 동일한 서비스 프록시를 제공할 것이다.
+      - API 서버를 재시작하기 전에, 수동으로 복구하거나 API서버 상태를 재생성해야 한다.
+  - 지원 서비스 (노드 컨트롤러, 레플리케이션 컨트롤러 매니저, 스케쥴러 등) VM 종료 또는 충돌
+    - 현재 그것들은 API 서버와 같은 위치에 있기 때문에 API 서버와 비슷한 상황을 겪을 것이다.
+    - 미래에는 이들도 복제본을 가질 것이며 API서버와 별도로 배치될 수도 있다.
+    - 지원 서비스들은 상태(persistent state)를 자체적으로 유지하지는 않는다.
+  - 개별 노드 (VM 또는 물리적 머신) 종료
+    - 다음의 현상을 유발함
+      - 해당 노드의 파드가 실행을 중지
+  - 네트워크 분할
+    - 다음의 현상을 유발함
+      - 파티션 A는 파티션 B의 노드가 다운되었다고 생각한다. 파티션 B는 API 서버가 다운되었다고 생각한다. (마스터 VM이 파티션 A에 있다고 가정)
+  - Kubelet 소프트웨어 오류
+    - 다음의 현상을 유발함
+      - 충돌한 kubelet은 노드에서 새 파드를 시작할 수 없다.
+      - kubelet이 파드를 삭제할 수도 있고 삭제하지 않을 수도 있다.
+      - 노드는 비정상으로 표시된다.
+      - 레플리케이션 컨트롤러는 다른 곳에서 새 파드를 시작한다.
+  - 클러스터 운영자 오류
+    - 다음의 현상을 유발함
+      - 파드, 서비스 등의 손실
+      - API 서버 백업 저장소 분실
+      - API를 읽을 수 없는 사용자
+      - 기타
+
+### 완화
+
+- 조치: IaaS VM을 위한 IaaS 공급자의 자동 VM 다시 시작 기능을 사용한다.
+  - 다음을 완화할 수 있음: API 서버 VM 종료 또는 API 서버 충돌
+  - 다음을 완화할 수 있음: 지원 서비스 VM 종료 또는 충돌
+
+- 조치: API 서버+etcd가 있는 VM에 IaaS 제공자의 안정적인 스토리지(예: GCE PD 또는 AWS EBS 볼륨)를 사용한다.
+  - 다음을 완화할 수 있음: API 서버 백업 스토리지 손실
+
+- 조치: [고가용성](/docs/setup/production-environment/tools/kubeadm/high-availability/) 구성을 사용한다.
+  - 다음을 완화할 수 있음: 컨트롤 플레인 노드 종료 또는 컨트롤 플레인 구성 요소(스케줄러, API 서버, 컨트롤러 매니저) 충돌
+    - 동시에 발생하는 하나 이상의 노드 또는 구성 요소 오류를 허용한다.
+  - 다음을 완화할 수 있음: API 서버 백업 스토리지(i.e., etcd의 데이터 디렉터리) 손실
+    - 고가용성 etcd 구성을 사용하고 있다고 가정
+
+- 조치: API 서버 PD/EBS 볼륨의 주기적인 스냅샷
+  - 다음을 완화할 수 있음: API 서버 백업 스토리지 손실
+  - 다음을 완화할 수 있음: 일부 운영자 오류 사례
+  - 다음을 완화할 수 있음: 일부 쿠버네티스 소프트웨어 오류 사례
+
+- 조치: 파드 앞에 레플리케이션 컨트롤러와 서비스 사용
+  - 다음을 완화할 수 있음: 노드 종료
+  - 다음을 완화할 수 있음: Kubelet 소프트웨어 오류
+
+- 조치: 예기치 않은 재시작을 허용하도록 설계된 애플리케이션(컨테이너)
+  - 다음을 완화할 수 있음: 노드 종료
+  - 다음을 완화할 수 있음: Kubelet 소프트웨어 오류
+
+
+## {{% heading "whatsnext" %}}
+
+* [리소스 메트릭 파이프라인](/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/)에서 사용할 수 있는 메트릭에 대해 알아 본다.
+* [리소스 사용량 모니터링](/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)을 위한 추가 도구에 대해 알아 본다.
+* Node Problem Detector를 사용하여 [노드 헬스(health)를 모니터링](/docs/tasks/debug/debug-cluster/monitor-node-health/)한다.
+* `crictl`을 사용하여 [쿠버네티스 노드를 디버깅](/docs/tasks/debug/debug-cluster/crictl/)한다.
+* [쿠버네티스 감사(auditing)](/docs/tasks/debug/debug-cluster/audit/)에 대한 더 자세한 정보를 본다.
+* `telepresence`를 사용하여 [서비스를 로컬에서 개발 및 디버깅](/docs/tasks/debug/debug-cluster/local-debugging/)한다.
diff --git a/content/ko/docs/tasks/debug/debug-cluster/monitor-node-health.md b/content/ko/docs/tasks/debug/debug-cluster/monitor-node-health.md
new file mode 100644
index 00000000000..30f5b98b2ac
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-cluster/monitor-node-health.md
@@ -0,0 +1,163 @@
+---
+title: 노드 헬스 모니터링하기
+content_type: task
+
+
+
+weight: 20
+---
+
+<!-- overview -->
+
+*노드 문제 감지기(Node Problem Detector)* 는 노드의 헬스에 대해 모니터링 및 보고하는 데몬이다.
+노드 문제 감지기를 `데몬셋(DaemonSet)` 혹은 스탠드얼론 데몬(standalone daemon)으로 실행할 수 있다.
+노드 문제 감지기는 다양한 데몬으로부터 노드의 문제에 관한 정보를 다양한 데몬으로부터 수집하고,
+이러한 컨디션들을 [노드컨디션(NodeCondition)](/docs/concepts/architecture/nodes/#condition) 및
+[이벤트(Event)](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#event-v1-core)형태로 API 서버에 보고한다.
+
+노드 문제 감지기 설치 및 사용 방법을 보려면,
+[노드 문제 감지기 프로젝트 문서](https://github.com/kubernetes/node-problem-detector)를 참조하자.
+
+## {{% heading "prerequisites" %}}
+
+{{< include "task-tutorial-prereqs.md" >}}
+
+<!-- steps -->
+
+## 제약 사항
+
+* 노드 문제 감지기는 파일 기반의 커널 로그만 지원한다.
+  `journald` 와 같은 로그 도구는 지원하지 않는다.
+
+* 노드 문제 감지기는 커널 로그 형식을 사용하여 커널 이슈를 보고한다.
+  커널 로그 형식을 확장하는 방법을 배우려면 [기타 로그 형식 지원 추가](#support-other-log-format)를 살펴보자.
+
+## 노드 문제 감지기 활성화하기
+
+일부 클라우드 사업자는 노드 문제 감지기를 {{< glossary_tooltip text="애드온" term_id="addons" >}} 으로서 제공한다.
+또한, `kubectl`을 이용하거나 애드온 파드를 생성하여 노드 문제 감지기를 활성화할 수도 있다.
+
+### kubectl를 이용하여 노드 문제 감지기 활성화하기 {#using-kubectl}
+
+`kubectl`은 노드 문제 감지기를 관리하는 가장 유연한 방법이다.
+현재 환경에 맞게 조정하거나 사용자 정의 노드 문제를 탐지하기 위해
+기본 설정값을 덮어쓸 수 있다. 예를 들면 아래와 같다.
+
+1. `node-problem-detector.yaml`와 유사하게 노드 문제 감지기 구성을 생성한다:
+
+   {{< codenew file="debug/node-problem-detector.yaml" >}}
+
+   {{< note >}}
+   현재 운영 체제 배포판의 시스템 로그 디렉토리와 일치하도록 기재했는지 확인해야 한다.
+   {{< /note >}}
+
+1. `kubectl`을 이용하여 노드 문제 감지기를 시작한다.
+
+   ```shell
+   kubectl apply -f https://k8s.io/examples/debug/node-problem-detector.yaml
+   ```
+
+### 애드온 파드를 이용하여 노드 문제 감지기 활성화하기 {#using-addon-pod}
+
+만약 커스텀 클러스터 부트스트랩 솔루션을 사용중이고
+기본 설정값을 덮어쓸 필요가 없다면,
+디플로이먼트를 추가로 자동화하기 위해 애드온 파드를 활용할 수 있다.
+
+`node-problem-detector.yaml`를 생성하고,
+컨트롤 플레인 노드의 애드온 파드의 디렉토리 `/etc/kubernetes/addons/node-problem-detector`에 설정을 저장한다.
+
+## 설정 덮어쓰기
+
+노드 문제 감지기를 빌드할 때,
+[기본 설정](https://github.com/kubernetes/node-problem-detector/tree/v0.1/config)이 포함되어 있다.
+
+하지만 [`컨피그맵(ConfigMap)`](/docs/tasks/configure-pod-container/configure-pod-configmap/)을 이용해
+설정을 덮어쓸 수 있다.
+
+1. `config/` 내의 설정 파일을 변경한다.
+1. `node-problem-detector-config` `컨피그맵(ConfigMap)`을 생성한다.
+
+   ```shell
+   kubectl create configmap node-problem-detector-config --from-file=config/
+   ```
+
+1. `컨피그맵(ConfigMap)`을 사용하도록 `node-problem-detector.yaml`을 변경한다.
+
+   {{< codenew file="debug/node-problem-detector-configmap.yaml" >}}
+
+4. 새로운 설정 파일을 사용하여 노드 문제 감지기를 재생성한다.
+
+   ```shell
+   # 만약 노드 문제 감지기가 동작하고 있다면, 재생성 전 삭제한다
+   kubectl delete -f https://k8s.io/examples/debug/node-problem-detector.yaml
+   kubectl apply -f https://k8s.io/examples/debug/node-problem-detector-configmap.yaml
+   ```
+
+{{< note >}}
+이 접근법은 노드 문제 감지기를 `kubectl`로 시작했을 때에만 적용된다.
+{{< /note >}}
+
+만약 노드 문제 감지기가 클러스터 애드온으로 실행된 경우, 설정 덮어쓰기가 지원되지 않는다.
+애드온 매니저는 `컨피그맵(ConfigMap)`을 지원하지 않는다.
+
+## 커널 모니터
+
+*커널 모니터*는 노드 문제 감지기에서 지원하는 시스템 로그 모니터링 데몬이다.
+커널 모니터는 커널 로그를 감시하며, 미리 설정된 규칙에 따라 알려진 커널 이슈를 감지한다.
+
+커널 모니터는 [`config/kernel-monitor.json`](https://github.com/kubernetes/node-problem-detector/blob/v0.1/config/kernel-monitor.json)에
+미리 설정된 규칙 모음과 커널 이슈를 매칭한다.
+규칙 리스트는 확장 가능하다. 설정을 덮어쓰기 해 규칙 리스트를 확장할 수 있다.
+
+### 신규 노드컨디션(NodeConditions) 추가하기
+
+신규 `NodeCondition`를 지원하려면, `config/kernel-monitor.json`의 `conditions`필드 내 조건 정의를 생성해야한다.
+예를 들면 아래와 같다.
+
+```json
+{
+  "type": "NodeConditionType",
+  "reason": "CamelCaseDefaultNodeConditionReason",
+  "message": "arbitrary default node condition message"
+}
+```
+
+### 신규 문제 감지하기
+
+신규 문제를 감지하려면 `config/kernel-monitor.json`의 `rules`필드를
+신규 규칙 정의로 확장하면 된다.
+
+```json
+{
+  "type": "temporary/permanent",
+  "condition": "NodeConditionOfPermanentIssue",
+  "reason": "CamelCaseShortReason",
+  "message": "regexp matching the issue in the kernel log"
+}
+```
+
+### 커널 로그 장치를 위한 경로 설정하기 {#kernel-log-device-path}
+
+운영 체제 (OS) 배포판의 커널 로그 경로를 확인한다.
+리눅스 커널 [로그 장치(log device)](https://www.kernel.org/doc/Documentation/ABI/testing/dev-kmsg)는 보통 `/dev/kmsg`와 같이 표시된다. 하지만, 로그 경로 장소는 OS 배포판마다 상이하다.
+`config/kernel-monitor.json` 의 `log` 필드는 컨테이너 내부의 로그 경로를 나타낸다.
+`log` 필드를 노드 문제 감지기가 감시하는 장치 경로와 일치하도록 구성하면 된다.
+
+### 기타 로그 포맷 지원 추가하기 {#support-other-log-format}
+
+커널 모니터는 커널 로그의 내부 데이터 구조를 해석하기 위해
+[`Translator`](https://github.com/kubernetes/node-problem-detector/blob/v0.1/pkg/kernelmonitor/translator/translator.go) 플러그인을 사용한다.
+신규 로그 포맷을 사용하기 위해 신규 해석기를 구현할 수 있다.
+
+<!-- discussion -->
+
+## 권장 사항 및 제약 사항
+
+노드 헬스를 모니터링하기 위해 클러스터에 노드 문제 탐지기를 실행할 것을 권장한다.
+노드 문제 감지기를 실행할 때, 각 노드에 추가 리소스 오버헤드가 발생할 수 있다.
+다음과 같은 이유 때문에 일반적으로는 문제가 없다.
+
+* 커널 로그는 비교적 천천히 늘어난다.
+* 노드 문제 감지기에는 리소스 제한이 설정되어 있다.
+* 높은 부하가 걸리더라도, 리소스 사용량은 허용 가능한 수준이다. 추가 정보를 위해 노드 문제 감지기의
+[벤치마크 결과](https://github.com/kubernetes/node-problem-detector/issues/2#issuecomment-220255629)를 살펴보자.
diff --git a/content/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline.md b/content/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline.md
new file mode 100644
index 00000000000..1a7c6716eff
--- /dev/null
+++ b/content/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline.md
@@ -0,0 +1,268 @@
+---
+
+
+
+title: 리소스 메트릭 파이프라인
+content_type: concept
+weight: 15
+---
+
+<!-- overview -->
+
+쿠버네티스에서, _메트릭 API(Metrics API)_ 는 자동 스케일링 및 비슷한 사용 사례를 지원하기 위한 기본적인 메트릭 집합을 제공한다. 
+이 API는 노드와 파드의 리소스 사용량 정보를 제공하며, 
+여기에는 CPU 및 메모리 메트릭이 포함된다. 
+메트릭 API를 클러스터에 배포하면, 쿠버네티스 API의 클라이언트는 이 정보에 대해 질의할 수 있으며, 
+질의 권한을 관리하기 위해 쿠버네티스의 접근 제어 메커니즘을 이용할 수 있다.
+
+[HorizontalPodAutoscaler](/ko/docs/tasks/run-application/horizontal-pod-autoscale/)(HPA) 및 
+[VerticalPodAutoscaler](https://github.com/kubernetes/autoscaler/tree/master/vertical-pod-autoscaler#readme)(VPA)는 
+사용자의 요구 사항을 만족할 수 있도록 워크로드 레플리카와 리소스를 조정하는 데에 메트릭 API의 데이터를 이용한다.
+
+[`kubectl top`](/docs/reference/generated/kubectl/kubectl-commands#top) 
+명령을 이용하여 
+리소스 메트릭을 볼 수도 있다.
+
+{{< note >}}
+메트릭 API 및 이것이 제공하는 메트릭 파이프라인은 
+HPA / VPA 에 의한 자동 스케일링이 동작하는 데 필요한 
+최소한의 CPU 및 메모리 메트릭만을 제공한다. 
+더 많은 메트릭 집합을 제공하려면, _커스텀 메트릭 API_ 를 사용하는 
+추가 [메트릭 파이프라인](/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring/#full-metrics-pipeline)을 배포하여 
+기본 메트릭 API를 보충할 수 있다.
+{{< /note >}}
+
+
+그림 1은 리소스 메트릭 파이프라인의 아키텍처를 나타낸다.
+
+{{< mermaid >}}
+flowchart RL
+subgraph cluster[클러스터]
+direction RL
+S[ <br><br> ]
+A[Metrics-<br>Server]
+subgraph B[노드]
+direction TB
+D[cAdvisor] --> C[kubelet]
+E[컨테이너<br>런타임] --> D
+E1[컨테이너<br>런타임] --> D
+P[파드 데이터] -.- C
+end
+L[API<br>서버]
+W[HPA]
+C ---->|요약<br>API| A -->|메트릭<br>API| L --> W
+end
+L ---> K[kubectl<br>top]
+classDef box fill:#fff,stroke:#000,stroke-width:1px,color:#000;
+class W,B,P,K,cluster,D,E,E1 box
+classDef spacewhite fill:#ffffff,stroke:#fff,stroke-width:0px,color:#000
+class S spacewhite
+classDef k8s fill:#326ce5,stroke:#fff,stroke-width:1px,color:#fff;
+class A,L,C k8s
+{{< /mermaid >}}
+
+그림 1. 리소스 메트릭 파이프라인
+
+그림의 오른쪽에서 왼쪽 순으로, 아키텍처 구성 요소는 다음과 같다.
+
+* [cAdvisor](https://github.com/google/cadvisor): kubelet에 포함된 컨테이너 메트릭을 
+  수집, 집계, 노출하는 데몬
+* [kubelet](/ko/docs/concepts/overview/components/#kubelet): 컨테이너 리소스 관리를 위한 노드 에이전트. 
+  리소스 메트릭은 kubelet API 엔드포인트 `/metrics/resource` 및 
+  `/stats` 를 사용하여 접근 가능하다.
+* [요약 API](#summary-api-source): `/stats` 엔드포인트를 통해 사용할 수 있는 
+  노드 별 요약된 정보를 탐색 및 수집할 수 있도록 kubelet이 제공하는 API
+* [metrics-server](#metrics-server): 각 kubelet으로부터 수집한 리소스 메트릭을 수집 및 집계하는 클러스터 애드온 구성 요소. 
+  API 서버는 HPA, VPA 및 `kubectl top` 명령어가 사용할 수 있도록 메트릭 API를 제공한다. 
+  metrics-server는 메트릭 API에 대한 기준 구현(reference implementation) 중 하나이다.
+* [메트릭 API](#metrics-api): 워크로드 오토스케일링에 사용되는 CPU 및 메모리 정보로의 접근을 지원하는 쿠버네티스 API. 
+  이를 클러스터에서 사용하려면, 
+  메트릭 API를 제공하는 API 확장(extension) 서버가 필요하다.
+
+  {{< note >}}
+  cAdvisor는 cgroups으로부터 메트릭을 가져오는 것을 지원하며, 리눅스의 일반적인 컨테이너 런타임은 이를 지원한다.
+  만약 다른 리소스 격리 메커니즘(예: 가상화)을 사용하는 컨테이너 런타임을 사용한다면, 
+  kubelet이 메트릭을 사용할 수 있기 위해서는 
+  해당 컨테이너 런타임이 
+  [CRI 컨테이너 메트릭](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-node/cri-container-stats.md)을 지원해야 한다.
+  {{< /note >}}
+
+<!-- body -->
+
+## 메트릭 API {#metrics-api}
+{{< feature-state for_k8s_version="1.8" state="beta" >}}
+
+metrics-server는 메트릭 API에 대한 구현이다. 
+이 API는 클러스터 내 노드와 파드의 CPU 및 메모리 사용 정보에 접근할 수 있게 해 준다. 
+이것의 주 역할은 리소스 사용 메트릭을 쿠버네티스 오토스케일러 구성 요소에 제공하는 것이다.
+
+다음은 `minikube` 노드에 대한 메트릭 API 요청 예시이며 
+가독성 향상을 위해 `jq`를 활용한다.
+
+```shell
+kubectl get --raw "/apis/metrics.k8s.io/v1beta1/nodes/minikube" | jq '.'
+```
+
+다음은 `curl`을 이용하여 동일한 API 호출을 하는 명령어다.
+
+```shell
+curl http://localhost:8080/apis/metrics.k8s.io/v1beta1/nodes/minikube
+```
+
+응답 예시는 다음과 같다.
+
+```json
+{
+  "kind": "NodeMetrics",
+  "apiVersion": "metrics.k8s.io/v1beta1",
+  "metadata": {
+    "name": "minikube",
+    "selfLink": "/apis/metrics.k8s.io/v1beta1/nodes/minikube",
+    "creationTimestamp": "2022-01-27T18:48:43Z"
+  },
+  "timestamp": "2022-01-27T18:48:33Z",
+  "window": "30s",
+  "usage": {
+    "cpu": "487558164n",
+    "memory": "732212Ki"
+  }
+}
+```
+
+다음은 `kube-system` 네임스페이스 내의 `kube-scheduler-minikube` 파드에 대한 
+메트릭 API 요청 예시이며 가독성 향상을 위해 `jq`를 활용한다.
+
+```shell
+kubectl get --raw "/apis/metrics.k8s.io/v1beta1/namespaces/kube-system/pods/kube-scheduler-minikube" | jq '.'
+```
+
+다음은 `curl`을 이용하여 동일한 API 호출을 하는 명령어다.
+
+```shell
+curl http://localhost:8080/apis/metrics.k8s.io/v1beta1/namespaces/kube-system/pods/kube-scheduler-minikube
+```
+
+응답 예시는 다음과 같다.
+
+```json
+{
+  "kind": "PodMetrics",
+  "apiVersion": "metrics.k8s.io/v1beta1",
+  "metadata": {
+    "name": "kube-scheduler-minikube",
+    "namespace": "kube-system",
+    "selfLink": "/apis/metrics.k8s.io/v1beta1/namespaces/kube-system/pods/kube-scheduler-minikube",
+    "creationTimestamp": "2022-01-27T19:25:00Z"
+  },
+  "timestamp": "2022-01-27T19:24:31Z",
+  "window": "30s",
+  "containers": [
+    {
+      "name": "kube-scheduler",
+      "usage": {
+        "cpu": "9559630n",
+        "memory": "22244Ki"
+      }
+    }
+  ]
+}
+```
+
+메트릭 API는 [k8s.io/metrics](https://github.com/kubernetes/metrics) 저장소에 정의되어 있다. 
+`metrics.k8s.io` API를 사용하기 위해서는 
+[API 집계(aggregation) 계층](/docs/tasks/extend-kubernetes/configure-aggregation-layer/)을 활성화하고 
+[APIService](/docs/reference/kubernetes-api/cluster-resources/api-service-v1/)를 등록해야 한다.
+
+메트릭 API에 대해 더 알아보려면, [리소스 메트릭 API 디자인](https://github.com/kubernetes/design-proposals-archive/blob/main/instrumentation/resource-metrics-api.md),
+[metrics-server 저장소](https://github.com/kubernetes-sigs/metrics-server) 및 
+[리소스 메트릭 API](https://github.com/kubernetes/metrics#resource-metrics-api)를 참고한다.
+
+
+{{< note >}}
+메트릭 API에 접근하려면 먼저 메트릭 API를 제공하는 
+metrics-server 또는 대체 어댑터를 배포해야 한다.
+{{< /note >}}
+
+## 리소스 사용량 측정 {#measuring-resource-usage}
+
+### CPU
+
+CPU는 `cpu` 단위로 측정된 평균 코어 사용량 형태로 보고된다. 쿠버네티스에서 1 cpu는 
+클라우드 제공자의 경우 1 vCPU/코어에 해당하고, 베어메탈 인텔 프로세서의 경우 1 하이퍼-스레드에 해당한다.
+
+이 값은 커널(Linux 및 Windows 커널 모두)에서 제공하는 누적 CPU 카운터에 대한 
+비율을 취하여 얻어진다. 
+CPU 값 계산에 사용된 타임 윈도우는 메트릭 API의 `window` 필드에 표시된다.
+
+쿠버네티스가 어떻게 CPU 리소스를 할당하고 측정하는지 더 알아보려면, 
+[CPU의 의미](/ko/docs/concepts/configuration/manage-resources-containers/#meaning-of-cpu)를 참고한다.
+
+### 메모리
+
+메모리는 메트릭을 수집하는 순간에 바이트 단위로 측정된 워킹 셋(working set) 형태로 보고된다.
+
+이상적인 환경에서, "워킹 셋"은 메모리가 부족한 상태더라도 해제할 수 없는 사용 중인 메모리의 양이다. 
+그러나 워킹 셋의 계산 방법은 호스트 OS에 따라 다르며 
+일반적으로 추정치를 추출하기 위해 휴리스틱을 많이 사용한다.
+
+컨테이너의 워킹 셋에 대한 쿠버네티스 모델은 컨테이너 런타임이 해당 컨테이너와 연결된 익명(anonymous) 메모리를 계산할 것으로 예상한다. 
+호스트 OS가 항상 페이지를 회수할 수는 없기 때문에, 
+워킹 셋 메트릭에는 일반적으로 일부 캐시된 (파일 기반) 메모리도 포함된다.
+
+쿠버네티스가 어떻게 메모리 리소스를 할당하고 측정하는지 더 알아보려면, 
+[메모리의 의미](/ko/docs/concepts/configuration/manage-resources-containers/#meaning-of-memory)를 참고한다.
+
+## metrics-server {#metrics-server}
+
+metrics-server는 kubelet으로부터 리소스 메트릭을 수집하고, 
+이를 HPA(Horizontal Pod Autoscaler) 및 VPA(Vertical Pod Autoscaler)가 활용할 수 있도록 쿠버네티스 API 서버 내에서 메트릭 API(Metrics API)를 통해 노출한다. 
+`kubectl top` 명령을 사용하여 이 메트릭을 확인해볼 수도 있다.
+
+metrics-server는 쿠버네티스 API를 사용하여 클러스터의 노드와 파드를 추적한다. 
+metrics-server는 각 노드에 HTTP를 통해 질의하여 메트릭을 수집한다. 
+metrics-server는 또한 파드 메타데이터의 내부적 뷰를 작성하고, 파드 헬스(health)에 대한 캐시를 유지한다. 
+이렇게 캐시된 파드 헬스 정보는 metrics-server가 제공하는 확장 API(extension API)를 통해 이용할 수 있다.
+
+HPA 질의에 대한 예시에서, 예를 들어 HPA 질의에 대한 경우, 
+metrics-server는 디플로이먼트의 어떤 파드가 레이블 셀렉터 조건을 만족하는지 판별해야 한다.
+
+metrics-server는 각 노드로부터 메트릭을 수집하기 위해 [kubelet](/docs/reference/command-line-tools-reference/kubelet/) API를 호출한다. 
+사용 중인 metrics-server 버전에 따라, 다음의 엔드포인트를 사용한다.
+
+* v0.6.0 이상: 메트릭 리소스 엔드포인트 `/metrics/resource`
+* 이전 버전: 요약 API 엔드포인트 `/stats/summary`
+
+metrics-server에 대한 더 많은 정보는 
+[metrics-server 저장소](https://github.com/kubernetes-sigs/metrics-server)를 확인한다.
+
+또한 다음을 참고할 수도 있다.
+
+* [metrics-server 디자인](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/instrumentation/metrics-server.md)
+* [metrics-server 자주 묻는 질문](https://github.com/kubernetes-sigs/metrics-server/blob/master/FAQ.md)
+* [metrics-server 알려진 이슈](https://github.com/kubernetes-sigs/metrics-server/blob/master/KNOWN_ISSUES.md)
+* [metrics-server 릴리스](https://github.com/kubernetes-sigs/metrics-server/releases)
+* [Horizontal Pod Autoscaling](/ko/docs/tasks/run-application/horizontal-pod-autoscale/)
+
+### 요약 API(Summary API) 소스 {#summary-api-source}
+
+[Kubelet](/docs/reference/command-line-tools-reference/kubelet/)은 
+노드, 볼륨, 파드, 컨테이너 수준의 통계를 수집하며, 
+소비자(consumer)가 읽을 수 있도록 이 통계를 
+[요약 API](https://github.com/kubernetes/kubernetes/blob/7d309e0104fedb57280b261e5677d919cb2a0e2d/staging/src/k8s.io/kubelet/pkg/apis/stats/v1alpha1/types.go)에 기록한다.
+
+다음은 `minikube` 노드에 대한 요약 API 요청 예시이다.
+
+```shell
+kubectl get --raw "/api/v1/nodes/minikube/proxy/stats/summary"
+```
+
+다음은 `curl`을 이용하여 동일한 API 호출을 하는 명령어다.
+
+```shell
+curl http://localhost:8080/api/v1/nodes/minikube/proxy/stats/summary
+```
+
+{{< note >}}
+metrics-server 0.6.x 버전부터, 
+요약 API `/stats/summary` 엔드포인트가 `/metrics/resource` 엔드포인트로 대체될 것이다.
+{{< /note >}}
diff --git a/content/ko/docs/tasks/debug-application-cluster/resource-usage-monitoring.md b/content/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring.md
similarity index 59%
rename from content/ko/docs/tasks/debug-application-cluster/resource-usage-monitoring.md
rename to content/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring.md
index 21c5c3decfd..396538b395e 100644
--- a/content/ko/docs/tasks/debug-application-cluster/resource-usage-monitoring.md
+++ b/content/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring.md
@@ -1,6 +1,9 @@
 ---
+
+
 content_type: concept
 title: 리소스 모니터링 도구
+weight: 15
 ---
 
 <!-- overview -->
@@ -31,16 +34,18 @@ title: 리소스 모니터링 도구
 [metrics-server](https://github.com/kubernetes-sigs/metrics-server)에
 의해서 수집되며 `metrics.k8s.io` API를 통해 노출된다.
 
-metrics-server는 클러스터 상의 모든 노드를 발견하고 각 노드의
-[Kubelet](/docs/reference/command-line-tools-reference/kubelet/)에 CPU와 메모리 
-사용량을 질의한다. Kubelet은 쿠버네티스 마스터와 노드 간의 다리 역할을 해서
-머신에서 구동되는 파드와 컨테이너를 관리한다. Kubelet은 각각의 파드를 해당하는
-컨테이너로 변환하고 컨테이너 런타임 인터페이스를 통해서 컨테이너 런타임에서
-개별 컨테이너의 사용량 통계를 가져온다. Kubelet은 이 정보를 레거시 도커와의
-통합을 위해 kubelet에 통합된 cAdvisor를 통해 가져온다. 그 다음으로 취합된 파드
-리소스 사용량 통계를 metric-server 리소스 메트릭 API를 통해 노출한다. 이 API는
-kubelet의 인증이 필요한 읽기 전용 포트 상의 `/metrics/resource/v1beta1`에서
-제공된다.
+metrics-server는 클러스터 상의 모든 노드를 발견하고 
+각 노드의 [kubelet](/docs/reference/command-line-tools-reference/kubelet/)에 
+CPU와 메모리 사용량을 질의한다. 
+Kubelet은 쿠버네티스 마스터와 노드 간의 다리 역할을 하면서 
+머신에서 구동되는 파드와 컨테이너를 관리한다. 
+Kubelet은 각각의 파드를 해당하는 컨테이너에 매치시키고 
+컨테이너 런타임 인터페이스를 통해 
+컨테이너 런타임에서 개별 컨테이너의 사용량 통계를 가져온다. 
+Kubelet은 이 정보를 레거시 도커와의 통합을 위해 kubelet에 통합된 cAdvisor를 통해 가져온다. 
+그 다음으로 취합된 파드 리소스 사용량 통계를 metric-server 리소스 메트릭 API를 통해 노출한다. 
+이 API는 kubelet의 인증이 필요한 읽기 전용 포트 상의 
+`/metrics/resource/v1beta1`에서 제공된다.
 
 ## 완전한 메트릭 파이프라인
 
@@ -51,5 +56,17 @@ kubelet의 인증이 필요한 읽기 전용 포트 상의 `/metrics/resource/v1
 `custom.metrics.k8s.io`와 `external.metrics.k8s.io` API를 구현한 어댑터를 통해
 노출한다.
 
-CNCF 프로젝트인, [프로메테우스](https://prometheus.io)는 기본적으로 쿠버네티스, 노드, 프로메테우스 자체를 모니터링할 수 있다.
+CNCF 프로젝트인 [프로메테우스](https://prometheus.io)는 기본적으로 쿠버네티스, 노드, 프로메테우스 자체를 모니터링할 수 있다.
 CNCF 프로젝트가 아닌 완전한 메트릭 파이프라인 프로젝트는 쿠버네티스 문서의 범위가 아니다.
+
+## {{% heading "whatsnext" %}}
+
+
+다음과 같은 추가 디버깅 도구에 대해 더 알아본다.
+
+* [로깅](/ko/docs/concepts/cluster-administration/logging/)
+* [모니터링](/ko/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)
+* [`exec`를 통해 컨테이너에 접속하기](/ko/docs/tasks/debug/debug-application/get-shell-running-container/)
+* [프록시를 통해 컨테이너에 연결하기](/docs/tasks/extend-kubernetes/http-proxy-access-api/)
+* [포트 포워딩을 사용해서 클러스터 내 애플리케이션에 접근하기](/ko/docs/tasks/access-application-cluster/port-forward-access-application-cluster/)
+* [crictl을 사용하여 쿠버네티스 노드 조사하기](/docs/tasks/debug/debug-cluster/crictl/)
diff --git a/content/ko/docs/tasks/inject-data-application/define-command-argument-container.md b/content/ko/docs/tasks/inject-data-application/define-command-argument-container.md
index 81e64670536..e785dcf39b1 100644
--- a/content/ko/docs/tasks/inject-data-application/define-command-argument-container.md
+++ b/content/ko/docs/tasks/inject-data-application/define-command-argument-container.md
@@ -114,5 +114,5 @@ args: ["-c", "while true; do echo hello; sleep 10;done"]
 
 
 * [파드와 컨테이너를 구성하는 방법](/ko/docs/tasks/)에 대해 더 알아본다.
-* [컨테이너 안에서 커맨드를 실행하는 방법](/ko/docs/tasks/debug-application-cluster/get-shell-running-container/)에 대해 더 알아본다.
+* [컨테이너 안에서 커맨드를 실행하는 방법](/ko/docs/tasks/debug/debug-application/get-shell-running-container/)에 대해 더 알아본다.
 * [컨테이너](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#container-v1-core)를 확인한다.
diff --git a/content/ko/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md b/content/ko/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
index b57c6e5f880..7ed28d0dd3a 100644
--- a/content/ko/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
+++ b/content/ko/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information.md
@@ -6,19 +6,15 @@ weight: 40
 
 <!-- overview -->
 
-본 페이지는 파드가 DownwardAPIVolumeFile을 사용하여 파드에서 실행되는 컨테이너에
-자신에 대한 정보를 노출하는 방법에 대해 설명한다. DownwardAPIVolumeFile은 파드 필드와
-컨테이너 필드를 노출할 수 있다.
-
-
+본 페이지는 파드가 
+[`DownwardAPIVolumeFile`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core)을 사용하여 
+파드에서 실행되는 컨테이너에 자신에 대한 정보를 노출하는 방법에 대해 설명한다. 
+`DownwardAPIVolumeFile`은 파드 필드와 컨테이너 필드를 노출할 수 있다.
 
 ## {{% heading "prerequisites" %}}
 
-
 {{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
 
-
-
 <!-- steps -->
 
 ## 다운워드(Downward) API
@@ -28,7 +24,8 @@ weight: 40
 * [환경 변수](/ko/docs/tasks/inject-data-application/environment-variable-expose-pod-information/#다운워드-downward-api)
 * 볼륨 파일
 
-파드 및 컨테이너 필드를 노출하는 이 두 가지 방법을 *다운워드 API*라고 한다.
+파드 및 컨테이너 필드를 노출하는 이 두 가지 방법을 
+"다운워드 API"라고 한다.
 
 ## 파드 필드 저장
 
@@ -42,11 +39,14 @@ weight: 40
 
 `downwardAPI` 아래의 배열을 살펴보자. 배열의 각 요소는 
 [DownwardAPIVolumeFile](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core)이다.
-첫 번째 요소는 파드의 `metadata.labels` 필드 값이 `labels`라는 파일에 저장되어야 함을 지정한다.
-두 번째 요소는 파드의 `annotations` 필드 값이 `annotations`라는 파일에 저장되어야 함을 지정한다.
+첫 번째 요소는 파드의 `metadata.labels` 필드 값이 
+`labels`라는 파일에 저장되어야 함을 지정한다.
+두 번째 요소는 파드의 `annotations` 필드 값이 
+`annotations`라는 파일에 저장되어야 함을 지정한다.
 
 {{< note >}}
-이 예제의 필드는 파드에 있는 컨테이너의 필드가 아니라 파드 필드이다. 
+이 예제의 필드는 파드에 있는 컨테이너의 필드가 아니라 
+파드 필드이다. 
 {{< /note >}}
 
 파드를 생성한다.
@@ -78,7 +78,7 @@ build="two"
 builder="john-doe"
 ```
 
-파드에서 실행 중인 컨테이너의 셸을 가져오자.
+파드에서 실행 중인 컨테이너의 셸을 가져온다.
 
 ```shell
 kubectl exec -it kubernetes-downwardapi-volume-example -- sh
@@ -90,7 +90,8 @@ kubectl exec -it kubernetes-downwardapi-volume-example -- sh
 /# cat /etc/podinfo/labels
 ```
 
-출력을 통해 모든 파드의 레이블이 `labels` 파일에 기록되었음을 확인할 수 있다.
+출력을 통해 모든 파드의 레이블이 
+`labels` 파일에 기록되었음을 확인할 수 있다.
 
 ```shell
 cluster="test-cluster1"
@@ -130,12 +131,12 @@ total 8
 
 심볼릭 링크를 사용하면 메타데이터의 동적(dynamic) 원자적(atomic) 갱신이 가능하다.
 업데이트는 새 임시 디렉터리에 기록되고, `..data` 심볼릭 링크는 
-[rename(2)](http://man7.org/linux/man-pages/man2/rename.2.html)을 사용하여 
-원자적(atomic)으로 갱신한다.
+[rename(2)](http://man7.org/linux/man-pages/man2/rename.2.html)을 사용하여 원자적(atomic)으로 갱신한다.
 
 {{< note >}}
 다운워드 API를 [subPath](/ko/docs/concepts/storage/volumes/#using-subpath) 
-볼륨 마운트로 사용하는 컨테이너는 다운워드 API 업데이트를 수신하지 않는다.
+볼륨 마운트로 사용하는 컨테이너는 
+다운워드 API 업데이트를 수신하지 않는다.
 {{< /note >}}
 
 셸을 종료한다.
@@ -146,15 +147,19 @@ total 8
 
 ## 컨테이너 필드 저장
 
-이전 연습에서는 파드 필드를 DownwardAPIVolumeFile에 저장하였다.
-이 다음 연습에서는 컨테이너 필드를 저장한다. 다음은 하나의 컨테이너를 가진 파드의 구성 파일이다.
+이전 연습에서는 파드 필드를 
+[`DownwardAPIVolumeFile`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core)에 저장하였다.
+이 다음 연습에서는 컨테이너 필드를 저장한다. 
+다음은 하나의 컨테이너를 가진 파드의 구성 파일이다.
 
 {{< codenew file="pods/inject/dapi-volume-resources.yaml" >}}
 
-구성 파일에서 파드에 `downwardAPI` 볼륨이 있고 컨테이너는 `/etc/podinfo`에 볼륨을 
-마운트하는 것을 확인할 수 있다.
+구성 파일에서 파드에 [`downwardAPI` 볼륨](/ko/docs/concepts/storage/volumes/#downwardapi)이 있고 
+컨테이너는 `/etc/podinfo`에 
+볼륨을 마운트하는 것을 확인할 수 있다.
 
-`downwardAPI` 아래의 `items` 배열을 살펴보자. 배열의 각 요소는 DownwardAPIVolumeFile이다.
+`downwardAPI` 아래의 `items` 배열을 살펴보자. 배열의 각 요소는 
+[`DownwardAPIVolumeFile`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core)이다.
 
 첫 번째 요소는 `client-container`라는 컨테이너에서 
 `1m`으로 지정된 형식의 `limits.cpu` 필드 값이 
@@ -178,45 +183,56 @@ kubectl exec -it kubernetes-downwardapi-volume-example-2 -- sh
 ```shell
 /# cat /etc/podinfo/cpu_limit
 ```
+
 비슷한 명령을 통해 `cpu_request`, `mem_limit` 및 
 `mem_request` 파일을 확인할 수 있다.
 
-
-
 <!-- discussion -->
 
+<!-- TODO: This section should be extracted out of the task page. -->
 ## 다운워드 API의 기능
 
-다음 정보는 환경 변수 및 `downwardAPI` 볼륨을 통해 컨테이너에서 사용할 수 있다.
+다음 정보는 환경 변수 및 `downwardAPI` 볼륨을 통해 
+컨테이너에서 사용할 수 있다.
 
 * `fieldRef`를 통해 다음 정보를 사용할 수 있다.
+
   * `metadata.name` - 파드의 이름
   * `metadata.namespace` - 파드의 네임스페이스(Namespace)
   * `metadata.uid` - 파드의 UID
-  * `metadata.labels['<KEY>']` - 파드의 레이블 `<KEY>` 값 (예를 들어, `metadata.labels['mylabel']`)
-  * `metadata.annotations['<KEY>']` - 파드의 어노테이션 `<KEY>` 값 (예를 들어, `metadata.annotations['myannotation']`)
+  * `metadata.labels['<KEY>']` - 파드의 레이블 `<KEY>` 값 
+    (예를 들어, `metadata.labels['mylabel']`)
+  * `metadata.annotations['<KEY>']` - 파드의 어노테이션 `<KEY>` 값 
+    (예를 들어, `metadata.annotations['myannotation']`)
+
 * `resourceFieldRef`를 통해 다음 정보를 사용할 수 있다.
+
   * 컨테이너의 CPU 한도(limit)
   * 컨테이너의 CPU 요청(request)
   * 컨테이너의 메모리 한도(limit)
   * 컨테이너의 메모리 요청(request)
-  * 컨테이너의 hugepages 한도(limit) (`DownwardAPIHugePages` [기능 게이트(feature gate)](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 경우)
-  * 컨테이너의 hugepages 요청(request) (`DownwardAPIHugePages` [기능 게이트(feature gate)](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 경우)
+  * 컨테이너의 hugepages 한도(limit) (`DownwardAPIHugePages` 
+    [기능 게이트(feature gate)](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 경우)
+  * 컨테이너의 hugepages 요청(request) (`DownwardAPIHugePages` 
+    [기능 게이트(feature gate)](/ko/docs/reference/command-line-tools-reference/feature-gates/)가 활성화된 경우)
   * 컨테이너의 임시-스토리지 한도(limit)
   * 컨테이너의 임시-스토리지 요청(request)
 
-`downwardAPI` 볼륨 `fieldRef`를 통해 다음 정보를 사용할 수 있다.
+`downwardAPI` 볼륨 `fieldRef`를 통해 
+다음 정보를 사용할 수 있다.
 
 * `metadata.labels` - 한 줄에 하나의 레이블이 있는 
-`label-key="escaped-label-value"` 형식의 모든 파드 레이블
-* `metadata.annotations` - 한 줄에 하나의 어노테이션이 있는 `annotation-key="escaped-annotation-value"` 형식의 모든 파드 어노테이션
+  `label-key="escaped-label-value"` 형식의 모든 파드 레이블
+* `metadata.annotations` - 한 줄에 하나의 어노테이션이 있는 
+  `annotation-key="escaped-annotation-value"` 형식의 모든 파드 어노테이션
 
 환경 변수를 통해 다음 정보를 사용할 수 있다.
 
 * `status.podIP` - 파드의 IP 주소
-* `spec.serviceAccountName` - 파드의 서비스 계정 이름, v1.4.0-alpha.3부터 사용 가능
-* `spec.nodeName` - 노드의 이름, v1.4.0-alpha.3부터 사용 가능
-* `status.hostIP` - 노드의 IP, v1.7.0-alpha.1 이후 사용 가능
+* `spec.serviceAccountName` - 파드의 서비스 계정 이름
+* `spec.nodeName` - 스케줄러가 항상 파드를 스케줄링하려고 시도할 
+  노드의 이름
+* `status.hostIP` - 파드가 할당될 노드의 IP 주소
 
 {{< note >}}
 컨테이너에 대해 CPU 및 메모리 한도(limit)가 지정되지 않은 경우 다운워드 API는 기본적으로 
@@ -231,7 +247,8 @@ CPU 및 메모리에 대해 할당 가능한 노드 값으로 설정한다.
 
 ## 다운워드 API에 대한 동기
 
-컨테이너가 쿠버네티스에 과도하게 결합되지 않고 자체에 대한 정보를 갖는 것이 때때로 유용하다. 
+컨테이너가 쿠버네티스에 과도하게 결합되지 않고 
+자체에 대한 정보를 갖는 것이 때때로 유용하다. 
 다운워드 API를 사용하면 컨테이너가 쿠버네티스 클라이언트 또는 API 서버를 사용하지 않고 
 자체 또는 클러스터에 대한 정보를 사용할 수 있다.
 
@@ -241,19 +258,16 @@ CPU 및 메모리에 대해 할당 가능한 노드 값으로 설정한다.
 더 나은 옵션은 파드의 이름을 식별자로 사용하고 
 파드의 이름을 잘 알려진 환경 변수에 삽입하는 것이다.
 
-
-
-
 ## {{% heading "whatsnext" %}}
 
-
-* [PodSpec](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podspec-v1-core)
-* [볼륨](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#volume-v1-core)
-* [DownwardAPIVolumeSource](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumesource-v1-core)
-* [DownwardAPIVolumeFile](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core)
-* [ResourceFieldSelector](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#resourcefieldselector-v1-core)
-
-
-
-
-
+* 파드의 목표 상태(desired state)를 정의하는 
+  [`PodSpec`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podspec-v1-core) API 정의를 확인한다.
+* 컨테이너가 접근할 파드 내의 일반 볼륨을 정의하는 
+  [`Volume`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#volume-v1-core) API 정의를 확인한다.
+* 다운워드 API 정보를 포함하는 볼륨을 정의하는 
+  [`DownwardAPIVolumeSource`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumesource-v1-core) API 정의를 확인한다.
+* 다운워드 API 볼륨 내 파일을 채우기 위한 
+  오브젝트 또는 리소스 필드로의 레퍼런스를 포함하는 
+  [`DownwardAPIVolumeFile`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#downwardapivolumefile-v1-core) API 정의를 확인한다.
+* 컨테이너 리소스 및 이들의 출력 형식을 지정하는 
+  [`ResourceFieldSelector`](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#resourcefieldselector-v1-core) API 정의를 확인한다.
diff --git a/content/ko/docs/tasks/job/parallel-processing-expansion.md b/content/ko/docs/tasks/job/parallel-processing-expansion.md
index 5870b4b314c..ddf1bd0b886 100644
--- a/content/ko/docs/tasks/job/parallel-processing-expansion.md
+++ b/content/ko/docs/tasks/job/parallel-processing-expansion.md
@@ -201,7 +201,7 @@ spec:
     spec:
       containers:
       - name: c
-        image: busybox
+        image: busybox:1.28
         command: ["sh", "-c", "echo Processing URL {{ url }} && sleep 5"]
       restartPolicy: Never
 {% endfor %}
diff --git a/content/ko/docs/tasks/manage-daemon/update-daemon-set.md b/content/ko/docs/tasks/manage-daemon/update-daemon-set.md
index 8a42e0d0344..d8c7aa935b8 100644
--- a/content/ko/docs/tasks/manage-daemon/update-daemon-set.md
+++ b/content/ko/docs/tasks/manage-daemon/update-daemon-set.md
@@ -34,9 +34,9 @@ weight: 10
 데몬셋의 롤링 업데이트 기능을 사용하려면,
 `.spec.updateStrategy.type` 에 `RollingUpdate` 를 설정해야 한다.
 
-[`.spec.updateStrategy.rollingUpdate.maxUnavailable`](/ko/docs/concepts/workloads/controllers/deployment/#최대-불가max-unavailable)
+[`.spec.updateStrategy.rollingUpdate.maxUnavailable`](/docs/reference/kubernetes-api/workload-resources/daemon-set-v1/#DaemonSetSpec)
 (기본값은 1),
-[`.spec.minReadySeconds`](/ko/docs/concepts/workloads/controllers/deployment/#최소-대기-시간초)
+[`.spec.minReadySeconds`](/docs/reference/kubernetes-api/workload-resources/daemon-set-v1/#DaemonSetSpec)
 (기본값은 0),
 [`.spec.updateStrategy.rollingUpdate.maxSurge`](/docs/reference/kubernetes-api/workload-resources/daemon-set-v1/#DaemonSetSpec)
 (베타 기능, 기본값은 0)를 
diff --git a/content/ko/docs/tasks/network/validate-dual-stack.md b/content/ko/docs/tasks/network/validate-dual-stack.md
index 6c14644db12..36730ac66be 100644
--- a/content/ko/docs/tasks/network/validate-dual-stack.md
+++ b/content/ko/docs/tasks/network/validate-dual-stack.md
@@ -16,7 +16,7 @@ content_type: task
 
 
 * 이중 스택 네트워킹을 위한 제공자 지원 (클라우드 제공자 또는 기타 제공자들은 라우팅 가능한 IPv4/IPv6 네트워크 인터페이스를 제공하는 쿠버네티스 노드들을 제공해야 한다.)
-* 이중 스택을 지원하는 [네트워크 플러그인](/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)  (예: Calico, Cilium 또는 Kubenet)
+* 이중 스택 네트워킹을 지원하는 [네트워크 플러그인](/ko/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)
 * [이중 스택 활성화](/ko/docs/concepts/services-networking/dual-stack/) 클러스터
 
 {{< version-check >}}
diff --git a/content/ko/docs/tasks/run-application/access-api-from-pod.md b/content/ko/docs/tasks/run-application/access-api-from-pod.md
index d12f3b2f005..b9a0a8c55ee 100644
--- a/content/ko/docs/tasks/run-application/access-api-from-pod.md
+++ b/content/ko/docs/tasks/run-application/access-api-from-pod.md
@@ -47,10 +47,11 @@ weight: 120
 호스트 이름을 사용하여 API 서버를 쿼리할 수 있다. 공식 클라이언트 라이브러리는
 이를 자동으로 수행한다.
 
-API 서버를 인증하는 권장 방법은 [서비스 어카운트](/docs/tasks/configure-pod-container/configure-service-account/)
-자격 증명을 사용하는 것이다. 기본적으로, 파드는
-서비스 어카운트와 연결되어 있으며, 해당 서비스 어카운트에 대한 자격 증명(토큰)은
-해당 파드에 있는 각 컨테이너의 파일시스템 트리의
+API 서버를 인증하는 권장 방법은 
+[서비스 어카운트](/docs/tasks/configure-pod-container/configure-service-account/) 자격 증명을 사용하는 것이다. 
+기본적으로, 파드는 서비스 어카운트와 연결되어 있으며, 
+해당 서비스 어카운트에 대한 자격 증명(토큰)은 
+해당 파드에 있는 각 컨테이너의 파일시스템 트리의 
 `/var/run/secrets/kubernetes.io/serviceaccount/token` 에 있다.
 
 사용 가능한 경우, 인증서 번들은 각 컨테이너의
diff --git a/content/ko/docs/tasks/run-application/force-delete-stateful-set-pod.md b/content/ko/docs/tasks/run-application/force-delete-stateful-set-pod.md
index 7c1b311a2ae..c532b1b9a14 100644
--- a/content/ko/docs/tasks/run-application/force-delete-stateful-set-pod.md
+++ b/content/ko/docs/tasks/run-application/force-delete-stateful-set-pod.md
@@ -91,6 +91,6 @@ kubectl patch pod <pod> -p '{"metadata":{"finalizers":null}}'
 ## {{% heading "whatsnext" %}}
 
 
-[스테이트풀셋 디버깅하기](/ko/docs/tasks/debug-application-cluster/debug-stateful-set/)에 대해 더 알아보기.
+[스테이트풀셋 디버깅하기](/ko/docs/tasks/debug/debug-application/debug-statefulset/)에 대해 더 알아보기.
 
 
diff --git a/content/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
index d1e864476aa..659da850792 100644
--- a/content/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
+++ b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
@@ -152,7 +152,7 @@ php-apache   Deployment/php-apache/scale   0% / 50%  1         10        1
 ```shell
 # 부하 생성을 유지하면서 나머지 스텝을 수행할 수 있도록,
 # 다음의 명령을 별도의 터미널에서 실행한다.
-kubectl run -i --tty load-generator --rm --image=busybox --restart=Never -- /bin/sh -c "while sleep 0.01; do wget -q -O- http://php-apache; done"
+kubectl run -i --tty load-generator --rm --image=busybox:1.28 --restart=Never -- /bin/sh -c "while sleep 0.01; do wget -q -O- http://php-apache; done"
 ```
 
 이제 아래 명령을 실행한다.
@@ -321,7 +321,7 @@ object:
   metric:
     name: requests-per-second
   describedObject:
-    apiVersion: networking.k8s.io/v1beta1
+    apiVersion: networking.k8s.io/v1
     kind: Ingress
     name: main-route
   target:
@@ -367,7 +367,7 @@ spec:
       metric:
         name: requests-per-second
       describedObject:
-        apiVersion: networking.k8s.io/v1beta1
+        apiVersion: networking.k8s.io/v1
         kind: Ingress
         name: main-route
       target:
@@ -390,7 +390,7 @@ status:
       metric:
         name: requests-per-second
       describedObject:
-        apiVersion: networking.k8s.io/v1beta1
+        apiVersion: networking.k8s.io/v1
         kind: Ingress
         name: main-route
       current:
diff --git a/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md
index 99053e98e7c..e5c1a1ddb21 100644
--- a/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md
+++ b/content/ko/docs/tasks/run-application/horizontal-pod-autoscale.md
@@ -90,7 +90,7 @@ HorizontalPodAutoscaler를 사용하는 일반적인 방법은
 `custom.metrics.k8s.io`, 또는 `external.metrics.k8s.io`)로부터 메트릭을 가져오도록 설정하는 것이다. 
 `metrics.k8s.io` API는 보통 메트릭 서버(Metrics Server)라는 애드온에 의해 제공되며, 
 Metrics Server는 별도로 실행해야 한다. 자원 메트릭에 대한 추가 정보는 
-[Metrics Server](/ko/docs/tasks/debug-application-cluster/resource-metrics-pipeline/#메트릭-서버)를 참고한다.
+[Metrics Server](/ko/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/#metrics-server)를 참고한다.
 
 [메트릭 API를 위한 지원](#메트릭-api를-위한-지원)에서 위의 API들에 대한 안정성 보장 및 지원 상태를 
 확인할 수 있다.
@@ -329,7 +329,7 @@ API에 접속하려면 클러스터 관리자는 다음을 확인해야 한다.
 * 해당 API 등록:
 
    * 리소스 메트릭의 경우, 일반적으로 이것은 [메트릭-서버](https://github.com/kubernetes-sigs/metrics-server)가 제공하는 `metrics.k8s.io` API이다.
-     클러스터 애드온으로 시작할 수 있다.
+     클러스터 애드온으로 실행할 수 있다.
 
    * 사용자 정의 메트릭의 경우, 이것은 `custom.metrics.k8s.io` API이다. 메트릭 솔루션 공급 업체에서 제공하는 "어댑터" API 서버에서 제공한다.
      사용 가능한 쿠버네티스 메트릭 어댑터가 있는지 확인하려면 사용하고자 하는 메트릭 파이프라인을 확인한다.
@@ -337,9 +337,9 @@ API에 접속하려면 클러스터 관리자는 다음을 확인해야 한다.
    * 외부 메트릭의 경우, 이것은 `external.metrics.k8s.io` API이다. 위에 제공된 사용자 정의 메트릭 어댑터에서 제공될 수 있다.
 
 이런 다양한 메트릭 경로와 각각의 다른 점에 대한 상세 내용은 관련 디자인 제안서인
-[HPA V2](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/autoscaling/hpa-v2.md),
-[custom.metrics.k8s.io](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/instrumentation/custom-metrics-api.md),
-[external.metrics.k8s.io](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/instrumentation/external-metrics-api.md)를 참조한다.
+[HPA V2](https://github.com/kubernetes/design-proposals-archive/blob/main/autoscaling/hpa-v2.md),
+[custom.metrics.k8s.io](https://github.com/kubernetes/design-proposals-archive/blob/main/instrumentation/custom-metrics-api.md),
+[external.metrics.k8s.io](https://github.com/kubernetes/design-proposals-archive/blob/main/instrumentation/external-metrics-api.md)를 참조한다.
 
 어떻게 사용하는지에 대한 예시는 [커스텀 메트릭 사용하는 작업 과정](/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough/#다양한-메트릭-및-사용자-정의-메트릭을-기초로한-오토스케일링)과
 [외부 메트릭스 사용하는 작업 과정](/ko/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough/#쿠버네티스-오브젝트와-관련이-없는-메트릭을-기초로한-오토스케일링)을 참조한다.
@@ -514,7 +514,7 @@ Horizontal Pod Autoscaler는 모든 API 리소스와 마찬가지로 `kubectl`
 
 또한 Horizontal Pod Autoscaler를 생성할 수 있는 `kubectl autoscale`이라는 특별한 명령이 있다.
 예를 들어 `kubectl autoscale rs foo --min=2 --max=5 --cpu-percent=80`을
-실행하면 레플리케이션 셋 *foo* 에 대한 오토스케일러가 생성되고, 목표 CPU 사용률은 `80 %`,
+실행하면 레플리카셋 *foo* 에 대한 오토스케일러가 생성되고, 목표 CPU 사용률은 `80 %`,
 그리고 2와 5 사이의 레플리카 개수로 설정된다.
 
 ## 암시적 유지 관리 모드 비활성화
diff --git a/content/ko/docs/tasks/tls/managing-tls-in-a-cluster.md b/content/ko/docs/tasks/tls/managing-tls-in-a-cluster.md
index 3d8c4d5942b..8a67143f54d 100644
--- a/content/ko/docs/tasks/tls/managing-tls-in-a-cluster.md
+++ b/content/ko/docs/tasks/tls/managing-tls-in-a-cluster.md
@@ -17,7 +17,7 @@ content_type: task
 유사한 프로토콜을 사용한다.
 
 {{< note >}}
-`certificates.k8s.io` API를 사용하여 생성된 인증서는 전용 CA로 서명된다. 
+`certificates.k8s.io` API를 사용하여 생성된 인증서는 [전용 CA](#a-note-to-cluster-administrators)로 서명된다. 
 이러한 목적을 위해 클러스터 루트 CA를 사용하도록 클러스터를 
 구성할 수 있지만, 절대 이에 의존해서는 안된다. 
 해당 인증서가 클러스터 루트 CA에 대해 유효성을 검사한다고 가정하면 안된다.
@@ -29,24 +29,38 @@ content_type: task
 ## {{% heading "prerequisites" %}}
 
 
-{{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
+{{< include "task-tutorial-prereqs.md" >}}
 
+`cfssl` 도구가 필요하다. 
+[https://github.com/cloudflare/cfssl/releases](https://github.com/cloudflare/cfssl/releases)에서 `cfssl`을 다운로드할 수 있다.
 
+이 페이지의 일부 단계에서 `jq` 도구를 사용한다. 
+`jq`가 없다면, 사용 중인 운영 체제의 소프트웨어 소스를 통해 설치하거나, 
+[https://stedolan.github.io/jq/](https://stedolan.github.io/jq/)에서 받을 수 있다.
 
 <!-- steps -->
 
 ## 클러스터에서 TLS 신뢰
 
-파드로 실행되는 애플리케이션에서 사용자 정의 CA를 신뢰하려면 
+파드로 실행되는 애플리케이션에서 [사용자 정의 CA](#a-note-to-cluster-administrators)를 신뢰하려면 
 일반적으로 몇 가지 추가 애플리케이션 구성이 필요하다.
 TLS 클라이언트 또는 서버가 신뢰하는 CA 인증서 목록에 
 CA 인증서 번들을 추가해야 한다.
-예를 들어 인증서 체인을 파싱하고, 파싱된 인증서를 [`tls.Config`](https://godoc.org/crypto/tls#Config) 구조체의 
+예를 들어 인증서 체인을 파싱하고, 파싱된 인증서를 [`tls.Config`](https://pkg.go.dev/crypto/tls#Config) 구조체의 
 `RootCAs` 필드에 추가하여, golang TLS 구성으로 이를 수행할 수 있다.
 
-CA 인증서를 파드에서 사용할 수 있는 
-[ConfigMap](/docs/tasks/configure-pod-container/configure-pod-configmap)으로 
-배포할 수 있다.
+{{< note >}}
+사용자 정의 CA 인증서가 
+파일시스템(`kube-root-ca.crt` 컨피그맵 내)에 포함될 수 있더라도, 
+이 인증서 권한을 내부 쿠버네티스 엔드포인트 검증 용도 외에는 사용하지 말아야 한다. 
+내부 쿠버네티스 엔드포인트에 대한 하나의 예시는 
+기본 네임스페이스에 있는 `kubernetes`라는 서비스이다.
+
+당신의 워크로드를 위한 사용자 정의 인증서 권한을 사용하고 싶다면, 
+이 CA를 별도로 생성하고, 파드가 읽을 수 있는 
+[컨피그맵](/docs/tasks/configure-pod-container/configure-pod-configmap/) 형태로 
+해당 CA 인증서를 배포해야 한다.
+{{< /note >}}
 
 ## 인증서 요청
 
@@ -57,11 +71,6 @@ TLS 인증서를 생성하는 방법을 보여준다.
 이 튜토리얼에서는 CFSSL을 사용한다. [여기를 클릭](https://blog.cloudflare.com/introducing-cfssl/)하여 Cloudflare의 PKI 및 TLS 툴킷을 자세히 알아본다.
 {{< /note >}}
 
-## CFSSL 다운로드 및 설치
-
-이 예제에 사용된 cfssl 도구는 
-[https://github.com/cloudflare/cfssl/releases](https://github.com/cloudflare/cfssl/releases)에서 다운로드 할 수 있다.
-
 ## 인증서 서명 요청 (CSR) 생성
 
 다음 명령을 실행하여 개인 키 및 인증서 서명 요청(또는 CSR)을 
@@ -98,14 +107,14 @@ EOF
 ```
 
 이 명령은 두 개의 파일을 생성한다. PEM으로 
-인코딩된 [pkcs#10](https://tools.ietf.org/html/rfc2986) 
+인코딩된 [PKCS#10](https://tools.ietf.org/html/rfc2986) 
 인증 요청이 포함된 `server.csr`과 생성할 인증서 키를 PEM 인코딩한 값이
 포함된 `server-key.pem`을 생성한다.
 
 ## 쿠버네티스 API로 보낼 인증서 서명 요청 객체 만들기
 
-CSR yaml blob을 생성하고 다음 명령을 실행하여 
-apiserver로 보낸다.
+CSR 매니페스트(YAML 형태)를 생성하고, API 서버로 전송한다. 
+다음 명령어를 실행하여 수행할 수 있다.
 
 ```shell
 cat <<EOF | kubectl apply -f -
@@ -157,7 +166,7 @@ Subject Alternative Names:
 Events: <none>
 ```
 
-## 인증서 서명 요청 승인 받기
+## 인증서 서명 요청 승인 받기 {#get-the-certificate-signing-request-approved}
 
 [인증서 서명 요청](/docs/reference/access-authn-authz/certificate-signing-requests/) 승인은 
 자동화된 승인 프로세스 또는 클러스터 관리자의 일회성 승인으로 수행된다. 
@@ -186,7 +195,7 @@ my-svc.my-namespace   10m   example.com/serving   yourname@example.com   <none>
 이는 즉 인증서 요청이 승인되었으며 
 요청받은 서명자의 서명을 기다리고 있음을 나타낸다.
 
-## 인증서 서명 요청에 서명하기
+## 인증서 서명 요청에 서명하기 {#sign-the-certificate-signing-request}
 
 다음으로, 인증서 서명자로서, 인증서를 발급하고, 이를 API에 업로드할 것이다.
 
@@ -196,7 +205,9 @@ my-svc.my-namespace   10m   example.com/serving   yourname@example.com   <none>
 
 ### 인증 기관 생성하기
 
-먼저: 다음을 실행하여 서명 인증서를 생성한다.
+새 인증서의 디지털 서명에 제공할 인증 기관이 필요하다.
+
+먼저, 다음을 실행하여 서명 인증서를 생성한다.
 
 ```shell
 cat <<EOF | cfssl gencert -initca - | cfssljson -bare ca
@@ -256,16 +267,19 @@ kubectl get csr my-svc.my-namespace -o json | \
 ```
 
 {{< note >}}
-위의 명령에서 `.status.certificate` 필드에 base64로 인코딩된 내용을 채우기 위해 [jq](https://stedolan.github.io/jq/) 명령줄 도구를 사용하였다.
-`jq`가 없다면, JSON 출력을 파일에 저장하고, 해당 필드를 수동으로 채우고, 그 결과 파일을 업로드할 수도 있다.
+위의 명령에서 `.status.certificate` 필드에 base64로 인코딩된 내용을 채우기 위해 
+[`jq`](https://stedolan.github.io/jq/) 명령줄 도구를 사용하였다.
+`jq`가 없다면, JSON 출력을 파일에 저장하고, 
+해당 필드를 수동으로 채우고, 그 결과 파일을 업로드할 수도 있다.
 {{< /note >}}
 
-인증서 서명 요청이 승인되고 서명된 인증서가 업로드되면 다음과 같은 출력을 볼 수 있을 것이다.
+인증서 서명 요청이 승인되고 서명된 인증서가 업로드되면 다음을 실행한다.
 
 ```shell
 kubectl get csr
 ```
 
+출력은 다음과 같을 것이다.
 ```none
 NAME                  AGE   SIGNERNAME            REQUESTOR              REQUESTEDDURATION   CONDITION
 my-svc.my-namespace   20m   example.com/serving   yourname@example.com   <none>              Approved,Issued
@@ -281,37 +295,48 @@ kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
     | base64 --decode > server.crt
 ```
 
-이제 `server.crt` 및 `server-key.pem`의 내용으로 시크릿을 생성하고 파드에 마운트하여
-HTTPS 서버를 시작하는 데 필요한 키페어로 사용할 수 있다.
+이제 `server.crt` 및 `server-key.pem`의 내용으로 
+{{< glossary_tooltip text="시크릿" term_id="secret" >}}을 생성할 수 있으며, 
+이 시크릿은 추후 파드에 마운트할 수 있다(예를 들어, 
+HTTPS를 제공하는 웹서버에 사용).
 
 ```shell
-kubectl create secret tls server --cert server.crt --key server-key.pem 
+kubectl create secret tls server --cert server.crt --key server-key.pem
 ```
 
 ```none
 secret/server created
 ```
 
-마지막으로, `ca.pem`의 내용으로 컨피그맵을 생성하여 
+마지막으로, `ca.pem`의 내용으로 {{< glossary_tooltip text="컨피그맵" term_id="configmap" >}}을 생성하여 
 제공(serving) 인증서 검증에 필요한 신뢰 루트로 사용할 수 있다.
 
 ```shell
-kubectl create configmap example-serving-ca --from-file ca.crt=ca.pem 
+kubectl create configmap example-serving-ca --from-file ca.crt=ca.pem
 ```
 
 ```none
 configmap/example-serving-ca created
 ```
 
-## 인증서 서명 요청 승인
+## CertificateSigningRequest 승인 {#approving-certificate-signing-requests}
 
 (적절한 권한이 있는) 쿠버네티스 관리자는 
 `kubectl certificate approve` 과 `kubectl certificate deny` 
-명령을 사용하여 인증서 서명 요청을 수동으로 승인 (또는 거부) 할 수 있다. 
+명령을 사용하여 CertificateSigningRequest을 수동으로 승인 (또는 거부) 할 수 있다. 
 그러나 이 API를 많이 사용한다면,
 자동화된 인증서 컨트롤러 작성을 고려할 수 있다.
 
-위와 같이 kubectl을 사용하는 시스템이든 사람이든, 승인자의 역할은 
+{{< caution >}}
+CSR을 승인할 수 있는 권한이 있다는 것은 당신의 환경에서 누가 누구를 신뢰할 수 있는지를 결정할 수 있다는 것이다. 
+CSR을 승인할 수 있는 권한은 넓게/가볍게 부여되지 않아야 한다.
+
+`approve` 권한을 부여하기 전에, 
+승인자에게 할당되는 검증 요구 사항 **및** 특정 인증서 발급에 따른 영향을 
+모두 확실히 이해하고 있는지 확인해야 한다.
+{{< /caution >}}
+
+위와 같이 kubectl을 사용하는 시스템이든 사람이든, _승인자_ 의 역할은 
 CSR이 다음 두 가지 요구 사항을 충족하는지 확인하는 것이다.
 
 1. CSR은 CSR에 서명하는 데 사용되는 개인 키를 제어하는 것이다. 이는 
@@ -326,17 +351,13 @@ CSR이 다음 두 가지 요구 사항을 충족하는지 확인하는 것이다
 이 두 가지 요구 사항이 충족되는 경우에만, 승인자가 CSR을 승인하고 
 그렇지 않으면 CSR을 거부해야 한다.
 
-## 승인 허가에 대한 경고문
+인증서 승인 및 접근 제어에 대한 추가 정보를 보려면, 
+[인증서 서명 요청](/docs/reference/access-authn-authz/certificate-signing-requests/) 레퍼런스 페이지를 
+참조한다.
 
-CSR을 승인하는 능력은 환경 내에서 누구를 신뢰하는지 결정한다. CSR 승인
-능력은 광범위하거나 가볍게 부여해서는 안된다. 이 권한을 
-부여하기 전에 이전 섹션에서 언급한 
-요청의 요구 사항과 특정 인증서 발급의 영향을 
-완전히 이해해야 한다.
+## 서명을 제공하도록 클러스터 구성하기 {#a-note-to-cluster-administrators}
 
-## 클러스터 관리자를 위한 참고 사항
-
-이 가이드에서는 서명자가 인증서 API를 제공하도록 설정되었다고 가정한다. 쿠버네티스 
+이 페이지에서는 서명자가 인증서 API를 제공하도록 설정되었다고 가정한다. 쿠버네티스 
 컨트롤러 관리자는 서명자의 기본 구현을 제공한다. 이를 
 활성화하려면 인증 기관(CA)의 키 쌍에 대한 경로와 함께 `--cluster-signing-cert-file` 와 
 `--cluster-signing-key-file` 매개 변수를 
diff --git a/content/ko/docs/tasks/tools/included/optional-kubectl-configs-zsh.md b/content/ko/docs/tasks/tools/included/optional-kubectl-configs-zsh.md
index 0d2a563c1b0..5c857fd2bb8 100644
--- a/content/ko/docs/tasks/tools/included/optional-kubectl-configs-zsh.md
+++ b/content/ko/docs/tasks/tools/included/optional-kubectl-configs-zsh.md
@@ -12,16 +12,11 @@ Zsh용 kubectl 자동 완성 스크립트는 `kubectl completion zsh` 명령으
 source <(kubectl completion zsh)
 ```
 
-kubectl에 대한 앨리어스가 있는 경우, 해당 앨리어스로 작업하도록 셸 자동 완성을 확장할 수 있다.
-
-```zsh
-echo 'alias k=kubectl' >>~/.zshrc
-echo 'compdef __start_kubectl k' >>~/.zshrc
-```
+kubectl에 대한 앨리어스가 있는 경우, kubectl 자동완성이 자동으로 동작할 것이다.
 
 셸을 다시 로드하면, kubectl 자동 완성 기능이 작동할 것이다.
 
-`complete:13: command not found: compdef` 와 같은 오류가 발생하면, `~/.zshrc` 파일의 시작 부분에 다음을 추가한다.
+`2: command not found: compdef` 와 같은 오류가 발생하면, `~/.zshrc` 파일의 시작 부분에 다음을 추가한다.
 
 ```zsh
 autoload -Uz compinit
diff --git a/content/ko/docs/tasks/tools/install-kubectl-linux.md b/content/ko/docs/tasks/tools/install-kubectl-linux.md
index 06193399bad..df5165c0907 100644
--- a/content/ko/docs/tasks/tools/install-kubectl-linux.md
+++ b/content/ko/docs/tasks/tools/install-kubectl-linux.md
@@ -52,7 +52,7 @@ card:
    kubectl 바이너리를 체크섬 파일을 통해 검증한다.
 
    ```bash
-   echo "$(<kubectl.sha256)  kubectl" | sha256sum --check
+   echo "$(cat kubectl.sha256)  kubectl" | sha256sum --check
    ```
 
    검증이 성공한다면, 출력은 다음과 같다.
@@ -83,7 +83,7 @@ card:
 
    ```bash
    chmod +x kubectl
-   mkdir -p ~/.local/bin/kubectl
+   mkdir -p ~/.local/bin
    mv ./kubectl ~/.local/bin/kubectl
    # 그리고 ~/.local/bin 을 $PATH의 앞부분 또는 뒷부분에 추가
    ```
@@ -95,6 +95,11 @@ card:
    ```bash
    kubectl version --client
    ```
+   또는 다음을 실행하여 버전에 대한 더 자세한 정보를 본다.
+
+   ```cmd
+   kubectl version --client --output=yaml    
+   ```
 
 ### 기본 패키지 관리 도구를 사용하여 설치 {#install-using-native-package-management}
 
@@ -207,7 +212,7 @@ kubectl은 Bash, Zsh, Fish, 및 PowerShell에 대한 자동 완성 지원을 제
    kubectl-convert 바이너리를 체크섬 파일을 통해 검증한다.
 
    ```bash
-   echo "$(<kubectl-convert.sha256) kubectl-convert" | sha256sum --check
+   echo "$(cat kubectl-convert.sha256) kubectl-convert" | sha256sum --check
    ```
 
    검증이 성공한다면, 출력은 다음과 같다.
diff --git a/content/ko/docs/tasks/tools/install-kubectl-macos.md b/content/ko/docs/tasks/tools/install-kubectl-macos.md
index 746bc1059f4..81a5cb10390 100644
--- a/content/ko/docs/tasks/tools/install-kubectl-macos.md
+++ b/content/ko/docs/tasks/tools/install-kubectl-macos.md
@@ -69,7 +69,7 @@ card:
    kubectl 바이너리를 체크섬 파일을 통해 검증한다.
 
    ```bash
-   echo "$(<kubectl.sha256)  kubectl" | shasum -a 256 --check
+   echo "$(cat kubectl.sha256)  kubectl" | shasum -a 256 --check
    ```
 
    검증이 성공한다면, 출력은 다음과 같다.
@@ -111,6 +111,11 @@ card:
    ```bash
    kubectl version --client
    ```
+   또는 다음을 실행하여 버전에 대한 더 자세한 정보를 본다.
+
+   ```cmd
+   kubectl version --client --output=yaml    
+   ```
 
 ### macOS에서 Homebrew를 사용하여 설치 {#install-with-homebrew-on-macos}
 
@@ -200,7 +205,7 @@ kubectl은 Bash, Zsh, Fish, 및 PowerShell에 대한 자동 완성 지원을 제
    kubectl-convert 바이너리를 체크섬 파일을 통해 검증한다.
 
    ```bash
-   echo "$(<kubectl-convert.sha256)  kubectl-convert" | shasum -a 256 --check
+   echo "$(cat kubectl-convert.sha256)  kubectl-convert" | shasum -a 256 --check
    ```
 
    검증이 성공한다면, 출력은 다음과 같다.
diff --git a/content/ko/docs/tasks/tools/install-kubectl-windows.md b/content/ko/docs/tasks/tools/install-kubectl-windows.md
index ada7861e5dc..c1bba068a2d 100644
--- a/content/ko/docs/tasks/tools/install-kubectl-windows.md
+++ b/content/ko/docs/tasks/tools/install-kubectl-windows.md
@@ -38,13 +38,13 @@ card:
 
 1. 바이너리를 검증한다. (선택 사항)
 
-   kubectl 체크섬 파일을 다운로드한다.
+   `kubectl` 체크섬 파일을 다운로드한다.
 
    ```powershell
    curl -LO "https://dl.k8s.io/{{< param "fullversion" >}}/bin/windows/amd64/kubectl.exe.sha256"
    ```
 
-   kubectl 바이너리를 체크섬 파일을 통해 검증한다.
+   `kubectl` 바이너리를 체크섬 파일을 통해 검증한다.
 
    - 커맨드 프롬프트를 사용하는 경우, `CertUtil` 의 출력과 다운로드한 체크섬 파일을 수동으로 비교한다.
 
@@ -59,13 +59,18 @@ card:
      $($(CertUtil -hashfile .\kubectl.exe SHA256)[1] -replace " ", "") -eq $(type .\kubectl.exe.sha256)
      ```
 
-1. kubectl 바이너리가 있는 폴더를 `PATH` 환경 변수의 앞부분 또는 뒷부분에 추가
+1. `kubectl` 바이너리가 있는 폴더를 `PATH` 환경 변수의 앞부분 또는 뒷부분에 추가
 
 1. `kubectl` 의 버전이 다운로드한 버전과 같은지 확인한다.
 
    ```cmd
    kubectl version --client
    ```
+   또는 다음을 실행하여 버전에 대한 더 자세한 정보를 본다.
+
+   ```cmd
+   kubectl version --client --output=yaml    
+   ```
 
 {{< note >}}
 [윈도우용 도커 데스크톱](https://docs.docker.com/docker-for-windows/#kubernetes)은 자체 버전의 `kubectl` 을 `PATH` 에 추가한다.
@@ -151,13 +156,13 @@ kubectl은 Bash, Zsh, Fish, 및 PowerShell에 대한 자동 완성 지원을 제
 
 1. 바이너리를 검증한다. (선택 사항)
 
-   kubectl-convert 체크섬(checksum) 파일을 다운로드한다.
+   `kubectl-convert` 체크섬(checksum) 파일을 다운로드한다.
 
    ```powershell
    curl -LO "https://dl.k8s.io/{{< param "fullversion" >}}/bin/windows/amd64/kubectl-convert.exe.sha256"
    ```
 
-   kubectl-convert 바이너리를 체크섬 파일을 통해 검증한다.
+   `kubectl-convert` 바이너리를 체크섬 파일을 통해 검증한다.
 
    - 커맨드 프롬프트를 사용하는 경우, `CertUtil` 의 출력과 다운로드한 체크섬 파일을 수동으로 비교한다.
 
@@ -172,7 +177,7 @@ kubectl은 Bash, Zsh, Fish, 및 PowerShell에 대한 자동 완성 지원을 제
      $($(CertUtil -hashfile .\kubectl-convert.exe SHA256)[1] -replace " ", "") -eq $(type .\kubectl-convert.exe.sha256)
      ```
 
-1. kubectl 바이너리가 있는 폴더를 `PATH` 환경 변수의 앞부분 또는 뒷부분에 추가
+1. `kubectl-convert` 바이너리가 있는 폴더를 `PATH` 환경 변수의 앞부분 또는 뒷부분에 추가
 
 1. 플러그인이 정상적으로 설치되었는지 확인한다.
 
diff --git a/content/ko/docs/tutorials/_index.md b/content/ko/docs/tutorials/_index.md
index c929b541960..4b708f68fe6 100644
--- a/content/ko/docs/tutorials/_index.md
+++ b/content/ko/docs/tutorials/_index.md
@@ -53,8 +53,8 @@ content_type: concept
 
 ## 보안
 
-* [파드 보안 표준을 클러스터 수준으로 적용하기](/docs/tutorials/security/cluster-level-pss/)
-* [파드 보안 표준을 네임스페이스 수준으로 적용하기](/docs/tutorials/security/ns-level-pss/)
+* [파드 보안 표준을 클러스터 수준으로 적용하기](/ko/docs/tutorials/security/cluster-level-pss/)
+* [파드 보안 표준을 네임스페이스 수준으로 적용하기](/ko/docs/tutorials/security/ns-level-pss/)
 * [AppArmor](/ko/docs/tutorials/security/apparmor/)
 * [seccomp](/docs/tutorials/security/seccomp/)
 ## {{% heading "whatsnext" %}}
diff --git a/content/ko/docs/tutorials/hello-minikube.md b/content/ko/docs/tutorials/hello-minikube.md
index cd7e5c9b086..ce93967a598 100644
--- a/content/ko/docs/tutorials/hello-minikube.md
+++ b/content/ko/docs/tutorials/hello-minikube.md
@@ -136,7 +136,7 @@ minikube dashboard --url
     ```
 
 {{< note >}}
-`kubectl` 명령어에 관해 자세히 알기 원하면 [kubectl 개요](/ko/docs/reference/kubectl/overview/)을 살펴보자.
+`kubectl` 명령어에 관해 자세히 알기 원하면 [kubectl 개요](/ko/docs/reference/kubectl/)을 살펴보자.
 {{< /note >}}
 
 ## 서비스 만들기
diff --git a/content/ko/docs/tutorials/kubernetes-basics/explore/explore-intro.html b/content/ko/docs/tutorials/kubernetes-basics/explore/explore-intro.html
index e2182220106..c09d8c014e2 100644
--- a/content/ko/docs/tutorials/kubernetes-basics/explore/explore-intro.html
+++ b/content/ko/docs/tutorials/kubernetes-basics/explore/explore-intro.html
@@ -74,7 +74,7 @@ weight: 10
         <div class="row">
             <div class="col-md-8">
                 <h2>노드</h2>
-                <p>파드는 언제나 <b>노드</b> 상에서 동작한다. 노드는 쿠버네티스에서 워커 머신을 말하며 클러스터에 따라 가상 또는 물리 머신일 수 있다. 각 노드는 컨트롤 플레인에 의해 관리된다. 하나의 노드는 여러 개의 파드를 가질 수 있고, 쿠버네티스 컨트롤 플레인은 클러스터 내 노드를 통해서 파드에 대한 스케쥴링을 자동으로 처리한다. 컨트롤 플레인의 자동 스케줄링은 각 노드의 사용 가능한 리소스를 모두 고려합니다.</p>
+                <p>파드는 언제나 <b>노드</b> 상에서 동작한다. 노드는 쿠버네티스에서 워커 머신을 말하며 클러스터에 따라 가상 또는 물리 머신일 수 있다. 각 노드는 컨트롤 플레인에 의해 관리된다. 하나의 노드는 여러 개의 파드를 가질 수 있고, 쿠버네티스 컨트롤 플레인은 클러스터 내 노드를 통해서 파드에 대한 스케쥴링을 자동으로 처리한다. 컨트롤 플레인의 자동 스케줄링은 각 노드의 사용 가능한 리소스를 모두 고려한다.</p>
 
                 <p>모든 쿠버네티스 노드는 최소한 다음과 같이 동작한다.</p>
                 <ul>
@@ -85,7 +85,7 @@ weight: 10
             </div>
             <div class="col-md-4">
                 <div class="content__box content__box_fill">
-                    <p><i> 만약 컨테이너들이 밀접하고 결합되어 있고 디스크와 같은 자원을 공유해야 한다면 오직 하나의 단일 파드에 함께 스케쥴되어져야 한다. </i></p>
+                    <p><i> 만약 컨테이너들이 밀접하게 결합되어 있고 디스크와 같은 자원을 공유해야 한다면 오직 하나의 단일 파드에 함께 스케쥴되어져야 한다. </i></p>
                 </div>
             </div>
         </div>
diff --git a/content/ko/docs/tutorials/security/apparmor.md b/content/ko/docs/tutorials/security/apparmor.md
index 7dde58e2981..3b205705e22 100644
--- a/content/ko/docs/tutorials/security/apparmor.md
+++ b/content/ko/docs/tutorials/security/apparmor.md
@@ -264,7 +264,7 @@ metadata:
 spec:
   containers:
   - name: hello
-    image: busybox
+    image: busybox:1.28
     command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]
 EOF
 pod/hello-apparmor-2 created
@@ -350,7 +350,7 @@ Events:
 
 {{< note >}}
 파드시큐리티폴리시는 쿠버네티스 v1.21에서 사용 중단되었으며, v1.25에서 제거될 예정이다. 
-더 자세한 내용은 [파드시큐리티폴리시 문서](/ko/docs/concepts/policy/pod-security-policy/)를 참고한다.
+더 자세한 내용은 [파드시큐리티폴리시](/ko/docs/concepts/security/pod-security-policy/) 문서를 참고한다.
 {{< /note >}}
 
 만약 파드시큐리티폴리시 확장을 사용하면, 클러스터 단위로 AppArmor 제한을 적용할 수 있다.
@@ -381,28 +381,14 @@ apparmor.security.beta.kubernetes.io/allowedProfileNames: <profile_ref>[,others.
 --feature-gates=AppArmor=false
 ```
 
-비활성화되면 AppArmor 프로파일을 포함한 파드는 "Forbidden" 오류로 검증 실패한다.
-기본적으로 도커는 항상 비특권 파드에 "docker-default" 프로파일을 활성화하고(AppArmor 커널모듈이 활성화되었다면),
-기능 게이트가 비활성화된 것처럼 진행한다.
-AppArmor를 비활성화하는 이 옵션은
-AppArmor가 일반 사용자 버전이 되면 제거된다.
+비활성화되면, AppArmor 프로파일을 포함한 파드는 
+"Forbidden" 오류로 검증 실패한다.
 
-### AppArmor와 함께 쿠버네티스 1.4로 업그레이드 하기 {#upgrading-to-kubernetes-v1.4-with-apparmor}
-
-클러스터 버전을 v1.4로 업그레이드하기 위해 AppArmor쪽 작업은 없다.
-그러나 AppArmor 어노테이션을 가진 파드는 유효성 검사(혹은 파드시큐리티폴리시 승인)을 거치지 않는다.
-그 노드에 허용 프로파일이 로드되면, 악의적인 사용자가 허가 프로필을 미리 적용하여
-파드의 권한을 docker-default 보다 높일 수 있다.
-이것이 염려된다면 `apparmor.security.beta.kubernetes.io` 어노테이션이 포함된
-모든 파드의 클러스터를 제거하는 것이 좋다.
-
-### 일반 사용자 버전으로 업그레이드 방법 {#upgrade-path-to-general-availability}
-
-AppArmor는 일반 사용자 버전(general available)으로 준비되면 현재 어노테이션으로 지정되는 옵션은 필드로 변경될 것이다.
-모든 업그레이드와 다운그레이드 방법은 전환을 통해 지원하기에는 매우 미묘하니
-전환이 필요할 때에 상세히 설명할 것이다.
-최소 두 번의 릴리스에 대해서는 필드와 어노테이션 모두를 지원할 것이고,
-그 이후부터는 어노테이션은 명확히 거부된다.
+{{<note>}}
+쿠버네티스 기능이 비활성화되어 있어도, 런타임이 계속 기본 프로파일을 강제할 수도 있다. 
+AppArmor가 general availability (GA) 상태로 바뀌면 
+AppArmor 기능을 비활성화하는 옵션은 제거될 것이다.
+{{</note>}}
 
 ## 프로파일 제작 {#authoring-profiles}
 
@@ -415,10 +401,6 @@ AppArmor 프로파일을 만들고 올바르게 지정하는 것은 매우 까
 * [bane](https://github.com/jfrazelle/bane)은 단순화된 프로파일 언어를 이용하는 도커를 위한
   AppArmor 프로파일 생성기이다.
 
-개발 장비의 도커를 통해 애플리케이션을 실행하여
-프로파일을 생성하는 것을 권장하지만,
-파드가 실행 중인 쿠버네티스 노드에서 도구 실행을 금하지는 않는다.
-
 AppArmor 문제를 디버깅하기 위해서 거부된 것으로 보이는 시스템 로그를 확인할 수 있다.
 AppArmor 로그는 `dmesg`에서 보이며, 오류는 보통 시스템 로그나
 `journalctl`에서 볼 수 있다. 더 많은 정보는
@@ -441,9 +423,8 @@ AppArmor 로그는 `dmesg`에서 보이며, 오류는 보통 시스템 로그나
 - `runtime/default`: 기본 런타임 프로파일을 참조한다.
   - (기본 파드시큐리티폴리시 없이) 프로파일을 지정하지 않고
     AppArmor를 사용하는 것과 동등하다.
-  - 도커에서는 권한 없는 컨테이너의 경우는
-    [`docker-default`](https://docs.docker.com/engine/security/apparmor/) 프로파일로,
-    권한이 있는 컨테이너의 경우 unconfined(프로파일 없음)으로 해석한다.
+  - 실제로는, 많은 컨테이너 런타임은 동일한 OCI 기본 프로파일을 사용하며, 이는 
+    https://github.com/containers/common/blob/main/pkg/apparmor/apparmor_linux_template.go 에 정의되어 있다.
 - `localhost/<profile_name>`: 노드(localhost)에 적재된 프로파일을 이름으로 참조한다.
    - 가용한 프로파일 이름의 상세 내용은
      [핵심 정책 참조](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Core_Policy_Reference#profile-names-and-attachment-specifications)에 설명되어 있다.
diff --git a/content/ko/docs/tutorials/security/cluster-level-pss.md b/content/ko/docs/tutorials/security/cluster-level-pss.md
index 75213a745b5..baa0a6ec055 100644
--- a/content/ko/docs/tutorials/security/cluster-level-pss.md
+++ b/content/ko/docs/tutorials/security/cluster-level-pss.md
@@ -229,7 +229,7 @@ weight: 10
         # default false
         selinuxRelabel: false
         # optional: set propagation mode (None, HostToContainer or Bidirectional)
-        # see https://kubernetes.io/docs/concepts/storage/volumes/#mount-propagation
+        # see https://kubernetes.io/ko/docs/concepts/storage/volumes/#마운트-전파-propagation
         # default None
         propagation: None
     EOF
diff --git a/content/ko/docs/tutorials/security/ns-level-pss.md b/content/ko/docs/tutorials/security/ns-level-pss.md
index 46e518e43c9..06b566d2184 100644
--- a/content/ko/docs/tutorials/security/ns-level-pss.md
+++ b/content/ko/docs/tutorials/security/ns-level-pss.md
@@ -16,7 +16,9 @@ weight: 10
 각 네임스페이스별로 `baseline` 파드 시큐리티 스탠다드를 강제(enforce)할 것이다.
 
 파드 시큐리티 스탠다드를 클러스터 수준에서 여러 네임스페이스에 한 번에 적용할 수도 있다. 
-이에 대한 안내는 [파드 시큐리티 스탠다드를 클러스터 수준에 적용하기](/ko/docs/tutorials/security/cluster-level-pss/)를 참고한다.
+이에 대한 안내는 
+[파드 시큐리티 스탠다드를 클러스터 수준에 적용하기](/ko/docs/tutorials/security/cluster-level-pss/)를 참고한다.
+
 ## {{% heading "prerequisites" %}}
 
 워크스테이션에 다음을 설치한다.
@@ -28,37 +30,41 @@ weight: 10
 
 1. 다음과 같이 `KinD` 클러스터를 생성한다.
 
-    ```shell
-    kind create cluster --name psa-ns-level --image kindest/node:v1.23.0
-    ```
+   ```shell
+   kind create cluster --name psa-ns-level --image kindest/node:v1.23.0
+   ```
+
    다음과 비슷하게 출력될 것이다.
-    ```
-    Creating cluster "psa-ns-level" ...
-     ✓ Ensuring node image (kindest/node:v1.23.0) 🖼 
-     ✓ Preparing nodes 📦  
-     ✓ Writing configuration 📜 
-     ✓ Starting control-plane 🕹️ 
-     ✓ Installing CNI 🔌 
-     ✓ Installing StorageClass 💾 
-    Set kubectl context to "kind-psa-ns-level"
-    You can now use your cluster with:
+
+   ```
+   Creating cluster "psa-ns-level" ...
+    ✓ Ensuring node image (kindest/node:v1.23.0) 🖼 
+    ✓ Preparing nodes 📦  
+    ✓ Writing configuration 📜 
+    ✓ Starting control-plane 🕹️ 
+    ✓ Installing CNI 🔌 
+    ✓ Installing StorageClass 💾 
+   Set kubectl context to "kind-psa-ns-level"
+   You can now use your cluster with:
     
-    kubectl cluster-info --context kind-psa-ns-level
+   kubectl cluster-info --context kind-psa-ns-level
     
-    Not sure what to do next? 😅  Check out https://kind.sigs.k8s.io/docs/user/quick-start/
-    ```
+   Not sure what to do next? 😅  Check out https://kind.sigs.k8s.io/docs/user/quick-start/
+   ```
 
 1. kubectl context를 새로 생성한 클러스터로 설정한다.
-    ```shell
-    kubectl cluster-info --context kind-psa-ns-level
-    ```
+
+   ```shell
+   kubectl cluster-info --context kind-psa-ns-level
+   ```
    다음과 비슷하게 출력될 것이다.
-    ```
-    Kubernetes control plane is running at https://127.0.0.1:50996
-    CoreDNS is running at https://127.0.0.1:50996/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy
+
+   ```
+   Kubernetes control plane is running at https://127.0.0.1:50996
+   CoreDNS is running at https://127.0.0.1:50996/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy
     
-    To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
-    ```
+   To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
+   ```
 
 ## 네임스페이스 생성하기
 
@@ -67,7 +73,9 @@ weight: 10
 ```shell
 kubectl create ns example
 ```
+
 다음과 비슷하게 출력될 것이다.
+
 ```
 namespace/example created
 ```
@@ -78,63 +86,68 @@ namespace/example created
    이 네임스페이스에 파드 시큐리티 스탠다드를 활성화한다. 
    이 단계에서는 `latest` 버전(기본값)에 따라 `baseline(기준)` 파드 시큐리티 스탠다드에 대해 경고를 설정한다.
 
-    ```shell
-    kubectl label --overwrite ns example \
+   ```shell
+   kubectl label --overwrite ns example \
       pod-security.kubernetes.io/warn=baseline \
       pod-security.kubernetes.io/warn-version=latest
-    ```
+   ```
 
 2. 어떠한 네임스페이스에도 복수 개의 파드 시큐리티 스탠다드를 활성화할 수 있으며, 
    이는 레이블을 이용하여 가능하다. 
    다음 명령어는 최신 버전(기본값)에 따라, `baseline(기준)` 파드 시큐리티 스탠다드는 `enforce(강제)`하지만 
    `restricted(제한된)` 파드 시큐리티 스탠다드에 대해서는 `warn(경고)` 및 `audit(감사)`하도록 설정한다.
 
-    ```
-    kubectl label --overwrite ns example \
-      pod-security.kubernetes.io/enforce=baseline \
-      pod-security.kubernetes.io/enforce-version=latest \
-      pod-security.kubernetes.io/warn=restricted \
-      pod-security.kubernetes.io/warn-version=latest \
-      pod-security.kubernetes.io/audit=restricted \
-      pod-security.kubernetes.io/audit-version=latest
-    ```
+   ```shell
+   kubectl label --overwrite ns example \
+     pod-security.kubernetes.io/enforce=baseline \
+     pod-security.kubernetes.io/enforce-version=latest \
+     pod-security.kubernetes.io/warn=restricted \
+     pod-security.kubernetes.io/warn-version=latest \
+     pod-security.kubernetes.io/audit=restricted \
+     pod-security.kubernetes.io/audit-version=latest
+   ```
 
 ## 파드 시큐리티 스탠다드 검증하기
 
 1. `example` 네임스페이스에 최소한의 파드를 생성한다.
 
-    ```shell
-    cat <<EOF > /tmp/pss/nginx-pod.yaml
-    apiVersion: v1
-    kind: Pod
-    metadata:
-      name: nginx
-    spec:
-      containers:
-        - image: nginx
-          name: nginx
-          ports:
-            - containerPort: 80
-    EOF
-    ```
+   ```shell
+   cat <<EOF > /tmp/pss/nginx-pod.yaml
+   apiVersion: v1
+   kind: Pod
+   metadata:
+     name: nginx
+   spec:
+     containers:
+       - image: nginx
+         name: nginx
+         ports:
+           - containerPort: 80
+   EOF
+   ```
+
 1. 클러스터의 `example` 네임스페이스에 해당 파드 스펙을 적용한다.
-    ```shell
-    kubectl apply -n example -f /tmp/pss/nginx-pod.yaml
-    ```
+
+   ```shell
+   kubectl apply -n example -f /tmp/pss/nginx-pod.yaml
+   ```
    다음과 비슷하게 출력될 것이다.
-    ```
-    Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "nginx" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "nginx" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "nginx" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "nginx" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
-    pod/nginx created
-    ```
+
+   ```
+   Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "nginx" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "nginx" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "nginx" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "nginx" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")
+   pod/nginx created
+   ```
 
 1. 클러스터의 `default` 네임스페이스에 해당 파드 스펙을 적용한다.
-    ```shell
-     kubectl apply -n default -f /tmp/pss/nginx-pod.yaml
-    ```
+
+   ```shell
+   kubectl apply -n default -f /tmp/pss/nginx-pod.yaml
+   ```
    다음과 비슷하게 출력될 것이다.
-    ```
-    pod/nginx created
-    ```
+
+   ```
+   pod/nginx created
+   ```
 
 파드 시큐리티 스탠다드는 `example` 네임스페이스에만 적용되었다. 
 동일한 파드를 `default` 네임스페이스에 생성하더라도 
@@ -149,11 +162,13 @@ namespace/example created
 - 다음의 모든 단계를 한 번에 수행하려면 
   [셸 스크립트](/examples/security/kind-with-namespace-level-baseline-pod-security.sh)를 
   실행한다.
+
   1. KinD 클러스터를 생성
   2. 새로운 네임스페이스를 생성
   3. `baseline` 파드 시큐리티 스탠다드는 `enforce` 모드로 적용하고 
      `restricted` 파드 시큐리티 스탠다드는 `warn` 및 `audit` 모드로 적용
   4. 해당 파드 시큐리티 스탠다드가 적용된 상태에서 새로운 파드를 생성
+
 - [파드 시큐리티 어드미션](/docs/concepts/security/pod-security-admission/)
 - [파드 시큐리티 스탠다드](/docs/concepts/security/pod-security-standards/)
-- [파드 시큐리티 스탠다드를 클러스터 수준에 적용하기](/ko/docs/tutorials/security/cluster-level-pss/)
\ No newline at end of file
+- [파드 시큐리티 스탠다드를 클러스터 수준에 적용하기](/ko/docs/tutorials/security/cluster-level-pss/)
diff --git a/content/ko/docs/tutorials/services/source-ip.md b/content/ko/docs/tutorials/services/source-ip.md
index f18da2888a7..56489347d68 100644
--- a/content/ko/docs/tutorials/services/source-ip.md
+++ b/content/ko/docs/tutorials/services/source-ip.md
@@ -119,7 +119,7 @@ clusterip    ClusterIP   10.0.170.92   <none>        80/TCP    51s
 그리고 동일한 클러스터의 파드에서 `클러스터IP`를 치면:
 
 ```shell
-kubectl run busybox -it --image=busybox --restart=Never --rm
+kubectl run busybox -it --image=busybox:1.28 --restart=Never --rm
 ```
 출력은 다음과 같다.
 ```
diff --git a/content/ko/docs/tutorials/stateful-application/cassandra.md b/content/ko/docs/tutorials/stateful-application/cassandra.md
index 62d43ea4af6..e9da1d18293 100644
--- a/content/ko/docs/tutorials/stateful-application/cassandra.md
+++ b/content/ko/docs/tutorials/stateful-application/cassandra.md
@@ -93,7 +93,7 @@ cassandra   ClusterIP   None         <none>        9042/TCP   45s
 ```
 
 `cassandra` 서비스가 보이지 않는다면, 이와 다른 응답이라면 서비스 생성에 실패한 것이다. 일반적인 문제에 대한
-[서비스 디버깅하기](/docs/tasks/debug-application-cluster/debug-service/)를
+[서비스 디버깅하기](/docs/tasks/debug/debug-application/debug-service/)를
 읽어보자.
 
 ## 카산드라 링을 생성하는 스테이트풀셋 이용하기
diff --git a/content/ko/docs/tutorials/stateful-application/mysql-wordpress-persistent-volume.md b/content/ko/docs/tutorials/stateful-application/mysql-wordpress-persistent-volume.md
index b2ac3e92b51..b8887d93587 100644
--- a/content/ko/docs/tutorials/stateful-application/mysql-wordpress-persistent-volume.md
+++ b/content/ko/docs/tutorials/stateful-application/mysql-wordpress-persistent-volume.md
@@ -236,7 +236,7 @@ kubectl apply -k ./
 ## {{% heading "whatsnext" %}}
 
 
-* [인트로스펙션과 디버깅](/docs/tasks/debug-application-cluster/debug-application-introspection/)를 알아보자.
+* [인트로스펙션과 디버깅](/ko/docs/tasks/debug/debug-application/debug-running-pod/)을 알아보자.
 * [잡](/ko/docs/concepts/workloads/controllers/job/)를 알아보자.
 * [포트 포워딩](/ko/docs/tasks/access-application-cluster/port-forward-access-application-cluster/)를 알아보자.
-* 어떻게 [컨테이너에서 셸을 사용하는지](/ko/docs/tasks/debug-application-cluster/get-shell-running-container/)를 알아보자.
+* 어떻게 [컨테이너에서 셸을 사용하는지](/ko/docs/tasks/debug/debug-application/get-shell-running-container/)를 알아보자.
diff --git a/content/ko/docs/tutorials/stateful-application/zookeeper.md b/content/ko/docs/tutorials/stateful-application/zookeeper.md
index 392612e059d..b9cf603032f 100644
--- a/content/ko/docs/tutorials/stateful-application/zookeeper.md
+++ b/content/ko/docs/tutorials/stateful-application/zookeeper.md
@@ -442,7 +442,7 @@ datadir-zk-2   Bound     pvc-bee0817e-bcb1-11e6-994f-42010a800002   20Gi       R
 
 `스테이트풀셋`의 컨테이너 `template`의 `volumeMounts` 부분이 ZooKeeper 서버의 데이터 디렉터리에 퍼시스턴트볼륨 마운트하는 내용이다.
 
-```shell
+```yaml
 volumeMounts:
 - name: datadir
   mountPath: /var/lib/zookeeper
@@ -661,6 +661,8 @@ statefulset rolling update complete 3 pods at revision zk-5db4499664...
 kubectl rollout history sts/zk
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 statefulsets "zk"
 REVISION
@@ -674,6 +676,8 @@ REVISION
 kubectl rollout undo sts/zk
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 statefulset.apps/zk rolled back
 ```
@@ -742,14 +746,14 @@ zk-0      1/1       Running   1         29m
 `zk` `스테이트풀셋`에 파드 `template`에 활성도 검사를 명시한다.
 
 ```yaml
- livenessProbe:
-          exec:
-            command:
-            - sh
-            - -c
-            - "zookeeper-ready 2181"
-          initialDelaySeconds: 15
-          timeoutSeconds: 5
+  livenessProbe:
+    exec:
+      command:
+      - sh
+      - -c
+      - "zookeeper-ready 2181"
+    initialDelaySeconds: 15
+    timeoutSeconds: 5
 ```
 
 검사는 ZooKeeper의 `ruok` 4 글자 단어를 이용해서 서버의 건강을 테스트하는
@@ -773,7 +777,7 @@ kubectl get pod -w -l app=zk
 다른 창에서 `zk-0` 파드의 파일시스템에서 `zookeeper-ready` 스크립트를 삭제하기 위해 다음 명령어를 이용하자.
 
 ```shell
-kubectl exec zk-0 -- rm /usr/bin/zookeeper-ready
+kubectl exec zk-0 -- rm /opt/zookeeper/bin/zookeeper-ready
 ```
 
 ZooKeeper의 활성도 검사에 실패하면,
@@ -860,16 +864,16 @@ kubernetes-node-2g2d
 이는 `zk` `스테이트풀셋`의 파드에 `파드안티어피니티(PodAntiAffinity)`를 지정했기 때문이다.
 
 ```yaml
-      affinity:
-        podAntiAffinity:
-          requiredDuringSchedulingIgnoredDuringExecution:
-            - labelSelector:
-                matchExpressions:
-                  - key: "app"
-                    operator: In
-                    values:
-                    - zk
-              topologyKey: "kubernetes.io/hostname"
+affinity:
+  podAntiAffinity:
+    requiredDuringSchedulingIgnoredDuringExecution:
+      - labelSelector:
+          matchExpressions:
+            - key: "app"
+              operator: In
+              values:
+                - zk
+        topologyKey: "kubernetes.io/hostname"
 ```
 
 `requiredDuringSchedulingIgnoredDuringExecution` 필드는
@@ -926,6 +930,8 @@ kubectl get pods -w -l app=zk
 for i in 0 1 2; do kubectl get pod zk-$i --template {{.spec.nodeName}}; echo ""; done
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 kubernetes-node-pb41
 kubernetes-node-ixsl
@@ -939,6 +945,8 @@ kubernetes-node-i4c4
 kubectl drain $(kubectl get pod zk-0 --template {{.spec.nodeName}}) --ignore-daemonsets --force --delete-emptydir-data
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 node "kubernetes-node-group-pb41" cordoned
 
@@ -971,15 +979,19 @@ zk-0      1/1       Running   0         1m
 `zk-1` 이 스케줄된 노드를 비워보자.
 
 ```shell
-kubectl drain $(kubectl get pod zk-1 --template {{.spec.nodeName}}) --ignore-daemonsets --force --delete-emptydir-data "kubernetes-node-ixsl" cordoned
+kubectl drain $(kubectl get pod zk-1 --template {{.spec.nodeName}}) --ignore-daemonsets --force --delete-emptydir-data
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
+"kubernetes-node-ixsl" cordoned
 WARNING: Deleting pods not managed by ReplicationController, ReplicaSet, Job, or DaemonSet: fluentd-cloud-logging-kubernetes-node-ixsl, kube-proxy-kubernetes-node-ixsl; Ignoring DaemonSet-managed pods: node-problem-detector-v0.1-voc74
 pod "zk-1" deleted
 node "kubernetes-node-ixsl" drained
 ```
 
+
 `zk-1` 파드는 스케줄되지 않는데 이는 `zk` `StatefulSet`이 오직 2개 노드가 스케줄되도록 파드를 위치시키는 것을 금하는
 `PodAntiAffinity` 규칙을 포함하였기 때문이고 그 파드는 Pending 상태로 남을 것이다.
 
@@ -987,6 +999,8 @@ node "kubernetes-node-ixsl" drained
 kubectl get pods -w -l app=zk
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 NAME      READY     STATUS    RESTARTS   AGE
 zk-0      1/1       Running   2          1h
@@ -1017,6 +1031,8 @@ zk-1      0/1       Pending   0         0s
 kubectl drain $(kubectl get pod zk-2 --template {{.spec.nodeName}}) --ignore-daemonsets --force --delete-emptydir-data
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 node "kubernetes-node-i4c4" cordoned
 
@@ -1060,6 +1076,8 @@ numChildren = 0
 kubectl uncordon kubernetes-node-pb41
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 node "kubernetes-node-pb41" uncordoned
 ```
@@ -1070,6 +1088,8 @@ node "kubernetes-node-pb41" uncordoned
 kubectl get pods -w -l app=zk
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 NAME      READY     STATUS    RESTARTS   AGE
 zk-0      1/1       Running   2          1h
@@ -1103,7 +1123,7 @@ zk-1      1/1       Running   0         13m
 kubectl drain $(kubectl get pod zk-2 --template {{.spec.nodeName}}) --ignore-daemonsets --force --delete-emptydir-data
 ```
 
-출력은
+출력은 다음과 비슷할 것이다.
 
 ```
 node "kubernetes-node-i4c4" already cordoned
@@ -1121,6 +1141,8 @@ node "kubernetes-node-i4c4" drained
 kubectl uncordon kubernetes-node-ixsl
 ```
 
+출력은 다음과 비슷할 것이다.
+
 ```
 node "kubernetes-node-ixsl" uncordoned
 ```
diff --git a/content/ko/examples/admin/konnectivity/egress-selector-configuration.yaml b/content/ko/examples/admin/konnectivity/egress-selector-configuration.yaml
index ca19321d80f..fee3016e8cf 100644
--- a/content/ko/examples/admin/konnectivity/egress-selector-configuration.yaml
+++ b/content/ko/examples/admin/konnectivity/egress-selector-configuration.yaml
@@ -2,7 +2,7 @@ apiVersion: apiserver.k8s.io/v1beta1
 kind: EgressSelectorConfiguration
 egressSelections:
 # 클러스터에 대한 송신(egress) 트래픽을 제어하기 위해 
-# "cluster"를 name으로 사용한다. 기타 지원되는 값은 "etcd" 및 "master"이다.
+# "cluster"를 name으로 사용한다. 기타 지원되는 값은 "etcd" 및 "controlplane"이다.
 - name: cluster
   connection:
     # API 서버와 Konnectivity 서버 간의 프로토콜을
diff --git a/content/ko/examples/admin/logging/two-files-counter-pod-agent-sidecar.yaml b/content/ko/examples/admin/logging/two-files-counter-pod-agent-sidecar.yaml
index b37b616e6f7..ddfb8104cb9 100644
--- a/content/ko/examples/admin/logging/two-files-counter-pod-agent-sidecar.yaml
+++ b/content/ko/examples/admin/logging/two-files-counter-pod-agent-sidecar.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: count
-    image: busybox
+    image: busybox:1.28
     args:
     - /bin/sh
     - -c
diff --git a/content/ko/examples/admin/logging/two-files-counter-pod-streaming-sidecar.yaml b/content/ko/examples/admin/logging/two-files-counter-pod-streaming-sidecar.yaml
index 87bd198cfda..ac19efe4a23 100644
--- a/content/ko/examples/admin/logging/two-files-counter-pod-streaming-sidecar.yaml
+++ b/content/ko/examples/admin/logging/two-files-counter-pod-streaming-sidecar.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: count
-    image: busybox
+    image: busybox:1.28
     args:
     - /bin/sh
     - -c
@@ -22,14 +22,14 @@ spec:
     - name: varlog
       mountPath: /var/log
   - name: count-log-1
-    image: busybox
-    args: [/bin/sh, -c, 'tail -n+1 -f /var/log/1.log']
+    image: busybox:1.28
+    args: [/bin/sh, -c, 'tail -n+1 -F /var/log/1.log']
     volumeMounts:
     - name: varlog
       mountPath: /var/log
   - name: count-log-2
-    image: busybox
-    args: [/bin/sh, -c, 'tail -n+1 -f /var/log/2.log']
+    image: busybox:1.28
+    args: [/bin/sh, -c, 'tail -n+1 -F /var/log/2.log']
     volumeMounts:
     - name: varlog
       mountPath: /var/log
diff --git a/content/ko/examples/admin/logging/two-files-counter-pod.yaml b/content/ko/examples/admin/logging/two-files-counter-pod.yaml
index 6ebeb717a18..31bbed3cf86 100644
--- a/content/ko/examples/admin/logging/two-files-counter-pod.yaml
+++ b/content/ko/examples/admin/logging/two-files-counter-pod.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: count
-    image: busybox
+    image: busybox:1.28
     args:
     - /bin/sh
     - -c
diff --git a/content/ko/examples/admin/resource/limit-range-pod-1.yaml b/content/ko/examples/admin/resource/limit-range-pod-1.yaml
index 0457792af94..b9bd20d06a2 100644
--- a/content/ko/examples/admin/resource/limit-range-pod-1.yaml
+++ b/content/ko/examples/admin/resource/limit-range-pod-1.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: busybox-cnt01
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt01; sleep 10;done"]
     resources:
@@ -16,7 +16,7 @@ spec:
         memory: "200Mi"
         cpu: "500m"
   - name: busybox-cnt02
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt02; sleep 10;done"]
     resources:
@@ -24,7 +24,7 @@ spec:
         memory: "100Mi"
         cpu: "100m"
   - name: busybox-cnt03
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt03; sleep 10;done"]
     resources:
@@ -32,6 +32,6 @@ spec:
         memory: "200Mi"
         cpu: "500m"
   - name: busybox-cnt04
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt04; sleep 10;done"]
diff --git a/content/ko/examples/admin/resource/limit-range-pod-2.yaml b/content/ko/examples/admin/resource/limit-range-pod-2.yaml
index efac440269c..40da19c1aee 100644
--- a/content/ko/examples/admin/resource/limit-range-pod-2.yaml
+++ b/content/ko/examples/admin/resource/limit-range-pod-2.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: busybox-cnt01
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt01; sleep 10;done"]
     resources:
@@ -16,7 +16,7 @@ spec:
         memory: "200Mi"
         cpu: "500m"
   - name: busybox-cnt02
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt02; sleep 10;done"]
     resources:
@@ -24,7 +24,7 @@ spec:
         memory: "100Mi"
         cpu: "100m"
   - name: busybox-cnt03
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt03; sleep 10;done"]
     resources:
@@ -32,6 +32,6 @@ spec:
         memory: "200Mi"
         cpu: "500m"
   - name: busybox-cnt04
-    image: busybox
+    image: busybox:1.28
     command: ["/bin/sh"]
     args: ["-c", "while true; do echo hello from cnt04; sleep 10;done"]
diff --git a/content/ko/examples/admin/resource/limit-range-pod-3.yaml b/content/ko/examples/admin/resource/limit-range-pod-3.yaml
index 8afdb6379cf..503200a9662 100644
--- a/content/ko/examples/admin/resource/limit-range-pod-3.yaml
+++ b/content/ko/examples/admin/resource/limit-range-pod-3.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   containers:
   - name: busybox-cnt01
-    image: busybox
+    image: busybox:1.28
     resources:
       limits:
         memory: "300Mi"
diff --git a/content/ko/examples/application/job/cronjob.yaml b/content/ko/examples/application/job/cronjob.yaml
index 9f06ca7bd67..78d0e2d3147 100644
--- a/content/ko/examples/application/job/cronjob.yaml
+++ b/content/ko/examples/application/job/cronjob.yaml
@@ -10,7 +10,7 @@ spec:
         spec:
           containers:
           - name: hello
-            image: busybox
+            image: busybox:1.28
             imagePullPolicy: IfNotPresent
             command:
             - /bin/sh
diff --git a/content/ko/examples/application/job/job-tmpl.yaml b/content/ko/examples/application/job/job-tmpl.yaml
index 790025b38b8..d7dbbafd62b 100644
--- a/content/ko/examples/application/job/job-tmpl.yaml
+++ b/content/ko/examples/application/job/job-tmpl.yaml
@@ -13,6 +13,6 @@ spec:
     spec:
       containers:
       - name: c
-        image: busybox
+        image: busybox:1.28
         command: ["sh", "-c", "echo Processing item $ITEM && sleep 5"]
       restartPolicy: Never
diff --git a/content/ko/examples/application/mysql/mysql-configmap.yaml b/content/ko/examples/application/mysql/mysql-configmap.yaml
index 6dd50665a24..538f9f3324e 100644
--- a/content/ko/examples/application/mysql/mysql-configmap.yaml
+++ b/content/ko/examples/application/mysql/mysql-configmap.yaml
@@ -9,8 +9,10 @@ data:
     # Primary에만 이 구성을 적용한다.
     [mysqld]
     log-bin
+    datadir=/var/lib/mysql/mysql
   replica.cnf: |
     # 레플리카에만 이 구성을 적용한다.
     [mysqld]
     super-read-only
+    datadir=/var/lib/mysql/mysql
 
diff --git a/content/ko/examples/application/mysql/mysql-services.yaml b/content/ko/examples/application/mysql/mysql-services.yaml
index 17279dd7f94..c5cfa4936ba 100644
--- a/content/ko/examples/application/mysql/mysql-services.yaml
+++ b/content/ko/examples/application/mysql/mysql-services.yaml
@@ -27,4 +27,3 @@ spec:
     port: 3306
   selector:
     app: mysql
-
diff --git a/content/ko/examples/application/nginx-with-request.yaml b/content/ko/examples/application/nginx-with-request.yaml
new file mode 100644
index 00000000000..dd9d002a604
--- /dev/null
+++ b/content/ko/examples/application/nginx-with-request.yaml
@@ -0,0 +1,23 @@
+apiVersion: apps/v1
+kind: Deployment
+metadata:
+  name: nginx-deployment
+spec:
+  selector:
+    matchLabels:
+      app: nginx
+  replicas: 2
+  template:
+    metadata:
+      labels:
+        app: nginx
+    spec:
+      containers:
+      - name: nginx
+        image: nginx
+        resources:
+          limits:
+            memory: "128Mi"
+            cpu: "500m"
+        ports:
+        - containerPort: 80
diff --git a/content/ko/examples/controllers/daemonset.yaml b/content/ko/examples/controllers/daemonset.yaml
index 685a137244c..c17ebfe5c5c 100644
--- a/content/ko/examples/controllers/daemonset.yaml
+++ b/content/ko/examples/controllers/daemonset.yaml
@@ -15,8 +15,11 @@ spec:
         name: fluentd-elasticsearch
     spec:
       tolerations:
-      # this toleration is to have the daemonset runnable on master nodes
-      # remove it if your masters can't run pods
+      # 이 톨러레이션(toleration)은 데몬셋이 컨트롤 플레인 노드에서 실행될 수 있도록 만든다.
+      # 컨트롤 플레인 노드가 이 파드를 실행해서는 안 되는 경우, 이 톨러레이션을 제거한다.
+      - key: node-role.kubernetes.io/control-plane
+        operator: Exists
+        effect: NoSchedule
       - key: node-role.kubernetes.io/master
         operator: Exists
         effect: NoSchedule
diff --git a/content/ko/examples/controllers/fluentd-daemonset-update.yaml b/content/ko/examples/controllers/fluentd-daemonset-update.yaml
index 48adc99ce96..fc8c7f984e7 100644
--- a/content/ko/examples/controllers/fluentd-daemonset-update.yaml
+++ b/content/ko/examples/controllers/fluentd-daemonset-update.yaml
@@ -19,9 +19,13 @@ spec:
         name: fluentd-elasticsearch
     spec:
       tolerations:
-      # 이 톨러레이션(toleration)은 마스터 노드에서 실행 가능한 데몬셋이
-      # 마스터에서 파드를 실행할 수 없는 경우 이를 제거하는 것이다
+      # 이 톨러레이션(toleration)은 데몬셋이 컨트롤 플레인 노드에서 실행될 수 있도록 만든다.
+      # 컨트롤 플레인 노드가 이 파드를 실행해서는 안 되는 경우, 이 톨러레이션을 제거한다.
+      - key: node-role.kubernetes.io/control-plane
+        operator: Exists
+        effect: NoSchedule
       - key: node-role.kubernetes.io/master
+        operator: Exists
         effect: NoSchedule
       containers:
       - name: fluentd-elasticsearch
diff --git a/content/ko/examples/controllers/fluentd-daemonset.yaml b/content/ko/examples/controllers/fluentd-daemonset.yaml
index 2ff2e660144..02b0eb2b1d1 100644
--- a/content/ko/examples/controllers/fluentd-daemonset.yaml
+++ b/content/ko/examples/controllers/fluentd-daemonset.yaml
@@ -19,9 +19,13 @@ spec:
         name: fluentd-elasticsearch
     spec:
       tolerations:
-      # 이 톨러레이션(toleration)은 마스터 노드에서 실행 가능한 데몬셋이
-      # 마스터에서 파드를 실행할 수 없는 경우 이를 제거하는 것이다
+      # 이 톨러레이션(toleration)은 데몬셋이 컨트롤 플레인 노드에서 실행될 수 있도록 만든다.
+      # 컨트롤 플레인 노드가 이 파드를 실행해서는 안 되는 경우, 이 톨러레이션을 제거한다.
+      - key: node-role.kubernetes.io/control-plane
+        operator: Exists
+        effect: NoSchedule
       - key: node-role.kubernetes.io/master
+        operator: Exists
         effect: NoSchedule
       containers:
       - name: fluentd-elasticsearch
diff --git a/content/ko/examples/debug/counter-pod.yaml b/content/ko/examples/debug/counter-pod.yaml
index f9978863862..a91b2f89158 100644
--- a/content/ko/examples/debug/counter-pod.yaml
+++ b/content/ko/examples/debug/counter-pod.yaml
@@ -5,6 +5,6 @@ metadata:
 spec:
   containers:
   - name: count
-    image: busybox
+    image: busybox:1.28
     args: [/bin/sh, -c,
             'i=0; while true; do echo "$i: $(date)"; i=$((i+1)); sleep 1; done']
diff --git a/content/ko/examples/debug/node-problem-detector-configmap.yaml b/content/ko/examples/debug/node-problem-detector-configmap.yaml
new file mode 100644
index 00000000000..168714f7539
--- /dev/null
+++ b/content/ko/examples/debug/node-problem-detector-configmap.yaml
@@ -0,0 +1,49 @@
+apiVersion: apps/v1
+kind: DaemonSet
+metadata:
+  name: node-problem-detector-v0.1
+  namespace: kube-system
+  labels:
+    k8s-app: node-problem-detector
+    version: v0.1
+    kubernetes.io/cluster-service: "true"
+spec:
+  selector:
+    matchLabels:
+      k8s-app: node-problem-detector  
+      version: v0.1
+      kubernetes.io/cluster-service: "true"
+  template:
+    metadata:
+      labels:
+        k8s-app: node-problem-detector
+        version: v0.1
+        kubernetes.io/cluster-service: "true"
+    spec:
+      hostNetwork: true
+      containers:
+      - name: node-problem-detector
+        image: k8s.gcr.io/node-problem-detector:v0.1
+        securityContext:
+          privileged: true
+        resources:
+          limits:
+            cpu: "200m"
+            memory: "100Mi"
+          requests:
+            cpu: "20m"
+            memory: "20Mi"
+        volumeMounts:
+        - name: log
+          mountPath: /log
+          readOnly: true
+        - name: config # config/ 디렉토리를 컨피그맵 볼륨(ConfigMap volume)으로 덮어쓴다
+          mountPath: /config
+          readOnly: true
+      volumes:
+      - name: log
+        hostPath:
+          path: /var/log/
+      - name: config # 컨피그맵 볼륨(ConfigMap volume)을 정의한다
+        configMap:
+          name: node-problem-detector-config
\ No newline at end of file
diff --git a/content/ko/examples/debug/node-problem-detector.yaml b/content/ko/examples/debug/node-problem-detector.yaml
new file mode 100644
index 00000000000..6ffa19bcc3a
--- /dev/null
+++ b/content/ko/examples/debug/node-problem-detector.yaml
@@ -0,0 +1,43 @@
+apiVersion: apps/v1
+kind: DaemonSet
+metadata:
+  name: node-problem-detector-v0.1
+  namespace: kube-system
+  labels:
+    k8s-app: node-problem-detector
+    version: v0.1
+    kubernetes.io/cluster-service: "true"
+spec:
+  selector:
+    matchLabels:
+      k8s-app: node-problem-detector  
+      version: v0.1
+      kubernetes.io/cluster-service: "true"
+  template:
+    metadata:
+      labels:
+        k8s-app: node-problem-detector
+        version: v0.1
+        kubernetes.io/cluster-service: "true"
+    spec:
+      hostNetwork: true
+      containers:
+      - name: node-problem-detector
+        image: k8s.gcr.io/node-problem-detector:v0.1
+        securityContext:
+          privileged: true
+        resources:
+          limits:
+            cpu: "200m"
+            memory: "100Mi"
+          requests:
+            cpu: "20m"
+            memory: "20Mi"
+        volumeMounts:
+        - name: log
+          mountPath: /log
+          readOnly: true
+      volumes:
+      - name: log
+        hostPath:
+          path: /var/log/
\ No newline at end of file
diff --git a/content/ko/examples/pods/init-containers.yaml b/content/ko/examples/pods/init-containers.yaml
index e83beec9afd..b99775c24a6 100644
--- a/content/ko/examples/pods/init-containers.yaml
+++ b/content/ko/examples/pods/init-containers.yaml
@@ -14,7 +14,7 @@ spec:
   # 이 컨테이너들은 파드 초기화 중에 실행된다.
   initContainers:
   - name: install
-    image: busybox
+    image: busybox:1.28
     command:
     - wget
     - "-O"
diff --git a/content/ko/examples/pods/inject/dependent-envars.yaml b/content/ko/examples/pods/inject/dependent-envars.yaml
index 2509c6f47b5..67d07098bae 100644
--- a/content/ko/examples/pods/inject/dependent-envars.yaml
+++ b/content/ko/examples/pods/inject/dependent-envars.yaml
@@ -10,7 +10,7 @@ spec:
       command:
         - sh
         - -c
-      image: busybox
+      image: busybox:1.28
       env:
         - name: SERVICE_PORT
           value: "80"
diff --git a/content/ko/examples/pods/pod-with-affinity-anti-affinity.yaml b/content/ko/examples/pods/pod-with-affinity-anti-affinity.yaml
new file mode 100644
index 00000000000..5dcc7693b67
--- /dev/null
+++ b/content/ko/examples/pods/pod-with-affinity-anti-affinity.yaml
@@ -0,0 +1,33 @@
+apiVersion: v1
+kind: Pod
+metadata:
+  name: with-affinity-anti-affinity
+spec:
+  affinity:
+    nodeAffinity:
+      requiredDuringSchedulingIgnoredDuringExecution:
+        nodeSelectorTerms:
+        - matchExpressions:
+          - key: topology.kubernetes.io/zone
+            operator: In
+            values:
+            - antarctica-east1
+            - antarctica-west1
+      preferredDuringSchedulingIgnoredDuringExecution:
+      - weight: 1
+        preference:
+          matchExpressions:
+          - key: label-1
+            operator: In
+            values:
+            - key-1
+      - weight: 50
+        preference:
+          matchExpressions:
+          - key: label-2
+            operator: In
+            values:
+            - key-2
+  containers:
+  - name: with-node-affinity
+    image: k8s.gcr.io/pause:2.0
diff --git a/content/ko/examples/pods/pod-with-node-affinity.yaml b/content/ko/examples/pods/pod-with-node-affinity.yaml
index 253d2b21ea9..e077f79883e 100644
--- a/content/ko/examples/pods/pod-with-node-affinity.yaml
+++ b/content/ko/examples/pods/pod-with-node-affinity.yaml
@@ -8,11 +8,10 @@ spec:
       requiredDuringSchedulingIgnoredDuringExecution:
         nodeSelectorTerms:
         - matchExpressions:
-          - key: kubernetes.io/e2e-az-name
+          - key: kubernetes.io/os
             operator: In
             values:
-            - e2e-az1
-            - e2e-az2
+            - linux
       preferredDuringSchedulingIgnoredDuringExecution:
       - weight: 1
         preference:
diff --git a/content/ko/examples/pods/resource/memory-request-limit-3.yaml b/content/ko/examples/pods/resource/memory-request-limit-3.yaml
index 9f089c4a7a2..d8163939866 100644
--- a/content/ko/examples/pods/resource/memory-request-limit-3.yaml
+++ b/content/ko/examples/pods/resource/memory-request-limit-3.yaml
@@ -8,9 +8,9 @@ spec:
   - name: memory-demo-3-ctr
     image: polinux/stress
     resources:
-      limits:
-        memory: "1000Gi"
       requests:
         memory: "1000Gi"
+      limits:
+        memory: "1000Gi"
     command: ["stress"]
     args: ["--vm", "1", "--vm-bytes", "150M", "--vm-hang", "1"]
diff --git a/content/ko/examples/pods/resource/memory-request-limit.yaml b/content/ko/examples/pods/resource/memory-request-limit.yaml
index 985b1308d9a..07ce3e7d3c0 100644
--- a/content/ko/examples/pods/resource/memory-request-limit.yaml
+++ b/content/ko/examples/pods/resource/memory-request-limit.yaml
@@ -8,9 +8,9 @@ spec:
   - name: memory-demo-ctr
     image: polinux/stress
     resources:
-      limits:
-        memory: "200Mi"
       requests:
         memory: "100Mi"
+      limits:
+        memory: "200Mi"
     command: ["stress"]
     args: ["--vm", "1", "--vm-bytes", "150M", "--vm-hang", "1"]
diff --git a/content/ko/examples/pods/security/hello-apparmor.yaml b/content/ko/examples/pods/security/hello-apparmor.yaml
index 2aca197e766..e9880738564 100644
--- a/content/ko/examples/pods/security/hello-apparmor.yaml
+++ b/content/ko/examples/pods/security/hello-apparmor.yaml
@@ -9,5 +9,5 @@ metadata:
 spec:
   containers:
   - name: hello
-    image: busybox
-    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]
\ No newline at end of file
+    image: busybox:1.28
+    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]
diff --git a/content/ko/examples/policy/restricted-psp.yaml b/content/ko/examples/policy/restricted-psp.yaml
index 4cdc12639a8..9d5f6ed21a4 100644
--- a/content/ko/examples/policy/restricted-psp.yaml
+++ b/content/ko/examples/policy/restricted-psp.yaml
@@ -3,6 +3,7 @@ kind: PodSecurityPolicy
 metadata:
   name: restricted
   annotations:
+    # docker/default 는 seccomp를 위한 프로파일을 나타내지만, 특별히 도커 런타임에 묶여 있는 것은 아니다.
     seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default,runtime/default'
     apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
     apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
diff --git a/content/ko/examples/service/networking/hostaliases-pod.yaml b/content/ko/examples/service/networking/hostaliases-pod.yaml
index 643813b34a1..268bffbbf58 100644
--- a/content/ko/examples/service/networking/hostaliases-pod.yaml
+++ b/content/ko/examples/service/networking/hostaliases-pod.yaml
@@ -15,7 +15,7 @@ spec:
     - "bar.remote"
   containers:
   - name: cat-hosts
-    image: busybox
+    image: busybox:1.28
     command:
     - cat
     args:
diff --git a/content/ko/examples/service/networking/networkpolicy.yaml b/content/ko/examples/service/networking/networkpolicy.yaml
new file mode 100644
index 00000000000..e91eed2f67e
--- /dev/null
+++ b/content/ko/examples/service/networking/networkpolicy.yaml
@@ -0,0 +1,35 @@
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: test-network-policy
+  namespace: default
+spec:
+  podSelector:
+    matchLabels:
+      role: db
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - ipBlock:
+            cidr: 172.17.0.0/16
+            except:
+              - 172.17.1.0/24
+        - namespaceSelector:
+            matchLabels:
+              project: myproject
+        - podSelector:
+            matchLabels:
+              role: frontend
+      ports:
+        - protocol: TCP
+          port: 6379
+  egress:
+    - to:
+        - ipBlock:
+            cidr: 10.0.0.0/24
+      ports:
+        - protocol: TCP
+          port: 5978
+
diff --git a/content/ko/includes/task-tutorial-prereqs.md b/content/ko/includes/task-tutorial-prereqs.md
index e27f4b99e4b..9109e344331 100644
--- a/content/ko/includes/task-tutorial-prereqs.md
+++ b/content/ko/includes/task-tutorial-prereqs.md
@@ -4,5 +4,5 @@
 [minikube](/ko/docs/tasks/tools/#minikube)를 사용해서 생성하거나
 다음의 쿠버네티스 플레이그라운드 중 하나를 사용할 수 있다.
 
-* [Katacoda](https://www.katacoda.com/courses/kubernetes/playground)
+* [Killercoda](https://killercoda.com/playgrounds/scenario/kubernetes)
 * [Play with Kubernetes](https://labs.play-with-k8s.com/)
diff --git a/content/ko/releases/_index.md b/content/ko/releases/_index.md
index aa6a306f8a6..0bc57340a38 100644
--- a/content/ko/releases/_index.md
+++ b/content/ko/releases/_index.md
@@ -7,7 +7,7 @@ type: docs
 
 <!-- overview -->
 
-쿠버네티스 프로젝트는 가장 최신의 3개 마이너(minor) 릴리스({{< skew latestVersion >}}, {{< skew prevMinorVersion >}}, {{< skew oldestMinorVersion >}})에 대해서 릴리스 브랜치를 관리한다. 쿠버네티스 1.19 및 이후 신규 버전은 약 1년간 패치 지원을 받을 수 있다. 쿠버네티스 1.18 및 이전 버전은 약 9개월간의 패치 지원을 받을 수 있다.
+쿠버네티스 프로젝트는 가장 최신의 3개 마이너(minor) 릴리스({{< skew latestVersion >}}, {{< skew prevMinorVersion >}}, {{< skew oldestMinorVersion >}})에 대해서 릴리스 브랜치를 관리한다. 쿠버네티스 1.19 및 이후 신규 버전은 [약 1년간 패치 지원](/releases/patch-releases/#support-period)을 받을 수 있다. 쿠버네티스 1.18 및 이전 버전은 약 9개월간의 패치 지원을 받을 수 있다.
 
 쿠버네티스 버전은 **x.y.z** 의 형태로 표현되는데,
 **x** 는 메이저(major) 버전, **y** 는 마이너(minor), **z** 는 패치(patch) 버전을 의미하며, 이는 [시맨틱 버전](https://semver.org/)의 용어를 따른 것이다.
diff --git a/content/pl/_index.html b/content/pl/_index.html
index 6d61651f027..0bb06fe15fe 100644
--- a/content/pl/_index.html
+++ b/content/pl/_index.html
@@ -44,12 +44,12 @@ Kubernetes jako projekt open-source daje Ci wolność wyboru ⏤ skorzystaj z pr
         <button id="desktopShowVideoButton" onclick="kub.showVideo()">Obejrzyj wideo</button>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2022/?utm_source=kubernetes.io&utm_medium=nav&utm_campaign=kccnceu22" button id="desktopKCButton">Weź udział w KubeCon Europe 17-20.06.2022</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/" button id="desktopKCButton">Weź udział w KubeCon North America 24-28.10.2022</a>
         <br>
         <br>
         <br>
         <br>
-        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/?utm_source=kubernetes.io&utm_medium=nav&utm_campaign=kccncna21" button id="desktopKCButton">Weź udział w KubeCon North America 24-28.10.2022</a>
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2023" button id="desktopKCButton">Weź udział w KubeCon Europe 17-21.04.2023</a>
 
 </div>
 <div id="videoPlayer">
diff --git a/content/pt-br/docs/reference/glossary/rbac.md b/content/pt-br/docs/reference/glossary/rbac.md
new file mode 100644
index 00000000000..b868363fde7
--- /dev/null
+++ b/content/pt-br/docs/reference/glossary/rbac.md
@@ -0,0 +1,20 @@
+---
+title: RBAC (Controle de Acesso Baseado em Funções)
+id: rbac
+date: 2018-04-12
+full_link: /docs/reference/access-authn-authz/rbac/
+short_description: >
+  Gerencia decisões de autorização, permitindo que os administradores configurem dinamicamente políticas de acesso por meio da API do Kubernetes.
+
+aka:
+ - Role Based Access Control
+ - Controle de Acesso Baseado em Funções
+tags:
+- security
+- fundamental
+---
+ Gerencia decisões de autorização, permitindo que os administradores configurem dinamicamente políticas de acesso por meio da {{< glossary_tooltip text="API do Kubernetes" term_id="kubernetes-api" >}}.
+ 
+<!--more--> 
+
+O RBAC (do inglês - Role-Based Access Control) utiliza *funções*, que contêm regras de permissão, e *atribuição das funções*, que concedem as permissões definidas em uma função a um conjunto de usuários.
\ No newline at end of file
diff --git a/content/pt-br/docs/reference/glossary/sig.md b/content/pt-br/docs/reference/glossary/sig.md
new file mode 100644
index 00000000000..0a5911c0bf3
--- /dev/null
+++ b/content/pt-br/docs/reference/glossary/sig.md
@@ -0,0 +1,19 @@
+---
+title: SIG (grupo de interesse especial)
+id: sig
+date: 2018-04-12
+full_link: https://github.com/kubernetes/community/blob/master/sig-list.md#master-sig-list
+short_description: >
+  Membros da comunidade que gerenciam coletivamente e continuamente uma parte ou projeto maior do código aberto do Kubernetes.
+
+aka: 
+tags:
+- community
+---
+  {{< glossary_tooltip text="Membros da comunidade" term_id="member" >}} que gerenciam coletivamente e continuamente uma parte ou projeto maior do código aberto do Kubernetes.
+
+<!--more--> 
+
+Os membros dentro de um grupo de interesse especial (do inglês - Special Interest Group, SIG) têm um interesse comum em contribuir em uma área específica, como arquitetura, API ou documentação. Os SIGs devem seguir as [diretrizes de governança](https://github.com/kubernetes/community/blob/master/committee-steering/governance/sig-governance.md) do SIG, mas podem ter sua própria política de contribuição e canais de comunicação.
+
+Para mais informações, consulte o repositório [kubernetes/community](https://github.com/kubernetes/community) e a lista atual de [SIGs e Grupos de Trabalho](https://github.com/kubernetes/community/blob/master/sig-list.md).
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_create.md b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_create.md
new file mode 100644
index 00000000000..0f93f417c8f
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_create.md
@@ -0,0 +1,126 @@
+<!--
+The file is auto-generated from the Go source code of the component using a generic
+[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
+to generate the reference documentation, please read
+[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
+To update the reference conent, please follow the 
+[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
+guide. You can file document formatting bugs against the
+[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
+-->
+
+
+Crie tokens de inicialização no servidor
+
+### Sinopse
+
+Este comando criará um token de inicialização. Você pode especificar os usos para este token, o "tempo de vida" e uma descrição amigável, que é opcional.
+
+O [token] é o token real para gravar. Este deve ser um token aleatório gerado com segurança da forma "[a-z0-9]{6}.[a-z0-9]{16}". Se nenhum [token] for fornecido, o kubeadm gerará um token aleatório.
+
+```
+kubeadm token create [token]
+```
+
+### Opções
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--certificate-key string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Quando usado em conjunto com '--print-join-command', exibe a flag completa 'kubeadm join' necessária para se unir ao cluster como um nó de camada de gerenciamento. Para criar uma nova chave de certificado, você deve usar 'kubeadm init phase upload-certs --upload-certs'.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--config string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Caminho para o arquivo de configuração kubeadm.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--description string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Uma descrição amigável de como esse token é usado.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--groups strings&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "system:bootstrappers:kubeadm:default-node-token"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Grupos extras que este token autenticará quando usado para autenticação. Deve corresponder &quot;\Asystem:bootstrappers:[a-z0-9:-]{0,255}[a-z0-9]\z&quot;</p></td>
+</tr>
+
+<tr>
+<td colspan="2">-h, --help</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>ajuda para create</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--print-join-command</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Em vez de exibir apenas o token, exibe a flag completa 'kubeadm join' necessária para se associar ao cluster usando o token.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--ttl duração&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: 24h0m0s</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>A duração antes do token ser excluído automaticamente (por exemplo, 1s, 2m, 3h). Se definido como '0', o token nunca expirará</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--usages strings&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "signing,authentication"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Descreve as maneiras pelas quais esse token pode ser usado. Você pode passar --usages várias vezes ou fornecer uma lista de opções separada por vírgulas. Opções válidas: [signing,authentication]</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
+### Opções herdadas dos comandos superiores
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--dry-run</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Ativar ou não o modo de execução dry-run</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--kubeconfig string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "/etc/kubernetes/admin.conf"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--rootfs string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host.</p></td>
+</tr>
+
+</tbody>
+</table>
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md
new file mode 100644
index 00000000000..755e35a72a8
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md
@@ -0,0 +1,80 @@
+<!--
+The file is auto-generated from the Go source code of the component using a generic
+[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
+to generate the reference documentation, please read
+[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
+To update the reference conent, please follow the 
+[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
+guide. You can file document formatting bugs against the
+[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
+-->
+
+
+Excluir tokens de inicialização no servidor
+
+### Sinopse
+
+Este comando excluirá uma lista de tokens de inicialização para você.
+
+O [token-value] é um Token completo na forma "[a-z0-9]{6}.[a-z0-9]{16}" ou o ID do Token na forma "[a-z0-9]{6}" a ser excluído.
+
+```
+kubeadm token delete [token-value] ...
+```
+
+### Opções
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">-h, --help</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>ajuda para delete</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
+### Opções herdadas dos comandos superiores
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--dry-run</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Ativar ou não o modo de execução dry-run</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--kubeconfig string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "/etc/kubernetes/admin.conf"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--rootfs string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host.</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_generate.md b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_generate.md
new file mode 100644
index 00000000000..4c51e831e3b
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_generate.md
@@ -0,0 +1,82 @@
+<!--
+The file is auto-generated from the Go source code of the component using a generic
+[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
+to generate the reference documentation, please read
+[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
+To update the reference conent, please follow the 
+[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
+guide. You can file document formatting bugs against the
+[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
+-->
+
+
+Gere e exiba um token de inicialização, mas não o crie no servidor
+
+### Sinopse
+
+Este comando exibirá um token de inicialização gerado aleatoriamente que pode ser usado com os comandos "init" e "join".
+
+Você não precisa usar este comando para gerar um token. Você pode fazer isso sozinho, desde que esteja no formato "[a-z0-9]{6}.[a-z0-9]{16}". Este comando é fornecido por conveniência para gerar tokens no formato fornecido.
+
+Você também pode usar "kubeadm init" sem especificar um token e ele gerará e exibirá um para você.
+
+```
+kubeadm token generate [flags]
+```
+
+### Opções
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">-h, --help</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>ajuda para generate</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
+### Opções herdadas dos comandos superiores
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--dry-run</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Ativar ou não o modo de execução dry-run</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--kubeconfig string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "/etc/kubernetes/admin.conf"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--rootfs string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host.</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_list.md b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_list.md
new file mode 100644
index 00000000000..2a598ed38af
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_list.md
@@ -0,0 +1,99 @@
+<!--
+The file is auto-generated from the Go source code of the component using a generic
+[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
+to generate the reference documentation, please read
+[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
+To update the reference conent, please follow the 
+[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
+guide. You can file document formatting bugs against the
+[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
+-->
+
+
+Liste tokens de inicialização no servidor
+
+### Sinopse
+
+Este comando listará todos os tokens de inicialização para você
+
+```
+kubeadm token list [flags]
+```
+
+### Opções
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--allow-missing-template-keys&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: true</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Se verdadeiro (true), ignora quaisquer erros nos modelos quando um campo ou chave de mapa estiver faltando no modelo. Aplica-se apenas aos formatos de saída golang e jsonpath.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">-o, --experimental-output string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "text"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Formato de saída. Valores válidos: text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">-h, --help</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>ajuda para list</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--show-managed-fields</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Se verdadeiro (true), mantém os managedFields ao exibir os objetos no formato JSON ou YAML.</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
+### Opções herdadas dos comandos superiores
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--dry-run</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Ativar ou não o modo de execução dry-run</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--kubeconfig string&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Padrão: "/etc/kubernetes/admin.conf"</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente.</p></td>
+</tr>
+
+<tr>
+<td colspan="2">--rootfs string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host.</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_version.md b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_version.md
new file mode 100644
index 00000000000..b248ffcd056
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/generated/kubeadm_version.md
@@ -0,0 +1,72 @@
+<!--
+The file is auto-generated from the Go source code of the component using a generic
+[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
+to generate the reference documentation, please read
+[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
+To update the reference conent, please follow the 
+[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
+guide. You can file document formatting bugs against the
+[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
+-->
+
+
+Exibe a versão do kubeadm
+
+### Sinopse
+
+
+Exibe a versão do kubeadm
+
+```
+kubeadm version [flags]
+```
+
+### Opções
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">-h, --help</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>ajuda para version</p></td>
+</tr>
+
+<tr>
+<td colspan="2">-o, --output string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>Formato de saída; as opções disponíveis são 'yaml', 'json' e 'short'</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
+### Opção herdada do comando superior
+
+   <table style="width: 100%; table-layout: fixed;">
+<colgroup>
+<col span="1" style="width: 10px;" />
+<col span="1" />
+</colgroup>
+<tbody>
+
+<tr>
+<td colspan="2">--rootfs string</td>
+</tr>
+<tr>
+<td></td><td style="line-height: 130%; word-wrap: break-word;"><p>[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host.</p></td>
+</tr>
+
+</tbody>
+</table>
+
+
+
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-token.md b/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-token.md
new file mode 100644
index 00000000000..99fcedc04f5
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-token.md
@@ -0,0 +1,27 @@
+---
+title: kubeadm token
+content_type: concept
+weight: 70
+---
+<!-- overview -->
+
+Os Bootstrap tokens são usados para estabelecer uma relação de confiança bidirecional entre um nó que se junta ao cluster e um nó do plano de controle, conforme descrito na [autenticação com tokens de inicialização](/docs/reference/access-authn-authz/bootstrap-tokens/).
+
+O `kubeadm init` cria um token inicial com um TTL de 24 horas. Os comandos a seguir permitem que você gerencie esse token e também crie e gerencie os novos.
+
+<!-- body -->
+## kubeadm token create {#cmd-token-create}
+{{< include "generated/kubeadm_token_create.md" >}}
+
+## kubeadm token delete {#cmd-token-delete}
+{{< include "generated/kubeadm_token_delete.md" >}}
+
+## kubeadm token generate {#cmd-token-generate}
+{{< include "generated/kubeadm_token_generate.md" >}}
+
+## kubeadm token list {#cmd-token-list}
+{{< include "generated/kubeadm_token_list.md" >}}
+
+## {{% heading "whatsnext" %}}
+
+* [kubeadm join](/docs/reference/setup-tools/kubeadm/kubeadm-join) para inicializar um nó de carga de trabalho do Kubernetes e associá-lo ao cluster
diff --git a/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-version.md b/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-version.md
new file mode 100644
index 00000000000..ca2a6a84ce6
--- /dev/null
+++ b/content/pt-br/docs/reference/setup-tools/kubeadm/kubeadm-version.md
@@ -0,0 +1,10 @@
+---
+title: kubeadm version
+content_type: concept
+weight: 80
+---
+<!-- overview -->
+Este comando exibe a versão do kubeadm.
+
+<!-- body -->
+{{< include "generated/kubeadm_version.md" >}}
diff --git a/content/ru/docs/tasks/configure-pod-container/assign-cpu-resource.md b/content/ru/docs/tasks/configure-pod-container/assign-cpu-resource.md
index f82d690af5a..d91ea012c7a 100644
--- a/content/ru/docs/tasks/configure-pod-container/assign-cpu-resource.md
+++ b/content/ru/docs/tasks/configure-pod-container/assign-cpu-resource.md
@@ -158,7 +158,7 @@ CPU всегда запрашивается в абсолютных величи
 
 В этом упражнении мы создадим Pod с запросом CPU, превышающим мощности любой ноды в вашем кластере.
 Ниже представлен конфигурационный файл для Pod'а с одним контейнером. Контейнер запрашивает 100 CPU,
-что почти наверняка превышет имеющиеся мощности любой ноды в кластере.
+что почти наверняка превышает имеющиеся мощности любой ноды в кластере.
 
 {{< codenew file="pods/resource/cpu-request-limit-2.yaml" >}}
 
diff --git a/content/ru/includes/task-tutorial-prereqs.md b/content/ru/includes/task-tutorial-prereqs.md
index 0190567b098..4467c1d417d 100644
--- a/content/ru/includes/task-tutorial-prereqs.md
+++ b/content/ru/includes/task-tutorial-prereqs.md
@@ -4,5 +4,5 @@
 [Minikube](/docs/setup/learning-environment/minikube/),
 или вы можете использовать одну из песочниц Kubernetes:
 
-* [Katacoda](https://www.katacoda.com/courses/kubernetes/playground)
+* [Killercoda](https://killercoda.com/playgrounds/scenario/kubernetes)
 * [Play with Kubernetes](http://labs.play-with-k8s.com/)
diff --git a/content/uk/docs/tutorials/kubernetes-basics/expose/expose-intro.html b/content/uk/docs/tutorials/kubernetes-basics/expose/expose-intro.html
index d4395537310..0b230ec82bf 100644
--- a/content/uk/docs/tutorials/kubernetes-basics/expose/expose-intro.html
+++ b/content/uk/docs/tutorials/kubernetes-basics/expose/expose-intro.html
@@ -113,7 +113,7 @@ weight: 10
 
 		<div class="row">
 			<div class="col-md-8">
-                <!--<p>A Service routes traffic across a set of Pods. Services are the abstraction that allow pods to die and replicate in Kubernetes without impacting your application. Discovery and routing among dependent Pods (such as the frontend and backend components in an application) is handled by Kubernetes Services.</p>
+                <!--<p>A Service routes traffic across a set of Pods. Services are the abstraction that allows pods to die and replicate in Kubernetes without impacting your application. Discovery and routing among dependent Pods (such as the frontend and backend components in an application) is handled by Kubernetes Services.</p>
                 -->
                 <p>Service маршрутизує трафік між Pod'ами, що входять до його складу. Service - це абстракція, завдяки якій Pod'и в Kubernetes "вмирають" і відтворюються, не впливаючи на роботу вашого застосунку. Services в Kubernetes здійснюють виявлення і маршрутизацію між залежними Pod'ами (як наприклад, фронтенд- і бекенд-компоненти  застосунку).</p>
                 <!--<p>Services match a set of Pods using <a href="/docs/concepts/overview/working-with-objects/labels">labels and selectors</a>, a grouping primitive that allows logical operation on objects in Kubernetes. Labels are key/value pairs attached to objects and can be used in any number of ways:</p>
diff --git a/content/vi/partners/_index.html b/content/vi/partners/_index.html
index f5b44d5e948..3ea37f2242a 100644
--- a/content/vi/partners/_index.html
+++ b/content/vi/partners/_index.html
@@ -7,85 +7,48 @@ cid: partners
 ---
 
 <section id="users">
-    <main class="main-section">
-        <h5>Kubernetes phối hợp làm việc với các đối tác để tạo ra một codebase mạnh mẽ hỗ trợ một loạt các nền tảng bổ sung.</h5>
-        <div class="col-container">
-          <div class="col-nav">
-            <center>
-              <h5>
-                <b>Các nhà cung cấp dịch vụ được chứng nhận bởi Kubernetes (KCSP)</b>
-              </h5>
-              <br>Các nhà cung cấp dịch vụ được chứng nhận với bề dày kinh nghiệm sẽ trợ giúp các tổ chức kinh doanh, các công ty ứng dụng Kubernetes nhanh chóng.
-              <br><br><br>
-              <button id="kcsp" class="button" onClick="updateSrc(this.id)">Xem các đối tác KCSP</button>
-              <br><br>Bạn muốn trở thành một <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>?
-            </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <h5>
-                <b>Các nhà phân phối Kubernetes, dịch vụ hosting, dịch vụ cài đặt</b>
-              </h5>Tiêu chuẩn tương thích về phần mềm bảo đảm rằng các phiên bản Kubernetes từ các nhà cung cấp sẽ hỗ trợ các bộ API được yêu cầu bởi khách hàng.
-              <br><br><br>
-              <button id="conformance" class="button" onClick="updateSrc(this.id)">Xem các đối tác Conformance</button>
-              <br><br>Bạn muốn trở thành một <a href="https://www.cncf.io/certification/software-conformance/">Kubernetes Certified</a>?
-            </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <h5><b>Các đối tác đào tạo Kubernetes (KTP)</b></h5>
-              <br>Các đối tác đào tạo được chứng nhận đã và đang sở hữu bề dày kinh nghiệm trong lĩnh vực đám mây.
-              <br><br><br><br>
-              <button id="ktp" class="button" onClick="updateSrc(this.id)">Xem các đối tác KTP</button>
-              <br><br>Bạn muốn trở thành một <a href="https://www.cncf.io/certification/training/">KTP</a>?
-            </center>
-          </div>
-        </div>
-<script src="https://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8=" crossorigin="anonymous"></script>
-<script type="text/javascript">
-
-			var defaultLink = "https://landscape.cncf.io/category=kubernetes-certified-service-provider&format=card-mode&grouping=category&embed=yes";
-			var firstLink = "https://landscape.cncf.io/category=certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer&format=card-mode&grouping=category&embed=yes";
-      var secondLink = "https://landscape.cncf.io/category=kubernetes-training-partner&format=card-mode&grouping=category&embed=yes";
-
-      function updateSrc(buttonId) {
-      	if (buttonId == "kcsp") {
-        		$("#landscape").attr("src",defaultLink);
-            window.location.hash = "#kcsp";
-        }
-        if (buttonId == "conformance") {
-         		$("#landscape").attr("src",firstLink);
-            window.location.hash = "#conformance";
-        }
-        if (buttonId == "ktp") {
-        		$("#landscape").attr("src",secondLink);
-            window.location.hash = "#ktp";
-        }
-      }
-
-      // Automatically load the correct iframe based on the URL fragment
-      document.addEventListener('DOMContentLoaded', function() {
-        var showContent = "kcsp";
-        if (window.location.hash) {
-          console.log('hash is:', window.location.hash.substring(1));
-          showContent = window.location.hash.substring(1);
-        }
-        updateSrc(showContent);
-      });
-</script>
-<body>
-    <div id="frameHolder">
-      <iframe id="landscape" title="CNCF Landscape" frameBorder="0" scrolling="no" style="width: 1px; min-width: 100%" src=""></iframe>
-      <script src="https://landscape.cncf.io/iframeResizer.js"></script>
+    <h5>Kubernetes phối hợp làm việc với các đối tác để tạo ra một codebase mạnh mẽ hỗ trợ một loạt các nền tảng bổ sung.</h5>
+    <div class="col-container">
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Các nhà cung cấp dịch vụ được chứng nhận bởi Kubernetes (KCSP)</b>
+          </h5>
+          <br>Các nhà cung cấp dịch vụ được chứng nhận với bề dày kinh nghiệm sẽ trợ giúp các tổ chức kinh doanh, các công ty ứng dụng Kubernetes nhanh chóng.
+          <br><br><br>
+          <button class="button landscape-trigger landscape-default" data-landscape-types="kubernetes-certified-service-provider" id="kcsp">Xem các đối tác KCSP</button>
+          <br><br>Bạn muốn trở thành một 
+          <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>?
+        </center>
+      </div>
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Các nhà phân phối Kubernetes, dịch vụ hosting, dịch vụ cài đặt</b>
+          </h5>Tiêu chuẩn tương thích về phần mềm bảo đảm rằng các phiên bản Kubernetes từ các nhà cung cấp sẽ hỗ trợ các bộ API được yêu cầu bởi khách hàng.
+          <br><br><br>
+          <button class="button landscape-trigger" data-landscape-types="certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer" id="conformance">Xem các đối tác Conformance</button>
+          <br><br>Bạn muốn trở thành một 
+          <a href="https://www.cncf.io/certification/software-conformance/">Kubernetes Certified</a>?
+        </center>
+      </div>
+      <div class="col-nav">
+        <center>
+          <h5>
+            <b>Các đối tác đào tạo Kubernetes (KTP)</b>
+          </h5>
+          <br>Các đối tác đào tạo được chứng nhận đã và đang sở hữu bề dày kinh nghiệm trong lĩnh vực đám mây.
+          <br><br><br>
+          <button class="button landscape-trigger" data-landscape-types="kubernetes-training-partner" id="ktp">Xem các đối tác KTP</button>
+          <br><br>Bạn muốn trở thành một 
+          <a href="https://www.cncf.io/certification/training/">KTP</a>?
+        </center>
+      </div>
     </div>
-</body>
-    </main>
+    {{< cncf-landscape helpers=true >}}
 </section>
 
 <style>
     {{< include "partner-style.css" >}}
 </style>
 
-<script>
-    {{< include "partner-script.js" >}}
-</script>
diff --git a/content/zh-cn/_index.html b/content/zh-cn/_index.html
index 71688a2e67a..3594f0900de 100644
--- a/content/zh-cn/_index.html
+++ b/content/zh-cn/_index.html
@@ -60,21 +60,21 @@ Kubernetes 是开源系统，可以自由地部署在企业内部，私有云、
 {{< blocks/section id="video" background-image="kub_video_banner_homepage" >}}
 
 <div class="light-text">
-    <!-- <h2>The Challenges of Migrating 150+ Microservices to Kubernetes</h2> -->
-    <h2>将 150+ 微服务迁移到 Kubernetes 上的挑战</h2>
-    <!-- <p>By Sarah Wells, Technical Director for Operations and Reliability, Financial Times</p> -->
-    <p>Sarah Wells, 运营和可靠性技术总监, 金融时报</p>
-    <button id="desktopShowVideoButton" onclick="kub.showVideo()">Watch Video</button>
-    <br>
-    <br>
-    <!-- <a href="https://www.lfasiallc.com/events/kubecon-cloudnativecon-china-2018/" button id="desktopKCButton">Attend KubeCon in Shanghai on Nov. 13-15, 2018</a> -->
-    <a href="https://www.lfasiallc.com/events/kubecon-cloudnativecon-china-2018/" button id="desktopKCButton">参加11月13日到15日的上海 KubeCon</a>
-    <br>
-    <br>
-    <br>
-    <br>
-    <!-- <a href="https://events.linuxfoundation.org/events/kubecon-cloudnativecon-north-america-2018/" button id="desktopKCButton">Attend KubeCon in Seattle on Dec. 11-13, 2018</a> -->
-    <a href="https://events.linuxfoundation.org/events/kubecon-cloudnativecon-north-america-2018/" button id="desktopKCButton">参加12月11日到13日的西雅图 KubeCon</a>
+<!-- <h2>The Challenges of Migrating 150+ Microservices to Kubernetes</h2> -->
+<h2>将 150+ 微服务迁移到 Kubernetes 上的挑战</h2>
+        <!-- <p>By Sarah Wells, Technical Director for Operations and Reliability, Financial Times</p> -->
+        <p>Sarah Wells, 运营和可靠性技术总监, 金融时报</p>
+        <button id="desktopShowVideoButton" onclick="kub.showVideo()">观看视频</button>
+        <br>
+        <br>
+        <!-- <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/" button id="desktopKCButton">Attend KubeCon North America on October 24-28, 2022</a> -->
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-north-america/" button id="desktopKCButton">参加 2022 年 10 月 24-28 日的北美 KubeCon</a>
+        <br>
+        <br>
+        <br>
+        <br>
+        <!-- <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2023/" button id="desktopKCButton">Attend KubeCon Europe on April 17-21, 2023</a> -->
+        <a href="https://events.linuxfoundation.org/kubecon-cloudnativecon-europe-2023/" button id="desktopKCButton">参加 2023 年 4 月 17-21 日的欧洲 KubeCon</a>
 </div>
 <div id="videoPlayer">
     <iframe data-url="https://www.youtube.com/embed/H06qrNmGqyE?autoplay=1" frameborder="0" allowfullscreen></iframe>
@@ -84,4 +84,4 @@ Kubernetes 是开源系统，可以自由地部署在企业内部，私有云、
 
 {{< blocks/kubernetes-features >}}
 
-{{< blocks/case-studies >}}
\ No newline at end of file
+{{< blocks/case-studies >}}
diff --git a/content/zh-cn/blog/_posts/2018-10-10-runtimeclass.md b/content/zh-cn/blog/_posts/2018-10-10-runtimeclass.md
index 09e6d9b3878..20185edbb38 100644
--- a/content/zh-cn/blog/_posts/2018-10-10-runtimeclass.md
+++ b/content/zh-cn/blog/_posts/2018-10-10-runtimeclass.md
@@ -19,11 +19,11 @@ date: 2018-10-10
 Kubernetes originally launched with support for Docker containers running native applications on a Linux host. Starting with [rkt](https://kubernetes.io/blog/2016/07/rktnetes-brings-rkt-container-engine-to-kubernetes/) in Kubernetes 1.3 more runtimes were coming, which lead to the development of the [Container Runtime Interface](https://kubernetes.io/blog/2016/12/container-runtime-interface-cri-in-kubernetes/) (CRI). Since then, the set of alternative runtimes has only expanded: projects like [Kata Containers](https://katacontainers.io/) and [gVisor](https://github.com/google/gvisor) were announced for stronger workload isolation, and Kubernetes' Windows support has been [steadily progressing](https://kubernetes.io/blog/2018/01/kubernetes-v19-beta-windows-support/).
 -->
 Kubernetes 最初是为了支持在 Linux 主机上运行本机应用程序的 Docker 容器而创建的。
-从 Kubernetes 1.3中的 [rkt](https://kubernetes.io/blog/2016/07/rktnetes-brings-rkt-container-engine-to-kubernetes/) 开始，更多的运行时间开始涌现，
+从 Kubernetes 1.3 中的 [rkt](https://kubernetes.io/blog/2016/07/rktnetes-brings-rkt-container-engine-to-kubernetes/) 开始，更多的运行时间开始涌现，
 这导致了[容器运行时接口（Container Runtime Interface）](https://kubernetes.io/blog/2016/12/container-runtime-interface-cri-in-kubernetes/)（CRI）的开发。
 从那时起，备用运行时集合越来越大：
 为了加强工作负载隔离，[Kata Containers](https://katacontainers.io/) 和 [gVisor](https://github.com/google/gvisor) 等项目被发起，
-并且 Kubernetes 对 Windows 的支持正在 [稳步发展](https://kubernetes.io/blog/2018/01/kubernetes-v19-beta-windows-support/) 。
+并且 Kubernetes 对 Windows 的支持正在[稳步发展](https://kubernetes.io/blog/2018/01/kubernetes-v19-beta-windows-support/)。
 
 <!--
 With runtimes targeting so many different use cases, a clear need for mixed runtimes in a cluster arose. But all these different ways of running containers have brought a new set of problems to deal with:
@@ -56,7 +56,7 @@ With runtimes targeting so many different use cases, a clear need for mixed runt
 RuntimeClass was recently introduced as an alpha feature in Kubernetes 1.12. The initial implementation focuses on providing a runtime selection API, and paves the way to address the other open problems.
 -->
 最近，RuntimeClass 在 Kubernetes 1.12 中作为 alpha 功能引入。
-最初的实现侧重于提供运行时选择 API ，并为解决其他未解决的问题铺平道路。
+最初的实现侧重于提供运行时选择 API，并为解决其他未解决的问题铺平道路。
 
 <!--
 The RuntimeClass resource represents a container runtime supported in a Kubernetes cluster. The cluster provisioner sets up, configures, and defines the concrete runtimes backing the RuntimeClass. In its current form, a RuntimeClassSpec holds a single field, the **RuntimeHandler**. The RuntimeHandler is interpreted by the CRI implementation running on a node, and mapped to the actual runtime configuration. Meanwhile the PodSpec has been expanded with a new field, **RuntimeClassName**, which names the RuntimeClass that should be used to run the pod.
@@ -81,14 +81,14 @@ Kubernetes 资源模型期望 Pod 中的容器之间可以共享某些资源。
 ## 下一步是什么？
 
 <!--
-The RuntimeClass resource is an important foundation for surfacing runtime properties to the control plane. For example, to implement scheduler support for clusters with heterogeneous nodes supporting different runtimes, we might add [NodeAffinity](/docs/concepts/configuration/assign-pod-node/#affinity-and-anti-affinity) terms to the RuntimeClass definition. Another area to address is managing the variable resource requirements to run pods of different runtimes. The [Pod Overhead proposal](https://docs.google.com/document/d/1EJKT4gyl58-kzt2bnwkv08MIUZ6lkDpXcxkHqCvvAp4/preview) was an early take on this that aligns nicely with the RuntimeClass design, and may be pursued further.
+The RuntimeClass resource is an important foundation for surfacing runtime properties to the control plane. For example, to implement scheduler support for clusters with heterogeneous nodes supporting different runtimes, we might add [NodeAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity) terms to the RuntimeClass definition. Another area to address is managing the variable resource requirements to run pods of different runtimes. The [Pod Overhead proposal](https://docs.google.com/document/d/1EJKT4gyl58-kzt2bnwkv08MIUZ6lkDpXcxkHqCvvAp4/preview) was an early take on this that aligns nicely with the RuntimeClass design, and may be pursued further.
 -->
 RuntimeClass 资源是将运行时属性显示到控制平面的重要基础。
 例如，要对具有支持不同运行时间的异构节点的集群实施调度程序支持，我们可以在 RuntimeClass 定义中添加
-[NodeAffinity](/zh-cn/docs/concepts/configuration/assign-pod-node/#affinity-and-anti-affinity)条件。
+[NodeAffinity](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity) 条件。
 另一个需要解决的领域是管理可变资源需求以运行不同运行时的 Pod。
-[Pod Overhead 提案](https://docs.google.com/document/d/1EJKT4gyl58-kzt2bnwkv08MIUZ6lkDpXcxkHqCvvAp4/preview)
-是一项较早的尝试，与 RuntimeClass 设计非常吻合，并且可能会进一步推广。
+[Pod Overhead 提案](https://docs.google.com/document/d/1EJKT4gyl58-kzt2bnwkv08MIUZ6lkDpXcxkHqCvvAp4/preview)是一项较早的尝试，与
+RuntimeClass 设计非常吻合，并且可能会进一步推广。
 
 <!--
 Many other RuntimeClass extensions have also been proposed, and will be revisited as the feature continues to develop and mature. A few more extensions that are being considered include:
@@ -107,13 +107,13 @@ Many other RuntimeClass extensions have also been proposed, and will be revisite
 - 自动运行时或功能发现，支持无需手动配置的调度决策。
 - 标准化或一致的 RuntimeClass 名称，用于定义一组具有相同名称的 RuntimeClass 的集群应支持的属性。
 - 动态注册附加的运行时，因此用户可以在不停机的情况下在现有集群上安装新的运行时。
-- 根据 Pod 的要求“匹配”  RuntimeClass。
+- 根据 Pod 的要求“匹配” RuntimeClass。
   例如，指定运行时属性并使系统与适当的 RuntimeClass 匹配，而不是通过名称显式分配 RuntimeClass。
 
 <!--
 RuntimeClass will be under active development at least through 2019, and we’re excited to see the feature take shape, starting with the RuntimeClass alpha in Kubernetes 1.12.
 -->
-至少要到2019年，RuntimeClass 才会得到积极的开发，我们很高兴看到从 Kubernetes 1.12 中的 RuntimeClass alpha 开始，此功能得以形成。
+至少要到 2019 年，RuntimeClass 才会得到积极的开发，我们很高兴看到从 Kubernetes 1.12 中的 RuntimeClass alpha 开始，此功能得以形成。
 
 <!--
 ## Learn More
@@ -127,10 +127,9 @@ RuntimeClass will be under active development at least through 2019, and we’re
 - Join the discussions and help shape the future of RuntimeClass with the [SIG-Node community](https://github.com/kubernetes/community/tree/master/sig-node)
 -->
 
-- 试试吧！ 作为Alpha功能，还有一些其他设置步骤可以使用RuntimeClass。
-  有关如何使其运行，请参考 [RuntimeClass文档](/zh-cn/docs/concepts/containers/runtime-class/#runtime-class) 。
-- 查看 [RuntimeClass Kubernetes 增强建议](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/runtime-class.md) 以获取更多细节设计细节。
-- [沙盒隔离级别决策](https://docs.google.com/document/d/1fe7lQUjYKR0cijRmSbH_y0_l3CYPkwtQa5ViywuNo8Q/preview) 
-  记录了最初使 RuntimeClass 成为 Pod 级别选项的思考过程。
-- 加入讨论，并通过 [SIG-Node社区](https://github.com/kubernetes/community/tree/master/sig-node) 帮助塑造 RuntimeClass 的未来。
-
+- 试试吧！作为 Alpha 功能，还有一些其他设置步骤可以使用 RuntimeClass。
+  有关如何使其运行，请参考 [RuntimeClass 文档](/zh-cn/docs/concepts/containers/runtime-class/#runtime-class)。
+- 查看 [RuntimeClass Kubernetes 增强建议](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/runtime-class.md)以获取更多细节设计细节。
+- [沙盒隔离级别决策](https://docs.google.com/document/d/1fe7lQUjYKR0cijRmSbH_y0_l3CYPkwtQa5ViywuNo8Q/preview)记录了最初使
+  RuntimeClass 成为 Pod 级别选项的思考过程。
+- 加入讨论，并通过 [SIG-Node 社区](https://github.com/kubernetes/community/tree/master/sig-node)帮助塑造 RuntimeClass 的未来。
diff --git a/content/zh-cn/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md b/content/zh-cn/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
index 90831b02b03..2f6895968ae 100644
--- a/content/zh-cn/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
+++ b/content/zh-cn/blog/_posts/2018-11-08-kubernetes-docs-update-i18n.md
@@ -63,8 +63,8 @@ Prow 根据文件路径自动添加语言标签。感谢 SIG Docs 贡献者 [Jun
 <!-- ### Team review  -->
 ### 团队审核
 
-<!-- L10n teams can now review and approve their own PRs. For example, review and approval permissions for English are [assigned in an OWNERS file](https://github.com/kubernetes/website/blob/master/content/en/OWNERS) in the top subfolder for English content.  -->
-L10n 团队现在可以审查和批准他们自己的 PR。例如，英语的审核和批准权限在位于用于显示英语内容的顶级子文件夹中的 [OWNERS 文件中指定](https://github.com/kubernetes/website/blob/master/content/en/OWNERS)。
+<!-- L10n teams can now review and approve their own PRs. For example, review and approval permissions for English are [assigned in an OWNERS file](https://github.com/kubernetes/website/blob/main/content/en/OWNERS) in the top subfolder for English content.  -->
+L10n 团队现在可以审查和批准他们自己的 PR。例如，英语的审核和批准权限在位于用于显示英语内容的顶级子文件夹中的 [OWNERS 文件中指定](https://github.com/kubernetes/website/blob/main/content/en/OWNERS)。
 
 <!-- Adding `OWNERS` files to subdirectories lets localization teams review and approve changes without requiring a rubber stamp approval from reviewers who may lack fluency. -->
 将 `OWNERS` 文件添加到子目录可以让本地化团队审查和批准更改，而无需由可能并不擅长该门语言的审阅者进行批准。
diff --git a/content/zh-cn/blog/_posts/2020-09-30-writing-crl-scheduler/index.md b/content/zh-cn/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
index d2f1fa1e407..c9e6f768f7b 100644
--- a/content/zh-cn/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
+++ b/content/zh-cn/blog/_posts/2020-09-30-writing-crl-scheduler/index.md
@@ -188,7 +188,7 @@ To correct the latter issue, we now employ a "hunt and peck" approach to removin
 ### 1. Upgrade to kubernetes 1.18 and make use of Pod Topology Spread Constraints
 
 While this seems like it could have been the perfect solution, at the time of writing Kubernetes 1.18 was unavailable on the two most common managed Kubernetes services in public cloud, EKS and GKE.
-Furthermore, [pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/) were still a [beta feature in 1.18](https://v1-18.docs.kubernetes.io/docs/concepts/workloads/pods/pod-topology-spread-constraints/) which meant that it [wasn't guaranteed to be available in managed clusters](https://cloud.google.com/kubernetes-engine/docs/concepts/types-of-clusters#kubernetes_feature_choices) even when v1.18 became available.
+Furthermore, [pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/) were still a beta feature in 1.18 which meant that it [wasn't guaranteed to be available in managed clusters](https://cloud.google.com/kubernetes-engine/docs/concepts/types-of-clusters#kubernetes_feature_choices) even when v1.18 became available.
 The entire endeavour was concerningly reminiscent of checking [caniuse.com](https://caniuse.com/) when Internet Explorer 8 was still around.
 -->
 ## 一场头脑风暴后我们有了 3 个选择。
@@ -197,8 +197,7 @@ The entire endeavour was concerningly reminiscent of checking [caniuse.com](http
 
 虽然这似乎是一个完美的解决方案，但在写这篇文章的时候，Kubernetes 1.18 在公有云中两个最常见的
 托管 Kubernetes 服务（ EKS 和 GKE ）上是不可用的。
-此外，[Pod 拓扑分布约束](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/)在 
-[1.18 中仍是测试版功能](https://v1-18.docs.kubernetes.io/docs/concepts/workloads/pods/pod-topology-spread-constraints/)，
+此外，[Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)在 1.18 中仍是测试版功能，
 这意味着即使在 v1.18 可用时，它[也不能保证在托管集群中可用](https://cloud.google.com/kubernetes-engine/docs/concepts/types-of-clusters#kubernetes_feature_choices)。
 整个努力让人联想到在 Internet Explorer 8 还存在的时候访问 [caniuse.com](https://caniuse.com/)。
 
diff --git a/content/zh-cn/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md b/content/zh-cn/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
index 0adca625e39..e7bd4275657 100644
--- a/content/zh-cn/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
+++ b/content/zh-cn/blog/_posts/2022-01-10-meet-our-contributors-APAC-India-region-01.md
@@ -1,27 +1,35 @@
 ---
 layout: blog
 title: "认识我们的贡献者 - 亚太地区（印度地区）"
-date: 2022-01-10T12:00:00+0000
+date: 2022-01-10
 slug: meet-our-contributors-india-ep-01
-canonicalUrl: https://kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
+canonicalUrl: https://www.kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
 ---
 <!--
 layout: blog
 title: "Meet Our Contributors - APAC (India region)"
-date: 2022-01-10T12:00:00+0000
+date: 2022-01-10
 slug: meet-our-contributors-india-ep-01
-canonicalUrl: https://kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
+canonicalUrl: https://www.kubernetes.dev/blog/2022/01/10/meet-our-contributors-india-ep-01/
 -->
 
 <!--
 **Authors & Interviewers:** [Anubhav Vardhan](https://github.com/anubha-v-ardhan), [Atharva Shinde](https://github.com/Atharva-Shinde), [Avinesh Tripathi](https://github.com/AvineshTripathi), [Debabrata Panigrahi](https://github.com/Debanitrkl), [Kunal Verma](https://github.com/verma-kunal), [Pranshu Srivastava](https://github.com/PranshuSrivastava), [Pritish Samal](https://github.com/CIPHERTron), [Purneswar Prasad](https://github.com/PurneswarPrasad), [Vedant Kakde](https://github.com/vedant-kakde)
 -->
-**作者和采访者：** [Anubhav Vardhan](https://github.com/anubha-v-ardhan) ， [Atharva Shinde](https://github.com/Atharva-Shinde) ， [Avinesh Tripathi](https://github.com/AvineshTripathi) ， [Debabrata Panigrahi](https://github.com/Debanitrkl) ， [Kunal Verma](https://github.com/verma-kunal) ， [Pranshu Srivastava](https://github.com/PranshuSrivastava) ， [Pritish Samal](https://github.com/CIPHERTron) ， [Purneswar Prasad](https://github.com/PurneswarPrasad) ， [Vedant Kakde](https://github.com/vedant-kakde)
+**作者和采访者：** [Anubhav Vardhan](https://github.com/anubha-v-ardhan)、
+[Atharva Shinde](https://github.com/Atharva-Shinde)、
+[Avinesh Tripathi](https://github.com/AvineshTripathi)、
+[Debabrata Panigrahi](https://github.com/Debanitrkl)、
+[Kunal Verma](https://github.com/verma-kunal)、
+[Pranshu Srivastava](https://github.com/PranshuSrivastava)、
+[Pritish Samal](https://github.com/CIPHERTron)、
+[Purneswar Prasad](https://github.com/PurneswarPrasad)、
+[Vedant Kakde](https://github.com/vedant-kakde)
 
 <!--
 **Editor:** [Priyanka Saggu](https://psaggu.com)
 -->
-**编辑：** [Priyanka Saggu](https://psaggu.com) 
+**编辑：** [Priyanka Saggu](https://psaggu.com)
 
 ---
 
@@ -39,10 +47,10 @@ Welcome to the first episode of the APAC edition of the "Meet Our Contributors"
 <!--
 In this post, we'll introduce you to five amazing folks from the India region who have been actively contributing to the upstream Kubernetes projects in a variety of ways, as well as being the leaders or maintainers of numerous community initiatives.
 -->
-在这篇文章中，我们将向您介绍来自印度地区的五位优秀贡献者，他们一直在以各种方式积极地为上游 Kubernetes 项目做贡献，同时也是众多社区倡议的领导者和维护者。
+在这篇文章中，我们将向你介绍来自印度地区的五位优秀贡献者，他们一直在以各种方式积极地为上游 Kubernetes 项目做贡献，同时也是众多社区倡议的领导者和维护者。
 
 <!--
-💫 *Let's get started, so without further ado…* 
+💫 *Let's get started, so without further ado…*
 -->
 💫 *闲话少说，我们开始吧。*
 
@@ -70,7 +78,9 @@ To the newcomers, Arsh helps plan their early contributions sustainably.
 > actually handle. This can often lead to burnout in later stages. It's much more sustainable
 > to work on things iteratively._
 -->
-> _我鼓励大家以可持续的方式为社区做贡献。我的意思是，一个人很容易在早期的时候非常有热情，并且承担了很多超出个人实际能力的事情。这通常会导致后期的倦怠。迭代地处理事情会让大家对社区的贡献变得可持续。_
+> 我鼓励大家以可持续的方式为社区做贡献。
+> 我的意思是，一个人很容易在早期的时候非常有热情，并且承担了很多超出个人实际能力的事情。
+> 这通常会导致后期的倦怠。迭代地处理事情会让大家对社区的贡献变得可持续。
 
 ## [Kunal Kushwaha](https://github.com/kunal-kushwaha)
 
@@ -80,7 +90,7 @@ Kunal Kushwaha is a core member of the Kubernetes marketing council. He is also
 Kunal Kushwaha 是 Kubernetes 营销委员会的核心成员。他同时也是 [CNCF 学生计划](https://community.cncf.io/cloud-native-students/) 的创始人之一。他还在 1.22 版本周期中担任通信经理一职。
 
 <!--
-At the end of his first year, Kunal began contributing to the [fabric8io kubernetes-client](https://github.com/fabric8io/kubernetes-client) project. He was then selected to work on the same project as part of Google Summer of Code. Kunal mentored people on the same project, first through Google Summer of Code then through Google Code-in. 
+At the end of his first year, Kunal began contributing to the [fabric8io kubernetes-client](https://github.com/fabric8io/kubernetes-client) project. He was then selected to work on the same project as part of Google Summer of Code. Kunal mentored people on the same project, first through Google Summer of Code then through Google Code-in.
 -->
 在他的第一年结束时，Kunal 开始为 [fabric8io kubernetes-client](https://github.com/fabric8io/kubernetes-client) 项目做贡献。然后，他被推选从事同一项目，此项目是 Google Summer of Code 的一部分。Kunal 在 Google Summer of Code、Google Code-in 等项目中指导过很多人。
 
@@ -99,7 +109,11 @@ As an open-source enthusiast, he believes that diverse participation in the comm
 > because being a beginner is a skill and you can bring new perspectives to the
 > organisation._
 -->
-> _我相信，如果你发现自己在一个了解不多的项目当中，那是件好事，因为现在你可以一边贡献一边学习，社区也会帮助你。它帮助我获得了很多技能，认识了来自世界各地的人，也帮助了他们。你可以在这个过程中学习，自己不一定必须是专家。请重视非代码贡献，因为作为初学者这是一项技能，你可以为组织带来新的视角。_
+> 我相信，如果你发现自己在一个了解不多的项目当中，那是件好事，
+> 因为现在你可以一边贡献一边学习，社区也会帮助你。
+> 它帮助我获得了很多技能，认识了来自世界各地的人，也帮助了他们。
+> 你可以在这个过程中学习，自己不一定必须是专家。
+> 请重视非代码贡献，因为作为初学者这是一项技能，你可以为组织带来新的视角。
 
 ## [Madhav Jivarajani](https://github.com/MadhavJivrajani)
 
@@ -112,12 +126,19 @@ Madhav Jivarajani 在 VMware 上游 Kubernetes 稳定性团队工作。他于 20
 <!--
 Among several significant contributions are his recent efforts toward the Archival of [design proposals](https://github.com/kubernetes/community/issues/6055), refactoring the ["groups" codebase](https://github.com/kubernetes/k8s.io/pull/2713) under k8s-infra repository to make it mockable and testable, and improving the functionality of the [GitHub k8s bot](https://github.com/kubernetes/test-infra/issues/23129).
 -->
-在这几个重要项目中，他最近致力于 [设计方案](https://github.com/kubernetes/community/issues/6055) 的存档工作，重构 k8s-infra 存储库下的 ["组"代码库](https://github.com/kubernetes/k8s.io/pull/2713) ，使其具有可模拟性和可测试性，以及改进 [GitHub k8s 机器人](https://github.com/kubernetes/test-infra/issues/23129) 的功能。
+在这几个重要项目中，他最近致力于[设计方案](https://github.com/kubernetes/community/issues/6055)的存档工作，
+重构 k8s-infra 存储库下的 ["组"代码库](https://github.com/kubernetes/k8s.io/pull/2713)，
+使其具有可模拟性和可测试性，以及改进 [GitHub k8s 机器人](https://github.com/kubernetes/test-infra/issues/23129)的功能。
 
 <!--
 In addition to his technical efforts, Madhav oversees many projects aimed at assisting new contributors. He organises bi-weekly "KEP reading club" sessions to help newcomers understand the process of adding new features, deprecating old ones, and making other key changes to the upstream project. He has also worked on developing [Katacoda scenarios](https://github.com/kubernetes-sigs/contributor-katacoda) to assist new contributors to become acquainted with the process of contributing to k/k. In addition to his current efforts to meet with community members every week, he has organised several [new contributors workshops (NCW)](https://www.youtube.com/watch?v=FgsXbHBRYIc).
 -->
-除了在技术方面的贡献，Madhav 还监督许多旨在帮助新贡献者的项目。他每两周组织一次的“KEP 阅读俱乐部”会议，帮助新人了解添加新功能、摒弃旧功能以及对上游项目进行其他关键更改的过程。他还致力于开发 [Katacoda 场景](https://github.com/kubernetes-sigs/contributor-katacoda) ，以帮助新的贡献者在为 k/k 做贡献的过程更加熟练。目前除了每周与社区成员会面外，他还组织了几个 [新贡献者讲习班（NCW）](https://www.youtube.com/watch?v=FgsXbHBRYIc) 。
+除了在技术方面的贡献，Madhav 还监督许多旨在帮助新贡献者的项目。
+他每两周组织一次的 “KEP 阅读俱乐部” 会议，帮助新人了解添加新功能、
+摒弃旧功能以及对上游项目进行其他关键更改的过程。他还致力于开发
+[Katacoda 场景](https://github.com/kubernetes-sigs/contributor-katacoda)，
+以帮助新的贡献者在为 k/k 做贡献的过程更加熟练。目前除了每周与社区成员会面外，
+他还组织了几个[新贡献者讲习班（NCW）](https://www.youtube.com/watch?v=FgsXbHBRYIc)。
 
 <!--
 > _I initially did not know much about Kubernetes. I joined because the community was
@@ -127,7 +148,11 @@ In addition to his technical efforts, Madhav oversees many projects aimed at ass
 > as a result I continued to dig deeper into Kubernetes and the design of it.
 > I am a systems nut & thus Kubernetes was an absolute goldmine for me._
 -->
-> _一开始我对 Kubernetes 了解并不多。我加入社区是因为社区超级友好。但让我留下来的不仅仅是人，还有项目本身。我在社区中不会感到不知所措，这是因为我能够在感兴趣的和正在讨论的主题中获得尽可能多的背景和知识。因此，我将继续深入探讨 Kubernetes 及其设计。我是一个系统迷，kubernetes 对我来说绝对是一个金矿。_
+> 一开始我对 Kubernetes 了解并不多。我加入社区是因为社区超级友好。
+> 但让我留下来的不仅仅是人，还有项目本身。我在社区中不会感到不知所措，
+> 这是因为我能够在感兴趣的和正在讨论的主题中获得尽可能多的背景和知识。
+> 因此，我将继续深入探讨 Kubernetes 及其设计。
+> 我是一个系统迷，kubernetes 对我来说绝对是一个金矿。
 
 
 ## [Rajas Kakodkar](https://github.com/rajaskakodkar)
@@ -152,7 +177,8 @@ One of the first challenges he ran across was that he was in a different time zo
 > cutting edge tech but more importantly because I get to work with
 > awesome people and help in solving real world problems._
 -->
-> _我喜欢为 kubernetes 做出贡献，不仅因为我可以从事尖端技术工作，更重要的是，我可以和优秀的人一起工作，并帮助解决现实问题。_
+> 我喜欢为 kubernetes 做出贡献，不仅因为我可以从事尖端技术工作，
+> 更重要的是，我可以和优秀的人一起工作，并帮助解决现实问题。
 
 ## [Rajula Vineet Reddy](https://github.com/rajula96reddy)
 
@@ -180,18 +206,19 @@ Rajas 说，参与项目会议和跟踪各种项目角色对于了解社区至
 > _The first step to_ “come forward and start” _is hard. But it's all gonna be
 > smooth after that. Just take that jump._
 -->
-> _我发现社区非常有帮助，而且总是“你得到的回报和你贡献的一样多”。你参与得越多，你就越会了解、学习和贡献新东西。_
-> _“挺身而出”的第一步是艰难的。但在那之后一切都会顺利的。勇敢地参与进来吧。_
+> 我发现社区非常有帮助，而且总是“你得到的回报和你贡献的一样多”。
+> 你参与得越多，你就越会了解、学习和贡献新东西。
+>
+> “挺身而出”的第一步是艰难的。但在那之后一切都会顺利的。勇敢地参与进来吧。
+
 ---
 
 <!--
 If you have any recommendations/suggestions for who we should interview next, please let us know in #sig-contribex. We're thrilled to have other folks assisting us in reaching out to even more wonderful individuals of the community. Your suggestions would be much appreciated.
 -->
-如果您对我们下一步应该采访谁有任何意见/建议，请在 #sig-contribex 中告知我们。我们很高兴有其他人帮助我们接触社区中更优秀的人。我们将不胜感激。
-
+如果你对我们下一步应该采访谁有任何意见/建议，请在 #sig-contribex 中告知我们。我们很高兴有其他人帮助我们接触社区中更优秀的人。我们将不胜感激。
 
 <!--
 We'll see you all in the next one. Everyone, till then, have a happy contributing! 👋
 -->
 我们下期见。最后，祝大家都能快乐地为社区做贡献！👋
-
diff --git a/content/zh-cn/blog/_posts/2022-02-17-updated-dockershim-faq.md b/content/zh-cn/blog/_posts/2022-02-17-updated-dockershim-faq.md
index 85d1ce25bf8..cca8050a31e 100644
--- a/content/zh-cn/blog/_posts/2022-02-17-updated-dockershim-faq.md
+++ b/content/zh-cn/blog/_posts/2022-02-17-updated-dockershim-faq.md
@@ -175,7 +175,7 @@ in Kubernetes 1.24.
 <!--
 If you're running Kubernetes v1.24 or later, see [Can I still use Docker Engine as my container runtime?](#can-i-still-use-docker-engine-as-my-container-runtime).
 (Remember, you can switch away from the dockershim if you're using any supported Kubernetes release; from release v1.24, you
-**must** switch as Kubernetes no longer incluides the dockershim).
+**must** switch as Kubernetes no longer includes the dockershim).
 -->
 如果你运行的是 Kubernetes v1.24 或更高版本，请参阅
 [我仍然可以使用 Docker Engine 作为我的容器运行时吗？](#can-i-still-use-docker-engine-as-my-container-runtime)
diff --git a/content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md b/content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
similarity index 87%
rename from content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md
rename to content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
index 1b658bc9cf4..6b01e42be93 100644
--- a/content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-01.md
+++ b/content/zh-cn/blog/_posts/2022-03-15-meet-our-contributors-APAC-AU-NZ-region-02.md
@@ -1,14 +1,14 @@
 ---
 layout: blog
 title: "认识我们的贡献者 - 亚太地区（澳大利亚-新西兰地区）"
-date: 2022-03-16T12:00:00+0000
+date: 2022-03-16
 slug: meet-our-contributors-au-nz-ep-02
 canonicalUrl: https://www.kubernetes.dev/blog/2022/03/14/meet-our-contributors-au-nz-ep-02/
 ---
 <!--
 layout: blog
 title: "Meet Our Contributors - APAC (Aus-NZ region)"
-date: 2022-03-16T12:00:00+0000
+date: 2022-03-16
 slug: meet-our-contributors-au-nz-ep-02
 canonicalUrl: https://www.kubernetes.dev/blog/2022/03/14/meet-our-contributors-au-nz-ep-02/
 -->
@@ -17,16 +17,16 @@ canonicalUrl: https://www.kubernetes.dev/blog/2022/03/14/meet-our-contributors-a
 **Authors & Interviewers:** [Anubhav Vardhan](https://github.com/anubha-v-ardhan), [Atharva Shinde](https://github.com/Atharva-Shinde), [Avinesh Tripathi](https://github.com/AvineshTripathi), [Brad McCoy](https://github.com/bradmccoydev), [Debabrata Panigrahi](https://github.com/Debanitrkl), [Jayesh Srivastava](https://github.com/jayesh-srivastava), [Kunal Verma](https://github.com/verma-kunal), [Pranshu Srivastava](https://github.com/PranshuSrivastava), [Priyanka Saggu](github.com/Priyankasaggu11929/), [Purneswar Prasad](https://github.com/PurneswarPrasad), [Vedant Kakde](https://github.com/vedant-kakde)
 -->
 **作者和采访者：**
-[Anubhav Vardhan](https://github.com/anubha-v-ardhan),
-[Atharva Shinde](https://github.com/Atharva-Shinde),
-[Avinesh Tripathi](https://github.com/AvineshTripathi),
-[Brad McCoy](https://github.com/bradmccoydev),
-[Debabrata Panigrahi](https://github.com/Debanitrkl),
-[Jayesh Srivastava](https://github.com/jayesh-srivastava),
-[Kunal Verma](https://github.com/verma-kunal),
-[Pranshu Srivastava](https://github.com/PranshuSrivastava),
-[Priyanka Saggu](github.com/Priyankasaggu11929/),
-[Purneswar Prasad](https://github.com/PurneswarPrasad),
+[Anubhav Vardhan](https://github.com/anubha-v-ardhan)、
+[Atharva Shinde](https://github.com/Atharva-Shinde)、
+[Avinesh Tripathi](https://github.com/AvineshTripathi)、
+[Brad McCoy](https://github.com/bradmccoydev)、
+[Debabrata Panigrahi](https://github.com/Debanitrkl)、
+[Jayesh Srivastava](https://github.com/jayesh-srivastava)、
+[Kunal Verma](https://github.com/verma-kunal)、
+[Pranshu Srivastava](https://github.com/PranshuSrivastava)、
+[Priyanka Saggu](github.com/Priyankasaggu11929/)、
+[Purneswar Prasad](https://github.com/PurneswarPrasad)、
 [Vedant Kakde](https://github.com/vedant-kakde)
 
 ---
@@ -79,8 +79,8 @@ Caleb 也是 [CloudNative NZ](https://www.meetup.com/cloudnative-nz/)
 <!--
 > _There need to be more outreach in APAC and the educators and universities must pick up Kubernetes, as they are very slow and about 8+ years out of date. NZ tends to rather pay overseas than educate locals on the latest cloud tech Locally._
 -->
-> _亚太地区需要更多的外联活动，教育工作者和大学必须学习 Kubernetes，因为他们非常缓慢，
-而且已经落后了8年多。新西兰倾向于在海外付费，而不是教育当地人最新的云技术。_
+> 亚太地区需要更多的外联活动，教育工作者和大学必须学习 Kubernetes，因为他们非常缓慢，
+> 而且已经落后了8年多。新西兰倾向于在海外付费，而不是教育当地人最新的云技术。
 
 ## [Dylan Graham](https://github.com/DylanGraham)
 
@@ -107,7 +107,7 @@ He believes that consistent attendance at community/project meetings, taking on
 <!--
 > _The feeling of being a part of a large community is really special. I've met some amazing people, even some before the pandemic in real life :)_
 -->
-> _成为大社区的一份子感觉真的很特别。我遇到了一些了不起的人，甚至是在现实生活中疫情发生之前。_
+> 成为大社区的一份子感觉真的很特别。我遇到了一些了不起的人，甚至是在现实生活中疫情发生之前。
 
 ## [Hippie Hacker](https://github.com/hh)
 
@@ -137,7 +137,7 @@ He recommends that new contributors use pair programming.
 <!--
 > _The cross pollination of approaches and two pairs of eyes on the same work can often yield a much more amplified effect than a PR comment / approval alone can afford._
 -->
-> _针对一个项目，多人关注和交叉交流往往比单独的评审、批准 PR 能产生更大的效果。_
+> 针对一个项目，多人关注和交叉交流往往比单独的评审、批准 PR 能产生更大的效果。
 
 ## [Nick Young](https://github.com/youngnick)
 
@@ -154,7 +154,7 @@ His contribution path was notable in that he began working on major areas of the
 他的贡献之路是引人注目的，因为他很早就在 Kubernetes 项目的主要领域工作，这改变了他的轨迹。
 
 <!--
-He asserts the best thing a new contributor can do is to "start contributing". Naturally, if it is relevant to their employment, that is excellent; however, investing non-work time in contributing can pay off in the long run in terms of work. He believes that new contributors, particularly those who are currently Kubernetes users, should be encouraged to participate in higher-level project discussions. 
+He asserts the best thing a new contributor can do is to "start contributing". Naturally, if it is relevant to their employment, that is excellent; however, investing non-work time in contributing can pay off in the long run in terms of work. He believes that new contributors, particularly those who are currently Kubernetes users, should be encouraged to participate in higher-level project discussions.
 -->
 他断言，一个新贡献者能做的最好的事情就是“开始贡献”。当然，如果与他的工作息息相关，那好极了;
 然而，把非工作时间投入到贡献中去，从长远来看可以在工作上获得回报。
@@ -163,8 +163,8 @@ He asserts the best thing a new contributor can do is to "start contributing". N
 <!--
 > _Just being active and contributing will get you a long way. Once you've been active for a while, you'll find that you're able to answer questions, which will mean you're asked questions, and before you know it you are an expert._
 -->
-> _只要积极主动，做出贡献，你就可以走很远。一旦你活跃了一段时间，你会发现你能够解答别人的问题，
-这意味着会有人请教你或和你讨论，在你意识到这一点之前，你就已经是专家了。_
+> 只要积极主动，做出贡献，你就可以走很远。一旦你活跃了一段时间，你会发现你能够解答别人的问题，
+> 这意味着会有人请教你或和你讨论，在你意识到这一点之前，你就已经是专家了。
 
 ---
 
diff --git a/content/zh-cn/blog/_posts/2022-05-03-kubernetes-release-1.24.md b/content/zh-cn/blog/_posts/2022-05-03-kubernetes-release-1.24.md
new file mode 100644
index 00000000000..78d24894955
--- /dev/null
+++ b/content/zh-cn/blog/_posts/2022-05-03-kubernetes-release-1.24.md
@@ -0,0 +1,523 @@
+---
+layout: blog
+title: "Kubernetes 1.24: 观星者"
+date: 2022-05-03
+slug: kubernetes-1-24-release-announcement
+---
+
+<!--
+layout: blog
+title: "Kubernetes 1.24: Stargazer"
+date: 2022-05-03
+slug: kubernetes-1-24-release-announcement
+-->
+
+<!--
+**Authors**: [Kubernetes 1.24 Release Team](https://git.k8s.io/sig-release/releases/release-1.24/release-team.md)
+
+We are excited to announce the release of Kubernetes 1.24, the first release of 2022!
+
+This release consists of 46 enhancements: fourteen enhancements have graduated to stable,
+fifteen enhancements are moving to beta, and thirteen enhancements are entering alpha.
+Also, two features have been deprecated, and two features have been removed.
+-->
+**作者**: [Kubernetes 1.24 发布团队](https://git.k8s.io/sig-release/releases/release-1.24/release-team.md)
+
+我们很高兴地宣布 Kubernetes 1.24 的发布，这是 2022 年的第一个版本！
+
+这个版本包括 46 个增强功能：14 个增强功能已经升级到稳定版，15 个增强功能正在进入 Beta 版，
+13 个增强功能正在进入 Alpha 阶段。另外，有两个功能被废弃了，还有两个功能被删除了。
+
+<!--
+## Major Themes
+
+### Dockershim Removed from kubelet
+
+After its deprecation in v1.20, the dockershim component has been removed from the kubelet in Kubernetes v1.24.
+From v1.24 onwards, you will need to either use one of the other [supported runtimes](/docs/setup/production-environment/container-runtimes/) (such as containerd or CRI-O)
+or use cri-dockerd if you are relying on Docker Engine as your container runtime.
+For more information about ensuring your cluster is ready for this removal, please
+see [this guide](/blog/2022/03/31/ready-for-dockershim-removal/).
+-->
+## 主要议题
+
+### 从 kubelet 中删除 Dockershim
+
+在 v1.20 版本中被废弃后，dockershim 组件已被从 Kubernetes v1.24 版本的 kubelet 中移除。
+从 v1.24 开始，如果你依赖 Docker Engine 作为容器运行时，
+则需要使用其他[受支持的运行时](/zh-cn/docs/setup/production-environment/container-runtimes/)之一
+（如 containerd 或 CRI-O）或使用 CRI dockerd。
+有关确保集群已准备好进行此删除的更多信息，请参阅[本指南](/zh-cn/blog/2022/03/31/ready-for-dockershim-removal/)。
+
+<!--
+### Beta APIs Off by Default
+
+[New beta APIs will not be enabled in clusters by default](https://github.com/kubernetes/enhancements/issues/3136).
+Existing beta APIs and new versions of existing beta APIs will continue to be enabled by default.
+-->
+### 默认情况下关闭 Beta API
+
+[新的 beta API 默认不会在集群中启用](https://github.com/kubernetes/enhancements/issues/3136)。
+默认情况下，现有 Beta API 和及其更新版本将继续被启用。
+
+<!--
+### Signing Release Artifacts
+
+Release artifacts are [signed](https://github.com/kubernetes/enhancements/issues/3031) using [cosign](https://github.com/sigstore/cosign)
+signatures,
+and there is experimental support for [verifying image signatures](/docs/tasks/administer-cluster/verify-signed-images/).
+Signing and verification of release artifacts is part of [increasing software supply chain security for the Kubernetes release process](https://github.com/kubernetes/enhancements/issues/3027).
+-->
+### 签署发布工件
+
+发布工件使用 [cosign](https://github.com/sigstore/cosign) 签名进行[签名](https://github.com/kubernetes/enhancements/issues/3031)，
+并且有[验证图像签名](/zh-cn/docs/tasks/administer-cluster/verify-signed-images/)的实验性支持。
+发布工件的签名和验证是[提高 Kubernetes 发布过程的软件供应链安全性](https://github.com/kubernetes/enhancements/issues/3027)
+的一部分。
+
+<!--
+### OpenAPI v3
+
+Kubernetes 1.24 offers beta support for publishing its APIs in the [OpenAPI v3 format](https://github.com/kubernetes/enhancements/issues/2896).
+-->
+### OpenAPI v3
+
+Kubernetes 1.24 提供了以 [OpenAPI v3 格式](https://github.com/kubernetes/enhancements/issues/2896)发布其 API 的 Beta 支持。
+
+<!--
+### Storage Capacity and Volume Expansion Are Generally Available
+
+[Storage capacity tracking](https://github.com/kubernetes/enhancements/issues/1472)
+supports exposing currently available storage capacity via [CSIStorageCapacity objects](/docs/concepts/storage/storage-capacity/#api)
+and enhances scheduling of pods that use CSI volumes with late binding.
+
+[Volume expansion](https://github.com/kubernetes/enhancements/issues/284) adds support 
+for resizing existing persistent volumes. 
+-->
+### 存储容量和卷扩展普遍可用
+
+[存储容量跟踪](https://github.com/kubernetes/enhancements/issues/1472)支持通过
+[CSIStorageCapacity 对象](/zh-cn/docs/concepts/storage/storage-capacity/#api)公开当前可用的存储容量，
+并增强使用具有后期绑定的 CSI 卷的 Pod 的调度。
+
+[卷的扩展](https://github.com/kubernetes/enhancements/issues/284)增加了对调整现有持久性卷大小的支持。
+
+<!--
+### NonPreemptingPriority to Stable
+
+This feature adds [a new option to PriorityClasses](https://github.com/kubernetes/enhancements/issues/902),
+which can enable or disable pod preemption.
+-->
+### NonPreemptingPriority 到稳定
+
+此功能[为 PriorityClasses 添加了一个新选项](https://github.com/kubernetes/enhancements/issues/902)，可以启用或禁用 Pod 抢占。
+
+<!--
+### Storage Plugin Migration
+
+Work is underway to [migrate the internals of in-tree storage plugins](https://github.com/kubernetes/enhancements/issues/625) to call out to CSI Plugins
+while maintaining the original API.
+The [Azure Disk](https://github.com/kubernetes/enhancements/issues/1490)
+and [OpenStack Cinder](https://github.com/kubernetes/enhancements/issues/1489) plugins
+have both been migrated.
+-->
+### 存储插件迁移
+
+目前正在进行[迁移树内存储插件的内部组件](https://github.com/kubernetes/enhancements/issues/625)工作，
+以便在保持原有 API 的同时调用 CSI 插件。[Azure Disk](https://github.com/kubernetes/enhancements/issues/1490)
+和 [OpenStack Cinder](https://github.com/kubernetes/enhancements/issues/1489) 插件都已迁移。
+
+<!--
+### gRPC Probes Graduate to Beta
+
+With Kubernetes 1.24, the [gRPC probes functionality](https://github.com/kubernetes/enhancements/issues/2727)
+has entered beta and is available by default. You can now [configure startup, liveness, and readiness probes](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#configure-probes) for your gRPC app
+natively within Kubernetes without exposing an HTTP endpoint or
+using an extra executable.
+-->
+### gRPC 探针升级到 Beta
+
+在 Kubernetes 1.24 中，[gRPC 探测功能](https://github.com/kubernetes/enhancements/issues/2727)
+已进入测试版，默认可用。现在，你可以在 Kubernetes 中为你的 gRPC
+应用程序原生地[配置启动、存活和就绪性探测](/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#configure-probes)，
+而无需暴露 HTTP 端点或使用额外的可执行文件。
+
+<!--
+### Kubelet Credential Provider Graduates to Beta
+
+Originally released as Alpha in Kubernetes 1.20, the kubelet's support for
+[image credential providers](/docs/tasks/kubelet-credential-provider/kubelet-credential-provider/)
+has now graduated to Beta.
+This allows the kubelet to dynamically retrieve credentials for a container image registry
+using exec plugins rather than storing credentials on the node's filesystem.
+-->
+### Kubelet 凭证提供者毕业至 Beta
+
+kubelet 最初在 Kubernetes 1.20 中作为 Alpha 发布，现在它对[镜像凭证提供者](/zh-cn/docs/tasks/kubelet-credential-provider/kubelet-credential-provider/)
+的支持已升级到 Beta。这允许 kubelet 使用 exec 插件动态检索容器映像注册表的凭据，而不是将凭据存储在节点的文件系统上。
+
+<!--
+### Contextual Logging in Alpha
+
+Kubernetes 1.24 has introduced [contextual logging](https://github.com/kubernetes/enhancements/issues/3077)
+that enables the caller of a function to control all aspects of logging (output formatting, verbosity, additional values, and names).
+-->
+### Alpha 中的上下文日志记录
+
+Kubernetes 1.24 引入了[上下文日志](https://github.com/kubernetes/enhancements/issues/3077)
+这使函数的调用者能够控制日志记录的所有方面（输出格式、详细程度、附加值和名称）。
+
+<!--
+### Avoiding Collisions in IP allocation to Services
+
+Kubernetes 1.24 introduces a new opt-in feature that allows you to
+[soft-reserve a range for static IP address assignments](/docs/concepts/services-networking/service/#service-ip-static-sub-range)
+to Services.
+With the manual enablement of this feature, the cluster will prefer automatic assignment from
+the pool of  Service IP addresses, thereby reducing the risk of collision.
+-->
+### 避免 IP 分配给服务的冲突
+
+Kubernetes 1.24 引入了一项新的选择加入功能，
+允许你[为服务的静态 IP 地址分配软保留范围](/zh-cn/docs/concepts/services-networking/service/#service-ip-static-sub-range)。
+通过手动启用此功能，集群将更喜欢从服务 IP 地址池中自动分配，从而降低冲突风险。
+
+<!--
+A Service `ClusterIP` can be assigned:
+
+* dynamically, which means the cluster will automatically pick a free IP within the configured Service IP range.
+* statically, which means the user will set one IP within the configured Service IP range.
+
+Service `ClusterIP` are unique; hence, trying to create a Service with a `ClusterIP` that has already been allocated will return an error.
+-->
+服务的 `ClusterIP` 可以按照以下两种方式分配：
+
+* 动态，这意味着集群将自动在配置的服务 IP 范围内选择一个空闲 IP。
+* 静态，这意味着用户将在配置的服务 IP 范围内设置一个 IP。
+
+服务 `ClusterIP` 是唯一的；因此，尝试使用已分配的 `ClusterIP` 创建服务将返回错误。
+
+<!--
+### Dynamic Kubelet Configuration is Removed from the Kubelet
+
+After being deprecated in Kubernetes 1.22, Dynamic Kubelet Configuration has been removed from the kubelet. The feature will be removed from the API server in Kubernetes 1.26.
+-->
+### 从 Kubelet 中移除动态 Kubelet 配置
+
+在 Kubernetes 1.22 中被弃用后，动态 Kubelet 配置已从 kubelet 中移除。
+该功能将从 Kubernetes 1.26 的 API 服务器中移除。
+
+<!--
+## CNI Version-Related Breaking Change
+
+Before you upgrade to Kubernetes 1.24, please verify that you are using/upgrading to a container
+runtime that has been tested to work correctly with this release.
+
+For example, the following container runtimes are being prepared, or have already been prepared, for Kubernetes:
+
+* containerd v1.6.4 and later, v1.5.11 and later
+* CRI-O 1.24 and later
+-->
+## CNI 版本相关的重大更改
+
+在升级到 Kubernetes 1.24 之前，请确认你正在使用/升级到经过测试可以在此版本中正常工作的容器运行时。
+
+例如，以下容器运行时正在为 Kubernetes 准备，或者已经准备好了。
+
+* containerd v1.6.4 及更高版本，v1.5.11 及更高版本
+* CRI-O 1.24 及更高版本
+
+<!--
+Service issues exist for pod CNI network setup and tear down in containerd
+v1.6.0–v1.6.3 when the CNI plugins have not been upgraded and/or the CNI config
+version is not declared in the CNI config files. The containerd team reports, "these issues are resolved in containerd v1.6.4."
+
+With containerd v1.6.0–v1.6.3, if you do not upgrade the CNI plugins and/or
+declare the CNI config version, you might encounter the following "Incompatible
+CNI versions" or "Failed to destroy network for sandbox" error conditions.
+-->
+当 CNI 插件尚未升级和/或 CNI 配置版本未在 CNI 配置文件中声明时，在 containerd v1.6.0–v1.6.3
+中存在 Pod CNI 网络设置和拆除的服务问题。containerd 团队报告说，“这些问题在 containerd v1.6.4 中得到解决。”
+
+在 containerd v1.6.0-v1.6.3 版本中，如果你不升级 CNI 插件和/或声明 CNI 配置版本，
+你可能会遇到以下 “Incompatible CNI versions” 或 “Failed to destroy network for sandbox” 的错误情况。
+
+<!--
+## CSI Snapshot
+
+_This information was added after initial publication._
+
+[VolumeSnapshot v1beta1 CRD has been removed](https://github.com/kubernetes/enhancements/issues/177). 
+Volume snapshot and restore functionality for Kubernetes and the Container Storage Interface (CSI), which provides standardized APIs design (CRDs) and adds PV snapshot/restore support for CSI volume drivers, moved to GA in v1.20. VolumeSnapshot v1beta1 was deprecated in v1.20 and is now unsupported. Refer to [KEP-177: CSI Snapshot](https://git.k8s.io/enhancements/keps/sig-storage/177-volume-snapshot#kep-177-csi-snapshot) and [Volume Snapshot GA blog](/blog/2020/12/10/kubernetes-1.20-volume-snapshot-moves-to-ga/) for more information.
+-->
+## CSI 快照
+
+**此信息是在首次发布后添加的。**
+
+[VolumeSnapshot v1beta1 CRD 已被移除](https://github.com/kubernetes/enhancements/issues/177)。
+Kubernetes 和容器存储接口 (CSI) 的卷快照和恢复功能，提供标准化的 API 设计 (CRD) 并添加了对 CSI 卷驱动程序的
+PV 快照/恢复支持，在 v1.20 中升级至 GA。VolumeSnapshot v1beta1 在 v1.20 中被弃用，现在不受支持。
+有关详细信息，请参阅 [KEP-177: CSI 快照](https://git.k8s.io/enhancements/keps/sig-storage/177-volume-snapshot#kep-177-csi-snapshot)
+和[卷快照 GA 博客](/blog/2020/12/10/kubernetes-1.20-volume-snapshot-moves-to-ga/)。
+
+<!--
+## Other Updates
+
+### Graduations to Stable
+
+This release saw fourteen enhancements promoted to stable:
+-->
+## 其他更新
+
+### 毕业到稳定版
+
+在此版本中，有 14 项增强功能升级为稳定版：
+
+<!--
+* [Container Storage Interface (CSI) Volume Expansion](https://github.com/kubernetes/enhancements/issues/284)
+* [Pod Overhead](https://github.com/kubernetes/enhancements/issues/688): Account for resources tied to the pod sandbox but not specific containers.
+* [Add non-preempting option to PriorityClasses](https://github.com/kubernetes/enhancements/issues/902)
+* [Storage Capacity Tracking](https://github.com/kubernetes/enhancements/issues/1472)
+* [OpenStack Cinder In-Tree to CSI Driver Migration](https://github.com/kubernetes/enhancements/issues/1489)
+* [Azure Disk In-Tree to CSI Driver Migration](https://github.com/kubernetes/enhancements/issues/1490)
+* [Efficient Watch Resumption](https://github.com/kubernetes/enhancements/issues/1904): Watch can be efficiently resumed after kube-apiserver reboot.
+* [Service Type=LoadBalancer Class Field](https://github.com/kubernetes/enhancements/issues/1959): Introduce a new Service annotation `service.kubernetes.io/load-balancer-class` that allows multiple implementations of `type: LoadBalancer` Services in the same cluster.
+* [Indexed Job](https://github.com/kubernetes/enhancements/issues/2214): Add a completion index to Pods of Jobs with a fixed completion count.
+* [Add Suspend Field to Jobs API](https://github.com/kubernetes/enhancements/issues/2232): Add a suspend field to the Jobs API to allow orchestrators to create jobs with more control over when pods are created.
+* [Pod Affinity NamespaceSelector](https://github.com/kubernetes/enhancements/issues/2249): Add a `namespaceSelector` field for to pod affinity/anti-affinity spec.
+* [Leader Migration for Controller Managers](https://github.com/kubernetes/enhancements/issues/2436): kube-controller-manager and cloud-controller-manager can apply new controller-to-controller-manager assignment in HA control plane without downtime.
+* [CSR Duration](https://github.com/kubernetes/enhancements/issues/2784): Extend the CertificateSigningRequest API with a mechanism to allow clients to request a specific duration for the issued certificate.
+-->
+* [容器存储接口（CSI）卷扩展](https://github.com/kubernetes/enhancements/issues/284)
+* [Pod 开销](https://github.com/kubernetes/enhancements/issues/688): 核算与 Pod 沙箱绑定的资源，但不包括特定的容器。
+* [向 PriorityClass 添加非抢占选项](https://github.com/kubernetes/enhancements/issues/902)
+* [存储容量跟踪](https://github.com/kubernetes/enhancements/issues/1472)
+* [OpenStack Cinder In-Tree 到 CSI 驱动程序迁移](https://github.com/kubernetes/enhancements/issues/1489)
+* [Azure 磁盘树到 CSI 驱动程序迁移](https://github.com/kubernetes/enhancements/issues/1490)
+* [高效的监视恢复](https://github.com/kubernetes/enhancements/issues/1904)：
+  kube-apiserver 重新启动后，可以高效地恢复监视。
+* [Service Type=LoadBalancer 类字段](https://github.com/kubernetes/enhancements/issues/1959)：
+  引入新的服务注解 `service.kubernetes.io/load-balancer-class`，
+  允许在同一个集群中提供 `type: LoadBalancer` 服务的多个实现。
+* [带索引的 Job](https://github.com/kubernetes/enhancements/issues/2214)：为带有固定完成计数的 Job 的 Pod 添加完成索引。
+* [在 Job API 中增加 suspend 字段](https://github.com/kubernetes/enhancements/issues/2232)：
+  在 Job API 中增加一个 suspend 字段，允许协调者在创建作业时对 Pod 的创建进行更多控制。
+* [Pod 亲和性 NamespaceSelector](https://github.com/kubernetes/enhancements/issues/2249)：
+  为 Pod 亲和性/反亲和性规约添加一个 `namespaceSelector` 字段。
+* [控制器管理器的领导者迁移](https://github.com/kubernetes/enhancements/issues/2436)：
+  kube-controller-manager 和 cloud-controller-manager 可以在 HA 控制平面中重新分配新的控制器到控制器管理器，而无需停机。
+* [CSR 期限](https://github.com/kubernetes/enhancements/issues/2784)：
+  用一种机制来扩展证书签名请求 API，允许客户为签发的证书请求一个特定的期限。
+
+<!--
+### Major Changes
+
+This release saw two major changes:
+
+* [Dockershim Removal](https://github.com/kubernetes/enhancements/issues/2221)
+* [Beta APIs are off by Default](https://github.com/kubernetes/enhancements/issues/3136)
+-->
+### 主要变更
+
+此版本有两个主要变更：
+
+* [移除 Dockershim](https://github.com/kubernetes/enhancements/issues/2221)
+* [默认关闭 Beta API](https://github.com/kubernetes/enhancements/issues/3136)
+
+<!--
+### Release Notes
+
+Check out the full details of the Kubernetes 1.24 release in our [release notes](https://git.k8s.io/kubernetes/CHANGELOG/CHANGELOG-1.24.md).
+-->
+### 发行说明
+
+在我们的[发行说明](https://git.k8s.io/kubernetes/CHANGELOG/CHANGELOG-1.24.md) 中查看 Kubernetes 1.24 版本的完整详细信息。
+
+<!--
+### Availability
+
+Kubernetes 1.24 is available for download on [GitHub](https://github.com/kubernetes/kubernetes/releases/tag/v1.24.0).
+To get started with Kubernetes, check out these [interactive tutorials](/docs/tutorials/) or run local
+Kubernetes clusters using containers as “nodes”, with [kind](https://kind.sigs.k8s.io/).
+You can also easily install 1.24 using [kubeadm](/docs/setup/independent/create-cluster-kubeadm/).
+-->
+### 可用性
+
+Kubernetes 1.24 可在 [GitHub](https://github.com/kubernetes/kubernetes/releases/tag/v1.24.0) 上下载。
+要开始使用 Kubernetes，请查看这些[交互式教程](/zh-cn/docs/tutorials/)或在本地运行。
+使用 [kind](https://kind.sigs.k8s.io/)，可以将容器作为 Kubernetes 集群的 “节点”。
+你还可以使用 [kubeadm](/zh-cn/docs/setup/independent/create-cluster-kubeadm/) 轻松安装 1.24。
+
+<!--
+### Release Team
+
+This release would not have been possible without the combined efforts of committed individuals
+comprising the Kubernetes 1.24 release team. This team came together to deliver all of the components
+that go into each Kubernetes release, including code, documentation, release notes, and more.
+
+Special thanks to James Laverack, our release lead, for guiding us through a successful release cycle,
+and to all of the release team members for the time and effort they put in to deliver the v1.24
+release for the Kubernetes community.
+-->
+### 发布团队
+
+如果没有 Kubernetes 1.24 发布团队每个人做出的共同努力，这个版本是不可能实现的。
+该团队齐心协力交付每个 Kubernetes 版本中的所有组件，包括代码、文档、发行说明等。
+
+特别感谢我们的发布负责人 James Laverack 指导我们完成了一个成功的发布周期，
+并感谢所有发布团队成员投入时间和精力为 Kubernetes 社区提供 v1.24 版本。
+
+<!--
+### Release Theme and Logo
+
+**Kubernetes 1.24: Stargazer**
+
+{{< figure src="/images/blog/2022-05-03-kubernetes-release-1.24/kubernetes-1.24.png" alt="" class="release-logo" >}}
+
+The theme for Kubernetes 1.24 is _Stargazer_.
+-->
+### 发布主题和徽标
+
+**Kubernetes 1.24: 观星者**
+
+{{< figure src="/images/blog/2022-05-03-kubernetes-release-1.24/kubernetes-1.24.png" alt="" class="release-logo" >}}
+
+Kubernetes 1.24 的主题是**观星者（Stargazer）**。
+
+<!--
+Generations of people have looked to the stars in awe and wonder, from ancient astronomers to the
+scientists who built the James Webb Space Telescope. The stars have inspired us, set our imagination
+alight, and guided us through long nights on difficult seas.
+
+With this release we gaze upwards, to what is possible when our community comes together. Kubernetes
+is the work of hundreds of contributors across the globe and thousands of end-users supporting
+applications that serve millions. Every one is a star in our sky, helping us chart our course.
+-->
+古代天文学家到建造 James Webb 太空望远镜的科学家，几代人都怀着敬畏和惊奇的心情仰望星空。
+是这些星辰启发了我们，点燃了我们的想象力，引导我们在艰难的海上度过了漫长的夜晚。
+
+通过此版本，我们向上凝视，当我们的社区聚集在一起时可能发生的事情。
+Kubernetes 是全球数百名贡献者和数千名最终用户支持的成果，
+是一款为数百万人服务的应用程序。每个人都是我们天空中的一颗星星，帮助我们规划路线。
+<!--
+The release logo is made by [Britnee Laverack](https://www.instagram.com/artsyfie/), and depicts a telescope set upon starry skies and the
+[Pleiades](https://en.wikipedia.org/wiki/Pleiades), often known in mythology as the “Seven Sisters”. The number seven is especially auspicious
+for the Kubernetes project, and is a reference back to our original “Project Seven” name.
+
+This release of Kubernetes is named for those that would look towards the night sky and wonder — for
+all the stargazers out there. ✨
+-->
+发布标志由 [Britnee Laverack](https://www.instagram.com/artsyfie/) 制作，
+描绘了一架位于星空和[昴星团](https://en.wikipedia.org/wiki/Pleiades)的望远镜，在神话中通常被称为“七姐妹”。
+数字 7 对于 Kubernetes 项目特别吉祥，是对我们最初的“项目七”名称的引用。
+
+这个版本的 Kubernetes 为那些仰望夜空的人命名——为所有的观星者命名。 ✨
+
+<!--
+### User Highlights
+
+* Check out how leading retail e-commerce company [La Redoute used Kubernetes, alongside other CNCF projects, to transform and streamline its software delivery lifecycle](https://www.cncf.io/case-studies/la-redoute/) - from development to operations.
+* Trying to ensure no change to an API call would cause any breaks, [Salt Security built its microservices entirely on Kubernetes, and it communicates via gRPC while Linkerd ensures messages are encrypted](https://www.cncf.io/case-studies/salt-security/).
+* In their effort to migrate from private to public cloud, [Allainz Direct engineers redesigned its CI/CD pipeline in just three months while managing to condense 200 workflows down to 10-15](https://www.cncf.io/case-studies/allianz/).
+* Check out how [Bink, a UK based fintech company, updated its in-house Kubernetes distribution with Linkerd to build a cloud-agnostic platform that scales as needed whilst allowing them to keep a close eye on performance and stability](https://www.cncf.io/case-studies/bink/).
+* Using Kubernetes, the Dutch organization [Stichting Open Nederland](http://www.stichtingopennederland.nl/) created a testing portal in just one-and-a-half months to help safely reopen events in the Netherlands. The [Testing for Entry (Testen voor Toegang)](https://www.testenvoortoegang.org/) platform [leveraged the performance and scalability of Kubernetes to help individuals book over 400,000 COVID-19 testing appointments per day. ](https://www.cncf.io/case-studies/true/)
+* Working alongside SparkFabrik and utilizing Backstage, [Santagostino created the developer platform Samaritan to centralize services and documentation, manage the entire lifecycle of services, and simplify the work of Santagostino developers](https://www.cncf.io/case-studies/santagostino/).
+-->
+### 用户亮点
+
+* 了解领先的零售电子商务公司
+  [La Redoute 如何使用 Kubernetes 以及其他 CNCF 项目来转变和简化](https://www.cncf.io/case-studies/la-redoute/)
+  其从开发到运营的软件交付生命周期。
+* 为了确保对 API 调用的更改不会导致任何中断，[Salt Security 完全在 Kubernetes 上构建了它的微服务，
+  它通过 gRPC 进行通信，而 Linkerd 确保消息是加密的](https://www.cncf.io/case-studies/salt-security/)。
+* 为了从私有云迁移到公共云，[Alllainz Direct 工程师在短短三个月内重新设计了其 CI/CD 管道，
+  同时设法将 200 个工作流压缩到 10-15 个](https://www.cncf.io/case-studies/allianz/)。
+* 看看[英国金融科技公司 Bink 是如何用 Linkerd 更新其内部的 Kubernetes 分布，以建立一个云端的平台，
+  根据需要进行扩展，同时允许他们密切关注性能和稳定性](https://www.cncf.io/case-studies/bink/)。
+* 利用Kubernetes，荷兰组织 [Stichting Open Nederland](http://www.stichtingopennederland.nl/)
+  在短短一个半月内创建了一个测试门户网站，以帮助安全地重新开放荷兰的活动。
+  [入门测试 (Testen voor Toegang)](https://www.testenvoortoegang.org/)
+  平台[利用 Kubernetes 的性能和可扩展性来帮助个人每天预订超过 400,000 个 COVID-19 测试预约](https://www.cncf.io/case-studies/true/)。
+* 与 SparkFabrik 合作并利用 Backstage，[Santagostino 创建了开发人员平台 Samaritan 来集中服务和文档，
+  管理服务的整个生命周期，并简化 Santagostino 开发人员的工作](https://www.cncf.io/case-studies/santagostino/)。
+
+<!--
+### Ecosystem Updates
+
+* KubeCon + CloudNativeCon Europe 2022 will take place in Valencia, Spain, from 16 – 20 May 2022! You can find more information about the conference and registration on the [event site](https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/).
+* In the [2021 Cloud Native Survey](https://www.cncf.io/announcements/2022/02/10/cncf-sees-record-kubernetes-and-container-adoption-in-2021-cloud-native-survey/), the CNCF saw record Kubernetes and container adoption. Take a look at the [results of the survey](https://www.cncf.io/reports/cncf-annual-survey-2021/).
+* The [Linux Foundation](https://www.linuxfoundation.org/) and [The Cloud Native Computing Foundation](https://www.cncf.io/) (CNCF) announced the availability of a new [Cloud Native Developer Bootcamp](https://training.linuxfoundation.org/training/cloudnativedev-bootcamp/?utm_source=lftraining&utm_medium=pr&utm_campaign=clouddevbc0322) to provide participants with the knowledge and skills to design, build, and deploy cloud native applications. Check out the [announcement](https://www.cncf.io/announcements/2022/03/15/new-cloud-native-developer-bootcamp-provides-a-clear-path-to-cloud-native-careers/) to learn more.
+-->
+### 生态系统更新
+
+* KubeCon + CloudNativeCon Europe 2022 于 2022 年 5 月 16 日至 20 日在西班牙巴伦西亚举行！
+  你可以在[活动网站](https://events.linuxfoundation.org/kubecon-cloudnativecon-europe/)上找到有关会议和注册的更多信息。
+* 在 [2021 年云原生调查](https://www.cncf.io/announcements/2022/02/10/cncf-sees-record-kubernetes-and-container-adoption-in-2021-cloud-native-survey/)
+  中，CNCF 看到了创纪录的 Kubernetes 和容器采用。参阅[调查结果](https://www.cncf.io/reports/cncf-annual-survey-2021/)。
+* [Linux 基金会](https://www.linuxfoundation.org/)和[云原生计算基金会](https://www.cncf.io/) (CNCF)
+  宣布推出新的 [云原生开发者训练营](https://training.linuxfoundation.org/training/cloudnativedev-bootcamp/?utm_source=lftraining&utm_medium=pr&utm_campaign=clouddevbc0322)
+  为参与者提供设计、构建和部署云原生应用程序的知识和技能。查看[公告](https://www.cncf.io/announcements/2022/03/15/new-cloud-native-developer-bootcamp-provides-a-clear-path-to-cloud-native-careers/)以了解更多信息。
+
+<!--
+### Project Velocity
+
+The [CNCF K8s DevStats](https://k8s.devstats.cncf.io/d/12/dashboards?orgId=1&refresh=15m) project
+aggregates a number of interesting data points related to the velocity of Kubernetes and various
+sub-projects. This includes everything from individual contributions to the number of companies that
+are contributing, and is an illustration of the depth and breadth of effort that goes into evolving this ecosystem.
+
+In the v1.24 release cycle, which [ran for 17 weeks](https://github.com/kubernetes/sig-release/tree/master/releases/release-1.24) (January 10 to May 3), we saw contributions from [1029 companies](https://k8s.devstats.cncf.io/d/9/companies-table?orgId=1&var-period_name=v1.23.0%20-%20v1.24.0&var-metric=contributions) and [1179 individuals](https://k8s.devstats.cncf.io/d/66/developer-activity-counts-by-companies?orgId=1&var-period_name=v1.23.0%20-%20v1.24.0&var-metric=contributions&var-repogroup_name=Kubernetes&var-country_name=All&var-companies=All&var-repo_name=kubernetes%2Fkubernetes).
+-->
+### 项目速度
+
+The [CNCF K8s DevStats](https://k8s.devstats.cncf.io/d/12/dashboards?orgId=1&refresh=15m) 项目
+汇总了许多与 Kubernetes 和各种子项目的速度相关的有趣数据点。这包括从个人贡献到做出贡献的公司数量的所有内容，
+并且说明了为发展这个生态系统而付出的努力的深度和广度。
+
+在[运行 17 周](https://github.com/kubernetes/sig-release/tree/master/releases/release-1.24)
+（ 1 月 10 日至 5 月 3 日）的 v1.24 发布周期中，我们看到 [1029 家公司](https://k8s.devstats.cncf.io/d/9/companies-table?orgId=1&var-period_name=v1.23.0%20-%20v1.24.0&var-metric=contributions)
+和 [1179 人](https://k8s.devstats.cncf.io/d/66/developer-activity-counts-by-companies?orgId=1&var-period_name=v1.23.0%20-%20v1.24.0&var-metric=contributions&var-repogroup_name=Kubernetes&var-country_name=All&var-companies=All&var-repo_name=kubernetes%2Fkubernetes) 的贡献。
+
+<!--
+## Upcoming Release Webinar
+
+Join members of the Kubernetes 1.24 release team on Tue May 24, 2022 9:45am – 11am PT to learn about
+the major features of this release, as well as deprecations and removals to help plan for upgrades.
+For more information and registration, visit the [event page](https://community.cncf.io/e/mck3kd/)
+on the CNCF Online Programs site.
+-->
+## 即将发布的网络研讨会
+
+在太平洋时间 2022 年 5 月 24 日星期二上午 9:45 至上午 11 点加入 Kubernetes 1.24 发布团队的成员，
+了解此版本的主要功能以及弃用和删除，以帮助规划升级。有关更多信息和注册，
+请访问 CNCF 在线计划网站上的[活动页面](https://community.cncf.io/e/mck3kd/)。
+
+<!--
+## Get Involved
+
+The simplest way to get involved with Kubernetes is by joining one of the many [Special Interest Groups](https://git.k8s.io/community/sig-list.md) (SIGs) that align with your interests. 
+Have something you’d like to broadcast to the Kubernetes community? Share your voice at our weekly [community meeting](https://git.k8s.io/community/communication), and through the channels below:
+
+* Find out more about contributing to Kubernetes at the [Kubernetes Contributors](https://www.kubernetes.dev/) website
+* Follow us on Twitter [@Kubernetesio](https://twitter.com/kubernetesio) for the latest updates
+* Join the community discussion on [Discuss](https://discuss.kubernetes.io/)
+* Join the community on [Slack](http://slack.k8s.io/)
+* Post questions (or answer questions) on [Server Fault](https://serverfault.com/questions/tagged/kubernetes).
+* Share your Kubernetes [story](https://docs.google.com/a/linuxfoundation.org/forms/d/e/1FAIpQLScuI7Ye3VQHQTwBASrgkjQDSS5TP0g3AXfFhwSM9YpHgxRKFA/viewform)
+* Read more about what’s happening with Kubernetes on the [blog](https://kubernetes.io/blog/)
+* Learn more about the [Kubernetes Release Team](https://git.k8s.io/sig-release/release-team)
+-->
+## 参与进来
+
+参与 Kubernetes 的最简单方法是加入符合你兴趣的众多[特别兴趣组](https://git.k8s.io/community/sig-list.md)（SIG）之一。
+你有什么想向 Kubernetes 社区广播的内容吗？
+在我们的每周的[社区会议](https://git.k8s.io/community/communication)上分享你的声音，并通过以下渠道：
+
+* 在 [Kubernetes Contributors](https://www.kubernetes.dev/) 网站上了解有关为 Kubernetes 做出贡献的更多信息
+* 在 Twitter 上关注我们 [@Kubernetesio](https://twitter.com/kubernetesio) 以获取最新更新
+* 加入社区讨论 [Discuss](https://discuss.kubernetes.io/)
+* 加入 [Slack](http://slack.k8s.io/) 社区
+* 在 [Server Fault](https://serverfault.com/questions/tagged/kubernetes) 上发布问题（或回答问题）。
+* 分享你的 Kubernetes [故事](https://docs.google.com/a/linuxfoundation.org/forms/d/e/1FAIpQLScuI7Ye3VQHQTwBASrgkjQDSS5TP0g3AXfFhwSM9YpHgxRKFA/viewform)
+* 在[博客](/zh-cn/blog/)上阅读有关 Kubernetes 正在发生的事情的更多信息
+* 详细了解 [Kubernetes 发布团队](https://git.k8s.io/sig-release/release-team)
diff --git a/content/zh-cn/blog/_posts/2022-05-23-service-ip-dynamic-and-static-allocation.md b/content/zh-cn/blog/_posts/2022-05-23-service-ip-dynamic-and-static-allocation.md
index b3b8b9cb4bb..851e0d04b19 100644
--- a/content/zh-cn/blog/_posts/2022-05-23-service-ip-dynamic-and-static-allocation.md
+++ b/content/zh-cn/blog/_posts/2022-05-23-service-ip-dynamic-and-static-allocation.md
@@ -156,13 +156,13 @@ Examples:
 
 <!--
 Range Size: 2<sup>8</sup> - 2 = 254  
-Band Offset: `min(max(16,256/16),256)` = `min(16,256)` = 16  
+Band Offset: `min(max(16, 256/16), 256)` = `min(16, 256)` = 16  
 Static band start: 10.96.0.1  
 Static band end: 10.96.0.16  
 Range end: 10.96.0.254   
 -->
 地址段大小：2<sup>8</sup> - 2 = 254  
-地址段偏移：`min(max(16,256/16),256)` = `min(16,256)` = 16  
+地址段偏移：`min(max(16, 256/16), 256)` = `min(16, 256)` = 16  
 静态地址段起点：10.96.0.1  
 静态地址段终点：10.96.0.16  
 地址范围终点：10.96.0.254
@@ -189,13 +189,13 @@ title 10.96.0.0/24
 
 <!--
 Range Size: 2<sup>12</sup> - 2 = 4094  
-Band Offset: `min(max(16,4094/16),256)` = `min(256,256)` = 256  
+Band Offset: `min(max(16, 4096/16), 256)` = `min(256, 256)` = 256  
 Static band start: 10.96.0.1  
 Static band end: 10.96.1.0  
 Range end: 10.96.15.254  
 -->
 地址段大小：2<sup>12</sup> - 2 = 4094  
-地址段偏移：`min(max(16,4094/16),256)` = `min(256,256)` = 256  
+地址段偏移：`min(max(16, 4096/16), 256)` = `min(256, 256)` = 256  
 静态地址段起点：10.96.0.1  
 静态地址段终点：10.96.1.0  
 地址范围终点：10.96.15.254
@@ -222,13 +222,13 @@ title 10.96.0.0/20
 
 <!--
 Range Size: 2<sup>16</sup> - 2 = 65534  
-Band Offset: `min(max(16,65536/16),256)` = `min(4096,256)` = 256  
+Band Offset: `min(max(16, 65536/16), 256)` = `min(4096, 256)` = 256  
 Static band start: 10.96.0.1  
 Static band ends: 10.96.1.0  
 Range end: 10.96.255.254  
 -->
 地址段大小：2<sup>16</sup> - 2 = 65534  
-地址段偏移：`min(max(16,65536/16),256)` = `min(4096,256)` = 256  
+地址段偏移：`min(max(16, 65536/16), 256)` = `min(4096, 256)` = 256  
 静态地址段起点：10.96.0.1  
 静态地址段终点：10.96.1.0  
 地址范围终点：10.96.255.254
diff --git a/content/zh-cn/blog/_posts/2022-06-01-annual-report-2021.md b/content/zh-cn/blog/_posts/2022-06-01-annual-report-2021.md
index 93c119560b7..412fabe2feb 100644
--- a/content/zh-cn/blog/_posts/2022-06-01-annual-report-2021.md
+++ b/content/zh-cn/blog/_posts/2022-06-01-annual-report-2021.md
@@ -14,7 +14,7 @@ slug: annual-report-summary-2021
 <!--
 **Author:** Paris Pittman (Steering Committee)
 -->
-**作者：**Paris Pittman（指导委员会）
+**作者：** Paris Pittman（指导委员会）
 
 <!--
 Last year, we published our first [Annual Report Summary](/blog/2021/06/28/announcing-kubernetes-community-group-annual-reports/) for 2020 and it's already time for our second edition!
diff --git a/content/zh-cn/blog/_posts/2022-07-13-gateway-api-in-beta.md b/content/zh-cn/blog/_posts/2022-07-13-gateway-api-in-beta.md
new file mode 100644
index 00000000000..570b55f3015
--- /dev/null
+++ b/content/zh-cn/blog/_posts/2022-07-13-gateway-api-in-beta.md
@@ -0,0 +1,334 @@
+---
+layout: blog
+title: Kubernetes Gateway API 进入 Beta 阶段
+date: 2022-07-13
+slug: gateway-api-graduates-to-beta
+---
+<!-- 
+layout: blog
+title: Kubernetes Gateway API Graduates to Beta
+date: 2022-07-13
+slug: gateway-api-graduates-to-beta
+canonicalUrl: https://gateway-api.sigs.k8s.io/blog/2022/graduating-to-beta/ 
+-->
+
+<!-- 
+**Authors:** Shane Utt (Kong), Rob Scott (Google), Nick Young (VMware), Jeff Apple (HashiCorp) 
+-->
+**作者：** Shane Utt (Kong)、Rob Scott (Google)、Nick Young (VMware)、Jeff Apple (HashiCorp)
+
+<!-- 
+We are excited to announce the v0.5.0 release of Gateway API. For the first
+time, several of our most important Gateway API resources are graduating to
+beta. Additionally, we are starting a new initiative to explore how Gateway API
+can be used for mesh and introducing new experimental concepts such as URL
+rewrites. We'll cover all of this and more below. 
+-->
+我们很高兴地宣布 Gateway API 的 v0.5.0 版本发布。
+我们最重要的几个 Gateway API 资源首次进入 Beta 阶段。
+此外，我们正在启动一项新的倡议，探索如何将 Gateway API 用于网格，还引入了 URL 重写等新的实验性概念。
+下文涵盖了这部分内容和更多说明。
+
+<!-- 
+## What is Gateway API? 
+-->
+## 什么是 Gateway API？
+
+<!-- 
+Gateway API is a collection of resources centered around [Gateway][gw] resources
+(which represent the underlying network gateways / proxy servers) to enable
+robust Kubernetes service networking through expressive, extensible and
+role-oriented interfaces that are implemented by many vendors and have broad
+industry support. 
+-->
+Gateway API 是以 [Gateway][gw] 资源（代表底层网络网关/代理服务器）为中心的资源集合，
+Kubernetes 服务网络的健壮性得益于众多供应商实现、得到广泛行业支持且极具表达力、可扩展和面向角色的各个接口。
+
+<!-- 
+Originally conceived as a successor to the well known [Ingress][ing] API, the
+benefits of Gateway API include (but are not limited to) explicit support for
+many commonly used networking protocols (e.g. `HTTP`, `TLS`, `TCP`, `UDP`) as
+well as tightly integrated support for Transport Layer Security (TLS). The
+`Gateway` resource in particular enables implementations to manage the lifecycle
+of network gateways as a Kubernetes API. 
+-->
+Gateway API 最初被认为是知名 [Ingress][ing] API 的继任者，
+Gateway API 的好处包括（但不限于）对许多常用网络协议的显式支持
+（例如 `HTTP`、`TLS`、`TCP `、`UDP`) 以及对传输层安全 (TLS) 的紧密集成支持。
+特别是 `Gateway` 资源能够实现作为 Kubernetes API 来管理网络网关的生命周期。
+
+<!-- 
+If you're an end-user interested in some of the benefits of Gateway API we
+invite you to jump in and find an implementation that suits you. At the time of
+this release there are over a dozen [implementations][impl] for popular API
+gateways and service meshes and guides are available to start exploring quickly. 
+-->
+如果你是对 Gateway API 的某些优势感兴趣的终端用户，我们邀请你加入并找到适合你的实现方式。
+值此版本发布之时，对于流行的 API 网关和服务网格有十多种[实现][impl]，还提供了操作指南便于快速开始探索。
+
+<!-- 
+[gw]:https://gateway-api.sigs.k8s.io/api-types/gateway/
+[ing]:https://kubernetes.io/docs/reference/kubernetes-api/service-resources/ingress-v1/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/ 
+-->
+[gw]:https://gateway-api.sigs.k8s.io/api-types/gateway/
+[ing]:/zh-cn/docs/reference/kubernetes-api/service-resources/ingress-v1/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+
+<!-- 
+### Getting started 
+-->
+### 入门
+
+<!-- 
+Gateway API is an official Kubernetes API like
+[Ingress](https://kubernetes.io/docs/concepts/services-networking/ingress/).
+Gateway API represents a superset of Ingress functionality, enabling more
+advanced concepts. Similar to Ingress, there is no default implementation of
+Gateway API built into Kubernetes. Instead, there are many different
+[implementations][impl] available, providing significant choice in terms of underlying
+technologies while providing a consistent and portable experience. 
+-->
+Gateway API 是一个类似 [Ingress](/zh-cn/docs/concepts/services-networking/ingress/)
+的正式 Kubernetes API。Gateway API 代表了 Ingress 功能的一个父集，使得一些更高级的概念成为可能。
+与 Ingress 类似，Kubernetes 中没有内置 Gateway API 的默认实现。
+相反，有许多不同的[实现][impl]可用，在提供一致且可移植体验的同时，还在底层技术方面提供了重要的选择。
+
+<!-- 
+Take a look at the [API concepts documentation][concepts] and check out some of
+the [Guides][guides] to start familiarizing yourself with the APIs and how they
+work. When you're ready for a practical application open the [implementations
+page][impl] and select an implementation that belongs to an existing technology
+you may already be familiar with or the one your cluster provider uses as a
+default (if applicable). Gateway API is a [Custom Resource Definition
+(CRD)][crd] based API so you'll need to [install the CRDs][install-crds] onto a
+cluster to use the API. 
+-->
+查看 [API 概念文档][concepts] 并查阅一些[指南][guides]以开始熟悉这些 API 及其工作方式。
+当你准备好一个实用的应用程序时，
+请打开[实现页面][impl]并选择属于你可能已经熟悉的现有技术或集群提供商默认使用的技术（如果适用）的实现。
+Gateway API 是一个基于 [CRD][crd] 的 API，因此你将需要[安装 CRD][install-crds] 到集群上才能使用该 API。
+
+<!-- 
+If you're specifically interested in helping to contribute to Gateway API, we
+would love to have you! Please feel free to [open a new issue][issue] on the
+repository, or join in the [discussions][disc]. Also check out the [community
+page][community] which includes links to the Slack channel and community meetings. 
+-->
+如果你对 Gateway API 做贡献特别有兴趣，我们非常欢迎你的加入！
+你可以随时在仓库上[提一个新的 issue][issue]，或[加入讨论][disc]。
+另请查阅[社区页面][community]以了解 Slack 频道和社区会议的链接。
+
+<!-- 
+[crd]:https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/
+[concepts]:https://gateway-api.sigs.k8s.io/concepts/api-overview/
+[guides]:https://gateway-api.sigs.k8s.io/guides/getting-started/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+[install-crds]:https://gateway-api.sigs.k8s.io/guides/getting-started/#install-the-crds
+[issue]:https://github.com/kubernetes-sigs/gateway-api/issues/new/choose
+[disc]:https://github.com/kubernetes-sigs/gateway-api/discussions
+[community]:https://gateway-api.sigs.k8s.io/contributing/community/ 
+-->
+[crd]:/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/
+[concepts]:https://gateway-api.sigs.k8s.io/concepts/api-overview/
+[guides]:https://gateway-api.sigs.k8s.io/guides/getting-started/
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+[install-crds]:https://gateway-api.sigs.k8s.io/guides/getting-started/#install-the-crds
+[issue]:https://github.com/kubernetes-sigs/gateway-api/issues/new/choose
+[disc]:https://github.com/kubernetes-sigs/gateway-api/discussions
+[community]:https://gateway-api.sigs.k8s.io/contributing/community/
+
+<!-- 
+## Release highlights
+
+### Graduation to beta 
+-->
+## 发布亮点
+
+### 进入 Beta 阶段
+
+<!-- 
+The `v0.5.0` release is particularly historic because it marks the growth in
+maturity to a beta API version (`v1beta1`) release for some of the key APIs: 
+-->
+`v0.5.0` 版本特别具有历史意义，因为它标志着一些关键 API 成长至 Beta API 版本（`v1beta1`）：
+
+- [GatewayClass](https://gateway-api.sigs.k8s.io/api-types/gatewayclass/)
+- [Gateway](https://gateway-api.sigs.k8s.io/api-types/gateway/)
+- [HTTPRoute](https://gateway-api.sigs.k8s.io/api-types/httproute/)
+
+<!-- 
+This achievement was marked by the completion of several graduation criteria:
+
+- API has been [widely implemented][impl].
+- Conformance tests provide basic coverage for all resources and have multiple implementations passing tests.
+- Most of the API surface is actively being used.
+- Kubernetes SIG Network API reviewers have approved graduation to beta. 
+-->
+这一成就的标志是达到了以下几个进入标准：
+
+- API 已[广泛实现][impl]。
+- 合规性测试基本覆盖了所有资源且可以让多种实现通过测试。
+- 大多数 API 接口正被积极地使用。
+- Kubernetes SIG Network API 评审团队已批准其进入 Beta 阶段。
+
+<!-- 
+For more information on Gateway API versioning, refer to the [official
+documentation](https://gateway-api.sigs.k8s.io/concepts/versioning/). To see
+what's in store for future releases check out the [next steps](#next-steps)
+section. 
+-->
+有关 Gateway API 版本控制的更多信息，请参阅[官方文档](https://gateway-api.sigs.k8s.io/concepts/versioning/)。
+要查看未来版本的计划，请查看[下一步](#next-steps)。
+
+[impl]:https://gateway-api.sigs.k8s.io/implementations/
+
+<!-- 
+### Release channels
+
+This release introduces the `experimental` and `standard` [release channels][ch]
+which enable a better balance of maintaining stability while still enabling
+experimentation and iterative development. 
+-->
+### 发布渠道
+
+此版本引入了 `experimental` 和 `standard` [发布渠道][ch]，
+这样能够更好地保持平衡，在确保稳定性的同时，还能支持实验和迭代开发。
+
+<!-- 
+The `standard` release channel includes:
+
+- resources that have graduated to beta
+- fields that have graduated to standard (no longer considered experimental) 
+-->
+`standard` 发布渠道包括：
+
+- 已进入 Beta 阶段的资源
+- 已进入 standard 的字段（不再被视为 experimental）
+
+<!-- 
+The `experimental` release channel includes everything in the `standard` release
+channel, plus:
+
+- `alpha` API resources
+- fields that are considered experimental and have not graduated to `standard` channel 
+-->
+`experimental` 发布渠道包括 `standard` 发布渠道的所有内容，另外还有：
+
+- `alpha` API 资源
+- 视为 experimental 且还未进入 `standard` 渠道的字段
+
+<!-- 
+Release channels are used internally to enable iterative development with
+quick turnaround, and externally to indicate feature stability to implementors
+and end-users. 
+-->
+使用发布渠道能让内部实现快速流转的迭代开发，且能让外部实现者和最终用户标示功能稳定性。
+
+<!-- 
+For this release we've added the following experimental features:
+
+- [Routes can attach to Gateways by specifying port numbers](https://gateway-api.sigs.k8s.io/geps/gep-957/)
+- [URL rewrites and path redirects](https://gateway-api.sigs.k8s.io/geps/gep-726/) 
+-->
+本次发布新增了以下实验性的功能特性：
+
+- [路由通过指定端口号可以挂接到 Gateway](https://gateway-api.sigs.k8s.io/geps/gep-957/)
+- [URL 重写和路径重定向](https://gateway-api.sigs.k8s.io/geps/gep-726/)
+
+[ch]:https://gateway-api.sigs.k8s.io/concepts/versioning/#release-channels-eg-experimental-standard
+
+<!-- 
+### Other improvements
+
+For an exhaustive list of changes included in the `v0.5.0` release, please see
+the [v0.5.0 release notes](https://github.com/kubernetes-sigs/gateway-api/releases/tag/v0.5.0). 
+-->
+### 其他改进
+
+有关 `v0.5.0` 版本中包括的完整变更清单，请参阅
+[v0.5.0 发布说明](https://github.com/kubernetes-sigs/gateway-api/releases/tag/v0.5.0)。
+
+<!-- 
+## Gateway API for service mesh: the GAMMA Initiative
+Some service mesh projects have [already implemented support for the Gateway
+API](https://gateway-api.sigs.k8s.io/implementations/). Significant overlap
+between the Service Mesh Interface (SMI) APIs and the Gateway API has [inspired
+discussion in the SMI
+community](https://github.com/servicemeshinterface/smi-spec/issues/249) about
+possible integration. 
+-->
+## 适用于服务网格的 Gateway API：GAMMA 倡议
+
+某些服务网格项目[已实现对 Gateway API 的支持](https://gateway-api.sigs.k8s.io/implementations/)。
+服务网格接口 (Service Mesh Interface，SMI) API 和 Gateway API 之间的显著重叠
+[已激发了 SMI 社区讨论](https://github.com/servicemeshinterface/smi-spec/issues/249)可能的集成方式。
+
+<!-- 
+We are pleased to announce that the service mesh community, including
+representatives from Cilium Service Mesh, Consul, Istio, Kuma, Linkerd, NGINX
+Service Mesh and Open Service Mesh, is coming together to form the [GAMMA
+Initiative](https://gateway-api.sigs.k8s.io/contributing/gamma/), a dedicated
+workstream within the Gateway API subproject focused on Gateway API for Mesh
+Management and Administration. 
+-->
+我们很高兴地宣布，来自 Cilium Service Mesh、Consul、Istio、Kuma、Linkerd、NGINX Service Mesh
+和 Open Service Mesh 等服务网格社区的代表汇聚一堂组成
+[GAMMA 倡议小组](https://gateway-api.sigs.k8s.io/contributing/gamma/)，
+这是 Gateway API 子项目内一个专门的工作流，专注于网格管理所用的 Gateway API。
+
+<!-- 
+This group will deliver [enhancement
+proposals](https://gateway-api.sigs.k8s.io/v1beta1/contributing/gep/) consisting
+of resources, additions, and modifications to the Gateway API specification for
+mesh and mesh-adjacent use-cases.
+
+This work has begun with [an exploration of using Gateway API for
+service-to-service
+traffic](https://docs.google.com/document/d/1T_DtMQoq2tccLAtJTpo3c0ohjm25vRS35MsestSL9QU/edit#heading=h.jt37re3yi6k5)
+and will continue with enhancement in areas such as authentication and
+authorization policy. 
+-->
+这个小组将交付[增强提案](https://gateway-api.sigs.k8s.io/v1beta1/contributing/gep/)，
+包括对网格和网格相关用例适用的 Gateway API 规约的资源、添加和修改。
+
+这项工作已从
+[探索针对服务间流量使用 Gateway API](https://docs.google.com/document/d/1T_DtMQoq2tccLAtJTpo3c0ohjm25vRS35MsestSL9QU/edit#heading=h.jt37re3yi6k5)
+开始，并将继续增强身份验证和鉴权策略等领域。
+
+<!-- 
+## Next steps
+
+As we continue to mature the API for production use cases, here are some of the highlights of what we'll be working on for the next Gateway API releases:
+
+- [GRPCRoute][gep1016] for [gRPC][grpc] traffic routing
+- [Route delegation][pr1085]
+- Layer 4 API maturity: Graduating [TCPRoute][tcpr], [UDPRoute][udpr] and
+  [TLSRoute][tlsr] to beta
+- [GAMMA Initiative](https://gateway-api.sigs.k8s.io/contributing/gamma/) - Gateway API for Service Mesh 
+-->
+## 下一步
+
+随着我们不断完善用于生产用例的 API，以下是我们将为下一个 Gateway API 版本所做的一些重点工作：
+
+- 针对 [gRPC][grpc] 流量路由的 [GRPCRoute][gep1016]
+- [路由代理][pr1085]
+- 4 层 API 成熟度：[TCPRoute][tcpr]、[UDPRoute][udpr] 和 [TLSRoute][tlsr] 正进入 Beta 阶段
+- [GAMMA 倡议](https://gateway-api.sigs.k8s.io/contributing/gamma/) - 针对服务网格的 Gateway API
+
+<!-- 
+If there's something on this list you want to get involved in, or there's
+something not on this list that you want to advocate for to get on the roadmap
+please join us in the #sig-network-gateway-api channel on Kubernetes Slack or our weekly [community calls](https://gateway-api.sigs.k8s.io/contributing/community/#meetings). 
+-->
+如果你想参与此列表中的某些工作，或者你想倡导加入路线图的内容不在此列表中，
+请通过 Kubernetes Slack 的 #sig-network-gateway-api 频道或我们每周的
+[社区电话会议](https://gateway-api.sigs.k8s.io/contributing/community/#meetings)加入我们。
+
+[gep1016]:https://github.com/kubernetes-sigs/gateway-api/blob/master/site-src/geps/gep-1016.md
+[grpc]:https://grpc.io/
+[pr1085]:https://github.com/kubernetes-sigs/gateway-api/pull/1085
+[tcpr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/tcproute_types.go
+[udpr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/udproute_types.go
+[tlsr]:https://github.com/kubernetes-sigs/gateway-api/blob/main/apis/v1alpha2/tlsroute_types.go
+[community]:https://gateway-api.sigs.k8s.io/contributing/community/
diff --git a/content/zh-cn/case-studies/netease/index.html b/content/zh-cn/case-studies/netease/index.html
index f5c70dedffc..bceeacbd101 100644
--- a/content/zh-cn/case-studies/netease/index.html
+++ b/content/zh-cn/case-studies/netease/index.html
@@ -1,105 +1,174 @@
 ---
 title: 案例研究：NetEase
+linkTitle: NetEase
 case_study_styles: true
 cid: caseStudies
-css: /css/style_case_studies.css
+logo: netease_featured_logo.png
+featured: false
+
+new_case_study_styles: true
+heading_background: /images/case-studies/netease/banner1.jpg
+heading_title_logo: /images/netease_logo.png
+subheading: >
+  NetEase 如何利用 Kubernetes 支持在全球的互联网业务
+case_study_details:
+  - 公司: NetEase
+  - 位置: Hangzhou， China
+  - 行业: 互联网科技
 ---
 
+<!-- 
+title: NetEase Case Study
+linkTitle: NetEase
+case_study_styles: true
+cid: caseStudies
+logo: netease_featured_logo.png
+featured: false
 
-<!-- <div class="banner1" style="background-image: url('/images/case-studies/netease/banner1.jpg')">
-  <h1> CASE STUDY:<img src="/images/netease_logo.png" class="header_logo" style="width:22%;margin-bottom:-1%"><br> <div class="subhead" style="margin-top:1%"> How NetEase Leverages Kubernetes to Support Internet Business Worldwide</div></h1>
+new_case_study_styles: true
+heading_background: /images/case-studies/netease/banner1.jpg
+heading_title_logo: /images/netease_logo.png
+subheading: >
+  How NetEase Leverages Kubernetes to Support Internet Business Worldwide
+case_study_details:
+  - Company: NetEase
+  - Location: Hangzhou, China
+  - Industry: Internet technology
+-->
 
-</div> -->
-<div class="banner1" style="background-image: url('/images/case-studies/netease/banner1.jpg')">
-  <h1> 案例研究：<img src="/images/netease_logo.png" class="header_logo" style="width:22%;margin-bottom:-1%"><br> <div class="subhead" style="margin-top:1%"> 网易如何利用 Kubernetes 支持在全球的互联网业务</div></h1>
+<!-- 
+<h2>Challenge</h2>
+-->
+<h2>挑战</h2>
 
-</div>
+<!-- 
+<p>Its gaming business is one of the largest in the world, but that's not all that <a href="https://netease-na.com/">NetEase</a> provides to Chinese consumers. The company also operates e-commerce, advertising, music streaming, online education, and email platforms; the last of which serves almost a billion users with free email services through sites like <a href="https://www.163.com/">163.com</a>. In 2015, the NetEase Cloud team providing the infrastructure for all of these systems realized that their R&D process was slowing down developers. "Our users needed to prepare all of the infrastructure by themselves," says Feng Changjian, Architect for NetEase Cloud and Container Service. "We were eager to provide the infrastructure and tools for our users automatically via serverless container service."</p>
+-->
+<p>其游戏业务是世界上最大的游戏业务之一，但这不是 <a href="https://netease-na.com/">NetEase</a> 为中国消费者提供的所有。公司还经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；其中最后一个服务有近10亿用户通过网站使用免费的电子邮件服务，如 <a href="https://www.163.com/">163.com</a>。在2015 年，为所有这些系统提供基础设施的 NetEase Cloud 团队意识到，他们的研发流程正在减缓开发人员的速度。NetEase Cloud 和容器服务架构师 Feng Changjian 表示：“我们的用户需要自己准备所有基础设施。”“我们希望通过无服务器容器服务自动为用户提供基础设施和工具。”</p>
 
+<!-- 
+<h2>Solution</h2>
+-->
+<h2>解决方案</h2>
 
-<div class="details" style="font-size:1em">
-    公司 &nbsp;<b>网易</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;位置 &nbsp;<b>杭州，中国</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;行业 &nbsp;<b>互联网科技</b>
-</div>
+<!-- 
+<p>After considering building its own orchestration solution, NetEase decided to base its private cloud platform on <a href="https://kubernetes.io/">Kubernetes</a>. The fact that the technology came out of Google gave the team confidence that it could keep up with NetEase's scale. "After our 2-to-3-month evaluation, we believed it could satisfy our needs," says Feng. The team started working with Kubernetes in 2015, before it was even 1.0. Today, the NetEase internal cloud platform—which also leverages the CNCF projects <a href="https://prometheus.io/">Prometheus</a>, <a href="https://www.envoyproxy.io/">Envoy</a>, <a href="https://goharbor.io/">Harbor</a>, <a href="https://grpc.io/">gRPC</a>, and <a href="https://helm.sh/">Helm</a>—runs 10,000 nodes in a production cluster and can support up to 30,000 nodes in a cluster. Based on its learnings from its internal platform, the company introduced a Kubernetes-based cloud and microservices-oriented PaaS product, <a href="https://landscape.cncf.io/selected=netease-qingzhou-microservice">NetEase Qingzhou Microservice</a>, to outside customers.</p>
+-->
+<p>在考虑构建自己的业务流程解决方案后，NetEase 决定将其私有云平台建立在 <a href="https://kubernetes.io/">Kubernetes</a> 的基础上。这项技术来自 Google，这一事实让团队有信心，它能够跟上 NetEase 的规模。“经过2到3个月的评估，我们相信它能满足我们的需求，”Feng Changjian 说。该团队于 2015 年开始与 Kubernetes 合作，那会它甚至还不是 1.0 版本。如今，NetEase 内部云平台还使用了 CNCF 项目 <a href="https://prometheus.io/">Prometheus</a>、<a href="https://www.envoyproxy.io/">Envoy</a>、<a href="https://goharbor.io/">Harbor</a>、<a href="https://grpc.io/">gRPC</a> 和 <a href="https://helm.sh/">Helm</a>， 在生产集群中运行 10000 个节点，并可支持集群多达 30000 个节点。基于对内部平台的学习，公司向外部客户推出了基于 Kubernetes 的云和微服务型 PaaS 产品，NetEase 轻舟微服务。</p>
 
-<hr>
-<section class="section1">
-<div class="cols">
-  <div class="col1" style="margin-left:-1.5% !important">
-    <h2>挑战</h2>
-         <!-- Its gaming business is one of the largest in the world, but that’s not all that <a href="https://netease-na.com/">NetEase</a> provides to Chinese consumers. The company also operates e-commerce, advertising, music streaming, online education, and email platforms; the last of which serves almost a billion users with free email services through sites like <a href="https://www.163.com/">163.com</a>. In 2015, the NetEase Cloud team providing the infrastructure for all of these systems realized that their R&D process was slowing down developers. “Our users needed to prepare all of the infrastructure by themselves,” says Feng Changjian, Architect for NetEase Cloud and Container Service. “We were eager to provide the infrastructure and tools for our users automatically via serverless container service.” -->
-其游戏业务是世界上最大的游戏业务之一，但这不是<a href="https://netease-na.com/">网易</a>为中国消费者提供的所有。公司还经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；其中最后一个服务有近10亿用户通过网站使用免费的电子邮件服务，如<a href="https://www.163.com/">163.com</a>。2015 年，为所有这些系统提供基础设施的网易云团队意识到，他们的研发流程正在减缓开发人员的速度。网易云和容器服务架构师冯长健表示：“我们的用户需要自己准备所有基础设施。”“我们希望通过无服务器容器服务自动为用户提供基础设施和工具。”
-<br><br>
- <h2>解决方案</h2>
-      <!-- After considering building its own orchestration solution, NetEase decided to base its private cloud platform on <a href="https://kubernetes.io/">Kubernetes</a>. The fact that the technology came out of Google gave the team confidence that it could keep up with NetEase’s scale. “After our 2-to-3-month evaluation, we believed it could satisfy our needs,” says Feng. The team started working with Kubernetes in 2015, before it was even 1.0. Today, the NetEase internal cloud platform—which also leverages the CNCF projects <a href="https://prometheus.io/">Prometheus</a>, <a href="https://www.envoyproxy.io/">Envoy</a>, <a href="https://goharbor.io/">Harbor</a>, <a href="https://grpc.io/">gRPC</a>, and <a href="https://helm.sh/">Helm</a>—runs 10,000 nodes in a production cluster and can support up to 30,000 nodes in a cluster. Based on its learnings from its internal platform, the company introduced a Kubernetes-based cloud and microservices-oriented PaaS product, <a href="https://landscape.cncf.io/selected=netease-qingzhou-microservice">NetEase Qingzhou Microservice</a>, to outside customers. -->
-在考虑构建自己的业务流程解决方案后，网易决定将其私有云平台建立在 <a href="https://kubernetes.io/">Kubernetes</a> 的基础上。这项技术来自 Google，这一事实让团队有信心，它能够跟上网易的规模。“经过2到3个月的评估，我们相信它能满足我们的需求，”冯长健说。该团队于 2015 年开始与 Kubernetes 合作，那会它甚至还不是1.0版本。如今，网易内部云平台还使用了 CNCF 项目 <a href="https://prometheus.io/">Prometheus</a>、<a href="https://www.envoyproxy.io/">Envoy</a>、<a href="https://goharbor.io/">Harbor</a>、<a href="https://grpc.io/">gRPC</a> 和 <a href="https://helm.sh/">Helm</a>， 在生产集群中运行 10000 个节点，并可支持集群多达 30000 个节点。基于对内部平台的学习，公司向外部客户推出了基于 Kubernetes 的云和微服务型 PaaS 产品，网易轻舟微服务。
-
-
-<br><br>
+<!-- 
+<h2>Impact</h2>
+-->
 <h2>影响</h2>
-      <!-- The NetEase team reports that Kubernetes has increased R&D efficiency by more than 100%. Deployment efficiency has improved by 280%. “In the past, if we wanted to do upgrades, we needed to work with other teams, even in other departments,” says Feng. “We needed special staff to prepare everything, so it took about half an hour. Now we can do it in only 5 minutes.” The new platform also allows for mixed deployments using GPU and CPU resources. “Before, if we put all the resources toward the GPU, we won’t have spare resources for the CPU. But now we have improvements thanks to the mixed deployments,” he says. Those improvements have also brought an increase in resource utilization. -->
-网易团队报告说，Kubernetes 已经提高了研发效率一倍多，部署效率提高了 2.8倍。“过去，如果我们想要进行升级，我们需要与其他团队合作，甚至加入其他部门，”冯长健说。“我们需要专人来准备一切，需要花费约半个小时。现在我们只需 5 分钟即可完成。”新平台还允许使用 GPU 和 CPU 资源进行混合部署。“以前，如果我们将所有资源都用于 GPU，则 CPU 的备用资源将没有。但是现在，由于混合部署，我们有了很大的改进，”他说。这些改进也提高了资源的利用率。
-</div>
-</div>
 
-</section>
-<div class="banner2">
-  <div class="banner2text">
-    <!-- "The system can support 30,000 nodes in a single cluster. In production, we have gotten the data of 10,000 nodes in a single cluster. The whole internal system is using this system for development, test, and production."<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>— Zeng Yuxing, Architect, NetEase</span> -->
-    “系统可以在单个群集中支持 30000 个节点。在生产中，我们在单个群集中获取到了 10000 个节点的数据。整个内部系统都在使用该系统进行开发、测试和生产。”<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>— 曾宇兴,网易架构师</span>
-  </div>
-</div>
-<section class="section2">
-<div class="fullcol">
- <!-- <h2>Its gaming business is the <a href="https://newzoo.com/insights/rankings/top-25-companies-game-revenues/">fifth-largest</a> in the world, but that’s not all that <a href="https://netease-na.com/">NetEase</a> provides consumers.</h2>The company also operates e-commerce, advertising, music streaming, online education, and email platforms in China; the last of which serves almost a billion users with free email services through popular sites like <a href="https://www.163.com/">163.com</a> and <a href="https://www.126.com/">126.com</a>. With that kind of scale, the NetEase Cloud team providing the infrastructure for all of these systems realized in 2015 that their R&D process was making it hard for developers to keep up with demand. “Our users needed to prepare all of the infrastructure by themselves,” says Feng Changjian, Architect for NetEase Cloud and Container Service. “We were eager to provide the infrastructure and tools for our users automatically via serverless container service.”<br><br> -->
- <h2>其游戏业务是世界<a href="https://newzoo.com/insights/rankings/top-25-companies-game-revenues/">第五大</a>游戏业务，但这不是<a href="https://netease-na.com/">网易</a>为消费者提供的所有业务。</h2>公司还在中国经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；其中最后一个服务是有近10亿用户使用的网站，如<a href="https://www.163.com/">163.com</a>和<a href="https://www.126.com/">126.com</a>免费电子邮件服务。有了这样的规模，为所有这些系统提供基础设施的网易云团队在 2015 年就意识到，他们的研发流程使得开发人员难以跟上需求。网易云和容器服务架构师冯长健表示：“我们的用户需要自己准备所有基础设施。”“我们渴望通过无服务器容器服务自动为用户提供基础设施和工具。”<br><br>
- <!-- After considering building its own orchestration solution, NetEase decided to base its private cloud platform on <a href="https://kubernetes.io/">Kubernetes</a>. The fact that the technology came out of Google gave the team confidence that it could keep up with NetEase’s scale. “After our 2-to-3-month evaluation, we believed it could satisfy our needs,” says Feng. -->
-在考虑构建自己的业务流程解决方案后，网易决定将其私有云平台建立在 <a href="https://kubernetes.io/">Kubernetes</a> 的基础上。这项技术来自谷歌，这一事实让团队有信心，它能够跟上网易的规模。“经过2到3个月的评估，我们相信它能满足我们的需求，”冯长健说。
-</div>
-</section>
-<div class="banner3" style="background-image: url('/images/case-studies/netease/banner3.jpg')">
-  <div class="banner3text">
-    <!-- "We leveraged the programmability of Kubernetes so that we can build a platform to satisfy the needs of our internal customers for upgrades and deployment." -->
-“我们利用 Kubernetes 的可编程性，构建一个平台，以满足内部客户对升级和部署的需求。”<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>- 冯长健,网易云和容器托管平台架构师</span>
-  </div>
-</div>
-<section class="section3">
-<div class="fullcol">
-  <!-- The team started adopting Kubernetes in 2015, before it was even 1.0, because it was relatively easy to use and enabled DevOps at the company. “We abandoned some of the concepts of Kubernetes; we only wanted to use the standardized framework,” says Feng. “We leveraged the programmability of Kubernetes so that we can build a platform to satisfy the needs of our internal customers for upgrades and deployment.”<br><br> -->
-该团队于 2015 年开始采用 Kubernetes，那会它甚至还不是1.0版本，因为它相对易于使用，并且使 DevOps 在公司中得以实现。“我们放弃了 Kubernetes 的一些概念；我们只想使用标准化框架，”冯长健说。“我们利用 Kubernetes 的可编程性，构建一个平台，以满足内部客户对升级和部署的需求。”<br><br>
-  <!-- The team first focused on building the container platform to manage resources better, and then turned their attention to improving its support of microservices by adding internal systems such as monitoring. That has meant integrating the CNCF projects <a href="https://prometheus.io/">Prometheus</a>, <a href="https://www.envoyproxy.io/">Envoy</a>, <a href="https://goharbor.io/">Harbor</a>, <a href="https://grpc.io/">gRPC</a>, and <a href="https://helm.sh/">Helm</a>. “We are trying to provide a simplified and standardized process, so our users and customers can leverage our best practices,” says Feng.<br><br> -->
-团队首先专注于构建容器平台以更好地管理资源，然后通过添加内部系统（如监视）来改进对微服务的支持。这意味着整合了 CNCF 项目 <a href="https://prometheus.io/">Prometheus</a>，<a href="https://www.envoyproxy.io/">Envoy</a>，<a href="https://goharbor.io/">Harbor</a>，<a href="https://grpc.io/">gRPC</a> 和 <a href="https://helm.sh/">Helm</a>。“我们正在努力提供简化和标准化的流程，以便我们的用户和客户能够利用我们的最佳实践，”冯长健说。<br><br>
-  <!-- And the team is continuing to make improvements. For example, the e-commerce part of the business needs to leverage mixed deployments, which in the past required using two separate platforms: the infrastructure-as-a-service platform and the Kubernetes platform. More recently, NetEase has created a cross-platform application that enables using both with one-command deployment. -->
-团队正在继续改进。例如，企业的电子商务部分需要利用混合部署，过去需要使用两个单独的平台：基础架构即服务平台和 Kubernetes 平台。最近，网易创建了一个跨平台应用程序，支持将两者同时使用单命令部署。
-</div>
-</section>
-<div class="banner4" style="background-image: url('/images/case-studies/netease/banner4.jpg')">
-  <div class="banner4text">
-    <!-- "As long as a company has a mature team and enough developers, I think Kubernetes is a very good technology that can help them."<span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br><br>- Li Lanqing, Kubernetes Developer, NetEase</span> -->
-“只要公司拥有成熟的团队和足够的开发人员，我认为 Kubernetes 是一个很好的有所助力的技术。”<span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br><br>- 李兰青, 网易 Kubernetes 开发人员</span>
-  </div>
-  </div>
-</div>
+<!-- 
+<p>The NetEase team reports that Kubernetes has increased R&D efficiency by more than 100%. Deployment efficiency has improved by 280%. "In the past, if we wanted to do upgrades, we needed to work with other teams, even in other departments," says Feng. "We needed special staff to prepare everything, so it took about half an hour. Now we can do it in only 5 minutes." The new platform also allows for mixed deployments using GPU and CPU resources. "Before, if we put all the resources toward the GPU, we won't have spare resources for the CPU. But now we have improvements thanks to the mixed deployments," he says. Those improvements have also brought an increase in resource utilization.</p>
+-->
+<p>NetEase 团队报告说，Kubernetes 已经提高了研发效率一倍多，部署效率提高了 2.8 倍。“过去，如果我们想要进行升级，我们需要与其他团队合作，甚至加入其他部门，”Feng Changjian 说。“我们需要专人来准备一切，需要花费约半个小时。现在我们只需 5 分钟即可完成。”新平台还允许使用 GPU 和 CPU 资源进行混合部署。“以前，如果我们将所有资源都用于 GPU，则 CPU 的备用资源将没有。但是现在，由于混合部署，我们有了很大的改进，”他说。这些改进也提高了资源的利用率。</p>
 
-<section class="section5" style="padding:0px !important">
-<div class="fullcol">
-  <!-- Today, the NetEase internal cloud platform “can support 30,000 nodes in a single cluster,” says Architect Zeng Yuxing. “In production, we have gotten the data of 10,000 nodes in a single cluster. The whole internal system is using this system for development, test, and production.” <br><br> -->
-“系统可以在单个群集中支持 30000 个节点。在生产中，我们在单个群集中获取到了 10000 个节点的数据。整个内部系统都在使用该系统进行开发、测试和生产。”<br><br>
-  <!-- The NetEase team reports that Kubernetes has increased R&D efficiency by more than 100%. Deployment efficiency has improved by 280%. “In the past, if we wanted to do upgrades, we needed to work with other teams, even in other departments,” says Feng. “We needed special staff to prepare everything, so it took about half an hour. Now we can do it in only 5 minutes.” The new platform also allows for mixed deployments using GPU and CPU resources. “Before, if we put all the resources toward the GPU, we won’t have spare resources for the CPU. But now we have improvements thanks to the mixed deployments.” Those improvements have also brought an increase in resource utilization. -->
-网易团队报告说，Kubernetes 已经提高了研发效率一倍多。部署效率提高了 2.8倍。“过去，如果我们想要进行升级，我们需要与其他团队合作，甚至加入其他部门，”冯长健说。“我们需要专人来准备一切，需要花费约半个小时。现在我们只需 5 分钟即可完成。”新平台还允许使用 GPU 和 CPU 资源进行混合部署。“以前，如果我们将所有资源都用于 GPU，则 CPU 的备用资源将没有。但是现在，由于混合部署，我们有了很大的改进，”他说。这些改进也提高了资源的利用率。
+<!-- 
+{{< case-studies/quote author="Zeng Yuxing, Architect, NetEase" >}}
+"The system can support 30,000 nodes in a single cluster. In production, we have gotten the data of 10,000 nodes in a single cluster. The whole internal system is using this system for development, test, and production."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote author="Zeng Yuxing，NetEase 架构师" >}}
+“系统可以在单个集群中支持 30000 个节点。在生产中，我们在单个集群中获取到了 10000 个节点的数据。整个内部系统都在使用该系统进行开发、测试和生产。”
+{{< /case-studies/quote >}}
 
-</div>
+<!-- 
+{{< case-studies/lead >}}
+Its gaming business is the <a href="https://newzoo.com/insights/rankings/top-25-companies-game-revenues/">fifth-largest</a> in the world, but that's not all that <a href="https://netease-na.com/">NetEase</a> provides consumers.
+{{< /case-studies/lead >}}
+-->
+{{< case-studies/lead >}}
+其游戏业务是世界<a href="https://newzoo.com/insights/rankings/top-25-companies-game-revenues/">第五大</a>游戏业务，但这不是 <a href="https://netease-na.com/">NetEase</a> 为消费者提供的所有业务。
+{{< /case-studies/lead >}}
 
-<div class="banner5">
-  <div class="banner5text">
-  <!-- "By engaging with this community, we can gain some experience from it and we can also benefit from it. We can see what are the concerns and the challenges faced by the community, so we can get involved."<span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br><br>- Li Lanqing, Kubernetes Developer, NetEase</span> -->
-“通过与这个社区接触，我们可以从中获得一些经验，我们也可以从中获益。我们可以看到社区所关心的问题和挑战，以便我们参与其中。”<span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br><br>- 李兰青, 网易 Kubernetes 开发人员</span>
-  </div>
-</div>
-<div class="fullcol">
-  <!-- Based on the results and learnings from using its internal platform, the company introduced a Kubernetes-based cloud and microservices-oriented PaaS product, <a href="https://landscape.cncf.io/selected=netease-qingzhou-microservice">NetEase Qingzhou Microservice</a>, to outside customers. “The idea is that we can find the problems encountered by our game and e-commerce and cloud music providers, so we can integrate their experiences and provide a platform to satisfy the needs of our users,” says Zeng. <br><br> -->
-基于使用内部平台的成果和学习，公司向外部客户推出了基于 Kubernetes 的云和微服务型 PaaS 产品，网易轻舟微服务。“我们的想法是，我们可以找到我们的游戏和电子商务以及云音乐提供商遇到的问题，所以我们可以整合他们的体验，并提供一个平台，以满足所有用户的需求，”曾宇兴说。<br><br>
-  <!-- With or without the use of the NetEase product, the team encourages other companies to try Kubernetes. “As long as a company has a mature team and enough developers, I think Kubernetes is a very good technology that can help them,” says Kubernetes developer Li Lanqing.<br><br> -->
-无论是否使用网易产品，该团队鼓励其他公司尝试 Kubernetes。Kubernetes 开发者李兰青表示：“只要公司拥有成熟的团队和足够的开发人员，我认为 Kubernetes 是一个很好的技术，可以帮助他们。”<br><br>
-  <!-- As an end user as well as a vendor, NetEase has become more involved in the community, learning from other companies and sharing what they’ve done. The team has been contributing to the Harbor and Envoy projects, providing feedback as the technologies are being tested at NetEase scale. “We are a team focusing on addressing the challenges of microservices architecture,” says Feng. “By engaging with this community, we can gain some experience from it and we can also benefit from it. We can see what are the concerns and the challenges faced by the community, so we can get involved.” -->
-作为最终用户和供应商，网易已经更多地参与社区，向其他公司学习，分享他们所做的工作。该团队一直在为 Harbor 和 Envoy 项目做出贡献，在网易进行规模测试技术时提供反馈。“我们是一个团队，专注于应对微服务架构的挑战，”冯长健说。“通过与这个社区接触，我们可以从中获得一些经验，我们也可以从中获益。我们可以看到社区所关心的问题和挑战，以便我们参与其中。”
-</div>
-</section>
+<!-- 
+<p>The company also operates e-commerce, advertising, music streaming, online education, and email platforms in China; the last of which serves almost a billion users with free email services through popular sites like <a href="https://www.163.com/">163.com</a> and <a href="https://www.126.com/">126.com</a>. With that kind of scale, the NetEase Cloud team providing the infrastructure for all of these systems realized in 2015 that their R&D process was making it hard for developers to keep up with demand. "Our users needed to prepare all of the infrastructure by themselves," says Feng Changjian, Architect for NetEase Cloud and Container Service. "We were eager to provide the infrastructure and tools for our users automatically via serverless container service."</p>
+-->
+<p>公司还在中国经营电子商务、广告、音乐流媒体、在线教育和电子邮件平台；其中最后一个服务是有近 10 亿用户使用的网站，如 <a href="https://www.163.com/">163.com</a> 和 <a href="https://www.126.com/">126.com</a> 免费电子邮件服务。有了这样的规模，为所有这些系统提供基础设施的 NetEase Cloud 团队在 2015 年就意识到，他们的研发流程使得开发人员难以跟上需求。NetEase Cloud 和容器服务架构师 Feng Changjian 表示：“我们的用户需要自己准备所有基础设施。”“我们渴望通过无服务器容器服务自动为用户提供基础设施和工具。”</p>
+
+<!-- 
+<p>After considering building its own orchestration solution, NetEase decided to base its private cloud platform on <a href="https://kubernetes.io/">Kubernetes</a>. The fact that the technology came out of Google gave the team confidence that it could keep up with NetEase's scale. "After our 2-to-3-month evaluation, we believed it could satisfy our needs," says Feng.</p>
+-->
+<p>在考虑构建自己的业务流程解决方案后，NetEase 决定将其私有云平台建立在 <a href="https://kubernetes.io/">Kubernetes</a> 的基础上。这项技术来自 Google，这一事实让团队有信心，它能够跟上 NetEase 的规模。“经过 2 到 3 个月的评估，我们相信它能满足我们的需求，”Feng Changjian 说。</p>
+
+<!-- 
+{{< case-studies/quote
+  image="/images/case-studies/netease/banner3.jpg"
+  author="Feng Changjian, Architect for NetEase Cloud and Container Service, NetEase"
+>}}
+"We leveraged the programmability of Kubernetes so that we can build a platform to satisfy the needs of our internal customers for upgrades and deployment."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote
+  image="/images/case-studies/netease/banner3.jpg"
+  author="Feng Changjian，NetEase Cloud 和容器托管平台架构师"
+>}}
+“我们利用 Kubernetes 的可编程性，构建一个平台，以满足内部客户对升级和部署的需求。”
+{{< /case-studies/quote >}}
+
+<!-- 
+<p>The team started adopting Kubernetes in 2015, before it was even 1.0, because it was relatively easy to use and enabled DevOps at the company. "We abandoned some of the concepts of Kubernetes; we only wanted to use the standardized framework," says Feng. "We leveraged the programmability of Kubernetes so that we can build a platform to satisfy the needs of our internal customers for upgrades and deployment."</p>
+-->
+<p>该团队于 2015 年开始采用 Kubernetes，那会它甚至还不是 1.0 版本，因为它相对易于使用，并且使 DevOps 在公司中得以实现。“我们放弃了 Kubernetes 的一些概念；我们只想使用标准化框架，”Feng Changjian 说。“我们利用 Kubernetes 的可编程性，构建一个平台，以满足内部客户对升级和部署的需求。”</p>
+
+<!-- 
+<p>The team first focused on building the container platform to manage resources better, and then turned their attention to improving its support of microservices by adding internal systems such as monitoring. That has meant integrating the CNCF projects <a href="https://prometheus.io/">Prometheus</a>, <a href="https://www.envoyproxy.io/">Envoy</a>, <a href="https://goharbor.io/">Harbor</a>, <a href="https://grpc.io/">gRPC</a>, and <a href="https://helm.sh/">Helm</a>. "We are trying to provide a simplified and standardized process, so our users and customers can leverage our best practices," says Feng.</p>
+-->
+<p>团队首先专注于构建容器平台以更好地管理资源，然后通过添加内部系统（如监视）来改进对微服务的支持。这意味着整合了 CNCF 项目 <a href="https://prometheus.io/">Prometheus</a>，<a href="https://www.envoyproxy.io/">Envoy</a>，<a href="https://goharbor.io/">Harbor</a>，<a href="https://grpc.io/">gRPC</a> 和 <a href="https://helm.sh/">Helm</a>。“我们正在努力提供简化和标准化的流程，以便我们的用户和客户能够利用我们的最佳实践，”Feng Changjian 说。</p>
+
+<!-- 
+<p>And the team is continuing to make improvements. For example, the e-commerce part of the business needs to leverage mixed deployments, which in the past required using two separate platforms: the infrastructure-as-a-service platform and the Kubernetes platform. More recently, NetEase has created a cross-platform application that enables using both with one-command deployment.</p>
+-->
+<p>团队正在继续改进。例如，企业的电子商务部分需要利用混合部署，过去需要使用两个单独的平台：基础架构即服务平台和 Kubernetes 平台。最近，NetEase 创建了一个跨平台应用程序，支持将两者同时使用单命令部署。</p>
+
+<!-- 
+{{< case-studies/quote
+  image="/images/case-studies/netease/banner4.jpg"
+  author="Li Lanqing, Kubernetes Developer, NetEase"
+>}}
+"As long as a company has a mature team and enough developers, I think Kubernetes is a very good technology that can help them."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote
+  image="/images/case-studies/netease/banner4.jpg"
+  author="Li Lanqing，NetEase Kubernetes 开发人员"
+>}}
+“只要公司拥有成熟的团队和足够的开发人员，我认为 Kubernetes 是一个很好的有所助力的技术。”
+{{< /case-studies/quote >}}
+
+<!-- 
+<p>Today, the NetEase internal cloud platform "can support 30,000 nodes in a single cluster," says Architect Zeng Yuxing. "In production, we have gotten the data of 10,000 nodes in a single cluster. The whole internal system is using this system for development, test, and production."</p>
+-->
+<p>“如今，系统可以在单个集群中支持 30000 个节点，“架构师 Zeng Yuxing 说。“在生产中，我们在单个集群中获取到了 10000 个节点的数据。整个内部系统都在使用该系统进行开发、测试和生产。”</p>
+
+<!-- 
+<p>The NetEase team reports that Kubernetes has increased R&D efficiency by more than 100%. Deployment efficiency has improved by 280%. "In the past, if we wanted to do upgrades, we needed to work with other teams, even in other departments," says Feng. "We needed special staff to prepare everything, so it took about half an hour. Now we can do it in only 5 minutes." The new platform also allows for mixed deployments using GPU and CPU resources. "Before, if we put all the resources toward the GPU, we won't have spare resources for the CPU. But now we have improvements thanks to the mixed deployments." Those improvements have also brought an increase in resource utilization.</p>
+-->
+<p>NetEase 团队报告说，Kubernetes 已经提高了研发效率一倍多。部署效率提高了 2.8 倍。“过去，如果我们想要进行升级，我们需要与其他团队合作，甚至加入其他部门，”Feng Changjian 说。“我们需要专人来准备一切，需要花费约半个小时。现在我们只需 5 分钟即可完成。”新平台还允许使用 GPU 和 CPU 资源进行混合部署。“以前，如果我们将所有资源都用于 GPU，则 CPU 的备用资源将没有。但是现在，由于混合部署，我们有了很大的改进，”他说。这些改进也提高了资源的利用率。</p>
+
+<!-- 
+{{< case-studies/quote author="Li Lanqing, Kubernetes Developer, NetEase">}}
+"By engaging with this community, we can gain some experience from it and we can also benefit from it. We can see what are the concerns and the challenges faced by the community, so we can get involved."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote author="Li Lanqing，NetEase Kubernetes 开发人员">}}
+“通过与这个社区接触，我们可以从中获得一些经验，我们也可以从中获益。我们可以看到社区所关心的问题和挑战，以便我们参与其中。”
+{{< /case-studies/quote >}}
+
+<!-- 
+<p>Based on the results and learnings from using its internal platform, the company introduced a Kubernetes-based cloud and microservices-oriented PaaS product, <a href="https://landscape.cncf.io/selected=netease-qingzhou-microservice">NetEase Qingzhou Microservice</a>, to outside customers. "The idea is that we can find the problems encountered by our game and e-commerce and cloud music providers, so we can integrate their experiences and provide a platform to satisfy the needs of our users," says Zeng.</p>
+-->
+<p>基于使用内部平台的成果和学习，公司向外部客户推出了基于 Kubernetes 的云和微服务型 PaaS 产品，<a href="https://landscape.cncf.io/selected=netease-qingzhou-microservice">NetEase 轻舟微服务</a>。“我们的想法是，我们可以找到我们的游戏和电子商务以及云音乐提供商遇到的问题，所以我们可以整合他们的体验，并提供一个平台，以满足所有用户的需求，”Zeng Yuxing 说。</p>
+
+<!-- 
+<p>With or without the use of the NetEase product, the team encourages other companies to try Kubernetes. "As long as a company has a mature team and enough developers, I think Kubernetes is a very good technology that can help them," says Kubernetes developer Li Lanqing.</p>
+-->
+<p>无论是否使用 NetEase 产品，该团队鼓励其他公司尝试 Kubernetes。Kubernetes 开发者 Li Lanqing 表示：“只要公司拥有成熟的团队和足够的开发人员，我认为 Kubernetes 是一个很好的技术，可以帮助他们。”</p>
+
+<!-- 
+<p>As an end user as well as a vendor, NetEase has become more involved in the community, learning from other companies and sharing what they've done. The team has been contributing to the Harbor and Envoy projects, providing feedback as the technologies are being tested at NetEase scale. "We are a team focusing on addressing the challenges of microservices architecture," says Feng. "By engaging with this community, we can gain some experience from it and we can also benefit from it. We can see what are the concerns and the challenges faced by the community, so we can get involved."</p>
+-->
+<p>作为最终用户和供应商，NetEase 已经更多地参与社区，向其他公司学习，分享他们所做的工作。该团队一直在为 Harbor 和 Envoy 项目做出贡献，在 NetEase 进行规模测试技术时提供反馈。“我们是一个团队，专注于应对微服务架构的挑战，”Feng Changjian 说。“通过与这个社区接触，我们可以从中获得一些经验，我们也可以从中获益。我们可以看到社区所关心的问题和挑战，以便我们参与其中。”</p>
diff --git a/content/zh-cn/case-studies/netease/netease_featured_logo.svg b/content/zh-cn/case-studies/netease/netease_featured_logo.svg
new file mode 100644
index 00000000000..0ea176812dd
--- /dev/null
+++ b/content/zh-cn/case-studies/netease/netease_featured_logo.svg
@@ -0,0 +1 @@
+<svg id="Layer_1" data-name="Layer 1" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 215 127"><defs><style>.cls-1{fill:transparent;}.cls-2{fill:#be3038;}</style></defs><title>kubernetes.io-logos</title><rect class="cls-1" x="-4.60453" y="-5.55447" width="223.25536" height="134.51136"/><path id="red" class="cls-2" d="M46.87693,47.72179a3.02022,3.02022,0,0,0,.37341-.42008v-.51344a6.1816,6.1816,0,0,1,.09335-1.40027,9.9391,9.9391,0,0,0,.09335-1.867,3.48615,3.48615,0,0,0-.93352-1.96038c-1.3536-1.1669-2.47382-1.587-3.36066-1.30692a4.01592,4.01592,0,0,1-1.96038-.04668,4.55825,4.55825,0,0,0-3.03393.32673,3.0861,3.0861,0,0,1-1.02687.28005,1.32812,1.32812,0,0,0-.60679,0c-.09335.04668-.14.04668-.1867.09335a8.01461,8.01461,0,0,0-1.727.88685c-.04667.04667-.04667.14-.09335.23338a3.64593,3.64593,0,0,0-.56011,1.727c.09335.79349.1867,1.3536.23338,1.63365a3.10835,3.10835,0,0,0,.3734,1.82036v.09335l.09336.04668c.42008.37341.84016.65346,1.12022.88684l.09335.09335a1.856,1.856,0,0,1,.84016-.09335,2.267,2.267,0,0,0,1.12022,0,2.1395,2.1395,0,0,1,.93352-.04667,1.22109,1.22109,0,0,0,.93352-.18671,3.42953,3.42953,0,0,1,1.30692-.09335h.04668a2.93666,2.93666,0,0,0,.51343-.37341,1.58442,1.58442,0,0,1,.28-.28005.59162.59162,0,0,1,.18671-.42008,4.25726,4.25726,0,0,0,.28-.74682c0-.23338-.04667-.51343-.09335-.93351a1.75092,1.75092,0,0,1,0-.70014,4.1829,4.1829,0,0,0,.32673-1.12022,1.51327,1.51327,0,0,1,.65346-1.30693c.46676-.37341.88685-.56011,1.1669-.46676.28006.04668.46676.28006.65346.56011A3.41022,3.41022,0,0,1,45.29,43.521a4.03657,4.03657,0,0,1-.28006,1.07354,2.91786,2.91786,0,0,1-.60678.93352A2.09055,2.09055,0,0,0,43.983,46.9283c-.04667.14-.04667.28005-.09335.42008a1.48024,1.48024,0,0,1,.23338.28005c.04668,0,.04668.04668.09335.09335a3.54869,3.54869,0,0,1,1.1669.09335,11.38709,11.38709,0,0,0,1.21357.04668c.04667,0,.09335,0,.09335.04667.04667-.09335.09335-.09335.09335-.09335s0-.04666.09336-.09334Zm-7.65484,5.181a.42076.42076,0,0,1,.04668-.23338,1.3307,1.3307,0,0,0-.09335-.74681v-.88685a.59516.59516,0,0,0-.28006-.1867,3.25934,3.25934,0,0,0-.93351-.37341h-.04668a3.31629,3.31629,0,0,1-.98019.37341,5.19706,5.19706,0,0,1-.79349.09335c-.14.04668-.18671.09335-.23338.09335a1.52181,1.52181,0,0,0-.56011.51343,1.10222,1.10222,0,0,0-.28006.42009,5.51448,5.51448,0,0,1-.1867,1.16689,2.5942,2.5942,0,0,0-.1867,1.07355,2.2403,2.2403,0,0,1,1.12022-.65346,2.7251,2.7251,0,0,1,.93351-.18671,1.29529,1.29529,0,0,0,.84017,0,1.02873,1.02873,0,0,1,.74681,0h.09335a2.09384,2.09384,0,0,0,.79349-.46675ZM50.65767,63.45155a3.28957,3.28957,0,0,1,.04668,1.49362,2.80326,2.80326,0,0,0-.23338.65346,1.51966,1.51966,0,0,1-.28006.56011,1.84,1.84,0,0,1-1.26024.46676,1.35888,1.35888,0,0,1-1.07355-.60679,1.99565,1.99565,0,0,1-.42008-1.26024,1.27594,1.27594,0,0,0-.09335-.74682.69238.69238,0,0,1,0-.60679,1.29526,1.29526,0,0,0,0-.84016A3.792,3.792,0,0,1,47.157,60.931a10.56587,10.56587,0,0,0-.09335-3.22063,2.2617,2.2617,0,0,1,0-.79349,5.11939,5.11939,0,0,0,0-1.21357,3.63682,3.63682,0,0,1,.09335-1.49363,4.16354,4.16354,0,0,0,.09336-1.5403,3.64224,3.64224,0,0,1-.14-1.12022,2.72021,2.72021,0,0,0-.60679-.51344,6.15278,6.15278,0,0,0-.65346-.60678c-.04668-.04668-.09335-.04668-.18671-.04668a4.23964,4.23964,0,0,0-2.28711-.09335,2.8799,2.8799,0,0,1-.84017.09335,1.09777,1.09777,0,0,0-.56011.18671,1.0163,1.0163,0,0,0-.37341.23337.14457.14457,0,0,1,.04668.09336,5.95225,5.95225,0,0,0,.04667.88684,1.184,1.184,0,0,1-.09335.56011.17147.17147,0,0,0-.04667.14,2.66339,2.66339,0,0,0,.65346.60679c0,.04668.04667.04668.09335.09335a3.20552,3.20552,0,0,1,1.12022.09335,5.67074,5.67074,0,0,0,1.26025,0,2.074,2.074,0,0,1,1.12022.42009,1.29035,1.29035,0,0,1,.60679,1.16689,1.05192,1.05192,0,0,1-.74681,1.02687,2.97758,2.97758,0,0,1-2.00707-.04668A4.05023,4.05023,0,0,0,41.976,55.75a2.31675,2.31675,0,0,1-1.26024.04668H40.669a10.37668,10.37668,0,0,0-2.05374.88684l.04668.04668a2.70821,2.70821,0,0,1-.23338,1.49362,3.813,3.813,0,0,0-.04668.65346v.74682a1.77736,1.77736,0,0,0,.14.74681.93826.93826,0,0,0,.1867.37341c.32674.1867.37341.46676.23338.84017a1.23518,1.23518,0,0,1-.70013.74681.95452.95452,0,0,1-.51344,0c-.14-.04667-.32673-.09335-.56011-.1867A1.7979,1.7979,0,0,1,36.04813,60.791a7.89782,7.89782,0,0,1-.1867-2.42715,5.19805,5.19805,0,0,0,.09335-.79348v-.28006a.87951.87951,0,0,0-.18671-.42008,1.97581,1.97581,0,0,0-.23337-.32673,2.46564,2.46564,0,0,1-.60679-.04668c-.23338-.14-.42008-.23338-.56011-.32673a.3529.3529,0,0,0,.04667.18671,6.01671,6.01671,0,0,1-.14,1.16689,2.301,2.301,0,0,0-.23338,1.02687,3.15208,3.15208,0,0,1-.09335.65346,1.28106,1.28106,0,0,0-.09336.60679,1.87293,1.87293,0,0,1-.14.70014,1.83065,1.83065,0,0,0-.18671.84016,2.8631,2.8631,0,0,1-.14.74682,11.08241,11.08241,0,0,0-.70014,2.14709,2.602,2.602,0,0,1-.60679,1.02687,2.4084,2.4084,0,0,1-1.21357.65346,2.17689,2.17689,0,0,1-1.02687-.23338,1.51123,1.51123,0,0,1-.60678-.84017,3.33448,3.33448,0,0,1-.09336-.93352,8.81463,8.81463,0,0,1,.28006-.84016,4.04864,4.04864,0,0,0,.60678-.88684,1.96333,1.96333,0,0,0,.60679-1.21358,1.05245,1.05245,0,0,1,.23338-.5601,8.83791,8.83791,0,0,0,.46676-1.49363,2.29884,2.29884,0,0,0,.23338-.84017,7.5469,7.5469,0,0,1,.56011-2.84722,2.4785,2.4785,0,0,0,.09335-1.63366c.04667-.42008.09335-.70013.09335-.88684a2.32729,2.32729,0,0,0,.14-1.12022,6.86942,6.86942,0,0,1-.04668-1.68033,21.02226,21.02226,0,0,0-.09335-2.7072A3.64958,3.64958,0,0,0,31.754,45.388a4.38273,4.38273,0,0,1-.70014-2.42714,5.00874,5.00874,0,0,1,.46676-2.75388,3.44,3.44,0,0,1,1.1669-1.727,1.3294,1.3294,0,0,1,1.49363.04667c-.04668-.04667-.04668-.04667,0-.04667a.92082.92082,0,0,1,.51343,0,3.81294,3.81294,0,0,0,.65346-.04668,3.30653,3.30653,0,0,1,1.63366-.14,2.18694,2.18694,0,0,0,.93351.04667,2.117,2.117,0,0,1,1.12022-.28005.8793.8793,0,0,0,.56011-.09335,2.28887,2.28887,0,0,1,1.54031-.14,2.84876,2.84876,0,0,0,1.40027.04667,5.61328,5.61328,0,0,1,1.96039-.04667,5.66436,5.66436,0,0,0,.84016.04667,1.01183,1.01183,0,0,1,.65347.23338,1.44005,1.44005,0,0,0,.84016.23338,3.1813,3.1813,0,0,1,.98019.09335,1.38743,1.38743,0,0,1,.60679.51343,1.311,1.311,0,0,0,.74681.65347,2.66966,2.66966,0,0,1,1.26025,1.63365,3.08244,3.08244,0,0,1,0,1.30693,1.02429,1.02429,0,0,1-.37341.70013.92158.92158,0,0,0-.28005.65347,1.18585,1.18585,0,0,1-.14.56011,1.106,1.106,0,0,0-.09335.74681,1.15092,1.15092,0,0,1,0,.79349,9.67753,9.67753,0,0,0-.09335,2.61384,3.41009,3.41009,0,0,1-.28006,1.49363,1.63819,1.63819,0,0,0,.04668.93351,2.52434,2.52434,0,0,1-.04668,1.1669,2.27549,2.27549,0,0,0,0,1.12022,7.02806,7.02806,0,0,1,.09335,2.38047,5.20426,5.20426,0,0,0,.14,2.5205,13.6216,13.6216,0,0,1,.74682,3.454,11.85095,11.85095,0,0,1,.51343,1.77369Zm-8.775-3.50069a4.08562,4.08562,0,0,1,.93351-.09335,2.84355,2.84355,0,0,0,.88685-.1867,1.71632,1.71632,0,0,1,1.49362.1867,1.49339,1.49339,0,0,1,.74681,1.12022A1.14139,1.14139,0,0,1,45.43,62.14462a3.1311,3.1311,0,0,1-1.96039.28006,2.05177,2.05177,0,0,0-.42008-.04668,1.58775,1.58775,0,0,1-.46676.04668,1.67814,1.67814,0,0,0-.51343.09335,2.8098,2.8098,0,0,1-1.63366-.04668,1.238,1.238,0,0,1-.56011-.93351,2.42392,2.42392,0,0,1,.28006-.88684,1.51983,1.51983,0,0,1,.98019-.56011,2.655,2.655,0,0,0,.74682-.14Zm-4.94764-16.85a.62748.62748,0,0,0,.28-.32673c.04668-.1867.28006-.28.79349-.28a1.17512,1.17512,0,0,1,.93352.42008,2.87541,2.87541,0,0,1,.46676,1.12022,1.39765,1.39765,0,0,0,.1867.46676.6477.6477,0,0,1,0,.42008c.09335.32673.09335.60679.14.74682a1.72108,1.72108,0,0,1-.09336.79348,1.28326,1.28326,0,0,1-.60678.74682c-.23338.09335-.51343-.04668-.88684-.42009a1.86772,1.86772,0,0,1-.88684-1.07354,7.50592,7.50592,0,0,1-.42009-1.1669c0-.14-.04667-.42008-.09335-.79349,0-.42008.04668-.65346.18671-.65346ZM25.03264,48.42193c-.04668,0-.04668.04667,0,0a1.70291,1.70291,0,0,1-.93352.32673.7457.7457,0,0,0-.65346.56011,2.27483,2.27483,0,0,1-.9802,1.12022.94.94,0,0,0-.51343.74681,1.58536,1.58536,0,0,1-.42008.98019,1.11538,1.11538,0,0,0-.46676.79349,2.8621,2.8621,0,0,0,.70014,1.26025,1.90186,1.90186,0,0,0,.84016.23338,2.46638,2.46638,0,0,1,.79349.1867.60872.60872,0,0,0,.60679.09335,1.14753,1.14753,0,0,1,.74681-.09335,1.93292,1.93292,0,0,0,1.07355-.1867,3.3671,3.3671,0,0,0,1.12022-.88685v-.09335a3.01672,3.01672,0,0,1,.14-1.02686,2.30424,2.30424,0,0,0,.14-1.1669,1.57172,1.57172,0,0,0-.32673-.93352c-.04668-.09335-.09335-.23338-.1867-.42008a1.32785,1.32785,0,0,0-.42009-.65346.97657.97657,0,0,1-.1867-.28006c-.04668-.09335-.09335-.14-.14-.23338-.28-.09334-.60678-.1867-.93351-.32672Zm-6.44127,5.83448a2.19855,2.19855,0,0,0-.09335-.93352,1.6634,1.6634,0,0,1,.28-1.26024c.37341-.84017.74682-1.3536,1.12022-1.49363a.92753.92753,0,0,0,.42009-.74681,2.34762,2.34762,0,0,1,.51343-1.21357,1.57326,1.57326,0,0,0,.04668-1.21358,1.06154,1.06154,0,0,0-.28006-.5601.82794.82794,0,0,0-.46676-.37341,1.22344,1.22344,0,0,1-.79349-.60679.72577.72577,0,0,0-.3734-.28.38517.38517,0,0,1-.23338-.46676.4659.4659,0,0,0-.23338-.46676.82167.82167,0,0,1-.28006-.60679c-.04667-.70014.04668-1.12022.18671-1.21357a.568.568,0,0,0,.23338-.46676,4.63139,4.63139,0,0,1,.56011-1.49362,8.9326,8.9326,0,0,1,.93351-1.54031.99793.99793,0,0,0,.28006-.46676,1.4591,1.4591,0,0,1,.42008-.51343.67972.67972,0,0,0,.28006-.42008.64161.64161,0,0,1,.3734-.46676c.14-.04668.28006-.23338.46676-.51343.37341-.70014.70014-1.07355.93352-1.02687a.99542.99542,0,0,0,.56011-.14,1.22855,1.22855,0,0,1,.93352-.09335,1.20649,1.20649,0,0,0,.65346.09335,1.928,1.928,0,0,1,1.3536.28005,1.84213,1.84213,0,0,1,.93351,1.30693c.04668.46676-.04667.70014-.23338.79349-.42008.32673-.70013.46675-.98019.42008a.64232.64232,0,0,0-.56011.09335,1.07161,1.07161,0,0,1-.65346.1867.70789.70789,0,0,0-.60679.14.558.558,0,0,1-.3734.18671c-.14-.04668-.28006.04667-.42009.23338a1.11848,1.11848,0,0,0-.32673.60678.68339.68339,0,0,1-.28005.51344,1.32784,1.32784,0,0,0-.42008.65346c-.14.32673-.23338.51343-.32674.51343a1.66148,1.66148,0,0,0-.42008,1.07355,1.84959,1.84959,0,0,0-.28,1.447,3.3376,3.3376,0,0,0,.65346.79349c.1867.04667.28.14.28.23338a.54862.54862,0,0,0,.56011.32673,1.808,1.808,0,0,1,.51344.14.63628.63628,0,0,0,.84016-.09336.88976.88976,0,0,1,.56011-.32672.63976.63976,0,0,0,.56011-.51344,1.29261,1.29261,0,0,1,.23338-.37341,1.25414,1.25414,0,0,0,.51344-.79348,1.51983,1.51983,0,0,1,.28-.56011.45742.45742,0,0,0,.14-.56011c0-.18671-.28-.42008-.74681-.65346-.18671-.14-.18671-.37341-.04668-.79349a.6937.6937,0,0,1,.65346-.37341,1.39786,1.39786,0,0,0,.46676-.1867.56627.56627,0,0,1,.60679-.04668,1.10314,1.10314,0,0,0,.60678.09335,2.21566,2.21566,0,0,1,1.68033.93352c.28006.37341.37341.60679.23338.79349s-.09335.46675.04668.79348a1.43923,1.43923,0,0,1,0,.88685c-.18671.42008-.42009.70013-.65347.70013a3.34979,3.34979,0,0,0-1.40027.79349,1.08329,1.08329,0,0,0-.37341.60679,1.48355,1.48355,0,0,0-.14.42008c0,.09335,0,.14.04667.14a4.81421,4.81421,0,0,1,.09335.93352l.09336.09335a.478.478,0,0,0,.23338.28.86077.86077,0,0,1,.51343.60679,1.42136,1.42136,0,0,0,.42008.60679,1.01665,1.01665,0,0,1,.42009.60678,4.33616,4.33616,0,0,1,.32673,1.3536,4.13734,4.13734,0,0,0,.23338,1.12023,1.59813,1.59813,0,0,1,.14.88684,2.61415,2.61415,0,0,1-.46675,1.3536,2.37321,2.37321,0,0,1-.60679.42008c-.14.14-.32673.28-.56011.46676a4.9816,4.9816,0,0,0-1.1669,1.02687,2.65457,2.65457,0,0,1-2.00706.93351,3.55325,3.55325,0,0,0-.98019.14,1.47248,1.47248,0,0,1-1.1669-.1867,2.74622,2.74622,0,0,0-1.40027-.37341,2.81758,2.81758,0,0,1-2.05374-.74681,2.74121,2.74121,0,0,1-1.02687-1.867Zm8.58836,4.15415a.7259.7259,0,0,0,.28-.37341c.04668-.18671.32673-.28006.88684-.28006a1.23357,1.23357,0,0,1,.98019.46676,3.00747,3.00747,0,0,1,.51344,1.12022c.04667.1867.09335.37341.14.51344a.79553.79553,0,0,1,0,.46676,3.14886,3.14886,0,0,1,.14.79349,1.66731,1.66731,0,0,1-.09335.79348c-.23338.42008-.46676.70014-.70014.74682q-.35007.14-.98019-.42008a2.16954,2.16954,0,0,1-.88684-1.1669,3.62818,3.62818,0,0,1-.42008-1.21357,3.83026,3.83026,0,0,0-.14-.84017c.09335-.3734.1867-.60678.28006-.60678ZM23.259,59.4841a1.01637,1.01637,0,0,0,.37341-.23338c.09335-.1867.37341-.1867.88684,0a1.29517,1.29517,0,0,1,.74682.65346,2.79093,2.79093,0,0,1,.14,1.21358,5.4564,5.4564,0,0,0,.18671,1.77368,3.01511,3.01511,0,0,1-.28006,1.5403c-.04668.32673-.04668.60679-.09335.79349a1.587,1.587,0,0,1-.32673.70014,1.39973,1.39973,0,0,1-.84017.51344c-.23338.04668-.46676-.1867-.74681-.65346a2.12638,2.12638,0,0,1-.46676-1.30693,10.17176,10.17176,0,0,1-.1867-2.66052,15.2179,15.2179,0,0,0,.23338-1.77368c.14-.37342.28005-.56012.3734-.56012Zm-4.4342.28006c.1867-.70014.46676-1.12022.88684-1.26025a.87962.87962,0,0,1,1.07354.42009,1.56326,1.56326,0,0,1,0,1.447,12.67383,12.67383,0,0,0-.04667,1.35359,1.65973,1.65973,0,0,1-.09335,1.26025A4.54517,4.54517,0,0,1,19.945,64.105a7.90411,7.90411,0,0,0-.46676,1.26024,1.43107,1.43107,0,0,1-.60678.93352,1.45465,1.45465,0,0,1-1.12023.14,1.0596,1.0596,0,0,1-.74681-.84017,2.7233,2.7233,0,0,1,.04668-1.49362,4.9767,4.9767,0,0,0,.42008-1.40028,3.17853,3.17853,0,0,1,.79349-2.10041,2.92927,2.92927,0,0,0,.56011-.84016Zm49.56974,2.10041a2.64684,2.64684,0,0,1,.9802-.70014,3.73778,3.73778,0,0,0,.98019-.70013,7.409,7.409,0,0,1,1.26024-.79349c.56011-.32673,1.26025-.79349,2.10042-1.30693a11.24352,11.24352,0,0,1,1.447-.98019,2.50017,2.50017,0,0,1,.70014-.70014A11.80326,11.80326,0,0,0,77.823,55.2366a1.72413,1.72413,0,0,1,1.30693-.3734c.56011.14.84016.46675.79349.98019a1.93758,1.93758,0,0,1-.93352,1.21357,2.835,2.835,0,0,0-.74682.74681q-.84016.70014-1.5403,1.26025a2.50949,2.50949,0,0,0-.9802.88684,4.87512,4.87512,0,0,1-1.5403,1.12022,2.2384,2.2384,0,0,0-.23338.79349c-.09335.42008-.14.65345-.1867.65345a1.33239,1.33239,0,0,0-.60679,0c-.1867.04668-.42008.04668-.74681.09335-.09335,0-.14,0-.18671.04668-.04667,0-.04667,0-.09335.04668a3.60574,3.60574,0,0,0-.88684.79349,3.54578,3.54578,0,0,1-1.30692.74682,4.56775,4.56775,0,0,0-1.12022.79348,8.34787,8.34787,0,0,1-1.63366.84017,5.59546,5.59546,0,0,1-2.10041.74682,2.17784,2.17784,0,0,0-1.12022.51343,3.21966,3.21966,0,0,1-1.68033.60679,2.34641,2.34641,0,0,1-1.587-.23338,2.08571,2.08571,0,0,1-.93352-1.30692c-.09335-.42008.14-.84017.60679-1.3536a2.49967,2.49967,0,0,1,1.63365-.70014,5.881,5.881,0,0,0,2.3338-.65346,3.57131,3.57131,0,0,1,1.30692-.42008,8.72135,8.72135,0,0,0,2.75388-1.21358Zm9.89528,5.64778a2.41284,2.41284,0,0,1-1.40027.23337,3.566,3.566,0,0,0-.9802-.23337c-.51344-.09335-.84017-.23338-.9802-.46676a2.50756,2.50756,0,0,0-.46675-.74682,1.05136,1.05136,0,0,1-.37341-.65346,1.57742,1.57742,0,0,0-.28006-.56011A1.8621,1.8621,0,0,1,73.3888,63.965a.88224.88224,0,0,1,.28005-.84017,1.13712,1.13712,0,0,1,1.30693.09335,6.01443,6.01443,0,0,1,.84016.60679,1.06393,1.06393,0,0,0,.51344.14,4.06671,4.06671,0,0,0,2.05373-.14,5.52359,5.52359,0,0,0,2.24045-.79349.574.574,0,0,1,.51343-.32673,4.69163,4.69163,0,0,0,1.68034-1.49363,5.86834,5.86834,0,0,1,.60678-.74681,5.67266,5.67266,0,0,0,1.12022-2.14709,3.64076,3.64076,0,0,0-.04668-2.19376A4.88091,4.88091,0,0,0,83.0507,54.023a.62051.62051,0,0,0-.32673-.14c-.32673,0-.60679.04668-.74682.04668a3.76983,3.76983,0,0,1-.88684.14,3.21256,3.21256,0,0,1-.60678.09335c-.14,0-.28006-.28006-.37341-.74681a9.20761,9.20761,0,0,0-.46676-1.26025c-.09335-.14-.14-.28006-.1867-.32673a1.36279,1.36279,0,0,0-.42008-.09335,2.50076,2.50076,0,0,0-1.30692-.04668,2.29776,2.29776,0,0,1-1.07355.09335h-.09335a1.95429,1.95429,0,0,1-.88684.9802,2.72789,2.72789,0,0,0-.65346.60678c-.51344.42009-.98019.79349-1.447,1.12023a2.86391,2.86391,0,0,0-.88684.79348,12.73455,12.73455,0,0,1-1.40028,1.02687,3.89589,3.89589,0,0,0-.74681.56011,6.2056,6.2056,0,0,1-1.12022.88684,2.2813,2.2813,0,0,0-.84017.65346,2.3289,2.3289,0,0,1-1.1669.65346,3.87953,3.87953,0,0,0-.98019.74682c-.32673.1867-.84016.42008-1.49362.74681a5.23871,5.23871,0,0,1-1.91371.60679c-.18671-.04668-.51344.14-.98019.42008a3.4451,3.4451,0,0,1-1.54031.56011,2.17387,2.17387,0,0,1-1.447-.28006,1.72106,1.72106,0,0,1-.79349-1.21357c-.09335-.32673.09335-.74682.56011-1.1669a2.248,2.248,0,0,1,1.49363-.60679,5.231,5.231,0,0,0,2.14709-.51343,3.78815,3.78815,0,0,1,1.16689-.37341,7.89709,7.89709,0,0,0,2.42714-1.12022,2.93708,2.93708,0,0,1,.93352-.60679,4.23037,4.23037,0,0,0,.88684-.60678,6.92819,6.92819,0,0,1,1.1669-.70014c.56011-.32673,1.21357-.70014,1.96038-1.1669.60679-.42008,1.02687-.70013,1.26025-.88684A4.03079,4.03079,0,0,1,72.922,52.296a8.25324,8.25324,0,0,0,1.49363-.98019l-.04668-.04667a1.18855,1.18855,0,0,1-.51344-1.12022,1.30772,1.30772,0,0,1,.84017-1.12022,4.32487,4.32487,0,0,1,1.49362-.23338c.46676.04667.9802.09335,1.49363.1867a2.26986,2.26986,0,0,0,1.30692.14,1.81989,1.81989,0,0,1,.74682-.09335,2.37434,2.37434,0,0,0,1.02687.1867,1.285,1.285,0,0,1,.84016.23338,7.56735,7.56735,0,0,0,1.68034.93352,2.118,2.118,0,0,1,1.02686.79349,8.20618,8.20618,0,0,0,1.447,1.26024.9424.9424,0,0,1,.42008.84017l.56011,1.12022a1.36663,1.36663,0,0,1,.32673,1.02687,2.3776,2.3776,0,0,0,.32673.79349.57393.57393,0,0,1,.04667.60678,1.38156,1.38156,0,0,0-.09335.98019c.18671.28006.09335.84017-.23337,1.63366a3.24775,3.24775,0,0,0-.09335.74682,3.66052,3.66052,0,0,1-.70014,1.727q-.91018,1.12023-1.26025,1.12022a1.47562,1.47562,0,0,0-.46676.65346,6.71157,6.71157,0,0,1-1.68033,1.447,10.88337,10.88337,0,0,1-3.08061,1.68034,5.989,5.989,0,0,1-1.54029.70014Zm-11.949-29.87254c-.70014-.18671-1.07355-.56011-1.07355-1.12023a1.41362,1.41362,0,0,1,.56011-1.26024,2.67629,2.67629,0,0,1,1.727-.60679c.42008-.04667.84016-.09335,1.30692-.1867a6.349,6.349,0,0,1,2.19377-.37341,16.61818,16.61818,0,0,1,2.38046.09335,6.69908,6.69908,0,0,0,2.38047.14,5.71471,5.71471,0,0,1,3.36066.42008,1.75021,1.75021,0,0,0,1.07354.23338,3.1465,3.1465,0,0,1,1.587.70014c.60679.37341.93352.70014.93352.98019a1.21729,1.21729,0,0,0,.42008.79349,2.51975,2.51975,0,0,1,.42008,1.867,5.38489,5.38489,0,0,0,.32673,1.12022,3.14285,3.14285,0,0,1,.28005,1.49363v2.19376a3.28914,3.28914,0,0,1-.74681,2.24044,3.48678,3.48678,0,0,1-1.77369,1.30693,3.9842,3.9842,0,0,1-2.33379.37341,4.80546,4.80546,0,0,0-1.68033.09335,2.36812,2.36812,0,0,1-1.49363.09335,1.92557,1.92557,0,0,0-1.35359-.09335,1.70364,1.70364,0,0,1-1.49363.09335,1.7936,1.7936,0,0,0-1.12022-.09335,7.15369,7.15369,0,0,1-.51343,1.26024,4.852,4.852,0,0,1-.98019.9802,3.73058,3.73058,0,0,0-.60679.60678,1.2758,1.2758,0,0,1-.70014.70014,2.87083,2.87083,0,0,0-.88684.56011,3.68456,3.68456,0,0,1-1.447.93352,10.02491,10.02491,0,0,0-1.21357.65346,2.336,2.336,0,0,1-1.54031.42008,3.15572,3.15572,0,0,0-1.5403.46676,1.9,1.9,0,0,1-1.07355.28005,1.65663,1.65663,0,0,0-.70014.04668,3.00033,3.00033,0,0,1-1.82035.09335c-.46676-.14-.74682-.32673-.74682-.46676-.04667-.1867-.09335-.32673-.1867-.32673a.87745.87745,0,0,1-.1867-.46676,1.33626,1.33626,0,0,1,.28-1.02686,2.46442,2.46442,0,0,1,.98019-.56011,2.84892,2.84892,0,0,1,1.40028-.04668,4.3713,4.3713,0,0,0,1.16689.09335,2.88451,2.88451,0,0,0,1.26025-.42008,2.09578,2.09578,0,0,1,1.26025-.46676,2.64721,2.64721,0,0,0,1.26024-.60679,2.46537,2.46537,0,0,1,1.12022-.51343,4.01268,4.01268,0,0,0,1.40028-1.07355,2.61592,2.61592,0,0,1,.46676-.70013,2.42632,2.42632,0,0,0-1.727.09335,3.0767,3.0767,0,0,1-1.77368-.14c-.84017-.23338-1.3536-.51344-1.54031-.93352a1.85429,1.85429,0,0,0-.79348-1.07354c-.37341-.23338-.51344-.70014-.42009-1.49363-.04667-1.1669-.09335-2.10041-.1867-2.84723a2.48792,2.48792,0,0,1-.04668-1.30692,5.95057,5.95057,0,0,0,.04668-.93352A3.65641,3.65641,0,0,1,62.56,38.15323a1.86833,1.86833,0,0,1,.60679-.79349,1.121,1.121,0,0,1,.70013-.28005,2.81775,2.81775,0,0,1,.74682.23338,1.47743,1.47743,0,0,1,.46675.84016,4.93869,4.93869,0,0,1,.09335,2.14709,8.89533,8.89533,0,0,0-.09335,2.66052,3.40758,3.40758,0,0,0,.60679,1.63366,2.18631,2.18631,0,0,0,1.3536,1.02686,5.057,5.057,0,0,0,2.98726-.09335,7.87031,7.87031,0,0,1,4.15414-.14,3.763,3.763,0,0,0,2.28712-.09335,6.75411,6.75411,0,0,1,2.24044-.23338,1.67876,1.67876,0,0,0,1.63365-.5601,2.47956,2.47956,0,0,0,.79349-1.3536,3.64151,3.64151,0,0,0-.1867-1.91371,3.87806,3.87806,0,0,1-.28006-1.30693,5.42769,5.42769,0,0,0-.1867-.84016c-.28006-.37341-.46676-.60679-.46676-.74682a1.0166,1.0166,0,0,0-.42008-.60678,2.18327,2.18327,0,0,1-.65345-.37341c-.23338-.32673-1.3536-.51344-3.36066-.60679a25.12078,25.12078,0,0,1-3.40734-.09335,5.28334,5.28334,0,0,0-3.40734.42008,3.07187,3.07187,0,0,1-2.42712.56013ZM71.195,40.02028a6.84281,6.84281,0,0,1,2.75388-.04668,3.71036,3.71036,0,0,0,1.867.09335,2.12625,2.12625,0,0,1,1.63365.09335,1.74983,1.74983,0,0,1,.70014,1.30693,1.49339,1.49339,0,0,1-.60679,1.02686,1.68473,1.68473,0,0,1-1.26024.04668,3.69183,3.69183,0,0,0-2.00706-.04668,2.7178,2.7178,0,0,1-2.00707.04668,5.82614,5.82614,0,0,0-2.47382.14,2.8189,2.8189,0,0,1-1.96038,0,1.47982,1.47982,0,0,1-.56011-1.1669,1.62726,1.62726,0,0,1,.56011-1.12022,1.26068,1.26068,0,0,1,1.30692-.23338,4.03373,4.03373,0,0,0,2.05374-.14Z"/><path id="black" d="M17.00439,71.43312H197.12647v1.49363H17.00439ZM116.0972,52.90281H126.926v2.80055h-6.768v2.10041h6.25456V60.4643H120.158v2.56717h6.95471v2.98725H116.05053V52.90281Zm12.27575,0h12.32243v3.22063h-4.15415v9.89528h-4.01412V56.12344H128.373V52.90281Zm38.97434,13.11591h4.2475l-4.901-13.11591h-4.43421l-4.901,13.11591h4.15414l.65346-2.14709h4.57423l.60681,2.14709Zm-4.34086-4.99431,1.447-4.71426,1.44695,4.71426Zm9.19514.65345,3.82743-.23337a3.25977,3.25977,0,0,0,.51343,1.40027,2.20093,2.20093,0,0,0,1.77368.79349,2.04183,2.04183,0,0,0,1.3536-.42008,1.21251,1.21251,0,0,0,.46676-.93352,1.14953,1.14953,0,0,0-.42008-.88684,4.803,4.803,0,0,0-2.05374-.74681,9.04382,9.04382,0,0,1-3.78074-1.587,3.23751,3.23751,0,0,1-1.1669-2.52049,3.49894,3.49894,0,0,1,2.33379-3.314,8.59394,8.59394,0,0,1,3.22063-.51343,6.709,6.709,0,0,1,3.82743.93351,4.0997,4.0997,0,0,1,1.587,2.98726l-3.82742.23338a1.82035,1.82035,0,0,0-.65346-1.26025,2.04191,2.04191,0,0,0-1.3536-.42008,1.73394,1.73394,0,0,0-1.07354.28005.97441.97441,0,0,0-.3734.74682.66049.66049,0,0,0,.32674.5601,3.07967,3.07967,0,0,0,1.3536.46676,14.58494,14.58494,0,0,1,3.78074,1.1669,4.31591,4.31591,0,0,1,1.68034,1.447,3.83059,3.83059,0,0,1,.51343,1.96038,4.15237,4.15237,0,0,1-.70013,2.3338,4.51913,4.51913,0,0,1-1.9604,1.63365,7.73487,7.73487,0,0,1-3.17395.56011c-2.24043,0-3.78074-.42008-4.6209-1.30693a5.45937,5.45937,0,0,1-1.40031-3.36066Zm13.9094-8.775h10.8288v2.80055h-6.768v2.10041h6.25456V60.4643h-6.25456v2.56717h6.9547v2.98725H186.111Zm-87.23715-3.454h4.0608l5.27437,9.19514V49.4488h4.0608V65.972H108.209l-5.27437-9.14846V65.972h-4.0608Zm44.48207,0H154.9315v3.54736h-7.23476V55.61h6.72132v3.36065h-6.72132V62.238h7.42147V65.972h-11.809V49.4488ZM93.13269,75.26054V89.02991h-3.594V80.02147a10.4962,10.4962,0,0,1-1.68033,1.12022,15.3795,15.3795,0,0,1-2.05374.84017V78.90125a8.65911,8.65911,0,0,0,2.80056-1.49363,6.59709,6.59709,0,0,0,1.587-2.14709h2.94058ZM111.803,76.75416a4.30978,4.30978,0,0,0-1.447-1.12021,6.69326,6.69326,0,0,0-2.38047-.37341,4.84533,4.84533,0,0,0-4.01412,1.727c-.9802,1.12022-1.447,2.94058-1.447,5.36772a9.53167,9.53167,0,0,0,.70014,4.01413,4.751,4.751,0,0,0,1.867,2.24044,5.72448,5.72448,0,0,0,3.03393.70014,5.61936,5.61936,0,0,0,2.66053-.56011,3.79408,3.79408,0,0,0,1.63365-1.68033,5.38444,5.38444,0,0,0,.60679-2.47382,4.601,4.601,0,0,0-1.1669-3.26731,3.67417,3.67417,0,0,0-2.8939-1.30693,3.38187,3.38187,0,0,0-1.5403.32673,4.36634,4.36634,0,0,0-1.30693,1.02687,8.21707,8.21707,0,0,1,.51344-2.84723,1.489,1.489,0,0,1,1.3536-.93352.9615.9615,0,0,1,.79348.32673,2.08436,2.08436,0,0,1,.46676,1.12022l3.50069-.46676a5.54922,5.54922,0,0,0-.9335-1.82035Zm-5.13435,6.16121a1.59824,1.59824,0,0,1,1.26025-.56011,1.48062,1.48062,0,0,1,1.21358.60679,2.71433,2.71433,0,0,1,.46675,1.727,2.49068,2.49068,0,0,1-.46675,1.68033,1.47982,1.47982,0,0,1-1.1669.56011,1.64049,1.64049,0,0,1-1.26025-.60679,2.71831,2.71831,0,0,1-.51343-1.727,2.65909,2.65909,0,0,1,.46675-1.68034Zm17.69015-3.50068-3.36066-.65346a4.54383,4.54383,0,0,1,1.587-2.61385,5.43221,5.43221,0,0,1,3.36066-.88684,5.338,5.338,0,0,1,3.594.98019,3.16871,3.16871,0,0,1,1.12022,2.47382,2.64946,2.64946,0,0,1-.46676,1.587,3.95391,3.95391,0,0,1-1.3536,1.26025,3.21292,3.21292,0,0,1,1.12022.46676,3.07553,3.07553,0,0,1,.98019,1.07354,3.52207,3.52207,0,0,1,.32673,1.63366,5.0136,5.0136,0,0,1-.56011,2.28711,3.66346,3.66346,0,0,1-1.68033,1.68033,6.3476,6.3476,0,0,1-2.8939.60679,7.42149,7.42149,0,0,1-2.75387-.42008,3.96355,3.96355,0,0,1-1.63366-1.26025,6.26078,6.26078,0,0,1-.98019-2.10041l3.54737-.51344a2.8017,2.8017,0,0,0,.65345,1.587,1.514,1.514,0,0,0,1.12022.42008,1.41611,1.41611,0,0,0,1.1669-.56011,2.12587,2.12587,0,0,0,.46676-1.49363,2.00354,2.00354,0,0,0-.46676-1.447,1.58091,1.58091,0,0,0-1.26025-.51344,5.04,5.04,0,0,0-1.16689.23338l.1867-2.7072a1.93315,1.93315,0,0,0,.46675.04668,1.54818,1.54818,0,0,0,1.1669-.46676,1.517,1.517,0,0,0,.46676-1.12021,1.33712,1.33712,0,0,0-.37341-.9802,1.30326,1.30326,0,0,0-.93352-.37341,1.53779,1.53779,0,0,0-1.02686.37341,2.92051,2.92051,0,0,0-.42008,1.40028ZM17.00439,79.228h2.75388l.98019,5.181,1.447-5.181h2.7072l1.44695,5.181.98019-5.181H30.027l-2.05373,9.28849H25.17266L23.539,82.682l-1.63365,5.83448H19.1048Zm19.04375,0h2.70719l.9802,5.181,1.447-5.181h2.7072l1.447,5.181,1.02686-5.181h2.7072L47.017,88.51647H44.21641L42.58275,82.682,40.9491,88.51647H38.14855Zm18.99706,0h2.7072l.9802,5.181,1.447-5.181h2.7072l1.44695,5.181.98019-5.181h2.7072l-2.05374,9.28849H63.1668L61.53315,82.682l-1.63366,5.83448H57.09894Zm20.63073,3.314H78.4298v2.56717H75.67593Zm63.9459,0h2.75387v2.56717h-2.75387Zm18.11023,2.14709,2.52049.74681a4.77292,4.77292,0,0,1-.79349,1.77369,3.385,3.385,0,0,1-1.3536,1.07354,5.04617,5.04617,0,0,1-2.05373.37341,6.20559,6.20559,0,0,1-2.47382-.42008,3.75958,3.75958,0,0,1-1.68033-1.5403,5.2519,5.2519,0,0,1-.70014-2.84723,4.94788,4.94788,0,0,1,1.21358-3.54737,4.54826,4.54826,0,0,1,3.454-1.26025,4.71253,4.71253,0,0,1,2.75387.70014,4.28624,4.28624,0,0,1,1.49363,2.19377l-2.56717.5601a1.84966,1.84966,0,0,0-.28006-.60678,1.62521,1.62521,0,0,0-.60678-.51344,1.53412,1.53412,0,0,0-.79349-.1867,1.68478,1.68478,0,0,0-1.49363.79349,3.11739,3.11739,0,0,0-.37341,1.82035,3.312,3.312,0,0,0,.46676,2.10041,1.62856,1.62856,0,0,0,1.30692.56011,1.55778,1.55778,0,0,0,1.26025-.46676,1.99783,1.99783,0,0,0,.70014-1.30691Zm10.87547,1.867a3.92544,3.92544,0,0,0,1.68033,1.587,6.05571,6.05571,0,0,0,2.61385.51343,5.22838,5.22838,0,0,0,2.56717-.56011,3.829,3.829,0,0,0,1.587-1.63365,5.61946,5.61946,0,0,0,.56011-2.66052,4.73147,4.73147,0,0,0-1.26025-3.50069,4.83915,4.83915,0,0,0-8.40167,3.54737,5.6477,5.6477,0,0,0,.65348,2.70719Zm2.80055-4.71426a1.71217,1.71217,0,0,1,1.40027-.60679,1.80663,1.80663,0,0,1,1.447.60679,3.02523,3.02523,0,0,1,.51343,1.91371,3.42785,3.42785,0,0,1-.51343,2.14709,1.68744,1.68744,0,0,1-1.447.60679,1.65306,1.65306,0,0,1-1.40027-.60679,3.23735,3.23735,0,0,1-.51344-2.00706,2.78873,2.78873,0,0,1,.51344-2.05374Zm21.70427-2.80055a2.33912,2.33912,0,0,0-1.867,1.02686,2.18746,2.18746,0,0,0-1.96039-1.02686,2.1187,2.1187,0,0,0-1.63365.70013v-.46675h-2.42715v8.82173h2.52049V82.822c0-1.26025.56011-1.26025.79349-1.26025.65346,0,.74682.37341.74682,1.30692v5.2277h2.52049v-5.2277c0-1.30692.65346-1.30692.88684-1.30692.42008,0,.65346.42008.65346,1.26025v5.27437h2.52049V82.12188c0-1.867-1.07352-3.0806-2.75385-3.0806Z"/></svg>
\ No newline at end of file
diff --git a/content/zh-cn/case-studies/nordstrom/index.html b/content/zh-cn/case-studies/nordstrom/index.html
index 11edf1c652c..c76be9019e9 100644
--- a/content/zh-cn/case-studies/nordstrom/index.html
+++ b/content/zh-cn/case-studies/nordstrom/index.html
@@ -2,151 +2,156 @@
 title: 案例研究：Nordstrom
 case_study_styles: true
 cid: caseStudies
-css: /css/style_case_studies.css
+
+new_case_study_styles: true
+heading_background: /images/case-studies/nordstrom/banner1.jpg
+heading_title_logo: /images/nordstrom_logo.png
+subheading: >
+  在艰难的零售环境下寻找数百万的潜在成本节约
+case_study_details:
+  - 公司: Nordstrom
+  - 地点: Seattle, Washington
+  - 行业: 零售
 ---
-
-<!-- <div class="banner1" style="background-image: url('/images/case-studies/nordstrom/banner1.jpg')">
-  <h1> CASE STUDY:<img src="/images/nordstrom_logo.png" class="header_logo" style="margin-bottom:-1.5% !important;width:20% !important;"><br> <div class="subhead">Finding Millions in Potential Savings in a Tough Retail Climate
-
-</div></h1>
-
-</div> -->
-
-<div class="banner1" style="background-image: url('/images/case-studies/nordstrom/banner1.jpg')">
-  <h1> 案例研究:<img src="/images/nordstrom_logo.png" class="header_logo" style="margin-bottom:-1.5% !important;width:20% !important;"><br> <div class="subhead">在艰难的零售环境下寻找数百万的潜在成本节约
-
-
-</div></h1>
-
-</div>
-
-<!-- <div class="details">
-    Company &nbsp;<b>Nordstrom</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Location &nbsp;<b>Seattle, Washington</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Industry &nbsp;<b>Retail</b>
-</div> -->
-
-<div class="details">
-    公司 &nbsp;<b>Nordstrom</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;地点 &nbsp;<b>西雅图, 华盛顿</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;行业 &nbsp;<b>零售</b>
-</div>
-
-<hr>
-<section class="section1">
-<div class="cols">
-  <div class="col1">
-    <!-- <h2>Challenge</h2>
-    Nordstrom wanted to increase the efficiency and speed of its technology operations, which includes the Nordstrom.com e-commerce site. At the same time, Nordstrom Technology was looking for ways to tighten its technology operational costs. -->
-
+<!-- 
+<h2>Challenge</h2>
+-->
 <h2>挑战</h2>
-Nordstrom 希望提高其技术运营的效率和速度，其中包括 Nordstrom.com 电子商务网站。与此同时，Nordstrom 技术公司正在寻找压缩技术运营成本的方法。
 
-<br>
-    <!-- <h2>Solution</h2>
-    After embracing a DevOps transformation and launching a continuous integration/continuous deployment (CI/CD) project four years ago, the company reduced its deployment time from three months to 30 minutes. But they wanted to go even faster across environments, so they began their cloud native journey, adopting Docker containers orchestrated with <a href="http://kubernetes.io/">Kubernetes</a>. -->
+<!--
+<p>Nordstrom wanted to increase the efficiency and speed of its technology operations, which includes the Nordstrom.com e-commerce site. At the same time, Nordstrom Technology was looking for ways to tighten its technology operational costs.</p>
+-->
+<p>Nordstrom 希望提高其技术运营的效率和速度，其中包括 Nordstrom.com 电子商务网站。与此同时，Nordstrom 技术公司正在寻找压缩技术运营成本的方法。</p>
 
+<!-- 
+<h2>Solution</h2>
+-->
 <h2>解决方案</h2>
-在四年前采用 DevOps 转型并启动持续集成/部署 (CI/CD)项目后，该公司将部署时间从 3 个月缩短到 30 分钟。但是他们想在部署环境上走得更快，所以他们开始他们的云原生之旅，采用与<a href="http://kubernetes.io/"> Kubernetes </a>协调的Docker容器。
 
-  <br>
-
-
-</div>
-
-<div class="col2">
-
-  <!-- <h2>Impact</h2>
-  Nordstrom Technology developers using Kubernetes now deploy faster and can "just focus on writing applications," says Dhawal Patel, a senior engineer on the team building a Kubernetes enterprise platform for Nordstrom. Furthermore, the team has increased Ops efficiency, improving CPU utilization from 5x to 12x depending on the workload. "We run thousands of virtual machines (VMs), but aren’t effectively using all those resources," says Patel. "With Kubernetes, without even trying to make our cluster efficient, we are currently at a 10x increase." -->
+<!-- 
+<p>After embracing a DevOps transformation and launching a continuous integration/continuous deployment (CI/CD) project four years ago, the company reduced its deployment time from three months to 30 minutes. But they wanted to go even faster across environments, so they began their cloud native journey, adopting Docker containers orchestrated with <a href="http://kubernetes.io/">Kubernetes</a>.</p>
+-->
+<p>在四年前采用 DevOps 转型并启动持续集成/部署 (CI/CD)项目后，该公司将部署时间从 3 个月缩短到 30 分钟。但是他们想在部署环境上走得更快，所以他们开始他们的云原生之旅，采用与 <a href="http://kubernetes.io/">Kubernetes</a> 协调的 Docker 容器。</p>
 
+<!--
+<h2>Impact</h2>
+-->
 <h2>影响</h2>
-为 Nordstrom 构建 Kubernetes 企业平台的团队高级工程师 Dhawal Patel 说，“使用 Kubernetes 的 Nordstrom 技术开发人员现在项目部署得更快，并且能够只专注于编写应用程序。”此外，该团队还提高了运营效率,根据工作负载将 CPU 利用率从 5 倍提高到 12 倍。Patel 说：“我们运行了数千台虚拟机 (VM),但无法有效地使用所有这些资源。借助  Kubernetes ,我们甚至不需要尝试去提高群集的效率,就能使运营效率增长 10 倍。”
 
-</div>
-</div>
-</section>
-<div class="banner2">
-<div class="banner2text">
-<!-- "We are always looking for ways to optimize and provide more value through technology. With Kubernetes we are showcasing two types of efficiency that we can bring: Dev efficiency and Ops efficiency. It’s a win-win." -->
-“我们一直在寻找通过技术进行优化和提供更多价值的方法。通过 Kubernetes ，我们在开发效率和运营效率这两方面取得了示范性的提升。这是一个双赢。”
-<!-- <br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>-— Dhawal Patel, senior engineer at Nordstrom</span> -->
-<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>-— Dhawal Patel, Nordstrom 高级工程师</span>
-</div>
-</div>
-<section class="section2">
-<div class="fullcol">
-<!-- When Dhawal Patel joined <a href="http://shop.nordstrom.com/">Nordstrom</a> five years ago as an application developer for the retailer’s website, he realized there was an opportunity to help speed up development cycles. -->
-当 Dhawal Patel 五年前加入<a href="http://shop.nordstrom.com/"> Nordstrom </a>，担任该零售商网站的应用程序开发人员时，他意识到有机会帮助加快开发周期。
-<br><br>
-<!-- In those early DevOps days, Nordstrom Technology still followed a traditional model of silo teams and functions. "As a developer, I was spending more time fixing environments than writing code and adding value to business," Patel says. "I was passionate about that—so I was given the opportunity to help fix it." -->
-在早期的 DevOps 时代,，Nordstrom 技术仍然遵循传统的孤岛团队和功能模型。Patel 说：“作为开发人员，我花在维护环境上的时间比编写代码和为业务增加价值的时间要多。我对此充满热情，因此我有机会参与帮助修复它。”
-<br><br>
-<!-- The company was eager to move faster, too, and in 2013 launched the first continuous integration/continuous deployment (CI/CD) project. That project was the first step in Nordstrom’s cloud native journey. -->
-公司也渴望加快步伐，并在 2013 年启动了首个持续集成/部署 (CI/CD)项目。该项目是 Nordstrom 云原生之旅的第一步。
-<br><br>
-<!-- Dev and Ops team members built a CI/CD pipeline, working with the company’s servers on premise. The team chose <a href="https://www.chef.io/chef/">Chef</a>, and wrote cookbooks that automated virtual IP creation, servers, and load balancing. "After we completed the project, deployment went from three months to 30 minutes," says Patel. "We still had multiple environments—dev, test, staging, then production—so with each environment running the Chef cookbooks, it took 30 minutes. It was a huge achievement at that point." -->
-开发人员和运营团队成员构建了一个 CI/CD 管道，在内部使用公司的服务器。团队选择了<a href="https://www.chef.io/chef/"> Chef </a>，并编写了自动虚拟 IP 创建、服务器和负载均衡的指导手册。Patel 说：“项目完成后,部署时间从 3 个月减少到 30 分钟。我们仍有开发、测试、暂存、然后生产等多个环境需要重新部署。之后，每个运行 Chef 说明书的环境部署都只花 30 分钟。在那个时候，这是一个巨大的成就。”
-<br><br>
-<!-- But new environments still took too long to turn up, so the next step was working in the cloud. Today, Nordstrom Technology has built an enterprise platform that allows the company’s 1,500 developers to deploy applications running as Docker containers in the cloud, orchestrated with Kubernetes. -->
-但是，新环境仍然需要很长时间才能出现，因此下一步是在云中工作。如今，Nordstrom  Technology 已经构建了一个企业平台，允许公司的1500 名开发人员在云中部署以 Docker 容器身份运行的应用程序，这些应用程序由 Kubernetes 进行编排。
-</div>
-</section>
-<div class="banner3" style="background-image: url('/images/case-studies/nordstrom/banner3.jpg')">
-<div class="banner3text">
-<!-- "We made a bet that Kubernetes was going to take off, informed by early indicators of community support and project velocity, so we rebuilt our system with Kubernetes at the core," -->
+<!-- 
+<p>Nordstrom Technology developers using Kubernetes now deploy faster and can "just focus on writing applications," says Dhawal Patel, a senior engineer on the team building a Kubernetes enterprise platform for Nordstrom. Furthermore, the team has increased Ops efficiency, improving CPU utilization from 5x to 12x depending on the workload. "We run thousands of virtual machines (VMs), but aren't effectively using all those resources," says Patel. "With Kubernetes, without even trying to make our cluster efficient, we are currently at a 10x increase."</p>
+-->
+<p>为 Nordstrom 构建 Kubernetes 企业平台的团队高级工程师 Dhawal Patel 说，“使用 Kubernetes 的 Nordstrom 技术开发人员现在项目部署得更快，并且能够只专注于编写应用程序。”此外，该团队还提高了运营效率，根据工作负载将 CPU 利用率从 5 倍提高到 12 倍。Patel 说：“我们运行了数千台虚拟机（VM），但无法有效地使用所有这些资源。借助 Kubernetes，我们甚至不需要尝试去提高集群的效率，就能使运营效率增长 10 倍。”</p>
+
+<!-- 
+{{< case-studies/quote author="Dhawal Patel, senior engineer at Nordstrom" >}}
+"We are always looking for ways to optimize and provide more value through technology. With Kubernetes we are showcasing two types of efficiency that we can bring: Dev efficiency and Ops efficiency. It's a win-win."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote author="Dhawal Patel， Nordstrom 高级工程师" >}}
+“我们一直在寻找通过技术进行优化和提供更多价值的方法。通过 Kubernetes，我们在开发效率和运营效率这两方面取得了示范性的提升。这是一个双赢。”
+{{< /case-studies/quote >}}
+
+<!-- 
+<p>When Dhawal Patel joined <a href="http://shop.nordstrom.com/">Nordstrom</a> five years ago as an application developer for the retailer's website, he realized there was an opportunity to help speed up development cycles.</p> -->
+<p>当 Dhawal Patel 五年前加入 <a href="http://shop.nordstrom.com/">Nordstrom</a>，担任该零售商网站的应用程序开发人员时，他意识到有机会帮助加快开发周期。</p>
+
+<!-- 
+<p>In those early DevOps days, Nordstrom Technology still followed a traditional model of silo teams and functions. "As a developer, I was spending more time fixing environments than writing code and adding value to business," Patel says. "I was passionate about that—so I was given the opportunity to help fix it."</p>
+-->
+<p>在早期的 DevOps 时代，Nordstrom 技术仍然遵循传统的孤岛团队和功能模型。Patel 说：“作为开发人员，我花在维护环境上的时间比编写代码和为业务增加价值的时间要多。我对此充满热情，因此我有机会参与帮助修复它。”</p>
+
+<!-- 
+<p>The company was eager to move faster, too, and in 2013 launched the first continuous integration/continuous deployment (CI/CD) project. That project was the first step in Nordstrom's cloud native journey.</p>
+-->
+<p>公司也渴望加快步伐，并在 2013 年启动了首个持续集成/部署（CI/CD）项目。该项目是 Nordstrom 云原生之旅的第一步。</p>
+
+<!-- 
+<p>Dev and Ops team members built a CI/CD pipeline, working with the company's servers on premise. The team chose <a href="https://www.chef.io/chef/">Chef</a>, and wrote cookbooks that automated virtual IP creation, servers, and load balancing. "After we completed the project, deployment went from three months to 30 minutes," says Patel. "We still had multiple environments—dev, test, staging, then production—so with each environment running the Chef cookbooks, it took 30 minutes. It was a huge achievement at that point."</p>
+-->
+<p>开发人员和运营团队成员构建了一个 CI/CD 管道，在内部使用公司的服务器。团队选择了 <a href="https://www.chef.io/chef/">Chef</a>，并编写了自动虚拟 IP 创建、服务器和负载均衡的指导手册。Patel 说：“项目完成后，部署时间从 3 个月减少到 30 分钟。我们仍有开发、测试、暂存、然后生产等多个环境需要重新部署。之后，每个运行 Chef 说明书的环境部署都只花 30 分钟。在那个时候，这是一个巨大的成就。”</p>
+
+<!-- 
+<p>But new environments still took too long to turn up, so the next step was working in the cloud. Today, Nordstrom Technology has built an enterprise platform that allows the company's 1,500 developers to deploy applications running as Docker containers in the cloud, orchestrated with Kubernetes.</p> -->
+<p>但是，新环境仍然需要很长时间才能出现，因此下一步是在云中工作。如今，Nordstrom  Technology 已经构建了一个企业平台，允许公司的 1500 名开发人员在云中部署以 Docker 容器身份运行的应用程序，这些应用程序由 Kubernetes 进行编排。</p>
+
+<!-- 
+{{< case-studies/quote image="/images/case-studies/nordstrom/banner3.jpg" >}}
+"We made a bet that Kubernetes was going to take off, informed by early indicators of community support and project velocity, so we rebuilt our system with Kubernetes at the core,"
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote image="/images/case-studies/nordstrom/banner3.jpg" >}}
 “了解到早期的社区支持和项目迭代指标，我们肯定 Kubernetes 一定会成功的，因此我们以 Kubernetes 为核心重建了我们的系统。”
-</div>
-</div>
-<section class="section3">
-<div class="fullcol">
+{{< /case-studies/quote >}}
 
-<!-- "The cloud provided faster access to resources, because it took weeks for us to get a virtual machine (VM) on premises," says Patel. "But now we can do the same thing in only five minutes." -->
-Patel 说：“云提供了对资源的更快访问,因为我们在内部需要花数周时间才能部署一个虚拟机 (VM)来提供服务。但现在我们可以做同样的事情，只需五分钟。”
-<br><br>
-<!-- Nordstrom’s first foray into scheduling containers on a cluster was a homegrown system based on CoreOS fleet. They began doing a few proofs of concept projects with that system until Kubernetes 1.0 was released when they made the switch. "We made a bet that Kubernetes was going to take off, informed by early indicators of community support and project velocity, so we rebuilt our system with Kubernetes at the core," says Marius Grigoriu, Sr. Manager of the Kubernetes team at Nordstrom. -->
-Nordstrom 首次尝试在集群上调度容器，是基于 CoreOS fleet 的原生系统。他们开始使用该系统做一些概念验证项目，直到 Kubernetes 1.0发布时才将正式项目迁移到里面。Nordstrom 的 Kubernetes 团队经理 Marius Grigoriu 表示：“了解到早期的社区支持和项目迭代指标，我们肯定 Kubernetes 一定会成功的，因此我们以 Kubernetes 为核心重建了我们的系统。”
-<!-- While Kubernetes is often thought as a platform for microservices, the first application to launch on Kubernetes in a critical production role at Nordstrom was Jira. "It was not the ideal microservice we were hoping to get as our first application," Patel admits, "but the team that was working on it was really passionate about Docker and Kubernetes, and they wanted to try it out. They had their application running on premises, and wanted to move it to Kubernetes." -->
-虽然 Kubernetes 通常被视为微服务的平台，但在 Nordstrom 担任关键生产角色的 Kubernetes 上推出的第一个应用程序是 Jira。Patel 承认：“这不是我们希望作为第一个应用程序获得的理想微服务，但致力于此应用程序的团队对 Docker 和 Kubernetes 非常热情，他们希望尝试一下。他们的应用程序部署在内部运行，并希望将其移动到 Kubernetes。
-<br><br>
-<!-- The benefits were immediate for the teams that came on board. "Teams running on our Kubernetes cluster loved the fact that they had fewer issues to worry about. They didn’t need to manage infrastructure or operating systems," says Grigoriu. "Early adopters loved the declarative nature of Kubernetes. They loved the reduced surface area they had to deal with." -->
-对于加入的团队来说,这些好处是立竿见影的。Grigoriu 说：“在我们的 Kubernetes 集群中运行的团队喜欢这样一个事实，即他们担心的问题更少，他们不需要管理基础设施或操作系统。早期使用者喜欢 Kubernetes 的声明特性，让他们不得不处理的面积减少。
-</div>
-</section>
-<div class="banner4" style="background-image: url('/images/case-studies/nordstrom/banner4.jpg')">
-  <div class="banner4text">
- <!-- "Teams running on our Kubernetes cluster loved the fact that they had fewer issues to worry about. They didn’t need to manage infrastructure or operating systems," says Grigoriu. "Early adopters loved the declarative nature of Kubernetes. They loved the reduced surface area they had to deal with." -->
+<!-- 
+<p>"The cloud provided faster access to resources, because it took weeks for us to get a virtual machine (VM) on premises," says Patel. "But now we can do the same thing in only five minutes."</p>
+-->
+<p>Patel 说：“云提供了对资源的更快访问，因为我们在内部需要花数周时间才能部署一个虚拟机（VM）来提供服务。但现在我们可以做同样的事情，只需五分钟。”</p>
+
+<!-- 
+<p>Nordstrom's first foray into scheduling containers on a cluster was a homegrown system based on CoreOS fleet. They began doing a few proofs of concept projects with that system until Kubernetes 1.0 was released when they made the switch. "We made a bet that Kubernetes was going to take off, informed by early indicators of community support and project velocity, so we rebuilt our system with Kubernetes at the core," says Marius Grigoriu, Sr. Manager of the Kubernetes team at Nordstrom.</p>
+-->
+<p>Nordstrom 首次尝试在集群上调度容器，是基于 CoreOS fleet 的原生系统。他们开始使用该系统做一些概念验证项目，直到 Kubernetes 1.0 发布时才将正式项目迁移到里面。Nordstrom 的 Kubernetes 团队经理 Marius Grigoriu 表示：“了解到早期的社区支持和项目迭代指标，我们肯定 Kubernetes 一定会成功的，因此我们以 Kubernetes 为核心重建了我们的系统。”</p>
+
+<!-- 
+<p>While Kubernetes is often thought as a platform for microservices, the first application to launch on Kubernetes in a critical production role at Nordstrom was Jira. "It was not the ideal microservice we were hoping to get as our first application," Patel admits, "but the team that was working on it was really passionate about Docker and Kubernetes, and they wanted to try it out. They had their application running on premises, and wanted to move it to Kubernetes."</p>
+-->
+<p>虽然 Kubernetes 通常被视为微服务的平台，但在 Nordstrom 担任关键生产角色的 Kubernetes 上推出的第一个应用程序是 Jira。Patel 承认：“这不是我们希望作为第一个应用程序获得的理想微服务，但致力于此应用程序的团队对 Docker 和 Kubernetes 非常热情，他们希望尝试一下。他们的应用程序部署在内部运行，并希望将其移动到 Kubernetes。</p>
+
+<!-- 
+<p>The benefits were immediate for the teams that came on board. "Teams running on our Kubernetes cluster loved the fact that they had fewer issues to worry about. They didn't need to manage infrastructure or operating systems," says Grigoriu. "Early adopters loved the declarative nature of Kubernetes. They loved the reduced surface area they had to deal with."</p> -->
+<p>对于加入的团队来说，这些好处是立竿见影的。Grigoriu 说：“在我们的 Kubernetes 集群中运行的团队喜欢这样一个事实，即他们担心的问题更少，他们不需要管理基础设施或操作系统。早期使用者喜欢 Kubernetes 的声明特性，让他们不得不处理的面积减少。</p>
+
+<!-- 
+{{< case-studies/quote image="/images/case-studies/nordstrom/banner4.jpg">}}
+"Teams running on our Kubernetes cluster loved the fact that they had fewer issues to worry about. They didn't need to manage infrastructure or operating systems," says Grigoriu. "Early adopters loved the declarative nature of Kubernetes. They loved the reduced surface area they had to deal with."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote image="/images/case-studies/nordstrom/banner4.jpg">}}
 Grigoriu 说：“在我们的 Kubernetes 集群中运行的团队喜欢这样一个事实，即他们担心的问题更少，他们不需要管理基础设施或操作系统。早期使用者喜欢 Kubernetes 的声明特性，让他们不得不处理的面积减少。”
-  </div>
-</div>
+{{< /case-studies/quote >}}
 
-<section class="section5">
-<div class="fullcol">
-  <!-- To support these early adopters, Patel’s team began growing the cluster and building production-grade services. "We integrated with <a href="https://prometheus.io/">Prometheus</a> for monitoring, with a <a href="https://grafana.com/">Grafana</a> front end; we used <a href="http://www.fluentd.org/">Fluentd</a> to push logs to <a href="https://www.elastic.co/">Elasticsearch</a>, so that gives us log aggregation," says Patel. The team also added dozens of open-source components, including CNCF projects and has made contributions to Kubernetes, Terraform, and kube2iam. -->
-为了支持这些早期使用者，Patel 的团队开始发展集群并构建生产级服务。“我们与<a href="https://prometheus.io/"> Prometheus </a>集成了监控功能，并配有<a href="https://grafana.com/"> Grafana </a>前端；我们使用<a href="http://www.fluentd.org/"> Fluentd </a>将日志推送到<a href="https://www.elastic.co/"> Elasticsearch </a>，从而提供日志聚合”Patel 说。该团队还增加了数十个开源组件，包括 CNCF 项目，而且把这些成果都贡献给了 Kubernetes 、Terraform 和 kube2iam 。
- <br><br>
-<!-- There are now more than 60 development teams running Kubernetes in Nordstrom Technology, and as success stories have popped up, more teams have gotten on board. "Our initial customer base, the ones who were willing to try this out, are now going and evangelizing to the next set of users," says Patel. "One early adopter had Docker containers and he was not sure how to run it in production. We sat with him and within 15 minutes we deployed it in production. He thought it was amazing, and more people in his org started coming in." -->
-现在有60多个开发团队在 Nordstrom 上运行 Kubernetes ，随着成功案例的涌现，更多的团队加入
-进来。Patel 说：“我们最初的客户群，那些愿意尝试这些的客户群，现在已经开始向后续用户宣传。一个早期使用者拥有 Docker 容器，他不知道如何在生产中运行它。我们和他坐在一起，在15分钟内，我们将其部署到生产中。他认为这是惊人的，他所在的组织更多的人开始加入进来。”
- <br><br>
-<!-- For Nordstrom Technology, going cloud-native has vastly improved development and operational efficiency. The developers using Kubernetes now deploy faster and can focus on building value in their applications.  One such team started with a 25-minute merge to deploy by launching virtual machines in the cloud. Switching to Kubernetes was a 5x speedup in their process, improving their merge to deploy time to 5 minutes. -->
-对于 Nordstrom 而言，云原生极大地提高了开发和运营
-效率。现在，使用 Kubernetes 的开发人员部署速度更快，可以专注于在其应用程序中构建价值。一个团队从 25 分钟的合并开始，通过在云中启动虚拟机来进行部署。切换到 Kubernetes 的过程速度是原来 5 倍，将合并时间缩短为 5 分钟。
-</div>
+<!-- 
+<p>To support these early adopters, Patel's team began growing the cluster and building production-grade services. "We integrated with <a href="https://prometheus.io/">Prometheus</a> for monitoring, with a <a href="https://grafana.com/">Grafana</a> front end; we used <a href="http://www.fluentd.org/">Fluentd</a> to push logs to <a href="https://www.elastic.co/">Elasticsearch</a>, so that gives us log aggregation," says Patel. The team also added dozens of open-source components, including CNCF projects and has made contributions to Kubernetes, Terraform, and kube2iam.</p>
+-->
+<p>为了支持这些早期使用者，Patel 的团队开始发展集群并构建生产级服务。“我们与 <a href="https://prometheus.io/">Prometheus</a> 集成了监控功能，并配有 <a href="https://grafana.com/">Grafana</a> 前端；我们使用 <a href="http://www.fluentd.org/">Fluentd</a> 将日志推送到 <a href="https://www.elastic.co/">Elasticsearch</a>，从而提供日志聚合”Patel 说。该团队还增加了数十个开源组件，包括 CNCF 项目，而且把这些成果都贡献给了 Kubernetes、Terraform 和 kube2iam。</p>
 
-<div class="banner5">
-  <div class="banner5text">
-    <!-- "With Kubernetes, without even trying to make our cluster efficient, we are currently at 40 percent CPU utilization—a 10x increase. we are running 2600+ customer pods that would have been 2600+ VMs if they had gone directly to the cloud. We are running them on 40 VMs now, so that’s a huge reduction in operational overhead." -->
-“借助 Kubernetes ，我们甚至不需要尝试去提高群集的效率，目前 CPU 利用率为 40%，较之前增长了 10 倍。我们正在运行 2600 多个客户 pod ，如果它们直接进入云，这些 Pod 将是 2600 多个 VM。我们现在在 40 台 VM 上运行它们，因此这大大降低了运营开销。
-  </div>
-</div>
+<!-- 
+<p>There are now more than 60 development teams running Kubernetes in Nordstrom Technology, and as success stories have popped up, more teams have gotten on board. "Our initial customer base, the ones who were willing to try this out, are now going and evangelizing to the next set of users," says Patel. "One early adopter had Docker containers and he was not sure how to run it in production. We sat with him and within 15 minutes we deployed it in production. He thought it was amazing, and more people in his org started coming in."</p>
+-->
+<p>现在有 60 多个开发团队在 Nordstrom 上运行 Kubernetes，随着成功案例的涌现，更多的团队加入进来。Patel 说：“我们最初的客户群，那些愿意尝试这些的客户群，现在已经开始向后续用户宣传。一个早期使用者拥有 Docker 容器，他不知道如何在生产中运行它。我们和他一起协作，在 15 分钟内，我们将其部署到生产中。他认为这是惊人的，他所在的组织更多的人开始加入进来。”</p>
 
-<div class="fullcol">
-  <!-- Speed is great, and easily demonstrated, but perhaps the bigger impact lies in the operational efficiency. "We run thousands of VMs on AWS, and their overall average CPU utilization is about four percent," says Patel. "With Kubernetes, without even trying to make our cluster efficient, we are currently at 40 percent CPU utilization—a 10x increase. We are running 2600+ customer pods that would have been 2600+ VMs if they had gone directly to the cloud. We are running them on 40 VMs now, so that’s a huge reduction in operational overhead." -->
-速度是伟大的，并且很容易证明，但也许更大的影响在于运营效率。Patel 说：“我们在 AWS 上运行了数千个 VM ，它们的总体平均 CPU 利用率约为 4%。借助 Kubernetes ，我们甚至不需要尝试去提高群集的效率，目前 CPU 利用率为 40%，较之前增长了 10 倍。我们正在运行 2600 多个客户 pod ，如果它们直接进入云，这些 Pod 将是 2600 多个 VM。我们现在在 40 台 VM 上运行它们，因此这大大降低了运营开销。
-<br><br>
-  <!-- Nordstrom Technology is also exploring running Kubernetes on bare metal on premises. "If we can build an on-premises Kubernetes cluster," says Patel, "we could bring the power of cloud to provision resources fast on-premises. Then for the developer, their interface is Kubernetes; they might not even realize or care that their services are now deployed on premises because they’re only working with Kubernetes." -->
-Patel 说：“如果我们能构建一个本地 Kubernetes 集群，我们就能将云的力量带到本地快速调配资源。然后，对于开发人员，他们的接口是Kubernetes；他们甚至可能没有意识到或不关心他们的服务现在部署在内部，因为他们只与 Kubernetes 合作。
-  <!-- For that reason, Patel is eagerly following Kubernetes’ development of multi-cluster capabilities. "With cluster federation, we can have our on-premise as the primary cluster and the cloud as a secondary burstable cluster," he says. "So, when there is an anniversary sale or Black Friday sale, and we need more containers - we can go to the cloud." -->
-因此，Patel 热切关注 Kubernetes 多集群能力的发展。他说：“有了集群联合，我们可以将内部部署作为主群集，将云作为辅助可突发集群。因此,当有周年销售或黑色星期五销售,我们需要更多的容器时，我们可以去云。”
-<br><br>
-  <!-- That kind of possibility—as well as the impact that Grigoriu and Patel’s team has already delivered using Kubernetes—is what led Nordstrom on its cloud native journey in the first place. "The way the retail environment is today, we are trying to build responsiveness and flexibility where we can," says Grigoriu.  "Kubernetes makes it easy to: bring efficiency to both the Dev and Ops side of the equation. It’s a win-win." -->
-这种可能性以及 Grigoriu 和 Patel 的团队已经使用Kubernetes所提供的影响，是 Nordstrom 最初在云原生之旅中所起
-的作用。Grigoriu 说：“在当下的零售模式下，我们正在努力在力所能及的地方建立响应能力和灵活性。Kubernetes 使得为开发端和运维端同时带来效率的提升，这是一个双赢。”
-</div>
-</section>
+<!-- 
+<p>For Nordstrom Technology, going cloud-native has vastly improved development and operational efficiency. The developers using Kubernetes now deploy faster and can focus on building value in their applications.  One such team started with a 25-minute merge to deploy by launching virtual machines in the cloud. Switching to Kubernetes was a 5x speedup in their process, improving their merge to deploy time to 5 minutes.</p>
+-->
+<p>对于 Nordstrom 而言，云原生极大地提高了开发和运营效率。现在，使用 Kubernetes 的开发人员部署速度更快，可以专注于在其应用程序中构建价值。一个团队从 25 分钟的合并开始，通过在云中启动虚拟机来进行部署。切换到 Kubernetes 的过程速度是原来 5 倍，将合并时间缩短为 5 分钟。</p>
+
+<!-- 
+{{< case-studies/quote >}}
+"With Kubernetes, without even trying to make our cluster efficient, we are currently at 40 percent CPU utilization—a 10x increase. we are running 2600+ customer pods that would have been 2600+ VMs if they had gone directly to the cloud. We are running them on 40 VMs now, so that's a huge reduction in operational overhead."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote >}}
+“借助 Kubernetes，我们甚至不需要尝试去提高集群的效率，目前 CPU 利用率为 40%，较之前增长了 10 倍。我们正在运行 2600 多个客户 Pod，如果它们直接进入云，这些 Pod 将是 2600 多个 VM。我们现在在 40 台 VM 上运行它们，因此这大大降低了运营开销。
+{{< /case-studies/quote >}}
+
+<!-- 
+<p>Speed is great, and easily demonstrated, but perhaps the bigger impact lies in the operational efficiency. "We run thousands of VMs on AWS, and their overall average CPU utilization is about four percent," says Patel. "With Kubernetes, without even trying to make our cluster efficient, we are currently at 40 percent CPU utilization—a 10x increase. We are running 2600+ customer pods that would have been 2600+ VMs if they had gone directly to the cloud. We are running them on 40 VMs now, so that's a huge reduction in operational overhead."</p>
+-->
+<p>速度很重要，并且很容易证明，但也许更大的影响在于运营效率。Patel 说：“我们在 AWS 上运行了数千个 VM，它们的总体平均 CPU 利用率约为 4%。借助 Kubernetes，我们甚至不需要尝试去提高集群的效率，目前 CPU 利用率为 40%，较之前增长了 10 倍。我们正在运行 2600 多个客户 Pod，如果它们直接上云，这些 Pod 将是 2600 多个 VM。我们现在在 40 台 VM 上运行它们，因此这大大降低了运营开销。</p>
+
+<!-- 
+<p>Nordstrom Technology is also exploring running Kubernetes on bare metal on premises. "If we can build an on-premises Kubernetes cluster," says Patel, "we could bring the power of cloud to provision resources fast on-premises. Then for the developer, their interface is Kubernetes; they might not even realize or care that their services are now deployed on premises because they're only working with Kubernetes."</p>
+-->
+<p>Patel 说：“如果我们能构建一个本地 Kubernetes 集群，我们就能将云的力量带到本地快速调配资源。之后对于开发人员来说，他们面向的接口是 Kubernetes；他们甚至可能没有意识到或不关心他们的服务现在部署在内部，因为他们只与 Kubernetes 一起工作。</p>
+
+<!-- 
+<p>For that reason, Patel is eagerly following Kubernetes' development of multi-cluster capabilities. "With cluster federation, we can have our on-premise as the primary cluster and the cloud as a secondary burstable cluster," he says. "So, when there is an anniversary sale or Black Friday sale, and we need more containers - we can go to the cloud."</p>
+-->
+<p>因此，Patel 热切关注 Kubernetes 多集群能力的发展。他说：“有了集群联合，我们可以将内部部署作为主集群，将云作为辅助可突发集群。因此，当有周年销售或黑色星期五销售并且我们需要更多的容器时，我们可以上云。”</p>
+
+<!-- 
+<p>That kind of possibility—as well as the impact that Grigoriu and Patel's team has already delivered using Kubernetes—is what led Nordstrom on its cloud native journey in the first place. "The way the retail environment is today, we are trying to build responsiveness and flexibility where we can," says Grigoriu.  "Kubernetes makes it easy to: bring efficiency to both the Dev and Ops side of the equation. It's a win-win."</p>
+-->
+<p>这种可能性以及 Grigoriu 和 Patel 的团队已经使用Kubernetes所提供的影响，是 Nordstrom 最初在云原生之旅中所起的作用。Grigoriu 说：“在当下的零售模式下，我们正在努力在力所能及的地方建立响应能力和灵活性。Kubernetes 使得为开发端和运维端同时带来效率的提升，这是一个双赢。”</p>
diff --git a/content/zh-cn/case-studies/ygrene/index.html b/content/zh-cn/case-studies/ygrene/index.html
index 969483ba073..3c42589c1d1 100644
--- a/content/zh-cn/case-studies/ygrene/index.html
+++ b/content/zh-cn/case-studies/ygrene/index.html
@@ -1,130 +1,187 @@
 ---
 title: 案例研究：Ygrene
-
+linkTitle: Ygrene
 case_study_styles: true
 cid: caseStudies
-css: /css/style_ygrene.css
+logo: ygrene_featured_logo.png
+featured: true
+weight: 48
+quote: >
+  我们必须改变一些实践和代码，以及构建的方式，但我们能够在一个月左右的时间内将我们的主要系统安装到 Kubernetes 上，然后在两个月内投入生产。这对于金融公司来说是非常快的。
+
+new_case_study_styles: true
+heading_background: /images/case-studies/ygrene/banner1.jpg
+heading_title_logo: /images/ygrene_logo.png
+subheading: >
+  Ygrene: 使用原生云为金融行业带来安全性和可扩展性
+case_study_details:
+  - 公司: Ygrene
+  - 地点: Petaluma， Calif
+  - 行业: 清洁能源融资
 ---
+<!-- 
+title: Ygrene Case Study
+linkTitle: Ygrene
+case_study_styles: true
+cid: caseStudies
+logo: ygrene_featured_logo.png
+featured: true
+weight: 48
+quote: >
+  We had to change some practices and code, and the way things were built, but we were able to get our main systems onto Kubernetes in a month or so, and then into production within two months. That's very fast for a finance company.
 
-<!-- <div class="banner1 desktop" style="background-image: url('/images/CaseStudy_ygrene_banner1.jpg')">
-  <h1> CASE STUDY:<img src="/images/ygrene_logo.png" style="margin-bottom:-1%" class="header_logo"><br> <div class="subhead">Ygrene: Using Cloud Native to Bring Security and Scalability to the Finance Industry
+new_case_study_styles: true
+heading_background: /images/case-studies/ygrene/banner1.jpg
+heading_title_logo: /images/ygrene_logo.png
+subheading: >
+  Ygrene: Using Cloud Native to Bring Security and Scalability to the Finance Industry
+case_study_details:
+  - Company: Ygrene
+  - Location: Petaluma, Calif.
+  - Industry: Clean energy financing 
+-->
 
-</div></h1> -->
-<div class="banner1">
-  <h1> 案例研究:<img src="/images/ygrene_logo.png" style="margin-bottom:-1%" class="header_logo"><br> <div class="subhead">Ygrene: 使用原生云为金融行业带来安全性和可扩展性
+<!--
+<h2>Challenges</h2>
+-->
+<h2>挑战</h2>
 
-</div></h1>
+<!-- 
+<p>A PACE (Property Assessed Clean Energy) financing company, Ygrene has funded more than $1 billion in loans since 2010. In order to approve and process those loans, "We have lots of data sources that are being aggregated, and we also have lots of systems that need to churn on that data," says Ygrene Development Manager Austin Adams. The company was utilizing massive servers, and "we just reached the limit of being able to scale them vertically. We had a really unstable system that became overwhelmed with requests just for doing background data processing in real time. The performance the users saw was very poor. We needed a solution that wouldn't require us to make huge refactors to the code base." As a finance company, Ygrene also needed to ensure that they were shipping their applications securely.</p> 
+-->
+<p>作为一家 PACE（清洁能源资产评估）融资公司，Ygrene 自 2010 年以来已经为超过 10 亿的贷款提供资金。为了批准和处理这些贷款，“我们有很多正在聚合的数据源，而且我们也有许多系统需要对这些数据进行改动，”Ygrene 开发经理 Austin Adams 说。该公司正在使用大量服务器，“我们刚刚达到能够垂直扩展它们的极限。我们有一个非常不稳定的系统，它变得不知所措，要求只是做后台数据处理的实时。用户看到的性能很差。我们需要一个解决方案，不需要我们对代码库进行大量重构。作为一家金融公司，Ygrene 还需要确保他们安全地传输应用程序。”</p>
 
+<!-- 
+<h2>Solution</h2>
+-->
+<h2>解决方案</h2>
 
-</div>
-
-<!-- <div class="details">
-    Company &nbsp;<b>Ygrene</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Location &nbsp;<b>Petaluma, Calif.</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Industry &nbsp;<b>Clean energy financing</b>
-</div> -->
-<div class="details">
-    公司 &nbsp;<b>Ygrene</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;位置 &nbsp;<b>佩塔卢马，加利福尼亚州</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;行业 &nbsp;<b>清洁能源融资</b>
-</div>
-
-<hr>
-<section class="section1">
-<div class="cols">
-  <div class="col1">
-    <h2>挑战</h2>
-    <!-- A PACE (Property Assessed Clean Energy) financing company, Ygrene has funded more than $1 billion in loans since 2010. In order to approve and process those loans, "We have lots of data sources that are being aggregated, and we also have lots of systems that need to churn on that data," says Ygrene Development Manager Austin Adams. The company was utilizing massive servers, and "we just reached the limit of being able to scale them vertically. We had a really unstable system that became overwhelmed with requests just for doing background data processing in real time. The performance the users saw was very poor. We needed a solution that wouldn’t require us to make huge refactors to the code base." As a finance company, Ygrene also needed to ensure that they were shipping their applications securely. -->
-作为一家 PACE（清洁能源资产评估）融资公司，Ygrene 自2010年以来已经为超过10亿的贷款提供资金。为了批准和处理这些贷款，“我们有很多正在聚合的数据源，而且我们也有许多系统需要对这些数据进行改动，”Ygrene 开发经理 Austin Adams 说。该公司正在使用大量服务器，“我们刚刚达到能够垂直扩展它们的极限。我们有一个非常不稳定的系统，它变得不知所措，要求只是做后台数据处理的实时。用户看到的性能很差。我们需要一个解决方案，不需要我们对代码库进行大量重构。作为一家金融公司，Ygrene 还需要确保他们安全地传输应用程序。”
-
-<br>
-
- <h2>解决方案</h2>
-    <!-- Moving from an Engine Yard platform and Amazon Elastic Beanstalk, the Ygrene team embraced cloud native technologies and practices: <a href="https://kubernetes.io/">Kubernetes</a> to help scale out vertically and distribute workloads, <a href="https://github.com/theupdateframework/notary">Notary</a> to put in build-time controls and get trust on the Docker images being used with third-party dependencies, and <a href="https://www.fluentd.org/">Fluentd</a> for "observing every part of our stack," all running on <a href="https://aws.amazon.com/ec2/spot/">Amazon EC2 Spot</a>. -->
-从 Engine Yard 和 Amazon Elastic Beanstalk 上迁移了应用后，Ygrene 团队采用云原生技术和实践：使用<a href="https://kubernetes.io/">Kubernetes</a>来帮助垂直扩展和分配工作负载，使用<a href="https://github.com/theupdateframework/notary"> Notary </a>加入构建时间控制和获取使用第三方依赖的可信赖 Docker 镜像，使用<a href="https://www.fluentd.org/">Fluentd</a>“掌握堆栈中的所有情况”，这些都运行在<a href="https://aws.amazon.com/ec2/spot/">Amazon EC2 Spot</a>上。
-</div>
-
-<div class="col2">
+<!-- 
+<p>Moving from an Engine Yard platform and Amazon Elastic Beanstalk, the Ygrene team embraced cloud native technologies and practices: <a href="https://kubernetes.io/">Kubernetes</a> to help scale out vertically and distribute workloads, <a href="https://github.com/theupdateframework/notary">Notary</a> to put in build-time controls and get trust on the Docker images being used with third-party dependencies, and <a href="https://www.fluentd.org/">Fluentd</a> for "observing every part of our stack," all running on <a href="https://aws.amazon.com/ec2/spot/">Amazon EC2 Spot</a>.</p>
+-->
+<p>从 Engine Yard 和 Amazon Elastic Beanstalk 上迁移了应用后，Ygrene 团队采用云原生技术和实践：使用<a href="https://kubernetes.io/"> Kubernetes </a>来帮助垂直扩展和分配工作负载，使用<a href="https://github.com/theupdateframework/notary"> Notary </a>加入构建时间控制和获取使用第三方依赖的可信赖 Docker 镜像，使用<a href="https://www.fluentd.org/"> Fluentd </a>“掌握堆栈中的所有情况”，这些都运行在 <a href="https://aws.amazon.com/ec2/spot/"> Amazon EC2 Spot </a>上。</p>
 
+<!--
+<h2>Impact</h2>
+-->
 <h2>影响</h2>
-  <!-- Before, deployments typically took three to four hours, and two or three months’ worth of work would be deployed at low-traffic times every week or two weeks. Now, they take five minutes for Kubernetes, and an hour for the overall deploy with smoke testing. And "we’re able to deploy three or four times a week, with just one week’s or two days’ worth of work," Adams says. "We’re deploying during the work week, in the daytime and without any downtime. We had to ask for business approval to take the systems down, even in the middle of the night, because people could be doing loans. Now we can deploy, ship code, and migrate databases, all without taking the system down. The company gets new features without worrying that some business will be lost or delayed." Additionally, by using the kops project, Ygrene can now run its Kubernetes clusters with AWS EC2 Spot, at a tenth of the previous cost. These cloud native technologies have "changed the game for scalability, observability, and security—we’re adding new data sources that are very secure," says Adams. "Without Kubernetes, Notary, and Fluentd, we couldn’t tell our investors and team members that we knew what was going on." -->
-以前，部署通常需要三到四个小时，而且每周或每两周要把一些两三个月工作量的任务在系统占用低的时候进行部署。现在，他们用5分钟来配置 Kubernetes，然后用一个小时进行整体部署与烟雾测试。Adams 说：“我们每周可以部署三到四次，只需一周或两天的工作量。”“我们在工作周、白天的任意时间进行部署，甚至不需要停机。以前我们不得不请求企业批准，以关闭系统，因为即使在半夜，人们也可能正在访问服务。现在，我们可以部署、上传代码和迁移数据库，而无需关闭系统。公司获得新功能，而不必担心某些业务会丢失或延迟。”此外，通过使用 kops 项目，Ygrene 现在可以用以前成本的十分之一使用 AWS EC2 Spot 运行其 Kubernetes 集群。Adams 说，这些云原生技术“改变了可扩展性、可观察性和安全性（我们正在添加新的非常安全的数据源）的游戏。”“没有 Kubernetes、Notary 和 Fluent，我们就无法告诉投资者和团队成员，我们知道刚刚发生了什么事情。”
 
-</div>
+<!--
+<p>Before, deployments typically took three to four hours, and two or three months' worth of work would be deployed at low-traffic times every week or two weeks. Now, they take five minutes for Kubernetes, and an hour for the overall deploy with smoke testing. And "we're able to deploy three or four times a week, with just one week's or two days' worth of work," Adams says. "We're deploying during the work week, in the daytime and without any downtime. We had to ask for business approval to take the systems down, even in the middle of the night, because people could be doing loans. Now we can deploy, ship code, and migrate databases, all without taking the system down. The company gets new features without worrying that some business will be lost or delayed." Additionally, by using the kops project, Ygrene can now run its Kubernetes clusters with AWS EC2 Spot, at a tenth of the previous cost. These cloud native technologies have "changed the game for scalability, observability, and security—we're adding new data sources that are very secure," says Adams. "Without Kubernetes, Notary, and Fluentd, we couldn't tell our investors and team members that we knew what was going on."</p>
+-->
+<p>以前，部署通常需要三到四个小时，而且每周或每两周要把一些两三个月工作量的任务在系统占用低的时候进行部署。现在，他们用 5 分钟来配置 Kubernetes，然后用一个小时进行整体部署与烟雾测试。Adams 说：“我们每周可以部署三到四次，只需一周或两天的工作量。”“我们在工作周、白天的任意时间进行部署，甚至不需要停机。以前我们不得不请求企业批准，以关闭系统，因为即使在半夜，人们也可能正在访问服务。现在，我们可以部署、上传代码和迁移数据库，而无需关闭系统。公司获得新功能，而不必担心某些业务会丢失或延迟。”此外，通过使用 kops 项目，Ygrene 现在可以用以前成本的十分之一使用 AWS EC2 Spot 运行其 Kubernetes 集群。Adams 说，这些云原生技术“改变了可扩展性、可观察性和安全性（我们正在添加新的非常安全的数据源）的游戏。”“没有 Kubernetes、Notary 和 Fluent，我们就无法告诉投资者和团队成员，我们知道刚刚发生了什么事情。”</p>
 
-</div>
-</section>
-<div class="banner2">
-  <div class="banner2text">
-<!-- "CNCF projects are helping Ygrene determine the security and observability standards for the entire PACE industry. We’re an emerging finance industry, and without these projects, especially Kubernetes, we couldn’t be the industry leader that we are today." <span style="font-size:14px;letter-spacing:0.12em;padding-top:20px;text-transform:uppercase;line-height:14px"><br><br>— Austin Adams, Development Manager, Ygrene Energy Fund</span> -->
-“CNCF 项目正在帮助 Ygrene 确定整个 PACE 行业的安全性和可观察性标准。我们是一个新兴的金融企业，没有这些项目，尤其是 Kubernetes，我们不可能成为今天的行业领导者。”<span style="font-size:14px;letter-spacing:0.12em;padding-top:20px;text-transform:uppercase;line-height:14px"><br><br>— Austin Adams, Ygrene 能源基金会开发经理</span>
+<!--
+{{< case-studies/quote author="Austin Adams, Development Manager, Ygrene Energy Fund" >}}
+"CNCF projects are helping Ygrene determine the security and observability standards for the entire PACE industry. We're an emerging finance industry, and without these projects, especially Kubernetes, we couldn't be the industry leader that we are today."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote author="Austin Adams, Ygrene 能源基金会开发经理" >}}
+“CNCF 项目正在帮助 Ygrene 确定整个 PACE 行业的安全性和可观察性标准。我们是一个新兴的金融企业，没有这些项目，尤其是 Kubernetes，我们不可能成为今天的行业领导者。”
+{{< /case-studies/quote >}}
 
-  </div>
-</div>
+<!--
+{{< case-studies/lead >}}
+In less than a decade, <a href="https://ygrene.com/">Ygrene</a> has funded more than $1 billion in loans for renewable energy projects.
+{{< /case-studies/lead >}}
+-->
+{{< case-studies/lead >}}
+在不到十年的时间里，<a href="https://ygrene.com/"> Ygrene </a>就为可再生能源项目提供了超过 10 亿美元的贷款。
+{{< /case-studies/lead >}}
 
-<section class="section2">
-<div class="fullcol">
- <!-- <h2>In less than a decade, <a href="https://ygrene.com/index.html" style="text-decoration:underline">Ygrene</a> has funded more than $1 billion in loans for renewable energy&nbsp;projects.</h2> A <a href="https://www.energy.gov/eere/slsc/property-assessed-clean-energy-programs">PACE</a> (Property Assessed Clean Energy) financing company, "We take the equity in a home or a commercial building, and use it to finance property improvements for anything that saves electricity, produces electricity, saves water, or reduces carbon emissions," says Development Manager Austin Adams. <br><br> -->
-<h2>在不到十年的时间里，<a href="https://ygrene.com/index.html" style="text-decoration:underline"> Ygrene </a>就为可再生能源项目提供了超过10亿美元的贷款。</h2><a href="https://www.energy.gov/eere/slsc/property-assessed-clean-energy-programs"> PACE </a>（清洁能源物业评估）融资公司开发经理 Austin Adams 表示：“我们抵押房屋或商业建筑，用贷款来为任何可以节约电力、生产电力、节约用水或减少碳排放的项目提供资金支持。”<br><br>
+<!--
+<p>A <a href="https://www.energy.gov/eere/slsc/property-assessed-clean-energy-programs">PACE</a> (Property Assessed Clean Energy) financing company, "We take the equity in a home or a commercial building, and use it to finance property improvements for anything that saves electricity, produces electricity, saves water, or reduces carbon emissions," says Development Manager Austin Adams.</p>
+-->
+<p><a href="https://www.energy.gov/eere/slsc/property-assessed-clean-energy-programs"> PACE </a>（清洁能源物业评估）融资公司开发经理 Austin Adams 表示：“我们抵押房屋或商业建筑，用贷款来为任何可以节约电力、生产电力、节约用水或减少碳排放的项目提供资金支持。”</p>
 
-<!-- In order to approve those loans, the company processes an enormous amount of underwriting data. "We have tons of different points that we have to validate about the property, about the company, or about the person," Adams says. "So we have lots of data sources that are being aggregated, and we also have lots of systems that need to churn on that data in real time." <br><br> -->
-为了批准这些贷款，公司需要处理大量的承销数据。Adams 说：“我们必须要验证有关财产、公司或人员的问题，像这样的工作数以千计。因此，我们有很多正在聚合的数据源，并且我们也有大量系统需要实时对这些数据进行改动。”<br><br>
-<!-- By 2017, deployments and scalability had become pain points. The company was utilizing massive servers, and "we just reached the limit of being able to scale them vertically," he says. Migrating to AWS Elastic Beanstalk didn’t solve the problem: "The Scala services needed a lot of data from the main Ruby on Rails services and from different vendors, so they were asking for information from our Ruby services at a rate that those services couldn’t handle. We had lots of configuration misses with Elastic Beanstalk as well. It just came to a head, and we realized we had a really unstable system." -->
-到 2017 年，部署和可扩展性已成为痛点。该公司已经使用了大量服务器，“我们刚刚达到能够垂直扩展的极限，”他说。迁移到 AWS Elastic Beanstalk 并不能解决问题：“Scala 服务需要来自主 Ruby on Rails 服务和不同供应商提供的大量数据，因此他们要求从我们的 Ruby 服务以一种服务器无法承受的速率获取信息。在 Elastic Beanstalk 上我们也有许多配置与应用不匹配。这仅仅是一个开始，我们也意识到我们这个系统非常不稳定。”
-</div>
-</section>
-<div class="banner3">
-  <div class="banner3text">
-    <!-- "CNCF has been an amazing incubator for so many projects. Now we look at its webpage regularly to find out if there are any new, awesome, high-quality projects we can implement into our stack. It’s actually become a hub for us for knowing what software we need to be looking at to make our systems more secure or more scalable."<span style="font-size:14px;letter-spacing:0.12em;padding-top:20px;text-transform:uppercase;line-height:14px"><br><br>— Austin Adams, Development Manager, Ygrene Energy Fund</span> -->
-“CNCF 是众多项目惊人的孵化器。现在，我们定期查看其网页，了解是否有任何新的、可敬的高质量项目可以应用到我们的系统中。它实际上已成为我们了解自身需要什么样的软件以使我们的系统更加安全和具有可伸缩性的信息中心。”<span style="font-size:14px;letter-spacing:0.12em;padding-top:20px;text-transform:uppercase;line-height:14px"><br><br>— Austin Adams, Ygrene 能源基金会开发经理</span>
-  </div>
-</div>
-<section class="section3">
-<div class="fullcol">
+<!--
+<p>In order to approve those loans, the company processes an enormous amount of underwriting data. "We have tons of different points that we have to validate about the property, about the company, or about the person," Adams says. "So we have lots of data sources that are being aggregated, and we also have lots of systems that need to churn on that data in real time."</p>
+-->
+<p>为了批准这些贷款，公司需要处理大量的承销数据。Adams 说：“我们必须要验证有关财产、公司或人员的问题，像这样的工作数以千计。因此，我们有很多正在聚合的数据源，并且我们也有大量系统需要实时对这些数据进行改动。”</p>
 
-<!-- Adams along with the rest of the team set out to find a solution that would be transformational, but "wouldn’t require us to make huge refactors to the code base," he says. And as a finance company, Ygrene needed security as much as scalability. They found the answer by embracing cloud native technologies: Kubernetes to help scale out vertically and distribute workloads, Notary to achieve reliable security at every level, and Fluentd for observability. "Kubernetes was where the community was going, and we wanted to be future proof," says Adams. <br><br> -->
-Adams 和其他团队一起着手寻找一种具有变革性的解决方案，但“不需要我们对代码库进行巨大的重构，”他说。作为一家金融公司，和可伸缩性一样，Ygrene 需要更好的安全性。他们通过采用云原生技术找到了答案：Kubernetes 帮助纵向扩展和分配工作负载，Notary 在各个级别实现可靠的安全性，Fluentd 来提供可观察性。Adams 说：“ Kubernetes 是社区前进的方向，也是我们展望未来的证明。”<br><br>
-<!-- With Kubernetes, the team was able to quickly containerize the Ygrene application with Docker. "We had to change some practices and code, and the way things were built," Adams says, "but we were able to get our main systems onto Kubernetes in a month or so, and then into production within two months. That’s very fast for a finance company."<br><br> -->
-有了 Kubernetes，该团队能够快速将 Ygrene 应用程序用 Docker 容器化。“我们必须改变一些实现和代码，以及系统的构建方式，” Adams 说，“但我们已经能够在一个月左右的时间内将主要系统引入 Kubernetes，然后在两个月内投入生产。对于一家金融公司来说，这已经非常快了。”<br><br>
-<!-- How? Cloud native has "changed the game for scalability, observability, and security—we’re adding new data sources that are very secure," says Adams. "Without Kubernetes, Notary, and Fluentd, we couldn’t tell our investors and team members that we knew what was going on." <br><br> -->
-怎么样？Adams 说，这些云原生技术“改变了可扩展性、可观察性和安全性（我们正在添加新的非常安全的数据源）的游戏。”“没有 Kubernetes、Notary 和 Fluent，我们就无法告诉投资者和团队成员，我们知道刚刚发生了什么事情。”<br><br>
-<!-- Notary, in particular, "has been a godsend," says Adams. "We need to know that our attack surface on third-party dependencies is low, or at least managed. We use it as a trust system and we also use it as a separation, so production images are signed by Notary, but some development images we don’t sign. That is to ensure that they can’t get into the production cluster. We’ve been using it in the test cluster to feel more secure about our builds." -->
-Adams 说，尤其 Notary 简直就是“天赐之物”。“我们要清楚，我们针对第三方依赖项的攻击面较低，或者至少是托管的。因为我们使用 Notary 作为一个信任系统，我们也使用它作为区分，所以生产镜像由 Notary 签名，但一些开发镜像就不签署。这是为了确保未签名镜像无法进入生产集群。我们已经在测试集群中使用它，以使构建的应用更安全。”
+<!--
+<p>By 2017, deployments and scalability had become pain points. The company was utilizing massive servers, and "we just reached the limit of being able to scale them vertically," he says. Migrating to AWS Elastic Beanstalk didn't solve the problem: "The Scala services needed a lot of data from the main Ruby on Rails services and from different vendors, so they were asking for information from our Ruby services at a rate that those services couldn't handle. We had lots of configuration misses with Elastic Beanstalk as well. It just came to a head, and we realized we had a really unstable system."</p>
+-->
+<p>到 2017 年，部署和可扩展性已成为痛点。该公司已经使用了大量服务器，“我们刚刚达到能够垂直扩展的极限，”他说。迁移到 AWS Elastic Beanstalk 并不能解决问题：“Scala 服务需要来自主 Ruby on Rails 服务和不同供应商提供的大量数据，因此他们要求从我们的 Ruby 服务以一种服务器无法承受的速率获取信息。在 Elastic Beanstalk 上我们也有许多配置与应用不匹配。这仅仅是一个开始，我们也意识到我们这个系统非常不稳定。”</p>
 
+<!--
+{{< case-studies/quote
+  image="/images/case-studies/ygrene/banner3.jpg"
+  author="Austin Adams, Development Manager, Ygrene Energy Fund"
+>}}
+"CNCF has been an amazing incubator for so many projects. Now we look at its webpage regularly to find out if there are any new, awesome, high-quality projects we can implement into our stack. It's actually become a hub for us for knowing what software we need to be looking at to make our systems more secure or more scalable."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote
+  image="/images/case-studies/ygrene/banner3.jpg"
+  author="Austin Adams, Ygrene 能源基金会开发经理"
+>}}
+“CNCF 是众多项目惊人的孵化器。现在，我们定期查看其网页，了解是否有任何新的、可敬的高质量项目可以应用到我们的系统中。它实际上已成为我们了解自身需要什么样的软件以使我们的系统更加安全和具有可伸缩性的信息中心。”
+{{< /case-studies/quote >}}
 
-</div>
-</section>
-<div class="banner4">
-  <div class="banner4text">
-<!-- "We had to change some practices and code, and the way things were built," Adams says, "but we were able to get our main systems onto Kubernetes in a month or so, and then into production within two months. That’s very fast for a finance company." -->
+<!--
+<p>Adams along with the rest of the team set out to find a solution that would be transformational, but "wouldn't require us to make huge refactors to the code base," he says. And as a finance company, Ygrene needed security as much as scalability. They found the answer by embracing cloud native technologies: Kubernetes to help scale out vertically and distribute workloads, Notary to achieve reliable security at every level, and Fluentd for observability. "Kubernetes was where the community was going, and we wanted to be future proof," says Adams.</p> -->
+<p>Adams 和其他团队一起着手寻找一种具有变革性的解决方案，但“不需要我们对代码库进行巨大的重构，”他说。作为一家金融公司，和可伸缩性一样，Ygrene 需要更好的安全性。他们通过采用云原生技术找到了答案：Kubernetes 帮助纵向扩展和分配工作负载，Notary 在各个级别实现可靠的安全性，Fluentd 来提供可观察性。Adams 说：“Kubernetes 是社区前进的方向，也是我们展望未来的证明。”</p>
+
+<!-- 
+<p>With Kubernetes, the team was able to quickly containerize the Ygrene application with Docker. "We had to change some practices and code, and the way things were built," Adams says, "but we were able to get our main systems onto Kubernetes in a month or so, and then into production within two months. That's very fast for a finance company."</p>
+-->
+<p>有了 Kubernetes，该团队能够快速将 Ygrene 应用程序用 Docker 容器化。“我们必须改变一些实现和代码，以及系统的构建方式，” Adams 说，“但我们已经能够在一个月左右的时间内将主要系统引入 Kubernetes，然后在两个月内投入生产。对于一家金融公司来说，这已经非常快了。”</p>
+
+<!-- 
+<p>How? Cloud native has "changed the game for scalability, observability, and security—we're adding new data sources that are very secure," says Adams. "Without Kubernetes, Notary, and Fluentd, we couldn't tell our investors and team members that we knew what was going on."</p>
+-->
+<p>怎么样？Adams 说，这些云原生技术“改变了可扩展性、可观察性和安全性（我们正在添加新的非常安全的数据源）的游戏。”“没有 Kubernetes、Notary 和 Fluent，我们就无法告诉投资者和团队成员，我们知道刚刚发生了什么事情。”</p>
+
+<!-- 
+<p>Notary, in particular, "has been a godsend," says Adams. "We need to know that our attack surface on third-party dependencies is low, or at least managed. We use it as a trust system and we also use it as a separation, so production images are signed by Notary, but some development images we don't sign. That is to ensure that they can't get into the production cluster. We've been using it in the test cluster to feel more secure about our builds."</p>
+-->
+<p>Adams 说，尤其 Notary 简直就是“天赐之物”。“我们要清楚，我们针对第三方依赖项的攻击面较低，或者至少是托管的。因为我们使用 Notary 作为一个信任系统，我们也使用它作为区分，所以生产镜像由 Notary 签名，但一些开发镜像就不签署。这是为了确保未签名镜像无法进入生产集群。我们已经在测试集群中使用它，以使构建的应用更安全。”</p>
+
+<!-- 
+{{< case-studies/quote image="/images/case-studies/ygrene/banner4.jpg">}}
+"We had to change some practices and code, and the way things were built," Adams says, "but we were able to get our main systems onto Kubernetes in a month or so, and then into production within two months. That's very fast for a finance company."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote image="/images/case-studies/ygrene/banner4.jpg">}}
 “我们必须改变一些实现和代码，以及系统的构建方式，” Adams 说，“但我们已经能够在一个月左右的时间内将主要系统引入 Kubernetes，然后在两个月内投入生产。对于一家金融公司来说，这已经非常快了。”
-  </div>
-</div>
+{{< /case-studies/quote >}}
 
-<section class="section4">
-<div class="fullcol">
- <!-- By using the kops project, Ygrene was able to move from Elastic Beanstalk to running its Kubernetes clusters on AWS EC2 Spot, at a tenth of the previous cost. "In order to scale before, we would need to up our instance sizes, incurring high cost for low value," says Adams. "Now with Kubernetes and kops, we are able to scale horizontally on Spot with multiple instance groups."<br><br> -->
-通过使用 kops 项目，Ygrene 能够用以前成本的十分之一从 Elastic Beanstalk 迁移到 AWS EC2 Spot 上运行其 Kubernetes 群集。Adams 说：“以前为了扩展，我们需要增加实例大小，导致高成本产出低价值。现在，借助 Kubernetes 和 kops，我们能够在具有多个实例组的 Spot 上水平缩放。”<br><br>
-<!-- That also helped them mitigate the risk that comes with running in the public cloud. "We figured out, essentially, that if we’re able to select instance classes using EC2 Spot that had an extremely low likelihood of interruption and zero history of interruption, and we’re willing to pay a price high enough, that we could virtually get the same guarantee using Kubernetes because we have enough nodes," says Software Engineer Zach Arnold, who led the migration to Kubernetes. "Now that we’ve re-architected these pieces of the application to not live on the same server, we can push out to many different servers and have a more stable deployment."<br><br> -->
-这也帮助他们降低了在公共云中运行所带来的风险。“我们发现，基本上，如果我们能够使用中断可能性极低、无中断历史的 EC2 Spot 选择实例类，并且我们愿意付出足够高的价格，我们几乎可以得到和使用 Kubernetes 相同的保证，因为我们有足够的节点，”软件工程师 Zach Arnold 说，他领导了向 Kubernetes 的迁移。“现在，我们已经重新架构了应用程序的这些部分，使之不再位于同一台服务器上，我们可以推送到许多不同的服务器，并实现更稳定的部署。”<br><br>
-<!-- As a result, the team can now ship code any time of day. "That was risky because it could bring down your whole loan management software with it," says Arnold. "But we now can deploy safely and securely during the day." -->
-因此，团队现在可以在一天中的任何时间传输代码。阿诺德说：“以前这样做是很危险的，因为它会拖慢整个贷款管理软件。”“但现在，我们可以在白天安全部署。”
+<!-- 
+<p>By using the kops project, Ygrene was able to move from Elastic Beanstalk to running its Kubernetes clusters on AWS EC2 Spot, at a tenth of the previous cost. "In order to scale before, we would need to up our instance sizes, incurring high cost for low value," says Adams. "Now with Kubernetes and kops, we are able to scale horizontally on Spot with multiple instance groups."</p>
+-->
+<p>通过使用 kops 项目，Ygrene 能够用以前成本的十分之一从 Elastic Beanstalk 迁移到 AWS EC2 Spot 上运行其 Kubernetes 集群。Adams 说：“以前为了扩展，我们需要增加实例大小，导致高成本产出低价值。现在，借助 Kubernetes 和 kops，我们能够在具有多个实例组的 Spot 上水平缩放。”</p>
 
-</div>
-</section>
-<div class="banner5">
-  <div class="banner5text">
- <!-- "In order to scale before, we would need to up our instance sizes, incurring high cost for low value," says Adams. "Now with Kubernetes and kops, we are able to scale horizontally on Spot with multiple instance groups." -->
+<!-- 
+<p>That also helped them mitigate the risk that comes with running in the public cloud. "We figured out, essentially, that if we're able to select instance classes using EC2 Spot that had an extremely low likelihood of interruption and zero history of interruption, and we're willing to pay a price high enough, that we could virtually get the same guarantee using Kubernetes because we have enough nodes," says Software Engineer Zach Arnold, who led the migration to Kubernetes. "Now that we've re-architected these pieces of the application to not live on the same server, we can push out to many different servers and have a more stable deployment."</p>
+-->
+<p>这也帮助他们降低了在公共云中运行所带来的风险。“我们发现，基本上，如果我们能够使用中断可能性极低、无中断历史的 EC2 Spot 选择实例类，并且我们愿意付出足够高的价格，我们几乎可以得到和使用 Kubernetes 相同的保证，因为我们有足够的节点，”软件工程师 Zach Arnold 说，他领导了向 Kubernetes 的迁移。“现在，我们已经重新架构了应用程序的这些部分，使之不再位于同一台服务器上，我们可以推送到许多不同的服务器，并实现更稳定的部署。”</p>
+
+<!-- 
+<p>As a result, the team can now ship code any time of day. "That was risky because it could bring down your whole loan management software with it," says Arnold. "But we now can deploy safely and securely during the day."</p>
+-->
+<p>因此，团队现在可以在一天中的任何时间传输代码。阿诺德说：“以前这样做是很危险的，因为它会拖慢整个贷款管理软件。”“但现在，我们可以在白天安全部署。”</p>
+
+<!-- 
+{{< case-studies/quote >}}
+"In order to scale before, we would need to up our instance sizes, incurring high cost for low value," says Adams. "Now with Kubernetes and kops, we are able to scale horizontally on Spot with multiple instance groups."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote >}}
 Adams 说：“以前为了扩展，我们需要增加实例大小，导致高成本产出低价值。现在，借助 Kubernetes 和 kops，我们能够在具有多个实例组的 Spot 上水平缩放。”
-  </div>
-</div>
+{{< /case-studies/quote >}}
 
-<section class="section5">
-<div class="fullcol">
- <!-- Before, deployments typically took three to four hours, and two or three months’ worth of work would be deployed at low-traffic times every week or two weeks. Now, they take five minutes for Kubernetes, and an hour for an overall deploy with smoke testing. And "we’re able to deploy three or four times a week, with just one week’s or two days’ worth of work," Adams says. "We’re deploying during the work week, in the daytime and without any downtime. We had to ask for business approval to take the systems down for 30 minutes to an hour, even in the middle of the night, because people could be doing loans. Now we can deploy, ship code, and migrate databases, all without taking the system down. The company gets new features without worrying that some business will be lost or delayed."<br><br> -->
-以前，部署通常需要三到四个小时，而且每周或每两周要把一些两三个月工作量的任务在系统占用低的时候进行部署。现在，他们用5分钟来配置 Kubernetes，然后用一个小时进行整体部署与烟雾测试。Adams 说：“我们每周可以部署三到四次，只需一周或两天的工作量。”“我们在工作周、白天的任意时间进行部署，甚至不需要停机。以前我们不得不请求企业批准，以关闭系统，因为即使在半夜，人们也可能正在访问服务。现在，我们可以部署、上传代码和迁移数据库，而无需关闭系统。公司增加新项目，而不必担心某些业务会丢失或延迟。”<br><br>
-<!-- Cloud native also affected how Ygrene’s 50+ developers and contractors work. Adams and Arnold spent considerable time "teaching people to think distributed out of the box," says Arnold. "We ended up picking what we call the Four S’s of Shipping: safely, securely, stably, and speedily." (For more on the security piece of it, see their <a href="https://thenewstack.io/beyond-ci-cd-how-continuous-hacking-of-docker-containers-and-pipeline-driven-security-keeps-ygrene-secure/index.html">article</a> on their "continuous hacking" strategy.) As for the engineers, says Adams, "they have been able to advance as their software has advanced. I think that at the end of the day, the developers feel better about what they’re doing, and they also feel more connected to the modern software development community."<br><br> -->
-云原生也影响了 Ygrene 的 50 多名开发人员和承包商的工作方式。Adams 和 Arnold 花了相当长的时间“教人们思考开箱即用的”，Arnold 说。“我们最终选择了称之为“航运四S”：安全、可靠、稳妥、快速。”（有关其安全部分的更多内容，请参阅他们关于"持续黑客攻击"策略的<a href="https://thenewstack.io/beyond-ci-cd-how-continuous-hacking-of-docker-containers-and-pipeline-driven-security-keeps-ygrene-secure/index.html">文章</a>。至于工程师，Adams 说，“他们已经能够跟上软件进步的步伐。我想一天结束时，开发人员会感觉更好，他们也会感觉与现代软件开发社区的联系更加紧密。”<br><br>
-<!-- Looking ahead, Adams is excited to explore more CNCF projects, including SPIFFE and SPIRE. "CNCF has been an amazing incubator for so many projects," he says. "Now we look at its webpage regularly to find out if there are any new, awesome, high-quality projects we can implement into our stack. It’s actually become a hub for us for knowing what software we need to be looking at to make our systems more secure or more scalable." -->
-展望未来，Adams 很高兴能探索更多的 CNCF 项目，包括 SPIFFE 和 SPIRE。“ CNCF 是众多项目惊人的孵化器。现在，我们定期查看其网页，了解是否有任何新的、可敬的高质量项目可以应用到我们的系统中。它实际上已成为我们了解自身需要什么样的软件以使我们的系统更加安全和具有可伸缩性的信息中心。”
+<!-- 
+<p>Before, deployments typically took three to four hours, and two or three months' worth of work would be deployed at low-traffic times every week or two weeks. Now, they take five minutes for Kubernetes, and an hour for an overall deploy with smoke testing. And "we're able to deploy three or four times a week, with just one week's or two days' worth of work," Adams says. "We're deploying during the work week, in the daytime and without any downtime. We had to ask for business approval to take the systems down for 30 minutes to an hour, even in the middle of the night, because people could be doing loans. Now we can deploy, ship code, and migrate databases, all without taking the system down. The company gets new features without worrying that some business will be lost or delayed."</p>
+-->
+<p>以前，部署通常需要三到四个小时，而且每周或每两周要把一些两三个月工作量的任务在系统占用低的时候进行部署。现在，他们用5分钟来配置 Kubernetes，然后用一个小时进行整体部署与烟雾测试。Adams 说：“我们每周可以部署三到四次，只需一周或两天的工作量。”“我们在工作周、白天的任意时间进行部署，甚至不需要停机。以前我们不得不请求企业批准，以关闭系统，因为即使在半夜，人们也可能正在访问服务。现在，我们可以部署、上传代码和迁移数据库，而无需关闭系统。公司增加新项目，而不必担心某些业务会丢失或延迟。”</p>
 
+<!-- 
+<p>Cloud native also affected how Ygrene's 50+ developers and contractors work. Adams and Arnold spent considerable time "teaching people to think distributed out of the box," says Arnold. "We ended up picking what we call the Four S's of Shipping: safely, securely, stably, and speedily." (For more on the security piece of it, see their <a href="https://thenewstack.io/beyond-ci-cd-how-continuous-hacking-of-docker-containers-and-pipeline-driven-security-keeps-ygrene-secure/">article</a> on their "continuous hacking" strategy.) As for the engineers, says Adams, "they have been able to advance as their software has advanced. I think that at the end of the day, the developers feel better about what they're doing, and they also feel more connected to the modern software development community."</p>
+-->
+<p>云原生也影响了 Ygrene 的 50 多名开发人员和承包商的工作方式。Adams 和 Arnold 花了相当长的时间“教人们思考开箱即用的”，Arnold 说。“我们最终选择了称之为“航运四S”：安全、可靠、稳妥、快速。”（有关其安全部分的更多内容，请参阅他们关于"持续黑客攻击"策略的<a href="https://thenewstack.io/beyond-ci-cd-how-continuous-hacking-of-docker-containers-and-pipeline-driven-security-keeps-ygrene-secure/">文章</a>。至于工程师，Adams 说，“他们已经能够跟上软件进步的步伐。我想一天结束时，开发人员会感觉更好，他们也会感觉与现代软件开发社区的联系更加紧密。”</p>
 
-</div>
-
-</section>
+<!-- 
+<p>Looking ahead, Adams is excited to explore more CNCF projects, including SPIFFE and SPIRE. "CNCF has been an amazing incubator for so many projects," he says. "Now we look at its webpage regularly to find out if there are any new, awesome, high-quality projects we can implement into our stack. It's actually become a hub for us for knowing what software we need to be looking at to make our systems more secure or more scalable."</p>
+-->
+<p>展望未来，Adams 很高兴能探索更多的 CNCF 项目，包括 SPIFFE 和 SPIRE。“CNCF 是众多项目惊人的孵化器。现在，我们定期查看其网页，了解是否有任何新的、可敬的高质量项目可以应用到我们的系统中。它实际上已成为我们了解自身需要什么样的软件以使我们的系统更加安全和具有可伸缩性的信息中心。”</p>
diff --git a/content/zh-cn/case-studies/zalando/index.html b/content/zh-cn/case-studies/zalando/index.html
index 39fc63ab1d9..0247943d879 100644
--- a/content/zh-cn/case-studies/zalando/index.html
+++ b/content/zh-cn/case-studies/zalando/index.html
@@ -2,131 +2,195 @@
 title: 案例研究：Zalando
 case_study_styles: true
 cid: caseStudies
-css: /css/style_zalando.css
+
+new_case_study_styles: true
+heading_background: /images/case-studies/zalando/banner1.jpg
+heading_title_logo: /images/zalando_logo.png
+subheading: >
+  欧洲领先的在线时尚平台通过云原生获得突破性进展
+case_study_details:
+  - 公司: Zalando
+  - 位置: Berlin， Germany
+  - 行业: 在线时尚平台
 ---
+<!-- 
+title: Zalando Case Study
+case_study_styles: true
+cid: caseStudies
 
-<div class="banner1">
-  <!-- <h1> CASE STUDY:<img src="/images/zalando_logo.png" class="header_logo"><br> <div class="subhead">Europe’s Leading Online Fashion Platform Gets Radical with Cloud Native
-</div></h1> -->
-<h1> 案例研究：<img src="/images/zalando_logo.png" class="header_logo"><br> <div class="subhead">欧洲领先的在线时尚平台通过云原生获得突破性进展
-</div></h1>
+new_case_study_styles: true
+heading_background: /images/case-studies/zalando/banner1.jpg
+heading_title_logo: /images/zalando_logo.png
+subheading: >
+  Europe's Leading Online Fashion Platform Gets Radical with Cloud Native
+case_study_details:
+  - Company: Zalando
+  - Location: Berlin, Germany
+  - Industry: Online Fashion
+-->
+<!-- 
+<h2>Challenge</h2>
+-->
+<h2>挑战</h2>
 
-</div>
+<!-- 
+<p>Zalando, Europe's leading online fashion platform, has experienced exponential growth since it was founded in 2008. In 2015, with plans to further expand its original e-commerce site to include new services and products, Zalando embarked on a <a href="https://jobs.zalando.com/tech/blog/radical-agility-study-notes/">radical transformation</a> resulting in autonomous self-organizing teams. This change requires an infrastructure that could scale with the growth of the engineering organization. Zalando's technology department began rewriting its applications to be cloud-ready and started moving its infrastructure from on-premise data centers to the cloud. While orchestration wasn't immediately considered, as teams migrated to <a href="https://aws.amazon.com/">Amazon Web Services</a> (AWS): "We saw the pain teams were having with infrastructure and Cloud Formation on AWS," says Henning Jacobs, Head of Developer Productivity. "There's still too much operational overhead for the teams and compliance. " To provide better support, cluster management was brought into play.</p>
+-->
+<p>Zalando 是欧洲领先的在线时尚平台，自 2008 年成立以来，经历了指数级增长。在 2015 年，Zalando 计划进一步扩展其原有的电子商务站点，以扩展新的服务和产品，从而开始了<a href="https://jobs.zalando.com/tech/blog/radical-agility-study-notes/">彻底的变革</a>，因此形成了自主的自组织团队。这次扩展需要可以随工程组织的增长而扩展的基础架构。Zalando 的技术部门开始重写其应用程序，使其能够在云端运行，并开始将其基础架构从内部数据中心迁移到云。虽然编排没有立即被考虑，因为团队迁移到<a href="https://aws.amazon.com/">亚马逊网络服务</a>（AWS）：“我们体验过团队在 AWS 上进行基础设施架构和使用云资源时遇到的痛苦，”开发人员生产力主管 Henning Jacobs 说，“我们遇到了一些难题。对于团队和合规性来说，运营开销仍然过多。为了提供更好的支持，项目引入了集群管理。”</p>
 
-<!-- <div class="details">
-    Company &nbsp;<b>Zalando</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Location &nbsp;<b>Berlin, Germany</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Industry &nbsp;<b>Online Fashion</b>
-</div> -->
-<div class="details">
-    公司 &nbsp;<b>Zalando</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;位置 &nbsp;<b>柏林, 德国</b>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;行业 &nbsp;<b>在线时尚平台</b>
-</div>
+<!-- 
+<h2>Solution</h2>
+-->
+<h2>解决方案</h2>
 
-<hr>
-<section class="section1">
-<div class="cols">
-  <div class="col1">
-    <h2>挑战</h2>
-    <!-- Zalando, Europe’s leading online fashion platform, has experienced exponential growth since it was founded in 2008. In 2015, with plans to further expand its original e-commerce site to include new services and products, Zalando embarked on a <a href="https://jobs.zalando.com/tech/blog/radical-agility-study-notes/">radical transformation</a> resulting in autonomous self-organizing teams. This change requires an infrastructure that could scale with the growth of the engineering organization. Zalando’s technology department began rewriting its applications to be cloud-ready and started moving its infrastructure from on-premise data centers to the cloud. While orchestration wasn’t immediately considered, as teams migrated to <a href="https://aws.amazon.com/">Amazon Web Services</a> (AWS): "We saw the pain teams were having with infrastructure and Cloud Formation on AWS," says Henning Jacobs, Head of Developer Productivity. "There’s still too much operational overhead for the teams and compliance. " To provide better support, cluster management was brought into play. -->
-Zalando 是欧洲领先的在线时尚平台，自 2008 年成立以来，经历了指数级增长。2015 年，Zalando 计划进一步扩展其原有的电子商务站点，以扩展新的服务和产品，从而开始了<a href="https://jobs.zalando.com/tech/blog/radical-agility-study-notes/">彻底的变革</a>，因此形成了自主的自组织团队。这次扩展需要可以随工程组织的增长而扩展的基础架构。Zalando 的技术部门开始重写其应用程序，使其能够在云端运行，并开始将其基础架构从内部数据中心迁移到云。虽然编排没有立即被考虑，因为团队迁移到<a href="https://aws.amazon.com/">亚马逊网络服务</a>（AWS）：“我们体验过团队在 AWS 上进行基础设施架构和使用云资源时遇到的痛苦，”开发人员生产力主管 Henning Jacobs 说，“我们遇到了一些难题。对于团队和合规性来说，运营开销仍然过多。为了提供更好的支持，项目引入了集群管理。”
+<!-- 
+<p>The company now runs its Docker containers on AWS using Kubernetes orchestration.</p>
+-->
+<p>该公司现在使用 Kubernetes 编排在 AWS 上运行的 Docker 容器。</p>
 
-      </div>
-
-<div class="col2">
-  <h2>解决方案</h2>
-      <!-- The company now runs its Docker containers on AWS using Kubernetes orchestration. -->
-该公司现在使用 Kubernetes 编排在 AWS 上运行的 Docker 容器。
-<br>
+<!--
+<h2>Impact</h2>
+-->
 <h2>影响</h2>
-      <!-- With the old infrastructure "it was difficult to properly embrace new technologies, and DevOps teams were considered to be a bottleneck," says Jacobs. "Now, with this cloud infrastructure, they have this packaging format, which can contain anything that runs on the Linux kernel. This makes a lot of people pretty happy. The engineers love autonomy." -->
-Jacobs 说，由于旧基础设施“很难正确采用新技术，而 DevOps 团队被视为瓶颈。”“现在，有了这个云基础架构，它们有了这种打包格式，可以包含任何在Linux内核上运行的东西。这使得很多人相当高兴。工程师喜欢自主。”
-</div>
-</div>
-</section>
-<div class="banner2">
-  <div class="banner2text">
-    <!-- "We envision all Zalando delivery teams running their containerized applications on a state-of-the-art, reliable and scalable cluster infrastructure provided by Kubernetes."<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>- Henning Jacobs, Head of Developer Productivity at Zalando</span> -->
-“我们设想所有 Zalando 交付团队在 Kubernetes 提供的最先进的、可靠且可扩展的群集基础架构上运行其容器化应用程序。”<br style="height:25px"><span style="font-size:14px;letter-spacing:2px;text-transform:uppercase;margin-top:5% !important;"><br>- Henning Jacobs, Zalando 开发人员生产力主管
-</span>
-  </div>
-</div>
-<section class="section2">
-<div class="fullcol">
-    <!-- <h2>When Henning Jacobs arrived at Zalando in 2010, the company was just two years old with 180 employees running an online store for European shoppers to buy fashion items.</h2> -->
-<h2>当 Henning Jacobs 于2010年来到 Zalando 时，该公司刚成立两年，有180名员工经营一家网上商店，供欧洲消费者购买时尚商品。</h2>
-    <!-- "It started as a PHP e-commerce site which was easy to get started with, but was not scaling with the business' needs" says Jacobs, Head of Developer Productivity at Zalando.<br><br> -->
-Zalando 的开发人员生产力主管 Jacobs 说：“它最初是一个 PHP 电子商务网站，很容易上手，但无法随业务需求扩展。”<br><br>
-    <!-- At that time, the company began expanding beyond its German origins into other European markets. Fast-forward to today and Zalando now has more than 14,000 employees, 3.6 billion Euro in revenue for 2016 and operates across 15 countries. "With growth in all dimensions, and constant scaling, it has been a once-in-a-lifetime experience," he says.<br><br> -->
-当时，公司开始从德国以外扩展到其他欧洲市场。快进到今天，Zalando 现在拥有超过 14000 名员工，2016 年收入为 36 亿欧元，业务遍及 15 个国家/地区。他表示：“这种全面快速的增长和不断扩展，一生只能有一次。”<br><br>
-    <!-- Not to mention a unique opportunity for an infrastructure specialist like Jacobs. Just after he joined, the company began rewriting all their applications in-house. "That was generally our strategy," he says. "For example, we started with our own logistics warehouses but at first you don’t know how to do logistics software, so you have some vendor software. And then we replaced it with our own because with off-the-shelf software you’re not competitive. You need to optimize these processes based on your specific business needs."<br><br> -->
-能拥有像 Jacobs 这样的基础设施专家的机会是非常独特的。就在他加入公司后，公司开始在内部重写他们的所有应用。“这通常是我们的策略，”他表示。“例如，我们从我们自己的物流仓库开始，但起初不知道如何做物流软件，所以得用一些供应商软件。然后我们用自己的软件替换了它，因为使用现成的软件是没有竞争力的。需要根据特定业务需求优化这些流程。”<br><br>
-    <!-- In parallel to rewriting their applications, Zalando had set a goal of expanding beyond basic e-commerce to a platform offering multi-tenancy, a dramatic increase in assortments and styles, same-day delivery and even <a href="https://www.zalon.de">your own personal online stylist</a>.<br><br> -->
-在重写其应用程序的同时，Zalando 设定了一个目标，即从基本电子商务扩展到提供多租户的平台、大量增加的分类和样式、当天送达，甚至<a href="https://www.zalon.de">您自己的平台个人在线造型师</a>。<br><br>
-    <!-- The need to scale ultimately led the company on a cloud-native journey. As did its embrace of a microservices-based software architecture that gives engineering teams more autonomy and ownership of projects. "This move to the cloud was necessary because in the data center you couldn’t have autonomous teams. You have the same infrastructure and it was very homogeneous, so you could only run your Java or Python app," Jacobs says. -->
-扩展的需求最终引领了公司踏上云原生之旅。它采用基于微服务的软件架构，使工程团队拥有更多的项目自主权和所有权。“迁移到云是必要的，因为在数据中心中，团队不可能随心所欲。使用相同的基础架构，因此只能运行 Java 或 Python 应用，”Jacobs 说。
 
-</div>
-</section>
-<div class="banner3">
-  <div class="banner3text">
-    <!-- "This move to the cloud was necessary because in the data center you couldn’t have autonomous teams. You have the same infrastructure and it was very homogeneous, so you could only run your Java or Python app." -->
+<!-- 
+<p>With the old infrastructure "it was difficult to properly embrace new technologies, and DevOps teams were considered to be a bottleneck," says Jacobs. "Now, with this cloud infrastructure, they have this packaging format, which can contain anything that runs on the Linux kernel. This makes a lot of people pretty happy. The engineers love autonomy."</p>
+-->
+<p>Jacobs 说，由于旧基础设施“很难正确采用新技术，而 DevOps 团队被视为瓶颈。”“现在，有了这个云基础架构，它们有了这种打包格式，可以包含任何在 Linux 内核上运行的东西。这使得很多人相当高兴。工程师喜欢自主。”</p>
+
+<!-- 
+{{< case-studies/quote author="Henning Jacobs, Head of Developer Productivity at Zalando" >}}
+"We envision all Zalando delivery teams running their containerized applications on a state-of-the-art, reliable and scalable cluster infrastructure provided by Kubernetes."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote author="Henning Jacobs, Zalando 开发人员生产力主管" >}}
+<p>“我们设想所有 Zalando 交付团队在 Kubernetes 提供的最先进的、可靠且可扩展的集群基础架构上运行其容器化应用程序。”</p>
+{{< /case-studies/quote >}}
+
+<!-- 
+{{< case-studies/lead >}}
+When Henning Jacobs arrived at Zalando in 2010, the company was just two years old with 180 employees running an online store for European shoppers to buy fashion items.
+{{< /case-studies/lead >}}
+-->
+{{< case-studies/lead >}}
+当 Henning Jacobs 于 2010 年来到 Zalando 时，该公司刚成立两年，有 180 名员工经营一家网上商店，供欧洲消费者购买时尚商品。
+{{< /case-studies/lead >}}
+
+<!-- 
+<p>"It started as a PHP e-commerce site which was easy to get started with, but was not scaling with the business' needs" says Jacobs, Head of Developer Productivity at Zalando.</p>
+-->
+<p>Zalando 的开发人员生产力主管 Jacobs 说：“它最初是一个 PHP 电子商务网站，很容易上手，但无法随业务需求扩展。”</p>
+
+<!-- 
+<p>At that time, the company began expanding beyond its German origins into other European markets. Fast-forward to today and Zalando now has more than 14,000 employees, 3.6 billion Euro in revenue for 2016 and operates across 15 countries. "With growth in all dimensions, and constant scaling, it has been a once-in-a-lifetime experience," he says.</p>
+-->
+<p>当时，公司开始从 Germany 以外扩展到其他欧洲市场。快进到今天，Zalando 现在拥有超过 14000 名员工，2016 年收入为 36 亿欧元，业务遍及 15 个国家/地区。他表示：“这种全面快速的增长和不断扩展，一生只能有一次。”</p>
+
+<!-- 
+<p>Not to mention a unique opportunity for an infrastructure specialist like Jacobs. Just after he joined, the company began rewriting all their applications in-house. "That was generally our strategy," he says. "For example, we started with our own logistics warehouses but at first you don't know how to do logistics software, so you have some vendor software. And then we replaced it with our own because with off-the-shelf software you're not competitive. You need to optimize these processes based on your specific business needs."</p>
+-->
+<p>能拥有像 Jacobs 这样的基础设施专家的机会是非常独特的。就在他加入公司后，公司开始在内部重写他们的所有应用。“这通常是我们的策略，”他表示。“例如，我们从我们自己的物流仓库开始，但起初不知道如何做物流软件，所以得用一些供应商软件。然后我们用自己的软件替换了它，因为使用现成的软件是没有竞争力的。需要根据特定业务需求优化这些流程。”</p>
+
+<!-- 
+<p>In parallel to rewriting their applications, Zalando had set a goal of expanding beyond basic e-commerce to a platform offering multi-tenancy, a dramatic increase in assortments and styles, same-day delivery and even <a href="https://www.zalon.de">your own personal online stylist</a>.</p>
+-->
+<p>在重写其应用程序的同时，Zalando 设定了一个目标，即从基本电子商务扩展到一个提供多租户、大量增加的分类和样式、当天送达，甚至<a href="https://www.zalon.de">你自己个人在线造型师</a>的平台。</p>
+
+<!-- 
+<p>The need to scale ultimately led the company on a cloud-native journey. As did its embrace of a microservices-based software architecture that gives engineering teams more autonomy and ownership of projects. "This move to the cloud was necessary because in the data center you couldn't have autonomous teams. You have the same infrastructure and it was very homogeneous, so you could only run your Java or Python app," Jacobs says.</p>
+-->
+<p>扩展的需求最终引领了公司踏上云原生之旅。它采用基于微服务的软件架构，使工程团队拥有更多的项目自主权和所有权。“迁移到云是必要的，因为在数据中心中，团队不可能随心所欲。使用相同的基础架构，因此只能运行 Java 或 Python 应用，”Jacobs 说。</p>
+
+<!-- 
+{{< case-studies/quote image="/images/case-studies/zalando/banner3.jpg" >}}
+"This move to the cloud was necessary because in the data center you couldn't have autonomous teams. You have the same infrastructure and it was very homogeneous, so you could only run your Java or Python app."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote image="/images/case-studies/zalando/banner3.jpg" >}}
 “迁移到云是必要的，因为在数据中心中，团队不可能随心所欲。使用相同的基础架构，因此只能运行 Java 或 Python 应用。”
+{{< /case-studies/quote >}}
 
-  </div>
-</div>
-<section class="section3">
-<div class="fullcol">
-  <!-- Zalando began moving its infrastructure from two on-premise data centers to the cloud, requiring the migration of older applications for cloud-readiness. "We decided to have a clean break," says Jacobs. "Our <a href="https://aws.amazon.com/">Amazon Web Services</a> infrastructure was set up like so: Every team has its own AWS account, which is completely isolated, meaning there’s no ‘lift and shift.’ You basically have to rewrite your application to make it cloud-ready even down to the persistence layer. We bravely went back to the drawing board and redid everything, first choosing Docker as a common containerization, then building the infrastructure from there."<br><br> -->
-Zalando 开始将其基础架构从两个内部数据中心迁移到云，这需要迁移较旧的应用程序使其在云中准备就绪。“我们决定果断一些，” Jacobs 说。“我们的<a href="https://aws.amazon.com/">亚马逊网络服务</a>基础设施是这样的：每个团队都有自己的 AWS 账户，该账户是完全隔离的，这意味着没有'提升和转移'。基本上必须重写应用程序，使其在云中准备就绪，甚至到持久层也是如此。我们勇敢地回到绘图板，重做一切，首先选择 Docker 作为通用容器化，然后从那里构建基础结构。”<br><br>
-  <!-- The company decided to hold off on orchestration at the beginning, but as teams were migrated to AWS, "we saw the pain teams were having with infrastructure and cloud formation on AWS," says Jacobs. <br><br> -->
-公司最初决定推迟编排，但随着团队迁移到 AWS，“我们看到团队在 AWS 上的基础设施和使用云资源方面遇到了难题，” Jacobs 说。<br><br>
-  <!-- Zalandos 200+ autonomous engineering teams decide what technologies to use and could operate their own applications using their own AWS accounts. This setup proved to be a compliance challenge. Even with strict rules-of-play and automated compliance checks in place, engineering teams and IT-compliance were overburdened addressing compliance issues. "Violations appear for non-compliant behavior, which we detect when scanning the cloud infrastructure," says Jacobs. "Everything is possible and nothing enforced, so you have to live with violations (and resolve them) instead of preventing the error in the first place. This means overhead for teams—and overhead for compliance and operations. It also takes time to spin up new EC2 instances on AWS, which affects our deployment velocity." <br><br> -->
-Zalando 200多人的自主工程团队研究使用哪些技术，并可以使用自己的 AWS 账户操作自己的应用程序。事实证明，此设置是一项合规性挑战。即使制定了严格的游戏规则和自动化的合规性检查，工程团队和 IT 合规性在解决合规性问题方面也负担过重。Jacobs 说："违规行为会出现，我们在扫描云基础架构时会检测到这些行为。“一切皆有可能，没有强制实施，因此您必须忍受违规行为（并解决它们），而不是一开始就防止错误。这些都会增加团队的开销，以及合规性和操作的开销。在 AWS 上启动新的 EC2 实例也需要时间，这会影响我们的部署速度。”<br><br>
-  <!-- The team realized they needed to "leverage the value you get from cluster management," says Jacobs. When they first looked at Platform as a Service (PaaS) options in 2015, the market was fragmented; but "now there seems to be a clear winner. It seemed like a good bet to go with Kubernetes."<br><br> -->
-Jacobs 说，团队意识到他们需要“利用从集群管理中获得的价值”。当他们在2015年首次将平台视为服务（PaaS）选项时，市场是支离破碎的；但“现在似乎有一个明确的赢家。使用 Kubernetes 似乎是一个很好的尝试。”<br><br>
-  <!-- The transition to Kubernetes started in 2016 during Zalando’s <a href="https://jobs.zalando.com/tech/blog/hack-week-5-is-live/?gh_src=4n3gxh1">Hack Week</a> where participants deployed their projects to a Kubernetes cluster. From there 60 members of the tech infrastructure department were on-boarded - and then engineering teams were brought on one at a time. "We always start by talking with them and make sure everyone’s expectations are clear," says Jacobs. "Then we conduct some Kubernetes training, which is mostly training for our CI/CD setup, because the user interface for our users is primarily through the CI/CD system. But they have to know fundamental Kubernetes concepts and the API. This is followed by a weekly sync with each team to check their progress. Once they have something in production, we want to see if everything is fine on top of what we can improve." -->
-Kubernetes 的过渡始于 2016 年 Zalando 的<a href="https://jobs.zalando.com/tech/blog/hack-week-5-is-live/?gh_src=4n3gxh1">极客周</a>期间，参与者将他们的项目部署到 Kubernetes 集群。60名技术基础设施部门的成员开始使用这项技术，之后每次会加入一支工程团队。Jacobs 说：“我们总是从与他们交谈开始，确保每个人的期望都清晰。然后，我们进行一些 Kubernetes 培训，这主要是针对我们的 CI/CD 设置的培训，因为我们的用户界面主要通过 CI/CD 系统。但是他们必须知道Kubernetes的基本概念和API。之后每周与每个团队同步，以检查其进度。一旦出现什么状况，就可以确定我们所做的改进是否正常。”
+<!-- 
+<p>Zalando began moving its infrastructure from two on-premise data centers to the cloud, requiring the migration of older applications for cloud-readiness. "We decided to have a clean break," says Jacobs. "Our <a href="https://aws.amazon.com/">Amazon Web Services</a> infrastructure was set up like so: Every team has its own AWS account, which is completely isolated, meaning there's no 'lift and shift.' You basically have to rewrite your application to make it cloud-ready even down to the persistence layer. We bravely went back to the drawing board and redid everything, first choosing Docker as a common containerization, then building the infrastructure from there."</p>
+-->
+<p>Zalando 开始将其基础架构从两个内部数据中心迁移到云，这需要迁移较旧的应用程序使其在云中准备就绪。“我们决定果断一些，” Jacobs 说。“我们的<a href="https://aws.amazon.com/">亚马逊网络服务</a>基础设施是这样的：每个团队都有自己的 AWS 账户，该账户是完全隔离的，这意味着没有'提升和转移'。基本上必须重写应用程序，使其在云中准备就绪，甚至到持久层也是如此。我们勇敢地回到绘图板，重做一切，首先选择 Docker 作为通用容器化，然后从那里构建基础结构。”</p>
 
-</div>
-</section>
-<div class="banner4">
-  <div class="banner4text">
-  <!-- Once Zalando began migrating applications to Kubernetes, the results were immediate. "Kubernetes is a cornerstone for our seamless end-to-end developer experience. We are able to ship ideas to production using a single consistent and declarative API," says Jacobs. -->
-一旦Zalando开始将应用迁移到Kubernetes，效果立竿见影。“Kubernetes 是我们无缝端到端开发人员体验的基石。我们能够使用单一一致且声明性的 API 将创意运送到生产中，” Jacobs 说。
-  </div>
-</div>
+<!--
+<p>The company decided to hold off on orchestration at the beginning, but as teams were migrated to AWS, "we saw the pain teams were having with infrastructure and cloud formation on AWS," says Jacobs.</p>
+-->
+<p>公司最初决定推迟编排，但随着团队迁移到 AWS，“我们看到团队在 AWS 上的基础设施和使用云资源方面遇到了难题，” Jacobs 说。</p>
 
-<section class="section4">
-<div class="fullcol">
-  <!-- At the moment, Zalando is running an initial 40 Kubernetes clusters with plans to scale for the foreseeable future.
-  Once Zalando began migrating applications to Kubernetes, the results were immediate. "Kubernetes is a cornerstone for our seamless end-to-end developer experience. We are able to ship ideas to production using a single consistent and declarative API," says Jacobs. "The self-healing infrastructure provides a frictionless experience with higher-level abstractions built upon low-level best practices. We envision all Zalando delivery teams will run their containerized applications on a state-of-the-art reliable and scalable cluster infrastructure provided by Kubernetes."<br><br> -->
-目前，Zalando正在运行最初的40个Kubernetes集群，并计划在可预见的将来进行扩展。一旦Zalando开始将申请迁移到Kubernetes，效果立竿见影。“ Kubernetes 是我们无缝端到端开发人员体验的基石。我们能够使用单一一致且声明性的 API 将创意运送到生产中，” Jacobs 说。“自愈基础架构提供了无摩擦体验，基于低级最佳实践构建了更高级别的抽象。我们设想所有 Zalando 交付团队都将在 Kubernetes 提供的最先进的可靠和可扩展群集基础架构上运行其容器化应用程序。”
-  <!-- With the old on-premise infrastructure "it was difficult to properly embrace new technologies, and DevOps teams were considered to be a bottleneck," says Jacobs. "Now, with this cloud infrastructure, they have this packaging format, which can contain anything that runs in the Linux kernel. This makes a lot of people pretty happy. The engineers love the autonomy."
-  There were a few challenges in Zalando’s Kubernetes implementation. "We are a team of seven people providing clusters to different engineering teams, and our goal is to provide a rock-solid experience for all of them," says Jacobs. "We don’t want pet clusters. We don’t want to have to understand what workload they have; it should just work out of the box. With that in mind, cluster autoscaling is important. There are many different ways of doing cluster management, and this is not part of the core. So we created two components to provision clusters, have a registry for clusters, and to manage the whole cluster life cycle."<br><br> -->
-Jacobs 说，使用旧的内部基础设施，“很难正确采用新技术，而 DevOps 团队被视为瓶颈。”“现在，有了这个云基础架构，它们有了这种打包格式，可以包含运行在 Linux 内核中的任何内容。这使得很多人相当高兴。工程师喜欢自主性。”在Zalando的Kubernetes实施中出现了一些挑战。Jacobs 说：“我们是一支由七人组成的团队，为不同的工程团队提供集群，我们的目标是为所有团队提供坚如磐石的体验。”“我们不想要宠物集群。我们不想了解他们的工作量；它应该只是开箱即用。考虑到这一点，集群自动缩放非常重要。执行集群管理的方法有很多种，这不是核心的一部分。因此，我们创建了两个组件来预配群集，具有集群的注册表，并管理整个集群生命周期。”<br><br>
-  <!-- Jacobs’s team also worked to improve the Kubernetes-AWS integration. "Thus you're very restricted. You need infrastructure to scale each autonomous team’s idea.""<br><br> -->
-Jacobs 的团队还致力于改进Kubernetes-AWS 集成。“由于许多限制条件,需要通过基础设施来扩展每个自主团队的想法。”
-  <!-- Plus, "there are still a lot of best practices missing," says Jacobs. The team, for example, recently solved a pod security policy issue. "There was already a concept in Kubernetes but it wasn’t documented, so it was kind of tricky," he says. The large Kubernetes community was a big help to resolve the issue. To help other companies start down the same path, Jacobs compiled his team’s learnings in a document called <a href="http://kubernetes-on-aws.readthedocs.io/en/latest/admin-guide/kubernetes-in-production.html">Running Kubernetes in Production</a>. -->
-此外，“仍然缺少很多最佳实践，”Jacobs说。例如，该团队最近解决了 pod 安全策略问题。“在Kubernetes已经有一个概念，但没有记录，所以有点棘手，”他说。大型的Kubernetes社区是解决这个问题的一大帮助。为了帮助其他公司走上同样的道路，Jacobs在一份名为“在生产中运行 Kubernetes ”的文件中汇编了他的团队的经验教训。
+<!-- 
+<p>Zalandos 200+ autonomous engineering teams decide what technologies to use and could operate their own applications using their own AWS accounts. This setup proved to be a compliance challenge. Even with strict rules-of-play and automated compliance checks in place, engineering teams and IT-compliance were overburdened addressing compliance issues. "Violations appear for non-compliant behavior, which we detect when scanning the cloud infrastructure," says Jacobs. "Everything is possible and nothing enforced, so you have to live with violations (and resolve them) instead of preventing the error in the first place. This means overhead for teams—and overhead for compliance and operations. It also takes time to spin up new EC2 instances on AWS, which affects our deployment velocity."</p>
+-->
+<p>Zalando 200 多人的自主工程团队研究使用哪些技术，并可以使用自己的 AWS 账户操作自己的应用程序。事实证明，此设置是一项合规性挑战。即使制定了严格的游戏规则和自动化的合规性检查，工程团队和 IT 合规性在解决合规性问题方面也负担过重。Jacobs 说："违规行为会出现，我们在扫描云基础架构时会检测到这些行为。“一切皆有可能，没有强制实施，因此你必须忍受违规行为（并解决它们），而不是一开始就防止错误。这些都会增加团队的开销，以及合规性和操作的开销。在 AWS 上启动新的 EC2 实例也需要时间，这会影响我们的部署速度。”</p>
 
-</div>
-</section>
+<!-- 
+<p>The team realized they needed to "leverage the value you get from cluster management," says Jacobs. When they first looked at Platform as a Service (PaaS) options in 2015, the market was fragmented; but "now there seems to be a clear winner. It seemed like a good bet to go with Kubernetes."</p>
+-->
+<p>Jacobs 说，团队意识到他们需要“利用从集群管理中获得的价值”。当他们在 2015 年首次将平台视为服务（PaaS）选项时，市场是支离破碎的；但“现在似乎有一个明确的赢家。使用 Kubernetes 似乎是一个很好的尝试。”</p>
 
-<div class="banner5">
-  <div class="banner5text">
-    <!-- "The Kubernetes API allows us to run applications in a cloud provider-agnostic way, which gives us the freedom to revisit IaaS providers in the coming years... We expect the Kubernetes API to be the global standard for PaaS infrastructure and are excited about the continued journey." -->
-“ Kubernetes API 允许我们以与云提供商无关的方式运行应用程序，这使我们能够在未来几年中自由访问 IaaS 提供商...我们期望 Kubernetes API 成为 PaaS 基础设施的全球标准，并对未来的继续旅程感到兴奋。”
-  </div>
-</div>
-<section class="section5">
-<div class="fullcol">
-  <!-- In the end, Kubernetes made it possible for Zalando to introduce and maintain the new products the company envisioned to grow its platform. "<a href="https://www.zalon.de/">The fashion advice</a> product used Scala, and there were struggles to make this possible with our former infrastructure," says Jacobs. "It was a workaround, and that team needed more and more support from the platform team, just because they used different technologies. Now with Kubernetes, it’s autonomous. Whatever the workload is, that team can just go their way, and Kubernetes prevents other bottlenecks."<br><br> -->
-最后，Kubernetes 使 Zalando 能够引进和维护公司为发展其平台而设想的新产品。Jacobs 说：“时尚咨询产品使用 Scala，而我们以前的基础设施也难以实现这一点。”这是一个解决方法，该团队需要平台团队提供越来越多的支持，只是因为他们使用了不同的技术。现在有了Kubernetes，它就自主了。无论工作负载是什么，该团队都可以走自己的路，而 Kubernetes 可以防止其他瓶颈。<br><br>
-  <!-- Looking ahead, Jacobs sees Zalando’s new infrastructure as a great enabler for other things the company has in the works, from its new logistics software, to a platform feature connecting brands, to products dreamed up by data scientists. "One vision is if you watch the next James Bond movie and see the suit he’s wearing, you should be able to automatically order it, and have it delivered to you within an hour," says Jacobs. "It’s about connecting the full fashion sphere. This is definitely not possible if you have a bottleneck with everyone running in the same data center and thus very restricted. You need infrastructure to scale each autonomous team’s idea."<br><br> -->
-展望未来，Jacobs 将 Zalando 的新基础设施视为公司在进行的其他工程中的巨大推动因素，从新的物流软件到连接品牌的平台功能，以及数据科学家梦寐以求的产品。Jacobs说：“一个愿景是，如果你看下一部 James Bond 的电影，看看他穿的西装，你就应该能够自动订购，并在一小时内把它送到你身边。”“这是关于连接整个时尚领域。如果您遇到瓶颈，因为每个人都在同一个数据中心运行，因此限制很大，则这绝对是不可能的。需要基础设施来扩展每个自主团队的想法。”<br><br>
-  <!-- For other companies considering this technology, Jacobs says he wouldn’t necessarily advise doing it exactly the same way Zalando did. "It’s okay to do so if you’re ready to fail at some things," he says. "You need to set the right expectations. Not everything will work. Rewriting apps and this type of organizational change can be disruptive. The first product we moved was critical. There were a lot of dependencies, and it took longer than expected. Maybe we should have started with something less complicated, less business critical, just to get our toes wet."<br><br> -->
-对于考虑这项技术的其他公司，Jacobs 说，他不一定建议像 Zalando 那样做。他表示：“如果你准备尝试失败，那么这样做是可以的。”“设定正确的期望是必须的。并不是一切都会起作用。重写应用和这种类型的组织更改可能会造成中断。我们移动的第一个产品至关重要。存在大量依赖关系，而且时间比预期长。也许我们应该从不那么复杂、不是业务关键的东西开始，只是为了开个好头。”<br><br>
-  <!-- But once they got to the other side "it was clear for everyone that there’s no big alternative," Jacobs adds. "The Kubernetes API allows us to run applications in a cloud provider-agnostic way, which gives us the freedom to revisit IaaS providers in the coming years. Zalando Technology benefits from migrating to Kubernetes as we are able to leverage our existing knowledge to create an engineering platform offering flexibility and speed to our engineers while significantly reducing the operational overhead. We expect the Kubernetes API to be the global standard for PaaS infrastructure and are excited about the continued journey." -->
-但是，一旦他们到了另一边，“每个人都很清楚，没有大的选择，” Jacobs 补充说。“ Kubernetes API 允许我们以与云提供商无关的方式运行应用程序，这使我们能够在未来几年中自由访问 IaaS 提供商。Zalando 受益于迁移到 Kubernetes，因为我们能够利用现有知识创建工程平台，为我们的工程师提供灵活性和速度，同时显著降低运营开销。我们期望 Kubernetes API 成为 PaaS 基础设施的全球标准，并对未来的旅程感到兴奋。”
+<!-- 
+<p>The transition to Kubernetes started in 2016 during Zalando's <a href="https://jobs.zalando.com/tech/blog/hack-week-5-is-live/?gh_src=4n3gxh1">Hack Week</a> where participants deployed their projects to a Kubernetes cluster. From there 60 members of the tech infrastructure department were on-boarded - and then engineering teams were brought on one at a time. "We always start by talking with them and make sure everyone's expectations are clear," says Jacobs. "Then we conduct some Kubernetes training, which is mostly training for our CI/CD setup, because the user interface for our users is primarily through the CI/CD system. But they have to know fundamental Kubernetes concepts and the API. This is followed by a weekly sync with each team to check their progress. Once they have something in production, we want to see if everything is fine on top of what we can improve."</p>
+-->
+<p>Kubernetes 的过渡始于 2016 年 Zalando 的<a href="https://jobs.zalando.com/tech/blog/hack-week-5-is-live/?gh_src=4n3gxh1">极客周</a>期间，参与者将他们的项目部署到 Kubernetes 集群。60 名技术基础设施部门的成员开始使用这项技术，之后每次会加入一支工程团队。Jacobs 说：“我们总是从与他们交谈开始，确保每个人的期望都清晰。然后，我们进行一些 Kubernetes 培训，这主要是针对我们的 CI/CD 设置的培训，因为我们的用户界面主要通过 CI/CD 系统。但是他们必须知道 Kubernetes 的基本概念和API。之后每周与每个团队同步，以检查其进度。一旦出现什么状况，就可以确定我们所做的改进是否正常。”</p>
 
-</div>
+<!-- 
+{{< case-studies/quote image="/images/case-studies/zalando/banner4.jpg" >}}
+Once Zalando began migrating applications to Kubernetes, the results were immediate. "Kubernetes is a cornerstone for our seamless end-to-end developer experience. We are able to ship ideas to production using a single consistent and declarative API," says Jacobs.
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote image="/images/case-studies/zalando/banner4.jpg" >}}
+一旦 Zalando 开始将应用迁移到 Kubernetes，效果立竿见影。“Kubernetes 是我们无缝端到端开发人员体验的基石。我们能够使用单一一致且声明性的 API 将创意运送到生产中，” Jacobs 说。
+{{< /case-studies/quote >}}
 
-</section>
+<!-- 
+<p>At the moment, Zalando is running an initial 40 Kubernetes clusters with plans to scale for the foreseeable future. Once Zalando began migrating applications to Kubernetes, the results were immediate. "Kubernetes is a cornerstone for our seamless end-to-end developer experience. We are able to ship ideas to production using a single consistent and declarative API," says Jacobs. "The self-healing infrastructure provides a frictionless experience with higher-level abstractions built upon low-level best practices. We envision all Zalando delivery teams will run their containerized applications on a state-of-the-art reliable and scalable cluster infrastructure provided by Kubernetes."</p>
+-->
+<p>目前，Zalando 正在运行最初的 40 个 Kubernetes 集群，并计划在可预见的将来进行扩展。一旦 Zalando 开始将申请迁移到 Kubernetes，效果立竿见影。“Kubernetes 是我们无缝端到端开发人员体验的基石。我们能够使用单一一致且声明性的 API 将创意运送到生产中，” Jacobs 说。“自愈基础架构提供了无摩擦体验，基于低级最佳实践构建了更高级别的抽象。我们设想所有 Zalando 交付团队都将在 Kubernetes 提供的最先进的可靠和可扩展集群基础架构上运行其容器化应用程序。”</p>
+
+<!-- 
+<p>With the old on-premise infrastructure "it was difficult to properly embrace new technologies, and DevOps teams were considered to be a bottleneck," says Jacobs. "Now, with this cloud infrastructure, they have this packaging format, which can contain anything that runs in the Linux kernel. This makes a lot of people pretty happy. The engineers love the autonomy."</p>
+-->
+<p>Jacobs 说，使用旧的内部基础设施，“很难正确采用新技术，而 DevOps 团队被视为瓶颈。”“现在，有了这个云基础架构，它们有了这种打包格式，可以包含运行在 Linux 内核中的任何内容。这使得很多人相当高兴。工程师喜欢自主性。”</p>
+
+<!-- 
+<p>There were a few challenges in Zalando's Kubernetes implementation. "We are a team of seven people providing clusters to different engineering teams, and our goal is to provide a rock-solid experience for all of them," says Jacobs. "We don't want pet clusters. We don't want to have to understand what workload they have; it should just work out of the box. With that in mind, cluster autoscaling is important. There are many different ways of doing cluster management, and this is not part of the core. So we created two components to provision clusters, have a registry for clusters, and to manage the whole cluster life cycle."</p>
+-->
+<p>在 Zalando 的 Kubernetes 实施中出现了一些挑战。Jacobs 说：“我们是一支由七人组成的团队，为不同的工程团队提供集群，我们的目标是为所有团队提供坚如磐石的体验。”“我们不想要宠物集群。我们不想了解他们的工作量；它应该只是开箱即用。考虑到这一点，集群自动缩放非常重要。执行集群管理的方法有很多种，这不是核心的一部分。因此，我们创建了两个组件来预配集群，具有集群的注册表，并管理整个集群生命周期。”</p>
+
+
+<!--
+<p>Jacobs's team also worked to improve the Kubernetes-AWS integration. "Thus you're very restricted. You need infrastructure to scale each autonomous team's idea." Plus, "there are still a lot of best practices missing," says Jacobs. The team, for example, recently solved a pod security policy issue. "There was already a concept in Kubernetes but it wasn't documented, so it was kind of tricky," he says. The large Kubernetes community was a big help to resolve the issue. To help other companies start down the same path, Jacobs compiled his team's learnings in a document called <a href="http://kubernetes-on-aws.readthedocs.io/en/latest/admin-guide/kubernetes-in-production.html">Running Kubernetes in Production</a>.</p>
+-->
+<p>Jacobs 的团队还致力于改进 Kubernetes-AWS 集成。“由于许多限制条件，需要通过基础设施来扩展每个自主团队的想法。”此外，“仍然缺少很多最佳实践，” Jacobs 说。例如，该团队最近解决了 pod 安全策略问题。“在 Kubernetes 已经有一个概念，但没有记录，所以有点棘手，”他说。大型的 Kubernetes 社区是解决这个问题的一大帮助。为了帮助其他公司走上同样的道路，Jacobs 在一份名为<a href="http://kubernetes-on-aws.readthedocs.io/en/latest/admin-guide/kubernetes-in-production.html">在生产中运行 Kubernetes </a> 的文件中汇编了他的团队的经验教训。</p>
+
+<!-- 
+{{< case-studies/quote >}}
+"The Kubernetes API allows us to run applications in a cloud provider-agnostic way, which gives us the freedom to revisit IaaS providers in the coming years... We expect the Kubernetes API to be the global standard for PaaS infrastructure and are excited about the continued journey."
+{{< /case-studies/quote >}}
+-->
+{{< case-studies/quote >}}
+“Kubernetes API 允许我们以与云提供商无关的方式运行应用程序，这使我们能够在未来几年中自由访问 IaaS 提供商...。我们期望 Kubernetes API 成为 PaaS 基础设施的全球标准，并对未来的继续旅程感到兴奋。”
+{{< /case-studies/quote >}}
+
+
+<!-- 
+<p>In the end, Kubernetes made it possible for Zalando to introduce and maintain the new products the company envisioned to grow its platform. "<a href="https://www.zalon.de/">The fashion advice</a> product used Scala, and there were struggles to make this possible with our former infrastructure," says Jacobs. "It was a workaround, and that team needed more and more support from the platform team, just because they used different technologies. Now with Kubernetes, it's autonomous. Whatever the workload is, that team can just go their way, and Kubernetes prevents other bottlenecks."</p>
+-->
+<p>最后，Kubernetes 使 Zalando 能够引进和维护公司为发展其平台而设想的新产品。Jacobs 说：“时尚咨询产品使用 Scala，而我们以前的基础设施也难以实现这一点。”这是一个解决方法，该团队需要平台团队提供越来越多的支持，只是因为他们使用了不同的技术。现在有了 Kubernetes，它就自主了。无论工作负载是什么，该团队都可以走自己的路，而 Kubernetes 可以防止其他瓶颈。</p>
+
+<!-- 
+<p>Looking ahead, Jacobs sees Zalando's new infrastructure as a great enabler for other things the company has in the works, from its new logistics software, to a platform feature connecting brands, to products dreamed up by data scientists. "One vision is if you watch the next James Bond movie and see the suit he's wearing, you should be able to automatically order it, and have it delivered to you within an hour," says Jacobs. "It's about connecting the full fashion sphere. This is definitely not possible if you have a bottleneck with everyone running in the same data center and thus very restricted. You need infrastructure to scale each autonomous team's idea."</p>
+-->
+<p>展望未来，Jacobs 将 Zalando 的新基础设施视为公司在进行的其他工程中的巨大推动因素，从新的物流软件到连接品牌的平台功能，以及数据科学家梦寐以求的产品。Jacobs 说：“一个愿景是，如果你看下一部 James Bond 的电影，看看他穿的西装，你就应该能够自动订购，并在一小时内把它送到你身边。”“这是关于连接整个时尚领域。如果你遇到瓶颈，因为每个人都在同一个数据中心运行，因此限制很大，则这绝对是不可能的。需要基础设施来扩展每个自主团队的想法。”</p>
+
+<!-- 
+<p>For other companies considering this technology, Jacobs says he wouldn't necessarily advise doing it exactly the same way Zalando did. "It's okay to do so if you're ready to fail at some things," he says. "You need to set the right expectations. Not everything will work. Rewriting apps and this type of organizational change can be disruptive. The first product we moved was critical. There were a lot of dependencies, and it took longer than expected. Maybe we should have started with something less complicated, less business critical, just to get our toes wet."</p>
+-->
+<p>对于考虑这项技术的其他公司，Jacobs 说，他不一定建议像 Zalando 那样做。他表示：“如果你准备尝试失败，那么这样做是可以的。”“设定正确的期望是必须的。并不是一切都会起作用。重写应用和这种类型的组织更改可能会造成中断。我们移动的第一个产品至关重要。存在大量依赖关系，而且时间比预期长。也许我们应该从不那么复杂、不是业务关键的东西开始，只是为了开个好头。”</p>
+
+<!-- 
+<p>But once they got to the other side "it was clear for everyone that there's no big alternative," Jacobs adds. "The Kubernetes API allows us to run applications in a cloud provider-agnostic way, which gives us the freedom to revisit IaaS providers in the coming years. Zalando Technology benefits from migrating to Kubernetes as we are able to leverage our existing knowledge to create an engineering platform offering flexibility and speed to our engineers while significantly reducing the operational overhead. We expect the Kubernetes API to be the global standard for PaaS infrastructure and are excited about the continued journey."</p>
+-->
+<p>但是，一旦他们到了另一边，“每个人都很清楚，没有大的选择，” Jacobs 补充说。“Kubernetes API 允许我们以与云提供商无关的方式运行应用程序，这使我们能够在未来几年中自由访问 IaaS 提供商。Zalando 受益于迁移到 Kubernetes，因为我们能够利用现有知识创建工程平台，为我们的工程师提供灵活性和速度，同时显著降低运营开销。我们期望 Kubernetes API 成为 PaaS 基础设施的全球标准，并对未来的旅程感到兴奋。”</p>
diff --git a/content/zh-cn/docs/concepts/architecture/cloud-controller.md b/content/zh-cn/docs/concepts/architecture/cloud-controller.md
index d46b7967adb..2e1e65850f0 100644
--- a/content/zh-cn/docs/concepts/architecture/cloud-controller.md
+++ b/content/zh-cn/docs/concepts/architecture/cloud-controller.md
@@ -93,12 +93,12 @@ hosts running inside your tenancy with the cloud provider. The node controller p
    cluster.
 -->
 1. 使用从云平台 API 获取的对应服务器的唯一标识符更新 Node 对象；
-2. 利用特定云平台的信息为 Node 对象添加注解和标签，例如节点所在的
-   区域（Region）和所具有的资源（CPU、内存等等）；
+2. 利用特定云平台的信息为 Node 对象添加注解和标签，例如节点所在的区域
+  （Region）和所具有的资源（CPU、内存等等）；
 3. 获取节点的网络地址和主机名；
-4. 检查节点的健康状况。如果节点无响应，控制器通过云平台 API 查看该节点是否
-   已从云中禁用、删除或终止。如果节点已从云中删除，则控制器从 Kubernetes 集群
-   中删除 Node 对象。
+4. 检查节点的健康状况。如果节点无响应，控制器通过云平台 API
+   查看该节点是否已从云中禁用、删除或终止。如果节点已从云中删除，
+   则控制器从 Kubernetes 集群中删除 Node 对象。
 
 <!--
 Some cloud provider implementations split this into a node controller and a separate node
@@ -118,8 +118,7 @@ of IP addresses for the Pod network.
 -->
 ### 路由控制器   {#route-controller}
 
-Route 控制器负责适当地配置云平台中的路由，以便 Kubernetes 集群中不同节点上的
-容器之间可以相互通信。
+Route 控制器负责适当地配置云平台中的路由，以便 Kubernetes 集群中不同节点上的容器之间可以相互通信。
 
 取决于云驱动本身，路由控制器可能也会为 Pod 网络分配 IP 地址块。
 
@@ -195,12 +194,14 @@ To set up Endpoints resources for the Services, it requires access to Create, Li
 -->
 ### 服务控制器 {#authorization-service-controller}
 
-服务控制器监测 Service 对象的 Create、Update 和 Delete 事件，并配置
-对应服务的 Endpoints 对象。
-为了访问 Service 对象，它需要 List、Watch 访问权限；为了更新 Service 对象
-它需要 Patch 和 Update 访问权限。
-为了能够配置 Service 对应的 Endpoints 资源，它需要 Create、List、Get、Watch
-和 Update 等访问权限。
+服务控制器监测 Service 对象的 Create、Update 和 Delete 事件，
+并配置对应服务的 Endpoints 对象。
+
+为了访问 Service 对象，它需要 List 和 Watch 访问权限。
+为了更新 Service 对象，它需要 Patch 和 Update 访问权限。
+
+为了能够配置 Service 对应的 Endpoints 资源，
+它需要 Create、List、Get、Watch 和 Update 等访问权限。
 
 `v1/Service`:
 
@@ -230,8 +231,8 @@ controller manager looks like:
 -->
 ### 其他  {#authorization-miscellaneous}
 
-云控制器管理器的实现中，其核心部分需要创建 Event 对象的访问权限以及
-创建 ServiceAccount 资源以保证操作安全性的权限。
+在云控制器管理器的实现中，其核心部分需要创建 Event 对象的访问权限，
+并创建 ServiceAccount 资源以保证操作安全性的权限。
 
 `v1/Event`:
 
@@ -321,7 +322,7 @@ Want to know how to implement your own cloud controller manager, or extend an ex
 [云控制器管理器的管理](/zh-cn/docs/tasks/administer-cluster/running-cloud-controller/#cloud-controller-manager)
 给出了运行和管理云控制器管理器的指南。
 
-要升级 HA 控制平面以使用云控制器管理器，请参见 [将复制的控制平面迁移以使用云控制器管理器](/zh-cn/docs/tasks/administer-cluster/controller-manager-leader-migration/)
+要升级 HA 控制平面以使用云控制器管理器，请参见[将复制的控制平面迁移以使用云控制器管理器](/zh-cn/docs/tasks/administer-cluster/controller-manager-leader-migration/)。
 
 想要了解如何实现自己的云控制器管理器，或者对现有项目进行扩展么？
 
@@ -338,8 +339,8 @@ The implementation of the shared controllers highlighted in this document (Node,
 
 For more information about developing plugins, see [Developing Cloud Controller Manager](/docs/tasks/administer-cluster/developing-cloud-controller-manager/).
 -->
-本文中列举的共享控制器（节点控制器、路由控制器和服务控制器等）的实现以及
-其他一些生成具有 CloudProvider 接口的框架的代码，都是 Kubernetes 的核心代码。
+本文中列举的共享控制器（节点控制器、路由控制器和服务控制器等）的实现以及其他一些生成具有
+CloudProvider 接口的框架的代码，都是 Kubernetes 的核心代码。
 特定于云驱动的实现虽不是 Kubernetes 核心成分，仍要实现 `CloudProvider` 接口。
 
 关于如何开发插件的详细信息，可参考
diff --git a/content/zh-cn/docs/concepts/architecture/control-plane-node-communication.md b/content/zh-cn/docs/concepts/architecture/control-plane-node-communication.md
index 57f05179ed6..ed3075a273e 100644
--- a/content/zh-cn/docs/concepts/architecture/control-plane-node-communication.md
+++ b/content/zh-cn/docs/concepts/architecture/control-plane-node-communication.md
@@ -1,11 +1,11 @@
 ---
-title: 控制面到节点通信
+title: 节点与控制面之间的通信
 content_type: concept
 weight: 20
 ---
 
 <!--
-title: Control Plane-Node Communication
+title: Communication between Nodes and the Control Plane
 content_type: concept
 weight: 20
 aliases:
@@ -15,31 +15,47 @@ aliases:
 <!-- overview -->
 
 <!--
-This document catalogs the communication paths between the control plane (apiserver) and the Kubernetes cluster. The intent is to allow users to customize their installation to harden the network configuration such that the cluster can be run on an untrusted network (or on fully public IPs on a cloud provider).
+This document catalogs the communication paths between the API server and the Kubernetes cluster.
+The intent is to allow users to customize their installation to harden the network configuration
+such that the cluster can be run on an untrusted network (or on fully public IPs on a cloud
+provider).
 -->
 本文列举控制面节点（确切说是 API 服务器）和 Kubernetes 集群之间的通信路径。
-目的是为了让用户能够自定义他们的安装，以实现对网络配置的加固，使得集群能够在不可信的网络上
-（或者在一个云服务商完全公开的 IP 上）运行。
+目的是为了让用户能够自定义他们的安装，以实现对网络配置的加固，
+使得集群能够在不可信的网络上（或者在一个云服务商完全公开的 IP 上）运行。
 
 <!-- body -->
+
 <!--
 ## Node to Control Plane
-Kubernetes has a "hub-and-spoke" API pattern. All API usage from nodes (or the pods they run) terminates at the apiserver. None of the other control plane components are designed to expose remote services. The apiserver is configured to listen for remote connections on a secure HTTPS port (typically 443) with one or more forms of client [authentication](/docs/reference/access-authn-authz/authentication/) enabled.
-One or more forms of [authorization](/docs/reference/access-authn-authz/authorization/) should be enabled, especially if [anonymous requests](/docs/reference/access-authn-authz/authentication/#anonymous-requests) or [service account tokens](/docs/reference/access-authn-authz/authentication/#service-account-tokens) are allowed.
+
+Kubernetes has a "hub-and-spoke" API pattern. All API usage from nodes (or the pods they run)
+terminates at the API server. None of the other control plane components are designed to expose
+remote services. The API server is configured to listen for remote connections on a secure HTTPS
+port (typically 443) with one or more forms of client
+[authentication](/docs/reference/access-authn-authz/authentication/) enabled.
+One or more forms of [authorization](/docs/reference/access-authn-authz/authorization/) should be
+enabled, especially if [anonymous requests](/docs/reference/access-authn-authz/authentication/#anonymous-requests)
+or [service account tokens](/docs/reference/access-authn-authz/authentication/#service-account-tokens)
+are allowed.
 -->
-## 节点到控制面
+## 节点到控制面   {#node-to-control-plane}
 
 Kubernetes 采用的是中心辐射型（Hub-and-Spoke）API 模式。
-所有从集群（或所运行的 Pods）发出的 API 调用都终止于 API 服务器。
+所有从节点（或运行于其上的 Pod）发出的 API 调用都终止于 API 服务器。
 其它控制面组件都没有被设计为可暴露远程服务。
 API 服务器被配置为在一个安全的 HTTPS 端口（通常为 443）上监听远程连接请求，
 并启用一种或多种形式的客户端[身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)机制。
 一种或多种客户端[鉴权机制](/zh-cn/docs/reference/access-authn-authz/authorization/)应该被启用，
 特别是在允许使用[匿名请求](/zh-cn/docs/reference/access-authn-authz/authentication/#anonymous-requests)
-或[服务账号令牌](/zh-cn/docs/reference/access-authn-authz/authentication/#service-account-tokens)的时候。
+或[服务账户令牌](/zh-cn/docs/reference/access-authn-authz/authentication/#service-account-tokens)的时候。
 
 <!--
-Nodes should be provisioned with the public root certificate for the cluster such that they can connect securely to the apiserver along with valid client credentials. A good approach is that the client credentials provided to the kubelet are in the form of a client certificate. See [kubelet TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/) for automated provisioning of kubelet client certificates.
+Nodes should be provisioned with the public root certificate for the cluster such that they can
+connect securely to the API server along with valid client credentials. A good approach is that the
+client credentials provided to the kubelet are in the form of a client certificate. See
+[kubelet TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
+for automated provisioning of kubelet client certificates.
 -->
 应该使用集群的公共根证书开通节点，这样它们就能够基于有效的客户端凭据安全地连接 API 服务器。
 一种好的方法是以客户端证书的形式将客户端凭据提供给 kubelet。
@@ -47,20 +63,25 @@ Nodes should be provisioned with the public root certificate for the cluster suc
 以了解如何自动提供 kubelet 客户端证书。
 
 <!--
-Pods that wish to connect to the apiserver can do so securely by leveraging a service account so that Kubernetes will automatically inject the public root certificate and a valid bearer token into the pod when it is instantiated.
-The `kubernetes` service (in `default` namespace) is configured with a virtual IP address that is redirected (via kube-proxy) to the HTTPS endpoint on the apiserver.
+Pods that wish to connect to the API server can do so securely by leveraging a service account so
+that Kubernetes will automatically inject the public root certificate and a valid bearer token
+into the pod when it is instantiated.
+The `kubernetes` service (in `default` namespace) is configured with a virtual IP address that is
+redirected (via `kube-proxy`) to the HTTPS endpoint on the API server.
 
 The control plane components also communicate with the cluster apiserver over the secure port.
 -->
 想要连接到 API 服务器的 Pod 可以使用服务账号安全地进行连接。
 当 Pod 被实例化时，Kubernetes 自动把公共根证书和一个有效的持有者令牌注入到 Pod 里。
-`kubernetes` 服务（位于 `default` 名字空间中）配置了一个虚拟 IP 地址，用于（通过 kube-proxy）转发
-请求到 API 服务器的 HTTPS 末端。
+`kubernetes` 服务（位于 `default` 名字空间中）配置了一个虚拟 IP 地址，
+用于（通过 kube-proxy）转发请求到 API 服务器的 HTTPS 末端。
 
 控制面组件也通过安全端口与集群的 API 服务器通信。
 
 <!--
-As a result, the default operating mode for connections from the nodes and pods running on the nodes to the control plane is secured by default and can run over untrusted and/or public networks.
+As a result, the default operating mode for connections from the nodes and pods running on the
+nodes to the control plane is secured by default and can run over untrusted and/or public
+networks.
 -->
 这样，从集群节点和节点上运行的 Pod 到控制面的连接的缺省操作模式即是安全的，
 能够在不可信的网络或公网上运行。
@@ -68,26 +89,31 @@ As a result, the default operating mode for connections from the nodes and pods
 <!--
 ## Control Plane to node
 
-There are two primary communication paths from the control plane (apiserver) to the nodes. The first is from the apiserver to the kubelet process which runs on each node in the cluster. The second is from the apiserver to any node, pod, or service through the apiserver's proxy functionality.
+There are two primary communication paths from the control plane (the API server) to the nodes.
+The first is from the API server to the kubelet process which runs on each node in the cluster.
+The second is from the API server to any node, pod, or service through the API server's _proxy_
+functionality.
 -->
-## 控制面到节点
+## 控制面到节点  {#control-plane-to-node}
 
 从控制面（API 服务器）到节点有两种主要的通信路径。
 第一种是从 API 服务器到集群中每个节点上运行的 kubelet 进程。
 第二种是从 API 服务器通过它的代理功能连接到任何节点、Pod 或者服务。
 
 <!--
-### apiserver to kubelet
+### API server to kubelet
 
-The connections from the apiserver to the kubelet are used for:
+The connections from the API server to the kubelet are used for:
 
 * Fetching logs for pods.
-* Attaching (through kubectl) to running pods.
+* Attaching (usually through `kubectl`) to running pods.
 * Providing the kubelet's port-forwarding functionality.
 
-These connections terminate at the kubelet's HTTPS endpoint. By default, the apiserver does not verify the kubelet's serving certificate, which makes the connection subject to man-in-the-middle attacks and **unsafe** to run over untrusted and/or public networks.
+These connections terminate at the kubelet's HTTPS endpoint. By default, the API server does not
+verify the kubelet's serving certificate, which makes the connection subject to man-in-the-middle
+attacks and **unsafe** to run over untrusted and/or public networks.
 -->
-### API 服务器到 kubelet
+### API 服务器到 kubelet  {#api-server-to-kubelet}
 
 从 API 服务器到 kubelet 的连接用于：
 
@@ -100,15 +126,18 @@ These connections terminate at the kubelet's HTTPS endpoint. By default, the api
 在非受信网络或公开网络上运行也是 **不安全的**。
 
 <!--
-To verify this connection, use the `--kubelet-certificate-authority` flag to provide the apiserver with a root certificate bundle to use to verify the kubelet's serving certificate.
+To verify this connection, use the `--kubelet-certificate-authority` flag to provide the API
+server with a root certificate bundle to use to verify the kubelet's serving certificate.
 
-If that is not possible, use [SSH tunneling](#ssh-tunnels) between the apiserver and kubelet if required to avoid connecting over an
+If that is not possible, use [SSH tunneling](#ssh-tunnels) between the API server and kubelet if
+required to avoid connecting over an
 untrusted or public network.
 
-Finally, [Kubelet authentication and/or authorization](/docs/reference/access-authn-authz/kubelet-authn-authz/) should be enabled to secure the kubelet API.
+Finally, [Kubelet authentication and/or authorization](/docs/reference/access-authn-authz/kubelet-authn-authz/)
+should be enabled to secure the kubelet API.
 -->
-为了对这个连接进行认证，使用 `--kubelet-certificate-authority` 标志给 API
-服务器提供一个根证书包，用于 kubelet 的服务证书。
+为了对这个连接进行认证，使用 `--kubelet-certificate-authority` 标志给
+API 服务器提供一个根证书包，用于 kubelet 的服务证书。
 
 如果无法实现这点，又要求避免在非受信网络或公共网络上进行连接，可在 API 服务器和
 kubelet 之间使用 [SSH 隧道](#ssh-tunnels)。
@@ -118,11 +147,16 @@ kubelet 之间使用 [SSH 隧道](#ssh-tunnels)。
 来保护 kubelet API。
 
 <!--
-### apiserver to nodes, pods, and services
+### API server to nodes, pods, and services
 
-The connections from the apiserver to a node, pod, or service default to plain HTTP connections and are therefore neither authenticated nor encrypted. They can be run over a secure HTTPS connection by prefixing `https:` to the node, pod, or service name in the API URL, but they will not validate the certificate provided by the HTTPS endpoint nor provide client credentials. So while the connection will be encrypted, it will not provide any guarantees of integrity. These connections **are not currently safe** to run over untrusted or public networks.
+The connections from the API server to a node, pod, or service default to plain HTTP connections
+and are therefore neither authenticated nor encrypted. They can be run over a secure HTTPS
+connection by prefixing `https:` to the node, pod, or service name in the API URL, but they will
+not validate the certificate provided by the HTTPS endpoint nor provide client credentials. So
+while the connection will be encrypted, it will not provide any guarantees of integrity. These
+connections **are not currently safe** to run over untrusted or public networks.
 -->
-### API 服务器到节点、Pod 和服务
+### API 服务器到节点、Pod 和服务  {#api-server-to-nodes-pods-and-services}
 
 从 API 服务器到节点、Pod 或服务的连接默认为纯 HTTP 方式，因此既没有认证，也没有加密。
 这些连接可通过给 API URL 中的节点、Pod 或服务名称添加前缀 `https:` 来运行在安全的 HTTPS 连接上。
@@ -133,38 +167,51 @@ The connections from the apiserver to a node, pod, or service default to plain H
 <!--
 ### SSH tunnels
 
-Kubernetes supports SSH tunnels to protect the control plane to nodes communication paths. In this configuration, the apiserver initiates an SSH tunnel to each node in the cluster (connecting to the ssh server listening on port 22) and passes all traffic destined for a kubelet, node, pod, or service through the tunnel.
-This tunnel ensures that the traffic is not exposed outside of the network in which the nodes are running.
-
-SSH tunnels are currently deprecated, so you shouldn't opt to use them unless you know what you are doing. The Konnectivity service is a replacement for this communication channel.
+Kubernetes supports SSH tunnels to protect the control plane to nodes communication paths. In this
+configuration, the API server initiates an SSH tunnel to each node in the cluster (connecting to
+the SSH server listening on port 22) and passes all traffic destined for a kubelet, node, pod, or
+service through the tunnel.
+This tunnel ensures that the traffic is not exposed outside of the network in which the nodes are
+running.
 -->
 ### SSH 隧道 {#ssh-tunnels}
 
-Kubernetes 支持使用 SSH 隧道来保护从控制面到节点的通信路径。在这种配置下，API
-服务器建立一个到集群中各节点的 SSH 隧道（连接到在 22 端口监听的 SSH 服务）
+Kubernetes 支持使用 SSH 隧道来保护从控制面到节点的通信路径。在这种配置下，
+API 服务器建立一个到集群中各节点的 SSH 隧道（连接到在 22 端口监听的 SSH 服务器）
 并通过这个隧道传输所有到 kubelet、节点、Pod 或服务的请求。
 这一隧道保证通信不会被暴露到集群节点所运行的网络之外。
 
+{{< note >}}
+<!--
+SSH tunnels are currently deprecated, so you shouldn't opt to use them unless you know what you are doing. The Konnectivity service is a replacement for this communication channel.
+-->
 SSH 隧道目前已被废弃。除非你了解个中细节，否则不应使用。
 Konnectivity 服务是对此通信通道的替代品。
+{{< /note >}}
 
 <!--
 ### Konnectivity service
-
-{{< feature-state for_k8s_version="v1.18" state="beta" >}}
-
-As a replacement to the SSH tunnels, the Konnectivity service provides TCP level proxy for the control plane to cluster communication. The Konnectivity service consists of two parts: the Konnectivity server in the control plane network and the Konnectivity agents in the nodes network. The Konnectivity agents initiate connections to the Konnectivity server and maintain the network connections.
-After enabling the Konnectivity service, all control plane to nodes traffic goes through these connections.
-
-Follow the [Konnectivity service task](/docs/tasks/extend-kubernetes/setup-konnectivity/) to set up the Konnectivity service in your cluster.
 -->
-### Konnectivity 服务
+### Konnectivity 服务   {#konnectivity-service}
 
 {{< feature-state for_k8s_version="v1.18" state="beta" >}}
 
+<!--
+As a replacement to the SSH tunnels, the Konnectivity service provides TCP level proxy for the
+control plane to cluster communication. The Konnectivity service consists of two parts: the
+Konnectivity server in the control plane network and the Konnectivity agents in the nodes network.
+The Konnectivity agents initiate connections to the Konnectivity server and maintain the network
+connections.
+After enabling the Konnectivity service, all control plane to nodes traffic goes through these
+connections.
+
+Follow the [Konnectivity service task](/docs/tasks/extend-kubernetes/setup-konnectivity/) to set
+up the Konnectivity service in your cluster.
+-->
 作为 SSH 隧道的替代方案，Konnectivity 服务提供 TCP 层的代理，以便支持从控制面到集群的通信。
-Konnectivity 服务包含两个部分：Konnectivity 服务器和 Konnectivity 代理，分别运行在
-控制面网络和节点网络中。Konnectivity 代理建立并维持到 Konnectivity 服务器的网络连接。
+Konnectivity 服务包含两个部分：Konnectivity 服务器和 Konnectivity 代理，
+分别运行在控制面网络和节点网络中。
+Konnectivity 代理建立并维持到 Konnectivity 服务器的网络连接。
 启用 Konnectivity 服务之后，所有控制面到节点的通信都通过这些连接传输。
 
 请浏览 [Konnectivity 服务任务](/zh-cn/docs/tasks/extend-kubernetes/setup-konnectivity/)
diff --git a/content/zh-cn/docs/concepts/architecture/nodes.md b/content/zh-cn/docs/concepts/architecture/nodes.md
index a57f98dc14a..90634a7d9bb 100644
--- a/content/zh-cn/docs/concepts/architecture/nodes.md
+++ b/content/zh-cn/docs/concepts/architecture/nodes.md
@@ -17,13 +17,13 @@ weight: 10
 <!--
 Kubernetes runs your workload by placing containers into Pods to run on _Nodes_.
 A node may be a virtual or physical machine, depending on the cluster. Each node
-is managed by the 
+is managed by the
 {{< glossary_tooltip text="control plane" term_id="control-plane" >}}
 and contains the services necessary to run
 {{< glossary_tooltip text="Pods" term_id="pod" >}}.
 
 Typically you have several nodes in a cluster; in a learning or resource-limited
-environment, you might have just one.
+environment, you might have only one node.
 
 The [components](/docs/concepts/overview/components/#node-components) on a node include the
 {{< glossary_tooltip text="kubelet" term_id="kubelet" >}}, a
@@ -32,11 +32,10 @@ The [components](/docs/concepts/overview/components/#node-components) on a node
 -->
 Kubernetes 通过将容器放入在节点（Node）上运行的 Pod 中来执行你的工作负载。
 节点可以是一个虚拟机或者物理机器，取决于所在的集群配置。
-每个节点包含运行 {{< glossary_tooltip text="Pods" term_id="pod" >}} 所需的服务；
+每个节点包含运行 {{< glossary_tooltip text="Pod" term_id="pod" >}} 所需的服务；
 这些节点由 {{< glossary_tooltip text="控制面" term_id="control-plane" >}} 负责管理。
 
-通常集群中会有若干个节点；而在一个学习用或者资源受限的环境中，你的集群中也可能
-只有一个节点。
+通常集群中会有若干个节点；而在一个学习所用或者资源受限的环境中，你的集群中也可能只有一个节点。
 
 节点上的[组件](/zh-cn/docs/concepts/overview/components/#node-components)包括
 {{< glossary_tooltip text="kubelet" term_id="kubelet" >}}、
@@ -50,7 +49,7 @@ Kubernetes 通过将容器放入在节点（Node）上运行的 Pod 中来执行
 There are two main ways to have Nodes added to the {{< glossary_tooltip text="API server" term_id="kube-apiserver" >}}:
 
 1. The kubelet on a node self-registers to the control plane
-2. You, or another human user, manually add a Node object
+2. You (or another human user) manually add a Node object
 
 After you create a Node {{< glossary_tooltip text="object" term_id="object" >}},
 or the kubelet on a node self-registers, the control plane checks whether the new Node object is
@@ -61,7 +60,7 @@ valid. For example, if you try to create a Node from the following JSON manifest
 向 {{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}}添加节点的方式主要有两种：
 
 1. 节点上的 `kubelet` 向控制面执行自注册；
-2. 你，或者别的什么人，手动添加一个 Node 对象。
+2. 你（或者别的什么人）手动添加一个 Node 对象。
 
 在你创建了 Node {{< glossary_tooltip text="对象" term_id="object" >}}或者节点上的
 `kubelet` 执行了自注册操作之后，控制面会检查新的 Node 对象是否合法。
@@ -83,14 +82,14 @@ valid. For example, if you try to create a Node from the following JSON manifest
 <!--
 Kubernetes creates a Node object internally (the representation). Kubernetes checks
 that a kubelet has registered to the API server that matches the `metadata.name`
-field of the Node. If the node is healthy (if all necessary services are running),
-it is eligible to run a Pod. Otherwise, that node is ignored for any cluster activity
+field of the Node. If the node is healthy (i.e. all necessary services are running),
+then it is eligible to run a Pod. Otherwise, that node is ignored for any cluster activity
 until it becomes healthy.
 -->
 Kubernetes 会在内部创建一个 Node 对象作为节点的表示。Kubernetes 检查 `kubelet`
 向 API 服务器注册节点时使用的 `metadata.name` 字段是否匹配。
 如果节点是健康的（即所有必要的服务都在运行中），则该节点可以用来运行 Pod。
-否则，直到该节点变为健康之前，所有的集群活动都会忽略该节点。 
+否则，直到该节点变为健康之前，所有的集群活动都会忽略该节点。
 
 {{< note >}}
 <!--
@@ -136,7 +135,7 @@ first and re-added after the update.
 <!--
 ### Self-registration of Nodes
 
-When the kubelet flag `-register-node` is true (the default), the kubelet will attempt to
+When the kubelet flag `--register-node` is true (the default), the kubelet will attempt to
 register itself with the API server.  This is the preferred pattern, used by most distros.
 
 For self-registration, the kubelet is started with the following options:
@@ -175,7 +174,7 @@ When the [Node authorization mode](/docs/reference/access-authn-authz/node/) and
 [NodeRestriction admission plugin](/docs/reference/access-authn-authz/admission-controllers/#noderestriction) are enabled,
 kubelets are only authorized to create/modify their own Node resource.
 -->
-启用[Node 鉴权模式](/zh-cn/docs/reference/access-authn-authz/node/)和
+启用 [Node 鉴权模式](/zh-cn/docs/reference/access-authn-authz/node/)和
 [NodeRestriction 准入插件](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#noderestriction)时，
 仅授权 `kubelet` 创建或修改其自己的节点资源。
 
@@ -216,7 +215,7 @@ You can create and modify Node objects using
 When you want to create Node objects manually, set the kubelet flag `--register-node=false`.
 
 You can modify Node objects regardless of the setting of `--register-node`.
-For example, you can set labels on an existing Node, or mark it unschedulable.
+For example, you can set labels on an existing Node or mark it unschedulable.
 -->
 ### 手动节点管理 {#manual-node-administration}
 
@@ -226,15 +225,15 @@ For example, you can set labels on an existing Node, or mark it unschedulable.
 如果你希望手动创建节点对象时，请设置 kubelet 标志 `--register-node=false`。
 
 你可以修改 Node 对象（忽略 `--register-node` 设置）。
-例如，修改节点上的标签或标记其为不可调度。
+例如，你可以修改节点上的标签或并标记其为不可调度。
 
 <!--
 You can use labels on Nodes in conjunction with node selectors on Pods to control
-scheduling. For example, you can to constrain a Pod to only be eligible to run on
+scheduling. For example, you can constrain a Pod to only be eligible to run on
 a subset of the available nodes.
 
 Marking a node as unschedulable prevents the scheduler from placing new pods onto
-that Node, but does not affect existing Pods on the Node. This is useful as a
+that Node but does not affect existing Pods on the Node. This is useful as a
 preparatory step before a node reboot or other maintenance.
 
 To mark a Node unschedulable, run:
@@ -271,9 +270,9 @@ DaemonSet 通常提供节点本地的服务，即使节点上的负载应用已
 {{< /note >}}
 
 <!--
-## Node Status
+## Node status
 
-A node's status contains the following information:
+A Node's status contains the following information:
 
 * [Addresses](#addresses)
 * [Conditions](#condition)
@@ -330,13 +329,13 @@ The `conditions` field describes the status of all `Running` nodes. Examples of
 
 <!--
 {{< table caption = "Node conditions, and a description of when each condition applies." >}}
-| Node Condition | Description |
-|----------------|-------------|
+| Node Condition       | Description |
+|----------------------|-------------|
 | `Ready`              | `True` if the node is healthy and ready to accept pods, `False` if the node is not healthy and is not accepting pods, and `Unknown` if the node controller has not heard from the node in the last `node-monitor-grace-period` (default is 40 seconds) |
 | `DiskPressure`       | `True` if pressure exists on the disk size—that is, if the disk capacity is low; otherwise `False` |
 | `MemoryPressure`     | `True` if pressure exists on the node memory—that is, if the node memory is low; otherwise `False` |
-| `PIDPressure`    | `True` if pressure exists on the processes - that is, if there are too many processes on the node; otherwise `False` |
-| `NetworkUnavailable`    | `True` if the network for the node is not correctly configured, otherwise `False` |
+| `PIDPressure`        | `True` if pressure exists on the processes—that is, if there are too many processes on the node; otherwise `False` |
+| `NetworkUnavailable` | `True` if the network for the node is not correctly configured, otherwise `False` |
 {{< /table >}}
 -->
 {{< table caption = "节点状况及每种状况适用场景的描述" >}}
@@ -364,7 +363,7 @@ Condition，被保护起来的节点在其规约中被标记为不可调度（Un
 In the Kubernetes API, a node's condition is represented as part of the `.status`
 of the Node resource. For example, the following JSON structure describes a healthy node:
 -->
-在 Kubernetes API 中，节点的状况表示节点资源中`.status` 的一部分。 
+在 Kubernetes API 中，节点的状况表示节点资源中`.status` 的一部分。
 例如，以下 JSON 结构描述了一个健康节点：
 
 ```json
@@ -393,7 +392,7 @@ for all Pods assigned to that node. The default eviction timeout duration is
 `pod-eviction-timeout` 值（一个传递给
 {{< glossary_tooltip text="kube-controller-manager" term_id="kube-controller-manager" >}}
 的参数），[节点控制器](#node-controller)会对节点上的所有 Pod 触发
-{{< glossary_tooltip text="API-发起的驱逐" term_id="api-eviction" >}}。
+{{< glossary_tooltip text="API 发起的驱逐" term_id="api-eviction" >}}。
 默认的逐出超时时长为 **5 分钟**。
 
 <!--
@@ -411,8 +410,8 @@ The node controller does not force delete pods until it is confirmed that they h
 running in the cluster. You can see the pods that might be running on an unreachable node as
 being in the `Terminating` or `Unknown` state. In cases where Kubernetes cannot deduce from the
 underlying infrastructure if a node has permanently left a cluster, the cluster administrator
-may need to delete the node object by hand.  Deleting the node object from Kubernetes causes
-all the Pod objects running on the node to be deleted from the API server, and frees up their
+may need to delete the node object by hand. Deleting the node object from Kubernetes causes
+all the Pod objects running on the node to be deleted from the API server and frees up their
 names.
 -->
 节点控制器在确认 Pod 在集群中已经停止运行前，不会强制删除它们。
@@ -461,7 +460,8 @@ Node that is available to be consumed by normal Pods.
 
 <!--
 You may read more about capacity and allocatable resources while learning how
-to [reserve compute resources](/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable) on a Node.
+to [reserve compute resources](/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
+on a Node.
 -->
 可以在学习如何在节点上[预留计算资源](/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
 的时候了解有关容量和可分配资源的更多信息。
@@ -505,7 +505,7 @@ Kubernetes 节点发送的心跳帮助你的集群确定每个节点的可用性
 -->
 * 更新节点的 `.status`
 * `kube-node-lease` {{<glossary_tooltip term_id="namespace" text="名字空间">}}中的
-  [Lease（租约）](/docs/reference/kubernetes-api/cluster-resources/lease-v1/)对象。
+  [Lease（租约）](/zh-cn/docs/reference/kubernetes-api/cluster-resources/lease-v1/)对象。
   每个节点都有一个关联的 Lease 对象。
 
 <!--
@@ -539,7 +539,7 @@ kubelet 负责创建和更新节点的 `.status`，以及更新它们对应的 L
   最长重试间隔为 7 秒钟。
 
 <!--
-## Node Controller
+## Node controller
 
 The node {{< glossary_tooltip text="controller" term_id="controller" >}} is a
 Kubernetes control plane component that manages various aspects of nodes.
@@ -558,7 +558,7 @@ CIDR block to the node when it is registered (if CIDR assignment is turned on).
 <!--
 The second is keeping the node controller's internal list of nodes up to date with
 the cloud provider's list of available machines. When running in a cloud
-environment, whenever a node is unhealthy, the node controller asks the cloud
+environment and whenever a node is unhealthy, the node controller asks the cloud
 provider if the VM for that node is still available. If not, the node
 controller deletes the node from its list of nodes.
 -->
@@ -586,7 +586,7 @@ This period can be configured using the `--node-monitor-period` flag on the
 第三个是监控节点的健康状况。节点控制器负责：
 
 - 在节点不可达的情况下，在 Node 的 `.status` 中更新 `Ready` 状况。
-  在这种情况下，节点控制器将 NodeReady 状况更新为 `Unknown` 。
+  在这种情况下，节点控制器将 NodeReady 状况更新为 `Unknown`。
 - 如果节点仍然无法访问：对于不可达节点上的所有 Pod 触发
   [API 发起的逐出](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)操作。
   默认情况下，节点控制器在将节点标记为 `Unknown` 后等待 5 分钟提交第一个驱逐请求。
@@ -598,7 +598,7 @@ This period can be configured using the `--node-monitor-period` flag on the
 ### Rate limits on eviction
 
 In most cases, the node controller limits the eviction rate to
-`-node-eviction-rate` (default 0.1) per second, meaning it won't evict pods
+`--node-eviction-rate` (default 0.1) per second, meaning it won't evict pods
 from more than 1 node per 10 seconds.
 -->
 ### 逐出速率限制  {#rate-limits-on-eviction}
@@ -627,7 +627,7 @@ the same time:
 - 如果不健康节点的比例超过 `--unhealthy-zone-threshold` （默认为 0.55），
   驱逐速率将会降低。
 - 如果集群较小（意即小于等于 `--large-cluster-size-threshold` 个节点 - 默认为 50），
-  驱逐操作将会停止。 
+  驱逐操作将会停止。
 - 否则驱逐速率将降为每秒 `--secondary-node-eviction-rate` 个（默认为 0.01）。
 
 <!--
@@ -643,8 +643,8 @@ then the eviction mechanism does not take per-zone unavailability into account.
 <!--
 A key reason for spreading your nodes across availability zones is so that the
 workload can be shifted to healthy zones when one entire zone goes down.
-Therefore, if all nodes in a zone are unhealthy then node controller evicts at
-the normal rate `-node-eviction-rate`.  The corner case is when all zones are
+Therefore, if all nodes in a zone are unhealthy, then the node controller evicts at
+the normal rate of `--node-eviction-rate`.  The corner case is when all zones are
 completely unhealthy (none of the nodes in the cluster are healthy). In such a
 case, the node controller assumes that there is some problem with connectivity
 between the control plane and the nodes, and doesn't perform any evictions.
@@ -660,9 +660,9 @@ evict pods from the remaining nodes that are unhealthy or unreachable).
 （如果故障后部分节点重新连接，节点控制器会从剩下不健康或者不可达节点中驱逐 Pod）。
 
 <!--
-The Node Controller is also responsible for evicting pods running on nodes with
-`NoExecute` taints, unless the pods do not tolerate the taints.
-The Node Controller also adds {{< glossary_tooltip text="taints" term_id="taint" >}}
+The node controller is also responsible for evicting pods running on nodes with
+`NoExecute` taints, unless those pods tolerate that taint.
+The node controller also adds {{< glossary_tooltip text="taints" term_id="taint" >}}
 corresponding to node problems like node unreachable or not ready. This means
 that the scheduler won't place Pods onto unhealthy nodes.
 -->
@@ -743,7 +743,7 @@ Kubelet ensures that pods follow the normal
 [pod termination process](/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)
 during the node shutdown.
 -->
-kubelet 会尝试检测节点系统关闭事件并终止在节点上运行的 Pods。
+kubelet 会尝试检测节点系统关闭事件并终止在节点上运行的所有 Pod。
 
 在节点终止期间，kubelet 保证 Pod 遵从常规的
 [Pod 终止流程](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)。
@@ -763,7 +763,7 @@ Graceful node shutdown is controlled with the `GracefulNodeShutdown`
 enabled by default in 1.21.
 -->
 节点体面关闭特性受 `GracefulNodeShutdown`
-[特性门控](/docs/reference/command-line-tools-reference/feature-gates/)控制，
+[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)控制，
 在 1.21 版本中是默认启用的。
 
 <!--
@@ -840,7 +840,7 @@ Message:        Pod was terminated in response to imminent node shutdown.
 {{< feature-state state="alpha" for_k8s_version="v1.24" >}}
 
 <!--
-A node shutdown action may not be detected by kubelet's Node Shutdown Mananger, 
+A node shutdown action may not be detected by kubelet's Node Shutdown Manager, 
 either because the command does not trigger the inhibitor locks mechanism used by 
 kubelet or because of a user error, i.e., the ShutdownGracePeriod and 
 ShutdownGracePeriodCriticalPods are not configured properly. Please refer to above 
@@ -888,7 +888,7 @@ different node.
 -->
 为了缓解上述情况，用户可以手动将具有 `NoExecute` 或 `NoSchedule` 效果的
 `node kubernetes.io/out-of-service` 污点添加到节点上，标记其无法提供服务。
-如果在 `kube-controller-manager` 上启用了 `NodeOutOfServiceVolumeDetach` 
+如果在 `kube-controller-manager` 上启用了 `NodeOutOfServiceVolumeDetach`
 [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)，
 并且节点被通过污点标记为无法提供服务，如果节点 Pod 上没有设置对应的容忍度，
 那么这样的 Pod 将被强制删除，并且该在节点上被终止的 Pod 将立即进行卷分离操作。
@@ -1058,7 +1058,7 @@ their respective shutdown periods.
 -->
 如果此功能特性被启用，但没有提供配置数据，则不会出现排序操作。
 
-使用此功能特性需要启用 `GracefulNodeShutdownBasedOnPodPriority` 
+使用此功能特性需要启用 `GracefulNodeShutdownBasedOnPodPriority`
 [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)，
 并将 [kubelet 配置](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/)
 中的 `shutdownGracePeriodByPodPriority` 设置为期望的配置，
@@ -1074,7 +1074,7 @@ the feature is Beta and is enabled by default.
 {{< note >}}
 在节点体面关闭期间考虑 Pod 优先级的能力是作为 Kubernetes v1.23 中的 Alpha 功能引入的。
 在 Kubernetes {{< skew currentVersion >}} 中该功能是 Beta 版，默认启用。
-{{< /note >}} 
+{{< /note >}}
 
 <!--
 Metrics `graceful_shutdown_start_time_seconds` and `graceful_shutdown_end_time_seconds`
@@ -1170,14 +1170,13 @@ see [KEP-2400](https://github.com/kubernetes/enhancements/issues/2400) and its
 <!--
 * Learn about the [components](/docs/concepts/overview/components/#node-components) that make up a node.
 * Read the [API definition for Node](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#node-v1-core).
-* Read the [Node](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md#the-kubernetes-node)
+* Read the [Node](https://git.k8s.io/design-proposals-archive/architecture/architecture.md#the-kubernetes-node)
   section of the architecture design document.
 * Read about [taints and tolerations](/docs/concepts/scheduling-eviction/taint-and-toleration/).
 -->
 * 进一步了解节点[组件](/zh-cn/docs/concepts/overview/components/#node-components)。
 * 阅读 [Node 的 API 定义](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#node-v1-core)。
 * 阅读架构设计文档中有关
-  [Node](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md#the-kubernetes-node)
+  [Node](https://git.k8s.io/design-proposals-archive/architecture/architecture.md#the-kubernetes-node)
   的章节。
 * 了解[污点和容忍度](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)。
-
diff --git a/content/zh-cn/docs/concepts/cluster-administration/addons.md b/content/zh-cn/docs/concepts/cluster-administration/addons.md
index 0c231d5bb76..88514c97290 100644
--- a/content/zh-cn/docs/concepts/cluster-administration/addons.md
+++ b/content/zh-cn/docs/concepts/cluster-administration/addons.md
@@ -11,15 +11,11 @@ content_type: concept
 Add-ons extend the functionality of Kubernetes.
 
 This page lists some of the available add-ons and links to their respective installation instructions.
-
-Add-ons in each section are sorted alphabetically - the ordering does not imply any preferential status.
 -->
 Add-ons 扩展了 Kubernetes 的功能。
 
 本文列举了一些可用的 add-ons 以及到它们各自安装说明的链接。
 
-每个 Add-ons 按字母顺序排序 - 顺序不代表任何优先地位。
-
 <!-- body -->
 
 <!--
@@ -27,59 +23,66 @@ Add-ons 扩展了 Kubernetes 的功能。
 
 * [ACI](https://www.github.com/noironetworks/aci-containers) provides integrated container networking and network security with Cisco ACI.
 * [Antrea](https://antrea.io/) operates at Layer 3/4 to provide networking and security services for Kubernetes, leveraging Open vSwitch as the networking data plane.
-* [Calico](https://docs.projectcalico.org/latest/getting-started/kubernetes/) is a secure L3 networking and network policy provider.
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install) unites Flannel and Calico, providing networking and network policy.
-* [Cilium](https://github.com/cilium/cilium) is a L3 network and network policy plugin that can enforce HTTP/API/L7 policies transparently. Both routing and overlay/encapsulation mode are supported.
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie) enables Kubernetes to seamlessly connect to a choice of CNI plugins, such as Calico, Canal, Flannel, or Weave.
-* [Contiv](https://contivpp.io/) provides configurable networking (native L3 using BGP, overlay using vxlan, classic L2, and Cisco-SDN/ACI) for various use cases and a rich policy framework. Contiv project is fully [open sourced](https://github.com/contiv). The [installer](https://github.com/contiv/install) provides both kubeadm and non-kubeadm based installation options.
-* [Contrail](http://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/), based on [Tungsten Fabric](https://tungsten.io), is an open source, multi-cloud network virtualization and policy management platform. Contrail and Tungsten Fabric are integrated with orchestration systems such as Kubernetes, OpenShift, OpenStack and Mesos, and provide isolation modes for virtual machines, containers/pods and bare metal workloads.
-* [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually) is an overlay network provider that can be used with Kubernetes.
-* [Knitter](https://github.com/ZTE/Knitter/) is a network solution supporting multiple networking in Kubernetes.
-* Multus is a Multi plugin for multiple network support in Kubernetes to support all CNI plugins (e.g. Calico, Cilium, Contiv, Flannel), in addition to SRIOV, DPDK, OVS-DPDK and VPP based workloads in Kubernetes.
-* [OVN-Kubernetes](https://github.com/ovn-org/ovn-kubernetes/) is a networking provider for Kubernetes based on [OVN (Open Virtual Network)](https://github.com/ovn-org/ovn/), a virtual networking implementation that came out of the Open vSwitch (OVS) project. OVN-Kubernetes provides an overlay based networking implementation for Kubernetes, including an OVS based implementation of load balancing and network policy.
-* [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin) is OVN based CNI controller plugin to provide cloud native based Service function chaining(SFC), Multiple OVN overlay networking, dynamic subnet creation, dynamic creation of virtual networks, VLAN Provider network, Direct provider network and pluggable with other Multi-network plugins, ideal for edge based cloud native workloads in Multi-cluster networking
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) Container Plug-in (NCP) provides integration between VMware NSX-T and container orchestrators such as Kubernetes, as well as integration between NSX-T and container-based CaaS/PaaS platforms such as Pivotal Container Service (PKS) and OpenShift.
-* [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst) is an SDN platform that provides policy-based networking between Kubernetes Pods and non-Kubernetes environments with visibility and security monitoring.
-* [Romana](https://github.com/romana) is a Layer 3 networking solution for pod networks that also supports the [NetworkPolicy](/docs/concepts/services-networking/network-policies/) API.
-* [Weave Net](https://www.weave.works/docs/net/latest/kubernetes/kube-addon/) provides networking and network policy, will carry on working on both sides of a network partition, and does not require an external database.
+* [Calico](https://docs.projectcalico.org/latest/introduction/) is a networking and network policy provider. Calico supports a flexible set of networking options so you can choose the most efficient option for your situation, including non-overlay and overlay networks, with or without BGP. Calico uses the same engine to enforce network policy for hosts, pods, and (if using Istio & Envoy) applications at the service mesh layer.
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel) unites Flannel and Calico, providing networking and network policy.
+* [Cilium](https://github.com/cilium/cilium) is a L3 network and network policy plugin that can enforce HTTP/API/L7 policies transparently. Both routing and overlay/encapsulation mode are supported, and it can work on top of other CNI plugins.
 -->
-## 网络和网络策略
+## 联网和网络策略
 
 * [ACI](https://www.github.com/noironetworks/aci-containers) 通过 Cisco ACI 提供集成的容器网络和安全网络。
 * [Antrea](https://antrea.io/) 在第 3/4 层执行操作，为 Kubernetes
   提供网络连接和安全服务。Antrea 利用 Open vSwitch 作为网络的数据面。
-* [Calico](https://docs.projectcalico.org/v3.11/getting-started/kubernetes/installation/calico)
-  是一个安全的 L3 网络和网络策略驱动。
-* [Canal](https://github.com/tigera/canal/tree/master/k8s-install) 结合 Flannel 和 Calico，提供网络和网络策略。
+* [Calico](https://docs.projectcalico.org/latest/introduction/) 是一个联网和网络策略供应商。
+  Calico 支持一套灵活的网络选项，因此你可以根据自己的情况选择最有效的选项，包括非覆盖和覆盖网络，带或不带 BGP。
+  Calico 使用相同的引擎为主机、Pod 和（如果使用 Istio 和 Envoy）应用程序在服务网格层执行网络策略。
+* [Canal](https://projectcalico.docs.tigera.io/getting-started/kubernetes/flannel/flannel) 结合 Flannel 和 Calico，提供联网和网络策略。
 * [Cilium](https://github.com/cilium/cilium) 是一个 L3 网络和网络策略插件，能够透明的实施 HTTP/API/L7 策略。
-  同时支持路由（routing）和覆盖/封装（overlay/encapsulation）模式。
-* [CNI-Genie](https://github.com/Huawei-PaaS/CNI-Genie) 使 Kubernetes 无缝连接到一种 CNI 插件，
-  例如：Flannel、Calico、Canal 或者 Weave。
+  同时支持路由（routing）和覆盖/封装（overlay/encapsulation）模式，并且它可以在其他 CNI 插件之上工作。
+<!--
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie) enables Kubernetes to seamlessly connect to a choice of CNI plugins, such as Calico, Canal, Flannel, or Weave.
+* [Contiv](https://contivpp.io/) provides configurable networking (native L3 using BGP, overlay using vxlan, classic L2, and Cisco-SDN/ACI) for various use cases and a rich policy framework. Contiv project is fully [open sourced](https://github.com/contiv). The [installer](https://github.com/contiv/install) provides both kubeadm and non-kubeadm based installation options.
+* [Contrail](https://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/), based on [Tungsten Fabric](https://tungsten.io), is an open source, multi-cloud network virtualization and policy management platform. Contrail and Tungsten Fabric are integrated with orchestration systems such as Kubernetes, OpenShift, OpenStack and Mesos, and provide isolation modes for virtual machines, containers/pods and bare metal workloads.
+-->
+* [CNI-Genie](https://github.com/cni-genie/CNI-Genie) 使 Kubernetes 无缝连接到
+  Calico、Canal、Flannel 或 Weave 等其中一种 CNI 插件。
 * [Contiv](https://contivpp.io/) 为各种用例和丰富的策略框架提供可配置的网络
-  （使用 BGP 的本机 L3、使用 vxlan 的覆盖、标准 L2 和 Cisco-SDN/ACI）。
+  （带 BGP 的原生 L3、带 vxlan 的覆盖、标准 L2 和 Cisco-SDN/ACI）。
   Contiv 项目完全[开源](https://github.com/contiv)。
-  [安装程序](https://github.com/contiv/install) 提供了基于 kubeadm 和非 kubeadm 的安装选项。
-* 基于 [Tungsten Fabric](https://tungsten.io) 的
-  [Contrail](https://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/)
-  是一个开源的多云网络虚拟化和策略管理平台，Contrail 和 Tungsten Fabric 与业务流程系统
-  （例如 Kubernetes、OpenShift、OpenStack和Mesos）集成在一起，
+  其[安装程序](https://github.com/contiv/install) 提供了基于 kubeadm 和非 kubeadm 的安装选项。
+* [Contrail](https://www.juniper.net/us/en/products-services/sdn/contrail/contrail-networking/) 基于
+  [Tungsten Fabric](https://tungsten.io)，是一个开源的多云网络虚拟化和策略管理平台。
+  Contrail 和 Tungsten Fabric 与业务流程系统（例如 Kubernetes、OpenShift、OpenStack 和 Mesos）集成在一起，
   为虚拟机、容器或 Pod 以及裸机工作负载提供了隔离模式。
+<!--
+* [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually) is an overlay network provider that can be used with Kubernetes.
+* [Knitter](https://github.com/ZTE/Knitter/) is a plugin to support multiple network interfaces in a Kubernetes pod.
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni) is a Multi plugin for multiple network support in Kubernetes to support all CNI plugins (e.g. Calico, Cilium, Contiv, Flannel), in addition to SRIOV, DPDK, OVS-DPDK and VPP based workloads in Kubernetes.
+-->
 * [Flannel](https://github.com/flannel-io/flannel#deploying-flannel-manually)
   是一个可以用于 Kubernetes 的 overlay 网络提供者。
-* [Knitter](https://github.com/ZTE/Knitter/) 是为 kubernetes 提供复合网络解决方案的网络组件。
-* Multus 是一个多插件，可在 Kubernetes 中提供多种网络支持，
-  以支持所有 CNI 插件（例如 Calico，Cilium，Contiv，Flannel），
+* [Knitter](https://github.com/ZTE/Knitter/) 是在一个 Kubernetes Pod 中支持多个网络接口的插件。
+* [Multus](https://github.com/k8snetworkplumbingwg/multus-cni) 是一个多插件，
+  可在 Kubernetes 中提供多种网络支持，以支持所有 CNI 插件（例如 Calico、Cilium、Contiv、Flannel），
   而且包含了在 Kubernetes 中基于 SRIOV、DPDK、OVS-DPDK 和 VPP 的工作负载。
+<!--
+* [OVN-Kubernetes](https://github.com/ovn-org/ovn-kubernetes/) is a networking provider for Kubernetes based on [OVN (Open Virtual Network)](https://github.com/ovn-org/ovn/), a virtual networking implementation that came out of the Open vSwitch (OVS) project. OVN-Kubernetes provides an overlay based networking implementation for Kubernetes, including an OVS based implementation of load balancing and network policy.
+* [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin) is OVN based CNI controller plugin to provide cloud native based Service function chaining(SFC), Multiple OVN overlay networking, dynamic subnet creation, dynamic creation of virtual networks, VLAN Provider network, Direct provider network and pluggable with other Multi-network plugins, ideal for edge based cloud native workloads in Multi-cluster networking.
+-->
 * [OVN-Kubernetes](https://github.com/ovn-org/ovn-kubernetes/) 是一个 Kubernetes 网络驱动，
   基于 [OVN（Open Virtual Network）](https://github.com/ovn-org/ovn/)实现，是从 Open vSwitch (OVS)
-  项目衍生出来的虚拟网络实现。
-  OVN-Kubernetes 为 Kubernetes 提供基于覆盖网络的网络实现，包括一个基于 OVS 实现的负载均衡器
-  和网络策略。
-* [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin) 是一个基于 OVN 的 CNI
-  控制器插件，提供基于云原生的服务功能链条（Service Function Chaining，SFC）、多种 OVN 覆盖
-  网络、动态子网创建、动态虚拟网络创建、VLAN 驱动网络、直接驱动网络，并且可以
-  驳接其他的多网络插件，适用于基于边缘的、多集群联网的云原生工作负载。
-* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T/2.0/nsxt_20_ncp_kubernetes.pdf) 容器插件（NCP）
+  项目衍生出来的虚拟网络实现。OVN-Kubernetes 为 Kubernetes 提供基于覆盖网络的网络实现，
+  包括一个基于 OVS 实现的负载均衡器和网络策略。
+* [OVN4NFV-K8S-Plugin](https://github.com/opnfv/ovn4nfv-k8s-plugin) 是一个基于 OVN 的 CNI 控制器插件，
+  提供基于云原生的服务功能链条（Service Function Chaining，SFC）、多种 OVN 覆盖网络、动态子网创建、
+  动态虚拟网络创建、VLAN 驱动网络、直接驱动网络，并且可以驳接其他的多网络插件，
+  适用于基于边缘的、多集群联网的云原生工作负载。
+<!--
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) Container Plug-in (NCP) provides integration between VMware NSX-T and container orchestrators such as Kubernetes, as well as integration between NSX-T and container-based CaaS/PaaS platforms such as Pivotal Container Service (PKS) and OpenShift.
+* [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst) is an SDN platform that provides policy-based networking between Kubernetes Pods and non-Kubernetes environments with visibility and security monitoring.
+* [Romana](https://github.com/romana) is a Layer 3 networking solution for pod networks that also supports the [NetworkPolicy](/docs/concepts/services-networking/network-policies/) API.
+* [Weave Net](https://www.weave.works/docs/net/latest/kubernetes/kube-addon/) provides networking and network policy, will carry on working on both sides of a network partition, and does not require an external database.
+-->
+* [NSX-T](https://docs.vmware.com/en/VMware-NSX-T-Data-Center/index.html) 容器插件（NCP）
   提供了 VMware NSX-T 与容器协调器（例如 Kubernetes）之间的集成，以及 NSX-T 与基于容器的
   CaaS / PaaS 平台（例如关键容器服务（PKS）和 OpenShift）之间的集成。
 * [Nuage](https://github.com/nuagenetworks/nuage-kubernetes/blob/v5.1.1-1/docs/kubernetes-1-installation.rst)
@@ -87,7 +90,7 @@ Add-ons 扩展了 Kubernetes 的功能。
 * [Romana](https://github.com/romana) 是一个 Pod 网络的第三层解决方案，并支持
   [NetworkPolicy](/zh-cn/docs/concepts/services-networking/network-policies/) API。
 * [Weave Net](https://www.weave.works/docs/net/latest/kubernetes/kube-addon/)
-  提供在网络分组两端参与工作的网络和网络策略，并且不需要额外的数据库。
+  提供在网络分组两端参与工作的联网和网络策略，并且不需要额外的数据库。
 
 <!--
 ## Service Discovery
@@ -127,7 +130,7 @@ Add-ons 扩展了 Kubernetes 的功能。
 * [KubeVirt](https://kubevirt.io/user-guide/#/installation/installation) 是可以让 Kubernetes
   运行虚拟机的 add-ons。通常运行在裸机集群上。
 * [节点问题检测器](https://github.com/kubernetes/node-problem-detector) 在 Linux 节点上运行，
-  并将系统问题报告为[事件](/docs/reference/kubernetes-api/cluster-resources/event-v1/)
+  并将系统问题报告为[事件](/zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1/)
   或[节点状况](/zh-cn/docs/concepts/architecture/nodes/#condition)。
 
 <!--
diff --git a/content/zh-cn/docs/concepts/cluster-administration/flow-control.md b/content/zh-cn/docs/concepts/cluster-administration/flow-control.md
index 746a7b4e3bd..7acd2ad4a7c 100644
--- a/content/zh-cn/docs/concepts/cluster-administration/flow-control.md
+++ b/content/zh-cn/docs/concepts/cluster-administration/flow-control.md
@@ -38,8 +38,8 @@ API 优先级和公平性（APF）是一种替代方案，可提升上述最大
 APF 以更细粒度的方式对请求进行分类和隔离。
 它还引入了空间有限的排队机制，因此在非常短暂的突发情况下，API 服务器不会拒绝任何请求。
 通过使用公平排队技术从队列中分发请求，这样，
-一个行为不佳的 {{< glossary_tooltip text="控制器" term_id="controller" >}}
-就不会饿死其他控制器（即使优先级相同）。
+一个行为不佳的{{< glossary_tooltip text="控制器" term_id="controller" >}}就不会饿死其他控制器
+（即使优先级相同）。
 
 <!--
 This feature is designed to work well with standard controllers, which
@@ -50,20 +50,17 @@ back-off, and other clients that also work this way.
 这类控制器使用通知组件（Informers）获得信息并对 API 请求的失效作出反应，
 在处理失效时能够执行指数型回退。其他客户端也以类似方式工作。
 
-<!--
 {{< caution >}}
+<!--
 Requests classified as "long-running" — primarily watches — are not
 subject to the API Priority and Fairness filter. This is also true for
 the `--max-requests-inflight` flag without the API Priority and
 Fairness feature enabled.
-{{< /caution >}}
 -->
-{{< caution >}}
-属于“长时间运行”类型的请求（主要是 watch）不受 API 优先级和公平性过滤器的约束。
+属于“长时间运行”类型的请求（主要是 `watch`）不受 API 优先级和公平性过滤器的约束。
 如果未启用 APF 特性，即便设置 `--max-requests-inflight` 标志，该类请求也不受约束。
 {{< /caution >}}
 
-
 <!-- body -->
 
 <!--
@@ -88,8 +85,7 @@ API 优先级与公平性（APF）特性由特性门控控制，默认情况下
 有关特性门控的一般性描述以及如何启用和禁用特性门控，
 请参见[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)。
 APF 的特性门控称为 `APIPriorityAndFairness`。
-此特性也与某个 {{< glossary_tooltip term_id="api-group" text="API 组" >}}
-相关：
+此特性也与某个 {{< glossary_tooltip term_id="api-group" text="API 组" >}}相关：
 (a) `v1alpha1` 版本，默认被禁用；
 (b) `v1beta1` 和 `v1beta2` 版本，默认被启用。
 你可以在启动 `kube-apiserver` 时，添加以下命令行标志来禁用此功能门控及 API Beta 组：
@@ -105,15 +101,15 @@ kube-apiserver \
 Alternatively, you can enable the v1alpha1 version of the API group
 with `--runtime-config=flowcontrol.apiserver.k8s.io/v1alpha1=true`.
 -->
-或者，你也可以通过
-`--runtime-config=flowcontrol.apiserver.k8s.io/v1alpha1=true`
+或者，你也可以通过 `--runtime-config=flowcontrol.apiserver.k8s.io/v1alpha1=true`
 启用 API 组的 v1alpha1 版本。
 
 <!--
 The command-line flag `--enable-priority-and-fairness=false` will disable the
 API Priority and Fairness feature, even if other flags have enabled it.
 -->
-命令行标志 `--enable-priority-fairness=false` 将彻底禁用 APF 特性，即使其他标志启用它也是无效。
+命令行标志 `--enable-priority-fairness=false` 将彻底禁用 APF 特性，
+即使其他标志启用它也是无效。
 
 <!--
 ## Concepts
@@ -129,13 +125,14 @@ causing failed requests when the average load is acceptably low.
 ## 概念    {#concepts}
 
 APF 特性包含几个不同的功能。
-传入的请求通过 _FlowSchema_ 按照其属性分类，并分配优先级。
+传入的请求通过 **FlowSchema** 按照其属性分类，并分配优先级。
 每个优先级维护自定义的并发限制，加强了隔离度，这样不同优先级的请求，就不会相互饿死。
-在同一个优先级内，公平排队算法可以防止来自不同 _flow_ 的请求相互饿死。
+在同一个优先级内，公平排队算法可以防止来自不同 **流（Flow）** 的请求相互饿死。
 该算法将请求排队，通过排队机制，防止在平均负载较低时，通信量突增而导致请求失败。
 
 <!--
 ### Priority Levels
+
 Without APF enabled, overall concurrency in the API server is limited by the
 `kube-apiserver` flags `--max-requests-inflight` and
 `--max-mutating-requests-inflight`. With APF enabled, the concurrency limits
@@ -148,7 +145,7 @@ concurrent requests as its configuration allows.
 
 如果未启用 APF，API 服务器中的整体并发量将受到 `kube-apiserver` 的参数
 `--max-requests-inflight` 和 `--max-mutating-requests-inflight` 的限制。
-启用 APF 后，将对这些参数定义的并发限制进行求和，然后将总和分配到一组可配置的 _优先级_ 中。
+启用 APF 后，将对这些参数定义的并发限制进行求和，然后将总和分配到一组可配置的 **优先级** 中。
 每个传入的请求都会分配一个优先级；每个优先级都有各自的配置，设定允许分发的并发请求数。
 
 <!--
@@ -161,9 +158,9 @@ from succeeding.
 例如，默认配置包括针对领导者选举请求、内置控制器请求和 Pod 请求都单独设置优先级。
 这表示即使异常的 Pod 向 API 服务器发送大量请求，也无法阻止领导者选举或内置控制器的操作执行成功。
 
-
 <!--
 ### Queuing
+
 Even within a priority level there may be a large number of distinct sources of
 traffic. In an overload situation, it is valuable to prevent one stream of
 requests from starving others (in particular, in the relatively common case of a
@@ -185,8 +182,8 @@ many instances should authenticate with distinct usernames
 （尤其是在一个较为常见的场景中，一个有故障的客户端会疯狂地向 kube-apiserver 发送请求，
 理想情况下，这个有故障的客户端不应对其他客户端产生太大的影响）。
 公平排队算法在处理具有相同优先级的请求时，实现了上述场景。
-每个请求都被分配到某个 _流_ 中，该 _流_ 由对应的 FlowSchema 的名字加上一个
-_流区分项（Flow Distinguisher）_ 来标识。
+每个请求都被分配到某个 **流（Flow）** 中，该 **流** 由对应的 FlowSchema 的名字加上一个
+**流区分项（Flow Distinguisher）** 来标识。
 这里的流区分项可以是发出请求的用户、目标资源的名称空间或什么都不是。
 系统尝试为不同流中具有相同优先级的请求赋予近似相等的权重。
 要启用对不同实例的不同处理方式，多实例的控制器要分别用不同的用户名来执行身份认证。
@@ -199,7 +196,7 @@ text="shuffle sharding" >}}, which makes relatively efficient use of
 queues to insulate low-intensity flows from high-intensity flows.
 -->
 将请求划分到流中之后，APF 功能将请求分配到队列中。
-分配时使用一种称为 {{< glossary_tooltip term_id="shuffle-sharding" text="混洗分片（Shuffle-Sharding）" >}}
+分配时使用一种称为{{< glossary_tooltip term_id="shuffle-sharding" text="混洗分片（Shuffle-Sharding）" >}}
 的技术。
 该技术可以相对有效地利用队列隔离低强度流与高强度流。
 
@@ -223,7 +220,8 @@ server.
 -->
 ### 豁免请求    {#Exempt-requests}
 
-某些特别重要的请求不受制于此特性施加的任何限制。这些豁免可防止不当的流控配置完全禁用 API 服务器。
+某些特别重要的请求不受制于此特性施加的任何限制。
+这些豁免可防止不当的流控配置完全禁用 API 服务器。
 
 <!--
 ## Resources
@@ -241,10 +239,10 @@ semantics.
 ## 资源    {#Resources}
 
 流控 API 涉及两种资源。
-[PriorityLevelConfigurations](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#prioritylevelconfiguration-v1alpha1-flowcontrol-apiserver-k8s-io)
+[PriorityLevelConfiguration](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#prioritylevelconfiguration-v1alpha1-flowcontrol-apiserver-k8s-io)
 定义隔离类型和可处理的并发预算量，还可以微调排队行为。
-[FlowSchemas](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#flowschema-v1alpha1-flowcontrol-apiserver-k8s-io)
-用于对每个入站请求进行分类，并与一个 PriorityLevelConfigurations 相匹配。
+[FlowSchema](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#flowschema-v1alpha1-flowcontrol-apiserver-k8s-io)
+用于对每个入站请求进行分类，并与一个 PriorityLevelConfiguration 相匹配。
 此外同一 API 组还有一个 `v1alpha1` 版本，其中包含语法和语义都相同的资源类别。
 
 <!--
@@ -255,7 +253,7 @@ requests, and limitations on the number of queued requests.
 -->
 ### PriorityLevelConfiguration    {#PriorityLevelConfiguration}
 
-一个 PriorityLevelConfiguration 表示单个隔离类型。每个 PriorityLevelConfigurations
+一个 PriorityLevelConfiguration 表示单个隔离类型。每个 PriorityLevelConfiguration
 对未完成的请求数有各自的限制，对排队中的请求数也有限制。
 
 <!--
@@ -269,12 +267,13 @@ server by restarting `kube-apiserver` with a different value for
 PriorityLevelConfigurations will see their maximum allowed concurrency go up (or
 down) by the same fraction.
 -->
-PriorityLevelConfigurations 的并发限制不是指定请求绝对数量，而是在“并发份额”中指定。
-API 服务器的总并发量限制通过这些份额按例分配到现有 PriorityLevelConfigurations 中。
+PriorityLevelConfiguration 的并发限制不是指定请求绝对数量，而是在“并发份额”中指定。
+API 服务器的总并发量限制通过这些份额按例分配到现有 PriorityLevelConfiguration 中。
 集群管理员可以更改 `--max-requests-inflight` （或 `--max-mutating-requests-inflight` ）的值，
 再重新启动 `kube-apiserver` 来增加或减小服务器的总流量，
-然后所有的 PriorityLevelConfigurations 将看到其最大并发增加（或减少）了相同的比例。
+然后所有的 PriorityLevelConfiguration 将看到其最大并发增加（或减少）了相同的比例。
 
+{{< caution >}}
 <!--
 With the Priority and Fairness feature enabled, the total concurrency limit for
 the server is set to the sum of `--max-requests-inflight` and
@@ -283,8 +282,7 @@ between mutating and non-mutating requests; if you want to treat them
 separately for a given resource, make separate FlowSchemas that match the
 mutating and non-mutating verbs respectively.
 -->
-{{< caution >}}
-启用 APF 功能后，服务器的总并发量限制将设置为
+启用 APF 特性后，服务器的总并发量限制将设置为
 `--max-requests-inflight` 和 `--max-mutating-requests-inflight` 之和。
 可变请求和不可变请求之间不再有任何区别；
 如果对于某种资源，你需要区别对待不同请求，请创建不同的 FlowSchema 分别匹配可变请求和不可变请求。
@@ -299,16 +297,19 @@ an HTTP 429 (Too Many Requests) error. A type of `Queue` means that requests
 above the threshold will be queued, with the shuffle sharding and fair queuing techniques used
 to balance progress between request flows.
 -->
-当入站请求的数量大于分配的 PriorityLevelConfigurations 中允许的并发级别时， `type` 字段将确定对额外请求的处理方式。
+当入站请求的数量大于分配的 PriorityLevelConfiguration 中允许的并发级别时，
+`type` 字段将确定对额外请求的处理方式。
 `Reject` 类型，表示多余的流量将立即被 HTTP 429（请求过多）错误所拒绝。
 `Queue` 类型，表示对超过阈值的请求进行排队，将使用阈值分片和公平排队技术来平衡请求流之间的进度。
 
 <!--
 The queuing configuration allows tuning the fair queuing algorithm for a
 priority level. Details of the algorithm can be read in the
-[enhancement proposal](#whats-next), but in short:
+[enhancement proposal](https://github.com/kubernetes/enhancements/tree/master/keps/sig-api-machinery/1040-priority-and-fairness), but in short:
 -->
-公平排队算法支持通过排队配置对优先级微调。 可以在[增强建议](#whats-next)中阅读算法的详细信息，但总之：
+公平排队算法支持通过排队配置对优先级微调。
+可以在[增强建议](https://github.com/kubernetes/enhancements/tree/master/keps/sig-api-machinery/1040-priority-and-fairness)中阅读算法的详细信息，
+但总之：
 
 <!--
 * Increasing `queues` reduces the rate of collisions between different flows, at
@@ -330,19 +331,18 @@ priority level. Details of the algorithm can be read in the
 * Changing `handSize` allows you to adjust the probability of collisions between
   different flows and the overall concurrency available to a single flow in an
   overload situation.
+-->
+* 修改 `handSize` 允许你调整过载情况下不同流之间的冲突概率以及单个流可用的整体并发性。
 
   {{< note >}}
+  <!--
   A larger `handSize` makes it less likely for two individual flows to collide
   (and therefore for one to be able to starve the other), but more likely that
   a small number of flows can dominate the apiserver. A larger `handSize` also
   potentially increases the amount of latency that a single high-traffic flow
   can cause. The maximum number of queued requests possible from a
   single flow is `handSize * queueLengthLimit`.
-  {{< /note >}}
--->
-* 修改 `handSize` 允许你调整过载情况下不同流之间的冲突概率以及单个流可用的整体并发性。
-
-  {{< note >}}
+  -->
   较大的 `handSize` 使两个单独的流程发生碰撞的可能性较小（因此，一个流可以饿死另一个流），
   但是更有可能的是少数流可以控制 apiserver。
   较大的 `handSize` 还可能增加单个高并发流的延迟量。
@@ -356,11 +356,11 @@ given mouse (low-intensity flow) is squished by the elephants (high-intensity fl
 an illustrative collection of numbers of elephants. See
 https://play.golang.org/p/Gi0PLgVHiUg , which computes this table.
 -->
-下表显示了有趣的随机分片配置集合，
-每行显示给定的老鼠（低强度流）被不同数量的大象挤压（高强度流）的概率。
+下表显示了有趣的随机分片配置集合，每行显示给定的老鼠（低强度流）
+被不同数量的大象挤压（高强度流）的概率。
 表来源请参阅： https://play.golang.org/p/Gi0PLgVHiUg
 
-{{< table caption = "Example Shuffle Sharding Configurations" >}}
+{{< table caption = "混分切片配置示例" >}}
 <!-- HandSize | Queues | 1 elephant | 4 elephants | 16 elephants -->
 随机分片 | 队列数 | 1 个大象 | 4 个大象 | 16 个大象
 |----------|-----------|------------|----------------|--------------------|
@@ -377,21 +377,23 @@ https://play.golang.org/p/Gi0PLgVHiUg , which computes this table.
 | 6 | 1024 | 6.337324016514285e-16 | 8.09060164312957e-11 | 4.517408062903668e-07 |
 {{< /table >}}
 
-<!-- ### FlowSchema -->
-### FlowSchema    {#FlowSchema}
-
 <!--
+### FlowSchema
+
 A FlowSchema matches some inbound requests and assigns them to a
 priority level. Every inbound request is tested against every
 FlowSchema in turn, starting with those with numerically lowest ---
 which we take to be the logically highest --- `matchingPrecedence` and
 working onward.  The first match wins.
 -->
+### FlowSchema
+
 FlowSchema 匹配一些入站请求，并将它们分配给优先级。
 每个入站请求都会对所有 FlowSchema 测试是否匹配，
 首先从 `matchingPrecedence` 数值最低的匹配开始（我们认为这是逻辑上匹配度最高），
 然后依次进行，直到首个匹配出现。
 
+{{< caution >}}
 <!--
 Only the first matching FlowSchema for a given request matters. If multiple
 FlowSchemas match a single inbound request, it will be assigned based on the one
@@ -400,7 +402,6 @@ with the highest `matchingPrecedence`. If multiple FlowSchemas with equal
 smaller `name` will win, but it's better not to rely on this, and instead to
 ensure that no two FlowSchemas have the same `matchingPrecedence`.
 -->
-{{< caution >}}
 对一个请求来说，只有首个匹配的 FlowSchema  才有意义。
 如果一个入站请求与多个 FlowSchema 匹配，则将基于 `matchingPrecedence` 值最高的请求进行筛选。
 如果一个请求匹配多个 FlowSchema 且 `matchingPrecedence` 的值相同，则按 `name` 的字典序选择最小，
@@ -480,6 +481,7 @@ this behavior.  The four mandatory objects are as follows.
 * 强制的 `exempt` 优先级用于完全不受流控限制的请求：它们总是立刻被分发。
   强制的 `exempt` FlowSchema 把 `system:masters` 组的所有请求都归入该优先级。
   如果合适，你可以定义新的 FlowSchema，将其他请求定向到该优先级。
+
 <!--
 * The mandatory `catch-all` priority level is used in combination with
   the mandatory `catch-all` FlowSchema to make sure that every request
@@ -672,10 +674,7 @@ nor suggested but are annotated
 
 <!--
 ## Health check concurrency exemption
--->
-## 健康检查并发豁免    {#Health-check-concurrency-exemption}
 
-<!--
 The suggested configuration gives no special treatment to the health
 check requests on kube-apiservers from their local kubelets --- which
 tend to use the secured port but supply no credentials.  With the
@@ -683,6 +682,8 @@ suggested config, these requests get assigned to the `global-default`
 FlowSchema and the corresponding `global-default` priority level,
 where other traffic can crowd them out.
 -->
+## 健康检查并发豁免    {#Health-check-concurrency-exemption}
+
 推荐配置没有为本地 kubelet 对 kube-apiserver 执行健康检查的请求进行任何特殊处理
 ——它们倾向于使用安全端口，但不提供凭据。
 在推荐配置中，这些请求将分配 `global-default` FlowSchema 和 `global-default` 优先级，
@@ -694,6 +695,7 @@ requests from rate limiting.
 -->
 如果添加以下 FlowSchema，健康检查请求不受速率限制。
 
+{{< caution >}}
 <!--
 Making this change also allows any hostile party to then send
 health-check requests that match this FlowSchema, at any volume they
@@ -702,7 +704,6 @@ mechanism to protect your cluster's API server from general internet
 traffic, you can configure rules to block any health check requests
 that originate from outside your cluster.
 -->
-{{< caution >}}
 进行此更改后，任何敌对方都可以发送与此 FlowSchema 匹配的任意数量的健康检查请求。
 如果你有 Web 流量过滤器或类似的外部安全机制保护集群的 API 服务器免受常规网络流量的侵扰，
 则可以配置规则，阻止所有来自集群外部的健康检查请求。
@@ -720,7 +721,6 @@ and the priority level to which it was assigned, respectively. The API objects'
 names are not included in these headers in case the requesting user does not
 have permission to view them, so when debugging you can use a command like
 -->
-
 ## 问题诊断    {#diagnostics}
 
 启用了 APF 的 API 服务器，它每个 HTTP 响应都有两个额外的 HTTP 头：
@@ -738,7 +738,7 @@ kubectl get prioritylevelconfigurations -o custom-columns="uid:{metadata.uid},na
 to get a mapping of UIDs to names for both FlowSchemas and
 PriorityLevelConfigurations.
 -->
-来获取 UID 到 FlowSchema 的名称和 UID 到 PriorityLevelConfigurations 的名称的映射。
+来获取 UID 到 FlowSchema 的名称和 UID 到 PriorityLevelConfiguration 的名称的映射。
 
 <!--
 ## Observability
@@ -749,13 +749,13 @@ PriorityLevelConfigurations.
 
 ### 指标    {#Metrics}
 
+{{< note >}}
 <!--
 In versions of Kubernetes before v1.20, the labels `flow_schema` and
 `priority_level` were inconsistently named `flowSchema` and `priorityLevel`,
 respectively. If you're running Kubernetes versions v1.19 and earlier, you
 should refer to the documentation for your version.
 -->
-{{< note >}}
 在 Kubernetes v1.20 之前的版本中，标签 `flow_schema` 和 `priority_level`
 的名称有时被写作 `flowSchema` 和 `priorityLevel`，即存在不一致的情况。
 如果你在运行 Kubernetes v1.19 或者更早版本，你需要参考你所使用的集群
@@ -931,6 +931,8 @@ poorly-behaved workloads that may be harming system health.
   记录请求队列的长度，由标签 `priority_level` 和 `flow_schema` 进一步区分。
   每个排队中的请求都会为其直方图贡献一个样本，并在添加请求后立即上报队列的长度。
   请注意，这样产生的统计数据与无偏调查不同。
+
+  {{< note >}}
   <!--
   An outlier value in a histogram here means it is likely that a single flow
   (i.e., requests by one user or for one namespace, depending on
@@ -939,11 +941,10 @@ poorly-behaved workloads that may be harming system health.
   level are longer than those for other priority levels, it may be appropriate
   to increase that PriorityLevelConfiguration's concurrency shares.
   -->
-  {{< note >}}
   直方图中的离群值在这里表示单个流（即，一个用户或一个名称空间的请求，
   具体取决于配置）正在疯狂地向 API 服务器发请求，并受到限制。
   相反，如果一个优先级的直方图显示该优先级的所有队列都比其他优先级的队列长，
-  则增加 PriorityLevelConfigurations 的并发份额是比较合适的。
+  则增加 PriorityLevelConfiguration 的并发份额是比较合适的。
   {{< /note >}}
 
 <!--
@@ -953,7 +954,7 @@ poorly-behaved workloads that may be harming system health.
   shares), broken down by the label `priority_level`.
 -->
 * `apiserver_flowcontrol_request_concurrency_limit` 是一个表向量，
-  记录并发限制的计算值（基于 API 服务器的总并发限制和 PriorityLevelConfigurations
+  记录并发限制的计算值（基于 API 服务器的总并发限制和 PriorityLevelConfiguration
   的并发份额），并按标签 `priority_level` 进一步区分。
 
 <!--
@@ -969,14 +970,15 @@ poorly-behaved workloads that may be harming system health.
   由标签 `flow_schema`（表示与请求匹配的 FlowSchema ），
   `priority_level`（表示分配该请求的优先级）
   和 `execute`（表示请求是否开始执行）进一步区分。
+
+  {{< note >}}
   <!--
   Since each FlowSchema always assigns requests to a single
   PriorityLevelConfiguration, you can add the histograms for all the
   FlowSchemas for one priority level to get the effective histogram for
   requests assigned to that priority level.
   -->
-  {{< note >}}
-  由于每个 FlowSchema 总会给请求分配 PriorityLevelConfigurations，
+  由于每个 FlowSchema 总会给请求分配 PriorityLevelConfiguration，
   因此你可以为一个优先级添加所有 FlowSchema 的直方图，以获取分配给
   该优先级的请求的有效直方图。
   {{< /note >}}
@@ -1014,7 +1016,9 @@ serves the following additional paths at its HTTP[S] ports.
   kubectl get --raw /debug/api_priority_and_fairness/dump_priority_levels
   ```
 
-  <!-- The output is similar to this: -->
+  <!--
+  The output is similar to this:
+  -->
   输出类似于：
 
   ```none
@@ -1039,7 +1043,9 @@ serves the following additional paths at its HTTP[S] ports.
   kubectl get --raw /debug/api_priority_and_fairness/dump_queues
   ```
 
-  <!-- The output is similar to this: -->
+  <!--
+  The output is similar to this:
+  -->
   输出类似于：
 
   ```none
@@ -1063,7 +1069,9 @@ serves the following additional paths at its HTTP[S] ports.
   kubectl get --raw /debug/api_priority_and_fairness/dump_requests
   ```
 
-  <!-- The output is similar to this: -->
+  <!--
+  The output is similar to this:
+  -->
   输出类似于：
 
   ```none
@@ -1078,16 +1086,20 @@ serves the following additional paths at its HTTP[S] ports.
   -->
   针对每个优先级别，输出中还包含一条虚拟记录，对应豁免限制。
 
-  <!-- You can get a more detailed listing with a command like this: -->
+  <!--
+  You can get a more detailed listing with a command like this:
+  -->
   你可以使用以下命令获得更详细的清单：
 
   ```shell
   kubectl get --raw '/debug/api_priority_and_fairness/dump_requests?includeRequestDetails=1'
   ```
 
-  <!-- The output is similar to this: -->
-
+  <!--
+  The output is similar to this:
+  -->
   输出类似于：
+
   ```none
   PriorityLevelName, FlowSchemaName, QueueIndex, RequestIndexInQueue, FlowDistingsher,       ArriveTime,                     UserName,              Verb,   APIPath,                                                     Namespace, Name,   APIVersion, Resource, SubResource,
   system,            system-nodes,   12,         0,                   system:node:127.0.0.1, 2020-07-23T15:31:03.583823404Z, system:node:127.0.0.1, create, /api/v1/namespaces/scaletest/configmaps,
diff --git a/content/zh-cn/docs/concepts/cluster-administration/logging.md b/content/zh-cn/docs/concepts/cluster-administration/logging.md
index 8b53c28ae3a..d56eb04b0a2 100644
--- a/content/zh-cn/docs/concepts/cluster-administration/logging.md
+++ b/content/zh-cn/docs/concepts/cluster-administration/logging.md
@@ -28,7 +28,7 @@ In a cluster, logs should have a separate storage and lifecycle independent of n
 但是，由容器引擎或运行时提供的原生功能通常不足以构成完整的日志记录方案。
 例如，如果发生容器崩溃、Pod 被逐出或节点宕机等情况，你可能想访问应用日志。
 在集群中，日志应该具有独立的存储和生命周期，与节点、Pod 或容器的生命周期相独立。
-这个概念叫 _集群级的日志_ 。
+这个概念叫 **集群级的日志**。
 
 <!-- body -->
 
@@ -99,8 +99,6 @@ If your pod has multiple containers, specify which container's logs you want to
 appending a container name to the command, with a `-c` flag, like so:
 -->
 你可以使用命令 `kubectl logs --previous` 检索之前容器实例的日志。
-如果 Pod 中有多个容器，你应该为该命令附加容器名以访问对应容器的日志。
-详见 [`kubectl logs` 文档](/docs/reference/generated/kubectl/kubectl-commands#logs)。
 如果 Pod 有多个容器，你应该为该命令附加容器名以访问对应容器的日志，
 使用 `-c` 标志来指定要访问的容器的日志，如下所示：
 
@@ -177,11 +175,11 @@ The two kubelet parameters [`containerLogMaxSize` and `containerLogMaxFiles`](/d
 in [kubelet config file](/docs/tasks/administer-cluster/kubelet-config-file/)
 can be used to configure the maximum size for each log file and the maximum number of files allowed for each container respectively.
 -->
-当使用某 *CRI 容器运行时* 时，kubelet 要负责对日志进行轮换，并
-管理日志目录的结构。kubelet 将此信息发送给 CRI 容器运行时，后者
-将容器日志写入到指定的位置。在 [kubelet 配置文件](/docs/tasks/administer-cluster/kubelet-config-file/)
+当使用某 **CRI 容器运行时** 时，kubelet 要负责对日志进行轮换，并管理日志目录的结构。
+kubelet 将此信息发送给 CRI 容器运行时，后者将容器日志写入到指定的位置。
+在 [kubelet 配置文件](/zh-cn/docs/tasks/administer-cluster/kubelet-config-file/)
 中的两个 kubelet 参数
-[`containerLogMaxSize` 和 `containerLogMaxFiles`](/docs/reference/config-api/kubelet-config.v1beta1/#kubelet-config-k8s-io-v1beta1-KubeletConfiguration)
+[`containerLogMaxSize` 和 `containerLogMaxFiles`](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/#kubelet-config-k8s-io-v1beta1-KubeletConfiguration)
 可以用来配置每个日志文件的最大长度和每个容器可以生成的日志文件个数上限。
 
 <!--
@@ -200,11 +198,10 @@ the rotation and there are two files: one file that is 10MB in size and a second
 `kubectl logs` returns the latest log file which in this example is an empty response.
 -->
 {{< note >}}
-如果有外部系统执行日志轮转或者使用了 CRI 容器运行时，那么 `kubectl logs` 
+如果有外部系统执行日志轮转或者使用了 CRI 容器运行时，那么 `kubectl logs`
 仅可查询到最新的日志内容。
 比如，对于一个 10MB 大小的文件，通过 `logrotate` 执行轮转后生成两个文件，
-一个 10MB 大小，一个为空，`kubectl logs` 返回最新的日志文件，而该日志文件
-在这个例子中为空。
+一个 10MB 大小，一个为空，`kubectl logs` 返回最新的日志文件，而该日志文件在这个例子中为空。
 {{< /note >}}
 
 <!--
@@ -280,7 +277,7 @@ While Kubernetes does not provide a native solution for cluster-level logging, t
 <!--
 You can implement cluster-level logging by including a _node-level logging agent_ on each node. The logging agent is a dedicated tool that exposes logs or pushes logs to a backend. Commonly, the logging agent is a container that has access to a directory with log files from all of the application containers on that node.
 -->
-你可以通过在每个节点上使用 _节点级的日志记录代理_ 来实现集群级日志记录。
+你可以通过在每个节点上使用 **节点级的日志记录代理** 来实现集群级日志记录。
 日志记录代理是一种用于暴露日志或将日志推送到后端的专用工具。
 通常，日志记录代理程序是一个容器，它可以访问包含该节点上所有应用程序容器的日志文件的目录。
 
@@ -296,8 +293,7 @@ Node-level logging creates only one agent per node, and doesn't require any chan
 Containers write to stdout and stderr, but with no agreed format. A node-level agent collects these logs and forwards them for aggregation.
 -->
 容器向标准输出和标准错误输出写出数据，但在格式上并不统一。
-节点级代理
-收集这些日志并将其进行转发以完成汇总。
+节点级代理收集这些日志并将其进行转发以完成汇总。
 
 <!--
 ### Using a sidecar container with the logging agent {#sidecar-container-with-logging-agent}
@@ -344,7 +340,7 @@ like `kubectl logs`.
 -->
 这种方法允许你将日志流从应用程序的不同部分分离开，其中一些可能缺乏对写入
 `stdout` 或 `stderr` 的支持。重定向日志背后的逻辑是最小的，因此它的开销几乎可以忽略不计。
-另外，因为 `stdout`、`stderr` 由 kubelet 处理，你可以使用内置的工具 `kubectl logs`。
+另外，因为 `stdout` 和 `stderr` 由 kubelet 处理，所以你可以使用内置的工具 `kubectl logs`。
 
 <!--
 For example, a pod runs a single container, and the container
@@ -352,7 +348,7 @@ writes to two different log files, using two different formats. Here's a
 configuration file for the Pod:
 -->
 例如，某 Pod 中运行一个容器，该容器向两个文件写不同格式的日志。
-下面是这个 pod 的配置文件:
+下面是这个 Pod 的配置文件:
 
 {{< codenew file="admin/logging/two-files-counter-pod.yaml" >}}
 
@@ -363,9 +359,9 @@ the container. Instead, you can create two sidecar containers. Each sidecar
 container could tail a particular log file from a shared volume and then redirect
 the logs to its own `stdout` stream.
 -->
-不建议在同一个日志流中写入不同格式的日志条目，即使你成功地将其重定向到容器的
-`stdout` 流。相反，你可以创建两个边车容器。每个边车容器可以从共享卷
-跟踪特定的日志文件，并将文件内容重定向到各自的 `stdout` 流。
+不建议在同一个日志流中写入不同格式的日志条目，即使你成功地将其重定向到容器的 `stdout` 流。
+相反，你可以创建两个边车容器。每个边车容器可以从共享卷跟踪特定的日志文件，
+并将文件内容重定向到各自的 `stdout` 流。
 
 <!--
 Here's a configuration file for a pod that has two sidecar containers:
@@ -441,8 +437,7 @@ and retention policies to the kubelet.
 -->
 应用本身如果不具备轮转日志文件的功能，可以通过边车容器实现。
 该方式的一个例子是运行一个小的、定期轮转日志的容器。
-然而，还是推荐直接使用 `stdout` 和 `stderr`，将日志的轮转和保留策略
-交给 kubelet。
+然而，还是推荐直接使用 `stdout` 和 `stderr`，将日志的轮转和保留策略交给 kubelet。
 
 <!--
 #### Sidecar container with a logging agent
@@ -458,8 +453,8 @@ If the node-level logging agent is not flexible enough for your situation, you
 can create a sidecar container with a separate logging agent that you have
 configured specifically to run with your application.
 -->
-如果节点级日志记录代理程序对于你的场景来说不够灵活，你可以创建一个
-带有单独日志记录代理的边车容器，将代理程序专门配置为与你的应用程序一起运行。
+如果节点级日志记录代理程序对于你的场景来说不够灵活，
+你可以创建一个带有单独日志记录代理的边车容器，将代理程序专门配置为与你的应用程序一起运行。
 
 {{< note >}}
 <!--
@@ -501,8 +496,7 @@ flutend 通过 Pod 的挂载卷获取它的配置数据。
 <!--
 In the sample configurations, you can replace fluentd with any logging agent, reading from any source inside an application container.
 -->
-在示例配置中，你可以将 fluentd 替换为任何日志代理，从应用容器内
-的任何来源读取数据。
+在示例配置中，你可以将 fluentd 替换为任何日志代理，从应用容器内的任何来源读取数据。
 
 <!--
 ### Exposing logs directly from the application
@@ -516,6 +510,5 @@ In the sample configurations, you can replace fluentd with any logging agent, re
 <!--
 Cluster-logging that exposes or pushes logs directly from every application is outside the scope of Kubernetes.
 -->
-从各个应用中直接暴露和推送日志数据的集群日志机制
-已超出 Kubernetes 的范围。
+从各个应用中直接暴露和推送日志数据的集群日志机制已超出 Kubernetes 的范围。
 
diff --git a/content/zh-cn/docs/concepts/cluster-administration/networking.md b/content/zh-cn/docs/concepts/cluster-administration/networking.md
index edc6866ec86..9c8fcae6811 100644
--- a/content/zh-cn/docs/concepts/cluster-administration/networking.md
+++ b/content/zh-cn/docs/concepts/cluster-administration/networking.md
@@ -474,7 +474,7 @@ Weave Net 可以作为 [CNI 插件](https://www.weave.works/docs/net/latest/cni-
 <!--
 The early design of the networking model and its rationale, and some future
 plans are described in more detail in the
-[networking design document](https://git.k8s.io/community/contributors/design-proposals/network/networking.md).
+[networking design document](https://git.k8s.io/design-proposals-archive/network/networking.md).
 -->
 网络模型的早期设计、运行原理以及未来的一些计划，
-都在[联网设计文档](https://git.k8s.io/community/contributors/design-proposals/network/networking.md)里有更详细的描述。
+都在[联网设计文档](https://git.k8s.io/design-proposals-archive/network/networking.md)里有更详细的描述。
diff --git a/content/zh-cn/docs/concepts/configuration/manage-resources-containers.md b/content/zh-cn/docs/concepts/configuration/manage-resources-containers.md
index 7c1d37f9fa3..9d71bcdf21a 100644
--- a/content/zh-cn/docs/concepts/configuration/manage-resources-containers.md
+++ b/content/zh-cn/docs/concepts/configuration/manage-resources-containers.md
@@ -206,7 +206,7 @@ expression `100m`, which can be read as "one hundred millicpu". Some people say
 你也可以表达带小数 CPU 的请求。
 当你定义一个容器，将其 `spec.containers[].resources.requests.cpu` 设置为 0.5 时，
 你所请求的 CPU 是你请求 `1.0` CPU 时的一半。
-对于 CPU 资源单位，[数量](/docs/reference/kubernetes-api/common-definitions/quantity/)
+对于 CPU 资源单位，[数量](/zh-cn/docs/reference/kubernetes-api/common-definitions/quantity/)
 表达式 `0.1` 等价于表达式 `100m`，可以看作 “100 millicpu”。
 有些人说成是“一百毫核”，其实说的是同样的事情。
 
@@ -235,14 +235,14 @@ Kubernetes 不允许设置精度小于 `1m` 的 CPU 资源。
 Limits and requests for `memory` are measured in bytes. You can express memory as
 a plain integer or as a fixed-point number using one of these
 [quantity](/docs/reference/kubernetes-api/common-definitions/quantity/) suffixes:
-E, P, T, G, M, K. You can also use the power-of-two equivalents: Ei, Pi, Ti, Gi,
+E, P, T, G, M, k. You can also use the power-of-two equivalents: Ei, Pi, Ti, Gi,
 Mi, Ki. For example, the following represent roughly the same value:
 -->
 ## 内存资源单位      {#meaning-of-memory}
 
 `memory` 的约束和请求以字节为单位。
 你可以使用普通的证书，或者带有以下
-[数量](/docs/reference/kubernetes-api/common-definitions/quantity/)后缀
+[数量](/zh-cn/docs/reference/kubernetes-api/common-definitions/quantity/)后缀
 的定点数字来表示内存：E、P、T、G、M、k。
 你也可以使用对应的 2 的幂数：Ei、Pi、Ti、Gi、Mi、Ki。
 例如，以下表达式所代表的是大致相同的值：
@@ -256,8 +256,8 @@ Pay attention to the case of the suffixes. If you request `400m` of memory, this
 for 0.4 bytes. Someone who types that probably meant to ask for 400 mebibytes (`400Mi`)
 or 400 megabytes (`400M`).
 -->
-请注意后缀的大小写。如果你请求 `400m` 内存，实际上请求的是 0.4 字节。
-如果有人这样设定资源请求或限制，可能他的实际想法是申请 400 兆字节（`400Mi`）
+请注意后缀的大小写。如果你请求 `400m` 临时存储，实际上所请求的是 0.4 字节。
+如果有人这样设定资源请求或限制，可能他的实际想法是申请 400Mi 字节（`400Mi`）
 或者 400M 字节。
 
 <!--
@@ -629,6 +629,15 @@ Pod 中的每个容器可以设置以下属性：
 - `129M`
 - `123Mi`
 
+<!--
+Pay attention to the case of the suffixes. If you request `400m` of ephemeral-storage, this is a request
+for 0.4 bytes. Someone who types that probably meant to ask for 400 mebibytes (`400Mi`)
+or 400 megabytes (`400M`).
+-->
+请注意后缀的大小写。如果你请求 `400m` 临时存储，实际上所请求的是 0.4 字节。
+如果有人这样设定资源请求或限制，可能他的实际想法是申请 400Mi 字节（`400Mi`）
+或者 400M 字节。
+
 <!--
 In the following example, the Pod has two containers. Each container has a request of
 2GiB of local ephemeral storage. Each container has a limit of 4GiB of local ephemeral
@@ -1158,7 +1167,7 @@ to view the events for a Pod; for example:
 
 如果调度器找不到该 Pod 可以匹配的任何节点，则该 Pod 将保持未被调度状态，
 直到找到一个可以被调度到的位置。每当调度器找不到 Pod 可以调度的地方时，
-会产生一个 [Event](/docs/reference/kubernetes-api/cluster-resources/event-v1/)。
+会产生一个 [Event](/zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1/)。
 你可以使用 `kubectl` 来查看 Pod 的事件；例如：
 
 ```shell
@@ -1254,7 +1263,7 @@ for details).
 -->
 Pods 可用的资源量低于节点的资源总量，因为系统守护进程也会使用一部分可用资源。
 在 Kubernetes API 中，每个 Node 都有一个 `.status.allocatable` 字段
-（详情参见 [NodeStatus](/docs/reference/kubernetes-api/cluster-resources/node-v1/#NodeStatus)）。
+（详情参见 [NodeStatus](/zh-cn/docs/reference/kubernetes-api/cluster-resources/node-v1/#NodeStatus)）。
 
 <!--
 The `.status.allocatable` field describes the amount of resources that are available
@@ -1371,14 +1380,14 @@ memory limit (and possibly request) for that container.
 * Get hands-on experience [assigning Memory resources to containers and Pods](/docs/tasks/configure-pod-container/assign-memory-resource/).
 * Get hands-on experience [assigning CPU resources to containers and Pods](/docs/tasks/configure-pod-container/assign-cpu-resource/).
 * Read how the API reference defines a [container](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)
-  and its [resource requirements](https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)
+  and its [resource requirements](/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)
 * Read about [project quotas](https://xfs.org/docs/xfsdocs-xml-dev/XFS_User_Guide/tmp/en-US/html/xfs-quotas.html) in XFS
 * Read more about the [kube-scheduler configuration reference (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/)
 -->
 * 获取[分配内存资源给容器和 Pod ](/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource/) 的实践经验
 * 获取[分配 CPU 资源给容器和 Pod ](/zh-cn/docs/tasks/configure-pod-container/assign-cpu-resource/) 的实践经验
-* 阅读 API 参考中 [Container](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)
-  和其[资源请求](/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)定义。
+* 阅读 API 参考中 [Container](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)
+  和其[资源请求](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#resources)定义。
 * 阅读 XFS 中[配额](https://xfs.org/docs/xfsdocs-xml-dev/XFS_User_Guide/tmp/en-US/html/xfs-quotas.html)的文档
 * 进一步阅读 [kube-scheduler 配置参考 (v1beta3)](/zh-cn/docs/reference/config-api/kube-scheduler-config.v1beta3/)
 
diff --git a/content/zh-cn/docs/concepts/configuration/overview.md b/content/zh-cn/docs/concepts/configuration/overview.md
index b0d9c2a0330..e3be0085dd8 100644
--- a/content/zh-cn/docs/concepts/configuration/overview.md
+++ b/content/zh-cn/docs/concepts/configuration/overview.md
@@ -163,12 +163,12 @@ services) (which have a `ClusterIP` of `None`) for service discovery when you do
 ## 使用标签   {#using-labels}
 
 <!--
-- Define and use [labels](/docs/concepts/overview/working-with-objects/labels/) that identify __semantic attributes__ of your application or Deployment, such as `{ app: myapp, tier: frontend, phase: test, deployment: v3 }`. You can use these labels to select the appropriate Pods for other resources; for example, a Service that selects all `tier: frontend` Pods, or all `phase: test` components of `app: myapp`. See the [guestbook](https://github.com/kubernetes/examples/tree/master/guestbook/) app for examples of this approach.
+- Define and use [labels](/docs/concepts/overview/working-with-objects/labels/) that identify __semantic attributes__ of your application or Deployment, such as `{ app.kubernetes.io/name: MyApp, tier: frontend, phase: test, deployment: v3 }`. You can use these labels to select the appropriate Pods for other resources; for example, a Service that selects all `tier: frontend` Pods, or all `phase: test` components of `app.kubernetes.io/name: MyApp`. See the [guestbook](https://github.com/kubernetes/examples/tree/master/guestbook/) app for examples of this approach.
 -->
 - 定义并使用[标签](/zh-cn/docs/concepts/overview/working-with-objects/labels/)来识别应用程序
-  或 Deployment 的 __语义属性__，例如`{ app: myapp, tier: frontend, phase: test, deployment: v3 }`。
+  或 Deployment 的 **语义属性**，例如`{ app.kubernetes.io/name: MyApp, tier: frontend, phase: test, deployment: v3 }`。
   你可以使用这些标签为其他资源选择合适的 Pod；
-  例如，一个选择所有 `tier: frontend` Pod 的服务，或者 `app: myapp` 的所有 `phase: test` 组件。
+  例如，一个选择所有 `tier: frontend` Pod 的服务，或者 `app.kubernetes.io/name: MyApp` 的所有 `phase: test` 组件。
   有关此方法的示例，请参阅 [guestbook](https://github.com/kubernetes/examples/tree/master/guestbook/) 。
 
 <!--
diff --git a/content/zh-cn/docs/concepts/configuration/secret.md b/content/zh-cn/docs/concepts/configuration/secret.md
index b67534c2384..59ac5e6313b 100644
--- a/content/zh-cn/docs/concepts/configuration/secret.md
+++ b/content/zh-cn/docs/concepts/configuration/secret.md
@@ -4,7 +4,7 @@ content_type: concept
 feature:
   title: Secret 和配置管理
   description: >
-    部署和更新 Secrets 和应用程序的配置而不必重新构建容器镜像，且
+    部署和更新 Secret 和应用程序的配置而不必重新构建容器镜像，且
     不必将软件堆栈配置中的秘密信息暴露出来。
 weight: 30
 ---
@@ -295,7 +295,7 @@ You can package many keys and values into one Secret, or use many Secrets, which
 -->
 这一示例清单定义了一个 Secret，其 `data` 字段中包含两个主键：`username` 和 `password`。
 清单中的字段值是 Base64 字符串，不过，当你在 Pod 中使用 Secret 时，kubelet 为 Pod
-及其中的容器提供的是解码后的数据。
+及其中的容器提供的是**解码**后的数据。
 
 你可以在一个 Secret 中打包多个主键和数值，也可以选择使用多个 Secret，
 完全取决于哪种方式最方便。
@@ -437,7 +437,7 @@ invalidated when the Pod they are mounted into is deleted.
 Kubernetes v1.22 版本之前都会自动创建用来访问 Kubernetes API 的凭证。
 这一老的机制是基于创建可被挂载到 Pod 中的令牌 Secret 来实现的。
 在最近的版本中，包括 Kubernetes v{{< skew currentVersion >}} 中，API 凭据是直接通过
-[TokenRequest](/docs/reference/kubernetes-api/authentication-resources/token-request-v1/)
+[TokenRequest](/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1/)
 API 来获得的，这一凭据会使用[投射卷](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume)
 挂载到 Pod 中。使用这种方式获得的令牌有确定的生命期，并且在挂载它们的 Pod
 被删除时自动作废。
@@ -452,7 +452,7 @@ command to obtain a token from the `TokenRequest` API.
 -->
 你仍然可以[手动创建](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#manually-create-a-service-account-api-token)
 服务账号令牌。例如，当你需要一个永远都不过期的令牌时。
-不过，仍然建议使用 [TokenRequest](/docs/reference/kubernetes-api/authentication-resources/token-request-v1/)
+不过，仍然建议使用 [TokenRequest](/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1/)
 子资源来获得访问 API 服务器的令牌。
 你可以使用 [`kubectl create token`](/docs/reference/generated/kubectl/kubectl-commands#-em-token-em-)
 命令调用 `TokenRequest` API 获得令牌。
@@ -845,7 +845,7 @@ level.
 ### 容器镜像拉取 Secret  {#using-imagepullsecrets}
 
 如果你尝试从私有仓库拉取容器镜像，你需要一种方式让每个节点上的 kubelet
-能够完成与镜像库的身份认证。你可以配置 *镜像拉取 Secret* 来实现这点。
+能够完成与镜像库的身份认证。你可以配置 **镜像拉取 Secret** 来实现这点。
 Secret 是在 Pod 层面来配置的。
 
 <!--
@@ -859,7 +859,7 @@ for more information about the `imagePullSecrets` field.
 Pod 的 `imagePullSecrets` 字段是一个对 Pod 所在的名字空间中的 Secret
 的引用列表。你可以使用 `imagePullSecrets` 来将镜像仓库访问凭据传递给 kubelet。
 kubelet 使用这个信息来替你的 Pod 拉取私有镜像。
-参阅 [Pod API 参考](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
+参阅 [Pod API 参考](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
 中的 `PodSpec` 进一步了解 `imagePullSecrets` 字段。
 
 <!--
@@ -875,7 +875,7 @@ See the [PodSpec API](/docs/reference/generated/kubernetes-api/{{< param "versio
 `imagePullSecrets` 字段是一个列表，包含对同一名字空间中 Secret 的引用。
 你可以使用 `imagePullSecrets` 将包含 Docker（或其他）镜像仓库密码的 Secret
 传递给 kubelet。kubelet 使用此信息来替 Pod 拉取私有镜像。
-参阅 [PodSpec API ](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
+参阅 [PodSpec API ](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
 进一步了解 `imagePullSecrets` 字段。
 
 <!--
@@ -1113,7 +1113,7 @@ secret "test-db-secret" created
 Special characters such as `$`, `\`, `*`, `=`, and `!` will be interpreted by your [shell](https://en.wikipedia.org/wiki/Shell_(computing)) and require escaping.
 -->
 特殊字符（例如 `$`、`\`、`*`、`=` 和 `!`）会被你的
-[Shell](https://en.wikipedia.org/wiki/Shell_(computing))解释，因此需要转义。
+[Shell](https://zh.wikipedia.org/wiki/Shell_(computing)) 解释，因此需要转义。
 
 <!--
 In most shells, the easiest way to escape the password is to surround it with single quotes (`'`).
@@ -1355,7 +1355,7 @@ Kubernetes imposes on them.
 -->
 ## Secret 的类型  {#secret-types}
 
-创建 Secret 时，你可以使用 [Secret](/docs/reference/kubernetes-api/config-and-storage-resources/secret-v1/)
+创建 Secret 时，你可以使用 [Secret](/zh-cn/docs/reference/kubernetes-api/config-and-storage-resources/secret-v1/)
 资源的 `type` 字段，或者与其等价的 `kubectl` 命令行参数（如果有的话）为其设置类型。
 Secret 类型有助于对 Secret 数据进行编程处理。
 
@@ -1420,8 +1420,8 @@ command creates an empty Secret of type `Opaque`.
 ### Opaque Secret
 
 当 Secret 配置文件中未作显式设定时，默认的 Secret 类型是 `Opaque`。
-当你使用 `kubectl` 来创建一个 Secret 时，你会使用 `generic` 子命令来标明
-要创建的是一个 `Opaque` 类型 Secret。
+当你使用 `kubectl` 来创建一个 Secret 时，你会使用 `generic`
+子命令来标明要创建的是一个 `Opaque` 类型 Secret。
 例如，下面的命令会创建一个空的 `Opaque` 类型 Secret 对象：
 
 ```shell
@@ -1626,11 +1626,10 @@ server doesn't validate if the JSON actually is a Docker config file.
 When you do not have a Docker config file, or you want to use `kubectl`
 to create a Secret for accessing a container registry, you can do:
 -->
-当你使用清单文件来创建这两类 Secret 时，API 服务器会检查 `data` 字段中是否
-存在所期望的主键，并且验证其中所提供的键值是否是合法的 JSON 数据。
+当你使用清单文件来创建这两类 Secret 时，API 服务器会检查 `data` 字段中是否存在所期望的主键，
+并且验证其中所提供的键值是否是合法的 JSON 数据。
 不过，API 服务器不会检查 JSON 数据本身是否是一个合法的 Docker 配置文件内容。
 
-
 当你没有 Docker 配置文件，或者你想使用 `kubectl` 创建一个 Secret
 来访问容器倉庫时，你可以这样做：
 
@@ -1750,8 +1749,8 @@ key authentication:
 -->
 ### SSH 身份认证 Secret {#ssh-authentication-secrets}
 
-Kubernetes 所提供的内置类型 `kubernetes.io/ssh-auth` 用来存放 SSH 身份认证中
-所需要的凭据。使用这种 Secret 类型时，你就必须在其 `data` （或 `stringData`）
+Kubernetes 所提供的内置类型 `kubernetes.io/ssh-auth` 用来存放 SSH 身份认证中所需要的凭据。
+使用这种 Secret 类型时，你就必须在其 `data` （或 `stringData`）
 字段中提供一个 `ssh-privatekey` 键值对，作为要使用的 SSH 凭据。
 
 下面的清单是一个 SSH 公钥/私钥身份认证的 Secret 示例：
@@ -1900,8 +1899,8 @@ well-known ConfigMaps.
 -->
 ### 启动引导令牌 Secret  {#bootstrap-token-secrets}
 
-通过将 Secret 的 `type` 设置为 `bootstrap.kubernetes.io/token` 可以创建
-启动引导令牌类型的 Secret。这种类型的 Secret 被设计用来支持节点的启动引导过程。
+通过将 Secret 的 `type` 设置为 `bootstrap.kubernetes.io/token`
+可以创建启动引导令牌类型的 Secret。这种类型的 Secret 被设计用来支持节点的启动引导过程。
 其中包含用来为周知的 ConfigMap 签名的令牌。
 
 <!--
@@ -1913,8 +1912,8 @@ As a Kubernetes manifest, a bootstrap token Secret might look like the
 following:
 -->
 启动引导令牌 Secret 通常创建于 `kube-system` 名字空间内，并以
-`bootstrap-token-<令牌 ID>` 的形式命名；其中 `<令牌 ID>` 是一个由 6 个字符组成
-的字符串，用作令牌的标识。
+`bootstrap-token-<令牌 ID>` 的形式命名；
+其中 `<令牌 ID>` 是一个由 6 个字符组成的字符串，用作令牌的标识。
 
 以 Kubernetes 清单文件的形式，某启动引导令牌 Secret 可能看起来像下面这样：
 
diff --git a/content/zh-cn/docs/concepts/containers/container-lifecycle-hooks.md b/content/zh-cn/docs/concepts/containers/container-lifecycle-hooks.md
index 9791183f47a..ecd0cfea787 100644
--- a/content/zh-cn/docs/concepts/containers/container-lifecycle-hooks.md
+++ b/content/zh-cn/docs/concepts/containers/container-lifecycle-hooks.md
@@ -71,8 +71,8 @@ parameters are passed to the handler.
 而被终止之前，此回调会被调用。
 如果容器已经处于已终止或者已完成状态，则对 preStop 回调的调用将失败。
 在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。
-Pod 的终止宽限周期在 `PreStop` 回调被执行之前即开始计数，所以无论
-回调函数的执行结果如何，容器最终都会在 Pod 的终止宽限期内被终止。
+Pod 的终止宽限周期在 `PreStop` 回调被执行之前即开始计数，
+所以无论回调函数的执行结果如何，容器最终都会在 Pod 的终止宽限期内被终止。
 没有参数会被传递给处理程序。
 
 <!--
@@ -113,7 +113,7 @@ the Kubernetes management system executes the handler according to the hook acti
 ### 回调处理程序执行
 
 当调用容器生命周期管理回调时，Kubernetes 管理系统根据回调动作执行其处理程序，
-`httpGet` 和 `tcpSocket` 在kubelet 进程执行，而 `exec` 则由容器内执行 。
+`httpGet` 和 `tcpSocket` 在 kubelet 进程执行，而 `exec` 则由容器内执行。
 
 <!--
 Hook handler calls are synchronous within the context of the Pod containing the Container.
@@ -190,7 +190,7 @@ It is up to the hook implementation to handle this correctly.
 -->
 ### 回调递送保证
 
-回调的递送应该是 *至少一次*，这意味着对于任何给定的事件，
+回调的递送应该是**至少一次**，这意味着对于任何给定的事件，
 例如 `PostStart` 或 `PreStop`，回调可以被调用多次。
 如何正确处理被多次调用的情况，是回调实现所要考虑的问题。
 
diff --git a/content/zh-cn/docs/concepts/containers/images.md b/content/zh-cn/docs/concepts/containers/images.md
index f3783775cce..c3876235bb9 100644
--- a/content/zh-cn/docs/concepts/containers/images.md
+++ b/content/zh-cn/docs/concepts/containers/images.md
@@ -296,7 +296,7 @@ Kubernetes itself typically names container images with a suffix `-$(ARCH)`. For
 Kubernetes 自身通常在命名容器镜像时添加后缀 `-$(ARCH)`。
 为了向前兼容，请在生成较老的镜像时也提供后缀。
 这里的理念是为某镜像（如 `pause`）生成针对所有平台都适用的清单时，
-生成 `pause-amd64` 这类镜像，以便较老的配置文件或者将镜像后缀影编码到其中的
+生成 `pause-amd64` 这类镜像，以便较老的配置文件或者将镜像后缀硬编码到其中的
 YAML 文件也能兼容。
 
 <!--
@@ -366,7 +366,7 @@ For an example of configuring a private container image registry, see the
 task. That example uses a private registry in Docker Hub.
 -->
 有关配置私有容器镜像仓库的示例，请参阅任务
-[从私有镜像库中提取图像](/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry)。
+[从私有镜像库中拉取镜像](/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry)。
 该示例使用 Docker Hub 中的私有注册表。
 
 <!--
diff --git a/content/zh-cn/docs/concepts/containers/runtime-class.md b/content/zh-cn/docs/concepts/containers/runtime-class.md
index 5eb922eee5d..f528d81e28d 100644
--- a/content/zh-cn/docs/concepts/containers/runtime-class.md
+++ b/content/zh-cn/docs/concepts/containers/runtime-class.md
@@ -16,7 +16,7 @@ weight: 20
 
 {{< feature-state for_k8s_version="v1.20" state="stable" >}}
 
-<!-- 
+<!--
 This page describes the RuntimeClass resource and runtime selection mechanism.
 
 RuntimeClass is a feature for selecting the container runtime configuration. The container runtime
@@ -28,7 +28,7 @@ RuntimeClass 是一个用于选择容器运行时配置的特性，容器运行
 
 <!-- body -->
 
-<!-- 
+<!--
 ## Motivation
 
 You can set a different RuntimeClass between different Pods to provide a balance of
@@ -51,7 +51,7 @@ but with different settings.
 -->
 你还可以使用 RuntimeClass 运行具有相同容器运行时但具有不同设置的 Pod。
 
-<!-- 
+<!--
 ## Setup
 -->
 
@@ -77,12 +77,12 @@ CRI implementation for how to configure.
 RuntimeClass 的配置依赖于 运行时接口（CRI）的实现。
 根据你使用的 CRI 实现，查阅相关的文档（[下方](#cri-configuration)）来了解如何配置。
 
+{{< note >}}
 <!--
 RuntimeClass assumes a homogeneous node configuration across the cluster by default (which means
 that all nodes are configured the same way with respect to container runtimes). To support
-heterogenous node configurations, see [Scheduling](#scheduling) below.
+heterogeneous node configurations, see [Scheduling](#scheduling) below.
 -->
-{{< note >}}
 RuntimeClass 假设集群中的节点配置是同构的（换言之，所有的节点在容器运行时方面的配置是相同的）。
 如果需要支持异构节点，配置方法请参阅下面的 [调度](#scheduling)。
 {{< /note >}}
@@ -102,7 +102,7 @@ the configuration. For each handler, create a corresponding RuntimeClass object.
 -->
 ### 2. 创建相应的 RuntimeClass 资源
 
-在上面步骤 1 中，每个配置都需要有一个用于标识配置的 `handler`。 
+在上面步骤 1 中，每个配置都需要有一个用于标识配置的 `handler`。
 针对每个 handler 需要创建一个 RuntimeClass 对象。
 
 <!--
@@ -119,17 +119,24 @@ kind: RuntimeClass
 metadata:
   # 用来引用 RuntimeClass 的名字
   # RuntimeClass 是一个集群层面的资源
-  name: myclass  
+  name: myclass
 # 对应的 CRI 配置的名称
 handler: myconfiguration
 ```
 
+<!--
+The name of a RuntimeClass object must be a valid
+[DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
+-->
+RuntimeClass 对象的名称必须是有效的
+[DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
+
+{{< note >}}
 <!--
 It is recommended that RuntimeClass write operations (create/update/patch/delete) be
-restricted to the cluster administrator. This is typically the default. See 
+restricted to the cluster administrator. This is typically the default. See
 [Authorization Overview](/docs/reference/access-authn-authz/authorization/) for more details.
 -->
-{{< note >}}
 建议将 RuntimeClass 写操作（create、update、patch 和 delete）限定于集群管理员使用。
 通常这是默认配置。参阅[授权概述](/zh-cn/docs/reference/access-authn-authz/authorization/)了解更多信息。
 {{< /note >}}
@@ -172,9 +179,9 @@ error message.
 If no `runtimeClassName` is specified, the default RuntimeHandler will be used, which is equivalent
 to the behavior when the RuntimeClass feature is disabled.
 -->
-如果未指定 `runtimeClassName` ，则将使用默认的 RuntimeHandler，相当于禁用 RuntimeClass 功能特性。
+如果未指定 `runtimeClassName`，则将使用默认的 RuntimeHandler，相当于禁用 RuntimeClass 功能特性。
 
-<!-- 
+<!--
 ### CRI Configuration
 
 For more details on setting up CRI runtimes, see [CRI installation](/docs/setup/production-environment/container-runtimes/).
@@ -191,29 +198,28 @@ Runtime handlers are configured through containerd's configuration at
 `/etc/containerd/config.toml`. Valid handlers are configured under the runtimes section:
 -->
 通过 containerd 的 `/etc/containerd/config.toml` 配置文件来配置运行时 handler。
-handler 需要配置在 runtimes 块中： 
+handler 需要配置在 runtimes 块中：
 
 ```
 [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.${HANDLER_NAME}]
 ```
 
 <!--
-See containerd's [config documentation](https://github.com/containerd/cri/blob/master/docs/config.md)
+See containerd's [config documentation](https://github.com/containerd/containerd/blob/main/docs/cri/config.md)
 for more details:
 -->
-更详细信息，请查阅 containerd 的[配置指南](https://github.com/containerd/cri/blob/master/docs/config.md)
+更详细信息，请查阅 containerd 的[配置指南](https://github.com/containerd/containerd/blob/main/docs/cri/config.md)
 
-#### [cri-o](https://cri-o.io/)
+#### {{< glossary_tooltip term_id="cri-o" >}}
 
 <!--
-Runtime handlers are configured through cri-o's configuration at `/etc/crio/crio.conf`. Valid
-handlers are configured under the [crio.runtime
-table](https://github.com/kubernetes-sigs/cri-o/blob/master/docs/crio.conf.5.md#crioruntime-table):
+Runtime handlers are configured through CRI-O's configuration at `/etc/crio/crio.conf`. Valid
+handlers are configured under the
+[crio.runtime table](https://github.com/cri-o/cri-o/blob/master/docs/crio.conf.5.md#crioruntime-table):
 -->
-通过 cri-o 的 `/etc/crio/crio.conf` 配置文件来配置运行时 handler。
+通过 CRI-O 的 `/etc/crio/crio.conf` 配置文件来配置运行时 handler。
 handler 需要配置在
-[crio.runtime 表](https://github.com/kubernetes-sigs/cri-o/blob/master/docs/crio.conf.5.md#crioruntime-table)
-下面：
+[crio.runtime 表](https://github.com/cri-o/cri-o/blob/master/docs/crio.conf.5.md#crioruntime-table)之下：
 
 ```
 [crio.runtime.runtimes.${HANDLER_NAME}]
@@ -225,9 +231,9 @@ See CRI-O's [config documentation](https://github.com/cri-o/cri-o/blob/master/do
 -->
 更详细信息，请查阅 CRI-O [配置文档](https://github.com/cri-o/cri-o/blob/master/docs/crio.conf.5.md)。
 
-<!-- 
+<!--
 ## Scheduling
- -->
+-->
 ## 调度  {#scheduling}
 
 {{< feature-state for_k8s_version="v1.16" state="beta" >}}
@@ -240,7 +246,7 @@ If `scheduling` is not set, this RuntimeClass is assumed to be supported by all
 
 通过为 RuntimeClass 指定 `scheduling` 字段，
 你可以通过设置约束，确保运行该 RuntimeClass 的 Pod 被调度到支持该 RuntimeClass 的节点上。
-如果未设置 `scheduling`，则假定所有节点均支持此 RuntimeClass 。
+如果未设置 `scheduling`，则假定所有节点均支持此 RuntimeClass。
 
 <!--
 To ensure pods land on nodes supporting a specific RuntimeClass, that set of nodes should have a
@@ -249,7 +255,7 @@ RuntimeClass's nodeSelector is merged with the pod's nodeSelector in admission,
 the intersection of the set of nodes selected by each. If there is a conflict, the pod will be
 rejected.
 -->
-为了确保 pod 会被调度到支持指定运行时的 node 上，每个 node 需要设置一个通用的 label 用于被 
+为了确保 pod 会被调度到支持指定运行时的 node 上，每个 node 需要设置一个通用的 label 用于被
 `runtimeclass.scheduling.nodeSelector` 挑选。在 admission 阶段，RuntimeClass 的 nodeSelector 将会与
 pod 的 nodeSelector 合并，取二者的交集。如果有冲突，pod 将会被拒绝。
 
@@ -263,22 +269,22 @@ by each.
 与 `nodeSelector` 一样，tolerations 也在 admission 阶段与 pod 的 tolerations 合并，取二者的并集。
 
 <!--
-To learn more about configuring the node selector and tolerations, see 
-[Assigning Pods to Nodes](/docs/concepts/configuration/assign-pod-node/).
+To learn more about configuring the node selector and tolerations, see
+[Assigning Pods to Nodes](/docs/concepts/scheduling-eviction/assign-pod-node/).
 -->
-更多有关 node selector 和 tolerations 的配置信息，请查阅 
+更多有关 node selector 和 tolerations 的配置信息，请查阅
 [将 Pod 分派到节点](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)。
 
-<!-- 
+<!--
 ### Pod Overhead
- -->
+-->
 ### Pod 开销   {#pod-overhead}
 
 {{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
 <!--
 You can specify _overhead_ resources that are associated with running a Pod. Declaring overhead allows
-the cluster (including the scheduler) to account for it when making decisions about Pods and resources.  
+the cluster (including the scheduler) to account for it when making decisions about Pods and resources.
 -->
 你可以指定与运行 Pod 相关的 _开销_ 资源。声明开销即允许集群（包括调度器）在决策 Pod 和资源时将其考虑在内。
 
diff --git a/content/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md b/content/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
index 52a0c64e7e3..08659e89a43 100644
--- a/content/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
+++ b/content/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation.md
@@ -1,11 +1,11 @@
 ---
-title: 通过聚合层扩展 Kubernetes API
+title: Kubernetes API 聚合层
 content_type: concept
 weight: 20
 ---
 
 <!--
-title: Extending the Kubernetes API with the aggregation layer
+title: Kubernetes API Aggregation Layer
 reviewers:
 - lavalamp
 - cheftako
@@ -18,47 +18,44 @@ weight: 20
 
 <!--
 The aggregation layer allows Kubernetes to be extended with additional APIs, beyond what is offered by the core Kubernetes APIs.
--->
-使用聚合层（Aggregation Layer），用户可以通过额外的 API 扩展 Kubernetes，
-而不局限于 Kubernetes 核心 API 提供的功能。
-
-<!--
 The additional APIs can either be ready-made solutions such as a [metrics server](https://github.com/kubernetes-sigs/metrics-server), or APIs that you develop yourself.
-
-The aggregation layer is different from [Custom Resources](/docs/concepts/extend-kubernetes/api-extension/custom-resources/), which are a way to make the {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}} recognise new kinds of object.
 -->
-这里的附加 API 可以是现成的解决方案比如
-[metrics server](https://github.com/kubernetes-sigs/metrics-server), 
+使用聚合层（Aggregation Layer），用户可以通过附加的 API 扩展 Kubernetes，
+而不局限于 Kubernetes 核心 API 提供的功能。
+这里的附加 API 可以是现成的解决方案，比如
+[metrics server](https://github.com/kubernetes-sigs/metrics-server)，
 或者你自己开发的 API。
 
+<!--
+The aggregation layer is different from [Custom Resources](/docs/concepts/extend-kubernetes/api-extension/custom-resources/), which are a way to make the {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}} recognise new kinds of object.
+-->
 聚合层不同于
 [定制资源（Custom Resources）](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)。
 后者的目的是让 {{< glossary_tooltip term_id="kube-apiserver" text="kube-apiserver" >}}
-能够认识新的对象类别（Kind）。
+能够识别新的对象类别（Kind）。
 
 <!-- body -->
 
 <!--
 ## Aggregation layer
 
-The aggregation layer runs in-process with the kube-apiserver. Until an extension resource is registered, the aggregation layer will do nothing. To register an API, users must add an APIService object, which "claims" the URL path in the Kubernetes API. At that point, the aggregation layer will proxy anything sent to that API path (e.g. /apis/myextension.mycompany.io/v1/…) to the registered APIService.
+The aggregation layer runs in-process with the kube-apiserver. Until an extension resource is registered, the aggregation layer will do nothing. To register an API, you add an _APIService_ object, which "claims" the URL path in the Kubernetes API. At that point, the aggregation layer will proxy anything sent to that API path (e.g. `/apis/myextension.mycompany.io/v1/…`) to the registered APIService.
 -->
 ## 聚合层  {#aggregation-layer}
 
 聚合层在 kube-apiserver 进程内运行。在扩展资源注册之前，聚合层不做任何事情。
-要注册 API，用户必须添加一个 APIService 对象，用它来“申领” Kubernetes API 中的 URL 路径。
-自此以后，聚合层将会把发给该 API 路径的所有内容（例如 `/apis/myextension.mycompany.io/v1/…`）
+要注册 API，你可以添加一个 **APIService** 对象，用它来 “申领” Kubernetes API 中的 URL 路径。
+自此以后，聚合层将把发给该 API 路径的所有内容（例如 `/apis/myextension.mycompany.io/v1/…`）
 转发到已注册的 APIService。
 
 <!--
 The most common way to implement the APIService is to run an *extension API server* in Pod(s) that run in your cluster. If you're using the extension API server to manage resources in your cluster, the extension API server (also written as "extension-apiserver") is typically paired with one or more {{< glossary_tooltip text="controllers" term_id="controller" >}}. The apiserver-builder library provides a skeleton for both extension API servers and the associated controller(s).
 -->
-APIService 的最常见实现方式是在集群中某 Pod 内运行 *扩展 API 服务器*。
+APIService 的最常见实现方式是在集群中某 Pod 内运行 **扩展 API 服务器**。
 如果你在使用扩展 API 服务器来管理集群中的资源，该扩展 API 服务器（也被写成“extension-apiserver”）
 一般需要和一个或多个{{< glossary_tooltip text="控制器" term_id="controller" >}}一起使用。
 apiserver-builder 库同时提供构造扩展 API 服务器和控制器框架代码。
 
-
 <!--
 ### Response latency
 
@@ -67,7 +64,7 @@ Discovery requests are required to round-trip from the kube-apiserver in five se
 
 If your extension API server cannot achieve that latency requirement, consider making changes that let you meet it.
 -->
-### 反应延迟  {#response-latency}
+### 响应延迟  {#response-latency}
 
 扩展 API 服务器与 kube-apiserver 之间需要存在低延迟的网络连接。
 发现请求需要在五秒钟或更短的时间内完成到 kube-apiserver 的往返。
@@ -77,8 +74,8 @@ If your extension API server cannot achieve that latency requirement, consider m
 ## {{% heading "whatsnext" %}}
 
 <!--
-* To get the aggregator working in your environment, [configure the aggregation layer](/docs/tasks/access-kubernetes-api/configure-aggregation-layer/).
-* Then, [setup an extension api-server](/docs/tasks/access-kubernetes-api/setup-extension-api-server/) to work with the aggregation layer.
+* To get the aggregator working in your environment, [configure the aggregation layer](/docs/tasks/extend-kubernetes/configure-aggregation-layer/).
+* Then, [setup an extension api-server](/docs/tasks/extend-kubernetes/setup-extension-api-server/) to work with the aggregation layer.
 * Read about [APIService](/docs/reference/kubernetes-api/cluster-resources/api-service-v1/) in the API reference
 
 Alternatively: learn how to [extend the Kubernetes API using Custom Resource Definitions](/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/).
@@ -87,6 +84,6 @@ Alternatively: learn how to [extend the Kubernetes API using Custom Resource Def
   了解如何在自己的环境中启用聚合器。
 * 接下来，了解[安装扩展 API 服务器](/zh-cn/docs/tasks/extend-kubernetes/setup-extension-api-server/)，
   开始使用聚合层。
-* 从 API 参考资料中研究关于 [APIService](/docs/reference/kubernetes-api/cluster-resources/api-service-v1/) 的内容。
+* 从 API 参考资料中研究关于 [APIService](/zh-cn/docs/reference/kubernetes-api/cluster-resources/api-service-v1/) 的内容。
 
-或者，学习如何[使用自定义资源定义扩展 Kubernetes API](/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/)。
+或者，学习如何[使用 CustomResourceDefinition 扩展 Kubernetes API](/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/)。
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/kubernetes-objects.md b/content/zh-cn/docs/concepts/overview/working-with-objects/kubernetes-objects.md
index 36c1212fcda..bf52f1b340e 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/kubernetes-objects.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/kubernetes-objects.md
@@ -27,10 +27,8 @@ This page explains how Kubernetes objects are represented in the Kubernetes API,
 <!--
 ## Understanding Kubernetes Objects
 
-*Kubernetes Objects* are persistent entities in the Kubernetes system. 
-Kubernetes uses these entities to represent the state of your cluster. 
-
-Specifically, they can describe:
+*Kubernetes objects* are persistent entities in the Kubernetes system. Kubernetes uses these
+entities to represent the state of your cluster. Specifically, they can describe:
 
 * What containerized applications are running (and on which nodes)
 * The resources available to those applications
@@ -38,13 +36,13 @@ Specifically, they can describe:
 -->
 ## 理解 Kubernetes 对象    {#kubernetes-objects}
 
-在 Kubernetes 系统中，*Kubernetes 对象* 是持久化的实体。
+在 Kubernetes 系统中，**Kubernetes 对象** 是持久化的实体。
 Kubernetes 使用这些实体去表示整个集群的状态。
-比較特别地是，它们描述了如下信息：
+比较特别地是，它们描述了如下信息：
 
 * 哪些容器化应用正在运行（以及在哪些节点上运行）
 * 可以被应用使用的资源
-* 关于应用运行时表现的策略，比如重启策略、升级策略，以及容错策略
+* 关于应用运行时表现的策略，比如重启策略、升级策略以及容错策略
 
 <!--
 A Kubernetes object is a "record of intent" - once you create the object, 
@@ -59,11 +57,11 @@ the CLI makes the necessary Kubernetes API calls for you.
 You can also use the Kubernetes API directly in your own programs using 
 one of the [Client Libraries](/docs/reference/using-api/client-libraries/).
 -->
-Kubernetes 对象是“目标性记录”——一旦创建对象，Kubernetes 系统将不断工作以确保对象存在。
+Kubernetes 对象是“目标性记录” —— 一旦创建该对象，Kubernetes 系统将不断工作以确保该对象存在。
 通过创建对象，你就是在告知 Kubernetes 系统，你想要的集群工作负载状态看起来应是什么样子的，
 这就是 Kubernetes 集群所谓的 **期望状态（Desired State）**。
 
-操作 Kubernetes 对象 —— 无论是创建、修改，或者删除 —— 需要使用
+操作 Kubernetes 对象 —— 无论是创建、修改或者删除 —— 需要使用
 [Kubernetes API](/zh-cn/docs/concepts/overview/kubernetes-api)。
 比如，当使用 `kubectl` 命令行接口（CLI）时，CLI 会调用必要的 Kubernetes API；
 也可以在程序中使用[客户端库](/zh-cn/docs/reference/using-api/client-libraries/)，
@@ -83,7 +81,7 @@ its _desired state_.
 几乎每个 Kubernetes 对象包含两个嵌套的对象字段，它们负责管理对象的配置：
 对象 **`spec`（规约）** 和 对象 **`status`（状态）**。
 对于具有 `spec` 的对象，你必须在创建对象时设置其内容，描述你希望对象所具有的特征：
-*期望状态（Desired State）*。
+**期望状态（Desired State）**。
 
 <!--
 The `status` describes the _current state_ of the object, supplied and updated
@@ -111,8 +109,8 @@ a replacement instance.
 当创建 Deployment 时，可能会去设置 Deployment 的 `spec`，以指定该应用要有 3 个副本运行。
 Kubernetes 系统读取 Deployment 的 `spec`，
 并启动我们所期望的应用的 3 个实例 —— 更新状态以与规约相匹配。
-如果这些实例中有的失败了（一种状态变更），Kubernetes 系统会通过执行修正操作
-来响应 `spec` 和状态间的不一致 —— 意味着它会启动一个新的实例来替换。
+如果这些实例中有的失败了（一种状态变更），Kubernetes 系统会通过执行修正操作来响应
+`spec` 和状态间的不一致 —— 意味着它会启动一个新的实例来替换。
 
 <!--
 For more information on the object spec, status, and metadata, see the 
@@ -124,11 +122,13 @@ For more information on the object spec, status, and metadata, see the
 <!--
 ### Describing a Kubernetes Object
 
-When you create an object in Kubernetes, you must provide the object spec that describes its desired state, 
-as well as some basic information about the object (such as a name). 
-When you use the Kubernetes API to create the object (either directly or via `kubectl`), 
-that API request must include that information as JSON in the request body. 
-**Most often, you provide the information to `kubectl` in a .yaml file.** `kubectl` converts the information to JSON when making the API request.
+When you create an object in Kubernetes, you must provide the object spec that describes its
+desired state, as well as some basic information about the object (such as a name). When you use
+the Kubernetes API to create the object (either directly or via `kubectl`), that API request must
+include that information as JSON in the request body. **Most often, you provide the information to
+`kubectl` in a .yaml file.** `kubectl` converts the information to JSON when making the API
+request.
+
 
 Here's an example `.yaml` file that shows the required fields and object spec for a Kubernetes Deployment:
 -->
@@ -183,13 +183,12 @@ In the `.yaml` file for the Kubernetes object you want to create, you'll need to
 
 * `apiVersion` - 创建该对象所使用的 Kubernetes API 的版本
 * `kind` - 想要创建的对象的类别
-* `metadata` - 帮助唯一性标识对象的一些数据，包括一个 `name` 字符串、`UID` 和可选的 `namespace`
+* `metadata` - 帮助唯一标识对象的一些数据，包括一个 `name` 字符串、`UID` 和可选的 `namespace`
 * `spec` - 你所期望的该对象的状态
 
 <!--
-The precise format of the object `spec` is different for every Kubernetes object, 
-and contains nested fields specific to that object. 
-The [Kubernetes API Reference](https://kubernetes.io/docs/reference/kubernetes-api/) 
+The precise format of the object `spec` is different for every Kubernetes object, and contains
+nested fields specific to that object. The [Kubernetes API Reference](/docs/reference/kubernetes-api/)
 can help you find the spec format for all of the objects you can create using Kubernetes.
 -->
 对每个 Kubernetes 对象而言，其 `spec` 之精确格式都是不同的，包含了特定于该对象的嵌套字段。
@@ -212,12 +211,13 @@ Different kinds of object can also have different `.status`; again, the API refe
 detail the structure of that `.status` field, and its content for each different type of object.
 -->
 例如，参阅 Pod API 参考文档中
-[`spec` 字段](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)。
+[`spec` 字段](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)。
 对于每个 Pod，其 `.spec` 字段设置了 Pod 及其期望状态（例如 Pod 中每个容器的容器镜像名称）。
 另一个对象规约的例子是 StatefulSet API 中的
-[`spec` 字段](/docs/reference/kubernetes-api/workload-resources/stateful-set-v1/#StatefulSetSpec)。
+[`spec` 字段](/zh-cn/docs/reference/kubernetes-api/workload-resources/stateful-set-v1/#StatefulSetSpec)。
 对于 StatefulSet 而言，其 `.spec` 字段设置了 StatefulSet 及其期望状态。
-在 StatefulSet 的 `.spec` 内，有一个为 Pod 对象提供的[模板](/zh-cn/docs/concepts/workloads/pods/#pod-templates)。该模板描述了 StatefulSet 控制器为了满足 StatefulSet 规约而要创建的 Pod。
+在 StatefulSet 的 `.spec` 内，有一个为 Pod 对象提供的[模板](/zh-cn/docs/concepts/workloads/pods/#pod-templates)。
+该模板描述了 StatefulSet 控制器为了满足 StatefulSet 规约而要创建的 Pod。
 不同类型的对象可以由不同的 `.status` 信息。API 参考页面给出了 `.status` 字段的详细结构，
 以及针对不同类型 API 对象的具体内容。
 
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/labels.md b/content/zh-cn/docs/concepts/overview/working-with-objects/labels.md
index 650eb02a4ee..df23d8cf18d 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/labels.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/labels.md
@@ -16,11 +16,10 @@ weight: 40
 <!--
 _Labels_ are key/value pairs that are attached to objects, such as pods.
 Labels are intended to be used to specify identifying attributes of objects that are meaningful and relevant to users, but do not directly imply semantics to the core system.
-Labels can be used to organize and to select subsets of objects.
-Labels can be attached to objects at creation time and subsequently added and modified at any time.
-Each object can have a set of key/value labels defined.  Each Key must be unique for a given object.
+Labels can be used to organize and to select subsets of objects. Labels can be attached to objects at creation time and subsequently added and modified at any time.
+Each object can have a set of key/value labels defined. Each Key must be unique for a given object.
 -->
-_标签（Labels）_ 是附加到 Kubernetes 对象（比如 Pods）上的键值对。
+**标签（Labels）**是附加到 Kubernetes 对象（比如 Pods）上的键值对。
 标签旨在用于指定对用户有意义且相关的对象的标识属性，但不直接对核心系统有语义含义。
 标签可以用于组织和选择对象的子集。标签可以在创建时附加到对象，随后可以随时添加和修改。
 每个对象都可以定义一组键/值标签。每个键对于给定对象必须是唯一的。
@@ -49,7 +48,7 @@ and CLIs. Non-identifying information should be recorded using
 
 Labels enable users to map their own organizational structures onto system objects in a loosely coupled fashion, without requiring clients to store these mappings.
 -->
-## 动机
+## 动机   {#motivation}
 
 标签使用户能够以松散耦合的方式将他们自己的组织结构映射到系统对象，而无需客户端存储这些映射。
 
@@ -78,15 +77,15 @@ These are examples of [commonly used labels](/docs/concepts/overview/working-wit
 <!--
 ## Syntax and character set
 
-_Labels_ are key/value pairs. Valid label keys have two segments: an optional prefix and name, separated by a slash (`/`).  The name segment is required and must be 63 characters or less, beginning and ending with an alphanumeric character (`[a-z0-9A-Z]`) with dashes (`-`), underscores (`_`), dots (`.`), and alphanumerics between.  The prefix is optional.  If specified, the prefix must be a DNS subdomain: a series of DNS labels separated by dots (`.`), not longer than 253 characters in total, followed by a slash (`/`).
+_Labels_ are key/value pairs. Valid label keys have two segments: an optional prefix and name, separated by a slash (`/`). The name segment is required and must be 63 characters or less, beginning and ending with an alphanumeric character (`[a-z0-9A-Z]`) with dashes (`-`), underscores (`_`), dots (`.`), and alphanumerics between. The prefix is optional. If specified, the prefix must be a DNS subdomain: a series of DNS labels separated by dots (`.`), not longer than 253 characters in total, followed by a slash (`/`).
 
 If the prefix is omitted, the label Key is presumed to be private to the user. Automated system components (e.g. `kube-scheduler`, `kube-controller-manager`, `kube-apiserver`, `kubectl`, or other third-party automation) which add labels to end-user objects must specify a prefix.
 
 The `kubernetes.io/` and `k8s.io/` prefixes are [reserved](/docs/reference/labels-annotations-taints/) for Kubernetes core components.
 -->
-## 语法和字符集
+## 语法和字符集   {#syntax-and-character-set}
 
-_标签_ 是键值对。有效的标签键有两个段：可选的前缀和名称，用斜杠（`/`）分隔。
+**标签**是键值对。有效的标签键有两个段：可选的前缀和名称，用斜杠（`/`）分隔。
 名称段是必需的，必须小于等于 63 个字符，以字母数字字符（`[a-z0-9A-Z]`）开头和结尾，
 带有破折号（`-`），下划线（`_`），点（ `.`）和之间的字母数字。
 前缀是可选的。如果指定，前缀必须是 DNS 子域：由点（`.`）分隔的一系列 DNS 标签，总共不超过 253 个字符，
@@ -111,10 +110,33 @@ Valid label value:
 * 除非标签值为空，必须以字母数字字符（`[a-z0-9A-Z]`）开头和结尾
 * 包含破折号（`-`）、下划线（`_`）、点（`.`）和字母或数字
 
+<!--
+For example, here's the configuration file for a Pod that has two labels `environment: production` and `app: nginx` :
+-->
+例如，这是一个有 `environment: production` 和 `app: nginx` 标签的 Pod 配置文件：
+
+```yaml
+
+apiVersion: v1
+kind: Pod
+metadata:
+  name: label-demo
+  labels:
+    environment: production
+    app: nginx
+spec:
+  containers:
+  - name: nginx
+    image: nginx:1.14.2
+    ports:
+    - containerPort: 80
+
+```
+
 <!--
 ## Label selectors
 
-Unlike [names and UIDs](/docs/user-guide/identifiers), labels do not provide uniqueness. In general, we expect many objects to carry the same label(s).
+Unlike [names and UIDs](/docs/concepts/overview/working-with-objects/names/), labels do not provide uniqueness. In general, we expect many objects to carry the same label(s).
 -->
 ## 标签选择算符   {#label-selectors}
 
@@ -124,15 +146,15 @@ Unlike [names and UIDs](/docs/user-guide/identifiers), labels do not provide uni
 <!--
 Via a _label selector_, the client/user can identify a set of objects. The label selector is the core grouping primitive in Kubernetes.
 -->
-通过 _标签选择算符_，客户端/用户可以识别一组对象。标签选择算符是 Kubernetes 中的核心分组原语。
+通过**标签选择算符**，客户端/用户可以识别一组对象。标签选择算符是 Kubernetes 中的核心分组原语。
 
 <!--
 The API currently supports two types of selectors: _equality-based_ and _set-based_.
 A label selector can be made of multiple _requirements_ which are comma-separated. In the case of multiple requirements, all must be satisfied so the comma separator acts as a logical _AND_ (`&&`) operator.
 -->
-API 目前支持两种类型的选择算符：_基于等值的_ 和 _基于集合的_。
-标签选择算符可以由逗号分隔的多个 _需求_ 组成。
-在多个需求的情况下，必须满足所有要求，因此逗号分隔符充当逻辑 _与_（`&&`）运算符。
+API 目前支持两种类型的选择算符：**基于等值的**和**基于集合的**。
+标签选择算符可以由逗号分隔的多个**需求**组成。
+在多个需求的情况下，必须满足所有要求，因此逗号分隔符充当逻辑**与**（`&&`）运算符。
 
 <!--
 The semantics of empty or non-specified selectors are dependent on the context,
@@ -142,18 +164,18 @@ them.
 空标签选择算符或者未指定的选择算符的语义取决于上下文，
 支持使用选择算符的 API 类别应该将算符的合法性和含义用文档记录下来。
 
+{{< note >}}
 <!--
 For some API types, such as ReplicaSets, the label selectors of two instances must not overlap within a namespace, or the controller can see that as conflicting instructions and fail to determine how many replicas should be present.
 -->
-{{< note >}}
 对于某些 API 类别（例如 ReplicaSet）而言，两个实例的标签选择算符不得在命名空间内重叠，
 否则它们的控制器将互相冲突，无法确定应该存在的副本个数。
 {{< /note >}}
 
+{{< caution >}}
 <!--
 For both equality-based and set-based conditions there is no logical _OR_ (`||`) operator. Ensure your filter statements are structured accordingly.
 -->
-{{< caution >}}
 对于基于等值的和基于集合的条件而言，不存在逻辑或（`||`）操作符。
 你要确保你的过滤语句按合适的方式组织。
 {{< /caution >}}
@@ -162,14 +184,14 @@ For both equality-based and set-based conditions there is no logical _OR_ (`||`)
 ### _Equality-based_ requirement
 
 _Equality-_ or _inequality-based_ requirements allow filtering by label keys and values. Matching objects must satisfy all of the specified label constraints, though they may have additional labels as well.
-Three kinds of operators are admitted `=`,`==`,`!=`. The first two represent _equality_ (and are simply synonyms), while the latter represents _inequality_. For example:
+Three kinds of operators are admitted `=`,`==`,`!=`. The first two represent _equality_ (and are synonyms), while the latter represents _inequality_. For example:
 -->
-### _基于等值的_ 需求
+### **基于等值的**需求
 
-_基于等值_ 或 _基于不等值_ 的需求允许按标签键和值进行过滤。
+**基于等值**或**基于不等值**的需求允许按标签键和值进行过滤。
 匹配对象必须满足所有指定的标签约束，尽管它们也可能具有其他标签。
-可接受的运算符有 `=`、`==` 和 `!=` 三种。 
-前两个表示 _相等_（并且只是同义词），而后者表示 _不相等_。例如：
+可接受的运算符有 `=`、`==` 和 `!=` 三种。
+前两个表示**相等**（并且是同义词），而后者表示**不相等**。例如：
 
 ```
 environment = production
@@ -214,9 +236,9 @@ spec:
 
 _Set-based_ label requirements allow filtering keys according to a set of values. Three kinds of operators are supported: `in`,`notin` and `exists` (only the key identifier). For example:
 -->
-### _基于集合_ 的需求
+### **基于集合**的需求
 
-_基于集合_ 的标签需求允许你通过一组值来过滤键。
+**基于集合**的标签需求允许你通过一组值来过滤键。
 支持三种操作符：`in`、`notin` 和 `exists`（只可以用在键标识符上）。例如：
 
 ```
@@ -240,19 +262,19 @@ Similarly the comma separator acts as an _AND_ operator. So filtering resources
 * 第三个示例选择了所有包含了有 `partition` 标签的资源；没有校验它的值。
 * 第四个示例选择了所有没有 `partition` 标签的资源；没有校验它的值。
 
-类似地，逗号分隔符充当 _与_ 运算符。因此，使用 `partition` 键（无论为何值）和
+类似地，逗号分隔符充当 **与**运算符。因此，使用 `partition` 键（无论为何值）和
 `environment` 不同于 `qa` 来过滤资源可以使用 `partition, environment notin (qa)` 来实现。
 
 <!--
 The _set-based_ label selector is a general form of equality since `environment=production` is equivalent to `environment in (production)`; similarly for `!=` and `notin`.
 -->
-_基于集合_ 的标签选择算符是相等标签选择算符的一般形式，因为 `environment=production`
+**基于集合**的标签选择算符是相等标签选择算符的一般形式，因为 `environment=production`
 等同于 `environment in (production)`；`!=` 和 `notin` 也是类似的。
 
 <!--
 _Set-based_ requirements can be mixed with _equality-based_ requirements. For example: `partition in (customerA, customerB),environment!=qa`.
 -->
-_基于集合_ 的要求可以与基于 _相等_ 的要求混合使用。例如：`partition in (customerA, customerB),environment!=qa`。
+**基于集合**的要求可以与基于**相等**的要求混合使用。例如：`partition in (customerA, customerB),environment!=qa`。
 
 ## API
 
@@ -270,22 +292,24 @@ LIST 和 WATCH 操作可以使用查询参数指定标签选择算符过滤一
 * _equality-based_ requirements: `?labelSelector=environment%3Dproduction,tier%3Dfrontend`
 * _set-based_ requirements: `?labelSelector=environment+in+%28production%2Cqa%29%2Ctier+in+%28frontend%29`
 -->
-* _基于等值_ 的需求：`?labelSelector=environment%3Dproduction,tier%3Dfrontend`
-* _基于集合_ 的需求：`?labelSelector=environment+in+%28production%2Cqa%29%2Ctier+in+%28frontend%29`
+* **基于等值**的需求：`?labelSelector=environment%3Dproduction,tier%3Dfrontend`
+* **基于集合**的需求：`?labelSelector=environment+in+%28production%2Cqa%29%2Ctier+in+%28frontend%29`
 
 <!--
 Both label selector styles can be used to list or watch resources via a REST client. For example, targeting `apiserver` with `kubectl` and using _equality-based_ one may write:
 -->
 两种标签选择算符都可以通过 REST 客户端用于 list 或者 watch 资源。
-例如，使用 `kubectl` 定位 `apiserver`，可以使用 _基于等值_ 的标签选择算符可以这么写：
+例如，使用 `kubectl` 定位 `apiserver`，可以使用**基于等值**的标签选择算符可以这么写：
 
 
 ```shell
 kubectl get pods -l environment=production,tier=frontend
 ```
 
-<!-- or using _set-based_ requirements: -->
-或者使用 _基于集合的_ 需求：
+<!--
+or using _set-based_ requirements:
+-->
+或者使用**基于集合的**需求：
 
 ```shell
 kubectl get pods -l 'environment in (production),tier in (frontend)'
@@ -294,14 +318,16 @@ kubectl get pods -l 'environment in (production),tier in (frontend)'
 <!--
 As already mentioned _set-based_ requirements are more expressive.  For instance, they can implement the _OR_ operator on values:
 -->
-正如刚才提到的，_基于集合_ 的需求更具有表达力。例如，它们可以实现值的 _或_ 操作：
+正如刚才提到的，**基于集合**的需求更具有表达力。例如，它们可以实现值的**或**操作：
 
 ```shell
 kubectl get pods -l 'environment in (production, qa)'
 ```
 
-<!-- or restricting negative matching via _exists_ operator: -->
-或者通过 _exists_ 运算符限制不匹配：
+<!--
+or restricting negative matching via _exists_ operator:
+-->
+或者通过**exists**运算符限制不匹配：
 
 ```shell
 kubectl get pods -l 'environment,environment notin (frontend)'
@@ -318,7 +344,7 @@ also use label selectors to specify sets of other resources, such as
 ### 在 API 对象中设置引用
 
 一些 Kubernetes 对象，例如 [`services`](/zh-cn/docs/concepts/services-networking/service/)
-和 [`replicationcontrollers`](/zh-cn/docs/concepts/workloads/controllers/replicationcontroller/) ，
+和 [`replicationcontrollers`](/zh-cn/docs/concepts/workloads/controllers/replicationcontroller/)，
 也使用了标签选择算符去指定了其他资源的集合，例如
 [pods](/zh-cn/docs/concepts/workloads/pods/)。
 
@@ -335,7 +361,7 @@ Labels selectors for both objects are defined in `json` or `yaml` files using ma
 应该管理的 pods 的数量也是由标签选择算符定义的。
 
 两个对象的标签选择算符都是在 `json` 或者 `yaml` 文件中使用映射定义的，并且只支持
-_基于等值_ 需求的选择算符：
+**基于等值**需求的选择算符：
 
 ```json
 "selector": {
@@ -343,7 +369,9 @@ _基于等值_ 需求的选择算符：
 }
 ```
 
-<!-- or -->
+<!--
+or
+-->
 或者
 
 ```yaml
@@ -359,15 +387,19 @@ this selector (respectively in `json` or `yaml` format) is equivalent to `compon
 <!--
 #### Resources that support set-based requirements
 
-Newer resources, such as [`Job`](/docs/concepts/jobs/run-to-completion-finite-workloads/), [`Deployment`](/docs/concepts/workloads/controllers/deployment/), [`Replica Set`](/docs/concepts/workloads/controllers/replicaset/), and [`Daemon Set`](/docs/concepts/workloads/controllers/daemonset/), support _set-based_ requirements as well.
+Newer resources, such as [`Job`](/docs/concepts/workloads/controllers/job/),
+[`Deployment`](/docs/concepts/workloads/controllers/deployment/),
+[`ReplicaSet`](/docs/concepts/workloads/controllers/replicaset/), and
+[`DaemonSet`](/docs/concepts/workloads/controllers/daemonset/),
+support _set-based_ requirements as well.
 -->
 #### 支持基于集合需求的资源
 
 比较新的资源，例如 [`Job`](/zh-cn/docs/concepts/workloads/controllers/job/)、
 [`Deployment`](/zh-cn/docs/concepts/workloads/controllers/deployment/)、
-[`Replica Set`](/zh-cn/docs/concepts/workloads/controllers/replicaset/) 和
+[`ReplicaSet`](/zh-cn/docs/concepts/workloads/controllers/replicaset/) 和
 [`DaemonSet`](/zh-cn/docs/concepts/workloads/controllers/daemonset/)，
-也支持 _基于集合的_ 需求。
+也支持**基于集合的**需求。
 
 ```yaml
 selector:
@@ -379,7 +411,7 @@ selector:
 ```
 
 <!--
-`matchLabels` is a map of `{key,value}` pairs. A single `{key,value}` in the `matchLabels` map is equivalent to an element of `matchExpressions`, whose `key` field is "key", the `operator` is "In", and the `values` array contains only "value". `matchExpressions` is a list of pod selector requirements. Valid operators include In, NotIn, Exists, and DoesNotExist. The values set must be non-empty in the case of In and NotIn. All of the requirements, from both `matchLabels` and `matchExpressions` are ANDed together - they must all be satisfied in order to match.
+`matchLabels` is a map of `{key,value}` pairs. A single `{key,value}` in the `matchLabels` map is equivalent to an element of `matchExpressions`, whose `key` field is "key", the `operator` is "In", and the `values` array contains only "value". `matchExpressions` is a list of pod selector requirements. Valid operators include In, NotIn, Exists, and DoesNotExist. The values set must be non-empty in the case of In and NotIn. All of the requirements, from both `matchLabels` and `matchExpressions` are ANDed together -- they must all be satisfied in order to match.
 -->
 
 `matchLabels` 是由 `{key,value}` 对组成的映射。
@@ -395,10 +427,9 @@ selector:
 #### Selecting sets of nodes
 
 One use case for selecting over labels is to constrain the set of nodes onto which a pod can schedule.
-See the documentation on [node selection](/docs/concepts/configuration/assign-pod-node/) for more information.
+See the documentation on [node selection](/docs/concepts/scheduling-eviction/assign-pod-node/) for more information.
 -->
 #### 选择节点集
 
 通过标签进行选择的一个用例是确定节点集，方便 Pod 调度。
 有关更多信息，请参阅[选择节点](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)文档。
-
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/names.md b/content/zh-cn/docs/concepts/overview/working-with-objects/names.md
index 91eb3548105..a6f27bd406a 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/names.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/names.md
@@ -3,6 +3,14 @@ title: 对象名称和 IDs
 content_type: concept
 weight: 20
 ---
+<!--
+reviewers:
+- mikedanese
+- thockin
+title: Object Names and IDs
+content_type: concept
+weight: 20
+-->
 
 <!-- overview -->
 
@@ -13,18 +21,18 @@ Every Kubernetes object also has a [_UID_](#uids) that is unique across your who
 For example, you can only have one Pod named `myapp-1234` within the same [namespace](/docs/concepts/overview/working-with-objects/namespaces/), but you can have one Pod and one Deployment that are each named `myapp-1234`.
 -->
 
-集群中的每一个对象都有一个[_名称_](#names)来标识在同类资源中的唯一性。
+集群中的每一个对象都有一个[**名称**]（#names）来标识在同类资源中的唯一性。
 
-每个 Kubernetes 对象也有一个 [_UID_](#uids) 来标识在整个集群中的唯一性。
+每个 Kubernetes 对象也有一个 [**UID**]（#uids）来标识在整个集群中的唯一性。
 
 比如，在同一个[名字空间](/zh-cn/docs/concepts/overview/working-with-objects/namespaces/)
 中有一个名为 `myapp-1234` 的 Pod，但是可以命名一个 Pod 和一个 Deployment 同为 `myapp-1234`。
 
 <!--
-For non-unique user-provided attributes, Kubernetes provides [labels](/docs/user-guide/labels) and [annotations](/docs/concepts/overview/working-with-objects/annotations/).
+For non-unique user-provided attributes, Kubernetes provides [labels](/docs/concepts/overview/working-with-objects/labels/) and [annotations](/docs/concepts/overview/working-with-objects/annotations/).
 -->
 对于用户提供的非唯一性的属性，Kubernetes 提供了
-[标签（Labels）](/zh-cn/docs/concepts/working-with-objects/labels)和
+[标签（Labels）](/zh-cn/docs/concepts/overview/working-with-objects/labels/)和
 [注解（Annotation）](/zh-cn/docs/concepts/overview/working-with-objects/annotations/)机制。
 
 <!-- body -->
@@ -75,7 +83,7 @@ DNS 子域名的定义可参见 [RFC 1123](https://tools.ietf.org/html/rfc1123)
 - 必须以字母数字结尾
 
 <!--
-### DNS Label Names
+### RFC 1123 Label Names {#dns-label-names}
 
 Some resource types require their names to follow the DNS
 label standard as defined in [RFC 1123](https://tools.ietf.org/html/rfc1123).
@@ -132,7 +140,7 @@ not contain "/" or "%".
 换句话说，其名称不能是 `.`、`..`，也不可以包含 `/` 或 `%` 这些字符。
 
 <!--
-Here’s an example manifest for a Pod named `nginx-demo`.
+Here's an example manifest for a Pod named `nginx-demo`.
 -->
 下面是一个名为 `nginx-demo` 的 Pod 的配置清单：
 
@@ -149,10 +157,10 @@ spec:
     - containerPort: 80
 ```
 
+{{< note >}}
 <!--
 Some resource types have additional restrictions on their names.
 -->
-{{< note >}}
 某些资源类型可能具有额外的命名约束。
 {{< /note >}}
 
@@ -164,16 +172,14 @@ Some resource types have additional restrictions on their names.
 Kubernetes UIDs are universally unique identifiers (also known as UUIDs).
 UUIDs are standardized as ISO/IEC 9834-8 and as ITU-T X.667.
 -->
-Kubernetes UIDs 是全局唯一标识符（也叫 UUIDs）。
+Kubernetes UID 是全局唯一标识符（也叫 UUIDs）。
 UUIDs 是标准化的，见 ISO/IEC 9834-8 和 ITU-T X.667。
 
 ## {{% heading "whatsnext" %}}
 
 <!--
 * Read about [labels](/docs/concepts/overview/working-with-objects/labels/) in Kubernetes.
-* See the [Identifiers and Names in Kubernetes](https://git.k8s.io/community/contributors/design-proposals/architecture/identifiers.md) design document.
+* See the [Identifiers and Names in Kubernetes](https://git.k8s.io/design-proposals-archive/architecture/identifiers.md) design document.
 -->
 * 进一步了解 Kubernetes [标签](/zh-cn/docs/concepts/overview/working-with-objects/labels/)
-* 参阅 [Kubernetes 标识符和名称](https://git.k8s.io/community/contributors/design-proposals/architecture/identifiers.md)的设计文档
-
-
+* 参阅 [Kubernetes 标识符和名称](https://git.k8s.io/design-proposals-archive/architecture/identifiers.md)的设计文档
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/namespaces.md b/content/zh-cn/docs/concepts/overview/working-with-objects/namespaces.md
index 46c3f35ac92..83cc8329abe 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/namespaces.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/namespaces.md
@@ -18,7 +18,7 @@ weight: 30
 <!--
 In Kubernetes, _namespaces_ provides a mechanism for isolating groups of resources within a single cluster. Names of resources need to be unique within a namespace, but not across namespaces. Namespace-based scoping is applicable only for namespaced objects _(e.g. Deployments, Services, etc)_ and not for cluster-wide objects _(e.g. StorageClass, Nodes, PersistentVolumes, etc)_.
 -->
-在 Kubernetes 中，“名字空间（Namespace）”提供一种机制，将同一集群中的资源划分为相互隔离的组。
+在 Kubernetes 中，**名字空间（Namespace）**提供一种机制，将同一集群中的资源划分为相互隔离的组。
 同一名字空间内的资源名称要唯一，但跨名字空间时没有这个要求。
 名字空间作用域仅针对带有名字空间的对象，例如 Deployment、Service 等，
 这种作用域对集群访问的对象不适用，例如 StorageClass、Node、PersistentVolume 等。
@@ -28,7 +28,7 @@ In Kubernetes, _namespaces_ provides a mechanism for isolating groups of resourc
 <!--
 ## When to Use Multiple Namespaces
 -->
-## 何时使用多个名字空间
+## 何时使用多个名字空间    {#when-to-use-multiple-namespaces}
 
 <!--
 Namespaces are intended for use in environments with many users spread across multiple
@@ -64,10 +64,10 @@ resources within the same namespace.
 <!--
 ## Working with Namespaces
 
-Creation and deletion of namespaces are described in the [Admin Guide documentation
-for namespaces](/docs/tasks/administer-cluster/namespaces/).
+Creation and deletion of namespaces are described in the
+[Admin Guide documentation for namespaces](/docs/tasks/administer-cluster/namespaces).
 -->
-## 使用名字空间
+## 使用名字空间    {#working-with-namespaces}
 
 名字空间的创建和删除在[名字空间的管理指南文档](/zh-cn/docs/tasks/administer-cluster/namespaces/)描述。
 
@@ -83,7 +83,7 @@ Avoid creating namespaces with the prefix `kube-`, since it is reserved for Kube
 
 You can list the current namespaces in a cluster using:
 -->
-### 查看名字空间
+### 查看名字空间    {#viewing-namespaces}
 
 你可以使用以下命令列出集群中现存的名字空间：
 
@@ -123,11 +123,11 @@ Kubernetes 会创建四个初始名字空间：
 <!--
 ### Setting the namespace for a request
 
-To set the namespace for a current request, use the `-namespace` flag.
+To set the namespace for a current request, use the `--namespace` flag.
 
 For example:
 -->
-### 为请求设置名字空间
+### 为请求设置名字空间    {#setting-the-namespace-for-a-request}
 
 要为当前请求设置名字空间，请使用 `--namespace` 参数。
 
@@ -144,22 +144,23 @@ kubectl get pods --namespace=<名字空间名称>
 You can permanently save the namespace for all subsequent kubectl commands in that
 context.
 -->
-### 设置名字空间偏好
+### 设置名字空间偏好    {#setting-the-namespace-preference}
 
 你可以永久保存名字空间，以用于对应上下文中所有后续 kubectl 命令。
 
 ```shell
 kubectl config set-context --current --namespace=<名字空间名称>
 # 验证
-kubectl config view | grep namespace:
+kubectl config view --minify | grep namespace:
 ```
 
 <!--
 ## Namespaces and DNS
 
-When you create a [Service](/docs/user-guide/services), it creates a corresponding [DNS entry](/docs/concepts/services-networking/dns-pod-service/).
+When you create a [Service](/docs/concepts/services-networking/service/),
+it creates a corresponding [DNS entry](/docs/concepts/services-networking/dns-pod-service/).
 -->
-## 名字空间和 DNS
+## 名字空间和 DNS   {#namespaces-and-dns}
 
 当你创建一个[服务](/zh-cn/docs/concepts/services-networking/service/)时，
 Kubernetes 会创建一个相应的 [DNS 条目](/zh-cn/docs/concepts/services-networking/dns-pod-service/)。
@@ -214,12 +215,13 @@ TLDs](https://data.iana.org/TLD/tlds-alpha-by-domain.txt).
 <!--
 ## Not All Objects are in a Namespace
 -->
-## 并非所有对象都在名字空间中
+## 并非所有对象都在名字空间中    {#not-all-objects-are-in-a-namespace}
 
 <!--
 Most Kubernetes resources (e.g. pods, services, replication controllers, and others) are
 in some namespaces.  However namespace resources are not themselves in a namespace.
-And low-level resources, such as [nodes](/docs/concepts/architecture/nodes/) and
+And low-level resources, such as
+[nodes](/docs/concepts/architecture/nodes/) and
 persistentVolumes, are not in any namespace.
 -->
 大多数 kubernetes 资源（例如 Pod、Service、副本控制器等）都位于某些名字空间中。
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/object-management.md b/content/zh-cn/docs/concepts/overview/working-with-objects/object-management.md
index 47c758d2672..d3dd367df76 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/object-management.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/object-management.md
@@ -318,18 +318,18 @@ Disadvantages compared to imperative object configuration:
 
 <!--
 - [Managing Kubernetes Objects Using Imperative Commands](/docs/tasks/manage-kubernetes-objects/imperative-command/)
-- [Managing Kubernetes Objects Using Object Configuration (Imperative)](/docs/tasks/manage-kubernetes-objects/imperative-config/)
-- [Managing Kubernetes Objects Using Object Configuration (Declarative)](/docs/tasks/manage-kubernetes-objects/declarative-config/)
-- [Managing Kubernetes Objects Using Kustomize (Declarative)](/docs/tasks/manage-kubernetes-objects/kustomization/)
+- [Imperative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/imperative-config/)
+- [Declarative Management of Kubernetes Objects Using Configuration Files](/docs/tasks/manage-kubernetes-objects/declarative-config/)
+- [Declarative Management of Kubernetes Objects Using Kustomize](/docs/tasks/manage-kubernetes-objects/kustomization/)
 - [Kubectl Command Reference](/docs/reference/generated/kubectl/kubectl-commands/)
 - [Kubectl Book](https://kubectl.docs.kubernetes.io)
 - [Kubernetes API Reference](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)
 -->
 - [使用指令式命令管理 Kubernetes 对象](/zh-cn/docs/tasks/manage-kubernetes-objects/imperative-command/)
-- [使用对象配置管理 Kubernetes 对象（指令式）](/zh-cn/docs/tasks/manage-kubernetes-objects/imperative-config/)
-- [使用对象配置管理 Kubernetes 对象（声明式）](/zh-cn/docs/tasks/manage-kubernetes-objects/declarative-config/)
-- [使用 Kustomize（声明式）管理 Kubernetes 对象](/zh-cn/docs/tasks/manage-kubernetes-objects/kustomization/)
+- [使用配置文件对 Kubernetes 对象进行命令式管理](/zh-cn/docs/tasks/manage-kubernetes-objects/imperative-config/)
+- [使用配置文件对 Kubernetes 对象进行声明式管理](/zh-cn/docs/tasks/manage-kubernetes-objects/declarative-config/)
+- [使用 Kustomize 对 Kubernetes 对象进行声明式管理](/zh-cn/docs/tasks/manage-kubernetes-objects/kustomization/)
 - [Kubectl 命令参考](/docs/reference/generated/kubectl/kubectl-commands/)
-- [Kubectl Book](https://kubectl.docs.kubernetes.io)
+- [Kubectl Book](https://kubectl.docs.kubernetes.io/zh/)
 - [Kubernetes API 参考](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)
 
diff --git a/content/zh-cn/docs/concepts/overview/working-with-objects/owners-dependents.md b/content/zh-cn/docs/concepts/overview/working-with-objects/owners-dependents.md
index a02810877f3..5ae4b8dddc2 100644
--- a/content/zh-cn/docs/concepts/overview/working-with-objects/owners-dependents.md
+++ b/content/zh-cn/docs/concepts/overview/working-with-objects/owners-dependents.md
@@ -11,7 +11,6 @@ weight: 60
 
 <!-- overview -->
 
-
 <!-- 
 In Kubernetes, some objects are *owners* of other objects. For example, a
 {{<glossary_tooltip text="ReplicaSet" term_id="replica-set">}} is the owner of a set of Pods. These owned objects are *dependents*
@@ -79,6 +78,9 @@ prevents unauthorized users from delaying owner object deletion.
 `blockOwnerDeletion` 的值为 `true`。
 你也可以手动设置 `blockOwnerDeletion` 字段的值，以控制哪些附属对象会阻止垃圾收集。
 
+Kubernetes 准入控制器根据属主的删除权限控制用户访问，以便为附属资源更改此字段。
+这种控制机制可防止未经授权的用户延迟属主对象的删除。
+
 {{< note >}}
 <!--
 Cross-namespace owner references are disallowed by design.
@@ -111,7 +113,7 @@ You can check for that kind of Event by running
 或者一个集群范围的附属指定了一个名字空间范围类型的属主，
 那么它就会报告一个警告事件。该事件的原因是 `OwnerRefInvalidNamespace`，
 `involvedObject` 属性中包含无效的附属。
-你可以运行 `kubectl get events -A --field-selector=reason=OwnerRefInvalidNamespace` 
+你可以运行 `kubectl get events -A --field-selector=reason=OwnerRefInvalidNamespace`
 来获取该类型的事件。
 {{< /note >}}
 
@@ -131,9 +133,9 @@ bound to a Pod.
 -->
 ## 属主关系与 Finalizer   {#ownership-and-finalizers}
 
-当你告诉 Kubernetes 删除一个资源，API 服务器允许管理控制器处理该资源的任何 
+当你告诉 Kubernetes 删除一个资源，API 服务器允许管理控制器处理该资源的任何
 [Finalizer 规则](/zh-cn/docs/concepts/overview/working-with-objects/finalizers/)。
-{{<glossary_tooltip text="Finalizer" term_id="finalizer">}} 
+{{<glossary_tooltip text="Finalizer" term_id="finalizer">}}
 防止意外删除你的集群所依赖的、用于正常运作的资源。
 例如，如果你试图删除一个仍被 Pod 使用的 `PersistentVolume`，该资源不会被立即删除，
 因为 `PersistentVolume` 有 `kubernetes.io/pv-protection` Finalizer。
@@ -152,7 +154,7 @@ object.
 -->
 当你使用[前台或孤立级联删除](/zh-cn/docs/concepts/architecture/garbage-collection/#cascading-deletion)时，
 Kubernetes 也会向属主资源添加 Finalizer。
-在前台删除中，会添加 `foreground` Finalizer，这样控制器必须在删除了拥有 
+在前台删除中，会添加 `foreground` Finalizer，这样控制器必须在删除了拥有
 `ownerReferences.blockOwnerDeletion=true` 的附属资源后，才能删除属主对象。
 如果你指定了孤立删除策略，Kubernetes 会添加 `orphan` Finalizer，
 这样控制器在删除属主对象后，会忽略附属资源。
@@ -166,4 +168,4 @@ Kubernetes 也会向属主资源添加 Finalizer。
 -->
 * 了解更多关于 [Kubernetes Finalizer](/zh-cn/docs/concepts/overview/working-with-objects/finalizers/)。
 * 了解关于[垃圾收集](/zh-cn/docs/concepts/architecture/garbage-collection)。
-* 阅读[对象元数据](/docs/reference/kubernetes-api/common-definitions/object-meta/#System)的 API 参考文档。
+* 阅读[对象元数据](/zh-cn/docs/reference/kubernetes-api/common-definitions/object-meta/#System)的 API 参考文档。
diff --git a/content/zh-cn/docs/concepts/policy/limit-range.md b/content/zh-cn/docs/concepts/policy/limit-range.md
index da2560b6a0b..3eb7f7eee6d 100644
--- a/content/zh-cn/docs/concepts/policy/limit-range.md
+++ b/content/zh-cn/docs/concepts/policy/limit-range.md
@@ -28,7 +28,7 @@ A _LimitRange_ provides constraints that can:
 - Set default request/limit for compute resources in a namespace and automatically inject them to Containers at runtime.
 -->
 
-一个 _LimitRange（限制范围）_ 对象提供的限制能够做到：
+一个 **LimitRange（限制范围）** 对象提供的限制能够做到：
 
 - 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。
 - 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。
@@ -40,13 +40,14 @@ A _LimitRange_ provides constraints that can:
 
 LimitRange support has been enabled by default since Kubernetes 1.10.
 
-LimitRange support is enabled by default for many Kubernetes distributions.
+A LimitRange is enforced in a particular namespace when there is a
+LimitRange object in that namespace.
 -->
 ## 启用 LimitRange
 
 对 LimitRange 的支持自 Kubernetes 1.10 版本默认启用。
 
-LimitRange 支持在很多 Kubernetes 发行版本中也是默认启用的。
+当某命名空间中有一个 LimitRange 对象时，将在该命名空间中实施 LimitRange 限制。
 
 <!--
 The name of a LimitRange object must be a valid
@@ -58,7 +59,7 @@ LimitRange 的名称必须是合法的
 <!--
 ### Overview of Limit Range
 
-- The administrator creates one `LimitRange` in one namespace.
+- The administrator creates one LimitRange in one namespace.
 - Users create resources like Pods, Containers, and PersistentVolumeClaims in the namespace.
 - The `LimitRanger` admission controller enforces defaults and limits for all Pods and Containers that do not set compute resource requirements and tracks usage to ensure it does not exceed resource minimum, maximum and ratio defined in any LimitRange present in the namespace.
 - If creating or updating a resource (Pod, Container, PersistentVolumeClaim) that violates a LimitRange constraint, the request to the API server will fail with an HTTP status code `403 FORBIDDEN` and a message explaining the constraint that have been violated.
@@ -106,21 +107,21 @@ Neither contention nor changes to a LimitRange will affect already created resou
 ## {{% heading "whatsnext" %}}
 
 <!--
-See [LimitRanger design doc](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_limit_range.md) for more information.
+Refer to the [LimitRanger design document](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_limit_range.md) for more information.
 -->
-参阅 [LimitRanger 设计文档](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_limit_range.md)获取更多信息。
+参阅 [LimitRanger 设计文档](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_limit_range.md)获取更多信息。
 
 <!--
 For examples on using limits, see:
 
-- See [how to configure minimum and maximum CPU constraints per namespace](/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace/).
-- See [how to configure minimum and maximum Memory constraints per namespace](/docs/tasks/administer-cluster/manage-resources/memory-constraint-namespace/).
-- See [how to configure default CPU Requests and Limits per namespace](/docs/tasks/administer-cluster/manage-resources/cpu-default-namespace/).
-- See [how to configure default Memory Requests and Limits per namespace](/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/).
-- Check [how to configure minimum and maximum Storage consumption per namespace](/docs/tasks/administer-cluster/limit-storage-consumption/#limitrange-to-limit-requests-for-storage).
-- See a [detailed example on configuring quota per namespace](/docs/tasks/administer-cluster/quota-memory-cpu-namespace/).
+- [how to configure minimum and maximum CPU constraints per namespace](/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace/).
+- [how to configure minimum and maximum Memory constraints per namespace](/docs/tasks/administer-cluster/manage-resources/memory-constraint-namespace/).
+- [how to configure default CPU Requests and Limits per namespace](/docs/tasks/administer-cluster/manage-resources/cpu-default-namespace/).
+- [how to configure default Memory Requests and Limits per namespace](/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/).
+- [how to configure minimum and maximum Storage consumption per namespace](/docs/tasks/administer-cluster/limit-storage-consumption/#limitrange-to-limit-requests-for-storage).
+- a [detailed example on configuring quota per namespace](/docs/tasks/administer-cluster/manage-resources/quota-memory-cpu-namespace/).
 -->
-关于使用限值的例子，可参看
+关于使用限值的例子，可参阅：
 
 - [如何配置每个命名空间最小和最大的 CPU 约束](/zh-cn/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace/)。
 - [如何配置每个命名空间最小和最大的内存约束](/zh-cn/docs/tasks/administer-cluster/manage-resources/memory-constraint-namespace/)。
diff --git a/content/zh-cn/docs/concepts/policy/resource-quotas.md b/content/zh-cn/docs/concepts/policy/resource-quotas.md
index 75498e16b82..ede0a5f27ef 100644
--- a/content/zh-cn/docs/concepts/policy/resource-quotas.md
+++ b/content/zh-cn/docs/concepts/policy/resource-quotas.md
@@ -33,7 +33,7 @@ be created in a namespace by type, as well as the total amount of compute resour
 be consumed by resources in that namespace.
 -->
 资源配额，通过 `ResourceQuota` 对象来定义，对每个命名空间的资源消耗总量提供限制。
-它可以限制命名空间中某种类型的对象的总数目上限，也可以限制命令空间中的 Pod 可以使用的计算资源的总上限。
+它可以限制命名空间中某种类型的对象的总数目上限，也可以限制命名空间中的 Pod 可以使用的计算资源的总上限。
 
 <!--
 Resource quotas work like this:
@@ -52,14 +52,15 @@ Resource quotas work like this:
   the `LimitRanger` admission controller to force defaults for pods that make no compute resource requirements.
   See the [walkthrough](/docs/tasks/administer-cluster/quota-memory-cpu-namespace/) for an example of how to avoid this problem.
 -->
-- 不同的团队可以在不同的命名空间下工作。这可以通过 [RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/) 强制执行。
+- 不同的团队可以在不同的命名空间下工作。这可以通过
+  [RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/) 强制执行。
 - 集群管理员可以为每个命名空间创建一个或多个 ResourceQuota 对象。
-- 当用户在命名空间下创建资源（如 Pod、Service 等）时，Kubernetes 的配额系统会
-  跟踪集群的资源使用情况，以确保使用的资源用量不超过 ResourceQuota 中定义的硬性资源限额。
+- 当用户在命名空间下创建资源（如 Pod、Service 等）时，Kubernetes 的配额系统会跟踪集群的资源使用情况，
+  以确保使用的资源用量不超过 ResourceQuota 中定义的硬性资源限额。
 - 如果资源创建或者更新请求违反了配额约束，那么该请求会报错（HTTP 403 FORBIDDEN），
   并在消息中给出有可能违反的约束。
-- 如果命名空间下的计算资源 （如 `cpu` 和 `memory`）的配额被启用，则用户必须为
-  这些资源设定请求值（request）和约束值（limit），否则配额系统将拒绝 Pod 的创建。
+- 如果命名空间下的计算资源 （如 `cpu` 和 `memory`）的配额被启用，
+  则用户必须为这些资源设定请求值（request）和约束值（limit），否则配额系统将拒绝 Pod 的创建。
   提示: 可使用 `LimitRanger` 准入控制器来为没有设置计算资源需求的 Pod 设置默认值。
   
   若想避免这类问题，请参考
@@ -161,7 +162,7 @@ The following resource types are supported:
 ### Resource Quota For Extended Resources
 
 In addition to the resources mentioned above, in release 1.10, quota support for
-[extended resources](/docs/concepts/configuration/manage-compute-resources-container/#extended-resources) is added.
+[extended resources](/docs/concepts/configuration/manage-resources-containers/#extended-resources) is added.
 -->
 ### 扩展资源的资源配额
 
@@ -316,12 +317,9 @@ Job 而导致集群拒绝服务。
 
 <!--
 It is possible to do generic object count quota on a limited set of resources.
-In addition, it is possible to further constrain quota for particular resources by their type.
-
 The following types are supported:
 -->
 对有限的一组资源上实施一般性的对象数量配额也是可能的。
-此外，还可以进一步按资源的类型设置其配额。
 
 支持以下类型：
 
@@ -466,10 +464,10 @@ one value. For example:
 ```
 
 <!--
-If the `operator` is `Exists` or `DoesNotExist`, the `values field must *NOT* be
+If the `operator` is `Exists` or `DoesNotExist`, the `values` field must *NOT* be
 specified.
 -->
-如果 `operator` 为 `Exists` 或 `DoesNotExist`，则*不*可以设置 `values` 字段。
+如果 `operator` 为 `Exists` 或 `DoesNotExist`，则**不**可以设置 `values` 字段。
 
 <!--
 ### Resource Quota Per PriorityClass
@@ -495,8 +493,8 @@ A quota is matched and consumed only if `scopeSelector` in the quota spec select
 When quota is scoped for priority class using `scopeSelector` field, quota object
 is restricted to track only following resources:
 -->
-如果配额对象通过 `scopeSelector` 字段设置其作用域为优先级类，则配额对象只能
-跟踪以下资源：
+如果配额对象通过 `scopeSelector` 字段设置其作用域为优先级类，
+则配额对象只能跟踪以下资源：
 
 * `pods`
 * `cpu`
@@ -713,27 +711,27 @@ Operators can use `CrossNamespacePodAffinity` quota scope to limit which namespa
 have pods with affinity terms that cross namespaces. Specifically, it controls which pods are allowed
 to set `namespaces` or `namespaceSelector` fields in pod affinity terms.
 -->
-集群运维人员可以使用 `CrossNamespacePodAffinity` 配额作用域来
-限制哪个名字空间中可以存在包含跨名字空间亲和性规则的 Pod。
-更为具体一点，此作用域用来配置哪些 Pod 可以在其 Pod 亲和性规则
-中设置 `namespaces` 或 `namespaceSelector` 字段。
+集群运维人员可以使用 `CrossNamespacePodAffinity`
+配额作用域来限制哪个名字空间中可以存在包含跨名字空间亲和性规则的 Pod。
+更为具体一点，此作用域用来配置哪些 Pod 可以在其 Pod 亲和性规则中设置
+`namespaces` 或 `namespaceSelector` 字段。
 
 <!--
 Preventing users from using cross-namespace affinity terms might be desired since a pod
 with anti-affinity constraints can block pods from all other namespaces 
 from getting scheduled in a failure domain. 
 -->
-禁止用户使用跨名字空间的亲和性规则可能是一种被需要的能力，因为带有
-反亲和性约束的 Pod 可能会阻止所有其他名字空间的 Pod 被调度到某失效域中。
+禁止用户使用跨名字空间的亲和性规则可能是一种被需要的能力，
+因为带有反亲和性约束的 Pod 可能会阻止所有其他名字空间的 Pod 被调度到某失效域中。
 
 <!--
 Using this scope operators can prevent certain namespaces (`foo-ns` in the example below) 
 from having pods that use cross-namespace pod affinity by creating a resource quota object in
 that namespace with `CrossNamespaceAffinity` scope and hard limit of 0:
 -->
-使用此作用域操作符可以避免某些名字空间（例如下面例子中的 `foo-ns`）运行
-特别的 Pod，这类 Pod 使用跨名字空间的 Pod 亲和性约束，在该名字空间中创建
-了作用域为 `CrossNamespaceAffinity` 的、硬性约束为 0 的资源配额对象。
+使用此作用域操作符可以避免某些名字空间（例如下面例子中的 `foo-ns`）运行特别的 Pod，
+这类 Pod 使用跨名字空间的 Pod 亲和性约束，在该名字空间中创建了作用域为
+`CrossNamespaceAffinity` 的、硬性约束为 0 的资源配额对象。
 
 ```yaml
 apiVersion: v1
@@ -752,12 +750,12 @@ spec:
 <!--
 If operators want to disallow using `namespaces` and `namespaceSelector` by default, and 
 only allow it for specific namespaces, they could configure `CrossNamespaceAffinity` 
-as a limited resource by setting the kube-apiserver flag -admission-control-config-file
+as a limited resource by setting the kube-apiserver flag --admission-control-config-file
 to the path of the following configuration file:
 -->
-如果集群运维人员希望默认禁止使用 `namespaces` 和 `namespaceSelector`，而
-仅仅允许在特定名字空间中这样做，他们可以将 `CrossNamespaceAffinity` 作为一个
-被约束的资源。方法是为 `kube-apiserver` 设置标志
+如果集群运维人员希望默认禁止使用 `namespaces` 和 `namespaceSelector`，
+而仅仅允许在特定名字空间中这样做，他们可以将 `CrossNamespaceAffinity`
+作为一个被约束的资源。方法是为 `kube-apiserver` 设置标志
 `--admission-control-config-file`，使之指向如下的配置文件：
 
 ```yaml
@@ -779,8 +777,8 @@ With the above configuration, pods can use `namespaces` and `namespaceSelector`
 if the namespace where they are created have a resource quota object with 
 `CrossNamespaceAffinity` scope and a hard limit greater than or equal to the number of pods using those fields.
 -->
-基于上面的配置，只有名字空间中包含作用域为 `CrossNamespaceAffinity` 且
-硬性约束大于或等于使用 `namespaces` 和 `namespaceSelector` 字段的 Pods
+基于上面的配置，只有名字空间中包含作用域为 `CrossNamespaceAffinity`
+且硬性约束大于或等于使用 `namespaces` 和 `namespaceSelector` 字段的 Pod
 个数时，才可以在该名字空间中继续创建在其 Pod 亲和性规则中设置 `namespaces`
 或 `namespaceSelector` 的新 Pod。
 
@@ -987,18 +985,18 @@ should be allowed in a namespace, if and only if, a matching quota object exists
 （例如 "cluster-services"）的 Pod。
 
 <!--
-With this mechanism, operators will be able to restrict usage of certain high
+With this mechanism, operators are able to restrict usage of certain high
 priority classes to a limited number of namespaces and not every namespace
 will be able to consume these priority classes by default.
 -->
-通过这种机制，操作人员能够将限制某些高优先级类仅出现在有限数量的命名空间中，
+通过这种机制，操作人员能够限制某些高优先级类仅出现在有限数量的命名空间中，
 而并非每个命名空间默认情况下都能够使用这些优先级类。
 
 <!--
-To enforce this, kube-apiserver flag `-admission-control-config-file` should be
+To enforce this, `kube-apiserver` flag `--admission-control-config-file` should be
 used to pass path to the following configuration file:
 -->
-要实现此目的，应设置 kube-apiserver 的标志 `--admission-control-config-file` 
+要实现此目的，应设置 `kube-apiserver` 的标志 `--admission-control-config-file` 
 指向如下配置文件：
 
 ```yaml
@@ -1057,14 +1055,13 @@ and it is to be created in a namespace other than `kube-system`.
 ## {{% heading "whatsnext" %}}
 
 <!--
-- See [ResourceQuota design doc](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_resource_quota.md) for more information.
+- See [ResourceQuota design doc](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_resource_quota.md) for more information.
 - See a [detailed example for how to use resource quota](/docs/tasks/administer-cluster/quota-api-object/).
-- Read [Quota support for priority class design doc](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/scheduling/pod-priority-resourcequota.md).
+- Read [Quota support for priority class design doc](https://git.k8s.io/design-proposals-archive/scheduling/pod-priority-resourcequota.md).
 - See [LimitedResources](https://github.com/kubernetes/kubernetes/pull/36765)
 -->
-- 查看[资源配额设计文档](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_resource_quota.md)
-- 查看[如何使用资源配额的详细示例](/zh-cn/docs/tasks/administer-cluster/quota-api-object/)。
-- 阅读[优先级类配额支持的设计文档](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/scheduling/pod-priority-resourcequota.md)。
-  了解更多信息。
-- 参阅 [LimitedResources](https://github.com/kubernetes/kubernetes/pull/36765)
+- 参阅[资源配额设计文档](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_resource_quota.md)。
+- 参阅[如何使用资源配额的详细示例](/zh-cn/docs/tasks/administer-cluster/quota-api-object/)。
+- 参阅[优先级类配额支持的设计文档](https://git.k8s.io/design-proposals-archive/scheduling/pod-priority-resourcequota.md)了解更多信息。
+- 参阅 [LimitedResources](https://github.com/kubernetes/kubernetes/pull/36765)。
 
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/_index.md b/content/zh-cn/docs/concepts/scheduling-eviction/_index.md
index 3919a6cfa07..f90a06410f8 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/_index.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/_index.md
@@ -1,11 +1,11 @@
 ---
-title: 调度，抢占和驱逐
+title: 调度、抢占和驱逐
 weight: 90
 content_type: concept
 description: >
-  在Kubernetes中，调度 (scheduling) 指的是确保 Pods 匹配到合适的节点，
-  以便 kubelet 能够运行它们。抢占 (Preemption) 指的是终止低优先级的 Pods 以便高优先级的 Pods 可以
-  调度运行的过程。驱逐 (Eviction) 是在资源匮乏的节点上，主动让一个或多个 Pods 失效的过程。
+  在 Kubernetes 中，调度 (scheduling) 指的是确保 Pod 匹配到合适的节点，
+  以便 kubelet 能够运行它们。抢占 (Preemption) 指的是终止低优先级的 Pod 以便高优先级的 Pod
+  可以调度运行的过程。驱逐 (Eviction) 是在资源匮乏的节点上，主动让一个或多个 Pod 失效的过程。
 no_list: true
 ---
 
@@ -15,8 +15,8 @@ weight: 90
 content_type: concept
 description: >
   In Kubernetes, scheduling refers to making sure that Pods are matched to Nodes
-  so that the kubelet can run them. Preemption is the process of terminating
-  Pods with lower Priority so that Pods with higher Priority can schedule on
+  so that the kubelet can run them. Preemption is the process of terminating 
+  Pods with lower Priority so that Pods with higher Priority can schedule on 
   Nodes. Eviction is the process of proactively terminating one or more Pods on
   resource-starved Nodes.
 no_list: true
@@ -30,23 +30,49 @@ is the process of terminating Pods with lower {{<glossary_tooltip text="Priority
 so that Pods with higher Priority can schedule on Nodes. Eviction is the process
 of terminating one or more Pods on Nodes.
 -->
+在 Kubernetes 中，调度 (scheduling) 指的是确保 {{<glossary_tooltip text="Pod" term_id="pod">}}
+匹配到合适的{{<glossary_tooltip text="节点" term_id="node">}}，
+以便 {{<glossary_tooltip text="kubelet" term_id="kubelet">}} 能够运行它们。
+抢占 (Preemption) 指的是终止低{{<glossary_tooltip text="优先级" term_id="pod-priority">}}的 Pod
+以便高优先级的 Pod 可以调度运行的过程。
+驱逐 (Eviction) 是在资源匮乏的节点上，主动让一个或多个 Pod 失效的过程。
 
-<!-- ## Scheduling -->
+<!--
+## Scheduling
+
+* [Kubernetes Scheduler](/docs/concepts/scheduling-eviction/kube-scheduler/)
+* [Assigning Pods to Nodes](/docs/concepts/scheduling-eviction/assign-pod-node/)
+* [Pod Overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
+* [Pod Topology Spread Constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+* [Taints and Tolerations](/docs/concepts/scheduling-eviction/taint-and-toleration/)
+* [Scheduling Framework](/docs/concepts/scheduling-eviction/scheduling-framework)
+* [Scheduler Performance Tuning](/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
+* [Resource Bin Packing for Extended Resources](/docs/concepts/scheduling-eviction/resource-bin-packing/)
+-->
 
 ## 调度
 
 * [Kubernetes 调度器](/zh-cn/docs/concepts/scheduling-eviction/kube-scheduler/)
-* [将 Pods 指派到节点](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)
+* [将 Pod 指派到节点](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)
 * [Pod 开销](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)
-* [污点和容忍](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)
+* [Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+* [污点和容忍度](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)
 * [调度框架](/zh-cn/docs/concepts/scheduling-eviction/scheduling-framework)
-* [调度器的性能调试](/zh-cn/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
+* [调度器性能调试](/zh-cn/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
 * [扩展资源的资源装箱](/zh-cn/docs/concepts/scheduling-eviction/resource-bin-packing/)
 
-<!-- ## Pod Disruption -->
+<!--
+## Pod Disruption
+
+* [Pod Priority and Preemption](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
+* [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
+* [API-initiated Eviction](/docs/concepts/scheduling-eviction/api-eviction/)
+-->
 
 ## Pod 干扰
 
+{{<glossary_definition term_id="pod-disruption" length="all">}}
+
 * [Pod 优先级和抢占](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
-* [节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
-* [API发起的驱逐](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)
+* [节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/)
+* [API 发起的驱逐](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node.md b/content/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node.md
index c6d249d4650..07f5fe0c3ed 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node.md
@@ -17,40 +17,45 @@ weight: 20
 <!-- overview -->
 
 <!--
-You can constrain a {{< glossary_tooltip text="Pod" term_id="pod" >}} so that it can only run on particular set of
-{{< glossary_tooltip text="Node(s)" term_id="node" >}}.
-There are several ways to do this, and the recommended approaches all use
+You can constrain a {{< glossary_tooltip text="Pod" term_id="pod" >}} so that it is 
+_restricted_ to run on particular {{< glossary_tooltip text="node(s)" term_id="node" >}},
+or to _prefer_ to run on particular nodes.
+There are several ways to do this and the recommended approaches all use
 [label selectors](/docs/concepts/overview/working-with-objects/labels/) to facilitate the selection.
-Generally such constraints are unnecessary, as the scheduler will automatically do a reasonable placement
-(e.g. spread your pods across nodes so as not place the pod on a node with insufficient free resources, etc.)
+Often, you do not need to set any such constraints; the
+{{< glossary_tooltip text="scheduler" term_id="kube-scheduler" >}}  will automatically do a reasonable placement
+(for example, spreading your Pods across nodes so as not place Pods on a node with insufficient free resources).
 However, there are some circumstances where you may want to control which node
-the Pod deploys to, for example, to ensure that a Pod ends up on a node with an SSD attached to it, or to co-locate pods from two different
-services that communicate a lot into the same availability zone.
+the Pod deploys to, for example, to ensure that a Pod ends up on a node with an SSD attached to it,
+or to co-locate Pods from two different services that communicate a lot into the same availability zone.
 -->
 你可以约束一个 {{< glossary_tooltip text="Pod" term_id="pod" >}}
-只能在特定的{{< glossary_tooltip text="节点" term_id="node" >}}上运行。
+以便 **限制** 其只能在特定的{{< glossary_tooltip text="节点" term_id="node" >}}上运行，
+或优先在特定的节点上运行。
 有几种方法可以实现这点，推荐的方法都是用
 [标签选择算符](/zh-cn/docs/concepts/overview/working-with-objects/labels/)来进行选择。
 通常这样的约束不是必须的，因为调度器将自动进行合理的放置（比如，将 Pod 分散到节点上，
 而不是将 Pod 放置在可用资源不足的节点上等等）。但在某些情况下，你可能需要进一步控制
-Pod 被部署到的节点。例如，确保 Pod 最终落在连接了 SSD 的机器上，
+Pod 被部署到哪个节点。例如，确保 Pod 最终落在连接了 SSD 的机器上，
 或者将来自两个不同的服务且有大量通信的 Pods 被放置在同一个可用区。
 
 <!-- body -->
 
 <!--
 You can use any of the following methods to choose where Kubernetes schedules
-specific Pods: 
+specific Pods:
 
-* [nodeSelector](#nodeselector) field matching against [node labels](#built-in-node-labels)
-* [Affinity and anti-affinity](#affinity-and-anti-affinity)
-* [nodeName](#nodename) field
+  * [nodeSelector](#nodeselector) field matching against [node labels](#built-in-node-labels)
+  * [Affinity and anti-affinity](#affinity-and-anti-affinity)
+  * [nodeName](#nodename) field
+  * [Pod topology spread constraints](#pod-topology-spread-constraints)
 -->
 你可以使用下列方法中的任何一种来选择 Kubernetes 对特定 Pod 的调度：
 
 * 与[节点标签](#built-in-node-labels)匹配的 [nodeSelector](#nodeSelector)
 * [亲和性与反亲和性](#affinity-and-anti-affinity)
 * [nodeName](#nodename) 字段
+* [Pod 拓扑分布约束](#pod-topology-spread-constraints)
 
 <!--
 ## Node labels {#built-in-node-labels}
@@ -172,6 +177,19 @@ define. Some of the benefits of affinity and anti-affinity include:
 * 你可以使用节点上（或其他拓扑域中）运行的其他 Pod 的标签来实施调度约束，
   而不是只能使用节点本身的标签。这个能力让你能够定义规则允许哪些 Pod 可以被放置在一起。
 
+<!--
+The affinity feature consists of two types of affinity:
+
+* *Node affinity* functions like the `nodeSelector` field but is more expressive and
+  allows you to specify soft rules. 
+* *Inter-pod affinity/anti-affinity* allows you to constrain Pods against labels
+  on other Pods.
+-->
+亲和性功能由两种类型的亲和性组成：
+
+* **节点亲和性**功能类似于 `nodeSelector` 字段，但它的表达能力更强，并且允许你指定软规则。
+* Pod 间亲和性/反亲和性允许你根据其他 Pod 的标签来约束 Pod。
+
 <!--
 ### Node affinity
 
@@ -222,15 +240,16 @@ For example, consider the following Pod spec:
 <!--
 In this example, the following rules apply:
 
-* The node *must* have a label with the key `kubernetes.io/os` and
-  the value `linux`.
+* The node *must* have a label with the key `topology.kubernetes.io/zone` and
+  the value of that label *must* be either `antarctica-east1` or `antarctica-west1`.
 * The node *preferably* has a label with the key `another-node-label-key` and
   the value `another-node-label-value`.
 -->
 在这一示例中，所应用的规则如下：
 
-* 节点必须包含键名为 `kubernetes.io/os` 的标签，并且其取值为 `linux`。
-* 节点 **最好** 具有键名为 `another-node-label-key` 且取值为
+* 节点**必须**包含一个键名为 `topology.kubernetes.io/zone` 的标签，
+  并且该标签的取值**必须**为 `antarctica-east1` 或 `antarctica-west1`。
+* 节点**最好**具有一个键名为 `another-node-label-key` 且取值为
   `another-node-label-value` 的标签。
 
 <!--
@@ -269,7 +288,7 @@ satisfied.
 <!--
 If you specify multiple `matchExpressions` associated with a single `nodeSelectorTerms`,
 then the Pod can be scheduled onto a node only if all the `matchExpressions` are
-satisfied. 
+satisfied.
 -->
 如果你指定了多个与同一 `nodeSelectorTerms` 关联的 `matchExpressions`，
 则只有当所有 `matchExpressions` 都满足时 Pod 才可以被调度到节点上。
@@ -314,12 +333,12 @@ For example, consider the following Pod spec:
 
 <!--
 If there are two possible nodes that match the
-`requiredDuringSchedulingIgnoredDuringExecution` rule, one with the
+`preferredDuringSchedulingIgnoredDuringExecution` rule, one with the
 `label-1:key-1` label and another with the `label-2:key-2` label, the scheduler
 considers the `weight` of each node and adds the weight to the other scores for
 that node, and schedules the Pod onto the node with the highest final score.
 -->
-如果存在两个候选节点，都满足 `requiredDuringSchedulingIgnoredDuringExecution` 规则，
+如果存在两个候选节点，都满足 `preferredDuringSchedulingIgnoredDuringExecution` 规则，
 其中一个节点具有标签 `label-1:key-1`，另一个节点具有标签 `label-2:key-2`，
 调度器会考察各个节点的 `weight` 取值，并将该权重值添加到节点的其他得分值之上，
 
@@ -341,8 +360,8 @@ must have existing nodes with the `kubernetes.io/os=linux` label.
 
 <!--
 When configuring multiple [scheduling profiles](/docs/reference/scheduling/config/#multiple-profiles), you can associate
-a profile with a Node affinity, which is useful if a profile only applies to a specific set of nodes.
-To do so, add an `addedAffinity` to the `args` field  of the [`NodeAffinity` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
+a profile with a node affinity, which is useful if a profile only applies to a specific set of nodes.
+To do so, add an `addedAffinity` to the `args` field of the [`NodeAffinity` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
 in the [scheduler configuration](/docs/reference/scheduling/config/). For example:
 -->
 在配置多个[调度方案](/zh-cn/docs/reference/scheduling/config/#multiple-profiles)时，
@@ -378,8 +397,8 @@ NodeAffinity specified in the PodSpec.
 That is, in order to match the Pod, nodes need to satisfy `addedAffinity` and
 the Pod's `.spec.NodeAffinity`.
 -->
-这里的 `addedAffinity` 除遵从 Pod 规约中设置的节点亲和性之外，还
-适用于将 `.spec.schedulerName` 设置为 `foo-scheduler`。
+这里的 `addedAffinity` 除遵从 Pod 规约中设置的节点亲和性之外，
+还适用于将 `.spec.schedulerName` 设置为 `foo-scheduler`。
 换言之，为了匹配 Pod，节点需要满足 `addedAffinity` 和 Pod 的 `.spec.NodeAffinity`。
 
 <!--
@@ -410,7 +429,7 @@ Inter-pod affinity and anti-affinity allow you to constrain which nodes your
 Pods can be scheduled on based on the labels of **Pods** already running on that
 node, instead of the node labels.
 -->
-### pod 间亲和性与反亲和性  {#inter-pod-affinity-and-anti-affinity}
+### Pod 间亲和性与反亲和性  {#inter-pod-affinity-and-anti-affinity}
 
 Pod 间亲和性与反亲和性使你可以基于已经在节点上运行的 **Pod** 的标签来约束
 Pod 可以调度到的节点，而不是基于节点上的标签。
@@ -552,9 +571,9 @@ same zone currently running Pods with the `Security=S2` Pod label.
 
 <!--
 To get yourself more familiar with the examples of Pod affinity and anti-affinity,
-refer to the [design proposal](https://github.com/kubernetes/design-proposals-archive/blob/main/scheduling/podaffinity.md).
+refer to the [design proposal](https://git.k8s.io/design-proposals-archive/scheduling/podaffinity.md).
 -->
-查阅[设计文档](https://github.com/kubernetes/design-proposals-archive/blob/main/scheduling/podaffinity.md)
+查阅[设计文档](https://git.k8s.io/design-proposals-archive/scheduling/podaffinity.md)
 以进一步熟悉 Pod 亲和性与反亲和性的示例。
 
 <!--
@@ -571,8 +590,7 @@ exceptions for performance and security reasons:
 有一些限制：
 
 <!--
-* For Pod affinity and anti-affinity, an empty `topologyKey` field is not allowed in both
-  `requiredDuringSchedulingIgnoredDuringExecution`
+* For Pod affinity and anti-affinity, an empty `topologyKey` field is not allowed in both `requiredDuringSchedulingIgnoredDuringExecution`
   and `preferredDuringSchedulingIgnoredDuringExecution`.
 * For `requiredDuringSchedulingIgnoredDuringExecution` Pod anti-affinity rules,
   the admission controller `LimitPodHardAntiAffinityTopology` limits
@@ -614,25 +632,35 @@ null `namespaceSelector` matches the namespace of the Pod where the rule is defi
 -->
 用户也可以使用 `namespaceSelector` 选择匹配的名字空间，`namespaceSelector`
 是对名字空间集合进行标签查询的机制。
-亲和性条件会应用到 `namespaceSelector` 所选择的名字空间和 `namespaces` 字段中
-所列举的名字空间之上。
+亲和性条件会应用到 `namespaceSelector` 所选择的名字空间和 `namespaces` 字段中所列举的名字空间之上。
 注意，空的 `namespaceSelector`（`{}`）会匹配所有名字空间，而 null 或者空的
 `namespaces` 列表以及 null 值 `namespaceSelector` 意味着“当前 Pod 的名字空间”。
 
-
 <!--
 #### More practical use-cases
 
 Inter-pod affinity and anti-affinity can be even more useful when they are used with higher
 level collections such as ReplicaSets, StatefulSets, Deployments, etc.  These
 rules allow you to configure that a set of workloads should
-be co-located in the same defined topology, eg., the same node.
+be co-located in the same defined topology; for example, preferring to place two related
+Pods onto the same node.
 -->
 #### 更实际的用例
 
 Pod 间亲和性与反亲和性在与更高级别的集合（例如 ReplicaSet、StatefulSet、
 Deployment 等）一起使用时，它们可能更加有用。
-这些规则使得你可以配置一组工作负载，使其位于相同定义拓扑（例如，节点）中。
+这些规则使得你可以配置一组工作负载，使其位于所定义的同一拓扑中；
+例如优先将两个相关的 Pod 置于相同的节点上。
+
+<!--
+For example: imagine a three-node cluster. You use the cluster to run a web application
+and also an in-memory cache (such as Redis). For this example, also assume that latency between
+the web application and the memory cache should be as low as is practical. You could use inter-pod
+affinity and anti-affinity to co-locate the web servers with the cache as much as possible.
+-->
+以一个三节点的集群为例。你使用该集群运行一个带有内存缓存（例如 Redis）的 Web 应用程序。
+在此例中，还假设 Web 应用程序和内存缓存之间的延迟应尽可能低。
+你可以使用 Pod 间的亲和性和反亲和性来尽可能地将该 Web 服务器与缓存并置。
 
 <!--
 In the following example Deployment for the redis cache, the replicas get the label `app=store`. The
@@ -675,14 +703,14 @@ spec:
 ```
 
 <!--
-The following Deployment for the web servers creates replicas with the label `app=web-store`. The
-Pod affinity rule tells the scheduler to place each replica on a node that has a
-Pod with the label `app=store`. The Pod anti-affinity rule tells the scheduler
-to avoid placing multiple `app=web-store` servers on a single node.
+The following example Deployment for the web servers creates replicas with the label `app=web-store`.
+The Pod affinity rule tells the scheduler to place each replica on a node that has a Pod
+with the label `app=store`. The Pod anti-affinity rule tells the scheduler never to place
+multiple `app=web-store` servers on a single node.
 -->
-下面的 Deployment 用来提供 Web 服务器服务，会创建带有标签 `app=web-store` 的副本。
-Pod 亲和性规则告诉调度器将副本放到运行有标签包含 `app=store` Pod 的节点上。
-Pod 反亲和性规则告诉调度器不要在同一节点上放置多个 `app=web-store` 的服务器。
+下例的 Deployment 为 Web 服务器创建带有标签 `app=web-store` 的副本。
+Pod 亲和性规则告诉调度器将每个副本放到存在标签为 `app=store` 的 Pod 的节点上。
+Pod 反亲和性规则告诉调度器决不要在单个节点上放置多个 `app=web-store` 服务器。
 
 ```yaml
 apiVersion: apps/v1
@@ -735,11 +763,20 @@ where each web server is co-located with a cache, on three separate nodes.
 | *webserver-1*        |   *webserver-2*     |    *webserver-3*   |
 |  *cache-1*           |     *cache-2*       |     *cache-3*      |
 
+<!-- 
+The overall effect is that each cache instance is likely to be accessed by a single client, that
+is running on the same node. This approach aims to minimize both skew (imbalanced load) and latency. 
+-->
+总体效果是每个缓存实例都非常可能被在同一个节点上运行的某个客户端访问。
+这种方法旨在最大限度地减少偏差（负载不平衡）和延迟。
+
 <!--
+You might have other reasons to use Pod anti-affinity.
 See the [ZooKeeper tutorial](/docs/tutorials/stateful-application/zookeeper/#tolerating-node-failure)
 for an example of a StatefulSet configured with anti-affinity for high
 availability, using the same technique as this example.
 -->
+你可能还有使用 Pod 反亲和性的一些其他原因。
 参阅 [ZooKeeper 教程](/zh-cn/docs/tutorials/stateful-application/zookeeper/#tolerating-node-failure)
 了解一个 StatefulSet 的示例，该 StatefulSet 配置了反亲和性以实现高可用，
 所使用的是与此例相同的技术。
@@ -799,20 +836,41 @@ The above Pod will only run on the node `kube-01`.
 -->
 上面的 Pod 只能运行在节点 `kube-01` 之上。
 
+<!-- 
+## Pod topology spread constraints
+
+You can use _topology spread constraints_ to control how {{< glossary_tooltip text="Pods" term_id="Pod" >}}
+are spread across your cluster among failure-domains such as regions, zones, nodes, or among any other
+topology domains that you define. You might do this to improve performance, expected availability, or
+overall utilization.
+
+Read [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+to learn more about how these work. 
+-->
+## Pod 拓扑分布约束 {#pod-topology-spread-constraints}
+
+你可以使用 **拓扑分布约束（Topology Spread Constraints）** 来控制
+{{< glossary_tooltip text="Pod" term_id="Pod" >}} 在集群内故障域之间的分布，
+故障域的示例有区域（Region）、可用区（Zone）、节点和其他用户自定义的拓扑域。
+这样做有助于提升性能、实现高可用或提升资源利用率。
+
+阅读 [Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+以进一步了解这些约束的工作方式。
+
 ## {{% heading "whatsnext" %}}
 
 <!--
 * Read more about [taints and tolerations](/docs/concepts/scheduling-eviction/taint-and-toleration/) .
-* Read the design docs for [node affinity](https://git.k8s.io/community/contributors/design-proposals/scheduling/nodeaffinity.md)
-  and for [inter-pod affinity/anti-affinity](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md).
+* Read the design docs for [node affinity](https://git.k8s.io/design-proposals-archive/scheduling/nodeaffinity.md)
+  and for [inter-pod affinity/anti-affinity](https://git.k8s.io/design-proposals-archive/scheduling/podaffinity.md).
 * Learn about how the [topology manager](/docs/tasks/administer-cluster/topology-manager/) takes part in node-level
   resource allocation decisions. 
 * Learn how to use [nodeSelector](/docs/tasks/configure-pod-container/assign-pods-nodes/).
 * Learn how to use [affinity and anti-affinity](/docs/tasks/configure-pod-container/assign-pods-nodes-using-node-affinity/).
 -->
 * 进一步阅读[污点与容忍度](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)文档。
-* 阅读[节点亲和性](https://git.k8s.io/community/contributors/design-proposals/scheduling/nodeaffinity.md)
-  和[Pod 间亲和性与反亲和性](https://git.k8s.io/community/contributors/design-proposals/scheduling/podaffinity.md)
+* 阅读[节点亲和性](https://git.k8s.io/design-proposals-archive/scheduling/nodeaffinity.md)
+  和[Pod 间亲和性与反亲和性](https://git.k8s.io/design-proposals-archive/scheduling/podaffinity.md)
   的设计文档。
 * 了解[拓扑管理器](/zh-cn/docs/tasks/administer-cluster/topology-manager/)如何参与节点层面资源分配决定。
 * 了解如何使用 [nodeSelector](/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes/)。
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/kube-scheduler.md b/content/zh-cn/docs/concepts/scheduling-eviction/kube-scheduler.md
index 067dd959fa1..ac721e535fa 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/kube-scheduler.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/kube-scheduler.md
@@ -16,9 +16,9 @@ In Kubernetes, _scheduling_ refers to making sure that {{< glossary_tooltip text
 are matched to {{< glossary_tooltip text="Nodes" term_id="node" >}} so that
 {{< glossary_tooltip term_id="kubelet" >}} can run them.
 -->
-在 Kubernetes 中，_调度_ 是指将 {{< glossary_tooltip text="Pod" term_id="pod" >}} 放置到合适的
-{{< glossary_tooltip text="Node" term_id="node" >}} 上，然后对应 Node 上的
-{{< glossary_tooltip term_id="kubelet" >}} 才能够运行这些 pod。
+在 Kubernetes 中，**调度** 是指将 {{< glossary_tooltip text="Pod" term_id="pod" >}}
+放置到合适的{{< glossary_tooltip text="节点" term_id="node" >}}上，以便对应节点上的
+{{< glossary_tooltip term_id="kubelet" >}} 能够运行这些 Pod。
 
 <!-- body -->
 <!--
@@ -33,8 +33,8 @@ for finding the best Node for that Pod to run on. The scheduler reaches
 this placement decision taking into account the scheduling principles
 described below.
 -->
-调度器通过 kubernetes 的监测（Watch）机制来发现集群中新创建且尚未被调度到 Node 上的 Pod。
-调度器会将发现的每一个未调度的 Pod 调度到一个合适的 Node 上来运行。
+调度器通过 Kubernetes 的监测（Watch）机制来发现集群中新创建且尚未被调度到节点上的 Pod。
+调度器会将所发现的每一个未调度的 Pod 调度到一个合适的节点上来运行。
 调度器会依据下文的调度原则来做出调度选择。
 
 <!--
@@ -42,8 +42,8 @@ If you want to understand why Pods are placed onto a particular Node,
 or if you're planning to implement a custom scheduler yourself, this
 page will help you learn about scheduling.
 -->
-如果你想要理解 Pod 为什么会被调度到特定的 Node 上，或者你想要尝试实现
-一个自定义的调度器，这篇文章将帮助你了解调度。
+如果你想要理解 Pod 为什么会被调度到特定的节点上，
+或者你想要尝试实现一个自定义的调度器，这篇文章将帮助你了解调度。
 
 <!--
 ## kube-scheduler
@@ -60,8 +60,8 @@ write your own scheduling component and use that instead.
 [kube-scheduler](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/)
 是 Kubernetes 集群的默认调度器，并且是集群
 {{< glossary_tooltip text="控制面" term_id="control-plane" >}} 的一部分。
-如果你真的希望或者有这方面的需求，kube-scheduler 在设计上是允许
-你自己写一个调度组件并替换原有的 kube-scheduler。
+如果你真得希望或者有这方面的需求，kube-scheduler
+在设计上允许你自己编写一个调度组件并替换原有的 kube-scheduler。
 
 <!--
 For every newly created pods or other unscheduled pods, kube-scheduler
@@ -70,19 +70,19 @@ pods has different requirements for resources and every pod also has
 different requirements. Therefore, existing nodes need to be filtered
 according to the specific scheduling requirements.
 -->
-对每一个新创建的 Pod 或者是未被调度的 Pod，kube-scheduler 会选择一个最优的
-Node 去运行这个 Pod。然而，Pod 内的每一个容器对资源都有不同的需求，而且
-Pod 本身也有不同的资源需求。因此，Pod 在被调度到 Node 上之前，
-根据这些特定的资源调度需求，需要对集群中的 Node 进行一次过滤。
+对每一个新创建的 Pod 或者是未被调度的 Pod，kube-scheduler 会选择一个最优的节点去运行这个 Pod。
+然而，Pod 内的每一个容器对资源都有不同的需求，
+而且 Pod 本身也有不同的需求。因此，Pod 在被调度到节点上之前，
+根据这些特定的调度需求，需要对集群中的节点进行一次过滤。
 
 <!--
 In a cluster, Nodes that meet the scheduling requirements for a Pod
 are called _feasible_ nodes. If none of the nodes are suitable, the pod
 remains unscheduled until the scheduler is able to place it.
 -->
-在一个集群中，满足一个 Pod 调度请求的所有 Node 称之为 _可调度节点_。
-如果没有任何一个 Node 能满足 Pod 的资源请求，那么这个 Pod 将一直停留在
-未调度状态直到调度器能够找到合适的 Node。
+在一个集群中，满足一个 Pod 调度请求的所有节点称之为 **可调度节点**。
+如果没有任何一个节点能满足 Pod 的资源请求，
+那么这个 Pod 将一直停留在未调度状态直到调度器能够找到合适的 Node。
 
 <!--
 The scheduler finds feasible Nodes for a Pod and then runs a set of
@@ -91,8 +91,8 @@ score among the feasible ones to run the Pod. The scheduler then notifies
 the API server about this decision in a process called _binding_.
 -->
 调度器先在集群中找到一个 Pod 的所有可调度节点，然后根据一系列函数对这些可调度节点打分，
-选出其中得分最高的 Node 来运行 Pod。之后，调度器将这个调度决定通知给
-kube-apiserver，这个过程叫做 _绑定_。
+选出其中得分最高的节点来运行 Pod。之后，调度器将这个调度决定通知给
+kube-apiserver，这个过程叫做 **绑定**。
 
 <!--
 Factors that need to be taken into account for scheduling decisions include
@@ -101,7 +101,7 @@ policy constraints, affinity and anti-affinity specifications, data
 locality, inter-workload interference, and so on.
 -->
 在做调度决定时需要考虑的因素包括：单独和整体的资源请求、硬件/软件/策略限制、
-亲和以及反亲和要求、数据局域性、负载间的干扰等等。
+亲和以及反亲和要求、数据局部性、负载间的干扰等等。
 
 <!--
 ## Scheduling with kube-scheduler {#kube-scheduler-implementation}
@@ -114,7 +114,7 @@ kube-scheduler selects a node for the pod in a 2-step operation:
 1. Filtering
 2. Scoring
 -->
-kube-scheduler 给一个 pod 做调度选择包含两个步骤：
+kube-scheduler 给一个 Pod 做调度选择时包含两个步骤：
 
 1. 过滤
 2. 打分
@@ -127,17 +127,17 @@ resource requests. After this step, the node list contains any suitable
 Nodes; often, there will be more than one. If the list is empty, that
 Pod isn't (yet) schedulable.
 -->
-过滤阶段会将所有满足 Pod 调度需求的 Node 选出来。
-例如，PodFitsResources 过滤函数会检查候选 Node 的可用资源能否满足 Pod 的资源请求。
-在过滤之后，得出一个 Node 列表，里面包含了所有可调度节点；通常情况下，
-这个 Node 列表包含不止一个 Node。如果这个列表是空的，代表这个 Pod 不可调度。
+过滤阶段会将所有满足 Pod 调度需求的节点选出来。
+例如，PodFitsResources 过滤函数会检查候选节点的可用资源能否满足 Pod 的资源请求。
+在过滤之后，得出一个节点列表，里面包含了所有可调度节点；通常情况下，
+这个节点列表包含不止一个节点。如果这个列表是空的，代表这个 Pod 不可调度。
 
 <!--
 In the _scoring_ step, the scheduler ranks the remaining nodes to choose
 the most suitable Pod placement. The scheduler assigns a score to each Node
 that survived filtering, basing this score on the active scoring rules.
 -->
-在打分阶段，调度器会为 Pod 从所有可调度节点中选取一个最合适的 Node。
+在打分阶段，调度器会为 Pod 从所有可调度节点中选取一个最合适的节点。
 根据当前启用的打分规则，调度器会给每一个可调度节点进行打分。
 
 <!--
@@ -145,8 +145,8 @@ Finally, kube-scheduler assigns the Pod to the Node with the highest ranking.
 If there is more than one node with equal scores, kube-scheduler selects
 one of these at random.
 -->
-最后，kube-scheduler 会将 Pod 调度到得分最高的 Node 上。
-如果存在多个得分最高的 Node，kube-scheduler 会从中随机选取一个。
+最后，kube-scheduler 会将 Pod 调度到得分最高的节点上。
+如果存在多个得分最高的节点，kube-scheduler 会从中随机选取一个。
 
 <!--
 There are two supported ways to configure the filtering and scoring behavior
@@ -162,26 +162,34 @@ of the scheduler:
   `QueueSort`, `Filter`, `Score`, `Bind`, `Reserve`, `Permit`, and others. You
   can also configure the kube-scheduler to run different profiles.
  -->
-1. [调度策略](/zh-cn/docs/reference/scheduling/policies) 允许你配置过滤的 _断言(Predicates)_
-   和打分的 _优先级(Priorities)_ 。
+1. [调度策略](/zh-cn/docs/reference/scheduling/policies)
+   允许你配置过滤所用的 **断言（Predicates）** 和打分所用的 **优先级（Priorities）**。
 2. [调度配置](/zh-cn/docs/reference/scheduling/config/#profiles) 允许你配置实现不同调度阶段的插件，
-   包括：`QueueSort`, `Filter`, `Score`, `Bind`, `Reserve`, `Permit` 等等。
+   包括：`QueueSort`、`Filter`、`Score`、`Bind`、`Reserve`、`Permit` 等等。
    你也可以配置 kube-scheduler 运行不同的配置文件。
 
 ## {{% heading "whatsnext" %}}
 <!--
 * Read about [scheduler performance tuning](/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
-* Read about [Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+* Read about [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 * Read the [reference documentation](/docs/reference/command-line-tools-reference/kube-scheduler/) for kube-scheduler
 * Read the [kube-scheduler config (v1beta3)](/docs/reference/config-api/kube-scheduler-config.v1beta3/) reference
 * Learn about [configuring multiple schedulers](/docs/tasks/extend-kubernetes/configure-multiple-schedulers/)
 * Learn about [topology management policies](/docs/tasks/administer-cluster/topology-manager/)
 * Learn about [Pod Overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
+* Learn about scheduling of Pods that use volumes in:
+  * [Volume Topology Support](/docs/concepts/storage/storage-classes/#volume-binding-mode)
+  * [Storage Capacity Tracking](/docs/concepts/storage/storage-capacity/)
+  * [Node-specific Volume Limits](/docs/concepts/storage/storage-limits/)
 -->
-* 阅读关于 [调度器性能调优](/zh-cn/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
-* 阅读关于 [Pod 拓扑分布约束](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
-* 阅读关于 kube-scheduler 的 [参考文档](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/)
+* 阅读关于[调度器性能调优](/zh-cn/docs/concepts/scheduling-eviction/scheduler-perf-tuning/)
+* 阅读关于 [Pod 拓扑分布约束](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
+* 阅读关于 kube-scheduler 的[参考文档](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/)
 * 阅读 [kube-scheduler 配置参考 (v1beta3)](/zh-cn/docs/reference/config-api/kube-scheduler-config.v1beta3/)
-* 了解关于 [配置多个调度器](/zh-cn/docs/tasks/extend-kubernetes/configure-multiple-schedulers/) 的方式
-* 了解关于 [拓扑结构管理策略](/zh-cn/docs/tasks/administer-cluster/topology-manager/)
-* 了解关于 [Pod 额外开销](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)
+* 了解关于[配置多个调度器](/zh-cn/docs/tasks/extend-kubernetes/configure-multiple-schedulers/) 的方式
+* 了解关于[拓扑结构管理策略](/zh-cn/docs/tasks/administer-cluster/topology-manager/)
+* 了解关于 [Pod 开销](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)
+* 了解关于如何在以下情形使用卷来调度 Pod：
+  * [卷拓扑支持](/zh-cn/docs/concepts/storage/storage-classes/#volume-binding-mode)
+  * [存储容量跟踪](/zh-cn/docs/concepts/storage/storage-capacity/)
+  * [特定于节点的卷数限制](/zh-cn/docs/concepts/storage/storage-limits/)
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction.md b/content/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction.md
index 8a0910315e2..ce17740440c 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction.md
@@ -22,7 +22,7 @@ During a node-pressure eviction, the kubelet sets the `PodPhase` for the
 selected pods to `Failed`. This terminates the pods. 
 
 Node-pressure eviction is not the same as 
-[API-initiated eviction](/docs/reference/generated/kubernetes-api/v1.23/).
+[API-initiated eviction](/docs/concepts/scheduling-eviction/api-eviction/).
 -->
 {{<glossary_tooltip term_id="kubelet" text="kubelet">}}
 监控集群节点的 CPU、内存、磁盘空间和文件系统的 inode 等资源。
@@ -31,7 +31,7 @@ kubelet 可以主动地使节点上一个或者多个 Pod 失效，以回收资
 
 在节点压力驱逐期间，kubelet 将所选 Pod 的 `PodPhase` 设置为 `Failed`。这将终止 Pod。
 
-节点压力驱逐不同于 [API 发起的驱逐](/docs/reference/generated/kubernetes-api/v1.23/)。
+节点压力驱逐不同于 [API 发起的驱逐](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)。
 
 <!-- 
 The kubelet does not respect your configured `PodDisruptionBudget` or the pod's
@@ -129,7 +129,7 @@ memory is reclaimable under pressure.
 `memory.available` 的值来自 cgroupfs，而不是像 `free -m` 这样的工具。
 这很重要，因为 `free -m` 在容器中不起作用，如果用户使用
 [节点可分配资源](/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
-这一功能特性，资源不足的判定是基于 CGroup 层次结构中的用户 Pod 所处的局部及 CGroup 根节点作出的。
+这一功能特性，资源不足的判定是基于 cgroup 层次结构中的用户 Pod 所处的局部及 cgroup 根节点作出的。
 这个[脚本](/zh-cn/examples/admin/resource/memory-available.sh)
 重现了 kubelet 为计算 `memory.available` 而执行的相同步骤。
 kubelet 在其计算中排除了 inactive_file（即非活动 LRU 列表上基于文件来虚拟的内存的字节数），
@@ -154,15 +154,26 @@ kubelet 支持以下文件系统分区：
 
 kubelet 会自动发现这些文件系统并忽略其他文件系统。kubelet 不支持其他配置。
 
-{{<note>}}
-<!-- 
-Some kubelet garbage collection features are deprecated in favor of eviction.
-For a list of the deprecated features, see [kubelet garbage collection deprecation](/docs/concepts/cluster-administration/kubelet-garbage-collection/#deprecation).
+<!--
+Some kubelet garbage collection features are deprecated in favor of eviction:
+
+| Existing Flag | New Flag | Rationale |
+| ------------- | -------- | --------- |
+| `--image-gc-high-threshold` | `--eviction-hard` or `--eviction-soft` | existing eviction signals can trigger image garbage collection |
+| `--image-gc-low-threshold` | `--eviction-minimum-reclaim` | eviction reclaims achieve the same behavior |
+| `--maximum-dead-containers` | - | deprecated once old logs are stored outside of container's context |
+| `--maximum-dead-containers-per-container` | - | deprecated once old logs are stored outside of container's context |
+| `--minimum-container-ttl-duration` | - | deprecated once old logs are stored outside of container's context |
 -->
-一些 kubelet 垃圾收集功能已被弃用，以支持驱逐。
-有关已弃用功能的列表，请参阅
-[kubelet 垃圾收集弃用](/zh-cn/docs/concepts/cluster-administration/kubelet-garbage-collection/#deprecation)。
-{{</note>}}
+一些 kubelet 垃圾收集功能已被弃用，以鼓励使用驱逐机制。
+
+| 现有标志 | 新的标志 | 原因 |
+| ------------- | -------- | --------- |
+| `--image-gc-high-threshold` | `--eviction-hard` 或 `--eviction-soft` | 现有的驱逐信号可以触发镜像垃圾收集 |
+| `--image-gc-low-threshold` | `--eviction-minimum-reclaim` | 驱逐回收具有相同的行为 |
+| `--maximum-dead-containers` | - | 一旦旧的日志存储在容器的上下文之外就会被弃用 |
+| `--maximum-dead-containers-per-container` | - | 一旦旧的日志存储在容器的上下文之外就会被弃用 |
+| `--minimum-container-ttl-duration` | - | 一旦旧的日志存储在容器的上下文之外就会被弃用 |
 
 <!-- 
 ### Eviction thresholds
@@ -247,7 +258,7 @@ You can use the following flags to configure soft eviction thresholds:
   如果驱逐条件持续时长超过指定的宽限期，可以触发 Pod 驱逐。
 * `eviction-soft-grace-period`：一组驱逐宽限期，
   如 `memory.available=1m30s`，定义软驱逐条件在触发 Pod 驱逐之前必须保持多长时间。
-* `eviction-max-pod-grace-period`：在满足软驱逐条件而终止 Pod 时使用的最大允许宽限期（以秒为单位）。 
+* `eviction-max-pod-grace-period`：在满足软驱逐条件而终止 Pod 时使用的最大允许宽限期（以秒为单位）。
 
 <!-- 
 #### Hard eviction thresholds {#hard-eviction-thresholds}
@@ -320,7 +331,7 @@ kubelet 根据下表将驱逐信号映射为节点状况：
 | 节点条件 | 驱逐信号 | 描述 |
 |---------|--------|------|
 | `MemoryPressure` | `memory.available` | 节点上的可用内存已满足驱逐条件 |
-| `DiskPressure`   | `nodefs.available`、`nodefs.inodesFree`、`imagefs.available` 或 `imagefs.inodesFree` | 节点的根文件系统或映像文件系统上的可用磁盘空间和 inode 已满足驱逐条件 |
+| `DiskPressure`   | `nodefs.available`、`nodefs.inodesFree`、`imagefs.available` 或 `imagefs.inodesFree` | 节点的根文件系统或镜像文件系统上的可用磁盘空间和 inode 已满足驱逐条件 |
 | `PIDPressure`    | `pid.available` | (Linux) 节点上的可用进程标识符已低于驱逐条件 |
 
 kubelet 根据配置的 `--node-status-update-frequency` 更新节点条件，默认为 `10s`。
@@ -472,7 +483,7 @@ requests.
 The kubelet sorts pods differently based on whether the node has a dedicated
 `imagefs` filesystem:
 -->
-当 kubelet 因 inode 或 PID 不足而驱逐 pod 时，
+当 kubelet 因 inode 或 PID 不足而驱逐 Pod 时，
 它使用优先级来确定驱逐顺序，因为 inode 和 PID 没有请求。
 
 kubelet 根据节点是否具有专用的 `imagefs` 文件系统对 Pod 进行不同的排序：
@@ -648,7 +659,7 @@ Consider the following scenario:
 
 * 节点内存容量：`10Gi`
 * 操作员希望为系统守护进程（内核、`kubelet` 等）保留 10% 的内存容量
-* 操作员希望驱逐内存利用率为 95% 的Pod，以减少系统 OOM 的概率。
+* 操作员希望驱逐内存利用率为 95% 的 Pod，以减少系统 OOM 的概率。
 
 <!-- 
 For this to work, the kubelet is launched as follows:
@@ -757,7 +768,7 @@ You can work around that behavior by setting the memory limit and memory request
 the same for containers likely to perform intensive I/O activity. You will need 
 to estimate or measure an optimal memory limit value for that container.
 -->
-更多细节请参见 [https://github.com/kubernetes/kubernetes/issues/43916](https://github.com/kubernetes/kubernetes/issues/43916)
+更多细节请参见 [https://github.com/kubernetes/kubernetes/issues/43916](https://github.com/kubernetes/kubernetes/issues/43916)。
 
 你可以通过为可能执行 I/O 密集型活动的容器设置相同的内存限制和内存请求来应对该行为。
 你将需要估计或测量该容器的最佳内存限制值。
@@ -765,14 +776,14 @@ to estimate or measure an optimal memory limit value for that container.
 ## {{% heading "whatsnext" %}}
 
 <!-- 
-* Learn about [API-initiated Eviction](/docs/reference/generated/kubernetes-api/v1.23/)
+* Learn about [API-initiated Eviction](/docs/concepts/scheduling-eviction/api-eviction/)
 * Learn about [Pod Priority and Preemption](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
 * Learn about [PodDisruptionBudgets](/docs/tasks/run-application/configure-pdb/)
 * Learn about [Quality of Service](/docs/tasks/configure-pod-container/quality-service-pod/) (QoS)
 * Check out the [Eviction API](/docs/reference/generated/kubernetes-api/{{<param "version">}}/#create-eviction-pod-v1-core)
 -->
-* 了解 [API 发起的驱逐](/docs/reference/generated/kubernetes-api/v1.23/)
-* 了解 [Pod 优先级和驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
-* 了解 [PodDisruptionBudgets](/docs/tasks/run-application/configure-pdb/)
+* 了解 [API 发起的驱逐](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)
+* 了解 [Pod 优先级和抢占](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
+* 了解 [PodDisruptionBudgets](/zh-cn/docs/tasks/run-application/configure-pdb/)
 * 了解[服务质量](/zh-cn/docs/tasks/configure-pod-container/quality-service-pod/)（QoS）
 * 查看[驱逐 API](/docs/reference/generated/kubernetes-api/{{<param "version">}}/#create-eviction-pod-v1-core)
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption.md b/content/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption.md
index afa224896ad..cf4e594d6c2 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption.md
@@ -639,7 +639,7 @@ exceeding its requests, it won't be evicted. Another Pod with higher priority
 that exceeds its requests may be evicted.
 -->
 kubelet 使用优先级来确定
-[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/) Pod 的顺序。
+[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/) Pod 的顺序。
 你可以使用 QoS 类来估计 Pod 最有可能被驱逐的顺序。kubelet 根据以下因素对 Pod 进行驱逐排名：
 
   1. 对紧俏资源的使用是否超过请求值
@@ -650,8 +650,8 @@ kubelet 使用优先级来确定
 [kubelet 驱逐时 Pod 的选择](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/#pod-selection-for-kubelet-eviction)。
 
 当某 Pod 的资源用量未超过其请求时，kubelet 节点压力驱逐不会驱逐该 Pod。
-如果优先级较低的 Pod 没有超过其请求，则不会被驱逐。
-另一个优先级高于其请求的 Pod 可能会被驱逐。
+如果优先级较低的 Pod 的资源使用量没有超过其请求，则不会被驱逐。
+另一个优先级较高且资源使用量超过其请求的 Pod 可能会被驱逐。
 
 ## {{% heading "whatsnext" %}}
 
@@ -659,11 +659,11 @@ kubelet 使用优先级来确定
 * Read about using ResourceQuotas in connection with PriorityClasses: 
   [limit Priority Class consumption by default](/docs/concepts/policy/resource-quotas/#limit-priority-class-consumption-by-default)
 * Learn about [Pod Disruption](/docs/concepts/workloads/pods/disruptions/)
-* Learn about [API-initiated Eviction](/docs/reference/generated/kubernetes-api/v1.23/)
+* Learn about [API-initiated Eviction](/docs/concepts/scheduling-eviction/api-eviction/)
 * Learn about [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
 -->
 * 阅读有关将 ResourceQuota 与 PriorityClass 结合使用的信息：
   [默认限制优先级消费](/zh-cn/docs/concepts/policy/resource-quotas/#limit-priority-class-consumption-by-default)
 * 了解 [Pod 干扰](/zh-cn/docs/concepts/workloads/pods/disruptions/)
-* 了解 [API 发起的驱逐](/docs/reference/generated/kubernetes-api/v1.23/)
-* 了解[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
+* 了解 [API 发起的驱逐](/zh-cn/docs/concepts/scheduling-eviction/api-eviction/)
+* 了解[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/)
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration.md b/content/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration.md
index 39ad284a00a..981656fa6f6 100644
--- a/content/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration.md
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration.md
@@ -4,6 +4,7 @@ content_type: concept
 weight: 40
 ---
 
+
 <!-- overview -->
 <!--
 [_Node affinity_](/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity)
@@ -11,37 +12,38 @@ is a property of {{< glossary_tooltip text="Pods" term_id="pod" >}} that *attrac
 a set of {{< glossary_tooltip text="nodes" term_id="node" >}} (either as a preference or a
 hard requirement). _Taints_ are the opposite -- they allow a node to repel a set of pods.
 -->
-[_节点亲和性_](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity)
+[节点亲和性](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity)
 是 {{< glossary_tooltip text="Pod" term_id="pod" >}} 的一种属性，它使 Pod
 被吸引到一类特定的{{< glossary_tooltip text="节点" term_id="node" >}}
 （这可能出于一种偏好，也可能是硬性要求）。
-_污点_（Taint）则相反——它使节点能够排斥一类特定的 Pod。
+**污点（Taint）** 则相反——它使节点能够排斥一类特定的 Pod。
 
 <!--
-_Tolerations_ are applied to pods, and allow (but do not require) the pods to schedule
-onto nodes with matching taints.
+
+_Tolerations_ are applied to pods. Tolerations allow the scheduler to schedule pods with matching taints. Tolerations allow scheduling but don't guarantee scheduling: the scheduler also [evaluates other parameters](/docs/concepts/scheduling-eviction/pod-priority-preemption/) as part of its function.
 
 Taints and tolerations work together to ensure that pods are not scheduled
 onto inappropriate nodes. One or more taints are applied to a node; this
 marks that the node should not accept any pods that do not tolerate the taints.
 -->
-容忍度（Toleration）是应用于 Pod 上的，允许（但并不要求）Pod
-调度到带有与之匹配的污点的节点上。
+**容忍度（Toleration）** 是应用于 Pod 上的。容忍度允许调度器调度带有对应污点的 Pod。
+容忍度允许调度但并不保证调度：作为其功能的一部分，
+调度器也会[评估其他参数](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)。
 
 污点和容忍度（Toleration）相互配合，可以用来避免 Pod 被分配到不合适的节点上。
-每个节点上都可以应用一个或多个污点，这表示对于那些不能容忍这些污点的 Pod，是不会被该节点接受的。
+每个节点上都可以应用一个或多个污点，这表示对于那些不能容忍这些污点的 Pod，
+是不会被该节点接受的。
 
 <!-- body -->
 
 <!--
 ## Concepts
--->
-## 概念
 
-<!--
 You add a taint to a node using [kubectl taint](/docs/reference/generated/kubectl/kubectl-commands#taint).
 For example,
 -->
+## 概念  {#concepts}
+
 你可以使用命令 [kubectl taint](/docs/reference/generated/kubectl/kubectl-commands#taint) 给节点增加一个污点。比如，
 
 ```shell
@@ -52,14 +54,7 @@ kubectl taint nodes node1 key1=value1:NoSchedule
 places a taint on node `node1`. The taint has key `key1`, value `value1`, and taint effect `NoSchedule`.
 This means that no pod will be able to schedule onto `node1` unless it has a matching toleration.
 
-```shell
-kubectl taint nodes node1 key:NoSchedule
-```
-
 To remove the taint added by the command above, you can run:
-```shell
-kubectl taint nodes node1 key1=value1:NoSchedule-
-```
 -->
 给节点 `node1` 增加一个污点，它的键名是 `key1`，键值是 `value1`，效果是 `NoSchedule`。
 这表示只有拥有和这个污点相匹配的容忍度的 Pod 才能够被分配到 `node1` 这个节点。
@@ -75,9 +70,9 @@ You specify a toleration for a pod in the PodSpec. Both of the following tolerat
 taint created by the `kubectl taint` line above, and thus a pod with either toleration would be able
 to schedule onto `node1`:
 -->
-你可以在 PodSpec 中定义 Pod 的容忍度。
+你可以在 Pod 规约中为 Pod 设置容忍度。
 下面两个容忍度均与上面例子中使用 `kubectl taint` 命令创建的污点相匹配，
-因此如果一个 Pod 拥有其中的任何一个容忍度都能够被分配到 `node1` ：
+因此如果一个 Pod 拥有其中的任何一个容忍度，都能够被调度到 `node1` ：
 
 ```yaml
 tolerations:
@@ -95,7 +90,7 @@ tolerations:
 ```
 
 <!--
-Here’s an example of a pod that uses tolerations:
+Here's an example of a pod that uses tolerations:
 -->
 这里是一个使用了容忍度的 Pod：
 
@@ -110,13 +105,15 @@ The default value for `operator` is `Equal`.
 A toleration "matches" a taint if the keys are the same and the effects are the same, and:
 
 * the `operator` is `Exists` (in which case no `value` should be specified), or
-* the `operator` is `Equal` and the `value`s are equal
+* the `operator` is `Equal` and the `value`s are equal.
 -->
 一个容忍度和一个污点相“匹配”是指它们有一样的键名和效果，并且：
 
 * 如果 `operator` 是 `Exists` （此时容忍度不能指定 `value`），或者
 * 如果 `operator` 是 `Equal` ，则它们的 `value` 应该相等
 
+{{< note >}}
+
 <!--
 There are two special cases:
 
@@ -125,23 +122,22 @@ will tolerate everything.
 
 An empty `effect` matches all effects with key `key1`.
 -->
-{{< note >}}
 存在两种特殊情况：
 
-如果一个容忍度的 `key` 为空且 operator 为 `Exists`，
-表示这个容忍度与任意的 key 、value 和 effect 都匹配，即这个容忍度能容忍任意 taint。
+如果一个容忍度的 `key` 为空且 `operator` 为 `Exists`，
+表示这个容忍度与任意的 key、value 和 effect 都匹配，即这个容忍度能容忍任何污点。
 
 如果 `effect` 为空，则可以与所有键名 `key1` 的效果相匹配。
 {{< /note >}}
 
 <!--
 The above example used `effect` of `NoSchedule`. Alternatively, you can use `effect` of `PreferNoSchedule`.
-This is a "preference" or "soft" version of `NoSchedule` - the system will *try* to avoid placing a
+This is a "preference" or "soft" version of `NoSchedule` -- the system will *try* to avoid placing a
 pod that does not tolerate the taint on the node, but it is not required. The third kind of `effect` is
 `NoExecute`, described later.
 -->
 上述例子中 `effect` 使用的值为 `NoSchedule`，你也可以使用另外一个值 `PreferNoSchedule`。
-这是“优化”或“软”版本的 `NoSchedule` —— 系统会 *尽量* 避免将 Pod 调度到存在其不能容忍污点的节点上，
+这是“优化”或“软”版本的 `NoSchedule` —— 系统会 **尽量** 避免将 Pod 调度到存在其不能容忍污点的节点上，
 但这不是强制的。`effect` 的值还可以设置为 `NoExecute`，下文会详细描述这个值。
 
 <!--
@@ -153,7 +149,7 @@ remaining un-ignored taints have the indicated effects on the pod. In particular
 你可以给一个节点添加多个污点，也可以给一个 Pod 添加多个容忍度设置。
 Kubernetes 处理多个污点和容忍度的过程就像一个过滤器：从一个节点的所有污点开始遍历，
 过滤掉那些 Pod 中存在与之相匹配的容忍度的污点。余下未被过滤的污点的 effect 值决定了
-Pod 是否会被分配到该节点，特别是以下情况：
+Pod 是否会被分配到该节点。需要注意以下情况：
 
 <!--
 * if there is at least one un-ignored taint with effect `NoSchedule` then Kubernetes will not schedule
@@ -164,13 +160,13 @@ effect `PreferNoSchedule` then Kubernetes will *try* to not schedule the pod ont
 the node (if it is already running on the node), and will not be
 scheduled onto the node (if it is not yet running on the node).
 -->
-* 如果未被过滤的污点中存在至少一个 effect 值为 `NoSchedule` 的污点，
-  则 Kubernetes 不会将 Pod 分配到该节点。
-* 如果未被过滤的污点中不存在 effect 值为 `NoSchedule` 的污点，
-  但是存在 effect 值为 `PreferNoSchedule` 的污点，
-  则 Kubernetes 会 *尝试* 不将 Pod 分配到该节点。
-* 如果未被过滤的污点中存在至少一个 effect 值为 `NoExecute` 的污点，
-  则 Kubernetes 不会将 Pod 分配到该节点（如果 Pod 还未在节点上运行），
+* 如果未被忽略的污点中存在至少一个 effect 值为 `NoSchedule` 的污点，
+  则 Kubernetes 不会将 Pod 调度到该节点。
+* 如果未被忽略的污点中不存在 effect 值为 `NoSchedule` 的污点，
+  但是存在至少一个 effect 值为 `PreferNoSchedule` 的污点，
+  则 Kubernetes 会 **尝试** 不将 Pod 调度到该节点。
+* 如果未被忽略的污点中存在至少一个 effect 值为 `NoExecute` 的污点，
+  则 Kubernetes 不会将 Pod 调度到该节点（如果 Pod 还未在节点上运行），
   或者将 Pod 从该节点驱逐（如果 Pod 已经在节点上运行）。
 
 <!--
@@ -187,7 +183,7 @@ kubectl taint nodes node1 key2=value2:NoSchedule
 <!--
 And a pod has two tolerations:
 -->
-假定有一个 Pod，它有两个容忍度：
+假定某个 Pod 有两个容忍度：
 
 ```yaml
 tolerations:
@@ -207,20 +203,19 @@ toleration matching the third taint. But it will be able to continue running if
 already running on the node when the taint is added, because the third taint is the only
 one of the three that is not tolerated by the pod.
 -->
-在这种情况下，上述 Pod 不会被分配到上述节点，因为其没有容忍度和第三个污点相匹配。
+在这种情况下，上述 Pod 不会被调度到上述节点，因为其没有容忍度和第三个污点相匹配。
 但是如果在给节点添加上述污点之前，该 Pod 已经在上述节点运行，
 那么它还可以继续运行在该节点上，因为第三个污点是三个污点中唯一不能被这个 Pod 容忍的。
 
 <!--
 Normally, if a taint with effect `NoExecute` is added to a node, then any pods that do
-not tolerate the taint will be evicted immediately, and any pods that do tolerate the
+not tolerate the taint will be evicted immediately, and pods that do tolerate the
 taint will never be evicted. However, a toleration with `NoExecute` effect can specify
 an optional `tolerationSeconds` field that dictates how long the pod will stay bound
 to the node after the taint is added. For example,
 -->
 通常情况下，如果给一个节点添加了一个 effect 值为 `NoExecute` 的污点，
-则任何不能忍受这个污点的 Pod 都会马上被驱逐，
-任何可以忍受这个污点的 Pod 都不会被驱逐。
+则任何不能忍受这个污点的 Pod 都会马上被驱逐，任何可以忍受这个污点的 Pod 都不会被驱逐。
 但是，如果 Pod 存在一个 effect 值为 `NoExecute` 的容忍度指定了可选属性
 `tolerationSeconds` 的值，则表示在给节点添加了上述污点之后，
 Pod 还能继续在节点上运行的时间。例如，
@@ -245,14 +240,14 @@ taint is removed before that time, the pod will not be evicted.
 
 <!--
 ## Example Use Cases
--->
-## 使用例子
 
-<!--
 Taints and tolerations are a flexible way to steer pods *away* from nodes or evict
 pods that shouldn't be running. A few of the use cases are
 -->
-通过污点和容忍度，可以灵活地让 Pod **避开** 某些节点或者将 Pod 从某些节点驱逐。下面是几个使用例子：
+## 使用例子  {#example-use-cases}
+
+通过污点和容忍度，可以灵活地让 Pod **避开**某些节点或者将 Pod 从某些节点驱逐。
+下面是几个使用例子：
 
 <!--
 * **Dedicated Nodes**: If you want to dedicate a set of nodes for exclusive use by
@@ -267,14 +262,16 @@ to the taint to the same set of nodes (e.g. `dedicated=groupName`), and the admi
 controller should additionally add a node affinity to require that the pods can only schedule
 onto nodes labeled with `dedicated=groupName`.
 -->
-* **专用节点**：如果你想将某些节点专门分配给特定的一组用户使用，你可以给这些节点添加一个污点（即，
+* **专用节点**：如果想将某些节点专门分配给特定的一组用户使用，你可以给这些节点添加一个污点（即，
   `kubectl taint nodes nodename dedicated=groupName:NoSchedule`），
-  然后给这组用户的 Pod 添加一个相对应的 toleration（通过编写一个自定义的
-  [准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)，很容易就能做到）。
-  拥有上述容忍度的 Pod 就能够被分配到上述专用节点，同时也能够被分配到集群中的其它节点。
-  如果你希望这些 Pod 只能被分配到上述专用节点，那么你还需要给这些专用节点另外添加一个和上述
-  污点类似的 label （例如：`dedicated=groupName`），同时 还要在上述准入控制器中给 Pod
-  增加节点亲和性要求上述 Pod 只能被分配到添加了 `dedicated=groupName` 标签的节点上。
+  然后给这组用户的 Pod 添加一个相对应的容忍度
+  （通过编写一个自定义的[准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)，
+  很容易就能做到）。
+  拥有上述容忍度的 Pod 就能够被调度到上述专用节点，同时也能够被调度到集群中的其它节点。
+  如果你希望这些 Pod 只能被调度到上述专用节点，
+  那么你还需要给这些专用节点另外添加一个和上述污点类似的 label （例如：`dedicated=groupName`），
+  同时还要在上述准入控制器中给 Pod 增加节点亲和性要求，要求上述 Pod 只能被调度到添加了
+  `dedicated=groupName` 标签的节点上。
 
 <!--
 * **Nodes with Special Hardware**: In a cluster where a small subset of nodes have specialized
@@ -287,7 +284,7 @@ toleration to pods that use the special hardware. As in the dedicated nodes use
 it is probably easiest to apply the tolerations using a custom
 [admission controller](/docs/reference/access-authn-authz/admission-controllers/).
 For example, it is recommended to use [Extended
-Resources](/docs/concepts/configuration/manage-compute-resources-container/#extended-resources)
+Resources](/docs/concepts/configuration/manage-resources-containers/#extended-resources)
 to represent the special hardware, taint your special hardware nodes with the
 extended resource name and run the
 [ExtendedResourceToleration](/docs/reference/access-authn-authz/admission-controllers/#extendedresourcetoleration)
@@ -300,28 +297,28 @@ nodes are dedicated for pods requesting such hardware and you don't have to
 manually add tolerations to your pods.
 -->
 * **配备了特殊硬件的节点**：在部分节点配备了特殊硬件（比如 GPU）的集群中，
-  我们希望不需要这类硬件的 Pod 不要被分配到这些特殊节点，以便为后继需要这类硬件的 Pod 保留资源。
-  要达到这个目的，可以先给配备了特殊硬件的节点添加 taint
+  我们希望不需要这类硬件的 Pod 不要被调度到这些特殊节点，以便为后继需要这类硬件的 Pod 保留资源。
+  要达到这个目的，可以先给配备了特殊硬件的节点添加污点
   （例如 `kubectl taint nodes nodename special=true:NoSchedule` 或
   `kubectl taint nodes nodename special=true:PreferNoSchedule`)，
-  然后给使用了这类特殊硬件的 Pod 添加一个相匹配的 toleration。
+  然后给使用了这类特殊硬件的 Pod 添加一个相匹配的容忍度。
   和专用节点的例子类似，添加这个容忍度的最简单的方法是使用自定义
   [准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)。
   比如，我们推荐使用[扩展资源](/zh-cn/docs/concepts/configuration/manage-resources-containers/#extended-resources)
   来表示特殊硬件，给配置了特殊硬件的节点添加污点时包含扩展资源名称，
   然后运行一个 [ExtendedResourceToleration](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#extendedresourcetoleration)
-  准入控制器。此时，因为节点已经被设置污点了，没有对应容忍度的 Pod
-  不会被调度到这些节点。但当你创建一个使用了扩展资源的 Pod 时，
-  `ExtendedResourceToleration` 准入控制器会自动给 Pod 加上正确的容忍度，
-  这样 Pod 就会被自动调度到这些配置了特殊硬件件的节点上。
-  这样就能够确保这些配置了特殊硬件的节点专门用于运行需要使用这些硬件的 Pod，
+  准入控制器。此时，因为节点已经被设置污点了，没有对应容忍度的 Pod 不会被调度到这些节点。
+  但当你创建一个使用了扩展资源的 Pod 时，`ExtendedResourceToleration` 准入控制器会自动给
+  Pod 加上正确的容忍度，这样 Pod 就会被自动调度到这些配置了特殊硬件的节点上。
+  这种方式能够确保配置了特殊硬件的节点专门用于运行需要这些硬件的 Pod，
   并且你无需手动给这些 Pod 添加容忍度。
 
 <!--
 * **Taint based Evictions**: A per-pod-configurable eviction behavior
 when there are node problems, which is described in the next section.
 -->
-* **基于污点的驱逐**: 这是在每个 Pod 中配置的在节点出现问题时的驱逐行为，接下来的章节会描述这个特性。
+* **基于污点的驱逐**: 这是在每个 Pod 中配置的在节点出现问题时的驱逐行为，
+  接下来的章节会描述这个特性。
 
 <!--
 ## Taint based Evictions
@@ -331,7 +328,7 @@ when there are node problems, which is described in the next section.
 {{< feature-state for_k8s_version="v1.18" state="stable" >}}
 
 <!--
-The `NoExecute` taint effect, which affects pods that are already
+The `NoExecute` taint effect, mentioned above, affects pods that are already
 running on the node as follows
 
  * pods that do not tolerate the taint are evicted immediately
@@ -340,17 +337,17 @@ running on the node as follows
  * pods that tolerate the taint with a specified `tolerationSeconds` remain
    bound for the specified amount of time
 -->
-前文提到过污点的 effect 值 `NoExecute` 会影响已经在节点上运行的 Pod
+前文提到过污点的效果值 `NoExecute` 会影响已经在节点上运行的 Pod，如下
 
- * 如果 Pod 不能忍受 effect 值为 `NoExecute` 的污点，那么 Pod 将马上被驱逐
- * 如果 Pod 能够忍受 effect 值为 `NoExecute` 的污点，但是在容忍度定义中没有指定
-   `tolerationSeconds`，则 Pod 还会一直在这个节点上运行。
- * 如果 Pod 能够忍受 effect 值为 `NoExecute` 的污点，而且指定了 `tolerationSeconds`，
-   则 Pod 还能在这个节点上继续运行这个指定的时间长度。
+* 如果 Pod 不能忍受这类污点，Pod 会马上被驱逐。
+* 如果 Pod 能够忍受这类污点，但是在容忍度定义中没有指定 `tolerationSeconds`，
+  则 Pod 还会一直在这个节点上运行。
+* 如果 Pod 能够忍受这类污点，而且指定了 `tolerationSeconds`，
+  则 Pod 还能在这个节点上继续运行这个指定的时间长度。
 
 <!--
-The node controller automatically taints a node when certain conditions are
-true. The following taints are built in:
+The node controller automatically taints a Node when certain conditions
+are true. The following taints are built in:
 
  * `node.kubernetes.io/not-ready`: Node is not ready. This corresponds to
    the NodeCondition `Ready` being "`False`".
@@ -365,17 +362,18 @@ true. The following taints are built in:
     with "external" cloud provider, this taint is set on a node to mark it
     as unusable. After a controller from the cloud-controller-manager initializes
     this node, the kubelet removes this taint.
-  -->
+-->
 当某种条件为真时，节点控制器会自动给节点添加一个污点。当前内置的污点包括：
 
- * `node.kubernetes.io/not-ready`：节点未准备好。这相当于节点状态 `Ready` 的值为 "`False`"。
- * `node.kubernetes.io/unreachable`：节点控制器访问不到节点. 这相当于节点状态 `Ready` 的值为 "`Unknown`"。
- * `node.kubernetes.io/memory-pressure`：节点存在内存压力。
- * `node.kubernetes.io/disk-pressure`：节点存在磁盘压力。
- * `node.kubernetes.io/pid-pressure`: 节点的 PID 压力。
- * `node.kubernetes.io/network-unavailable`：节点网络不可用。
- * `node.kubernetes.io/unschedulable`: 节点不可调度。
- * `node.cloudprovider.kubernetes.io/uninitialized`：如果 kubelet 启动时指定了一个 "外部" 云平台驱动，
+* `node.kubernetes.io/not-ready`：节点未准备好。这相当于节点状况 `Ready` 的值为 "`False`"。
+* `node.kubernetes.io/unreachable`：节点控制器访问不到节点. 这相当于节点状况 `Ready`
+  的值为 "`Unknown`"。
+* `node.kubernetes.io/memory-pressure`：节点存在内存压力。
+* `node.kubernetes.io/disk-pressure`：节点存在磁盘压力。
+* `node.kubernetes.io/pid-pressure`: 节点的 PID 压力。
+* `node.kubernetes.io/network-unavailable`：节点网络不可用。
+* `node.kubernetes.io/unschedulable`: 节点不可调度。
+* `node.cloudprovider.kubernetes.io/uninitialized`：如果 kubelet 启动时指定了一个“外部”云平台驱动，
    它将给当前节点添加一个污点将其标志为不可用。在 cloud-controller-manager
    的一个控制器初始化这个节点后，kubelet 将删除这个污点。
 
@@ -384,37 +382,35 @@ In case a node is to be evicted, the node controller or the kubelet adds relevan
 with `NoExecute` effect. If the fault condition returns to normal the kubelet or node
 controller can remove the relevant taint(s).
 -->
-在节点被驱逐时，节点控制器或者 kubelet 会添加带有 `NoExecute` 效应的相关污点。
+在节点被驱逐时，节点控制器或者 kubelet 会添加带有 `NoExecute` 效果的相关污点。
 如果异常状态恢复正常，kubelet 或节点控制器能够移除相关的污点。
 
-<!--
-To maintain the existing [rate limiting](/docs/concepts/architecture/nodes/)
-behavior of pod evictions due to node problems, the system actually adds the taints
-in a rate-limited way. This prevents massive pod evictions in scenarios such
-as the master becoming partitioned from the nodes.
--->
 {{< note >}}
-为了保证由于节点问题引起的 Pod 驱逐
-[速率限制](/zh-cn/docs/concepts/architecture/nodes/)行为正常，
-系统实际上会以限定速率的方式添加污点。在像主控节点与工作节点间通信中断等场景下，
-这样做可以避免 Pod 被大量驱逐。
+<!--
+The control plane limits the rate of adding node new taints to nodes. This rate limiting
+manages the number of evictions that are triggered when many nodes become unreachable at
+once (for example: if there is a network disruption).
+-->
+控制面会限制向节点添加新污点的速率。这一速率限制可以管理多个节点同时不可达时
+（例如出现网络中断的情况），可能触发的驱逐的数量。
 {{< /note >}}
 
 <!--
-This feature, in combination with `tolerationSeconds`, allows a pod
-to specify how long it should stay bound to a node that has one or both of these problems.
+You can specify `tolerationSeconds` for a Pod to define how long that Pod stays bound
+to a failing or unresponsive Node.
 -->
-使用这个功能特性，结合 `tolerationSeconds`，Pod 就可以指定当节点出现一个
-或全部上述问题时还将在这个节点上运行多长的时间。
+你可以为 Pod 设置 `tolerationSeconds`，以指定当节点失效或者不响应时，
+Pod 维系与该节点间绑定关系的时长。
 
 <!--
-For example, an application with a lot of local state might want to stay
-bound to node for a long time in the event of network partition, in the hope
+For example, you might want to keep an application with a lot of local state
+bound to node for a long time in the event of network partition, hoping
 that the partition will recover and thus the pod eviction can be avoided.
-The toleration the pod would use in that case would look like
+The toleration you set for that Pod might look like:
 -->
-比如，一个使用了很多本地状态的应用程序在网络断开时，仍然希望停留在当前节点上运行一段较长的时间，
-愿意等待网络恢复以避免被驱逐。在这种情况下，Pod 的容忍度可能是下面这样的：
+比如，你可能希望在出现网络分裂事件时，对于一个与节点本地状态有着深度绑定的应用而言，
+仍然停留在当前节点上运行一段较长的时间，以等待网络恢复以避免被驱逐。
+你为这种 Pod 所设置的容忍度看起来可能是这样：
 
 ```yaml
 tolerations:
@@ -424,60 +420,55 @@ tolerations:
   tolerationSeconds: 6000
 ```
 
-<!--
-Note that Kubernetes automatically adds a toleration for
-`node.kubernetes.io/not-ready` with `tolerationSeconds=300`
-unless the pod configuration provided
-by the user already has a toleration for `node.kubernetes.io/not-ready`.
-Likewise it adds a toleration for
-`node.kubernetes.io/unreachable` with `tolerationSeconds=300`
-unless the pod configuration provided
-by the user already has a toleration for `node.kubernetes.io/unreachable`.
--->
-
 {{< note >}}
-Kubernetes 会自动给 Pod 添加一个 key 为 `node.kubernetes.io/not-ready` 的容忍度
-并配置 `tolerationSeconds=300`，除非用户提供的 Pod 配置中已经已存在了 key 为
-`node.kubernetes.io/not-ready` 的容忍度。
-
-同样，Kubernetes 会给 Pod 添加一个 key 为 `node.kubernetes.io/unreachable` 的容忍度
-并配置 `tolerationSeconds=300`，除非用户提供的 Pod 配置中已经已存在了 key 为
-`node.kubernetes.io/unreachable` 的容忍度。
-{{< /note >}}
-
 <!--
+Kubernetes automatically adds a toleration for
+`node.kubernetes.io/not-ready` and `node.kubernetes.io/unreachable`
+with `tolerationSeconds=300`,
+unless you, or a controller, set those tolerations explicitly.
+
 These automatically-added tolerations mean that Pods remain bound to
 Nodes for 5 minutes after one of these problems is detected.
 -->
-这种自动添加的容忍度意味着在其中一种问题被检测到时 Pod
-默认能够继续停留在当前节点运行 5 分钟。
+Kubernetes 会自动给 Pod 添加针对 `node.kubernetes.io/not-ready` 和
+`node.kubernetes.io/unreachable` 的容忍度，且配置 `tolerationSeconds=300`，
+除非用户自身或者某控制器显式设置此容忍度。
+
+这些自动添加的容忍度意味着 Pod 可以在检测到对应的问题之一时，在 5
+分钟内保持绑定在该节点上。
+{{< /note >}}
 
 <!--
 [DaemonSet](/docs/concepts/workloads/controllers/daemonset/) pods are created with
 `NoExecute` tolerations for the following taints with no `tolerationSeconds`:
 
-  * `node.kubernetes.io/unreachable`
-  * `node.kubernetes.io/not-ready`
+* `node.kubernetes.io/unreachable`
+* `node.kubernetes.io/not-ready`
 
 This ensures that DaemonSet pods are never evicted due to these problems.
 -->
 [DaemonSet](/zh-cn/docs/concepts/workloads/controllers/daemonset/) 中的 Pod 被创建时，
 针对以下污点自动添加的 `NoExecute` 的容忍度将不会指定 `tolerationSeconds`：
 
-  * `node.kubernetes.io/unreachable`
-  * `node.kubernetes.io/not-ready`
+* `node.kubernetes.io/unreachable`
+* `node.kubernetes.io/not-ready`
 
 这保证了出现上述问题时 DaemonSet 中的 Pod 永远不会被驱逐。
 
 <!--
 ## Taint Nodes by Condition
+
+The control plane, using the node {{<glossary_tooltip text="controller" term_id="controller">}},
+automatically creates taints with a `NoSchedule` effect for
+[node conditions](/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions).
 -->
-## 基于节点状态添加污点
+## 基于节点状态添加污点  {#taint-nodes-by-condition}
+
+控制平面使用节点{{<glossary_tooltip text="控制器" term_id="controller">}}自动创建
+与[节点状况](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions)
+对应的、效果为 `NoSchedule` 的污点。
 
 <!--
-The control plane, using the node {{<glossary_tooltip text="controller" term_id="controller">}},
-automatically creates taints with a `NoSchedule` effect for [node conditions](/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions).
-
 The scheduler checks taints, not node conditions, when it makes scheduling
 decisions. This ensures that node conditions don't directly affect scheduling.
 For example, if the `DiskPressure` node condition is active, the control plane
@@ -485,15 +476,11 @@ adds the `node.kubernetes.io/disk-pressure` taint and does not schedule new pods
 onto the affected node. If the `MemoryPressure` node condition is active, the
 control plane adds the `node.kubernetes.io/memory-pressure` taint. 
 -->
-
-控制平面使用节点{{<glossary_tooltip text="控制器" term_id="controller">}}自动创建
-与[节点状况](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/#node-conditions)对应的带有 `NoSchedule` 效应的污点。
-
 调度器在进行调度时检查污点，而不是检查节点状况。这确保节点状况不会直接影响调度。
-例如，如果 `DiskPressure` 节点状况处于活跃状态，则控制平面
-添加 `node.kubernetes.io/disk-pressure` 污点并且不会调度新的 pod
-到受影响的节点。如果 `MemoryPressure` 节点状况处于活跃状态，则
-控制平面添加 `node.kubernetes.io/memory-pressure` 污点。
+例如，如果 `DiskPressure` 节点状况处于活跃状态，则控制平面添加
+`node.kubernetes.io/disk-pressure` 污点并且不会调度新的 Pod 到受影响的节点。
+如果 `MemoryPressure` 节点状况处于活跃状态，则控制平面添加
+`node.kubernetes.io/memory-pressure` 污点。
 
 <!--
 You can ignore node conditions for newly created pods by adding the corresponding
@@ -504,17 +491,16 @@ or `Burstable` QoS classes (even pods with no memory request set) as if they are
 able to cope with memory pressure, while new `BestEffort` pods are not scheduled
 onto the affected node. 
 -->
-
 对于新创建的 Pod，可以通过添加相应的 Pod 容忍度来忽略节点状况。
-控制平面还在具有除 `BestEffort` 之外的 {{<glossary_tooltip text="QoS 类" term_id="qos-class" >}}的 Pod 上
-添加 `node.kubernetes.io/memory-pressure` 容忍度。
+控制平面还在具有除 `BestEffort` 之外的
+{{<glossary_tooltip text="QoS 类" term_id="qos-class" >}}的 Pod 上添加
+`node.kubernetes.io/memory-pressure` 容忍度。
 这是因为 Kubernetes 将 `Guaranteed` 或 `Burstable` QoS 类中的 Pod（甚至没有设置内存请求的 Pod）
 视为能够应对内存压力，而新创建的 `BestEffort` Pod 不会被调度到受影响的节点上。
 
 <!--
-The DaemonSet controller automatically adds the
-following `NoSchedule` tolerations to all daemons, to prevent DaemonSets from
-breaking.
+The DaemonSet controller automatically adds the following `NoSchedule`
+tolerations to all daemons, to prevent DaemonSets from breaking.
 
   * `node.kubernetes.io/memory-pressure`
   * `node.kubernetes.io/disk-pressure`
@@ -523,13 +509,13 @@ breaking.
   * `node.kubernetes.io/network-unavailable` (*host network only*)
 -->
 
-DaemonSet 控制器自动为所有守护进程添加如下 `NoSchedule` 容忍度以防 DaemonSet 崩溃：
+DaemonSet 控制器自动为所有守护进程添加如下 `NoSchedule` 容忍度，以防 DaemonSet 崩溃：
 
-  * `node.kubernetes.io/memory-pressure`
-  * `node.kubernetes.io/disk-pressure`
-  * `node.kubernetes.io/pid-pressure` (1.14 或更高版本)
-  * `node.kubernetes.io/unschedulable` (1.10 或更高版本)
-  * `node.kubernetes.io/network-unavailable` (**只适合主机网络配置**)
+* `node.kubernetes.io/memory-pressure`
+* `node.kubernetes.io/disk-pressure`
+* `node.kubernetes.io/pid-pressure` (1.14 或更高版本)
+* `node.kubernetes.io/unschedulable` (1.10 或更高版本)
+* `node.kubernetes.io/network-unavailable` (**只适合主机网络配置**)
 
 <!--
 Adding these tolerations ensures backward compatibility. You can also add
@@ -541,8 +527,10 @@ arbitrary tolerations to DaemonSets.
 ## {{% heading "whatsnext" %}}
 
 <!--
-* Read about [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/) and how you can configure it
+* Read about [Node-pressure Eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
+  and how you can configure it
 * Read about [Pod Priority](/docs/concepts/scheduling-eviction/pod-priority-preemption/)
 -->
-* 阅读[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)，以及如何配置其行为
+* 阅读[节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/)，
+  以及如何配置其行为
 * 阅读 [Pod 优先级](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
diff --git a/content/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints.md b/content/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints.md
new file mode 100644
index 00000000000..abf8566ce1e
--- /dev/null
+++ b/content/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints.md
@@ -0,0 +1,867 @@
+---
+title: Pod 拓扑分布约束
+content_type: concept
+weight: 40
+---
+
+<!-- 
+title: Pod Topology Spread Constraints
+content_type: concept
+weight: 40 
+-->
+
+<!-- overview -->
+
+<!-- 
+You can use _topology spread constraints_ to control how
+{{< glossary_tooltip text="Pods" term_id="Pod" >}} are spread across your cluster
+among failure-domains such as regions, zones, nodes, and other user-defined topology
+domains. This can help to achieve high availability as well as efficient resource
+utilization.
+
+You can set [cluster-level constraints](#cluster-level-default-constraints) as a default,
+or configure topology spread constraints for individual workloads. 
+-->
+你可以使用 **拓扑分布约束（Topology Spread Constraints）** 来控制
+{{< glossary_tooltip text="Pod" term_id="Pod" >}} 在集群内故障域之间的分布，
+例如区域（Region）、可用区（Zone）、节点和其他用户自定义拓扑域。
+这样做有助于实现高可用并提升资源利用率。
+
+你可以将[集群级约束](#cluster-level-default-constraints)设为默认值，或为个别工作负载配置拓扑分布约束。
+
+<!-- body -->
+
+<!-- 
+## Motivation
+
+Imagine that you have a cluster of up to twenty nodes, and you want to run a
+{{< glossary_tooltip text="workload" term_id="workload" >}}
+that automatically scales how many replicas it uses. There could be as few as
+two Pods or as many as fifteen.
+When there are only two Pods, you'd prefer not to have both of those Pods run on the
+same node: you would run the risk that a single node failure takes your workload
+offline.
+
+In addition to this basic usage, there are some advanced usage examples that
+enable your workloads to benefit on high availability and cluster utilization. 
+-->
+## 动机 {#motivation}
+
+假设你有一个最多包含二十个节点的集群，你想要运行一个自动扩缩的
+{{< glossary_tooltip text="工作负载" term_id="workload" >}}，请问要使用多少个副本？
+答案可能是最少 2 个 Pod，最多 15 个 Pod。
+当只有 2 个 Pod 时，你倾向于这 2 个 Pod 不要同时在同一个节点上运行：
+你所遭遇的风险是如果放在同一个节点上且单节点出现故障，可能会让你的工作负载下线。
+
+除了这个基本的用法之外，还有一些高级的使用案例，能够让你的工作负载受益于高可用性并提高集群利用率。
+
+<!-- 
+As you scale up and run more Pods, a different concern becomes important. Imagine
+that you have three nodes running five Pods each. The nodes have enough capacity
+to run that many replicas; however, the clients that interact with this workload
+are split across three different datacenters (or infrastructure zones). Now you
+have less concern about a single node failure, but you notice that latency is
+higher than you'd like, and you are paying for network costs associated with
+sending network traffic between the different zones.
+
+You decide that under normal operation you'd prefer to have a similar number of replicas
+[scheduled](/docs/concepts/scheduling-eviction/) into each infrastructure zone,
+and you'd like the cluster to self-heal in the case that there is a problem.
+
+Pod topology spread constraints offer you a declarative way to configure that.
+-->
+随着你的工作负载扩容，运行的 Pod 变多，将需要考虑另一个重要问题。
+假设你有 3 个节点，每个节点运行 5 个 Pod。这些节点有足够的容量能够运行许多副本；
+但与这个工作负载互动的客户端分散在三个不同的数据中心（或基础设施可用区）。
+现在你可能不太关注单节点故障问题，但你会注意到延迟高于自己的预期，
+在不同的可用区之间发送网络流量会产生一些网络成本。
+
+你决定在正常运营时倾向于将类似数量的副本[调度](/zh-cn/docs/concepts/scheduling-eviction/)
+到每个基础设施可用区，且你想要该集群在遇到问题时能够自愈。
+
+Pod 拓扑分布约束使你能够以声明的方式进行配置。
+
+<!-- 
+## `topologySpreadConstraints` field
+
+The Pod API includes a field, `spec.topologySpreadConstraints`. Here is an example: 
+-->
+## `topologySpreadConstraints` 字段
+
+Pod API 包括一个 `spec.topologySpreadConstraints` 字段。这里有一个示例：
+
+```yaml
+---
+apiVersion: v1
+kind: Pod
+metadata:
+  name: example-pod
+spec:
+  # 配置一个拓扑分布约束
+  topologySpreadConstraints:
+    - maxSkew: <integer>
+      minDomains: <integer> # 可选；自从 v1.24 开始成为 Alpha
+      topologyKey: <string>
+      whenUnsatisfiable: <string>
+      labelSelector: <object>
+  ### 其他 Pod 字段置于此处
+```
+
+<!-- 
+You can read more about this field by running `kubectl explain Pod.spec.topologySpreadConstraints`. 
+-->
+你可以运行 `kubectl explain Pod.spec.topologySpreadConstraints` 阅读有关此字段的更多信息。
+
+<!-- 
+### Spread constraint definition
+
+You can define one or multiple `topologySpreadConstraints` entries to instruct the
+kube-scheduler how to place each incoming Pod in relation to the existing Pods across
+your cluster. Those fields are: 
+-->
+### 分布约束定义
+
+你可以定义一个或多个 `topologySpreadConstraints` 条目以指导 kube-scheduler
+如何将每个新来的 Pod 与跨集群的现有 Pod 相关联。这些字段包括：
+
+<!--
+- **maxSkew** describes the degree to which Pods may be unevenly distributed. You must
+  specify this field and the number must be greater than zero. Its semantics differ
+  according to the value of `whenUnsatisfiable`:
+
+  - if you select `whenUnsatisfiable: DoNotSchedule`, then `maxSkew` defines the
+    maximum permitted difference between the number of matching pods in the target
+    topology and the _global minimum_
+    (the minimum number of pods that match the label selector in a topology domain).
+    For example, if you have 3 zones with 2, 4 and 5 matching pods respectively,
+    then the global minimum is 2 and `maxSkew` is compared relative to that number.
+  - if you select `whenUnsatisfiable: ScheduleAnyway`, the scheduler gives higher
+    precedence to topologies that would help reduce the skew.
+-->
+- **maxSkew** 描述这些 Pod 可能被均匀分布的程度。你必须指定此字段且该数值必须大于零。
+  其语义将随着 `whenUnsatisfiable` 的值发生变化：
+  
+  - 如果你选择 `whenUnsatisfiable: DoNotSchedule`，则 `maxSkew` 定义目标拓扑中匹配 Pod 的数量与
+    **全局最小值**（与拓扑域中标签选择算符匹配的最小 Pod 数量）之间的最大允许差值。
+    例如，如果你有 3 个可用区，分别有 2、4 和 5 个匹配的 Pod，则全局最小值为 2，
+    而 `maxSkew` 相对于该数字进行比较。
+  - 如果你选择 `whenUnsatisfiable: ScheduleAnyway`，则该调度器会更为偏向能够降低偏差值的拓扑域。
+
+<!--
+- **minDomains** indicates a minimum number of eligible domains. This field is optional.
+  A domain is a particular instance of a topology. An eligible domain is a domain whose
+  nodes match the node selector.
+
+  The `minDomains` field is an alpha field added in 1.24. You have to enable the
+  `MinDomainsInPodToplogySpread` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
+  in order to use it.
+-->
+- **minDomains** 表示符合条件的域的最小数量。此字段是可选的。域是拓扑的一个特定实例。
+  符合条件的域是其节点与节点选择器匹配的域。
+  
+  {{< note >}}
+  `minDomains` 字段是 1.24 中添加的一个 Alpha 字段。
+  你必须启用 `MinDomainsInPodToplogySpread` [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)，才能使用该字段。
+  {{< /note >}}
+  
+  <!--
+  - The value of `minDomains` must be greater than 0, when specified.
+    You can only specify `minDomains` in conjunction with `whenUnsatisfiable: DoNotSchedule`.
+  - When the number of eligible domains with match topology keys is less than `minDomains`,
+    Pod topology spread treats global minimum as 0, and then the calculation of `skew` is performed.
+    The global minimum is the minimum number of matching Pods in an eligible domain,
+    or zero if the number of eligible domains is less than `minDomains`.
+  - When the number of eligible domains with matching topology keys equals or is greater than
+    `minDomains`, this value has no effect on scheduling.
+  - If you do not specify `minDomains`, the constraint behaves as if `minDomains` is 1.
+  -->
+
+  - 指定的 `minDomains` 值必须大于 0。你可以结合 `whenUnsatisfiable: DoNotSchedule` 仅指定 `minDomains`。
+  - 当符合条件的、拓扑键匹配的域的数量小于 `minDomains` 时，拓扑分布将“全局最小值”（global minimum）设为 0，
+    然后进行 `skew` 计算。“全局最小值” 是一个符合条件的域中匹配 Pod 的最小数量，
+    如果符合条件的域的数量小于 `minDomains`，则全局最小值为零。
+  - 当符合条件的拓扑键匹配域的个数等于或大于 `minDomains` 时，该值对调度没有影响。
+  - 如果你未指定 `minDomains`，则约束行为类似于 `minDomains` 等于 1。
+
+<!--
+- **topologyKey** is the key of [node labels](#node-labels). If two Nodes are labelled
+  with this key and have identical values for that label, the scheduler treats both
+  Nodes as being in the same topology. The scheduler tries to place a balanced number
+  of Pods into each topology domain.
+
+- **whenUnsatisfiable** indicates how to deal with a Pod if it doesn't satisfy the spread constraint:
+  - `DoNotSchedule` (default) tells the scheduler not to schedule it.
+  - `ScheduleAnyway` tells the scheduler to still schedule it while prioritizing nodes that minimize the skew.
+
+- **labelSelector** is used to find matching Pods. Pods
+  that match this label selector are counted to determine the
+  number of Pods in their corresponding topology domain.
+  See [Label Selectors](/docs/concepts/overview/working-with-objects/labels/#label-selectors)
+  for more details.
+-->
+- **topologyKey** 是[节点标签](#node-labels)的键。如果两个节点使用此键标记并且具有相同的标签值，
+  则调度器会将这两个节点视为处于同一拓扑域中。该调度器尝试在每个拓扑域中放置数量均衡的 Pod。
+
+- **whenUnsatisfiable** 指示如果 Pod 不满足分布约束时如何处理：
+  - `DoNotSchedule`（默认）告诉调度器不要调度。
+  - `ScheduleAnyway` 告诉调度器仍然继续调度，只是根据如何能将偏差最小化来对节点进行排序。
+
+- **labelSelector** 用于查找匹配的 Pod。匹配此标签的 Pod 将被统计，以确定相应拓扑域中 Pod 的数量。
+  有关详细信息，请参考[标签选择算符](/zh-cn/docs/concepts/overview/working-with-objects/labels/#label-selectors)。
+
+<!--
+When a Pod defines more than one `topologySpreadConstraint`, those constraints are
+combined using a logical AND operation: the kube-scheduler looks for a node for the incoming Pod
+that satisfies all the configured constraints.
+-->
+当 Pod 定义了不止一个 `topologySpreadConstraint`，这些约束之间是逻辑与的关系。
+kube-scheduler 会为新的 Pod 寻找一个能够满足所有约束的节点。
+
+<!--
+### Node labels
+
+Topology spread constraints rely on node labels to identify the topology
+domain(s) that each {{< glossary_tooltip text="node" term_id="node" >}} is in.
+For example, a node might have labels:
+-->
+### 节点标签 {#node-labels}
+
+拓扑分布约束依赖于节点标签来标识每个{{< glossary_tooltip text="节点" term_id="node" >}}所在的拓扑域。例如，某节点可能具有标签：
+
+```yaml
+  region: us-east-1
+  zone: us-east-1a
+```
+
+<!--
+For brevity, this example doesn't use the
+[well-known](/docs/reference/labels-annotations-taints/) label keys
+`topology.kubernetes.io/zone` and `topology.kubernetes.io/region`. However,
+those registered label keys are nonetheless recommended rather than the private
+(unqualified) label keys `region` and `zone` that are used here.
+
+You can't make a reliable assumption about the meaning of a private label key
+between different contexts.
+-->
+{{< note >}}
+为了简便，此示例未使用[众所周知](/zh-cn/docs/reference/labels-annotations-taints/)的标签键
+`topology.kubernetes.io/zone` 和 `topology.kubernetes.io/region`。
+但是，建议使用那些已注册的标签键，而不是此处使用的私有（不合格）标签键 `region` 和 `zone`。
+
+你无法对不同上下文之间的私有标签键的含义做出可靠的假设。
+{{< /note >}}
+
+<!--
+Suppose you have a 4-node cluster with the following labels:
+-->
+假设你有一个 4 节点的集群且带有以下标签：
+
+```
+NAME    STATUS   ROLES    AGE     VERSION   LABELS
+node1   Ready    <none>   4m26s   v1.16.0   node=node1,zone=zoneA
+node2   Ready    <none>   3m58s   v1.16.0   node=node2,zone=zoneA
+node3   Ready    <none>   3m17s   v1.16.0   node=node3,zone=zoneB
+node4   Ready    <none>   2m43s   v1.16.0   node=node4,zone=zoneB
+```
+
+<!--
+Then the cluster is logically viewed as below:
+-->
+那么，从逻辑上看集群如下：
+
+{{<mermaid>}}
+graph TB
+    subgraph "zoneB"
+        n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        n1(Node1)
+        n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+<!--
+## Consistency
+
+You should set the same Pod topology spread constraints on all pods in a group.
+
+Usually, if you are using a workload controller such as a Deployment, the pod template
+takes care of this for you. If you mix different spread constraints then Kubernetes
+follows the API definition of the field; however, the behavior is more likely to become
+confusing and troubleshooting is less straightforward.
+
+You need a mechanism to ensure that all the nodes in a topology domain (such as a
+cloud provider region) are labelled consistently.
+To avoid you needing to manually label nodes, most clusters automatically
+populate well-known labels such as `topology.kubernetes.io/hostname`. Check whether
+your cluster supports this.
+-->
+## 一致性 {#Consistency}
+
+你应该为一个组中的所有 Pod 设置相同的 Pod 拓扑分布约束。
+
+通常，如果你正使用一个工作负载控制器，例如 Deployment，则 Pod 模板会你你解决这个问题。
+如果你混合不同的分布约束，则 Kubernetes 会遵循该字段的 API 定义；
+但是，该行为可能更令人困惑，并且故障排除也没那么简单。
+
+你需要一种机制来确保拓扑域（例如云提供商区域）中的所有节点具有一致的标签。
+为了避免你需要手动为节点打标签，大多数集群会自动填充知名的标签，
+例如 `topology.kubernetes.io/hostname`。检查你的集群是否支持此功能。
+
+<!--
+## Topology spread constraint examples
+
+### Example: one topology spread constraint {#example-one-topologyspreadconstraint}
+
+Suppose you have a 4-node cluster where 3 Pods labelled `foo: bar` are located in
+node1, node2 and node3 respectively:
+-->
+## 拓扑分布约束示例 {#topology-spread-constraint-examples}
+
+### 示例：一个拓扑分布约束 {#example-one-topologyspreadconstraint}
+
+假设你拥有一个 4 节点集群，其中标记为 `foo: bar` 的 3 个 Pod 分别位于 node1、node2 和 node3 中：
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+<!--
+If you want an incoming Pod to be evenly spread with existing Pods across zones, you
+can use a manifest similar to:
+-->
+如果你希望新来的 Pod 均匀分布在现有的可用区域，则可以按如下设置其清单：
+
+{{< codenew file="pods/topology-spread-constraints/one-constraint.yaml" >}}
+
+<!--
+From that manifest, `topologyKey: zone` implies the even distribution will only be applied
+to nodes that are labelled `zone: <any value>` (nodes that don't have a `zone` label
+are skipped). The field `whenUnsatisfiable: DoNotSchedule` tells the scheduler to let the
+incoming Pod stay pending if the scheduler can't find a way to satisfy the constraint.
+
+If the scheduler placed this incoming Pod into zone `A`, the distribution of Pods would
+become `[3, 1]`. That means the actual skew is then 2 (calculated as `3 - 1`), which
+violates `maxSkew: 1`. To satisfy the constraints and context for this example, the
+incoming Pod can only be placed onto a node in zone `B`:
+-->
+从此清单看，`topologyKey: zone` 意味着均匀分布将只应用于存在标签键值对为 `zone: <any value>` 的节点
+（没有 `zone` 标签的节点将被跳过）。如果调度器找不到一种方式来满足此约束，
+则 `whenUnsatisfiable: DoNotSchedule` 字段告诉该调度器将新来的 Pod 保持在 pending 状态。
+
+如果该调度器将这个新来的 Pod 放到可用区 `A`，则 Pod 的分布将成为 `[3, 1]`。
+这意味着实际偏差是 2（计算公式为 `3 - 1`），这违反了 `maxSkew: 1` 的约定。
+为了满足这个示例的约束和上下文，新来的 Pod 只能放到可用区 `B` 中的一个节点上：
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        p4(mypod) --> n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+或者
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        p4(mypod) --> n3
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+<!--
+You can tweak the Pod spec to meet various kinds of requirements:
+
+- Change `maxSkew` to a bigger value - such as `2` -  so that the incoming Pod can
+  be placed into zone `A` as well.
+- Change `topologyKey` to `node` so as to distribute the Pods evenly across nodes
+  instead of zones. In the above example, if `maxSkew` remains `1`, the incoming
+  Pod can only be placed onto the node `node4`.
+- Change `whenUnsatisfiable: DoNotSchedule` to `whenUnsatisfiable: ScheduleAnyway`
+  to ensure the incoming Pod to be always schedulable (suppose other scheduling APIs
+  are satisfied). However, it's preferred to be placed into the topology domain which
+  has fewer matching Pods. (Be aware that this preference is jointly normalized
+  with other internal scheduling priorities such as resource usage ratio).
+-->
+你可以调整 Pod 规约以满足各种要求：
+
+- 将 `maxSkew` 更改为更大的值，例如 `2`，这样新来的 Pod 也可以放在可用区 `A` 中。
+- 将 `topologyKey` 更改为 `node`，以便将 Pod 均匀分布在节点上而不是可用区中。
+  在上面的例子中，如果 `maxSkew` 保持为 `1`，则新来的 Pod 只能放到 `node4` 节点上。
+- 将 `whenUnsatisfiable: DoNotSchedule` 更改为 `whenUnsatisfiable: ScheduleAnyway`，
+  以确保新来的 Pod 始终可以被调度（假设满足其他的调度 API）。但是，最好将其放置在匹配 Pod 数量较少的拓扑域中。
+  请注意，这一优先判定会与其他内部调度优先级（如资源使用率等）排序准则一起进行标准化。
+
+<!--
+### Example: multiple topology spread constraints {#example-multiple-topologyspreadconstraints}
+
+This builds upon the previous example. Suppose you have a 4-node cluster where 3
+existing Pods labeled `foo: bar` are located on node1, node2 and node3 respectively:
+-->
+### 示例：多个拓扑分布约束 {#example-multiple-topologyspreadconstraints}
+
+下面的例子建立在前面例子的基础上。假设你拥有一个 4 节点集群，
+其中 3 个标记为 `foo: bar` 的 Pod 分别位于 node1、node2 和 node3 上：
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3 k8s;
+    class p4 plain;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+<!--
+You can combine two topology spread constraints to control the spread of Pods both
+by node and by zone:
+-->
+可以组合使用 2 个拓扑分布约束来控制 Pod 在节点和可用区两个维度上的分布：
+
+{{< codenew file="pods/topology-spread-constraints/two-constraints.yaml" >}}
+
+<!--
+In this case, to match the first constraint, the incoming Pod can only be placed onto
+nodes in zone `B`; while in terms of the second constraint, the incoming Pod can only be
+scheduled to the node `node4`. The scheduler only considers options that satisfy all
+defined constraints, so the only valid placement is onto node `node4`.
+-->
+在这种情况下，为了匹配第一个约束，新的 Pod 只能放置在可用区 `B` 中；
+而在第二个约束中，新来的 Pod 只能调度到节点 `node4` 上。
+该调度器仅考虑满足所有已定义约束的选项，因此唯一可行的选择是放置在节点 `node4` 上。
+
+<!--
+### Example: conflicting topology spread constraints {#example-conflicting-topologyspreadconstraints}
+
+Multiple constraints can lead to conflicts. Suppose you have a 3-node cluster across 2 zones:
+-->
+### 示例：有冲突的拓扑分布约束 {#example-conflicting-topologyspreadconstraints}
+
+多个约束可能导致冲突。假设有一个跨 2 个可用区的 3 节点集群：
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p4(Pod) --> n3(Node3)
+        p5(Pod) --> n3
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n1
+        p3(Pod) --> n2(Node2)
+    end
+
+    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+    class n1,n2,n3,n4,p1,p2,p3,p4,p5 k8s;
+    class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+<!--
+If you were to apply
+[`two-constraints.yaml`](https://raw.githubusercontent.com/kubernetes/website/main/content/en/examples/pods/topology-spread-constraints/two-constraints.yaml)
+(the manifest from the previous example)
+to **this** cluster, you would see that the Pod `mypod` stays in the `Pending` state.
+This happens because: to satisfy the first constraint, the Pod `mypod` can only
+be placed into zone `B`; while in terms of the second constraint, the Pod `mypod`
+can only schedule to node `node2`. The intersection of the two constraints returns
+an empty set, and the scheduler cannot place the Pod.
+
+To overcome this situation, you can either increase the value of `maxSkew` or modify
+one of the constraints to use `whenUnsatisfiable: ScheduleAnyway`. Depending on
+circumstances, you might also decide to delete an existing Pod manually - for example,
+if you are troubleshooting why a bug-fix rollout is not making progress.
+-->
+如果你将 [`two-constraints.yaml`](https://raw.githubusercontent.com/kubernetes/website/main/content/en/examples/pods/topology-spread-constraints/two-constraints.yaml)
+（来自上一个示例的清单）应用到**这个**集群，你将看到 Pod `mypod` 保持在 `Pending` 状态。
+出现这种情况的原因为：为了满足第一个约束，Pod `mypod` 只能放置在可用区 `B` 中；
+而在第二个约束中，Pod `mypod` 只能调度到节点 `node2` 上。
+两个约束的交集将返回一个空集，且调度器无法放置该 Pod。
+
+为了应对这种情形，你可以提高 `maxSkew` 的值或修改其中一个约束才能使用 `whenUnsatisfiable: ScheduleAnyway`。
+根据实际情形，例如若你在故障排查时发现某个漏洞修复工作毫无进展，你还可能决定手动删除一个现有的 Pod。
+
+<!--
+#### Interaction with node affinity and node selectors
+
+The scheduler will skip the non-matching nodes from the skew calculations if the
+incoming Pod has `spec.nodeSelector` or `spec.affinity.nodeAffinity` defined.
+-->
+#### 与节点亲和性和节点选择算符的相互作用 {#interaction-with-node-affinity-and-node-selectors}
+
+如果 Pod 定义了 `spec.nodeSelector` 或 `spec.affinity.nodeAffinity`，
+调度器将在偏差计算中跳过不匹配的节点。
+
+<!--
+### Example: topology spread constraints with node affinity {#example-topologyspreadconstraints-with-nodeaffinity}
+
+Suppose you have a 5-node cluster ranging across zones A to C:
+-->
+### 示例：带节点亲和性的拓扑分布约束 {#example-topologyspreadconstraints-with-nodeaffinity}
+
+假设你有一个跨可用区 A 到 C 的 5 节点集群：
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneB"
+        p3(Pod) --> n3(Node3)
+        n4(Node4)
+    end
+    subgraph "zoneA"
+        p1(Pod) --> n1(Node1)
+        p2(Pod) --> n2(Node2)
+    end
+
+classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+class n1,n2,n3,n4,p1,p2,p3 k8s;
+class p4 plain;
+class zoneA,zoneB cluster;
+{{< /mermaid >}}
+
+{{<mermaid>}}
+graph BT
+    subgraph "zoneC"
+        n5(Node5)
+    end
+
+classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
+classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
+classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
+class n5 k8s;
+class zoneC cluster;
+{{< /mermaid >}}
+
+<!--
+and you know that zone `C` must be excluded. In this case, you can compose a manifest
+as below, so that Pod `mypod` will be placed into zone `B` instead of zone `C`.
+Similarly, Kubernetes also respects `spec.nodeSelector`.
+-->
+而且你知道可用区 `C` 必须被排除在外。在这种情况下，可以按如下方式编写清单，
+以便将 Pod `mypod` 放置在可用区 `B` 上，而不是可用区 `C` 上。
+同样，Kubernetes 也会一样处理 `spec.nodeSelector`。
+
+{{< codenew file="pods/topology-spread-constraints/one-constraint-with-nodeaffinity.yaml" >}}
+
+<!--
+## Implicit conventions
+
+There are some implicit conventions worth noting here:
+
+- Only the Pods holding the same namespace as the incoming Pod can be matching candidates.
+
+- The scheduler bypasses any nodes that don't have any `topologySpreadConstraints[*].topologyKey`
+  present. This implies that:
+
+  1. any Pods located on those bypassed nodes do not impact `maxSkew` calculation - in the
+     above example, suppose the node `node1` does not have a label "zone", then the 2 Pods will
+     be disregarded, hence the incoming Pod will be scheduled into zone `A`.
+  2. the incoming Pod has no chances to be scheduled onto this kind of nodes -
+     in the above example, suppose a node `node5` has the **mistyped** label `zone-typo: zoneC`
+     (and no `zone` label set). After node `node5` joins the cluster, it will be bypassed and
+     Pods for this workload aren't scheduled there.
+-->
+## 隐式约定 {#implicit-conventions}
+
+这里有一些值得注意的隐式约定：
+
+- 只有与新来的 Pod 具有相同命名空间的 Pod 才能作为匹配候选者。
+
+- 调度器会忽略没有任何 `topologySpreadConstraints[*].topologyKey` 的节点。这意味着：
+  
+  1. 位于这些节点上的 Pod 不影响 `maxSkew` 计算，在上面的例子中，假设节点 `node1` 没有标签 "zone"，
+     则 2 个 Pod 将被忽略，因此新来的 Pod 将被调度到可用区 `A` 中。
+  2. 新的 Pod 没有机会被调度到这类节点上。在上面的例子中，
+     假设节点 `node5` 带有 **拼写错误的** 标签 `zone-typo: zoneC`（且没有设置 `zone` 标签）。
+     节点 `node5` 接入集群之后，该节点将被忽略且针对该工作负载的 Pod 不会被调度到那里。
+
+<!--
+- Be aware of what will happen if the incoming Pod's
+  `topologySpreadConstraints[*].labelSelector` doesn't match its own labels. In the
+  above example, if you remove the incoming Pod's labels, it can still be placed onto
+  nodes in zone `B`, since the constraints are still satisfied. However, after that
+  placement, the degree of imbalance of the cluster remains unchanged - it's still zone `A`
+  having 2 Pods labelled as `foo: bar`, and zone `B` having 1 Pod labelled as
+  `foo: bar`. If this is not what you expect, update the workload's
+  `topologySpreadConstraints[*].labelSelector` to match the labels in the pod template.
+-->
+- 注意，如果新 Pod 的 `topologySpreadConstraints[*].labelSelector` 与自身的标签不匹配，将会发生什么。
+  在上面的例子中，如果移除新 Pod 的标签，则 Pod 仍然可以放置到可用区 `B` 中的节点上，因为这些约束仍然满足。
+  然而，在放置之后，集群的不平衡程度保持不变。可用区 `A` 仍然有 2 个 Pod 带有标签 `foo: bar`，
+  而可用区 `B` 有 1 个 Pod 带有标签 `foo: bar`。如果这不是你所期望的，
+  更新工作负载的 `topologySpreadConstraints[*].labelSelector` 以匹配 Pod 模板中的标签。
+
+<!--
+## Cluster-level default constraints
+
+It is possible to set default topology spread constraints for a cluster. Default
+topology spread constraints are applied to a Pod if, and only if:
+
+- It doesn't define any constraints in its `.spec.topologySpreadConstraints`.
+- It belongs to a Service, ReplicaSet, StatefulSet or ReplicationController.
+
+Default constraints can be set as part of the `PodTopologySpread` plugin
+arguments in a [scheduling profile](/docs/reference/scheduling/config/#profiles).
+The constraints are specified with the same [API above](#api), except that
+`labelSelector` must be empty. The selectors are calculated from the Services,
+ReplicaSets, StatefulSets or ReplicationControllers that the Pod belongs to.
+
+An example configuration might look like follows:
+-->
+## 集群级别的默认约束 {#cluster-level-default-constraints}
+
+为集群设置默认的拓扑分布约束也是可能的。默认拓扑分布约束在且仅在以下条件满足时才会被应用到 Pod 上：
+
+- Pod 没有在其 `.spec.topologySpreadConstraints` 中定义任何约束。
+- Pod 隶属于某个 Service、ReplicaSet、StatefulSet 或 ReplicationController。
+
+默认约束可以设置为[调度方案](/zh-cn/docs/reference/scheduling/config/#profiles)中
+`PodTopologySpread` 插件参数的一部分。约束的设置采用[如前所述的 API](#api)，
+只是 `labelSelector` 必须为空。
+选择算符是根据 Pod 所属的 Service、ReplicaSet、StatefulSet 或 ReplicationController 来设置的。
+
+配置的示例可能看起来像下面这个样子：
+
+```yaml
+apiVersion: kubescheduler.config.k8s.io/v1beta3
+kind: KubeSchedulerConfiguration
+
+profiles:
+  - schedulerName: default-scheduler
+    pluginConfig:
+      - name: PodTopologySpread
+        args:
+          defaultConstraints:
+            - maxSkew: 1
+              topologyKey: topology.kubernetes.io/zone
+              whenUnsatisfiable: ScheduleAnyway
+          defaultingType: List
+```
+
+<!--
+The [`SelectorSpread` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
+is disabled by default. The Kubernetes project recommends using `PodTopologySpread`
+to achieve similar behavior.
+-->
+{{< note >}}
+默认配置下，[`SelectorSpread` 插件](/zh-cn/docs/reference/scheduling/config/#scheduling-plugins)是被禁用的。
+Kubernetes 项目建议使用 `PodTopologySpread` 以执行类似行为。
+{{< /note >}}
+
+<!--
+### Built-in default constraints {#internal-default-constraints}
+-->
+### 内置默认约束 {#internal-default-constraints}
+
+{{< feature-state for_k8s_version="v1.24" state="stable" >}}
+
+<!--
+If you don't configure any cluster-level default constraints for pod topology spreading,
+then kube-scheduler acts as if you specified the following default topology constraints:
+-->
+如果你没有为 Pod 拓扑分布配置任何集群级别的默认约束，
+kube-scheduler 的行为就像你指定了以下默认拓扑约束一样：
+
+```yaml
+defaultConstraints:
+  - maxSkew: 3
+    topologyKey: "kubernetes.io/hostname"
+    whenUnsatisfiable: ScheduleAnyway
+  - maxSkew: 5
+    topologyKey: "topology.kubernetes.io/zone"
+    whenUnsatisfiable: ScheduleAnyway
+```
+
+<!--
+Also, the legacy `SelectorSpread` plugin, which provides an equivalent behavior,
+is disabled by default.
+-->
+此外，原来用于提供等同行为的 `SelectorSpread` 插件默认被禁用。
+
+<!--
+The `PodTopologySpread` plugin does not score the nodes that don't have
+the topology keys specified in the spreading constraints. This might result
+in a different default behavior compared to the legacy `SelectorSpread` plugin when
+using the default topology constraints.
+
+If your nodes are not expected to have **both** `kubernetes.io/hostname` and
+`topology.kubernetes.io/zone` labels set, define your own constraints
+instead of using the Kubernetes defaults.
+-->
+{{< note >}}
+对于分布约束中所指定的拓扑键而言，`PodTopologySpread` 插件不会为不包含这些拓扑键的节点评分。
+这可能导致在使用默认拓扑约束时，其行为与原来的 `SelectorSpread` 插件的默认行为不同。
+
+如果你的节点不会 **同时** 设置 `kubernetes.io/hostname` 和 `topology.kubernetes.io/zone` 标签，
+你应该定义自己的约束而不是使用 Kubernetes 的默认约束。
+{{< /note >}}
+
+<!--
+If you don't want to use the default Pod spreading constraints for your cluster,
+you can disable those defaults by setting `defaultingType` to `List` and leaving
+empty `defaultConstraints` in the `PodTopologySpread` plugin configuration:
+-->
+如果你不想为集群使用默认的 Pod 分布约束，你可以通过设置 `defaultingType` 参数为 `List`，
+并将 `PodTopologySpread` 插件配置中的 `defaultConstraints` 参数置空来禁用默认 Pod 分布约束：
+
+```yaml
+apiVersion: kubescheduler.config.k8s.io/v1beta3
+kind: KubeSchedulerConfiguration
+
+profiles:
+  - schedulerName: default-scheduler
+    pluginConfig:
+      - name: PodTopologySpread
+        args:
+          defaultConstraints: []
+          defaultingType: List
+```
+
+<!--
+## Comparison with podAffinity and podAntiAffinity {#comparison-with-podaffinity-podantiaffinity}
+
+In Kubernetes, [inter-Pod affinity and anti-affinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity)
+control how Pods are scheduled in relation to one another - either more packed
+or more scattered.
+
+`podAffinity`
+: attracts Pods; you can try to pack any number of Pods into qualifying
+  topology domain(s)
+`podAntiAffinity`
+: repels Pods. If you set this to `requiredDuringSchedulingIgnoredDuringExecution` mode then
+  only a single Pod can be scheduled into a single topology domain; if you choose
+  `preferredDuringSchedulingIgnoredDuringExecution` then you lose the ability to enforce the
+  constraint.
+-->
+## 比较 podAffinity 和 podAntiAffinity {#comparison-with-podaffinity-podantiaffinity}
+
+在 Kubernetes 中，Pod 间亲和性和反亲和性控制 Pod 彼此的调度方式（更密集或更分散）。
+
+对于 `podAffinity`：吸引 Pod；你可以尝试将任意数量的 Pod 集中到符合条件的拓扑域中。
+对于 `podAntiAffinity`：驱逐 Pod。如果将此设为 `requiredDuringSchedulingIgnoredDuringExecution` 模式，
+则只有单个 Pod 可以调度到单个拓扑域；如果你选择 `preferredDuringSchedulingIgnoredDuringExecution`，
+则你将丢失强制执行此约束的能力。
+
+<!--
+For finer control, you can specify topology spread constraints to distribute
+Pods across different topology domains - to achieve either high availability or
+cost-saving. This can also help on rolling update workloads and scaling out
+replicas smoothly.
+
+For more context, see the
+[Motivation](https://github.com/kubernetes/enhancements/tree/master/keps/sig-scheduling/895-pod-topology-spread#motivation)
+section of the enhancement proposal about Pod topology spread constraints.
+-->
+要实现更细粒度的控制，你可以设置拓扑分布约束来将 Pod 分布到不同的拓扑域下，从而实现高可用性或节省成本。
+这也有助于工作负载的滚动更新和平稳地扩展副本规模。
+
+有关详细信息，请参阅有关 Pod 拓扑分布约束的增强倡议的
+[动机](https://github.com/kubernetes/enhancements/tree/master/keps/sig-scheduling/895-pod-topology-spread#motivation)一节。
+
+<!--
+## Known limitations
+
+- There's no guarantee that the constraints remain satisfied when Pods are removed. For
+  example, scaling down a Deployment may result in imbalanced Pods distribution.
+
+  You can use a tool such as the [Descheduler](https://github.com/kubernetes-sigs/descheduler)
+  to rebalance the Pods distribution.
+- Pods matched on tainted nodes are respected.
+  See [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921).
+-->
+## 已知局限性 {#known-limitations}
+
+- 当 Pod 被移除时，无法保证约束仍被满足。例如，缩减某 Deployment 的规模时，Pod 的分布可能不再均衡。
+  
+  你可以使用 [Descheduler](https://github.com/kubernetes-sigs/descheduler) 来重新实现 Pod 分布的均衡。
+
+- 具有污点的节点上匹配的 Pod 也会被统计。
+  参考 [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921)。
+
+<!--
+- The scheduler doesn't have prior knowledge of all the zones or other topology
+  domains that a cluster has. They are determined from the existing nodes in the
+  cluster. This could lead to a problem in autoscaled clusters, when a node pool (or
+  node group) is scaled to zero nodes, and you're expecting the cluster to scale up,
+  because, in this case, those topology domains won't be considered until there is
+  at least one node in them.  
+  You can work around this by using an cluster autoscaling tool that is aware of
+  Pod topology spread constraints and is also aware of the overall set of topology
+  domains.
+-->
+- 该调度器不会预先知道集群拥有的所有可用区和其他拓扑域。
+  拓扑域由集群中存在的节点确定。在自动扩缩的集群中，如果一个节点池（或节点组）的节点数量缩减为零，
+  而用户正期望其扩容时，可能会导致调度出现问题。
+  因为在这种情况下，调度器不会考虑这些拓扑域，因为其中至少有一个节点。  
+  你可以通过使用感知 Pod 拓扑分布约束并感知整个拓扑域集的集群自动扩缩工具来解决此问题。
+
+## {{% heading "whatsnext" %}}
+
+<!--
+- The blog article [Introducing PodTopologySpread](/blog/2020/05/introducing-podtopologyspread/)
+  explains `maxSkew` in some detail, as well as covering some advanced usage examples.
+- Read the [scheduling](/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling) section of
+  the API reference for Pod.
+-->
+- 博客：[PodTopologySpread 介绍](/blog/2020/05/introducing-podtopologyspread/)详细解释了 `maxSkew`，
+  并给出了一些进阶的使用示例。
+- 阅读针对 Pod 的 API 参考的
+  [调度](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling)一节。
diff --git a/content/zh-cn/docs/concepts/security/controlling-access.md b/content/zh-cn/docs/concepts/security/controlling-access.md
index b8b671cb8a6..cf3b1bd4818 100644
--- a/content/zh-cn/docs/concepts/security/controlling-access.md
+++ b/content/zh-cn/docs/concepts/security/controlling-access.md
@@ -40,14 +40,18 @@ following diagram:
 ## 传输安全 {#transport-security}
 
 <!--
-In a typical Kubernetes cluster, the API serves on port 443, protected by TLS.
+By default, the Kubernetes API server listens on port 6443 on the first non-localhost network interface, protected by TLS. In a typical production Kubernetes cluster, the API serves on port 443. The port can be changed with the `--secure-port`, and the listening IP address with the `--bind-address` flag.
+
 The API server presents a certificate. This certificate may be signed using
 a private certificate authority (CA), or based on a public key infrastructure linked
-to a generally recognized CA.
+to a generally recognized CA. The certificate and corresponding private key can be set by using the `--tls-cert-file` and `--tls-private-key-file` flags.
 -->
-在典型的 Kubernetes 集群中，API 服务器在 443 端口上提供服务，受 TLS 保护。
-API 服务器出示证书。
-该证书可以使用私有证书颁发机构（CA）签名，也可以基于链接到公认的 CA 的公钥基础架构签名。
+默认情况下，Kubernetes API 服务器在第一个非 localhost 网络接口的 6443 端口上进行监听，
+受 TLS 保护。在一个典型的 Kubernetes 生产集群中，API 使用 443 端口。
+该端口可以通过 `--secure-port` 进行变更，监听 IP 地址可以通过 `--bind-address` 标志进行变更。
+
+API 服务器出示证书。该证书可以使用私有证书颁发机构（CA）签名，也可以基于链接到公认的 CA 的公钥基础架构签名。
+该证书和相应的私钥可以通过使用 `--tls-cert-file` 和 `--tls-private-key-file` 标志进行设置。
 
 <!--
 If your cluster uses a private certificate authority, you need a copy of that CA
@@ -243,63 +247,7 @@ For more information, see [Auditing](/docs/tasks/debug/debug-cluster/audit/).
 Kubernetes 审计提供了一套与安全相关的、按时间顺序排列的记录，其中记录了集群中的操作序列。
 集群对用户、使用 Kubernetes API 的应用程序以及控制平面本身产生的活动进行审计。
 
-更多信息请参考 [审计](/zh-cn/docs/tasks/debug/debug-cluster/audit/).
-
-<!-- ## API server ports and IPs -->
-## API 服务器端口和 IP {#api-server-ports-and-ips}
-
-<!--
-The previous discussion applies to requests sent to the secure port of the API server
-(the typical case).  The API server can actually serve on 2 ports:
-
-By default, the Kubernetes API server serves HTTP on 2 ports:
--->
-前面的讨论适用于发送到 API 服务器的安全端口的请求（典型情况）。 API 服务器实际上可以在 2 个端口上提供服务：
-
-默认情况下，Kubernetes API 服务器在 2 个端口上提供 HTTP 服务：
-
-<!--
-  1. `localhost` port:
-
-      - is intended for testing and bootstrap, and for other components of the master node
-        (scheduler, controller-manager) to talk to the API
-      - no TLS
-      - default is port 8080
-      - default IP is localhost, change with `--insecure-bind-address` flag.
-      - request **bypasses** authentication and authorization modules.
-      - request handled by admission control module(s).
-      - protected by need to have host access
-
-  2. “Secure port”:
-
-      - use whenever possible
-      - uses TLS.  Set cert with `--tls-cert-file` and key with `--tls-private-key-file` flag.
-      - default is port 6443, change with `--secure-port` flag.
-      - default IP is first non-localhost network interface, change with `--bind-address` flag.
-      - request handled by authentication and authorization modules.
-      - request handled by admission control module(s).
-      - authentication and authorization modules run.
- -->
-  1. `localhost` 端口:
-
-      - 用于测试和引导，以及主控节点上的其他组件（调度器，控制器管理器）与 API 通信
-      - 没有 TLS
-      - 默认为端口 8080
-      - 默认 IP 为 localhost，使用 `--insecure-bind-address` 进行更改
-      - 请求 **绕过** 身份认证和鉴权模块
-      - 由准入控制模块处理的请求
-      - 受需要访问主机的保护
-
-  2. “安全端口”：
-
-      - 尽可能使用
-      - 使用 TLS。 用 `--tls-cert-file` 设置证书，用 `--tls-private-key-file` 设置密钥
-      - 默认端口 6443，使用 `--secure-port` 更改
-      - 默认 IP 是第一个非本地网络接口，使用 `--bind-address` 更改
-      - 请求须经身份认证和鉴权组件处理
-      - 请求须经准入控制模块处理
-      - 身份认证和鉴权模块运行
-
+更多信息请参考[审计](/zh-cn/docs/tasks/debug/debug-cluster/audit/)。
 
 ## {{% heading "whatsnext" %}}
 
@@ -348,4 +296,4 @@ You can learn about:
 你可以了解
 - Pod 如何使用
   [Secrets](/zh-cn/docs/concepts/configuration/secret/#service-accounts-automatically-create-and-attach-secrets-with-api-credentials)
-  获取 API 凭证.
+  获取 API 凭证。
diff --git a/content/zh-cn/docs/concepts/security/multi-tenancy.md b/content/zh-cn/docs/concepts/security/multi-tenancy.md
new file mode 100644
index 00000000000..0414c9f5402
--- /dev/null
+++ b/content/zh-cn/docs/concepts/security/multi-tenancy.md
@@ -0,0 +1,1092 @@
+---
+title: 多租户
+content_type: concept
+weight: 70
+---
+
+<!--
+title: Multi-tenancy
+content_type: concept
+weight: 70
+-->
+
+<!--
+This page provides an overview of available configuration options and best practices for cluster multi-tenancy.
+-->
+此页面概述了集群多租户的可用配置选项和最佳实践。
+
+<!--
+Sharing clusters saves costs and simplifies administration. 
+However, sharing clusters also presents challenges such as security, fairness, and managing _noisy neighbors_.
+-->
+共享集群可以节省成本并简化管理。
+然而，共享集群也带来了诸如安全性、公平性和管理**嘈杂邻居**等挑战。
+
+<!--
+Clusters can be shared in many ways. In some cases, different applications may run in the same cluster. 
+In other cases, multiple instances of the same application may run in the same cluster, one for each end user. 
+All these types of sharing are frequently described using the umbrella term _multi-tenancy_.
+-->
+集群可以通过多种方式共享。在某些情况下，不同的应用可能会在同一个集群中运行。
+在其他情况下，同一应用的多个实例可能在同一个集群中运行，每个实例对应一个最终用户。
+所有这些类型的共享经常使用一个总括术语**多租户（Multi-Tenancy）**来表述。
+
+<!--
+While Kubernetes does not have first-class concepts of end users or tenants, 
+it provides several features to help manage different tenancy requirements. These are discussed below.
+-->
+虽然 Kubernetes 没有最终用户或租户的一阶概念，
+它还是提供了几个特性来帮助管理不同的租户需求。下面将对此进行讨论。
+
+<!--
+## Use cases
+-->
+## 用例 {#use-cases}
+
+<!--
+The first step to determining how to share your cluster is understanding your use case, 
+so you can evaluate the patterns and tools available. 
+In general, multi-tenancy in Kubernetes clusters falls into two broad categories, 
+though many variations and hybrids are also possible.
+-->
+确定如何共享集群的第一步是理解用例，以便你可以评估可用的模式和工具。
+一般来说，Kubernetes 集群中的多租户分为两大类，但也可以有许多变体和混合。
+
+<!--
+### Multiple teams 
+-->
+### 多团队 {#multiple-teams}
+
+<!--
+A common form of multi-tenancy is to share a cluster between multiple teams within an organization, 
+each of whom may operate one or more workloads. 
+These workloads frequently need to communicate with each other, 
+and with other workloads located on the same or different clusters.
+-->
+多租户的一种常见形式是在组织内的多个团队之间共享一个集群，每个团队可以操作一个或多个工作负载。
+这些工作负载经常需要相互通信，并与位于相同或不同集群上的其他工作负载进行通信。
+
+<!--
+In this scenario, members of the teams often have direct access to Kubernetes resources via tools such as `kubectl`, 
+or indirect access through GitOps controllers or other types of release automation tools. 
+There is often some level of trust between members of different teams, 
+but Kubernetes policies such as RBAC, quotas, and network policies are essential to safely and fairly share clusters.
+-->
+在这一场景中，团队成员通常可以通过类似 `kubectl` 等工具直接访问 Kubernetes 资源，
+或者通过 GitOps 控制器或其他类型的自动化发布工具间接访问 Kubernetes 资源。
+不同团队的成员之间通常存在某种程度的信任，
+但 RBAC、配额和网络策略等 Kubernetes 策略对于安全、公平地共享集群至关重要。
+
+<!--
+### Multiple customers 
+-->
+### 多客户 {#multiple-customers}
+
+<!--
+The other major form of multi-tenancy frequently involves a Software-as-a-Service (SaaS) vendor running multiple instances of a workload for customers. 
+This business model is so strongly associated with this deployment style that many people call it "SaaS tenancy." 
+However, a better term might be "multi-customer tenancy,” since SaaS vendors may also use other deployment models, 
+and this deployment model can also be used outside of SaaS.
+-->
+多租户的另一种主要形式通常涉及为客户运行多个工作负载实例的软件即服务 (SaaS) 供应商。 
+这种业务模型与其部署风格之间的相关非常密切，以至于许多人称之为 “SaaS 租户”。  
+但是，更好的术语可能是“多客户租户（Multi-Customer Tenancy）”，因为 SaaS 供应商也可以使用其他部署模型，
+并且这种部署模型也可以在 SaaS 之外使用。
+
+<!--
+In this scenario, the customers do not have access to the cluster; 
+Kubernetes is invisible from their perspective and is only used by the vendor to manage the workloads. 
+Cost optimization is frequently a critical concern, 
+and Kubernetes policies are used to ensure that the workloads are strongly isolated from each other.
+-->
+在这种情况下，客户无权访问集群；
+从他们的角度来看，Kubernetes 是不可见的，仅由供应商用于管理工作负载。
+成本优化通常是一个关键问题，Kubernetes 策略用于确保工作负载彼此高度隔离。
+
+<!--
+## Terminology
+-->
+## 术语 {#terminology}
+
+<!--
+### Tenants
+-->
+### 租户 {#tenants}
+
+<!--
+When discussing multi-tenancy in Kubernetes, there is no single definition for a "tenant". 
+Rather, the definition of a tenant will vary depending on whether multi-team or multi-customer tenancy is being discussed.
+-->
+在讨论 Kubernetes 中的多租户时，“租户”没有单一的定义。
+相反，租户的定义将根据讨论的是多团队还是多客户租户而有所不同。
+
+<!--
+In multi-team usage, a tenant is typically a team, 
+where each team typically deploys a small number of workloads that scales with the complexity of the service. 
+However, the definition of "team" may itself be fuzzy, 
+as teams may be organized into higher-level divisions or subdivided into smaller teams.
+-->
+在多团队使用中，租户通常是一个团队，
+每个团队通常部署少量工作负载，这些工作负载会随着服务的复杂性而发生规模伸缩。
+然而，“团队”的定义本身可能是模糊的，
+因为团队可能被组织成更高级别的部门或细分为更小的团队。
+
+<!--
+By contrast, if each team deploys dedicated workloads for each new client, they are using a multi-customer model of tenancy. 
+In this case, a "tenant" is simply a group of users who share a single workload. 
+This may be as large as an entire company, or as small as a single team at that company.
+-->
+相反，如果每个团队为每个新客户部署专用的工作负载，那么他们使用的是多客户租户模型。
+在这种情况下，“租户”只是共享单个工作负载的一组用户。
+这种租户可能大到整个公司，也可能小到该公司的一个团队。
+
+<!--
+In many cases, the same organization may use both definitions of "tenants" in different contexts. 
+For example, a platform team may offer shared services such as security tools and databases to multiple internal “customers” 
+and a SaaS vendor may also have multiple teams sharing a development cluster. 
+Finally, hybrid architectures are also possible, 
+such as a SaaS provider using a combination of per-customer workloads for sensitive data, 
+combined with multi-tenant shared services.
+-->
+在许多情况下，同一组织可能在不同的上下文中使用“租户”的两种定义。
+例如，一个平台团队可能向多个内部“客户”提供安全工具和数据库等共享服务，
+而 SaaS 供应商也可能让多个团队共享一个开发集群。
+最后，混合架构也是可能的，
+例如，某 SaaS 提供商为每个客户的敏感数据提供独立的工作负载，同时提供多租户共享的服务。
+
+<!--
+{{< figure src="/images/docs/multi-tenancy.png" title="A cluster showing coexisting tenancy models" class="diagram-large" >}}
+-->
+{{< figure src="/images/docs/multi-tenancy.png" title="展示共存租户模型的集群" class="diagram-large" >}}
+
+<!--
+### Isolation
+-->
+### 隔离 {#isolation}
+
+<!--
+There are several ways to design and build multi-tenant solutions with Kubernetes. 
+Each of these methods comes with its own set of tradeoffs that impact the isolation level, 
+implementation effort, operational complexity, and cost of service. 
+-->
+使用 Kubernetes 设计和构建多租户解决方案有多种方法。
+每种方法都有自己的一组权衡，这些权衡会影响隔离级别、实现工作量、操作复杂性和服务成本。
+
+<!--
+A Kubernetes cluster consists of a control plane which runs Kubernetes software, 
+and a data plane consisting of worker nodes where tenant workloads are executed as pods. 
+Tenant isolation can be applied in both the control plane and the data plane based on organizational requirements.
+-->
+Kubernetes 集群由运行 Kubernetes 软件的控制平面和由工作节点组成的数据平面组成，
+租户工作负载作为 Pod 在工作节点上执行。
+租户隔离可以根据组织要求应用于控制平面和数据平面。
+
+<!--
+The level of isolation offered is sometimes described using terms like “hard” multi-tenancy, 
+which implies strong isolation, and “soft” multi-tenancy, which implies weaker isolation. 
+In particular, "hard" multi-tenancy is often used to describe cases where the tenants do not trust each other, 
+often from security and resource sharing perspectives (e.g. guarding against attacks such as data exfiltration or DoS). 
+Since data planes typically have much larger attack surfaces, 
+"hard" multi-tenancy often requires extra attention to isolating the data-plane, 
+though control plane isolation  also remains critical. 
+-->
+所提供的隔离级别有时会使用一些术语来描述，例如 “硬性（Hard）” 多租户意味着强隔离，
+而 “柔性（Soft）” 多租户意味着较弱的隔离。
+特别是，“硬性”多租户通常用于描述租户彼此不信任的情况，
+并且大多是从安全和资源共享的角度（例如，防范数据泄露或 DoS 攻击等）。
+由于数据平面通常具有更大的攻击面，“硬性”多租户通常需要额外注意隔离数据平面，
+尽管控制平面隔离也很关键。
+
+<!--
+However, the terms "hard" and "soft" can often be confusing, as there is no single definition that will apply to all users. 
+Rather, "hardness" or "softness" is better understood as a broad spectrum, 
+with many different techniques that can be used to maintain different types of isolation in your clusters, based on your requirements.
+-->
+但是，“硬性”和“柔性”这两个术语常常令人困惑，因为没有一种定义能够适用于所有用户。
+相反，依据“硬度（Hardness）”或“柔度（Softness）”所定义的广泛谱系则更容易理解，
+根据你的需求，可以使用许多不同的技术在集群中维护不同类型的隔离。
+
+<!--
+In more extreme cases, 
+it may be easier or necessary to forgo any cluster-level sharing at all and assign each tenant their dedicated cluster, 
+possibly even running on dedicated hardware if VMs are not considered an adequate security boundary. 
+This may be easier with managed Kubernetes clusters, 
+where the overhead of creating and operating clusters is at least somewhat taken on by a cloud provider. 
+The benefit of stronger tenant isolation must be evaluated against the cost and complexity of managing multiple clusters. 
+The [Multi-cluster SIG](https://git.k8s.io/community/sig-multicluster/README.md) is responsible for addressing these types of use cases.
+-->
+在更极端的情况下，彻底放弃所有集群级别的共享并为每个租户分配其专用集群可能更容易或有必要，
+如果认为虚拟机所提供的安全边界还不够，甚至可以在专用硬件上运行。
+对于托管的 Kubernetes 集群而言，这种方案可能更容易，
+其中创建和操作集群的开销至少在一定程度上由云提供商承担。
+必须根据管理多个集群的成本和复杂性来评估更强的租户隔离的好处。
+[Multi-Cluster SIG](https://git.k8s.io/community/sig-multicluster/README.md) 负责解决这些类型的用例。
+
+<!--
+The remainder of this page focuses on isolation techniques used for shared Kubernetes clusters. 
+However, even if you are considering dedicated clusters, it may be valuable to review these recommendations, 
+as it will give you the flexibility to shift to shared clusters in the future if your needs or capabilities change.
+-->
+本页的其余部分重点介绍用于共享 Kubernetes 集群的隔离技术。
+但是，即使你正在考虑使用专用集群，查看这些建议也可能很有价值，
+因为如果你的需求或功能发生变化，它可以让你在未来比较灵活地切换到共享集群。
+
+<!--
+## Control plane isolation
+-->
+## 控制面隔离 {#control-plane-isolation}
+
+<!--
+Control plane isolation ensures that different tenants cannot access or affect each others' Kubernetes API resources. 
+-->
+控制平面隔离确保不同租户无法访问或影响彼此的 Kubernetes API 资源。
+
+<!--
+### Namespaces
+-->
+### 命名空间 {#namespaces}
+
+<!--
+In Kubernetes, 
+a {{< glossary_tooltip text="Namespace" term_id="namespace" >}} provides a mechanism for isolating groups of API resources within a single cluster. 
+This isolation has two key dimensions:
+-->
+在 Kubernetes 中，
+{{<glossary_tooltip text="命名空间" term_id="namespace" >}}提供了一种在单个集群中隔离 API 资源组的机制。
+这种隔离有两个关键维度：
+
+<!--
+1. Object names within a namespace can overlap with names in other namespaces, similar to files in folders. 
+This allows tenants to name their resources without having to consider what other tenants are doing.
+-->
+1. 一个命名空间中的对象名称可以与其他命名空间中的名称重叠，类似于文件夹中的文件。
+   这允许租户命名他们的资源，而无需考虑其他租户在做什么。
+
+<!--
+2. Many Kubernetes security policies are scoped to namespaces. 
+For example, RBAC Roles and Network Policies are namespace-scoped resources. 
+Using RBAC, Users and Service Accounts can be restricted to a namespace.
+-->
+2. 许多 Kubernetes 安全策略的作用域是命名空间。
+   例如，RBAC Role 和 NetworkPolicy 是命名空间作用域的资源。
+   使用 RBAC，可以将用户和服务帐户限制在一个命名空间中。
+
+<!--
+In a multi-tenant environment, a Namespace helps segment a tenant's workload into a logical and distinct management unit. 
+In fact, a common practice is to isolate every workload in its own namespace, 
+even if multiple workloads are operated by the same tenant. 
+This ensures that each workload has its own identity and can be configured with an appropriate security policy.
+-->
+在多租户环境中，命名空间有助于将租户的工作负载划分到各不相同的逻辑管理单元中。
+事实上，一种常见的做法是将每个工作负载隔离在自己的命名空间中，
+即使多个工作负载由同一个租户操作。
+这可确保每个工作负载都有自己的身份，并且可以使用适当的安全策略进行配置。
+
+<!--
+The namespace isolation model requires configuration of several other Kubernetes resources, networking plugins, 
+and adherence to security best practices to properly isolate tenant workloads. 
+These considerations are discussed below.
+-->
+命名空间隔离模型需要配置其他几个 Kubernetes 资源、网络插件，
+并遵守安全最佳实践以正确隔离租户工作负载。
+这些考虑将在下面讨论。
+
+<!--
+### Access controls
+-->
+### 访问控制 {#access-controls}
+
+<!--
+The most important type of isolation for the control plane is authorization. 
+If teams or their workloads can access or modify each others' API resources, 
+they can change or disable all other types of policies thereby negating any protection those policies may offer. 
+As a result, it is critical to ensure that each tenant has the appropriate access to only the namespaces they need, 
+and no more. This is known as the "Principle of Least Privilege."
+-->
+控制平面最重要的隔离类型是授权。如果各个团队或其工作负载可以访问或修改彼此的 API 资源，
+他们可以更改或禁用所有其他类型的策略，从而取消这些策略可能提供的任何保护。
+因此，确保每个租户只对他们需要的命名空间有适当的访问权，
+而不是更多，这一点至关重要。这被称为“最小特权原则（Principle of Least Privileges）”。
+
+<!--
+Role-based access control (RBAC) is commonly used to enforce authorization in the Kubernetes control plane, 
+for both users and workloads (service accounts). 
+[Roles](/docs/reference/access-authn-authz/rbac/#role-and-clusterrole) 
+and [role bindings](/docs/reference/access-authn-authz/rbac/#rolebinding-and-clusterrolebinding) are Kubernetes objects 
+that are used at a namespace level to enforce access control in your application; 
+similar objects exist for authorizing access to cluster-level objects, 
+though these are less useful for multi-tenant clusters.
+-->
+基于角色的访问控制 (RBAC) 通常用于在 Kubernetes 控制平面中对用户和工作负载（服务帐户）强制执行鉴权。
+[角色](/zh-cn/docs/reference/access-authn-authz/rbac/#role-and-clusterrole)
+和[角色绑定](/zh-cn/docs/reference/access-authn-authz/rbac/#rolebinding-and-clusterrolebinding)是
+两种 Kubernetes 对象，用来在命名空间级别对应用实施访问控制；
+对集群级别的对象访问鉴权也有类似的对象，不过这些对象对于多租户集群不太有用。
+
+<!--
+In a multi-team environment, RBAC must be used to restrict tenants' access to the appropriate namespaces, 
+and ensure that cluster-wide resources can only be accessed or modified by privileged users such as cluster administrators. 
+-->
+在多团队环境中，必须使用 RBAC 来限制租户只能访问合适的命名空间，
+并确保集群范围的资源只能由集群管理员等特权用户访问或修改。
+
+<!--
+If a policy ends up granting a user more permissions than they need, 
+this is likely a signal that the namespace containing the affected resources should be refactored into finer-grained namespaces. 
+Namespace management tools may simplify the management of these finer-grained namespaces by applying common RBAC policies to different namespaces, 
+while still allowing fine-grained policies where necessary.
+-->
+如果一个策略最终授予用户的权限比他们所需要的还多，
+这可能是一个信号，表明包含受影响资源的命名空间应该被重构为更细粒度的命名空间。
+命名空间管理工具可以通过将通用 RBAC 策略应用于不同的命名空间来简化这些细粒度命名空间的管理，
+同时在必要时仍允许细粒度策略。
+
+<!--
+### Quotas 
+-->
+### 配额 {#quotas}
+
+<!--
+Kubernetes workloads consume node resources, like CPU and memory. In a multi-tenant environment, 
+you can use [Resource Quotas](/docs/concepts/policy/resource-quotas/) to manage resource usage of tenant workloads.
+For the multiple teams use case, 
+where tenants have access to the Kubernetes API, you can use resource quotas to limit the number of API resources 
+(for example: the number of Pods, or the number of ConfigMaps) that a tenant can create. 
+Limits on object count ensure fairness and aim to avoid _noisy neighbor_ issues from affecting other tenants that share a control plane.
+-->
+Kubernetes 工作负载消耗节点资源，例如 CPU 和内存。在多租户环境中，
+你可以使用[资源配额](/zh-cn/docs/concepts/policy/resource-quotas/)来管理租户工作负载的资源使用情况。
+对于多团队场景，各个租户可以访问 Kubernetes API，你可以使用资源配额来限制租户可以创建的 API 资源的数量
+（例如：Pod 的数量，或 ConfigMap 的数量）。
+对对象计数的限制确保了公平性，并有助于避免**嘈杂邻居**问题影响共享控制平面的其他租户。
+
+<!--
+Resource quotas are namespaced objects. 
+By mapping tenants to namespaces, 
+cluster admins can use quotas to ensure that a tenant cannot monopolize a cluster's resources or overwhelm its control plane. 
+Namespace management tools simplify the administration of quotas. 
+In addition, while Kubernetes quotas only apply within a single namespace, 
+some namespace management tools allow groups of namespaces to share quotas, 
+giving administrators far more flexibility with less effort than built-in quotas.
+-->
+资源配额是命名空间作用域的对象。
+通过将租户映射到命名空间，
+集群管理员可以使用配额来确保租户不能垄断集群的资源或压垮控制平面。
+命名空间管理工具简化了配额的管理。
+此外，虽然 Kubernetes 配额仅针对单个命名空间，
+但一些命名空间管理工具允许多个命名空间组共享配额，
+与内置配额相比，降低了管理员的工作量，同时为其提供了更大的灵活性。
+
+<!--
+Quotas prevent a single tenant from consuming greater than their allocated share of resources hence minimizing the “noisy neighbor” issue, 
+where one tenant negatively impacts the performance of other tenants' workloads. 
+-->
+配额可防止单个租户所消耗的资源超过其被分配的份额，从而最大限度地减少**嘈杂邻居**问题，
+即一个租户对其他租户工作负载的性能产生负面影响。
+
+<!--
+When you apply a quota to namespace, 
+Kubernetes requires you to also specify resource requests and limits for each container. 
+Limits are the upper bound for the amount of resources that a container can consume. 
+Containers that attempt to consume resources that exceed the configured limits will either be throttled or killed, 
+based on the resource type. 
+When resource requests are set lower than limits, 
+each container is guaranteed the requested amount but there may still be some potential for impact across workloads.
+-->
+当你对命名空间应用配额时，
+Kubernetes 要求你还为每个容器指定资源请求和限制。
+限制是容器可以消耗的资源量的上限。
+根据资源类型，尝试使用超出配置限制的资源的容器将被限制或终止。
+当资源请求设置为低于限制时，
+每个容器所请求的数量都可以得到保证，但可能仍然存在跨工作负载的一些潜在影响。
+
+<!--
+Quotas cannot protect against all kinds of resource sharing, such as network traffic. 
+Node isolation (described below) may be a better solution for this problem.
+-->
+配额不能针对所共享的所有资源（例如网络流量）提供保护。
+节点隔离（如下所述）可能是解决此问题的更好方法。
+
+<!--
+## Data Plane Isolation
+-->
+## 数据平面隔离 {#data-plane-isolation}
+
+<!--
+Data plane isolation ensures that pods and workloads for different tenants are sufficiently isolated.
+-->
+数据平面隔离确保不同租户的 Pod 和工作负载之间被充分隔离。
+
+<!--
+### Network isolation
+-->
+### 网络隔离 {#network-isolation}
+
+<!--
+By default, all pods in a Kubernetes cluster are allowed to communicate with each other, and all network traffic is unencrypted. 
+This can lead to security vulnerabilities where traffic is accidentally or maliciously sent to an unintended destination, 
+or is intercepted by a workload on a compromised node.
+-->
+默认情况下，Kubernetes 集群中的所有 Pod 都可以相互通信，并且所有网络流量都是未加密的。
+这可能导致安全漏洞，导致流量被意外或恶意发送到非预期目的地，
+或被受感染节点上的工作负载拦截。
+
+<!--
+Pod-to-pod communication can be controlled  using [Network Policies](/docs/concepts/services-networking/network-policies/), 
+which restrict communication between pods using namespace labels or IP address ranges. 
+In a multi-tenant environment where strict network isolation between tenants is required,   
+starting with a default policy that denies communication between pods is recommended 
+with another rule that allows all pods to query the DNS server for name resolution. 
+With such a default policy in place, 
+you can begin adding more permissive rules that allow for communication within a namespace. 
+This scheme can be further refined as required. 
+Note that this only applies to pods within a single control plane; 
+pods that belong to different virtual control planes cannot talk to each other via Kubernetes networking.
+-->
+Pod 之间的通信可以使用[网络策略](/zh-cn/docs/concepts/services-networking/network-policies/) 来控制，
+它使用命名空间标签或 IP 地址范围来限制 Pod 之间的通信。
+在需要租户之间严格网络隔离的多租户环境中，
+建议从拒绝 Pod 之间通信的默认策略入手，
+然后添加一条允许所有 Pod 查询 DNS 服务器以进行名称解析的规则。
+有了这样的默认策略之后，你就可以开始添加允许在命名空间内进行通信的更多规则。
+该方案可根据需要进一步细化。
+请注意，这仅适用于单个控制平面内的 Pod；
+属于不同虚拟控制平面的 Pod 不能通过 Kubernetes 网络相互通信。
+
+<!--
+Namespace management tools may simplify the creation of default or common network policies. 
+In addition, some of these tools allow you to enforce a consistent set of namespace labels across your cluster, 
+ensuring that they are a trusted basis for your policies.
+-->
+命名空间管理工具可以简化默认或通用网络策略的创建。
+此外，其中一些工具允许你在整个集群中强制实施一组一致的命名空间标签，
+确保它们是你策略的可信基础。
+
+{{< warning >}}
+<!--
+Network policies require a 
+[CNI plugin](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#cni) 
+that supports the implementation of network policies. 
+Otherwise, NetworkPolicy resources will be ignored.
+-->
+网络策略需要一个支持网络策略实现的 
+[CNI 插件](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#cni)。
+否则，NetworkPolicy 资源将被忽略。
+{{< /warning >}}
+
+<!--
+More advanced network isolation may be provided by service meshes, 
+which provide OSI Layer 7 policies based on workload identity, in addition to namespaces. 
+These higher-level policies can make it easier to manage namespaced based multi-tenancy, 
+especially when multiple namespaces are dedicated to a single tenant. 
+They frequently also offer encryption using mutual TLS, 
+protecting your data even in the presence of a compromised node, 
+and work across dedicated or virtual clusters. 
+However, they can be significantly more complex to manage and may not be appropriate for all users.
+-->
+服务网格可以提供更高级的网络隔离，
+除了命名空间之外，它还提供基于工作负载身份的 OSI 第 7 层策略。
+这些更高层次的策略可以更轻松地管理基于命名空间的多租户，
+尤其是存在多个命名空间专用于某一个租户时。
+服务网格还经常使用双向 TLS 提供加密能力，
+即使在存在受损节点的情况下也能保护你的数据，
+并且可以跨专用或虚拟集群工作。
+但是，它们的管理可能要复杂得多，并且可能并不适合所有用户。
+
+<!--
+### Storage isolation
+-->
+### 存储隔离 {#storage-isolation}
+
+<!--
+Kubernetes offers several types of volumes that can be used as persistent storage for workloads. 
+For security and data-isolation, [dynamic volume provisioning](/docs/concepts/storage/dynamic-provisioning/) 
+is recommended and volume types that use node resources should be avoided. 
+-->
+Kubernetes 提供了若干类型的卷，可以用作工作负载的持久存储。
+为了安全和数据隔离，建议使用[动态卷制备](/zh-cn/docs/concepts/storage/dynamic-provisioning/)，
+并且应避免使用节点资源的卷类型。
+
+<!--
+[StorageClasses](/docs/concepts/storage/storage-classes/) 
+allow you to describe custom "classes" of storage offered by your cluster, based on quality-of-service levels, 
+backup policies, or custom policies determined by the cluster administrators. 
+-->
+[存储类（StorageClass）](/zh-cn/docs/concepts/storage/storage-classes/)允许你根据服务质量级别、
+备份策略或由集群管理员确定的自定义策略描述集群提供的自定义存储“类”。
+
+<!--
+Pods can request storage using a [PersistentVolumeClaim](/docs/concepts/storage/persistent-volumes/). 
+A PersistentVolumeClaim is a namespaced resource, 
+which enables isolating portions of the storage system 
+and dedicating it to tenants within the shared Kubernetes cluster. 
+However, it is important to note that a PersistentVolume is a cluster-wide resource 
+and has a lifecycle independent of workloads and namespaces.
+-->
+Pod 可以使用[持久卷申领（PersistentVolumeClaim）](/zh-cn/docs/concepts/storage/persistent-volumes/)请求存储。
+PersistentVolumeClaim 是一种命名空间作用域的资源，
+它可以隔离存储系统的不同部分，并将隔离出来的存储提供给共享 Kubernetes 集群中的租户专用。
+但是，重要的是要注意 PersistentVolume 是集群作用域的资源，
+并且其生命周期独立于工作负载和命名空间的生命周期。
+
+<!--
+For example, you can configure a separate StorageClass for each tenant and use this to strengthen isolation.
+If a StorageClass is shared, you should set a [reclaim policy of `Delete`]
+(/docs/concepts/storage/storage-classes/#reclaim-policy)
+to ensure that a PersistentVolume cannot be reused across different namespaces.
+-->
+例如，你可以为每个租户配置一个单独的 StorageClass，并使用它来加强隔离。
+如果一个 StorageClass 是共享的，你应该设置一个[回收策略](/zh-cn/docs/concepts/storage/storage-classes/#reclaim-policy)
+以确保 PersistentVolume 不能在不同的命名空间中重复使用。
+
+<!--
+### Sandboxing containers
+-->
+### 沙箱容器 {#sandboxing-containers}
+
+{{% thirdparty-content %}}
+
+<!--
+Kubernetes pods are composed of one or more containers that execute on worker nodes. 
+Containers utilize OS-level virtualization and hence offer a weaker isolation boundary 
+than virtual machines that utilize hardware-based virtualization.
+-->
+Kubernetes Pod 由在工作节点上执行的一个或多个容器组成。
+容器利用操作系统级别的虚拟化，
+因此提供的隔离边界比使用基于硬件虚拟化的虚拟机弱一些。
+
+<!--
+In a shared environment, unpatched vulnerabilities in the application 
+and system layers can be exploited by attackers for container breakouts and remote code execution 
+that allow access to host resources. 
+In some applications, like a Content Management System (CMS), 
+customers may be allowed the ability to upload and execute untrusted scripts or code. 
+In either case, mechanisms to further isolate and protect workloads using strong isolation are desirable.
+-->
+在共享环境中，攻击者可以利用应用和系统层中未修补的漏洞实现容器逃逸和远程代码执行，
+从而允许访问主机资源。
+在某些应用中，例如内容管理系统 (CMS)，
+客户可能被授权上传和执行非受信的脚本或代码。
+无论哪种情况，都需要使用强隔离进一步隔离和保护工作负载的机制。
+
+<!--
+Sandboxing provides a way to isolate workloads running in a shared cluster. 
+It typically involves running each pod in a separate execution environment 
+such as a virtual machine or a userspace kernel. 
+Sandboxing is often recommended when you are running untrusted code, 
+where workloads are assumed to be malicious. 
+Part of the reason this type of isolation is necessary is because containers are processes running on a shared kernel; 
+they mount file systems like /sys and /proc from the underlying host, 
+making them less secure than an application that runs on a virtual machine which has its own kernel. 
+While controls such as seccomp, AppArmor, and SELinux can be used to strengthen the security of containers, 
+it is hard to apply a universal set of rules to all workloads running in a shared cluster. 
+Running workloads in a sandbox environment helps to insulate the host from container escapes, 
+where an attacker exploits a vulnerability to gain access to the host system 
+and all the processes/files running on that host.
+-->
+沙箱提供了一种在共享集群中隔离运行中的工作负载的方法。
+它通常涉及在单独的执行环境（例如虚拟机或用户空间内核）中运行每个 Pod。
+当你运行不受信任的代码时（假定工作负载是恶意的），通常建议使用沙箱，
+这种隔离是必要的，部分原因是由于容器是在共享内核上运行的进程。
+它们从底层主机挂载像 /sys 和 /proc 这样的文件系统，
+这使得它们不如在具有自己内核的虚拟机上运行的应用安全。
+虽然 seccomp、AppArmor 和 SELinux 等控件可用于加强容器的安全性，
+但很难将一套通用规则应用于在共享集群中运行的所有工作负载。
+在沙箱环境中运行工作负载有助于将主机隔离开来，不受容器逃逸影响，
+在容器逃逸场景中，攻击者会利用漏洞来访问主机系统以及在该主机上运行的所有进程/文件。
+
+<!--
+Virtual machines and userspace kernels are 2 popular approaches to sandboxing. 
+The following sandboxing implementations are available:
+* [gVisor](https://gvisor.dev/) intercepts syscalls from containers 
+and runs them through a userspace kernel, written in Go, with limited access to the underlying host.
+* [Kata Containers](https://katacontainers.io/) is an OCI compliant runtime that allows you to run containers in a VM. 
+The hardware virtualization available in Kata offers an added layer of security for containers running untrusted code. 
+-->
+虚拟机和用户空间内核是两种流行的沙箱方法。
+可以使用以下沙箱实现：
+* [gVisor](https://gvisor.dev/) 拦截来自容器的系统调用，并通过用户空间内核运行它们，
+  用户空间内核采用 Go 编写，对底层主机的访问是受限的
+* [Kata Containers](https://katacontainers.io/) 是符合 OCI 的运行时，允许你在 VM 中运行容器。
+  Kata 中提供的硬件虚拟化为运行不受信任代码的容器提供了额外的安全层。
+
+<!--
+### Node Isolation
+-->
+### 节点隔离 {#node-isolation}
+
+<!--
+Node isolation is another technique that you can use to isolate tenant workloads from each other. 
+With node isolation, 
+a set of nodes is dedicated to running pods from a particular tenant and co-mingling of tenant pods is prohibited. 
+This configuration reduces the noisy tenant issue, as all pods running on a node will belong to a single tenant. 
+The risk of information disclosure is slightly lower with node isolation because an attacker 
+that manages to escape from a container will only have access to the containers and volumes mounted to that node.
+-->
+节点隔离是另一种可用于将租户工作负载相互隔离的技术。
+通过节点隔离，一组节点专用于运行来自特定租户的 Pod，并且禁止混合不同租户 Pod 集合。
+这种配置减少了嘈杂的租户问题，因为在一个节点上运行的所有 Pod 都将属于一个租户。
+节点隔离的信息泄露风险略低，
+因为成功实现容器逃逸的攻击者也只能访问挂载在该节点上的容器和卷。
+
+<!--
+Although workloads from different tenants are running on different nodes, 
+it is important to be aware that the kubelet and 
+(unless using virtual control planes) the API service are still shared services. 
+A skilled attacker could use the permissions assigned to the kubelet 
+or other pods running on the node to move laterally within the cluster 
+and gain access to tenant workloads running on other nodes. 
+If this is a major concern, consider implementing compensating controls 
+such as seccomp, AppArmor or SELinux or explore using sandboxed containers 
+or creating separate clusters for each tenant.
+-->
+尽管来自不同租户的工作负载在不同的节点上运行，
+仍然很重要的是要注意 kubelet 和
+（除非使用虚拟控制平面）API 服务仍然是共享服务。
+熟练的攻击者可以使用分配给 kubelet 或节点上运行的其他 Pod
+的权限在集群内横向移动并获得对其他节点上运行的租户工作负载的访问权限。
+如果这是一个主要问题，请考虑实施补偿控制，
+例如使用 seccomp、AppArmor 或 SELinux，或者探索使用沙箱容器，或者为每个租户创建单独的集群。
+
+<!--
+Node isolation is a little easier to reason about from a billing standpoint 
+than sandboxing containers since you can charge back per node rather than per pod. 
+It also has fewer compatibility and performance issues 
+and may be easier to implement than sandboxing containers. 
+For example, nodes for each tenant can be configured with taints 
+so that only pods with the corresponding toleration can run on them. 
+A mutating webhook could then be used to automatically add tolerations 
+and node affinities to pods deployed into tenant namespaces 
+so that they run on a specific set of nodes designated for that tenant.
+-->
+从计费的角度来看，节点隔离比沙箱容器更容易理解，
+因为你可以按节点而不是按 Pod 收费。 
+它的兼容性和性能问题也较少，而且可能比沙箱容器更容易实现。
+例如，可以为每个租户的节点配置污点，
+以便只有具有相应容忍度的 Pod 才能在其上运行。
+然后可以使用变更性质的 Webhook 自动向部署到租户命名空间中的 Pod 添加容忍度和节点亲和性，
+以便它们在为该租户指定的一组特定节点上运行。
+
+<!--
+Node isolation can be implemented using an 
+[pod node selectors](https://kubernetes.io/docs/concepts/scheduling-eviction/assign-pod-node/) 
+or a [Virtual Kubelet](https://github.com/virtual-kubelet).
+-->
+节点隔离可以使用
+[将 Pod 指派给节点](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)
+或 [Virtual Kubelet](https://github.com/virtual-kubelet) 来实现。
+
+<!--
+## Additional Considerations
+-->
+## 额外的注意事项 {#additional-considerations}
+
+<!--
+This section discusses other Kubernetes constructs and patterns that are relevant for multi-tenancy.
+-->
+本节讨论与多租户相关的其他 Kubernetes 结构和模式。
+
+<!--
+### API Priority and Fairness
+-->
+### API优先级和公平性 {#api-priority-and-fairness}
+
+<!--
+[API priority and fairness](/docs/concepts/cluster-administration/flow-control/) is a Kubernetes feature 
+that allows you to assign a priority to certain pods running within the cluster. 
+When an application calls the Kubernetes API, the API server evaluates the priority assigned to pod. 
+Calls from pods with higher priority are fulfilled before those with a lower priority. 
+When contention is high, lower priority calls can be queued until the server is less busy or you can reject the requests. 
+-->
+[API 优先级和公平性](/zh-cn/docs/concepts/cluster-administration/flow-control/)是 Kubernetes 的一个特性，
+允许你为集群中运行的某些 Pod 赋予优先级。
+当应用调用 Kubernetes API 时，API 服务器会评估分配给 Pod 的优先级。
+来自具有较高优先级的 Pod 的调用会在具有较低优先级的 Pod 的调用之前完成。
+当争用很激烈时，较低优先级的调用可以排队，直到服务器不那么忙，或者你可以拒绝请求。
+
+<!--
+Using API priority and fairness will not be very common in SaaS environments 
+unless you are allowing customers to run applications that interface with the Kubernetes API, e.g. a controller.
+-->
+使用 API 优先级和公平性在 SaaS 环境中并不常见，
+除非你允许客户运行与 Kubernetes API 接口的应用，例如控制器。
+
+<!--
+### Quality-of-Service (QoS) {#qos}
+-->
+### 服务质量 (QoS) {#qos}
+
+<!--
+When you’re running a SaaS application, 
+you may want the ability to offer different Quality-of-Service (QoS) tiers of service to different tenants. 
+For example, you may have freemium service that comes with fewer performance guarantees and features 
+and a for-fee service tier with specific performance guarantees. 
+Fortunately, there are several Kubernetes constructs that can help you accomplish this within a shared cluster, 
+including network QoS, storage classes, and pod priority and preemption. 
+The idea with each of these is to provide tenants with the quality of service 
+that they paid for. Let’s start by looking at networking QoS. 
+-->
+当你运行 SaaS 应用时，
+你可能希望能够为不同的租户提供不同的服务质量 (QoS) 层级。
+例如，你可能拥有具有性能保证和功能较差的免费增值服务，
+以及具有一定性能保证的收费服务层。
+幸运的是，有几个 Kubernetes 结构可以帮助你在共享集群中完成此任务，
+包括网络 QoS、存储类以及 Pod 优先级和抢占。
+这些都是为了给租户提供他们所支付的服务质量。
+让我们从网络 QoS 开始。
+
+<!--
+Typically, all pods on a node share a network interface. 
+Without network QoS, some pods may consume an unfair share of the available bandwidth at the expense of other pods. 
+The Kubernetes [bandwidth plugin](https://www.cni.dev/plugins/current/meta/bandwidth/) creates an 
+[extended resource](/docs/concepts/configuration/manage-resources-containers/#extended-resources) for networking 
+that allows you to use Kubernetes resources constructs, i.e. requests/limits, 
+to apply rate limits to pods by using Linux tc queues. 
+Be aware that the plugin is considered experimental as per the 
+[Network Plugins](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#support-traffic-shaping) documentation 
+and should be thoroughly tested before use in production environments. 
+-->
+通常，节点上的所有 Pod 共享一个网络接口。
+如果没有网络 QoS，一些 Pod 可能会以牺牲其他 Pod 为代价不公平地消耗可用带宽。
+Kubernetes [带宽插件](https://www.cni.dev/plugins/current/meta/bandwidth/)为网络创建
+[扩展资源](/zh-cn/docs/concepts/configuration/manage-resources-containers/#extended-resources)，
+以允许你使用 Kubernetes 的 resources 结构，即 requests 和 limits 设置。
+通过使用 Linux tc 队列将速率限制应用于 Pod。
+请注意，根据[支持流量整形](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#support-traffic-shaping)文档，
+该插件被认为是实验性的，在生产环境中使用之前应该进行彻底的测试。
+
+<!--
+For storage QoS, you will likely want to create different storage classes 
+or profiles with different performance characteristics. 
+Each storage profile can be associated with a different tier of service 
+that is optimized for different workloads such IO, redundancy, or throughput. 
+Additional logic might be necessary to allow the tenant to associate the appropriate storage profile with their workload.
+-->
+对于存储 QoS，你可能希望创建具有不同性能特征的不同存储类或配置文件。
+每个存储配置文件可以与不同的服务层相关联，该服务层针对 IO、冗余或吞吐量等不同的工作负载进行优化。
+可能需要额外的逻辑来允许租户将适当的存储配置文件与其工作负载相关联。
+
+<!--
+Finally, there’s [pod priority and preemption](/docs/concepts/scheduling-eviction/pod-priority-preemption/) 
+where you can assign priority values to pods. 
+When scheduling pods, the scheduler will try evicting pods with lower priority 
+when there are insufficient resources to schedule pods that are assigned a higher priority. 
+If you have a use case where tenants have different service tiers in in a shared cluster e.g. free and paid, 
+you may want to give higher priority to certain tiers using this feature.
+-->
+最后，还有 [Pod 优先级和抢占](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)，
+你可以在其中为 Pod 分配优先级值。
+在调度 Pod 时，当没有足够的资源来调度分配了较高优先级的 Pod 时，
+调度程序将尝试驱逐具有较低优先级的 Pod。
+如果你有一个用例，其中租户在共享集群中具有不同的服务层，例如免费和付费，
+你可能希望使用此功能为某些层级提供更高的优先级。
+
+<!--
+### DNS
+-->
+### DNS {#dns}
+
+<!--
+Kubernetes clusters include a Domain Name System (DNS) service 
+to provide translations from names to IP addresses, for all Services and Pods. 
+By default, the Kubernetes DNS service allows lookups across all namespaces in the cluster.
+-->
+Kubernetes 集群包括一个域名系统 (DNS) 服务，
+可为所有服务和 Pod 提供从名称到 IP 地址的转换。
+默认情况下，Kubernetes DNS 服务允许在集群中的所有命名空间中进行查找。
+
+<!--
+In multi-tenant environments where tenants can access pods and other Kubernetes resources, 
+or where stronger isolation is required, 
+it may be necessary to prevent pods from looking up services in other Namespaces.
+You can restrict cross-namespace DNS lookups by configuring security rules for the DNS service.
+For example, CoreDNS (the default DNS service for Kubernetes) can leverage Kubernetes metadata
+to restrict queries to Pods and Services within a namespace. 
+For more information, read an 
+[example](https://github.com/coredns/policy#kubernetes-metadata-multi-tenancy-policy) of configuring
+this within the CoreDNS documentation.
+-->
+在多租户环境中，租户可以访问 Pod 和其他 Kubernetes 资源，
+或者在需要更强隔离的情况下，可能需要阻止 Pod 在其他名称空间中查找服务。
+你可以通过为 DNS 服务配置安全规则来限制跨命名空间的 DNS 查找。
+例如，CoreDNS（Kubernetes 的默认 DNS 服务）可以利用 Kubernetes
+元数据来限制对命名空间内的 Pod 和服务的查询。
+有关更多信息，请阅读 CoreDNS 文档中配置此功能的
+[示例](https://github.com/coredns/policy#kubernetes-metadata-multi-tenancy-policy)。
+
+<!--
+When a [Virtual Control Plane per tenant](#virtual-control-plane-per-tenant) model is used, 
+a DNS service must be configured per tenant or a multi-tenant DNS service must be used. 
+Here is an example of a [customized version of CoreDNS]
+(https://github.com/kubernetes-sigs/cluster-api-provider-nested/blob/main/virtualcluster/doc/tenant-dns.md) 
+that supports multiple tenants.
+-->
+当使用[各租户独立虚拟控制面](#virtual-control-plane-per-tenant)模型时，
+必须为每个租户配置 DNS 服务或必须使用多租户 DNS 服务。
+参见一个 [CoreDNS 的定制版本](https://github.com/kubernetes-sigs/cluster-api-provider-nested/blob/main/virtualcluster/doc/tenant-dns.md)
+支持多租户的示例。
+
+<!--
+### Operators
+-->
+### Operators {#operators}
+
+<!--
+[Operators](/docs/concepts/extend-kubernetes/operator/) are Kubernetes controllers that manage applications. 
+Operators can simplify the management of multiple instances of an application, like a database service, 
+which makes them a common building block in the multi-consumer (SaaS) multi-tenancy use case.  
+-->
+[Operator 模式](/zh-cn/docs/concepts/extend-kubernetes/operator/)是管理应用的 Kubernetes 控制器。
+Operators 可以简化应用的多个实例的管理，例如数据库服务，
+这使它们成为多消费者 (SaaS) 多租户用例中的通用构建块。
+
+<!--
+Operators used in a multi-tenant environment should follow a stricter set of guidelines. 
+Specifically, the Operator should: 
+* Support creating resources within different tenant namespaces, rather than just in the namespace in which the Operator is deployed.
+* Ensure that the Pods are configured with resource requests and limits, to ensure scheduling and fairness.  
+* Support configuration of Pods for data-plane isolation techniques such as node isolation and sandboxed containers.
+-->
+在多租户环境中使用 Operators 应遵循一套更严格的准则。具体而言，Operator 应：
+* 支持在不同的租户命名空间内创建资源，而不仅仅是在部署 Operator 的命名空间内。
+* 确保 Pod 配置了资源请求和限制，以确保调度和公平。
+* 支持节点隔离、沙箱容器等数据平面隔离技术的 Pod 配置。
+
+<!--
+## Implementations
+-->
+## 实现 {#implementations}
+
+{{% thirdparty-content %}}
+
+<!--
+There are two primary ways to share a Kubernetes cluster for multi-tenancy: 
+using Namespaces (i.e. a Namespace per tenant) 
+or by virtualizing the control plane (i.e. Virtual control plane per tenant).
+-->
+为多租户共享 Kubernetes 集群有两种主要方法：
+使用命名空间（即每个租户独立的命名空间）
+或虚拟化控制平面（即每个租户独立的虚拟控制平面）。
+
+<!--
+In both cases, data plane isolation, and management of additional considerations 
+such as API Priority and Fairness, is also recommended. 
+-->
+在这两种情况下，还建议对数据平面隔离和其他考虑事项，如 API 优先级和公平性，进行管理。
+
+<!--
+Namespace isolation is well-supported by Kubernetes, has a negligible resource cost, 
+and provides mechanisms to allow tenants to interact appropriately, 
+such as by allowing service-to-service communication. 
+However, it can be difficult to configure, and doesn't apply to Kubernetes resources 
+that can't be namespaced, such as Custom Resource Definitions, Storage Classes, and Webhooks.
+-->
+Kubernetes 很好地支持命名空间隔离，其资源开销可以忽略不计，并提供了允许租户适当交互的机制，
+例如允许服务之间的通信。
+但是，它可能很难配置，而且不适用于非命名空间作用域的 Kubernetes 资源，例如自定义资源定义、存储类和 Webhook 等。
+
+<!--
+Control plane virtualization allows for isolation of non-namespaced resources 
+at the cost of somewhat higher resource usage and more difficult cross-tenant sharing. 
+It is a good option when namespace isolation is insufficient but dedicated clusters are undesirable, 
+due to the high cost of maintaining them (especially on-prem) 
+or due to their higher overhead and lack of resource sharing. 
+However, even within a virtualized control plane, 
+you will likely see benefits by using namespaces as well.
+-->
+控制平面虚拟化允许以更高的资源使用率和更困难的跨租户共享为代价隔离非命名空间作用域的资源。
+当命名空间隔离不足但不希望使用专用集群时，这是一个不错的选择，
+因为维护专用集群的成本很高（尤其是本地集群），
+或者由于专用集群的额外开销较高且缺乏资源共享。
+但是，即使在虚拟化控制平面中，你也可能会看到使用命名空间的好处。
+
+<!--
+The two options are discussed in more detail in the following sections:
+-->
+以下各节将更详细地讨论这两个选项：
+
+<!--
+### Namespace per tenant
+-->
+### 每个租户独立的命名空间 {#namespace-per-tenant}
+
+<!--
+As previously mentioned, you should consider isolating each workload in its own namespace, 
+even if you are using dedicated clusters or virtualized control planes. 
+This ensures that each workload only has access to its own resources, such as Config Maps and Secrets, 
+and allows you to tailor dedicated security policies for each workload. 
+In addition, it is a best practice to give each namespace names that are unique across your entire fleet 
+(i.e., even if they are in separate clusters), 
+as this gives you the flexibility to switch between dedicated and shared clusters in the future, 
+or to use multi-cluster tooling such as service meshes.
+-->
+如前所述，你应该考虑将每个工作负载隔离在其自己的命名空间中，
+即使你使用的是专用集群或虚拟化控制平面。
+这可确保每个工作负载只能访问其自己的资源，例如 ConfigMap 和 Secret，
+并允许你为每个工作负载定制专用的安全策略。
+此外，最佳实践是为整个集群中的每个命名空间名称提供唯一的名称（即，即使它们位于单独的集群中），
+因为这使你将来可以灵活地在专用集群和共享集群之间切换，
+或者使用多集群工具，例如服务网格。
+
+<!--
+Conversely, there are also advantages to assigning namespaces at the tenant level, 
+not just the workload level, 
+since there are often policies that apply to all workloads owned by a single tenant. 
+However, this raises its own problems. 
+Firstly, this makes it difficult or impossible to customize policies to individual workloads, 
+and secondly, it may be challenging to come up with a single level of "tenancy" that should be given a namespace.  
+For example, an organization may have divisions, teams, and subteams - which should be assigned a namespace?
+-->
+相反，在租户级别分配命名空间也有优势，
+而不仅仅是工作负载级别，
+因为通常有一些策略适用于单个租户拥有的所有工作负载。
+然而，这种方案也有自己的问题。
+首先，这使得为各个工作负载定制策略变得困难或不可能，
+其次，确定应该赋予命名空间的单一级别的 “租户” 可能很困难。
+例如，一个组织可能有部门、团队和子团队 - 哪些应该分配一个命名空间？
+
+<!--
+To solve this, Kubernetes provides the [Hierarchical Namespace Controller (HNC)]
+(https://github.com/kubernetes-sigs/hierarchical-namespaces), 
+which allows you to organize your namespaces into hierarchies, 
+and share certain policies and resources between them. 
+It also helps you manage namespace labels, namespace lifecycles, and delegated management, 
+and share resource quotas across related namespaces. 
+These capabilities can be useful in both multi-team and multi-customer scenarios.
+-->
+为了解决这个问题，Kubernetes 提供了
+[Hierarchical Namespace Controller (HNC)](https://github.com/kubernetes-sigs/hierarchical-namespaces)，
+它允许你将多个命名空间组织成层次结构，并在它们之间共享某些策略和资源。
+它还可以帮助你管理命名空间标签、命名空间生命周期和委托管理，
+并在相关命名空间之间共享资源配额。
+这些功能在多团队和多客户场景中都很有用。
+
+<!--
+Other projects that provide similar capabilities and aid in managing namespaced resources are listed below:
+-->
+下面列出了提供类似功能并有助于管理命名空间资源的其他项目：
+
+<!--
+#### Multi-team tenancy
+-->
+#### 多团队租户 {#multi-team-tenancy}
+
+<!--
+* [Capsule](https://github.com/clastix/capsule)
+* [Kiosk](https://github.com/loft-sh/kiosk)
+-->
+* [Capsule](https://github.com/clastix/capsule)
+* [Kiosk](https://github.com/loft-sh/kiosk)
+
+<!--
+#### Multi-customer tenancy
+-->
+#### 多客户租户 {#multi-customer-tenancy}
+
+<!--
+* [Kubeplus](https://github.com/cloud-ark/kubeplus)
+-->
+* [Kubeplus](https://github.com/cloud-ark/kubeplus)
+
+<!--
+#### Policy engines
+-->
+#### 策略引擎 {#policy-engines}
+
+<!--
+Policy engines provide features to validate and generate tenant configurations:
+-->
+策略引擎提供了验证和生成租户配置的特性：
+
+<!--
+* [Kyverno](https://kyverno.io/)
+* [OPA/Gatekeeper](https://github.com/open-policy-agent/gatekeeper)
+-->
+* [Kyverno](https://kyverno.io/)
+* [OPA/Gatekeeper](https://github.com/open-policy-agent/gatekeeper)
+
+<!--
+### Virtual control plane per tenant
+-->
+### 每个租户独立的虚拟控制面    {#virtual-control-plane-per-tenant}
+
+<!--
+Another form of control-plane isolation is to use Kubernetes extensions to 
+provide each tenant a virtual control-plane that enables segmentation of cluster-wide API resources. 
+[Data plane isolation](#data-plane-isolation) techniques can be used 
+with this model to securely manage worker nodes across tenants.
+-->
+控制面隔离的另一种形式是使用 Kubernetes 扩展为每个租户提供一个虚拟控制面，
+以实现集群范围内 API 资源的分段。
+[数据平面隔离](#data-plane-isolation)技术可以与此模型一起使用，
+以安全地跨多个租户管理工作节点。
+
+<!--
+The virtual control plane based multi-tenancy model extends namespace-based multi-tenancy 
+by providing each tenant with dedicated control plane components, 
+and hence complete control over cluster-wide resources and add-on services. 
+Worker nodes are shared across all tenants, 
+and are managed by a Kubernetes cluster that is normally inaccessible to tenants. 
+This cluster is often referred to as a _super-cluster_ (or sometimes as a _host-cluster_). 
+Since a tenant’s control-plane is not directly associated 
+with underlying compute resources it is referred to as a _virtual control plane_.
+-->
+基于虚拟控制面的多租户模型通过为每个租户提供专用控制面组件来扩展基于命名空间的多租户，
+从而完全控制集群范围的资源和附加服务。
+工作节点在所有租户之间共享，并由租户通常无法访问的 Kubernetes 集群管理。
+该集群通常被称为 **超集群（Super-Cluster）**（或有时称为 **host-cluster**）。
+由于租户的控制面不直接与底层计算资源相关联，因此它被称为**虚拟控制平面**。
+
+<!--
+A virtual control plane typically consists of the Kubernetes API server, 
+the controller manager, and the etcd data store. 
+It interacts with the super cluster via a metadata synchronization controller 
+which coordinates changes across tenant control planes and the control plane of the super--cluster. 
+-->
+虚拟控制面通常由 Kubernetes API 服务器、控制器管理器和 etcd 数据存储组成。
+它通过元数据同步控制器与超集群交互，
+该控制器跨租户控制面和超集群控制面对变化进行协调。
+
+<!--
+By using per-tenant dedicated control planes, 
+most of the isolation problems due to sharing one API server among all tenants are solved. 
+Examples include noisy neighbors in the control plane, 
+uncontrollable blast radius of policy misconfigurations, 
+and conflicts between cluster scope objects such as webhooks and CRDs.  
+Hence, the virtual control plane model is particularly suitable for cases 
+where each tenant requires access to a Kubernetes API server and expects the full cluster manageability. 
+-->
+通过使用每个租户单独的专用控制面，可以解决由于所有租户共享一个 API 服务器而导致的大部分隔离问题。
+例如，控制平面中的嘈杂邻居、策略错误配置导致的不可控爆炸半径以及如
+webhook 和 CRD 等集群范围对象之间的冲突。
+因此，虚拟控制平面模型特别适用于每个租户都需要访问
+Kubernetes API 服务器并期望具有完整集群可管理性的情况。
+
+<!--
+The improved isolation comes at the cost of running 
+and maintaining an individual virtual control plane per tenant. 
+In addition, per-tenant control planes do not solve isolation problems in the data plane, 
+such as node-level noisy neighbors or security threats. 
+These must still be addressed separately.
+-->
+改进的隔离是以每个租户运行和维护一个单独的虚拟控制平面为代价的。
+此外，租户层面的控制面不能解决数据面的隔离问题，
+例如节点级的嘈杂邻居或安全威胁。
+这些仍然必须单独解决。
+
+<!--
+The Kubernetes [Cluster API - Nested (CAPN)]
+(https://github.com/kubernetes-sigs/cluster-api-provider-nested/tree/main/virtualcluster) 
+project provides an implementation of virtual control planes. 
+-->
+Kubernetes [Cluster API - Nested (CAPN)](https://github.com/kubernetes-sigs/cluster-api-provider-nested/tree/main/virtualcluster)
+项目提供了虚拟控制平面的实现。
+
+<!--
+#### Other implementations
+* [Kamaji](https://github.com/clastix/kamaji)
+* [vcluster](https://github.com/loft-sh/vcluster)
+-->
+#### 其他实现 {#other-implementations}
+* [Kamaji](https://github.com/clastix/kamaji)
+* [vcluster](https://github.com/loft-sh/vcluster)
\ No newline at end of file
diff --git a/content/zh-cn/docs/concepts/security/pod-security-policy.md b/content/zh-cn/docs/concepts/security/pod-security-policy.md
index 31137aab7f2..6ea7b7de321 100644
--- a/content/zh-cn/docs/concepts/security/pod-security-policy.md
+++ b/content/zh-cn/docs/concepts/security/pod-security-policy.md
@@ -50,11 +50,11 @@ administrator to control the following:
 -->
 ## 什么是 Pod 安全策略？   {#what-is-a-pod-security-policy}
 
-_Pod 安全策略（Pod Security Policy）_ 是集群级别的资源，它能够控制 Pod 规约
-中与安全性相关的各个方面。
-[PodSecurityPolicy](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritypolicy-v1beta1-policy)
+**Pod 安全策略（Pod Security Policy）**是集群级别的资源，它能够控制 Pod
+规约中与安全性相关的各个方面。
+[PodSecurityPolicy](/zh-cn/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritypolicy-v1beta1-policy)
 对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值，只有 Pod 满足这些条件才会被系统接受。
-Pod 安全策略允许管理员控制如下方面：
+Pod 安全策略允许管理员控制如下操作：
 
 <!--
 | Control Aspect                                      | Field Names                                 |
@@ -80,20 +80,20 @@ Pod 安全策略允许管理员控制如下方面：
 | ----------------------------------- | --------------------------------- |
 | 运行特权容器                        | [`privileged`](#privileged) |
 | 使用宿主名字空间                    | [`hostPID`、`hostIPC`](#host-namespaces) |
-| 使用宿主的网络和端口                | [`hostNetwork`, `hostPorts`](#host-namespaces) |
+| 使用宿主的网络和端口                | [`hostNetwork`、`hostPorts`](#host-namespaces) |
 | 控制卷类型的使用                    | [`volumes`](#volumes-and-file-systems) |
 | 使用宿主文件系统                    | [`allowedHostPaths`](#volumes-and-file-systems) |
 | 允许使用特定的 FlexVolume 驱动      | [`allowedFlexVolumes`](#flexvolume-drivers) |
 | 分配拥有 Pod 卷的 FSGroup 账号      | [`fsGroup`](#volumes-and-file-systems)      |
 | 以只读方式访问根文件系统            | [`readOnlyRootFilesystem`](#volumes-and-file-systems) |
-| 设置容器的用户和组 ID               | [`runAsUser`, `runAsGroup`, `supplementalGroups`](#users-and-groups) |
-| 限制 root 账号特权级提升             | [`allowPrivilegeEscalation`, `defaultAllowPrivilegeEscalation`](#privilege-escalation) |
-| Linux 权能字（Capabilities）        | [`defaultAddCapabilities`, `requiredDropCapabilities`, `allowedCapabilities`](#capabilities) |
+| 设置容器的用户和组 ID               | [`runAsUser`、`runAsGroup`、`supplementalGroups`](#users-and-groups) |
+| 限制 root 账号特权级提升             | [`allowPrivilegeEscalation`、`defaultAllowPrivilegeEscalation`](#privilege-escalation) |
+| Linux 权能字（Capabilities）        | [`defaultAddCapabilities`、`requiredDropCapabilities`、`allowedCapabilities`](#capabilities) |
 | 设置容器的 SELinux 上下文           | [`seLinux`](#selinux)                       |
 | 指定容器可以挂载的 proc 类型        | [`allowedProcMountTypes`](#allowedprocmounttypes) |
-| 指定容器使用的 AppArmor 模版        | [annotations](#apparmor)                    |
-| 指定容器使用的 seccomp 模版         | [annotations](#seccomp)                     |
-| 指定容器使用的 sysctl 模版          | [`forbiddenSysctls`,`allowedUnsafeSysctls`](#sysctl)  | 
+| 指定容器使用的 AppArmor 模板        | [annotations](#apparmor)                    |
+| 指定容器使用的 seccomp 模板         | [annotations](#seccomp)                     |
+| 指定容器使用的 sysctl 模板          | [`forbiddenSysctls`、`allowedUnsafeSysctls`](#sysctl)  | 
 
 <!--
 ## Enabling Pod Security Policies
@@ -109,7 +109,7 @@ cluster.
 
 Pod 安全策略实现为一种可选的[准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#podsecuritypolicy)。
 [启用了准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#how-do-i-turn-on-an-admission-control-plug-in)即可强制实施
-Pod 安全策略，不过如果没有授权认可策略之前即启用准入控制器 **将导致集群中无法创建任何 Pod**。
+Pod 安全策略，不过如果没有授权认可策略之前即启用准入控制器**将导致集群中无法创建任何 Pod**。
 
 <!--
 Since the pod security policy API (`policy/v1beta1/podsecuritypolicy`) is
@@ -117,8 +117,8 @@ enabled independently of the admission controller, for existing clusters it is
 recommended that policies are added and authorized before enabling the admission
 controller.
 -->
-由于 Pod 安全策略 API（`policy/v1beta1/podsecuritypolicy`）是独立于准入控制器
-来启用的，对于现有集群而言，建议在启用准入控制器之前先添加策略并对其授权。
+由于 Pod 安全策略 API（`policy/v1beta1/podsecuritypolicy`）是独立于准入控制器来启用的，
+对于现有集群而言，建议在启用准入控制器之前先添加策略并对其授权。
 
 <!--
 ## Authorizing Policies
@@ -133,7 +133,7 @@ must be authorized to use the policy, by allowing the `use` verb on the policy.
 PodSecurityPolicy 资源被创建时，并不执行任何操作。为了使用该资源，
 需要对发出请求的用户或者目标 Pod
 的[服务账号](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)授权，
-通过允许其对策略执行 `use` 动词允许其使用该策略。
+通过允许其对策略执行 `use` 动作，以允许其使用该策略。
 
 <!--
 Most Kubernetes pods are not created directly by users. Instead, they are
@@ -148,8 +148,8 @@ pod's service account (see [example](#run-another-pod)).
 大多数 Kubernetes Pod 不是由用户直接创建的。相反，这些 Pod 是由
 [Deployment](/zh-cn/docs/concepts/workloads/controllers/deployment/)、
 [ReplicaSet](/zh-cn/docs/concepts/workloads/controllers/replicaset/)
-或者经由控制器管理器模版化的控制器创建。
-赋予控制器访问策略的权限意味着对应控制器所创建的 *所有* Pod 都可访问策略。
+或者经由控制器管理器模板化的控制器创建。
+赋予控制器访问策略的权限意味着对应控制器所创建的**所有** Pod 都可访问策略。
 因此，对策略进行授权的优先方案是为 Pod 的服务账号授予访问权限
 （参见[示例](#run-another-pod)）。
 
@@ -402,12 +402,19 @@ controller selects policies according to the following criteria:
    PodSecurityPolicies doesn't matter.
 2. If the pod must be defaulted or mutated, the first PodSecurityPolicy
    (ordered by name) to allow the pod is selected.
+
+When a Pod is validated against a PodSecurityPolicy, [a `kubernetes.io/psp` annotation](/docs/reference/labels-annotations-taints/#kubernetes-io-psp)
+is added to the Pod, with the name of the PodSecurityPolicy as the annotation value.
 -->
 1. 优先考虑允许 Pod 保持原样，不会更改 Pod 字段默认值或其他配置的 PodSecurityPolicy。
    这类非更改性质的 PodSecurityPolicy 对象之间的顺序无关紧要。
 2. 如果必须要为 Pod 设置默认值或者其他配置，（按名称顺序）选择第一个允许
    Pod 操作的 PodSecurityPolicy 对象。
 
+当根据 PodSecurityPolicy 对一个 Pod 进行验证时，会为 Pod 添加
+[一个 `kubernetes.io/psp` 注释](/zh-cn/docs/reference/labels-annotations-taints/#kubernetes-io-psp)会被添加到 Pod 中，
+注解的值为 PodSecurityPolicy 的名称。
+
 {{< note >}}
 <!--
 During update operations (during which mutations to pod specs are disallowed)
@@ -457,15 +464,15 @@ alias kubectl-user='kubectl --as=system:serviceaccount:psp-example:fake-user -n
 <!--
 ### Create a policy and a pod
 
-Define the example PodSecurityPolicy object in a file. This is a policy that
-prevents the creation of privileged pods.
+This is a policy that prevents the creation of privileged pods.
+
 The name of a PodSecurityPolicy object must be a valid
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 -->
 ### 创建一个策略和一个 Pod   {#create-a-policy-and-a-pod}
 
-在一个文件中定义一个示例的 PodSecurityPolicy 对象。
-这里的策略只是用来禁止创建有特权要求的 Pods。
+下面是一个防止创建特权 Pod 的策略。
+
 PodSecurityPolicy 对象的名称必须是合法的
 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
 
@@ -477,7 +484,7 @@ And create it with kubectl:
 使用 kubectl 执行创建操作：
 
 ```shell
-kubectl-admin create -f example-psp.yaml
+kubectl-admin create -f https://k8s.io/examples/policy/example-psp.yaml
 ```
 
 <!--
@@ -517,6 +524,11 @@ pod's service account nor `fake-user` have permission to use the new policy:
 kubectl-user auth can-i use podsecuritypolicy/example
 ```
 
+<!--
+The output is similar to this:
+-->
+输出类似于：
+
 ```
 no
 ```
@@ -597,11 +609,29 @@ pod "pause" created
 ```
 
 <!--
-It works as expected! But any attempts to create a privileged pod should still
-be denied:
+It works as expected! You can verify that the pod was validated against the
+newly created PodSecurityPolicy:
 -->
 此次尝试不出所料地成功了！
-不过任何创建特权 Pod 的尝试还是会被拒绝：
+你可以验证 Pod 是根据新创建的 PodSecurityPolicy 验证的。
+
+```shell
+kubectl-user get pod pause -o yaml | grep kubernetes.io/psp
+```
+
+<!--
+The output is similar to this:
+-->
+输出类似于：
+
+```
+kubernetes.io/psp: example
+```
+<!--
+But any attempts to create a privileged pod should still
+be denied:
+-->
+但任何试图创建特权 Pod 的请求仍然会被拒绝。
 
 ```shell
 kubectl-user create -f- <<EOF
@@ -716,8 +746,7 @@ rolebinding "default:psp:unprivileged" created
 Now if you give it a minute to retry, the replicaset-controller should
 eventually succeed in creating the pod:
 -->
-现在如果你给 ReplicaSet 控制器一分钟的时间来重试，该控制器最终将能够
-成功地创建 Pod：
+现在如果你给 ReplicaSet 控制器一分钟的时间来重试，该控制器最终将能够成功地创建 Pod：
 
 ```shell
 kubectl-user get pods --watch
@@ -850,7 +879,7 @@ and `max`(inclusive). Defaults to no allowed host ports.
 此类授权将允许 Pod 访问本地回路（loopback）设备、在本地主机（localhost）
 上监听的服务、还可能用来监听同一节点上其他 Pod 的网络活动。
 
-**HostPorts** -提供可以在宿主网络名字空间中可使用的端口范围列表。 
+**HostPorts** - 提供可以在宿主网络名字空间中可使用的端口范围列表。
 该属性定义为一组 `HostPortRange` 对象的列表，每个对象中包含
 `min`（含）与 `max`（含）值的设置。
 默认不允许访问宿主端口。
@@ -906,12 +935,12 @@ PodSecurityPolicy 并不限制可以被 `PersistentVolumeClaim` 所引用的
 -->
 **FSGroup** - 控制应用到某些卷上的附加用户组。
 
-- *MustRunAs* - 要求至少指定一个 `range`。
+- **MustRunAs** - 要求至少指定一个 `range`。
   使用范围中的最小值作为默认值。所有 range 值都会被用来执行验证。
-- *MayRunAs* - 要求至少指定一个 `range`。
+- **MayRunAs** - 要求至少指定一个 `range`。
   允许不设置 `FSGroups`，且无默认值。
   如果 `FSGroup` 被设置，则所有 range 值都会被用来执行验证检查。
-- *RunAsAny* - 不提供默认值。允许设置任意 `fsGroup` ID 值。
+- **RunAsAny** - 不提供默认值。允许设置任意 `fsGroup` ID 值。
 
 <!--
 **AllowedHostPaths** - This specifies a list of host paths that are allowed
@@ -1042,15 +1071,15 @@ spec:
 
 **RunAsUser** - 控制使用哪个用户 ID 来运行容器。
 
-- *MustRunAs* - 必须至少设置一个 `range`。使用该范围内的第一个值作为默认值。
+- **MustRunAs** - 必须至少设置一个 `range`。使用该范围内的第一个值作为默认值。
   所有范围值都会被验证检查。
 
-- *MustRunAsNonRoot* - 要求提交的 Pod 具有非零 `runAsUser` 值，或在镜像中
+- **MustRunAsNonRoot** - 要求提交的 Pod 具有非零 `runAsUser` 值，或在镜像中
   （使用 UID 数值）定义了 `USER` 环境变量。
   如果 Pod 既没有设置 `runAsNonRoot`，也没有设置 `runAsUser`，则该 Pod
   会被修改以设置 `runAsNonRoot=true`，从而要求容器通过 `USER` 指令给出非零的数值形式的用户 ID。
   此配置没有默认值。采用此配置时，强烈建议设置 `allowPrivilegeEscalation=false`。
-- *RunAsAny* - 没有提供默认值。允许指定任何 `runAsUser` 配置。
+- **RunAsAny** - 没有提供默认值。允许指定任何 `runAsUser` 配置。
 
 <!--
 **RunAsGroup** - Controls which primary group ID the containers are run with.
@@ -1063,11 +1092,11 @@ spec:
 -->
 **RunAsGroup** - 控制运行容器时使用的主用户组 ID。
 
-- *MustRunAs* - 要求至少指定一个 `range` 值。第一个范围中的最小值作为默认值。
+- **MustRunAs** - 要求至少指定一个 `range` 值。第一个范围中的最小值作为默认值。
   所有范围值都被用来执行验证检查。
-- *MayRunAs* - 不要求设置 `RunAsGroup`。
+- **MayRunAs** - 不要求设置 `RunAsGroup`。
   不过，如果指定了 `RunAsGroup` 被设置，所设置值必须处于所定义的范围内。
-- *RunAsAny* - 未指定默认值。允许 `runAsGroup` 设置任何值。
+- **RunAsAny** - 未指定默认值。允许 `runAsGroup` 设置任何值。
 
 <!--
 **SupplementalGroups** - Controls which group IDs containers add.
@@ -1082,12 +1111,12 @@ spec:
 -->
 **SupplementalGroups** - 控制容器可以添加的组 ID。
 
-- *MustRunAs* - 要求至少指定一个 `range` 值。第一个范围中的最小值用作默认值。
+- **MustRunAs** - 要求至少指定一个 `range` 值。第一个范围中的最小值用作默认值。
   所有范围值都被用来执行验证检查。
-- *MayRunAs* - 要求至少指定一个 `range` 值。
+- **MayRunAs** - 要求至少指定一个 `range` 值。
   允许不指定 `supplementalGroups` 且不设置默认值。
   如果 `supplementalGroups` 被设置，则所有 range 值都被用来执行验证检查。
-- *RunAsAny* - 未指定默认值。允许为 `supplementalGroups` 设置任何值。
+- **RunAsAny** - 未指定默认值。允许为 `supplementalGroups` 设置任何值。
 
 <!--
 ### Privilege Escalation
@@ -1129,7 +1158,7 @@ pods to request `allowPrivilegeEscalation` explicitly.
 **DefaultAllowPrivilegeEscalation** - 为 `allowPrivilegeEscalation` 选项设置默认值。
 不设置此选项时的默认行为是允许特权提升，以便运行 setuid 程序。
 如果不希望运行 setuid 程序，可以使用此字段将选项的默认值设置为禁止，
-同时仍然允许 Pod 显式地请求 `allowPrivilegeEscalation`。 
+同时仍然允许 Pod 显式地请求 `allowPrivilegeEscalation`。
 
 <!--
 ### Capabilities
@@ -1194,9 +1223,9 @@ specified.
 -->
 ### SELinux
 
-- *MustRunAs* - 要求必须配置 `seLinuxOptions`。默认使用 `seLinuxOptions`。
+- **MustRunAs** - 要求必须配置 `seLinuxOptions`。默认使用 `seLinuxOptions`。
   针对 `seLinuxOptions` 所给值执行验证检查。
-- *RunAsAny* - 没有提供默认值。允许任意指定的 `seLinuxOptions` 选项。
+- **RunAsAny** - 没有提供默认值。允许任意指定的 `seLinuxOptions` 选项。
 
 <!--
 ### AllowedProcMountTypes
@@ -1238,7 +1267,6 @@ Controlled via annotations on the PodSecurityPolicy. Refer to the
 详情请参阅
 [AppArmor 文档](/zh-cn/docs/tutorials/security/apparmor/#podsecuritypolicy-annotations)。
 
-
 <!--
 ### Seccomp
 
@@ -1261,7 +1289,7 @@ are:
 相同的 PodSecurityPolicy 可以用于不同版本，进而控制如何应用对应的字段或注解。
 
 **seccomp.security.alpha.kubernetes.io/defaultProfileName** -
-注解用来指定为容器配置默认的 seccomp 模版。可选值为：
+注解用来指定为容器配置默认的 seccomp 模板。可选值为：
 
 <!--
 - `unconfined` - Seccomp is not applied to the container processes (this is the
@@ -1274,19 +1302,13 @@ are:
   `--seccomp-profile-root` flag on the Kubelet. If the `--seccomp-profile-root`
   flag is not defined, the default path will be used, which is
   `<root-dir>/seccomp` where `<root-dir>` is specified by the `--root-dir` flag.
-
-  {{< note >}}
-  The `--seccomp-profile-root` flag is deprecated since Kubernetes
-  v1.19. Users are encouraged to use the default path.
-  {{< /note >}}
-
 -->
 - `unconfined` - 如果没有指定其他替代方案，Seccomp 不会被应用到容器进程上
   （Kubernets 中的默认设置）。
-- `runtime/default` - 使用默认的容器运行时模版。
-- `docker/default` - 使用 Docker 的默认 seccomp 模版。自 1.11 版本废弃。
+- `runtime/default` - 使用默认的容器运行时模板。
+- `docker/default` - 使用 Docker 的默认 seccomp 模板。自 1.11 版本废弃。
   应改为使用 `runtime/default`。
-- `localhost/<路径名>` - 指定节点上路径 `<seccomp_root>/<路径名>` 下的一个文件作为其模版。
+- `localhost/<路径名>` - 指定节点上路径 `<seccomp_root>/<路径名>` 下的一个文件作为其模板。
   其中 `<seccomp_root>` 是通过 `kubelet` 的标志 `--seccomp-profile-root` 来指定的。
   如果未定义 `--seccomp-profile-root` 标志，则使用默认的路径 `<root-dir>/seccomp`，
   其中 `<root-dir>` 是通过 `--root-dir` 标志来设置的。
@@ -1309,8 +1331,8 @@ default cannot be changed.
 -->
 **seccomp.security.alpha.kubernetes.io/allowedProfileNames** - 指定可以为
 Pod seccomp 注解配置的值的注解。取值为一个可用值的列表。
-表中每项可以是上述各值之一，还可以是 `*`，用来表示允许所有的模版。
-如果没有设置此注解，意味着默认的 seccomp 模版是不可更改的。
+表中每项可以是上述各值之一，还可以是 `*`，用来表示允许所有的模板。
+如果没有设置此注解，意味着默认的 seccomp 模板是不可更改的。
 
 <!--
 ### Sysctl
@@ -1357,6 +1379,5 @@ Refer to the [Sysctl documentation](/docs/tasks/administer-cluster/sysctl-cluste
 
 - 参阅 [Pod 安全标准](/zh-cn/docs/concepts/security/pod-security-standards/)，
   了解策略建议。
-- 阅读 [PodSecurityPolicy 参考](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritypolicy-v1beta1-policy)，
+- 阅读 [PodSecurityPolicy 参考](/zh-cn/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritypolicy-v1beta1-policy)，
   了解 API 细节。
-
diff --git a/content/zh-cn/docs/concepts/security/pod-security-standards.md b/content/zh-cn/docs/concepts/security/pod-security-standards.md
index 243bd9529c3..22a5f7edcda 100644
--- a/content/zh-cn/docs/concepts/security/pod-security-standards.md
+++ b/content/zh-cn/docs/concepts/security/pod-security-standards.md
@@ -43,8 +43,6 @@ Pod 安全性标准定义了三种不同的 **策略（Policy）**，以广泛
 
 <!--
 ## Profile Details
-
-### Privileged
 -->
 ## Profile 细节    {#profile-details}
 
@@ -98,10 +96,9 @@ fail validation.
 			<td>控制（Control）</td>
 			<td>策略（Policy）</td>
 		</tr>
-    		<tr>
-			<!-- <td style="white-space: nowrap">HostProcess</td> -->
-      			<td style="white-space: nowrap">HostProcess</td>
-      			<td>
+		<tr>
+			<td style="white-space: nowrap">HostProcess</td>
+			<td>
 				<p><!--Windows pods offer the ability to run <a href="/docs/tasks/configure-pod-container/create-hostprocess-pod">HostProcess containers</a> which enables privileged access to the Windows node. Privileged access to the host is disallowed in the baseline policy. -->
                                 Windows Pod 提供了运行 <a href="/zh-cn/docs/tasks/configure-pod-container/create-hostprocess-pod">HostProcess 容器</a> 的能力，这使得对 Windows 节点的特权访问成为可能。Baseline 策略中禁止对宿主的特权访问。{{< feature-state for_k8s_version="v1.23" state="beta" >}}
                                 </p>
@@ -121,7 +118,7 @@ fail validation.
 		</tr>
 		<tr>
 			<td style="white-space: nowrap"><!--Host Namespaces-->宿主名字空间</td>
-                        <td>
+			<td>
 				<p><!--Sharing the host namespaces must be disallowed.-->必须禁止共享宿主上的名字空间。</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
 				<ul>
@@ -195,7 +192,6 @@ fail validation.
 					<li><!--Undefined/nil-->未定义、nil</li>
 				</ul>
 			</td>
-			<td>
 		</tr>
 		<tr>
 			<td style="white-space: nowrap"><!--Host Ports-->宿主端口</td>
@@ -284,7 +280,7 @@ fail validation.
 				</ul>
 			</td>
 		</tr>
-    <tr>
+		<tr>
   			<td>Seccomp</td>
   			<td>
   				<p><!--Seccomp profile must not be explicitly set to <code>Unconfined</code>.-->Seccomp 配置必须不能显式设置为 <code>Unconfined</code>。</p>
@@ -304,7 +300,7 @@ fail validation.
   			</td>
   		</tr>
 		<tr>
-			<td>Sysctls</td>
+			<td style="white-space: nowrap">Sysctls</td>
 			<td>
 				<p><!--Sysctls can disable security mechanisms or affect all containers on a host, and should be disallowed except for an allowed "safe" subset. A sysctl is considered safe if it is namespaced in the container or the Pod, and it is isolated from other Pods or processes on the same Node.-->Sysctls 可以禁用安全机制或影响宿主上所有容器，因此除了若干“安全”的子集之外，应该被禁止。如果某 sysctl 是受容器或 Pod 的名字空间限制，且与节点上其他 Pod 或进程相隔离，可认为是安全的。</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
@@ -360,7 +356,7 @@ fail validation.
 			<td colspan="2"><em><!--Everything from the baseline profile.-->Baseline 策略的所有要求。</em></td>
 		</tr>
 		<tr>
-      			<td style="white-space: nowrap"><!--Volume Types-->卷类型</td>
+			<td style="white-space: nowrap"><!--Volume Types-->卷类型</td>
 			<td>
 				<p><!--In addition to restricting HostPath volumes, the restricted policy limits usage of non-core volume types to those defined through PersistentVolumes.-->除了限制 HostPath 卷之外，此类策略还限制可以通过 PersistentVolumes 定义的非核心卷类型。</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
@@ -382,7 +378,7 @@ fail validation.
 			</td>
 		</tr>
 		<tr>
-      			<td style="white-space: nowrap"><!--Privilege Escalation (v1.8+)-->特权提升（v1.8+）</td>
+			<td style="white-space: nowrap"><!--Privilege Escalation (v1.8+)-->特权提升（v1.8+）</td>
 			<td>
 				<p><!--Privilege escalation (such as via set-user-ID or set-group-ID file mode) should not be allowed.-->禁止（通过 SetUID 或 SetGID 文件模式）获得特权提升。</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
@@ -398,8 +394,8 @@ fail validation.
 			</td>
 		</tr>
 		<tr>
-      			<td style="white-space: nowrap"><!--Running as Non-root-->以非 root 账号运行</td>
-      			<td>
+			<td style="white-space: nowrap"><!--Running as Non-root-->以非 root 账号运行</td>
+			<td>
 				<p><!--Containers must be required to run as non-root users.-->容器必须以非 root 账号运行。</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
 				<ul>
@@ -453,15 +449,29 @@ fail validation.
 					<li><code>Localhost</code></li>
 				</ul>
 				<small>
-					<!--The container fields may be undefined/<code>nil</code> if the pod-level <code>spec.securityContext.seccompProfile.type</code> field is set appropriately.  Conversely, the pod-level field may be undefined/<code>nil</code> if _all_ container- level fields are set.-->如果 Pod 级别的 <code>spec.securityContext.seccompProfile.type</code> 已设置得当，容器级别的安全上下文字段可以为 未定义/<code>nil</code>。反而言之，如果 <bold>所有的</bold> 容器级别的安全上下文字段已设置，则 Pod 级别的字段可为 未定义/<code>nil</code>。
+					<!--
+          The container fields may be undefined/<code>nil</code> if the pod-level
+					<code>spec.securityContext.seccompProfile.type</code> field is set appropriately.
+					Conversely, the pod-level field may be undefined/<code>nil</code> if _all_ container-
+					level fields are set.
+          -->
+          如果 Pod 级别的 <code>spec.securityContext.seccompProfile.type</code>
+          已设置得当，容器级别的安全上下文字段可以为未定义/<code>nil</code>。
+          反之如果 <bold>所有的</bold> 容器级别的安全上下文字段已设置，
+          则 Pod 级别的字段可为 未定义/<code>nil</code>。
 				</small>
   			</td>
-		</tr>
-    		<tr>
+  		</tr>
+		  <tr>
 			<td style="white-space: nowrap"><!--Capabilities (v1.22+) -->权能（v1.22+）</td>
-      			<td>
+			<td>
 				<p>
-					<!--Containers must drop <code>ALL</code> capabilities, and are only permitted to add back the <code>NET_BIND_SERVICE</code> capability.-->容器必须弃用 <code>ALL</code> 权能，并且只允许添加 <code>NET_BIND_SERVICE</code> 权能。
+					<!--
+					Containers must drop <code>ALL</code> capabilities, and are only permitted to add back
+					the <code>NET_BIND_SERVICE</code> capability.
+          -->
+          容器必须弃用 <code>ALL</code> 权能，并且只允许添加
+          <code>NET_BIND_SERVICE</code> 权能。
 				</p>
 				<p><strong><!--Restricted Fields-->限制的字段</strong></p>
 				<ul>
@@ -568,13 +578,13 @@ SIG Auth may reconsider this position in the future, should a clear need for oth
 SIG Auth 可能会在将来考虑这个范围的框架，前提是有对其他框架的需求。
 
 <!--
-### What's the difference between a security policy and a security context?
+### What's the difference between a security profile and a security context?
 
 [Security Contexts](/docs/tasks/configure-pod-container/security-context/) configure Pods and
 Containers at runtime. Security contexts are defined as part of the Pod and container specifications
 in the Pod manifest, and represent parameters to the container runtime.
 -->
-### 安全策略与安全上下文的区别是什么？
+### 安全配置与安全上下文的区别是什么？
 
 [安全上下文](/zh-cn/docs/tasks/configure-pod-container/security-context/)在运行时配置 Pod
 和容器。安全上下文是在 Pod 清单中作为 Pod 和容器规约的一部分来定义的，
@@ -595,18 +605,18 @@ built-in [Pod Security Admission Controller](/docs/concepts/security/pod-securit
 ### What profiles should I apply to my Windows Pods?
 
 Windows in Kubernetes has some limitations and differentiators from standard Linux-based
-workloads. Specifically, the Pod SecurityContext fields [have no effect on
-Windows](/docs/setup/production-environment/windows/intro-windows-in-kubernetes/#v1-podsecuritycontext). As
-such, no standardized Pod Security profiles currently exists.
+workloads. Specifically, many of the Pod SecurityContext fields
+[have no effect on Windows](/docs/concepts/windows/intro/#compatibility-v1-pod-spec-containers-securitycontext).
+As such, no standardized Pod Security profiles currently exist.
 -->
 ### 我应该为我的 Windows Pod 实施哪种框架？
 
 Kubernetes 中的 Windows 负载与标准的基于 Linux 的负载相比有一些局限性和区别。
 尤其是 Pod SecurityContext
-字段[对 Windows 不起作用](/zh-cn/docs/setup/production-environment/windows/intro-windows-in-kubernetes/#v1-podsecuritycontext)。
+字段[对 Windows 不起作用](/zh-cn/docs/concepts/windows/intro/#compatibility-v1-pod-spec-containers-securitycontext)。
 因此，目前没有对应的标准 Pod 安全性框架。
 
-<!-- 
+<!--
 If you apply the restricted profile for a Windows pod, this **may** have an impact on the pod
 at runtime. The restricted profile requires enforcing Linux-specific restrictions (such as seccomp
 profile, and disallowing privilege escalation). If the kubelet and / or its container runtime ignore
@@ -620,7 +630,9 @@ Restricted 策略需要强制执行 Linux 特有的限制（如 seccomp Profile
 然而，对于使用 Windows 容器的 Pod 来说，缺乏强制执行意味着相比于 Restricted 策略，没有任何额外的限制。
 
 <!--
-The use of the HostProcess flag to create a HostProcess pod should only be done in alignment with the privileged policy. Creation of a Windows HostProcess pod is blocked under the baseline and restricted policies, so any HostProcess pod should be considered privileged.
+The use of the HostProcess flag to create a HostProcess pod should only be done in alignment with the privileged policy.
+Creation of a Windows HostProcess pod is blocked under the baseline and restricted policies,
+so any HostProcess pod should be considered privileged.
 -->
 你应该只在 Privileged 策略下使用 HostProcess 标志来创建 HostProcess Pod。
 在 Baseline 和 Restricted 策略下，创建 Windows HostProcess Pod 是被禁止的，
@@ -645,11 +657,11 @@ restrict privileged permissions is lessened when the workload is isolated from t
 kernel. This allows for workloads requiring heightened permissions to still be isolated.
 
 Additionally, the protection of sandboxed workloads is highly dependent on the method of
-sandboxing. As such, no single recommended policy is recommended for all sandboxed workloads.
+sandboxing. As such, no single recommended profile is recommended for all sandboxed workloads.
 -->
 沙箱化负载所需要的保护可能彼此各不相同。例如，当负载与下层内核直接隔离开来时，
 限制特权化操作的许可就不那么重要。这使得那些需要更多许可权限的负载仍能被有效隔离。
 
 此外，沙箱化负载的保护高度依赖于沙箱化的实现方法。
-因此，现在还没有针对所有沙箱化负载的建议策略。
+因此，现在还没有针对所有沙箱化负载的建议配置。
 
diff --git a/content/zh-cn/docs/concepts/security/rbac-good-practices.md b/content/zh-cn/docs/concepts/security/rbac-good-practices.md
index a8ccbaca4e7..a7084632085 100644
--- a/content/zh-cn/docs/concepts/security/rbac-good-practices.md
+++ b/content/zh-cn/docs/concepts/security/rbac-good-practices.md
@@ -24,7 +24,8 @@ execute their roles. It is important to ensure that, when designing permissions
 users, the cluster administrator understands the areas where privilge escalation could occur, 
 to reduce the risk of excessive access leading to security incidents.
 
-The good practices laid out here should be read in conjunction with the general [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update).
+The good practices laid out here should be read in conjunction with the general
+[RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update).
 -->
 
 Kubernetes {{< glossary_tooltip text="RBAC" term_id="rbac" >}}
@@ -47,8 +48,8 @@ Kubernetes {{< glossary_tooltip text="RBAC" term_id="rbac" >}}
 ### 最小特权  {#least-privilege}
 
 <!--
-Ideally minimal RBAC rights should be assigned to users and service accounts. Only permissions 
-explicitly required for their operation should be used. Whilst each cluster will be different, 
+Ideally, minimal RBAC rights should be assigned to users and service accounts. Only permissions 
+explicitly required for their operation should be used. While each cluster will be different, 
 some general rules that can be applied are :
 -->
 理想情况下，分配给用户和服务帐户的 RBAC 权限应该是最小的。
@@ -59,14 +60,15 @@ some general rules that can be applied are :
    ClusterRoleBindings to give users rights only within a specific namespace.
  - Avoid providing wildcard permissions when possible, especially to all resources.
    As Kubernetes is an extensible system, providing wildcard access gives rights
-   not just to all object types presently in the cluster, but also to all future object types
+   not just to all object types that currently exist in the cluster, but also to all future object types
    which are created in the future.
  - Administrators should not use `cluster-admin` accounts except where specifically needed. 
-   Providing a low privileged account with [impersonation rights](/docs/reference/access-authn-authz/authentication/#user-impersonation)
+   Providing a low privileged account with
+   [impersonation rights](/docs/reference/access-authn-authz/authentication/#user-impersonation)
    can avoid accidental modification of cluster resources.
  - Avoid adding users to the `system:masters` group. Any user who is a member of this group 
    bypasses all RBAC rights checks and will always have unrestricted superuser access, which cannot be 
-   revoked by removing Role Bindings or Cluster Role Bindings. As an aside, if a cluster is 
+   revoked by removing RoleBindings or ClusterRoleBindings. As an aside, if a cluster is 
    using an authorization webhook, membership of this group also bypasses that webhook (requests 
    from users who are members of that group are never sent to the webhook)
 -->
@@ -89,14 +91,17 @@ some general rules that can be applied are :
 ### 最大限度地减少特权令牌的分发 {#minimize-distribution-of-privileged-tokens}
 
 <!--
-Ideally, pods shouldn't be assigned service accounts that have been granted powerful permissions (for example, any of the rights listed under
-[privilege escalation risks](#privilege-escalation-risks)). 
+Ideally, pods shouldn't be assigned service accounts that have been granted powerful permissions
+(for example, any of the rights listed under [privilege escalation risks](#privilege-escalation-risks)). 
 In cases where a workload requires powerful permissions, consider the following practices:
+
  - Limit the number of nodes running powerful pods. Ensure that any DaemonSets you run
   are necessary and are run with least privilege to limit the blast radius of container escapes.
  - Avoid running powerful pods alongside untrusted or publicly-exposed ones. Consider using 
-   [Taints and Toleration](/docs/concepts/scheduling-eviction/taint-and-toleration/), [NodeAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity), or [PodAntiAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity) to ensure 
-   pods don't run alongside untrusted or less-trusted Pods. Pay especial attention to
+   [Taints and Toleration](/docs/concepts/scheduling-eviction/taint-and-toleration/),
+   [NodeAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity), or
+   [PodAntiAffinity](/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity)
+   to ensure pods don't run alongside untrusted or less-trusted Pods. Pay especial attention to
    situations where less-trustworthy Pods are not meeting the **Restricted** Pod Security Standard.
 -->
 理想情况下，不应为 Pod 分配具有强大权限（例如，在[特权提级的风险](#privilege-escalation-risks)中列出的任一权限）的服务帐户。
@@ -109,6 +114,7 @@ In cases where a workload requires powerful permissions, consider the following
   [Pod 反亲和性](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity)确保 
   Pod 不会与不可信或不太受信任的 Pod 一起运行。
   特别注意可信度不高的 Pod 不符合 **Restricted** Pod 安全标准的情况。
+
 <!--
 ### Hardening
 
@@ -124,7 +130,7 @@ Kubernetes 默认提供访问权限并非是每个集群都需要的。
 一般来说，不应该更改 `system:` 帐户的某些权限，有一些方式来强化现有集群的权限：
 
 <!--
-- Review bindings for the `system:unauthenticated` group and remove where possible, as this gives 
+- Review bindings for the `system:unauthenticated` group and remove them where possible, as this gives 
   access to anyone who can contact the API server at a network level.
 - Avoid the default auto-mounting of service account tokens by setting
   `automountServiceAccountToken: false`. For more details, see
@@ -213,7 +219,7 @@ or other (third party) mechanisms to implement that enforcement.
 你可以使用 [Pod 安全性准入](/zh-cn/docs/concepts/security/pod-security-admission/)或其他（第三方）机制来强制实施这些限制。
 
 <!--
-You can also use the deprecated [PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/) mechanism
+You can also use the deprecated [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/) mechanism
 to restrict users' abilities to create privileged Pods (N.B. PodSecurityPolicy is scheduled for removal
 in version 1.25).
 -->
@@ -232,7 +238,9 @@ Secrets they would not have through RBAC directly.
 <!--
 ### Persistent volume creation
 
-As noted in the [PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/#volumes-and-file-systems) documentation, access to create PersistentVolumes can allow for escalation of access to the underlying host. Where access to persistent storage is required trusted administrators should create 
+As noted in the [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/#volumes-and-file-systems)
+documentation, access to create PersistentVolumes can allow for escalation of access to the underlying host.
+Where access to persistent storage is required trusted administrators should create
 PersistentVolumes, and constrained users should use PersistentVolumeClaims to access that storage.
 -->
 ### 持久卷的创建 {#persistent-volume-creation}
@@ -246,7 +254,7 @@ PersistentVolumes, and constrained users should use PersistentVolumeClaims to ac
 ### Access to `proxy` subresource of Nodes
 
 Users with access to the proxy sub-resource of node objects have rights to the Kubelet API, 
-which allows for command execution on every pod on the node(s) which they have rights to. 
+which allows for command execution on every pod on the node(s) to which they have rights. 
 This access bypasses audit logging and admission control, so care should be taken before 
 granting rights to this resource.
 -->
@@ -259,8 +267,8 @@ granting rights to this resource.
 <!--
 ### Escalate verb
 
-Generally the RBAC system prevents users from creating clusterroles with more rights than 
-they possess. The exception to this is the `escalate` verb. As noted in the [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update),
+Generally, the RBAC system prevents users from creating clusterroles with more rights than the user possesses. 
+The exception to this is the `escalate` verb. As noted in the [RBAC documentation](/docs/reference/access-authn-authz/rbac/#restrictions-on-role-creation-or-update),
 users with this right can effectively escalate their privileges.
 -->
 ### esclate 动词 {#escalate-verb}
@@ -272,7 +280,7 @@ users with this right can effectively escalate their privileges.
 <!--
 ### Bind verb
 
-Similar to the `escalate` verb, granting users this right allows for bypass of Kubernetes 
+Similar to the `escalate` verb, granting users this right allows for the bypass of Kubernetes 
 in-built protections against privilege escalation, allowing users to create bindings to 
 roles with rights they do not already have.
 -->
@@ -344,7 +352,8 @@ objects to create a denial of service condition either based on the size or numb
 specifically relevant in multi-tenant clusters if semi-trusted or untrusted users 
 are allowed limited access to a system.
 
-One option for mitigation of this issue would be to use [resource quotas](/docs/concepts/policy/resource-quotas/#object-count-quota)
+One option for mitigation of this issue would be to use
+[resource quotas](/docs/concepts/policy/resource-quotas/#object-count-quota)
 to limit the quantity of objects which can be created.
 -->
 ## Kubernetes RBAC - 拒绝服务攻击的风险 {#denial-of-service-risks}
@@ -354,4 +363,11 @@ to limit the quantity of objects which can be created.
 产生拒绝服务状况，如 [Kubernetes 使用的 etcd 容易受到 OOM 攻击](https://github.com/kubernetes/kubernetes/issues/107325)中的讨论。
 允许太不受信任或者不受信任的用户对系统进行有限的访问在多租户集群中是特别重要的。
 
-缓解此问题的一种选择是使用[资源配额](/zh-cn/docs/concepts/policy/resource-quotas/#object-count-quota)以限制可以创建的对象数量。
\ No newline at end of file
+缓解此问题的一种选择是使用[资源配额](/zh-cn/docs/concepts/policy/resource-quotas/#object-count-quota)以限制可以创建的对象数量。
+
+## {{% heading "whatsnext" %}}
+
+<!--
+* To learn more about RBAC, see the [RBAC documentation](/docs/reference/access-authn-authz/rbac/).
+-->
+* 了解有关 RBAC 的更多信息，请参阅 [RBAC 文档](/zh-cn/docs/reference/access-authn-authz/rbac/)。
diff --git a/content/zh-cn/docs/concepts/services-networking/dual-stack.md b/content/zh-cn/docs/concepts/services-networking/dual-stack.md
index 9476214ef3c..a95af75e13a 100644
--- a/content/zh-cn/docs/concepts/services-networking/dual-stack.md
+++ b/content/zh-cn/docs/concepts/services-networking/dual-stack.md
@@ -335,7 +335,7 @@ dual-stack.)
    kind: Service
    metadata:
      labels:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      name: my-service
    spec:
      clusterIP: 10.0.197.123
@@ -349,7 +349,7 @@ dual-stack.)
        protocol: TCP
        targetPort: 80
      selector:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      type: ClusterIP
    status:
      loadBalancer: {}
@@ -385,7 +385,7 @@ dual-stack.)
    kind: Service
    metadata:
      labels:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
      name: my-service
    spec:
      clusterIP: None
@@ -399,7 +399,7 @@ dual-stack.)
        protocol: TCP
        targetPort: 80
      selector:
-       app: MyApp
+       app.kubernetes.io/name: MyApp
    ```
 
 <!--
diff --git a/content/zh-cn/docs/concepts/services-networking/ingress-controllers.md b/content/zh-cn/docs/concepts/services-networking/ingress-controllers.md
index 1e2d6ae078b..0e21abff8c0 100644
--- a/content/zh-cn/docs/concepts/services-networking/ingress-controllers.md
+++ b/content/zh-cn/docs/concepts/services-networking/ingress-controllers.md
@@ -103,6 +103,7 @@ Kubernetes 作为一个项目，目前支持和维护
 <!--
 * The [Kong Ingress Controller for Kubernetes](https://github.com/Kong/kubernetes-ingress-controller#readme)
   is an ingress controller driving [Kong Gateway](https://konghq.com/kong/).
+* [Kusk Gateway](https://kusk.kubeshop.io/) is an OpenAPI-driven ingress controller based on [Envoy](https://www.envoyproxy.io).
 * The [NGINX Ingress Controller for Kubernetes](https://www.nginx.com/products/nginx-ingress-controller/)
   works with the [NGINX](https://www.nginx.com/resources/glossary/nginx/) webserver (as a proxy).
 * The [Pomerium Ingress Controller](https://www.pomerium.com/docs/k8s/ingress.html) is based on [Pomerium](https://pomerium.com/), which offers context-aware access policy.
@@ -110,6 +111,7 @@ Kubernetes 作为一个项目，目前支持和维护
 -->
 * [用于 Kubernetes 的 Kong Ingress 控制器](https://github.com/Kong/kubernetes-ingress-controller#readme)
   是一个用来驱动 [Kong Gateway](https://konghq.com/kong/) 的 Ingress 控制器。
+* [Kusk Gateway](https://kusk.kubeshop.io/) 是基于 [Envoy](https://www.envoyproxy.io) OpenAPI 驱动的入口控制器。
 * [用于 Kubernetes 的 NGINX Ingress 控制器](https://www.nginx.com/products/nginx-ingress-controller/)
   能够与 [NGINX](https://www.nginx.com/resources/glossary/nginx/)
   网页服务器（作为代理）一起使用。
diff --git a/content/zh-cn/docs/concepts/services-networking/service-traffic-policy.md b/content/zh-cn/docs/concepts/services-networking/service-traffic-policy.md
index b291c17758d..306f310dcba 100644
--- a/content/zh-cn/docs/concepts/services-networking/service-traffic-policy.md
+++ b/content/zh-cn/docs/concepts/services-networking/service-traffic-policy.md
@@ -75,7 +75,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/docs/concepts/services-networking/service.md b/content/zh-cn/docs/concepts/services-networking/service.md
index bedb122737d..3964b190b57 100644
--- a/content/zh-cn/docs/concepts/services-networking/service.md
+++ b/content/zh-cn/docs/concepts/services-networking/service.md
@@ -30,7 +30,7 @@ Kubernetes gives Pods their own IP addresses and a single DNS name for a set of
 and can load-balance across them.
 -->
 使用 Kubernetes，你无需修改应用程序即可使用不熟悉的服务发现机制。
-Kubernetes 为 Pods 提供自己的 IP 地址，并为一组 Pod 提供相同的 DNS 名，
+Kubernetes 为 Pod 提供自己的 IP 地址，并为一组 Pod 提供相同的 DNS 名，
 并且可以在它们之间进行负载均衡。
 
 <!-- body -->
@@ -67,7 +67,7 @@ Pod 是非永久性资源。
 这导致了一个问题： 如果一组 Pod（称为“后端”）为集群内的其他 Pod（称为“前端”）提供功能，
 那么前端如何找出并跟踪要连接的 IP 地址，以便前端可以使用提供工作负载的后端部分？
 
-进入 _Services_。
+进入 **Services**。
 
 <!--
 ## Service resources {#service-resource}
@@ -83,7 +83,7 @@ To learn about other ways to define Service endpoints,
 see [Services _without_ selectors](#services-without-selectors).
 -->
 Kubernetes Service 定义了这样一种抽象：逻辑上的一组 Pod，一种可以访问它们的策略 —— 通常称为微服务。
-Service 所针对的 Pods 集合通常是通过{{< glossary_tooltip text="选择算符" term_id="selector" >}}来确定的。
+Service 所针对的 Pod 集合通常是通过{{< glossary_tooltip text="选择算符" term_id="selector" >}}来确定的。
 要了解定义服务端点的其他方法，请参阅[不带选择算符的服务](#services-without-selectors)。
 
 <!--
@@ -95,7 +95,7 @@ track of the set of backends themselves.
 
 The Service abstraction enables this decoupling.
 -->
-举个例子，考虑一个图片处理后端，它运行了 3 个副本。这些副本是可互换的 —— 
+举个例子，考虑一个图片处理后端，它运行了 3 个副本。这些副本是可互换的 ——
 前端不需要关心它们调用了哪个后端副本。
 然而组成这一组后端程序的 Pod 实际上可能会发生变化，
 前端客户端不应该也没必要知道，而且也不需要跟踪这一组后端的状态。
@@ -138,7 +138,7 @@ and contains a label `app=MyApp`:
 Service 在 Kubernetes 中是一个 REST 对象，和 Pod 类似。
 像所有的 REST 对象一样，Service 定义可以基于 `POST` 方式，请求 API server 创建新的实例。
 Service 对象的名称必须是合法的
-[RFC 1035 标签名称](/docs/concepts/overview/working-with-objects/names#rfc-1035-label-names).。
+[RFC 1035 标签名称](/zh-cn/docs/concepts/overview/working-with-objects/names#rfc-1035-label-names)。
 
 例如，假定有一组 Pod，它们对外暴露了 9376 端口，同时还被打上 `app=MyApp` 标签：
 
@@ -155,7 +155,7 @@ spec:
       port: 80
       targetPort: 9376
 ```
-
+ 
 <!--
 This specification creates a new Service object named “my-service”, which
 targets TCP port 9376 on any Pod with the `app=MyApp` label.
@@ -171,10 +171,10 @@ also named "my-service".
 上述配置创建一个名称为 "my-service" 的 Service 对象，它会将请求代理到使用
 TCP 端口 9376，并且具有标签 `"app=MyApp"` 的 Pod 上。
 
-Kubernetes 为该服务分配一个 IP 地址（有时称为 "集群IP"），该 IP 地址由服务代理使用。
+Kubernetes 为该服务分配一个 IP 地址（有时称为 “集群 IP”），该 IP 地址由服务代理使用。
 (请参见下面的 [VIP 和 Service 代理](#virtual-ips-and-service-proxies)).
 
-服务选择算符的控制器不断扫描与其选择器匹配的 Pod，然后将所有更新发布到也称为
+服务选择算符的控制器不断扫描与其选择算符匹配的 Pod，然后将所有更新发布到也称为
 “my-service” 的 Endpoint 对象。
 
 <!--
@@ -236,7 +236,6 @@ in the next version of your backend software, without breaking clients.
 此功能也可以使用。这为 Service 的部署和演化提供了很大的灵活性。
 例如，你可以在新版本中更改 Pod 中后端软件公开的端口号，而不会破坏客户端。
 
-
 <!--
 The default protocol for Services is TCP; you can also use any other
 [supported protocol](#protocol-support).
@@ -246,7 +245,6 @@ port definitions on a Service object.
 Each port definition can have the same `protocol`, or a different one.
 -->
 
-
 服务的默认协议是 TCP；你还可以使用任何其他[受支持的协议](#protocol-support)。
 
 由于许多服务需要公开多个端口，因此 Kubernetes 在服务对象上支持多个端口定义。
@@ -271,14 +269,14 @@ For example:
 -->
 ### 没有选择算符的 Service   {#services-without-selectors}
 
-由于选择器的存在，服务最常见的用法是为 Kubernetes Pod 的访问提供抽象，
-但是当与相应的 Endpoints 对象一起使用且没有选择器时，
+由于选择算符的存在，服务最常见的用法是为 Kubernetes Pod 的访问提供抽象，
+但是当与相应的 Endpoints 对象一起使用且没有选择算符时，
 服务也可以为其他类型的后端提供抽象，包括在集群外运行的后端。
 例如：
 
   * 希望在生产环境中使用外部的数据库集群，但测试环境使用自己的数据库。
   * 希望服务指向另一个 {{< glossary_tooltip term_id="namespace" >}} 中或其它集群中的服务。
-  * 你正在将工作负载迁移到 Kubernetes。 在评估该方法时，你仅在 Kubernetes 中运行一部分后端。
+  * 你正在将工作负载迁移到 Kubernetes。在评估该方法时，你仅在 Kubernetes 中运行一部分后端。
 
 在任何这些场景中，都能够定义没有选择算符的 Service。
 实例:
@@ -300,8 +298,8 @@ Because this Service has no selector, the corresponding Endpoints object is not
 created automatically. You can manually map the Service to the network address and port
 where it's running, by adding an Endpoints object manually:
 -->
-由于此服务没有选择算符，因此不会自动创建相应的 Endpoint 对象。
-你可以通过手动添加 Endpoint 对象，将服务手动映射到运行该服务的网络地址和端口：
+由于此服务没有选择算符，因此不会自动创建相应的 Endpoints 对象。
+你可以通过手动添加 Endpoints 对象，将服务手动映射到运行该服务的网络地址和端口：
 
 ```yaml
 apiVersion: v1
@@ -425,7 +423,7 @@ domain prefixed names such as `mycompany.com/my-custom-protocol`.
 
 该字段遵循标准的 Kubernetes 标签语法。
 其值可以是 [IANA 标准服务名称](https://www.iana.org/assignments/service-names)
-或以域名为前缀的名称，如 `mycompany.com/my-custom-protocol`。 
+或以域名为前缀的名称，如 `mycompany.com/my-custom-protocol`。
 <!--
 ## Virtual IPs and service proxies
 
@@ -532,7 +530,7 @@ having traffic sent via kube-proxy to a Pod that's known to have failed.
 ### iptables 代理模式 {#proxy-mode-iptables}
 
 这种模式，`kube-proxy` 会监视 Kubernetes 控制节点对 Service 对象和 Endpoints 对象的添加和移除。
-对每个 Service，它会配置 iptables 规则，从而捕获到达该 Service 的 `clusterIP` 
+对每个 Service，它会配置 iptables 规则，从而捕获到达该 Service 的 `clusterIP`
 和端口的请求，进而将请求重定向到 Service 的一组后端中的某个 Pod 上面。
 对于每个 Endpoints 对象，它也会配置 iptables 规则，这个规则会选择一个后端组合。
 
@@ -541,8 +539,7 @@ having traffic sent via kube-proxy to a Pod that's known to have failed.
 使用 iptables 处理流量具有较低的系统开销，因为流量由 Linux netfilter 处理，
 而无需在用户空间和内核空间之间切换。 这种方法也可能更可靠。
 
-如果 kube-proxy 在 iptables 模式下运行，并且所选的第一个 Pod 没有响应，
-则连接失败。
+如果 kube-proxy 在 iptables 模式下运行，并且所选的第一个 Pod 没有响应，则连接失败。
 这与用户空间模式不同：在这种情况下，kube-proxy 将检测到与第一个 Pod 的连接已失败，
 并会自动使用其他后端 Pod 重试。
 
@@ -550,7 +547,7 @@ having traffic sent via kube-proxy to a Pod that's known to have failed.
 验证后端 Pod 可以正常工作，以便 iptables 模式下的 kube-proxy 仅看到测试正常的后端。
 这样做意味着你避免将流量通过 kube-proxy 发送到已知已失败的 Pod。
 
-![iptables代理模式下Service概览图](/images/docs/services-iptables-overview.svg)
+![iptables 代理模式下 Service 概览图](/images/docs/services-iptables-overview.svg)
 
 <!--
 ### IPVS proxy mode {#proxy-mode-ipvs}
@@ -579,16 +576,16 @@ IPVS provides more options for balancing traffic to backend Pods;
 these are:
 -->
 在 `ipvs` 模式下，kube-proxy 监视 Kubernetes 服务和端点，调用 `netlink` 接口相应地创建 IPVS 规则，
-并定期将 IPVS 规则与 Kubernetes 服务和端点同步。 该控制循环可确保IPVS 
-状态与所需状态匹配。访问服务时，IPVS 将流量定向到后端Pod之一。
+并定期将 IPVS 规则与 Kubernetes 服务和端点同步。该控制循环可确保 IPVS
+状态与所需状态匹配。访问服务时，IPVS 将流量定向到后端 Pod 之一。
 
-IPVS代理模式基于类似于 iptables 模式的 netfilter 挂钩函数，
+IPVS 代理模式基于类似于 iptables 模式的 netfilter 挂钩函数，
 但是使用哈希表作为基础数据结构，并且在内核空间中工作。
 这意味着，与 iptables 模式下的 kube-proxy 相比，IPVS 模式下的 kube-proxy
 重定向通信的延迟要短，并且在同步代理规则时具有更好的性能。
 与其他代理模式相比，IPVS 模式还支持更高的网络流量吞吐量。
 
-IPVS 提供了更多选项来平衡后端 Pod 的流量。 这些是：
+IPVS 提供了更多选项来平衡后端 Pod 的流量。这些是：
 
 * `rr`：轮替（Round-Robin）
 * `lc`：最少链接（Least Connection），即打开链接数量最少者优先
@@ -628,17 +625,16 @@ You can also set the maximum session sticky time by setting
 (the default value is 10800, which works out to be 3 hours).
 -->
 
-![IPVS代理的 Services 概述图](/images/docs/services-ipvs-overview.svg)
+![IPVS 代理的 Services 概述图](/images/docs/services-ipvs-overview.svg)
 
 在这些代理模型中，绑定到服务 IP 的流量：
 在客户端不了解 Kubernetes 或服务或 Pod 的任何信息的情况下，将 Port 代理到适当的后端。
 
 如果要确保每次都将来自特定客户端的连接传递到同一 Pod，
-则可以通过将 `service.spec.sessionAffinity` 设置为 "ClientIP" 
-（默认值是 "None"），来基于客户端的 IP 地址选择会话关联。
-你还可以通过适当设置 `service.spec.sessionAffinityConfig.clientIP.timeoutSeconds` 
-来设置最大会话停留时间。
-（默认值为 10800 秒，即 3 小时）。
+则可以通过将 `service.spec.sessionAffinity` 设置为 "ClientIP"
+（默认值是 "None"），来基于客户端的 IP 地址选择会话亲和性。
+你还可以通过适当设置 `service.spec.sessionAffinityConfig.clientIP.timeoutSeconds`
+来设置最大会话停留时间。（默认值为 10800 秒，即 3 小时）。
 
 <!--
 On Windows, setting the maximum session sticky time for Services is not supported.
@@ -647,7 +643,6 @@ On Windows, setting the maximum session sticky time for Services is not supporte
 在 Windows 上，不支持为服务设置最大会话停留时间。
 {{< /note >}}
 
-
 <!--
 ## Multi-Port Services
 
@@ -691,7 +686,7 @@ also start and end with an alphanumeric character.
 For example, the names `123-abc` and `web` are valid, but `123_abc` and `-web` are not.
 -->
 {{< note >}}
-与一般的Kubernetes名称一样，端口名称只能包含小写字母数字字符 和 `-`。 
+与一般的Kubernetes名称一样，端口名称只能包含小写字母数字字符 和 `-`。
 端口名称还必须以字母数字字符开头和结尾。
 
 例如，名称 `123-abc` 和 `web` 有效，但是 `123_abc` 和 `-web` 无效。
@@ -763,8 +758,8 @@ as if the external traffic policy were set to `Cluster`.
 -->
 
 如果本地有端点，而且所有端点处于终止中的状态，那么 kube-proxy 会忽略任何设为 `Local` 的外部流量策略。
-在所有本地端点处于终止中的状态的同时，kube-proxy 将请求指定服务的流量转发到位于其它节点的
-状态健康的端点，如同外部流量策略设为 `Cluster`。
+在所有本地端点处于终止中的状态的同时，kube-proxy 将请求指定服务的流量转发到位于其它节点的状态健康的端点，
+如同外部流量策略设为 `Cluster`。
 
 <!--
 This forwarding behavior for terminating endpoints exists to allow external load balancers to
@@ -820,7 +815,7 @@ variables:
 当 Pod 运行在 `Node` 上，kubelet 会为每个活跃的 Service 添加一组环境变量。
 kubelet 为 Pod 添加环境变量 `{SVCNAME}_SERVICE_HOST` 和 `{SVCNAME}_SERVICE_PORT`。
 这里 Service 的名称需大写，横线被转换成下划线。
-它还支持与 Docker Engine 的 "_[legacy container links](https://docs.docker.com/network/links/)_" 特性兼容的变量
+它还支持与 Docker Engine 的 "**[legacy container links](https://docs.docker.com/network/links/)**" 特性兼容的变量
 （参阅 [makeLinkVariables](https://github.com/kubernetes/kubernetes/blob/dd2d12f6dc0e654c15d5db57a5f9f6ba61192726/pkg/kubelet/envvars/envvars.go#L72)) 。
 
 举个例子，一个名称为 `redis-master` 的 Service 暴露了 TCP 端口 6379，
@@ -847,7 +842,7 @@ worry about this ordering issue.
 -->
 {{< note >}}
 当你具有需要访问服务的 Pod 时，并且你正在使用环境变量方法将端口和集群 IP 发布到客户端
-Pod 时，必须在客户端 Pod 出现 *之前* 创建服务。
+Pod 时，必须在客户端 Pod 出现 **之前** 创建服务。
 否则，这些客户端 Pod 将不会设定其环境变量。
 
 如果仅使用 DNS 查找服务的集群 IP，则无需担心此设定问题。
@@ -900,8 +895,7 @@ You can find more information about `ExternalName` resolution in
 -->
 Kubernetes 还支持命名端口的 DNS SRV（服务）记录。
 如果 `my-service.my-ns` 服务具有名为 `http`　的端口，且协议设置为 TCP，
-则可以对 `_http._tcp.my-service.my-ns` 执行 DNS SRV 查询查询以发现该端口号, 
-`"http"` 以及 IP 地址。
+则可以对 `_http._tcp.my-service.my-ns` 执行 DNS SRV 查询以发现该端口号、`"http"` 以及 IP 地址。
 
 Kubernetes DNS 服务器是唯一的一种能够访问 `ExternalName` 类型的 Service 的方式。
 更多关于 `ExternalName` 信息可以查看
@@ -928,10 +922,9 @@ selectors defined:
 遇到这种情况，可以通过指定 Cluster IP（`spec.clusterIP`）的值为 `"None"`
 来创建 `Headless` Service。
 
-你可以使用无头 Service 与其他服务发现机制进行接口，而不必与 Kubernetes
-的实现捆绑在一起。
+你可以使用一个无头 Service 与其他服务发现机制进行接口，而不必与 Kubernetes 的实现捆绑在一起。
 
-对这无头 Service 并不会分配 Cluster IP，kube-proxy 不会处理它们，
+对于无头 `Services` 并不会分配 Cluster IP，kube-proxy 不会处理它们，
 而且平台也不会为它们进行负载均衡和路由。
 DNS 如何实现自动配置，依赖于 Service 是否定义了选择算符。
 
@@ -944,7 +937,7 @@ A records (IP addresses) that point directly to the `Pods` backing the `Service`
 -->
 ### 带选择算符的服务 {#with-selectors}
 
-对定义了选择算符的无头服务，Endpoint 控制器在 API 中创建了 Endpoints 记录，
+对定义了选择算符的无头服务，Endpoints 控制器在 API 中创建了 `Endpoints` 记录，
 并且修改 DNS 配置返回 A 记录（IP 地址），通过这个地址直接到达 `Service` 的后端 Pod 上。
 
 <!--
@@ -960,7 +953,7 @@ either:
 -->
 ### 无选择算符的服务  {#without-selectors}
 
-对没有定义选择算符的无头服务，Endpoint 控制器不会创建 `Endpoints` 记录。
+对没有定义选择算符的无头服务，Endpoints 控制器不会创建 `Endpoints` 记录。
 然而 DNS 系统会查找和配置，无论是：
 
 * 对于 [`ExternalName`](#external-name) 类型的服务，查找其 CNAME 记录
@@ -979,8 +972,7 @@ The default is `ClusterIP`.
 -->
 ## 发布服务（服务类型)      {#publishing-services-service-types}
 
-对一些应用的某些部分（如前端），可能希望将其暴露给 Kubernetes 集群外部
-的 IP 地址。
+对一些应用的某些部分（如前端），可能希望将其暴露给 Kubernetes 集群外部的 IP 地址。
 
 Kubernetes `ServiceTypes` 允许指定你所需要的 Service 类型，默认是 `ClusterIP`。
 
@@ -1025,7 +1017,7 @@ You can also use [Ingress](/docs/concepts/services-networking/ingress/) to expos
 -->
 你也可以使用 [Ingress](/zh-cn/docs/concepts/services-networking/ingress/) 来暴露自己的服务。
 Ingress 不是一种服务类型，但它充当集群的入口点。
-它可以将路由规则整合到一个资源中，因为它可以在同一IP地址下公开多个服务。
+它可以将路由规则整合到一个资源中，因为它可以在同一 IP 地址下公开多个服务。
 
 <!--
 ### Type NodePort {#type-nodeport}
@@ -1050,8 +1042,8 @@ This flag takes a comma-delimited list of IP blocks (e.g. `10.0.0.0/8`, `192.0.2
 每个节点将那个端口（每个节点上的相同端口号）代理到你的服务中。
 你的服务在其 `.spec.ports[*].nodePort` 字段中要求分配的端口。
 
-如果你想指定特定的 IP 代理端口，则可以设置 kube-proxy 中的 `--nodeport-addresses` 参数
-或者将[kube-proxy 配置文件](/docs/reference/config-api/kube-proxy-config.v1alpha1/)
+如果你想指定特定的 IP 代理端口，则可以设置 kube-proxy 中的 `--nodeport-addresses` 参数或者将
+[kube-proxy 配置文件](/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1/)
 中的等效 `nodePortAddresses` 字段设置为特定的 IP 块。
 该标志采用逗号分隔的 IP 块列表（例如，`10.0.0.0/8`、`192.0.2.0/25`）来指定
 kube-proxy 应该认为是此节点本地的 IP 地址范围。
@@ -1175,7 +1167,6 @@ set is ignored.
 如果设置了 `loadBalancerIP`，但云提供商并不支持这种特性，那么设置的
 `loadBalancerIP` 值将会被忽略掉。
 
-
 <!--
 On **Azure**, if you want to use a user-specified public type `loadBalancerIP`, you first need
 to create a static type public IP address resource. This public IP address resource should
@@ -1185,15 +1176,14 @@ For example, `MC_myResourceGroup_myAKSCluster_eastus`.
 Specify the assigned IP address as loadBalancerIP. Ensure that you have updated the securityGroupName in the cloud provider configuration file. For information about troubleshooting `CreatingLoadBalancerFailed` permission issues see, [Use a static IP address with the Azure Kubernetes Service (AKS) load balancer](https://docs.microsoft.com/en-us/azure/aks/static-ip) or [CreatingLoadBalancerFailed on AKS cluster with advanced networking](https://github.com/Azure/AKS/issues/357).
 -->
 {{< note >}}
-在 **Azure** 上，如果要使用用户指定的公共类型 `loadBalancerIP`，则
-首先需要创建静态类型的公共 IP 地址资源。
+在 **Azure** 上，如果要使用用户指定的公共类型 `loadBalancerIP`，
+则首先需要创建静态类型的公共 IP 地址资源。
 此公共 IP 地址资源应与集群中其他自动创建的资源位于同一资源组中。
 例如，`MC_myResourceGroup_myAKSCluster_eastus`。
 
-将分配的 IP 地址设置为 loadBalancerIP。确保你已更新云提供程序配置文件中的
-securityGroupName。
+将分配的 IP 地址设置为 loadBalancerIP。确保你已更新云提供程序配置文件中的 securityGroupName。
 有关对 `CreatingLoadBalancerFailed` 权限问题进行故障排除的信息，
-请参阅 [与 Azure Kubernetes 服务（AKS）负载平衡器一起使用静态 IP 地址](https://docs.microsoft.com/en-us/azure/aks/static-ip)
+请参阅[与 Azure Kubernetes 服务（AKS）负载平衡器一起使用静态 IP 地址](https://docs.microsoft.com/zh-cn/azure/aks/static-ip)
 或[在 AKS 集群上使用高级联网时出现 CreatingLoadBalancerFailed](https://github.com/Azure/AKS/issues/357)。
 {{< /note >}}
 <!--
@@ -1207,14 +1197,13 @@ by the cloud provider.
 
 The feature gate `MixedProtocolLBService` (enabled by default for the kube-apiserver as of v1.24) allows the use of
 different protocols for LoadBalancer type of Services, when there is more than one port defined.
-
 -->
 #### 混合协议类型的负载均衡器
 
 {{< feature-state for_k8s_version="v1.20" state="alpha" >}}
 
-默认情况下，对于 LoadBalancer 类型的服务，当定义了多个端口时，所有
-端口必须具有相同的协议，并且该协议必须是受云提供商支持的协议。
+默认情况下，对于 LoadBalancer 类型的服务，当定义了多个端口时，
+所有端口必须具有相同的协议，并且该协议必须是受云提供商支持的协议。
 
 当服务中定义了多个端口时，特性门控 `MixedProtocolLBService`（在 kube-apiserver 1.24 版本默认为启用）允许
 LoadBalancer 类型的服务使用不同的协议。
@@ -1243,7 +1232,7 @@ is `true` and type LoadBalancer Services will continue to allocate node ports. I
 is set to `false` on an existing Service with allocated node ports, those node ports will **not** be de-allocated automatically.
 You must explicitly remove the `nodePorts` entry in every Service port to de-allocate those node ports.
 -->
-你可以通过设置 `spec.allocateLoadBalancerNodePorts` 为 `false` 
+你可以通过设置 `spec.allocateLoadBalancerNodePorts` 为 `false`
 对类型为 LoadBalancer 的服务禁用节点端口分配。
 这仅适用于直接将流量路由到 Pod 而不是使用节点端口的负载均衡器实现。
 默认情况下，`spec.allocateLoadBalancerNodePorts` 为 `true`，
@@ -1274,11 +1263,8 @@ Once set, it cannot be changed.
 `spec.loadBalancerClass` 允许你不使用云提供商的默认负载均衡器实现，转而使用指定的负载均衡器实现。
 默认情况下，`.spec.loadBalancerClass` 的取值是 `nil`，如果集群使用 `--cloud-provider` 配置了云提供商，
 `LoadBalancer` 类型服务会使用云提供商的默认负载均衡器实现。
-如果设置了 `.spec.loadBalancerClass`，则假定存在某个与所指定的类相匹配的
-负载均衡器实现在监视服务变化。
-所有默认的负载均衡器实现（例如，由云提供商所提供的）都会忽略设置了此字段
-的服务。`.spec.loadBalancerClass` 只能设置到类型为 `LoadBalancer` 的 Service
-之上，而且一旦设置之后不可变更。
+如果设置了 `.spec.loadBalancerClass`，则假定存在某个与所指定的类相匹配的负载均衡器实现在监视服务变化。
+所有默认的负载均衡器实现（例如，由云提供商所提供的）都会忽略设置了此字段的服务。`.spec.loadBalancerClass` 只能设置到类型为 `LoadBalancer` 的 Service 之上，而且一旦设置之后不可变更。
 
 <!--
 The value of `spec.loadBalancerClass` must be a label-style identifier,
@@ -1286,8 +1272,8 @@ with an optional prefix such as "`internal-vip`" or "`example.com/internal-vip`"
 Unprefixed names are reserved for end-users.
 -->
 `.spec.loadBalancerClass` 的值必须是一个标签风格的标识符，
-可以有选择地带有类似 "`internal-vip`" 或 "`example.com/internal-vip`" 这类
-前缀。没有前缀的名字是保留给最终用户的。
+可以有选择地带有类似 "`internal-vip`" 或 "`example.com/internal-vip`" 这类前缀。
+没有前缀的名字是保留给最终用户的。
 
 <!--
 #### Internal load balancer
@@ -1313,9 +1299,10 @@ depending on the cloud Service provider you're using.
 <!--
 Select one of the tabs.
 -->
-选择一个标签
+选择一个标签。
 {{% /tab %}}
 {{% tab name="GCP" %}}
+
 ```yaml
 [...]
 metadata:
@@ -1470,8 +1457,8 @@ modifying the headers.
 In a mixed-use environment where some ports are secured and others are left unencrypted,
 you can use the following annotations:
 -->
-第二个注解指定 Pod 使用哪种协议。 对于 HTTPS 和 SSL，ELB 希望 Pod 使用证书
-通过加密连接对自己进行身份验证。
+第二个注解指定 Pod 使用哪种协议。对于 HTTPS 和 SSL，ELB 希望 Pod
+使用证书通过加密连接对自己进行身份验证。
 
 HTTP 和 HTTPS 选择第7层代理：ELB 终止与用户的连接，解析标头，并在转发请求时向
 `X-Forwarded-For` 标头注入用户的 IP 地址（Pod 仅在连接的另一端看到 ELB 的 IP 地址）。
@@ -1499,7 +1486,7 @@ To see which policies are available for use, you can use the `aws` command line
 而 `80` 端口将转发 HTTP 数据包。
 
 从 Kubernetes v1.9 起可以使用
-[预定义的 AWS SSL 策略](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html)
+[预定义的 AWS SSL 策略](https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/classic/elb-security-policy-table.html)
 为你的服务使用 HTTPS 或 SSL 侦听器。
 要查看可以使用哪些策略，可以使用 `aws` 命令行工具：
 
@@ -1572,10 +1559,10 @@ specifies the logical hierarchy you created for your Amazon S3 bucket.
 
 注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-enabled` 控制是否启用访问日志。
 
-注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval` 
+注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-emit-interval`
 控制发布访问日志的时间间隔（以分钟为单位）。你可以指定 5 分钟或 60 分钟的间隔。
 
-注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name` 
+注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-name`
 控制存储负载均衡器访问日志的 Amazon S3 存储桶的名称。
 
 注解 `service.beta.kubernetes.io/aws-load-balancer-access-log-s3-bucket-prefix`
@@ -1709,7 +1696,7 @@ on Elastic Load Balancing for a list of supported instance types.
 {{< note >}}
 NLB 仅适用于某些实例类。有关受支持的实例类型的列表，
 请参见
-[AWS文档](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#register-deregister-targets)
+[AWS 文档](https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/network/target-group-register-targets.html#register-deregister-targets)
 中关于所支持的实例类型的 Elastic Load Balancing 说明。
 {{< /note >}}
 
@@ -1757,14 +1744,14 @@ groups are modified with the following IP rules:
 | Rule | Protocol | Port(s) | IpRange(s) | IpRange Description |
 |------|----------|---------|------------|---------------------|
 | Health Check | TCP | NodePort(s) (`.spec.healthCheckNodePort` for `.spec.externalTrafficPolicy = Local`) | Subnet CIDR | kubernetes.io/rule/nlb/health=\<loadBalancerName\> |
-| Client Traffic | TCP | NodePort(s) | `.spec.loadBalancerSourceRanges` (defaults to `0.0.0.0/0`) | kubernetes.io/rule/nlb/client=\<loadBalancerName\> |
-| MTU Discovery | ICMP | 3,4 | `.spec.loadBalancerSourceRanges` (defaults to `0.0.0.0/0`) | kubernetes.io/rule/nlb/mtu=\<loadBalancerName\> |
+| Client Traffic | TCP | NodePort(s) | `.spec.loadBalancerSourceRanges` (默认值为 `0.0.0.0/0`) | kubernetes.io/rule/nlb/client=\<loadBalancerName\> |
+| MTU Discovery | ICMP | 3,4 | `.spec.loadBalancerSourceRanges` (默认值为 `0.0.0.0/0`) | kubernetes.io/rule/nlb/mtu=\<loadBalancerName\> |
 
 <!--
 In order to limit which client IP's can access the Network Load Balancer,
 specify `loadBalancerSourceRanges`.
 -->
-为了限制哪些客户端IP可以访问网络负载平衡器，请指定 `loadBalancerSourceRanges`。
+为了限制哪些客户端 IP 可以访问网络负载平衡器，请指定 `loadBalancerSourceRanges`。
 
 ```yaml
 spec:
@@ -1788,7 +1775,7 @@ Further documentation on annotations for Elastic IPs and other common use-cases
 in the [AWS Load Balancer Controller documentation](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/).
 -->
 有关弹性 IP 注解和更多其他常见用例，
-请参阅[AWS负载均衡控制器文档](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/)。
+请参阅[AWS 负载均衡控制器文档](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/)。
 
 <!--
 #### Other CLB annotations on Tencent Kubernetes Engine (TKE)
@@ -1874,7 +1861,7 @@ the `my-service` Service in the `prod` namespace to `my.database.example.com`:
 
 ### ExternalName 类型         {#externalname}
 
-类型为 ExternalName 的服务将服务映射到 DNS 名称，而不是典型的选择器，例如 `my-service` 或者 `cassandra`。
+类型为 ExternalName 的服务将服务映射到 DNS 名称，而不是典型的选择算符，例如 `my-service` 或者 `cassandra`。
 你可以使用 `spec.externalName` 参数指定这些服务。
 
 例如，以下 Service 定义将 `prod` 名称空间中的 `my-service` 服务映射到 `my.database.example.com`：
@@ -1898,7 +1885,7 @@ is intended to specify a canonical DNS name. To hardcode an IP address, consider
 {{< note >}}
 ExternalName 服务接受 IPv4 地址字符串，但作为包含数字的 DNS 名称，而不是 IP 地址。
 类似于 IPv4 地址的外部名称不能由 CoreDNS 或 ingress-nginx 解析，因为外部名称旨在指定规范的 DNS 名称。
-要对 IP 地址进行硬编码，请考虑使用 [headless Services](#headless-services)。
+要对 IP 地址进行硬编码，请考虑使用[无头 Services](#headless-services)。
 {{< /note >}}
 
 <!--
@@ -1913,7 +1900,7 @@ Service's `type`.
 当查找主机 `my-service.prod.svc.cluster.local` 时，集群 DNS 服务返回 `CNAME` 记录，
 其值为 `my.database.example.com`。
 访问 `my-service` 的方式与其他服务的方式相同，但主要区别在于重定向发生在 DNS 级别，而不是通过代理或转发。
-如果以后你决定将数据库移到集群中，则可以启动其 Pod，添加适当的选择器或端点以及更改服务的 `type`。
+如果以后你决定将数据库移到集群中，则可以启动其 Pod，添加适当的选择算符或端点以及更改服务的 `type`。
 
 <!--
 {{< warning >}}
@@ -1923,14 +1910,12 @@ For protocols that use hostnames this difference may lead to errors or unexpecte
 {{< /warning >}}
 -->
 {{< warning >}}
-对于一些常见的协议，包括 HTTP 和 HTTPS，
-你使用 ExternalName 可能会遇到问题。
-如果你使用 ExternalName，那么集群内客户端使用的主机名
-与 ExternalName 引用的名称不同。
+对于一些常见的协议，包括 HTTP 和 HTTPS，你使用 ExternalName 可能会遇到问题。
+如果你使用 ExternalName，那么集群内客户端使用的主机名与 ExternalName 引用的名称不同。
 
 对于使用主机名的协议，此差异可能会导致错误或意外响应。
-HTTP 请求将具有源服务器无法识别的 `Host:` 标头；TLS 服
-务器将无法提供与客户端连接的主机名匹配的证书。
+HTTP 请求将具有源服务器无法识别的 `Host:` 标头；
+TLS 服务器将无法提供与客户端连接的主机名匹配的证书。
 {{< /warning >}}
 
 <!--
@@ -1938,8 +1923,8 @@ This section is indebted to the [Kubernetes Tips - Part
 1](https://akomljen.com/kubernetes-tips-part-1/) blog post from [Alen Komljen](https://akomljen.com/).
 -->
 {{< note >}}
-本部分感谢 [Alen Komljen](https://akomljen.com/)的
-[Kubernetes Tips - Part1](https://akomljen.com/kubernetes-tips-part-1/) 博客文章。
+有关这部分内容，我们要感谢 [Alen Komljen](https://akomljen.com/) 刊登的
+[Kubernetes Tips - Part1](https://akomljen.com/kubernetes-tips-part-1/) 这篇博文。
 {{< /note >}}
 
 <!--
@@ -1955,7 +1940,7 @@ In the example below, "`my-service`" can be accessed by clients on "`80.11.12.10
 -->
 ### 外部 IP  {#external-ips}
 
-如果外部的 IP 路由到集群中一个或多个 Node 上，Kubernetes Service 会被暴露给这些 externalIPs。
+如果外部的 IP 路由到集群中一个或多个 Node 上，Kubernetes Service 会被暴露给这些 `externalIPs`。
 通过外部 IP（作为目的 IP 地址）进入到集群，打到 Service 的端口上的流量，
 将会被路由到 Service 的 Endpoint 上。
 `externalIPs` 不会被 Kubernetes 管理，它属于集群管理员的职责范畴。
@@ -1970,7 +1955,7 @@ metadata:
   name: my-service
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - name: http
       protocol: TCP
@@ -2007,8 +1992,8 @@ but the current API requires it.
 
 使用用户空间代理，隐藏了访问 Service 的数据包的源 IP 地址。
 这使得一些类型的防火墙无法起作用。
-iptables 代理不会隐藏 Kubernetes 集群内部的 IP 地址，但却要求客户端请求
-必须通过一个负载均衡器或 Node 端口。
+iptables 代理不会隐藏 Kubernetes 集群内部的 IP 地址，
+但却要求客户端请求必须通过一个负载均衡器或 Node 端口。
 
 `Type` 字段支持嵌套功能 —— 每一层需要添加到上一层里面。
 不会严格要求所有云提供商（例如，GCE 就没必要为了使一个 `LoadBalancer`
@@ -2125,14 +2110,13 @@ each operate slightly differently.
 -->
 ### Service IP 地址 {#ips-and-vips}
 
-不像 Pod 的 IP 地址，它实际路由到一个固定的目的地，Service 的 IP 实际上
-不能通过单个主机来进行应答。
-相反，我们使用 `iptables`（Linux 中的数据包处理逻辑）来定义一个
-虚拟 IP 地址（VIP），它可以根据需要透明地进行重定向。
+不像 Pod 的 IP 地址，它实际路由到一个固定的目的地，Service 的 IP 实际上不能通过单个主机来进行应答。
+相反，我们使用 `iptables`（Linux 中的数据包处理逻辑）来定义一个虚拟 IP 地址（VIP），
+它可以根据需要透明地进行重定向。
 当客户端连接到 VIP 时，它们的流量会自动地传输到一个合适的 Endpoint。
 环境变量和 DNS，实际上会根据 Service 的 VIP 和端口来进行填充。
 
-kube-proxy支持三种代理模式: 用户空间，iptables和IPVS；它们各自的操作略有不同。
+kube-proxy 支持三种代理模式: 用户空间、iptables 和 IPVS；它们各自的操作略有不同。
 
 #### Userspace  {#userspace}
 
@@ -2157,8 +2141,8 @@ of which Pods they are actually accessing.
 作为一个例子，考虑前面提到的图片处理应用程序。
 当创建后端 Service 时，Kubernetes master 会给它指派一个虚拟 IP 地址，比如 10.0.0.1。
 假设 Service 的端口是 1234，该 Service 会被集群中所有的 `kube-proxy` 实例观察到。
-当代理看到一个新的 Service， 它会打开一个新的端口，建立一个从该 VIP 重定向到
-新端口的 iptables，并开始接收请求连接。
+当代理看到一个新的 Service，它会打开一个新的端口，
+建立一个从该 VIP 重定向到新端口的 iptables，并开始接收请求连接。
 
 当一个客户端连接到一个 VIP，iptables 规则开始起作用，它会重定向该数据包到
 "服务代理" 的端口。
@@ -2209,11 +2193,10 @@ through a load-balancer, though in those cases the client IP does get altered.
 iptables operations slow down dramatically in large scale cluster e.g 10,000 Services.
 IPVS is designed for load balancing and based on in-kernel hash tables. So you can achieve performance consistency in large number of Services from IPVS-based kube-proxy. Meanwhile, IPVS-based kube-proxy has more sophisticated load balancing algorithms (least conns, locality, weighted, persistence).
 -->
-在大规模集群（例如 10000 个服务）中，iptables 操作会显着降低速度。 IPVS
-专为负载平衡而设计，并基于内核内哈希表。
+在大规模集群（例如 10000 个服务）中，iptables 操作会显着降低速度。
+IPVS 专为负载平衡而设计，并基于内核内哈希表。
 因此，你可以通过基于 IPVS 的 kube-proxy 在大量服务中实现性能一致性。
-同时，基于 IPVS 的 kube-proxy 具有更复杂的负载均衡算法（最小连接、局部性、
-加权、持久性）。
+同时，基于 IPVS 的 kube-proxy 具有更复杂的负载均衡算法（最小连接、局部性、加权、持久性）。
 
 ## API 对象
 
@@ -2275,7 +2258,7 @@ NAT for multihomed SCTP associations requires special logic in the corresponding
 {{< /warning >}}
 -->
 {{< warning >}}
-支持多宿主SCTP关联要求 CNI 插件能够支持为一个 Pod 分配多个接口和IP地址。
+支持多宿主SCTP关联要求 CNI 插件能够支持为一个 Pod 分配多个接口和 IP 地址。
 
 用于多宿主 SCTP 关联的 NAT 在相应的内核模块中需要特殊的逻辑。
 {{< /warning >}}
@@ -2344,7 +2327,7 @@ incoming connection, similar to this example
 [PROXY 协议](https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt)
 的连接。
 
-负载平衡器将发送一系列初始字节，描述传入的连接，类似于此示例
+负载平衡器将发送一系列初始字节，描述传入的连接，类似于此示例：
 
 ```
 PROXY TCP4 192.0.2.202 10.0.42.7 12345 7\r\n
diff --git a/content/zh-cn/docs/concepts/storage/dynamic-provisioning.md b/content/zh-cn/docs/concepts/storage/dynamic-provisioning.md
index f256992599b..01fd7ed29cc 100644
--- a/content/zh-cn/docs/concepts/storage/dynamic-provisioning.md
+++ b/content/zh-cn/docs/concepts/storage/dynamic-provisioning.md
@@ -1,5 +1,5 @@
 ---
-title: 动态卷供应
+title: 动态卷制备
 content_type: concept
 weight: 40
 ---
@@ -20,11 +20,11 @@ to represent them in Kubernetes. The dynamic provisioning feature eliminates
 the need for cluster administrators to pre-provision storage. Instead, it
 automatically provisions storage when it is requested by users.
 -->
-动态卷供应允许按需创建存储卷。
-如果没有动态供应，集群管理员必须手动地联系他们的云或存储提供商来创建新的存储卷，
+动态卷制备允许按需创建存储卷。
+如果没有动态制备，集群管理员必须手动地联系他们的云或存储提供商来创建新的存储卷，
 然后在 Kubernetes 集群创建
 [`PersistentVolume` 对象](/zh-cn/docs/concepts/storage/persistent-volumes/)来表示这些卷。
-动态供应功能消除了集群管理员预先配置存储的需要。 相反，它在用户请求时自动供应存储。
+动态制备功能消除了集群管理员预先配置存储的需要。相反，它在用户请求时自动制备存储。
 
 <!-- body -->
 
@@ -40,9 +40,9 @@ from the API group `storage.k8s.io`. A cluster administrator can define as many
 *provisioner*) that provisions a volume and the set of parameters to pass to
 that provisioner when provisioning.
 -->
-动态卷供应的实现基于 `storage.k8s.io` API 组中的 `StorageClass` API 对象。
-集群管理员可以根据需要定义多个 `StorageClass` 对象，每个对象指定一个*卷插件*（又名 *provisioner*），
-卷插件向卷供应商提供在创建卷时需要的数据卷信息及相关参数。
+动态卷制备的实现基于 `storage.k8s.io` API 组中的 `StorageClass` API 对象。
+集群管理员可以根据需要定义多个 `StorageClass` 对象，每个对象指定一个**卷插件**（又名 **provisioner**），
+卷插件向卷制备商提供在创建卷时需要的数据卷信息及相关参数。
 
 <!--
 A cluster administrator can define and expose multiple flavors of storage (from
@@ -52,7 +52,7 @@ about the complexity and nuances of how storage is provisioned, but still
 have the ability to select from multiple storage options.
 -->
 集群管理员可以在集群中定义和公开多种存储（来自相同或不同的存储系统），每种都具有自定义参数集。
-该设计也确保终端用户不必担心存储供应的复杂性和细微差别，但仍然能够从多个存储选项中进行选择。
+该设计也确保终端用户不必担心存储制备的复杂性和细微差别，但仍然能够从多个存储选项中进行选择。
 
 <!--
 More information on storage classes can be found
@@ -63,7 +63,7 @@ More information on storage classes can be found
 <!--
 ## Enabling Dynamic Provisioning
 -->
-## 启用动态卷供应  {#enabling-dynamic-provisioning}
+## 启用动态卷制备  {#enabling-dynamic-provisioning}
 
 <!--
 To enable dynamic provisioning, a cluster administrator needs to pre-create
@@ -76,8 +76,8 @@ The name of a StorageClass object must be a valid
 The following manifest creates a storage class "slow" which provisions standard
 disk-like persistent disks.
 -->
-要启用动态供应功能，集群管理员需要为用户预先创建一个或多个 `StorageClass` 对象。
-`StorageClass` 对象定义当动态供应被调用时，哪一个驱动将被使用和哪些参数将被传递给驱动。
+要启用动态制备功能，集群管理员需要为用户预先创建一个或多个 `StorageClass` 对象。
+`StorageClass` 对象定义当动态制备被调用时，哪一个驱动将被使用和哪些参数将被传递给驱动。
 StorageClass 对象的名字必须是一个合法的 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
 以下清单创建了一个 `StorageClass` 存储类 "slow"，它提供类似标准磁盘的永久磁盘。
 
@@ -110,7 +110,7 @@ parameters:
 <!--
 ## Using Dynamic Provisioning
 -->
-## 使用动态卷供应
+## 使用动态卷制备 {#using-dynamic-provisioning}
 
 <!--
 Users request dynamically provisioned storage by including a storage class in
@@ -121,7 +121,7 @@ is deprecated since v1.9. Users now can and should instead use the
 this field must match the name of a `StorageClass` configured by the
 administrator (see [below](#enabling-dynamic-provisioning)).
 -->
-用户通过在 `PersistentVolumeClaim` 中包含存储类来请求动态供应的存储。
+用户通过在 `PersistentVolumeClaim` 中包含存储类来请求动态制备的存储。
 在 Kubernetes v1.9 之前，这通过 `volume.beta.kubernetes.io/storage-class` 注解实现。然而，这个注解自 v1.6 起就不被推荐使用了。
 用户现在能够而且应该使用 `PersistentVolumeClaim` 对象的 `storageClassName` 字段。
 这个字段的值必须能够匹配到集群管理员配置的 `StorageClass` 名称（见[下面](#enabling-dynamic-provisioning)）。
@@ -150,7 +150,7 @@ spec:
 This claim results in an SSD-like Persistent Disk being automatically
 provisioned. When the claim is deleted, the volume is destroyed.
 -->
-该声明会自动供应一块类似 SSD 的永久磁盘。
+该声明会自动制备一块类似 SSD 的永久磁盘。
 在删除该声明后，这个卷也会被销毁。
 
 <!--
@@ -163,7 +163,7 @@ Dynamic provisioning can be enabled on a cluster such that all claims are
 dynamically provisioned if no storage class is specified. A cluster administrator
 can enable this behavior by:
 -->
-可以在集群上启用动态卷供应，以便在未指定存储类的情况下动态设置所有声明。
+可以在集群上启用动态卷制备，以便在未指定存储类的情况下动态设置所有声明。
 集群管理员可以通过以下方式启用此行为：
 
 <!--
@@ -171,18 +171,20 @@ can enable this behavior by:
 - Making sure that the [`DefaultStorageClass` admission controller](/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)
   is enabled on the API server.
 -->
-- 标记一个 `StorageClass` 为 *默认*；
+- 标记一个 `StorageClass` 为 **默认**；
 - 确保 [`DefaultStorageClass` 准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)在 API 服务端被启用。
 
 <!--
 An administrator can mark a specific `StorageClass` as default by adding the
-`storageclass.kubernetes.io/is-default-class` annotation to it.
+`storageclass.kubernetes.io/is-default-class` [annotation](/docs/reference/labels-annotations-taints/#storageclass-kubernetes-io-is-default-class) to it.
 When a default `StorageClass` exists in a cluster and a user creates a
 `PersistentVolumeClaim` with `storageClassName` unspecified, the
 `DefaultStorageClass` admission controller automatically adds the
 `storageClassName` field pointing to the default storage class.
 -->
-管理员可以通过向其添加 `storageclass.kubernetes.io/is-default-class` 注解来将特定的 `StorageClass` 标记为默认。
+管理员可以通过向其添加 `storageclass.kubernetes.io/is-default-class`
+[annotation](/zh-cn/docs/reference/labels-annotations-taints/#storageclass-kubernetes-io-is-default-class)
+来将特定的 `StorageClass` 标记为默认。
 当集群中存在默认的 `StorageClass` 并且用户创建了一个未指定 `storageClassName` 的 `PersistentVolumeClaim` 时，
 `DefaultStorageClass` 准入控制器会自动向其中添加指向默认存储类的 `storageClassName` 字段。
 
@@ -191,13 +193,13 @@ Note that there can be at most one *default* storage class on a cluster, or
 a `PersistentVolumeClaim` without `storageClassName` explicitly specified cannot
 be created.
 -->
-请注意，集群上最多只能有一个 *默认* 存储类，否则无法创建没有明确指定
+请注意，集群上最多只能有一个 **默认** 存储类，否则无法创建没有明确指定
 `storageClassName` 的 `PersistentVolumeClaim`。
 
 <!--
 ## Topology Awareness
 -->
-## 拓扑感知
+## 拓扑感知 {#topology-awareness}
 
 <!--
 In [Multi-Zone](/docs/setup/multiple-zones) clusters, Pods can be spread across
@@ -205,7 +207,7 @@ Zones in a Region. Single-Zone storage backends should be provisioned in the Zon
 Pods are scheduled. This can be accomplished by setting the [Volume Binding
 Mode](/docs/concepts/storage/storage-classes/#volume-binding-mode).
 -->
-在[多区域](/zh-cn/docs/setup/best-practices/multiple-zones/)集群中，Pod 可以被分散到多个区域。
-单区域存储后端应该被供应到 Pod 被调度到的区域。
+在[多可用区](/zh-cn/docs/setup/best-practices/multiple-zones/)集群中，Pod 可以被分散到某个区域的多个可用区。
+单可用区存储后端应该被制备到 Pod 被调度到的可用区。
 这可以通过设置[卷绑定模式](/zh-cn/docs/concepts/storage/storage-classes/#volume-binding-mode)来实现。
 
diff --git a/content/zh-cn/docs/concepts/storage/persistent-volumes.md b/content/zh-cn/docs/concepts/storage/persistent-volumes.md
index 9d2cb53d37a..4bca21f6c76 100644
--- a/content/zh-cn/docs/concepts/storage/persistent-volumes.md
+++ b/content/zh-cn/docs/concepts/storage/persistent-volumes.md
@@ -31,7 +31,7 @@ weight: 20
 <!--
 This document describes _persistent volumes_ in Kubernetes. Familiarity with [volumes](/docs/concepts/storage/volumes/) is suggested.
 -->
-本文描述 Kubernetes 中的 _持久卷（Persistent Volume）_ 。
+本文描述 Kubernetes 中的**持久卷（Persistent Volume）** 。
 建议先熟悉[卷（Volume）](/zh-cn/docs/concepts/storage/volumes/)的概念。
 
 <!-- body -->
@@ -43,24 +43,25 @@ Managing storage is a distinct problem from managing compute instances. The Pers
 -->
 ## 介绍  {#introduction}
 
-存储的管理是一个与计算实例的管理完全不同的问题。PersistentVolume 子系统为用户
-和管理员提供了一组 API，将存储如何供应的细节从其如何被使用中抽象出来。
+存储的管理是一个与计算实例的管理完全不同的问题。
+PersistentVolume 子系统为用户和管理员提供了一组 API，
+将存储如何制备的细节从其如何被使用中抽象出来。
 为了实现这点，我们引入了两个新的 API 资源：PersistentVolume 和
 PersistentVolumeClaim。
 
 <!--
 A _PersistentVolume_ (PV) is a piece of storage in the cluster that has been provisioned by an administrator or dynamically provisioned using [Storage Classes](/docs/concepts/storage/storage-classes/). It is a resource in the cluster just like a node is a cluster resource. PVs are volume plugins like Volumes, but have a lifecycle independent of any individual Pod that uses the PV. This API object captures the details of the implementation of the storage, be that NFS, iSCSI, or a cloud-provider-specific storage system.
 -->
-持久卷（PersistentVolume，PV）是集群中的一块存储，可以由管理员事先供应，或者
-使用[存储类（Storage Class）](/zh-cn/docs/concepts/storage/storage-classes/)来动态供应。
-持久卷是集群资源，就像节点也是集群资源一样。PV 持久卷和普通的 Volume 一样，也是使用
-卷插件来实现的，只是它们拥有独立于任何使用 PV 的 Pod 的生命周期。
+**持久卷（PersistentVolume，PV）** 是集群中的一块存储，可以由管理员事先制备，
+或者使用[存储类（Storage Class）](/zh-cn/docs/concepts/storage/storage-classes/)来动态制备。
+持久卷是集群资源，就像节点也是集群资源一样。PV 持久卷和普通的 Volume 一样，
+也是使用卷插件来实现的，只是它们拥有独立于任何使用 PV 的 Pod 的生命周期。
 此 API 对象中记述了存储的实现细节，无论其背后是 NFS、iSCSI 还是特定于云平台的存储系统。
 
 <!--
 A _PersistentVolumeClaim_ (PVC) is a request for storage by a user. It is similar to a Pod. Pods consume node resources and PVCs consume PV resources. Pods can request specific levels of resources (CPU and Memory).  Claims can request specific size and access modes (e.g., they can be mounted ReadWriteOnce, ReadOnlyMany or ReadWriteMany, see [AccessModes](#access-modes)).
 -->
-持久卷申领（PersistentVolumeClaim，PVC）表达的是用户对存储的请求。概念上与 Pod 类似。
+**持久卷申领（PersistentVolumeClaim，PVC）** 表达的是用户对存储的请求。概念上与 Pod 类似。
 Pod 会耗用节点资源，而 PVC 申领会耗用 PV 资源。Pod 可以请求特定数量的资源（CPU
 和内存）；同样 PVC 申领也可以请求特定的大小和访问模式
 （例如，可以要求 PV 卷能够以 ReadWriteOnce、ReadOnlyMany 或 ReadWriteMany
@@ -71,11 +72,11 @@ While PersistentVolumeClaims allow a user to consume abstract storage resources,
 
 See the [detailed walkthrough with working examples](/docs/tasks/configure-pod-container/configure-persistent-volume-storage/).
 -->
-尽管 PersistentVolumeClaim 允许用户消耗抽象的存储资源，常见的情况是针对不同的
-问题用户需要的是具有不同属性（如，性能）的 PersistentVolume 卷。
-集群管理员需要能够提供不同性质的 PersistentVolume，并且这些 PV 卷之间的差别不
-仅限于卷大小和访问模式，同时又不能将卷是如何实现的这些细节暴露给用户。
-为了满足这类需求，就有了 _存储类（StorageClass）_ 资源。
+尽管 PersistentVolumeClaim 允许用户消耗抽象的存储资源，
+常见的情况是针对不同的问题用户需要的是具有不同属性（如，性能）的 PersistentVolume 卷。
+集群管理员需要能够提供不同性质的 PersistentVolume，
+并且这些 PV 卷之间的差别不仅限于卷大小和访问模式，同时又不能将卷是如何实现的这些细节暴露给用户。
+为了满足这类需求，就有了 **存储类（StorageClass）** 资源。
 
 参见[基于运行示例的详细演练](/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/)。
 
@@ -93,19 +94,19 @@ There are two ways PVs may be provisioned: statically or dynamically.
 PV 卷是集群中的资源。PVC 申领是对这些资源的请求，也被用来执行对资源的申领检查。
 PV 卷和 PVC 申领之间的互动遵循如下生命周期：
 
-### 供应   {#provisioning}
+### 制备   {#provisioning}
 
-PV 卷的供应有两种方式：静态供应或动态供应。
+PV 卷的制备有两种方式：静态制备或动态制备。
 
 <!--
 #### Static
 
 A cluster administrator creates a number of PVs. They carry the details of the real storage, which is available for use by cluster users. They exist in the Kubernetes API and are available for consumption.
 -->
-#### 静态供应  {#static}
+#### 静态制备  {#static}
 
-集群管理员创建若干 PV 卷。这些卷对象带有真实存储的细节信息，并且对集群
-用户可用（可见）。PV 卷对象存在于 Kubernetes  API 中，可供用户消费（使用）。
+集群管理员创建若干 PV 卷。这些卷对象带有真实存储的细节信息，
+并且对集群用户可用（可见）。PV 卷对象存在于 Kubernetes  API 中，可供用户消费（使用）。
 
 <!--
 #### Dynamic
@@ -118,28 +119,28 @@ the administrator must have created and configured that class for dynamic
 provisioning to occur. Claims that request the class `""` effectively disable
 dynamic provisioning for themselves.
 -->
-#### 动态供应     {#dynamic}
+#### 动态制备     {#dynamic}
 
 如果管理员所创建的所有静态 PV 卷都无法与用户的 PersistentVolumeClaim 匹配，
-集群可以尝试为该 PVC 申领动态供应一个存储卷。
-这一供应操作是基于 StorageClass 来实现的：PVC 申领必须请求某个
-[存储类](/zh-cn/docs/concepts/storage/storage-classes/)，同时集群管理员必须
-已经创建并配置了该类，这样动态供应卷的动作才会发生。
-如果 PVC 申领指定存储类为 `""`，则相当于为自身禁止使用动态供应的卷。
+集群可以尝试为该 PVC 申领动态制备一个存储卷。
+这一制备操作是基于 StorageClass 来实现的：PVC 申领必须请求某个
+[存储类](/zh-cn/docs/concepts/storage/storage-classes/)，
+同时集群管理员必须已经创建并配置了该类，这样动态制备卷的动作才会发生。
+如果 PVC 申领指定存储类为 `""`，则相当于为自身禁止使用动态制备的卷。
 
 <!--
 To enable dynamic storage provisioning based on storage class, the cluster administrator
 needs to enable the `DefaultStorageClass` [admission controller](/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)
 on the API server. This can be done, for example, by ensuring that `DefaultStorageClass` is
-among the comma-delimited, ordered list of values for the `-enable-admission-plugins` flag of
+among the comma-delimited, ordered list of values for the `--enable-admission-plugins` flag of
 the API server component. For more information on API server command-line flags,
 check [kube-apiserver](/docs/admin/kube-apiserver/) documentation.
 -->
-为了基于存储类完成动态的存储供应，集群管理员需要在 API 服务器上启用
+为了基于存储类完成动态的存储制备，集群管理员需要在 API 服务器上启用
 `DefaultStorageClass` [准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)。
 举例而言，可以通过保证 `DefaultStorageClass` 出现在 API 服务器组件的
-`--enable-admission-plugins` 标志值中实现这点；该标志的值可以是逗号
-分隔的有序列表。关于 API 服务器标志的更多信息，可以参考
+`--enable-admission-plugins` 标志值中实现这点；该标志的值可以是逗号分隔的有序列表。
+关于 API 服务器标志的更多信息，可以参考
 [kube-apiserver](/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/)
 文档。
 
@@ -147,30 +148,28 @@ check [kube-apiserver](/docs/admin/kube-apiserver/) documentation.
 ### Binding
 
 A user creates, or in the case of dynamic provisioning, has already created, a PersistentVolumeClaim with a specific amount of storage requested and with certain access modes. A control loop in the master watches for new PVCs, finds a matching PV (if possible), and binds them together. If a PV was dynamically provisioned for a new PVC, the loop will always bind that PV to the PVC. Otherwise, the user will always get at least what they asked for, but the volume may be in excess of what was requested. Once bound, PersistentVolumeClaim binds are exclusive, regardless of how they were bound. A PVC to PV binding is a one-to-one mapping, using a ClaimRef which is a bi-directional binding between the PersistentVolume and the PersistentVolumeClaim.
-
-Claims will remain unbound indefinitely if a matching volume does not exist. Claims will be bound as matching volumes become available. For example, a cluster provisioned with many 50Gi PVs would not match a PVC requesting 100Gi. The PVC can be bound when a 100Gi PV is added to the cluster.
 -->
 ### 绑定     {#binding}
 
 用户创建一个带有特定存储容量和特定访问模式需求的 PersistentVolumeClaim 对象；
-在动态供应场景下，这个 PVC 对象可能已经创建完毕。
+在动态制备场景下，这个 PVC 对象可能已经创建完毕。
 主控节点中的控制回路监测新的 PVC 对象，寻找与之匹配的 PV 卷（如果可能的话），
 并将二者绑定到一起。
-如果为了新的 PVC 申领动态供应了 PV 卷，则控制回路总是将该 PV 卷绑定到这一 PVC 申领。
+如果为了新的 PVC 申领动态制备了 PV 卷，则控制回路总是将该 PV 卷绑定到这一 PVC 申领。
 否则，用户总是能够获得他们所请求的资源，只是所获得的 PV 卷可能会超出所请求的配置。
-一旦绑定关系建立，则 PersistentVolumeClaim 绑定就是排他性的，无论该 PVC 申领是
-如何与 PV 卷建立的绑定关系。
-PVC 申领与 PV 卷之间的绑定是一种一对一的映射，实现上使用 ClaimRef 来记述 PV 卷
-与 PVC 申领间的双向绑定关系。
+一旦绑定关系建立，则 PersistentVolumeClaim 绑定就是排他性的，
+无论该 PVC 申领是如何与 PV 卷建立的绑定关系。
+PVC 申领与 PV 卷之间的绑定是一种一对一的映射，实现上使用 ClaimRef 来记述
+PV 卷与 PVC 申领间的双向绑定关系。
 
 <!--
 Claims will remain unbound indefinitely if a matching volume does not exist. Claims will be bound as matching volumes become available. For example, a cluster provisioned with many 50Gi PVs would not match a PVC requesting 100Gi. The PVC can be bound when a 100Gi PV is added to the cluster.
 -->
 如果找不到匹配的 PV 卷，PVC 申领会无限期地处于未绑定状态。
 当与之匹配的 PV 卷可用时，PVC 申领会被绑定。
-例如，即使某集群上供应了很多 50 Gi 大小的 PV 卷，也无法与请求
-100 Gi 大小的存储的 PVC 匹配。当新的 100 Gi PV 卷被加入到集群时，该
-PVC 才有可能被绑定。
+例如，即使某集群上制备了很多 50 Gi 大小的 PV 卷，也无法与请求
+100 Gi 大小的存储的 PVC 匹配。当新的 100 Gi PV 卷被加入到集群时，
+该 PVC 才有可能被绑定。
 
 <!--
 ### Using
@@ -179,15 +178,16 @@ Pods use claims as volumes. The cluster inspects the claim to find the bound vol
 -->
 ### 使用    {#using}
 
-Pod 将 PVC 申领当做存储卷来使用。集群会检视 PVC 申领，找到所绑定的卷，并
-为 Pod 挂载该卷。对于支持多种访问模式的卷，用户要在 Pod 中以卷的形式使用申领
-时指定期望的访问模式。
+Pod 将 PVC 申领当做存储卷来使用。集群会检视 PVC 申领，找到所绑定的卷，
+并为 Pod 挂载该卷。对于支持多种访问模式的卷，
+用户要在 Pod 中以卷的形式使用申领时指定期望的访问模式。
 
 <!--
 Once a user has a claim and that claim is bound, the bound PV belongs to the user for as long as they need it. Users schedule Pods and access their claimed PVs by including a `persistentVolumeClaim` section in a Pod's `volumes` block. See [Claims As Volumes](#claims-as-volumes) for more details on this.
 -->
-一旦用户有了申领对象并且该申领已经被绑定，则所绑定的 PV 卷在用户仍然需要它期间
-一直属于该用户。用户通过在 Pod 的 `volumes` 块中包含 `persistentVolumeClaim`
+一旦用户有了申领对象并且该申领已经被绑定，
+则所绑定的 PV 卷在用户仍然需要它期间一直属于该用户。
+用户通过在 Pod 的 `volumes` 块中包含 `persistentVolumeClaim`
 节区来调度 Pod，访问所申领的 PV 卷。
 相关细节可参阅[使用申领作为卷](#claims-as-volumes)。
 
@@ -198,9 +198,9 @@ The purpose of the Storage Object in Use Protection feature is to ensure that Pe
 -->
 ### 保护使用中的存储对象   {#storage-object-in-use-protection}
 
-保护使用中的存储对象（Storage Object in Use Protection）这一功能特性的目的
-是确保仍被 Pod 使用的 PersistentVolumeClaim（PVC）对象及其所绑定的
-PersistentVolume（PV）对象在系统中不会被删除，因为这样做可能会引起数据丢失。
+保护使用中的存储对象（Storage Object in Use Protection）
+这一功能特性的目的是确保仍被 Pod 使用的 PersistentVolumeClaim（PVC）
+对象及其所绑定的 PersistentVolume（PV）对象在系统中不会被删除，因为这样做可能会引起数据丢失。
 
 <!--
 PVC is in active use by a Pod when a Pod object exists that is using the PVC.
@@ -271,11 +271,11 @@ Events:            <none>
 
 When a user is done with their volume, they can delete the PVC objects from the API that allows reclamation of the resource. The reclaim policy for a PersistentVolume tells the cluster what to do with the volume after it has been released of its claim. Currently, volumes can either be Retained, Recycled, or Deleted.
 -->
-### 回收   {#reclaiming}
+### 回收（Reclaiming）   {#reclaiming}
 
-当用户不再使用其存储卷时，他们可以从 API 中将 PVC 对象删除，从而允许
-该资源被回收再利用。PersistentVolume 对象的回收策略告诉集群，当其被
-从申领中释放时如何处理该数据卷。
+当用户不再使用其存储卷时，他们可以从 API 中将 PVC 对象删除，
+从而允许该资源被回收再利用。PersistentVolume 对象的回收策略告诉集群，
+当其被从申领中释放时如何处理该数据卷。
 目前，数据卷可以被 Retained（保留）、Recycled（回收）或 Deleted（删除）。
 
 <!--
@@ -285,8 +285,8 @@ The `Retain` reclaim policy allows for manual reclamation of the resource. When
 -->
 #### 保留（Retain）    {#retain}
 
-回收策略 `Retain` 使得用户可以手动回收资源。当 PersistentVolumeClaim 对象
-被删除时，PersistentVolume 卷仍然存在，对应的数据卷被视为"已释放（released）"。
+回收策略 `Retain` 使得用户可以手动回收资源。当 PersistentVolumeClaim
+对象被删除时，PersistentVolume 卷仍然存在，对应的数据卷被视为"已释放（released）"。
 由于卷上仍然存在这前一申领人的数据，该卷还不能用于其他申领。
 管理员可以通过下面的步骤来手动回收该卷：
 
@@ -314,10 +314,10 @@ For volume plugins that support the `Delete` reclaim policy, deletion removes bo
 对于支持 `Delete` 回收策略的卷插件，删除动作会将 PersistentVolume 对象从
 Kubernetes 中移除，同时也会从外部基础设施（如 AWS EBS、GCE PD、Azure Disk 或
 Cinder 卷）中移除所关联的存储资产。
-动态供应的卷会继承[其 StorageClass 中设置的回收策略](#reclaim-policy)，该策略默认
-为 `Delete`。
-管理员需要根据用户的期望来配置 StorageClass；否则 PV 卷被创建之后必须要被
-编辑或者修补。参阅[更改 PV 卷的回收策略](/zh-cn/docs/tasks/administer-cluster/change-pv-reclaim-policy/).
+动态制备的卷会继承[其 StorageClass 中设置的回收策略](#reclaim-policy)，
+该策略默认为 `Delete`。管理员需要根据用户的期望来配置 StorageClass；
+否则 PV 卷被创建之后必须要被编辑或者修补。
+参阅[更改 PV 卷的回收策略](/zh-cn/docs/tasks/administer-cluster/change-pv-reclaim-policy/).
 
 <!--
 #### Recycle
@@ -329,11 +329,11 @@ If supported by the underlying volume plugin, the `Recycle` reclaim policy perfo
 #### 回收（Recycle）     {#recycle}
 
 {{< warning >}}
-回收策略 `Recycle` 已被废弃。取而代之的建议方案是使用动态供应。
+回收策略 `Recycle` 已被废弃。取而代之的建议方案是使用动态制备。
 {{< /warning >}}
 
-如果下层的卷插件支持，回收策略 `Recycle` 会在卷上执行一些基本的
-擦除（`rm -rf /thevolume/*`）操作，之后允许该卷用于新的 PVC 申领。
+如果下层的卷插件支持，回收策略 `Recycle` 会在卷上执行一些基本的擦除
+（`rm -rf /thevolume/*`）操作，之后允许该卷用于新的 PVC 申领。
 
 <!--
 However, an administrator can configure a custom recycler Pod template using
@@ -371,8 +371,7 @@ spec:
 <!--
 However, the particular path specified in the custom recycler Pod template in the `volumes` part is replaced with the particular path of the volume that is being recycled.
 -->
-定制回收器 Pod 模板中在 `volumes` 部分所指定的特定路径要替换为
-正被回收的卷的路径。
+定制回收器 Pod 模板中在 `volumes` 部分所指定的特定路径要替换为正被回收的卷的路径。
 
 <!--
 ### PersistentVolume deletion protection finalizer
@@ -383,8 +382,8 @@ having `Delete` reclaim policy are deleted only after the backing storage are de
 ### PersistentVolume 删除保护 finalizer  {#persistentvolume-deletion-protection-finalizer}
 {{< feature-state for_k8s_version="v1.23" state="alpha" >}}
 
-可以在 PersistentVolume 上添加终结器（Finalizers），以确保只有在删除对应的存储后才删除具有
-`Delete` 回收策略的 PersistentVolume。
+可以在 PersistentVolume 上添加终结器（Finalizer），
+以确保只有在删除对应的存储后才删除具有 `Delete` 回收策略的 PersistentVolume。
 
 <!--
 The newly introduced finalizers `kubernetes.io/pv-controller` and `external-provisioner.volume.kubernetes.io/finalizer`
@@ -483,9 +482,8 @@ The binding happens regardless of some volume matching criteria, including node
 The control plane still checks that [storage class](/docs/concepts/storage/storage-classes/), access modes, and requested storage size are valid.
 -->
 绑定操作不会考虑某些卷匹配条件是否满足，包括节点亲和性等等。
-控制面仍然会检查
-[存储类](/zh-cn/docs/concepts/storage/storage-classes/)、访问模式和所请求的
-存储尺寸都是合法的。
+控制面仍然会检查[存储类](/zh-cn/docs/concepts/storage/storage-classes/)、
+访问模式和所请求的存储尺寸都是合法的。
 
 ```yaml
 apiVersion: v1
@@ -503,9 +501,9 @@ spec:
 This method does not guarantee any binding privileges to the PersistentVolume. If other PersistentVolumeClaims could use the PV that you specify, you first need to reserve that storage volume. Specify the relevant PersistentVolumeClaim in the `claimRef` field of the PV so that other PVCs can not bind to it.
 -->
 此方法无法对 PersistentVolume 的绑定特权做出任何形式的保证。
-如果有其他 PersistentVolumeClaim 可以使用你所指定的 PV，则你应该首先预留
-该存储卷。你可以将 PV 的 `claimRef` 字段设置为相关的 PersistentVolumeClaim
-以确保其他 PVC 不会绑定到该 PV 卷。
+如果有其他 PersistentVolumeClaim 可以使用你所指定的 PV，
+则你应该首先预留该存储卷。你可以将 PV 的 `claimRef` 字段设置为相关的
+PersistentVolumeClaim 以确保其他 PVC 不会绑定到该 PV 卷。
 
 ```yaml
 apiVersion: v1
@@ -524,8 +522,8 @@ spec:
 This is useful if you want to consume PersistentVolumes that have their `claimPolicy` set
 to `Retain`, including cases where you are reusing an existing PV.
 -->
-如果你想要使用 `claimPolicy` 属性设置为 `Retain` 的 PersistentVolume 卷
-时，包括你希望复用现有的 PV 卷时，这点是很有用的
+如果你想要使用 `claimPolicy` 属性设置为 `Retain` 的 PersistentVolume 卷时，
+包括你希望复用现有的 PV 卷时，这点是很有用的
 
 <!--
 ### Expanding Persistent Volumes Claims
@@ -594,8 +592,8 @@ increased and that no resize is necessary.
 如果对 PersistentVolume 的容量进行编辑，然后又将其所对应的
 PersistentVolumeClaim 的 `.spec` 进行编辑，使该 PersistentVolumeClaim
 的大小匹配 PersistentVolume 的话，则不会发生存储大小的调整。
-Kubernetes 控制平面将看到两个资源的所需状态匹配，并认为其后备卷的大小
-已被手动增加，无需调整。
+Kubernetes 控制平面将看到两个资源的所需状态匹配，
+并认为其后备卷的大小已被手动增加，无需调整。
 {{< /warning >}}
 
 <!--
@@ -608,8 +606,8 @@ Kubernetes 控制平面将看到两个资源的所需状态匹配，并认为其
 <!--
 Support for expanding CSI volumes is enabled by default but it also requires a specific CSI driver to support volume expansion. Refer to documentation of the specific CSI driver for more information.
 -->
-对 CSI 卷的扩充能力默认是被启用的，不过扩充 CSI 卷要求 CSI 驱动支持
-卷扩充操作。可参阅特定 CSI 驱动的文档了解更多信息。
+对 CSI 卷的扩充能力默认是被启用的，不过扩充 CSI 卷要求 CSI
+驱动支持卷扩充操作。可参阅特定 CSI 驱动的文档了解更多信息。
 
 <!--
 #### Resizing a volume containing a file system
@@ -628,13 +626,12 @@ or when a Pod is running and the underlying file system supports online expansio
 FlexVolumes (deprecated since Kubernetes v1.23) allow resize if the driver is configured with the
 `RequiresFSResize` capability to `true`. The FlexVolume can be resized on Pod restart.
 -->
-当卷中包含文件系统时，只有在 Pod 使用 `ReadWrite` 模式来使用 PVC 申领的
-情况下才能重设其文件系统的大小。
-文件系统扩充的操作或者是在 Pod 启动期间完成，或者在下层文件系统支持在线
-扩充的前提下在 Pod 运行期间完成。
+当卷中包含文件系统时，只有在 Pod 使用 `ReadWrite` 模式来使用 PVC
+申领的情况下才能重设其文件系统的大小。文件系统扩充的操作或者是在 Pod
+启动期间完成，或者在下层文件系统支持在线扩充的前提下在 Pod 运行期间完成。
 
-如果 FlexVolumes 的驱动将 `RequiresFSResize` 能力设置为 `true`，则该
-FlexVolume 卷（于 Kubernetes v1.23 弃用）可以在 Pod 重启期间调整大小。
+如果 FlexVolumes 的驱动将 `RequiresFSResize` 能力设置为 `true`，
+则该 FlexVolume 卷（于 Kubernetes v1.23 弃用）可以在 Pod 重启期间调整大小。
 
 <!--
 #### Resizing an in-use PersistentVolumeClaim
@@ -691,9 +688,9 @@ If a user specifies a new size that is too big to be satisfied by underlying sto
 <!--
 If expanding underlying storage fails, the cluster administrator can manually recover the Persistent Volume Claim (PVC) state and cancel the resize requests. Otherwise, the resize requests are continuously retried by the controller without administrator intervention.
 -->
-如果扩充下层存储的操作失败，集群管理员可以手动地恢复 PVC 申领的状态并
-取消重设大小的请求。否则，在没有管理员干预的情况下，控制器会反复重试
-重设大小的操作。
+如果扩充下层存储的操作失败，集群管理员可以手动地恢复 PVC
+申领的状态并取消重设大小的请求。否则，在没有管理员干预的情况下，
+控制器会反复重试重设大小的操作。
 
 <!--
 1. Mark the PersistentVolume(PV) that is bound to the PersistentVolumeClaim(PVC) with `Retain` reclaim policy.
@@ -702,7 +699,7 @@ If expanding underlying storage fails, the cluster administrator can manually re
 4. Re-create the PVC with smaller size than PV and set `volumeName` field of the PVC to the name of the PV. This should bind new PVC to existing PV.
 5. Don't forget to restore the reclaim policy of the PV.
 -->
-1. 将绑定到 PVC 申领的 PV 卷标记为 `Retain` 回收策略；
+1. 将绑定到 PVC 申领的 PV 卷标记为 `Retain` 回收策略。
 2. 删除 PVC 对象。由于 PV 的回收策略为 `Retain`，我们不会在重建 PVC 时丢失数据。
 3. 删除 PV 规约中的 `claimRef` 项，这样新的 PVC 可以绑定到该卷。
    这一操作会使得 PV 卷变为 "可用（Available）"。
@@ -736,12 +733,12 @@ size that is within the capacity limits of underlying storage provider. You can
 -->
 如果集群中的特性门控 `RecoverVolumeExpansionFailure`
 已启用，在 PVC 的扩展发生失败时，你可以使用比先前请求的值更小的尺寸来重试扩展。
-要使用一个更小的尺寸尝试请求新的扩展，请编辑该 PVC 的 `.spec.resources` 并选择
-一个比你之前所尝试的值更小的值。
+要使用一个更小的尺寸尝试请求新的扩展，请编辑该 PVC 的 `.spec.resources`
+并选择一个比你之前所尝试的值更小的值。
 如果由于容量限制而无法成功扩展至更高的值，这将很有用。
-如果发生了这种情况，或者你怀疑可能发生了这种情况，你可以通过指定一个在底层存储供应容量
-限制内的尺寸来重试扩展。你可以通过查看 `.status.resizeStatus` 以及 PVC 上的事件
-来监控调整大小操作的状态。
+如果发生了这种情况，或者你怀疑可能发生了这种情况，
+你可以通过指定一个在底层存储制备容量限制内的尺寸来重试扩展。
+你可以通过查看 `.status.resizeStatus` 以及 PVC 上的事件来监控调整大小操作的状态。
 
 <!--
 Note that,
@@ -796,8 +793,7 @@ PV 持久卷是用插件的形式来实现的。Kubernetes 目前支持以下插
 * [`gcePersistentDisk`](/zh-cn/docs/concepts/storage/volumes/#gcepersistentdisk) - GCE 持久化盘
 * [`glusterfs`](/zh-cn/docs/concepts/storage/volumes/#glusterfs) - Glusterfs 卷
 * [`hostPath`](/zh-cn/docs/concepts/storage/volumes/#hostpath) - HostPath 卷
-  （仅供单节点测试使用；不适用于多节点集群；
-  请尝试使用 `local` 卷作为替代）
+  （仅供单节点测试使用；不适用于多节点集群；请尝试使用 `local` 卷作为替代）
 * [`iscsi`](/zh-cn/docs/concepts/storage/volumes/#iscsi) - iSCSI (SCSI over IP) 存储
 * [`local`](/zh-cn/docs/concepts/storage/volumes/#local) - 节点上挂载的本地存储设备
 * [`nfs`](/zh-cn/docs/concepts/storage/volumes/#nfs) - 网络文件系统 (NFS) 存储
@@ -822,12 +818,12 @@ The following types of PersistentVolume are deprecated. This means that support
 
 以下的持久卷已被弃用。这意味着当前仍是支持的，但是 Kubernetes 将来的发行版会将其移除。
 
-* [`cinder`](/docs/concepts/storage/volumes/#cinder) - Cinder（OpenStack 块存储）（于 v1.18 **弃用**）
+* [`cinder`](/zh-cn/docs/concepts/storage/volumes/#cinder) - Cinder（OpenStack 块存储）（于 v1.18 **弃用**）
 * [`flexVolume`](/zh-cn/docs/concepts/storage/volumes/#flexVolume) - FlexVolume （于 v1.23 **弃用**）
-* [`flocker`](/docs/concepts/storage/volumes/#flocker) - Flocker 存储（于 v1.22 **弃用**）
-* [`quobyte`](/docs/concepts/storage/volumes/#quobyte) - Quobyte 卷
+* [`flocker`](/zh-cn/docs/concepts/storage/volumes/#flocker) - Flocker 存储（于 v1.22 **弃用**）
+* [`quobyte`](/zh-cn/docs/concepts/storage/volumes/#quobyte) - Quobyte 卷
 （于 v1.22 **弃用**）
-* [`storageos`](/docs/concepts/storage/volumes/#storageos) - StorageOS 卷（于 v1.22 **弃用**）
+* [`storageos`](/zh-cn/docs/concepts/storage/volumes/#storageos) - StorageOS 卷（于 v1.22 **弃用**）
 
 <!-- 
 Older versions of Kubernetes also supported the following in-tree PersistentVolume types:
@@ -841,7 +837,7 @@ Older versions of Kubernetes also supported the following in-tree PersistentVolu
 旧版本的 Kubernetes 仍支持这些“树内（In-Tree）”持久卷类型：
 
 * `photonPersistentDisk` - Photon 控制器持久化盘。（v1.15 之后 **不可用**）
-* [`scaleIO`](/docs/concepts/storage/volumes/#scaleio) - ScaleIO 卷（v1.21 之后 **不可用**）
+* [`scaleIO`](/zh-cn/docs/concepts/storage/volumes/#scaleio) - ScaleIO 卷（v1.21 之后 **不可用**）
 
 <!--
 ## Persistent Volumes
@@ -889,7 +885,7 @@ Helper programs relating to the volume type may be required for consumption of a
 <!--
 ### Capacity
 
-Generally, a PV will have a specific storage capacity. This is set using the PV's `capacity` attribute. Read the glossary term [Quantity](/docs/reference/glossary/?all=true#term-quantity) to understand the units expected by `capacity`.
+Generally, a PV will have a specific storage capacity.  This is set using the PV's `capacity` attribute.  Read the glossary term [Quantity](/docs/reference/glossary/?all=true#term-quantity) to understand the units expected by `capacity`.
 
 Currently, storage size is the only resource that can be set or requested.  Future attributes may include IOPS, throughput, etc.
 -->
@@ -897,8 +893,7 @@ Currently, storage size is the only resource that can be set or requested.  Futu
 
 一般而言，每个 PV 卷都有确定的存储容量。
 容量属性是使用 PV 对象的 `capacity` 属性来设置的。
-参考词汇表中的
-[量纲（Quantity）](/zh-cn/docs/reference/glossary/?all=true#term-quantity)
+参考词汇表中的[量纲（Quantity）](/zh-cn/docs/reference/glossary/?all=true#term-quantity)
 词条，了解 `capacity` 字段可以接受的单位。
 
 目前，存储大小是可以设置和请求的唯一资源。
@@ -926,9 +921,8 @@ on the device before mounting it for the first time.
 `volumeMode` 是一个可选的 API 参数。
 如果该参数被省略，默认的卷模式是 `Filesystem`。
 
-`volumeMode` 属性设置为 `Filesystem` 的卷会被 Pod *挂载（Mount）* 到某个目录。
-如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前
-在设备上创建文件系统。
+`volumeMode` 属性设置为 `Filesystem` 的卷会被 Pod **挂载（Mount）** 到某个目录。
+如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。
 
 <!--
 You can set the value of `volumeMode` to `Block` to use a volume as a raw block device.
@@ -941,10 +935,10 @@ for an example on how to use a volume with `volumeMode: Block` in a Pod.
 -->
 你可以将 `volumeMode` 设置为 `Block`，以便将卷作为原始块设备来使用。
 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。
-这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助，Pod 和
-卷之间不存在文件系统层。另外，Pod 中运行的应用必须知道如何处理原始块设备。
-关于如何在 Pod 中使用 `volumeMode: Block` 的卷，可参阅
-[原始块卷支持](#raw-block-volume-support)。
+这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助，
+Pod 和卷之间不存在文件系统层。另外，Pod 中运行的应用必须知道如何处理原始块设备。
+关于如何在 Pod 中使用 `volumeMode: Block` 的卷，
+可参阅[原始块卷支持](#raw-block-volume-support)。
 
 <!--
 ### Access Modes
@@ -954,11 +948,9 @@ A PersistentVolume can be mounted on a host in any way supported by the resource
 ### 访问模式   {#access-modes}
 
 PersistentVolume 卷可以用资源提供者所支持的任何方式挂载到宿主系统上。
-如下表所示，提供者（驱动）的能力不同，每个 PV 卷的访问模式都会设置为
-对应卷所支持的模式值。
-例如，NFS 可以支持多个读写客户，但是某个特定的 NFS PV 卷可能在服务器
-上以只读的方式导出。每个 PV 卷都会获得自身的访问模式集合，描述的是
-特定 PV 卷的能力。
+如下表所示，提供者（驱动）的能力不同，每个 PV 卷的访问模式都会设置为对应卷所支持的模式值。
+例如，NFS 可以支持多个读写客户，但是某个特定的 NFS PV 卷可能在服务器上以只读的方式导出。
+每个 PV 卷都会获得自身的访问模式集合，描述的是特定 PV 卷的能力。
 
 <!--
 The access modes are:
@@ -979,9 +971,9 @@ The blog article [Introducing Single Pod Access Mode for PersistentVolumes](/blo
 -->
 访问模式有：
 
-`ReadWriteOnce` 
+`ReadWriteOnce`
 : 卷可以被一个节点以读写方式挂载。
-ReadWriteOnce 访问模式也允许运行在同一节点上的多个 Pod 访问卷。 
+ReadWriteOnce 访问模式也允许运行在同一节点上的多个 Pod 访问卷。
 
 `ReadOnlyMany`
 : 卷可以被多个节点以只读方式挂载。
@@ -992,7 +984,7 @@ ReadWriteOnce 访问模式也允许运行在同一节点上的多个 Pod 访问
 `ReadWriteOncePod`
 : 卷可以被单个 Pod 以读写方式挂载。
 如果你想确保整个集群中只有一个 Pod 可以读取或写入该 PVC，
-请使用ReadWriteOncePod 访问模式。这只支持 CSI 卷以及需要 Kubernetes 1.22 以上版本。
+请使用 ReadWriteOncePod 访问模式。这只支持 CSI 卷以及需要 Kubernetes 1.22 以上版本。
 
 这篇博客文章 [Introducing Single Pod Access Mode for PersistentVolumes](/blog/2021/09/13/read-write-once-pod-access-mode-alpha/)
 描述了更详细的内容。
@@ -1032,10 +1024,9 @@ Kubernetes 使用卷访问模式来匹配 PersistentVolumeClaim 和 PersistentVo
 <!--
 > __Important!__ A volume can only be mounted using one access mode at a time, even if it supports many.  For example, a GCEPersistentDisk can be mounted as ReadWriteOnce by a single node or ReadOnlyMany by many nodes, but not at the same time.
 -->
-> __重要提醒！__ 每个卷同一时刻只能以一种访问模式挂载，即使该卷能够支持
-> 多种访问模式。例如，一个 GCEPersistentDisk 卷可以被某节点以 ReadWriteOnce
-> 模式挂载，或者被多个节点以 ReadOnlyMany 模式挂载，但不可以同时以两种模式
-> 挂载。
+> **重要提醒！** 每个卷同一时刻只能以一种访问模式挂载，即使该卷能够支持多种访问模式。
+> 例如，一个 GCEPersistentDisk 卷可以被某节点以 ReadWriteOnce
+> 模式挂载，或者被多个节点以 ReadOnlyMany 模式挂载，但不可以同时以两种模式挂载。
 
 <!--
 | Volume Plugin        | ReadWriteOnce          | ReadOnlyMany          | ReadWriteMany|
@@ -1047,7 +1038,7 @@ Kubernetes 使用卷访问模式来匹配 PersistentVolumeClaim 和 PersistentVo
 | AzureFile            | &#x2713;               | &#x2713;              | &#x2713;      | -                      |
 | AzureDisk            | &#x2713;               | -                     | -             | -                      |
 | CephFS               | &#x2713;               | &#x2713;              | &#x2713;      | -                      |
-| Cinder               | &#x2713;               | -                     | -             | -                      |
+| Cinder               | &#x2713;               | -                     | ([如果多次挂接卷可用](https://github.com/kubernetes/cloud-provider-openstack/blob/master/docs/cinder-csi-plugin/features.md#multi-attach-volumes))           | -                      |
 | CSI                  | 取决于驱动               | 取决于驱动             | 取决于驱动      | 取决于驱动               |
 | FC                   | &#x2713;               | &#x2713;              | -             | -                      |
 | FlexVolume           | &#x2713;               | &#x2713;              | 取决于驱动      | -                      |
@@ -1078,8 +1069,7 @@ to PVCs that request no particular class.
 每个 PV 可以属于某个类（Class），通过将其 `storageClassName` 属性设置为某个
 [StorageClass](/zh-cn/docs/concepts/storage/storage-classes/) 的名称来指定。
 特定类的 PV 卷只能绑定到请求该类存储卷的 PVC 申领。
-未设置 `storageClassName` 的 PV 卷没有类设定，只能绑定到那些没有指定特定
-存储类的 PVC 申领。
+未设置 `storageClassName` 的 PV 卷没有类设定，只能绑定到那些没有指定特定存储类的 PVC 申领。
 
 <!--
 In the past, the annotation `volume.beta.kubernetes.io/storage-class` was used instead
@@ -1090,7 +1080,6 @@ it will become fully deprecated in a future Kubernetes release.
 `storageClassName` 属性。这一注解目前仍然起作用，不过在将来的 Kubernetes
 发布版本中该注解会被彻底废弃。
 
-
 <!--
 ### Reclaim Policy
 
@@ -1167,15 +1156,6 @@ it will become fully deprecated in a future Kubernetes release.
 -->
 ### 节点亲和性   {#node-affinity}
 
-<!--
-A PV can specify node affinity to define constraints that limit what nodes this volume can be accessed from. Pods that use a PV will only be scheduled to nodes that are selected by the node affinity. To specify node affinity, set `nodeAffinity` in the `.spec` of a PV. The [PersistentVolume](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec) API reference has more details on this field.
--->
-每个 PV 卷可以通过设置节点亲和性来定义一些约束，进而限制从哪些节点上可以访问此卷。
-使用这些卷的 Pod 只会被调度到节点亲和性规则所选择的节点上执行。
-要设置节点亲和性，配置 PV 卷 `.spec` 中的 `nodeAffinity`。 
-[持久卷](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec)
-API 参考关于该字段的更多细节。
-
 <!--
 For most volume types, you do not need to set this field. It is automatically populated for [AWS EBS](/docs/concepts/storage/volumes/#awselasticblockstore), [GCE PD](/docs/concepts/storage/volumes/#gcepersistentdisk) and [Azure Disk](/docs/concepts/storage/volumes/#azuredisk) volume block types. You need to explicitly set this for [local](/docs/concepts/storage/volumes/#local) volumes.
 -->
@@ -1183,12 +1163,19 @@ For most volume types, you do not need to set this field. It is automatically po
 对大多数类型的卷而言，你不需要设置节点亲和性字段。
 [AWS EBS](/zh-cn/docs/concepts/storage/volumes/#awselasticblockstore)、
 [GCE PD](/zh-cn/docs/concepts/storage/volumes/#gcepersistentdisk) 和
-[Azure Disk](/zh-cn/docs/concepts/storage/volumes/#azuredisk) 卷类型都能
-自动设置相关字段。
-你需要为 [local](/zh-cn/docs/concepts/storage/volumes/#local) 卷显式地设置
-此属性。
+[Azure Disk](/zh-cn/docs/concepts/storage/volumes/#azuredisk) 卷类型都能自动设置相关字段。
+你需要为 [local](/zh-cn/docs/concepts/storage/volumes/#local) 卷显式地设置此属性。
 {{< /note >}}
 
+<!--
+A PV can specify node affinity to define constraints that limit what nodes this volume can be accessed from. Pods that use a PV will only be scheduled to nodes that are selected by the node affinity. To specify node affinity, set `nodeAffinity` in the `.spec` of a PV. The [PersistentVolume](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec) API reference has more details on this field.
+-->
+每个 PV 卷可以通过设置节点亲和性来定义一些约束，进而限制从哪些节点上可以访问此卷。
+使用这些卷的 Pod 只会被调度到节点亲和性规则所选择的节点上执行。
+要设置节点亲和性，配置 PV 卷 `.spec` 中的 `nodeAffinity`。
+[持久卷](/zh-cn/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/#PersistentVolumeSpec)
+API 参考关于该字段的更多细节。
+
 <!--
 ### Phase
 
@@ -1223,7 +1210,6 @@ The name of a PersistentVolumeClaim object must be a valid
 PersistentVolumeClaim 对象的名称必须是合法的
 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
-
 ```yaml
 apiVersion: v1
 kind: PersistentVolumeClaim
@@ -1260,18 +1246,18 @@ Claims use [the same convention as volumes](#volume-mode) to indicate the consum
 -->
 ### 卷模式 {#volume-modes}
 
-申领使用[与卷相同的约定](#access-modes)来表明是将卷作为文件系统还是块设备来使用。
+申领使用[与卷相同的约定](#volume-mode)来表明是将卷作为文件系统还是块设备来使用。
 
 <!--
 ### Resources
 
-Claims, like Pods, can request specific quantities of a resource. In this case, the request is for storage. The same [resource model](https://git.k8s.io/community/contributors/design-proposals/scheduling/resources.md) applies to both volumes and claims.
+Claims, like Pods, can request specific quantities of a resource. In this case, the request is for storage. The same [resource model](https://git.k8s.io/design-proposals-archive/scheduling/resources.md) applies to both volumes and claims.
 -->
 ### 资源    {#resources}
 
 申领和 Pod 一样，也可以请求特定数量的资源。在这个上下文中，请求的资源是存储。
 卷和申领都使用相同的
-[资源模型](https://git.k8s.io/community/contributors/design-proposals/scheduling/resources.md)。
+[资源模型](https://git.k8s.io/design-proposals-archive/scheduling/resources.md)。
 
 <!--
 ### Selector
@@ -1323,10 +1309,10 @@ by the cluster, depending on whether the
 is turned on.
 -->
 PVC 申领不必一定要请求某个类。如果 PVC 的 `storageClassName` 属性值设置为 `""`，
-则被视为要请求的是没有设置存储类的 PV 卷，因此这一 PVC 申领只能绑定到未设置
-存储类的 PV 卷（未设置注解或者注解值为 `""` 的 PersistentVolume（PV）对象在系统中不会被删除，因为这样做可能会引起数据丢失。
-未设置 `storageClassName` 的 PVC 与此大不相同，也会被集群作不同处理。
-具体筛查方式取决于
+则被视为要请求的是没有设置存储类的 PV 卷，因此这一 PVC 申领只能绑定到未设置存储类的
+PV 卷（未设置注解或者注解值为 `""` 的 PersistentVolume（PV）对象在系统中不会被删除，
+因为这样做可能会引起数据丢失。未设置 `storageClassName` 的 PVC 与此大不相同，
+也会被集群作不同处理。具体筛查方式取决于
 [`DefaultStorageClass` 准入控制器插件](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#defaultstorageclass)
 是否被启用。
 
@@ -1348,11 +1334,11 @@ PVC 申领不必一定要请求某个类。如果 PVC 的 `storageClassName` 属
   所有未设置 `storageClassName` 的 PVC 都只能绑定到隶属于默认存储类的 PV 卷。
   设置默认 StorageClass 的工作是通过将对应 StorageClass 对象的注解
   `storageclass.kubernetes.io/is-default-class` 赋值为 `true` 来完成的。
-  如果管理员未设置默认存储类，集群对 PVC 创建的处理方式与未启用准入控制器插件
-  时相同。如果设定的默认存储类不止一个，准入控制插件会禁止所有创建 PVC 操作。
+  如果管理员未设置默认存储类，集群对 PVC 创建的处理方式与未启用准入控制器插件时相同。
+  如果设定的默认存储类不止一个，准入控制插件会禁止所有创建 PVC 操作。
 * 如果准入控制器插件被关闭，则不存在默认 StorageClass 的说法。
   所有未设置 `storageClassName` 的 PVC 都只能绑定到未设置存储类的 PV 卷。
-  在这种情况下，未设置 `storageClassName` 的 PVC 与 `storageClassName` 设置未
+  在这种情况下，未设置 `storageClassName` 的 PVC 与 `storageClassName` 设置为
   `""` 的 PVC 的处理方式相同。
 
 <!--
@@ -1366,14 +1352,14 @@ the requested labels may be bound to the PVC.
 取决于安装方法，默认的 StorageClass 可能在集群安装期间由插件管理器（Addon
 Manager）部署到集群中。
 
-当某 PVC 除了请求 StorageClass 之外还设置了 `selector`，则这两种需求会按
-逻辑与关系处理：只有隶属于所请求类且带有所请求标签的 PV 才能绑定到 PVC。
+当某 PVC 除了请求 StorageClass 之外还设置了 `selector`，则这两种需求会按逻辑与关系处理：
+只有隶属于所请求类且带有所请求标签的 PV 才能绑定到 PVC。
 
 <!--
 Currently, a PVC with a non-empty `selector` can't have a PV dynamically provisioned for it.
 -->
 {{< note >}}
-目前，设置了非空 `selector` 的 PVC 对象无法让集群为其动态供应 PV 卷。
+目前，设置了非空 `selector` 的 PVC 对象无法让集群为其动态制备 PV 卷。
 {{< /note >}}
 
 <!--
@@ -1435,7 +1421,7 @@ See [an example of `hostPath` typed volume](/docs/tasks/configure-pod-container/
 ### 类型为 `hostpath` 的 PersistentVolume  {#persistentvolumes-typed-hostpath}
 
 `hostPath` PersistentVolume 使用节点上的文件或目录来模拟网络附加（network-attached）存储。
-相关细节可参阅[`hostPath` 卷示例](/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolume)。
+相关细节可参阅 [`hostPath` 卷示例](/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolume)。
 
 <!--
 ## Raw Block Volume Support
@@ -1448,7 +1434,7 @@ See [an example of `hostPath` typed volume](/docs/tasks/configure-pod-container/
 The following volume plugins support raw block volumes, including dynamic provisioning where
 applicable:
 -->
-以下卷插件支持原始块卷，包括其动态供应（如果支持的话）的卷：
+以下卷插件支持原始块卷，包括其动态制备（如果支持的话）的卷：
 
 * AWSElasticBlockStore
 * AzureDisk
@@ -1502,9 +1488,158 @@ spec:
     requests:
       storage: 10Gi
 ```
+<!--
+### Pod specification adding Raw Block Device path in container
+-->
+### 在容器中添加原始块设备路径的 Pod 规约  {#pod-spec-adding-raw-block-device-path-in-container}
+
+```yaml
+apiVersion: v1
+kind: Pod
+metadata:
+  name: pod-with-block-volume
+spec:
+  containers:
+    - name: fc-container
+      image: fedora:26
+      command: ["/bin/sh", "-c"]
+      args: [ "tail -f /dev/null" ]
+      volumeDevices:
+        - name: data
+          devicePath: /dev/xvda
+  volumes:
+    - name: data
+      persistentVolumeClaim:
+        claimName: block-pvc
+```
 
 <!--
+When adding a raw block device for a Pod, you specify the device path in the container instead of a mount path.
+-->
+{{< note >}}
+向 Pod 中添加原始块设备时，你要在容器内设置设备路径而不是挂载路径。
+{{< /note >}}
 
+<!--
+### Binding Block Volumes
+
+If a user requests a raw block volume by indicating this using the `volumeMode` field in the PersistentVolumeClaim spec, the binding rules differ slightly from previous releases that didn't consider this mode as part of the spec.
+Listed is a table of possible combinations the user and admin might specify for requesting a raw block device. The table indicates if the volume will be bound or not given the combinations:
+Volume binding matrix for statically provisioned volumes:
+-->
+### 绑定块卷     {#binding-block-volumes}
+
+如果用户通过 PersistentVolumeClaim 规约的 `volumeMode` 字段来表明对原始块设备的请求，
+绑定规则与之前版本中未在规约中考虑此模式的实现略有不同。
+下面列举的表格是用户和管理员可以为请求原始块设备所作设置的组合。
+此表格表明在不同的组合下卷是否会被绑定。
+
+静态制备卷的卷绑定矩阵：
+
+<!--
+| PV volumeMode | PVC volumeMode  | Result           |
+| --------------|:---------------:| ----------------:|
+|   unspecified | unspecified     | BIND             |
+|   unspecified | Block           | NO BIND          |
+|   unspecified | Filesystem      | BIND             |
+|   Block       | unspecified     | NO BIND          |
+|   Block       | Block           | BIND             |
+|   Block       | Filesystem      | NO BIND          |
+|   Filesystem  | Filesystem      | BIND             |
+|   Filesystem  | Block           | NO BIND          |
+|   Filesystem  | unspecified     | BIND             |
+-->
+| PV volumeMode | PVC volumeMode  | Result           |
+| --------------|:---------------:| ----------------:|
+|   未指定      | 未指定          | 绑定             |
+|   未指定      | Block           | 不绑定           |
+|   未指定      | Filesystem      | 绑定             |
+|   Block       | 未指定          | 不绑定           |
+|   Block       | Block           | 绑定             |
+|   Block       | Filesystem      | 不绑定           |
+|   Filesystem  | Filesystem      | 绑定             |
+|   Filesystem  | Block           | 不绑定           |
+|   Filesystem  | 未指定          | 绑定             |
+
+<!--
+Only statically provisioned volumes are supported for alpha release. Administrators should take care to consider these values when working with raw block devices.
+-->
+{{< note >}}
+Alpha 发行版本中仅支持静态制备的卷。
+管理员需要在处理原始块设备时小心处理这些值。
+{{< /note >}}
+
+<!--
+## Volume Snapshot and Restore Volume from Snapshot Support
+-->
+## 对卷快照及从卷快照中恢复卷的支持 {#volume-snapshot-and-restore-volume-from-snapshot-support}
+
+{{< feature-state for_k8s_version="v1.20" state="stable" >}}
+
+<!--
+Volume snapshots only support the out-of-tree CSI volume plugins. For details, see [Volume Snapshots](/docs/concepts/storage/volume-snapshots/).
+In-tree volume plugins are deprecated. You can read about the deprecated volume plugins in the [Volume Plugin FAQ](https://github.com/kubernetes/community/blob/master/sig-storage/volume-plugin-faq.md).
+-->
+卷快照（Volume Snapshot）仅支持树外 CSI 卷插件。
+有关细节可参阅[卷快照](/zh-cn/docs/concepts/storage/volume-snapshots/)文档。
+树内卷插件被弃用。你可以查阅[卷插件 FAQ](https://git.k8s.io/community/sig-storage/volume-plugin-faq.md)
+了解已弃用的卷插件。
+
+<!--
+### Create a PersistentVolumeClaim from a Volume Snapshot {#create-persistent-volume-claim-from-volume-snapshot}
+-->
+### 基于卷快照创建 PVC 申领     {#create-persistent-volume-claim-from-volume-snapshot}
+
+```yaml
+apiVersion: v1
+kind: PersistentVolumeClaim
+metadata:
+  name: restore-pvc
+spec:
+  storageClassName: csi-hostpath-sc
+  dataSource:
+    name: new-snapshot-test
+    kind: VolumeSnapshot
+    apiGroup: snapshot.storage.k8s.io
+  accessModes:
+    - ReadWriteOnce
+  resources:
+    requests:
+      storage: 10Gi
+```
+
+<!--
+## Volume Cloning
+
+[Volume Cloning](/docs/concepts/storage/volume-pvc-datasource/) only available for CSI volume plugins.
+-->
+## 卷克隆     {#volume-cloning}
+
+[卷克隆](/zh-cn/docs/concepts/storage/volume-pvc-datasource/)功能特性仅适用于 CSI 卷插件。
+
+<!--
+### Create PersistentVolumeClaim from an existing PVC {#create-persistent-volume-claim-from-an-existing-pvc}
+-->
+### 基于现有 PVC 创建新的 PVC 申领    {#create-persistent-volume-claim-from-an-existing-pvc}
+
+```yaml
+apiVersion: v1
+kind: PersistentVolumeClaim
+metadata:
+  name: cloned-pvc
+spec:
+  storageClassName: my-csi-plugin
+  dataSource:
+    name: existing-src-pvc-name
+    kind: PersistentVolumeClaim
+  accessModes:
+    - ReadWriteOnce
+  resources:
+    requests:
+      storage: 10Gi
+```
+
+<!--
 ## Volume populators and data sources
 
 Kubernetes supports custom volume populators.
@@ -1523,11 +1658,9 @@ gate enabled, use of the `dataSourceRef` is preferred over `dataSource`.
 
 {{< feature-state for_k8s_version="v1.24" state="beta" >}}
 
-{{< note >}}
-Kubernetes 支持自定义的卷填充器；要使用自定义的卷填充器，你必须为
+Kubernetes 支持自定义的卷填充器。要使用自定义的卷填充器，你必须为
 kube-apiserver 和 kube-controller-manager 启用 `AnyVolumeDataSource`
 [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)。
-{{< /note >}}
 
 卷填充器利用了 PVC 规约字段 `dataSourceRef`。
 不像 `dataSource` 字段只能包含对另一个持久卷申领或卷快照的引用，
@@ -1554,6 +1687,7 @@ contents.
 <!--
 There are two differences between the `dataSourceRef` field and the `dataSource` field that
 users should be aware of:
+
 * The `dataSource` field ignores invalid values (as if the field was blank) while the
   `dataSourceRef` field never ignores values and will cause an error if an invalid value is
   used. Invalid values are any core object (objects with no apiGroup) except for PVCs.
@@ -1567,6 +1701,7 @@ backwards compatibility. In particular, a mixture of older and newer controllers
 interoperate because the fields are the same.
 -->
 在 `dataSourceRef` 字段和 `dataSource` 字段之间有两个用户应该注意的区别：
+
 * `dataSource` 字段会忽略无效的值（如同是空值），
    而 `dataSourceRef` 字段永远不会忽略值，并且若填入一个无效的值，会导致错误。
    无效值指的是 PVC 之外的核心对象（没有 apiGroup 的对象）。
@@ -1627,161 +1762,6 @@ the process.
 如果没有填充器处理该数据源的情况下，该控制器会在 PVC 上产生警告事件。
 当一个合适的填充器被安装到 PVC 上时，该控制器的职责是上报与卷创建有关的事件，以及在该过程中发生的问题。
 
-<!--
-### Pod specification adding Raw Block Device path in container
--->
-### 在容器中添加原始块设备路径的 Pod 规约
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: pod-with-block-volume
-spec:
-  containers:
-    - name: fc-container
-      image: fedora:26
-      command: ["/bin/sh", "-c"]
-      args: [ "tail -f /dev/null" ]
-      volumeDevices:
-        - name: data
-          devicePath: /dev/xvda
-  volumes:
-    - name: data
-      persistentVolumeClaim:
-        claimName: block-pvc
-```
-
-<!--
-When adding a raw block device for a Pod, you specify the device path in the container instead of a mount path.
--->
-{{< note >}}
-向 Pod 中添加原始块设备时，你要在容器内设置设备路径而不是挂载路径。
-{{< /note >}}
-
-<!--
-### Binding Block Volumes
-
-If a user requests a raw block volume by indicating this using the `volumeMode` field in the PersistentVolumeClaim spec, the binding rules differ slightly from previous releases that didn't consider this mode as part of the spec.
-Listed is a table of possible combinations the user and admin might specify for requesting a raw block device. The table indicates if the volume will be bound or not given the combinations:
-Volume binding matrix for statically provisioned volumes:
--->
-### 绑定块卷     {#binding-block-volumes}
-
-如果用户通过 PersistentVolumeClaim 规约的 `volumeMode` 字段来表明对原始
-块设备的请求，绑定规则与之前版本中未在规约中考虑此模式的实现略有不同。
-下面列举的表格是用户和管理员可以为请求原始块设备所作设置的组合。
-此表格表明在不同的组合下卷是否会被绑定。
-
-静态供应卷的卷绑定矩阵：
-
-<!--
-| PV volumeMode | PVC volumeMode  | Result           |
-| --------------|:---------------:| ----------------:|
-|   unspecified | unspecified     | BIND             |
-|   unspecified | Block           | NO BIND          |
-|   unspecified | Filesystem      | BIND             |
-|   Block       | unspecified     | NO BIND          |
-|   Block       | Block           | BIND             |
-|   Block       | Filesystem      | NO BIND          |
-|   Filesystem  | Filesystem      | BIND             |
-|   Filesystem  | Block           | NO BIND          |
-|   Filesystem  | unspecified     | BIND             |
--->
-| PV volumeMode | PVC volumeMode  | Result           |
-| --------------|:---------------:| ----------------:|
-|   未指定      | 未指定          | 绑定             |
-|   未指定      | Block           | 不绑定           |
-|   未指定      | Filesystem      | 绑定             |
-|   Block       | 未指定          | 不绑定           |
-|   Block       | Block           | 绑定             |
-|   Block       | Filesystem      | 不绑定           |
-|   Filesystem  | Filesystem      | 绑定             |
-|   Filesystem  | Block           | 不绑定           |
-|   Filesystem  | 未指定          | 绑定             |
-
-<!--
-Only statically provisioned volumes are supported for alpha release. Administrators should take care to consider these values when working with raw block devices.
--->
-{{< note >}}
-Alpha 发行版本中仅支持静态供应的卷。
-管理员需要在处理原始块设备时小心处理这些值。
-{{< /note >}}
-
-<!--
-## Volume Snapshot and Restore Volume from Snapshot Support
--->
-## 对卷快照及从卷快照中恢复卷的支持
-
-{{< feature-state for_k8s_version="v1.17" state="beta" >}}
-
-<!--
-Volume snapshot feature was added to support CSI Volume Plugins only. For details, see [volume snapshots](/docs/concepts/storage/volume-snapshots/).
-
-To enable support for restoring a volume from a volume snapshot data source, enable the
-`VolumeSnapshotDataSource` feature gate on the apiserver and controller-manager.
--->
-卷快照（Volume Snapshot）特性的添加仅是为了支持 CSI 卷插件。
-有关细节可参阅[卷快照](/zh-cn/docs/concepts/storage/volume-snapshots/)文档。
-
-要启用从卷快照数据源恢复数据卷的支持，可在 API 服务器和控制器管理器上启用
-`VolumeSnapshotDataSource` 特性门控。
-
-<!--
-### Create a PersistentVolumeClaim from a Volume Snapshot {#create-persistent-volume-claim-from-volume-snapshot}
--->
-### 基于卷快照创建 PVC 申领     {#create-persistent-volume-claim-from-volume-snapshot}
-
-```yaml
-apiVersion: v1
-kind: PersistentVolumeClaim
-metadata:
-  name: restore-pvc
-spec:
-  storageClassName: csi-hostpath-sc
-  dataSource:
-    name: new-snapshot-test
-    kind: VolumeSnapshot
-    apiGroup: snapshot.storage.k8s.io
-  accessModes:
-    - ReadWriteOnce
-  resources:
-    requests:
-      storage: 10Gi
-```
-
-<!--
-## Volume Cloning
-
-[Volume Cloning](/docs/concepts/storage/volume-pvc-datasource/) only available for CSI volume plugins.
--->
-## 卷克隆     {#volume-cloning}
-
-[卷克隆](/zh-cn/docs/concepts/storage/volume-pvc-datasource/)功能特性仅适用于
-CSI 卷插件。
-
-<!--
-### Create PersistentVolumeClaim from an existing PVC {#create-persistent-volume-claim-from-an-existing-pvc}
--->
-### 基于现有 PVC 创建新的 PVC 申领    {#create-persistent-volume-claim-from-an-existing-pvc}
-
-```yaml
-apiVersion: v1
-kind: PersistentVolumeClaim
-metadata:
-  name: cloned-pvc
-spec:
-  storageClassName: my-csi-plugin
-  dataSource:
-    name: existing-src-pvc-name
-    kind: PersistentVolumeClaim
-  accessModes:
-    - ReadWriteOnce
-  resources:
-    requests:
-      storage: 10Gi
-```
-
 <!--
 ## Writing Portable Configuration
 
@@ -1802,6 +1782,7 @@ and need persistent storage, it is recommended that you use the following patter
   以及 ConfigMap 等放在一起。
 - 不要在配置中包含 PersistentVolume 对象，因为对配置进行实例化的用户很可能
   没有创建 PersistentVolume 的权限。
+
 <!--
 - Give the user the option of providing a storage class name when instantiating
   the template.
@@ -1819,9 +1800,10 @@ and need persistent storage, it is recommended that you use the following patter
   - 仍按用户提供存储类名称，将该名称放到 `persistentVolumeClaim.storageClassName` 字段中。
     这样会使得 PVC 在集群被管理员启用了存储类支持时能够匹配到正确的存储类，
   - 如果用户未指定存储类名称，将 `persistentVolumeClaim.storageClassName` 留空（nil）。
-    这样，集群会使用默认 `StorageClass` 为用户自动供应一个存储卷。
+    这样，集群会使用默认 `StorageClass` 为用户自动制备一个存储卷。
     很多集群环境都配置了默认的 `StorageClass`，或者管理员也可以自行创建默认的
     `StorageClass`。
+
 <!--
 - In your tooling, watch for PVCs that are not getting bound after some time
   and surface this to the user, as this may indicate that the cluster has no
@@ -1838,11 +1820,11 @@ and need persistent storage, it is recommended that you use the following patter
 <!--
 * Learn more about [Creating a PersistentVolume](/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolume).
 * Learn more about [Creating a PersistentVolumeClaim](/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolumeclaim).
-* Read the [Persistent Storage design document](https://github.com/kubernetes/design-proposals-archive/blob/main/storage/persistent-storage.md).
+* Read the [Persistent Storage design document](https://git.k8s.io/design-proposals-archive/storage/persistent-storage.md).
 -->
 * 进一步了解[创建持久卷](/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolume).
 * 进一步学习[创建 PVC 申领](/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage/#create-a-persistentvolumeclaim).
-* 阅读[持久存储的设计文档](https://github.com/kubernetes/design-proposals-archive/blob/main/storage/persistent-storage.md).
+* 阅读[持久存储的设计文档](https://git.k8s.io/design-proposals-archive/storage/persistent-storage.md).
 
 <!--
 ### API references {#reference}
@@ -1856,6 +1838,6 @@ Read about the APIs described in this page:
 
 阅读以下页面中描述的 API：
 
-* [`PersistentVolume`](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/)
-* [`PersistentVolumeClaim`](/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-claim-v1/)
+* [`PersistentVolume`](/zh-cn/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-v1/)
+* [`PersistentVolumeClaim`](/zh-cn/docs/reference/kubernetes-api/config-and-storage-resources/persistent-volume-claim-v1/)
 
diff --git a/content/zh-cn/docs/concepts/storage/projected-volumes.md b/content/zh-cn/docs/concepts/storage/projected-volumes.md
index 3897d5203b1..bf61134654c 100644
--- a/content/zh-cn/docs/concepts/storage/projected-volumes.md
+++ b/content/zh-cn/docs/concepts/storage/projected-volumes.md
@@ -1,7 +1,7 @@
 ---
 title: 投射卷
 content_type: concept
-weight: 21 # just after persistent volumes
+weight: 21 # 跟在持久卷之后
 ---
 
 <!--
@@ -19,7 +19,7 @@ weight: 21 # just after persistent volumes
 <!--
 This document describes _projected volumes_ in Kubernetes. Familiarity with [volumes](/docs/concepts/storage/volumes/) is suggested.
 -->
-本文档描述 Kubernetes 中的*投射卷（Projected Volumes）*。
+本文档描述 Kubernetes 中的**投射卷（Projected Volumes）**。
 建议先熟悉[卷](/zh-cn/docs/concepts/storage/volumes/)概念。
 
 <!-- body -->
@@ -49,10 +49,10 @@ Currently, the following types of volume sources can be projected:
 
 <!--
 All sources are required to be in the same namespace as the Pod. For more details,
-see the [all-in-one volume](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md) design document.
+see the [all-in-one volume](https://git.k8s.io/design-proposals-archive/node/all-in-one-volume.md) design document.
 -->
 所有的卷源都要求处于 Pod 所在的同一个名字空间内。进一步的详细信息，可参考
-[一体化卷](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md)设计文档。
+[一体化卷](https://git.k8s.io/design-proposals-archive/node/all-in-one-volume.md)设计文档。
 
 <!--
 ### Example configuration with a secret, a downwardAPI, and a configMap {#example-configuration-secret-downwardapi-configmap}
@@ -82,7 +82,7 @@ parameters are nearly the same with two exceptions:
 
 * 对于 Secret，`secretName` 字段被改为 `name` 以便于 ConfigMap 的命名一致；
 * `defaultMode` 只能在投射层级设置，不能在卷源层级设置。不过，正如上面所展示的，
-  你可以显式地为每个投射单独设置 `mode` 属性。 
+  你可以显式地为每个投射单独设置 `mode` 属性。
 
 <!--
 ## serviceAccountToken projected volumes {#serviceaccounttoken}
@@ -91,6 +91,7 @@ for the current [service account](/docs/reference/access-authn-authz/authenticat
 into a Pod at a specified path. For example:
 -->
 ## serviceAccountToken 投射卷 {#serviceaccounttoken}
+
 当 `TokenRequestProjection` 特性被启用时，你可以将当前
 [服务账号](/zh-cn/docs/reference/access-authn-authz/authentication/#service-account-tokens)
 的令牌注入到 Pod 中特定路径下。例如：
@@ -107,8 +108,8 @@ in the audience of the token, and otherwise should reject the token. This field
 is optional and it defaults to the identifier of the API server.
 -->
 示例 Pod 中包含一个投射卷，其中包含注入的服务账号令牌。
-此 Pod 中的容器可以使用该令牌访问 Kubernetes API 服务器， 使用 
-[pod 的 ServiceAccount](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
+此 Pod 中的容器可以使用该令牌访问 Kubernetes API 服务器， 使用
+[Pod 的 ServiceAccount](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
 进行身份验证。`audience` 字段包含令牌所针对的受众。
 收到令牌的主体必须使用令牌受众中所指定的某个标识符来标识自身，否则应该拒绝该令牌。
 此字段是可选的，默认值为 API 服务器的标识。
@@ -122,8 +123,8 @@ of the projected volume.
 -->
 字段 `expirationSeconds` 是服务账号令牌预期的生命期长度。默认值为 1 小时，
 必须至少为 10 分钟（600 秒）。管理员也可以通过设置 API 服务器的命令行参数
-`--service-account-max-token-expiration` 来为其设置最大值上限。`path` 字段给出
-与投射卷挂载点之间的相对路径。
+`--service-account-max-token-expiration` 来为其设置最大值上限。
+`path` 字段给出与投射卷挂载点之间的相对路径。
 
 {{< note >}}
 <!--
@@ -140,9 +141,9 @@ volume mount will not receive updates for those volume sources.
 ## 与 SecurityContext 间的关系    {#securitycontext-interactions}
 
 <!--
-The [proposal](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal) for file permission handling in projected service account volume enhancement introduced the projected files having the the correct owner permissions set.
+The [proposal](https://git.k8s.io/enhancements/keps/sig-storage/2451-service-account-token-volumes#proposal) for file permission handling in projected service account volume enhancement introduced the projected files having the correct owner permissions set.
 -->
-关于在投射的服务账号卷中处理文件访问权限的[提案](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal)
+关于在投射的服务账号卷中处理文件访问权限的[提案](https://git.k8s.io/enhancements/keps/sig-storage/2451-service-account-token-volumes#proposal)
 介绍了如何使得所投射的文件具有合适的属主访问权限。
 
 ### Linux
@@ -154,7 +155,7 @@ the projected files have the correct ownership set including container user
 ownership.
 -->
 在包含了投射卷并在
-[`SecurityContext`](/docs/reference/kubernetes-api/workload-resources/pod-v1/#security-context)
+[`SecurityContext`](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#security-context)
 中设置了 `RunAsUser` 属性的 Linux Pod 中，投射文件具有正确的属主属性设置，
 其中包含了容器用户属主。
 
@@ -181,8 +182,7 @@ Windows 在名为安全账号管理器（Security Account Manager，SAM）
 宿主系统无法窥视到容器运行期间数据库内容。Windows 容器被设计用来运行操作系统的用户态部分，
 与宿主系统之间隔离，因此维护了一个虚拟的 SAM 数据库。
 所以，在宿主系统上运行的 kubelet 无法动态为虚拟的容器账号配置宿主文件的属主。
-如果需要将宿主机器上的文件与容器共享，建议将它们放到挂载于 `C:\` 之外
-的独立卷中。
+如果需要将宿主机器上的文件与容器共享，建议将它们放到挂载于 `C:\` 之外的独立卷中。
 
 <!--
 By default, the projected files will have the following ownership as shown for
@@ -222,7 +222,7 @@ the Linux only `RunAsUser` option with Windows Pods.
 -->
 总体而言，为容器授予访问宿主系统的权限这种做法是不推荐的，因为这样做可能会打开潜在的安全性攻击之门。
 
-在创建 Windows Pod 时，如过在其 `SecurityContext` 中设置了 `RunAsUser`，
+在创建 Windows Pod 时，如果在其 `SecurityContext` 中设置了 `RunAsUser`，
 Pod 会一直阻塞在 `ContainerCreating` 状态。因此，建议不要在 Windows
 节点上使用仅针对 Linux 的 `RunAsUser` 选项。
 {{< /note >}}
diff --git a/content/zh-cn/docs/concepts/storage/storage-classes.md b/content/zh-cn/docs/concepts/storage/storage-classes.md
index be1f6eca0b1..02634bb669b 100644
--- a/content/zh-cn/docs/concepts/storage/storage-classes.md
+++ b/content/zh-cn/docs/concepts/storage/storage-classes.md
@@ -38,7 +38,7 @@ administrators. Kubernetes itself is unopinionated about what classes
 represent. This concept is sometimes called "profiles" in other storage
 systems.
 -->
-## 介绍
+## 介绍 {#introduction}
 
 StorageClass 为管理员提供了描述存储 "类" 的方法。
 不同的类型可能会映射到不同的服务质量等级或备份策略，或是由集群管理员制定的任意策略。
@@ -52,7 +52,7 @@ Each StorageClass contains the fields `provisioner`, `parameters`, and
 class needs to be dynamically provisioned.
 
 -->
-## StorageClass 资源
+## StorageClass 资源 {#the-storageclass-resource}
 
 每个 StorageClass 都包含 `provisioner`、`parameters` 和 `reclaimPolicy` 字段，
 这些字段会在 StorageClass 需要动态分配 PersistentVolume 时会使用到。
@@ -170,7 +170,7 @@ StorageClass object is created, it will default to `Delete`.
 PersistentVolumes that are created manually and managed via a StorageClass will have
 whatever reclaim policy they were assigned at creation.
  -->
-### 回收策略
+### 回收策略 {#reclaim-policy}
 
 由 StorageClass 动态创建的 PersistentVolume 会在类的 `reclaimPolicy` 字段中指定回收策略，可以是
 `Delete` 或者 `Retain`。如果 StorageClass 对象被创建时没有指定 `reclaimPolicy`，它将默认为 `Delete`。
@@ -181,7 +181,7 @@ whatever reclaim policy they were assigned at creation.
 ### Allow Volume Expansion
 -->
 
-### 允许卷扩展
+### 允许卷扩展 {#allow-volume-expansion}
 
 {{< feature-state for_k8s_version="v1.11" state="beta" >}}
 
@@ -233,7 +233,7 @@ If the volume plugin does not support mount options but mount options are
 specified, provisioning will fail. Mount options are not validated on either
 the class or PV, If a mount option is invalid, the PV mount fails.
  -->
-### 挂载选项
+### 挂载选项 {#mount-options}
 
 由 StorageClass 动态创建的 PersistentVolume 将使用类中 `mountOptions` 字段指定的挂载选项。
 
@@ -243,7 +243,7 @@ the class or PV, If a mount option is invalid, the PV mount fails.
 <!--
 ### Volume Binding Mode
  -->
-### 卷绑定模式
+### 卷绑定模式 {#volume-binding-mode}
 
 <!--
 The `volumeBindingMode` field controls when [volume binding and dynamic
@@ -406,7 +406,7 @@ There can be at most 512 parameters defined for a StorageClass.
 The total length of the parameters object including its keys and values cannot
 exceed 256 KiB.
  -->
-## 参数
+## 参数 {#parameters}
 
 Storage Classes 的参数描述了存储类的卷。取决于制备器，可以接受不同的参数。
 例如，参数 type 的值 io1 和参数 iopsPerGB 特定于 EBS PV。
@@ -1076,7 +1076,7 @@ parameters:
 <!--
 ### Azure Disk
 -->
-### Azure 磁盘
+### Azure 磁盘 {#azure-disk}
 
 <!--
 #### Azure Unmanaged Disk Storage Class {#azure-disk-storage-class}
@@ -1157,7 +1157,7 @@ parameters:
 <!--
 ### Azure File
 -->
-### Azure 文件
+### Azure 文件 {#azure-file}
 
 ```yaml
 kind: StorageClass
@@ -1225,7 +1225,7 @@ be read by other users.
 <!--
 ### Portworx Volume
  -->
-### Portworx 卷
+### Portworx 卷 {#portworx-volume}
 
 ```yaml
 apiVersion: storage.k8s.io/v1
@@ -1426,7 +1426,7 @@ references it.
 <!--
 ### Local
 -->
-### 本地
+### 本地 {#local}
 
 {{< feature-state for_k8s_version="v1.14" state="stable" >}}
 
diff --git a/content/zh-cn/docs/concepts/storage/volume-snapshots.md b/content/zh-cn/docs/concepts/storage/volume-snapshots.md
index 719bcfa2a32..c523fb6c4db 100644
--- a/content/zh-cn/docs/concepts/storage/volume-snapshots.md
+++ b/content/zh-cn/docs/concepts/storage/volume-snapshots.md
@@ -12,13 +12,11 @@ weight: 40
 
 <!-- overview -->
 
-{{< feature-state for_k8s_version="1.17" state="beta" >}}
-
 <!--
 In Kubernetes, a _VolumeSnapshot_ represents a snapshot of a volume on a storage system. This document assumes that you are already familiar with Kubernetes [persistent volumes](/docs/concepts/storage/persistent-volumes/).
 -->
-在 Kubernetes 中，卷快照是一个存储系统上卷的快照，本文假设你已经熟悉了 Kubernetes
-的 [持久卷](/zh-cn/docs/concepts/storage/persistent-volumes/)。
+在 Kubernetes 中，**卷快照** 是一个存储系统上卷的快照，本文假设你已经熟悉了 Kubernetes
+的[持久卷](/zh-cn/docs/concepts/storage/persistent-volumes/)。
 
 <!-- body -->
 
@@ -31,29 +29,31 @@ In Kubernetes, a _VolumeSnapshot_ represents a snapshot of a volume on a storage
 <!--
 Similar to how API resources `PersistentVolume` and `PersistentVolumeClaim` are used to provision volumes for users and administrators, `VolumeSnapshotContent` and `VolumeSnapshot` API resources are provided to create volume snapshots for users and administrators.
 -->
-与 `PersistentVolume` 和 `PersistentVolumeClaim` 两个 API 资源用于给用户和管理员提供卷类似，`VolumeSnapshotContent` 和 `VolumeSnapshot` 两个 API 资源用于给用户和管理员创建卷快照。
+与 `PersistentVolume` 和 `PersistentVolumeClaim` 这两个 API 资源用于给用户和管理员制备卷类似，
+`VolumeSnapshotContent` 和 `VolumeSnapshot` 这两个 API 资源用于给用户和管理员创建卷快照。
 
 <!--
 A `VolumeSnapshotContent` is a snapshot taken from a volume in the cluster that has been provisioned by an administrator. It is a resource in the cluster just like a PersistentVolume is a cluster resource.
 -->
-`VolumeSnapshotContent` 是一种快照，从管理员已提供的集群中的卷获取。就像持久卷是集群的资源一样，它也是集群中的资源。
+`VolumeSnapshotContent` 是从一个卷获取的一种快照，该卷由管理员在集群中进行制备。
+就像持久卷（PersistentVolume）是集群的资源一样，它也是集群中的资源。
 
 <!--
 A `VolumeSnapshot` is a request for snapshot of a volume by a user. It is similar to a PersistentVolumeClaim.
 -->
-`VolumeSnapshot` 是用户对于卷的快照的请求。它类似于持久卷声明。
+`VolumeSnapshot` 是用户对于卷的快照的请求。它类似于持久卷声明（PersistentVolumeClaim）。
 
 <!--
 `VolumeSnapshotClass` allows you to specify different attributes belonging to a `VolumeSnapshot`. These attributes may differ among snapshots taken from the same volume on the storage system and therefore cannot be expressed by using the same `StorageClass` of a `PersistentVolumeClaim`.
 -->
-`VolumeSnapshotClass` 允许指定属于 `VolumeSnapshot` 的不同属性。在从存储系统的相同卷上获取的快照之间，这些属性可能有所不同，因此不能通过使用与 `PersistentVolumeClaim` 相同的 `StorageClass` 来表示。
+`VolumeSnapshotClass` 允许指定属于 `VolumeSnapshot` 的不同属性。在从存储系统的相同卷上获取的快照之间，
+这些属性可能有所不同，因此不能通过使用与 `PersistentVolumeClaim` 相同的 `StorageClass` 来表示。
 
 <!--
 Volume snapshots provide Kubernetes users with a standardized way to copy a volume's contents at a particular point in time without creating an entirely new volume. This functionality enables, for example, database administrators to backup databases before performing edit or delete modifications.
 -->
-卷快照能力为 Kubernetes 用户提供了一种标准的方式来在指定时间点
-复制卷的内容，并且不需要创建全新的卷。例如，这一功能使得数据库管理员
-能够在执行编辑或删除之类的修改之前对数据库执行备份。
+卷快照能力为 Kubernetes 用户提供了一种标准的方式来在指定时间点复制卷的内容，并且不需要创建全新的卷。
+例如，这一功能使得数据库管理员能够在执行编辑或删除之类的修改之前对数据库执行备份。
 
 <!--
 Users need to be aware of the following when using this feature:
@@ -68,8 +68,8 @@ Users need to be aware of the following when using this feature:
 * CSI drivers may or may not have implemented the volume snapshot functionality. The CSI drivers that have provided support for volume snapshot will likely use the csi-snapshotter. See [CSI Driver documentation](https://kubernetes-csi.github.io/docs/) for details.
 * The CRDs and snapshot controller installations are the responsibility of the Kubernetes distribution.
 -->
-* API 对象 `VolumeSnapshot`，`VolumeSnapshotContent` 和 `VolumeSnapshotClass` 
-  是 {{< glossary_tooltip term_id="CustomResourceDefinition" text="CRDs" >}}，
+* API 对象 `VolumeSnapshot`，`VolumeSnapshotContent` 和 `VolumeSnapshotClass`
+  是 {{< glossary_tooltip term_id="CustomResourceDefinition" text="CRD" >}}，
   不属于核心 API。
 * `VolumeSnapshot` 支持仅可用于 CSI 驱动。
 * 作为 `VolumeSnapshot` 部署过程的一部分，Kubernetes 团队提供了一个部署于控制平面的快照控制器，
@@ -78,12 +78,12 @@ Users need to be aware of the following when using this feature:
   并且负责创建和删除 `VolumeSnapshotContent` 对象。
   边车 csi-snapshotter 监视 `VolumeSnapshotContent` 对象，
   并且触发针对 CSI 端点的 `CreateSnapshot` 和 `DeleteSnapshot` 的操作。
-* 还有一个验证性质的 Webhook 服务器，可以对快照对象进行更严格的验证。 
-  Kubernetes 发行版应将其与快照控制器和 CRD（而非 CSI 驱动程序）一起安装。 
+* 还有一个验证性质的 Webhook 服务器，可以对快照对象进行更严格的验证。
+  Kubernetes 发行版应将其与快照控制器和 CRD（而非 CSI 驱动程序）一起安装。
   此服务器应该安装在所有启用了快照功能的 Kubernetes 集群中。
-* CSI 驱动可能实现，也可能没有实现卷快照功能。CSI 驱动可能会使用 csi-snapshotter 
+* CSI 驱动可能实现，也可能没有实现卷快照功能。CSI 驱动可能会使用 csi-snapshotter
   来提供对卷快照的支持。详见 [CSI 驱动程序文档](https://kubernetes-csi.github.io/docs/)
-* Kubernetes 负责 CRDs 和快照控制器的安装。
+* Kubernetes 负责 CRD 和快照控制器的安装。
 
 <!--
 ## Lifecycle of a volume snapshot and volume snapshot content
@@ -92,30 +92,33 @@ Users need to be aware of the following when using this feature:
 -->
 ## 卷快照和卷快照内容的生命周期 {#lifecycle-of-a-volume-snapshot-and-volume-snapshot-content}
 
-`VolumeSnapshotContents` 是集群中的资源。`VolumeSnapshots` 是对于这些资源的请求。`VolumeSnapshotContents` 和 `VolumeSnapshots` 之间的交互遵循以下生命周期：
+`VolumeSnapshotContents` 是集群中的资源。`VolumeSnapshots` 是对于这些资源的请求。
+`VolumeSnapshotContents` 和 `VolumeSnapshots` 之间的交互遵循以下生命周期：
 
 <!--
 ### Provisioning Volume Snapshot
 
 There are two ways snapshots may be provisioned: pre-provisioned or dynamically provisioned.
 -->
-### 供应卷快照 {#provisioning-volume-snapshot}
+### 制备卷快照 {#provisioning-volume-snapshot}
 
-快照可以通过两种方式进行配置：预配置或动态配置。
+快照可以通过两种方式进行制备：预制备或动态制备。
 
 <!--
 #### Pre-provisioned {#static}
 A cluster administrator creates a number of `VolumeSnapshotContents`. They carry the details of the real volume snapshot on the storage system which is available for use by cluster users. They exist in the Kubernetes API and are available for consumption.
 -->
-#### 预配置 {#static}
-集群管理员创建多个 `VolumeSnapshotContents`。它们带有存储系统上实际卷快照的详细信息，可以供集群用户使用。它们存在于 Kubernetes API 中，并且能够被使用。
+#### 预制备 {#static}
+
+集群管理员创建多个 `VolumeSnapshotContents`。它们带有存储系统上实际卷快照的详细信息，可以供集群用户使用。
+它们存在于 Kubernetes API 中，并且能够被使用。
 
 <!--
 #### Dynamic
 
 Instead of using a pre-existing snapshot, you can request that a snapshot to be dynamically taken from a PersistentVolumeClaim. The [VolumeSnapshotClass](/docs/concepts/storage/volume-snapshot-classes/) specifies storage provider-specific parameters to use when taking a snapshot.
 -->
-#### 动态的 {#dynamic}
+#### 动态制备 {#dynamic}
 
 可以从 `PersistentVolumeClaim` 中动态获取快照，而不用使用已经存在的快照。
 在获取快照时，[卷快照类](/zh-cn/docs/concepts/storage/volume-snapshot-classes/)
@@ -128,12 +131,13 @@ The snapshot controller handles the binding of a `VolumeSnapshot` object with an
 -->
 ### 绑定 {#binding}
 
-在预配置和动态配置场景下，快照控制器处理绑定 `VolumeSnapshot` 对象和其合适的 `VolumeSnapshotContent` 对象。绑定关系是一对一的。
+在预制备和动态制备场景下，快照控制器处理绑定 `VolumeSnapshot` 对象和其合适的 `VolumeSnapshotContent` 对象。
+绑定关系是一对一的。
 
 <!--
 In the case of pre-provisioned binding, the VolumeSnapshot will remain unbound until the requested VolumeSnapshotContent object is created.
 -->
-在预配置快照绑定场景下，`VolumeSnapshotContent` 对象创建之后，才会和 `VolumeSnapshot` 进行绑定。
+在预制备快照绑定场景下，`VolumeSnapshotContent` 对象创建之后，才会和 `VolumeSnapshot` 进行绑定。
 
 <!--
 ### Persistent Volume Claim as Snapshot Source Protection
@@ -146,16 +150,20 @@ API objects are not removed from the system while a snapshot is being taken from
 ### 快照源的持久性卷声明保护
 
 这种保护的目的是确保在从系统中获取快照时，不会将正在使用的
- {{< glossary_tooltip text="PersistentVolumeClaim" term_id="persistent-volume-claim" >}} 
+ {{< glossary_tooltip text="PersistentVolumeClaim" term_id="persistent-volume-claim" >}}
  API 对象从系统中删除（因为这可能会导致数据丢失）。
 
 <!--
 
 While a snapshot is being taken of a PersistentVolumeClaim, that PersistentVolumeClaim is in-use. If you delete a PersistentVolumeClaim API object in active use as a snapshot source, the PersistentVolumeClaim object is not removed immediately. Instead, removal of the PersistentVolumeClaim object is postponed until the snapshot is readyToUse or aborted.
 -->
-如果一个 PVC 正在被快照用来作为源进行快照创建，则该 PVC 是使用中的。如果用户删除正作为快照源的 PVC API 对象，则 PVC 对象不会立即被删除掉。相反，PVC 对象的删除将推迟到任何快照不在主动使用它为止。当快照的 `Status` 中的 `ReadyToUse`值为 `true` 时，PVC 将不再用作快照源。
+如果一个 PVC 正在被快照用来作为源进行快照创建，则该 PVC 是使用中的。如果用户删除正作为快照源的 PVC API 对象，
+则 PVC 对象不会立即被删除掉。相反，PVC 对象的删除将推迟到任何快照不在主动使用它为止。
+当快照的 `Status` 中的 `ReadyToUse`值为 `true` 时，PVC 将不再用作快照源。
 
-当从 `PersistentVolumeClaim` 中生成快照时，`PersistentVolumeClaim` 就在被使用了。如果删除一个作为快照源的 `PersistentVolumeClaim` 对象，这个 `PersistentVolumeClaim` 对象不会立即被删除的。相反，删除 `PersistentVolumeClaim` 对象的动作会被放弃，或者推迟到快照的 Status 为 ReadyToUse时再执行。
+当从 `PersistentVolumeClaim` 中生成快照时，`PersistentVolumeClaim` 就在被使用了。
+如果删除一个作为快照源的 `PersistentVolumeClaim` 对象，这个 `PersistentVolumeClaim` 对象不会立即被删除的。
+相反，删除 `PersistentVolumeClaim` 对象的动作会被放弃，或者推迟到快照的 Status 为 ReadyToUse 时再执行。
 
 <!--
 ### Delete
@@ -164,7 +172,9 @@ Deletion is triggered by deleting the `VolumeSnapshot` object, and the `Deletion
 -->
 ### 删除 {#delete}
 
-删除 `VolumeSnapshot` 对象触发删除 `VolumeSnapshotContent` 操作，并且 `DeletionPolicy` 会紧跟着执行。如果 `DeletionPolicy` 是 `Delete`，那么底层存储快照会和 `VolumeSnapshotContent` 一起被删除。如果 `DeletionPolicy` 是 `Retain`，那么底层快照和 `VolumeSnapshotContent` 都会被保留。
+删除 `VolumeSnapshot` 对象触发删除 `VolumeSnapshotContent` 操作，并且 `DeletionPolicy` 会紧跟着执行。
+如果 `DeletionPolicy` 是 `Delete`，那么底层存储快照会和 `VolumeSnapshotContent` 一起被删除。
+如果 `DeletionPolicy` 是 `Retain`，那么底层快照和 `VolumeSnapshotContent` 都会被保留。
 
 <!--
 ## VolumeSnapshots
@@ -173,7 +183,7 @@ Each VolumeSnapshot contains a spec and a status.
 -->
 ## 卷快照 {#volume-snapshots}
 
-每个 `VolumeSnapshot` 包含一个 spec 和一个状态。
+每个 `VolumeSnapshot` 包含一个 spec 和一个 status。
 
 ```yaml
 apiVersion: snapshot.storage.k8s.io/v1
@@ -194,7 +204,7 @@ A volume snapshot can request a particular class by specifying the name of a
 using the attribute `volumeSnapshotClassName`. If nothing is set, then the default class is used if available.
 -->
 `persistentVolumeClaimName` 是 `PersistentVolumeClaim` 数据源对快照的名称。
-这个字段是动态配置快照中的必填字段。
+这个字段是动态制备快照中的必填字段。
 
 卷快照可以通过指定 [VolumeSnapshotClass](/zh-cn/docs/concepts/storage/volume-snapshot-classes/)
 使用 `volumeSnapshotClassName` 属性来请求特定类。如果没有设置，那么使用默认类（如果有）。
@@ -202,8 +212,8 @@ using the attribute `volumeSnapshotClassName`. If nothing is set, then the defau
 <!--
 For pre-provisioned snapshots, you need to specify a `volumeSnapshotContentName` as the source for the snapshot as shown in the following example. The `volumeSnapshotContentName` source field is required for pre-provisioned snapshots.
 -->
-如下面例子所示，对于预配置的快照，需要给快照指定 `volumeSnapshotContentName` 来作为源。
-对于预配置的快照 `source` 中的`volumeSnapshotContentName` 字段是必填的。
+如下面例子所示，对于预制备的快照，需要给快照指定 `volumeSnapshotContentName` 作为来源。
+对于预制备的快照 `source` 中的`volumeSnapshotContentName` 字段是必填的。
 
 ```yaml
 apiVersion: snapshot.storage.k8s.io/v1
@@ -221,7 +231,8 @@ spec:
 Each VolumeSnapshot contains a spec and a status, which is the specification and status of the volume snapshot.
 Each VolumeSnapshotContent contains a spec and status. In dynamic provisioning, the snapshot common controller creates `VolumeSnapshotContent` objects. Here is an example:
 -->
-每个 VolumeSnapshotContent 对象包含 spec 和 status。在动态配置时，快照通用控制器创建 `VolumeSnapshotContent` 对象。下面是例子：
+每个 VolumeSnapshotContent 对象包含 spec 和 status。
+在动态制备时，快照通用控制器创建 `VolumeSnapshotContent` 对象。下面是例子：
 
 ```yaml
 apiVersion: snapshot.storage.k8s.io/v1
@@ -248,7 +259,7 @@ For pre-provisioned snapshots, you (as cluster administrator) are responsible fo
 -->
 `volumeHandle` 是存储后端创建卷的唯一标识符，在卷创建期间由 CSI 驱动程序返回。动态设置快照需要此字段。它指出了快照的卷源。
 
-对于预配置快照，你（作为集群管理员）要按如下命令来创建 `VolumeSnapshotContent` 对象。
+对于预制备快照，你（作为集群管理员）要按如下命令来创建 `VolumeSnapshotContent` 对象。
 
 ```yaml
 apiVersion: snapshot.storage.k8s.io/v1
@@ -268,7 +279,8 @@ spec:
 <!--
 `snapshotHandle` is the unique identifier of the volume snapshot created on the storage backend. This field is required for the pre-provisioned snapshots. It specifies the CSI snapshot id on the storage system that this `VolumeSnapshotContent` represents.
 -->
-`snapshotHandle` 是存储后端创建卷的唯一标识符。对于预设置快照，这个字段是必须的。它指定此 `VolumeSnapshotContent` 表示的存储系统上的 CSI 快照 id。
+`snapshotHandle` 是存储后端创建卷的唯一标识符。对于预设置快照，这个字段是必须的。
+它指定此 `VolumeSnapshotContent` 表示的存储系统上的 CSI 快照 ID。
 
 <!--
 `sourceVolumeMode` is the mode of the volume whose snapshot is taken. The value 
@@ -315,7 +327,7 @@ by the cluster administrator.
 
 An example `VolumeSnapshotContent` resource with this feature enabled would look like:
 -->
-对于预配置的快照，`Spec.SourceVolumeMode` 需要由集群管理员填充。
+对于预制备的快照，`Spec.SourceVolumeMode` 需要由集群管理员填充。
 
 启用此特性的 `VolumeSnapshotContent` 资源示例如下所示：
 
@@ -340,13 +352,13 @@ spec:
 <!--
 ## Provisioning Volumes from Snapshots
 -->
-## 从快照供应卷
+## 从快照制备卷 {#provisioning-volumes-from-snapshots}
 
 <!--
 You can provision a new volume, pre-populated with data from a snapshot, by using
 the *dataSource* field in the `PersistentVolumeClaim` object.
 -->
-你可以配置一个新卷，该卷预填充了快照中的数据，在 `持久卷声明` 对象中使用 *dataSource* 字段。
+你可以制备一个新卷，该卷预填充了快照中的数据，在 `持久卷声明` 对象中使用 **dataSource** 字段。
 
 <!--
 For more details, see
diff --git a/content/zh-cn/docs/concepts/storage/volumes.md b/content/zh-cn/docs/concepts/storage/volumes.md
index ebe50dd8970..cd5a6da0402 100644
--- a/content/zh-cn/docs/concepts/storage/volumes.md
+++ b/content/zh-cn/docs/concepts/storage/volumes.md
@@ -49,7 +49,7 @@ drivers, but the functionality is somewhat limited.
 -->
 ## 背景  {#background}
 
-Docker 也有 [卷（Volume）](https://docs.docker.com/storage/) 的概念，但对它只有少量且松散的管理。
+Docker 也有[卷（Volume）](https://docs.docker.com/storage/) 的概念，但对它只有少量且松散的管理。
 Docker 卷是磁盘上或者另外一个容器内的一个目录。
 Docker 提供卷驱动程序，但是其功能非常有限。
 
@@ -133,9 +133,9 @@ EBS volume can be pre-populated with data, and that data can be shared between p
 
 {{< feature-state for_k8s_version="v1.17" state="deprecated" >}}
 
-`awsElasticBlockStore` 卷将 Amazon Web服务（AWS）[EBS 卷](https://aws.amazon.com/ebs/)
-挂载到你的 Pod 中。与 `emptyDir` 在 Pod 被删除时也被删除不同，EBS 卷的内容在删除 Pod
-时会被保留，卷只是被卸载掉了。
+`awsElasticBlockStore` 卷将 Amazon Web 服务（AWS）[EBS 卷](https://aws.amazon.com/ebs/)挂载到你的
+Pod 中。与 `emptyDir` 在 Pod 被删除时也被删除不同，EBS 卷的内容在删除
+Pod 时会被保留，卷只是被卸载掉了。
 这意味着 EBS 卷可以预先填充数据，并且该数据可以在 Pod 之间共享。
 
 <!--
@@ -175,7 +175,7 @@ aws ec2 create-volume --availability-zone=eu-west-1a --size=10 --volume-type=gp2
 Make sure the zone matches the zone you brought up your cluster in. Check that the size and
 EBS volume type are suitable for your use.
 -->
-确保该区域与你的群集所在的区域相匹配。还要检查卷的大小和 EBS 卷类型都适合你的用途。
+确保该区域与你的集群所在的区域相匹配。还要检查卷的大小和 EBS 卷类型都适合你的用途。
 
 <!--
 #### AWS EBS Example configuration
@@ -540,11 +540,11 @@ It mounts a directory and writes the requested data in plain text files.
 这种卷类型挂载一个目录并在纯文本文件中写入所请求的数据。
 
 <!--
-A Container using Downward API as a [subPath](#using-subpath) volume mount will not
-receive Downward API updates.
+A container using the downward API as a [`subPath`](#using-subpath) volume mount does not
+receive updates when field values change.
 -->
 {{< note >}}
-容器以 [subPath](#using-subpath) 卷挂载方式使用 downwardAPI 时，将不能接收到它的更新。
+容器以 [subPath](#using-subpath) 卷挂载方式使用 downward API 时，在字段值更改时将不能接收到它的更新。
 {{< /note >}}
 
 <!--
@@ -805,8 +805,7 @@ feature allows the creation of Persistent Disks that are available in two zones
 within the same region. In order to use this feature, the volume must be provisioned
 as a PersistentVolume; referencing the volume directly from a Pod is not supported.
 -->
-[区域持久盘](https://cloud.google.com/compute/docs/disks/#repds)
-特性允许你创建能在同一区域的两个可用区中使用的持久盘。
+[区域持久盘](https://cloud.google.com/compute/docs/disks/#repds)特性允许你创建能在同一区域的两个可用区中使用的持久盘。
 要使用这个特性，必须以持久卷（PersistentVolume）的方式提供卷；直接从
 Pod 引用这种卷是不可以的。
 
@@ -1063,8 +1062,8 @@ Watch out when using this type of volume, because:
 * 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod
   会由于节点上文件的不同而在不同节点上有不同的行为。
 * 下层主机上创建的文件或目录只能由 root 用户写入。你需要在
-  [特权容器](/zh-cn/docs/tasks/configure-pod-container/security-context/)
-  中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 `hostPath` 卷。
+  [特权容器](/zh-cn/docs/tasks/configure-pod-container/security-context/)中以
+  root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 `hostPath` 卷。
 
 <!--
 #### hostPath configuration example
@@ -1420,9 +1419,8 @@ GitHub project has [instructions](https://github.com/quobyte/quobyte-csi#quobyte
 -->
 Quobyte 支持{{< glossary_tooltip text="容器存储接口（CSI）" term_id="csi" >}}。
 推荐使用 CSI 插件以在 Kubernetes 中使用 Quobyte 卷。
-Quobyte 的 GitHub 项目包含以 CSI 形式部署 Quobyte 的
-[说明](https://github.com/quobyte/quobyte-csi#quobyte-csi)
-及使用示例。
+Quobyte 的 GitHub 项目包含以 CSI 形式部署 Quobyte
+的[说明](https://github.com/quobyte/quobyte-csi#quobyte-csi)及使用示例。
 
 ### rbd
 
@@ -1672,8 +1670,7 @@ must be installed on the cluster and the `CSIMigration` and `CSIMigrationvSphere
 You can find additional advice on how to migrate in VMware's
 documentation page [Migrating In-Tree vSphere Volumes to vSphere Container Storage Plug-in](https://docs.vmware.com/en/VMware-vSphere-Container-Storage-Plug-in/2.0/vmware-vsphere-csp-getting-started/GUID-968D421F-D464-4E22-8127-6CB9FF54423F.html).
 -->
-你可以在 VMware 的文档页面
-[迁移树内 vSphere 卷插件到 vSphere 容器存储插件](https://docs.vmware.com/en/VMware-vSphere-Container-Storage-Plug-in/2.0/vmware-vsphere-csp-getting-started/GUID-968D421F-D464-4E22-8127-6CB9FF54423F.html)
+你可以在 VMware 的文档页面[迁移树内 vSphere 卷插件到 vSphere 容器存储插件](https://docs.vmware.com/en/VMware-vSphere-Container-Storage-Plug-in/2.0/vmware-vsphere-csp-getting-started/GUID-968D421F-D464-4E22-8127-6CB9FF54423F.html)
 中找到有关如何迁移的其他建议。
 <!--
 Kubernetes v{{< skew currentVersion >}} requires that you are using vSphere 7.0u2 or later
@@ -2040,8 +2037,7 @@ persistent volume:
 - `volumeAttributes`：一个字符串到字符串的映射表，用来设置卷的静态属性。
   该映射必须与 CSI 驱动程序返回的 `CreateVolumeResponse` 中的 `volume.attributes`
   字段的映射相对应；
-  [CSI 规范](https://github.com/container-storage-interface/spec/blob/master/spec.md#createvolume)
-  中有相应的定义。
+  [CSI 规范](https://github.com/container-storage-interface/spec/blob/master/spec.md#createvolume)中有相应的定义。
   该映射通过`ControllerPublishVolumeRequest`、`NodeStageVolumeRequest`、和
   `NodePublishVolumeRequest` 中的 `volume_attributes` 字段传递给 CSI 驱动。
 
@@ -2266,8 +2262,8 @@ Its values are:
 * `None` - 此卷挂载将不会感知到主机后续在此卷或其任何子目录上执行的挂载变化。
    类似的，容器所创建的卷挂载在主机上是不可见的。这是默认模式。
 
-   该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)
-   中描述的 `private` 挂载传播选项。
+   该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)中描述的
+  `private` 挂载传播选项。
 
 <!--
  * `HostToContainer` - This volume mount will receive all subsequent mounts
@@ -2290,8 +2286,8 @@ Its values are:
   类似的，配置了 `Bidirectional` 挂载传播选项的 Pod 如果在同一卷上挂载了内容，挂载传播设置为
   `HostToContainer` 的容器都将能看到这一变化。
 
-  该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)
-  中描述的 `rslave` 挂载传播选项。
+  该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)中描述的
+  `rslave` 挂载传播选项。
 
 <!--
 * `Bidirectional` - This volume mount behaves the same the `HostToContainer` mount.
@@ -2307,8 +2303,8 @@ Its values are:
 * `Bidirectional` - 这种卷挂载和 `HostToContainer` 挂载表现相同。
   另外，容器创建的卷挂载将被传播回至主机和使用同一卷的所有 Pod 的所有容器。
 
-  该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)
-  中描述的 `rshared` 挂载传播选项。
+  该模式等同于 [Linux 内核文档](https://www.kernel.org/doc/Documentation/filesystems/sharedsubtree.txt)中描述的
+  `rshared` 挂载传播选项。
 
   <!--
   `Bidirectional` mount propagation can be dangerous. It can damage
diff --git a/content/zh-cn/docs/concepts/windows/intro.md b/content/zh-cn/docs/concepts/windows/intro.md
index 1ea44cfc3d9..fd978928368 100644
--- a/content/zh-cn/docs/concepts/windows/intro.md
+++ b/content/zh-cn/docs/concepts/windows/intro.md
@@ -154,7 +154,7 @@ Kubernetes 关键组件在 Windows 上的工作方式与在 Linux 上相同。
     In the above list, wildcards (`*`) indicate all elements in a list.
     For example, `spec.containers[*].securityContext` refers to the SecurityContext object
     for all containers. If any of these fields is specified, the Pod will
-    not be admited by the API server.
+    not be admitted by the API server.
 -->
 * [Pod](/zh-cn/docs/concepts/workloads/pods/)
   
@@ -218,7 +218,7 @@ Kubernetes 关键组件在 Windows 上的工作方式与在 Linux 上相同。
   * CronJob
   * ReplicationController
 * {{< glossary_tooltip text="Services" term_id="service" >}}
-  See [Load balancing and Services](#load-balancing-and-services) for more details.
+  See [Load balancing and Services](/docs/concepts/services-networking/windows-networking/#load-balancing-and-services) for more details.
 -->
 * [工作负载资源](/zh-cn/docs/concepts/workloads/controllers/)包括：
   
@@ -232,7 +232,7 @@ Kubernetes 关键组件在 Windows 上的工作方式与在 Linux 上相同。
 
 * {{< glossary_tooltip text="Services" term_id="service" >}}
 
-  有关更多详细信息，请参考[负载均衡和 Service](#load-balancing-and-services)。
+  有关更多详细信息，请参考[负载均衡和 Service](/zh-cn/docs/concepts/services-networking/windows-networking/#load-balancing-and-services)。
 
 <!--
 Pods, workload resources, and Services are critical elements to managing Windows
diff --git a/content/zh-cn/docs/concepts/windows/user-guide.md b/content/zh-cn/docs/concepts/windows/user-guide.md
index 49d89b94619..ede5611ad5c 100644
--- a/content/zh-cn/docs/concepts/windows/user-guide.md
+++ b/content/zh-cn/docs/concepts/windows/user-guide.md
@@ -148,26 +148,26 @@ port 80 of the container directly to the Service.
     * Node-to-pod communication across the network, `curl` port 80 of your pod IPs from the Linux control plane node
       to check for a web server response
     * Pod-to-pod communication, ping between pods (and across hosts, if you have more than one Windows node)
-      using docker exec or kubectl exec
+      using `docker exec` or `kubectl exec`
     * Service-to-pod communication, `curl` the virtual service IP (seen under `kubectl get services`)
       from the Linux control plane node and from individual pods
     * Service discovery, `curl` the service name with the Kubernetes [default DNS suffix](/docs/concepts/services-networking/dns-pod-service/#services)
     * Inbound connectivity, `curl` the NodePort from the Linux control plane node or machines outside of the cluster
-    * Outbound connectivity, `curl` external IPs from inside the pod using kubectl exec
+    * Outbound connectivity, `curl` external IPs from inside the pod using `kubectl exec`
 -->
 1. 检查部署是否成功。请验证：
 
-   * 使用 `kubectl get pods` 从 Linux 控制平面节点能够列出两个 Pod
-   * 跨网络的节点到 Pod 通信，从 Linux 控制平面节点上执行 `curl` 访问
-     Pod IP 的 80 端口以检查 Web 服务器响应
-   * Pod 间通信，使用 docker exec 或 kubectl exec
-     在 Pod 之间（以及跨主机，如果你有多个 Windows 节点）互 ping
-   * Service 到 Pod 的通信，在 Linux 控制平面节点以及独立的 Pod 中执行 `curl`
-     访问虚拟的服务 IP（在 `kubectl get services` 下查看）
-   * 服务发现，使用 Kubernetes [默认 DNS 后缀](/zh-cn/docs/concepts/services-networking/dns-pod-service/#services)的服务名称，
-     用 `curl` 访问服务名称
-   * 入站连接，在 Linux 控制平面节点或集群外的机器上执行 `curl` 来访问 NodePort 服务
-   * 出站连接，使用 kubectl exec，从 Pod 内部执行 `curl` 访问外部 IP
+   * 当执行 `kubectl get pods` 命令时，能够从 Linux 控制平面所在的节点上列出两个 Pod。
+   * 跨网络的节点到 Pod 通信，从 Linux 控制平面所在的节点上执行 `curl` 命令来访问
+     Pod IP 的 80 端口以检查 Web 服务器响应。
+   * Pod 间通信，使用 `docker exec` 或 `kubectl exec`
+     命令进入容器，并在 Pod 之间（以及跨主机，如果你有多个 Windows 节点）相互进行 ping 操作。
+   * Service 到 Pod 的通信，在 Linux 控制平面所在的节点以及独立的 Pod 中执行 `curl`
+     命令来访问虚拟的服务 IP（在 `kubectl get services` 命令下查看）。
+   * 服务发现，执行 `curl` 命令来访问带有 Kubernetes 
+     [默认 DNS 后缀](/zh-cn/docs/concepts/services-networking/dns-pod-service/#services)的服务名称。
+   * 入站连接，在 Linux 控制平面所在的节点上或集群外的机器上执行 `curl` 命令来访问 NodePort 服务。
+   * 出站连接，使用 `kubectl exec`，从 Pod 内部执行 `curl` 访问外部 IP。
 
 {{< note >}}
 <!-- 
@@ -479,4 +479,4 @@ spec:
     app: iis-2019
 ```
 
-[RuntimeClass]: https://kubernetes.io/docs/concepts/containers/runtime-class/
+[RuntimeClass]: /zh-cn/docs/concepts/containers/runtime-class/
diff --git a/content/zh-cn/docs/concepts/workloads/_index.md b/content/zh-cn/docs/concepts/workloads/_index.md
index 5d895415d34..a9e0ccc89d3 100644
--- a/content/zh-cn/docs/concepts/workloads/_index.md
+++ b/content/zh-cn/docs/concepts/workloads/_index.md
@@ -25,10 +25,10 @@ a critical failure on the {{< glossary_tooltip text="node" term_id="node" >}} wh
 Pod is running means that all the Pods on that node fail. Kubernetes treats that level
 of failure as final: you would need to create a new Pod even if the node later recovers.
 -->
-无论你的负载是单一组件还是由多个一同工作的组件构成，在 Kubernetes 中你
-可以在一组 [Pods](/zh-cn/docs/concepts/workloads/pods) 中运行它。
+在 Kubernetes 中，无论你的负载是由单个组件还是由多个一同工作的组件构成，
+你都可以在一组 [Pod](/zh-cn/docs/concepts/workloads/pods) 中运行它。
 在 Kubernetes 中，Pod 代表的是集群上处于运行状态的一组
-{{< glossary_tooltip text="容器" term_id="container" >}}。
+{{< glossary_tooltip text="容器" term_id="container" >}} 的集合。
 
 <!--
 Kubernetes pods have a [defined lifecycle](/docs/concepts/workloads/pods/pod-lifecycle/).
@@ -37,11 +37,11 @@ For example, once a pod is running in your cluster then a critical fault on the
 all the pods on that node fail. Kubernetes treats that level of failure as final: you
 would need to create a new `Pod` to recover, even if the node later becomes healthy.
 -->
-Kubernetes Pods 有[确定的生命周期](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/)。
-例如，当某 Pod 在你的集群中运行时，Pod 运行所在的
+Kubernetes Pods 遵循[预定义的生命周期](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/)。
+例如，当在你的集群中运行了某个 Pod，但是 Pod 所在的
 {{< glossary_tooltip text="节点" term_id="node" >}} 出现致命错误时，
-所有该节点上的 Pods 都会失败。Kubernetes 将这类失败视为最终状态：
-即使该节点后来恢复正常运行，你也需要创建新的 Pod 来恢复应用。
+所有该节点上的 Pods 的状态都会变成失败。Kubernetes 将这类失败视为最终状态：
+即使该节点后来恢复正常运行，你也需要创建新的 Pod 以恢复应用。
 
 <!--
 However, to make life considerably easier, you don't need to manage each Pod directly.
@@ -52,10 +52,10 @@ you specified.
 
 Kubernetes provides several built-in workload resources:
 -->
-不过，为了让用户的日子略微好过一些，你并不需要直接管理每个 Pod。
-相反，你可以使用 _负载资源_ 来替你管理一组 Pods。
-这些资源配置 {{< glossary_tooltip term_id="controller" text="控制器" >}}
-来确保合适类型的、处于运行状态的 Pod 个数是正确的，与你所指定的状态相一致。
+不过，为了减轻用户的使用负担，通常不需要用户直接管理每个 Pod。
+而是使用**负载资源**来替用户管理一组 Pod。
+这些负载资源通过配置 {{< glossary_tooltip term_id="controller" text="控制器" >}}
+来确保正确类型的、处于运行状态的 Pod 个数是正确的，与用户所指定的状态相一致。
 
 Kubernetes 提供若干种内置的工作负载资源：
 
@@ -76,7 +76,7 @@ Kubernetes 提供若干种内置的工作负载资源：
   [ReplicaSet](/zh-cn/docs/concepts/workloads/controllers/replicaset/)
   （替换原来的资源 {{< glossary_tooltip text="ReplicationController" term_id="replication-controller" >}}）。
   `Deployment` 很适合用来管理你的集群上的无状态应用，`Deployment` 中的所有
-  `Pod` 都是相互等价的，并且在需要的时候被换掉。
+  `Pod` 都是相互等价的，并且在需要的时候被替换。
 * [StatefulSet](/zh-cn/docs/concepts/workloads/controllers/statefulset/)
   让你能够运行一个或者多个以某种方式跟踪应用状态的 Pods。
   例如，如果你的负载会将数据作持久存储，你可以运行一个 `StatefulSet`，将每个
@@ -115,13 +115,12 @@ of Kubernetes' core. For example, if you wanted to run a group of `Pods` for you
 stop work unless _all_ the Pods are available (perhaps for some high-throughput distributed task),
 then you can implement or install an extension that does provide that feature.
 -->
-在庞大的 Kubernetes 生态系统中，你还可以找到一些提供额外操作的第三方
-工作负载资源。通过使用
-[定制资源定义（CRD）](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)，
+在庞大的 Kubernetes 生态系统中，你还可以找到一些提供额外操作的第三方工作负载相关的资源。
+通过使用[定制资源定义（CRD）](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)，
 你可以添加第三方工作负载资源，以完成原本不是 Kubernetes 核心功能的工作。
 例如，如果你希望运行一组 `Pods`，但要求所有 Pods 都可用时才执行操作
-（比如针对某种高吞吐量的分布式任务），你可以实现一个能够满足这一需求
-的扩展，并将其安装到集群中运行。
+（比如针对某种高吞吐量的分布式任务），你可以基于定制资源实现一个能够满足这一需求的扩展，
+并将其安装到集群中运行。
 
 ## {{% heading "whatsnext" %}}
 
@@ -136,8 +135,7 @@ As well as reading about each resource, you can learn about specific tasks that
 除了阅读了解每类资源外，你还可以了解与这些资源相关的任务：
 
 * [使用 Deployment 运行一个无状态的应用](/zh-cn/docs/tasks/run-application/run-stateless-application-deployment/)
-* 以[单实例](/zh-cn/docs/tasks/run-application/run-single-instance-stateful-application/)
-  或者[多副本集合](/zh-cn/docs/tasks/run-application/run-replicated-stateful-application/)
+* 以[单实例](/zh-cn/docs/tasks/run-application/run-single-instance-stateful-application/)或者[多副本集合](/zh-cn/docs/tasks/run-application/run-replicated-stateful-application/)
   的形式运行有状态的应用；
 * [使用 `CronJob` 运行自动化的任务](/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs/)
 
@@ -145,23 +143,22 @@ As well as reading about each resource, you can learn about specific tasks that
 To learn about Kubernetes' mechanisms for separating code from configuration,
 visit [Configuration](/docs/concepts/configuration/).
 -->
-要了解 Kubernetes 将代码与配置分离的实现机制，可参阅
-[配置部分](/zh-cn/docs/concepts/configuration/)。
+要了解 Kubernetes 将代码与配置分离的实现机制，可参阅[配置部分](/zh-cn/docs/concepts/configuration/)。
 
 <!--
 There are two supporting concepts that provide backgrounds about how Kubernetes manages pods
 for applications:
-* [Garbage collection](/docs/concepts/workloads/controllers/garbage-collection/) tidies up objects
+* [Garbage collection](/docs/concepts/architecture/garbage-collection/) tidies up objects
   from your cluster after their _owning resource_ has been removed.
 * The [_time-to-live after finished_ controller](/docs/concepts/workloads/controllers/ttlafterfinished/)
   removes Jobs once a defined time has passed since they completed.
 -->
 关于 Kubernetes 如何为应用管理 Pods，还有两个支撑概念能够提供相关背景信息：
 
-* [垃圾收集](/zh-cn/docs/concepts/workloads/controllers/garbage-collection/)机制负责在
+* [垃圾收集](/zh-cn/docs/concepts/architecture/garbage-collection/)机制负责在
   对象的 _属主资源_ 被删除时在集群中清理这些对象。
-* [_Time-to-Live_ 控制器](/zh-cn/docs/concepts/workloads/controllers/ttlafterfinished/)
-  会在 Job 结束之后的指定时间间隔之后删除它们。
+* [**Time-to-Live** 控制器](/zh-cn/docs/concepts/workloads/controllers/ttlafterfinished/)会在 Job
+  结束之后的指定时间间隔之后删除它们。
 
 <!--
 Once your application is running, you might want to make it available on the internet as
diff --git a/content/zh-cn/docs/concepts/workloads/controllers/deployment.md b/content/zh-cn/docs/concepts/workloads/controllers/deployment.md
index 15d5382f93f..180a62b83c6 100644
--- a/content/zh-cn/docs/concepts/workloads/controllers/deployment.md
+++ b/content/zh-cn/docs/concepts/workloads/controllers/deployment.md
@@ -21,8 +21,8 @@ weight: 10
 <!-- overview -->
 
 <!--
-A _Deployment_ provides declarative updates for [Pods](/docs/concepts/workloads/pods/pod/) and
-[ReplicaSets](/docs/concepts/workloads/controllers/replicaset/).
+A _Deployment_ provides declarative updates for {{< glossary_tooltip text="Pods" term_id="pod" >}} and
+{{< glossary_tooltip term_id="replica-set" text="ReplicaSets" >}}.
 -->
 一个 Deployment 为 {{< glossary_tooltip text="Pod" term_id="pod" >}}
 和 {{< glossary_tooltip term_id="replica-set" text="ReplicaSet" >}}
@@ -31,7 +31,7 @@ A _Deployment_ provides declarative updates for [Pods](/docs/concepts/workloads/
 <!--
 You describe a _desired state_ in a Deployment, and the Deployment {{< glossary_tooltip term_id="controller" >}} changes the actual state to the desired state at a controlled rate. You can define Deployments to create new ReplicaSets, or to remove existing Deployments and adopt all their resources with new Deployments.
 -->
-你负责描述 Deployment 中的 _目标状态_，而 Deployment {{< glossary_tooltip term_id="controller" >}}
+你负责描述 Deployment 中的 **目标状态**，而 Deployment {{< glossary_tooltip term_id="controller" >}}
 以受控速率更改实际状态，
 使其变为期望状态。你可以定义 Deployment 以创建新的 ReplicaSet，或删除现有 Deployment，
 并通过新的 Deployment 收养其资源。
@@ -76,7 +76,7 @@ The following are typical use cases for Deployments:
 * [扩大 Deployment 规模以承担更多负载](#scaling-a-deployment)。
 * [暂停 Deployment ](#pausing-and-resuming-a-deployment) 以应用对 PodTemplateSpec 所作的多项修改，
   然后恢复其执行以启动新的上线版本。
-* [使用 Deployment 状态](#deployment-status) 来判定上线过程是否出现停滞。
+* [使用 Deployment 状态](#deployment-status)来判定上线过程是否出现停滞。
 * [清理较旧的不再需要的 ReplicaSet](#clean-up-policy) 。
 
 <!--
@@ -136,7 +136,7 @@ In this example:
 * `template` 字段包含以下子字段：
   * Pod 被使用 `.metadata.labels` 字段打上 `app: nginx` 标签。
   * Pod 模板规约（即 `.template.spec` 字段）指示 Pods 运行一个 `nginx` 容器，
-    该容器运行版本为 1.14.2 的 `nginx` [Docker Hub](https://hub.docker.com/)镜像。
+    该容器运行版本为 1.14.2 的 `nginx` [Docker Hub](https://hub.docker.com/) 镜像。
   * 创建一个容器并使用 `.spec.template.spec.containers[0].name` 字段将其命名为 `nginx`。
 
 <!--
@@ -604,13 +604,13 @@ as per the update and start scaling that up, and rolls over the ReplicaSet that
 <!--
 For example, suppose you create a Deployment to create 5 replicas of `nginx:1.14.2`,
 but then update the Deployment to create 5 replicas of `nginx:1.16.1`, when only 3
-replicas of `nginx:1.7.9` had been created. In that case, the Deployment immediately starts
-killing the 3 `nginx:1.7.9` Pods that it had created, and starts creating
-`nginx:1.9.1` Pods. It does not wait for the 5 replicas of `nginx:1.14.2` to be created
+replicas of `nginx:1.14.2` had been created. In that case, the Deployment immediately starts
+killing the 3 `nginx:1.14.2` Pods that it had created, and starts creating
+`nginx:1.16.1` Pods. It does not wait for the 5 replicas of `nginx:1.14.2` to be created
 before changing course.
 -->
 例如，假定你在创建一个 Deployment 以生成 `nginx:1.14.2` 的 5 个副本，但接下来
-更新 Deployment 以创建 5 个 `nginx:1.16.1` 的副本，而此时只有 3 个`nginx:1.14.2`
+更新 Deployment 以创建 5 个 `nginx:1.16.1` 的副本，而此时只有 3 个 `nginx:1.14.2`
 副本已创建。在这种情况下，Deployment 会立即开始杀死 3 个 `nginx:1.14.2` Pods，
 并开始创建 `nginx:1.16.1` Pods。它不会等待 `nginx:1.14.2` 的 5
 个副本都创建完成后才开始执行变更动作。
@@ -636,7 +636,7 @@ In API version `apps/v1`, a Deployment's label selector is immutable after it ge
 {{< /note >}}
 
 <!--
- * Selector additions require the Pod template labels in the Deployment spec to be updated with the new label too,
+* Selector additions require the Pod template labels in the Deployment spec to be updated with the new label too,
 otherwise a validation error is returned. This change is a non-overlapping one, meaning that the new selector does
 not select ReplicaSets and Pods created with the old selector, resulting in orphaning all old ReplicaSets and
 creating a new ReplicaSet.
@@ -798,7 +798,7 @@ Deployment 被触发上线时，系统就会创建 Deployment 的新的修订版
     Labels:  app=nginx
     Containers:
      nginx:
-      Image:        nginx:1.91
+      Image:        nginx:1.161
       Port:         80/TCP
       Host Port:    0/TCP
       Environment:  <none>
@@ -865,7 +865,7 @@ Follow the steps given below to check the rollout history:
    复制动作发生在修订版本创建时。你可以通过以下方式设置 `CHANGE-CAUSE` 消息：
 
    <!--
-   * Annotating the Deployment with `kubectl annotate deployment/nginx-deployment kubernetes.io/change-cause="image updated to 1.9.1"`
+   * Annotating the Deployment with `kubectl annotate deployment/nginx-deployment kubernetes.io/change-cause="image updated to 1.16.1"`
    * Manually editing the manifest of the resource.
    -->
    * 使用 `kubectl annotate deployment/nginx-deployment kubernetes.io/change-cause="image updated to 1.16.1"`
@@ -1470,7 +1470,7 @@ Kubernetes marks a Deployment as _progressing_ when one of the following tasks i
 -->
 ### 进行中的 Deployment  {#progressing-deployment}
 
-执行下面的任务期间，Kubernetes 标记 Deployment 为 _进行中（Progressing）_：
+执行下面的任务期间，Kubernetes 标记 Deployment 为**进行中**（Progressing）_：
 
 <!--
 * The Deployment creates a new ReplicaSet.
@@ -1506,7 +1506,7 @@ Kubernetes marks a Deployment as _complete_ when it has the following characteri
 -->
 ### 完成的 Deployment    {#complete-deployment}
 
-当 Deployment 具有以下特征时，Kubernetes 将其标记为 _完成（Complete）_：
+当 Deployment 具有以下特征时，Kubernetes 将其标记为**完成（Complete）**;
 
 <!--
 * All of the replicas associated with the Deployment have been updated to the latest version you've specified, meaning any
@@ -1854,8 +1854,8 @@ can create multiple Deployments, one for each release, following the canary patt
 ## 金丝雀部署 {#canary-deployment}
 
 如果要使用 Deployment 向用户子集或服务器子集上线版本，
-则可以遵循[资源管理](/zh-cn/docs/concepts/cluster-administration/manage-deployment/#canary-deployments)
-所描述的金丝雀模式，创建多个 Deployment，每个版本一个。
+则可以遵循[资源管理](/zh-cn/docs/concepts/cluster-administration/manage-deployment/#canary-deployments)所描述的金丝雀模式，
+创建多个 Deployment，每个版本一个。
 
 <!--
 ## Writing a Deployment Spec
diff --git a/content/zh-cn/docs/concepts/workloads/controllers/job.md b/content/zh-cn/docs/concepts/workloads/controllers/job.md
index fa647a70672..f722c19cf9a 100644
--- a/content/zh-cn/docs/concepts/workloads/controllers/job.md
+++ b/content/zh-cn/docs/concepts/workloads/controllers/job.md
@@ -1,5 +1,5 @@
 ---
-title: Jobs
+title: Job
 content_type: concept
 feature:
   title: 批量执行
@@ -37,10 +37,10 @@ You can also use a Job to run multiple Pods in parallel.
 If you want to run a Job (either a single task, or several in parallel) on a schedule,
 see [CronJob](/docs/concepts/workloads/controllers/cron-jobs/).
 -->
-Job 会创建一个或者多个 Pods，并将继续重试 Pods 的执行，直到指定数量的 Pods 成功终止。
-随着 Pods 成功结束，Job 跟踪记录成功完成的 Pods 个数。
+Job 会创建一个或者多个 Pod，并将继续重试 Pod 的执行，直到指定数量的 Pod 成功终止。
+随着 Pod 成功结束，Job 跟踪记录成功完成的 Pod 个数。
 当数量达到指定的成功个数阈值时，任务（即 Job）结束。
-删除 Job 的操作会清除所创建的全部 Pods。
+删除 Job 的操作会清除所创建的全部 Pod。
 挂起 Job 的操作会删除 Job 的所有活跃 Pod，直到 Job 被再次恢复执行。
 
 一种简单的使用场景下，你会创建一个 Job 对象以便以一种可靠的方式运行某 Pod 直到完成。
@@ -50,7 +50,7 @@ Job 会创建一个或者多个 Pods，并将继续重试 Pods 的执行，直
 你也可以使用 Job 以并行的方式运行多个 Pod。
 
 如果你想按某种排期表（Schedule）运行 Job（单个任务或多个并行任务），请参阅
-[CronJob](/docs/concepts/workloads/controllers/cron-jobs/)。
+[CronJob](/zh-cn/docs/concepts/workloads/controllers/cron-jobs/)。
 
 <!-- body -->
 
@@ -118,7 +118,7 @@ Pod Template:
            job-name=pi
   Containers:
    pi:
-    Image:      perl
+    Image:      perl:5.34.0
     Port:       <none>
     Host Port:  <none>
     Command:
@@ -140,9 +140,9 @@ To view completed Pods of a Job, use `kubectl get pods`.
 
 To list all the Pods that belong to a Job in a machine readable form, you can use a command like this:
 -->
-要查看 Job 对应的已完成的 Pods，可以执行 `kubectl get pods`。
+要查看 Job 对应的已完成的 Pod，可以执行 `kubectl get pods`。
 
-要以机器可读的方式列举隶属于某 Job 的全部 Pods，你可以使用类似下面这条命令：
+要以机器可读的方式列举隶属于某 Job 的全部 Pod，你可以使用类似下面这条命令：
 
 ```shell
 pods=$(kubectl get pods --selector=job-name=pi --output=jsonpath='{.items[*].metadata.name}')
@@ -209,15 +209,15 @@ labels (see [pod selector](#pod-selector)) and an appropriate restart policy.
 
 Only a [`RestartPolicy`](/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy) equal to `Never` or `OnFailure` is allowed.
 -->
-### Pod 模版    {#pod-template}
+### Pod 模板    {#pod-template}
 
 Job 的 `.spec` 中只有 `.spec.template` 是必需的字段。
 
-字段 `.spec.template` 的值是一个 [Pod 模版](/zh-cn/docs/concepts/workloads/pods/#pod-templates)。
+字段 `.spec.template` 的值是一个 [Pod 模板](/zh-cn/docs/concepts/workloads/pods/#pod-templates)。
 其定义规范与 {{< glossary_tooltip text="Pod" term_id="pod" >}}
 完全相同，只是其中不再需要 `apiVersion` 或 `kind` 字段。
 
-除了作为 Pod 所必需的字段之外，Job 中的 Pod 模版必需设置合适的标签
+除了作为 Pod 所必需的字段之外，Job 中的 Pod 模板必须设置合适的标签
 （参见 [Pod 选择算符](#pod-selector)）和合适的重启策略。
 
 Job 中 Pod 的 [`RestartPolicy`](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy)
@@ -262,7 +262,7 @@ There are three main types of task suitable to run as a Job:
 1. 非并行 Job：
    - 通常只启动一个 Pod，除非该 Pod 失败。
    - 当 Pod 成功终止时，立即视 Job 为完成状态。
-1. 具有 *确定完成计数* 的并行 Job：
+1. 具有**确定完成计数**的并行 Job：
    - `.spec.completions` 字段设置为非 0 的正数值。
    - Job 用来代表整个任务，当成功的 Pod 个数达到 `.spec.completions` 时，Job 被视为完成。
    - 当使用 `.spec.completionMode="Indexed"` 时，每个 Pod 都会获得一个不同的
@@ -272,7 +272,7 @@ There are three main types of task suitable to run as a Job:
    - 多个 Pod 之间必须相互协调，或者借助外部服务确定每个 Pod 要处理哪个工作条目。
      例如，任一 Pod 都可以从工作队列中取走最多 N 个工作条目。
    - 每个 Pod 都可以独立确定是否其它 Pod 都已完成，进而确定 Job 是否完成。
-   - 当 Job 中 _任何_ Pod 成功终止，不再创建新 Pod。
+   - 当 Job 中**任何** Pod 成功终止，不再创建新 Pod。
    - 一旦至少 1 个 Pod 成功完成，并且所有 Pod 都已终止，即可宣告 Job 成功完成。
    - 一旦任何 Pod 成功退出，任何其它 Pod 都不应再对此任务执行任何操作或生成任何输出。
      所有 Pod 都应启动退出过程。
@@ -289,13 +289,13 @@ a non-negative integer.
 
 For more information about how to make use of the different types of job, see the [job patterns](#job-patterns) section.
 -->
-对于 _非并行_ 的 Job，你可以不设置 `spec.completions` 和 `spec.parallelism`。
+对于**非并行**的 Job，你可以不设置 `spec.completions` 和 `spec.parallelism`。
 这两个属性都不设置时，均取默认值 1。
 
-对于 _确定完成计数_ 类型的 Job，你应该设置 `.spec.completions` 为所需要的完成个数。
+对于**确定完成计数**类型的 Job，你应该设置 `.spec.completions` 为所需要的完成个数。
 你可以设置 `.spec.parallelism`，也可以不设置。其默认值为 1。
 
-对于一个 _工作队列_ Job，你不可以设置 `.spec.completions`，但要将`.spec.parallelism`
+对于一个**工作队列** Job，你不可以设置 `.spec.completions`，但要将`.spec.parallelism`
 设置为一个非负整数。
 
 关于如何利用不同类型的 Job 的更多信息，请参见 [Job 模式](#job-patterns)一节。
@@ -316,7 +316,7 @@ parallelism, for a variety of reasons:
 如果未设置，则默认为 1。
 如果设置为 0，则 Job 相当于启动之后便被暂停，直到此值被增加。
 
-实际并行性（在任意时刻运行状态的 Pods 个数）可能比并行性请求略大或略小，
+实际并行性（在任意时刻运行状态的 Pod 个数）可能比并行性请求略大或略小，
 原因如下：
 
 <!--
@@ -329,13 +329,13 @@ parallelism, for a variety of reasons:
 - The Job controller may throttle new Pod creation due to excessive previous pod failures in the same Job.
 - When a Pod is gracefully shut down, it takes time to stop.
 -->
-- 对于 _确定完成计数_ Job，实际上并行执行的 Pods 个数不会超出剩余的完成数。
+- 对于**确定完成计数** Job，实际上并行执行的 Pod 个数不会超出剩余的完成数。
   如果 `.spec.parallelism` 值较高，会被忽略。
-- 对于 _工作队列_ Job，有任何 Job 成功结束之后，不会有新的 Pod 启动。
-  不过，剩下的 Pods 允许执行完毕。
+- 对于**工作队列** Job，有任何 Job 成功结束之后，不会有新的 Pod 启动。
+  不过，剩下的 Pod 允许执行完毕。
 - 如果 Job {{< glossary_tooltip text="控制器" term_id="controller" >}} 没有来得及作出响应，或者
-- 如果 Job 控制器因为任何原因（例如，缺少 `ResourceQuota` 或者没有权限）无法创建 Pods。
-  Pods 个数可能比请求的数目小。
+- 如果 Job 控制器因为任何原因（例如，缺少 `ResourceQuota` 或者没有权限）无法创建 Pod。
+  Pod 个数可能比请求的数目小。
 - Job 控制器可能会因为之前同一 Job 中 Pod 失效次数过多而压制新 Pod 的创建。
 - 当 Pod 处于体面终止进程中，需要一定时间才能停止。
 
@@ -350,7 +350,7 @@ parallelism, for a variety of reasons:
 Jobs with _fixed completion count_ - that is, jobs that have non null
 `.spec.completions` - can have a completion mode that is specified in `.spec.completionMode`:
 -->
-带有 *确定完成计数* 的 Job，即 `.spec.completions` 不为 null 的 Job，
+带有**确定完成计数**的 Job，即 `.spec.completions` 不为 null 的 Job，
 都可以在其 `.spec.completionMode` 中设置完成模式：
 
 <!--
@@ -381,7 +381,7 @@ Jobs with _fixed completion count_ - that is, jobs that have non null
   - Pod 注解 `batch.kubernetes.io/job-completion-index`。
   - 作为 Pod 主机名的一部分，遵循模式 `$(job-name)-$(index)`。
     当你同时使用带索引的 Job（Indexed Job）与 {{< glossary_tooltip term_id="Service" >}}，
-    Job 中的 Pods 可以通过 DNS 使用确切的主机名互相寻址。
+    Job 中的 Pod 可以通过 DNS 使用确切的主机名互相寻址。
   - 对于容器化的任务，在环境变量 `JOB_COMPLETION_INDEX` 中。
 
   当每个索引都对应一个完成完成的 Pod 时，Job 被认为是已完成的。
@@ -466,8 +466,8 @@ in the API.
 -->
 ### Pod 回退失效策略    {#pod-backoff-failure-policy}
 
-在有些情形下，你可能希望 Job 在经历若干次重试之后直接进入失败状态，因为这很
-可能意味着遇到了配置错误。
+在有些情形下，你可能希望 Job 在经历若干次重试之后直接进入失败状态，
+因为这很可能意味着遇到了配置错误。
 为了实现这点，可以将 `.spec.backoffLimit` 设置为视 Job 为失败之前的重试次数。
 失效回退的限制值默认为 6。
 与 Job 相关的失效的 Pod 会被 Job 控制器重建，回退重试时间将会按指数增长
@@ -509,13 +509,12 @@ old jobs after noting their status.  Delete the job with `kubectl` (e.g. `kubect
 ## Job 终止与清理    {#clean-up-finished-jobs-automatically}
 
 Job 完成时不会再创建新的 Pod，不过已有的 Pod [通常](#pod-backoff-failure-policy)也不会被删除。
-保留这些 Pod 使得你可以查看已完成的 Pod 的日志输出，以便检查错误、警告
-或者其它诊断性输出。
+保留这些 Pod 使得你可以查看已完成的 Pod 的日志输出，以便检查错误、警告或者其它诊断性输出。
 Job 完成时 Job 对象也一样被保留下来，这样你就可以查看它的状态。
 在查看了 Job 状态之后删除老的 Job 的操作留给了用户自己。
 你可以使用 `kubectl` 来删除 Job（例如，`kubectl delete jobs/pi`
 或者 `kubectl delete -f ./job.yaml`）。
-当使用 `kubectl` 来删除 Job 时，该 Job 所创建的 Pods 也会被删除。
+当使用 `kubectl` 来删除 Job 时，该 Job 所创建的 Pod 也会被删除。
 
 <!--
 By default, a Job will run uninterrupted unless a Pod fails (`restartPolicy=Never`) or a Container exits in error (`restartPolicy=OnFailure`), at which point the Job defers to the
@@ -530,14 +529,13 @@ Once a Job reaches `activeDeadlineSeconds`, all of its running Pods are terminat
 或者某个容器出错退出（`restartPolicy=OnFailure`）。
 这时，Job 基于前述的 `spec.backoffLimit` 来决定是否以及如何重试。
 一旦重试次数到达 `.spec.backoffLimit` 所设的上限，Job 会被标记为失败，
-其中运行的 Pods 都会被终止。
+其中运行的 Pod 都会被终止。
 
 终止 Job 的另一种方式是设置一个活跃期限。
 你可以为 Job 的 `.spec.activeDeadlineSeconds` 设置一个秒数值。
 该值适用于 Job 的整个生命期，无论 Job 创建了多少个 Pod。
-一旦 Job 运行时间达到 `activeDeadlineSeconds` 秒，其所有运行中的 Pod
-都会被终止，并且 Job 的状态更新为 `type: Failed`
-及 `reason: DeadlineExceeded`。
+一旦 Job 运行时间达到 `activeDeadlineSeconds` 秒，其所有运行中的 Pod 都会被终止，
+并且 Job 的状态更新为 `type: Failed` 及 `reason: DeadlineExceeded`。
 
 <!--
 Note that a Job's `.spec.activeDeadlineSeconds` takes precedence over its `.spec.backoffLimit`. Therefore, a Job that is retrying one or more failed Pods will not deploy additional Pods once it reaches the time limit specified by `activeDeadlineSeconds`, even if the `backoffLimit` is not yet reached.
@@ -546,8 +544,8 @@ Example:
 -->
 注意 Job 的 `.spec.activeDeadlineSeconds` 优先级高于其 `.spec.backoffLimit` 设置。
 因此，如果一个 Job 正在重试一个或多个失效的 Pod，该 Job 一旦到达
-`activeDeadlineSeconds` 所设的时限即不再部署额外的 Pod，即使其重试次数还未
-达到 `backoffLimit` 所设的限制。
+`activeDeadlineSeconds` 所设的时限即不再部署额外的 Pod，
+即使其重试次数还未达到 `backoffLimit` 所设的限制。
 
 例如：
 
@@ -563,7 +561,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
 ```
@@ -574,14 +572,14 @@ Keep in mind that the `restartPolicy` applies to the Pod, and not to the Job its
 That is, the Job termination mechanisms activated with `.spec.activeDeadlineSeconds` and `.spec.backoffLimit` result in a permanent Job failure that requires manual intervention to resolve.
 -->
 注意 Job 规约和 Job 中的
-[Pod 模版规约](/zh-cn/docs/concepts/workloads/pods/init-containers/#detailed-behavior)
+[Pod 模板规约](/zh-cn/docs/concepts/workloads/pods/init-containers/#detailed-behavior)
 都有 `activeDeadlineSeconds` 字段。
 请确保你在合适的层次设置正确的字段。
 
 还要注意的是，`restartPolicy` 对应的是 Pod，而不是 Job 本身：
 一旦 Job 状态变为 `type: Failed`，就不会再发生 Job 重启的动作。
-换言之，由 `.spec.activeDeadlineSeconds` 和 `.spec.backoffLimit` 所触发的 Job 终结机制
-都会导致 Job 永久性的失败，而这类状态都需要手工干预才能解决。
+换言之，由 `.spec.activeDeadlineSeconds` 和 `.spec.backoffLimit` 所触发的 Job
+终结机制都会导致 Job 永久性的失败，而这类状态都需要手工干预才能解决。
 
 <!--
 ## Clean up finished jobs automatically
@@ -596,8 +594,7 @@ cleaned up by CronJobs based on the specified capacity-based cleanup policy.
 -->
 ## 自动清理完成的 Job   {#clean-up-finished-jobs-automatically}
 
-完成的 Job 通常不需要留存在系统中。在系统中一直保留它们会给 API
-服务器带来额外的压力。
+完成的 Job 通常不需要留存在系统中。在系统中一直保留它们会给 API 服务器带来额外的压力。
 如果 Job 由某种更高级别的控制器来管理，例如
 [CronJobs](/zh-cn/docs/concepts/workloads/controllers/cron-jobs/)，
 则 Job 可以被 CronJob 基于特定的根据容量裁定的清理策略清理掉。
@@ -623,8 +620,7 @@ For example:
 自动清理已完成 Job （状态为 `Complete` 或 `Failed`）的另一种方式是使用由
 [TTL 控制器](/zh-cn/docs/concepts/workloads/controllers/ttlafterfinished/)所提供
 的 TTL 机制。
-通过设置 Job 的 `.spec.ttlSecondsAfterFinished` 字段，可以让该控制器清理掉
-已结束的资源。
+通过设置 Job 的 `.spec.ttlSecondsAfterFinished` 字段，可以让该控制器清理掉已结束的资源。
 
 TTL 控制器清理 Job 时，会级联式地删除 Job 对象。
 换言之，它会删除所有依赖的对象，包括 Pod 及 Job 本身。
@@ -643,7 +639,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
 ```
@@ -674,7 +670,7 @@ NoSQL database to scan, and so on.
 
 Job 对象可以用来支持多个 Pod 的可靠的并发执行。
 Job 对象不是设计用来支持相互通信的并行进程的，后者一般在科学计算中应用较多。
-Job 的确能够支持对一组相互独立而又有所关联的 *工作条目* 的并行处理。
+Job 的确能够支持对一组相互独立而又有所关联的**工作条目**的并行处理。
 这类工作条目可能是要发送的电子邮件、要渲染的视频帧、要编解码的文件、NoSQL
 数据库中要扫描的主键范围等等。
 
@@ -685,8 +681,8 @@ considering one set of work items that the user wants to manage together &mdash;
 There are several different patterns for parallel computation, each with strengths and weaknesses.
 The tradeoffs are:
 -->
-在一个复杂系统中，可能存在多个不同的工作条目集合。这里我们仅考虑用户希望一起管理的
-工作条目集合之一 &mdash; *批处理作业*。
+在一个复杂系统中，可能存在多个不同的工作条目集合。
+这里我们仅考虑用户希望一起管理的工作条目集合之一：**批处理作业**。
 
 并行计算的模式有好多种，每种都有自己的强项和弱点。这里要权衡的因素有：
 
@@ -707,8 +703,8 @@ The tradeoffs are:
 - 创建与工作条目相等的 Pod 或者令每个 Pod 可以处理多个工作条目。
   前者通常不需要对现有代码和容器做较大改动；
   后者则更适合工作条目数量较大的场合，原因同上。
-- 有几种技术都会用到工作队列。这意味着需要运行一个队列服务，并修改现有程序或容器
-  使之能够利用该工作队列。
+- 有几种技术都会用到工作队列。这意味着需要运行一个队列服务，
+  并修改现有程序或容器使之能够利用该工作队列。
   与之比较，其他方案在修改现有容器化应用以适应需求方面可能更容易一些。
 
 <!--
@@ -718,12 +714,12 @@ The pattern names are also links to examples and more detailed description.
 下面是对这些权衡的汇总，列 2 到 4 对应上面的权衡比较。
 模式的名称对应了相关示例和更详细描述的链接。
 
-| 模式  | 单个 Job 对象 | Pods 数少于工作条目数？ | 直接使用应用无需修改? |
+| 模式  | 单个 Job 对象 | Pod 数少于工作条目数？ | 直接使用应用无需修改? |
 | ----- |:-------------:|:-----------------------:|:---------------------:|
 | [每工作条目一 Pod 的队列](/zh-cn/docs/tasks/job/coarse-parallel-processing-work-queue/) | ✓ | | 有时 |
 | [Pod 数量可变的队列](/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue/) | ✓ | ✓ |  |
 | [静态任务分派的带索引的 Job](/zh-cn/docs/tasks/job/indexed-parallel-processing-static) | ✓ |  | ✓ |
-| [Job 模版扩展](/zh-cn/docs/tasks/job/parallel-processing-expansion/)  |  |  | ✓ |
+| [Job 模板扩展](/zh-cn/docs/tasks/job/parallel-processing-expansion/)  |  |  | ✓ |
 
 <!--
 When you specify completions with `.spec.completions`, each Pod created by the Job controller
@@ -737,8 +733,8 @@ Here, `W` is the number of work items.
 -->
 当你使用 `.spec.completions` 来设置完成数时，Job 控制器所创建的每个 Pod
 使用完全相同的 [`spec`](https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status)。
-这意味着任务的所有 Pod 都有相同的命令行，都使用相同的镜像和数据卷，甚至连
-环境变量都（几乎）相同。
+这意味着任务的所有 Pod 都有相同的命令行，都使用相同的镜像和数据卷，
+甚至连环境变量都（几乎）相同。
 这些模式是让每个 Pod 执行不同工作的几种不同形式。
 
 下表显示的是每种模式下 `.spec.parallelism` 和 `.spec.completions` 所需要的设置。
@@ -749,7 +745,7 @@ Here, `W` is the number of work items.
 | [每工作条目一 Pod 的队列](/zh-cn/docs/tasks/job/coarse-parallel-processing-work-queue/) | W | 任意值 |
 | [Pod 个数可变的队列](/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue/) | 1 | 任意值 |
 | [静态任务分派的带索引的 Job](/zh-cn/docs/tasks/job/indexed-parallel-processing-static) | W |  | 任意值 |
-| [Job 模版扩展](/zh-cn/docs/tasks/job/parallel-processing-expansion/) | 1 | 应该为 1 |
+| [Job 模板扩展](/zh-cn/docs/tasks/job/parallel-processing-expansion/) | 1 | 应该为 1 |
 
 <!--
 ## Advanced usage
@@ -762,7 +758,6 @@ Here, `W` is the number of work items.
 
 {{< feature-state for_k8s_version="v1.24" state="stable" >}}
 
-
 <!--
 When a Job is created, the Job controller will immediately begin creating Pods
 to satisfy the Job's requirements and will continue to do so until the Job is
@@ -790,9 +785,9 @@ When a Job is resumed from suspension, its `.status.startTime` field will be
 reset to the current time. This means that the `.spec.activeDeadlineSeconds`
 timer will be stopped and reset when a Job is suspended and resumed.
 -->
-当 Job 被从挂起状态恢复执行时，其 `.status.startTime` 字段会被重置为
-当前的时间。这意味着 `.spec.activeDeadlineSeconds` 计时器会在 Job 挂起时
-被停止，并在 Job 恢复执行时复位。
+当 Job 被从挂起状态恢复执行时，其 `.status.startTime` 字段会被重置为当前的时间。
+这意味着 `.spec.activeDeadlineSeconds` 计时器会在 Job 挂起时被停止，
+并在 Job 恢复执行时复位。
 
 <!--
 Remember that suspending a Job will delete all active Pods. When the Job is
@@ -802,8 +797,8 @@ your Pod must handle this signal in this period. This may involve saving
 progress for later or undoing changes. Pods terminated this way will not count
 towards the Job's `completions` count.
 -->
-要记住的是，挂起 Job 会删除其所有活跃的 Pod。当 Job 被挂起时，你的 Pod 会
-收到 SIGTERM 信号而被[终止](/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)。
+要记住的是，挂起 Job 会删除其所有活跃的 Pod。当 Job 被挂起时，
+你的 Pod 会收到 SIGTERM 信号而被[终止](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/#pod-termination)。
 Pod 的体面终止期限会被考虑，不过 Pod 自身也必须在此期限之内处理完信号。
 处理逻辑可能包括保存进度以便将来恢复，或者取消已经做出的变更等等。
 Pod 以这种形式终止时，不会被记入 Job 的 `completions` 计数。
@@ -863,11 +858,10 @@ exist in the Job's status, the Job has never been stopped.
 
 Events are also created when the Job is suspended and resumed:
 -->
-Job 的 "Suspended" 类型的状况在状态值为 "True" 时意味着 Job 正被
-挂起；`lastTransitionTime` 字段可被用来确定 Job 被挂起的时长。
+Job 的 "Suspended" 类型的状况在状态值为 "True" 时意味着 Job 正被挂起；
+`lastTransitionTime` 字段可被用来确定 Job 被挂起的时长。
 如果此状况字段的取值为 "False"，则 Job 之前被挂起且现在在运行。
-如果 "Suspended" 状况在 `status` 字段中不存在，则意味着 Job 从未
-被停止执行。
+如果 "Suspended" 状况在 `status` 字段中不存在，则意味着 Job 从未被停止执行。
 
 当 Job 被挂起和恢复执行时，也会生成事件：
 
@@ -931,7 +925,7 @@ a custom queue controller has no influence on where the pods of a job will actua
 -->
 [suspend](#suspend-a-job) 字段是实现这些语义的第一步。
 suspend 允许自定义队列控制器，以决定工作何时开始；然而，一旦工作被取消暂停，
-自定义队列控制器对 Job 中 Pods 的实际放置位置没有影响。
+自定义队列控制器对 Job 中 Pod 的实际放置位置没有影响。
 
 <!--
 This feature allows updating a Job's scheduling directives before it starts, which gives custom queue
@@ -942,8 +936,8 @@ been unsuspended before.
 此特性允许在 Job 开始之前更新调度指令，从而为定制队列提供影响 Pod
 放置的能力，同时将 Pod 与节点间的分配关系留给 kube-scheduler 决定。
 这一特性仅适用于之前从未被暂停过的、已暂停的 Job。
-控制器能够影响 Pod 放置，同时参考实际
-pod-to-node 分配给 kube-scheduler。这仅适用于从未暂停的 Jobs。
+控制器能够影响 Pod 放置，同时参考实际 pod-to-node 分配给 kube-scheduler。
+这仅适用于从未暂停的 Job。
 
 <!--
 The fields in a Job's pod template that can be updated are node affinity, node selector, 
@@ -951,8 +945,6 @@ tolerations, labels and annotations.
 -->
 Job 的 Pod 模板中可以更新的字段是节点亲和性、节点选择器、容忍、标签和注解。
 
-
-
 <!--
 ### Specifying your own Pod selector
 
@@ -982,9 +974,9 @@ in unpredictable ways too.  Kubernetes will not stop you from making a mistake w
 specifying `.spec.selector`.
 -->
 做这个操作时请务必小心。
-如果你所设定的标签选择算符并不唯一针对 Job 对应的 Pod 集合，甚或该算符还能匹配
-其他无关的 Pod，这些无关的 Job 的 Pod 可能会被删除。
-或者当前 Job 会将另外一些 Pod 当作是完成自身工作的 Pods，
+如果你所设定的标签选择算符并不唯一针对 Job 对应的 Pod 集合，
+甚或该算符还能匹配其他无关的 Pod，这些无关的 Job 的 Pod 可能会被删除。
+或者当前 Job 会将另外一些 Pod 当作是完成自身工作的 Pod，
 又或者两个 Job 之一或者二者同时都拒绝创建 Pod，无法运行至完成状态。
 如果所设置的算符不具有唯一性，其他控制器（如 RC 副本控制器）及其所管理的 Pod
 集合可能会变得行为不可预测。
@@ -1005,9 +997,9 @@ Before deleting it, you make a note of what selector it uses:
 
 假定名为 `old` 的 Job 已经处于运行状态。
 你希望已有的 Pod 继续运行，但你希望 Job 接下来要创建的其他 Pod
-使用一个不同的 Pod 模版，甚至希望 Job 的名字也发生变化。
+使用一个不同的 Pod 模板，甚至希望 Job 的名字也发生变化。
 你无法更新现有的 Job，因为这些字段都是不可更新的。
-因此，你会删除 `old` Job，但 _允许该 Job 的 Pod 集合继续运行_。
+因此，你会删除 `old` Job，但**允许该 Job 的 Pod 集合继续运行**。
 这是通过 `kubectl delete jobs/old --cascade=orphan` 实现的。
 在删除之前，我们先记下该 Job 所使用的选择算符。
 
@@ -1044,8 +1036,8 @@ the selector that the system normally generates for you automatically.
 由于现有 Pod 都具有标签 `controller-uid=a8f3d00d-c6d2-11e5-9f87-42010af00002`，
 它们也会被名为 `new` 的 Job 所控制。
 
-你需要在新 Job 中设置 `manualSelector: true`，因为你并未使用系统通常自动为你
-生成的选择算符。
+你需要在新 Job 中设置 `manualSelector: true`，
+因为你并未使用系统通常自动为你生成的选择算符。
 
 ```yaml
 kind: Job
@@ -1066,8 +1058,8 @@ The new Job itself will have a different uid from `a8f3d00d-c6d2-11e5-9f87-42010
 mismatch.
 -->
 新的 Job 自身会有一个不同于 `a8f3d00d-c6d2-11e5-9f87-42010af00002` 的唯一 ID。
-设置 `manualSelector: true` 是在告诉系统你知道自己在干什么并要求系统允许这种不匹配
-的存在。
+设置 `manualSelector: true`
+是在告诉系统你知道自己在干什么并要求系统允许这种不匹配的存在。
 
 <!--
 ### Job tracking with finalizers
@@ -1140,7 +1132,8 @@ or remove this annotation from Jobs.
 控制器只有在 Pod 被记入 Job 状态后才会移除 Finalizer，允许 Pod 可以被其他控制器或用户删除。
 
 Job 控制器只对新的 Job 使用新的算法。在启用该特性之前创建的 Job 不受影响。
-你可以根据检查 Job 是否含有 `batch.kubernetes.io/job-tracking` 注解，来确定 Job 控制器是否正在使用 Pod Finalizer 追踪 Job。
+你可以根据检查 Job 是否含有 `batch.kubernetes.io/job-tracking` 注解，
+来确定 Job 控制器是否正在使用 Pod Finalizer 追踪 Job。
 你**不**应该给 Job 手动添加或删除该注解。
 
 <!--
@@ -1192,8 +1185,8 @@ complicated to get started with and offers less integration with Kubernetes.
 -->
 ### 单个 Job 启动控制器 Pod    {#single-job-starts-controller-pod}
 
-另一种模式是用唯一的 Job 来创建 Pod，而该 Pod 负责启动其他 Pod，因此扮演了一种
-后启动 Pod 的控制器的角色。
+另一种模式是用唯一的 Job 来创建 Pod，而该 Pod 负责启动其他 Pod，
+因此扮演了一种后启动 Pod 的控制器的角色。
 这种模式的灵活性更高，但是有时候可能会把事情搞得很复杂，很难入门，
 并且与 Kubernetes 的集成度很低。
 
@@ -1230,7 +1223,7 @@ object, but maintains complete control over what Pods are created and how work i
   can use to define a series of Jobs that will run based on a schedule, similar to
   the UNIX tool `cron`.
 -->
-* 了解 [Pods](/zh-cn/docs/concepts/workloads/pods)。
+* 了解 [Pod](/zh-cn/docs/concepts/workloads/pods)。
 * 了解运行 Job 的不同的方式：
   * [使用工作队列进行粗粒度并行处理](/zh-cn/docs/tasks/job/coarse-parallel-processing-work-queue/)
   * [使用工作队列进行精细的并行处理](/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue/)
diff --git a/content/zh-cn/docs/concepts/workloads/controllers/replicaset.md b/content/zh-cn/docs/concepts/workloads/controllers/replicaset.md
index b55efa83455..353baa30ca2 100644
--- a/content/zh-cn/docs/concepts/workloads/controllers/replicaset.md
+++ b/content/zh-cn/docs/concepts/workloads/controllers/replicaset.md
@@ -38,31 +38,30 @@ template.
 ReplicaSet 是通过一组字段来定义的，包括一个用来识别可获得的 Pod
 的集合的选择算符、一个用来标明应该维护的副本个数的数值、一个用来指定应该创建新 Pod
 以满足副本个数条件时要使用的 Pod 模板等等。
-每个 ReplicaSet 都通过根据需要创建和 删除 Pod 以使得副本个数达到期望值，
+每个 ReplicaSet 都通过根据需要创建和删除 Pod 以使得副本个数达到期望值，
 进而实现其存在价值。当 ReplicaSet 需要创建新的 Pod 时，会使用所提供的 Pod 模板。
 
 <!--
-A ReplicaSet is linked to its Pods via the Pods' [metadata.ownerReferences](/docs/concepts/workloads/controllers/garbage-collection/#owners-and-dependents)
+A ReplicaSet is linked to its Pods via the Pods' [metadata.ownerReferences](/docs/concepts/architecture/garbage-collection/#owners-and-dependents)
 field, which specifies what resource the current object is owned by. All Pods acquired by a ReplicaSet have their owning
 ReplicaSet's identifying information within their ownerReferences field. It's through this link that the ReplicaSet
 knows of the state of the Pods it is maintaining and plans accordingly.
 -->
 ReplicaSet 通过 Pod 上的
-[metadata.ownerReferences](/zh-cn/docs/concepts/workloads/controllers/garbage-collection/#owners-and-dependents)
+[metadata.ownerReferences](/zh-cn/docs/concepts/architecture/garbage-collection/#owners-and-dependents)
 字段连接到附属 Pod，该字段给出当前对象的属主资源。
 ReplicaSet 所获得的 Pod 都在其 ownerReferences 字段中包含了属主 ReplicaSet
 的标识信息。正是通过这一连接，ReplicaSet 知道它所维护的 Pod 集合的状态，
 并据此计划其操作行为。
 
 <!--
-A ReplicaSet identifies new Pods to acquire by using its selector. If there is a Pod that has no OwnerReference or the
-OwnerReference is not a {{< glossary_tooltip term_id="controller" >}} and it matches a ReplicaSet's selector, it will be immediately acquired by said
-ReplicaSet.
+A ReplicaSet identifies new Pods to acquire by using its selector. If there is a Pod that has no
+OwnerReference or the OwnerReference is not a {{< glossary_tooltip term_id="controller" >}} and it
+matches a ReplicaSet's selector, it will be immediately acquired by said ReplicaSet.
 -->
 ReplicaSet 使用其选择算符来辨识要获得的 Pod 集合。如果某个 Pod 没有
-OwnerReference 或者其 OwnerReference 不是一个
-{{< glossary_tooltip text="控制器" term_id="controller" >}}，且其匹配到
-某 ReplicaSet 的选择算符，则该 Pod 立即被此 ReplicaSet 获得。
+OwnerReference 或者其 OwnerReference 不是一个{{< glossary_tooltip text="控制器" term_id="controller" >}}，
+且其匹配到某 ReplicaSet 的选择算符，则该 Pod 立即被此 ReplicaSet 获得。
 
 <!--
 ## When to use a ReplicaSet
@@ -81,8 +80,8 @@ use a Deployment instead, and define your application in the spec section.
 ReplicaSet 确保任何时间都有指定数量的 Pod 副本在运行。
 然而，Deployment 是一个更高级的概念，它管理 ReplicaSet，并向 Pod
 提供声明式的更新以及许多其他有用的功能。
-因此，我们建议使用 Deployment 而不是直接使用 ReplicaSet，除非
-你需要自定义更新业务流程或根本不需要更新。
+因此，我们建议使用 Deployment 而不是直接使用 ReplicaSet，
+除非你需要自定义更新业务流程或根本不需要更新。
 
 这实际上意味着，你可能永远不需要操作 ReplicaSet 对象：而是使用
 Deployment，并在 spec 部分定义你的应用。
@@ -169,7 +168,7 @@ Events:
 <!--
 And lastly you can check for the Pods brought up:
 -->
-最后可以查看启动了的 Pods：
+最后可以查看启动了的 Pod 集合：
 
 ```shell
 kubectl get pods
@@ -191,8 +190,8 @@ frontend-wtsmm   1/1     Running   0          6m36s
 You can also verify that the owner reference of these pods is set to the frontend ReplicaSet.
 To do this, get the yaml of one of the Pods running:
 -->
-你也可以查看 Pods 的属主引用被设置为前端的 ReplicaSet。
-要实现这点，可取回运行中的 Pods 之一的 YAML：
+你也可以查看 Pod 的属主引用被设置为前端的 ReplicaSet。
+要实现这点，可取回运行中的某个 Pod 的 YAML：
 
 ```shell
 kubectl get pods frontend-b2zdv -o yaml
@@ -268,7 +267,7 @@ Fetching the Pods:
 新的 Pod 会被该 ReplicaSet 获取，并立即被 ReplicaSet 终止，
 因为它们的存在会使得 ReplicaSet 中 Pod 个数超出其期望值。
 
-取回 Pods：
+取回 Pod：
 
 
 ```shell
@@ -292,7 +291,7 @@ pod2             0/1     Terminating   0          1s
 <!--
 If you create the Pods first:
 -->
-如果你先行创建 Pods：
+如果你先行创建 Pod：
 
 ```shell
 kubectl apply -f https://kubernetes.io/examples/pods/pod-rs.yaml
@@ -334,7 +333,7 @@ pod2             1/1     Running   0          36s
 <!--
 In this manner, a ReplicaSet can own a non-homogenous set of Pods
 -->
-采用这种方式，一个 ReplicaSet 中可以包含异质的 Pods 集合。
+采用这种方式，一个 ReplicaSet 中可以包含异质的 Pod 集合。
 
 <!--
 ## Writing a ReplicaSet manifest
@@ -350,7 +349,7 @@ A ReplicaSet also needs a [`.spec` section](https://git.k8s.io/community/contrib
 ## 编写 ReplicaSet 的清单    {#writing-a-replicaset-manifest}
 
 与所有其他 Kubernetes API 对象一样，ReplicaSet 也需要 `apiVersion`、`kind`、和 `metadata` 字段。
-对于 ReplicaSets 而言，其 `kind` 始终是 ReplicaSet。
+对于 ReplicaSet 而言，其 `kind` 始终是 ReplicaSet。
 
 ReplicaSet 对象的名称必须是合法的
 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
@@ -369,9 +368,9 @@ Be careful not to overlap with the selectors of other controllers, lest they try
 For the template's [restart policy](/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy) field,
 `.spec.template.spec.restartPolicy`, the only allowed value is `Always`, which is the default.
 -->
-### Pod 模版    {#pod-template}
+### Pod 模板    {#pod-template}
 
-`.spec.template` 是一个 [Pod 模版](/zh-cn/docs/concepts/workloads/pods/#pod-templates)，
+`.spec.template` 是一个 [Pod 模板](/zh-cn/docs/concepts/workloads/pods/#pod-templates)，
 要求设置标签。在 `frontend.yaml` 示例中，我们指定了标签 `tier: frontend`。
 注意不要将标签与其他控制器的选择算符重叠，否则那些控制器会尝试收养此 Pod。
 
@@ -396,7 +395,7 @@ be rejected by the API.
 ### Pod 选择算符   {#pod-selector}
 
 `.spec.selector` 字段是一个[标签选择算符](/zh-cn/docs/concepts/overview/working-with-objects/labels/)。
-如前文中[所讨论的](#how-a-replicaset-works)，这些是用来标识要被获取的 Pods
+如前文中[所讨论的](#how-a-replicaset-works)，这些是用来标识要被获取的 Pod
 的标签。在签名的 `frontend.yaml` 示例中，选择算符为：
 
 ```yaml
@@ -409,11 +408,13 @@ matchLabels:
 
 {{< note >}}
 <!--
-For 2 ReplicaSets specifying the same `.spec.selector` but different `.spec.template.metadata.labels` and `.spec.template.spec` fields, each ReplicaSet ignores the Pods created by the other ReplicaSet.
+For 2 ReplicaSets specifying the same `.spec.selector` but different
+`.spec.template.metadata.labels` and `.spec.template.spec` fields, each ReplicaSet ignores the
+Pods created by the other ReplicaSet.
 -->
 对于设置了相同的 `.spec.selector`，但
 `.spec.template.metadata.labels` 和 `.spec.template.spec` 字段不同的两个
-ReplicaSet 而言，每个 ReplicaSet 都会忽略被另一个 ReplicaSet 所创建的 Pods。
+ReplicaSet 而言，每个 ReplicaSet 都会忽略被另一个 ReplicaSet 所创建的 Pod。
 {{< /note >}}
 
 <!--
@@ -427,7 +428,7 @@ If you do not specify `.spec.replicas`, then it defaults to 1.
 ### Replicas
 
 你可以通过设置 `.spec.replicas` 来指定要同时运行的 Pod 个数。
-ReplicaSet 创建、删除 Pods 以与此值匹配。
+ReplicaSet 创建、删除 Pod 以与此值匹配。
 
 如果你没有指定 `.spec.replicas`，那么默认值为 1。
 
@@ -436,19 +437,21 @@ ReplicaSet 创建、删除 Pods 以与此值匹配。
 
 ### Deleting a ReplicaSet and its Pods
 
-To delete a ReplicaSet and all of its Pods, use [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete). The [Garbage collector](/docs/concepts/workloads/controllers/garbage-collection/) automatically deletes all of the dependent Pods by default.
+To delete a ReplicaSet and all of its Pods, use
+[`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete). The
+[Garbage collector](/docs/concepts/architecture/garbage-collection/) automatically deletes all of
+the dependent Pods by default.
 
-When using the REST API or the `client-go` library, you must set `propagationPolicy` to `Background` or `Foreground` in
-the -d option.
-For example:
+When using the REST API or the `client-go` library, you must set `propagationPolicy` to
+`Background` or `Foreground` in the `-d` option. For example:
 -->
-## 使用 ReplicaSets    {#working-with-replicasets}
+## 使用 ReplicaSet    {#working-with-replicasets}
 
 ### 删除 ReplicaSet 和它的 Pod    {#deleting-a-replicaset-and-its-pods}
 
 要删除 ReplicaSet 和它的所有 Pod，使用
 [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete) 命令。
-默认情况下，[垃圾收集器](/zh-cn/docs/concepts/workloads/controllers/garbage-collection/)
+默认情况下，[垃圾收集器](/zh-cn/docs/concepts/architecture/garbage-collection/)
 自动删除所有依赖的 Pod。
 
 当使用 REST API 或 `client-go` 库时，你必须在 `-d` 选项中将 `propagationPolicy`
@@ -464,13 +467,15 @@ curl -X DELETE  'localhost:8080/apis/apps/v1/namespaces/default/replicasets/fron
 <!--
 ### Deleting just a ReplicaSet
 
-You can delete a ReplicaSet without affecting any of its Pods using [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete) with the `--cascade=orphan` option.
+You can delete a ReplicaSet without affecting any of its Pods using
+[`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete)
+with the `--cascade=orphan` option.
 When using the REST API or the `client-go` library, you must set `propagationPolicy` to `Orphan`.
 For example:
 -->
 ### 只删除 ReplicaSet    {#deleting-just-a-replicaset}
 
-你可以只删除 ReplicaSet 而不影响它的 Pods，方法是使用
+你可以只删除 ReplicaSet 而不影响它的各个 Pod，方法是使用
 [`kubectl delete`](/docs/reference/generated/kubectl/kubectl-commands#delete)
 命令并设置 `--cascade=orphan` 选项。
 
@@ -489,7 +494,8 @@ Once the original is deleted, you can create a new ReplicaSet to replace it.  As
 as the old and new `.spec.selector` are the same, then the new one will adopt the old Pods.
 However, it will not make any effort to make existing Pods match a new, different pod template.
 To update Pods to a new spec in a controlled way, use a
-[Deployment](/docs/concepts/workloads/controllers/deployment/#creating-a-deployment), as ReplicaSets do not support a rolling update directly.
+[Deployment](/docs/concepts/workloads/controllers/deployment/#creating-a-deployment), as
+ReplicaSets do not support a rolling update directly.
 -->
 一旦删除了原来的 ReplicaSet，就可以创建一个新的来替换它。
 由于新旧 ReplicaSet 的 `.spec.selector` 是相同的，新的 ReplicaSet 将接管老的 Pod。
@@ -517,30 +523,29 @@ assuming that the number of replicas is not also changed).
 A ReplicaSet can be easily scaled up or down by simply updating the `.spec.replicas` field. The ReplicaSet controller
 ensures that a desired number of Pods with a matching label selector are available and operational.
 -->
-### 缩放 RepliaSet    {#scaling-a-replicaset}
+### 扩缩 RepliaSet    {#scaling-a-replicaset}
 
-通过更新 `.spec.replicas` 字段，ReplicaSet 可以被轻松的进行缩放。ReplicaSet
+通过更新 `.spec.replicas` 字段，ReplicaSet 可以被轻松地进行扩缩。ReplicaSet
 控制器能确保匹配标签选择器的数量的 Pod 是可用的和可操作的。
 
 <!--
 When scaling down, the ReplicaSet controller chooses which pods to delete by sorting the available pods to
 prioritize scaling down pods based on the following general algorithm:
 -->
-在降低集合规模时，ReplicaSet 控制器通过对可用的 Pods 进行排序来优先选择
-要被删除的 Pods。其一般性算法如下：
+在降低集合规模时，ReplicaSet 控制器通过对可用的所有 Pod 进行排序来优先选择要被删除的那些 Pod。
+其一般性算法如下：
 
 <!--
- 1. Pending (and unschedulable) pods are scaled down first
- 2. If `controller.kubernetes.io/pod-deletion-cost` annotation is set, then
-    the pod with the lower value will come first.
- 3. Pods on nodes with more replicas come before pods on nodes with fewer replicas.
- 4. If the pods' creation times differ, the pod that was created more recently
-    comes before the older pod (the creation times are bucketed on an integer log scale
-    when the `LogarithmicScaleDown` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
+1. Pending (and unschedulable) pods are scaled down first
+1. If `controller.kubernetes.io/pod-deletion-cost` annotation is set, then
+   the pod with the lower value will come first.
+1. Pods on nodes with more replicas come before pods on nodes with fewer replicas.
+1. If the pods' creation times differ, the pod that was created more recently
+   comes before the older pod (the creation times are bucketed on an integer log scale
+   when the `LogarithmicScaleDown` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
 -->
-1. 首先选择剔除悬决（Pending，且不可调度）的 Pods
-2. 如果设置了 `controller.kubernetes.io/pod-deletion-cost` 注解，则注解值
-   较小的优先被裁减掉
+1. 首先选择剔除悬决（Pending，且不可调度）的各个 Pod
+2. 如果设置了 `controller.kubernetes.io/pod-deletion-cost` 注解，则注解值较小的优先被裁减掉
 3. 所处节点上副本个数较多的 Pod 优先于所处节点上副本较少者
 4. 如果 Pod 的创建时间不同，最近创建的 Pod 优先于早前创建的 Pod 被裁减。
    （当 `LogarithmicScaleDown` 这一[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)
@@ -560,7 +565,7 @@ Using the [`controller.kubernetes.io/pod-deletion-cost`](/docs/reference/labels-
 annotation, users can set a preference regarding which pods to remove first when downscaling a ReplicaSet.
 -->
 通过使用 [`controller.kubernetes.io/pod-deletion-cost`](/zh-cn/docs/reference/labels-annotations-taints/#pod-deletion-cost)
-注解，用户可以对 ReplicaSet 缩容时要先删除哪些 Pods 设置偏好。
+注解，用户可以对 ReplicaSet 缩容时要先删除哪些 Pod 设置偏好。
 
 <!--
 The annotation should be set on the pod, the range is [-2147483647, 2147483647]. It represents the cost of
@@ -568,14 +573,14 @@ deleting a pod compared to other pods belonging to the same ReplicaSet. Pods wit
 cost are preferred to be deleted before pods with higher deletion cost. 
 -->
 此注解要设置到 Pod 上，取值范围为 [-2147483647, 2147483647]。
-所代表的的是删除同一 ReplicaSet 中其他 Pod 相比较而言的开销。
-删除开销较小的 Pods 比删除开销较高的 Pods 更容易被删除。
+所代表的是删除同一 ReplicaSet 中其他 Pod 相比较而言的开销。
+删除开销较小的 Pod 比删除开销较高的 Pod 更容易被删除。
 
 <!--
 The implicit value for this annotation for pods that don't set it is 0; negative values are permitted.
 Invalid values will be rejected by the API server.
 -->
-Pods 如果未设置此注解，则隐含的设置值为 0。负值也是可接受的。
+Pod 如果未设置此注解，则隐含的设置值为 0。负值也是可接受的。
 如果注解值非法，API 服务器会拒绝对应的 Pod。
 
 <!--
@@ -609,12 +614,11 @@ the down scaling; for example, the driver pod of a Spark deployment.
 -->
 #### 使用场景示例    {#example-use-case}
 
-同一应用的不同 Pods 可能其利用率是不同的。在对应用执行缩容操作时，可能
-希望移除利用率较低的 Pods。为了避免频繁更新 Pods，应用应该在执行缩容
-操作之前更新一次 `controller.kubernetes.io/pod-deletion-cost` 注解值
+同一应用的不同 Pod 可能其利用率是不同的。在对应用执行缩容操作时，
+可能希望移除利用率较低的 Pod。为了避免频繁更新 Pod，应用应该在执行缩容操作之前更新一次
+`controller.kubernetes.io/pod-deletion-cost` 注解值
 （将注解值设置为一个与其 Pod 利用率对应的值）。
-如果应用自身控制器缩容操作时（例如 Spark 部署的驱动 Pod），这种机制
-是可以起作用的。
+如果应用自身控制器缩容操作时（例如 Spark 部署的驱动 Pod），这种机制是可以起作用的。
 
 <!--
 ### ReplicaSet as a Horizontal Pod Autoscaler Target
@@ -624,10 +628,10 @@ A ReplicaSet can also be a target for
 a ReplicaSet can be auto-scaled by an HPA. Here is an example HPA targeting
 the ReplicaSet we created in the previous example.
 -->
-### ReplicaSet 作为水平的 Pod 自动缩放器目标    {#replicaset-as-a-horizontal-pod-autoscaler-target}
+### ReplicaSet 作为水平的 Pod 自动扩缩器目标    {#replicaset-as-a-horizontal-pod-autoscaler-target}
 
-ReplicaSet 也可以作为[水平的 Pod 缩放器 (HPA)](/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale/)
-的目标。也就是说，ReplicaSet 可以被 HPA 自动缩放。
+ReplicaSet 也可以作为[水平的 Pod 扩缩器 (HPA)](/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale/)
+的目标。也就是说，ReplicaSet 可以被 HPA 自动扩缩。
 以下是 HPA 以我们在前一个示例中创建的副本集为目标的示例。
 
 {{< codenew file="controllers/hpa-rs.yaml" >}}
@@ -638,7 +642,7 @@ create the defined HPA that autoscales the target ReplicaSet depending on the CP
 of the replicated Pods.
 -->
 将这个列表保存到 `hpa-rs.yaml` 并提交到 Kubernetes 集群，就能创建它所定义的
-HPA，进而就能根据复制的 Pod 的 CPU 利用率对目标 ReplicaSet进行自动缩放。
+HPA，进而就能根据复制的 Pod 的 CPU 利用率对目标 ReplicaSet 进行自动扩缩。
 
 ```shell
 kubectl apply -f https://k8s.io/examples/controllers/hpa-rs.yaml
@@ -648,7 +652,7 @@ kubectl apply -f https://k8s.io/examples/controllers/hpa-rs.yaml
 Alternatively, you can use the `kubectl autoscale` command to accomplish the same
 (and it's easier!)
 -->
-或者，可以使用 `kubectl autoscale` 命令完成相同的操作。（而且它更简单！）
+或者，可以使用 `kubectl autoscale` 命令完成相同的操作（而且它更简单！）
 
 ```shell
 kubectl autoscale rs frontend --max=10 --min=3 --cpu-percent=50
@@ -671,7 +675,7 @@ As such, it is recommended to use Deployments when you want ReplicaSets.
 ### Deployment（推荐）    {#deployment-recommended}
 
 [`Deployment`](/zh-cn/docs/concepts/workloads/controllers/deployment/) 是一个可以拥有
-ReplicaSet 并使用声明式方式在服务器端完成对 Pods 滚动更新的对象。
+ReplicaSet 并使用声明式方式在服务器端完成对 Pod 滚动更新的对象。
 尽管 ReplicaSet 可以独立使用，目前它们的主要用途是提供给 Deployment 作为编排
 Pod 创建、删除和更新的一种机制。当使用 Deployment 时，你不必关心如何管理它所创建的
 ReplicaSet，Deployment 拥有并管理其 ReplicaSet。
@@ -680,7 +684,12 @@ ReplicaSet，Deployment 拥有并管理其 ReplicaSet。
 <!--
 ### Bare Pods
 
-Unlike the case where a user directly created Pods, a ReplicaSet replaces Pods that are deleted or terminated for any reason, such as in the case of node failure or disruptive node maintenance, such as a kernel upgrade. For this reason, we recommend that you use a ReplicaSet even if your application requires only a single Pod. Think of it similarly to a process supervisor, only it supervises multiple Pods across multiple nodes instead of individual processes on a single node. A ReplicaSet delegates local container restarts to some agent on the node such as kubelet.
+Unlike the case where a user directly created Pods, a ReplicaSet replaces Pods that are deleted or
+terminated for any reason, such as in the case of node failure or disruptive node maintenance,
+such as a kernel upgrade. For this reason, we recommend that you use a ReplicaSet even if your
+application requires only a single Pod. Think of it similarly to a process supervisor, only it
+supervises multiple Pods across multiple nodes instead of individual processes on a single node. A
+ReplicaSet delegates local container restarts to some agent on the node such as Kubelet.
 -->
 ### 裸 Pod    {#bare-pods}
 
@@ -694,8 +703,8 @@ ReplicaSet 将本地容器重启的任务委托给了节点上的某个代理（
 <!--
 ### Job
 
-Use a [`Job`](/docs/concepts/workloads/controllers/job/) instead of a ReplicaSet for Pods that are expected to terminate on their own
-(that is, batch jobs).
+Use a [`Job`](/docs/concepts/workloads/controllers/job/) instead of a ReplicaSet for Pods that are
+expected to terminate on their own (that is, batch jobs).
 -->
 ### Job
 
@@ -721,7 +730,7 @@ safe to terminate when the machine is otherwise ready to be rebooted/shutdown.
 ### ReplicationController
 
 <!--
-ReplicaSets are the successors to [_ReplicationControllers_](/docs/concepts/workloads/controllers/replicationcontroller/).
+ReplicaSets are the successors to [ReplicationControllers](/docs/concepts/workloads/controllers/replicationcontroller/).
 The two serve the same purpose, and behave similarly, except that a ReplicationController does not support set-based
 selector requirements as described in the [labels user guide](/docs/concepts/overview/working-with-objects/labels/#label-selectors).
 As such, ReplicaSets are preferred over ReplicationControllers
@@ -754,4 +763,3 @@ ReplicaSet 是 [ReplicationController](/zh-cn/docs/concepts/workloads/controller
   对象定义理解关于该资源的 API。
 * 阅读 [Pod 干扰预算（Disruption Budget）](/zh-cn/docs/concepts/workloads/pods/disruptions/)，
   了解如何在干扰下运行高度可用的应用。
-
diff --git a/content/zh-cn/docs/concepts/workloads/controllers/replicationcontroller.md b/content/zh-cn/docs/concepts/workloads/controllers/replicationcontroller.md
index 851dafd0a00..0d9f4b71425 100644
--- a/content/zh-cn/docs/concepts/workloads/controllers/replicationcontroller.md
+++ b/content/zh-cn/docs/concepts/workloads/controllers/replicationcontroller.md
@@ -26,10 +26,10 @@ weight: 90
 
 <!-- overview -->
 
+{{< note >}}
 <!--
 A [`Deployment`](/docs/concepts/workloads/controllers/deployment/) that configures a [`ReplicaSet`](/docs/concepts/workloads/controllers/replicaset/) is now the recommended way to set up replication.
 -->
-{{< note >}}
 现在推荐使用配置 [`ReplicaSet`](/zh-cn/docs/concepts/workloads/controllers/replicaset/) 的
 [`Deployment`](/zh-cn/docs/concepts/workloads/controllers/deployment/) 来建立副本管理机制。
 {{< /note >}}
@@ -56,7 +56,7 @@ only a single pod. A ReplicationController is similar to a process supervisor,
 but instead of supervising individual processes on a single node, the ReplicationController supervises multiple pods
 across multiple nodes.
 -->
-## ReplicationController 如何工作
+## ReplicationController 如何工作   {#how-a-replicationcontroller-works}
 
 当 Pod 数量过多时，ReplicationController 会终止多余的 Pod。当 Pod 数量太少时，ReplicationController 将会启动新的 Pod。
 与手动创建的 Pod 不同，由 ReplicationController 创建的 Pod 在失败、被删除或被终止时会被自动替换。
@@ -82,7 +82,7 @@ service, such as web servers.
 
 This example ReplicationController config runs three copies of the nginx web server.
 -->
-## 运行一个示例 ReplicationController
+## 运行一个示例 ReplicationController   {#running-an-example-replicationcontroller}
 
 这个示例 ReplicationController 配置运行 nginx Web 服务器的三个副本。
 
@@ -187,14 +187,18 @@ specifies an expression with the name from each pod in the returned list.
 ## Writing a ReplicationController Spec
 
 As with all other Kubernetes config, a ReplicationController needs `apiVersion`, `kind`, and `metadata` fields.
+The name of a ReplicationController object must be a valid
+[DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 For general information about working with configuration files, see [object management](/docs/concepts/overview/working-with-objects/object-management/).
 
 A ReplicationController also needs a [`.spec` section](https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status).
 -->
-## 编写一个 ReplicationController 规约
+## 编写一个 ReplicationController 规约   {#writing-a-replicationcontroller-spec}
 
 与所有其它 Kubernetes 配置一样，ReplicationController 需要 `apiVersion`、
 `kind` 和 `metadata` 字段。
+ReplicationController 对象的名称必须是有效的
+[DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
 有关使用配置文件的常规信息，参考
 [对象管理](/zh-cn/docs/concepts/overview/working-with-objects/object-management/)。
 
@@ -205,14 +209,14 @@ ReplicationController 也需要一个 [`.spec` 部分](https://git.k8s.io/commun
 
 The `.spec.template` is the only required field of the `.spec`.
 
-The `.spec.template` is a [pod template](/docs/concepts/workloads/pods/pod-overview/#pod-templates). It has exactly the same schema as a [pod](/docs/concepts/workloads/pods/pod/), except it is nested and does not have an `apiVersion` or `kind`.
+The `.spec.template` is a [pod template](/docs/concepts/workloads/pods/#pod-templates). It has exactly the same schema as a {{< glossary_tooltip text="Pod" term_id="pod" >}}, except it is nested and does not have an `apiVersion` or `kind`.
 -->
 ### Pod 模板  {#pod-template}
 
 `.spec.template` 是 `.spec` 的唯一必需字段。
 
 `.spec.template` 是一个 [Pod 模板](/zh-cn/docs/concepts/workloads/pods/#pod-templates)。
-它的模式与 [Pod](/zh-cn/docs/concepts/workloads/pods/) 完全相同，只是它是嵌套的，没有 `apiVersion` 或 `kind` 属性。
+它的模式与 {{< glossary_tooltip text="Pod" term_id="pod" >}} 完全相同，只是它是嵌套的，没有 `apiVersion` 或 `kind` 属性。
 
 <!--
 In addition to required fields for a Pod, a pod template in a ReplicationController must specify appropriate
@@ -221,7 +225,7 @@ labels and an appropriate restart policy. For labels, make sure not to overlap w
 Only a [`.spec.template.spec.restartPolicy`](/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy) equal to `Always` is allowed, which is the default if not specified.
 
 For local container restarts, ReplicationControllers delegate to an agent on the node,
-for example the [Kubelet](/docs/admin/kubelet/) or Docker.
+for example the [Kubelet](/docs/reference/command-line-tools-reference/kubelet/) or Docker.
 -->
 除了 Pod 所需的字段外，ReplicationController 中的 Pod 模板必须指定适当的标签和适当的重新启动策略。
 对于标签，请确保不与其他控制器重叠。参考 [Pod 选择算符](#pod-selector)。
@@ -368,7 +372,7 @@ Pods may be removed from a ReplicationController's target set by changing their
 <!--
 ## Common usage patterns
 -->
-## 常见的使用模式
+## 常见的使用模式   {#common-usage-patterns}
 
 <!--
 ### Rescheduling
@@ -393,7 +397,7 @@ The ReplicationController enables scaling the number of replicas up or down, eit
 
 The ReplicationController is designed to facilitate rolling updates to a service by replacing pods one-by-one.
 
-As explained in [#1353](http://issue.k8s.io/1353), the recommended approach is to create a new ReplicationController with 1 replica, scale the new (+1) and old (-1) controllers one by one, and then delete the old controller after it reaches 0 replicas. This predictably updates the set of pods regardless of unexpected failures.
+As explained in [#1353](https://issue.k8s.io/1353), the recommended approach is to create a new ReplicationController with 1 replica, scale the new (+1) and old (-1) controllers one by one, and then delete the old controller after it reaches 0 replicas. This predictably updates the set of pods regardless of unexpected failures.
 -->
 ### 滚动更新 {#rolling-updates}
 
@@ -407,17 +411,11 @@ ReplicationController 的设计目的是通过逐个替换 Pod 以方便滚动
 Ideally, the rolling update controller would take application readiness into account, and would ensure that a sufficient number of pods were productively serving at any given time.
 
 The two ReplicationControllers would need to create pods with at least one differentiating label, such as the image tag of the primary container of the pod, since it is typically image updates that motivate rolling updates.
-
-Rolling update is implemented in the client tool
-[`kubectl rolling-update`](/docs/reference/generated/kubectl/kubectl-commands#rolling-update). Visit [`kubectl rolling-update` task](/docs/tasks/run-application/rolling-update-replication-controller/) for more concrete examples.
 -->
 理想情况下，滚动更新控制器将考虑应用程序的就绪情况，并确保在任何给定时间都有足够数量的 Pod 有效地提供服务。
 
 这两个 ReplicationController 将需要创建至少具有一个不同标签的 Pod，比如 Pod 主要容器的镜像标签，因为通常是镜像更新触发滚动更新。
 
-滚动更新是在客户端工具 [`kubectl rolling-update`](/docs/reference/generated/kubectl/kubectl-commands#rolling-update)
-中实现的。访问 [`kubectl rolling-update` 任务](/zh-cn/docs/tasks/run-application/rolling-update-replication-controller/)以获得更多的具体示例。
-
 <!--
 ### Multiple release tracks
 
@@ -462,7 +460,7 @@ A ReplicationController will never terminate on its own, but it isn't expected t
 
 Pods created by a ReplicationController are intended to be fungible and semantically identical, though their configurations may become heterogeneous over time. This is an obvious fit for replicated stateless servers, but ReplicationControllers can also be used to maintain availability of master-elected, sharded, and worker-pool applications. Such applications should use dynamic work assignment mechanisms, such as the [RabbitMQ work queues](https://www.rabbitmq.com/tutorials/tutorial-two-python.html), as opposed to static/one-time customization of the configuration of each pod, which is considered an anti-pattern. Any pod customization performed, such as vertical auto-sizing of resources (for example, cpu or memory), should be performed by another online controller process, not unlike the ReplicationController itself.
 -->
-## 编写多副本的应用
+## 编写多副本的应用   {#writing-programs-for-replication}
 
 由 ReplicationController 创建的 Pod 是可替换的，语义上是相同的，
 尽管随着时间的推移，它们的配置可能会变得异构。
@@ -477,9 +475,9 @@ Pods created by a ReplicationController are intended to be fungible and semantic
 <!--
 ## Responsibilities of the ReplicationController
 
-The ReplicationController ensures that the desired number of pods matches its label selector and are operational. Currently, only terminated pods are excluded from its count. In the future, [readiness](http://issue.k8s.io/620) and other information available from the system may be taken into account, we may add more controls over the replacement policy, and we plan to emit events that could be used by external clients to implement arbitrarily sophisticated replacement and/or scale-down policies.
+The ReplicationController ensures that the desired number of pods matches its label selector and are operational. Currently, only terminated pods are excluded from its count. In the future, [readiness](https://issue.k8s.io/620) and other information available from the system may be taken into account, we may add more controls over the replacement policy, and we plan to emit events that could be used by external clients to implement arbitrarily sophisticated replacement and/or scale-down policies.
 -->
-## ReplicationController 的职责
+## ReplicationController 的职责   {#responsibilities-of-the-replicationcontroller}
 
 ReplicationController 仅确保所需的 Pod 数量与其标签选择算符匹配，并且是可操作的。
 目前，它的计数中只排除终止的 Pod。
@@ -488,7 +486,7 @@ ReplicationController 仅确保所需的 Pod 数量与其标签选择算符匹
 我们计划发出事件，这些事件可以被外部客户端用来实现任意复杂的替换和/或缩减策略。
 
 <!--
-The ReplicationController is forever constrained to this narrow responsibility. It itself will not perform readiness nor liveness probes. Rather than performing auto-scaling, it is intended to be controlled by an external auto-scaler (as discussed in [#492](http://issue.k8s.io/492)), which would change its `replicas` field. We will not add scheduling policies (for example, [spreading](http://issue.k8s.io/367#issuecomment-48428019)) to the ReplicationController. Nor should it verify that the pods controlled match the currently specified template, as that would obstruct auto-sizing and other automated processes. Similarly, completion deadlines, ordering dependencies, configuration expansion, and other features belong elsewhere. We even plan to factor out the mechanism for bulk pod creation ([#170](http://issue.k8s.io/170)).
+The ReplicationController is forever constrained to this narrow responsibility. It itself will not perform readiness nor liveness probes. Rather than performing auto-scaling, it is intended to be controlled by an external auto-scaler (as discussed in [#492](https://issue.k8s.io/492)), which would change its `replicas` field. We will not add scheduling policies (for example, [spreading](https://issue.k8s.io/367#issuecomment-48428019)) to the ReplicationController. Nor should it verify that the pods controlled match the currently specified template, as that would obstruct auto-sizing and other automated processes. Similarly, completion deadlines, ordering dependencies, configuration expansion, and other features belong elsewhere. We even plan to factor out the mechanism for bulk pod creation ([#170](https://issue.k8s.io/170)).
 -->
 ReplicationController 永远被限制在这个狭隘的职责范围内。
 它本身既不执行就绪态探测，也不执行活跃性探测。
@@ -501,7 +499,7 @@ ReplicationController 永远被限制在这个狭隘的职责范围内。
 我们甚至计划考虑批量创建 Pod 的机制（查阅 [#170](https://issue.k8s.io/170)）。
 
 <!--
-The ReplicationController is intended to be a composable building-block primitive. We expect higher-level APIs and/or tools to be built on top of it and other complementary primitives for user convenience in the future. The "macro" operations currently supported by kubectl (run, scale, rolling-update) are proof-of-concept examples of this. For instance, we could imagine something like [Asgard](https://netflixtechblog.com/asgard-web-based-cloud-management-and-deployment-2c9fc4e4d3a1) managing ReplicationControllers, auto-scalers, services, scheduling policies, canaries, etc.
+The ReplicationController is intended to be a composable building-block primitive. We expect higher-level APIs and/or tools to be built on top of it and other complementary primitives for user convenience in the future. The "macro" operations currently supported by kubectl (run, scale) are proof-of-concept examples of this. For instance, we could imagine something like [Asgard](https://netflixtechblog.com/asgard-web-based-cloud-management-and-deployment-2c9fc4e4d3a1) managing ReplicationControllers, auto-scalers, services, scheduling policies, canaries, etc.
 -->
 ReplicationController 旨在成为可组合的构建基元。
 我们希望在它和其他补充原语的基础上构建更高级别的 API 或者工具，以便于将来的用户使用。
@@ -516,7 +514,7 @@ Replication controller is a top-level resource in the Kubernetes REST API. More
 API object can be found at:
 [ReplicationController API object](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#replicationcontroller-v1-core).
 -->
-## API 对象
+## API 对象   {#api-object}
 
 在 Kubernetes REST API 中 Replication controller 是顶级资源。
 更多关于 API 对象的详细信息可以在
@@ -524,13 +522,14 @@ API object can be found at:
 
 <!--
 ## Alternatives to ReplicationController
+
 ### ReplicaSet
 
 [`ReplicaSet`](/docs/concepts/workloads/controllers/replicaset/) is the next-generation ReplicationController that supports the new [set-based label selector](/docs/concepts/overview/working-with-objects/labels/#set-based-requirement).
-It’s mainly used by [Deployment](/docs/concepts/workloads/controllers/deployment/) as a mechanism to orchestrate Pod creation, deletion and updates.
-Note that we recommend using Deployments instead of directly using Replica Sets, unless you require custom update orchestration or don’t require updates at all.
+It's mainly used by [Deployment](/docs/concepts/workloads/controllers/deployment/) as a mechanism to orchestrate pod creation, deletion and updates.
+Note that we recommend using Deployments instead of directly using Replica Sets, unless you require custom update orchestration or don't require updates at all.
 -->
-## ReplicationController 的替代方案
+## ReplicationController 的替代方案   {#alternatives-to-replicationcontroller}
 
 ### ReplicaSet
 
@@ -569,7 +568,7 @@ ReplicationController 将本地容器重启委托给节点上的某个代理(例
 <!--
 ### Job
 
-Use a [`Job`](/docs/concepts/jobs/run-to-completion-finite-workloads/) instead of a ReplicationController for Pods that are expected to terminate on their own
+Use a [`Job`](/docs/concepts/workloads/controllers/job/) instead of a ReplicationController for pods that are expected to terminate on their own
 (that is, batch jobs).
 -->
 ### Job
diff --git a/content/zh-cn/docs/concepts/workloads/controllers/statefulset.md b/content/zh-cn/docs/concepts/workloads/controllers/statefulset.md
index 8897131ba1d..7bc7f7d1458 100644
--- a/content/zh-cn/docs/concepts/workloads/controllers/statefulset.md
+++ b/content/zh-cn/docs/concepts/workloads/controllers/statefulset.md
@@ -1,5 +1,5 @@
 ---
-title: StatefulSets
+title: StatefulSet
 content_type: concept
 weight: 30
 ---
@@ -7,7 +7,7 @@ weight: 30
 <!--
 title: StatefulSets
 content_type: concept
-weight: 40
+weight: 30
 -->
 
 <!-- overview -->
@@ -27,9 +27,9 @@ StatefulSet 是用来管理有状态应用的工作负载 API 对象。
 StatefulSets are valuable for applications that require one or more of the
 following.
 -->
-## 使用 StatefulSets   {#using-statefulsets}
+## 使用 StatefulSet   {#using-statefulsets}
 
-StatefulSets 对于需要满足以下一个或多个需求的应用程序很有价值：
+StatefulSet 对于需要满足以下一个或多个需求的应用程序很有价值：
 
 <!--
 * Stable, unique network identifiers.
@@ -39,7 +39,7 @@ StatefulSets 对于需要满足以下一个或多个需求的应用程序很有
 -->
 * 稳定的、唯一的网络标识符。
 * 稳定的、持久的存储。
-* 有序的、优雅的部署和缩放。
+* 有序的、优雅的部署和扩缩。
 * 有序的、自动的滚动更新。
 
 <!--
@@ -51,8 +51,8 @@ that provides a set of stateless replicas.
 [ReplicaSet](/docs/concepts/workloads/controllers/replicaset/) may be better suited to your stateless needs.
 -->
 在上面描述中，“稳定的”意味着 Pod 调度或重调度的整个过程是有持久性的。
-如果应用程序不需要任何稳定的标识符或有序的部署、删除或伸缩，则应该使用
-由一组无状态的副本控制器提供的工作负载来部署应用程序，比如
+如果应用程序不需要任何稳定的标识符或有序的部署、删除或扩缩，
+则应该使用由一组无状态的副本控制器提供的工作负载来部署应用程序，比如
 [Deployment](/zh-cn/docs/concepts/workloads/controllers/deployment/) 或者
 [ReplicaSet](/zh-cn/docs/concepts/workloads/controllers/replicaset/)
 可能更适用于你的无状态应用部署需要。
@@ -75,13 +75,13 @@ that provides a set of stateless replicas.
 * 给定 Pod 的存储必须由
   [PersistentVolume 驱动](https://github.com/kubernetes/examples/tree/master/staging/persistent-volume-provisioning/README.md)
   基于所请求的 `storage class` 来提供，或者由管理员预先提供。
-* 删除或者收缩 StatefulSet 并*不会*删除它关联的存储卷。
+* 删除或者扩缩 StatefulSet 并**不会**删除它关联的存储卷。
   这样做是为了保证数据安全，它通常比自动清除 StatefulSet 所有相关的资源更有价值。
 * StatefulSet 当前需要[无头服务](/zh-cn/docs/concepts/services-networking/service/#headless-services)
   来负责 Pod 的网络标识。你需要负责创建此服务。
-* 当删除 StatefulSets 时，StatefulSet 不提供任何终止 Pod 的保证。
-  为了实现 StatefulSet 中的 Pod 可以有序地且体面地终止，可以在删除之前将 StatefulSet
-  缩放为 0。
+* 当删除一个 StatefulSet 时，该 StatefulSet 不提供任何终止 Pod 的保证。
+  为了实现 StatefulSet 中的 Pod 可以有序且体面地终止，可以在删除之前将 StatefulSet
+  缩容到 0。
 * 在默认 [Pod 管理策略](#pod-management-policies)(`OrderedReady`) 时使用
   [滚动更新](#rolling-updates)，可能进入需要[人工干预](#forced-rollback)
   才能修复的损坏状态。
@@ -176,14 +176,14 @@ You must set the `.spec.selector` field of a StatefulSet to match the labels of
 -->
 你必须设置 StatefulSet 的 `.spec.selector` 字段，使之匹配其在
 `.spec.template.metadata.labels` 中设置的标签。
-未指定匹配的 Pod 选择器将在创建 StatefulSet 期间导致验证错误。
+未指定匹配的 Pod 选择算符将在创建 StatefulSet 期间导致验证错误。
 
 <!--
 ### Volume Claim Templates
 
 You can set the  `.spec.volumeClaimTemplates` which can provide stable storage using [PersistentVolumes](/docs/concepts/storage/persistent-volumes/) provisioned by a PersistentVolume Provisioner.
 -->
-### 卷申领模版  {#volume-claim-templates}
+### 卷申领模板  {#volume-claim-templates}
 
 你可以设置 `.spec.volumeClaimTemplates`，
 它可以使用 PersistentVolume 制备程序所准备的
@@ -219,7 +219,7 @@ regardless of which node it's (re)scheduled on.
 ## Pod 标识   {#pod-identity}
 
 StatefulSet Pod 具有唯一的标识，该标识包括顺序标识、稳定的网络标识和稳定的存储。
-该标识和 Pod 是绑定的，不管它被调度在哪个节点上。
+该标识和 Pod 是绑定的，与该 Pod 调度到哪个节点上无关。
 
 <!--
 ### Ordinal Index
@@ -229,8 +229,8 @@ assigned an integer ordinal, from 0 up through N-1, that is unique over the Set.
 -->
 ### 有序索引   {#ordinal-index}
 
-对于具有 N 个副本的 StatefulSet，StatefulSet 中的每个 Pod 将被分配一个整数序号，
-从 0 到 N-1，该序号在 StatefulSet 上是唯一的。
+对于具有 N 个副本的 StatefulSet，该 StatefulSet 中的每个 Pod 将被分配一个从 0 到 N-1
+的整数序号，该序号在此 StatefulSet 上是唯一的。
 
 <!--
 ### Stable Network ID
@@ -254,7 +254,7 @@ StatefulSet 中的每个 Pod 根据 StatefulSet 的名称和 Pod 的序号派生
 上例将会创建三个名称分别为 `web-0、web-1、web-2` 的 Pod。
 StatefulSet 可以使用 [无头服务](/zh-cn/docs/concepts/services-networking/service/#headless-services)
 控制它的 Pod 的网络域。管理域的这个服务的格式为：
-`$(服务名称).$(命名空间).svc.cluster.local`，其中 `cluster.local` 是集群域。
+`$(服务名称).$(名字空间).svc.cluster.local`，其中 `cluster.local` 是集群域。
 一旦每个 Pod 创建成功，就会得到一个匹配的 DNS 子域，格式为：
 `$(pod 名称).$(所属服务的 DNS 域名)`，其中所属服务由 StatefulSet 的 `serviceName` 域来设定。
 
@@ -281,7 +281,7 @@ responsible for the network identity of the pods.
 负缓存 (在 DNS 中较为常见) 意味着之前失败的查询结果会被记录和重用至少若干秒钟，
 即使 Pod 已经正常运行了也是如此。
 
-如果需要在 Pod 被创建之后及时发现它们，有以下选项：
+如果需要在 Pod 被创建之后及时发现它们，可使用以下选项：
 
 - 直接查询 Kubernetes API（比如，利用 watch 机制）而不是依赖于 DNS 查询
 - 缩短 Kubernetes DNS 驱动的缓存时长（通常这意味着修改 CoreDNS 的 ConfigMap，目前缓存时长为 30 秒）
@@ -363,8 +363,8 @@ the StatefulSet.
 
 * 对于包含 N 个 副本的 StatefulSet，当部署 Pod 时，它们是依次创建的，顺序为 `0..N-1`。
 * 当删除 Pod 时，它们是逆序终止的，顺序为 `N-1..0`。
-* 在将缩放操作应用到 Pod 之前，它前面的所有 Pod 必须是 Running 和 Ready 状态。
-* 在 Pod 终止之前，所有的继任者必须完全关闭。
+* 在将扩缩操作应用到 Pod 之前，它前面的所有 Pod 必须是 Running 和 Ready 状态。
+* 在一个 Pod 终止之前，所有的继任者必须完全关闭。
 
 <!--
 The StatefulSet should not specify a `pod.Spec.TerminationGracePeriodSeconds` of 0. This practice is unsafe and strongly discouraged. For further explanation, please refer to [force deleting StatefulSet Pods](/docs/tasks/run-application/force-delete-stateful-set-pod/).
@@ -395,7 +395,7 @@ is fully shutdown and deleted. If web-0 were to fail after web-2 has been termin
 is completely shutdown, but prior to web-1's termination, web-1 would not be terminated
 until web-0 is Running and Ready.
 -->
-如果用户想将示例中的 StatefulSet 收缩为 `replicas=1`，首先被终止的是 web-2。
+如果用户想将示例中的 StatefulSet 缩放为 `replicas=1`，首先被终止的是 web-2。
 在 web-2 没有被完全停止和删除前，web-1 不会被终止。
 当 web-2 已被终止和删除、web-1 尚未被终止，如果在此期间发生 web-0 运行失败，
 那么就不会终止 web-1，必须等到 web-0 进入 Running 和 Ready 状态后才会终止 web-1。
@@ -435,7 +435,7 @@ Pod. This option only affects the behavior for scaling operations. Updates are n
 
 `Parallel` Pod 管理让 StatefulSet 控制器并行的启动或终止所有的 Pod，
 启动或者终止其他 Pod 前，无需等待 Pod 进入 Running 和 ready 或者完全停止状态。
-这个选项只会影响伸缩操作的行为，更新则不会被影响。
+这个选项只会影响扩缩操作的行为，更新则不会被影响。
 
 <!--
 ## Update Strategies
@@ -487,8 +487,9 @@ amount of time after the Pod turns ready, before moving on.
 StatefulSet 控制器会删除和重建 StatefulSet 中的每个 Pod。
 它将按照与 Pod 终止相同的顺序（从最大序号到最小序号）进行，每次更新一个 Pod。
 
-Kubernetes 控制面会等到被更新的 Pod 进入 Running 和 Ready 状态，然后再更新其前身。
-如果你设置了 `.spec.minReadySeconds`（查看[最短就绪秒数](#minimum-ready-seconds)），控制面在 Pod 就绪后会额外等待一定的时间再执行下一步。
+Kubernetes 控制平面会等到被更新的 Pod 进入 Running 和 Ready 状态，然后再更新其前身。
+如果你设置了 `.spec.minReadySeconds`（查看[最短就绪秒数](#minimum-ready-seconds)），
+控制平面在 Pod 就绪后会额外等待一定的时间再执行下一步。
 
 <!--
 ### Partitioned rolling updates {#partitions}
@@ -509,9 +510,9 @@ update, roll out a canary, or perform a phased roll out.
 更新策略可以实现分区。
 如果声明了一个分区，当 StatefulSet 的 `.spec.template` 被更新时，
 所有序号大于等于该分区序号的 Pod 都会被更新。
-所有序号小于该分区序号的 Pod 都不会被更新，并且，即使他们被删除也会依据之前的版本进行重建。
+所有序号小于该分区序号的 Pod 都不会被更新，并且，即使它们被删除也会依据之前的版本进行重建。
 如果 StatefulSet 的 `.spec.updateStrategy.rollingUpdate.partition` 大于它的
-`.spec.replicas`，对它的 `.spec.template` 的更新将不会传递到它的 Pod。
+`.spec.replicas`，则对它的 `.spec.template` 的更新将不会传递到它的 Pod。
 在大多数情况下，你不需要使用分区，但如果你希望进行阶段更新、执行金丝雀或执行
 分阶段上线，则这些分区会非常有用。
 
@@ -572,8 +573,8 @@ StatefulSet will stop the rollout and wait.
 在默认 [Pod 管理策略](#pod-management-policies)(`OrderedReady`) 下使用
 [滚动更新](#rolling-updates)，可能进入需要人工干预才能修复的损坏状态。
 
-如果更新后 Pod 模板配置进入无法运行或就绪的状态（例如，由于错误的二进制文件
-或应用程序级配置错误），StatefulSet 将停止回滚并等待。
+如果更新后 Pod 模板配置进入无法运行或就绪的状态（例如，
+由于错误的二进制文件或应用程序级配置错误），StatefulSet 将停止回滚并等待。
 
 <!--
 In this state, it's not enough to revert the Pod template to a good configuration.
@@ -622,7 +623,7 @@ StatefulSet:
 For each policy that you can configure, you can set the value to either `Delete` or `Retain`.
 -->
 `whenDeleted`
-: 配置删除 StatefulSet 时应用的卷保留行为
+: 配置删除 StatefulSet 时应用的卷保留行为。
 
 `whenScaled`
 : 配置当 StatefulSet 的副本数减少时应用的卷保留行为；例如，缩小集合时。
@@ -710,7 +711,7 @@ to be garbage collected after only the condemned Pods have terminated.
 执行协调操作时，StatefulSet 控制器将其所需的副本数与集群上实际存在的 Pod 进行比较。
 对于 StatefulSet 中的所有 Pod 而言，如果其 ID 大于副本数，则将被废弃并标记为需要删除。
 如果 `whenScaled` 策略是 `Delete`，则在删除 Pod 之前，
-首先将已销毁的 Pod 设置为与 StatefulSet 模板 对应的 PVC 的属主。
+首先将已销毁的 Pod 设置为与 StatefulSet 模板对应的 PVC 的属主。
 这会导致 PVC 仅在已废弃的 Pod 终止后被垃圾收集。
 
 <!--
@@ -747,7 +748,7 @@ that you previously did.
 
 如果你手动扩缩已部署的负载，例如通过 `kubectl scale statefulset statefulset --replicas=X`，
 然后根据清单更新 StatefulSet（例如：通过运行 `kubectl apply -f statefulset.yaml`），
-那么应用该清单的操作会覆盖你之前所做的手动缩放。
+那么应用该清单的操作会覆盖你之前所做的手动扩缩。
 
 <!--
 If a [HorizontalPodAutoscaler](/docs/tasks/run-application/horizontal-pod-autoscale/)
@@ -757,7 +758,7 @@ Statefulset, don't set `.spec.replicas`. Instead, allow the Kubernetes
 the `.spec.replicas` field automatically.
 -->
 如果 [HorizontalPodAutoscaler](/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale/)
-（或任何类似的水平缩放 API）正在管理 Statefulset 的缩放，
+（或任何类似的水平缩放 API）正在管理 StatefulSet 的缩放，
 请不要设置 `.spec.replicas`。
 相反，允许 Kubernetes 控制平面自动管理 `.spec.replicas` 字段。
 
diff --git a/content/zh-cn/docs/concepts/workloads/pods/_index.md b/content/zh-cn/docs/concepts/workloads/pods/_index.md
index 12063e1e843..afd9ecdef40 100644
--- a/content/zh-cn/docs/concepts/workloads/pods/_index.md
+++ b/content/zh-cn/docs/concepts/workloads/pods/_index.md
@@ -1,5 +1,5 @@
 ---
-title: Pods
+title: Pod
 content_type: concept
 weight: 10
 no_list: true
@@ -33,16 +33,15 @@ application-specific "logical host": it contains one or more application
 containers which are relatively tightly coupled. 
 In non-cloud contexts, applications executed on the same physical or virtual machine are analogous to cloud applications executed on the same logical host.
 -->
-_Pod_ 是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元。
+**Pod** 是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元。
 
-_Pod_ （就像在鲸鱼荚或者豌豆荚中）是一组（一个或多个）
+**Pod**（就像在鲸鱼荚或者豌豆荚中）是一组（一个或多个）
 {{< glossary_tooltip text="容器" term_id="container" >}}；
 这些容器共享存储、网络、以及怎样运行这些容器的声明。
 Pod 中的内容总是并置（colocated）的并且一同调度，在共享的上下文中运行。
-Pod 所建模的是特定于应用的“逻辑主机”，其中包含一个或多个应用容器，
-这些容器是相对紧密的耦合在一起的。
-在非云环境中，在相同的物理机或虚拟机上运行的应用类似于
-在同一逻辑主机上运行的云应用。
+Pod 所建模的是特定于应用的 “逻辑主机”，其中包含一个或多个应用容器，
+这些容器相对紧密地耦合在一起。
+在非云环境中，在相同的物理机或虚拟机上运行的应用类似于在同一逻辑主机上运行的云应用。
 
 <!--
 As well as application containers, a Pod can contain
@@ -82,12 +81,11 @@ further sub-isolations applied.
 In terms of Docker concepts, a Pod is similar to a group of Docker containers
 with shared namespaces and shared filesystem volumes.
 -->
-Pod 的共享上下文包括一组 Linux 名字空间、控制组（cgroup）和可能一些其他的隔离
-方面，即用来隔离 Docker 容器的技术。
+Pod 的共享上下文包括一组 Linux 名字空间、控制组（cgroup）和可能一些其他的隔离方面，
+即用来隔离 Docker 容器的技术。
 在 Pod 的上下文中，每个独立的应用可能会进一步实施隔离。
 
-就 Docker 概念的术语而言，Pod 类似于共享名字空间和文件系统卷的一组 Docker
-容器。
+就 Docker 概念的术语而言，Pod 类似于共享名字空间和文件系统卷的一组 Docker 容器。
 
 <!--
 ## Using Pods
@@ -118,7 +116,7 @@ with workload resources.
 ### Workload resources for managing pods
 -->
 Pod 通常不是直接创建的，而是使用工作负载资源创建的。
-有关如何将 Pod 用于工作负载资源的更多信息，请参阅 [使用 Pod](#working-with-pods)。
+有关如何将 Pod 用于工作负载资源的更多信息，请参阅[使用 Pod](#working-with-pods)。
 
 ### 用于管理 pod 的工作负载资源
 
@@ -134,10 +132,9 @@ Pods in a Kubernetes cluster are used in two main ways:
 通常你不需要直接创建 Pod，甚至单实例 Pod。
 相反，你会使用诸如
 {{< glossary_tooltip text="Deployment" term_id="deployment" >}} 或
-{{< glossary_tooltip text="Job" term_id="job" >}} 这类工作负载资源
-来创建 Pod。如果 Pod 需要跟踪状态，
-可以考虑 {{< glossary_tooltip text="StatefulSet" term_id="statefulset" >}}
-资源。
+{{< glossary_tooltip text="Job" term_id="job" >}} 这类工作负载资源来创建 Pod。
+如果 Pod 需要跟踪状态，可以考虑
+{{< glossary_tooltip text="StatefulSet" term_id="statefulset" >}} 资源。
 
 Kubernetes 集群中的 Pod 主要有两种用法：
 
@@ -159,12 +156,12 @@ Kubernetes 集群中的 Pod 主要有两种用法：
   relatively advanced use case. You should use this pattern only in specific
   instances in which your containers are tightly coupled.
 -->
-* **运行单个容器的 Pod**。"每个 Pod 一个容器"模型是最常见的 Kubernetes 用例；
+* **运行单个容器的 Pod**。"每个 Pod 一个容器" 模型是最常见的 Kubernetes 用例；
   在这种情况下，可以将 Pod 看作单个容器的包装器，并且 Kubernetes 直接管理 Pod，而不是容器。
 * **运行多个协同工作的容器的 Pod**。
   Pod 可能封装由多个紧密耦合且需要共享资源的共处容器组成的应用程序。
   这些位于同一位置的容器可能形成单个内聚的服务单元 —— 一个容器将文件从共享卷提供给公众，
-  而另一个单独的“边车”（sidecar）容器则刷新或更新这些文件。
+  而另一个单独的 “边车”（sidecar）容器则刷新或更新这些文件。
   Pod 将这些容器和存储资源打包为一个可管理的实体。
 
   {{< note >}}
@@ -185,9 +182,9 @@ Kubernetes uses workload resources, and their controllers, to implement applicat
 scaling and auto-healing.
 -->
 
-每个 Pod 都旨在运行给定应用程序的单个实例。如果希望横向扩展应用程序（例如，运行多个实例
-以提供更多的资源），则应该使用多个 Pod，每个实例使用一个 Pod。
-在 Kubernetes 中，这通常被称为 _副本（Replication）_。
+每个 Pod 都旨在运行给定应用程序的单个实例。如果希望横向扩展应用程序
+（例如，运行多个实例以提供更多的资源），则应该使用多个 Pod，每个实例使用一个 Pod。
+在 Kubernetes 中，这通常被称为**副本（Replication）**。
 通常使用一种工作负载资源及其{{< glossary_tooltip text="控制器" term_id="controller" >}}
 来创建和管理一组 Pod 副本。
 
@@ -218,7 +215,7 @@ that updates those files from a remote source, as in the following diagram:
 例如，你可能有一个容器，为共享卷中的文件提供 Web 服务器支持，以及一个单独的
 "边车 (sidercar)" 容器负责从远端更新这些文件，如下图所示：
 
-{{< figure src="/images/docs/pod.svg" alt="Pod creation diagram" class="diagram-medium" >}}
+{{< figure src="/images/docs/pod.svg" alt="Pod 创建示意图" class="diagram-medium" >}}
 
 <!--
 Some Pods have {{< glossary_tooltip text="init containers" term_id="init-container" >}}
@@ -228,12 +225,11 @@ Init containers run and complete before the app containers are started.
 Pods natively provide two kinds of shared resources for their constituent containers:
 [networking](#pod-networking) and [storage](#pod-storage).
 -->
-有些 Pod 具有 {{< glossary_tooltip text="Init 容器" term_id="init-container" >}} 和
+有些 Pod 具有 {{< glossary_tooltip text="Init 容器" term_id="init-container" >}}和
 {{< glossary_tooltip text="应用容器" term_id="app-container" >}}。
 Init 容器会在启动应用容器之前运行并完成。
 
-Pod 天生地为其成员容器提供了两种共享资源：[网络](#pod-networking)和
-[存储](#pod-storage)。
+Pod 天生地为其成员容器提供了两种共享资源：[网络](#pod-networking)和[存储](#pod-storage)。
 
 <!--
 ## Working with Pods
@@ -250,10 +246,9 @@ the Pod is *evicted* for lack of resources, or the node fails.
 
 你很少在 Kubernetes 中直接创建一个个的 Pod，甚至是单实例（Singleton）的 Pod。
 这是因为 Pod 被设计成了相对临时性的、用后即抛的一次性实体。
-当 Pod 由你或者间接地由 {{< glossary_tooltip text="控制器" term_id="controller" >}}
+当 Pod 由你或者间接地由{{< glossary_tooltip text="控制器" term_id="controller" >}}
 创建时，它被调度在集群中的{{< glossary_tooltip text="节点" term_id="node" >}}上运行。
-Pod 会保持在该节点上运行，直到 Pod 结束执行、Pod 对象被删除、Pod 因资源不足而被
-*驱逐* 或者节点失效为止。
+Pod 会保持在该节点上运行，直到 Pod 结束执行、Pod 对象被删除、Pod 因资源不足而被**驱逐**或者节点失效为止。
 
 <!--
 Restarting a container in a Pod should not be confused with restarting a Pod. A Pod
@@ -308,10 +303,10 @@ PodTemplates are specifications for creating Pods, and are included in workload
 [Jobs](/docs/concepts/workloads/controllers/job/), and
 [DaemonSets](/docs/concepts/workloads/controllers/daemonset/).
 -->
-### Pod 模版    {#pod-templates}
+### Pod 模板    {#pod-templates}
 
 {{< glossary_tooltip text="负载" term_id="workload" >}}资源的控制器通常使用
-_Pod 模板（Pod Template）_ 来替你创建 Pod 并管理它们。
+**Pod 模板（Pod Template）**来替你创建 Pod 并管理它们。
 
 Pod 模板是包含在工作负载对象中的规范，用来创建 Pod。这类负载资源包括
 [Deployment](/zh-cn/docs/concepts/workloads/controllers/deployment/)、
@@ -339,14 +334,14 @@ metadata:
   name: hello
 spec:
   template:
-    # 这里是 Pod 模版
+    # 这里是 Pod 模板
     spec:
       containers:
       - name: hello
         image: busybox:1.28
         command: ['sh', '-c', 'echo "Hello, Kubernetes!" && sleep 3600']
       restartPolicy: OnFailure
-    # 以上为 Pod 模版
+    # 以上为 Pod 模板
 ```
 
 <!--
@@ -359,13 +354,13 @@ pod template for each Deployment object. If the template is updated, the Deploym
 to remove the existing Pods and create new Pods based on the updated template. Each workload
 resource implements its own rules for handling changes to the Pod template.
 -->
-修改 Pod 模版或者切换到新的 Pod 模版都不会对已经存在的 Pod 起作用。
-Pod 不会直接收到模版的更新。相反，
-新的 Pod 会被创建出来，与更改后的 Pod 模版匹配。
+修改 Pod 模板或者切换到新的 Pod 模板都不会对已经存在的 Pod 起作用。
+Pod 不会直接收到模板的更新。相反，
+新的 Pod 会被创建出来，与更改后的 Pod 模板匹配。
 
 例如，Deployment 控制器针对每个 Deployment 对象确保运行中的 Pod 与当前的 Pod
-模版匹配。如果模版被更新，则 Deployment 必须删除现有的 Pod，基于更新后的模版
-创建新的 Pod。每个工作负载资源都实现了自己的规则，用来处理对 Pod 模版的更新。
+模板匹配。如果模板被更新，则 Deployment 必须删除现有的 Pod，基于更新后的模板创建新的 Pod。
+每个工作负载资源都实现了自己的规则，用来处理对 Pod 模板的更新。
 
 <!--
 On Nodes, the {{< glossary_tooltip term_id="kubelet" text="kubelet" >}} does not
@@ -375,9 +370,9 @@ system semantics, and makes it feasible to extend the cluster's behavior without
 changing existing code.
 -->
 在节点上，{{< glossary_tooltip term_id="kubelet" text="kubelet" >}} 并不直接监测
-或管理与 Pod 模版相关的细节或模版的更新，这些细节都被抽象出来。
-这种抽象和关注点分离简化了整个系统的语义，并且使得用户可以在不改变现有代码的
-前提下就能扩展集群的行为。
+或管理与 Pod 模板相关的细节或模板的更新，这些细节都被抽象出来。
+这种抽象和关注点分离简化了整个系统的语义，
+并且使得用户可以在不改变现有代码的前提下就能扩展集群的行为。
 
 <!--
 ## Pod update and replacement
@@ -388,8 +383,8 @@ template instead of updating or patching the existing Pods.
 -->
 ## Pod 更新与替换   {#pod-update-and-replacement}
 
-正如前面章节所述，当某工作负载的 Pod 模板被改变时，控制器会基于更新的模板
-创建新的 Pod 对象而不是对现有 Pod 执行更新或者修补操作。
+正如前面章节所述，当某工作负载的 Pod 模板被改变时，
+控制器会基于更新的模板创建新的 Pod 对象而不是对现有 Pod 执行更新或者修补操作。
 
 <!--
 Kubernetes doesn't prevent you from managing Pods directly. It is possible to
@@ -423,8 +418,8 @@ Kubernetes 并不禁止你直接管理 Pod。对运行中的 Pod 的某些字段
      number.
 -->
 - Pod 的绝大多数元数据都是不可变的。例如，你不可以改变其 `namespace`、`name`、
-  `uid` 或者 `creationTimestamp` 字段；`generation` 字段是比较特别的，如果更新
-  该字段，只能增加字段取值而不能减少。
+  `uid` 或者 `creationTimestamp` 字段；`generation` 字段是比较特别的，
+  如果更新该字段，只能增加字段取值而不能减少。
 - 如果 `metadata.deletionTimestamp` 已经被设置，则不可以向 `metadata.finalizers`
   列表中添加新的条目。
 - Pod 更新不可以改变除 `spec.containers[*].image`、`spec.initContainers[*].image`、
@@ -478,9 +473,8 @@ they must coordinate how they use the shared network resources (such as ports).
 
 每个 Pod 都在每个地址族中获得一个唯一的 IP 地址。
 Pod 中的每个容器共享网络名字空间，包括 IP 地址和网络端口。
-*Pod 内* 的容器可以使用 `localhost` 互相通信。
-当 Pod 中的容器与 *Pod 之外* 的实体通信时，它们必须协调如何使用共享的网络资源
-（例如端口）。
+**Pod 内**的容器可以使用 `localhost` 互相通信。
+当 Pod 中的容器与 **Pod 之外**的实体通信时，它们必须协调如何使用共享的网络资源（例如端口）。
 
 <!--
 Within a Pod, containers share an IP address and port space, and
@@ -517,8 +511,7 @@ If your cluster has the `WindowsHostProcessContainers` feature enabled, you can
 在 Linux 中，Pod 中的任何容器都可以使用容器规约中的
 [安全性上下文](/zh-cn/docs/tasks/configure-pod-container/security-context/)中的
 `privileged`（Linux）参数启用特权模式。
-这对于想要使用操作系统管理权能（Capabilities，如操纵网络堆栈和访问设备）
-的容器很有用。
+这对于想要使用操作系统管理权能（Capabilities，如操纵网络堆栈和访问设备）的容器很有用。
 
 如果你的集群启用了 `WindowsHostProcessContainers` 特性，你可以使用 Pod 规约中安全上下文的
 `windowsOptions.hostProcess` 参数来创建
@@ -530,8 +523,8 @@ HostProcess Pod 可以直接运行在主机上，它也能像 Linux 特权容器
 Your {{< glossary_tooltip text="container runtime" term_id="container-runtime" >}} must support the concept of a privileged container for this setting to be relevant.
 -->
 {{< note >}}
-你的{{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}必须支持
-特权容器的概念才能使用这一配置。
+你的{{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}
+必须支持特权容器的概念才能使用这一配置。
 {{< /note >}}
 
 <!--
@@ -546,8 +539,8 @@ Pods, the kubelet directly supervises each static Pod (and restarts it if it fai
 -->
 ## 静态 Pod    {#static-pods}
 
-_静态 Pod（Static Pod）_ 直接由特定节点上的 `kubelet` 守护进程管理，
-不需要{{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}}看到它们。
+**静态 Pod（Static Pod）**直接由特定节点上的 `kubelet` 守护进程管理，
+不需要 {{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}}看到它们。
 尽管大多数 Pod 都是通过控制面（例如，{{< glossary_tooltip text="Deployment" term_id="deployment" >}}）
 来管理的，对于静态 Pod 而言，`kubelet` 直接监控每个 Pod，并在其失效时重启之。
 
@@ -568,8 +561,7 @@ but cannot be controlled from there.
 
 `kubelet` 自动尝试为每个静态 Pod 在 Kubernetes API 服务器上创建一个
 {{< glossary_tooltip text="镜像 Pod" term_id="mirror-pod" >}}。
-这意味着在节点上运行的 Pod 在 API 服务器上是可见的，但不可以通过 API
-服务器来控制。
+这意味着在节点上运行的 Pod 在 API 服务器上是可见的，但不可以通过 API 服务器来控制。
 
 {{< note >}}
 <!--
@@ -578,7 +570,10 @@ The `spec` of a static Pod cannot refer to other API objects
 {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}},
 {{< glossary_tooltip text="Secret" term_id="secret" >}}, etc).
 -->
-静态 Pod 的 `spec` 不能引用其他的 API 对象（例如：{{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}}、{{< glossary_tooltip text="ConfigMap" term_id="configmap" >}}、{{< glossary_tooltip text="Secret" term_id="secret" >}}等）。
+静态 Pod 的 `spec` 不能引用其他的 API 对象（例如：
+{{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}}、
+{{< glossary_tooltip text="ConfigMap" term_id="configmap" >}}、
+{{< glossary_tooltip text="Secret" term_id="secret" >}} 等）。
 {{< /note >}}
 
 <!--
@@ -595,7 +590,7 @@ in the Pod Lifecycle documentation.
 -->
 ## 容器探针   {#container-probes}
 
-_Probe_ 是由 kubelet 对容器执行的定期诊断。要执行诊断，kubelet 可以执行三种动作：
+**Probe** 是由 kubelet 对容器执行的定期诊断。要执行诊断，kubelet 可以执行三种动作：
     
 - `ExecAction`（借助容器运行时执行）
 - `TCPSocketAction`（由 kubelet 直接检测）
@@ -609,17 +604,16 @@ _Probe_ 是由 kubelet 对容器执行的定期诊断。要执行诊断，kubele
 * Learn about the [lifecycle of a Pod](/docs/concepts/workloads/pods/pod-lifecycle/).
 * Learn about [RuntimeClass](/docs/concepts/containers/runtime-class/) and how you can use it to
   configure different Pods with different container runtime configurations.
-* Read about [Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
 * Read about [PodDisruptionBudget](/docs/concepts/workloads/pods/disruptions/) and how you can use it to manage application availability during disruptions.
 * Pod is a top-level resource in the Kubernetes REST API.
   The {{< api-reference page="workload-resources/pod-v1" >}}
   object definition describes the object in detail.
 * [The Distributed System Toolkit: Patterns for Composite Containers](/blog/2015/06/the-distributed-system-toolkit-patterns/) explains common layouts for Pods with more than one container.
+* Read about [Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints//).
 -->
-* 了解 [Pod 生命周期](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/)
+* 了解 [Pod 生命周期](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/)。
 * 了解 [RuntimeClass](/zh-cn/docs/concepts/containers/runtime-class/)，以及如何使用它
-  来配置不同的 Pod 使用不同的容器运行时配置
-* 了解 [Pod 拓扑分布约束](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+  来配置不同的 Pod 使用不同的容器运行时配置。
 * 了解 [PodDisruptionBudget](/zh-cn/docs/concepts/workloads/pods/disruptions/)，以及你
   如何可以利用它在出现干扰因素时管理应用的可用性。
 * Pod 在 Kubernetes REST API 中是一个顶层资源。
@@ -627,6 +621,7 @@ _Probe_ 是由 kubelet 对容器执行的定期诊断。要执行诊断，kubele
   对象的定义中包含了更多的细节信息。
 * 博客 [分布式系统工具箱：复合容器模式](/blog/2015/06/the-distributed-system-toolkit-patterns/)
   中解释了在同一 Pod 中包含多个容器时的几种常见布局。
+* 了解 [Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints//)。
 
 <!--
 To understand the context for why Kubernetes wraps a common Pod API in other resources (such as {{< glossary_tooltip text="StatefulSets" term_id="statefulset" >}} or {{< glossary_tooltip text="Deployments" term_id="deployment" >}}), you can read about the prior art, including:
@@ -641,4 +636,3 @@ To understand the context for why Kubernetes wraps a common Pod API in other res
 * [Marathon](https://mesosphere.github.io/marathon/docs/rest-api.html)
 * [Omega](https://research.google/pubs/pub41684/)
 * [Tupperware](https://engineering.fb.com/data-center-engineering/tupperware/).
-
diff --git a/content/zh-cn/docs/concepts/workloads/pods/downward-api.md b/content/zh-cn/docs/concepts/workloads/pods/downward-api.md
new file mode 100644
index 00000000000..2ca4376acf4
--- /dev/null
+++ b/content/zh-cn/docs/concepts/workloads/pods/downward-api.md
@@ -0,0 +1,270 @@
+---
+title: Downward API
+content_type: concept
+description: >
+  有两种方法可以将 Pod 和容器字段暴露给运行中的容器：环境变量和由特殊卷类型承载的文件。
+  这两种暴露 Pod 和容器字段的方法统称为 Downward API。
+---
+<!--
+title: Downward API
+content_type: concept
+description: >
+  There are two ways to expose Pod and container fields to a running container:
+  environment variables, and as files that are populated by a special volume type.
+  Together, these two ways of exposing Pod and container fields are called the downward API.
+-->
+
+<!-- overview -->
+
+<!--
+It is sometimes useful for a container to have information about itself, without
+being overly coupled to Kubernetes. The _downward API_ allows containers to consume
+information about themselves or the cluster without using the Kubernetes client
+or API server.
+-->
+对于容器来说，在不与 Kubernetes 过度耦合的情况下，拥有关于自身的信息有时是很有用的。
+**Downward API** 允许容器在不使用 Kubernetes 客户端或 API 服务器的情况下获得自己或集群的信息。
+
+<!--
+An example is an existing application that assumes a particular well-known
+environment variable holds a unique identifier. One possibility is to wrap the
+application, but that is tedious and error-prone, and it violates the goal of low
+coupling. A better option would be to use the Pod's name as an identifier, and
+inject the Pod's name into the well-known environment variable.
+-->
+例如，现有应用程序假设某特定的周知的环境变量是存在的，其中包含唯一标识符。
+一种方法是对应用程序进行封装，但这很繁琐且容易出错，并且违背了低耦合的目标。
+更好的选择是使用 Pod 名称作为标识符，并将 Pod 名称注入到周知的环境变量中。
+
+<!--
+In Kubernetes, there are two ways to expose Pod and container fields to a running container:
+
+* as [environment variables](/docs/tasks/inject-data-application/environment-variable-expose-pod-information/#the-downward-api)
+* as [files in a `downwardAPI` volume](/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
+-->
+在 Kubernetes 中，有两种方法可以将 Pod 和容器字段暴露给运行中的容器：
+
+* 作为[环境变量](/zh-cn/docs/tasks/inject-data-application/environment-variable-expose-pod-information/#the-downward-api)
+* 作为 [`downwardAPI` 卷中的文件](/zh-cn/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
+
+<!--
+Together, these two ways of exposing Pod and container fields are called the
+_downward API_.
+-->
+这两种暴露 Pod 和容器字段的方式统称为 **Downward API**。
+
+<!-- body -->
+
+<!--
+## Available fields
+
+Only some Kubernetes API fields are available through the downward API. This
+section lists which fields you can make available.
+-->
+## 可用字段  {#available-fields}
+
+只有部分 Kubernetes API 字段可以通过 Downward API 使用。本节列出了你可以使用的字段。
+
+<!--
+You can pass information from available Pod-level fields using `fieldRef`.
+At the API level, the `spec` for a Pod always defines at least one
+[Container](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container).
+You can pass information from available Container-level fields using
+`resourceFieldRef`.
+-->
+你可以使用 `fieldRef` 传递来自可用的 Pod 级字段的信息。在 API 层面，一个 Pod 的
+`spec` 总是定义了至少一个 [Container](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)。
+你可以使用 `resourceFieldRef` 传递来自可用的 Container 级字段的信息。
+
+<!--
+### Information available via `fieldRef` {#downwardapi-fieldRef}
+
+For most Pod-level fields, you can provide them to a container either as
+an environment variable or using a `downwardAPI` volume. The fields available
+via either mechanism are:
+-->
+### 可通过 `fieldRef` 获得的信息  {#downwardapi-fieldRef}
+
+对于大多数 Pod 级别的字段，你可以将它们作为环境变量或使用 `downwardAPI` 卷提供给容器。
+通过这两种机制可用的字段有：
+
+<!--
+`metadata.name`
+: the pod's name
+-->
+`metadata.name`
+: Pod 的名称
+
+<!--
+`metadata.namespace`
+: the pod's {{< glossary_tooltip text="namespace" term_id="namespace" >}}
+-->
+`metadata.namespace`
+: Pod 的{{< glossary_tooltip text="命名空间" term_id="namespace" >}}
+
+<!--
+`metadata.uid`
+: the pod's unique ID
+-->
+`metadata.uid`
+: Pod 的唯一 ID
+
+<!--
+`metadata.annotations['<KEY>']`
+: the value of the pod's {{< glossary_tooltip text="annotation" term_id="annotation" >}} named `<KEY>` (for example, `metadata.annotations['myannotation']`)
+-->
+`metadata.annotations['<KEY>']`
+: Pod 的{{< glossary_tooltip text="注解" term_id="annotation" >}} `<KEY>` 的值（例如：`metadata.annotations['myannotation']`）
+
+<!--
+`metadata.labels['<KEY>']`
+: the text value of the pod's {{< glossary_tooltip text="label" term_id="label" >}} named `<KEY>` (for example, `metadata.labels['mylabel']`)
+-->
+`metadata.labels['<KEY>']`
+: Pod 的{{< glossary_tooltip text="标签" term_id="label" >}} `<KEY>` 的值（例如：`metadata.labels['mylabel']`）
+
+<!--
+`spec.serviceAccountName`
+: the name of the pod's {{< glossary_tooltip text="service account" term_id="service-account" >}}
+-->
+`spec.serviceAccountName`
+: Pod 的{{< glossary_tooltip text="服务账号" term_id="service-account" >}}名称
+
+<!--
+`spec.nodeName`
+: the name of the {{< glossary_tooltip term_id="node" text="node">}} where the Pod is executing
+-->
+`spec.nodeName`
+: Pod 运行时所处的{{< glossary_tooltip term_id="node" text="节点">}}名称
+
+<!--
+`status.hostIP`
+: the primary IP address of the node to which the Pod is assigned
+-->
+`status.hostIP`
+: Pod 所在节点的主 IP 地址
+
+<!--
+`status.podIP`
+: the pod's primary IP address (usually, its IPv4 address)
+-->
+`status.podIP`
+: Pod 的主 IP 地址（通常是其 IPv4 地址）
+
+<!--
+In addition, the following information is available through
+a `downwardAPI` volume `fieldRef`, but **not as environment variables**:
+-->
+此外，以下信息可以通过 `downwardAPI` 卷 `fieldRef` 获得，但**不能作为环境变量**获得：
+
+<!--
+`metadata.labels`
+: all of the pod's labels, formatted as `label-key="escaped-label-value"` with one label per line
+-->
+`metadata.labels`
+: Pod 的所有标签，格式为 `标签键名="转义后的标签值"`，每行一个标签
+
+<!--
+`metadata.annotations`
+: all of the pod's annotations, formatted as `annotation-key="escaped-annotation-value"` with one annotation per line  
+-->
+`metadata.annotations`
+: Pod 的全部注解，格式为 `注解键名="转义后的注解值"`，每行一个注解
+
+<!--
+### Information available via `resourceFieldRef` {#downwardapi-resourceFieldRef}
+
+These container-level fields allow you to provide information about
+[requests and limits](/docs/concepts/configuration/manage-resources-containers/#requests-and-limits)
+for resources such as CPU and memory.
+-->
+### 可通过 `resourceFieldRef` 获得的信息  {#downwardapi-resourceFieldRef}
+
+<!--
+`resource: limits.cpu`
+: A container's CPU limit
+-->
+`resource: limits.cpu`
+: 容器的 CPU 限制值
+
+<!--
+`resource: requests.cpu`
+: A container's CPU request
+-->
+`resource: requests.cpu`
+: 容器的 CPU 请求值
+
+<!--
+`resource: limits.memory`
+: A container's memory limit
+-->
+`resource: limits.memory`
+: 容器的内存限制值
+
+<!--
+`resource: requests.memory`
+: A container's memory request
+-->
+`resource: requests.memory`
+: 容器的内存请求值
+
+<!--
+`resource: limits.hugepages-*`
+: A container's hugepages limit (provided that the `DownwardAPIHugePages` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
+-->
+`resource: limits.hugepages-*`
+: 容器的巨页限制值（前提是启用了 `DownwardAPIHugePages`
+[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)）
+
+<!--
+`resource: requests.hugepages-*`
+: A container's hugepages request (provided that the `DownwardAPIHugePages` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/) is enabled)
+-->
+`resource: requests.hugepages-*`
+: 容器的巨页请求值（前提是启用了 `DownwardAPIHugePages`
+[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)）
+
+<!--
+`resource: limits.ephemeral-storage`
+: A container's ephemeral-storage limit
+-->
+`resource: limits.ephemeral-storage`
+: 容器的临时存储的限制值
+
+<!--
+`resource: requests.ephemeral-storage`
+: A container's ephemeral-storage request
+-->
+`resource: requests.ephemeral-storage`
+: 容器的临时存储的请求值
+
+<!--
+#### Fallback information for resource limits
+
+If CPU and memory limits are not specified for a container, and you use the
+downward API to try to expose that information, then the
+kubelet defaults to exposing the maximum allocatable value for CPU and memory
+based on the [node allocatable](/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
+calculation.
+-->
+#### 资源限制的后备信息  {#fallback-information-for-resource-limits}
+
+如果没有为容器指定 CPU 和内存限制时尝试使用 Downward API 暴露该信息，那么 kubelet 默认会根据
+[节点可分配资源](/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources/#node-allocatable)
+计算并暴露 CPU 和内存的最大可分配值。
+
+
+## {{% heading "whatsnext" %}}
+
+<!--
+You can read about [`downwardAPI` volumes](/docs/concepts/storage/volumes/#downwardapi).
+
+You can try using the downward API to expose container- or Pod-level information:
+* as [environment variables](/docs/tasks/inject-data-application/environment-variable-expose-pod-information/#the-downward-api)
+* as [files in `downwardAPI` volume](/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
+-->
+你可以阅读有关 [`downwardAPI` 卷](/zh-cn/docs/concepts/storage/volumes/#downwardapi)的内容。
+
+你可以尝试使用 Downward API 暴露容器或 Pod 级别的信息：
+* 作为[环境变量](/zh-cn/docs/tasks/inject-data-application/environment-variable-expose-pod-information/#the-downward-api)
+* 作为 [`downwardAPI` 卷中的文件](/zh-cn/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
diff --git a/content/zh-cn/docs/concepts/workloads/pods/init-containers.md b/content/zh-cn/docs/concepts/workloads/pods/init-containers.md
index 18782f28cef..2f2404dad51 100644
--- a/content/zh-cn/docs/concepts/workloads/pods/init-containers.md
+++ b/content/zh-cn/docs/concepts/workloads/pods/init-containers.md
@@ -72,11 +72,11 @@ The status of the init containers is returned in `.status.initContainerStatuses`
 field as an array of the container statuses (similar to the `.status.containerStatuses`
 field).
 -->
-为 Pod 设置 Init 容器需要在 [Pod 规约](/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
+为 Pod 设置 Init 容器需要在 [Pod 规约](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#PodSpec)
 中添加 `initContainers` 字段，
 该字段以 [Container](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#container-v1-core)
 类型对象数组的形式组织，和应用的 `containers` 数组同级相邻。
-参阅 API 参考的[容器](/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)章节了解详情。
+参阅 API 参考的[容器](/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1/#Container)章节了解详情。
 
 Init 容器的状态在 `status.initContainerStatuses` 字段中以容器状态数组的格式返回
 （类似 `status.containerStatuses` 字段）。
@@ -215,7 +215,7 @@ kind: Pod
 metadata:
   name: myapp-pod
   labels:
-    app: myapp
+    app.kubernetes.io/name: MyApp
 spec:
   containers:
   - name: myapp-container
@@ -284,7 +284,7 @@ The output is similar to this:
 Name:          myapp-pod
 Namespace:     default
 [...]
-Labels:        app=myapp
+Labels:        app.kubernetes.io/name=MyApp
 Status:        Pending
 [...]
 Init Containers:
@@ -545,7 +545,7 @@ Pod 重启会导致 Init 容器重新执行，主要有如下几个原因：
 * Pod 的基础设施容器 (译者注：如 `pause` 容器) 被重启。这种情况不多见，
   必须由具备 root 权限访问节点的人员来完成。
 
-* 当 `restartPolicy` 设置为 "`Always`"，Pod 中所有容器会终止而强制重启。
+* 当 `restartPolicy` 设置为 `Always`，Pod 中所有容器会终止而强制重启。
   由于垃圾收集机制的原因，Init 容器的完成记录将会丢失。
 
 <!--
diff --git a/content/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints.md b/content/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
deleted file mode 100644
index 40ef623ad6b..00000000000
--- a/content/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints.md
+++ /dev/null
@@ -1,688 +0,0 @@
----
-title: Pod 拓扑分布约束
-content_type: concept
-weight: 40
----
-
-<!--
-title: Pod Topology Spread Constraints
-content_type: concept
-weight: 40
--->
-
-<!-- overview -->
-
-<!--
-You can use _topology spread constraints_ to control how {{< glossary_tooltip text="Pods" term_id="Pod" >}} are spread across your cluster among failure-domains such as regions, zones, nodes, and other user-defined topology domains. This can help to achieve high availability as well as efficient resource utilization.
--->
-你可以使用 _拓扑分布约束（Topology Spread Constraints）_ 来控制
-{{< glossary_tooltip text="Pod" term_id="Pod" >}} 在集群内故障域之间的分布，
-例如区域（Region）、可用区（Zone）、节点和其他用户自定义拓扑域。
-这样做有助于实现高可用并提升资源利用率。
-
-<!-- body -->
-
-<!--
-## Prerequisites
-
-### Node Labels
--->
-## 先决条件   {#prerequisites}
-
-### 节点标签   {#node-labels}
-
-<!--
-Topology spread constraints rely on node labels to identify the topology domain(s) that each Node is in. For example, a Node might have labels: `node=node1,zone=us-east-1a,region=us-east-1`
--->
-拓扑分布约束依赖于节点标签来标识每个节点所在的拓扑域。
-例如，某节点可能具有标签：`node=node1,zone=us-east-1a,region=us-east-1`
-
-<!--
-Suppose you have a 4-node cluster with the following labels:
--->
-假设你拥有具有以下标签的一个 4 节点集群：
-
-```
-NAME    STATUS   ROLES    AGE     VERSION   LABELS
-node1   Ready    <none>   4m26s   v1.16.0   node=node1,zone=zoneA
-node2   Ready    <none>   3m58s   v1.16.0   node=node2,zone=zoneA
-node3   Ready    <none>   3m17s   v1.16.0   node=node3,zone=zoneB
-node4   Ready    <none>   2m43s   v1.16.0   node=node4,zone=zoneB
-```
-
-<!--
-Then the cluster is logically viewed as below:
--->
-那么，从逻辑上看集群如下：
-
-{{<mermaid>}}
-graph TB
-    subgraph "zoneB"
-        n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        n1(Node1)
-        n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-<!--
-Instead of manually applying labels, you can also reuse the [well-known labels](/docs/reference/labels-annotations-taints/) that are created and populated automatically on most clusters.
--->
-你可以复用在大多数集群上自动创建和填充的[常用标签](/zh-cn/docs/reference/labels-annotations-taints/)，
-而不是手动添加标签。
-
-<!--
-## Spread Constraints for Pods
--->
-## Pod 的分布约束    {#spread-constraints-for-pods}
-
-### API
-
-<!--
-The API field `pod.spec.topologySpreadConstraints` is defined as below:
--->
-`pod.spec.topologySpreadConstraints` 字段定义如下所示：
-
-```yaml
-apiVersion: v1
-kind: Pod
-metadata:
-  name: mypod
-spec:
-  topologySpreadConstraints:
-    - maxSkew: <integer>
-      topologyKey: <string>
-      whenUnsatisfiable: <string>
-      labelSelector: <object>
-```
-
-<!--
-You can define one or multiple `topologySpreadConstraint` to instruct the kube-scheduler how to place each incoming Pod in relation to the existing Pods across your cluster. The fields are:
--->
-你可以定义一个或多个 `topologySpreadConstraint` 来指示 kube-scheduler
-如何根据与现有的 Pod 的关联关系将每个传入的 Pod 部署到集群中。字段包括：
-
-<!--
-- **maxSkew** describes the degree to which Pods may be unevenly distributed.
-  It's the maximum permitted difference between the number of matching Pods in
-  any two topology domains of a given topology type. It must be greater than
-  zero. Its semantics differs according to the value of `whenUnsatisfiable`:
-  - when `whenUnsatisfiable` equals to "DoNotSchedule", `maxSkew` is the maximum
-    permitted difference between the number of matching pods in the target
-    topology and the global minimum.
-    (the minimum number of pods that match the label selector in a topology domain.
-    For example, if you have 3 zones with 0, 2 and 3 matching pods respectively,
-    The global minimum is 0).
-  - when `whenUnsatisfiable` equals to "ScheduleAnyway", scheduler gives higher
-    precedence to topologies that would help reduce the skew.
--->
-
-- **maxSkew** 描述 Pod 分布不均的程度。这是给定拓扑类型中任意两个拓扑域中匹配的
-  Pod 之间的最大允许差值。它必须大于零。取决于 `whenUnsatisfiable` 的取值，
-  其语义会有不同。
-  - 当 `whenUnsatisfiable` 等于 "DoNotSchedule" 时，`maxSkew` 是目标拓扑域中匹配的
-    Pod 数与全局最小值（一个拓扑域中与标签选择器匹配的 Pod 的最小数量。例如，如果你有
-    3 个区域，分别具有 0 个、2 个 和 3 个匹配的 Pod，则全局最小值为 0。）之间可存在的差异。
-  - 当 `whenUnsatisfiable` 等于 "ScheduleAnyway" 时，调度器会更为偏向能够降低偏差值的拓扑域。
-
-<!--
-- **minDomains** indicates a minimum number of eligible domains.
-  A domain is a particular instance of a topology. An eligible domain is a domain whose
-  nodes match the node selector.
-
-  - The value of `minDomains` must be greater than 0, when specified.
-  - When the number of eligible domains with match topology keys is less than `minDomains`,
-    Pod topology spread treats "global minimum" as 0, and then the calculation of `skew` is performed.
-    The "global minimum" is the minimum number of matching Pods in an eligible domain,
-    or zero if the number of eligible domains is less than `minDomains`.
-  - When the number of eligible domains with matching topology keys equals or is greater than 
-    `minDomains`, this value has no effect on scheduling.
-  - When `minDomains` is nil, the constraint behaves as if `minDomains` is 1.
-  - When `minDomains` is not nil, the value of `whenUnsatisfiable` must be "`DoNotSchedule`".
--->
-- **minDomains** 表示符合条件的域的最小数量。域是拓扑的一个特定实例。
-  符合条件的域是其节点与节点选择器匹配的域。
-
-  - 指定的 `minDomains` 的值必须大于 0。
-  - 当符合条件的、拓扑键匹配的域的数量小于 `minDomains` 时，Pod 拓扑分布将“全局最小值”
-    （global minimum）设为 0，然后进行 `skew` 计算。“全局最小值”是一个符合条件的域中匹配
-    Pod 的最小数量，如果符合条件的域的数量小于 `minDomains`，则全局最小值为零。
-  - 当符合条件的拓扑键匹配域的个数等于或大于 `minDomains` 时，该值对调度没有影响。
-  - 当 `minDomains` 为 nil 时，约束的行为等于 `minDomains` 为 1。
-  - 当 `minDomains` 不为 nil 时，`whenUnsatisfiable` 的值必须为 "`DoNotSchedule`" 。
-
-  {{< note >}}
-  <!--
-  The `minDomains` field is an alpha field added in 1.24. You have to enable the
-  `MinDomainsInPodToplogySpread` [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
-  in order to use it.
-  -->
-  `minDomains` 字段是在 1.24 版本中新增的 alpha 字段。你必须启用
-  `MinDomainsInPodToplogySpread` [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)才能使用它。
-  {{< /note >}}
-
-<!--
-- **topologyKey** is the key of node labels. If two Nodes are labelled with this key and have identical values for that label, the scheduler treats both Nodes as being in the same topology. The scheduler tries to place a balanced number of Pods into each topology domain.
-
-- **whenUnsatisfiable** indicates how to deal with a Pod if it doesn't satisfy the spread constraint:
-    - `DoNotSchedule` (default) tells the scheduler not to schedule it.
-    - `ScheduleAnyway` tells the scheduler to still schedule it while prioritizing nodes that minimize the skew.
-
-- **labelSelector** is used to find matching Pods. Pods that match this label selector are counted to determine the number of Pods in their corresponding topology domain. See [Label Selectors](/docs/concepts/overview/working-with-objects/labels/#label-selectors) for more details.
--->
-- **topologyKey** 是节点标签的键。如果两个节点使用此键标记并且具有相同的标签值，
-  则调度器会将这两个节点视为处于同一拓扑域中。调度器试图在每个拓扑域中放置数量均衡的 Pod。
-
-- **whenUnsatisfiable** 指示如果 Pod 不满足分布约束时如何处理：
-  - `DoNotSchedule`（默认）告诉调度器不要调度。
-  - `ScheduleAnyway` 告诉调度器仍然继续调度，只是根据如何能将偏差最小化来对节点进行排序。
-
-- **labelSelector** 用于查找匹配的 Pod。匹配此标签的 Pod 将被统计，
-  以确定相应拓扑域中 Pod 的数量。
-  有关详细信息，请参考[标签选择算符](/zh-cn/docs/concepts/overview/working-with-objects/labels/#label-selectors)。
-
-<!--
-When a Pod defines more than one `topologySpreadConstraint`, those constraints are ANDed: The kube-scheduler looks for a node for the incoming Pod that satisfies all the constraints.
--->
-当 Pod 定义了不止一个 `topologySpreadConstraint`，这些约束之间是逻辑与的关系。
-kube-scheduler 会为新的 Pod 寻找一个能够满足所有约束的节点。
-
-<!--
-You can read more about this field by running `kubectl explain Pod.spec.topologySpreadConstraints`.
--->
-你可以执行 `kubectl explain Pod.spec.topologySpreadConstraints`
-命令以了解关于 topologySpreadConstraints 的更多信息。
-
-<!--
-### Example: One TopologySpreadConstraint
-
-Suppose you have a 4-node cluster where 3 Pods labeled `foo:bar` are located in node1, node2 and node3 respectively:
--->
-### 例子：单个 TopologySpreadConstraint
-
-假设你拥有一个 4 节点集群，其中标记为 `foo:bar` 的 3 个 Pod 分别位于
-node1、node2 和 node3 中：
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-<!--
-If we want an incoming Pod to be evenly spread with existing Pods across zones, the spec can be given as:
--->
-如果希望新来的 Pod 均匀分布在现有的可用区域，则可以按如下设置其规约：
-
-{{< codenew file="pods/topology-spread-constraints/one-constraint.yaml" >}}
-
-<!--
-`topologyKey: zone` implies the even distribution will only be applied to the nodes which have label pair "zone:&lt;any value&gt;" present. `whenUnsatisfiable: DoNotSchedule` tells the scheduler to let it stay pending if the incoming Pod can’t satisfy the constraint.
--->
-`topologyKey: zone` 意味着均匀分布将只应用于存在标签键值对为
-"zone:&lt;任何值&gt;" 的节点。
-`whenUnsatisfiable: DoNotSchedule` 告诉调度器如果新的 Pod 不满足约束，
-则让它保持悬决状态。
-
-<!--
-If the scheduler placed this incoming Pod into "zoneA", the Pods distribution would become [3, 1], hence the actual skew is 2 (3 - 1) - which violates `maxSkew: 1`. In this example, the incoming Pod can only be placed onto "zoneB":
--->
-如果调度器将新的 Pod 放入 "zoneA"，Pods 分布将变为 [3, 1]，因此实际的偏差为
-2（3 - 1）。这违反了 `maxSkew: 1` 的约定。此示例中，新 Pod 只能放置在
-"zoneB" 上：
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        p4(mypod) --> n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-或者
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        p4(mypod) --> n3
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-<!--
-You can tweak the Pod spec to meet various kinds of requirements:
--->
-你可以调整 Pod 规约以满足各种要求：
-
-<!--
-- Change `maxSkew` to a bigger value like "2" so that the incoming Pod can be placed onto "zoneA" as well.
-- Change `topologyKey` to "node" so as to distribute the Pods evenly across nodes instead of zones. In the above example, if `maxSkew` remains "1", the incoming Pod can only be placed onto "node4".
-- Change `whenUnsatisfiable: DoNotSchedule` to `whenUnsatisfiable: ScheduleAnyway` to ensure the incoming Pod to be always schedulable (suppose other scheduling APIs are satisfied). However, it’s preferred to be placed onto the topology domain which has fewer matching Pods. (Be aware that this preferability is jointly normalized with other internal scheduling priorities like resource usage ratio, etc.)
--->
-- 将 `maxSkew` 更改为更大的值，比如 "2"，这样新的 Pod 也可以放在 "zoneA" 上。
-- 将 `topologyKey` 更改为 "node"，以便将 Pod 均匀分布在节点上而不是区域中。
-  在上面的例子中，如果 `maxSkew` 保持为 "1"，那么传入的 Pod 只能放在 "node4" 上。
-- 将 `whenUnsatisfiable: DoNotSchedule` 更改为 `whenUnsatisfiable: ScheduleAnyway`，
-  以确保新的 Pod 始终可以被调度（假设满足其他的调度 API）。
-  但是，最好将其放置在匹配 Pod 数量较少的拓扑域中。
-  （请注意，这一优先判定会与其他内部调度优先级（如资源使用率等）排序准则一起进行标准化。）
-
-<!--
-### Example: Multiple TopologySpreadConstraints
--->
-### 例子：多个 TopologySpreadConstraints
-
-<!--
-This builds upon the previous example. Suppose you have a 4-node cluster where 3 Pods labeled `foo:bar` are located in node1, node2 and node3 respectively (`P` represents Pod):
--->
-下面的例子建立在前面例子的基础上。假设你拥有一个 4 节点集群，其中 3 个标记为 `foo:bar` 的
-Pod 分别位于 node1、node2 和 node3 上：
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3 k8s;
-    class p4 plain;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-<!--
-You can use 2 TopologySpreadConstraints to control the Pods spreading on both zone and node:
--->
-可以使用 2 个 TopologySpreadConstraint 来控制 Pod 在 区域和节点两个维度上的分布：
-
-{{< codenew file="pods/topology-spread-constraints/two-constraints.yaml" >}}
-
-<!--
-In this case, to match the first constraint, the incoming Pod can only be placed onto "zoneB"; while in terms of the second constraint, the incoming Pod can only be placed onto "node4". Then the results of 2 constraints are ANDed, so the only viable option is to place on "node4".
--->
-在这种情况下，为了匹配第一个约束，新的 Pod 只能放置在 "zoneB" 中；而在第二个约束中，
-新的 Pod 只能放置在 "node4" 上。最后两个约束的结果加在一起，唯一可行的选择是放置在
-"node4" 上。
-
-<!--
-Multiple constraints can lead to conflicts. Suppose you have a 3-node cluster across 2 zones:
--->
-多个约束之间可能存在冲突。假设有一个跨越 2 个区域的 3 节点集群：
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p4(Pod) --> n3(Node3)
-        p5(Pod) --> n3
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n1
-        p3(Pod) --> n2(Node2)
-    end
-
-    classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-    classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-    classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-    class n1,n2,n3,n4,p1,p2,p3,p4,p5 k8s;
-    class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-<!--
-If you apply "two-constraints.yaml" to this cluster, you will notice "mypod" stays in `Pending` state. This is because: to satisfy the first constraint, "mypod" can only be put to "zoneB"; while in terms of the second constraint, "mypod" can only put onto "node2". Then a joint result of "zoneB" and "node2" returns nothing.
--->
-如果对集群应用 "two-constraints.yaml"，会发现 "mypod" 处于 `Pending` 状态。
-这是因为：为了满足第一个约束，"mypod" 只能放在 "zoneB" 中，而第二个约束要求
-"mypod" 只能放在 "node2" 上。Pod 调度无法满足两种约束。
-
-<!--
-To overcome this situation, you can either increase the `maxSkew` or modify one of the constraints to use `whenUnsatisfiable: ScheduleAnyway`.
--->
-为了克服这种情况，你可以增加 `maxSkew` 或修改其中一个约束，让其使用
-`whenUnsatisfiable: ScheduleAnyway`。
-
-<!--
-### Interaction With Node Affinity and Node Selectors
-
-The scheduler will skip the non-matching nodes from the skew calculations if the incoming Pod has `spec.nodeSelector` or `spec.affinity.nodeAffinity` defined.
--->
-### 节点亲和性与节点选择器的相互作用   {#interaction-with-node-affinity-and-node-selectors}
-
-如果 Pod 定义了 `spec.nodeSelector` 或 `spec.affinity.nodeAffinity`，
-调度器将在偏差计算中跳过不匹配的节点。
-
-<!--
-### Example: TopologySpreadConstraints with NodeAffinity
-
-Suppose you have a 5-node cluster ranging from zoneA to zoneC:
--->
-### 示例：TopologySpreadConstraints 与 NodeAffinity
-
-假设你有一个跨越 zoneA 到 zoneC 的 5 节点集群：
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneB"
-        p3(Pod) --> n3(Node3)
-        n4(Node4)
-    end
-    subgraph "zoneA"
-        p1(Pod) --> n1(Node1)
-        p2(Pod) --> n2(Node2)
-    end
-
-classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-class n1,n2,n3,n4,p1,p2,p3 k8s;
-class p4 plain;
-class zoneA,zoneB cluster;
-{{< /mermaid >}}
-
-{{<mermaid>}}
-graph BT
-    subgraph "zoneC"
-        n5(Node5)
-    end
-
-classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000;
-classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff;
-classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5;
-class n5 k8s;
-class zoneC cluster;
-{{< /mermaid >}}
-
-
-<!--
-and you know that "zoneC" must be excluded. In this case, you can compose the yaml as below, so that "mypod" will be placed into "zoneB" instead of "zoneC". Similarly `spec.nodeSelector` is also respected.
--->
-而且你知道 "zoneC" 必须被排除在外。在这种情况下，可以按如下方式编写 YAML，
-以便将 "mypod" 放置在 "zoneB" 上，而不是 "zoneC" 上。同样，`spec.nodeSelector`
-也要一样处理。
-
-{{< codenew file="pods/topology-spread-constraints/one-constraint-with-nodeaffinity.yaml" >}}
-
-<!--
-The scheduler doesn't have prior knowledge of all the zones or other topology domains that a cluster has. They are determined from the existing nodes in the cluster. This could lead to a problem in autoscaled clusters, when a node pool (or node group) is scaled to zero nodes and the user is expecting them to scale up, because, in this case, those topology domains won't be considered until there is at least one node in them.
--->
-调度器不会预先知道集群拥有的所有区域和其他拓扑域。拓扑域由集群中存在的节点确定。
-在自动伸缩的集群中，如果一个节点池（或节点组）的节点数量为零，
-而用户正期望其扩容时，可能会导致调度出现问题。
-因为在这种情况下，调度器不会考虑这些拓扑域信息，因为它们是空的，没有节点。
-
-<!--
-### Other Noticeable Semantics
-
-There are some implicit conventions worth noting here:
--->
-### 其他值得注意的语义   {#other-noticeable-semantics}
-
-这里有一些值得注意的隐式约定：
-
-<!--
-- Only the Pods holding the same namespace as the incoming Pod can be matching candidates.
-
-- The scheduler will bypass the nodes without `topologySpreadConstraints[*].topologyKey` present. This implies that:
-
-  1. the Pods located on those nodes do not impact `maxSkew` calculation - in the above example, suppose "node1" does not have label "zone", then the 2 Pods will be disregarded, hence the incoming Pod will be scheduled into "zoneA".
-  2. the incoming Pod has no chances to be scheduled onto such nodes - in the above example, suppose a "node5" carrying label `{zone-typo: zoneC}` joins the cluster, it will be bypassed due to the absence of label key "zone".
--->
-- 只有与新的 Pod 具有相同命名空间的 Pod 才能作为匹配候选者。
-- 调度器会忽略没有 `topologySpreadConstraints[*].topologyKey` 的节点。这意味着：
-  1. 位于这些节点上的 Pod 不影响 `maxSkew` 的计算。
-     在上面的例子中，假设 "node1" 没有标签 "zone"，那么 2 个 Pod 将被忽略，
-     因此传入的 Pod 将被调度到 "zoneA" 中。
-
-  2. 新的 Pod 没有机会被调度到这类节点上。
-     在上面的例子中，假设一个带有标签 `{zone-typo: zoneC}` 的 "node5" 加入到集群，
-     它将由于没有标签键 "zone" 而被忽略。
-
-<!--
-- Be aware of what will happen if the incomingPod’s `topologySpreadConstraints[*].labelSelector` doesn’t match its own labels. In the above example, if we remove the incoming Pod’s labels, it can still be placed onto "zoneB" since the constraints are still satisfied. However, after the placement, the degree of imbalance of the cluster remains unchanged - it’s still zoneA having 2 Pods which hold label {foo:bar}, and zoneB having 1 Pod which holds label {foo:bar}. So if this is not what you expect, we recommend the workload’s `topologySpreadConstraints[*].labelSelector` to match its own labels.
--->
-- 注意，如果新 Pod 的 `topologySpreadConstraints[*].labelSelector`
-  与自身的标签不匹配，将会发生什么。
-  在上面的例子中，如果移除新 Pod 上的标签，Pod 仍然可以调度到 "zoneB"，因为约束仍然满足。
-  然而，在调度之后，集群的不平衡程度保持不变。zoneA 仍然有 2 个带有 {foo:bar} 标签的 Pod，
-  zoneB 有 1 个带有 {foo:bar} 标签的 Pod。
-  因此，如果这不是你所期望的，建议工作负载的 `topologySpreadConstraints[*].labelSelector`
-  与其自身的标签匹配。
-
-<!--
-### Cluster-level default constraints
-
-It is possible to set default topology spread constraints for a cluster. Default
-topology spread constraints are applied to a Pod if, and only if:
-
-- It doesn't define any constraints in its `.spec.topologySpreadConstraints`.
-- It belongs to a service, replication controller, replica set or stateful set.
--->
-### 集群级别的默认约束   {#cluster-level-default-constraints}
-
-为集群设置默认的拓扑分布约束也是可能的。
-默认拓扑分布约束在且仅在以下条件满足时才会被应用到 Pod 上：
-
-- Pod 没有在其 `.spec.topologySpreadConstraints` 设置任何约束；
-- Pod 隶属于某个服务、副本控制器、ReplicaSet 或 StatefulSet。
-
-<!--
-Default constraints can be set as part of the `PodTopologySpread` plugin args
-in a [scheduling profile](/docs/reference/scheduling/config/#profiles).
-The constraints are specified with the same [API above](#api), except that
-`labelSelector` must be empty. The selectors are calculated from the services,
-replication controllers, replica sets or stateful sets that the Pod belongs to.
-
-An example configuration might look like follows:
--->
-你可以在 [调度方案（Scheduling Profile）](/zh-cn/docs/reference/scheduling/config/#profiles)
-中将默认约束作为 `PodTopologySpread` 插件参数的一部分来设置。
-约束的设置采用[如前所述的 API](#api)，只是 `labelSelector` 必须为空。
-选择算符是根据 Pod 所属的服务、副本控制器、ReplicaSet 或 StatefulSet 来设置的。
-
-配置的示例可能看起来像下面这个样子：
-
-```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta3
-kind: KubeSchedulerConfiguration
-
-profiles:
-  - schedulerName: default-scheduler
-    pluginConfig:
-      - name: PodTopologySpread
-        args:
-          defaultConstraints:
-            - maxSkew: 1
-              topologyKey: topology.kubernetes.io/zone
-              whenUnsatisfiable: ScheduleAnyway
-          defaultingType: List
-```
-
-{{< note >}}
-<!--
-[`SelectorSpread` plugin](/docs/reference/scheduling/config/#scheduling-plugins)
-is disabled by default. It's recommended to use `PodTopologySpread` to achieve similar
-behavior.
--->
-[`SelectorSpread` 插件](/zh-cn/docs/reference/scheduling/config/#scheduling-plugins)默认是被禁用的。
-建议使用 `PodTopologySpread` 来实现类似的行为。
-{{< /note >}}
-
-<!--
-#### Internal default constraints
--->
-#### 内部默认约束    {#internal-default-constraints}
-
-{{< feature-state for_k8s_version="v1.24" state="stable" >}}
-
-<!--
-If you don't configure any cluster-level default constraints for pod topology spreading,
-then kube-scheduler acts as if you specified the following default topology constraints:
--->
-如果你没有为 Pod 拓扑分布配置任何集群级别的默认约束，
-kube-scheduler 的行为就像你指定了以下默认拓扑约束一样：
-
-```yaml
-defaultConstraints:
-  - maxSkew: 3
-    topologyKey: "kubernetes.io/hostname"
-    whenUnsatisfiable: ScheduleAnyway
-  - maxSkew: 5
-    topologyKey: "topology.kubernetes.io/zone"
-    whenUnsatisfiable: ScheduleAnyway
-```
-
-<!--
-Also, the legacy `SelectorSpread` plugin, which provides an equivalent behavior,
-is disabled by default.
--->
-此外，原来用于提供等同行为的 `SelectorSpread` 插件默认被禁用。
-
-{{< note >}}
-<!--
-The `PodTopologySpread` plugin does not score the nodes that don't have
-the topology keys specified in the spreading constraints. This might result
-in a different default behavior compared to the legacy `SelectorSpread` plugin when
-using the default topology constraints.
--->
-对于分布约束中所指定的拓扑键而言，`PodTopologySpread` 插件不会为不包含这些主键的节点评分。
-这可能导致在使用默认拓扑约束时，其行为与原来的 `SelectorSpread` 插件的默认行为不同，
-
-<!--
-If your nodes are not expected to have **both** `kubernetes.io/hostname` and
-`topology.kubernetes.io/zone` labels set, define your own constraints
-instead of using the Kubernetes defaults.
--->
-如果你的节点不会 **同时** 设置 `kubernetes.io/hostname` 和
-`topology.kubernetes.io/zone` 标签，你应该定义自己的约束而不是使用
-Kubernetes 的默认约束。
-{{< /note >}}
-
-<!--
-If you don't want to use the default Pod spreading constraints for your cluster,
-you can disable those defaults by setting `defaultingType` to `List` and leaving
-empty `defaultConstraints` in the `PodTopologySpread` plugin configuration:
--->
-如果你不想为集群使用默认的 Pod 分布约束，你可以通过设置 `defaultingType` 参数为 `List`
-并将 `PodTopologySpread` 插件配置中的 `defaultConstraints` 参数置空来禁用默认 Pod 分布约束。
-
-```yaml
-apiVersion: kubescheduler.config.k8s.io/v1beta3
-kind: KubeSchedulerConfiguration
-
-profiles:
-  - schedulerName: default-scheduler
-    pluginConfig:
-      - name: PodTopologySpread
-        args:
-          defaultConstraints: []
-          defaultingType: List
-```
-
-<!--
-## Comparison with PodAffinity/PodAntiAffinity
-
-In Kubernetes, directives related to "Affinity" control how Pods are
-scheduled - more packed or more scattered.
--->
-## 与 PodAffinity/PodAntiAffinity 相比较
-
-在 Kubernetes 中，与“亲和性”相关的指令控制 Pod 的调度方式（更密集或更分散）。
-
-<!--
-- For `PodAffinity`, you can try to pack any number of Pods into qualifying
-  topology domain(s)
-- For `PodAntiAffinity`, only one Pod can be scheduled into a
-  single topology domain.
--->
-- 对于 `PodAffinity`，你可以尝试将任意数量的 Pod 集中到符合条件的拓扑域中。
-- 对于 `PodAntiAffinity`，只能将一个 Pod 调度到某个拓扑域中。
-
-<!--
-For finer control, you can specify topology spread constraints to distribute
-Pods across different topology domains - to achieve either high availability or
-cost-saving. This can also help on rolling update workloads and scaling out
-replicas smoothly. See
-[Motivation](https://github.com/kubernetes/enhancements/tree/master/keps/sig-scheduling/895-pod-topology-spread#motivation)
-for more details.
--->
-要实现更细粒度的控制，你可以设置拓扑分布约束来将 Pod 分布到不同的拓扑域下，
-从而实现高可用性或节省成本。这也有助于工作负载的滚动更新和平稳地扩展副本规模。
-有关详细信息，请参考
-[动机](https://github.com/kubernetes/enhancements/blob/master/keps/sig-scheduling/20190221-pod-topology-spread.md#motivation)文档。
-
-<!--
-## Known Limitations
-
-- There's no guarantee that the constraints remain satisfied when Pods are removed. For example, scaling down a Deployment may result in imbalanced Pods distribution.
-You can use [Descheduler](https://github.com/kubernetes-sigs/descheduler) to rebalance the Pods distribution.
-
-- Pods matched on tainted nodes are respected. See [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921)
--->
-## 已知局限性
-
-- 当 Pod 被移除时，无法保证约束仍被满足。例如，缩减某 Deployment 的规模时，
-  Pod 的分布可能不再均衡。
-  你可以使用 [Descheduler](https://github.com/kubernetes-sigs/descheduler)
-  来重新实现 Pod 分布的均衡。
-
-- 具有污点的节点上匹配的 Pods 也会被统计。
-  参考 [Issue 80921](https://github.com/kubernetes/kubernetes/issues/80921)。
-
-## {{% heading "whatsnext" %}}
-
-<!--
-- [Blog: Introducing PodTopologySpread](https://kubernetes.io/blog/2020/05/introducing-podtopologyspread/)
-  explains `maxSkew` in details, as well as bringing up some advanced usage examples.
--->
-- [博客: PodTopologySpread介绍](https://kubernetes.io/blog/2020/05/introducing-podtopologyspread/)
-  详细解释了 `maxSkew`，并给出了一些高级的使用示例。
diff --git a/content/zh-cn/docs/contribute/_index.md b/content/zh-cn/docs/contribute/_index.md
index b21312ff8b8..1ec143445b2 100644
--- a/content/zh-cn/docs/contribute/_index.md
+++ b/content/zh-cn/docs/contribute/_index.md
@@ -216,7 +216,7 @@ Figure 2. Preparation for your first contribution.
 图 2. 第一次贡献的准备工作。
 
 <!--
-- Read the [Contribution overview](/docs/contribute/new-content/overview/) to
+- Read the [Contribution overview](/docs/contribute/new-content/) to
   learn about the different ways you can contribute.
 - Check [`kubernetes/website` issues list](https://github.com/kubernetes/website/issues/)
   for issues that make good entry points.
diff --git a/content/zh-cn/docs/contribute/advanced.md b/content/zh-cn/docs/contribute/advanced.md
index 7f49ce5bf8f..074da4b64f6 100644
--- a/content/zh-cn/docs/contribute/advanced.md
+++ b/content/zh-cn/docs/contribute/advanced.md
@@ -15,7 +15,7 @@ weight: 98
 
 <!--
 This page assumes that you understand how to
-[contribute to new content](/docs/contribute/new-content/overview) and
+[contribute to new content](/docs/contribute/new-content/) and
 [review others' work](/docs/contribute/review/reviewing-prs/), and are ready
 to learn about more ways to contribute. You need to use the Git command line
 client and other tools for some of these tasks.
diff --git a/content/zh-cn/docs/contribute/localization.md b/content/zh-cn/docs/contribute/localization.md
index 9c21b55e2aa..abd8ac59dd8 100644
--- a/content/zh-cn/docs/contribute/localization.md
+++ b/content/zh-cn/docs/contribute/localization.md
@@ -445,7 +445,7 @@ PR 必须包含所有[最低要求内容](#minimum-required-content)才能获得
 <!--
 ### Add a localized README file
 
-To guide other localization contributors, add a new [`README-**.md`](https://help.github.com/articles/about-readmes/) to the top level of [k/website](https://github.com/kubernetes/website/), where `**` is the two-letter language code. For example, a German README file would be `README-de.md`.
+To guide other localization contributors, add a new [`README-**.md`](https://help.github.com/articles/about-readmes/) to the top level of [kubernetes/website](https://github.com/kubernetes/website/), where `**` is the two-letter language code. For example, a German README file would be `README-de.md`.
 
 Provide guidance to localization contributors in the localized `README-**.md` file. Include the same information contained in `README.md` as well as:
 
@@ -454,7 +454,7 @@ Provide guidance to localization contributors in the localized `README-**.md` fi
 -->
 ### 添加本地化的 README 文件 {#add-a-localized-readme-file}
 
-为了指导其他本地化贡献者，请在 [k/website](https://github.com/kubernetes/website/)
+为了指导其他本地化贡献者，请在 [kubernetes/website](https://github.com/kubernetes/website/)
 的根目录添加一个新的 [`README-**.md`](https://help.github.com/articles/about-readmes/)，
 其中 `**` 是两个字母的语言代码。例如，德语 README 文件为 `README-de.md`。
 
@@ -679,7 +679,7 @@ To collaborate on a localization branch:
 
     `dev-<source version>-<language code>.<team milestone>`
 
-    For example, an approver on a German localization team opens the localization branch `dev-1.12-de.1` directly against the k/website repository, based on the source branch for Kubernetes v1.12.
+    For example, an approver on a German localization team opens the localization branch `dev-1.12-de.1` directly against the kubernetes/website repository, based on the source branch for Kubernetes v1.12.
 -->
 1. [@kubernetes/website-maintainers](https://github.com/orgs/kubernetes/teams/website-maintainers)
    中的团队成员从 https://github.com/kubernetes/website 原有分支新建一个本地化分支。
@@ -691,7 +691,7 @@ To collaborate on a localization branch:
    `dev-<source version>-<language code>.<team milestone>`
 
    例如，一个德语本地化团队的批准人基于 Kubernetes v1.12 版本的源分支，
-   直接新建了 k/website 仓库的本地化分支 `dev-1.12-de.1`。
+   直接新建了 kubernetes/website 仓库的本地化分支 `dev-1.12-de.1`。
 
 <!--
 2. Individual contributors open feature branches based on the localization branch.
diff --git a/content/zh-cn/docs/contribute/new-content/new-features.md b/content/zh-cn/docs/contribute/new-content/new-features.md
index bf75186ac3a..55828147c10 100644
--- a/content/zh-cn/docs/contribute/new-content/new-features.md
+++ b/content/zh-cn/docs/contribute/new-content/new-features.md
@@ -24,8 +24,7 @@ card:
 <!-- overview -->
 
 <!--
-Each major Kubernetes release introduces new features that require documentation.
-New releases also bring updates to existing features and documentation (such as upgrading a feature from alpha to beta).
+Each major Kubernetes release introduces new features that require documentation. New releases also bring updates to existing features and documentation (such as upgrading a feature from alpha to beta).
 
 Generally, the SIG responsible for a feature submits draft documentation of the
 feature as a pull request to the appropriate development branch of the
@@ -71,7 +70,7 @@ the techniques described in
 ### Find out about upcoming features
 
 To find out about upcoming features, attend the weekly SIG Release meeting (see
-the [community](https://kubernetes.io/community/) page for upcoming meetings)
+the [community](/community/) page for upcoming meetings)
 and monitor the release-specific documentation
 in the [kubernetes/sig-release](https://github.com/kubernetes/sig-release/)
 repository. Each release has a sub-directory in the [/sig-release/tree/master/releases/](https://github.com/kubernetes/sig-release/tree/master/releases)
@@ -81,7 +80,7 @@ notes, and a document listing each person on the release team.
 ### 了解即将发布的功能特性
 
 要了解即将发布的功能特性，可以参加每周的 SIG Release 例会
-（参考[社区](https://kubernetes.io/community/)页面，了解即将召开的会议），
+（参考[社区](/zh-cn/community/)页面，了解即将召开的会议），
 监视 [kubernetes/sig-release](https://github.com/kubernetes/sig-release/)
 中与发行相关的文档。
 每个发行版本在
@@ -226,11 +225,9 @@ When ready, populate your placeholder PR with feature documentation and change
 the state of the PR from draft to **ready for review**. To mark a pull request
 as ready for review, navigate to the merge box and click **Ready for review**.
 
-Do your best to describe your feature and how to use it. If you need help
-structuring your documentation, ask in the `#sig-docs` slack channel.
+Do your best to describe your feature and how to use it. If you need help structuring your documentation, ask in the `#sig-docs` slack channel.
 
-When you complete your content, the documentation person assigned to your
-feature reviews it. 
+When you complete your content, the documentation person assigned to your feature reviews it.
 To ensure technical accuracy, the content may also require a technical review from corresponding SIG(s).
 Use their suggestions to get the content to a release ready state.
 -->
@@ -264,6 +261,12 @@ table with Alpha and Beta history intact.
 [已毕业或废弃的特性](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/#feature-gates-for-graduated-or-deprecated-features)
 表格中，并确保迁移后保留其 Alpha、Beta 版本变迁历史。
 
+<!-- 
+If your feature needs documentation and the first draft
+content is not received, the feature may be removed from the milestone.
+-->
+如果你的功能特性需要文档，而你未提交初版文档，该特性可能会被从里程碑中删除。
+
 <!--
 ### All PRs reviewed and ready to merge
 
diff --git a/content/zh-cn/docs/contribute/new-content/open-a-pr.md b/content/zh-cn/docs/contribute/new-content/open-a-pr.md
index a0dd88e8e1b..1e2dc956c1b 100644
--- a/content/zh-cn/docs/contribute/new-content/open-a-pr.md
+++ b/content/zh-cn/docs/contribute/new-content/open-a-pr.md
@@ -23,7 +23,9 @@ upcoming Kubernetes release, see
 [Document a new feature](/docs/contribute/new-content/new-features/).
 {{< /note >}}
 
-To contribute new content pages or improve existing content pages, open a pull request (PR). Make sure you follow all the requirements in the [Before you begin](/docs/contribute/new-content/overview/#before-you-begin) section.
+To contribute new content pages or improve existing content pages, open a pull request (PR).
+Make sure you follow all the requirements in the
+[Before you begin](/docs/contribute/new-content/) section.
 -->
 {{< note >}}
 **代码开发者们**：如果你在为下一个 Kubernetes 发行版本中的某功能特性撰写文档，
@@ -31,14 +33,14 @@ To contribute new content pages or improve existing content pages, open a pull r
 {{< /note >}}
 
 要贡献新的内容页面或者改进已有内容页面，请发起拉取请求（PR）。
-请确保你满足了[开始之前](/zh-cn/docs/contribute/new-content/#before-you-begin)一节中所列举的所有要求。
+请确保你满足了[开始之前](/zh-cn/docs/contribute/new-content/)一节中所列举的所有要求。
 
 <!--
-If your change is small, or you're unfamiliar with git, read [Changes using
-GitHub](#changes-using-github) to learn how to edit a page.
+If your change is small, or you're unfamiliar with git, read
+[Changes using GitHub](#changes-using-github) to learn how to edit a page.
 
-If your changes are large, read [Work from a local fork](#fork-the-repo) to
-learn how to make changes locally on your computer.
+If your changes are large, read [Work from a local fork](#fork-the-repo) to learn how to make
+changes locally on your computer.
 -->
 如果你所提交的变更足够小，或者你对 git 工具不熟悉，可以阅读
 [使用 GitHub 提交变更](#changes-using-github)以了解如何编辑页面。
@@ -52,12 +54,12 @@ learn how to make changes locally on your computer.
 ## Changes using GitHub
 
 If you're less experienced with git workflows, here's an easier method of
-opening a pull request. The figure below outlines the steps and the details follow.
+opening a pull request. Figure 1 outlines the steps and the details follow.
 -->
-## 使用 GitHub 提交变更 {#changes-using-github}
+## 使用 GitHub 提交变更   {#changes-using-github}
 
 如果你在 git 工作流方面欠缺经验，这里有一种发起拉取请求的更为简单的方法。
-下图勾勒了后续的步骤和细节。
+图 1 勾勒了后续的步骤和细节。
 
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
 <!-- You can also cut/paste the mermaid code into the live editor at https://mermaid-js.github.io/mermaid-live-editor to play around with it -->
@@ -90,67 +92,75 @@ class tasks,tasks2 white
 class id1 k8s
 {{</ mermaid >}}
 
-***插图 - 使用 GitHub 发起一个 PR 的步骤***
+<!--
+Figure 1. Steps for opening a PR using GitHub.
+-->
+图 1. 使用 GitHub 发起一个 PR 的步骤。
 
 <!--
-1.  On the page where you see the issue, select the pencil icon at the top right.
-    You can also scroll to the bottom of the page and select **Edit this page**.
-2.  Make your changes in the GitHub markdown editor.
-3.  Below the editor, fill in the **Propose file change**
-    form. In the first field, give your commit message a title. In
-    the second field, provide a description.
--->
+1. On the page where you see the issue, select the pencil icon at the top right.
+   You can also scroll to the bottom of the page and select **Edit this page**.
 
+1. Make your changes in the GitHub markdown editor.
+
+1. Below the editor, fill in the **Propose file change** form.
+   In the first field, give your commit message a title.
+   In the second field, provide a description.
+-->
 1. 在你发现问题的网页，选择右上角的铅笔图标。
    你也可以滚动到页面底端，选择**编辑此页**。
+
 2. 在 GitHub 的 Markdown 编辑器中修改内容。
+
 3. 在编辑器的下方，填写 **Propose file change** 表单。
    在第一个字段中，为你的提交消息取一个标题。
    在第二个字段中，为你的提交写一些描述文字。
-<!-- 
-    {{< note >}}
-    Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword) in your commit message. You can add those to the pull request
-    description later.
-    {{< /note >}}
--->
+
+   <!-- 
+   Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)
+   in your commit message. You can add those to the pull request description later.
+   -->
    {{< note >}}
    不要在提交消息中使用 [GitHub 关键词](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)。
    你可以在后续的 PR 描述中使用这些关键词。
    {{< /note >}}
+
 <!--
-4.  Select **Propose file change**.
+1. Select **Propose file change**.
 
-5.  Select **Create pull request**.
+1. Select **Create pull request**.
 
-6.  The **Open a pull request** screen appears. Fill in the form:
+1. The **Open a pull request** screen appears. Fill in the form:
 
-    - The **Subject** field of the pull request defaults to the commit summary.
-    You can change it if needed.
-    - The **Body** contains your extended commit message, if you have one,
-    and some template text. Add the
-    details the template text asks for, then delete the extra template text.
-    - Leave the **Allow edits from maintainers** checkbox selected.
+   - The **Subject** field of the pull request defaults to the commit summary.
+     You can change it if needed.
+   - The **Body** contains your extended commit message, if you have one,
+     and some template text. Add the
+     details the template text asks for, then delete the extra template text.
+   - Leave the **Allow edits from maintainers** checkbox selected.
 -->
 4. 选择 **Propose File Change**。
+
 5. 选择 **Create pull request**。
+
 6. 出现 **Open a pull request** 界面。填写表单：
 
-    - **Subject** 字段默认为提交的概要信息。你可以根据需要修改它。
-    - **Body** 字段包含更为详细的提交消息，如果你之前有填写过的话，
-      以及一些模板文字。填写模板所要求的详细信息，
-      之后删除多余的模板文字。
-    - 确保 **Allow edits from maintainers** 复选框被勾选。
+   - **Subject** 字段默认为提交的概要信息。你可以根据需要修改它。
+   - **Body** 字段包含更为详细的提交消息，如果你之前有填写过的话，
+     以及一些模板文字。填写模板所要求的详细信息，
+     之后删除多余的模板文字。
+   - 确保 **Allow edits from maintainers** 复选框被勾选。
 
    <!--
-   PR descriptions are a great way to help reviewers understand your change. For
-   more information, see [Opening a PR](#open-a-pr).
+   PR descriptions are a great way to help reviewers understand your change.
+   For more information, see [Opening a PR](#open-a-pr).
    -->
    {{< note >}}
    PR 描述信息是帮助 PR 评阅人了解你所提议的变更的重要途径。
    更多信息请参考[发起一个 PR](#open-a-pr)。
    {{< /note >}}
 
-<!-- 7.  Select **Create pull request**.  -->
+<!-- 1. Select **Create pull request**. -->
 7. 选择 **Create pull request**。
 
 <!--
@@ -161,7 +171,7 @@ approve it. The `k8s-ci-robot` suggests reviewers based on the nearest
 owner mentioned in the pages. If you have someone specific in mind,
 leave a comment with their GitHub username in it.
 -->
-### 在 GitHub 上处理反馈意见
+### 在 GitHub 上处理反馈意见   {#addressing-feedback-in-github}
 
 在合并 PR 之前，Kubernetes 社区成员会评阅并批准它。
 `k8s-ci-robot` 会基于页面中最近提及的属主来建议评阅人（reviewers）。
@@ -171,12 +181,12 @@ leave a comment with their GitHub username in it.
 If a reviewer asks you to make changes:
 
 1. Go to the **Files changed** tab.
-2. Select the pencil (edit) icon on any files changed by the
-pull request.
-3. Make the changes requested.
-4. Commit the changes.
+1. Select the pencil (edit) icon on any files changed by the pull request.
+1. Make the changes requested.
+1. Commit the changes.
 
-If you are waiting on a reviewer, reach out once every 7 days. You can also post a message in the `#sig-docs` Slack channel.
+If you are waiting on a reviewer, reach out once every 7 days. You can also post a message in the
+`#sig-docs` Slack channel.
 
 When your review is complete, a reviewer merges your PR and your changes go live a few minutes later.
 -->
@@ -199,11 +209,12 @@ When your review is complete, a reviewer merges your PR and your changes go live
 If you're more experienced with git, or if your changes are larger than a few lines,
 work from a local fork.
 
-Make sure you have [git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git) installed on your computer. You can also use a git UI application.
+Make sure you have [git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git) installed
+on your computer. You can also use a git UI application.
 
-The figure below shows the steps to follow when you work from a local fork. The details for each step follow.
+Figure 2 shows the steps to follow when you work from a local fork. The details for each step follow.
 -->
-## 基于本地克隆副本开展工作 {#work-from-a-local-fork}
+## 基于本地克隆副本开展工作   {#fork-the-repo}
 
 如果你有 git 的使用经验，或者你要提议的修改不仅仅几行，请使用本地克隆副本
 来开展工作。
@@ -211,7 +222,7 @@ The figure below shows the steps to follow when you work from a local fork. The
 首先要确保你在本地计算机上安装了 [git](https://git-scm.com/book/en/v2/Getting-Started-Installing-Git)。
 你也可以使用 git 的带用户界面的应用。
 
-下图显示了基于本地克隆副本开展工作的步骤。
+图 2 显示了基于本地克隆副本开展工作的步骤。
 每个步骤的细节如下。
 
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
@@ -243,88 +254,90 @@ class changes,changes2 white
 {{</ mermaid >}}
 
 <!-- 
-***Figure - Working from a local fork to make your changes***
+Figure 2. Working from a local fork to make your changes.
 -->
-***插图 - 使用本地克隆副本进行修改***
+图 2. 使用本地克隆副本进行修改。
 
 <!--
 ### Fork the kubernetes/website repository
 
 1. Navigate to the [`kubernetes/website`](https://github.com/kubernetes/website/) repository.
-2. Select **Fork**.
+1. Select **Fork**.
 -->
-### 派生 kubernetes/website 仓库
+### 派生 kubernetes/website 仓库   {#fork-the-kubernetes-website-repository}
 
 1. 前往 [`kubernetes/website`](https://github.com/kubernetes/website/) 仓库；
-2. 选择 **Fork**.
+1. 选择 **Fork**.
 
 <!--
 ### Create a local clone and set the upstream
 
-3. In a terminal window, clone your fork and update the [Docsy Hugo theme](https://github.com/google/docsy#readme):
+1. In a terminal window, clone your fork and update the [Docsy Hugo theme](https://github.com/google/docsy#readme):
 -->
-### 创建一个本地克隆副本并指定 upstream 仓库
+### 创建一个本地克隆副本并指定 upstream 仓库   {#create-a-local-clone-and-set-the-upstream}
 
-3. 打开终端窗口，克隆你所派生的副本，并更新 [Docsy Hugo 主题](https://github.com/google/docsy#readme)：
+1. 打开终端窗口，克隆你所派生的副本，并更新 [Docsy Hugo 主题](https://github.com/google/docsy#readme)：
 
-    ```bash
-    git clone git@github.com/<github_username>/website
-    cd website
-    git submodule update --init --recursive --depth 1
-    ```
+   ```shell
+   git clone git@github.com/<github_username>/website
+   cd website
+   git submodule update --init --recursive --depth 1
+   ```
 
 <!--
-4. Navigate to the new `website` directory. Set the `kubernetes/website` repository as the `upstream` remote:
+1. Navigate to the new `website` directory. Set the `kubernetes/website` repository as the `upstream` remote:
 -->
-4. 前往新的 `website` 目录，将 `kubernetes/website` 仓库设置为 `upstream`
+2. 前往新的 `website` 目录，将 `kubernetes/website` 仓库设置为 `upstream`
    远端：
 
-      ```bash
-      cd website
-      git remote add upstream https://github.com/kubernetes/website.git
-      ```
+   ```shell
+   cd website
+
+   git remote add upstream https://github.com/kubernetes/website.git
+   ```
 
 <!--
-5. Confirm your `origin` and `upstream` repositories:
+1. Confirm your `origin` and `upstream` repositories:
 -->
-5. 确认你现在有两个仓库，`origin` 和 `upstream`：
+3. 确认你现在有两个仓库，`origin` 和 `upstream`：
 
-    ```bash
-    git remote -v
-    ```
+   ```shell
+   git remote -v
+   ```
 
-    <!-- Output is similar to: -->
-    输出类似于：
+   Output is similar to:
 
-    ```bash
-    origin	git@github.com:<github_username>/website.git (fetch)
-    origin	git@github.com:<github_username>/website.git (push)
-    upstream	https://github.com/kubernetes/website.git (fetch)
-    upstream	https://github.com/kubernetes/website.git (push)
-    ```
+   ```none
+   origin	git@github.com:<github_username>/website.git (fetch)
+   origin	git@github.com:<github_username>/website.git (push)
+   upstream	https://github.com/kubernetes/website.git (fetch)
+   upstream	https://github.com/kubernetes/website.git (push)
+   ```
 <!--
-6. Fetch commits from your fork's `origin/master` and `kubernetes/website`'s `upstream/main`:
+1. Fetch commits from your fork's `origin/main` and `kubernetes/website`'s `upstream/main`:
 -->
-6. 从你的克隆副本取回 `origin/master` 分支，从 `kubernetes/website` 取回 `upstream/main`：
+4. 从你的克隆副本取回 `origin/main` 分支，从 `kubernetes/website` 取回 `upstream/main`：
+
+   ```shell
+   git fetch origin
+   git fetch upstream
+   ```
 
-    ```bash
-    git fetch origin
-    git fetch upstream
-    ```
    <!--
    This makes sure your local repository is up to date before you start making changes.
    -->
    这样可以确保你本地的仓库在开始工作前是最新的。
 
    <!--
-    {{< note >}}
-    This workflow is different than the [Kubernetes Community GitHub Workflow](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md). You do not need to merge your local copy of `main` with `upstream/main` before pushing updates to your fork.
-    {{< /note >}}
+   This workflow is different than the
+   [Kubernetes Community GitHub Workflow](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md).
+   You do not need to merge your local copy of `main` with `upstream/main` before pushing updates
+   to your fork.
    -->
-    {{< note >}}
-    此工作流程与 [Kubernetes 社区 GitHub 工作流](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md)有所不同。
-    在推送你的变更到你的远程派生副本库之前，你不需要将你本地的 `main` 与 `upstream/main` 合并。
-    {{< /note >}}
+   {{< note >}}
+   此工作流程与 [Kubernetes 社区 GitHub 工作流](https://github.com/kubernetes/community/blob/master/contributors/guide/github-workflow.md)有所不同。
+   在推送你的变更到你的远程派生副本库之前，你不需要将你本地的 `main` 与 `upstream/main` 合并。
+   {{< /note >}}
 
 <!--
 ### Create a branch
@@ -333,15 +346,16 @@ class changes,changes2 white
 
   - For improvements to existing content, use `upstream/main`.
   - For new content about existing features, use `upstream/main`.
-  - For localized content, use the localization's conventions. For more information, see [localizing Kubernetes documentation](/docs/contribute/localization/).
-  - For new features in an upcoming Kubernetes release, use the feature branch. For more information, see [documenting for a release](/docs/contribute/new-content/new-features/).
+  - For localized content, use the localization's conventions. For more information, see
+    [localizing Kubernetes documentation](/docs/contribute/localization/).
+  - For new features in an upcoming Kubernetes release, use the feature branch. For more
+    information, see [documenting for a release](/docs/contribute/new-content/new-features/).
   - For long-running efforts that multiple SIG Docs contributors collaborate on,
-    like content reorganization, use a specific feature branch created for that
-    effort.
+    like content reorganization, use a specific feature branch created for that effort.
 
     If you need help choosing a branch, ask in the `#sig-docs` Slack channel.
 -->
-### 创建一个分支
+### 创建一个分支   {#create-a-branch}
 
 1. 决定你要基于哪个分支来开展工作：
 
@@ -357,24 +371,24 @@ class changes,changes2 white
    如果你在选择分支上需要帮助，请在 `#sig-docs` Slack 频道提问。
 
 <!--
-2. Create a new branch based on the branch identified in step 1. This example assumes the base branch is `upstream/main`:
+1. Create a new branch based on the branch identified in step 1. This example assumes the base
+   branch is `upstream/main`:
 -->
 2. 基于第 1 步中选定的分支，创建新分支。
    下面的例子假定基础分支是 `upstream/main`：
 
-    ```bash
-    git checkout -b <my_new_branch> upstream/main
-    ```
-<!--
-3.  Make your changes using a text editor.
--->
+   ```shell
+   git checkout -b <my_new_branch> upstream/main
+   ```
 
+<!--
+3. Make your changes using a text editor.
+-->
 3. 使用文本编辑器进行修改。
 
 <!--
 At any time, use the `git status` command to see what files you've changed.
 -->
-
 在任何时候，都可以使用 `git status` 命令查看你所改变了的文件列表。
 
 <!--
@@ -382,112 +396,90 @@ At any time, use the `git status` command to see what files you've changed.
 
 When you are ready to submit a pull request, commit your changes.
 -->
-### 提交你的变更
+### 提交你的变更   {#commit-your-changes}
 
 当你准备好发起拉取请求（PR）时，提交你所做的变更。
 
 <!--
 1. In your local repository, check which files you need to commit:
-
-    ```bash
-    git status
-    ```
-
-    Output is similar to:
-
-    ```bash
-    On branch <my_new_branch>
-    Your branch is up to date with 'origin/<my_new_branch>'.
-
-    Changes not staged for commit:
-    (use "git add <file>..." to update what will be committed)
-    (use "git checkout -- <file>..." to discard changes in working directory)
-
-    modified:   content/en/docs/contribute/new-content/contributing-content.md
-
-    no changes added to commit (use "git add" and/or "git commit -a")
-    ```
 -->
 1. 在你的本地仓库中，检查你要提交的文件：
 
-    ```bash
-    git status
-    ```
+   ```shell
+   git status
+   ```
 
-    输出类似于：
+   <!--
+   Output is similar to:
+   -->
+   输出类似于：
 
-    ```bash
-    On branch <my_new_branch>
-    Your branch is up to date with 'origin/<my_new_branch>'.
+   ```none
+   On branch <my_new_branch>
+   Your branch is up to date with 'origin/<my_new_branch>'.
 
-    Changes not staged for commit:
-    (use "git add <file>..." to update what will be committed)
-    (use "git checkout -- <file>..." to discard changes in working directory)
+   Changes not staged for commit:
+   (use "git add <file>..." to update what will be committed)
+   (use "git checkout -- <file>..." to discard changes in working directory)
 
-    modified:   content/en/docs/contribute/new-content/contributing-content.md
+   modified:   content/en/docs/contribute/new-content/contributing-content.md
 
-    no changes added to commit (use "git add" and/or "git commit -a")
-    ```
+   no changes added to commit (use "git add" and/or "git commit -a")
+   ```
 
 <!--
-2. Add the files listed under **Changes not staged for commit** to the commit:
-
-    ```bash
-    git add <your_file_name>
-    ```
-
-    Repeat this for each file.
+1. Add the files listed under **Changes not staged for commit** to the commit:
 -->
 2. 将 **Changes not staged for commit** 下列举的文件添加到提交中：
 
-    ```bash
-    git add <your_file_name>
-    ```
+   ```shell
+   git add <your_file_name>
+   ```
+
+   <!--
+   Repeat this for each file.
+   -->
+   针对每个文件重复此操作。
 
-    针对每个文件重复此操作。
 <!--
-3.  After adding all the files, create a commit:
-
-    ```bash
-    git commit -m "Your commit message"
-    ```
-
-    {{< note >}}
-    Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword) in your commit message. You can add those to the pull request
-    description later.
-    {{< /note >}}
+1. After adding all the files, create a commit:
 -->
 3. 添加完所有文件之后，创建一个提交（commit）：
 
-    ```bash
-    git commit -m "Your commit message"
-    ```
+   ```shell
+   git commit -m "Your commit message"
+   ```
+
+   <!--
+   Do not use any [GitHub Keywords](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)
+   in your commit message. You can add those to the pull request
+   description later.
+   -->
+   {{< note >}}
+   不要在提交消息中使用任何 [GitHub 关键词](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)。
+   你可以在后续的 PR 描述中使用这些关键词。
+   {{< /note >}}
 
-    {{< note >}}
-    不要在提交消息中使用任何 [GitHub 关键词](https://help.github.com/en/github/managing-your-work-on-github/linking-a-pull-request-to-an-issue#linking-a-pull-request-to-an-issue-using-a-keyword)。
-    你可以在后续的 PR 描述中使用这些关键词。
-    {{< /note >}}
 <!--
-4. Push your local branch and its new commit to your remote fork:
-
-    ```bash
-    git push origin <my_new_branch>
-    ```
+1. Push your local branch and its new commit to your remote fork:
 -->
 4. 推送你本地分支及其中的新提交到你的远程派生副本库：
 
-    ```bash
-    git push origin <my_new_branch>
-    ```
+   ```shell
+   git push origin <my_new_branch>
+   ```
 
 <!--
 ### Preview your changes locally {#preview-locally}
 
-It's a good idea to preview your changes locally before pushing them or opening a pull request. A preview lets you catch build errors or markdown formatting problems.
+It's a good idea to preview your changes locally before pushing them or opening a pull request.
+A preview lets you catch build errors or markdown formatting problems.
 
-You can either build the website's container image or run Hugo locally. Building the container image is slower but displays [Hugo shortcodes](/docs/contribute/style/hugo-shortcodes/), which can be useful for debugging.
+You can either build the website's container image or run Hugo locally. Building the container
+image is slower but displays [Hugo shortcodes](/docs/contribute/style/hugo-shortcodes/), which can
+be useful for debugging.
 -->
-### 在本地预览你的变更 {#preview-locally}
+### 在本地预览你的变更   {#preview-locally}
 
 在推送变更或者发起 PR 之前在本地查看一下预览是个不错的主意。
 通过预览你可以发现构建错误或者 Markdown 格式问题。
@@ -500,9 +492,8 @@ You can either build the website's container image or run Hugo locally. Building
 {{% tab name="在容器内执行 Hugo" %}}
 
 <!--
-{{< note >}}
-The commands below use Docker as default container engine. Set the `CONTAINER_ENGINE` environment variable to override this behaviour.
-{{< /note >}}
+The commands below use Docker as default container engine. Set the `CONTAINER_ENGINE` environment
+variable to override this behaviour.
 -->
 {{< note >}}
 下面的命令中使用 Docker 作为默认的容器引擎。
@@ -510,39 +501,33 @@ The commands below use Docker as default container engine. Set the `CONTAINER_EN
 {{< /note >}}
 
 <!--
-1.  Build the image locally:
+1. Build the container image locally  
+   _You only need this step if you are testing a change to the Hugo tool itself_
 -->
-1. 在本地构建镜像：
+1. 在本地构建容器镜像
+   _如果你正在测试对 Hugo 工具本身的更改，则仅需要此步骤_
 
-      ```bash
-      # 使用 docker (默认)
-      make container-image
-
-      ### 或 ###
-
-      # 使用 podman
-      CONTAINER_ENGINE=podman make container-image
-      ```
+   ```shell
+   # 在终端窗口中执行（如果有需要）
+   make container-image
+   ```
 
 <!--
-2. After building the `kubernetes-hugo` image locally, build and serve the site:
+1. Start Hugo in a container:
 -->
-2. 在本地构建了 `kubernetes-hugo` 镜像之后，可以构建并启动网站：
+2. 在容器中启动 Hugo：
 
-      ```bash
-      # 使用 docker (默认)
-      make container-serve
+   ```shell
+   # 在终端窗口中执行
+   make container-serve
+   ```
 
-      ### 或 ###
-
-      # 使用 podman
-      CONTAINER_ENGINE=podman make container-serve
-      ```
 <!--
-3.  In a web browser, navigate to `https://localhost:1313`. Hugo watches the
-    changes and rebuilds the site as needed.
-4.  To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
-    or close the terminal window.
+1. In a web browser, navigate to `https://localhost:1313`. Hugo watches the
+   changes and rebuilds the site as needed.
+
+1. To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
+   or close the terminal window.
 -->
 3. 启动浏览器，浏览 `https://localhost:1313`。
    Hugo 会监测文件的变更并根据需要重新构建网站。
@@ -558,10 +543,11 @@ Alternately, install and use the `hugo` command on your computer:
 另一种方式是，在你的本地计算机上安装并使用 `hugo` 命令：
 
 <!--
-1.  Install the [Hugo](https://gohugo.io/getting-started/installing/) version specified in [`website/netlify.toml`](https://raw.githubusercontent.com/kubernetes/website/main/netlify.toml).
-2.  If you have not updated your website repository, the `website/themes/docsy` directory is empty.
-    The site cannot build without a local copy of the theme. To update the website theme, run:
-3.  In a terminal, go to your Kubernetes website repository and start the Hugo server:
+1. Install the [Hugo](https://gohugo.io/getting-started/installing/) version specified in
+   [`website/netlify.toml`](https://raw.githubusercontent.com/kubernetes/website/main/netlify.toml).
+
+1. If you have not updated your website repository, the `website/themes/docsy` directory is empty.
+   The site cannot build without a local copy of the theme. To update the website theme, run:
 -->
 1. 安装 [`website/netlify.toml`](https://raw.githubusercontent.com/kubernetes/website/main/netlify.toml)
    文件中指定的 [Hugo](https://gohugo.io/getting-started/installing/) 版本。
@@ -570,24 +556,30 @@ Alternately, install and use the `hugo` command on your computer:
     如果本地缺少主题的副本，则该站点无法构建。
     要更新网站主题，运行以下命令：
 
-    ```bash
-    git submodule update --init --recursive --depth 1
-    ```
+   ```shell
+   git submodule update --init --recursive --depth 1
+   ```
 
+<!--
+1. In a terminal, go to your Kubernetes website repository and start the Hugo server:
+-->
 3. 启动一个终端窗口，进入 Kubernetes 网站仓库目录，启动 Hugo 服务器：
 
-      ```bash
-      cd <path_to_your_repo>/website
-      hugo server
-      ```
+   ```shell
+   cd <path_to_your_repo>/website
+   hugo server --buildFuture
+   ```
+
 <!--
-4.  In a web browser, navigate to `https://localhost:1313`. Hugo watches the
-    changes and rebuilds the site as needed.
-5.  To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
-    or close the terminal window.
+1. In a web browser, navigate to `https://localhost:1313`. Hugo watches the
+   changes and rebuilds the site as needed.
+
+1. To stop the local Hugo instance, go back to the terminal and type `Ctrl+C`,
+   or close the terminal window.
 -->
 4. 在浏览器的地址栏输入： `https://localhost:1313`。
    Hugo 会监测文件的变更并根据需要重新构建网站。
+
 5. 要停止本地 Hugo 实例，返回到终端窗口并输入 `Ctrl+C` 或者关闭终端窗口。
 
 {{% /tab %}}
@@ -596,12 +588,12 @@ Alternately, install and use the `hugo` command on your computer:
 <!--
 ### Open a pull request from your fork to kubernetes/website {#open-a-pr}
 -->
-### 从你的克隆副本向 kubernetes/website 发起拉取请求（PR） {#open-a-pr}
+### 从你的克隆副本向 kubernetes/website 发起拉取请求（PR）   {#open-a-pr}
 
 <!-- 
-The figure below shows the steps to open a PR from your fork to the K8s/website. The details follow.
+Figure 3 shows the steps to open a PR from your fork to the K8s/website. The details follow.
 -->
-下图显示了从你的克隆副本向 K8s/website 发起 PR 的步骤。
+图 3 显示了从你的克隆副本向 K8s/website 发起 PR 的步骤。
 详细信息如下。
 
 <!-- See https://github.com/kubernetes/website/issues/28808 for live-editor URL to this figure -->
@@ -629,58 +621,71 @@ classDef white fill:#ffffff,stroke:#000,stroke-width:px,color:#000,font-weight:b
 class 1,2,3,4,5,6,7,8 grey
 class first,second white
 {{</ mermaid >}}
+
 <!-- 
-***Figure - Steps to open a PR from your fork to the K8s/website***
+Figure 3. Steps to open a PR from your fork to the K8s/website.
 -->
-***插图 - 从你的克隆副本向 K8s/website 发起一个 PR 的步骤***
+图 3. 从你的克隆副本向 K8s/website 发起一个 PR 的步骤。
 
 <!--
 1. In a web browser, go to the [`kubernetes/website`](https://github.com/kubernetes/website/) repository.
-2. Select **New Pull Request**.
-3. Select **compare across forks**.
-4. From the **head repository** drop-down menu, select your fork.
-5. From the **compare** drop-down menu, select your branch.
-6. Select **Create Pull Request**.
-7. Add a description for your pull request:
+1. Select **New Pull Request**.
+1. Select **compare across forks**.
+1. From the **head repository** drop-down menu, select your fork.
+1. From the **compare** drop-down menu, select your branch.
+1. Select **Create Pull Request**.
+1. Add a description for your pull request:
+
     - **Title** (50 characters or less): Summarize the intent of the change.
     - **Description**: Describe the change in more detail.
-      - If there is a related GitHub issue, include `Fixes #12345` or `Closes #12345` in the description. GitHub's automation closes the mentioned issue after merging the PR if used. If there are other related PRs, link those as well.
-      - If you want advice on something specific, include any questions you'd like reviewers to think about in your description.
-8. Select the **Create pull request** button.
 
-   Congratulations! Your pull request is available in [Pull requests](https://github.com/kubernetes/website/pulls).
+      - If there is a related GitHub issue, include `Fixes #12345` or `Closes #12345` in the
+        description. GitHub's automation closes the mentioned issue after merging the PR if used.
+        If there are other related PRs, link those as well.
+      - If you want advice on something specific, include any questions you'd like reviewers to
+        think about in your description.
+
+1. Select the **Create pull request** button.
+
+Congratulations! Your pull request is available in [Pull requests](https://github.com/kubernetes/website/pulls).
 -->
 1. 在 Web 浏览器中，前往 [`kubernetes/website`](https://github.com/kubernetes/website/) 仓库；
-2. 点击 **New Pull Request**；
-3. 选择 **compare across forks**；
-4. 从 **head repository** 下拉菜单中，选取你的派生仓库；
-5. 从 **compare** 下拉菜单中，选择你的分支；
-6. 点击 **Create Pull Request**；
-7. 为你的拉取请求添加一个描述：
+1. 点击 **New Pull Request**；
+1. 选择 **compare across forks**；
+1. 从 **head repository** 下拉菜单中，选取你的派生仓库；
+1. 从 **compare** 下拉菜单中，选择你的分支；
+1. 点击 **Create Pull Request**；
+1. 为你的拉取请求添加一个描述：
+
     - **Title** （不超过 50 个字符）：总结变更的目的；
     - **Description**：给出变更的详细信息；
+
       - 如果存在一个相关联的 GitHub Issue，可以在描述中包含 `Fixes #12345` 或
         `Closes #12345`。GitHub 的自动化设施能够在当前 PR 被合并时自动关闭所提及
         的 Issue。如果有其他相关联的 PR，也可以添加对它们的链接。
       - 如果你特别希望获得某方面的建议，可以在描述中包含你希望评阅人思考的问题。
-8. 点击 **Create pull request** 按钮。
 
-   祝贺你！你的拉取请求现在出现在 [Pull Requests](https://github.com/kubernetes/website/pulls) 列表中了！
+1. 点击 **Create pull request** 按钮。
+
+祝贺你！你的拉取请求现在出现在 [Pull Requests](https://github.com/kubernetes/website/pulls) 列表中了！
 
 <!--
-After opening a PR, GitHub runs automated tests and tries to deploy a preview using [Netlify](https://www.netlify.com/).
+After opening a PR, GitHub runs automated tests and tries to deploy a preview using
+[Netlify](https://www.netlify.com/).
 
-  - If the Netlify build fails, select **Details** for more information.
-  - If the Netlify build succeeds, select **Details** opens a staged version of the Kubernetes website with your changes applied. This is how reviewers check your changes.
+- If the Netlify build fails, select **Details** for more information.
+- If the Netlify build succeeds, select **Details** opens a staged version of the Kubernetes
+  website with your changes applied. This is how reviewers check your changes.
 
-GitHub also automatically assigns labels to a PR, to help reviewers. You can add them too, if needed. For more information, see [Adding and removing issue labels](/docs/contribute/review/for-approvers/#adding-and-removing-issue-labels).
+GitHub also automatically assigns labels to a PR, to help reviewers. You can add them too, if
+needed. For more information, see [Adding and removing issue labels](/docs/contribute/review/for-approvers/#adding-and-removing-issue-labels).
 -->
 在发起 PR 之后，GitHub 会执行一些自动化的测试，并尝试使用
 [Netlify](https://www.netlify.com/) 部署一个预览版本。
 
-  - 如果 Netlify 构建操作失败，可选择 **Details** 了解详细信息。
-  - 如果 Netlify 构建操作成功，选择 **Details** 会打开 Kubernetes 的一个预览
-    版本，其中包含了你所作的变更。评阅人也使用这一功能来检查你的变更。
+- 如果 Netlify 构建操作失败，可选择 **Details** 了解详细信息。
+- 如果 Netlify 构建操作成功，选择 **Details** 会打开 Kubernetes 的一个预览版本，
+  其中包含了你所作的变更。评阅人也使用这一功能来检查你的变更。
 
 GitHub 也会自动为 PR 分派一些标签，以帮助评阅人。
 如果有需要，你也可以向 PR 添加标签。
@@ -692,32 +697,33 @@ GitHub 也会自动为 PR 分派一些标签，以帮助评阅人。
 
 1. After making your changes, amend your previous commit:
 -->
-### 在本地处理反馈
+### 在本地处理反馈   {#addressing-feedback-locally}
 
 1. 在本地完成修改之后，可以修补（amend）你之前的提交：
 
-    ```bash
-    git commit -a --amend
-    ```
+   ```shell
+   git commit -a --amend
+   ```
 
-    <!--
-    - `-a`: commits all changes
-    - `--amend`: amends the previous commit, rather than creating a new one
-    -->
-    - `-a`：提交所有修改
-    - `--amend`：对前一次提交进行增补，而不是创建新的提交
+   <!--
+   - `-a`: commits all changes
+   - `--amend`: amends the previous commit, rather than creating a new one
+   -->
+   - `-a`：提交所有修改
+   - `--amend`：对前一次提交进行增补，而不是创建新的提交
 
 <!--
-2. Update your commit message if needed.
-3. Use `git push origin <my_new_branch>` to push your changes and re-run the Netlify tests.
+1. Update your commit message if needed.
+
+1. Use `git push origin <my_new_branch>` to push your changes and re-run the Netlify tests.
 -->
 2. 如果有必要，更新你的提交消息；
+
 3. 使用 `git push origin <my_new_branch>` 来推送你的变更，重新触发 Netlify 测试。
 
    <!--
-    {{< note >}}
-      If you use `git commit -m` instead of amending, you must [squash your commits](#squashing-commits) before merging.
-    {{< /note >}}
+   If you use `git commit -m` instead of amending, you must [squash your commits](#squashing-commits)
+   before merging.
    -->
    {{< note >}}
    如果你使用 `git commit -m` 而不是增补参数，在 PR 最终合并之前你必须
@@ -731,43 +737,45 @@ Sometimes reviewers commit to your pull request. Before making any other changes
 
 1. Fetch commits from your remote fork and rebase your working branch:
 -->
-#### 来自评阅人的修改
+#### 来自评阅人的修改   {#changes-from-reviewers}
 
 有时评阅人会向你的 PR 中提交修改。在作出其他修改之前，请先取回这些提交。
 
 1. 从你的远程派生副本仓库取回提交，让你的工作分支基于所取回的分支：
 
-    ```bash
-    git fetch origin
-    git rebase origin/<your-branch-name>
-    ```
+   ```shell
+   git fetch origin
+   git rebase origin/<your-branch-name>
+   ```
+
 <!--
-2. After rebasing, force-push new changes to your fork:
+1. After rebasing, force-push new changes to your fork:
 -->
 2. 变更基线（rebase）操作完成之后，强制推送本地的新改动到你的派生仓库：
 
-    ```bash
-    git push --force-with-lease origin <your-branch-name>
-    ```
+   ```shell
+   git push --force-with-lease origin <your-branch-name>
+   ```
 
 <!--
 #### Merge conflicts and rebasing
 
-{{< note >}}
-For more information, see [Git Branching - Basic Branching and Merging](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts), [Advanced Merging](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging), or ask in the `#sig-docs` Slack channel for help.
-{{< /note >}}
+For more information, see [Git Branching - Basic Branching and Merging](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts),
+[Advanced Merging](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging), or ask in the
+`#sig-docs` Slack channel for help.
 -->
-#### 合并冲突和重设基线
+#### 合并冲突和重设基线   {#merge-conflicts-and-rebasing}
 
 {{< note >}}
 要了解更多信息，可参考
-[Git 分支管理 - 基本分支和合并](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts)、
-[高级合并](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging)，
+[Git Branching - Basic Branching and Merging](https://git-scm.com/book/en/v2/Git-Branching-Basic-Branching-and-Merging#_basic_merge_conflicts)、
+[Advanced Merging](https://git-scm.com/book/en/v2/Git-Tools-Advanced-Merging)，
 或者在 `#sig-docs` Slack 频道寻求帮助。
 {{< /note >}}
 
 <!--
-If another contributor commits changes to the same file in another PR, it can create a merge conflict. You must resolve all merge conflicts in your PR.
+If another contributor commits changes to the same file in another PR, it can create a merge
+conflict. You must resolve all merge conflicts in your PR.
 
 1. Update your fork and rebase your local branch:
 -->
@@ -776,99 +784,108 @@ If another contributor commits changes to the same file in another PR, it can cr
 
 1. 更新你的派生副本，重设本地分支的基线：
 
-   ```bash
+   ```shell
    git fetch origin
    git rebase origin/<your-branch-name>
    ```
 
-   <!-- Then force-push the changes to your fork:-->
+   <!--
+   Then force-push the changes to your fork:
+   -->
    之后强制推送修改到你的派生副本仓库：
 
-   ```bash
+   ```shell
    git push --force-with-lease origin <your-branch-name>
    ```
+
 <!--
-2. Fetch changes from `kubernetes/website`'s `upstream/main` and rebase your branch:
+1. Fetch changes from `kubernetes/website`'s `upstream/main` and rebase your branch:
 -->
 2. 从 `kubernetes/website` 的 `upstream/main` 分支取回更改，然后重设本地分支的基线：
 
-   ```bash
+   ```shell
    git fetch upstream
    git rebase upstream/main
    ```
+
 <!--
-3. Inspect the results of the rebase:
+1. Inspect the results of the rebase:
 -->
 3. 检查重设基线操作之后的状态：
 
-   ```bash
+   ```shell
    git status
    ```
 
-   <!-- This results in a number of files marked as conflicted. -->
+   <!--
+   This results in a number of files marked as conflicted.
+   -->
    你会看到一组存在冲突的文件。
 
 <!--
-4. Open each conflicted file and look for the conflict markers: `>>>`, `<<<`, and `===`. Resolve the conflict and delete the conflict marker.
+1. Open each conflicted file and look for the conflict markers: `>>>`, `<<<`, and `===`.
+   Resolve the conflict and delete the conflict marker.
 -->
 4. 打开每个存在冲突的文件，查找冲突标记：`>>>`、`<<<` 和 `===`。
    解决完冲突之后删除冲突标记。
 
-    <!--
-    For more information, see [How conflicts are presented](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
-    -->
-    {{< note >}}
-    进一步的详细信息可参见
-    [冲突是怎样表示的](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
-    {{< /note >}}
+   <!--
+   For more information, see [How conflicts are presented](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
+   -->
+   {{< note >}}
+   进一步的详细信息可参见
+   [冲突是怎样表示的](https://git-scm.com/docs/git-merge#_how_conflicts_are_presented).
+   {{< /note >}}
 
 <!--
-5. Add the files to the changeset:
+1. Add the files to the changeset:
 -->
 5. 添加文件到变更集合：
 
-    ```bash
-    git add <filename>
-    ```
+   ```shell
+   git add <filename>
+   ```
+
 <!--
-6.  Continue the rebase:
+1. Continue the rebase:
 -->
 6. 继续执行基线变更（rebase）操作：
 
-    ```bash
-    git rebase --continue
-    ```
+   ```shell
+   git rebase --continue
+   ```
 
 <!--
-7.  Repeat steps 2 to 5 as needed.
+1. Repeat steps 2 to 5 as needed.
 
-    After applying all commits, the `git status` command shows that the rebase is complete.
+   After applying all commits, the `git status` command shows that the rebase is complete.
 -->
 7. 根据需要重复步骤 2 到 5。
 
    在应用完所有提交之后，`git status` 命令会显示 rebase 操作完成。
 
 <!--
-8. Force-push the branch to your fork:
+1. Force-push the branch to your fork:
 -->
 8. 将分支强制推送到你的派生仓库：
 
-    ```bash
-    git push --force-with-lease origin <your-branch-name>
-    ```
+   ```shell
+   git push --force-with-lease origin <your-branch-name>
+   ```
 
-    <!-- The pull request no longer shows any conflicts. -->
-    PR 不再显示存在冲突。
+   <!--
+   The pull request no longer shows any conflicts.
+   -->
+   PR 不再显示存在冲突。
 
 <!--
 ### Squashing commits
 -->
-### 压缩（Squashing）提交 {#squashing-commits}
+### 压缩（Squashing）提交   {#squashing-commits}
 
 <!--
-{{< note >}}
-For more information, see [Git Tools - Rewriting History](https://git-scm.com/book/en/v2/Git-Tools-Rewriting-History), or ask in the `#sig-docs` Slack channel for help.
-{{< /note >}}
+For more information, see [Git Tools - Rewriting History](https://git-scm.com/book/en/v2/Git-Tools-Rewriting-History),
+or ask in the `#sig-docs` Slack channel for help.
 -->
 {{< note >}}
 要了解更多信息，可参看
@@ -877,13 +894,17 @@ For more information, see [Git Tools - Rewriting History](https://git-scm.com/bo
 {{< /note >}}
 
 <!--
-If your PR has multiple commits, you must squash them into a single commit before merging your PR. You can check the number of commits on your PR's **Commits** tab or by running the `git log` command locally.
+If your PR has multiple commits, you must squash them into a single commit before merging your PR.
+You can check the number of commits on your PR's **Commits** tab or by running the `git log`
+command locally.
 -->
 如果你的 PR 包含多个提交（commits），你必须将其压缩成一个提交才能被合并。
 你可以在 PR 的 **Commits** Tab 页面查看提交个数，也可以在本地通过
 `git log` 命令查看提交个数。
 
-<!-- This topic assumes `vim` as the command line text editor.-->
+<!--
+This topic assumes `vim` as the command line text editor.
+-->
 {{< note >}}
 本主题假定使用 `vim` 作为命令行文本编辑器。
 {{< /note >}}
@@ -893,103 +914,113 @@ If your PR has multiple commits, you must squash them into a single commit befor
 -->
 1. 启动一个交互式的 rebase 操作：
 
-    ```bash
-    git rebase -i HEAD~<number_of_commits_in_branch>
-    ```
+   ```shell
+   git rebase -i HEAD~<number_of_commits_in_branch>
+   ```
 
-    <!--
-    Squashing commits is a form of rebasing. The `-i` switch tells git you want to rebase interactively. `HEAD~<number_of_commits_in_branch` indicates how many commits to look at for the rebase.
-    -->
-    压缩提交的过程也是一种重设基线的过程。
-    这里的 `-i` 开关告诉 git 你希望交互式地执行重设基线操作。
-    `HEAD~<number_of_commits_in_branch` 表明在 rebase 操作中查看多少个提交。
+   <!--
+   Squashing commits is a form of rebasing. The `-i` switch tells git you want to rebase interactively.
+   `HEAD~<number_of_commits_in_branch` indicates how many commits to look at for the rebase.
+   -->
+   压缩提交的过程也是一种重设基线的过程。
+   这里的 `-i` 开关告诉 git 你希望交互式地执行重设基线操作。
+   `HEAD~<number_of_commits_in_branch` 表明在 rebase 操作中查看多少个提交。
 
-    <!--Output is similar to:-->
-    输出类似于；
+   <!--
+   Output is similar to:
+   -->
+   输出类似于；
 
-    ```bash
-    pick d875112ca Original commit
-    pick 4fa167b80 Address feedback 1
-    pick 7d54e15ee Address feedback 2
+   ```none
+   pick d875112ca Original commit
+   pick 4fa167b80 Address feedback 1
+   pick 7d54e15ee Address feedback 2
 
-    # Rebase 3d18sf680..7d54e15ee onto 3d183f680 (3 commands)
+   # Rebase 3d18sf680..7d54e15ee onto 3d183f680 (3 commands)
 
-    ...
+   ...
 
-    # These lines can be re-ordered; they are executed from top to bottom.
-    ```
+   # These lines can be re-ordered; they are executed from top to bottom.
+   ```
 
-    <!--
-    The first section of the output lists the commits in the rebase. The second section lists the options for each commit. Changing the word `pick` changes the status of the commit once the rebase is complete.
+   <!--
+   The first section of the output lists the commits in the rebase. The second section lists the
+   options for each commit. Changing the word `pick` changes the status of the commit once the rebase
+   is complete.
 
-    For the purposes of rebasing, focus on `squash` and `pick`.
-    -->
-    输出的第一部分列举了重设基线操作中的提交。
-    第二部分给出每个提交的选项。
-    改变单词 `pick` 就可以改变重设基线操作之后提交的状态。
+   For the purposes of rebasing, focus on `squash` and `pick`.
+   -->
+   输出的第一部分列举了重设基线操作中的提交。
+   第二部分给出每个提交的选项。
+   改变单词 `pick` 就可以改变重设基线操作之后提交的状态。
 
-    就重设基线操作本身，我们关注 `squash` 和 `pick` 选项。
+   就重设基线操作本身，我们关注 `squash` 和 `pick` 选项。
 
-    <!--
-    {{< note >}}
-    For more information, see [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode).
-    {{< /note >}}
-    -->
-    {{< note >}}
-    进一步的详细信息可参考 [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode)。
-    {{< /note >}}
+   <!--
+   For more information, see [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode).
+   -->
+   {{< note >}}
+   进一步的详细信息可参考 [Interactive Mode](https://git-scm.com/docs/git-rebase#_interactive_mode)。
+   {{< /note >}}
 
 <!--
-2. Start editing the file.
-    Change the original text:
+1. Start editing the file.
+
+   Change the original text:
 -->
 
 2. 开始编辑文件。
 
-    修改原来的文本：
+   修改原来的文本：
 
-    ```bash
-    pick d875112ca Original commit
-    pick 4fa167b80 Address feedback 1
-    pick 7d54e15ee Address feedback 2
-    ```
+   ```none
+   pick d875112ca Original commit
+   pick 4fa167b80 Address feedback 1
+   pick 7d54e15ee Address feedback 2
+   ```
 
-    <!-- To: -->
-    使之成为：
+   <!--
+   To:
+   -->
+   使之成为：
 
-    ```bash
-    pick d875112ca Original commit
-    squash 4fa167b80 Address feedback 1
-    squash 7d54e15ee Address feedback 2
-    ```
+   ```none
+   pick d875112ca Original commit
+   squash 4fa167b80 Address feedback 1
+   squash 7d54e15ee Address feedback 2
+   ```
 
-    <!--
-    This squashes commits `4fa167b80 Address feedback 1` and `7d54e15ee Address feedback 2` into `d875112ca Original commit`, leaving only `d875112ca Original commit` as a part of the timeline.
-    -->
-    以上编辑操作会压缩提交 `4fa167b80 Address feedback 1` 和 `7d54e15ee Address feedback 2`
-    到 `d875112ca Original commit` 中，只留下 `d875112ca Original commit` 成为时间线中的一部分。
+   <!--
+   This squashes commits `4fa167b80 Address feedback 1` and `7d54e15ee Address feedback 2` into
+   `d875112ca Original commit`, leaving only `d875112ca Original commit` as a part of the timeline.
+   -->
+   以上编辑操作会压缩提交 `4fa167b80 Address feedback 1` 和 `7d54e15ee Address feedback 2`
+   到 `d875112ca Original commit` 中，只留下 `d875112ca Original commit` 成为时间线中的一部分。
 
 <!--
-3. Save and exit your file.
-4. Push your squashed commit:
+1. Save and exit your file.
+
+1. Push your squashed commit:
 -->
 3. 保存文件并退出编辑器。
 
 4. 推送压缩后的提交：
 
-    ```bash
-    git push --force-with-lease origin <branch_name>
-    ```
+   ```shell
+   git push --force-with-lease origin <branch_name>
+   ```
 
 <!--
 ## Contribute to other repos
 
-The [Kubernetes project](https://github.com/kubernetes) contains 50+ repositories. Many of these repositories contain documentation: user-facing help text, error messages, API references or code comments.
+The [Kubernetes project](https://github.com/kubernetes) contains 50+ repositories. Many of these
+repositories contain documentation: user-facing help text, error messages, API references or code
+comments.
 
-If you see text you'd like to improve, use GitHub to search all repositories in the Kubernetes organization.
-This can help you figure out where to submit your issue or PR.
+If you see text you'd like to improve, use GitHub to search all repositories in the Kubernetes
+organization. This can help you figure out where to submit your issue or PR.
 -->
-## 贡献到其他仓库
+## 贡献到其他仓库   {#contribute-to-other-repos}
 
 [Kubernetes 项目](https://github.com/kubernetes)包含大约 50 多个仓库。
 这些仓库中很多都有文档：提供给最终用户的帮助文本、错误信息、API 参考或者代码注释等。
@@ -998,13 +1029,12 @@ This can help you figure out where to submit your issue or PR.
 这样有助于发现要在哪里提交 Issue 或 PR。
 
 <!--
-Each repository has its own processes and procedures. Before you file an
-issue or submit a PR, read that repository's `README.md`, `CONTRIBUTING.md`, and
-`code-of-conduct.md`, if they exist.
+Each repository has its own processes and procedures. Before you file an issue or submit a PR,
+read that repository's `README.md`, `CONTRIBUTING.md`, and `code-of-conduct.md`, if they exist.
 
-Most repositories use issue and PR templates. Have a look through some open
-issues and PRs to get a feel for that team's processes. Make sure to fill out
-the templates with as much detail as possible when you file issues or PRs.
+Most repositories use issue and PR templates. Have a look through some open issues and PRs to get
+a feel for that team's processes. Make sure to fill out the templates with as much detail as
+possible when you file issues or PRs.
 -->
 每个仓库有其自己的流程和过程。在登记 Issue 或者发起 PR 之前，
 记得阅读仓库可能存在的 `README.md`、`CONTRIBUTING.md` 和
@@ -1018,7 +1048,7 @@ the templates with as much detail as possible when you file issues or PRs.
 ## {{% heading "whatsnext" %}}
 
 <!--
-- Read [Reviewing](/docs/contribute/reviewing/revewing-prs) to learn more about the review process.
+- Read [Reviewing](/docs/contribute/review/reviewing-prs) to learn more about the review process.
 -->
 - 阅读[评阅](/zh-cn/docs/contribute/review/reviewing-prs)节，学习评阅过程。
 
diff --git a/content/zh-cn/docs/contribute/participate/_index.md b/content/zh-cn/docs/contribute/participate/_index.md
index 42b4df0ef61..acffd9d90a3 100644
--- a/content/zh-cn/docs/contribute/participate/_index.md
+++ b/content/zh-cn/docs/contribute/participate/_index.md
@@ -214,7 +214,7 @@ SIG Docs 批准人。下面是合并的工作机制：
 <!--
 For more information about contributing to the Kubernetes documentation, see:
 
-- [Contributing new content](/docs/contribute/overview/)
+- [Contributing new content](/docs/contribute/new-content/)
 - [Reviewing content](/docs/contribute/review/reviewing-prs)
 - [Documentation style guide](/docs/contribute/style/)
 -->
diff --git a/content/zh-cn/docs/contribute/participate/roles-and-responsibilities.md b/content/zh-cn/docs/contribute/participate/roles-and-responsibilities.md
index fc410d58456..8df7b4cddfa 100644
--- a/content/zh-cn/docs/contribute/participate/roles-and-responsibilities.md
+++ b/content/zh-cn/docs/contribute/participate/roles-and-responsibilities.md
@@ -40,7 +40,7 @@ Anyone can:
 - Contribute to a localization
 - Suggest improvements on [Slack](http://slack.k8s.io/) or the [SIG docs mailing list](https://groups.google.com/forum/#!forum/kubernetes-sig-docs).
 
-After [signing the CLA](/docs/contribute/new-content/overview/#sign-the-cla), anyone can also:
+After [signing the CLA](https://github.com/kubernetes/community/blob/master/CLA.md), anyone can also:
 
 - Open a pull request to improve existing content, add new content, or write a blog post or case study
 - Create diagrams, graphics assets, and embeddable screencasts and videos
@@ -62,7 +62,7 @@ For more information, see [contributing new content](/docs/contribute/new-conten
   [SIG Docs 邮件列表](https://groups.google.com/forum/#!forum/kubernetes-sig-docs)
   上提出改进建议。
 
-在[签署了 CLA](/zh-cn/docs/contribute/new-content/#sign-the-cla) 之后，任何人还可以：
+在[签署了 CLA](https://github.com/kubernetes/community/blob/master/CLA.md) 之后，任何人还可以：
 
 - 发起拉取请求（PR），改进现有内容、添加新内容、撰写博客或者案例分析
 - 创建示意图、图形资产或者嵌入式的截屏和视频内容
diff --git a/content/zh-cn/docs/contribute/review/for-approvers.md b/content/zh-cn/docs/contribute/review/for-approvers.md
index 3192603db15..54879831b06 100644
--- a/content/zh-cn/docs/contribute/review/for-approvers.md
+++ b/content/zh-cn/docs/contribute/review/for-approvers.md
@@ -273,7 +273,7 @@ To add a label, leave a comment in one of the following formats:
 To remove a label, leave a comment in one of the following formats:
 
 - `/remove-<label-to-remove>` (for example, `/remove-help`)
-- `/remove-<label-category> <label-to-remove>` (for example, `/remove-triage needs-information`)`
+- `/remove-<label-category> <label-to-remove>` (for example, `/remove-triage needs-information`)
 -->
 ## 添加和删除 Issue 标签 {#adding-and-removing-issue-labels}
 
@@ -361,7 +361,7 @@ If the dead link issue is in the API or `kubectl` documentation, assign them `/p
 
 ### Blog issues
 
-We expect [Kubernetes Blog](https://kubernetes.io/blog/) entries to become
+We expect [Kubernetes Blog](/blog/) entries to become
 outdated over time. Therefore, we only maintain blog entries less than a year old.
 If an issue is related to a blog entry that is more than one year old,
 close the issue without fixing.
@@ -375,7 +375,7 @@ close the issue without fixing.
 
 ### 博客问题  {#blog-issues}
 
-我们预期 [Kubernetes 博客](https://kubernetes.io/blog/)条目随着时间推移都会过期。
+我们预期 [Kubernetes 博客](/zh-cn/blog/)条目随着时间推移都会过期。
 因此，我们只维护一年内的博客条目。
 如果某个 Issue 是与某个超过一年的博客条目有关的，可以直接关闭
 Issue，不必修复。
diff --git a/content/zh-cn/docs/contribute/style/diagram-guide.md b/content/zh-cn/docs/contribute/style/diagram-guide.md
index 55d0282f48d..4f106e9af65 100644
--- a/content/zh-cn/docs/contribute/style/diagram-guide.md
+++ b/content/zh-cn/docs/contribute/style/diagram-guide.md
@@ -723,12 +723,12 @@ Note that the live editor doesn't recognize Hugo shortcodes.
 ### Example 1 - Pod topology spread constraints
 
 Figure 6 shows the diagram appearing in the
-[Pod topology pread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/#node-labels)
+[Pod topology pread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/#node-labels)
 page.
 -->
 ### 示例 1 - Pod 拓扑分布约束
 
-图 6 展示的是 [Pod 拓扑分布约束](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/#node-labels)
+图 6 展示的是 [Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/#node-labels)
 页面所出现的图表。
 
 {{< mermaid >}}
diff --git a/content/zh-cn/docs/reference/_index.md b/content/zh-cn/docs/reference/_index.md
index af2a04118b6..b4fe004ca6b 100644
--- a/content/zh-cn/docs/reference/_index.md
+++ b/content/zh-cn/docs/reference/_index.md
@@ -38,15 +38,14 @@ This section of the Kubernetes documentation contains references.
 * [API access control](/docs/reference/access-authn-authz/) - details on how Kubernetes controls API access
 * [Well-Known Labels, Annotations and Taints](/docs/reference/labels-annotations-taints/)
 -->
-## API 参考
+## API 参考  {#api-reference}
 
-* [术语表](/zh/docs/reference/glossary/) -  一个全面的标准化的 Kubernetes 术语表
-
-* [Kubernetes API 参考](/zh/docs/reference/kubernetes-api/)
+* [术语表](/zh-cn/docs/reference/glossary/) —— 一个全面的、标准化的 Kubernetes 术语表
+* [Kubernetes API 参考](/zh-cn/docs/reference/kubernetes-api/)
 * [Kubernetes API 单页参考 {{< param "version" >}}](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/)。
-* [使用 Kubernetes API ](/zh/docs/reference/using-api/) - Kubernetes 的 API 概述
-* [API 的访问控制](/zh/docs/reference/access-authn-authz/) - 关于 Kubernetes 如何控制 API 访问的详细信息
-* [常见的标签、注解和污点](/zh/docs/reference/labels-annotations-taints/)
+* [使用 Kubernetes API ](/zh-cn/docs/reference/using-api/) —— Kubernetes 的 API 概述
+* [API 的访问控制](/zh-cn/docs/reference/access-authn-authz/) —— 关于 Kubernetes 如何控制 API 访问的详细信息
+* [常见的标签、注解和污点](/zh-cn/docs/reference/labels-annotations-taints/)
 
 <!--
 ## Officially supported client libraries
@@ -62,10 +61,10 @@ client libraries:
 - [Kubernetes C# client library](https://github.com/kubernetes-client/csharp)
 - [Kubernetes Haskell client library](https://github.com/kubernetes-client/haskell)
 -->
-## 官方支持的客户端库
+## 官方支持的客户端库   {#officially-supported-client-libraries}
 
-如果你需要通过编程语言调用 Kubernetes API，你可以使用
-[客户端库](/zh/docs/reference/using-api/client-libraries/)。以下是官方支持的客户端库：
+如果你需要通过编程语言调用 Kubernetes API，你可以使用[客户端库](/zh-cn/docs/reference/using-api/client-libraries/)。
+以下是官方支持的客户端库：
 
 - [Kubernetes Go 语言客户端库](https://github.com/kubernetes/client-go/)
 - [Kubernetes Python 语言客户端库](https://github.com/kubernetes-client/python)
@@ -83,10 +82,10 @@ client libraries:
 -->
 ## CLI
 
-* [kubectl](/zh/docs/reference/kubectl/) - 主要的 CLI 工具，用于运行命令和管理 Kubernetes 集群。
-    * [JSONPath](/zh/docs/reference/kubectl/jsonpath/) - 通过 kubectl 使用
-      [JSONPath 表达式](https://goessner.net/articles/JsonPath/) 的语法指南。
-* [kubeadm](/zh/docs/reference/setup-tools/kubeadm/) - 此 CLI 工具可轻松配置安全的 Kubernetes 集群。
+* [kubectl](/zh-cn/docs/reference/kubectl/) —— 主要的 CLI 工具，用于运行命令和管理 Kubernetes 集群。
+  * [JSONPath](/zh-cn/docs/reference/kubectl/jsonpath/) —— 通过 kubectl 使用
+    [JSONPath 表达式](https://goessner.net/articles/JsonPath/) 的语法指南。
+* [kubeadm](/zh-cn/docs/reference/setup-tools/kubeadm/) - 此 CLI 工具可轻松配置安全的 Kubernetes 集群。
 
 <!--
 ## Components
@@ -108,23 +107,22 @@ client libraries:
   * List of [ports and protocols](/docs/reference/ports-and-protocols/) that
     should be open on control plane and worker nodes
 -->
-## 组件
+## 组件  {#components}
 
-* [kubelet](/zh/docs/reference/command-line-tools-reference/kubelet/) -
-  在每个节点上运行的主代理。kubelet 接收一组 PodSpecs 并确保其所描述的容器健康地运行。
-* [kube-apiserver](/zh/docs/reference/command-line-tools-reference/kube-apiserver/) -
+* [kubelet](/zh-cn/docs/reference/command-line-tools-reference/kubelet/) ——
+  在每个节点上运行的主代理。kubelet 接收一组 PodSpec 并确保其所描述的容器健康地运行。
+* [kube-apiserver](/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/) ——
   REST API，用于验证和配置 API 对象（如 Pod、服务或副本控制器等）的数据。
-* [kube-controller-manager](/zh/docs/reference/command-line-tools-reference/kube-controller-manager/) -
+* [kube-controller-manager](/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager/) ——
   一个守护进程，其中包含 Kubernetes 所附带的核心控制回路。
-* [kube-proxy](/zh/docs/reference/command-line-tools-reference/kube-proxy/) -
+* [kube-proxy](/zh-cn/docs/reference/command-line-tools-reference/kube-proxy/) ——
   可进行简单的 TCP/UDP 流转发或针对一组后端执行轮流 TCP/UDP 转发。
-* [kube-scheduler](/zh/docs/reference/command-line-tools-reference/kube-scheduler/) -
+* [kube-scheduler](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/) ——
   一个调度程序，用于管理可用性、性能和容量。
   
-  * [调度策略](/zh/docs/reference/scheduling/policies)
-  * [调度配置](/zh/docs/reference/scheduling/config#profiles)
-  * 应该在控制平面和工作节点上打开的 [端口和协议](/zh/docs/reference/ports-and-protocols/) -
-    列表
+  * [调度策略](/zh-cn/docs/reference/scheduling/policies)
+  * [调度配置](/zh-cn/docs/reference/scheduling/config#profiles)
+  * 应该在控制平面和工作节点上打开的[端口和协议](/zh-cn/docs/reference/ports-and-protocols/)列表
 
 <!--
 ## Config APIs
@@ -137,7 +135,7 @@ operator to use or manage a cluster.
 * [kube-apiserver configuration (v1alpha1)](/docs/reference/config-api/apiserver-config.v1alpha1/)
 * [kube-apiserver configuration (v1)](/docs/reference/config-api/apiserver-config.v1/)
 * [kube-apiserver encryption (v1)](/docs/reference/config-api/apiserver-encryption.v1/)
-* [kube-apiserver event rate limit (v1alpha1)](/docs/reference/config-api/apiserver-eventratelimit.v1/)
+* [kube-apiserver event rate limit (v1alpha1)](/docs/reference/config-api/apiserver-eventratelimit.v1alpha1/)
 * [kubelet configuration (v1alpha1)](/docs/reference/config-api/kubelet-config.v1alpha1/) and
   [kubelet configuration (v1beta1)](/docs/reference/config-api/kubelet-config.v1beta1/)
 * [kubelet credential providers (v1alpha1)](/docs/reference/config-api/kubelet-credentialprovider.v1alpha1/)
@@ -151,28 +149,28 @@ operator to use or manage a cluster.
 * [WebhookAdmission configuration (v1)](/docs/reference/config-api/apiserver-webhookadmission.v1/)
 * [ImagePolicy API (v1alpha1)](/docs/reference/config-api/imagepolicy.v1alpha1/)
 -->
-## 配置 API
+## 配置 API   {#config-apis}
 
 本节包含用于配置 kubernetes 组件或工具的 "未发布" API 的文档。
 尽管这些 API 对于用户或操作者使用或管理集群来说是必不可少的，
 它们大都没有以 RESTful 的方式在 API 服务器上公开。
 
-* [kube-apiserver 配置 (v1alpha1)](/zh/docs/reference/config-api/apiserver-config.v1alpha1/)
-* [kube-apiserver 配置 (v1)](/zh/docs/reference/config-api/apiserver-config.v1/)
-* [kube-apiserver 加密 (v1)](/zh/docs/reference/config-api/apiserver-encryption.v1/)
-* [kube-apiserver 事件速率限制 (v1alpha1)](/zh/docs/reference/config-api/apiserver-eventratelimit.v1/)
-* [kubelet 配置 (v1alpha1)](/zh/docs/reference/config-api/kubelet-config.v1alpha1/) 和
-  [kubelet 配置 (v1beta1)](/zh/docs/reference/config-api/kubelet-config.v1beta1/)
-* [kubelet 凭据驱动 (v1alpha1)](/zh/docs/reference/config-api/kubelet-credentialprovider.v1alpha1/)
-* [kubelet 凭据驱动 (v1beta1)](/zh/docs/reference/config-api/kubelet-credentialprovider.v1beta1/)
-* [kube-scheduler 配置 (v1beta2)](/zh/docs/reference/config-api/kube-scheduler-config.v1beta2/) 和
-  [kube-scheduler 配置 (v1beta3)](/zh/docs/reference/config-api/kube-scheduler-config.v1beta3/)
-* [kube-proxy 配置 (v1alpha1)](/zh/docs/reference/config-api/kube-proxy-config.v1alpha1/)
-* [`audit.k8s.io/v1` API](/zh/docs/reference/config-api/apiserver-audit.v1/)
-* [客户端认证 API (v1beta1)](/zh/docs/reference/config-api/client-authentication.v1beta1/) 和
-  [客户端认证 API (v1)](/zh/docs/reference/config-api/client-authentication.v1/)
-* [WebhookAdmission 配置 (v1)](/zh/docs/reference/config-api/apiserver-webhookadmission.v1/)
-* [ImagePolicy API (v1alpha1)](/zh/docs/reference/config-api/imagepolicy.v1alpha1/)
+* [kube-apiserver 配置 (v1alpha1)](/zh-cn/docs/reference/config-api/apiserver-config.v1alpha1/)
+* [kube-apiserver 配置 (v1)](/zh-cn/docs/reference/config-api/apiserver-config.v1/)
+* [kube-apiserver 加密 (v1)](/zh-cn/docs/reference/config-api/apiserver-encryption.v1/)
+* [kube-apiserver 事件速率限制 (v1alpha1)](/zh-cn/docs/reference/config-api/apiserver-eventratelimit.v1alpha1/)
+* [kubelet 配置 (v1alpha1)](/zh-cn/docs/reference/config-api/kubelet-config.v1alpha1/) 和
+  [kubelet 配置 (v1beta1)](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/)
+* [kubelet 凭据驱动 (v1alpha1)](/zh-cn/docs/reference/config-api/kubelet-credentialprovider.v1alpha1/)
+* [kubelet 凭据驱动 (v1beta1)](/zh-cn/docs/reference/config-api/kubelet-credentialprovider.v1beta1/)
+* [kube-scheduler 配置 (v1beta2)](/zh-cn/docs/reference/config-api/kube-scheduler-config.v1beta2/) 和
+  [kube-scheduler 配置 (v1beta3)](/zh-cn/docs/reference/config-api/kube-scheduler-config.v1beta3/)
+* [kube-proxy 配置 (v1alpha1)](/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1/)
+* [`audit.k8s.io/v1` API](/zh-cn/docs/reference/config-api/apiserver-audit.v1/)
+* [客户端身份认证 API (v1beta1)](/zh-cn/docs/reference/config-api/client-authentication.v1beta1/) 和
+  [客户端身份认证 API (v1)](/zh-cn/docs/reference/config-api/client-authentication.v1/)
+* [WebhookAdmission 配置 (v1)](/zh-cn/docs/reference/config-api/apiserver-webhookadmission.v1/)
+* [ImagePolicy API (v1alpha1)](/zh-cn/docs/reference/config-api/imagepolicy.v1alpha1/)
 
 <!--
 ## Config API for kubeadm
@@ -180,23 +178,22 @@ operator to use or manage a cluster.
 * [v1beta2](/docs/reference/config-api/kubeadm-config.v1beta2/)
 * [v1beta3](/docs/reference/config-api/kubeadm-config.v1beta3/)
 -->
+## kubeadm 的配置 API   {#config-api-for-kubeadm}
 
-## kubeadm 的配置 API
-
-* [v1beta2](/zh/docs/reference/config-api/kubeadm-config.v1beta2/)
-* [v1beta3](/zh/docs/reference/config-api/kubeadm-config.v1beta3/)
+* [v1beta2](/zh-cn/docs/reference/config-api/kubeadm-config.v1beta2/)
+* [v1beta3](/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3/)
 
 <!--
 ## Design Docs
 
 An archive of the design docs for Kubernetes functionality. Good starting points are
-[Kubernetes Architecture](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) and
-[Kubernetes Design Overview](https://git.k8s.io/community/contributors/design-proposals).
+[Kubernetes Architecture](https://git.k8s.io/design-proposals-archive/architecture/architecture.md) and
+[Kubernetes Design Overview](https://git.k8s.io/design-proposals-archive).
 -->
-## 设计文档
+## 设计文档   {#design-docs}
 
 Kubernetes 功能的设计文档归档，不妨考虑从
-[Kubernetes 架构](https://git.k8s.io/community/contributors/design-proposals/architecture/architecture.md) 和
-[Kubernetes 设计概述](https://git.k8s.io/community/contributors/design-proposals)
+[Kubernetes 架构](https://git.k8s.io/design-proposals-archive/architecture/architecture.md) 和
+[Kubernetes 设计概述](https://git.k8s.io/design-proposals-archive)
 开始阅读。
 
diff --git a/content/zh-cn/docs/reference/access-authn-authz/_index.md b/content/zh-cn/docs/reference/access-authn-authz/_index.md
index c26b1e38b21..4a47d52636f 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/_index.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/_index.md
@@ -16,8 +16,8 @@ read [Controlling Access to the Kubernetes API](/docs/concepts/security/controll
 
 Reference documentation:
 -->
-关于 Kubernetes 如何实现和控制 API 访问的介绍性材料，可阅读
-[控制 Kubernetes API 的访问](/zh/docs/concepts/security/controlling-access/)。
+关于 Kubernetes 如何实现和控制 API 访问的介绍性材料，
+可阅读[控制 Kubernetes API 的访问](/zh-cn/docs/concepts/security/controlling-access/)。
 
 参考文档：
 
@@ -40,20 +40,21 @@ Reference documentation:
 - [Kubelet Authentication & Authorization](/docs/reference/access-authn-authz/kubelet-authn-authz/)
   - including kubelet [TLS bootstrapping](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
 -->
-- [身份认证](/zh/docs/reference/access-authn-authz/authentication/)
-   - [使用启动引导令牌来执行身份认证](/zh/docs/reference/access-authn-authz/bootstrap-tokens/)
-- [准入控制器](/zh/docs/reference/access-authn-authz/admission-controllers/)
-   - [动态准入控制](/zh/docs/reference/access-authn-authz/extensible-admission-controllers/)
-- [鉴权与授权](/zh/docs/reference/access-authn-authz/authorization/)
-   - [基于角色的访问控制](/zh/docs/reference/access-authn-authz/rbac/)
-   - [基于属性的访问控制](/zh/docs/reference/access-authn-authz/abac/)
-   - [节点鉴权](/zh/docs/reference/access-authn-authz/node/)
-   - [Webhook 鉴权](/zh/docs/reference/access-authn-authz/webhook/)
-- [证书签名请求](/zh/docs/reference/access-authn-authz/certificate-signing-requests/)
-   - 包含 [CSR 的批复](/zh/docs/reference/access-authn-authz/certificate-signing-requests/#approval-rejection)
-     和[证书签名](/zh/docs/reference/access-authn-authz/certificate-signing-requests/#signing)
+- [身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)
+   - [使用启动引导令牌来执行身份认证](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)
+- [准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)
+   - [动态准入控制](/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/)
+- [鉴权与授权](/zh-cn/docs/reference/access-authn-authz/authorization/)
+   - [基于角色的访问控制](/zh-cn/docs/reference/access-authn-authz/rbac/)
+   - [基于属性的访问控制](/zh-cn/docs/reference/access-authn-authz/abac/)
+   - [节点鉴权](/zh-cn/docs/reference/access-authn-authz/node/)
+   - [Webhook 鉴权](/zh-cn/docs/reference/access-authn-authz/webhook/)
+- [证书签名请求](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/)
+   - 包含 [CSR 的批复](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/#approval-rejection)
+     和[证书签名](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/#signing)
 - 服务账号
-  - [开发者指南](/zh/docs/tasks/configure-pod-container/configure-service-account/)
-  - [管理文档](/zh/docs/reference/access-authn-authz/service-accounts-admin/)
-- [Kubelet 认证和鉴权](/zh/docs/reference/access-authn-authz/kubelet-authn-authz/)
-  - 包括 kubelet [TLS 启动引导](/zh/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
+  - [开发者指南](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
+  - [管理文档](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)
+- [Kubelet 认证和鉴权](/zh-cn/docs/reference/access-authn-authz/kubelet-authn-authz/)
+  - 包括 kubelet [TLS 启动引导](/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/)
+
diff --git a/content/zh-cn/docs/reference/access-authn-authz/abac.md b/content/zh-cn/docs/reference/access-authn-authz/abac.md
index 6d1c6b6a172..7fec8e45e59 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/abac.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/abac.md
@@ -80,13 +80,13 @@ properties:
         `system:unauthenticated` 匹配所有未经过身份验证的请求。
   - 资源匹配属性：
     - `apiGroup`，字符串类型；一个 API 组。
-      - 例：`apps`, `networking.k8s.io`
+      - 例如：`apps`，`networking.k8s.io`
       - 通配符：`*`匹配所有 API 组。
     - `namespace`，字符串类型；一个命名空间。
       - 例如：`kube-system`
       - 通配符：`*`匹配所有资源请求。
     - `resource`，字符串类型；资源类型。
-      - 例：`pods`, `deployments`
+      - 例如：`pods`，`deployments`
       - 通配符：`*`匹配所有资源请求。
   - 非资源匹配属性：
     - `nonResourcePath`，字符串类型；非资源请求路径。
diff --git a/content/zh-cn/docs/reference/access-authn-authz/admission-controllers.md b/content/zh-cn/docs/reference/access-authn-authz/admission-controllers.md
index a64cd6d2524..5380576973b 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/admission-controllers.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/admission-controllers.md
@@ -47,7 +47,7 @@ which are configured in the API.
 并编译进 `kube-apiserver` 可执行文件，并且只能由集群管理员配置。
 在该列表中，有两个特殊的控制器：MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。
 它们根据 API 中的配置，分别执行变更和验证
-[准入控制 webhook](/zh/docs/reference/access-authn-authz/extensible-admission-controllers/#admission-webhooks)。
+[准入控制 webhook](/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/#admission-webhooks)。
 
 <!--
 Admission controllers may be "validating", "mutating", or both. Mutating
@@ -88,29 +88,27 @@ other admission controllers.
 
 <!--
 ## Why do I need them?
--->
-## 为什么需要准入控制器？    {#why-do-i-need-them}
 
-<!--
 Many advanced features in Kubernetes require an admission controller to be enabled in order
 to properly support the feature.  As a result, a Kubernetes API server that is not properly
 configured with the right set of admission controllers is an incomplete server and will not
 support all the features you expect.
 -->
+## 为什么需要准入控制器？    {#why-do-i-need-them}
+
 Kubernetes 的许多高级功能都要求启用一个准入控制器，以便正确地支持该特性。
 因此，没有正确配置准入控制器的 Kubernetes API 服务器是不完整的，它无法支持你所期望的所有特性。
 
 <!--
 ## How do I turn on an admission controller?
--->
 
-## 如何启用一个准入控制器？  {#how-do-i-turn-on-an-admission-controller}
 
-<!--
 The Kubernetes API server flag `enable-admission-plugins` takes a comma-delimited list of admission control plugins to invoke prior to modifying objects in the cluster.
 For example, the following command line enables the `NamespaceLifecycle` and the `LimitRanger`
 admission control plugins:
 -->
+## 如何启用一个准入控制器？  {#how-do-i-turn-on-an-admission-controller}
+
 Kubernetes API 服务器的 `enable-admission-plugins` 标志接受一个（以逗号分隔的）准入控制插件列表，
 这些插件会在集群修改对象之前被调用。
 
@@ -163,7 +161,6 @@ kube-apiserver -h | grep enable-admission-plugins
 <!--
 In the current version, the default ones are:
 -->
-
 在目前版本中，默认启用的插件有：
 
 ```
@@ -226,7 +223,7 @@ See [Certificate Signing Requests](/docs/reference/access-authn-authz/certificat
 information on the permissions required to perform different actions on CertificateSigningRequest resources.
 -->
 有关对 CertificateSigningRequest 资源执行不同操作所需权限的详细信息，
-请参阅[证书签名请求](/zh/docs/reference/access-authn-authz/certificate-signing-requests/)。
+请参阅[证书签名请求](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/)。
 
 ### CertificateSigning  {#certificatesigning}
 
@@ -244,7 +241,7 @@ See [Certificate Signing Requests](/docs/reference/access-authn-authz/certificat
 information on the permissions required to perform different actions on CertificateSigningRequest resources.
 -->
 有关对 CertificateSigningRequest 资源执行不同操作所需权限的详细信息，
-请参阅[证书签名请求](/zh/docs/reference/access-authn-authz/certificate-signing-requests/)。
+请参阅[证书签名请求](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/)。
 
 ### CertificateSubjectRestriction {#certificatesubjectrestriction}
 
@@ -286,7 +283,7 @@ See the [ingress](/docs/concepts/services-networking/ingress/) documentation for
 classes and how to mark one as default.
 -->
 关于 Ingress 类以及如何将 Ingress 类标记为默认的更多信息，请参见
-[Ingress](/zh/docs/concepts/services-networking/ingress/) 页面。
+[Ingress](/zh-cn/docs/concepts/services-networking/ingress/) 页面。
 
 ### DefaultStorageClass {#defaultstorageclass}
 
@@ -315,7 +312,7 @@ This admission controller ignores any `PersistentVolumeClaim` updates; it acts o
 See [persistent volume](/docs/concepts/storage/persistent-volumes/) documentation about persistent volume claims and
 storage classes and how to mark a storage class as default.
 -->
-关于持久卷申领和存储类，以及如何将存储类标记为默认，请参见[持久卷](/zh/docs/concepts/storage/persistent-volumes/)页面。
+关于持久卷申领和存储类，以及如何将存储类标记为默认，请参见[持久卷](/zh-cn/docs/concepts/storage/persistent-volumes/)页面。
 
 ### DefaultTolerationSeconds {#defaulttolerationseconds}
 
@@ -477,7 +474,7 @@ See the [EventRateLimit Config API (v1alpha1)](/docs/reference/config-api/apiser
 for more details.
 -->
 详情请参见
-[EventRateLimit 配置 API 文档（v1alpha1）](/zh/docs/reference/config-api/apiserver-eventratelimit.v1alpha1/)。
+[EventRateLimit 配置 API 文档（v1alpha1）](/zh-cn/docs/reference/config-api/apiserver-eventratelimit.v1alpha1/)。
 
 ### ExtendedResourceToleration {#extendedresourcetoleration}
 
@@ -491,7 +488,7 @@ add these tolerations.
 -->
 此插件有助于创建带有扩展资源的专用节点。
 如果运维人员想要创建带有扩展资源（如 GPU、FPGA 等）的专用节点，他们应该以扩展资源名称作为键名，
-[为节点设置污点](/zh/docs/concepts/scheduling-eviction/taint-and-toleration/)。
+[为节点设置污点](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)。
 如果启用了此准入控制器，会将此类污点的容忍度自动添加到请求扩展资源的 Pod 中，
 用户不必再手动添加这些容忍度。
 
@@ -504,13 +501,12 @@ ImagePolicyWebhook 准入控制器允许使用后端 Webhook 做出准入决策
 
 <!--
 #### Configuration File Format
--->
-#### 配置文件格式  {#configuration-file-format}
 
-<!--
 ImagePolicyWebhook uses a configuration file to set options for the behavior of the backend.
 This file may be json or yaml and has the following format:
 -->
+#### 配置文件格式  {#configuration-file-format}
+
 ImagePolicyWebhook 使用配置文件来为后端行为设置选项。该文件可以是 JSON 或 YAML，
 并具有以下格式:
 
@@ -568,7 +564,7 @@ formatted file which sets up the connection to the backend.
 It is required that the backend communicate over TLS.
 -->
 ImagePolicyWebhook 的配置文件必须引用
-[kubeconfig](/zh/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
+[kubeconfig](/zh-cn/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
 格式的文件；该文件用来设置与后端的连接。要求后端使用 TLS 进行通信。
 
 <!--
@@ -616,20 +612,19 @@ For additional HTTP configuration, refer to the
 [kubeconfig](/docs/tasks/access-application-cluster/configure-access-multiple-clusters/) documentation.
 -->
 关于 HTTP 配置的更多信息，请参阅
-[kubeconfig](/zh/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
+[kubeconfig](/zh-cn/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
 文档。
 
 <!--
 #### Request payloads
--->
-#### 请求载荷
 
-<!--
 When faced with an admission decision, the API Server POSTs a JSON serialized
 `imagepolicy.k8s.io/v1alpha1` `ImageReview` object describing the action.
 This object contains fields describing the containers being admitted, as well as
 any pod annotations that match `*.image-policy.k8s.io/*`.
 -->
+#### 请求载荷  {#request-payloads}
+
 当面对一个准入决策时，API 服务器发送一个描述操作的 JSON 序列化的
 `imagepolicy.k8s.io/v1alpha1` `ImageReview` 对象。
 该对象包含描述被准入容器的字段，以及与 `*.image-policy.k8s.io/*` 匹配的所有 Pod 注解。
@@ -714,33 +709,31 @@ To disallow access, the service would return:
 For further documentation refer to the
 [`imagepolicy.v1alpha1` API](/docs/reference/config-api/imagepolicy.v1alpha1/).
 -->
-更多的文档，请参阅 [`imagepolicy.v1alpha1` API](/zh/docs/reference/config-api/imagepolicy.v1alpha1/)。
+更多的文档，请参阅 [`imagepolicy.v1alpha1` API](/zh-cn/docs/reference/config-api/imagepolicy.v1alpha1/)。
 
 <!--
 #### Extending with Annotations
--->
-#### 使用注解进行扩展  {#extending-with-annotations}
 
-<!--
 All annotations on a Pod that match `*.image-policy.k8s.io/*` are sent to the webhook.
 Sending annotations allows users who are aware of the image policy backend to
 send extra information to it, and for different backends implementations to
 accept different information.
 -->
+#### 使用注解进行扩展  {#extending-with-annotations}
+
 一个 Pod 中匹配 `*.image-policy.k8s.io/*` 的注解都会被发送给 Webhook。
 这样做使得了解后端镜像策略的用户可以向它发送额外的信息，
 并让不同的后端实现接收不同的信息。
 
 <!--
 Examples of information you might put here are:
--->
-你可以在这里输入的信息有：
 
-<!--
 * request to "break glass" to override a policy, in case of emergency.
 * a ticket number from a ticket system that documents the break-glass request
 * provide a hint to the policy server as to the imageID of the image being provided, to save it a lookup
 -->
+你可以在这里输入的信息有：
+
 * 在紧急情况下，请求破例覆盖某个策略。
 * 从一个记录了破例的请求的工单（Ticket）系统得到的一个工单号码。
 * 向策略服务器提供提示信息，用于提供镜像的 imageID，以方便它进行查找。
@@ -780,8 +773,8 @@ and the [example of LimitRange](/docs/tasks/administer-cluster/manage-resources/
 for more details.
 -->
 请查看
-[limitRange API 文档](/zh/docs/reference/kubernetes-api/policy-resources/limit-range-v1/)和
-[LimitRange 例子](/zh/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/)以了解更多细节。
+[limitRange API 文档](/zh-cn/docs/reference/kubernetes-api/policy-resources/limit-range-v1/)和
+[LimitRange 例子](/zh-cn/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/)以了解更多细节。
 
 ### MutatingAdmissionWebhook {#mutatingadmissionwebhook}
 
@@ -993,7 +986,7 @@ allowVolumeExpansion: true
 For more information about persistent volume claims, see [PersistentVolumeClaims](/docs/concepts/storage/persistent-volumes/#persistentvolumeclaims).
 -->
 关于持久化卷申领的更多信息，请参见
-[PersistentVolumeClaim](/zh/docs/concepts/storage/persistent-volumes/#persistentvolumeclaims)。
+[PersistentVolumeClaim](/zh-cn/docs/concepts/storage/persistent-volumes/#persistentvolumeclaims)。
 
 ### PersistentVolumeLabel {#persistentvolumelabel} 
 
@@ -1037,7 +1030,8 @@ This file may be json or yaml and has the following format:
 -->
 #### 配置文件格式    {#configuration-file-format-podnodeselector}
 
-`PodNodeSelector` 使用配置文件来设置后端行为的选项。请注意，配置文件格式将在将来某个版本中改为版本化文件。
+`PodNodeSelector` 使用配置文件来设置后端行为的选项。
+请注意，配置文件格式将在将来某个版本中改为版本化文件。
 该文件可以是 JSON 或 YAML，格式如下：
 
 ```yaml
@@ -1134,10 +1128,10 @@ for more information.
 -->
 这是下节所讨论的已被废弃的 [PodSecurityPolicy](#podsecuritypolicy) 准入控制器的替代品。
 此准入控制器负责在创建和修改 Pod 时，根据请求的安全上下文和
-[Pod 安全标准](/zh/docs/concepts/security/pod-security-standards/)
+[Pod 安全标准](/zh-cn/docs/concepts/security/pod-security-standards/)
 来确定是否可以执行请求。
 
-更多信息请参阅 [Pod 安全性准入控制器](/zh/docs/concepts/security/pod-security-admission/)。
+更多信息请参阅 [Pod 安全性准入控制器](/zh-cn/docs/concepts/security/pod-security-admission/)。
 
 ### PodSecurityPolicy {#podsecuritypolicy}
 
@@ -1154,8 +1148,7 @@ based on the requested security context and the available Pod Security Policies.
 See also the [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/) documentation
 for more information.
 -->
-查看 [Pod 安全策略文档](/zh/docs/concepts/security/pod-security-policy/)
-进一步了解其间细节。
+查看 [Pod 安全策略文档](/zh-cn/docs/concepts/security/pod-security-policy/)进一步了解其间细节。
 
 ### PodTolerationRestriction {#podtolerationrestriction}
 
@@ -1234,15 +1227,14 @@ See the [ResourceQuota API reference](/docs/reference/kubernetes-api/policy-reso
 and the [example of Resource Quota](/docs/concepts/policy/resource-quotas/) for more details.
 -->
 请参阅
-[resourceQuota API 参考](/zh/docs/reference/kubernetes-api/policy-resources/resource-quota-v1/)
-和 [Resource Quota 例子](/zh/docs/concepts/policy/resource-quotas/)了解更多细节。
+[resourceQuota API 参考](/zh-cn/docs/reference/kubernetes-api/policy-resources/resource-quota-v1/)
+和 [Resource Quota 例子](/zh-cn/docs/concepts/policy/resource-quotas/)了解更多细节。
 
-
-<!--
 ### RuntimeClass {#runtimeclass}
 
 {{< feature-state for_k8s_version="v1.20" state="stable" >}}
 
+<!--
 If you define a RuntimeClass with [Pod overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
 configured, this admission controller checks incoming Pods.
 When enabled, this admission controller rejects any Pod create requests
@@ -1254,16 +1246,13 @@ defined in the corresponding RuntimeClass.
 See also [Pod Overhead](/docs/concepts/scheduling-eviction/pod-overhead/)
 for more information.
 -->
-### RuntimeClass {#runtimeclass}
-
-{{< feature-state for_k8s_version="v1.20" state="stable" >}}
-
-如果你所定义的 RuntimeClass 包含 [Pod 开销](/zh/docs/concepts/scheduling-eviction/pod-overhead/)，
-这个准入控制器会检查新的 Pod。被启用后，此准入控制器会拒绝所有已经设置了 overhead 字段的 Pod 创建请求。
+如果你所定义的 RuntimeClass 包含 [Pod 开销](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)，
+这个准入控制器会检查新的 Pod。
+被启用后，此准入控制器会拒绝所有已经设置了 overhead 字段的 Pod 创建请求。
 对于配置了 RuntimeClass 并在其 `.spec` 中选定 RuntimeClass 的 Pod，
 此准入控制器会根据相应 RuntimeClass 中定义的值为 Pod 设置 `.spec.overhead`。
 
-详情请参见 [Pod 开销](/zh/docs/concepts/scheduling-eviction/pod-overhead/)。
+详情请参见 [Pod 开销](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)。
 
 ### SecurityContextDeny {#securitycontextdeny}
 
@@ -1276,20 +1265,21 @@ task.
 If you don't use [Pod Security admission](/docs/concepts/security/pod-security-admission/),
 [PodSecurityPolicies](/docs/concepts/security/pod-security-policy/), nor any external enforcement mechanism,
 then you could use this admission controller to restrict the set of values a security context can take.
+-->
+此准入控制器将拒绝任何试图设置特定提升
+[SecurityContext](/zh-cn/docs/tasks/configure-pod-container/security-context/)
+中某些字段的 Pod，正如任务[为 Pod 或 Container 配置安全上下文](/zh-cn/docs/tasks/configure-pod-container/security-context/)
+中所展示的那样。如果集群没有使用
+[Pod 安全性准入](/zh-cn/docs/concepts/security/pod-security-admission/)、
+[PodSecurityPolicy](/zh-cn/docs/concepts/security/pod-security-policy/)，
+也没有任何外部强制机制，那么你可以使用此准入控制器来限制安全上下文所能获取的值集。
 
+<!--
 See [Pod Security Standards](/docs/concepts/security/pod-security-standards/) for more context on restricting
 pod privileges.
 -->
-此准入控制器将拒绝任何试图设置特定提升
-[SecurityContext](/zh/docs/tasks/configure-pod-container/security-context/)
-中某些字段的 Pod，正如任务[为 Pod 或 Container 配置安全上下文](/zh/docs/tasks/configure-pod-container/security-context/)
-中所展示的那样。如果集群没有使用
-[Pod 安全性准入](/zh/docs/concepts/security/pod-security-admission/)、
-[PodSecurityPolicy](/zh/docs/concepts/security/pod-security-policy/)，
-也没有任何外部强制机制，那么你可以使用此准入控制器来限制安全上下文所能获取的值集。
-
 有关限制 Pod 权限的更多内容，请参阅 
-[Pod 安全标准](/zh/docs/concepts/security/pod-security-standards/)。
+[Pod 安全标准](/zh-cn/docs/concepts/security/pod-security-standards/)。
 
 ### ServiceAccount {#serviceaccount}
 
@@ -1300,7 +1290,7 @@ We strongly recommend using this admission controller if you intend to make use
 `ServiceAccount` objects.
 -->
 此准入控制器实现了
-[ServiceAccount](/zh/docs/tasks/configure-pod-container/configure-service-account/)
+[ServiceAccount](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
 的自动化。
 如果你打算使用 Kubernetes 的 ServiceAccount 对象，我们强烈建议你使用这个准入控制器。
 
@@ -1317,9 +1307,9 @@ for more detailed information.
 -->
 `StorageObjectInUseProtection` 插件将 `kubernetes.io/pvc-protection` 或
 `kubernetes.io/pv-protection` finalizers 添加到新创建的持久卷申领（PVC）
-或持久卷（PV）中。如果用户尝试删除 PVC/PV，除非 PVC/PV 的保护控制器移除 finalizers，
-否则 PVC/PV 不会被删除。有关更多详细信息，请参考
-[保护使用中的存储对象](/zh/docs/concepts/storage/persistent-volumes/#storage-object-in-use-protection)。
+或持久卷（PV）中。如果用户尝试删除 PVC/PV，除非 PVC/PV 的保护控制器移除终结器（finalizers），
+否则 PVC/PV 不会被删除。有关更多详细信息，
+请参考[保护使用中的存储对象](/zh-cn/docs/concepts/storage/persistent-volumes/#storage-object-in-use-protection)。
 
 ### TaintNodesByCondition {#taintnodesbycondition}
 
@@ -1353,7 +1343,7 @@ If a webhook called by this has side effects (for example, decrementing quota) i
 *must* have a reconciliation system, as it is not guaranteed that subsequent
 webhooks or other validating admission controllers will permit the request to finish.
 -->
-如果以此方式调用的 Webhook 有其它副作用（如：减少配额），则它必须具有协调机制。
+如果以此方式调用的 Webhook 有其它副作用（如：减少配额），则它 **必须** 具有协调机制。
 这是因为无法保证后续的 Webhook 或其他验证性准入控制器都允许请求完成。
 
 <!--
@@ -1378,7 +1368,7 @@ You can enable additional admission controllers beyond the default set using the
 ## 有推荐的准入控制器吗？
 
 有。推荐使用的准入控制器默认情况下都处于启用状态
-（请查看[这里](/zh/docs/reference/command-line-tools-reference/kube-apiserver/#options)）。
+（请查看[这里](/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/#options)）。
 因此，你无需显式指定它们。
 你可以使用 `--enable-admission-plugins` 标志（ **顺序不重要** ）来启用默认设置以外的其他准入控制器。
 
diff --git a/content/zh-cn/docs/reference/access-authn-authz/authorization.md b/content/zh-cn/docs/reference/access-authn-authz/authorization.md
index c7d2bae333d..ba70c2b36dd 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/authorization.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/authorization.md
@@ -35,7 +35,7 @@ cloud-provider-wide access control systems which may handle other APIs besides
 the Kubernetes API.
 -->
 在 Kubernetes 中，你必须在鉴权（授予访问权限）之前进行身份验证（登录），有关身份验证的信息，
-请参阅[访问控制概述](/zh/docs/concepts/security/controlling-access/).
+请参阅[访问控制概述](/zh-cn/docs/concepts/security/controlling-access/).
 
 Kubernetes 期望请求中存在 REST API 常见的属性。
 这意味着 Kubernetes 鉴权适用于现有的组织范围或云提供商范围的访问控制系统，
@@ -48,7 +48,15 @@ Kubernetes authorizes API requests using the API server. It evaluates all of the
 request attributes against all policies and allows or denies the request. All
 parts of an API request must be allowed by some policy in order to proceed. This
 means that permissions are denied by default.
+-->
+## 确定是允许还是拒绝请求  {#determine-whether-a-request-is-allowed-or-denied}
 
+Kubernetes 使用 API 服务器对 API 请求进行鉴权。
+它根据所有策略评估所有请求属性来决定允许或拒绝请求。
+一个 API 请求的所有部分都必须被某些策略允许才能继续。
+这意味着默认情况下拒绝权限。
+
+<!--
 (Although Kubernetes uses the API server, access controls and policies that
 depend on specific fields of specific kinds of objects are handled by Admission
 Controllers.)
@@ -58,13 +66,6 @@ If any authorizer approves or denies a request, that decision is immediately
 returned and no other authorizer is consulted. If all modules have no opinion on
 the request, then the request is denied. A deny returns an HTTP status code 403.
 -->
-## 确定是允许还是拒绝请求
-
-Kubernetes 使用 API 服务器对 API 请求进行鉴权。
-它根据所有策略评估所有请求属性来决定允许或拒绝请求。
-一个 API 请求的所有部分都必须被某些策略允许才能继续。
-这意味着默认情况下拒绝权限。
-
 （尽管 Kubernetes 使用 API 服务器，但是依赖于特定对象种类的特定字段的访问控制
 和策略由准入控制器处理。）
 
@@ -94,22 +95,21 @@ Kubernetes reviews only the following API request attributes:
 
 Kubernetes 仅审查以下 API 请求属性：
 
-* **用户** - 身份验证期间提供的 `user` 字符串。
-* **组** - 经过身份验证的用户所属的组名列表。
-* **额外信息** - 由身份验证层提供的任意字符串键到字符串值的映射。
-* **API** - 指示请求是否针对 API 资源。
-* **请求路径** - 各种非资源端点的路径，如 `/api` 或 `/healthz`。
-* **API 请求动词** - API 动词 `get`、`list`、`create`、`update`、`patch`、`watch`、
+* **用户** —— 身份验证期间提供的 `user` 字符串。
+* **组** —— 经过身份验证的用户所属的组名列表。
+* **额外信息** —— 由身份验证层提供的任意字符串键到字符串值的映射。
+* **API** —— 指示请求是否针对 API 资源。
+* **请求路径** —— 各种非资源端点的路径，如 `/api` 或 `/healthz`。
+* **API 请求动词** —— API 动词 `get`、`list`、`create`、`update`、`patch`、`watch`、
   `proxy`、`redirect`、`delete` 和 `deletecollection` 用于资源请求。
-  要确定资源 API 端点的请求动词，请参阅
-  [确定请求动词](#determine-the-request-verb)。
-* **HTTP 请求动词** - HTTP 动词 `get`、`post`、`put` 和 `delete` 用于非资源请求。
-* **Resource** - 正在访问的资源的 ID 或名称（仅限资源请求）- 
+  要确定资源 API 端点的请求动词，请参阅[确定请求动词](#determine-the-request-verb)。
+* **HTTP 请求动词** —— HTTP 动词 `get`、`post`、`put` 和 `delete` 用于非资源请求。
+* **资源** —— 正在访问的资源的 ID 或名称（仅限资源请求）- 
   对于使用 `get`、`update`、`patch` 和 `delete` 动词的资源请求，你必须提供资源名称。
-* **子资源** - 正在访问的子资源（仅限资源请求）。
-* **名字空间** - 正在访问的对象的名称空间（仅适用于名字空间资源请求）。
-* **API 组** - 正在访问的 {{< glossary_tooltip text="API 组" term_id="api-group" >}}
-  （仅限资源请求）。空字符串表示[核心 API 组](/zh/docs/reference/using-api/#api-groups)。
+* **子资源** —— 正在访问的子资源（仅限资源请求）。
+* **名字空间** —— 正在访问的对象的名称空间（仅适用于名字空间资源请求）。
+* **API 组** —— 正在访问的 {{< glossary_tooltip text="API 组" term_id="api-group" >}}
+  （仅限资源请求）。空字符串表示[核心 API 组](/zh-cn/docs/reference/using-api/#api-groups)。
 
 <!--
 ## Determine the Request Verb
@@ -117,15 +117,17 @@ Kubernetes 仅审查以下 API 请求属性：
 **Non-resource requests**
 Requests to endpoints other than `/api/v1/...` or `/apis/<group>/<version>/...`
 are considered "non-resource requests", and use the lower-cased HTTP method of the request as the verb.
+
 For example, a `GET` request to endpoints like `/api` or `/healthz` would use `get` as the verb.
 -->
 ## 确定请求动词  {#determine-the-request-verb}
 
 **非资源请求**
 
-对于 `/api/v1/...` 或 `/apis/<group>/<version>/...` 之外的端点的请求被
-视为“非资源请求（Non-Resource Requests）”，并使用该请求的 HTTP 方法的
-小写形式作为其请求动词。
+对于 `/api/v1/...` 或 `/apis/<group>/<version>/...`
+之外的端点的请求被视为 “非资源请求（Non-Resource Requests）”，
+并使用该请求的 HTTP 方法的小写形式作为其请求动词。
+
 例如，对 `/api` 或 `/healthz` 这类端点的 `GET` 请求将使用 `get` 作为其动词。
 
 <!--
@@ -137,8 +139,7 @@ collection of resources:
 -->
 **资源请求**
 
-要确定对资源 API 端点的请求动词，需要查看所使用的 HTTP 动词以及该请求是针对
-单个资源还是一组资源：
+要确定对资源 API 端点的请求动词，需要查看所使用的 HTTP 动词以及该请求是针对单个资源还是一组资源：
 
 <!--
 HTTP verb | request verb
@@ -157,6 +158,14 @@ PUT       | update
 PATCH     | patch
 DELETE    | delete（针对单个资源）、deletecollection（针对集合）
 
+{{< caution >}}
+<!--
+The `get`, `list` and `watch` verbs can all return the full details of a resource. In terms of the returned data they are equivalent. For example, `list` on `secrets` will still reveal the `data` attributes of any returned resources.
+-->
+`get`、`list` 和 `watch` 动作都可以返回一个资源的完整详细信息。就返回的数据而言，它们是等价的。
+例如，对 `secrets` 使用 `list` 仍然会显示所有已返回资源的 `data` 属性。
+{{< /caution >}}
+
 <!--
 Kubernetes sometimes checks authorization for additional permissions using specialized verbs. For example:
 
@@ -169,19 +178,19 @@ Kubernetes sometimes checks authorization for additional permissions using speci
 -->
 Kubernetes 有时使用专门的动词以对额外的权限进行鉴权。例如：
 
-* [PodSecurityPolicy](/zh/docs/concepts/security/pod-security-policy/)
+* [PodSecurityPolicy](/zh-cn/docs/concepts/security/pod-security-policy/)
   * `policy` API 组中 `podsecuritypolicies` 资源使用 `use` 动词
-* [RBAC](/zh/docs/reference/access-authn-authz/rbac/#privilege-escalation-prevention-and-bootstrapping)
+* [RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/#privilege-escalation-prevention-and-bootstrapping)
   * 对 `rbac.authorization.k8s.io` API 组中 `roles` 和 `clusterroles` 资源的 `bind`
     和 `escalate` 动词
-* [身份认证](/zh/docs/reference/access-authn-authz/authentication/)
+* [身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)
   * 对核心 API 组中 `users`、`groups` 和 `serviceaccounts` 以及 `authentication.k8s.io`
     API 组中的 `userextras` 所使用的 `impersonate` 动词。
 
 <!--
 ## Authorization Modules  {#authorization-modules}
 
- * **Node** - A special-purpose authorizer that grants permissions to kubelets based on the pods they are scheduled to run. To learn more about using the Node authorization mode, see [Node Authorization](/docs/reference/access-authn-authz/node/).
+ * **Node** - A special-purpose authorization mode that grants permissions to kubelets based on the pods they are scheduled to run. To learn more about using the Node authorization mode, see [Node Authorization](/docs/reference/access-authn-authz/node/).
  * **ABAC** - Attribute-based access control (ABAC) defines an access control paradigm whereby access rights are granted to users through the use of policies which combine attributes together. The policies can use any type of attributes (user attributes, resource attributes, object, environment attributes, etc). To learn more about using the ABAC mode, see [ABAC Mode](/docs/reference/access-authn-authz/abac/).
  * **RBAC** - Role-based access control (RBAC) is a method of regulating access to computer or network resources based on the roles of individual users within an enterprise. In this context, access is the ability of an individual user to perform a specific task, such as view, create, or modify a file. To learn more about using the RBAC mode, see [RBAC Mode](/docs/reference/access-authn-authz/rbac/)
    * When specified RBAC (Role-Based Access Control) uses the `rbac.authorization.k8s.io` API group to drive authorization decisions, allowing admins to dynamically configure permission policies through the Kubernetes API.
@@ -190,23 +199,25 @@ Kubernetes 有时使用专门的动词以对额外的权限进行鉴权。例如
 -->
 ## 鉴权模块  {#authorization-modules}
 
-* **Node** - 一个专用鉴权组件，根据调度到 kubelet 上运行的 Pod 为 kubelet 授予权限。
-  了解有关使用节点鉴权模式的更多信息，请参阅[节点鉴权](/zh/docs/reference/access-authn-authz/node/)。
-* **ABAC** - 基于属性的访问控制（ABAC）定义了一种访问控制范型，通过使用将属性组合
-  在一起的策略，将访问权限授予用户。策略可以使用任何类型的属性（用户属性、资源属性、
-  对象，环境属性等）。要了解有关使用 ABAC 模式的更多信息，请参阅
-  [ABAC 模式](/zh/docs/reference/access-authn-authz/abac/)。
-* **RBAC** - 基于角色的访问控制（RBAC）是一种基于企业内个人用户的角色来管理对
-  计算机或网络资源的访问的方法。在此上下文中，权限是单个用户执行特定任务的能力，
+* **Node** —— 一个专用鉴权模式，根据调度到 kubelet 上运行的 Pod 为 kubelet 授予权限。
+  要了解有关使用节点鉴权模式的更多信息，请参阅[节点鉴权](/zh-cn/docs/reference/access-authn-authz/node/)。
+* **ABAC** —— 基于属性的访问控制（ABAC）定义了一种访问控制范型，通过使用将属性组合在一起的策略，
+  将访问权限授予用户。策略可以使用任何类型的属性（用户属性、资源属性、对象，环境属性等）。
+  要了解有关使用 ABAC 模式的更多信息，请参阅
+  [ABAC 模式](/zh-cn/docs/reference/access-authn-authz/abac/)。
+* **RBAC** —— 基于角色的访问控制（RBAC）
+  是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问的方法。
+  在此上下文中，权限是单个用户执行特定任务的能力，
   例如查看、创建或修改文件。要了解有关使用 RBAC 模式的更多信息，请参阅
-  [RBAC 模式](/zh/docs/reference/access-authn-authz/rbac/)。
-  * 被启用之后，RBAC（基于角色的访问控制）使用 `rbac.authorization.k8s.io` API 组来
-    驱动鉴权决策，从而允许管理员通过 Kubernetes API 动态配置权限策略。
+  [RBAC 模式](/zh-cn/docs/reference/access-authn-authz/rbac/)。
+  * 被启用之后，RBAC（基于角色的访问控制）使用 `rbac.authorization.k8s.io` API
+    组来驱动鉴权决策，从而允许管理员通过 Kubernetes API 动态配置权限策略。
   * 要启用 RBAC，请使用 `--authorization-mode = RBAC` 启动 API 服务器。
-* **Webhook** - WebHook 是一个 HTTP 回调：发生某些事情时调用的 HTTP POST；
-  通过 HTTP POST 进行简单的事件通知。实现 WebHook 的 Web 应用程序会在发生某些事情时
-  将消息发布到 URL。要了解有关使用 Webhook 模式的更多信息，请参阅
-  [Webhook 模式](/zh/docs/reference/access-authn-authz/webhook/)。
+* **Webhook** —— WebHook 是一个 HTTP 回调：发生某些事情时调用的 HTTP POST；
+  通过 HTTP POST 进行简单的事件通知。
+  实现 WebHook 的 Web 应用程序会在发生某些事情时将消息发布到 URL。
+  要了解有关使用 Webhook 模式的更多信息，请参阅
+  [Webhook 模式](/zh-cn/docs/reference/access-authn-authz/webhook/)。
 
 <!--
 #### Checking API Access
@@ -225,7 +236,9 @@ a given action, and works regardless of the authorization mode used.
 kubectl auth can-i create deployments --namespace dev
 ```
 
-<!-- The output is similar to this: -->
+<!--
+The output is similar to this:
+-->
 输出类似于：
 
 ```
@@ -236,7 +249,9 @@ yes
 kubectl auth can-i create deployments --namespace prod
 ```
 
-<!-- The output is similar to this: -->
+<!--
+The output is similar to this:
+-->
 输出类似于：
 
 ```
@@ -247,15 +262,16 @@ no
 Administrators can combine this with [user impersonation](/docs/reference/access-authn-authz/authentication/#user-impersonation)
 to determine what action other users can perform.
 -->
-管理员可以将此与
-[用户扮演](/zh/docs/reference/access-authn-authz/authentication/#user-impersonation)
+管理员可以将此与[用户扮演（User Impersonation）](/zh-cn/docs/reference/access-authn-authz/authentication/#user-impersonation)
 结合使用，以确定其他用户可以执行的操作。
 
 ```bash
 kubectl auth can-i list secrets --namespace dev --as dave
 ```
 
-<!-- The output is similar to this: -->
+<!--
+The output is similar to this:
+-->
 输出类似于：
 
 ```
@@ -266,7 +282,7 @@ no
 Similarly, to check whether a ServiceAccount named `dev-sa` in Namespace `dev`
 can list Pods in the Namespace `target`:
 -->
-类似地，检查名字空间 `dev` 里的 `dev-sa` 服务账号是否可以列举名字空间 `target` 里的 Pod：
+类似地，检查名字空间 `dev` 里的 `dev-sa` 服务账户是否可以列举名字空间 `target` 里的 Pod：
 
 ```bash
 kubectl auth can-i list pods \
@@ -274,7 +290,9 @@ kubectl auth can-i list pods \
 	--as system:serviceaccount:dev:dev-sa
 ```
 
-<!-- The output is similar to this: -->
+<!--
+The output is similar to this:
+-->
 输出类似于：
 
 ```
@@ -297,10 +315,9 @@ field of the returned object is the result of the query.
 服务器鉴权公开给外部服务。该组中的其他资源包括：
 
 * `SubjectAccessReview` - 对任意用户的访问进行评估，而不仅仅是当前用户。
-  当鉴权决策被委派给 API 服务器时很有用。例如，kubelet 和扩展 API 服务器使用
-  它来确定用户对自己的 API 的访问权限。
-* `LocalSubjectAccessReview` - 与 `SubjectAccessReview` 类似，但仅限于特定的
-  名字空间。
+  当鉴权决策被委派给 API 服务器时很有用。例如，kubelet 和扩展 API
+  服务器使用它来确定用户对自己的 API 的访问权限。
+* `LocalSubjectAccessReview` - 与 `SubjectAccessReview` 类似，但仅限于特定的名字空间。
 * `SelfSubjectRulesReview` - 返回用户可在名字空间内执行的操作集的审阅。
   用户可以快速汇总自己的访问权限，或者用于 UI 中的隐藏/显示动作。
 
@@ -349,7 +366,7 @@ your policies include:
 
 The following flags can be used:
 -->
-## 为你的鉴权模块设置参数
+## 为你的鉴权模块设置参数  {#using-flags-for-your-authorization-module}
 
 你必须在策略中包含一个参数标志，以指明你的策略包含哪个鉴权模块：
 
@@ -363,8 +380,7 @@ The following flags can be used:
   * `--authorization-mode=AlwaysDeny` This flag blocks all requests. Use this flag only for testing.
   * `--authorization-mode=AlwaysAllow` This flag allows all requests. Use this flag only if you do not require authorization for your API requests.
 -->
-* `--authorization-mode=ABAC` 基于属性的访问控制（ABAC）模式允许你
-  使用本地文件配置策略。
+* `--authorization-mode=ABAC` 基于属性的访问控制（ABAC）模式允许你使用本地文件配置策略。
 * `--authorization-mode=RBAC` 基于角色的访问控制（RBAC）模式允许你使用
   Kubernetes API 创建和存储策略。
 * `--authorization-mode=Webhook` WebHook 是一种 HTTP 回调模式，允许你使用远程
@@ -372,15 +388,13 @@ The following flags can be used:
 * `--authorization-mode=Node` 节点鉴权是一种特殊用途的鉴权模式，专门对
   kubelet 发出的 API 请求执行鉴权。
 * `--authorization-mode=AlwaysDeny` 该标志阻止所有请求。仅将此标志用于测试。
-* `--authorization-mode=AlwaysAllow` 此标志允许所有请求。仅在你不需要 API 请求
-  的鉴权时才使用此标志。
+* `--authorization-mode=AlwaysAllow` 此标志允许所有请求。仅在你不需要 API 请求的鉴权时才使用此标志。
 
 <!--
 You can choose more than one authorization module. Modules are checked in order
 so an earlier module has higher priority to allow or deny a request.
 -->
-你可以选择多个鉴权模块。模块按顺序检查，以便较靠前的模块具有更高的优先级来允许
-或拒绝请求。
+你可以选择多个鉴权模块。模块按顺序检查，以便较靠前的模块具有更高的优先级来允许或拒绝请求。
 
 <!--
 ## Privilege escalation via workload creation or edits {#privilege-escalation-via-pod-creation}
@@ -391,8 +405,8 @@ such as an operator, could escalate their privileges in that namespace.
 ## 通过创建或编辑工作负载提升权限 {#privilege-escalation-via-pod-creation}
 
 能够在名字空间中创建或者编辑 Pod 的用户，
-无论是直接操作还是通过[控制器](/zh/docs/concepts/architecture/controller/)（例如，一个 Operator）来操作，
-都可以提升他们在该名字空间内的权限。
+无论是直接操作还是通过[控制器](/zh-cn/docs/concepts/architecture/controller/)
+（例如，一个 Operator）来操作，都可以提升他们在该名字空间内的权限。
 
 {{< caution >}}
 <!--
@@ -417,7 +431,8 @@ Details of how these can be misused are documented in [escalation paths](/docs/r
 - Mounting volumes meant for other workloads in that namespace
   - Can be used to obtain information meant for other workloads, and change it.
 -->
-### 提升途径 {#escalation-paths}
+### 特权提升途径 {#escalation-paths}
+
 - 挂载该名字空间内的任意 Secret
   - 可以用来访问其他工作负载专用的 Secret
   - 可以用来获取权限更高的服务账号的令牌
@@ -447,9 +462,8 @@ This should be considered when deciding on your RBAC controls.
 * To learn more about Authentication, see **Authentication** in [Controlling Access to the Kubernetes API](/docs/concepts/security/controlling-access/).
 * To learn more about Admission Control, see [Using Admission Controllers](/docs/reference/access-authn-authz/admission-controllers/).
 -->
-* 要了解有关身份验证的更多信息，请参阅
-  [控制对 Kubernetes API 的访问](/zh/docs/concepts/security/controlling-access/)
-  中的 **身份验证**  部分。
-* 要了解有关准入控制的更多信息，请参阅
-  [使用准入控制器](/zh/docs/reference/access-authn-authz/admission-controllers/)。
+* 要了解有关身份验证的更多信息，
+  请参阅[控制对 Kubernetes API 的访问](/zh-cn/docs/concepts/security/controlling-access/)中的
+  **身份验证**  部分。
+* 要了解有关准入控制的更多信息，请参阅[使用准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)。
 
diff --git a/content/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests.md b/content/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests.md
index 503818b5bad..2af972ff800 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests.md
@@ -447,7 +447,7 @@ O is the group that this user will belong to. You can refer to
 
 下面的脚本展示了如何生成 PKI 私钥和 CSR。
 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名，O 是该用户归属的组。
-你可以参考 [RBAC](/zh/docs/reference/access-authn-authz/rbac/) 了解标准组的信息。
+你可以参考 [RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/) 了解标准组的信息。
 
 ```shell
 openssl genrsa -out myuser.key 2048
@@ -524,7 +524,7 @@ kubectl certificate approve myuser
 <!--
 ### Get the certificate
 
-Retrieve the certificate from the CSR.
+Retrieve the certificate from the CSR:
 -->
 ### 取得证书 {#get-the-certificate}
 
@@ -535,7 +535,7 @@ kubectl get csr/myuser -o yaml
 ```
 
 <!--
-The Certificate value is in Base64-encoded format under `status.certificate`.
+The certificate value is in Base64-encoded format under `status.certificate`.
 
 Export the issued certificate from the CertificateSigningRequest.
 
@@ -614,7 +614,7 @@ kubectl config use-context myuser
 ```
 
 <!--
-## Approval or rejection   {#approval-rejection}
+## Approval or rejection  {#approval-rejection}
 
 ### Control plane automated approval {#approval-rejection-control-plane}
 
@@ -699,6 +699,7 @@ status:
     reason: ApprovedByMyPolicy # You can set this to any string
     type: Approved
 ```
+
 <!--
 For `Denied` CSRs:
 -->
@@ -744,7 +745,7 @@ were marked as approved.
 ### 控制平面签名者    {#signer-control-plane}
 
 Kubernetes 控制平面实现了每一个
-[Kubernetes 签名者](/zh/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers)，
+[Kubernetes 签名者](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers)，
 每个签名者的实现都是 kube-controller-manager 的一部分。
 
 {{< note >}}
@@ -780,7 +781,7 @@ Example certificate content:
 
 REST API 的用户可以通过向待签名的 CSR 的 `status` 子资源提交更新请求来对 CSR 进行签名。
 
-作为这个请求的一部分， `status.certificate` 字段应设置为已签名的证书。
+作为这个请求的一部分，`status.certificate` 字段应设置为已签名的证书。
 此字段可包含一个或多个 PEM 编码的证书。
 
 所有的 PEM 块必须具备 "CERTIFICATE" 标签，且不包含文件头，且编码的数据必须是
@@ -841,7 +842,7 @@ status:
 * For details of X.509 itself, refer to [RFC 5280](https://tools.ietf.org/html/rfc5280#section-3.1) section 3.1
 * For information on the syntax of PKCS#10 certificate signing requests, refer to [RFC 2986](https://tools.ietf.org/html/rfc2986)
 -->
-* 参阅 [管理集群中的 TLS 认证](/zh/docs/tasks/tls/managing-tls-in-a-cluster/)
+* 参阅 [管理集群中的 TLS 认证](/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster/)
 * 查看 kube-controller-manager 中[签名者](https://github.com/kubernetes/kubernetes/blob/32ec6c212ec9415f604ffc1f4c1f29b782968ff1/pkg/controller/certificates/signer/cfssl_signer.go)部分的源代码
 * 查看 kube-controller-manager 中[批准者](https://github.com/kubernetes/kubernetes/blob/32ec6c212ec9415f604ffc1f4c1f29b782968ff1/pkg/controller/certificates/approver/sarapprove.go)部分的源代码
 * 有关 X.509 本身的详细信息，请参阅 [RFC 5280](https://tools.ietf.org/html/rfc5280#section-3.1) 第3.1节
diff --git a/content/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers.md b/content/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers.md
index 5340fd30270..7c257e8286e 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers.md
@@ -16,7 +16,7 @@ In addition to [compiled-in admission plugins](/docs/reference/access-authn-auth
 admission plugins can be developed as extensions and run as webhooks configured at runtime.
 This page describes how to build, configure, use, and monitor admission webhooks.
 -->
-除了[内置的 admission 插件](/zh/docs/reference/access-authn-authz/admission-controllers/)，
+除了[内置的 admission 插件](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)，
 准入插件可以作为扩展独立开发，并以运行时所配置的 Webhook 的形式运行。
 此页面描述了如何构建、配置、使用和监视准入 Webhook。
 
@@ -36,8 +36,8 @@ Mutating admission Webhooks are invoked first, and can modify objects sent to th
 -->
 准入 Webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。
 可以定义两种类型的准入 webhook，即
-[验证性质的准入 Webhook](/zh/docs/reference/access-authn-authz/admission-controllers/#validatingadmissionwebhook) 和
-[修改性质的准入 Webhook](/zh/docs/reference/access-authn-authz/admission-controllers/#mutatingadmissionwebhook)。
+[验证性质的准入 Webhook](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#validatingadmissionwebhook) 和
+[修改性质的准入 Webhook](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#mutatingadmissionwebhook)。
 修改性质的准入 Webhook 会先被调用。它们可以更改发送到 API 
 服务器的对象以执行自定义的设置默认值操作。
 
@@ -57,11 +57,9 @@ should use a validating admission webhook, since objects can be modified after b
 则应使用验证性质的准入 Webhook，因为对象被修改性质 Webhook 看到之后仍然可能被修改。
 {{< /note >}}
 
-
 <!--
 ### Experimenting with admission webhooks
 
-Admission webhooks are essentially part of the cluster control-plane. You should
 write and deploy them with great caution. Please read the [user
 guides](/docs/reference/access-authn-authz/extensible-admission-controllers/#write-an-admission-webhook-server) for
 instructions if you intend to write/deploy production-grade admission webhooks.
@@ -70,31 +68,26 @@ In the following, we describe how to quickly experiment with admission webhooks.
 ### 尝试准入 Webhook
 
 准入 Webhook 本质上是集群控制平面的一部分。你应该非常谨慎地编写和部署它们。
-如果你打算编写或者部署生产级准入 webhook，请阅读[用户指南](/zh/docs/reference/access-authn-authz/extensible-admission-controllers/#write-an-admission-webhook-server)以获取相关说明。
+如果你打算编写或者部署生产级准入 webhook，请阅读[用户指南](/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/#write-an-admission-webhook-server)以获取相关说明。
 在下文中，我们将介绍如何快速试验准入 Webhook。
 
 <!--
 ### Prerequisites
 
-* Ensure that the Kubernetes cluster is at least as new as v1.16 (to use `admissionregistration.k8s.io/v1`),
-  or v1.9 (to use `admissionregistration.k8s.io/v1beta1`).
-
 * Ensure that MutatingAdmissionWebhook and ValidatingAdmissionWebhook
   admission controllers are enabled.
   [Here](/docs/reference/access-authn-authz/admission-controllers/#is-there-a-recommended-set-of-admission-controllers-to-use)
   is a recommended set of admission controllers to enable in general.
 
-* Ensure that the admissionregistration.k8s.io/v1beta1 API is enabled.
+* Ensure that the `admissionregistration.k8s.io/v1` API is enabled.
 -->
 ### 先决条件 {#prerequisites}
 
-* 确保 Kubernetes 集群版本至少为 v1.16（以便使用 `admissionregistration.k8s.io/v1` API） 或者 v1.9 （以便使用 `admissionregistration.k8s.io/v1beta1` API）。
-
 * 确保启用 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook 控制器。
-  [这里](/zh/docs/reference/access-authn-authz/admission-controllers/#is-there-a-recommended-set-of-admission-controllers-to-use)
+  [这里](/zh-cn/docs/reference/access-authn-authz/admission-controllers/#is-there-a-recommended-set-of-admission-controllers-to-use)
   是一组推荐的 admission 控制器，通常可以启用。
 
-* 确保启用了 `admissionregistration.k8s.io/v1beta1` API。
+* 确保启用了 `admissionregistration.k8s.io/v1` API。
 
 <!--
 ### Write an admission webhook server
@@ -102,15 +95,14 @@ In the following, we describe how to quickly experiment with admission webhooks.
 ### 编写一个准入 Webhook 服务器
 
 <!--
-Please refer to the implementation of the [admission webhook
-server](https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)
+Please refer to the implementation of the [admission webhook server](https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)
 that is validated in a Kubernetes e2e test. The webhook handles the
-`AdmissionReview` request sent by the apiservers, and sends back its decision
+`AdmissionReview` request sent by the API servers, and sends back its decision
 as an `AdmissionReview` object in the same version it received.
 -->
 请参阅 Kubernetes e2e 测试中的
 [admission webhook 服务器](https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)
-的实现。webhook 处理由 apiserver 发送的 `AdmissionReview` 请求，并且将其决定
+的实现。webhook 处理由 API 服务器发送的 `AdmissionReview` 请求，并且将其决定
 作为 `AdmissionReview` 对象以相同版本发送回去。
 
 <!--
@@ -127,9 +119,9 @@ See the [webhook response](#response) section for the data expected from webhook
 The example admission webhook server leaves the `ClientAuth` field
 [empty](https://github.com/kubernetes/kubernetes/blob/v1.22.0/test/images/agnhost/webhook/config.go#L38-L39),
 which defaults to `NoClientCert`. This means that the webhook server does not
-authenticate the identity of the clients, supposedly apiservers. If you need
+authenticate the identity of the clients, supposedly API servers. If you need
 mutual TLS or other ways to authenticate the clients, see
-how to [authenticate apiservers](#authenticate-apiservers).
+how to [authenticate API servers](#authenticate-apiservers).
 -->
 示例准入 Webhook 服务器置 `ClientAuth` 字段为
 [空](https://github.com/kubernetes/kubernetes/blob/v1.22.0/test/images/agnhost/webhook/config.go#L38-L39)，
@@ -163,7 +155,7 @@ your webhook configurations accordingly.
 你也可以在集群外部署 webhook。这样做需要相应地更新你的 webhook 配置。
 
 <!--
-### Configure准入 Webhooks on the fly
+### Configure admission webhooks on the fly
 -->
 ### 即时配置准入 Webhook
 
@@ -184,8 +176,6 @@ See the [webhook configuration](#webhook-configuration) section for details abou
 -->
 以下是一个 `ValidatingWebhookConfiguration` 示例，mutating webhook 配置与此类似。有关每个配置字段的详细信息，请参阅 [webhook 配置](#webhook-configuration) 部分。
 
-{{< tabs name="ValidatingWebhookConfiguration_example_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
@@ -203,43 +193,26 @@ webhooks:
     service:
       namespace: "example-namespace"
       name: "example-service"
-    caBundle: "Ci0tLS0tQk...<base64-encoded PEM bundle containing the CA that signed the webhook's serving certificate>...tLS0K"
-  admissionReviewVersions: ["v1", "v1beta1"]
+    caBundle: <CA_BUNDLE>
+  admissionReviewVersions: ["v1"]
   sideEffects: None
   timeoutSeconds: 5
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# 1.16 中被淘汰，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-metadata:
-  name: "pod-policy.example.com"
-webhooks:
-- name: "pod-policy.example.com"
-  rules:
-  - apiGroups:   [""]
-    apiVersions: ["v1"]
-    operations:  ["CREATE"]
-    resources:   ["pods"]
-    scope:       "Namespaced"
-  clientConfig:
-    service:
-      namespace: "example-namespace"
-      name: "example-service"
-    caBundle: "Ci0tLS0tQk...<base64-encoded PEM bundle containing the CA that signed the webhook's serving certificate>...tLS0K"
-  admissionReviewVersions: ["v1beta1"]
-  timeoutSeconds: 5
-```
-{{% /tab %}}
-{{< /tabs >}}
+{{< note >}}
+<!-- 
+You must replace the `<CA_BUNDLE>` in the above example by a valid CA bundle
+which is a PEM-encoded CA bundle for validating the webhook's server certificate.
+-->
+你必须在以上示例中将 `<CA_BUNDLE>` 替换为一个有效的 VA 证书包，
+这是一个用 PEM 编码的 CA 证书包，用于校验 Webhook 的服务器证书。
+{{< /note >}}
 
-<!--
-The scope field specifies if only cluster-scoped resources ("Cluster") or namespace-scoped
+<!-- 
+The `scope` field specifies if only cluster-scoped resources ("Cluster") or namespace-scoped
 resources ("Namespaced") will match this rule. "&lowast;" means that there are no scope restrictions.
 -->
-scope 字段指定是仅集群范围的资源（Cluster）还是名字空间范围的资源资源（Namespaced）将与此规则匹配。`*` 表示没有范围限制。
+scope 字段指定是仅集群范围的资源（Cluster）还是名字空间范围的资源资源（Namespaced）将与此规则匹配。
+`*` 表示没有范围限制。
 
 <!--
 When using `clientConfig.service`, the server cert must be valid for
@@ -250,45 +223,44 @@ When using `clientConfig.service`, the server cert must be valid for
 {{< /note >}}
 
 <!--
-Default timeout for a webhook call is 10 seconds for webhooks registered created using `admissionregistration.k8s.io/v1`,
-and 30 seconds for webhooks created using `admissionregistration.k8s.io/v1beta1`. Starting in kubernetes 1.14 you
-can set the timeout and it is encouraged to use a small timeout for webhooks.
+Default timeout for a webhook call is 10 seconds,
+You can set the `timeout` and it is encouraged to use a short timeout for webhooks.
 If the webhook call times out, the request is handled according to the webhook's
 failure policy.
 -->
 {{< note >}}
-对于使用 `admissionregistration.k8s.io/v1` 创建的 webhook 而言，其 webhook 调用的默认超时是 10 秒；
-对于使用 `admissionregistration.k8s.io/v1beta1` 创建的 webhook 而言，其默认超时是 30 秒。
-从 kubernetes 1.14 开始，可以设置超时。建议对 webhooks 设置较短的超时时间。
+Webhook 调用的默认超时是 10 秒，你可以设置 `timeout` 并建议对 webhook 设置较短的超时时间。
 如果 webhook 调用超时，则根据 webhook 的失败策略处理请求。
 {{< /note >}}
 
 <!--
-When an apiserver receives a request that matches one of the `rules`, the
-apiserver sends an `admissionReview` request to webhook as specified in the
+When an API server receives a request that matches one of the `rules`, the
+API server sends an `admissionReview` request to webhook as specified in the
 `clientConfig`.
 
 After you create the webhook configuration, the system will take a few seconds
 to honor the new configuration.
 -->
-当 apiserver 收到与 `rules` 相匹配的请求时，apiserver 按照 `clientConfig` 中指定的方式向 webhook 发送一个 `admissionReview` 请求。
+当一个 API 服务器收到与 `rules` 相匹配的请求时，
+该 API 服务器将按照 `clientConfig` 中指定的方式向 webhook 发送一个 `admissionReview` 请求。
 
-创建 webhook 配置后，系统将花费几秒钟使新配置生效。
+创建 Webhook 配置后，系统将花费几秒钟使新配置生效。
 
 <!--
-### Authenticate apiservers
+### Authenticate API servers
 -->
-### 对 apiservers 进行身份认证 {#authenticate-apiservers}
+### 对 API 服务器进行身份认证 {#authenticate-apiservers}
 
 <!--
 If your admission webhooks require authentication, you can configure the
-apiservers to use basic auth, bearer token, or a cert to authenticate itself to
+API servers to use basic auth, bearer token, or a cert to authenticate itself to
 the webhooks. There are three steps to complete the configuration.
 -->
-如果你的 webhook 需要身份验证，则可以将 apiserver 配置为使用基本身份验证、持有者令牌或证书来向 webhook 提供身份证明。完成此配置需要三个步骤。
+如果你的 Webhook 需要身份验证，则可以将 API 服务器配置为使用基本身份验证、持有者令牌或证书来向
+Webhook 提供身份证明。完成此配置需要三个步骤。
 
 <!--
-* When starting the apiserver, specify the location of the admission control
+* When starting the API server, specify the location of the admission control
   configuration file via the `--admission-control-config-file` flag.
 
 * In the admission control configuration file, specify where the
@@ -297,19 +269,12 @@ the webhooks. There are three steps to complete the configuration.
   (yes, the same schema that's used by kubectl), so the field name is
   `kubeConfigFile`. Here is an example admission control configuration file:
 -->
-* 启动 apiserver 时，通过 `--admission-control-config-file` 参数指定准入控制配置文件的位置。
+* 启动 API 服务器时，通过 `--admission-control-config-file` 参数指定准入控制配置文件的位置。
 
 * 在准入控制配置文件中，指定 MutatingAdmissionWebhook 控制器和 ValidatingAdmissionWebhook 控制器应该读取凭据的位置。
 凭证存储在 kubeConfig 文件中（是​​的，与 kubectl 使用的模式相同），因此字段名称为 `kubeConfigFile`。
 以下是一个准入控制配置文件示例：
 
-<!--
-# Deprecated in v1.17 in favor of apiserver.config.k8s.io/v1
-# Deprecated in v1.17 in favor of apiserver.config.k8s.io/v1, kind=WebhookAdmissionConfiguration
-# Deprecated in v1.17 in favor of apiserver.config.k8s.io/v1, kind=WebhookAdmissionConfiguration
--->
-
-
 {{< tabs name="admissionconfiguration_example1" >}}
 {{% tab name="apiserver.config.k8s.io/v1" %}}
 ```yaml
@@ -329,6 +294,7 @@ plugins:
 ```
 {{% /tab %}}
 {{% tab name="apiserver.k8s.io/v1alpha1" %}}
+
 ```yaml
 # 1.17 中被淘汰，推荐使用 apiserver.config.k8s.io/v1
 apiVersion: apiserver.k8s.io/v1alpha1
@@ -347,6 +313,7 @@ plugins:
     kind: WebhookAdmission
     kubeConfigFile: "<path-to-kubeconfig-file>"
 ```
+
 {{% /tab %}}
 {{< /tabs >}}
 
@@ -409,9 +376,9 @@ See the [webhook configuration](#webhook-configuration) section for details abou
         token: "<token>"
     ```
 <!--
-Of course you need to set up the webhook server to handle these authentications.
+Of course you need to set up the webhook server to handle these authentication requests.
 -->
-当然，你需要设置 webhook 服务器来处理这些身份验证。
+当然，你需要设置 Webhook 服务器来处理这些身份验证请求。
 
 <!--
 ### Request
@@ -430,46 +397,22 @@ Webhook 发送 POST 请求时，请设置 `Content-Type: application/json` 并
 
 Webhook 可以在配置中的 `admissionReviewVersions` 字段指定可接受的 `AdmissionReview` 对象版本：
 
-{{< tabs name="ValidatingWebhookConfiguration_admissionReviewVersions" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   admissionReviewVersions: ["v1", "v1beta1"]
-  ...
 ```
 
+
 <!--
-`admissionReviewVersions` is a required field when creating
-`admissionregistration.k8s.io/v1` webhook configurations.
+`admissionReviewVersions` is a required field when creating webhook configurations.
 Webhooks are required to support at least one `AdmissionReview`
 version understood by the current and previous API server.
 -->
-创建 `admissionregistration.k8s.io/v1` webhook 配置时，`admissionReviewVersions` 是必填字段。
-Webhook 必须支持至少一个当前和以前的 apiserver 都可以解析的 `AdmissionReview` 版本。
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被淘汰，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  admissionReviewVersions: ["v1beta1"]
-  ...
-```
-
-<!--
-If no `admissionReviewVersions` are specified, the default when creating
-`admissionregistration.k8s.io/v1beta1` webhook configurations is `v1beta1`.
--->
-如果未指定 `admissionReviewVersions`，则创建 `admissionregistration.k8s.io/v1beta1` Webhook 配置时的默认值为 `v1beta1`。
-{{% /tab %}}
-{{< /tabs >}}
+创建 webhook 配置时，`admissionReviewVersions` 是必填字段。
+Webhook 必须支持至少一个当前和以前的 API 服务器都可以解析的 `AdmissionReview` 版本。
 
 <!--
 API servers send the first `AdmissionReview` version in the `admissionReviewVersions` list they support.
@@ -486,145 +429,100 @@ API 服务器将发送的是 `admissionReviewVersions` 列表中所支持的第
 
 此示例显示了 `AdmissionReview` 对象中包含的数据，该数据用于请求更新 `apps/v1` `Deployment` 的 `scale` 子资源：
 
-{{< tabs name="AdmissionReview_request" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```yaml
-{
-  "apiVersion": "admission.k8s.io/v1",
-  "kind": "AdmissionReview",
-  "request": {
-    # 唯一标识此准入回调的随机 uid
-    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
+apiVersion: admission.k8s.io/v1
+kind: AdmissionReview
+request:
+  # 唯一标识此准入回调的随机 uid
+  uid: 705ab4f5-6393-11e8-b7cc-42010a800002
 
-    # 传入完全正确的 group/version/kind 对象
-    "kind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # 修改 resource 的完全正确的的 group/version/kind
-    "resource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subResource（如果请求是针对 subResource 的）
-    "subResource": "scale",
+  # 传入完全正确的 group/version/kind 对象
+  kind:
+    group: autoscaling
+    version: v1
+    kind: Scale
 
-    # 在对 API 服务器的原始请求中，传入对象的标准 group/version/kind
-    # 仅当 webhook 指定 `matchPolicy: Equivalent` 且将对 API 服务器的原始请求转换为 webhook 注册的版本时，这才与 `kind` 不同。
-    "requestKind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # 在对 API 服务器的原始请求中正在修改的资源的标准 group/version/kind
-    # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为 webhook 注册的版本时，这才与 `resource` 不同。
-    "requestResource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subResource（如果请求是针对 subResource 的）
-    # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为该 webhook 注册的版本时，这才与 `subResource` 不同。
-    "requestSubResource": "scale",
+  # 修改 resource 的完全正确的的 group/version/kind
+  resource:
+    group: apps
+    version: v1
+    resource: deployments
 
-    # 被修改资源的名称
-    "name": "my-deployment",
-    # 如果资源是属于名字空间（或者是名字空间对象），则这是被修改的资源的名字空间
-    "namespace": "my-namespace",
+  # subResource（如果请求是针对 subResource 的）
+  subResource: scale
 
-    # 操作可以是 CREATE、UPDATE、DELETE 或 CONNECT
-    "operation": "UPDATE",
+  # 在对 API 服务器的原始请求中，传入对象的标准 group/version/kind
+  # 仅当 webhook 指定 `matchPolicy: Equivalent` 且将对 API 服务器的原始请求
+  # 转换为 webhook 注册的版本时，这才与 `kind` 不同。
+  requestKind:
+    group: autoscaling
+    version: v1
+    kind: Scale
 
-    "userInfo": {
-      # 向 API 服务器发出请求的经过身份验证的用户的用户名
-      "username": "admin",
-      # 向 API 服务器发出请求的经过身份验证的用户的 UID
-      "uid": "014fbff9a07c",
-      # 向 API 服务器发出请求的经过身份验证的用户的组成员身份
-      "groups": ["system:authenticated","my-admin-group"],
-      # 向 API 服务器发出请求的用户相关的任意附加信息
-      # 该字段由 API 服务器身份验证层填充，并且如果 webhook 执行了任何 SubjectAccessReview 检查，则应将其包括在内。
-      "extra": {
-        "some-key":["some-value1", "some-value2"]
-      }
-    },
+  # 在对 API 服务器的原始请求中正在修改的资源的标准 group/version/kind
+  # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为
+  # webhook 注册的版本时，这才与 `resource` 不同。
+  requestResource:
+    group: apps
+    version: v1
+    resource: deployments
 
-    # object 是被接纳的新对象。
-    # 对于 DELETE 操作，它为 null。
-    "object": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # oldObject 是现有对象。
-    # 对于 CREATE 和 CONNECT 操作，它为 null。
-    "oldObject": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # options 包含要接受的操作的选项，例如 meta.k8s.io/v CreateOptions、UpdateOptions 或 DeleteOptions。
-    # 对于 CONNECT 操作，它为 null。
-    "options": {"apiVersion":"meta.k8s.io/v1","kind":"UpdateOptions",...},
+  # subResource（如果请求是针对 subResource 的）
+  # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对
+  # API 服务器的原始请求转换为该 webhook 注册的版本时，这才与 `subResource` 不同。
+  requestSubResource: scale
 
-    # dryRun 表示 API 请求正在以 `dryrun` 模式运行，并且将不会保留。
-    # 带有副作用的 Webhook 应该避免在 dryRun 为 true 时激活这些副作用。
-    # 有关更多详细信息，请参见 http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request
-    "dryRun": false
-  }
-}
+  # 被修改资源的名称
+  name: my-deployment
+
+  # 如果资源是属于名字空间（或者是名字空间对象），则这是被修改的资源的名字空间
+  namespace: my-namespace
+
+  # 操作可以是 CREATE、UPDATE、DELETE 或 CONNECT
+  operation: UPDATE
+
+  userInfo:
+    # 向 API 服务器发出请求的经过身份验证的用户的用户名
+    username: admin
+
+    # 向 API 服务器发出请求的经过身份验证的用户的 UID
+    uid: 014fbff9a07c
+
+    # Group memberships of the authenticated user making the request to the API server向 API 服务器发出请求的经过身份验证的用户的组成员身份oups:
+      - system:authenticated
+      - my-admin-group
+    # 向 API 服务器发出请求的用户相关的任意附加信息
+    # 该字段由 API 服务器身份验证层填充，并且如果 webhook 执行了任何
+    # SubjectAccessReview 检查，则应将其包括在内。
+    extra:
+      some-key:
+        - some-value1
+        - some-value2
+
+  # object 是被接纳的新对象。
+  # 对于 DELETE 操作，它为 null。
+  object:
+    apiVersion: autoscaling/v1
+    kind: Scale
+
+  # oldObject 是现有对象。
+  # 对于 CREATE 和 CONNECT 操作，它为 null。
+  oldObject:
+    apiVersion: autoscaling/v1
+    kind: Scale
+
+  # options 包含要接受的操作的选项，例如 meta.k8s.io/v CreateOptions、UpdateOptions 或 DeleteOptions。
+  # 对于 CONNECT 操作，它为 null。
+  options:
+    apiVersion: meta.k8s.io/v1
+    kind: UpdateOptions
+
+  # dryRun 表示 API 请求正在以 `dryrun` 模式运行，并且将不会保留。
+  # 带有副作用的 Webhook 应该避免在 dryRun 为 true 时激活这些副作用。
+  # 有关更多详细信息，请参见 http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request
+  dryRun: False
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```yaml
-{
-  # v1.16 中被废弃，推荐使用 admission.k8s.io/v1
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "request": {
-    # 唯一标识此准入回调的随机 uid
-    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
 
-    # 传入完全正确的 group/version/kind 对象
-    "kind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # 修改 resource 的完全正确的的 group/version/kind
-    "resource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subResource（如果请求是针对 subResource 的）
-    "subResource": "scale",
-
-    # 在对 API 服务器的原始请求中，传入对象的标准 group/version/kind。
-    # 仅当 Webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为该 Webhook 注册的版本时，这与 `kind` 不同。
-    # 仅由 v1.15+ API 服务器发送。
-    "requestKind": {"group":"autoscaling","version":"v1","kind":"Scale"},
-    # 在对 API 服务器的原始请求中正在修改的资源的标准 group/version/kind
-    # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为 webhook 注册的版本时，这才与 `resource` 不同。
-    # 仅由 v1.15+ API 服务器发送。
-    "requestResource": {"group":"apps","version":"v1","resource":"deployments"},
-    # subResource（如果请求是针对 subResource 的）
-    # 仅当 webhook 指定了 `matchPolicy：Equivalent` 并且将对 API 服务器的原始请求转换为该 webhook 注册的版本时，这才与 `subResource` 不同。
-    # 仅由 v1.15+ API 服务器发送。
-    "requestSubResource": "scale",
-
-    # 被修改资源的名称
-    "name": "my-deployment",
-    # 如果资源是属于名字空间（或者是名字空间对象），则这是被修改的资源的名字空间
-    "namespace": "my-namespace",
-
-    # 操作可以是 CREATE、UPDATE、DELETE 或 CONNECT
-    "operation": "UPDATE",
-
-    "userInfo": {
-      # 向 API 服务器发出请求的经过身份验证的用户的用户名
-      "username": "admin",
-      # 向 API 服务器发出请求的经过身份验证的用户的 UID
-      "uid": "014fbff9a07c",
-      # 向 API 服务器发出请求的经过身份验证的用户的组成员身份
-      "groups": ["system:authenticated","my-admin-group"],
-      # 向 API 服务器发出请求的用户相关的任意附加信息
-      # 该字段由 API 服务器身份验证层填充，并且如果 webhook 执行了任何 SubjectAccessReview 检查，则应将其包括在内。
-      "extra": {
-        "some-key":["some-value1", "some-value2"]
-      }
-    },
-
-    # object 是被接纳的新对象。
-    # 对于 DELETE 操作，它为 null。
-    "object": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # oldObject 是现有对象。
-    # 对于 CREATE 和 CONNECT 操作（对于 v1.15.0 之前版本的 API 服务器中的 DELETE 操作），它为 null。
-    "oldObject": {"apiVersion":"autoscaling/v1","kind":"Scale",...},
-    # options 包含要接受的操作的选项，例如 meta.k8s.io/v CreateOptions、UpdateOptions 或 DeleteOptions。
-    # 对于 CONNECT 操作，它为 null。
-    # 仅由 v1.15+ API 服务器发送。
-    "options": {"apiVersion":"meta.k8s.io/v1","kind":"UpdateOptions",...},
-
-    # dryRun 表示 API 请求正在以 `dryrun` 模式运行，并且将不会保留。
-    # 带有副作用的 Webhook 应该避免在 dryRun 为 true 时激活这些副作用。
-    # 有关更多详细信息，请参见 http://k8s.io/docs/reference/using-api/api-concepts/#make-a-dry-run-request
-    "dryRun": false
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 <!--
 ### Response
 -->
@@ -647,7 +545,7 @@ Example of a minimal response from a webhook to allow a request:
 -->
 `response` 至少必须包含以下字段：
 
-* `uid`，从发送到 webhook 的 `request.uid` 中复制而来
+* `uid`，从发送到 Webhook 的 `request.uid` 中复制而来
 * `allowed`，设置为 `true` 或 `false`
 
 <!--
@@ -655,8 +553,6 @@ Example of a minimal response from a webhook to allow a request:
 -->
 Webhook 允许请求的最简单响应示例：
 
-{{< tabs name="AdmissionReview_response_allow" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -667,28 +563,12 @@ Webhook 允许请求的最简单响应示例：
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": true
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 Example of a minimal response from a webhook to forbid a request:
 -->
 Webhook 禁止请求的最简单响应示例：
 
-{{< tabs name="AdmissionReview_response_forbid_minimal" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -699,24 +579,11 @@ Webhook 禁止请求的最简单响应示例：
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": false
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
+
 <!--
-When rejecting a request, the webhook can customize the http code and message returned to the user using the `status` field.
+When rejecting a request, the webhook can customize the http code and message returned to the user using the `status` field. 
 The specified status object is returned to the user.
-See the [API documentation](/docs/reference/generated/kubernetes-api/v1.14/#status-v1-meta) for details about the status type.
+See the [API documentation](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#status-v1-meta) for details about the `status` type.
 Example of a response to forbid a request, customizing the HTTP status code and message presented to the user:
 -->
 当拒绝请求时，Webhook 可以使用 `status` 字段自定义 http 响应码和返回给用户的消息。
@@ -724,8 +591,6 @@ Example of a response to forbid a request, customizing the HTTP status code and
 [API 文档](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#status-v1-meta)。
 禁止请求的响应示例，它定制了向用户显示的 HTTP 状态码和消息：
 
-{{< tabs name="AdmissionReview_response_forbid_details" >}}
-{{% tab name="admission.k8s.io/v1" %}}
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -740,30 +605,12 @@ Example of a response to forbid a request, customizing the HTTP status code and
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
-```json
-{
-  "apiVersion": "admission.k8s.io/v1beta1",
-  "kind": "AdmissionReview",
-  "response": {
-    "uid": "<value from request.uid>",
-    "allowed": false,
-    "status": {
-      "code": 403,
-      "message": "You cannot do this because it is Tuesday and your name starts with A"
-    }
-  }
-}
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 When allowing a request, a mutating admission webhook may optionally modify the incoming object as well.
 This is done using the `patch` and `patchType` fields in the response.
 The only currently supported `patchType` is `JSONPatch`.
-See [JSON patch](http://jsonpatch.com/) documentation for more details.
+See [JSON patch](https://jsonpatch.com/) documentation for more details.
 For `patchType: JSONPatch`, the `patch` field contains a base64-encoded array of JSON patch operations.
 -->
 当允许请求时，mutating准入 Webhook 也可以选择修改传入的对象。
@@ -786,9 +633,8 @@ Base64-encoded, this would be `W3sib3AiOiAiYWRkIiwgInBhdGgiOiAiL3NwZWMvcmVwbGljY
 <!--
 So a webhook response to add that label would be:
 -->
-因此，添加该标签的 webhook 响应为：
-{{< tabs name="AdmissionReview_response_modify" >}}
-{{% tab name="admission.k8s.io/v1" %}}
+因此，添加该标签的 Webhook 响应为：
+
 ```json
 {
   "apiVersion": "admission.k8s.io/v1",
@@ -801,22 +647,50 @@ So a webhook response to add that label would be:
   }
 }
 ```
-{{% /tab %}}
-{{% tab name="admission.k8s.io/v1beta1" %}}
+
+<!-- 
+Admission webhooks can optionally return warning messages that are returned to the requesting client in HTTP `Warning` headers with a warning code of 299. Warnings can be sent with allowed or rejected admission responses. 
+-->
+准入 Webhook 可以选择性地返回在 HTTP `Warning` 头中返回给请求客户端的警告消息，警告代码为 299。
+警告可以与允许或拒绝的准入响应一起发送。
+
+<!-- 
+If you're implementing a webhook that returns a warning:
+
+* Don't include a "Warning:" prefix in the message
+* Use warning messages to describe problems the client making the API request should correct or be aware of
+* Limit warnings to 120 characters if possible 
+-->
+如果你正在实现返回一条警告的 webhook，则：
+
+* 不要在消息中包括 "Warning:" 前缀
+* 使用警告消息描述该客户端进行 API 请求时会遇到或应意识到的问题
+* 如果可能，将警告限制为 120 个字符
+
+{{< caution >}}
+<!-- 
+Individual warning messages over 256 characters may be truncated by the API server before being returned to clients.
+If more than 4096 characters of warning messages are added (from all sources), additional warning messages are ignored. 
+-->
+超过 256 个字符的单条警告消息在返回给客户之前可能会被 API 服务器截断。
+如果超过 4096 个字符的警告消息（来自所有来源），则额外的警告消息会被忽略。
+{{< /caution >}}
+
 ```json
 {
-  "apiVersion": "admission.k8s.io/v1beta1",
+  "apiVersion": "admission.k8s.io/v1",
   "kind": "AdmissionReview",
   "response": {
     "uid": "<value from request.uid>",
     "allowed": true,
-    "patchType": "JSONPatch",
-    "patch": "W3sib3AiOiAiYWRkIiwgInBhdGgiOiAiL3NwZWMvcmVwbGljYXMiLCAidmFsdWUiOiAzfV0="
+    "warnings": [
+      "duplicate envvar entries specified with name MY_ENV",
+      "memory request less than 4MB specified for container mycontainer, which will not start successfully"
+    ]
   }
 }
 ```
-{{% /tab %}}
-{{< /tabs >}}
+
 <!--
 ## Webhook configuration
 -->
@@ -824,22 +698,23 @@ So a webhook response to add that label would be:
 
 <!--
 To register admission webhooks, create `MutatingWebhookConfiguration` or `ValidatingWebhookConfiguration` API objects.
+The name of a `MutatingWebhookConfiguration` or a `ValidatingWebhookConfiguration` object must be a valid
+[DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
 Each configuration can contain one or more webhooks.
-If multiple webhooks are specified in a single configuration, each should be given a unique name.
-This is required in `admissionregistration.k8s.io/v1`, but strongly recommended when using `admissionregistration.k8s.io/v1beta1`,
-in order to make resulting audit logs and metrics easier to match up to active configurations.
+If multiple webhooks are specified in a single configuration, each must be given a unique name.
+This is required in order to make resulting audit logs and metrics easier to match up to active
+configurations.
 
 Each webhook defines the following things.
 -->
-要注册准入 Webhook，请创建 `MutatingWebhookConfiguration` 或
-`ValidatingWebhookConfiguration` API 对象。
+要注册准入 Webhook，请创建 `MutatingWebhookConfiguration` 或 `ValidatingWebhookConfiguration` API 对象。
+`MutatingWebhookConfiguration` 或`ValidatingWebhookConfiguration` 对象的名称必须是有效的
+[DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
 
 每种配置可以包含一个或多个 Webhook。如果在单个配置中指定了多个
-Webhook，则应为每个 webhook 赋予一个唯一的名称。
-这在 `admissionregistration.k8s.io/v1` 中是必需的，但是在使用
-`admissionregistration.k8s.io/v1beta1` 时强烈建议使用，
-以使生成的审核日志和指标更易于与活动配置相匹配。
+Webhook，则应为每个 Webhook 赋予一个唯一的名称。
+这是必需的，以使生成的审计日志和指标更易于与激活的配置相匹配。
 
 每个 Webhook 定义以下内容。
 
@@ -864,7 +739,7 @@ Each rule specifies one or more operations, apiGroups, apiVersions, and resource
     * `"*/*"` matches all resources and subresources.
     * `"pods/*"` matches all subresources of pods.
     * `"*/status"` matches all status subresources.
-* `scope` specifies a scope to match. Valid values are `"Cluster"`, `"Namespaced"`, and `"*"`. Subresources match the scope of their parent resource. Supported in v1.14+. Default is `"*"`, matching pre-1.14 behavior.
+* `scope` specifies a scope to match. Valid values are `"Cluster"`, `"Namespaced"`, and `"*"`. Subresources match the scope of their parent resource. Default is `"*"`.
     * `"Cluster"` means that only cluster-scoped resources will match this rule (Namespace API objects are cluster-scoped).
     * `"Namespaced"` means that only namespaced resources will match this rule.
     * `"*"` means that there are no scope restrictions.
@@ -879,28 +754,27 @@ Each rule specifies one or more operations, apiGroups, apiVersions, and resource
     * `"pods/*"` 匹配 pod 的所有子资源。
     * `"*/status"` 匹配所有 status 子资源。
 * `scope` 指定要匹配的范围。有效值为 `"Cluster"`、`"Namespaced"` 和 `"*"`。
-  子资源匹配其父资源的范围。在 Kubernetes v1.14+ 版本中才被支持。
-  默认值为 `"*"`，对应 1.14 版本之前的行为。
+  子资源匹配其父资源的范围。默认值为 `"*"`。
     * `"Cluster"` 表示只有集群作用域的资源才能匹配此规则（API 对象 Namespace 是集群作用域的）。
     * `"Namespaced"` 意味着仅具有名字空间的资源才符合此规则。
-    * `"*"` 表示没有范围限制。
+    * `"*"` 表示没有作用域限制。
 
 <!--
-If an incoming request matches one of the specified operations, groups, versions, resources, and scope for any of a webhook's rules, the request is sent to the webhook.
+If an incoming request matches one of the specified `operations`, `groups`, `versions`,
+`resources`, and `scope` for any of a webhook's `rules`, the request is sent to the webhook.
 
 Here are other examples of rules that could be used to specify which resources should be intercepted.
 
 Match `CREATE` or `UPDATE` requests to `apps/v1` and `apps/v1beta1` `deployments` and `replicasets`:
 -->
-如果传入请求与任何 Webhook 规则的指定操作、组、版本、资源和范围匹配，则该请求将发送到 Webhook。
+如果传入请求与任何 Webhook `rules` 的指定 `operations`、`groups`、`versions`、
+`resources` 和 `scope` 匹配，则该请求将发送到 Webhook。
 
 以下是可用于指定应拦截哪些资源的规则的其他示例。
 
 匹配针对 `apps/v1` 和 `apps/v1beta1` 组中 `deployments` 和 `replicasets`
 资源的 `CREATE` 或 `UPDATE` 请求：
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
@@ -915,130 +789,64 @@ webhooks:
     scope: "Namespaced"
   ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE", "UPDATE"]
-    apiGroups: ["apps"]
-    apiVersions: ["v1", "v1beta1"]
-    resources: ["deployments", "replicasets"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 Match create requests for all resources (but not subresources) in all API groups and versions:
 -->
 匹配所有 API 组和版本中的所有资源（但不包括子资源）的创建请求：
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_2" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
+  - name: my-webhook.example.com
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "*"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 Match update requests for all `status` subresources in all API groups and versions:
 -->
 匹配所有 API 组和版本中所有 `status` 子资源的更新请求：
 
-{{< tabs name="ValidatingWebhookConfiguration_rules_2" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["UPDATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*/status"]
-    scope: "*"
-  ...
+  - name: my-webhook.example.com
+    rules:
+      - operations: ["UPDATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*/status"]
+        scope: "*"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  rules:
-  - operations: ["UPDATE"] 
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*/status"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 ### Matching requests: objectSelector
 -->
-### 匹配请求：objectSelector{#matching-requests-objectselector}
+### 匹配请求：objectSelector {#matching-requests-objectselector}
 
 <!--
-In v1.15+, webhooks may optionally limit which requests are intercepted based on the labels of the
+Webhooks may optionally limit which requests are intercepted based on the labels of the
 objects they would be sent, by specifying an `objectSelector`. If specified, the objectSelector
 is evaluated against both the object and oldObject that would be sent to the webhook,
 and is considered to match if either object matches the selector.
 -->
-在版本 v1.15+ 中, 通过指定 `objectSelector`，Webhook 能够根据
-可能发送的对象的标签来限制哪些请求被拦截。
+通过指定 `objectSelector`，Webhook 能够根据可能发送的对象的标签来限制哪些请求被拦截。
 如果指定，则将对 `objectSelector` 和可能发送到 Webhook 的 object 和 oldObject
 进行评估。如果两个对象之一与选择器匹配，则认为该请求已匹配。
 
 <!--
-A null object (oldObject in the case of create, or newObject in the case of delete),
+A null object (`oldObject` in the case of create, or `newObject` in the case of delete),
 or an object that cannot have labels (like a `DeploymentRollback` or a `PodProxyOptions` object)
 is not considered to match.
 -->
-空对象（对于创建操作而言为 oldObject，对于删除操作而言为 newObject），
+空对象（对于创建操作而言为 `oldObject`，对于删除操作而言为 `newObject`），
 或不能带标签的对象（例如 `DeploymentRollback` 或 `PodProxyOptions` 对象）
 被认为不匹配。
 
@@ -1054,12 +862,9 @@ This example shows a mutating webhook that would match a `CREATE` of any resourc
 这个例子展示了一个 mutating webhook，它将匹配带有标签 `foo:bar` 的任何资源的
 `CREATE` 的操作：
 
-{{< tabs name="objectSelector_example" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   objectSelector:
@@ -1071,34 +876,13 @@ webhooks:
     apiVersions: ["*"]
     resources: ["*"]
     scope: "*"
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  objectSelector:
-    matchLabels:
-      foo: bar
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "*"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
+
 <!--
-See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for more examples of label selectors.
+See [labels concept](/docs/concepts/overview/working-with-objects/labels)
+for more examples of label selectors.
 -->
-有关标签选择器的更多示例，请参见[标签](/zh/docs/concepts/overview/working-with-objects/labels)。
+有关标签选择器的更多示例，请参见[标签](/zh-cn/docs/concepts/overview/working-with-objects/labels)。
 
 <!--
 ### Matching requests: namespaceSelector
@@ -1109,8 +893,8 @@ See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for
 Webhooks may optionally limit which requests for namespaced resources are intercepted,
 based on the labels of the containing namespace, by specifying a `namespaceSelector`.
 -->
-通过指定 `namespaceSelector`，Webhook 可以根据具有名字空间的资源所处的
-名字空间的标签来选择拦截哪些资源的操作。
+通过指定 `namespaceSelector`，
+Webhook 可以根据具有名字空间的资源所处的名字空间的标签来选择拦截哪些资源的操作。
 
 <!--
 The `namespaceSelector` decides whether to run the webhook on a request for a namespaced resource
@@ -1129,51 +913,23 @@ that does not have a "runlevel" label of "0" or "1":
 本例给出的修改性质的 Webhook 将匹配到对名字空间中具名字空间的资源的 `CREATE` 请求，
 前提是这些资源不含值为 "0" 或 "1" 的 "runlevel" 标签：
 
-{{< tabs name="MutatingWebhookConfiguration_namespaceSelector_1" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: runlevel
-      operator: NotIn
-      values: ["0","1"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
+  - name: my-webhook.example.com
+    namespaceSelector:
+      matchExpressions:
+        - key: runlevel
+          operator: NotIn
+          values: ["0","1"]
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "Namespaced"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: runlevel
-      operator: NotIn
-      values: ["0","1"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 This example shows a validating webhook that matches a `CREATE` of any namespaced resource inside a namespace
@@ -1182,56 +938,30 @@ that is associated with the "environment" of "prod" or "staging":
 此示例显示了一个验证性质的 Webhook，它将匹配到对某名字空间中的任何具名字空间的资源的
 `CREATE` 请求，前提是该名字空间具有值为 "prod" 或 "staging" 的 "environment" 标签：
 
-{{< tabs name="ValidatingWebhookConfiguration_namespaceSelector_2" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: environment
-      operator: In
-      values: ["prod","staging"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
+  - name: my-webhook.example.com
+    namespaceSelector:
+      matchExpressions:
+        - key: environment
+          operator: In
+          values: ["prod","staging"]
+    rules:
+      - operations: ["CREATE"]
+        apiGroups: ["*"]
+        apiVersions: ["*"]
+        resources: ["*"]
+        scope: "Namespaced"
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  namespaceSelector:
-    matchExpressions:
-    - key: environment
-      operator: In
-      values: ["prod","staging"]
-  rules:
-  - operations: ["CREATE"]
-    apiGroups: ["*"]
-    apiVersions: ["*"]
-    resources: ["*"]
-    scope: "Namespaced"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
+
 <!--
-See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for more examples of label selectors.
+See [labels concept](/docs/concepts/overview/working-with-objects/labels)
+for more examples of label selectors.
 -->
 有关标签选择器的更多示例，请参见
-[标签](/zh/docs/concepts/overview/working-with-objects/labels)。
+[标签](/zh-cn/docs/concepts/overview/working-with-objects/labels)。
 
 <!--
 ### Matching requests: matchPolicy
@@ -1240,28 +970,24 @@ See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for
 
 <!--
 API servers can make objects available via multiple API groups or versions.
-For example, the Kubernetes API server allows creating and modifying `Deployment` objects
-via `extensions/v1beta1`, `apps/v1beta1`, `apps/v1beta2`, and `apps/v1` APIs.
 -->
 API 服务器可以通过多个 API 组或版本来提供对象。
-例如，Kubernetes API 服务器允许通过 `extensions/v1beta1`、`apps/v1beta1`、
-`apps/v1beta2` 和 `apps/v1` API 创建和修改 `Deployment` 对象。
 
 <!--
-For example, if a webhook only specified a rule for some API groups/versions (like `apiGroups:["apps"], apiVersions:["v1","v1beta1"]`),
+For example, if a webhook only specified a rule for some API groups/versions
+(like `apiGroups:["apps"], apiVersions:["v1","v1beta1"]`),
 and a request was made to modify the resource via another API group/version (like `extensions/v1beta1`),
 the request would not be sent to the webhook.
 -->
 例如，如果一个 webhook 仅为某些 API 组/版本指定了规则（例如
-`apiGroups:["apps"], apiVersions:["v1","v1beta1"]`），而修改资源的请求
-是通过另一个 API 组/版本（例如 `extensions/v1beta1`）发出的，
-该请求将不会被发送到 Webhook。
+`apiGroups:["apps"], apiVersions:["v1","v1beta1"]`），而修改资源的请求是通过另一个
+API 组/版本（例如 `extensions/v1beta1`）发出的，该请求将不会被发送到 Webhook。
 
 <!--
-In v1.15+, `matchPolicy` lets a webhook define how its `rules` are used to match incoming requests.
+The `matchPolicy` lets a webhook define how its `rules` are used to match incoming requests.
 Allowed values are `Exact` or `Equivalent`.
 -->
-在 v1.15+ 中，`matchPolicy` 允许 webhook 定义如何使用其 `rules` 匹配传入的请求。
+`matchPolicy` 允许 webhook 定义如何使用其 `rules` 匹配传入的请求。
 允许的值为 `Exact` 或 `Equivalent`。
 
 <!--
@@ -1290,16 +1016,18 @@ Webhook 继续拦截他们期望的资源。
 
 <!--
 When a resource stops being served by the API server, it is no longer considered equivalent to other versions of that resource that are still served.
-For example, deprecated `extensions/v1beta1` deployments are scheduled to stop being served by default in v1.16.
-Once that occurs, a webhook with a `apiGroups:["extensions"], apiVersions:["v1beta1"], resources:["deployments"]` rule
-would no longer intercept deployments created via `apps/v1` APIs. For that reason, webhooks should prefer registering
+For example, `extensions/v1beta1` deployments were first deprecated and then removed (in Kubernetes v1.16).
+
+Since that removal, a webhook with a `apiGroups:["extensions"], apiVersions:["v1beta1"], resources:["deployments"]` rule
+does not intercept deployments created via `apps/v1` APIs. For that reason, webhooks should prefer registering
 for stable versions of resources.
 -->
 当 API 服务器停止提供某资源时，该资源不再被视为等同于该资源的其他仍在提供服务的版本。
-例如，`extensions/v1beta1` 中的 Deployment 已被废弃，计划在 v1.16 中默认停止使用。
-在这种情况下，带有 `apiGroups:["extensions"], apiVersions:["v1beta1"], resources: ["deployments"]` 
-规则的 Webhook 将不再拦截通过 `apps/v1` API 来创建 Deployment 的请求。
-["deployments"] 规则将不再拦截通过 `apps/v1` API 创建的部署。
+例如，`extensions/v1beta1` 中的 Deployment 已被废弃，计划在 v1.16 中移除。
+
+移除后，带有 `apiGroups:["extensions"], apiVersions:["v1beta1"], resources: ["deployments"]` 
+规则的 Webhook 将不再拦截通过 `apps/v1` API 来创建的 Deployment。
+因此，Webhook 应该优先注册稳定版本的资源。
 
 <!--
 This example shows a validating webhook that intercepts modifications to deployments (no matter the API group or version),
@@ -1308,12 +1036,9 @@ and is always sent an `apps/v1` `Deployment` object:
 此示例显示了一个验证性质的 Webhook，该 Webhook 拦截对 Deployment 的修改（无论 API 组或版本是什么），
 始终会发送一个 `apps/v1` 版本的 Deployment 对象：
 
-{{< tabs name="ValidatingWebhookConfiguration_matchPolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   matchPolicy: Equivalent
@@ -1323,39 +1048,12 @@ webhooks:
     apiVersions: ["v1"]
     resources: ["deployments"]
     scope: "Namespaced"
-  ...
 ```
 
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1` default to `Equivalent`.
+<!-- 
+The `matchPolicy` for an admission webhooks defaults to `Equivalent`. 
 -->
-使用 `admissionregistration.k8s.io/v1` 创建的 admission webhhok 默认为 `Equivalent`。
-
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  matchPolicy: Equivalent
-  rules:
-  - operations: ["CREATE","UPDATE","DELETE"]
-    apiGroups: ["apps"]
-    apiVersions: ["v1"]
-    resources: ["deployments"]
-    scope: "Namespaced"
-  ...
-```
-
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1beta1` default to `Exact`.
--->
-使用 `admissionregistration.k8s.io/v1beta1` 创建的准入 Webhook 默认为 `Exact`。
-{{% /tab %}}
-{{< /tabs >}}
+准入 Webhook 所用的 `matchPolicy` 默认为 `Equivalent`。
 
 <!--
 ### Contacting the webhook
@@ -1389,12 +1087,12 @@ Webhook 可以通过 URL 或服务引用来调用，并且可以选择包含自
 <!--
 The `host` should not refer to a service running in the cluster; use
 a service reference by specifying the `service` field instead.
-The host might be resolved via external DNS in some apiservers
+The host might be resolved via external DNS in some API servers
 (e.g., `kube-apiserver` cannot resolve in-cluster DNS as that would
 be a layering violation). `host` may also be an IP address.
 -->
 `host` 不应引用集群中运行的服务；通过指定 `service` 字段来使用服务引用。
-主机可以通过某些 apiserver 中的外部 DNS 进行解析。
+主机可以通过某些 API 服务器中的外部 DNS 进行解析。
 （例如，`kube-apiserver` 无法解析集群内 DNS，因为这将违反分层规则）。`host` 也可以是 IP 地址。
 
 <!--
@@ -1427,33 +1125,14 @@ Here is an example of a mutating webhook configured to call a URL
 这是配置为调用 URL 的修改性质的 Webhook 的示例
 （并且期望使用系统信任根证书来验证 TLS 证书，因此不指定 caBundle）：
 
-{{< tabs name="MutatingWebhookConfiguration_url" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   clientConfig:
     url: "https://my-webhook.example.com:9443/my-webhook-path"
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  clientConfig:
-    url: "https://my-webhook.example.com:9443/my-webhook-path"
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 #### Service reference
@@ -1480,43 +1159,27 @@ at the subpath "/my-path", and to verify the TLS connection against the ServerNa
 "1234" 上调用服务，并使用自定义 CA 包针对 ServerName
 `my-service-name.my-service-namespace.svc` 验证 TLS 连接：
 
-{{< tabs name="MutatingWebhookConfiguration_service" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   clientConfig:
-    caBundle: "Ci0tLS0tQk...<base64-encoded PEM bundle containing the CA that signed the webhook's serving certificate>...tLS0K"
+    caBundle: <CA_BUNDLE>
     service:
       namespace: my-service-namespace
       name: my-service-name
       path: /my-path
       port: 1234
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  clientConfig:
-    caBundle: "Ci0tLS0tQk...<base64-encoded PEM bundle containing the CA that signed the webhook's serving certificate>...tLS0K"
-    service:
-      namespace: my-service-namespace
-      name: my-service-name
-      path: /my-path
-      port: 1234
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
+{{< note >}}
+<!-- 
+You must replace the `<CA_BUNDLE>` in the above example by a valid CA bundle
+which is a PEM-encoded CA bundle for validating the webhook's server certificate. 
+-->
+你必须在以上示例中将 `<CA_BUNDLE>` 替换为一个有效的 VA 证书包，
+这是一个用 PEM 编码的 CA 证书包，用于校验 Webhook 的服务器证书。
+{{< /note >}}
 <!--
 ### Side effects
 -->
@@ -1554,65 +1217,30 @@ or the dry-run request will not be sent to the webhook and the API request will
 
 <!--
 Webhooks indicate whether they have side effects using the `sideEffects` field in the webhook configuration:
-* `Unknown`: no information is known about the side effects of calling the webhook.
-If a request with `dryRun: true` would trigger a call to this webhook, the request will instead fail, and the webhook will not be called.
+
 * `None`: calling the webhook will have no side effects.
-* `Some`: calling the webhook will possibly have side effects.
-If a request with the dry-run attribute would trigger a call to this webhook, the request will instead fail, and the webhook will not be called.
-* `NoneOnDryRun`: calling the webhook will possibly have side effects,
-but if a request with `dryRun: true` is sent to the webhook, the webhook will suppress the side effects (the webhook is `dryRun`-aware).
+* `NoneOnDryRun`: calling the webhook will possibly have side effects, but if a request with
+  `dryRun: true` is sent to the webhook, the webhook will suppress the side effects (the webhook
+  is `dryRun`-aware).
 -->
 Webhook 使用 webhook 配置中的 `sideEffects` 字段显示它们是否有副作用：
-* `Unknown`：有关调用 Webhook 的副作用的信息是不可知的。
-如果带有 `dryRun：true` 的请求将触发对该 Webhook 的调用，则该请求将失败，并且不会调用该 Webhook。
+
 * `None`：调用 webhook 没有副作用。
-* `Some`：调用 webhook 可能会有副作用。
-  如果请求具有 `dry-run` 属性将触发对此 Webhook 的调用，
-  则该请求将会失败，并且不会调用该 Webhook。
 * `NoneOnDryRun`：调用 webhook 可能会有副作用，但是如果将带有 `dryRun: true`
   属性的请求发送到 webhook，则 webhook 将抑制副作用（该 webhook 可识别 `dryRun`）。
 
-<!--
-Allowed values:
-* In `admissionregistration.k8s.io/v1beta1`, `sideEffects` may be set to `Unknown`, `None`, `Some`, or `NoneOnDryRun`, and defaults to `Unknown`.
-* In `admissionregistration.k8s.io/v1`, `sideEffects` must be set to `None` or `NoneOnDryRun`.
--->
-允许值：
-* 在 `admissionregistration.k8s.io/v1beta1` 中，`sideEffects` 可以设置为
-  `Unknown`、`None`、`Some` 或者 `NoneOnDryRun`，并且默认值为 `Unknown`。
-* 在 `admissionregistration.k8s.io/v1` 中, `sideEffects` 必须设置为
-  `None` 或者 `NoneOnDryRun`。
-
 <!--
 Here is an example of a validating webhook indicating it has no side effects on `dryRun: true` requests:
 -->
 这是一个 validating webhook 的示例，表明它对 `dryRun: true` 请求没有副作用：
 
-{{< tabs name="ValidatingWebhookConfiguration_sideEffects" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  sideEffects: NoneOnDryRun
-  ...
+  - name: my-webhook.example.com
+    sideEffects: NoneOnDryRun
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  sideEffects: NoneOnDryRun
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 ### Timeouts
@@ -1642,41 +1270,18 @@ Webhook 调用或拒绝 API 调用。
 
 这是一个自定义超时设置为 2 秒的 validating Webhook 的示例：
 
-{{< tabs name="ValidatingWebhookConfiguration_timeoutSeconds" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: ValidatingWebhookConfiguration
-...
 webhooks:
-- name: my-webhook.example.com
-  timeoutSeconds: 2
-  ...
+  - name: my-webhook.example.com
+    timeoutSeconds: 2
 ```
 
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1` default timeouts to 10 seconds.
+<!-- 
+The timeout for an admission webhook defaults to 10 seconds. 
 -->
-使用 `admissionregistration.k8s.io/v1` 创建的准入 Webhook 默认超时为 10 秒。
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: ValidatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  timeoutSeconds: 2
-  ...
-```
-
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1beta1` default timeouts to 30 seconds.
--->
-使用 `admissionregistration.k8s.io/v1beta1` 创建的准入 Webhook 默认超时为 30 秒。
-{{% /tab %}}
-{{< /tabs >}}
+准入 Webhook 所用的超时时间默认为 10 秒。
 
 <!--
 ### Reinvocation policy
@@ -1696,11 +1301,11 @@ run may have opinions on those new structures (like setting an `imagePullPolicy`
 （就像在所有容器上设置 `imagePullPolicy` 一样）。
 
 <!--
-In v1.15+, to allow mutating admission plugins to observe changes made by other plugins,
+To allow mutating admission plugins to observe changes made by other plugins,
 built-in mutating admission plugins are re-run if a mutating webhook modifies an object,
 and mutating webhooks can specify a `reinvocationPolicy` to control whether they are reinvoked as well.
 -->
-在 v1.15+ 中，允许修改性质的准入插件感应到其他插件所做的更改，
+要允许修改性质的准入插件感应到其他插件所做的更改，
 如果修改性质的 Webhook 修改了一个对象，则会重新运行内置的修改性质的准入插件，
 并且修改性质的 Webhook 可以指定 `reinvocationPolicy` 来控制是否也重新调用它们。
 
@@ -1740,31 +1345,13 @@ Here is an example of a mutating webhook opting into being re-invoked if later a
 -->
 这是一个修改性质的 Webhook 的示例，该 Webhook 在以后的准入插件修改对象时被重新调用：
 
-{{< tabs name="MutatingWebhookConfiguration_reinvocationPolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   reinvocationPolicy: IfNeeded
-  ...
 ```
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  reinvocationPolicy: IfNeeded
-  ...
-```
-{{% /tab %}}
-{{< /tabs >}}
 
 <!--
 Mutating webhooks must be [idempotent](#idempotence), able to successfully process an object they have already admitted
@@ -1798,43 +1385,18 @@ Here is a mutating webhook configured to reject an API request if errors are enc
 
 这是一个修改性质的 webhook，配置为在调用准入 Webhook 遇到错误时拒绝 API 请求：
 
-{{< tabs name="MutatingWebhookConfiguration_failurePolicy" >}}
-{{% tab name="admissionregistration.k8s.io/v1" %}}
 ```yaml
 apiVersion: admissionregistration.k8s.io/v1
 kind: MutatingWebhookConfiguration
-...
 webhooks:
 - name: my-webhook.example.com
   failurePolicy: Fail
-  ...
 ```
 
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1` default `failurePolicy` to `Fail`.
+<!-- 
+The default `failurePolicy` for an admission webhooks is `Fail`. 
 -->
-使用 `admissionregistration.k8s.io/v1` 创建的准入 Webhook 将
-`failurePolicy` 默认设置为 `Fail`。
-
-{{% /tab %}}
-{{% tab name="admissionregistration.k8s.io/v1beta1" %}}
-```yaml
-# v1.16 中被废弃，推荐使用 admissionregistration.k8s.io/v1
-apiVersion: admissionregistration.k8s.io/v1beta1
-kind: MutatingWebhookConfiguration
-...
-webhooks:
-- name: my-webhook.example.com
-  failurePolicy: Fail
-  ...
-```
-<!--
-Admission webhooks created using `admissionregistration.k8s.io/v1beta1` default `failurePolicy` to `Ignore`.
--->
-使用 `admissionregistration.k8s.io/v1beta1` 创建的准入 Webhook 将
-`failurePolicy` 默认设置为 `Ignore`。
-{{% /tab %}}
-{{< /tabs >}}
+准入 Webhook 所用的默认 `failurePolicy` 是 `Fail`。
 
 <!--
 ## Monitoring admission webhooks
@@ -1852,8 +1414,7 @@ monitoring mechanisms help cluster admins to answer questions like:
 3. Which webhooks are frequently rejecting API requests? What's the reason for a
    rejection?
 -->
-API 服务器提供了监视准入 Webhook 行为的方法。这些监视机制可帮助集群管理员
-回答以下问题：
+API 服务器提供了监视准入 Webhook 行为的方法。这些监视机制可帮助集群管理员回答以下问题：
 
 1. 哪个修改性质的 webhook 改变了 API 请求中的对象？
 2. 修改性质的 Webhook 对对象做了哪些更改？
@@ -1868,19 +1429,19 @@ API 服务器提供了监视准入 Webhook 行为的方法。这些监视机制
 Sometimes it's useful to know which mutating webhook mutated the object in a API request, and what change did the
 webhook apply.
 -->
-有时，了解 API 请求中的哪个修改性质的 Webhook 使对象改变以及该
-Webhook 应用了哪些更改很有用。
+有时，了解 API 请求中的哪个修改性质的 Webhook 使对象改变以及该 Webhook 应用了哪些更改很有用。
 
 <!--
-In v1.16+, kube-apiserver performs [auditing](/docs/tasks/debug/debug-cluster/audit/) on each mutating webhook
-invocation. Each invocation generates an auditing annotation
-capturing if a request object is mutated by the invocation, and optionally generates an annotation capturing the applied
-patch from the webhook admission response. The annotations are set in the audit event for given request on given stage of
-its execution, which is then pre-processed according to a certain policy and written to a backend.
+The Kubernetes API server performs [auditing](/docs/tasks/debug/debug-cluster/audit/) on each
+mutating webhook invocation. Each invocation generates an auditing annotation
+capturing if a request object is mutated by the invocation, and optionally generates an annotation
+capturing the applied patch from the webhook admission response. The annotations are set in the
+audit event for given request on given stage of its execution, which is then pre-processed
+according to a certain policy and written to a backend.
 -->
-在 v1.16+ 中，kube-apiserver 针对每个修改性质的 Webhook 调用执行[审计](/zh/docs/tasks/debug/debug-cluster/audit/)操作。
+Kubernetes API 服务器针对每个修改性质的 Webhook 调用执行[审计](/zh-cn/docs/tasks/debug/debug-cluster/audit/)操作。
 每个调用都会生成一个审计注解，记述请求对象是否发生改变，
-可选地还可以根据 webhook 的准入响应生成一个注解，记述所应用的修补。
+可选地还可以根据 Webhook 的准入响应生成一个注解，记述所应用的修补。
 针对给定请求的给定执行阶段，注解被添加到审计事件中，
 然后根据特定策略进行预处理并写入后端。
 
@@ -1891,122 +1452,124 @@ The audit level of a event determines which annotations get recorded:
 
 <!--
 - At `Metadata` audit level or higher, an annotation with key
-`mutation.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
-a webhook gets invoked for given request and whether it mutated the object or not.
+  `mutation.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
+  a webhook gets invoked for given request and whether it mutated the object or not.
 -->
-在 `Metadata` 或更高审计级别上，将使用 JSON 负载记录带有键名
+- 在 `Metadata` 或更高审计级别上，将使用 JSON 负载记录带有键名
 `mutation.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` 的注解，
 该注解表示针对给定请求调用了 Webhook，以及该 Webhook 是否更改了对象。
 
-<!--
-For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the third in the
-mutating webhook chain, and didn't mutated the request object during the invocation.
--->
-例如，对于正在被重新调用的某 Webhook，所记录的注解如下。
-Webhook 在 mutating Webhook 链中排在第三个位置，并且在调用期间未改变请求对象。
+  <!--
+  For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is
+  ordered the third in the mutating webhook chain, and didn't mutated the request object during the
+  invocation.
+  -->
+  例如，对于正在被重新调用的某 Webhook，所记录的注解如下。
+  Webhook 在 mutating Webhook 链中排在第三个位置，并且在调用期间未改变请求对象。
 
-```yaml
-# 审计事件相关记录
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "mutation.webhook.admission.k8s.io/round_1_index_2": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook.example.com\",\"mutated\": false}"
-        # 其他注解
-        ...
-    }
-    # 其他字段
-    ...
-}
-```
+  ```yaml
+  # 审计事件相关记录
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "mutation.webhook.admission.k8s.io/round_1_index_2": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook.example.com\",\"mutated\": false}"
+          # 其他注解
+          ...
+      }
+      # 其他字段
+      ...
+  }
+  ```
 
-```yaml
-# 反序列化的注解值
-{
-    "configuration": "my-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook.example.com",
-    "mutated": false
-}
-```
+  ```yaml
+  # 反序列化的注解值
+  {
+      "configuration": "my-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook.example.com",
+      "mutated": false
+  }
+  ```
 
-<!--
-The following annotation gets recorded for a webhook being invoked in the first round. The webhook is ordered the first in\
-the mutating webhook chain, and mutated the request object during the invocation.
--->
-对于在第一轮中调用的 Webhook，所记录的注解如下。
-Webhook 在 mutating Webhook 链中排在第一位，并在调用期间改变了请求对象。
+  <!--
+  The following annotation gets recorded for a webhook being invoked in the first round. The webhook
+  is ordered the first in the mutating webhook chain, and mutated the request object during the
+  invocation.
+  -->
+  对于在第一轮中调用的 Webhook，所记录的注解如下。
+  Webhook 在 mutating Webhook 链中排在第一位，并在调用期间改变了请求对象。
 
-```yaml
-# 审计事件相关记录
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "mutation.webhook.admission.k8s.io/round_0_index_0": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"mutated\": true}"
-        # 其他注解
-        ...
-    }
-    # 其他字段
-    ...
-}
-```
+  ```yaml
+  # 审计事件相关记录
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "mutation.webhook.admission.k8s.io/round_0_index_0": "{\"configuration\":\"my-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"mutated\": true}"
+          # 其他注解
+          ...
+      }
+      # 其他字段
+      ...
+  }
+  ```
 
-```yaml
-# 反序列化的注解值
-{
-    "configuration": "my-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook-always-mutate.example.com",
-    "mutated": true
-}
-```
+  ```yaml
+  # 反序列化的注解值
+  {
+      "configuration": "my-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook-always-mutate.example.com",
+      "mutated": true
+  }
+  ```
 
 <!--
 - At `Request` audit level or higher, an annotation with key
-`patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
-a webhook gets invoked for given request and what patch gets applied to the request object.
+  `patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` gets logged with JSON payload indicating
+  a webhook gets invoked for given request and what patch gets applied to the request object.
 -->
-在 `Request` 或更高审计级别上，将使用 JSON 负载记录带有键名为
-`patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` 的注解，
-该注解表明针对给定请求调用了 Webhook 以及应用于请求对象之上的修改。
+- 在 `Request` 或更高审计级别上，将使用 JSON 负载记录带有键名为
+  `patch.webhook.admission.k8s.io/round_{round idx}_index_{order idx}` 的注解，
+  该注解表明针对给定请求调用了 Webhook 以及应用于请求对象之上的修改。
 
-<!--
-For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the fourth in the
-mutating webhook chain, and responded with a JSON patch which got applied to the request object.
--->
-例如，以下是针对正在被重新调用的某 Webhook 所记录的注解。
-Webhook 在修改性质的 Webhook 链中排在第四，并在其响应中包含一个 JSON 补丁，
-该补丁已被应用于请求对象。
+  <!--
+  For example, the following annotation gets recorded for a webhook being reinvoked. The webhook is ordered the fourth in the
+  mutating webhook chain, and responded with a JSON patch which got applied to the request object.
+  -->
+  例如，以下是针对正在被重新调用的某 Webhook 所记录的注解。
+  Webhook 在修改性质的 Webhook 链中排在第四，并在其响应中包含一个 JSON 补丁，
+  该补丁已被应用于请求对象。
 
-```yaml
-# 审计事件相关记录
-{
-    "kind": "Event",
-    "apiVersion": "audit.k8s.io/v1",
-    "annotations": {
-        "patch.webhook.admission.k8s.io/round_1_index_3": "{\"configuration\":\"my-other-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"patch\":[{\"op\":\"add\",\"path\":\"/data/mutation-stage\",\"value\":\"yes\"}],\"patchType\":\"JSONPatch\"}"
-        # 其他注解
-        ...
-    }
-    # 其他字段
-    ...
-}
-```
+  ```yaml
+  # 审计事件相关记录
+  {
+      "kind": "Event",
+      "apiVersion": "audit.k8s.io/v1",
+      "annotations": {
+          "patch.webhook.admission.k8s.io/round_1_index_3": "{\"configuration\":\"my-other-mutating-webhook-configuration.example.com\",\"webhook\":\"my-webhook-always-mutate.example.com\",\"patch\":[{\"op\":\"add\",\"path\":\"/data/mutation-stage\",\"value\":\"yes\"}],\"patchType\":\"JSONPatch\"}"
+          # 其他注解
+          ...
+      }
+      # 其他字段
+      ...
+  }
+  ```
 
-```yaml
-# 反序列化的注解值
-{
-    "configuration": "my-other-mutating-webhook-configuration.example.com",
-    "webhook": "my-webhook-always-mutate.example.com",
-    "patchType": "JSONPatch",
-    "patch": [
-        {
-            "op": "add",
-            "path": "/data/mutation-stage",
-            "value": "yes"
-        }
-    ]
-}
-```
+  ```yaml
+  # 反序列化的注解值
+  {
+      "configuration": "my-other-mutating-webhook-configuration.example.com",
+      "webhook": "my-webhook-always-mutate.example.com",
+      "patchType": "JSONPatch",
+      "patch": [
+          {
+              "op": "add",
+              "path": "/data/mutation-stage",
+              "value": "yes"
+          }
+      ]
+  }
+  ```
 
 <!--
 ### Admission webhook metrics
@@ -2014,11 +1577,11 @@ Webhook 在修改性质的 Webhook 链中排在第四，并在其响应中包含
 ### 准入 Webhook 度量值
 
 <!--
-Kube-apiserver exposes Prometheus metrics from the `/metrics` endpoint, which can be used for monitoring and
+The API server  exposes Prometheus metrics from the `/metrics` endpoint, which can be used for monitoring and
 diagnosing API server status. The following metrics record status related to admission webhooks.
 -->
-Kube-apiserver 从 `/metrics` 端点公开 Prometheus 指标，这些指标可用于监控和诊断
-apiserver 状态。以下指标记录了与准入 Webhook 相关的状态。
+API 服务器从 `/metrics` 端点公开 Prometheus 指标，这些指标可用于监控和诊断 API 服务器状态。
+以下指标记录了与准入 Webhook 相关的状态。
 
 <!--
 #### API server admission webhook rejection count
@@ -2284,9 +1847,9 @@ plane, exclude the `kube-system` namespace from being intercepted using a
 -->
 `kube-system` 名字空间包含由 Kubernetes 系统创建的对象，
 例如用于控制平面组件的服务账号，诸如 `kube-dns` 之类的 Pod 等。
-意外更改或拒绝 `kube-system` 名字空间中的请求可能会导致控制平面组件
-停止运行或者导致未知行为发生。
+意外更改或拒绝 `kube-system`
+名字空间中的请求可能会导致控制平面组件停止运行或者导致未知行为发生。
 如果你的准入 Webhook 不想修改 Kubernetes 控制平面的行为，请使用
-[`namespaceSelector`](#matching-requests-namespaceselector) 避免
-拦截 `kube-system` 名字空间。
+[`namespaceSelector`](#matching-requests-namespaceselector)
+避免拦截 `kube-system` 名字空间。
 
diff --git a/content/zh-cn/docs/reference/access-authn-authz/kubelet-authn-authz.md b/content/zh-cn/docs/reference/access-authn-authz/kubelet-authn-authz.md
index 4cd4dfb7c2f..625bb0bebd6 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/kubelet-authn-authz.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/kubelet-authn-authz.md
@@ -1,18 +1,18 @@
 ---
 title: Kubelet 认证/鉴权
 ---
-<!-- 
+<!--
 reviewers:
 - liggitt
 title: Kubelet authentication/authorization
 -->
 
-<!-- 
-## Overview 
+<!--
+## Overview
 -->
-## 概述
+## 概述  {#overview}
 
-<!--  
+<!--
 A kubelet's HTTPS endpoint exposes APIs which give access to data of varying sensitivity,
 and allow you to perform operations with varying levels of power on the node and within containers.
 -->
@@ -20,17 +20,17 @@ kubelet 的 HTTPS 端点公开了 API，
 这些 API 可以访问敏感度不同的数据，
 并允许你在节点上和容器内以不同级别的权限执行操作。
 
-<!--  
+<!--
 This document describes how to authenticate and authorize access to the kubelet's HTTPS endpoint.
 -->
 本文档介绍了如何对 kubelet 的 HTTPS 端点的访问进行认证和鉴权。
 
-<!-- 
-## Kubelet authentication 
+<!--
+## Kubelet authentication
 -->
-## Kubelet 身份认证 
+## Kubelet 身份认证   {#kubelet-authentication}
 
-<!-- 
+<!--
 By default, requests to the kubelet's HTTPS endpoint that are not rejected by other configured
 authentication methods are treated as anonymous requests, and given a username of `system:anonymous`
 and a group of `system:unauthenticated`.
@@ -38,62 +38,62 @@ and a group of `system:unauthenticated`.
 默认情况下，未被已配置的其他身份认证方法拒绝的对 kubelet 的 HTTPS 端点的请求会被视为匿名请求，
 并被赋予 `system:anonymous` 用户名和 `system:unauthenticated` 组。
 
-<!--  
+<!--
 To disable anonymous access and send `401 Unauthorized` responses to unauthenticated requests:
 -->
 要禁用匿名访问并向未经身份认证的请求发送 `401 Unauthorized` 响应，请执行以下操作：
 
-<!-- 
-* start the kubelet with the `--anonymous-auth=false` flag 
+<!--
+* start the kubelet with the `--anonymous-auth=false` flag
 -->
 * 带 `--anonymous-auth=false` 标志启动 kubelet
 
-<!-- 
+<!--
 To enable X509 client certificate authentication to the kubelet's HTTPS endpoint:
 -->
 要对 kubelet 的 HTTPS 端点启用 X509 客户端证书认证：
 
-<!--  
+<!--
 * start the kubelet with the `--client-ca-file` flag, providing a CA bundle to verify client certificates with
 * start the apiserver with `--kubelet-client-certificate` and `--kubelet-client-key` flags
 * see the [apiserver authentication documentation](/docs/reference/access-authn-authz/authentication/#x509-client-certs) for more details
 -->
 * 带 `--client-ca-file` 标志启动 kubelet，提供一个 CA 证书包以供验证客户端证书
-* 带 `--kubelet-client-certificate` 和 `--kubelet-client-key` 标志启动 apiserver
+* 带 `--kubelet-client-certificate` 和 `--kubelet-client-key` 标志启动 API 服务器
 * 有关更多详细信息，请参见
-  [apiserver 身份验证文档](/zh/docs/reference/access-authn-authz/authentication/#x509-client-certs)
+  [API 服务器身份验证文档](/zh-cn/docs/reference/access-authn-authz/authentication/#x509-client-certs)
 
-<!--  
+<!--
 To enable API bearer tokens (including service account tokens) to be used to authenticate to the kubelet's HTTPS endpoint:
 -->
 要启用 API 持有者令牌（包括服务帐户令牌）以对 kubelet 的 HTTPS 端点进行身份验证，请执行以下操作：
 
-<!--  
+<!--
 * ensure the `authentication.k8s.io/v1beta1` API group is enabled in the API server
-* start the kubelet with the `--authentication-token-webhook` and the `--kubeconfig` flags
+* start the kubelet with the `--authentication-token-webhook` and `--kubeconfig` flags
 * the kubelet calls the `TokenReview` API on the configured API server to determine user information from bearer tokens
 -->
 * 确保在 API 服务器中启用了 `authentication.k8s.io/v1beta1` API 组
 * 带 `--authentication-token-webhook` 和 `--kubeconfig` 标志启动 kubelet
 * kubelet 调用已配置的 API 服务器上的 `TokenReview` API，以根据持有者令牌确定用户信息
 
-<!-- 
-## Kubelet authorization 
+<!--
+## Kubelet authorization
 -->
-## Kubelet 鉴权 
+## Kubelet 鉴权   {#kubelet-authorization}
 
-<!--  
+<!--
 Any request that is successfully authenticated (including an anonymous request) is then authorized. The default authorization mode is `AlwaysAllow`, which allows all requests.
 -->
-任何成功通过身份验证的请求（包括匿名请求）之后都会被鉴权。 
+任何成功通过身份验证的请求（包括匿名请求）之后都会被鉴权。
 默认的鉴权模式为 `AlwaysAllow`，它允许所有请求。
 
-<!--  
+<!--
 There are many possible reasons to subdivide access to the kubelet API:
 -->
 细分对 kubelet API 的访问权限可能有多种原因：
 
-<!--  
+<!--
 * anonymous auth is enabled, but anonymous users' ability to call the kubelet API should be limited
 * bearer token auth is enabled, but arbitrary API users' (like service accounts) ability to call the kubelet API should be limited
 * client certificate auth is enabled, but only some of the client certificates signed by the configured CA should be allowed to use the kubelet API
@@ -102,12 +102,12 @@ There are many possible reasons to subdivide access to the kubelet API:
 * 启用了持有者令牌认证，但应限制任意 API 用户（如服务帐户）调用 kubelet API 的能力
 * 启用了客户端证书身份验证，但仅应允许已配置的 CA 签名的某些客户端证书使用 kubelet API
 
-<!--  
+<!--
 To subdivide access to the kubelet API, delegate authorization to the API server:
 -->
 要细分对 kubelet API 的访问权限，请将鉴权委派给 API 服务器：
 
-<!--  
+<!--
 * ensure the `authorization.k8s.io/v1beta1` API group is enabled in the API server
 * start the kubelet with the `--authorization-mode=Webhook` and the `--kubeconfig` flags
 * the kubelet calls the `SubjectAccessReview` API on the configured API server to determine whether each request is authorized
@@ -117,19 +117,19 @@ To subdivide access to the kubelet API, delegate authorization to the API server
 * kubelet 调用已配置的 API 服务器上的 `SubjectAccessReview` API，
   以确定每个请求是否得到鉴权
 
-<!--  
+<!--
 The kubelet authorizes API requests using the same [request attributes](/docs/reference/access-authn-authz/authorization/#review-your-request-attributes) approach as the apiserver.
 -->
-kubelet 使用与 apiserver 相同的
-[请求属性](/zh/docs/reference/access-authn-authz/authorization/#review-your-request-attributes)
+kubelet 使用与 API 服务器相同的
+[请求属性](/zh-cn/docs/reference/access-authn-authz/authorization/#review-your-request-attributes)
 方法对 API 请求执行鉴权。
 
-<!--  
+<!--
 The verb is determined from the incoming request's HTTP verb:
 -->
 请求的动词根据传入请求的 HTTP 动词确定：
 
-<!-- 
+<!--
 HTTP verb | request verb
 -->
 HTTP 动词 | 请求动词
@@ -140,13 +140,13 @@ PUT       | update
 PATCH     | patch
 DELETE    | delete
 
-<!--  
+<!--
 The resource and subresource is determined from the incoming request's path:
 -->
 资源和子资源是根据传入请求的路径确定的：
 
 <!--
-Kubelet API  | resource | subresource  
+Kubelet API  | resource | subresource
 -->
 Kubelet API  | 资源 | 子资源
 -------------|----------|------------
@@ -154,20 +154,20 @@ Kubelet API  | 资源 | 子资源
 /metrics/\*   | nodes    | metrics
 /logs/\*      | nodes    | log
 /spec/\*      | nodes    | spec
-*其它所有* | nodes    | proxy
+**其它所有**  | nodes    | proxy
 
-<!--  
+<!--
 The namespace and API group attributes are always an empty string, and
 the resource name is always the name of the kubelet's `Node` API object.
 -->
 名字空间和 API 组属性始终是空字符串，
 资源名称始终是 kubelet 的 `Node` API 对象的名称。
 
-<!--  
+<!--
 When running in this mode, ensure the user identified by the `--kubelet-client-certificate` and `--kubelet-client-key`
 flags passed to the apiserver is authorized for the following attributes:
 -->
-在此模式下运行时，请确保传递给 apiserver 的由 `--kubelet-client-certificate` 和
+在此模式下运行时，请确保传递给 API 服务器的由 `--kubelet-client-certificate` 和
 `--kubelet-client-key` 标志标识的用户具有以下属性的鉴权：
 
 * verb=\*, resource=nodes, subresource=proxy
diff --git a/content/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping.md b/content/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping.md
index 05a3a8d81ba..81f08541f00 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping.md
@@ -35,14 +35,14 @@ This in turn, can make it challenging to initialize or scale a cluster.
 这也使得初始化或者扩缩一个集群的操作变得具有挑战性。
 
 <!--
-In order to simplify the process, beginning in version 1.4, Kubernetes introduced a certificate request and signing API to simplify the process. The proposal can be
+In order to simplify the process, beginning in version 1.4, Kubernetes introduced a certificate request and signing API. The proposal can be
 found [here](https://github.com/kubernetes/kubernetes/pull/20439).
 
 This document describes the process of node initialization, how to set up TLS client certificate bootstrapping for
 kubelets, and how it works.
 -->
 为了简化这一过程，从 1.4 版本开始，Kubernetes 引入了一个证书请求和签名
-API 以便简化此过程。该提案可在
+API。该提案可在
 [这里](https://github.com/kubernetes/kubernetes/pull/20439)看到。
 
 本文档描述节点初始化的过程，如何为 kubelet 配置 TLS 客户端证书启动引导，
@@ -255,7 +255,7 @@ You can use any [authenticator](/docs/reference/access-authn-authz/authenticatio
 
 为了让启动引导的 kubelet 能够连接到 kube-apiserver 并请求证书，
 它必须首先在服务器上认证自身身份。你可以使用任何一种能够对 kubelet 执行身份认证的
-[身份认证组件](/zh/docs/reference/access-authn-authz/authentication/)。
+[身份认证组件](/zh-cn/docs/reference/access-authn-authz/authentication/)。
 
 <!--
 While any authentication strategy can be used for the kubelet's initial
@@ -303,7 +303,7 @@ tokens to a group allows for great flexibility. For example, you could disable a
 particular bootstrap group's access when you are done provisioning the nodes.
 -->
 随着这个功能特性的逐渐成熟，你需要确保令牌绑定到某基于角色的访问控制（RBAC）
-策略上，从而严格限制请求（使用[启动引导令牌](/zh/docs/reference/access-authn-authz/bootstrap-tokens/)）
+策略上，从而严格限制请求（使用[启动引导令牌](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)）
 仅限于客户端申请提供证书。当 RBAC 被配置启用时，可以将令牌限制到某个组，
 从而提高灵活性。例如，你可以在准备节点期间禁止某特定启动引导组的访问。
 
@@ -315,7 +315,7 @@ and then issued to the individual kubelet. You can use a single token for an ent
 -->
 #### 启动引导令牌   {#bootstrap-tokens}
 
-启动引导令牌的细节在[这里](/zh/docs/reference/access-authn-authz/bootstrap-tokens/)
+启动引导令牌的细节在[这里](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)
 详述。启动引导令牌在 Kubernetes 集群中存储为 Secret 对象，被发放给各个 kubelet。
 你可以在整个集群中使用同一个令牌，也可以为每个节点发放单独的令牌。
 
@@ -347,7 +347,7 @@ The details for creating the secret are available [here](/docs/reference/access-
 
 If you want to use bootstrap tokens, you must enable it on kube-apiserver with the flag:
 -->
-关于创建 Secret 的进一步细节可访问[这里](/zh/docs/reference/access-authn-authz/bootstrap-tokens/)。
+关于创建 Secret 的进一步细节可访问[这里](/zh-cn/docs/reference/access-authn-authz/bootstrap-tokens/)。
 
 如果你希望使用启动引导令牌，你必须在 kube-apiserver 上使用下面的标志启用之：
 
@@ -397,7 +397,7 @@ further details.
 -->
 向 kube-apiserver 添加 `--token-auth-file=FILENAME` 标志（或许这要对 systemd
 的单元文件作修改）以启用令牌文件。参见
-[这里](/zh/docs/reference/access-authn-authz/authentication/#static-token-file)
+[这里](/zh-cn/docs/reference/access-authn-authz/authentication/#static-token-file)
 的文档以了解进一步的细节。
 
 <!--
@@ -501,7 +501,7 @@ kubelet 身份认证，很重要的一点是为控制器管理器所提供的 CA
 ```
 
 <!--
-For example:
+for example:
 -->
 例如：
 
@@ -603,7 +603,7 @@ collection.
 -->
 作为 [kube-controller-manager](/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager/)
 的一部分的 `csrapproving` 控制器是自动被启用的。
-该控制器使用 [`SubjectAccessReview` API](/zh/docs/reference/access-authn-authz/authorization/#checking-api-access)
+该控制器使用 [`SubjectAccessReview` API](/zh-cn/docs/reference/access-authn-authz/authorization/#checking-api-access)
 来确定给定用户是否被授权请求 CSR，之后基于鉴权结果执行批复操作。
 为了避免与其它批复组件发生冲突，内置的批复组件不会显式地拒绝任何 CSRs。
 该组件仅是忽略未被授权的请求。
diff --git a/content/zh-cn/docs/reference/access-authn-authz/psp-to-pod-security-standards.md b/content/zh-cn/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
index 67c7ccd03e8..0cd54ac7f04 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/psp-to-pod-security-standards.md
@@ -14,15 +14,16 @@ weight: 95
 -->
 
 <!-- overview -->
+
 <!--
 The tables below enumerate the configuration parameters on
 [PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/) objects, whether the field mutates
 and/or validates pods, and how the configuration values map to the
 [Pod Security Standards](/docs/concepts/security/pod-security-standards/).
 -->
-下面的表格列举了 [PodSecurityPolicy](/zh/docs/concepts/security/pod-security-policy/)
+下面的表格列举了 [PodSecurityPolicy](/zh-cn/docs/concepts/security/pod-security-policy/)
 对象上的配置参数，这些字段是否会变更或检查 Pod 配置，以及这些配置值如何映射到
-[Pod 安全性标准（Pod Security Standards）](/zh/docs/concepts/security/pod-security-standards/)
+[Pod 安全性标准（Pod Security Standards）](/zh-cn/docs/concepts/security/pod-security-standards/)
 之上。
 
 <!--
@@ -34,31 +35,29 @@ Anything outside the allowed values for those profiles would fall under the
 means all values are allowed under all Pod Security Standards.
 -->
 对于每个可应用的参数，表格中给出了
-[Baseline](/zh/docs/concepts/security/pod-security-standards/#baseline) 和
-[Restricted](/zh/docs/concepts/security/pod-security-standards/#restricted)
+[Baseline](/zh-cn/docs/concepts/security/pod-security-standards/#baseline) 和
+[Restricted](/zh-cn/docs/concepts/security/pod-security-standards/#restricted)
 配置下可接受的取值。
 对这两种配置而言不可接受的取值均归入
-[Privileged](/zh/docs/concepts/security/pod-security-standards/#privileged)
+[Privileged](/zh-cn/docs/concepts/security/pod-security-standards/#privileged)
 配置下。“无意见”意味着对所有 Pod 安全性标准而言所有取值都可接受。
 
 <!--
 For a step-by-step migration guide, see
 [Migrate from PodSecurityPolicy to the Built-In PodSecurity Admission Controller](/docs/tasks/configure-pod-container/migrate-from-psp/).
 -->
-如果想要了解如何一步步完成迁移，可参阅
-[从 PodSecurityPolicy 迁移到内置的 PodSecurity 准入控制器](/zh/docs/tasks/configure-pod-container/migrate-from-psp/)。
+如果想要了解如何一步步完成迁移，可参阅[从 PodSecurityPolicy 迁移到内置的 PodSecurity 准入控制器](/zh-cn/docs/tasks/configure-pod-container/migrate-from-psp/)。
 
 <!-- body -->
 
 <!--
 ## PodSecurityPolicy Spec
--->
-## PodSecurityPolicy 规约   {#podsecuritypolicy-spec}
 
-<!--
 The fields enumerated in this table are part of the `PodSecurityPolicySpec`, which is specified
 under the `.spec` field path.
 -->
+## PodSecurityPolicy 规约   {#podsecuritypolicy-spec}
+
 下面表格中所列举的字段是 `PodSecurityPolicySpec` 的一部分，是通过 `.spec`
 字段路径来设置的。
 
@@ -280,15 +279,14 @@ under the `.spec` field path.
 
 <!--
 ## PodSecurityPolicy annotations
--->
-## PodSecurityPolicy 注解    {#podsecuritypolicy-annotations}
 
-<!--
 The [annotations](/docs/concepts/overview/working-with-objects/annotations/) enumerated in this
 table can be specified under `.metadata.annotations` on the PodSecurityPolicy object.
 -->
-下面表格中所列举的[注解](/zh/docs/concepts/overview/working-with-objects/annotations/)
-可以通过 `.metadata.annotations` 设置到 PodSecurityPolicy 对象之上。
+## PodSecurityPolicy 注解    {#podsecuritypolicy-annotations}
+
+下面表格中所列举的[注解](/zh-cn/docs/concepts/overview/working-with-objects/annotations/)可以通过
+`.metadata.annotations` 设置到 PodSecurityPolicy 对象之上。
 
 <table class="no-word-break">
     <caption style="display:none"><!-- Mapping PodSecurityPolicy annotations to Pod Security Standards-->将 PodSecurityPolicy 注解映射到 Pod 安全性标准</caption>
diff --git a/content/zh-cn/docs/reference/access-authn-authz/rbac.md b/content/zh-cn/docs/reference/access-authn-authz/rbac.md
index 96991885cd6..d6c72e156a6 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/rbac.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/rbac.md
@@ -1,7 +1,7 @@
 ---
 title: 使用 RBAC 鉴权
 content_type: concept
-aliases: [/zh/rbac/]
+aliases: [/zh-cn/rbac/]
 weight: 70
 ---
 
@@ -17,6 +17,7 @@ weight: 70
 -->
 
 <!-- overview -->
+
 <!--
 Role-based access control (RBAC) is a method of regulating access to computer or
 network resources based on the roles of individual users within your organization.
@@ -25,22 +26,23 @@ network resources based on the roles of individual users within your organizatio
 计算机或网络资源的访问的方法。
 
 <!-- body -->
+
 <!--
 RBAC authorization uses the `rbac.authorization.k8s.io`
 {{< glossary_tooltip text="API group" term_id="api-group" >}} to drive authorization
 decisions, allowing you to dynamically configure policies through the Kubernetes API.
 -->
 RBAC 鉴权机制使用 `rbac.authorization.k8s.io`
-{{< glossary_tooltip text="API 组" term_id="api-group" >}}
-来驱动鉴权决定，允许你通过 Kubernetes API 动态配置策略。
+{{< glossary_tooltip text="API 组" term_id="api-group" >}}来驱动鉴权决定，
+允许你通过 Kubernetes API 动态配置策略。
 
 <!--
 To enable RBAC, start the {{< glossary_tooltip text="API server" term_id="kube-apiserver" >}}
 with the `--authorization-mode` flag set to a comma-separated list that includes `RBAC`;
 for example:
 -->
-要启用 RBAC，在启动 {{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}}
-时将 `--authorization-mode` 参数设置为一个逗号分隔的列表并确保其中包含 `RBAC`。
+要启用 RBAC，在启动 {{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}}时将
+`--authorization-mode` 参数设置为一个逗号分隔的列表并确保其中包含 `RBAC`。
 
 <!--
 ```shell
@@ -62,10 +64,9 @@ or amend them, using tools such as `kubectl`, just like any other Kubernetes obj
 -->
 ## API 对象  {#api-overview}
 
-RBAC API 声明了四种 Kubernetes 对象：_Role_、_ClusterRole_、_RoleBinding_ 和
-_ClusterRoleBinding_。你可以像使用其他 Kubernetes 对象一样，
-通过类似 `kubectl` 这类工具
-[描述对象](/zh/docs/concepts/overview/working-with-objects/kubernetes-objects/#understanding-kubernetes-objects),
+RBAC API 声明了四种 Kubernetes 对象：**Role**、**ClusterRole**、**RoleBinding** 和
+**ClusterRoleBinding**。你可以像使用其他 Kubernetes 对象一样，通过类似 `kubectl`
+这类工具[描述对象](/zh-cn/docs/concepts/overview/working-with-objects/kubernetes-objects/#understanding-kubernetes-objects),
 或修补对象。
 
 {{< caution >}}
@@ -95,21 +96,20 @@ it can't be both.
 -->
 ### Role 和 ClusterRole   {#role-and-clusterole}
 
-RBAC 的 _Role_ 或 _ClusterRole_ 中包含一组代表相关权限的规则。
+RBAC 的 **Role** 或 **ClusterRole** 中包含一组代表相关权限的规则。
 这些权限是纯粹累加的（不存在拒绝某操作的规则）。
 
-Role 总是用来在某个{{< glossary_tooltip text="名字空间" term_id="namespace" >}}
-内设置访问权限；在你创建 Role 时，你必须指定该 Role 所属的名字空间。
+Role 总是用来在某个{{< glossary_tooltip text="名字空间" term_id="namespace" >}}内设置访问权限；
+在你创建 Role 时，你必须指定该 Role 所属的名字空间。
 
-与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和
-ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，
-不可两者兼具。
+与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）
+是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。
 
 <!--
 ClusterRoles have several uses. You can use a ClusterRole to:
 
-1. define permissions on namespaced resources and be granted within individual namespace(s)
-1. define permissions on namespaced resources and be granted across all namespaces
+1. define permissions on namespaced resources and be granted access within individual namespace(s)
+1. define permissions on namespaced resources and be granted access across all namespaces
 1. define permissions on cluster-scoped resources
 
 If you want to define a role within a namespace, use a Role; if you want to define
@@ -117,8 +117,8 @@ a role cluster-wide, use a ClusterRole.
 -->
 ClusterRole 有若干用法。你可以用它来：
 
-1. 定义对某名字空间域对象的访问权限，并将在各个名字空间内完成授权；
-1. 为名字空间作用域的对象设置访问权限，并跨所有名字空间执行授权；
+1. 定义对某名字空间域对象的访问权限，并将在个别名字空间内被授予访问权限；
+1. 为名字空间作用域的对象设置访问权限，并被授予跨所有名字空间的访问权限；
 1. 为集群作用域的资源定义访问权限。
 
 如果你希望在名字空间内定义角色，应该使用 Role；
@@ -178,9 +178,9 @@ Because ClusterRoles are cluster-scoped, you can also use them to grant access t
 ClusterRole 可以和 Role 相同完成授权。
 因为 ClusterRole 属于集群范围，所以它也可以为以下资源授予访问权限：
 
-* 集群范围资源（比如 {{< glossary_tooltip text="节点（Node）" term_id="node" >}}）
+* 集群范围资源（比如{{< glossary_tooltip text="节点（Node）" term_id="node" >}}）
 * 非资源端点（比如 `/healthz`）
-* 跨名字空间访问的名字空间作用域的资源（如 Pods）
+* 跨名字空间访问的名字空间作用域的资源（如 Pod）
 
   比如，你可以使用 ClusterRole 来允许某特定用户执行 `kubectl get pods --all-namespaces`
 
@@ -226,8 +226,7 @@ rules:
 The name of a Role or a ClusterRole object must be a valid
 [path segment name](/docs/concepts/overview/working-with-objects/names#path-segment-names).
 -->
-Role 或 ClusterRole 对象的名称必须是合法的
-[路径区段名称](/zh/docs/concepts/overview/working-with-objects/names#path-segment-names)。
+Role 或 ClusterRole 对象的名称必须是合法的[路径区段名称](/zh-cn/docs/concepts/overview/working-with-objects/names#path-segment-names)。
 
 <!--
 ### RoleBinding and ClusterRoleBinding
@@ -258,7 +257,7 @@ RoleBinding 所在的名字空间。
 如果你希望将某  ClusterRole 绑定到集群中所有名字空间，你要使用 ClusterRoleBinding。
 
 RoleBinding 或 ClusterRoleBinding 对象的名称必须是合法的
-[路径区段名称](/zh/docs/concepts/overview/working-with-objects/names#path-segment-names)。
+[路径区段名称](/zh-cn/docs/concepts/overview/working-with-objects/names#path-segment-names)。
 
 <!--
 #### RoleBinding examples {#rolebinding-example}
@@ -295,7 +294,7 @@ roleRef:
 -->
 ```yaml
 apiVersion: rbac.authorization.k8s.io/v1
-# 此角色绑定允许 "jane" 读取 "default" 名字空间中的 Pods
+# 此角色绑定允许 "jane" 读取 "default" 名字空间中的 Pod
 # 你需要在该命名空间中有一个名为 “pod-reader” 的 Role
 kind: RoleBinding
 metadata:
@@ -308,8 +307,8 @@ subjects:
   apiGroup: rbac.authorization.k8s.io
 roleRef:
   # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
-  kind: Role # 此字段必须是 Role 或 ClusterRole
-  name: pod-reader # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
+  kind: Role        # 此字段必须是 Role 或 ClusterRole
+  name: pod-reader  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
   apiGroup: rbac.authorization.k8s.io
 ```
 
@@ -405,13 +404,13 @@ roleRef:
 -->
 ```yaml
 apiVersion: rbac.authorization.k8s.io/v1
-# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 secrets
+# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 Secret 资源
 kind: ClusterRoleBinding
 metadata:
   name: read-secrets-global
 subjects:
 - kind: Group
-  name: manager # 'name' 是区分大小写的
+  name: manager      # 'name' 是区分大小写的
   apiGroup: rbac.authorization.k8s.io
 roleRef:
   kind: ClusterRole
@@ -450,8 +449,8 @@ without verifying all of the existing subjects should be given the new role's
 permissions).
 -->
 1. 针对不同角色的绑定是完全不一样的绑定。要求通过删除/重建绑定来更改 `roleRef`,
-   这样可以确保要赋予绑定的所有主体会被授予新的角色（而不是在允许或者不小心修改
-   了 `roleRef` 的情况下导致所有现有主体未经验证即被授予新角色对应的权限）。
+   这样可以确保要赋予绑定的所有主体会被授予新的角色（而不是在允许或者不小心修改了
+   `roleRef` 的情况下导致所有现有主体未经验证即被授予新角色对应的权限）。
 
 <!--
 The `kubectl auth reconcile` command-line utility creates or updates a manifest file containing RBAC objects,
@@ -464,16 +463,15 @@ See [command usage and examples](#kubectl-auth-reconcile) for more information.
 
 <!--
 ### Referring to resources
--->
-### 对资源的引用    {#referring-to-resources}
 
-<!--
 In the Kubernetes API, most resources are represented and accessed using a string representation of
 their object name, such as `pods` for a Pod. RBAC refers to resources using exactly the same
 name that appears in the URL for the relevant API endpoint.
 Some Kubernetes APIs involve a
 _subresource_, such as the logs for a Pod. A request for a Pod's logs looks like:
 -->
+### 对资源的引用    {#referring-to-resources}
+
 在 Kubernetes API 中，大多数资源都是使用对象名称的字符串表示来呈现与访问的。
 例如，对于 Pod 应使用 "pods"。
 RBAC 使用对应 API 端点的 URL 中呈现的名字来引用资源。
@@ -492,7 +490,7 @@ also access the `log` subresource for each of those Pods, you write:
 -->
 在这里，`pods` 对应名字空间作用域的 Pod 资源，而 `log` 是 `pods` 的子资源。
 在 RBAC 角色表达子资源时，使用斜线（`/`）来分隔资源和子资源。
-要允许某主体读取 `pods` 同时访问这些 Pod 的 `log` 子资源，你可以这么写：
+要允许某主体读取 `pods` 同时访问这些 Pod 的 `log` 子资源，你可以这样写：
 
 ```yaml
 apiVersion: rbac.authorization.k8s.io/v1
@@ -514,7 +512,7 @@ Here is an example that restricts its subject to only `get` or `update` a
 -->
 对于某些请求，也可以通过 `resourceNames` 列表按名称引用资源。
 在指定时，可以将请求限定为资源的单个实例。
-下面的例子中限制可以 "get" 和 "update" 一个名为 `my-configmap` 的
+下面的例子中限制可以 `get` 和 `update` 一个名为 `my-configmap` 的
 {{< glossary_tooltip term_id="ConfigMap" >}}：
 
 <!--
@@ -557,8 +555,9 @@ For example, `kubectl get configmaps --field-selector=metadata.name=my-configmap
 -->
 你不能使用资源名字来限制 `create` 或者 `deletecollection` 请求。
 对于 `create` 请求而言，这是因为在鉴权时可能还不知道新对象的名字。
-如果你使用 resourceName 来限制 `list` 或者 `watch` 请求，
-客户端必须在它们的 `list` 或者 `watch` 请求里包含一个与指定的 resourceName 匹配的 `metadata.name` 字段选择器。
+如果你使用 `resourceName` 来限制 `list` 或者 `watch` 请求，
+客户端必须在它们的 `list` 或者 `watch` 请求里包含一个与指定的 `resourceName`
+匹配的 `metadata.name` 字段选择器。
 例如，`kubectl get configmaps --field-selector=metadata.name=my-configmap`
 {{< /note >}}
 
@@ -577,7 +576,7 @@ Here is an example aggregated ClusterRole:
 ### 聚合的 ClusterRole    {#aggregated-clusterroles}
 
 你可以将若干 ClusterRole **聚合（Aggregate）** 起来，形成一个复合的 ClusterRole。
-某个控制器作为集群控制面的一部分会监视带有 `aggregationRule` 的 ClusterRole
+作为集群控制面的一部分，控制器会监视带有 `aggregationRule` 的 ClusterRole
 对象集合。`aggregationRule` 为控制器定义一个标签
 {{< glossary_tooltip text="选择算符" term_id="selector" >}}供后者匹配
 应该组合到当前 ClusterRole 的 `roles` 字段中的 ClusterRole 对象。
@@ -666,7 +665,7 @@ You can assume that CronTab objects are named `"crontabs"` in URLs as seen by th
 比如通过 CustomResourceDefinitions 或聚合 API 服务器提供的定制资源。
 
 例如，下面的 ClusterRoles 让默认角色 "admin" 和 "edit" 拥有管理自定义资源 "CronTabs" 的权限，
- "view" 角色对 CronTab 资源拥有读操作权限。
+"view" 角色对 CronTab 资源拥有读操作权限。
 你可以假定 CronTab 对象在 API 服务器所看到的 URL 中被命名为 `"crontabs"`。
 
 <!--
@@ -737,8 +736,7 @@ Allow reading `"pods"` resources in the core
 
 以下示例均为从 Role 或 ClusterRole 对象中截取出来，我们仅展示其 `rules` 部分。
 
-允许读取在核心 {{< glossary_tooltip text="API 组" term_id="api-group" >}}下的
-`"Pods"`：
+允许读取在核心 {{< glossary_tooltip text="API 组" term_id="api-group" >}}下的 `"pods"`：
 
 <!--
 ```yaml
@@ -825,8 +823,8 @@ rules:
 Allow reading a ConfigMap named "my-config" (must be bound with a
 RoleBinding to limit to a single ConfigMap in a single namespace):
 -->
-允许读取名称为 "my-config" 的 ConfigMap（需要通过 RoleBinding 绑定以
-限制为某名字空间中特定的 ConfigMap）：
+允许读取名称为 "my-config" 的 ConfigMap（需要通过 RoleBinding
+绑定以限制为某名字空间中特定的 ConfigMap）：
 
 <!--
 ```yaml
@@ -913,14 +911,12 @@ so that authentication produces usernames in the format you want.
 ### 对主体的引用   {#referring-to-subjects}
 
 RoleBinding 或者 ClusterRoleBinding 可绑定角色到某 **主体（Subject）** 上。
-主体可以是组，用户或者
-{{< glossary_tooltip text="服务账户" term_id="service-account" >}}。
+主体可以是组，用户或者{{< glossary_tooltip text="服务账户" term_id="service-account" >}}。
 
 Kubernetes 用字符串来表示用户名。
 用户名可以是普通的用户名，像 "alice"；或者是邮件风格的名称，如 "bob@example.com"，
-或者是以字符串形式表达的数字 ID。
-你作为 Kubernetes 管理员负责配置
-[身份认证模块](/zh/docs/reference/access-authn-authz/authentication/)
+或者是以字符串形式表达的数字 ID。你作为 Kubernetes
+管理员负责配置[身份认证模块](/zh-cn/docs/reference/access-authn-authz/authentication/)
 以便后者能够生成你所期望的格式的用户名。
 
 
@@ -932,9 +928,8 @@ accident.
 Other than this special prefix, the RBAC authorization system does not require any format
 for usernames.
 -->
-前缀 `system:` 是 Kubernetes 系统保留的，所以你要确保
-所配置的用户名或者组名不能出现上述 `system:` 前缀。
-除了对前缀的限制之外，RBAC 鉴权系统不对用户名格式作任何要求。
+前缀 `system:` 是 Kubernetes 系统保留的，所以你要确保所配置的用户名或者组名不能出现上述
+`system:` 前缀。除了对前缀的限制之外，RBAC 鉴权系统不对用户名格式作任何要求。
 {{< /caution >}}
 
 <!--
@@ -945,13 +940,12 @@ other than that the prefix `system:` is reserved.
 [ServiceAccounts](/docs/tasks/configure-pod-container/configure-service-account/) have names prefixed
 with `system:serviceaccount:`, and belong to groups that have names prefixed with `system:serviceaccounts:`.
 -->
-在 Kubernetes 中，鉴权模块提供用户组信息。
+在 Kubernetes 中，身份认证（Authenticator）模块提供用户组信息。
 与用户名一样，用户组名也用字符串来表示，而且对该字符串没有格式要求，
 只是不能使用保留的前缀 `system:`。
 
-[服务账户](/zh/docs/tasks/configure-pod-container/configure-service-account/)
-的用户名前缀为 `system:serviceaccount:`，属于前缀为 `system:serviceaccounts:`
-的用户组。
+[服务账户（ServiceAccount）](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
+的用户名前缀为 `system:serviceaccount:`，属于前缀为 `system:serviceaccounts:` 的用户组。
 
 {{< note >}}
 <!--
@@ -1034,7 +1028,7 @@ subjects:
 <!--
 For all authenticated users:
 -->
-对于所有已经过认证的用户：
+对于所有已经过身份认证的用户：
 
 ```yaml
 subjects:
@@ -1046,7 +1040,7 @@ subjects:
 <!--
 For all unauthenticated users:
 -->
-对于所有未通过认证的用户：
+对于所有未通过身份认证的用户：
 
 ```yaml
 subjects:
@@ -1083,8 +1077,7 @@ All of the default ClusterRoles and ClusterRoleBindings are labeled with `kubern
 API 服务器创建一组默认的 ClusterRole 和 ClusterRoleBinding 对象。
 这其中许多是以 `system:` 为前缀的，用以标识对应资源是直接由集群控制面管理的。
 所有的默认 ClusterRole 和 ClusterRoleBinding 都有
-`kubernetes.io/bootstrapping=rbac-defaults`
-标签。
+`kubernetes.io/bootstrapping=rbac-defaults` 标签。
 
 {{< caution >}}
 <!--
@@ -1113,10 +1106,10 @@ Auto-reconciliation is enabled by default if the RBAC authorizer is active.
 -->
 ### 自动协商   {#auto-reconciliation}
 
-在每次启动时，API 服务器都会更新默认 ClusterRole 以添加缺失的各种权限，并更新
-默认的 ClusterRoleBinding 以增加缺失的各类主体。
-这种自动协商机制允许集群去修复一些不小心发生的修改，并且有助于保证角色和角色绑定
-在新的发行版本中有权限或主体变更时仍然保持最新。
+在每次启动时，API 服务器都会更新默认 ClusterRole 以添加缺失的各种权限，
+并更新默认的 ClusterRoleBinding 以增加缺失的各类主体。
+这种自动协商机制允许集群去修复一些不小心发生的修改，
+并且有助于保证角色和角色绑定在新的发行版本中有权限或主体变更时仍然保持最新。
 
 如果要禁止此功能，请将默认 ClusterRole 以及 ClusterRoleBinding 的
 `rbac.authorization.kubernetes.io/autoupdate` 注解设置成 `false`。
@@ -1133,8 +1126,8 @@ To view the configuration of these roles via `kubectl` run:
 -->
 ### API 发现角色  {#discovery-roles}
 
-无论是经过身份验证的还是未经过身份验证的用户，默认的角色绑定都授权他们读取被认为
-是可安全地公开访问的 API（包括 CustomResourceDefinitions）。
+无论是经过身份验证的还是未经过身份验证的用户，
+默认的角色绑定都授权他们读取被认为是可安全地公开访问的 API（包括 CustomResourceDefinitions）。
 如果要禁用匿名的未经过身份验证的用户访问，请在 API 服务器配置中中添加
 `--anonymous-auth=false` 的配置选项。
 
@@ -1213,7 +1206,7 @@ Prior to v1.14, this role was also bound to <tt>system:unauthenticated</tt> by d
 <!--
 Allows read-only access to non-sensitive information about the cluster. Introduced in Kubernetes v1.14.
 -->
-允许对集群的非敏感信息进行只读访问，它是在 v1.14 版本中引入的。
+允许对集群的非敏感信息进行只读访问，此角色是在 v1.14 版本中引入的。
 </td>
 </tr>
 </tbody>
@@ -1238,8 +1231,8 @@ a ClusterRole with one or more of the following labels:
 使用 ClusterRoleBinding 在集群范围内完成授权的角色（`cluster-status`）、
 以及使用 RoleBinding 在特定名字空间中授予的角色（`admin`、`edit`、`view`）。
 
-面向用户的 ClusterRole 使用 [ClusterRole 聚合](#aggregated-clusterroles)以允许管理员在
-这些 ClusterRole 上添加用于定制资源的规则。如果想要添加规则到 `admin`、`edit` 或者 `view`，
+面向用户的 ClusterRole 使用 [ClusterRole 聚合](#aggregated-clusterroles)以允许管理员在这些
+ClusterRole 上添加用于定制资源的规则。如果想要添加规则到 `admin`、`edit` 或者 `view`，
 可以创建带有以下一个或多个标签的 ClusterRole：
 
 ```yaml
@@ -1325,8 +1318,8 @@ clusters created using Kubernetes v1.22+. More information is available in the
 -->
 允许对名字空间的大多数对象进行读/写操作。
 
-它不允许查看或者修改角色或者角色绑定。
-不过，此角色可以访问 Secret，以名字空间中任何 ServiceAccount 的身份运行 Pods，
+此角色不允许查看或者修改角色或者角色绑定。
+不过，此角色可以访问 Secret，以名字空间中任何 ServiceAccount 的身份运行 Pod，
 所以可以用来了解名字空间内所有服务账户的 API 访问级别。
 此角色也不允许对 Kubernetes v1.22+ 创建的 Endpoints 进行写操作。
 更多信息参阅 [“Endpoints 写操作”小节](#write-access-for-endpoints)。
@@ -1353,8 +1346,8 @@ in the namespace, which would allow API access as any ServiceAccount
 in the namespace (a form of privilege escalation).
 -->
 此角色不允许查看 Secrets，因为读取 Secret 的内容意味着可以访问名字空间中
-ServiceAccount 的凭据信息，进而允许利用名字空间中任何 ServiceAccount 的
-身份访问 API（这是一种特权提升）。
+ServiceAccount 的凭据信息，进而允许利用名字空间中任何 ServiceAccount
+的身份访问 API（这是一种特权提升）。
 </td>
 </tr>
 </tbody>
@@ -1440,8 +1433,8 @@ You should use the <a href="/docs/reference/access-authn-authz/node/">Node autho
 <a href="/docs/reference/access-authn-authz/admission-controllers/#noderestriction">NodeRestriction admission plugin</a>
 instead of the <tt>system:node</tt> role, and allow granting API access to kubelets based on the Pods scheduled to run on them.
 -->
-你应该使用 <a href="/zh/docs/reference/access-authn-authz/node/">Node 鉴权组件</a>和
-<a href="/zh/docs/reference/access-authn-authz/admission-controllers/#noderestriction">NodeRestriction 准入插件</a>而不是
+你应该使用 <a href="/zh-cn/docs/reference/access-authn-authz/node/">Node 鉴权组件</a>和
+<a href="/zh-cn/docs/reference/access-authn-authz/admission-controllers/#noderestriction">NodeRestriction 准入插件</a>而不是
 <tt>system:node</tt> 角色。同时基于 kubelet 上调度执行的 Pod 来授权
 kubelet 对 API 的访问。
 
@@ -1516,7 +1509,9 @@ Role for the <a href="https://github.com/kubernetes/heapster">Heapster</a> compo
 <td>None</td>
 -->
 <td>无</td>
-<!-- td>Role for the <a href="https://github.com/kubernetes/kube-aggregator">kube-aggregator</a> component.</td -->
+<!--
+<td>Role for the <a href="https://github.com/kubernetes/kube-aggregator">kube-aggregator</a> component.</td>
+-->
 <td>为 <a href="https://github.com/kubernetes/kube-aggregator">kube-aggregator</a> 组件定义的角色。</td>
 </tr>
 <tr>
@@ -1526,7 +1521,7 @@ Role for the <a href="https://github.com/kubernetes/heapster">Heapster</a> compo
 -->
 <td>在 <b>kube-system</b> 名字空间中的 <b>kube-dns</b> 服务账户</td>
 <!-- td>Role for the <a href="/docs/concepts/services-networking/dns-pod-service/">kube-dns</a> component.</td -->
-<td>为 <a href="/docs/concepts/services-networking/dns-pod-service/">kube-dns</a> 组件定义的角色。</td>
+<td>为 <a href="/zh-cn/docs/concepts/services-networking/dns-pod-service/">kube-dns</a> 组件定义的角色。</td>
 </tr>
 <tr>
 <td><b>system:kubelet-api-admin</b></td>
@@ -1553,7 +1548,7 @@ Allows access to the resources required to perform
 <a href="/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/">Kubelet TLS bootstrapping</a>.
 -->
 允许访问执行
-<a href="/zh/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/">kubelet TLS 启动引导</a>
+<a href="/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/">kubelet TLS 启动引导</a>
 所需要的资源。
 </td>
 </tr>
@@ -1580,9 +1575,7 @@ Role for the <a href="https://github.com/kubernetes/node-problem-detector">node-
 <!--
 Allows access to the resources required by most <a href="/docs/concepts/storage/persistent-volumes/#dynamic">dynamic volume provisioners</a>.
 -->
-允许访问大部分
-<a href="/zh/docs/concepts/storage/persistent-volumes/#dynamic">动态卷驱动</a>
-所需要的资源。
+允许访问大部分<a href="/zh-cn/docs/concepts/storage/persistent-volumes/#dynamic">动态卷驱动</a>所需要的资源。
 </td>
 </tr>
 <tr>
@@ -1623,8 +1616,8 @@ These roles include:
 -->
 ### 内置控制器的角色   {#controller-roles}
 
-Kubernetes {{< glossary_tooltip term_id="kube-controller-manager" text="控制器管理器" >}}
-运行内建于 Kubernetes 控制面的{{< glossary_tooltip term_id="controller" text="控制器" >}}。
+Kubernetes {{< glossary_tooltip term_id="kube-controller-manager" text="控制器管理器" >}}运行内建于 
+Kubernetes 控制面的{{< glossary_tooltip term_id="controller" text="控制器" >}}。
 当使用 `--use-service-account-credentials` 参数启动时，kube-controller-manager
 使用单独的服务账户来启动每个控制器。
 每个内置控制器都有相应的、前缀为 `system:controller:` 的角色。
@@ -1686,8 +1679,8 @@ You can only create/update a role if at least one of the following things is tru
 
 1. 你已经拥有角色中包含的所有权限，且其作用域与正被修改的对象作用域相同。
   （对 ClusterRole 而言意味着集群范围，对 Role 而言意味着相同名字空间或者集群范围）。
-2. 你被显式授权在 `rbac.authorization.k8s.io` API 组中的 `roles` 或 `clusterroles` 资源
-   使用 `escalate` 动词。
+2. 你被显式授权在 `rbac.authorization.k8s.io` API 组中的 `roles` 或 `clusterroles`
+   资源使用 `escalate` 动词。
 
 <!--
 For example, if `user-1` does not have the ability to list Secrets cluster-wide, they cannot create a ClusterRole
@@ -1718,7 +1711,7 @@ to a role that grants that permission. To allow a user to create/update role bin
 -->
 ### 对角色绑定创建或更新的限制 {#restrictions-on-role-binding-creation-or-update}
 
-只有你已经具有了所引用的角色中包含的全部权限时，或者你被授权在所引用的角色上执行 `bind`
+只有你已经具有了所引用的角色中包含的全部权限时，**或者** 你被授权在所引用的角色上执行 `bind`
 动词时，你才可以创建或更新角色绑定。这里的权限与角色绑定的作用域相同。
 例如，如果用户 `user-1` 没有列举集群范围所有 Secret 的能力，则他不可以创建
 ClusterRoleBinding 引用授予该许可权限的角色。
@@ -1727,13 +1720,12 @@ ClusterRoleBinding 引用授予该许可权限的角色。
 <!--
 1. Grant them a role that allows them to create/update RoleBinding or ClusterRoleBinding objects, as desired.
 2. Grant them permissions needed to bind a particular role:
-    * implicitly, by giving them the permissions contained in the role.
-    * explicitly, by giving them permission to perform the `bind` verb on the particular Role (or ClusterRole).
+   * implicitly, by giving them the permissions contained in the role.
+   * explicitly, by giving them permission to perform the `bind` verb on the particular Role (or ClusterRole).
 
 For example, this ClusterRole and RoleBinding would allow `user-1` to grant other users the `admin`, `edit`, and `view` roles in the namespace `user-1-namespace`:
 -->
-1. 赋予他们一个角色，使得他们能够根据需要创建或更新 RoleBinding 或 ClusterRoleBinding
-   对象。
+1. 赋予他们一个角色，使得他们能够根据需要创建或更新 RoleBinding 或 ClusterRoleBinding 对象。
 2. 授予他们绑定某特定角色所需要的许可权限：
    * 隐式授权下，可以将角色中包含的许可权限授予他们；
    * 显式授权下，可以授权他们在特定 Role （或 ClusterRole）上执行 `bind` 动词的权限。
@@ -1814,8 +1806,8 @@ To bootstrap initial roles and role bindings:
 
 * 使用用户组为 `system:masters` 的凭据，该用户组由默认绑定关联到 `cluster-admin`
   这个超级用户角色。
-* 如果你的 API 服务器启动时启用了不安全端口（使用 `--insecure-port`），你也可以通过
-  该端口调用 API，这样的操作会绕过身份验证或鉴权。
+* 如果你的 API 服务器启动时启用了不安全端口（使用 `--insecure-port`），
+  你也可以通过该端口调用 API，这样的操作会绕过身份验证或鉴权。
 
 <!--
 ## Command-line utilities
@@ -1867,8 +1859,8 @@ Creates a Role object defining permissions within a single namespace. Examples:
 <!--
 * Create a Role named "my-component-lease-holder" with permissions to get/update a resource with a specific name:
 -->
-* 创建名为 “my-component-lease-holder” 的 Role 对象，使其具有对特定名称的
-  资源执行 get/update 的权限：
+* 创建名为 “my-component-lease-holder” 的 Role 对象，使其具有对特定名称的资源执行
+  get/update 的权限：
 
   ```shell
   kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component
@@ -1979,8 +1971,7 @@ Grants a ClusterRole across the entire cluster (all namespaces). Examples:
 -->
 在整个集群（所有名字空间）中用 ClusterRole 授权。例如：
 
-* 在整个集群范围，将名为 `cluster-admin` 的 ClusterRole 中定义的权限授予名为
-  “root” 用户：
+* 在整个集群范围，将名为 `cluster-admin` 的 ClusterRole 中定义的权限授予名为 “root” 用户：
 
   ```shell
   kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
@@ -1999,8 +1990,8 @@ Grants a ClusterRole across the entire cluster (all namespaces). Examples:
 <!--
 * Across the entire cluster, grant the permissions in the "view" ClusterRole to a service account named "myapp" in the namespace "acme":
 -->
-* 在整个集群范围内，将名为 `view` 的 ClusterRole 中定义的权限授予 “acme” 名字空间中
-  名为 “myapp” 的服务账户：
+* 在整个集群范围内，将名为 `view` 的 ClusterRole 中定义的权限授予 “acme” 名字空间中名为
+  “myapp” 的服务账户：
 
   ```shell
   kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
@@ -2044,7 +2035,7 @@ Examples:
 <!--
 * Apply a manifest file of RBAC objects, preserving any extra permissions (in roles) and any extra subjects (in bindings):
 -->
-* 应用 RBAC 对象的清单文件，保留角色中的额外权限和绑定中的其他主体：
+* 应用 RBAC 对象的清单文件，保留角色（`roles`）中的额外权限和绑定（`bindings`）中的其他主体：
 
   ```shell
   kubectl auth reconcile -f my-rbac-rules.yaml
@@ -2053,7 +2044,7 @@ Examples:
 <!--
 * Apply a manifest file of RBAC objects, removing any extra permissions (in roles) and any extra subjects (in bindings):
 -->
-* 应用 RBAC 对象的清单文件，删除角色中的额外权限和绑定中的其他主体：
+* 应用 RBAC 对象的清单文件，删除角色（`roles`）中的额外权限和绑定中的其他主体：
 
   ```shell
   kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions
@@ -2116,21 +2107,20 @@ In order from most secure to least secure, the approaches are:
 
    <!--
    If an application does not specify a `serviceAccountName`, it uses the "default" service account.
-
-   {{< note >}}
-   Permissions given to the "default" service account are available to any pod
-   in the namespace that does not specify a `serviceAccountName`.
-   {{< /note >}}
-
-   For example, grant read-only permission within "my-namespace" to the "default" service account:
    -->
    如果某应用没有指定 `serviceAccountName`，那么它将使用 “default” 服务账户。
 
    {{< note >}}
-   "default" 服务账户所具有的权限会被授予给名字空间中所有未指定
-   `serviceAccountName` 的 Pod。
+   <!--
+   Permissions given to the "default" service account are available to any pod
+   in the namespace that does not specify a `serviceAccountName`.
+   -->
+   "default" 服务账户所具有的权限会被授予给名字空间中所有未指定 `serviceAccountName` 的 Pod。
    {{< /note >}}
 
+   <!--
+   For example, grant read-only permission within "my-namespace" to the "default" service account:
+   -->
    例如，在名字空间 "my-namespace" 中授予服务账户 "default" 只读权限：
 
    ```shell
@@ -2145,20 +2135,18 @@ In order from most secure to least secure, the approaches are:
    "default" service account in the `kube-system` namespace.
    To allow those add-ons to run with super-user access, grant cluster-admin
    permissions to the "default" service account in the `kube-system` namespace.
-
-   {{< caution >}}
-   Enabling this means the `kube-system` namespace contains Secrets
-   that grant super-user access to your cluster's API.
-   {{< /caution >}}
    -->
-   许多[插件组件](/zh/docs/concepts/cluster-administration/addons/)在 `kube-system`
+   许多[插件组件](/zh-cn/docs/concepts/cluster-administration/addons/)在 `kube-system`
    名字空间以 “default” 服务账户运行。
    要允许这些插件组件以超级用户权限运行，需要将集群的 `cluster-admin` 权限授予
    `kube-system` 名字空间中的 “default” 服务账户。
 
    {{< caution >}}
-   启用这一配置意味着在 `kube-system` 名字空间中包含以超级用户账号来访问集群 API
-   的 Secrets。
+   <!--
+   Enabling this means the `kube-system` namespace contains Secrets
+   that grant super-user access to your cluster's API.
+   -->
+   启用这一配置意味着在 `kube-system` 名字空间中包含以超级用户账号来访问集群 API 的 Secret。
    {{< /caution >}}
 
    ```shell
@@ -2166,6 +2154,7 @@ In order from most secure to least secure, the approaches are:
      --clusterrole=cluster-admin \
      --serviceaccount=kube-system:default
    ```
+
 <!--
 3. Grant a role to all service accounts in a namespace
 
@@ -2201,7 +2190,6 @@ In order from most secure to least secure, the approaches are:
 
    例如，为集群范围的所有服务账户授予跨所有名字空间的只读权限：
 
-
    ```shell
    kubectl create clusterrolebinding serviceaccounts-view \
      --clusterrole=view \
@@ -2212,18 +2200,17 @@ In order from most secure to least secure, the approaches are:
 5. Grant super-user access to all service accounts cluster-wide (strongly discouraged)
 
    If you don't care about partitioning permissions at all, you can grant super-user access to all service accounts.
-
-   {{< warning >}}
-   This allows any application full access to your cluster, and also grants
-   any user with read access to Secrets (or the ability to create any pod)
-   full access to your cluster.
-   {{< /warning >}}
 -->
 5. 授予超级用户访问权限给集群范围内的所有服务帐户（强烈不鼓励）
 
    如果你不在乎如何区分权限，你可以将超级用户访问权限授予所有服务账户。
 
    {{< warning >}}
+   <!--
+   This allows any application full access to your cluster, and also grants
+   any user with read access to Secrets (or the ability to create any pod)
+   full access to your cluster.
+   -->
    这样做会允许所有应用都对你的集群拥有完全的访问权限，并将允许所有能够读取
    Secret（或创建 Pod）的用户对你的集群有完全的访问权限。
    {{< /warning >}}
@@ -2242,14 +2229,6 @@ Endpoints in the aggregated "edit" and "admin" roles. As a mitigation for
 [CVE-2021-25740](https://github.com/kubernetes/kubernetes/issues/103675), this
 access is not part of the aggregated roles in clusters that you create using
 Kubernetes v1.22 or later.
-
-Existing clusters that have been upgraded to Kubernetes v1.22 will not be
-subject to this change. The [CVE
-announcement](https://github.com/kubernetes/kubernetes/issues/103675) includes
-guidance for restricting this access in existing clusters.
-
-If you want new clusters to retain this level of access in the aggregated roles,
-you can create the following ClusterRole:
 -->
 ## Endpoints 写权限 {#write-access-for-endpoints}
 
@@ -2258,6 +2237,15 @@ you can create the following ClusterRole:
 作为 [CVE-2021-25740](https://github.com/kubernetes/kubernetes/issues/103675) 的缓解措施，
 此访问权限不包含在 Kubernetes 1.22 以及更高版本集群的聚合角色里。
 
+<!--
+Existing clusters that have been upgraded to Kubernetes v1.22 will not be
+subject to this change. The [CVE
+announcement](https://github.com/kubernetes/kubernetes/issues/103675) includes
+guidance for restricting this access in existing clusters.
+
+If you want new clusters to retain this level of access in the aggregated roles,
+you can create the following ClusterRole:
+-->
 升级到 Kubernetes v1.22 版本的现有集群不会包括此变化。
 [CVE 公告](https://github.com/kubernetes/kubernetes/issues/103675)包含了在现有集群里限制此访问权限的指引。
 
@@ -2271,7 +2259,13 @@ you can create the following ClusterRole:
 Clusters that originally ran older Kubernetes versions often used
 permissive ABAC policies, including granting full API access to all
 service accounts.
+-->
+## 从 ABAC 升级 {#upgrading-from-abac}
 
+原来运行较老版本 Kubernetes 的集群通常会使用限制宽松的 ABAC 策略，
+包括授予所有服务帐户全权访问 API 的能力。
+
+<!--
 Default RBAC policies grant scoped permissions to control-plane components, nodes,
 and controllers, but grant *no permissions* to service accounts outside the `kube-system` namespace
 (beyond discovery permissions given to all authenticated users).
@@ -2279,14 +2273,8 @@ and controllers, but grant *no permissions* to service accounts outside the `kub
 While far more secure, this can be disruptive to existing workloads expecting to automatically receive API permissions.
 Here are two approaches for managing this transition:
 -->
-## 从 ABAC 升级 {#upgrading-from-abac}
-
-原来运行较老版本 Kubernetes 的集群通常会使用限制宽松的 ABAC 策略，
-包括授予所有服务帐户全权访问 API 的能力。
-
 默认的 RBAC 策略为控制面组件、节点和控制器等授予有限的权限，但不会为
-`kube-system` 名字空间外的服务账户授权
-（除了授予所有认证用户的发现权限之外）。
+`kube-system` 名字空间外的服务账户授权（除了授予所有认证用户的发现权限之外）。
 
 这样做虽然安全得多，但可能会干扰期望自动获得 API 权限的现有工作负载。
 这里有两种方法来完成这种转换:
@@ -2299,9 +2287,8 @@ the [legacy ABAC policy](/docs/reference/access-authn-authz/abac/#policy-file-fo
 -->
 ### 并行鉴权    {#parallel-authorizers}
 
-同时运行 RBAC 和 ABAC 鉴权模式，并指定包含
-[现有的 ABAC 策略](/zh/docs/reference/access-authn-authz/abac/#policy-file-format)
-的策略文件：
+同时运行 RBAC 和 ABAC 鉴权模式，
+并指定包含[现有的 ABAC 策略](/zh-cn/docs/reference/access-authn-authz/abac/#policy-file-format)的策略文件：
 
 ```shell
 --authorization-mode=...,RBAC,ABAC --authorization-policy-file=mypolicy.json
diff --git a/content/zh-cn/docs/reference/access-authn-authz/service-accounts-admin.md b/content/zh-cn/docs/reference/access-authn-authz/service-accounts-admin.md
index 1fec09b6a95..74af35317df 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/service-accounts-admin.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/service-accounts-admin.md
@@ -17,14 +17,14 @@ weight: 50
 
 <!-- overview -->
 <!--
-This is a Cluster Administrator guide to service accounts. You should be familiar with 
+This is a Cluster Administrator guide to service accounts. You should be familiar with
 [configuring Kubernetes service accounts](/docs/tasks/configure-pod-container/configure-service-account/).
 
 Support for authorization and user accounts is planned but incomplete. Sometimes
 incomplete features are referred to in order to better describe service accounts.
 -->
 这是一篇针对服务账号的集群管理员指南。你应该熟悉
-[配置 Kubernetes 服务账号](/zh/docs/tasks/configure-pod-container/configure-service-account/)。
+[配置 Kubernetes 服务账号](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)。
 
 对鉴权和用户账号的支持已在规划中，当前并不完备。
 为了更好地描述服务账号，有时这些不完善的特性也会被提及。
@@ -56,16 +56,15 @@ Kubernetes 区分用户账号和服务账号的概念，主要基于以下原因
   accounts for components of that system. Because service accounts can be created
   without many constraints and have namespaced names, such config is portable.
 -->
-- 用户账号是针对人而言的。 服务账号是针对运行在 Pod 中的进程而言的。
-- 用户账号是全局性的。其名称跨集群中名字空间唯一的。服务账号是名字空间作用域的。
+- 用户账号是针对人而言的。而服务账号是针对运行在 Pod 中的进程而言的。
+- 用户账号是全局性的。其名称在某集群中的所有名字空间中必须是唯一的。服务账号是名字空间作用域的。
 - 通常情况下，集群的用户账号可能会从企业数据库进行同步，其创建需要特殊权限，
   并且涉及到复杂的业务流程。
-  服务账号创建有意做得更轻量，允许集群用户为了具体的任务创建服务账号 
-  以遵从权限最小化原则。
+  服务账号创建有意做得更轻量，允许集群用户为了具体的任务创建服务账号以遵从权限最小化原则。
 - 对人员和服务账号审计所考虑的因素可能不同。
-- 针对复杂系统的配置包可能包含系统组件相关的各种服务账号的定义。因为服务账号
-  的创建约束不多并且有名字空间域的名称，这种配置是很轻量的。
-
+- 针对复杂系统的配置包可能包含系统组件相关的各种服务账号的定义。
+  因为服务账号的创建约束不多并且有名字空间域的名称，这种配置是很轻量的。
+  
 <!--
 ## Service account automation
 
@@ -77,7 +76,7 @@ Three separate components cooperate to implement the automation around service a
 -->
 ## 服务账号的自动化   {#service-account-automation}
 
-三个独立组件协作完成服务账号相关的自动化：
+以下三个独立组件协作完成服务账号相关的自动化：
 
 - `ServiceAccount` 准入控制器
 - Token 控制器
@@ -95,11 +94,11 @@ It acts synchronously to modify pods as they are created or updated. When this p
 ### ServiceAccount 准入控制器   {#serviceaccount-admission-controller}
 
 对 Pod 的改动通过一个被称为
-[准入控制器](/zh/docs/reference/access-authn-authz/admission-controllers/)
+[准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)
 的插件来实现。它是 API 服务器的一部分。
 当 Pod 被创建或更新时，它会同步地修改 Pod。
-如果该插件处于激活状态（在大多数发行版中都是默认激活的），当 Pod 被创建
-或更新时它会进行以下操作：
+如果该插件处于激活状态（在大多数发行版中都是默认激活的），
+当 Pod 被创建或更新时它会进行以下操作：
 
 <!--
 1. If the pod does not have a `ServiceAccount` set, it sets the `ServiceAccount` to `default`.
@@ -120,9 +119,9 @@ It acts synchronously to modify pods as they are created or updated. When this p
 1. 如果前一步中为服务账号令牌创建了卷，则为 Pod 中的每个容器添加一个
    `volumeSource`，挂载在其 `/var/run/secrets/kubernetes.io/serviceaccount`
    目录下。
-1. 如果 Pod 不包含 `imagePullSecrets` 设置，将 `ServiceAccount` 所引用
-   的服务账号中的 `imagePullSecrets` 信息添加到 Pod 中。
-
+1. 如果 Pod 不包含 `imagePullSecrets` 设置，将 `ServiceAccount`
+   所引用的服务账号中的 `imagePullSecrets` 信息添加到 Pod 中。
+   
 <!--
 #### Bound Service Account Token Volume
 -->
@@ -133,8 +132,8 @@ It acts synchronously to modify pods as they are created or updated. When this p
 <!--
 The ServiceAccount admission controller will add the following projected volume instead of a Secret-based volume for the non-expiring service account token created by Token Controller.
 -->
-ServiceAccount 准入控制器将添加如下投射卷，而不是为令牌控制器
-所生成的不过期的服务账号令牌而创建的基于 Secret 的卷。
+ServiceAccount 准入控制器将添加如下投射卷，
+而不是为令牌控制器所生成的不过期的服务账号令牌而创建的基于 Secret 的卷。
 
 ```yaml
 - name: kube-api-access-<随机后缀>
@@ -161,7 +160,7 @@ ServiceAccount 准入控制器将添加如下投射卷，而不是为令牌控
 This projected volume consists of three sources:
 
 1. A ServiceAccountToken acquired from kube-apiserver via TokenRequest API. It will expire after 1 hour by default or when the pod is deleted. It is bound to the pod and has kube-apiserver as the audience.
-1. A ConfigMap containing a CA bundle used for verifying connections to the kube-apiserver. This feature depends on the `RootCAConfigMap` feature gate, which publishes a "kube-root-ca.crt" ConfigMap to every namespace. `RootCAConfigMap` feature gate is graduated to GA in 1.21 and default to true. (This feature will be removed from --feature-gate arg in 1.22).
+1. A ConfigMap containing a CA bundle used for verifying connections to the kube-apiserver. This feature depends on the `RootCAConfigMap` feature gate, which publishes a "kube-root-ca.crt" ConfigMap to every namespace. `RootCAConfigMap` feature gate is graduated to GA in 1.21 and default to true. (This flag will be removed from --feature-gate arg in 1.22)
 1. A DownwardAPI that references the namespace of the pod.
 -->
 此投射卷有三个数据源：
@@ -179,7 +178,7 @@ This projected volume consists of three sources:
 <!--
 See more details about [projected volumes](/docs/tasks/configure-pod-container/configure-projected-volume-storage/).
 -->
-参阅[投射卷](/zh/docs/tasks/configure-pod-container/configure-projected-volume-storage/)
+参阅[投射卷](/zh-cn/docs/tasks/configure-pod-container/configure-projected-volume-storage/)
 了解进一步的细节。
 
 <!--
@@ -251,7 +250,7 @@ type: kubernetes.io/service-account-token
 ```
 
 ```shell
-kubectl create -f ./secret.json
+kubectl create -f ./secret.yaml
 kubectl describe secret mysecretname
 ```
 
@@ -272,6 +271,6 @@ ensures a ServiceAccount named "default" exists in every active namespace.
 -->
 ### 服务账号控制器   {#serviceaccount-controller}
 
-服务账号控制器管理各名字空间下的 ServiceAccount 对象，并且保证每个活跃的
-名字空间下存在一个名为 "default" 的 ServiceAccount。
+服务账号控制器管理各名字空间下的 ServiceAccount 对象，
+并且保证每个活跃的名字空间下存在一个名为 "default" 的 ServiceAccount。
 
diff --git a/content/zh-cn/docs/reference/access-authn-authz/webhook.md b/content/zh-cn/docs/reference/access-authn-authz/webhook.md
index 29032a7353b..564eee29780 100644
--- a/content/zh-cn/docs/reference/access-authn-authz/webhook.md
+++ b/content/zh-cn/docs/reference/access-authn-authz/webhook.md
@@ -15,13 +15,16 @@ weight: 95
 -->
 
 <!-- overview -->
+
 <!--
 A WebHook is an HTTP callback: an HTTP POST that occurs when something happens; a simple event-notification via HTTP POST. A web application implementing WebHooks will POST a message to a URL when certain things happen.
 -->
-WebHook 是一种 HTTP 回调：某些条件下触发的 HTTP POST 请求；通过 HTTP POST 发送的简单事件通知。一个基于 web 应用实现的 WebHook 会在特定事件发生时把消息发送给特定的 URL。
+WebHook 是一种 HTTP 回调：某些条件下触发的 HTTP POST 请求；通过 HTTP POST
+发送的简单事件通知。一个基于 web 应用实现的 WebHook 会在特定事件发生时把消息发送给特定的 URL。
 
 
 <!-- body -->
+
 <!--
 When specified, mode `Webhook` causes Kubernetes to query an outside REST
 service when determining user privileges.
@@ -37,14 +40,16 @@ service when determining user privileges.
 Mode `Webhook` requires a file for HTTP configuration, specify by the
 `--authorization-webhook-config-file=SOME_FILENAME` flag.
 -->
-`Webhook` 模式需要一个 HTTP 配置文件，通过 `--authorization-webhook-config-file=SOME_FILENAME` 的参数声明。
+`Webhook` 模式需要一个 HTTP 配置文件，通过
+`--authorization-webhook-config-file=SOME_FILENAME` 的参数声明。
 
 <!--
 The configuration file uses the [kubeconfig](/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
 file format. Within the file "users" refers to the API Server webhook and
 "clusters" refers to the remote service.
 -->
-配置文件的格式使用 [kubeconfig](/zh/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)。
+配置文件的格式使用
+[kubeconfig](/zh-cn/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)。
 在该文件中，“users” 代表着 API 服务器的 webhook，而 “cluster” 代表着远程服务。
 
 <!--
@@ -135,7 +140,8 @@ compatibility promises for beta objects and check the "apiVersion" field of the
 request to ensure correct deserialization. Additionally, the API Server must
 enable the `authorization.k8s.io/v1beta1` API extensions group (`--runtime-config=authorization.k8s.io/v1beta1=true`).
 -->
-需要注意的是 webhook API 对象与其他 Kubernetes API 对象一样都同样都遵从[版本兼容规则](/zh/docs/concepts/overview/kubernetes-api/)。
+需要注意的是 webhook API 对象与其他 Kubernetes API
+对象一样都同样都遵从[版本兼容规则](/zh-cn/docs/concepts/overview/kubernetes-api/)。
 实施人员应该了解 beta 对象的更宽松的兼容性承诺，同时确认请求的 "apiVersion" 字段能被正确地反序列化。
 此外，API 服务器还必须启用 `authorization.k8s.io/v1beta1` API 扩展组 (`--runtime-config=authorization.k8s.io/v1beta1=true`)。
 
@@ -267,5 +273,6 @@ to the REST api.
 For further documentation refer to the authorization.v1beta1 API objects and
 [webhook.go](https://github.com/kubernetes/kubernetes/blob/master/staging/src/k8s.io/apiserver/plugin/pkg/authorizer/webhook/webhook.go).
 -->
-更多信息可以参考 authorization.v1beta1 API 对象和 [webhook.go](https://github.com/kubernetes/kubernetes/blob/master/staging/src/k8s.io/apiserver/plugin/pkg/authorizer/webhook/webhook.go)。
+更多信息可以参考 authorization.v1beta1 API 对象和
+[webhook.go](https://github.com/kubernetes/kubernetes/blob/master/staging/src/k8s.io/apiserver/plugin/pkg/authorizer/webhook/webhook.go)。
 
diff --git a/content/zh-cn/docs/reference/command-line-tools-reference/feature-gates.md b/content/zh-cn/docs/reference/command-line-tools-reference/feature-gates.md
index 4b7197fc603..5957e2f7792 100644
--- a/content/zh-cn/docs/reference/command-line-tools-reference/feature-gates.md
+++ b/content/zh-cn/docs/reference/command-line-tools-reference/feature-gates.md
@@ -36,10 +36,10 @@ Feature gates are a set of key=value pairs that describe Kubernetes features.
 You can turn these features on or off using the `--feature-gates` command line flag
 on each Kubernetes component.
 -->
-## 概述
+## 概述 {#overview}
 
 特性门控是描述 Kubernetes 特性的一组键值对。你可以在 Kubernetes 的各个组件中使用
-`--feature-gates` flag 来启用或禁用这些特性。
+`--feature-gates` 标志来启用或禁用这些特性。
 
 <!--
 Each Kubernetes component lets you enable or disable a set of feature gates that
@@ -54,7 +54,7 @@ flag assigned to a list of feature pairs:
 传递一个特性设置键值对列表：
 
 ```shell
---feature-gates="...,GracefulNodeShutdown=true"
+--feature-gates=...,GracefulNodeShutdown=true
 ```
 
 <!--
@@ -624,9 +624,9 @@ A feature can be in *Alpha*, *Beta* or *GA* stage.
 An *Alpha* feature means:
 -->
 
-处于 *Alpha* 、*Beta* 、 *GA* 阶段的特性。
+处于 **Alpha** 、**Beta** 、 **GA** 阶段的特性。
 
-*Alpha* 特性代表：
+**Alpha** 特性代表：
 
 <!--
 * Disabled by default.
@@ -645,7 +645,7 @@ An *Alpha* feature means:
 <!--
 A *Beta* feature means:
 -->
-*Beta* 特性代表：
+**Beta** 特性代表：
 
 <!--
 * Enabled by default.
@@ -671,14 +671,14 @@ A *Beta* feature means:
 Please do try *Beta* features and give feedback on them!
 After they exit beta, it may not be practical for us to make more changes.
 -->
-请试用 *Beta* 特性并提供相关反馈！
+请试用 **Beta** 特性并提供相关反馈！
 一旦特性结束 Beta 状态，我们就不太可能再对特性进行大幅修改。
 {{< /note >}}
 
 <!--
 A *General Availability* (GA) feature is also referred to as a *stable* feature. It means:
 -->
-*General Availability* (GA) 特性也称为 *稳定* 特性，*GA* 特性代表着：
+**General Availability** (GA) 特性也称为 **稳定** 特性，**GA** 特性代表着：
 
 <!--
 * The feature is always enabled; you cannot disable it.
@@ -695,7 +695,7 @@ A *General Availability* (GA) feature is also referred to as a *stable* feature.
 Each feature gate is designed for enabling/disabling a specific feature:
 -->
 
-### 特性门控列表
+### 特性门控列表 {#feature-gates}
 
 每个特性门控均用于启用或禁用某个特定的特性：
 
@@ -726,47 +726,50 @@ Each feature gate is designed for enabling/disabling a specific feature:
   kubelets on Pod log requests.
 - `AnyVolumeDataSource`: Enable use of any custom resource as the `DataSource` of a
   {{< glossary_tooltip text="PVC" term_id="persistent-volume-claim" >}}.
-- `AppArmor`: Enable AppArmor based mandatory access control for Pods running on Linux nodes.
-   See [AppArmor Tutorial](/docs/tutorials/security/apparmor/) for more details.
+- `AppArmor`: Enable use of AppArmor mandatory access control for Pods running on Linux nodes.
+  See [AppArmor Tutorial](/docs/tutorials/security/apparmor/) for more details.
 -->
 - `Accelerators`：使用 Docker Engine 时启用 Nvidia GPU 支持。这一特性不再提供。
-  关于替代方案，请参阅[设备插件](/zh/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)。
-- `AdvancedAuditing`：启用[高级审计功能](/zh/docs/tasks/debug/debug-cluster/audit/#advanced-audit)。
-- `AffinityInAnnotations`：启用 [Pod 亲和或反亲和](/zh/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity)。
+  关于替代方案，请参阅[设备插件](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)。
+- `AdvancedAuditing`：启用[高级审计功能](/zh-cn/docs/tasks/debug/debug-cluster/audit/#advanced-audit)。
+- `AffinityInAnnotations`：启用 [Pod 亲和或反亲和](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity)。
 - `AllowExtTrafficLocalEndpoints`：启用服务用于将外部请求路由到节点本地终端。
 - `AllowInsecureBackendProxy`：允许用户在执行 Pod 日志访问请求时跳过 TLS 验证。
 - `AnyVolumeDataSource`: 允许使用任何自定义的资源来做作为
   {{< glossary_tooltip text="PVC" term_id="persistent-volume-claim" >}} 中的 `DataSource`.
-- `AppArmor`：在 Linux 节点上为 Pod 启用基于 AppArmor 机制的强制访问控制。
-  请参见 [AppArmor 教程](/zh/docs/tutorials/security/apparmor/) 获取详细信息。
+- `AppArmor`：在 Linux 节点上为 Pod 启用 AppArmor 机制的强制访问控制。
+  请参见 [AppArmor 教程](/zh-cn/docs/tutorials/security/apparmor/)获取详细信息。
 <!--
 - `AttachVolumeLimit`: Enable volume plugins to report limits on number of volumes
   that can be attached to a node.
-  See [dynamic volume limits](/docs/concepts/storage/storage-limits/#dynamic-volume-limits) for more details.
-- `BalanceAttachedNodeVolumes`: Include volume count on node to be considered for balanced resource allocation
-  while scheduling. A node which has closer CPU, memory utilization, and volume count is favored by the scheduler
-  while making decisions.
+  See [dynamic volume limits](/docs/concepts/storage/storage-limits/#dynamic-volume-limits)
+  for more details.
+- `BalanceAttachedNodeVolumes`: Include volume count on node to be considered for
+  balanced resource allocation while scheduling. A node which has closer CPU,
+  memory utilization, and volume count is favored by the scheduler while making decisions.
 - `BlockVolume`: Enable the definition and consumption of raw block devices in Pods.
   See [Raw Block Volume Support](/docs/concepts/storage/persistent-volumes/#raw-block-volume-support)
-   for more details.
-- `BoundServiceAccountTokenVolume`: Migrate ServiceAccount volumes to use a projected volume consisting of a
-  ServiceAccountTokenVolumeProjection. Cluster admins can use metric `serviceaccount_stale_tokens_total` to
-  monitor workloads that are depending on the extended tokens. If there are no such workloads, turn off
-  extended tokens by starting `kube-apiserver` with flag `--service-account-extend-token-expiration=false`.
+  for more details.
+- `BoundServiceAccountTokenVolume`: Migrate ServiceAccount volumes to use a projected volume
+  consisting of a ServiceAccountTokenVolumeProjection. Cluster admins can use metric
+  `serviceaccount_stale_tokens_total` to monitor workloads that are depending on the extended
+  tokens. If there are no such workloads, turn off extended tokens by starting `kube-apiserver` with
+  flag `--service-account-extend-token-expiration=false`.
   Check [Bound Service Account Tokens](https://github.com/kubernetes/enhancements/blob/master/keps/sig-auth/1205-bound-service-account-tokens/README.md)
   for more details.
 - `ControllerManagerLeaderMigration`: Enables Leader Migration for
   [kube-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#initial-leader-migration-configuration) and
-  [cloud-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager) which allows a cluster operator to live migrate
+  [cloud-controller-manager](/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager)
+  which allows a cluster operator to live migrate
   controllers from the kube-controller-manager into an external controller-manager
   (e.g. the cloud-controller-manager) in an HA cluster without downtime.
 -->
 - `AttachVolumeLimit`：启用卷插件用于报告可连接到节点的卷数限制。有关更多详细信息，请参阅
-  [动态卷限制](/zh/docs/concepts/storage/storage-limits/#dynamic-volume-limits)。
+  [动态卷限制](/zh-cn/docs/concepts/storage/storage-limits/#dynamic-volume-limits)。
 - `BalanceAttachedNodeVolumes`：在进行平衡资源分配的调度时，考虑节点上的卷数。
   调度器在决策时会优先考虑 CPU、内存利用率和卷数更近的节点。
 - `BlockVolume`：在 Pod 中启用原始块设备的定义和使用。有关更多详细信息，请参见
-  [原始块卷支持](/zh/docs/concepts/storage/persistent-volumes/#raw-block-volume-support)。
+  [原始块卷支持](/zh-cn/docs/concepts/storage/persistent-volumes/#raw-block-volume-support)。
 - `BoundServiceAccountTokenVolume`：迁移 ServiceAccount 卷以使用由
   ServiceAccountTokenVolumeProjection 组成的投射卷。集群管理员可以使用
   `serviceaccount_stale_tokens_total` 度量值来监控依赖于扩展令牌的负载。
@@ -775,23 +778,25 @@ Each feature gate is designed for enabling/disabling a specific feature:
   [绑定服务账号令牌](https://github.com/kubernetes/enhancements/blob/master/keps/sig-auth/1205-bound-service-account-tokens/README.md)
   获取更多详细信息。
 - `ControllerManagerLeaderMigration`: 为 
-  [kube-controller-manager](/zh/docs/tasks/administer-cluster/controller-manager-leader-migration/#initial-leader-migration-configuration) 和 
-  [cloud-controller-manager](/zh/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager) 
+  [kube-controller-manager](/zh-cn/docs/tasks/administer-cluster/controller-manager-leader-migration/#initial-leader-migration-configuration) 和 
+  [cloud-controller-manager](/zh-cn/docs/tasks/administer-cluster/controller-manager-leader-migration/#deploy-cloud-controller-manager) 
   启用 Leader 迁移，它允许集群管理者在没有停机的高可用集群环境下，实时
   把 kube-controller-manager 迁移迁移到外部的 controller-manager (例如 cloud-controller-manager) 中。
 <!--
 - `CPUManager`: Enable container level CPU affinity support, see
   [CPU Management Policies](/docs/tasks/administer-cluster/cpu-management-policies/).
-- `CPUManagerPolicyAlphaOptions`: This allows fine-tuning of CPUManager policies, experimental, Alpha-quality options
+- `CPUManagerPolicyAlphaOptions`: This allows fine-tuning of CPUManager policies,
+  experimental, Alpha-quality options
   This feature gate guards *a group* of CPUManager options whose quality level is alpha.
   This feature gate will never graduate to beta or stable.
-- `CPUManagerPolicyBetaOptions`: This allows fine-tuning of CPUManager policies, experimental, Beta-quality options
+- `CPUManagerPolicyBetaOptions`: This allows fine-tuning of CPUManager policies,
+  experimental, Beta-quality options
   This feature gate guards *a group* of CPUManager options whose quality level is beta.
   This feature gate will never graduate to stable.
 - `CPUManagerPolicyOptions`: Allow fine-tuning of CPUManager policies.
 -->
 - `CPUManager`：启用容器级别的 CPU 亲和性支持，有关更多详细信息，请参见
-  [CPU 管理策略](/zh/docs/tasks/administer-cluster/cpu-management-policies/)。
+  [CPU 管理策略](/zh-cn/docs/tasks/administer-cluster/cpu-management-policies/)。
 - `CPUManagerPolicyAlphaOptions`：允许对 CPUManager 策略进行微调，针对试验性的、
   alpha 质量级别的选项。
   此特性门控用来保护一组质量级别为 alpha 的 CPUManager 选项。
@@ -802,12 +807,15 @@ Each feature gate is designed for enabling/disabling a specific feature:
   此特性门控永远不会被升级为稳定版本。
 - `CPUManagerPolicyOptions`: 允许微调 CPU 管理策略。
 <!--
-- `CRIContainerLogRotation`: Enable container log rotation for CRI container runtime. The default max size of a log file is 10MB and the
-  default max number of log files allowed for a container is 5. These values can be configured in the kubelet config.
-  See the [logging at node level](/docs/concepts/cluster-administration/logging/#logging-at-the-node-level) documentation for more details.
+- `CRIContainerLogRotation`: Enable container log rotation for CRI container runtime.
+  The default max size of a log file is 10MB and the default max number of
+  log files allowed for a container is 5.
+  These values can be configured in the kubelet config.
+  See [logging at node level](/docs/concepts/cluster-administration/logging/#logging-at-the-node-level)
+  for more details.
 - `CSIBlockVolume`: Enable external CSI volume drivers to support block storage.
-  See the [`csi` raw block volume support](/docs/concepts/storage/volumes/#csi-raw-block-volume-support)
-  documentation for more details.
+  See [`csi` raw block volume support](/docs/concepts/storage/volumes/#csi-raw-block-volume-support)
+  for more details.
 - `CSIDriverRegistry`: Enable all logic related to the CSIDriver API object in
   csi.storage.k8s.io.
 - `CSIInlineVolume`: Enable CSI Inline volumes support for pods.
@@ -816,9 +824,9 @@ Each feature gate is designed for enabling/disabling a specific feature:
 -->
 - `CRIContainerLogRotation`：为 CRI 容器运行时启用容器日志轮换。日志文件的默认最大大小为
   10MB，缺省情况下，一个容器允许的最大日志文件数为5。这些值可以在kubelet配置中配置。
-    更多细节请参见 [日志架构](/zh/docs/concepts/cluster-administration/logging/#logging-at-the-node-level)。
+  更多细节请参见[日志架构](/zh-cn/docs/concepts/cluster-administration/logging/#logging-at-the-node-level)。
 - `CSIBlockVolume`：启用外部 CSI 卷驱动程序用于支持块存储。有关更多详细信息，请参见
-  [`csi` 原始块卷支持](/zh/docs/concepts/storage/volumes/#csi-raw-block-volume-support)。
+  [`csi` 原始块卷支持](/zh-cn/docs/concepts/storage/volumes/#csi-raw-block-volume-support)。
 - `CSIDriverRegistry`：在 csi.storage.k8s.io 中启用与 CSIDriver API 对象有关的所有逻辑。
 - `CSIInlineVolume`：为 Pod 启用 CSI 内联卷支持。
 - `CSIMigration`：确保封装和转换逻辑能够将卷操作从内嵌插件路由到相应的预安装 CSI 插件。
@@ -859,8 +867,8 @@ Each feature gate is designed for enabling/disabling a specific feature:
   AzureDisk CSI plugin. Requires CSIMigration and CSIMigrationAzureDisk feature
   flags enabled and AzureDisk CSI plugin installed and configured on all nodes
   in the cluster. This flag has been deprecated in favor of the
-  `InTreePluginAzureFileUnregister` feature flag which prevents the registration
-   of in-tree AzureFile plugin.
+  `InTreePluginAzureDiskUnregister` feature flag which prevents the registration
+  of in-tree AzureDisk plugin.
 -->
 - `CSIMigrationAzureDisk`：确保填充和转换逻辑能够将卷操作从 AzureDisk 内嵌插件路由到
   Azure 磁盘 CSI 插件。对于禁用了此特性的节点或者没有安装并配置 AzureDisk CSI
@@ -886,7 +894,8 @@ Each feature gate is designed for enabling/disabling a specific feature:
   AzureFile CSI plugin. Requires CSIMigration and CSIMigrationAzureFile feature
   flags  enabled and AzureFile CSI plugin installed and configured on all nodes
   in the cluster. This flag has been deprecated in favor of the
-  `InTreePluginAzureFileUnregister` feature flag which prevents the registration of in-tree AzureFile plugin.
+  `InTreePluginAzureFileUnregister` feature flag which prevents the registration
+   of in-tree AzureFile plugin.
 -->
 - `CSIMigrationAzureFile`：确保封装和转换逻辑能够将卷操作从 AzureFile 内嵌插件路由到
   AzureFile CSI 插件。对于禁用了此特性的节点或者没有安装并配置 AzureFile CSI
@@ -911,7 +920,8 @@ Each feature gate is designed for enabling/disabling a specific feature:
   route volume operations from the GCE-PD in-tree plugin to PD CSI plugin.
   Requires CSIMigration and CSIMigrationGCE feature flags enabled and PD CSI
   plugin installed and configured on all nodes in the cluster. This flag has
-  been deprecated in favor of the `InTreePluginGCEUnregister` feature flag which prevents the registration of in-tree GCE PD plugin.
+  been deprecated in favor of the `InTreePluginGCEUnregister` feature flag which
+  prevents the registration of in-tree GCE PD plugin.
 -->
 - `CSIMigrationGCE`：启用填充和转换逻辑，将卷操作从 GCE-PD 内嵌插件路由到
   PD CSI 插件。对于禁用了此特性的节点或者没有安装并配置 PD CSI 插件的节点，
@@ -924,19 +934,6 @@ Each feature gate is designed for enabling/disabling a specific feature:
   安装和配置 PD CSI 插件。该特性标志已被废弃，取而代之的是
   能防止注册内嵌 GCE PD 插件的 `InTreePluginGCEUnregister` 特性标志。
 <!--
-- `csiMigrationRBD`: Enables shims and translation logic to route volume
-  operations from the RBD in-tree plugin to Ceph RBD CSI plugin. Requires
-  CSIMigration and csiMigrationRBD feature flags enabled and Ceph CSI plugin
-  installed and configured in the cluster. This flag has been deprecated in
-  favor of the
-  `InTreePluginRBDUnregister` feature flag which prevents the registration of
-  in-tree RBD plugin.
--->
-- `csiMigrationRBD`：启用填充和转换逻辑，将卷操作从 RBD 的内嵌插件路由到 Ceph RBD
-  CSI 插件。此特性要求 CSIMigration 和 csiMigrationRBD 特性标志均被启用，
-  且集群中安装并配置了 Ceph CSI 插件。此标志已被弃用，以鼓励使用
-  `InTreePluginRBDUnregister` 特性标志。后者会禁止注册内嵌的 RBD 插件。
-<!--
 - `CSIMigrationOpenStack`: Enables shims and translation logic to route volume
   operations from the Cinder in-tree plugin to Cinder CSI plugin. Supports
   falling back to in-tree Cinder plugin for mount operations to nodes that have
@@ -949,7 +946,8 @@ Each feature gate is designed for enabling/disabling a specific feature:
   volume operations from the Cinder in-tree plugin to Cinder CSI plugin.
   Requires CSIMigration and CSIMigrationOpenStack feature flags enabled and Cinder
   CSI plugin installed and configured on all nodes in the cluster. This flag has
-  been deprecated in favor of the `InTreePluginOpenStackUnregister` feature flag which prevents the registration of in-tree openstack cinder plugin.
+  been deprecated in favor of the `InTreePluginOpenStackUnregister` feature flag
+  which prevents the registration of in-tree openstack cinder plugin.
 -->
 - `CSIMigrationOpenStack`：确保填充和转换逻辑能够将卷操作从 Cinder 内嵌插件路由到
   Cinder CSI 插件。对于禁用了此特性的节点或者没有安装并配置 Cinder CSI 插件的节点，
@@ -962,6 +960,18 @@ Each feature gate is designed for enabling/disabling a specific feature:
   安装和配置 Cinder CSI 插件。该特性标志已被弃用，取而代之的是
   能防止注册内嵌 OpenStack Cinder 插件的 `InTreePluginOpenStackUnregister` 特性标志。
 <!--
+- `csiMigrationRBD`: Enables shims and translation logic to route volume
+  operations from the RBD in-tree plugin to Ceph RBD CSI plugin. Requires
+  CSIMigration and csiMigrationRBD feature flags enabled and Ceph CSI plugin
+  installed and configured in the cluster. This flag has been deprecated in
+  favor of the `InTreePluginRBDUnregister` feature flag which prevents the registration of
+  in-tree RBD plugin.
+-->
+- `csiMigrationRBD`：启用填充和转换逻辑，将卷操作从 RBD 的内嵌插件路由到 Ceph RBD
+  CSI 插件。此特性要求 CSIMigration 和 csiMigrationRBD 特性标志均被启用，
+  且集群中安装并配置了 Ceph CSI 插件。此标志已被弃用，以鼓励使用
+  `InTreePluginRBDUnregister` 特性标志。后者会禁止注册内嵌的 RBD 插件。
+<!--
 - `CSIMigrationvSphere`: Enables shims and translation logic to route volume operations
   from the vSphere in-tree plugin to vSphere CSI plugin. Supports falling back
   to in-tree vSphere plugin for mount operations to nodes that have the feature
@@ -974,7 +984,8 @@ Each feature gate is designed for enabling/disabling a specific feature:
   from the vSphere in-tree plugin to vSphere CSI plugin. Requires CSIMigration and
   CSIMigrationvSphere feature flags enabled and vSphere CSI plugin installed and
   configured on all nodes in the cluster. This flag has been deprecated in favor
-  of the `InTreePluginvSphereUnregister` feature flag which prevents the registration of in-tree vsphere plugin.
+  of the `InTreePluginvSphereUnregister` feature flag which prevents the
+  registration of in-tree vsphere plugin.
 -->
 - `CSIMigrationvSphere`: 允许封装和转换逻辑将卷操作从 vSphere 内嵌插件路由到
   vSphere CSI 插件。如果节点禁用了此特性门控或者未安装和配置 vSphere CSI 插件，
@@ -989,15 +1000,14 @@ Each feature gate is designed for enabling/disabling a specific feature:
 <!--
 - `CSIMigrationPortworx`: Enables shims and translation logic to route volume operations
   from the Portworx in-tree plugin to Portworx CSI plugin.
-  Requires Portworx CSI driver to be installed and configured in the cluster, and feature gate set `CSIMigrationPortworx=true` in kube-controller-manager and kubelet configs.
+  Requires Portworx CSI driver to be installed and configured in the cluster.
 -->
 - `CSIMigrationPortworx`：启用填充和转换逻辑，将卷操作从 Portworx 内嵌插件路由到
-  Portworx CSI 插件。需要在集群中安装并配置 Portworx CSI 插件，并针对 kube-controller-manager
-  和 kubelet 配置启用特性门控 `CSIMigrationPortworx=true`。
+  Portworx CSI 插件。需要在集群中安装并配置 Portworx CSI 插件.
 <!--
-- `CSINodeInfo`: Enable all logic related to the CSINodeInfo API object in csi.storage.k8s.io.
+- `CSINodeInfo`: Enable all logic related to the CSINodeInfo API object in `csi.storage.k8s.io`.
 - `CSIPersistentVolume`: Enable discovering and mounting volumes provisioned through a
-  [CSI (Container Storage Interface)](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/storage/container-storage-interface.md)
+  [CSI (Container Storage Interface)](https://git.k8s.io/design-proposals-archive/storage/container-storage-interface.md)
   compatible volume plugin.
 - `CSIServiceAccountToken`: Enable CSI drivers to receive the pods' service account token
   that they mount volumes for. See
@@ -1007,16 +1017,16 @@ Each feature gate is designed for enabling/disabling a specific feature:
   [Storage Capacity](/docs/concepts/storage/storage-capacity/).
   Check the [`csi` volume type](/docs/concepts/storage/volumes/#csi) documentation for more details.
 -->
-- `CSINodeInfo`：在 csi.storage.k8s.io 中启用与 CSINodeInfo API 对象有关的所有逻辑。
+- `CSINodeInfo`：在 `csi.storage.k8s.io` 中启用与 CSINodeInfo API 对象有关的所有逻辑。
 - `CSIPersistentVolume`：启用发现和挂载通过
-  [CSI（容器存储接口）](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/storage/container-storage-interface.md)
+  [CSI（容器存储接口）](https://git.k8s.io/design-proposals-archive/storage/container-storage-interface.md)
   兼容卷插件配置的卷。
 - `CSIServiceAccountToken`: 允许 CSI 驱动接收挂载卷目标 Pods 的服务账户令牌。
   参阅[令牌请求（Token Requests）](https://kubernetes-csi.github.io/docs/token-requests.html)。
 - `CSIStorageCapacity`: 使 CSI 驱动程序可以发布存储容量信息，并使 Kubernetes
   调度程序在调度 Pod 时使用该信息。参见
-  [存储容量](/zh/docs/concepts/storage/storage-capacity/)。
-  详情请参见 [`csi` 卷类型](/zh/docs/concepts/storage/volumes/#csi)。
+  [存储容量](/zh-cn/docs/concepts/storage/storage-capacity/)。
+  详情请参见 [`csi` 卷类型](/zh-cn/docs/concepts/storage/volumes/#csi)。
 <!--
 - `CSIVolumeFSGroupPolicy`: Allows CSIDrivers to use the `fsGroupPolicy` field.
   This field controls whether volumes created by a CSIDriver support volume ownership
@@ -1029,7 +1039,7 @@ Each feature gate is designed for enabling/disabling a specific feature:
   [Configure volume permission and ownership change policy for Pods](/docs/tasks/configure-pod-container/security-context/#configure-volume-permission-and-ownership-change-policy-for-pods)
   for more details.
 - `ContextualLogging`: When you enable this feature gate, Kubernetes components that support
-  contextual logging add extra detail to log output.
+   contextual logging add extra detail to log output.
 - `ControllerManagerLeaderMigration`: Enables leader migration for
   `kube-controller-manager` and `cloud-controller-manager`.
 - `CronJobControllerV2`: Use an alternative implementation of the
@@ -1043,30 +1053,32 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `CSRDuration`：允许客户端来通过请求 Kubernetes CSR API 签署的证书的持续时间。
 - `ConfigurableFSGroupPolicy`：在 Pod 中挂载卷时，允许用户为 fsGroup
   配置卷访问权限和属主变更策略。请参见
-  [为 Pod 配置卷访问权限和属主变更策略](/zh/docs/tasks/configure-pod-container/security-context/#configure-volume-permission-and-ownership-change-policy-for-pods)。
+  [为 Pod 配置卷访问权限和属主变更策略](/zh-cn/docs/tasks/configure-pod-container/security-context/#configure-volume-permission-and-ownership-change-policy-for-pods)。
 - `ContextualLogging`：当你启用这个特性门控，支持日志上下文记录的 Kubernetes
   组件会为日志输出添加额外的详细内容。
 - `ControllerManagerLeaderMigration`：为 `kube-controller-manager` 和 `cloud-controller-manager`
   开启领导者迁移功能。
 - `CronJobControllerV2`：使用 {{< glossary_tooltip text="CronJob" term_id="cronjob" >}}
   控制器的一种替代实现。否则，系统会选择同一控制器的 v1 版本。
-- `CronJobTimeZone`：允许在 [CronJobs](/zh/docs/concepts/workloads/controllers/cron-jobs/) 中使用 `timeZone` 可选字段。
+- `CronJobTimeZone`：允许在 [CronJobs](/zh-cn/docs/concepts/workloads/controllers/cron-jobs/) 中使用 `timeZone` 可选字段。
 <!--
 - `CustomCPUCFSQuotaPeriod`: Enable nodes to change `cpuCFSQuotaPeriod` in
   [kubelet config](/docs/tasks/administer-cluster/kubelet-config-file/).
-- `CustomResourceValidationExpressions`: Enable expression language validation in CRD which will validate customer resource based on validation rules written in `x-kubernetes-validations` extension.
+- `CustomResourceValidationExpressions`: Enable expression language validation in CRD
+  which will validate customer resource based on validation rules written in
+  the `x-kubernetes-validations` extension.
 - `CustomPodDNS`: Enable customizing the DNS settings for a Pod using its `dnsConfig` property.
-   Check [Pod's DNS Config](/docs/concepts/services-networking/dns-pod-service/#pods-dns-config)
-   for more details.
+  Check [Pod's DNS Config](/docs/concepts/services-networking/dns-pod-service/#pods-dns-config)
+  for more details.
 -->
 - `CustomCPUCFSQuotaPeriod`：使节点能够更改
-  [kubelet 配置](/zh/docs/tasks/administer-cluster/kubelet-config-file/)
+  [kubelet 配置](/zh-cn/docs/tasks/administer-cluster/kubelet-config-file/)
   中的 `cpuCFSQuotaPeriod`。
 - `CustomResourceValidationExpressions`：启用 CRD 中的表达式语言合法性检查，
   基于 `x-kubernetes-validations` 扩展中所书写的合法性检查规则来验证定制资源。
 - `CustomPodDNS`：允许使用 Pod 的 `dnsConfig` 属性自定义其 DNS 设置。
   更多详细信息，请参见
-  [Pod 的 DNS 配置](/zh/docs/concepts/services-networking/dns-pod-service/#pods-dns-config)。
+  [Pod 的 DNS 配置](/zh-cn/docs/concepts/services-networking/dns-pod-service/#pods-dns-config)。
 <!--
 - `CustomResourceDefaulting`: Enable CRD support for default values in OpenAPI v3 validation schemas.
 - `CustomResourcePublishOpenAPI`: Enables publishing of CRD OpenAPI specs.
@@ -1083,19 +1095,19 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `CustomResourceDefaulting`：为 CRD 启用在其 OpenAPI v3 验证模式中提供默认值的支持。
 - `CustomResourcePublishOpenAPI`：启用 CRD OpenAPI 规范的发布。
 - `CustomResourceSubresources`：对于用
-  [CustomResourceDefinition](/zh/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
+  [CustomResourceDefinition](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
   创建的资源启用其 `/status` 和 `/scale` 子资源。
 - `CustomResourceValidation`：对于用
-  [CustomResourceDefinition](/zh/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
+  [CustomResourceDefinition](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
   创建的资源启用基于模式的验证。
 - `CustomResourceWebhookConversion`：对于用
-  [CustomResourceDefinition](/zh/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
+  [CustomResourceDefinition](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
   创建的资源启用基于 Webhook 的转换。
 - `DaemonSetUpdateSurge`: 使 DaemonSet 工作负载在每个节点的更新期间保持可用性。
-  参阅[对 DaemonSet 执行滚动更新](/zh/docs/tasks/manage-daemon/update-daemon-set/)。
+  参阅[对 DaemonSet 执行滚动更新](/zh-cn/docs/tasks/manage-daemon/update-daemon-set/)。
 <!--
 - `DefaultPodTopologySpread`: Enables the use of `PodTopologySpread` scheduling plugin to do
-  [default spreading](/docs/concepts/workloads/pods/pod-topology-spread-constraints/#internal-default-constraints).
+  [default spreading](/docs/concepts/scheduling-eviction/topology-spread-constraints/#internal-default-constraints).
 - `DelegateFSGroupToCSIDriver`: If supported by the CSI driver, delegates the
   role of applying `fsGroup` from a Pod's `securityContext` to the driver by
   passing `fsGroup` through the NodeStageVolume and NodePublishVolume CSI calls.
@@ -1105,15 +1117,15 @@ Each feature gate is designed for enabling/disabling a specific feature:
   [Disable accelerator metrics collected by the kubelet](/docs/concepts/cluster-administration/system-metrics/#disable-accelerator-metrics).
 -->
 - `DefaultPodTopologySpread`: 启用 `PodTopologySpread` 调度插件来完成
-  [默认的调度传播](/zh/docs/concepts/workloads/pods/pod-topology-spread-constraints/#internal-default-constraints).
+  [默认的调度传播](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/#internal-default-constraints).
 - `DelegateFSGroupToCSIDriver`: 如果 CSI 驱动程序支持，则通过 NodeStageVolume 和
   NodePublishVolume CSI 调用传递 `fsGroup` ，将应用 `fsGroup` 从 Pod 的
   `securityContext` 的角色委托给驱动。
 - `DevicePlugins`：在节点上启用基于
-  [设备插件](/zh/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)
+  [设备插件](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/)
   的资源制备。
 - `DisableAcceleratorUsageMetrics`： 
-  [禁用 kubelet 收集加速器指标](/zh/docs/concepts/cluster-administration/system-metrics/#disable-accelerator-metrics).
+  [禁用 kubelet 收集加速器指标](/zh-cn/docs/concepts/cluster-administration/system-metrics/#disable-accelerator-metrics).
 <!--
 - `DisableCloudProviders`: Disables any functionality in `kube-apiserver`,
   `kube-controller-manager` and `kubelet` related to the `--cloud-provider`
@@ -1131,10 +1143,10 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `DisableKubeletCloudCredentialProviders`：禁用 kubelet 中为拉取镜像内置的凭据机制，
   该凭据用于向某云提供商的容器镜像仓库执行身份认证。
 - `DownwardAPIHugePages`：允许在
-  [下行（Downward）API](/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information)
+  [下行（Downward）API](/zh-cn/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information)
   中使用巨页信息。
 - `DryRun`：启用在服务器端对请求进行
-  [试运行（Dry Run）](/zh/docs/reference/using-api/api-concepts/#dry-run)，
+  [试运行（Dry Run）](/zh-cn/docs/reference/using-api/api-concepts/#dry-run)，
   以便测试验证、合并和修改，同时避免提交更改。
 - `DynamicAuditing`：在 v1.19 版本前用于启用动态审计。
 <!--
@@ -1154,11 +1166,11 @@ Each feature gate is designed for enabling/disabling a specific feature:
 -->
 - `DynamicKubeletConfig`：启用 kubelet 的动态配置。
   除偏差策略场景外，不再支持该功能。该特性门控在 kubelet 1.24 版本中已被移除。
-  请参阅[重新配置 kubelet](/zh/docs/tasks/administer-cluster/reconfigure-kubelet/)。
+  请参阅[重新配置 kubelet](/zh-cn/docs/tasks/administer-cluster/reconfigure-kubelet/)。
 - `DynamicProvisioningScheduling`：扩展默认调度器以了解卷拓扑并处理 PV 配置。
   此特性已在 v1.12 中完全被 `VolumeScheduling` 特性取代。
 - `DynamicVolumeProvisioning`：启用持久化卷到 Pod
-  的[动态预配置](/zh/docs/concepts/storage/dynamic-provisioning/)。
+  的[动态预配置](/zh-cn/docs/concepts/storage/dynamic-provisioning/)。
 - `EfficientWatchResumption`：允许从存储发起的 bookmark（进度通知）事件被通知到用户。
   此特性仅适用于 watch 操作。
 - `EnableAggregatedDiscoveryTimeout`：对聚集的发现调用启用五秒钟超时设置。
@@ -1177,11 +1189,11 @@ Each feature gate is designed for enabling/disabling a specific feature:
 -->
 - `EnableEquivalenceClassCache`：调度 Pod 时，使 scheduler 缓存节点的等效项。
 - `EndpointSlice`：启用 EndpointSlice 以实现可扩缩性和可扩展性更好的网络端点。
-   参阅[启用 EndpointSlice](/zh/docs/concepts/services-networking/endpoint-slices/)。
+   参阅[启用 EndpointSlice](/zh-cn/docs/concepts/services-networking/endpoint-slices/)。
 - `EndpointSliceNodeName`：允许使用 EndpointSlice 的 `nodeName` 字段。
 - `EndpointSliceProxying`：启用此特性门控时，Linux 上运行的 kube-proxy 会使用
   EndpointSlices 而不是 Endpoints 作为其主要数据源，从而使得可扩缩性和性能提升成为可能。
-  参阅[启用 EndpointSlice](/zh/docs/concepts/services-networking/endpoint-slices/)。
+  参阅[启用 EndpointSlice](/zh-cn/docs/concepts/services-networking/endpoint-slices/)。
 - `EndpointSliceTerminatingCondition`：允许使用 EndpointSlice 的 `terminating` 和
   `serving` 状况字段。
 <!--
@@ -1189,7 +1201,7 @@ Each feature gate is designed for enabling/disabling a specific feature:
   {{< glossary_tooltip text="ephemeral containers" term_id="ephemeral-container" >}}
   to running pods.
 - `EvenPodsSpread`: Enable pods to be scheduled evenly across topology domains. See
-  [Pod Topology Spread Constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [Pod Topology Spread Constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
 - `ExecProbeTimeout`: Ensure kubelet respects exec probe timeouts.
   This feature gate exists in case any of your existing workloads depend on a
   now-corrected fault where Kubernetes ignored exec probe timeouts. See
@@ -1199,11 +1211,11 @@ Each feature gate is designed for enabling/disabling a specific feature:
   {{< glossary_tooltip text="临时容器" term_id="ephemeral-container" >}}
   到正在运行的 Pod 的特性。
 - `EvenPodsSpread`：使 Pod 能够在拓扑域之间平衡调度。请参阅
-  [Pod 拓扑扩展约束](/zh/docs/concepts/workloads/pods/pod-topology-spread-constraints/)。
+  [Pod 拓扑扩展约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)。
 - `ExecProbeTimeout`：确保 kubelet 会遵从 exec 探针的超时值设置。
   此特性门控的主要目的是方便你处理现有的、依赖于已被修复的缺陷的工作负载；
   该缺陷导致 Kubernetes 会忽略 exec 探针的超时值设置。
-  参阅[就绪态探针](/zh/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#configure-probes).
+  参阅[就绪态探针](/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#configure-probes).
 <!--
 - `ExpandCSIVolumes`: Enable the expanding of CSI volumes.
 - `ExpandedDNSConfig`: Enable kubelet and kube-apiserver to allow more DNS
@@ -1222,21 +1234,22 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `ExpandedDNSConfig`: 在 kubelet 和 kube-apiserver 上启用后，
   允许使用更多的 DNS 搜索域和搜索域列表。此功能特性需要容器运行时
   （Containerd：v1.5.6 或更高，CRI-O：v1.22 或更高）的支持。参阅
-  [扩展 DNS 配置](/zh/docs/concepts/services-networking/dns-pod-service/#expanded-dns-configuration).
+  [扩展 DNS 配置](/zh-cn/docs/concepts/services-networking/dns-pod-service/#expanded-dns-configuration).
 - `ExpandInUsePersistentVolumes`：启用扩充使用中的 PVC 的尺寸。请查阅
-  [调整使用中的 PersistentVolumeClaim 的大小](/zh/docs/concepts/storage/persistent-volumes/#resizing-an-in-use-persistentvolumeclaim)。
+  [调整使用中的 PersistentVolumeClaim 的大小](/zh-cn/docs/concepts/storage/persistent-volumes/#resizing-an-in-use-persistentvolumeclaim)。
 - `ExpandPersistentVolumes`：允许扩充持久卷。请查阅
-  [扩展持久卷申领](/zh/docs/concepts/storage/persistent-volumes/#expanding-persistent-volumes-claims)。
-- `ExperimentalCriticalPodAnnotation`：启用将特定 Pod 注解为 *critical* 的方式，用于
-  [确保其被调度](/zh/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/)。
+  [扩展持久卷申领](/zh-cn/docs/concepts/storage/persistent-volumes/#expanding-persistent-volumes-claims)。
+- `ExperimentalCriticalPodAnnotation`：启用将特定 Pod 注解为 **critical** 的方式，用于
+  [确保其被调度](/zh-cn/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/)。
   从 v1.13 开始已弃用此特性，转而使用 Pod 优先级和抢占功能。
 <!--
 - `ExperimentalHostUserNamespaceDefaulting`: Enabling the defaulting user
-   namespace to host. This is for containers that are using other host namespaces,
-   host mounts, or containers that are privileged or using specific non-namespaced
-   capabilities (e.g. `MKNODE`, `SYS_MODULE` etc.). This should only be enabled
-   if user namespace remapping is enabled in the Docker daemon.
-- `ExternalPolicyForExternalIP`: Fix a bug where ExternalTrafficPolicy is not applied to Service ExternalIPs.
+  namespace to host. This is for containers that are using other host namespaces,
+  host mounts, or containers that are privileged or using specific non-namespaced
+  capabilities (e.g. `MKNODE`, `SYS_MODULE` etc.). This should only be enabled
+  if user namespace remapping is enabled in the Docker daemon.
+- `ExternalPolicyForExternalIP`: Fix a bug where ExternalTrafficPolicy is not
+  applied to Service ExternalIPs.
 - `GCERegionalPersistentDisk`: Enable the regional PD feature on GCE.
 - `GenericEphemeralVolume`: Enables ephemeral, inline volumes that support all features
   of normal volumes (can be provided by third-party storage vendors, storage capacity tracking,
@@ -1257,27 +1270,28 @@ Each feature gate is designed for enabling/disabling a specific feature:
 - `GCERegionalPersistentDisk`：在 GCE 上启用带地理区域信息的 PD 特性。
 - `GenericEphemeralVolume`：启用支持临时的内联卷，这些卷支持普通卷
   （可以由第三方存储供应商提供、存储容量跟踪、从快照还原等等）的所有功能。
-  请参见[临时卷](/zh/docs/concepts/storage/ephemeral-volumes/)。
+  请参见[临时卷](/zh-cn/docs/concepts/storage/ephemeral-volumes/)。
 - `GracefulNodeShutdown`：在 kubelet 中启用体面地关闭节点的支持。
   在系统关闭时，kubelet 会尝试监测该事件并体面地终止节点上运行的 Pods。
-  参阅[体面地关闭节点](/zh/docs/concepts/architecture/nodes/#graceful-node-shutdown)
+  参阅[体面地关闭节点](/zh-cn/docs/concepts/architecture/nodes/#graceful-node-shutdown)
   以了解更多细节。
 <!--
 - `GracefulNodeShutdownBasedOnPodPriority`: Enables the kubelet to check Pod priorities
   when shutting down a node gracefully.
-- `GRPCContainerProbe`: Enables the gRPC probe method for {Liveness,Readiness,Startup}Probe. See [Configure Liveness, Readiness and Startup Probes](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe).
+- `GRPCContainerProbe`: Enables the gRPC probe method for {Liveness,Readiness,Startup}Probe.
+  See [Configure Liveness, Readiness and Startup Probes](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe).
 - `HonorPVReclaimPolicy`: Honor persistent volume reclaim policy when it is `Delete` irrespective of PV-PVC deletion ordering.
-For more details, check the
+  For more details, check the
   [PersistentVolume deletion protection finalizer](/docs/concepts/storage/persistent-volumes/#persistentvolume-deletion-protection-finalizer)
   documentation.
 -->
 - `GracefulNodeShutdownBasedOnPodPriority`：允许 kubelet 在体面终止节点时检查
   Pod 的优先级。
 - `GRPCContainerProbe`：为 LivenessProbe、ReadinessProbe、StartupProbe 启用 gRPC 探针。
-  参阅[配置活跃态、就绪态和启动探针](/zh/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe)。
+  参阅[配置活跃态、就绪态和启动探针](/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#define-a-grpc-liveness-probe)。
 - `HonorPVReclaimPolicy`：无论 PV 和 PVC 的删除顺序如何，当持久卷申领的策略为 `Delete`
   时，确保这种策略得到处理。
-  更多详细信息，请参阅 [PersistentVolume 删除保护 finalizer](/zh/docs/concepts/storage/persistent-volumes/#persistentvolume-deletion-protection-finalizer)文档。
+  更多详细信息，请参阅 [PersistentVolume 删除保护 finalizer](/zh-cn/docs/concepts/storage/persistent-volumes/#persistentvolume-deletion-protection-finalizer)文档。
 <!--
 - `HPAContainerMetrics`: Enable the `HorizontalPodAutoscaler` to scale based on
   metrics from individual containers in target pods.
@@ -1296,16 +1310,25 @@ For more details, check the
 - `HPAScaleToZero`：使用自定义指标或外部指标时，可将 `HorizontalPodAutoscaler`
   资源的 `minReplicas` 设置为 0。
 - `HugePages`：启用分配和使用预分配的
-  [巨页资源](/zh/docs/tasks/manage-hugepages/scheduling-hugepages/)。
+  [巨页资源](/zh-cn/docs/tasks/manage-hugepages/scheduling-hugepages/)。
 - `HugePageStorageMediumSize`：启用支持多种大小的预分配
-  [巨页资源](/zh/docs/tasks/manage-hugepages/scheduling-hugepages/)。
+  [巨页资源](/zh-cn/docs/tasks/manage-hugepages/scheduling-hugepages/)。
 - `HyperVContainer`：为 Windows 容器启用
   [Hyper-V 隔离](https://docs.microsoft.com/en-us/virtualization/windowscontainers/manage-containers/hyperv-container)。
 <!--
-- `IdentifyPodOS`: Allows the Pod OS field to be specified. This helps in identifying the OS of the pod
-  authoritatively during the API server admission time. In Kubernetes {{< skew currentVersion >}}, the allowed values for the `pod.spec.os.name` are `windows` and `linux`.
+- `IdentifyPodOS`: Allows the Pod OS field to be specified. This helps in identifying
+  the OS of the pod authoritatively during the API server admission time.
+  In Kubernetes {{< skew currentVersion >}}, the allowed values for the `pod.spec.os.name`
+  are `windows` and `linux`.
 - `ImmutableEphemeralVolumes`: Allows for marking individual Secrets and ConfigMaps as
   immutable for better safety and performance.
+- `IndexedJob`: Allows the [Job](/docs/concepts/workloads/controllers/job/)
+  controller to manage Pod completions per completion index.
+- `IngressClassNamespacedParams`: Allow namespace-scoped parameters reference in
+  `IngressClass` resource. This feature adds two fields - `Scope` and `Namespace`
+  to `IngressClass.spec.parameters`.
+- `Initializers`: Allow asynchronous coordination of object creation using the
+  Initializers admission plugin.
 - `InTreePluginAWSUnregister`: Stops registering the aws-ebs in-tree plugin in kubelet
   and volume controllers.
 - `InTreePluginAzureDiskUnregister`: Stops registering the azuredisk in-tree plugin in kubelet
@@ -1318,6 +1341,11 @@ For more details, check the
   `windows` 和 `linux`。
 - `ImmutableEphemeralVolumes`：允许将各个 Secret 和 ConfigMap 标记为不可变更的，
   以提高安全性和性能。
+- `IndexedJob`：允许 [Job](/zh-cn/docs/concepts/workloads/controllers/job/)
+   控制器来管理每个完成索引的 Pod 完成。
+- `IngressClassNamespacedParams`：允许在 `IngressClass` 资源中使用命名空间范围的参数引用。
+  此功能为 `IngressClass.spec.parameters` 添加了两个字段 - `scope` 和 `namespace`。
+- `Initializers`：允许使用 Intializers 准入插件来异步协调对象创建操作。
 - `InTreePluginAWSUnregister`: 在 kubelet 和卷控制器上关闭注册 aws-ebs 内嵌插件。
 - `InTreePluginAzureDiskUnregister`: 在 kubelet 和卷控制器上关闭注册 azuredisk 内嵌插件。
 - `InTreePluginAzureFileUnregister`: 在 kubelet 和卷控制器上关闭注册 azurefile 内嵌插件。
@@ -1347,7 +1375,7 @@ For more details, check the
   Initializers admission plugin.
 -->
 - `InTreePluginvSphereUnregister`: 在 kubelet 和卷控制器上关闭注册 vSphere 内嵌插件。
-- `IndexedJob`：允许 [Job](/zh/docs/concepts/workloads/controllers/job/)
+- `IndexedJob`：允许 [Job](/zh-cn/docs/concepts/workloads/controllers/job/)
   控制器根据完成索引来管理 Pod 完成。
 - `IngressClassNamespacedParams`：允许在 `IngressClass` 资源中引用命名空间范围的参数。
   该特性增加了两个字段 —— `scope`、`namespace` 到 `IngressClass.spec.parameters`。
@@ -1358,38 +1386,40 @@ For more details, check the
 - `JobMutableNodeSchedulingDirectives`: Allows updating node scheduling directives in
   the pod template of [Job](/docs/concepts/workloads/controllers/job).
 - `JobReadyPods`: Enables tracking the number of Pods that have a `Ready`
-  [condition](/docs/concepts/workloads/pods/pod-lifecycle/#pod-conditions).
+  [condition](/docs/concepts/scheduling-eviction/lifecycle/#pod-conditions).
   The count of `Ready` pods is recorded in the
   [status](/docs/reference/kubernetes-api/workload-resources/job-v1/#JobStatus)
   of a [Job](/docs/concepts/workloads/controllers/job) status.
 -->
-- `IPv6DualStack`：启用[双协议栈](/zh/docs/concepts/services-networking/dual-stack/)
+- `IPv6DualStack`：启用[双协议栈](/zh-cn/docs/concepts/services-networking/dual-stack/)
   以支持 IPv6。
 - `JobMutableNodeSchedulingDirectives`：允许在 [Job](/docs/concepts/workloads/controllers/job)
   的 Pod 模板中更新节点调度指令。 
-- `JobReadyPods`：允许跟踪[状况](/zh/docs/concepts/workloads/pods/pod-lifecycle/#pod-conditions)为
+- `JobReadyPods`：允许跟踪[状况](/zh-cn/docs/concepts/scheduling-eviction/lifecycle/#pod-conditions)为
   `Ready` 的 Pod 的个数。`Ready` 的 Pod 记录在
-  [Job](/zh/docs/concepts/workloads/controllers/job) 对象的
+  [Job](/zh-cn/docs/concepts/workloads/controllers/job) 对象的
   [status](/docs/reference/kubernetes-api/workload-resources/job-v1/#JobStatus) 字段中。
 <!--
 - `JobTrackingWithFinalizers`: Enables tracking [Job](/docs/concepts/workloads/controllers/job)
   completions without relying on Pods remaining in the cluster indefinitely.
   The Job controller uses Pod finalizers and a field in the Job status to keep
   track of the finished Pods to count towards completion.
-- `KubeletConfigFile`: Enable loading kubelet configuration 
-  from a file specified using a config file.
+- `KubeletConfigFile`: Enable loading kubelet configuration from
+  a file specified using a config file.
   See [setting kubelet parameters via a config file](/docs/tasks/administer-cluster/kubelet-config-file/)
   for more details.
 -->
-- `JobTrackingWithFinalizers`: 启用跟踪 [Job](/zh/docs/concepts/workloads/controllers/job)
+- `JobTrackingWithFinalizers`: 启用跟踪 [Job](/zh-cn/docs/concepts/workloads/controllers/job)
   完成情况，而不是永远从集群剩余 Pod 来获取信息判断完成情况。Job 控制器使用
   Pod finalizers 和 Job 状态中的一个字段来跟踪已完成的 Pod 以计算完成。
 - `KubeletConfigFile`：启用从使用配置文件指定的文件中加载 kubelet 配置。
   有关更多详细信息，请参见
-  [通过配置文件设置 kubelet 参数](/zh/docs/tasks/administer-cluster/kubelet-config-file/)。
+  [通过配置文件设置 kubelet 参数](/zh-cn/docs/tasks/administer-cluster/kubelet-config-file/)。
 <!--
-- `KubeletCredentialProviders`: Enable kubelet exec credential providers for image pull credentials.
-- `KubeletInUserNamespace`: Enables support for running kubelet in a {{<glossary_tooltip text="user namespace" term_id="userns">}}.
+- `KubeletCredentialProviders`: Enable kubelet exec credential providers for
+  image pull credentials.
+- `KubeletInUserNamespace`: Enables support for running kubelet in a
+  {{<glossary_tooltip text="user namespace" term_id="userns">}}.
    See [Running Kubernetes Node Components as a Non-root User](/docs/tasks/administer-cluster/kubelet-in-userns/).
 - `KubeletPluginsWatcher`: Enable probe-based plugin watcher utility to enable kubelet
   to discover plugins such as [CSI volume drivers](/docs/concepts/storage/volumes/#csi).
@@ -1397,16 +1427,18 @@ For more details, check the
 - `KubeletCredentialProviders`：允许使用 kubelet exec 凭据提供程序来设置镜像拉取凭据。
 - `KubeletInUserNamespace`: 支持在{{<glossary_tooltip text="用户名字空间" term_id="userns">}}
   里运行 kubelet 。
-  请参见[使用非 Root 用户来运行 Kubernetes 节点组件](/zh/docs/tasks/administer-cluster/kubelet-in-userns/)。
+  请参见[使用非 Root 用户来运行 Kubernetes 节点组件](/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns/)。
 - `KubeletPluginsWatcher`：启用基于探针的插件监视应用程序，使 kubelet 能够发现类似
-  [CSI 卷驱动程序](/zh/docs/concepts/storage/volumes/#csi)这类插件。
+  [CSI 卷驱动程序](/zh-cn/docs/concepts/storage/volumes/#csi)这类插件。
 <!--
 - `KubeletPodResources`: Enable the kubelet's pod resources gRPC endpoint. See
   [Support Device Monitoring](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/606-compute-device-assignment/README.md)
   for more details.
-- `KubeletPodResourcesGetAllocatable`: Enable the kubelet's pod resources `GetAllocatableResources` functionality.
-  This API augments the [resource allocation reporting](/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/#monitoring-device-plugin-resources)
-  with informations about the allocatable resources, enabling clients to properly track the free compute resources on a node.
+- `KubeletPodResourcesGetAllocatable`: Enable the kubelet's pod resources
+  `GetAllocatableResources` functionality. This API augments the
+  [resource allocation reporting](/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/#monitoring-device-plugin-resources)
+  with informations about the allocatable resources, enabling clients to properly
+  track the free compute resources on a node.
 - `LegacyNodeRoleBehavior`: When disabled, legacy behavior in service load balancers and
   node disruption will ignore the `node-role.kubernetes.io/master` label in favor of the
   feature-specific labels provided by `NodeDisruptionExclusion` and `ServiceNodeExclusion`.
@@ -1417,13 +1449,13 @@ For more details, check the
   请参见[支持设备监控](https://github.com/kubernetes/enhancements/blob/master/keps/sig-node/compute-device-assignment.md)。
 - `KubeletPodResourcesGetAllocatable`：启用 kubelet 的 pod 资源的
   `GetAllocatableResources` 功能。
-  该 API 增强了[资源分配报告](/zh/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/#monitoring-device-plugin-resources)
+  该 API 增强了[资源分配报告](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/device-plugins/#monitoring-device-plugin-resources)
   包含有关可分配资源的信息，使客户端能够正确跟踪节点上的可用计算资源。
 - `LegacyNodeRoleBehavior`：禁用此门控时，服务负载均衡器中和节点干扰中的原先行为会忽略
   `node-role.kubernetes.io/master` 标签，使用 `NodeDisruptionExclusion` 和
   `ServiceNodeExclusion` 对应特性所提供的标签。
 - `LegacyServiceAccountTokenNoAutoGeneration`：停止基于 Secret 的自动生成
-  [服务账号令牌](/zh/docs/reference/access-authn-authz/authentication/#service-account-tokens).
+  [服务账号令牌](/zh-cn/docs/reference/access-authn-authz/authentication/#service-account-tokens).
 <!--
 - `LocalStorageCapacityIsolation`: Enable the consumption of
   [local ephemeral storage](/docs/concepts/configuration/manage-resources-containers/)
@@ -1438,14 +1470,14 @@ For more details, check the
   filesystem walk for better performance and accuracy.
 -->
 - `LocalStorageCapacityIsolation`：允许使用
-  [本地临时存储](/zh/docs/concepts/configuration/manage-resources-containers/)
-  以及 [emptyDir 卷](/zh/docs/concepts/storage/volumes/#emptydir)的 `sizeLimit` 属性。
+  [本地临时存储](/zh-cn/docs/concepts/configuration/manage-resources-containers/)
+  以及 [emptyDir 卷](/zh-cn/docs/concepts/storage/volumes/#emptydir)的 `sizeLimit` 属性。
 - `LocalStorageCapacityIsolationFSQuotaMonitoring`：如果
-  [本地临时存储](/zh/docs/concepts/configuration/manage-resources-containers/)启用了
+  [本地临时存储](/zh-cn/docs/concepts/configuration/manage-resources-containers/)启用了
   `LocalStorageCapacityIsolation`，并且
-  [emptyDir 卷](/zh/docs/concepts/storage/volumes/#emptydir)的后备文件系统支持项目配额，
+  [emptyDir 卷](/zh-cn/docs/concepts/storage/volumes/#emptydir)的后备文件系统支持项目配额，
   并且启用了这些配额，将使用项目配额来监视
-  [emptyDir 卷](/zh/docs/concepts/storage/volumes/#emptydir)的存储消耗而不是遍历文件系统，
+  [emptyDir 卷](/zh-cn/docs/concepts/storage/volumes/#emptydir)的存储消耗而不是遍历文件系统，
   以此获得更好的性能和准确性。
 <!--
 - `LogarithmicScaleDown`: Enable semi-random selection of pods to evict on controller scaledown
@@ -1456,39 +1488,40 @@ For more details, check the
   that can be unavailable during the update.
 - `MemoryManager`: Allows setting memory affinity for a container based on
   NUMA topology.
-- `MemoryQoS`: Enable memory protection and usage throttle on pod / container using cgroup v2 memory controller.
+- `MemoryQoS`: Enable memory protection and usage throttle on pod / container using
+  cgroup v2 memory controller.
 - `MinDomainsInPodTopologySpread`: Enable `minDomains` in Pod
-  [topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
 - `MixedProtocolLBService`: Enable using different protocols in the same `LoadBalancer` type
   Service instance.
-- `MountContainers`: Enable using utility containers on host as
-  the volume mounter.
+- `MountContainers`: Enable using utility containers on host as the volume mounter.
 -->
 - `LogarithmicScaleDown`：启用 Pod 的半随机（semi-random）选择，控制器将根据 Pod
   时间戳的对数桶按比例缩小去驱逐 Pod。
 - `MaxUnavailableStatefulSet`：启用为 StatefulSet
-  的[滚动更新策略](/zh/docs/concepts/workloads/controllers/statefulset/#rolling-updates)设置
+  的[滚动更新策略](/zh-cn/docs/concepts/workloads/controllers/statefulset/#rolling-updates)设置
   `maxUnavailable` 字段。该字段指定更新过程中不可用 Pod 个数的上限。
 - `MemoryManager`：允许基于 NUMA 拓扑为容器设置内存亲和性。
 - `MemoryQoS`：使用 cgroup v2 内存控制器在 pod / 容器上启用内存保护和使用限制。
 - `MinDomainsInPodTopologySpread`：启用 Pod 的 `minDomains`
-  [拓扑分布约束](/zh/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/).
 - `MixedProtocolLBService`：允许在同一 `LoadBalancer` 类型的 Service 实例中使用不同的协议。
 - `MountContainers`：允许使用主机上的工具容器作为卷挂载程序。
 <!--
 - `MountPropagation`: Enable sharing volume mounted by one container to other containers or pods.
   For more details, please see [mount propagation](/docs/concepts/storage/volumes/#mount-propagation).
-- `NamespaceDefaultLabelName`: Configure the API Server to set an immutable {{< glossary_tooltip text="label" term_id="label" >}}
-  `kubernetes.io/metadata.name` on all namespaces, containing the namespace name.
+- `NamespaceDefaultLabelName`: Configure the API Server to set an immutable
+  {{< glossary_tooltip text="label" term_id="label" >}} `kubernetes.io/metadata.name`
+  on all namespaces, containing the namespace name.
 - `NetworkPolicyEndPort`: Enable use of the field `endPort` in NetworkPolicy objects,
   allowing the selection of a port range instead of a single port.
 - `NetworkPolicyStatus`: Enable the `status` subresource for NetworkPolicy objects.
-- `NodeDisruptionExclusion`: Enable use of the node label `node.kubernetes.io/exclude-disruption`
+- `NodeDisruptionExclusion`: Enable use of the Node label `node.kubernetes.io/exclude-disruption`
   which prevents nodes from being evacuated during zone failures.
 - `NodeLease`: Enable the new Lease API to report node heartbeats, which could be used as a node health signal.
 -->
 - `MountPropagation`：启用将一个容器安装的共享卷共享到其他容器或 Pod。
-  更多详细信息，请参见[挂载传播](/zh/docs/concepts/storage/volumes/#mount-propagation)。
+  更多详细信息，请参见[挂载传播](/zh-cn/docs/concepts/storage/volumes/#mount-propagation)。
 - `NamespaceDefaultLabelName`：配置 API 服务器以在所有名字空间上设置一个不可变的
   {{< glossary_tooltip text="标签" term_id="label" >}} `kubernetes.io/metadata.name`，
   也包括名字空间。
@@ -1506,48 +1539,51 @@ For more details, check the
   Must be used with `KubeletConfiguration.failSwapOn` set to false.
   For more details, please see [swap memory](/docs/concepts/architecture/nodes/#swap-memory)
 - `NonPreemptingPriority`: Enable `preemptionPolicy` field for PriorityClass and Pod.
-- `OpenAPIEnums`: Enables populating "enum" fields of OpenAPI schemas in the 
+- `OpenAPIEnums`: Enables populating "enum" fields of OpenAPI schemas in the
   spec returned from the API server.
 - `OpenAPIV3`: Enables the API server to publish OpenAPI v3.
-- `PVCProtection`: Enable the prevention of a PersistentVolumeClaim (PVC) from
-  being deleted when it is still used by any Pod.
 -->
 - `NodeOutOfServiceVolumeDetach`：当使用 `node.kubernetes.io/out-of-service`
   污点将节点标记为停止服务时，节点上不能容忍这个污点的 Pod 将被强制删除，
   并且该在节点上被终止的 Pod 将立即进行卷分离操作。
 - `NodeSwap`: 启用 kubelet 为节点上的 Kubernetes 工作负载分配交换内存的能力。
   必须将 `KubeletConfiguration.failSwapOn` 设置为 false 的情况下才能使用。
-  更多详细信息，请参见[交换内存](/zh/docs/concepts/architecture/nodes/#swap-memory)。
+  更多详细信息，请参见[交换内存](/zh-cn/docs/concepts/architecture/nodes/#swap-memory)。
 - `NonPreemptingPriority`：为 PriorityClass 和 Pod 启用 `preemptionPolicy` 选项。
 - `OpenAPIEnums`：允许在从 API 服务器返回的 spec 中填充 OpenAPI 模式的 "enum" 字段。
 - `OpenAPIV3`：允许 API 服务器发布 OpenAPI V3。
-- `PVCProtection`：启用防止仍被某 Pod 使用的 PVC 被删除的特性。
 <!--
-- `PodDeletionCost`: Enable the [Pod Deletion Cost](/docs/content/en/docs/concepts/workloads/controllers/replicaset/#pod-deletion-cost)
+- `PodDeletionCost`: Enable the [Pod Deletion Cost](/docs/concepts/workloads/controllers/replicaset/#pod-deletion-cost)
    feature which allows users to influence ReplicaSet downscaling order.
 - `PersistentLocalVolumes`: Enable the usage of `local` volume type in Pods.
   Pod affinity has to be specified if requesting a `local` volume.
+- `PodAndContainerStatsFromCRI`: Configure the kubelet to gather container and
+  pod stats from the CRI container runtime rather than gathering them from cAdvisor.
 - `PodDisruptionBudget`: Enable the [PodDisruptionBudget](/docs/tasks/run-application/configure-pdb/) feature.
-- `PodAffinityNamespaceSelector`: Enable the [Pod Affinity Namespace Selector](/docs/concepts/scheduling-eviction/assign-pod-node/#namespace-selector)
-  and [CrossNamespacePodAffinity](/docs/concepts/policy/resource-quotas/#cross-namespace-pod-affinity-quota) quota scope features.
+- `PodAffinityNamespaceSelector`: Enable the
+  [Pod Affinity Namespace Selector](/docs/concepts/scheduling-eviction/assign-pod-node/#namespace-selector)
+  and [CrossNamespacePodAffinity](/docs/concepts/policy/resource-quotas/#cross-namespace-pod-affinity-quota)
+  quota scope features.
 - `PodOverhead`: Enable the [PodOverhead](/docs/concepts/scheduling-eviction/pod-overhead/)
   feature to account for pod overheads.
 -->
-- `PodDeletionCost`：启用 [Pod 删除成本](/zh/docs/concepts/workloads/controllers/replicaset/#pod-deletion-cost)功能。
+- `PodDeletionCost`：启用 [Pod 删除成本](/zh-cn/docs/concepts/workloads/controllers/replicaset/#pod-deletion-cost)功能。
   该功能使用户可以影响 ReplicaSet 的降序顺序。
 - `PersistentLocalVolumes`：允许在 Pod 中使用 `local（本地）` 卷类型。
   如果请求 `local` 卷，则必须指定 Pod 亲和性属性。
-- `PodDisruptionBudget`：启用 [PodDisruptionBudget](/zh/docs/tasks/run-application/configure-pdb/) 特性。
-- `PodAffinityNamespaceSelector`：启用 [Pod 亲和性名称空间选择器](/zh/docs/concepts/scheduling-eviction/assign-pod-node/#namespace-selector)
-  和 [CrossNamespacePodAffinity](/zh/docs/concepts/policy/resource-quotas/#cross-namespace-pod-affinity-quota)
+- `PodAndContainerStatsFromCRI`：配置 kubelet 从容器和 CRI 容器运行时收集 Pod 统计信息，
+   不建议从 cAdvisor 收集统计信息。
+- `PodDisruptionBudget`：启用 [PodDisruptionBudget](/zh-cn/docs/tasks/run-application/configure-pdb/) 特性。
+- `PodAffinityNamespaceSelector`：启用 [Pod 亲和性名称空间选择器](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#namespace-selector)
+  和 [CrossNamespacePodAffinity](/zh-cn/docs/concepts/policy/resource-quotas/#cross-namespace-pod-affinity-quota)
   资源配额功能。
-- `PodOverhead`：启用 [PodOverhead](/zh/docs/concepts/scheduling-eviction/pod-overhead/)
+- `PodOverhead`：启用 [PodOverhead](/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/)
   特性以考虑 Pod 开销。
 <!--
 - `PodPriority`: Enable the descheduling and preemption of Pods based on their
   [priorities](/docs/concepts/scheduling-eviction/pod-priority-preemption/).
 - `PodReadinessGates`: Enable the setting of `PodReadinessGate` field for extending
-  Pod readiness evaluation.  See [Pod readiness gate](/docs/concepts/workloads/pods/pod-lifecycle/#pod-readiness-gate)
+  Pod readiness evaluation. See [Pod readiness gate](/docs/concepts/scheduling-eviction/lifecycle/#pod-readiness-gate)
   for more details.
 - `PodSecurity`: Enables the `PodSecurity` admission plugin.
 - `PodShareProcessNamespace`: Enable the setting of `shareProcessNamespace` in a Pod for sharing
@@ -1557,45 +1593,49 @@ For more details, check the
   nodes will be checked first before looping through all the other nodes in
   the cluster.
 -->
-- `PodPriority`：启用根据[优先级](/zh/docs/concepts/scheduling-eviction/pod-priority-preemption/)
+- `PodPriority`：启用根据[优先级](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)
   的 Pod 调度和抢占。
 - `PodReadinessGates`：启用 `podReadinessGate` 字段的设置以扩展 Pod 准备状态评估。
   有关更多详细信息，请参见
-  [Pod 就绪状态判别](/zh/docs/concepts/workloads/pods/pod-lifecycle/#pod-readiness-gate)。
+  [Pod 就绪状态判别](/zh-cn/docs/concepts/scheduling-eviction/lifecycle/#pod-readiness-gate)。
 - `PodSecurity`: 开启 `PodSecurity` 准入控制插件。
 - `PodShareProcessNamespace`：在 Pod 中启用 `shareProcessNamespace` 的设置，
   以便在 Pod 中运行的容器之间共享同一进程名字空间。更多详细信息，请参见
-  [在 Pod 中的容器间共享同一进程名字空间](/zh/docs/tasks/configure-pod-container/share-process-namespace/)。
+  [在 Pod 中的容器间共享同一进程名字空间](/zh-cn/docs/tasks/configure-pod-container/share-process-namespace/)。
 - `PreferNominatedNode`: 这个标志告诉调度器在循环遍历集群中的所有其他节点之前，
   是否首先检查指定的节点。
 <!--
 - `ProbeTerminationGracePeriod`: Enable [setting probe-level
   `terminationGracePeriodSeconds`](/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#probe-level-terminationgraceperiodseconds)
-   on pods.  See the [enhancement proposal](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/2238-liveness-probe-grace-period) for more details.
+  on pods. See the [enhancement proposal](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/2238-liveness-probe-grace-period)
+  for more details.
 - `ProcMountType`: Enables control over the type proc mounts for containers
   by setting the `procMount` field of a SecurityContext.
 - `ProxyTerminatingEndpoints`: Enable the kube-proxy to handle terminating
   endpoints when `ExternalTrafficPolicy=Local`.
+- `PVCProtection`: Enable the prevention of a PersistentVolumeClaim (PVC) from
+  being deleted when it is still used by any Pod.
 - `QOSReserved`: Allows resource reservations at the QoS level preventing pods
   at lower QoS levels from bursting into resources requested at higher QoS levels
   (memory only for now).
 - `ReadWriteOncePod`: Enables the usage of `ReadWriteOncePod` PersistentVolume
   access mode.
 -->
-- `ProbeTerminationGracePeriod`：在 Pod 上 启用 
-  [设置探测器级别 `terminationGracePeriodSeconds`](/zh/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#probe-level-terminationgraceperiodseconds)。
+- `ProbeTerminationGracePeriod`：在 Pod 上启用 
+  [设置探测器级别 `terminationGracePeriodSeconds`](/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes/#probe-level-terminationgraceperiodseconds)。
   有关更多信息，请参见[改进提案](https://github.com/kubernetes/enhancements/tree/master/keps/sig-node/2238-liveness-probe-grace-period)。
 - `ProcMountType`：允许容器通过设置 SecurityContext 的 `procMount` 字段来控制对
   proc 文件系统的挂载方式。
 - `ProxyTerminatingEndpoints`: 当 `ExternalTrafficPolicy=Local` 时，
   允许 kube-proxy 来处理终止过程中的端点。
+- `PVCProtection`：当 PersistentVolumeClaim (PVC) 仍然在 Pod 使用时被删除，启用保护。
 - `QOSReserved`：允许在 QoS 级别进行资源预留，以防止处于较低 QoS 级别的 Pod
   突发进入处于较高 QoS 级别的请求资源（目前仅适用于内存）。
 - `ReadWriteOncePod`: 允许使用 `ReadWriteOncePod` 访问模式的 PersistentVolume。
 <!--
-- `RecoverVolumeExpansionFailure`: Enables users to edit their PVCs to smaller sizes so as they can recover from previously issued
-  volume expansion failures. See
-  [Recovering from Failure when Expanding Volumes](/docs/concepts/storage/persistent-volumes/#recovering-from-failure-when-expanding-volumes)
+- `RecoverVolumeExpansionFailure`: Enables users to edit their PVCs to smaller
+  sizes so as they can recover from previously issued volume expansion failures.
+  See [Recovering from Failure when Expanding Volumes](/docs/concepts/storage/persistent-volumes/#recovering-from-failure-when-expanding-volumes)
   for more details.
 - `RemainingItemCount`: Allow the API servers to show a count of remaining
   items in the response to a
@@ -1609,9 +1649,9 @@ For more details, check the
 -->
 - `RecoverVolumeExpansionFailure`：允许用户编辑其 PVC 来缩小其尺寸，
   从而从之前卷扩容发生的失败中恢复。更多细节可参见
-  [从卷扩容失效中恢复](/zh/docs/concepts/storage/persistent-volumes/#recovering-from-failure-when-expanding-volumes)。
+  [从卷扩容失效中恢复](/zh-cn/docs/concepts/storage/persistent-volumes/#recovering-from-failure-when-expanding-volumes)。
 - `RemainingItemCount`：允许 API 服务器在
-  [分块列表请求](/zh/docs/reference/using-api/api-concepts/#retrieving-large-results-sets-in-chunks)
+  [分块列表请求](/zh-cn/docs/reference/using-api/api-concepts/#retrieving-large-results-sets-in-chunks)
   的响应中显示剩余条目的个数。
 - `RemoveSelfLink`：将所有对象和集合的 `.metadata.selfLink` 字段设置为空（空字符串）。
   该字段自 Kubernetes v1.16 版本以来已被弃用。
@@ -1642,7 +1682,8 @@ For more details, check the
   以了解更多细节。
 <!--
 - `RotateKubeletClientCertificate`: Enable the rotation of the client TLS certificate on the kubelet.
-  See [kubelet configuration](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration) for more details.
+  See [kubelet configuration](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)
+  for more details.
 - `RotateKubeletServerCertificate`: Enable the rotation of the server TLS certificate on the kubelet.
   See [kubelet configuration](/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)
   for more details.
@@ -1651,10 +1692,10 @@ For more details, check the
 -->
 - `RotateKubeletClientCertificate`：在 kubelet 上启用客户端 TLS 证书的轮换。
   更多详细信息，请参见
-  [kubelet 配置](/zh/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)。
+  [kubelet 配置](/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)。
 - `RotateKubeletServerCertificate`：在 kubelet 上启用服务器 TLS 证书的轮换。
   更多详细信息，请参见
-  [kubelet 配置](/zh/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)。
+  [kubelet 配置](/zh-cn/docs/reference/access-authn-authz/kubelet-tls-bootstrapping/#kubelet-configuration)。
 - `RunAsGroup`：启用对容器初始化过程中设置的主要组 ID 的控制。
 <!--
 - `RuntimeClass`: Enable the [RuntimeClass](/docs/concepts/containers/runtime-class/) feature
@@ -1663,12 +1704,13 @@ For more details, check the
   instead of the DaemonSet controller.
 - `SCTPSupport`: Enables the _SCTP_ `protocol` value in Pod, Service,
   Endpoints, EndpointSlice, and NetworkPolicy definitions.
-- `SeccompDefault`: Enables the use of `RuntimeDefault` as the default seccomp profile for all workloads.
+- `SeccompDefault`: Enables the use of `RuntimeDefault` as the default seccomp profile
+  for all workloads.
   The seccomp profile is specified in the `securityContext` of a Pod and/or a Container.
 - `SelectorIndex`: Allows label and field based indexes in API server watch
   cache to accelerate list operations.
 -->
-- `RuntimeClass`：启用 [RuntimeClass](/zh/docs/concepts/containers/runtime-class/)
+- `RuntimeClass`：启用 [RuntimeClass](/zh-cn/docs/concepts/containers/runtime-class/)
   特性用于选择容器运行时配置。
 - `ScheduleDaemonSetPods`：启用 DaemonSet Pods 由默认调度程序而不是
   DaemonSet 控制器进行调度。
@@ -1680,6 +1722,9 @@ For more details, check the
 <!--
 - `ServerSideApply`: Enables the [Sever Side Apply (SSA)](/docs/reference/using-api/server-side-apply/)
   feature on the API Server.
+- `ServerSideFieldValidation`: Enables server-side field validation. This means the validation
+  of resource schema is performed at the API server side rather than the client side
+  (for example, the `kubectl create` or `kubectl apply` command line).
 - `ServiceAccountIssuerDiscovery`: Enable OIDC discovery endpoints (issuer and
   JWKS URLs) for the service account issuer in the API server. See
   [Configure Service Accounts for Pods](/docs/tasks/configure-pod-container/configure-service-account/#service-account-issuer-discovery)
@@ -1689,16 +1734,20 @@ For more details, check the
 - `ServiceLBNodePortControl`: Enables the `allocateLoadBalancerNodePorts` field on Services.
 -->
 - `ServerSideApply`：在 API 服务器上启用
-  [服务器端应用（SSA）](/zh/docs/reference/using-api/server-side-apply/) 。
+  [服务器端应用（SSA）](/zh-cn/docs/reference/using-api/server-side-apply/) 。
+- `ServerSideFieldValidation`：启用服务器端字段验证。
+  这意味着验证资源模式在 API 服务器端而不是客户端执行
+  （例如，`kubectl create` 或 `kubectl apply` 命令行）。
 - `ServiceAccountIssuerDiscovery`：在 API 服务器中为服务帐户颁发者启用 OIDC 发现端点
   （颁发者和 JWKS URL）。详情参见
-  [为 Pod 配置服务账户](/zh/docs/tasks/configure-pod-container/configure-service-account/#service-account-issuer-discovery) 。
+  [为 Pod 配置服务账户](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#service-account-issuer-discovery) 。
 - `ServiceAppProtocol`：为 Service 和 Endpoints 启用 `appProtocol` 字段。
 - `ServiceInternalTrafficPolicy`：为服务启用 `internalTrafficPolicy` 字段。
 - `ServiceLBNodePortControl`：为服务启用 `allocateLoadBalancerNodePorts` 字段。
 <!--
 - `ServiceLoadBalancerClass`: Enables the `loadBalancerClass` field on Services. See
-  [Specifying class of load balancer implementation](/docs/concepts/services-networking/service/#load-balancer-class) for more details.
+  [Specifying class of load balancer implementation](/docs/concepts/services-networking/service/#load-balancer-class)
+  for more details.
 - `ServiceLoadBalancerFinalizer`: Enable finalizer protection for Service load balancers.
 - `ServiceNodeExclusion`: Enable the exclusion of nodes from load balancers
   created by a cloud provider. A node is eligible for exclusion if labelled with
@@ -1715,16 +1764,16 @@ For more details, check the
   for more details.
 -->
 - `ServiceLoadBalancerClass`: 为服务启用 `loadBalancerClass` 字段。 
-  有关更多信息，请参见[指定负载均衡器实现类](/zh/docs/concepts/services-networking/service/#load-balancer-class)。
+  有关更多信息，请参见[指定负载均衡器实现类](/zh-cn/docs/concepts/services-networking/service/#load-balancer-class)。
 - `ServiceLoadBalancerFinalizer`：为服务负载均衡启用终结器（finalizers）保护。
 - `ServiceNodeExclusion`：启用从云提供商创建的负载均衡中排除节点。
   如果节点标记有 `node.kubernetes.io/exclude-from-external-load-balancers`，
   标签，则可以排除该节点。
 - `ServiceTopology`：启用服务拓扑可以让一个服务基于集群的节点拓扑进行流量路由。
-  有关更多详细信息，请参见[服务拓扑](/zh/docs/concepts/services-networking/service-topology/)。
+  有关更多详细信息，请参见[服务拓扑](/zh-cn/docs/concepts/services-networking/service-topology/)。
 - `ServiceIPStaticSubrange`：启用服务 ClusterIP 分配策略，从而细分 ClusterIP 范围。
   动态分配的 ClusterIP 地址将优先从较高范围分配，以低冲突风险允许用户从较低范围分配静态 ClusterIP。
-  更多详细信息请参阅[避免冲突](/zh/docs/concepts/services-networking/service/#avoiding-collisions)
+  更多详细信息请参阅[避免冲突](/zh-cn/docs/concepts/services-networking/service/#avoiding-collisions)
 <!--
 - `SetHostnameAsFQDN`: Enable the ability of setting Fully Qualified Domain
   Name(FQDN) as the hostname of a pod. See
@@ -1732,17 +1781,17 @@ For more details, check the
 - `SizeMemoryBackedVolumes`: Enable kubelets to determine the size limit for
   memory-backed volumes (mainly `emptyDir` volumes).
 - `StartupProbe`: Enable the
-  [startup](/docs/concepts/workloads/pods/pod-lifecycle/#when-should-you-use-a-startup-probe)
+  [startup](/docs/concepts/scheduling-eviction/lifecycle/#when-should-you-use-a-startup-probe)
   probe in the kubelet.
 - `StatefulSetMinReadySeconds`: Allows `minReadySeconds` to be respected by
   the StatefulSet controller.
 -->
 - `SetHostnameAsFQDN`：启用将全限定域名（FQDN）设置为 Pod 主机名的功能。
-  请参见[为 Pod 设置 `setHostnameAsFQDN` 字段](/zh/docs/concepts/services-networking/dns-pod-service/#pod-sethostnameasfqdn-field)。
+  请参见[为 Pod 设置 `setHostnameAsFQDN` 字段](/zh-cn/docs/concepts/services-networking/dns-pod-service/#pod-sethostnameasfqdn-field)。
 - `SizeMemoryBackedVolumes`：允许 kubelet 检查基于内存制备的卷的尺寸约束
   （目前主要针对 `emptyDir` 卷）。
 - `StartupProbe`：在 kubelet 中启用
-  [启动探针](/zh/docs/concepts/workloads/pods/pod-lifecycle/#when-should-you-use-a-startup-probe)。
+  [启动探针](/zh-cn/docs/concepts/scheduling-eviction/lifecycle/#when-should-you-use-a-startup-probe)。
 - `StatefulSetMinReadySeconds`: 允许 StatefulSet 控制器采纳 `minReadySeconds` 设置。
 <!--
 - `StorageObjectInUseProtection`: Postpone the deletion of PersistentVolume or
@@ -1752,7 +1801,7 @@ For more details, check the
 - `StorageVersionHash`: Allow API servers to expose the storage version hash in the
   discovery.
 - `StreamingProxyRedirects`: Instructs the API server to intercept (and follow)
-   redirects from the backend (kubelet) for streaming requests.
+  redirects from the backend (kubelet) for streaming requests.
   Examples of streaming requests include the `exec`, `attach` and `port-forward` requests.
 -->
 - `StorageObjectInUseProtection`：如果仍在使用 PersistentVolume 或
@@ -1774,7 +1823,7 @@ For more details, check the
 - `SupportPodPidsLimit`: Enable the support to limiting PIDs in Pods.
 -->
 - `SupportIPVSProxyMode`：启用使用 IPVS 提供集群内服务负载平衡。更多详细信息，请参见
-  [服务代理](/zh/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies)。
+  [服务代理](/zh-cn/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies)。
 - `SupportNodePidsLimit`：启用支持，限制节点上的 PID 用量。
   `--system-reserved` 和 `--kube-reserved` 中的参数 `pid=<数值>` 可以分别用来
   设定为整个系统所预留的进程 ID 个数和为 Kubernetes 系统守护进程预留的进程 ID 个数。
@@ -1791,11 +1840,11 @@ For more details, check the
   to clean up resources after they finish execution.
 -->
 - `SuspendJob`： 启用支持以暂停和恢复作业。 更多详细信息，请参见
-  [Jobs 文档](/zh/docs/concepts/workloads/controllers/job/)。
+  [Jobs 文档](/zh-cn/docs/concepts/workloads/controllers/job/)。
 - `Sysctls`：允许为每个 Pod 设置的名字空间内核参数（sysctls）。
-  更多详细信息，请参见 [sysctls](/zh/docs/tasks/administer-cluster/sysctl-cluster/)。
+  更多详细信息，请参见 [sysctls](/zh-cn/docs/tasks/administer-cluster/sysctl-cluster/)。
 - `TTLAfterFinished`：资源完成执行后，允许
-  [TTL 控制器](/zh/docs/concepts/workloads/controllers/ttlafterfinished/)清理资源。
+  [TTL 控制器](/zh-cn/docs/concepts/workloads/controllers/ttlafterfinished/)清理资源。
 <!--
 - `TaintBasedEvictions`: Enable evicting pods from nodes based on taints on Nodes
   and tolerations on Pods.
@@ -1808,12 +1857,12 @@ For more details, check the
   Pod through a [`projected` volume](/docs/concepts/storage/volumes/#projected).
 -->
 - `TaintBasedEvictions`：根据节点上的污点和 Pod 上的容忍度启用从节点驱逐 Pod 的特性。
-  更多详细信息可参见[污点和容忍度](/zh/docs/concepts/scheduling-eviction/taint-and-toleration/)。
-- `TaintNodesByCondition`：根据[节点状况](/zh/docs/concepts/scheduling-eviction/taint-and-toleration/)
+  更多详细信息可参见[污点和容忍度](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)。
+- `TaintNodesByCondition`：根据[节点状况](/zh-cn/docs/concepts/scheduling-eviction/taint-and-toleration/)
   启用自动为节点标记污点。
 - `TokenRequest`：在服务帐户资源上启用 `TokenRequest` 端点。
 - `TokenRequestProjection`：启用通过
-  [`projected` 卷](/zh/docs/concepts/storage/volumes/#projected)
+  [`projected` 卷](/zh-cn/docs/concepts/storage/volumes/#projected)
   将服务帐户令牌注入到 Pod 中的特性。
 <!--
 - `TopologyAwareHints`: Enables topology aware routing based on topology hints
@@ -1828,9 +1877,9 @@ For more details, check the
   `StreamingProxyRedirects` flag is enabled.
 -->
 - `TopologyAwareHints`： 在 EndpointSlices 中启用基于拓扑提示的拓扑感知路由。
-  更多详细信息可参见[拓扑感知提示](/zh/docs/concepts/services-networking/topology-aware-hints/)。
+  更多详细信息可参见[拓扑感知提示](/zh-cn/docs/concepts/services-networking/topology-aware-hints/)。
 - `TopologyManager`：启用一种机制来协调 Kubernetes 不同组件的细粒度硬件资源分配。
-  详见[控制节点上的拓扑管理策略](/zh/docs/tasks/administer-cluster/topology-manager/)。
+  详见[控制节点上的拓扑管理策略](/zh-cn/docs/tasks/administer-cluster/topology-manager/)。
 - `ValidateProxyRedirects`： 这个标志控制 API 服务器是否应该验证只跟随到相同的主机的重定向。
   仅在启用 `StreamingProxyRedirects` 标志时被使用。
 <!--
@@ -1848,7 +1897,7 @@ For more details, check the
 - `VolumePVCDataSource`：启用对将现有 PVC 指定数据源的支持。
 - `VolumeScheduling`：启用卷拓扑感知调度，并使 PersistentVolumeClaim（PVC）
   绑定能够了解调度决策；当与 PersistentLocalVolumes 特性门控一起使用时，
-  还允许使用 [`local`](/zh/docs/concepts/storage/volumes/#local) 卷类型。
+  还允许使用 [`local`](/zh-cn/docs/concepts/storage/volumes/#local) 卷类型。
 - `VolumeSnapshotDataSource`：启用卷快照数据源支持。
 - `VolumeSubpath`： 允许在容器中挂载卷的子路径。
 <!--
@@ -1875,15 +1924,16 @@ For more details, check the
   with as a non-default user. See
   [Configuring RunAsUserName](/docs/tasks/configure-pod-container/configure-runasusername)
   for more details.
+  
 -->
 - `WindowsEndpointSliceProxying`: 当启用时，运行在 Windows 上的 kube-proxy
   将使用 EndpointSlices 而不是 Endpoints 作为主要数据源，从而实现可伸缩性和并改进性能。 
-  详情请参见[启用端点切片](/zh/docs/concepts/services-networking/endpoint-slices/).
+  详情请参见[启用端点切片](/zh-cn/docs/concepts/services-networking/endpoint-slices/).
 - `WindowsGMSA`：允许将 GMSA 凭据规范从 Pod 传递到容器运行时。
 - `WindowsHostProcessContainers`: 启用对 Windows HostProcess 容器的支持。
 - `WindowsRunAsUserName`：提供使用非默认用户在 Windows 容器中运行应用程序的支持。
   详情请参见
-  [配置 RunAsUserName](/zh/docs/tasks/configure-pod-container/configure-runasusername)。
+  [配置 RunAsUserName](/zh-cn/docs/tasks/configure-pod-container/configure-runasusername)。
 
 ## {{% heading "whatsnext" %}}
 
@@ -1896,10 +1946,10 @@ For more details, check the
   `storage.k8s.io/v1beta1/csistoragecapacities`, set `--runtime-config=storage.k8s.io/v1beta1/csistoragecapacities`.
   See [API Versioning](/docs/reference/using-api/#api-versioning) for more details on the command line flags.
 -->
-* Kubernetes 的[弃用策略](/zh/docs/reference/using-api/deprecation-policy/)
+* Kubernetes 的[弃用策略](/zh-cn/docs/reference/using-api/deprecation-policy/)
   介绍了项目针对已移除特性和组件的处理方法。
 * 从 Kubernetes 1.24 开始，默认不启用新的 beta API。
   启用 beta 功能时，还需要启用所有关联的 API 资源。
   例如：要启用一个特定资源，如 `storage.k8s.io/v1beta1/csistoragecapacities`，
   请设置 `--runtime-config=storage.k8s.io/v1beta1/csistoragecapacities`。
-  有关命令行标志的更多详细信息，请参阅 [API 版本控制](/zh/docs/reference/using-api/#api-versioning)。
+  有关命令行标志的更多详细信息，请参阅 [API 版本控制](/zh-cn/docs/reference/using-api/#api-versioning)。
diff --git a/content/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager.md b/content/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager.md
index 69d31090b95..4e761a8e22d 100644
--- a/content/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager.md
+++ b/content/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager.md
@@ -2,21 +2,8 @@
 title: kube-controller-manager
 content_type: tool-reference
 weight: 30
-auto_generated: true
 ---
 
-<!--
-The file is auto-generated from the Go source code of the component using a generic
-[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
-to generate the reference documentation, please read
-[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
-To update the reference conent, please follow the 
-[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
-guide. You can file document formatting bugs against the
-[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
--->
-
-
 ## {{% heading "synopsis" %}}
 
 <!--
@@ -71,7 +58,7 @@ The map from metric-label to value allow-list of this label. The key's format is
 -->
 从度量值标签到准许值列表的映射。键名的格式为&lt;MetricName&gt;,&lt;LabelName&gt;。
 准许值的格式为&lt;allowed_value&gt;,&lt;allowed_value&gt;...。
-例如，<code>metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3'
+例如，<code>metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3',
 metric2,label='v1,v2,v3'</code>。
 </p>
 </td>
@@ -86,7 +73,7 @@ metric2,label='v1,v2,v3'</code>。
 The reconciler sync wait time between volume attach detach. This duration must be larger than one second, and increasing this value from the default may allow for volumes to be mismatched with pods.
 -->
 协调器（reconciler）在相邻两次对存储卷进行挂载和解除挂载操作之间的等待时间。
-此时长必须长于 1 秒钟。此值设置为大于默认值时，可能导致存储卷无法与 Pods 匹配。
+此时长必须长于 1 秒钟。此值设置为大于默认值时，可能导致存储卷无法与 Pod 匹配。
 </td>
 </tr>
 
@@ -98,9 +85,9 @@ The reconciler sync wait time between volume attach detach. This duration must b
 <!--
 kubeconfig file pointing at the 'core' kubernetes server with enough rights to create tokenreviews.authentication.k8s.io. This is optional. If empty, all token requests are considered to be anonymous and no client CA is looked up in the cluster.
 -->
-此标志值为一个 kubeconfig 文件的路径名。该文件中包含与某 Kubernetes “核心” 
+此标志值为一个 kubeconfig 文件的路径名。该文件中包含与某 Kubernetes “核心”
 服务器相关的信息，并支持足够的权限以创建 tokenreviews.authentication.k8s.io。
-此选项是可选的。如果设置为空值，所有令牌请求都会被认作匿名请求，
+此选项是可选的。如果设置为空值，则所有令牌请求都会被认作匿名请求，
 Kubernetes 也不再在集群中查找客户端的 CA 证书信息。
 </td>
 </tr>
@@ -113,8 +100,8 @@ Kubernetes 也不再在集群中查找客户端的 CA 证书信息。
 <!--
 If false, the authentication-kubeconfig will be used to lookup missing authentication configuration from the cluster.
 -->
-此值为 false 时，通过 authentication-kubeconfig 参数所指定的文件会被用来
-检索集群中缺失的身份认证配置信息。
+此值为 false 时，通过 authentication-kubeconfig
+参数所指定的文件会被用来检索集群中缺失的身份认证配置信息。
 </td>
 </tr>
 
@@ -256,8 +243,8 @@ Type of CIDR allocator to use
 If set, any request presenting a client certificate signed by one of the authorities in the client-ca-file is authenticated with an identity corresponding to the CommonName of the client certificate.
 -->
 如果设置了此标志，对于所有能够提供客户端证书的请求，若该证书由
-<code>--client-ca-file</code> 中所给机构之一签署，则该请求会被
-成功认证为客户端证书中 CommonName 所标识的实体。
+<code>--client-ca-file</code> 中所给机构之一签署，
+则该请求会被成功认证为客户端证书中 CommonName 所标识的实体。
 </td>
 </tr>
 
@@ -293,7 +280,7 @@ The provider for cloud services. Empty string for no provider.
 <!--
 CIDR Range for Pods in cluster. Requires --allocate-node-cidrs to be true
 -->
-集群中 Pods 的 CIDR 范围。要求 <code>--allocate-node-cidrs</code> 标志为 true。
+集群中 Pod 的 CIDR 范围。要求 <code>--allocate-node-cidrs</code> 标志为 true。
 </td>
 </tr>
 
@@ -318,7 +305,7 @@ The instance prefix for the cluster.
 Filename containing a PEM-encoded X509 CA certificate used to issue cluster-scoped certificates.  If specified, no more specific --cluster-signing-* flag may be specified.
 -->
 包含 PEM 编码格式的 X509 CA 证书的文件名。该证书用来发放集群范围的证书。
-如果设置了此标志，则不能指定更具体的<code>--cluster-signing-*</code> 标志。
+如果设置了此标志，则不能指定更具体的 <code>--cluster-signing-*</code> 标志。
 </td>
 </tr>
 
@@ -331,7 +318,7 @@ Filename containing a PEM-encoded X509 CA certificate used to issue cluster-scop
 The max length of duration signed certificates will be given.
 Individual CSRs may request shorter certs by setting spec.expirationSeconds.
 -->
-所签名证书的有效期限。每个 CSR 可以通过设置 spec.expirationSeconds 来请求更短的证书。
+所签名证书的有效期限。每个 CSR 可以通过设置 <code>spec.expirationSeconds</code> 来请求更短的证书。
 </td>
 </tr>
 
@@ -358,7 +345,7 @@ If specified, no more specific --cluster-signing-* flag may be specified.
 Filename containing a PEM-encoded X509 CA certificate used to issue certificates for the kubernetes.io/kube-apiserver-client signer.  If specified, --cluster-signing-{cert,key}-file must not be set.
 -->
 包含 PEM 编码的 X509 CA 证书的文件名，
-该证书用于为 kubernetes.io/kube-apiserver-client 签署者颁发证书。 
+该证书用于为 kubernetes.io/kube-apiserver-client 签署者颁发证书。
 如果指定，则不得设置 <code>--cluster-signing-{cert,key}-file</code>。
 </td>
 </tr>
@@ -372,7 +359,7 @@ Filename containing a PEM-encoded X509 CA certificate used to issue certificates
 Filename containing a PEM-encoded RSA or ECDSA private key used to sign certificates for the kubernetes.io/kube-apiserver-client signer.  If specified, --cluster-signing-{cert,key}-file must not be set.
 -->
 包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名，
-该私钥用于为 kubernetes.io/kube-apiserver-client 签署者签名证书。 
+该私钥用于为 kubernetes.io/kube-apiserver-client 签署者签名证书。
 如果指定，则不得设置 <code>--cluster-signing-{cert,key}-file</code>。
 </td>
 </tr>
@@ -386,7 +373,7 @@ Filename containing a PEM-encoded RSA or ECDSA private key used to sign certific
 Filename containing a PEM-encoded X509 CA certificate used to issue certificates for the kubernetes.io/kube-apiserver-client-kubelet signer.  If specified, --cluster-signing-{cert,key}-file must not be set.
 -->
 包含 PEM 编码的 X509 CA 证书的文件名，
-该证书用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者颁发证书。 
+该证书用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者颁发证书。
 如果指定，则不得设置 <code>--cluster-signing-{cert,key}-file</code>。
 </td>
 </tr>
@@ -672,7 +659,7 @@ Interval between starting controller managers.
 <!--
 A list of controllers to enable. '*' enables all on-by-default controllers, 'foo' enables the controller named 'foo', '-foo' disables the controller named 'foo'.<br/>All controllers: attachdetach, bootstrapsigner, cloud-node-lifecycle, clusterrole-aggregation, cronjob, csrapproving, csrcleaner, csrsigning, daemonset, deployment, disruption, endpoint, endpointslice, endpointslicemirroring, ephemeral-volume, garbagecollector, horizontalpodautoscaling, job, namespace, nodeipam, nodelifecycle, persistentvolume-binder, persistentvolume-expander, podgc, pv-protection, pvc-protection, replicaset, replicationcontroller, resourcequota, root-ca-cert-publisher, route, service, serviceaccount, serviceaccount-token, statefulset, tokencleaner, ttl, ttl-after-finished<br/>Disabled-by-default controllers: bootstrapsigner, tokencleaner
 -->
-要启用的控制器列表。<code>\*</code> 表示启用所有默认启用的控制器；
+要启用的控制器列表。<code>*</code> 表示启用所有默认启用的控制器；
 <code>foo</code> 启用名为 foo 的控制器；
 <code>-foo</code> 表示禁用名为 foo 的控制器。<br/>
 控制器的全集：attachdetach、bootstrapsigner、cloud-node-lifecycle、clusterrole-aggregation、cronjob、csrapproving、csrcleaner、csrsigning、daemonset、deployment、disruption、endpoint、endpointslice、endpointslicemirroring、ephemeral-volume、garbagecollector、horizontalpodautoscaling、job、namespace、nodeipam、nodelifecycle、persistentvolume-binder、persistentvolume-expander、podgc、pv-protection、pvc-protection、replicaset、replicationcontroller、resourcequota、root-ca-cert-publisher、route、service、serviceaccount、serviceaccount-token、statefulset、tokencleaner、ttl、ttl-after-finished<br/>
@@ -700,13 +687,11 @@ Disable volume attach detach reconciler sync. Disabling this may cause volumes t
 <!--
 This flag provides an escape hatch for misbehaving metrics. You must provide the fully qualified metric name in order to disable it. Disclaimer: disabling metrics is higher in precedence than showing hidden metrics.
 -->
-此标志提供对行为异常的度量值的防控措施。你必须提供度量值的
-完全限定名称才能将其禁用。<B>声明</B>：禁用度量值的操作比显示隐藏度量值
-的操作优先级高。
+此标志提供对行为异常的度量值的防控措施。你必须提供度量值的完全限定名称才能将其禁用。
+<B>声明</B>：禁用度量值的操作比显示隐藏度量值的操作优先级高。
 </p></td>
 </tr>
 
-
 <tr>
 <td colspan="2">--enable-dynamic-provisioning&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<!--Default:-->默认值：true</td>
 </tr>
@@ -741,7 +726,7 @@ Enable HostPath PV provisioning when running without a cloud provider. This allo
 -->
 在没有云驱动程序的情况下，启用 HostPath 持久卷的制备。
 此参数便于对卷供应功能进行开发和测试。HostPath 卷的制备并非受支持的功能特性，
-在多节点的集群中也无法工作，因此除了开发和测试环境中不应使用。
+在多节点的集群中也无法工作，因此除了开发和测试环境中不应使用 HostPath 卷的制备。
 </td>
 </tr>
 
@@ -757,7 +742,6 @@ Whether to enable controller leader migration.
 </p></td>
 </tr>
 
-
 <tr>
 <td colspan="2">--enable-taint-manager&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<!--Default:-->默认值：true</td>
 </tr>
@@ -766,8 +750,8 @@ Whether to enable controller leader migration.
 <!--
 WARNING: Beta feature. If set to true enables NoExecute Taints and will evict all not-tolerating Pod running on Nodes tainted with this kind of Taints.
 -->
-警告：此为Beta 阶段特性。设置为 true 时会启用 NoExecute 污点，
-并在所有标记了此污点的节点上逐出所有无法忍受该污点的 Pods。
+警告：此为 Beta 阶段特性。设置为 true 时会启用 NoExecute 污点，
+并在所有标记了此污点的节点上驱逐所有无法忍受该污点的 Pod。
 </td>
 </tr>
 
@@ -779,7 +763,7 @@ WARNING: Beta feature. If set to true enables NoExecute Taints and will evict al
 <!--
 The length of endpoint updates batching period. Processing of pod changes will be delayed by this duration to join them with potential upcoming updates and reduce the overall number of endpoints updates. Larger number = higher endpoint programming latency, but lower number of endpoints revision generated
 -->
-端点（Endpoint）批量更新周期时长。对 Pods 变更的处理会被延迟，
+端点（Endpoint）批量更新周期时长。对 Pod 变更的处理会被延迟，
 以便将其与即将到来的更新操作合并，从而减少端点更新操作次数。
 较大的数值意味着端点更新的迟滞时间会增长，也意味着所生成的端点版本个数会变少。
 </td>
@@ -793,7 +777,7 @@ The length of endpoint updates batching period. Processing of pod changes will b
 <!--
 The length of endpoint slice updates batching period. Processing of pod changes will be delayed by this duration to join them with potential upcoming updates and reduce the overall number of endpoints updates. Larger number = higher endpoint programming latency, but lower number of endpoints revision generated
 -->
-端点片段（Endpoint Slice）批量更新周期时长。对 Pods 变更的处理会被延迟，
+端点片段（Endpoint Slice）批量更新周期时长。对 Pod 变更的处理会被延迟，
 以便将其与即将到来的更新操作合并，从而减少端点更新操作次数。
 较大的数值意味着端点更新的迟滞时间会增长，也意味着所生成的端点版本个数会变少。
 </td>
@@ -808,8 +792,8 @@ The length of endpoint slice updates batching period. Processing of pod changes
 The plugin to use when cloud provider is set to external. Can be empty, should only be set when cloud-provider is external. Currently used to allow node and volume controllers to work for in tree cloud providers.
 -->
 当云驱动程序设置为 external 时要使用的插件名称。此字符串可以为空。
-只能在云驱动程序为 external 时设置。目前用来保证节点控制器和卷控制器能够
-在三种云驱动上正常工作。
+只能在云驱动程序为 external 时设置。
+目前用来保证节点控制器和卷控制器能够在三种云驱动上正常工作。
 </td>
 </tr>
 
@@ -922,7 +906,7 @@ WinDSR=true|false (ALPHA - default=false)<br/>
 WinOverlay=true|false (BETA - default=true)<br/>
 WindowsHostProcessContainers=true|false (BETA - default=true)
 -->
-一组 key=value 对，用来描述测试性/试验性功能的特性门控（Feature Gate）。可选项有：
+一组 key=value 对，用来描述测试性/试验性功能的特性门控（Feature Gate）。可选项有：<br/>
 APIListChunking=true|false (BETA - 默认值=true)<br/>
 APIPriorityAndFairness=true|false (BETA - 默认值=true)<br/>
 APIResponseCompression=true|false (BETA - 默认值=true)<br/>
@@ -1071,8 +1055,8 @@ Pod 启动之后可以忽略 CPU 采样值的时长。
 <!--
 The period for which autoscaler will look backwards and not scale down below any recommendation it made during that period.
 -->
-自动扩缩程序的回溯时长。自动扩缩器不会基于在给定的时长内所建议的规模
-对负载执行规模缩小的操作。
+自动扩缩程序的回溯时长。
+自动扩缩程序不会基于在给定的时长内所建议的规模对负载执行缩容操作。
 </td>
 </tr>
 
@@ -1096,7 +1080,7 @@ Pod 启动之后，在此值所给定的时长内，就绪状态的变化都不
 <!--
 The period for syncing the number of pods in horizontal pod autoscaler.
 -->
-水平 Pod 扩缩器对 Pods 数目执行同步操作的周期。
+水平 Pod 扩缩器对 Pod 数目执行同步操作的周期。
 </td>
 </tr>
 
@@ -1182,8 +1166,9 @@ Path to kubeconfig file with authorization and master location information.
 <!--
 Number of nodes from which NodeController treats the cluster as large for the eviction logic purposes. --secondary-node-eviction-rate is implicitly overridden to 0 for clusters this size or smaller.
 -->
-节点控制器在执行 Pod 逐出操作逻辑时，基于此标志所设置的节点个数阈值来判断
-所在集群是否为大规模集群。当集群规模小于等于此规模时，
+节点控制器在执行 Pod 驱逐操作逻辑时，
+基于此标志所设置的节点个数阈值来判断所在集群是否为大规模集群。
+当集群规模小于等于此规模时，
 <code>--secondary-node-eviction-rate</code> 会被隐式重设为 0。
 </td>
 </tr>
@@ -1209,10 +1194,11 @@ Start a leader election client and gain leadership before executing the main loo
 <!--
 The duration that non-leader candidates will wait after observing a leadership renewal until attempting to acquire leadership of a led but unrenewed leader slot. This is effectively the maximum duration that a leader can be stopped before it is replaced by another candidate. This is only applicable if leader election is enabled.
 -->
-对于未获得领导者身份的节点，在探测到领导者身份需要更迭时需要等待
-此标志所设置的时长，才能尝试去获得曾经是领导者但尚未续约的席位。
-本质上，这个时长也是现有领导者节点在被其他候选节点替代之前可以停止
-的最长时长。只有集群启用了领导者选举机制时，此标志才起作用。
+对于未获得领导者身份的节点，
+在探测到领导者身份需要更迭时需要等待此标志所设置的时长，
+才能尝试去获得曾经是领导者但尚未续约的席位。本质上，
+这个时长也是现有领导者节点在被其他候选节点替代之前可以停止的最长时长。
+只有集群启用了领导者选举机制时，此标志才起作用。
 </td>
 </tr>
 
@@ -1240,7 +1226,7 @@ The interval between attempts by the acting master to renew a leadership slot be
 The type of resource object that is used for locking during leader election. Supported options are 'leases', 'endpointsleases' and 'configmapsleases'.
 -->
 在领导者选举期间用于锁定的资源对象的类型。 支持的选项为
-"leases"、"endpointsleases" 和 "configmapsleases"。
+<code>leases</code>、<code>endpointsleases</code> 和 <code>configmapsleases</code>。
 </td>
 </tr>
 
@@ -1465,8 +1451,8 @@ Number of nodes per second on which pods are deleted in case of node failure whe
 -->
 当某区域健康时，在节点故障的情况下每秒删除 Pods 的节点数。
 请参阅 <code>--unhealthy-zone-threshold</code>
-以了解“健康”的判定标准。这里的区域（zone）在集群并不跨多个区域时
-指的是整个集群。
+以了解“健康”的判定标准。
+这里的区域（zone）在集群并不跨多个区域时指的是整个集群。
 </td>
 </tr>
 
@@ -1545,7 +1531,7 @@ If true, SO_REUSEPORT will be used when binding the port, which allows more than
 <!--
 The grace period for deleting pods on failed nodes.
 -->
-在失效的节点上删除 Pods 时为其预留的宽限期。
+在失效的节点上删除 Pod 时为其预留的宽限期。
 </td>
 </tr>
 
@@ -1569,8 +1555,8 @@ Enable profiling via web interface host:port/debug/pprof/
 <!--
 the increment of time added per Gi to ActiveDeadlineSeconds for an NFS scrubber pod
 -->
-NFS 清洗 Pod 在清洗用过的卷时，根据此标志所设置的秒数，为每清洗 1 GiB 数据
-增加对应超时时长，作为 activeDeadlineSeconds。
+NFS 清洗 Pod 在清洗用过的卷时，根据此标志所设置的秒数，
+为每清洗 1 GiB 数据增加对应超时时长，作为 activeDeadlineSeconds。
 </td>
 </tr>
 
@@ -1607,7 +1593,7 @@ NFS 回收器 Pod 要使用的 activeDeadlineSeconds 参数下限。
 <!--
 The file path to a pod definition used as a template for HostPath persistent volume recycling. This is for development and testing only and will not work in a multi-node cluster.
 -->
-对 HostPath 持久卷进行回收利用时，用作模版的 Pod 定义文件所在路径。
+对 HostPath 持久卷进行回收利用时，用作模板的 Pod 定义文件所在路径。
 此标志仅用于开发和测试目的，不适合多节点集群中使用。
 </td>
 </tr>
@@ -1620,7 +1606,7 @@ The file path to a pod definition used as a template for HostPath persistent vol
 <!--
 The file path to a pod definition used as a template for NFS persistent volume recycling
 -->
-对 NFS 卷执行回收利用时，用作模版的 Pod 定义文件所在路径。
+对 NFS 卷执行回收利用时，用作模板的 Pod 定义文件所在路径。
 </td>
 </tr>
 
@@ -1759,7 +1745,7 @@ The period for reconciling routes created for Nodes by cloud provider.
 <!--
 Number of nodes per second on which pods are deleted in case of node failure when a zone is unhealthy (see --unhealthy-zone-threshold for definition of healthy/unhealthy). Zone refers to entire cluster in non-multizone clusters. This value is implicitly overridden to 0 if the cluster size is smaller than --large-cluster-size-threshold.
 -->
-当区域不健康，节点失效时，每秒钟从此标志所给的节点个数上删除 Pods。
+当一个区域不健康造成节点失效时，每秒钟从此标志所给的节点上删除 Pod 的节点个数。
 参见 <code>--unhealthy-zone-threshold</code> 以了解“健康与否”的判定标准。
 在只有一个区域的集群中，区域指的是整个集群。如果集群规模小于
 <code>--large-cluster-size-threshold</code> 所设置的节点个数时，
@@ -1826,8 +1812,8 @@ The previous version for which you want to show hidden metrics. Only the previou
 <!--
 Number of terminated pods that can exist before the terminated pod garbage collector starts deleting terminated pods. If &lt;= 0, the terminated pod garbage collector is disabled.
 -->
-在已终止 Pods 垃圾收集器删除已终止 Pods 之前，可以保留的已删除
-Pods 的个数上限。若此值小于等于 0，则相当于禁止垃圾回收已终止的 Pods。
+在已终止 Pod 垃圾收集器删除已终止 Pod 之前，可以保留的已终止 Pod 的个数上限。
+若此值小于等于 0，则相当于禁止垃圾回收已终止的 Pod。
 </td>
 </tr>
 
@@ -1896,8 +1882,9 @@ A pair of x509 certificate and private key file paths, optionally suffixed with
 -->
 X509 证书和私钥文件路径的耦对。作为可选项，可以添加域名模式的列表，
 其中每个域名模式都是可以带通配片段前缀的全限定域名（FQDN）。
-域名模式也可以使用 IP 地址字符串，不过只有 API 服务器在所给 IP 地址上
-对客户端可见时才可以使用 IP 地址。在未提供域名模式时，从证书中提取域名。
+域名模式也可以使用 IP 地址字符串，
+不过只有 API 服务器在所给 IP 地址上对客户端可见时才可以使用 IP 地址。
+在未提供域名模式时，从证书中提取域名。
 如果有非通配方式的匹配，则优先于通配方式的匹配；显式的域名模式优先于提取的域名。
 当存在多个密钥/证书耦对时，可以多次使用 <code>--tls-sni-cert-key</code> 标志。
 例如：<code>example.crt,example.key</code> 或 <code>foo.crt,foo.key:\*.foo.com,foo.com</code>。
diff --git a/content/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler.md b/content/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler.md
index 28fb4f2a61b..530cf647ff1 100644
--- a/content/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler.md
+++ b/content/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler.md
@@ -19,14 +19,14 @@ each Pod in the scheduling queue according to constraints and available
 resources. The scheduler then ranks each valid Node and binds the Pod to a
 suitable Node. Multiple different schedulers may be used within a cluster;
 kube-scheduler is the reference implementation.
-See [scheduling](https://kubernetes.io/docs/concepts/scheduling-eviction/)
+See [scheduling](/docs/concepts/scheduling-eviction/)
 for more information about scheduling and the kube-scheduler component.
 -->
 Kubernetes 调度器是一个控制面进程，负责将 Pods 指派到节点上。
 调度器基于约束和可用资源为调度队列中每个 Pod 确定其可合法放置的节点。
 调度器之后对所有合法的节点进行排序，将 Pod 绑定到一个合适的节点。
 在同一个集群中可以使用多个不同的调度器；kube-scheduler 是其参考实现。
-参阅[调度](/zh/docs/concepts/scheduling-eviction/)以获得关于调度和
+参阅[调度](/zh-cn/docs/concepts/scheduling-eviction/)以获得关于调度和
 kube-scheduler 组件的更多信息。
 
 ```
diff --git a/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md b/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md
index e7bc19c4f68..920e8e01468 100644
--- a/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md
+++ b/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md
@@ -743,12 +743,12 @@ PolicyRule 包含一个映射，基于元数据将请求映射到某审计级别
    <!--Namespaces that this rule matches.
    The empty string &quot;&quot; matches non-namespaced resources.
    An empty list implies every namespace.-->
-   </td>
    <p>
    此规则所适用的名字空间列表。
    空字符串（&quot;&quot;）意味着适用于非名字空间作用域的资源。
    空列表意味着适用于所有名字空间。
    </p>
+</td>
 </tr>
 
 <tr><td><code>nonResourceURLs</code><br/>
diff --git a/content/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1.md b/content/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1.md
index d0c388f054b..be58a4d51fe 100644
--- a/content/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1.md
+++ b/content/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1.md
@@ -2,7 +2,6 @@
 title: kube-proxy 配置 (v1alpha1)
 content_type: tool-reference
 package: kubeproxy.config.k8s.io/v1alpha1
-auto_generated: true
 ---
 
 <!--
@@ -65,7 +64,7 @@ for all interfaces)
    healthzBindAddress is the IP address and port for the health check server to serve on,
 defaulting to 0.0.0.0:10256
    -->
-   <p><code>healthzBindAddress</code> 字段是健康状态检查服务器提供服务时所使用的的 IP 地址和端口，
+   <p><code>healthzBindAddress</code> 字段是健康状态检查服务器提供服务时所使用的 IP 地址和端口，
    默认设置为 '0.0.0.0:10256'。</p>
 </td>
 </tr>
@@ -77,7 +76,7 @@ defaulting to 0.0.0.0:10256
    metricsBindAddress is the IP address and port for the metrics server to serve on,
 defaulting to 127.0.0.1:10249 (set to 0.0.0.0 for all interfaces)
    -->
-   <p><code>metricsBindAddress</code> 字段是度量值服务器提供服务时所使用的的 IP 地址和端口，
+   <p><code>metricsBindAddress</code> 字段是指标服务器提供服务时所使用的 IP 地址和端口，
    默认设置为 '127.0.0.1:10249'（设置为 0.0.0.0 意味着在所有接口上提供服务）。</p>
 </td>
 </tr>
@@ -101,7 +100,7 @@ defaulting to 127.0.0.1:10249 (set to 0.0.0.0 for all interfaces)
 Profiling handlers will be handled by metrics server.
    -->
    <p><code>enableProfiling</code> 字段通过 '/debug/pprof' 处理程序在 Web 界面上启用性能分析。
-   性能分析处理程序将由度量值服务器执行。</p>
+   性能分析处理程序将由指标服务器执行。</p>
 </td>
 </tr>
 <tr><td><code>clusterCIDR</code> <B><!--[Required]-->[必需]</B><br/>
@@ -192,7 +191,7 @@ the range [-1000, 1000]
 in order to proxy service traffic. If unspecified (0-0) then ports will be randomly chosen.
    -->
    <p><code>portRange</code> 字段是主机端口的范围，形式为 ‘beginPort-endPort’（包含边界），
-   用来设置代理服务所使用的端口。如果未指定（即‘0-0’），则代理服务会随机选择端口号。</p>
+   用来设置代理服务所使用的端口。如果未指定（即 ‘0-0’），则代理服务会随机选择端口号。</p>
 </td>
 </tr>
 <tr><td><code>udpIdleTimeout</code> <B><!--[Required]-->[必需]</B><br/>
@@ -244,8 +243,8 @@ An empty string slice is meant to select all network interfaces.
    <p><code>nodePortAddresses</code> 字段是 kube-proxy 进程的
    <code>--nodeport-addresses</code> 命令行参数设置。
    此值必须是合法的 IP 段。所给的 IP 段会作为参数来选择 NodePort 类型服务所使用的接口。
-   如果有人希望将本地主机（Localhost）上的服务暴露给本地访问，同时暴露在某些其他网络接口上
-   以实现某种目标，可以使用 IP 段的列表。
+   如果有人希望将本地主机（Localhost）上的服务暴露给本地访问，
+   同时暴露在某些其他网络接口上以实现某种目标，可以使用 IP 段的列表。
    如果此值被设置为 &quot;127.0.0.0/8&quot;，则 kube-proxy 将仅为 NodePort
    服务选择本地回路（loopback）接口。
    如果此值被设置为非零的 IP 段，则 kube-proxy 会对 IP 作过滤，仅使用适用于当前节点的 IP 地址。
@@ -270,7 +269,7 @@ An empty string slice is meant to select all network interfaces.
    ShowHiddenMetricsForVersion is the version for which you want to show hidden metrics.
    -->
    <p><code>showHiddenMetricsForVersion</code> 字段给出的是一个 Kubernetes 版本号字符串，
-   用来设置你希望显示隐藏度量值的版本。</p>
+   用来设置你希望显示隐藏指标的版本。</p>
 </td>
 </tr>
 <tr><td><code>detectLocalMode</code> <B><!--[Required]-->[必需]</B><br/>
@@ -1088,10 +1087,10 @@ during leader election cycles.
 
 <!--
 LoggingConfiguration contains logging options
-Refer <a href="https://github.com/kubernetes/component-base/blob/master/logs/options.go">Logs Options</a> for more information.
+Refer <a href="https://git.k8s.io/component-base/logs/api/v1/options.go">Logs Options</a> for more information.
 -->
 LoggingConfiguration 包含日志选项。
-参考 [Logs Options](https://github.com/kubernetes/component-base/blob/master/logs/options.go) 以了解更多信息。
+参考 [Logs Options](https://git.k8s.io/component-base/logs/api/v1/options.go) 以了解更多信息。
 
 <table class="table">
 <thead><tr><th width="30%"><!--Field-->字段</th><th><!--Description-->描述</th></tr></thead>
diff --git a/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta2.md b/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta2.md
index bc37e362a7e..eddb9582659 100644
--- a/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta2.md
+++ b/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta2.md
@@ -57,8 +57,8 @@ This version improves on the v1beta1 format by fixing some minor issues and addi
 （从更老版本的 kubeadm 配置文件迁移需要使用更老版本的 kubeadm。例如：</p>
 <ul>
 <li>kubeadm v1.11 版本可以用来从 v1alpha1 迁移到 v1alpha2 版本；kubeadm v1.12
-可用来将 v1alpha2 翻译为 v1alpha3。</li>
-<li>kubeadm v1.13 或 v1.14 可以用来将 v1alpha3 迁移到 v1beta1。</li>
+可用来将 v1alpha2 转换为 v1alpha3。</li>
+<li>kubeadm v1.13 或 v1.14 可以用来将 v1alpha3 转换为 v1beta1。</li>
 </ul>
 ）
 
@@ -243,10 +243,10 @@ https://godoc.org/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration
 for kube proxy official documentation.</p>
 -->
 <p>KubeProxyConfiguration 类型用来更改传递给在集群中部署的 kube-proxy 实例的配置。
-如果此对象没有提供，或者仅部分提供，kubeadm 使用默认值。</p>
+如果此对象没有提供，或者仅部分提供，kubeadm 将使用默认值。</p>
 
 <p>关于 kube-proxy 的官方文档，可参阅
-https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-proxy/
+https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-proxy/
 或者 https://godoc.org/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration。
 </p>
 
@@ -267,7 +267,7 @@ configuration types to be used during a <code>kubeadm init</code> run.</p>
 如果此对象没有提供，或者仅部分提供，kubeadm 使用默认值。</p>
 
 <p>关于 kubelet 的官方文档，可参阅
-https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/
+https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kubelet/
 或者
 https://godoc.org/k8s.io/kubelet/config/v1beta1#KubeletConfiguration。</p>
 
@@ -410,7 +410,7 @@ node only (e.g. the node IP).</p>
 
 <ul>
 <li><code>nodeRegistration</code>：其中包含向集群注册新节点相关的配置字段；
-使用这个类型可以定制节点名称、用使用的 CRI 套接字和所有其他仅适用于当前节点的设置
+使用这个类型可以定制节点名称、要使用的 CRI 套接字和所有其他仅适用于当前节点的设置
 （例如节点 IP 地址）。</li>
 <li><code>apiEndpoint</code>：用来代表最终要部署到此节点上的 API
 服务器实例的端点。</li>
@@ -699,7 +699,7 @@ configuration object lets you customize what IP/DNS name and port the local API
 on. By default, kubeadm tries to auto-detect the IP of the default interface and use that, but in case that process
 fails you may set the desired value here.</p>
    -->
-   <p><code>localAPIEndpoint</code> 所代表的的是在此控制面节点上要部署的 API 服务器的端点。
+   <p><code>localAPIEndpoint</code> 所代表的是在此控制面节点上要部署的 API 服务器的端点。
 在高可用（HA）配置中，此字段与 <code>ClusterConfiguration.controlPlaneEndpoint</code>
 的取值不同：后者代表的是整个集群的全局端点，该端点上的请求会被负载均衡到每个 API 服务器。
 此配置对象允许你定制本地 API 服务器所公布的、可访问的 IP/DNS 名称和端口。
@@ -869,7 +869,7 @@ APIServer 包含集群中 API 服务器部署所必需的设置。
    <!--
    No description provided.
    -->
-   无描述
+   无描述。
    </span>
 </tr>
 <tr><td><code>certSANs</code> <B><!--[Required]-->[必需]</B><br/>
@@ -1194,7 +1194,7 @@ DNS 结构定义要在集群中使用的 DNS 插件。
    <!--
    <code>imageMeta</code> allows to customize the image used for the DNS component.
    -->
-   <code>imageMeta</code> 允许对 DNS 组件所使用的的镜像作定制。
+   <code>imageMeta</code> 允许对 DNS 组件所使用的镜像作定制。
 </p>
 </td>
 </tr>
@@ -1717,7 +1717,7 @@ signing certificate.</p>
    <!--
    <p><code>serviceSubnet</code> is the subnet used by kubernetes Services. Defaults to &quot;10.96.0.0/12&quot;.</p>
    -->
-   <p><code>serviceSubnet</code> 是 kubernetes 服务所使用的的子网。
+   <p><code>serviceSubnet</code> 是 kubernetes 服务所使用的子网。
 默认值为 &quot;10.96.0.0/12&quot;。</p>
 </td>
 </tr>
@@ -1734,7 +1734,7 @@ signing certificate.</p>
 </td>
 <td>
    <!--p><code>dnsDomain</code> is the DNS domain used by kubernetes Services. Defaults to &quot;cluster.local&quot;.</p-->
-   <p><code>dnsDomain</code> 是 kubernetes 服务所使用的的 DNS 域名。
+   <p><code>dnsDomain</code> 是 kubernetes 服务所使用的 DNS 域名。
 默认值为 &quot;cluster.local&quot;。</p>
 </td>
 </tr>
@@ -1802,7 +1802,7 @@ a control-plane taint for control-plane nodes. If you don't want to taint your c
 node, set this field to an empty list, i.e. <code>taints: []</code>, in the YAML file. This field is
 solely used for Node registration.</p>
 -->
-   <p><code>tains</code> 设定 Node API 对象被注册时要附带的污点。
+   <p><code>taints</code> 设定 Node API 对象被注册时要附带的污点。
 若未设置此字段（即字段值为 null），在 <code>kubeadm init</code> 期间，默认为控制平面节点添加控制平面污点。
 如果你不想污染你的控制平面节点，可以将此字段设置为空列表（即 YAML 文件中的 <code>taints: []</code>），
 这个字段只用于节点注册。</p>
diff --git a/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3.md b/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3.md
index ef491a424ee..b407a1d7ad8 100644
--- a/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3.md
+++ b/content/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3.md
@@ -1656,13 +1656,13 @@ This information will be annotated to the Node API object, for later re-use</p--
 </td>
 <td>
 <!--
-   <p><code>tains</code> specifies the taints the Node API object should be registered with.
+   <p><code>taints</code> specifies the taints the Node API object should be registered with.
 If this field is unset, i.e. nil, in the <code>kubeadm init</code> process it will be defaulted
 with a control-plane taint for control-plane nodes.
 If you don't want to taint your control-plane node, set this field to an empty list,
 i.e. <code>taints: []</code> in the YAML file. This field is solely used for Node registration.</p>
 -->
-   <p><code>tains</code> 设定 Node API 对象被注册时要附带的污点。
+   <p><code>taints</code> 设定 Node API 对象被注册时要附带的污点。
 若未设置此字段（即字段值为 null），在 <code>kubeadm init</code> 期间，默认为控制平面节点添加控制平面污点。
 如果你不想污染你的控制平面节点，可以将此字段设置为空列表（即 YAML 文件中的 <code>taints: []</code>），
 这个字段只用于节点注册。</p>
diff --git a/content/zh-cn/docs/reference/config-api/kubelet-config.v1beta1.md b/content/zh-cn/docs/reference/config-api/kubelet-config.v1beta1.md
index 15864fe93d1..e67edb1a928 100644
--- a/content/zh-cn/docs/reference/config-api/kubelet-config.v1beta1.md
+++ b/content/zh-cn/docs/reference/config-api/kubelet-config.v1beta1.md
@@ -971,7 +971,7 @@ run those in addition to the pods specified by static pod files, and exit.
 Default: false
    -->
    <p><code>runOnce</code>字段被设置时，kubelet 会咨询 API 服务器一次并获得 Pod 列表，
-运行在静态 Pod 文件中指定的 Pod 及这里所获得的的 Pod，然后退出。</p>
+运行在静态 Pod 文件中指定的 Pod 及这里所获得的 Pod，然后退出。</p>
    <p>默认值：false</p>
 </td>
 </tr>
@@ -1467,13 +1467,13 @@ Default: &quot;&quot;
 <td>
    <!--systemReservedCgroup helps the kubelet identify absolute name of top level CGroup used
 to enforce <code>systemReserved</code> compute resource reservation for OS system daemons.
-Refer to <a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+Refer to <a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 doc for more information.
 Default: &quot;&quot;
    -->
    <p><code>systemReservedCgroup</code>帮助 kubelet 识别用来为 OS 系统级守护进程实施
 <code>systemReserved</code>计算资源预留时使用的顶级控制组（CGroup）。
-参考 <a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+参考 <a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 以了解详细信息。</p>
    <p>默认值：&quot;&quot;</p>
 </td>
@@ -1486,13 +1486,13 @@ Default: &quot;&quot;
 <td>
    <!--kubeReservedCgroup helps the kubelet identify absolute name of top level CGroup used
 to enforce `KubeReserved` compute resource reservation for Kubernetes node system daemons.
-Refer to <a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+Refer to <a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 doc for more information.
 Default: ""
    -->
    <p><code>kubeReservedCgroup</code> 帮助 kubelet 识别用来为 Kubernetes 节点系统级守护进程实施
 <code>kubeReserved</code>计算资源预留时使用的顶级控制组（CGroup）。
-参阅 <a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+参阅 <a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 了解进一步的信息。</p>
    <p>默认值：&quot;&quot;</p>
 </td>
@@ -1509,7 +1509,7 @@ If <code>none</code> is specified, no other options may be specified.
 When <code>system-reserved</code> is in the list, systemReservedCgroup must be specified.
 When <code>kube-reserved</code> is in the list, kubeReservedCgroup must be specified.
 This field is supported only when <code>cgroupsPerQOS</code> is set to true.
-Refer to <a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+Refer to <a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 for more information.
 Default: [&quot;pods&quot;]
    -->
@@ -1520,7 +1520,7 @@ Default: [&quot;pods&quot;]
    <p>如果列表中包含<code>system-reserved</code>，则必须设置<code>systemReservedCgroup</code>。</p>
    <p>如果列表中包含<code>kube-reserved</code>，则必须设置<code>kubeReservedCgroup</code>。</p>
    <p>这个字段只有在<code>cgroupsPerQOS</code>被设置为<code>true</code>才被支持。</p>
-   <p>参阅<a href="https://git.k8s.io/community/contributors/design-proposals/node/node-allocatable.md">Node Allocatable</a>
+   <p>参阅<a href="https://git.k8s.io/design-proposals-archive/node/node-allocatable.md">Node Allocatable</a>
 了解进一步的信息。</p>
    <p>默认值：[&quot;pods&quot;]</p>
 </td>
diff --git a/content/zh-cn/docs/reference/glossary/affinity.md b/content/zh-cn/docs/reference/glossary/affinity.md
index 44aa0ab6cac..67da7e05e96 100644
--- a/content/zh-cn/docs/reference/glossary/affinity.md
+++ b/content/zh-cn/docs/reference/glossary/affinity.md
@@ -2,7 +2,7 @@
 title: 亲和性（Affinity）
 id: affinity
 date: 2019-01-11
-full_link: zh/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity
+full_link: /zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/#affinity-and-anti-affinity
 short_description: >
      调度程序用于确定在何处放置 Pods（亲和性）的规则
 aka:
diff --git a/content/zh-cn/docs/reference/glossary/api-eviction.md b/content/zh-cn/docs/reference/glossary/api-eviction.md
index 4ed41b8648f..6288b317b7d 100644
--- a/content/zh-cn/docs/reference/glossary/api-eviction.md
+++ b/content/zh-cn/docs/reference/glossary/api-eviction.md
@@ -2,27 +2,26 @@
 title: API 发起的驱逐
 id: api-eviction
 date: 2021-04-27
-full_link: /zh-cn/docs/concepts/scheduling-eviction/pod-eviction/#api-eviction
+full_link: /zh-cn/docs/concepts/scheduling-eviction/api-eviction/
 short_description: >
   API 发起的驱逐是一个先调用 Eviction API 创建驱逐对象，再由该对象体面地中止 Pod 的过程。
 aka:
 tags:
 - operation
 ---
-
-<!-- ---
+<!--
 title: API-initiated eviction
 id: api-eviction
 date: 2021-04-27
-full_link: /docs/concepts/scheduling-eviction/pod-eviction/#api-eviction
+full_link: /docs/concepts/scheduling-eviction/api-eviction/
 short_description: >
   API-initiated eviction is the process by which you use the Eviction API to create an
   Eviction object that triggers graceful pod termination.
 aka:
 tags:
 - operation
----
 -->
+
 <!-- 
 API-initiated eviction is the process by which you use the [Eviction API](/docs/reference/generated/kubernetes-api/{{<param "version">}}/#create-eviction-pod-v1-core)
 to create an `Eviction` object that triggers graceful pod termination.
@@ -41,16 +40,16 @@ When an `Eviction` object is created, the API server terminates the Pod.
 API-initiated evictions respect your configured [`PodDisruptionBudgets`](/docs/tasks/run-application/configure-pdb/)
 and [`terminationGracePeriodSeconds`](/docs/concepts/workloads/pods/pod-lifecycle#pod-termination).
 
-API-initiated eviction is not the same as [node-pressure eviction](/docs/concepts/scheduling-eviction/eviction/#kubelet-eviction).
+API-initiated eviction is not the same as [node-pressure eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/).
 -->
 你可以通过 kube-apiserver 的客户端，比如 `kubectl drain` 这样的命令，直接调用 Eviction API 发起驱逐。
-当 `Eviction` 对象创建出来之后，该对象将驱动 API 服务器终止选定的Pod。
+当 `Eviction` 对象创建出来之后，该对象将驱动 API 服务器终止选定的 Pod。
 
 API 发起的驱逐取决于你配置的 [`PodDisruptionBudgets`](/zh-cn/docs/tasks/run-application/configure-pdb/)
 和 [`terminationGracePeriodSeconds`](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-termination)。
 
 API 发起的驱逐不同于
-[节点压力引发的驱逐](/zh-cn/docs/concepts/scheduling-eviction/eviction/#kubelet-eviction)。
+[节点压力引发的驱逐](/zh-cn/docs/concepts/scheduling-eviction/node-pressure-eviction/)。
 
 <!--
 * See [API-initiated eviction](/docs/concepts/scheduling-eviction/api-eviction/) for more information.
diff --git a/content/zh-cn/docs/reference/glossary/downward-api.md b/content/zh-cn/docs/reference/glossary/downward-api.md
new file mode 100644
index 00000000000..08de3104826
--- /dev/null
+++ b/content/zh-cn/docs/reference/glossary/downward-api.md
@@ -0,0 +1,56 @@
+---
+title: Downward API
+id: downward-api
+date: 2022-03-21
+short_description: >
+  将 Pod 和容器字段值暴露给容器中运行的代码的机制。
+aka:
+full_link: /docs/concepts/workloads/pods/downward-api/
+tags:
+- architecture
+---
+<!--
+title: Downward API
+id: downward-api
+date: 2022-03-21
+short_description: >
+  A mechanism to expose Pod and container field values to code running in a container.
+aka:
+full_link: /docs/concepts/workloads/pods/downward-api/
+tags:
+- architecture
+-->
+<!--
+Kubernetes' mechanism to expose Pod and container field values to code running in a container.
+-->
+Kubernetes 将 Pod 和容器字段值暴露给容器中运行的代码的机制。
+<!--more-->
+<!--
+It is sometimes useful for a container to have information about itself, without
+needing to make changes to the container code that directly couple it to Kubernetes.
+-->
+在不需要修改容器代码的前提下让容器拥有关于自身的信息是很有用的。修改代码可能使容器直接耦合到 Kubernetes。
+
+<!--
+The Kubernetes downward API allows containers to consume information about themselves
+or their context in a Kubernetes cluster. Applications in containers can have
+access to that information, without the application needing to act as a client of
+the Kubernetes API.
+-->
+Kubernetes Downward API 允许容器使用它们自己或它们在 Kubernetes 集群中所处环境的信息。
+容器中的应用程序可以访问该信息，而不需要以 Kubernetes API 客户端的形式执行操作。
+
+<!--
+There are two ways to expose Pod and container fields to a running container:
+
+- using [environment variables](/docs/tasks/inject-data-application/environment-variable-expose-pod-information/)
+- using [a `downwardAPI` volume](/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
+
+Together, these two ways of exposing Pod and container fields are called the _downward API_.
+-->
+有两种方法可以将 Pod 和容器字段暴露给正在运行的容器：
+
+* 使用[环境变量](/zh-cn/docs/tasks/inject-data-application/environment-variable-expose-pod-information/)
+* 使用 [`downwardAPI` 卷](/zh-cn/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/)
+
+这两种暴露 Pod 和容器字段的方式统称为 **Downward API**。
\ No newline at end of file
diff --git a/content/zh-cn/docs/reference/glossary/event.md b/content/zh-cn/docs/reference/glossary/event.md
index 6c74215300c..107854cf530 100644
--- a/content/zh-cn/docs/reference/glossary/event.md
+++ b/content/zh-cn/docs/reference/glossary/event.md
@@ -2,9 +2,9 @@
 title: 事件（Event）
 id: event
 date: 2022-01-16
-full_link: /docs/reference/kubernetes-api/cluster-resources/event-v1/
+full_link: /zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1/
 short_description: >
-   对集群中周处发生的事件的报告。通常用来表述系统中某种状态变更。
+   对集群中某处所发生事件的报告。通常用来表述系统中某种状态变更。
 aka: 
 tags:
 - core-object
@@ -25,11 +25,11 @@ tags:
 -->
 
 <!--
-Each Event is a report of an event somewhere in the {{< glossary_tooltip text="cluster" term_id="cluster" >}}.
+Each Event is a report of an event somewhere in the {{< glossary_tooltip text="cluster" term_id="cluster" >}}. 
 It generally denotes some state change in the system.
 -->
-每个 Event 是{{< glossary_tooltip text="集群" term_id="cluster" >}}中某处发生的事件的报告。
-它通常用来表述系统中的某种状态变化。
+每个 Event 是{{< glossary_tooltip text="集群" term_id="cluster" >}}中某处所发生事件的报告。
+它通常用来表述系统中的某种状态变更。
 
 <!--more-->
 
@@ -40,7 +40,7 @@ or the continued existence of events with that reason.
 -->
 事件的保留时间有限，随着时间推进，其触发方式和消息都可能发生变化。
 事件用户不应该对带有给定原因（反映下层触发源）的时间特征有任何依赖，
-也不要寄希望于对应该原因的事件会一直存在。
+也不要寄希望于该原因所造成的事件会一直存在。
 
 <!--
 Events should be treated as informative, best-effort, supplemental data.
@@ -52,5 +52,5 @@ In Kubernetes, [auditing](/docs/tasks/debug/debug-cluster/audit/) generates a di
 Event record (API group `audit.k8s.io`).
 -->
 在 Kubernetes 中，[审计](/zh-cn/docs/tasks/debug/debug-cluster/audit/)
-机制会生成一种不同种类的 Event 记录（API 组为 `audit.k8s.io`）。
+机制会生成一种不同类别的 Event 记录（API 组为 `audit.k8s.io`）。
 
diff --git a/content/zh-cn/docs/reference/glossary/extensions.md b/content/zh-cn/docs/reference/glossary/extensions.md
index ae33b45a2ef..a9d100f98e8 100644
--- a/content/zh-cn/docs/reference/glossary/extensions.md
+++ b/content/zh-cn/docs/reference/glossary/extensions.md
@@ -2,7 +2,7 @@
 title: 扩展组件（Extensions）
 id: Extensions
 date: 2019-02-01
-full_link: /zh-cn/docs/concepts/extend-kubernetes/extend-cluster/#extensions
+full_link: /zh-cn/docs/concepts/extend-kubernetes/#extensions
 short_description: >
   扩展组件是扩展并与 Kubernetes 深度集成以支持新型硬件的软件组件。
 aka:
@@ -15,7 +15,7 @@ tags:
 title: Extensions
 id: Extensions
 date: 2019-02-01
-full_link: /docs/concepts/extend-kubernetes/extend-cluster/#extensions
+full_link: /docs/concepts/extend-kubernetes/#extensions
 short_description: >
   Extensions are software components that extend and deeply integrate with Kubernetes to support new types of hardware.
 
@@ -32,10 +32,9 @@ tags:
 <!--more-->
 
 <!--
-Many cluster administrators use a hosted or distribution instance of Kubernetes. These clusters come with extensions pre-installed. As a result, most Kubernetes users will not need to install [extensions](/docs/concepts/extend-kubernetes/extend-cluster/#extensions) and even fewer users will need to author new ones.
+Many cluster administrators use a hosted or distribution instance of Kubernetes. These clusters come with extensions pre-installed. As a result, most Kubernetes users will not need to install [extensions](/docs/concepts/extend-kubernetes/) and even fewer users will need to author new ones. 
 -->
 
 许多集群管理员会使用托管的 Kubernetes 或其某种发行包，这些集群预装了扩展。
-因此，大多数 Kubernetes 用户将不需要
-安装[扩展组件](/zh-cn/docs/concepts/extend-kubernetes/extend-cluster/#extensions)，
+因此，大多数 Kubernetes 用户将不需要安装[扩展组件](/zh-cn/docs/concepts/extend-kubernetes/)，
 需要编写新的扩展组件的用户就更少了。
diff --git a/content/zh-cn/docs/reference/glossary/garbage-collection.md b/content/zh-cn/docs/reference/glossary/garbage-collection.md
index f6ca64f58d0..3974bc47661 100644
--- a/content/zh-cn/docs/reference/glossary/garbage-collection.md
+++ b/content/zh-cn/docs/reference/glossary/garbage-collection.md
@@ -35,14 +35,15 @@ tags:
 <!--more-->
 
 <!-- 
-Kubernetes uses garbage collection to clean up resources like [unused containers and images](/docs/concepts/workloads/controllers/garbage-collection/#containers-images),
+Kubernetes uses garbage collection to clean up resources like
+[unused containers and images](/docs/concepts/architecture/garbage-collection/#containers-images),
 [failed Pods](/docs/concepts/workloads/pods/pod-lifecycle/#pod-garbage-collection),
 [objects owned by the targeted resource](/docs/concepts/overview/working-with-objects/owners-dependents/),
 [completed Jobs](/docs/concepts/workloads/controllers/ttlafterfinished/), and resources
 that have expired or failed.
 -->
 Kubernetes 使用垃圾收集机制来清理资源，例如：
-[未使用的容器和镜像](/zh-cn/docs/concepts/workloads/controllers/garbage-collection/#containers-images)、
+[未使用的容器和镜像](/zh-cn/docs/concepts/architecture/garbage-collection/#containers-images)、
 [失败的 Pod](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/#pod-garbage-collection)、
 [目标资源拥有的对象](/zh-cn/docs/concepts/overview/working-with-objects/owners-dependents/)、
 [已完成的 Job](/zh-cn/docs/concepts/workloads/controllers/ttlafterfinished/)、
diff --git a/content/zh-cn/docs/reference/glossary/istio.md b/content/zh-cn/docs/reference/glossary/istio.md
index 4a3300f4f6b..fd550efc9f0 100644
--- a/content/zh-cn/docs/reference/glossary/istio.md
+++ b/content/zh-cn/docs/reference/glossary/istio.md
@@ -2,9 +2,9 @@
 title: Istio
 id: istio
 date: 2018-04-12
-full_link: https://istio.io/docs/concepts/what-is-istio/
+full_link: https://istio.io/zh/docs/concepts/what-is-istio/
 short_description: >
-  Istio 是个开放平台（非 Kubernetes 特有），提供了一种统一的方式来集成微服务、管理流量、实施策略和汇总度量数据。
+  Istio 是一个（非 Kubernetes 特有的）开放平台，提供了一种统一的方式来集成微服务、管理流量、实施策略和汇总度量数据。
 aka: 
 tags:
 - networking
@@ -13,7 +13,6 @@ tags:
 ---
 
 <!--
----
 title: Istio
 id: istio
 date: 2018-04-12
@@ -26,14 +25,13 @@ tags:
 - networking
 - architecture
 - extension
----
 -->
 
 <!--
  An open platform (not Kubernetes-specific) that provides a uniform way to integrate microservices, manage traffic flow, enforce policies, and aggregate telemetry data.
 -->
 
-Istio 是个开放平台（非 Kubernetes 特有），提供了一种统一的方式来集成微服务、管理流量、实施策略和汇总度量数据。
+Istio 是一个（非 Kubernetes 特有的）开放平台，提供了一种统一的方式来集成微服务、管理流量、实施策略和汇总度量数据。
 
 <!--more--> 
 
diff --git a/content/zh-cn/docs/reference/glossary/kops.md b/content/zh-cn/docs/reference/glossary/kops.md
index 1719e2a8a67..22146cf6eb0 100644
--- a/content/zh-cn/docs/reference/glossary/kops.md
+++ b/content/zh-cn/docs/reference/glossary/kops.md
@@ -37,13 +37,12 @@ kops 是一个命令行工具，可以帮助您创建、销毁、升级和维护
 <!--more--> 
 
 <!--
-{{< note >}}
 kops has general availability support only for AWS.
 Support for using kops with GCE and VMware vSphere are in alpha.
+-->	
+{{< note >}}
+注意：官方仅支持 AWS。对 GCE 和 VMware vSphere 的支持还处于 Alpha 阶段。
 {{< /note >}}
--->												   
-注意：官方仅支持 AWS，GCE 和 VMware vSphere 的支持还处于 alpha* 阶段。																
-			 
 
 <!--
 `kops` provisions your cluster with&#58;
@@ -60,7 +59,7 @@ Support for using kops with GCE and VMware vSphere are in alpha.
 
   * 全自动化安装
   * 基于 DNS 的集群标识
-  * 自愈功能：所有组件都在自动伸缩组（Auto-Scaling Groups）中运行
+  * 自愈功能：所有组件都在自动扩缩组（Auto-Scaling Groups）中运行
   * 有限的操作系统支持 (推荐使用 Debian，支持 Ubuntu 16.04，试验性支持 CentOS & RHEL)
   * 高可用 (HA) 支持
   * 直接提供或者生成 Terraform 清单文件的能力
diff --git a/content/zh-cn/docs/reference/glossary/node.md b/content/zh-cn/docs/reference/glossary/node.md
index be28602cacc..5e6f73663f4 100644
--- a/content/zh-cn/docs/reference/glossary/node.md
+++ b/content/zh-cn/docs/reference/glossary/node.md
@@ -38,13 +38,11 @@ In early Kubernetes versions, Nodes were called "Minions".
 -->
 工作机器可以是虚拟机也可以是物理机，取决于集群的配置。
 其上部署了运行 {{< glossary_tooltip text="Pods" term_id="pod" >}}
-所必需的本地守护进程或服务，
-并由主控组件来管理。
-节点上的的守护进程包括 {{< glossary_tooltip text="kubelet" term_id="kubelet" >}}、
+所必需的本地守护进程或服务，并由主控组件来管理。
+节点上的守护进程包括 {{< glossary_tooltip text="kubelet" term_id="kubelet" >}}、
 {{< glossary_tooltip text="kube-proxy" term_id="kube-proxy" >}}
 以及一个 {{< glossary_tooltip term_id="docker" >}} 这种
 实现了 {{< glossary_tooltip text="CRI" term_id="cri" >}}
 的容器运行时。
 
 在早期的 Kubernetes 版本中，节点也称作 "Minions"。
-
diff --git a/content/zh-cn/docs/reference/glossary/pod-lifecycle.md b/content/zh-cn/docs/reference/glossary/pod-lifecycle.md
index 8eff328c4d7..d5f592c8868 100644
--- a/content/zh-cn/docs/reference/glossary/pod-lifecycle.md
+++ b/content/zh-cn/docs/reference/glossary/pod-lifecycle.md
@@ -37,6 +37,6 @@ A high-level summary of what phase the Pod is in within its lifecyle.
 The [Pod Lifecycle](/docs/concepts/workloads/pods/pod-lifecycle/) is defined by the states or phases of a Pod. There are five possible Pod phases: Pending, Running, Succeeded, Failed, and Unknown. A high-level description of the Pod state is summarized in the [PodStatus](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podstatus-v1-core) `phase` field.
 -->
 [Pod 生命周期](/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/) 是关于 Pod
-处于哪个阶段的概述。包含了下面5种可能的的阶段: Running、Pending、Succeeded、
+处于哪个阶段的概述。包含了下面 5 种可能的阶段: Running、Pending、Succeeded、
 Failed、Unknown。关于 Pod 的阶段的更高级描述请查阅
 [PodStatus](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podstatus-v1-core) `phase` 字段。
diff --git a/content/zh-cn/docs/reference/glossary/service-catalog.md b/content/zh-cn/docs/reference/glossary/service-catalog.md
index a50e6e4778e..969dc425ce7 100644
--- a/content/zh-cn/docs/reference/glossary/service-catalog.md
+++ b/content/zh-cn/docs/reference/glossary/service-catalog.md
@@ -12,7 +12,6 @@ tags:
 ---
 
 <!--
----
 title: Service Catalog
 id: service-catalog
 date: 2018-04-12
@@ -23,22 +22,17 @@ short_description: >
 aka: 
 tags:
 - extension
----
 -->
 
-
 <!--
  A former extension API that enables applications running in Kubernetes clusters to easily use external managed software offerings, such as a datastore service offered by a cloud provider.
 -->
-
-服务目录是一种过去曾经存在的扩展 API，它能让 Kubernetes 集群中运行的应用易于使用外部托管的的软件服务，例如云供应商提供的数据仓库服务。
+服务目录是一种过去曾经存在的扩展 API，它能让 Kubernetes 集群中运行的应用易于使用外部托管的软件服务，例如云供应商提供的数据仓库服务。
 
 <!--more--> 
 
 <!--
 It provided a way to list, provision, and bind with external {{< glossary_tooltip text="Managed Services" term_id="managed-service" >}} without needing detailed knowledge about how those services would be created or managed.
 -->
-
-服务目录可以检索、供应、和绑定外部{{< glossary_tooltip text="托管服务（Managed Services）" term_id="managed-service" >}}，
+服务目录可以检索、供应并绑定外部{{< glossary_tooltip text="托管服务（Managed Services）" term_id="managed-service" >}}，
 而无需知道那些服务具体是怎样创建和托管的。
-
diff --git a/content/zh-cn/docs/reference/kubectl/_index.md b/content/zh-cn/docs/reference/kubectl/_index.md
index 787a20d7377..cdaf2593765 100644
--- a/content/zh-cn/docs/reference/kubectl/_index.md
+++ b/content/zh-cn/docs/reference/kubectl/_index.md
@@ -33,9 +33,11 @@ You can specify other [kubeconfig](/docs/concepts/configuration/organize-cluster
 files by setting the `KUBECONFIG` environment variable or by setting the
 [`--kubeconfig`](/docs/concepts/configuration/organize-cluster-access-kubeconfig/) flag.
 -->
-`针对配置信息，`kubectl` 在 `$HOME/.kube` 目录中查找一个名为 `config` 的配置文件。
-你可以通过设置 `KUBECONFIG` 环境变量或设置
+
+针对配置信息，`kubectl` 在 `$HOME/.kube` 目录中查找一个名为 `config` 的配置文件。
+你可以通过设置 `KUBECONFIG` 环境变量或设置 
 [`--kubeconfig`](/zh-cn/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
+
 参数来指定其它 [kubeconfig](/zh-cn/docs/concepts/configuration/organize-cluster-access-kubeconfig/) 文件。
 
 <!--
diff --git a/content/zh-cn/docs/reference/kubectl/cheatsheet.md b/content/zh-cn/docs/reference/kubectl/cheatsheet.md
index a20e05c7131..6ca3acfba8e 100644
--- a/content/zh-cn/docs/reference/kubectl/cheatsheet.md
+++ b/content/zh-cn/docs/reference/kubectl/cheatsheet.md
@@ -17,7 +17,8 @@ weight: 10 # highlight it
 card:
   name: reference
   weight: 30
---- -->
+---
+-->
 
 <!-- overview -->
 
@@ -25,7 +26,7 @@ card:
 This page contains a list of commonly used `kubectl` commands and flags.
 -->
 
-本页列举了常用的 “kubectl” 命令和标志
+本页列举了常用的 `kubectl` 命令和标志。
 
 <!-- body -->
 
@@ -49,10 +50,10 @@ You can also use a shorthand alias for `kubectl` that also works with completion
 -->
 ```bash
 source <(kubectl completion bash) # 在 bash 中设置当前 shell 的自动补全，要先安装 bash-completion 包。
-echo "source <(kubectl completion bash)" >> ~/.bashrc # 在您的 bash shell 中永久的添加自动补全
+echo "source <(kubectl completion bash)" >> ~/.bashrc # 在你的 bash shell 中永久地添加自动补全
 ```
 
-您还可以为 `kubectl` 使用一个速记别名，该别名也可以与 completion 一起使用：
+你还可以在补全时为 `kubectl` 使用一个速记别名：
 
 ```bash
 alias k=kubectl
@@ -64,12 +65,12 @@ complete -o default -F __start_kubectl k
 <!--
 ```bash
 source <(kubectl completion zsh)  # setup autocomplete in zsh into the current shell
-echo "[[ $commands[kubectl] ]] && source <(kubectl completion zsh)" >> ~/.zshrc # add autocomplete permanently to your zsh shell
+echo '[[ $commands[kubectl] ]] && source <(kubectl completion zsh)' >> ~/.zshrc # add autocomplete permanently to your zsh shell
 ```
 -->
 ```bash
 source <(kubectl completion zsh)  # 在 zsh 中设置当前 shell 的自动补全
-echo "[[ $commands[kubectl] ]] && source <(kubectl completion zsh)" >> ~/.zshrc # 在您的 zsh shell 中永久的添加自动补全
+echo '[[ $commands[kubectl] ]] && source <(kubectl completion zsh)' >> ~/.zshrc # 在你的 zsh shell 中永久地添加自动补全
 ```
 
 <!--
@@ -78,20 +79,20 @@ echo "[[ $commands[kubectl] ]] && source <(kubectl completion zsh)" >> ~/.zshrc
 ### 关于 --all-namespaces 的一点说明
 
 <!--
-Appending `--all-namespaces` happens frequently enough where you should be aware of the shorthand for `--all-namespaces`:
+Appending `--all-namespaces` happens frequently enough where you should be aware of the  shorthand for `--all-namespaces`:
 -->
 我们经常用到 `--all-namespaces` 参数，你应该要知道它的简写：
 
 ```kubectl -A```
 
 <!--
-## Kubectl Context and Configuration
+## Kubectl context and configuration
 
 Set which Kubernetes cluster `kubectl` communicates with and modifies configuration
 information. See [Authenticating Across Clusters with kubeconfig](/docs/tasks/access-application-cluster/configure-access-multiple-clusters/) documentation for
 detailed config file information.
 -->
-##  Kubectl 上下文和配置
+## Kubectl 上下文和配置
 
 设置 `kubectl` 与哪个 Kubernetes 集群进行通信并修改配置信息。
 查看[使用 kubeconfig 跨集群授权访问](/zh-cn/docs/tasks/access-application-cluster/configure-access-multiple-clusters/)
@@ -112,9 +113,14 @@ kubectl config view -o jsonpath='{.users[?(@.name == "e2e")].user.password}'
 kubectl config view -o jsonpath='{.users[].name}'    # display the first user
 kubectl config view -o jsonpath='{.users[*].name}'   # get a list of users
 kubectl config get-contexts                          # display list of contexts
-kubectl config current-context           # display the current-context
+kubectl config current-context                       # display the current-context
 kubectl config use-context my-cluster-name           # set the default context to my-cluster-name
 
+kubectl config set-cluster my-cluster-name           # set a cluster entry in the kubeconfig
+
+# configure the URL to a proxy server to use for requests made by this client in the kubeconfig
+kubectl config set-cluster my-cluster-name --proxy-url=my-proxy-url
+
 # add a new user to your kubeconf that supports basic auth
 kubectl config set-credentials kubeuser/foo.kubernetes.com --username=kubeuser --password=kubepassword
 
@@ -136,7 +142,9 @@ alias kn='f() { [ "$1" ] && kubectl config set-context --current --namespace $1
 kubectl config view # 显示合并的 kubeconfig 配置。
 
 # 同时使用多个 kubeconfig 文件并查看合并的配置
-KUBECONFIG=~/.kube/config:~/.kube/kubconfig2 kubectl config view
+KUBECONFIG=~/.kube/config:~/.kube/kubconfig2
+
+kubectl config view
 
 # 获取 e2e 用户的密码
 kubectl config view -o jsonpath='{.users[?(@.name == "e2e")].user.password}'
@@ -147,6 +155,11 @@ kubectl config get-contexts                          # 显示上下文列表
 kubectl config current-context                       # 展示当前所处的上下文
 kubectl config use-context my-cluster-name           # 设置默认的上下文为 my-cluster-name
 
+kubectl config set-cluster my-cluster-name           # 在 kubeconfig 中设置集群条目
+
+# 在 kubeconfig 中配置代理服务器的 URL，以用于该客户端的请求
+kubectl config set-cluster my-cluster-name --proxy-url=my-proxy-url
+
 # 添加新的用户配置到 kubeconf 中，使用 basic auth 进行身份认证
 kubectl config set-credentials kubeuser/foo.kubernetes.com --username=kubeuser --password=kubepassword
 
@@ -170,10 +183,11 @@ alias kn='f() { [ "$1" ] && kubectl config set-context --current --namespace $1
 `apply` manages applications through files defining Kubernetes resources. It creates and updates resources in a cluster through running `kubectl apply`. This is the recommended way of managing Kubernetes applications on production. See [Kubectl Book](https://kubectl.docs.kubernetes.io).
 -->
 ## Kubectl apply
+
 `apply` 通过定义 Kubernetes 资源的文件来管理应用。
 它通过运行 `kubectl apply` 在集群中创建和更新资源。
 这是在生产中管理 Kubernetes 应用的推荐方法。
-参见 [Kubectl 文档](https://kubectl.docs.kubernetes.io)。
+参见 [Kubectl 文档](https://kubectl.docs.kubernetes.io/zh/)。
 
 <!--
 ## Creating objects
@@ -198,7 +212,7 @@ kubectl create deployment nginx --image=nginx  # start a single instance of ngin
 kubectl create job hello --image=busybox:1.28 -- echo "Hello World"
 
 # create a CronJob that prints "Hello World" every minute
-kubectl create cronjob hello --image=busybox:1.28   --schedule="*/1 * * * *" -- echo "Hello World"    
+kubectl create cronjob hello --image=busybox:1.28   --schedule="*/1 * * * *" -- echo "Hello World"
 
 kubectl explain pods                           # get the documentation for pod manifests
 
@@ -333,6 +347,9 @@ kubectl get pods --selector=app=cassandra -o \
 kubectl get configmap myconfig \
   -o jsonpath='{.data.ca\.crt}'
 
+# Retrieve a base64 encoded value with dashes instead of underscores.
+kubectl get secret my-secret --template='{{index .data "key-name-with-dashes"}}'
+
 # Get all worker nodes (use a selector to exclude results that have a label
 # named 'node-role.kubernetes.io/control-plane')
 kubectl get node --selector='!node-role.kubernetes.io/control-plane'
@@ -416,6 +433,9 @@ kubectl get pods --selector=app=cassandra -o \
 kubectl get configmap myconfig \
   -o jsonpath='{.data.ca\.crt}'
 
+# 检索一个 base64 编码的值，其中的键名应该包含减号而不是下划线。
+kubectl get secret my-secret --template='{{index .data "key-name-with-dashes"}}'
+
 # 获取所有工作节点（使用选择器以排除标签名称为 'node-role.kubernetes.io/control-plane' 的结果）
 kubectl get node --selector='!node-role.kubernetes.io/control-plane'
 
@@ -611,10 +631,10 @@ kubectl scale --replicas=5 rc/foo rc/bar rc/baz                   # 伸缩多个
 ## 删除资源
 
 <!-- ```bash
-kubectl delete -f ./pod.json                                              # Delete a pod using the type and name specified in pod.json
-kubectl delete pod,service baz foo                                        # Delete pods and services with same names "baz" and "foo"
-kubectl delete pods,services -l name=myLabel                              # Delete pods and services with label name=myLabel
-kubectl -n my-ns delete pod,svc --all                                      # Delete all pods and services in namespace my-ns,
+kubectl delete -f ./pod.json                                      # Delete a pod using the type and name specified in pod.json
+kubectl delete pod,service baz foo                                # Delete pods and services with same names "baz" and "foo"
+kubectl delete pods,services -l name=myLabel                      # Delete pods and services with label name=myLabel
+kubectl -n my-ns delete pod,svc --all                             # Delete all pods and services in namespace my-ns,
 # Delete all pods matching the awk pattern1 or pattern2
 kubectl get pods  -n mynamespace --no-headers=true | awk '/pattern1|pattern2/{print $1}' | xargs  kubectl delete -n mynamespace pod
 ```
@@ -631,7 +651,7 @@ kubectl get pods  -n mynamespace --no-headers=true | awk '/pattern1|pattern2/{pr
 <!--
 ## Interacting with running Pods
 -->
-## 与运行中的 Pods 进行交互
+## 与运行中的 Pod 进行交互
 
 <!--
 ```bash
@@ -652,7 +672,7 @@ kubectl run nginx --image=nginx                     # Run pod nginx and write it
 kubectl attach my-pod -i                            # Attach to Running Container
 kubectl port-forward my-pod 5000:6000               # Listen on port 5000 on the local machine and forward to port 6000 on my-pod
 kubectl exec my-pod -- ls /                         # Run command in existing pod (1 container case)
-kubectl exec --stdin --tty my-pod -- /bin/sh        # Interactive shell access to a running pod (1 container case) 
+kubectl exec --stdin --tty my-pod -- /bin/sh        # Interactive shell access to a running pod (1 container case)
 kubectl exec my-pod -c my-container -- ls /         # Run command in existing pod (multi-container case)
 kubectl top pod POD_NAME --containers               # Show metrics for a given pod and its containers
 kubectl top pod POD_NAME --sort-by=cpu              # Show metrics for a given pod and sort it by 'cpu' or 'memory'
@@ -751,7 +771,7 @@ kubectl exec deploy/my-deployment -- ls                   # 在 Deployment 里
 ```
 
 <!--
-## Interacting with Nodes and Cluster
+## Interacting with Nodes and cluster
 -->
 ## 与节点和集群进行交互
 
@@ -765,6 +785,9 @@ kubectl cluster-info                                                  # Display
 kubectl cluster-info dump                                             # Dump current cluster state to stdout
 kubectl cluster-info dump --output-directory=/path/to/cluster-state   # Dump current cluster state to /path/to/cluster-state
 
+# View existing taints on which exist on current nodes.
+kubectl get nodes -o=custom-columns=NodeName:.metadata.name,TaintKey:.spec.taints[*].key,TaintValue:.spec.taints[*].value,TaintEffect:.spec.taints[*].effect
+
 # If a taint with that key and effect already exists, its value is replaced as specified.
 kubectl taint nodes foo dedicated=special-user:NoSchedule
 ```
@@ -778,6 +801,9 @@ kubectl cluster-info                                                  # 显示
 kubectl cluster-info dump                                             # 将当前集群状态转储到标准输出
 kubectl cluster-info dump --output-directory=/path/to/cluster-state   # 将当前集群状态输出到 /path/to/cluster-state
 
+# 查看当前节点上存在的现有污点。
+kubectl get nodes -o=custom-columns=NodeName:.metadata.name,TaintKey:.spec.taints[*].key,TaintValue:.spec.taints[*].value,TaintEffect:.spec.taints[*].effect
+
 # 如果已存在具有指定键和效果的污点，则替换其值为指定值。
 kubectl taint nodes foo dedicated=special-user:NoSchedule
 ```
@@ -862,7 +888,7 @@ kubectl get pods -A -o=custom-columns='DATA:spec.containers[*].image'
 # All images running in namespace: default, grouped by Pod
 kubectl get pods --namespace default --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.containers[*].image"
 
-# All images excluding "k8s.gcr.io/coredns:1.6.2"
+ # All images excluding "k8s.gcr.io/coredns:1.6.2"
 kubectl get pods -A -o=custom-columns='DATA:spec.containers[?(@.image!="k8s.gcr.io/coredns:1.6.2")].image'
 
 # All fields under metadata regardless of name
@@ -887,6 +913,9 @@ kubectl get pods -A -o=custom-columns='DATA:spec.containers[?(@.image!="k8s.gcr.
 kubectl get pods -A -o=custom-columns='DATA:metadata.*'
 ```
 
+<!--
+More examples in the kubectl [reference documentation](/docs/reference/kubectl/#custom-columns).
+-->
 有关更多示例，请参看 kubectl [参考文档](/zh-cn/docs/reference/kubectl/#custom-columns)。
 
 <!--
@@ -917,7 +946,7 @@ Verbosity | Description
 详细程度      | 描述
 --------------| -----------
 `--v=0` | 用于那些应该 *始终* 对运维人员可见的信息，因为这些信息一般很有用。
-`--v=1` | 如果您不想要看到冗余信息，此值是一个合理的默认日志级别。
+`--v=1` | 如果你不想要看到冗余信息，此值是一个合理的默认日志级别。
 `--v=2` | 输出有关服务的稳定状态的信息以及重要的日志消息，这些信息可能与系统中的重大变化有关。这是建议大多数系统设置的默认日志级别。
 `--v=3` | 包含有关系统状态变化的扩展信息。
 `--v=4` | 包含调试级别的冗余信息。
@@ -930,7 +959,6 @@ Verbosity | Description
 ## {{% heading "whatsnext" %}}
 
 <!--
-
 * Read the [kubectl overview](/docs/reference/kubectl/) and learn about [JsonPath](/docs/reference/kubectl/jsonpath).
 
 * See [kubectl](/docs/reference/kubectl/kubectl/) options.
diff --git a/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/certificate-signing-request-v1.md b/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/certificate-signing-request-v1.md
index 8038b324843..9c9d6131af3 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/certificate-signing-request-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/certificate-signing-request-v1.md
@@ -5,13 +5,11 @@ api_metadata:
   kind: "CertificateSigningRequest"
 content_type: "api_reference"
 description: "CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制。"
-title: "证书签名请求"
+title: CertificateSigningRequest
 weight: 4
-auto_generated: true
 ---
 
 <!--
----
 api_metadata:
   apiVersion: "certificates.k8s.io/v1"
   import: "k8s.io/api/certificates/v1"
@@ -21,18 +19,6 @@ description: "CertificateSigningRequest objects provide a mechanism to obtain x5
 title: "CertificateSigningRequest"
 weight: 4
 auto_generated: true
----
--->
-
-<!--
-The file is auto-generated from the Go source code of the component using a generic
-[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
-to generate the reference documentation, please read
-[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
-To update the reference content, please follow the 
-[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
-guide. You can file document formatting bugs against the
-[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
 -->
 
 <!--
@@ -59,8 +45,9 @@ Kubelets use this API to obtain:
 CertificateSigningRequest 对象提供了一种通过提交证书签名请求并异步批准和颁发 x509 证书的机制。
 
 Kubelets 使用 CertificateSigningRequest API 来获取：
- 1. 向 kube-apiserver 进行身份认证的客户端证书（使用 “kubernetes.io/kube-apiserver-client-kubelet” signerName）。
- 2. kube-apiserver 可以安全连接到 TLS 端点的服务证书（使用 “kubernetes.io/kubelet-serving” signerName）。
+
+1. 向 kube-apiserver 进行身份认证的客户端证书（使用 “kubernetes.io/kube-apiserver-client-kubelet” signerName）。
+2. kube-apiserver 可以安全连接到 TLS 端点的服务证书（使用 “kubernetes.io/kubelet-serving” signerName）。
 
 <!--
 This API can be used to request client certificates to authenticate to kube-apiserver (with the "kubernetes.io/kube-apiserver-client" signerName), 
@@ -117,13 +104,12 @@ or to obtain certificates from custom non-Kubernetes signers.
 
 CertificateSigningRequestSpec contains the certificate request.
 -->
-## 证书签名请求规范 CertificateSigningRequestSpec {#CertificateSigningRequestSpec}
+## CertificateSigningRequestSpec {#CertificateSigningRequestSpec}
 
 CertificateSigningRequestSpec 包含证书请求。
 
-<!--
 <hr>
-
+<!--
 - **request** ([]byte), required
 
   *Atomic: will be replaced during a merge*
@@ -131,7 +117,6 @@ CertificateSigningRequestSpec 包含证书请求。
   request contains an x509 certificate signing request encoded in a "CERTIFICATE REQUEST" PEM block. 
   When serialized as JSON or YAML, the data is additionally base64-encoded.
 -->
-<hr>
 
 - **request** ([]byte)，必需
 
@@ -153,7 +138,7 @@ CertificateSigningRequestSpec 包含证书请求。
 
   CertificateSigningRequests 的 list/watch 请求可以使用 “spec.signerName=NAME” 字段选择器进行过滤。
   
-<!--
+  <!--
   Well-known Kubernetes signers are:
    1. "kubernetes.io/kube-apiserver-client": issues client certificates that can be used to authenticate to kube-apiserver.
     Requests for this signer are never auto-approved by kube-controller-manager, 
@@ -166,8 +151,9 @@ CertificateSigningRequestSpec 包含证书请求。
 	and can be issued by the "csrsigning" controller in kube-controller-manager.
   
   More details are available at https://k8s.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers  
--->
+  -->
   众所周知的 Kubernetes 签名者有：
+
   1. “kubernetes.io/kube-apiserver-client”：颁发客户端证书，用于向 kube-apiserver 进行身份验证。
      对此签名者的请求永远不会被 kube-controller-manager 自动批准，
      可以由 kube-controller-manager 中的 “csrsigning” 控制器颁发。
@@ -180,7 +166,7 @@ CertificateSigningRequestSpec 包含证书请求。
   
   更多详细信息，请访问 https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers
 
-<!--
+  <!--
   Custom signerNames can also be specified. The signer defines:
    1. Trust distribution: how trust (CA bundles) are distributed.
    2. Permitted subjects: and behavior when a disallowed subject is requested.
@@ -190,8 +176,9 @@ CertificateSigningRequestSpec 包含证书请求。
    4. Required, permitted, or forbidden key usages / extended key usages.
    5. Expiration/certificate lifetime: whether it is fixed by the signer, configurable by the admin.
    6. Whether or not requests for CA certificates are allowed.  
--->
+  -->
   也可以指定自定义 signerName。签名者定义如下：
+
   1. 信任分发：信任（CA 证书包）是如何分发的。
   2. 许可的主体：当请求不允许的主体时的行为。
   3. 请求中必需、许可或禁止的 x509 扩展（包括是否允许 subjectAltNames、哪些类型、对允许值的限制）
@@ -214,16 +201,16 @@ CertificateSigningRequestSpec 包含证书请求。
   证书签署者可以颁发具有不同有效期的证书，
   因此客户端必须检查颁发证书中 notBefore 和 notAfter 字段之间的增量以确定实际持续时间。
 
-<!--
+  <!--
   The v1.22+ in-tree implementations of the well-known Kubernetes signers will honor this field 
   as long as the requested duration is not greater than the maximum duration they will honor per the 
   --cluster-signing-duration CLI flag to the Kubernetes controller manager.
--->
+  -->
   众所周知的 Kubernetes 签名者在 v1.22+ 版本内实现将遵守此字段，
   只要请求的持续时间不大于最大持续时间，它们将遵守 Kubernetes 控制管理器的
   --cluster-signing-duration CLI 标志。
   
-<!--
+  <!--
   Certificate signers may not honor this field for various reasons:
   
     1. Old signer that is unaware of the field (such as the in-tree
@@ -232,7 +219,7 @@ CertificateSigningRequestSpec 包含证书请求。
     3. Signer whose configured minimum is longer than the requested duration
   
   The minimum valid value for expirationSeconds is 600, i.e. 10 minutes.  
--->
+  -->
   由于各种原因，证书签名者可能忽略此字段:
 
   1. 不认识此字段的旧签名者(如 v1.22 版本之前的实现)
@@ -299,7 +286,7 @@ CertificateSigningRequestSpec 包含证书请求。
 
   TLS 服务证书的请求通常要求："key encipherment"、"digital signature"、"server auth"。
 
-<!-- 
+  <!-- 
   Valid values are:
    "signing", "digital signature", "content commitment",
    "key encipherment", "key agreement", "data encipherment",
@@ -308,15 +295,15 @@ CertificateSigningRequestSpec 包含证书请求。
    "code signing", "email protection", "s/mime",
    "ipsec end system", "ipsec tunnel", "ipsec user",
    "timestamping", "ocsp signing", "microsoft sgc", "netscape sgc"
--->
+  -->
   有效值：
-   "signing"、"digital signature"、"content commitment"、
-   "key encipherment"、"key agreement"、"data encipherment"、
-   "cert sign"、"crl sign"、"encipher only"、"decipher only"、"any"、
-   "server auth"、"client auth"、
-   "code signing"、"email protection"、"s/mime"、
-   "ipsec end system"、"ipsec tunnel"、"ipsec user"、
-   "timestamping"、"ocsp signing"、"microsoft sgc"、"netscape sgc"。
+  "signing"、"digital signature"、"content commitment"、
+  "key encipherment"、"key agreement"、"data encipherment"、
+  "cert sign"、"crl sign"、"encipher only"、"decipher only"、"any"、
+  "server auth"、"client auth"、
+  "code signing"、"email protection"、"s/mime"、
+  "ipsec end system"、"ipsec tunnel"、"ipsec user"、
+  "timestamping"、"ocsp signing"、"microsoft sgc"、"netscape sgc"。
 
 <!-- 
 - **username** (string)
@@ -337,7 +324,7 @@ and the issued certificate.
 
 <hr>
 -->
-## 证书签名请求状态 CertificateSigningRequestStatus {#CertificateSigningRequestStatus}
+## CertificateSigningRequestStatus {#CertificateSigningRequestStatus}
 
 CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败状态和颁发证书的状况。
 
@@ -363,30 +350,31 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
   如果证书签名请求被拒绝，则添加类型为 “Denied” 的状况，并且保持该字段为空。
   如果签名者不能颁发证书，则添加类型为 “Failed” 的状况，并且保持该字段为空。
 
-<!-- 
+  <!-- 
   Validation requirements:
    1. certificate must contain one or more PEM blocks.
    2. All PEM blocks must have the "CERTIFICATE" label, contain no headers, and the encoded data
     must be a BER-encoded ASN.1 Certificate structure as described in section 4 of RFC5280.
    3. Non-PEM content may appear before or after the "CERTIFICATE" PEM blocks and is unvalidated,
     to allow for explanatory text as described in section 5.2 of RFC7468.
--->
+  -->
   验证要求:
+
   1. 证书必须包含一个或多个 PEM 块。
   2. 所有的 PEM 块必须有 “CERTIFICATE” 标签，不包含头和编码的数据，
      必须是由 BER 编码的 ASN.1 证书结构，如 RFC5280 第 4 节所述。
   3. 非 PEM 内容可能出现在 “CERTIFICATE”PEM 块之前或之后，并且是未验证的，
      允许如 RFC7468 5.2 节中描述的解释性文本。
 
-<!-- 
+  <!-- 
   If more than one PEM block is present, and the definition of the requested spec.signerName does not indicate otherwise, 
   the first block is the issued certificate, and subsequent blocks should be treated as
   intermediate certificates and presented in TLS handshakes.
--->
+  -->
   如果存在多个 PEM 块，并且所请求的 spec.signerName 的定义没有另外说明，
   那么第一个块是颁发的证书，后续的块应该被视为中间证书并在 TLS 握手中呈现。
 
-<!-- 
+  <!-- 
   The certificate is encoded in PEM format.
   
   When serialized as JSON or YAML, the data is additionally base64-encoded, so it consists of:
@@ -396,10 +384,11 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
       ...
       -----END CERTIFICATE-----
       )
--->
+  -->
   证书编码为 PEM 格式。
   
   当序列化为 JSON 或 YAML 时，数据额外采用 base64 编码，它包括:
+
   ```
   base64(
       -----BEGIN CERTIFICATE-----
@@ -407,6 +396,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
       -----END CERTIFICATE-----
   )
   ```
+
 <!-- 
 - **conditions** ([]CertificateSigningRequestCondition)
   *Map: unique values on key type will be kept during a merge*
@@ -420,21 +410,21 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
 
   **Map：键类型的唯一值将在合并期间保留**
   
-   应用于请求的状况。已知的状况有 "Approved"、"Denied" 与 "Failed"。
+  应用于请求的状况。已知的状况有 "Approved"、"Denied" 与 "Failed"。
 
-   <a name="CertificateSigningRequestCondition"></a>
-   **CertificateSigningRequestCondition 描述 CertificateSigningRequest 对象的状况。**
+  <a name="CertificateSigningRequestCondition"></a>
+  **CertificateSigningRequestCondition 描述 CertificateSigningRequest 对象的状况。**
 
-<!-- 
+  <!-- 
   - **conditions.status** (string), required
 
     status of the condition, one of True, False, Unknown. Approved, Denied, and Failed conditions may not be "False" or "Unknown".
--->
+  -->
   - **conditions.status** (string)，必需
   
     状况的状态，True、False、Unknown 之一。Approved、Denied 与 Failed 的状况不可以是 "False" 或 "Unknown"。
 
-<!-- 
+  <!-- 
   - **conditions.type** (string), required
     type of the condition. Known conditions are "Approved", "Denied", and "Failed".
     
@@ -447,7 +437,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     Approved and Denied conditions are mutually exclusive. Approved, Denied, and Failed conditions cannot be removed once added.
     
     Only one condition of a given type is allowed.
--->
+  -->
   - **conditions.type** (string)，必需
   
     状况的类型。已知的状况是 "Approved"、"Denied" 与 "Failed"。
@@ -462,7 +452,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     
     给定类型只允许设置一种状况。
 
-<!-- 
+  <!-- 
   - **conditions.lastTransitionTime** (Time)
 
     lastTransitionTime is the time the condition last transitioned from one status to another. 
@@ -472,7 +462,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     <a name="Time"></a>
     *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  
 	Wrappers are provided for many of the factory methods that the time package offers.*
--->
+  -->
 
   - **conditions.lastTransitionTime** (Time)
   
@@ -482,7 +472,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     <a name="Time"></a>
     **Time 是 time.Time 的包装器，支持正确编码为 YAML 和 JSON。为 time 包提供的许多工厂方法提供了包装器。**
 
-<!-- 
+  <!-- 
   - **conditions.lastUpdateTime** (Time)
 
     lastUpdateTime is the time of the last update to this condition
@@ -490,7 +480,7 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     <a name="Time"></a>
     *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  
 	Wrappers are provided for many of the factory methods that the time package offers.*
--->
+  -->
   - **conditions.lastUpdateTime** (Time)
   
     lastUpdateTime 是该状况最后一次更新的时间。
@@ -498,20 +488,20 @@ CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败
     <a name="Time"></a>
     **Time 是 time.Time 的包装器，支持正确编组为 YAML 和 JSON。为 time 包提供的许多工厂方法提供了包装器。**
   
-<!-- 
+  <!-- 
   - **conditions.message** (string)
 
     message contains a human readable message with details about the request state
--->
+  -->
   - **conditions.message** (string)
 
     message 包含一个人类可读的消息，包含关于请求状态的详细信息。
 
-<!-- 
+  <!-- 
   - **conditions.reason** (string)
 
     reason indicates a brief reason for the request state
--->
+  -->
   - **conditions.reason** (string)
   
     reason 表示请求状态的简短原因。
@@ -523,7 +513,7 @@ CertificateSigningRequestList is a collection of CertificateSigningRequest objec
 
 <hr>
 -->
-## 证书签名请求列表 CertificateSigningRequestList {#CertificateSigningRequestList}
+## CertificateSigningRequestList {#CertificateSigningRequestList}
 
 CertificateSigningRequestList 是 CertificateSigningRequest 对象的集合。
 
@@ -550,11 +540,8 @@ CertificateSigningRequestList 是 CertificateSigningRequest 对象的集合。
 
   items 是 CertificateSigningRequest 对象的集合。
 
-
 <!-- 
 ## Operations {#Operations}
-
-<hr>
 -->
 ## 操作 {#Operations}
 
@@ -1597,4 +1584,4 @@ DELETE /apis/certificates.k8s.io/v1/certificatesigningrequests
 
 200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
 
-401: Unauthorized
\ No newline at end of file
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1.md b/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1.md
new file mode 100644
index 00000000000..5623e77427c
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/authentication-resources/token-request-v1.md
@@ -0,0 +1,225 @@
+---
+api_metadata:
+  apiVersion: "authentication.k8s.io/v1"
+  import: "k8s.io/api/authentication/v1"
+  kind: "TokenRequest"
+content_type: "api_reference"
+description: "TokenRequest 为给定的服务账号请求一个令牌。"
+title: "TokenRequest"
+weight: 2
+---
+<!--
+api_metadata:
+  apiVersion: "authentication.k8s.io/v1"
+  import: "k8s.io/api/authentication/v1"
+  kind: "TokenRequest"
+content_type: "api_reference"
+description: "TokenRequest requests a token for a given service account."
+title: "TokenRequest"
+weight: 2
+auto_generated: true
+-->
+
+`apiVersion: authentication.k8s.io/v1`
+
+`import "k8s.io/api/authentication/v1"`
+
+## TokenRequest {#TokenRequest}
+<!--
+TokenRequest requests a token for a given service account.
+-->
+TokenRequest 为给定的服务账号请求一个令牌。
+
+<hr>
+
+- **apiVersion**: authentication.k8s.io/v1
+
+- **kind**: TokenRequest
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequestSpec" >}}">TokenRequestSpec</a>), required
+  Spec holds information about the request being evaluated
+- **status** (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequestStatus" >}}">TokenRequestStatus</a>)
+
+  Status is filled in by the server and indicates whether the token can be authenticated.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequestSpec" >}}">TokenRequestSpec</a>)，必需
+
+  spec 包含与正被评估的请求相关的信息。
+
+- **status** (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequestStatus" >}}">TokenRequestStatus</a>)
+
+  status 由服务器填充，表示该令牌是否可用于身份认证。
+
+## TokenRequestSpec {#TokenRequestSpec}
+<!--
+TokenRequestSpec contains client provided parameters of a token request.
+-->
+TokenRequestSpec 包含客户端提供的令牌请求参数。
+
+<hr>
+
+<!--
+- **audiences** ([]string), required
+
+  Audiences are the intendend audiences of the token. A recipient of a token must identitfy themself with an identifier in the list of audiences of the token, and otherwise should reject the token. A token issued for multiple audiences may be used to authenticate against any of the audiences listed but implies a high degree of trust between the target audiences.
+-->
+- **audiences** ([]string)，必需
+  
+  audiences 是令牌预期的受众。
+  令牌的接收方必须在令牌的受众列表中用一个标识符来标识自己，否则应拒绝该令牌。
+  为多个受众签发的令牌可用于认证所列举的任意受众的身份，但这意味着目标受众彼此之间的信任程度较高。
+
+- **boundObjectRef** (BoundObjectReference)
+  
+  <!--
+  BoundObjectRef is a reference to an object that the token will be bound to. The token will only be valid for as long as the bound object exists. NOTE: The API server's TokenReview endpoint will validate the BoundObjectRef, but other audiences may not. Keep ExpirationSeconds small if you want prompt revocation.
+
+  <a name="BoundObjectReference"></a>
+  *BoundObjectReference is a reference to an object that a token is bound to.*
+  -->
+  boundObjectRef 是对令牌所绑定的一个对象的引用。该令牌只有在绑定对象存在时才有效。
+  注：API 服务器的 TokenReview 端点将校验 boundObjectRef，但其他受众可能不用这样。
+  如果你想要快速撤销，请为 expirationSeconds 设一个较小的值。
+
+  <a name="BoundObjectReference"></a>
+  **BoundObjectReference 是对令牌所绑定的一个对象的引用。**
+
+  <!--
+  - **boundObjectRef.apiVersion** (string)
+    API version of the referent.
+
+  - **boundObjectRef.kind** (string)
+    Kind of the referent. Valid kinds are 'Pod' and 'Secret'.
+
+  - **boundObjectRef.name** (string)
+    Name of the referent.
+  
+  - **boundObjectRef.uid** (string)
+    UID of the referent.
+  -->
+  - **boundObjectRef.apiVersion** (string)
+
+    引用对象的 API 版本。
+
+  - **boundObjectRef.kind** (string)
+
+    引用对象的类别。有效的类别为 “Pod” 和 “Secret”。
+
+  - **boundObjectRef.name** (string)
+
+    引用对象的名称。
+
+  - **boundObjectRef.uid** (string)
+    引用对象的 UID。
+
+<!--
+- **expirationSeconds** (int64)
+
+  ExpirationSeconds is the requested duration of validity of the request. The token issuer may return a token with a different validity duration so a client needs to check the 'expiration' field in a response.
+-->
+- **expirationSeconds** (int64)
+
+  expirationSeconds 是请求生效的持续时间。
+  令牌签发方可能返回一个生效期不同的令牌，因此客户端需要检查响应中的 “expiration” 字段。
+
+## TokenRequestStatus {#TokenRequestStatus}
+<!--
+TokenRequestStatus is the result of a token request.
+-->
+TokenRequestStatus 是一个令牌请求的结果。
+
+<hr>
+
+<!--
+- **expirationTimestamp** (Time), required
+  ExpirationTimestamp is the time of expiration of the returned token.
+
+  <a name="Time"></a>
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+
+- **token** (string), required
+  Token is the opaque bearer token.
+-->
+- **expirationTimestamp** (Time)，必需
+
+  expirationTimestamp 是已返回令牌的到期时间。
+
+  <a name="Time"></a>
+  **Time 是 time.Time 的包装器，支持正确编组为 YAML 和 JSON。为 time 包提供的许多工厂方法提供了包装器。**
+
+- **token** (string)，必需
+
+  token 是不透明的持有者令牌（Bearer Token）。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `create` create token of a ServiceAccount
+#### HTTP Request
+-->
+## 操作 {#Operations}
+<hr>
+
+### `create` 创建 ServiceAccount 的令牌
+#### HTTP 请求
+POST /api/v1/namespaces/{namespace}/serviceaccounts/{name}/token
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the TokenRequest
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../authentication-resources/token-request-v1#TokenRequest" >}}">TokenRequest</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+- **name** (**路径参数**): string，必需
+
+  TokenRequest 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../authentication-resources/token-request-v1#TokenRequest" >}}">TokenRequest</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequest" >}}">TokenRequest</a>): OK
+
+201 (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequest" >}}">TokenRequest</a>): Created
+
+202 (<a href="{{< ref "../authentication-resources/token-request-v1#TokenRequest" >}}">TokenRequest</a>): Accepted
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-access-review-v1.md b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-access-review-v1.md
index 164a054c414..6ed5ef04314 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-access-review-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-access-review-v1.md
@@ -45,8 +45,8 @@ Self 是一个特殊情况，因为用户应始终能够检查自己是否可以
 -->
 - **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
 
-  标准的列表元数据。
-  更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
 
 - **spec** (<a href="{{< ref "../authorization-resources/self-subject-access-review-v1#SelfSubjectAccessReviewSpec" >}}">SelfSubjectAccessReviewSpec</a>)，必需
   
diff --git a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-rules-review-v1.md b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-rules-review-v1.md
index e4c39decdca..487f23ab287 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-rules-review-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/self-subject-rules-review-v1.md
@@ -30,7 +30,7 @@ SelfSubjectRulesReview 枚举当前用户可以在某命名空间内执行的操
 返回的操作列表可能不完整，具体取决于服务器的鉴权模式以及评估过程中遇到的任何错误。
 SelfSubjectRulesReview 应由 UI 用于显示/隐藏操作，或让最终用户尽快理解自己的权限。
 SelfSubjectRulesReview 不得被外部系统使用以驱动鉴权决策，
-因为这会引起混淆代理人（confused deputy）、缓存有效期/吊销（cache lifetime/revocation）和正确性问题。
+因为这会引起混淆代理人（Confused deputy）、缓存有效期/吊销（Cache lifetime/revocation）和正确性问题。
 SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决策的正确方式。
 
 <hr>
@@ -49,8 +49,8 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
 -->  
 - **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
 
-  标准的列表元数据。
-  更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
 
 - **spec** (<a href="{{< ref "../authorization-resources/self-subject-rules-review-v1#SelfSubjectRulesReviewSpec" >}}">SelfSubjectRulesReviewSpec</a>)，必需
   
@@ -60,12 +60,6 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
   Status is filled in by the server and indicates the set of actions a user can perform.
   <a name="SubjectRulesReviewStatus"></a>
   *SubjectRulesReviewStatus contains the result of a rules check. This check can be incomplete depending on the set of authorizers the server is configured with and any errors experienced during evaluation. Because authorization rules are additive, if a rule appears in a list it's safe to assume the subject has that permission, even if that list is incomplete.*
-  - **status.incomplete** (boolean), required
-    Incomplete is true when the rules returned by this call are incomplete. This is most commonly encountered when an authorizer, such as an external authorizer, doesn't support rules evaluation.
-  - **status.nonResourceRules** ([]NonResourceRule), required
-    NonResourceRules is the list of actions the subject is allowed to perform on non-resources. The list ordering isn't significant, may contain duplicates, and possibly be incomplete.
-    <a name="NonResourceRule"></a>
-    *NonResourceRule holds information that describes a rule for the non-resource*
 -->
 - **status** (SubjectRulesReviewStatus)
   
@@ -76,6 +70,15 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
   此检查可能不完整，具体取决于服务器配置的 Authorizer 的集合以及评估期间遇到的任何错误。
   由于鉴权规则是叠加的，所以如果某个规则出现在列表中，即使该列表不完整，也可以安全地假定该主体拥有该权限。**
 
+  <!--
+  - **status.incomplete** (boolean), required
+    Incomplete is true when the rules returned by this call are incomplete. This is most commonly encountered when an authorizer, such as an external authorizer, doesn't support rules evaluation.
+  - **status.nonResourceRules** ([]NonResourceRule), required
+    NonResourceRules is the list of actions the subject is allowed to perform on non-resources. The list ordering isn't significant, may contain duplicates, and possibly be incomplete.
+    <a name="NonResourceRule"></a>
+    *NonResourceRule holds information that describes a rule for the non-resource*
+  -->
+
   - **status.incomplete** (boolean)，必需
     
     当此调用返回的规则不完整时，incomplete 结果为 true。
@@ -88,28 +91,33 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
     
     <a name="NonResourceRule"></a>
     **nonResourceRule 包含描述非资源路径的规则的信息。**
-<!--
+
+    <!--
     - **status.nonResourceRules.verbs** ([]string), required
       Verb is a list of kubernetes non-resource API verbs, like: get, post, put, delete, patch, head, options.  "*" means all.
     - **status.nonResourceRules.nonResourceURLs** ([]string)
-      NonResourceURLs is a set of partial urls that a user should have access to.  *s are allowed, but only as the full, final step in the path.  "*" means all.
+      NonResourceURLs is a set of partial urls that a user should have access to.  *s are allowed, but only as the full, final step in the path.  "*" means all. 
+    -->
+
+    - **status.nonResourceRules.verbs** ([]string)，必需
+      
+      verb 是 kubernetes 非资源 API 动作的列表，例如 get、post、put、delete、patch、head、options。
+      `*` 表示所有动作。
+    
+    - **status.nonResourceRules.nonResourceURLs** ([]string)
+      
+      nonResourceURLs 是用户应有权访问的一组部分 URL。
+      允许使用 `*`，但仅能作为路径中最后一段且必须用于完整的一段。
+      `*` 表示全部。
+      
+  <!--
   - **status.resourceRules** ([]ResourceRule), required
     ResourceRules is the list of actions the subject is allowed to perform on resources. The list ordering isn't significant, may contain duplicates, and possibly be incomplete.
     <a name="ResourceRule"></a>
     *ResourceRule is the list of actions the subject is allowed to perform on resources. The list ordering isn't significant, may contain duplicates, and possibly be incomplete.*
     - **status.resourceRules.verbs** ([]string), required
-    Verb is a list of kubernetes resource API verbs, like: get, list, watch, create, update, delete, proxy.  "*" means all.  
--->
-    - **status.nonResourceRules.verbs** ([]string)，必需
-      
-      verb 是 kubernetes 非资源 API 动作的列表，例如 get、post、put、delete、patch、head、options。
-      "*" 表示所有动作。
-    
-    - **status.nonResourceRules.nonResourceURLs** ([]string)
-      
-      nonResourceURLs 是用户应有权访问的一组部分 URL。
-      允许使用 "*"，但仅能作为路径中最后一段且必须用于完整的一段。
-      "*" 表示全部。
+    Verb is a list of kubernetes resource API verbs, like: get, list, watch, create, update, delete, proxy.  "*" means all. 
+  -->
 
   - **status.resourceRules** ([]ResourceRule)，必需
     
@@ -122,8 +130,9 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
     - **status.resourceRules.verbs** ([]string)，必需
       
       verb 是 kubernetes 资源 API 动作的列表，例如 get、list、watch、create、update、delete、proxy。
-      "*" 表示所有动作。
-<!--
+      `*` 表示所有动作。
+
+    <!--
     - **status.resourceRules.apiGroups** ([]string)
       APIGroups is the name of the APIGroup that contains the resources.  If multiple API groups are specified, any action requested against one of the enumerated resources in any API group will be allowed.  "*" means all.
     - **status.resourceRules.resourceNames** ([]string)
@@ -131,26 +140,30 @@ SubjectAccessReview 和 LocalAccessReview 是遵从 API 服务器所做鉴权决
     - **status.resourceRules.resources** ([]string)
       Resources is a list of resources this rule applies to.  "*" means all in the specified apiGroups.
        "*/foo" represents the subresource 'foo' for all resources in the specified apiGroups.
-  - **status.evaluationError** (string)
-    EvaluationError can appear in combination with Rules. It indicates an error occurred during rule evaluation, such as an authorizer that doesn't support rule evaluation, and that ResourceRules and/or NonResourceRules may be incomplete.
---> 
+    -->
+
     - **status.resourceRules.apiGroups** ([]string)
       
       apiGroups 是包含资源的 APIGroup 的名称。
       如果指定了多个 API 组，则允许对任何 API 组中枚举的资源之一请求任何操作。
-      "*" 表示所有 APIGroup。
+      `*` 表示所有 APIGroup。
     
     - **status.resourceRules.resourceNames** ([]string)
       
       resourceNames 是此规则所适用的资源名称白名单，可选。
       空集合意味着允许所有资源。
-      "*" 表示所有资源。
+      `*` 表示所有资源。
     
     - **status.resourceRules.resources** ([]string)
       
       resources 是此规则所适用的资源的列表。
-      "*" 表示指定 APIGroup 中的所有资源。
-      "*/foo" 表示指定 APIGroup 中所有资源的子资源 "foo"。
+      `*` 表示指定 APIGroup 中的所有资源。
+      `*/foo` 表示指定 APIGroup 中所有资源的子资源 "foo"。
+
+  <!--
+  - **status.evaluationError** (string)
+    EvaluationError can appear in combination with Rules. It indicates an error occurred during rule evaluation, such as an authorizer that doesn't support rule evaluation, and that ResourceRules and/or NonResourceRules may be incomplete.
+  -->
 
   - **status.evaluationError** (string)
     
diff --git a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/subject-access-review-v1.md b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/subject-access-review-v1.md
index be42036d46d..b4120827cf9 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/subject-access-review-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/authorization-resources/subject-access-review-v1.md
@@ -43,8 +43,8 @@ SubjectAccessReview 检查用户或组是否可以执行某操作。
 - **status** (<a href="{{< ref "../authorization-resources/subject-access-review-v1#SubjectAccessReviewStatus" >}}">SubjectAccessReviewStatus</a>)
   Status is filled in by the server and indicates whether the request is allowed or not
 -->  
-  标准的列表元数据。
-  更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
 
 - **spec** (<a href="{{< ref "../authorization-resources/subject-access-review-v1#SubjectAccessReviewSpec" >}}">SubjectAccessReviewSpec</a>)，必需
   
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/component-status-v1.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/component-status-v1.md
new file mode 100644
index 00000000000..d42187e2962
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/component-status-v1.md
@@ -0,0 +1,225 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ComponentStatus"
+content_type: "api_reference"
+description: "ComponentStatus（和 ComponentStatusList）保存集群检验信息。"
+title: "ComponentStatus"
+weight: 10
+---
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ComponentStatus"
+content_type: "api_reference"
+description: "ComponentStatus (and ComponentStatusList) holds the cluster validation info."
+title: "ComponentStatus"
+weight: 10
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## ComponentStatus {#ComponentStatus}
+<!--
+ComponentStatus (and ComponentStatusList) holds the cluster validation info. Deprecated: This API is deprecated in v1.19+
+-->
+ComponentStatus（和 ComponentStatusList）保存集群检验信息。
+已废弃：该 API 在 v1.19 及更高版本中废弃。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: ComponentStatus
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **conditions** ([]ComponentCondition)
+
+  <!--
+  *Patch strategy: merge on key `type`*
+  List of component conditions observed
+
+  <a name="ComponentCondition"></a>
+  *Information about the condition of a component.*
+
+  - **conditions.status** (string), required
+    Status of the condition for a component. Valid values for "Healthy": "True", "False", or "Unknown".
+  -->
+  **补丁策略：基于键 `type` 合并**
+  
+  观测到的组件状况的列表。
+
+  <a name="ComponentCondition"></a>
+  **组件状况相关信息。**
+
+  - **conditions.status** (string)，必需
+
+    组件状况的状态。“Healthy” 的有效值为：“True”、“False” 或 “Unknown”。
+
+  <!--
+  - **conditions.type** (string), required
+    Type of condition for a component. Valid value: "Healthy"
+
+  - **conditions.error** (string)
+    Condition error code for a component. For example, a health check error code.
+
+  - **conditions.message** (string)
+    Message about the condition for a component. For example, information about a health check.
+  -->
+  - **conditions.type** (string)，必需
+
+    组件状况的类型。有效值：“Healthy”
+
+  - **conditions.error** (string)
+
+    组件状况的错误码。例如，一个健康检查错误码。
+
+  - **conditions.message** (string)
+
+    组件状况相关消息。例如，有关健康检查的信息。
+
+## ComponentStatusList {#ComponentStatusList}
+<!--
+Status of all the conditions for the component as a list of ComponentStatus objects. Deprecated: This API is deprecated in v1.19+
+-->
+作为 ComponentStatus 对象列表，所有组件状况的状态。
+已废弃：该 API 在 v1.19 及更高版本中废弃。
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: ComponentStatusList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../cluster-resources/component-status-v1#ComponentStatus" >}}">ComponentStatus</a>), required
+  List of ComponentStatus objects.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../cluster-resources/component-status-v1#ComponentStatus" >}}">ComponentStatus</a>)，必需
+
+  ComponentStatus 对象的列表。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified ComponentStatus
+#### HTTP Request
+-->
+## 操作 {#Operations}
+<hr>
+
+### `get` 读取指定的 ComponentStatus
+#### HTTP 请求
+GET /api/v1/componentstatuses/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ComponentStatus
+- **pretty** (*in query*): string
+-->
+#### 参数
+- **name** (**路径参数**): string，必需
+
+  ComponentStatus 的名称
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/component-status-v1#ComponentStatus" >}}">ComponentStatus</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list objects of kind ComponentStatus
+#### HTTP Request
+-->
+### `list` 列出 ComponentStatus 类别的对象
+#### HTTP 请求
+GET /api/v1/componentstatuses
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/component-status-v1#ComponentStatusList" >}}">ComponentStatusList</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1.md
new file mode 100644
index 00000000000..a62915f651e
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/event-v1.md
@@ -0,0 +1,935 @@
+---
+api_metadata:
+  apiVersion: "events.k8s.io/v1"
+  import: "k8s.io/api/events/v1"
+  kind: "Event"
+content_type: "api_reference"
+description: "Event 是集群中某个事件的报告。"
+title: "Event"
+weight: 3
+---
+
+<!--
+api_metadata:
+  apiVersion: "events.k8s.io/v1"
+  import: "k8s.io/api/events/v1"
+  kind: "Event"
+content_type: "api_reference"
+description: "Event is a report of an event somewhere in the cluster."
+title: "Event"
+weight: 3
+auto_generated: true
+-->
+
+`apiVersion: events.k8s.io/v1`
+
+`import "k8s.io/api/events/v1"`
+
+## Event {#Event}
+<!--
+Event is a report of an event somewhere in the cluster. It generally denotes some state change in the system.
+Events have a limited retention time and triggers and messages may evolve with time. 
+Event consumers should not rely on the timing of an event with a given Reason reflecting a consistent underlying trigger, or the continued existence of events with that Reason. 
+Events should be treated as informative, best-effort, supplemental data.
+-->
+Event 是集群中某个事件的报告。它一般表示系统的某些状态变化。
+Event 的保留时间有限，触发器和消息可能会随着时间的推移而演变。
+事件消费者不应假定给定原因的事件的时间所反映的是一致的下层触发因素，或具有该原因的事件的持续存在。
+Events 应被视为通知性质的、尽最大努力而提供的补充数据。
+
+<hr>
+
+- **apiVersion**: events.k8s.io/v1
+
+- **kind**: Event
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!--
+- **eventTime** (MicroTime), required
+
+  eventTime is the time when this Event was first observed. It is required.
+-->
+
+- **eventTime** (MicroTime)，必需
+
+  evenTime 是该事件首次被观察到的时间。它是必需的。
+
+  <a name="MicroTime"></a>
+
+  <!--
+  *MicroTime is version of Time with microsecond level precision.*
+  -->
+  
+  **MicroTime 是微秒级精度的 Time 版本**
+
+- **action** (string)
+
+  <!--
+  action is what action was taken/failed regarding to the regarding object. It is machine-readable. This field cannot be empty for new Events and it can have at most 128 characters.
+  -->
+  action 是针对相关对象所采取的或已失败的动作。字段值是机器可读的。对于新的 Event，此字段不能为空，
+  且最多为 128 个字符。
+
+- **deprecatedCount** (int32)
+
+  <!--
+  deprecatedCount is the deprecated field assuring backward compatibility with core.v1 Event type.
+  -->
+  deprecatedCount 是确保与 core.v1 Event 类型向后兼容的已弃用字段。
+
+- **deprecatedFirstTimestamp** (Time)
+
+  <!--
+  deprecatedFirstTimestamp is the deprecated field assuring backward compatibility with core.v1 Event type.
+  -->
+  deprecatedFirstTimestamp 是确保与 core.v1 Event 类型向后兼容的已弃用字段。
+
+  <a name="Time"></a>
+  
+  <!--
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+  **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**
+
+- **deprecatedLastTimestamp** (Time)
+
+  <!--
+  deprecatedLastTimestamp is the deprecated field assuring backward compatibility with core.v1 Event type.
+  -->
+  deprecatedLastTimestamp 是确保与 core.v1 Event 类型向后兼容的已弃用字段。
+
+  <a name="Time"></a>
+
+  <!--
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  --> 
+  **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**
+
+- **deprecatedSource** (EventSource)
+
+  <!--
+  deprecatedSource is the deprecated field assuring backward compatibility with core.v1 Event type.
+  -->  
+  deprecatedSource 是确保与 core.v1 Event 类型向后兼容的已弃用字段。
+
+  <a name="EventSource"></a>
+  
+  <!--
+  *EventSource contains information for an event.*
+  -->
+
+  **EventSource 包含事件信息。**
+
+  - **deprecatedSource.component** (string)
+
+    <!--
+    Component from which the event is generated.
+    -->
+
+    生成事件的组件。
+
+  - **deprecatedSource.host** (string)
+
+    <!--
+    Node name on which the event is generated.
+    -->
+
+    产生事件的节点名称。
+
+- **note** (string)
+
+  <!--
+  note is a human-readable description of the status of this operation. Maximal length of the note is 1kB, but libraries should be prepared to handle values up to 64kB.
+  -->
+  node 是对该操作状态的可读描述。注释的最大长度是 1kB，但是库应该准备好处理最多 64kB 的值。
+
+- **reason** (string)
+
+  <!--
+  reason is why the action was taken. It is human-readable. This field cannot be empty for new Events and it can have at most 128 characters.
+  -->
+  reason 是采取行动的原因。它是人类可读的。对于新的 Event，此字段不能为空，且最多为128个字符。
+
+- **regarding** (<a href="{{< ref "../common-definitions/object-reference#ObjectReference" >}}">ObjectReference</a>)
+
+  <!--
+  regarding contains the object this Event is about. In most cases it's an Object reporting controller implements, e.g. ReplicaSetController implements ReplicaSets and this event is emitted because it acts on some changes in a ReplicaSet object.
+  -->
+  关于包含此 Event 所涉及的对象。在大多数情况下，所指的是报告事件的控制器所实现的一个 Object。
+  例如 ReplicaSetController 实现了 ReplicaSet，这个事件被触发是因为控制器对 ReplicaSet 对象做了一些变化。
+
+- **related** (<a href="{{< ref "../common-definitions/object-reference#ObjectReference" >}}">ObjectReference</a>)
+
+  <!--
+  related is the optional secondary object for more complex actions. E.g. when regarding object triggers a creation or deletion of related object.
+  -->
+  related 是用于更复杂操作的、可选的、从属性的对象。例如，当 regarding 对象触发 related 对象的创建或删除时。
+
+- **reportingController** (string)
+
+  <!--
+  reportingController is the name of the controller that emitted this Event, e.g. `kubernetes.io/kubelet`. This field cannot be empty for new Events.
+  -->
+  reportingController 是触发该事件的控制器的名称,例如 `kubernetes.io/kubelet`。对于新的　Event，此字段不能为空。
+
+- **reportingInstance** (string)
+
+  <!--
+  reportingInstance is the ID of the controller instance, e.g. `kubelet-xyzf`. This field cannot be empty for new Events and it can have at most 128 characters.
+  -->
+  reportingInstance 为控制器实例的 ID,例如 `kubelet-xyzf`。对于新的 Event，此字段不能为空，且最多为 128 个字符。 
+
+- **series** (EventSeries)
+
+  <!--
+  series is data about the Event series this event represents or nil if it's a singleton Event.
+  -->
+  series 是该事件代表的事件系列的数据，如果是单事件，则为 nil。
+
+  <a name="EventSeries"></a>
+
+  <!--
+  *EventSeries contain information on series of events, i.e. thing that was/is happening continuously for some time. How often to update the EventSeries is up to the event reporters. The default event reporter in "k8s.io/client-go/tools/events/event_broadcaster.go" shows how this struct is updated on heartbeats and can guide customized reporter implementations.*
+  -->
+  EventSeries 包含一系列事件的信息，即一段时间内持续发生的事情。
+  EventSeries 的更新频率由事件报告者决定。
+  默认事件报告程序在 "k8s.io/client-go/tools/events/event_broadcaster.go" 
+  展示在发生心跳时该结构如何被更新，可以指导定制的报告者实现。
+
+  <!--
+  - **series.count** (int32), required
+  -->
+
+  - **series.count** (int32)，必需
+
+    <!--
+    count is the number of occurrences in this series up to the last heartbeat time.
+    -->
+    
+    count 是到最后一次心跳时间为止在该系列中出现的次数。
+
+  <!--
+  - **series.lastObservedTime** (MicroTime), required
+
+    lastObservedTime is the time when last Event from the series was seen before last heartbeat.
+  -->
+
+  - **series.lastObservedTime** (MicroTime)，必需
+
+    lastObservedTime 是在最后一次心跳时间之前看到最后一个 Event 的时间。
+
+    <a name="MicroTime"></a>
+
+    <!--
+    *MicroTime is version of Time with microsecond level precision.*
+    -->
+
+    **MicroTime 是微秒级精度的 Time 版本。**
+
+- **type** (string)
+
+  <!--
+  type is the type of this event (Normal, Warning), new types could be added in the future. It is machine-readable. This field cannot be empty for new Events.
+  -->
+  type 是该事件的类型（Normal、Warning），未来可能会添加新的类型。字段值是机器可读的。
+  对于新的 Event，此字段不能为空。
+
+## EventList {#EventList}
+
+<!--
+EventList is a list of Event objects.
+-->
+EventList 是一个 Event 对象列表。
+
+<hr>
+
+- **apiVersion**: events.k8s.io/v1
+
+- **kind**: EventList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!--
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+   标准的列表元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!--
+- **items** ([]<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>), required
+
+  items is a list of schema objects.
+-->
+- **items** ([]<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>)，必需
+
+  items 是模式（Schema）对象的列表。
+
+<!--
+## Operations {#Operations}
+-->
+## 操作 {#操作}
+
+<hr>
+
+<!--
+### `get` read the specified Event
+
+#### HTTP Request
+-->
+### `get` 读取特定 Event
+
+#### HTTP 请求
+
+GET /apis/events.k8s.io/v1/namespaces/{namespace}/events/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Event
+-->
+- **name** (**路径参数**)：string，必需
+
+  Event 名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**路径参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Event
+
+#### HTTP Request
+-->
+### `list` 列出或观察事件类型对象
+
+#### HTTP 请求
+
+GET /apis/events.k8s.io/v1/namespaces/{namespace}/events
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#EventList" >}}">EventList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Event
+
+#### HTTP Request
+-->
+### `list` 列出或观察事件类型对象
+
+#### HTTP 请求
+
+GET /apis/events.k8s.io/v1/events
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#EventList" >}}">EventList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create an Event
+
+#### HTTP Request
+-->
+### `create` 创建一个 Event
+
+#### HTTP 请求
+
+POST /apis/events.k8s.io/v1/namespaces/{namespace}/events
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**查询参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>, required
+-->
+- **body**: <a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): Created
+
+202 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified Event
+
+#### HTTP Request
+-->
+### `update` 替换指定 Event
+
+#### HTTP 请求
+
+PUT /apis/events.k8s.io/v1/namespaces/{namespace}/events/{name}
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Event
+-->
+- **name** (**路径参数**)：string，必需
+
+  Event 名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>, required
+-->
+- **body**：<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>，必需
+  
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**)：必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified Event
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 Event
+
+#### HTTP 请求
+
+PATCH /apis/events.k8s.io/v1/namespaces/{namespace}/events/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Event
+-->
+- **name** (**路径参数**)：string，必需
+
+  Event 名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+  
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+-->
+- **force** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/event-v1#Event" >}}">Event</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete an Event
+
+#### HTTP Request
+-->
+### `delete` 删除 Event
+
+#### HTTP 请求
+
+DELETE /apis/events.k8s.io/v1/namespaces/{namespace}/events/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Event
+-->
+- **name** (**路径参数**)：string，必需
+
+  Event 名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of Event
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 Event 集合
+
+#### HTTP 请求
+
+DELETE /apis/events.k8s.io/v1/namespaces/{namespace}/events
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (*in path*)：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (*查询参数*)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/flow-schema-v1beta2.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/flow-schema-v1beta2.md
new file mode 100644
index 00000000000..4a8a2fdcdb8
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/flow-schema-v1beta2.md
@@ -0,0 +1,1120 @@
+---
+api_metadata:
+  apiVersion: "flowcontrol.apiserver.k8s.io/v1beta2"
+  import: "k8s.io/api/flowcontrol/v1beta2"
+  kind: "FlowSchema"
+content_type: "api_reference"
+description: "FlowSchema 定义一组流的模式。"
+title: "FlowSchema v1beta2"
+weight: 7
+---
+<!--
+api_metadata:
+  apiVersion: "flowcontrol.apiserver.k8s.io/v1beta2"
+  import: "k8s.io/api/flowcontrol/v1beta2"
+  kind: "FlowSchema"
+content_type: "api_reference"
+description: "FlowSchema defines the schema of a group of flows."
+title: "FlowSchema v1beta2"
+weight: 7
+auto_generated: true
+-->
+
+`apiVersion: flowcontrol.apiserver.k8s.io/v1beta2`
+
+`import "k8s.io/api/flowcontrol/v1beta2"`
+
+## FlowSchema {#FlowSchema}
+
+<!--
+FlowSchema defines the schema of a group of flows. Note that a flow is made up of a set of inbound API requests with similar attributes and is identified by a pair of strings: the name of the FlowSchema and a "flow distinguisher".
+-->
+FlowSchema 定义一组流的模式。请注意，一个流由属性类似的一组入站 API 请求组成，
+用一对字符串进行标识：FlowSchema 的名称和一个 “流区分项”。
+
+<hr>
+
+- **apiVersion**: flowcontrol.apiserver.k8s.io/v1beta2
+
+- **kind**: FlowSchema
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  `metadata` is the standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchemaSpec" >}}">FlowSchemaSpec</a>)
+
+  `spec` is the specification of the desired behavior of a FlowSchema. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  `metadata` 是标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchemaSpec" >}}">FlowSchemaSpec</a>)
+
+  `spec` 是 FlowSchema 预期行为的规约。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchemaStatus" >}}">FlowSchemaStatus</a>)
+
+  `status` is the current status of a FlowSchema. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchemaStatus" >}}">FlowSchemaStatus</a>)
+
+  `status` 是 FlowSchema 的当前状态。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## FlowSchemaSpec {#FlowSchemaSpec}
+
+<!--
+FlowSchemaSpec describes how the FlowSchema's specification looks like.
+-->
+FlowSchemaSpec 描述 FlowSchema 的规约看起来是怎样的。
+
+<hr>
+
+<!--
+- **priorityLevelConfiguration** (PriorityLevelConfigurationReference), required
+
+  `priorityLevelConfiguration` should reference a PriorityLevelConfiguration in the cluster. If the reference cannot be resolved, the FlowSchema will be ignored and marked as invalid in its status. Required.
+
+  <a name="PriorityLevelConfigurationReference"></a>
+  *PriorityLevelConfigurationReference contains information that points to the "request-priority" being used.*
+
+  - **priorityLevelConfiguration.name** (string), required
+
+    `name` is the name of the priority level configuration being referenced Required.
+-->
+- **priorityLevelConfiguration** (PriorityLevelConfigurationReference)，必需
+
+  `priorityLevelConfiguration` 应引用集群中的 PriorityLevelConfiguration。
+  如果此应用无法被解析，则忽略此 FlowSchema，并在其状态中将其标记为无效。必需。
+
+  <a name="PriorityLevelConfigurationReference"></a>
+  **PriorityLevelConfigurationReference 包含指向正被使用的 “request-priority” 的信息。**
+
+  - **priorityLevelConfiguration.name** (string)，必需
+
+    `name` 是正被引用的优先级配置的名称。必需。
+
+<!--
+- **distinguisherMethod** (FlowDistinguisherMethod)
+
+  `distinguisherMethod` defines how to compute the flow distinguisher for requests that match this schema. `nil` specifies that the distinguisher is disabled and thus will always be the empty string.
+
+  <a name="FlowDistinguisherMethod"></a>
+  *FlowDistinguisherMethod specifies the method of a flow distinguisher.*
+
+  - **distinguisherMethod.type** (string), required
+
+    `type` is the type of flow distinguisher method The supported types are "ByUser" and "ByNamespace". Required.
+-->
+- **distinguisherMethod** (FlowDistinguisherMethod)
+
+  `distinguisherMethod` 定义如何为匹配此模式的请求来计算流区分项。
+  `nil` 表示该区分项被禁用，且因此将始终为空字符串。
+
+  <a name="FlowDistinguisherMethod"></a>
+  **FlowDistinguisherMethod 指定流区分项的方法。**
+
+  - **distinguisherMethod.type** (string)，必需
+
+    `type` 是流区分项的类型。支持的类型为 “ByUser” 和 “ByNamespace”。必需。
+
+<!--
+- **matchingPrecedence** (int32)
+
+  `matchingPrecedence` is used to choose among the FlowSchemas that match a given request. The chosen FlowSchema is among those with the numerically lowest (which we take to be logically highest) MatchingPrecedence.  Each MatchingPrecedence value must be ranged in [1,10000]. Note that if the precedence is not specified, it will be set to 1000 as default.
+-->
+- **matchingPrecedence** (int32)
+
+  `matchingPrecedence` 用于选择与给定请求匹配的一个 FlowSchema。
+  选中的 FlowSchema 是某个 MatchingPrecedence 数值最小（我们视其为逻辑上最大）的 FlowSchema。
+  每个 MatchingPrecedence 值必须在 [1,10000] 的范围内。
+  请注意，如果未指定优先顺序，则其默认设为 1000。
+
+<!--
+- **rules** ([]PolicyRulesWithSubjects)
+
+  *Atomic: will be replaced during a merge*
+  
+  `rules` describes which requests will match this flow schema. This FlowSchema matches a request if and only if at least one member of rules matches the request. if it is an empty slice, there will be no requests matching the FlowSchema.
+
+  <a name="PolicyRulesWithSubjects"></a>
+  *PolicyRulesWithSubjects prescribes a test that applies to a request to an apiserver. The test considers the subject making the request, the verb being requested, and the resource to be acted upon. This PolicyRulesWithSubjects matches a request if and only if both (a) at least one member of subjects matches the request and (b) at least one member of resourceRules or nonResourceRules matches the request.*
+-->
+- **rules** ([]PolicyRulesWithSubjects)
+
+  **原子性：将在合并期间被替换**
+  
+  `rules` 描述哪些请求将与这个流模式匹配。只有当至少一条规则与请求匹配时，
+  才视为此 FlowSchema 与该请求匹配。如果字段值为空表，则 FlowSchema 不会与任何请求匹配。
+
+  <a name="PolicyRulesWithSubjects"></a>
+  **PolicyRulesWithSubjects 给出针对 API 服务器请求的一个测试。
+  该测试将检查发出请求的主体、所请求的动作和要操作的资源。
+  只有同时满足以下两个条件时，才表示此 PolicyRulesWithSubjects 与请求匹配：
+  (a) 至少一个主体成员与请求匹配且
+  (b) 至少 resourceRules 或 nonResourceRules 的一个成员与请求匹配。**
+
+  <!--
+  - **rules.subjects** ([]Subject), required
+
+    *Atomic: will be replaced during a merge*
+    
+    subjects is the list of normal user, serviceaccount, or group that this rule cares about. There must be at least one member in this slice. A slice that includes both the system:authenticated and system:unauthenticated user groups matches every request. Required.
+
+    <a name="Subject"></a>
+    *Subject matches the originator of a request, as identified by the request authentication system. There are three ways of matching an originator; by user, group, or service account.*
+  -->
+
+  - **rules.subjects** ([]Subject)，必需
+
+    **原子性：将在合并期间被替换**
+    
+    subjects 是此规则相关的普通用户、服务账号或组的列表。在这个列表中必须至少有一个成员。
+    同时包含 system:authenticated 和 system:unauthenticated 用户组的列表会与每个请求匹配。
+    此字段为必需。
+
+    <a name="Subject"></a>
+    **Subject 用来与匹配请求的发起方，请求的发起方由请求身份认证系统识别出来。
+    有三种方式来匹配一个发起方：按用户、按组或按服务账号。**
+
+    <!--
+    - **rules.subjects.kind** (string), required
+
+      `kind` indicates which one of the other fields is non-empty. Required
+
+    - **rules.subjects.group** (GroupSubject)
+
+      `group` matches based on user group name.
+
+      <a name="GroupSubject"></a>
+      *GroupSubject holds detailed information for group-kind subject.*
+    -->
+
+    - **rules.subjects.kind** (string)，必需
+
+      `kind` 标示其他字段中的哪个字段必须非空。必需。
+
+    - **rules.subjects.group** (GroupSubject)
+
+      `group` 根据用户组名称进行匹配。
+
+      <a name="GroupSubject"></a>
+      **GroupSubject 保存组类别主体的详细信息。**
+
+      <!--
+      - **rules.subjects.group.name** (string), required
+
+        name is the user group that matches, or "*" to match all user groups. See https://github.com/kubernetes/apiserver/blob/master/pkg/authentication/user/user.go for some well-known group names. Required.
+      -->
+
+      - **rules.subjects.group.name** (string)，必需
+
+        name 是要匹配的用户组，或使用 `*` 匹配所有用户组。有关一些广为人知的组名，请参阅
+        https://github.com/kubernetes/apiserver/blob/master/pkg/authentication/user/user.go。必需。
+    
+    <!--
+    - **rules.subjects.serviceAccount** (ServiceAccountSubject)
+
+      `serviceAccount` matches ServiceAccounts.
+
+      <a name="ServiceAccountSubject"></a>
+      *ServiceAccountSubject holds detailed information for service-account-kind subject.*
+
+      - **rules.subjects.serviceAccount.name** (string), required
+
+        `name` is the name of matching ServiceAccount objects, or "*" to match regardless of name. Required.
+
+      - **rules.subjects.serviceAccount.namespace** (string), required
+
+        `namespace` is the namespace of matching ServiceAccount objects. Required.
+    -->
+
+    - **rules.subjects.serviceAccount** (ServiceAccountSubject)
+
+      `serviceAccount` 与 ServiceAccount 对象进行匹配。
+
+      <a name="ServiceAccountSubject"></a>
+      **ServiceAccountSubject 保存服务账号类别主体的详细信息。**
+
+      - **rules.subjects.serviceAccount.name** (string)，必需
+
+        `name` 是要匹配的 ServiceAccount 对象的名称，可使用 `*` 匹配所有名称。必需。
+
+      - **rules.subjects.serviceAccount.namespace** (string)，必需
+
+        `namespace` 是要匹配的 ServiceAccount 对象的名字空间。必需。
+    
+    <!--
+    - **rules.subjects.user** (UserSubject)
+
+      `user` matches based on username.
+
+      <a name="UserSubject"></a>
+      *UserSubject holds detailed information for user-kind subject.*
+
+      - **rules.subjects.user.name** (string), required
+
+        `name` is the username that matches, or "*" to match all usernames. Required.
+    -->
+
+    - **rules.subjects.user** (UserSubject)
+
+      `user` 根据用户名进行匹配。
+
+      <a name="UserSubject"></a>
+      **UserSubject 保存用户类别主体的详细信息。**
+
+      - **rules.subjects.user.name** (string)，必需
+
+        `name` 是要匹配的用户名，可使用 `*` 匹配所有用户名。必需。
+  
+  <!--
+  - **rules.nonResourceRules** ([]NonResourcePolicyRule)
+
+    *Atomic: will be replaced during a merge*
+    
+    `nonResourceRules` is a list of NonResourcePolicyRules that identify matching requests according to their verb and the target non-resource URL.
+
+    <a name="NonResourcePolicyRule"></a>
+    *NonResourcePolicyRule is a predicate that matches non-resource requests according to their verb and the target non-resource URL. A NonResourcePolicyRule matches a request if and only if both (a) at least one member of verbs matches the request and (b) at least one member of nonResourceURLs matches the request.*
+  -->
+
+  - **rules.nonResourceRules** ([]NonResourcePolicyRule)
+
+    **原子性：将在合并期间被替换**
+    
+    `nonResourceRules` 是由 NonResourcePolicyRule 对象构成的列表，
+    根据请求的动作和目标非资源 URL 来识别匹配的请求。
+
+    <a name="NonResourcePolicyRule"></a>
+    **NonResourcePolicyRule 是根据请求的动作和目标非资源 URL 来匹配非资源请求的一种规则。
+    只有满足以下两个条件时，NonResourcePolicyRule 才会匹配一个请求：
+    (a) 至少 verbs 的一个成员与请求匹配且 (b) 至少 nonResourceURLs 的一个成员与请求匹配。**
+    
+    <!--
+    - **rules.nonResourceRules.nonResourceURLs** ([]string), required
+
+      *Set: unique values will be kept during a merge*
+      
+      `nonResourceURLs` is a set of url prefixes that a user should have access to and may not be empty. For example:
+        - "/healthz" is legal
+        - "/hea*" is illegal
+        - "/hea" is legal but matches nothing
+        - "/hea/*" also matches nothing
+        - "/healthz/*" matches all per-component health checks.
+      "*" matches all non-resource urls. if it is present, it must be the only entry. Required.
+    -->
+
+    - **rules.nonResourceRules.nonResourceURLs** ([]string)，必需
+
+      **集合：合并期间保留唯一值**
+      
+      `nonResourceURLs` 是用户有权访问的一组 URL 前缀，不可以为空。
+      此字段为必需设置的字段。例如：
+        - "/healthz" 是合法的
+        - "/hea*" 是不合法的
+        - "/hea" 是合法的但不会与任何项匹配
+        - "/hea/*" 也不会与任何项匹配
+        - "/healthz/*" 与所有组件自身的的健康检查路径匹配。
+      `*` 与所有非资源 URL 匹配。如果存在此字符，则必须是唯一的输入项。
+      必需。
+    
+    <!--
+    - **rules.nonResourceRules.verbs** ([]string), required
+
+      *Set: unique values will be kept during a merge*
+      
+      `verbs` is a list of matching verbs and may not be empty. "*" matches all verbs. If it is present, it must be the only entry. Required.
+    -->
+
+    - **rules.nonResourceRules.verbs** ([]string)，必需
+
+      **集合：在合并期间保留唯一值**
+      
+      `verbs` 是与动作匹配的列表，不可以为空。`*` 与所有动作匹配。
+      如果存在此字符，则必须是唯一的输入项。必需。
+  
+  <!--
+  - **rules.resourceRules** ([]ResourcePolicyRule)
+
+    *Atomic: will be replaced during a merge*
+    
+    `resourceRules` is a slice of ResourcePolicyRules that identify matching requests according to their verb and the target resource. At least one of `resourceRules` and `nonResourceRules` has to be non-empty.
+
+    <a name="ResourcePolicyRule"></a>
+    *ResourcePolicyRule is a predicate that matches some resource requests, testing the request's verb and the target resource. A ResourcePolicyRule matches a resource request if and only if: (a) at least one member of verbs matches the request, (b) at least one member of apiGroups matches the request, (c) at least one member of resources matches the request, and (d) either (d1) the request does not specify a namespace (i.e., `Namespace==""`) and clusterScope is true or (d2) the request specifies a namespace and least one member of namespaces matches the request's namespace.*
+  -->
+
+  - **rules.resourceRules** ([]ResourcePolicyRule)
+
+    **原子性：将在合并期间被替换**
+    
+    `resourceRules` 是 ResourcePolicyRule 对象的列表，根据请求的动作和目标资源识别匹配的请求。
+    `resourceRules` 和 `nonResourceRules` 两者必须至少有一个非空。
+
+    <a name="ResourcePolicyRule"></a>
+    **ResourcePolicyRule 是用来匹配资源请求的规则，对请求的动作和目标资源进行测试。
+    只有满足以下条件时，ResourcePolicyRule 才会与某个资源请求匹配：
+    (a) 至少 verbs 的一个成员与请求的动作匹配，
+    (b) 至少 apiGroups 的一个成员与请求的 API 组匹配，
+    (c) 至少 resources 的一个成员与请求的资源匹配，
+    (d) 要么 (d1) 请求未指定一个名字空间（即，`namespace==""`）且 clusterScope 为 true，
+    要么 (d2) 请求指定了一个名字空间，且至少 namespaces 的一个成员与请求的名字空间匹配。**
+
+    <!--
+    - **rules.resourceRules.apiGroups** ([]string), required
+
+      *Set: unique values will be kept during a merge*
+      
+      `apiGroups` is a list of matching API groups and may not be empty. "*" matches all API groups and, if present, must be the only entry. Required.
+
+    - **rules.resourceRules.resources** ([]string), required
+
+      *Set: unique values will be kept during a merge*
+      
+      `resources` is a list of matching resources (i.e., lowercase and plural) with, if desired, subresource.  For example, [ "services", "nodes/status" ].  This list may not be empty. "*" matches all resources and, if present, must be the only entry. Required.
+    -->
+
+    - **rules.resourceRules.apiGroups** ([]string)，必需
+
+      **集合：合并期间保留唯一值**
+      
+      `apiGroups` 是与 API 组匹配的列表，不可以为空。`*` 表示与所有 API 组匹配。
+      如果存在此字符，则其必须是唯一的条目。必需。
+
+    - **rules.resourceRules.resources** ([]string)，必需
+
+      **集合：合并期间保留唯一值**
+      
+      `resources` 是匹配的资源（即小写和复数）的列表，如果需要的话，还可以包括子资源。
+      例如 [ "services", "nodes/status" ]。此列表不可以为空。
+      `*` 表示与所有资源匹配。如果存在此字符，则必须是唯一的条目。必需。
+
+    <!--
+    - **rules.resourceRules.verbs** ([]string), required
+
+      *Set: unique values will be kept during a merge*
+      
+      `verbs` is a list of matching verbs and may not be empty. "*" matches all verbs and, if present, must be the only entry. Required.
+
+    - **rules.resourceRules.clusterScope** (boolean)
+
+      `clusterScope` indicates whether to match requests that do not specify a namespace (which happens either because the resource is not namespaced or the request targets all namespaces). If this field is omitted or false then the `namespaces` field must contain a non-empty list.
+    -->
+
+    - **rules.resourceRules.verbs** ([]string)，必需
+
+      **集合：合并期间保留唯一值**
+      
+      `verbs` 是匹配的动作的列表，不可以为空。`*` 表示与所有动作匹配。
+      如果存在此字符，则必须是唯一的条目。必需。
+
+    - **rules.resourceRules.clusterScope** (boolean)
+
+      `clusterScope` 表示是否与未指定名字空间
+      （出现这种情况的原因是该资源没有名字空间或请求目标面向所有名字空间）的请求匹配。
+      如果此字段被省略或为 false，则 `namespaces` 字段必须包含一个非空的列表。
+
+    <!--
+    - **rules.resourceRules.namespaces** ([]string)
+
+      *Set: unique values will be kept during a merge*
+      
+      `namespaces` is a list of target namespaces that restricts matches.  A request that specifies a target namespace matches only if either (a) this list contains that target namespace or (b) this list contains "*".  Note that "*" matches any specified namespace but does not match a request that _does not specify_ a namespace (see the `clusterScope` field for that). This list may be empty, but only if `clusterScope` is true.
+    -->
+
+    - **rules.resourceRules.namespaces** ([]string)
+
+      **集合：合并期间保留唯一值**
+      
+      `namespaces` 是限制匹配的目标的名字空间的列表。
+      指定一个目标名字空间的请求只会在以下某一个情况满足时进行匹配：
+      (a) 此列表包含该目标名字空间或 (b) 此列表包含 `*`。
+      请注意，`*` 与所指定的任何名字空间匹配，但不会与**未指定** 名字空间的请求匹配
+      （请参阅 `clusterScope` 字段）。此列表可以为空，但前提是 `clusterScope` 为 true。
+
+## FlowSchemaStatus {#FlowSchemaStatus}
+
+<!--
+FlowSchemaStatus represents the current state of a FlowSchema.
+-->
+FlowSchemaStatus 表示 FlowSchema 的当前状态。
+
+<hr>
+
+<!--
+- **conditions** ([]FlowSchemaCondition)
+
+  *Map: unique values on key type will be kept during a merge*
+  
+  `conditions` is a list of the current states of FlowSchema.
+
+  <a name="FlowSchemaCondition"></a>
+  *FlowSchemaCondition describes conditions for a FlowSchema.*
+-->
+- **conditions** ([]FlowSchemaCondition)
+
+  **Map：合并期间保留根据键 type 保留其唯一值**
+  
+  `conditions` 是 FlowSchema 当前状况的列表。
+
+  <a name="FlowSchemaCondition"></a>
+  **FlowSchemaCondition 描述 FlowSchema 的状况。**
+
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    `lastTransitionTime` is the last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+
+    `lastTransitionTime` 是状况上一次从一个状态转换为另一个状态的时间。
+
+    <a name="Time"></a>
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+
+  <!--
+  - **conditions.message** (string)
+
+    `message` is a human-readable message indicating details about last transition.
+
+  - **conditions.reason** (string)
+
+    `reason` is a unique, one-word, CamelCase reason for the condition's last transition.
+  -->
+
+  - **conditions.message** (string)
+
+    `message` 是一条人类可读的消息，表示上一次转换有关的详细信息。
+
+  - **conditions.reason** (string)
+
+    `reason` 是状况上次转换原因的、驼峰格式命名的、唯一的一个词。
+  
+  <!--
+  - **conditions.status** (string)
+
+    `status` is the status of the condition. Can be True, False, Unknown. Required.
+
+  - **conditions.type** (string)
+
+    `type` is the type of the condition. Required.
+  -->
+
+  - **conditions.status** (string)
+
+    `status` 是状况的状态。可以是 True、False、Unknown。必需。
+
+  - **conditions.type** (string)
+
+    `type` 是状况的类型。必需。
+
+## FlowSchemaList {#FlowSchemaList}
+
+<!--
+FlowSchemaList is a list of FlowSchema objects.
+-->
+FlowSchemaList 是 FlowSchema 对象的列表。
+
+<hr>
+
+- **apiVersion**: flowcontrol.apiserver.k8s.io/v1beta2
+
+- **kind**: FlowSchemaList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  `metadata` is the standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>), required
+
+  `items` is a list of FlowSchemas.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  `metadata` 是标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>)，必需
+
+  `items` 是 FlowSchemas 的列表。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified FlowSchema
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 FlowSchema
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified FlowSchema
+#### HTTP Request
+-->
+### `get` 读取指定 FlowSchema 的状态
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind FlowSchema
+#### HTTP Request
+-->
+### `list` 列出或监视 FlowSchema 类别的对象
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchemaList" >}}">FlowSchemaList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a FlowSchema
+#### HTTP Request
+-->
+### `create` 创建 FlowSchema
+
+#### HTTP 请求
+
+POST /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Created
+
+202 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified FlowSchema
+#### HTTP Request
+-->
+### `update` 替换指定的 FlowSchema
+
+#### HTTP 请求
+
+PUT /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified FlowSchema
+#### HTTP Request
+-->
+### `update` 替换指定的 FlowSchema 的状态
+
+#### HTTP 请求
+
+PUT /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **body**: <a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified FlowSchema
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 FlowSchema
+
+#### HTTP 请求
+
+PATCH /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified FlowSchema
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 FlowSchema 的状态
+
+#### HTTP 请求
+
+PATCH /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/flow-schema-v1beta2#FlowSchema" >}}">FlowSchema</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a FlowSchema
+#### HTTP Request
+-->
+### `delete` 删除 FlowSchema
+
+#### HTTP 请求
+
+DELETE /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the FlowSchema
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  FlowSchema 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of FlowSchema
+#### HTTP Request
+-->
+### `deletecollection` 删除 FlowSchema 的集合
+
+#### HTTP 请求
+
+DELETE /apis/flowcontrol.apiserver.k8s.io/v1beta2/flowschemas
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/node-v1.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/node-v1.md
new file mode 100644
index 00000000000..51b36841175
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/node-v1.md
@@ -0,0 +1,1567 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Node"
+content_type: "api_reference"
+description: "Node 是 Kubernetes 中的工作节点。"
+title: "Node"
+weight: 1
+---
+
+<!-- 
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Node"
+content_type: "api_reference"
+description: "Node is a worker node in Kubernetes."
+title: "Node"
+weight: 1
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## Node {#Node}
+
+<!-- 
+Node is a worker node in Kubernetes. Each node will have a unique identifier in the cache (i.e. in etcd). 
+-->
+
+Node 是 Kubernetes 中的工作节点。
+每个节点在缓存中（即在 etcd 中）都有一个唯一的标识符。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: Node
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 。
+
+<!-- 
+- **spec** (<a href="{{< ref "../cluster-resources/node-v1#NodeSpec" >}}">NodeSpec</a>)
+
+  Spec defines the behavior of a node. https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status 
+-->
+
+- **spec** (<a href="{{< ref "../cluster-resources/node-v1#NodeSpec" >}}">NodeSpec</a>)
+
+  spec 定义节点的行为。
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status 。
+
+<!-- 
+- **status** (<a href="{{< ref "../cluster-resources/node-v1#NodeStatus" >}}">NodeStatus</a>)
+
+  Most recently observed status of the node. Populated by the system. Read-only. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status 
+-->
+
+- **status** (<a href="{{< ref "../cluster-resources/node-v1#NodeStatus" >}}">NodeStatus</a>)
+
+  此节点的最近观测状态。由系统填充。只读。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status 。
+
+## NodeSpec {#NodeSpec}
+
+<!-- 
+NodeSpec describes the attributes that a node is created with. 
+-->
+
+NodeSpec 描述了创建节点时使用的属性。
+
+<hr>
+
+- **configSource** (NodeConfigSource)
+
+  <!-- 
+  Deprecated: Previously used to specify the source of the node's configuration for the DynamicKubeletConfig feature. This feature is removed from Kubelets as of 1.24 and will be fully removed in 1.26. 
+  -->
+
+  已弃用：以前用于为 DynamicKubeletConfig 功能指定节点配置的来源。
+  自 1.24 的版本起，此功能已从 Kubelets 中移除，并将在 1.26 的版本中完全移除。
+
+  <a name="NodeConfigSource"></a>
+  <!-- 
+  *NodeConfigSource specifies a source of node configuration. Exactly one subfield (excluding metadata) must be non-nil. This API is deprecated since 1.22* 
+  -->
+
+  **NodeConfigSource 指定节点配置的来源。指定一个子字段（不包括元数据）必须为非空。此 API 自 1.22的版本起已被弃用**
+
+  - **configSource.configMap** (ConfigMapNodeConfigSource)
+
+    <!-- 
+    ConfigMap is a reference to a Node's ConfigMap 
+    -->
+
+    configMap 是对 Node 的 ConfigMap 的引用。
+
+    <a name="ConfigMapNodeConfigSource"></a>
+    <!-- 
+    *ConfigMapNodeConfigSource contains the information to reference a ConfigMap as a config source for the Node. This API is deprecated since 1.22: https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration* 
+    -->
+
+    ConfigMapNodeConfigSource 包含引用某 ConfigMap 作为节点配置源的信息。
+    此 API 自 1.22 版本起已被弃用： https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration
+
+    <!-- 
+    - **configSource.configMap.kubeletConfigKey** (string), required
+
+      KubeletConfigKey declares which key of the referenced ConfigMap corresponds to the KubeletConfiguration structure This field is required in all cases. 
+    -->
+
+    - **configSource.configMap.kubeletConfigKey** (string), 必需
+
+      kubeletConfigKey 声明所引用的 ConfigMap 的哪个键对应于 KubeletConfiguration 结构体，
+      该字段在所有情况下都是必需的。
+
+    <!-- 
+    - **configSource.configMap.name** (string), required
+
+      Name is the metadata.name of the referenced ConfigMap. This field is required in all cases. 
+    -->
+
+    - **configSource.configMap.name** (string), 必需
+
+      name 是被引用的 ConfigMap 的 metadata.name。
+      此字段在所有情况下都是必需的。
+
+    <!-- 
+    - **configSource.configMap.namespace** (string), required
+
+      Namespace is the metadata.namespace of the referenced ConfigMap. This field is required in all cases. 
+    -->
+
+    - **configSource.configMap.namespace** (string), 必需
+
+      namespace 是所引用的 ConfigMap 的 metadata.namespace。
+      此字段在所有情况下都是必需的。
+
+    - **configSource.configMap.resourceVersion** (string)
+
+      <!-- 
+      ResourceVersion is the metadata.ResourceVersion of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. 
+      -->
+
+      resourceVersion 是所引用的 ConfigMap 的 metadata.resourceVersion。
+      该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+    - **configSource.configMap.uid** (string)
+
+      <!-- 
+      UID is the metadata.UID of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. -->
+
+      uid 是所引用的 ConfigMap 的 metadata.uid。
+      该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+- **externalID** (string)
+
+  <!-- 
+  Deprecated. Not all kubelets will set this field. Remove field after 1.13. see: https://issues.k8s.io/61966 
+  -->
+
+  已弃用。并非所有 kubelet 都会设置此字段。
+  1.13 的版本之后会删除该字段。见： https://issues.k8s.io/61966 。
+
+- **podCIDR** (string)
+
+  <!-- 
+  PodCIDR represents the pod IP range assigned to the node. 
+  -->
+
+  podCIDR 表示分配给节点的 Pod IP 范围。
+
+- **podCIDRs** ([]string)
+
+  <!-- 
+  podCIDRs represents the IP ranges assigned to the node for usage by Pods on that node. If this field is specified, the 0th entry must match the podCIDR field. It may contain at most 1 value for each of IPv4 and IPv6. 
+  -->
+
+  podCIDRs 表示分配给节点以供该节点上的 Pod 使用的 IP 范围。
+  如果指定了该字段，则第 0 个条目必须与 podCIDR 字段匹配。
+  对于 IPv4 和 IPv6，它最多可以包含 1 个值。
+
+- **providerID** (string)
+
+  <!-- 
+  ID of the node assigned by the cloud provider in the format: \<ProviderName>://\<ProviderSpecificNodeID> 
+  -->
+
+  云提供商分配的节点ID，格式为：\<ProviderName>://\<ProviderSpecificNodeID>
+
+- **taints** ([]Taint)
+
+  <!-- 
+  If specified, the node's taints. 
+  -->
+
+  如果设置了，则为节点的污点。
+
+  <a name="Taint"></a>
+  <!-- 
+  *The node this Taint is attached to has the "effect" on any pod that does not tolerate the Taint.* 
+  -->
+
+  **此污点附加到的节点对任何不容忍污点的 Pod 都有 “影响”。**
+
+  <!-- 
+  - **taints.effect** (string), required
+
+    Required. The effect of the taint on pods that do not tolerate the taint. Valid effects are NoSchedule, PreferNoSchedule and NoExecute. 
+  -->
+
+  - **taints.effect** (string), 必需
+
+   必需的。污点对不容忍污点的 Pod 的影响。合法的 effect 值有 NoSchedule、PreferNoSchedule 和 NoExecute。
+
+  <!-- 
+  - **taints.key** (string), required
+
+    Required. The taint key to be applied to a node.
+  -->
+
+  - **taints.key** (string), 必需
+
+    必需的。被应用到节点上的污点的键。
+
+  - **taints.timeAdded** (Time)
+
+    <!-- 
+    TimeAdded represents the time at which the taint was added. It is only written for NoExecute taints. 
+    -->
+
+    timeAdded 表示添加污点的时间。它仅适用于 NoExecute 的污点。
+
+    <a name="Time"></a>
+    <!-- 
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+    -->
+
+    Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+    time 包的许多工厂方法提供了包装器。
+
+  - **taints.value** (string)
+
+    <!-- 
+    The taint value corresponding to the taint key. 
+    -->
+
+    与污点键对应的污点值。
+
+- **unschedulable** (boolean)
+
+  <!-- 
+  Unschedulable controls node schedulability of new pods. By default, node is schedulable. More info: https://kubernetes.io/docs/concepts/nodes/node/#manual-node-administration 
+  -->
+
+  unschedulable 控制新 Pod 的节点可调度性。
+  默认情况下，节点是可调度的。
+  更多信息： https://kubernetes.io/docs/concepts/nodes/node/#manual-node-administration 。
+
+## NodeStatus {#NodeStatus}
+
+<!-- 
+NodeStatus is information about the current status of a node. 
+-->
+
+NodeStatus 是有关节点当前状态的信息。
+
+<hr>
+
+- **addresses** ([]NodeAddress)
+
+  <!-- 
+  *Patch strategy: merge on key `type`*
+  
+  List of addresses reachable to the node. Queried from cloud provider, if available. More info: https://kubernetes.io/docs/concepts/nodes/node/#addresses Note: This field is declared as mergeable, but the merge key is not sufficiently unique, which can cause data corruption when it is merged. Callers should instead use a full-replacement patch. See http://pr.k8s.io/79391 for an example. 
+  -->
+
+  **补丁策略：根据 `type` 键执行合并操作**
+
+  节点可到达的地址列表。从云提供商处查询（如果有）。
+  更多信息： https://kubernetes.io/docs/concepts/nodes/node/#addresses 。
+  注意：该字段声明为可合并，但合并键不够唯一，合并时可能导致数据损坏。
+  调用者应改为使用完全替换性质的补丁操作。
+  有关示例，请参见 http://pr.k8s.io/79391。
+
+  <a name="NodeAddress"></a>
+  <!-- 
+  *NodeAddress contains information for the node's address.* 
+  -->
+
+  **NodeAddress 包含节点地址的信息。**
+
+  <!-- 
+  - **addresses.address** (string), required
+
+    The node address. 
+  -->
+
+  - **addresses.address** (string), 必需
+
+    节点地址。
+
+  <!-- 
+  - **addresses.type** (string), required
+
+    Node address type, one of Hostname, ExternalIP or InternalIP. 
+  -->
+
+  - **addresses.type** (string), 必需
+
+    节点地址类型，Hostname、ExternalIP 或 InternalIP 之一。
+   
+- **allocatable** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  <!-- 
+  Allocatable represents the resources of a node that are available for scheduling. Defaults to Capacity. 
+  -->
+
+  allocatable 表示节点的可用于调度的资源。默认为容量。
+
+- **capacity** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  <!-- 
+  Capacity represents the total resources of a node. More info: https://kubernetes.io/docs/concepts/storage/persistent-volumes#capacity 
+  -->
+
+  capacity 代表一个节点的总资源。
+  更多信息： https://kubernetes.io/docs/concepts/storage/persistent-volumes#capacity 。
+
+- **conditions** ([]NodeCondition)
+
+  <!-- 
+  *Patch strategy: merge on key `type`*
+  
+  Conditions is an array of current observed node conditions. More info: https://kubernetes.io/docs/concepts/nodes/node/#condition 
+  -->
+
+  **补丁策略：根据 `type` 键执行合并操作**
+
+  conditions 是当前观测到的节点状况的数组。
+  更多信息： https://kubernetes.io/docs/concepts/nodes/node/#condition 。
+
+  <a name="NodeCondition"></a>
+  <!-- 
+  *NodeCondition contains condition information for a node.* 
+  -->
+
+  **NodeCondition 包含节点状况的信息。**
+
+  <!-- 
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.
+  -->
+
+  - **conditions.status** (string), 必需
+
+    状况的状态为 True、False、Unknown 之一。
+  
+  <!-- 
+  - **conditions.type** (string), required
+
+    Type of node condition. 
+  -->
+
+  - **conditions.type** (string), 必需
+
+    节点状况的类型。
+
+  - **conditions.lastHeartbeatTime** (Time)
+
+    <!-- 
+    Last time we got an update on a given condition. 
+    -->
+
+    给定状况最近一次更新的时间。
+
+    <a name="Time"></a>
+    <!-- 
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+    -->
+
+    Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+    time 包的许多工厂方法提供了包装器。
+
+  - **conditions.lastTransitionTime** (Time)
+
+    <!-- 
+    Last time the condition transit from one status to another. 
+    -->
+
+    状况最近一次从一种状态转换到另一种状态的时间。
+
+    <a name="Time"></a>
+    <!-- 
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+    -->
+
+    Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+    time 包的许多工厂方法提供了包装器。
+
+  - **conditions.message** (string)
+
+    <!-- 
+    Human readable message indicating details about last transition. 
+    -->
+
+    指示有关上次转换详细信息的人类可读消息。
+
+  - **conditions.reason** (string)
+
+    <!-- 
+    (brief) reason for the condition's last transition. 
+    -->
+
+    （简要）状况最后一次转换的原因。
+
+- **config** (NodeConfigStatus)
+
+  <!-- 
+  Status of the config assigned to the node via the dynamic Kubelet config feature. 
+  -->
+
+  通过动态 Kubelet 配置功能分配给节点的配置状态。
+
+  <a name="NodeConfigStatus"></a>
+  <!-- 
+  *NodeConfigStatus describes the status of the config assigned by Node.Spec.ConfigSource.* 
+  -->
+
+  **NodeConfigStatus 描述了由 Node.spec.configSource 分配的配置的状态。**
+
+  - **config.active** (NodeConfigSource)
+
+    <!-- 
+    Active reports the checkpointed config the node is actively using. Active will represent either the current version of the Assigned config, or the current LastKnownGood config, depending on whether attempting to use the Assigned config results in an error. 
+    -->
+
+    active 报告节点正在使用的检查点配置。
+    active 将代表已分配配置的当前版本或当前 LastKnownGood 配置，具体取决于尝试使用已分配配置是否会导致错误。
+
+    <a name="NodeConfigSource"></a>
+    <!-- 
+    *NodeConfigSource specifies a source of node configuration. Exactly one subfield (excluding metadata) must be non-nil. This API is deprecated since 1.22* 
+    -->
+
+    **NodeConfigSource 指定节点配置的来源。指定一个子字段（不包括元数据）必须为非空。此 API 自 1.22 版本起已弃用**
+
+    - **config.active.configMap** (ConfigMapNodeConfigSource)
+
+      <!-- 
+      ConfigMap is a reference to a Node's ConfigMap 
+      -->
+
+      configMap 是对 Node 的 ConfigMap 的引用。
+
+      <a name="ConfigMapNodeConfigSource"></a>
+      <!-- 
+      *ConfigMapNodeConfigSource contains the information to reference a ConfigMap as a config source for the Node. This API is deprecated since 1.22: https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration* 
+      -->
+
+      ConfigMapNodeConfigSource 包含引用某 ConfigMap 作为节点配置源的信息。
+      此 API 自 1.22 版本起已被弃用： https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration。
+
+      <!-- 
+      - **config.active.configMap.kubeletConfigKey** (string), required
+
+        KubeletConfigKey declares which key of the referenced ConfigMap corresponds to the KubeletConfiguration structure This field is required in all cases. 
+      -->
+
+      - **config.active.configMap.kubeletConfigKey** (string), 必需
+
+        kubeletConfigKey 声明所引用的 ConfigMap 的哪个键对应于 KubeletConfiguration 结构体，
+        该字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.active.configMap.name** (string), required
+
+        Name is the metadata.name of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.active.configMap.name** (string), 必需
+
+        name 是所引用的 ConfigMap 的 metadata.name。
+        此字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.active.configMap.namespace** (string), required
+
+        Namespace is the metadata.namespace of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.active.configMap.namespace** (string), 必需
+
+        namespace 是所引用的 ConfigMap 的 metadata.namespace。
+        此字段在所有情况下都是必需的。
+
+      - **config.active.configMap.resourceVersion** (string)
+
+        <!-- 
+        ResourceVersion is the metadata.ResourceVersion of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. 
+        -->
+
+        resourceVersion 是所引用的 ConfigMap 的 metadata.resourceVersion。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+      - **config.active.configMap.uid** (string)
+
+        <!-- 
+        UID is the metadata.UID of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. -->
+
+        uid 是所引用的 ConfigMap 的 metadata.uid。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+  - **config.assigned** (NodeConfigSource)
+
+    <!-- 
+    Assigned reports the checkpointed config the node will try to use. When Node.Spec.ConfigSource is updated, the node checkpoints the associated config payload to local disk, along with a record indicating intended config. The node refers to this record to choose its config checkpoint, and reports this record in Assigned. Assigned only updates in the status after the record has been checkpointed to disk. When the Kubelet is restarted, it tries to make the Assigned config the Active config by loading and validating the checkpointed payload identified by Assigned. 
+    -->
+
+    assigned 字段报告节点将尝试使用的检查点配置。
+    当 Node.spec.configSource 被更新时，节点将所关联的配置负载及指示预期配置的记录通过检查点操作加载到本地磁盘。
+    节点参考这条记录来选择它的配置检查点，并在 assigned 中报告这条记录。
+    仅在记录被保存到磁盘后才会更新 status 中的 assigned。
+    当 kubelet 重新启动时，它会尝试通过加载和验证由 assigned 标识的检查点有效负载来使 assigned 配置成为 active 配置。
+
+    <a name="NodeConfigSource"></a>
+    <!-- 
+    *NodeConfigSource specifies a source of node configuration. Exactly one subfield (excluding metadata) must be non-nil. This API is deprecated since 1.22* 
+    -->
+
+    **NodeConfigSource 指定节点配置的来源。指定一个子字段（不包括元数据）必须为非空。此 API 自 1.22 版本起已弃用**
+
+    - **config.assigned.configMap** (ConfigMapNodeConfigSource)
+
+      <!-- 
+      ConfigMap is a reference to a Node's ConfigMap 
+      -->
+
+      configMap 是对 Node 的 ConfigMap 的引用。
+
+      <a name="ConfigMapNodeConfigSource"></a>
+      <!-- 
+      *ConfigMapNodeConfigSource contains the information to reference a ConfigMap as a config source for the Node. This API is deprecated since 1.22: https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration* 
+      -->
+
+      ConfigMapNodeConfigSource 包含引用某 ConfigMap 为节点配置源的信息。
+      此 API 自 1.22 版本起已被弃用： https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration。
+
+      <!-- 
+      - **config.assigned.configMap.kubeletConfigKey** (string), required
+
+        KubeletConfigKey declares which key of the referenced ConfigMap corresponds to the KubeletConfiguration structure This field is required in all cases. 
+      -->
+
+      - **config.assigned.configMap.kubeletConfigKey** (string), 必需
+
+        kubeletConfigKey 声明所引用的 ConfigMap 的哪个键对应于 KubeletConfiguration 结构体，
+        该字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.assigned.configMap.name** (string), required
+
+        Name is the metadata.name of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.assigned.configMap.name** (string), 必需
+
+        name 是所引用的 ConfigMap 的 metadata.name。
+        此字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.assigned.configMap.namespace** (string), required
+
+        Namespace is the metadata.namespace of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.assigned.configMap.namespace** (string), 必需
+
+        namespace 是所引用的 ConfigMap 的 metadata.namespace。
+        此字段在所有情况下都是必需的。
+
+      - **config.assigned.configMap.resourceVersion** (string)
+
+        <!-- 
+        ResourceVersion is the metadata.ResourceVersion of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. 
+        -->
+
+        resourceVersion 是所引用的 ConfigMap 的 metadata.resourceVersion。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+      - **config.assigned.configMap.uid** (string)
+
+        <!-- 
+        UID is the metadata.UID of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. -->
+
+        uid 是所引用的 ConfigMap 的 metadata.uid。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+  - **config.error** (string)
+
+    <!-- 
+    Error describes any problems reconciling the Spec.ConfigSource to the Active config. Errors may occur, for example, attempting to checkpoint Spec.ConfigSource to the local Assigned record, attempting to checkpoint the payload associated with Spec.ConfigSource, attempting to load or validate the Assigned config, etc. Errors may occur at different points while syncing config. Earlier errors (e.g. download or checkpointing errors) will not result in a rollback to LastKnownGood, and may resolve across Kubelet retries. Later errors (e.g. loading or validating a checkpointed config) will result in a rollback to LastKnownGood. In the latter case, it is usually possible to resolve the error by fixing the config assigned in Spec.ConfigSource. You can find additional information for debugging by searching the error message in the Kubelet log. Error is a human-readable description of the error state; machines can check whether or not Error is empty, but should not rely on the stability of the Error text across Kubelet versions. 
+    -->
+
+    error 描述了在 spec.configSource 与活动配置间协调时发生的所有问题。
+    可能会发生的情况，例如，尝试将 spec.configSource 通过检查点操作复制到到本地 assigned 记录时，
+    尝试对与 spec.configSource 关联的有效负载执行检查点操作，尝试加​​载或验证 assigned 的配置时。
+    同步配置时可能会在不同位置发生错误，较早的错误（例如下载或检查点错误）不会导致回滚到 LastKnownGood，
+    并且可能会在 Kubelet 重试后解决。
+    后期发生的错误（例如加载或验证检查点配置）将导致回滚到 LastKnownGood。
+    在后一种情况下，通常可以通过修复 spec.sonfigSource 中 assigned 配置来解决错误。
+    你可以通过在 Kubelet 日志中搜索错误消息来找到更多的调试信息。
+    error 是错误状态的人类可读描述；机器可以检查 error 是否为空，但不应依赖跨 Kubelet 版本的 error 文本的稳定性。
+
+  - **config.lastKnownGood** (NodeConfigSource)
+    
+    <!-- 
+    LastKnownGood reports the checkpointed config the node will fall back to when it encounters an error attempting to use the Assigned config. The Assigned config becomes the LastKnownGood config when the node determines that the Assigned config is stable and correct. This is currently implemented as a 10-minute soak period starting when the local record of Assigned config is updated. If the Assigned config is Active at the end of this period, it becomes the LastKnownGood. Note that if Spec.ConfigSource is reset to nil (use local defaults), the LastKnownGood is also immediately reset to nil, because the local default config is always assumed good. You should not make assumptions about the node's method of determining config stability and correctness, as this may change or become configurable in the future. 
+    -->
+
+    lastKnownGood 报告节点在尝试使用 assigned 配置时遇到错误时将回退到的检查点配置。
+    当节点确定 assigned 配置稳定且正确时，assigned 配置会成为 lastKnownGood 配置。
+    这当前实施为从更新分配配置的本地记录开始的 10 分钟浸泡期。
+    如果在此期间结束时分配的配置依旧处于活动状态，则它将成为 lastKnownGood。
+    请注意，如果 spec.configSource 重置为 nil（使用本地默认值），
+    LastKnownGood 也会立即重置为 nil，因为始终假定本地默认配置是好的。
+    你不应该对节点确定配置稳定性和正确性的方法做出假设，因为这可能会在将来发生变化或变得可配置。
+
+    <a name="NodeConfigSource"></a>
+    <!-- 
+    *NodeConfigSource specifies a source of node configuration. Exactly one subfield (excluding metadata) must be non-nil. This API is deprecated since 1.22* 
+    -->
+
+    **NodeConfigSource 指定节点配置的来源。指定一个子字段（不包括元数据）必须为非空。此 API 自 1.22 版本起已弃用**
+
+    - **config.lastKnownGood.configMap** (ConfigMapNodeConfigSource)
+
+      <!-- 
+      ConfigMap is a reference to a Node's ConfigMap 
+      -->
+
+      configMap 是对 Node 的 ConfigMap 的引用。
+
+      <a name="ConfigMapNodeConfigSource"></a>
+      <!-- 
+      *ConfigMapNodeConfigSource contains the information to reference a ConfigMap as a config source for the Node. This API is deprecated since 1.22: https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration* 
+      -->
+
+      ConfigMapNodeConfigSource 包含引用某 ConfigMap 作为节点配置源的信息。
+      此 API 自 1.22 版本起已被弃用： https://git.k8s.io/enhancements/keps/sig-node/281-dynamic-kubelet-configuration 。
+
+      <!-- 
+      - **config.lastKnownGood.configMap.kubeletConfigKey** (string), required
+
+        KubeletConfigKey declares which key of the referenced ConfigMap corresponds to the KubeletConfiguration structure This field is required in all cases. 
+      -->
+
+      - **config.lastKnownGood.configMap.kubeletConfigKey** (string), 必需
+
+        kubeletConfigKey 声明所引用的 ConfigMap 的哪个键对应于 KubeletConfiguration 结构体，
+        该字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.lastKnownGood.configMap.name** (string), required
+
+        Name is the metadata.name of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.lastKnownGood.configMap.name** (string), 必需
+
+        name 是所引用的 ConfigMap 的 metadata.name。 
+        此字段在所有情况下都是必需的。
+
+      <!-- 
+      - **config.lastKnownGood.configMap.namespace** (string), required
+
+        Namespace is the metadata.namespace of the referenced ConfigMap. This field is required in all cases. 
+      -->
+
+      - **config.lastKnownGood.configMap.namespace** (string), 必需
+
+       namespace 是所引用的 ConfigMap 的 metadata.namespace。 
+       此字段在所有情况下都是必需的。
+
+      - **config.lastKnownGood.configMap.resourceVersion** (string)
+
+        <!-- 
+        ResourceVersion is the metadata.ResourceVersion of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. 
+        -->
+
+        resourceVersion 是所引用的 ConfigMap 的 metadata.resourceVersion。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+      - **config.lastKnownGood.configMap.uid** (string)
+
+        <!-- 
+        UID is the metadata.UID of the referenced ConfigMap. This field is forbidden in Node.Spec, and required in Node.Status. -->
+
+        uid 是所引用的 ConfigMap 的 metadata.uid。
+        该字段在 Node.spec 中是禁止的，在 Node.status 中是必需的。
+
+- **daemonEndpoints** (NodeDaemonEndpoints)
+
+  <!-- 
+  Endpoints of daemons running on the Node. 
+  -->
+
+  在节点上运行的守护进程的端点。
+
+  <a name="NodeDaemonEndpoints"></a>
+  <!-- 
+  *NodeDaemonEndpoints lists ports opened by daemons running on the Node.* 
+  -->
+
+  **NodeDaemonEndpoints 列出了节点上运行的守护进程打开的端口。**
+
+  - **daemonEndpoints.kubeletEndpoint** (DaemonEndpoint)
+
+    <!-- 
+    Endpoint on which Kubelet is listening. 
+    -->
+
+    Kubelet 正在侦听的端点。
+
+    <a name="DaemonEndpoint"></a>
+    <!-- 
+    *DaemonEndpoint contains information about a single Daemon endpoint.* 
+    -->
+
+    **DaemonEndpoint 包含有关单个 Daemon 端点的信息。**
+
+    <!-- 
+    - **daemonEndpoints.kubeletEndpoint.Port** (int32), required
+
+      Port number of the given endpoint. 
+    -->
+
+    - **daemonEndpoints.kubeletEndpoint.Port** (int32), 必需
+
+      给定端点的端口号。
+
+- **images** ([]ContainerImage)
+
+  <!-- 
+  List of container images on this node 
+  -->
+
+  该节点上的容器镜像列表。
+
+  <a name="ContainerImage"></a>
+  <!-- 
+  *Describe a container image* 
+  -->
+
+  **描述一个容器镜像**
+
+  - **images.names** ([]string)
+
+    <!-- 
+    Names by which this image is known. e.g. ["k8s.gcr.io/hyperkube:v1.0.7", "dockerhub.io/google_containers/hyperkube:v1.0.7"] -->
+
+    已知此镜像的名称。 
+    例如 ["k8s.gcr.io/hyperkube:v1.0.7", "dockerhub.io/google_containers/hyperkube:v1.0.7"]
+
+  - **images.sizeBytes** (int64)
+
+    <!-- 
+    The size of the image in bytes. 
+    -->
+
+    镜像的大小（以字节为单位）。
+
+- **nodeInfo** (NodeSystemInfo)
+
+  <!-- 
+  Set of ids/uuids to uniquely identify the node. More info: https://kubernetes.io/docs/concepts/nodes/node/#info 
+  -->
+
+  用于唯一标识节点的 ids/uuids 集。
+  更多信息： https://kubernetes.io/docs/concepts/nodes/node/#info 。
+
+  <a name="NodeSystemInfo"></a>
+  <!-- 
+  *NodeSystemInfo is a set of ids/uuids to uniquely identify the node.* 
+  -->
+
+  **NodeSystemInfo 是一组用于唯一标识节点的 ids/uuids。**
+
+  <!-- 
+  - **nodeInfo.architecture** (string), required
+
+    The Architecture reported by the node 
+  -->
+
+  - **nodeInfo.architecture** (string), 必需
+
+    节点报告的 architecture。
+
+  <!-- 
+  - **nodeInfo.bootID** (string), required
+
+    Boot ID reported by the node. 
+  -->
+
+  - **nodeInfo.bootID** (string), 必需
+
+   节点报告的 bootID。
+
+  <!-- 
+  - **nodeInfo.containerRuntimeVersion** (string), required
+
+    ContainerRuntime Version reported by the node through runtime remote API (e.g. containerd://1.4.2). 
+  -->
+
+  - **nodeInfo.containerRuntimeVersion** (string), 必需
+
+    节点通过运行时远程 API 报告的 ContainerRuntime 版本（例如 containerd://1.4.2）。
+
+  <!-- 
+  - **nodeInfo.kernelVersion** (string), required
+
+    Kernel Version reported by the node from 'uname -r' (e.g. 3.16.0-0.bpo.4-amd64). 
+  -->
+
+  - **nodeInfo.kernelVersion** (string), 必需
+
+    节点来自 “uname -r” 报告的内核版本（例如 3.16.0-0.bpo.4-amd64）。
+
+  <!-- 
+  - **nodeInfo.kubeProxyVersion** (string), required
+
+    KubeProxy Version reported by the node. 
+  -->
+
+  - **nodeInfo.kubeProxyVersion** (string), 必需
+
+    节点报告的 KubeProxy 版本。
+
+  <!-- 
+  - **nodeInfo.kubeletVersion** (string), required
+
+    Kubelet Version reported by the node. 
+  -->
+
+  - **nodeInfo.kubeletVersion** (string), 必需
+
+    节点报告的 Kubelet 版本。
+
+  <!-- 
+  - **nodeInfo.machineID** (string), required
+
+    MachineID reported by the node. For unique machine identification in the cluster this field is preferred. Learn more from man(5) machine-id: http://man7.org/linux/man-pages/man5/machine-id.5.html 
+  -->
+
+  - **nodeInfo.machineID** (string), 必需
+
+    节点上报的 machineID。
+    对于集群中的唯一机器标识，此字段是首选。
+    从 man(5) machine-id 了解更多信息： http://man7.org/linux/man-pages/man5/machine-id.5.html 。
+
+  <!-- 
+  - **nodeInfo.operatingSystem** (string), required
+
+    The Operating System reported by the node 
+  -->
+
+  - **nodeInfo.operatingSystem** (string), 必需
+
+   节点上报的操作系统。
+
+  <!-- 
+  - **nodeInfo.osImage** (string), required
+
+    OS Image reported by the node from /etc/os-release (e.g. Debian GNU/Linux 7 (wheezy)). 
+  -->
+
+  - **nodeInfo.osImage** (string), 必需
+
+    节点从 /etc/os-release 报告的操作系统映像（例如 Debian GNU/Linux 7 (wheezy)）。
+
+  <!-- 
+  - **nodeInfo.systemUUID** (string), required
+
+    SystemUUID reported by the node. For unique machine identification MachineID is preferred. This field is specific to Red Hat hosts https://access.redhat.com/documentation/en-us/red_hat_subscription_management/1/html/rhsm/uuid 
+  -->
+
+  - **nodeInfo.systemUUID** (string), 必需
+
+    节点报告的 systemUUID。
+    对于唯一的机器标识 MachineID 是首选。 
+    此字段特定于 Red Hat 主机 https://access.redhat.com/documentation/en-us/red_hat_subscription_management/1/html/rhsm/uuid 。
+
+- **phase** (string)
+
+  <!-- 
+  NodePhase is the recently observed lifecycle phase of the node. More info: https://kubernetes.io/docs/concepts/nodes/node/#phase The field is never populated, and now is deprecated. 
+  -->
+
+  NodePhase 是最近观测到的节点的生命周期阶段。
+  更多信息： https://kubernetes.io/docs/concepts/nodes/node/#phase 该字段从未填充，现在已被弃用。
+
+- **volumesAttached** ([]AttachedVolume)
+
+  <!-- 
+  List of volumes that are attached to the node. 
+  -->
+
+  附加到节点的卷的列表。
+
+  <a name="AttachedVolume"></a>
+  <!-- 
+  *AttachedVolume describes a volume attached to a node* 
+  -->
+
+  **AttachedVolume 描述附加到节点的卷**
+
+  <!-- 
+  - **volumesAttached.devicePath** (string), required
+
+    DevicePath represents the device path where the volume should be available 
+  -->
+
+   - **volumesAttached.devicePath** (string), 必需
+
+    devicePath 表示卷应该可用的设备路径。
+
+  <!-- 
+  - **volumesAttached.name** (string), required
+
+    Name of the attached volume 
+  -->
+
+  - **volumesAttached.name** (string), 必需
+
+    附加卷的名称。
+
+- **volumesInUse** ([]string)
+
+  <!-- 
+  List of attachable volumes in use (mounted) by the node. 
+  -->
+
+  节点正在使用（安装）的可附加卷的列表。
+
+## NodeList {#NodeList}
+
+<!-- 
+NodeList is the whole list of all Nodes which have been registered with master. 
+-->
+
+NodeList 是已注册到 master 的所有节点的完整列表。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: NodeList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!-- 
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 
+  -->
+
+  标准的列表元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 。
+
+<!-- 
+- **items** ([]<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>), required
+
+  List of nodes
+-->
+
+- **items** ([]<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>), 必需
+
+  节点的列表。
+
+<!-- 
+## Operations {#Operations}
+<hr>
+### `get` read the specified Node
+#### HTTP Request
+GET /api/v1/nodes/{name}
+#### Parameters 
+-->
+
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定节点
+
+#### HTTP 请求
+
+GET /api/v1/nodes/{name}
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node 
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **pretty** (**路径参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应 
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `get` read status of the specified Node
+#### HTTP Request
+GET /api/v1/nodes/{name}/status
+#### Parameters 
+-->
+
+### `get` 读取指定节点的状态
+
+#### HTTP 请求
+
+GET /api/v1/nodes/{name}/status
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind Node
+#### HTTP Request
+GET /api/v1/nodes
+#### Parameters
+-->
+
+### `list` 列出或监视节点类型的对象
+
+#### HTTP 请求
+
+GET /api/v1/nodes
+
+#### 参数
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+#### Response
+-->
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#NodeList" >}}">NodeList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a Node
+#### HTTP Request
+POST /api/v1/nodes
+#### Parameters 
+-->
+
+### `create` 创建一个节点
+
+#### HTTP 请求
+
+POST /api/v1/nodes
+
+#### 参数
+
+<!-- 
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Created
+
+202 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified Node
+#### HTTP Request
+PUT /api/v1/nodes/{name}
+#### Parameters 
+-->
+
+### `update` 替换指定节点
+
+#### HTTP 请求
+
+PUT /api/v1/nodes/{name}
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `update` replace status of the specified Node
+
+#### HTTP Request
+
+PUT /api/v1/nodes/{name}/status
+
+#### Parameters 
+-->
+
+### `update` 替换指定节点的状态
+
+#### HTTP 请求
+
+PUT /api/v1/nodes/{name}/status
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **body**: <a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified Node
+#### HTTP Request
+PATCH /api/v1/nodes/{name}
+#### Parameters 
+-->
+
+### `patch` 部分更新指定节点
+
+#### HTTP 请求
+
+PATCH /api/v1/nodes/{name}
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update status of the specified Node
+#### HTTP Request
+PATCH /api/v1/nodes/{name}/status
+#### Parameters 
+-->
+
+### `patch` 部分更新指定节点的状态
+
+#### HTTP 请求
+
+PATCH /api/v1/nodes/{name}/status
+
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+  name of the Node
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/node-v1#Node" >}}">Node</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a Node
+#### HTTP Request
+DELETE /api/v1/nodes/{name}
+#### Parameters 
+-->
+
+### `delete` 删除一个节点
+
+#### HTTP 请求
+
+DELETE /api/v1/nodes/{name}
+
+#### 参数
+
+<!-- - **name** (*in path*): string, required
+  name of the Node
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+#### Response 
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  节点的名称。
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of Node
+#### HTTP Request
+DELETE /api/v1/nodes
+#### Parameters 
+-->
+
+### `deletecollection` 删除节点的集合
+
+#### HTTP 请求
+
+DELETE /api/v1/nodes
+
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+#### Response
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/priority-level-configuration-v1beta2.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/priority-level-configuration-v1beta2.md
new file mode 100644
index 00000000000..9158974c824
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/priority-level-configuration-v1beta2.md
@@ -0,0 +1,890 @@
+---
+api_metadata:
+  apiVersion: "flowcontrol.apiserver.k8s.io/v1beta2"
+  import: "k8s.io/api/flowcontrol/v1beta2"
+  kind: "PriorityLevelConfiguration"
+content_type: "api_reference"
+description: "PriorityLevelConfiguration 表示一个优先级的配置。"
+title: "PriorityLevelConfiguration v1beta2"
+weight: 8
+---
+<!--
+api_metadata:
+  apiVersion: "flowcontrol.apiserver.k8s.io/v1beta2"
+  import: "k8s.io/api/flowcontrol/v1beta2"
+  kind: "PriorityLevelConfiguration"
+content_type: "api_reference"
+description: "PriorityLevelConfiguration represents the configuration of a priority level."
+title: "PriorityLevelConfiguration v1beta2"
+weight: 8
+auto_generated: true
+-->
+
+`apiVersion: flowcontrol.apiserver.k8s.io/v1beta2`
+
+`import "k8s.io/api/flowcontrol/v1beta2"`
+
+## PriorityLevelConfiguration {#PriorityLevelConfiguration}
+
+<!--
+PriorityLevelConfiguration represents the configuration of a priority level.
+-->
+PriorityLevelConfiguration 表示一个优先级的配置。
+
+<hr>
+
+- **apiVersion**: flowcontrol.apiserver.k8s.io/v1beta2
+
+- **kind**: PriorityLevelConfiguration
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  `metadata` is the standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfigurationSpec" >}}">PriorityLevelConfigurationSpec</a>)
+
+  `spec` is the specification of the desired behavior of a "request-priority". More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  
+  `metadata` 是标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfigurationSpec" >}}">PriorityLevelConfigurationSpec</a>)
+  
+  `spec` 是 “request-priority” 预期行为的规约。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfigurationStatus" >}}">PriorityLevelConfigurationStatus</a>)
+
+  `status` is the current status of a "request-priority". More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfigurationStatus" >}}">PriorityLevelConfigurationStatus</a>)
+  
+  `status` 是 “请求优先级” 的当前状况。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## PriorityLevelConfigurationSpec {#PriorityLevelConfigurationSpec}
+
+<!--
+PriorityLevelConfigurationSpec specifies the configuration of a priority level.
+-->
+PriorityLevelConfigurationSpec 指定一个优先级的配置。
+
+<hr>
+
+<!--
+- **type** (string), required
+
+  `type` indicates whether this priority level is subject to limitation on request execution.  A value of `"Exempt"` means that requests of this priority level are not subject to a limit (and thus are never queued) and do not detract from the capacity made available to other priority levels.  A value of `"Limited"` means that (a) requests of this priority level _are_ subject to limits and (b) some of the server's limited capacity is made available exclusively to this priority level. Required.
+-->
+- **type** (string)，必需
+  
+  `type` 指示此优先级是否遵从有关请求执行的限制。
+  取值为 `"Exempt"` 意味着此优先级的请求不遵从某个限制（且因此从不排队）且不会减损其他优先级可用的容量。
+  取值为 `"Limited"` 意味着 (a) 此优先级的请求遵从这些限制且
+  (b) 服务器某些受限的容量仅可用于此优先级。必需。
+
+<!--
+- **limited** (LimitedPriorityLevelConfiguration)
+
+  `limited` specifies how requests are handled for a Limited priority level. This field must be non-empty if and only if `type` is `"Limited"`.
+
+  <a name="LimitedPriorityLevelConfiguration"></a>
+  *LimitedPriorityLevelConfiguration specifies how to handle requests that are subject to limits. It addresses two issues:
+   * How are requests for this priority level limited?
+   * What should be done with requests that exceed the limit?*
+-->
+- **limited** (LimitedPriorityLevelConfiguration)
+  
+  `limited` 指定如何为某个受限的优先级处理请求。
+  当且仅当 `type` 是 `"Limited"` 时，此字段必须为非空。
+  
+  <a name="LimitedPriorityLevelConfiguration"></a>
+  LimitedPriorityLevelConfiguration 指定如何处理需要被限制的请求。它解决两个问题：
+  * 如何限制此优先级的请求？
+  * 应如何处理超出此限制的请求？
+  
+  <!--
+  - **limited.assuredConcurrencyShares** (int32)
+
+    `assuredConcurrencyShares` (ACS) configures the execution limit, which is a limit on the number of requests of this priority level that may be exeucting at a given time.  ACS must be a positive number. The server's concurrency limit (SCL) is divided among the concurrency-controlled priority levels in proportion to their assured concurrency shares. This produces the assured concurrency value (ACV) --- the number of requests that may be executing at a time --- for each such priority level:
+  -->
+  
+  - **limited.assuredConcurrencyShares** (int32)
+    
+    `assuredConcurrencyShares` (ACS) 配置执行限制，这是在给定时间可以执行的、此优先级的请求数量的限制。
+    ACS 必须是一个正数。服务器的并发限制（SCL）数量按其保证的并发份额划分到并发能力受限的各个优先级中。
+    这一计算会为所有这种优先级分别生成其确定的并发值（ACV），即一次可以执行的请求数量：
+    
+    ```
+    ACV(l) = ceil( SCL * ACS(l) / ( sum[priority levels k] ACS(k) ) )
+    ```
+    <!--
+    bigger numbers of ACS mean more reserved concurrent requests (at the expense of every other PL). This field has a default value of 30.
+    -->
+
+    较大的 ACS 值意味着（以影响所有其他优先级为代价）保留更多的并发请求。此字段的默认值为 30。
+  
+  <!--
+  - **limited.limitResponse** (LimitResponse)
+
+    `limitResponse` indicates what to do with requests that can not be executed right now
+
+    <a name="LimitResponse"></a>
+    *LimitResponse defines how to handle requests that can not be executed right now.*
+  -->
+
+  - **limited.limitResponse** (LimitResponse)
+    
+    `limitResponse` 指示如何处理当前无法立即执行的请求。
+    
+    <a name="LimitResponse"></a>
+    **LimitResponse 定义如何处理当前无法立即执行的请求。**
+    
+    <!--
+    - **limited.limitResponse.type** (string), required
+
+      `type` is "Queue" or "Reject". "Queue" means that requests that can not be executed upon arrival are held in a queue until they can be executed or a queuing limit is reached. "Reject" means that requests that can not be executed upon arrival are rejected. Required.
+    -->
+
+    - **limited.limitResponse.type** (string)，必需
+      
+      `type` 是 “Queue” 或 “Reject”。此字段必须设置。
+      “Queue” 意味着在到达时无法被执行的请求可以被放到队列中，直到它们被执行或者队列长度超出限制为止。
+      “Reject” 意味着到达时无法执行的请求将被拒绝。
+    
+    <!--
+    - **limited.limitResponse.queuing** (QueuingConfiguration)
+
+      `queuing` holds the configuration parameters for queuing. This field may be non-empty only if `type` is `"Queue"`.
+
+      <a name="QueuingConfiguration"></a>
+      *QueuingConfiguration holds the configuration parameters for queuing*
+    -->
+
+    - **limited.limitResponse.queuing** (QueuingConfiguration)
+      
+      `queuing` 包含排队所用的配置参数。只有 `type` 是 `"Queue"` 时，此字段才可以为非空。
+      
+      <a name="QueuingConfiguration"></a>
+      **QueuingConfiguration 保存排队所用的配置参数。**
+      
+      <!--
+      - **limited.limitResponse.queuing.handSize** (int32)
+
+        `handSize` is a small positive number that configures the shuffle sharding of requests into queues.  When enqueuing a request at this priority level the request's flow identifier (a string pair) is hashed and the hash value is used to shuffle the list of queues and deal a hand of the size specified here.  The request is put into one of the shortest queues in that hand. `handSize` must be no larger than `queues`, and should be significantly smaller (so that a few heavy flows do not saturate most of the queues).  See the user-facing documentation for more extensive guidance on setting this field.  This field has a default value of 8.
+      -->
+
+      - **limited.limitResponse.queuing.handSize** (int32)
+        
+        `handSize` 是一个小的正数，用于配置如何将请求随机分片到队列中。
+        当以该优先级将请求排队时，将对请求的流标识符（字符串对）进行哈希计算，
+        该哈希值用于打乱队列队列的列表，并处理此处指定的一批请求。
+        请求被放入这一批次中最短的队列中。
+        `handSize` 不得大于 `queues`，并且应该明显更小（以便几个大的流量不会使大多数队列饱和）。
+        有关设置此字段的更多详细指导，请参阅面向用户的文档。此字段的默认值为 8。
+      
+      <!--
+      - **limited.limitResponse.queuing.queueLengthLimit** (int32)
+
+        `queueLengthLimit` is the maximum number of requests allowed to be waiting in a given queue of this priority level at a time; excess requests are rejected.  This value must be positive.  If not specified, it will be defaulted to 50.
+
+      - **limited.limitResponse.queuing.queues** (int32)
+
+        `queues` is the number of queues for this priority level. The queues exist independently at each apiserver. The value must be positive.  Setting it to 1 effectively precludes shufflesharding and thus makes the distinguisher method of associated flow schemas irrelevant.  This field has a default value of 64.
+      -->
+
+      - **limited.limitResponse.queuing.queueLengthLimit** (int32)
+        
+        `queueLengthLimit` 是任意时刻允许在此优先级的给定队列中等待的请求数上限；
+        额外的请求将被拒绝。
+        此值必须是正数。如果未指定，则默认为 50。
+      
+      - **limited.limitResponse.queuing.queues** (int32)
+        
+        `queues` 是这个优先级的队列数。此队列在每个 API 服务器上独立存在。此值必须是正数。
+        将其设置为 1 相当于禁止了混洗分片操作，进而使得对相关流模式的区分方法不再有意义。
+        此字段的默认值为 64。
+
+## PriorityLevelConfigurationStatus {#PriorityLevelConfigurationStatus}
+
+<!--
+PriorityLevelConfigurationStatus represents the current state of a "request-priority".
+-->
+PriorityLevelConfigurationStatus 表示 “请求优先级” 的当前状况。
+
+<hr>
+
+<!--
+- **conditions** ([]PriorityLevelConfigurationCondition)
+
+  *Map: unique values on key type will be kept during a merge*
+  
+  `conditions` is the current state of "request-priority".
+
+  <a name="PriorityLevelConfigurationCondition"></a>
+  *PriorityLevelConfigurationCondition defines the condition of priority level.*
+-->
+- **conditions** ([]PriorityLevelConfigurationCondition)
+  
+  **Map：合并期间保留根据键 type 保留其唯一值**
+  
+  `conditions` 是 “请求优先级” 的当前状况。
+  
+  <a name="PriorityLevelConfigurationCondition"></a>
+  **PriorityLevelConfigurationCondition 定义优先级的状况。**
+  
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    `lastTransitionTime` is the last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+    
+    `lastTransitionTime` 是状况上次从一个状态转换为另一个状态的时间。
+    
+    <a name="Time"></a>
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+  
+  <!--
+  - **conditions.message** (string)
+
+    `message` is a human-readable message indicating details about last transition.
+
+  - **conditions.reason** (string)
+
+    `reason` is a unique, one-word, CamelCase reason for the condition's last transition.
+  -->
+
+  - **conditions.message** (string)
+    
+    `message` 是人类可读的消息，指示有关上次转换的详细信息。
+  
+  - **conditions.reason** (string)
+    
+    `reason` 是状况上次转换原因的、驼峰格式命名的、唯一的一个词。
+  
+  <!--
+  - **conditions.status** (string)
+
+    `status` is the status of the condition. Can be True, False, Unknown. Required.
+
+  - **conditions.type** (string)
+
+    `type` is the type of the condition. Required.
+  -->
+
+  - **conditions.status** (string)
+    
+    `status` 表示状况的状态，取值为 True、False 或 Unknown 之一。必需。
+  
+  - **conditions.type** (string)
+    
+    `type` 表示状况的类型，必需。
+
+## PriorityLevelConfigurationList {#PriorityLevelConfigurationList}
+
+<!--
+PriorityLevelConfigurationList is a list of PriorityLevelConfiguration objects.
+-->
+PriorityLevelConfigurationList 是 PriorityLevelConfiguration 对象的列表。
+
+<hr>
+
+- **apiVersion**: flowcontrol.apiserver.k8s.io/v1beta2
+
+- **kind**: PriorityLevelConfigurationList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  `metadata` is the standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>), required
+
+  `items` is a list of request-priorities.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  
+  `metadata` 是标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>)，必需
+  
+  `items` 是请求优先级设置的列表。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 PriorityLevelConfiguration
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `get` 读取指定的 PriorityLevelConfiguration 的状态
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `list` 列出或监视 PriorityLevelConfiguration 类别的对象
+
+#### HTTP 请求
+
+GET /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfigurationList" >}}">PriorityLevelConfigurationList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `create` 创建 PriorityLevelConfiguration
+
+#### HTTP 请求
+
+POST /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Created
+
+202 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `update` 替换指定的 PriorityLevelConfiguration
+
+#### HTTP 请求
+
+PUT /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `update` 替换指定的 PriorityLevelConfiguration 的状态
+
+#### HTTP 请求
+
+PUT /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **body**: <a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 PriorityLevelConfiguration
+
+#### HTTP 请求
+
+PATCH /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 PriorityLevelConfiguration 的状态
+
+#### HTTP 请求
+
+PATCH /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/priority-level-configuration-v1beta2#PriorityLevelConfiguration" >}}">PriorityLevelConfiguration</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `delete` 删除 PriorityLevelConfiguration
+
+#### HTTP 请求
+
+DELETE /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PriorityLevelConfiguration
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PriorityLevelConfiguration 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of PriorityLevelConfiguration
+#### HTTP Request
+-->
+### `deletecollection` 删除 PriorityLevelConfiguration 的集合
+
+#### HTTP 请求
+
+DELETE /apis/flowcontrol.apiserver.k8s.io/v1beta2/prioritylevelconfigurations
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/runtime-class-v1.md b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/runtime-class-v1.md
new file mode 100644
index 00000000000..9054b8a6926
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/cluster-resources/runtime-class-v1.md
@@ -0,0 +1,593 @@
+---
+api_metadata:
+  apiVersion: "node.k8s.io/v1"
+  import: "k8s.io/api/node/v1"
+  kind: "RuntimeClass"
+content_type: "api_reference"
+description: "RuntimeClass 定义集群中支持的容器运行时类。"
+title: "RuntimeClass"
+weight: 6
+---
+<!--
+api_metadata:
+  apiVersion: "node.k8s.io/v1"
+  import: "k8s.io/api/node/v1"
+  kind: "RuntimeClass"
+content_type: "api_reference"
+description: "RuntimeClass defines a class of container runtime supported in the cluster."
+title: "RuntimeClass"
+weight: 6
+auto_generated: true
+-->
+`apiVersion: node.k8s.io/v1`
+
+`import "k8s.io/api/node/v1"`
+
+## RuntimeClass {#RuntimeClass}
+<!--
+RuntimeClass defines a class of container runtime supported in the cluster. The RuntimeClass is used to determine which container runtime is used to run all containers in a pod. RuntimeClasses are manually defined by a user or cluster provisioner, and referenced in the PodSpec. The Kubelet is responsible for resolving the RuntimeClassName reference before running the pod.  For more details, see https://kubernetes.io/docs/concepts/containers/runtime-class/
+-->
+RuntimeClass 定义集群中支持的容器运行时类。
+RuntimeClass 用于确定哪个容器运行时用于运行某 Pod 中的所有容器。
+RuntimeClass 由用户或集群制备程序手动定义，并在 PodSpec 中引用。
+Kubelet 负责在运行 Pod 之前解析 RuntimeClassName 引用。
+有关更多详细信息，请参阅
+https://kubernetes.io/zh-cn/docs/concepts/containers/runtime-class/
+
+<hr>
+
+- **apiVersion**: node.k8s.io/v1
+
+- **kind**: RuntimeClass
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **handler** (string), required
+  Handler specifies the underlying runtime and configuration that the CRI implementation will use to handle pods of this class. The possible values are specific to the node & CRI configuration.  It is assumed that all handlers are available on every node, and handlers of the same name are equivalent on every node. For example, a handler called "runc" might specify that the runc OCI runtime (using native Linux containers) will be used to run the containers in a pod. The Handler must be lowercase, conform to the DNS Label (RFC 1123) requirements, and is immutable.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **handler** (string)，必需
+
+  handler 指定底层运行时和配置，在 CRI 实现过程中将使用这些运行时和配置来处理这个类的 Pod。
+  可能的值特定于节点和 CRI 配置。
+  假定所有 handler 可用于每个节点上，且同一名称的 handler 在所有节点上是等效的。
+  例如，一个名为 “runc” 的 handler 可能指定 runc OCI 运行时将（使用原生 Linux 容器）
+  用于运行 Pod 中的容器。该 handler 必须采用小写，遵从 DNS Label (RFC 1123) 要求，且是不可变更的。
+
+<!--
+- **overhead** (Overhead)
+  Overhead represents the resource overhead associated with running a pod for a given RuntimeClass. For more details, see
+   https://kubernetes.io/docs/concepts/scheduling-eviction/pod-overhead/
+
+  <a name="Overhead"></a>
+  *Overhead structure represents the resource overhead associated with running a pod.*
+-->
+- **overhead** (Overhead)
+
+  overhead 表示运行给定 RuntimeClass 的 Pod 时所关联的资源开销。有关更多详细信息，请参阅
+  https://kubernetes.io/zh-cn/docs/concepts/scheduling-eviction/pod-overhead/
+
+  <a name="Overhead"></a>
+  **Overhead 结构表示运行一个 Pod 所关联的资源开销。**
+  
+  <!--
+  - **overhead.podFixed** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    
+    PodFixed represents the fixed resource overhead associated with running a pod.
+  -->
+  
+  - **overhead.podFixed** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    podFixed 表示与运行一个 Pod 所关联的资源开销。
+
+<!--
+- **scheduling** (Scheduling)
+  Scheduling holds the scheduling constraints to ensure that pods running with this RuntimeClass are scheduled to nodes that support it. If scheduling is nil, this RuntimeClass is assumed to be supported by all nodes.
+
+  <a name="Scheduling"></a>
+  *Scheduling specifies the scheduling constraints for nodes supporting a RuntimeClass.*
+-->
+- **scheduling** (Scheduling)
+
+  scheduling 包含调度约束，这些约束用来确保以这个 RuntimeClass 运行的 Pod 被调度到支持此运行时类的节点。
+  如果 scheduling 设为空，则假定所有节点支持此 RuntimeClass。
+
+  <a name="Scheduling"></a>
+  **Scheduling 指定支持 RuntimeClass 的节点的调度约束。**
+
+  <!--
+  - **scheduling.nodeSelector** (map[string]string)
+    nodeSelector lists labels that must be present on nodes that support this RuntimeClass. Pods using this RuntimeClass can only be scheduled to a node matched by this selector. The RuntimeClass nodeSelector is merged with a pod's existing nodeSelector. Any conflicts will cause the pod to be rejected in admission.
+  -->
+  
+  - **scheduling.nodeSelector** (map[string]string)
+
+    nodeSelector 列出支持此 RuntimeClass 的节点上必须存在的标签。
+    使用此 RuntimeClass 的 Pod 只能调度到与这个选择算符匹配的节点上。
+    RuntimeClass nodeSelector 与 Pod 现有的 nodeSelector 合并。
+    任何冲突均会使得该 Pod 在准入时被拒绝。
+  
+  <!--
+  - **scheduling.tolerations** ([]Toleration)
+    *Atomic: will be replaced during a merge*
+    
+    tolerations are appended (excluding duplicates) to pods running with this RuntimeClass during admission, effectively unioning the set of nodes tolerated by the pod and the RuntimeClass.
+
+    <a name="Toleration"></a>
+    *The pod this Toleration is attached to tolerates any taint that matches the triple <key,value,effect> using the matching operator <operator>.*
+  -->
+  
+  - **scheduling.tolerations** ([]Toleration)
+
+    **原子性：将在合并期间被替换**
+    
+    tolerations 在准入期间追加到以此 RuntimeClass 运行的 Pod（不包括重复项）上，
+    本质上是求取 Pod 和 RuntimeClass 所容忍的节点并集。
+
+    <a name="Toleration"></a>
+    **附加此容忍度的 Pod 将容忍用匹配运算符 `operator` 运算后与三元组
+    `<key,value,effect>` 匹配的任何污点。**
+
+    <!--
+    - **scheduling.tolerations.key** (string)
+      Key is the taint key that the toleration applies to. Empty means match all taint keys. If the key is empty, operator must be Exists; this combination means to match all values and all keys.
+
+    - **scheduling.tolerations.operator** (string)
+      Operator represents a key's relationship to the value. Valid operators are Exists and Equal. Defaults to Equal. Exists is equivalent to wildcard for value, so that a pod can tolerate all taints of a particular category.
+    -->
+    
+    - **scheduling.tolerations.key** (string)
+
+      key 是容忍度所应用到的污点键。空意味着匹配所有污点键。
+      如果键为空，则运算符必须为 Exists；这个组合意味着匹配所有值和所有键。
+
+    - **scheduling.tolerations.operator** (string)
+
+      operator 表示一个键与值的关系。有效的运算符为 Exists 和 Equal。默认为 Equal。
+      Exists 等价于将值设置为通配符的情况，因此一个 Pod 可以容忍特定类别的所有污点。
+    
+    <!--
+    - **scheduling.tolerations.value** (string)
+      Value is the taint value the toleration matches to. If the operator is Exists, the value should be empty, otherwise just a regular string.
+
+    - **scheduling.tolerations.effect** (string)
+      Effect indicates the taint effect to match. Empty means match all taint effects. When specified, allowed values are NoSchedule, PreferNoSchedule and NoExecute.
+    
+    - **scheduling.tolerations.tolerationSeconds** (int64)
+      TolerationSeconds represents the period of time the toleration (which must be of effect NoExecute, otherwise this field is ignored) tolerates the taint. By default, it is not set, which means tolerate the taint forever (do not evict). Zero and negative values will be treated as 0 (evict immediately) by the system.
+    -->
+    
+    - **scheduling.tolerations.value** (string)
+
+      value 是容忍度匹配到的污点值。如果运算符为 Exists，则值应为空，否则就是一个普通字符串。
+
+    - **scheduling.tolerations.effect** (string)
+
+      effect 表示匹配度污点效果。空意味着匹配所有污点效果。
+      当指定值时，允许的值为 NoSchedule、PreferNoSchedule 或 NoExecute。
+      
+    - **scheduling.tolerations.tolerationSeconds** (int64)
+
+      tolerationSeconds 表示容忍度容忍污点的时间段（必须是 NoExecute 的效果，否则忽略此字段）。
+      默认情况下，不设置此字段，这意味着永远容忍污点（不驱逐）。零和负值将被系统视为 0（立即驱逐）。
+
+## RuntimeClassList {#RuntimeClassList}
+<!--
+RuntimeClassList is a list of RuntimeClass objects.
+-->
+RuntimeClassList 是 RuntimeClass 对象的列表。
+
+<hr>
+
+- **apiVersion**: node.k8s.io/v1
+
+- **kind**: RuntimeClassList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>), required
+  Items is a list of schema objects.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>)，必需
+
+  items 是 schema 对象的列表。
+
+<!--
+## Operations {#Operations}
+### `get` read the specified RuntimeClass
+#### HTTP Request
+-->
+## 操作 {#Operations}
+<hr>
+
+### `get` 读取指定的 RuntimeClass
+#### HTTP 请求
+GET /apis/node.k8s.io/v1/runtimeclasses/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the RuntimeClass
+- **pretty** (*in query*): string
+-->
+##### 参数
+- **name** (**路径参数**): string，必需
+
+  RuntimeClass 的名称
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind RuntimeClass
+#### HTTP Request
+-->
+### `list` 列出或监视 RuntimeClass 类别的对象
+#### HTTP 请求
+GET /apis/node.k8s.io/v1/runtimeclasses
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+##### 参数
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClassList" >}}">RuntimeClassList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a RuntimeClass
+#### HTTP Request
+-->
+### `create` 创建 RuntimeClass
+#### HTTP 请求
+POST /apis/node.k8s.io/v1/runtimeclasses
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+##### 参数
+- **body**: <a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): Created
+
+202 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified RuntimeClass
+#### HTTP Request
+-->
+### `update` 替换指定的 RuntimeClass
+#### HTTP 请求
+PUT /apis/node.k8s.io/v1/runtimeclasses/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the RuntimeClass
+- **body**: <a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+##### 参数
+- **name** (**路径参数**): string，必需
+
+  RuntimeClass 的名称
+
+- **body**: <a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified RuntimeClass
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 RuntimeClass
+#### HTTP 请求
+PATCH /apis/node.k8s.io/v1/runtimeclasses/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the RuntimeClass
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+##### 参数
+- **name** (**路径参数**): string，必需
+
+  RuntimeClass 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): OK
+
+201 (<a href="{{< ref "../cluster-resources/runtime-class-v1#RuntimeClass" >}}">RuntimeClass</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a RuntimeClass
+#### HTTP Request
+-->
+### `delete` 删除 RuntimeClass
+#### HTTP 请求
+DELETE /apis/node.k8s.io/v1/runtimeclasses/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the RuntimeClass
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+##### 参数
+- **name** (**路径参数**): string，必需
+
+  RuntimeClass 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of RuntimeClass
+#### HTTP Request
+-->
+### `deletecollection` 删除 RuntimeClass 的集合
+#### HTTP 请求
+DELETE /apis/node.k8s.io/v1/runtimeclasses
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+##### 参数
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/common-definitions/node-selector-requirement.md b/content/zh-cn/docs/reference/kubernetes-api/common-definitions/node-selector-requirement.md
index 018672655dd..964f6fc0e37 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/common-definitions/node-selector-requirement.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/common-definitions/node-selector-requirement.md
@@ -4,12 +4,12 @@ api_metadata:
   import: "k8s.io/api/core/v1"
   kind: "NodeSelectorRequirement"
 content_type: "api_reference"
-description: "节点选择器是要求包含键、值和关联键和值的运算符的选择器"
+description: 节点选择算符需求是一个选择算符，其中包含值集、主键以及一个将键和值集关联起来的操作符。
 title: "NodeSelectorRequirement"
 weight: 5
-auto_generated: true
 ---
-<!--
+
+<!---
 api_metadata:
   apiVersion: ""
   import: "k8s.io/api/core/v1"
@@ -21,26 +21,12 @@ weight: 5
 auto_generated: true
 -->
 
-<!--
-The file is auto-generated from the Go source code of the component using a generic
-[generator](https://github.com/kubernetes-sigs/reference-docs/). To learn how
-to generate the reference documentation, please read
-[Contributing to the reference documentation](/docs/contribute/generate-ref-docs/).
-To update the reference content, please follow the 
-[Contributing upstream](/docs/contribute/generate-ref-docs/contribute-upstream/)
-guide. You can file document formatting bugs against the
-[reference-docs](https://github.com/kubernetes-sigs/reference-docs/) project.
--->
-
-
-
 `import "k8s.io/api/core/v1"`
 
-
 <!--
 A node selector requirement is a selector that contains values, a key, and an operator that relates the key and values.
 -->
-   节点选择器是要求包含键、值和关联键和值的运算符的选择器。
+节点选择算符需求是一个选择算符，其中包含值集、主键以及一个将键和值集关联起来的操作符。
 
 <hr>
 
@@ -48,20 +34,19 @@ A node selector requirement is a selector that contains values, a key, and an op
 - **key** (string), required
 
   The label key that the selector applies to.
--->
-- **key** (string), 必选
 
-   选择器适用的标签键。
-
-<!--
 - **operator** (string), required
 
   Represents a key's relationship to a set of values. Valid operators are In, NotIn, Exists, DoesNotExist. Gt, and Lt.
 -->
-- **operator** (string), 必选
+- **key** (string)，必需
 
-  表示键与一组值的关系的运算符。有效的运算符包括：In、NotIn、Exists、DoesNotExist、Gt 和 Lt。
+  选择算符所适用的标签主键。
 
+- **operator** (string)，必需
+
+  代表主键与值集之间的关系。合法的 operator 值包括 `In`、`NotIn`、`Exists`、`DoesNotExist`、`Gt` 和 `Lt`。
+ 
 <!--
 - **values** ([]string)
 
@@ -69,9 +54,8 @@ A node selector requirement is a selector that contains values, a key, and an op
 -->
 - **values** ([]string)
 
-   字符串数组。如果运算符为 In 或 NotIn，则数组必须为非空。
-   如果运算符为 Exists 或 DoesNotExist，则数组必须为空。
-   如果运算符为 Gt 或 Lt，则数组必须有一个元素，该元素将被译为整数。
-   该数组在合并计划补丁时将被替换。
-
+  一个由字符串值组成的数组。如果 operator 是 `In` 或 `NotIn`，则 values 数组不能为空。
+  如果 operator 为 `Exists` 或 `DoesNotExist`，则 values 数组只能为空。
+  如果 operator 为 `Gt` 或 `Lt`，则 values 数组只能包含一个元素，并且该元素会被解释为整数。
+  在执行策略性合并补丁操作时，此数组会被整体替换。
 
diff --git a/content/zh-cn/docs/reference/kubernetes-api/extend-resources/custom-resource-definition-v1.md b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/custom-resource-definition-v1.md
new file mode 100644
index 00000000000..f0bba86822a
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/custom-resource-definition-v1.md
@@ -0,0 +1,1736 @@
+---
+api_metadata:
+  apiVersion: "apiextensions.k8s.io/v1"
+  import: "k8s.io/apiextensions-apiserver/pkg/apis/apiextensions/v1"
+  kind: "CustomResourceDefinition"
+content_type: "api_reference"
+description: "CustomResourceDefinition 表示应在 API 服务器上公开的资源。"
+title: "CustomResourceDefinition"
+weight: 1
+---
+<!--
+api_metadata:
+  apiVersion: "apiextensions.k8s.io/v1"
+  import: "k8s.io/apiextensions-apiserver/pkg/apis/apiextensions/v1"
+  kind: "CustomResourceDefinition"
+content_type: "api_reference"
+description: "CustomResourceDefinition represents a resource that should be exposed on the API server."
+title: "CustomResourceDefinition"
+weight: 1
+auto_generated: true
+-->
+
+`apiVersion: apiextensions.k8s.io/v1`
+
+`import "k8s.io/apiextensions-apiserver/pkg/apis/apiextensions/v1"`
+
+## CustomResourceDefinition {#CustomResourceDefinition}
+
+<!--
+CustomResourceDefinition represents a resource that should be exposed on the API server.  Its name MUST be in the format \<.spec.name>.\<.spec.group>.
+-->
+CustomResourceDefinition 表示应在 API 服务器上公开的资源。其名称必须采用 `<.spec.name>.<.spec.group>` 格式。
+
+<hr>
+
+- **apiVersion**: apiextensions.k8s.io/v1
+
+- **kind**: CustomResourceDefinition
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  <!--
+  Standard object's metadata More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinitionSpec" >}}">CustomResourceDefinitionSpec</a>), <!--required-->必需
+  <!--
+  spec describes how the user wants the resources to appear
+  -->
+  spec 描述了用户希望资源的呈现方式
+
+- **status** (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinitionStatus" >}}">CustomResourceDefinitionStatus</a>)
+  <!--
+  status indicates the actual state of the CustomResourceDefinition
+  -->
+  status 表示 CustomResourceDefinition 的实际状态
+
+## CustomResourceDefinitionSpec {#CustomResourceDefinitionSpec}
+
+<!--
+CustomResourceDefinitionSpec describes how a user wants their resource to appear
+-->
+CustomResourceDefinitionSpec 描述了用户希望资源的呈现方式
+
+<hr>
+
+<!--
+- **group** (string), required
+
+  group is the API group of the defined custom resource. The custom resources are served under `/apis/\<group>/...`. Must match the name of the CustomResourceDefinition (in the form `\<names.plural>.\<group>`).
+-->
+- **group** (string)，必需
+
+  group 是自定义资源的 API 组。自定义资源在 `/apis/<group>/...` 下提供。
+  必须与 CustomResourceDefinition 的名称匹配（格式为 `<names.plural>.<group>`）。
+
+<!--
+- **names** (CustomResourceDefinitionNames), required
+
+  names specify the resource and kind names for the custom resource.
+-->
+
+- **names** (CustomResourceDefinitionNames)，必需
+
+  names 表示自定义资源的资源和种类名称。
+
+  <a name="CustomResourceDefinitionNames"></a>
+  <!--
+  *CustomResourceDefinitionNames indicates the names to serve this CustomResourceDefinition*
+
+  - **names.kind** (string), required
+
+    kind is the serialized kind of the resource. It is normally CamelCase and singular. Custom resource instances will use this value as the `kind` attribute in API calls.
+  -->
+  **CustomResourceDefinitionNames 表示提供此 CustomResourceDefinition 资源的名称**
+
+  - **names.kind** (string)，必需
+
+    kind 是资源的序列化类型。它通常是驼峰命名的单数形式。自定义资源实例将使用此值作为 API 调用中的 `kind` 属性。
+
+  <!--
+  - **names.plural** (string), required
+
+    plural is the plural name of the resource to serve. The custom resources are served under `/apis/\<group>/\<version>/.../\<plural>`. Must match the name of the CustomResourceDefinition (in the form `\<names.plural>.\<group>`). Must be all lowercase.
+  -->
+
+  - **names.plural** (string)，必需
+
+    plural 是所提供的资源的复数名称，自定义资源在 `/apis/<group>/<version>/.../<plural>` 下提供。
+    必须与 CustomResourceDefinition 的名称匹配（格式为 `<names.plural>.<group>`）。必须全部小写。
+
+  - **names.categories** ([]string)
+
+    <!--
+    categories is a list of grouped resources this custom resource belongs to (e.g. 'all'). This is published in API discovery documents, and used by clients to support invocations like `kubectl get all`.
+    -->
+
+    categories 是自定义资源所属的分组资源列表（例如 'all'）。
+    它在 API 发现文档中发布，并支持客户端像 `kubectl get all` 这样的调用。
+
+  - **names.listKind** (string)
+
+    <!--
+    listKind is the serialized kind of the list for this resource. Defaults to "`kind`List".
+    -->
+
+    listKind 是此资源列表的序列化类型。默认为 "`kind`List"。
+
+  - **names.shortNames** ([]string)
+
+    <!--
+    shortNames are short names for the resource, exposed in API discovery documents, and used by clients to support invocations like `kubectl get \<shortname>`. It must be all lowercase.
+    -->
+
+    shortNames 是资源的短名称，在 API 发现文档中公开，并支持客户端调用，如 `kubectl get <shortname>`。必须全部小写。
+
+  - **names.singular** (string)
+
+    <!--
+    singular is the singular name of the resource. It must be all lowercase. Defaults to lowercased `kind`.
+    -->
+
+    singular 是资源的单数名称。必须全部小写。默认为小写 `kind`。
+
+<!--  
+- **scope** (string), required
+
+  scope indicates whether the defined custom resource is cluster- or namespace-scoped. Allowed values are `Cluster` and `Namespaced`.
+-->
+
+- **scope** (string)，必需
+  
+  scope 表示自定义资源是群集作用域还是命名空间作用域。允许的值为 `Cluster` 和 `Namespaced`。
+
+<!--
+- **versions** ([]CustomResourceDefinitionVersion), required
+
+  versions is the list of all API versions of the defined custom resource. Version names are used to compute the order in which served versions are listed in API discovery. If the version string is "kube-like", it will sort above non "kube-like" version strings, which are ordered lexicographically. "Kube-like" versions start with a "v", then are followed by a number (the major version), then optionally the string "alpha" or "beta" and another number (the minor version). These are sorted first by GA > beta > alpha (where GA is a version with no suffix such as beta or alpha), and then by comparing major version, then minor version. An example sorted list of versions: v10, v2, v1, v11beta2, v10beta3, v3beta1, v12alpha1, v11alpha2, foo1, foo10.
+-->
+
+- **versions** ([]CustomResourceDefinitionVersion)，必需
+
+  versions 是自定义资源的所有 API 版本的列表。版本名称用于计算服务版本在 API 发现中列出的顺序。
+  如果版本字符串是与 Kubernetes 的版本号形式类似，则它将排序在非 Kubernetes 形式版本字符串之前。
+  Kubernetes 的版本号字符串按字典顺序排列。Kubernetes 版本号以 “v” 字符开头，
+  后面是一个数字（主版本），然后是可选字符串 “alpha” 或 “beta” 和另一个数字（次要版本）。
+  它们首先按 GA > beta > alpha 排序（其中 GA 是没有 beta 或 alpha 等后缀的版本），然后比较主要版本，
+  最后是比较次要版本。版本排序列表示例：v10、v2、v1、v11beta2、v10beta3、v3beta1、v12alpha1、v11alpha2、foo1、foo10。
+
+  <a name="CustomResourceDefinitionVersion"></a>
+  <!--
+  *CustomResourceDefinitionVersion describes a version for CRD.*
+
+  - **versions.name** (string), required
+
+    name is the version name, e.g. “v1”, “v2beta1”, etc. The custom resources are served under this version at `/apis/\<group>/\<version>/...` if `served` is true.
+  -->
+  **CustomResourceDefinitionVersion 描述 CRD 的一个版本**
+
+  - **versions.name** (string)，必需
+
+    name 是版本名称，例如 “v1”、“v2beta1” 等。如果 `served` 是 true，自定义资源在
+    `/apis/<group>/<version>/...` 版本下提供。
+
+  <!--
+  - **versions.served** (boolean), required
+
+    served is a flag enabling/disabling this version from being served via REST APIs
+  -->
+
+  - **versions.served** (boolean)，必需
+
+    served 是用于启用/禁用该版本通过 REST API 提供服务的标志
+
+  <!--
+  - **versions.storage** (boolean), required
+
+    storage indicates this version should be used when persisting custom resources to storage. There must be exactly one version with storage=true.
+  -->
+
+  - **versions.storage** (boolean)，必需
+
+    storage 表示在将自定义资源持久保存到存储时应使用此版本。有且仅有一个版本的 storage=true。
+
+  - **versions.additionalPrinterColumns** ([]CustomResourceColumnDefinition)
+
+    <!--
+    additionalPrinterColumns specifies additional columns returned in Table output. See https://kubernetes.io/docs/reference/using-api/api-concepts/#receiving-resources-as-tables for details. If no columns are specified, a single column displaying the age of the custom resource is used.
+    -->
+
+    additionalPrinterColumns 表示在表输出中返回的附加列。
+    有关详细信息，请参阅 https://kubernetes.io/zh-cn/docs/reference/using-api/api-concepts/#receiving-resources-as-tables。
+    如果没有指定列，则显示自定义资源存活时间（AGE）列。
+  
+    <a name="CustomResourceColumnDefinition"></a>
+    <!--
+    *CustomResourceColumnDefinition specifies a column for server side printing.*
+
+    - **versions.additionalPrinterColumns.jsonPath** (string), required
+
+      jsonPath is a simple JSON path (i.e. with array notation) which is evaluated against each custom resource to produce the value for this column.
+    -->
+
+    **CustomResourceColumnDefinition 指定用于服务器端打印的列。**
+
+    - **versions.additionalPrinterColumns.jsonPath** (string)，必需
+
+      jsonPath 是一个简单的 JSON 路径（使用数组表示法），它对每个自定义资源进行评估，以生成该列的值。
+
+    <!--
+    - **versions.additionalPrinterColumns.name** (string), required
+
+      name is a human readable name for the column.
+    -->
+
+    - **versions.additionalPrinterColumns.name** (string)，必需
+
+      name 是便于阅读的列名称
+
+    <!--
+    - **versions.additionalPrinterColumns.type** (string), required
+
+      type is an OpenAPI type definition for this column. See https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types for details.
+    -->
+
+    - **versions.additionalPrinterColumns.type** (string)，必需
+
+      type 是此列的 OpenAPI 类型定义。有关详细信息，
+      请参阅 https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types
+
+    - **versions.additionalPrinterColumns.description** (string)
+
+      <!--
+      description is a human readable description of this column.
+      -->
+
+      description 是该列的可读性描述 
+
+    - **versions.additionalPrinterColumns.format** (string)
+
+      <!--
+      format is an optional OpenAPI type definition for this column. The 'name' format is applied to the primary identifier column to assist in clients identifying column is the resource name. See https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types for details.
+      -->
+
+      format 是这个列的可选 OpenAPI 类型定义。'name' 格式应用于主标识符列，以帮助客户端识别列是资源名称。
+      有关详细信息，请参阅 https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types。
+
+    - **versions.additionalPrinterColumns.priority** (int32)
+
+      <!--
+      priority is an integer defining the relative importance of this column compared to others. Lower numbers are considered higher priority. Columns that may be omitted in limited space scenarios should be given a priority greater than 0.
+      -->
+
+      priority 是一个定义此列相对于其他列的相对重要性的整数。数字越低，优先级越高。
+      在空间有限的情况下，可以省略的列的优先级应大于 0。 
+
+  - **versions.deprecated** (boolean)
+
+    <!--
+    deprecated indicates this version of the custom resource API is deprecated. When set to true, API requests to this version receive a warning header in the server response. Defaults to false.
+    -->
+
+    deprecated 表示此版本的自定义资源 API 已弃用。设置为 true 时，对此版本的 API
+    请求会在服务器响应头信息中带有警告（warning）信息。此值默认为 false。
+
+  - **versions.deprecationWarning** (string)
+
+    <!--
+    deprecationWarning overrides the default warning returned to API clients. May only be set when `deprecated` is true. The default warning indicates this version is deprecated and recommends use of the newest served version of equal or greater stability, if one exists.
+    -->
+
+    deprecationWarning 会覆盖返回给 API 客户端的默认警告。只能在 `deprecated` 为 true 时设置。
+    默认警告表示此版本已弃用，建议使用最新的同等或更高稳定性版本（如果存在）。
+
+  - **versions.schema** (CustomResourceValidation)
+
+    <!--
+    schema describes the schema used for validation, pruning, and defaulting of this version of the custom resource.
+    -->
+
+    schema 描述了用于验证、精简和默认此版本的自定义资源的模式。  
+
+    <a name="CustomResourceValidation"></a>
+    <!--
+    *CustomResourceValidation is a list of validation methods for CustomResources.*
+    -->
+
+    **CustomResourceValidation 是 CustomResources 的验证方法列表。**  
+
+    - **versions.schema.openAPIV3Schema** (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+      <!--
+      openAPIV3Schema is the OpenAPI v3 schema to use for validation and pruning.
+      -->
+
+      openAPIV3Schema 是用于验证和精简的 OpenAPI v3 模式。    
+
+  - **versions.subresources** (CustomResourceSubresources)
+
+    <!--
+    subresources specify what subresources this version of the defined custom resource have.
+    -->
+
+    subresources 指定此版本已定义的自定义资源具有哪些子资源。  
+
+    <a name="CustomResourceSubresources"></a>
+    <!--
+    *CustomResourceSubresources defines the status and scale subresources for CustomResources.*
+    -->
+
+    **CustomResourceSubresources 定义了 CustomResources 子资源的状态和规模。**  
+
+    - **versions.subresources.scale** (CustomResourceSubresourceScale)
+
+      <!--
+      scale indicates the custom resource should serve a `/scale` subresource that returns an `autoscaling/v1` Scale object.
+      -->
+
+      scale 表示自定义资源应该提供一个 `/scale` 子资源，该子资源返回一个 `autoscaling/v1` Scale 对象。
+
+      <a name="CustomResourceSubresourceScale"></a>
+      <!--
+      *CustomResourceSubresourceScale defines how to serve the scale subresource for CustomResources.*
+
+      - **versions.subresources.scale.specReplicasPath** (string), required
+
+        specReplicasPath defines the JSON path inside of a custom resource that corresponds to Scale `spec.replicas`. Only JSON paths without the array notation are allowed. Must be a JSON Path under `.spec`. If there is no value under the given path in the custom resource, the `/scale` subresource will return an error on GET.
+      -->
+
+      **CustomResourceSubresourceScale 定义了如何为 CustomResources 的 scale 子资源提供服务。**
+
+      - **versions.subresources.scale.specReplicasPath** (string)，必需
+
+        specReplicasPath 定义对应于 Scale 的自定义资源内的 JSON 路径 `spec.replicas`。
+        只允许没有数组表示法的 JSON 路径。必须是 `.spec` 下的 JSON 路径。
+        如果自定义资源中的给定路径下没有值，那么 GET `/scale` 子资源将返回错误。
+
+      <!--
+      - **versions.subresources.scale.statusReplicasPath** (string), required
+
+        statusReplicasPath defines the JSON path inside of a custom resource that corresponds to Scale `status.replicas`. Only JSON paths without the array notation are allowed. Must be a JSON Path under `.status`. If there is no value under the given path in the custom resource, the `status.replicas` value in the `/scale` subresource will default to 0.
+      -->
+
+      - **versions.subresources.scale.statusReplicasPath** (string)，必需
+
+        statusReplicasPath 定义对应于 Scale 的自定义资源内的 JSON 路径 `status.replicas`。
+        只允许不带数组表示法的 JSON 路径。必须是 `.status` 下的 JSON 路径。
+        如果自定义资源中给定路径下没有值，则 `/scale` 子资源中的 `status.replicas` 值将默认为 0。
+
+      - **versions.subresources.scale.labelSelectorPath** (string)
+
+        <!--
+        labelSelectorPath defines the JSON path inside of a custom resource that corresponds to Scale `status.selector`. Only JSON paths without the array notation are allowed. Must be a JSON Path under `.status` or `.spec`. Must be set to work with HorizontalPodAutoscaler. The field pointed by this JSON path must be a string field (not a complex selector struct) which contains a serialized label selector in string form. More info: https://kubernetes.io/docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions#scale-subresource If there is no value under the given path in the custom resource, the `status.selector` value in the `/scale` subresource will default to the empty string.
+        -->
+
+        labelSelectorPath 定义对应于 Scale 的自定义资源内的 JSON 路径 `status.selector`。
+        只允许不带数组表示法的 JSON 路径。必须是 `.status` 或 `.spec` 下的路径。
+        必须设置为与 HorizontalPodAutoscaler 一起使用。
+        此 JSON 路径指向的字段必须是字符串字段（不是复杂的选择器结构），其中包含字符串形式的序列化标签选择器。
+        更多信息： https://kubernetes.io/zh-cn/docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions#scale-subresource。
+        如果自定义资源中给定路径下没有值，则 `/scale` 子资源中的 `status.selector` 默认值为空字符串。
+
+    - **versions.subresources.status** (CustomResourceSubresourceStatus)
+
+      <!--
+      status indicates the custom resource should serve a `/status` subresource. When enabled: 1. requests to the custom resource primary endpoint ignore changes to the `status` stanza of the object. 2. requests to the custom resource `/status` subresource ignore changes to anything other than the `status` stanza of the object.
+      -->
+
+      status 表示自定义资源应该为 `/status` 子资源服务。当启用时：
+
+      1. 对自定义资源主端点的请求会忽略对对象的 `status` 节的改变；
+      2. 对自定义资源 `/status` 子资源的请求忽略对对象的 `status` 节以外的任何变化。
+
+      <a name="CustomResourceSubresourceStatus"></a>
+      <!--
+      *CustomResourceSubresourceStatus defines how to serve the status subresource for CustomResources. Status is represented by the `.status` JSON path inside of a CustomResource. When set, * exposes a /status subresource for the custom resource * PUT requests to the /status subresource take a custom resource object, and ignore changes to anything except the status stanza * PUT/POST/PATCH requests to the custom resource ignore changes to the status stanza*
+      -->
+
+      CustomResourceSubresourceStatus 定义了如何为自定义资源提供 status 子资源。
+      状态由 CustomResource 中的 `.status` JSON 路径表示。设置后，
+
+      * 为自定义资源提供一个 `/status` 子资源。
+      * 向 `/status` 子资源发出的 PUT 请求时，需要提供自定义资源对象，服务器端会忽略对 status 节以外的任何内容更改。
+      * 对自定义资源的 PUT/POST/PATCH 请求会忽略对 status 节的更改。
+
+- **conversion** (CustomResourceConversion)
+
+  <!--
+  conversion defines conversion settings for the CRD.
+  -->
+  conversion 定义了 CRD 的转换设置。
+
+  <a name="CustomResourceConversion"></a>
+  <!--
+  *CustomResourceConversion describes how to convert different versions of a CR.*
+
+  - **conversion.strategy** (string), required
+
+    strategy specifies how custom resources are converted between versions. Allowed values are: - `None`: The converter only change the apiVersion and would not touch any other field in the custom resource. - `Webhook`: API Server will call to an external webhook to do the conversion. Additional information
+      is needed for this option. This requires spec.preserveUnknownFields to be false, and spec.conversion.webhook to be set.
+  -->
+
+  **CustomResourceConversion 描述了如何转换不同版本的自定义资源。**
+
+  - **conversion.strategy** (string)，必需
+
+    strategy 指定如何在版本之间转换自定义资源。允许的值为：
+
+    - `None`：转换器仅更改 apiVersion 并且不会触及自定义资源中的任何其他字段。
+    - `Webhook`：API 服务器将调用外部 Webhook 进行转换。此选项需要其他信息。这要求
+       spec.preserveUnknownFields 为 false，并且设置 spec.conversion.webhook。
+
+  - **conversion.webhook** (WebhookConversion)
+
+    <!--
+    webhook describes how to call the conversion webhook. Required when `strategy` is set to `Webhook`.
+    -->
+
+    webhook 描述了如何调用转换 Webhook。当 `strategy` 设置为 `Webhook` 时有效。
+
+    <a name="WebhookConversion"></a>
+    <!--
+    *WebhookConversion describes how to call a conversion webhook*
+
+    - **conversion.webhook.conversionReviewVersions** ([]string), required
+
+      conversionReviewVersions is an ordered list of preferred `ConversionReview` versions the Webhook expects. The API server will use the first version in the list which it supports. If none of the versions specified in this list are supported by API server, conversion will fail for the custom resource. If a persisted Webhook configuration specifies allowed versions and does not include any versions known to the API Server, calls to the webhook will fail.
+    -->
+
+    **WebhookConversion 描述了如何调用转换 Webhook**
+
+    - **conversion.webhook.conversionReviewVersions** ([]string)，必需
+
+      conversionReviewVersions 是 Webhook 期望的 `ConversionReview` 版本的有序列表。
+      API 服务器将使用它支持的列表中的第一个版本。如果 API 服务器不支持此列表中指定的版本，则自定义资源的转换将失败。
+      如果持久化的 Webhook 配置指定了允许的版本但其中不包括 API 服务器所了解的任何版本，则对 Webhook 的调用将失败。
+
+    - **conversion.webhook.clientConfig** (WebhookClientConfig)
+
+      <!--
+      clientConfig is the instructions for how to call the webhook if strategy is `Webhook`.
+      -->
+
+      如果 strategy 是 `Webhook`， 那么 clientConfig 是关于如何调用 Webhook 的说明。
+
+      <a name="WebhookClientConfig"></a>
+      <!--
+      *WebhookClientConfig contains the information to make a TLS connection with the webhook.*
+      -->
+
+      **WebhookClientConfig 包含与 Webhook 建立 TLS 连接的信息。**
+
+      - **conversion.webhook.clientConfig.caBundle** ([]byte)
+
+        <!--
+        caBundle is a PEM encoded CA bundle which will be used to validate the webhook's server certificate. If unspecified, system trust roots on the apiserver are used.
+        -->
+
+        caBundle 是一个 PEM 编码的 CA 包，用于验证 Webhook 服务器的服务证书。
+        如果未指定，则使用 API 服务器上的系统根证书。
+
+      - **conversion.webhook.clientConfig.service** (ServiceReference)
+
+        <!--
+        service is a reference to the service for this webhook. Either service or url must be specified.
+        
+        If the webhook is running within the cluster, then you should use `service`.
+        -->
+
+        service 是对此 Webhook 服务的引用。必须指定 service 或 url 字段之一。
+
+        如果在集群中运行 Webhook，那么你应该使用 `service`。
+
+        <a name="ServiceReference"></a>
+        <!--
+        *ServiceReference holds a reference to Service.legacy.k8s.io*
+
+        - **conversion.webhook.clientConfig.service.name** (string), required
+
+          name is the name of the service. Required
+        -->
+
+        **ServiceReference 保存对 Service.legacy.k8s.io 的一个引用。**
+
+        - **conversion.webhook.clientConfig.service.name** (string)，必需
+
+          name 是服务的名称。必需。
+
+        <!--
+        - **conversion.webhook.clientConfig.service.namespace** (string), required
+
+          namespace is the namespace of the service. Required
+        -->
+
+        - **conversion.webhook.clientConfig.service.namespace** (string)，必需
+
+          namespace 是服务的命名空间。必需。
+
+        - **conversion.webhook.clientConfig.service.path** (string)
+
+          <!--
+          path is an optional URL path at which the webhook will be contacted.
+          -->
+
+          path 是一个可选的 URL 路径，Webhook 将通过该路径联系服务。
+
+        - **conversion.webhook.clientConfig.service.port** (int32)
+
+          <!--
+          port is an optional service port at which the webhook will be contacted. `port` should be a valid port number (1-65535, inclusive). Defaults to 443 for backward compatibility.
+          -->
+
+          port 是 Webhook 联系的可选服务端口。`port` 应该是一个有效的端口号（1-65535，包含）。
+          为实现向后兼容，默认端口号为 443。
+
+      - **conversion.webhook.clientConfig.url** (string)
+
+        <!--
+        url gives the location of the webhook, in standard URL form (`scheme://host:port/path`). Exactly one of `url` or `service` must be specified.
+        -->
+
+        url 以标准 URL 的形式（`scheme://host:port/path`）给出 Webhook 的位置。`url` 或 `service` 必须指定一个且只能指定一个。
+
+        <!--
+        The `host` should not refer to a service running in the cluster; use the `service` field instead. The host might be resolved via external DNS in some apiservers (e.g., `kube-apiserver` cannot resolve in-cluster DNS as that would be a layering violation). `host` may also be an IP address.
+        -->
+
+        `host` 不应引用集群中运行的服务；若使用集群内服务应改为使用 `service` 字段。
+        host 值可能会通过外部 DNS 解析（例如，`kube-apiserver` 无法解析集群内 DNS，因为这将违反分层规则）。
+        `host` 也可能是 IP 地址。
+
+        <!--
+        Please note that using `localhost` or `127.0.0.1` as a `host` is risky unless you take great care to run this webhook on all hosts which run an apiserver which might need to make calls to this webhook. Such installs are likely to be non-portable, i.e., not easy to turn up in a new cluster.
+        -->
+
+        请注意，使用 `localhost` 或 `127.0.0.1` 作为 `host` 是有风险的，
+        除非你非常小心地在所有运行 API 服务器的主机上运行这个 Webhook，因为这些 API 服务器可能需要调用这个 Webhook。
+        这样的安装可能是不可移植的，也就是说，不容易在一个新的集群中复现。
+
+        <!--
+        The scheme must be "https"; the URL must begin with "https://".
+        
+        A path is optional, and if present may be any string permissible in a URL. You may use the path to pass an arbitrary string to the webhook, for example, a cluster identifier.
+        
+        Attempting to use a user or basic auth e.g. "user:password@" is not allowed. Fragments ("#...") and query parameters ("?...") are not allowed, either.
+        -->
+
+        scheme 必须是 "https"；URL 必须以 "https://" 开头。
+
+        路径（path）是可选的，如果存在，则可以是 URL 中允许的任何字符串。
+        你可以使用路径传递一个任意字符串给 Webhook，例如，一个集群标识符。
+
+        不允许使用用户或基本认证，例如 "user:password@"，是不允许的。片段（"#..."）和查询参数（"?..."）也是不允许的。
+
+- **preserveUnknownFields** (boolean)
+
+  <!--
+  preserveUnknownFields indicates that object fields which are not specified in the OpenAPI schema should be preserved when persisting to storage. apiVersion, kind, metadata and known fields inside metadata are always preserved. This field is deprecated in favor of setting `x-preserve-unknown-fields` to true in `spec.versions[*].schema.openAPIV3Schema`. See https://kubernetes.io/docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions/#pruning-versus-preserving-unknown-fields for details.
+  -->
+
+  preserveUnknownFields 表示将对象写入持久性存储时应保留 OpenAPI 模式中未规定的对象字段。
+  apiVersion、kind、元数据（metadata）和元数据中的已知字段始终保留。不推荐使用此字段，而建议在
+  `spec.versions[*].schema.openAPIV3Schema` 中设置 `x-preserve-unknown-fields` 为 true。
+  更多详细信息参见： https://kubernetes.io/zh-cn/docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions/#pruning-versus-preserving-unknown-fields
+
+## JSONSchemaProps {#JSONSchemaProps}
+
+<!--
+JSONSchemaProps is a JSON-Schema following Specification Draft 4 (http://json-schema.org/).
+-->
+JSONSchemaProps 是JSON 模式（JSON-Schema），遵循其规范草案第 4 版 （http://json-schema.org/）。
+
+<hr>
+
+- **$ref** (string)
+
+- **$schema** (string)
+
+- **additionalItems** (JSONSchemaPropsOrBool)
+
+  <a name="JSONSchemaPropsOrBool"></a>
+  <!--
+  *JSONSchemaPropsOrBool represents JSONSchemaProps or a boolean value. Defaults to true for the boolean property.*
+  -->
+  **JSONSchemaPropsOrBool 表示 JSONSchemaProps 或布尔值。布尔属性默认为 true。**
+
+- **additionalProperties** (JSONSchemaPropsOrBool)
+
+  <a name="JSONSchemaPropsOrBool"></a>
+  <!--
+  *JSONSchemaPropsOrBool represents JSONSchemaProps or a boolean value. Defaults to true for the boolean property.*
+  -->
+  **JSONSchemaPropsOrBool 表示 JSONSchemaProps 或布尔值。布尔属性默认为 true。**  
+
+- **allOf** ([]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **anyOf** ([]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **default** (JSON)
+
+  <!--
+  default is a default value for undefined object fields. Defaulting is a beta feature under the CustomResourceDefaulting feature gate. Defaulting requires spec.preserveUnknownFields to be false.
+  -->
+  default 是未定义对象字段的默认值。设置默认值操作是 CustomResourceDefaulting 特性门控所控制的一个 Beta 特性。
+  应用默认值设置时要求 spec.preserveUnknownFields 为 false。
+
+  <a name="JSON"></a>
+  <!--
+  *JSON represents any valid JSON value. These types are supported: bool, int64, float64, string, []interface{}, map[string]interface{} and nil.*
+  -->
+  **JSON 表示任何有效的 JSON 值。支持以下类型：bool、int64、float64、string、[]interface{}、map[string]interface{} 和 nil。** 
+
+- **definitions** (map[string]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **dependencies** (map[string]JSONSchemaPropsOrStringArray)
+
+  <a name="JSONSchemaPropsOrStringArray"></a>
+  <!--
+  *JSONSchemaPropsOrStringArray represents a JSONSchemaProps or a string array.*
+  -->
+  **JSONSchemaPropsOrStringArray 表示 JSONSchemaProps 或字符串数组。** 
+
+- **description** (string)
+
+- **enum** ([]JSON)
+
+  <a name="JSON"></a>
+  <!--
+  *JSON represents any valid JSON value. These types are supported: bool, int64, float64, string, []interface{}, map[string]interface{} and nil.*
+  -->
+  **JSON 表示任何有效的 JSON 值。支持以下类型：bool、int64、float64、string、[]interface{}、map[string]interface{} 和 nil。**
+
+- **example** (JSON)
+
+  <a name="JSON"></a>
+  <!--
+  *JSON represents any valid JSON value. These types are supported: bool, int64, float64, string, []interface{}, map[string]interface{} and nil.*
+  -->
+  **JSON 表示任何有效的 JSON 值。支持以下类型：bool、int64、float64、string、[]interface{}、map[string]interface{} 和 nil。**
+
+- **exclusiveMaximum** (boolean)
+
+- **exclusiveMinimum** (boolean)
+
+- **externalDocs** (ExternalDocumentation)
+
+  <a name="ExternalDocumentation"></a>
+  <!--
+  *ExternalDocumentation allows referencing an external resource for extended documentation.*
+  -->
+  **ExternalDocumentation 允许引用外部资源作为扩展文档。**
+
+  - **externalDocs.description** (string)
+
+  - **externalDocs.url** (string)
+
+- **format** (string)
+
+  <!--
+  format is an OpenAPI v3 format string. Unknown formats are ignored. The following formats are validated:
+
+  - bsonobjectid: a bson object ID, i.e. a 24 characters hex string - uri: an URI as parsed by Golang net/url.ParseRequestURI - email: an email address as parsed by Golang net/mail.ParseAddress - hostname: a valid representation for an Internet host name, as defined by RFC 1034, section 3.1 [RFC1034]. - ipv4: an IPv4 IP as parsed by Golang net.ParseIP - ipv6: an IPv6 IP as parsed by Golang net.ParseIP - cidr: a CIDR as parsed by Golang net.ParseCIDR - mac: a MAC address as parsed by Golang net.ParseMAC - uuid: an UUID that allows uppercase defined by the regex (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?[0-9a-f]{4}-?[0-9a-f]{4}-?[0-9a-f]{12}$ - uuid3: an UUID3 that allows uppercase defined by the regex (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?3[0-9a-f]{3}-?[0-9a-f]{4}-?[0-9a-f]{12}$ - uuid4: an UUID4 that allows uppercase defined by the regex (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?4[0-9a-f]{3}-?[89ab][0-9a-f]{3}-?[0-9a-f]{12}$ - uuid5: an UUID5 that allows uppercase defined by the regex (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?5[0-9a-f]{3}-?[89ab][0-9a-f]{3}-?[0-9a-f]{12}$ - isbn: an ISBN10 or ISBN13 number string like "0321751043" or "978-0321751041" - isbn10: an ISBN10 number string like "0321751043" - isbn13: an ISBN13 number string like "978-0321751041" - creditcard: a credit card number defined by the regex ^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})$ with any non digit characters mixed in - ssn: a U.S. social security number following the regex ^\d{3}[- ]?\d{2}[- ]?\d{4}$ - hexcolor: an hexadecimal color code like "#FFFFFF: following the regex ^#?([0-9a-fA-F]{3}|[0-9a-fA-F]{6})$ - rgbcolor: an RGB color code like rgb like "rgb(255,255,2559" - byte: base64 encoded binary data - password: any kind of string - date: a date string like "2006-01-02" as defined by full-date in RFC3339 - duration: a duration string like "22 ns" as parsed by Golang time.ParseDuration or compatible with Scala duration format - datetime: a date time string like "2014-12-15T19:30:20.000Z" as defined by date-time in RFC3339.
+  -->
+  format 是 OpenAPI v3 格式字符串。未知格式将被忽略。以下格式会被验证合法性：
+
+  - bsonobjectid：一个 bson 对象的 ID，即一个 24 个字符的十六进制字符串
+  - uri：由 Go 语言 net/url.ParseRequestURI 解析得到的 URI
+  - email：由 Go 语言 net/mail.ParseAddress 解析得到的电子邮件地址
+  - hostname：互联网主机名的有效表示，由 RFC 1034 第 3.1 节 [RFC1034] 定义
+  - ipv4：由 Go 语言 net.ParseIP 解析得到的 IPv4 协议的 IP
+  - ipv6：由 Go 语言 net.ParseIP 解析得到的 IPv6 协议的 IP
+  - cidr: 由 Go 语言 net.ParseCIDR 解析得到的 CIDR
+  - mac：由 Go 语言 net.ParseMAC 解析得到的一个 MAC 地址
+  - uuid：UUID，允许大写字母，满足正则表达式 (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?[0-9a-f]{4}-?[0-9a-f]{4}-?[0-9a-f]{12}$
+  - uuid3：UUID3，允许大写字母，满足正则表达式 (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?3[0-9a-f]{3}-?[0-9a-f]{4}-?[0-9a-f]{12}$
+  - uuid4：UUID4，允许大写字母，满足正则表达式 (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?4[0-9a-f]{3}-?[89ab][0-9a-f]{3}-?[0-9a-f]{12}$
+  - uuid5：UUID5，允许大写字母，满足正则表达式 (?i)^[0-9a-f]{8}-?[0-9a-f]{4}-?5[0-9a-f]{3}-?[89ab][0-9a-f]{3}-?[0-9a-f]{12}$
+  - isbn：一个 ISBN10 或 ISBN13 数字字符串，如 "0321751043" 或 "978-0321751041"
+  - isbn10：一个 ISBN10 数字字符串，如 "0321751043"
+  - isbn13: 一个 ISBN13 号码字符串，如 "978-0321751041"
+  - creditcard：信用卡号码，满足正则表达式 ^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})$，其中混合任意非数字字符
+  - ssn：美国社会安全号码，满足正则表达式 ^\d{3}[- ]?\d{2}[- ]?\d{4}$
+  - hexcolor：一个十六进制的颜色编码，如 "#FFFFFF"，满足正则表达式 ^#?([0-9a-fA-F]{3}|[0-9a-fA-F]{6})$
+  - rgbcolor：一个 RGB 颜色编码 例如 "rgb(255,255,255)"
+  - byte：base64 编码的二进制数据
+  - password: 任何类型的字符串
+  - date：类似 "2006-01-02" 的日期字符串，由 RFC3339 中的完整日期定义
+  - duration：由 Go 语言 time.ParseDuration 解析的持续时长字符串，如 "22 ns"，或与 Scala 持续时间格式兼容。
+  - datetime：一个日期时间字符串，如 "2014-12-15T19:30:20.000Z"，由 RFC3339 中的 date-time 定义。
+
+- **id** (string)
+
+- **items** (JSONSchemaPropsOrArray)
+
+  <a name="JSONSchemaPropsOrArray"></a>
+  <!--
+  *JSONSchemaPropsOrArray represents a value that can either be a JSONSchemaProps or an array of JSONSchemaProps. Mainly here for serialization purposes.*
+  -->
+  **JSONSchemaPropsOrArray 表示可以是 JSONSchemaProps 或 JSONSchemaProps 数组的值。这里目的主要用于序列化。**  
+
+- **maxItems** (int64)
+
+- **maxLength** (int64)
+
+- **maxProperties** (int64)
+
+- **maximum** (double)
+
+- **minItems** (int64)
+
+- **minLength** (int64)
+
+- **minProperties** (int64)
+
+- **minimum** (double)
+
+- **multipleOf** (double)
+
+- **not** (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **nullable** (boolean)
+
+- **oneOf** ([]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **pattern** (string)
+
+- **patternProperties** (map[string]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **properties** (map[string]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#JSONSchemaProps" >}}">JSONSchemaProps</a>)
+
+- **required** ([]string)
+
+- **title** (string)
+
+- **type** (string)
+
+- **uniqueItems** (boolean)
+
+- **x-kubernetes-embedded-resource** (boolean)
+
+  <!--
+  x-kubernetes-embedded-resource defines that the value is an embedded Kubernetes runtime.Object, with TypeMeta and ObjectMeta. The type must be object. It is allowed to further restrict the embedded object. kind, apiVersion and metadata are validated automatically. x-kubernetes-preserve-unknown-fields is allowed to be true, but does not have to be if the object is fully specified (up to kind, apiVersion, metadata).
+  -->
+  x-kubernetes-embedded-resource 定义该值是一个嵌入式 Kubernetes runtime.Object，具有 TypeMeta 和 ObjectMeta。
+  类型必须是对象。允许进一步限制嵌入对象。会自动验证 kind、apiVersion 和 metadata 等字段值。
+  x-kubernetes-preserve-unknown-fields 允许为 true，但如果对象已完全指定
+  （除 kind、apiVersion、metadata 之外），则不必为 true。
+
+- **x-kubernetes-int-or-string** (boolean)
+
+  <!--
+  x-kubernetes-int-or-string specifies that this value is either an integer or a string. If this is true, an empty type is allowed and type as child of anyOf is permitted if following one of the following patterns:
+  -->
+  x-kubernetes-int-or-string 指定此值是整数或字符串。如果为 true，则允许使用空类型，
+  并且如果遵循以下模式之一，则允许作为 anyOf 的子类型：
+
+  1) anyOf:
+     - type: integer
+     - type: string
+  2) allOf:
+     - anyOf:
+       - type: integer
+       - type: string
+     <!--
+     - ... zero or more
+     -->
+
+     - （可以有选择地包含其他类型）
+
+- **x-kubernetes-list-map-keys** ([]string)
+
+  <!--
+  x-kubernetes-list-map-keys annotates an array with the x-kubernetes-list-type `map` by specifying the keys used as the index of the map.
+  
+  This tag MUST only be used on lists that have the "x-kubernetes-list-type" extension set to "map". Also, the values specified for this attribute must be a scalar typed field of the child structure (no nesting is supported).
+  
+  The properties specified must either be required or have a default value, to ensure those properties are present for all list items.
+  -->
+  X-kubernetes-list-map-keys 通过指定用作 map 索引的键来使用 x-kubernetes-list-type `map` 注解数组。
+
+  这个标签必须只用于 "x-kubernetes-list-type" 扩展设置为 "map" 的列表。
+  而且，为这个属性指定的值必须是子结构的标量类型的字段（不支持嵌套）。
+
+  指定的属性必须是必需的或具有默认值，以确保所有列表项都存在这些属性。
+
+- **x-kubernetes-list-type** (string)
+
+  <!--
+  x-kubernetes-list-type annotates an array to further describe its topology. This extension must only be used on lists and may have 3 possible values:
+  -->
+  x-kubernetes-list-type 注解一个数组以进一步描述其拓扑。此扩展名只能用于列表，并且可能有 3 个可能的值：  
+
+  <!--
+  1) `atomic`: the list is treated as a single entity, like a scalar.
+       Atomic lists will be entirely replaced when updated. This extension
+       may be used on any type of list (struct, scalar, ...).
+  2) `set`:
+       Sets are lists that must not have multiple items with the same value. Each
+       value must be a scalar, an object with x-kubernetes-map-type `atomic` or an
+       array with x-kubernetes-list-type `atomic`.
+  3) `map`:
+       These lists are like maps in that their elements have a non-index key
+       used to identify them. Order is preserved upon merge. The map tag
+       must only be used on a list with elements of type object.
+  Defaults to atomic for arrays.
+  -->
+
+  1. `atomic`：
+        列表被视为单个实体，就像标量一样。原子列表在更新时将被完全替换。这个扩展可以用于任何类型的列表（结构，标量，…）。
+  2. `set`：
+        set 是不能有多个具有相同值的列表。每个值必须是标量、具有 x-kubernetes-map-type
+        `atomic` 的对象或具有 x-kubernetes-list-type `atomic` 的数组。
+  3. `map`：
+     这些列表类似于映射表，因为它们的元素具有用于标识它们的非索引键。合并时保留顺序。
+     map 标记只能用于元数类型为 object 的列表。
+  数组默认为原子数组。
+
+- **x-kubernetes-map-type** (string)
+
+  <!--
+  x-kubernetes-map-type annotates an object to further describe its topology. This extension must only be used when type is object and may have 2 possible values:
+  -->
+  x-kubernetes-map-type 注解一个对象以进一步描述其拓扑。此扩展只能在 type 为 object 时使用，并且可能有 2 个可能的值：  
+
+  <!--
+  1) `granular`:
+       These maps are actual maps (key-value pairs) and each fields are independent
+       from each other (they can each be manipulated by separate actors). This is
+       the default behaviour for all maps.
+  2) `atomic`: the list is treated as a single entity, like a scalar.
+       Atomic maps will be entirely replaced when updated.
+  -->
+
+  1) `granular`：
+        这些 map 是真实的映射（键值对），每个字段都是相互独立的（它们都可以由不同的角色来操作）。
+        这是所有 map 的默认行为。
+  2) `atomic`：map 被视为单个实体，就像标量一样。原子 map 更新后将被完全替换。
+
+- **x-kubernetes-preserve-unknown-fields** (boolean)
+
+  <!--
+  x-kubernetes-preserve-unknown-fields stops the API server decoding step from pruning fields which are not specified in the validation schema. This affects fields recursively, but switches back to normal pruning behaviour if nested properties or additionalProperties are specified in the schema. This can either be true or undefined. False is forbidden.
+  -->
+
+  x-kubernetes-preserve-unknown-fields 针对未在验证模式中指定的字段，禁止 API 服务器的解码步骤剪除这些字段。
+  这一设置对字段的影响是递归的，但在模式中指定了嵌套 properties 或 additionalProperties 时，会切换回正常的字段剪除行为。
+  该值可为 true 或 undefined，不能为 false。
+
+- **x-kubernetes-validations** ([]ValidationRule)
+
+  <!--
+  *Patch strategy: merge on key `rule`*
+  
+  *Map: unique values on key rule will be kept during a merge*
+  
+  x-kubernetes-validations describes a list of validation rules written in the CEL expression language. This field is an alpha-level. Using this field requires the feature gate `CustomResourceValidationExpressions` to be enabled.
+  -->
+
+  **补丁策略：基于键 `rule` 合并**
+
+  **Map：合并时将保留 rule 键的唯一值**
+
+  x-kubernetes-validations 描述了用 CEL 表达式语言编写的验证规则列表。此字段是 Alpha 级别。
+  使用此字段需要启用 `CustomResourceValidationExpressions` 特性门控。
+
+  <a name="ValidationRule"></a>
+  <!--
+  *ValidationRule describes a validation rule written in the CEL expression language.*
+
+  - **x-kubernetes-validations.rule** (string), required
+  -->
+
+  **ValidationRule 描述用 CEL 表达式语言编写的验证规则。**
+
+  - **x-kubernetes-validations.rule** (string)，必需
+
+    <!--
+    Rule represents the expression which will be evaluated by CEL. ref: https://github.com/google/cel-spec The Rule is scoped to the location of the x-kubernetes-validations extension in the schema. The `self` variable in the CEL expression is bound to the scoped value. Example: - Rule scoped to the root of a resource with a status subresource: {"rule": "self.status.actual \<= self.spec.maxDesired"}
+    -->
+
+    rule 表示将由 CEL 评估的表达式。参考： https://github.com/google/cel-spec。
+    rule 的作用域为模式中的 x-kubernetes-validation 扩展所在的位置。CEL 表达式中的 `self` 与作用域值绑定。
+    例子：rule 的作用域是一个具有状态子资源的资源根：{"rule": "self.status.actual \<= self.spec.maxDesired"}。
+
+    <!--
+    If the Rule is scoped to an object with properties, the accessible properties of the object are field selectable via `self.field` and field presence can be checked via `has(self.field)`. Null valued fields are treated as absent fields in CEL expressions. If the Rule is scoped to an object with additionalProperties (i.e. a map) the value of the map are accessible via `self[mapKey]`, map containment can be checked via `mapKey in self` and all entries of the map are accessible via CEL macros and functions such as `self.all(...)`. If the Rule is scoped to an array, the elements of the array are accessible via `self[i]` and also by macros and functions. If the Rule is scoped to a scalar, `self` is bound to the scalar value. Examples: - Rule scoped to a map of objects: {"rule": "self.components['Widget'].priority \< 10"} - Rule scoped to a list of integers: {"rule": "self.values.all(value, value >= 0 && value \< 100)"} - Rule scoped to a string value: {"rule": "self.startsWith('kube')"}
+    -->
+
+    如果 rule 的作用域是一个带有属性的对象，那么该对象的可访问属性是通过 `self` 进行字段选择的，
+    并且可以通过 `has(self.field)` 来检查字段是否存在。在 CEL 表达式中，Null 字段被视为不存在的字段。
+    如果该 rule 的作用域是一个带有附加属性的对象（例如一个 map），那么该 map 的值可以通过
+    `self[mapKey]`来访问，map 是否包含某主键可以通过 `mapKey in self` 来检查。
+    map 中的所有条目都可以通过 CEL 宏和函数（如 `self.all(...)`）访问。
+    如果 rule 的作用域是一个数组，数组的元素可以通过 `self[i]` 访问，也可以通过宏和函数访问。
+    如果 rule 的作用域为标量，`self` 绑定到标量值。举例：
+
+    - rule 作用域为对象映射：{"rule": "self.components['Widget'].priority \< 10"}
+    - rule 作用域为整数列表：{"rule": "self.values.all(value, value >= 0 && value \< 100)"}
+    - rule 作用域为字符串值：{"rule": "self.startsWith('kube')"}
+
+    <!--
+    The `apiVersion`, `kind`, `metadata.name` and `metadata.generateName` are always accessible from the root of the object and from any x-kubernetes-embedded-resource annotated objects. No other metadata properties are accessible.
+    -->
+
+    `apiVersion`, `kind`, `metadata.name` 和 `metadata.generateName` 总是可以从对象的根和任何带
+    x-kubernetes-embedded-resource 注解的对象访问。其他元数据属性都无法访问。
+
+    <!--
+    Unknown data preserved in custom resources via x-kubernetes-preserve-unknown-fields is not accessible in CEL expressions. This includes: - Unknown field values that are preserved by object schemas with x-kubernetes-preserve-unknown-fields. - Object properties where the property schema is of an "unknown type". An "unknown type" is recursively defined as:
+      - A schema with no type and x-kubernetes-preserve-unknown-fields set to true
+      - An array where the items schema is of an "unknown type"
+      - An object where the additionalProperties schema is of an "unknown type"
+    -->
+
+    在 CEL 表达式中无法访问通过 x-kubernetes-preserve-unknown-fields 保存在自定义资源中的未知数据。
+    这包括：
+
+    - 由包含 x-kubernetes-preserve-unknown-fields 的对象模式所保留的未知字段值；
+    - 属性模式为 "未知类型" 的对象属性。"未知类型" 递归定义为：
+
+      - 没有设置 type 但 x-kubernetes-preserve-unknown-fields 设置为 true 的模式。
+      - 条目模式为"未知类型"的数组。
+      - additionalProperties 模式为"未知类型"的对象。
+
+    <!--
+    Only property names of the form `[a-zA-Z_.-/][a-zA-Z0-9_.-/]*` are accessible. Accessible property names are escaped according to the following rules when accessed in the expression: - '__' escapes to '__underscores__' - '.' escapes to '__dot__' - '-' escapes to '__dash__' - '/' escapes to '__slash__' - Property names that exactly match a CEL RESERVED keyword escape to '__{keyword}__'. The keywords are:
+        "true", "false", "null", "in", "as", "break", "const", "continue", "else", "for", "function", "if",
+        "import", "let", "loop", "package", "namespace", "return".
+    Examples:
+      - Rule accessing a property named "namespace": {"rule": "self.__namespace__ > 0"}
+      - Rule accessing a property named "x-prop": {"rule": "self.x__dash__prop > 0"}
+      - Rule accessing a property named "redact__d": {"rule": "self.redact__underscores__d > 0"}
+    -->
+
+    只有名称符合正则表达式 `[a-zA-Z_.-/][a-zA-Z0-9_.-/]*`  的属性才可被访问。
+    在表达式中访问属性时，可访问的属性名称根据以下规则进行转义：
+
+    - '__' 转义为 '__underscores__'
+    - '.' 转义为 '__dot__'
+    - '-' 转义为 '__dash__'
+    - '/' 转义为 '__slash__'
+    - 恰好匹配 CEL 保留关键字的属性名称转义为 '__{keyword}__' 。这里的关键字具体包括：
+        "true"，"false"，"null"，"in"，"as"，"break"，"const"，"continue"，"else"，"for"，"function"，"if"，
+        "import"，"let"，"loop"，"package"，"namespace"，"return"。
+    举例：
+
+      - 规则访问名为 "namespace" 的属性：`{"rule": "self.__namespace__ > 0"}`
+      - 规则访问名为 "x-prop" 的属性：`{"rule": "self.x__dash__prop > 0"}`
+      - 规则访问名为 "redact__d" 的属性：`{"rule": "self.redact__underscores__d > 0"}`
+
+    <!--
+    Equality on arrays with x-kubernetes-list-type of 'set' or 'map' ignores element order, i.e. [1, 2] == [2, 1]. Concatenation on arrays with x-kubernetes-list-type use the semantics of the list type:
+    - 'set': `X + Y` performs a union where the array positions of all elements in `X` are preserved and
+      non-intersecting elements in `Y` are appended, retaining their partial order.
+    - 'map': `X + Y` performs a merge where the array positions of all keys in `X` are preserved but the values
+      are overwritten by values in `Y` when the key sets of `X` and `Y` intersect. Elements in `Y` with
+      non-intersecting keys are appended, retaining their partial order.
+    -->
+
+    对 x-kubernetes-list-type 为 'set' 或 'map' 的数组进行比较时忽略元素顺序，如：[1, 2] == [2, 1]。
+    使用 x-kubernetes-list-type 对数组进行串接使用下列类型的语义：
+
+    - 'set'：`X + Y` 执行合并，其中 `X` 保留所有元素的数组位置，并附加不相交的元素 `Y`，保留其局部顺序。
+    - 'map'：`X + Y` 执行合并，保留 `X` 中所有键的数组位置，但当 `X` 和 `Y` 的键集相交时，会被 `Y` 中的值覆盖。
+      添加 `Y` 中具有不相交键的元素，保持其局顺序。
+
+  - **x-kubernetes-validations.message** (string)
+
+    <!--
+    Message represents the message displayed when validation fails. The message is required if the Rule contains line breaks. The message must not contain line breaks. If unset, the message is "failed rule: {Rule}". e.g. "must be a URL with the host matching spec.host"
+    -->
+
+    message 表示验证失败时显示的消息。如果规则包含换行符，则需要该消息。消息不能包含换行符。
+    如果未设置，则消息为 "failed rule: {Rule}"，如："must be a URL with the host matching spec.host"
+
+## CustomResourceDefinitionStatus {#CustomResourceDefinitionStatus}
+<!--
+CustomResourceDefinitionStatus indicates the state of the CustomResourceDefinition
+-->
+CustomResourceDefinitionStatus 表示 CustomResourceDefinition 的状态
+
+<hr>
+
+- **acceptedNames** (CustomResourceDefinitionNames)
+
+  <!--
+  acceptedNames are the names that are actually being used to serve discovery. They may be different than the names in spec.
+  -->
+
+  acceptedNames 是实际用于服务发现的名称。它们可能与规约（spec）中的名称不同。
+
+  <a name="CustomResourceDefinitionNames"></a>
+  <!--
+  *CustomResourceDefinitionNames indicates the names to serve this CustomResourceDefinition*
+
+  - **acceptedNames.kind** (string), required
+
+    kind is the serialized kind of the resource. It is normally CamelCase and singular. Custom resource instances will use this value as the `kind` attribute in API calls.
+  -->
+
+  **CustomResourceDefinitionNames 表示提供此 CustomResourceDefinition 资源的名称**
+
+  - **acceptedNames.kind** (string)，必需
+
+    kind 是资源的序列化类型。它通常是驼峰命名的单数形式。自定义资源实例将使用此值作为 API 调用中的 `kind` 属性。
+
+  <!--
+  - **acceptedNames.plural** (string), required
+
+    plural is the plural name of the resource to serve. The custom resources are served under `/apis/\<group>/\<version>/.../\<plural>`. Must match the name of the CustomResourceDefinition (in the form `\<names.plural>.\<group>`). Must be all lowercase.
+  -->
+
+  - **acceptedNames.plural** (string), required
+
+    plural 是所提供的资源的复数名称，自定义资源在 `/apis/<group>/<version>/.../<plural>` 下提供。
+    必须与 CustomResourceDefinition 的名称匹配（格式为 `<names.plural>.<group>`）。必须全部小写。
+
+  - **acceptedNames.categories** ([]string)
+
+    <!--
+    categories is a list of grouped resources this custom resource belongs to (e.g. 'all'). This is published in API discovery documents, and used by clients to support invocations like `kubectl get all`.
+    -->
+
+    categories 是此自定义资源所属的分组资源列表（例如 'all'）。
+    它在 API 发现文档中发布，并被客户端用于支持像 `kubectl get all` 这样的调用。
+
+  - **acceptedNames.listKind** (string)
+
+    <!--
+    listKind is the serialized kind of the list for this resource. Defaults to "`kind`List".
+    -->
+
+    listKind 是此资源列表的序列化类型。默认为 "`<kind>List`"。  
+
+  - **acceptedNames.shortNames** ([]string)
+
+    <!--
+    shortNames are short names for the resource, exposed in API discovery documents, and used by clients to support invocations like `kubectl get \<shortname>`. It must be all lowercase.
+    -->
+
+    shortNames 是资源的短名称，在 API 发现文档中公开，并支持客户端调用，如 `kubectl get <shortname>`。必须全部小写。  
+
+  - **acceptedNames.singular** (string)
+
+    <!--
+    singular is the singular name of the resource. It must be all lowercase. Defaults to lowercased `kind`.
+    -->
+
+    singular 是资源的单数名称。必须全部小写。默认为小写形式的 `kind`。
+
+- **conditions** ([]CustomResourceDefinitionCondition)
+
+  <!--
+  *Map: unique values on key type will be kept during a merge*
+  
+  conditions indicate state for particular aspects of a CustomResourceDefinition
+  -->
+
+  **Map：合并时将保留 type 键的唯一值**
+
+  conditions 表示 CustomResourceDefinition 特定方面的状态
+
+  <a name="CustomResourceDefinitionCondition"></a>
+  <!--
+  *CustomResourceDefinitionCondition contains details for the current condition of this pod.*
+
+  - **conditions.status** (string), required
+
+    status is the status of the condition. Can be True, False, Unknown.
+  -->
+
+  **CustomResourceDefinitionCondition 包含此 Pod 当前状况的详细信息。**
+
+  - **conditions.status** (string)，必需
+
+    status 表示状况（Condition）的状态，取值为 True、False 或 Unknown 之一。
+
+  <!--
+  - **conditions.type** (string), required
+
+    type is the type of the condition. Types include Established, NamesAccepted and Terminating.
+  -->
+
+  - **conditions.type** (string)，必需
+
+    type 是状况的类型。类型包括：Established、NamesAccepted 和 Terminating。
+
+  - **conditions.lastTransitionTime** (Time)
+
+    <!--
+    lastTransitionTime last time the condition transitioned from one status to another.
+    -->
+
+    lastTransitionTime 是上一次发生状况状态转换的时间。
+
+    <a name="Time"></a>
+    <!--
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+    -->
+
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**
+
+  - **conditions.message** (string)
+
+    <!--
+    message is a human-readable message indicating details about last transition.
+    -->
+
+    message 是有关上次转换的详细可读信息。
+
+  - **conditions.reason** (string)
+
+    <!--
+    reason is a unique, one-word, CamelCase reason for the condition's last transition.
+    -->
+
+    reason 表述状况上次转换原因的、驼峰格式命名的、唯一的一个词。
+
+- **storedVersions** ([]string)
+
+  <!--
+  storedVersions lists all versions of CustomResources that were ever persisted. Tracking these versions allows a migration path for stored versions in etcd. The field is mutable so a migration controller can finish a migration to another version (ensuring no old objects are left in storage), and then remove the rest of the versions from this list. Versions may not be removed from `spec.versions` while they exist in this list.
+  -->
+
+  storedVersions 列出了曾经被持久化的所有 CustomResources 版本。跟踪这些版本可以为 etcd 中的存储版本提供迁移路径。
+  该字段是可变的，因此迁移控制器可以完成到另一个版本的迁移（确保存储中没有遗留旧对象），然后从该列表中删除其余版本。
+  当版本在此列表中时，则不能从 `spec.versions` 中删除。
+
+## CustomResourceDefinitionList {#CustomResourceDefinitionList}
+<!--
+CustomResourceDefinitionList is a list of CustomResourceDefinition objects.
+-->
+CustomResourceDefinitionList 是 CustomResourceDefinition 对象的列表。
+
+<hr>
+
+<!--
+- **items** ([]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>), required
+
+  items list individual CustomResourceDefinition objects
+-->
+
+- **items** ([]<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>)，必需
+
+  items 列出单个 CustomResourceDefinition 对象
+
+- **apiVersion** (string)
+
+  <!--
+  APIVersion defines the versioned schema of this representation of an object. Servers should convert recognized schemas to the latest internal value, and may reject unrecognized values. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
+  -->
+
+  apiVersion 定义对象表示的版本化模式。服务器应将已识别的模式转换为最新的内部值，并可能拒绝未识别的值。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
+
+- **kind** (string)
+
+  <!--
+  Kind is a string value representing the REST resource this object represents. Servers may infer this from the endpoint the client submits requests to. Cannot be updated. In CamelCase. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+  -->
+
+  kind 是一个字符串值，表示该对象所表示的 REST 资源。服务器可以从客户端提交请求的端点推断出 REST 资源。不能被更新。驼峰命名。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!--
+  Standard object's metadata More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+## Operations {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `get` 读取指定的 CustomResourceDefinition
+
+#### HTTP 请求
+
+GET /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `get` 读取指定 CustomResourceDefinition 的状态
+
+#### HTTP 请求
+
+GET /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `list` 列出或观察 CustomResourceDefinition 类型的对象
+
+#### HTTP 请求
+
+GET /apis/apiextensions.k8s.io/v1/customresourcedefinitions
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **allowWatchBookmarks** <!--(*in query*):-->（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** <!--(*in query*):-->（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinitionList" >}}">CustomResourceDefinitionList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `create` 创建一个 CustomResourceDefinition
+
+#### HTTP 请求
+
+POST /apis/apiextensions.k8s.io/v1/customresourcedefinitions
+
+<!--
+#### Parameters
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>, required
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>，必需
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Created
+
+202 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `update` 替换指定的 CustomResourceDefinition
+
+#### HTTP 请求
+
+PUT /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>, required
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>，必需
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `update` 替换指定 CustomResourceDefinition 的状态
+
+#### HTTP 请求
+
+PUT /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>, required
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **body**: <a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>，必需
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 CustomResourceDefinition
+
+#### HTTP 请求
+
+PATCH /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*):-->（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty**<!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定 CustomResourceDefinition 的状态
+
+#### HTTP 请求
+
+PATCH /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+
+  CustomResourceDefinition 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*):-->（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/custom-resource-definition-v1#CustomResourceDefinition" >}}">CustomResourceDefinition</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `delete` 删除一个 CustomResourceDefinition
+
+#### HTTP 请求
+
+DELETE /apis/apiextensions.k8s.io/v1/customresourcedefinitions/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the CustomResourceDefinition
+-->
+#### 参数
+
+- **name** （**路径参数**）：string，必需
+  
+  CustomResourceDefinition 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of CustomResourceDefinition
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 CustomResourceDefinition 的集合
+
+#### HTTP 请求
+
+DELETE /apis/apiextensions.k8s.io/v1/customresourcedefinitions
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*):-->（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*):-->（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/extend-resources/mutating-webhook-configuration-v1.md b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/mutating-webhook-configuration-v1.md
new file mode 100644
index 00000000000..fc66eac31a2
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/mutating-webhook-configuration-v1.md
@@ -0,0 +1,1135 @@
+---
+api_metadata:
+apiVersion: "admissionregistration.k8s.io/v1"
+import: "k8s.io/api/admissionregistration/v1"
+kind: "MutatingWebhookConfiguration"
+content_type: "api_reference"
+description: "MutatingWebhookConfiguration 描述准入 Webhook 的配置，该 Webhook 可在更改对象的情况下接受或拒绝对象请求"
+title: "MutatingWebhookConfiguration"
+weight: 2
+---
+
+<!-- 
+api_metadata:
+  apiVersion: "admissionregistration.k8s.io/v1"
+  import: "k8s.io/api/admissionregistration/v1"
+  kind: "MutatingWebhookConfiguration"
+content_type: "api_reference"
+description: "MutatingWebhookConfiguration describes the configuration of and admission webhook that accept or reject and object without changing it."
+title: "MutatingWebhookConfiguration"
+weight: 3
+-->
+
+`apiVersion: admissionregistration.k8s.io/v1`
+
+`import "k8s.io/api/admissionregistration/v1"`
+
+## MutatingWebhookConfiguration {#MutatingWebhookConfiguration}
+
+<!-- 
+MutatingWebhookConfiguration describes the configuration of and admission webhook that accept or reject and may change the object.
+-->
+
+MutatingWebhookConfiguration 描述准入 Webhook 的配置，该 Webhook 可接受或拒绝对象请求，并且可能变更对象。
+
+<hr>
+
+- **apiVersion**: admissionregistration.k8s.io/v1
+
+- **kind**: MutatingWebhookConfiguration
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object metadata; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata. 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+<!-- 
+- **webhooks** ([]MutatingWebhook)
+
+  *Patch strategy: merge on key `name`*
+  
+  Webhooks is a list of webhooks and the affected resources and operations.
+
+  <a name="MutatingWebhook"></a>
+  *MutatingWebhook describes an admission webhook and the resources and operations it applies to.* 
+-->
+
+- **webhooks** ([]MutatingWebhook)
+
+  **补丁策略：根据 `name` 键执行合并操作**
+
+  webhooks 是 Webhook 及其所影响的资源和操作的列表。
+
+  <a name="MutatingWebhook"></a>
+  **MutatingWebhook 描述了一个准入 Webhook 及其适用的资源和操作。**
+
+  <!-- 
+  - **webhooks.admissionReviewVersions** ([]string), required
+
+    AdmissionReviewVersions is an ordered list of preferred `AdmissionReview` versions the Webhook expects. API server will try to use first version in the list which it supports. If none of the versions specified in this list supported by API server, validation will fail for this object. If a persisted webhook configuration specifies allowed versions and does not include any versions known to the API Server, calls to the webhook will fail and be subject to the failure policy. 
+  -->
+
+  - **webhooks.admissionReviewVersions** ([]string), 必需
+
+    admissionReviewVersions 是 Webhook 期望的 `AdmissionReview` 版本的优选顺序列表。
+    API 服务器将尝试使用它所支持的版本列表中的第一个版本。如果 API 服务器不支持此列表中设置的任何版本，则此对象将验证失败。
+    如果持久化的 Webhook 配置指定了所允许的版本，但其中不包括 API 服务器所知道的任何版本，
+    则对 Webhook 的调用将失败并根据失败策略进行处理。
+
+  <!-- 
+  - **webhooks.clientConfig** (WebhookClientConfig), required
+
+    ClientConfig defines how to communicate with the hook. Required
+
+    <a name="WebhookClientConfig"></a>
+    *WebhookClientConfig contains the information to make a TLS connection with the webhook* 
+  -->
+
+  - **webhooks.clientConfig** (WebhookClientConfig), 必需
+
+    clientConfig 定义了如何与 Webhook 通信。必需。
+
+    <a name="WebhookClientConfig"></a>
+    **WebhookClientConfig 包含与 Webhook 建立 TLS 连接的信息**
+
+      <!-- 
+      - **webhooks.clientConfig.caBundle** ([]byte)
+
+        `caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate. If unspecified, system trust roots on the apiserver are used. 
+      -->
+
+    - **webhooks.clientConfig.caBundle** ([]byte)
+
+      `caBundle` 是一个 PEM 编码的 CA 包，将用于验证 Webhook 的服务证书。如果未指定，则使用 apiserver 上的系统信任根。
+
+    <!-- 
+    - **webhooks.clientConfig.service** (ServiceReference)
+
+      `service` is a reference to the service for this webhook. Either `service` or `url` must be specified.
+      
+      If the webhook is running within the cluster, then you should use `service`.
+
+      <a name="ServiceReference"></a>
+      *ServiceReference holds a reference to Service.legacy.k8s.io* 
+    -->
+
+    - **webhooks.clientConfig.service** (ServiceReference)
+
+      `service` 是对此 Webhook 的服务的引用。必须指定 `service` 或 `url` 之一。
+
+      如果 Webhook 在集群中运行，那么你应该使用 `service`。
+
+      <a name="ServiceReference"></a>
+      **ServiceReference 包含对 Service.legacy.k8s.io 的引用**
+
+        <!-- 
+        - **webhooks.clientConfig.service.name** (string), required
+
+          `name` is the name of the service. Required 
+        -->
+
+      - **webhooks.clientConfig.service.name** (string), 必需
+
+        `name` 是服务的名称。必需。
+
+      <!-- 
+      - **webhooks.clientConfig.service.namespace** (string), required
+
+        `namespace` is the namespace of the service. Required 
+      -->
+
+      - **webhooks.clientConfig.service.namespace** (string), 必需
+
+        `namespace` 是服务的命名空间。必需。
+
+      <!-- 
+      - **webhooks.clientConfig.service.path** (string)
+
+        `path` is an optional URL path which will be sent in any request to this service. 
+      -->
+
+      - **webhooks.clientConfig.service.path** (string)
+
+        `path` 是一个可选的 URL 路径，在针对此服务的所有请求中都会发送此路径。
+
+      <!-- 
+      - **webhooks.clientConfig.service.port** (int32)
+
+        If specified, the port on the service that hosting webhook. Default to 443 for backward compatibility. `port` should be a valid port number (1-65535, inclusive). 
+      -->
+
+      - **webhooks.clientConfig.service.port** (int32)
+
+        如果指定了，则为托管 Webhook 的服务上的端口。默认为 443 以实现向后兼容。
+        `port` 应该是一个有效的端口号（包括 1-65535）。
+
+    <!-- 
+    - **webhooks.clientConfig.url** (string)
+
+      `url` gives the location of the webhook, in standard URL form (`scheme://host:port/path`). Exactly one of `url` or `service` must be specified.
+      
+      The `host` should not refer to a service running in the cluster; use the `service` field instead. The host might be resolved via external DNS in some apiservers (e.g., `kube-apiserver` cannot resolve in-cluster DNS as that would be a layering violation). `host` may also be an IP address.
+      
+      Please note that using `localhost` or `127.0.0.1` as a `host` is risky unless you take great care to run this webhook on all hosts which run an apiserver which might need to make calls to this webhook. Such installs are likely to be non-portable, i.e., not easy to turn up in a new cluster.
+      
+      The scheme must be "https"; the URL must begin with "https://".
+      
+      A path is optional, and if present may be any string permissible in a URL. You may use the path to pass an arbitrary string to the webhook, for example, a cluster identifier.
+      
+      Attempting to use a user or basic auth e.g. "user:password@" is not allowed. Fragments ("#...") and query parameters ("?...") are not allowed, either. 
+    -->
+
+    - **webhooks.clientConfig.url** (string)
+
+      `url` 以标准 URL 形式（`scheme://host:port/path`）给出了 Webhook 的位置。必须指定 `url` 或 `service` 中的一个。
+
+      `host` 不能用来引用集群中运行的服务；这种情况应改用 `service` 字段。在某些 API 服务器上，可能会通过外部 DNS 解析 `host` 值。
+      （例如，`kube-apiserver` 无法解析集群内 DNS，因为这会违反分层原理）。`host` 也可以是 IP 地址。
+
+      请注意，使用 `localhost` 或 `127.0.0.1` 作为 `host` 是有风险的，除非你非常小心地在运行 apiserver 的所有主机上运行此 Webhook，
+      而这些 API 服务器可能需要调用此 Webhook。此类部署可能是不可移植的，即不容易在新集群中重复安装。
+
+      该方案必须是 “https”；URL 必须以 “https://” 开头。
+
+      路径是可选的，如果存在，可以是 URL 中允许的任何字符串。你可以使用路径将任意字符串传递给 Webhook，例如集群标识符。
+
+      不允许使用用户或基本身份验证，例如不允许使用 “user:password@”。
+      不允许使用片段（“#...”）和查询参数（“?...”）。
+
+  <!-- 
+  - **webhooks.name** (string), required
+
+    The name of the admission webhook. Name should be fully qualified, e.g., imagepolicy.kubernetes.io, where "imagepolicy" is the name of the webhook, and kubernetes.io is the name of the organization. Required. 
+  -->
+
+  - **webhooks.name** (string), 必需
+
+    准入 Webhook 的名称。应该是完全限定的名称，例如 imagepolicy.kubernetes.io，其中 “imagepolicy” 是 Webhook 的名称，
+    kubernetes.io 是组织的名称。必需。
+
+  <!-- 
+  - **webhooks.sideEffects** (string), required
+
+    SideEffects states whether this webhook has side effects. Acceptable values are: None, NoneOnDryRun (webhooks created via v1beta1 may also specify Some or Unknown). Webhooks with side effects MUST implement a reconciliation system, since a request may be rejected by a future step in the admission chain and the side effects therefore need to be undone. Requests with the dryRun attribute will be auto-rejected if they match a webhook with sideEffects == Unknown or Some. 
+  -->
+
+  - **webhooks.sideEffects** (string), 必需
+
+    sideEffects 说明此 Webhook 是否有副作用。可接受的值为：None、NoneOnDryRun（通过 v1beta1 创建的 Webhook 也可以指定 Some 或 Unknown）。
+    具有副作用的 Webhook 必须实现协调系统，因为请求可能会被准入链中的未来步骤拒绝，因此需要能够撤消副作用。
+    如果请求与带有 sideEffects == Unknown 或 Some 的 Webhook 匹配，则带有 dryRun 属性的请求将被自动拒绝。
+
+  <!-- 
+  - **webhooks.failurePolicy** (string)
+
+    FailurePolicy defines how unrecognized errors from the admission endpoint are handled - allowed values are Ignore or Fail. Defaults to Fail. 
+  -->
+
+  - **webhooks.failurePolicy** (string)
+
+    failurePolicy 定义如何处理来自准入端点的无法识别的错误 - 允许的值是 Ignore 或 Fail。默认为 Fail。
+
+  <!-- 
+  - **webhooks.matchPolicy** (string)
+
+    matchPolicy defines how the "rules" list is used to match incoming requests. Allowed values are "Exact" or "Equivalent".
+    
+    - Exact: match a request only if it exactly matches a specified rule. For example, if deployments can be modified via apps/v1, apps/v1beta1, and extensions/v1beta1, but "rules" only included `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]`, a request to apps/v1beta1 or extensions/v1beta1 would not be sent to the webhook.
+    
+    - Equivalent: match a request if modifies a resource listed in rules, even via another API group or version. For example, if deployments can be modified via apps/v1, apps/v1beta1, and extensions/v1beta1, and "rules" only included `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]`, a request to apps/v1beta1 or extensions/v1beta1 would be converted to apps/v1 and sent to the webhook.
+    
+    Defaults to "Equivalent" 
+  -->
+
+  - **webhooks.matchPolicy** (string)
+
+    matchPolicy 定义了如何使用 “rules” 列表来匹配传入的请求。允许的值为 “Exact” 或 “Equivalent”。
+
+    - Exact: 仅当请求与指定规则完全匹配时才匹配请求。
+      例如，如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改 deployments 资源，
+      但 “rules” 仅包含 `apiGroups:["apps"]、apiVersions:["v1"]、resources:["deployments"]`，
+      对 apps/v1beta1 或 extensions/v1beta1 的请求不会被发送到 Webhook。
+
+    - Equivalent: 如果针对的资源包含在 “rules” 中，即使请求是通过另一个 API 组或版本提交，也会匹配。
+      例如，如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改 deployments 资源，
+      并且 “rules” 仅包含 `apiGroups:["apps"]、apiVersions:["v1"]、resources:["deployments "]`，
+      对 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 Webhook。
+
+    默认为 “Equivalent”。
+
+  - **webhooks.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    <!-- 
+    NamespaceSelector decides whether to run the webhook on an object based on whether the namespace for that object matches the selector. If the object itself is a namespace, the matching is performed on object.metadata.labels. If the object is another cluster scoped resource, it never skips the webhook.
+
+    For example, to run the webhook on any objects whose namespace is not associated with "runlevel" of "0" or "1";  you will set the selector as follows: "namespaceSelector": {
+    -->
+
+    namespaceSelector 根据对象的命名空间是否与 selector 匹配来决定是否在该对象上运行 Webhook。
+    如果对象本身是 Namespace，则针对 object.metadata.labels 执行匹配。
+    如果对象是其他集群作用域资源，则永远不会跳过 Webhook 的匹配动作。
+
+    例如，为了针对 “runlevel” 不为 “0” 或 “1” 的名字空间中的所有对象运行 Webhook；
+    你可以按如下方式设置 selector :
+    ```
+    "namespaceSelector": {
+      "matchExpressions": [
+        {
+          "key": "runlevel",
+          "operator": "NotIn",
+          "values": [
+            "0",
+            "1"
+          ]
+        }
+      ]
+    }
+    ```
+    <!-- 
+    If instead you want to only run the webhook on any objects whose namespace is associated with the "environment" of "prod" or "staging"; you will set the selector as follows: "namespaceSelector": {
+    -->
+    
+    相反，如果你只想针对 “environment” 为 “prod” 或 “staging” 的名字空间中的对象运行 Webhook；
+    你可以按如下方式设置 selector:
+    ```
+    "namespaceSelector": {
+      "matchExpressions": [
+        {
+          "key": "environment",
+          "operator": "In",
+          "values": [
+            "prod",
+            "staging"
+          ]
+        }
+      ]
+    }
+    ```
+    <!-- 
+    See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/ for more examples of label selectors.
+
+    Default to the empty LabelSelector, which matches everything.  
+    -->
+
+    有关标签选择算符的更多示例，请参阅
+    https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/labels。
+
+    默认为空的 LabelSelector，匹配所有对象。
+
+  <!-- 
+  - **webhooks.objectSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    ObjectSelector decides whether to run the webhook based on if the object has matching labels. objectSelector is evaluated against both the oldObject and newObject that would be sent to the webhook, and is considered to match if either object matches the selector. A null object (oldObject in the case of create, or newObject in the case of delete) or an object that cannot have labels (like a DeploymentRollback or a PodProxyOptions object) is not considered to match. Use the object selector only if the webhook is opt-in, because end users may skip the admission webhook by setting the labels. Default to the empty LabelSelector, which matches everything. 
+  -->
+
+  - **webhooks.objectSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    objectSelector 根据对象是否具有匹配的标签来决定是否运行 Webhook。
+    objectSelector 针对将被发送到 Webhook 的 oldObject 和 newObject 进行评估，如果任一对象与选择器匹配，则视为匹配。
+    空对象（create 时为 oldObject，delete 时为 newObject）或不能有标签的对象（如 DeploymentRollback 或 PodProxyOptions 对象）
+    认为是不匹配的。
+    仅当 Webhook 支持时才能使用对象选择器，因为最终用户可以通过设置标签来跳过准入 Webhook。
+    默认为空的 LabelSelector，匹配所有内容。
+  
+
+  - **webhooks.reinvocationPolicy** (string)
+
+    <!-- 
+    reinvocationPolicy indicates whether this webhook should be called multiple times as part of a single admission evaluation. Allowed values are "Never" and "IfNeeded".
+
+        Never: the webhook will not be called more than once in a single admission evaluation.
+    
+    IfNeeded: the webhook will be called at least one additional time as part of the admission evaluation if the object being admitted is modified by other admission plugins after the initial webhook call. Webhooks that specify this option *must* be idempotent, able to process objects they previously admitted. Note: * the number of additional invocations is not guaranteed to be exactly one. * if additional invocations result in further modifications to the object, webhooks are not guaranteed to be invoked again. * webhooks that use this option may be reordered to minimize the number of additional invocations. * to validate an object after all mutations are guaranteed complete, use a validating admission webhook instead.
+    
+    Defaults to "Never". 
+    -->
+
+    reinvocationPolicy 表示这个 Webhook 是否可以被多次调用，作为一次准入评估的一部分。可取值有 “Never” 和 “IfNeeded”。
+
+    - Never: 在一次录取评估中，Webhook 被调用的次数不会超过一次。
+    - IfNeeded：如果被录取的对象在被最初的 Webhook 调用后又被其他录取插件修改，
+      那么该 Webhook 将至少被额外调用一次作为录取评估的一部分。
+      指定此选项的 Webhook  **必须**是幂等的，能够处理它们之前承认的对象。
+      注意：**不保证额外调用的次数正好为1。**
+      如果额外的调用导致对对象的进一步修改，Webhook 不保证会再次被调用。
+      **使用该选项的 Webhook 可能会被重新排序，以最小化额外调用的数量。**
+      在保证所有的变更都完成后验证一个对象，使用验证性质的准入 Webhook 代替。
+
+    默认值为 “Never” 。
+
+  <!-- 
+  - **webhooks.rules** ([]RuleWithOperations)
+
+    Rules describes what operations on what resources/subresources the webhook cares about. The webhook cares about an operation if it matches _any_ Rule. However, in order to prevent ValidatingAdmissionWebhooks and MutatingAdmissionWebhooks from putting the cluster in a state which cannot be recovered from without completely disabling the plugin, ValidatingAdmissionWebhooks and MutatingAdmissionWebhooks are never called on admission requests for ValidatingWebhookConfiguration and MutatingWebhookConfiguration objects.
+
+    <a name="RuleWithOperations"></a>
+    *RuleWithOperations is a tuple of Operations and Resources. It is recommended to make sure that all the tuple expansions are valid.*
+  -->
+
+  - **webhooks.rules** ([]RuleWithOperations)
+
+    rules 描述了 Webhook 关心的资源/子资源上有哪些操作。Webhook 关心操作是否匹配**任何**rules。
+    但是，为了防止 ValidatingAdmissionWebhooks 和 ValidatingAdmissionWebhooks 将集群置于只能完全禁用插件才能恢复的状态，
+    ValidatingAdmissionWebhooks 和 ValidatingAdmissionWebhooks 永远不会在处理 ValidatingWebhookConfiguration
+    和 ValidatingWebhookConfiguration 对象的准入请求被调用。
+
+    <a name="RuleWithOperations"></a>
+    **RuleWithOperations 是操作和资源的元组。建议确保所有元组组合都是有效的。**
+
+    <!-- 
+    - **webhooks.rules.apiGroups** ([]string)
+
+      APIGroups is the API groups the resources belong to. '*' is all groups. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.apiGroups** ([]string)
+
+      apiGroups 是资源所属的 API 组列表。`*` 是所有组。
+      如果存在 `*`，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.apiVersions** ([]string)
+
+      APIVersions is the API versions the resources belong to. '*' is all versions. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.apiVersions** ([]string)
+
+      apiVersions 是资源所属的 API 版本列表。`*` 是所有版本。
+      如果存在 `*`，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.operations** ([]string)
+
+      Operations is the operations the admission hook cares about - CREATE, UPDATE, DELETE, CONNECT or * for all of those operations and any future admission operations that are added. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.operations** ([]string)
+
+      operations 是准入 Webhook 所关心的操作 —— CREATE、UPDATE、DELETE、CONNECT
+      或用来指代所有已知操作以及将来可能添加的准入操作的 `*`。
+      如果存在 `*`，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.resources** ([]string)
+
+      Resources is a list of resources this rule applies to.
+      
+      For example: 'pods' means pods. 'pods/log' means the log subresource of pods. '*' means all resources, but not subresources. 'pods/*' means all subresources of pods. '*/scale' means all scale subresources. '*/*' means all resources and their subresources.
+      
+      If wildcard is present, the validation rule will ensure resources do not overlap with each other.
+      
+      Depending on the enclosing object, subresources might not be allowed. Required. 
+    -->
+
+    - **webhooks.rules.resources** ([]string)
+
+      resources 是此规则适用的资源列表。
+
+      - `pods` 表示 pods，'pods/log' 表示 pods 的日志子资源。`*` 表示所有资源，但不是子资源。
+      - `pods/*` 表示 pods 的所有子资源,
+      - `*/scale` 表示所有 scale 子资源,
+      - `*/*` 表示所有资源及其子资源。
+
+      如果存在通配符，则验证规则将确保资源不会相互重叠。
+
+      根据所指定的对象，可能不允许使用子资源。必需。
+
+    <!-- 
+    - **webhooks.rules.scope** (string)
+
+      scope specifies the scope of this rule. Valid values are "Cluster", "Namespaced", and "*" "Cluster" means that only cluster-scoped resources will match this rule. Namespace API objects are cluster-scoped. "Namespaced" means that only namespaced resources will match this rule. "*" means that there are no scope restrictions. Subresources match the scope of their parent resource. Default is "*".
+    -->
+
+    - **webhooks.rules.scope** (string)
+
+      scope 指定此规则的范围。有效值为 “Cluster”, “Namespaced” 和 “*”。
+      “Cluster” 表示只有集群范围的资源才会匹配此规则。
+      Namespace API 对象是集群范围的。
+      “Namespaced” 意味着只有命名空间作用域的资源会匹配此规则。
+      “*” 表示没有范围限制。
+      子资源与其父资源的作用域相同。默认为 “*”。
+
+  <!-- 
+  - **webhooks.timeoutSeconds** (int32)
+
+    TimeoutSeconds specifies the timeout for this webhook. After the timeout passes, the webhook call will be ignored or the API call will fail based on the failure policy. The timeout value must be between 1 and 30 seconds. Default to 10 seconds. 
+  -->
+
+  - **webhooks.timeoutSeconds** (int32)
+
+    timeoutSeconds 指定此 Webhook 的超时时间。
+    超时后，Webhook 的调用将被忽略或 API 调用将根据失败策略失败。
+    超时值必须在 1 到 30 秒之间。默认为 10 秒。
+
+## MutatingWebhookConfigurationList {#MutatingWebhookConfigurationList}
+
+<!-- 
+MutatingWebhookConfigurationList is a list of MutatingWebhookConfiguration. 
+-->
+MutatingWebhookConfigurationList 是 MutatingWebhookConfiguration 的列表。
+
+<hr>
+
+- **apiVersion**: admissionregistration.k8s.io/v1
+
+- **kind**: MutatingWebhookConfigurationList
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds。
+
+<!-- 
+- **items** ([]<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>), required
+
+  List of MutatingWebhookConfiguration. 
+-->
+
+- **items** ([]<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>), 必需
+
+  MutatingWebhookConfiguration 列表。
+
+<!-- 
+## Operations {#Operations}  
+-->
+## 操作   {#operations}
+
+<hr>
+
+<!-- 
+### `get` read the specified MutatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `get` 读取指定的 MutatingWebhookConfiguration
+
+#### HTTP 请求
+
+GET /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the MutatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  MutatingWebhookConfiguration 的名称。
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+ 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind MutatingWebhookConfiguration
+
+#### HTTP Request
+-->
+### `list` 列出或观察 MutatingWebhookConfiguration 类型的对象
+
+#### HTTP 请求
+
+GET /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfigurationList" >}}">MutatingWebhookConfigurationList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a MutatingWebhookConfiguration
+
+#### HTTP Request
+-->
+### `create` 创建一个 MutatingWebhookConfiguration
+
+#### HTTP 请求
+
+POST /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+
+- **body**: <a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>, required
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): Created
+
+202 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified MutatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `update` 替换指定的 MutatingWebhookConfiguration
+
+#### HTTP 请求
+
+PUT /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the MutatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  MutatingWebhookConfiguration 的名称。
+
+<!-- 
+- **body**: <a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>, required
+-->
+
+- **body**: <a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified MutatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `patch` 部分更新指定的 MutatingWebhookConfiguration
+
+#### HTTP 请求
+
+PATCH /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the MutatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  MutatingWebhookConfiguration 的名称。
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/mutating-webhook-configuration-v1#MutatingWebhookConfiguration" >}}">MutatingWebhookConfiguration</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a MutatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `delete` 删除 MutatingWebhookConfiguration
+
+#### HTTP 请求
+
+DELETE /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the MutatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  MutatingWebhookConfiguration 的名称。
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of MutatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `deletecollection` 删除 MutatingWebhookConfiguration 的集合
+
+#### HTTP 请求
+
+DELETE /apis/admissionregistration.k8s.io/v1/mutatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
\ No newline at end of file
diff --git a/content/zh-cn/docs/reference/kubernetes-api/extend-resources/validating-webhook-configuration-v1.md b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/validating-webhook-configuration-v1.md
new file mode 100644
index 00000000000..23490411460
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/extend-resources/validating-webhook-configuration-v1.md
@@ -0,0 +1,1102 @@
+---
+api_metadata:
+  apiVersion: "admissionregistration.k8s.io/v1"
+  import: "k8s.io/api/admissionregistration/v1"
+  kind: "ValidatingWebhookConfiguration"
+content_type: "api_reference"
+description: "ValidatingWebhookConfiguration 描述准入 Webhook 的配置，该 Webhook 可在不更改对象的情况下接受或拒绝对象请求"
+title: "ValidatingWebhookConfiguration"
+weight: 3
+---
+
+<!-- 
+api_metadata:
+  apiVersion: "admissionregistration.k8s.io/v1"
+  import: "k8s.io/api/admissionregistration/v1"
+  kind: "ValidatingWebhookConfiguration"
+content_type: "api_reference"
+description: "ValidatingWebhookConfiguration describes the configuration of and admission webhook that accept or reject and object without changing it."
+title: "ValidatingWebhookConfiguration"
+weight: 3
+-->
+
+`apiVersion: admissionregistration.k8s.io/v1`
+
+`import "k8s.io/api/admissionregistration/v1"`
+
+## ValidatingWebhookConfiguration {#validatingWebhookConfiguration}
+
+<!-- 
+ValidatingWebhookConfiguration describes the configuration of and admission webhook that accept or reject and object without changing it.
+-->
+ValidatingWebhookConfiguration 描述准入 Webhook 的配置，该 Webhook 可在不更改对象的情况下接受或拒绝对象请求。
+
+<hr>
+
+- **apiVersion**: admissionregistration.k8s.io/v1
+
+- **kind**: ValidatingWebhookConfiguration
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object metadata; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata. 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+<!-- 
+- **webhooks** ([]ValidatingWebhook)
+
+  *Patch strategy: merge on key `name`*
+  
+  Webhooks is a list of webhooks and the affected resources and operations.
+
+  <a name="ValidatingWebhook"></a>
+  *ValidatingWebhook describes an admission webhook and the resources and operations it applies to.* 
+-->
+
+- **webhooks** ([]ValidatingWebhook)
+
+  **补丁策略：根据 `name` 键执行合并操作**
+  
+  webhooks 是 Webhook 以及受影响的资源和操作的列表。
+
+  <a name="ValidatingWebhook"></a>
+  **ValidatingWebhook 描述了一个准入 Webhook 及其适用的资源和操作。**
+
+  <!-- 
+  - **webhooks.admissionReviewVersions** ([]string), required
+
+    AdmissionReviewVersions is an ordered list of preferred `AdmissionReview` versions the Webhook expects. API server will try to use first version in the list which it supports. If none of the versions specified in this list supported by API server, validation will fail for this object. If a persisted webhook configuration specifies allowed versions and does not include any versions known to the API Server, calls to the webhook will fail and be subject to the failure policy. 
+  -->
+
+  - **webhooks.admissionReviewVersions** ([]string), 必需
+
+    admissionReviewVersions 是 Webhook 期望的首选 `AdmissionReview` 版本的有序列表。 
+    API 服务器将尝试使用它支持的列表中的第一个版本。如果 API 服务器不支持此列表中指定的版本，则此对象将验证失败。 
+    如果持久化的 Webhook 配置指定了允许的版本，并且不包括 API 服务器已知的任何版本，则对 Webhook 的调用将失败并受失败策略的约束。
+
+  <!-- 
+  - **webhooks.clientConfig** (WebhookClientConfig), required
+
+    ClientConfig defines how to communicate with the hook. Required
+
+    <a name="WebhookClientConfig"></a>
+    *WebhookClientConfig contains the information to make a TLS connection with the webhook* 
+  -->
+
+  - **webhooks.clientConfig** (WebhookClientConfig), 必需
+
+    clientConfig 定义了如何与 Webhook 通信。必需。
+
+    <a name="WebhookClientConfig"></a>
+    **WebhookClientConfig 包含与 Webhook 建立 TLS 连接的信息**
+
+    <!-- 
+    - **webhooks.clientConfig.caBundle** ([]byte)
+
+      `caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate. If unspecified, system trust roots on the apiserver are used. 
+    -->
+
+    - **webhooks.clientConfig.caBundle** ([]byte)
+
+      `caBundle` 是一个 PEM 编码的 CA 包，将用于验证 Webhook 的服务证书。如果未指定，则使用 apiserver 上的系统信任根。
+
+    <!-- 
+    - **webhooks.clientConfig.service** (ServiceReference)
+
+      `service` is a reference to the service for this webhook. Either `service` or `url` must be specified.
+      
+      If the webhook is rungg within the cluster, then you should use `service`.
+
+      <a name="ServiceReference"></a>
+      *ServiceReference holds a reference to Service.legacy.k8s.io* 
+    -->
+
+    - **webhooks.clientConfig.service** (ServiceReference)
+
+      `service` 是对此 Webhook 服务的引用。必须指定 `service` 或 `url`。
+      
+       如果 Webhook 在集群中运行，那么你应该使用 `service`。
+
+      <a name="ServiceReference"></a>
+      **ServiceReference 持有对 Service.legacy.k8s.io 的引用**
+
+      <!-- 
+      - **webhooks.clientConfig.service.name** (string), required
+
+        `name` is the name of the service. Required 
+      -->
+
+      - **webhooks.clientConfig.service.name** (string), 必需
+
+        `name` 是服务的名称。必需。
+
+      <!-- 
+      - **webhooks.clientConfig.service.namespace** (string), required
+
+        `namespace` is the namespace of the service. Required 
+      -->
+
+      - **webhooks.clientConfig.service.namespace** (string), 必需
+
+        `namespace` 是服务的命名空间。必需。
+
+      <!-- 
+      - **webhooks.clientConfig.service.path** (string)
+
+        `path` is an optional URL path which will be sent in any request to this service. 
+      -->
+
+      - **webhooks.clientConfig.service.path** (string)
+
+        `path` 是一个可选的 URL 路径，它将发送任何请求到此服务。
+
+      <!-- 
+      - **webhooks.clientConfig.service.port** (int32)
+
+        If specified, the port on the service that hosting webhook. Default to 443 for backward compatibility. `port` should be a valid port number (1-65535, inclusive). 
+      -->
+      
+      - **webhooks.clientConfig.service.port** (int32)
+
+        如果指定，则为托管 Webhook 的服务上的端口。默认为 443 以实现向后兼容性。`port` 应该是一个有效的端口号（包括 1-65535）。
+
+    <!-- 
+    - **webhooks.clientConfig.url** (string)
+
+      `url` gives the location of the webhook, in standard URL form (`scheme://host:port/path`). Exactly one of `url` or `service` must be specified.
+      
+      The `host` should not refer to a service running in the cluster; use the `service` field instead. The host might be resolved via external DNS in some apiservers (e.g., `kube-apiserver` cannot resolve in-cluster DNS as that would be a layering violation). `host` may also be an IP address.
+      
+      Please note that using `localhost` or `127.0.0.1` as a `host` is risky unless you take great care to run this webhook on all hosts which run an apiserver which might need to make calls to this webhook. Such installs are likely to be non-portable, i.e., not easy to turn up in a new cluster.
+      
+      The scheme must be "https"; the URL must begin with "https://".
+      
+      A path is optional, and if present may be any string permissible in a URL. You may use the path to pass an arbitrary string to the webhook, for example, a cluster identifier.
+      
+      Attempting to use a user or basic auth e.g. "user:password@" is not allowed. Fragments ("#...") and query parameters ("?...") are not allowed, either. 
+    -->
+
+    - **webhooks.clientConfig.url** (string)
+
+      `url` 以标准 URL 形式（`scheme://host:port/path`）给出了 Webhook 的位置。必须指定 `url` 或 `service` 中的一个。
+      
+      `host` 不应指代在集群中运行的服务；请改用 `service` 字段。在某些 apiserver 中，可能会通过外部 DNS 解析 `host`。
+      （例如，`kube-apiserver` 无法解析集群内 DNS，因为这会违反分层原理）。`host` 也可以是 IP 地址。
+      
+      请注意，使用 `localhost` 或 `127.0.0.1` 作为 `host` 是有风险的，除非你非常小心地在运行 apiserver 的所有主机上运行此 Webhook，
+      而这些 API 服务器可能需要调用此 Webhook。此类部署可能是不可移植的，即不容易在新集群中重复安装。
+      
+      该方案必须是 “https”；URL 必须以 “https://” 开头。
+      
+      路径是可选的，如果存在，可以是 URL 中允许的任何字符串。你可以使用路径将任意字符串传递给 Webhook，例如集群标识符。
+      
+      不允许使用用户或基本身份验证，例如不允许使用 “user:password@”。
+      不允许使用片段（“#...”）和查询参数（“?...”）。
+
+  <!-- 
+  - **webhooks.name** (string), required
+
+    The name of the admission webhook. Name should be fully qualified, e.g., imagepolicy.kubernetes.io, where "imagepolicy" is the name of the webhook, and kubernetes.io is the name of the organization. Required. 
+  -->
+
+  - **webhooks.name** (string), 必需
+
+    准入 Webhook 的名称。应该是完全限定的名称，例如 imagepolicy.kubernetes.io，其中 “imagepolicy” 是 Webhook 的名称，
+    kubernetes.io 是组织的名称。必需。
+
+  <!-- 
+  - **webhooks.sideEffects** (string), required
+
+    SideEffects states whether this webhook has side effects. Acceptable values are: None, NoneOnDryRun (webhooks created via v1beta1 may also specify Some or Unknown). Webhooks with side effects MUST implement a reconciliation system, since a request may be rejected by a future step in the admission chain and the side effects therefore need to be undone. Requests with the dryRun attribute will be auto-rejected if they match a webhook with sideEffects == Unknown or Some. 
+  -->
+
+  - **webhooks.sideEffects** (string), 必需
+
+   sideEffects 说明此 Webhook 是否有副作用。可接受的值为：None、NoneOnDryRun（通过 v1beta1 创建的 Webhook 也可以指定 Some 或 Unknown）。
+   具有副作用的 Webhook 必须实现协调系统，因为请求可能会被准入链中的未来步骤拒绝，因此需要能够撤消副作用。 
+   如果请求与带有 sideEffects == Unknown 或 Some 的 Webhook 匹配，则带有 dryRun 属性的请求将被自动拒绝。
+
+  <!-- 
+  - **webhooks.failurePolicy** (string)
+
+    FailurePolicy defines how unrecognized errors from the admission endpoint are handled - allowed values are Ignore or Fail. Defaults to Fail. 
+  -->
+
+  - **webhooks.failurePolicy** (string)
+
+    failurePolicy 定义了如何处理来自准入端点的无法识别的错误 - 允许的值是 Ignore 或 Fail。默认为 Fail。
+
+  <!-- 
+  - **webhooks.matchPolicy** (string)
+
+    matchPolicy defines how the "rules" list is used to match incoming requests. Allowed values are "Exact" or "Equivalent".
+    
+    - Exact: match a request only if it exactly matches a specified rule. For example, if deployments can be modified via apps/v1, apps/v1beta1, and extensions/v1beta1, but "rules" only included `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]`, a request to apps/v1beta1 or extensions/v1beta1 would not be sent to the webhook.
+    
+    - Equivalent: match a request if modifies a resource listed in rules, even via another API group or version. For example, if deployments can be modified via apps/v1, apps/v1beta1, and extensions/v1beta1, and "rules" only included `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]`, a request to apps/v1beta1 or extensions/v1beta1 would be converted to apps/v1 and sent to the webhook.
+    
+    Defaults to "Equivalent" 
+  -->
+
+  - **webhooks.matchPolicy** (string)
+
+    matchPolicy 定义了如何使用 "rules" 列表来匹配传入的请求。允许的值为 "Exact" 或 "Equivalent"。
+
+    - Exact: 仅当请求与指定规则完全匹配时才匹配请求。
+    例如，如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改 deployments 资源，
+    但 “rules” 仅包含 `apiGroups:["apps"]、apiVersions:["v1"]、resources:["deployments "]`，
+    对 apps/v1beta1 或 extensions/v1beta1 的请求不会被发送到 Webhook。
+
+    - Equivalent: 如果针对的资源包含在 “rules” 中，即使是通过另一个 API 组或版本，也视作匹配请求。 
+    例如，如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改 deployments 资源，
+    并且 “rules” 仅包含 `apiGroups:["apps"]、apiVersions:["v1"]、resources:["deployments "]`，
+    对 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 Webhook。
+    
+    默认为 “Equivalent”。
+ 
+  - **webhooks.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    <!-- 
+    NamespaceSelector decides whether to run the webhook on an object based on whether the namespace for that object matches the selector. If the object itself is a namespace, the matching is performed on object.metadata.labels. If the object is another cluster scoped resource, it never skips the webhook.
+    
+    For example, to run the webhook on any objects whose namespace is not associated with "runlevel" of "0" or "1";  you will set the selector as follows:   
+    -->
+    namespaceSelector 根据对象的命名空间是否与 selector 匹配来决定是否在该对象上运行 Webhook。 
+    如果对象本身是命名空间，则在 object.metadata.labels 上执行匹配。
+    如果对象是另一个集群范围的资源，则永远不会跳过 Webhook 执行匹配。
+    
+    例如，在命名空间与 “0” 或 “1” 的 “runlevel” 不关联的任何对象上运行 Webhook；
+    你可以按如下方式设置 selector : 
+    ```
+    "namespaceSelector": {
+      "matchExpressions": [
+        {
+          "key": "runlevel",
+          "operator": "NotIn",
+          "values": [
+            "0",
+            "1"
+          ]
+        }
+      ]
+    }
+    ```
+    <!-- 
+    If instead you want to only run the webhook on any objects whose namespace is associated with the "environment" of "prod" or "staging"; you will set the selector as follows:  
+    -->
+    相反，如果你只想在命名空间与 “prod” 或 “staging” 的 “environment” 相关联的对象上运行 Webhook；
+    你可以按如下方式设置 selector:
+    ```
+    "namespaceSelector": {
+      "matchExpressions": [
+        {
+          "key": "environment",
+          "operator": "In",
+          "values": [
+            "prod",
+            "staging"
+          ]
+        }
+      ]
+    }
+    ```
+    <!-- 
+    See https://kubernetes.io/docs/concepts/overview/working-with-objects/labels for more examples of label selectors.
+    
+    Default to the empty LabelSelector, which matches everything.  
+    -->
+    有关标签选择算符的更多示例，请参阅 
+    https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/labels。
+
+    默认为空的 LabelSelector，匹配所有对象。
+   
+  <!-- 
+  - **webhooks.objectSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    ObjectSelector decides whether to run the webhook based on if the object has matching labels. objectSelector is evaluated against both the oldObject and newObject that would be sent to the webhook, and is considered to match if either object matches the selector. A null object (oldObject in the case of create, or newObject in the case of delete) or an object that cannot have labels (like a DeploymentRollback or a PodProxyOptions object) is not considered to match. Use the object selector only if the webhook is opt-in, because end users may skip the admission webhook by setting the labels. Default to the empty LabelSelector, which matches everything. 
+  -->
+
+  - **webhooks.objectSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    objectSelector 根据对象是否具有匹配的标签来决定是否运行 Webhook。 
+    objectSelector 针对将被发送到 Webhook 的 oldObject 和 newObject 进行评估，如果任一对象与选择器匹配，则视为匹配。 
+    空对象（create 时为 oldObject，delete 时为 newObject）或不能有标签的对象（如 DeploymentRollback 或 PodProxyOptions 对象）
+    认为是不匹配的。 
+    仅当 Webhook 支持时才能使用对象选择器，因为最终用户可以通过设置标签来跳过准入 webhook。
+    默认为空的 LabelSelector，匹配所有内容。
+
+  <!-- 
+  - **webhooks.rules** ([]RuleWithOperations)
+
+    Rules describes what operations on what resources/subresources the webhook cares about. The webhook cares about an operation if it matches _any_ Rule. However, in order to prevent ValidatingAdmissionWebhooks and MutatingAdmissionWebhooks from putting the cluster in a state which cannot be recovered from without completely disabling the plugin, ValidatingAdmissionWebhooks and MutatingAdmissionWebhooks are never called on admission requests for ValidatingWebhookConfiguration and MutatingWebhookConfiguration objects. 
+
+    <a name="RuleWithOperations"></a>
+    *RuleWithOperations is a tuple of Operations and Resources. It is recommended to make sure that all the tuple expansions are valid.*
+  -->
+
+  - **webhooks.rules** ([]RuleWithOperations)
+
+    rules 描述了 Webhook 关心的资源/子资源上有哪些操作。Webhook 关心操作是否匹配**任何**rules。
+    但是，为了防止 ValidatingAdmissionWebhooks 和 MutatingAdmissionWebhooks 将集群置于只能完全禁用插件才能恢复的状态，
+    ValidatingAdmissionWebhooks 和 MutatingAdmissionWebhooks 永远不会在处理 ValidatingWebhookConfiguration 
+    和 MutatingWebhookConfiguration 对象的准入请求被调用。
+
+    <a name="RuleWithOperations"></a>
+    **RuleWithOperations 是操作和资源的元组。建议确保所有元组组合都是有效的。**
+
+    <!-- 
+    - **webhooks.rules.apiGroups** ([]string)
+
+      APIGroups is the API groups the resources belong to. '*' is all groups. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.apiGroups** ([]string)
+
+      apiGroups 是资源所属的 API 组列表。'*' 是所有组。
+      如果存在 '*'，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.apiVersions** ([]string)
+
+      APIVersions is the API versions the resources belong to. '*' is all versions. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.apiVersions** ([]string)
+
+      apiVersions 是资源所属的 API 版本列表。'*' 是所有版本。 
+      如果存在 '*'，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.operations** ([]string)
+
+      Operations is the operations the admission hook cares about - CREATE, UPDATE, DELETE, CONNECT or * for all of those operations and any future admission operations that are added. If '*' is present, the length of the slice must be one. Required. 
+    -->
+
+    - **webhooks.rules.operations** ([]string)
+
+      operations 是准入 Webhook 所关心的操作 —— CREATE、UPDATE、DELETE、CONNECT
+      或用来指代所有已知操作以及将来可能添加的准入操作的 `*`。
+      如果存在 '*'，则列表的长度必须为 1。必需。
+
+    <!-- 
+    - **webhooks.rules.resources** ([]string)
+
+      Resources is a list of resources this rule applies to.
+      
+      For example: 'pods' means pods. 'pods/log' means the log subresource of pods. '*' means all resources, but not subresources. 'pods/*' means all subresources of pods. '*/scale' means all scale subresources. '*/*' means all resources and their subresources.
+      
+      If wildcard is present, the validation rule will ensure resources do not overlap with each other.
+      
+      Depending on the enclosing object, subresources might not be allowed. Required. 
+    -->
+
+    - **webhooks.rules.resources** ([]string)
+
+      resources 是此规则适用的资源列表。
+      
+      'pods' 表示 pods，'pods/log' 表示 pods 的日志子资源。'*' 表示所有资源，但不是子资源。
+      'pods/*' 表示 pods 的所有子资源, 
+      '*/scale' 表示所有 scale 子资源,
+      '*/*' 表示所有资源及其子资源。
+      
+      如果存在通配符，则验证规则将确保资源不会相互重叠。
+
+      根据所指定的对象，可能不允许使用子资源。必需。
+
+    <!-- 
+    - **webhooks.rules.scope** (string)
+
+      scope specifies the scope of this rule. Valid values are "Cluster", "Namespaced", and "*" "Cluster" means that only cluster-scoped resources will match this rule. Namespace API objects are cluster-scoped. "Namespaced" means that only namespaced resources will match this rule. "*" means that there are no scope restrictions. Subresources match the scope of their parent resource. Default is "*".
+    -->
+
+    - **webhooks.rules.scope** (string)
+
+      scope 指定此规则的范围。有效值为 "Cluster", "Namespaced" 和 "*"。
+      "Cluster" 表示只有集群范围的资源才会匹配此规则。 
+      Namespace API 对象是集群范围的。
+      "Namespaced" 意味着只有命名空间作用域的资源会匹配此规则。
+      "*" 表示没有范围限制。 
+      子资源与其父资源的作用域相同。默认为 "*"。
+
+  <!-- 
+  - **webhooks.timeoutSeconds** (int32)
+
+    TimeoutSeconds specifies the timeout for this webhook. After the timeout passes, the webhook call will be ignored or the API call will fail based on the failure policy. The timeout value must be between 1 and 30 seconds. Default to 10 seconds. 
+  -->
+
+  - **webhooks.timeoutSeconds** (int32)
+
+    timeoutSeconds 指定此 Webhook 的超时时间。超时后，Webhook 的调用将被忽略或 API 调用将根据失败策略失败。 
+    超时值必须在 1 到 30 秒之间。默认为 10 秒。
+
+## ValidatingWebhookConfigurationList {#ValidatingWebhookConfigurationList}
+
+<!-- 
+ValidatingWebhookConfigurationList is a list of ValidatingWebhookConfiguration. 
+-->
+ValidatingWebhookConfigurationList 是 ValidatingWebhookConfiguration 的列表。
+
+<hr>
+
+- **apiVersion**: admissionregistration.k8s.io/v1
+
+- **kind**: ValidatingWebhookConfigurationList
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据，更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds。
+
+<!-- 
+- **items** ([]<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>), required
+
+  List of ValidatingWebhookConfiguration. 
+-->
+
+- **items** ([]<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>), 必需
+
+  ValidatingWebhookConfiguration 列表。
+
+<!-- 
+## Operations {#Operations}  
+-->
+## 操作   {#operations}
+
+<hr>
+
+<!-- 
+### `get` read the specified ValidatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `get` 读取指定的 ValidatingWebhookConfiguration
+
+#### HTTP 请求
+
+GET /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the ValidatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  ValidatingWebhookConfiguration 的名称。
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+ 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind ValidatingWebhookConfiguration
+
+#### HTTP Request
+-->
+### `list` 列出或观察 ValidatingWebhookConfiguration 类型的对象
+
+#### HTTP 请求
+
+GET /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfigurationList" >}}">ValidatingWebhookConfigurationList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a ValidatingWebhookConfiguration
+
+#### HTTP Request
+-->
+### `create` 创建一个 ValidatingWebhookConfiguration
+
+#### HTTP 请求
+
+POST /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+
+- **body**: <a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>, required 
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): Created
+
+202 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified ValidatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `update` 替换指定的 ValidatingWebhookConfiguration
+
+#### HTTP 请求
+
+PUT /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the ValidatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  ValidatingWebhookConfiguration 的名称。
+
+<!-- 
+- **body**: <a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>, required 
+-->
+
+- **body**: <a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified ValidatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `patch` 部分更新指定的 ValidatingWebhookConfiguration
+
+#### HTTP 请求
+
+PATCH /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the ValidatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  ValidatingWebhookConfiguration 的名称。
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required 
+-->
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): OK
+
+201 (<a href="{{< ref "../extend-resources/validating-webhook-configuration-v1#ValidatingWebhookConfiguration" >}}">ValidatingWebhookConfiguration</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a ValidatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `delete` 删除 ValidatingWebhookConfiguration
+
+#### HTTP 请求
+
+DELETE /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}
+
+<!-- 
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the ValidatingWebhookConfiguration 
+-->
+#### 参数
+
+- **name** (**路径参数**): string, 必需
+
+  ValidatingWebhookConfiguration 的名称。
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of ValidatingWebhookConfiguration
+
+#### HTTP Request 
+-->
+### `deletecollection` 删除 ValidatingWebhookConfiguration 的集合
+
+#### HTTP 请求
+
+DELETE /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
\ No newline at end of file
diff --git a/content/zh-cn/docs/reference/kubernetes-api/policy-resources/limit-range-v1.md b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/limit-range-v1.md
new file mode 100644
index 00000000000..1ee5af68a3b
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/limit-range-v1.md
@@ -0,0 +1,658 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "LimitRange"
+content_type: "api_reference"
+description: "LimitRange 设置名字空间中每个资源类别的资源用量限制。"
+title: "LimitRange"
+weight: 1
+---
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "LimitRange"
+content_type: "api_reference"
+description: "LimitRange sets resource usage limits for each kind of resource in a Namespace."
+title: "LimitRange"
+weight: 1
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## LimitRange {#LimitRange}
+<!--
+LimitRange sets resource usage limits for each kind of resource in a Namespace.
+-->
+LimitRange 设置名字空间中每个资源类别的资源用量限制。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: LimitRange
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRangeSpec" >}}">LimitRangeSpec</a>)
+  Spec defines the limits enforced. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRangeSpec" >}}">LimitRangeSpec</a>)
+
+  spec 定义强制执行的限制。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## LimitRangeSpec {#LimitRangeSpec}
+
+<!--
+LimitRangeSpec defines a min/max usage limit for resources that match on kind.
+-->
+LimitRangeSpec 定义与类别匹配的资源的最小/最大使用限制。
+
+<hr>
+
+<!--
+- **limits** ([]LimitRangeItem), required
+  Limits is the list of LimitRangeItem objects that are enforced.
+
+  <a name="LimitRangeItem"></a>
+  *LimitRangeItem defines a min/max usage limit for any resource that matches on kind.*
+
+  - **limits.type** (string), required
+    Type of resource that this limit applies to.
+-->
+- **limits** ([]LimitRangeItem)，必需
+
+  limits 是强制执行的 LimitRangeItem 对象的列表。
+
+  <a name="LimitRangeItem"></a>
+  **LimitRangeItem 定义与类别匹配的任意资源的最小/最大使用限制。**
+
+  - **limits.type** (string)，必需
+
+    此限制应用到的资源的类型。
+
+  <!--
+  - **limits.default** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    Default resource requirement limit value by resource name if resource limit is omitted.
+
+  - **limits.defaultRequest** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    DefaultRequest is the default resource requirement request value by resource name if resource request is omitted.
+
+  - **limits.max** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    Max usage constraints on this kind by resource name.
+  -->
+
+  - **limits.default** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    资源限制被省略时按资源名称设定的默认资源要求限制值。
+
+  - **limits.defaultRequest** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    defaultRequest 是资源请求被省略时按资源名称设定的默认资源要求请求值。
+
+  - **limits.max** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    按资源名称针对这种类别的最大使用约束。
+
+  <!--
+  - **limits.maxLimitRequestRatio** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    MaxLimitRequestRatio if specified, the named resource must have a request and limit that are both non-zero where limit divided by request is less than or equal to the enumerated value; this represents the max burst for the named resource.
+
+  - **limits.min** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+    Min usage constraints on this kind by resource name.
+  -->
+
+  - **limits.maxLimitRequestRatio** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    如果指定 maxLimitRequestRatio，则所指定的资源必须设置非零的请求和限制值，
+    且限制除以请求小于或等于这里列举的值；此属性用来表示所指定资源的最大突发用量。
+
+  - **limits.min** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    按资源名称区分的，针对这种类别对象的最小用量约束。
+
+## LimitRangeList {#LimitRangeList}
+
+<!--
+LimitRangeList is a list of LimitRange items.
+-->
+LimitRangeList 是 LimitRange 项的列表。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: LimitRangeList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>), required
+  Items is a list of LimitRange objects. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>)，必需
+
+  items 是 LimitRange 对象的列表。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified LimitRange
+#### HTTP Request
+-->
+## 操作 {#Operations}
+<hr>
+
+### `get` 读取指定的 LimitRange
+#### HTTP 请求
+GET /api/v1/namespaces/{namespace}/limitranges/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the LimitRange
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  LimitRange 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind LimitRange
+#### HTTP Request
+-->
+### `list` 列出或监视 LimitRange 类别的对象
+#### HTTP 请求
+GET /api/v1/namespaces/{namespace}/limitranges
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRangeList" >}}">LimitRangeList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind LimitRange
+#### HTTP Request
+-->
+### `list` 列出或监视 LimitRange 类别的对象
+#### HTTP 请求
+GET /api/v1/limitranges
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRangeList" >}}">LimitRangeList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a LimitRange
+#### HTTP Request
+-->
+### `create` 创建 LimitRange
+#### HTTP 请求
+POST /api/v1/namespaces/{namespace}/limitranges
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): Created
+
+202 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified LimitRange
+#### HTTP Request
+-->
+### `update` 替换指定的 LimitRange
+#### HTTP 请求
+PUT /api/v1/namespaces/{namespace}/limitranges/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the LimitRange
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  LimitRange 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified LimitRange
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 LimitRange
+#### HTTP 请求
+PATCH /api/v1/namespaces/{namespace}/limitranges/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the LimitRange
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  LimitRange 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/limit-range-v1#LimitRange" >}}">LimitRange</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a LimitRange
+#### HTTP Request
+-->
+### `delete` 删除 LimitRange
+#### HTTP 请求
+DELETE /api/v1/namespaces/{namespace}/limitranges/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the LimitRange
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+
+  LimitRange 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of LimitRange
+#### HTTP Request
+-->
+### `deletecollection` 删除 LimitRange 的集合
+#### HTTP 请求
+DELETE /api/v1/namespaces/{namespace}/limitranges
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/policy-resources/network-policy-v1.md b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/network-policy-v1.md
new file mode 100644
index 00000000000..aeb49ad6742
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/network-policy-v1.md
@@ -0,0 +1,1551 @@
+---
+api_metadata:
+  apiVersion: "networking.k8s.io/v1"
+  import: "k8s.io/api/networking/v1"
+  kind: "NetworkPolicy"
+content_type: "api_reference"
+description: "NetworkPolicy 描述针对一组 Pod 所允许的网络流量。"
+title: "NetworkPolicy"
+weight: 3
+---
+<!--
+api_metadata:
+  apiVersion: "networking.k8s.io/v1"
+  import: "k8s.io/api/networking/v1"
+  kind: "NetworkPolicy"
+content_type: "api_reference"
+description: "NetworkPolicy describes what network traffic is allowed for a set of Pods."
+title: "NetworkPolicy"
+weight: 3
+auto_generated: true
+-->
+
+`apiVersion: networking.k8s.io/v1`
+
+`import "k8s.io/api/networking/v1"`
+
+
+## NetworkPolicy {#NetworkPolicy}
+
+<!--
+NetworkPolicy describes what network traffic is allowed for a set of Pods
+-->
+NetworkPolicy 描述针对一组 Pod 所允许的网络流量。
+
+<hr>
+
+- **apiVersion**: networking.k8s.io/v1
+
+- **kind**: NetworkPolicy
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicySpec" >}}">NetworkPolicySpec</a>)
+  <!--
+  Specification of the desired behavior for this NetworkPolicy.
+  -->
+  spec 定义特定网络策略所需的所有信息.
+
+- **status** (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicyStatus" >}}">NetworkPolicyStatus</a>)
+  <!--
+  Status is the current state of the NetworkPolicy. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+  status 是 NetworkPolicy 的当前状态。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## NetworkPolicySpec {#NetworkPolicySpec}
+
+<!--
+NetworkPolicySpec provides the specification of a NetworkPolicy
+-->
+NetworkPolicySpec 定义特定 NetworkPolicy 所需的所有信息.
+
+<hr>
+
+<!--
+- **podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>), required
+
+  Selects the pods to which this NetworkPolicy object applies. The array of ingress rules is applied to any pods selected by this field. Multiple network policies can select the same set of pods. In this case, the ingress rules for each are combined additively. This field is NOT optional and follows standard label selector semantics. An empty podSelector matches all pods in this namespace.
+-->
+- **podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)， 必需
+  
+  podSelector 选择此网络策略所适用的一组 Pod。一组 Ingress 入口策略将应用于此字段选择的所有 Pod。
+  多个网络策略可以选择同一组 Pod。
+  在这种情况下，这些列表条目的 Ingress 规则效果会被叠加。 此字段不是可选的，并且遵循标准标签选择算符语义。 
+  空值的 podSelector 匹配此命名空间中的所有 Pod。
+
+<!--
+- **policyTypes** ([]string)
+
+  List of rule types that the NetworkPolicy relates to. Valid options are ["Ingress"], ["Egress"], or ["Ingress", "Egress"]. If this field is not specified, it will default based on the existence of Ingress or Egress rules; policies that contain an Egress section are assumed to affect Egress, and all policies (whether or not they contain an Ingress section) are assumed to affect Ingress. If you want to write an egress-only policy, you must explicitly specify policyTypes [ "Egress" ]. Likewise, if you want to write a policy that specifies that no egress is allowed, you must specify a policyTypes value that include "Egress" (since such a policy would not include an Egress section and would otherwise default to just [ "Ingress" ]). This field is beta-level in 1.8
+-->
+- **policyTypes** ([]string)
+
+  NetworkPolicy 相关的规则类型列表。 有效选项为 `[“Ingress”]`，`[“Egress”]` 或 `[“Ingress”， “Egress”]`。 
+  如果不指定此字段，则默认值取决是否存在 Ingress 或 Egress 规则；规则里包含 Egress 部分的策略将会影响出站流量，
+  并且所有策略（无论它们是否包含 Ingress 部分）都将会影响 入站流量。
+  如果要仅定义出站流量策略，则必须明确指定 `[ "Egress" ]`。
+  同样，如果要定义一个指定拒绝所有出站流量的策略，则必须指定一个包含 “Egress” 的 policyTypes 值
+  （因为这样不包含 Egress 部分的策略，将会被默认为只有 [ "Ingress" ] )。 此字段在 1.8 中为 Beta。
+  
+<!--
+- **ingress** ([]NetworkPolicyIngressRule)
+
+  List of ingress rules to be applied to the selected pods. Traffic is allowed to a pod if there are no NetworkPolicies selecting the pod (and cluster policy otherwise allows the traffic), OR if the traffic source is the pod's local node, OR if the traffic matches at least one ingress rule across all of the NetworkPolicy objects whose podSelector matches the pod. If this field is empty then this NetworkPolicy does not allow any traffic (and serves solely to ensure that the pods it selects are isolated by default)
+
+  <a name="NetworkPolicyIngressRule"></a>
+  *NetworkPolicyIngressRule describes a particular set of traffic that is allowed to the pods matched by a NetworkPolicySpec's podSelector. The traffic must match both ports and from.*
+-->
+- **ingress** ([]NetworkPolicyIngressRule)
+
+  定义所选 Pod 的入站规则列表。在没有被任何 NetworkPolicy 选择到 Pod 的情况下（同时假定集群策略允许对应流量），
+  或者如果流量源是 Pod 的本地节点，或者流量与所有 NetworkPolicy 中的至少一个入站规则（Ingress) 匹配，
+  则进入 Pod 的流量是被允许的。如果此字段为空，则此 NetworkPolicy 不允许任何入站流量
+  （这种设置用来确保它所选择的 Pod 在默认情况下是被隔离的）。
+
+  <a name="NetworkPolicyIngressRule"></a>
+  **NetworkPolicyIngressRule 定义 NetworkPolicySpec 的 podSelector 所选 Pod 的入站规则的白名单列表，
+  流量必须同时匹配 ports 和 from 。**
+  
+  <!--
+  - **ingress.from** ([]NetworkPolicyPeer)
+
+    List of sources which should be able to access the pods selected for this rule. Items in this list are combined using a logical OR operation. If this field is empty or missing, this rule matches all sources (traffic not restricted by source). If this field is present and contains at least one item, this rule allows traffic only if the traffic matches at least one item in the from list.
+
+    <a name="NetworkPolicyPeer"></a>
+    *NetworkPolicyPeer describes a peer to allow traffic to/from. Only certain combinations of fields are allowed*
+  -->
+
+  - **ingress.from** ([]NetworkPolicyPeer)
+
+    流量来源列表，列表中的来源可以访问被此规则选中的 Pod。此列表中的流量来源使用逻辑或操作进行组合。
+    如果此字段为空值或缺失（未设置），
+    则此规则匹配所有流量来源（也即允许所有入站流量）。如果此字段存在并且至少包含一项来源，则仅当流量与来自列表中的至少一项匹配时，
+    此规则才允许流量访问被选中的 Pod 集合。
+
+    <a name="NetworkPolicyPeer"></a>
+    **NetworkPolicyPeer 描述了允许进出流量的对等点。 这个参数只允许某些字段组合** 
+  
+    <!--
+    - **ingress.from.ipBlock** (IPBlock)
+
+      IPBlock defines policy on a particular IPBlock. If this field is set then neither of the other fields can be.
+
+      <a name="IPBlock"></a>
+      *IPBlock describes a particular CIDR (Ex. "192.168.1.1/24","2001:db9::/64") that is allowed to the pods matched by a NetworkPolicySpec's podSelector. The except entry describes CIDRs that should not be included within this rule.*
+    -->  
+
+    - **ingress.from.ipBlock** (IPBlock)
+
+      IPBlock 针对特定的 IP CIDR 范围设置策略。如果设置了此字段，则不可以设置其他字段。
+
+      <a name="IPBlock"></a>
+      IPBlock 定义一个特定的 CIDR 范围（例如 `192.168.1.1/24`、`2001:db9::/64`），
+      来自这个 IP 范围的流量来源将会被允许访问与 NetworkPolicySpec 的 podSelector 匹配的 Pod 集合。 
+      except 字段则设置应排除在此规则之外的 CIDR 范围。
+
+      <!--
+      - **ingress.from.ipBlock.cidr** (string), required
+
+        CIDR is a string representing the IP Block Valid examples are "192.168.1.1/24" or "2001:db9::/64"
+
+      - **ingress.from.ipBlock.except** ([]string)
+
+        Except is a slice of CIDRs that should not be included within an IP Block Valid examples are "192.168.1.1/24" or "2001:db9::/64" Except values will be rejected if they are outside the CIDR range
+      -->
+      
+      - **ingress.from.ipBlock.cidr** (string), 必需
+
+        CIDR 是指定 IP 组块的字符串， 例如 `"192.168.1.1/24"` 或 `"2001:db9::/64"`。
+
+      - **ingress.from.ipBlock.except** ([]string)
+
+        except 是一个由 CIDR 范围组成的列表，其中指定的 CIDR 都应排除在此 IP 区块范围之外。
+        例如 `"192.168.1.1/24"` 或 `"2001:db9::/64"`。
+        如果 except 字段的值超出 ipBlock.cidr 的范围则被视为无效策略。
+
+    <!--
+    - **ingress.from.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      Selects Namespaces using cluster-scoped labels. This field follows standard label selector semantics; if present but empty, it selects all namespaces.
+      
+      If PodSelector is also set, then the NetworkPolicyPeer as a whole selects the Pods matching PodSelector in the Namespaces selected by NamespaceSelector. Otherwise it selects all Pods in the Namespaces selected by NamespaceSelector.
+    -->
+
+    - **ingress.from.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      此选择器使用集群范围标签来选择特定的 Namespace。此字段遵循标准标签选择算符语义；
+      如果此字段存在但为空值，则会选择所有名字空间。
+      
+      如果 podSelector 也被定义了, 那么 NetworkPolicyPeer 将选择那些同时满足 namespaceSelector 所选名字空间下
+      和 podSelector 规则匹配的 Pod。
+      反之选择 namespaceSelector 所选名字空间下所有的 Pod。  
+
+    <!--
+    - **ingress.from.podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      This is a label selector which selects Pods. This field follows standard label selector semantics; if present but empty, it selects all pods.
+      
+      If NamespaceSelector is also set, then the NetworkPolicyPeer as a whole selects the Pods matching PodSelector in the Namespaces selected by NamespaceSelector. Otherwise it selects the Pods matching PodSelector in the policy's own Namespace.
+    -->
+
+    - **ingress.from.podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      这个标签选择算符负责选择 Pod。该字段遵循标准标签选择算符语义；如果字段存在但为空值，则选择所有 Pod。
+
+      如果 namespaceSelector 也被定义，那么 NetworkPolicyPeer 将选择那些同时满足 namespaceSelector 定义的名字空间下
+      和 podSelector 规则匹配的 Pod。
+      反之会在策略所在的名字空间中选择与 podSelector 匹配的 Pod。
+
+  <!--
+  - **ingress.ports** ([]NetworkPolicyPort)
+
+    List of ports which should be made accessible on the pods selected for this rule. Each item in this list is combined using a logical OR. If this field is empty or missing, this rule matches all ports (traffic not restricted by port). If this field is present and contains at least one item, then this rule allows traffic only if the traffic matches at least one port in the list.
+
+    <a name="NetworkPolicyPort"></a>
+    *NetworkPolicyPort describes a port to allow traffic on*
+  -->
+
+  - **ingress.ports** ([]NetworkPolicyPort)
+
+    定义在此规则选中的 Pod 上应可访问的端口列表。此列表中的个项目使用逻辑或操作组合。如果此字段为空或缺失，
+    则此规则匹配所有端口（进入流量可访问任何端口）。
+    如果此字段存在并且包含至少一个有效值，则此规则仅在流量至少匹配列表中的一个端口时才允许访问。
+
+    <a name="NetworkPolicyPort"></a>
+    **NetworkPolicyPort 定义可以连接的端口**
+
+    <!--
+    - **ingress.ports.port** (IntOrString)
+
+      The port on the given protocol. This can either be a numerical or named port on a pod. If this field is not provided, this matches all port names and numbers. If present, only traffic on the specified protocol AND port will be matched.
+
+      <a name="IntOrString"></a>
+      *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+    -->
+
+    - **ingress.ports.port** (IntOrString)
+
+      给定协议上的端口。字段值可以是 Pod 上的数字或命名端口。如果未提供此字段，则匹配所有端口名和端口号。 
+      如果定义了，则仅允许对给定的协议和端口的入口流量。
+
+      <a name="IntOrString"></a>
+      IntOrString 是一种可以包含 int32 或字符串值的类型。在 JSON 或 YAML 编组和解组中使用时，它会生成或使用内部类型。 
+      例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。
+
+    <!--
+    - **ingress.ports.endPort** (int32)
+
+      If set, indicates that the range of ports from port to endPort, inclusive, should be allowed by the policy. This field cannot be defined if the port field is not defined or if the port field is defined as a named (string) port. The endPort must be equal or greater than port. This feature is in Beta state and is enabled by default. It can be disabled using the Feature Gate "NetworkPolicyEndPort".
+
+    - **ingress.ports.protocol** (string)
+
+      The protocol (TCP, UDP, or SCTP) which traffic must match. If not specified, this field defaults to TCP.
+    -->
+
+    - **ingress.ports.endPort** (int32)
+
+      如果设置了此字段，则表明策略应该允许 port 与 endPort 之间（包含二者）的所有端口。
+      如果未定义 port 或将 port 字段值为命名端口（字符串），则不可以使用 endPort 。 
+      endPort 必须等于或大于 port 值。此功能是 Beta 阶段，默认启用。可以使用 “NetworkPolicyEndPort” 特性门控来禁用 endPort 。
+
+    - **ingress.ports.protocol** (string)
+
+      流量必须匹配的网络协议（TCP、UDP 或 SCTP）。如果未指定，此字段默认为 TCP。
+
+<!--
+- **egress** ([]NetworkPolicyEgressRule)
+
+  List of egress rules to be applied to the selected pods. Outgoing traffic is allowed if there are no NetworkPolicies selecting the pod (and cluster policy otherwise allows the traffic), OR if the traffic matches at least one egress rule across all of the NetworkPolicy objects whose podSelector matches the pod. If this field is empty then this NetworkPolicy limits all outgoing traffic (and serves solely to ensure that the pods it selects are isolated by default). This field is beta-level in 1.8
+
+  <a name="NetworkPolicyEgressRule"></a>
+  *NetworkPolicyEgressRule describes a particular set of traffic that is allowed out of pods matched by a NetworkPolicySpec's podSelector. The traffic must match both ports and to. This type is beta-level in 1.8*
+-->
+
+- **egress** ([]NetworkPolicyEgressRule)
+
+  egress 定义所选 Pod 的出站规则的列表。如果没有 NetworkPolicy 选中指定 Pod（并且其他集群策略也允许出口流量），
+  或者在所有通过 podSelector 选中了某 Pod 的 NetworkPolicy 中，至少有一条出站规则与出站流量匹配，
+  则该 Pod 的出站流量是被允许的。
+  如果此字段为空，则此 NetworkPolicy 拒绝所有出站流量（这策略可以确保它所选中的 Pod 在默认情况下是被隔离的）。 
+  egress 字段在 1.8 中为 Beta 级别。
+
+  <a name="NetworkPolicyEgressRule"></a>
+  NetworkPolicyEgressRule 针对被 NetworkPolicySpec 的 podSelector 所选中 Pod，描述其被允许的出站流量。
+  流量必须同时匹配 ports 和 to 设置。此类型在 1.8 中为 Beta 级别。
+
+  <!--
+  - **egress.to** ([]NetworkPolicyPeer)
+
+    List of destinations for outgoing traffic of pods selected for this rule. Items in this list are combined using a logical OR operation. If this field is empty or missing, this rule matches all destinations (traffic not restricted by destination). If this field is present and contains at least one item, this rule allows traffic only if the traffic matches at least one item in the to list.
+
+    <a name="NetworkPolicyPeer"></a>
+    *NetworkPolicyPeer describes a peer to allow traffic to/from. Only certain combinations of fields are allowed*
+  -->
+
+  - **egress.to** ([]NetworkPolicyPeer)
+
+    针对此规则所选择的 Pod 的出口流量的目的地列表。此列表中的目的地使用逻辑或操作进行组合。 如果此字段为空或缺失，
+    则此规则匹配所有目的地（流量不受目的地限制）。 如果此字段存在且至少包含一项目的地，则仅当流量与目标列表中的至少一个匹配时，
+    此规则才允许出口流量。
+
+    <a name="NetworkPolicyPeer"></a>
+    **NetworkPolicyPeer 描述允许进出流量的对等点。这个对象只允许某些字段组合。** 
+
+    <!--
+    - **egress.to.ipBlock** (IPBlock)
+
+      IPBlock defines policy on a particular IPBlock. If this field is set then neither of the other fields can be.
+
+      <a name="IPBlock"></a>
+      *IPBlock describes a particular CIDR (Ex. "192.168.1.1/24","2001:db9::/64") that is allowed to the pods matched by a NetworkPolicySpec's podSelector. The except entry describes CIDRs that should not be included within this rule.*
+    -->
+
+    - **egress.to.ipBlock** (IPBlock)
+
+      ipBlock 针对特定的 IP 区块定义策略。如果设置了此字段，则其他不可以设置其他字段。
+
+      <a name="IPBlock"></a>
+      IPBlock 描述一个特定的 CIDR 范围（例如 `192.168.1.1/24`、`2001:db9::/64`），
+      与 NetworkPolicySpec 的 podSelector 匹配的 Pod 将被允许连接到这个 IP 范围，作为其出口流量目的地。 
+      except 字段则设置了不被此规则影响的 CIDR 范围。
+
+      <!--
+      - **egress.to.ipBlock.cidr** (string), required
+
+        CIDR is a string representing the IP Block Valid examples are "192.168.1.1/24" or "2001:db9::/64"
+
+      - **egress.to.ipBlock.except** ([]string)
+
+        Except is a slice of CIDRs that should not be included within an IP Block Valid examples are "192.168.1.1/24" or "2001:db9::/64" Except values will be rejected if they are outside the CIDR range
+      -->
+
+      - **egress.to.ipBlock.cidr** (string), 必需
+
+        CIDR 是用来表达 IP 组块的字符串，例如 `"192.168.1.1/24"` 或 `"2001:db9::/64"`。
+
+      - **egress.to.ipBlock.except** ([]string)
+
+        except 定义不应包含在 ipBlock 内的 CIDR 范围列表。例如 `"192.168.1.1/24"` 或 `"2001:db9::/64"`。
+        如果 except 的值超出 ipBlock.cidr 的范围则被拒绝。
+
+    <!--
+    - **egress.to.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      Selects Namespaces using cluster-scoped labels. This field follows standard label selector semantics; if present but empty, it selects all namespaces.
+      
+      If PodSelector is also set, then the NetworkPolicyPeer as a whole selects the Pods matching PodSelector in the Namespaces selected by NamespaceSelector. Otherwise it selects all Pods in the Namespaces selected by NamespaceSelector.
+    -->
+
+    - **egress.to.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      此选择算符使用集群范围标签来选择特定的名字空间。该字段遵循标准标签选择算符语义；如果字段存在但为空值，那会选择所有名字空间。
+      
+      如果 egress.to.podSelector 也被定义了, 那么 NetworkPolicyPeer 将选择那些同时满足 namespaceSelector 指定的名字空间下
+      和 podSelector 规则匹配的 Pod。
+      反之选择 namespaceSelector 指定的名字空间下所有的 Pod。
+
+    <!--
+    - **egress.to.podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      This is a label selector which selects Pods. This field follows standard label selector semantics; if present but empty, it selects all pods.
+      
+      If NamespaceSelector is also set, then the NetworkPolicyPeer as a whole selects the Pods matching PodSelector in the Namespaces selected by NamespaceSelector. Otherwise it selects the Pods matching PodSelector in the policy's own Namespace.
+    -->
+
+    - **egress.to.podSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      这个标签选择器负责选择一组 Pod。该字段遵循标准标签选择算符语义； 如果字段存在但为空值，则选择所有 Pod。
+
+      如果 egress.to.namespaceSelector 也被定义，则 NetworkPolicyPeer 将选择 namespaceSelector 所指定的名字空间下
+      和 podSelector 规则匹配的 Pod。
+      反之会在策略所属的名字空间中选择与 podSelector 匹配的 Pod。
+
+  <!--
+  - **egress.ports** ([]NetworkPolicyPort)
+
+    List of destination ports for outgoing traffic. Each item in this list is combined using a logical OR. If this field is empty or missing, this rule matches all ports (traffic not restricted by port). If this field is present and contains at least one item, then this rule allows traffic only if the traffic matches at least one port in the list.
+
+    <a name="NetworkPolicyPort"></a>
+    *NetworkPolicyPort describes a port to allow traffic on*
+  -->
+
+  - **egress.ports** ([]NetworkPolicyPort)
+
+    出站流量目的地的端口列表。此列表中的各个项目使用逻辑或操作进行组合。如果此字段为空或缺失，
+    则此规则匹配所有端口（可访问出口流量目的地的任何端口）。 如果此字段存在并且包含至少一个有效值，
+    则此规则仅在流量与列表中的至少一个端口匹配时才允许访问。
+
+    <a name="NetworkPolicyPort"></a>
+    **NetworkPolicyPort 定义出口流量目的地的端口**
+
+    <!--
+    - **egress.ports.port** (IntOrString)
+
+      The port on the given protocol. This can either be a numerical or named port on a pod. If this field is not provided, this matches all port names and numbers. If present, only traffic on the specified protocol AND port will be matched.
+
+      <a name="IntOrString"></a>
+      *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+
+    - **egress.ports.endPort** (int32)
+
+      If set, indicates that the range of ports from port to endPort, inclusive, should be allowed by the policy. This field cannot be defined if the port field is not defined or if the port field is defined as a named (string) port. The endPort must be equal or greater than port. This feature is in Beta state and is enabled by default. It can be disabled using the Feature Gate "NetworkPolicyEndPort".
+
+    - **egress.ports.protocol** (string)
+
+      The protocol (TCP, UDP, or SCTP) which traffic must match. If not specified, this field defaults to TCP.
+    -->
+
+    - **egress.ports.port** (IntOrString)
+
+      给定协议上的端口。字段值可以是 Pod 上的数字或命名端口。如果未提供此字段，则匹配所有端口名和端口号。 
+      如果定义此字段，则仅允许针对给定的协议和端口的出站流量。
+
+      <a name="IntOrString"></a>
+      IntOrString 是一种可以包含 int32 或字符串值的类型。在 JSON 或 YAML 编组和解组中使用时，它会生成或使用内部类型。 
+      例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。
+
+    - **egress.ports.endPort** (int32)
+
+      如果设置了 endPort，则用来指定策略所允许的从 port 到 endPort 的端口范围（包含边界值）。
+      如果未设置 port 或 port 字段值为端口名称（字符串），则不可以指定 endPort。 
+      endPort 必须等于或大于 port 值。此功能是 Beta 阶段，默认被启用。可以使用 “NetworkPolicyEndPort” 特性门控来禁用 endPort 。
+
+    - **egress.ports.protocol** (string)
+
+      流量必须匹配的网络协议（TCP、UDP 或 SCTP）。如果未指定，此字段默认为 TCP。
+
+## NetworkPolicyStatus {#NetworkPolicyStatus}
+
+<!--
+NetworkPolicyStatus describe the current state of the NetworkPolicy.
+-->
+
+NetworkPolicyStatus 描述有关此 NetworkPolicy 的当前状态。
+
+<hr>
+
+<!--
+- **conditions** ([]Condition)
+
+  *Patch strategy: merge on key `type`*
+  
+  *Map: unique values on key type will be kept during a merge*
+  
+  Conditions holds an array of metav1.Condition that describe the state of the NetworkPolicy. Current service state
+
+  <a name="Condition"></a>
+  *Condition contains details for one aspect of the current state of this API Resource.*
+-->
+
+- **conditions** ([]Condition)
+
+  **补丁策略：根据 `type` 键执行合并操作**
+  
+  **Map：键 type 的唯一值将在合并期间被保留**
+  
+  conditions 包含描述此 NetworkPolicy 状态的 metav1.Condition 数组，即当前服务状态。
+
+  <a name="Condition"></a>
+  **Condition 包含此 API 资源当前状态的一个方面的详细信息。** 
+
+  <!--
+  - **conditions.lastTransitionTime** (Time), required
+
+    lastTransitionTime is the last time the condition transitioned from one status to another. This should be when the underlying condition changed.  If that is not known, then using the time when the API field changed is acceptable.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time), 必需
+
+    lastTransitionTime 是状况最近一次从一种状态转换到另一种状态的时间。
+    这种变化通常出现在下层状况发生变化的时候。如果无法了解下层状况变化，使用 API 字段更改的时间也是可以接受的。
+
+    <a name="Time"></a>
+    Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+    time 包的许多工厂方法提供了包装器。
+
+  <!-- 
+  - **conditions.message** (string), required
+
+    message is a human readable message indicating details about the transition. This may be an empty string. 
+  -->
+
+  - **conditions.message** (string), 必需
+
+    message 是一条人类可读的消息，指示有关转换的详细信息。它可能是一个空字符串。
+
+  <!-- 
+  - **conditions.reason** (string), required
+
+    reason contains a programmatic identifier indicating the reason for the condition's last transition. Producers of specific condition types may define expected values and meanings for this field, and whether the values are considered a guaranteed API. The value should be a CamelCase string. This field may not be empty. 
+  -->
+
+  - **conditions.reason** (string), 必需
+
+    reason 包含一个程序标识符，指示状况最后一次转换的原因。
+    特定状况类型的生产者可以定义该字段的预期值和含义，以及这些值是否可被视为有保证的 API。
+    该值应该是 CamelCase 字符串。此字段不能为空。
+
+  <!-- 
+  - **conditions.status** (string), required
+
+    status of the condition, one of True, False, Unknown. 
+  -->
+
+  - **conditions.status** (string), 必需
+
+    状况的状态为 True、False、Unknown 之一。
+
+  <!-- 
+  - **conditions.type** (string), required
+
+    type of condition in CamelCase or in foo.example.com/CamelCase. 
+  -->
+
+  - **conditions.type** (string), 必需
+
+    CamelCase 或 foo.example.com/CamelCase 形式的状况类型。
+
+  <!-- 
+  - **conditions.observedGeneration** (int64)
+
+    observedGeneration represents the .metadata.generation that the condition was set based upon. For instance, if .metadata.generation is currently 12, but the .status.conditions[x].observedGeneration is 9, the condition is out of date with respect to the current state of the instance. 
+  -->
+
+  - **conditions.observedGeneration** (int64)
+
+    observedGeneration 表示设置状况时所基于的 `.metadata.generation`。
+    例如，如果 `.metadata.generation` 当前为 12，但 `.status.conditions[x].observedGeneration` 为 9，
+    则状况相对于实例的当前状态已过期。
+
+
+## NetworkPolicyList {#NetworkPolicyList}
+
+<!--
+NetworkPolicyList is a list of NetworkPolicy objects.
+-->
+
+NetworkPolicyList 是 NetworkPolicy 的集合。
+
+<hr>
+
+- **apiVersion**: networking.k8s.io/v1
+
+
+- **kind**: NetworkPolicyList
+
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+<!--
+- **items** ([]<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>), required
+
+  Items is a list of schema objects.
+-->
+
+- **items** ([]<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>), 必需
+
+  items 是 NetworkPolicy 的列表。
+
+
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `get` 读取指定的 NetworkPolicy
+
+#### HTTP 请求
+
+GET /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `get` 读取指定的 NetworkPolicy 的状态
+
+GET /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `list` 列出或监视 NetworkPolicy 类型的对象
+
+#### HTTP 请求
+
+GET /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- - **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicyList" >}}">NetworkPolicyList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `list` 列出或监视 NetworkPolicy 类
+
+#### HTTP Request
+
+GET /apis/networking.k8s.io/v1/networkpolicies
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- - **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicyList" >}}">NetworkPolicyList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `create` 创建 NetworkPolicy
+
+#### HTTP 请求
+
+POST /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+- **body**: <a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Created
+
+202 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified NetworkPolicy
+
+#### HTTP Request
+-->
+
+### `update` 替换指定的 NetworkPolicy
+
+#### HTTP 请求
+
+PUT /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>, 必需
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **body**: <a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified NetworkPolicy
+
+#### HTTP Request
+-->
+### `update` 替换指定的 NetworkPolicy 的状态
+
+#### HTTP 请求
+
+PUT /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>, 必需
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **body**: <a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified NetworkPolicy
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 NetworkPolicy
+
+#### HTTP 请求
+
+PATCH /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified NetworkPolicy
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 NetworkPolicy 的状态
+
+#### HTTP 请求
+
+PATCH /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy 
+-->
+- **name** (**路径参数**): string, 必需
+
+  NetworkPolicy 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/network-policy-v1#NetworkPolicy" >}}">NetworkPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a NetworkPolicy
+
+#### HTTP Request
+-->
+### `delete` 删除 NetworkPolicy
+
+#### HTTP 请求
+
+DELETE /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the NetworkPolicy
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+- **name** (**路径参数**): string, 必需
+
+  name of the NetworkPolicy
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of NetworkPolicy
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 NetworkPolicy 的集合
+
+#### HTTP 请求
+
+DELETE /apis/networking.k8s.io/v1/namespaces/{namespace}/networkpolicies
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+s
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+  
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-disruption-budget-v1.md b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-disruption-budget-v1.md
new file mode 100644
index 00000000000..9590a2f6497
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-disruption-budget-v1.md
@@ -0,0 +1,1347 @@
+---
+api_metadata:
+  apiVersion: "policy/v1"
+  import: "k8s.io/api/policy/v1"
+  kind: "PodDisruptionBudget"
+content_type: "api_reference"
+description: "PodDisruptionBudget 是一个对象，用于定义可能对一组 Pod 造成的最大干扰。"
+title: "PodDisruptionBudget"
+weight: 4
+---
+
+<!-- 
+api_metadata:
+  apiVersion: "policy/v1"
+  import: "k8s.io/api/policy/v1"
+  kind: "PodDisruptionBudget"
+content_type: "api_reference"
+description: "PodDisruptionBudget is an object to define the max disruption that can be caused to a collection of pods."
+title: "PodDisruptionBudget"
+weight: 4
+-->
+
+`apiVersion: policy/v1`
+
+`import "k8s.io/api/policy/v1"`
+
+## PodDisruptionBudget {#PodDisruptionBudget}
+
+<!-- 
+PodDisruptionBudget is an object to define the max disruption that can be caused to a collection of pods 
+-->
+PodDisruptionBudget 是一个对象，用于定义可能对一组 Pod 造成的最大干扰。
+
+<hr>
+
+- **apiVersion**: policy/v1
+
+- **kind**: PodDisruptionBudget
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+<!-- 
+- **spec** (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetSpec" >}}">PodDisruptionBudgetSpec</a>)
+
+  Specification of the desired behavior of the PodDisruptionBudget. 
+-->
+- **spec** (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetSpec" >}}">PodDisruptionBudgetSpec</a>)
+
+  PodDisruptionBudget 预期行为的规约。
+
+<!-- 
+- **status** (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetStatus" >}}">PodDisruptionBudgetStatus</a>)
+
+  Most recently observed status of the PodDisruptionBudget. 
+-->
+
+- **status** (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetStatus" >}}">PodDisruptionBudgetStatus</a>)
+
+  此 PodDisruptionBudget 的最近观测状态。
+
+## PodDisruptionBudgetSpec {#PodDisruptionBudgetSpec}
+
+<!-- 
+PodDisruptionBudgetSpec is a description of a PodDisruptionBudget. 
+-->
+PodDisruptionBudgetSpec 是对 PodDisruptionBudget 的描述。
+
+<hr>
+
+<!-- 
+- **maxUnavailable** (IntOrString)
+
+  An eviction is allowed if at most "maxUnavailable" pods selected by "selector" are unavailable after the eviction, i.e. even in absence of the evicted pod. For example, one can prevent all voluntary evictions by specifying 0. This is a mutually exclusive setting with "minAvailable".
+
+  <a name="IntOrString"></a>
+  *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.* 
+-->
+
+- **maxUnavailable** (IntOrString)
+
+  如果 “selector” 所选中的 Pod 中最多有 “maxUnavailable” Pod 在驱逐后不可用（即去掉被驱逐的 Pod 之后），则允许驱逐。
+  例如，可以通过将此字段设置为 0 来阻止所有自愿驱逐。此字段是与 “minAvailable” 互斥的设置。
+
+  <a name="IntOrString"></a>
+  IntOrString 是一种可以包含 int32 或字符串数值的类型。在 JSON 或 YAML 编组和解组时，
+  会生成或使用内部类型。例如，此类型允许你定义一个可以接受名称或数字的 JSON 字段。
+
+<!-- 
+- **minAvailable** (IntOrString)
+
+  An eviction is allowed if at least "minAvailable" pods selected by "selector" will still be available after the eviction, i.e. even in the absence of the evicted pod.  So for example you can prevent all voluntary evictions by specifying "100%".
+
+  <a name="IntOrString"></a>
+  *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.* 
+-->
+
+- **minAvailable** (IntOrString)
+
+  如果 “selector” 所选中的 Pod 中，至少 “minAvailable” 个 Pod 在驱逐后仍然可用（即去掉被驱逐的 Pod 之后），则允许驱逐。
+  因此，你可以通过将此字段设置为 “100%” 来禁止所有自愿驱逐。
+
+  <a name="IntOrString"></a>
+  IntOrString 是一种可以包含 int32 或字符串数值的类型。在 JSON 或 YAML 编组和解组时，
+  会生成或使用内部类型。例如，此类型允许你定义一个可以接受名称或数字的 JSON 字段。
+
+<!-- 
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+  Label query over pods whose evictions are managed by the disruption budget. A null selector will match no pods, while an empty ({}) selector will select all pods within the namespace. 
+-->
+
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+  标签查询，用来选择其驱逐由干扰预算来管理的 Pod 集合。
+  选择算符为 null 时将不会匹配任何 Pod，而空 ({}) 选择算符将选中名字空间内的所有 Pod。
+
+## PodDisruptionBudgetStatus {#PodDisruptionBudgetStatus}
+
+<!-- 
+PodDisruptionBudgetStatus represents information about the status of a PodDisruptionBudget. Status may trail the actual state of a system.
+-->
+PodDisruptionBudgetStatus 表示有关此 PodDisruptionBudget 状态的信息。状态可能会反映系统的实际状态。
+
+<hr>
+
+<!-- 
+- **currentHealthy** (int32), required
+
+  current number of healthy pods 
+-->
+
+- **currentHealthy** (int32), 必需
+
+  当前健康 Pod 的数量。
+
+<!-- 
+- **desiredHealthy** (int32), required
+
+  minimum desired number of healthy pods 
+-->
+
+- **desiredHealthy** (int32), 必需
+
+  健康 Pod 的最小期望值。
+
+<!-- 
+- **disruptionsAllowed** (int32), required
+
+  Number of pod disruptions that are currently allowed. 
+-->
+
+- **disruptionsAllowed** (int32), 必需 
+  
+  当前允许的 Pod 干扰计数。
+
+- **conditions** ([]Condition)
+
+  <!-- 
+  *Patch strategy: merge on key `type`*
+  
+  *Map: unique values on key type will be kept during a merge*
+  
+  Conditions contain conditions for PDB. The disruption controller sets the DisruptionAllowed condition. The following are known values for the reason field (additional reasons could be added in the future): 
+  - SyncFailed: The controller encountered an error and wasn't able to compute
+                the number of allowed disruptions. Therefore no disruptions are
+                allowed and the status of the condition will be False. 
+  - InsufficientPods: The number of pods are either at or below the number
+                      required by the PodDisruptionBudget. No disruptions are
+                      allowed and the status of the condition will be False.
+  - SufficientPods: There are more pods than required by the PodDisruptionBudget.
+                    The condition will be True, and the number of allowed
+                    disruptions are provided by the disruptionsAllowed property. 
+  -->
+
+  **补丁策略：根据 `type` 键执行合并操作**
+  
+  **Map：键 type 的唯一值将在合并期间被保留**
+  
+  conditions 包含 PDB 的状况。干扰控制器会设置 DisruptionAllowed 状况。
+  以下是 reason 字段的已知值（将来可能会添加其他原因）：
+  
+  - SyncFailed：控制器遇到错误并且无法计算允许的干扰计数。因此不允许任何干扰，且状况的状态将变为 False。
+  - InsufficientPods：Pod 的数量只能小于或等于 PodDisruptionBudget 要求的数量。
+    不允许任何干扰，且状况的状态将是 False。
+  - SufficientPods：Pod 个数超出 PodDisruptionBudget 所要求的阈值。
+    此状况为 True 时，基于 disruptsAllowed 属性确定所允许的干扰数目。
+
+  <!-- 
+  <a name="Condition"></a>
+  *Condition contains details for one aspect of the current state of this API Resource.* 
+  -->
+
+  <a name="Condition"></a>
+  Condition 包含此 API 资源当前状态的一个方面的详细信息。
+
+  <!-- 
+  - **conditions.lastTransitionTime** (Time), required
+
+    lastTransitionTime is the last time the condition transitioned from one status to another. This should be when the underlying condition changed.  If that is not known, then using the time when the API field changed is acceptable.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+  -->
+
+  - **conditions.lastTransitionTime** (Time), 必需
+
+    lastTransitionTime 是状况最近一次从一种状态转换到另一种状态的时间。
+    这种变化通常出现在下层状况发生变化的时候。如果无法了解下层状况变化，使用 API 字段更改的时间也是可以接受的。
+
+    <a name="Time"></a>
+    Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+    time 包的许多工厂方法提供了包装器。
+
+  <!-- 
+  - **conditions.message** (string), required
+
+    message is a human readable message indicating details about the transition. This may be an empty string. 
+  -->
+
+  - **conditions.message** (string), 必需
+
+    message 是一条人类可读的消息，指示有关转换的详细信息。它可能是一个空字符串。
+
+  <!-- 
+  - **conditions.reason** (string), required
+
+    reason contains a programmatic identifier indicating the reason for the condition's last transition. Producers of specific condition types may define expected values and meanings for this field, and whether the values are considered a guaranteed API. The value should be a CamelCase string. This field may not be empty. 
+  -->
+
+  - **conditions.reason** (string), 必需
+
+    reason 包含一个程序标识符，指示状况最后一次转换的原因。
+    特定状况类型的生产者可以定义该字段的预期值和含义，以及这些值是否可被视为有保证的 API。
+    该值应该是 CamelCase 字符串。此字段不能为空。
+
+  <!-- 
+  - **conditions.status** (string), required
+
+    status of the condition, one of True, False, Unknown. 
+  -->
+
+  - **conditions.status** (string), 必需
+
+    状况的状态为 True、False、Unknown 之一。
+
+  <!-- 
+  - **conditions.type** (string), required
+
+    type of condition in CamelCase or in foo.example.com/CamelCase. 
+  -->
+
+  - **conditions.type** (string), 必需
+
+    CamelCase 或 foo.example.com/CamelCase 形式的状况类型。
+
+  <!-- 
+  - **conditions.observedGeneration** (int64)
+
+    observedGeneration represents the .metadata.generation that the condition was set based upon. For instance, if .metadata.generation is currently 12, but the .status.conditions[x].observedGeneration is 9, the condition is out of date with respect to the current state of the instance. 
+  -->
+
+  - **conditions.observedGeneration** (int64)
+
+    observedGeneration 表示设置状况时所基于的 .metadata.generation。
+    例如，如果 .metadata.generation 当前为 12，但 .status.conditions[x].observedGeneration 为 9，
+    则状况相对于实例的当前状态已过期。
+
+<!-- 
+- **disruptedPods** (map[string]Time)
+
+  DisruptedPods contains information about pods whose eviction was processed by the API server eviction subresource handler but has not yet been observed by the PodDisruptionBudget controller. A pod will be in this map from the time when the API server processed the eviction request to the time when the pod is seen by PDB controller as having been marked for deletion (or after a timeout). The key in the map is the name of the pod and the value is the time when the API server processed the eviction request. If the deletion didn't occur and a pod is still there it will be removed from the list automatically by PodDisruptionBudget controller after some time. If everything goes smooth this map should be empty for the most of the time. Large number of entries in the map may indicate problems with pod deletions. 
+-->
+
+- **disruptedPods** (map[string]Time)
+
+  disruptedPods 包含有关 Pod 的一些信息，这些 Pod 的驱逐操作已由 API 服务器上的 eviction 子资源处理程序处理,
+  但尚未被 PodDisruptionBudget 控制器观察到。
+  从 API 服务器处理驱逐请求到 PDB 控制器看到该 Pod 已标记为删除（或超时后），Pod 将记录在此映射中。
+  映射中的键名是 Pod 的名称，键值是 API 服务器处理驱逐请求的时间。
+  如果删除没有发生并且 Pod 仍然存在，PodDisruptionBudget 控制器将在一段时间后自动将 Pod 从列表中删除。
+  如果一切顺利，此映射大部分时间应该是空的。映射中的存在大量条目可能表明 Pod 删除存在问题。
+
+  <a name="Time"></a>
+  <!-- 
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+  -->
+  Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。
+  time 包的许多工厂方法提供了包装器。
+
+<!-- 
+- **observedGeneration** (int64)
+
+  Most recent generation observed when updating this PDB status. DisruptionsAllowed and other status information is valid only if observedGeneration equals to PDB's object generation. 
+-->
+
+- **observedGeneration** (int64)
+
+  更新此 PDB 状态时观察到的最新一代。
+  DisruptionsAllowed 和其他状态信息仅在 observedGeneration 等于 PDB 的对象的代数时才有效。
+
+## PodDisruptionBudgetList {#PodDisruptionBudgetList}
+
+<!-- 
+PodDisruptionBudgetList is a collection of PodDisruptionBudgets. 
+-->
+
+PodDisruptionBudgetList 是 PodDisruptionBudget 的集合。
+
+<hr>
+
+- **apiVersion**: policy/v1
+
+- **kind**: PodDisruptionBudgetList
+
+<!-- 
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+<!-- 
+- **items** ([]<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>), required
+
+  Items is a list of PodDisruptionBudgets 
+-->
+- **items** ([]<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>), 必需
+
+  items 是 PodDisruptionBudgets 的列表。
+
+<!-- 
+## Operations {#Operations} 
+-->
+
+## 操作 {#Operations}
+
+<hr>
+
+<!-- 
+### `get` read the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+
+### `get` 读取指定的 PodDisruptionBudget
+
+#### HTTP 请求
+
+GET /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `get` read status of the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `get` 读取指定 PodDisruptionBudget 的状态
+
+#### HTTP 请求
+
+GET /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `list` 列出或监视 PodDisruptionBudget 类型的对象
+
+#### HTTP 请求
+
+GET /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- - **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetList" >}}">PodDisruptionBudgetList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `list` 列出或监视 PodDisruptionBudget 类型的对象
+
+#### HTTP 请求
+
+GET /apis/policy/v1/poddisruptionbudgets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudgetList" >}}">PodDisruptionBudgetList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `create` 创建一个 PodDisruptionBudget
+#### HTTP 请求
+
+POST /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, required 
+-->
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, 
+必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Created
+
+202 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `update` 替换指定的 PodDisruptionBudget
+
+#### HTTP 请求
+
+PUT /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, required 
+-->
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, 
+必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `update` replace status of the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `update` 替换指定 PodDisruptionBudget 的状态
+
+#### HTTP 请求
+
+PUT /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, required 
+-->
+- **body**: <a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>, 
+必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `patch` 部分更新指定的 PodDisruptionBudget
+#### HTTP 请求
+
+PATCH /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required 
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update status of the specified PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `patch` 部分更新指定 PodDisruptionBudget 的状态
+#### HTTP 请求
+
+PATCH /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required 
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-disruption-budget-v1#PodDisruptionBudget" >}}">PodDisruptionBudget</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `delete` 删除 PodDisruptionBudget
+
+#### HTTP 请求
+
+DELETE /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the PodDisruptionBudget 
+-->
+- **name** (**路径参数**): string, 必需
+
+  PodDisruptionBudget 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of PodDisruptionBudget
+
+#### HTTP Request 
+-->
+### `deletecollection` 删除 PodDisruptionBudget 的集合
+
+#### HTTP Request
+
+DELETE /apis/policy/v1/namespaces/{namespace}/poddisruptionbudgets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-security-policy-v1beta1.md b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-security-policy-v1beta1.md
new file mode 100644
index 00000000000..5817459bc2d
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/pod-security-policy-v1beta1.md
@@ -0,0 +1,1091 @@
+---
+api_metadata:
+  apiVersion: "policy/v1beta1"
+  import: "k8s.io/api/policy/v1beta1"
+  kind: "PodSecurityPolicy"
+content_type: "api_reference"
+description: "PodSecurityPolicy 对影响到安全上下文的请求能力进行治理，而安全上下文可以应用到 Pod 和容器上。"
+title: "PodSecurityPolicy v1beta1"
+weight: 5
+---
+<!--
+api_metadata:
+  apiVersion: "policy/v1beta1"
+  import: "k8s.io/api/policy/v1beta1"
+  kind: "PodSecurityPolicy"
+content_type: "api_reference"
+description: "PodSecurityPolicy governs the ability to make requests that affect the Security Context that will be applied to a pod and container."
+title: "PodSecurityPolicy v1beta1"
+weight: 5
+auto_generated: true
+-->
+
+`apiVersion: policy/v1beta1`
+
+`import "k8s.io/api/policy/v1beta1"`
+
+## PodSecurityPolicy {#PodSecurityPolicy}
+
+<!--
+PodSecurityPolicy governs the ability to make requests that affect the Security Context that will be applied to a pod and container. Deprecated in 1.21.
+-->
+PodSecurityPolicy 对影响到安全上下文的请求能力进行治理，而安全上下文可以应用到 Pod 和容器上。
+在 1.21 中已被弃用。
+
+<hr>
+
+- **apiVersion**: policy/v1beta1
+
+- **kind**: PodSecurityPolicy
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicySpec" >}}">PodSecurityPolicySpec</a>)
+  spec defines the policy enforced.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicySpec" >}}">PodSecurityPolicySpec</a>)
+  
+  spec 定义强制执行的策略。
+
+## PodSecurityPolicySpec {#PodSecurityPolicySpec}
+
+<!--
+PodSecurityPolicySpec defines the policy enforced.
+-->
+PodSecurityPolicySpec 定义强制执行的策略。
+
+<hr>
+
+<!--
+- **runAsUser** (RunAsUserStrategyOptions), required
+  runAsUser is the strategy that will dictate the allowable RunAsUser values that may be set.
+
+  <a name="RunAsUserStrategyOptions"></a>
+  *RunAsUserStrategyOptions defines the strategy type and any options used to create the strategy.*
+-->
+- **runAsUser** (RunAsUserStrategyOptions)，必需
+  
+  runAsUser 是一种策略，它将规定允许为 runAsUser 设置的值。
+  
+  <a name="RunAsUserStrategyOptions"></a> 
+  **RunAsUserStrategyOptions 定义策略类型和用于创建该策略的任意选项。**
+  
+  <!--
+  - **runAsUser.rule** (string), required
+    rule is the strategy that will dictate the allowable RunAsUser values that may be set.
+
+  - **runAsUser.ranges** ([]IDRange)
+    ranges are the allowed ranges of uids that may be used. If you would like to force a single uid then supply a single range with the same start and end. Required for MustRunAs.
+
+    <a name="IDRange"></a>
+    *IDRange provides a min/max of an allowed range of IDs.*
+  -->
+
+  - **runAsUser.rule** (string)，必需
+    
+    rule 是一种策略，它将规定允许为 runAsUser 设置的值。
+  
+  - **runAsUser.ranges** ([]IDRange)
+    
+    ranges 是可以使用的 UID 的允许范围。
+    如果你要强制使用某个确定 UID，则应提供起点值和终点值相同的范围设定。
+    对于 mustRunAs 而言是必需的。
+    
+    <a name="IDRange"></a> 
+    **IDRange 提供了 ID 的最小/最大允许范围。**
+    
+    <!--
+    - **runAsUser.ranges.max** (int64), required
+      max is the end of the range, inclusive.
+
+    - **runAsUser.ranges.min** (int64), required
+      min is the start of the range, inclusive.
+    -->
+
+    - **runAsUser.ranges.max** (int64)，必需
+      
+      max 是范围的终点，该值包含在此范围内。
+    
+    - **runAsUser.ranges.min** (int64)，必需
+      
+      min 是范围的起点，该值包含在此范围内。
+
+<!--
+- **runAsGroup** (RunAsGroupStrategyOptions)
+  RunAsGroup is the strategy that will dictate the allowable RunAsGroup values that may be set. If this field is omitted, the pod's RunAsGroup can take any value. This field requires the RunAsGroup feature gate to be enabled.
+
+  <a name="RunAsGroupStrategyOptions"></a>
+  *RunAsGroupStrategyOptions defines the strategy type and any options used to create the strategy.*
+-->
+- **runAsGroup** (RunAsGroupStrategyOptions)
+  
+  runAsGroup 是一种策略，它将规定可以为 runAsGroup 设置的值。
+  如果省略此字段，则 Pod 的 runAsGroup 可以取任何值。
+  此字段要求启用 `RunAsGroup` 特性门控。
+  
+  <a name="RunAsGroupStrategyOptions"></a> 
+  **RunAsGroupStrategyOptions 定义策略类型和用于创建该策略的任意选项。**
+  
+  <!--
+  - **runAsGroup.rule** (string), required
+    rule is the strategy that will dictate the allowable RunAsGroup values that may be set.
+
+  - **runAsGroup.ranges** ([]IDRange)
+    ranges are the allowed ranges of gids that may be used. If you would like to force a single gid then supply a single range with the same start and end. Required for MustRunAs.
+
+    <a name="IDRange"></a>
+    *IDRange provides a min/max of an allowed range of IDs.*
+  -->
+
+  - **runAsGroup.rule** (string)，必需
+    
+    rule 是一种策略，它将规定可以为 runAsGroup 设置的值。
+  
+  - **runAsGroup.ranges** ([]IDRange)
+    
+    ranges 是可以使用的 GID 的范围。
+    如果你要强制使用某个确定的 GID，则可提供起点和终点相同的范围设定。
+    对于 mustRunAs 而言是必需的。
+    
+    <a name="IDRange"></a> 
+    **IDRange 提供了 ID 的最小/最大允许范围。**
+    
+    <!--
+    - **runAsGroup.ranges.max** (int64), required
+      max is the end of the range, inclusive.
+
+    - **runAsGroup.ranges.min** (int64), required
+      min is the start of the range, inclusive.
+    -->
+    
+    - **runAsGroup.ranges.max** (int64)，必需
+      
+      max 是范围的终点，该值包含在此范围内。
+    
+    - **runAsGroup.ranges.min** (int64)，必需
+      
+      min 是范围的起点，该值包含在此范围内。
+
+<!--
+- **fsGroup** (FSGroupStrategyOptions), required
+  fsGroup is the strategy that will dictate what fs group is used by the SecurityContext.
+
+  <a name="FSGroupStrategyOptions"></a>
+  *FSGroupStrategyOptions defines the strategy type and options used to create the strategy.*
+-->
+- **fsGroup** (FSGroupStrategyOptions)，必需
+  
+  fsGroup 是一种策略，它将规定 SecurityContext 将使用哪个 fs 组。
+  
+  <a name="FSGroupStrategyOptions"></a> 
+  **FSGroupStrategyOptions 定义策略类型和用于创建该策略的任意选项。**
+  
+  <!--
+  - **fsGroup.ranges** ([]IDRange)
+    ranges are the allowed ranges of fs groups.  If you would like to force a single fs group then supply a single range with the same start and end. Required for MustRunAs.
+
+    <a name="IDRange"></a>
+    *IDRange provides a min/max of an allowed range of IDs.*
+  -->
+
+  - **fsGroup.ranges** ([]IDRange)
+    
+    ranges 是 fs 组的允许范围。
+    如果你要强制使用某个确定的 fs 组，则应提供起点和终点相同的范围设定。
+    对于 mustRunAs 而言是必需的。
+    
+    <a name="IDRange"></a>
+    **IDRange 提供了 ID 的最小/最大允许范围。**
+    
+    <!--
+    - **fsGroup.ranges.max** (int64), required
+      max is the end of the range, inclusive.
+
+    - **fsGroup.ranges.min** (int64), required
+      min is the start of the range, inclusive.
+    -->
+
+    - **fsGroup.ranges.max** (int64)，必需
+      
+      max 是范围的终点，该值包含在此范围内。
+    
+    - **fsGroup.ranges.min** (int64)，必需
+      
+      min 是范围的起点，该值包含在此范围内。
+  
+  <!--
+  - **fsGroup.rule** (string)
+
+    rule is the strategy that will dictate what FSGroup is used in the SecurityContext.
+  -->
+
+  - **fsGroup.rule** (string)
+    
+    rule 是一种策略，它将规定 SecurityContext 中使用哪个 FSGroup。
+
+<!--
+- **supplementalGroups** (SupplementalGroupsStrategyOptions), required
+  supplementalGroups is the strategy that will dictate what supplemental groups are used by the SecurityContext.
+
+  <a name="SupplementalGroupsStrategyOptions"></a>
+  *SupplementalGroupsStrategyOptions defines the strategy type and options used to create the strategy.*
+-->
+- **supplementalGroups** (SupplementalGroupsStrategyOptions)，必需
+  
+  supplementalGroups 是一种策略，它将规定 SecurityContext 将使用哪个补充组。
+  
+  <a name="SupplementalGroupsStrategyOptions"></a> 
+  **SupplementalGroupsStrategyOptions 定义策略类型和用于创建该策略的任意选项。**
+  
+  <!--
+  - **supplementalGroups.ranges** ([]IDRange)
+    ranges are the allowed ranges of supplemental groups.  If you would like to force a single supplemental group then supply a single range with the same start and end. Required for MustRunAs.
+
+    <a name="IDRange"></a>
+    *IDRange provides a min/max of an allowed range of IDs.*
+  -->
+
+  - **supplementalGroups.ranges** ([]IDRange)
+    
+    ranges 是补充组的允许范围。
+    如果你要强制使用固定的某个补充组，则应提供起点和终点相同的范围设定。
+    对于 mustRunAs 而言是必需的。
+    
+    <a name="IDRange"></a>
+    **IDRange 提供了 ID 的最小/最大允许范围。**
+    
+    <!--
+    - **supplementalGroups.ranges.max** (int64), required
+      max is the end of the range, inclusive.
+
+    - **supplementalGroups.ranges.min** (int64), required
+      min is the start of the range, inclusive.
+    -->
+
+    - **supplementalGroups.ranges.max** (int64)，必需
+      
+      max 是范围的终点，该值包含在此范围内。
+    
+    - **supplementalGroups.ranges.min** (int64)，必需
+      
+      min 是范围的起点，该值包含在此范围内。
+  
+  <!--
+  - **supplementalGroups.rule** (string)
+
+    rule is the strategy that will dictate what supplemental groups is used in the SecurityContext.
+  -->
+
+  - **supplementalGroups.rule** (string)
+    
+    rule 是一种策略，它将规定 SecurityContext 中使用哪个补充组。
+
+<!--
+- **seLinux** (SELinuxStrategyOptions), required
+  seLinux is the strategy that will dictate the allowable labels that may be set.
+
+  <a name="SELinuxStrategyOptions"></a>
+  *SELinuxStrategyOptions defines the strategy type and any options used to create the strategy.*
+-->
+- **seLinux** (SELinuxStrategyOptions)，必需
+  
+  seLinux 是一种策略，它将规定可以设置的标签集合。
+  
+  <a name="SELinuxStrategyOptions"></a> 
+  **SELinuxStrategyOptions 定义策略类型和用于创建该策略的任意选项。**
+
+  <!--
+  - **seLinux.rule** (string), required
+
+    rule is the strategy that will dictate the allowable labels that may be set.
+
+  - **seLinux.seLinuxOptions** (SELinuxOptions)
+
+    seLinuxOptions required to run as; required for MustRunAs More info: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
+
+    <a name="SELinuxOptions"></a>
+    *SELinuxOptions are the labels to be applied to the container*
+  -->  
+
+  - **seLinux.rule** (string)，必需
+    
+    rule 是一种策略，它将规定可以设置的标签集合。
+  
+  - **seLinux.seLinuxOptions** (SELinuxOptions)
+    
+    seLinuxOptions 是运行所必需的。对于 mustRunAs 而言是必需的。更多信息：
+    https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/
+    
+    <a name="SELinuxOptions"></a>
+    **SELinuxOptions 是应用到容器的标签。**
+    
+    <!--
+    - **seLinux.seLinuxOptions.level** (string)
+      Level is SELinux level label that applies to the container.
+
+    - **seLinux.seLinuxOptions.role** (string)
+      Role is a SELinux role label that applies to the container.
+
+    - **seLinux.seLinuxOptions.type** (string)
+      Type is a SELinux type label that applies to the container.
+
+    - **seLinux.seLinuxOptions.user** (string)
+      User is a SELinux user label that applies to the container.
+    -->
+    
+    - **seLinux.seLinuxOptions.level** (string)
+      
+      level 是应用到容器的 SELinux 级别标签。
+    
+    - **seLinux.seLinuxOptions.role** (string)
+      
+      role 是应用到容器的 SELinux 角色标签。
+    
+    - **seLinux.seLinuxOptions.type** (string)
+      
+      type 是应用到容器的 SELinux 类型标签。
+    
+    - **seLinux.seLinuxOptions.user** (string)
+      
+      user 是应用到容器的 SELinux 用户标签。
+
+<!--
+- **readOnlyRootFilesystem** (boolean)
+  readOnlyRootFilesystem when set to true will force containers to run with a read only root file system.  If the container specifically requests to run with a non-read only root file system the PSP should deny the pod. If set to false the container may run with a read only root file system if it wishes but it will not be forced to.
+
+- **privileged** (boolean)
+  privileged determines if a pod can request to be run as privileged.
+-->
+- **readOnlyRootFilesystem** (boolean)
+  
+  readOnlyRootFilesystem 设为 true 时将强制容器使用只读根文件系统来运行。
+  如果容器明确请求以非只读根文件系统来运行，则 PSP 应拒绝该 Pod。
+  如果设置为 false，则如果愿意，容器可以以只读根文件系统来运行，但不是必须使用只读根文件系统。
+
+- **privileged** (boolean)
+  
+  privileged 决定 Pod 是否可以请求以特权模式运行。
+
+<!--
+- **allowPrivilegeEscalation** (boolean)
+  allowPrivilegeEscalation determines if a pod can request to allow privilege escalation. If unspecified, defaults to true.
+
+- **defaultAllowPrivilegeEscalation** (boolean)
+  defaultAllowPrivilegeEscalation controls the default setting for whether a process can gain more privileges than its parent process.
+-->
+- **allowPrivilegeEscalation** (boolean)
+  
+  allowPrivilegeEscalation 决定 Pod 是否可以请求允许提升特权。如果未指定，则默认为 true。
+
+- **defaultAllowPrivilegeEscalation** (boolean)
+  
+  defaultAllowPrivilegeEscalation 控制一个进程是否可以获得比其父进程更多权限的默认设置。
+
+<!--
+- **allowedCSIDrivers** ([]AllowedCSIDriver)
+  AllowedCSIDrivers is an allowlist of inline CSI drivers that must be explicitly set to be embedded within a pod spec. An empty value indicates that any CSI driver can be used for inline ephemeral volumes. This is a beta field, and is only honored if the API server enables the CSIInlineVolume feature gate.
+
+  <a name="AllowedCSIDriver"></a>
+  *AllowedCSIDriver represents a single inline CSI Driver that is allowed to be used.*
+-->
+- **allowedCSIDrivers** ([]AllowedCSIDriver)
+  
+  allowedCSIDrivers 是允许使用的内联 CSI 驱动列表，这些驱动必须被显式嵌入到 Pod 规约中。
+  空值表示任何 CSI 驱动都可以用于内联临时卷。这是一个 beta 字段，
+  只有 API 服务器启用 CSIInlineVolume 特性门控，才会使用此字段。
+  
+  <a name="AllowedCSIDriver"></a>
+  **AllowedCSIDriver 表示允许使用的单个内联 CSI 驱动。**
+
+  <!--
+  - **allowedCSIDrivers.name** (string), required
+    Name is the registered name of the CSI driver
+  -->  
+  
+  - **allowedCSIDrivers.name** (string)，必需
+    
+    name 是 CSI 驱动的注册名称。
+
+<!--
+- **allowedCapabilities** ([]string)
+  allowedCapabilities is a list of capabilities that can be requested to add to the container. Capabilities in this field may be added at the pod author's discretion. You must not list a capability in both allowedCapabilities and requiredDropCapabilities.
+
+- **requiredDropCapabilities** ([]string)
+  requiredDropCapabilities are the capabilities that will be dropped from the container.  These are required to be dropped and cannot be added.
+-->
+- **allowedCapabilities** ([]string)
+  
+  allowedCapabilities 是可以请求添加到容器的权能列表。
+  这个字段中的权能可以由 Pod 作者自行添加。
+  你不得同时在 allowedCapabilities 和 requiredDropCapabilities 中列出同一个权能。
+
+- **requiredDropCapabilities** ([]string)
+  
+  requiredDropCapabilities 是将从容器中丢弃的权能。这些权能需要被丢弃，且不能添加。
+
+<!--
+- **defaultAddCapabilities** ([]string)
+
+  defaultAddCapabilities is the default set of capabilities that will be added to the container unless the pod spec specifically drops the capability.  You may not list a capability in both defaultAddCapabilities and requiredDropCapabilities. Capabilities added here are implicitly allowed, and need not be included in the allowedCapabilities list.
+-->
+- **defaultAddCapabilities** ([]string)
+  
+  defaultAddCapabilities 是默认被添加到容器的权能集，除非 Pod 规约特意丢弃该权能。
+  你不可以同时在 defaultAddCapabilities 和 requiredDropCapabilities 中列出同一个权能。
+  此处添加的权能是被隐式允许的，不必包括在 allowedCapabilities 列表中。
+
+<!--
+- **allowedFlexVolumes** ([]AllowedFlexVolume)
+  allowedFlexVolumes is an allowlist of Flexvolumes.  Empty or nil indicates that all Flexvolumes may be used.  This parameter is effective only when the usage of the Flexvolumes is allowed in the "volumes" field.
+
+  <a name="AllowedFlexVolume"></a>
+  *AllowedFlexVolume represents a single Flexvolume that is allowed to be used.*
+-->
+- **allowedFlexVolumes** ([]AllowedFlexVolume)
+  
+  allowedFlexVolumes 是允许设置的 FlexVolume 卷的列表。
+  空或 nil 值表示可以使用所有 FlexVolume。
+  只有在 “volumes” 字段中允许使用 Flexvolume 卷时，此参数才有效。
+  
+  <a name="AllowedFlexVolume"></a> 
+  **AllowedFlexVolume 表示允许使用的单个 Flexvolume。**
+  
+  <!--
+  - **allowedFlexVolumes.driver** (string), required
+    driver is the name of the Flexvolume driver.
+  -->
+
+  - **allowedFlexVolumes.driver** (string)，必需
+    
+    driver 是 FlexVolume 驱动的名称。
+
+<!--
+- **allowedHostPaths** ([]AllowedHostPath)
+  allowedHostPaths is an allowlist of host paths. Empty indicates that all host paths may be used.
+
+  <a name="AllowedHostPath"></a>
+  *AllowedHostPath defines the host volume conditions that will be enabled by a policy for pods to use. It requires the path prefix to be defined.*
+-->
+- **allowedHostPaths** ([]AllowedHostPath)
+  
+  allowedHostPaths 是允许使用的主机路径的列表。空表示可以使用所有主机路径。
+  
+  <a name="AllowedHostPath"></a> 
+  **allowedHostPath 定义将按 Pod 使用的策略启用的主机卷条件。它要求定义路径前缀。**
+
+  <!--
+  - **allowedHostPaths.pathPrefix** (string)
+    pathPrefix is the path prefix that the host volume must match. It does not support `*`. Trailing slashes are trimmed when validating the path prefix with a host path.
+    
+    Examples: `/foo` would allow `/foo`, `/foo/` and `/foo/bar` `/foo` would not allow `/food` or `/etc/foo`
+  -->
+
+  - **allowedHostPaths.pathPrefix** (string)
+    
+    pathPrefix 是主机卷必须匹配的路径前缀。
+    此字段不支持 `*`。使用主机路径检验路径前缀时，会裁剪掉尾部的斜线。
+    
+    例如：`/foo` 将允许 `/foo`、`/foo/` 和 `/foo/bar`。
+    `/foo` 将不允许 `/food` 或 `/etc/foo`。
+  
+  <!--
+  - **allowedHostPaths.readOnly** (boolean)
+    when set to true, will allow host volumes matching the pathPrefix only if all volume mounts are readOnly.
+  -->
+
+  - **allowedHostPaths.readOnly** (boolean)
+    
+    当设置为 true 时，仅当所有与 pathPrefix 匹配的主机卷的卷挂载均为 readOnly 时，才允许使用。
+
+<!--
+- **allowedProcMountTypes** ([]string)
+
+  AllowedProcMountTypes is an allowlist of allowed ProcMountTypes. Empty or nil indicates that only the DefaultProcMountType may be used. This requires the ProcMountType feature flag to be enabled.
+-->
+- **allowedProcMountTypes** ([]string)
+  
+  AllowedProcMountTypes 是允许使用的 ProcMountType 的列表。
+  空表或 nil 表示仅可以使用 DefaultProcMountType。
+  此字段要求启用 ProcMountType 特性门控。
+
+<!--
+- **allowedUnsafeSysctls** ([]string)
+  allowedUnsafeSysctls is a list of explicitly allowed unsafe sysctls, defaults to none. Each entry is either a plain sysctl name or ends in "*" in which case it is considered as a prefix of allowed sysctls. Single * means all unsafe sysctls are allowed. Kubelet has to allowlist all allowed unsafe sysctls explicitly to avoid rejection.
+  
+  Examples: e.g. "foo/*" allows "foo/bar", "foo/baz", etc. e.g. "foo.*" allows "foo.bar", "foo.baz", etc.
+-->
+- **allowedUnsafeSysctls** ([]string)
+  
+  allowedUnsafeSysctls 是明确允许的不安全 sysctl 的列表，默认为空。
+  每个条目要么是一个普通的 sysctl 名称，要么以 “*” 结尾，
+  在后面这种情况下字符串值被视为所允许的 sysctl 的前缀。
+  单个 `*` 意味着允许所有不安全的 sysctl。
+  Kubelet 必须显式列出所有被允许的、不安全的 sysctl，以防被拒绝。
+  
+  例如 `foo/*` 允许 `foo/bar`、`foo/baz` 等。
+  例如 `foo.*` 允许 `foo.bar`、`foo.baz` 等。
+
+<!--
+- **forbiddenSysctls** ([]string)
+  forbiddenSysctls is a list of explicitly forbidden sysctls, defaults to none. Each entry is either a plain sysctl name or ends in "*" in which case it is considered as a prefix of forbidden sysctls. Single * means all sysctls are forbidden.
+  
+  Examples: e.g. "foo/*" forbids "foo/bar", "foo/baz", etc. e.g. "foo.*" forbids "foo.bar", "foo.baz", etc.
+-->
+- **forbiddenSysctls** ([]string)
+  
+  forbiddenSysctls 是被明确禁止的 sysctl 的列表，默认为空。
+  每个条目要么是一个普通的 sysctl 名称，要么以 `*` 结尾，
+  以 `*` 结尾的字符串值表示被禁止的 sysctl 的前缀。
+  单个 `*` 意味着禁止所有 sysctl。
+  
+  例如 `foo/*` 禁止 `foo/bar`、`foo/baz` 等。
+  例如 `foo.*` 禁止 `foo.bar`、`foo.baz` 等。
+
+<!--
+- **hostIPC** (boolean)
+  hostIPC determines if the policy allows the use of HostIPC in the pod spec.
+
+- **hostNetwork** (boolean)
+  hostNetwork determines if the policy allows the use of HostNetwork in the pod spec.
+
+- **hostPID** (boolean)
+  hostPID determines if the policy allows the use of HostPID in the pod spec.
+-->
+- **hostIPC** (boolean)
+  
+  hostIPC 决定此策略是否允许在 Pod 规约中使用 hostIPC。
+
+- **hostNetwork** (boolean)
+  
+  hostNetwork 决定此策略是否允许在 Pod 规约中使用 hostNetwork。
+
+- **hostPID** (boolean)
+  
+  hostPID 决定此策略是否允许在 Pod 规约中使用 hostPID。
+
+<!--
+- **hostPorts** ([]HostPortRange)
+  hostPorts determines which host port ranges are allowed to be exposed.
+
+  <a name="HostPortRange"></a>
+  *HostPortRange defines a range of host ports that will be enabled by a policy for pods to use.  It requires both the start and end to be defined.*
+-->
+- **hostPorts** ([]HostPortRange)
+  
+  hostPorts 决定允许暴露哪些主机端口范围。
+  
+  <a name="HostPortRange"></a> 
+  **HostPortRange 定义将按 Pod 使用的策略启用的主机端口范围。它要求同时定义起点和终点。**
+  
+  <!--
+  - **hostPorts.max** (int32), required
+    max is the end of the range, inclusive.
+
+  - **hostPorts.min** (int32), required
+    min is the start of the range, inclusive.
+  -->
+
+  - **hostPorts.max** (int32)，必需
+    
+    max 是范围的终点，该值包含在此范围内。
+  
+  - **hostPorts.min** (int32)，必需
+    
+    min 是范围的起点，该值包含在此范围内。
+
+<!--
+- **runtimeClass** (RuntimeClassStrategyOptions)
+  runtimeClass is the strategy that will dictate the allowable RuntimeClasses for a pod. If this field is omitted, the pod's runtimeClassName field is unrestricted. Enforcement of this field depends on the RuntimeClass feature gate being enabled.
+
+  <a name="RuntimeClassStrategyOptions"></a>
+  *RuntimeClassStrategyOptions define the strategy that will dictate the allowable RuntimeClasses for a pod.*
+-->
+- **runtimeClass** (RuntimeClassStrategyOptions)
+  
+  runtimeClass 是一种策略，它将规定 Pod 所被允许的 RuntimeClass。
+  如果省略此字段，则 Pod 的 runtimeClassName 将不受限制。
+  该字段的实施取决于被启用的 RuntimeClass 特性门控。
+  
+  <a name="RuntimeClassStrategyOptions"></a>
+  **RuntimeClassStrategyOptions 定义一种策略，它将规定 Pod 所被允许的 RuntimeClass。**
+  
+  <!--
+  - **runtimeClass.allowedRuntimeClassNames** ([]string), required
+    allowedRuntimeClassNames is an allowlist of RuntimeClass names that may be specified on a pod. A value of "*" means that any RuntimeClass name is allowed, and must be the only item in the list. An empty list requires the RuntimeClassName field to be unset.
+
+  - **runtimeClass.defaultRuntimeClassName** (string)
+    defaultRuntimeClassName is the default RuntimeClassName to set on the pod. The default MUST be allowed by the allowedRuntimeClassNames list. A value of nil does not mutate the Pod.
+  -->
+
+  - **runtimeClass.allowedRuntimeClassNames** ([]string)，必需
+    
+    allowedRuntimeClassNames 是可以在 Pod 中指定的 runtimeClass 名称的列表。
+    `*` 值意味着允许任何 runtimeClass 值，并且如果设置了 `*`，则它必须是唯一的列表项。
+    空列表要求不能设置 runtimeClassName 字段。
+  
+  - **runtimeClass.defaultRuntimeClassName** (string)
+    
+    defaultRuntimeClassName 是要在 Pod 中设置的默认 runtimeClassName。
+    该默认值必须被 allowedRuntimeClassNames 列表所允许。nil 值不会改变 Pod 设置。
+
+<!--
+- **volumes** ([]string)
+  volumes is an allowlist of volume plugins. Empty indicates that no volumes may be used. To allow all volumes you may use '*'.
+-->
+- **volumes** ([]string)
+  
+  volumes 是所允许的卷插件的列表。空的列表意味着不可以使用卷。要允许所有卷，你可以使用 `*`。
+
+## PodSecurityPolicyList {#PodSecurityPolicyList}
+
+<!--
+PodSecurityPolicyList is a list of PodSecurityPolicy objects.
+-->
+PodSecurityPolicyList 是 PodSecurityPolicy 对象的列表。
+
+<hr>
+
+- **apiVersion**: policy/v1beta1
+
+- **kind**: PodSecurityPolicyList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>), required
+  items is a list of schema objects.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>)，必需
+  
+  items 是 PodSecurityPolicy 对象的列表。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified PodSecurityPolicy
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 PodSecurityPolicy
+
+#### HTTP 请求
+
+GET /apis/policy/v1beta1/podsecuritypolicies/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PodSecurityPolicy
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PodSecurityPolicy 的名称
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind PodSecurityPolicy
+#### HTTP Request
+-->
+### `list` 列出或监视 PodSecurityPolicy 类别的对象
+
+#### HTTP 请求
+
+GET /apis/policy/v1beta1/podsecuritypolicies
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicyList" >}}">PodSecurityPolicyList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a PodSecurityPolicy
+#### HTTP Request
+-->
+### `create` 创建 PodSecurityPolicy
+
+#### HTTP 请求
+
+POST /apis/policy/v1beta1/podsecuritypolicies
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): Created
+
+202 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified PodSecurityPolicy
+#### HTTP Request
+-->
+### `update` 替换指定的 PodSecurityPolicy
+
+#### HTTP 请求
+
+PUT /apis/policy/v1beta1/podsecuritypolicies/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PodSecurityPolicy
+- **body**: <a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PodSecurityPolicy 的名称
+
+- **body**: <a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified PodSecurityPolicy
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 PodSecurityPolicy
+
+#### HTTP 请求
+
+PATCH /apis/policy/v1beta1/podsecuritypolicies/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PodSecurityPolicy
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PodSecurityPolicy 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a PodSecurityPolicy
+#### HTTP Request
+-->
+### `delete` 删除 PodSecurityPolicy
+
+#### HTTP 请求
+
+DELETE /apis/policy/v1beta1/podsecuritypolicies/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the PodSecurityPolicy
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  PodSecurityPolicy 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): OK
+
+202 (<a href="{{< ref "../policy-resources/pod-security-policy-v1beta1#PodSecurityPolicy" >}}">PodSecurityPolicy</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of PodSecurityPolicy
+#### HTTP Request
+-->
+### `deletecollection` 删除 PodSecurityPolicy 的集合
+
+#### HTTP 请求
+
+DELETE /apis/policy/v1beta1/podsecuritypolicies
+
+<!--
+#### Parameters
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/policy-resources/resource-quota-v1.md b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/resource-quota-v1.md
new file mode 100644
index 00000000000..044e865468a
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/policy-resources/resource-quota-v1.md
@@ -0,0 +1,832 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ResourceQuota"
+content_type: "api_reference"
+description: "ResourceQuota 设置每个命名空间强制执行的聚合配额限制。"
+title: "ResourceQuota"
+weight: 2
+---
+
+<!-- a
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ResourceQuota"
+content_type: "api_reference"
+description: "ResourceQuota sets aggregate quota restrictions enforced per namespace."
+title: "ResourceQuota"
+weight: 2
+auto_generated: true 
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## ResourceQuota {#ResourceQuota}
+
+<!-- 
+ResourceQuota sets aggregate quota restrictions enforced per namespace 
+-->
+ResourceQuota 设置每个命名空间强制执行的聚合配额限制。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: ResourceQuota
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!-- 
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuotaSpec" >}}">ResourceQuotaSpec</a>)
+
+  <!-- 
+  Spec defines the desired quota. https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+
+  spec 定义所需的配额。
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+- **status** (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuotaStatus" >}}">ResourceQuotaStatus</a>)
+
+  <!-- 
+  Status defines the actual enforced quota and its current usage. https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+
+  status 定义实际执行的配额及其当前使用情况。
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## ResourceQuotaSpec {#ResourceQuotaSpec}
+
+ResourceQuotaSpec 定义为 Quota 强制执行所需的硬限制。
+
+<hr>
+
+- **hard** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  <!-- 
+  hard is the set of desired hard limits for each named resource. More info: https://kubernetes.io/docs/concepts/policy/resource-quotas/
+  -->
+
+  hard 是每种指定资源所需的硬性限制集合。
+  更多信息： https://kubernetes.io/docs/concepts/policy/resource-quotas/
+
+- **scopeSelector** (ScopeSelector)
+
+  <!-- 
+  scopeSelector is also a collection of filters like scopes that must match each object tracked by a quota but expressed using ScopeSelectorOperator in combination with possible values. For a resource to match, both scopes AND scopeSelector (if specified in spec), must be matched. 
+  -->
+
+  scopeSelector 也是一组过滤器的集合，和 scopes 类似，
+  必须匹配配额所跟踪的每个对象，但使用 ScopeSelectorOperator 结合可能的值来表示。
+  对于要匹配的资源，必须同时匹配 scopes 和 scopeSelector（如果在 spec 中设置了的话）。
+
+  <a name="ScopeSelector"></a>
+  <!-- 
+  *A scope selector represents the AND of the selectors represented by the scoped-resource selector requirements.* 
+  -->
+
+  scope 选择算符表示的是由限定范围的资源选择算符进行 **逻辑与** 计算得出的结果。
+
+  - **scopeSelector.matchExpressions** ([]ScopedResourceSelectorRequirement)
+
+    <!-- 
+    A list of scope selector requirements by scope of the resources. 
+    -->
+
+    按资源范围划分的范围选择算符需求列表。
+
+    <a name="ScopedResourceSelectorRequirement"></a>
+    <!-- 
+    *A scoped-resource selector requirement is a selector that contains values, a scope name, and an operator that relates the scope name and values.* 
+    -->
+
+    限定范围的资源选择算符需求是一种选择算符，包含值、范围名称和将二者关联起来的运算符。
+
+    - **scopeSelector.matchExpressions.operator** (string)，必需
+
+      <!-- 
+      Represents a scope's relationship to a set of values. Valid operators are In, NotIn, Exists, DoesNotExist. 
+      -->
+
+      表示范围与一组值之间的关系。有效的运算符为 In、NotIn、Exists、DoesNotExist。
+
+    - **scopeSelector.matchExpressions.scopeName** (string)，必需
+
+      <!-- 
+      The name of the scope that the selector applies to. 
+      -->
+
+      选择器所适用的范围的名称。
+
+    - **scopeSelector.matchExpressions.values** ([]string)
+
+      <!-- 
+      An array of string values. If the operator is In or NotIn, the values array must be non-empty. If the operator is Exists or DoesNotExist, the values array must be empty. This array is replaced during a strategic merge patch. 
+      -->
+
+      字符串值数组。
+      如果操作符是 In 或 NotIn，values 数组必须是非空的。
+      如果操作符是 Exists 或 DoesNotExist，values 数组必须为空。
+      该数组将在策略性合并补丁操作期间被替换。
+
+- **scopes** ([]string)
+
+  <!-- 
+  A collection of filters that must match each object tracked by a quota. If not specified, the quota matches all objects. 
+  -->
+
+  一个匹配被配额跟踪的所有对象的过滤器集合。
+  如果没有指定，则默认匹配所有对象。
+
+## ResourceQuotaStatus {#ResourceQuotaStatus}
+
+<!-- 
+ResourceQuotaStatus defines the enforced hard limits and observed use. 
+-->
+ResourceQuotaStatus 定义硬性限制和观测到的用量。
+
+<hr>
+
+- **hard** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  <!-- 
+  Hard is the set of enforced hard limits for each named resource. More info: https://kubernetes.io/docs/concepts/policy/resource-quotas/ 
+  -->
+
+  hard 是每种指定资源所强制实施的硬性限制集合。
+  更多信息： https://kubernetes.io/docs/concepts/policy/resource-quotas/
+
+- **used** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  <!-- 
+  Used is the current observed total usage of the resource in the namespace. 
+  -->
+
+  used 是当前命名空间中所观察到的资源总用量。
+
+## ResourceQuotaList {#ResourceQuotaList}
+
+<!-- 
+ResourceQuotaList is a list of ResourceQuota items. 
+-->
+ResourceQuotaList 是 ResourceQuota 列表。
+
+<hr>
+
+- **apiVersion**：v1
+
+- **kind**：ResourceQuotaList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!-- 
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 
+  -->
+
+  标准列表元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>)，必需
+
+  <!-- 
+  Items is a list of ResourceQuota objects. More info: https://kubernetes.io/docs/concepts/policy/resource-quotas/ 
+  -->
+
+  items 是 ResourceQuota 对象的列表。
+  更多信息： https://kubernetes.io/docs/concepts/policy/resource-quotas/
+
+<!--
+## Operations {#Operations}
+-->
+## 操作 {#Operations}
+
+<hr>
+
+<!-- 
+### `get` read the specified ResourceQuota 
+-->
+### `get` 读取指定的 ResourceQuota
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/resourcequotas/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `get` read status of the specified ResourceQuota 
+-->
+### `get` 读取指定的 ResourceQuota 的状态
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/resourcequotas/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind ResourceQuota 
+-->
+### `list` 列出或监视 ResourceQuota 类别的对象
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/resourcequotas
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuotaList" >}}">ResourceQuotaList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind ResourceQuota 
+-->
+### `list` 列出或监视 ResourceQuota 类别的对象
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+GET /api/v1/resourcequotas
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **allowWatchBookmarks** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuotaList" >}}">ResourceQuotaList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a ResourceQuota 
+-->
+### `create` 创建一个 ResourceQuota
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+POST /api/v1/namespaces/{namespace}/resourcequotas
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>, 必需
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Created
+
+202 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified ResourceQuota 
+-->
+### `update` 更新指定的 ResourceQuota
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/resourcequotas/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>, 必需
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `update` replace status of the specified ResourceQuota 
+-->
+### `update` 更新指定 ResourceQuota 的状态
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/resourcequotas/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>, 必需
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified ResourceQuota 
+-->
+### `patch` 部分更新指定的 ResourceQuota
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/resourcequotas/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update status of the specified ResourceQuota 
+-->
+### `patch` 部分更新指定 ResourceQuota 的状态
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/resourcequotas/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+201 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a ResourceQuota 
+-->
+### `delete` 删除 ResourceQuota
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/resourcequotas/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** （**路径参数**）: string, 必需
+
+  ResourceQuota 的名称
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): OK
+
+202 (<a href="{{< ref "../policy-resources/resource-quota-v1#ResourceQuota" >}}">ResourceQuota</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of ResourceQuota 
+-->
+### `deletecollection` 删除 ResourceQuota 的集合
+
+<!-- 
+#### HTTP Request 
+-->
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/resourcequotas
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/service-resources/endpoint-slice-v1.md b/content/zh-cn/docs/reference/kubernetes-api/service-resources/endpoint-slice-v1.md
new file mode 100644
index 00000000000..28dd3583933
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/service-resources/endpoint-slice-v1.md
@@ -0,0 +1,942 @@
+---
+api_metadata:
+  apiVersion: "discovery.k8s.io/v1"
+  import: "k8s.io/api/discovery/v1"
+  kind: "EndpointSlice"
+content_type: "api_reference"
+description: "EndpointSlice 是实现某 Service 的端点的子集."
+title: "EndpointSlice"
+weight: 3
+---
+
+<!--
+description: "EndpointSlice represents a subset of the endpoints that implement a service."
+-->
+
+`apiVersion: discovery.k8s.io/v1`
+
+`import "k8s.io/api/discovery/v1"`
+
+## EndpointSlice {#EndpointSlice}
+
+<!--
+EndpointSlice represents a subset of the endpoints that implement a service. For a given service there may be multiple EndpointSlice objects, selected by labels, which must be joined to produce the full set of endpoints.
+-->
+EndpointSlice 是实现某 Service 的端点的子集。一个 Service 可以有多个 EndpointSlice 对象与之对应，
+必须将所有的 EndpointSlice 拼接起来才能形成一套完整的端点集合。Service 通过标签来选择 EndpointSlice。
+
+<hr>
+
+- **apiVersion**: discovery.k8s.io/v1
+
+- **kind**: EndpointSlice
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata.
+  -->
+  标准的对象元数据。
+
+- **addressType** (string), <!--required-->必需
+  
+  <!--
+  addressType specifies the type of address carried by this EndpointSlice. All addresses in this slice must be the same type. This field is immutable after creation.
+  -->
+  addressType 指定当前 EndpointSlice 携带的地址类型。一个 EndpointSlice 只能携带同一类型的地址。
+  EndpointSlice 对象创建完成后不可以再更改 addressType 字段。
+  
+  <!--
+  The following address types are currently supported: * IPv4: Represents an IPv4 Address. * IPv6: Represents an IPv6 Address. * FQDN: Represents a Fully Qualified Domain Name.
+  -->  
+  目前支持的地址类型为：
+
+  * IPv4：表示 IPv4 地址。
+  * IPv6：表示 IPv6 地址。
+  * FQDN：表示完全限定域名。
+
+- **endpoints** ([]Endpoint), <!--required-->必需
+
+  <!--
+  *Atomic: will be replaced during a merge*
+  -->
+  **原子性：合并期间将被替换**
+
+  <!--
+  endpoints is a list of unique endpoints in this slice. Each slice may include a maximum of 1000 endpoints.
+  -->
+  endpoints 是当前 EndpointSlice 中一组唯一的端点。每个 EndpointSlice 最多可以包含 1000 个端点。
+
+  <a name="Endpoint"></a>
+
+  <!--
+  *Endpoint represents a single logical "backend" implementing a service.*
+  -->
+  **端点是实现某 Service 的一个逻辑“后端”。**
+
+  - **endpoints.addresses** ([]string), <!--required-->必需
+    
+    <!--
+    *Set: unique values will be kept during a merge*
+    -->
+    
+    **集合：不重复的值在合并期间会被保留**
+
+    <!--
+    addresses of this endpoint. The contents of this field are interpreted according to the corresponding EndpointSlice addressType field. Consumers must handle different types of addresses in the context of their own capabilities. This must contain at least one address but no more than 100. These are all assumed to be fungible and clients may choose to only use the first element. Refer to: https://issue.k8s.io/106267
+    -->
+    
+    本端点的地址。此字段的内容会根据对应的 EndpointSlice addressType 字段的值进行解释。
+    消费者必须根据自身能力处理不同类型的地址。此字段必须至少包含 1 个地址，最多不超过 100 个地址。
+    假定这些地址都是可替换的，而且客户端也可能选择只用第一个元素。参阅： https://issue.k8s.io/106267
+
+  - **endpoints.conditions** (EndpointConditions)
+
+    <!--
+    conditions contains information about the current status of the endpoint.
+    -->
+    
+    conditions 包含和本端点当前状态有关的信息。
+
+    <a name="EndpointConditions"></a>
+
+    <!--
+    *EndpointConditions represents the current condition of an endpoint.*
+    -->
+    
+    **EndpointConditions 是端点的当前状况。**
+
+    - **endpoints.conditions.ready** (boolean)  
+      
+      <!--
+      ready indicates that this endpoint is prepared to receive traffic, according to whatever system is managing the endpoint. A nil value indicates an unknown state. In most cases consumers should interpret this unknown state as ready. For compatibility reasons, ready should never be "true" for terminating endpoints.
+      -->
+      
+      ready 说明此端点已经准备好根据相关的系统映射接收流量。nil 值表示状态未知。
+      在大多数情况下，消费者应将这种未知状态视为就绪（ready）。
+      考虑到兼容性，对于正在结束状态下的端点，永远不能将 ready 设置为“true”。
+
+    - **endpoints.conditions.serving** (boolean)
+      
+      <!--
+      erving is identical to ready except that it is set regardless of the terminating state of endpoints. This condition should be set to true for a ready endpoint that is terminating. If nil, consumers should defer to the ready condition. This field can be enabled with the EndpointSliceTerminatingCondition feature gate.
+      -->
+      
+      serving 和 ready 非常相似。唯一的不同在于,
+      即便某端点的状态为 Terminating 也可以设置 serving。
+      对于处在终止过程中的就绪端点，此状况应被设置为 “true”。
+      如果设置为 nil，则消费者应该以 ready 值为准。
+      可以在 EndpointSliceTerminatingCondition 特性开关中启用此字段。
+
+    - **endpoints.conditions.terminating** (boolean)
+      
+      <!--
+      terminating indicates that this endpoint is terminating. A nil value indicates an unknown state. Consumers should interpret this unknown state to mean that the endpoint is not terminating. This field can be enabled with the EndpointSliceTerminatingCondition feature gate.
+      -->
+      
+      terminating 说明当前端点正在终止过程中。nil 值表示状态未知。
+      消费者应将这种未知状态视为端点并不处于终止过程中。
+      可以通过 EndpointSliceTerminatingCondition 特性门控启用此字段。
+
+  - **endpoints.deprecatedTopology** (map[string]string)
+    
+    <!--
+    deprecatedTopology contains topology information part of the v1beta1 API. This field is deprecated, and will be removed when the v1beta1 API is removed (no sooner than kubernetes v1.24). While this field can hold values, it is not writable through the v1 API, and any attempts to write to it will be silently ignored. Topology information can be found in the zone and nodeName fields instead.
+    -->
+    
+    deprecatedTopology 包含 v1beta1 API 的拓扑信息部分。目前已经弃用了此字段，
+    移除 v1beta1 API 时（不早于 Kubernetes v1.24）会一起移除此字段。
+    此字段目前仍然可以存储值，但是不能通过 v1 API 写入数据。
+    向此字段写入数据的任何尝试都会被忽略，并且不会通知用户。
+    移除此字段后，可以在 zone 和 nodeName 字段中查看拓扑信息。
+
+  - **endpoints.hints** (EndpointHints)
+
+    <!--
+    hints contains information associated with how an endpoint should be consumed.
+    -->
+    
+    hints 是关于应该如何使用某端点的提示信息。
+
+    <a name="EndpointHints"></a>
+
+    <!--
+    *EndpointHints provides hints describing how an endpoint should be consumed.*
+    -->
+    
+    **EndpointHints 提供应该如何使用某端点的提示信息。**
+
+    - **endpoints.hints.forZones** ([]ForZone)
+
+      <!--
+      *Atomic: will be replaced during a merge*
+      -->
+      
+      **原子性：合并期间将被替换**
+
+      <!--
+      forZones indicates the zone(s) this endpoint should be consumed by to enable topology aware routing.
+      -->
+      
+      forZones 表示应该由哪个可用区调用此端点从才能激活拓扑感知路由。
+
+      <a name="ForZone"></a>
+
+      <!--
+      *ForZone provides information about which zones should consume this endpoint.*
+      -->
+      
+      **ForZone 指示应该由哪些可用区调度此端点。**
+
+      - **endpoints.hints.forZones.name** (string), <!--required-->必需
+
+        <!--
+        name represents the name of the zone.
+        -->
+        
+        name 代表可用区的名称。
+
+  - **endpoints.hostname** (string)
+
+    <!--
+    hostname of this endpoint. This field may be used by consumers of endpoints to distinguish endpoints from each other (e.g. in DNS names). Multiple endpoints which use the same hostname should be considered fungible (e.g. multiple A values in DNS). Must be lowercase and pass DNS Label (RFC 1123) validation.
+    -->
+    
+    此端点的主机名称。端点的使用者可以通过此字段区分各个端点（例如，通过 DNS 域名）。
+    使用同一主机名称的多个端点应被视为可替换（例如，DNS 中的多个 A 记录）。
+    必须为小写字母，并且需要通过 DNS Label (RFC 1123) 验证。
+
+  - **endpoints.nodeName** (string)
+
+    <!--
+    nodeName represents the name of the Node hosting this endpoint. This can be used to determine endpoints local to a Node. This field can be enabled with the EndpointSliceNodeName feature gate.
+    -->
+    
+    nodeName 是托管此端点的 Node 的名称，使用 nodeName 可以决定 Node 本地有哪些端点。
+    可以通过 EndpointSliceNodeName 特性门控启用此字段。
+
+  - **endpoints.targetRef** (<a href="{{< ref "../common-definitions/object-reference#ObjectReference" >}}">ObjectReference</a>)
+
+    <!--
+    targetRef is a reference to a Kubernetes object that represents this endpoint.
+    -->
+    
+    targetRef 是对代表此端点的 Kubernetes 对象的引用。
+
+  - **endpoints.zone** (string)
+
+    <!--
+    zone is the name of the Zone this endpoint exists in.
+    -->
+    
+    zone 是此端点所在的可用区（Zone）的名称。
+
+- **ports** ([]EndpointPort)
+
+  <!--
+  *Atomic: will be replaced during a merge*
+  -->
+  
+  **原子性：合并期间会被替代**
+  
+  <!--
+  ports specifies the list of network ports exposed by each endpoint in this slice. Each port must have a unique name. When ports is empty, it indicates that there are no defined ports. When a port is defined with a nil port value, it indicates "all ports". Each slice may include a maximum of 100 ports.
+  -->
+  
+  ports 列出了当前 EndpointSlice 中各个端点所暴露的网络端口。每个端口的名称不得重复。
+  当 ports 列表为空时，表示没有已经指定暴露哪些端口。如果端口值被定义为 nil，表示暴露“所有端口”。
+  每个 EndpointSlice 最多可以包含 100 个端口。
+
+  <a name="EndpointPort"></a>
+
+  <!--
+  *EndpointPort represents a Port used by an EndpointSlice*
+  -->
+  
+  **EndpointPort 是 EndpointSlice 使用的端口。**
+
+  - **ports.port** (int32)
+
+    <!--
+    The port number of the endpoint. If this is not specified, ports are not restricted and must be interpreted in the context of the specific consumer.
+    -->
+    
+    端点的端口号。如果未指定，就不限制端口，且必须根据消费者的具体环境进行解释。
+
+  - **ports.protocol** (string)
+
+    <!--
+    The IP protocol for this port. Must be UDP, TCP, or SCTP. Default is TCP.
+    -->
+    
+    此端口的 IP 协议。必须为 UDP、TCP 或 SCTP。默认为 TCP。
+
+  - **ports.name** (string)
+
+    <!--
+    The name of this port. All ports in an EndpointSlice must have a unique name. If the EndpointSlice is dervied from a Kubernetes service, this corresponds to the Service.ports[].name. Name must either be an empty string or pass DNS_LABEL validation: * must be no more than 63 characters long. * must consist of lower case alphanumeric characters or '-'. * must start and end with an alphanumeric character. Default is empty string.
+    -->
+    
+    此端口的名称。EndpointSlice 中所有端口的名称都不得重复。
+    如果 EndpointSlice 是基于 Kubernetes Service 创建的，
+    那么此端口的名称和 Service.ports[].name 字段的值一致。默认为空字符串。
+    名称必须是空字符串，或者必须通过 DNS_LABEL 验证：
+    
+    * 最多包含 63 个字符。
+    * 必须包含英文小写字母或'-'。
+    * 必须以字母开头并以字母结尾。
+
+  - **ports.appProtocol** (string)
+
+    <!--
+    The application protocol for this port. This field follows standard Kubernetes label syntax. Un-prefixed names are reserved for IANA standard service names (as per RFC-6335 and https://www.iana.org/assignments/service-names). Non-standard protocols should use prefixed names such as mycompany.com/my-custom-protocol.-->
+    
+    此端口的应用层协议。此字段遵循标准的 Kubernetes Label 句法。
+    不带前缀的名称是 IANA 标准服务的保留名称（参见 RFC-6335 和 https://www.iana.org/assignments/service-names）。
+    非标准协议应该使用带前缀的名称，例如 mycompany.com/my-custom-protocol。
+
+## EndpointSliceList {#EndpointSliceList}
+
+<!--
+EndpointSliceList represents a list of endpoint slices
+-->
+EndpointSliceList 是 EndpointSlice 的列表。
+
+<hr>
+
+- **apiVersion**: discovery.k8s.io/v1
+
+- **kind**: EndpointSliceList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!--
+  Standard list metadata.
+  -->
+  标准的列表元数据
+
+- **items** ([]<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>), <!--required-->必需
+
+  <!--
+  List of endpoint slices
+  -->
+  EndpointSlice 列表
+
+<!--
+## Operations {#Operations}
+-->
+## 操作 {#操作}
+
+<hr>
+
+<!--
+### `get` read the specified EndpointSlice
+-->
+### `get` 读取指定的 EndpointSlice
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+GET /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices/{name}
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+-->
+- **name** (**路径参数**): string, 必需
+
+  <!--
+  name of the EndpointSlice
+  -->
+  EndpointSlice 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind EndpointSlice
+-->
+### `list` 列举或监测 EndpointSlice 类别的对象
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (*查询参数*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSliceList" >}}">EndpointSliceList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind EndpointSlice
+-->
+### `list` 列举或监测 EndpointSlice 类别的对象
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+GET /apis/discovery.k8s.io/v1/endpointslices
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**): integer
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (*查询参数*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSliceList" >}}">EndpointSliceList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create an EndpointSlice
+-->
+### `create` 创建 EndpointSlice
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+POST /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>, <!--required-->必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): OK
+
+201 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): Created
+
+202 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified EndpointSlice
+-->
+### `update` 替换指定的 EndpointSlice
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+PUT /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices/{name}
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+-->
+- **name** (**路径参数**): string, 必需
+
+  <!--
+  name of the EndpointSlice
+  -->
+  EndpointSlice 的名称
+
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>,<!-- required-->必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**): string-
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): OK
+
+201 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified EndpointSlice
+-->
+### `patch` 部分更新指定的 EndpointSlice
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+PATCH /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices/{name}
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+-->
+- **name** (**路径参数**): string, 必需
+
+  <!--name of the EndpointSlice-->
+  EndpointSlice 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, <!--required-->必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+-->
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): OK
+
+201 (<a href="{{< ref "../service-resources/endpoint-slice-v1#EndpointSlice" >}}">EndpointSlice</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete an EndpointSlice
+-->
+### `delete` 删除 EndpointSlice
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+DELETE /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices/{name}
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+-->
+- **name** (**路径参数**): string, 必需
+
+  <!--
+  name of the EndpointSlice
+  -->
+  EndpointSlice 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of EndpointSlice
+-->
+### `deletecollection` 删除 EndpointSlice 的集合
+
+<!--#### HTTP Request-->
+#### HTTP 请求
+
+DELETE /apis/discovery.k8s.io/v1/namespaces/{namespace}/endpointslices
+
+<!--#### Parameters-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--#### Response-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/service-resources/ingress-class-v1.md b/content/zh-cn/docs/reference/kubernetes-api/service-resources/ingress-class-v1.md
new file mode 100644
index 00000000000..81f308cbaf3
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/service-resources/ingress-class-v1.md
@@ -0,0 +1,687 @@
+---
+api_metadata:
+  apiVersion: "networking.k8s.io/v1"
+  import: "k8s.io/api/networking/v1"
+  kind: "IngressClass"
+content_type: "api_reference"
+description: "IngressClass 代表 Ingress 的类，被 Ingress 的规约引用。"
+title: "IngressClass"
+weight: 5
+---
+
+<!--
+api_metadata:
+  apiVersion: "networking.k8s.io/v1"
+  import: "k8s.io/api/networking/v1"
+  kind: "IngressClass"
+content_type: "api_reference"
+description: "IngressClass represents the class of the Ingress, referenced by the Ingress Spec."
+title: "IngressClass"
+weight: 5
+auto_generated: true
+-->
+
+`apiVersion: networking.k8s.io/v1`
+
+`import "k8s.io/api/networking/v1"`
+
+<!--
+## IngressClass {#IngressClass}
+
+IngressClass represents the class of the Ingress, referenced by the Ingress Spec. The `ingressclass.kubernetes.io/is-default-class` annotation can be used to indicate that an IngressClass should be considered default. When a single IngressClass resource has this annotation set to true, new Ingress resources without a class specified will be assigned this default class.
+-->
+## IngressClass {#IngressClass}
+
+IngressClass 代表 Ingress 的类，被 Ingress 的规约引用。
+`ingressclass.kubernetes.io/is-default-class`
+注解可以用来标明一个 IngressClass 应该被视为默认的 Ingress 类。
+当某个 IngressClass 资源将此注解设置为 true 时，
+没有指定类的新 Ingress 资源将被分配到此默认类。
+
+<hr>
+
+- **apiVersion**: networking.k8s.io/v1
+
+- **kind**: IngressClass
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClassSpec" >}}">IngressClassSpec</a>)
+
+  <!--
+  Spec is the desired state of the IngressClass. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+  spec 是 IngressClass 的期望状态。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## IngressClassSpec {#IngressClassSpec}
+
+<!--
+IngressClassSpec provides information about the class of an Ingress.
+-->
+IngressClassSpec 提供有关 Ingress 类的信息。
+
+<hr>
+
+- **controller** (string)
+
+  <!--
+  Controller refers to the name of the controller that should handle this class. This allows for different "flavors" that are controlled by the same controller. For example, you may have different Parameters for the same implementing controller. This should be specified as a domain-prefixed path no more than 250 characters in length, e.g. "acme.io/ingress-controller". This field is immutable.
+  -->
+  controller 是指应该处理此类的控制器名称。
+  这允许由同一控制器控制不同“口味”。例如，对于同一个实现的控制器你可能有不同的参数。
+  此字段应该指定为长度不超过 250 个字符的域前缀路径，例如 “acme.io/ingress-controller”。
+  该字段是不可变的。
+
+- **parameters** (IngressClassParametersReference)
+
+  <!--
+  Parameters is a link to a custom resource containing additional configuration for the controller. This is optional if the controller does not require extra parameters.
+  -->
+  parameters 是指向控制器中包含额外配置的自定义资源的链接。
+  如果控制器不需要额外的属性，这是可选的。
+
+  <a name="IngressClassParametersReference"></a>
+  <!--
+  *IngressClassParametersReference identifies an API object. This can be used to specify a cluster or namespace-scoped resource.*
+  -->
+  **IngressClassParametersReference 标识一个 API 对象。这可以用来指定一个集群或者命名空间范围的资源**
+
+  <!--
+  - **parameters.kind** (string), required
+
+    Kind is the type of resource being referenced.
+  -->
+
+  - **parameters.kind** (string)，必需
+    
+    kind 是被引用资源的类型。
+
+  <!--
+  - **parameters.name** (string), required
+
+    Name is the name of resource being referenced.
+  -->
+
+  - **parameters.name** (string)，必需
+
+    name 是被引用资源的名称。
+
+  - **parameters.apiGroup** (string)
+    <!--
+    APIGroup is the group for the resource being referenced. If APIGroup is not specified, the specified Kind must be in the core API group. For any other third-party types, APIGroup is required.
+    -->
+
+    apiGroup 是被引用资源的组。
+    如果未指定 apiGroup，则被指定的 kind 必须在核心 API 组中。
+    对于任何其他第三方类型，apiGroup 是必需的。
+
+  - **parameters.namespace** (string)
+    <!--
+    Namespace is the namespace of the resource being referenced. This field is required when scope is set to "Namespace" and must be unset when scope is set to "Cluster".
+    -->
+
+    namespace 是被引用资源的命名空间。
+    当范围被设置为 “namespace” 时，此字段是必需的；
+    当范围被设置为 “Cluster” 时，此字段必须不设置。
+
+  - **parameters.scope** (string)
+    <!--
+    Scope represents if this refers to a cluster or namespace scoped resource. This may be set to "Cluster" (default) or "Namespace".
+    -->
+
+    scope 表示是否引用集群或者命名空间范围的资源。
+    这可以设置为“集群”（默认）或者“命名空间”。
+
+## IngressClassList {#IngressClassList}
+
+<!--
+IngressClassList is a collection of IngressClasses.
+-->
+IngressClassList 是 IngressClasses 的集合。
+
+<hr>
+
+- **apiVersion**: networking.k8s.io/v1
+
+- **kind**: IngressClassList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!--
+  Standard list metadata.
+  -->
+  标准的列表元数据。
+
+<!--
+- **items** ([]<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>), required
+
+  Items is the list of IngressClasses.
+-->
+- **items** ([]<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>)，必需
+
+  items 是 IngressClasses 的列表。
+
+<!--
+## Operations {#Operations}
+-->
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified IngressClass
+
+#### HTTP Request
+-->
+### `get` 读取指定的 IngressClass
+
+#### HTTP 请求
+
+GET /apis/networking.k8s.io/v1/ingressclasses/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the IngressClass
+-->
+- **name** （**路径参数**）：string，必需
+
+  IngressClass 的名称
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind IngressClass
+#### HTTP Request
+-->
+### `list` 列出或监视 IngressClass 类型的对象
+
+#### HTTP 请求
+
+GET /apis/networking.k8s.io/v1/ingressclasses
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClassList" >}}">IngressClassList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create an IngressClass
+
+#### HTTP Request
+-->
+### `create` 创建一个 IngressClass
+
+#### HTTP 请求
+
+POST /apis/networking.k8s.io/v1/ingressclasses
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **body**: <a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>, required
+-->
+- **body**: <a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): OK
+
+201 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): Created
+
+202 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified IngressClass
+
+#### HTTP Request
+-->
+### `update` 替换指定的 IngressClass
+
+#### HTTP 请求
+
+PUT /apis/networking.k8s.io/v1/ingressclasses/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the IngressClass
+-->
+- **name** （**路径参数**）：string，必需
+
+  IngressClass 的名称
+
+<!--
+- **body**: <a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>, required
+-->
+- **body**: <a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): OK
+
+201 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified IngressClass
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 IngressClass
+
+#### HTTP 请求
+
+PATCH /apis/networking.k8s.io/v1/ingressclasses/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the IngressClass
+-->
+- **name** （**路径参数**）：string，必需
+
+  IngressClass 的名称
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+-->
+- **force** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): OK
+
+201 (<a href="{{< ref "../service-resources/ingress-class-v1#IngressClass" >}}">IngressClass</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete an IngressClass
+
+#### HTTP Request
+-->
+### `delete` 删除一个 IngressClass
+
+#### HTTP 请求
+
+DELETE /apis/networking.k8s.io/v1/ingressclasses/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the IngressClass
+-->
+- **name** （**路径参数**）：string，必需
+
+  IngressClass 的名称
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** （**查询字符串**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of IngressClass
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 IngressClass 的集合
+
+DELETE /apis/networking.k8s.io/v1/ingressclasses
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** （**查询字符串**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/service-resources/service-v1.md b/content/zh-cn/docs/reference/kubernetes-api/service-resources/service-v1.md
new file mode 100644
index 00000000000..d88397f7036
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/service-resources/service-v1.md
@@ -0,0 +1,1365 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Service"
+content_type: "api_reference"
+description: "Service 是软件服务（例如 mysql）的命名抽象，包含代理要侦听的本地端口（例如 3306）和一个选择算符，选择算符用来确定哪些 Pod 将响应通过代理发送的请求。"
+title: Service
+weight: 1
+---
+
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Service"
+content_type: "api_reference"
+description: "Service is a named abstraction of software service (for example, mysql) consisting of local port (for example 3306) that the proxy listens on, and the selector that determines which Pods will answer requests sent through the proxy."
+title: "Service"
+weight: 1
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1”`
+
+## Service {#Service}
+<!--
+Service is a named abstraction of software service (for example, mysql) consisting of local port (for example 3306) that the proxy listens on, and the selector that determines which Pods will answer requests sent through the proxy.
+-->
+
+Service 是软件服务（例如 mysql）的命名抽象，包含代理要侦听的本地端口（例如 3306）和一个选择算符，
+选择算符用来确定哪些 Pod 将响应通过代理发送的请求。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: Service
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../service-resources/service-v1#ServiceSpec" >}}">ServiceSpec</a>)
+
+  <!--
+  Spec defines the behavior of a service. https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+
+  spec 定义 Service 的行为。https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+- **status**（<a href="{{< ref "../service-resources/service-v1#ServiceStatus" >}}">ServiceStatus</a>）
+
+  <!--
+  Most recently observed status of the service. Populated by the system. Read-only. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+
+  最近观察到的 Service 状态。由系统填充。只读。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## ServiceSpec {#ServiceSpec}
+
+<!-- 
+ServiceSpec describes the attributes that a user creates on a service. 
+-->
+ServiceSpec 描述用户在服务上创建的属性。
+
+<hr>
+
+- **selector** (map[string]string)
+
+  <!-- 
+  Route service traffic to Pods with label keys and values matching this selector. If empty or not present, the service is assumed to have an external process managing its endpoints, which Kubernetes will not modify. Only applies to types ClusterIP, NodePort, and LoadBalancer. Ignored if type is ExternalName. More info: https://kubernetes.io/docs/concepts/services-networking/service/ 
+  -->
+
+  将 Service 流量路由到具有与此 selector 匹配的标签键值对的 Pod。
+  如果为空或不存在，则假定该服务有一个外部进程管理其端点，Kubernetes 不会修改该端点。
+  仅适用于 ClusterIP、NodePort 和 LoadBalancer 类型。如果类型为 ExternalName，则忽略。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/
+
+- **ports** ([]ServicePort)
+
+  <!-- 
+  *Patch strategy: merge on key `port`*
+
+  *Map: unique values on keys `port, protocol` will be kept during a merge*
+
+  The list of ports that are exposed by this service. More info: https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies
+  -->
+
+  **Patch strategy：基于键 `type` 合并**
+
+  **Map：合并时将保留 type 键的唯一值**
+
+  此 Service 公开的端口列表。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies
+
+  <a name="ServicePort"></a>
+
+  <!-- 
+  *ServicePort contains information on service's port.*
+  -->
+
+  **ServicePort 包含有关 ServicePort 的信息。**
+
+  <!-- 
+  - **ports.port** (int32), required
+    The port that will be exposed by this service.
+  -->
+
+  - **ports.port** (int32)，必需
+
+    Service 将公开的端口。
+
+    <!-- 
+    Number or name of the port to access on the Pods targeted by the service. Number must be in the range 1 to 65535. Name must be an IANA_SVC_NAME. If this is a string, it will be looked up as a named port in the target Pod's container ports. If this is not specified, the value of the 'port' field is used (an identity map). This field is ignored for services with clusterIP=None, and should be omitted or set equal to the 'port' field. More info: https://kubernetes.io/docs/concepts/services-networking/service/#defining-a-service
+    -->
+
+    在 Service 所针对的 Pod 上要访问的端口号或名称。
+    编号必须在 1 到 65535 的范围内。名称必须是 IANA_SVC_NAME。
+    如果此值是一个字符串，将在目标 Pod 的容器端口中作为命名端口进行查找。
+    如果未指定字段，则使用 "port” 字段的值（直接映射）。
+    对于 clusterIP 为 None 的服务，此字段将被忽略，
+    应忽略不设或设置为 "port” 字段的取值。
+    更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#defining-a-service
+
+    <a name="IntOrString"></a>
+
+    <!-- 
+    *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.* -->
+
+    IntOrString 是一种可以保存 int32 或字符串的类型。
+    在 JSON 或 YAML 编组和解组中使用时，它会生成或使用内部类型。
+    例如，这允许您拥有一个可以接受名称或数字的 JSON 字段。
+
+  - **ports.protocol** (string)
+
+    <!-- 
+    The IP protocol for this port. Supports "TCP", "UDP", and "SCTP". Default is TCP. 
+    -->
+
+    此端口的 IP 协议。支持 “TCP”、“UDP” 和 “SCTP”。默认为 TCP。
+
+  - **ports.name** (string)
+
+    <!-- 
+    The name of this port within the service. This must be a DNS_LABEL. All ports within a ServiceSpec must have unique names. When considering the endpoints for a Service, this must match the 'name' field in the EndpointPort. Optional if only one ServicePort is defined on this service. 
+    -->
+
+    Service 中此端口的名称。这必须是 DNS_LABEL。
+    ServiceSpec 中的所有端口的名称都必须唯一。
+    在考虑 Service 的端点时，这一字段值必须与 EndpointPort 中的 `name` 字段相同。
+    如果此服务上仅定义一个 ServicePort，则为此字段为可选。
+
+  - **ports.nodePort** (int32)
+
+    <!-- 
+    The port on each node on which this service is exposed when type is NodePort or LoadBalancer.  Usually assigned by the system. If a value is specified, in-range, and not in use it will be used, otherwise the operation will fail.  If not specified, a port will be allocated if this Service requires one.  If this field is specified when creating a Service which does not need it, creation will fail. This field will be wiped when updating a Service to no longer need it (e.g. changing type from NodePort to ClusterIP). More info: https://kubernetes.io/docs/concepts/services-networking/service/#type-nodeport -->
+
+    当类型为 NodePort 或 LoadBalancer 时，Service 公开在节点上的端口，
+    通常由系统分配。如果指定了一个在范围内且未使用的值，则将使用该值，否则操作将失败。
+    如果在创建的 Service 需要该端口时未指定该字段，则会分配端口。
+    如果在创建不需要该端口的 Service时指定了该字段，则会创建失败。
+    当更新 Service 时，如果不再需要此字段（例如，将类型从 NodePort 更改为 ClusterIP），这个字段将被擦除。
+    更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#type-nodeport
+
+  - **ports.appProtocol** (string)
+
+    <!-- 
+    The application protocol for this port. This field follows standard Kubernetes label syntax. Un-prefixed names are reserved for IANA standard service names (as per RFC-6335 and https://www.iana.org/assignments/service-names). Non-standard protocols should use prefixed names such as mycompany.com/my-custom-protocol. 
+    -->
+
+    此端口的应用协议，遵循标准的 Kubernetes 标签语法，无前缀名称按照 IANA 标准服务名称
+    （参见 RFC-6335 和 https://www.iana.org/assignments/service-names）。
+    非标准协议应该使用前缀名称，如 mycompany.com/my-custom-protocol。
+
+- **type** (string)
+
+  <!-- 
+  type determines how the Service is exposed. Defaults to ClusterIP. Valid options are ExternalName, ClusterIP, NodePort, and LoadBalancer. "ClusterIP" allocates a cluster-internal IP address for load-balancing to endpoints. Endpoints are determined by the selector or if that is not specified, by manual construction of an Endpoints object or EndpointSlice objects. If clusterIP is "None", no virtual IP is allocated and the endpoints are published as a set of endpoints rather than a virtual IP. "NodePort" builds on ClusterIP and allocates a port on every node which routes to the same endpoints as the clusterIP. "LoadBalancer" builds on NodePort and creates an external load-balancer (if supported in the current cloud) which routes to the same endpoints as the clusterIP. "ExternalName" aliases this service to the specified externalName. Several other fields do not apply to ExternalName services. More info: https://kubernetes.io/docs/concepts/services-networking/service/#publishing-services-service-types 
+  -->
+
+  type 确定 Service 的公开方式。默认为 ClusterIP。
+  有效选项为 ExternalName、ClusterIP、NodePort 和 LoadBalancer。
+  “ClusterIP” 为端点分配一个集群内部 IP 地址用于负载均衡。
+  Endpoints 由 selector 确定，如果未设置 selector，则需要通过手动构造 Endpoints 或 EndpointSlice 的对象来确定。
+  如果 clusterIP 为 “None”，则不分配虚拟 IP，并且 Endpoints 作为一组端点而不是虚拟 IP 发布。
+  “NodePort” 建立在 ClusterIP 之上，并在每个节点上分配一个端口，该端口路由到与 clusterIP 相同的 Endpoints。
+  “LoadBalancer” 基于 NodePort 构建并创建一个外部负载均衡器（如果当前云支持），该负载均衡器路由到与 clusterIP 相同的 Endpoints。
+  “externalName” 将此 Service 别名为指定的 externalName。其他几个字段不适用于 ExternalName Service。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#publishing-services-service-types
+
+- **ipFamilies** ([]string)
+
+  <!-- 
+  *Atomic: will be replaced during a merge* 
+  -->
+
+  **原子: 将在合并期间被替换**
+
+  <!-- 
+  IPFamilies is a list of IP families (e.g. IPv4, IPv6) assigned to this service. This field is usually assigned automatically based on cluster configuration and the ipFamilyPolicy field. If this field is specified manually, the requested family is available in the cluster, and ipFamilyPolicy allows it, it will be used; otherwise creation of the service will fail. This field is conditionally mutable: it allows for adding or removing a secondary IP family, but it does not allow changing the primary IP family of the Service. Valid values are "IPv4" and "IPv6".  This field only applies to Services of types ClusterIP, NodePort, and LoadBalancer, and does apply to "headless" services. This field will be wiped when updating a Service to type ExternalName. 
+  -->
+
+  iPFamilies 是分配给此服务的 IP 协议（例如 IPv4、IPv6）的列表。
+  该字段通常根据集群配置和 ipFamilyPolicy 字段自动设置。
+  如果手动指定该字段，且请求的协议在集群中可用，且 ipFamilyPolicy 允许，则使用；否则服务创建将失败。
+  该字段修改是有条件的：它允许添加或删除辅助 IP 协议，但不允许更改服务的主要 IP 协议。
+  有效值为 “IPv4” 和 “IPv6”。
+  该字段仅适用于 ClusterIP、NodePort 和 LoadBalancer 类型的服务，并且确实可用于“无头”服务。
+  更新服务设置类型为 ExternalName 时，该字段将被擦除。
+
+  <!--
+  This field may hold a maximum of two entries (dual-stack families, in either order).  These families must correspond to the values of the clusterIPs field, if specified. Both clusterIPs and ipFamilies are governed by the ipFamilyPolicy field. 
+  -->
+
+  该字段最多可以包含两个条目（双栈系列，按任意顺序）。
+  如果指定，这些协议栈必须对应于 clusterIPs 字段的值。
+  clusterIP 和 ipFamilies 都由 ipFamilyPolicy 字段管理。
+
+- **ipFamilyPolicy** (string)
+
+  <!-- 
+  IPFamilyPolicy represents the dual-stack-ness requested or required by this Service. If there is no value provided, then this field will be set to SingleStack. Services can be "SingleStack" (a single IP family), "PreferDualStack" (two IP families on dual-stack configured clusters or a single IP family on single-stack clusters), or "RequireDualStack" (two IP families on dual-stack configured clusters, otherwise fail). The ipFamilies and clusterIPs fields depend on the value of this field. This field will be wiped when updating a service to type ExternalName. 
+  -->
+
+  iPFamilyPolicy 表示此服务请求或要求的双栈特性。
+  如果没有提供值，则此字段将被设置为 SingleStack。
+  服务可以是 “SingleStack”（单个 IP 协议）、
+  “PreferDualStack”（双栈配置集群上的两个 IP 协议或单栈集群上的单个 IP 协议）
+  或 “RequireDualStack”（双栈上的两个 IP 协议配置的集群，否则失败）。
+  ipFamilies 和 clusterIPs 字段取决于此字段的值。
+  更新服务设置类型为 ExternalName 时，此字段将被擦除。
+
+
+- **clusterIP** (string)
+
+  <!-- 
+  clusterIP is the IP address of the service and is usually assigned randomly. If an address is specified manually, is in-range (as per system configuration), and is not in use, it will be allocated to the service; otherwise creation of the service will fail. This field may not be changed through updates unless the type field is also being changed to ExternalName (which requires this field to be blank) or the type field is being changed from ExternalName (in which case this field may optionally be specified, as describe above).  Valid values are "None", empty string (""), or a valid IP address. Setting this to "None" makes a "headless service" (no virtual IP), which is useful when direct endpoint connections are preferred and proxying is not required.  Only applies to types ClusterIP, NodePort, and LoadBalancer. If this field is specified when creating a Service of type ExternalName, creation will fail. This field will be wiped when updating a Service to type ExternalName. More info: https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies 
+  -->
+
+  clusterIP 是服务的 IP 地址，通常是随机分配的。
+  如果地址是手动指定的，在范围内（根据系统配置），且没有被使用，它将被分配给服务，否则创建服务将失败。
+  clusterIP 一般不会被更改，除非 type 被更改为 ExternalName
+  （ExternalName 需要 clusterIP 为空）或 type 已经是 ExternalName 时，可以更改 clusterIP（在这种情况下，可以选择指定此字段）。
+  可选值 “None”、空字符串 (“”) 或有效的 IP 地址。
+  clusterIP 为 “None” 时会生成“无头服务”（无虚拟 IP），这在首选直接 Endpoint 连接且不需要代理时很有用。
+  仅适用于 ClusterIP、NodePort、和 LoadBalancer 类型的服务。
+  如果在创建 ExternalName 类型的 Service 时指定了 clusterIP，则创建将失败。
+  更新 Service type 为 ExternalName 时，clusterIP 会被移除。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies
+
+- **clusterIPs** ([]string)
+
+  <!-- 
+  *Atomic: will be replaced during a merge* 
+  -->
+  **原子: 将在合并期间被替换**
+
+  <!-- 
+  ClusterIPs is a list of IP addresses assigned to this service, and are usually assigned randomly.  If an address is specified manually, is in-range (as per system configuration), and is not in use, it will be allocated to the service; otherwise creation of the service will fail. This field may not be changed through updates unless the type field is also being changed to ExternalName (which requires this field to be empty) or the type field is being changed from ExternalName (in which case this field may optionally be specified, as describe above).  Valid values are "None", empty string (""), or a valid IP address.  Setting this to "None" makes a "headless service" (no virtual IP), which is useful when direct endpoint connections are preferred and proxying is not required.  Only applies to types ClusterIP, NodePort, and LoadBalancer. If this field is specified when creating a Service of type ExternalName, creation will fail. This field will be wiped when updating a Service to type ExternalName.  If this field is not specified, it will be initialized from the clusterIP field.  If this field is specified, clients must ensure that clusterIPs[0] and clusterIP have the same value.
+  -->
+
+  clusterIPs 是分配给该 Service 的 IP 地址列表，通常是随机分配的。
+  如果地址是手动指定的，在范围内（根据系统配置），且没有被使用，它将被分配给 Service；否则创建 Service 失败。
+  clusterIP 一般不会被更改，除非 type 被更改为 ExternalName
+  （ExternalName 需要 clusterIPs 为空）或 type 已经是 ExternalName 时，可以更改 clusterIPs（在这种情况下，可以选择指定此字段）。
+  可选值 “None”、空字符串 (“”) 或有效的 IP 地址。
+  clusterIPs 为 “None” 时会生成“无头服务”（无虚拟 IP），这在首选直接 Endpoint 连接且不需要代理时很有用。
+  适用于 ClusterIP、NodePort、和 LoadBalancer 类型的服务。
+  如果在创建 ExternalName 类型的 Service 时指定了 clusterIPs，则会创建失败。
+  更新 Service type 为 ExternalName 时，该字段将被移除。如果未指定此字段，则将从 clusterIP 字段初始化。
+  如果指定 clusterIPs，客户端必须确保 clusterIPs[0] 和 clusterIP 一致。
+
+  <!-- 
+  This field may hold a maximum of two entries (dual-stack IPs, in either order). These IPs must correspond to the values of the ipFamilies field. Both clusterIPs and ipFamilies are governed by the ipFamilyPolicy field. More info: https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies 
+  -->
+
+  clusterIPs 最多可包含两个条目（双栈系列，按任意顺序）。
+  这些 IP 必须与 ipFamilies 的值相对应。
+  clusterIP 和 ipFamilies 都由 ipFamilyPolicy 管理。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies
+
+- **externalIPs** ([]string)
+
+  <!-- 
+  externalIPs is a list of IP addresses for which nodes in the cluster will also accept traffic for this service.  These IPs are not managed by Kubernetes.  The user is responsible for ensuring that traffic arrives at a node with this IP.  A common example is external load-balancers that are not part of the Kubernetes system. 
+  -->
+
+  externalIPs 是一个 IP 列表，集群中的节点会为此 Service 接收针对这些 IP 地址的流量。
+  这些 IP 不被 Kubernetes 管理。用户需要确保流量可以到达具有此 IP 的节点。
+  一个常见的例子是不属于 Kubernetes 系统的外部负载均衡器。
+
+- **sessionAffinity** (string)
+
+  <!-- 
+  Supports "ClientIP" and "None". Used to maintain session affinity. Enable client IP based session affinity. Must be ClientIP or None. Defaults to None. More info: https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies 
+  -->
+
+  支持 “ClientIP” 和 “None”。用于维护会话亲和性。
+  启用基于客户端 IP 的会话亲和性。必须是 ClientIP 或 None。默认为 None。
+  更多信息： https://kubernetes.io/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies
+
+- **loadBalancerIP** (string)
+
+  <!-- 
+  Only applies to Service Type: LoadBalancer. This feature depends on whether the underlying cloud-provider supports specifying the loadBalancerIP when a load balancer is created. This field will be ignored if the cloud-provider does not support the feature. Deprecated: This field was under-specified and its meaning varies across implementations, and it cannot support dual-stack. As of Kubernetes v1.24, users are encouraged to use implementation-specific annotations when available. This field may be removed in a future API version. 
+  -->
+
+  仅适用于服务类型: LoadBalancer。此功能取决于底层云提供商是否支持负载均衡器。
+  如果云提供商不支持该功能，该字段将被忽略。
+  已弃用: 该字段信息不足，且其含义因实现而异，而且不支持双栈。
+  从 Kubernetes v1.24 开始，鼓励用户在可用时使用特定于实现的注释。在未来的 API 版本中可能会删除此字段。
+
+- **loadBalancerSourceRanges** ([]string)
+
+  <!-- 
+  If specified and supported by the platform, this will restrict traffic through the cloud-provider load-balancer will be restricted to the specified client IPs. This field will be ignored if the cloud-provider does not support the feature." More info: https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/ 
+  -->
+
+  如果设置了此字段并且被平台支持，将限制通过云厂商的负载均衡器的流量到指定的客户端 IP。
+  如果云提供商不支持该功能，该字段将被忽略。
+  更多信息： https://kubernetes.io/docs/tasks/access-application-cluster/create-external-load-balancer/
+
+- **loadBalancerClass** (string)
+
+  <!-- loadBalancerClass is the class of the load balancer implementation this Service belongs to. If specified, the value of this field must be a label-style identifier, with an optional prefix, e.g. "internal-vip" or "example.com/internal-vip". Unprefixed names are reserved for end-users. This field can only be set when the Service type is 'LoadBalancer'. If not set, the default load balancer implementation is used, today this is typically done through the cloud provider integration, but should apply for any default implementation. If set, it is assumed that a load balancer implementation is watching for Services with a matching class. Any default load balancer implementation (e.g. cloud providers) should ignore Services that set this field. This field can only be set when creating or updating a Service to type 'LoadBalancer'. Once set, it can not be changed. This field will be wiped when a service is updated to a non 'LoadBalancer' type.
+  -->
+
+  loadBalancerClass 是此 Service 所属的负载均衡器实现的类。
+  如果设置了此字段，则字段值必须是标签风格的标识符，带有可选前缀，例如 ”internal-vip” 或 “example.com/internal-vip”。
+  无前缀名称是为最终用户保留的。该字段只能在 Service 类型为 “LoadBalancer” 时设置。
+  如果未设置此字段，则使用默认负载均衡器实现。默认负载均衡器现在通常通过云提供商集成完成，但应适用于任何默认实现。
+  如果设置了此字段，则假定负载均衡器实现正在监视具有对应负载均衡器类的 Service。
+  任何默认负载均衡器实现（例如云提供商）都应忽略设置此字段的 Service。
+  只有在创建或更新的 Service 的 type 为 “LoadBalancer” 时，才可设置此字段。
+  一经设定，不可更改。当 Service 的 type 更新为 “LoadBalancer” 之外的其他类型时，此字段将被移除。
+
+- **externalName** (string)
+
+  <!-- 
+  externalName is the external reference that discovery mechanisms will return as an alias for this service (e.g. a DNS CNAME record). No proxying will be involved.  Must be a lowercase RFC-1123 hostname (https://tools.ietf.org/html/rfc1123) and requires `type` to be "ExternalName". 
+  -->
+
+  externalName 是发现机制将返回的外部引用，作为此服务的别名（例如 DNS CNAME 记录）。
+  不涉及代理。必须是小写的 RFC-1123 主机名 (https://tools.ietf.org/html/rfc1123)，
+  并且要求 `type` 为 “ExternalName”。
+
+- **externalTrafficPolicy** (string)
+
+  <!-- 
+  externalTrafficPolicy denotes if this Service desires to route external traffic to node-local or cluster-wide endpoints. "Local" preserves the client source IP and avoids a second hop for LoadBalancer and Nodeport type services, but risks potentially imbalanced traffic spreading. "Cluster" obscures the client source IP and may cause a second hop to another node, but should have good overall load-spreading. 
+  -->
+  externalTrafficPolicy 表示此 Service 是否希望将外部流量路由到节点本地或集群范围的 Endpoint。
+  字段值 “Local” 保留客户端 IP 并可避免 LoadBalancer 和 Nodeport 类型 Service 的第二跳，但存在潜在流量传播不平衡的风险。
+  字段值 “Cluster” 则会掩盖客户端源 IP，可能会导致第二次跳转到另一个节点，但整体流量负载分布较好。
+
+- **internalTrafficPolicy** (string)
+
+  <!-- 
+  InternalTrafficPolicy specifies if the cluster internal traffic should be routed to all endpoints or node-local endpoints only. "Cluster" routes internal traffic to a Service to all endpoints. "Local" routes traffic to node-local endpoints only, traffic is dropped if no node-local endpoints are ready. The default value is "Cluster". 
+  -->
+  internalTrafficPolicy 指定是将集群内部流量路由到所有端点还是仅路由到节点本地的端点。
+  字段值 “Cluster” 将 Service 的内部流量路由到所有端点。
+  字段值 ”Local” 意味着仅将流量路由到节点本地的端点；如果节点本地端点未准备好，则丢弃流量。
+  默认值为 “Cluster”。
+
+- **healthCheckNodePort** (int32)
+
+  <!-- 
+  healthCheckNodePort specifies the healthcheck nodePort for the service. This only applies when type is set to LoadBalancer and externalTrafficPolicy is set to Local. If a value is specified, is in-range, and is not in use, it will be used.  If not specified, a value will be automatically allocated.  External systems (e.g. load-balancers) can use this port to determine if a given node holds endpoints for this service or not.  If this field is specified when creating a Service which does not need it, creation will fail. This field will be wiped when updating a Service to no longer need it (e.g. changing type). 
+  -->
+  healthCheckNodePort 指定 Service 的健康检查节点端口。
+  仅适用于 type 为 LoadBalancer 且 externalTrafficPolicy 设置为 Local 的情况。
+  如果为此字段设定了一个值，该值在合法范围内且没有被使用，则使用所指定的值。
+  如果未设置此字段，则自动分配字段值。外部系统（例如负载平衡器）可以使用此端口来确定给定节点是否拥有此服务的端点。
+  在创建不需要 healthCheckNodePort 的 Service 时指定了此字段，则 Service 创建会失败。
+  要移除 healthCheckNodePort，需要更改 Service 的 type。
+
+- **publishNotReadyAddresses** (boolean)
+
+  <!-- 
+  publishNotReadyAddresses indicates that any agent which deals with endpoints for this Service should disregard any indications of ready/not-ready. The primary use case for setting this field is for a StatefulSet's Headless Service to propagate SRV DNS records for its Pods for the purpose of peer discovery. The Kubernetes controllers that generate Endpoints and EndpointSlice resources for Services interpret this to mean that all endpoints are considered "ready" even if the Pods themselves are not. Agents which consume only Kubernetes generated endpoints through the Endpoints or EndpointSlice resources can safely assume this behavior. 
+  -->
+
+  publishNotReadyAddresses 表示任何处理此 Service 端点的代理都应忽略任何准备就绪/未准备就绪的指示。
+  设置此字段的主要场景是为 StatefulSet 的服务提供支持，使之能够为其 Pod 传播 SRV DNS 记录，以实现对等发现。
+  为 Service 生成 Endpoints 和 EndpointSlice 资源的 Kubernetes 控制器对字段的解读是，
+  即使 Pod 本身还没有准备好，所有端点都可被视为 “已就绪”。
+  对于代理而言，如果仅使用 Kubernetes 通过 Endpoints 或 EndpointSlice 资源所生成的端点，
+  则可以安全地假设这种行为。
+
+- **sessionAffinityConfig** (SessionAffinityConfig)
+
+  <!-- 
+  sessionAffinityConfig contains the configurations of session affinity. 
+  -->
+  sessionAffinityConfig 包含会话亲和性的配置。
+
+  <a name="SessionAffinityConfig"></a>
+
+  <!-- 
+  *SessionAffinityConfig represents the configurations of session affinity.* 
+  -->
+  **SessionAffinityConfig 表示会话亲和性的配置。**
+
+  - **sessionAffinityConfig.clientIP** (ClientIPConfig)
+
+    <!-- 
+    clientIP contains the configurations of Client IP based session affinity. 
+    -->
+    
+    clientIP 包含基于客户端 IP 的会话亲和性的配置。
+
+    <a name="ClientIPConfig"></a>
+  
+    <!-- 
+    *ClientIPConfig represents the configurations of Client IP based session affinity.* 
+    -->
+
+    ClientIPConfig 表示基于客户端 IP 的会话亲和性的配置。
+
+    - **sessionAffinityConfig.clientIP.timeoutSeconds** (int32)
+
+      <!-- 
+      timeoutSeconds specifies the seconds of ClientIP type session sticky time. The value must be >0 && \<=86400(for 1 day) if ServiceAffinity == "ClientIP". Default value is 10800(for 3 hours). 
+      -->
+
+      timeoutSeconds 指定 ClientIP 类型会话的维系时间秒数。
+      如果 ServiceAffinity == "ClientIP"，则该值必须 >0 && <=86400（1 天）。默认值为 10800（3 小时）。
+
+- **allocateLoadBalancerNodePorts** (boolean)
+
+  <!-- 
+  allocateLoadBalancerNodePorts defines if NodePorts will be automatically allocated for services with type LoadBalancer.  Default is "true". It may be set to "false" if the cluster load-balancer does not rely on NodePorts.  If the caller requests specific NodePorts (by specifying a value), those requests will be respected, regardless of this field. This field may only be set for services with type LoadBalancer and will be cleared if the type is changed to any other type. 
+  -->
+
+  allocateLoadBalancerNodePorts 定义了是否会自动为 LoadBalancer 类型的 Service 分配 NodePort。默认为 true。
+  如果集群负载均衡器不依赖 NodePort，则可以设置此字段为 false。
+  如果调用者（通过指定一个值）请求特定的 NodePort，则无论此字段如何，都会接受这些请求。
+  该字段只能设置在 type 为 LoadBalancer 的 Service 上，如果 type 更改为任何其他类型，该字段将被移除。
+
+## ServiceStatus {#ServiceStatus}
+
+<!-- 
+ServiceStatus represents the current status of a service. 
+-->
+ServiceStatus 表示 Service 的当前状态。
+
+<hr>
+
+- **conditions** ([]Condition)
+
+  <!-- 
+  *Patch strategy: merge on key `type`*
+
+  *Map: unique values on key type will be kept during a merge*
+
+  Current service state 
+  -->
+
+  **Patch strategy: 在 `type` 上合并**
+
+  **Map: 键类型的唯一值将在合并期间保留**
+
+  服务的当前状态。
+
+  <a name="Condition"></a>
+
+  <!-- 
+  *Condition contains details for one aspect of the current state of this API Resource.* 
+  -->
+
+  **condition 包含此 API 资源某一方面当前的状态详细信息。**
+
+  <!--
+  - **conditions.lastTransitionTime**（Time）, required
+    
+    lastTransitionTime is the last time the condition transitioned from one status to another. This should be when the underlying condition changed.  If that is not known, then using the time when the API field changed is acceptable. 
+  -->
+  
+  - **conditions.lastTransitionTime**（时间），必需
+
+    lastTransitionTime 是状况最近一次状态转化的时间。
+    变化应该发生在下层状况发生变化的时候。如果不知道下层状况发生变化的时间，
+    那么使用 API 字段更改的时间是可以接受的。
+
+    <a name="Time"></a>
+  
+    <!-- 
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+    -->
+
+    time 是 time.Time 的包装类，支持正确地序列化为 YAML 和 JSON。
+    为 time 包提供的许多工厂方法提供了包装类。
+
+  <!-- 
+  - **conditions.message** (string), required
+  -->
+
+  - **conditions.message** (string)，必需
+
+    <!-- 
+    message is a human readable message indicating details about the transition. This may be an empty string. 
+    -->
+
+    message 是人类可读的消息，有关转换的详细信息，可以是空字符串。
+
+  <!-- 
+  - **conditions.reason** (string), required
+  -->
+
+  - **conditions.reason** (string)，必需
+
+    <!-- 
+    reason contains a programmatic identifier indicating the reason for the condition's last transition. Producers of specific condition types may define expected values and meanings for this field, and whether the values are considered a guaranteed API. The value should be a CamelCase string. This field may not be empty. 
+    -->
+  
+    reason 包含一个程序标识符，指示 condition 最后一次转换的原因。
+    特定条件类型的生产者可以定义该字段的预期值和含义，以及这些值是否被视为有保证的 API。
+    该值应该是 CamelCase 字符串且不能为空。
+
+  <!-- 
+  - **conditions.status** (string), required
+  -->
+
+  - **conditions.status** (string)，必需
+
+    <!-- 
+    status of the condition, one of True, False, Unknown. 
+    -->
+
+    condition 的状态，True、False、Unknown 之一。
+
+  <!-- 
+  - **conditions.type** (string), required
+  -->
+
+  - **conditions.type** (string)，必需
+
+    <!-- 
+    type of condition in CamelCase or in foo.example.com/CamelCase. 
+    -->
+
+    CamelCase 或 foo.example.com/CamelCase 中的条件类型。
+
+  - **conditions.observedGeneration** (int64)
+
+    <!-- 
+    observedGeneration represents the .metadata.generation that the condition was set based upon. For instance, if .metadata.generation is currently 12, but the .status.conditions[x].observedGeneration is 9, the condition is out of date with respect to the current state of the instance. 
+    -->
+
+    observedGeneration 表示设置 condition 基于的 .metadata.generation 的过期次数。
+    例如，如果 .metadata.generation 当前为 12，但 .status.conditions[x].observedGeneration 为 9，
+    则 condition 相对于实例的当前状态已过期。
+
+- **loadBalancer** (LoadBalancerStatus)
+
+  <!-- 
+  LoadBalancer contains the current status of the load-balancer, if one is present. 
+  -->
+
+  loadBalancer 包含负载均衡器的当前状态（如果存在）。
+
+  <a name="LoadBalancerStatus"></a>
+
+  <!-- 
+  *LoadBalancerStatus represents the status of a load-balancer.* 
+  -->
+
+  **LoadBalancerStatus 表示负载均衡器的状态。**
+
+  - **loadBalancer.ingress** ([]LoadBalancerIngress)
+
+    <!-- 
+    Ingress is a list containing ingress points for the load-balancer. Traffic intended for the service should be sent to these ingress points. 
+    -->
+  
+    ingress 是一个包含负载均衡器 Ingress 点的列表。Service 的流量需要被发送到这些 Ingress 点。
+
+    <a name="LoadBalancerIngress"></a>
+  
+    <!-- 
+    *LoadBalancerIngress represents the status of a load-balancer ingress point: traffic intended for the service should be sent to an ingress point.* 
+    -->
+
+    **LoadBalancerIngress 表示负载平衡器入口点的状态: 用于服务的流量是否被发送到入口点。**
+
+    - **loadBalancer.ingress.hostname** (string)
+
+      <!-- 
+      Hostname is set for load-balancer ingress points that are DNS based (typically AWS load-balancers)     
+      -->
+
+      hostname 是为基于 DNS 的负载均衡器 Ingress 点（通常是 AWS 负载均衡器）设置的。
+
+    - **loadBalancer.ingress.ip** (string)
+
+      <!-- 
+      IP is set for load-balancer ingress points that are IP based (typically GCE or OpenStack load-balancers) 
+      -->
+
+      ip 是为基于 IP 的负载均衡器 Ingress 点（通常是 GCE 或 OpenStack 负载均衡器）设置的。
+
+    - **loadBalancer.ingress.ports** ([]PortStatus)
+
+      <!-- 
+      *Atomic: will be replaced during a merge* 
+      -->
+
+      **Atomic: 将在合并期间被替换**
+
+      <!-- 
+      Ports is a list of records of service ports If used, every port defined in the service should have an entry in it       -->
+
+      ports 是 Service 的端口列表。如果设置了此字段，Service 中定义的每个端口都应该在此列表中。
+
+      <a name="PortStatus"></a>
+
+      <!-- 
+      - **loadBalancer.ingress.ports.port** (string), required
+      -->
+
+      - **loadBalancer.ingress.ports.port** (int32)，必需
+
+        <!-- 
+        Port is the port number of the service port of which status is recorded here
+        -->
+
+        port 是所记录的服务端口状态的端口号。
+
+      <!-- 
+      - **loadBalancer.ingress.ports.protocol** (string), required
+      -->
+
+      - **loadBalancer.ingress.ports.protocol** (string)，必需
+
+        <!-- 
+        Protocol is the protocol of the service port of which status is recorded here The supported values are: "TCP", "UDP", "SCTP"
+        -->
+
+        protocol 是所记录的服务端口状态的协议。支持的值为：“TCP”、”UDP”、“SCTP”。
+
+      - **loadBalancer.ingress.ports.error** (string)
+
+        <!-- 
+        Error is to record the problem with the service port The format of the error shall comply with the following rules: - built-in error values shall be specified in this file and those shall use
+          CamelCase names
+        - cloud provider specific error values must have names that comply with the
+          format foo.example.com/CamelCase. 
+        -->
+
+        error 是记录 Service 端口的问题。
+        错误的格式应符合以下规则:  
+        - 内置错误原因应在此文件中指定，应使用 CamelCase 名称。
+        - 云提供商特定错误原因的名称必须符合格式 foo.example.com/CamelCase。
+
+## ServiceList {#ServiceList}
+
+<!-- 
+ServiceList holds a list of services. 
+-->
+
+ServiceList 包含一个 Service 列表。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: Service 列表
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!-- 
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds 
+  -->
+  标准列表元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+<!-- 
+- **items**（[]<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）, required
+-->
+
+- **items**（[]<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>），必需
+
+  <!-- 
+  List of services 
+  -->
+
+  Service 列表
+
+<!-- 
+## operations  {#operations} 
+-->
+
+## 操作  {#operations}
+
+<hr>
+
+<!--
+### `get` read the specified APIService
+
+#### HTTP Request
+-->
+
+### `get` 读取指定的 APIService
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/services/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **name** (**查询参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+401: Unauthorized
+
+<!-- 
+### `get` read status of the specified Service
+
+#### HTTP Request 
+-->
+
+### `get` 读取指定 Service 的状态
+
+#### HTTP 请求
+
+获取 /api/v1/namespaces/{namespace}/services/{name}/status
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind Service
+
+#### HTTP Request 
+-->
+
+### `list` 列出或观察 Service 类型的对象
+
+#### HTTP 请求
+
+获取 /api/v1/namespaces/{namespace}/services
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#ServiceList" >}}">ServiceList</a>）: OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind Service
+
+#### HTTP Request 
+-->
+
+### `list` 列出或观察 Service 类型的对象
+
+#### HTTP 请求
+
+获取 /api/v1/服务
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **allowWatchBookmarks**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#ServiceList" >}}">ServiceList</a>）: OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a Service
+
+#### HTTP Request 
+-->
+
+### `create` 创建一个 Service
+
+#### HTTP 请求
+
+POST /api/v1/namespaces/{namespace}/services
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>，必需
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+201（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Created
+
+202（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified Service
+
+#### HTTP Request 
+-->
+
+### `update` 替换指定的 Service
+
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/services/{name}
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>，必需
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+201（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Created
+
+401: Unauthorized
+
+<!-- 
+### `update` replace status of the specified Service
+
+#### HTTP Request 
+-->
+
+### `update` 替换指定 Service 的状态
+
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/services/{name}/status
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!--
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>，必需
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+201（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified Service
+
+#### HTTP Request 
+-->
+
+### `patch` 部分更新指定的 Service
+
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/services/{name}
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+201（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Created
+
+401: Unauthorized
+
+### `patch` 部分更新指定 Service 的状态
+
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/services/{name}/status
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force**（**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+201（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a Service
+
+#### HTTP Request 
+-->
+
+### `delete` 删除 Service
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/services/{name}
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  <!-- 
+  name of the Service 
+  -->
+
+  Service 名称
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **正文**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: OK
+
+202（<a href="{{< ref "../service-resources/service-v1#Service" >}}">Service</a>）: Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of Service
+
+#### HTTP Request 
+-->
+
+### `deletecollection` 删除 Service 集合
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/services
+
+<!--
+#### Parameters
+-->
+
+#### 参数
+
+- **namespace**（**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch**（**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds**（**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+
+#### 响应
+
+200（<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>）: OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/controller-revision-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/controller-revision-v1.md
index d29eda09df6..69b44a1b7af 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/controller-revision-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/controller-revision-v1.md
@@ -7,7 +7,6 @@ content_type: "api_reference"
 description: "ControllerRevision 实现了状态数据的不可变快照。"
 title: "ControllerRevision"
 weight: 7
-auto_generated: false
 ---
 
 <!--
@@ -22,7 +21,6 @@ weight: 7
 auto_generated: true
 -->
 
-
 `apiVersion: apps/v1`
 
 `import "k8s.io/api/apps/v1"`
@@ -71,8 +69,8 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
 -->
 - **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
 
-  标准的对象元数据。
-  更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
 
 <!--
 - **revision** (int64), required
@@ -97,7 +95,7 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
     *RawExtension is used to hold extensions in external versions.
   -->
   <a name="RawExtension"></a>
-  *RawExtension 用于以外部版本来保存扩展数据。
+  **RawExtension 用于以外部版本来保存扩展数据。**
   
   <!--
   To use this, make a field which has RawExtension as its type in your external, versioned struct, and Object in your internal struct. You also need to register your various plugin types.
@@ -112,7 +110,9 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
     	AOption string `json:"aOption"`
     }
   -->
-  // 内部包：  
+  内部包：
+
+  ```go
   type MyAPIObject struct {  
   	runtime.TypeMeta `json:",inline"`   
   	MyPlugin runtime.Object `json:"myPlugin"`  
@@ -120,6 +120,7 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
   type PluginA struct {  
   	AOption string `json:"aOption"`  
   }
+  ```
   
   <!--
   // External package: type MyAPIObject struct {
@@ -129,7 +130,9 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
     	AOption string `json:"aOption"`
     }
   -->
-  // 外部包：   
+  外部包：
+
+  ```go
   type MyAPIObject struct {  
   	runtime.TypeMeta `json:",inline"`  
   	MyPlugin runtime.RawExtension `json:"myPlugin"`    
@@ -137,6 +140,7 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
   type PluginA struct {  
   	AOption string `json:"aOption"`  
   }
+  ```
   
   <!--
   // On the wire, the JSON will look something like this: {
@@ -148,7 +152,8 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
     	},
     }
   -->
-  // 在网络上，JSON 看起来像这样：   
+  在网络上，JSON 看起来像这样：
+  ```json
   {  
   	"kind":"MyAPIObject",  
   	"apiVersion":"v1",  
@@ -157,6 +162,7 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
   		"aOption":"foo",  
   	},  
   }
+  ```
   
   <!--
   So what happens? Decode first uses json or yaml to unmarshal the serialized data into your external MyAPIObject. That causes the raw JSON to be stored, but not unpacked. The next step is to copy (using pkg/conversion) into the internal struct. The runtime package's DefaultScheme has conversion functions installed which will unpack the JSON stored in RawExtension, turning it into the correct object type, and storing it in the Object. (TODO: In the case where the object is of an unknown type, a runtime.Unknown object will be created and stored.)*
@@ -167,7 +173,7 @@ API 服务器将无法成功验证所有尝试改变 data 字段的请求。
   下一步是复制（使用 pkg/conversion）到内部结构中。
   runtime 包的 DefaultScheme 安装了转换函数，它将解析存储在 RawExtension 中的 JSON，
   将其转换为正确的对象类型，并将其存储在 Object 中。
-  （TODO：如果对象是未知类型，将创建并存储一个 `runtime.Unknown`对象。）*
+  （TODO：如果对象是未知类型，将创建并存储一个 `runtime.Unknown`对象。）
 
 <!--
 ## ControllerRevisionList {#ControllerRevisionList}
@@ -199,7 +205,8 @@ ControllerRevisionList 是一个包含 ControllerRevision 对象列表的资源
 -->
 - **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
 
-  更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
 
 <!--
 - **items** ([]<a href="{{< ref "../workload-resources/controller-revision-v1#ControllerRevision" >}}">ControllerRevision</a>), required
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/cron-job-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/cron-job-v1.md
index 71e2cfd0e57..d19f2fcb4f7 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/cron-job-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/cron-job-v1.md
@@ -344,7 +344,7 @@ GET /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-401: 未经授权
+401: Unauthorized
 
 <!--
 ### `get` read status of the specified CronJob
@@ -409,7 +409,7 @@ GET /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}/status
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-401: 未经授权
+401: Unauthorized
 
 <!--
 ### `list` list or watch objects of kind CronJob
@@ -552,7 +552,7 @@ GET /apis/batch/v1/namespaces/{namespace}/cronjobs
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJobList" >}}">CronJobList</a>): OK
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `list` list or watch objects of kind CronJob
@@ -686,7 +686,7 @@ GET /apis/batch/v1/cronjobs
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJobList" >}}">CronJobList</a>): OK
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `create` create a CronJob
@@ -781,11 +781,11 @@ POST /apis/batch/v1/namespaces/{namespace}/cronjobs
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 创建完成
+201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Created
 
-202 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 已接受
+202 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Accepted
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `update` replace the specified CronJob
@@ -886,9 +886,9 @@ PUT /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 创建完成
+201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Created
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `update` replace status of the specified CronJob
@@ -990,9 +990,9 @@ PUT /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}/status
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 创建完成
+201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Created
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `patch` partially update the specified CronJob
@@ -1105,9 +1105,9 @@ PATCH /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 创建完成
+201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Created
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `patch` partially update status of the specified CronJob
@@ -1219,9 +1219,9 @@ PATCH /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}/status
 
 200 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): OK
 
-201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): 创建完成
+201 (<a href="{{< ref "../workload-resources/cron-job-v1#CronJob" >}}">CronJob</a>): Created
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `delete` delete a CronJob
@@ -1323,9 +1323,9 @@ DELETE /apis/batch/v1/namespaces/{namespace}/cronjobs/{name}
 
 200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
 
-202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): 创建完成
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
 
-401: 未授权
+401: Unauthorized
 
 <!--
 ### `deletecollection` delete collection of CronJob
@@ -1480,10 +1480,10 @@ DELETE /apis/batch/v1/namespaces/{namespace}/cronjobs
 401: Unauthorized
 -->
 
-####响应
+#### 响应
 
 
 200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
 
-401: 未授权
+401: Unauthorized
 
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/deployment-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/deployment-v1.md
new file mode 100644
index 00000000000..746ede656f8
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/deployment-v1.md
@@ -0,0 +1,1107 @@
+---
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "Deployment"
+content_type: "api_reference"
+description: "Deployment 使得 Pod 和 ReplicaSet 能够进行声明式更新。"
+title: "Deployment"
+weight: 5
+---
+<!--
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "Deployment"
+content_type: "api_reference"
+description: "Deployment enables declarative updates for Pods and ReplicaSets."
+title: "Deployment"
+weight: 5
+auto_generated: true
+-->
+
+`apiVersion: apps/v1`
+
+`import "k8s.io/api/apps/v1"`
+
+## Deployment {#Deployment}
+
+<!--
+Deployment enables declarative updates for Pods and ReplicaSets.
+-->
+Deployment 使得 Pod 和 ReplicaSet 能够进行声明式更新。
+
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: Deployment
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentSpec" >}}">DeploymentSpec</a>)
+
+  Specification of the desired behavior of the Deployment.
+
+- **status** (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentStatus" >}}">DeploymentStatus</a>)
+
+  Most recently observed status of the Deployment.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentSpec" >}}">DeploymentSpec</a>)
+  
+  Deployment 预期行为的规约。
+
+- **status** (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentStatus" >}}">DeploymentStatus</a>)
+  
+  最近观测到的 Deployment 状态。
+
+## DeploymentSpec {#DeploymentSpec}
+
+<!--
+DeploymentSpec is the specification of the desired behavior of the Deployment.
+-->
+DeploymentSpec 定义 Deployment 预期行为的规约。
+
+<hr>
+
+<!--
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>), required
+
+  Label selector for pods. Existing ReplicaSets whose pods are selected by this will be the ones affected by this deployment. It must match the pod template's labels.
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>), required
+
+  Template describes the pods that will be created.
+-->
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)，必需
+  
+  供 Pod 所用的标签选择算符。通过此字段选择现有 ReplicaSet 的 Pod 集合，
+  被选中的 ReplicaSet 将受到这个 Deployment 的影响。此字段必须与 Pod 模板的标签匹配。
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)，必需
+  
+  template 描述将要创建的 Pod。
+
+<!--
+- **replicas** (int32)
+
+  Number of desired pods. This is a pointer to distinguish between explicit zero and not specified. Defaults to 1.
+
+- **minReadySeconds** (int32)
+
+  Minimum number of seconds for which a newly created pod should be ready without any of its container crashing, for it to be considered available. Defaults to 0 (pod will be considered available as soon as it is ready)
+-->
+- **replicas** (int32)
+  
+  预期 Pod 的数量。这是一个指针，用于辨别显式零和未指定的值。默认为 1。
+
+- **minReadySeconds** (int32)
+  
+  新建的 Pod 在没有任何容器崩溃的情况下就绪并被系统视为可用的最短秒数。
+  默认为 0（Pod 就绪后即被视为可用）。
+
+<!--
+- **strategy** (DeploymentStrategy)
+
+  *Patch strategy: retainKeys*
+  
+  The deployment strategy to use to replace existing pods with new ones.
+
+  <a name="DeploymentStrategy"></a>
+  *DeploymentStrategy describes how to replace existing pods with new ones.*
+-->
+- **strategy** (DeploymentStrategy)
+  
+  **补丁策略：retainKeys**
+  
+  将现有 Pod 替换为新 Pod 时所用的部署策略。
+  
+  <a name="DeploymentStrategy"></a>
+  **DeploymentStrategy 描述如何将现有 Pod 替换为新 Pod。**
+  
+  <!--
+  - **strategy.type** (string)
+
+    Type of deployment. Can be "Recreate" or "RollingUpdate". Default is RollingUpdate.
+    
+  - **strategy.rollingUpdate** (RollingUpdateDeployment)
+
+    Rolling update config params. Present only if DeploymentStrategyType = RollingUpdate.
+
+    <a name="RollingUpdateDeployment"></a>
+    *Spec to control the desired behavior of rolling update.*
+  -->
+
+  - **strategy.type** (string)
+    
+    部署的类型。取值可以是 “Recreate” 或 “RollingUpdate”。默认为 RollingUpdate。
+  
+  - **strategy.rollingUpdate** (RollingUpdateDeployment)
+    
+    滚动更新这些配置参数。仅当 type = RollingUpdate 时才出现。
+    
+    <a name="RollingUpdateDeployment"></a>
+    **控制滚动更新预期行为的规约。**
+    
+    <!--
+    - **strategy.rollingUpdate.maxSurge** (IntOrString)
+
+      The maximum number of pods that can be scheduled above the desired number of pods. Value can be an absolute number (ex: 5) or a percentage of desired pods (ex: 10%). This can not be 0 if MaxUnavailable is 0. Absolute number is calculated from percentage by rounding up. Defaults to 25%. Example: when this is set to 30%, the new ReplicaSet can be scaled up immediately when the rolling update starts, such that the total number of old and new pods do not exceed 130% of desired pods. Once old pods have been killed, new ReplicaSet can be scaled up further, ensuring that total number of pods running at any time during the update is at most 130% of desired pods.
+
+      <a name="IntOrString"></a>
+      *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+    -->
+
+    - **strategy.rollingUpdate.maxSurge** (IntOrString)
+      
+      超出预期的 Pod 数量之后可以调度的最大 Pod 数量。该值可以是一个绝对数（例如：
+      5）或一个预期 Pod 的百分比（例如：10%）。如果 MaxUnavailable 为 0，则此字段不能为 0。
+      通过向上取整计算得出一个百分比绝对数。默认为 25%。例如：当此值设为 30% 时，
+      如果滚动更新启动，则可以立即对 ReplicaSet 扩容，从而使得新旧 Pod 总数不超过预期 Pod 数量的 130%。
+      一旦旧 Pod 被杀死，则可以再次对新的 ReplicaSet 扩容，
+      确保更新期间任何时间运行的 Pod 总数最多为预期 Pod 数量的 130%。
+      
+      <a name="IntOrString"></a>
+      **IntOrString 是可以保存 int32 或字符串的一个类型。
+      当用于 JSON 或 YAML 编组和取消编组时，它会产生或消费内部类型。
+      例如，这允许你拥有一个可以接受名称或数值的 JSON 字段。**
+    
+    <!--
+    - **strategy.rollingUpdate.maxUnavailable** (IntOrString)
+
+      The maximum number of pods that can be unavailable during the update. Value can be an absolute number (ex: 5) or a percentage of desired pods (ex: 10%). Absolute number is calculated from percentage by rounding down. This can not be 0 if MaxSurge is 0. Defaults to 25%. Example: when this is set to 30%, the old ReplicaSet can be scaled down to 70% of desired pods immediately when the rolling update starts. Once new pods are ready, old ReplicaSet can be scaled down further, followed by scaling up the new ReplicaSet, ensuring that the total number of pods available at all times during the update is at least 70% of desired pods.
+
+      <a name="IntOrString"></a>
+      *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+    -->
+
+    - **strategy.rollingUpdate.maxUnavailable** (IntOrString)
+      
+      更新期间可能不可用的最大 Pod 数量。该值可以是一个绝对数（例如：
+      5）或一个预期 Pod 的百分比（例如：10%）。通过向下取整计算得出一个百分比绝对数。
+      如果 MaxSurge 为 0，则此字段不能为 0。默认为 25%。
+      例如：当此字段设为 30%，则在滚动更新启动时 ReplicaSet 可以立即缩容为预期 Pod 数量的 70%。
+      一旦新的 Pod 就绪，ReplicaSet 可以再次缩容，接下来对新的 ReplicaSet 扩容，
+      确保更新期间任何时间可用的 Pod 总数至少是预期 Pod 数量的 70%。
+      
+      <a name="IntOrString"></a>
+      **IntOrString 是可以保存 int32 或字符串的一个类型。
+      当用于 JSON 或 YAML 编组和取消编组时，它会产生或消费内部类型。
+      例如，这允许你拥有一个可以接受名称或数值的 JSON 字段。**
+
+<!--
+- **revisionHistoryLimit** (int32)
+
+  The number of old ReplicaSets to retain to allow rollback. This is a pointer to distinguish between explicit zero and not specified. Defaults to 10.
+
+- **progressDeadlineSeconds** (int32)
+
+  The maximum time in seconds for a deployment to make progress before it is considered to be failed. The deployment controller will continue to process failed deployments and a condition with a ProgressDeadlineExceeded reason will be surfaced in the deployment status. Note that progress will not be estimated during the time a deployment is paused. Defaults to 600s.
+
+- **paused** (boolean)
+
+  Indicates that the deployment is paused.
+-->
+- **revisionHistoryLimit** (int32)
+  
+  保留允许回滚的旧 ReplicaSet 的数量。这是一个指针，用于辨别显式零和未指定的值。默认为 10。
+
+- **progressDeadlineSeconds** (int32)
+  
+  Deployment 在被视为失败之前取得进展的最大秒数。Deployment 控制器将继续处理失败的部署，
+  原因为 ProgressDeadlineExceeded 的状况将被显示在 Deployment 状态中。
+  请注意，在 Deployment 暂停期间将不会估算进度。默认为 600s。
+
+- **paused** (boolean)
+  
+  指示部署被暂停。
+
+## DeploymentStatus {#DeploymentStatus}
+
+<!--
+DeploymentStatus is the most recently observed status of the Deployment.
+-->
+DeploymentStatus 是最近观测到的 Deployment 状态。
+
+<hr>
+
+<!--
+- **replicas** (int32)
+
+  Total number of non-terminated pods targeted by this deployment (their labels match the selector).
+
+- **availableReplicas** (int32)
+
+  Total number of available pods (ready for at least minReadySeconds) targeted by this deployment.
+
+- **readyReplicas** (int32)
+
+  readyReplicas is the number of pods targeted by this Deployment with a Ready Condition.
+-->
+- **replicas** (int32)
+  
+  此部署所针对的（其标签与选择算符匹配）未终止 Pod 的总数。
+
+- **availableReplicas** (int32)
+  
+  此部署针对的可用（至少 minReadySeconds 才能就绪）的 Pod 总数。
+
+- **readyReplicas** (int32)
+  
+  readyReplicas 是此 Deployment 在就绪状况下处理的目标 Pod 数量。
+
+<!--
+- **unavailableReplicas** (int32)
+
+  Total number of unavailable pods targeted by this deployment. This is the total number of pods that are still required for the deployment to have 100% available capacity. They may either be pods that are running but not yet available or pods that still have not been created.
+-->
+- **unavailableReplicas** (int32)
+  
+  此部署针对的不可用 Pod 总数。这是 Deployment 具有 100% 可用容量时仍然必需的 Pod 总数。
+  它们可能是正在运行但还不可用的 Pod，也可能是尚未创建的 Pod。
+
+<!--
+- **updatedReplicas** (int32)
+
+  Total number of non-terminated pods targeted by this deployment that have the desired template spec.
+
+- **collisionCount** (int32)
+
+  Count of hash collisions for the Deployment. The Deployment controller uses this field as a collision avoidance mechanism when it needs to create the name for the newest ReplicaSet.
+-->
+- **updatedReplicas** (int32)
+  
+  此 Deployment 所针对的未终止 Pod 的总数，这些 Pod 采用了预期的模板规约。
+
+- **collisionCount** (int32)
+  
+  供 Deployment 所用的哈希冲突计数。
+  Deployment 控制器在需要为最新的 ReplicaSet 创建名称时将此字段用作冲突预防机制。
+
+<!--
+- **conditions** ([]DeploymentCondition)
+
+  *Patch strategy: merge on key `type`*
+  
+  Represents the latest available observations of a deployment's current state.
+
+  <a name="DeploymentCondition"></a>
+  *DeploymentCondition describes the state of a deployment at a certain point.*
+-->
+- **conditions** ([]DeploymentCondition)
+  
+  **补丁策略：按照键 `type` 合并**
+  
+  表示 Deployment 当前状态的最新可用观测值。
+  
+  <a name="DeploymentCondition"></a>
+  **DeploymentCondition 描述某个点的部署状态。**
+  
+  <!--
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.
+
+  - **conditions.type** (string), required
+
+    Type of deployment condition.
+  -->
+
+  - **conditions.status** (string)，必需
+    
+    状况的状态，取值为 True、False 或 Unknown 之一。
+  
+  - **conditions.type** (string)，必需
+    
+    Deployment 状况的类型。
+  
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    Last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+    
+    状况上次从一个状态转换为另一个状态的时间。
+    
+    <a name="Time"></a>
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+  
+  <!--
+  - **conditions.lastUpdateTime** (Time)
+
+    The last time this condition was updated.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastUpdateTime** (Time)
+    
+    上次更新此状况的时间。
+    
+    <a name="Time"></a> 
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+  
+  <!--
+  - **conditions.message** (string)
+
+    A human readable message indicating details about the transition.
+
+  - **conditions.reason** (string)
+
+    The reason for the condition's last transition.
+  -->
+
+  - **conditions.message** (string)
+    
+    这是一条人类可读的消息，指示有关上次转换的详细信息。
+  
+  - **conditions.reason** (string)
+    
+    状况上次转换的原因。
+
+<!--
+- **observedGeneration** (int64)
+
+  The generation observed by the deployment controller.
+-->
+- **observedGeneration** (int64)
+  
+  Deployment 控制器观测到的代数（Generation）。
+
+## DeploymentList {#DeploymentList}
+
+<!--
+DeploymentList is a list of Deployments.
+-->
+DeploymentList 是 Deployment 的列表。
+
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: DeploymentList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata.
+
+- **items** ([]<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>), required
+
+  Items is the list of Deployments.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  
+  标准的列表元数据。
+
+- **items** ([]<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>)，必需
+  
+  items 是 Deployment 的列表。
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified Deployment
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 Deployment
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified Deployment
+#### HTTP Request
+-->
+### `get` 读取指定的 Deployment 的状态
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/deployments/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Deployment
+#### HTTP Request
+-->
+### `list` 列出或监视 Deployment 类别的对象
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/deployments
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentList" >}}">DeploymentList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Deployment
+#### HTTP Request
+-->
+### `list` 列出或监视 Deployment 类别的对象
+
+#### HTTP 请求
+
+GET /apis/apps/v1/deployments
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#DeploymentList" >}}">DeploymentList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a Deployment
+#### HTTP Request
+-->
+### `create` 创建 Deployment
+
+#### HTTP 请求
+
+POST /apis/apps/v1/namespaces/{namespace}/deployments
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified Deployment
+#### HTTP Request
+-->
+### `update` 替换指定的 Deployment
+
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/deployments/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified Deployment
+#### HTTP Request
+-->
+### `update` 替换指定的 Deployment 的状态
+
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/deployments/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified Deployment
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 Deployment
+
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/deployments/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified Deployment
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 Deployment 的状态
+
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/deployments/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/deployment-v1#Deployment" >}}">Deployment</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a Deployment
+#### HTTP Request
+-->
+### `delete` 删除 Deployment
+
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/deployments/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the Deployment
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  Deployment 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of Deployment
+#### HTTP Request
+-->
+### `deletecollection` 删除 Deployment 的集合
+
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/deployments
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v1.md
new file mode 100644
index 00000000000..d93b2a6fbef
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v1.md
@@ -0,0 +1,1384 @@
+---
+api_metadata:
+  apiVersion: "autoscaling/v1"
+  import: "k8s.io/api/autoscaling/v1"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "水平 Pod 自动缩放器的配置。"
+title: "HorizontalPodAutoscaler"
+weight: 11
+---
+
+<--
+api_metadata:
+  apiVersion: "autoscaling/v1"
+  import: "k8s.io/api/autoscaling/v1"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "configuration of a horizontal pod autoscaler."
+title: "HorizontalPodAutoscaler"
+weight: 11
+auto_generated: true
+-->
+
+`apiVersion: autoscaling/v1`
+
+`import "k8s.io/api/autoscaling/v1"`
+
+<!--
+## HorizontalPodAutoscaler {#HorizontalPodAutoscaler}
+
+configuration of a horizontal pod autoscaler.
+
+<hr>
+-->
+## HorizontalPodAutoscaler {#HorizontalPodAutoscaler}
+
+水平 Pod 自动缩放器的配置。
+
+<hr>
+
+<!--
+- **apiVersion**: autoscaling/v1
+
+
+- **kind**: HorizontalPodAutoscaler
+-->
+- **apiVersion**: autoscaling/v1
+
+- **kind**: HorizontalPodAutoscaler
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!--
+- **spec** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerSpec" >}}">HorizontalPodAutoscalerSpec</a>)
+
+  behaviour of autoscaler. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+-->
+- **spec** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerSpec" >}}">HorizontalPodAutoscalerSpec</a>)
+
+  自动缩放器的规约。
+  更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+
+<!--
+- **status** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerStatus" >}}">HorizontalPodAutoscalerStatus</a>)
+
+  current information about the autoscaler.
+-->
+- **status** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerStatus" >}}">HorizontalPodAutoscalerStatus</a>)
+
+  自动缩放器的当前信息。
+
+<!--
+## HorizontalPodAutoscalerSpec {#HorizontalPodAutoscalerSpec}
+
+specification of a horizontal pod autoscaler.
+
+<hr>
+-->
+## HorizontalPodAutoscalerSpec {#HorizontalPodAutoscalerSpec}
+
+水平 Pod 自动缩放器的规约。
+
+<hr>
+
+<!--
+- **maxReplicas** (int32), required
+
+  upper limit for the number of pods that can be set by the autoscaler; cannot be smaller than MinReplicas.
+-->
+- **maxReplicas** (int32)，必填
+
+  自动扩缩器可以设置的 Pod 数量上限；
+  不能小于 minReplicas。
+
+<!--
+- **scaleTargetRef** (CrossVersionObjectReference), required
+
+  reference to scaled resource; horizontal pod autoscaler will learn the current resource consumption and will set the desired number of pods by using its Scale subresource.
+-->
+- **scaleTargetRef** (CrossVersionObjectReference)，必填
+
+  对被扩缩资源的引用；
+  水平 Pod 自动缩放器将了解当前的资源消耗，并使用其 scale 子资源设置所需的 Pod 数量。
+  
+  <!--
+  <a name="CrossVersionObjectReference"></a>
+  *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+  -->
+  <a name="CrossVersionObjectReference"></a>
+  **CrossVersionObjectReference 包含足够的信息来让你识别出所引用的资源。**
+
+  <!--
+  - **scaleTargetRef.kind** (string), required
+
+    Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+  -->
+  
+  - **scaleTargetRef.kind** (string)，必填
+
+    被引用对象的类别；
+    更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+
+  <!--
+  - **scaleTargetRef.name** (string), required
+
+    Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names  
+  -->
+  
+  - **scaleTargetRef.name** (string)，必填
+
+    被引用对象的名称；
+    更多信息： http://kubernetes.io/docs/user-guide/identifiers#names
+
+  <!--
+    - **scaleTargetRef.apiVersion** (string)
+  
+      API version of the referent
+  -->
+  
+  - **scaleTargetRef.apiVersion** (string)
+
+    被引用对象的 API 版本。
+
+<!--
+- **minReplicas** (int32)
+
+  minReplicas is the lower limit for the number of replicas to which the autoscaler can scale down.  It defaults to 1 pod. 
+  minReplicas is allowed to be 0 if the alpha feature gate HPAScaleToZero is enabled and at least one Object or External metric is configured.  
+  Scaling is active as long as at least one metric value is available.
+-->
+- **minReplicas** (int32)
+
+  minReplicas 是自动缩放器可以缩减的副本数的下限。
+  它默认为 1 个 Pod。
+  如果启用了 alpha 特性门禁 HPAScaleToZero 并且配置了至少一个 Object 或 External 度量标准，
+  则 minReplicas 允许为 0。
+  只要至少有一个度量值可用，缩放就处于活动状态。
+
+<!--
+- **targetCPUUtilizationPercentage** (int32)
+
+  target average CPU utilization (represented as a percentage of requested CPU) over all the pods; 
+  if not specified the default autoscaling policy will be used.
+-->
+- **targetCPUUtilizationPercentage** (int32)
+
+  所有 Pod 的目标平均 CPU 利用率（以请求 CPU 的百分比表示）；
+  如果未指定，将使用默认的自动缩放策略。
+
+<!--
+## HorizontalPodAutoscalerStatus {#HorizontalPodAutoscalerStatus}
+
+current status of a horizontal pod autoscaler
+
+<hr>
+-->
+## HorizontalPodAutoscalerStatus {#HorizontalPodAutoscalerStatus}
+
+水平 Pod 自动缩放器的当前状态
+
+<hr>
+
+<!--
+- **currentReplicas** (int32), required
+
+  current number of replicas of pods managed by this autoscaler.
+-->
+- **currentReplicas** (int32)，必填
+
+  此自动缩放器管理的 Pod 的当前副本数。
+
+<!--
+- **desiredReplicas** (int32), required
+
+  desired number of replicas of pods managed by this autoscaler.
+-->
+- **desiredReplicas** (int32)，必填
+
+  此自动缩放器管理的 Pod 副本的所需数量。
+
+<!--
+- **currentCPUUtilizationPercentage** (int32)
+
+  current average CPU utilization over all pods, represented as a percentage of requested CPU, e.g. 70 means that an average pod is using now 70% of its requested CPU.
+-->
+- **currentCPUUtilizationPercentage** (int32)
+
+  当前所有 Pod 的平均 CPU 利用率，
+  以请求 CPU 的百分比表示，
+  例如：70 表示平均 Pod 现在正在使用其请求 CPU 的 70%。
+
+<!--
+- **lastScaleTime** (Time)
+
+  last time the HorizontalPodAutoscaler scaled the number of pods; used by the autoscaler to control how often the number of pods is changed.
+-->
+- **lastScaleTime** (Time)
+
+  上次 HorizontalPodAutoscaler 缩放 Pod 的数量；
+  自动缩放器用它来控制 Pod 数量的更改频率。
+  
+  <!--
+  <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+  <a name="Time"></a>
+  **Time 是 time.Time 的包装类，支持正确地序列化为 YAML 和 JSON。
+    为 time 包提供的许多工厂方法提供了包装类。**
+
+<!--
+- **observedGeneration** (int64)
+
+  most recent generation observed by this autoscaler.
+-->
+- **observedGeneration** (int64)
+
+  此自动缩放器观察到的最新一代。
+
+<!--
+## HorizontalPodAutoscalerList {#HorizontalPodAutoscalerList}
+
+list of horizontal pod autoscaler objects.
+
+<hr>
+-->
+## HorizontalPodAutoscalerList {#HorizontalPodAutoscalerList}
+
+水平 Pod 自动缩放器对象列表。
+
+<hr>
+
+<!--
+- **apiVersion**: autoscaling/v1
+
+- **kind**: HorizontalPodAutoscalerList
+-->
+- **apiVersion**: autoscaling/v1
+
+- **kind**: HorizontalPodAutoscalerList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata.
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准的列表元数据。
+
+<!--
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>), required
+
+  list of horizontal pod autoscaler objects.
+-->
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>), required
+
+  水平 Pod 自动缩放器对象的列表。
+
+<!--
+## Operations {#Operations}
+
+<hr>
+-->
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified HorizontalPodAutoscaler
+-->
+### `get` 读取特定的 HorizontalPodAutoscaler
+
+<!--
+#### HTTP Request
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+-->
+#### HTTP 请求
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+-->
+### `get` 读取特定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+-->
+### `list` 列出或监视 HorizontalPodAutoscaler 类别的对象
+
+<!--
+#### HTTP Request
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+-->
+#### HTTP 参数
+
+GET /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+-->
+- **allowWatchBookmarks** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->
+- **continue** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+- **timeoutSeconds** (*查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+- **watch** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+
+#### HTTP Request
+
+GET /apis/autoscaling/v1/horizontalpodautoscalers
+-->
+### `list` 列出或监视 HorizontalPodAutoscaler 类别的对象
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v1/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+-->
+- **allowWatchBookmarks** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->
+- **continue** (*查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+- **timeoutSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+- **watch** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a HorizontalPodAutoscaler
+
+#### HTTP Request
+
+POST /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+-->
+### `create` 创建一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+POST /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>, required
+-->
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，必填
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->  
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Accepted
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+
+PUT /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+-->
+### `update` 替换特定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>, required
+-->
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，必填
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+
+PUT /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+-->
+### `update` 替换特定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>, required
+-->
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，必填
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+
+PATCH /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+-->
+### `patch` 部分更新特定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必填
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->  
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+-->
+- **force** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+
+PATCH /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+-->
+### `patch` 部分更新特定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必填
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->  
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+-->
+- **fieldValidation** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+-->
+- **force** （**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v1#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a HorizontalPodAutoscaler
+
+#### HTTP Request
+
+DELETE /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+-->
+### `delete` 删除一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+- **name** （**路径参数**）: string，必填
+
+  HorizontalPodAutoscaler 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+-->
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+- **gracePeriodSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+- **propagationPolicy** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of HorizontalPodAutoscaler
+
+#### HTTP Request
+
+DELETE /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+-->
+### `deletecollection` 删除 HorizontalPodAutoscaler 的集合
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v1/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必填
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+-->
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->  
+- **continue** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **dryRun** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **fieldSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+- **gracePeriodSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+- **labelSelector** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **limit** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **pretty** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+- **propagationPolicy** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **resourceVersion** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+- **resourceVersionMatch** （**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+- **timeoutSeconds** （**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
\ No newline at end of file
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2.md
new file mode 100644
index 00000000000..a54c2b996c9
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2.md
@@ -0,0 +1,2359 @@
+---
+api_metadata:
+  apiVersion: "autoscaling/v2"
+  import: "k8s.io/api/autoscaling/v2"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "HorizontalPodAutoscaler 是水平 Pod 自动扩缩器的配置，它根据指定的指标自动管理实现 scale 子资源的任何资源的副本数。"
+title: "HorizontalPodAutoscaler"
+weight: 12
+---
+<!--
+api_metadata:
+  apiVersion: "autoscaling/v2"
+  import: "k8s.io/api/autoscaling/v2"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "HorizontalPodAutoscaler is the configuration for a horizontal pod autoscaler, which automatically manages the replica count of any resource implementing the scale subresource based on the metrics specified."
+title: "HorizontalPodAutoscaler"
+weight: 12
+auto_generated: true
+-->
+
+`apiVersion: autoscaling/v2`
+
+`import "k8s.io/api/autoscaling/v2"`
+
+
+## HorizontalPodAutoscaler {#HorizontalPodAutoscaler}
+
+<!--
+HorizontalPodAutoscaler is the configuration for a horizontal pod autoscaler, which automatically manages the replica count of any resource implementing the scale subresource based on the metrics specified.
+-->
+HorizontalPodAutoscaler 是水平 Pod 自动扩缩器的配置，
+它根据指定的指标自动管理实现 scale 子资源的任何资源的副本数。
+
+<hr>
+
+- **apiVersion**: autoscaling/v2
+
+- **kind**: HorizontalPodAutoscaler
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  metadata is the standard object metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  
+  metadata 是标准的对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscalerSpec" >}}">HorizontalPodAutoscalerSpec</a>)
+
+  <!--
+  spec is the specification for the behaviour of the autoscaler. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+  -->
+  
+  spec 是自动扩缩器行为的规约。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+
+- **status** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscalerStatus" >}}">HorizontalPodAutoscalerStatus</a>)
+  
+  <!--
+  status is the current information about the autoscaler.
+  -->
+  
+  status 是自动扩缩器的当前信息。
+
+## HorizontalPodAutoscalerSpec {#HorizontalPodAutoscalerSpec}
+
+<!--
+HorizontalPodAutoscalerSpec describes the desired functionality of the HorizontalPodAutoscaler.
+-->
+HorizontalPodAutoscalerSpec 描述了 HorizontalPodAutoscaler 预期的功能。
+
+<hr>
+
+<!--
+- **maxReplicas** (int32), required
+
+  maxReplicas is the upper limit for the number of replicas to which the autoscaler can scale up. It cannot be less that minReplicas.
+-->
+
+- **maxReplicas** (int32)，必需
+
+  maxReplicas 是自动扩缩器可以扩容的副本数的上限。不能小于 minReplicas。
+
+<!--
+- **scaleTargetRef** (CrossVersionObjectReference), required
+
+  scaleTargetRef points to the target resource to scale, and is used to the pods for which metrics should be collected, as well as to actually change the replica count.
+-->
+
+- **scaleTargetRef** (CrossVersionObjectReference)，必需
+
+  scaleTargetRef 指向要扩缩的目标资源，用于收集 Pod 的相关指标信息以及实际更改的副本数。
+
+  <a name="CrossVersionObjectReference"></a>
+
+  <!--
+  *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+  - **scaleTargetRef.kind** (string), required
+
+    Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+  -->
+  
+  **CrossVersionObjectReference 包含足够的信息来让你识别出所引用的资源。**
+
+  - **scaleTargetRef.kind** (string)，必需
+
+    被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+
+  <!--
+  - **scaleTargetRef.name** (string), required
+
+    Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+  -->
+
+  - **scaleTargetRef.name** (string)，必需
+
+    被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+  <!--
+  - **scaleTargetRef.apiVersion** (string)
+
+    API version of the referent
+  -->
+  
+  - **scaleTargetRef.apiVersion** (string)
+
+    被引用对象的 API 版本。
+
+<!--
+- **minReplicas** (int32)
+
+  minReplicas is the lower limit for the number of replicas to which the autoscaler can scale down.  It defaults to 1 pod.  minReplicas is allowed to be 0 if the alpha feature gate HPAScaleToZero is enabled and at least one Object or External metric is configured.  Scaling is active as long as at least one metric value is available.
+-->
+
+- **minReplicas** (int32)
+
+  minReplicas 是自动扩缩器可以缩减的副本数的下限。它默认为 1 个 Pod。
+  如果启用了 Alpha 特性门控 HPAScaleToZero 并且配置了至少一个 Object 或 External 度量指标，
+  则 minReplicas 允许为 0。只要至少有一个度量值可用，扩缩就处于活动状态。
+
+<!--
+- **behavior** (HorizontalPodAutoscalerBehavior)
+
+  behavior configures the scaling behavior of the target in both Up and Down directions (scaleUp and scaleDown fields respectively). If not set, the default HPAScalingRules for scale up and scale down are used.
+-->
+
+- **behavior** (HorizontalPodAutoscalerBehavior)
+
+  behavior 配置目标在扩容（Up）和缩容（Down）两个方向的扩缩行为（分别用 scaleUp 和 scaleDown 字段）。
+  如果未设置，则会使用默认的 HPAScalingRules 进行扩缩容。
+
+  <a name="HorizontalPodAutoscalerBehavior"></a>
+
+  <!--
+  *HorizontalPodAutoscalerBehavior configures the scaling behavior of the target in both Up and Down directions (scaleUp and scaleDown fields respectively).*
+
+  - **behavior.scaleDown** (HPAScalingRules)
+
+    scaleDown is scaling policy for scaling Down. If not set, the default value is to allow to scale down to minReplicas pods, with a 300 second stabilization window (i.e., the highest recommendation for the last 300sec is used).
+  -->
+  
+  **HorizontalPodAutoscalerBehavior 配置目标在扩容（Up）和缩容（Down）两个方向的扩缩行为
+  （分别用 scaleUp 和 scaleDown 字段）。**
+
+  - **behavior.scaleDown** (HPAScalingRules)
+
+    scaleDown 是缩容策略。如果未设置，则默认值允许缩减到 minReplicas 数量的 Pod，
+    具有 300 秒的稳定窗口（使用最近 300 秒的最高推荐值）。
+
+    <a name="HPAScalingRules"></a>
+  
+    <!--
+    *HPAScalingRules configures the scaling behavior for one direction. These Rules are applied after calculating DesiredReplicas from metrics for the HPA. They can limit the scaling velocity by specifying scaling policies. They can prevent flapping by specifying the stabilization window, so that the number of replicas is not set instantly, instead, the safest value from the stabilization window is chosen.*
+
+    - **behavior.scaleDown.policies** ([]HPAScalingPolicy)
+
+      *Atomic: will be replaced during a merge*
+      
+      policies is a list of potential scaling polices which can be used during scaling. At least one policy must be specified, otherwise the HPAScalingRules will be discarded as invalid
+    -->
+    
+    HPAScalingRules 为一个方向配置扩缩行为。在根据 HPA 的指标计算 desiredReplicas 后应用这些规则。
+    可以通过指定扩缩策略来限制扩缩速度。可以通过指定稳定窗口来防止抖动，
+    因此不会立即设置副本数，而是选择稳定窗口中最安全的值。 
+
+    - **behavior.scaleDown.policies** ([]HPAScalingPolicy)
+    
+      **原子性：将在合并时被替换**
+
+      policies 是可在扩缩容过程中使用的潜在扩缩策略的列表。必须至少指定一个策略，否则 HPAScalingRules 将被视为无效而丢弃。
+  
+      <a name="HPAScalingPolicy"></a>
+
+      <!--
+      *HPAScalingPolicy is a single policy which must hold true for a specified past interval.*
+
+      - **behavior.scaleDown.policies.type** (string), required
+
+        Type is used to specify the scaling policy.
+      -->
+      
+      **HPAScalingPolicy 是一个单一的策略，它必须在指定的过去时间间隔内保持为 true。**
+
+      - **behavior.scaleDown.policies.type** (string)，必需
+
+        type 用于指定扩缩策略。
+      
+      <!--
+      - **behavior.scaleDown.policies.value** (int32), required
+
+        Value contains the amount of change which is permitted by the policy. It must be greater than zero
+      -->
+      
+      - **behavior.scaleDown.policies.value** (int32)，必需
+
+        value 包含策略允许的更改量。它必须大于零。
+  
+      <!--
+      - **behavior.scaleDown.policies.periodSeconds** (int32), required
+
+        PeriodSeconds specifies the window of time for which the policy should hold true. PeriodSeconds must be greater than zero and less than or equal to 1800 (30 min).
+      -->
+      
+      - **behavior.scaleDown.policies.periodSeconds** (int32)，必需
+
+        periodSeconds 表示策略应该保持为 true 的时间窗口长度。
+        periodSeconds 必须大于零且小于或等于 1800（30 分钟）。
+  
+    <!--
+    - **behavior.scaleDown.selectPolicy** (string)
+
+      selectPolicy is used to specify which policy should be used. If not set, the default value Max is used.
+    -->
+    
+    - **behavior.scaleDown.selectPolicy** (string)
+
+      selectPolicy 用于指定应该使用哪个策略。如果未设置，则使用默认值 Max。
+
+    <!--  
+    - **behavior.scaleDown.stabilizationWindowSeconds** (int32)
+
+      StabilizationWindowSeconds is the number of seconds for which past recommendations should be considered while scaling up or scaling down. StabilizationWindowSeconds must be greater than or equal to zero and less than or equal to 3600 (one hour). If not set, use the default values: - For scale up: 0 (i.e. no stabilization is done). - For scale down: 300 (i.e. the stabilization window is 300 seconds long).
+    -->
+    
+    - **behavior.scaleDown.stabilizationWindowSeconds** (int32)
+
+      stabilizationWindowSeconds 是在扩缩容时应考虑的之前建议的秒数。stabilizationWindowSeconds
+      必须大于或等于零且小于或等于 3600（一小时）。如果未设置，则使用默认值：
+
+      - 扩容：0（不设置稳定窗口）。
+      - 缩容：300（即稳定窗口为 300 秒）。
+  
+  <!--
+  - **behavior.scaleUp** (HPAScalingRules)
+
+    scaleUp is scaling policy for scaling Up. If not set, the default value is the higher of:
+      * increase no more than 4 pods per 60 seconds
+      * double the number of pods per 60 seconds
+    No stabilization is used.
+  -->
+  
+  - **behavior.scaleUp** (HPAScalingRules)
+
+    scaleUp 是用于扩容的扩缩策略。如果未设置，则默认值为以下值中的较高者：
+
+      * 每 60 秒增加不超过 4 个 Pod
+      * 每 60 秒 Pod 数量翻倍
+
+    不使用稳定窗口。
+
+    <a name="HPAScalingRules"></a>
+  
+    <!--
+    *HPAScalingRules configures the scaling behavior for one direction. These Rules are applied after calculating DesiredReplicas from metrics for the HPA. They can limit the scaling velocity by specifying scaling policies. They can prevent flapping by specifying the stabilization window, so that the number of replicas is not set instantly, instead, the safest value from the stabilization window is chosen.*
+
+    - **behavior.scaleUp.policies** ([]HPAScalingPolicy)
+
+      *Atomic: will be replaced during a merge*
+      
+      policies is a list of potential scaling polices which can be used during scaling. At least one policy must be specified, otherwise the HPAScalingRules will be discarded as invalid
+    -->
+    
+    HPAScalingRules 为一个方向配置扩缩行为。在根据 HPA 的指标计算 desiredReplicas 后应用这些规则。
+    可以通过指定扩缩策略来限制扩缩速度。可以通过指定稳定窗口来防止抖动，
+    因此不会立即设置副本数，而是选择稳定窗口中最安全的值。
+
+    - **behavior.scaleUp.policies** ([]HPAScalingPolicy)
+
+      **原子性：将在合并时被替换**
+
+      policies 是可在扩缩容过程中使用的潜在扩缩策略的列表。必须至少指定一个策略，否则 HPAScalingRules 将被视为无效而丢弃。
+
+      <a name="HPAScalingPolicy"></a>
+    
+      <!--
+      *HPAScalingPolicy is a single policy which must hold true for a specified past interval.*
+
+      - **behavior.scaleUp.policies.type** (string), required
+
+        Type is used to specify the scaling policy.
+      -->
+      
+      **HPAScalingPolicy 是一个单一的策略，它必须在指定的过去时间间隔内保持为 true。**
+
+      - **behavior.scaleUp.policies.type** (string)，必需
+
+        type 用于指定扩缩策略。
+      
+      <!--
+      - **behavior.scaleUp.policies.value** (int32), required
+
+        Value contains the amount of change which is permitted by the policy. It must be greater than zero
+      -->
+      
+      - **behavior.scaleUp.policies.value** (int32)，必需
+
+        value 包含策略允许的更改量。它必须大于零。
+      
+      <!--
+      - **behavior.scaleUp.policies.periodSeconds** (int32), required
+
+        PeriodSeconds specifies the window of time for which the policy should hold true. PeriodSeconds must be greater than zero and less than or equal to 1800 (30 min).
+      -->
+      
+      - **behavior.scaleUp.policies.periodSeconds** (int32)，必需
+
+        periodSeconds 表示策略应该保持为 true 的时间窗口长度。
+        periodSeconds 必须大于零且小于或等于 1800（30 分钟）。
+
+    <!--
+    - **behavior.scaleUp.selectPolicy** (string)
+
+      selectPolicy is used to specify which policy should be used. If not set, the default value Max is used.
+    -->
+    
+    - **behavior.scaleUp.selectPolicy** (string)
+
+      selectPolicy 用于指定应该使用哪个策略。如果未设置，则使用默认值 Max。
+    
+    <!--
+    - **behavior.scaleUp.stabilizationWindowSeconds** (int32)
+
+      StabilizationWindowSeconds is the number of seconds for which past recommendations should be considered while scaling up or scaling down. StabilizationWindowSeconds must be greater than or equal to zero and less than or equal to 3600 (one hour). If not set, use the default values: - For scale up: 0 (i.e. no stabilization is done). - For scale down: 300 (i.e. the stabilization window is 300 seconds long).
+    -->
+    
+    - **behavior.scaleUp.stabilizationWindowSeconds** (int32)
+
+      stabilizationWindowSeconds 是在扩缩容时应考虑的之前建议的秒数。stabilizationWindowSeconds
+      必须大于或等于零且小于或等于 3600（一小时）。如果未设置，则使用默认值：
+
+      - 扩容：0（不设置稳定窗口）。
+      - 缩容：300（即稳定窗口为 300 秒）。
+
+<!--
+- **metrics** ([]MetricSpec)
+
+  *Atomic: will be replaced during a merge*
+  
+  metrics contains the specifications for which to use to calculate the desired replica count (the maximum replica count across all metrics will be used).  The desired replica count is calculated multiplying the ratio between the target value and the current value by the current number of pods.  Ergo, metrics used must decrease as the pod count is increased, and vice-versa.  See the individual metric source types for more information about how each type of metric must respond. If not set, the default metric will be set to 80% average CPU utilization.
+-->
+
+- **metrics** ([]MetricSpec)
+
+  **原子性：将在合并时被替换**
+
+  metrics 包含用于计算预期副本数的规约（将使用所有指标的最大副本数）。
+  预期副本数是通过将目标值与当前值之间的比率乘以当前 Pod 数来计算的。
+  因此，使用的指标必须随着 Pod 数量的增加而减少，反之亦然。
+  有关每种类别的指标必须如何响应的更多信息，请参阅各个指标源类别。
+  如果未设置，默认指标将设置为 80% 的平均 CPU 利用率。
+
+  <a name="MetricSpec"></a>
+
+  <!--
+  *MetricSpec specifies how to scale based on a single metric (only `type` and one other matching field should be set at once).*
+
+  - **metrics.type** (string), required
+
+    type is the type of metric source.  It should be one of "ContainerResource", "External", "Object", "Pods" or "Resource", each mapping to a matching field in the object. Note: "ContainerResource" type is available on when the feature-gate HPAContainerMetrics is enabled
+  -->
+  
+  **MetricSpec 指定如何基于单个指标进行扩缩容（一次只能设置 `type` 和一个其他匹配字段）** 
+
+  - **metrics.type** (string)，必需
+
+    type 是指标源的类别。它取值是 “ContainerResource”、“External”、“Object”、“Pods” 或 “Resource” 之一，
+    每个类别映射到对象中的一个对应的字段。注意：“ContainerResource” 类别在特性门控 HPAContainerMetrics 启用时可用。
+
+  <!--
+  - **metrics.containerResource** (ContainerResourceMetricSource)
+
+    containerResource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing a single container in each pod of the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source. This is an alpha feature and can be enabled by the HPAContainerMetrics feature flag.
+  -->
+  
+  - **metrics.containerResource** (ContainerResourceMetricSource)  
+
+    containerResource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    描述当前扩缩目标中每个 Pod 中的单个容器（例如 CPU 或内存）。
+    此类指标内置于 Kubernetes 中，在使用 “pods” 源的、按 Pod 计算的普通指标之外，还具有一些特殊的扩缩选项。
+    这是一个 Alpha 特性，可以通过 HPAContainerMetrics 特性标志启用。
+
+    <a name="ContainerResourceMetricSource"></a>
+  
+    <!--
+    *ContainerResourceMetricSource indicates how to scale on a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  The values will be averaged together before being compared to the target.  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.  Only one "target" type should be set.*
+
+    - **metrics.containerResource.container** (string), required
+
+      container is the name of the container in the pods of the scaling target
+    -->
+    
+    ContainerResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些值先计算平均值。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+    只应设置一种 “target” 类别。 
+
+    - **metrics.containerResource.container** (string)，必需
+
+      container 是扩缩目标的 Pod 中容器的名称。
+
+    <!--
+    - **metrics.containerResource.name** (string), required
+
+      name is the name of the resource in question.
+    -->
+    
+    - **metrics.containerResource.name** (string)，必需
+
+      name 是相关资源的名称。
+  
+    <!--
+    - **metrics.containerResource.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.containerResource.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.containerResource.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.containerResource.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.containerResource.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.containerResource.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+      
+      <!--
+      - **metrics.containerResource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.containerResource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        是跨所有相关 Pod 的指标均值的目标值（以数量形式给出）。
+  
+      <!--
+      - **metrics.containerResource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.containerResource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+  
+  <!--
+  - **metrics.external** (ExternalMetricSource)
+
+    external refers to a global metric that is not associated with any Kubernetes object. It allows autoscaling based on information coming from components running outside of cluster (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).
+  -->
+  
+  - **metrics.external** (ExternalMetricSource)
+
+    external 指的是不与任何 Kubernetes 对象关联的全局指标。
+    这一字段允许基于来自集群外部运行的组件（例如云消息服务中的队列长度，或来自运行在集群外部的负载均衡器的 QPS）的信息进行自动扩缩容。
+
+    <a name="ExternalMetricSource"></a>
+  
+    <!--
+    *ExternalMetricSource indicates how to scale on a metric not associated with any Kubernetes object (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).*
+
+    - **metrics.external.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    ExternalMetricSource 指示如何基于 Kubernetes 对象无关的指标
+    （例如云消息传递服务中的队列长度，或来自集群外部运行的负载均衡器的 QPS）执行扩缩操作。
+
+    - **metrics.external.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.external.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.external.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+      
+      <!--
+      - **metrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+  
+    <!--
+    - **metrics.external.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.external.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.external.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.external.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.external.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.external.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得到的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.external.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.external.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 得到的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.external.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.external.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.object** (ObjectMetricSource)
+
+    object refers to a metric describing a single kubernetes object (for example, hits-per-second on an Ingress object).
+  -->
+  
+  - **metrics.object** (ObjectMetricSource)
+
+    object 是指描述单个 Kubernetes 对象的指标（例如，Ingress 对象上的 `hits-per-second`）。
+
+    <a name="ObjectMetricSource"></a>
+  
+    <!--
+    *ObjectMetricSource indicates how to scale on a metric describing a kubernetes object (for example, hits-per-second on an Ingress object).*
+
+    - **metrics.object.describedObject** (CrossVersionObjectReference), required
+
+      describedObject specifies the descriptions of a object,such as kind,name apiVersion
+    -->
+    
+    **ObjectMetricSource 表示如何根据描述 Kubernetes 对象的指标进行扩缩容（例如，Ingress 对象的 `hits-per-second`）**
+
+    - **metrics.object.describedObject** (CrossVersionObjectReference)，必需
+
+      describeObject 表示对象的描述，如对象的 `kind`、`name`、`apiVersion`。
+  
+      <a name="CrossVersionObjectReference"></a>
+    
+      <!--
+      *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+      - **metrics.object.describedObject.kind** (string), required
+
+        Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+      -->
+      
+      **CrossVersionObjectReference 包含足够的信息来让你识别所引用的资源。**
+
+      - **metrics.object.describedObject.kind** (string)，必需
+
+        被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"。
+  
+      <!--
+      - **metrics.object.describedObject.name** (string), required
+
+        Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+      -->
+      
+      - **metrics.object.describedObject.name** (string)，必需
+      
+        被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+  
+      <!--
+      - **metrics.object.describedObject.apiVersion** (string)
+
+        API version of the referent
+      -->
+      
+      - **metrics.object.describedObject.apiVersion** (string)
+      
+        被引用对象的 API 版本。
+      
+    <!--
+    - **metrics.object.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **metrics.object.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.object.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.object.metric.name** (string)，必需
+
+        name 是给定指标的名称。 
+  
+      <!--
+      - **metrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+    <!--
+    - **metrics.object.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.object.target** (MetricTarget)，必需
+
+      target 表示给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.object.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.object.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.object.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.object.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.object.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.object.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.object.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.object.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.pods** (PodsMetricSource)
+
+    pods refers to a metric describing each pod in the current scale target (for example, transactions-processed-per-second).  The values will be averaged together before being compared to the target value.
+  -->
+  
+  - **metrics.pods** (PodsMetricSource)
+
+    pods 是指描述当前扩缩目标中每个 Pod 的指标（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。
+
+    <a name="PodsMetricSource"></a>
+  
+    <!--
+    *PodsMetricSource indicates how to scale on a metric describing each pod in the current scale target (for example, transactions-processed-per-second). The values will be averaged together before being compared to the target value.*
+
+    - **metrics.pods.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    PodsMetricSource 表示如何根据描述当前扩缩目标中每个 Pod 的指标进行扩缩容（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。 
+
+    - **metrics.pods.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.pods.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.pods.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+   
+      <!--
+      - **metrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+    <!--
+    - **metrics.pods.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.pods.target** (MetricTarget)，必需
+
+      target 表示给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.pods.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.pods.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.pods.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.pods.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.pods.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.pods.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.pods.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.pods.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.resource** (ResourceMetricSource)
+
+    resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **metrics.resource** (ResourceMetricSource)
+
+    resource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ResourceMetricSource"></a>
+  
+    <!--
+    *ResourceMetricSource indicates how to scale on a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  The values will be averaged together before being compared to the target.  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.  Only one "target" type should be set.*
+
+    - **metrics.resource.name** (string), required
+
+      name is the name of the resource in question.
+    -->
+    
+    ResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些指标值将被平均。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+    只应设置一种 “target” 类别。
+
+    - **metrics.resource.name** (string)，必需
+
+      name 是相关资源的名称。
+    
+    <!--
+    - **metrics.resource.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.resource.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.resource.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.resource.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.resource.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.resource.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.resource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.resource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.resource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.resource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+## HorizontalPodAutoscalerStatus {#HorizontalPodAutoscalerStatus}
+
+<!--
+HorizontalPodAutoscalerStatus describes the current status of a horizontal pod autoscaler.
+-->
+HorizontalPodAutoscalerStatus 描述了水平 Pod 自动扩缩器的当前状态。
+
+<hr>
+
+<!--
+- **desiredReplicas** (int32), required
+
+  desiredReplicas is the desired number of replicas of pods managed by this autoscaler, as last calculated by the autoscaler.
+-->
+
+- **desiredReplicas** (int32)，必需
+
+  desiredReplicas 是此自动扩缩器管理的 Pod 的所期望的副本数，由自动扩缩器最后计算。
+
+<!--
+- **conditions** ([]HorizontalPodAutoscalerCondition)
+
+  *Patch strategy: merge on key `type`*
+  
+  *Map: unique values on key type will be kept during a merge*
+  
+  conditions is the set of conditions required for this autoscaler to scale its target, and indicates whether or not those conditions are met.
+-->
+
+- **conditions** ([]HorizontalPodAutoscalerCondition)
+
+  **补丁策略：基于键 `type` 合并**
+
+  **Map：合并时将保留 type 键的唯一值**
+
+  conditions 是此自动扩缩器扩缩其目标所需的一组条件，并指示是否满足这些条件。
+
+  <a name="HorizontalPodAutoscalerCondition"></a>
+
+  <!--
+  *HorizontalPodAutoscalerCondition describes the state of a HorizontalPodAutoscaler at a certain point.*
+
+  - **conditions.status** (string), required
+
+    status is the status of the condition (True, False, Unknown)
+  -->
+  
+  **HorizontalPodAutoscalerCondition 描述 HorizontalPodAutoscaler 在某一时间点的状态。**
+
+  - **conditions.status** (string)，必需
+
+    status 是状况的状态（True、False、Unknown）。
+  
+  <!--
+  - **conditions.type** (string), required
+
+    type describes the current condition
+  -->
+  
+  - **conditions.type** (string)，必需
+
+    type 描述当前状况。
+
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    lastTransitionTime is the last time the condition transitioned from one status to another
+  -->
+  
+  - **conditions.lastTransitionTime** (Time)
+
+    lastTransitionTime 是状况最近一次从一种状态转换到另一种状态的时间。
+
+    <a name="Time"></a>
+    <!--
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+    -->
+    
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**  
+  
+  <!--
+  - **conditions.message** (string)
+
+    message is a human-readable explanation containing details about the transition
+  -->
+  
+  - **conditions.message** (string)
+
+    message 是一个包含有关转换的可读的详细信息。
+
+  <!--
+  - **conditions.reason** (string)
+
+    reason is the reason for the condition's last transition.
+  -->
+  
+  - **conditions.reason** (string)
+
+    reason 是状况最后一次转换的原因。
+
+<!--
+- **currentMetrics** ([]MetricStatus)
+
+  *Atomic: will be replaced during a merge*
+  
+  currentMetrics is the last read state of the metrics used by this autoscaler.
+-->
+
+- **currentMetrics** ([]MetricStatus)
+  
+  **原子性：将在合并期间被替换**
+
+  currentMetrics 是此自动扩缩器使用的指标的最后读取状态。
+
+  <a name="MetricStatus"></a>
+
+  <!--
+  *MetricStatus describes the last-read state of a single metric.*
+
+  - **currentMetrics.type** (string), required
+
+    type is the type of metric source.  It will be one of "ContainerResource", "External", "Object", "Pods" or "Resource", each corresponds to a matching field in the object. Note: "ContainerResource" type is available on when the feature-gate HPAContainerMetrics is enabled
+  -->
+  
+  **MetricStatus 描述了单个指标的最后读取状态。**
+
+  - **currentMetrics.type** (string)，必需
+
+    type 是指标源的类别。它取值是 “ContainerResource”、“External”、“Object”、“Pods” 或 “Resource” 之一，
+    每个类别映射到对象中的一个对应的字段。注意：“ContainerResource” 类别在特性门控 HPAContainerMetrics 启用时可用。
+
+  <!--
+  - **currentMetrics.containerResource** (ContainerResourceMetricStatus)
+
+    container resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing a single container in each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **currentMetrics.containerResource** (ContainerResourceMetricStatus)
+
+    containerResource 是指 Kubernetes 已知的一种资源指标（例如在请求和限制中指定的那些），
+    描述当前扩缩目标中每个 Pod 中的单个容器（例如 CPU 或内存）。
+    此类指标内置于 Kubernetes 中，并且在使用 "Pods" 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ContainerResourceMetricStatus"></a>
+  
+    <!--
+    *ContainerResourceMetricStatus indicates the current value of a resource metric known to Kubernetes, as specified in requests and limits, describing a single container in each pod in the current scale target (e.g. CPU or memory).  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.*
+
+    - **currentMetrics.containerResource.container** (string), required
+
+      Container is the name of the container in the pods of the scaling target
+    -->
+
+    ContainerResourceMetricStatus 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    - **currentMetrics.containerResource.container** (string)，必需
+
+      container 是扩缩目标的 Pod 中的容器名称。
+  
+    <!--
+    - **currentMetrics.containerResource.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    - **currentMetrics.containerResource.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.containerResource.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.containerResource.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.containerResource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.containerResource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.containerResource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.containerResource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.containerResource.name** (string), required
+
+      Name is the name of the resource in question.
+    -->
+    
+    - **currentMetrics.containerResource.name** (string)，必需
+
+      name 是相关资源的名称。
+  
+  <!--
+  - **currentMetrics.external** (ExternalMetricStatus)
+
+    external refers to a global metric that is not associated with any Kubernetes object. It allows autoscaling based on information coming from components running outside of cluster (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).
+  -->
+  
+  - **currentMetrics.external** (ExternalMetricStatus)
+
+    external 指的是不与任何 Kubernetes 对象关联的全局指标。这一字段允许基于来自集群外部运行的组件
+    （例如云消息服务中的队列长度，或来自集群外部运行的负载均衡器的 QPS）的信息进行自动扩缩。
+
+    <a name="ExternalMetricStatus"></a>
+  
+    <!--
+    *ExternalMetricStatus indicates the current value of a global metric not associated with any Kubernetes object.*
+
+    - **currentMetrics.external.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **ExternalMetricStatus 表示与任何 Kubernetes 对象无关的全局指标的当前值。**
+
+    - **currentMetrics.external.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.external.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.external.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+      
+      <!--
+      - **currentMetrics.external.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.external.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.external.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.external.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.external.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.external.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.external.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.external.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+  
+      <!--
+      - **currentMetrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.object** (ObjectMetricStatus)
+
+    object refers to a metric describing a single kubernetes object (for example, hits-per-second on an Ingress object).
+  -->
+  
+  - **currentMetrics.object** (ObjectMetricStatus)
+
+    object 是指描述单个 Kubernetes 对象的指标（例如，Ingress 对象的 `hits-per-second`）。
+
+    <a name="ObjectMetricStatus"></a>
+  
+    <!--
+    *ObjectMetricStatus indicates the current value of a metric describing a kubernetes object (for example, hits-per-second on an Ingress object).*
+
+    - **currentMetrics.object.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **ObjectMetricStatus 表示描述 Kubernetes 对象的指标的当前值（例如，Ingress 对象的 `hits-per-second`）。**
+
+    - **currentMetrics.object.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.object.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.object.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.object.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.object.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.object.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.object.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.object.describedObject** (CrossVersionObjectReference), required
+
+      DescribedObject specifies the descriptions of a object,such as kind,name apiVersion
+    -->
+    
+    - **currentMetrics.object.describedObject** (CrossVersionObjectReference)，必需
+
+      describeObject 表示对象的描述，如对象的 `kind`、`name`、`apiVersion`。
+  
+      <a name="CrossVersionObjectReference"></a>
+    
+      <!--
+      *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+      - **currentMetrics.object.describedObject.kind** (string), required
+
+        Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+      -->
+      
+      **CrossVersionObjectReference 包含足够的信息来让你识别所引用的资源。**
+
+      - **currentMetrics.object.describedObject.kind** (string)，必需
+
+        被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+  
+      <!--
+      - **currentMetrics.object.describedObject.name** (string), required
+
+        Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+      -->
+      
+      - **currentMetrics.object.describedObject.name** (string)，必需
+
+        被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+  
+      <!--
+      - **currentMetrics.object.describedObject.apiVersion** (string)
+
+        API version of the referent
+      -->
+      
+      - **currentMetrics.object.describedObject.apiVersion** (string)
+
+        被引用对象的 API 版本。
+  
+    <!--
+    - **currentMetrics.object.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.object.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.object.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.object.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+
+      <!--  
+      - **currentMetrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.pods** (PodsMetricStatus)
+
+    pods refers to a metric describing each pod in the current scale target (for example, transactions-processed-per-second).  The values will be averaged together before being compared to the target value.
+  -->
+  
+  - **currentMetrics.pods** (PodsMetricStatus)
+
+    pods 是指描述当前扩缩目标中每个 Pod 的指标（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。
+
+    <a name="PodsMetricStatus"></a>
+  
+    <!--
+    *PodsMetricStatus indicates the current value of a metric describing each pod in the current scale target (for example, transactions-processed-per-second).*
+
+    - **currentMetrics.pods.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **PodsMetricStatus 表示描述当前扩缩目标中每个 Pod 的指标的当前值（例如，`transactions-processed-per-second`）。**
+
+    - **currentMetrics.pods.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.pods.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.pods.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.pods.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.pods.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.pods.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.pods.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+    
+    <!--
+    - **currentMetrics.pods.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.pods.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.pods.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.pods.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+  
+      <!--
+      - **currentMetrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.resource** (ResourceMetricStatus)
+
+    resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **currentMetrics.resource** (ResourceMetricStatus)
+
+    resource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ResourceMetricStatus"></a>
+  
+    <!--
+    *ResourceMetricStatus indicates the current value of a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.*
+
+    - **currentMetrics.resource.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    ResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些指标值将被平均。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    - **currentMetrics.resource.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.resource.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.resource.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，
+        表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.resource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.resource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.resource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.resource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.resource.name** (string), required
+
+      Name is the name of the resource in question.
+    -->
+    
+    - **currentMetrics.resource.name** (string)，必需
+
+      name 是相关资源的名称。
+
+<!--
+- **currentReplicas** (int32)
+
+  currentReplicas is current number of replicas of pods managed by this autoscaler, as last seen by the autoscaler.
+-->
+
+- **currentReplicas** (int32)
+
+  currentReplicas 是此自动扩缩器管理的 Pod 的当前副本数，如自动扩缩器最后一次看到的那样。
+
+<!--
+- **lastScaleTime** (Time)
+
+  lastScaleTime is the last time the HorizontalPodAutoscaler scaled the number of pods, used by the autoscaler to control how often the number of pods is changed.
+-->
+
+- **lastScaleTime** (Time)
+
+  lastScaleTime 是 HorizontalPodAutoscaler 上次扩缩 Pod 数量的时间，自动扩缩器使用它来控制更改 Pod 数量的频率。
+
+  <a name="Time"></a>
+
+  <!--
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+  
+  **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**
+
+<!--
+- **observedGeneration** (int64)
+
+  observedGeneration is the most recent generation observed by this autoscaler.
+-->
+
+- **observedGeneration** (int64)
+
+  observedGeneration 是此自动扩缩器观察到的最新一代。
+
+## HorizontalPodAutoscalerList {#HorizontalPodAutoscalerList}
+
+<!--
+HorizontalPodAutoscalerList is a list of horizontal pod autoscaler objects.
+-->
+HorizontalPodAutoscalerList 是水平 Pod 自动扩缩器对象列表。
+
+<hr>
+
+- **apiVersion**: autoscaling/v2
+
+- **kind**: HorizontalPodAutoscalerList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  metadata is the standard list metadata.
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  metadata 是标准的列表元数据。
+
+<!--
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>), required
+
+  items is the list of horizontal pod autoscaler objects.
+-->
+
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>)，必需
+
+  items 是水平 Pod 自动扩缩器对象的列表。
+
+## Operations {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `get` 读取指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `get` 读取指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `list` 列出或观察 HorizontalPodAutoscaler 类别的对象
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `list` 列出或观察 HorizontalPodAutoscaler 类别的对象
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **allowWatchBookmarks** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `create` 创建一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+POST /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `update` 替换指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `update` 替换指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `delete` 删除一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 HorizontalPodAutoscaler 的集合
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2beta2.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2beta2.md
new file mode 100644
index 00000000000..b8ac14288a3
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/horizontal-pod-autoscaler-v2beta2.md
@@ -0,0 +1,2327 @@
+---
+api_metadata:
+  apiVersion: "autoscaling/v2beta2"
+  import: "k8s.io/api/autoscaling/v2beta2"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "HorizontalPodAutoscaler 是水平 Pod 自动扩缩器的配置，它根据指定的指标自动管理实现 scale 子资源的任何资源的副本数。"
+title: "HorizontalPodAutoscaler v2beta2"
+weight: 13
+---
+<!--
+api_metadata:
+  apiVersion: "autoscaling/v2beta2"
+  import: "k8s.io/api/autoscaling/v2beta2"
+  kind: "HorizontalPodAutoscaler"
+content_type: "api_reference"
+description: "HorizontalPodAutoscaler is the configuration for a horizontal pod autoscaler, which automatically manages the replica count of any resource implementing the scale subresource based on the metrics specified."
+title: "HorizontalPodAutoscaler v2beta2"
+weight: 13
+auto_generated: true
+-->
+
+`apiVersion: autoscaling/v2beta2`
+
+`import "k8s.io/api/autoscaling/v2beta2"`
+
+
+## HorizontalPodAutoscaler {#HorizontalPodAutoscaler}
+
+<!--
+HorizontalPodAutoscaler is the configuration for a horizontal pod autoscaler, which automatically manages the replica count of any resource implementing the scale subresource based on the metrics specified.
+-->
+HorizontalPodAutoscaler 是水平 Pod 自动扩缩器的配置，
+它根据指定的指标自动管理实现 scale 子资源的任何资源的副本数。
+
+<hr>
+
+- **apiVersion**: autoscaling/v2beta2
+
+- **kind**: HorizontalPodAutoscaler
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  metadata is the standard object metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  
+  metadata 是标准的对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscalerSpec" >}}">HorizontalPodAutoscalerSpec</a>)
+
+  <!--
+  spec is the specification for the behaviour of the autoscaler. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+  -->
+  
+  spec 是自动扩缩器行为的规约。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status.
+
+- **status** (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscalerStatus" >}}">HorizontalPodAutoscalerStatus</a>)
+  
+  <!--
+  status is the current information about the autoscaler.
+  -->
+  
+  status 是自动扩缩器的当前信息。
+
+## HorizontalPodAutoscalerSpec {#HorizontalPodAutoscalerSpec}
+
+<!--
+HorizontalPodAutoscalerSpec describes the desired functionality of the HorizontalPodAutoscaler.
+-->
+HorizontalPodAutoscalerSpec 描述了 HorizontalPodAutoscaler 预期的功能。
+
+<hr>
+
+<!--
+- **maxReplicas** (int32), required
+
+  maxReplicas is the upper limit for the number of replicas to which the autoscaler can scale up. It cannot be less that minReplicas.
+-->
+
+- **maxReplicas** (int32)，必需
+
+  maxReplicas 是自动扩缩器可以扩容的副本数的上限。不能小于 minReplicas。
+
+<!--
+- **scaleTargetRef** (CrossVersionObjectReference), required
+
+  scaleTargetRef points to the target resource to scale, and is used to the pods for which metrics should be collected, as well as to actually change the replica count.
+-->
+
+- **scaleTargetRef** (CrossVersionObjectReference)，必需
+
+  scaleTargetRef 指向要扩缩的目标资源，用于收集 Pod 的相关指标信息以及实际更改的副本数。
+
+  <a name="CrossVersionObjectReference"></a>
+
+  <!--
+  *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+  - **scaleTargetRef.kind** (string), required
+
+    Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+  -->
+  
+  **CrossVersionObjectReference 包含足够的信息来让你识别出所引用的资源。**
+
+  - **scaleTargetRef.kind** (string)，必需
+
+    被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+
+  <!--
+  - **scaleTargetRef.name** (string), required
+
+    Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+  -->
+
+  - **scaleTargetRef.name** (string)，必需
+
+    被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+  <!--
+  - **scaleTargetRef.apiVersion** (string)
+
+    API version of the referent
+  -->
+  
+  - **scaleTargetRef.apiVersion** (string)
+
+    被引用对象的 API 版本。
+
+<!--
+- **minReplicas** (int32)
+
+  minReplicas is the lower limit for the number of replicas to which the autoscaler can scale down.  It defaults to 1 pod.  minReplicas is allowed to be 0 if the alpha feature gate HPAScaleToZero is enabled and at least one Object or External metric is configured.  Scaling is active as long as at least one metric value is available.
+-->
+
+- **minReplicas** (int32)
+
+  minReplicas 是自动扩缩器可以缩减的副本数的下限。它默认为 1 个 Pod。
+  如果启用了 Alpha 特性门控 HPAScaleToZero 并且配置了至少一个 Object 或 External 度量指标，
+  则 minReplicas 允许为 0。只要至少有一个度量值可用，扩缩就处于活动状态。
+
+<!--
+- **behavior** (HorizontalPodAutoscalerBehavior)
+
+  behavior configures the scaling behavior of the target in both Up and Down directions (scaleUp and scaleDown fields respectively). If not set, the default HPAScalingRules for scale up and scale down are used.
+-->
+
+- **behavior** (HorizontalPodAutoscalerBehavior)
+
+  behavior 配置目标在扩容（Up）和缩容（Down）两个方向的扩缩行为（分别用 scaleUp 和 scaleDown 字段）。
+  如果未设置，则会使用默认的 HPAScalingRules 进行扩缩容。
+
+  <a name="HorizontalPodAutoscalerBehavior"></a>
+
+  <!--
+  *HorizontalPodAutoscalerBehavior configures the scaling behavior of the target in both Up and Down directions (scaleUp and scaleDown fields respectively).*
+
+  - **behavior.scaleDown** (HPAScalingRules)
+
+    scaleDown is scaling policy for scaling Down. If not set, the default value is to allow to scale down to minReplicas pods, with a 300 second stabilization window (i.e., the highest recommendation for the last 300sec is used).
+  -->
+  
+  **HorizontalPodAutoscalerBehavior 配置目标在扩容（Up）和缩容（Down）两个方向的扩缩行为
+  （分别用 scaleUp 和 scaleDown 字段）。**
+
+  - **behavior.scaleDown** (HPAScalingRules)
+
+    scaleDown 是缩容策略。如果未设置，则默认值允许缩减到 minReplicas 数量的 Pod，
+    具有 300 秒的稳定窗口（使用最近 300 秒的最高推荐值）。
+
+    <a name="HPAScalingRules"></a>
+  
+    <!--
+    *HPAScalingRules configures the scaling behavior for one direction. These Rules are applied after calculating DesiredReplicas from metrics for the HPA. They can limit the scaling velocity by specifying scaling policies. They can prevent flapping by specifying the stabilization window, so that the number of replicas is not set instantly, instead, the safest value from the stabilization window is chosen.*
+
+    - **behavior.scaleDown.policies** ([]HPAScalingPolicy)
+      
+      policies is a list of potential scaling polices which can be used during scaling. At least one policy must be specified, otherwise the HPAScalingRules will be discarded as invalid
+    -->
+    
+    HPAScalingRules 为一个方向配置扩缩行为。在根据 HPA 的指标计算 desiredReplicas 后应用这些规则。
+    可以通过指定扩缩策略来限制扩缩速度。可以通过指定稳定窗口来防止抖动，
+    因此不会立即设置副本数，而是选择稳定窗口中最安全的值。 
+
+    - **behavior.scaleDown.policies** ([]HPAScalingPolicy)
+
+      policies 是可在扩缩容过程中使用的潜在扩缩策略的列表。必须至少指定一个策略，否则 HPAScalingRules 将被视为无效而丢弃。
+  
+      <a name="HPAScalingPolicy"></a>
+
+      <!--
+      *HPAScalingPolicy is a single policy which must hold true for a specified past interval.*
+
+      - **behavior.scaleDown.policies.type** (string), required
+
+        Type is used to specify the scaling policy.
+      -->
+      
+      **HPAScalingPolicy 是一个单一的策略，它必须在指定的过去时间间隔内保持为 true。**
+
+      - **behavior.scaleDown.policies.type** (string)，必需
+
+        type 用于指定扩缩策略。
+      
+      <!--
+      - **behavior.scaleDown.policies.value** (int32), required
+
+        Value contains the amount of change which is permitted by the policy. It must be greater than zero
+      -->
+      
+      - **behavior.scaleDown.policies.value** (int32)，必需
+
+        value 包含策略允许的更改量。它必须大于零。
+  
+      <!--
+      - **behavior.scaleDown.policies.periodSeconds** (int32), required
+
+        PeriodSeconds specifies the window of time for which the policy should hold true. PeriodSeconds must be greater than zero and less than or equal to 1800 (30 min).
+      -->
+      
+      - **behavior.scaleDown.policies.periodSeconds** (int32)，必需
+
+        periodSeconds 表示策略应该保持为 true 的时间窗口长度。
+        periodSeconds 必须大于零且小于或等于 1800（30 分钟）。
+  
+    <!--
+    - **behavior.scaleDown.selectPolicy** (string)
+
+      selectPolicy is used to specify which policy should be used. If not set, the default value MaxPolicySelect is used.
+    -->
+    
+    - **behavior.scaleDown.selectPolicy** (string)
+
+      selectPolicy 用于指定应该使用哪个策略。如果未设置，则使用默认值 MaxPolicySelect。
+
+    <!--  
+    - **behavior.scaleDown.stabilizationWindowSeconds** (int32)
+
+      StabilizationWindowSeconds is the number of seconds for which past recommendations should be considered while scaling up or scaling down. StabilizationWindowSeconds must be greater than or equal to zero and less than or equal to 3600 (one hour). If not set, use the default values: - For scale up: 0 (i.e. no stabilization is done). - For scale down: 300 (i.e. the stabilization window is 300 seconds long).
+    -->
+    
+    - **behavior.scaleDown.stabilizationWindowSeconds** (int32)
+
+      stabilizationWindowSeconds 是在扩缩容时应考虑的之前建议的秒数。stabilizationWindowSeconds
+      必须大于或等于零且小于或等于 3600（一小时）。如果未设置，则使用默认值：
+
+      - 扩容：0（不设置稳定窗口）。
+      - 缩容：300（即稳定窗口为 300 秒）。
+  
+  <!--
+  - **behavior.scaleUp** (HPAScalingRules)
+
+    scaleUp is scaling policy for scaling Up. If not set, the default value is the higher of:
+      * increase no more than 4 pods per 60 seconds
+      * double the number of pods per 60 seconds
+    No stabilization is used.
+  -->
+  
+  - **behavior.scaleUp** (HPAScalingRules)
+
+    scaleUp 是用于扩容的扩缩策略。如果未设置，则默认值为以下值中的较高者：
+
+      * 每 60 秒增加不超过 4 个 Pod
+      * 每 60 秒 Pod 数量翻倍
+
+    不使用稳定窗口。
+
+    <a name="HPAScalingRules"></a>
+  
+    <!--
+    *HPAScalingRules configures the scaling behavior for one direction. These Rules are applied after calculating DesiredReplicas from metrics for the HPA. They can limit the scaling velocity by specifying scaling policies. They can prevent flapping by specifying the stabilization window, so that the number of replicas is not set instantly, instead, the safest value from the stabilization window is chosen.*
+
+    - **behavior.scaleUp.policies** ([]HPAScalingPolicy)
+      
+      policies is a list of potential scaling polices which can be used during scaling. At least one policy must be specified, otherwise the HPAScalingRules will be discarded as invalid
+    -->
+    
+    HPAScalingRules 为一个方向配置扩缩行为。在根据 HPA 的指标计算 desiredReplicas 后应用这些规则。
+    可以通过指定扩缩策略来限制扩缩速度。可以通过指定稳定窗口来防止抖动，
+    因此不会立即设置副本数，而是选择稳定窗口中最安全的值。
+
+    - **behavior.scaleUp.policies** ([]HPAScalingPolicy)
+
+      policies 是可在扩缩容过程中使用的潜在扩缩策略的列表。必须至少指定一个策略，否则 HPAScalingRules 将被视为无效而丢弃。
+
+      <a name="HPAScalingPolicy"></a>
+    
+      <!--
+      *HPAScalingPolicy is a single policy which must hold true for a specified past interval.*
+
+      - **behavior.scaleUp.policies.type** (string), required
+
+        Type is used to specify the scaling policy.
+      -->
+      
+      **HPAScalingPolicy 是一个单一的策略，它必须在指定的过去时间间隔内保持为 true。**
+
+      - **behavior.scaleUp.policies.type** (string)，必需
+
+        type 用于指定扩缩策略。
+      
+      <!--
+      - **behavior.scaleUp.policies.value** (int32), required
+
+        Value contains the amount of change which is permitted by the policy. It must be greater than zero
+      -->
+      
+      - **behavior.scaleUp.policies.value** (int32)，必需
+
+        value 包含策略允许的更改量。它必须大于零。
+      
+      <!--
+      - **behavior.scaleUp.policies.periodSeconds** (int32), required
+
+        PeriodSeconds specifies the window of time for which the policy should hold true. PeriodSeconds must be greater than zero and less than or equal to 1800 (30 min).
+      -->
+      
+      - **behavior.scaleUp.policies.periodSeconds** (int32)，必需
+
+        periodSeconds 表示策略应该保持为 true 的时间窗口长度。
+        periodSeconds 必须大于零且小于或等于 1800（30 分钟）。
+
+    <!--
+    - **behavior.scaleUp.selectPolicy** (string)
+
+      selectPolicy is used to specify which policy should be used. If not set, the default value MaxPolicySelect is used.
+    -->
+    
+    - **behavior.scaleUp.selectPolicy** (string)
+
+      selectPolicy 用于指定应该使用哪个策略。如果未设置，则使用默认值 MaxPolicySelect。
+    
+    <!--
+    - **behavior.scaleUp.stabilizationWindowSeconds** (int32)
+
+      StabilizationWindowSeconds is the number of seconds for which past recommendations should be considered while scaling up or scaling down. StabilizationWindowSeconds must be greater than or equal to zero and less than or equal to 3600 (one hour). If not set, use the default values: - For scale up: 0 (i.e. no stabilization is done). - For scale down: 300 (i.e. the stabilization window is 300 seconds long).
+    -->
+    
+    - **behavior.scaleUp.stabilizationWindowSeconds** (int32)
+
+      stabilizationWindowSeconds 是在扩缩容时应考虑的之前建议的秒数。stabilizationWindowSeconds
+      必须大于或等于零且小于或等于 3600（一小时）。如果未设置，则使用默认值：
+
+      - 扩容：0（不设置稳定窗口）。
+      - 缩容：300（即稳定窗口为 300 秒）。
+
+<!--
+- **metrics** ([]MetricSpec)
+  
+  metrics contains the specifications for which to use to calculate the desired replica count (the maximum replica count across all metrics will be used).  The desired replica count is calculated multiplying the ratio between the target value and the current value by the current number of pods.  Ergo, metrics used must decrease as the pod count is increased, and vice-versa.  See the individual metric source types for more information about how each type of metric must respond. If not set, the default metric will be set to 80% average CPU utilization.
+-->
+
+- **metrics** ([]MetricSpec)
+
+  metrics 包含用于计算预期副本数的规约（将使用所有指标的最大副本数）。
+  预期副本数是通过将目标值与当前值之间的比率乘以当前 Pod 数来计算的。
+  因此，使用的指标必须随着 Pod 数量的增加而减少，反之亦然。
+  有关每种类别的指标必须如何响应的更多信息，请参阅各个指标源类别。
+  如果未设置，默认指标将设置为 80% 的平均 CPU 利用率。
+
+  <a name="MetricSpec"></a>
+
+  <!--
+  *MetricSpec specifies how to scale based on a single metric (only `type` and one other matching field should be set at once).*
+
+  - **metrics.type** (string), required
+
+    type is the type of metric source.  It should be one of "ContainerResource", "External", "Object", "Pods" or "Resource", each mapping to a matching field in the object. Note: "ContainerResource" type is available on when the feature-gate HPAContainerMetrics is enabled
+  -->
+  
+  **MetricSpec 指定如何基于单个指标进行扩缩容（一次只能设置 `type` 和一个其他匹配字段）** 
+
+  - **metrics.type** (string)，必需
+
+    type 是指标源的类别。它取值是 “ContainerResource”、“External”、“Object”、“Pods” 或 “Resource” 之一，
+    每个类别映射到对象中的一个对应的字段。注意：“ContainerResource” 类别在特性门控 HPAContainerMetrics 启用时可用。
+
+  <!--
+  - **metrics.containerResource** (ContainerResourceMetricSource)
+
+    container resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing a single container in each pod of the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source. This is an alpha feature and can be enabled by the HPAContainerMetrics feature flag.
+  -->
+  
+  - **metrics.containerResource** (ContainerResourceMetricSource)  
+
+    containerResource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    描述当前扩缩目标中每个 Pod 中的单个容器（例如 CPU 或内存）。
+    此类指标内置于 Kubernetes 中，在使用 “pods” 源的、按 Pod 计算的普通指标之外，还具有一些特殊的扩缩选项。
+    这是一个 Alpha 特性，可以通过 HPAContainerMetrics 特性标志启用。
+
+    <a name="ContainerResourceMetricSource"></a>
+  
+    <!--
+    *ContainerResourceMetricSource indicates how to scale on a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  The values will be averaged together before being compared to the target.  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.  Only one "target" type should be set.*
+
+    - **metrics.containerResource.container** (string), required
+
+      container is the name of the container in the pods of the scaling target
+    -->
+    
+    ContainerResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些值先计算平均值。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+    只应设置一种 “target” 类别。 
+
+    - **metrics.containerResource.container** (string)，必需
+
+      container 是扩缩目标的 Pod 中容器的名称。
+
+    <!--
+    - **metrics.containerResource.name** (string), required
+
+      name is the name of the resource in question.
+    -->
+    
+    - **metrics.containerResource.name** (string)，必需
+
+      name 是相关资源的名称。
+  
+    <!--
+    - **metrics.containerResource.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.containerResource.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.containerResource.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.containerResource.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.containerResource.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.containerResource.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+      
+      <!--
+      - **metrics.containerResource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.containerResource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        是跨所有相关 Pod 的指标均值的目标值（以数量形式给出）。
+  
+      <!--
+      - **metrics.containerResource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.containerResource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+  
+  <!--
+  - **metrics.external** (ExternalMetricSource)
+
+    external refers to a global metric that is not associated with any Kubernetes object. It allows autoscaling based on information coming from components running outside of cluster (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).
+  -->
+  
+  - **metrics.external** (ExternalMetricSource)
+
+    external 指的是不与任何 Kubernetes 对象关联的全局指标。
+    这一字段允许基于来自集群外部运行的组件（例如云消息服务中的队列长度，或来自运行在集群外部的负载均衡器的 QPS）的信息进行自动扩缩容。
+
+    <a name="ExternalMetricSource"></a>
+  
+    <!--
+    *ExternalMetricSource indicates how to scale on a metric not associated with any Kubernetes object (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).*
+
+    - **metrics.external.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    ExternalMetricSource 指示如何基于 Kubernetes 对象无关的指标
+    （例如云消息传递服务中的队列长度，或来自集群外部运行的负载均衡器的 QPS）执行扩缩操作。
+
+    - **metrics.external.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.external.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.external.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+      
+      <!--
+      - **metrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+  
+    <!--
+    - **metrics.external.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.external.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.external.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.external.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.external.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.external.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得到的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.external.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.external.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 得到的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.external.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.external.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.object** (ObjectMetricSource)
+
+    object refers to a metric describing a single kubernetes object (for example, hits-per-second on an Ingress object).
+  -->
+  
+  - **metrics.object** (ObjectMetricSource)
+
+    object 是指描述单个 Kubernetes 对象的指标（例如，Ingress 对象上的 `hits-per-second`）。
+
+    <a name="ObjectMetricSource"></a>
+  
+    <!--
+    *ObjectMetricSource indicates how to scale on a metric describing a kubernetes object (for example, hits-per-second on an Ingress object).*
+
+    - **metrics.object.describedObject** (CrossVersionObjectReference), required
+    -->
+    
+    **ObjectMetricSource 表示如何根据描述 Kubernetes 对象的指标进行扩缩容（例如，Ingress 对象的 `hits-per-second`）**
+
+    - **metrics.object.describedObject** (CrossVersionObjectReference)，必需
+  
+      <a name="CrossVersionObjectReference"></a>
+    
+      <!--
+      *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+      - **metrics.object.describedObject.kind** (string), required
+
+        Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+      -->
+      
+      **CrossVersionObjectReference 包含足够的信息来让你识别所引用的资源。**
+
+      - **metrics.object.describedObject.kind** (string)，必需
+
+        被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"。
+  
+      <!--
+      - **metrics.object.describedObject.name** (string), required
+
+        Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+      -->
+      
+      - **metrics.object.describedObject.name** (string)，必需
+      
+        被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+  
+      <!--
+      - **metrics.object.describedObject.apiVersion** (string)
+
+        API version of the referent
+      -->
+      
+      - **metrics.object.describedObject.apiVersion** (string)
+      
+        被引用对象的 API 版本。
+      
+    <!--
+    - **metrics.object.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **metrics.object.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.object.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.object.metric.name** (string)，必需
+
+        name 是给定指标的名称。 
+  
+      <!--
+      - **metrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+    <!--
+    - **metrics.object.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.object.target** (MetricTarget)，必需
+
+      target 表示给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.object.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.object.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.object.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.object.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.object.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.object.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.object.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.object.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.pods** (PodsMetricSource)
+
+    pods refers to a metric describing each pod in the current scale target (for example, transactions-processed-per-second).  The values will be averaged together before being compared to the target value.
+  -->
+  
+  - **metrics.pods** (PodsMetricSource)
+
+    pods 是指描述当前扩缩目标中每个 Pod 的指标（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。
+
+    <a name="PodsMetricSource"></a>
+  
+    <!--
+    *PodsMetricSource indicates how to scale on a metric describing each pod in the current scale target (for example, transactions-processed-per-second). The values will be averaged together before being compared to the target value.*
+
+    - **metrics.pods.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    PodsMetricSource 表示如何根据描述当前扩缩目标中每个 Pod 的指标进行扩缩容（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。 
+
+    - **metrics.pods.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **metrics.pods.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **metrics.pods.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+   
+      <!--
+      - **metrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **metrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+    <!--
+    - **metrics.pods.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.pods.target** (MetricTarget)，必需
+
+      target 表示给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.pods.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.pods.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.pods.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.pods.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.pods.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.pods.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.pods.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.pods.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+  <!--
+  - **metrics.resource** (ResourceMetricSource)
+
+    resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **metrics.resource** (ResourceMetricSource)
+
+    resource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ResourceMetricSource"></a>
+  
+    <!--
+    *ResourceMetricSource indicates how to scale on a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  The values will be averaged together before being compared to the target.  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.  Only one "target" type should be set.*
+
+    - **metrics.resource.name** (string), required
+
+      name is the name of the resource in question.
+    -->
+    
+    ResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些指标值将被平均。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+    只应设置一种 “target” 类别。
+
+    - **metrics.resource.name** (string)，必需
+
+      name 是相关资源的名称。
+    
+    <!--
+    - **metrics.resource.target** (MetricTarget), required
+
+      target specifies the target value for the given metric
+    -->
+    
+    - **metrics.resource.target** (MetricTarget)，必需
+
+      target 指定给定指标的目标值。
+  
+      <a name="MetricTarget"></a>
+    
+      <!--
+      *MetricTarget defines the target value, average value, or average utilization of a specific metric*
+
+      - **metrics.resource.target.type** (string), required
+
+        type represents whether the metric type is Utilization, Value, or AverageValue
+      -->
+      
+      **MetricTarget 定义特定指标的目标值、平均值或平均利用率**
+
+      - **metrics.resource.target.type** (string)，必需
+
+        type 表示指标类别是 `Utilization`、`Value` 或 `AverageValue`。
+  
+      <!--
+      - **metrics.resource.target.averageUtilization** (int32)
+
+        averageUtilization is the target value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods. Currently only valid for Resource metric source type
+      -->
+      
+      - **metrics.resource.target.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的目标值，
+        表示为 Pod 资源请求值的百分比。目前仅对 “Resource” 指标源类别有效。
+  
+      <!--
+      - **metrics.resource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the target value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **metrics.resource.target.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有 Pod 得出的指标均值的目标值（以数量形式给出）。
+
+      <!--
+      - **metrics.resource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the target value of the metric (as a quantity).
+      -->
+      
+      - **metrics.resource.target.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的目标值（以数量形式给出）。
+
+## HorizontalPodAutoscalerStatus {#HorizontalPodAutoscalerStatus}
+
+<!--
+HorizontalPodAutoscalerStatus describes the current status of a horizontal pod autoscaler.
+-->
+HorizontalPodAutoscalerStatus 描述了水平 Pod 自动扩缩器的当前状态。
+
+<hr>
+
+<!--
+- **currentReplicas** (int32), required
+
+  currentReplicas is current number of replicas of pods managed by this autoscaler, as last seen by the autoscaler.
+-->
+
+- **currentReplicas** (int32)，必需
+
+  currentReplicas 是此自动扩缩器管理的 Pod 的当前副本数，如自动扩缩器最后一次看到的那样。
+
+<!--
+- **desiredReplicas** (int32), required
+
+  desiredReplicas is the desired number of replicas of pods managed by this autoscaler, as last calculated by the autoscaler.
+-->
+
+- **desiredReplicas** (int32)，必需
+
+  desiredReplicas 是此自动扩缩器管理的 Pod 的所期望的副本数，由自动扩缩器最后计算。
+
+<!--
+- **conditions** ([]HorizontalPodAutoscalerCondition)
+  
+  conditions is the set of conditions required for this autoscaler to scale its target, and indicates whether or not those conditions are met.
+-->
+
+- **conditions** ([]HorizontalPodAutoscalerCondition)
+
+  conditions 是此自动扩缩器扩缩其目标所需的一组条件，并指示是否满足这些条件。
+
+  <a name="HorizontalPodAutoscalerCondition"></a>
+
+  <!--
+  *HorizontalPodAutoscalerCondition describes the state of a HorizontalPodAutoscaler at a certain point.*
+
+  - **conditions.status** (string), required
+
+    status is the status of the condition (True, False, Unknown)
+  -->
+  
+  **HorizontalPodAutoscalerCondition 描述 HorizontalPodAutoscaler 在某一时间点的状态。**
+
+  - **conditions.status** (string)，必需
+
+    status 是状况的状态（True、False、Unknown）。
+  
+  <!--
+  - **conditions.type** (string), required
+
+    type describes the current condition
+  -->
+  
+  - **conditions.type** (string)，必需
+
+    type 描述当前状况。
+
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    lastTransitionTime is the last time the condition transitioned from one status to another
+  -->
+  
+  - **conditions.lastTransitionTime** (Time)
+
+    lastTransitionTime 是状况最近一次从一种状态转换到另一种状态的时间。
+
+    <a name="Time"></a>
+    <!--
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+    -->
+    
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**  
+  
+  <!--
+  - **conditions.message** (string)
+
+    message is a human-readable explanation containing details about the transition
+  -->
+  
+  - **conditions.message** (string)
+
+    message 是一个包含有关转换的可读的详细信息。
+
+  <!--
+  - **conditions.reason** (string)
+
+    reason is the reason for the condition's last transition.
+  -->
+  
+  - **conditions.reason** (string)
+
+    reason 是状况最后一次转换的原因。
+
+<!--
+- **currentMetrics** ([]MetricStatus)
+  
+  currentMetrics is the last read state of the metrics used by this autoscaler.
+-->
+
+- **currentMetrics** ([]MetricStatus)
+
+  currentMetrics 是此自动扩缩器使用的指标的最后读取状态。
+
+  <a name="MetricStatus"></a>
+
+  <!--
+  *MetricStatus describes the last-read state of a single metric.*
+
+  - **currentMetrics.type** (string), required
+
+    type is the type of metric source.  It will be one of "ContainerResource", "External", "Object", "Pods" or "Resource", each corresponds to a matching field in the object. Note: "ContainerResource" type is available on when the feature-gate HPAContainerMetrics is enabled
+  -->
+  
+  **MetricStatus 描述了单个指标的最后读取状态。**
+
+  - **currentMetrics.type** (string)，必需
+
+    type 是指标源的类别。它取值是 “ContainerResource”、“External”、“Object”、“Pods” 或 “Resource” 之一，
+    每个类别映射到对象中的一个对应的字段。注意：“ContainerResource” 类别在特性门控 HPAContainerMetrics 启用时可用。
+
+  <!--
+  - **currentMetrics.containerResource** (ContainerResourceMetricStatus)
+
+    container resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing a single container in each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **currentMetrics.containerResource** (ContainerResourceMetricStatus)
+
+    containerResource 是指 Kubernetes 已知的一种资源指标（例如在请求和限制中指定的那些），
+    描述当前扩缩目标中每个 Pod 中的单个容器（例如 CPU 或内存）。
+    此类指标内置于 Kubernetes 中，并且在使用 "Pods" 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ContainerResourceMetricStatus"></a>
+  
+    <!--
+    *ContainerResourceMetricStatus indicates the current value of a resource metric known to Kubernetes, as specified in requests and limits, describing a single container in each pod in the current scale target (e.g. CPU or memory).  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.*
+
+    - **currentMetrics.containerResource.container** (string), required
+
+      Container is the name of the container in the pods of the scaling target
+    -->
+
+    ContainerResourceMetricStatus 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    - **currentMetrics.containerResource.container** (string)，必需
+
+      container 是扩缩目标的 Pod 中的容器名称。
+  
+    <!--
+    - **currentMetrics.containerResource.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    - **currentMetrics.containerResource.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.containerResource.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.containerResource.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.containerResource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.containerResource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.containerResource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.containerResource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.containerResource.name** (string), required
+
+      Name is the name of the resource in question.
+    -->
+    
+    - **currentMetrics.containerResource.name** (string)，必需
+
+      name 是相关资源的名称。
+  
+  <!--
+  - **currentMetrics.external** (ExternalMetricStatus)
+
+    external refers to a global metric that is not associated with any Kubernetes object. It allows autoscaling based on information coming from components running outside of cluster (for example length of queue in cloud messaging service, or QPS from loadbalancer running outside of cluster).
+  -->
+  
+  - **currentMetrics.external** (ExternalMetricStatus)
+
+    external 指的是不与任何 Kubernetes 对象关联的全局指标。这一字段允许基于来自集群外部运行的组件
+    （例如云消息服务中的队列长度，或来自集群外部运行的负载均衡器的 QPS）的信息进行自动扩缩。
+
+    <a name="ExternalMetricStatus"></a>
+  
+    <!--
+    *ExternalMetricStatus indicates the current value of a global metric not associated with any Kubernetes object.*
+
+    - **currentMetrics.external.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **ExternalMetricStatus 表示与任何 Kubernetes 对象无关的全局指标的当前值。**
+
+    - **currentMetrics.external.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.external.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.external.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+      
+      <!--
+      - **currentMetrics.external.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.external.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.external.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.external.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.external.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.external.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.external.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.external.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+  
+      <!--
+      - **currentMetrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.external.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.object** (ObjectMetricStatus)
+
+    object refers to a metric describing a single kubernetes object (for example, hits-per-second on an Ingress object).
+  -->
+  
+  - **currentMetrics.object** (ObjectMetricStatus)
+
+    object 是指描述单个 Kubernetes 对象的指标（例如，Ingress 对象的 `hits-per-second`）。
+
+    <a name="ObjectMetricStatus"></a>
+  
+    <!--
+    *ObjectMetricStatus indicates the current value of a metric describing a kubernetes object (for example, hits-per-second on an Ingress object).*
+
+    - **currentMetrics.object.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **ObjectMetricStatus 表示描述 Kubernetes 对象的指标的当前值（例如，Ingress 对象的 `hits-per-second`）。**
+
+    - **currentMetrics.object.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.object.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.object.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.object.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.object.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.object.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.object.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.object.describedObject** (CrossVersionObjectReference), required
+    -->
+    
+    - **currentMetrics.object.describedObject** (CrossVersionObjectReference)，必需
+  
+      <a name="CrossVersionObjectReference"></a>
+    
+      <!--
+      *CrossVersionObjectReference contains enough information to let you identify the referred resource.*
+
+      - **currentMetrics.object.describedObject.kind** (string), required
+
+        Kind of the referent; More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+      -->
+      
+      **CrossVersionObjectReference 包含足够的信息来让你识别所引用的资源。**
+
+      - **currentMetrics.object.describedObject.kind** (string)，必需
+
+        被引用对象的类别；更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds"
+  
+      <!--
+      - **currentMetrics.object.describedObject.name** (string), required
+
+        Name of the referent; More info: http://kubernetes.io/docs/user-guide/identifiers#names
+      -->
+      
+      - **currentMetrics.object.describedObject.name** (string)，必需
+
+        被引用对象的名称；更多信息： https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+  
+      <!--
+      - **currentMetrics.object.describedObject.apiVersion** (string)
+
+        API version of the referent
+      -->
+      
+      - **currentMetrics.object.describedObject.apiVersion** (string)
+
+        被引用对象的 API 版本。
+  
+    <!--
+    - **currentMetrics.object.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.object.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.object.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.object.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+
+      <!--  
+      - **currentMetrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.object.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.pods** (PodsMetricStatus)
+
+    pods refers to a metric describing each pod in the current scale target (for example, transactions-processed-per-second).  The values will be averaged together before being compared to the target value.
+  -->
+  
+  - **currentMetrics.pods** (PodsMetricStatus)
+
+    pods 是指描述当前扩缩目标中每个 Pod 的指标（例如，`transactions-processed-per-second`）。
+    在与目标值进行比较之前，这些指标值将被平均。
+
+    <a name="PodsMetricStatus"></a>
+  
+    <!--
+    *PodsMetricStatus indicates the current value of a metric describing each pod in the current scale target (for example, transactions-processed-per-second).*
+
+    - **currentMetrics.pods.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    **PodsMetricStatus 表示描述当前扩缩目标中每个 Pod 的指标的当前值（例如，`transactions-processed-per-second`）。**
+
+    - **currentMetrics.pods.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.pods.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.pods.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.pods.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.pods.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.pods.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.pods.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+    
+    <!--
+    - **currentMetrics.pods.metric** (MetricIdentifier), required
+
+      metric identifies the target metric by name and selector
+    -->
+    
+    - **currentMetrics.pods.metric** (MetricIdentifier)，必需
+
+      metric 通过名称和选择算符识别目标指标。
+  
+      <a name="MetricIdentifier"></a>
+    
+      <!--
+      *MetricIdentifier defines the name and optionally selector for a metric*
+
+      - **currentMetrics.pods.metric.name** (string), required
+
+        name is the name of the given metric
+      -->
+      
+      **MetricIdentifier 定义指标的名称和可选的选择算符**
+
+      - **currentMetrics.pods.metric.name** (string)，必需
+
+        name 是给定指标的名称。
+  
+      <!--
+      - **currentMetrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector is the string-encoded form of a standard kubernetes label selector for the given metric When set, it is passed as an additional parameter to the metrics server for more specific metrics scoping. When unset, just the metricName will be used to gather metrics.
+      -->
+      
+      - **currentMetrics.pods.metric.selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+        selector 是给定指标的标准 Kubernetes 标签选择算符的字符串编码形式。
+        设置后，它作为附加参数传递给指标服务器，以获取更具体的指标范围。
+        未设置时，仅 metricName 参数将用于收集指标。
+
+  <!--
+  - **currentMetrics.resource** (ResourceMetricStatus)
+
+    resource refers to a resource metric (such as those specified in requests and limits) known to Kubernetes describing each pod in the current scale target (e.g. CPU or memory). Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.
+  -->
+  
+  - **currentMetrics.resource** (ResourceMetricStatus)
+
+    resource 是指 Kubernetes 已知的资源指标（例如在请求和限制中指定的那些），
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。此类指标内置于 Kubernetes 中，
+    并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    <a name="ResourceMetricStatus"></a>
+  
+    <!--
+    *ResourceMetricStatus indicates the current value of a resource metric known to Kubernetes, as specified in requests and limits, describing each pod in the current scale target (e.g. CPU or memory).  Such metrics are built in to Kubernetes, and have special scaling options on top of those available to normal per-pod metrics using the "pods" source.*
+
+    - **currentMetrics.resource.current** (MetricValueStatus), required
+
+      current contains the current value for the given metric
+    -->
+    
+    ResourceMetricSource 指示如何根据请求和限制中指定的 Kubernetes 已知的资源指标进行扩缩容，
+    此结构描述当前扩缩目标中的每个 Pod（例如 CPU 或内存）。在与目标值比较之前，这些指标值将被平均。
+    此类指标内置于 Kubernetes 中，并且在使用 “Pods” 源的、按 Pod 统计的普通指标之外支持一些特殊的扩缩选项。
+
+    - **currentMetrics.resource.current** (MetricValueStatus)，必需
+
+      current 包含给定指标的当前值。
+  
+      <a name="MetricValueStatus"></a>
+    
+      <!--
+      *MetricValueStatus holds the current value for a metric*
+
+      - **currentMetrics.resource.current.averageUtilization** (int32)
+
+        currentAverageUtilization is the current value of the average of the resource metric across all relevant pods, represented as a percentage of the requested value of the resource for the pods.
+      -->
+      
+      **MetricValueStatus 保存指标的当前值**
+
+      - **currentMetrics.resource.current.averageUtilization** (int32)
+
+        averageUtilization 是跨所有相关 Pod 得出的资源指标均值的当前值，
+        表示为 Pod 资源请求值的百分比。
+  
+      <!--
+      - **currentMetrics.resource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue is the current value of the average of the metric across all relevant pods (as a quantity)
+      -->
+      
+      - **currentMetrics.resource.current.averageValue** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        averageValue 是跨所有相关 Pod 的指标均值的当前值（以数量形式给出）。
+
+      <!--
+      - **currentMetrics.resource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value is the current value of the metric (as a quantity).
+      -->
+      
+      - **currentMetrics.resource.current.value** (<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+        value 是指标的当前值（以数量形式给出）。
+
+    <!--
+    - **currentMetrics.resource.name** (string), required
+
+      Name is the name of the resource in question.
+    -->
+    
+    - **currentMetrics.resource.name** (string)，必需
+
+      name 是相关资源的名称。
+
+<!--
+- **lastScaleTime** (Time)
+
+  lastScaleTime is the last time the HorizontalPodAutoscaler scaled the number of pods, used by the autoscaler to control how often the number of pods is changed.
+-->
+
+- **lastScaleTime** (Time)
+
+  lastScaleTime 是 HorizontalPodAutoscaler 上次扩缩 Pod 数量的时间，自动扩缩器使用它来控制更改 Pod 数量的频率。
+
+  <a name="Time"></a>
+
+  <!--
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+  
+  **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。为 time 包的许多函数方法提供了封装器。**
+
+<!--
+- **observedGeneration** (int64)
+
+  observedGeneration is the most recent generation observed by this autoscaler.
+-->
+
+- **observedGeneration** (int64)
+
+  observedGeneration 是此自动扩缩器观察到的最新一代。
+
+## HorizontalPodAutoscalerList {#HorizontalPodAutoscalerList}
+
+<!--
+HorizontalPodAutoscalerList is a list of horizontal pod autoscaler objects.
+-->
+HorizontalPodAutoscalerList 是水平 Pod 自动扩缩器对象列表。
+
+<hr>
+
+- **apiVersion**: autoscaling/v2beta2
+
+- **kind**: HorizontalPodAutoscalerList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  metadata is the standard list metadata.
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  metadata 是标准的列表元数据。
+
+<!--
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>), required
+
+  items is the list of horizontal pod autoscaler objects.
+-->
+
+- **items** ([]<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>)，必需
+
+  items 是水平 Pod 自动扩缩器对象的列表。
+
+## Operations {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `get` 读取指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `get` 读取指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `list` 列出或观察 HorizontalPodAutoscaler 类别的对象
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `list` 列出或观察 HorizontalPodAutoscaler 类别的对象
+
+#### HTTP 请求
+
+GET /apis/autoscaling/v2beta2/horizontalpodautoscalers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+- **allowWatchBookmarks** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscalerList" >}}">HorizontalPodAutoscalerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `create` 创建一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+POST /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `update` 替换指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `update` 替换指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PUT /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定 HorizontalPodAutoscaler 的状态
+
+#### HTTP 请求
+
+PATCH /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}/status
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，<!--required-->必需
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** <!--(*in query*)-->（**查询参数**）: boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/horizontal-pod-autoscaler-v2beta2#HorizontalPodAutoscaler" >}}">HorizontalPodAutoscaler</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `delete` 删除一个 HorizontalPodAutoscaler
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers/{name}
+
+<!--
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the HorizontalPodAutoscaler
+-->
+#### 参数
+
+- **name** （**路径参数**）: string，必需
+
+  HorizontalPodAutoscaler 的名称。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of HorizontalPodAutoscaler
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 HorizontalPodAutoscaler 的集合
+
+#### HTTP 请求
+
+DELETE /apis/autoscaling/v2beta2/namespaces/{namespace}/horizontalpodautoscalers
+
+<!--
+#### Parameters
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 参数
+
+- **namespace** （**路径参数**）: string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** <!--(*in query*)-->（**查询参数**）: string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** <!--(*in query*)-->（**查询参数**）: integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/job-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/job-v1.md
new file mode 100644
index 00000000000..e13f9909bee
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/job-v1.md
@@ -0,0 +1,1668 @@
+---
+api_metadata:
+apiVersion: "batch/v1"
+import: "k8s.io/api/batch/v1"
+kind: "Job"
+content_type: "api_reference"
+description: "Job 表示单个作业的配置。"
+title: "Job"
+weight: 9
+---
+
+<!--
+api_metadata:
+apiVersion: "batch/v1"
+import: "k8s.io/api/batch/v1"
+kind: "Job"
+content_type: "api_reference"
+description: "Job represents the configuration of a single job."
+title: "Job"
+weight: 9
+auto_generated: true
+-->
+
+`apiVersion: batch/v1`
+
+`import "k8s.io/api/batch/v1"`
+
+## Job {#Job}
+
+<!--
+Job represents the configuration of a single job.
+-->
+Job 表示单个作业的配置。
+
+<hr>
+
+- **apiVersion**: batch/v1
+
+
+- **kind**: Job
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!--
+- **spec** (<a href="{{< ref "../workload-resources/job-v1#JobSpec" >}}">JobSpec</a>)
+
+  Specification of the desired behavior of a job. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **spec** (<a href="{{< ref "../workload-resources/job-v1#JobSpec" >}}">JobSpec</a>)
+
+  作业的预期行为的规约。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../workload-resources/job-v1#JobStatus" >}}">JobStatus</a>)
+
+  Current status of a job. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../workload-resources/job-v1#JobStatus" >}}">JobStatus</a>)
+
+  作业的当前状态。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+
+## JobSpec {#JobSpec}
+
+<!--
+JobSpec describes how the job execution will look like.
+-->
+JobSpec 描述了作业执行的情况。
+
+<hr>
+
+### Replicas
+
+
+<!--
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>), required
+
+  Describes the pod that will be created when executing a job. More info: https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+- **parallelism** (int32)
+
+  Specifies the maximum desired number of pods the job should run at any given time. The actual number of pods running in steady state will be less than this number when ((.spec.completions - .status.successful) \< .spec.parallelism), i.e. when the work left to do is less than max parallelism. More info: https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+-->
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>), 必需
+
+  描述执行作业时将创建的 Pod。更多信息： https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+- **parallelism** (int32)
+
+  指定作业应在任何给定时刻预期运行的 Pod 个数上限。
+  当(.spec.completions - .status.successful) \< .spec.parallelism 时，
+  即当剩余的工作小于最大并行度时，在稳定状态下运行的 Pod 的实际数量将小于此数量。
+  更多信息： https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+### Lifecycle
+
+
+<!--
+- **completions** (int32)
+
+  Specifies the desired number of successfully finished pods the job should be run with.  Setting to nil means that the success of any pod signals the success of all pods, and allows parallelism to have any positive value.  Setting to 1 means that parallelism is limited to 1 and the success of that pod signals the success of the job. More info: https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+-->
+- **completions** (int32)
+
+  指定作业应该运行并预期成功完成的 Pod 个数。设置为 nil 意味着任何 Pod 的成功都标识着所有 Pod 的成功，
+  并允许 parallelism 设置为任何正值。设置为 1 意味着并行性被限制为 1，并且该 Pod 的成功标志着作业的成功。更多信息：
+  https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+<!--
+- **completionMode** (string)
+
+  CompletionMode specifies how Pod completions are tracked. It can be `NonIndexed` (default) or `Indexed`.
+
+  `NonIndexed` means that the Job is considered complete when there have been .spec.completions successfully completed Pods. Each Pod completion is homologous to each other.
+-->
+- **completionMode** (string)
+
+  completionMode 指定如何跟踪 Pod 完成情况。它可以是 `NonIndexed` （默认） 或者 `Indexed`。
+
+  `NonIndexed` 表示当有 `.spec.completions` 个成功完成的 Pod 时，认为 Job 完成。每个 Pod 完成都是彼此同源的。
+
+  <!--
+  `Indexed` means that the Pods of a Job get an associated completion index from 0 to (.spec.completions - 1), available in the annotation batch.kubernetes.io/job-completion-index. The Job is considered complete when there is one successfully completed Pod for each index. When value is `Indexed`, .spec.completions must be specified and `.spec.parallelism` must be less than or equal to 10^5. In addition, The Pod name takes the form `$(job-name)-$(index)-$(random-string)`, the Pod hostname takes the form `$(job-name)-$(index)`.
+  -->
+  `Indexed` 意味着 Job 的各个 Pod 会获得对应的完成索引值，从 0 到（`.spec.completions - 1`），可在注解
+"batch.kubernetes.io/job-completion-index" 中找到。当每个索引都对应有一个成功完成的 Pod 时，
+该作业被认为是完成的。
+当值为 `Indexed` 时，必须指定 `.spec.completions` 并且 `.spec.parallelism` 必须小于或等于 10^5。
+此外，Pod 名称采用 `$(job-name)-$(index)-$(random-string)` 的形式，Pod 主机名采用
+`$(job-name)-$(index)` 的形式。
+
+  <!--
+  More completion modes can be added in the future. If the Job controller observes a mode that it doesn't recognize, which is possible during upgrades due to version skew, the controller skips updates for the Job.
+  -->
+  将来可能添加更多的完成模式。如果 Job 控制器发现它无法识别的模式
+  （这种情况在升级期间由于版本偏差可能发生），则控制器会跳过 Job 的更新。
+
+<!--
+- **backoffLimit** (int32)
+
+  Specifies the number of retries before marking this job failed. Defaults to 6
+
+- **activeDeadlineSeconds** (int64)
+
+  Specifies the duration in seconds relative to the startTime that the job may be continuously active before the system tries to terminate it; value must be positive integer. If a Job is suspended (at creation or through an update), this timer will effectively be stopped and reset when the Job is resumed again.
+-->
+- **backoffLimit** (int32)
+
+  指定标记此作业失败之前的重试次数。默认值为 6。
+
+- **activeDeadlineSeconds** (int64)
+
+  系统尝试终止作业之前作业可以持续活跃的持续时间（秒），时间长度是相对于 startTime 的；
+  字段值必须为正整数。如果作业被挂起（在创建期间或因更新而挂起），
+  则当作业再次恢复时，此计时器会被停止并重置。
+
+<!--
+- **ttlSecondsAfterFinished** (int32)
+
+  ttlSecondsAfterFinished limits the lifetime of a Job that has finished execution (either Complete or Failed). If this field is set, ttlSecondsAfterFinished after the Job finishes, it is eligible to be automatically deleted. When the Job is being deleted, its lifecycle guarantees (e.g. finalizers) will be honored. If this field is unset, the Job won't be automatically deleted. If this field is set to zero, the Job becomes eligible to be deleted immediately after it finishes.
+-->
+- **ttlSecondsAfterFinished** (int32)
+
+  ttlSecondsAfterFinished 限制已完成执行（完成或失败）的作业的生命周期。如果设置了这个字段，
+  在 Job 完成 ttlSecondsAfterFinished 秒之后，就可以被自动删除。
+  当 Job 被删除时，它的生命周期保证（例如终结器）会被考察。
+  如果未设置此字段，则作业不会被自动删除。如果此字段设置为零，则作业在完成后即可立即删除。
+
+<!--
+- **suspend** (boolean)
+
+  Suspend specifies whether the Job controller should create Pods or not. If a Job is created with suspend set to true, no Pods are created by the Job controller. If a Job is suspended after creation (i.e. the flag goes from false to true), the Job controller will delete all active Pods associated with this Job. Users must design their workload to gracefully handle this. Suspending a Job will reset the StartTime field of the Job, effectively resetting the ActiveDeadlineSeconds timer too. Defaults to false.
+-->
+- **suspend** (boolean)
+
+  suspend 指定 Job 控制器是否应该创建 Pod。如果创建 Job 时将 suspend 设置为 true，则 Job 控制器不会创建任何 Pod。
+  如果 Job 在创建后被挂起（即标志从 false 变为 true），则 Job 控制器将删除与该 Job 关联的所有活动 Pod。
+  用户必须设计他们的工作负载来优雅地处理这个问题。暂停 Job 将重置 Job 的 startTime 字段，
+  也会重置 ActiveDeadlineSeconds 计时器。默认为 false。
+
+### Selector
+
+
+<!--
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+  A label query over pods that should match the pod count. Normally, the system sets this field for you. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **manualSelector** (boolean)
+
+  manualSelector controls generation of pod labels and pod selectors. Leave `manualSelector` unset unless you are certain what you are doing. When false or unset, the system pick labels unique to this job and appends those labels to the pod template.  When true, the user is responsible for picking unique labels and specifying the selector.  Failure to pick a unique label may cause this and other jobs to not function correctly.  However, You may see `manualSelector=true` in jobs that were created with the old `extensions/v1beta1` API. More info: https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/#specifying-your-own-pod-selector
+-->
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+  对应与 Pod 计数匹配的 Pod 的标签查询。通常，系统会为你设置此字段。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **manualSelector** (boolean)
+
+  manualSelector 控制 Pod 标签和 Pod 选择器的生成。除非你确定你在做什么，否则不要设置 `manualSelector`。
+  当此字段为 false 或未设置时，系统会选择此 Pod 唯一的标签并将这些标签附加到 Pod 模板。
+  当此字段为 true 时，用户负责选择唯一标签并指定选择器。
+  未能选择唯一标签可能会导致此作业和其他作业无法正常运行。
+  但是，你可能会在使用旧的 `extensions/v1beta1` API 创建的作业中看到 `manualSelector=true`。
+  更多信息： https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/#specifying-your-own-pod-selector
+
+## JobStatus {#JobStatus}
+
+
+<!--
+JobStatus represents the current state of a Job.
+-->
+JobStatus 表示 Job 的当前状态。
+
+<hr>
+
+<!--
+- **startTime** (Time)
+
+  Represents time when the job controller started processing a job. When a Job is created in the suspended state, this field is not set until the first time it is resumed. This field is reset every time a Job is resumed from suspension. It is represented in RFC3339 form and is in UTC.
+
+  <a name="Time"></a>
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+-->
+- **startTime** (Time)
+
+  表示作业控制器开始处理作业的时间。在挂起状态下创建 Job 时，直到第一次恢复时才会设置此字段。
+  每次从暂停中恢复作业时都会重置此字段。它表示为 RFC3339 格式的 UTC 时间。
+
+
+  **Time 是 time.Time 的包装器，支持正确编码为 YAML 和 JSON。time 包提供的许多工厂方法都提供了包装器。**
+
+<!--
+- **completionTime** (Time)
+
+  Represents time when the job was completed. It is not guaranteed to be set in happens-before order across separate operations. It is represented in RFC3339 form and is in UTC. The completion time is only set when the job finishes successfully.
+
+  <a name="Time"></a>
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+-->
+- **completionTime** (Time)
+
+  表示作业完成的时间。不能保证对多个独立操作按发生的先后顺序设置。此字段表示为 RFC3339 格式的 UTC 时间。
+  仅当作业成功完成时才设置完成时间。
+
+  **Time 是 time.Time 的包装器，支持正确编码为 YAML 和 JSON。time 包提供的许多工厂方法都提供了包装器。**
+
+<!--
+- **active** (int32)
+
+  The number of pending and running pods.
+
+- **failed** (int32)
+
+  The number of pods which reached phase Failed.
+
+- **succeeded** (int32)
+
+  The number of pods which reached phase Succeeded.
+-->
+- **active** (int32)
+
+  待处理和正在运行的 Pod 的数量。
+
+- **failed** (int32)
+
+  进入 Failed 阶段的 Pod 数量。
+
+- **succeeded** (int32)
+
+  进入 Succeeded 阶段的 Pod 数量。
+<!--
+- **completedIndexes** (string)
+
+  CompletedIndexes holds the completed indexes when .spec.completionMode = "Indexed" in a text format. The indexes are represented as decimal integers separated by commas. The numbers are listed in increasing order. Three or more consecutive numbers are compressed and represented by the first and last element of the series, separated by a hyphen. For example, if the completed indexes are 1, 3, 4, 5 and 7, they are represented as "1,3-5,7".
+-->
+- **completedIndexes** (string)
+
+  completedIndexes 以文本格式保存 `.spec.completionMode` 设置为 `"Indexed"` 的 Pod 已完成的索引。
+  索引用十进制整数表示，用逗号分隔。数字是按递增的顺序排列的。三个或更多的连续数字被压缩，
+  用系列的第一个和最后一个元素表示，用连字符分开。例如，如果完成的索引是 1、3、4、5 和 7，则表示为 "1、3-5、7"。
+
+<!--
+- **conditions** ([]JobCondition)
+
+  *Patch strategy: merge on key `type`*
+
+  *Atomic: will be replaced during a merge*
+
+  The latest available observations of an object's current state. When a Job fails, one of the conditions will have type "Failed" and status true. When a Job is suspended, one of the conditions will have type "Suspended" and status true; when the Job is resumed, the status of this condition will become false. When a Job is completed, one of the conditions will have type "Complete" and status true. More info: https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+  <a name="JobCondition"></a>
+  *JobCondition describes current state of a job.*
+-->
+- **conditions** ([]JobCondition)
+
+  **补丁策略：根据 `type` 键合并**
+
+  **原子：在合并过程中，将被替换。**
+
+  对象当前状态的最新可用观察结果。当作业失败时，其中一个状况的类型为 “Failed”，状态为 true。
+  当作业被暂停时，其中一个状况的类型为 “Suspended”，状态为true；当作业被恢复时，该状况的状态将变为 false。
+  作业完成时，其中一个状况的类型为 "Complete"，状态为 true。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/jobs-run-to-completion/
+
+  <a name="JobCondition"></a>
+  **JobCondition 描述作业的当前状况。**
+
+  <!--
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.
+
+  - **conditions.type** (string), required
+
+    Type of job condition, Complete or Failed.
+
+  - **conditions.lastProbeTime** (Time)
+
+    Last time the condition was checked.
+  -->
+
+  - **conditions.status** (string), 必需
+
+    状况的状态，True、False、Unknown 之一。
+
+  - **conditions.type** (string), 必需
+
+    作业状况的类型，Completed 或 Failed。
+
+  - **conditions.lastProbeTime** (Time)
+
+    最后一次探测的时间。
+
+    <!--
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+    -->
+    
+    **Time 是对 time.Time 的封装，支持正确编码为 YAML 和 JSON。我们为 time 包提供的许多工厂方法提供了封装器。**
+
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    Last time the condition transit from one status to another.
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+
+    上一次从一种状况转换到另一种状况的时间。
+
+    <!--
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+    -->
+
+    **Time 是 time.Time 的包装器，支持正确编码为 YAML 和 JSON。time 包提供的许多工厂方法都提供了包装器。**
+
+  <!--
+  - **conditions.message** (string)
+
+    Human readable message indicating details about last transition.
+
+  - **conditions.reason** (string)
+
+    (brief) reason for the condition's last transition. 
+  -->
+
+  - **conditions.message** (string)
+
+    表示上次转换信息的人类可读消息。
+
+  - **conditions.reason** (string)
+
+    状况最后一次转换的（简要）原因
+
+<!--
+- **uncountedTerminatedPods** (UncountedTerminatedPods)
+
+  UncountedTerminatedPods holds the UIDs of Pods that have terminated but the job controller hasn't yet accounted for in the status counters.
+
+  The job controller creates pods with a finalizer. When a pod terminates (succeeded or failed), the controller does three steps to account for it in the job status: (1) Add the pod UID to the arrays in this field. (2) Remove the pod finalizer. (3) Remove the pod UID from the arrays while increasing the corresponding
+  counter.
+-->
+
+- **uncountedTerminatedPods** (UncountedTerminatedPods)
+
+  UncountedTerminatedPods 保存已终止但尚未被作业控制器纳入状态计数器中的 Pod 的 UID 的集合。
+
+  作业控制器所创建 Pod 带有终结器。当 Pod 终止（成功或失败）时，控制器将执行三个步骤以在作业状态中对其进行说明：
+  （1）将 Pod UID 添加到此字段的列表中。（2）去掉 Pod 中的终结器。（3）从数组中删除 Pod UID，同时为相应的计数器加一。
+
+  <!--
+  This field is beta-level. The job controller only makes use of this field when the feature gate JobTrackingWithFinalizers is enabled (enabled by default). Old jobs might not be tracked using this field, in which case the field remains null.
+
+  <a name="UncountedTerminatedPods"></a>
+  *UncountedTerminatedPods holds UIDs of Pods that have terminated but haven't been accounted in Job status counters.*
+  -->
+  此字段为 Beta 级别。作业控制器仅在启用特性门控 JobTrackingWithFinalizers 时使用此字段（默认启用）。
+  使用此字段可能无法跟踪旧作业，在这种情况下，该字段保持为空。
+
+  <a name="UncountedTerminatedPods"></a>
+  **UncountedTerminatedPods 持有已经终止的 Pod 的 UID，但还没有被计入工作状态计数器中。**
+
+  <!--
+  - **uncountedTerminatedPods.failed** ([]string)
+
+    *Set: unique values will be kept during a merge*
+
+    Failed holds UIDs of failed Pods.
+  -->
+
+  - **uncountedTerminatedPods.failed** ([]string)
+
+    **Set: 在合并过程中，唯一的值将被保留**
+
+    failed 字段包含已失败 Pod 的 UID。
+
+  <!--
+  - **uncountedTerminatedPods.succeeded** ([]string)
+
+    *Set: unique values will be kept during a merge*
+
+    Succeeded holds UIDs of succeeded Pods.
+  -->
+
+  - **uncountedTerminatedPods.succeeded** ([]string)
+
+    **Set: 在合并过程中，唯一的值将被保留**
+
+    succeeded 包含已成功的 Pod 的 UID。
+
+<!--
+### Alpha level
+-->
+
+
+### Alpha 级别
+
+<!--
+- **ready** (int32)
+
+  The number of pods which have a Ready condition.
+
+  This field is beta-level. The job controller populates the field when the feature gate JobReadyPods is enabled (enabled by default).
+-->
+
+- **ready** (int32)
+
+  状况为 Ready 的 Pod 数量。
+
+  此字段为 Beta 级别。当特性门控 JobReadyPods 启用（默认启用）时，作业控制器会填充该字段。
+
+## JobList {#JobList}
+
+<!--
+JobList is a collection of jobs.
+-->
+JobList 是 Job 的集合。
+
+<hr>
+
+- **apiVersion**: batch/v1
+
+
+- **kind**: JobList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **items** ([]<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>), required
+
+  items is the list of Jobs.
+-->
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  标准列表元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+
+- **items** ([]<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>), required
+
+  items 是 Job 对象的列表。
+
+<!--
+## Operations {#Operations}
+-->
+
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified Job
+
+#### HTTP Request
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the Job
+-->
+### `get` 读取指定的 Job
+
+#### HTTP 请求
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### 参数
+
+- **name** (**路径参数**)：string，必需
+
+  Job 的名字。
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+401: Unauthorized
+
+
+### `get` read status of the specified Job
+
+#### HTTP Request
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### Parameters
+-->
+
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+401: Unauthorized
+
+### `get` 读取指定作业的状态
+
+#### HTTP 请求
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **name** (**路径参数**): string, 必需
+
+  Job 的名称。
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+401: Unauthorized
+
+
+### `list` list or watch objects of kind Job
+
+#### HTTP Request
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### Parameters
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+401: Unauthorized
+
+### `list` 列举或监测 Job 类别的对象
+
+#### HTTP 请求
+
+GET /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### 参数
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#JobList" >}}">JobList</a>): OK
+
+401: Unauthorized
+
+
+### `list` list or watch objects of kind Job
+
+#### HTTP Request
+
+GET /apis/batch/v1/jobs
+
+#### Parameters
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/job-v1#JobList" >}}">JobList</a>): OK
+
+401: Unauthorized
+
+### `list` 列举或监测 Job 类别的对象
+
+#### HTTP 请求
+
+GET /apis/batch/v1/jobs
+
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#JobList" >}}">JobList</a>): OK
+
+401: Unauthorized
+
+
+### `create` create a Job
+
+#### HTTP Request
+
+POST /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### Parameters
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, required
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/job-v1#JobList" >}}">JobList</a>): OK
+
+401: Unauthorized
+
+### `create` 创建一个 Job
+
+#### HTTP 请求
+
+POST /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### 参数
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Accepted
+
+401: Unauthorized
+
+
+### `update` replace the specified Job
+
+#### HTTP Request
+
+PUT /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### Parameters
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Accepted
+
+401: Unauthorized
+
+
+### `update` 替换指定的 Job
+
+#### HTTP 请求
+
+PUT /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, required
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  Job 的名称。
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `update` replace status of the specified Job
+
+#### HTTP Request
+
+PUT /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### Parameters
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `update` 替换指定 Job 的状态
+
+#### HTTP 请求
+
+PUT /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, required
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  Job 的名字
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `patch` partially update the specified Job
+
+#### HTTP Request
+
+PATCH /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `patch` 部分更新指定的 Job
+
+#### HTTP 请求
+
+PATCH /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+<!--
+#### Parameters
+
+
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+#### 参数
+
+
+- **name** (**路径参数**): string, 必需
+
+  Job 的名称。
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `patch` partially update status of the specified Job
+
+#### HTTP Request
+
+PATCH /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### Parameters
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+### `patch` 部分更新指定 Job 的状态
+
+#### HTTP 请求
+
+PATCH /apis/batch/v1/namespaces/{namespace}/jobs/{name}/status
+
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+
+- **name** (**路径参数**): string, 必需
+
+  Job 的名称。
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+-->
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `delete` delete a Job
+
+#### HTTP Request
+
+DELETE /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### Parameters
+
+- **name** (*in path*): string, required
+
+  name of the Job
+
+
+- **namespace** (*in path*): string, required
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/job-v1#Job" >}}">Job</a>): Created
+
+401: Unauthorized
+
+
+### `delete` 删除一个 Job
+
+#### HTTP 请求
+
+DELETE /apis/batch/v1/namespaces/{namespace}/jobs/{name}
+
+#### 参数
+
+
+- **name** (**路径参数**): string, 必需
+
+  Job的名称
+
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+
+### `deletecollection` delete collection of Job
+
+#### HTTP Request
+
+DELETE /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### Parameters
+
+
+- **namespace** (*in path*): string, required
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+### `deletecollection` 删除 Job 的集合
+
+#### HTTP 请求
+
+DELETE /apis/batch/v1/namespaces/{namespace}/jobs
+
+#### 参数
+
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-template-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-template-v1.md
new file mode 100644
index 00000000000..8cf52bffe6a
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-template-v1.md
@@ -0,0 +1,779 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "PodTemplate"
+content_type: "api_reference"
+description: "PodTemplate 描述一种模板，用来为预定义的 Pod 生成副本。"
+title: "PodTemplate"
+weight: 2
+---
+
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "PodTemplate"
+content_type: "api_reference"
+description: "PodTemplate describes a template for creating copies of a predefined pod."
+title: "PodTemplate"
+weight: 2
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## PodTemplate {#PodTemplate}
+
+<!--
+PodTemplate describes a template for creating copies of a predefined pod.
+-->
+PodTemplate 描述一种模板，用来为预定义的 Pod 生成副本。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: PodTemplate
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)
+
+  <!--
+  Template defines the pods that will be created from this pod template. https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+  template 定义将基于此 Pod 模板所创建的 Pod。
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## PodTemplateSpec {#PodTemplateSpec}
+
+<!--
+PodTemplateSpec describes the data a pod should have when created from a template
+-->
+PodTemplateSpec 描述基于某模板所创建的 Pod 所应具有的数据。
+
+<hr>
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!--
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+  -->
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/pod-v1#PodSpec" >}}">PodSpec</a>)
+
+  <!--
+  Specification of the desired behavior of the pod. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+  -->
+  Pod 预期行为的规约。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## PodTemplateList {#PodTemplateList}
+
+<!--
+PodTemplateList is a list of PodTemplates.
+-->
+PodTemplateList 是 PodTemplate 对象的列表。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: PodTemplateList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!--
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+  -->
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+<!--
+- **items** ([]<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>), required
+-->
+- **items** ([]<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>)，必需
+
+  <!--
+  List of pod templates
+  -->
+  PodTemplate 对象列表。
+
+<!--
+## Operations {#Operations}
+
+<hr>
+-->
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified PodTemplate
+
+#### HTTP Request
+-->
+### `get` 读取指定的 PodTemplate
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/podtemplates/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the PodTemplate
+-->
+- **name** （**路径参数**）：string，必需
+
+  PodTemplate 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind PodTemplate
+
+#### HTTP Request
+-->
+### `list` 列出或监视 PodTemplate 类型的对象
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/podtemplates
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateList" >}}">PodTemplateList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind PodTemplate
+
+#### HTTP Request
+-->
+### `list` 列出或监视 PodTemplate 类型的对象
+
+#### HTTP 请求
+
+GET /api/v1/podtemplates
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+-->
+- **allowWatchBookmarks** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+- **watch** (*in query*): boolean
+-->
+- **watch** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateList" >}}">PodTemplateList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a PodTemplate
+
+#### HTTP Request
+-->
+### `create` 创建一个 PodTemplate
+
+#### HTTP 请求
+
+POST /api/v1/namespaces/{namespace}/podtemplates
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>, required
+-->
+- **body**: <a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified PodTemplate
+
+#### HTTP Request
+-->
+### `update` 替换指定的 PodTemplate
+
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/podtemplates/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the PodTemplate
+-->
+- **name** （**路径参数**）：string，必需
+
+  PodTemplate 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>, required
+-->
+- **body**: <a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified PodTemplate
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 PodTemplate
+
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/podtemplates/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the PodTemplate
+-->
+- **name** （**路径参数**）：string，必需
+
+  PodTemplate 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!--
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+-->
+- **fieldManager** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+-->
+- **fieldValidation** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!--
+- **force** (*in query*): boolean
+-->
+- **force** （**查询参数**）：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a PodTemplate
+
+#### HTTP Request
+-->
+### `delete` 删除一个 PodTemplate
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/podtemplates/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the PodTemplate
+-->
+- **name** （**路径参数**）：string，必需
+
+  PodTemplate 的名称
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): OK
+
+202 (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplate" >}}">PodTemplate</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of PodTemplate
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 PodTemplate 的集合
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/podtemplates
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+-->
+- **namespace** （**路径参数**）：string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+-->
+- **continue** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **dryRun** (*in query*): string
+-->
+- **dryRun** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+-->
+- **fieldSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **gracePeriodSeconds** (*in query*): integer
+-->
+- **gracePeriodSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+-->
+- **labelSelector** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!--
+- **limit** (*in query*): integer
+-->
+- **limit** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+-->
+- **pretty** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **propagationPolicy** (*in query*): string
+-->
+- **propagationPolicy** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+-->
+- **resourceVersion** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+-->
+- **resourceVersionMatch** （**查询参数**）：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+-->
+- **timeoutSeconds** （**查询参数**）：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1.md
new file mode 100644
index 00000000000..1e64fd7b0ae
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/pod-v1.md
@@ -0,0 +1,6944 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Pod"
+content_type: "api_reference"
+description: "Pod 是可以在主机上运行的容器的集合。"
+title: "Pod"
+weight: 1
+---
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "Pod"
+content_type: "api_reference"
+description: "Pod is a collection of containers that can run on a host."
+title: "Pod"
+weight: 1
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## Pod {#Pod}
+
+<!--
+Pod is a collection of containers that can run on a host. This resource is created by clients and scheduled onto hosts.
+-->
+Pod 是可以在主机上运行的容器的集合。此资源由客户端创建并调度到主机上。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: Pod
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!--
+- **spec** (<a href="{{< ref "../workload-resources/pod-v1#PodSpec" >}}">PodSpec</a>)
+
+  Specification of the desired behavior of the pod. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **spec** (<a href="{{< ref "../workload-resources/pod-v1#PodSpec" >}}">PodSpec</a>)
+
+  对 Pod 预期行为的规约。更多信息： 
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../workload-resources/pod-v1#PodStatus" >}}">PodStatus</a>)
+
+  Most recently observed status of the pod. This data may not be up to date. Populated by the system. Read-only. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../workload-resources/pod-v1#PodStatus" >}}">PodStatus</a>)
+  
+  最近观察到的 Pod 状态。这些数据可能不是最新的。由系统填充。只读。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## PodSpec {#PodSpec}
+
+<!--
+PodSpec is a description of a pod.
+-->
+PodSpec 是对 Pod 的描述。
+
+<hr>
+
+<!--
+### Containers
+-->
+### 容器  {#containers}
+
+<!--
+- **containers** ([]<a href="{{< ref "../workload-resources/pod-v1#Container" >}}">Container</a>), required
+
+  *Patch strategy: merge on key `name`*
+  
+  List of containers belonging to the pod. Containers cannot currently be added or removed. There must be at least one container in a Pod. Cannot be updated.
+-->
+- **containers** ([]<a href="{{< ref "../workload-resources/pod-v1#Container" >}}">Container</a>)，必需
+
+  **补丁策略：基于 `name` 键合并**
+  
+  属于 Pod 的容器列表。当前无法添加或删除容器。Pod 中必须至少有一个容器。无法更新。
+
+<!--
+- **initContainers** ([]<a href="{{< ref "../workload-resources/pod-v1#Container" >}}">Container</a>)
+
+  *Patch strategy: merge on key `name`*
+  
+  List of initialization containers belonging to the pod. Init containers are executed in order prior to containers being started. If any init container fails, the pod is considered to have failed and is handled according to its restartPolicy. The name for an init container or normal container must be unique among all containers. Init containers may not have Lifecycle actions, Readiness probes, Liveness probes, or Startup probes. The resourceRequirements of an init container are taken into account during scheduling by finding the highest request/limit for each resource type, and then using the max of of that value or the sum of the normal containers. Limits are applied to init containers in a similar fashion. Init containers cannot currently be added or removed. Cannot be updated. More info: https://kubernetes.io/docs/concepts/workloads/pods/init-containers/
+-->
+- **initContainers** ([]<a href="{{< ref "../workload-resources/pod-v1#Container" >}}">Container</a>)
+
+  **补丁策略：基于 `name` 键合并**
+
+  属于 Pod 的 Init 容器列表。Init 容器在容器启动之前按顺序执行。
+  如果任何一个 Init 容器发生故障，则认为该 Pod 失败，并根据其 restartPolicy 处理。
+  Init 容器或普通容器的名称在所有容器中必须是唯一的。
+  Init 容器不可以有生命周期操作、就绪态探针、存活态探针或启动探针。
+  在调度过程中会考虑 Init 容器的资源需求，方法是查找每种资源类型的最高请求/限制，
+  然后使用该值的最大值或正常容器的资源请求的总和。
+  对资源限制以类似的方式应用于 Init 容器。当前无法添加或删除 Init 容器。无法更新。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/init-containers/
+
+<!--
+- **imagePullSecrets** ([]<a href="{{< ref "../common-definitions/local-object-reference#LocalObjectReference" >}}">LocalObjectReference</a>)
+
+  *Patch strategy: merge on key `name`*
+  
+  ImagePullSecrets is an optional list of references to secrets in the same namespace to use for pulling any of the images used by this PodSpec. If specified, these secrets will be passed to individual puller implementations for them to use. More info: https://kubernetes.io/docs/concepts/containers/images#specifying-imagepullsecrets-on-a-pod
+-->
+- **imagePullSecrets** ([]<a href="{{< ref "../common-definitions/local-object-reference#LocalObjectReference" >}}">LocalObjectReference</a>)
+
+  **补丁策略：基于 `name` 键合并**
+
+  imagePullSecrets 是对同一名字空间中 Secret 的引用的列表，用于拉取此 Pod 规约中使用的任何镜像，此字段可选。
+  如果指定，这些 Secret 将被传递给各个镜像拉取组件（Puller）实现供其使用。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/containers/images#specifying-imagepullsecrets-on-a-pod
+
+<!--
+- **enableServiceLinks** (boolean)
+
+  EnableServiceLinks indicates whether information about services should be injected into pod's environment variables, matching the syntax of Docker links. Optional: Defaults to true.
+-->
+- **enableServiceLinks** (boolean)
+
+  enableServiceLinks 指示是否应将有关服务的信息注入到 Pod 的环境变量中，服务连接的语法与
+  Docker links 的语法相匹配。可选。默认为 true。
+
+<!--
+- **os** (PodOS)
+
+  Specifies the OS of the containers in the pod. Some pod and container fields are restricted if this is set.
+  
+  If the OS field is set to linux, the following fields must be unset: -securityContext.windowsOptions
+-->
+- **os** (PodOS)
+
+  指定 Pod 中容器的操作系统。如果设置了此属性，则某些 Pod 和容器字段会受到限制。
+  
+  如果 os 字段设置为 `linux`，则必须不能设置以下字段：
+  
+  - `securityContext.windowsOptions`
+
+  <!--
+  If the OS field is set to windows, following fields must be unset: - spec.hostPID - spec.hostIPC - spec.securityContext.seLinuxOptions - spec.securityContext.seccompProfile - spec.securityContext.fsGroup - spec.securityContext.fsGroupChangePolicy - spec.securityContext.sysctls - spec.shareProcessNamespace - spec.securityContext.runAsUser - spec.securityContext.runAsGroup - spec.securityContext.supplementalGroups - spec.containers[*].securityContext.seLinuxOptions - spec.containers[*].securityContext.seccompProfile - spec.containers[*].securityContext.capabilities - spec.containers[*].securityContext.readOnlyRootFilesystem - spec.containers[*].securityContext.privileged - spec.containers[*].securityContext.allowPrivilegeEscalation - spec.containers[*].securityContext.procMount - spec.containers[*].securityContext.runAsUser - spec.containers[*].securityContext.runAsGroup This is a beta field and requires the IdentifyPodOS feature
+
+  -->
+  如果 os 字段设置为 `windows`，则必须不能设置以下字段：
+
+  - `spec.hostPID`
+  - `spec.hostIPC`
+  - `spec.securityContext.seLinuxOptions`
+  - `spec.securityContext.seccompProfile`
+  - `spec.securityContext.fsGroup`
+  - `spec.securityContext.fsGroupChangePolicy`
+  - `spec.securityContext.sysctls`
+  - `spec.shareProcessNamespace`
+  - `spec.securityContext.runAsUser`
+  - `spec.securityContext.runAsGroup`
+  - `spec.securityContext.supplementalGroups`
+  - `spec.containers[*].securityContext.seLinuxOptions`
+  - `spec.containers[*].securityContext.seccompProfile`
+  - `spec.containers[*].securityContext.capabilities`
+  - `spec.containers[*].securityContext.readOnlyRootFilesystem`
+  - `spec.containers[*].securityContext.privileged`
+  - `spec.containers[*].securityContext.allowPrivilegeEscalation`
+  - `spec.containers[*].securityContext.procMount`
+  - `spec.containers[*].securityContext.runAsUser`
+  - `spec.containers[*].securityContext.runAsGroup`
+  
+  此字段为 Beta 字段，需要启用 `IdentifyPodOS` 特性门控。
+  
+  <a name="PodOS"></a>
+  <!--
+  *PodOS defines the OS parameters of a pod.*
+  -->
+  **PodOS 定义一个 Pod 的操作系统参数。**
+
+  <!--
+  - **os.name** (string), required
+
+    Name is the name of the operating system. The currently supported values are linux and windows. Additional value may be defined in future and can be one of: https://github.com/opencontainers/runtime-spec/blob/master/config.md#platform-specific-configuration Clients should expect to handle additional values and treat unrecognized values in this field as os: null
+  -->
+
+  - **os.name** (string)，必需
+
+    name 是操作系统的名称。当前支持的值是 `linux` 和 `windows`。
+    将来可能会定义附加值，并且可以是以下之一：
+    https://github.com/opencontainers/runtime-spec/blob/master/config.md#platform-specific-configuration
+    客户端应该期望处理附加值并将此字段无法识别时视其为 `os: null`。
+
+<!--
+### Volumes
+-->
+### 卷
+
+<!--
+- **volumes** ([]<a href="{{< ref "../config-and-storage-resources/volume#Volume" >}}">Volume</a>)
+
+  *Patch strategies: retainKeys, merge on key `name`*
+  
+  List of volumes that can be mounted by containers belonging to the pod. More info: https://kubernetes.io/docs/concepts/storage/volumes
+-->
+- **volumes** ([]<a href="{{< ref "../config-and-storage-resources/volume#Volume" >}}">Volume</a>)
+
+  **补丁策略：retainKeys，基于键 `name` 合并**
+  
+  可以由属于 Pod 的容器挂载的卷列表。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/storage/volumes
+
+<!--
+### Scheduling
+-->
+### 调度
+
+<!--
+- **nodeSelector** (map[string]string)
+
+  NodeSelector is a selector which must be true for the pod to fit on a node. Selector which must match a node's labels for the pod to be scheduled on that node. More info: https://kubernetes.io/docs/concepts/configuration/assign-pod-node/
+-->
+- **nodeSelector** (map[string]string)
+
+  nodeSelector 是一个选择算符，这些算符必须取值为 true 才能认为 Pod 适合在节点上运行。
+  选择算符必须与节点的标签匹配，以便在该节点上调度 Pod。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/configuration/assign-pod-node/
+
+<!--
+- **nodeName** (string)
+
+  NodeName is a request to schedule this pod onto a specific node. If it is non-empty, the scheduler simply schedules this pod onto that node, assuming that it fits resource requirements.
+-->
+- **nodeName** (string)
+
+  nodeName 是将此 Pod 调度到特定节点的请求。
+  如果字段值不为空，调度器只是直接将这个 Pod 调度到所指定节点上，假设节点符合资源要求。
+
+<!--
+- **affinity** (Affinity)
+
+  If specified, the pod's scheduling constraints
+
+  *Affinity is a group of affinity scheduling rules.*
+-->
+- **affinity** (Affinity)
+
+  如果指定了，则作为 Pod 的调度约束。
+
+  <a name="Affinity"></a>
+  **Affinity 是一组亲和性调度规则。**
+
+  <!--
+  - **affinity.nodeAffinity** (<a href="{{< ref "../workload-resources/pod-v1#NodeAffinity" >}}">NodeAffinity</a>)
+
+    Describes node affinity scheduling rules for the pod.
+
+  - **affinity.podAffinity** (<a href="{{< ref "../workload-resources/pod-v1#PodAffinity" >}}">PodAffinity</a>)
+
+    Describes pod affinity scheduling rules (e.g. co-locate this pod in the same node, zone, etc. as some other pod(s)).
+
+  - **affinity.podAntiAffinity** (<a href="{{< ref "../workload-resources/pod-v1#PodAntiAffinity" >}}">PodAntiAffinity</a>)
+
+    Describes pod anti-affinity scheduling rules (e.g. avoid putting this pod in the same node, zone, etc. as some other pod(s)).
+  -->
+
+  - **affinity.nodeAffinity** (<a href="{{< ref "../workload-resources/pod-v1#NodeAffinity" >}}">NodeAffinity</a>)
+
+    描述 Pod 的节点亲和性调度规则。
+
+  - **affinity.podAffinity** (<a href="{{< ref "../workload-resources/pod-v1#PodAffinity" >}}">PodAffinity</a>)
+
+    描述 Pod 亲和性调度规则（例如，将此 Pod 与其他一些 Pod 放在同一节点、区域等）。
+
+  - **affinity.podAntiAffinity** (<a href="{{< ref "../workload-resources/pod-v1#PodAntiAffinity" >}}">PodAntiAffinity</a>)
+
+    描述 Pod 反亲和性调度规则（例如，避免将此 Pod 与其他一些 Pod 放在相同的节点、区域等）。
+
+<!--
+- **tolerations** ([]Toleration)
+
+  If specified, the pod's tolerations.
+
+  *The pod this Toleration is attached to tolerates any taint that matches the triple <key,value,effect> using the matching operator <operator>.*
+-->
+- **tolerations** ([]Toleration)
+
+  如果设置了此字段，则作为 Pod 的容忍度。
+
+  <a name="Toleration"></a>
+  **这个 Toleration 所附加到的 Pod 能够容忍任何使用匹配运算符 `<operator>` 匹配三元组 `<key,value,effect>` 所得到的污点。**
+
+  <!--
+  - **tolerations.key** (string)
+
+    Key is the taint key that the toleration applies to. Empty means match all taint keys. If the key is empty, operator must be Exists; this combination means to match all values and all keys.
+  -->
+
+  - **tolerations.key** (string)
+
+    key 是容忍度所适用的污点的键名。此字段为空意味着匹配所有的污点键。
+    如果 key 为空，则 operator 必须为 `Exists`；这种组合意味着匹配所有值和所有键。
+    
+  <!--
+  - **tolerations.operator** (string)
+
+    Operator represents a key's relationship to the value. Valid operators are Exists and Equal. Defaults to Equal. Exists is equivalent to wildcard for value, so that a pod can tolerate all taints of a particular category.
+  -->
+
+  - **tolerations.operator** (string)
+
+    operator 表示 key 与 value 之间的关系。有效的 operator 取值是 `Exists` 和 `Equal`。默认为 `Equal`。
+    `Exists` 相当于 value 为某种通配符，因此 Pod 可以容忍特定类别的所有污点。
+
+  <!--
+  - **tolerations.value** (string)
+
+    Value is the taint value the toleration matches to. If the operator is Exists, the value should be empty, otherwise just a regular string.
+  -->
+
+  - **tolerations.value** (string)
+
+    value 是容忍度所匹配的污点值。如果 operator 为 `Exists`，则此 value 值应该为空，
+    否则 value 值应该是一个正常的字符串。
+
+  <!--
+  - **tolerations.effect** (string)
+
+    Effect indicates the taint effect to match. Empty means match all taint effects. When specified, allowed values are NoSchedule, PreferNoSchedule and NoExecute.
+  -->
+
+  - **tolerations.effect** (string)
+
+    effect 指示要匹配的污点效果。空值意味著匹配所有污点效果。如果要设置此字段，允许的值为
+    `NoSchedule`、`PreferNoSchedule` 和 `NoExecute` 之一。
+
+  <!--
+  - **tolerations.tolerationSeconds** (int64)
+
+    TolerationSeconds represents the period of time the toleration (which must be of effect NoExecute, otherwise this field is ignored) tolerates the taint. By default, it is not set, which means tolerate the taint forever (do not evict). Zero and negative values will be treated as 0 (evict immediately) by the system.
+  -->
+
+  - **tolerations.tolerationSeconds** (int64)
+
+    tolerationSeconds 表示容忍度（effect 必须是 `NoExecute`，否则此字段被忽略）容忍污点的时间长度。
+    默认情况下，此字段未被设置，这意味着会一直能够容忍对应污点（不会发生驱逐操作）。
+    零值和负值会被系统当做 0 值处理（立即触发驱逐）。
+
+<!--
+- **schedulerName** (string)
+
+  If specified, the pod will be dispatched by specified scheduler. If not specified, the pod will be dispatched by default scheduler.
+-->
+- **schedulerName** (string)
+
+  如果设置了此字段，则 Pod 将由指定的调度器调度。如果未指定，则使用默认调度器来调度 Pod。
+
+<!--
+- **runtimeClassName** (string)
+
+  RuntimeClassName refers to a RuntimeClass object in the node.k8s.io group, which should be used to run this pod.  If no RuntimeClass resource matches the named class, the pod will not be run. If unset or empty, the "legacy" RuntimeClass will be used, which is an implicit class with an empty definition that uses the default runtime handler. More info: https://git.k8s.io/enhancements/keps/sig-node/585-runtime-class
+-->
+- **runtimeClassName** (string)
+
+  runtimeClassName 引用 `node.k8s.io` 组中的一个 RuntimeClass 对象，该 RuntimeClass 将被用来运行这个 Pod。
+  如果没有 RuntimeClass 资源与所设置的类匹配，则 Pod 将不会运行。
+  如果此字段未设置或为空，将使用 "旧版" RuntimeClass。
+  "旧版" RuntimeClass 可以视作一个隐式的运行时类，其定义为空，会使用默认运行时处理程序。
+  更多信息：
+  https://git.k8s.io/enhancements/keps/sig-node/585-runtime-class
+
+<!--
+- **priorityClassName** (string)
+
+  If specified, indicates the pod's priority. "system-node-critical" and "system-cluster-critical" are two special keywords which indicate the highest priorities with the former being the highest priority. Any other name must be defined by creating a PriorityClass object with that name. If not specified, the pod priority will be default or zero if there is no default.
+-->
+- **priorityClassName** (string)
+
+  如果设置了此字段，则用来标明 Pod 的优先级。
+  `"system-node-critical"` 和 `"system-cluster-critical"` 是两个特殊关键字，
+  分别用来表示两个最高优先级，前者优先级更高一些。
+  任何其他名称都必须通过创建具有该名称的 PriorityClass 对象来定义。
+  如果未指定此字段，则 Pod 优先级将为默认值。如果没有默认值，则为零。
+
+<!--
+- **priority** (int32)
+
+  The priority value. Various system components use this field to find the priority of the pod. When Priority Admission Controller is enabled, it prevents users from setting this field. The admission controller populates this field from PriorityClassName. The higher the value, the higher the priority.
+-->
+- **priority** (int32)
+
+  优先级值。各种系统组件使用该字段来确定 Pod 的优先级。当启用 Priority 准入控制器时，
+  该控制器会阻止用户设置此字段。准入控制器基于 priorityClassName 设置来填充此字段。
+  字段值越高，优先级越高。
+
+<!--
+- **topologySpreadConstraints** ([]TopologySpreadConstraint)
+
+  *Patch strategy: merge on key `topologyKey`*
+  
+  *Map: unique values on keys `topologyKey, whenUnsatisfiable` will be kept during a merge*
+  
+  TopologySpreadConstraints describes how a group of pods ought to spread across topology domains. Scheduler will schedule pods in a way which abides by the constraints. All topologySpreadConstraints are ANDed.
+
+  *TopologySpreadConstraint specifies how to spread matching pods among the given topology.*
+-->
+- **topologySpreadConstraints** ([]TopologySpreadConstraint)
+
+  **补丁策略：基于 `topologyKey` 键合并**
+  
+  **映射：`topologyKey, whenUnsatisfiable` 键组合的唯一值 將在合并期间保留**
+  
+  TopologySpreadConstraints 描述一组 Pod 应该如何跨拓扑域来分布。调度器将以遵从此约束的方式来调度 Pod。
+  所有 topologySpreadConstraints 条目会通过逻辑与操作进行组合。
+
+  <a name="TopologySpreadConstraint"></a>
+  **TopologySpreadConstraint 指定如何在规定的拓扑下分布匹配的 Pod。**
+
+  <!--
+  - **topologySpreadConstraints.maxSkew** (int32), required
+
+    MaxSkew describes the degree to which pods may be unevenly distributed. When `whenUnsatisfiable=DoNotSchedule`, it is the maximum permitted difference between the number of matching pods in the target topology and the global minimum. The global minimum is the minimum number of matching pods in an eligible domain or zero if the number of eligible domains is less than MinDomains. For example, in a 3-zone cluster, MaxSkew is set to 1, and pods with the same labelSelector spread as 2/2/1: In this case, the global minimum is 1. | zone1 | zone2 | zone3 | |  P P  |  P P  |   P   | - if MaxSkew is 1, incoming pod can only be scheduled to zone3 to become 2/2/2; scheduling it onto zone1(zone2) would make the ActualSkew(3-1) on zone1(zone2) violate MaxSkew(1). - if MaxSkew is 2, incoming pod can be scheduled onto any zone. When `whenUnsatisfiable=ScheduleAnyway`, it is used to give higher precedence to topologies that satisfy it. It's a required field. Default value is 1 and 0 is not allowed.
+  -->
+
+  - **topologySpreadConstraints.maxSkew** (int32)，必需
+
+    maxSkew 描述 Pod 可能分布不均衡的程度。当 `whenUnsatisfiable=DoNotSchedule` 时，
+    此字段值是目标拓扑中匹配的 Pod 数量与全局最小值之间的最大允许差值。
+    全局最小值是候选域中匹配 Pod 的最小数量，如果候选域的数量小于 `minDomains`，则为零。
+    例如，在一个包含三个可用区的集群中，maxSkew 设置为 1，具有相同 `labelSelector` 的 Pod 分布为 2/2/1：
+    在这种情况下，全局最小值为 1。
+
+    ```
+    | zone1 | zone2 | zone3 |
+    | PP    | PP    |  P    |
+    ```
+
+    - 如果 maxSkew 为 1，传入的 Pod 只能调度到 "zone3"，变成 2/2/2；
+      将其调度到 "zone1"（"zone2"）将使"zone1"（"zone2"）上的实际偏差（Actual Skew）为 3-1，进而违反
+      maxSkew 限制（1）。 
+    - 如果 maxSkew 为 2，则可以将传入的 Pod 调度到任何区域。
+
+    当 `whenUnsatisfiable=ScheduleAnyway` 时，此字段被用来给满足此约束的拓扑域更高的优先级。
+
+    此字段是一个必填字段。默认值为 1，不允许为 0。
+
+  <!--
+  - **topologySpreadConstraints.topologyKey** (string), required
+
+    TopologyKey is the key of node labels. Nodes that have a label with this key and identical values are considered to be in the same topology. We consider each \<key, value> as a "bucket", and try to put balanced number of pods into each bucket. We define a domain as a particular instance of a topology. Also, we define an eligible domain as a domain whose nodes match the node selector. e.g. If TopologyKey is "kubernetes.io/hostname", each Node is a domain of that topology. And, if TopologyKey is "topology.kubernetes.io/zone", each zone is a domain of that topology. It's a required field.
+  -->
+
+  - **topologySpreadConstraints.topologyKey** (string)，必需
+
+    topologyKey 是节点标签的键名。如果节点的标签中包含此键名且键值亦相同，则被认为在相同的拓扑域中。
+    我们将每个 `<键, 值>` 视为一个 "桶（Bucket）"，并尝试将数量均衡的 Pod 放入每个桶中。
+    我们定义域（Domain）为拓扑域的特定实例。此外，我们定义候选域（Eligible Domain）为其节点与节点选择算符匹配的域。
+    例如，如果 topologyKey 是 `"kubernetes.io/hostname"`，则每个 Node 都是该拓扑的域。
+    而如果 topologyKey 是 `"topology.kubernetes.io/zone"`，则每个区域都是该拓扑的一个域。
+    这是一个必填字段。
+
+  <!--
+  - **topologySpreadConstraints.whenUnsatisfiable** (string), required
+
+    WhenUnsatisfiable indicates how to deal with a pod if it doesn't satisfy the spread constraint. - DoNotSchedule (default) tells the scheduler not to schedule it. - ScheduleAnyway tells the scheduler to schedule the pod in any location,
+      but giving higher precedence to topologies that would help reduce the
+      skew.
+    A constraint is considered "Unsatisfiable" for an incoming pod if and only if every possible node assignment for that pod would violate "MaxSkew" on some topology. For example, in a 3-zone cluster, MaxSkew is set to 1, and pods with the same labelSelector spread as 3/1/1: | zone1 | zone2 | zone3 | | P P P |   P   |   P   | If WhenUnsatisfiable is set to DoNotSchedule, incoming pod can only be scheduled to zone2(zone3) to become 3/2/1(3/1/2) as ActualSkew(2-1) on zone2(zone3) satisfies MaxSkew(1). In other words, the cluster can still be imbalanced, but scheduler won't make it *more* imbalanced. It's a required field.
+  -->
+
+  - **topologySpreadConstraints.whenUnsatisfiable** (string)，必需
+
+    whenUnsatisfiable 表示如果 Pod 不满足分布约束，如何处理它。 
+
+    - `DoNotSchedule`（默认）：告诉调度器不要调度它。 
+    - `ScheduleAnyway`：告诉调度器将 Pod 调度到任何位置，但给予能够降低偏差的拓扑更高的优先级。
+
+    当且仅当该 Pod 的每个可能的节点分配都会违反某些拓扑对应的 "maxSkew" 时，
+    才认为传入 Pod 的约束是 "不可满足的"。
+
+    例如，在一个包含三个区域的集群中，maxSkew 设置为 1，具有相同 labelSelector 的 Pod 分布为 3/1/1：
+
+    ```
+    | zone1 | zone2 | zone3 |
+    | P P P | P     | P     |
+    ```
+
+    如果 whenUnsatisfiable 设置为 `DoNotSchedule`，则传入的 Pod 只能调度到 "zone2"（"zone3"），
+    Pod 分布变成 3/2/1（3/1/2），因为 "zone2"（"zone3"）上的实际偏差（Actual Skew） 为 2-1，
+    满足 maxSkew 约束（1）。
+    换句话说，集群仍然可以不平衡，但调度器不会使其**更加地**不平衡。
+
+    这是一个必填字段。
+
+  <!--
+  - **topologySpreadConstraints.labelSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    LabelSelector is used to find matching pods. Pods that match this label selector are counted to determine the number of pods in their corresponding topology domain.
+  -->
+
+  - **topologySpreadConstraints.labelSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    labelSelector 用于识别匹配的 Pod。对匹配此标签选择算符的 Pod 进行计数，
+    以确定其相应拓扑域中的 Pod 数量。
+
+  <!--
+  - **topologySpreadConstraints.minDomains** (int32)
+
+    MinDomains indicates a minimum number of eligible domains. When the number of eligible domains with matching topology keys is less than minDomains, Pod Topology Spread treats "global minimum" as 0, and then the calculation of Skew is performed. And when the number of eligible domains with matching topology keys equals or greater than minDomains, this value has no effect on scheduling. As a result, when the number of eligible domains is less than minDomains, scheduler won't schedule more than maxSkew Pods to those domains. If value is nil, the constraint behaves as if MinDomains is equal to 1. Valid values are integers greater than 0. When value is not nil, WhenUnsatisfiable must be DoNotSchedule.
+    
+    For example, in a 3-zone cluster, MaxSkew is set to 2, MinDomains is set to 5 and pods with the same labelSelector spread as 2/2/2: | zone1 | zone2 | zone3 | |  P P  |  P P  |  P P  | The number of domains is less than 5(MinDomains), so "global minimum" is treated as 0. In this situation, new pod with the same labelSelector cannot be scheduled, because computed skew will be 3(3 - 0) if new Pod is scheduled to any of the three zones, it will violate MaxSkew.
+    
+    This is an alpha field and requires enabling MinDomainsInPodTopologySpread feature gate.
+  -->
+
+  - **topologySpreadConstraints.minDomains** (int32)
+
+    minDomains 表示符合条件的域的最小数量。当符合拓扑键的候选域个数小于 minDomains 时，
+    Pod 拓扑分布特性会将 "全局最小值" 视为 0，然后进行偏差的计算。
+    当匹配拓扑键的候选域的数量等于或大于 minDomains 时，此字段的值对调度没有影响。
+    因此，当候选域的数量少于 minDomains 时，调度程序不会将超过 maxSkew 个 Pods 调度到这些域。
+    如果字段值为 nil，所表达的约束为 minDomains 等于 1。
+    字段的有效值为大于 0 的整数。当字段值不为 nil 时，whenUnsatisfiable 必须为 `DoNotSchedule`。
+    
+    例如，在一个包含三个区域的集群中，maxSkew 设置为 2，minDomains 设置为 5，具有相同 labelSelector
+    的 Pod 分布为 2/2/2：
+
+    ```
+    | zone1 | zone2 | zone3 |
+    | PP    | PP    | PP    |
+    ```
+
+    域的数量小于 5（minDomains 取值），因此"全局最小值"被视为 0。
+    在这种情况下，无法调度具有相同 labelSelector 的新 Pod，因为如果基于新 Pod 计算的偏差值将为
+    3（3-0）。将这个 Pod 调度到三个区域中的任何一个，都会违反 maxSkew 约束。
+    
+    此字段是一个 Alpha 字段，需要启用 MinDomainsInPodTopologySpread 特性门控。
+
+<!--
+### Lifecycle
+-->
+
+### 生命周期
+
+<!--
+- **restartPolicy** (string)
+
+  Restart policy for all containers within the pod. One of Always, OnFailure, Never. Default to Always. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy
+-->
+- **restartPolicy** (string)
+
+  Pod 内所有容器的重启策略。`Always`、`OnFailure`、`Never` 之一。默认为 `Always`。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy
+
+<!--
+- **terminationGracePeriodSeconds** (int64)
+
+  Optional duration in seconds the pod needs to terminate gracefully. May be decreased in delete request. Value must be non-negative integer. The value zero indicates stop immediately via the kill signal (no opportunity to shut down). If this value is nil, the default grace period will be used instead. The grace period is the duration in seconds after the processes running in the pod are sent a termination signal and the time when the processes are forcibly halted with a kill signal. Set this value longer than the expected cleanup time for your process. Defaults to 30 seconds.
+-->
+- **terminationGracePeriodSeconds** (int64)
+
+  可选字段，表示 Pod 需要体面终止的所需的时长（以秒为单位）。字段值可以在删除请求中减少。
+  字段值必须是非负整数。零值表示收到 kill 信号则立即停止（没有机会关闭）。
+  如果此值为 nil，则将使用默认宽限期。
+  宽限期是从 Pod 中运行的进程收到终止信号后，到进程被 kill 信号强制停止之前，Pod 可以继续存在的时间（以秒为单位）。
+  应该将此值设置为比你的进程的预期清理时间更长。默认为 30 秒。
+
+<!--
+- **activeDeadlineSeconds** (int64)
+
+  Optional duration in seconds the pod may be active on the node relative to StartTime before the system will actively try to mark it failed and kill associated containers. Value must be a positive integer.
+-->
+- **activeDeadlineSeconds** (int64)
+
+  在系统将主动尝试将此 Pod 标记为已失败并杀死相关容器之前，Pod 可能在节点上活跃的时长；
+  市场计算基于 startTime 计算间（以秒为单位）。字段值必须是正整数。
+
+<!--
+- **readinessGates** ([]PodReadinessGate)
+
+  If specified, all readiness gates will be evaluated for pod readiness. A pod is ready when all its containers are ready AND all conditions specified in the readiness gates have status equal to "True" More info: https://git.k8s.io/enhancements/keps/sig-network/580-pod-readiness-gates
+
+  *PodReadinessGate contains the reference to a pod condition*
+-->
+- **readinessGate** ([]PodReadinessGate)
+
+  如果设置了此字段，则将评估所有就绪门控（Readiness Gate）以确定 Pod 就绪状况。
+  当所有容器都已就绪，并且就绪门控中指定的所有状况的 status 都为 "true" 时，Pod 被视为就绪。
+  更多信息： https://git.k8s.io/enhancements/keps/sig-network/580-pod-readiness-gates
+
+  <a name="PodReadinessGate"></a>
+  **PodReadinessGate 包含对 Pod 状况的引用**
+
+  <!--
+  - **readinessGates.conditionType** (string), required
+
+    ConditionType refers to a condition in the pod's condition list with matching type.
+  -->
+
+  - **readinessGates.conditionType** (string)，必需
+
+    conditionType 是指 Pod 的状况列表中类型匹配的状况。
+
+<!--
+### Hostname and Name resolution
+-->
+### 主机名和名称解析
+
+<!--
+- **hostname** (string)
+
+  Specifies the hostname of the Pod If not specified, the pod's hostname will be set to a system-defined value.
+-->
+- **hostname**  (string)
+
+  指定 Pod 的主机名。如果此字段未指定，则 Pod 的主机名将设置为系统定义的值。
+
+<!--
+- **setHostnameAsFQDN** (boolean)
+
+  If true the pod's hostname will be configured as the pod's FQDN, rather than the leaf name (the default). In Linux containers, this means setting the FQDN in the hostname field of the kernel (the nodename field of struct utsname). In Windows containers, this means setting the registry value of hostname for the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters to FQDN. If a pod does not have FQDN, this has no effect. Default to false.
+-->
+- **setHostnameAsFQDN** (boolean)
+
+  如果为 true，则 Pod 的主机名将配置为 Pod 的 FQDN，而不是叶名称（默认值）。
+  在 Linux 容器中，这意味着将内核的 hostname 字段（struct utsname 的 nodename 字段）设置为 FQDN。
+  在 Windows 容器中，这意味着将注册表项 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters`
+  的 hostname 键设置为 FQDN。如果 Pod 没有 FQDN，则此字段不起作用。
+  默认为 false。
+
+<!--
+- **subdomain** (string)
+
+  If specified, the fully qualified Pod hostname will be "\<hostname>.\<subdomain>.\<pod namespace>.svc.\<cluster domain>". If not specified, the pod will not have a domainname at all.
+-->
+- **subdomain** (string)
+
+  如果设置了此字段，则完全限定的 Pod 主机名将是 `<hostname>.<subdomain>.<Pod 名字空间>.svc.<集群域名>`。
+  如果未设置此字段，则该 Pod 将没有域名。
+
+<!--
+- **hostAliases** ([]HostAlias)
+
+  *Patch strategy: merge on key `ip`*
+  
+  HostAliases is an optional list of hosts and IPs that will be injected into the pod's hosts file if specified. This is only valid for non-hostNetwork pods.
+
+  *HostAlias holds the mapping between IP and hostnames that will be injected as an entry in the pod's hosts file.*
+-->
+- **hostAliases** ([]HostAlias)
+
+  **补丁策略：基于 `ip` 键合并**
+  
+  hostAliases 是一个可选的列表属性，包含要被注入到 Pod 的 hosts 文件中的主机和 IP 地址。
+  这仅对非 hostNetwork Pod 有效。
+
+  <a name="HostAlias"></a>
+  **HostAlias 结构保存 IP 和主机名之间的映射，这些映射将作为 Pod 的 hosts 文件中的条目注入。**
+
+  <!--
+  - **hostAliases.hostnames** ([]string)
+
+    Hostnames for the above IP address.
+
+  - **hostAliases.ip** (string)
+
+    IP address of the host file entry.
+  -->
+
+  - **hostAliases.hostnames** ([]string)
+
+    指定 IP 地址对应的主机名。
+
+  - **hostAliases.ip** (string)
+
+    主机文件条目的 IP 地址。
+
+<!--
+- **dnsConfig** (PodDNSConfig)
+
+  Specifies the DNS parameters of a pod. Parameters specified here will be merged to the generated DNS configuration based on DNSPolicy.
+-->
+- **dnsConfig** (PodDNSConfig)
+
+  指定 Pod 的 DNS 参数。此处指定的参数将被合并到基于 dnsPolicy 生成的 DNS 配置中。
+
+  <a name="PodDNSConfig"></a>
+  <!--
+  PodDNSConfig defines the DNS parameters of a pod in addition to those generated from DNSPolicy.
+  -->
+  **PodDNSConfig 定义 Pod 的 DNS 参数，这些参数独立于基于 dnsPolicy 生成的参数。**
+
+  <!--
+  - **dnsConfig.nameservers** ([]string)
+
+    A list of DNS name server IP addresses. This will be appended to the base nameservers generated from DNSPolicy. Duplicated nameservers will be removed.
+  -->
+
+  - **dnsConfig.nameservers** ([]string)
+
+    DNS 名字服务器的 IP 地址列表。此列表将被追加到基于 dnsPolicy 生成的基本名字服务器列表。
+    重复的名字服务器将被删除。
+
+  <!--
+  - **dnsConfig.options** ([]PodDNSConfigOption)
+
+    A list of DNS resolver options. This will be merged with the base options generated from DNSPolicy. Duplicated entries will be removed. Resolution options given in Options will override those that appear in the base DNSPolicy.
+  -->
+
+  - **dnsConfig.options** ([]PodDNSConfigOption)
+
+    DNS 解析器选项列表。此处的选项将与基于 dnsPolicy 所生成的基本选项合并。重复的条目将被删除。
+    options 中所给出的解析选项将覆盖基本 dnsPolicy 中出现的对应选项。
+
+    <a name="PodDNSConfigOption"></a>
+    <!--
+    *PodDNSConfigOption defines DNS resolver options of a pod.*
+    -->
+
+    **PodDNSConfigOption 定义 Pod 的 DNS 解析器选项。**
+
+    <!--
+    - **dnsConfig.options.name** (string)
+
+      Required.
+
+    - **dnsConfig.options.value** (string)
+    -->
+
+    - **dnsConfig.options.name** (string)
+
+      必需字段。
+
+    - **dnsConfig.options.value** (string)
+
+      选项取值。
+
+  <!--
+  - **dnsConfig.searches** ([]string)
+
+    A list of DNS search domains for host-name lookup. This will be appended to the base search paths generated from DNSPolicy. Duplicated search paths will be removed.
+  -->
+
+  - **dnsConfig.searches** ([]string)
+
+    用于主机名查找的 DNS 搜索域列表。这一列表将被追加到基于 dnsPolicy 生成的基本搜索路径列表。
+    重复的搜索路径将被删除。
+
+<!--
+- **dnsPolicy** (string)
+
+  Set DNS policy for the pod. Defaults to "ClusterFirst". Valid values are 'ClusterFirstWithHostNet', 'ClusterFirst', 'Default' or 'None'. DNS parameters given in DNSConfig will be merged with the policy selected with DNSPolicy. To have DNS options set along with hostNetwork, you have to specify DNS policy explicitly to 'ClusterFirstWithHostNet'.
+-->
+- **dnsPolicy** (string)
+
+  为 Pod 设置 DNS 策略。默认为 `"ClusterFirst"`。
+  有效值为 `"ClusterFirstWithHostNet"`、`"ClusterFirst"`、`"Default"` 或 `"None"`。 
+  dnsConfig 字段中给出的 DNS 参数将与使用 dnsPolicy 字段所选择的策略合并。
+  要针对 hostNetwork 的 Pod 设置 DNS 选项，你必须将 DNS 策略显式设置为 `"ClusterFirstWithHostNet"`。
+
+<!--
+### Hosts namespaces
+-->
+### 主机名字空间
+
+<!--
+- **hostNetwork** (boolean)
+
+  Host networking requested for this pod. Use the host's network namespace. If this option is set, the ports that will be used must be specified. Default to false.
+
+- **hostPID** (boolean)
+
+  Use the host's pid namespace. Optional: Default to false.
+-->
+- **hostNetwork** (boolean)
+
+  为此 Pod 请求主机层面联网支持。使用主机的网络名字空间。
+  如果设置了此选项，则必须指定将使用的端口。默认为 false。
+
+- **hostPID** (boolean)
+
+  使用主机的 PID 名字空间。可选：默认为 false。
+
+<!--
+- **hostIPC** (boolean)
+
+  Use the host's ipc namespace. Optional: Default to false.
+
+- **shareProcessNamespace** (boolean)
+
+  Share a single process namespace between all of the containers in a pod. When this is set containers will be able to view and signal processes from other containers in the same pod, and the first process in each container will not be assigned PID 1. HostPID and ShareProcessNamespace cannot both be set. Optional: Default to false.
+-->
+- **hostIPC** (boolean)
+
+  使用主机的 IPC 名字空间。可选：默认为 false。
+
+- **shareProcessNamespace** (boolean)
+
+  在 Pod 中的所有容器之间共享单个进程名字空间。设置了此字段之后，容器将能够查看来自同一 Pod 中其他容器的进程并发出信号，
+  并且每个容器中的第一个进程不会被分配 PID 1。`hostPID` 和 `shareProcessNamespace` 不能同时设置。
+  可选：默认为 false。
+
+<!--
+### Service account
+-->
+### 服务账号
+
+<!--
+- **serviceAccountName** (string)
+
+  ServiceAccountName is the name of the ServiceAccount to use to run this pod. More info: https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/
+
+- **automountServiceAccountToken** (boolean)
+
+  AutomountServiceAccountToken indicates whether a service account token should be automatically mounted.
+-->
+- **serviceAccountName** (string)
+
+  serviceAccountName 是用于运行此 Pod 的服务账号的名称。更多信息： 
+  https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/
+
+- **automountServiceAccountToken** (boolean)
+
+  automountServiceAccountToken 指示是否应自动挂载服务帐户令牌。
+
+<!--
+### Security context
+-->
+### 安全上下文
+
+<!--
+- **securityContext** (PodSecurityContext)
+
+  SecurityContext holds pod-level security attributes and common container settings. Optional: Defaults to empty.  See type description for default values of each field.
+-->
+
+- **securityContext** (PodSecurityContext)
+
+  SecurityContext 包含 Pod 级别的安全属性和常见的容器设置。
+  可选：默认为空。每个字段的默认值见类型描述。
+
+  <!--
+  PodSecurityContext holds pod-level security attributes and common container settings. Some fields are also present in container.securityContext.  Field values of container.securityContext take precedence over field values of PodSecurityContext.
+  -->
+
+  <a name="PodSecurityContext"></a>
+  PodSecurityContext 包含 Pod 级别的安全属性和常用容器设置。
+  一些字段也存在于 `container.securityContext` 中。`container.securityContext`
+  中的字段值优先于 PodSecurityContext 的字段值。
+
+  <!--
+  - **securityContext.runAsUser** (int64)
+
+    The UID to run the entrypoint of the container process. Defaults to user specified in image metadata if unspecified. May also be set in SecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence for that container. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsUser** (int64)
+
+    运行容器进程入口点（Entrypoint）的 UID。如果未指定，则默认为镜像元数据中指定的用户。
+    也可以在 SecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在对应容器中所设置的 SecurityContext 值优先。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.runAsNonRoot** (boolean)
+
+    Indicates that the container must run as a non-root user. If true, the Kubelet will validate the image at runtime to ensure that it does not run as UID 0 (root) and fail to start the container if it does. If unset or false, no such validation will be performed. May also be set in SecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+  -->
+
+  - **securityContext.runAsNonRoot** (boolean)
+
+    指示容器必须以非 root 用户身份运行。如果为 true，kubelet 将在运行时验证镜像，
+    以确保它不会以 UID 0（root）身份运行。如果镜像中确实使用 root 账号启动，则容器无法被启动。
+    如果此字段未设置或为 false，则不会执行此类验证。也可以在 SecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+
+  <!--
+  - **securityContext.runAsGroup** (int64)
+
+    The GID to run the entrypoint of the container process. Uses runtime default if unset. May also be set in SecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence for that container. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsGroup** (int64)
+
+    运行容器进程入口点（Entrypoint）的 GID。如果未设置，则使用运行时的默认值。
+    也可以在 SecurityContext 中设置。如果同时在 SecurityContext 和 PodSecurityContext 中设置，
+    则在对应容器中设置的 SecurityContext 值优先。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+  <!--
+  - **securityContext.supplementalGroups** ([]int64)
+
+    A list of groups applied to the first process run in each container, in addition to the container's primary GID.  If unspecified, no groups will be added to any container. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.supplementalGroups** ([]int64)
+
+    在容器的主 GID 之外，应用于每个容器中运行的第一个进程的组列表。
+    如果未设置此字段，则不会向任何容器添加额外的组。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.fsGroup** (int64)
+
+    A special supplemental group that applies to all containers in a pod. Some volume types allow the Kubelet to change the ownership of that volume to be owned by the pod:
+    
+    1. The owning GID will be the FSGroup 2. The setgid bit is set (new files created in the volume will be owned by FSGroup) 3. The permission bits are OR'd with rw-rw----
+    
+    If unset, the Kubelet will not modify the ownership and permissions of any volume. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.fsGroup** (int64)
+
+    应用到 Pod 中所有容器的特殊补充组。某些卷类型允许 kubelet 将该卷的所有权更改为由 Pod 拥有：
+    
+    1. 文件系统的属主 GID 将是 fsGroup 字段值
+    2. `setgid` 位已设置（在卷中创建的新文件将归 fsGroup 所有）
+    3. 权限位将与 `rw-rw----` 进行按位或操作
+    
+    如果未设置此字段，kubelet 不会修改任何卷的所有权和权限。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.fsGroupChangePolicy** (string)
+
+    fsGroupChangePolicy defines behavior of changing ownership and permission of the volume before being exposed inside Pod. This field will only apply to volume types which support fsGroup based ownership(and permissions). It will have no effect on ephemeral volume types such as: secret, configmaps and emptydir. Valid values are "OnRootMismatch" and "Always". If not specified, "Always" is used. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.fsGroupChangePolicy** (string)
+
+    fsGroupChangePolicy 定义了在卷被在 Pod 中暴露之前更改其属主和权限的行为。
+    此字段仅适用于支持基于 fsGroup 的属主权（和权限）的卷类型。它不会影响临时卷类型，
+    例如：`secret`、`configmap` 和 `emptydir`。
+    有效值为 `"OnRootMismatch"` 和 `"Always"`。如果未设置，则使用 `"Always"`。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.seccompProfile** (SeccompProfile)
+
+    The seccomp options to use by the containers in this pod. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.seccompProfile** (SeccompProfile)
+
+    此 Pod 中的容器使用的 seccomp 选项。注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    <!--
+    SeccompProfile defines a pod/container's seccomp profile settings. Only one profile source may be set.
+    -->
+
+    **SeccompProfile 定义 Pod 或容器的 seccomp 配置文件设置。只能设置一个配置文件源。**
+
+    <!--
+    - **securityContext.seccompProfile.type** (string), required
+
+      type indicates which kind of seccomp profile will be applied. Valid options are:
+      
+      Localhost - a profile defined in a file on the node should be used. RuntimeDefault - the container runtime default profile should be used. Unconfined - no profile should be applied.
+    -->
+
+    - **securityContext.seccompProfile.type** (string)，必需
+
+      type 标明将应用哪种 seccomp 配置文件。有效的选项有：
+
+      - `Localhost` - 应使用在节点上的文件中定义的配置文件。
+      - `RuntimeDefault` - 应使用容器运行时默认配置文件。
+      - `Unconfined` - 不应应用任何配置文件。
+
+    <!--
+    - **securityContext.seccompProfile.localhostProfile** (string)
+
+      localhostProfile indicates a profile defined in a file on the node should be used. The profile must be preconfigured on the node to work. Must be a descending path, relative to the kubelet's configured seccomp profile location. Must only be set if type is "Localhost".
+    -->
+
+    - **securityContext.seccompProfile.localhostProfile** (string)
+
+      localhostProfile 指示应使用在节点上的文件中定义的配置文件。该配置文件必须在节点上预先配置才能工作。
+      必须是相对于 kubelet 配置的 seccomp 配置文件位置的下降路径。
+      仅当 type 为 `"Localhost"` 时才必须设置。
+
+  <!--
+  - **securityContext.seLinuxOptions** (SELinuxOptions)
+
+    The SELinux context to be applied to all containers. If unspecified, the container runtime will allocate a random SELinux context for each container.  May also be set in SecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence for that container. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.seLinuxOptions** (SELinuxOptions)
+
+    应用于所有容器的 SELinux 上下文。如果未设置，容器运行时将为每个容器分配一个随机 SELinux 上下文。
+    也可以在 SecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在对应容器中设置的 SecurityContext 值优先。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+    <!--
+    SELinuxOptions are the labels to be applied to the container
+    -->
+
+    <a name="SELinuxOptions"></a>
+    **SELinuxOptions 是要应用于容器的标签**
+
+    <!--
+    - **securityContext.seLinuxOptions.level** (string)
+
+      Level is SELinux level label that applies to the container.
+
+    - **securityContext.seLinuxOptions.role** (string)
+
+      Role is a SELinux role label that applies to the container.
+
+    - **securityContext.seLinuxOptions.type** (string)
+
+      Type is a SELinux type label that applies to the container.
+
+    - **securityContext.seLinuxOptions.user** (string)
+
+      User is a SELinux user label that applies to the container.
+    -->
+
+    - **securityContext.seLinuxOptions.level** (string)
+
+      level 是应用于容器的 SELinux 级别标签。
+
+    - **securityContext.seLinuxOptions.role** (string)
+
+      role 是应用于容器的 SELinux 角色标签。
+
+    - **securityContext.seLinuxOptions.type** (string)
+
+      type 是适用于容器的 SELinux 类型标签。
+
+    - **securityContext.seLinuxOptions.user** (string)
+
+      user 是应用于容器的 SELinux 用户标签。
+
+  <!--
+  - **securityContext.sysctls** ([]Sysctl)
+
+    Sysctls hold a list of namespaced sysctls used for the pod. Pods with unsupported sysctls (by the container runtime) might fail to launch. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.sysctls** ([]Sysctl)
+
+    sysctls 包含用于 Pod 的名字空间 sysctl 列表。具有不受（容器运行时）支持的 sysctl 的 Pod 可能无法启动。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    <!--
+    Sysctl defines a kernel parameter to be set
+    -->
+
+    <a name="Sysctl"></a>
+    **Sysctl 定义要设置的内核参数**
+
+    <!--
+    - **securityContext.sysctls.name** (string), required
+
+      Name of a property to set
+
+    - **securityContext.sysctls.value** (string), required
+
+      Value of a property to set
+    -->
+
+    - **securityContext.sysctls.name** (string)，必需
+
+      要设置的属性的名称。
+
+    - **securityContext.sysctls.value** (string)，必需
+
+      要设置的属性值。
+
+  <!--
+  - **securityContext.windowsOptions** (WindowsSecurityContextOptions)
+
+    The Windows specific settings applied to all containers. If unspecified, the options within a container's SecurityContext will be used. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is linux.
+  -->
+
+  - **securityContext.windowsOptions** (WindowsSecurityContextOptions)
+
+    要应用到所有容器上的、特定于 Windows 的设置。
+    如果未设置此字段，将使用容器的 SecurityContext 中的选项。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+    注意，`spec.os.name` 为 "linux" 时不能设置该字段。
+
+    <!--
+    WindowsSecurityContextOptions contain Windows-specific options and credentials.
+    -->
+
+    <a name="WindowsSecurityContextOptions"></a>
+    **WindowsSecurityContextOptions 包含特定于 Windows 的选项和凭据。**
+
+    <!--
+    - **securityContext.windowsOptions.gmsaCredentialSpec** (string)
+
+      GMSACredentialSpec is where the GMSA admission webhook (https://github.com/kubernetes-sigs/windows-gmsa) inlines the contents of the GMSA credential spec named by the GMSACredentialSpecName field.
+
+    - **securityContext.windowsOptions.gmsaCredentialSpecName** (string)
+
+      GMSACredentialSpecName is the name of the GMSA credential spec to use.
+    -->
+
+    - **securityContext.windowsOptions.gmsaCredentialSpec** (string)
+
+      gmsaCredentialSpec 是 [GMSA 准入 Webhook](https://github.com/kubernetes-sigs/windows-gmsa)
+      内嵌由 gmsaCredentialSpecName 字段所指定的 GMSA 凭证规约内容的地方。
+
+    - **securityContext.windowsOptions.gmsaCredentialSpecName** (string)
+
+      gmsaCredentialSpecName 是要使用的 GMSA 凭证规约的名称。
+
+    <!--
+    - **securityContext.windowsOptions.hostProcess** (boolean)
+
+      HostProcess determines if a container should be run as a 'Host Process' container. This field is alpha-level and will only be honored by components that enable the WindowsHostProcessContainers feature flag. Setting this field without the feature flag will result in errors when validating the Pod. All of a Pod's containers must have the same effective HostProcess value (it is not allowed to have a mix of HostProcess containers and non-HostProcess containers).  In addition, if HostProcess is true then HostNetwork must also be set to true.
+    -->
+
+    - **securityContext.windowsOptions.hostProcess** (boolean)
+
+      hostProcess 确定容器是否应作为"主机进程"容器运行。
+      此字段是 Alpha 级别的，只有启用 WindowsHostProcessContainers 特性门控的组件才会理解此字段。
+      在不启用该功能门控的前提下设置了此字段，将导致验证 Pod 时发生错误。
+      一个 Pod 的所有容器必须具有相同的有效 hostProcess 值（不允许混合设置了 hostProcess
+      的容器和未设置 hostProcess 容器）。
+      此外，如果 hostProcess 为 true，则 hostNetwork 也必须设置为 true。
+
+    <!--
+    - **securityContext.windowsOptions.runAsUserName** (string)
+
+      The UserName in Windows to run the entrypoint of the container process. Defaults to the user specified in image metadata if unspecified. May also be set in PodSecurityContext. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+    -->
+
+    - **securityContext.windowsOptions.runAsUserName** (string)
+
+      Windows 中用来运行容器进程入口点的用户名。如果未设置，则默认为镜像元数据中指定的用户。
+      也可以在 PodSecurityContext 中设置。
+      如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+
+<!--
+### Beta level
+-->
+
+### Beta 级别
+
+<!--
+- **ephemeralContainers** ([]<a href="{{< ref "../workload-resources/pod-v1#EphemeralContainer" >}}">EphemeralContainer</a>)
+
+  *Patch strategy: merge on key `name`*
+  
+  List of ephemeral containers run in this pod. Ephemeral containers may be run in an existing pod to perform user-initiated actions such as debugging. This list cannot be specified when creating a pod, and it cannot be modified by updating the pod spec. In order to add an ephemeral container to an existing pod, use the pod's ephemeralcontainers subresource. This field is beta-level and available on clusters that haven't disabled the EphemeralContainers feature gate.
+-->
+
+- **ephemeralContainers** ([]<a href="{{< ref "../workload-resources/pod-v1#EphemeralContainer" >}}">EphemeralContainer</a>)
+
+  **补丁策略：基于 `name` 键合并**
+  
+  在此 Pod 中运行的临时容器列表。临时容器可以在现有的 Pod 中运行，以执行用户发起的操作，例如调试。
+  此列表在创建 Pod 时不能指定，也不能通过更新 Pod 规约来修改。
+  要将临时容器添加到现有 Pod，请使用 Pod 的 `ephemeralcontainers` 子资源。
+  此字段是 Beta 级别的，可在尚未禁用 EphemeralContainers 特性门控的集群上使用。
+
+<!--
+- **preemptionPolicy** (string)
+
+  PreemptionPolicy is the Policy for preempting pods with lower priority. One of Never, PreemptLowerPriority. Defaults to PreemptLowerPriority if unset.
+-->
+
+- **preemptionPolicy** (string)
+
+  PreemptionPolicy 是用来抢占优先级较低的 Pod 的策略。取值为 `"Never"`、`"PreemptLowerPriority"` 之一。
+  如果未设置，则默认为 `"PreemptLowerPriority"`。
+
+<!--
+- **overhead** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  Overhead represents the resource overhead associated with running a pod for a given RuntimeClass. This field will be autopopulated at admission time by the RuntimeClass admission controller. If the RuntimeClass admission controller is enabled, overhead must not be set in Pod create requests. The RuntimeClass admission controller will reject Pod create requests which have the overhead already set. If RuntimeClass is configured and selected in the PodSpec, Overhead will be set to the value defined in the corresponding RuntimeClass, otherwise it will remain unset and treated as zero. More info: https://git.k8s.io/enhancements/keps/sig-node/688-pod-overhead/README.md
+-->
+
+- **overhead** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+  overhead 表示与用指定 RuntimeClass 运行 Pod 相关的资源开销。该字段将由 RuntimeClass 准入控制器在准入时自动填充。
+  如果启用了 RuntimeClass 准入控制器，则不得在 Pod 创建请求中设置 overhead 字段。
+  RuntimeClass 准入控制器将拒绝已设置 overhead 字段的 Pod 创建请求。
+  如果在 Pod 规约中配置并选择了 RuntimeClass，overhead 字段将被设置为对应 RuntimeClass
+  中定义的值，否则将保持未设置并视为零。更多信息：
+  https://git.k8s.io/enhancements/keps/sig-node/688-pod-overhead/README.md
+
+<!--
+### Deprecated
+
+- **serviceAccount** (string)
+
+  DeprecatedServiceAccount is a depreciated alias for ServiceAccountName. Deprecated: Use serviceAccountName instead.
+-->
+
+### 已弃用的
+
+- **serviceAccount** (string)
+
+  deprecatedServiceAccount 是 serviceAccountName 的弃用别名。此字段已被弃用：应改用 serviceAccountName。
+
+<!--
+## Container {#Container}
+
+A single application container that you want to run within a pod.
+
+- **name** (string), required
+
+  Name of the container specified as a DNS_LABEL. Each container in a pod must have a unique name (DNS_LABEL). Cannot be updated.
+-->
+
+## Container
+
+要在 Pod 中运行的单个应用容器。
+
+<hr>
+
+- **name** (string)，必需
+
+  指定为 DNS_LABEL 的容器的名称。Pod 中的每个容器都必须有一个唯一的名称 (DNS_LABEL)。无法更新。
+
+<!--
+### Image
+-->
+### 镜像 {#image}
+
+<!--
+- **image** (string)
+
+  Container image name. More info: https://kubernetes.io/docs/concepts/containers/images This field is optional to allow higher level config management to default or override container images in workload controllers like Deployments and StatefulSets.
+
+- **imagePullPolicy** (string)
+
+  Image pull policy. One of Always, Never, IfNotPresent. Defaults to Always if :latest tag is specified, or IfNotPresent otherwise. Cannot be updated. More info: https://kubernetes.io/docs/concepts/containers/images#updating-images
+-->
+
+- **image** (string)
+
+  容器镜像名称。更多信息： https://kubernetes.io/zh-cn/docs/concepts/containers/images。
+  此字段是可选的，以允许更高层的配置管理进行默认设置或覆盖工作负载控制器（如 Deployment 和 StatefulSets）
+  中的容器镜像。
+
+- **imagePullPolicy** (string)
+
+  镜像拉取策略。`"Always"`、`"Never"`、`"IfNotPresent"` 之一。如果指定了 `:latest` 标签，则默认为 `"Always"`，
+  否则默认为 `"IfNotPresent"`。无法更新。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/containers/images#updating-images
+
+<!--
+### Entrypoint
+-->
+
+### Entrypoint
+
+<!--
+- **command** ([]string)
+
+  Entrypoint array. Not executed within a shell. The container image's ENTRYPOINT is used if this is not provided. Variable references $(VAR_NAME) are expanded using the container's environment. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Cannot be updated. More info: https://kubernetes.io/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+-->
+
+- **command** ([]string)
+
+  入口点数组。不在 Shell 中执行。如果未提供，则使用容器镜像的 `ENTRYPOINT`。
+  变量引用 `$(VAR_NAME)` 使用容器的环境进行扩展。如果无法解析变量，则输入字符串中的引用将保持不变。
+  `$$` 被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：即 `"$$(VAR_NAME)" ` 将产生字符串字面值 `"$(VAR_NAME)"`。
+  无论变量是否存在，转义引用都不会被扩展。无法更新。更多信息： 
+  https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+
+<!--
+- **args** ([]string)
+
+  Arguments to the entrypoint. The container image's CMD is used if this is not provided. Variable references $(VAR_NAME) are expanded using the container's environment. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Cannot be updated. More info: https://kubernetes.io/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+-->
+
+- **args** ([]string)
+
+  entrypoint 的参数。如果未提供，则使用容器镜像的 `CMD` 设置。变量引用 `$(VAR_NAME)` 使用容器的环境进行扩展。
+  如果无法解析变量，则输入字符串中的引用将保持不变。`$$` 被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：
+  即 `"$$(VAR_NAME)"` 将产生字符串字面值 `"$(VAR_NAME)"`。无论变量是否存在，转义引用都不会被扩展。无法更新。
+  更多信息： 
+  https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+
+<!--
+- **workingDir** (string)
+
+  Container's working directory. If not specified, the container runtime's default will be used, which might be configured in the container image. Cannot be updated.
+-->
+
+- **workingDir** (string)
+
+  容器的工作目录。如果未指定，将使用容器运行时的默认值，默认值可能在容器镜像中配置。无法更新。
+
+<!---
+### Ports
+-->
+
+### 端口
+
+<!--
+- **ports** ([]ContainerPort)
+
+  *Patch strategy: merge on key `containerPort`*
+  
+  *Map: unique values on keys `containerPort, protocol` will be kept during a merge*
+  
+  List of ports to expose from the container. Exposing a port here gives the system additional information about the network connections a container uses, but is primarily informational. Not specifying a port here DOES NOT prevent that port from being exposed. Any port which is listening on the default "0.0.0.0" address inside a container will be accessible from the network. Cannot be updated.
+
+  *ContainerPort represents a network port in a single container.*
+-->
+
+- **ports**（[]ContainerPort）
+
+  **补丁策略：基于 `containerPort` 键合并**
+  
+  **映射：键 `containerPort, protocol` 组合的唯一值将在合并期间保留**
+  
+  要从容器公开的端口列表。在此处公开端口可为系统提供有关容器使用的网络连接的附加信息，但主要是信息性的。
+  此处不指定端口不会阻止该端口被暴露。
+  任何侦听容器内默认 `"0.0.0.0"` 地址的端口都可以从网络访问。无法更新。
+
+  <a name="ContainerPort"></a>
+  **ContainerPort 表示单个容器中的网络端口。**
+
+  <!--
+  - **ports.containerPort** (int32), required
+
+    Number of port to expose on the pod's IP address. This must be a valid port number, 0 \< x \< 65536.
+
+  - **ports.hostIP** (string)
+
+    What host IP to bind the external port to.
+  -->
+
+  - **ports.containerPort** (int32)，必需
+
+    要在 Pod 的 IP 地址上公开的端口号。这必须是有效的端口号，0 \< x \< 65536。
+
+  - **ports.hostIP** (string)
+
+    绑定外部端口的主机 IP。
+
+  <!--
+  - **ports.hostPort** (int32)
+
+    Number of port to expose on the host. If specified, this must be a valid port number, 0 \< x \< 65536. If HostNetwork is specified, this must match ContainerPort. Most containers do not need this.
+
+  - **ports.name** (string)
+
+    If specified, this must be an IANA_SVC_NAME and unique within the pod. Each named port in a pod must have a unique name. Name for the port that can be referred to by services.
+  -->
+
+  - **ports.hostPort** (int32)
+
+    要在主机上公开的端口号。如果指定，此字段必须是一个有效的端口号，0 \< x \< 65536。
+    如果设置了 hostNetwork，此字段值必须与 containerPort 匹配。大多数容器不需要设置此字段。
+
+  - **ports.name** (string)
+
+    如果设置此字段，这必须是 IANA_SVC_NAME 并且在 Pod 中唯一。
+    Pod 中的每个命名端口都必须具有唯一的名称。服务可以引用的端口的名称。
+
+  <!--
+  - **ports.protocol** (string)
+
+    Protocol for port. Must be UDP, TCP, or SCTP. Defaults to "TCP".
+  -->
+
+  - **ports.protocol** (string)
+
+    端口协议。必须是 `UDP`、`TCP` 或 `SCTP`。默认为 `TCP`。
+
+<!--
+### Environment variables
+-->
+
+### 环境变量
+
+<!--
+- **env** ([]EnvVar)
+
+  *Patch strategy: merge on key `name`*
+  
+  List of environment variables to set in the container. Cannot be updated.
+-->
+
+- **env**（[]EnvVar）
+
+  **补丁策略：基于 `name` 键合并**
+  
+  要在容器中设置的环境变量列表。无法更新。
+
+  <!--
+  *EnvVar represents an environment variable present in a Container.*
+  -->
+  <a name="EnvVar"></a>
+  **EnvVar 表示容器中存在的环境变量。**
+
+  <!--
+  - **env.name** (string), required
+
+    Name of the environment variable. Must be a C_IDENTIFIER.
+  -->
+
+  - **env.name** (string)，必需
+
+    环境变量的名称。必须是 C_IDENTIFIER。
+
+  <!--
+  - **env.value** (string)
+
+    Variable references $(VAR_NAME) are expanded using the previously defined environment variables in the container and any service environment variables. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Defaults to "".
+  -->
+
+  - **env.value** (string)
+
+    变量引用 `$(VAR_NAME)` 使用容器中先前定义的环境变量和任何服务环境变量进行扩展。
+    如果无法解析变量，则输入字符串中的引用将保持不变。
+    `$$` 会被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：即 `"$$(VAR_NAME)"` 将产生字符串字面值 `"$(VAR_NAME)"`。
+    无论变量是否存在，转义引用都不会被扩展。默认为 ""。
+
+  <!--
+  - **env.valueFrom** (EnvVarSource)
+
+    Source for the environment variable's value. Cannot be used if value is not empty.
+  -->
+
+  - **env.valueFrom** (EnvVarSource)
+
+    环境变量值的来源。如果 value 值不为空，则不能使用。
+
+    <!--
+    *EnvVarSource represents a source for the value of an EnvVar.*
+    -->
+
+    **EnvVarSource 表示 envVar 值的来源。**
+
+    <!--
+    - **env.valueFrom.configMapKeyRef** (ConfigMapKeySelector)
+
+      Selects a key of a ConfigMap.
+    -->
+
+    - **env.valueFrom.configMapKeyRef** (ConfigMapKeySelector)
+
+      选择某个 ConfigMap 的一个主键。
+
+      <!--
+      - **env.valueFrom.configMapKeyRef.key** (string), required
+
+        The key to select.
+
+      - **env.valueFrom.configMapKeyRef.name** (string)
+
+        Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.configMapKeyRef.optional** (boolean)
+
+        Specify whether the ConfigMap or its key must be defined
+      -->
+
+      - **env.valueFrom.configMapKeyRef.key** (string)，必需
+
+        要选择的主键。
+
+      - **env.valueFrom.configMapKeyRef.name** (string)
+
+        被引用者的名称。更多信息： 
+        https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.configMapKeyRef.optional** (boolean)
+
+        指定 ConfigMap 或其主键是否必须已经定义。
+
+    <!--
+    - **env.valueFrom.fieldRef** (<a href="{{< ref "../common-definitions/object-field-selector#ObjectFieldSelector" >}}">ObjectFieldSelector</a>)
+
+      Selects a field of the pod: supports metadata.name, metadata.namespace, `metadata.labels['\<KEY>']`, `metadata.annotations['\<KEY>']`, spec.nodeName, spec.serviceAccountName, status.hostIP, status.podIP, status.podIPs.
+    -->
+
+    - **env.valueFrom.fieldRef** (<a href="{{< ref "../common-definitions/object-field-selector#ObjectFieldSelector" >}}">ObjectFieldSelector</a>)
+
+      选择 Pod 的一个字段：支持 `metadata.name`、`metadata.namespace`、`metadata.labels['<KEY>']`、
+      `metadata.annotations['<KEY>']`、`spec.nodeName`、`spec.serviceAccountName`、`status.hostIP`
+      `status.podIP`、`status.podIPs`。
+
+    <!--
+    - **env.valueFrom.resourceFieldRef** (<a href="{{< ref "../common-definitions/resource-field-selector#ResourceFieldSelector" >}}">ResourceFieldSelector</a>)
+
+      Selects a resource of the container: only resources limits and requests (limits.cpu, limits.memory, limits.ephemeral-storage, requests.cpu, requests.memory and requests.ephemeral-storage) are currently supported.
+    -->
+
+    - **env.valueFrom.resourceFieldRef** (<a href="{{< ref "../common-definitions/resource-field-selector#ResourceFieldSelector" >}}">ResourceFieldSelector</a>)
+
+      选择容器的资源：目前仅支持资源限制和请求（`limits.cpu`、`limits.memory`、`limits.ephemeral-storage`、
+      `requests.cpu`、`requests.memory` 和 `requests.ephemeral-storage`）。
+
+    <!--
+    - **env.valueFrom.secretKeyRef** (SecretKeySelector)
+
+      Selects a key of a secret in the pod's namespace
+    -->
+
+    - **env.valueFrom.secretKeyRef** (SecretKeySelector)
+
+      在 Pod 的名字空间中选择 Secret 的主键。
+
+      <a name="SecretKeySelector"></a>
+      <!--
+      *SecretKeySelector selects a key of a Secret.*
+      -->
+
+      **SecretKeySelector 选择一个 Secret 的主键。**
+
+      <!--
+      - **env.valueFrom.secretKeyRef.key** (string), required
+
+        The key of the secret to select from.  Must be a valid secret key.
+
+      - **env.valueFrom.secretKeyRef.name** (string)
+
+        Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.secretKeyRef.optional** (boolean)
+
+        Specify whether the Secret or its key must be defined
+      -->
+
+      - **env.valueFrom.secretKeyRef.key** (string)，必需
+
+        要选择的 Secret 的主键。必须是有效的主键。
+
+      - **env.valueFrom.secretKeyRef.name** (string)
+
+        被引用 Secret 的名称。更多信息： 
+        https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.secretKeyRef.optional** (boolean)
+
+        指定 Secret 或其主键是否必须已经定义。
+
+<!--
+- **envFrom** ([]EnvFromSource)
+
+  List of sources to populate environment variables in the container. The keys defined within a source must be a C_IDENTIFIER. All invalid keys will be reported as an event when the container is starting. When a key exists in multiple sources, the value associated with the last source will take precedence. Values defined by an Env with a duplicate key will take precedence. Cannot be updated.
+
+-->
+- **envFrom** ([]EnvFromSource)
+
+  用来在容器中填充环境变量的数据源列表。在源中定义的键必须是 C_IDENTIFIER。
+  容器启动时，所有无效主键都将作为事件报告。
+  当一个键存在于多个源中时，与最后一个来源关联的值将优先。
+  由 env 定义的条目中，与此处键名重复者，以 env 中定义为准。无法更新。
+
+  <!--
+  *EnvFromSource represents the source of a set of ConfigMaps*
+  -->
+  <a name="EnvFromSource"></a>
+  **EnvFromSource 表示一组 ConfigMaps 的来源**
+
+  <!--
+  - **envFrom.configMapRef** (ConfigMapEnvSource)
+
+    The ConfigMap to select from
+
+    <a name="ConfigMapEnvSource"></a>
+    *ConfigMapEnvSource selects a ConfigMap to populate the environment variables with.
+    
+    The contents of the target ConfigMap's Data field will represent the key-value pairs as environment variables.*
+  -->
+
+  - **envFrom.configMapRef** (ConfigMapEnvSource)
+
+    要从中选择主键的 ConfigMap。
+
+    <a name="ConfigMapEnvSource"></a>
+    ConfigMapEnvSource 选择一个 ConfigMap 来填充环境变量。目标 ConfigMap 的
+    data 字段的内容将键值对表示为环境变量。
+
+    <!--
+    - **envFrom.configMapRef.name** (string)
+
+      Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.configMapRef.optional** (boolean)
+
+      Specify whether the ConfigMap must be defined
+    -->
+
+    - **envFrom.configMapRef.name** (string)
+
+      被引用的 ConfigMap 的名称。更多信息：
+      https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.configMapRef.optional** (boolean)
+
+      指定 ConfigMap 是否必须已经定义。
+
+  <!--
+  - **envFrom.prefix** (string)
+
+    An optional identifier to prepend to each key in the ConfigMap. Must be a C_IDENTIFIER.
+
+  - **envFrom.secretRef** (SecretEnvSource)
+
+    The Secret to select from
+
+    <a name="SecretEnvSource"></a>
+    *SecretEnvSource selects a Secret to populate the environment variables with.
+    
+    The contents of the target Secret's Data field will represent the key-value pairs as environment variables.*
+  -->
+
+  - **envFrom.prefix** (string)
+
+    附加到 ConfigMap 中每个键名之前的可选标识符。必须是 C_IDENTIFIER。
+
+  - **envFrom.secretRef** (SecretEnvSource)
+
+    要从中选择主键的 Secret。
+
+    SecretEnvSource 选择一个 Secret 来填充环境变量。
+    目标 Secret 的 data 字段的内容将键值对表示为环境变量。
+
+    <!--
+    - **envFrom.secretRef.name** (string)
+
+      Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.secretRef.optional** (boolean)
+
+      Specify whether the Secret must be defined
+    -->
+
+    - **envFrom.secretRef.name** (string)
+
+      被引用 Secret 的名称。更多信息： 
+      https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.secretRef.optional** (boolean)
+
+      指定 Secret 是否必须已经定义。
+
+<!--
+### Volumes
+-->
+
+### 卷
+
+<!--
+- **volumeMounts** ([]VolumeMount)
+
+  *Patch strategy: merge on key `mountPath`*
+  
+  Pod volumes to mount into the container's filesystem. Cannot be updated.
+
+  <a name="VolumeMount"></a>
+  *VolumeMount describes a mounting of a Volume within a container.*
+-->
+
+- **volumeMounts** ([]VolumeMount)
+
+  **补丁策略：基于 `mountPath` 键合并**
+  
+  要挂载到容器文件系统中的 Pod 卷。无法更新。
+
+  VolumeMount 描述在容器中安装卷。
+
+  <!--
+  - **volumeMounts.mountPath** (string), required
+
+    Path within the container at which the volume should be mounted.  Must not contain ':'.
+
+  - **volumeMounts.name** (string), required
+
+    This must match the Name of a Volume.
+
+  - **volumeMounts.mountPropagation** (string)
+
+    mountPropagation determines how mounts are propagated from the host to container and the other way around. When not set, MountPropagationNone is used. This field is beta in 1.10.
+  -->
+
+  - **volumeMounts.mountPath** (string)，必需
+
+    容器内卷的挂载路径。不得包含 ':'。
+
+  - **volumeMounts.name** (string)，必需
+
+    此字段必须与卷的名称匹配。
+
+  - **volumeMounts.mountPropagation** (string)
+
+    mountPropagation 确定挂载如何从主机传播到容器，及如何反向传播。
+    如果未设置，则使用 `MountPropagationNone`。该字段在 1.10 中是 Beta 版。
+
+  <!--
+  - **volumeMounts.readOnly** (boolean)
+
+    Mounted read-only if true, read-write otherwise (false or unspecified). Defaults to false.
+
+  - **volumeMounts.subPath** (string)
+
+    Path within the volume from which the container's volume should be mounted. Defaults to "" (volume's root).
+
+  - **volumeMounts.subPathExpr** (string)
+
+    Expanded path within the volume from which the container's volume should be mounted. Behaves similarly to SubPath but environment variable references $(VAR_NAME) are expanded using the container's environment. Defaults to "" (volume's root). SubPathExpr and SubPath are mutually exclusive.
+  -->
+
+  - **volumeMounts.readOnly** (boolean)
+
+    如果为 true，则以只读方式挂载，否则（false 或未设置）以读写方式挂载。默认为 false。
+
+  - **volumeMounts.subPath** (boolean)
+
+    卷中的路径，容器中的卷应该这一路径安装。默认为 ""（卷的根）。
+
+  - **volumeMounts.subPathExpr** (string)
+
+    应安装容器卷的卷内的扩展路径。行为类似于 subPath，但环境变量引用 `$(VAR_NAME)`
+    使用容器的环境进行扩展。默认为 ""（卷的根）。`subPathExpr` 和 `subPath` 是互斥的。
+
+<!--
+- **volumeDevices** ([]VolumeDevice)
+
+  *Patch strategy: merge on key `devicePath`*
+  
+  volumeDevices is the list of block devices to be used by the container.
+
+  <a name="VolumeDevice"></a>
+  *volumeDevice describes a mapping of a raw block device within a container.*
+-->
+
+- **volumeDevices** ([]VolumeDevice)
+
+  **补丁策略：基于 `devicePath` 键合并**
+  
+  volumeDevices 是容器要使用的块设备列表。
+
+  <a name="VolumeDevice"></a>
+  volumeDevice 描述了容器内原始块设备的映射。
+
+  <!--
+  - **volumeDevices.devicePath** (string), required
+
+    devicePath is the path inside of the container that the device will be mapped to.
+
+  - **volumeDevices.name** (string), required
+
+    name must match the name of a persistentVolumeClaim in the pod
+  -->
+
+  - **volumeDevices.devicePath** (string)，必需
+
+    devicePath 是设备将被映射到的容器内的路径。
+
+  - **volumeDevices.name** (string)，必需
+
+    name 必须与 Pod 中的 persistentVolumeClaim 的名称匹配
+
+<!--
+### Resources
+-->
+
+### 资源
+
+<!--
+- **resources** (ResourceRequirements)
+
+  Compute Resources required by this container. Cannot be updated. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+
+  <a name="ResourceRequirements"></a>
+  *ResourceRequirements describes the compute resource requirements.*
+-->
+
+- **resources**（ResourceRequirements）
+
+  此容器所需的计算资源。无法更新。更多信息： 
+  https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+  ResourceRequirements 描述计算资源需求。
+
+  <!--
+  - **resources.limits** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    Limits describes the maximum amount of compute resources allowed. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+
+  - **resources.requests** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    Requests describes the minimum amount of compute resources required. If Requests is omitted for a container, it defaults to Limits if that is explicitly specified, otherwise to an implementation-defined value. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+  -->
+
+  - **resources.limits** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    limits 描述所允许的最大计算资源用量。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+  - **resources.requests** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    requests 描述所需的最小计算资源量。如果容器省略了 requests，但明确设定了 limits，
+    则 requests 默认值为 limits 值，否则为实现定义的值。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+<!--
+### Lifecycle
+-->
+### 生命周期
+
+<!--
+- **lifecycle**  (Lifecycle)
+
+  Actions that the management system should take in response to container lifecycle events. Cannot be updated.
+
+  <a name="Lifecycle"></a>
+  *Lifecycle describes actions that the management system should take in response to container lifecycle events. For the PostStart and PreStop lifecycle handlers, management of the container blocks until the action is complete, unless the container process fails, in which case the handler is aborted.*
+-->
+
+- **lifecycle** (Lifecycle)
+
+  管理系统应对容器生命周期事件采取的行动。无法更新。
+
+  Lifecycle 描述管理系统为响应容器生命周期事件应采取的行动。
+  对于 postStart 和 preStop 生命周期处理程序，容器的管理会阻塞，直到操作完成，
+  除非容器进程失败，在这种情况下处理程序被中止。
+
+  <!--
+  - **lifecycle.postStart** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    PostStart is called immediately after a container is created. If the handler fails, the container is terminated and restarted according to its restart policy. Other management of the container blocks until the hook completes. More info: https://kubernetes.io/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+  -->
+
+  - **lifecycle.postStart** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    创建容器后立即调用 postStart。如果处理程序失败，则容器将根据其重新启动策略终止并重新启动。
+    容器的其他管理阻塞直到钩子完成。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+
+  <!--
+  - **lifecycle.preStop** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    PreStop is called immediately before a container is terminated due to an API request or management event such as liveness/startup probe failure, preemption, resource contention, etc. The handler is not called if the container crashes or exits. The Pod's termination grace period countdown begins before the PreStop hook is executed. Regardless of the outcome of the handler, the container will eventually terminate within the Pod's termination grace period (unless delayed by finalizers). Other management of the container blocks until the hook completes or until the termination grace period is reached. More info: https://kubernetes.io/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+  -->
+
+  - **lifecycle.preStop** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    preStop 在容器因 API 请求或管理事件（如存活态探针/启动探针失败、抢占、资源争用等）而终止之前立即调用。
+    如果容器崩溃或退出，则不会调用处理程序。Pod 的终止宽限期倒计时在 preStop 钩子执行之前开始。
+    无论处理程序的结果如何，容器最终都会在 Pod 的终止宽限期内终止（除非被终结器延迟）。
+    容器的其他管理会阻塞，直到钩子完成或达到终止宽限期。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+
+<!--
+- **terminationMessagePath** (string)
+
+  Optional: Path at which the file to which the container's termination message will be written is mounted into the container's filesystem. Message written is intended to be brief final status, such as an assertion failure message. Will be truncated by the node if greater than 4096 bytes. The total message length across all containers will be limited to 12kb. Defaults to /dev/termination-log. Cannot be updated.
+-->
+
+- **terminationMessagePath** (string)
+
+  可选字段。挂载到容器文件系统的一个路径，容器终止消息写入到该路径下的文件中。
+  写入的消息旨在成为简短的最终状态，例如断言失败消息。如果大于 4096 字节，将被节点截断。
+  所有容器的总消息长度将限制为 12 KB。默认为 `/dev/termination-log`。无法更新。
+
+<!--
+- **terminationMessagePolicy** (string)
+
+  Indicate how the termination message should be populated. File will use the contents of terminationMessagePath to populate the container status message on both success and failure. FallbackToLogsOnError will use the last chunk of container log output if the termination message file is empty and the container exited with an error. The log output is limited to 2048 bytes or 80 lines, whichever is smaller. Defaults to File. Cannot be updated.
+-->
+- **terminationMessagePolicy** (string)
+
+  指示应如何填充终止消息。字段值 `File` 将使用 terminateMessagePath 的内容来填充成功和失败的容器状态消息。
+  如果终止消息文件为空并且容器因错误退出，`FallbackToLogsOnError` 将使用容器日志输出的最后一块。
+  日志输出限制为 2048 字节或 80 行，以较小者为准。默认为 `File`。无法更新。
+
+<!--
+- **livenessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  Periodic probe of container liveness. Container will be restarted if the probe fails. Cannot be updated. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+-->
+- **livenessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  定期探针容器活跃度。如果探针失败，容器将重新启动。无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+
+<!--
+- **readinessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  Periodic probe of container service readiness. Container will be removed from service endpoints if the probe fails. Cannot be updated. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+-->
+- **readinessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  定期探测容器服务就绪情况。如果探针失败，容器将被从服务端点中删除。无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+
+<!--
+- **startupProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  StartupProbe indicates that the Pod has successfully initialized. If specified, no other probes are executed until this completes successfully. If this probe fails, the Pod will be restarted, just as if the livenessProbe failed. This can be used to provide different probe parameters at the beginning of a Pod's lifecycle, when it might take a long time to load data or warm a cache, than during steady-state operation. This cannot be updated. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+-->
+- **startupProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  startupProbe 表示 Pod 已成功初始化。如果设置了此字段，则此探针成功完成之前不会执行其他探针。
+  如果这个探针失败，Pod 会重新启动，就像存活态探针失败一样。
+  这可用于在 Pod 生命周期开始时提供不同的探针参数，此时加载数据或预热缓存可能需要比稳态操作期间更长的时间。
+  这无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+
+<!--
+### Security Context
+-->
+### 安全上下文
+
+<!--
+- **securityContext** (SecurityContext)
+
+  SecurityContext defines the security options the container should be run with. If set, the fields of SecurityContext override the equivalent fields of PodSecurityContext. More info: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
+
+  <a name="SecurityContext"></a>
+  *SecurityContext holds security configuration that will be applied to a container. Some fields are present in both SecurityContext and PodSecurityContext.  When both are set, the values in SecurityContext take precedence.*
+-->
+- **securityContext** (SecurityContext)
+
+  SecurityContext 定义了容器应该运行的安全选项。如果设置，SecurityContext 的字段将覆盖
+  PodSecurityContext 的等效字段。更多信息：
+  https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/
+
+  SecurityContext 保存将应用于容器的安全配置。某些字段在 SecurityContext 和 PodSecurityContext 中都存在。
+  当两者都设置时，SecurityContext 中的值优先。
+
+  <!--
+  - **securityContext.runAsUser** (int64)
+
+    The UID to run the entrypoint of the container process. Defaults to user specified in image metadata if unspecified. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsUser** (int64)
+
+    运行容器进程入口点的 UID。如果未指定，则默认为镜像元数据中指定的用户。
+    也可以在 PodSecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+  <!--
+  - **securityContext.runAsNonRoot** (boolean)
+
+    Indicates that the container must run as a non-root user. If true, the Kubelet will validate the image at runtime to ensure that it does not run as UID 0 (root) and fail to start the container if it does. If unset or false, no such validation will be performed. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+  -->
+
+  - **securityContext.runAsNonRoot** (boolean)
+
+    指示容器必须以非 root 用户身份运行。
+    如果为 true，kubelet 将在运行时验证镜像，以确保它不会以 UID 0（root）身份运行，如果是，则无法启动容器。
+    如果未设置或为 false，则不会执行此类验证。也可以在 PodSecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+
+  <!--
+  - **securityContext.runAsGroup** (int64)
+
+    The GID to run the entrypoint of the container process. Uses runtime default if unset. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsGroup** (int64)
+
+    运行容器进程入口点的 GID。如果未设置，则使用运行时默认值。也可以在 PodSecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+  <!--
+  - **securityContext.readOnlyRootFilesystem** (boolean)
+
+    Whether this container has a read-only root filesystem. Default is false. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.readOnlyRootFilesystem** (boolean)
+
+    此容器是否具有只读根文件系统。默认为 false。注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+  <!--
+  - **securityContext.procMount** (string)
+
+    procMount denotes the type of proc mount to use for the containers. The default is DefaultProcMount which uses the container runtime defaults for readonly paths and masked paths. This requires the ProcMountType feature flag to be enabled. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.procMount** (string)
+
+    procMount 表示用于容器的 proc 挂载类型。默认值为 `DefaultProcMount`，
+    它针对只读路径和掩码路径使用容器运行时的默认值。此字段需要启用 ProcMountType 特性门控。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.privileged** (boolean)
+
+    Run container in privileged mode. Processes in privileged containers are essentially equivalent to root on the host. Defaults to false. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.privileged** (boolean)
+
+    以特权模式运行容器。特权容器中的进程本质上等同于主机上的 root。默认为 false。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+  <!--
+  - **securityContext.allowPrivilegeEscalation** (boolean)
+
+    AllowPrivilegeEscalation controls whether a process can gain more privileges than its parent process. This bool directly controls if the no_new_privs flag will be set on the container process. AllowPrivilegeEscalation is true always when the container is: 1) run as Privileged 2) has CAP_SYS_ADMIN Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.allowPrivilegeEscalation** (boolean)
+
+    allowPrivilegeEscalation 控制进程是否可以获得比其父进程更多的权限。此布尔值直接控制是否在容器进程上设置
+    `no_new_privs` 标志。allowPrivilegeEscalation 在容器处于以下状态时始终为 true：
+
+    1. 以特权身份运行
+    2. 具有 `CAP_SYS_ADMIN`
+
+    请注意，当 `spec.os.name` 为 "windows" 时，无法设置此字段。
+
+  <!--
+  - **securityContext.capabilities** (Capabilities)
+
+    The capabilities to add/drop when running containers. Defaults to the default set of capabilities granted by the container runtime. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="Capabilities"></a>
+
+    *Adds and removes POSIX capabilities from running containers.*
+
+    - **securityContext.capabilities.add** ([]string)
+
+      Added capabilities
+
+    - **securityContext.capabilities.drop** ([]string)
+
+      Removed capabilities
+  -->
+
+  - **securityContext.capabilities** (Capabilities)
+
+    运行容器时添加或放弃的权能（Capabilities）。默认为容器运行时所授予的权能集合。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    **在运行中的容器中添加和放弃 POSIX 权能。**
+
+    - **securityContext.capabilities.add** ([]string)
+
+      新增权能。
+
+    - **securityContext.capabilities.drop** ([]string)
+
+      放弃权能。
+
+  <!--
+  - **securityContext.seccompProfile** (SeccompProfile)
+
+    The seccomp options to use by this container. If seccomp options are provided at both the pod & container level, the container options override the pod options. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="SeccompProfile"></a>
+    *SeccompProfile defines a pod/container's seccomp profile settings. Only one profile source may be set.*
+  -->
+
+  - **securityContext.seccompProfile** (SeccompProfile)
+
+    此容器使用的 seccomp 选项。如果在 Pod 和容器级别都提供了 seccomp 选项，则容器级别的选项会覆盖 Pod 级别的选项设置。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    **SeccompProfile 定义 Pod 或容器的 seccomp 配置文件设置。只能设置一个配置文件源。**
+
+    <!--
+    - **securityContext.seccompProfile.type** (string), required
+
+      type indicates which kind of seccomp profile will be applied. Valid options are:
+      
+      Localhost - a profile defined in a file on the node should be used. RuntimeDefault - the container runtime default profile should be used. Unconfined - no profile should be applied.
+    --> 
+
+    - **securityContext.seccompProfile.type** (string)，必需
+
+      type 指示应用哪种 seccomp 配置文件。有效的选项有：
+      
+      - `Localhost` - 应使用在节点上的文件中定义的配置文件。
+      - `RuntimeDefault` - 应使用容器运行时的默认配置文件。
+      - `Unconfined` - 不应用任何配置文件。
+     
+    <!--
+    - **securityContext.seccompProfile.localhostProfile** (string)
+
+      localhostProfile indicates a profile defined in a file on the node should be used. The profile must be preconfigured on the node to work. Must be a descending path, relative to the kubelet's configured seccomp profile location. Must only be set if type is "Localhost".
+    -->
+
+    - **securityContext.seccompProfile.localhostProfile** (string)
+
+      localhostProfile 指示应使用的在节点上的文件，文件中定义了配置文件。
+      该配置文件必须在节点上先行配置才能使用。
+      必须是相对于 kubelet 所配置的 seccomp 配置文件位置下的下级路径。
+      仅当 type 为 "Localhost" 时才必须设置。
+
+  <!--
+  - **securityContext.seLinuxOptions** (SELinuxOptions)
+
+    The SELinux context to be applied to the container. If unspecified, the container runtime will allocate a random SELinux context for each container.  May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="SELinuxOptions"></a>
+    *SELinuxOptions are the labels to be applied to the container*
+  -->
+
+  - **securityContext.seLinuxOptions** (SELinuxOptions)
+
+    要应用到容器上的 SELinux 上下文。如果未设置此字段，容器运行时将为每个容器分配一个随机的 SELinux 上下文。
+    也可以在 PodSecurityContext 中设置。如果同时在 SecurityContext 和 PodSecurityContext 中设置，
+    则在 SecurityContext 中指定的值优先。注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    <a name="SELinuxOptions"></a>
+    **SELinuxOptions 是要应用到容器上的标签。**
+
+    <!--
+    - **securityContext.seLinuxOptions.level** (string)
+
+      Level is SELinux level label that applies to the container.
+
+    - **securityContext.seLinuxOptions.role** (string)
+
+      Role is a SELinux role label that applies to the container.
+
+    - **securityContext.seLinuxOptions.type** (string)
+
+      Type is a SELinux type label that applies to the container.
+
+    - **securityContext.seLinuxOptions.user** (string)
+
+      User is a SELinux user label that applies to the container.
+    -->
+
+    - **securityContext.seLinuxOptions.level** （string）
+
+      level 是应用于容器的 SELinux 级别标签。 
+
+    - **securityContext.seLinuxOptions.role** （string）
+
+      role 是应用于容器的 SELinux 角色标签。 
+
+    - **securityContext.seLinuxOptions.type** （string）
+
+      type 是适用于容器的 SELinux 类型标签。 
+
+    - **securityContext.seLinuxOptions.user** （string）
+
+      user 是应用于容器的 SELinux 用户标签。 
+
+  <!--
+  - **securityContext.windowsOptions** （WindowsSecurityContextOptions）
+
+    The Windows specific settings applied to all containers. If unspecified, the options from the PodSecurityContext will be used. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is linux.
+
+    <a name="WindowsSecurityContextOptions"></a>
+    *WindowsSecurityContextOptions contain Windows-specific options and credentials.*
+  -->
+
+  - **securityContext.windowsOptions** （WindowsSecurityContextOptions）
+
+    要应用于所有容器上的特定于 Windows 的设置。如果未指定，将使用 PodSecurityContext 中的选项。 
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。 
+    注意，`spec.os.name` 为 "linux" 时不能设置此字段。 
+
+    <a name="WindowsSecurityContextOptions"></a>
+    **WindowsSecurityContextOptions 包含特定于 Windows 的选项和凭据。**
+
+    <!--
+    - **securityContext.windowsOptions.gmsaCredentialSpec** （string）
+
+      GMSACredentialSpec is where the GMSA admission webhook (https://github.com/kubernetes-sigs/windows-gmsa) inlines the contents of the GMSA credential spec named by the GMSACredentialSpecName field.
+
+    - **securityContext.windowsOptions.gmsaCredentialSpecName** （string）
+
+      GMSACredentialSpecName is the name of the GMSA credential spec to use.
+    -->
+
+    - **securityContext.windowsOptions.gmsaCredentialSpec** （string）
+
+      gmsaCredentialSpec 是 [GMSA 准入 Webhook](https://github.com/kubernetes-sigs/windows-gmsa)
+      内嵌由 gmsaCredentialSpecName 字段所指定的 GMSA 凭证规约的内容的地方。 
+
+    <!--
+    - **securityContext.windowsOptions.hostProcess** （boolean）
+
+      HostProcess determines if a container should be run as a 'Host Process' container. This field is alpha-level and will only be honored by components that enable the WindowsHostProcessContainers feature flag. Setting this field without the feature flag will result in errors when validating the Pod. All of a Pod's containers must have the same effective HostProcess value (it is not allowed to have a mix of HostProcess containers and non-HostProcess containers).  In addition, if HostProcess is true then HostNetwork must also be set to true.
+    -->
+
+    - **securityContext.windowsOptions.hostProcess** （boolean）
+
+      hostProcess 确定容器是否应作为 "主机进程" 容器运行。
+      此字段是 Alpha 级别的，只有启用 WindowsHostProcessContainers 特性门控的组件才会处理。 
+      设置此字段而不启用特性门控是，在验证 Pod 时将发生错误。 
+      一个 Pod 的所有容器必须具有相同的有效 hostProcess 值（不允许混合设置了 hostProcess 容器和未设置 hostProcess 的容器）。 
+      此外，如果 hostProcess 为 true，则 hostNetwork 也必须设置为 true。 
+
+    <!--
+    - **securityContext.windowsOptions.runAsUserName** （string）
+
+      The UserName in Windows to run the entrypoint of the container process. Defaults to the user specified in image metadata if unspecified. May also be set in PodSecurityContext. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+    -->
+
+    - **securityContext.windowsOptions.runAsUserName** （string）
+
+      Windows 中运行容器进程入口点的用户名。如果未指定，则默认为镜像元数据中指定的用户。 
+      也可以在 PodSecurityContext 中设置。 
+      如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext 中指定的值优先。 
+
+<!--
+### Debugging
+-->
+### 调试
+
+<!--
+- **stdin** (boolean)
+
+  Whether this container should allocate a buffer for stdin in the container runtime. If this is not set, reads from stdin in the container will always result in EOF. Default is false.
+-->
+- **stdin** （boolean）
+
+  此容器是否应在容器运行时为 stdin 分配缓冲区。如果未设置，从容器中的 stdin 读取将始终导致 EOF。 
+  默认为 false。 
+
+<!--
+- **stdinOnce** (boolean)
+
+  Whether the container runtime should close the stdin channel after it has been opened by a single attach. When stdin is true the stdin stream will remain open across multiple attach sessions. If stdinOnce is set to true, stdin is opened on container start, is empty until the first client attaches to stdin, and then remains open and accepts data until the client disconnects, at which time stdin is closed and remains closed until the container is restarted. If this flag is false, a container processes that reads from stdin will never receive an EOF. Default is false
+-->
+- **stdinOnce** （boolean）
+
+  容器运行时是否应在某个 attach 打开 stdin 通道后关闭它。当 stdin 为 true 时，stdin 流将在多个 attach 会话中保持打开状态。 
+  如果 stdinOnce 设置为 true，则 stdin 在容器启动时打开，在第一个客户端连接到 stdin 之前为空，
+  然后保持打开并接受数据，直到客户端断开连接，此时 stdin 关闭并保持关闭直到容器重新启动。 
+  如果此标志为 false，则从 stdin 读取的容器进程将永远不会收到 EOF。 默认为 false。 
+
+## EphemeralContainer {#EphemeralContainer}
+
+<!--
+An EphemeralContainer is a temporary container that you may add to an existing Pod for user-initiated activities such as debugging. Ephemeral containers have no resource or scheduling guarantees, and they will not be restarted when they exit or when a Pod is removed or restarted. The kubelet may evict a Pod if an ephemeral container causes the Pod to exceed its resource allocation.
+
+To add an ephemeral container, use the ephemeralcontainers subresource of an existing Pod. Ephemeral containers may not be removed or restarted.
+
+This is a beta feature available on clusters that haven't disabled the EphemeralContainers feature gate.
+-->
+EphemeralContainer 是一个临时容器，你可以将其添加到现有 Pod 以用于用户发起的活动，例如调试。 
+临时容器没有资源或调度保证，它们在退出或 Pod 被移除或重新启动时不会重新启动。 
+如果临时容器导致 Pod 超出其资源分配，kubelet 可能会驱逐 Pod。 
+
+要添加临时容器，请使用现有 Pod 的 `ephemeralcontainers` 子资源。临时容器不能被删除或重新启动。 
+
+这是未禁用 EphemeralContainers 特性门控的集群上可用的 Beta 功能。 
+
+<hr>
+
+<!--
+- **name** (string), required
+
+  Name of the ephemeral container specified as a DNS_LABEL. This name must be unique among all containers, init containers and ephemeral containers.
+-->
+- **name** (string)，必需
+
+  以 DNS_LABEL 形式设置的临时容器的名称。此名称在所有容器、Init 容器和临时容器中必须是唯一的。 
+
+<!--
+- **targetContainerName** (string)
+
+  If set, the name of the container from PodSpec that this ephemeral container targets. The ephemeral container will be run in the namespaces (IPC, PID, etc) of this container. If not set then the ephemeral container uses the namespaces configured in the Pod spec.
+  
+  The container runtime must implement support for this feature. If the runtime does not support namespace targeting then the result of setting this field is undefined.
+-->
+- **targetContainerName** (string)
+
+  如果设置，则为 Pod 规约中此临时容器所针对的容器的名称。临时容器将在该容器的名字空间（IPC、PID 等）中运行。 
+  如果未设置，则临时容器使用 Pod 规约中配置的名字空间。 
+  
+  容器运行时必须实现对此功能的支持。如果运行时不支持名字空间定位，则设置此字段的结果是未定义的。 
+
+<!--
+### Image
+-->
+### 镜像
+
+<!--
+- **image** (string)
+
+  Container image name. More info: https://kubernetes.io/docs/concepts/containers/images
+-->
+- **image** (string)
+
+  容器镜像名称。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/containers/images
+
+<!--
+- **imagePullPolicy** (string)
+
+  Image pull policy. One of Always, Never, IfNotPresent. Defaults to Always if :latest tag is specified, or IfNotPresent otherwise. Cannot be updated. More info: https://kubernetes.io/docs/concepts/containers/images#updating-images
+-->
+- **imagePullPolicy** (string)
+
+  镜像拉取策略。取值为 `Always`、`Never`、`IfNotPresent` 之一。
+  如果指定了 `:latest` 标签，则默认为 `Always`，否则默认为 `IfNotPresent`。 
+  无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/containers/images#updating-images
+
+<!--
+### Entrypoint
+-->
+### 入口点
+
+<!--
+- **command** ([]string)
+
+  Entrypoint array. Not executed within a shell. The image's ENTRYPOINT is used if this is not provided. Variable references $(VAR_NAME) are expanded using the container's environment. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Cannot be updated. More info: https://kubernetes.io/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+-->
+- **command** ([]string)
+
+  入口点数组。不在 Shell 中执行。如果未提供，则使用镜像的 `ENTRYPOINT`。 
+  变量引用 `$(VAR_NAME)` 使用容器的环境进行扩展。如果无法解析变量，则输入字符串中的引用将保持不变。 
+  `$$` 被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：即 `"$$(VAR_NAME)"` 将产生字符串字面值 `"$(VAR_NAME)"`。
+  无论变量是否存在，转义引用都不会被扩展。无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+
+<!--
+- **args** ([]string)
+
+  Arguments to the entrypoint. The image's CMD is used if this is not provided. Variable references $(VAR_NAME) are expanded using the container's environment. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Cannot be updated. More info: https://kubernetes.io/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+-->
+- **args** （[]string）
+
+  entrypoint 的参数。如果未提供，则使用镜像的 `CMD`。
+  变量引用 `$(VAR_NAME)` 使用容器的环境进行扩展。如果无法解析变量，则输入字符串中的引用将保持不变。 
+  `$$` 被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：即 `"$$(VAR_NAME)"` 将产生字符串字面值 `"$(VAR_NAME)"`。
+  无论变量是否存在，转义引用都不会被扩展。无法更新。更多信息：
+  https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
+
+<!--
+- **workingDir** (string)
+
+  Container's working directory. If not specified, the container runtime's default will be used, which might be configured in the container image. Cannot be updated.
+-->
+- **workingDir** (string)
+
+  容器的工作目录。如果未指定，将使用容器运行时的默认值，默认值可能在容器镜像中配置。无法更新。 
+
+<!--
+### Environment variables
+-->
+### 环境变量
+
+<!--
+- **env** ([]EnvVar)
+
+  *Patch strategy: merge on key `name`*
+  
+  List of environment variables to set in the container. Cannot be updated.
+
+  <a name="EnvVar"></a>
+  *EnvVar represents an environment variable present in a Container.*
+-->
+- **env**（[]EnvVar）
+
+  **补丁策略：基于 `name` 键合并**
+  
+  要在容器中设置的环境变量列表。无法更新。 
+
+  <a name="EnvVar"></a>
+  **EnvVar 表示容器中存在的环境变量。**
+
+  <!--
+  - **env.name** (string), required
+
+    Name of the environment variable. Must be a C_IDENTIFIER.
+
+  - **env.value** (string)
+
+    Variable references $(VAR_NAME) are expanded using the previously defined environment variables in the container and any service environment variables. If a variable cannot be resolved, the reference in the input string will be unchanged. Double $$ are reduced to a single $, which allows for escaping the $(VAR_NAME) syntax: i.e. "$$(VAR_NAME)" will produce the string literal "$(VAR_NAME)". Escaped references will never be expanded, regardless of whether the variable exists or not. Defaults to "".
+  -->
+
+  - **env.name** (string)，必需
+
+    环境变量的名称。必须是 C_IDENTIFIER。 
+
+  - **env.value** (string)
+
+    变量引用 `$(VAR_NAME)` 使用容器中先前定义的环境变量和任何服务环境变量进行扩展。 
+    如果无法解析变量，则输入字符串中的引用将保持不变。 
+    `$$` 被简化为 `$`，这允许转义 `$(VAR_NAME)` 语法：即 `"$$(VAR_NAME)"` 将产生字符串字面值 `"$(VAR_NAME)"`。
+    无论变量是否存在，转义引用都不会被扩展。默认为 ""。 
+
+  <!--
+  - **env.valueFrom** (EnvVarSource)
+
+    Source for the environment variable's value. Cannot be used if value is not empty.
+
+    <a name="EnvVarSource"></a>
+    *EnvVarSource represents a source for the value of an EnvVar.*
+  -->
+
+  - **env.valueFrom** （EnvVarSource）
+
+    环境变量值的来源。如果取值不为空，则不能使用。
+
+    **EnvVarSource 表示 envVar 值的源。**
+
+    <!--
+    - **env.valueFrom.configMapKeyRef** (ConfigMapKeySelector)
+
+      Selects a key of a ConfigMap.
+
+      <a name="ConfigMapKeySelector"></a>
+      *Selects a key from a ConfigMap.*
+    -->
+
+    - **env.valueFrom.configMapKeyRef** （ConfigMapKeySelector）
+
+      选择 ConfigMap 的主键。
+
+      <a name="ConfigMapKeySelector"></a>
+      **选择 ConfigMap 的主键。**
+
+      <!--
+      - **env.valueFrom.configMapKeyRef.key** (string), required
+
+        The key to select.
+
+      - **env.valueFrom.configMapKeyRef.name** (string)
+
+        Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+      -->
+
+      - **env.valueFrom.configMapKeyRef.key** (string)，必需
+
+        选择的主键。
+
+      - **env.valueFrom.configMapKeyRef.name**（string）
+
+        所引用 ConfigMap 的名称。更多信息：
+        https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+      <!--
+      - **env.valueFrom.configMapKeyRef.optional** (boolean)
+
+        Specify whether the ConfigMap or its key must be defined
+      -->
+
+      - **env.valueFrom.configMapKeyRef.optional** （boolean）
+
+        指定是否 ConfigMap 或其键必须已经被定义。
+
+    <!--
+    - **env.valueFrom.fieldRef** (<a href="{{< ref "../common-definitions/object-field-selector#ObjectFieldSelector" >}}">ObjectFieldSelector</a>)
+
+      Selects a field of the pod: supports metadata.name, metadata.namespace, `metadata.labels['\<KEY>']`, `metadata.annotations['\<KEY>']`, spec.nodeName, spec.serviceAccountName, status.hostIP, status.podIP, status.podIPs.
+    -->
+
+    - **env.valueFrom.fieldRef** （<a href="{{< ref "../common-definitions/object-field-selector#ObjectFieldSelector" >}}">ObjectFieldSelector</a>）
+
+      选择 Pod 的一个字段：支持 `metadata.name`、`metadata.namespace`、`metadata.labels['<KEY>']`、
+      `metadata.annotations['<KEY>']`、`spec.nodeName`、`spec.serviceAccountName`、`status.hostIP`、
+      `status.podIP`、`status.podIPs`。
+
+    <!--
+    - **env.valueFrom.resourceFieldRef** (<a href="{{< ref "../common-definitions/resource-field-selector#ResourceFieldSelector" >}}">ResourceFieldSelector</a>)
+
+      Selects a resource of the container: only resources limits and requests (limits.cpu, limits.memory, limits.ephemeral-storage, requests.cpu, requests.memory and requests.ephemeral-storage) are currently supported.
+    -->
+
+    - **env.valueFrom.resourceFieldRef** （<a href="{{< ref "../common-definitions/resource-field-selector#ResourceFieldSelector" >}}">ResourceFieldSelector</a>）
+
+      选择容器的资源：当前仅支持资源限制和请求（`limits.cpu`、`limits.memory`、`limits.ephemeral-storage`、
+      `requests.cpu`、`requests.memory` 和 `requests.ephemeral-storage`）。
+
+    <!--
+    - **env.valueFrom.secretKeyRef** (SecretKeySelector)
+
+      Selects a key of a secret in the pod's namespace
+
+      <a name="SecretKeySelector"></a>
+      *SecretKeySelector selects a key of a Secret.*
+    -->
+
+    - **env.valueFrom.secretKeyRef** （SecretKeySelector）
+
+      在 Pod 的名字空间中选择某 Secret 的主键。
+
+      <a name="SecretKeySelector"></a>
+      **SecretKeySelector 选择某 Secret 的主键。**
+
+      <!--
+      - **env.valueFrom.secretKeyRef.key** (string), required
+
+        The key of the secret to select from.  Must be a valid secret key.
+
+      - **env.valueFrom.secretKeyRef.name** (string)
+
+        Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.secretKeyRef.optional** (boolean)
+
+        Specify whether the Secret or its key must be defined
+      -->
+
+      - **env.valueFrom.secretKeyRef.key** (string)，必需
+
+        要从 Secret 中选择的主键。必须是有效的主键。
+
+      - **env.valueFrom.secretKeyRef.name**（string）
+
+        被引用 Secret 名称。更多信息：
+        https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+      - **env.valueFrom.secretKeyRef.optional** （boolean）
+
+        指定 Secret 或其主键是否必须已经定义。
+
+<!--
+- **envFrom** （[]EnvFromSource）
+
+  List of sources to populate environment variables in the container. The keys defined within a source must be a C_IDENTIFIER. All invalid keys will be reported as an event when the container is starting. When a key exists in multiple sources, the value associated with the last source will take precedence. Values defined by an Env with a duplicate key will take precedence. Cannot be updated.
+
+  <a name="EnvFromSource"></a>
+  *EnvFromSource represents the source of a set of ConfigMaps*
+-->
+- **envFrom** （[]EnvFromSource）
+
+  在容器中填充环境变量的来源列表。在来源中定义的键名必须是 C_IDENTIFIER。
+  容器启动时，所有无效键都将作为事件报告。当一个键存在于多个来源中时，与最后一个来源关联的值将优先。 
+  如果有重复主键，env 中定义的值将优先。无法更新。 
+
+  <a name="EnvFromSource"></a>
+  **EnvFromSource 表示一组 ConfigMap 来源**
+
+  <!--
+  - **envFrom.configMapRef** (ConfigMapEnvSource)
+
+    The ConfigMap to select from
+
+    <a name="ConfigMapEnvSource"></a>
+    *ConfigMapEnvSource selects a ConfigMap to populate the environment variables with.
+    
+    The contents of the target ConfigMap's Data field will represent the key-value pairs as environment variables.*
+  -->
+
+  - **envFrom.configMapRef** （ConfigMapEnvSource）
+
+    要从中选择的 ConfigMap。
+
+    <a name="ConfigMapEnvSource"></a>
+    **ConfigMapEnvSource 选择一个 ConfigMap 来填充环境变量。目标 ConfigMap 的 data 字段的内容将键值对表示为环境变量。**
+
+    <!--
+    - **envFrom.configMapRef.name** (string)
+
+      Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.configMapRef.optional** (boolean)
+
+      Specify whether the ConfigMap must be defined
+    -->
+
+    - **envFrom.configMapRef.name**（string）
+
+      被引用的 ConfigMap 名称。更多信息：
+      https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.configMapRef.optional** （boolean）
+
+      指定所引用的 ConfigMap 是否必须已经定义。
+
+  <!--
+  - **envFrom.prefix** (string)
+
+    An optional identifier to prepend to each key in the ConfigMap. Must be a C_IDENTIFIER.
+  -->
+
+  - **envFrom.prefix** （string）
+
+    要在 ConfigMap 中的每个键前面附加的可选标识符。必须是C_IDENTIFIER。
+
+  <!--
+  - **envFrom.secretRef** (SecretEnvSource)
+
+    The Secret to select from
+
+    <a name="SecretEnvSource"></a>
+    *SecretEnvSource selects a Secret to populate the environment variables with.
+    
+    The contents of the target Secret's Data field will represent the key-value pairs as environment variables.*
+  -->
+
+  - **envFrom.secretRef** （SecretEnvSource）
+
+    可供选择的 Secret。
+
+    <a name="SecretEnvSource"></a>
+    **SecretEnvSource 选择一个 Secret 来填充环境变量。目标 Secret 的 data 字段的内容将键值对表示为环境变量。**
+
+    <!--
+    - **envFrom.secretRef.name** (string)
+
+      Name of the referent. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.secretRef.optional** (boolean)
+
+      Specify whether the Secret must be defined
+    -->
+
+    - **envFrom.secretRef.name**（string）
+
+      被引用 ConfigMap 的名称。更多信息：
+      https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/names/#names
+
+    - **envFrom.secretRef.optional** （boolean）
+
+      指定是否 Secret 必须已经被定义。
+
+<!--
+### Volumes
+-->
+### 卷
+
+<!--
+- **volumeMounts** ([]VolumeMount)
+
+  *Patch strategy: merge on key `mountPath`*
+  
+  Pod volumes to mount into the container's filesystem. Subpath mounts are not allowed for ephemeral containers. Cannot be updated.
+
+  <a name="VolumeMount"></a>
+  *VolumeMount describes a mounting of a Volume within a container.*
+-->
+
+- **volumeMounts** ([]VolumeMount)
+
+  **补丁策略：基于 `mountPath` 键合并**
+  
+  要挂载到容器文件系统中的 Pod 卷。临时容器不允许子路径挂载。无法更新。 
+
+  **VolumeMount 描述在容器中卷的挂载。**
+
+  <!--
+  - **volumeMounts.mountPath** (string), required
+
+    Path within the container at which the volume should be mounted.  Must not contain ':'.
+
+  - **volumeMounts.name** (string), required
+
+    This must match the Name of a Volume.
+  -->
+
+  - **volumeMounts.mountPath** (string)，必需
+
+    容器内应安装卷的路径。不得包含 ':'。 
+
+  - **volumeMounts.name** (string)，必需
+
+    此字段必须与卷的名称匹配。 
+
+  <!--
+  - **volumeMounts.mountPropagation** (string)
+
+    mountPropagation determines how mounts are propagated from the host to container and the other way around. When not set, MountPropagationNone is used. This field is beta in 1.10.
+
+  - **volumeMounts.readOnly** (boolean)
+
+    Mounted read-only if true, read-write otherwise (false or unspecified). Defaults to false.
+  -->
+
+  - **volumeMounts.mountPropagation** （string）
+
+    mountPropagation 确定装载如何从主机传播到容器，及反向传播选项。
+    如果未设置，则使用 `None`。此字段在 1.10 中为 Beta 字段。
+
+  - **volumeMounts.readOnly** （boolean）
+
+    如果为 true，则挂载卷为只读，否则为读写（false 或未指定）。默认值为 false。
+
+  <!--
+  - **volumeMounts.subPath** (string)
+
+    Path within the volume from which the container's volume should be mounted. Defaults to "" (volume's root).
+
+  - **volumeMounts.subPathExpr** (string)
+
+    Expanded path within the volume from which the container's volume should be mounted. Behaves similarly to SubPath but environment variable references $(VAR_NAME) are expanded using the container's environment. Defaults to "" (volume's root). SubPathExpr and SubPath are mutually exclusive.
+  -->
+
+  - **volumeMounts.subPath** （string）
+
+    卷中的路径名，应该从该路径挂在容器的卷。默认为 "" （卷的根）。 
+
+  - **volumeMounts.subPathExpr** （string）
+
+    应安装容器卷的卷内的扩展路径。行为类似于 `subPath`，但环境变量引用 `$(VAR_NAME)`
+    使用容器的环境进行扩展。默认为 ""（卷的根）。`subPathExpr` 和 `SubPath` 是互斥的。 
+
+<!--
+- **volumeDevices** ([]VolumeDevice)
+
+  *Patch strategy: merge on key `devicePath`*
+  
+  volumeDevices is the list of block devices to be used by the container.
+
+  <a name="VolumeDevice"></a>
+  *volumeDevice describes a mapping of a raw block device within a container.*
+-->
+- **volumeDevices** ([]VolumeDevice)
+
+  **补丁策略：基于 `devicePath` 键合并**
+  
+  volumeDevices 是容器要使用的块设备列表。 
+
+  <a name="VolumeDevice"></a>
+  **volumeDevice 描述容器内原始块设备的映射。**
+
+  <!--
+  - **volumeDevices.devicePath** (string), required
+
+    devicePath is the path inside of the container that the device will be mapped to.
+
+  - **volumeDevices.name** (string), required
+
+    name must match the name of a persistentVolumeClaim in the pod
+  -->
+
+  - **volumeDevices.devicePath** (string)，必需
+
+    devicePath 是设备将被映射到的容器内的路径。 
+
+  - **volumeDevices.name** (string)，必需
+
+    name 必须与 Pod 中的 persistentVolumeClaim 的名称匹配。
+
+<!--
+### 生命周期
+-->
+### 生命周期
+
+<!--
+- **terminationMessagePath** (string)
+
+  Optional: Path at which the file to which the container's termination message will be written is mounted into the container's filesystem. Message written is intended to be brief final status, such as an assertion failure message. Will be truncated by the node if greater than 4096 bytes. The total message length across all containers will be limited to 12kb. Defaults to /dev/termination-log. Cannot be updated.
+-->
+- **terminationMessagePath** (string)
+
+  可选字段。挂载到容器文件系统的路径，用于写入容器终止消息的文件。
+  写入的消息旨在成为简短的最终状态，例如断言失败消息。如果超出 4096 字节，将被节点截断。
+  所有容器的总消息长度将限制为 12 KB。 默认为 `/dev/termination-log`。无法更新。 
+
+<!--
+- **terminationMessagePolicy** (string)
+
+  Indicate how the termination message should be populated. File will use the contents of terminationMessagePath to populate the container status message on both success and failure. FallbackToLogsOnError will use the last chunk of container log output if the termination message file is empty and the container exited with an error. The log output is limited to 2048 bytes or 80 lines, whichever is smaller. Defaults to File. Cannot be updated.
+-->
+- **terminationMessagePolicy** (string)
+
+  指示应如何填充终止消息。字段值为 `File` 表示将使用 `terminateMessagePath`
+  的内容来填充成功和失败的容器状态消息。
+  如果终止消息文件为空并且容器因错误退出，字段值 `FallbackToLogsOnError`
+  表示将使用容器日志输出的最后一块。日志输出限制为 2048 字节或 80 行，以较小者为准。
+  默认为 `File`。无法更新。
+
+
+<!--
+### Debugging
+-->
+### 调试
+
+<!--
+- **stdin** (boolean)
+
+  Whether this container should allocate a buffer for stdin in the container runtime. If this is not set, reads from stdin in the container will always result in EOF. Default is false.
+-->
+- **stdin** （boolean）
+
+  是否应在容器运行时内为此容器 stdin 分配缓冲区。
+  如果未设置，从容器中的 stdin 读数据将始终导致 EOF。默认为 false。
+
+<!--
+- **stdinOnce** (boolean)
+
+  Whether the container runtime should close the stdin channel after it has been opened by a single attach. When stdin is true the stdin stream will remain open across multiple attach sessions. If stdinOnce is set to true, stdin is opened on container start, is empty until the first client attaches to stdin, and then remains open and accepts data until the client disconnects, at which time stdin is closed and remains closed until the container is restarted. If this flag is false, a container processes that reads from stdin will never receive an EOF. Default is false
+-->
+- **stdinOnce** （boolean）
+
+  容器运行时是否应在某个 attach 操作打开 stdin 通道后关闭它。
+  当 stdin 为 true 时，stdin 流将在多个 attach 会话中保持打开状态。
+  如果 stdinOnce 设置为 true，则 stdin 在容器启动时打开，在第一个客户端连接到 stdin 之前为空，
+  然后保持打开并接受数据，直到客户端断开连接，此时 stdin 关闭并保持关闭直到容器重新启动。
+  如果此标志为 false，则从 stdin 读取的容器进程将永远不会收到 EOF。默认为 false。
+
+<!--
+- **tty** (boolean)
+
+  Whether this container should allocate a TTY for itself, also requires 'stdin' to be true. Default is false.
+-->
+- **tty** (boolean)
+
+  这个容器是否应该为自己分配一个 TTY，也需要 stdin 为 true。默认为 false。
+
+<!--
+### 安全上下文
+-->
+### 安全上下文
+
+<!--
+- **securityContext** (SecurityContext)
+
+  Optional: SecurityContext defines the security options the ephemeral container should be run with. If set, the fields of SecurityContext override the equivalent fields of PodSecurityContext.
+
+  <a name="SecurityContext"></a>
+  *SecurityContext holds security configuration that will be applied to a container. Some fields are present in both SecurityContext and PodSecurityContext.  When both are set, the values in SecurityContext take precedence.*
+-->
+- **securityContext** (SecurityContext)
+
+  可选字段。securityContext 定义了运行临时容器的安全选项。
+  如果设置了此字段，SecurityContext 的字段将覆盖 PodSecurityContext 的等效字段。
+
+  SecurityContext 保存将应用于容器的安全配置。
+  一些字段在 SecurityContext 和 PodSecurityContext 中都存在。
+  当两者都设置时，SecurityContext 中的值优先。
+
+  <!--
+  - **securityContext.runAsUser** (int64)
+
+    The UID to run the entrypoint of the container process. Defaults to user specified in image metadata if unspecified. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsUser** （int64）
+
+    运行容器进程入口点的 UID。如果未指定，则默认为镜像元数据中指定的用户。
+    也可以在 PodSecurityContext 中设置。如果同时在 SecurityContext 和 PodSecurityContext
+    中设置，则在 SecurityContext 中指定的值优先。 
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。 
+
+  <!--
+  - **securityContext.runAsNonRoot** (boolean)
+
+    Indicates that the container must run as a non-root user. If true, the Kubelet will validate the image at runtime to ensure that it does not run as UID 0 (root) and fail to start the container if it does. If unset or false, no such validation will be performed. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+  -->
+
+  - **securityContext.runAsNonRoot** （boolean）
+
+    指示容器必须以非 root 用户身份运行。如果为 true，Kubelet 将在运行时验证镜像，
+    以确保它不会以 UID 0（root）身份运行，如果是，则无法启动容器。 
+    如果未设置或为 false，则不会执行此类验证。也可以在 PodSecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext
+    中指定的值优先。 
+
+  <!--
+  - **securityContext.runAsGroup** (int64)
+
+    The GID to run the entrypoint of the container process. Uses runtime default if unset. May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.runAsGroup** （int64）
+
+    运行容器进程入口点的 GID。如果未设置，则使用运行时默认值。也可以在 PodSecurityContext 中设置。 
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext
+    中指定的值优先。注意，`spec.os.name` 为 "windows" 时不能设置该字段。 
+
+  <!--
+  - **securityContext.readOnlyRootFilesystem** (boolean)
+
+    Whether this container has a read-only root filesystem. Default is false. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.readOnlyRootFilesystem** （boolean）
+
+    此容器是否具有只读根文件系统。
+    默认为 false。 注意，`spec.os.name` 为 "windows" 时不能设置该字段。 
+
+  <!--
+  - **securityContext.procMount** (string)
+
+    procMount denotes the type of proc mount to use for the containers. The default is DefaultProcMount which uses the container runtime defaults for readonly paths and masked paths. This requires the ProcMountType feature flag to be enabled. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.procMount** （string）
+
+    procMount 表示用于容器的 proc 挂载类型。默认值为 DefaultProcMount，
+    它将容器运行时默认值用于只读路径和掩码路径。这需要启用 ProcMountType 特性门控。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。 
+
+  <!--
+  - **securityContext.privileged** (boolean)
+
+    Run container in privileged mode. Processes in privileged containers are essentially equivalent to root on the host. Defaults to false. Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.privileged** （boolean）
+
+    以特权模式运行容器。特权容器中的进程本质上等同于主机上的 root。 默认为 false。
+    注意，`spec.os.name` 为 "windows" 时不能设置该字段。
+
+  <!--
+  - **securityContext.allowPrivilegeEscalation** (boolean)
+
+    AllowPrivilegeEscalation controls whether a process can gain more privileges than its parent process. This bool directly controls if the no_new_privs flag will be set on the container process. AllowPrivilegeEscalation is true always when the container is: 1) run as Privileged 2) has CAP_SYS_ADMIN Note that this field cannot be set when spec.os.name is windows.
+  -->
+
+  - **securityContext.allowPrivilegeEscalation** （boolean）
+
+    allowPrivilegeEscalation 控制进程是否可以获得比其父进程更多的权限。 
+    此布尔值直接控制是否在容器进程上设置 `no_new_privs` 标志。 allowPrivilegeEscalation
+    在容器处于以下状态时始终为 true：
+
+    1. 以特权身份运行
+    2. 具有 `CAP_SYS_ADMIN` 权能
+
+    请注意，当 `spec.os.name` 为 "windows" 时，无法设置此字段。 
+
+  <!--
+  - **securityContext.capabilities** (Capabilities)
+
+    The capabilities to add/drop when running containers. Defaults to the default set of capabilities granted by the container runtime. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="Capabilities"></a>
+    *Adds and removes POSIX capabilities from running containers.*
+  -->
+
+  - **securityContext.capabilities** (Capabilities)
+
+    运行容器时添加/放弃的权能。默认为容器运行时授予的默认权能集。
+    注意，`spec.os.name` 为 "windows" 时不能设置此字段。 
+
+    **在运行中的容器中添加和放弃 POSIX 权能。**
+
+    <!--
+    - **securityContext.capabilities.add** ([]string)
+
+      Added capabilities
+
+    - **securityContext.capabilities.drop** ([]string)
+
+      Removed capabilities
+    -->
+
+    - **securityContext.capabilities.add** （[]string）
+
+      新增的权能。
+
+    - **securityContext.capabilities.drop** （[]string）
+
+      放弃的权能。
+
+  <!--
+  - **securityContext.seccompProfile** (SeccompProfile)
+
+    The seccomp options to use by this container. If seccomp options are provided at both the pod & container level, the container options override the pod options. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="SeccompProfile"></a>
+    *SeccompProfile defines a pod/container's seccomp profile settings. Only one profile source may be set.*
+  -->
+
+  - **securityContext.seccompProfile** （SeccompProfile）
+
+    此容器使用的 seccomp 选项。如果在 Pod 和容器级别都提供了 seccomp 选项，
+    则容器选项会覆盖 Pod 选项。注意，`spec.os.name` 为 "windows" 时不能设置该字段。 
+
+    **SeccompProfile 定义 Pod 或容器的 seccomp 配置文件设置。只能设置一个配置文件源。**
+
+    <!--
+    - **securityContext.seccompProfile.type** (string), required
+
+      type indicates which kind of seccomp profile will be applied. Valid options are:
+      
+      Localhost - a profile defined in a file on the node should be used. RuntimeDefault - the container runtime default profile should be used. Unconfined - no profile should be applied.
+    --> 
+
+    - **securityContext.seccompProfile.type** (string)，必需
+
+      type 指示将应用哪种 seccomp 配置文件。有效的选项是：
+      
+      - `Localhost` - 应使用在节点上的文件中定义的配置文件。
+      - `RuntimeDefault` - 应使用容器运行时默认配置文件。 
+      - `Unconfined` - 不应应用任何配置文件。 
+
+    <!--
+    - **securityContext.seccompProfile.localhostProfile** (string)
+
+      localhostProfile indicates a profile defined in a file on the node should be used. The profile must be preconfigured on the node to work. Must be a descending path, relative to the kubelet's configured seccomp profile location. Must only be set if type is "Localhost".
+    -->
+     
+    - **securityContext.seccompProfile.localhostProfile** （string）
+
+      localhostProfile 指示应使用在节点上的文件中定义的配置文件。
+      该配置文件必须在节点上预先配置才能工作。 
+      必须是相对于 kubelet 配置的 seccomp 配置文件位置下的子路径。 
+      仅当 type 为 "Localhost" 时才必须设置。 
+
+  <!--
+  - **securityContext.seLinuxOptions** (SELinuxOptions)
+
+    The SELinux context to be applied to the container. If unspecified, the container runtime will allocate a random SELinux context for each container.  May also be set in PodSecurityContext.  If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is windows.
+
+    <a name="SELinuxOptions"></a>
+    *SELinuxOptions are the labels to be applied to the container*
+  -->
+
+  - **securityContext.seLinuxOptions** （SELinuxOptions）
+
+    要应用于容器的 SELinux 上下文。如果未指定，容器运行时将为每个容器分配一个随机
+    SELinux 上下文。也可以在 PodSecurityContext 中设置。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext
+    中指定的值优先。注意，`spec.os.name` 为 "windows" 时不能设置此字段。
+
+    <a name="SELinuxOptions"></a>
+    **SELinuxOptions 是要应用于容器的标签**
+
+    <!--
+    - **securityContext.seLinuxOptions.level** (string)
+
+      Level is SELinux level label that applies to the container.
+
+    - **securityContext.seLinuxOptions.role** (string)
+
+      Role is a SELinux role label that applies to the container.
+
+    - **securityContext.seLinuxOptions.type** (string)
+
+      Type is a SELinux type label that applies to the container.
+
+    - **securityContext.seLinuxOptions.user** (string)
+
+      User is a SELinux user label that applies to the container.
+    -->
+
+    - **securityContext.seLinuxOptions.level** （string）
+
+      level 是应用于容器的 SELinux 级别标签。 
+
+    - **securityContext.seLinuxOptions.role** （string）
+
+      role 是应用于容器的 SELinux 角色标签。 
+
+    - **securityContext.seLinuxOptions.type** （string）
+
+      type 是适用于容器的 SELinux 类型标签。 
+
+    - **securityContext.seLinuxOptions.user** （string）
+
+      user 是应用于容器的 SELinux 用户标签。 
+
+  <!--
+  - **securityContext.windowsOptions** (WindowsSecurityContextOptions)
+
+    The Windows specific settings applied to all containers. If unspecified, the options from the PodSecurityContext will be used. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence. Note that this field cannot be set when spec.os.name is linux.
+
+    <a name="WindowsSecurityContextOptions"></a>
+    *WindowsSecurityContextOptions contain Windows-specific options and credentials.*
+  -->
+
+  - **securityContext.windowsOptions** （WindowsSecurityContextOptions）
+
+    要应用到所有容器上的特定于 Windows 的设置。如果未指定，将使用 PodSecurityContext 中的选项。
+    如果同时在 SecurityContext 和 PodSecurityContext 中设置，则在 SecurityContext
+    中指定的值优先。注意，`spec.os.name` 为 "linux" 时不能设置此字段。
+
+    <a name="WindowsSecurityContextOptions"></a>
+    **WindowsSecurityContextOptions 包含特定于 Windows 的选项和凭据。**
+
+    <!--
+    - **securityContext.windowsOptions.gmsaCredentialSpec** (string)
+
+      GMSACredentialSpec is where the GMSA admission webhook (https://github.com/kubernetes-sigs/windows-gmsa) inlines the contents of the GMSA credential spec named by the GMSACredentialSpecName field.
+
+    - **securityContext.windowsOptions.gmsaCredentialSpecName** (string)
+
+      GMSACredentialSpecName is the name of the GMSA credential spec to use.
+    -->
+
+    - **securityContext.windowsOptions.gmsaCredentialSpec** （string）
+
+      gmsaCredentialSpec 是 [GMSA 准入 Webhook](https://github.com/kubernetes-sigs/windows-gmsa)
+      内嵌由 gmsaCredentialSpecName 字段所指定的 GMSA 凭证规约内容的地方。 
+
+    - **securityContext.windowsOptions.gmsaCredentialSpecName** （string）
+
+      gmsaCredentialSpecName 是要使用的 GMSA 凭证规约的名称。 
+
+    <!--
+    - **securityContext.windowsOptions.hostProcess** (boolean)
+
+      HostProcess determines if a container should be run as a 'Host Process' container. This field is alpha-level and will only be honored by components that enable the WindowsHostProcessContainers feature flag. Setting this field without the feature flag will result in errors when validating the Pod. All of a Pod's containers must have the same effective HostProcess value (it is not allowed to have a mix of HostProcess containers and non-HostProcess containers).  In addition, if HostProcess is true then HostNetwork must also be set to true.
+    -->
+
+    - **securityContext.windowsOptions.hostProcess** （boolean）
+
+      hostProcess 确定容器是否应作为 "主机进程" 容器运行。此字段是 Alpha 级别的，只有启用了
+      WindowsHostProcessContainers 特性门控的组件才会处理此字段。 
+      设置此字段而未启用特性门控的话，在验证 Pod 时将引发错误。 
+      一个 Pod 的所有容器必须具有相同的有效 hostProcess 值
+      （不允许混合设置了 hostProcess 的容器和未设置 hostProcess 的容器）。 
+      此外，如果 hostProcess 为 true，则 hostNetwork 也必须设置为 true。 
+
+    <!--
+    - **securityContext.windowsOptions.runAsUserName** (string)
+
+      The UserName in Windows to run the entrypoint of the container process. Defaults to the user specified in image metadata if unspecified. May also be set in PodSecurityContext. If set in both SecurityContext and PodSecurityContext, the value specified in SecurityContext takes precedence.
+    -->
+
+    - **securityContext.windowsOptions.runAsUserName** （string）
+
+      Windows 中运行容器进程入口点的用户名。如果未指定，则默认为镜像元数据中指定的用户。 
+      也可以在 PodSecurityContext 中设置。如果同时在 SecurityContext 和 PodSecurityContext
+      中设置，则在 SecurityContext 中指定的值优先。 
+
+<!--
+### 不允许
+-->
+### 不允许
+
+<!--
+- **ports** ([]ContainerPort)
+
+  *Patch strategy: merge on key `containerPort`*
+  
+  *Map: unique values on keys `containerPort, protocol` will be kept during a merge*
+  
+  Ports are not allowed for ephemeral containers.
+
+  <a name="ContainerPort"></a>
+  *ContainerPort represents a network port in a single container.*
+-->
+
+- **ports**（[]ContainerPort）
+
+  **补丁策略：基于 `containerPort` 键合并**
+  
+  **映射：键 `containerPort, protocol` 组合的唯一值将在合并期间保留**
+  
+  临时容器不允许使用端口。 
+
+  <a name="ContainerPort"></a>
+  **ContainerPort 表示单个容器中的网络端口。**
+
+  <!--
+  - **ports.containerPort** (int32), required
+
+    Number of port to expose on the pod's IP address. This must be a valid port number, 0 \< x \< 65536.
+
+  - **ports.hostIP** (string)
+
+    What host IP to bind the external port to.
+  -->
+
+  - **ports.containerPort** （int32），必需
+
+    要在容器的 IP 地址上公开的端口号。这必须是有效的端口号 0 \< x \< 65536。
+
+  - **ports.hostIP** （string）
+
+    要将外部端口绑定到的主机 IP。
+
+  <!--
+  - **ports.hostPort** (int32)
+
+    Number of port to expose on the host. If specified, this must be a valid port number, 0 \< x \< 65536. If HostNetwork is specified, this must match ContainerPort. Most containers do not need this.
+  -->
+
+  - **ports.hostPort** （int32）
+
+    要在主机上公开的端口号。如果设置了，则作为必须是一个有效的端口号，0 \< x \< 65536。 
+    如果指定了 hostNetwork，此值必须与 containerPort 匹配。大多数容器不需要这个配置。 
+
+  <!--
+  - **ports.name** (string)
+
+    If specified, this must be an IANA_SVC_NAME and unique within the pod. Each named port in a pod must have a unique name. Name for the port that can be referred to by services.
+
+  - **ports.protocol** (string)
+
+    Protocol for port. Must be UDP, TCP, or SCTP. Defaults to "TCP".
+  -->
+ 
+  - **ports.name**（string）
+
+    如果指定了，则作为端口的名称。必须是 IANA_SVC_NAME 并且在 Pod 中是唯一的。
+    Pod 中的每个命名端口都必须具有唯一的名称。服务可以引用的端口的名称。
+
+  - **ports.protocol** （string）
+
+    端口协议。必须是 `UDP`、`TCP` 或 `SCTP` 之一。 默认为 `TCP`。 
+
+<!--
+- **resources** (ResourceRequirements)
+
+  Resources are not allowed for ephemeral containers. Ephemeral containers use spare resources already allocated to the pod.
+
+  <a name="ResourceRequirements"></a>
+  *ResourceRequirements describes the compute resource requirements.*
+-->
+- **resources** (ResourceRequirements)
+
+  临时容器不允许使用资源。临时容器使用已分配给 Pod 的空闲资源。 
+
+  **ResourceRequirements 描述计算资源的需求。**
+
+  <!--
+  - **resources.limits** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    Limits describes the maximum amount of compute resources allowed. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+  -->
+
+  - **resources.limits** （map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>）
+
+    limits 描述所允许的最大计算资源量。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+  <!--
+  - **resources.requests** (map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>)
+
+    Requests describes the minimum amount of compute resources required. If Requests is omitted for a container, it defaults to Limits if that is explicitly specified, otherwise to an implementation-defined value. More info: https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/
+  -->
+
+  - **resources.requests** （map[string]<a href="{{< ref "../common-definitions/quantity#Quantity" >}}">Quantity</a>）
+
+    requests 描述所需的最小计算资源量。如果对容器省略了 requests，则默认其资源请求值为 limits
+    （如果已显式指定）的值，否则为实现定义的值。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/configuration/manage-resources-containers/
+
+<!--
+- **lifecycle** (Lifecycle)
+
+  Lifecycle is not allowed for ephemeral containers.
+
+  <a name="Lifecycle"></a>
+  *Lifecycle describes actions that the management system should take in response to container lifecycle events. For the PostStart and PreStop lifecycle handlers, management of the container blocks until the action is complete, unless the container process fails, in which case the handler is aborted.*
+-->
+- **lifecycle** (Lifecycle)
+
+  临时容器不允许使用生命周期。 
+
+  生命周期描述了管理系统为响应容器生命周期事件应采取的行动。
+  对于 postStart 和 preStop 生命周期处理程序，容器的管理会阻塞，直到操作完成，
+  除非容器进程失败，在这种情况下处理程序被中止。
+
+  <!--
+  - **lifecycle.postStart** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    PostStart is called immediately after a container is created. If the handler fails, the container is terminated and restarted according to its restart policy. Other management of the container blocks until the hook completes. More info: https://kubernetes.io/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+  -->
+
+  - **lifecycle.postStart** （<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>）
+
+    创建容器后立即调用 postStart。如果处理程序失败，则容器将根据其重新启动策略终止并重新启动。
+    容器的其他管理阻塞直到钩子完成。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+
+  <!--
+  - **lifecycle.preStop** (<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>)
+
+    PreStop is called immediately before a container is terminated due to an API request or management event such as liveness/startup probe failure, preemption, resource contention, etc. The handler is not called if the container crashes or exits. The Pod's termination grace period countdown begins before the PreStop hook is executed. Regardless of the outcome of the handler, the container will eventually terminate within the Pod's termination grace period (unless delayed by finalizers). Other management of the container blocks until the hook completes or until the termination grace period is reached. More info: https://kubernetes.io/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+  -->
+
+  - **lifecycle.preStop** （<a href="{{< ref "../workload-resources/pod-v1#LifecycleHandler" >}}">LifecycleHandler</a>）
+
+    preStop 在容器因 API 请求或管理事件（例如：存活态探针/启动探针失败、抢占、资源争用等）
+    而终止之前立即调用。如果容器崩溃或退出，则不会调用处理程序。
+    Pod 的终止宽限期倒计时在 preStop 钩子执行之前开始。 
+    无论处理程序的结果如何，容器最终都会在 Pod 的终止宽限期内终止（除非被终结器延迟）。
+    容器的其他管理会阻塞，直到钩子完成或达到终止宽限期。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
+
+<!--
+- **livenessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  Probes are not allowed for ephemeral containers.
+
+- **readinessProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  Probes are not allowed for ephemeral containers.
+
+- **startupProbe** (<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>)
+
+  Probes are not allowed for ephemeral containers.
+-->
+
+- **livenessProbe** （<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>）
+
+  临时容器不允许使用探针。 
+
+- **readyProbe** （<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>）
+
+  临时容器不允许使用探针。 
+
+- **startupProbe** （<a href="{{< ref "../workload-resources/pod-v1#Probe" >}}">Probe</a>）
+
+  临时容器不允许使用探针。 
+
+
+## LifecycleHandler {#LifecycleHandler}
+
+<!--
+LifecycleHandler defines a specific action that should be taken in a lifecycle hook. One and only one of the fields, except TCPSocket must be specified.
+-->
+LifecycleHandler 定义了应在生命周期挂钩中执行的特定操作。
+必须指定一个且只能指定一个字段，tcpSocket 除外。 
+
+<hr>
+
+<!--
+- **exec** (ExecAction)
+
+  Exec specifies the action to take.
+
+  <a name="ExecAction"></a>
+  *ExecAction describes a "run in container" action.*
+-->
+- **exec** （execAction）
+
+  Exec 指定要执行的操作。 
+
+  <a name="ExecAction"></a>
+  **ExecAction 描述了 "在容器中运行" 操作。**
+
+  <!--
+  - **exec.command** ([]string)
+
+    Command is the command line to execute inside the container, the working directory for the command  is root ('/') in the container's filesystem. The command is simply exec'd, it is not run inside a shell, so traditional shell instructions ('|', etc) won't work. To use a shell, you need to explicitly call out to that shell. Exit status of 0 is treated as live/healthy and non-zero is unhealthy.
+  -->
+
+  - **exec.command** （[]string）
+
+    command 是要在容器内执行的命令行，命令的工作目录是容器文件系统中的根目录（'/'）。 
+    该命令只是被通过 `exec` 执行，而不会单独启动一个 Shell 来运行，因此传统的
+    Shell 指令（'|' 等）将不起作用。要使用某 Shell，你需要显式调用该 Shell。 
+    退出状态 0 被视为活动/健康，非零表示不健康。 
+
+<!--
+- **httpGet** (HTTPGetAction)
+
+  HTTPGet specifies the http request to perform.
+
+  <a name="HTTPGetAction"></a>
+  *HTTPGetAction describes an action based on HTTP Get requests.*
+-->
+
+- **httpGet** （HTTPGetAction）
+
+  HTTPGet 指定要执行的 HTTP 请求。
+
+  <a name="HTTPGetAction"></a>
+  **HTTPGetAction 描述基于 HTTP Get 请求的操作。**
+
+  <!--
+  - **httpGet.port** (IntOrString), required
+
+    Name or number of the port to access on the container. Number must be in the range 1 to 65535. Name must be an IANA_SVC_NAME.
+
+    <a name="IntOrString"></a>
+    *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+  -->
+
+  - **httpGet.port** （IntOrString），必需
+
+    要在容器上访问的端口的名称或编号。数字必须在 1 到 65535 的范围内。名称必须是 IANA_SVC_NAME。
+
+    <a name="IntOrString"></a>
+    **IntOrString 是一种可以包含 int32 或字符串值的类型。在 JSON 或 YAML 封组和取消编组时，
+    它会生成或使用内部类型。例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。**
+
+  <!--
+  - **httpGet.host** (string)
+
+    Host name to connect to, defaults to the pod IP. You probably want to set "Host" in httpHeaders instead.
+
+  - **httpGet.httpHeaders** ([]HTTPHeader)
+
+    Custom headers to set in the request. HTTP allows repeated headers.
+
+    <a name="HTTPHeader"></a>
+    *HTTPHeader describes a custom header to be used in HTTP probes*
+  -->
+
+  - **httpGet.host** （string）
+
+    要连接的主机名，默认为 Pod IP。你可能想在 `httpHeaders` 中设置 "Host"。 
+
+  - **httpGet.httpHeaders** （[]HTTPHeader）
+
+    要在请求中设置的自定义标头。HTTP 允许重复的标头。 
+
+    <a name="HTTPHeader"></a>
+    **HTTPHeader 描述了在 HTTP 探针中使用的自定义标头**
+
+    <!--
+    - **httpGet.httpHeaders.name** (string), required
+
+      The header field name
+
+    - **httpGet.httpHeaders.value** (string), required
+
+      The header field value
+    -->
+
+    - **httpGet.httpHeaders.name** (string)，必需
+
+      HTTP 头部字段名称。
+
+    - **httpGet.httpHeaders.value** (string)，必需
+
+      HTTP 头部字段取值。
+
+  <!--
+  - **httpGet.path** (string)
+
+    Path to access on the HTTP server.
+
+  - **httpGet.scheme** (string)
+
+    Scheme to use for connecting to the host. Defaults to HTTP.
+  -->
+ 
+  - **httpGet.path** （string）
+
+    HTTP 服务器上的访问路径。 
+
+  - **httpGet.scheme** （string）
+
+    用于连接到主机的方案。默认为 `HTTP`。 
+
+<!--
+- **tcpSocket** （TCPSocketAction）
+
+  Deprecated. TCPSocket is NOT supported as a LifecycleHandler and kept for the backward compatibility. There are no validation of this field and lifecycle hooks will fail in runtime when tcp handler is specified.
+
+  <a name="TCPSocketAction"></a>
+  *TCPSocketAction describes an action based on opening a socket*
+-->
+- **tcpSocket** （TCPSocketAction）
+
+  已弃用。不再支持 `tcpSocket` 作为 LifecycleHandler，但为向后兼容保留之。
+  当指定 `tcp` 处理程序时，此字段不会被验证，而生命周期回调将在运行时失败。
+
+  <a name="TCPSocketAction"></a>
+  **TCPSocketAction 描述基于打开套接字的动作。**
+
+  <!--
+  - **tcpSocket.port** (IntOrString), required
+
+    Number or name of the port to access on the container. Number must be in the range 1 to 65535. Name must be an IANA_SVC_NAME.
+  -->
+
+  - **tcpSocket.port** (IntOrString)，必需
+
+    容器上要访问的端口的编号或名称。端口号必须在 1 到 65535 的范围内。
+    名称必须是 IANA_SVC_NAME。 
+
+    <a name="IntOrString"></a>
+    **IntOrString 是一种可以保存 int32 或字符串值的类型。在 JSON 或 YAML 编组和解组中使用时，
+    会生成或使用内部类型。例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。**
+
+  <!--
+  - **tcpSocket.host** (string)
+
+    Optional: Host name to connect to, defaults to the pod IP.
+  -->
+
+  - **tcpSocket.host** （string）
+
+    可选字段。要连接的主机名，默认为 Pod IP。 
+
+## NodeAffinity {#NodeAffinity}
+
+<!--
+Node affinity is a group of node affinity scheduling rules.
+-->
+节点亲和性是一组节点亲和性调度规则。 
+
+<hr>
+
+<!--
+- **preferredDuringSchedulingIgnoredDuringExecution** ([]PreferredSchedulingTerm)
+
+  The scheduler will prefer to schedule pods to nodes that satisfy the affinity expressions specified by this field, but it may choose a node that violates one or more of the expressions. The node that is most preferred is the one with the greatest sum of weights, i.e. for each node that meets all of the scheduling requirements (resource request, requiredDuringScheduling affinity expressions, etc.), compute a sum by iterating through the elements of this field and adding "weight" to the sum if the node matches the corresponding matchExpressions; the node(s) with the highest sum are the most preferred.
+
+  <a name="PreferredSchedulingTerm"></a>
+  *An empty preferred scheduling term matches all objects with implicit weight 0 (i.e. it's a no-op). A null preferred scheduling term matches no objects (i.e. is also a no-op).*
+
+-->
+
+- **preferredDuringSchedulingIgnoredDuringExecution** （[]PreferredSchedulingTerm）
+
+  调度程序会更倾向于将 Pod 调度到满足该字段指定的亲和性表达式的节点，
+  但它可能会选择违反一个或多个表达式的节点。最优选的节点是权重总和最大的节点，
+  即对于满足所有调度要求（资源请求、requiredDuringScheduling 亲和表达式等）的每个节点，
+  通过迭代该字段的元素来计算总和如果节点匹配相应的 matchExpressions，则将 "权重" 添加到总和中； 
+  具有最高总和的节点是最优选的。 
+
+  空的首选调度条件匹配所有具有隐式权重 0 的对象（即它是一个 no-op 操作）。
+  null 值的首选调度条件不匹配任何对象（即也是一个 no-op 操作）。
+
+  <!--
+  - **preferredDuringSchedulingIgnoredDuringExecution.preference** (NodeSelectorTerm), required
+
+    A node selector term, associated with the corresponding weight.
+
+    <a name="NodeSelectorTerm"></a>
+    *A null or empty node selector term matches no objects. The requirements of them are ANDed. The TopologySelectorTerm type implements a subset of the NodeSelectorTerm.*
+  -->
+
+  - **preferredDuringSchedulingIgnoredDuringExecution.preference** (NodeSelectorTerm)，必需
+
+    与相应权重相关联的节点选择条件。 
+
+    null 值或空值的节点选择条件不会匹配任何对象。这些条件的请求按逻辑与操作组合。
+    TopologySelectorTerm 类型实现了 NodeSelectorTerm 的一个子集。
+
+    <!--
+    - **preferredDuringSchedulingIgnoredDuringExecution.preference.matchExpressions** ([]<a href="{{< ref "../common-definitions/node-selector-requirement#NodeSelectorRequirement" >}}">NodeSelectorRequirement</a>)
+
+      A list of node selector requirements by node's labels.
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.preference.matchFields** ([]<a href="{{< ref "../common-definitions/node-selector-requirement#NodeSelectorRequirement" >}}">NodeSelectorRequirement</a>)
+
+      A list of node selector requirements by node's fields.
+    -->
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.preference.matchExpressions** （[]<a href="{{< ref "../common-definitions/node-selector-requirement" >}}">NodeSelectorRequirement</a>）
+
+      按节点标签列出的节点选择条件列表。 
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.preference.matchFields** （[]<a href="{{< ref "../common-definitions/node-selector-requirement" >}}">NodeSelectorRequirement</a>）
+
+      按节点字段列出的节点选择要求列表。 
+
+  <!--
+  - **preferredDuringSchedulingIgnoredDuringExecution.weight** (int32), required
+
+    Weight associated with matching the corresponding nodeSelectorTerm, in the range 1-100.
+  -->
+
+  - **preferredDuringSchedulingIgnoredDuringExecution.weight** (int32)，必需
+
+    与匹配相应的 nodeSelectorTerm 相关的权重，范围为 1-100。 
+
+<!--
+- **requiredDuringSchedulingIgnoredDuringExecution** (NodeSelector)
+
+  If the affinity requirements specified by this field are not met at scheduling time, the pod will not be scheduled onto the node. If the affinity requirements specified by this field cease to be met at some point during pod execution (e.g. due to an update), the system may or may not try to eventually evict the pod from its node.
+
+  <a name="NodeSelector"></a>
+  *A node selector represents the union of the results of one or more label queries over a set of nodes; that is, it represents the OR of the selectors represented by the node selector terms.*
+-->
+
+- **requiredDuringSchedulingIgnoredDuringExecution** （NodeSelector）
+
+  如果在调度时不满足该字段指定的亲和性要求，则不会将 Pod 调度到该节点上。 
+  如果在 Pod 执行期间的某个时间点不再满足此字段指定的亲和性要求（例如：由于更新），
+  系统可能会或可能不会尝试最终将 Pod 从其节点中逐出。 
+
+  <a name="NodeSelector"></a>
+  **一个节点选择器代表一个或多个标签查询结果在一组节点上的联合；换言之，
+  它表示由节点选择器项表示的选择器的逻辑或组合。**
+
+  <!--
+  - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms** ([]NodeSelectorTerm), required
+
+    Required. A list of node selector terms. The terms are ORed.
+
+    <a name="NodeSelectorTerm"></a>
+    *A null or empty node selector term matches no objects. The requirements of them are ANDed. The TopologySelectorTerm type implements a subset of the NodeSelectorTerm.*
+  -->
+
+  - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms** ([]NodeSelectorTerm)，必需
+
+    必需的字段。节点选择条件列表。这些条件按逻辑或操作组合。
+
+    null 值或空值的节点选择器条件不匹配任何对象。这里的条件是按逻辑与操作组合的。
+    TopologySelectorTerm 类型实现了 NodeSelectorTerm 的一个子集。
+
+    <!--
+    - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchExpressions** ([]<a href="{{< ref "../common-definitions/node-selector-requirement#NodeSelectorRequirement" >}}">NodeSelectorRequirement</a>)
+
+      A list of node selector requirements by node's labels.
+
+    - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchFields** ([]<a href="{{< ref "../common-definitions/node-selector-requirement#NodeSelectorRequirement" >}}">NodeSelectorRequirement</a>)
+
+      A list of node selector requirements by node's fields.
+    -->
+
+    - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchExpressions** （[]<a href="{{< ref "../common-definitions/node-selector-requirement" >}}">NodeSelectorRequirement</a>）
+
+      按节点标签列出的节点选择器需求列表。 
+
+    - **requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchFields** （[]<a href="{{< ref "../common-definitions/node-selector-requirement" >}}">NodeSelectorRequirement</a>）
+
+      按节点字段列出的节点选择器要求列表。 
+
+## PodAntiAffinity {#PodAntiAffinity}
+
+<!--
+Pod affinity is a group of inter pod affinity scheduling rules.
+-->
+Pod 反亲和性是一组 Pod 间反亲和性调度规则。 
+
+<hr>
+
+<!--
+- **preferredDuringSchedulingIgnoredDuringExecution** ([]WeightedPodAffinityTerm)
+
+  The scheduler will prefer to schedule pods to nodes that satisfy the affinity expressions specified by this field, but it may choose a node that violates one or more of the expressions. The node that is most preferred is the one with the greatest sum of weights, i.e. for each node that meets all of the scheduling requirements (resource request, requiredDuringScheduling affinity expressions, etc.), compute a sum by iterating through the elements of this field and adding "weight" to the sum if the node has pods which matches the corresponding podAffinityTerm; the node(s) with the highest sum are the most preferred.
+
+  <a name="WeightedPodAffinityTerm"></a>
+  *The weights of all of the matched WeightedPodAffinityTerm fields are added per-node to find the most preferred node(s)*
+-->
+- **preferredDuringSchedulingIgnoredDuringExecution** ([]WeightedPodAffinityTerm)
+
+  调度器更倾向于将 Pod 调度到满足该字段指定的反亲和性表达式的节点，
+  但它可能会选择违反一个或多个表达式的节点。 
+  最优选的节点是权重总和最大的节点，即对于满足所有调度要求（资源请求、`requiredDuringScheduling`
+  反亲和性表达式等）的每个节点，通过遍历元素来计算总和如果节点具有与相应 `podAffinityTerm`
+  匹配的 Pod，则此字段并在总和中添加"权重"；具有最高加和的节点是最优选的。 
+
+  <a name="WeightedPodAffinityTerm"></a>
+  **所有匹配的 WeightedPodAffinityTerm 字段的权重都是按节点添加的，以找到最优选的节点。**
+
+  <!--
+  - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm** (PodAffinityTerm), required
+
+    Required. A pod affinity term, associated with the corresponding weight.
+
+    <a name="PodAffinityTerm"></a>
+    *Defines a set of pods (namely those matching the labelSelector relative to the given namespace(s)) that this pod should be co-located (affinity) or not co-located (anti-affinity) with, where co-located is defined as running on a node whose value of the label with key <topologyKey> matches that of any node on which a pod of the set of pods is running*
+  -->
+
+  - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm** (PodAffinityTerm)，必需
+
+    必需的字段。 一个 Pod 亲和性条件，与相应的权重相关联。 
+
+    <a name="PodAffinityTerm"></a>
+    定义一组 Pod（即那些与给定名字空间相关的标签选择算符匹配的 Pod 集合），
+    当前 Pod 应该与所选 Pod 集合位于同一位置（亲和性）或不位于同一位置（反亲和性），
+    其中 "在同一位置" 意味着运行在一个节点上，其键 `topologyKey` 的标签值与运行所选 Pod
+    集合中的某 Pod 的任何节点上的标签值匹配。
+
+    <!--
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.topologyKey** (string), required
+
+      This pod should be co-located (affinity) or not co-located (anti-affinity) with the pods matching the labelSelector in the specified namespaces, where co-located is defined as running on a node whose value of the label with key topologyKey matches that of any node on which any of the selected pods is running. Empty topologyKey is not allowed.
+    -->
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.topologyKey** (string)，必需
+
+      此 Pod 应与指定名字空间中与标签选择算符匹配的 Pod 集合位于同一位置（亲和性）
+      或不位于同一位置（反亲和性），这里的 "在同一位置" 意味着运行在一个节点上，其键名为
+      `topologyKey` 的标签值与运行所选 Pod 集合中的某 Pod 的任何节点上的标签值匹配。
+      不允许使用空的 `topologyKey`。 
+
+    <!--
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.labelSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      A label query over a set of resources, in this case pods.
+    -->
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.labelSelector** （<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>）
+
+      对一组资源的标签查询，在这里资源为 Pod。 
+
+    <!--
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+      A label query over the set of namespaces that the term applies to. The term is applied to the union of the namespaces selected by this field and the ones listed in the namespaces field. null selector and null or empty namespaces list means "this pod's namespace". An empty selector ({}) matches all namespaces.
+    -->
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaceSelector** （<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>）
+
+      对条件所适用的名字空间集合的标签查询。
+      此条件会被应用到此字段所选择的名字空间和 namespaces 字段中列出的名字空间的组合之上。 
+      选择算符为 null 和 namespaces 列表为 null 值或空表示 "此 Pod 的名字空间"。 
+      空的选择算符 ({}) 可用来匹配所有名字空间。 
+
+    <!--
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaces** ([]string)
+
+      namespaces specifies a static list of namespace names that the term applies to. The term is applied to the union of the namespaces listed in this field and the ones selected by namespaceSelector. null or empty namespaces list and null namespaceSelector means "this pod's namespace".
+    -->
+
+    - **preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaces** （[]string）
+
+      namespaces 指定此条件所适用的名字空间，是一个静态列表。 
+      此条件会被应用到 namespaces 字段中列出的名字空间和由 namespaceSelector 选中的名字空间上。 
+      namespaces 列表为 null 或空，以及 namespaceSelector 值为 null 均表示 "此 Pod 的名字空间"。 
+
+  <!--
+  - **preferredDuringSchedulingIgnoredDuringExecution.weight** (int32), required
+
+    weight associated with matching the corresponding podAffinityTerm, in the range 1-100.
+  -->
+
+  - **preferredDuringSchedulingIgnoredDuringExecution.weight** (int32)，必需
+
+    weight 是匹配相应 `podAffinityTerm` 条件的权重，范围为 1-100。 
+
+<!--
+- **requiredDuringSchedulingIgnoredDuringExecution** ([]PodAffinityTerm)
+
+  If the affinity requirements specified by this field are not met at scheduling time, the pod will not be scheduled onto the node. If the affinity requirements specified by this field cease to be met at some point during pod execution (e.g. due to a pod label update), the system may or may not try to eventually evict the pod from its node. When there are multiple elements, the lists of nodes corresponding to each podAffinityTerm are intersected, i.e. all terms must be satisfied.
+
+  <a name="PodAffinityTerm"></a>
+  *Defines a set of pods (namely those matching the labelSelector relative to the given namespace(s)) that this pod should be co-located (affinity) or not co-located (anti-affinity) with, where co-located is defined as running on a node whose value of the label with key <topologyKey> matches that of any node on which a pod of the set of pods is running*
+-->
+
+- **requiredDuringSchedulingIgnoredDuringExecution** （[]PodAffinityTerm）
+
+  如果在调度时不满足该字段指定的反亲和性要求，则该 Pod 不会被调度到该节点上。 
+  如果在 Pod 执行期间的某个时间点不再满足此字段指定的反亲和性要求（例如：由于 Pod 标签更新），
+  系统可能会或可能不会尝试最终将 Pod 从其节点中逐出。 
+  当有多个元素时，每个 `podAffinityTerm` 对应的节点列表是取其交集的，即必须满足所有条件。 
+
+  <a name="PodAffinityTerm"></a>
+  定义一组 Pod（即那些与给定名字空间相关的标签选择算符匹配的 Pod 集合），当前 Pod 应该与该
+  Pod 集合位于同一位置（亲和性）或不位于同一位置（反亲和性）。
+  这里的 "位于同一位置" 含义是运行在一个节点上。基于 `topologyKey` 字段所给的标签键名，
+  检查所选 Pod 集合中各个 Pod 所在的节点上的标签值，标签值相同则认作 "位于同一位置"。
+
+  <!--
+  - **requiredDuringSchedulingIgnoredDuringExecution.topologyKey** (string), required
+
+    This pod should be co-located (affinity) or not co-located (anti-affinity) with the pods matching the labelSelector in the specified namespaces, where co-located is defined as running on a node whose value of the label with key topologyKey matches that of any node on which any of the selected pods is running. Empty topologyKey is not allowed.
+  -->
+
+  - **requiredDuringSchedulingIgnoredDuringExecution.topologyKey** (string)，必需
+
+    此 Pod 应与指定名字空间中与标签选择算符匹配的 Pod 集合位于同一位置（亲和性）
+    或不位于同一位置（反亲和性），
+    这里的 "位于同一位置" 含义是运行在一个节点上。基于 `topologyKey` 字段所给的标签键名，
+    检查所选 Pod 集合中各个 Pod 所在的节点上的标签值，标签值相同则认作 "位于同一位置"。
+    不允许使用空的 `topologyKey`。 
+
+  <!--
+  - **requiredDuringSchedulingIgnoredDuringExecution.labelSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    A label query over a set of resources, in this case pods.
+  -->
+
+  - **requiredDuringSchedulingIgnoredDuringExecution.labelSelector** （<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>）
+
+    对一组资源的标签查询，在这里资源为 Pod。 
+
+  <!--
+  - **requiredDuringSchedulingIgnoredDuringExecution.namespaceSelector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)
+
+    A label query over the set of namespaces that the term applies to. The term is applied to the union of the namespaces selected by this field and the ones listed in the namespaces field. null selector and null or empty namespaces list means "this pod's namespace". An empty selector ({}) matches all namespaces.
+  -->
+
+  - **requiredDuringSchedulingIgnoredDuringExecution.namespaceSelector** （<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>）
+
+    对条件所适用的名字空间集合的标签查询。 
+    当前条件将应用于此字段选择的名字空间和 namespaces 字段中列出的名字空间。 
+    选择算符为 null 和 namespaces 列表为 null 或空值表示 “此 Pod 的名字空间”。
+    空选择算符 ({}) 能够匹配所有名字空间。 
+
+
+  <!--
+  - **requiredDuringSchedulingIgnoredDuringExecution.namespaces** ([]string)
+
+    namespaces specifies a static list of namespace names that the term applies to. The term is applied to the union of the namespaces listed in this field and the ones selected by namespaceSelector. null or empty namespaces list and null namespaceSelector means "this pod's namespace".
+  -->
+
+  - **requiredDuringSchedulingIgnoredDuringExecution.namespaces** （[]string）
+
+    namespaces 指定当前条件所适用的名字空间名称的静态列表。
+    当前条件适用于此字段中列出的名字空间和由 namespaceSelector 选中的名字空间。
+    namespaces 列表为 null 或空，以及 namespaceSelector 为 null 表示 “此 Pod 的名字空间”。
+
+
+<!--
+## Probe {#Probe}
+-->
+## 探针 {#Probe}
+
+<!--
+Probe describes a health check to be performed against a container to determine whether it is alive or ready to receive traffic.
+-->
+探针描述了要对容器执行的健康检查，以确定它是否处于活动状态或准备好接收流量。 
+
+<hr>
+
+<!--
+- **exec** (ExecAction)
+
+  Exec specifies the action to take.
+
+  <a name="ExecAction"></a>
+  *ExecAction describes a "run in container" action.*
+-->
+- **exec** （execAction）
+
+  exec 指定要执行的操作。 
+
+  <a name="ExecAction"></a>
+  **ExecAction 描述了 "在容器中运行" 操作。**
+
+  <!--
+  - **exec.command** ([]string)
+
+    Command is the command line to execute inside the container, the working directory for the command  is root ('/') in the container's filesystem. The command is simply exec'd, it is not run inside a shell, so traditional shell instructions ('|', etc) won't work. To use a shell, you need to explicitly call out to that shell. Exit status of 0 is treated as live/healthy and non-zero is unhealthy.
+  -->
+
+  - **exec.command** （[]string）
+
+    command 是要在容器内执行的命令行，命令的工作目录是容器文件系统中的根目录（'/'）。
+    该命令只是通过 `exec` 执行，而不会启动 Shell，因此传统的 Shell 指令（'|' 等）将不起作用。
+    要使用某 Shell，你需要显式调用该 Shell。
+    退出状态 0 被视为存活/健康，非零表示不健康。
+
+<!--
+- **httpGet** (HTTPGetAction)
+
+  HTTPGet specifies the http request to perform.
+
+  <a name="HTTPGetAction"></a>
+  *HTTPGetAction describes an action based on HTTP Get requests.*
+-->
+- **httpGet** （HTTPGetAction）
+
+  httpGet 指定要执行的 HTTP 请求。 
+
+  <a name="HTTPGetAction"></a>
+  **HTTPGetAction 描述基于 HTTP Get 请求的操作。**
+
+  <!--
+  - **httpGet.port** (IntOrString), required
+
+    Name or number of the port to access on the container. Number must be in the range 1 to 65535. Name must be an IANA_SVC_NAME.
+
+    <a name="IntOrString"></a>
+    *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+  -->
+
+  - **httpGet.port** (IntOrString)，必需
+
+    容器上要访问的端口的名称或端口号。端口号必须在 1 到 65535 内。名称必须是 IANA_SVC_NAME。 
+
+    <a name="IntOrString"></a>
+    `IntOrString` 是一种可以保存 int32 或字符串值的类型。 在 JSON 或 YAML 编组和解组时，
+    它会生成或使用内部类型。例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。
+
+  <!--
+  - **httpGet.host** (string)
+
+    Host name to connect to, defaults to the pod IP. You probably want to set "Host" in httpHeaders instead.
+  -->
+
+  - **httpGet.host** （string）
+
+    要连接的主机名，默认为 Pod IP。 你可能想在 `httpHeaders` 中设置 "Host"。 
+
+  <!--
+  - **httpGet.httpHeaders** ([]HTTPHeader)
+
+    Custom headers to set in the request. HTTP allows repeated headers.
+
+    <a name="HTTPHeader"></a>
+    *HTTPHeader describes a custom header to be used in HTTP probes*
+  -->
+
+  - **httpGet.httpHeaders** （[]HTTPHeader）
+
+    要在请求中设置的自定义 HTTP 标头。HTTP 允许重复的标头。 
+
+    <a name="HTTPHeader"></a>
+    **HTTPHeader 描述了在 HTTP 探针中使用的自定义标头。**
+
+    <!--
+    - **httpGet.httpHeaders.name** (string), required
+
+      The header field name
+
+    - **httpGet.httpHeaders.value** (string), required
+
+      The header field value
+    -->
+
+    - **httpGet.httpHeaders.name** (string)，必需
+
+      HTTP 头部域名称。
+
+    - **httpGet.httpHeaders.value** (string)，必需
+
+      HTTP 头部域值。
+
+  <!--
+  - **httpGet.path** (string)
+
+    Path to access on the HTTP server.
+
+  - **httpGet.scheme** (string)
+
+    Scheme to use for connecting to the host. Defaults to HTTP.
+  -->
+ 
+  - **httpGet.path** （string）
+
+    HTTP 服务器上的访问路径。 
+
+  - **httpGet.scheme** （string）
+
+    用于连接到主机的方案。默认为 HTTP。 
+
+<!--
+- **tcpSocket** (TCPSocketAction)
+
+  TCPSocket specifies an action involving a TCP port.
+
+  <a name="TCPSocketAction"></a>
+  *TCPSocketAction describes an action based on opening a socket*
+-->
+
+- **tcpSocket** （TCPSocketAction）
+
+  tcpSocket 指定涉及 TCP 端口的操作。 
+
+  <a name="TCPSocketAction"></a>
+  **`TCPSocketAction` 描述基于打开套接字的动作。**
+
+  <!--
+  - **tcpSocket.port** (IntOrString), required
+
+    Number or name of the port to access on the container. Number must be in the range 1 to 65535. Name must be an IANA_SVC_NAME.
+
+    <a name="IntOrString"></a>
+    *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.*
+  -->
+
+  - **tcpSocket.port** (IntOrString)，必需
+
+    容器上要访问的端口的端口号或名称。端口号必须在 1 到 65535 内。名称必须是 IANA_SVC_NAME。
+
+    <a name="IntOrString"></a>
+    IntOrString 是一种可以保存 int32 或字符串的类型。在 JSON 或 YAML 编组和解组时，
+    它会生成或使用内部类型。例如，这允许你拥有一个可以接受名称或数字的 JSON 字段。
+
+  <!--
+  - **tcpSocket.host** (string)
+
+    Optional: Host name to connect to, defaults to the pod IP.
+  -->
+
+  - **tcpSocket.host** （string）
+
+    可选字段。要连接的主机名，默认为 Pod IP。 
+
+<!--
+- **initialDelaySeconds** (int32)
+
+  Number of seconds after the container has started before liveness probes are initiated. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+-->
+- **初始延迟秒** （int32）
+
+  容器启动后启动存活态探针之前的秒数。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+
+<!--
+- **terminationGracePeriodSeconds** (int64)
+
+  Optional duration in seconds the pod needs to terminate gracefully upon probe failure. The grace period is the duration in seconds after the processes running in the pod are sent a termination signal and the time when the processes are forcibly halted with a kill signal. Set this value longer than the expected cleanup time for your process. If this value is nil, the pod's terminationGracePeriodSeconds will be used. Otherwise, this value overrides the value provided by the pod spec. Value must be non-negative integer. The value zero indicates stop immediately via the kill signal (no opportunity to shut down). This is a beta field and requires enabling ProbeTerminationGracePeriod feature gate. Minimum value is 1. spec.terminationGracePeriodSeconds is used if unset.
+-->
+
+- **terminationGracePeriodSeconds** （int64）
+
+  Pod 需要在探针失败时体面终止所需的时间长度（以秒为单位），为可选字段。 
+  宽限期是 Pod 中运行的进程收到终止信号后，到进程被终止信号强制停止之前的时间长度（以秒为单位）。 
+  你应该将此值设置为比你的进程的预期清理时间更长。 
+  如果此值为 nil，则将使用 Pod 的 `terminateGracePeriodSeconds`。 
+  否则，此值将覆盖 Pod 规约中设置的值。字段值值必须是非负整数。 
+  零值表示收到终止信号立即停止（没有机会关闭）。 
+  这是一个 Beta 字段，需要启用 ProbeTerminationGracePeriod 特性门控。最小值为 1。 
+  如果未设置，则使用 `spec.terminationGracePeriodSeconds`。 
+
+<!--
+- **periodSeconds** (int32)
+
+  How often (in seconds) to perform the probe. Default to 10 seconds. Minimum value is 1.
+-->
+- **periodSeconds** (int32)
+
+  探针的执行周期（以秒为单位）。默认为 10 秒。最小值为 1。 
+
+<!--
+- **timeoutSeconds** (int32)
+
+  Number of seconds after which the probe times out. Defaults to 1 second. Minimum value is 1. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+-->
+- **timeoutSeconds** (int32)
+
+  探针超时的秒数。默认为 1 秒。最小值为 1。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
+
+<!--
+- **failureThreshold** (int32)
+
+  Minimum consecutive failures for the probe to be considered failed after having succeeded. Defaults to 3. Minimum value is 1.
+-->
+- **failureThreshold** (int32)
+
+  探针成功后的最小连续失败次数，超出此阈值则认为探针失败。默认为 3。最小值为 1。 
+
+<!--
+- **successThreshold** (int32)
+
+  Minimum consecutive successes for the probe to be considered successful after having failed. Defaults to 1. Must be 1 for liveness and startup. Minimum value is 1.
+-->
+- **successThreshold** (int32)
+
+  探针失败后最小连续成功次数，超过此阈值才会被视为探针成功。默认为 1。
+  存活性探针和启动探针必须为 1。最小值为 1。 
+
+<!--
+- **grpc** (GRPCAction)
+
+  GRPC specifies an action involving a GRPC port. This is a beta field and requires enabling GRPCContainerProbe feature gate.
+-->
+- **grpc** （GRPCAction）
+
+  GRPC 指定涉及 GRPC 端口的操作。这是一个 Beta 字段，需要启用 GRPCContainerProbe 特性门控。
+
+  <a name="GRPCAction"></a>
+
+  <!--
+  - **grpc.port** (int32), required
+
+    Port number of the gRPC service. Number must be in the range 1 to 65535.
+
+  - **grpc.service** (string)
+
+    Service is the name of the service to place in the gRPC HealthCheckRequest (see https://github.com/grpc/grpc/blob/master/doc/health-checking.md).
+    
+    If this is not specified, the default behavior is defined by gRPC.
+  -->
+
+  - **grpc.port** （int32），必需
+
+    gRPC 服务的端口号。数字必须在 1 到 65535 的范围内。
+
+  - **grpc.service** （string）
+
+    service 是要放置在 gRPC 运行状况检查请求中的服务的名称
+    （请参见 https://github.com/grpc/grpc/blob/master/doc/health-checking.md）。
+    
+    如果未指定，则默认行为由 gRPC 定义。
+
+
+## PodStatus {#PodStatus}
+
+<!--
+PodStatus represents information about the status of a pod. Status may trail the actual state of a system, especially if the node that hosts the pod cannot contact the control plane.
+-->
+PodStatus 表示有关 Pod 状态的信息。状态内容可能会滞后于系统的实际状态，
+尤其是在托管 Pod 的节点无法联系控制平面的情况下。 
+
+<hr>
+
+<!--
+- **nominatedNodeName** (string)
+
+  nominatedNodeName is set only when this pod preempts other pods on the node, but it cannot be scheduled right away as preemption victims receive their graceful termination periods. This field does not guarantee that the pod will be scheduled on this node. Scheduler may decide to place the pod elsewhere if other nodes become available sooner. Scheduler may also decide to give the resources on this node to a higher priority pod that is created after preemption. As a result, this field may be different than PodSpec.nodeName when the pod is scheduled.
+-->
+- **nominatedNodeName** (string)
+
+  仅当此 Pod 抢占节点上的其他 Pod 时才设置 `nominatedNodeName`，
+  但抢占操作的受害者会有体面终止期限，因此此 Pod 无法立即被调度。 
+  此字段不保证 Pod 会在该节点上调度。 
+  如果其他节点更早进入可用状态，调度器可能会决定将 Pod 放置在其他地方。
+  调度器也可能决定将此节点上的资源分配给优先级更高的、在抢占操作之后创建的 Pod。 
+  因此，当 Pod 被调度时，该字段可能与 Pod 规约中的 nodeName 不同。 
+
+<!--
+- **hostIP** (string)
+
+  IP address of the host to which the pod is assigned. Empty if not yet scheduled.
+-->
+- **hostIP** (string)
+
+  Pod 被调度到的主机的 IP 地址。如果尚未被调度，则为字段为空。 
+
+<!--
+- **startTime** (Time)
+
+  RFC 3339 date and time at which the object was acknowledged by the Kubelet. This is before the Kubelet pulled the container image(s) for the pod.
+
+  <a name="Time"></a>
+  *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+-->
+- **startTime** (Time)
+
+  kubelet 确认 Pod 对象的日期和时间，格式遵从 RFC 3339。
+  此时间点处于 kubelet 为 Pod 拉取容器镜像之前。 
+
+  Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+  time 包所提供的许多工厂方法都有包装器。
+
+<!--
+- **phase** (string)
+
+  The phase of a Pod is a simple, high-level summary of where the Pod is in its lifecycle. The conditions array, the reason and message fields, and the individual container status arrays contain more detail about the pod's status. There are five possible phase values:
+  
+  Pending: The pod has been accepted by the Kubernetes system, but one or more of the container images has not been created. This includes time before being scheduled as well as time spent downloading images over the network, which could take a while. Running: The pod has been bound to a node, and all of the containers have been created. At least one container is still running, or is in the process of starting or restarting. Succeeded: All containers in the pod have terminated in success, and will not be restarted. Failed: All containers in the pod have terminated, and at least one container has terminated in failure. The container either exited with non-zero status or was terminated by the system. Unknown: For some reason the state of the pod could not be obtained, typically due to an error in communicating with the host of the pod.
+-->  
+- **phase** (string)
+
+  Pod 的 phase 是对 Pod 在其生命周期中所处位置的简单、高级摘要。
+  conditions 数组、reason 和 message 字段以及各个容器的 status 数组包含有关 Pod
+  状态的进一步详细信息。phase 的取值有五种可能性：
+  
+  - `Pending`：Pod 已被 Kubernetes 系统接受，但尚未创建容器镜像。
+   这包括 Pod 被调度之前的时间以及通过网络下载镜像所花费的时间。
+  - `Running`：Pod 已经被绑定到某个节点，并且所有的容器都已经创建完毕。至少有一个容器仍在运行，或者正在启动或重新启动过程中。
+  - `Succeeded`：Pod 中的所有容器都已成功终止，不会重新启动。
+  - `Failed`：Pod 中的所有容器都已终止，并且至少有一个容器因故障而终止。
+    容器要么以非零状态退出，要么被系统终止。 
+  - `Unknown`：由于某种原因无法获取 Pod 的状态，通常是由于与 Pod 的主机通信时出错。 
+  
+  更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-phase
+
+<!--
+- **message** (string)
+
+  A human readable message indicating details about why the pod is in this condition.
+
+- **reason** (string)
+
+  A brief CamelCase message indicating details about why the pod is in this state. e.g. 'Evicted'
+
+- **podIP** (string)
+
+  IP address allocated to the pod. Routable at least within the cluster. Empty if not yet allocated.
+-->
+- **message** (string)
+
+   一条人类可读的消息，标示有关 Pod 为何处于这种情况的详细信息。 
+
+- **reason** (string)
+
+   一条简短的驼峰式命名的消息，指示有关 Pod 为何处于此状态的详细信息。例如 'Evicted'。
+
+
+- **podIP** （string）
+
+   分配给 Pod 的 IP 地址。至少在集群内可路由。如果尚未分配则为空。 
+
+<!--
+- **podIPs** ([]PodIP)
+
+  *Patch strategy: merge on key `ip`*
+  
+  podIPs holds the IP addresses allocated to the pod. If this field is specified, the 0th entry must match the podIP field. Pods may be allocated at most 1 value for each of IPv4 and IPv6. This list is empty if no IPs have been allocated yet.
+
+  <a name="PodIP"></a>
+  *IP address information for entries in the (plural) PodIPs field. Each entry includes:
+     IP: An IP address allocated to the pod. Routable at least within the cluster.*
+-->
+- **podIPs** （[]PodIP）
+
+  **补丁策略：基于 `ip` 键合并**
+  
+  podIPs 保存分配给 Pod 的 IP 地址。如果指定了该字段，则第 0 个条目必须与 podIP 字段值匹配。 
+  Pod 最多可以为 IPv4 和 IPv6 各分配 1 个值。如果尚未分配 IP，则此列表为空。 
+
+  <a name="PodIP"></a>
+  podIPs 字段中每个条目的 IP 地址信息。每个条目都包含 `ip` 字段，给出分配给 Pod 的 IP 地址。
+  该 IP 地址至少在集群内可路由。
+
+  <!--
+  - **podIPs.ip** (string)
+
+    ip is an IP address (IPv4 or IPv6) assigned to the pod
+  -->
+
+  - **podIP.ip** （string）
+
+     ip 是分配给 Pod 的 IP 地址（IPv4 或 IPv6）。
+
+<!--
+- **conditions** ([]PodCondition)
+
+  *Patch strategy: merge on key `type`*
+  
+  Current service state of pod. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+
+  <a name="PodCondition"></a>
+  *PodCondition contains details for the current condition of this pod.*
+-->
+- **conditions** ([]PodCondition)
+
+   **补丁策略：基于 `ip` 键合并**
+  
+   Pod 的当前服务状态。更多信息：
+   https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+
+  <a name="PodCondition"></a>
+   **PodCondition 包含此 Pod 当前状况的详细信息。**
+
+  <!--
+  - **conditions.status** (string), required
+
+    Status is the status of the condition. Can be True, False, Unknown. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+
+  - **conditions.type** (string), required
+
+    Type is the type of the condition. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+  -->
+   - **conditions.status** (string)，必需
+
+    status 是 condition 的状态。可以是 `True`、`False`、`Unknown` 之一。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+
+  - **conditions.type** (string)，必需
+
+    type 是 condition 的类型。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
+
+  <!--
+  - **conditions.lastProbeTime** (Time)
+
+    Last time we probed the condition.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastProbeTime** (Time)
+
+    上次探测 Pod 状况的时间。
+
+    Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+    time 包所提供的许多工厂方法都有包装器。
+
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    Last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+
+    上次 Pod 状况从一种状态变为另一种状态的时间。
+
+    Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+    time 包所提供的许多工厂方法都有包装器。
+
+  <!--
+  - **conditions.message** (string)
+
+    Human-readable message indicating details about last transition.
+
+  - **conditions.reason** (string)
+
+    Unique, one-word, CamelCase reason for the condition's last transition.
+  -->
+
+  - **conditions.message** (string)
+
+    标示有关上次状况变化的详细信息的、人类可读的消息。 
+
+  - **conditions.reason** (string)
+
+    condition 最近一次变化的唯一、一个单词、驼峰式命名原因。 
+
+<!--
+- **qosClass** (string)
+
+  The Quality of Service (QOS) classification assigned to the pod based on resource requirements See PodQOSClass type for available QOS classes More info: https://git.k8s.io/design-proposals-archive/node/resource-qos.md
+-->
+- **qosClass** （string）
+
+   根据资源要求分配给 Pod 的服务质量 (QOS) 分类。有关可用的 QOS 类，请参阅 PodQOSClass 类型。 
+   更多信息： https://git.k8s.io/design-proposals-archive/node/resource-qos.md
+
+<!--
+- **initContainerStatuses** ([]ContainerStatus)
+
+  The list has one entry per init container in the manifest. The most recent successful init container will have ready = true, the most recently started container will have startTime set. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
+
+  <a name="ContainerStatus"></a>
+  *ContainerStatus contains details for the current status of this container.*
+-->
+
+- **initContainerStatuses** （[]ContainerStatus）
+
+  该列表在清单中的每个 Init 容器中都有一个条目。最近成功的 Init 容器会将 ready 设置为 true，
+  最近启动的容器将设置 startTime。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
+
+  **ContainerStatus 包含此容器当前状态的详细信息。**
+
+  <!--
+  - **initContainerStatuses.name** (string), required
+
+    This must be a DNS_LABEL. Each container in a pod must have a unique name. Cannot be updated.
+
+  - **initContainerStatuses.image** (string), required
+
+    The image the container is running. More info: https://kubernetes.io/docs/concepts/containers/images.
+  -->
+
+  - **initContainerStatuses.name** (string)，必需
+
+    此字段值必须是 DNS_LABEL。Pod 中的每个容器都必须具有唯一的名称。无法更新。 
+
+  - **initContainerStatuses.image** (string)，必需
+
+    容器中正在运行的镜像。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/images。
+
+  <!--
+  - **initContainerStatuses.imageID** (string), required
+
+    ImageID of the container's image.
+
+  - **initContainerStatuses.containerID** (string)
+
+    Container's ID in the format '\<type>://\<container_id>'.
+  -->
+
+  - **initContainerStatuses.imageID** (string)，必需
+
+    容器镜像的镜像 ID。 
+
+  - **initContainerStatuses.containerID** （string）
+
+    格式为 `<type>://<container_id>` 的容器 ID。 
+
+  <!--
+  - **initContainerStatuses.state** (ContainerState)
+
+    Details about the container's current condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+  -->
+
+  - **initContainerStatuses.state** （ContainerState）
+
+    有关容器当前状况的详细信息。
+
+    ContainerState 中保存容器的可能状态。只能设置其成员之一。如果其中所有字段都未设置，
+    则默认为 ContainerStateWaiting。
+
+    <!--
+    - **initContainerStatuses.state.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **initContainerStatuses.state.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息。
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **initContainerStatuses.state.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.state.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **initContainerStatuses.state.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **initContainerStatuses.state.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **ContainerStateTerminated 是容器的终止状态。**
+
+      <!--
+      - **initContainerStatuses.state.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **initContainerStatuses.state.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **initContainerStatuses.state.terminated.containerID** （string）
+
+        容器的 ID，格式为 `"<类型>://<container_id>"`。
+
+      - **initContainerStatuses.state.terminated.exitCode** （int32），必需
+
+        容器上次终止时的退出状态
+
+      <!--
+      - **initContainerStatuses.state.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.state.terminated.startedAt** （Time）
+
+        容器上次执行时的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **initContainerStatuses.state.terminated.finishedAt** (Time)
+
+        Time at which the container last terminated
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.state.terminated.finishedAt** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **initContainerStatuses.state.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **initContainerStatuses.state.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **initContainerStatuses.state.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **initContainerStatuses.state.terminated.message** （string）
+
+        有关容器上次终止的消息。
+
+      - **initContainerStatuses.state.terminated.reason** （string）
+
+        容器最后一次终止的（简要）原因。
+
+      - **initContainerStatuses.state.terminated.signal** （int32）
+
+        容器最后一次终止的信号。
+
+    <!--
+    - **initContainerStatuses.state.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **initContainerStatuses.state.waiting** （ContainerStateWaiting）
+
+      有关等待状态容器的详细信息。
+
+      **容器状态等待是容器的等待状态。**
+
+      <!--
+      - **initContainerStatuses.state.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **initContainerStatuses.state.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **initContainerStatuses.state.waiting.message** （string）
+
+        有关容器尚未运行的原因的消息。
+
+      - **initContainerStatuses.state.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。
+
+  <!--
+  - **initContainerStatuses.lastState** (ContainerState)
+
+    Details about the container's last termination condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+  -->
+
+  - **initContainerStatuses.lastState** （ContainerState）
+
+    有关容器上次终止状况的详细信息。
+
+    ContainerState 保存容器的可能状态。只能设置其成员之一。如果未设置任何成员，
+    则默认为 ContainerStateWaiting。
+
+    <!--
+    - **initContainerStatuses.lastState.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **initContainerStatuses.lastState.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **initContainerStatuses.lastState.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.lastState.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **initContainerStatuses.lastState.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **initContainerStatuses.lastState.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **ContainerStateTerminated 是容器的终止状态。**
+
+      <!--
+      - **initContainerStatuses.lastState.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **initContainerStatuses.lastState.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **initContainerStatuses.lastState.terminated.containerID** （string）
+
+        容器的 ID，格式为 `"<类型>://<container_id>"`。
+
+      - **initContainerStatuses.lastState.terminated.exitCode** （int32），必需
+
+        容器上次终止的退出状态码。
+
+      <!--
+      - **initContainerStatuses.lastState.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.lastState.terminated.startedAt** （Time）
+
+        容器上次执行的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **initContainerStatuses.lastState.terminated.finishedAt** (Time)
+
+        Time at which the container last terminated
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **initContainerStatuses.lastState.terminated.finishedAt** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **initContainerStatuses.lastState.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **initContainerStatuses.lastState.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **initContainerStatuses.lastState.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **initContainerStatuses.lastState.terminated.message** （string）
+
+        有关容器上次终止的消息。
+
+      - **initContainerStatuses.lastState.terminated.reason** （string）
+
+        容器最后一次终止的（简要）原因。
+
+      - **initContainerStatuses.lastState.terminated.signal** （int32）
+
+        容器最后一次终止的信号。
+
+    <!--
+    - **initContainerStatuses.lastState.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **initContainerStatuses.lastState.waiting** （ContainerStateWaiting）
+
+      有关等待状态的容器的详细信息。
+
+      **ContainerStateWaiting 是容器的等待状态。**
+
+      <!--
+      - **initContainerStatuses.lastState.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **initContainerStatuses.lastState.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **initContainerStatuses.lastState.waiting.message** （string）
+
+        关于容器尚未运行的原因的消息。 
+
+      - **initContainerStatuses.lastState.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。 
+
+  <!--
+  - **initContainerStatuses.ready** (boolean), required
+
+    Specifies whether the container has passed its readiness probe.
+
+  - **initContainerStatuses.restartCount** (int32), required
+
+    The number of times the container has been restarted.
+  -->
+
+  - **initContainerStatuses.ready** （boolean），必需
+
+    指定容器是否已通过其就绪态探测。
+
+  - **initContainerStatuses.restartCount** （int32），必需
+
+    容器重新启动的次数。
+
+  <!--
+  - **initContainerStatuses.started** (boolean)
+
+    Specifies whether the container has passed its startup probe. Initialized as false, becomes true after startupProbe is considered successful. Resets to false when the container is restarted, or if kubelet loses state temporarily. Is always true when no startupProbe is defined.
+  -->
+
+  - **initContainerStatuses.started** （boolean）
+
+    指定容器是否已通过其启动探测。初始化为 false，在 startupProbe 成功之后变为 true。
+    在容器重新启动时，或者如果 kubelet 暂时失去状态时重置为 false。
+    在未定义启动探测器时始终为 true。
+
+<!--
+- **containerStatuses** ([]ContainerStatus)
+
+  The list has one entry per container in the manifest. More info: https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
+
+  <a name="ContainerStatus"></a>
+  *ContainerStatus contains details for the current status of this container.*
+-->
+- **containerStatuses** （[]ContainerStatus）
+
+  该列表中针对清单中的每个容器都有一个条目。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
+
+  **ContainerStatus 包含此容器当前状态的详细信息。**
+
+  <!--
+  - **containerStatuses.name** (string), required
+
+    This must be a DNS_LABEL. Each container in a pod must have a unique name. Cannot be updated.
+
+  - **containerStatuses.image** (string), required
+
+    The image the container is running. More info: https://kubernetes.io/docs/concepts/containers/images.
+  -->
+
+  - **containerStatuses.name**（string），必需
+
+    此字段必须是一个 DNS_LABEL。Pod 中的每个容器都必须具有唯一的名称。无法更新。
+
+  - **containerStatuses.image** （string），必需
+
+    容器正在运行的镜像。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/images。
+
+  <!--
+  - **containerStatuses.imageID** (string), required
+
+    ImageID of the container's image.
+
+  - **containerStatuses.containerID** (string)
+
+    Container's ID in the format '\<type>://\<container_id>'.
+  -->
+
+  - **containerStatuses.imageID** （string），必需
+
+    容器镜像的镜像 ID。
+
+  - **containerStatuses.containerID** （string）
+
+    容器的 ID，格式为 `"<类型>://<container_id>"`。
+
+  <!--
+  - **containerStatuses.state** (ContainerState)
+
+    Details about the container's current condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+  -->
+
+  - **containerStatuses.state** （ContainerState）
+
+    有关容器当前状况的详细信息。
+
+    ContainerStatuses 保存容器的可能状态。只能设置其中一个成员。如果所有成员都未设置，
+    则默认为 ContainerStateWaiting。
+
+    <!--
+    - **containerStatuses.state.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **containerStatuses.state.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息。
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **containerStatuses.state.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **containerStatuses.state.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **containerStatuses.state.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **containerStatuses.state.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **ContainerStateTerminated 是容器的终止状态。**
+
+      <!--
+      - **containerStatuses.state.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **containerStatuses.state.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **containerStatuses.state.terminated.containerID** （string）
+
+        容器的 ID，格式为 `"<类型>://<container_id>"`。
+
+      - **containerStatuses.state.terminated.exitCode** （int32），必需
+
+        容器上次终止的退出状态码。
+
+      <!--
+      - **containerStatuses.state.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **containerStatuses.state.terminated.startedAt** （Time）
+
+        容器上次执行的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **containerStatuses.state.terminated.finishat** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **containerStatuses.state.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **containerStatuses.state.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **containerStatuses.state.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **containerStatuses.state.terminated.message** （string）
+
+        有关容器上次终止的消息。
+
+      - **containerStatuses.state.terminated.reason** （string）
+
+        容器最后一次终止的（简要）原因
+
+      - **containerStatuses.state.terminated.signal** （int32）
+
+        容器最后一次终止的信号。
+
+    <!--
+    - **containerStatuses.state.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **containerStatuses.state.waiting** （ContainerStateWaiting）
+
+      有关等待容器的详细信息。
+
+      **ContainerStateWaiting 是容器的等待状态。**
+
+      <!--
+      - **containerStatuses.state.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **containerStatuses.state.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **containerStatuses.state.waiting.message** （string）
+
+        关于容器尚未运行的原因的消息。 
+
+      - **containerStatuses.state.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。 
+
+  <!--
+  - **containerStatuses.lastState** (ContainerState)
+
+    Details about the container's last termination condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+  -->
+
+  - **containerStatuses.lastState** （ContainerState）
+
+    有关容器上次终止状况的详细信息。
+
+    容器状态保存容器的可能状态。只能设置一个成员。如果所有成员都未设置，
+    则默认为 ContainerStateWaiting。
+
+    <!--
+    - **containerStatuses.lastState.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **containerStatuses.lastState.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息。
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **containerStatuses.lastState.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **containerStatuses.lastState.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **containerStatuses.lastState.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **containerStatuses.lastState.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **ContainerStateTerminated 是容器的终止状态。**
+
+      <!--
+      - **containerStatuses.lastState.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **containerStatuses.lastState.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **containerStatuses.lastState.terminated.containerID** （string）
+
+        格式为 `<type>://<container_id>` 的容器 ID。
+
+      - **containerStatuses.lastState.terminated.exitCode** (int32)，必需
+
+        容器最后终止的退出状态码。
+
+      <!--
+      - **containerStatuses.lastState.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **containerStatuses.lastState.terminated.startedAt** （Time）
+
+        容器上次执行时的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **containerStatuses.lastState.terminated.finishedAt** (Time)
+
+        Time at which the container last terminated
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **containerStatuses.lastState.terminated.finishedAt** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **containerStatuses.lastState.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **containerStatuses.lastState.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **containerStatuses.lastState.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **containerStatuses.lastState.terminated.message** （string）
+
+        关于容器上次终止的消息。
+
+      - **containerStatuses.lastState.terminated.reason** （string）
+
+        容器上次终止的（简要）原因
+
+      - **containerStatuses.lastState.terminated.signal** （int32）
+
+        容器上次终止的信号。
+
+    <!--
+    - **containerStatuses.lastState.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **containerStatuses.lastState.waiting** （ContainerStateWaiting）
+
+      有关等待容器的详细信息。
+
+      **ContainerStateWaiting 是容器的等待状态。**
+
+      <!--
+      - **containerStatuses.lastState.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **containerStatuses.lastState.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **containerStatuses.lastState.waiting.message** （string）
+
+        关于容器尚未运行的原因的消息。 
+
+      - **containerStatuses.lastState.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。
+
+  <!--
+  - **containerStatuses.ready** (boolean), required
+
+    Specifies whether the container has passed its readiness probe.
+
+  - **containerStatuses.restartCount** (int32), required
+
+    The number of times the container has been restarted.
+  -->
+
+  - **containerStatuses.ready** (boolean)，必需
+
+    指定容器是否已通过其就绪态探针。 
+
+  - **containerStatuses.restartCount** (int32)，必需
+
+    容器重启的次数。 
+
+  <!--
+  - **containerStatuses.started** (boolean)
+
+    Specifies whether the container has passed its startup probe. Initialized as false, becomes true after startupProbe is considered successful. Resets to false when the container is restarted, or if kubelet loses state temporarily. Is always true when no startupProbe is defined.
+  -->
+
+  - **containerStatuses.started** （boolean）
+
+    指定容器是否已通过其启动探针探测。初始化为 false，startupProbe 被认为成功后变为 true。 
+    当容器重新启动或 kubelet 暂时丢失状态时重置为 false。 
+    未定义启动探针时始终为 true。 
+
+<!--
+- **ephemeralContainerStatuses** ([]ContainerStatus)
+
+  Status for any ephemeral containers that have run in this pod. This field is beta-level and available on clusters that haven't disabled the EphemeralContainers feature gate.
+
+  <a name="ContainerStatus"></a>
+  *ContainerStatus contains details for the current status of this container.*
+-->
+- **ephemeralContainerStatuses** （[]ContainerStatus）
+
+  已在此 Pod 中运行的任何临时容器的状态。 
+  此字段是 Beta 级别的，可在尚未禁用 `EphemeralContainers` 特性门控的集群上使用。 
+
+  **ContainerStatus 包含此容器当前状态的详细信息。**
+
+  <!--
+  - **ephemeralContainerStatuses.name** (string), required
+
+    This must be a DNS_LABEL. Each container in a pod must have a unique name. Cannot be updated.
+
+  - **ephemeralContainerStatuses.image** (string), required
+
+    The image the container is running. More info: https://kubernetes.io/docs/concepts/containers/images.
+  -->
+
+  - **ephemeralContainerStatuses.name** (string)，必需
+
+    字段值必须是 DNS_LABEL。Pod 中的每个容器都必须具有唯一的名称。无法更新。 
+
+  - **ephemeralContainerStatuses.image** (string)，必需
+
+    容器正在运行的镜像。更多信息：
+    https://kubernetes.io/zh-cn/docs/concepts/containers/images。
+
+  <!--
+  - **ephemeralContainerStatuses.imageID** (string), required
+
+    ImageID of the container's image.
+
+  - **ephemeralContainerStatuses.containerID** (string)
+
+    Container's ID in the format '\<type>://\<container_id>'.
+  -->
+
+  - **ephemeralContainerStatuses.imageID** (string)，必需
+
+    容器镜像的镜像 ID。 
+
+  - **ephemeralContainerStatuses.containerID** （string）
+
+    格式为 `<type>://<container_id>` 的容器 ID。 
+
+  <!--
+  - **ephemeralContainerStatuses.state** (ContainerState)
+
+    Details about the container's current condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+-->
+  - **ephemeralContainerStatuses.state** （ContainerState）
+
+    有关容器当前状况的详细信息。 
+
+    ContainerState 保存容器的可能状态。只能设置其中一个成员。如果所有成员都未设置，
+    则默认为 ContainerStateWaiting。
+
+    <!--
+    - **ephemeralContainerStatuses.state.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.state.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.state.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.state.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **ephemeralContainerStatuses.state.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.state.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **ContainerStateTerminated 是容器的终止状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **ephemeralContainerStatuses.state.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **ephemeralContainerStatuses.state.terminated.containerID** （string）
+
+        格式为 `<type>://<container_id>` 的容器 ID。
+
+      - **ephemeralContainerStatuses.state.terminated.exitCode** (int32)，必需
+
+        容器上次终止的退出状态码。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.state.terminated.startedAt** （Time）
+
+        容器上次执行的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.finishedAt** (Time)
+
+        Time at which the container last terminated
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.state.terminated.finishat** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **ephemeralContainerStatuses.state.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **ephemeralContainerStatuses.state.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **ephemeralContainerStatuses.state.terminated.message** （string）
+
+        关于容器上次终止的消息。
+
+      - **ephemeralContainerStatuses.state.terminated.reason** （string）
+
+        容器上次终止的（简要）原因
+
+      - **ephemeralContainerStatuses.state.terminated.signal** （int32）
+
+        容器上次终止的信号
+
+    <!--
+    - **ephemeralContainerStatuses.state.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.state.waiting** （ContainerStateWaiting）
+
+      有关等待容器的详细信息。
+
+      **ContainerStateWaiting 是容器的等待状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.state.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **ephemeralContainerStatuses.state.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **ephemeralContainerStatuses.state.waiting.message** （string）
+
+        关于容器尚未运行的原因的消息。 
+
+      - **ephemeralContainerStatuses.state.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。 
+
+  <!--
+  - **ephemeralContainerStatuses.lastState** (ContainerState)
+
+    Details about the container's last termination condition.
+
+    <a name="ContainerState"></a>
+    *ContainerState holds a possible state of container. Only one of its members may be specified. If none of them is specified, the default one is ContainerStateWaiting.*
+-->
+  - **ephemeralContainerStatuses.lastState** （ContainerState）
+
+    有关容器的上次终止状况的详细信息。 
+
+    ContainerState 保存容器的可能状态。只能设置其中一个成员。如果所有成员都未设置，
+    则默认为 `ContainerStateWaiting`。
+
+    <!--
+    - **ephemeralContainerStatuses.lastState.running** (ContainerStateRunning)
+
+      Details about a running container
+
+      <a name="ContainerStateRunning"></a>
+      *ContainerStateRunning is a running state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.lastState.running** （ContainerStateRunning）
+
+      有关正在运行的容器的详细信息。
+
+      **ContainerStateRunning 是容器的运行状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.lastState.running.startedAt** (Time)
+
+        Time at which the container was last (re-)started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.lastState.running.startedAt** （Time）
+
+        容器上次（重新）启动的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+    <!--
+    - **ephemeralContainerStatuses.lastState.terminated** (ContainerStateTerminated)
+
+      Details about a terminated container
+
+      <a name="ContainerStateTerminated"></a>
+      *ContainerStateTerminated is a terminated state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.lastState.terminated** （ContainerStateTerminated）
+
+      有关已终止容器的详细信息。
+
+      **`ContainerStateTerminated` 是容器的终止状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.lastState.terminated.containerID** (string)
+
+        Container's ID in the format '\<type>://\<container_id>'
+
+      - **ephemeralContainerStatuses.lastState.terminated.exitCode** (int32), required
+
+        Exit status from the last termination of the container
+      -->
+
+      - **ephemeralContainerStatuses.lastState.terminated.containerID** （string）
+
+        格式为 `<type>://<container_id>` 的容器 ID。
+
+      - **ephemeralContainerStatuses.lastState.terminated.exitCode** (int32)，必需
+
+        容器上次终止时的退出状态码。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.startedAt** (Time)
+
+        Time at which previous execution of the container started
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.lastState.terminated.startedAt** （Time）
+
+        容器上次执行的开始时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.finishedAt** (Time)
+
+        Time at which the container last terminated
+
+        <a name="Time"></a>
+        *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+      -->
+
+      - **ephemeralContainerStatuses.lastState.terminated.finishedAt** （Time）
+
+        容器上次终止的时间。
+
+        Time 是 `time.Time` 的包装器，支持正确编组为 YAML 和 JSON。
+        time 包所提供的许多工厂方法都有包装器。
+
+      <!--
+      - **ephemeralContainerStatuses.state.terminated.message** (string)
+
+        Message regarding the last termination of the container
+
+      - **ephemeralContainerStatuses.state.terminated.reason** (string)
+
+        (brief) reason from the last termination of the container
+
+      - **ephemeralContainerStatuses.state.terminated.signal** (int32)
+
+        Signal from the last termination of the container
+      -->
+
+      - **ephemeralContainerStatuses.lastState.terminated.message** （string）
+
+        关于容器上次终止的消息。
+
+      - **ephemeralContainerStatuses.lastState.terminated.reason** （string）
+
+        容器上次终止的（简要）原因。
+
+      - **ephemeralContainerStatuses.lastState.terminated.signal** （int32）
+
+        容器上次终止的信号。
+
+    <!--
+    - **ephemeralContainerStatuses.state.waiting** (ContainerStateWaiting)
+
+      Details about a waiting container
+
+      <a name="ContainerStateWaiting"></a>
+      *ContainerStateWaiting is a waiting state of a container.*
+    -->
+
+    - **ephemeralContainerStatuses.lastState.waiting** （ContainerStateWaiting）
+
+      有关等待状态容器的详细信息。
+
+      **ContainerStateWaiting 是容器的等待状态。**
+
+      <!--
+      - **ephemeralContainerStatuses.state.waiting.message** (string)
+
+        Message regarding why the container is not yet running.
+
+      - **ephemeralContainerStatuses.state.waiting.reason** (string)
+
+        (brief) reason the container is not yet running.
+      -->
+
+      - **ephemeralContainerStatuses.lastState.waiting.message** （string）
+
+        关于容器尚未运行的原因的消息。 
+
+      - **ephemeralContainerStatuses.lastState.waiting.reason** （string）
+
+        容器尚未运行的（简要）原因。 
+
+  <!--
+  - **ephemeralContainerStatuses.ready** (boolean), required
+
+    Specifies whether the container has passed its readiness probe.
+
+  - **ephemeralContainerStatuses.restartCount** (int32), required
+
+    The number of times the container has been restarted.
+  -->
+
+  - **ephemeralContainerStatuses.ready** （boolean），必需
+
+    指定容器是否已通过其就绪态探测。
+
+  - **ephemeralContainerStatuses.restartCount** （int32），必需
+
+    容器重新启动的次数。
+
+  <!--
+  - **ephemeralContainerStatuses.started** (boolean)
+
+    Specifies whether the container has passed its startup probe. Initialized as false, becomes true after startupProbe is considered successful. Resets to false when the container is restarted, or if kubelet loses state temporarily. Is always true when no startupProbe is defined.
+  -->
+
+  - **ephemeralContainerStatuses.started** （boolean）
+
+    指定容器是否已通过其启动探测。初始化为 false，在 startProbe 成功之后变为 true。
+    在容器重新启动时或者 kubelet 暂时失去状态时重置为 false。
+    在未定义 startupProbe 时始终为 true。
+
+## PodList {#PodList}
+
+<!--
+PodList 是 Pod 的列表。
+-->
+PodList 是 Pod 的列表。 
+
+<hr>
+
+<!--
+- **items** ([]<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>), required
+
+  List of pods. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md
+-->
+- **items** （[]<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>），必需
+
+  Pod 列表。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md
+
+<!--
+- **apiVersion** (string)
+
+  APIVersion defines the versioned schema of this representation of an object. Servers should convert recognized schemas to the latest internal value, and may reject unrecognized values. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
+-->
+- **apiVersion** （string）
+
+  apiVersion 定义对象表示的版本化模式。服务器应将已识别的模式转换为最新的内部值，
+  并可能拒绝无法识别的值。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
+
+<!--
+- **kind** (string)
+
+  Kind is a string value representing the REST resource this object represents. Servers may infer this from the endpoint the client submits requests to. Cannot be updated. In CamelCase. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+-->
+- **kind**（string）
+
+  kind 是一个字符串值，表示此对象表示的 REST 资源。服务器可以从客户端提交请求的端点推断出资源类别。 
+  无法更新。采用驼峰式命名。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+-->
+- **metadata** （<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>）
+
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+<!--
+## 操作 {#Operations}
+-->
+## 操作 {#Operations}
+
+<hr>
+
+<!--
+### `get` read the specified Pod
+-->
+### `get` 读取指定的 Pod
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/pods/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read ephemeralcontainers of the specified Pod
+-->
+### `get` 读取指定 Pod 的 ephemeralcontainers
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read log of the specified Pod
+-->
+
+### `get` 读取指定 Pod 的日志
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/pods/{name}/log
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **container** (*in query*): string
+
+  The container for which to stream logs. Defaults to only container if there is one container in the pod.
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称。
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **container** (**查询参数**): string
+
+  为其流式传输日志的容器。如果 Pod 中有一个容器，则默认为仅容器。
+
+<!--
+- **follow** (*in query*): boolean
+
+  Follow the log stream of the pod. Defaults to false.
+
+
+- **insecureSkipTLSVerifyBackend** (*in query*): boolean
+
+  insecureSkipTLSVerifyBackend indicates that the apiserver should not confirm the validity of the serving certificate of the backend it is connecting to.  This will make the HTTPS connection between the apiserver and the backend insecure. This means the apiserver cannot verify the log data it is receiving came from the real kubelet.  If the kubelet is configured to verify the apiserver's TLS credentials, it does not mean the connection to the real kubelet is vulnerable to a man in the middle attack (e.g. an attacker could not intercept the actual log data coming from the real kubelet).
+-->
+- **follow** (**查询参数**)：boolean
+
+  跟踪 Pod 的日志流。默认为 false。
+
+- **insecureSkipTLSVerifyBackend** (**查询参数**)：boolean
+
+  `insecureSkipTLSVerifyBackend` 表示 API 服务器不应确认它所连接的后端的服务证书的有效性。
+  这将使 API 服务器和后端之间的 HTTPS 连接不安全。
+  这意味着 API 服务器无法验证它接收到的日志数据是否来自真正的 kubelet。
+  如果 kubelet 配置为验证 API 服务器的 TLS 凭据，这并不意味着与真实 kubelet
+  的连接容易受到中间人攻击（例如，攻击者无法拦截来自真实 kubelet 的实际日志数据）。
+
+<!--
+- **limitBytes** (*in query*): integer
+
+  If set, the number of bytes to read from the server before terminating the log output. This may not display a complete final line of logging, and may return slightly more or slightly less than the specified limit.
+
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **limitBytes** (**查询参数**): integer
+
+  如果设置，则表示在终止日志输出之前从服务器读取的字节数。
+  设置此参数可能导致无法显示完整的最后一行日志记录，并且可能返回略多于或略小于指定限制。
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **previous** (*in query*): boolean
+
+  Return previous terminated container logs. Defaults to false.
+
+- **sinceSeconds** (*in query*): integer
+
+  A relative time in seconds before the current time from which to show logs. If this value precedes the time a pod was started, only logs since the pod start will be returned. If this value is in the future, no logs will be returned. Only one of sinceSeconds or sinceTime may be specified.
+-->
+- **previous** (**查询参数**)：boolean
+
+  返回之前终止了的容器的日志。默认为 false。
+
+- **sinceSeconds** (**查询参数**): integer
+
+  显示日志的当前时间之前的相对时间（以秒为单位）。如果此值早于 Pod 启动时间，
+  则仅返回自 Pod 启动以来的日志。如果此值是将来的值，则不会返回任何日志。
+  只能指定 `sinceSeconds` 或 `sinceTime` 之一。
+
+<!--
+- **tailLines** (*in query*): integer
+
+  If set, the number of lines from the end of the logs to show. If not specified, logs are shown from the creation of the container or sinceSeconds or sinceTime
+
+- **timestamps** (*in query*): boolean
+
+  If true, add an RFC3339 or RFC3339Nano timestamp at the beginning of every line of log output. Defaults to false.
+-->
+- **tailLines** (**查询参数**): integer
+
+  如果设置，则从日志末尾开始显示的行数。如果未指定，则从容器创建或 `sinceSeconds` 或
+  `sinceTime` 时刻显示日志。
+
+- **timestamps** (**查询参数**)：boolean
+
+  如果为 true，则在每行日志输出的开头添加 RFC3339 或 RFC3339Nano 时间戳。默认为 false。
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (string): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified Pod
+-->
+### `get` 读取指定 Pod 的状态
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/pods/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Pod
+-->
+### `list` 列出或观察 Pod 种类的对象
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/pods
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+-->
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!--
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#PodList" >}}">PodList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind Pod
+-->
+### `list` 列出或观察 Pod 种类的对象
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+GET /api/v1/pods
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **allowWatchBookmarks** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+-->
+
+- **timeoutSeconds** (**查询参数**)：integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#PodList" >}}">PodList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a Pod
+-->
+### `create` 创建一个 Pod
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+POST /api/v1/namespaces/{namespace}/pods
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>, required
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>，必需
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified Pod
+-->
+### `update` 替换指定的 Pod
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/pods/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称。
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace ephemeralcontainers of the specified Pod
+-->
+### `update` 替换指定 Pod 的 ephemeralcontainers
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified Pod
+-->
+### `update` 替换指定 Pod 的状态
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/pods/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>，必需
+
+<!--  
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified Pod
+-->
+### `patch` 部分更新指定 Pod
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/pods/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update ephemeralcontainers of the specified Pod
+-->
+### `patch` 部分更新指定 Pod 的 ephemeralcontainers
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称。
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+   <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified Pod
+-->
+### `patch` 部分更新指定 Pod 的状态
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/pods/{name}/status
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称。
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+<!--
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!--
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**)：boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**)：string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a Pod
+-->
+### `delete` 删除一个 Pod
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/pods/{name}
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **name** (*in path*): string, required
+
+  name of the Pod
+
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+-->
+- **name** (**路径参数**): string，必需
+
+  Pod 的名称。
+
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): OK
+
+202 (<a href="{{< ref "../workload-resources/pod-v1#Pod" >}}">Pod</a>): Accepted
+
+401: Unauthorize
+
+<!--
+### `deletecollection` delete collection of Pod
+-->
+### `deletecollection` 删除 Pod 的集合
+
+<!--
+#### HTTP Request
+-->
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/pods
+
+<!--
+#### Parameters
+-->
+#### 参数
+
+<!--
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+-->
+- **namespace** (**路径参数**): string，必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**：<a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!--
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!--
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!--
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!--
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!--
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/priority-class-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/priority-class-v1.md
index 52fc887ab97..dd9fd113732 100644
--- a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/priority-class-v1.md
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/priority-class-v1.md
@@ -87,7 +87,7 @@ PriorityClass 定义了从优先级类名到优先级数值的映射。
 -->
 - **globalDefault** (boolean)
 
-  globalDefault 指定是否应将此 PriorityClass 视为没有任何优先级类的 pod 的默认优先级。
+  globalDefault 指定是否应将此 PriorityClass 视为没有任何优先级类的 Pod 的默认优先级。
   只有一个 PriorityClass 可以标记为 `globalDefault`。
   但是，如果存在多个 PriorityClasses 且其 `globalDefault` 字段设置为 true，
   则将使用此类全局默认 PriorityClasses 的最小值作为默认优先级。
@@ -430,7 +430,7 @@ PUT /apis/scheduling.k8s.io/v1/priorityclasses/{name}
 
   name of the PriorityClass
 -->
-- **name** （*路径参数*）: string，必需
+- **name** （**路径参数**）: string，必需
 
   PriorityClass 名称
 
@@ -518,7 +518,7 @@ PATCH /apis/scheduling.k8s.io/v1/priorityclasses/{name}
 
   name of the PriorityClass
 -->
-- **name** （*路径参数*）: string，必须
+- **name** （**路径参数**）: string，必需
 
   PriorityClass 名称
 
@@ -613,7 +613,7 @@ Parameters
 
   name of the PriorityClass
 -->
-- **name** （*路径参数*）: string，必需
+- **name** （**路径参数**）: string，必需
 
   PriorityClass 名称。
 
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replica-set-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replica-set-v1.md
new file mode 100644
index 00000000000..8a07eaac441
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replica-set-v1.md
@@ -0,0 +1,979 @@
+---
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "ReplicaSet"
+content_type: "api_reference"
+description: "ReplicaSet 确保在任何给定的时刻都在运行指定数量的 Pod 副本。"
+title: "ReplicaSet"
+weight: 4
+---
+<!--
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "ReplicaSet"
+content_type: "api_reference"
+description: "ReplicaSet ensures that a specified number of pod replicas are running at any given time."
+title: "ReplicaSet"
+weight: 4
+auto_generated: true
+-->
+
+`apiVersion: apps/v1`
+
+`import "k8s.io/api/apps/v1"`
+
+## ReplicaSet {#ReplicaSet}
+
+<!--
+ReplicaSet ensures that a specified number of pod replicas are running at any given time.
+-->
+ReplicaSet 确保在任何给定的时刻都在运行指定数量的 Pod 副本。
+
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: ReplicaSet
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  If the Labels of a ReplicaSet are empty, they are defaulted to be the same as the Pod(s) that the ReplicaSet manages. Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetSpec" >}}">ReplicaSetSpec</a>)
+
+  Spec defines the specification of the desired behavior of the ReplicaSet. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  
+  如果 ReplicaSet 的标签为空，则这些标签默认为与 ReplicaSet 管理的 Pod 相同。
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetSpec" >}}">ReplicaSetSpec</a>)
+  
+  spec 定义 ReplicaSet 预期行为的规约。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetStatus" >}}">ReplicaSetStatus</a>)
+
+  Status is the most recently observed status of the ReplicaSet. This data may be out of date by some window of time. Populated by the system. Read-only. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetStatus" >}}">ReplicaSetStatus</a>)
+  
+  status 是最近观测到的 ReplicaSet 状态。此数据可能在某个时间窗之后过期。
+  该值由系统填充，只读。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## ReplicaSetSpec {#ReplicaSetSpec}
+
+<!--
+ReplicaSetSpec is the specification of a ReplicaSet.
+-->
+ReplicaSetSpec 是 ReplicaSet 的规约。
+
+<hr>
+
+<!--
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>), required
+
+  Selector is a label query over pods that should match the replica count. Label keys and values that must match in order to be controlled by this replica set. It must match the pod template's labels. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)
+
+  Template is the object that describes the pod that will be created if insufficient replicas are detected. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller#pod-template
+-->
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>)，必需
+  
+  selector 是针对 Pod 的标签查询，应与副本计数匹配。标签的主键和取值必须匹配，
+  以便由这个 ReplicaSet 进行控制。它必须与 Pod 模板的标签匹配。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)
+  
+  template 是描述 Pod 的一个对象，将在检测到副本不足时创建此对象。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller#pod-template
+
+<!--
+- **replicas** (int32)
+
+  Replicas is the number of desired replicas. This is a pointer to distinguish between explicit zero and unspecified. Defaults to 1. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller/#what-is-a-replicationcontroller
+
+- **minReadySeconds** (int32)
+
+  Minimum number of seconds for which a newly created pod should be ready without any of its container crashing, for it to be considered available. Defaults to 0 (pod will be considered available as soon as it is ready)
+-->
+- **replicas** (int32)
+  
+  replicas 是预期副本的数量。这是一个指针，用于辨别显式零和未指定的值。默认为 1。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller/#what-is-a-replicationcontroller
+
+- **minReadySeconds** (int32)
+  
+  新建的 Pod 在没有任何容器崩溃的情况下就绪并被系统视为可用的最短秒数。
+  默认为 0（Pod 就绪后即被视为可用）。
+
+## ReplicaSetStatus {#ReplicaSetStatus}
+
+<!--
+ReplicaSetStatus represents the current status of a ReplicaSet.
+-->
+ReplicaSetStatus 表示 ReplicaSet 的当前状态。
+
+<hr>
+
+<!--
+- **replicas** (int32), required
+
+  Replicas is the most recently oberved number of replicas. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller/#what-is-a-replicationcontroller
+
+- **availableReplicas** (int32)
+
+  The number of available replicas (ready for at least minReadySeconds) for this replica set.
+-->
+- **replicas** (int32)，必需
+  
+  replicas 是最近观测到的副本数量。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller/#what-is-a-replicationcontroller
+
+- **availableReplicas** (int32)
+  
+  此副本集可用副本（至少 minReadySeconds 才能就绪）的数量。
+
+<!--
+- **readyReplicas** (int32)
+
+  readyReplicas is the number of pods targeted by this ReplicaSet with a Ready Condition.
+
+- **fullyLabeledReplicas** (int32)
+
+  The number of pods that have labels matching the labels of the pod template of the replicaset.
+-->
+- **readyReplicas** (int32)
+  
+  readyReplicas 是此 ReplicaSet 在就绪状况下处理的目标 Pod 数量。
+
+- **fullyLabeledReplicas** (int32)
+  
+  标签与 ReplicaSet 的 Pod 模板标签匹配的 Pod 数量。
+
+<!--
+- **conditions** ([]ReplicaSetCondition)
+
+  *Patch strategy: merge on key `type`*
+  
+  Represents the latest available observations of a replica set's current state.
+
+  <a name="ReplicaSetCondition"></a>
+  *ReplicaSetCondition describes the state of a replica set at a certain point.*
+-->
+- **conditions** ([]ReplicaSetCondition)
+  
+  **补丁策略：按照键 `type` 合并**
+  
+  表示副本集当前状态的最新可用观测值。
+  
+  <a name="ReplicaSetCondition"></a> 
+  **ReplicaSetCondition 描述某个点的副本集状态。**
+  
+  <!--
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.
+
+  - **conditions.type** (string), required
+
+    Type of replica set condition.
+  -->
+
+  - **conditions.status** (string)，必需
+    
+    状况的状态，取值为 True、False 或 Unknown 之一。
+  
+  - **conditions.type** (string)，必需
+    
+    副本集状况的类型。
+  
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    The last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+    
+    状况上次从一个状态转换为另一个状态的时间。
+    
+    <a name="Time"></a>
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+  
+  <!--
+  - **conditions.message** (string)
+
+    A human readable message indicating details about the transition.
+
+  - **conditions.reason** (string)
+
+    The reason for the condition's last transition.
+  -->
+
+  - **conditions.message** (string)
+    
+    这是一条人类可读的消息，指示有关上次转换的详细信息。
+  
+  - **conditions.reason** (string)
+    
+    状况上次转换的原因。
+
+<!--
+- **observedGeneration** (int64)
+
+  ObservedGeneration reflects the generation of the most recently observed ReplicaSet.
+-->
+- **observedGeneration** (int64)
+  
+  observedGeneration 反映了最近观测到的 ReplicaSet 生成情况。
+
+## ReplicaSetList {#ReplicaSetList}
+
+<!--
+ReplicaSetList is a collection of ReplicaSets.
+-->
+ReplicaSetList 是多个 ReplicaSet 的集合。
+
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: ReplicaSetList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>), required
+
+  List of ReplicaSets. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>)，必需
+  
+  ReplicaSet 的列表。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller
+
+<!--
+## Operations {#Operations}
+
+<hr>
+
+### `get` read the specified ReplicaSet
+
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 ReplicaSet
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/replicasets/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified ReplicaSet
+
+#### HTTP Request
+-->
+### `get` 读取指定的 ReplicaSet 的状态
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/replicasets/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind ReplicaSet
+
+#### HTTP Request
+-->
+### `list` 列出或监视 ReplicaSet 类别的对象
+
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/replicasets
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetList" >}}">ReplicaSetList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind ReplicaSet
+
+#### HTTP Request
+-->
+### `list` 列出或监视 ReplicaSet 类别的对象
+
+#### HTTP 请求
+
+GET /apis/apps/v1/replicasets
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSetList" >}}">ReplicaSetList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a ReplicaSet
+
+#### HTTP Request
+-->
+### `create` 创建 ReplicaSet
+
+#### HTTP 请求
+
+POST /apis/apps/v1/namespaces/{namespace}/replicasets
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified ReplicaSet
+
+#### HTTP Request
+-->
+### `update` 替换指定的 ReplicaSet
+
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/replicasets/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified ReplicaSet
+
+#### HTTP Request
+-->
+### `update` 替换指定的 ReplicaSet 的状态
+
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/replicasets/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified ReplicaSet
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 ReplicaSet
+
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/replicasets/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified ReplicaSet
+
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 ReplicaSet 的状态
+
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/replicasets/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replica-set-v1#ReplicaSet" >}}">ReplicaSet</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a ReplicaSet
+
+#### HTTP Request
+-->
+### `delete` 删除 ReplicaSet
+
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/replicasets/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicaSet
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicaSet 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of ReplicaSet
+
+#### HTTP Request
+-->
+### `deletecollection` 删除 ReplicaSet 的集合
+
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/replicasets
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replication-controller-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replication-controller-v1.md
new file mode 100644
index 00000000000..ba4baaccb94
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/replication-controller-v1.md
@@ -0,0 +1,969 @@
+---
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ReplicationController"
+content_type: "api_reference"
+description: "ReplicationController 表示一个副本控制器的配置。"
+title: "ReplicationController"
+weight: 3
+---
+<!--
+api_metadata:
+  apiVersion: "v1"
+  import: "k8s.io/api/core/v1"
+  kind: "ReplicationController"
+content_type: "api_reference"
+description: "ReplicationController represents the configuration of a replication controller."
+title: "ReplicationController"
+weight: 3
+auto_generated: true
+-->
+
+`apiVersion: v1`
+
+`import "k8s.io/api/core/v1"`
+
+## ReplicationController {#ReplicationController}
+
+<!--
+ReplicationController represents the configuration of a replication controller.
+-->
+ReplicationController 表示一个副本控制器的配置。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: ReplicationController
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  If the Labels of a ReplicationController are empty, they are defaulted to be the same as the Pod(s) that the replication controller manages. Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerSpec" >}}">ReplicationControllerSpec</a>)
+
+  Spec defines the specification of the desired behavior of the replication controller. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+  
+  如果 ReplicationController 的标签为空，则这些标签默认为与副本控制器管理的 Pod 相同。
+  标准的对象元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+- **spec** (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerSpec" >}}">ReplicationControllerSpec</a>)
+  
+  spec 定义副本控制器预期行为的规约。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+<!--
+- **status** (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerStatus" >}}">ReplicationControllerStatus</a>)
+
+  Status is the most recently observed status of the replication controller. This data may be out of date by some window of time. Populated by the system. Read-only. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+-->
+- **status** (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerStatus" >}}">ReplicationControllerStatus</a>)
+  
+  status 是最近观测到的副本控制器的状态。此数据可能在某个时间窗之后过期。
+  该值由系统填充，只读。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
+
+## ReplicationControllerSpec {#ReplicationControllerSpec}
+
+<!--
+ReplicationControllerSpec is the specification of a replication controller.
+-->
+ReplicationControllerSpec 表示一个副本控制器的规约。
+
+<hr>
+
+<!--
+- **selector** (map[string]string)
+
+  Selector is a label query over pods that should match the Replicas count. If Selector is empty, it is defaulted to the labels present on the Pod template. Label keys and values that must match in order to be controlled by this replication controller, if empty defaulted to labels on Pod template. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)
+
+  Template is the object that describes the pod that will be created if insufficient replicas are detected. This takes precedence over a TemplateRef. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller#pod-template
+-->
+- **selector** (map[string]string)
+  
+  selector 是针对 Pod 的标签查询，符合条件的 Pod 个数应与 replicas 匹配。
+  如果 selector 为空，则默认为出现在 Pod 模板中的标签。
+  如果置空以表示默认使用 Pod 模板中的标签，则标签的主键和取值必须匹配，以便由这个副本控制器进行控制。
+  更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>)
+  
+  template 是描述 Pod 的一个对象，将在检测到副本不足时创建此对象。
+  此字段优先于 templateRef。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller#pod-template
+
+<!--
+- **replicas** (int32)
+
+  Replicas is the number of desired replicas. This is a pointer to distinguish between explicit zero and unspecified. Defaults to 1. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller#what-is-a-replicationcontroller
+
+- **minReadySeconds** (int32)
+
+  Minimum number of seconds for which a newly created pod should be ready without any of its container crashing, for it to be considered available. Defaults to 0 (pod will be considered available as soon as it is ready)
+-->
+- **replicas** (int32)
+  
+  replicas 是预期副本的数量。这是一个指针，用于辨别显式零和未指定的值。默认为 1。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller#what-is-a-replicationcontroller
+
+- **minReadySeconds** (int32)
+  
+  新建的 Pod 在没有任何容器崩溃的情况下就绪并被系统视为可用的最短秒数。
+  默认为 0（Pod 就绪后即被视为可用）。
+
+## ReplicationControllerStatus {#ReplicationControllerStatus}
+
+<!--
+ReplicationControllerStatus represents the current status of a replication controller.
+-->
+ReplicationControllerStatus 表示一个副本控制器的当前状态。
+
+<hr>
+
+<!--
+- **replicas** (int32), required
+
+  Replicas is the most recently oberved number of replicas. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller#what-is-a-replicationcontroller
+
+- **availableReplicas** (int32)
+
+  The number of available replicas (ready for at least minReadySeconds) for this replication controller.
+-->
+- **replicas** (int32)，必需
+  
+  replicas 是最近观测到的副本数量。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller#what-is-a-replicationcontroller
+
+- **availableReplicas** (int32)
+  
+  这个副本控制器可用副本（至少 minReadySeconds 才能就绪）的数量。
+
+<!--
+- **readyReplicas** (int32)
+
+  The number of ready replicas for this replication controller.
+
+- **fullyLabeledReplicas** (int32)
+
+  The number of pods that have labels matching the labels of the pod template of the replication controller.
+-->
+- **readyReplicas** (int32)
+  
+  此副本控制器所用的就绪副本的数量。
+
+- **fullyLabeledReplicas** (int32)
+  
+  标签与副本控制器的 Pod 模板标签匹配的 Pod 数量。
+
+<!--
+- **conditions** ([]ReplicationControllerCondition)
+
+  *Patch strategy: merge on key `type`*
+  
+  Represents the latest available observations of a replication controller's current state.
+
+  <a name="ReplicationControllerCondition"></a>
+  *ReplicationControllerCondition describes the state of a replication controller at a certain point.*
+-->
+- **conditions** ([]ReplicationControllerCondition)
+  
+  **补丁策略：按照键 `type` 合并**
+  
+  表示副本控制器当前状态的最新可用观测值。
+  
+  <a name="ReplicationControllerCondition"></a>
+  **ReplicationControllerCondition 描述某个点的副本控制器的状态。**
+  
+  <!--
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.
+
+  - **conditions.type** (string), required
+
+    Type of replication controller condition.
+  -->
+
+  - **conditions.status** (string)，必需
+    
+    状况的状态，取值为 True、False 或 Unknown 之一。
+  
+  - **conditions.type** (string)，必需
+    
+    副本控制器状况的类型。
+  
+  <!--
+  - **conditions.lastTransitionTime** (Time)
+
+    The last time the condition transitioned from one status to another.
+
+    <a name="Time"></a>
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.*
+  -->
+
+  - **conditions.lastTransitionTime** (Time)
+    
+    状况上次从一个状态转换为另一个状态的时间。
+    
+    <a name="Time"></a>
+    **Time 是对 time.Time 的封装。Time 支持对 YAML 和 JSON 进行正确封包。
+    为 time 包的许多函数方法提供了封装器。**
+  
+  <!--
+  - **conditions.message** (string)
+
+    A human readable message indicating details about the transition.
+
+  - **conditions.reason** (string)
+
+    The reason for the condition's last transition.
+  -->
+  - **conditions.message** (string)
+    
+    这是一条人类可读的消息，指示有关上次转换的详细信息。
+  
+  - **conditions.reason** (string)
+    
+    状况上次转换的原因。
+
+<!--
+- **observedGeneration** (int64)
+
+  ObservedGeneration reflects the generation of the most recently observed replication controller.
+
+## ReplicationControllerList {#ReplicationControllerList}
+
+ReplicationControllerList is a collection of replication controllers.
+-->
+- **observedGeneration** (int64)
+  
+  observedGeneration 反映了最近观测到的副本控制器的生成情况。
+
+## ReplicationControllerList {#ReplicationControllerList}
+
+ReplicationControllerList 是副本控制器的集合。
+
+<hr>
+
+- **apiVersion**: v1
+
+- **kind**: ReplicationControllerList
+
+<!--
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  Standard list metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>), required
+
+  List of replication controllers. More info: https://kubernetes.io/docs/concepts/workloads/controllers/replicationcontroller
+-->
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+  
+  标准的列表元数据。更多信息：
+  https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
+
+- **items** ([]<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>)，必需
+  
+  副本控制器的列表。更多信息：
+  https://kubernetes.io/zh-cn/docs/concepts/workloads/controllers/replicationcontroller
+
+<!--
+## Operations {#Operations}
+<hr>
+### `get` read the specified ReplicationController
+#### HTTP Request
+-->
+## 操作 {#Operations}
+
+<hr>
+
+### `get` 读取指定的 ReplicationController
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/replicationcontrollers/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+401: Unauthorized
+
+<!--
+### `get` read status of the specified ReplicationController
+#### HTTP Request
+-->
+### `get` 读取指定的 ReplicationController 的状态
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/replicationcontrollers/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind ReplicationController
+#### HTTP Request
+-->
+### `list` 列出或监视 ReplicationController 类别的对象
+
+#### HTTP 请求
+
+GET /api/v1/namespaces/{namespace}/replicationcontrollers
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerList" >}}">ReplicationControllerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `list` list or watch objects of kind ReplicationController
+#### HTTP Request
+-->
+### `list` 列出或监视 ReplicationController 类别的对象
+
+#### HTTP 请求
+
+GET /api/v1/replicationcontrollers
+
+<!--
+#### Parameters
+- **allowWatchBookmarks** (*in query*): boolean
+- **continue** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+- **watch** (*in query*): boolean
+-->
+#### 参数
+
+- **allowWatchBookmarks** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+- **watch** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationControllerList" >}}">ReplicationControllerList</a>): OK
+
+401: Unauthorized
+
+<!--
+### `create` create a ReplicationController
+#### HTTP Request
+-->
+### `create` 创建 ReplicationController
+
+#### HTTP 请求
+
+POST /api/v1/namespaces/{namespace}/replicationcontrollers
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `update` replace the specified ReplicationController
+#### HTTP Request
+-->
+### `update` 替换指定的 ReplicationController
+
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/replicationcontrollers/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Created
+
+401: Unauthorized
+
+<!--
+### `update` replace status of the specified ReplicationController
+#### HTTP Request
+-->
+### `update` 替换指定的 ReplicationController 的状态
+
+#### HTTP 请求
+
+PUT /api/v1/namespaces/{namespace}/replicationcontrollers/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update the specified ReplicationController
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 ReplicationController
+
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/replicationcontrollers/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Created
+
+401: Unauthorized
+
+<!--
+### `patch` partially update status of the specified ReplicationController
+#### HTTP Request
+-->
+### `patch` 部分更新指定的 ReplicationController 的状态
+
+#### HTTP 请求
+
+PATCH /api/v1/namespaces/{namespace}/replicationcontrollers/{name}/status
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required
+- **dryRun** (*in query*): string
+- **fieldManager** (*in query*): string
+- **fieldValidation** (*in query*): string
+- **force** (*in query*): boolean
+- **pretty** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>，必需
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldManager** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+- **fieldValidation** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+- **force** (**查询参数**): boolean
+  
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/replication-controller-v1#ReplicationController" >}}">ReplicationController</a>): Created
+
+401: Unauthorized
+
+<!--
+### `delete` delete a ReplicationController
+#### HTTP Request
+-->
+### `delete` 删除 ReplicationController
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/replicationcontrollers/{name}
+
+<!--
+#### Parameters
+- **name** (*in path*): string, required
+  name of the ReplicationController
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **dryRun** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+-->
+#### 参数
+
+- **name** (**路径参数**): string，必需
+  
+  ReplicationController 的名称
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!--
+### `deletecollection` delete collection of ReplicationController
+#### HTTP Request
+-->
+### `deletecollection` 删除 ReplicationController 的集合
+
+#### HTTP 请求
+
+DELETE /api/v1/namespaces/{namespace}/replicationcontrollers
+
+<!--
+#### Parameters
+- **namespace** (*in path*): string, required
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+- **continue** (*in query*): string
+- **dryRun** (*in query*): string
+- **fieldSelector** (*in query*): string
+- **gracePeriodSeconds** (*in query*): integer
+- **labelSelector** (*in query*): string
+- **limit** (*in query*): integer
+- **pretty** (*in query*): string
+- **propagationPolicy** (*in query*): string
+- **resourceVersion** (*in query*): string
+- **resourceVersionMatch** (*in query*): string
+- **timeoutSeconds** (*in query*): integer
+-->
+#### 参数
+
+- **namespace** (**路径参数**): string，必需
+  
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+- **continue** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+- **dryRun** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+- **fieldSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+- **gracePeriodSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+- **labelSelector** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+- **limit** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+- **pretty** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+- **propagationPolicy** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+- **resourceVersion** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+- **resourceVersionMatch** (**查询参数**): string
+  
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+- **timeoutSeconds** (**查询参数**): integer
+  
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!--
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
diff --git a/content/zh-cn/docs/reference/kubernetes-api/workload-resources/stateful-set-v1.md b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/stateful-set-v1.md
new file mode 100644
index 00000000000..fd168657d8c
--- /dev/null
+++ b/content/zh-cn/docs/reference/kubernetes-api/workload-resources/stateful-set-v1.md
@@ -0,0 +1,1432 @@
+---
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "StatefulSet"
+content_type: "api_reference"
+description: "StatefulSet 表示一组具有一致身份的 Pod"
+title: "StatefulSet"
+weight: 6
+auto_generated: true
+---
+
+<!-- 
+api_metadata:
+  apiVersion: "apps/v1"
+  import: "k8s.io/api/apps/v1"
+  kind: "StatefulSet"
+content_type: "api_reference"
+description: "StatefulSet represents a set of pods with consistent identities."
+title: "StatefulSet"
+weight: 6
+auto_generated: true
+-->
+
+`apiVersion: apps/v1`
+
+`import "k8s.io/api/apps/v1"`
+
+## StatefulSet {#StatefulSet}
+<!-- 
+StatefulSet represents a set of pods with consistent identities. Identities are defined as:
+ - Network: A single stable DNS and hostname.
+ - Storage: As many VolumeClaims as requested.
+The StatefulSet guarantees that a given network identity will always map to the same storage identity. 
+-->
+StatefulSet 表示一组具有一致身份的 Pod。身份定义为：
+ - 网络：一个稳定的 DNS 和主机名。
+ - 存储：根据要求提供尽可能多的 VolumeClaims。
+StatefulSet 保证给定的网络身份将始终映射到相同的存储身份。
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: StatefulSet
+
+- **metadata** (<a href="{{< ref "../common-definitions/object-meta#ObjectMeta" >}}">ObjectMeta</a>)
+
+  <!-- 
+  Standard object's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+  -->
+  标准的对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
+
+- **spec** (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSetSpec" >}}">StatefulSetSpec</a>)
+
+  <!-- 
+  Spec defines the desired identities of pods in this set. 
+  -->
+  spec 定义集合中 Pod 的预期身份。
+
+- **status** (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSetStatus" >}}">StatefulSetStatus</a>)
+
+  <!-- 
+  Status is the current status of Pods in this StatefulSet. This data may be out of date by some window of time. 
+  -->
+  status 是 StatefulSet 中 Pod 的当前状态，此数据可能会在某个时间窗口内过时。
+
+## StatefulSetSpec {#StatefulSetSpec}
+
+<!--
+A StatefulSetSpec is the specification of a StatefulSet. 
+-->
+StatefulSetSpec 是 StatefulSet 的规约。
+
+<hr>
+
+<!-- 
+- **serviceName** (string), required
+
+  serviceName is the name of the service that governs this StatefulSet. This service must exist before the StatefulSet, and is responsible for the network identity of the set. Pods get DNS/hostnames that follow the pattern: pod-specific-string.serviceName.default.svc.cluster.local where "pod-specific-string" is managed by the StatefulSet controller.  
+-->
+- **serviceName** (string), 必需
+
+  serviceName 是管理此 StatefulSet 服务的名称。
+  该服务必须在 StatefulSet 之前即已存在，并负责该集合的网络标识。 
+  Pod 会获得符合以下模式的 DNS/主机名： pod-specific-string.serviceName.default.svc.cluster.local。
+  其中 “pod-specific-string” 由 StatefulSet 控制器管理。
+
+<!-- 
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>), required
+
+  selector is a label query over pods that should match the replica count. It must match the pod template's labels. More info: https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/#label-selectors
+-->
+- **selector** (<a href="{{< ref "../common-definitions/label-selector#LabelSelector" >}}">LabelSelector</a>), 必需
+
+  selector 是对 Pod 的标签查询，查询结果应该匹配副本个数。
+  此选择算符必须与 Pod 模板中的 labels 匹配。
+  更多信息： https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/#label-selectors
+
+<!-- 
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>), required
+
+  template is the object that describes the pod that will be created if insufficient replicas are detected. Each pod stamped out by the StatefulSet will fulfill this Template, but have a unique identity from the rest of the StatefulSet.  
+-->
+- **template** (<a href="{{< ref "../workload-resources/pod-template-v1#PodTemplateSpec" >}}">PodTemplateSpec</a>), 必需
+
+  template 是用来描述 Pod 的对象，检测到副本不足时将创建所描述的 Pod。 
+  经由 StatefulSet 创建的每个 Pod 都将满足这个模板，但与 StatefulSet 的其余 Pod 相比，每个 Pod 具有唯一的标识。
+
+<!-- 
+- **replicas** (int32)
+
+  replicas is the desired number of replicas of the given Template. These are replicas in the sense that they are instantiations of the same Template, but individual replicas also have a consistent identity. 
+  If unspecified, defaults to 1.  
+-->
+- **replicas** (int32)
+ 
+  replicas 是给定模板的所需的副本数。之所以称作副本，是因为它们是相同模板的实例，
+  不过各个副本也具有一致的身份。如果未指定，则默认为 1。
+
+<!-- 
+- **updateStrategy** (StatefulSetUpdateStrategy)
+
+  updateStrategy indicates the StatefulSetUpdateStrategy that will be employed to update Pods in the StatefulSet when a revision is made to Template. 
+-->
+- **updateStrategy** (StatefulSetUpdateStrategy)
+
+  updateStrategy 是一个 StatefulSetUpdateStrategy，表示当对 template 进行修订时，用何种策略更新 StatefulSet 中的 Pod 集合。
+
+  <a name="StatefulSetUpdateStrategy"></a>
+
+  <!-- 
+  *StatefulSetUpdateStrategy indicates the strategy that the StatefulSet controller will use to perform updates. It includes any additional parameters necessary to perform the update for the indicated strategy.*
+  -->
+
+  **StatefulSetUpdateStrategy 表示 StatefulSet 控制器将用于执行更新的策略。其中包括为指定策略执行更新所需的额外参数。**
+
+  - **updateStrategy.type** (string)
+
+  - **updateStrategy.rollingUpdate** (RollingUpdateStatefulSetStrategy)
+
+    <!-- 
+    RollingUpdate is used to communicate parameters when Type is RollingUpdateStatefulSetStrategyType. 
+    -->
+
+    当 type 为 RollingUpdate 时，使用 rollingUpdate 来传递参数。
+
+    <a name="RollingUpdateStatefulSetStrategy"></a>
+
+    <!--
+    *RollingUpdateStatefulSetStrategy is used to communicate parameter for RollingUpdateStatefulSetStrategyType.* 
+    -->
+
+    **RollingUpdateStatefulSetStrategy 用于为 rollingUpdate 类型的更新传递参数。**
+
+    - **updateStrategy.rollingUpdate.maxUnavailable** (IntOrString)
+
+      <!-- 
+      The maximum number of pods that can be unavailable during the update. Value can be an absolute number (ex: 5) or a percentage of desired pods (ex: 10%). Absolute number is calculated from percentage by rounding up. This can not be 0. Defaults to 1. This field is alpha-level and is only honored by servers that enable the MaxUnavailableStatefulSet feature. The field applies to all pods in the range 0 to Replicas-1. That means if there is any unavailable pod in the range 0 to Replicas-1, it will be counted towards MaxUnavailable. 
+      -->
+
+      更新期间不可用的 Pod 个数上限。取值可以是绝对数量（例如：5）或所需 Pod 的百分比（例如：10%）。
+      绝对数是通过四舍五入的百分比计算得出的。不能为 0，默认为 1。
+      此字段为 Alpha 级别，仅被启用 MaxUnavailableStatefulSet 特性的服务器支持。
+      此字段适用于 0 到 replicas-1 范围内的所有 Pod。这意味着如果在 0 到 replicas-1 范围内有任何不可用的 Pod，
+      这些 Pod 将被计入 maxUnavailable 中。
+
+      <a name="IntOrString"></a>
+
+      <!-- 
+      *IntOrString is a type that can hold an int32 or a string.  When used in JSON or YAML marshalling and unmarshalling, it produces or consumes the inner type.  This allows you to have, for example, a JSON field that can accept a name or number.* 
+      -->
+
+      **IntOrString 是一种可以包含 int32 或字符串数值的类型。在 JSON 或 YAML 编组和解组时，**
+      **会生成或使用内部类型。例如，此类型允许你定义一个可以接受名称或数字的 JSON 字段。**
+
+    - **updateStrategy.rollingUpdate.partition** (int32)
+
+      <!-- 
+      Partition indicates the ordinal at which the StatefulSet should be partitioned for updates. During a rolling update, all pods from ordinal Replicas-1 to Partition are updated. All pods from ordinal Partition-1 to 0 remain untouched. This is helpful in being able to do a canary based deployment. The default value is 0.
+      -->
+
+      partition 表示 StatefulSet 应该被分区进行更新时的序数。
+      在滚动更新期间，序数在 replicas-1 和 partition 之间的所有 Pod 都会被更新。
+      序数在 partition-1 和 0 之间的所有 Pod 保持不变。
+      这一属性有助于进行金丝雀部署。默认值为 0。
+
+- **podManagementPolicy** (string)
+
+  <!-- 
+  podManagementPolicy controls how pods are created during initial scale up, when replacing pods on nodes, or when scaling down. The default policy is `OrderedReady`, where pods are created in increasing order (pod-0, then pod-1, etc) and the controller will wait until each pod is ready before continuing. When scaling down, the pods are removed in the opposite order. The alternative policy is `Parallel` which will create pods in parallel to match the desired scale without waiting, and on scale down will delete all pods at once. 
+  -->
+
+  podManagementPolicy 控制在初始规模扩展期间、替换节点上的 Pod 或缩减集合规模时如何创建 Pod。
+  默认策略是 “OrderedReady”，各个 Pod 按升序创建的（pod-0，然后是pod-1 等），
+  控制器将等到每个 Pod 都准备就绪后再继续。缩小集合规模时，Pod 会以相反的顺序移除。
+  另一种策略是 “Parallel”，意味着并行创建 Pod 以达到预期的规模而无需等待，并且在缩小规模时将立即删除所有 Pod。
+  
+- **revisionHistoryLimit** (int32)
+
+  <!-- 
+  revisionHistoryLimit is the maximum number of revisions that will be maintained in the StatefulSet's revision history. The revision history consists of all revisions not represented by a currently applied StatefulSetSpec version. The default value is 10. 
+  -->
+
+  revisionHistoryLimit 是在 StatefulSet 的修订历史中维护的修订个数上限。
+  修订历史中包含并非由当前所应用的 StatefulSetSpec 版本未表示的所有修订版本。默认值为 10。
+
+- **volumeClaimTemplates** ([]<a href="{{< ref "../config-and-storage-resources/persistent-volume-claim-v1#PersistentVolumeClaim" >}}">PersistentVolumeClaim</a>)
+
+  <!-- 
+  volumeClaimTemplates is a list of claims that pods are allowed to reference. The StatefulSet controller is responsible for mapping network identities to claims in a way that maintains the identity of a pod. Every claim in this list must have at least one matching (by name) volumeMount in one container in the template. A claim in this list takes precedence over any volumes in the template, with the same name.
+  -->
+
+  volumeClaimTemplates 是允许 Pod 引用的申领列表。
+  StatefulSet controller 负责以维持 Pod 身份不变的方式将网络身份映射到申领之上。
+  此列表中的每个申领至少必须在模板的某个容器中存在匹配的（按 name 匹配）volumeMount。
+  此列表中的申领优先于模板中具有相同名称的所有卷。
+
+- **minReadySeconds** (int32)
+
+  <!-- 
+  Minimum number of seconds for which a newly created pod should be ready without any of its container crashing for it to be considered available. Defaults to 0 (pod will be considered available as soon as it is ready) This is an alpha field and requires enabling StatefulSetMinReadySeconds feature gate. 
+  -->
+
+  新创建的 Pod 应准备就绪（其任何容器都未崩溃）的最小秒数，以使其被视为可用。
+  默认为 0（Pod 准备就绪后将被视为可用）。
+  这是一个 Alpha 字段，需要启用 StatefulSetMinReadySeconds 特性门控。
+
+- **persistentVolumeClaimRetentionPolicy** (StatefulSetPersistentVolumeClaimRetentionPolicy)
+
+  <!--
+  persistentVolumeClaimRetentionPolicy describes the lifecycle of persistent volume claims created from volumeClaimTemplates. By default, all persistent volume claims are created as needed and retained until manually deleted. This policy allows the lifecycle to be altered, for example by deleting persistent volume claims when their stateful set is deleted, or when their pod is scaled down. This requires the StatefulSetAutoDeletePVC feature gate to be enabled, which is alpha.  +optional 
+  -->
+
+  persistentVolumeClaimRetentionPolicy 描述从 VolumeClaimTemplates 创建的持久卷申领的生命周期。
+  默认情况下，所有持久卷申领都根据需要创建并被保留到手动删除。
+  此策略允许更改申领的生命周期，例如在 StatefulSet 被删除或其中 Pod 集合被缩容时删除持久卷申领。
+  此属性需要启用 StatefulSetAutoDeletePVC 特性门控。特性处于 Alpha 阶段。可选。
+
+  <a name="StatefulSetPersistentVolumeClaimRetentionPolicy"></a>
+
+  <!-- 
+  *StatefulSetPersistentVolumeClaimRetentionPolicy describes the policy used for PVCs created from the StatefulSet VolumeClaimTemplates.* 
+  -->
+
+  **StatefulSetPersistentVolumeClaimRetentionPolicy 描述了用于从 StatefulSet VolumeClaimTemplate 创建的 PVC 的策略**
+
+  - **persistentVolumeClaimRetentionPolicy.whenDeleted** (string)
+
+    <!-- 
+    WhenDeleted specifies what happens to PVCs created from StatefulSet VolumeClaimTemplates when the StatefulSet is deleted. The default policy of `Retain` causes PVCs to not be affected by StatefulSet deletion. The `Delete` policy causes those PVCs to be deleted. 
+    -->
+
+    whenDeleted 指定当 StatefulSet 被删除时，基于 StatefulSet VolumeClaimTemplates 所创建的 PVC 会发生什么。
+    默认策略 `Retain` 使 PVC 不受 StatefulSet 被删除的影响。`Delete` 策略会导致这些 PVC 也被删除。
+
+  - **persistentVolumeClaimRetentionPolicy.whenScaled** (string)
+
+    <!--
+    WhenScaled specifies what happens to PVCs created from StatefulSet VolumeClaimTemplates when the StatefulSet is scaled down. The default policy of `Retain` causes PVCs to not be affected by a scaledown. The `Delete` policy causes the associated PVCs for any excess pods above the replica count to be deleted. 
+    -->
+
+    whenScaled 指定当 StatefulSet 缩容时，基于 StatefulSet volumeClaimTemplates 创建的 PVC 会发生什么。
+    默认策略 `Retain` 使 PVC 不受缩容影响。 `Delete` 策略会导致超出副本个数的所有的多余 Pod 所关联的 PVC 被删除。
+
+## StatefulSetStatus {#StatefulSetStatus}
+
+<!-- 
+StatefulSetStatus represents the current state of a StatefulSet. 
+-->
+StatefulSetStatus 表示 StatefulSet 的当前状态。
+
+<hr>
+
+<!-- 
+- **replicas** (int32), required
+
+  replicas is the number of Pods created by the StatefulSet controller.  
+-->
+- **replicas** (int32), 必需
+
+  replicas 是 StatefulSet 控制器创建的 Pod 个数。
+
+- **readyReplicas** (int32)
+
+  <!-- 
+  readyReplicas is the number of pods created for this StatefulSet with a Ready Condition. 
+  -->
+  readyReplicas 是为此 StatefulSet 创建的、状况为 Ready 的 Pod 个数。
+
+- **currentReplicas** (int32)
+
+  <!-- 
+  currentReplicas is the number of Pods created by the StatefulSet controller from the StatefulSet version indicated by currentRevision. 
+  -->
+  currentReplicas 是 StatefulSet 控制器根据 currentReplicas 所指的 StatefulSet 版本创建的 Pod 个数。
+
+- **updatedReplicas** (int32)
+
+  <!-- 
+  updatedReplicas is the number of Pods created by the StatefulSet controller from the StatefulSet version indicated by updateRevision.
+  -->
+  updatedReplicas 是 StatefulSet 控制器根据 updateRevision 所指的 StatefulSet 版本创建的 Pod 个数。
+
+- **availableReplicas** (int32)
+
+  <!-- 
+  Total number of available pods (ready for at least minReadySeconds) targeted by this statefulset. This is a beta field and enabled/disabled by StatefulSetMinReadySeconds feature gate. 
+  -->
+  此 StatefulSet 所对应的可用 Pod 总数（就绪时长至少为 minReadySeconds）。
+  这是一个 Beta 字段，由 StatefulSetMinReadySeconds 特性门控启用/禁用。
+
+- **collisionCount** (int32)
+
+  <!-- 
+  collisionCount is the count of hash collisions for the StatefulSet. The StatefulSet controller uses this field as a collision avoidance mechanism when it needs to create the name for the newest ControllerRevision. 
+  -->
+  collisionCount 是 StatefulSet 的哈希冲突计数。
+  StatefulSet controller 在需要为最新的 controllerRevision 创建名称时使用此字段作为避免冲突的机制。
+
+- **conditions** ([]StatefulSetCondition)
+
+  <!-- 
+  *Patch strategy: merge on key `type`* 
+  -->
+  **补丁策略：根据 `type` 键执行合并操作**
+
+  <!-- 
+  Represents the latest available observations of a statefulset's current state. 
+  -->
+  表示 StatefulSet 当前状态的最新可用观察结果。
+
+  <a name="StatefulSetCondition"></a>
+  <!-- 
+  *StatefulSetCondition describes the state of a statefulset at a certain point.* 
+  -->
+  **StatefulSetCondition 描述了 StatefulSet 在某个点的状态。**
+
+  <!-- 
+  - **conditions.status** (string), required
+
+    Status of the condition, one of True, False, Unknown.  
+  -->
+
+  - **conditions.status** (string), 必需
+
+    状况的状态为 True、False、Unknown 之一。
+
+  <!-- 
+  - **conditions.type** (string), required
+
+    Type of statefulset condition.   
+  -->
+
+  - **conditions.type** (string), 必需
+
+    StatefulSet 状况的类型。
+
+  - **conditions.lastTransitionTime** (Time)
+
+    <!-- 
+    Last time the condition transitioned from one status to another. 
+    -->
+
+    最近一次状况从一种状态转换到另一种状态的时间。
+
+    <a name="Time"></a>
+    <!-- 
+    *Time is a wrapper around time.Time which supports correct marshaling to YAML and JSON.  Wrappers are provided for many of the factory methods that the time package offers.* 
+    -->
+
+    **Time 是 time.Time 的包装器，它支持对 YAML 和 JSON 的正确编组。**
+    **time 包的许多工厂方法提供了包装器。**
+
+  - **conditions.message** (string)
+
+    <!-- 
+    A human readable message indicating details about the transition. 
+    -->
+
+    一条人类可读的消息，指示有关转换的详细信息。
+
+  - **conditions.reason** (string)
+
+    <!-- 
+    The reason for the condition's last transition. 
+    -->
+
+    状况最后一次转换的原因。
+
+- **currentRevision** (string)
+
+  <!-- 
+  currentRevision, if not empty, indicates the version of the StatefulSet used to generate Pods in the sequence [0,currentReplicas). 
+  -->
+
+  currentRevision，如果不为空，表示用于在序列 [0,currentReplicas) 之间生成 Pod 的 StatefulSet 的版本。
+
+- **updateRevision** (string)
+
+  <!-- 
+  updateRevision, if not empty, indicates the version of the StatefulSet used to generate Pods in the sequence [replicas-updatedReplicas,replicas) 
+  -->
+
+  updateRevision，如果不为空，表示用于在序列 [replicas-updatedReplicas,replicas) 之间生成 Pod 的 StatefulSet 的版本。
+
+- **observedGeneration** (int64)
+
+  <!-- 
+  observedGeneration is the most recent generation observed for this StatefulSet. It corresponds to the StatefulSet's generation, which is updated on mutation by the API Server. 
+  -->
+
+  observedGeneration 是 StatefulSet 的最新一代。它对应于 StatefulSet 的代数，由 API 服务器在变更时更新。
+
+## StatefulSetList {#StatefulSetList}
+
+<!-- 
+StatefulSetList is a collection of StatefulSets. 
+-->
+
+StatefulSetList 是 StatefulSet 的集合。
+
+<hr>
+
+- **apiVersion**: apps/v1
+
+- **kind**: StatefulSetList
+
+- **metadata** (<a href="{{< ref "../common-definitions/list-meta#ListMeta" >}}">ListMeta</a>)
+
+  <!-- 
+  Standard list's metadata. More info: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata 
+  -->
+
+  标准的对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
+
+<!-- 
+- **items** ([]<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>), required
+
+  Items is the list of stateful sets.  
+-->
+
+- **items** ([]<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>), 必需
+
+  items 是 StatefulSet 的列表。
+
+<!-- 
+## Operations {#Operations} 
+-->
+## 操作   {#operations}
+
+<hr>
+
+<!-- 
+### `get` read the specified StatefulSet 
+#### HTTP Request
+-->
+### `get` 读取指定的 StatefulSet
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet  
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `get` read status of the specified StatefulSet 
+#### HTTP Request 
+-->
+### `get` 读取指定 StatefulSet 的状态
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet  
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind StatefulSet 
+#### HTTP Request 
+-->
+### `list` 列出或监视 StatefulSet 类型的对象
+#### HTTP 请求
+
+GET /apis/apps/v1/namespaces/{namespace}/statefulsets
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+
+<!-- 
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSetList" >}}">StatefulSetList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `list` list or watch objects of kind StatefulSet
+#### HTTP Request
+-->
+### `list` 列出或监视 StatefulSet 类型的对象
+#### HTTP 请求
+
+GET /apis/apps/v1/statefulsets
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+<!-- 
+- **allowWatchBookmarks** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a> 
+-->
+- **allowWatchBookmarks** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#allowWatchBookmarks" >}}">allowWatchBookmarks</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a> 
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+
+<!-- 
+- **watch** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+-->
+- **watch** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#watch" >}}">watch</a> 
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSetList" >}}">StatefulSetList</a>): OK
+
+401: Unauthorized
+
+<!-- 
+### `create` create a StatefulSet
+#### HTTP Request 
+-->
+### `create` 创建一个 StatefulSet
+#### HTTP 请求
+
+POST /apis/apps/v1/namespaces/{namespace}/statefulsets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, required 
+-->
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+  - **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Created
+
+202 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `update` replace the specified StatefulSet
+#### HTTP Request 
+-->
+### `update` 替换指定的 StatefulSet
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet 
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称 。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, required 
+-->
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `update` replace status of the specified StatefulSet
+#### HTTP Request 
+-->
+### `update` 替换指定 StatefulSet 的状态
+#### HTTP 请求
+
+PUT /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}/status
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet 
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+
+<!-- 
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, required 
+-->
+- **body**: <a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update the specified StatefulSet
+#### HTTP Request 
+-->
+### `patch` 部分更新指定的 StatefulSet
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}
+
+<!-- 
+#### Parameters
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet  
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+  -->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required 
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `patch` partially update status of the specified StatefulSet
+#### HTTP Request 
+-->
+### `patch` 部分更新指定 StatefulSet 的状态
+#### HTTP 请求
+
+PATCH /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}/status
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+ 
+  name of the StatefulSet  
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+<!-- 
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, required 
+-->
+- **body**: <a href="{{< ref "../common-definitions/patch#Patch" >}}">Patch</a>, 必需
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldManager** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a> 
+-->
+- **fieldManager** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldManager" >}}">fieldManager</a>
+
+<!-- 
+- **fieldValidation** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a> 
+-->
+- **fieldValidation** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldValidation" >}}">fieldValidation</a>
+
+<!-- 
+- **force** (*in query*): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a> 
+-->
+- **force** (**查询参数**): boolean
+
+  <a href="{{< ref "../common-parameters/common-parameters#force" >}}">force</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): OK
+
+201 (<a href="{{< ref "../workload-resources/stateful-set-v1#StatefulSet" >}}">StatefulSet</a>): Created
+
+401: Unauthorized
+
+<!-- 
+### `delete` delete a StatefulSet
+#### HTTP Request 
+-->
+### `delete` 删除一个 StatefulSet
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/statefulsets/{name}
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **name** (*in path*): string, required
+
+  name of the StatefulSet 
+-->
+- **name** (**路径参数**): string, 必需
+
+  StatefulSet 的名称。
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+202 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): Accepted
+
+401: Unauthorized
+
+<!-- 
+### `deletecollection` delete collection of StatefulSet
+#### HTTP Request 
+-->
+### `deletecollection` 删除 StatefulSet 的集合
+#### HTTP 请求
+
+DELETE /apis/apps/v1/namespaces/{namespace}/statefulsets
+
+<!-- 
+#### Parameters 
+-->
+#### 参数
+
+<!-- 
+- **namespace** (*in path*): string, required
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a> 
+-->
+- **namespace** (**路径参数**): string, 必需
+
+  <a href="{{< ref "../common-parameters/common-parameters#namespace" >}}">namespace</a>
+
+- **body**: <a href="{{< ref "../common-definitions/delete-options#DeleteOptions" >}}">DeleteOptions</a>
+
+<!-- 
+- **continue** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+-->
+- **continue** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#continue" >}}">continue</a> 
+
+<!-- 
+- **dryRun** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a> 
+-->
+- **dryRun** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#dryRun" >}}">dryRun</a>
+
+<!-- 
+- **fieldSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+-->
+- **fieldSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#fieldSelector" >}}">fieldSelector</a>
+
+<!-- 
+- **gracePeriodSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a> 
+-->
+- **gracePeriodSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#gracePeriodSeconds" >}}">gracePeriodSeconds</a>
+
+<!-- 
+- **labelSelector** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a> 
+-->
+- **labelSelector** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#labelSelector" >}}">labelSelector</a>
+
+<!-- 
+- **limit** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a> 
+-->
+- **limit** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#limit" >}}">limit</a>
+
+<!-- 
+- **pretty** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a> 
+-->
+- **pretty** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#pretty" >}}">pretty</a>
+
+<!-- 
+- **propagationPolicy** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a> 
+-->
+- **propagationPolicy** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#propagationPolicy" >}}">propagationPolicy</a>
+
+<!-- 
+- **resourceVersion** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a> 
+-->
+- **resourceVersion** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersion" >}}">resourceVersion</a>
+
+<!-- 
+- **resourceVersionMatch** (*in query*): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a> 
+-->
+- **resourceVersionMatch** (**查询参数**): string
+
+  <a href="{{< ref "../common-parameters/common-parameters#resourceVersionMatch" >}}">resourceVersionMatch</a>
+
+<!-- 
+- **timeoutSeconds** (*in query*): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a> 
+-->
+- **timeoutSeconds** (**查询参数**): integer
+
+  <a href="{{< ref "../common-parameters/common-parameters#timeoutSeconds" >}}">timeoutSeconds</a>
+
+<!-- 
+#### Response 
+-->
+#### 响应
+
+200 (<a href="{{< ref "../common-definitions/status#Status" >}}">Status</a>): OK
+
+401: Unauthorized
+
diff --git a/content/zh-cn/docs/reference/labels-annotations-taints/_index.md b/content/zh-cn/docs/reference/labels-annotations-taints/_index.md
index 984a12ccf29..340a03536d1 100644
--- a/content/zh-cn/docs/reference/labels-annotations-taints/_index.md
+++ b/content/zh-cn/docs/reference/labels-annotations-taints/_index.md
@@ -1261,6 +1261,30 @@ for more information.
 
 请参阅[在名字空间级别实施 Pod 安全性](/zh-cn/docs/concepts/security/pod-security-admission)了解更多信息。
 
+
+<!--
+### kubernetes.io/psp (deprecated) {#kubernetes-io-psp}
+
+Example: `kubernetes.io/psp: restricted`
+
+This annotation is only relevant if you are using [PodSecurityPolicies](/docs/concepts/security/pod-security-policy/).
+
+When the PodSecurityPolicy admission controller admits a Pod, the admission controller
+modifies the Pod to have this annotation.
+The value of the annotation is the name of the PodSecurityPolicy that was used for validation.
+
+-->
+
+### kubernetes.io/psp（已弃用） {#kubernetes-io-psp}
+
+例如：`kubernetes.io/psp: restricted`
+
+这个注解只在你使用 [PodSecurityPolicies](/zh-cn/docs/concepts/security/pod-security-policy/) 时才有意义。
+
+当 PodSecurityPolicy 准入控制器接受一个 Pod 时，会修改该 Pod，
+并给这个 Pod 添加此注解。
+注解的值是用来对 Pod 进行验证检查的 PodSecurityPolicy 的名称。
+
 <!--
 ### seccomp.security.alpha.kubernetes.io/pod (deprecated) {#seccomp-security-alpha-kubernetes-io-pod}
 
diff --git a/content/zh-cn/docs/reference/scheduling/config.md b/content/zh-cn/docs/reference/scheduling/config.md
index 0cd7190d71b..b79b23e2e9e 100644
--- a/content/zh-cn/docs/reference/scheduling/config.md
+++ b/content/zh-cn/docs/reference/scheduling/config.md
@@ -229,10 +229,10 @@ extension points:
   实现的扩展点：`filter`，`score`.
 <!--  
 - `PodTopologySpread`: Implements
-  [Pod topology spread](/docs/concepts/workloads/pods/pod-topology-spread-constraints/).
+  [Pod topology spread](/docs/concepts/scheduling-eviction/topology-spread-constraints/).
   Extension points: `preFilter`, `filter`, `preScore`, `score`.
 -->
-- `PodTopologySpread`：实现了 [Pod 拓扑分布](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/)。
+- `PodTopologySpread`：实现了 [Pod 拓扑分布](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)。
 
   实现的扩展点：`preFilter`，`filter`，`preScore`，`score`。
 <!--  
diff --git a/content/zh-cn/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md b/content/zh-cn/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md
index 58d56ac3999..5ffa750d5d0 100644
--- a/content/zh-cn/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md
+++ b/content/zh-cn/docs/reference/setup-tools/kubeadm/generated/kubeadm_token_delete.md
@@ -29,7 +29,7 @@ Token ID of the form "[a-z0-9]{6}" to delete.
 
 这个命令将为你删除指定的引导令牌列表。
 
-`[token-value]` 是要删除的 "[a-z0-9]{6}.[a-z0-9]{16}" 形式的完整令牌或者是 "[a-z0-9]{6}" 形式的的令牌 ID。
+`[token-value]` 是要删除的 "[a-z0-9]{6}.[a-z0-9]{16}" 形式的完整令牌或者是 "[a-z0-9]{6}" 形式的令牌 ID。
 
 ```
 kubeadm token delete [token-value] ...
diff --git a/content/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init.md b/content/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init.md
index c53ca16be06..7c3d801dc84 100644
--- a/content/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init.md
+++ b/content/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init.md
@@ -12,6 +12,7 @@ title: kubeadm init
 content_type: concept
 weight: 20
 -->
+
 <!-- overview -->
 
 <!--
@@ -148,7 +149,7 @@ following steps:
 
 Kubeadm allows you to create a control-plane node in phases using the `kubeadm init phase` command.
 -->
-### 在 kubeadm 中使用 init phases {#init-phases}
+### 在 kubeadm 中使用 init 阶段  {#init-phases}
 
 Kubeadm 允许你使用 `kubeadm init phase` 命令分阶段创建控制平面节点。
 
@@ -219,10 +220,10 @@ Alternatively, you can use the `skipPhases` field under `InitConfiguration`.
 -->
 ### 结合一份配置文件来使用 kubeadm init {#config-file}
 
+{{< caution >}}
 <!--
 The config file is still considered beta and may change in future versions.
 -->
-{{< caution >}}
 配置文件的功能仍然处于 alpha 状态并且在将来的版本中可能会改变。
 {{< /caution >}}
 
@@ -294,7 +295,7 @@ List of feature gates:
 -->
 特性门控的列表：
 
-{{< table caption="kubeadm feature gates" >}}
+{{< table caption="kubeadm 特性门控" >}}
 特性 | 默认值 | Alpha | Beta
 :-------|:--------|:------|:-----
 `PublicKeysECDSA` | `false` | 1.19 | -
@@ -302,11 +303,11 @@ List of feature gates:
 `UnversionedKubeletConfigMap` | `true` | 1.22 | 1.23
 {{< /table >}}
 
+{{< note >}}
 <!-- 
 Once a feature gate goes GA it is removed from this list as its value becomes locked to `true` by default. 
 -->
-{{< note >}}
-一旦特性门控变成了 GA，那它将会从这个列表中移除，因为它的值会被默认锁定为 `true` 。
+一旦特性门控变成了 GA，那它将会从这个列表中移除，因为它的值会被默认锁定为 `true`。
 {{< /note >}}
 
 <!-- 
@@ -367,21 +368,18 @@ Setting `UnversionedKubeletConfigMap` to `false` is supported but **deprecated**
 设置 `UnversionedKubeletConfigMap` 为 `false` 是被支持的特性，但该特性**已被弃用**。
 {{< /note >}}
 
-
-
-
 <!--
 ### Adding kube-proxy parameters {#kube-proxy}
--->
-### 添加 kube-proxy 参数 {#kube-proxy}
 
-<!--
+
 For information about kube-proxy parameters in the kubeadm configuration see:
 - [kube-proxy reference](/docs/reference/config-api/kube-proxy-config.v1alpha1/)
 
 For information about enabling IPVS mode with kubeadm see:
 - [IPVS](https://github.com/kubernetes/kubernetes/blob/master/pkg/proxy/ipvs/README.md)
 -->
+### 添加 kube-proxy 参数 {#kube-proxy}
+
 kubeadm 配置中有关 kube-proxy 的说明请查看：
 
 - [kube-proxy 参考](/zh-cn/docs/reference/config-api/kube-proxy-config.v1alpha1/)
@@ -392,28 +390,27 @@ kubeadm 配置中有关 kube-proxy 的说明请查看：
 
 <!--
 ### Passing custom flags to control plane components {#control-plane-flags}
+
+For information about passing flags to control plane components see:
+- [control-plane-flags](/docs/setup/production-environment/tools/kubeadm/control-plane-flags/)
 -->
 ### 向控制平面组件传递自定义的命令行参数 {#control-plane-flags}
 
-<!--
-For information about passing flags to control plane components see:
-- [control-plane-flags](/docs/setup/production-environment/tools/kubeadm/control-plane-flags/) -->
 有关向控制平面组件传递命令行参数的说明请查看：
-[控制平面命令行参数](/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags/)
+
+- [控制平面命令行参数](/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags/)
 
 <!--
 ### Running kubeadm without an Internet connection {#without-internet-connection}
+
+For running kubeadm without an internet connection you have to pre-pull the required control-plane images.
+
+You can list and pull the images using the `kubeadm config images` sub-command:
 -->
 ### 在没有互联网连接的情况下运行 kubeadm {#without-internet-connection}
 
-<!--
-For running kubeadm without an internet connection you have to pre-pull the required control-plane images.
--->
 要在没有互联网连接的情况下运行 kubeadm，你必须提前拉取所需的控制平面镜像。
 
-<!--
-You can list and pull the images using the `kubeadm config images` sub-command:
--->
 你可以使用 `kubeadm config images` 子命令列出并拉取镜像：
 
 ```shell
@@ -425,7 +422,8 @@ kubeadm config images pull
 You can pass `--config` to the above commands with a [kubeadm configuration file](#config-file)
 to control the `kubernetesVersion` and `imageRepository` fields. 
 -->
-你可以通过 `--config` 把 [kubeadm 配置文件](#config-file) 传递给上述命令来控制 `kubernetesVersion` 和 `imageRepository` 字段。
+你可以通过 `--config` 把 [kubeadm 配置文件](#config-file) 传递给上述命令来控制
+`kubernetesVersion` 和 `imageRepository` 字段。
 
 <!-- 
 All default `k8s.gcr.io` images that kubeadm requires support multiple architectures. 
@@ -434,30 +432,27 @@ kubeadm 需要的所有默认 `k8s.gcr.io` 镜像都支持多种硬件体系结
 
 <!--
 ### Using custom images {#custom-images}
--->
-### 使用自定义的镜像 {#custom-images}
 
-<!--
 By default, kubeadm pulls images from `k8s.gcr.io`. If the
 requested Kubernetes version is a CI label (such as `ci/latest`)
 `gcr.io/k8s-staging-ci-images` is used.
 -->
-默认情况下, kubeadm 会从 `k8s.gcr.io` 仓库拉取镜像。如果请求的 Kubernetes 版本是 CI 标签
+### 使用自定义的镜像 {#custom-images}
+
+默认情况下，kubeadm 会从 `k8s.gcr.io` 仓库拉取镜像。如果请求的 Kubernetes 版本是 CI 标签
 （例如 `ci/latest`），则使用 `gcr.io/k8s-staging-ci-images`。
 
 <!--
 You can override this behavior by using [kubeadm with a configuration file](#config-file).
--->
-你可以通过使用[带有配置文件的 kubeadm](#config-file) 来重写此操作。
-
-<!--
 Allowed customization are:
 
 * To provide `kubernetesVersion` which affects the version of the images.
 * To provide an alternative `imageRepository` to be used instead of
   `k8s.gcr.io`.
 * To provide a specific `imageRepository` and `imageTag` for etcd or CoreDNS.
+
 -->
+你可以通过使用[带有配置文件的 kubeadm](#config-file) 来重写此操作。
 允许的自定义功能有：
 
 * 提供影响镜像版本的 `kubernetesVersion`。 
@@ -465,12 +460,13 @@ Allowed customization are:
 * 为 etcd 或 CoreDNS 提供特定的 `imageRepository` 和 `imageTag`。
 
 <!-- 
+Image paths between the default `k8s.gcr.io` and a custom repository specified using
 `imageRepository` may differ for backwards compatibility reasons. For example,
 one image might have a subpath at `k8s.gcr.io/subpath/image`, but be defaulted
-to `my.customrepository.io/image` when using a custom repository. 
+to `my.customrepository.io/image` when using a custom repository.
 -->
-由于向后兼容的原因，`imageRepository` 可能会有所不同。
-例如，某镜像的子路径可能是 `k8s.gcr.io/subpath/image`，
+由于向后兼容的原因，使用 `imageRepository` 所指定的定制镜像库可能与默认的
+`k8s.gcr.io` 镜像路径不同。例如，某镜像的子路径可能是 `k8s.gcr.io/subpath/image`，
 但使用自定义仓库时默认为 `my.customrepository.io/image`。
 
 <!-- 
@@ -488,16 +484,30 @@ for etcd and CoreDNS.
 -->
 * 使用 `kubeadm config images {list|pull}` 从 `k8s.gcr.io` 的默认路径中拉取镜像。
 * 将镜像推送到 `kubeadm config images list --config=config.yaml` 的路径，
-其中 `config.yaml` 包含自定义的 `imageRepository` 和/或用于 etcd 和 CoreDNS 的 `imageTag`。 
+  其中 `config.yaml` 包含自定义的 `imageRepository` 和/或用于 etcd 和 CoreDNS 的 `imageTag`。 
 * 将相同的 `config.yaml` 传递给 `kubeadm init`。
 
+<!--
+#### Custom sandbox (pause) images {#custom-pause-image}
+
+To set a custom image for these you need to configure this in your 
+{{< glossary_tooltip text="container runtime" term_id="container-runtime" >}}
+to use the image.
+Consult the documentation for your container runtime to find out how to change this setting;
+for selected container runtimes, you can also find advice within the
+[Container Runtimes]((/docs/setup/production-environment/container-runtimes/) topic.
+-->
+#### 定制沙箱（pause）镜像  {#custom-pause-image}
+
+如果需要为这些组件设置定制的镜像，你需要在你的{{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}
+中完成一些配置。参阅你的容器运行时的文档以了解如何改变此设置。
+对于某些容器运行时而言，
+你可以在[容器运行时](/zh-cn/docs/setup/production-environment/container-runtimes/)
+主题下找到一些建议。
 
 <!--
 ### Uploading control-plane certificates to the cluster
--->
-### 将控制平面证书上传到集群
 
-<!--
 By adding the flag `-upload-certs` to `kubeadm init` you can temporary upload
 the control-plane certificates to a Secret in the cluster. Please note that this Secret
 will expire automatically after 2 hours. The certificates are encrypted using
@@ -505,6 +515,8 @@ a 32byte key that can be specified using `-certificate-key`. The same key can be
 to download the certificates when additional control-plane nodes are joining, by passing
 `-control-plane` and `-certificate-key` to `kubeadm join`.
 -->
+### 将控制平面证书上传到集群  {#uploading-control-plane-certificates-to-the-cluster}
+
 通过将参数 `--upload-certs` 添加到 `kubeadm init`，你可以将控制平面证书临时上传到集群中的 Secret。
 请注意，此 Secret 将在 2 小时后自动过期。证书使用 32 字节密钥加密，可以使用 `--certificate-key` 指定。
 通过将 `--control-plane` 和 `--certificate-key` 传递给 `kubeadm join`，
@@ -522,40 +534,39 @@ kubeadm init phase upload-certs --upload-certs --certificate-key=SOME_VALUE --co
 <!--
 If the flag `-certificate-key` is not passed to `kubeadm init` and
 `kubeadm init phase upload-certs` a new key will be generated automatically.
+
+The following command can be used to generate a new key on demand:
 -->
 如果未将参数 `--certificate-key` 传递给 `kubeadm init` 和 `kubeadm init phase upload-certs`，
 则会自动生成一个新密钥。
 
-<!--
-The following command can be used to generate a new key on demand:
--->
 以下命令可用于按需生成新密钥：
 
 ```shell
 kubeadm certs certificate-key
 ```
 
-<!-- ### Certificate management with kubeadm -->
-### 使用 kubeadm 管理证书
+<!--
+### Certificate management with kubeadm
 
-<!--  
 For detailed information on certificate management with kubeadm see
 [Certificate Management with kubeadm](/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/).
 The document includes information about using external CA, custom certificates
 and certificate renewal.
 -->
-有关使用 kubeadm 进行证书管理的详细信息，请参阅
-[使用 kubeadm 进行证书管理](/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/)。
+### 使用 kubeadm 管理证书  {#certificate-management-with-kubeadm}
+
+有关使用 kubeadm 进行证书管理的详细信息，
+请参阅[使用 kubeadm 进行证书管理](/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/)。
 该文档包括有关使用外部 CA，自定义证书和证书更新的信息。
 
 <!--
 ### Managing the kubeadm drop-in file for the kubelet {#kubelet-drop-in}
+
+The `kubeadm` package ships with a configuration file for running the `kubelet` by `systemd`. Note that the kubeadm CLI never touches this drop-in file. This drop-in file is part of the kubeadm DEB/RPM package.
 -->
 ### 管理 kubeadm 为 kubelet 提供的 systemd 配置文件 {#kubelet-drop-in}
 
-<!--
-The `kubeadm` package ships with a configuration file for running the `kubelet` by `systemd`. Note that the kubeadm CLI never touches this drop-in file. This drop-in file is part of the kubeadm DEB/RPM package.
--->
 `kubeadm` 包自带了关于 `systemd` 如何运行 `kubelet` 的配置文件。
 请注意 `kubeadm` 客户端命令行工具永远不会修改这份 `systemd` 配置文件。
 这份 `systemd` 配置文件属于 kubeadm DEB/RPM 包。
@@ -563,59 +574,61 @@ The `kubeadm` package ships with a configuration file for running the `kubelet`
 <!--
 For further information, see [Managing the kubeadm drop-in file for systemd](/docs/setup/production-environment/tools/kubeadm/kubelet-integration/#the-kubelet-drop-in-file-for-systemd).
 -->
-有关更多信息，请阅读
-[管理 systemd 的 kubeadm 内嵌文件](/zh-cn/docs/setup/production-environment/tools/kubeadm/kubelet-integration/#the-kubelet-drop-in-file-for-systemd)。
+有关更多信息，请阅读[管理 systemd 的 kubeadm 内嵌文件](/zh-cn/docs/setup/production-environment/tools/kubeadm/kubelet-integration/#the-kubelet-drop-in-file-for-systemd)。
 
 <!--
 ### Use kubeadm with CRI runtimes
--->
-### 结合 CRI 运行时使用 kubeadm
 
-<!--
 By default kubeadm attempts to detect your container runtime. For more details on this detection, see
 the [kubeadm CRI installation guide](/docs/setup/production-environment/tools/kubeadm/install-kubeadm/#installing-runtime).
 -->
+### 结合 CRI 运行时使用 kubeadm   {#use-kubeadm-with-cri-runtimes}
+
 默认情况下，kubeadm 尝试检测你的容器运行环境。有关此检测的更多详细信息，请参见
 [kubeadm CRI 安装指南](/zh-cn/docs/setup/production-environment/tools/kubeadm/install-kubeadm/#installing-runtime)。
 
 <!--
 ### Setting the node name
--->
-### 设置节点的名称
 
-<!--
 By default, `kubeadm` assigns a node name based on a machine's host address. You can override this setting with the `-node-name` flag.
 The flag passes the appropriate [`-hostname-override`](/docs/reference/command-line-tools-reference/kubelet/#options)
 value to the kubelet.
 -->
-默认情况下, `kubeadm` 基于机器的主机地址分配一个节点名称。你可以使用 `--node-name` 参数覆盖此设置。
-此标识将合适的
-[`--hostname-override`](/zh-cn/docs/reference/command-line-tools-reference/kubelet/#options)
+### 设置节点的名称  {#setting-the-node-name}
+
+默认情况下，`kubeadm` 基于机器的主机地址分配一个节点名称。你可以使用 `--node-name` 参数覆盖此设置。
+此标识将合适的 [`--hostname-override`](/zh-cn/docs/reference/command-line-tools-reference/kubelet/#options)
 值传递给 kubelet。
 
 <!--
-### Automating kubeadm
+Be aware that overriding the hostname can [interfere with cloud providers](https://github.com/kubernetes/website/pull/8873).
 -->
-### kubeadm 自动化
+要注意，重载主机名可能会[与云驱动发生冲突](https://github.com/kubernetes/website/pull/8873)。
 
 <!--
+### Automating kubeadm
+
 Rather than copying the token you obtained from `kubeadm init` to each node, as
 in the [basic kubeadm tutorial](/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/), you can parallelize the
 token distribution for easier automation. To implement this automation, you must
 know the IP address that the control-plane node will have after it is started,
 or use a DNS name or an address of a load balancer.
 -->
+### kubeadm 自动化   {#automating-kubeadm}
+
 除了像文档 [kubeadm 基础教程](/zh-cn/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/)
 中所描述的那样，将从 `kubeadm init` 取得的令牌复制到每个节点，
 你还可以并行地分发令牌以实现简单自动化。
 要实现自动化，你必须知道控制平面节点启动后将拥有的 IP 地址，或使用 DNS 名称或负载均衡器的地址。
 
 <!--
-1.  Generate a token. This token must have the form  `<6 character string>.<16
-character string>`. More formally, it must match the regex: `[a-z0-9]{6}\.[a-z0-9]{16}`.
-kubeadm can generate a token for you:
+1. Generate a token. This token must have the form  `<6 character string>.<16
+   character string>`. More formally, it must match the regex:
+   `[a-z0-9]{6}\.[a-z0-9]{16}`.
+
+   kubeadm can generate a token for you:
 -->
-1. 生成一个令牌。这个令牌必须具有以下格式：`< 6 个字符的字符串>.< 16 个字符的字符串>`。
+1. 生成一个令牌。这个令牌必须具有以下格式：`<6 个字符的字符串>.<16 个字符的字符串>`。
    更加正式的说法是，它必须符合以下正则表达式：`[a-z0-9]{6}\.[a-z0-9]{16}`。
    
    kubeadm 可以为你生成一个令牌：
@@ -625,14 +638,16 @@ kubeadm can generate a token for you:
    ```
 
 <!--
-2.  Start both the control-plane node and the worker nodes concurrently with this token.
-As they come up they should find each other and form the cluster. The same `-token` argument can be used on both `kubeadm init` and `kubeadm join`. 
+1. Start both the control-plane node and the worker nodes concurrently with this token.
+   As they come up they should find each other and form the cluster. The same
+   `-token` argument can be used on both `kubeadm init` and `kubeadm join`. 
 -->
 2. 使用这个令牌同时启动控制平面节点和工作节点。它们一旦运行起来应该就会互相寻找对方并且建立集群。
    同样的 `--token` 参数可以同时用于 `kubeadm init` 和 `kubeadm join` 命令。
 
 <!--
-3.  Similar can be done for `-certificate-key` when joining additional control-plane nodes. The key can be generated using:
+1. Similar can be done for `-certificate-key` when joining additional control-plane
+   nodes. The key can be generated using:
 -->
 3. 当加入其他控制平面节点时，可以对 `--certificate-key` 执行类似的操作。可以使用以下方式生成密钥：
 
@@ -653,8 +668,9 @@ it does not allow the root CA hash to be validated with
 `-discovery-token-ca-cert-hash` (since it's not generated when the nodes are
 provisioned). For details, see the [kubeadm join](/docs/reference/setup-tools/kubeadm/kubeadm-join/).
 -->
-注意这种搭建集群的方式在安全保证上会有一些宽松，因为这种方式不允许使用 `--discovery-token-ca-cert-hash` 
-来验证根 CA 的哈希值（因为当配置节点的时候，它还没有被生成）。
+注意这种搭建集群的方式在安全保证上会有一些宽松，因为这种方式不允许使用
+`--discovery-token-ca-cert-hash` 来验证根 CA 的哈希值
+（因为当配置节点的时候，它还没有被生成）。
 更多信息请参阅 [kubeadm join](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-join/) 文档。
 
 ## {{% heading "whatsnext" %}}
@@ -666,7 +682,7 @@ provisioned). For details, see the [kubeadm join](/docs/reference/setup-tools/ku
 * [kubeadm upgrade](/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/) to upgrade a Kubernetes cluster to a newer version
 * [kubeadm reset](/docs/reference/setup-tools/kubeadm/kubeadm-reset/) to revert any changes made to this host by `kubeadm init` or `kubeadm join`
 -->
-* 进一步阅读了解 [kubeadm init phase](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/)
+* 进一步阅读了解 [kubeadm init 阶段](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init-phase/)
 * [kubeadm join](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-join/)
   启动一个 Kubernetes 工作节点并且将其加入到集群
 * [kubeadm upgrade](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-upgrade/)
diff --git a/content/zh-cn/docs/reference/using-api/_index.md b/content/zh-cn/docs/reference/using-api/_index.md
index 3d39084395a..e4a7b86e5cc 100644
--- a/content/zh-cn/docs/reference/using-api/_index.md
+++ b/content/zh-cn/docs/reference/using-api/_index.md
@@ -59,11 +59,11 @@ JSON 和 Protobuf 序列化模式遵循相同的模式更改原则。
 
 <!--
 The API versioning and software versioning are indirectly related.
-The [API and release versioning proposal](https://git.k8s.io/community/contributors/design-proposals/release/versioning.md)
+The [API and release versioning proposal](https://git.k8s.io/sig-release/release-engineering/versioning.md)
 describes the relationship between API versioning and software versioning.
 -->
 API 版本控制和软件版本控制是间接相关的。
-[API 和发布版本控制提案](https://git.k8s.io/community/contributors/design-proposals/release/versioning.md)
+[API 和发布版本控制提案](https://git.k8s.io/sig-release/release-engineering/versioning.md)
 描述了 API 版本控制和软件版本控制间的关系。
 
 <!--
@@ -152,12 +152,12 @@ Here's a summary of each level:
 ## API 组
 
 <!--
-[API groups](https://git.k8s.io/community/contributors/design-proposals/api-machinery/api-group.md)
+[API groups](https://git.k8s.io/design-proposals-archive/api-machinery/api-group.md)
 make it easier to extend the Kubernetes API.
 The API group is specified in a REST path and in the `apiVersion` field of a
 serialized object.
 -->
-[API 组](https://git.k8s.io/community/contributors/design-proposals/api-machinery/api-group.md)
+[API 组](https://git.k8s.io/design-proposals-archive/api-machinery/api-group.md)
 能够简化对 Kubernetes API 的扩展。
 API 组信息出现在REST 路径中，也出现在序列化对象的 `apiVersion` 字段中。
 
diff --git a/content/zh-cn/docs/reference/using-api/deprecation-guide.md b/content/zh-cn/docs/reference/using-api/deprecation-guide.md
index 70b0277985a..2d2f7476c08 100644
--- a/content/zh-cn/docs/reference/using-api/deprecation-guide.md
+++ b/content/zh-cn/docs/reference/using-api/deprecation-guide.md
@@ -723,13 +723,13 @@ For example:
 <!--
 ### Locate use of deprecated APIs
 
-Use [client warnings, metrics, and audit information available in 1.19+](https://kubernetes.io/blog/2020/09/03/warnings/#deprecation-warnings)
+Use [client warnings, metrics, and audit information available in 1.19+](/blog/2020/09/03/warnings/#deprecation-warnings)
 to locate use of deprecated APIs.
 -->
 ### 定位何处使用了已弃用的 API
 
-使用 [client warnings, metrics, and audit information available in 1.19+](https://kubernetes.io/blog/2020/09/03/warnings/#deprecation-warnings)
-来定位在何处使用了已启用的 API。
+使用 [client warnings, metrics, and audit information available in 1.19+](/blog/2020/09/03/warnings/#deprecation-warnings)
+来定位在何处使用了已弃用的 API。
 
 <!--
 ### Migrate to non-deprecated APIs
@@ -755,7 +755,7 @@ to automatically convert an existing object:
 <!--
 For example, to convert an older Deployment to `apps/v1`, you can run:
 -->
-例如，要将较老的 Deployment 转换为 `apps/v1` 版本，你可以运行
+例如，要将较老的 Deployment 版本转换为 `apps/v1` 版本，你可以运行
 
 `kubectl-convert -f ./my-deployment.yaml --output-version apps/v1`
 
@@ -763,5 +763,5 @@ For example, to convert an older Deployment to `apps/v1`, you can run:
 Note that this may use non-ideal default values. To learn more about a specific
 resource, check the Kubernetes [API reference](/docs/reference/kubernetes-api/).
 -->
-注意这种操作生成的结果中可能使用的默认值并不理想。
+需要注意的是这种操作使用的默认值可能并不理想。
 要进一步了解某个特定资源，可查阅 Kubernetes [API 参考](/zh-cn/docs/reference/kubernetes-api/)。
diff --git a/content/zh-cn/docs/setup/_index.md b/content/zh-cn/docs/setup/_index.md
index 4550dd355b7..78af857c3a0 100644
--- a/content/zh-cn/docs/setup/_index.md
+++ b/content/zh-cn/docs/setup/_index.md
@@ -51,12 +51,27 @@ control, available resources, and expertise required to operate and manage a clu
 You can [download Kubernetes](/releases/download/) to deploy a Kubernetes cluster
 on a local machine, into the cloud, or for your own datacenter.
 
+Several [Kubernetes components](/docs/concepts/overview/components/) such as `kube-apiserver` or `kube-proxy` can also be
+deployed as [container images](/releases/download/#container-images) within the cluster.
+
+It is **recommended** to run Kubernetes components as container images wherever
+that is possible, and to have Kubernetes manage those components.
+Components that run containers - notably, the kubelet - can't be included in this category.
+
 If you don't want to manage a Kubernetes cluster yourself, you could pick a managed service, including
 [certified platforms](/docs/setup/production-environment/turnkey-solutions/).
 There are also other standardized and custom solutions across a wide range of cloud and
 bare metal environments.
 -->
-可以[下载 Kubernetes](/releases/download/)，在本地机器、云或你自己的数据中心上部署 Kubernetes 集群。
+你可以[下载 Kubernetes](/zh-cn/releases/download/)，在本地机器、云或你自己的数据中心上部署 Kubernetes 集群。
+
+某些 [Kubernetes 组件](/zh-cn/docs/concepts/overview/components/)，
+比如 `kube-apiserver` 或 `kube-proxy` 等，
+可以在集群中以[容器镜像](/zh-cn/releases/download/#container-images)部署。
+
+**建议**尽可能将 Kubernetes 组件作为容器镜像运行，并且让 Kubernetes 管理这些组件。
+但是运行容器的相关组件 —— 尤其是 kubelet，不在此列。
+
 如果你不想自己管理 Kubernetes 集群，则可以选择托管服务，包括[经过认证的平台](/zh-cn/docs/setup/production-environment/turnkey-solutions/)。
 在各种云和裸机环境中，还有其他标准化和定制的解决方案。
 <!-- body -->
@@ -106,15 +121,16 @@ for deploying Kubernetes is [kubeadm](/docs/setup/production-environment/tools/k
 Kubernetes is designed for its {{< glossary_tooltip term_id="control-plane" text="control plane" >}} to
 run on Linux. Within your cluster you can run applications on Linux or other operating systems, including
 Windows.
-- Learn to [set up clusters with Windows nodes](/docs/setup/production-environment/windows/)
+
+- Learn to [set up clusters with Windows nodes](/docs/concepts/windows/)
 -->
 ## {{% heading "whatsnext" %}}
 
-- [下载 Kubernetes](/releases/download/)
+- [下载 Kubernetes](/zh-cn/releases/download/)
 - 下载并[安装工具](/zh-cn/docs/tasks/tools/)，包括 kubectl 在内
 - 为新集群选择[容器运行时](/zh-cn/docs/setup/production-environment/container-runtimes/)
 - 了解集群设置的[最佳实践](/zh-cn/docs/setup/best-practices/)
 
 Kubernetes 的设计是让其{{< glossary_tooltip term_id="control-plane" text="控制平面" >}}在 Linux 上运行的。
 在集群中，你可以在 Linux 或其他操作系统（包括 Windows）上运行应用程序。
-- 学习[配置包含 Windows 节点的集群](/zh-cn/docs/setup/production-environment/windows/)
+- 学习[配置包含 Windows 节点的集群](/zh-cn/docs/concepts/windows/)
diff --git a/content/zh-cn/docs/setup/best-practices/multiple-zones.md b/content/zh-cn/docs/setup/best-practices/multiple-zones.md
index a2182b930ca..2ad2dd4e482 100644
--- a/content/zh-cn/docs/setup/best-practices/multiple-zones.md
+++ b/content/zh-cn/docs/setup/best-practices/multiple-zones.md
@@ -113,7 +113,7 @@ These labels can include
 <!--
 If your cluster spans multiple zones or regions, you can use node labels
 in conjunction with
-[Pod topology spread constraints](/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+[Pod topology spread constraints](/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 to control how Pods are spread across your cluster among fault domains:
 regions, zones, and even specific nodes.
 These hints enable the
@@ -122,7 +122,7 @@ Pods for better expected availability, reducing the risk that a correlated
 failure affects your whole workload.
 -->
 如果你的集群跨了多个可用区或者地理区域，你可以使用节点标签，结合
-[Pod 拓扑分布约束](/zh-cn/docs/concepts/workloads/pods/pod-topology-spread-constraints/)
+[Pod 拓扑分布约束](/zh-cn/docs/concepts/scheduling-eviction/topology-spread-constraints/)
 来控制如何在你的集群中多个失效域之间分布 Pods。这里的失效域可以是
 地理区域、可用区甚至是特定节点。
 这些提示信息使得{{< glossary_tooltip text="调度器" term_id="kube-scheduler" >}}
diff --git a/content/zh-cn/docs/setup/production-environment/_index.md b/content/zh-cn/docs/setup/production-environment/_index.md
index 7476336ff46..4f1aa39d23a 100644
--- a/content/zh-cn/docs/setup/production-environment/_index.md
+++ b/content/zh-cn/docs/setup/production-environment/_index.md
@@ -31,9 +31,8 @@ to changing demands.
 -->
 ## 生产环境考量  {#production-considerations}
 
-通常，一个生产用 Kubernetes 集群环境与个人学习、开发或测试环境所使用的
-Kubernetes 相比有更多的需求。生产环境可能需要被很多用户安全地访问，需要
-提供一致的可用性，以及能够与需求变化相适配的资源。
+通常，一个生产用 Kubernetes 集群环境与个人学习、开发或测试环境所使用的 Kubernetes 相比有更多的需求。
+生产环境可能需要被很多用户安全地访问，需要提供一致的可用性，以及能够与需求变化相适配的资源。
 
 <!--
 As you decide where you want your production Kubernetes environment to live
@@ -41,9 +40,9 @@ As you decide where you want your production Kubernetes environment to live
 on or hand to others, consider how your requirements for a Kubernetes cluster
 are influenced by the following issues:
 -->
-在你决定在何处运行你的生产用 Kubernetes 环境（在本地或者在云端），以及
-你希望承担或交由他人承担的管理工作量时，需要考察以下因素如何影响你对
-Kubernetes 集群的需求：
+在你决定在何处运行你的生产用 Kubernetes 环境（在本地或者在云端），
+以及你希望承担或交由他人承担的管理工作量时，
+需要考察以下因素如何影响你对 Kubernetes 集群的需求：
 
 <!--
 - *Availability*: A single-machine Kubernetes [learning environment](/docs/setup/#learning-environment)
@@ -53,7 +52,7 @@ has a single point of failure. Creating a highly available cluster means conside
   - Load balancing traffic to the cluster’s {{< glossary_tooltip term_id="kube-apiserver" text="API server" >}}.
   - Having enough worker nodes available, or able to quickly become available, as changing workloads warrant it.
 -->
-- *可用性*：一个单机的 Kubernetes [学习环境](/zh-cn/docs/setup/#学习环境)
+- **可用性**：一个单机的 Kubernetes [学习环境](/zh-cn/docs/setup/#学习环境)
   具有单点失效特点。创建高可用的集群则意味着需要考虑：
   - 将控制面与工作节点分开
   - 在多个节点上提供控制面组件的副本
@@ -69,11 +68,10 @@ season or special events, you need to plan how to scale to relieve increased
 pressure from more requests to the control plane and worker nodes or scale down to reduce unused
 resources.
 -->
-- *规模*：如果你预期你的生产用 Kubernetes 环境要承受固定量的请求，
+- **规模**：如果你预期你的生产用 Kubernetes 环境要承受固定量的请求，
   你可能可以针对所需要的容量来一次性完成安装。
-  不过，如果你预期服务请求会随着时间增长，或者因为类似季节或者特殊事件的
-  原因而发生剧烈变化，你就需要规划如何处理请求上升时对控制面和工作节点
-  的压力，或者如何缩减集群规模以减少未使用资源的消耗。
+  不过，如果你预期服务请求会随着时间增长，或者因为类似季节或者特殊事件的原因而发生剧烈变化，
+  你就需要规划如何处理请求上升时对控制面和工作节点的压力，或者如何缩减集群规模以减少未使用资源的消耗。
 
 <!--
 - *Security and access management*: You have full admin privileges on your own
@@ -87,27 +85,26 @@ You can set limits on the resources that users and workloads can access
 by managing [policies](/docs/concepts/policy/) and
 [container resources](/docs/concepts/configuration/manage-resources-containers/).
 -->
-- *安全性与访问管理*：在你自己的学习环境 Kubernetes 集群上，你拥有完全的管理员特权。
-  但是针对运行着重要工作负载的共享集群，用户账户不止一两个时，就需要更细粒度
-  的方案来确定谁或者哪些主体可以访问集群资源。
+- **安全性与访问管理**：在你自己的学习环境 Kubernetes 集群上，你拥有完全的管理员特权。
+  但是针对运行着重要工作负载的共享集群，用户账户不止一两个时，
+  就需要更细粒度的方案来确定谁或者哪些主体可以访问集群资源。
   你可以使用基于角色的访问控制（[RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/)）
-  和其他安全机制来确保用户和负载能够访问到所需要的资源，同时确保工作负载及集群
-  自身仍然是安全的。
+  和其他安全机制来确保用户和负载能够访问到所需要的资源，
+  同时确保工作负载及集群自身仍然是安全的。
   你可以通过管理[策略](/zh-cn/docs/concepts/policy/)和
-  [容器资源](/zh-cn/docs/concepts/configuration/manage-resources-containers)来
-  针对用户和工作负载所可访问的资源设置约束，
+  [容器资源](/zh-cn/docs/concepts/configuration/manage-resources-containers)
+  来针对用户和工作负载所可访问的资源设置约束。
 
 <!--
 Before building a Kubernetes production environment on your own, consider
 handing off some or all of this job to 
 [Turnkey Cloud Solutions](/docs/setup/production-environment/turnkey-solutions/) 
-providers or other [Kubernetes Partners](https://kubernetes.io/partners/).
+providers or other [Kubernetes Partners](/partners/).
 Options include:
 -->
-在自行构造 Kubernetes 生产环境之前，请考虑将这一任务的部分或者全部交给
-[云方案承包服务](/zh-cn/docs/setup/production-environment/turnkey-solutions)
-提供商或者其他 [Kubernetes 合作伙伴](https://kubernetes.io/partners/)。
-选项有：
+在自行构建 Kubernetes 生产环境之前，
+请考虑将这一任务的部分或者全部交给[云方案承包服务](/zh-cn/docs/setup/production-environment/turnkey-solutions)提供商或者其他
+[Kubernetes 合作伙伴](/zh-cn/partners/)。选项有：
 
 <!--
 - *Serverless*: Just run workloads on third-party equipment without managing
@@ -122,12 +119,11 @@ upgrades when needed.
 services you may need, such as storage, container registries, authentication
 methods, and development tools.
 -->
-- *无服务*：仅是在第三方设备上运行负载，完全不必管理集群本身。你需要为
-  CPU 用量、内存和磁盘请求等付费。
-- *托管控制面*：让供应商决定集群控制面的规模和可用性，并负责打补丁和升级等操作。
-- *托管工作节点*：配置一个节点池来满足你的需要，由供应商来确保节点始终可用，
-  并在需要的时候完成升级。
-- *集成*：有一些供应商能够将 Kubernetes 与一些你可能需要的其他服务集成，
+- **无服务**：仅是在第三方设备上运行负载，完全不必管理集群本身。
+  你需要为 CPU 用量、内存和磁盘请求等付费。
+- **托管控制面**：让供应商决定集群控制面的规模和可用性，并负责打补丁和升级等操作。
+- **托管工作节点**：配置一个节点池来满足你的需要，由供应商来确保节点始终可用，并在需要的时候完成升级。
+- **集成**：有一些供应商能够将 Kubernetes 与一些你可能需要的其他服务集成，
   这类服务包括存储、容器镜像仓库、身份认证方法以及开发工具等。
 
 <!--
@@ -136,9 +132,8 @@ partners, review the following sections to evaluate your needs as they relate
 to your cluster’s *control plane*, *worker nodes*, *user access*, and
 *workload resources*.
 -->
-无论你是自行构造一个生产用 Kubernetes 集群还是与合作伙伴一起协作，请审阅
-下面章节以评估你的需求，因为这关系到你的集群的 *控制面*、*工作节点*、
-*用户访问* 以及 *负载资源*。
+无论你是自行构造一个生产用 Kubernetes 集群还是与合作伙伴一起协作，
+请审阅下面章节以评估你的需求，因为这关系到你的集群的**控制面**、**工作节点**、**用户访问**以及**负载资源**。
 
 <!--
 ## Production cluster setup
@@ -150,9 +145,8 @@ is configured to run Kubernetes pods.
 -->
 ## 生产用集群安装  {#production-cluster-setup}
 
-在生产质量的 Kubernetes 集群中，控制面用不同的方式来管理集群和可以
-分布到多个计算机上的服务。每个工作节点则代表的是一个可配置来运行
-Kubernetes Pod 的实体。
+在生产质量的 Kubernetes 集群中，控制面用不同的方式来管理集群和可以分布到多个计算机上的服务。
+每个工作节点则代表的是一个可配置来运行 Kubernetes Pod 的实体。
 
 <!--
 ### Production control plane
@@ -167,7 +161,7 @@ discarded if something goes seriously wrong, this might meet your needs.
 ### 生产用控制面  {#production-control-plane}
 
 最简单的 Kubernetes 集群中，整个控制面和工作节点服务都运行在同一台机器上。
-你可以通过添加工作节点来提升环境能力，正如
+你可以通过添加工作节点来提升环境运算能力，正如
 [Kubernetes 组件](/zh-cn/docs/concepts/overview/components/)示意图所示。
 如果只需要集群在很短的一段时间内可用，或者可以在某些事物出现严重问题时直接丢弃，
 这种配置可能符合你的需要。
@@ -182,7 +176,7 @@ consider these steps:
 -->
 如果你需要一个更为持久的、高可用的集群，那么就需要考虑扩展控制面的方式。
 根据设计，运行在一台机器上的单机控制面服务不是高可用的。
-如果保持集群处于运行状态并且需要确保在出现问题时能够被修复这点很重要，
+如果你认为保持集群的正常运行并需要确保它在出错时可以被修复是很重要的，
 可以考虑以下步骤：
 
 <!--
@@ -193,7 +187,7 @@ to learn tips for production-quality deployments using each of those deployment
 methods. Different [Container Runtimes](/docs/setup/production-environment/container-runtimes/)
 are available to use with your deployments.
 -->
-- *选择部署工具*：你可以使用类似 kubeadm、kops 和 kubespray 这类工具来部署控制面。
+- **选择部署工具**：你可以使用类似 kubeadm、kops 和 kubespray 这类工具来部署控制面。
   参阅[使用部署工具安装 Kubernetes](/zh-cn/docs/setup/production-environment/tools/)
   以了解使用这类部署方法来完成生产就绪部署的技巧。
   存在不同的[容器运行时](/zh-cn/docs/setup/production-environment/container-runtimes/)
@@ -204,8 +198,8 @@ are implemented using certificates. Certificates are automatically generated
 during deployment or you can generate them using your own certificate authority.
 See [PKI certificates and requirements](/docs/setup/best-practices/certificates/) for details.
 -->
-- *管理证书*：控制面服务之间的安全通信是通过证书来完成的。证书是在部署期间
-  自动生成的，或者你也可以使用自己的证书机构来生成它们。
+- **管理证书**：控制面服务之间的安全通信是通过证书来完成的。
+  证书是在部署期间自动生成的，或者你也可以使用自己的证书机构来生成它们。
   参阅 [PKI 证书和需求](/zh-cn/docs/setup/best-practices/certificates/)了解细节。
 <!--
 - *Configure load balancer for apiserver*: Configure a load balancer
@@ -213,10 +207,8 @@ to distribute external API requests to the apiserver service instances running o
 [Create an External Load Balancer](/docs/tasks/access-application-cluster/create-external-load-balancer/)
 for details.
 -->
-- *为 API 服务器配置负载均衡*：配置负载均衡器来将外部的 API 请求散布给运行在
-  不同节点上的 API 服务实例。参阅
-  [创建外部负载均衡器](/zh-cn/docs/tasks/access-application-cluster/create-external-load-balancer/)
-  了解细节。
+- **为 API 服务器配置负载均衡**：配置负载均衡器来将外部的 API 请求散布给运行在不同节点上的 API 服务实例。
+  参阅[创建外部负载均衡器](/zh-cn/docs/tasks/access-application-cluster/create-external-load-balancer/)了解细节。
 <!--
 - *Separate and backup etcd service*: The etcd services can either run on the
 same machines as other control plane services or run on separate machines, for
@@ -228,7 +220,7 @@ See [Operating etcd clusters for Kubernetes](/docs/tasks/administer-cluster/conf
 and [Set up a High Availability etcd cluster with kubeadm](/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm/)
 for details.
 -->
-- *分离并备份 etcd 服务*：etcd 服务可以运行于其他控制面服务所在的机器上，
+- **分离并备份 etcd 服务**：etcd 服务可以运行于其他控制面服务所在的机器上，
   也可以运行在不同的机器上以获得更好的安全性和可用性。
   因为 etcd 存储着集群的配置数据，应该经常性地对 etcd 数据库进行备份，
   以确保在需要的时候你可以修复该数据库。与配置和使用 etcd 相关的细节可参阅
@@ -247,13 +239,12 @@ but not highly available. Some deployment tools set up [Raft](https://raft.githu
 consensus algorithm to do leader election of Kubernetes services. If the
 primary goes away, another service elects itself and take over. 
 -->
-- *创建多控制面系统*：为了实现高可用性，控制面不应被限制在一台机器上。
-  如果控制面服务是使用某 init 服务（例如 systemd）来运行的，每个服务应该
-  至少运行在三台机器上。不过，将控制面作为服务运行在 Kubernetes Pods
-  中可以确保你所请求的个数的服务始终保持可用。
+- **创建多控制面系统**：为了实现高可用性，控制面不应被限制在一台机器上。
+  如果控制面服务是使用某 init 服务（例如 systemd）来运行的，每个服务应该至少运行在三台机器上。
+  不过，将控制面作为服务运行在 Kubernetes Pod 中可以确保你所请求的个数的服务始终保持可用。
   调度器应该是可容错的，但不是高可用的。
-  某些部署工具会安装 [Raft](https://raft.github.io/) 票选算法来对 Kubernetes
-  服务执行领导者选举。如果主节点消失，另一个服务会被选中并接手相应服务。
+  某些部署工具会安装 [Raft](https://raft.github.io/) 票选算法来对 Kubernetes 服务执行领导者选举。
+  如果主节点消失，另一个服务会被选中并接手相应服务。
 <!--
 - *Span multiple zones*: If keeping your cluster available at all times is
 critical, consider creating a cluster that runs across multiple data centers,
@@ -263,11 +254,9 @@ multiple zones in the same region, it can improve the chances that your
 cluster will continue to function even if one zone becomes unavailable.
 See [Running in multiple zones](/docs/setup/best-practices/multiple-zones/) for details.
 -->
-- *跨多个可用区*：如果保持你的集群一直可用这点非常重要，可以考虑创建一个跨
-  多个数据中心的集群；在云环境中，这些数据中心被视为可用区。
-  若干个可用区在一起可构成地理区域。
-  通过将集群分散到同一区域中的多个可用区内，即使某个可用区不可用，整个集群
-  能够继续工作的机会也大大增加。
+- **跨多个可用区**：如果保持你的集群一直可用这点非常重要，可以考虑创建一个跨多个数据中心的集群；
+  在云环境中，这些数据中心被视为可用区。若干个可用区在一起可构成地理区域。
+  通过将集群分散到同一区域中的多个可用区内，即使某个可用区不可用，整个集群能够继续工作的机会也大大增加。
   更多的细节可参阅[跨多个可用区运行](/zh-cn/docs/setup/best-practices/multiple-zones/)。
 <!--
 - *Manage on-going features*: If you plan to keep your cluster over time,
@@ -278,8 +267,9 @@ and [Upgrading kubeadm clusters](/docs/tasks/administer-cluster/kubeadm/kubeadm-
 See [Administer a Cluster](/docs/tasks/administer-cluster/)
 for a longer list of Kubernetes administrative tasks.
 -->
-- *管理演进中的特性*：如果你计划长时间保留你的集群，就需要执行一些维护其
-  健康和安全的任务。例如，如果你采用 kubeadm 安装的集群，则有一些可以帮助你完成
+- **管理演进中的特性**：如果你计划长时间保留你的集群，就需要执行一些维护其健康和安全的任务。
+  例如，如果你采用 kubeadm 安装的集群，
+  则有一些可以帮助你完成
   [证书管理](/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-certs/)
   和[升级 kubeadm 集群](/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade)
   的指令。
@@ -301,13 +291,12 @@ for information on making an etcd backup plan.
 如要了解运行控制面服务时可使用的选项，可参阅
 [kube-apiserver](/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/)、
 [kube-controller-manager](/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager/) 和
-[kube-scheduler](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/)
+[kube-scheduler](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/) 
 组件参考页面。
-如要了解高可用控制面的例子，可参阅
-[高可用拓扑结构选项](/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology/)、
-[使用 kubeadm 创建高可用集群](/zh-cn/docs/setup/production-environment/tools/kubeadm/high-availability/) 以及[为 Kubernetes 运维 etcd 集群](/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/)。
-关于制定 etcd 备份计划，可参阅
-[对 etcd 集群执行备份](/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/#backing-up-an-etcd-cluster)。
+如要了解高可用控制面的例子，可参阅[高可用拓扑结构选项](/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology/)、
+[使用 kubeadm 创建高可用集群](/zh-cn/docs/setup/production-environment/tools/kubeadm/high-availability/)
+以及[为 Kubernetes 运维 etcd 集群](/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/)。
+关于制定 etcd 备份计划，可参阅[对 etcd 集群执行备份](/zh-cn/docs/tasks/administer-cluster/configure-upgrade-etcd/#backing-up-an-etcd-cluster)。
 
 <!--
 ### Production worker nodes
@@ -322,7 +311,7 @@ simply as *nodes*).
 
 生产质量的工作负载需要是弹性的；它们所依赖的其他组件（例如 CoreDNS）也需要是弹性的。
 无论你是自行管理控制面还是让云供应商来管理，你都需要考虑如何管理工作节点
-（有时也简称为*节点*）。
+（有时也简称为**节点**）。
 
 <!--
 - *Configure nodes*: Nodes can be physical or virtual machines. If you want to
@@ -330,44 +319,29 @@ create and manage your own nodes, you can install a supported operating system,
 then add and run the appropriate
 [Node services](/docs/concepts/overview/components/#node-components). Consider:
 -->
-- *配置节点*：节点可以是物理机或者虚拟机。如果你希望自行创建和管理节点，
-  你可以安装一个受支持的操作系统，之后添加并运行合适的
-  [节点服务](/zh-cn/docs/concepts/overview/components/#node-components)。
-  考虑：
+- **配置节点**：节点可以是物理机或者虚拟机。如果你希望自行创建和管理节点，
+  你可以安装一个受支持的操作系统，之后添加并运行合适的[节点服务](/zh-cn/docs/concepts/overview/components/#node-components)。考虑：
   <!--
   - The demands of your workloads when you set up nodes by having appropriate memory, CPU, and disk speed and storage capacity available.
   - Whether generic computer systems will do or you have workloads that need GPU processors, Windows nodes, or VM isolation.
   -->
-  - 在安装节点时要通过配置适当的内存、CPU 和磁盘速度、存储容量来满足
-    你的负载的需求。
-  - 是否通用的计算机系统即足够，还是你有负载需要使用 GPU 处理器、Windows 节点
-    或者 VM 隔离。
+  - 在安装节点时要通过配置适当的内存、CPU 和磁盘读写速率、存储容量来满足你的负载的需求。
+  - 是否通用的计算机系统即足够，还是你有负载需要使用 GPU 处理器、Windows 节点或者 VM 隔离。
 <!--
 - *Validate nodes*: See [Valid node setup](/docs/setup/best-practices/node-conformance/)
 for information on how to ensure that a node meets the requirements to join
 a Kubernetes cluster.
 -->
-- *验证节点*：参阅[验证节点配置](/zh-cn/docs/setup/best-practices/node-conformance/)
-  以了解如何确保节点满足加入到 Kubernetes 集群的需求。
+- **验证节点**：参阅[验证节点配置](/zh-cn/docs/setup/best-practices/node-conformance/)以了解如何确保节点满足加入到 Kubernetes 集群的需求。
 <!--
 - *Add nodes to the cluster*: If you are managing your own cluster you can
 add nodes by setting up your own machines and either adding them manually or
 having them register themselves to the cluster’s apiserver. See the
 [Nodes](/docs/concepts/architecture/nodes/) section for information on how to set up Kubernetes to add nodes in these ways.
 -->
-- *添加节点到集群中*：如果你自行管理你的集群，你可以通过安装配置你的机器，
-  之后或者手动加入集群，或者让它们自动注册到集群的 API 服务器。参阅
-  [节点](/zh-cn/docs/concepts/architecture/nodes/)节，了解如何配置 Kubernetes
-  以便以这些方式来添加节点。
-<!--
-- *Add Windows nodes to the cluster*: Kubernetes offers support for Windows
-worker nodes, allowing you to run workloads implemented in Windows containers. See
-[Windows in Kubernetes](/docs/setup/production-environment/windows/) for details.
--->
-- *向集群中添加 Windows 节点*：Kubernetes 提供对 Windows 工作节点的支持；
-  这使得你可以运行实现于 Windows 容器内的工作负载。参阅
-  [Kubernetes 中的 Windows](/zh-cn/docs/setup/production-environment/windows/)
-  了解进一步的详细信息。
+- **添加节点到集群中**：如果你自行管理你的集群，你可以通过安装配置你的机器，
+  之后或者手动加入集群，或者让它们自动注册到集群的 API 服务器。
+  参阅[节点](/zh-cn/docs/concepts/architecture/nodes/)节，了解如何配置 Kubernetes 以便以这些方式来添加节点。
 <!--
 - *Scale nodes*: Have a plan for expanding the capacity your cluster will
 eventually need. See [Considerations for large clusters](/docs/setup/best-practices/cluster-large/)
@@ -375,9 +349,10 @@ to help determine how many nodes you need, based on the number of pods and
 containers you need to run. If you are managing nodes yourself, this can mean
 purchasing and installing your own physical equipment.
 -->
-- *扩缩节点*：制定一个扩充集群容量的规划，你的集群最终会需要这一能力。
+- **扩缩节点**：制定一个扩充集群容量的规划，你的集群最终会需要这一能力。
   参阅[大规模集群考察事项](/zh-cn/docs/setup/best-practices/cluster-large/)
-  以确定你所需要的节点数；这一规模是基于你要运行的 Pod 和容器个数来确定的。
+  以确定你所需要的节点数；
+  这一规模是基于你要运行的 Pod 和容器个数来确定的。
   如果你自行管理集群节点，这可能意味着要购买和安装你自己的物理设备。
 <!--
 - *Autoscale nodes*: Most cloud providers support
@@ -390,10 +365,10 @@ for how it is implemented by different cloud providers. For on-premises, there
 are some virtualization platforms that can be scripted to spin up new nodes
 based on demand.
 -->
-- *节点自动扩缩容*：大多数云供应商支持
+- **节点自动扩缩容**：大多数云供应商支持
   [集群自动扩缩器（Cluster Autoscaler）](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler#readme)
-  以便替换不健康的节点、根据需求来增加或缩减节点个数。参阅
-  [常见问题](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/FAQ.md)
+  以便替换不健康的节点、根据需求来增加或缩减节点个数。
+  参阅[常见问题](https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/FAQ.md)
   了解自动扩缩器的工作方式，并参阅
   [Deployment](https://github.com/kubernetes/autoscaler/tree/master/cluster-autoscaler#deployment)
   了解不同云供应商是如何实现集群自动扩缩器的。
@@ -404,9 +379,8 @@ that the nodes and pods running on those nodes are healthy. Using the
 [Node Problem Detector](/docs/tasks/debug/debug-cluster/monitor-node-health/)
 daemon, you can ensure your nodes are healthy.
 -->
-- **安装节点健康检查**：对于重要的工作负载，你会希望确保节点以及在节点上
-  运行的 Pod 处于健康状态。通过使用
-  [Node Problem Detector](/zh-cn/docs/tasks/debug/debug-cluster/monitor-node-health/)，
+- **安装节点健康检查**：对于重要的工作负载，你会希望确保节点以及在节点上运行的 Pod 处于健康状态。
+  通过使用 [Node Problem Detector](/zh-cn/docs/tasks/debug/debug-cluster/monitor-node-health/)，
   你可以确保你的节点是健康的。
 
 <!--
@@ -420,10 +394,9 @@ more accounts with different levels of access to different namespaces.
 -->
 ### 生产级用户环境   {#production-user-management}
 
-在生产环境中，情况可能不再是你或者一小组人在访问集群，而是几十
-上百人需要访问集群。在学习环境或者平台原型环境中，你可能具有一个
-可以执行任何操作的管理账号。在生产环境中，你会需要对不同名字空间
-具有不同访问权限级别的很多账号。
+在生产环境中，情况可能不再是你或者一小组人在访问集群，而是几十上百人需要访问集群。
+在学习环境或者平台原型环境中，你可能具有一个可以执行任何操作的管理账号。
+在生产环境中，你会需要对不同名字空间具有不同访问权限级别的很多账号。
 
 <!--
 Taking on a production-quality cluster means deciding how you
@@ -433,8 +406,8 @@ cluster (authentication) and deciding if they have permissions to do what they
 are asking (authorization):
 -->
 建立一个生产级别的集群意味着你需要决定如何有选择地允许其他用户访问集群。
-具体而言，你需要选择验证尝试访问集群的人的身份标识（身份认证），并确定
-他们是否被许可执行他们所请求的操作（鉴权）：
+具体而言，你需要选择验证尝试访问集群的人的身份标识（身份认证），
+并确定他们是否被许可执行他们所请求的操作（鉴权）：
 
 <!--
 - *Authentication*: The apiserver can authenticate users using client
@@ -445,42 +418,40 @@ authentication methods, such as LDAP or Kerberos. See
 [Authentication](/docs/reference/access-authn-authz/authentication/)
 for a description of these different methods of authenticating Kubernetes users.
 -->
-- *认证（Authentication）*：API 服务器可以使用客户端证书、持有者令牌、身份
-  认证代理或者 HTTP 基本认证机制来完成身份认证操作。
-  你可以选择你要使用的认证方法。通过使用插件，API 服务器可以充分利用你所在
-  组织的现有身份认证方法，例如 LDAP 或者 Kerberos。
-  关于认证 Kubernetes 用户身份的不同方法的描述，可参阅
-  [身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)。
+- **认证（Authentication）**：API 服务器可以使用客户端证书、持有者令牌、
+  身份认证代理或者 HTTP 基本认证机制来完成身份认证操作。
+  你可以选择你要使用的认证方法。通过使用插件，
+  API 服务器可以充分利用你所在组织的现有身份认证方法，
+  例如 LDAP 或者 Kerberos。
+  关于认证 Kubernetes 用户身份的不同方法的描述，
+  可参阅[身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)。
 <!--
 - *Authorization*: When you set out to authorize your regular users, you will probably choose between RBAC and ABAC authorization. See [Authorization Overview](/docs/reference/access-authn-authz/authorization/) to review different modes for authorizing user accounts (as well as service account access to your cluster):
 -->
-- *鉴权（Authorization）*：当你准备为一般用户执行权限判定时，你可能会需要
-  在 RBAC 和 ABAC 鉴权机制之间做出选择。参阅
-  [鉴权概述](/zh-cn/docs/reference/access-authn-authz/authorization/)，了解
-  对用户账户（以及访问你的集群的服务账户）执行鉴权的不同模式。
+- **鉴权（Authorization）**：当你准备为一般用户执行权限判定时，
+  你可能会需要在 RBAC 和 ABAC 鉴权机制之间做出选择。
+  参阅[鉴权概述](/zh-cn/docs/reference/access-authn-authz/authorization/)，
+  了解对用户账户（以及访问你的集群的服务账户）执行鉴权的不同模式。
   <!--
   - *Role-based access control* ([RBAC](/docs/reference/access-authn-authz/rbac/)): Lets you assign access to your cluster by allowing specific sets of permissions to authenticated users. Permissions can be assigned for a specific namespace (Role) or across the entire cluster (ClusterRole). Then using RoleBindings and ClusterRoleBindings, those permissions can be attached to particular users.
   -->
-  - *基于角色的访问控制*（[RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/)）：
+  - **基于角色的访问控制**（[RBAC](/zh-cn/docs/reference/access-authn-authz/rbac/)）：
     让你通过为通过身份认证的用户授权特定的许可集合来控制集群访问。
     访问许可可以针对某特定名字空间（Role）或者针对整个集群（ClusterRole）。
-    通过使用 RoleBinding 和 ClusterRoleBinding 对象，这些访问许可可以被
-    关联到特定的用户身上。
+    通过使用 RoleBinding 和 ClusterRoleBinding 对象，这些访问许可可以被关联到特定的用户身上。
   <!--
   - *Attribute-based access control* ([ABAC](/docs/reference/access-authn-authz/abac/)): Lets you create policies based on resource attributes in the cluster and will allow or deny access based on those attributes. Each line of a policy file identifies versioning properties (apiVersion and kind) and a map of spec properties to match the subject (user or group), resource property, non-resource property (/version or /apis), and readonly. See [Examples](/docs/reference/access-authn-authz/abac/#examples) for details.
   -->
-  - *基于属性的访问控制*（[ABAC](/zh-cn/docs/reference/access-authn-authz/abac/)）：
-    让你能够基于集群中资源的属性来创建访问控制策略，基于对应的属性来决定
-    允许还是拒绝访问。策略文件的每一行都给出版本属性（apiVersion 和 kind）
-    以及一个规约属性的映射，用来匹配主体（用户或组）、资源属性、非资源属性
-    （/version 或 /apis）和只读属性。
+  - **基于属性的访问控制**（[ABAC](/zh-cn/docs/reference/access-authn-authz/abac/)）：
+    让你能够基于集群中资源的属性来创建访问控制策略，基于对应的属性来决定允许还是拒绝访问。
+    策略文件的每一行都给出版本属性（apiVersion 和 kind）以及一个规约属性的映射，
+    用来匹配主体（用户或组）、资源属性、非资源属性（/version 或 /apis）和只读属性。
     参阅[示例](/zh-cn/docs/reference/access-authn-authz/abac/#examples)以了解细节。
 
 <!--
 As someone setting up authentication and authorization on your production Kubernetes cluster, here are some things to consider:
 -->
-作为在你的生产用 Kubernetes 集群中安装身份认证和鉴权机制的负责人，
-要考虑的事情如下：
+作为在你的生产用 Kubernetes 集群中安装身份认证和鉴权机制的负责人，要考虑的事情如下：
 
 <!--
 - *Set the authorization mode*: When the Kubernetes API server
@@ -489,12 +460,10 @@ starts, the supported authentication modes must be set using the *--authorizatio
 flag. For example, that flag in the *kube-adminserver.yaml* file (in */etc/kubernetes/manifests*)
 could be set to Node,RBAC. This would allow Node and RBAC authorization for authenticated requests.
 -->
-- *设置鉴权模式*：当 Kubernetes API 服务器
-  （[kube-apiserver](/docs/reference/command-line-tools-reference/kube-apiserver/)）
-  启动时，所支持的鉴权模式必须使用 `--authorization-mode` 标志配置。
-  例如，`kube-apiserver.yaml`（位于 `/etc/kubernetes/manifests` 下）中对应的
-  标志可以设置为 `Node,RBAC`。这样就会针对已完成身份认证的请求执行 Node 和 RBAC
-  鉴权。
+- **设置鉴权模式**：当 Kubernetes API 服务器（[kube-apiserver](/docs/reference/command-line-tools-reference/kube-apiserver/)）启动时，
+  所支持的鉴权模式必须使用 `--authorization-mode` 标志配置。
+  例如，`kube-apiserver.yaml`（位于 `/etc/kubernetes/manifests` 下）中对应的标志可以设置为 `Node,RBAC`。
+  这样就会针对已完成身份认证的请求执行 Node 和 RBAC 鉴权。
 <!--
 - *Create user certificates and role bindings (RBAC)*: If you are using RBAC
 authorization, users can create a CertificateSigningRequest (CSR) that can be
@@ -502,11 +471,9 @@ signed by the cluster CA. Then you can bind Roles and ClusterRoles to each user.
 See [Certificate Signing Requests](/docs/reference/access-authn-authz/certificate-signing-requests/)
 for details.
 -->
-- *创建用户证书和角色绑定（RBAC）*：如果你在使用 RBAC 鉴权，用户可以创建
-  由集群 CA 签名的 CertificateSigningRequest（CSR）。接下来你就可以将 Role
-  和 ClusterRole 绑定到每个用户身上。
-  参阅[证书签名请求](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/)
-  了解细节。
+- **创建用户证书和角色绑定（RBAC）**：如果你在使用 RBAC 鉴权，用户可以创建由集群 CA 签名的
+  CertificateSigningRequest（CSR）。接下来你就可以将 Role 和 ClusterRole 绑定到每个用户身上。
+  参阅[证书签名请求](/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests/)了解细节。
 <!--
 - *Create policies that combine attributes (ABAC)*: If you are using ABAC
 authorization, you can assign combinations of attributes to form policies to
@@ -514,10 +481,10 @@ authorize selected users or groups to access particular resources (such as a
 pod), namespace, or apiGroup. For more information, see
 [Examples](/docs/reference/access-authn-authz/abac/#examples).
 -->
-- *创建组合属性的策略（ABAC）*：如果你在使用 ABAC 鉴权，你可以设置属性组合
-  以构造策略对所选用户或用户组执行鉴权，判定他们是否可访问特定的资源
-  （例如 Pod）、名字空间或者 apiGroup。进一步的详细信息可参阅
-  [示例](/zh-cn/docs/reference/access-authn-authz/abac/#examples)。
+- **创建组合属性的策略（ABAC）**：如果你在使用 ABAC 鉴权，
+  你可以设置属性组合以构造策略对所选用户或用户组执行鉴权，
+  判定他们是否可访问特定的资源（例如 Pod）、名字空间或者 apiGroup。
+  进一步的详细信息可参阅[示例](/zh-cn/docs/reference/access-authn-authz/abac/#examples)。
 <!--
 - *Consider Admission Controllers*: Additional forms of authorization for
 requests that can come in through the API server include
@@ -526,11 +493,10 @@ Webhooks and other special authorization types need to be enabled by adding
 [Admission Controllers](/docs/reference/access-authn-authz/admission-controllers/)
 to the API server.
 -->
-- *考虑准入控制器*：针对指向 API 服务器的请求的其他鉴权形式还包括
+- **考虑准入控制器**：针对指向 API 服务器的请求的其他鉴权形式还包括
   [Webhook 令牌认证](/zh-cn/docs/reference/access-authn-authz/authentication/#webhook-token-authentication)。
-  Webhook 和其他特殊的鉴权类型需要通过向 API 服务器添加
-  [准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)
-  来启用。
+  Webhook 和其他特殊的鉴权类型需要通过向 API
+  服务器添加[准入控制器](/zh-cn/docs/reference/access-authn-authz/admission-controllers/)来启用。
 
 <!--
 ## Set limits on workload resources
@@ -551,19 +517,16 @@ for details. You can also set
 [Hierarchical Namespaces](/blog/2020/08/14/introducing-hierarchical-namespaces/)
 for inheriting limits.
 -->
-- *设置名字空间限制*：为每个名字空间的内存和 CPU 设置配额。
-  参阅[管理内存、CPU 和 API 资源](/zh-cn/docs/tasks/administer-cluster/manage-resources/)
-  以了解细节。你也可以设置
-  [层次化名字空间](/blog/2020/08/14/introducing-hierarchical-namespaces/)
-  来继承这类约束。
+- **设置名字空间限制**：为每个名字空间的内存和 CPU 设置配额。
+  参阅[管理内存、CPU 和 API 资源](/zh-cn/docs/tasks/administer-cluster/manage-resources/)以了解细节。
+  你也可以设置[层次化名字空间](/blog/2020/08/14/introducing-hierarchical-namespaces/)来继承这类约束。
 <!--
 - *Prepare for DNS demand*: If you expect workloads to massively scale up,
 your DNS service must be ready to scale up as well. See
 [Autoscale the DNS service in a Cluster](/docs/tasks/administer-cluster/dns-horizontal-autoscaling/).
 -->
-- *为 DNS 请求做准备*：如果你希望工作负载能够完成大规模扩展，你的 DNS 服务
-  也必须能够扩大规模。参阅
-  [自动扩缩集群中 DNS 服务](/zh-cn/docs/tasks/administer-cluster/dns-horizontal-autoscaling/)。
+- **为 DNS 请求做准备**：如果你希望工作负载能够完成大规模扩展，你的 DNS 服务也必须能够扩大规模。
+  参阅[自动扩缩集群中 DNS 服务](/zh-cn/docs/tasks/administer-cluster/dns-horizontal-autoscaling/)。
 <!--
 - *Create additional service accounts*: User accounts determine what users can
 do on a cluster, while a service account defines pod access within a particular
@@ -571,28 +534,24 @@ namespace. By default, a pod takes on the default service account from its names
 See [Managing Service Accounts](/docs/reference/access-authn-authz/service-accounts-admin/)
 for information on creating a new service account. For example, you might want to:
 -->
-- *创建额外的服务账户*：用户账户决定用户可以在集群上执行的操作，服务账号则定义的
-  是在特定名字空间中 Pod 的访问权限。
-  默认情况下，Pod 使用所在名字空间中的 default 服务账号。
-  参阅[管理服务账号](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)
-  以了解如何创建新的服务账号。例如，你可能需要：
+- **创建额外的服务账户**：用户账户决定用户可以在集群上执行的操作，服务账号则定义的是在特定名字空间中
+  Pod 的访问权限。默认情况下，Pod 使用所在名字空间中的 default 服务账号。
+  参阅[管理服务账号](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)以了解如何创建新的服务账号。
+  例如，你可能需要：
   <!--
   - Add secrets that a pod could use to pull images from a particular container registry. See [Configure Service Accounts for Pods](/docs/tasks/configure-pod-container/configure-service-account/) for an example.
   - Assign RBAC permissions to a service account. See [ServiceAccount permissions](/docs/reference/access-authn-authz/rbac/#service-account-permissions) for details.
   -->
   - 为 Pod 添加 Secret，以便 Pod 能够从某特定的容器镜像仓库拉取镜像。
-    参阅[为 Pod 配置服务账号](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)
-    以获得示例。
-  - 为服务账号设置 RBAC 访问许可。参阅
-    [服务账号访问许可](/zh-cn/docs/reference/access-authn-authz/rbac/#service-account-permissions)
-    了解细节。
+    参阅[为 Pod 配置服务账号](/zh-cn/docs/tasks/configure-pod-container/configure-service-account/)以获得示例。
+  - 为服务账号设置 RBAC 访问许可。参阅[服务账号访问许可](/zh-cn/docs/reference/access-authn-authz/rbac/#service-account-permissions)了解细节。
 
 ## {{% heading "whatsnext" %}}
 
 <!--
 - Decide if you want to build your own production Kubernetes or obtain one from
 available [Turnkey Cloud Solutions](/docs/setup/production-environment/turnkey-solutions/)
-or [Kubernetes Partners](https://kubernetes.io/partners/).
+or [Kubernetes Partners](/partners/).
 - If you choose to build your own cluster, plan how you want to
 handle [certificates](/docs/setup/best-practices/certificates/)
 and set up high availability for features such as
@@ -600,31 +559,25 @@ and set up high availability for features such as
 and the
 [API server](/docs/setup/production-environment/tools/kubeadm/ha-topology/).
 -->
-- 决定你是想自行构造自己的生产用 Kubernetes 还是从某可用的
-  [云服务外包厂商](/zh-cn/docs/setup/production-environment/turnkey-solutions/)
-  或 [Kubernetes 合作伙伴](https://kubernetes.io/partners/)获得集群。
-- 如果你决定自行构造集群，则需要规划如何处理
-  [证书](/zh-cn/docs/setup/best-practices/certificates/)
-  并为类似
-  [etcd](/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm/)
-  和
-  [API 服务器](/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology/)
-  这些功能组件配置高可用能力。
+- 决定你是想自行构造自己的生产用 Kubernetes，
+  还是从某可用的[云服务外包厂商](/zh-cn/docs/setup/production-environment/turnkey-solutions/)或
+  [Kubernetes 合作伙伴](/zh-cn/partners/)获得集群。
+- 如果你决定自行构造集群，则需要规划如何处理[证书](/zh-cn/docs/setup/best-practices/certificates/)并为类似
+  [etcd](/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm/) 和
+  [API 服务器](/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology/)这些功能组件配置高可用能力。
 <!--
 - Choose from [kubeadm](/docs/setup/production-environment/tools/kubeadm/), [kops](/docs/setup/production-environment/tools/kops/) or [Kubespray](/docs/setup/production-environment/tools/kubespray/)
 deployment methods.
 -->
 - 选择使用 [kubeadm](/zh-cn/docs/setup/production-environment/tools/kubeadm/)、
   [kops](/zh-cn/docs/setup/production-environment/tools/kops/) 或
-  [Kubespray](/zh-cn/docs/setup/production-environment/tools/kubespray/)
-  作为部署方法。
+  [Kubespray](/zh-cn/docs/setup/production-environment/tools/kubespray/) 作为部署方法。
 <!--
 - Configure user management by determining your
 [Authentication](/docs/reference/access-authn-authz/authentication/) and
 [Authorization](/docs/reference/access-authn-authz/authorization/) methods.
 -->
-- 通过决定[身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)和
-  [鉴权](/zh-cn/docs/reference/access-authn-authz/authorization/)方法来配置用户管理。
+- 通过决定[身份认证](/zh-cn/docs/reference/access-authn-authz/authentication/)和[鉴权](/zh-cn/docs/reference/access-authn-authz/authorization/)方法来配置用户管理。
 <!--
 - Prepare for application workloads by setting up
 [resource limits](/docs/tasks/administer-cluster/manage-resources/),
@@ -632,6 +585,4 @@ deployment methods.
 and [service accounts](/docs/reference/access-authn-authz/service-accounts-admin/).
 -->
 - 通过配置[资源限制](/zh-cn/docs/tasks/administer-cluster/manage-resources/)、
-  [DNS 自动扩缩](/zh-cn/docs/tasks/administer-cluster/dns-horizontal-autoscaling/)
-  和[服务账号](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)
-  来为应用负载作准备。
+  [DNS 自动扩缩](/zh-cn/docs/tasks/administer-cluster/dns-horizontal-autoscaling/)和[服务账号](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)来为应用负载作准备。
diff --git a/content/zh-cn/docs/setup/production-environment/container-runtimes.md b/content/zh-cn/docs/setup/production-environment/container-runtimes.md
index ff89a9a9468..da4016068a2 100644
--- a/content/zh-cn/docs/setup/production-environment/container-runtimes.md
+++ b/content/zh-cn/docs/setup/production-environment/container-runtimes.md
@@ -14,9 +14,9 @@ weight: 20
 
 <!-- overview -->
 
-<!-- 
 {{% dockershim-removal %}}
 
+<!-- 
 You need to install a
 {{< glossary_tooltip text="container runtime" term_id="container-runtime" >}}
 into each node in the cluster so that Pods can run there. This page outlines
@@ -26,15 +26,17 @@ what is involved and describes related tasks for setting up nodes.
 {{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}
 以使 Pod 可以运行在上面。本文概述了所涉及的内容并描述了与节点设置相关的任务。
 
-
 <!-- 
-Kubernetes {{< skew currentVersion >}} requires that you use a runtime that conforms with the {{< glossary_tooltip term_id="cri" text="Container Runtime Interface">}} (CRI).
+Kubernetes {{< skew currentVersion >}} requires that you use a runtime that
+conforms with the
+{{< glossary_tooltip term_id="cri" text="Container Runtime Interface">}} (CRI).
 
 See [CRI version support](#cri-versions) for more information.
-This page provides an outline of how to use several common container runtimes with Kubernetes.
- -->
 
-Kubernetes {{< skew currentVersion >}} 要求你使用符合{{<glossary_tooltip term_id="cri" text="容器运行时接口">}} (CRI)的运行时。
+This page provides an outline of how to use several common container runtimes with Kubernetes.
+-->
+Kubernetes {{< skew currentVersion >}}
+要求你使用符合{{<glossary_tooltip term_id="cri" text="容器运行时接口">}}（CRI）的运行时。
 
 有关详细信息，请参阅 [CRI 版本支持](#cri-versions)。
 本页简要介绍在 Kubernetes 中几个常见的容器运行时的用法。
@@ -44,36 +46,40 @@ Kubernetes {{< skew currentVersion >}} 要求你使用符合{{<glossary_tooltip
 - [Docker Engine](#docker)
 - [Mirantis Container Runtime](#mcr)
 
-<!-- 
+
 {{< note >}}
+<!-- 
 Kubernetes releases before v1.24 included a direct integration with Docker Engine,
 using a component named _dockershim_. That special direct integration is no longer
 part of Kubernetes (this removal was
 [announced](/blog/2020/12/08/kubernetes-1-20-release-announcement/#dockershim-deprecation)
 as part of the v1.20 release).
+-->
+v1.24 之前的 Kubernetes 版本包括与 Docker Engine 的直接集成，使用名为 **dockershim** 的组件。 
+这种特殊的直接整合不再是 Kubernetes 的一部分
+（这次删除被作为 v1.20 发行版本的一部分[宣布](/zh-cn/blog/2020/12/08/kubernetes-1-20-release-announcement/#dockershim-deprecation)）。
+
+<!--
 You can read
 [Check whether Dockershim deprecation affects you](/docs/tasks/administer-cluster/migrating-from-dockershim/check-if-dockershim-deprecation-affects-you/)
 to understand how this removal might
 affect you. To learn about migrating from using dockershim, see
 [Migrating from dockershim](/docs/tasks/administer-cluster/migrating-from-dockershim/).
-
-If you are running a version of Kubernetes other than v{{< skew currentVersion >}},
-check the documentation for that version.
-{{< /note >}}
-
- -->
- {{< note >}}
-提示：v1.24 之前的 Kubernetes 版本包括与 Docker Engine 的直接集成，使用名为 _dockershim_ 的组件。 
-这种特殊的直接整合不再是 Kubernetes 的一部分
-（这次删除被作为 v1.20 发行版本的一部分[宣布](/zh-cn/blog/2020/12/08/kubernetes-1-20-release-announcement/#dockershim-deprecation)）。
+-->
 你可以阅读[检查 Dockershim 弃用是否会影响你](/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/check-if-dockershim-deprecation-affects-you/) 
 以了解此删除可能会如何影响你。 
-要了解如何使用 dockershim 进行迁移，请参阅[从 dockershim 迁移](/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/)。
+要了解如何使用 dockershim 进行迁移，
+请参阅[从 dockershim 迁移](/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/)。
 
+<!--
+If you are running a version of Kubernetes other than v{{< skew currentVersion >}},
+check the documentation for that version.
+-->
 如果你正在运行 v{{< skew currentVersion >}} 以外的 Kubernetes 版本，检查该版本的文档。
 {{< /note >}}
 
 <!-- body -->
+
 <!-- 
 ## Install and configure prerequisites
 
@@ -82,9 +88,8 @@ The following steps apply common settings for Kubernetes nodes on Linux.
 You can skip a particular setting if you're certain you don't need it.
 
 For more information, see [Network Plugin Requirements](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/#network-plugin-requirements) or the documentation for your specific container runtime.
- -->
-
-## 安装和配置先决条件
+-->
+## 安装和配置先决条件  {#install-and-configure-prerequisites}
 
 以下步骤将通用设置应用于 Linux 上的 Kubernetes 节点。
 
@@ -102,7 +107,6 @@ To load it explicitly, run `sudo modprobe br_netfilter`.
 
 In order for a Linux node's iptables to correctly view bridged traffic, verify that `net.bridge.bridge-nf-call-iptables` is set to 1 in your `sysctl` config. For example: 
 -->
-
 ### 转发 IPv4 并让 iptables 看到桥接流量
 
 通过运行 `lsmod | grep br_netfilter` 来验证 `br_netfilter` 模块是否已加载。
@@ -110,29 +114,7 @@ In order for a Linux node's iptables to correctly view bridged traffic, verify t
 若要显式加载此模块，请运行 `sudo modprobe br_netfilter`。
 
 为了让 Linux 节点的 iptables 能够正确查看桥接流量，请确认 `sysctl` 配置中的
-`net.bridge.bridge-nf-call-iptables` 设置为 1。 例如：
-
-<!-- 
-```bash
-cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
-overlay
-br_netfilter
-EOF
-
-sudo modprobe overlay
-sudo modprobe br_netfilter
-
-# sysctl params required by setup, params persist across reboots
-cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
-net.bridge.bridge-nf-call-iptables  = 1
-net.bridge.bridge-nf-call-ip6tables = 1
-net.ipv4.ip_forward                 = 1
-EOF
-
-# Apply sysctl params without reboot
-sudo sysctl --system
-``` 
--->
+`net.bridge.bridge-nf-call-iptables` 设置为 1。例如：
 
 ```bash
 cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
@@ -156,12 +138,16 @@ sudo sysctl --system
 
 <!--
 ## Cgroup drivers
+
+On Linux, {{< glossary_tooltip text="control groups" term_id="cgroup" >}}
+are used to constrain resources that are allocated to processes.
 -->
-## Cgroup 驱动程序
+## Cgroup 驱动程序  {#cgroup-drivers}
+
+在 Linux 上，{{<glossary_tooltip text="控制组（CGroup）" term_id="cgroup" >}}
+用于限制分配给进程的资源。
 
 <!--
-On Linux, {{< glossary_tooltip text="control groups" term_id="cgroup" >}} are used to constrain resources that are allocated to processes.
-
 When [systemd](https://www.freedesktop.org/wiki/Software/systemd/) is chosen as the init
 system for a Linux distribution, the init process generates and consumes a root control group
 (`cgroup`) and acts as a cgroup manager.
@@ -169,8 +155,6 @@ Systemd has a tight integration with cgroups and allocates a cgroup per systemd
 to configure your container runtime and the kubelet to use `cgroupfs`. Using `cgroupfs` alongside
 systemd means that there will be two different cgroup managers.
 -->
-在 Linux 上，{{<glossary_tooltip text="控制组（CGroup）" term_id="cgroup" >}}用于限制分配给进程的资源。
-
 当某个 Linux 系统发行版使用 [systemd](https://www.freedesktop.org/wiki/Software/systemd/)
 作为其初始化系统时，初始化进程会生成并使用一个 root 控制组（`cgroup`），并充当 cgroup 管理器。
 Systemd 与 cgroup 集成紧密，并将为每个 systemd 单元分配一个 cgroup。
@@ -197,10 +181,10 @@ Changing the settings such that your container runtime and kubelet use `systemd`
 stabilized the system. To configure this for Docker, set `native.cgroupdriver=systemd`.
 -->
 更改设置，令容器运行时和 kubelet 使用 `systemd` 作为 cgroup 驱动，以此使系统更为稳定。
-对于 Docker, 设置 `native.cgroupdriver=systemd` 选项。
+对于 Docker，要设置 `native.cgroupdriver=systemd` 选项。
 
-<!--
 {{< caution >}}
+<!--
 Changing the cgroup driver of a Node that has joined a cluster is a sensitive operation. 
 If the kubelet has created Pods using the semantics of one cgroup driver, changing the container
 runtime to another cgroup driver can cause errors when trying to re-create the Pod sandbox
@@ -208,14 +192,15 @@ for such existing Pods. Restarting the kubelet may not solve such errors.
 
 If you have automation that makes it feasible, replace the node with another using the updated
 configuration, or reinstall it using automation.
-{{< /caution >}}
 -->
 注意：更改已加入集群的节点的 cgroup 驱动是一项敏感的操作。
 如果 kubelet 已经使用某 cgroup 驱动的语义创建了 pod，更改运行时以使用
 别的 cgroup 驱动，当为现有 Pods 重新创建 PodSandbox 时会产生错误。
 重启 kubelet 也可能无法解决此类问题。
+
 如果你有切实可行的自动化方案，使用其他已更新配置的节点来替换该节点，
 或者使用自动化方案来重新安装。
+{{< /caution >}}
 
 <!--
 ### Cgroup version 2 {#cgroup-v2}
@@ -277,7 +262,8 @@ sudo dnf install -y grubby && \
 ```
 
 <!--
-If you change the command line for the kernel, you must reboot the node before your change takes effect.
+If you change the command line for the kernel, you must reboot the node before your
+change takes effect.
 
 There should not be any noticeable difference in the user experience when switching to cgroup v2, unless
 users are accessing the cgroup file system directly, either on the node or from within the containers.
@@ -292,21 +278,24 @@ In order to use it, cgroup v2 must be supported by the CRI runtime as well.
 
 <!-- 
 ### Migrating to the `systemd` driver in kubeadm managed clusters
+
+If you wish to migrate to the `systemd` cgroup driver in existing kubeadm managed clusters,
+follow [configuring a cgroup driver](/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/).
 -->
 ### 将 kubeadm 托管的集群迁移到 `systemd` 驱动
 
-<!-- 
-If you wish to migrate to the `systemd` cgroup driver in existing kubeadm managed clusters, follow [configuring a cgroup driver](/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/).
+如果你希望将现有的由 kubeadm 管理的集群迁移到 `systemd` cgroup 驱动程序，
+请按照[配置 cgroup 驱动程序](/zh-cn/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/)操作。
 
+<!--
 ## CRI version support {#cri-versions}
 
 Your container runtime must support at least v1alpha2 of the container runtime interface.
 
-Kubernetes {{< skew currentVersion >}}  defaults to using v1 of the CRI API.If a container runtime does not support the v1 API, the kubelet falls back to using the (deprecated) v1alpha2 API instead.
+Kubernetes {{< skew currentVersion >}}  defaults to using v1 of the CRI API.
+If a container runtime does not support the v1 API, the kubelet falls back to
+using the (deprecated) v1alpha2 API instead.
 -->
-如果你希望将现有的由 kubeadm 管理的集群迁移到 `systemd` cgroup 驱动程序，
-请按照[配置 cgroup 驱动程序](/zh-cn/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/)操作。
-
 ## CRI 版本支持 {#cri-versions}
 
 你的容器运行时必须至少支持容器运行时接口的 v1alpha2。
@@ -327,7 +316,6 @@ Kubernetes {{< skew currentVersion >}} 默认使用 v1 的 CRI API。如果容
 This section outlines the necessary steps to use containerd as CRI runtime.
 
 Use the following commands to install Containerd on your system:
-
 -->
 本节概述了使用 containerd 作为 CRI 运行时的必要步骤。
 
@@ -340,31 +328,31 @@ Follow the instructions for [getting started with containerd](https://github.com
 按照[开始使用 containerd](https://github.com/containerd/containerd/blob/main/docs/getting-started.md) 的说明进行操作。 
 创建有效的配置文件 `config.toml` 后返回此步骤。
 
-{{< tabs name="Finding your config.toml file" >}}
+{{< tabs name="找到 config.toml 文件" >}}
 {{% tab name="Linux" %}}
 <!-- You can find this file under the path `/etc/containerd/config.toml`. -->
 你可以在路径 `/etc/containerd/config.toml` 下找到此文件。
 {{% /tab %}}
-{{< tab name="Windows" >}}
+{{% tab name="Windows" %}}
 <!-- You can find this file under the path `C:\Program Files\containerd\config.toml`. -->
 你可以在路径 `C:\Program Files\containerd\config.toml` 下找到此文件。
-{{< /tab >}}
+{{% /tab %}}
 {{< /tabs >}}
 
 <!-- 
 On Linux the default CRI socket for containerd is `/run/containerd/containerd.sock`.
 On Windows the default CRI endpoint is `npipe://./pipe/containerd-containerd`.
-
-#### Configuring the `systemd` cgroup driver {#containerd-systemd}
---> 
+-->
 在 Linux 上，containerd 的默认 CRI 套接字是 `/run/containerd/containerd.sock`。
 在 Windows 上，默认 CRI 端点是 `npipe://./pipe/containerd-containerd`。
 
-#### 配置 `systemd` cgroup 驱动程序 {#containerd-systemd}
+<!--
+#### Configuring the `systemd` cgroup driver {#containerd-systemd}
 
-<!-- 
 To use the `systemd` cgroup driver in `/etc/containerd/config.toml` with `runc`, set
 -->
+#### 配置 `systemd` cgroup 驱动程序 {#containerd-systemd}
+
 结合 `runc` 使用 `systemd` cgroup 驱动，在 `/etc/containerd/config.toml` 中设置 
 
 ```
@@ -374,6 +362,23 @@ To use the `systemd` cgroup driver in `/etc/containerd/config.toml` with `runc`,
     SystemdCgroup = true
 ```
 
+{{< note >}}
+<!--
+If you installed containerd from a package (for example, RPM or `.deb`), you may find
+that the CRI integration plugin is disabled by default.
+
+You need CRI support enabled to use containerd with Kubernetes. Make sure that `cri`
+is not included in the`disabled_plugins` list within `/etc/containerd/config.toml`;
+if you made changes to that file, also restart `containerd`.
+-->
+如果你从软件包（例如，RPM 或者 `.deb`）中安装 containerd，你可能会发现其中默认禁止了
+CRI 集成插件。
+
+你需要启用 CRI 支持才能在 Kubernetes 集群中使用 containerd。
+要确保 `cri` 没有出现在 `/etc/containerd/config.toml` 文件中 `disabled_plugins`
+列表内。如果你更改了这个文件，也请记得要重启 `containerd`。
+{{< /note >}}
+
 <!--
 If you apply this change, make sure to restart containerd:
 -->
@@ -388,33 +393,53 @@ When using kubeadm, manually configure the
 [cgroup driver for kubelet](/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/#configuring-the-kubelet-cgroup-driver).
 -->
 当使用 kubeadm 时，请手动配置
-[kubelet 的 cgroup 驱动](/zh-cn/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/#configuring-the-kubelet-cgroup-driver).
+[kubelet 的 cgroup 驱动](/zh-cn/docs/tasks/administer-cluster/kubeadm/configure-cgroup-driver/#configuring-the-kubelet-cgroup-driver)。
+
+<!--
+#### Overriding the sandbox (pause) image {#override-pause-image-containerd}
+
+In your [containerd config](https://github.com/containerd/containerd/blob/main/docs/cri/config.md) you can overwrite the
+sandbox image by setting the following config:
+-->
+#### 重载沙箱（pause）镜像    {#override-pause-image-containerd}
+
+在你的 [containerd 配置](https://github.com/containerd/containerd/blob/main/docs/cri/config.md)中，
+你可以通过设置以下选项重载沙箱镜像：
+
+```toml
+[plugins."io.containerd.grpc.v1.cri"]
+  sandbox_image = "k8s.gcr.io/pause:3.2"
+```
+
+<!--
+You might need to restart `containerd` as well once you've updated the config file: `systemctl restart containerd`.
+-->
+一旦你更新了这个配置文件，可能就同样需要重启 `containerd`：`systemctl restart containerd`。
 
 ### CRI-O
 
 <!--
 This section contains the necessary steps to install CRI-O as a container runtime.
 
+To install CRI-O, follow [CRI-O Install Instructions](https://github.com/cri-o/cri-o/blob/main/install.md#readme).
 -->
 本节包含安装 CRI-O 作为容器运行时的必要步骤。
 
-<!-- 
-To install CRI-O, follow [CRI-O Install Instructions](https://github.com/cri-o/cri-o/blob/main/install.md#readme).
--->
-
 要安装 CRI-O，请按照 [CRI-O 安装说明](https://github.com/cri-o/cri-o/blob/main/install.md#readme)执行操作。
 
-<!-- #### cgroup driver -->
-
-#### cgroup 驱动程序
-
 <!--
- CRI-O uses the systemd cgroup driver per default, which is likely to work fine for you. To switch to the `cgroupfs` cgroup driver, either edit `/etc/crio/crio.conf` or place a drop-in configuration in `/etc/crio/crio.conf.d/02-cgroup-manager.conf`, for example: 
+#### cgroup driver
+
+CRI-O uses the systemd cgroup driver per default, which is likely to work fine
+for you. To switch to the `cgroupfs` cgroup driver, either edit
+`/etc/crio/crio.conf` or place a drop-in configuration in
+`/etc/crio/crio.conf.d/02-cgroup-manager.conf`, for example: 
 -->
+#### cgroup 驱动程序   {#cgroup-driver}
 
-CRI-O 默认使用 systemd cgroup 驱动程序，这对你来说可能工作得很好。要切换到 `cgroupfs` cgroup 驱动程序，
-请编辑 `/etc/crio/crio.conf` 或在 `/etc/crio/crio.conf.d/02-cgroup-manager.conf` 中放置一个插入式配置 ，例如：
-
+CRI-O 默认使用 systemd cgroup 驱动程序，这对你来说可能工作得很好。
+要切换到 `cgroupfs` cgroup 驱动程序，请编辑 `/etc/crio/crio.conf` 或在
+`/etc/crio/crio.conf.d/02-cgroup-manager.conf` 中放置一个插入式配置，例如：
 
 ```toml
 [crio.runtime]
@@ -423,78 +448,118 @@ cgroup_manager = "cgroupfs"
 ```
 
 <!--
- You should also note the changed `conmon_cgroup`, which has to be set to the value `pod` when using CRI-O with `cgroupfs`. It is generally necessary to keep the cgroup driver configuration of the kubelet (usually done via kubeadm) and CRI-O in sync.
+You should also note the changed `conmon_cgroup`, which has to be set to the value
+`pod` when using CRI-O with `cgroupfs`. It is generally necessary to keep the
+cgroup driver configuration of the kubelet (usually done via kubeadm) and CRI-O
+in sync.
 -->
-
 你还应该注意到 `conmon_cgroup` 被更改，当使用 CRI-O 和 `cgroupfs` 时，必须将其设置为值 `pod`。
 通常需要保持 kubelet 的 cgroup 驱动配置（通常通过 kubeadm 完成）和 CRI-O 同步。
 
 <!-- 
 For CRI-O, the CRI socket is `/var/run/crio/crio.sock` by default.
-
-### Docker Engine {#docker}
-
 -->
 对于 CRI-O，CRI 套接字默认为 `/var/run/crio/crio.sock`。
 
+<!--
+#### Overriding the sandbox (pause) image {#override-pause-image-cri-o}
+
+In your [CRI-O config](https://github.com/cri-o/cri-o/blob/main/docs/crio.conf.5.md) you can set the following
+config value:
+-->
+#### 重载沙箱（pause）镜像   {#override-pause-image-cri-o}
+
+在你的 [CRI-O 配置](https://github.com/cri-o/cri-o/blob/main/docs/crio.conf.5.md)中，
+你可以设置以下配置值：
+
+```toml
+[crio.image]
+pause_image="registry.k8s.io/pause:3.6"
+```
+
+<!--
+This config option supports live configuration reload to apply this change: `systemctl reload crio` or by sending
+`SIGHUP` to the `crio` process.
+-->
+这一设置选项支持动态配置重加载来应用所做变更：`systemctl reload crio`。
+也可以通过向 `crio` 进程发送 `SIGHUP` 信号来实现。
+
 ### Docker Engine {#docker}
 
+{{< note >}}
 <!-- 
-{{< note >}}
-These instructions assume that you are using the [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) adapter to integrate
+These instructions assume that you are using the
+[`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) adapter to integrate
 Docker Engine with Kubernetes.
-{{< /note >}} 
 -->
-
-{{< note >}}
 以下操作假设你使用 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) 适配器来将
 Docker Engine 与 Kubernetes 集成。
 {{< /note >}} 
 
 <!--
- 1. On each of your nodes, install Docker for your Linux distribution as per [Install Docker Engine](https://docs.docker.com/engine/install/#server). 
- -->
-
-1. 在你的每个节点上，遵循[安装 Docker 引擎](https://docs.docker.com/engine/install/#server)指南为你的
-   Linux 发行版安装 Docker。
+1. On each of your nodes, install Docker for your Linux distribution as per
+   [Install Docker Engine](https://docs.docker.com/engine/install/#server). 
+-->
+1. 在你的每个节点上，遵循[安装 Docker Engine](https://docs.docker.com/engine/install/#server)
+   指南为你的 Linux 发行版安装 Docker。
 
 <!-- 
-2. Install [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd), following the instructions in that source code repository.
+2. Install [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd), following
+   the instructions in that source code repository.
 -->
 2. 按照源代码仓库中的说明安装 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd)。
 
-
 <!--
 For `cri-dockerd`, the CRI socket is `/run/cri-dockerd.sock` by default.
- 
-### Mirantis Container Runtime {#mcr}
 -->
 对于 `cri-dockerd`，默认情况下，CRI 套接字是 `/run/cri-dockerd.sock`。
- 
+
+<!-- 
+### Mirantis Container Runtime {#mcr}
+
+[Mirantis Container Runtime](https://docs.mirantis.com/mcr/20.10/overview.html) (MCR) is a commercially
+available container runtime that was formerly known as Docker Enterprise Edition.
+
+You can use Mirantis Container Runtime with Kubernetes using the open source
+[`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) component, included with MCR.
+-->
 ### Mirantis 容器运行时 {#mcr}
 
-<!--
-[Mirantis Container Runtime](https://docs.mirantis.com/mcr/20.10/overview.html) (MCR) is a commercially available container runtime that was formerly known as Docker Enterprise Edition.
-You can use Mirantis Container Runtime with Kubernetes using the open source [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) component, included with MCR.
--->
-[Mirantis Container Runtime](https://docs.mirantis.com/mcr/20.10/overview.html) (MCR) 是一种商用容器运行时，以前称为 Docker 企业版。
-你可以使用 MCR 中包含的开源 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd) 组件将 Mirantis Container Runtime 与 Kubernetes 一起使用。
+[Mirantis Container Runtime](https://docs.mirantis.com/mcr/20.10/overview.html) (MCR) 
+是一种商用容器运行时，以前称为 Docker 企业版。
+你可以使用 MCR 中包含的开源 [`cri-dockerd`](https://github.com/Mirantis/cri-dockerd)
+组件将 Mirantis Container Runtime 与 Kubernetes 一起使用。
 
 <!--
-To learn more about how to install Mirantis Container Runtime, visit [MCR Deployment Guide](https://docs.mirantis.com/mcr/20.10/install.html). 
+To learn more about how to install Mirantis Container Runtime,
+visit [MCR Deployment Guide](https://docs.mirantis.com/mcr/20.10/install.html). 
 -->
-要了解有关如何安装 Mirantis Container Runtime 的更多信息，请访问 [MCR 部署指南](https://docs.mirantis.com/mcr/20.10/install.html)。
+要了解有关如何安装 Mirantis Container Runtime 的更多信息，
+请访问 [MCR 部署指南](https://docs.mirantis.com/mcr/20.10/install.html)。
+
 <!-- 
 Check the systemd unit named `cri-docker.socket` to find out the path to the CRI socket.
 -->
 检查名为 `cri-docker.socket` 的 systemd 单元以找出 CRI 套接字的路径。
 
+<!--
+#### Overriding the sandbox (pause) image {#override-pause-image-cri-dockerd-mcr}
+
+The `cri-dockerd` adapter accepts a command line argument for
+specifying which container image to use as the Pod infrastructure container (“pause image”).
+The command line argument to use is `--pod-infra-container-image`.
+-->
+#### 重载沙箱（pause）镜像   {#override-pause-image-cri-dockerd-mcr}
+
+`cri-dockerd` 适配器能够接受一个命令行参数是，设置用哪个容器镜像作为 Pod
+的基础设施容器（“pause 镜像”）。
+要使用的命令行参数是 `--pod-infra-container-image`。
+
 ## {{% heading "whatsnext" %}}
 
 <!-- 
-As well as a container runtime, your cluster will need a working [network plugin](/docs/concepts/cluster-administration/networking/#how-to-implement-the-kubernetes-networking-model).
+As well as a container runtime, your cluster will need a working
+[network plugin](/docs/concepts/cluster-administration/networking/#how-to-implement-the-kubernetes-networking-model).
 -->
-
 除了容器运行时，你的集群还需要有效的[网络插件](/zh-cn/docs/concepts/cluster-administration/networking/#how-to-implement-the-kubernetes-networking-model)。
 
-
diff --git a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
index 5fee60793a1..9aaa23c7ca4 100644
--- a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
+++ b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/control-plane-flags.md
@@ -4,13 +4,11 @@ content_type: concept
 weight: 40
 ---
 <!--
----
 reviewers:
 - sig-cluster-lifecycle
 title: Customizing components with the kubeadm API
 content_type: concept
 weight: 40
----
 -->
 
 <!-- overview -->
@@ -29,8 +27,8 @@ For more details on each field in the configuration you can navigate to our
 你可以使用 `KubeletConfiguration` 和 `KubeProxyConfiguration` 结构分别定制 kubelet 和 kube-proxy 组件。
 
 所有这些选项都可以通过 kubeadm 配置 API 实现。
-有关配置中的每个字段的详细信息，你可以导航到我们的 
-[API 参考页面](/docs/reference/config-api/kubeadm-config.v1beta3/) 。
+有关配置中的每个字段的详细信息，你可以导航到我们的
+[API 参考页面](/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3/) 。
 
 {{< note >}}
 <!--
@@ -41,10 +39,10 @@ you can skip the default CoreDNS deployment and deploy your own variant.
 For more details on that see [Using init phases with kubeadm](/docs/reference/setup-tools/kubeadm/kubeadm-init/#init-phases).
 -->
 kubeadm 目前不支持对 CoreDNS 部署进行定制。
-你必须手动更新 `kube-system/coredns` {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}} 
-并在更新后重新创建 CoreDNS {{< glossary_tooltip text="Pods" term_id="pod" >}}。
+你必须手动更新 `kube-system/coredns` {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}}
+并在更新后重新创建 CoreDNS {{< glossary_tooltip text="Pod" term_id="pod" >}}。
 或者，你可以跳过默认的 CoreDNS 部署并部署你自己的 CoreDNS 变种。
-有关更多详细信息，请参阅[在 kubeadm 中使用 init phases](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init/#init-phases).
+有关更多详细信息，请参阅[在 kubeadm 中使用 init phase](/zh-cn/docs/reference/setup-tools/kubeadm/kubeadm-init/#init-phases).
 {{< /note >}}
 
 {{< note >}}
@@ -94,8 +92,8 @@ To override a flag for a control plane component:
 
 {{< note >}}
 <!-- 
-You can generate a `ClusterConfiguration` object with default values by running `kubeadm config print init-defaults` 
-and saving the output to a file of your choice. 
+You can generate a `ClusterConfiguration` object with default values by running `kubeadm config print init-defaults`
+and saving the output to a file of your choice.
 -->
 你可以通过运行 `kubeadm config print init-defaults` 并将输出保存到你所选的文件中，
 以默认值形式生成 `ClusterConfiguration` 对象。
@@ -129,12 +127,13 @@ To workaround that you must use [patches](#patches).
 <!--
 For details, see the [reference documentation for kube-apiserver](/docs/reference/command-line-tools-reference/kube-apiserver/).
 -->
-有关详细信息，请参阅 [kube-apiserver 参考文档](/docs/reference/command-line-tools-reference/kube-apiserver/)。
+有关详细信息，请参阅 [kube-apiserver 参考文档](/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/)。
 
 <!--
 Example usage:
 -->
 使用示例：
+
 ```yaml
 apiVersion: kubeadm.k8s.io/v1beta3
 kind: ClusterConfiguration
@@ -154,12 +153,13 @@ apiServer:
 <!--
 For details, see the [reference documentation for kube-controller-manager](/docs/reference/command-line-tools-reference/kube-controller-manager/).
 -->
-有关详细信息，请参阅 [kube-controller-manager 参考文档](/docs/reference/command-line-tools-reference/kube-controller-manager/)。
+有关详细信息，请参阅 [kube-controller-manager 参考文档](/zh-cn/docs/reference/command-line-tools-reference/kube-controller-manager/)。
 
 <!--
 Example usage:
 -->
 使用示例：
+
 ```yaml
 apiVersion: kubeadm.k8s.io/v1beta3
 kind: ClusterConfiguration
@@ -178,12 +178,13 @@ controllerManager:
 <!--
 For details, see the [reference documentation for kube-scheduler](/docs/reference/command-line-tools-reference/kube-scheduler/).
 -->
-有关详细信息，请参阅 [kube-scheduler 参考文档](/docs/reference/command-line-tools-reference/kube-scheduler/)。
+有关详细信息，请参阅 [kube-scheduler 参考文档](/zh-cn/docs/reference/command-line-tools-reference/kube-scheduler/)。
 
 <!--
 Example usage:
 -->
 使用示例：
+
 ```yaml
 apiVersion: kubeadm.k8s.io/v1beta3
 kind: ClusterConfiguration
@@ -222,8 +223,6 @@ etcd:
 <!--
 ## Customizing the control plane with patches {#patches}
 
-{{< feature-state for_k8s_version="v1.22" state="beta" >}}
-
 Kubeadm allows you to pass a directory with patch files to `InitConfiguration` and `JoinConfiguration`
 on individual nodes. These patches can be used as the last customization step before the control
 plane component manifests are written to disk.
@@ -271,7 +270,7 @@ The directory must contain files named `target[suffix][+patchtype].extension`.
 For example, `kube-apiserver0+merge.yaml` or just `etcd.json`.
 -->
 补丁目录必须包含名为 `target[suffix][+patchtype].extension` 的文件。
-例如，`kube-apiserver0+merge.yaml`  或只是 `etcd.json`。
+例如，`kube-apiserver0+merge.yaml` 或只是 `etcd.json`。
 
 <!--
 - `target` can be one of `kube-apiserver`, `kube-controller-manager`, `kube-scheduler` and `etcd`.
@@ -283,7 +282,7 @@ The default `patchtype` is `strategic`.
 alpha-numerically.
 -->
 - `target` 可以是 `kube-apiserver`、`kube-controller-manager`、`kube-scheduler` 和 `etcd` 之一。
-- `patchtype` 可以是 `strategy`、`merge` 或 `json` 之一，并且这些必须匹配 
+- `patchtype` 可以是 `strategy`、`merge` 或 `json` 之一，并且这些必须匹配
   [kubectl 支持](/zh-cn/docs/tasks/manage-kubernetes-objects/update-api-object-kubectl-patch) 的补丁格式。
   默认补丁类型是 `strategic` 的。
 - `extension` 必须是 `json` 或 `yaml`。
@@ -308,7 +307,7 @@ To customize the kubelet you can add a `KubeletConfiguration` next to the `Clust
 -->
 ## 自定义 kubelet   {#customizing-the-kubelet}
 
-要自定义 kubelet，你可以在同一配置文件中的 `ClusterConfiguration` 或 `InitConfiguration` 
+要自定义 kubelet，你可以在同一配置文件中的 `ClusterConfiguration` 或 `InitConfiguration`
 之外添加一个 `KubeletConfiguration`，用 `---` 分隔。
 然后可以将此文件传递给 `kubeadm init`。
 
@@ -341,10 +340,10 @@ For more details you can navigate to our [API reference pages](/docs/reference/c
 -->
 ## 自定义 kube-proxy   {#customizing-kube-proxy}
 
-要自定义 kube-proxy，你可以在 `ClusterConfiguration` 或 `InitConfiguration` 之外添加一个
-由 `---` 分隔的 `KubeProxyConfiguration`， 传递给 `kubeadm init`。
+要自定义 kube-proxy，你可以在 `ClusterConfiguration` 或 `InitConfiguration`
+之外添加一个由 `---` 分隔的 `KubeProxyConfiguration`， 传递给 `kubeadm init`。
 
-可以导航到 [API 参考页面](/docs/reference/config-api/kubeadm-config.v1beta3/) 查看更多详情，
+可以导航到 [API 参考页面](/zh-cn/docs/reference/config-api/kubeadm-config.v1beta3/)查看更多详情，
 
 {{< note >}}
 <!--
diff --git a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology.md b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology.md
index 4110bdd6737..4694d741217 100644
--- a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology.md
+++ b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/ha-topology.md
@@ -44,8 +44,6 @@ kubeadm 静态引导 etcd 集群。
 阅读 etcd [集群指南](https://github.com/etcd-io/etcd/blob/release-3.4/Documentation/op-guide/clustering.md#static)以获得更多详细信息。
 {{< /note >}}
 
-
-
 <!-- body -->
 
 <!--
@@ -58,16 +56,14 @@ A stacked HA cluster is a [topology](https://en.wikipedia.org/wiki/Network_topol
 data storage cluster provided by etcd is stacked on top of the cluster formed by the nodes managed by
 kubeadm that run control plane components.
 -->
-堆叠（Stacked）HA 集群是一种这样的[拓扑](https://en.wikipedia.org/wiki/Network_topology)，
+堆叠（Stacked）HA 集群是一种这样的[拓扑](https://zh.wikipedia.org/wiki/%E7%BD%91%E7%BB%9C%E6%8B%93%E6%89%91)，
 其中 etcd 分布式数据存储集群堆叠在 kubeadm 管理的控制平面节点上，作为控制平面的一个组件运行。
 
 <!--
 Each control plane node runs an instance of the `kube-apiserver`, `kube-scheduler`, and `kube-controller-manager`.
--->
-每个控制平面节点运行 `kube-apiserver`、`kube-scheduler` 和 `kube-controller-manager` 实例。
-<!--
 The `kube-apiserver` is exposed to worker nodes using a load balancer.
 -->
+每个控制平面节点运行 `kube-apiserver`、`kube-scheduler` 和 `kube-controller-manager` 实例。
 `kube-apiserver` 使用负载均衡器暴露给工作节点。
 
 <!--
@@ -123,7 +119,8 @@ An HA cluster with external etcd is a [topology](https://en.wikipedia.org/wiki/N
 <!--
 Like the stacked etcd topology, each control plane node in an external etcd topology runs an instance of the `kube-apiserver`, `kube-scheduler`, and `kube-controller-manager`. And the `kube-apiserver` is exposed to worker nodes using a load balancer. However, etcd members run on separate hosts, and each etcd host communicates with the `kube-apiserver` of each control plane node.
 -->
-就像堆叠的 etcd 拓扑一样，外部 etcd 拓扑中的每个控制平面节点都运行 `kube-apiserver`，`kube-scheduler` 和 `kube-controller-manager` 实例。
+就像堆叠的 etcd 拓扑一样，外部 etcd 拓扑中的每个控制平面节点都会运行
+`kube-apiserver`、`kube-scheduler` 和 `kube-controller-manager` 实例。
 同样，`kube-apiserver` 使用负载均衡器暴露给工作节点。但是 etcd 成员在不同的主机上运行，
 每个 etcd 主机与每个控制平面节点的 `kube-apiserver` 通信。
 
@@ -137,11 +134,9 @@ the cluster redundancy as much as the stacked HA topology.
 
 <!--
 However, this topology requires twice the number of hosts as the stacked HA topology.
--->
-但此拓扑需要两倍于堆叠 HA 拓扑的主机数量。
-<!--
 A minimum of three hosts for control plane nodes and three hosts for etcd nodes are required for an HA cluster with this topology.
 -->
+但此拓扑需要两倍于堆叠 HA 拓扑的主机数量。
 具有此拓扑的 HA 集群至少需要三个用于控制平面节点的主机和三个用于 etcd 节点的主机。
 
 <!--
diff --git a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
index 1a17e3fef58..889619b1dbd 100644
--- a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
+++ b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/install-kubeadm.md
@@ -373,7 +373,7 @@ sudo systemctl enable --now kubelet
 
 - 通过运行命令 `setenforce 0` 和 `sed ...` 将 SELinux 设置为 permissive 模式
   可以有效地将其禁用。
-  这是允许容器访问主机文件系统所必需的，而这些操作时为了例如 Pod 网络工作正常。
+  这是允许容器访问主机文件系统所必需的，而这些操作是为了例如 Pod 网络工作正常。
 
   你必须这么做，直到 kubelet 做出对 SELinux 的支持进行升级为止。
 
diff --git a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
index 0fde3d0a86e..0df3785c3a2 100644
--- a/content/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
+++ b/content/zh-cn/docs/setup/production-environment/tools/kubeadm/setup-ha-etcd-with-kubeadm.md
@@ -76,20 +76,17 @@ The general approach is to generate all certs on one node and only distribute th
 
 {{< note >}}
 <!--
-kubeadm contains all the necessary crytographic machinery to generate the certificates described below; no other cryptographic tooling is required for this example.
+kubeadm contains all the necessary cryptographic machinery to generate the certificates described below; no other cryptographic tooling is required for this example.
 -->
 kubeadm 包含生成下述证书所需的所有必要的密码学工具；在这个例子中，不需要其他加密工具。
 {{< /note >}}
 
-<!--
 {{< note >}}
+<!--
 The examples below use IPv4 addresses but you can also configure kubeadm, the kubelet and etcd
 to use IPv6 addresses. Dual-stack is supported by some Kubernetes options, but not by etcd. For more details
 on Kubernetes dual-stack support see [Dual-stack support with kubeadm](/docs/setup/production-environment/tools/kubeadm/dual-stack-support/).
-{{< /note >}}
 -->
-
-{{< note >}}
 下面的例子使用 IPv4 地址，但是你也可以使用 IPv6 地址配置 kubeadm、kubelet 和 etcd。一些 Kubernetes 选项支持双协议栈，但是 etcd 不支持。
 关于 Kubernetes 双协议栈支持的更多细节，请参见 [kubeadm 的双栈支持](/zh-cn/docs/setup/production-environment/tools/kubeadm/dual-stack-support/)。
 {{< /note >}}
@@ -127,7 +124,6 @@ on Kubernetes dual-stack support see [Dual-stack support with kubeadm](/docs/set
    <!--
    Check the kubelet status to ensure it is running.
    -->
-
    检查 kubelet 的状态以确保其处于运行状态：
 
    ```shell
@@ -150,47 +146,47 @@ on Kubernetes dual-stack support see [Dual-stack support with kubeadm](/docs/set
    export HOST1=10.0.0.7
    export HOST2=10.0.0.8
 
-    # 使用你的主机名更新 NAME0, NAME1 和 NAME2
-    export NAME0="infra0"
-    export NAME1="infra1"
-    export NAME2="infra2"
+   # 使用你的主机名更新 NAME0、NAME1 和 NAME2
+   export NAME0="infra0"
+   export NAME1="infra1"
+   export NAME2="infra2"
 
    # 创建临时目录来存储将被分发到其它主机上的文件
    mkdir -p /tmp/${HOST0}/ /tmp/${HOST1}/ /tmp/${HOST2}/
 
-    HOSTS=(${HOST0} ${HOST1} ${HOST2})
-    NAMES=(${NAME0} ${NAME1} ${NAME2})
+   HOSTS=(${HOST0} ${HOST1} ${HOST2})
+   NAMES=(${NAME0} ${NAME1} ${NAME2})
 
-    for i in "${!HOSTS[@]}"; do
-    HOST=${HOSTS[$i]}
-    NAME=${NAMES[$i]}
-    cat << EOF > /tmp/${HOST}/kubeadmcfg.yaml
-    ---
-    apiVersion: "kubeadm.k8s.io/v1beta3"
-    kind: InitConfiguration
-    nodeRegistration:
-        name: ${NAME}
-    localAPIEndpoint:
-        advertiseAddress: ${HOST}
-    ---
-    apiVersion: "kubeadm.k8s.io/v1beta3"
-    kind: ClusterConfiguration
-    etcd:
-        local:
-            serverCertSANs:
-            - "${HOST}"
-            peerCertSANs:
-            - "${HOST}"
-            extraArgs:
-                initial-cluster: ${NAMES[0]}=https://${HOSTS[0]}:2380,${NAMES[1]}=https://${HOSTS[1]}:2380,${NAMES[2]}=https://${HOSTS[2]}:2380
-                initial-cluster-state: new
-                name: ${NAME}
-                listen-peer-urls: https://${HOST}:2380
-                listen-client-urls: https://${HOST}:2379
-                advertise-client-urls: https://${HOST}:2379
-                initial-advertise-peer-urls: https://${HOST}:2380
-    EOF
-    done
+   for i in "${!HOSTS[@]}"; do
+   HOST=${HOSTS[$i]}
+   NAME=${NAMES[$i]}
+   cat << EOF > /tmp/${HOST}/kubeadmcfg.yaml
+   ---
+   apiVersion: "kubeadm.k8s.io/v1beta3"
+   kind: InitConfiguration
+   nodeRegistration:
+       name: ${NAME}
+   localAPIEndpoint:
+       advertiseAddress: ${HOST}
+   ---
+   apiVersion: "kubeadm.k8s.io/v1beta3"
+   kind: ClusterConfiguration
+   etcd:
+       local:
+           serverCertSANs:
+           - "${HOST}"
+           peerCertSANs:
+           - "${HOST}"
+           extraArgs:
+               initial-cluster: ${NAMES[0]}=https://${HOSTS[0]}:2380,${NAMES[1]}=https://${HOSTS[1]}:2380,${NAMES[2]}=https://${HOSTS[2]}:2380
+               initial-cluster-state: new
+               name: ${NAME}
+               listen-peer-urls: https://${HOST}:2380
+               listen-client-urls: https://${HOST}:2379
+               advertise-client-urls: https://${HOST}:2379
+               initial-advertise-peer-urls: https://${HOST}:2380
+   EOF
+   done
    ```
 
 <!--
@@ -219,7 +215,7 @@ on Kubernetes dual-stack support see [Dual-stack support with kubeadm](/docs/set
    <!--
    This creates two files
    -->
-   这一操作创建如下两个文件
+   这一操作创建如下两个文件：
 
    - `/etc/kubernetes/pki/etcd/ca.crt`
    - `/etc/kubernetes/pki/etcd/ca.key`
@@ -402,3 +398,4 @@ kubeadm](/docs/setup/independent/high-availability/).
 一旦拥有了一个正常工作的 3 成员的 etcd 集群，你就可以基于
 [使用 kubeadm 外部 etcd 的方法](/zh-cn/docs/setup/production-environment/tools/kubeadm/high-availability/)，
 继续部署一个高可用的控制平面。
+
diff --git a/content/zh-cn/docs/setup/production-environment/tools/kubespray.md b/content/zh-cn/docs/setup/production-environment/tools/kubespray.md
index 0f17c9281f7..f4d18f30846 100644
--- a/content/zh-cn/docs/setup/production-environment/tools/kubespray.md
+++ b/content/zh-cn/docs/setup/production-environment/tools/kubespray.md
@@ -12,43 +12,54 @@ weight: 30
 <!-- overview -->
 
 <!--
-This quickstart helps to install a Kubernetes cluster hosted on GCE, Azure, OpenStack, AWS, vSphere, Packet (bare metal), Oracle Cloud Infrastructure (Experimental) or Baremetal with [Kubespray](https://github.com/kubernetes-sigs/kubespray).
+This quickstart helps to install a Kubernetes cluster hosted on GCE, Azure, OpenStack, AWS, vSphere, Equinix Metal (formerly Packet), Oracle Cloud Infrastructure (Experimental) or Baremetal with [Kubespray](https://github.com/kubernetes-sigs/kubespray).
 -->
 此快速入门有助于使用 [Kubespray](https://github.com/kubernetes-sigs/kubespray)
-安装在 GCE、Azure、OpenStack、AWS、vSphere、Packet（裸机）、Oracle Cloud
+安装在 GCE、Azure、OpenStack、AWS、vSphere、Equinix Metal（曾用名 Packet）、Oracle Cloud
 Infrastructure（实验性）或 Baremetal 上托管的 Kubernetes 集群。
 
 <!--
-Kubespray is a composition of [Ansible](https://docs.ansible.com/) playbooks, [inventory](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md), provisioning tools, and domain knowledge for generic OS/Kubernetes clusters configuration management tasks. Kubespray provides:
+Kubespray is a composition of [Ansible](https://docs.ansible.com/) playbooks, [inventory](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md#inventory), provisioning tools, and domain knowledge for generic OS/Kubernetes clusters configuration management tasks. 
+
+Kubespray provides:
 -->
 Kubespray 是一个由 [Ansible](https://docs.ansible.com/) playbooks、
-[清单（inventory）](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md)、
+[清单（inventory）](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/ansible.md#inventory)、
 制备工具和通用 OS/Kubernetes 集群配置管理任务的领域知识组成的。
+
 Kubespray 提供：
 
 <!--
-* a highly available cluster
-* composable attributes
-* support for most popular Linux distributions
-  * Ubuntu 16.04, 18.04, 20.04
-  * CentOS/RHEL/Oracle Linux 7, 8
-  * Debian Buster, Jessie, Stretch, Wheezy
-  * Fedora 31, 32
-  * Fedora CoreOS
-  * openSUSE Leap 15
-  * Flatcar Container Linux by Kinvolk
-* continuous integration tests
+* Highly available cluster.
+* Composable (Choice of the network plugin for instance).
+* Supports most popular Linux distributions:
+  - Flatcar Container Linux by Kinvolk
+  - Debian Bullseye, Buster, Jessie, Stretch
+  - Ubuntu 16.04, 18.04, 20.04, 22.04
+  - CentOS/RHEL 7, 8
+  - Fedora 34, 35
+  - Fedora CoreOS
+  - openSUSE Leap 15.x/Tumbleweed
+  - Oracle Linux 7, 8
+  - Alma Linux 8
+  - Rocky Linux 8
+  - Amazon Linux 2 
+* Continuous integration tests.
 -->
 * 高可用性集群
-* 可组合属性
+* 可组合属性（例如可选择网络插件）
 * 支持大多数流行的 Linux 发行版
-   * Ubuntu 16.04、18.04、20.04
-   * CentOS / RHEL / Oracle Linux 7、8
-   * Debian Buster、Jessie、Stretch、Wheezy
-   * Fedora 31、32
-   * Fedora CoreOS
-   * openSUSE Leap 15
    * Kinvolk 的 Flatcar Container Linux
+   * Debian Bullseye、Buster、Jessie、Stretch
+   * Ubuntu 16.04、18.04、20.04, 22.04
+   * CentOS/RHEL 7、8
+   * Fedora 34、35
+   * Fedora CoreOS
+   * openSUSE Leap 15.x/Tumbleweed
+   * Oracle Linux 7、8
+   * Alma Linux 8
+   * Rocky Linux 8
+   * Amazon Linux 2
 * 持续集成测试
 
 <!--
@@ -59,7 +70,7 @@ To choose a tool which best fits your use case, read [this comparison](https://g
 [kubeadm](/zh-cn/docs/reference/setup-tools/kubeadm/) 和
 [kops](/zh-cn/docs/setup/production-environment/tools/kops/) 之间的
 [这份比较](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/comparisons.md)。
- 。
+
 <!-- body -->
 
 <!--
@@ -77,23 +88,23 @@ Provision servers with the following [requirements](https://github.com/kubernete
 按以下[要求](https://github.com/kubernetes-sigs/kubespray#requirements)来配置服务器：
 
 <!--
-* **Ansible v2.9 and python-netaddr are installed on the machine that will run Ansible commands**
-* **Jinja 2.11 (or newer) is required to run the Ansible Playbooks**
-* The target servers must have access to the Internet in order to pull docker images. Otherwise, additional configuration is required ([See Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
-* The target servers are configured to allow **IPv4 forwarding**
-* **Your ssh key must be copied** to all the servers in your inventory
-* **Firewalls are not managed by kubespray**. You'll need to implement appropriate rules as needed. You should disable your firewall in order to avoid any issues during deployment
-* If kubespray is run from a non-root user account, correct privilege escalation method should be configured in the target servers and the `ansible_become` flag or command parameters `--become` or `-b` should be specified
+* **Minimum required version of Kubernetes is v1.22**
+* **Ansible v2.11+, Jinja 2.11+ and python-netaddr is installed on the machine that will run Ansible commands**
+* The target servers must have **access to the Internet** in order to pull docker images. Otherwise, additional configuration is required See ([Offline Environment](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md))
+* The target servers are configured to allow **IPv4 forwarding**.
+* If using IPv6 for pods and services, the target servers are configured to allow **IPv6 forwarding**.
+* The **firewalls are not managed**, you'll need to implement your own rules the way you used to. in order to avoid any issue during deployment you should disable your firewall.
+* If kubespray is run from non-root user account, correct privilege escalation method should be configured in the target servers. Then the `ansible_become` flag or command parameters `--become` or `-b` should be specified.
 -->
-* 在将运行 Ansible 命令的计算机上安装 Ansible v2.9 和 python-netaddr
-* **运行 Ansible Playbook 需要 Jinja 2.11（或更高版本）**
-* 目标服务器必须有权访问 Internet 才能拉取 Docker 镜像。否则，
+* **Kubernetes** 的最低版本要求为 V1.22
+* **在将运行 Ansible 命令的计算机上安装 Ansible v2.11（或更高版本）、Jinja 2.11（或更高版本）和 python-netaddr**
+* 目标服务器必须**能够访问 Internet** 才能拉取 Docker 镜像。否则，
   需要其他配置（[请参见离线环境](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/offline-environment.md)）
-* 目标服务器配置为允许 IPv4 转发
-* **你的 SSH 密钥必须复制**到部署集群的所有服务器中
+* 目标服务器配置为允许 **IPv4 转发**
+* 如果针对 Pod 和 Service 使用 IPv6，则目标服务器配置为允许 **IPv6 转发**
 * **防火墙不是由 kubespray 管理的**。你需要根据需求设置适当的规则策略。为了避免部署过程中出现问题，可以禁用防火墙。
-* 如果从非 root 用户帐户运行 kubespray，则应在目标服务器中配置正确的特权升级方法
-并指定 `ansible_become` 标志或命令参数 `--become` 或 `-b`
+* 如果从非 root 用户帐户运行 kubespray，则应在目标服务器中配置正确的特权升级方法并指定
+  `ansible_become` 标志或命令参数 `--become` 或 `-b`
 
 <!--
 Kubespray provides the following utilities to help provision your environment:
@@ -101,14 +112,14 @@ Kubespray provides the following utilities to help provision your environment:
 * [Terraform](https://www.terraform.io/) scripts for the following cloud providers:
   * [AWS](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/aws)
   * [OpenStack](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/openstack)
-  * [Packet](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/packet)
+  * [Equinix Metal](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/metal)
 -->
 Kubespray 提供以下实用程序来帮助你设置环境：
 
 * 为以下云驱动提供的 [Terraform](https://www.terraform.io/) 脚本：
-* [AWS](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/aws)
-* [OpenStack](http://sitebeskuethree/contrigetbernform/contribeskubernform/contribeskupernform/https/sitebesku/master/)
-* [Packet](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/packet)
+  * [AWS](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/aws)
+  * [OpenStack](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/openstack)
+  * [Equinix Metal](https://github.com/kubernetes-sigs/kubespray/tree/master/contrib/terraform/metal)
 
 <!--
 ### (2/5) Compose an inventory file
@@ -160,8 +171,7 @@ Kubespray customizations can be made to a [variable file](https://docs.ansible.c
 -->
 可以修改[变量文件](https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html)
 以进行 Kubespray 定制。
-如果你刚刚开始使用 Kubespray，请考虑使用 Kubespray 默认设置来部署你的集群
-并探索 Kubernetes 。
+如果你刚刚开始使用 Kubespray，请考虑使用 Kubespray 默认设置来部署你的集群并探索 Kubernetes。
 <!--
 ### (4/5) Deploy a Cluster
 
@@ -207,7 +217,7 @@ Kubespray provides additional playbooks to manage your cluster: _scale_ and _upg
 -->
 ## 集群操作
 
-Kubespray 提供了其他 Playbooks 来管理集群： _scale_ 和 _upgrade_。
+Kubespray 提供了其他 Playbooks 来管理集群： **scale** 和 **upgrade**。
 <!--
 ### Scale your cluster
 
@@ -240,7 +250,7 @@ When running the reset playbook, be sure not to accidentally target your product
 -->
 ## 清理
 
-你可以通过 [reset](https://github.com/kubernetes-sigs/kubespray/blob/master/reset.yml) Playbook
+你可以通过 [reset playbook](https://github.com/kubernetes-sigs/kubespray/blob/master/reset.yml)
 重置节点并清除所有与 Kubespray 一起安装的组件。
 
 {{< caution >}}
@@ -250,22 +260,23 @@ When running the reset playbook, be sure not to accidentally target your product
 <!--
 ## Feedback
 
-* Slack Channel: [#kubespray](https://kubernetes.slack.com/messages/kubespray/) (You can get your invite [here](https://slack.k8s.io/))
-* [GitHub Issues](https://github.com/kubernetes-sigs/kubespray/issues)
+* Slack Channel: [#kubespray](https://kubernetes.slack.com/messages/kubespray/) (You can get your invite [here](https://slack.k8s.io/)).
+* [GitHub Issues](https://github.com/kubernetes-sigs/kubespray/issues).
 -->
 ## 反馈
 
 * Slack 频道：[#kubespray](https://kubernetes.slack.com/messages/kubespray/)
-  （你可以在[此处](https://slack.k8s.io/)获得邀请）
-* [GitHub 问题](https://github.com/kubernetes-sigs/kubespray/issues)
+  （你可以在[此处](https://slack.k8s.io/)获得邀请）。
+* [GitHub 问题](https://github.com/kubernetes-sigs/kubespray/issues)。
 
 <!--
 ## {{% heading "whatsnext" %}}
 
-Check out planned work on Kubespray's [roadmap](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md).
+* Check out planned work on Kubespray's [roadmap](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md).
+* Learn more about [Kubespray](https://github.com/kubernetes-sigs/kubespray).
 -->
 ## {{% heading "whatsnext" %}}
 
-查看有关 Kubespray 的
-[路线图](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md)
-的计划工作。
+* 查看有关 Kubespray 的
+  [路线图](https://github.com/kubernetes-sigs/kubespray/blob/master/docs/roadmap.md)的计划工作。
+* 查阅有关 [Kubespray](https://github.com/kubernetes-sigs/kubespray) 的更多信息。
diff --git a/content/zh-cn/docs/tasks/access-application-cluster/access-cluster-services.md b/content/zh-cn/docs/tasks/access-application-cluster/access-cluster-services.md
index 42d5ab13971..336b6d67c19 100644
--- a/content/zh-cn/docs/tasks/access-application-cluster/access-cluster-services.md
+++ b/content/zh-cn/docs/tasks/access-application-cluster/access-cluster-services.md
@@ -25,7 +25,7 @@ their own IPs.  In many cases, the node IPs, pod IPs, and some service IPs on a
 routable, so they will not be reachable from a machine outside the cluster,
 such as your desktop machine.
 -->
-## 访问集群上运行的服务
+## 访问集群上运行的服务  {#accessing-services-running-on-the-cluster}
 
 在 Kubernetes 里，[节点](/zh-cn/docs/concepts/architecture/nodes/)、
 [Pod](/zh-cn/docs/concepts/workloads/pods/) 和
@@ -186,22 +186,22 @@ URL 的 `<service_name>` 段支持的格式为：
 
 * To access the Elasticsearch service endpoint `_search?q=user:kimchy`, you would use:
 -->
-##### 示例
+##### 示例   {#examples}
 
-* 如要访问 Elasticsearch 服务末端 `_search?q=user:kimchy`，你可以使用：
+* 如要访问 Elasticsearch 服务末端 `_search?q=user:kimchy`，你可以使用以下地址：
 
-    ```
-    http://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_search?q=user:kimchy
-    ```
+  ```
+  http://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_search?q=user:kimchy
+  ```
 
 <!--
 * To access the Elasticsearch cluster health information `_cluster/health?pretty=true`, you would use:
 -->
-* 如要访问 Elasticsearch 集群健康信息`_cluster/health?pretty=true`，你会使用：
+* 如要访问 Elasticsearch 集群健康信息`_cluster/health?pretty=true`，你可以使用以下地址：
 
-    ```
-    https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_cluster/health?pretty=true
-    ```
+  ```
+  https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_cluster/health?pretty=true
+  ```
 
     <!--
     The health information is similar to this:
@@ -226,18 +226,18 @@ URL 的 `<service_name>` 段支持的格式为：
 <!--
 * To access the *https* Elasticsearch service health information `_cluster/health?pretty=true`, you would use:
 -->
-* 要访问 *https* Elasticsearch 服务健康信息 `_cluster/health?pretty=true`，你会使用：
+* 如要访问 **https** Elasticsearch 服务健康信息 `_cluster/health?pretty=true`，你可以使用以下地址：
 
-    ```
-    https://192.0.2.1/api/v1/namespaces/kube-system/services/https:elasticsearch-logging:/proxy/_cluster/health?pretty=true
-    ```
+  ```
+  https://192.0.2.1/api/v1/namespaces/kube-system/services/https:elasticsearch-logging:/proxy/_cluster/health?pretty=true
+  ```
 
 <!--
 #### Using web browsers to access services running on the cluster
 
 You may be able to put an apiserver proxy URL into the address bar of a browser. However:
 -->
-#### 通过 Web 浏览器访问集群中运行的服务
+#### 通过 Web 浏览器访问集群中运行的服务    {#uusing-web-browsers-to-access-services-running-on-the-cluster}
 
 你或许能够将 API 服务器代理的 URL 放入浏览器的地址栏，然而：
 
diff --git a/content/zh-cn/docs/tasks/access-application-cluster/ingress-minikube.md b/content/zh-cn/docs/tasks/access-application-cluster/ingress-minikube.md
index 906b0f5c96c..e220d760f42 100644
--- a/content/zh-cn/docs/tasks/access-application-cluster/ingress-minikube.md
+++ b/content/zh-cn/docs/tasks/access-application-cluster/ingress-minikube.md
@@ -152,7 +152,7 @@ storage-provisioner                         1/1       Running   0          2m
 <!--
 1. Verify the Service is created and is available on a node port:
 -->
-3. 验证 Service 已经创建，并且可能从节点端口访问：
+3. 验证 Service 已经创建，并且可以从节点端口访问：
 
    ```shell
    kubectl get service web
diff --git a/content/zh-cn/docs/tasks/administer-cluster/access-cluster-api.md b/content/zh-cn/docs/tasks/administer-cluster/access-cluster-api.md
index 19d2b1db472..12c3d68f574 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/access-cluster-api.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/access-cluster-api.md
@@ -69,7 +69,8 @@ kubectl handles locating and authenticating to the API server. If you want to di
 -->
 ### 直接访问 REST API
 
-kubectl 处理对 API 服务器的定位和身份验证。如果你想通过 http 客户端（如 `curl` 或 `wget`，或浏览器）直接访问 REST API，你可以通过多种方式对 API 服务器进行定位和身份验证：
+kubectl 处理对 API 服务器的定位和身份验证。如果你想通过 http 客户端（如 `curl` 或 `wget`，
+或浏览器）直接访问 REST API，你可以通过多种方式对 API 服务器进行定位和身份验证：
 
  <!--
 1. Run kubectl in proxy mode (recommended). This method is recommended, since it uses the stored apiserver location and verifies the identity of the API server using a self-signed cert. No man-in-the-middle (MITM) attack is possible using this method.
@@ -235,8 +236,8 @@ Kubernetes officially supports client libraries for [Go](#go-client), [Python](#
 Kubernetes 官方支持 [Go](#go-client)、[Python](#python-client)、[Java](#java-client)、
 [dotnet](#dotnet-client)、[JavaScript](#javascript-client) 和 [Haskell](#haskell-client)
 语言的客户端库。还有一些其他客户端库由对应作者而非 Kubernetes 团队提供并维护。
-参考[客户端库](/zh-cn/docs/reference/using-api/client-libraries/)了解如何使用其他语言
-来访问 API 以及如何执行身份认证。
+参考[客户端库](/zh-cn/docs/reference/using-api/client-libraries/)了解如何使用其他语言来访问 API
+以及如何执行身份认证。
 
 <!-- #### Go client -->
 
@@ -280,12 +281,12 @@ import (
 )
 
 func main() {
-  // uses the current context in kubeconfig
-  // path-to-kubeconfig -- for example, /root/.kube/config
+  // 在 kubeconfig 中使用当前上下文
+  // path-to-kubeconfig -- 例如 /root/.kube/config
   config, _ := clientcmd.BuildConfigFromFlags("", "<path-to-kubeconfig>")
-  // creates the clientset
+  // 创建 clientset
   clientset, _ := kubernetes.NewForConfig(config)
-  // access the API to list pods
+  // 访问 API 以列出 Pod
   pods, _ := clientset.CoreV1().Pods("").List(context.TODO(), v1.ListOptions{})
   fmt.Printf("There are %d pods in the cluster\n", len(pods.Items))
 }
@@ -305,7 +306,7 @@ To use [Python client](https://github.com/kubernetes-client/python), run the fol
 -->
 要使用 [Python 客户端](https://github.com/kubernetes-client/python)，运行下列命令：
 `pip install kubernetes`。
-参见 [Python 客户端库主页](https://github.com/kubernetes-client/python) 了解更多安装选项。
+参见 [Python 客户端库主页](https://github.com/kubernetes-client/python)了解更多安装选项。
 
 <!--
 The Python client can use the same [kubeconfig file](/docs/concepts/cluster-administration/authenticate-across-clusters-kubeconfig/)
@@ -349,7 +350,7 @@ mvn install
 See [https://github.com/kubernetes-client/java/releases](https://github.com/kubernetes-client/java/releases) to see which versions are supported.
 
 The Java client can use the same [kubeconfig file](/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
-as the kubectl CLI does to locate and authenticate to the API server. See this [example](https://github.com/kubernetes-client/java/blob/master/examples/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java):
+as the kubectl CLI does to locate and authenticate to the API server. See this [example](https://github.com/kubernetes-client/java/blob/master/examples/examples-release-15/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java):
 -->
 参阅[https://github.com/kubernetes-client/java/releases](https://github.com/kubernetes-client/java/releases)
 了解当前支持的版本。
@@ -357,7 +358,7 @@ as the kubectl CLI does to locate and authenticate to the API server. See this [
 Java 客户端可以使用 kubectl 命令行所使用的
 [kubeconfig 文件](/zh-cn/docs/concepts/configuration/organize-cluster-access-kubeconfig/)
 以定位 API 服务器并向其认证身份。
-参看此[示例](https://github.com/kubernetes-client/java/blob/master/examples/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java)：
+参看此[示例](https://github.com/kubernetes-client/java/blob/master/examples/examples-release-15/src/main/java/io/kubernetes/client/examples/KubeConfigFileClientExample.java)：
 
 ```java
 package io.kubernetes.client.examples;
@@ -519,4 +520,4 @@ exampleWithKubeConfig = do
 <!--
 * [Accessing the Kubernetes API from a Pod](/docs/tasks/run-application/access-api-from-pod/)
 -->
-* [从 Pod 中访问 API](/zh-cn/docs/tasks/run-application/access-api-from-pod/)
+* [从 Pod 中访问 Kubernetes API](/zh-cn/docs/tasks/run-application/access-api-from-pod/)
diff --git a/content/zh-cn/docs/tasks/administer-cluster/certificates.md b/content/zh-cn/docs/tasks/administer-cluster/certificates.md
index 2842d9ebf92..6a86ded9ebf 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/certificates.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/certificates.md
@@ -29,60 +29,74 @@ manually through `easyrsa`, `openssl` or `cfssl`.
 **easyrsa** 支持以手工方式为你的集群生成证书。
 
 <!-- 
-1.  Download, unpack, and initialize the patched version of easyrsa3.
+1. Download, unpack, and initialize the patched version of `easyrsa3`.
 -->
-1.  下载、解压、初始化打过补丁的 easyrsa3。
+1. 下载、解压、初始化打过补丁的 `easyrsa3`。
 
-        curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
-        tar xzf easy-rsa.tar.gz
-        cd easy-rsa-master/easyrsa3
-        ./easyrsa init-pki
+   ```shell
+   curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
+   tar xzf easy-rsa.tar.gz
+   cd easy-rsa-master/easyrsa3
+   ./easyrsa init-pki
+   ```
 
-    <!-- 
-    1.  Generate a new certificate authority (CA). `--batch` sets automatic mode;
-    `--req-cn` specifies the Common Name (CN) for the CA's new root certificate.
-    -->
-1.  生成新的证书颁发机构（CA）。参数 `--batch` 用于设置自动模式；
-    参数 `--req-cn` 用于设置新的根证书的通用名称（CN）。
+<!-- 
+1. Generate a new certificate authority (CA). `--batch` sets automatic mode;
+   `--req-cn` specifies the Common Name (CN) for the CA's new root certificate.
+-->
+2. 生成新的证书颁发机构（CA）。参数 `--batch` 用于设置自动模式；
+   参数 `--req-cn` 用于设置新的根证书的通用名称（CN）。
 
-        ./easyrsa --batch "--req-cn=${MASTER_IP}@`date +%s`" build-ca nopass
+   ```shell
+   ./easyrsa --batch "--req-cn=${MASTER_IP}@`date +%s`" build-ca nopass
+   ```
 
-    <!-- 
-    1.  Generate server certificate and key.
-    The argument `--subject-alt-name` sets the possible IPs and DNS names the API server will
-    be accessed with. The `MASTER_CLUSTER_IP` is usually the first IP from the service CIDR
-    that is specified as the `--service-cluster-ip-range` argument for both the API server and
-    the controller manager component. The argument `--days` is used to set the number of days
-    after which the certificate expires.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
-    -->
-1.  生成服务器证书和秘钥。
-    参数 `--subject-alt-name` 设置 API 服务器的 IP 和 DNS 名称。
-    `MASTER_CLUSTER_IP` 用于 API 服务器和控制管理器，通常取 CIDR 的第一个 IP，由 `--service-cluster-ip-range` 的参数提供。
-    参数 `--days` 用于设置证书的过期时间。
-    下面的示例假定你的默认 DNS 域名为 `cluster.local`。
+<!-- 
+1. Generate server certificate and key.
 
-        ./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
-        "IP:${MASTER_CLUSTER_IP},"\
-        "DNS:kubernetes,"\
-        "DNS:kubernetes.default,"\
-        "DNS:kubernetes.default.svc,"\
-        "DNS:kubernetes.default.svc.cluster,"\
-        "DNS:kubernetes.default.svc.cluster.local" \
-        --days=10000 \
-        build-server-full server nopass
+   The argument `--subject-alt-name` sets the possible IPs and DNS names the API server will
+   be accessed with. The `MASTER_CLUSTER_IP` is usually the first IP from the service CIDR
+   that is specified as the `--service-cluster-ip-range` argument for both the API server and
+   the controller manager component. The argument `--days` is used to set the number of days
+   after which the certificate expires.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
+-->
+3. 生成服务器证书和秘钥。
 
-    <!-- 
-    1.  Copy `pki/ca.crt`, `pki/issued/server.crt`, and `pki/private/server.key` to your directory.
-    1.  Fill in and add the following parameters into the API server start parameters:
-    -->
-1.  拷贝文件 `pki/ca.crt`、`pki/issued/server.crt` 和 `pki/private/server.key` 到你的目录中。
-1.  在 API 服务器的启动参数中添加以下参数：
+   参数 `--subject-alt-name` 设置 API 服务器的 IP 和 DNS 名称。
+   `MASTER_CLUSTER_IP` 用于 API 服务器和控制器管理器，通常取 CIDR 的第一个 IP，
+   由 `--service-cluster-ip-range` 的参数提供。
+   参数 `--days` 用于设置证书的过期时间。
+   下面的示例假定你的默认 DNS 域名为 `cluster.local`。
 
-        --client-ca-file=/yourdirectory/ca.crt
-        --tls-cert-file=/yourdirectory/server.crt
-        --tls-private-key-file=/yourdirectory/server.key
+   ```shell
+   ./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
+   "IP:${MASTER_CLUSTER_IP},"\
+   "DNS:kubernetes,"\
+   "DNS:kubernetes.default,"\
+   "DNS:kubernetes.default.svc,"\
+   "DNS:kubernetes.default.svc.cluster,"\
+   "DNS:kubernetes.default.svc.cluster.local" \
+   --days=10000 \
+   build-server-full server nopass
+   ```
+
+<!-- 
+1. Copy `pki/ca.crt`, `pki/issued/server.crt`, and `pki/private/server.key` to your directory.
+-->
+4. 拷贝文件 `pki/ca.crt`、`pki/issued/server.crt` 和 `pki/private/server.key` 到你的目录中。
+
+<!--
+1. Fill in and add the following parameters into the API server start parameters:
+-->
+5. 在 API 服务器的启动参数中添加以下参数：
+
+   ```shell
+   --client-ca-file=/yourdirectory/ca.crt
+   --tls-cert-file=/yourdirectory/server.crt
+   --tls-private-key-file=/yourdirectory/server.key
+   ```
 
 ### openssl
 
@@ -92,103 +106,120 @@ manually through `easyrsa`, `openssl` or `cfssl`.
 **openssl** 支持以手工方式为你的集群生成证书。
 
 <!-- 
-1.  Generate a ca.key with 2048bit:
+1. Generate a ca.key with 2048bit:
 -->
-1.  生成一个 2048 位的 ca.key 文件
+1. 生成一个 2048 位的 ca.key 文件
 
-        openssl genrsa -out ca.key 2048
+   ```shell
+   openssl genrsa -out ca.key 2048
+   ```
 
-    <!-- 
-    1.  According to the ca.key generate a ca.crt (use -days to set the certificate effective time):
-    -->
-1.  在 ca.key 文件的基础上，生成 ca.crt 文件（用参数 -days 设置证书有效期）
+<!-- 
+1. According to the ca.key generate a ca.crt (use `-days` to set the certificate effective time):
+-->
+2. 在 ca.key 文件的基础上，生成 ca.crt 文件（用参数 `-days` 设置证书有效期）
 
-        openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
+   ```shell
+   openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
+   ```
 
-    <!-- 
-    1.  Generate a server.key with 2048bit:
-    -->
-1.  生成一个 2048 位的 server.key 文件：
+<!-- 
+1. Generate a server.key with 2048bit:
+-->
+3. 生成一个 2048 位的 server.key 文件：
 
-        openssl genrsa -out server.key 2048
+   ```shell
+   openssl genrsa -out server.key 2048
+   ```
 
-    <!-- 
-    1.  Create a config file for generating a Certificate Signing Request (CSR).
-    Be sure to substitute the values marked with angle brackets (e.g. `<MASTER_IP>`)
-    with real values before saving this to a file (e.g. `csr.conf`).
-    Note that the value for `MASTER_CLUSTER_IP` is the service cluster IP for the
-    API server as described in previous subsection.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
-    -->
-1.  创建一个用于生成证书签名请求（CSR）的配置文件。
-    保存文件（例如：`csr.conf`）前，记得用真实值替换掉尖括号中的值（例如：`<MASTER_IP>`）。
-    注意：`MASTER_CLUSTER_IP` 就像前一小节所述，它的值是 API 服务器的服务集群 IP。
-    下面的例子假定你的默认 DNS 域名为 `cluster.local`。
+<!-- 
+1. Create a config file for generating a Certificate Signing Request (CSR).
 
-        [ req ]
-        default_bits = 2048
-        prompt = no
-        default_md = sha256
-        req_extensions = req_ext
-        distinguished_name = dn
+   Be sure to substitute the values marked with angle brackets (e.g. `<MASTER_IP>`)
+   with real values before saving this to a file (e.g. `csr.conf`).
+   Note that the value for `MASTER_CLUSTER_IP` is the service cluster IP for the
+   API server as described in previous subsection.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
+-->
+4. 创建一个用于生成证书签名请求（CSR）的配置文件。
+   保存文件（例如：`csr.conf`）前，记得用真实值替换掉尖括号中的值（例如：`<MASTER_IP>`）。
+   注意：`MASTER_CLUSTER_IP` 就像前一小节所述，它的值是 API 服务器的服务集群 IP。
+   下面的例子假定你的默认 DNS 域名为 `cluster.local`。
 
-        [ dn ]
-        C = <country>
-        ST = <state>
-        L = <city>
-        O = <organization>
-        OU = <organization unit>
-        CN = <MASTER_IP>
+   ```ini
+   [ req ]
+   default_bits = 2048
+   prompt = no
+   default_md = sha256
+   req_extensions = req_ext
+   distinguished_name = dn
 
-        [ req_ext ]
-        subjectAltName = @alt_names
+   [ dn ]
+   C = <country>
+   ST = <state>
+   L = <city>
+   O = <organization>
+   OU = <organization unit>
+   CN = <MASTER_IP>
 
-        [ alt_names ]
-        DNS.1 = kubernetes
-        DNS.2 = kubernetes.default
-        DNS.3 = kubernetes.default.svc
-        DNS.4 = kubernetes.default.svc.cluster
-        DNS.5 = kubernetes.default.svc.cluster.local
-        IP.1 = <MASTER_IP>
-        IP.2 = <MASTER_CLUSTER_IP>
+   [ req_ext ]
+   subjectAltName = @alt_names
 
-        [ v3_ext ]
-        authorityKeyIdentifier=keyid,issuer:always
-        basicConstraints=CA:FALSE
-        keyUsage=keyEncipherment,dataEncipherment
-        extendedKeyUsage=serverAuth,clientAuth
-        subjectAltName=@alt_names
+   [ alt_names ]
+   DNS.1 = kubernetes
+   DNS.2 = kubernetes.default
+   DNS.3 = kubernetes.default.svc
+   DNS.4 = kubernetes.default.svc.cluster
+   DNS.5 = kubernetes.default.svc.cluster.local
+   IP.1 = <MASTER_IP>
+   IP.2 = <MASTER_CLUSTER_IP>
 
-    <!-- 
-    1.  Generate the certificate signing request based on the config file:
-    -->
-1.  基于上面的配置文件生成证书签名请求：
+   [ v3_ext ]
+   authorityKeyIdentifier=keyid,issuer:always
+   basicConstraints=CA:FALSE
+   keyUsage=keyEncipherment,dataEncipherment
+   extendedKeyUsage=serverAuth,clientAuth
+   subjectAltName=@alt_names
+   ```
 
-        openssl req -new -key server.key -out server.csr -config csr.conf
+<!-- 
+1. Generate the certificate signing request based on the config file:
+-->
+5. 基于上面的配置文件生成证书签名请求：
 
-    <!-- 
-    1.  Generate the server certificate using the ca.key, ca.crt and server.csr:
-    -->
-1.  基于 ca.key、ca.crt 和 server.csr 等三个文件生成服务端证书：
+   ```shell
+   openssl req -new -key server.key -out server.csr -config csr.conf
+   ```
 
-        openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
-        -CAcreateserial -out server.crt -days 10000 \
-        -extensions v3_ext -extfile csr.conf
+<!-- 
+1. Generate the server certificate using the ca.key, ca.crt and server.csr:
+-->
+6. 基于 ca.key、ca.crt 和 server.csr 等三个文件生成服务端证书：
 
-    <!--
-    1.  View the certificate signing request:
-    -->
-1.  查看证书签名请求：
+   ```shell
+   openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
+       -CAcreateserial -out server.crt -days 10000 \
+       -extensions v3_ext -extfile csr.conf
+   ```
 
-        openssl req  -noout -text -in ./server.csr
+<!--
+1. View the certificate signing request:
+-->
+7. 查看证书签名请求：
 
-    <!-- 
-    1.  View the certificate:
-    -->
-1.  查看证书：
+   ```shell
+   openssl req  -noout -text -in ./server.csr
+   ```
 
-        openssl x509  -noout -text -in ./server.crt
+<!-- 
+1. View the certificate:
+-->
+8. 查看证书：
+
+   ```shell
+   openssl x509  -noout -text -in ./server.crt
+   ```
 
 <!-- 
 Finally, add the same parameters into the API server start parameters.
@@ -203,135 +234,151 @@ Finally, add the same parameters into the API server start parameters.
 **cfssl** 是另一个用于生成证书的工具。
 
 <!-- 
-1.  Download, unpack and prepare the command line tools as shown below.
-    Note that you may need to adapt the sample commands based on the hardware
-    architecture and cfssl version you are using.
+1. Download, unpack and prepare the command line tools as shown below.
+
+   Note that you may need to adapt the sample commands based on the hardware
+   architecture and cfssl version you are using.
 -->
-1.  下载、解压并准备如下所示的命令行工具。
-    注意：你可能需要根据所用的硬件体系架构和 cfssl 版本调整示例命令。
+1. 下载、解压并准备如下所示的命令行工具。
 
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64 -o cfssl
-        chmod +x cfssl
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64 -o cfssljson
-        chmod +x cfssljson
-        curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64 -o cfssl-certinfo
-        chmod +x cfssl-certinfo
+   注意：你可能需要根据所用的硬件体系架构和 cfssl 版本调整示例命令。
 
-    <!-- 
-    1.  Create a directory to hold the artifacts and initialize cfssl:
-    -->
-1.  创建一个目录，用它保存所生成的构件和初始化 cfssl：
+   ```shell
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64 -o cfssl
+   chmod +x cfssl
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64 -o cfssljson
+   chmod +x cfssljson
+   curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64 -o cfssl-certinfo
+   chmod +x cfssl-certinfo
+   ```
 
-        mkdir cert
-        cd cert
-        ../cfssl print-defaults config > config.json
-        ../cfssl print-defaults csr > csr.json
+<!-- 
+1. Create a directory to hold the artifacts and initialize cfssl:
+-->
+2. 创建一个目录，用它保存所生成的构件和初始化 cfssl：
 
-    <!-- 
-    1.  Create a JSON config file for generating the CA file, for example, `ca-config.json`:
-    -->
-1.  创建一个 JSON 配置文件来生成 CA 文件，例如：`ca-config.json`：
+   ```shell
+   mkdir cert
+   cd cert
+   ../cfssl print-defaults config > config.json
+   ../cfssl print-defaults csr > csr.json
+   ```
 
-        {
-          "signing": {
-            "default": {
-              "expiry": "8760h"
-            },
-            "profiles": {
-              "kubernetes": {
-                "usages": [
-                  "signing",
-                  "key encipherment",
-                  "server auth",
-                  "client auth"
-                ],
-                "expiry": "8760h"
-              }
-            }
-          }
-        }
+<!-- 
+1. Create a JSON config file for generating the CA file, for example, `ca-config.json`:
+-->
+3. 创建一个 JSON 配置文件来生成 CA 文件，例如：`ca-config.json`：
 
-    <!-- 
-    1.  Create a JSON config file for CA certificate signing request (CSR), for example,
-    `ca-csr.json`. Be sure to replace the values marked with angle brackets with
-    real values you want to use.
-    -->
-1.  创建一个 JSON 配置文件，用于 CA 证书签名请求（CSR），例如：`ca-csr.json`。
-    确认用你需要的值替换掉尖括号中的值。
+   ```json
+   {
+     "signing": {
+       "default": {
+         "expiry": "8760h"
+       },
+       "profiles": {
+         "kubernetes": {
+           "usages": [
+             "signing",
+             "key encipherment",
+             "server auth",
+             "client auth"
+           ],
+           "expiry": "8760h"
+         }
+       }
+     }
+   }
+   ```
 
-        {
-          "CN": "kubernetes",
-          "key": {
-            "algo": "rsa",
-            "size": 2048
-          },
-          "names":[{
-            "C": "<country>",
-            "ST": "<state>",
-            "L": "<city>",
-            "O": "<organization>",
-            "OU": "<organization unit>"
-          }]
-        }
+<!-- 
+1. Create a JSON config file for CA certificate signing request (CSR), for example,
+   `ca-csr.json`. Be sure to replace the values marked with angle brackets with
+   real values you want to use.
+-->
+4. 创建一个 JSON 配置文件，用于 CA 证书签名请求（CSR），例如：`ca-csr.json`。
+   确认用你需要的值替换掉尖括号中的值。
 
-    <!-- 
-    1.  Generate CA key (`ca-key.pem`) and certificate (`ca.pem`):
-    -->
-1.  生成 CA 秘钥文件（`ca-key.pem`）和证书文件（`ca.pem`）：
+   ```json
+   {
+     "CN": "kubernetes",
+     "key": {
+       "algo": "rsa",
+       "size": 2048
+     },
+     "names":[{
+       "C": "<country>",
+       "ST": "<state>",
+       "L": "<city>",
+       "O": "<organization>",
+       "OU": "<organization unit>"
+     }]
+   }
+   ```
 
-        ../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
+<!-- 
+1. Generate CA key (`ca-key.pem`) and certificate (`ca.pem`):
+-->
+5. 生成 CA 秘钥文件（`ca-key.pem`）和证书文件（`ca.pem`）：
 
-    <!-- 
-    1.  Create a JSON config file for generating keys and certificates for the API
-    server, for example, `server-csr.json`. Be sure to replace the values in angle brackets with
-    real values you want to use. The `MASTER_CLUSTER_IP` is the service cluster
-    IP for the API server as described in previous subsection.
-    The sample below also assumes that you are using `cluster.local` as the default
-    DNS domain name.
-    -->
-1.  创建一个 JSON 配置文件，用来为 API 服务器生成秘钥和证书，例如：`server-csr.json`。
-    确认用你需要的值替换掉尖括号中的值。`MASTER_CLUSTER_IP` 是为 API 服务器 指定的服务集群 IP，就像前面小节描述的那样。
-    以下示例假定你的默认 DNS 域名为`cluster.local`。
+   ```shell
+   ../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
+   ```
 
-        {
-          "CN": "kubernetes",
-          "hosts": [
-            "127.0.0.1",
-            "<MASTER_IP>",
-            "<MASTER_CLUSTER_IP>",
-            "kubernetes",
-            "kubernetes.default",
-            "kubernetes.default.svc",
-            "kubernetes.default.svc.cluster",
-            "kubernetes.default.svc.cluster.local"
-          ],
-          "key": {
-            "algo": "rsa",
-            "size": 2048
-          },
-          "names": [{
-            "C": "<country>",
-            "ST": "<state>",
-            "L": "<city>",
-            "O": "<organization>",
-            "OU": "<organization unit>"
-          }]
-        }
+<!-- 
+1. Create a JSON config file for generating keys and certificates for the API
+   server, for example, `server-csr.json`. Be sure to replace the values in angle brackets with
+   real values you want to use. The `<MASTER_CLUSTER_IP>` is the service cluster
+   IP for the API server as described in previous subsection.
+   The sample below also assumes that you are using `cluster.local` as the default
+   DNS domain name.
+-->
+6. 创建一个 JSON 配置文件，用来为 API 服务器生成秘钥和证书，例如：`server-csr.json`。
+   确认用你需要的值替换掉尖括号中的值。`MASTER_CLUSTER_IP` 是为 API 服务器 指定的服务集群 IP，就像前面小节描述的那样。
+   以下示例假定你的默认 DNS 域名为`cluster.local`。
 
-    <!-- 
-    1.  Generate the key and certificate for the API server, which are by default
-    saved into file `server-key.pem` and `server.pem` respectively:
-    -->
-1.  为 API 服务器生成秘钥和证书，默认会分别存储为`server-key.pem` 和 `server.pem` 两个文件。
+   ```json
+   {
+     "CN": "kubernetes",
+     "hosts": [
+       "127.0.0.1",
+       "<MASTER_IP>",
+       "<MASTER_CLUSTER_IP>",
+       "kubernetes",
+       "kubernetes.default",
+       "kubernetes.default.svc",
+       "kubernetes.default.svc.cluster",
+       "kubernetes.default.svc.cluster.local"
+     ],
+     "key": {
+       "algo": "rsa",
+       "size": 2048
+     },
+     "names": [{
+       "C": "<country>",
+       "ST": "<state>",
+       "L": "<city>",
+       "O": "<organization>",
+       "OU": "<organization unit>"
+     }]
+   }
+   ```
 
-        ../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
+<!-- 
+1. Generate the key and certificate for the API server, which are by default
+   saved into file `server-key.pem` and `server.pem` respectively:
+-->
+7. 为 API 服务器生成秘钥和证书，默认会分别存储为`server-key.pem` 和 `server.pem` 两个文件。
+
+   ```shell
+   ../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
         --config=ca-config.json -profile=kubernetes \
         server-csr.json | ../cfssljson -bare server
+   ```
 
 <!-- 
 ## Distributing Self-Signed CA Certificate
 -->
-## 分发自签名的 CA 证书
+## 分发自签名的 CA 证书   {#distributing-self-signed-ca-certificate}
 
 <!-- 
 A client node may refuse to recognize a self-signed CA certificate as valid.
@@ -346,12 +393,12 @@ On each client, perform the following operations:
 
 在每一个客户节点，执行以下操作：
 
-```bash
+```shell
 sudo cp ca.crt /usr/local/share/ca-certificates/kubernetes.crt
 sudo update-ca-certificates
 ```
 
-```
+```none
 Updating certificates in /etc/ssl/certs...
 1 added, 0 removed; done.
 Running hooks in /etc/ca-certificates/update.d....
@@ -361,13 +408,14 @@ done.
 <!-- 
 ## Certificates API
 -->
-## 证书 API {#certificates-api}
+## 证书 API   {#certificates-api}
 
 <!-- 
 You can use the `certificates.k8s.io` API to provision
 x509 certificates to use for authentication as documented
-[here](/docs/tasks/tls/managing-tls-in-a-cluster).
+in the [Managing TLS in a cluster](/docs/tasks/tls/managing-tls-in-a-cluster)
+task page.
 -->
 你可以通过 `certificates.k8s.io` API 提供 x509 证书，用来做身份验证，
-如[本](/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster)文档所述。
+如[管理集群中的 TLS 认证](/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster)文档所述。
 
diff --git a/content/zh-cn/docs/tasks/administer-cluster/cluster-upgrade.md b/content/zh-cn/docs/tasks/administer-cluster/cluster-upgrade.md
index bcd5eb2b6ef..c4cceb6f9af 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/cluster-upgrade.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/cluster-upgrade.md
@@ -97,7 +97,7 @@ You should manually update the control plane following this sequence:
 - kube-apiserver (所有控制平面的宿主机)
 - kube-controller-manager
 - kube-scheduler
-- cloud controller manager, 在你用到时
+- cloud controller manager (在你用到时)
 
 <!-- 
 At this point you should
@@ -112,8 +112,8 @@ kubelet on that node and bring the node back into service.
 [安装最新版本的 `kubectl`](/zh-cn/docs/tasks/tools/).
 
 对于集群中的每个节点，
-[排空](/zh-cn/docs/tasks/administer-cluster/safely-drain-node/)
-节点，然后，或者用一个运行了 {{< skew currentVersion >}} kubelet 的新节点替换它；
+首先需要[腾空](/zh-cn/docs/tasks/administer-cluster/safely-drain-node/)
+节点，然后使用一个运行了 kubelet {{< skew currentVersion >}} 版本的新节点替换它；
 或者升级此节点的 kubelet，并使节点恢复服务。
 
 <!-- 
@@ -152,7 +152,7 @@ write it back also using the latest supported API.
 当底层的 API 更改时，这些对象可能需要用新 API 重写。
 如果不能做到这一点，会导致再也不能用 Kubernetes API 服务器解码、使用该对象。
 
-对于每个受影响的对象，用最新支持的 API 获取它，然后再用最新支持的 API 写回来。
+对于每个受影响的对象，请使用最新支持的 API 读取它，然后使用所支持的最新 API 将其写回。
 
 <!-- 
 ### Update manifests
@@ -164,7 +164,7 @@ For example:
 -->
 ### 更新清单 {#update-manifests}
 
-升级到新版本 Kubernetes 就可以提供新的 API。
+升级到新版本 Kubernetes 就可以获取到新的 API。
 
 你可以使用 `kubectl convert` 命令在不同 API 版本之间转换清单。
 例如：
diff --git a/content/zh-cn/docs/tasks/administer-cluster/kubelet-config-file.md b/content/zh-cn/docs/tasks/administer-cluster/kubelet-config-file.md
index 0af51406f29..f484cab946a 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/kubelet-config-file.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/kubelet-config-file.md
@@ -36,7 +36,8 @@ struct.
 -->
 ## 创建配置文件
 
-[`KubeletConfiguration`](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/) 结构体定义了可以通过文件配置的 Kubelet 配置子集，
+[`KubeletConfiguration`](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/)
+结构体定义了可以通过文件配置的 Kubelet 配置子集，
 
 <!--
 The configuration file must be a JSON or YAML representation of the parameters
@@ -48,35 +49,33 @@ Here is an example of what this file might look like:
 确保 kubelet 可以读取该文件。
 
 下面是一个 Kubelet 配置文件示例：
-```
+
+```yaml
 apiVersion: kubelet.config.k8s.io/v1beta1
 kind: KubeletConfiguration
-address: "192.168.0.8",
-port: 20250,
-serializeImagePulls: false,
+address: "192.168.0.8"
+port: 20250
+serializeImagePulls: false
 evictionHard:
     memory.available:  "200Mi"
 ```
 
-
 <!--
 In the example, the Kubelet is configured to serve on IP address 192.168.0.8 and port 20250, pull images in parallel,
 and evict Pods when available memory drops below 200Mi.
 All other Kubelet configuration values are left at their built-in defaults, unless overridden
 by flags. Command line flags which target the same value as a config file will override that value.
 -->
-在这个示例中, Kubelet 被设置为在地址 192.168.0.8 端口 20250 上提供服务，以并行方式拖拽镜像，
-当可用内存低于 200Mi 时, kubelet 将会开始驱逐 Pods。
-没有声明的其余配置项都将使用默认值，除非使用命令行参数来重载。 
+在这个示例中, Kubelet 被设置为在地址 192.168.0.8 端口 20250 上提供服务，以并行方式拉取镜像，
+当可用内存低于 200Mi 时, kubelet 将会开始驱逐 Pod。
+没有声明的其余配置项都将使用默认值，除非使用命令行参数来重载。
 命令行中的参数将会覆盖配置文件中的对应值。
 
 <!--
 ## Start a Kubelet process configured via the config file
 
-{{< note >}}
 If you use kubeadm to initialize your cluster, use the kubelet-config while creating your cluster with `kubeadmin init`.
 See [configuring kubelet using kubeadm](/docs/setup/production-environment/tools/kubeadm/kubelet-integration/) for details.
-{{< /note >}}
 
 Start the Kubelet with the `--config` flag set to the path of the Kubelet's config file.
 The Kubelet will then load its config from this file.
diff --git a/content/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns.md b/content/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns.md
index 8f456e8058d..bc6d34c7426 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns.md
@@ -1,15 +1,13 @@
 ---
-title: 以非root用户身份运行 Kubernetes 节点组件
+title: 以非 root 用户身份运行 Kubernetes 节点组件
 content_type: task
 min-kubernetes-server-version: 1.22
 ---
 
 <!--
----
 title: Running Kubernetes Node Components as a Non-root User
 content_type: task
 min-kubernetes-server-version: 1.22
----
 -->
 
 <!-- overview -->
@@ -32,7 +30,7 @@ If you are just looking for how to run a pod as a non-root user, see [SecurityCo
 这个文档描述了怎样不使用 root 特权，而是通过使用 {{< glossary_tooltip text="用户命名空间" term_id="userns" >}}
 去运行 Kubernetes 节点组件（例如 kubelet、CRI、OCI、CNI）。
 
-这种技术也叫做 _rootless 模式（Rootless mode）_。
+这种技术也叫做 **rootless 模式（Rootless mode）**。
 
 {{< note >}}
 这个文档描述了怎么以非 root 用户身份运行 Kubernetes 节点组件以及 Pod。
@@ -55,7 +53,7 @@ If you are just looking for how to run a pod as a non-root user, see [SecurityCo
 
 {{% version-check %}}
 
-* [启用 Cgroup v2](https://rootlesscontaine.rs/getting-started/common/cgroup2/)
+* [启用 cgroup v2](https://rootlesscontaine.rs/getting-started/common/cgroup2/)
 * [在 systemd 中启用 user session](https://rootlesscontaine.rs/getting-started/common/login/)
 * [根据不同的 Linux 发行版，配置 sysctl 的值](https://rootlesscontaine.rs/getting-started/common/sysctl/)
 * [确保你的非特权用户被列在 `/etc/subuid` 和 `/etc/subgid` 文件中](https://rootlesscontaine.rs/getting-started/common/subuid/)
@@ -74,11 +72,12 @@ See [Running kind with Rootless Docker](https://kind.sigs.k8s.io/docs/user/rootl
 
 ### minikube
 
-[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker.
+[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker or Rootless Podman.
 
-See the page about the [docker](https://minikube.sigs.k8s.io/docs/drivers/docker/) driver in the Minikube documentation.
+See the Minikube documentation:
 
-Rootless Podman is not supported.
+* [Rootless Docker](https://minikube.sigs.k8s.io/docs/drivers/docker/)
+* [Rootless Podman](https://minikube.sigs.k8s.io/docs/drivers/podman/)
 -->
 
 ## 使用 Rootless 模式的 Docker/Podman 运行 Kubernetes
@@ -91,13 +90,12 @@ Rootless Podman is not supported.
 
 ### minikube
 
-[minikube](https://minikube.sigs.k8s.io/) 也支持使用 Rootless 模式的 Docker 运行 Kubernetes。
+[minikube](https://minikube.sigs.k8s.io/) 也支持使用 Rootless 模式的 Docker 或 Podman 运行 Kubernetes。
 
-请参阅 Minikube 文档中的 [docker](https://minikube.sigs.k8s.io/docs/drivers/docker/) 驱动页面。
+请参阅 Minikube 文档：
 
-它不支持 Rootless 模式的 Podman。
-
-<!-- Supporting rootless podman is discussed in https://github.com/kubernetes/minikube/issues/8719 -->
+* [Rootless Docker](https://minikube.sigs.k8s.io/docs/drivers/docker/)
+* [Rootless Podman](https://minikube.sigs.k8s.io/docs/drivers/podman/)
 
 <!--
 ## Running Kubernetes inside Unprivileged Containers
@@ -140,7 +138,7 @@ the container plus several other advanced OS virtualization techniques.
 -->
 
 Sysbox 支持在非特权容器内运行 Kubernetes，
-而不需要 Cgroup v2 和 “KubeletInUserNamespace” 特性门控。
+而不需要 cgroup v2 和 “KubeletInUserNamespace” 特性门控。
 Sysbox 通过在容器内暴露特定的 `/proc` 和 `/sys` 文件系统，
 以及其它一些先进的操作系统虚拟化技术来实现。
 
@@ -251,18 +249,18 @@ At least, the following directories need to be writable *in* the namespace (not
 
 在取消命名空间的共享之后，你也必须对其它的命名空间例如 mount 命名空间取消共享。
 
-在取消 mount 命名空间的共享之后，你*不*需要调用 `chroot()` 或者 `pivot_root()`，
-但是你必须*在这个命名空间内*挂载可写的文件系统到几个目录上。
+在取消 mount 命名空间的共享之后，你**不**需要调用 `chroot()` 或者 `pivot_root()`，
+但是你必须**在这个命名空间内**挂载可写的文件系统到几个目录上。
 
-请确保*这个命名空间内*(不是这个命名空间外部)至少以下几个目录是可写的：
+请确保**这个命名空间内**(不是这个命名空间外部)至少以下几个目录是可写的：
 
 - `/etc`
 - `/run`
 - `/var/logs`
 - `/var/lib/kubelet`
 - `/var/lib/cni`
-- `/var/lib/containerd` (参照 containerd )
-- `/var/lib/containers` (参照 CRI-O )
+- `/var/lib/containerd` (参照 containerd)
+- `/var/lib/containers` (参照 CRI-O)
 
 <!--
 ### Creating a delegated cgroup tree
@@ -340,7 +338,7 @@ containerd or CRI-O and ensure that it is running within the user namespace befo
 Pod 的网络命名空间可以使用常规的 CNI 插件配置。对于多节点的网络，已知 Flannel (VXLAN、8472/UDP) 可以正常工作。
 
 诸如 kubelet 端口（10250/TCP）和 `NodePort` 服务端口之类的端口必须通过外部端口转发器
-（例如 RootlessKit、 slirp4netns 或
+（例如 RootlessKit、slirp4netns 或
 [socat(1)](https://linux.die.net/man/1/socat)) 从节点网络命名空间暴露给主机。
 
 你可以使用 K3s 的端口转发器。更多细节请参阅
@@ -577,8 +575,8 @@ on the rootlesscontaine.rs website.
 ## 注意事项   {#caveats}
 
 - 大部分“非本地”的卷驱动（例如 `nfs` 和 `iscsi`）不能正常工作。
-已知诸如 `local`、`hostPath`、`emptyDir`、`configMap`、`secret` 和 `downwardAPI`
-这些本地卷是能正常工作的。
+  已知诸如 `local`、`hostPath`、`emptyDir`、`configMap`、`secret` 和 `downwardAPI`
+  这些本地卷是能正常工作的。
 
 - 一些 CNI 插件可能不正常工作。已知 Flannel (VXLAN) 是能正常工作的。
 
diff --git a/content/zh-cn/docs/tasks/administer-cluster/limit-storage-consumption.md b/content/zh-cn/docs/tasks/administer-cluster/limit-storage-consumption.md
index 668675fb6a0..1ac684de586 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/limit-storage-consumption.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/limit-storage-consumption.md
@@ -1,5 +1,5 @@
 ---
-title: 限制存储消耗
+title: 限制存储使用量
 content_type: task
 ---
 <!--
@@ -12,14 +12,14 @@ content_type: task
 <!--
 This example demonstrates how to limit the amount of storage consumed in a namespace
 -->
-此示例演示了如何限制一个名字空间中的存储使用量。
+此示例演示如何限制一个名字空间中的存储使用量。
 
 <!--
 The following resources are used in the demonstration: [ResourceQuota](/docs/concepts/policy/resource-quotas/),
 [LimitRange](/docs/tasks/administer-cluster/memory-default-namespace/),
 and [PersistentVolumeClaim](/docs/concepts/storage/persistent-volumes/).
 -->
-演示中用到了以下资源：[ResourceQuota](/zh-cn/docs/concepts/policy/resource-quotas/)，
+演示中用到了以下资源：[ResourceQuota](/zh-cn/docs/concepts/policy/resource-quotas/)、
 [LimitRange](/zh-cn/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/) 和
 [PersistentVolumeClaim](/zh-cn/docs/concepts/storage/persistent-volumes/)。
 
@@ -32,18 +32,18 @@ and [PersistentVolumeClaim](/docs/concepts/storage/persistent-volumes/).
 <!--
 ## Scenario: Limiting Storage Consumption
 -->
-## 场景：限制存储消耗
+## 场景：限制存储使用量
 
 <!--
 The cluster-admin is operating a cluster on behalf of a user population and the admin wants to control
 how much storage a single namespace can consume in order to control cost.
 -->
-集群管理员代表用户群操作集群，管理员希望控制单个名称空间可以消耗多少存储空间以控制成本。
+集群管理员代表用户群操作集群，该管理员希望控制单个名字空间可以消耗多少存储空间以控制成本。
 
 <!--
 The admin would like to limit:
 -->
-管理员想要限制：
+该管理员想要限制：
 
 <!--
 1. The number of persistent volume claims in a namespace
@@ -101,8 +101,8 @@ AWS EBS volumes have a 1Gi minimum requirement.
 Admins can limit the number of PVCs in a namespace as well as the cumulative capacity of those PVCs. New PVCs that exceed
 either maximum value will be rejected.
 -->
-管理员可以限制某个名字空间中的 PVCs 个数以及这些 PVCs 的累计容量。
-新 PVCs 请求如果超过任一上限值将被拒绝。
+管理员可以限制某个名字空间中的 PVC 个数以及这些 PVC 的累计容量。
+如果 PVC 的数目超过任一上限值，新的 PVC 将被拒绝。
 
 <!--
 In this example, a 6th PVC in the namespace would be rejected because it exceeds the maximum count of 5. Alternatively,
@@ -110,9 +110,9 @@ a 5Gi maximum quota when combined with the 2Gi max limit above, cannot have 3 PV
  for a namespace capped at 5Gi.
 -->
 在此示例中，名字空间中的第 6 个 PVC 将被拒绝，因为它超过了最大计数 5。
-或者，当与上面的 2Gi 最大容量限制结合在一起时，意味着 5Gi 的最大配额
-不能支持 3 个都是 2Gi 的 PVC。
-后者实际上是向名字空间请求 6Gi 容量，而该命令空间已经设置上限为 5Gi。
+或者，当与上面的 2Gi 最大容量限制结合在一起时，
+意味着 5Gi 的最大配额不能支持 3 个都是 2Gi 的 PVC。
+后者实际上是向名字空间请求 6Gi 容量，而该名字空间已经设置上限为 5Gi。
 
 ```yaml
 apiVersion: v1
diff --git a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
index 6688fe25f32..05ca03663cd 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/change-runtime-containerd.md
@@ -12,15 +12,15 @@ content_type: task
 
 <!--
 This task outlines the steps needed to update your container runtime to containerd from Docker. It
-is applicable for cluster operators running Kubernetes 1.23 or earlier. Also  this covers an
-example scenario for migrating from dockershim to containerd and alternative container runtimes
+is applicable for cluster operators running Kubernetes 1.23 or earlier. This also covers an
+example scenario for migrating from dockershim to containerd. Alternative container runtimes
 can be picked from this [page](/docs/setup/production-environment/container-runtimes/).
 -->
 本任务给出将容器运行时从 Docker 改为 containerd 所需的步骤。
 此任务适用于运行 1.23 或更早版本 Kubernetes 的集群操作人员。
-同时，此任务也涉及从 dockershim 迁移到 containerd 的示例场景，
-以及可以从[此页面](/zh-cn/docs/setup/production-environment/container-runtimes/)
-获得的其他容器运行时列表。
+同时，此任务也涉及从 dockershim 迁移到 containerd 的示例场景。
+有关其他备选的容器运行时，可查阅
+[此页面](/zh-cn/docs/setup/production-environment/container-runtimes/)进行拣选。
 
 ## {{% heading "prerequisites" %}}
 
@@ -38,12 +38,6 @@ and for specific prerequisite follow
 
 <!--
 ## Drain the node 
-
-```shell
-kubectl drain <node-to-drain> --ignore-daemonsets
-```
-
-Replace `<node-to-drain>` with the name of your node you are draining.
 -->
 ## 腾空节点    {#drain-the-node}
 
@@ -51,7 +45,10 @@ Replace `<node-to-drain>` with the name of your node you are draining.
 kubectl drain <node-to-drain> --ignore-daemonsets
 ```
 
-将 `<node-to-drain>` 替换为你所要腾空的节点的名称
+<!--
+Replace `<node-to-drain>` with the name of your node you are draining.
+-->
+将 `<node-to-drain>` 替换为你所要腾空的节点的名称。
 
 <!--
 ## Stop the Docker daemon
@@ -84,8 +81,8 @@ for detailed steps to install containerd.
    [Getting started with containerd](https://github.com/containerd/containerd/blob/main/docs/getting-started.md).
 -->
 1. 从官方的 Docker 仓库安装 `containerd.io` 包。关于为你所使用的 Linux 发行版来设置
-   Docker 仓库，以及安装 `containerd.io` 包的详细说明，可参见
-   [开始使用 containerd](https://github.com/containerd/containerd/blob/main/docs/getting-started.md)。
+   Docker 仓库，以及安装 `containerd.io` 包的详细说明，
+   可参见[开始使用 containerd](https://github.com/containerd/containerd/blob/main/docs/getting-started.md)。
 
 <!--
 1. Configure containerd:
@@ -136,8 +133,8 @@ then run the following commands:
    .\containerd.exe config default | Out-File config.toml -Encoding ascii
 
    # 请审查配置信息。取决于你的安装环境，你可能需要调整：
-   # - the sandbox_image （Kubernetes pause 镜像）
-   # - cni bin_dir 和 conf_dir 的位置
+   # - sandbox_image （Kubernetes pause 镜像）
+   # - CNI 的 bin_dir 和 conf_dir 的位置
    Get-Content config.toml
 
    # （可选步骤，但强烈建议执行）将 containerd 排除在 Windows Defender 扫描之外
@@ -162,24 +159,22 @@ then run the following commands:
 
 Edit the file `/var/lib/kubelet/kubeadm-flags.env` and add the containerd runtime to the flags.
 `--container-runtime=remote` and
-`--container-runtime-endpoint=unix:///run/containerd/containerd.sock"`.
+`--container-runtime-endpoint=unix:///run/containerd/containerd.sock`.
 -->
 ## 配置 kubelet 使用 containerd 作为其容器运行时
 
 编辑文件 `/var/lib/kubelet/kubeadm-flags.env`，将 containerd 运行时添加到标志中：
-`--container-runtime=remote` 和 `--container-runtime-endpoint=unix:///run/containerd/containerd.sock"`。
+`--container-runtime=remote` 和
+`--container-runtime-endpoint=unix:///run/containerd/containerd.sock`。
 
 <!--
-For users using kubeadm should consider the following:
-
 Users using kubeadm should be aware that the `kubeadm` tool stores the CRI socket for each host as
 an annotation in the Node object for that host. To change it you can execute the following command
 on a machine that has the kubeadm `/etc/kubernetes/admin.conf` file.
 -->
-对于使用 kubeadm 的用户，可以考虑下面的问题：
-
 `kubeadm` 工具将每个主机的 CRI 套接字保存在该主机对应的 Node 对象的注解中。
-使用 `kubeadm` 的用户应该知道，`kubeadm` 工具将每个主机的 CRI 套接字保存在该主机对应的 Node 对象的注解中。
+使用 `kubeadm` 的用户应该知道，`kubeadm` 工具将每个主机的 CRI 套接字保存在该主机对应的
+Node 对象的注解中。
 要更改这一注解信息，你可以在一台包含 kubeadm `/etc/kubernetes/admin.conf` 文件的机器上执行以下命令：
 
 ```shell
@@ -188,7 +183,6 @@ kubectl edit no <node-name>
 
 <!--
 This will start a text editor where you can edit the Node object.
-
 To choose a text editor you can set the `KUBE_EDITOR` environment variable.
 
 - Change the value of `kubeadm.alpha.kubernetes.io/cri-socket` from `/var/run/dockershim.sock`
@@ -222,13 +216,16 @@ systemctl start kubelet
 ## Verify that the node is healthy
 
 Run `kubectl get nodes -o wide` and containerd appears as the runtime for the node we just changed.
-
-## Remove Docker Engine
 -->
 ## 验证节点处于健康状态   {#verify-that-the-node-is-healthy}
 
 运行 `kubectl get nodes -o wide`，containerd 会显示为我们所更改的节点上的运行时。
 
+<!--
+## Remove Docker Engine
+-->
+## 移除 Docker Engine  {#remove-docker-engine}
+
 {{% thirdparty-content %}}
 
 <!--
@@ -236,7 +233,7 @@ Finally if everything goes well, remove Docker.
 -->
 最后，在一切顺利时删除 Docker。
 
-{{< tabs name="tab-remove-docker-enigine" >}}
+{{< tabs name="tab-remove-docker-engine" >}}
 {{% tab name="CentOS" %}}
 
 ```shell
@@ -263,3 +260,18 @@ sudo apt-get purge docker-ce docker-ce-cli
 {{% /tab %}}
 {{< /tabs >}}
 
+<!--
+The preceding commands don't remove images, containers, volumes, or customized configuration files on your host.
+To delete them, follow Docker's instructions to [Uninstall Docker Engine](https://docs.docker.com/engine/install/ubuntu/#uninstall-docker-engine).
+-->
+上面的命令不会移除你的主机上的镜像、容器、卷或者定制的配置文件。
+要删除这些内容，参阅 Docker 的指令来[卸载 Docker Engine](https://docs.docker.com/engine/install/ubuntu/#uninstall-docker-engine)。
+
+{{< caution >}}
+<!--
+Docker's instructions for uninstalling Docker Engine create a risk of deleting containerd. Be careful when executing commands.
+-->
+Docker 所提供的卸载 Docker Engine 命令指导中，存在删除 containerd 的风险。
+在执行命令时要谨慎。
+{{< /caution >}}
+
diff --git a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/migrating-telemetry-and-security-agents.md b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/migrating-telemetry-and-security-agents.md
index e36cde5dc1b..7840125ec08 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/migrating-telemetry-and-security-agents.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/migrating-telemetry-and-security-agents.md
@@ -13,10 +13,12 @@ weight: 70
 
 <!-- overview -->
 
+{{% thirdparty-content %}}
+
 <!-- 
-Kubernetes' support for direct integration with Docker Engine is deprecated, and will be removed. Most apps do not have a direct dependency on runtime hosting containers. However, there are still a lot of telemetry and monitoring agents that has a dependency on docker to collect containers metadata, logs and metrics. This document aggregates information on how to detect these dependencies and links on how to migrate these agents to use generic tools or alternative runtimes.
+Kubernetes' support for direct integration with Docker Engine is deprecated and has been removed. Most apps do not have a direct dependency on runtime hosting containers. However, there are still a lot of telemetry and monitoring agents that has a dependency on docker to collect containers metadata, logs and metrics. This document aggregates information on how to detect these dependencies and links on how to migrate these agents to use generic tools or alternative runtimes.
 -->
-Kubernetes 对与 Docker Engine 直接集成的支持已被弃用并将被删除。
+Kubernetes 对与 Docker Engine 直接集成的支持已被弃用且已经被删除。
 大多数应用程序不直接依赖于托管容器的运行时。但是，仍然有大量的遥测和监控代理依赖
 docker 来收集容器元数据、日志和指标。
 本文汇总了一些信息和链接：信息用于阐述如何探查这些依赖，链接用于解释如何迁移这些代理去使用通用的工具或其他容器运行。
@@ -47,15 +49,15 @@ such as a pod name, is only available from Kubernetes components. Other data, su
 metrics, is not the responsibility of the container runtime. Early telemetry agents needed to query the
 container runtime **and** Kubernetes to report an accurate picture. Over time, Kubernetes gained
 the ability to support multiple runtimes, and now supports any runtime that is compatible with
-the container runtime interface.
-
+the [container runtime interface](/docs/concepts/architecture/cri/).
 -->
 从历史上看，Kubernetes 是专门为与 Docker Engine 一起工作而编写的。
 Kubernetes 负责网络和调度，依靠 Docker Engine
 在节点上启动并运行容器（在 Pod 内）。一些与遥测相关的信息，例如 pod 名称，
 只能从 Kubernetes 组件中获得。其他数据，例如容器指标，不是容器运行时的责任。
 早期遥测代理需要查询容器运行时**和** Kubernetes 以报告准确的信息。
-随着时间的推移，Kubernetes 获得了支持多种运行时的能力，现在支持任何兼容容器运行时接口的运行时。
+随着时间的推移，Kubernetes 获得了支持多种运行时的能力，
+现在支持任何兼容[容器运行时接口](/zh-cn/docs/concepts/architecture/cri/)的运行时。
 
 <!-- 
 Some telemetry agents rely specifically on Docker Engine tooling. For example, an agent
@@ -135,8 +137,9 @@ The script above only detects the most common uses.
 ### 检测节点代理对 Docker 的依赖性 {#detecting-docker-dependency-from-node-agents}
 
 <!-- 
-In case your cluster nodes are customized and install additional security and
-telemetry agents on the node, make sure to check with the vendor of the agent whether it has dependency on Docker.
+If your cluster nodes are customized and install additional security and
+telemetry agents on the node, check with the agent vendor
+to verify whether it has any dependency on Docker.
 -->
 在你的集群节点被定制、且在各个节点上均安装了额外的安全和遥测代理的场景下，
 一定要和代理的供应商确认：该代理是否依赖于 Docker。
@@ -147,11 +150,153 @@ telemetry agents on the node, make sure to check with the vendor of the agent wh
 ### 遥测和安全代理的供应商 {#telemetry-and-security-agent-vendors}
 
 <!-- 
+This section is intended to aggregate information about various telemetry and
+security agents that may have a dependency on container runtimes.
+
 We keep the work in progress version of migration instructions for various telemetry and security agent vendors
 in [Google doc](https://docs.google.com/document/d/1ZFi4uKit63ga5sxEiZblfb-c23lFhvy6RXVPikS8wf0/edit#).
 Please contact the vendor to get up to date instructions for migrating from dockershim.
 -->
+本节旨在汇总有关可能依赖于容器运行时的各种遥测和安全代理的信息。
+
 我们通过
 [谷歌文档](https://docs.google.com/document/d/1ZFi4uKit63ga5sxEiZblfb-c23lFhvy6RXVPikS8wf0/edit#)
 提供了为各类遥测和安全代理供应商准备的持续更新的迁移指导。
 请与供应商联系，获取从 dockershim 迁移的最新说明。
+
+## 从 dockershim 迁移 {#migration-from-dockershim}
+
+### [Aqua](https://www.aquasec.com)
+
+<!--
+No changes are needed: everything should work seamlessly on the runtime switch.
+-->
+无需更改：在运行时变更时可以无缝切换运行。
+
+### [Datadog](https://www.datadoghq.com/product/)
+
+<!--
+How to migrate:
+[Docker deprecation in Kubernetes](https://docs.datadoghq.com/agent/guide/docker-deprecation/)
+The pod that accesses Docker Engine may have a name containing any of:
+
+- `datadog-agent`
+- `datadog`
+- `dd-agent`
+-->
+如何迁移： 
+[Kubernetes 中对于 Docker 的弃用](https://docs.datadoghq.com/agent/guide/docker-deprecation/) 
+名字中包含以下字符串的 Pod 可能访问 Docker Engine：
+
+- `datadog-agent`
+- `datadog`
+- `dd-agent`
+
+### [Dynatrace](https://www.dynatrace.com/)
+
+<!--
+How to migrate:
+[Migrating from Docker-only to generic container metrics in Dynatrace](https://community.dynatrace.com/t5/Best-practices/Migrating-from-Docker-only-to-generic-container-metrics-in/m-p/167030#M49)
+
+Containerd support announcement: [Get automated full-stack visibility into
+containerd-based Kubernetes
+environments](https://www.dynatrace.com/news/blog/get-automated-full-stack-visibility-into-containerd-based-kubernetes-environments/)
+
+CRI-O support announcement: [Get automated full-stack visibility into your CRI-O Kubernetes containers (Beta)](https://www.dynatrace.com/news/blog/get-automated-full-stack-visibility-into-your-cri-o-kubernetes-containers-beta/)
+
+The pod accessing Docker may have name containing: 
+- `dynatrace-oneagent`
+-->
+如何迁移：
+[在 Dynatrace 上从 Docker-only 迁移到到通用容器指标](https://community.dynatrace.com/t5/Best-practices/Migrating-from-Docker-only-to-generic-container-metrics-in/m-p/167030#M49)
+
+Containerd 支持公告：[在基于 containerd 的 Kubernetes 环境的获取容器的自动化全栈可见性](https://www.dynatrace.com/news/blog/get-automated-full-stack-visibility-into-containerd-based-kubernetes-environments/)
+CRI-O 支持公告：[在基于 CRI-O 的 Kubernetes 环境获取容器的自动化全栈可见性（测试版）](https://www.dynatrace.com/news/blog/get-automated-full-stack-visibility-into-your-cri-o-kubernetes-containers-beta/)
+
+名字中包含以下字符串的 Pod 可能访问 Docker：
+- `dynatrace-oneagent`
+
+### [Falco](https://falco.org)
+
+<!--
+How to migrate:
+
+[Migrate Falco from dockershim](https://falco.org/docs/getting-started/deployment/#docker-deprecation-in-kubernetes)
+Falco supports any CRI-compatible runtime (containerd is used in the default configuration); the documentation explains all details.
+The pod accessing Docker may have name containing: 
+- `falco`
+-->
+如何迁移：
+[迁移 Falco 从 dockershim](https://falco.org/docs/getting-started/deployment/#docker-deprecation-in-kubernetes)
+Falco 支持任何与 CRI 兼容的运行时（默认配置中使用 containerd）；该文档解释了所有细节。
+
+名字中包含以下字符串的 Pod 可能访问 Docker：
+- `falco`
+
+
+### [Prisma Cloud Compute](https://docs.paloaltonetworks.com/prisma/prisma-cloud.html)
+
+<!--
+Check [documentation for Prisma Cloud](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/install/install_kubernetes.html),
+under the "Install Prisma Cloud on a CRI (non-Docker) cluster" section.
+The pod accessing Docker may be named like:
+- `twistlock-defender-ds`
+-->
+在依赖于 CRI（非 Docker）的集群上安装 Prisma Cloud 时，查看
+[Prisma Cloud 提供的文档](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/install/install_kubernetes.html)。
+
+名字中包含以下字符串的 Pod 可能访问 Docker：
+
+- `twistlock-defender-ds`
+
+
+### [SignalFx (Splunk)](https://www.splunk.com/en_us/investor-relations/acquisitions/signalfx.html)
+
+<!--
+The SignalFx Smart Agent (deprecated) uses several different monitors for Kubernetes including
+`kubernetes-cluster`, `kubelet-stats/kubelet-metrics`, and `docker-container-stats`.
+The `kubelet-stats` monitor was previously deprecated by the vendor, in favor of `kubelet-metrics`.
+The `docker-container-stats` monitor is the one affected by dockershim removal.
+Do not use the `docker-container-stats` with container runtimes other than Docker Engine.
+
+How to migrate from dockershim-dependant agent:
+1. Remove `docker-container-stats` from the list of [configured monitors](https://github.com/signalfx/signalfx-agent/blob/main/docs/monitor-config.md).
+   Note, keeping this monitor enabled with non-dockershim runtime will result in incorrect metrics
+   being reported when docker is installed on node and no metrics when docker is not installed.
+2. [Enable and configure `kubelet-metrics`](https://github.com/signalfx/signalfx-agent/blob/main/docs/monitors/kubelet-metrics.md) monitor.
+
+{{< note >}}
+The set of collected metrics will change. Review your alerting rules and dashboards.
+{{< /note >}}
+
+The Pod accessing Docker may be named something like:
+
+- `signalfx-agent`
+-->
+SignalFx Smart Agent（已弃用）在 Kubernetes 集群上使用了多种不同的监视器，
+包括 `kubernetes-cluster`，`kubelet-stats/kubelet-metrics`，`docker-container-stats`。
+`kubelet-stats` 监视器此前已被供应商所弃用，现支持 `kubelet-metrics`。
+`docker-container-stats` 监视器受 dockershim 移除的影响。
+不要为 `docker-container-stats` 监视器使用 Docker Engine 之外的运行时。
+
+如何从依赖 dockershim 的代理迁移：
+1. 从[所配置的监视器](https://github.com/signalfx/signalfx-agent/blob/main/docs/monitor-config.md)中移除 `docker-container-stats`。
+   注意，若节点上已经安装了 Docker，在非 dockershim 环境中启用此监视器后会导致报告错误的指标；
+   如果节点未安装 Docker，则无法获得指标。
+2. [启用和配置 `kubelet-metrics`](https://github.com/signalfx/signalfx-agent/blob/main/docs/monitors/kubelet-metrics.md) 监视器。
+
+{{< note >}}
+收集的指标会发生变化。具体请查看你的告警规则和仪表盘。
+{{< /note >}}
+
+名字中包含以下字符串的 Pod 可能访问 Docker：
+- `signalfx-agent`
+
+### Yahoo Kubectl Flame
+
+<!--
+Flame does not support container runtimes other than Docker. See
+[https://github.com/yahoo/kubectl-flame/issues/51](https://github.com/yahoo/kubectl-flame/issues/51)
+-->
+Flame 不支持 Docker 以外的容器运行时，具体可见 [https://github.com/yahoo/kubectl-flame/issues/51](https://github.com/yahoo/kubectl-flame/issues/51)
+
diff --git a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/troubleshooting-cni-plugin-related-errors.md b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/troubleshooting-cni-plugin-related-errors.md
index e60db86be82..d7b6e3174dd 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/troubleshooting-cni-plugin-related-errors.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/migrating-from-dockershim/troubleshooting-cni-plugin-related-errors.md
@@ -23,18 +23,6 @@ Kubernetes.
 为了避免 CNI 插件相关的错误，需要验证你正在使用或升级到一个经过测试的容器运行时，
 该容器运行时能够在你的 Kubernetes 版本上正常工作。
 
-<!--
-For example, the following container runtimes are being prepared, or have already been prepared, for Kubernetes v1.24:
-
-* containerd v1.6.4 and later, v1.5.11 and later
-* The CRI-O v1.24.0 and later
--->
-
-例如，针对 Kubernetes v1.24 而言，以下容器运行时正在准备或已经就绪：
-
-* containerd v1.6.4 及更新版本、v1.5.11 及更新版本
-* CRI-O v1.24.0 及更新版本
-
 <!--
 ## About the "Incompatible CNI versions" and "Failed to destroy network for sandbox" errors
 -->
diff --git a/content/zh-cn/docs/tasks/administer-cluster/namespaces.md b/content/zh-cn/docs/tasks/administer-cluster/namespaces.md
index e8a2e0174fe..358a4092ce2 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/namespaces.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/namespaces.md
@@ -24,9 +24,9 @@ This page shows how to view, work in, and delete {{< glossary_tooltip text="name
 * You have a basic understanding of Kubernetes {{< glossary_tooltip text="Pods" term_id="pod" >}}, {{< glossary_tooltip term_id="service" text="Services" >}}, and {{< glossary_tooltip text="Deployments" term_id="deployment" >}}.
 -->
 * 你已拥有一个[配置好的 Kubernetes 集群](/zh-cn/docs/setup/)。
-* 你已对 Kubernetes 的 {{< glossary_tooltip text="Pods" term_id="pod" >}} , 
-  {{< glossary_tooltip term_id="service" text="Services" >}} , 和
-  {{< glossary_tooltip text="Deployments" term_id="deployment" >}} 有基本理解。
+* 你已对 Kubernetes 的 {{< glossary_tooltip text="Pod" term_id="pod" >}}、
+  {{< glossary_tooltip term_id="service" text="Service" >}} 和
+  {{< glossary_tooltip text="Deployment" term_id="deployment" >}} 有基本理解。
 
 <!-- steps -->
 
@@ -91,16 +91,18 @@ Resource Limits
 
 <!-- Resource quota tracks aggregate usage of resources in the *Namespace* and allows cluster operators
 to define *Hard* resource usage limits that a *Namespace* may consume. -->
-资源配额跟踪并聚合 *Namespace* 中资源的使用情况，并允许集群运营者定义 *Namespace* 可能消耗的 *Hard* 资源使用限制。
+资源配额跟踪并聚合 **Namespace** 中资源的使用情况，并允许集群运营者定义 **Namespace** 可能消耗的 **Hard** 资源使用限制。
 
-<!-- A limit range defines min/max constraints on the amount of resources a single entity can consume in
+<!-- 
+A limit range defines min/max constraints on the amount of resources a single entity can consume in
 a *Namespace*.
 
-See [Admission control: Limit Range](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_limit_range.md) -->
+See [Admission control: Limit Range](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_limit_range.md)
+-->
 
-限制区间定义了单个实体在一个 *Namespace* 中可使用的最小/最大资源量约束。
+限制区间定义了单个实体在一个 **Namespace** 中可使用的最小/最大资源量约束。
 
-参阅 [准入控制: 限制区间](https://git.k8s.io/community/contributors/design-proposals/resource-management/admission_control_limit_range.md)
+参阅 [准入控制：限制区间](https://git.k8s.io/design-proposals-archive/resource-management/admission_control_limit_range.md)。
 
 <!--
 A namespace can be in one of two phases:
@@ -110,14 +112,14 @@ A namespace can be in one of two phases:
 
 For more details, see [Namespace](/docs/reference/kubernetes-api/cluster-resources/namespace-v1/)
 in the API reference.
- -->
+-->
 
 名字空间可以处于下列两个阶段中的一个:
 
 * `Active` 名字空间正在被使用中
 * `Terminating` 名字空间正在被删除，且不能被用于新对象。
 
-更多细节，参阅 API 参考中的[命名空间](/docs/reference/kubernetes-api/cluster-resources/namespace-v1/)。
+更多细节，参阅 API 参考中的[命名空间](/zh-cn/docs/reference/kubernetes-api/cluster-resources/namespace-v1/)。
 
 <!-- ## Creating a new namespace -->
 ## 创建名字空间
@@ -165,11 +167,14 @@ The name of your namespace must be a valid
 <!--
 There's an optional field `finalizers`, which allows observables to purge resources whenever the namespace is deleted. Keep in mind that if you specify a nonexistent finalizer, the namespace will be created but will get stuck in the `Terminating` state if the user tries to delete it.
 
-More information on `finalizers` can be found in the namespace [design doc](https://git.k8s.io/community/contributors/design-proposals/architecture/namespaces.md#finalizers).
+More information on `finalizers` can be found in the namespace [design doc](https://git.k8s.io/design-proposals-archive/architecture/namespaces.md#finalizers).
 -->
-可选字段 `finalizers` 允许观察者们在名字空间被删除时清除资源。记住如果指定了一个不存在的终结器，名字空间仍会被创建，但如果用户试图删除它，它将陷入 `Terminating` 状态。
+可选字段 `finalizers` 允许观察者们在名字空间被删除时清除资源。
+记住如果指定了一个不存在的终结器，名字空间仍会被创建，
+但如果用户试图删除它，它将陷入 `Terminating` 状态。
 
-更多有关 `finalizers` 的信息请查阅 [设计文档](https://git.k8s.io/community/contributors/design-proposals/architecture/namespaces.md#finalizers) 中名字空间部分。
+更多有关 `finalizers` 的信息请查阅
+[设计文档](https://git.k8s.io/design-proposals-archive/architecture/namespaces.md#finalizers)中名字空间部分。
 
 <!-- ## Deleting a namespace -->
 ## 删除名字空间
@@ -185,7 +190,7 @@ kubectl delete namespaces <insert-some-namespace-name>
 
 <!-- This deletes _everything_ under the namespace! -->
 {{< warning >}}
-这会删除名字空间下的 _所有内容_ ！
+这会删除名字空间下的 **所有内容** ！
 {{< /warning >}}
 
 <!-- This delete is asynchronous, so for a time you will see the namespace in the `Terminating` state. -->
@@ -206,13 +211,13 @@ kubectl delete namespaces <insert-some-namespace-name>
 1. 理解 default 名字空间
 
    默认情况下，Kubernetes 集群会在配置集群时实例化一个 default 名字空间，用以存放集群所使用的默认
-   Pods、Services 和 Deployments 集合。
+   Pod、Service 和 Deployment 集合。
 
    <!--
    Assuming you have a fresh cluster, you can introspect the available namespace's by doing the following:
    -->
 
-   假设你有一个新的集群，你可以通过执行以下操作来内省可用的名字空间
+   假设你有一个新的集群，你可以通过执行以下操作来内省可用的名字空间：
 
    ```shell
    kubectl get namespaces
@@ -245,8 +250,8 @@ kubectl delete namespaces <insert-some-namespace-name>
    and go, and the restrictions on who can or cannot modify resources
    are relaxed to enable agile development.
    -->
-   开发团队希望在集群中维护一个空间，以便他们可以查看用于构建和运行其应用程序的 Pods、Services
-   和 Deployments 列表。在这个空间里，Kubernetes 资源被自由地加入或移除，
+   开发团队希望在集群中维护一个空间，以便他们可以查看用于构建和运行其应用程序的 Pod、Service
+   和 Deployment 列表。在这个空间里，Kubernetes 资源被自由地加入或移除，
    对谁能够或不能修改资源的限制被放宽，以实现敏捷开发。
    
    <!--
@@ -255,13 +260,13 @@ kubectl delete namespaces <insert-some-namespace-name>
    Pods, Services, and Deployments that run the production site.
    -->
    运维团队希望在集群中维护一个空间，以便他们可以强制实施一些严格的规程，
-   对谁可以或不可以操作运行生产站点的 Pods、Services 和 Deployments 集合进行控制。
+   对谁可以或不可以操作运行生产站点的 Pod、Service 和 Deployment 集合进行控制。
    
    <!--
    One pattern this organization could follow is to partition the Kubernetes cluster into
    two namespaces: `development` and `production`.
    -->
-   该组织可以遵循的一种模式是将 Kubernetes 集群划分为两个名字空间：development 和 production。
+   该组织可以遵循的一种模式是将 Kubernetes 集群划分为两个名字空间：`development` 和 `production`。
    
    <!-- Let's create two new namespaces to hold our work. -->
    让我们创建两个新的名字空间来保存我们的工作。
@@ -294,14 +299,14 @@ kubectl delete namespaces <insert-some-namespace-name>
    ```
 
 <!-- 3. Create pods in each namespace -->
-3. 在每个名字空间中创建 pod
+3. 在每个名字空间中创建 Pod
 
    <!--
    A Kubernetes namespace provides the scope for Pods, Services, and Deployments in the cluster.
 
    Users interacting with one namespace do not see the content in another namespace.
    -->
-   Kubernetes 名字空间为集群中的 Pods、Services 和 Deployments 提供了作用域。
+   Kubernetes 名字空间为集群中的 Pod、Service 和 Deployment 提供了作用域。
    
    与一个名字空间交互的用户不会看到另一个名字空间中的内容。
    
@@ -346,8 +351,8 @@ kubectl delete namespaces <insert-some-namespace-name>
    看起来还不错，开发人员能够做他们想做的事，而且他们不必担心会影响到
    `production` 名字空间下面的内容。
 
-   让我们切换到 `production` 名字空间，展示一下一个名字空间中的资源是如何对
-   另一个名字空间隐藏的。
+   让我们切换到 `production` 名字空间，
+   展示一下一个名字空间中的资源是如何对另一个名字空间隐藏的。
 
    名字空间 `production` 应该是空的，下面的命令应该不会返回任何东西。
 
@@ -387,7 +392,7 @@ kubectl delete namespaces <insert-some-namespace-name>
 <!--
 At this point, it should be clear that the resources users create in one namespace are hidden from the other namespace.
 -->
-此时，应该很清楚的展示了用户在一个名字空间中创建的资源对另一个名字空间是隐藏的。
+此时，应该很清楚地展示了用户在一个名字空间中创建的资源对另一个名字空间是隐藏的。
 
 <!--
 As the policy support in Kubernetes evolves, we will extend this scenario to show how you can provide different
@@ -408,7 +413,7 @@ A single cluster should be able to satisfy the needs of multiple users or groups
 单个集群应该能满足多个用户及用户组的需求（以下称为 “用户社区”）。
 
 <!-- Kubernetes _namespaces_ help different projects, teams, or customers to share a Kubernetes cluster. -->
-Kubernetes _名字空间_ 帮助不同的项目、团队或客户去共享 Kubernetes 集群。
+Kubernetes **名字空间** 帮助不同的项目、团队或客户去共享 Kubernetes 集群。
 
 <!--
 It does this by providing the following:
@@ -440,9 +445,9 @@ Each user community has its own:
 -->
 每个用户社区都有自己的：
 
-1. 资源（pods、服务、 副本控制器等等）
+1. 资源（Pod、服务、副本控制器等等）
 2. 策略（谁能或不能在他们的社区里执行操作）
-3. 约束（该社区允许多少配额，等等）
+3. 约束（该社区允许多少配额等等）
 
 <!--
 A cluster operator may create a Namespace for each unique user community.
@@ -505,10 +510,10 @@ across namespaces, you need to use the fully qualified domain name (FQDN).
 <!--
 * Learn more about [setting the namespace preference](/docs/concepts/overview/working-with-objects/namespaces/#setting-the-namespace-preference).
 * Learn more about [setting the namespace for a request](/docs/concepts/overview/working-with-objects/namespaces/#setting-the-namespace-for-a-request)
-* See [namespaces design](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/architecture/namespaces.md).
+* See [namespaces design](https://git.k8s.io/design-proposals-archive/architecture/namespaces.md).
 -->
 
 * 进一步了解[设置名字空间偏好](/zh-cn/docs/concepts/overview/working-with-objects/namespaces/#setting-the-namespace-preference)
 * 进一步了解[设置请求的名字空间](/zh-cn/docs/concepts/overview/working-with-objects/namespaces/#setting-the-namespace-for-a-request)
-* 参阅[名字空间的设计文档](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/architecture/namespaces.md)
+* 参阅[名字空间的设计文档](https://git.k8s.io/design-proposals-archive/architecture/namespaces.md)
 
diff --git a/content/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources.md b/content/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources.md
index 04f87c79090..3cd494d6780 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/reserve-compute-resources.md
@@ -164,9 +164,6 @@ level control group (`runtime.slice` on systemd machines for example). Each
 system daemon should ideally run within its own child control group. Refer to
 [the design proposal](https://git.k8s.io/design-proposals-archive/node/node-allocatable.md#recommended-cgroups-setup)
 for more details on recommended control group hierarchy.
-
-Note that Kubelet **does not** create `--kube-reserved-cgroup` if it doesn't
-exist. Kubelet will fail if an invalid cgroup is specified.
 -->
 要选择性地对 kubernetes 系统守护进程上执行 `kube-reserved` 保护，需要把 kubelet 的
 `--kube-reserved-cgroup` 标志的值设置为 kube 守护进程的父控制组。
@@ -178,15 +175,30 @@ exist. Kubelet will fail if an invalid cgroup is specified.
 [这个设计方案](https://git.k8s.io/design-proposals-archive/node/node-allocatable.md#recommended-cgroups-setup)，
 进一步了解关于推荐控制组层次结构的细节。
 
+<!--
+Note that Kubelet **does not** create `--kube-reserved-cgroup` if it doesn't
+exist. Kubelet will fail if an invalid cgroup is specified. With `systemd`
+cgroup driver, you should follow a specific pattern for the name of the cgroup you
+define: the name should be the value you set for `--kube-reserved-cgroup`,
+with `.slice` appended.
+-->
 请注意，如果 `--kube-reserved-cgroup` 不存在，Kubelet 将 **不会** 创建它。
-如果指定了一个无效的 cgroup，Kubelet 将会失败。
+如果指定了一个无效的 cgroup，Kubelet 将会失败。就 `systemd` cgroup 驱动而言，
+你要为所定义的 cgroup 设置名称时要遵循特定的模式：
+所设置的名字应该是你为 `--kube-reserved-cgroup` 所给的参数值加上 `.slice` 后缀。
 
 <!--
 ### System Reserved
 
 - **Kubelet Flag**: `--system-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]`
 - **Kubelet Flag**: `--system-reserved-cgroup=`
+-->
+### 系统预留值  {#system-reserved}
 
+- **Kubelet 标志**: `--system-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]`
+- **Kubelet 标志**: `--system-reserved-cgroup=`
+
+<!--
 `system-reserved` is meant to capture resource reservation for OS system daemons
 like `sshd`, `udev`, etc. `system-reserved` should reserve `memory` for the
 `kernel` too since `kernel` memory is not accounted to pods in Kubernetes at this time.
@@ -197,11 +209,6 @@ In addition to `cpu`, `memory`, and `ephemeral-storage`, `pid` may be
 specified to reserve the specified number of process IDs for OS system
 daemons.
 -->
-### 系统预留值  {#system-reserved}
-
-- **Kubelet 标志**: `--system-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]`
-- **Kubelet 标志**: `--system-reserved-cgroup=`
-
 `system-reserved` 用于为诸如 `sshd`、`udev` 等系统守护进程记述其资源预留值。
 `system-reserved` 也应该为 `kernel` 预留 `内存`，因为目前 `kernel`
 使用的内存并不记在 Kubernetes 的 Pod 上。
@@ -217,9 +224,6 @@ kubelet flag.
 
 It is recommended that the OS system daemons are placed under a top level
 control group (`system.slice` on systemd machines for example).
-
-Note that `kubelet` **does not** create `--system-reserved-cgroup` if it doesn't
-exist. `kubelet` will fail if an invalid cgroup is specified.
 -->
 要想为系统守护进程上可选地实施 `system-reserved` 约束，请指定 kubelet 的
 `--system-reserved-cgroup` 标志值为 OS 系统守护进程的父级控制组。
@@ -227,8 +231,17 @@ exist. `kubelet` will fail if an invalid cgroup is specified.
 推荐将 OS 系统守护进程放在一个顶级控制组之下（例如 systemd 机器上的
 `system.slice`）。
 
+<!--
+Note that `kubelet` **does not** create `--system-reserved-cgroup` if it doesn't
+exist. `kubelet` will fail if an invalid cgroup is specified.  With `systemd`
+cgroup driver, you should follow a specific pattern for the name of the cgroup you
+define: the name should be the value you set for `--system-reserved-cgroup`,
+with `.slice` appended.
+-->
 请注意，如果 `--system-reserved-cgroup` 不存在，`kubelet` **不会** 创建它。
-如果指定了无效的 cgroup，`kubelet` 将会失败。
+如果指定了无效的 cgroup，`kubelet` 将会失败。就 `systemd` cgroup 驱动而言，
+你在指定 cgroup 名字时要遵循特定的模式：
+该名字应该是你为 `--system-reserved-cgroup` 参数所设置的值加上 `.slice` 后缀。
 
 <!--
 ### Explicitly Reserved CPU List
@@ -313,19 +326,6 @@ available for pods.
 **Kubelet Flag**: `--enforce-node-allocatable=pods[,][system-reserved][,][kube-reserved]`
 
 The scheduler treats 'Allocatable' as the available `capacity` for pods.
-
-`kubelet` enforce 'Allocatable' across pods by default. Enforcement is performed
-by evicting pods whenever the overall usage across all pods exceeds
-'Allocatable'. More details on eviction policy can be found
-on the [node pressure eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
-page. This enforcement is controlled by
-specifying `pods` value to the kubelet flag `--enforce-node-allocatable`.
-
-Optionally, `kubelet` can be made to enforce `kube-reserved` and
-`system-reserved` by specifying `kube-reserved` & `system-reserved` values in
-the same flag. Note that to enforce `kube-reserved` or `system-reserved`,
-`--kube-reserved-cgroup` or `--system-reserved-cgroup` needs to be specified
-respectively.
 -->
 ### 实施节点可分配约束   {#enforcing-node-allocatable}
 
@@ -333,12 +333,27 @@ respectively.
 
 调度器将 'Allocatable' 视为 Pod 可用的 `capacity`（资源容量）。
 
+<!--
+`kubelet` enforce 'Allocatable' across pods by default. Enforcement is performed
+by evicting pods whenever the overall usage across all pods exceeds
+'Allocatable'. More details on eviction policy can be found
+on the [node pressure eviction](/docs/concepts/scheduling-eviction/node-pressure-eviction/)
+page. This enforcement is controlled by
+specifying `pods` value to the kubelet flag `--enforce-node-allocatable`.
+-->
 `kubelet` 默认对 Pod 执行 'Allocatable' 约束。
 无论何时，如果所有 Pod 的总用量超过了 'Allocatable'，驱逐 Pod 的措施将被执行。
 有关驱逐策略的更多细节可以在
 [节点压力驱逐](/zh-cn/docs/concepts/scheduling-eviction/pod-priority-preemption/)页找到。
 可通过设置 kubelet `--enforce-node-allocatable` 标志值为 `pods` 控制这个措施。
 
+<!--
+Optionally, `kubelet` can be made to enforce `kube-reserved` and
+`system-reserved` by specifying `kube-reserved` & `system-reserved` values in
+the same flag. Note that to enforce `kube-reserved` or `system-reserved`,
+`--kube-reserved-cgroup` or `--system-reserved-cgroup` needs to be specified
+respectively.
+-->
 可选地，通过在同一标志中同时指定 `kube-reserved` 和 `system-reserved` 值，
 可以使 `kubelet` 强制实施 `kube-reserved` 和 `system-reserved` 约束。
 请注意，要想执行 `kube-reserved` 或者 `system-reserved` 约束，
@@ -373,11 +388,6 @@ to fork on the node. The
 recommendation is to enforce `system-reserved` only if a user has profiled their
 nodes exhaustively to come up with precise estimates and is confident in their
 ability to recover if any process in that group is oom-killed.
-
-* To begin with enforce 'Allocatable' on `pods`.
-* Once adequate monitoring and alerting is in place to track kube system
-  daemons, attempt to enforce `kube-reserved` based on usage heuristics.
-* If absolutely necessary, enforce `system-reserved` over time.
 -->
 在执行 `system-reserved` 预留策略时请加倍小心，因为它可能导致节点上的
 关键系统服务出现 CPU 资源短缺、因为内存不足而被终止或者无法在节点上创建进程。
@@ -385,6 +395,12 @@ ability to recover if any process in that group is oom-killed.
 并且对该组中进程因内存不足而被杀死时，有足够的信心将其恢复时，
 才可以强制执行 `system-reserved` 策略。
 
+<!--
+* To begin with enforce 'Allocatable' on `pods`.
+* Once adequate monitoring and alerting is in place to track kube system
+  daemons, attempt to enforce `kube-reserved` based on usage heuristics.
+* If absolutely necessary, enforce `system-reserved` over time.
+-->
 * 作为起步，可以先针对 `pods` 上执行 'Allocatable' 约束。
 * 一旦用于追踪系统守护进程的监控和告警的机制到位，可尝试基于用量估计的
   方式执行 `kube-reserved` 策略。
@@ -430,10 +446,6 @@ not exceed 28.5Gi and storage doesn't exceed 88Gi.
 Kubelet evicts pods whenever the overall memory usage across pods exceeds 28.5Gi,
 or if overall disk usage exceeds 88Gi If all processes on the node consume as
 much CPU as they can, pods together cannot consume more than 14.5 CPUs.
-
-If `kube-reserved` and/or `system-reserved` is not enforced and system daemons
-exceed their reservation, `kubelet` evicts pods whenever the overall node memory
-usage is higher than 31.5Gi or `storage` is greater than 90Gi.
 -->
 在这个场景下，'Allocatable' 将会是 14.5 CPUs、28.5Gi 内存以及 `88Gi` 本地存储。
 调度器保证这个节点上的所有 Pod 的内存 `requests` 总量不超过 28.5Gi，
@@ -443,6 +455,11 @@ kubelet 将会驱逐它们。
 如果节点上的所有进程都尽可能多地使用 CPU，则 Pod 加起来不能使用超过
 14.5 CPUs 的资源。
 
+<!--
+If `kube-reserved` and/or `system-reserved` is not enforced and system daemons
+exceed their reservation, `kubelet` evicts pods whenever the overall node memory
+usage is higher than 31.5Gi or `storage` is greater than 90Gi.
+-->
 当没有执行 `kube-reserved` 和/或 `system-reserved` 策略且系统守护进程
 使用量超过其预留时，如果节点内存用量高于 31.5Gi 或 `storage` 大于 90Gi，
 kubelet 将会驱逐 Pod。
diff --git a/content/zh-cn/docs/tasks/administer-cluster/verify-signed-images.md b/content/zh-cn/docs/tasks/administer-cluster/verify-signed-images.md
index 4fd9736b55f..507011981c9 100644
--- a/content/zh-cn/docs/tasks/administer-cluster/verify-signed-images.md
+++ b/content/zh-cn/docs/tasks/administer-cluster/verify-signed-images.md
@@ -115,6 +115,6 @@ resources:
 [cosigned](https://docs.sigstore.dev/cosign/kubernetes/#cosigned-admission-controller)
 控制器验证其签名。如要使用 `cosigned`，下面是一些有帮助的资源：
 
-* [安装](https://github.com/sigstore/helm-charts/tree/main/charts/cosigned)
-* [配置选项](https://github.com/sigstore/cosign/tree/main/config)
+* [安装](https://github.com/sigstore/cosign#installation)
+* [配置选项](https://github.com/sigstore/cosign/blob/main/USAGE.md#detailed-usage)
 
diff --git a/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-config-file.md b/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-config-file.md
index 7b796ebf90d..8fbd7bae829 100644
--- a/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-config-file.md
+++ b/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-config-file.md
@@ -19,10 +19,12 @@ description: Creating Secret objects using resource configuration file.
 
 <!-- steps -->
 
-<!-- ## Create the Config file -->
+<!--
+##Create the Config file
+-->
 ## 创建配置文件    {#create-the-config-file}
 
-<!-- 
+<!--
 You can create a Secret in a file first, in JSON or YAML format, and then
 create that object.  The
 [Secret](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#secret-v1-core)
@@ -40,7 +42,7 @@ The keys of `data` and `stringData` must consist of alphanumeric characters,
 提供 `stringData` 字段是为了方便，它允许 Secret 使用未编码的字符串。
 `data` 和 `stringData` 的键必须由字母、数字、`-`，`_` 或 `.` 组成。
 
-<!--  
+<!--
 For example, to store two strings in a Secret using the `data` field, convert
 the strings to base64 as follows:
 -->
@@ -50,7 +52,9 @@ the strings to base64 as follows:
 echo -n 'admin' | base64
 ```
 
-<!-- The output is similar to: -->
+<!--
+The output is similar to:
+-->
 输出类似于：
 
 ```
@@ -61,14 +65,18 @@ YWRtaW4=
 echo -n '1f2d1e2e67df' | base64
 ```
 
-<!-- The output is similar to: -->
+<!--
+The output is similar to:
+-->
 输出类似于：
 
 ```
 MWYyZDFlMmU2N2Rm
 ```
 
-<!-- Write a Secret config file that looks like this: -->
+<!--
+Write a Secret config file that looks like  this:
+-->
 编写一个 Secret 配置文件，如下所示：
 
 ```yaml
@@ -86,7 +94,7 @@ data:
 Note that the name of a Secret object must be a valid
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names). 
 -->
-注意，Secret 对象的名称必须是有效的 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names). 
+注意，Secret 对象的名称必须是有效的 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names)。
 
 {{< note >}}
 <!--  
@@ -100,7 +108,7 @@ option is not available.
 Secret 数据的 JSON 和 YAML 序列化结果是以 base64 编码的。
 换行符在这些字符串中无效，必须省略。
 在 Darwin/macOS 上使用 `base64` 工具时，用户不应该使用 `-b` 选项分割长行。
-相反地，Linux 用户 *应该* 在 `base64` 地命令中添加 `-w 0` 选项，
+相反地，Linux 用户**应该**在 `base64` 地命令中添加 `-w 0` 选项，
 或者在 `-w` 选项不可用的情况下，输入 `base64 | tr -d '\n'`。
 {{< /note >}}
 
@@ -110,7 +118,7 @@ field allows you to put a non-base64 encoded string directly into the Secret,
 and the string will be encoded for you when the Secret is created or updated.
 -->
 对于某些场景，你可能希望使用 `stringData` 字段。
-这字段可以将一个非 base64 编码的字符串直接放入 Secret 中，
+这个字段可以将一个非 base64 编码的字符串直接放入 Secret 中，
 当创建或更新该 Secret 时，此字段将被编码。
 
 <!--  
@@ -121,7 +129,9 @@ parts of that configuration file during your deployment process.
 上述用例的实际场景可能是这样：当你部署应用时，使用 Secret 存储配置文件，
 你希望在部署过程中，填入部分内容到该配置文件。
 
-<!-- For example, if your application uses the following configuration file: -->
+<!--
+or example, if your application uses the following configuration file:
+-->
 例如，如果你的应用程序使用以下配置文件:
 
 ```yaml
@@ -130,7 +140,9 @@ username: "<user>"
 password: "<password>"
 ```
 
-<!-- You could store this in a Secret using the following definition: -->
+<!--
+You could store this in a Secret using the following definition:
+-->
 你可以使用以下定义将其存储在 Secret 中:
 
 ```yaml
@@ -146,24 +158,32 @@ stringData:
     password: <password>
 ```
 
-<!-- ## Create the Secret object -->
+<!--
+## Create the Secret object
+-->
 ## 创建 Secret 对象    {#create-the-secret-object}
 
-<!-- Now create the Secret using [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply): -->
+<!--
+Now create the Secret using [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply):
+-->
 现在使用 [`kubectl apply`](/docs/reference/generated/kubectl/kubectl-commands#apply) 创建 Secret：
 
 ```shell
 kubectl apply -f ./secret.yaml
 ```
 
-<!-- The output is similar to: -->
+<!--
+The output is similar to:
+-->
 输出类似于：
 
 ```
 secret/mysecret created
 ```
 
-<!-- ## Check the Secret -->
+<!--
+## Check the Secret
+-->
 ## 检查 Secret   {#check-the-secret}
 
 <!--  
@@ -178,7 +198,9 @@ retrieving Secrets. For example, if you run the following command:
 kubectl get secret mysecret -o yaml
 ```
 
-<!-- The output is similar to: -->
+<!--
+The output is similar to:
+-->
 输出类似于：
 
 ```yaml
@@ -204,7 +226,7 @@ To check the actual content of the encoded data, please refer to
 -->
 命令 `kubectl get` 和 `kubectl describe` 默认不显示 `Secret` 的内容。
 这是为了防止 `Secret` 意外地暴露给旁观者或者保存在终端日志中。
-检查编码数据的实际内容，请参考[解码 secret](/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kubectl/#decoding-secret).
+检查编码数据的实际内容，请参考[解码 secret](/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kubectl/#decoding-secret)。
 
 <!-- 
 If a field, such as `username`, is specified in both `data` and `stringData`,
@@ -225,7 +247,9 @@ stringData:
   username: administrator
 ```
 
-<!-- Results in the following Secret: -->
+<!--
+Results in the following Secret:
+-->
 结果有以下 Secret：
 
 ```yaml
@@ -242,13 +266,19 @@ metadata:
 type: Opaque
 ```
 
-<!-- Where `YWRtaW5pc3RyYXRvcg==` decodes to `administrator`. -->
+<!--
+Where `YWRtaW5pc3RyYXRvcg==` decodes to `administrator`.
+-->
 其中 `YWRtaW5pc3RyYXRvcg==` 解码成 `administrator`。
 
-<!-- ## Clean Up -->
+<!--
+## Clean Up
+-->
 ## 清理    {#clean-up}
 
-<!-- To delete the Secret you have created: -->
+<!--
+To delete the Secret you have created:
+-->
 删除你创建的 Secret：
 
 ```shell
diff --git a/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kustomize.md b/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kustomize.md
index a6e6341e79b..ed6de4a9db2 100644
--- a/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kustomize.md
+++ b/content/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kustomize.md
@@ -40,7 +40,7 @@ You can generate a Secret by defining a `secretGenerator` in a
 For example, the following kustomization file references the
 `./username.txt` and the `./password.txt` files:
 -->
-你可以在 `kustomization.yaml` 中定义 `secreteGenerator`，并在定义中引用其他现成的文件，生成 Secret。
+你可以在 `kustomization.yaml` 中定义 `secreteGenerator` 字段，并在定义中引用其它本地文件生成 Secret。
 例如：下面的 kustomization 文件 引用了 `./username.txt` 和 `./password.txt` 文件：
 
 ```yaml
@@ -57,7 +57,7 @@ file by providing some literals.
 For example, the following `kustomization.yaml` file contains two literals
 for `username` and `password` respectively:
 -->
-你也可以在 `kustomization.yaml` 文件中指定一些字面量定义 `secretGenerator`。
+你也可以在 `kustomization.yaml` 文件中指定一些字面量定义 `secretGenerator` 字段。
 例如：下面的 `kustomization.yaml` 文件中包含了 `username` 和 `password` 两个字面量：
 
 ```yaml
@@ -93,7 +93,7 @@ Note that in all cases, you don't need to base64 encode the values.
 ## 创建 Secret    {#create-the-secret}
 
 <!-- Apply the directory containing the `kustomization.yaml` to create the Secret. -->
-使用 `kubectl apply` 命令应用包含 `kustomization.yaml` 文件的目录创建 Secret。
+在包含 `kustomization.yaml` 文件的目录下使用 `kubectl apply` 命令创建 Secret。
 
 ```shell
 kubectl apply -k .
@@ -166,7 +166,6 @@ To check the actual content of the encoded data, please refer to
 `kubectl get` 和 `kubectl describe` 命令默认不显示 `Secret` 的内容。
 这是为了防止 `Secret` 被意外暴露给旁观者或存储在终端日志中。
 检查编码后的实际内容，请参考[解码 secret](/zh-cn/docs/tasks/configmap-secret/managing-secret-using-kubectl/#decoding-secret)。 
--->
 
 
 <!-- ## Clean Up -->
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/assign-cpu-resource.md b/content/zh-cn/docs/tasks/configure-pod-container/assign-cpu-resource.md
index e574f993c28..e06146a158c 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/assign-cpu-resource.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/assign-cpu-resource.md
@@ -18,7 +18,7 @@ a container. Containers cannot use more CPU than the configured limit.
 Provided the system has CPU time free, a container is guaranteed to be
 allocated as much CPU as it requests.
 -->
-本页面展示如何为容器设置 CPU *request（请求）* 和 CPU *limit（限制）*。
+本页面展示如何为容器设置 CPU **request（请求）** 和 CPU **limit（限制）**。
 容器使用的 CPU 不能超过所配置的限制。
 如果系统有空闲的 CPU 时间，则可以保证给容器分配其所请求数量的 CPU 资源。
 
@@ -43,7 +43,7 @@ following command to enable metrics-server:
 [metrics-server](https://github.com/kubernetes-sigs/metrics-server)
 服务。如果你的集群中已经有正在运行的 metrics-server 服务，可以跳过这些步骤。
 
-如果你正在运行{{< glossary_tooltip term_id="minikube" >}}，请运行以下命令启用 metrics-server：
+如果你正在运行 {{< glossary_tooltip term_id="minikube" >}}，请运行以下命令启用 metrics-server：
 
 ```shell
 minikube addons enable metrics-server
@@ -53,7 +53,7 @@ minikube addons enable metrics-server
 To see whether metrics-server (or another provider of the resource metrics
 API, `metrics.k8s.io`) is running, type the following command:
 -->
-查看 metrics-server（或者其他资源度量 API `metrics.k8s.io` 服务提供者）是否正在运行，
+查看 metrics-server（或者其他资源指标 API `metrics.k8s.io` 服务提供者）是否正在运行，
 请键入以下命令：
 
 ```shell
@@ -79,7 +79,7 @@ v1beta1.metrics.k8s.io
 Create a {{< glossary_tooltip term_id="namespace" >}} so that the resources you
 create in this exercise are isolated from the rest of your cluster.
 -->
-## 创建一个名字空间
+## 创建一个名字空间 {#create-a-namespace}
 
 创建一个{{< glossary_tooltip text="名字空间" term_id="namespace" >}}，以便将
 本练习中创建的资源与集群的其余部分资源隔离。
@@ -104,7 +104,7 @@ The `-cpus "2"` argument tells the Container to attempt to use 2 CPUs.
 
 Create the Pod:
 -->
-## 指定 CPU 请求和 CPU 限制
+## 指定 CPU 请求和 CPU 限制 {#specify-a-CPU-request-and-a-CPU-limit}
 
 要为容器指定 CPU 请求，请在容器资源清单中包含 `resources: requests` 字段。
 要指定 CPU 限制，请包含 `resources:limits`。
@@ -145,7 +145,7 @@ kubectl get pod cpu-demo --output=yaml --namespace=cpu-example
 The output shows that the one container in the Pod has a CPU request of 500 milliCPU
 and a CPU limit of 1 CPU.
 -->
-输出显示 Pod 中的一个容器的 CPU 请求为 500 milli CPU，并且 CPU 限制为 1 个 CPU。
+输出显示 Pod 中的一个容器的 CPU 请求为 500 milliCPU，并且 CPU 限制为 1 个 CPU。
 
 ```yaml
 resources:
@@ -158,7 +158,7 @@ resources:
 <!-- 
 Use `kubectl top` to fetch the metrics for the pod:
 -->
-使用 `kubectl top` 命令来获取该 Pod 的度量值数据：
+使用 `kubectl top` 命令来获取该 Pod 的指标：
 
 ```shell
 kubectl top pod cpu-demo --namespace=cpu-example
@@ -207,7 +207,7 @@ The CPU resource is measured in *CPU* units. One CPU, in Kubernetes, is equivale
 -->
 ## CPU 单位  {#cpu-units}
 
-CPU 资源以 *CPU* 单位度量。Kubernetes 中的一个 CPU 等同于：
+CPU 资源以 **CPU** 单位度量。Kubernetes 中的一个 CPU 等同于：
 
 * 1 个 AWS vCPU 
 * 1 个 GCP核心
@@ -256,7 +256,7 @@ capacity of any Node in your cluster.
 
 Create the Pod:
 -->
-## 设置超过节点能力的 CPU 请求
+## 设置超过节点能力的 CPU 请求 {#specify-a-CPU-request-that-is-too-big-for-your-nodes}
 
 CPU 请求和限制与都与容器相关，但是我们可以考虑一下 Pod 具有对应的 CPU 请求和限制这样的场景。
 Pod 对 CPU 用量的请求等于 Pod 中所有容器的请求数量之和。
@@ -341,7 +341,7 @@ Container is automatically assigned the default limit. Cluster administrators ca
 [LimitRange](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#limitrange-v1-core/)
 to specify a default value for the CPU limit.
 -->
-## 如果不指定 CPU 限制
+## 如果不指定 CPU 限制 {#if-you-do-not-specify-a-cpu-limit}
 
 如果你没有为容器指定 CPU 限制，则会发生以下情况之一：
 
@@ -360,7 +360,7 @@ assigns a CPU request that matches the limit. Similarly, if a Container specifie
 but does not specify a memory request, Kubernetes automatically assigns a memory request that matches
 the limit.
 -->
-## 如果你设置了 CPU 限制但未设置 CPU 请求
+## 如果你设置了 CPU 限制但未设置 CPU 请求 {#if-you-specify-a-CPU-limit-but-do-not-specify-a-CPU-request}
 
 如果你为容器指定了 CPU 限制值但未为其设置 CPU 请求，Kubernetes 会自动为其
 设置与 CPU 限制相同的 CPU 请求值。类似的，如果容器设置了内存限制值但未设置
@@ -377,13 +377,14 @@ scheduled. By having a CPU limit that is greater than the CPU request, you accom
 * The Pod can have bursts of activity where it makes use of CPU resources that happen to be available.
 * The amount of CPU resources a Pod can use during a burst is limited to some reasonable amount.
 -->
-## CPU 请求和限制的初衷
+## CPU 请求和限制的初衷 {#motivation-for-CPU-requests-and-limits}
 
 通过配置你的集群中运行的容器的 CPU 请求和限制，你可以有效利用集群上可用的 CPU 资源。
 通过将 Pod CPU 请求保持在较低水平，可以使 Pod 更有机会被调度。
 通过使 CPU 限制大于 CPU 请求，你可以完成两件事：
 
 * Pod 可能会有突发性的活动，它可以利用碰巧可用的 CPU 资源。
+
 * Pod 在突发负载期间可以使用的 CPU 资源数量仍被限制为合理的数量。	
 
 <!-- 
@@ -391,9 +392,9 @@ scheduled. By having a CPU limit that is greater than the CPU request, you accom
 
 Delete your namespace:
 -->
-## 清理
+## 清理 {#clean-up}
 
-删除名称空间：
+删除名字空间：
 
 ```shell
 kubectl delete namespace cpu-example
@@ -410,9 +411,10 @@ kubectl delete namespace cpu-example
 * [Configure Quality of Service for Pods](/docs/tasks/configure-pod-container/quality-service-pod/)
 
 -->
-### 针对应用开发者
+### 针对应用开发者 {#for-app-developers}
 
 * [将内存资源分配给容器和 Pod](/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource/)
+
 * [配置 Pod 服务质量](/zh-cn/docs/tasks/configure-pod-container/quality-service-pod/)
 
 <!-- 
@@ -427,13 +429,12 @@ kubectl delete namespace cpu-example
 * [Configure Quotas for API Objects](/docs/tasks/administer-cluster/quota-api-object/)
 
 -->
-### 针对集群管理员
+### 针对集群管理员 {for-cluster-administrators}
 
-* [配置名称空间的默认内存请求和限制](/zh-cn/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/)
+* [配置名字空间的默认内存请求和限制](/zh-cn/docs/tasks/administer-cluster/manage-resources/memory-default-namespace/)
 * [为名字空间配置默认 CPU 请求和限制](/zh-cn/docs/tasks/administer-cluster/manage-resources/cpu-default-namespace/)
 * [为名字空间配置最小和最大内存限制](/zh-cn/docs/tasks/administer-cluster//manage-resources/memory-constraint-namespace/)
 * [为名字空间配置最小和最大 CPU 约束](/zh-cn/docs/tasks/administer-cluster/manage-resources/cpu-constraint-namespace/)
 * [为名字空间配置内存和 CPU 配额](/zh-cn/docs/tasks/administer-cluster/manage-resources/quota-memory-cpu-namespace/)
 * [为名字空间配置 Pod 配额](/zh-cn/docs/tasks/administer-cluster/manage-resources/quota-pod-namespace/)
 * [配置 API 对象的配额](/zh-cn/docs/tasks/administer-cluster/quota-api-object/)
-
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource.md b/content/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource.md
index 6aa46f560ea..71ac184837d 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/assign-memory-resource.md
@@ -17,7 +17,7 @@ This page shows how to assign a memory *request* and a memory *limit* to a
 Container. A Container is guaranteed to have as much memory as it requests,
 but is not allowed to use more memory than its limit.
 -->
-此页面展示如何将内存 *请求* （request）和内存 *限制* （limit）分配给一个容器。
+此页面展示如何将内存**请求**（request）和内存**限制**（limit）分配给一个容器。
 我们保障容器拥有它请求数量的内存，但不允许使用超过限制数量的内存。
 
 ## {{% heading "prerequisites" %}}
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes.md b/content/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes.md
index a05e0a4dc21..388798317d9 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/assign-pods-nodes.md
@@ -14,30 +14,31 @@ weight: 120
 This page shows how to assign a Kubernetes Pod to a particular node in a
 Kubernetes cluster.
 -->
-此页面显示如何将 Kubernetes Pod 分配给 Kubernetes 集群中的特定节点。
-
+此页面显示如何将 Kubernetes Pod 指派给 Kubernetes 集群中的特定节点。
 
 ## {{% heading "prerequisites" %}}
 
 {{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
 
-
 <!-- steps -->
 
 <!--
 ## Add a label to a node
 
-1. List the nodes in your cluster:
+1. List the {{< glossary_tooltip term_id="node" text="nodes" >}} in your cluster, along with their labels:
 -->
 ## 给节点添加标签
 
-1. 列出集群中的节点
+1. 列出你的集群中的{{< glossary_tooltip term_id="node" text="节点" >}}，
+   包括这些节点上的标签：
 
    ```shell
    kubectl get nodes
    ```
 
-   <!-- The output is similar to this: -->
+   <!--
+   The output is similar to this:
+   -->
    输出类似如下：
 
    ```
@@ -48,9 +49,9 @@ Kubernetes cluster.
    ```
 
 <!--
-1. Chose one of your nodes, and add a label to it:
+1. Choose one of your nodes, and add a label to it:
 -->
-2. 选择其中一个节点，为它添加标签：
+2. 从你的节点中选择一个，为它添加标签：
 
    ```shell
    kubectl label nodes <your-node-name> disktype=ssd
@@ -64,7 +65,7 @@ Kubernetes cluster.
 <!--
 1. Verify that your chosen node has a `disktype=ssd` label:
 -->
-3. 验证你选择的节点是否有 `disktype=ssd` 标签：
+3. 验证你选择的节点确实带有 `disktype=ssd` 标签：
 
    ```shell
    kubectl get nodes --show-labels
@@ -94,10 +95,10 @@ This pod configuration file describes a pod that has a node selector,
 `disktype: ssd`. This means that the pod will get scheduled on a node that has
 a `disktype=ssd` label.
 -->
-## 创建一个调度到你选择的节点的 pod
+## 创建一个将被调度到你选择的节点的 Pod
 
-此 Pod 配置文件描述了一个拥有节点选择器 `disktype: ssd` 的 Pod。这表明该 Pod 将被调度到
-有 `disktype=ssd` 标签的节点。
+此 Pod 配置文件描述了一个拥有节点选择器 `disktype: ssd` 的 Pod。这表明该 Pod
+将被调度到有 `disktype=ssd` 标签的节点。
 
 {{< codenew file="pods/pod-nginx.yaml" >}}
 
@@ -105,7 +106,7 @@ a `disktype=ssd` label.
 1. Use the configuration file to create a pod that will get scheduled on your
    chosen node:
 -->
-1. 使用该配置文件去创建一个 pod，该 pod 将被调度到你选择的节点上：
+1. 使用该配置文件创建一个 Pod，该 Pod 将被调度到你选择的节点上：
 
    ```shell
    kubectl create -f https://k8s.io/examples/pods/pod-nginx.yaml
@@ -114,13 +115,15 @@ a `disktype=ssd` label.
 <!--
 1. Verify that the pod is running on your chosen node:
 -->
-2. 验证 pod 是不是运行在你选择的节点上：
+2. 验证 Pod 确实运行在你选择的节点上：
 
    ```shell
    kubectl get pods --output=wide
    ```
 
-   <!-- The output is similar to this: -->
+   <!--
+   The output is similar to this:
+   -->
    输出类似如下：
 
    ```
@@ -128,11 +131,28 @@ a `disktype=ssd` label.
    nginx    1/1       Running   0          13s    10.200.0.4   worker0
    ```
 
+<!--
+## Create a pod that gets scheduled to specific node
+
+You can also schedule a pod to one specific node via setting `nodeName`.
+-->
+## 创建一个会被调度到特定节点上的 Pod
+
+你也可以通过设置 `nodeName` 将某个 Pod 调度到特定的节点。
+
+{{< codenew file="pods/pod-nginx-specific-node.yaml" >}}
+
+<!--
+Use the configuration file to create a pod that will get scheduled on `foo-node` only.
+-->
+使用此配置文件来创建一个 Pod，该 Pod 将只能被调度到 `foo-node` 节点。
+
 ## {{% heading "whatsnext" %}}
 
 <!--
-Learn more about
-[labels and selectors](/docs/concepts/overview/working-with-objects/labels/).
+* Learn more about [labels and selectors](/docs/concepts/overview/working-with-objects/labels/).
+* Learn more about [nodes](/docs/concepts/architecture/nodes/).
 -->
-进一步了解[标签和选择器](/zh-cn/docs/concepts/overview/working-with-objects/labels/)
+* 进一步了解[标签和选择算符](/zh-cn/docs/concepts/overview/working-with-objects/labels/)
+* 进一步了解[节点](/zh-cn/docs/concepts/architecture/nodes/)
 
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes.md b/content/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes.md
index bf86ee2d1f0..8ca6b9cd657 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/configure-liveness-readiness-startup-probes.md
@@ -570,7 +570,7 @@ for it, and that containers are restarted when they fail.
 HTTP 和 TCP 的就绪探测器配置也和存活探测器的配置完全相同。
 
 就绪和存活探测可以在同一个容器上并行使用。
-两者都可以确保流量不会发给还未就绪的容器，当这些探测失败时容器会被重新启动。
+两者共同使用，可以确保流量不会发给还未就绪的容器，当这些探测失败时容器会被重新启动。
 
 <!--
 ## Configure Probes
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md b/content/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
index 3bd9777355f..5f58596b59f 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/configure-persistent-volume-storage.md
@@ -13,7 +13,7 @@ weight: 60
 <!-- overview -->
 
 <!--
-This page shows how to configure a Pod to use a
+This page shows you how to configure a Pod to use a
 {{< glossary_tooltip text="PersistentVolumeClaim" term_id="persistent-volume-claim" >}}
 for storage.
 Here is a summary of the process:
@@ -27,7 +27,7 @@ PersistentVolume.
 
 1. You create a Pod that uses the above PersistentVolumeClaim for storage.
 -->
-本文介绍如何配置 Pod 使用 
+本文将向你介绍如何配置 Pod 使用 
 {{< glossary_tooltip text="PersistentVolumeClaim" term_id="persistent-volume-claim" >}}
 作为存储。
 以下是该过程的总结：
@@ -42,7 +42,8 @@ PersistentVolume.
 ## {{% heading "prerequisites" %}}
 
 <!--
-* You need to have a Kubernetes cluster that has only one Node, and the kubectl
+* You need to have a Kubernetes cluster that has only one Node, and the
+{{< glossary_tooltip text="kubectl" term_id="kubectl" >}}
 command-line tool must be configured to communicate with your cluster. If you
 do not already have a single-node cluster, you can create one by using
 [Minikube](https://minikube.sigs.k8s.io/docs/).
@@ -51,7 +52,8 @@ do not already have a single-node cluster, you can create one by using
 [Persistent Volumes](/docs/concepts/storage/persistent-volumes/).
 -->
 
-* 你需要一个包含单个节点的 Kubernetes 集群，并且必须配置 kubectl 命令行工具以便与集群交互。
+* 你需要一个包含单个节点的 Kubernetes 集群，并且必须配置
+  {{< glossary_tooltip text="kubectl" term_id="kubectl" >}} 命令行工具以便与集群交互。
   如果还没有单节点集群，可以使用
   [Minikube](https://minikube.sigs.k8s.io/docs/) 创建一个。
 .
@@ -62,19 +64,19 @@ do not already have a single-node cluster, you can create one by using
 <!--
 ## Create an index.html file on your Node
 
-Open a shell to the Node in your cluster. How you open a shell depends on how
-you set up your cluster. For example, if you are using Minikube, you can open a
-shell to your Node by entering `minikube ssh`.
+Open a shell to the single Node in your cluster. How you open a shell depends
+on how you set up your cluster. For example, if you are using Minikube, you
+can open a shell to your Node by entering `minikube ssh`.
 
-In your shell, create a `/mnt/data` directory:
+In your shell on that Node, create a `/mnt/data` directory:
 -->
 ## 在你的节点上创建一个 index.html 文件
 
-打开集群中节点的一个 Shell。
+打开集群中的某个节点的 Shell。
 如何打开 Shell 取决于集群的设置。
 例如，如果你正在使用 Minikube，那么可以通过输入 `minikube ssh` 来打开节点的 Shell。
 
-在 Shell 中，创建一个 `/mnt/data` 目录：
+在该节点的 Shell 中，创建一个 `/mnt/data` 目录：
 
 <!--
 # This assumes that your Node uses "sudo" to run commands
@@ -94,7 +96,7 @@ In the `/mnt/data` directory, create an `index.html` file:
 # This again assumes that your Node uses "sudo" to run commands
 # as the superuser
 -->
-```
+```shell
 # 这里再次假定你的节点使用 "sudo" 来以超级用户角色执行命令
 sudo sh -c "echo 'Hello from Kubernetes storage' > /mnt/data/index.html"
 ```
@@ -139,7 +141,7 @@ PersistentVolume uses a file or directory on the Node to emulate network-attache
 -->
 ## 创建 PersistentVolume
 
-在本练习中，你将创建一个 *hostPath* 类型的 PersistentVolume。
+在本练习中，你将创建一个 **hostPath** 类型的 PersistentVolume。
 Kubernetes 支持用于在单节点集群上开发和测试的 hostPath 类型的 PersistentVolume。
 hostPath 类型的 PersistentVolume 使用节点上的文件或目录来模拟网络附加存储。
 
@@ -149,18 +151,36 @@ would provision a network resource like a Google Compute Engine persistent disk,
 an NFS share, or an Amazon Elastic Block Store volume. Cluster administrators can also
 use [StorageClasses](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#storageclass-v1-storage)
 to set up
-[dynamic provisioning](https://kubernetes.io/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes).
+[dynamic provisioning](/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes).
 
 Here is the configuration file for the hostPath PersistentVolume:
 -->
 在生产集群中，你不会使用 hostPath。
 集群管理员会提供网络存储资源，比如 Google Compute Engine 持久盘卷、NFS 共享卷或 Amazon Elastic Block Store 卷。
-集群管理员还可以使用 [StorageClasses](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#storageclass-v1-storage) 来设置[动态提供存储](https://kubernetes.io/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes)。
+集群管理员还可以使用
+[StorageClasses](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#storageclass-v1-storage)
+来设置[动态提供存储](/blog/2016/10/dynamic-provisioning-and-storage-in-kubernetes)。
 
 下面是 hostPath PersistentVolume 的配置文件：
 
 {{< codenew file="pods/storage/pv-volume.yaml" >}}
 
+<!--
+The configuration file specifies that the volume is at `/mnt/data` on the
+cluster's Node. The configuration also specifies a size of 10 gibibytes and
+an access mode of `ReadWriteOnce`, which means the volume can be mounted as
+read-write by a single Node. It defines the [StorageClass name](/docs/concepts/storage/persistent-volumes/#class)
+`manual` for the PersistentVolume, which will be used to bind
+PersistentVolumeClaim requests to this PersistentVolume.
+-->
+配置文件指定卷位于集群节点上的 `/mnt/data` 路径。
+配置还指定了卷的容量大小为 10 GB，
+访问模式为 `ReadWriteOnce`，
+这意味着该卷可以被单个节点以读写方式安装。
+配置文件还在 PersistentVolume 中定义了
+[StorageClass 的名称](/zh-cn/docs/concepts/storage/persistent-volumes/#class)
+为 `manual`。它将用于将 PersistentVolumeClaim 的请求绑定到此 PersistentVolume。
+
 <!--
 Create the PersistentVolume:
 -->
@@ -216,7 +236,7 @@ Create the PersistentVolumeClaim:
 创建 PersistentVolumeClaim：
 
 ```shell
-kubectl create -f https://k8s.io/examples/pods/storage/pv-claim.yaml
+kubectl apply -f https://k8s.io/examples/pods/storage/pv-claim.yaml
 ```
 
 <!--
@@ -252,7 +272,7 @@ Look at the PersistentVolumeClaim:
 -->
 查看 PersistentVolumeClaim：
 
-```
+```shell
 kubectl get pvc task-pv-claim
 ```
 
@@ -299,7 +319,7 @@ kubectl apply -f https://k8s.io/examples/pods/storage/pv-pod.yaml
 ```
 
 <!--
-Verify that the Container in the Pod is running;
+Verify that the container in the Pod is running;
 -->
 检查 Pod 中的容器是否运行正常：
 
@@ -308,7 +328,7 @@ kubectl get pod task-pv-pod
 ```
 
 <!--
-Get a shell to the Container running in your Pod:
+Get a shell to the container running in your Pod:
 -->
 打开一个 Shell 访问 Pod 中的容器：
 
@@ -326,11 +346,11 @@ hostPath volume:
 # Be sure to run these 3 commands inside the root shell that comes from
 # running "kubectl exec" in the previous step
 -->
-```
+```shell
 # 一定要在上一步 "kubectl exec" 所返回的 Shell 中执行下面三个命令
-root@task-pv-pod:/# apt-get update
-root@task-pv-pod:/# apt-get install curl
-root@task-pv-pod:/# curl localhost
+apt update
+apt install curl
+curl http://localhost/
 ```
 
 <!--
@@ -374,7 +394,10 @@ In the shell on your Node, remove the file and directory that you created:
 如果你还没有连接到集群中节点的 Shell，可以按之前所做操作，打开一个新的 Shell。
 
 在节点的 Shell 上，删除你所创建的目录和文件：
-
+<!--
+# This assumes that your Node uses "sudo" to run commands
+# as the superuser
+-->
 
 ```shell
 # 这里假定你使用 "sudo" 来以超级用户的角色执行命令
@@ -390,7 +413,6 @@ You can now close the shell to your Node.
 <!--
 ## Mounting the same persistentVolume in two places
 -->
-
 ## 在两个地方挂载相同的 persistentVolume
 
 {{< codenew file="pods/storage/pv-duplicate.yaml" >}}
@@ -427,8 +449,8 @@ GID 不匹配或缺失将会导致无权访问错误。
 这样 GID 就能自动添加到使用 PersistentVolume 的任何 Pod 中。
 
 使用 `pv.beta.kubernetes.io/gid` 注解的方法如下所示：
-
 ```yaml
+apiVersion: v1
 kind: PersistentVolume
 apiVersion: v1
 metadata:
@@ -439,10 +461,10 @@ metadata:
 
 <!--
 When a Pod consumes a PersistentVolume that has a GID annotation, the annotated GID
-is applied to all Containers in the Pod in the same way that GIDs specified in the
+is applied to all containers in the Pod in the same way that GIDs specified in the
 Pod's security context are. Every GID, whether it originates from a PersistentVolume
 annotation or the Pod's specification, is applied to the first process run in
-each Container.
+each container.
 -->
 当 Pod 使用带有 GID 注解的 PersistentVolume 时，注解的 GID 会被应用于 Pod 中的所有容器，
 应用的方法与 Pod 的安全上下文中指定的 GID 相同。
@@ -462,10 +484,10 @@ PersistentVolume are not present on the Pod resource itself.
 
 <!--
 * Learn more about [PersistentVolumes](/docs/concepts/storage/persistent-volumes/).
-* Read the [Persistent Storage design document](https://git.k8s.io/community/contributors/design-proposals/storage/persistent-storage.md).
+* Read the [Persistent Storage design document](https://git.k8s.io/design-proposals-archive/storage/persistent-storage.md).
 -->
 * 进一步了解 [PersistentVolumes](/zh-cn/docs/concepts/storage/persistent-volumes/)
-* 阅读[持久存储设计文档](https://git.k8s.io/community/contributors/design-proposals/storage/persistent-storage.md)
+* 阅读[持久存储设计文档](https://git.k8s.io/design-proposals-archive/storage/persistent-storage.md)
 
 <!--
 ### Reference
@@ -476,5 +498,3 @@ PersistentVolume are not present on the Pod resource itself.
 * [PersistentVolumeSpec](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#persistentvolumespec-v1-core)
 * [PersistentVolumeClaim](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#persistentvolumeclaim-v1-core)
 * [PersistentVolumeClaimSpec](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#persistentvolumeclaimspec-v1-core)
-
-
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/configure-pod-configmap.md b/content/zh-cn/docs/tasks/configure-pod-container/configure-pod-configmap.md
index c79fa55c986..494f2440519 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/configure-pod-configmap.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/configure-pod-configmap.md
@@ -52,8 +52,7 @@ Use the `kubectl create configmap` command to create ConfigMaps from [directorie
 -->
 ### 使用 kubectl create configmap 创建 ConfigMap    {#create-a-configmap-using-kubectl-create-configmap}
 
-你可以使用 `kubectl create configmap`
-命令基于[目录](#create-configmaps-from-directories)、
+你可以使用 `kubectl create configmap` 命令基于[目录](#create-configmaps-from-directories)、
 [文件](#create-configmaps-from-files)或者[字面值](#create-configmaps-from-literal-values)来创建
 ConfigMap：
 
@@ -72,8 +71,7 @@ The name of a ConfigMap object must be a valid
 [DNS subdomain name](/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 -->
 其中，`<映射名称>` 是为 ConfigMap 指定的名称，`<数据源>` 是要从中提取数据的目录、
-文件或者字面值。
-ConfigMap 对象的名称必须是合法的
+文件或者字面值。ConfigMap 对象的名称必须是合法的
 [DNS 子域名](/zh-cn/docs/concepts/overview/working-with-objects/names#dns-subdomain-names).
 
 <!--
@@ -419,7 +417,8 @@ data:
 Starting with Kubernetes v1.23, `kubectl` supports the `--from-env-file` argument to be
 specified multiple times to create a ConfigMap from multiple data sources.
 -->
-从 Kubernetes 1.23 版本开始，`kubectl` 支持多次指定 `--from-env-file` 参数来从多个数据源创建 ConfigMap。
+从 Kubernetes 1.23 版本开始，`kubectl` 支持多次指定 `--from-env-file` 参数来从多个数据源创建
+ConfigMap。
 
 ```shell
 kubectl create configmap config-multi-env-files \
@@ -848,10 +847,10 @@ configmap/special-config-2-c92b5mmcf2 created
 -->
 ## 将 ConfigMap 中的所有键值对配置为容器环境变量    {#configure-all-key-value-pairs-in-a-configmap-as-container-environment-variables}
 
+{{< note >}}
 <!--
 This functionality is available in Kubernetes v1.6 and later.
 -->
-{{< note >}}
 Kubernetes v1.6 和更高版本支持此功能。
 {{< /note >}}
 
@@ -990,17 +989,18 @@ Pod 运行时，命令 `ls /etc/config/` 产生下面的输出：
 SPECIAL_LEVEL
 SPECIAL_TYPE
 ```
+
+{{< caution >}}
 <!--
 If there are some files in the `/etc/config/` directory, they will be deleted.
 -->
-{{< caution >}}
 如果在 `/etc/config/` 目录中有一些文件，这些文件将被删除。
 {{< /caution >}}
 
+{{< note >}}
 <!--
 Text data is exposed as files using the UTF-8 character encoding. To use some other character encoding, use binaryData.
 -->
-{{< note >}}
 文本数据会展现为 UTF-8 字符编码的文件。如果使用其他字符编码，
 可以使用 `binaryData`。
 {{< /note >}}
@@ -1037,10 +1037,10 @@ When the pod runs, the command `cat /etc/config/keys` produces the output below:
 very
 ```
 
+{{< caution >}}
 <!--
 Like before, all previous files in the `/etc/config/` directory will be deleted.
 -->
-{{< caution >}}
 如前，`/etc/config/` 目录中所有先前的文件都将被删除。
 {{< /caution >}}
 
@@ -1084,20 +1084,18 @@ existence after a pod has started.
 <!--
 Kubelet checks whether the mounted ConfigMap is fresh on every periodic sync. However, it uses its local TTL-based cache for getting the current value of the
 ConfigMap. As a result, the total delay from the moment when the ConfigMap is updated to the moment when new keys are projected to the pod can be as long as
-kubelet sync period (1 minute by default) + TTL of ConfigMaps cache (1 minute by default) in kubelet. You can trigger an immediate refresh by updating one of
-the pod's annotations.
+kubelet sync period (1 minute by default) + TTL of ConfigMaps cache (1 minute by default) in kubelet.
 -->
 `kubelet` 在每次周期性同步时都会检查已挂载的 ConfigMap 是否是最新的。
 但是，它使用其本地的基于 TTL 的缓存来获取 ConfigMap 的当前值。
 因此，从更新 ConfigMap 到将新键映射到 Pod 的总延迟可能与
 kubelet 同步周期（默认 1 分钟） + ConfigMap 在 kubelet 中缓存的 TTL
 （默认 1 分钟）一样长。
-你可以通过更新 Pod 的某个注解来触发立即更新。
 
+{{< note >}}
 <!--
 A container using a ConfigMap as a [subPath](/docs/concepts/storage/volumes/#using-subpath) volume will not receive ConfigMap updates.
 -->
-{{< note >}}
 使用 ConfigMap 作为 [subPath](/zh-cn/docs/concepts/storage/volumes/#using-subpath)
 的数据卷将不会收到 ConfigMap 更新。
 {{< /note >}}
@@ -1117,10 +1115,10 @@ ConfigMap 与 [Secret](/zh-cn/docs/concepts/configuration/secret/) 类似，
 但是提供的是一种处理不含敏感信息的字符串的方法。
 用户和系统组件都可以在 ConfigMap 中存储配置数据。
 
+{{< note >}}
 <!--
 ConfigMaps should reference properties files, not replace them. Think of the ConfigMap as representing something similar to the Linux `/etc` directory and its contents. For example, if you create a [Kubernetes Volume](/docs/concepts/storage/volumes/) from a ConfigMap, each data item in the ConfigMap is represented by an individual file in the volume.
 -->
-{{< note >}}
 ConfigMap 应该引用属性文件，而不是替换它们。可以将 ConfigMap 理解为类似于 Linux
 `/etc` 目录及其内容的东西。例如，如果你基于 ConfigMap 创建
 [Kubernetes 卷](/zh-cn/docs/concepts/storage/volumes/)，则 ConfigMap
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/configure-service-account.md b/content/zh-cn/docs/tasks/configure-pod-container/configure-service-account.md
index badb1f5de2f..8adda39fdb7 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/configure-service-account.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/configure-service-account.md
@@ -26,17 +26,15 @@ not apply.
 服务账户为 Pod 中运行的进程提供了一个标识。
 
 {{< note >}}
-本文是服务账户的用户使用介绍，描述服务账号在集群中如何起作用。
+本文是服务账户的用户使用介绍，描述服务账户在集群中如何起作用。
 你的集群管理员可能已经对你的集群做了定制，因此导致本文中所讲述的内容并不适用。
 {{< /note >}}
 
 <!--
 When you (a human) access the cluster (for example, using `kubectl`), you are
 authenticated by the apiserver as a particular User Account (currently this is
-usually `admin`, unless your cluster administrator has customized your
-cluster).  Processes in containers inside pods can also contact the apiserver.
-When they do, they are authenticated as a particular Service Account (for example,
-`default`).
+usually `admin`, unless your cluster administrator has customized your cluster). Processes in containers inside pods can also contact the apiserver.
+When they do, they are authenticated as a particular Service Account (for example, `default`).
 -->
 当你（自然人）访问集群时（例如，使用 `kubectl`），API 服务器将你的身份验证为
 特定的用户帐户（当前这通常是 `admin`，除非你的集群管理员已经定制了你的集群配置）。
@@ -50,36 +48,36 @@ Pod 内的容器中的进程也可以与 api 服务器接触。
 <!-- steps -->
 
 <!--
-## Use the Default Service Account to access the API server.
+## Use the Default Service Account to access the API server
 
 When you create a pod, if you do not specify a service account, it is
 automatically assigned the `default` service account in the same namespace.
-If you get the raw json or yaml for a pod you have created (for example, `kubectl get pods/podname -o yaml`),
+If you get the raw json or yaml for a pod you have created (for example, `kubectl get pods/<podname> -o yaml`),
 you can see the `spec.serviceAccountName` field has been
-[automatically set](/docs/user-guide/working-with-resources/#resources-are-automatically-modified).
+[automatically set](/docs/concepts/overview/working-with-objects/object-management/).
 -->
 ## 使用默认的服务账户访问 API 服务器
 
 当你创建 Pod 时，如果没有指定服务账户，Pod 会被指定给命名空间中的 `default` 服务账户。
-如果你查看 Pod 的原始 JSON 或 YAML（例如：`kubectl get pods/podname -o yaml`），
-你可以看到 `spec.serviceAccountName` 字段已经被自动设置了。
+如果你查看 Pod 的原始 JSON 或 YAML（例如：`kubectl get pods/<podname> -o yaml`），
+你可以看到 `spec.serviceAccountName` 字段已经被[自动设置](/zh-cn/docs/concepts/overview/working-with-objects/object-management/)了。
 
 <!--
-You can access the API from inside a pod using automatically mounted service account credentials,
-as described in [Accessing the Cluster](/docs/tasks/accessing-application-cluster/access-cluster/).
-The API permissions of the service account depend on the [authorization plugin and policy](/docs/reference/access-authn-authz/authorization/#authorization-modules) in use.
+You can access the API from inside a pod using automatically mounted service account credentials, as described in
+[Accessing the Cluster](/docs/tasks/access-application-cluster/access-cluster).
+The API permissions of the service account depend on the
+[authorization plugin and policy](/docs/reference/access-authn-authz/authorization/#authorization-modules) in use.
 
-In version 1.6+, you can opt out of automounting API credentials for a service account by setting
-`automountServiceAccountToken: false` on the service account:
+You can opt out of automounting API credentials on `/var/run/secrets/kubernetes.io/serviceaccount/token` for a service account by setting `automountServiceAccountToken: false` on the ServiceAccount:
 -->
 你可以使用自动挂载给 Pod 的服务账户凭据访问 API，
-[访问集群](/zh-cn/docs/tasks/access-application-cluster/access-cluster/)页面中有相关描述。
+[访问集群](/zh-cn/docs/tasks/access-application-cluster/access-cluster)页面中有相关描述。
 服务账户的 API 许可取决于你所使用的
 [鉴权插件和策略](/zh-cn/docs/reference/access-authn-authz/authorization/#authorization-modules)。
 
-在 1.6 以上版本中，你可以通过在服务账户上设置 `automountServiceAccountToken: false`
-来实现不给服务账号自动挂载 API 凭据：
-
+你可以通过在 ServiceAccount 上设置 `automountServiceAccountToken: false`
+来实现不给服务账户自动挂载 API 凭据到 `/var/run/secrets/kubernetes.io/serviceaccount/token`
+的目的：
 
 ```yaml
 apiVersion: v1
@@ -112,7 +110,7 @@ The pod spec takes precedence over the service account if both specify a `automo
 如果 Pod 和服务账户都指定了 `automountServiceAccountToken` 值，则 Pod 的 spec 优先于服务帐户。
 
 <!--
-## Use Multiple Service Accounts.
+## Use Multiple Service Accounts
 
 Every namespace has a default service account resource called `default`.
 You can list this and any other serviceAccount resources in the namespace with this command:
@@ -123,7 +121,7 @@ You can list this and any other serviceAccount resources in the namespace with t
 你可以用下面的命令查询这个服务账户以及命名空间中的其他 ServiceAccount 资源：
 
 ```shell
-kubectl get serviceAccounts
+kubectl get serviceaccounts
 ```
 
 <!--
@@ -142,7 +140,7 @@ You can create additional ServiceAccount objects like this:
 你可以像这样来创建额外的 ServiceAccount 对象：
 
 ```shell
-kubectl create -f - <<EOF
+kubectl apply -f - <<EOF
 apiVersion: v1
 kind: ServiceAccount
 metadata:
@@ -171,7 +169,7 @@ The output is similar to this:
 -->
 输出类似于：
 
-```none
+```yaml
 apiVersion: v1
 kind: ServiceAccount
 metadata:
@@ -194,8 +192,7 @@ field of a pod to the name of the service account you wish to use.
 -->
 那么你就能看到系统已经自动创建了一个令牌并且被服务账户所引用。
 
-你可以使用授权插件来
-[设置服务账户的访问许可](/zh-cn/docs/reference/access-authn-authz/rbac/#service-account-permissions)。
+你可以使用授权插件来[设置服务账户的访问许可](/zh-cn/docs/reference/access-authn-authz/rbac/#service-account-permissions)。
 
 要使用非默认的服务账户，将 Pod 的 `spec.serviceAccountName` 字段设置为你想用的服务账户名称。
 
@@ -217,17 +214,17 @@ kubectl delete serviceaccount/build-robot
 ```
 
 <!--
-## Manually create a service account API token.
+## Manually create a service account API token
 
 Suppose we have an existing service account named "build-robot" as mentioned above, and we create
 a new secret manually.
 -->
 ## 手动创建服务账户 API 令牌
 
-假设我们有一个上面提到的名为 "build-robot" 的服务账户，然后我们手动创建一个新的 Secret。
+假设我们有一个上面提到的名为 "build-robot" 的服务账户，现在我们手动创建一个新的 Secret。
 
 ```shell
-kubectl create -f - <<EOF
+kubectl apply -f - <<EOF
 apiVersion: v1
 kind: Secret
 metadata:
@@ -271,10 +268,10 @@ namespace:      7 bytes
 token:          ...
 ```
 
+{{< note >}}
 <!--
 The content of `token` is elided here.
 -->
-{{< note >}}
 这里省略了 `token` 的内容。
 {{< /note >}}
 
@@ -283,13 +280,13 @@ The content of `token` is elided here.
 
 ### Create an imagePullSecret
 
-- Create an imagePullSecret, as described in [Specifying ImagePullSecret on a Pod](/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod).
+- Create an imagePullSecret, as described in [Specifying ImagePullSecrets on a Pod](/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod).
 -->
 ## 为服务账户添加 ImagePullSecrets  {#add-imagepullsecrets-to-a-service-account}
 
 ### 创建 ImagePullSecret
 
-- 创建一个 ImagePullSecret，如同[为 Pod 设置 ImagePullSecret](/zh-cn/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod)所述。
+- 创建一个 ImagePullSecret，如[为 Pod 设置 ImagePullSecret](/zh-cn/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod) 所述。
 
   ```shell
   kubectl create secret docker-registry myregistrykey --docker-server=DUMMY_SERVER \
@@ -306,7 +303,9 @@ The content of `token` is elided here.
   kubectl get secrets myregistrykey
   ```
   
-  <!-- The output is similar to this: -->
+  <!--
+  The output is similar to this:
+  -->
   输出类似于：
 
   ```
@@ -319,9 +318,9 @@ The content of `token` is elided here.
 
 Next, modify the default service account for the namespace to use this secret as an imagePullSecret.
 -->
-### 将镜像拉取 Secret 添加到服务账号
+### 将镜像拉取 Secret 添加到服务账户
 
-接着修改命名空间的 `default` 服务帐户，以将该 Secret 用作 `imagePullSecret`。
+接着修改命名空间的 `default` 服务帐户，令其使用该 Secret 用作 `imagePullSecret`。
 
 ```shell
 kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
@@ -336,7 +335,11 @@ You can instead use `kubectl edit`, or manually edit the YAML manifests as shown
 kubectl get serviceaccounts default -o yaml > ./sa.yaml
 ```
 
-`sa.yaml` 文件的内容类似于：
+<!--
+The output of the `sa.yaml` file is similar to this:
+-->
+
+`sa.yaml` 文件的输出类似这样：
 
 ```yaml
 apiVersion: v1
@@ -378,7 +381,7 @@ imagePullSecrets:
 <!--
 Finally replace the serviceaccount with the new updated `sa.yaml` file
 -->
-最后，用新的更新的 `sa.yaml` 文件替换服务账号。
+最后，使用新更新的 `sa.yaml` 文件替换服务账户。
 
 ```shell
 kubectl replace serviceaccount default -f ./sa.yaml
@@ -391,7 +394,7 @@ Now, when a new Pod is created in the current namespace and using the default Se
 -->
 ### 验证镜像拉取 Secret 已经被添加到 Pod 规约
 
-现在，在当前命名空间中创建使用默认服务账号的新 Pod 时，新 Pod
+现在，在当前命名空间中创建使用默认服务账户的新 Pod 时，新 Pod
 会自动设置其 `.spec.imagePullSecrets` 字段：
 
 ```shell
@@ -399,7 +402,9 @@ kubectl run nginx --image=nginx --restart=Never
 kubectl get pod nginx -o=jsonpath='{.spec.imagePullSecrets[0].name}{"\n"}'
 ```
 
-<!-- The output is: -->
+<!--
+The output is:
+-->
 输出为：
 
 ```
@@ -421,11 +426,8 @@ command line arguments to `kube-apiserver`:
 
 <!--
 * `--service-account-issuer`
-  It can be used as the Identifier of the service account token issuer. You can specify the
-  `--service-account-issuer` argument multiple times, this can be useful to enable a non-disruptive
-  change of the issuer. When this flag is specified multiple times, the first is used to generate
-  tokens and all are used to determine which issuers are accepted. You must be running Kubernetes
-  v1.22 or later to be able to specify `--service-account-issuer` multiple times.
+
+     It can be used as the Identifier of the service account token issuer. You can specify the `--service-account-issuer` argument multiple times, this can be useful to enable a non-disruptive change of the issuer. When this flag is specified multiple times, the first is used to generate tokens and all are used to determine which issuers are accepted. You must be running Kubernetes v1.22 or later to be able to specify `--service-account-issuer` multiple times.
 -->
 * `--service-account-issuer`
 
@@ -434,13 +436,10 @@ command line arguments to `kube-apiserver`:
   这样做是有用的。如果这个参数被多次指定，则第一个参数值会被用来生成令牌，
   而所有参数值都会被用来确定哪些发放者是可接受的。你所运行的 Kubernetes
   集群必须是 v1.22 或更高版本，才能多次指定 `--service-account-issuer`。
-
 <!--
 * `--service-account-key-file`
-  File containing PEM-encoded x509 RSA or ECDSA private or public keys, used to verify
-  ServiceAccount tokens. The specified file can contain multiple keys, and the flag can be specified
-  multiple times with different files. If specified multiple times, tokens signed by any of the
-  specified keys are considered valid by the Kubernetes API server.
+
+     File containing PEM-encoded x509 RSA or ECDSA private or public keys, used to verify ServiceAccount tokens. The specified file can contain multiple keys, and the flag can be specified multiple times with different files. If specified multiple times, tokens signed by any of the specified keys are considered valid by the Kubernetes API server.
 -->
 * `--service-account-key-file`
 
@@ -448,28 +447,23 @@ command line arguments to `kube-apiserver`:
   的令牌。所指定的文件中可以包含多个秘钥，并且你可以多次使用此参数，
   每次参数值为不同的文件。多次使用此参数时，由所给的秘钥之一签名的令牌会被
   Kubernetes API 服务器认为是合法令牌。
-
 <!--
 * `--service-account-signing-key-file`
-  Path to the file that contains the current private key of the service account token issuer. The
-  issuer signs issued ID tokens with this private key.
+
+     Path to the file that contains the current private key of the service account token issuer. The issuer signs issued ID tokens with this private key.
 -->
 * `--service-account-signing-key-file`
 
   指向包含当前服务账户令牌发放者的私钥的文件路径。
   此发放者使用此私钥来签署所发放的 ID 令牌。
-
 <!--
-* `--api-audiences` (can be omitted)
-  The service account token authenticator validates that tokens used against the API are bound to
-  at least one of these audiences. If `api-audiences` is specified multiple times, tokens for any of
-  the specified audiences are considered valid by the Kubernetes API server. If the
-  `--service-account-issuer` flag is configured and this flag is not, this field defaults to a
-  single element list containing the issuer URL.
--->
 * `--api-audiences` (can be omitted)
 
-  服务账号令牌身份检查组件会检查针对 API 访问所使用的令牌，
+     The service account token authenticator validates that tokens used against the API are bound to at least one of these audiences. If `api-audiences` is specified multiple times, tokens for any of the specified audiences are considered valid by the Kubernetes API server. If the `--service-account-issuer` flag is configured and this flag is not, this field defaults to a single element list containing the issuer URL.
+-->
+* `--api-audiences` (可以省略)
+
+  服务账户令牌身份检查组件会检查针对 API 访问所使用的令牌，
   确认令牌至少是被绑定到这里所给的受众（audiences）之一。
   如果此参数被多次指定，则针对所给的多个受众中任何目标的令牌都会被
   Kubernetes API 服务器当做合法的令牌。如果 `--service-account-issuer`
@@ -528,7 +522,7 @@ The application is responsible for reloading the token when it rotates. Periodic
 <!--
 ## Service Account Issuer Discovery
 -->
-## 发现服务账号分发者
+## 发现服务账户分发者
 
 {{< feature-state for_k8s_version="v1.21" state="stable" >}}
 
@@ -537,7 +531,7 @@ The Service Account Issuer Discovery feature is enabled when the Service Account
 Token Projection feature is enabled, as described
 [above](#service-account-token-volume-projection).
 -->
-当启用服务账号令牌投射时启用发现服务账号分发者（Service Account Issuer Discovery）
+当启用服务账户令牌投射时启用发现服务账户分发者（Service Account Issuer Discovery）
 这一功能特性，如[上文所述](#service-account-token-volume-projection)。
 
 <!--
@@ -549,6 +543,7 @@ provider configuration at `{service-account-issuer}/.well-known/openid-configura
 If the URL does not comply, the `ServiceAccountIssuerDiscovery` endpoints will
 not be registered, even if the feature is enabled.
 -->
+{{< note >}}
 分发者的 URL 必须遵从
 [OIDC 发现规范](https://openid.net/specs/openid-connect-discovery-1_0.html)。
 这意味着 URL 必须使用 `https` 模式，并且必须在
@@ -557,6 +552,7 @@ not be registered, even if the feature is enabled.
 
 如果 URL 没有遵从这一规范，`ServiceAccountIssuerDiscovery` 末端就不会被注册，
 即使该特性已经被启用。
+{{< /note >}}
 
 <!--
 The Service Account Issuer Discovery feature enables federation of Kubernetes
@@ -568,9 +564,9 @@ Configuration document at `/.well-known/openid-configuration` and the associated
 JSON Web Key Set (JWKS) at `/openid/v1/jwks`. The OpenID Provider Configuration
 is sometimes referred to as the _discovery document_.
 -->
-发现服务账号分发者这一功能使得用户能够用联邦的方式结合使用 Kubernetes 
+发现服务账户分发者这一功能使得用户能够用联邦的方式结合使用 Kubernetes 
 集群（“Identity Provider”，标识提供者）与外部系统（“Relying Parties”，
-依赖方）所分发的服务账号令牌。
+依赖方）所分发的服务账户令牌。
 
 当此功能被启用时，Kubernetes API 服务器会在 `/.well-known/openid-configuration`
 提供一个 OpenID 提供者配置文档，并在 `/openid/v1/jwks` 处提供与之关联的
@@ -600,9 +596,11 @@ The responses served at `/.well-known/openid-configuration` and
 compliant. Those documents contain only the parameters necessary to perform
 validation of Kubernetes service account tokens.
 -->
-对 `/.well-known/openid-configuration` 和 `/openid/v1/jwks` 路径请求的响应
-被设计为与 OIDC 兼容，但不是完全与其一致。
-返回的文档仅包含对 Kubernetes 服务账号令牌进行验证所必须的参数。
+{{< note >}}
+对 `/.well-known/openid-configuration` 和 `/openid/v1/jwks` 路径请求的响应被设计为与
+OIDC 兼容，但不是与其完全一致。
+返回的文档仅包含对 Kubernetes 服务账户令牌进行验证所必须的参数。
+{{< /note >}}
 
 <!--
 The JWKS response contains public keys that a relying party can use to validate
@@ -610,7 +608,7 @@ the Kubernetes service account tokens. Relying parties first query for the
 OpenID Provider Configuration, and use the `jwks_uri` field in the response to
 find the JWKS.
 -->
-JWKS 响应包含依赖方可以用来验证 Kubernetes 服务账号令牌的公钥数据。
+JWKS 响应包含依赖方可以用来验证 Kubernetes 服务账户令牌的公钥数据。
 依赖方先会查询 OpenID 提供者配置，之后使用返回响应中的 `jwks_uri` 来查找 JWKS。
 
 <!--
@@ -629,6 +627,7 @@ JWKS URI is required to use the `https` scheme.
 这时需要向 API 服务器传递 `--service-account-jwks-uri` 参数。
 与分发者 URL 类似，此 JWKS URI 也需要使用 `https` 模式。
 
+
 ## {{% heading "whatsnext" %}}
 
 <!--
@@ -640,7 +639,7 @@ See also:
 -->
 另请参见：
 
-- [服务账号的集群管理员指南](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)
-- [服务账号签署密钥检索 KEP](https://github.com/kubernetes/enhancements/tree/master/keps/sig-auth/1393-oidc-discovery)
+- [服务账户的集群管理员指南](/zh-cn/docs/reference/access-authn-authz/service-accounts-admin/)
+- [服务账户签署密钥检索 KEP](https://github.com/kubernetes/enhancements/tree/master/keps/sig-auth/1393-oidc-discovery)
 - [OIDC 发现规范](https://openid.net/specs/openid-connect-discovery-1_0.html)
 
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/security-context.md b/content/zh-cn/docs/tasks/configure-pod-container/security-context.md
index 26a09e22fce..19a51afb15f 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/security-context.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/security-context.md
@@ -721,7 +721,7 @@ Pod 的安全上下文适用于 Pod 中的容器，也适用于 Pod 所挂载的
 <!--
 * `fsGroup`: Volumes that support ownership management are modified to be owned
   and writable by the GID specified in `fsGroup`. See the
-  [Ownership Management design document](https://git.k8s.io/community/contributors/design-proposals/storage/volume-ownership-management.md)
+  [Ownership Management design document](https://git.k8s.io/design-proposals-archive/storage/volume-ownership-management.md)
   for more details.
 
 * `seLinuxOptions`: Volumes that support SELinux labeling are relabeled to be accessible
@@ -732,7 +732,7 @@ Pod 的安全上下文适用于 Pod 中的容器，也适用于 Pod 所挂载的
 -->
 * `fsGroup`：支持属主管理的卷会被修改，将其属主变更为 `fsGroup` 所指定的 GID，
   并且对该 GID 可写。进一步的细节可参阅
-  [属主变更设计文档](https://git.k8s.io/community/contributors/design-proposals/storage/volume-ownership-management.md)。
+  [属主变更设计文档](https://git.k8s.io/design-proposals-archive/storage/volume-ownership-management.md)。
 
 * `seLinuxOptions`：支持 SELinux 标签的卷会被重新打标签，以便可被 `seLinuxOptions`
   下所设置的标签访问。通常你只需要设置 `level` 部分。
@@ -771,11 +771,11 @@ kubectl delete pod security-context-demo-4
 * [PodSecurityContext](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#podsecuritycontext-v1-core)
 * [SecurityContext](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#securitycontext-v1-core)
 * [Tuning Docker with the newest security enhancements](https://github.com/containerd/containerd/blob/main/docs/cri/config.md)
-* [Security Contexts design document](https://git.k8s.io/community/contributors/design-proposals/auth/security_context.md)
-* [Ownership Management design document](https://git.k8s.io/community/contributors/design-proposals/storage/volume-ownership-management.md)
+* [Security Contexts design document](https://git.k8s.io/design-proposals-archive/auth/security_context.md)
+* [Ownership Management design document](https://git.k8s.io/design-proposals-archive/storage/volume-ownership-management.md)
 * [Pod Security Policies](/docs/concepts/security/pod-security-policy/)
 * [AllowPrivilegeEscalation design
-  document](https://git.k8s.io/community/contributors/design-proposals/auth/no-new-privs.md)
+  document](https://git.k8s.io/design-proposals-archive/auth/no-new-privs.md)
 * For more information about security mechanisms in Linux, see
   [Overview of Linux Kernel Security Features](https://www.linux.com/learn/overview-linux-kernel-security-features)
 -->
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/static-pod.md b/content/zh-cn/docs/tasks/configure-pod-container/static-pod.md
index aa2b7af0a0c..5117f6f87a6 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/static-pod.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/static-pod.md
@@ -12,13 +12,13 @@ without the {{< glossary_tooltip text="API server" term_id="kube-apiserver" >}}
 observing them.
 Unlike Pods that are managed by the control plane (for example, a
 {{< glossary_tooltip text="Deployment" term_id="deployment" >}});
-instead, the kubelet watches each static Pod (and restarts it if it crashes).
+instead, the kubelet watches each static Pod (and restarts it if it fails).
 -->
 
-*静态 Pod* 在指定的节点上由 kubelet 守护进程直接管理，不需要
+**静态 Pod** 在指定的节点上由 kubelet 守护进程直接管理，不需要
 {{< glossary_tooltip text="API 服务器" term_id="kube-apiserver" >}} 监管。
 与由控制面管理的 Pod（例如，{{< glossary_tooltip text="Deployment" term_id="deployment" >}}）
-不同；kubelet 监视每个静态 Pod（在它崩溃之后重新启动）。
+不同；kubelet 监视每个静态 Pod（在它失败之后重新启动）。
 
 <!--
 Static Pods are always bound to one {{< glossary_tooltip term_id="kubelet" >}} on a specific node.
@@ -28,34 +28,34 @@ on the Kubernetes API server for each static Pod.
 This means that the Pods running on a node are visible on the API server,
 but cannot be controlled from there.
 The Pod names will be suffixed with the node hostname with a leading hyphen.
-
-{{< note >}}
-If you are running clustered Kubernetes and are using static
-Pods to run a Pod on every node, you should probably be using a
-{{< glossary_tooltip text="DaemonSet" term_id="daemonset" >}}
-instead.
-{{< /note >}}
 -->
-静态 Pod 永远都会绑定到一个指定节点上的 {{< glossary_tooltip term_id="kubelet" >}}。
+静态 Pod 始终都会绑定到特定节点的 {{< glossary_tooltip term_id="kubelet" >}} 上。
 
-kubelet 会尝试通过 Kubernetes API 服务器为每个静态 Pod 自动创建一个
-{{< glossary_tooltip text="镜像 Pod" term_id="mirror-pod" >}}。
+kubelet 会尝试通过 Kubernetes API 服务器为每个静态 Pod
+自动创建一个{{< glossary_tooltip text="镜像 Pod" term_id="mirror-pod" >}}。
 这意味着节点上运行的静态 Pod 对 API 服务来说是可见的，但是不能通过 API 服务器来控制。
 Pod 名称将把以连字符开头的节点主机名作为后缀。
 
 {{< note >}}
+<!--
+If you are running clustered Kubernetes and are using static
+Pods to run a Pod on every node, you should probably be using a
+{{< glossary_tooltip text="DaemonSet" term_id="daemonset" >}}
+instead.
+-->
 如果你在运行一个 Kubernetes 集群，并且在每个节点上都运行一个静态 Pod，
-就可能需要考虑使用 {{< glossary_tooltip text="DaemonSet" term_id="daemonset" >}} 替代这种方式。
+就可能需要考虑使用 {{< glossary_tooltip text="DaemonSet" term_id="daemonset" >}}
+替代这种方式。
 {{< /note >}}
 
+
+{{< note >}}
 <!--
 The `spec` of a static Pod cannot refer to other API objects
 (e.g., {{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}},
 {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}},
 {{< glossary_tooltip text="Secret" term_id="secret" >}}, etc).
 -->
-
-{{< note >}}
 静态 Pod 的 `spec` 不能引用其他 API 对象
 （如：{{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}}、
 {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}}、
@@ -85,7 +85,7 @@ You can configure a static Pod with either a [file system hosted configuration f
 ## 创建静态 Pod {#static-pod-creation}
 
 可以通过[文件系统上的配置文件](/zh-cn/docs/tasks/configure-pod-container/static-pod/#configuration-files)
-或者 [web 网络上的配置文件](/zh-cn/docs/tasks/configure-pod-container/static-pod/#pods-created-via-http)
+或者 [Web 网络上的配置文件](/zh-cn/docs/tasks/configure-pod-container/static-pod/#pods-created-via-http)
 来配置静态 Pod。
 
 <!--
@@ -111,7 +111,6 @@ For example, this is how to start a simple web server as a static Pod:
 <!--
 1. Choose a node where you want to run the static Pod. In this example, it's `my-node1`.
 -->
-
 1. 选择一个要运行静态 Pod 的节点。在这个例子中选择 `my-node1`。
 
    ```shell
@@ -140,13 +139,13 @@ For example, this is how to start a simple web server as a static Pod:
               protocol: TCP
     EOF
 -->
-2. 选择一个目录，比如在 `/etc/kubelet.d` 目录来保存 web 服务 Pod 的定义文件，
-   `/etc/kubelet.d/static-web.yaml`：
+2. 选择一个目录，比如在 `/etc/kubernetes/manifests` 目录来保存 Web 服务 Pod 的定义文件，例如
+   `/etc/kubernetes/manifests/static-web.yaml`：
 
    ```shell
    # 在 kubelet 运行的节点上执行以下命令
-   mkdir /etc/kubelet.d/
-   cat <<EOF >/etc/kubelet.d/static-web.yaml
+   mkdir -p /etc/kubernetes/manifests/
+   cat <<EOF >/etc/kubernetes/manifests/static-web.yaml
    apiVersion: v1
    kind: Pod
    metadata:
@@ -165,20 +164,19 @@ For example, this is how to start a simple web server as a static Pod:
    ```
 
 <!--
-3. Configure your kubelet on the node to use this directory by running it with `--pod-manifest-path=/etc/kubelet.d/` argument. On Fedora edit `/etc/kubernetes/kubelet` to include this line:
-
-   ```
-   KUBELET_ARGS="--cluster-dns=10.254.0.10 --cluster-domain=kube.local --pod-manifest-path=/etc/kubelet.d/"
-   ```
-   or add the `staticPodPath: <the directory>` field in the
-   [kubelet configuration file](/docs/reference/config-api/kubelet-config.v1beta1/).
+3. Configure your kubelet on the node to use this directory by running it with `--pod-manifest-path=/etc/kubernetes/manifests/` argument. On Fedora edit `/etc/kubernetes/kubelet` to include this line:
 -->
 3. 配置这个节点上的 kubelet，使用这个参数执行 `--pod-manifest-path=/etc/kubelet.d/`。
-在 Fedora 上编辑 `/etc/kubernetes/kubelet` 以包含下行：
+   在 Fedora 上编辑 `/etc/kubernetes/kubelet` 以包含下面这行：
 
    ```
-   KUBELET_ARGS="--cluster-dns=10.254.0.10 --cluster-domain=kube.local --pod-manifest-path=/etc/kubelet.d/"
+   KUBELET_ARGS="--cluster-dns=10.254.0.10 --cluster-domain=kube.local --pod-manifest-path=/etc/kubernetes/manifests/"
    ```
+
+   <!--
+   or add the `staticPodPath: <the directory>` field in the
+   [kubelet configuration file](/docs/reference/config-api/kubelet-config.v1beta1/).
+   -->
    或者在 [Kubelet 配置文件](/zh-cn/docs/reference/config-api/kubelet-config.v1beta1/)
    中添加 `staticPodPath: <目录>`字段。
 
@@ -190,7 +188,7 @@ For example, this is how to start a simple web server as a static Pod:
    systemctl restart kubelet
    ```
 -->
-4. 重启 kubelet。Fedora 上使用下面的命令：
+4. 重启 kubelet。在 Fedora 上，你将使用下面的命令：
 
    ```shell
    # 在 kubelet 运行的节点上执行以下命令
@@ -248,6 +246,7 @@ JSON/YAML 格式的 Pod 定义文件。
    ```
    KUBELET_ARGS="--cluster-dns=10.254.0.10 --cluster-domain=kube.local --manifest-url=<manifest-url>"
    ```
+
 <!--
 3. Restart the kubelet. On Fedora, you would run:
 
@@ -256,7 +255,7 @@ JSON/YAML 格式的 Pod 定义文件。
     systemctl restart kubelet
     ```
 -->
-3. 重启 kubelet。在 Fedora 上运行如下命令：
+3. 重启 kubelet。在 Fedora 上，你将运行如下命令：
 
    ```shell
    # 在 kubelet 运行的节点上执行以下命令
@@ -278,7 +277,7 @@ crictl ps
 
 The output might be something like:
 -->
-## 观察静态 pod 的行为 {#behavior-of-static-pods}
+## 观察静态 Pod 的行为 {#behavior-of-static-pods}
 
 当 kubelet 启动时，会自动启动所有定义的静态 Pod。
 当定义了一个静态 Pod 并重新启动 kubelet 时，新的静态 Pod 就应该已经在运行了。
@@ -300,12 +299,12 @@ CONTAINER       IMAGE                                 CREATED           STATE
 129fd7d382018   docker.io/library/nginx@sha256:...    11 minutes ago    Running    web     0          34533c6729106
 ```
 
+{{< note >}}
 <!--
 `crictl` outputs the image URI and SHA-256 checksum. `NAME` will look more like:
 `docker.io/library/nginx@sha256:0d17b565c37bcbd895e9d92315a05c1c3c9a29f762b011a10c54a66cd53c9b31`.
 -->
-{{< note >}}
-`crictl` 会输出镜像 URI 和 SHA-256 校验和。 `NAME` 看起来像：
+`crictl` 会输出镜像 URI 和 SHA-256 校验和。`NAME` 看起来像：
 `docker.io/library/nginx@sha256:0d17b565c37bcbd895e9d92315a05c1c3c9a29f762b011a10c54a66cd53c9b31`。
 {{< /note >}}
 
@@ -323,13 +322,14 @@ NAME         READY   STATUS    RESTARTS        AGE
 static-web   1/1     Running   0               2m
 ```
 
+{{< note >}}
 <!--
 Make sure the kubelet has permission to create the mirror Pod in the API server. If not, the creation request is rejected by the API server. See
 [Pod Security admission](/docs/concepts/security/pod-security-admission) and [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/).
 -->
-{{< note >}}
 要确保 kubelet 在 API 服务上有创建镜像 Pod 的权限。如果没有，创建请求会被 API 服务拒绝。
-可以看 [Pod 安全性准入](/zh-cn/docs/concepts/security/pod-security-admission/)和 [Pod 安全策略](/zh-cn/docs/concepts/security/pod-security-policy/)。
+参阅 [Pod 安全性准入](/zh-cn/docs/concepts/security/pod-security-admission/)和
+[Pod 安全策略](/zh-cn/docs/concepts/security/pod-security-policy/)。
 {{< /note >}}
 
 <!--
@@ -337,18 +337,19 @@ Make sure the kubelet has permission to create the mirror Pod in the API server.
 propagated into the mirror Pod. You can use those labels as normal via
 {{< glossary_tooltip term_id="selector" text="selectors" >}}, etc.
 -->
-静态 Pod 上的{{< glossary_tooltip term_id="label" text="标签" >}} 被传到镜像 Pod。
-你可以通过 {{< glossary_tooltip term_id="selector" text="选择算符" >}} 使用这些标签。
+静态 Pod 上的{{< glossary_tooltip term_id="label" text="标签" >}}被传播到镜像 Pod。
+你可以通过{{< glossary_tooltip term_id="selector" text="选择算符" >}}使用这些标签。
 
 <!--
 If you try to use `kubectl` to delete the mirror Pod from the API server,
 the kubelet _doesn't_ remove the static Pod:
 -->
-如果你用 `kubectl` 从 API 服务上删除镜像 Pod，kubelet _不会_ 移除静态 Pod：
+如果你用 `kubectl` 从 API 服务上删除镜像 Pod，kubelet **不会**移除静态 Pod：
 
 ```shell
 kubectl delete pod static-web
 ```
+
 ```
 pod "static-web" deleted
 ```
@@ -379,7 +380,7 @@ sleep 20
 crictl ps
 ```
 -->
-回到 kubelet 运行的节点上，你可以手动停止容器。
+回到 kubelet 运行所在的节点上，你可以手动停止容器。
 可以看到过了一段时间后 kubelet 会发现容器停止了并且会自动重启 Pod：
 
 ```shell
@@ -398,8 +399,14 @@ CONTAINER       IMAGE                                 CREATED           STATE
 <!--
 ## Dynamic addition and removal of static pods
 
-The running kubelet periodically scans the configured directory (`/etc/kubelet.d` in our example) for changes and adds/removes Pods as files appear/disappear in this directory.
+The running kubelet periodically scans the configured directory (`/etc/kubernetes/manifests` in our example) for changes and adds/removes Pods as files appear/disappear in this directory.
+-->
+## 动态增加和删除静态 Pod
 
+运行中的 kubelet 会定期扫描配置的目录（比如例子中的 `/etc/kubernetes/manifests` 目录）中的变化，
+并且根据文件中出现/消失的 Pod 来添加/删除 Pod。
+
+<!--
 ```shell
 # This assumes you are using filesystem-hosted static Pod configuration
 # Run these commands on the node where the kubelet is running
@@ -413,13 +420,8 @@ sleep 20
 crictl ps
 ```
 -->
-## 动态增加和删除静态 pod
-
-运行中的 kubelet 会定期扫描配置的目录(比如例子中的 `/etc/kubelet.d` 目录)中的变化，
-并且根据文件中出现/消失的 Pod 来添加/删除 Pod。
-
 ```shell
-# 前提是你在用主机文件系统上的静态 Pod 配置文件
+# 这里假定你在用主机文件系统上的静态 Pod 配置文件
 # 在 kubelet 运行的节点上执行以下命令
 mv /etc/kubelet.d/static-web.yaml /tmp
 sleep 20
@@ -435,5 +437,3 @@ CONTAINER       IMAGE                                 CREATED           STATE
 f427638871c35   docker.io/library/nginx@sha256:...    19 seconds ago    Running    web     1          34533c6729106
 ```
 
-
-
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/translate-compose-kubernetes.md b/content/zh-cn/docs/tasks/configure-pod-container/translate-compose-kubernetes.md
index 11354f415d4..84c26fc767c 100644
--- a/content/zh-cn/docs/tasks/configure-pod-container/translate-compose-kubernetes.md
+++ b/content/zh-cn/docs/tasks/configure-pod-container/translate-compose-kubernetes.md
@@ -51,13 +51,13 @@ Kompose 通过 GitHub 发布，发布周期为三星期。
 
 ```shell
 # Linux
-curl -L https://github.com/kubernetes/kompose/releases/download/v1.24.0/kompose-linux-amd64 -o kompose
+curl -L https://github.com/kubernetes/kompose/releases/download/v1.26.0/kompose-linux-amd64 -o kompose
 
 # macOS
-curl -L https://github.com/kubernetes/kompose/releases/download/v1.24.0/kompose-darwin-amd64 -o kompose
+curl -L https://github.com/kubernetes/kompose/releases/download/v1.26.0/kompose-darwin-amd64 -o kompose
 
 # Windows
-curl -L https://github.com/kubernetes/kompose/releases/download/v1.24.0/kompose-windows-amd64.exe -o kompose.exe
+curl -L https://github.com/kubernetes/kompose/releases/download/v1.26.0/kompose-windows-amd64.exe -o kompose.exe
 
 chmod +x kompose
 sudo mv ./kompose /usr/local/bin/kompose
@@ -183,6 +183,11 @@ you need is an existing `docker-compose.yml` file.
    kompose convert                           
    ```
 
+   <!--
+   The output is similar to:
+   -->
+   输出类似于：
+
    ```none
    INFO Kubernetes file "frontend-service.yaml" created
       INFO Kubernetes file "frontend-service.yaml" created
@@ -205,7 +210,7 @@ you need is an existing `docker-compose.yml` file.
    ```
 
    ```bash
-   kubectl apply -f frontend-service.yaml,redis-master-service.yaml,redis-slave-service.yaml,frontend-deployment.yaml,
+   kubectl apply -f frontend-service.yaml,redis-master-service.yaml,redis-slave-service.yaml,frontend-deployment.yaml,redis-master-deployment.yaml,redis-slave-deployment.yaml
    ```
 
    <!--
@@ -434,11 +439,11 @@ INFO OpenShift file "foo-buildconfig.yaml" created
 ```
 
 <!--
-If you are manually pushing the Openshift artifacts using ``oc create -f``, you need to ensure that you push the imagestream artifact before the buildconfig artifact, to workaround this Openshift issue: https://github.com/openshift/origin/issues/4518 .
+If you are manually pushing the Openshift artifacts using ``oc create -f``, you need to ensure that you push the imagestream artifact before the buildconfig artifact, to workaround this OpenShift issue: https://github.com/openshift/origin/issues/4518 .
 -->
 {{< note >}}
-如果使用 ``oc create -f`` 手动推送 Openshift 工件，则需要确保在构建配置工件之前推送
-imagestream 工件，以解决 Openshift 的这个问题： https://github.com/openshift/origin/issues/4518 。
+如果使用 ``oc create -f`` 手动推送 OpenShift 工件，则需要确保在构建配置工件之前推送
+imagestream 工件，以解决 OpenShift 的这个问题： https://github.com/openshift/origin/issues/4518 。
 {{< /note >}}
 
 <!--
@@ -484,7 +489,7 @@ INFO Kubernetes file "web-replicationcontroller.yaml" created
 ```
 
 <!--
-The `*-replicationcontroller.yaml` files contain the Replication Controller objects. If you want to specify replicas (default is 1), use `--replicas` flag: `$ kompose convert --replication-controller --replicas 3`
+The `*-replicationcontroller.yaml` files contain the Replication Controller objects. If you want to specify replicas (default is 1), use `--replicas` flag: `kompose convert --replication-controller --replicas 3`
 -->
 `*-replicationcontroller.yaml` 文件包含 Replication Controller 对象。
 如果你想指定副本数（默认为 1），可以使用 `--replicas` 参数：
@@ -503,7 +508,7 @@ INFO Kubernetes file "web-daemonset.yaml" created
 
 <!--
 The `*-daemonset.yaml` files contain the DaemonSet objects
-If you want to generate a Chart to be used with [Helm](https://github.com/kubernetes/helm) simply do:
+If you want to generate a Chart to be used with [Helm](https://github.com/kubernetes/helm) run:
 -->
 `*-daemonset.yaml` 文件包含 DaemonSet 对象。
 
diff --git a/content/zh-cn/docs/tasks/debug/debug-application/debug-pods.md b/content/zh-cn/docs/tasks/debug/debug-application/debug-pods.md
index f15af1f7ced..290ab9074ea 100644
--- a/content/zh-cn/docs/tasks/debug/debug-application/debug-pods.md
+++ b/content/zh-cn/docs/tasks/debug/debug-application/debug-pods.md
@@ -1,6 +1,6 @@
 ---
 title: 调试 Pod
-content_type: concept
+content_type: task
 weight: 10
 ---
 
@@ -9,7 +9,7 @@ reviewers:
 - mikedanese
 - thockin
 title: Debug Pods
-content_type: concept
+content_type: task
 weight: 10
 -->
 
@@ -76,7 +76,7 @@ there are insufficient resources of one type or another that prevent scheduling.
 `kubectl describe ...` command above.  There should be messages from the scheduler about why it can not schedule
 your pod.  Reasons include:
 -->
-#### Pod 停滞在 Pending 状态
+#### Pod 停滞在 Pending 状态  {#my-pod-stays-pending}
 
 如果一个 Pod 停滞在 `Pending` 状态，表示 Pod 没有被调度到节点上。通常这是因为
 某种类型的资源不足导致无法调度。
@@ -113,7 +113,7 @@ Again, the information from `kubectl describe ...` should be informative.  The m
 * Try to manually pull the image to see if the image can be pulled. For example,
   if you use Docker on your PC, run `docker pull <image>`.
 -->
-#### Pod 停滞在 Waiting 状态
+#### Pod 停滞在 Waiting 状态  {#my-pod-stays-waiting}
 
 如果 Pod 停滞在 `Waiting` 状态，则表示 Pod 已经被调度到某工作节点，但是无法在该节点上运行。
 同样，`kubectl describe ...` 命令的输出可能很有用。
@@ -129,7 +129,7 @@ Again, the information from `kubectl describe ...` should be informative.  The m
 Once your pod has been scheduled, the methods described in [Debug Running Pods](
 /docs/tasks/debug/debug-application/debug-running-pod/) are available for debugging.
 -->
-#### Pod 处于 Crashing 或别的不健康状态
+#### Pod 处于 Crashing 或别的不健康状态   {#my-pod-is-crashing-or-otherwise-unhealthy}
 
 一旦 Pod 被调度，就可以采用
 [调试运行中的 Pod](/zh-cn/docs/tasks/debug/debug-application/debug-running-pod/)
@@ -150,8 +150,8 @@ will not use the command line you intended it to use.
 如果 Pod 行为不符合预期，很可能 Pod 描述（例如你本地机器上的 `mypod.yaml`）中有问题，
 并且该错误在创建 Pod 时被忽略掉，没有报错。
 通常，Pod 的定义中节区嵌套关系错误、字段名字拼错的情况都会引起对应内容被忽略掉。
-例如，如果你误将 `command` 写成 `commnd`，Pod 虽然可以创建，但它不会执行
-你期望它执行的命令行。
+例如，如果你误将 `command` 写成 `commnd`，Pod 虽然可以创建，
+但它不会执行你期望它执行的命令行。
 
 <!--
 The first thing to do is to delete your pod and try creating it again with the `--validate` option.
@@ -182,8 +182,8 @@ version, then this may indicate a problem with your pod spec.
 -->
 接下来就要检查的是 API 服务器上的 Pod 与你所期望创建的是否匹配
 （例如，你原本使用本机上的一个 YAML 文件来创建 Pod）。
-例如，运行 `kubectl get pods/mypod -o yaml > mypod-on-apiserver.yaml`，之后
-手动比较 `mypod.yaml` 与从 API 服务器取回的 Pod 描述。
+例如，运行 `kubectl get pods/mypod -o yaml > mypod-on-apiserver.yaml`，
+之后手动比较 `mypod.yaml` 与从 API 服务器取回的 Pod 描述。
 从 API 服务器处获得的 YAML 通常包含一些创建 Pod 所用的 YAML 中不存在的行，这是正常的。
 不过，如果如果源文件中有些行在 API 服务器版本中不存在，则意味着
 Pod 规约是有问题的。
@@ -220,8 +220,8 @@ You can view this resource with:
 有一些常见的问题可以造成服务无法正常工作。
 以下说明将有助于调试服务的问题。
 
-首先，验证服务是否有端点。对于每一个 Service 对象，API 服务器为其提供
-对应的 `endpoints` 资源。
+首先，验证服务是否有端点。对于每一个 Service 对象，API 服务器为其提供对应的
+`endpoints` 资源。
 
 通过如下命令可以查看 endpoints 资源：
 
@@ -244,7 +244,7 @@ IP addresses in the Service's endpoints.
 If you are missing endpoints, try listing pods using the labels that Service uses.  Imagine that you have
 a Service where the labels are:
 -->
-#### 服务缺少 Endpoints
+#### 服务缺少 Endpoints   {#my-service-is-missing-endpoints}
 
 如果没有 Endpoints，请尝试使用 Service 所使用的标签列出 Pod。
 假定你的服务包含如下标签选择算符：
@@ -265,7 +265,6 @@ kubectl get pods --selector=name=nginx,type=frontend
 
 to list pods that match this selector.  Verify that the list matches the Pods that you expect to provide your Service.
 -->
-
 你可以使用如下命令列出与选择算符相匹配的 Pod，并验证这些 Pod 是否归属于创建的服务：
 
 ```shell
@@ -282,7 +281,7 @@ Verify that the pod's `containerPort` matches up with the Service's `targetPort`
 
 Please see [debugging service](/docs/tasks/debug/debug-applications/debug-service/) for more information.
 -->
-#### 网络流量未被转发
+#### 网络流量未被转发  {#network-traffic-is-not-forwarded}
 
 请参阅[调试 Service](/zh-cn/docs/tasks/debug/debug-applications/debug-service/) 了解更多信息。
 
@@ -303,3 +302,4 @@ You may also visit [troubleshooting document](/docs/tasks/debug/) for more infor
 DNS 服务已配置并正常工作，iptables 规则也以安装并且 `kube-proxy` 也没有异常行为。
 
 你也可以访问[故障排查文档](/zh-cn/docs/tasks/debug/)来获取更多信息。
+
diff --git a/content/zh-cn/docs/tasks/debug/debug-cluster/_index.md b/content/zh-cn/docs/tasks/debug/debug-cluster/_index.md
index bf0f550c804..604174f541f 100644
--- a/content/zh-cn/docs/tasks/debug/debug-cluster/_index.md
+++ b/content/zh-cn/docs/tasks/debug/debug-cluster/_index.md
@@ -64,7 +64,7 @@ Sometimes when debugging it can be useful to look at the status of a node -- for
 -->
 ### 示例：调试关闭/无法访问的节点 {#example-debugging-a-down-unreachable-node}
 
-有时在调试时查看节点的状态很有用——例如，因为你注意到在节点上运行的 Pod 的奇怪行为，
+有时在调试时查看节点的状态很有用 —— 例如，因为你注意到在节点上运行的 Pod 的奇怪行为，
 或者找出为什么 Pod 不会调度到节点上。与 Pod 一样，你可以使用 `kubectl describe node`
 和 `kubectl get node -o yaml` 来检索有关节点的详细信息。
 例如，如果节点关闭（与网络断开连接，或者 kubelet 进程挂起并且不会重新启动等），
@@ -260,28 +260,30 @@ of the relevant log files.  On systemd-based systems, you may need to use `journ
 <!--
 ### Control Plane nodes
 
-   * `/var/log/kube-apiserver.log` - API Server, responsible for serving the API
-   * `/var/log/kube-scheduler.log` - Scheduler, responsible for making scheduling decisions
-   * `/var/log/kube-controller-manager.log` - a component that runs most Kubernetes built-in {{<glossary_tooltip text="controllers" term_id="controller">}}, with the notable exception of scheduling (the kube-scheduler handles scheduling).
+* `/var/log/kube-apiserver.log` - API Server, responsible for serving the API
+* `/var/log/kube-scheduler.log` - Scheduler, responsible for making scheduling decisions
+* `/var/log/kube-controller-manager.log` - a component that runs most Kubernetes built-in
+  {{<glossary_tooltip text="controllers" term_id="controller">}}, with the notable exception of scheduling
+  (the kube-scheduler handles scheduling).
 -->
 ### 控制平面节点 {#control-plane-nodes}
 
-   * `/var/log/kube-apiserver.log` —— API 服务器 API
-   * `/var/log/kube-scheduler.log` —— 调度器，负责制定调度决策
-   * `/var/log/kube-controller-manager.log` —— 运行大多数 Kubernetes
-     内置{{<glossary_tooltip text="控制器" term_id="controller">}}的组件，除了调度（kube-scheduler 处理调度）。
+* `/var/log/kube-apiserver.log` —— API 服务器，负责提供 API 服务
+* `/var/log/kube-scheduler.log` —— 调度器，负责制定调度决策
+* `/var/log/kube-controller-manager.log` —— 运行大多数 Kubernetes
+  内置{{<glossary_tooltip text="控制器" term_id="controller">}}的组件，除了调度（kube-scheduler 处理调度）。
 
 <!--
 ### Worker Nodes
 
-   * `/var/log/kubelet.log` - logs from the kubelet, responsible for running containers on the node
-   * `/var/log/kube-proxy.log` - logs from `kube-proxy`, which is responsible for directing traffic to Service endpoints
+* `/var/log/kubelet.log` - logs from the kubelet, responsible for running containers on the node
+* `/var/log/kube-proxy.log` - logs from `kube-proxy`, which is responsible for directing traffic to Service endpoints
 -->
 
 ### 工作节点 {#worker-nodes}
 
-   * `/var/log/kubelet.log` —— 来自 `kubelet` 的日志，负责在节点运行容器
-   * `/var/log/kube-proxy.log` —— 来自 `kube-proxy` 的日志，负责将流量转发到服务端点
+* `/var/log/kubelet.log` —— 来自 `kubelet` 的日志，负责在节点运行容器
+* `/var/log/kube-proxy.log` —— 来自 `kube-proxy` 的日志，负责将流量转发到服务端点
 
 <!-- 
 ## Cluster failure modes
@@ -295,32 +297,32 @@ This is an incomplete list of things that could go wrong, and how to adjust your
 <!-- 
 ### Contributing causes
 
-  - VM(s) shutdown
-  - Network partition within cluster, or between cluster and users
-  - Crashes in Kubernetes software
-  - Data loss or unavailability of persistent storage (e.g. GCE PD or AWS EBS volume)
-  - Operator error, for example misconfigured Kubernetes software or application software
+- VM(s) shutdown
+- Network partition within cluster, or between cluster and users
+- Crashes in Kubernetes software
+- Data loss or unavailability of persistent storage (e.g. GCE PD or AWS EBS volume)
+- Operator error, for example misconfigured Kubernetes software or application software
 -->
-### 造成原因 {#contributing-causes}
+### 故障原因 {#contributing-causes}
 
-   - 虚拟机关闭
-   - 集群内或集群与用户之间的网络分区
-   - Kubernetes 软件崩溃
-   - 持久存储（例如 GCE PD 或 AWS EBS 卷）的数据丢失或不可用
-   - 操作员错误，例如配置错误的 Kubernetes 软件或应用程序软件
+- 虚拟机关闭
+- 集群内或集群与用户之间的网络分区
+- Kubernetes 软件崩溃
+- 持久存储（例如 GCE PD 或 AWS EBS 卷）的数据丢失或不可用
+- 操作员错误，例如配置错误的 Kubernetes 软件或应用程序软件
 
 <!--
 ### Specific scenarios
 
-  - API server VM shutdown or apiserver crashing
-    - Results
-      - unable to stop, update, or start new pods, services, replication controller
-      - existing pods and services should continue to work normally, unless they depend on the Kubernetes API
-  - API server backing storage lost
-    - Results
-      - the kube-apiserver component fails to start successfully and become healthy
-      - kubelets will not be able to reach it but will continue to run the same pods and provide the same service proxying
-      - manual recovery or recreation of apiserver state necessary before apiserver is restarted
+- API server VM shutdown or apiserver crashing
+  - Results
+    - unable to stop, update, or start new pods, services, replication controller
+    - existing pods and services should continue to work normally, unless they depend on the Kubernetes API
+- API server backing storage lost
+  - Results
+    - the kube-apiserver component fails to start successfully and become healthy
+    - kubelets will not be able to reach it but will continue to run the same pods and provide the same service proxying
+    - manual recovery or recreation of apiserver state necessary before apiserver is restarted
 -->
 ### 具体情况 {#specific-scenarios}
 
@@ -334,16 +336,17 @@ This is an incomplete list of things that could go wrong, and how to adjust your
     - kubelet 将不能访问 API 服务器，但是能够继续运行之前的 Pod 和提供相同的服务代理
     - 在 API 服务器重启之前，需要手动恢复或者重建 API 服务器的状态
 <!--
-  - Supporting services (node controller, replication controller manager, scheduler, etc) VM shutdown or crashes
-    - currently those are colocated with the apiserver, and their unavailability has similar consequences as apiserver
-    - in future, these will be replicated as well and may not be co-located
-    - they do not have their own persistent state
-  - Individual node (VM or physical machine) shuts down
-    - Results
-      - pods on that Node stop running
-  - Network partition
-    - Results
-      - partition A thinks the nodes in partition B are down; partition B thinks the apiserver is down. (Assuming the master VM ends up in partition A.)
+- Supporting services (node controller, replication controller manager, scheduler, etc) VM shutdown or crashes
+  - currently those are colocated with the apiserver, and their unavailability has similar consequences as apiserver
+  - in future, these will be replicated as well and may not be co-located
+  - they do not have their own persistent state
+- Individual node (VM or physical machine) shuts down
+  - Results
+    - pods on that Node stop running
+- Network partition
+  - Results
+    - partition A thinks the nodes in partition B are down; partition B thinks the apiserver is down.
+      (Assuming the master VM ends up in partition A.)
 -->
 - Kubernetes 服务组件（节点控制器、副本控制器管理器、调度器等）所在的 VM 关机或者崩溃
   - 当前，这些控制器是和 API 服务器在一起运行的，它们不可用的现象是与 API 服务器类似的
@@ -357,18 +360,18 @@ This is an incomplete list of things that could go wrong, and how to adjust your
     - 分区 A 认为分区 B 中所有的节点都已宕机；分区 B 认为 API 服务器宕机
       （假定主控节点所在的 VM 位于分区 A 内）。
 <!--
-  - Kubelet software fault
-    - Results
-      - crashing kubelet cannot start new pods on the node
-      - kubelet might delete the pods or not
-      - node marked unhealthy
-      - replication controllers start new pods elsewhere
-  - Cluster operator error
-    - Results
-      - loss of pods, services, etc
-      - lost of apiserver backing store
-      - users unable to read API
-      - etc.
+- Kubelet software fault
+  - Results
+    - crashing kubelet cannot start new pods on the node
+    - kubelet might delete the pods or not
+    - node marked unhealthy
+    - replication controllers start new pods elsewhere
+- Cluster operator error
+  - Results
+    - loss of pods, services, etc
+    - lost of apiserver backing store
+    - users unable to read API
+    - etc.
 -->
 - kubelet 软件故障
   - 结果
@@ -380,11 +383,11 @@ This is an incomplete list of things that could go wrong, and how to adjust your
   - 结果
     - 丢失 Pod 或服务等等
     - 丢失 API 服务器的后端存储
-    - 用户无法读取API
+    - 用户无法读取 API
     - 等等
 
 <!--
-### Mitigations:
+### Mitigations
 
 - Action: Use IaaS provider's automatic VM restarting feature for IaaS VMs
   - Mitigates: Apiserver VM shutdown or apiserver crashing
@@ -409,7 +412,7 @@ This is an incomplete list of things that could go wrong, and how to adjust your
   - 缓解：API 服务器后端存储的丢失
 
 - 措施：使用[高可用性](/zh-cn/docs/setup/production-environment/tools/kubeadm/high-availability/)的配置
-  - 缓解：主控节点 VM 关机或者主控节点组件（调度器、API 服务器、控制器管理器）崩馈
+  - 缓解：主控节点 VM 关机或者主控节点组件（调度器、API 服务器、控制器管理器）崩溃
     - 将容许一个或多个节点或组件同时出现故障
   - 缓解：API 服务器后端存储（例如 etcd 的数据目录）丢失
     - 假定你使用了高可用的 etcd 配置
@@ -428,7 +431,7 @@ This is an incomplete list of things that could go wrong, and how to adjust your
   - Mitigates: Node shutdown
   - Mitigates: Kubelet software fault
 -->
-- 措施：定期对 API 服务器的 PDs/EBS 卷执行快照操作
+- 措施：定期对 API 服务器的 PD 或 EBS 卷执行快照操作
   - 缓解：API 服务器后端存储丢失
   - 缓解：一些操作错误的场景
   - 缓解：一些 Kubernetes 软件本身故障的场景
@@ -444,16 +447,19 @@ This is an incomplete list of things that could go wrong, and how to adjust your
 ## {{% heading "whatsnext" %}}
 
 <!-- 
-* Learn about the metrics available in the [Resource Metrics Pipeline](resource-metrics-pipeline)
-* Discover additional tools for [monitoring resource usage](resource-usage-monitoring)
-* Use Node Problem Detector to [monitor node health](monitor-node-health)
-* Use `crictl` to [debug Kubernetes nodes](crictl)
-* Get more information about [Kubernetes auditing](audit)
-* Use `telepresence` to [develop and debug services locally](local-debugging)
+* Learn about the metrics available in the
+  [Resource Metrics Pipeline](/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/)
+* Discover additional tools for
+  [monitoring resource usage](/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)
+* Use Node Problem Detector to
+  [monitor node health](/docs/tasks/debug/debug-cluster/monitor-node-health/)
+* Use `crictl` to [debug Kubernetes nodes](/docs/tasks/debug/debug-cluster/crictl/)
+* Get more information about [Kubernetes auditing](/docs/tasks/debug/debug-cluster/audit/)
+* Use `telepresence` to [develop and debug services locally](/docs/tasks/debug/debug-cluster/local-debugging/)
 -->
-* 了解[资源指标管道](resource-metrics-pipeline)中可用的指标
-* 发现用于[监控资源使用](resource-usage-monitoring)的其他工具
-* 使用节点问题检测器[监控节点健康](monitor-node-health)
-* 使用 `crictl` 来[调试 Kubernetes 节点](crictl)
-* 获取更多关于 [Kubernetes 审计](audit)的信息
-* 使用 `telepresence` [本地开发和调试服务](local-debugging)
\ No newline at end of file
+* 了解[资源指标管道](/zh-cn/docs/tasks/debug/debug-cluster/resource-metrics-pipeline/)中可用的指标
+* 发现用于[监控资源使用](/zh-cn/docs/tasks/debug/debug-cluster/resource-usage-monitoring/)的其他工具
+* 使用节点问题检测器[监控节点健康](/zh-cn/docs/tasks/debug/debug-cluster/monitor-node-health/)
+* 使用 `crictl` 来[调试 Kubernetes 节点](/zh-cn/docs/tasks/debug/debug-cluster/crictl/)
+* 获取更多关于 [Kubernetes 审计](/zh-cn/docs/tasks/debug/debug-cluster/audit/)的信息
+* 使用 `telepresence` [本地开发和调试服务](/zh-cn/docs/tasks/debug/debug-cluster/local-debugging/)
\ No newline at end of file
diff --git a/content/zh-cn/docs/tasks/debug/debug-cluster/windows.md b/content/zh-cn/docs/tasks/debug/debug-cluster/windows.md
index 0dd8dba8e58..2ebfc8c1aa9 100644
--- a/content/zh-cn/docs/tasks/debug/debug-cluster/windows.md
+++ b/content/zh-cn/docs/tasks/debug/debug-cluster/windows.md
@@ -1,53 +1,67 @@
 ---
-title: Windows 调试小技巧
+title: Windows 调试技巧
 content_type: concept
 ---
+
 <!--
+reviewers:
+- aravindhp
+- jayunit100
+- jsturtevant
+- marosset
 title: Windows debugging tips
 content_type: concept
 -->
+
 <!-- overview -->
 
 <!-- body -->
+
 <!-- 
 ## Node-level troubleshooting {#troubleshooting-node}
 
 1. My Pods are stuck at "Container Creating" or restarting over and over
 
    Ensure that your pause image is compatible with your Windows OS version.
-   See [Pause container](/docs/setup/production-environment/windows/intro-windows-in-kubernetes#pause-container)
+   See [Pause container](/docs/concepts/windows/intro/#pause-container)
    to see the latest / recommended pause image and/or get more information.
-
-   {{< note >}}
-   If using containerd as your container runtime the pause image is specified in the
-   `plugins.plugins.cri.sandbox_image` field of the of config.toml configration file.
-   {{< /note >}}
 -->
 ## 工作节点级别排障 {#troubleshooting-node}
 
 1. 我的 Pod 都卡在 “Container Creating” 或者不断重启
 
    确保你的 pause 镜像跟你的 Windows 版本兼容。
-   查看 [Pause 容器](zh/docs/setup/production-environment/windows/intro-windows-in-kubernetes#pause-container)
+   查看 [Pause 容器](/zh-cn/docs/concepts/windows/intro/#pause-container)
    以了解最新的或建议的 pause 镜像，或者了解更多信息。
 
    {{< note >}}
-   如果你使用了 containerd 作为你的容器运行时，pause 镜像在 config.toml 配置文件的
+   <!--
+   If using containerd as your container runtime the pause image is specified in the
+   `plugins.plugins.cri.sandbox_image` field of the of config.toml configration file.
+   -->
+   如果你在使用 containerd 作为你的容器运行时，pause 镜像在 config.toml 配置文件的
    `plugins.plugins.cri.sandbox_image` 中指定。
    {{< /note >}}
+
 <!-- 
 2. My pods show status as `ErrImgPull` or `ImagePullBackOff`
 
-   Ensure that your Pod is getting scheduled to a [compatable](https://docs.microsoft.com/virtualization/windowscontainers/deploy-containers/version-compatibility) Windows Node.
+   Ensure that your Pod is getting scheduled to a
+   [compatible](https://docs.microsoft.com/virtualization/windowscontainers/deploy-containers/version-compatibility)
+   Windows Node.
 
-   More information on how to specify a compatable node for your Pod can be found in [this guide](/docs/setup/production-environment/windows/user-guide-windows-containers/#ensuring-os-specific-workloads-land-on-the-appropriate-container-host).
+   More information on how to specify a compatible node for your Pod can be found in
+   [this guide](/docs/concepts/windows/user-guide/#ensuring-os-specific-workloads-land-on-the-appropriate-container-host).
 -->
-2. 我的 pod 状态显示 'ErrImgPull' 或者 ‘ImagePullBackOff’
+2. 我的 Pod 状态显示 'ErrImgPull' 或者 'ImagePullBackOff'
 
-   保证你的 Pod 被调度到[兼容的](https://docs.microsoft.com/virtualization/windowscontainers/deploy-containers/version-compatibility) Windows 节点上。
+   保证你的 Pod 被调度到[兼容的](https://docs.microsoft.com/virtualization/windowscontainers/deploy-containers/version-compatibility)
+   Windows 节点上。
 
    关于如何为你的 Pod 指定一个兼容节点，
-   的更多信息可以查看这个指可以查看[这个指南](/zh-cn/docs/setup/production-environment/windows/user-guide-windows-containers/#ensuring-os-specific-workloads-land-on-the-appropriate-container-host)以了解更多的信息。
+   可以查看这个指可以查看[这个指南](/zh-cn/docs/concepts/windows/user-guide/#ensuring-os-specific-workloads-land-on-the-appropriate-container-host)
+   以了解更多的信息。
+
 <!-- 
 ## Network troubleshooting {#troubleshooting-network}
 
@@ -61,19 +75,30 @@ content_type: concept
 1. 我的 Windows Pod 没有网络连接
 
    如果你使用的是虚拟机，请确保所有 VM 网卡上都已启用 MAC spoofing。
+
 <!-- 
-2. My Windows Pods cannot ping external resources
+1. My Windows Pods cannot ping external resources
 
    Windows Pods do not have outbound rules programmed for the ICMP protocol. However,
    TCP/UDP is supported. When trying to demonstrate connectivity to resources
    outside of the cluster, substitute `ping <IP>` with corresponding
    `curl <IP>` commands.
+-->
+2. 我的 Windows Pod 不能 ping 通外界资源
 
+   Windows Pod 没有为 ICMP 协议编写出站规则，但 TCP/UDP 是支持的。当试图演示与集群外部资源的连接时，可以把 `ping <IP>` 替换为 `curl <IP>` 命令。
+
+   <!--
    If you are still facing problems, most likely your network configuration in
    [cni.conf](https://github.com/Microsoft/SDN/blob/master/Kubernetes/flannel/l2bridge/cni/config/cni.conf)
    deserves some extra attention. You can always edit this static file. The
    configuration update will apply to any new Kubernetes resources.
+   -->
+   如果你仍然遇到问题，很可能你需要额外关注
+   [cni.conf](https://github.com/Microsoft/SDN/blob/master/Kubernetes/flannel/l2bridge/cni/config/cni.conf)
+   的配置。你可以随时编辑这个静态文件。更新配置将应用于新的 Kubernetes 资源。
 
+   <!--
    One of the Kubernetes networking requirements
    (see [Kubernetes model](/docs/concepts/cluster-administration/networking/)) is
    for cluster communication to occur without
@@ -84,31 +109,16 @@ content_type: concept
    from the `ExceptionList`. Only then will the traffic originating from your Windows
    pods be SNAT'ed correctly to receive a response from the outside world. In this
    regard, your `ExceptionList` in `cni.conf` should look as follows:
-
-   ```conf
-   "ExceptionList": [
-                   "10.244.0.0/16",  # Cluster subnet
-                   "10.96.0.0/12",   # Service subnet
-                   "10.127.130.0/24" # Management (host) subnet
-               ]
-   ```
--->
-2. 我的 Windows Pod 不能 ping 通外界资源
-
-   Windows Pod 没有为 ICMP 协议编写出站规则，但 TCP/UDP 是支持的。当试图演示与集群外部资源的连接时，可以把 `ping <IP>` 替换为 `curl <IP>` 命令。
-
-   如果你仍然遇到问题，很可能你需要额外关注
-   [cni.conf](https://github.com/Microsoft/SDN/blob/master/Kubernetes/flannel/l2bridge/cni/config/cni.conf)
-   的配置。你可以随时编辑这个静态文件。更新配置将应用于新的 Kubernetes 资源。
-
+   -->
    Kubernetes 的网络需求之一 (查看 [Kubernetes 模型](/zh-cn/docs/concepts/cluster-administration/networking/)) 
    是集群通信不需要内部的 NAT。
-   为了遵守这一要求， 对于你不希望发生的出站 NAT 通信，这里有一个
+   为了遵守这一要求，对于你不希望发生的出站 NAT 通信，这里有一个
    [ExceptionList](https://github.com/Microsoft/SDN/blob/master/Kubernetes/flannel/l2bridge/cni/config/cni.conf#L20) 。
    然而，这也意味着你需要从 `ExceptionList` 中去掉你试图查询的外部IP。
    只有这样，来自你的 Windows Pod 的流量才会被正确地 SNAT 转换，以接收来自外部环境的响应。
    就此而言，你的 `cni.conf` 中的 `ExceptionList` 应该如下所示：
 
+   <!--
    ```conf
    "ExceptionList": [
                    "10.244.0.0/16",  # Cluster subnet
@@ -116,58 +126,59 @@ content_type: concept
                    "10.127.130.0/24" # Management (host) subnet
                ]
    ```
+   -->
+
+   ```conf
+   "ExceptionList": [
+       "10.244.0.0/16",  # 集群子网
+       "10.96.0.0/12",   # 服务子网
+       "10.127.130.0/24" # 管理（主机）子网
+   ]
+   ```
 <!--  
-3. My Windows node cannot access `NodePort` type Services
+1. My Windows node cannot access `NodePort` type Services
 
    Local NodePort access from the node itself fails. This is a known
    limitation. NodePort access works from other nodes or external clients.
+-->
+3. 我的 Windows 节点无法访问 `NodePort` 类型 Service
 
-4. vNICs and HNS endpoints of containers are being deleted
+   从节点本身访问本地 NodePort 失败，是一个已知的限制。
+   你可以从其他节点或外部客户端正常访问 NodePort。
+
+<!--
+1. vNICs and HNS endpoints of containers are being deleted
 
    This issue can be caused when the `hostname-override` parameter is not passed to
    [kube-proxy](/docs/reference/command-line-tools-reference/kube-proxy/). To resolve
    it, users need to pass the hostname to kube-proxy as follows:
-
-   ```powershell
-   C:\k\kube-proxy.exe --hostname-override=$(hostname)
-   ```
 -->
-3. 我的 Windows 节点无法访问 `NodePort` 类型服务
+4. 容器的 vNIC 和 HNS 端点正在被删除
 
-   从节点本身访问本地 NodePort 失败，是一个已知的限制。你可以从其他节点或外部客户端正常访问 NodePort。
-
-4. 容器的 vnic 和 HNS endpoints 正在被删除
-
-   当 `hostname-override` 参数没有传递给 [kube-proxy](/zh-cn/docs/reference/command-line-tools-reference/kube-proxy/)
+   当 `hostname-override` 参数没有传递给
+   [kube-proxy](/zh-cn/docs/reference/command-line-tools-reference/kube-proxy/)
    时可能引发这一问题。想要解决这个问题，用户需要将主机名传递给 kube-proxy，如下所示：
 
    ```powershell
    C:\k\kube-proxy.exe --hostname-override=$(hostname)
    ```
+
 <!-- 
-5. My Windows node cannot access my services using the service IP
+1. My Windows node cannot access my services using the service IP
 
    This is a known limitation of the networking stack on Windows. However, Windows Pods can access the Service IP.
-
-6. No network adapter is found when starting the kubelet
-
-   The Windows networking stack needs a virtual adapter for Kubernetes networking to work.
-   If the following commands return no results (in an admin shell),
-   virtual network creation — a necessary prerequisite for the kubelet to work — has failed:
-
-   ```powershell
-   Get-HnsNetwork | ? Name -ieq "cbr0"
-   Get-NetAdapter | ? Name -Like "vEthernet (Ethernet*"
-   ```
-
-   Often it is worthwhile to modify the [InterfaceName](https://github.com/microsoft/SDN/blob/master/Kubernetes/flannel/start.ps1#L7) parameter of the start.ps1 script,
-   in cases where the host's network adapter isn't "Ethernet".
-   Otherwise, consult the output of the `start-kubelet.ps1` script to see if there are errors during virtual network creation.
 -->
 5. 我的 Windows 节点无法通过服务 IP 访问我的服务
 
    这是 Windows 上网络栈的一个已知限制。但是 Windows Pod 可以访问 Service IP。
 
+<!--
+1. No network adapter is found when starting the kubelet
+
+   The Windows networking stack needs a virtual adapter for Kubernetes networking to work.
+   If the following commands return no results (in an admin shell),
+   virtual network creation — a necessary prerequisite for the kubelet to work — has failed:
+-->
 6. 启动 kubelet 时找不到网络适配器
 
    Windows 网络栈需要一个虚拟适配器才能使 Kubernetes 网络工作。
@@ -179,39 +190,42 @@ content_type: concept
    Get-NetAdapter | ? Name -Like "vEthernet (Ethernet*"
    ```
 
+   <!--
+   Often it is worthwhile to modify the [InterfaceName](https://github.com/microsoft/SDN/blob/master/Kubernetes/flannel/start.ps1#L7) parameter of the start.ps1 script,
+   in cases where the host's network adapter isn't "Ethernet".
+   Otherwise, consult the output of the `start-kubelet.ps1` script to see if there are errors during virtual network creation.
+   -->
    如果主机的网络适配器不是 "Ethernet"，通常有必要修改 `start.ps1` 脚本的
-   [InterfaceName](https://github.com/microsoft/SDN/blob/master/Kubernetes/flannel/start.ps1#L7) 参数。
-   否则，如果虚拟网络创建过程出错，请检查 `start-kubelet.ps1` 脚本的输出。
+   [InterfaceName](https://github.com/microsoft/SDN/blob/master/Kubernetes/flannel/start.ps1#L7)
+   参数。否则，如果虚拟网络创建过程出错，请检查 `start-kubelet.ps1` 脚本的输出。
+
 <!--    
-7. DNS resolution is not properly working
+1. DNS resolution is not properly working
 
    Check the DNS limitations for Windows in this [section](#dns-limitations).
+-->
+7. DNS 解析工作异常
 
-8. `kubectl port-forward` fails with "unable to do port forwarding: wincat not found"
+   查阅[这一节](#dns-limitations)中讲述的 Windows 系统上的 DNS 限制。
+
+<!--
+1. `kubectl port-forward` fails with "unable to do port forwarding: wincat not found"
 
    This was implemented in Kubernetes 1.15 by including `wincat.exe` in the pause infrastructure container `mcr.microsoft.com/oss/kubernetes/pause:3.6`.
    Be sure to use a supported version of Kubernetes.
    If you would like to build your own pause infrastructure container be sure to include [wincat](https://github.com/kubernetes/kubernetes/tree/master/build/pause/windows/wincat).
 -->
-7. DNS 解析工作异常
-
-   在[本节](#dns-limitations)中了解 Windows 系统上的 DNS 限制。
-
 8. `kubectl port-forward` 失败，错误为 "unable to do port forwarding: wincat not found"
 
    在 Kubernetes 1.15 中，pause 基础架构容器 `mcr.microsoft.com/oss/kubernetes/pause:3.6`
    中包含 `wincat.exe` 来实现端口转发。
    请确保使用 Kubernetes 的受支持版本。如果你想构建自己的 pause 基础架构容器，
    请确保其中包含 [wincat](https://github.com/kubernetes/kubernetes/tree/master/build/pause/windows/wincat)。
+
 <!--   
-9. My Kubernetes installation is failing because my Windows Server node is behind a proxy
+1. My Kubernetes installation is failing because my Windows Server node is behind a proxy
 
    If you are behind a proxy, the following PowerShell environment variables must be defined:
-
-   ```PowerShell
-   [Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://proxy.example.com:80/", [EnvironmentVariableTarget]::Machine)
-   [Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://proxy.example.com:443/", [EnvironmentVariableTarget]::Machine)
-   ```
 -->
 9. 我的 Kubernetes 安装失败，因为我的 Windows 服务器节点使用了代理服务器
 
@@ -221,6 +235,7 @@ content_type: concept
    [Environment]::SetEnvironmentVariable("HTTP_PROXY", "http://proxy.example.com:80/", [EnvironmentVariableTarget]::Machine)
    [Environment]::SetEnvironmentVariable("HTTPS_PROXY", "http://proxy.example.com:443/", [EnvironmentVariableTarget]::Machine)
    ```
+
 <!-- 
 ### Flannel troubleshooting
 
@@ -229,11 +244,6 @@ content_type: concept
    Whenever a previously deleted node is being re-joined to the cluster, flannelD
    tries to assign a new pod subnet to the node. Users should remove the old pod
    subnet configuration files in the following paths:
-
-   ```powershell
-   Remove-Item C:\k\SourceVip.json
-   Remove-Item C:\k\SourceVipRequest.json
-   ```
 -->
 ## Flannel 故障排查 {#troubleshooting-network}
 
@@ -246,43 +256,39 @@ content_type: concept
    Remove-Item C:\k\SourceVip.json
    Remove-Item C:\k\SourceVipRequest.json
    ```
+
 <!-- 
-2. Flanneld is stuck in "Waiting for the Network to be created"
+1. Flanneld is stuck in "Waiting for the Network to be created"
 
    There are numerous reports of this [issue](https://github.com/coreos/flannel/issues/1066);
    most likely it is a timing issue for when the management IP of the flannel network is set.
    A workaround is to relaunch `start.ps1` or relaunch it manually as follows:
+-->
+2. Flanneld 卡在 "Waiting for the Network to be created"
 
+   关于这个[问题](https://github.com/coreos/flannel/issues/1066)有很多报告；
+   很可能是 Flannel 网络管理 IP 的设置时机问题。
+   一个变通方法是重新启动 `start.ps1` 或按如下方式手动重启：
+
+   <!--
    ```powershell
    [Environment]::SetEnvironmentVariable("NODE_NAME", "<Windows_Worker_Hostname>")
    C:\flannel\flanneld.exe --kubeconfig-file=c:\k\config --iface=<Windows_Worker_Node_IP> --ip-masq=1 --kube-subnet-mgr=1
    ```
--->
-2. Flanneld 卡在 "Waiting for the Network to be created"
-
-   关于这个[问题](https://github.com/coreos/flannel/issues/1066)有很多报告 ；
-   很可能是 flannel 网络管理 IP 的设置时机问题。
-   一个变通方法是重新启动 `start.ps1` 或按如下方式手动重启：
-
+   -->
    ```powershell
    [Environment]::SetEnvironmentVariable("NODE_NAME", "<Windows 工作节点主机名>")
    C:\flannel\flanneld.exe --kubeconfig-file=c:\k\config --iface=<Windows 工作节点 IP> --ip-masq=1 --kube-subnet-mgr=1
    ```
+
 <!-- 
-3. My Windows Pods cannot launch because of missing `/run/flannel/subnet.env`
+1. My Windows Pods cannot launch because of missing `/run/flannel/subnet.env`
 
    This indicates that Flannel didn't launch correctly. You can either try
    to restart `flanneld.exe` or you can copy the files over manually from
    `/run/flannel/subnet.env` on the Kubernetes master to `C:\run\flannel\subnet.env`
    on the Windows worker node and modify the `FLANNEL_SUBNET` row to a different
    number. For example, if node subnet 10.244.4.1/24 is desired:
-
-   ```env
-   FLANNEL_NETWORK=10.244.0.0/16
-   FLANNEL_SUBNET=10.244.4.1/24
-   FLANNEL_MTU=1500
-   FLANNEL_IPMASQ=true
-   ```
 -->
 3. 我的 Windows Pod 无法启动，因为缺少 `/run/flannel/subnet.env`
 
@@ -312,3 +318,4 @@ If these steps don't resolve your problem, you can get help running Windows cont
 * StackOverflow [Windows Server Container](https://stackoverflow.com/questions/tagged/windows-server-container) topic
 * Kubernetes 官方论坛 [discuss.kubernetes.io](https://discuss.kubernetes.io/)
 * Kubernetes Slack [#SIG-Windows Channel](https://kubernetes.slack.com/messages/sig-windows)
+
diff --git a/content/zh-cn/docs/tasks/extend-kubernetes/configure-aggregation-layer.md b/content/zh-cn/docs/tasks/extend-kubernetes/configure-aggregation-layer.md
index 6c2f42129e3..730a5392f60 100644
--- a/content/zh-cn/docs/tasks/extend-kubernetes/configure-aggregation-layer.md
+++ b/content/zh-cn/docs/tasks/extend-kubernetes/configure-aggregation-layer.md
@@ -289,7 +289,7 @@ The Kubernetes apiserver will use the files indicated by `--proxy-client-*-file`
 1. The connection must be made using a client certificate that is signed by the CA whose certificate is in `--requestheader-client-ca-file`.
 2. The connection must be made using a client certificate whose CN is one of those listed in `--requestheader-allowed-names`. **Note:** You can set this option to blank as `--requestheader-allowed-names=""`. This will indicate to an extension apiserver that _any_ CN is acceptable.
 -->
-Kubernetes apiserver 将使用由 `--proxy-client-*-file` 指示的文件来验证扩展 apiserver。
+Kubernetes apiserver 将使用由 `--proxy-client-*-file` 指示的文件来向扩展 apiserver认证。
 为了使合规的扩展 apiserver 能够将该请求视为有效，必须满足以下条件：
 
 1. 连接必须使用由 CA 签署的客户端证书，该证书的证书位于 `--requestheader-client-ca-file` 中。
diff --git a/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definition-versioning.md b/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definition-versioning.md
index 540e8736fe3..43d4d1a10a2 100644
--- a/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definition-versioning.md
+++ b/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definition-versioning.md
@@ -509,6 +509,39 @@ spec:
 {{% /tab %}}
 {{< /tabs >}}
 
+<!--
+### Version removal
+
+An older API version cannot be dropped from a CustomResourceDefinition manifest until existing persisted data has been migrated to the newer API version for all clusters that served the older version of the custom resource, and the old version is removed from the `status.storedVersions` of the CustomResourceDefinition.
+-->
+### 版本删除   {#version-removal}
+
+在为所有提供旧版本自定义资源的集群将现有数据迁移到新 API 版本，并且从 CustomResourceDefinition 的
+`status.storedVersions` 中删除旧版本之前，无法从 CustomResourceDefinition 清单文件中删除旧 API 版本。
+
+```yaml
+apiVersion: apiextensions.k8s.io/v1
+kind: CustomResourceDefinition
+  name: crontabs.example.com
+spec:
+  group: example.com
+  names:
+    plural: crontabs
+    singular: crontab
+    kind: CronTab
+  scope: Namespaced
+  versions:
+  - name: v1beta1
+    # 此属性标明该自定义资源的 v1beta1 版本已不再提供。
+    # 发给此版本的 API 请求会在服务器响应中收到未找到的错误。
+    served: false
+    schema: ...
+  - name: v1
+    served: true
+    # 新提供的版本应该设置为存储版本。
+    storage: true
+    schema: ...
+```
 
 <!--
 ## Webhook conversion
diff --git a/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md b/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
index df078bdb747..67db6aa6839 100644
--- a/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
+++ b/content/zh-cn/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions.md
@@ -310,7 +310,8 @@ kubectl get crontabs
 ```
 
 ```none
-Error from server (NotFound): Unable to list {"stable.example.com" "v1" "crontabs"}: the server could not find the requested resource (get crontabs.stable.example.com)
+Error from server (NotFound): Unable to list {"stable.example.com" "v1" "crontabs"}: the server could not
+find the requested resource (get crontabs.stable.example.com)
 ```
 
 <!--
@@ -346,11 +347,15 @@ CustomResource 对象在定制字段中保存结构化的数据，这些字段
 <!--
 A structural schema is an [OpenAPI v3.0 validation schema](#validation) which:
 
-1. specifies a non-empty type (via `type` in OpenAPI) for the root, for each specified field of an object node (via `properties` or `additionalProperties` in OpenAPI) and for each item in an array node (via `items` in OpenAPI), with the exception of:
+1. specifies a non-empty type (via `type` in OpenAPI) for the root, for each specified field of an object node
+   (via `properties` or `additionalProperties` in OpenAPI) and for each item in an array node
+   (via `items` in OpenAPI), with the exception of:
    * a node with `x-kubernetes-int-or-string: true`
    * a node with `x-kubernetes-preserve-unknown-fields: true`
-2. for each field in an object and each item in an array which is specified within any of `allOf`, `anyOf`, `oneOf` or `not`, the schema also specifies the field/item outside of those logical junctors (compare example 1 and 2).
-3. does not set `description`, `type`, `default`, `additionalProperties`, `nullable` within an `allOf`, `anyOf`, `oneOf` or `not`, with the exception of the two pattern for `x-kubernetes-int-or-string: true` (see below).
+2. for each field in an object and each item in an array which is specified within any of `allOf`, `anyOf`,
+   `oneOf` or `not`, the schema also specifies the field/item outside of those logical junctors (compare example 1 and 2).
+3. does not set `description`, `type`, `default`, `additionalProperties`, `nullable` within an `allOf`, `anyOf`,
+   `oneOf` or `not`, with the exception of the two pattern for `x-kubernetes-int-or-string: true` (see below).
 4. if `metadata` is specified, then only restrictions on `metadata.name` and `metadata.generateName` are allowed.
 -->
 结构化模式本身是一个 [OpenAPI v3.0 验证模式](#validation)，其中：
@@ -509,7 +514,9 @@ Violations of the structural schema rules are reported in the `NonStructural` co
 <!--
 ### Field pruning
 
-CustomResourceDefinitions store validated resource data in the cluster's persistence store, {{< glossary_tooltip term_id="etcd" text="etcd">}}. As with native Kubernetes resources such as {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}}, if you specify a field that the API server does not recognize, the unknown field  is _pruned_ (removed) before being persisted.
+CustomResourceDefinitions store validated resource data in the cluster's persistence store, {{< glossary_tooltip term_id="etcd" text="etcd">}}.
+As with native Kubernetes resources such as {{< glossary_tooltip text="ConfigMap" term_id="configmap" >}},
+if you specify a field that the API server does not recognize, the unknown field  is _pruned_ (removed) before being persisted.
 -->
 ### 字段剪裁     {#field-pruning}
 
@@ -521,9 +528,8 @@ CustomResourceDefinition 在集群的持久性存储
 被 _剪裁（Pruned）_ 掉（删除）。
 
 <!--
-CRDs converted from `apiextensions.k8s.io/v1beta1` to
-`apiextensions.k8s.io/v1` might lack structural schemas, and
-`spec.preserveUnknownFields` might be `true`.
+CRDs converted from `apiextensions.k8s.io/v1beta1` to `apiextensions.k8s.io/v1` might lack structural schemas,
+and `spec.preserveUnknownFields` might be `true`.
 
 For legacy CustomResourceDefinition objects created as
 `apiextensions.k8s.io/v1beta1` with `spec.preserveUnknownFields` set to
@@ -581,11 +587,11 @@ kubectl create --validate=false -f my-crontab.yaml -o yaml
 ```
 
 <!--
-your output is similar to:
+Your output is similar to:
 -->
 输出类似于：
 
-```console
+```yaml
 apiVersion: stable.example.com/v1
 kind: CronTab
 metadata:
@@ -618,7 +624,9 @@ to clients, `kubectl` also checks for unknown fields and rejects those objects w
 <!--
 #### Controlling pruning
 
-By default, all unspecified fields for a custom resource, across all versions, are pruned. It is possible though to opt-out of that for specific sub-trees of fields by adding `x-kubernetes-preserve-unknown-fields: true` in the [structural OpenAPI v3 validation schema](#specifying-a-structural-schema).
+By default, all unspecified fields for a custom resource, across all versions, are pruned. It is possible though to
+opt-out of that for specifc sub-trees of fields by adding `x-kubernetes-preserve-unknown-fields: true` in the
+[structural OpenAPI v3 validation schema](#specifying-a-structural-schema).
 For example:
 -->
 #### 控制剪裁   {#controlling-pruning}
@@ -731,9 +739,8 @@ properties:
 ```
 
 <!--
-Also those nodes are partially excluded from rule 3 in the sense that the
-following two patterns are allowed (exactly those, without variations in order
-to additional fields):
+Also those nodes are partially excluded from rule 3 in the sense that the following two patterns are allowed
+(exactly those, without variations in order to additional fields):
 -->
 此外，所有这类节点也不再受规则 3 约束，也就是说，下面两种模式是被允许的
 （注意，仅限于这两种模式，不支持添加新字段的任何其他变种）：
@@ -776,7 +783,8 @@ RawExtensions (as in `runtime.RawExtension` defined in
 [k8s.io/apimachinery](https://github.com/kubernetes/apimachinery/blob/03ac7a9ade429d715a1a46ceaa3724c18ebae54f/pkg/runtime/types.go#L94))
 holds complete Kubernetes objects, i.e. with `apiVersion` and `kind` fields.
 
-It is possible to specify those embedded objects (both completely without constraints or partially specified) by setting `x-kubernetes-embedded-resource: true`. For example:
+It is possible to specify those embedded objects (both completely without constraints or partially specified)
+by setting `x-kubernetes-embedded-resource: true`. For example:
 -->
 RawExtensions（就像在
 [k8s.io/apimachinery](https://github.com/kubernetes/apimachinery/blob/03ac7a9ade429d715a1a46ceaa3724c18ebae54f/pkg/runtime/types.go#L94)
@@ -809,9 +817,8 @@ foo:
 ```
 
 <!--
-Because `x-kubernetes-preserve-unknown-fields: true` is specified alongside,
-nothing is pruned. The use of `x-kubernetes-preserve-unknown-fields: true` is
-optional though.
+Because `x-kubernetes-preserve-unknown-fields: true` is specified alongside, nothing is pruned.
+The use of `x-kubernetes-preserve-unknown-fields: true` is optional though.
 
 With `x-kubernetes-embedded-resource: true`, the `apiVersion`, `kind` and `metadata` are implicitly specified and validated.
 -->
@@ -1250,14 +1257,14 @@ Compilation process includes type checking as well.
 The compilation failure:
 - `no_matching_overload`: this function has no overload for the types of the arguments.
 
-   e.g. Rule like `self == true` against a field of integer type will get error:
+  e.g. Rule like `self == true` against a field of integer type will get error:
   ```
   Invalid value: apiextensions.ValidationRule{Rule:"self == true", Message:""}: compilation failed: ERROR: \<input>:1:6: found no matching overload for '_==_' applied to '(int, bool)'
   ```
 
 - `no_such_field`: does not contain the desired field.
 
-   e.g. Rule like `self.nonExistingField > 0` against a non-existing field will return the error:
+  e.g. Rule like `self.nonExistingField > 0` against a non-existing field will return the error:
   ```
   Invalid value: apiextensions.ValidationRule{Rule:"self.nonExistingField > 0", Message:""}: compilation failed: ERROR: \<input>:1:5: undefined field 'nonExistingField'
   ```
@@ -1303,7 +1310,7 @@ Validation Rules Examples:
 | `has(self.expired) && self.created + self.ttl < self.expired`                    | Validate that 'expired' date is after a 'create' date plus a 'ttl' duration       |
 | `self.health.startsWith('ok')`                                                   | Validate a 'health' string field has the prefix 'ok'                              |
 | `self.widgets.exists(w, w.key == 'x' && w.foo < 10)`                             | Validate that the 'foo' property of a listMap item with a key 'x' is less than 10 |
-| `type(self) == string ? self == '100%' : self == 1000`                           | Validate an int-or-string field for both the the int and string cases             |
+| `type(self) == string ? self == '100%' : self == 1000`                           | Validate an int-or-string field for both the int and string cases             |
 | `self.metadata.name.startsWith(self.prefix)`                                     | Validate that an object's name has the prefix of another field value              |
 | `self.set1.all(e, !(e in self.set2))`                                            | Validate that two listSets are disjoint                                           |
 | `size(self.names) == size(self.details) && self.names.all(n, n in self.details)` | Validate the 'details' map is keyed by the items in the 'names' listSet           |
@@ -1469,7 +1476,7 @@ Examples:
 The `apiVersion`, `kind`, `metadata.name` and `metadata.generateName` are always accessible from the root of the
 object and from any x-kubernetes-embedded-resource annotated objects. No other metadata properties are accessible.
 -->
-`apiVersion`、`kind``metadata.name` 和 `metadata.generateName` 始终可以从对象的根目录和任何
+`apiVersion`、`kind`、`metadata.name` 和 `metadata.generateName` 始终可以从对象的根目录和任何
 带有 `x-kubernetes-embedded-resource` 注解的对象访问。
 其他元数据属性都不可访问。
 
@@ -1605,8 +1612,9 @@ Here is the declarations type mapping between OpenAPIv3 and CEL type:
 | 带有 format=duration 字符串                      | duration (google.protobuf.Duration)                                                                                          |
 
 <!--
-xref: [CEL types](https://github.com/google/cel-spec/blob/v0.6.0/doc/langdef.md#values), [OpenAPI
-types](https://swagger.io/specification/#data-types), [Kubernetes Structural Schemas](https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/#specifying-a-structural-schema).
+xref: [CEL types](https://github.com/google/cel-spec/blob/v0.6.0/doc/langdef.md#values),
+[OpenAPI types](https://swagger.io/specification/#data-types),
+[Kubernetes Structural Schemas](/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/#specifying-a-structural-schema).
 -->
 参考：[CEL 类型](https://github.com/google/cel-spec/blob/v0.6.0/doc/langdef.md#values)，
 [OpenAPI 类型](https://swagger.io/specification/#data-types)，
@@ -1619,10 +1627,10 @@ types](https://swagger.io/specification/#data-types), [Kubernetes Structural Sch
 
 <!--
 Functions available include:
-  - CEL standard functions, defined in the [list of standard definitions](https://github.com/google/cel-spec/blob/v0.7.0/doc/langdef.md#list-of-standard-definitions)
-  - CEL standard [macros](https://github.com/google/cel-spec/blob/v0.7.0/doc/langdef.md#macros)
-  - CEL [extended string function library](https://pkg.go.dev/github.com/google/cel-go@v0.11.2/ext#Strings)
-  - Kubernetes [CEL extension library](https://pkg.go.dev/k8s.io/apiextensions-apiserver@v0.24.0/pkg/apiserver/schema/cel/library#pkg-functions)
+- CEL standard functions, defined in the [list of standard definitions](https://github.com/google/cel-spec/blob/v0.7.0/doc/langdef.md#list-of-standard-definitions)
+- CEL standard [macros](https://github.com/google/cel-spec/blob/v0.7.0/doc/langdef.md#macros)
+- CEL [extended string function library](https://pkg.go.dev/github.com/google/cel-go@v0.11.2/ext#Strings)
+- Kubernetes [CEL extension library](https://pkg.go.dev/k8s.io/apiextensions-apiserver@v0.24.0/pkg/apiserver/schema/cel/library#pkg-functions)
 -->
 可用的函数包括：
   - CEL 标准函数，在[标准定义列表](https://github.com/google/cel-spec/blob/v0.7.0/doc/langdef.md#list-of-standard-definitions)中定义
@@ -1690,7 +1698,8 @@ schema is not mergeable"。
 
 <!--
 Transition rules are only allowed on _correlatable portions_ of a schema.
-A portion of the schema is correlatable if all `array` parent schemas are of type `x-kubernetes-list-type=map`; any `set`or `atomic`array parent schemas make it impossible to unambiguously correlate a `self` with `oldSelf`.
+A portion of the schema is correlatable if all `array` parent schemas are of type `x-kubernetes-list-type=map`;
+any `set`or `atomic`array parent schemas make it impossible to unambiguously correlate a `self` with `oldSelf`.
 -->
 转换规则只允许在模式的“可关联部分（Correlatable Portions）”中使用。
 如果所有 `array` 父模式都是 `x-kubernetes-list-type=map`类型的，那么该模式的一部分就是可关联的；
@@ -1766,16 +1775,17 @@ longer to execute depending on how long `foo` is.
 但是，如果 `foo` 是一个字符串，而你定义了一个验证规则 `self.foo.contains("someString")`，
 这个规则需要更长的时间来执行，取决于 `foo` 有多长。
 <!--
-Another example would be if `foo` were an array, and you specified a validation rule `self.foo.all(x, x > 5)`. The cost system always assumes the worst-case scenario if
-a limit on the length of `foo` is not given, and this will happen for anything that can be iterated
-over (lists, maps, etc.).
+Another example would be if `foo` were an array, and you specified a validation rule `self.foo.all(x, x > 5)`.
+The cost system always assumes the worst-case scenario if a limit on the length of `foo` is not
+given, and this will happen for anything that can be iterated over (lists, maps, etc.).
 -->
 另一个例子是如果 `foo` 是一个数组，而你指定了验证规则 `self.foo.all(x, x > 5)`。
 如果没有给出 `foo` 的长度限制，成本系统总是假设最坏的情况，这将发生在任何可以被迭代的事物上（list、map 等）。
 
 <!--
 Because of this, it is considered best practice to put a limit via `maxItems`, `maxProperties`, and
-`maxLength` for anything that will be processed in a validation rule in order to prevent validation errors during cost estimation. For example, given this schema with one rule:
+`maxLength` for anything that will be processed in a validation rule in order to prevent validation
+errors during cost estimation. For example, given this schema with one rule:
 -->
 因此，通过 `maxItems`，`maxProperties` 和 `maxLength` 进行限制被认为是最佳实践，
 以在验证规则中处理任何内容，以防止在成本估算期间验证错误。例如，给定具有一个规则的模式：
@@ -1797,9 +1807,9 @@ then the API server rejects this rule on validation budget grounds with error:
 -->
 API 服务器以验证预算为由拒绝该规则，并显示错误：
 ```
- spec.validation.openAPIV3Schema.properties[spec].properties[foo].x-kubernetes-validations[0].rule: Forbidden:
- CEL rule exceeded budget by more than 100x (try simplifying the rule, or adding maxItems, maxProperties, and
- maxLength where arrays, maps, and strings are used)
+spec.validation.openAPIV3Schema.properties[spec].properties[foo].x-kubernetes-validations[0].rule: Forbidden: 
+CEL rule exceeded budget by more than 100x (try simplifying the rule, or adding maxItems, maxProperties, and 
+maxLength where arrays, maps, and strings are used)
 ```
 
 <!--
@@ -1855,7 +1865,8 @@ openAPIV3Schema:
 
 <!--
 If a list inside of a list has a validation rule that uses `self.all`, that is significantly more expensive
-than a non-nested list with the same rule. A rule that would have been allowed on a non-nested list might need lower limits set on both nested lists in order to be allowed. For example, even without having limits set,
+than a non-nested list with the same rule. A rule that would have been allowed on a non-nested list might need
+lower limits set on both nested lists in order to be allowed. For example, even without having limits set,
 the following rule is allowed:
 -->
 如果在一个列表内部的一个列表有一个使用 `self.all` 的验证规则，那就会比具有相同规则的非嵌套列表的成本高得多。
@@ -1993,7 +2004,8 @@ Defaulting happens on the object
 * when reading from etcd using the storage version defaults,
 * after mutating admission plugins with non-empty patches using the admission webhook object version defaults.
 
-Defaults applied when reading data from etcd are not automatically written back to etcd. An update request via the API is required to persist those defaults back into etcd.
+Defaults applied when reading data from etcd are not automatically written back to etcd.
+An update request via the API is required to persist those defaults back into etcd.
 -->
 默认值设定的行为发生在定制对象上：
 
@@ -2008,7 +2020,9 @@ Defaults applied when reading data from etcd are not automatically written back
 <!--
 Default values must be pruned (with the exception of defaults for `metadata` fields) and must validate against a provided schema.
 
-Default values for `metadata` fields of `x-kubernetes-embedded-resources: true` nodes (or parts of a default value covering `metadata`) are not pruned during CustomResourceDefinition creation, but through the pruning step during handling of requests.
+Default values for `metadata` fields of `x-kubernetes-embedded-resources: true` nodes (or parts of
+a default value covering `metadata`) are not pruned during CustomResourceDefinition creation, but
+through the pruning step during handling of requests.
 -->
 默认值一定会被剪裁（除了 `metadata` 字段的默认值设置），且必须通过所提供
 的模式定义的检查。
@@ -2020,7 +2034,9 @@ Default values for `metadata` fields of `x-kubernetes-embedded-resources: true`
 <!--
 #### Defaulting and Nullable
 
-**New in 1.20:** null values for fields that either don't specify the nullable flag, or give it a `false` value, will be pruned before defaulting happens. If a default is present, it will be applied. When nullable is `true`, null values will be conserved and won't be defaulted.
+**New in 1.20:** null values for fields that either don't specify the nullable flag, or give it a
+`false` value, will be pruned before defaulting happens. If a default is present, it will be
+applied. When nullable is `true`, null values will be conserved and won't be defaulted.
 
 For example, given the OpenAPI schema below:
 -->
@@ -2074,7 +2090,9 @@ spec:
 ```
 
 <!--
-with `foo` pruned and defaulted because the field is non-nullable, `bar` maintaining the null value due to `nullable: true`, and `baz` pruned because the field is non-nullable and has no default.
+with `foo` pruned and defaulted because the field is non-nullable, `bar` maintaining the null
+value due to `nullable: true`, and `baz` pruned because the field is non-nullable and has no
+default.
 -->
 其中的 `foo` 字段被剪裁掉并重新设置默认值，因为该字段是不可为空的。
 `bar` 字段的 `nullable: true` 使得其能够保有其空值。
@@ -2083,9 +2101,14 @@ with `foo` pruned and defaulted because the field is non-nullable, `bar` maintai
 <!--
 ### Publish Validation Schema in OpenAPI v2
 
-CustomResourceDefinition [OpenAPI v3 validation schemas](#validation) which are [structural](#specifying-a-structural-schema) and [enable pruning](#field-pruning) are published as part of the [OpenAPI v2 spec](/docs/concepts/overview/kubernetes-api/#openapi-and-swagger-definitions) from Kubernetes API server.
+CustomResourceDefinition [OpenAPI v3 validation schemas](#validation) which are
+[structural](#specifying-a-structural-schema) and [enable pruning](#field-pruning) are published
+as part of the [OpenAPI v2 spec](/docs/concepts/overview/kubernetes-api/#openapi-and-swagger-definitions)
+from Kubernetes API server.
 
-The [kubectl](/docs/reference/kubectl/) command-line tool consumes the published schema to perform client-side validation (`kubectl create` and `kubectl apply`), schema explanation (`kubectl explain`) on custom resources. The published schema can be consumed for other purposes as well, like client generation or documentation.
+The [kubectl](/docs/reference/kubectl/) command-line tool consumes the published schema to perform
+client-side validation (`kubectl create` and `kubectl apply`), schema explanation (`kubectl explain`)
+on custom resources. The published schema can be consumed for other purposes as well, like client generation or documentation.
 -->
 ### 以 OpenAPI v2 形式发布合法性检查模式      {#publish-validation-schema-in-openapi-v2}
 
@@ -2117,9 +2140,13 @@ OpenAPI v3 合法性检查模式定义会被转换为 OpenAPI v2 模式定义，
 的[合法性检查](#validation)。
 
 <!--
-1. The following fields are removed as they aren't supported by OpenAPI v2 (in future versions OpenAPI v3 will be used without these restrictions)
+1. The following fields are removed as they aren't supported by OpenAPI v2
+   (in future versions OpenAPI v3 will be used without these restrictions)
+
    - The fields `allOf`, `anyOf`, `oneOf` and `not` are removed
-2. If `nullable: true` is set, we drop `type`, `nullable`, `items` and `properties` because OpenAPI v2 is not able to express nullable. To avoid kubectl to reject good objects, this is necessary.
+
+2. If `nullable: true` is set, we drop `type`, `nullable`, `items` and `properties` because OpenAPI v2 is
+   not able to express nullable. To avoid kubectl to reject good objects, this is necessary.
 -->
 1. 以下字段会被移除，因为它们在 OpenAPI v2 中不支持（在将来版本中将使用 OpenAPI v3，
    因而不会有这些限制）
@@ -2251,7 +2278,8 @@ View）和宽视图（Wide View）（使用 `-o wide` 标志）中显示的列
 <!--
 #### Type
 
-A column's `type` field can be any of the following (compare [OpenAPI v3 data types](https://github.com/OAI/OpenAPI-Specification/blob/master/versions/3.0.0.md#dataTypes)):
+A column's `type` field can be any of the following (compare
+[OpenAPI v3 data types](https://github.com/OAI/OpenAPI-Specification/blob/master/versions/3.0.0.md#dataTypes)):
 
 - `integer` – non-floating-point numbers
 - `number` – floating point numbers
@@ -2416,8 +2444,9 @@ the status replica value in the `/scale` subresource will default to 0.
   - It must be set to work with HPA.
   - Only JSONPaths under `.status` or `.spec` and with the dot notation are allowed.
   - If there is no value under the `labelSelectorPath` in the custom resource,
-the status selector value in the `/scale` subresource will default to the empty string.
-  - The field pointed by this JSON path must be a string field (not a complex selector struct) which contains a serialized label selector in string form.
+    the status selector value in the `/scale` subresource will default to the empty string.
+  - The field pointed by this JSON path must be a string field (not a complex selector struct)
+    which contains a serialized label selector in string form.
 -->
 - `labelSelectorPath` 指定定制资源内与 `scale.status.selector` 对应的 JSON 路径。
 
@@ -2695,6 +2724,7 @@ crontabs/my-new-cron-object   3s
 
 * Serve [multiple versions](/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definition-versioning/) of a
   CustomResourceDefinition.
+
 -->
 * 阅读了解[定制资源](/zh-cn/docs/concepts/extend-kubernetes/api-extension/custom-resources/)
 * 参阅 [CustomResourceDefinition](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#customresourcedefinition-v1-apiextensions-k8s-io)
diff --git a/content/zh-cn/docs/tasks/extend-kubernetes/socks5-proxy-access-api.md b/content/zh-cn/docs/tasks/extend-kubernetes/socks5-proxy-access-api.md
index 122a7145f25..31bf96d6d23 100644
--- a/content/zh-cn/docs/tasks/extend-kubernetes/socks5-proxy-access-api.md
+++ b/content/zh-cn/docs/tasks/extend-kubernetes/socks5-proxy-access-api.md
@@ -31,13 +31,13 @@ You must be able to log in to the SSH service on the remote server.
 <!--
 ## Task context
 -->
-## 任务上下文
+## 任务上下文  {#task-context}
 
+{{< note >}}
 <!--
 This example tunnels traffic using SSH, with the SSH client and server acting as a SOCKS proxy.
 You can instead use any other kind of [SOCKS5](https://en.wikipedia.org/wiki/SOCKS#SOCKS5) proxies.
 -->
-{{< note >}}
 此示例使用 SSH 隧道传输流量，SSH 客户端和服务器充当 SOCKS 代理。
 你可以使用其他任意类型的 [SOCKS5](https://zh.wikipedia.org/wiki/SOCKS#SOCKS5) 代理代替。
 {{</ note >}}
@@ -53,11 +53,12 @@ Figure 1 represents what you're going to achieve in this task.
 -->
 图 1 表示你将在此任务中实现的目标。
 
-* 你有一台在后面的步骤中被称为本地计算机的客户端计算机，你将在这台计算机上创建与 Kubernetes API 对话的请求。
+* 你有一台在后面的步骤中被称为本地计算机的客户端计算机，你将在这台计算机上创建与
+  Kubernetes API 对话的请求。
 * Kubernetes 服务器/API 托管在远程服务器上。
 * 你将使用 SSH 客户端和服务器软件在本地和远程服务器之间创建安全的 SOCKS5 隧道。
-  客户端和 Kubernetes API 之间的 HTTPS 流量将流经 SOCKS5 隧道，该隧道本身通过 SSH 进行隧道传输。
-
+  客户端和 Kubernetes API 之间的 HTTPS 流量将流经 SOCKS5 隧道，该隧道本身通过
+  SSH 进行隧道传输。
 
 <!--
 graph LR;
@@ -108,13 +109,12 @@ Figure 1. SOCKS5 tutorial components
 
 <!--
 ## Using ssh to create a SOCKS5 proxy
--->
-## 使用 ssh 创建 SOCKS5 代理
 
-<!--
 This command starts a SOCKS5 proxy between your client machine and the remote server.
 The SOCKS5 proxy lets you connect to your cluster's API server.
 -->
+## 使用 SSH 创建 SOCKS5 代理
+
 此命令在你的客户端计算机和远程服务器之间启动一个 SOCKS5 代理。
 SOCKS5 代理允许你连接到集群的 API 服务器。
 
@@ -136,16 +136,16 @@ ssh -D 1080 -q -N username@kubernetes-remote-server.example
 
 <!--
 ## Client configuration
--->
-## 客户端配置
 
-<!--
 To explore the Kubernetes API you'll first need to instruct your clients to send their queries through
 the SOCKS5 proxy we created earlier.
 
 For command-line tools, set the `https_proxy` environment variable and pass it to commands that you run.
 -->
-要探索 Kubernetes API，你首先需要指示你的客户端通过我们之前创建的 SOCKS5 代理发送他们的查询。
+## 客户端配置
+
+要探索 Kubernetes API，你首先需要指示你的客户端通过我们之前创建的 SOCKS5
+代理发送他们的查询。
 对于命令行工具，设置 `https_proxy` 环境变量并将其传递给你运行的命令。
 
 ```shell
@@ -155,22 +155,21 @@ export https_proxy=socks5h://localhost:1080
 <!--
 When you set the `https_proxy` variable, tools such as `curl` route HTTPS traffic through the proxy
 you configured. For this to work, the tool must support SOCKS5 proxying.
-
-{{< note >}}
-In the URL https://localhost/api, `localhost` does not refer to your local client computer.
-Instead, it refers to the endpoint on the remote server knows as `localhost`.
-The `curl` tool sends the hostname from the HTTPS URL over SOCKS, and the remote server
-resolves that locally (to an address that belongs to its loopback interface).
-{{</ note >}}
 -->
 当你设置 `https_proxy` 变量时，`curl` 等工具会通过你配置的代理路由 HTTPS 流量。
 为此，该工具必须支持 SOCKS5 代理。
 
 {{< note >}}
+<!--
+In the URL https://localhost/api, `localhost` does not refer to your local client computer.
+Instead, it refers to the endpoint on the remote server known as `localhost`.
+The `curl` tool sends the hostname from the HTTPS URL over SOCKS, and the remote server
+resolves that locally (to an address that belongs to its loopback interface).
+-->
 在 URL https://localhost/api 中，`localhost` 不是指你的本地客户端计算机。
 它指的是远程服务器上称为 “localhost” 的端点。
 `curl` 工具通过 SOCKS 从 HTTPS URL 发送主机名，远程服务器在本地解析（到属于其环回接口的地址）。
-{{</ note >}}
+{{< /note >}}
 
 ```shell
 curl -k -v https://localhost/api
@@ -187,9 +186,11 @@ for the relevant `cluster` entry within  your `~/.kube/config` file. For example
 apiVersion: v1
 clusters:
 - cluster:
-    certificate-authority-data: LRMEMMW2 # 为了便于阅读缩短
-    server: https://localhost            # 上图中的“Kubernetes API”
-    proxy-url: socks5://localhost:1080   # 上图中的“SSH SOCKS5代理”（内置DNS解析）
+    certificate-authority-data: LRMEMMW2 # 简化以便阅读
+    # “Kubernetes API”服务器，换言之，kubernetes-remote-server.example 的 IP 地址
+    server: https://<API_SERVER_IP_ADRESS>:6443  
+    # 上图中的“SSH SOCKS5代理”（内置 DNS 解析）
+    proxy-url: socks5://localhost:1080
   name: default
 contexts:
 - context:
@@ -202,8 +203,8 @@ preferences: {}
 users:
 - name: default
   user:
-    client-certificate-data: LS0tLS1CR== # 为了便于阅读缩短
-    client-key-data: LS0tLS1CRUdJT=      # 为了便于阅读缩短
+    client-certificate-data: LS0tLS1CR== # 节略，为了便于阅读
+    client-key-data: LS0tLS1CRUdJT=      # 节略，为了便于阅读
 ```
 
 <!--
@@ -223,24 +224,23 @@ kube-system   coredns-85cb69466-klwq8                  1/1     Running     0
 
 <!--
 ## Clean up
--->
-## 清理
 
-<!--
 Stop the ssh port-forwarding process by pressing `CTRL+C` on the terminal where it is running.
 
 Type `unset https_proxy` in a terminal to stop forwarding http traffic through the proxy.
 -->
-通过在运行它的终端上按“CTRL+C”来停止 ssh 端口转发进程。
+## 清理
+
+通过在运行它的终端上按 “CTRL+C” 来停止 SSH 端口转发进程。
 
 在终端中键入 `unset https_proxy` 以停止通过代理转发 http 流量。
 
 <!--
 ## Further reading
+
+* [OpenSSH remote login client](https://man.openbsd.org/ssh)
 -->
 ## 进一步阅读
 
-<!--
-* [OpenSSH remote login client](https://man.openbsd.org/ssh)
--->
-* [OpenSSH远程登录客户端](https://man.openbsd.org/ssh)
\ No newline at end of file
+* [OpenSSH远程登录客户端](https://man.openbsd.org/ssh)
+
diff --git a/content/zh-cn/docs/tasks/inject-data-application/distribute-credentials-secure.md b/content/zh-cn/docs/tasks/inject-data-application/distribute-credentials-secure.md
index 5ede095df10..0a07cf1094b 100644
--- a/content/zh-cn/docs/tasks/inject-data-application/distribute-credentials-secure.md
+++ b/content/zh-cn/docs/tasks/inject-data-application/distribute-credentials-secure.md
@@ -12,8 +12,10 @@ encryption keys, into Pods.
 -->
 本文展示如何安全地将敏感数据（如密码和加密密钥）注入到 Pods 中。
 
+
 ## {{% heading "prerequisites" %}}
 
+
 {{< include "task-tutorial-prereqs.md" >}}
 
 
@@ -69,8 +71,10 @@ username and password:
    kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml
    ```
 
-1. <!-- View information about the Secret -->
-   查看 Secret 相关信息：
+<!--
+1. View information about the Secret:
+-->
+2. 查看 Secret 相关信息：
 
    ```shell
    kubectl get secret test-secret
@@ -79,12 +83,12 @@ username and password:
    <!-- Output: -->
     输出：
 	
-   ```shell
+   ```
    NAME          TYPE      DATA      AGE
    test-secret   Opaque    2         1m
    ```
 
-1. <!-- View more detailed information about the Secret -->
+1. <!-- View more detailed information about the Secret:-->
    查看 Secret 相关的更多详细信息：
 
    ```shell
@@ -94,7 +98,7 @@ username and password:
    <!-- Output: -->
    输出：
 
-   ```shell
+   ```
    Name:       test-secret
    Namespace:  default
    Labels:     <none>
@@ -105,7 +109,7 @@ username and password:
    Data
    ====
    password:   13 bytes
-   username:   7  bytes
+   username:   7 bytes
    ```
 
 <!--
@@ -130,6 +134,7 @@ through each step explicitly to demonstrate what is happening.
 这是一种更为方便的方法。
 前面展示的详细分解步骤有助于了解究竟发生了什么事情。
 
+
 <!--
 ## Create a Pod that has access to the secret data through a Volume
 
@@ -145,7 +150,7 @@ Here is a configuration file you can use to create a Pod:
    创建 Pod：
 
    ```shell
-   kubectl create -f secret-pod.yaml
+   kubectl apply -f https://k8s.io/examples/pods/inject/secret-pod.yaml
    ```
 
 1. <!-- Verify that your Pod is running: -->
@@ -155,9 +160,9 @@ Here is a configuration file you can use to create a Pod:
    kubectl get pod secret-test-pod
    ```
 
+   <!-- Output: -->
    输出：
-
-   ```shell
+   ```
    NAME              READY     STATUS    RESTARTS   AGE
    secret-test-pod   1/1       Running   0          42m
    ```
@@ -166,7 +171,7 @@ Here is a configuration file you can use to create a Pod:
    获取一个 shell 进入 Pod 中运行的容器：
 
    ```shell
-   kubectl exec -it secret-test-pod -- /bin/bash
+   kubectl exec -i -t secret-test-pod -- /bin/bash
    ```
 
 1. <!-- The secret data is exposed to the Container through a Volume mounted under
@@ -179,6 +184,7 @@ Here is a configuration file you can use to create a Pod:
    在 shell 中，列举 `/etc/secret-volume` 目录下的文件：
 
    ```shell
+   # 在容器中 Shell 运行下面命令
    ls /etc/secret-volume
    ```
 
@@ -195,11 +201,10 @@ Here is a configuration file you can use to create a Pod:
    In your shell, display the contents of the `username` and `password` files:
    -->
    在 Shell 中，显示 `username` 和 `password` 文件的内容：
-
    ```shell
    # 在容器中 Shell 运行下面命令
-   echo "$(cat /etc/secret-volume/username)"
-   echo "$(cat /etc/secret-volume/password)"
+   echo "$( cat /etc/secret-volume/username )"
+   echo "$( cat /etc/secret-volume/password )"
    ```
 
    <!--
@@ -207,7 +212,7 @@ Here is a configuration file you can use to create a Pod:
    -->
    输出为用户名和密码：
 
-   ```shell
+   ```
    my-app
    39528$vdg7Jb
    ```
@@ -256,11 +261,14 @@ Here is a configuration file you can use to create a Pod:
    kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'
    ```
 
+   <!--
+   The output is
+   -->
    输出为：
-
    ```
    backend-admin
    ```
+   
 <!--
 ### Define container environment variables with data from multiple Secrets
 -->
@@ -300,13 +308,16 @@ Here is a configuration file you can use to create a Pod:
    ```shell
    kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'
    ```
-
+   <!--
+   The output is
+   -->
    输出：
    ```
    DB_USERNAME=db-admin
    BACKEND_USERNAME=backend-admin
    ```
 
+
 <!--
 ## Configure all key-value pairs in a Secret as container environment variables
 -->
@@ -353,7 +364,10 @@ This functionality is available in Kubernetes v1.6 and later.
   ```shell
   kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'
   ```
-
+  
+   <!--
+   The output is
+   -->
   输出为：
 
   ```
@@ -364,10 +378,9 @@ This functionality is available in Kubernetes v1.6 and later.
 <!-- ### References -->
 ### 参考
 
-* [Secret](/docs/api-reference/{{< param "version" >}}/#secret-v1-core)
-* [Volume](/docs/api-reference/{{< param "version" >}}/#volume-v1-core)
-* [Pod](/docs/api-reference/{{< param "version" >}}/#pod-v1-core)
-
+* [Secret](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#secret-v1-core)
+* [Volume](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#volume-v1-core)
+* [Pod](/docs/reference/generated/kubernetes-api/{{< param "version" >}}/#pod-v1-core)
 
 ## {{% heading "whatsnext" %}}
 
diff --git a/content/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs.md b/content/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs.md
index 5e67e5bb39d..c8bc0e3c04a 100644
--- a/content/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs.md
+++ b/content/zh-cn/docs/tasks/job/automated-tasks-with-cron-jobs.md
@@ -199,10 +199,9 @@ kubectl delete cronjob hello
 
 <!--
 Deleting the cron job removes all the jobs and pods it created and stops it from creating additional jobs.
-You can read more about removing jobs in [garbage collection](/docs/concepts/workloads/controllers/garbage-collection/).
+You can read more about removing jobs in [garbage collection](/docs/concepts/architecture/garbage-collection/).
 -->
-删除 CronJob 会清除它创建的所有任务和 Pod，并阻止它创建额外的任务。你可以查阅
-[垃圾收集](/zh-cn/docs/concepts/workloads/controllers/garbage-collection/)。
+删除 CronJob 会清除它创建的所有任务和 Pod，并阻止它创建额外的任务。你可以查阅[垃圾收集](/zh-cn/docs/concepts/architecture/garbage-collection/)。
 
 <!--
 ## Writing a Cron Job Spec
@@ -265,7 +264,7 @@ The format also includes extended "Vixie cron" step values. As explained in the
 A question mark (`?`) in the schedule has the same meaning as an asterisk `*`, that is, it stands for any of available value for a given field.
 -->
 {{< note >}}
-调度中的问号 (`?`) 和星号 `*` 含义相同，表示给定字段的任何可用值。
+调度中的问号 (`?`) 和星号 `*` 含义相同，它们用来表示给定字段的任何可用值。
 {{< /note >}}
 
 <!--
@@ -297,7 +296,8 @@ If this field is not specified, the jobs have no deadline.
 ### 开始的最后期限 {#starting-deadline}
 
 `.spec.startingDeadlineSeconds` 字段是可选的。
-它表示任务如果由于某种原因错过了调度时间，开始该任务的截止时间的秒数。过了截止时间，CronJob 就不会开始任务。
+它表示任务如果由于某种原因错过了调度时间，开始该任务的截止时间的秒数。
+过了截止时间，CronJob 就不会开始任务。
 不满足这种最后期限的任务会被统计为失败任务。如果此字段未设置，那任务就没有最后期限。
 
 <!--
@@ -372,4 +372,4 @@ By default, they are set to 3 and 1 respectively.  Setting a limit to `0` corres
 
 `.spec.successfulJobsHistoryLimit` 和 `.spec.failedJobsHistoryLimit`是可选的。
 这两个字段指定应保留多少已完成和失败的任务。
-默认设置分别为 3 和 1。设置为 `0` 代表相应类型的任务完成后不会保留。
+默认设置分别为 3 和 1。设置为 `0` 代表相应类型的任务完成后不会保留。
\ No newline at end of file
diff --git a/content/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue.md b/content/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue.md
index 57a26100f67..7531220dc85 100644
--- a/content/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue.md
+++ b/content/zh-cn/docs/tasks/job/fine-parallel-processing-work-queue.md
@@ -17,7 +17,7 @@ min-kubernetes-server-version: v1.8
 In this example, we will run a Kubernetes Job with multiple parallel
 worker processes in a given pod.
 -->
-在这个例子中，我们会运行一个Kubernetes Job，其中的 Pod 会运行多个并行工作进程。
+在这个例子中，我们会运行一个 Kubernetes Job，其中的 Pod 会运行多个并行工作进程。
 
 <!--
 In this example, as each pod is created, it picks up one unit of work
@@ -25,7 +25,7 @@ from a task queue, processes it, and repeats until the end of the queue is reach
 
 Here is an overview of the steps in this example:
 -->
-在这个例子中，当每个pod被创建时，它会从一个任务队列中获取一个工作单元，处理它，然后重复，直到到达队列的尾部。
+在这个例子中，当每个 Pod 被创建时，它会从一个任务队列中获取一个工作单元，处理它，然后重复，直到到达队列的尾部。
 
 下面是这个示例的步骤概述：
 
@@ -54,7 +54,7 @@ Here is an overview of the steps in this example:
 1. **Start a Job that works on tasks from the queue**.  The Job starts several pods.  Each pod takes
   one task from the message queue, processes it, and repeats until the end of the queue is reached.
 -->
-3. **启动一个 Job 对队列中的任务进行处理**。这个 Job 启动了若干个 Pod 。
+3. **启动一个 Job 对队列中的任务进行处理**。这个 Job 启动了若干个 Pod。
    每个 Pod 从消息队列中取出一个工作任务，处理它，然后重复，直到到达队列的尾部。
 
 ## {{% heading "prerequisites" %}}
@@ -104,13 +104,15 @@ Start a temporary interactive pod for running the Redis CLI.
 -->
 ## 使用任务填充队列
 
-现在，让我们往队列里添加一些“任务”。在这个例子中，我们的任务是一些将被打印出来的字符串。
+现在，让我们往队列里添加一些 “任务”。在这个例子中，我们的任务是一些将被打印出来的字符串。
 
-启动一个临时的可交互的 pod 用于运行 Redis 命令行界面。
+启动一个临时的可交互的 Pod 用于运行 Redis 命令行界面。
 
 ```shell
 kubectl run -i --tty temp --image redis --command "/bin/sh"
 ```
+
+输出类似于：
 ```
 Waiting for pod default/redis2-c7h78 to be running, status is Pending, pod ready: false
 Hit enter for command prompt
@@ -119,7 +121,7 @@ Hit enter for command prompt
 <!--
 Now hit enter, start the redis CLI, and create a list with some work items in it.
 -->
-现在按回车键，启动 redis 命令行界面，然后创建一个存在若干个工作项的列表。
+现在按回车键，启动 Redis 命令行界面，然后创建一个存在若干个工作项的列表。
 
 ```shell
 # redis-cli -h redis
@@ -178,17 +180,17 @@ called rediswq.py ([Download](/examples/application/job/redis/rediswq.py)).
 -->
 ## 创建镜像
 
-现在我们已经准备好创建一个我们要运行的镜像
+现在我们已经准备好创建一个我们要运行的镜像。
 
-我们会使用一个带有 redis 客户端的 python 工作程序从消息队列中读出消息。
+我们会使用一个带有 Redis 客户端的 Python 工作程序从消息队列中读出消息。
 
-这里提供了一个简单的 Redis 工作队列客户端库，叫 rediswq.py ([下载](/examples/application/job/redis/rediswq.py))。
+这里提供了一个简单的 Redis 工作队列客户端库，名为 rediswq.py ([下载](/examples/application/job/redis/rediswq.py))。
 
 <!--
 The "worker" program in each Pod of the Job uses the work queue
 client library to get work.  Here it is:
 -->
-Job 中每个 Pod 内的 “工作程序” 使用工作队列客户端库获取工作。如下：
+Job 中每个 Pod 内的 “工作程序” 使用工作队列客户端库获取工作。具体如下：
 
 {{< codenew language="python" file="application/job/redis/worker.py" >}}
 
@@ -235,7 +237,7 @@ your app image with your project ID, and push to GCR. Replace
 `<project>` with your project ID.
 -->
 如果你使用的是 [Google Container Registry](https://cloud.google.com/tools/container-registry/)，
-请先用你的 project ID 给你的镜像打上标签，然后 push 到 GCR 。请将 `<project>` 替换为你自己的 project ID
+请先用你的 project ID 给你的镜像打上标签，然后 push 到 GCR 。请将 `<project>` 替换为你自己的 project ID。
 
 ```shell
 docker tag job-wq-2 gcr.io/<project>/job-wq-2
@@ -249,7 +251,7 @@ Here is the job definition:
 -->
 ## 定义一个 Job
 
-这是 job 定义：
+这是 Job 定义：
 
 {{< codenew file="application/job/redis/job.yaml" >}}
 
@@ -257,7 +259,7 @@ Here is the job definition:
 Be sure to edit the job template to
 change `gcr.io/myproject` to your own path.
 -->
-请确保将 job 模板中的 `gcr.io/myproject` 更改为你自己的路径。
+请确保将 Job 模板中的 `gcr.io/myproject` 更改为你自己的路径。
 
 <!--
 In this example, each pod works on several items from the queue and then exits when there are no more items.
@@ -268,12 +270,12 @@ exits with success, the controller knows the work is done, and the Pods will exi
 So, we set the completion count of the Job to 1.  The job controller will wait for the other pods to complete
 too.
 -->
-在这个例子中，每个 pod 处理了队列中的多个项目，直到队列中没有项目时便退出。
+在这个例子中，每个 Pod 处理了队列中的多个项目，直到队列中没有项目时便退出。
 因为是由工作程序自行检测工作队列是否为空，并且 Job 控制器不知道工作队列的存在，
 这依赖于工作程序在完成工作时发出信号。
 工作程序以成功退出的形式发出信号表示工作队列已经为空。
 所以，只要有任意一个工作程序成功退出，控制器就知道工作已经完成了，所有的 Pod 将很快会退出。
-因此，我们将 Job 的完成计数（Completion Count）设置为 1 。
+因此，我们将 Job 的完成计数（Completion Count）设置为 1。
 尽管如此，Job 控制器还是会等待其它 Pod 完成。
 
 <!--
@@ -283,7 +285,7 @@ So, now run the Job:
 -->
 ## 运行 Job
 
-现在运行这个 Job ：
+现在运行这个 Job：
 
 ```shell
 kubectl apply -f ./job.yaml
@@ -325,12 +327,13 @@ Events:
   33s          33s         1        {job-controller }                Normal      SuccessfulCreate  Created pod: job-wq-2-lglf8
 ```
 
-查看日志：
+运行以下命令查看日志：
 
 ```shell
 kubectl logs pods/job-wq-2-7r7b2
 ```
 
+日志类似于：
 ```
 Worker with sessionID: bbd72d0a-9e5c-4dd6-abf6-416cc267991f
 Initial queue state: empty=False
@@ -342,7 +345,7 @@ Working on lemon
 <!--
 As you can see, one of our pods worked on several work units.
 -->
-你可以看到，其中的一个 pod 处理了若干个工作单元。
+你可以看到，其中的一个 Pod 处理了若干个工作单元。
 
 <!-- discussion -->
 
diff --git a/content/zh-cn/docs/tasks/job/indexed-parallel-processing-static.md b/content/zh-cn/docs/tasks/job/indexed-parallel-processing-static.md
index 9490812abed..a4fe1942583 100644
--- a/content/zh-cn/docs/tasks/job/indexed-parallel-processing-static.md
+++ b/content/zh-cn/docs/tasks/job/indexed-parallel-processing-static.md
@@ -15,7 +15,6 @@ weight: 30
 
 <!-- overview -->
 
-
 <!-- 
 In this example, you will run a Kubernetes Job that uses multiple parallel
 worker processes.
@@ -25,7 +24,7 @@ to identify which part of the overall task to work on.
 -->
 在此示例中，你将运行一个使用多个并行工作进程的 Kubernetes Job。
 每个 worker 都是在自己的 Pod 中运行的不同容器。
-Pod 具有控制平面自动设置的 _索引编号（index number）_，
+Pod 具有控制平面自动设置的**索引编号（index number）**，
 这些编号使得每个 Pod 能识别出要处理整个任务的哪个部分。
 
 <!-- 
@@ -42,7 +41,7 @@ Pod 索引在{{<glossary_tooltip text="注解" term_id="annotation" >}}
 为了让容器化的任务进程获得此索引，你可以使用
 [downward API](/zh-cn/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/#the-downward-api)
 机制发布注解的值。为方便起见，
-控制平面自动设置 downward API 以在 `JOB_COMPLETION_INDEX` 环境变量中公开索引。
+控制平面自动设置 Downward API 以在 `JOB_COMPLETION_INDEX` 环境变量中公开索引。
 
 <!-- 
 Here is an overview of the steps in this example:
@@ -55,7 +54,7 @@ Here is an overview of the steps in this example:
 以下是此示例中步骤的概述：
 
 1. **定义使用带索引完成信息的 Job 清单**。
-   Downward API 使你可以将 Pod 索引注释作为环境变量或文件传递给容器。
+   Downward API 使你可以将 Pod 索引注解作为环境变量或文件传递给容器。
 2. **根据该清单启动一个带索引（`Indexed`）的 Job**。
 
 ## {{% heading "prerequisites" %}}
@@ -70,8 +69,10 @@ non-parallel, use of [Job](/docs/concepts/workloads/controllers/job/).
 
 <!-- steps -->
 
-<!-- ## Choose an approach -->
-## 选择一种方法
+<!-- 
+## Choose an approach
+ -->
+## 选择一种方法 {#choose-an-approach}
 
 <!-- 
 To access the work item from the worker program, you have a few options:
@@ -85,7 +86,7 @@ To access the work item from the worker program, you have a few options:
    that reads the index using any of the methods above and converts it into
    something that the program can use as input.
  -->
-要从工作程序访问工作项，你有几个选择：
+要从工作程序访问工作项，你有几个选项：
 
 1. 读取 `JOB_COMPLETION_INDEX` 环境变量。Job
    {{< glossary_tooltip text="控制器" term_id="controller" >}}
@@ -99,7 +100,7 @@ For this example, imagine that you chose option 3 and you want to run the
 [rev](https://man7.org/linux/man-pages/man1/rev.1.html) utility. This
 program accepts a file as an argument and prints its content reversed.
 -->
-对于此示例，假设你选择了方法 3 并且想要运行
+对于此示例，假设你选择了选项 3 并且想要运行
 [rev](https://man7.org/linux/man-pages/man1/rev.1.html) 实用程序。
 这个程序接受一个文件作为参数并按逆序打印其内容。
 
@@ -111,7 +112,7 @@ rev data.txt
 You'll use the `rev` tool from the
 [`busybox`](https://hub.docker.com/_/busybox) container image.
 -->
-你将使用 [`busybox`](https://hub.docker.com/_/busybox) 容器映像中的 `rev` 工具。
+你将使用 [`busybox`](https://hub.docker.com/_/busybox) 容器镜像中的 `rev` 工具。
 
 <!-- 
 As this is only an example, each Pod only does a tiny piece of work (reversing a short
@@ -123,17 +124,18 @@ frame of that video clip. Indexed completion would mean that each Pod in
 the Job knows which frame to render and publish, by counting frames from
 the start of the clip.
 -->
-由于这只是一个例子，每个 Pod 只做一小部分工作（反转一个短字符串）。 
-例如，在实际工作负载中，你可能会创建一个表示基于场景数据制作 60 秒视频的任务的 Job 。
-视频渲染 Job 中的每个工作项都将渲染该视频剪辑的特定帧。
-索引完成意味着 Job 中的每个 Pod 都知道通过从剪辑开始计算帧数，来确定渲染和发布哪一帧，。
-
-<!-- ## Define an Indexed Job -->
-## 定义索引作业
+由于这只是一个例子，每个 Pod 只做一小部分工作（反转一个短字符串）。
+例如，在实际工作负载中，你可能会创建一个表示基于场景数据制作 60 秒视频任务的 Job 。
+此视频渲染 Job 中的每个工作项都将渲染该视频剪辑的特定帧。
+索引完成意味着 Job 中的每个 Pod 都知道通过从剪辑开始计算帧数，来确定渲染和发布哪一帧。
 
 <!-- 
+## Define an Indexed Job 
+ 
 Here is a sample Job manifest that uses `Indexed` completion mode:
 -->
+## 定义索引作业 {#define-an-indexed-job}
+
 这是一个使用 `Indexed` 完成模式的示例 Job 清单：
 
 {{< codenew language="yaml" file="application/job/indexed-job.yaml" >}}
@@ -150,7 +152,7 @@ from a [ConfigMap as an environment variable or file](/docs/tasks/configure-pod-
 -->
 在上面的示例中，你使用 Job 控制器为所有容器设置的内置 `JOB_COMPLETION_INDEX` 环境变量。
 [Init 容器](/zh-cn/docs/concepts/workloads/pods/init-containers/)
-将索引映射到一个静态值，并将其写入一个文件，该文件通过 
+将索引映射到一个静态值，并将其写入一个文件，该文件通过
 [emptyDir 卷](/zh-cn/docs/concepts/storage/volumes/#emptydir)
 与运行 worker 的容器共享。或者，你可以
 [通过 Downward API 定义自己的环境变量](/zh-cn/docs/tasks/inject-data-application/environment-variable-expose-pod-information/)
@@ -169,10 +171,13 @@ like shown in the following example:
 
 {{< codenew language="yaml" file="application/job/indexed-job-vol.yaml" >}}
 
-<!-- ## Running the Job -->
-## 执行 Job
+<!-- 
+## Running the Job 
+
+Now run the Job: 
+-->
+## 执行 Job {running-the-job}
 
-<!-- Now run the Job: -->
 现在执行 Job：
 
 ```shell
@@ -187,20 +192,22 @@ Because `.spec.parallelism` is less than `.spec.completions`, the control plane
 
 Once you have created the Job, wait a moment then check on progress:
 -->
-当你创建此 Job 时，控制平面会创建一系列 Pod，每个索引都由你指定。
-`.spec.parallelism` 的值决定了一次可以运行多少个，
+当你创建此 Job 时，控制平面会创建一系列 Pod，你指定的每个索引都会运行一个 Pod。
+`.spec.parallelism` 的值决定了一次可以运行多少个 Pod，
 而 `.spec.completions` 决定了 Job 总共创建了多少个 Pod。
 
 因为 `.spec.parallelism` 小于 `.spec.completions`，
-控制平面在启动更多 Pod 之前，等待部分第一批 Pod 完成。
+所以控制平面在启动更多 Pod 之前，将等待第一批的某些 Pod 完成。
 
-创建 Job 后，稍等片刻，然后检查进度：
+创建 Job 后，稍等片刻，就能检查进度：
 
 ```shell
 kubectl describe jobs/indexed-job
 ```
 
-<!-- The output is similar to: -->
+<!-- 
+The output is similar to: 
+-->
 输出类似于：
 
 ```
@@ -269,9 +276,11 @@ inspect the output of one of the pods:
 kubectl logs indexed-job-fdhq5 # 更改它以匹配来自该 Job 的 Pod 的名称
 ```
 
-<!-- The output is similar to: -->
+<!-- 
+The output is similar to: 
+-->
 输出类似于：
 
 ```
 xuq
-```
\ No newline at end of file
+```
diff --git a/content/zh-cn/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md b/content/zh-cn/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
index 0c63d0208e9..85cfc7d046e 100644
--- a/content/zh-cn/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
+++ b/content/zh-cn/docs/tasks/kubelet-credential-provider/kubelet-credential-provider.md
@@ -13,7 +13,7 @@ description: Configure the kubelet's image credential provider plugin
 content_type: task
 -->
 
-{{< feature-state for_k8s_version="v1.20" state="alpha" >}}
+{{< feature-state for_k8s_version="v1.24" state="beta" >}}
 
 <!-- overview -->
 
diff --git a/content/zh-cn/docs/tasks/network/customize-hosts-file-for-pods.md b/content/zh-cn/docs/tasks/network/customize-hosts-file-for-pods.md
index 996b77980ec..e92053a9a39 100644
--- a/content/zh-cn/docs/tasks/network/customize-hosts-file-for-pods.md
+++ b/content/zh-cn/docs/tasks/network/customize-hosts-file-for-pods.md
@@ -1,6 +1,6 @@
 ---
 title: 使用 HostAliases 向 Pod /etc/hosts 文件添加条目
-content_type: concept
+content_type: task
 weight: 60
 min-kubernetes-server-version: 1.7
 ---
@@ -22,7 +22,7 @@ Adding entries to a Pod's /etc/hosts file provides Pod-level override of hostnam
 
 Modification not using HostAliases is not suggested because the file is managed by Kubelet and can be overwritten on during Pod creation/restart.
 -->
-当 DNS 配置以及其它选项不合理的时候，通过向 Pod 的 /etc/hosts 文件中添加条目，
+当 DNS 配置以及其它选项不合理的时候，通过向 Pod 的 `/etc/hosts` 文件中添加条目，
 可以在 Pod 级别覆盖对主机名的解析。你可以通过 PodSpec 的 HostAliases
 字段来添加这些自定义条目。
 
@@ -86,7 +86,7 @@ fe00::2	ip6-allrouters
 By default, the `hosts` file only includes IPv4 and IPv6 boilerplates like
 `localhost` and its own hostname.
 -->
-默认情况下，hosts 文件只包含 IPv4 和 IPv6 的样板内容，像 `localhost` 和主机名称。
+默认情况下，`hosts` 文件只包含 IPv4 和 IPv6 的样板内容，像 `localhost` 和主机名称。
 
 <!--
 ## Adding Additional Entries with HostAliases
@@ -99,7 +99,7 @@ For example: to resolve `foo.local`, `bar.local` to `127.0.0.1` and `foo.remote`
 -->
 ## 通过 HostAliases 增加额外条目
 
-除了默认的样板内容，我们可以向 hosts 文件添加额外的条目。
+除了默认的样板内容，我们可以向 `hosts` 文件添加额外的条目。
 例如，要将 `foo.local`、`bar.local` 解析为 `127.0.0.1`，
 将 `foo.remote`、 `bar.remote` 解析为 `10.1.2.3`，我们可以在
 `.spec.hostAliases` 下为 Pod 配置 HostAliases。
@@ -136,7 +136,7 @@ hostaliases-pod     0/1       Completed   0          6s        10.200.0.5      w
 <!--
 The `hosts` file content looks like this:
 -->
-hosts 文件的内容看起来类似如下这样：
+`hosts` 文件的内容看起来类似如下所示：
 
 ```shell
 kubectl logs hostaliases-pod
diff --git a/content/zh-cn/docs/tasks/network/validate-dual-stack.md b/content/zh-cn/docs/tasks/network/validate-dual-stack.md
index bf490460505..a38c206d447 100644
--- a/content/zh-cn/docs/tasks/network/validate-dual-stack.md
+++ b/content/zh-cn/docs/tasks/network/validate-dual-stack.md
@@ -24,11 +24,9 @@ This document shares how to validate IPv4/IPv6 dual-stack enabled Kubernetes clu
 * A [network plugin](/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/) that supports dual-stack networking.
 * [Dual-stack enabled](/docs/concepts/services-networking/dual-stack/) cluster
 -->
-* 提供程序对双协议栈网络的支持 (云供应商或其他方式必须能够为 Kubernetes 节点
-  提供可路由的 IPv4/IPv6 网络接口)
-* 一个能够支持[双协议栈](/zh-cn/docs/concepts/services-networking/dual-stack/)的
+* 驱动程序对双协议栈网络的支持 (云驱动或其他方式必须能够为 Kubernetes 节点提供可路由的 IPv4/IPv6 网络接口)
+* 一个能够支持[双协议栈](/zh-cn/docs/concepts/services-networking/dual-stack/)网络的
   [网络插件](/zh-cn/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)。
-  
 * [启用双协议栈](/zh-cn/docs/concepts/services-networking/dual-stack/) 集群
 
 {{< version-check >}}
@@ -79,8 +77,9 @@ Validate that the node has an IPv4 and IPv6 interface detected. Replace node nam
 在此示例中，节点名称为 `k8s-linuxpool1-34450317-0`：
 
 ```shell
-kubectl get nodes k8s-linuxpool1-34450317-0 -o go-template --template='{{range .status.addresses}}{{printf "%s: %s \n" .type .address}}{{end}}'
+kubectl get nodes k8s-linuxpool1-34450317-0 -o go-template --template='{{range .status.addresses}}{{printf "%s: %s\n" .type .address}}{{end}}'
 ```
+
 ```
 Hostname: k8s-linuxpool1-34450317-0
 InternalIP: 10.240.0.5
@@ -98,7 +97,7 @@ Validate that a Pod has an IPv4 and IPv6 address assigned. Replace the Pod name
 在此示例中，Pod 名称为 `pod01`：
 
 ```shell
-kubectl get pods pod01 -o go-template --template='{{range .status.podIPs}}{{printf "%s \n" .ip}}{{end}}'
+kubectl get pods pod01 -o go-template --template='{{range .status.podIPs}}{{printf "%s\n" .ip}}{{end}}'
 ```
 
 ```
@@ -204,7 +203,7 @@ spec:
     protocol: TCP
     targetPort: 9376
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   sessionAffinity: None
   type: ClusterIP
 status:
@@ -241,7 +240,7 @@ apiVersion: v1
 kind: Service
 metadata:
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   name: my-service
 spec:
   clusterIP: fd00::5118
@@ -255,7 +254,7 @@ spec:
     protocol: TCP
     targetPort: 80
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   sessionAffinity: None
   type: ClusterIP
 status:
@@ -279,10 +278,10 @@ The `kubectl get svc` command will only show the primary IP in the `CLUSTER-IP`
 `kubectl get svc` 命令将仅在 `CLUSTER-IP` 字段中显示主 IP。
 
 ```shell
-kubectl get svc -l app=MyApp
+kubectl get svc -l app.kubernetes.io/name=MyApp
 
-NAME         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)   AGE
-my-service   ClusterIP   fe80:20d::d06b   <none>        80/TCP    9s
+NAME         TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
+my-service   ClusterIP   10.0.216.242   <none>        80/TCP    5s
 ```
 {{< /note >}}
 
@@ -293,15 +292,15 @@ Validate that the Service gets cluster IPs from the IPv4 and IPv6 address blocks
 然后你就可以通过 IP 和端口，验证对服务的访问。
 
 ```shell
-kubectl describe svc -l app=MyApp
+kubectl describe svc -l app.kubernetes.io/name=MyApp
 ```
 
 ```
 Name:              my-service
 Namespace:         default
-Labels:            app=MyApp
+Labels:            app.kubernetes.io/name=MyApp
 Annotations:       <none>
-Selector:          app=MyApp
+Selector:          app.kubernetes.io/name=MyApp
 Type:              ClusterIP
 IP Family Policy:  PreferDualStack
 IP Families:       IPv4,IPv6
@@ -333,7 +332,7 @@ Check the Service:
 检查服务：
 
 ```shell
-kubectl get svc -l app=MyApp
+kubectl get svc -l app.kubernetes.io/name=MyApp
 ```
 
 <!--
@@ -342,7 +341,7 @@ Validate that the Service receives a `CLUSTER-IP` address from the IPv6 address
 验证服务是否从 IPv6 地址块中接收到 `CLUSTER-IP` 地址以及 `EXTERNAL-IP`。
 然后，你可以通过 IP 和端口验证对服务的访问。
 
-```
+```shell
 NAME         TYPE           CLUSTER-IP   EXTERNAL-IP        PORT(S)        AGE
 my-service   LoadBalancer   fd00::7ebc   2603:1030:805::5   80:30790/TCP   35s
 ```
diff --git a/content/zh-cn/docs/tasks/run-application/delete-stateful-set.md b/content/zh-cn/docs/tasks/run-application/delete-stateful-set.md
index 6008d0d2efe..8da0b73fba4 100644
--- a/content/zh-cn/docs/tasks/run-application/delete-stateful-set.md
+++ b/content/zh-cn/docs/tasks/run-application/delete-stateful-set.md
@@ -78,14 +78,14 @@ kubectl delete -f <file.yaml> --cascade=orphan
 ```
 
 <!--
-By passing `--cascade=orphan` to `kubectl delete`, the Pods managed by the StatefulSet are left behind even after the StatefulSet object itself is deleted. If the pods have a label `app=myapp`, you can then delete them as follows:
+By passing `--cascade=orphan` to `kubectl delete`, the Pods managed by the StatefulSet are left behind even after the StatefulSet object itself is deleted. If the pods have a label `app.kubernetes.io/name=MyApp`, you can then delete them as follows:
 --->
 通过将 `--cascade=orphan` 传递给 `kubectl delete`，在删除 StatefulSet 对象之后，
-StatefulSet 管理的 Pod 会被保留下来。如果 Pod 具有标签 `app=myapp`，则可以按照
+StatefulSet 管理的 Pod 会被保留下来。如果 Pod 具有标签 `app.kubernetes.io/name=MyApp`，则可以按照
 如下方式删除它们：
 
 ```shell
-kubectl delete pods -l app=myapp
+kubectl delete pods -l app.kubernetes.io/name=MyApp
 ```
 
 
@@ -120,15 +120,15 @@ To simply delete everything in a StatefulSet, including the associated pods, you
 
 ```shell
 grace=$(kubectl get pods <stateful-set-pod> --template '{{.spec.terminationGracePeriodSeconds}}')
-kubectl delete statefulset -l app=myapp
+kubectl delete statefulset -l app.kubernetes.io/name=MyApp
 sleep $grace
-kubectl delete pvc -l app=myapp
+kubectl delete pvc -l app.kubernetes.io/name=MyApp
 ```
 
 <!--
-In the example above, the Pods have the label `app=myapp`; substitute your own label as appropriate.
+In the example above, the Pods have the label `app.kubernetes.io/name=MyApp`; substitute your own label as appropriate.
 -->
-在上面的例子中，Pod 的标签为 `app=myapp`；适当地替换你自己的标签。
+在上面的例子中，Pod 的标签为 `app.kubernetes.io/name=MyApp`；适当地替换你自己的标签。
 
 <!--
 ### Force deletion of StatefulSet pods
diff --git a/content/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md b/content/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
index 6c7b3f5e1bc..f709acfe6a6 100644
--- a/content/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
+++ b/content/zh-cn/docs/tasks/run-application/horizontal-pod-autoscale-walkthrough.md
@@ -764,7 +764,7 @@ HorizontalPodAutoscaler.
 首先，`AbleToScale` 表明 HPA 是否可以获取和更新扩缩信息，以及是否存在阻止扩缩的各种回退条件。
 其次，`ScalingActive` 表明 HPA 是否被启用（即目标的副本数量不为零） 以及是否能够完成扩缩计算。
 当这一状态为 `False` 时，通常表明获取度量指标存在问题。
-最后一个条件 `ScalingLimitted` 表明所需扩缩的值被 HorizontalPodAutoscaler
+最后一个条件 `ScalingLimited` 表明所需扩缩的值被 HorizontalPodAutoscaler
 所定义的最大或者最小值所限制（即已经达到最大或者最小扩缩值）。
 这通常表明你可能需要调整 HorizontalPodAutoscaler 所定义的最大或者最小副本数量的限制了。
 
@@ -816,4 +816,4 @@ kubectl create -f https://k8s.io/examples/application/hpa/php-apache.yaml
 
 ```
 horizontalpodautoscaler.autoscaling/php-apache created
-```
\ No newline at end of file
+```
diff --git a/content/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster.md b/content/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster.md
index 5fb539a5a50..2389fe9f96f 100644
--- a/content/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster.md
+++ b/content/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster.md
@@ -29,11 +29,11 @@ Kubernetes 提供 `certificates.k8s.io` API，可让你配置由你控制的证
 {{< note >}}
 <!--
 Certificates created using the `certificates.k8s.io` API are signed by a
-[dedicated CA](#a-note-to-cluster-administrators). It is possible to configure your cluster to use the cluster root
+[dedicated CA](#configuring-your-cluster-to-provide-signing). It is possible to configure your cluster to use the cluster root
 CA for this purpose, but you should never rely on this. Do not assume that
 these certificates will validate against the cluster root CA.
 -->
-使用 `certificates.k8s.io` API 创建的证书由指定 [CA](#a-note-to-cluster-administrators) 颁发。
+使用 `certificates.k8s.io` API 创建的证书由指定 [CA](#configuring-your-cluster-to-provide-signing) 颁发。
 将集群配置为使用集群根目录 CA 可以达到这个目的，但是你永远不要依赖这一假定。
 不要以为这些证书将针对群根目录 CA 进行验证。
 {{< /note >}}
@@ -62,7 +62,7 @@ install it via your operating system's software sources, or fetch it from
 <!--
 ## Trusting TLS in a cluster
 
-Trusting the [custom CA](#a-note-to-cluster-administrators) from an application running as a pod usually requires
+Trusting the [custom CA](#configuring-your-cluster-to-provide-signing) from an application running as a pod usually requires
 some extra application configuration. You will need to add the CA certificate
 bundle to the list of CA certificates that the TLS client or server trusts. For
 example, you would do this with a golang TLS config by parsing the certificate
@@ -71,7 +71,7 @@ chain and adding the parsed certificates to the `RootCAs` field in the
 -->
 ## 集群中的 TLS 信任
 
-信任 Pod 中运行的应用程序所提供的[自定义 CA](#a-note-to-cluster-administrators) 通常需要一些额外的应用程序配置。
+信任 Pod 中运行的应用程序所提供的[自定义 CA](#configuring-your-cluster-to-provide-signing) 通常需要一些额外的应用程序配置。
 你需要将 CA 证书包添加到 TLS 客户端或服务器信任的 CA 证书列表中。
 例如，你可以使用 Golang TLS 配置通过解析证书链并将解析的证书添加到
 [`tls.Config`](https://pkg.go.dev/crypto/tls#Config) 结构中的 `RootCAs`
diff --git a/content/zh-cn/docs/tasks/tls/manual-rotation-of-ca-certificates.md b/content/zh-cn/docs/tasks/tls/manual-rotation-of-ca-certificates.md
index fcf9f7fab1f..f0b950d3db4 100644
--- a/content/zh-cn/docs/tasks/tls/manual-rotation-of-ca-certificates.md
+++ b/content/zh-cn/docs/tasks/tls/manual-rotation-of-ca-certificates.md
@@ -1,13 +1,12 @@
 ---
 title: 手动轮换 CA 证书
-min-kubernetes-server-version: v1.13
 content_type: task
 ---
 <!--
 title: Manual Rotation of CA Certificates
-min-kubernetes-server-version: v1.13
 content_type: task
 -->
+
 <!-- overview -->
 
 <!--
@@ -20,12 +19,15 @@ This page shows how to manually rotate the certificate authority (CA) certificat
 {{< include "task-tutorial-prereqs.md" >}} {{< version-check >}}
 
 <!--
-- For more information about authentication in Kubernetes, see [Authenticating](/docs/reference/access-authn-authz/authentication).
-- For more information about best practices for CA certificates, see [Single root CA](/docs/setup/best-practices/certificates/#single-root-ca).
+- For more information about authentication in Kubernetes, see
+  [Authenticating](/docs/reference/access-authn-authz/authentication).
+- For more information about best practices for CA certificates, see
+  [Single root CA](/docs/setup/best-practices/certificates/#single-root-ca).
 -->
 - 要了解 Kubernetes 中用户认证的更多信息，参阅
   [认证](/zh-cn/docs/reference/access-authn-authz/authentication)；
-- 要了解与 CA 证书最佳实践有关的更多信息，参阅[单根 CA](/zh-cn/docs/setup/best-practices/certificates/#single-root-ca)。
+- 要了解与 CA 证书最佳实践有关的更多信息，
+  参阅[单根 CA](/zh-cn/docs/setup/best-practices/certificates/#single-root-ca)。
 
 <!-- steps -->
 
@@ -34,6 +36,7 @@ This page shows how to manually rotate the certificate authority (CA) certificat
 -->
 ## 手动轮换 CA 证书  {#rotate-the-ca-certificates-manually}
 
+{{< caution >}}
 <!--
 Make sure to back up your certificate directory along with configuration files and any other necessary files.
 
@@ -42,7 +45,6 @@ Graceful termination of the API server is also assumed so clients can cleanly di
 
 Configurations with a single API server will experience unavailability while the API server is being restarted.
 -->
-{{< caution >}}
 确保备份你的证书目录、配置文件以及其他必要文件。
 
 这里的方法假定 Kubernetes 的控制面通过运行多个 API 服务器以高可用配置模式运行。
@@ -54,48 +56,59 @@ Configurations with a single API server will experience unavailability while the
 
 <!--
 1. Distribute the new CA certificates and private keys
-   (ex: `ca.crt`, `ca.key`, `front-proxy-ca.crt`, and `front-proxy-ca.key`)
+   (for example: `ca.crt`, `ca.key`, `front-proxy-ca.crt`, and `front-proxy-ca.key`)
    to all your control plane nodes in the Kubernetes certificates directory.
 -->
 1. 将新的 CA 证书和私钥（例如：`ca.crt`、`ca.key`、`front-proxy-ca.crt` 和
    `front-proxy-client.key`）分发到所有控制面节点，放在其 Kubernetes 证书目录下。
 
 <!--
-1. Update {{< glossary_tooltip text="kube-controller-manager" term_id="kube-controller-manager" >}}'s `--root-ca-file` to
-   include both old and new CA. Then restart the component.
+1. Update the `--root-ca-file` flag for the {{< glossary_tooltip term_id="kube-controller-manager" >}} to include
+   both old and new CA. Then restart the component.
+
+   Any {{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}} created after this point will get
+   Secrets that include both old and new CAs.
+-->
+2. 更新 {{< glossary_tooltip text="kube-controller-manager" term_id="kube-controller-manager" >}}
+   的 `--root-ca-file` 标志，使之同时包含老的和新的 CA，之后重启组件。
+
+   自此刻起，所创建的所有{{< glossary_tooltip text="ServiceAccount" term_id="service-account" >}}
+   都会获得同时包含老的 CA 和新的 CA 的 Secret。
 
-   Any service account created after this point will get secrets that include both old and new CAs.
-   
    {{< note >}}
+   <!--
    The files specified by the kube-controller-manager flags `--client-ca-file` and `--cluster-signing-cert-file`
    cannot be CA bundles. If these flags and `--root-ca-file` point to the same `ca.crt` file which is now a
    bundle (includes both old and new CA) you will face an error. To workaround this problem you can copy the new CA to a separate
    file and make the flags `--client-ca-file` and `--cluster-signing-cert-file` point to the copy. Once `ca.crt` is no longer
    a bundle you can restore the problem flags to point to `ca.crt` and delete the copy.
-   {{< /note >}}
--->
-2. 更新 {{< glossary_tooltip text="kube-controller-manager" term_id="kube-controller-manager" >}} 的
-   `--root-ca-file` 标志，使之同时包含老的和新的 CA，之后重启组件。
+   -->
+   kube-controller-manager 标志 `--client-ca-file` 和 `--cluster-signing-cert-file`
+   所引用的文件不能是 CA 证书包。如果这些标志和 `--root-ca-file` 指向同一个 `ca.crt` 包文件
+   （包含老的和新的 CA 证书），你将会收到出错信息。
+   要解决这个问题，可以将新的 CA 证书复制到单独的文件中，并将 `--client-ca-file` 和
+   `--cluster-signing-cert-file` 标志指向该副本。一旦 `ca.crt` 不再是证书包文件，
+   就可以恢复有问题的标志指向  `ca.crt` 并删除该副本。
 
-   自此刻起，所创建的所有服务账号都会获得同时包含老的 CA 和新的 CA 的 Secret。
-
-   {{< note >}}
-   kube-controller-manager 标志 `--client-ca-file` 和 `--cluster-signing-cert-file` 所引用的文件
-   不能是 CA 证书包。如果这些标志和 `--root-ca-file` 指向同一个 `ca.crt` 包文件（包含老的和新的 CA 证书），
-   你将会收到出错信息。
-   要解决这个问题，可以将新的 CA 证书复制到单独的文件中，并将 `--client-ca-file` 和 `--cluster-signing-cert-file` 
-   标志指向该副本。一旦 `ca.crt` 不再是证书包文件，就可以恢复有问题的标志指向  `ca.crt` 并删除该副本。
+   <!--
+   [Issue 1350](https://github.com/kubernetes/kubeadm/issues/1350) for kubeadm tracks an bug with the
+   kube-controller-manager being unable to accept a CA bundle.
+   -->
+   kubeadm 的 [Issue 1350](https://github.com/kubernetes/kubeadm/issues/1350)
+   在跟踪一个导致 kube-controller-manager 无法接收 CA 证书包的问题。
    {{< /note >}}
 
 <!--
-   1. Update all service account tokens to include both old and new CA certificates.
+1. Update all Secrets that hold service account tokens to include both old and new CA certificates.
 
-   If any pods are started before new CA is used by API servers, they will get this update and trust both old and new CAs.
+   If any pods are started before new CA is used by API servers, the new Pods get this update and will trust both
+   old and new CAs.
 -->
-3. 更新所有服务账号令牌，使之同时包含老的和新的 CA 证书。
+3. 更新所有的保存服务账号令牌的 Secret，使之同时包含老的和新的 CA 证书。
 
-   如果在 API 服务器使用新的 CA 之前启动了新的 Pod，这些 Pod
+   如果在 API 服务器使用新的 CA 之前启动了新的 Pod，这些新的 Pod
    也会获得此更新并且同时信任老的和新的 CA 证书。
+
    <!--
    ```shell
    base64_encoded_ca="$(base64 -w0 <path to file containing both old and new CAs>)"
@@ -109,9 +122,8 @@ Configurations with a single API server will experience unavailability while the
    done
    ```
    -->
-
    ```shell
-   base64_encoded_ca="$(base64 -w0 <path to file containing both old and new CAs>)"
+   base64_encoded_ca="$(base64 -w0 <同时包含老的和新的 CA 的文件路径>)"
 
    for namespace in $(kubectl get ns --no-headers | awk '{print $1}'); do
        for token in $(kubectl get secrets --namespace "$namespace" --field-selector type=kubernetes.io/service-account-token -o name); do
@@ -121,21 +133,25 @@ Configurations with a single API server will experience unavailability while the
        done
    done
    ```
+
 <!--
-1. Restart all pods using in-cluster configs (ex: kube-proxy, coredns, etc) so they can use the updated certificate authority data from *ServiceAccount* secrets.
+1. Restart all pods using in-cluster configurations (for example: kube-proxy, CoreDNS, etc) so they can use the
+   updated certificate authority data from Secrets that link to ServiceAccounts.
 
-   * Make sure coredns, kube-proxy and other pods using in-cluster configs are working as expected.
+   * Make sure CoreDNS, kube-proxy and other Pods using in-cluster configurations are working as expected.
 
-1. Append the both old and new CA to the file against `-client-ca-file` and `-kubelet-certificate-authority` flag in the `kube-apiserver` configuration.
+1. Append the both old and new CA to the file against `-client-ca-file` and `-kubelet-certificate-authority`
+   flag in the `kube-apiserver` configuration.
 
 1. Append the both old and new CA to the file against `-client-ca-file` flag in the `kube-scheduler` configuration.
 -->
-4. 重启所有使用集群内配置的 Pods（例如：`kube-proxy`、`coredns` 等），以便这些 Pod 能够使用
-   来自 *ServiceAccount* Secret 中的、已更新的证书机构数据。
+4. 重启所有使用集群内配置的 Pod（例如：kube-proxy、CoreDNS 等），以便这些 Pod
+   能够使用与 ServiceAccount 相关联的 Secret 中的、已更新的证书机构数据。
 
-   * 确保 `coredns`、`kube-proxy` 和其他使用集群内配置的 Pod 都正按预期方式工作。
+   * 确保 CoreDNS、kube-proxy 和其他使用集群内配置的 Pod 都正按预期方式工作。
 
-5. 将老的和新的 CA 都追加到 `kube-apiserver` 配置的 `--client-ca-file` 和 `--kubelet-certificate-authority` 标志所指的文件。
+5. 将老的和新的 CA 都追加到 `kube-apiserver` 配置的 `--client-ca-file` 和
+   `--kubelet-certificate-authority` 标志所指的文件。
 
 6. 将老的和新的 CA 都追加到 `kube-scheduler` 配置的 `--client-ca-file` 标志所指的文件。
 
@@ -148,19 +164,34 @@ Configurations with a single API server will experience unavailability while the
    Additionally, update the `certificate-authority-data` section in the kubeconfig files,
    respectively with Base64-encoded old and new certificate authority data
 -->
-7. 通过替换 `client-certificate-data` 和 `client-key-data`
-   中的内容，更新用户账号的证书。
+7. 通过替换 `client-certificate-data` 和 `client-key-data` 中的内容，更新用户账号的证书。
 
    有关为独立用户账号创建证书的更多信息，可参阅
    [为用户帐号配置证书](/zh-cn/docs/setup/best-practices/certificates/#configure-certificates-for-user-accounts)。
 
-   另外，还要更新 kubeconfig 文件中的 `certificate-authority-data`
-   节，使之包含 Base64 编码的老的和新的证书机构数据。
+   另外，还要更新 kubeconfig 文件中的 `certificate-authority-data` 节，
+   使之包含 Base64 编码的老的和新的证书机构数据。
+
+<!--
+1. Update the `--root-ca-file` flag for the {{< glossary_tooltip term_id="cloud-controller-manager" >}} to include
+   both old and new CA, then restart the cloud-controller-manager.
+-->
+8. 更新 {{< glossary_tooltip term_id="cloud-controller-manager" >}} 的 `--root-ca-file`
+   标志值，使之同时包含老的和新的 CA，之后重新启动 cloud-controller-manager。
+
+   {{< note >}}
+   <!--
+   If your cluster does not have a cloud-controller-manager, you can skip this step.
+   -->
+   如果你的集群中不包含 cloud-controller-manager，你可以略过这一步。
+   {{< /note >}}
+
 <!--
 1. Follow below steps in a rolling fashion.
 
-   1. Restart any other *[aggregated api servers](/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/)*
-      or *webhook handlers* to trust the new CA certificates.
+   1. Restart any other
+      [aggregated API servers](/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/) or
+      webhook handlers to trust the new CA certificates.
 
    1. Restart the kubelet by update the file against `clientCAFile` in kubelet configuration and
       `certificate-authority-data` in kubelet.conf to use both the old and new CA on all nodes.
@@ -169,12 +200,12 @@ Configurations with a single API server will experience unavailability while the
       `client-key-data` in kubelet.conf on all nodes along with the kubelet client certificate file
       usually found in `/var/lib/kubelet/pki`.
 -->
-8. 遵循下列步骤执行滚动更新
+9. 遵循下列步骤执行滚动更新
 
-   1. 重新启动所有其他 *[被聚合的 API 服务器](/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/)*
-      或者 *Webhook 处理程序*，使之信任新的 CA 证书。
+   1. 重新启动所有其他[被聚合的 API 服务器](/zh-cn/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/)
+      或者 Webhook 处理程序，使之信任新的 CA 证书。
 
-   2. 在所有节点上更新 kubelet 配置中的 `clientCAFile` 所指文件以及 kubelet.conf 中的
+   1. 在所有节点上更新 kubelet 配置中的 `clientCAFile` 所指文件以及 kubelet.conf 中的
       `certificate-authority-data` 并重启 kubelet 以同时使用老的和新的 CA 证书。
 
       如果你的 kubelet 并未使用客户端证书轮换，则在所有节点上更新 kubelet.conf 中
@@ -193,36 +224,39 @@ Configurations with a single API server will experience unavailability while the
       你可以使用现有的私钥，也可以使用新的私钥。
       如果你改变了私钥，则要将更新的私钥也放到 Kubernetes 证书目录下。
 
-      由于 Pod 既信任老的 CA 也信任新的 CA，Pod 中的客户端会经历短暂的连接断开状态，
-      之后再连接到使用新的 CA 所签名的证书的新的 API 服务器。
+      <!--
+      Since the Pods in your cluster trust both old and new CAs, there will be a momentarily disconnection
+      after which pods' Kubernetes clients reconnect to the new API server.
+      The new API server uses a certificate signed by the new CA.
+      -->
+      由于集群中的 Pod 既信任老的 CA 也信任新的 CA，Pod 中的客户端会经历短暂的连接断开状态，
+      之后再使用新的 CA 所签名的证书连接到新的 API 服务器。
 
       <!--
-      * Restart Scheduler to use the new CAs.
+      * Restart the {{< glossary_tooltip term_id="kube-scheduler" text="kube-scheduler" >}} to use and
+        trust the new CAs.
       * Make sure control plane components logs no TLS errors.
       -->
-      * 重启调度器以使用新的 CA 证书。
+      * 重启 {{< glossary_tooltip term_id="kube-scheduler" text="kube-scheduler" >}} 以使用并信任新的
+        CA 证书。
       * 确保控制面组件的日志中没有 TLS 相关的错误信息。
 
+      {{< note >}}
       <!--
-      To generate certificates and private keys for your cluster using the `openssl`
-      command line tool, see [Certificates (`openssl`)](/docs/tasks/administer-cluster/certificates/#openssl).
+      To generate certificates and private keys for your cluster using the `openssl` command line tool,
+      see [Certificates (`openssl`)](/docs/tasks/administer-cluster/certificates/#openssl).
       You can also use [`cfssl`](/docs/tasks/administer-cluster/certificates/#cfssl).
       -->
-      {{< note >}}
       要使用 `openssl` 命令行为集群生成新的证书和私钥，可参阅
       [证书（`openssl`）](/zh-cn/docs/tasks/administer-cluster/certificates/#openssl)。
       你也可以使用[`cfssl`](/zh-cn/docs/tasks/administer-cluster/certificates/#cfssl).
       {{< /note >}}
 
    <!--
-   1. Annotate any Daemonsets and Deployments to trigger pod replacement in a safer rolling fashion.
-
-      Example:
+   1. Annotate any DaemonSets and Deployments to trigger pod replacement in a safer rolling fashion.
    -->
    4. 为 Daemonset 和 Deployment 添加注解，从而触发较安全的滚动更新，替换 Pod。
 
-      示例：
-
       ```shell
       for namespace in $(kubectl get namespace -o jsonpath='{.items[*].metadata.name}'); do
           for name in $(kubectl get deployments -n $namespace -o jsonpath='{.items[*].metadata.name}'); do
@@ -234,41 +268,47 @@ Configurations with a single API server will experience unavailability while the
       done
       ```
 
+      {{< note >}}
       <!--
       To limit the number of concurrent disruptions that your application experiences,
       see [configure pod disruption budget](/docs/tasks/run-application/configure-pdb/).
       -->
-      {{< note >}}
-      要限制应用可能受到的并发干扰数量，可以参阅
-      [配置 Pod 干扰预算](/zh-cn/docs/tasks/run-application/configure-pdb/).
+      要限制应用可能受到的并发干扰数量，
+      可以参阅[配置 Pod 干扰预算](/zh-cn/docs/tasks/run-application/configure-pdb/)。
       {{< /note >}}
+
+      <!--
+      Depending on how you use StatefulSets you may also need to perform similar rolling replacement.
+      -->
+      取决于你在如何使用 StatefulSet，你可能需要对其执行类似的滚动替换操作。
+
 <!--
-1. If your cluster is using bootstrap tokens to join nodes, update the ConfigMap `cluster-info` in the `kube-public` namespace with new CA.
+1. If your cluster is using bootstrap tokens to join nodes, update the ConfigMap `cluster-info` in the `kube-public`
+   namespace with new CA.
 -->
-9. 如果你的集群使用启动引导令牌来添加节点，则需要更新 `kube-public` 名字空间下的
-   ConfigMap `cluster-info`，使之包含新的 CA 证书。
+10. 如果你的集群使用启动引导令牌来添加节点，则需要更新 `kube-public` 名字空间下的
+    ConfigMap `cluster-info`，使之包含新的 CA 证书。
 
-   ```shell
-   base64_encoded_ca="$(base64 -w0 /etc/kubernetes/pki/ca.crt)"
+    ```shell
+    base64_encoded_ca="$(base64 -w0 /etc/kubernetes/pki/ca.crt)"
 
-   kubectl get cm/cluster-info --namespace kube-public -o yaml | \
+    kubectl get cm/cluster-info --namespace kube-public -o yaml | \
        /bin/sed "s/\(certificate-authority-data:\).*/\1 ${base64_encoded_ca}/" | \
        kubectl apply -f -
-   ```
+    ```
 <!--
 1. Verify the cluster functionality.
 
-   1. Validate the logs from control plane components, along with the kubelet and the
-      kube-proxy are not throwing any tls errors, see
-       [looking at the logs](/docs/tasks/debug/debug-cluster/#looking-at-logs).
+   1. Check the logs from control plane components, along with the kubelet and the kube-proxy.
+       Ensure those components are not reporting any TLS errors, see
+       [looking at the logs](/docs/tasks/debug/debug-cluster/#looking-at-logs) for more details.
 
    1. Validate logs from any aggregated api servers and pods using in-cluster config.
 -->
-10. 验证集群的功能正常
+11. 验证集群的功能正常。
 
-    1. 验证控制面组件的日志，以及 `kubelet` 和 `kube-proxy` 的日志，确保其中没有
-       抛出 TLS 错误，参阅
-       [查看日志](/zh-cn/docs/tasks/debug/debug-cluster/#looking-at-logs).
+    1. 检查控制面组件以及 `kubelet` 和 `kube-proxy` 的日志，确保其中没有抛出 TLS 错误，
+       参阅[查看日志](/zh-cn/docs/tasks/debug/debug-cluster/#looking-at-logs)。
 
     2. 验证被聚合的 API 服务器的日志，以及所有使用集群内配置的 Pod 的日志。
 
@@ -277,21 +317,31 @@ Configurations with a single API server will experience unavailability while the
 
    1. Update all service account tokens to include new CA certificate only.
 
-      * All pods using an in-cluster kubeconfig will eventually need to be restarted to pick up the new SA secret for the old CA to be completely untrusted.
+      * All pods using an in-cluster kubeconfig will eventually need to be restarted to pick up the new secret,
+        so that no Pods are relying on the old cluster CA.
 
    1. Restart the control plane components by removing the old CA from the kubeconfig files and the files against `--client-ca-file`, `--root-ca-file` flags resp.
 
-   1. Restart kubelet by removing the old CA from file against the `clientCAFile` flag and kubelet kubeconfig file.
+   1. On each node, restart the kubelet by removing the old CA from file against the `clientCAFile` flag
+      and from the kubelet kubeconfig file. You should carry this out as a rolling update.
+
+      If your cluster lets you make this change, you can also roll it out by replacing nodes rather than
+      reconfiguring them.
 -->
-11. 完成集群功能的检查之后：
+12. 完成集群功能的检查之后：
 
     1. 更新所有的服务账号令牌，使之仅包含新的 CA 证书。
 
        * 使用集群内 kubeconfig 的 Pod 最终也需要被重启，以获得新的服务账号 Secret
-         数据，进而不再信任老的 CA 证书。
+         数据，这样就不会有 Pod 再依赖老的集群 CA。
 
     1. 从 kubeconfig 文件和 `--client-ca-file` 以及 `--root-ca-file` 标志所指向的文件
        中去除老的 CA 数据，之后重启控制面组件。
 
-    1. 重启 kubelet，移除 `clientCAFile` 标志所指向的文件以及 kubelet kubeconfig 文件中
-       的老的 CA 数据。
+    1. 在每个节点上，移除 `clientCAFile` 标志所指向的文件，以删除老的 CA 数据，并从
+       kubelet kubeconfig 文件中去掉老的 CA，重启 kubelet。
+       你应该用滚动更新的方式来执行这一步骤的操作。
+
+       如果你的集群允许你执行这一变更，你也可以通过替换节点而不是重新配置节点的方式来将其上线。
+
+
diff --git a/content/zh-cn/docs/tasks/tools/included/optional-kubectl-configs-bash-mac.md b/content/zh-cn/docs/tasks/tools/included/optional-kubectl-configs-bash-mac.md
index 6990b943ae1..e277ad31033 100644
--- a/content/zh-cn/docs/tasks/tools/included/optional-kubectl-configs-bash-mac.md
+++ b/content/zh-cn/docs/tasks/tools/included/optional-kubectl-configs-bash-mac.md
@@ -12,7 +12,7 @@ headless: true
 <!-- 
 ### Introduction
 -->
-### 简介 
+### 简介 {#introduction}
 
 <!-- 
 The kubectl completion script for Bash can be generated with `kubectl completion bash`. Sourcing this script in your shell enables kubectl completion.
@@ -33,14 +33,14 @@ bash-completion 有两个版本：v1 和 v2。v1 对应 Bash3.2（也是 macOS 
 kubectl 的补全脚本**无法适配** bash-completion v1 和 Bash 3.2。
 必须为它配备  **bash-completion v2** 和 **Bash 4.1+**。
 有鉴于此，为了在 macOS 上使用 kubectl 补全功能，你必须要安装和使用 Bash 4.1+
-([*说明*](https://itnext.io/upgrading-bash-on-macos-7138bd1066ba))。
-后续说明假定你用的是 Bash 4.1+（也就是 Bash 4.1 或更新的版本）
+（[**说明**](https://itnext.io/upgrading-bash-on-macos-7138bd1066ba)）。
+后续说明假定你用的是 Bash 4.1+（也就是 Bash 4.1 或更新的版本）。
 {{< /warning >}}
 
 <!-- 
 ### Upgrade Bash
 -->
-### 升级 Bash
+### 升级 Bash {#upgrade-bash}
 
 <!-- 
 The instructions here assume you use Bash 4.1+. You can check your Bash's version by running:
@@ -77,7 +77,7 @@ Homebrew 通常把它安装为 `/usr/local/bin/bash`。
 <!-- 
 ### Install bash-completion
 -->
-### 安装 bash-completion
+### 安装 bash-completion {#install-bash-completion}
 
 
 {{< note >}}
@@ -116,7 +116,7 @@ Reload your shell and verify that bash-completion v2 is correctly installed with
 <!-- 
 ### Enable kubectl autocompletion
 -->
-### 启用 kubectl 自动补全功能
+### 启用 kubectl 自动补全功能 {#enable-kubectl-autocompletion}
 
 <!-- 
 You now have to ensure that the kubectl completion script gets sourced in all your shell sessions. There are multiple ways to achieve this:
@@ -156,7 +156,7 @@ You now have to ensure that the kubectl completion script gets sourced in all yo
 -->
 - 如果你是用 Homebrew 安装的 kubectl（如
   [此页面](/zh-cn/docs/tasks/install-with-homebrew-on-macos/#install-with-homebrew-on-macos)
-  所描述），则kubectl 补全脚本应该已经安装到目录 `/usr/local/etc/bash_completion.d/kubectl`
+  所描述），则 kubectl 补全脚本应该已经安装到目录 `/usr/local/etc/bash_completion.d/kubectl`
   中了。这种情况下，你什么都不需要做。
 
   {{< note >}}
diff --git a/content/zh-cn/docs/tasks/tools/install-kubectl-linux.md b/content/zh-cn/docs/tasks/tools/install-kubectl-linux.md
index 7d088e8371c..7ecf0233d6e 100644
--- a/content/zh-cn/docs/tasks/tools/install-kubectl-linux.md
+++ b/content/zh-cn/docs/tasks/tools/install-kubectl-linux.md
@@ -171,62 +171,75 @@ Or use this for detailed view of version:
 ### 用原生包管理工具安装 {#install-using-native-package-management}
 
 {{< tabs name="kubectl_install" >}}
-{{% tab name="Ubuntu、Debian 或 HypriotOS" %}}
+{{% tab name="基于 Debian 的发行版" %}}
 
-  <!--
-  1. Update the `apt` package index and install packages needed to use the Kubernetes `apt` repository:
-  -->
-  1. 更新 `apt` 包索引，并安装使用 Kubernetes `apt` 仓库所需要的包：
+<!--
+1. Update the `apt` package index and install packages needed to use the Kubernetes `apt` repository:
+-->
+1. 更新 `apt` 包索引，并安装使用 Kubernetes `apt` 仓库所需要的包：
 
-     ```shell
-     sudo apt-get update
-     sudo apt-get install -y apt-transport-https ca-certificates curl
-     ```
-  <!--
-  2. Download the Google Cloud public signing key:
-  -->
-  2. 下载 Google Cloud 公开签名秘钥：
+   ```shell
+   sudo apt-get update
+   sudo apt-get install -y ca-certificates curl
+   ```
+   <!--
+   If you use Debian 9 (stretch) or earlier you would also need to install `apt-transport-https`:
+   -->
+   {{< note >}}
 
-     ```shell
-     sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://packages.cloud.google.com/apt/doc/apt-key.gpg
-     ```
+   如果你使用 Debian 9（stretch）或更早版本，则你还需要安装 `apt-transport-https`：
 
-  <!--
-  3. Add the Kubernetes `apt` repository:
-  -->
-  3. 添加 Kubernetes `apt` 仓库：
+   ```shell
+    sudo apt-get install -y apt-transport-https
+   ```
 
-     ```shell
-     echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
-     ```
+   {{< /note >}}
+   
+<!--
+2. Download the Google Cloud public signing key:
+-->
 
-  <!--
-  4. Update `apt` package index with the new repository and install kubectl:
-  -->
-  4. 更新 `apt` 包索引，使之包含新的仓库并安装 kubectl：
+2. 下载 Google Cloud 公开签名秘钥：
+
+   ```shell
+   sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg https://packages.cloud.google.com/apt/doc/apt-key.gpg
+   ```
+
+<!--
+3. Add the Kubernetes `apt` repository:
+-->
+
+3. 添加 Kubernetes `apt` 仓库：
+
+   ```shell
+   echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] https://apt.kubernetes.io/ kubernetes-xenial main" | sudo tee /etc/apt/sources.list.d/kubernetes.list
+   ```
+
+<!--
+4. Update `apt` package index with the new repository and install kubectl:
+-->
+
+4. 更新 `apt` 包索引，使之包含新的仓库并安装 kubectl：
+
+   ```shell
+   sudo apt-get update
+   sudo apt-get install -y kubectl
+   ```
 
-     ```shell
-     sudo apt-get update
-     sudo apt-get install -y kubectl
-     ```
 {{% /tab %}}
 
-{{% tab name="基于 Red Hat 的发行版" %}}
+{{< tab name="基于 Red Hat 的发行版" codelang="bash" >}}
 
-```shell
 cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
 [kubernetes]
 name=Kubernetes
-baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
+baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-\$basearch
 enabled=1
 gpgcheck=1
-repo_gpgcheck=1
 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
 EOF
 sudo yum install -y kubectl
-```
-
-{{% /tab %}}
+{{< /tab >}}
 {{< /tabs >}}
 
 <!-- 
@@ -353,6 +366,7 @@ kubectl 为 Bash、Zsh、Fish 和 PowerShell 提供自动补全功能，可以
    kubectl-convert: FAILED
    sha256sum: WARNING: 1 computed checksum did NOT match
    ```
+
    {{< note >}}
    <!--
    Download the same version of the binary and checksum.
diff --git a/content/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md b/content/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
index b46c61ebd35..22a7089d1ed 100644
--- a/content/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
+++ b/content/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice.md
@@ -14,7 +14,9 @@ weight: 10
 <!-- overview -->
 
 <!-- 
-In this tutorial you will learn how and why to externalize your microservice’s configuration.  Specifically, you will learn how to use Kubernetes ConfigMaps and Secrets to set environment variables and then consume them using MicroProfile Config.
+In this tutorial you will learn how and why to externalize your microservice’s configuration.
+Specifically, you will learn how to use Kubernetes ConfigMaps and Secrets to set environment
+variables and then consume them using MicroProfile Config.
 -->
 在本教程中，你会学到如何以及为什么要实现外部化微服务应用配置。
 具体来说，你将学习如何使用 Kubernetes ConfigMaps 和 Secrets 设置环境变量，
@@ -24,7 +26,12 @@ In this tutorial you will learn how and why to externalize your microservice’s
 
 <!-- 
 ### Creating Kubernetes ConfigMaps & Secrets
-There are several ways to set environment variables for a Docker container in Kubernetes, including: Dockerfile, kubernetes.yml, Kubernetes ConfigMaps, and Kubernetes Secrets.  In the tutorial, you will learn how to use the latter two for setting your environment variables whose values will be injected into your microservices.  One of the benefits for using ConfigMaps and Secrets is that they can be re-used across multiple containers, including being assigned to different environment variables for the different containers.
+There are several ways to set environment variables for a Docker container in Kubernetes,
+including: Dockerfile, kubernetes.yml, Kubernetes ConfigMaps, and Kubernetes Secrets.  In the
+tutorial, you will learn how to use the latter two for setting your environment variables whose
+values will be injected into your microservices.  One of the benefits for using ConfigMaps and
+Secrets is that they can be re-used across multiple containers, including being assigned to
+different environment variables for the different containers.
 -->
 ### 创建 Kubernetes ConfigMaps 和 Secrets  {#creating-kubernetes-configmaps-secrets}
 在 Kubernetes 中，为 docker 容器设置环境变量有几种不同的方式，比如：
@@ -34,9 +41,16 @@ Dockerfile、kubernetes.yml、Kubernetes ConfigMaps、和 Kubernetes Secrets。
 比如赋值给不同的容器中的不同环境变量。
 
 <!-- 
-ConfigMaps are API Objects that store non-confidential key-value pairs.  In the Interactive Tutorial you will learn how to use a ConfigMap to store the application's name.  For more information regarding ConfigMaps, you can find the documentation [here](/docs/tasks/configure-pod-container/configure-pod-configmap/).
+ConfigMaps are API Objects that store non-confidential key-value pairs.  In the Interactive
+Tutorial you will learn how to use a ConfigMap to store the application's name.  For more
+information regarding ConfigMaps, you can find the documentation
+[here](/docs/tasks/configure-pod-container/configure-pod-configmap/).
 
-Although Secrets are also used to store key-value pairs, they differ from ConfigMaps in that they're intended for confidential/sensitive information and are stored using Base64 encoding.  This makes secrets the appropriate choice for storing such things as credentials, keys, and tokens, the former of which you'll do in the Interactive Tutorial.  For more information on Secrets, you can find the documentation [here](/docs/concepts/configuration/secret/).
+Although Secrets are also used to store key-value pairs, they differ from ConfigMaps in that
+they're intended for confidential/sensitive information and are stored using Base64 encoding.
+This makes secrets the appropriate choice for storing such things as credentials, keys, and
+tokens, the former of which you'll do in the Interactive Tutorial.  For more information on
+Secrets, you can find the documentation [here](/docs/concepts/configuration/secret/).
 -->
 ConfigMaps 是存储非机密键值对的 API 对象。
 在互动教程中，你会学到如何用 ConfigMap 来保存应用名字。
@@ -49,7 +63,10 @@ Secrets 的更多信息，你可以在[这里](/zh-cn/docs/concepts/configuratio
 
 <!-- 
 ### Externalizing Config from Code
-Externalized application configuration is useful because configuration usually changes depending on your environment.  In order to accomplish this, we'll use Java's Contexts and Dependency Injection (CDI) and MicroProfile Config. MicroProfile Config is a feature of MicroProfile, a set of open Java technologies for developing and deploying cloud-native microservices.
+Externalized application configuration is useful because configuration usually changes depending
+on your environment.  In order to accomplish this, we'll use Java's Contexts and Dependency
+Injection (CDI) and MicroProfile Config. MicroProfile Config is a feature of MicroProfile, a set
+of open Java technologies for developing and deploying cloud-native microservices.
 -->
 ### 从代码外部化配置
 外部化应用配置之所以有用处，是因为配置常常根据环境的不同而变化。
@@ -58,9 +75,18 @@ MicroProfile config 是 MicroProfile 的功能特性，
 是一组开放 Java 技术，用于开发、部署云原生微服务。
 
 <!-- 
-CDI provides a standard dependency injection capability enabling an application to be assembled from collaborating, loosely-coupled beans.  MicroProfile Config provides apps and microservices a standard way to obtain config properties from various sources, including the application, runtime, and environment.  Based on the source's defined priority, the properties are automatically combined into a single set of properties that the application can access via an API.  Together, CDI & MicroProfile will be used in the Interactive Tutorial to retrieve the externally provided properties from the Kubernetes ConfigMaps and Secrets and get injected into your application code.
+CDI provides a standard dependency injection capability enabling an application to be assembled
+from collaborating, loosely-coupled beans.  MicroProfile Config provides apps and microservices a
+standard way to obtain config properties from various sources, including the application, runtime,
+and environment.  Based on the source's defined priority, the properties are automatically
+combined into a single set of properties that the application can access via an API.  Together,
+CDI & MicroProfile will be used in the Interactive Tutorial to retrieve the externally provided
+properties from the Kubernetes ConfigMaps and Secrets and get injected into your application code.
 
-Many open source frameworks and runtimes implement and support MicroProfile Config.  Throughout the interactive tutorial, you'll be using Open Liberty, a flexible open-source Java runtime for building and running cloud-native apps and microservices.  However, any MicroProfile compatible runtime could be used instead. 
+Many open source frameworks and runtimes implement and support MicroProfile Config.  Throughout
+the interactive tutorial, you'll be using Open Liberty, a flexible open-source Java runtime for
+building and running cloud-native apps and microservices.  However, any MicroProfile compatible
+runtime could be used instead. 
 -->
 CDI 提供一套标准的依赖注入能力，使得应用程序可以由相互协作的、松耦合的 beans 组装而成。
 MicroProfile Config 为 app 和微服务提供从各种来源，比如应用、运行时、环境，获取配置参数的标准方法。
@@ -87,7 +113,9 @@ CDI & MicroProfile 都会被用在互动教程中，
 
 <!-- 
 ## Example: Externalizing config using MicroProfile, ConfigMaps and Secrets
-### [Start Interactive Tutorial](/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
+
+[Start Interactive Tutorial](/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
 -->
 ## 示例：使用 MicroProfile、ConfigMaps、Secrets 实现外部化应用配置
-### [启动互动教程](/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
+
+[启动互动教程](/zh-cn/docs/tutorials/configuration/configure-java-microservice/configure-java-microservice-interactive/) 
diff --git a/content/zh-cn/docs/tutorials/kubernetes-basics/deploy-app/deploy-intro.html b/content/zh-cn/docs/tutorials/kubernetes-basics/deploy-app/deploy-intro.html
index 348deda8c98..f90ba821926 100644
--- a/content/zh-cn/docs/tutorials/kubernetes-basics/deploy-app/deploy-intro.html
+++ b/content/zh-cn/docs/tutorials/kubernetes-basics/deploy-app/deploy-intro.html
@@ -94,7 +94,7 @@ weight: 10
                 <p>你可以使用 Kubernetes 命令行界面 <b>Kubectl</b> 创建和管理 Deployment。Kubectl 使用 Kubernetes API 与集群进行交互。在本单元中，你将学习创建在 Kubernetes 集群上运行应用程序的 Deployment 所需的最常见的 Kubectl 命令。</p>
 
                 <!-- <p>When you create a Deployment, you'll need to specify the container image for your application and the number of replicas that you want to run. You can change that information later by updating your Deployment; Modules <a href="/docs/tutorials/kubernetes-basics/scale-intro/">5</a> and <a href="/docs/tutorials/kubernetes-basics/update-intro/">6</a> of the bootcamp discuss how you can scale and update your Deployments.</p> -->
-                <p>创建 Deployment 时，你需要指定应用程序的容器映像以及要运行的副本数。你可以稍后通过更新 Deployment 来更改该信息; 模块 <a href="/zh-cn/docs/tutorials/kubernetes-basics/scale-intro/">5</a> 和 <a href="/zh-cn/docs/tutorials/kubernetes-basics/update-intro/">6</a> 讨论了如何扩展和更新 Deployments。</p>
+                <p>创建 Deployment 时，你需要指定应用程序的容器镜像以及要运行的副本数。你可以稍后通过更新 Deployment 来更改该信息; 模块 <a href="/zh-cn/docs/tutorials/kubernetes-basics/scale-intro/">5</a> 和 <a href="/zh-cn/docs/tutorials/kubernetes-basics/update-intro/">6</a> 讨论了如何扩展和更新 Deployments。</p>
 
             </div>
             <div class="col-md-4">
diff --git a/content/zh-cn/docs/tutorials/kubernetes-basics/explore/explore-intro.html b/content/zh-cn/docs/tutorials/kubernetes-basics/explore/explore-intro.html
index d7d507f2d29..aa5e1a9e9b4 100644
--- a/content/zh-cn/docs/tutorials/kubernetes-basics/explore/explore-intro.html
+++ b/content/zh-cn/docs/tutorials/kubernetes-basics/explore/explore-intro.html
@@ -54,7 +54,7 @@ weight: 10
         <ul>
           <li>共享存储，当作卷</li>
           <li>网络，作为唯一的集群 IP 地址</li>
-          <li>有关每个容器如何运行的信息，例如容器映像版本或要使用的特定端口。</li>
+          <li>有关每个容器如何运行的信息，例如容器镜像版本或要使用的特定端口。</li>
         </ul>
     <!--
         <p>A Pod models an application-specific "logical host" and can contain different application containers which are relatively tightly coupled. For example, a Pod might include both the container with your Node.js app as well as a different container that feeds the data to be published by the Node.js webserver. The containers in a Pod share an IP Address and port space, are always co-located and co-scheduled, and run in a shared context on the same Node.</p>
diff --git a/content/zh-cn/docs/tutorials/kubernetes-basics/expose/expose-intro.html b/content/zh-cn/docs/tutorials/kubernetes-basics/expose/expose-intro.html
index a4484c61399..99e98c58576 100644
--- a/content/zh-cn/docs/tutorials/kubernetes-basics/expose/expose-intro.html
+++ b/content/zh-cn/docs/tutorials/kubernetes-basics/expose/expose-intro.html
@@ -92,7 +92,7 @@ weight: 10
 
 		<div class="row">
 			<div class="col-md-8">
-<!--        <p>A Service routes traffic across a set of Pods. Services are the abstraction that allow pods to die and replicate in Kubernetes without impacting your application. Discovery and routing among dependent Pods (such as the frontend and backend components in an application) is handled by Kubernetes Services.</p>-->
+<!--        <p>A Service routes traffic across a set of Pods. Services are the abstraction that allows pods to die and replicate in Kubernetes without impacting your application. Discovery and routing among dependent Pods (such as the frontend and backend components in an application) is handled by Kubernetes Services.</p>-->
         <p>Service 通过一组 Pod 路由通信。Service 是一种抽象，它允许 Pod 死亡并在 Kubernetes 中复制，而不会影响应用程序。在依赖的 Pod (如应用程序中的前端和后端组件)之间进行发现和路由是由Kubernetes Service 处理的。</p>
 <!--        <p>Services match a set of Pods using <a href="/docs/concepts/overview/working-with-objects/labels">labels and selectors</a>, a grouping primitive that allows logical operation on objects in Kubernetes. Labels are key/value pairs attached to objects and can be used in any number of ways:</p>-->
         <p>Service 匹配一组 Pod 是使用 <a href="/zh-cn/docs/concepts/overview/working-with-objects/labels">标签(Label)和选择器(Selector)</a>, 它们是允许对 Kubernetes 中的对象进行逻辑操作的一种分组原语。标签(Label)是附加在对象上的键/值对，可以以多种方式使用:</p>
diff --git a/content/zh-cn/docs/tutorials/security/apparmor.md b/content/zh-cn/docs/tutorials/security/apparmor.md
index 00048de9761..a1669d2a5d6 100644
--- a/content/zh-cn/docs/tutorials/security/apparmor.md
+++ b/content/zh-cn/docs/tutorials/security/apparmor.md
@@ -4,6 +4,8 @@ content_type: tutorial
 weight: 10
 ---
 <!--
+reviewers:
+- stclair
 title: Restrict a Container's Access to Resources with AppArmor
 content_type: tutorial
 weight: 10
@@ -13,14 +15,14 @@ weight: 10
 
 {{< feature-state for_k8s_version="v1.4" state="beta" >}}
 
-<!-- 
+<!--
 AppArmor is a Linux kernel security module that supplements the standard Linux user and group based
 permissions to confine programs to a limited set of resources. AppArmor can be configured for any
 application to reduce its potential attack surface and provide greater in-depth defense. It is
 configured through profiles tuned to allow the access needed by a specific program or container,
 such as Linux capabilities, network access, file permissions, etc. Each profile can be run in either
 *enforcing* mode, which blocks access to disallowed resources, or *complain* mode, which only reports
-violations. 
+violations.
 -->
 AppArmor 是一个 Linux 内核安全模块，
 它补充了基于标准 Linux 用户和组的权限，将程序限制在一组有限的资源中。
@@ -31,7 +33,7 @@ AppArmor 可以配置为任何应用程序减少潜在的攻击面，并且提
 *强制（enforcing）* 模式（阻止访问不允许的资源）或
 *投诉（complain）* 模式（仅报告冲突）下运行。
 
-<!-- 
+<!--
 AppArmor can help you to run a more secure deployment by restricting what containers are allowed to
 do, and/or provide better auditing through system logs. However, it is important to keep in mind
 that AppArmor is not a silver bullet and can only do so much to protect against exploits in your
@@ -46,12 +48,12 @@ AppArmor 可以通过限制允许容器执行的操作，
 
 ## {{% heading "objectives" %}}
 
-<!-- 
+<!--
 * See an example of how to load a profile on a node
 * Learn how to enforce the profile on a Pod
 * Learn how to check that the profile is loaded
 * See what happens when a profile is violated
-* See what happens when a profile cannot be loaded 
+* See what happens when a profile cannot be loaded
 -->
 * 查看如何在节点上加载配置文件示例
 * 了解如何在 Pod 上强制执行配置文件
@@ -61,10 +63,12 @@ AppArmor 可以通过限制允许容器执行的操作，
 
 ## {{% heading "prerequisites" %}}
 
-<!-- Make sure: -->
+<!--
+Make sure:
+-->
 确保：
 
-<!-- 
+<!--
 1. Kubernetes version is at least v1.4 -- Kubernetes support for AppArmor was added in
    v1.4. Kubernetes components older than v1.4 are not aware of the new AppArmor annotations, and
    will **silently ignore** any AppArmor settings that are provided. To ensure that your Pods are
@@ -93,7 +97,7 @@ AppArmor 可以通过限制允许容器执行的操作，
    gke-test-default-pool-239f5d02-xwux: v1.4.0
    ```
 
-<!-- 
+<!--
 2. AppArmor kernel module is enabled -- For the Linux kernel to enforce an AppArmor profile, the
    AppArmor kernel module must be installed and enabled. Several distributions enable the module by
    default, such as Ubuntu and SUSE, and many others provide optional support. To check whether the
@@ -143,7 +147,7 @@ AppArmor 可以通过限制允许容器执行的操作，
    或 {{< glossary_tooltip term_id="containerd" >}}。
    请参考相应的运行时文档并验证集群是否满足使用 AppArmor 的要求。
 
-<!-- 
+<!--
 4. Profile is loaded -- AppArmor is applied to a Pod by specifying an AppArmor profile that each
    container should be run with. If any of the specified profiles is not already loaded in the
    kernel, the Kubelet (>= v1.4) will reject the Pod. You can view which profiles are loaded on a
@@ -180,11 +184,11 @@ AppArmor 可以通过限制允许容器执行的操作，
 
    有关在节点上加载配置文件的详细信息，请参见[使用配置文件设置节点](#setting-up-nodes-with-profiles)。
 
-<!-- 
+<!--
 As long as the Kubelet version includes AppArmor support (>= v1.4), the Kubelet will reject a Pod
 with AppArmor options if any of the prerequisites are not met. You can also verify AppArmor support
 on nodes by checking the node ready condition message (though this is likely to be removed in a
-later release): 
+later release):
 -->
 只要 Kubelet 版本包含 AppArmor 支持(>=v1.4)，
 如果不满足这些先决条件，Kubelet 将拒绝带有 AppArmor 选项的 Pod。
@@ -201,11 +205,13 @@ gke-test-default-pool-239f5d02-xwux: kubelet is posting ready status. AppArmor e
 
 <!-- lessoncontent -->
 
-<!-- ## Securing a Pod -->
+<!--
+## Securing a Pod
+-->
 ## 保护 Pod {#securing-a-pod}
 
 {{< note >}}
-<!-- 
+<!--
 AppArmor is currently in beta, so options are specified as annotations. Once support graduates to
 general availability, the annotations will be replaced with first-class fields (more details in
 [Upgrade path to GA](#upgrade-path-to-general-availability)).
@@ -217,7 +223,7 @@ AppArmor 目前处于 Beta 阶段，因此选项以注解形式设定。
 
 <!--
 AppArmor profiles are specified *per-container*. To specify the AppArmor profile to run a Pod
-container with, add an annotation to the Pod's metadata: 
+container with, add an annotation to the Pod's metadata:
 -->
 AppArmor 配置文件是按 *逐个容器* 的形式来设置的。
 要指定用来运行 Pod 容器的 AppArmor 配置文件，请向 Pod 的 metadata 添加注解：
@@ -226,38 +232,38 @@ AppArmor 配置文件是按 *逐个容器* 的形式来设置的。
 container.apparmor.security.beta.kubernetes.io/<container_name>: <profile_ref>
 ```
 
-<!-- 
+<!--
 Where `<container_name>` is the name of the container to apply the profile to, and `<profile_ref>`
-specifies the profile to apply. The `profile_ref` can be one of: 
+specifies the profile to apply. The `profile_ref` can be one of:
 -->
 `<container_name>` 的名称是配置文件所针对的容器的名称，`<profile_def>` 则设置要应用的配置文件。
 `<profile_ref>` 可以是以下取值之一：
 
-<!-- 
+<!--
 * `runtime/default` to apply the runtime's default profile
 * `localhost/<profile_name>` to apply the profile loaded on the host with the name `<profile_name>`
-* `unconfined` to indicate that no profiles will be loaded 
+* `unconfined` to indicate that no profiles will be loaded
 -->
 * `runtime/default` 应用运行时的默认配置
 * `localhost/<profile_name>` 应用在主机上加载的名为 `<profile_name>` 的配置文件
 * `unconfined` 表示不加载配置文件
 
-<!-- 
+<!--
 See the [API Reference](#api-reference) for the full details on the annotation and profile name formats.
 -->
-有关注解和配置文件名称格式的详细信息，请参阅[API 参考](#api-reference)。
+有关注解和配置文件名称格式的详细信息，请参阅 [API 参考](#api-reference)。
 
-<!-- 
+<!--
 Kubernetes AppArmor enforcement works by first checking that all the prerequisites have been
 met, and then forwarding the profile selection to the container runtime for enforcement. If the
-prerequisites have not been met, the Pod will be rejected, and will not run. 
+prerequisites have not been met, the Pod will be rejected, and will not run.
 -->
 Kubernetes AppArmor 强制执行机制首先检查所有先决条件都已满足，
 然后将所选的配置文件转发到容器运行时进行强制执行。
 如果未满足先决条件，Pod 将被拒绝，并且不会运行。
 
-<!-- 
-To verify that the profile was applied, you can look for the AppArmor security option listed in the container created event: 
+<!--
+To verify that the profile was applied, you can look for the AppArmor security option listed in the container created event:
 -->
 要验证是否应用了配置文件，可以在容器创建事件中查找所列出的 AppArmor 安全选项：
 
@@ -268,8 +274,8 @@ kubectl get events | grep Created
 22s        22s         1         hello-apparmor     Pod       spec.containers{hello}   Normal    Created     {kubelet e2e-test-stclair-node-pool-31nt}   Created container with docker id 269a53b202d3; Security:[seccomp=unconfined apparmor=k8s-apparmor-example-deny-write]
 ```
 
-<!-- 
-You can also verify directly that the container's root process is running with the correct profile by checking its proc attr: 
+<!--
+You can also verify directly that the container's root process is running with the correct profile by checking its proc attr:
 -->
 你还可以通过检查容器的 proc attr，直接验证容器的根进程是否以正确的配置文件运行：
 
@@ -280,14 +286,18 @@ kubectl exec <pod_name> cat /proc/1/attr/current
 k8s-apparmor-example-deny-write (enforce)
 ```
 
-<!-- ## Example -->
+<!--
+## Example
+-->
 ## 举例 {#example}
 
-<!-- *This example assumes you have already set up a cluster with AppArmor support.* -->
-*本例假设你已经设置了一个集群使用 AppArmor 支持。*
+<!--
+*This example assumes you have already set up a cluster with AppArmor support.*
+-->
+**本例假设你已经设置了一个集群使用 AppArmor 支持。**
 
-<!-- 
-First, we need to load the profile we want to use onto our nodes. This profile denies all file writes: 
+<!--
+First, we need to load the profile we want to use onto our nodes. This profile denies all file writes:
 -->
 首先，我们需要将要使用的配置文件加载到节点上。配置文件拒绝所有文件写入：
 
@@ -304,10 +314,10 @@ profile k8s-apparmor-example-deny-write flags=(attach_disconnected) {
 }
 ```
 
-<!-- 
+<!--
 Since we don't know where the Pod will be scheduled, we'll need to load the profile on all our
 nodes. For this example we'll use SSH to install the profiles, but other approaches are
-discussed in [Setting up nodes with profiles](#setting-up-nodes-with-profiles). 
+discussed in [Setting up nodes with profiles](#setting-up-nodes-with-profiles).
 -->
 由于我们不知道 Pod 将被调度到哪里，我们需要在所有节点上加载配置文件。
 在本例中，我们将使用 SSH 来安装概要文件，
@@ -334,7 +344,9 @@ EOF'
 done
 ```
 
-<!-- Next, we'll run a simple "Hello AppArmor" pod with the deny-write profile: -->
+<!--
+Next, we'll run a simple "Hello AppArmor" pod with the deny-write profile:
+-->
 接下来，我们将运行一个带有拒绝写入配置文件的简单 “Hello AppArmor” Pod：
 
 {{< codenew file="pods/security/hello-apparmor.yaml" >}}
@@ -343,9 +355,9 @@ done
 kubectl create -f ./hello-apparmor.yaml
 ```
 
-<!-- 
+<!--
 If we look at the pod events, we can see that the Pod container was created with the AppArmor
-profile "k8s-apparmor-example-deny-write": 
+profile "k8s-apparmor-example-deny-write":
 -->
 如果我们查看 Pod 事件，我们可以看到 Pod 容器是用 AppArmor
 配置文件 “k8s-apparmor-example-deny-write” 所创建的：
@@ -361,7 +373,9 @@ kubectl get events | grep hello-apparmor
 13s        13s         1         hello-apparmor   Pod       spec.containers{hello}   Normal    Started     {kubelet gke-test-default-pool-239f5d02-gyn2}   Started container with docker id 06b6cd1c0989
 ```
 
-<!-- We can verify that the container is actually running with that profile by checking its proc attr: -->
+<!--
+We can verify that the container is actually running with that profile by checking its proc attr:
+-->
 我们可以通过检查该配置文件的 proc attr 来验证容器是否实际使用该配置文件运行：
 
 ```shell
@@ -371,7 +385,9 @@ kubectl exec hello-apparmor -- cat /proc/1/attr/current
 k8s-apparmor-example-deny-write (enforce)
 ```
 
-<!-- Finally, we can see what happens if we try to violate the profile by writing to a file: -->
+<!--
+Finally, we can see what happens if we try to violate the profile by writing to a file:
+-->
 最后，我们可以看到，如果我们尝试通过写入文件来违反配置文件会发生什么：
 
 ```shell
@@ -382,7 +398,9 @@ touch: /tmp/test: Permission denied
 error: error executing remote command: command terminated with non-zero exit code: Error executing in Docker Container: 1
 ```
 
-<!-- To wrap up, let's look at what happens if we try to specify a profile that hasn't been loaded: -->
+<!--
+To wrap up, let's look at what happens if we try to specify a profile that hasn't been loaded:
+-->
 最后，让我们看看如果我们试图指定一个尚未加载的配置文件会发生什么：
 
 ```shell
@@ -456,35 +474,39 @@ Events:
   23s          23s         1        {kubelet e2e-test-stclair-node-pool-t1f5}             Warning        AppArmor    Cannot enforce AppArmor: profile "k8s-apparmor-example-allow-write" is not loaded
 ```
 
-<!-- 
+<!--
 Note the pod status is Pending, with a helpful error message: `Pod Cannot enforce AppArmor: profile
-"k8s-apparmor-example-allow-write" is not loaded`. An event was also recorded with the same message. 
+"k8s-apparmor-example-allow-write" is not loaded`. An event was also recorded with the same message.
 -->
 注意 Pod 呈现 Pending 状态，并且显示一条有用的错误信息：
 `Pod Cannot enforce AppArmor: profile "k8s-apparmor-example-allow-write" is not loaded`。
 还用相同的消息记录了一个事件。
 
-<!-- ## Administration -->
+<!--
+## Administration
+-->
 ## 管理 {#administration}
 
-<!-- ### Setting up nodes with profiles -->
+<!--
+### Setting up nodes with profiles
+-->
 ### 使用配置文件设置节点 {#setting-up-nodes-with-profiles}
 
-<!-- 
+<!--
 Kubernetes does not currently provide any native mechanisms for loading AppArmor profiles onto
-nodes. There are lots of ways to setup the profiles though, such as: 
+nodes. There are lots of ways to setup the profiles though, such as:
 -->
 Kubernetes 目前不提供任何本地机制来将 AppArmor 配置文件加载到节点上。
 有很多方法可以设置配置文件，例如：
 
-<!-- 
+<!--
 * Through a [DaemonSet](/docs/concepts/workloads/controllers/daemonset/) that runs a Pod on each node to
   ensure the correct profiles are loaded. An example implementation can be found
   [here](https://git.k8s.io/kubernetes/test/images/apparmor-loader).
 * At node initialization time, using your node initialization scripts (e.g. Salt, Ansible, etc.) or
   image.
 * By copying the profiles to each node and loading them through SSH, as demonstrated in the
-  [Example](#example). 
+  [Example](#example).
 -->
 * 通过在每个节点上运行 Pod 的
   [DaemonSet](/zh-cn/docs/concepts/workloads/controllers/daemonset/)来确保加载了正确的配置文件。
@@ -492,23 +514,25 @@ Kubernetes 目前不提供任何本地机制来将 AppArmor 配置文件加载
 * 在节点初始化时，使用节点初始化脚本(例如 Salt、Ansible 等)或镜像。
 * 通过将配置文件复制到每个节点并通过 SSH 加载它们，如[示例](#example)。
 
-<!-- 
+<!--
 The scheduler is not aware of which profiles are loaded onto which node, so the full set of profiles
 must be loaded onto every node.  An alternative approach is to add a node label for each profile (or
 class of profiles) on the node, and use a
-[node selector](/docs/concepts/configuration/assign-pod-node/) to ensure the Pod is run on a
-node with the required profile. 
+[node selector](/docs/concepts/scheduling-eviction/assign-pod-node/) to ensure the Pod is run on a
+node with the required profile.
 -->
 调度程序不知道哪些配置文件加载到哪个节点上，因此必须将全套配置文件加载到每个节点上。
 另一种方法是为节点上的每个配置文件（或配置文件类）添加节点标签，
-并使用[节点选择器](/zh-cn/docs/concepts/configuration/assign-pod-node/)确保
+并使用[节点选择器](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)确保
 Pod 在具有所需配置文件的节点上运行。
 
-<!-- ### Restricting profiles with the PodSecurityPolicy -->
+<!--
+### Restricting profiles with the PodSecurityPolicy
+-->
 ### 使用 PodSecurityPolicy 限制配置文件 {#restricting-profiles-with-the-podsecuritypolicy}
 
 {{< note >}}
-<!-- 
+<!--
 PodSecurityPolicy is deprecated in Kubernetes v1.21, and will be removed in v1.25.
 See [PodSecurityPolicy](/docs/concepts/security/pod-security-policy/) documentation for more information.
 -->
@@ -516,9 +540,9 @@ PodSecurityPolicy 在 Kubernetes v1.21 版本中已被废弃，将在 v1.25 版
 查看 [PodSecurityPolicy](/zh-cn/docs/concepts/security/pod-security-policy/) 文档获取更多信息。
 {{< /note >}}
 
-<!-- 
+<!--
 If the PodSecurityPolicy extension is enabled, cluster-wide AppArmor restrictions can be applied. To
-enable the PodSecurityPolicy, the following flag must be set on the `apiserver`: 
+enable the PodSecurityPolicy, the following flag must be set on the `apiserver`:
 -->
 如果启用了 PodSecurityPolicy 扩展，则可以应用集群范围的 AppArmor 限制。
 要启用 PodSecurityPolicy，必须在 `apiserver` 上设置以下标志：
@@ -527,7 +551,9 @@ enable the PodSecurityPolicy, the following flag must be set on the `apiserver`:
 --enable-admission-plugins=PodSecurityPolicy[,others...]
 ```
 
-<!-- The AppArmor options can be specified as annotations on the PodSecurityPolicy: -->
+<!--
+The AppArmor options can be specified as annotations on the PodSecurityPolicy:
+-->
 AppArmor 选项可以指定为 PodSecurityPolicy 上的注解：
 
 ```yaml
@@ -535,31 +561,35 @@ apparmor.security.beta.kubernetes.io/defaultProfileName: <profile_ref>
 apparmor.security.beta.kubernetes.io/allowedProfileNames: <profile_ref>[,others...]
 ```
 
-<!-- 
+<!--
 The default profile name option specifies the profile to apply to containers by default when none is
 specified. The allowed profile names option specifies a list of profiles that Pod containers are
 allowed to be run with. If both options are provided, the default must be allowed. The profiles are
 specified in the same format as on containers. See the [API Reference](#api-reference) for the full
-specification. 
+specification.
 -->
 默认配置文件名选项指定默认情况下在未指定任何配置文件时应用于容器的配置文件。
 所允许的配置文件名称选项指定允许 Pod 容器运行期间所对应的配置文件列表。
 如果同时提供了这两个选项，则必须允许默认值。
 配置文件的指定格式与容器上的相同。有关完整规范，请参阅 [API 参考](#api-reference)。
 
-<!-- ### Disabling AppArmor -->
+<!--
+### Disabling AppArmor
+-->
 ### 禁用 AppArmor {#disabling-apparmor}
 
-<!-- If you do not want AppArmor to be available on your cluster, it can be disabled by a command-line flag: -->
+<!--
+If you do not want AppArmor to be available on your cluster, it can be disabled by a command-line flag:
+-->
 如果你不希望 AppArmor 在集群上可用，可以通过命令行标志禁用它：
 
 ```
 --feature-gates=AppArmor=false
 ```
 
-<!-- 
+<!--
 When disabled, any Pod that includes an AppArmor profile will fail validation with a "Forbidden"
-error. 
+error.
 -->
 禁用时，任何包含 AppArmor 配置文件的 Pod 都将导致验证失败，且返回 “Forbidden” 错误。
 
@@ -575,21 +605,23 @@ availability (GA).
 {{</note>}}
 
 
-<!-- ## Authoring Profiles -->
+<!--
+## Authoring Profiles
+-->
 ## 编写配置文件 {#authoring-profiles}
 
-<!-- 
+<!--
 Getting AppArmor profiles specified correctly can be a tricky business. Fortunately there are some
-tools to help with that: 
+tools to help with that:
 -->
 获得正确指定的 AppArmor 配置文件可能是一件棘手的事情。幸运的是，有一些工具可以帮助你做到这一点：
 
-<!-- 
+<!--
 * `aa-genprof` and `aa-logprof` generate profile rules by monitoring an application's activity and
   logs, and admitting the actions it takes. Further instructions are provided by the
   [AppArmor documentation](https://gitlab.com/apparmor/apparmor/wikis/Profiling_with_tools).
 * [bane](https://github.com/jfrazelle/bane) is an AppArmor profile generator for Docker that uses a
-  simplified profile language. 
+  simplified profile language.
 -->
 * `aa-genprof` 和 `aa-logprof`
   通过监视应用程序的活动和日志并准许它所执行的操作来生成配置文件规则。
@@ -597,41 +629,49 @@ tools to help with that:
 * [bane](https://github.com/jfrazelle/bane)
   是一个用于 Docker的 AppArmor 配置文件生成器，它使用一种简化的画像语言（profile language）
 
-<!-- 
+<!--
 To debug problems with AppArmor, you can check the system logs to see what, specifically, was
 denied. AppArmor logs verbose messages to `dmesg`, and errors can usually be found in the system
 logs or through `journalctl`. More information is provided in
-[AppArmor failures](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Failures). 
+[AppArmor failures](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Failures).
 -->
 想要调试 AppArmor 的问题，你可以检查系统日志，查看具体拒绝了什么。
 AppArmor 将详细消息记录到 `dmesg`，
 错误通常可以在系统日志中或通过 `journalctl` 找到。
 更多详细信息见 [AppArmor 失败](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Failures)。
 
-<!-- ## API Reference -->
+<!--
+## API Reference
+-->
 ## API 参考 {#api-reference}
 
-<!-- ### Pod Annotation -->
+<!--
+### Pod Annotation
+-->
 ### Pod 注解 {#pod-annotation}
 
-<!-- Specifying the profile a container will run with: -->
+<!--
+Specifying the profile a container will run with:
+-->
 指定容器将使用的配置文件：
 
-<!-- 
+<!--
 - **key**: `container.apparmor.security.beta.kubernetes.io/<container_name>`
   Where `<container_name>` matches the name of a container in the Pod.
   A separate profile can be specified for each container in the Pod.
-- **value**: a profile reference, described below 
+- **value**: a profile reference, described below
 -->
 - **键名**: `container.apparmor.security.beta.kubernetes.io/<container_name>`
   ，其中 `<container_name>` 与 Pod 中某容器的名称匹配。
   可以为 Pod 中的每个容器指定单独的配置文件。
 - **键值**: 对配置文件的引用，如下所述
 
-<!-- ### Profile Reference -->
+<!--
+### Profile Reference
+-->
 ### 配置文件引用 {#profile-reference}
 
-<!-- 
+<!--
 - `runtime/default`: Refers to the default runtime profile.
   - Equivalent to not specifying a profile (without a PodSecurityPolicy default), except it still
     requires AppArmor to be enabled.
@@ -640,7 +680,7 @@ AppArmor 将详细消息记录到 `dmesg`，
 - `localhost/<profile_name>`: Refers to a profile loaded on the node (localhost) by name.
   - The possible profile names are detailed in the
     [core policy reference](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Core_Policy_Reference#profile-names-and-attachment-specifications).
-- `unconfined`: This effectively disables AppArmor on the container. 
+- `unconfined`: This effectively disables AppArmor on the container.
 -->
 - `runtime/default`: 指默认运行时配置文件。
   - 等同于不指定配置文件（没有 PodSecurityPolicy 默认值），只是它仍然需要启用 AppArmor。
@@ -650,30 +690,38 @@ AppArmor 将详细消息记录到 `dmesg`，
   - 可能的配置文件名在[核心策略参考](https://gitlab.com/apparmor/apparmor/wikis/AppArmor_Core_Policy_Reference#profile-names-and-attachment-specifications)。
 - `unconfined`: 这相当于为容器禁用 AppArmor。
 
-<!-- Any other profile reference format is invalid. -->
+<!--
+Any other profile reference format is invalid.
+-->
 任何其他配置文件引用格式无效。
 
-<!-- ### PodSecurityPolicy Annotations -->
+<!--
+### PodSecurityPolicy Annotations
+-->
 ### PodSecurityPolicy 注解 {#podsecuritypolicy-annotations}
 
-<!-- Specifying the default profile to apply to containers when none is provided: -->
+<!--
+Specifying the default profile to apply to containers when none is provided:
+-->
 指定在未提供容器时应用于容器的默认配置文件：
 
-<!-- 
+<!--
 * **key**: `apparmor.security.beta.kubernetes.io/defaultProfileName`
-* **value**: a profile reference, described above 
+* **value**: a profile reference, described above
 -->
 * **键名**: `apparmor.security.beta.kubernetes.io/defaultProfileName`
 * **键值**: 如上述文件参考所述
 
-<!-- Specifying the list of profiles Pod containers is allowed to specify: -->
+<!--
+Specifying the list of profiles Pod containers is allowed to specify:
+-->
 上面描述的指定配置文件，Pod 容器列表的配置文件引用允许指定：
 
-<!-- 
+<!--
 * **key**: `apparmor.security.beta.kubernetes.io/allowedProfileNames`
 * **value**: a comma-separated list of profile references (described above)
   - Although an escaped comma is a legal character in a profile name, it cannot be explicitly
-    allowed here. 
+    allowed here.
 -->
 * **键名**: `apparmor.security.beta.kubernetes.io/allowedProfileNames`
 * **键值**: 配置文件引用的逗号分隔列表（如上所述）
@@ -681,12 +729,14 @@ AppArmor 将详细消息记录到 `dmesg`，
 
 ## {{% heading "whatsnext" %}}
 
-<!-- Additional resources: -->
+<!--
+Additional resources:
+-->
 其他资源：
 
-<!-- 
+<!--
 * [Quick guide to the AppArmor profile language](https://gitlab.com/apparmor/apparmor/wikis/QuickProfileLanguage)
-* [AppArmor core policy reference](https://gitlab.com/apparmor/apparmor/wikis/Policy_Layout) 
+* [AppArmor core policy reference](https://gitlab.com/apparmor/apparmor/wikis/Policy_Layout)
 -->
 * [Apparmor 配置文件语言快速指南](https://gitlab.com/apparmor/apparmor/wikis/QuickProfileLanguage)
 * [Apparmor 核心策略参考](https://gitlab.com/apparmor/apparmor/wikis/Policy_Layout)
diff --git a/content/zh-cn/docs/tutorials/security/cluster-level-pss.md b/content/zh-cn/docs/tutorials/security/cluster-level-pss.md
index 2660631a2df..a9d83780c6f 100644
--- a/content/zh-cn/docs/tutorials/security/cluster-level-pss.md
+++ b/content/zh-cn/docs/tutorials/security/cluster-level-pss.md
@@ -25,6 +25,9 @@ Standard at the cluster level which applies a standard configuration
 to all namespaces in a cluster.
 
 To apply Pod Security Standards to specific namespaces, refer to [Apply Pod Security Standards at the namespace level](/docs/tutorials/security/ns-level-pss).
+
+If you are running a version of Kubernetes other than v{{< skew currentVersion >}},
+check the documentation for that version.
 -->
 Pod 安全准入（PSA）在 v1.23 及更高版本默认启用，
 因为它[升级到测试版（beta）](/blog/2021/12/09/pod-security-admission-beta/)。
@@ -36,6 +39,9 @@ Pod 安全准入是在创建 Pod 时应用
 要将 Pod 安全标准应用于特定名字空间，
 请参阅[在名字空间级别应用 Pod 安全标准](/zh-cn/docs/tutorials/security/ns-level-pss)。
 
+如果你正在运行 v{{< skew currentVersion >}} 以外的 Kubernetes 版本，
+检查该版本的文档。
+
 ## {{% heading "prerequisites" %}}
 <!-- 
 Install the following on your workstation:
@@ -73,13 +79,13 @@ that are most appropriate for your configuration, do the following:
 1. 创建一个没有应用 Pod 安全标准的集群：
 
    ```shell
-   kind create cluster --name psa-wo-cluster-pss --image kindest/node:v1.23.0
+   kind create cluster --name psa-wo-cluster-pss --image kindest/node:v1.24.0
    ```
    <!-- The output is similar to this: -->
    输出类似于：
    ```
    Creating cluster "psa-wo-cluster-pss" ...
-   ✓ Ensuring node image (kindest/node:v1.23.0) 🖼
+   ✓ Ensuring node image (kindest/node:v1.24.0) 🖼
    ✓ Preparing nodes 📦  
    ✓ Writing configuration 📜
    ✓ Starting control-plane 🕹️
@@ -331,13 +337,13 @@ following:
 5. 创建一个使用 Pod 安全准入的集群来应用这些 Pod 安全标准：
 
    ```shell
-   kind create cluster --name psa-with-cluster-pss --image kindest/node:v1.23.0 --config /tmp/pss/cluster-config.yaml
+   kind create cluster --name psa-with-cluster-pss --image kindest/node:v1.24.0 --config /tmp/pss/cluster-config.yaml
    ```
    <!-- The output is similar to this: -->
    输出类似于：
    ```
    Creating cluster "psa-with-cluster-pss" ...
-    ✓ Ensuring node image (kindest/node:v1.23.0) 🖼 
+    ✓ Ensuring node image (kindest/node:v1.24.0) 🖼 
     ✓ Preparing nodes 📦  
     ✓ Writing configuration 📜 
     ✓ Starting control-plane 🕹️ 
diff --git a/content/zh-cn/docs/tutorials/stateful-application/cassandra.md b/content/zh-cn/docs/tutorials/stateful-application/cassandra.md
index 43be73dc8c9..5b3ebd5a43f 100644
--- a/content/zh-cn/docs/tutorials/stateful-application/cassandra.md
+++ b/content/zh-cn/docs/tutorials/stateful-application/cassandra.md
@@ -18,19 +18,18 @@ This tutorial shows you how to run [Apache Cassandra](https://cassandra.apache.o
 Cassandra, a database, needs persistent storage to provide data durability (application _state_).
 In this example, a custom Cassandra seed provider lets the database discover new Cassandra instances as they join the Cassandra cluster.
 -->
-本教程描述拉如何在 Kubernetes 上运行 [Apache Cassandra](https://cassandra.apache.org/)。
-数据库 Cassandra 需要永久性存储提供数据持久性（应用“状态”）。
-在此示例中，自定义 Cassandra seed provider 使数据库在加入 Cassandra
-集群时发现新的 Cassandra 实例。
+本教程描述了如何在 Kubernetes 上运行 [Apache Cassandra](https://cassandra.apache.org/)。
+数据库 Cassandra 需要永久性存储提供数据持久性（应用**状态**）。
+在此示例中，自定义 Cassandra seed provider 使数据库在接入 Cassandra 集群时能够发现新的 Cassandra 实例。
 
 <!--
 *StatefulSets* make it easier to deploy stateful applications into your Kubernetes cluster.
 For more information on the features used in this tutorial, see
 [StatefulSet](/docs/concepts/workloads/controllers/statefulset/).
 -->
-使用"StatefulSets"可以更轻松地将有状态的应用程序部署到你的 Kubernetes 集群中。
+使用**StatefulSet**可以更轻松地将有状态的应用程序部署到你的 Kubernetes 集群中。
 有关本教程中使用的功能的更多信息，
-参阅 [StatefulSet](/zh-cn/docs/concepts/workloads/controllers/statefulset/)。
+请参阅 [StatefulSet](/zh-cn/docs/concepts/workloads/controllers/statefulset/)。
 
 {{< note >}}
 <!--
@@ -40,8 +39,8 @@ of the Cassandra cluster (called a _ring_). When those Pods run in your Kubernet
 the Kubernetes control plane schedules those Pods onto Kubernetes
 {{< glossary_tooltip text="Nodes" term_id="node" >}}.
 -->
-Cassandra 和 Kubernetes 都使用术语“节点（node）”来表示集群的成员。
-在本教程中，属于 StatefulSet 的 Pod 是 Cassandra 节点，并且是 Cassandra 集群的成员（称为 “ring”）。
+Cassandra 和 Kubernetes 都使用术语**节点（node）**来表示集群的成员。
+在本教程中，属于 StatefulSet 的 Pod 是 Cassandra 节点，并且是 Cassandra 集群的成员（称为 **ring**）。
 当这些 Pod 在你的 Kubernetes 集群中运行时，Kubernetes 控制平面会将这些 Pod 调度到 Kubernetes 的
 {{< glossary_tooltip text="节点" term_id="node" >}}上。
 
@@ -51,9 +50,9 @@ nodes in the ring.
 This tutorial deploys a custom Cassandra seed provider that lets the database discover
 new Cassandra Pods as they appear inside your Kubernetes cluster.
 -->
-当 Cassandra 节点启动时，使用 _seed列表_ 来引导发现 ring 中其他节点。
-本教程部署了一个自定义的 Cassandra seed provider，使数据库可以发现新的 Cassandra Pod
-出现在 Kubernetes 集群中。
+当 Cassandra 节点启动时，使用 **seed 列表**来引导发现 ring 中的其他节点。
+本教程部署了一个自定义的 Cassandra seed provider，
+使数据库可以发现 Kubernetes 集群中出现的新的 Cassandra Pod。
 {{< /note >}}
 
 ## {{% heading "objectives" %}}
@@ -65,11 +64,11 @@ new Cassandra Pods as they appear inside your Kubernetes cluster.
 * Modify the StatefulSet.
 * Delete the StatefulSet and its {{< glossary_tooltip text="Pods" term_id="pod" >}}.
 -->
-* 创建并验证 Cassandra 无头（headless）{{< glossary_tooltip text="Service" term_id="service" >}}..
+* 创建并验证 Cassandra 无头（headless）{{< glossary_tooltip text="Service" term_id="service" >}}。
 * 使用 {{< glossary_tooltip term_id="StatefulSet" >}} 创建一个 Cassandra ring。
 * 验证 StatefulSet。
 * 修改 StatefulSet。
-* 删除 StatefulSet 及其 {{< glossary_tooltip text="Pod" term_id="pod" >}}.
+* 删除 StatefulSet 及其 {{< glossary_tooltip text="Pod" term_id="pod" >}}。
 
 ## {{% heading "prerequisites" %}}
 
@@ -81,7 +80,7 @@ To complete this tutorial, you should already have a basic familiarity with
 {{< glossary_tooltip text="Services" term_id="service" >}}, and
 {{< glossary_tooltip text="StatefulSets" term_id="StatefulSet" >}}.
 -->
-要完成本教程，你应该已经熟悉 {{< glossary_tooltip text="Pod" term_id="pod" >}}，
+要完成本教程，你应该已经熟悉 {{< glossary_tooltip text="Pod" term_id="pod" >}}、
 {{< glossary_tooltip text="Service" term_id="service" >}} 和
 {{< glossary_tooltip text="StatefulSet" term_id="StatefulSet" >}}。
 
@@ -96,14 +95,14 @@ errors during this tutorial. To avoid these errors, start Minikube with the foll
 ### 额外的 Minikube 设置说明
 
 {{< caution >}}
-[Minikube](https://minikube.sigs.k8s.io/docs/)默认为 2048MB 内存和 2 个 CPU。
-在本教程中，使用默认资源配置运行 Minikube 会导致资源不足的错误。为避免这些错误，请使用以下设置启动 Minikube：
+[Minikube](https://minikube.sigs.k8s.io/docs/) 默认需要 2048MB 内存和 2 个 CPU。
+在本教程中，使用默认资源配置运行 Minikube 会出现资源不足的错误。为避免这些错误，请使用以下设置启动 Minikube：
 
 ```shell
 minikube start --memory 5120 --cpus=4
 ```
-{{< /caution >}}
 
+{{< /caution >}}
 
 <!-- lessoncontent -->
 <!--
@@ -186,7 +185,7 @@ Please update the following StatefulSet for the cloud you are working with.
 <!--
 Create the Cassandra StatefulSet from the `cassandra-statefulset.yaml` file:
 -->
-使用 `cassandra-statefulset.yaml` 文件创建 Cassandra StatefulSet ：
+使用 `cassandra-statefulset.yaml` 文件创建 Cassandra StatefulSet：
 
 ```shell
 # 如果你能未经修改地 apply cassandra-statefulset.yaml，请使用此命令
@@ -318,10 +317,9 @@ Use `kubectl edit` to modify the size of a Cassandra StatefulSet.
    此命令你的终端中打开一个编辑器。需要更改的是 `replicas` 字段。下面是 StatefulSet 文件的片段示例：
 
     ```yaml
-    # Please edit the object below. Lines beginning with a '#' will be ignored,
-    # and an empty file will abort the edit. If an error occurs while saving this file will be
-    # reopened with the relevant failures.
-    #
+    # 请编辑以下对象。以 '#' 开头的行将被忽略，
+    # 且空文件将放弃编辑。如果保存此文件时发生错误，
+    # 将重新打开并显示相关故障。
     apiVersion: apps/v1
     kind: StatefulSet
     metadata:
@@ -378,7 +376,7 @@ This setting is for your safety because your data is more valuable than automati
 Depending on the storage class and reclaim policy, deleting the *PersistentVolumeClaims* may cause the associated volumes
 to also be deleted. Never assume you'll be able to access data if its volume claims are deleted.
 -->
-根据存储类和回收策略，删除 *PersistentVolumeClaims* 可能导致关联的卷也被删除。
+根据存储类和回收策略，删除 **PersistentVolumeClaims** 可能导致关联的卷也被删除。
 千万不要认为其容量声明被删除，你就能访问数据。
 {{< /warning >}}
 
@@ -422,7 +420,7 @@ By using environment variables you can change values that are inserted into `cas
 镜像。上面的 Docker 镜像基于 [debian-base](https://github.com/kubernetes/release/tree/master/images/build/debian-base)，
 并且包含 OpenJDK 8。
 
-该映像包括来自 Apache Debian 存储库的标准 Cassandra 安装。
+该镜像包括来自 Apache Debian 存储库的标准 Cassandra 安装。
 通过使用环境变量，你可以更改插入到 `cassandra.yaml` 中的值。
 
 | 环境变量                 | 默认值           |
diff --git a/content/zh-cn/docs/tutorials/stateful-application/zookeeper.md b/content/zh-cn/docs/tutorials/stateful-application/zookeeper.md
index 0cdc2054a26..0aa40f42144 100644
--- a/content/zh-cn/docs/tutorials/stateful-application/zookeeper.md
+++ b/content/zh-cn/docs/tutorials/stateful-application/zookeeper.md
@@ -122,8 +122,8 @@ quorum。
 <!--
 ZooKeeper servers keep their entire state machine in memory, and write every mutation to a durable WAL (Write Ahead Log) on storage media. When a server crashes, it can recover its previous state by replaying the WAL. To prevent the WAL from growing without bound, ZooKeeper servers will periodically snapshot them in memory state to storage media. These snapshots can be loaded directly into memory, and all WAL entries that preceded the snapshot may be discarded.
 -->
-ZooKeeper 在内存中保存它们的整个状态机，但是每个改变都被写入一个在存储介质上的
-持久 WAL（Write Ahead Log）。
+ZooKeeper 在内存中保存它们的整个状态机，但是每个改变都被写入一个在存储介质上的持久
+WAL（Write Ahead Log）。
 当一个服务器出现故障时，它能够通过回放 WAL 恢复之前的状态。
 为了防止 WAL 无限制的增长，ZooKeeper 服务器会定期的将内存状态快照保存到存储介质。
 这些快照能够直接加载到内存中，所有在这个快照之前的 WAL 条目都可以被安全的丢弃。
@@ -139,10 +139,9 @@ and a [StatefulSet](/docs/concepts/workloads/controllers/statefulset/).
 -->
 ## 创建一个 ZooKeeper Ensemble
 
-下面的清单包含一个
-[无头服务](/zh-cn/docs/concepts/services-networking/service/#headless-services)，
-一个 [Service](/zh-cn/docs/concepts/services-networking/service/)，
-一个 [PodDisruptionBudget](/zh-cn/docs/concepts/workloads/pods/disruptions/#specifying-a-poddisruptionbudget)，
+下面的清单包含一个[无头服务](/zh-cn/docs/concepts/services-networking/service/#headless-services)、
+一个 [Service](/zh-cn/docs/concepts/services-networking/service/)、
+一个 [PodDisruptionBudget](/zh-cn/docs/concepts/workloads/pods/disruptions/#specifying-a-poddisruptionbudget)
 和一个 [StatefulSet](/zh-cn/docs/concepts/workloads/controllers/statefulset/)。
 
 {{< codenew file="application/zookeeper/zookeeper.yaml" >}}
@@ -180,7 +179,7 @@ StatefulSet controller create the StatefulSet's Pods.
 -->
 使用命令
 [`kubectl get`](/docs/reference/generated/kubectl/kubectl-commands/#get)
-查看 StatefulSet 控制器创建的 Pods。
+查看 StatefulSet 控制器创建的几个 Pod。
 
 ```shell
 kubectl get pods -w -l app=zk
@@ -215,7 +214,7 @@ The StatefulSet controller creates three Pods, and each Pod has a container with
 a [ZooKeeper](https://www-us.apache.org/dist/zookeeper/stable/) server.
 -->
 StatefulSet 控制器创建 3 个 Pod，每个 Pod 包含一个
-[ZooKeeper](https://www-us.apache.org/dist/zookeeper/stable/) 服务容器。
+[ZooKeeper](https://archive.apache.org/dist/zookeeper/stable/) 服务容器。
 
 <!--
 ### Facilitating Leader Election
@@ -295,7 +294,7 @@ for i in 0 1 2; do kubectl exec zk-$i -- hostname -f; done
 The `zk-hs` Service creates a domain for all of the Pods,
 `zk-hs.default.svc.cluster.local`.
 -->
-`zk-hs` Service 为所有 Pods 创建了一个域：`zk-hs.default.svc.cluster.local`。
+`zk-hs` Service 为所有 Pod 创建了一个域：`zk-hs.default.svc.cluster.local`。
 
 ```
 zk-0.zk-hs.default.svc.cluster.local
@@ -310,7 +309,7 @@ ZooKeeper stores its application configuration in a file named `zoo.cfg`. Use `k
 -->
 [Kubernetes DNS](/zh-cn/docs/concepts/services-networking/dns-pod-service/)
 中的 A 记录将 FQDN 解析成为 Pod 的 IP 地址。
-如果 Pods 被调度，这个 A 记录将会使用 Pods 的新 IP 地址完成更新，
+如果 Kubernetes 重新调度这些 Pod，这个 A 记录将会使用这些 Pod 的新 IP 地址完成更新，
 但 A 记录的名称不会改变。
 
 ZooKeeper 在一个名为 `zoo.cfg` 的文件中保存它的应用配置。
@@ -389,10 +388,9 @@ the FQDNs of the ZooKeeper servers will resolve to a single endpoint, and that
 endpoint will be the unique ZooKeeper server claiming the identity configured
 in its `myid` file.
 -->
-每个 Pod 的 A 记录仅在 Pod 变成 Ready状态时被录入。
+每个 Pod 的 A 记录仅在 Pod 变成 Ready 状态时被录入。
 因此，ZooKeeper 服务器的 FQDN 只会解析到一个端点，
-而那个端点将会是一个唯一的 ZooKeeper 服务器，
-这个服务器声明了配置在它的 `myid` 文件中的标识符。
+而那个端点将是申领其 `myid` 文件中所配置标识的唯一 ZooKeeper 服务器。
 
 ```
 zk-0.zk-hs.default.svc.cluster.local
@@ -699,7 +697,7 @@ Get the `zk` StatefulSet.
 -->
 ## 确保一致性配置
 
-如同在[促成领导者选举](#facilitating-leader-election) 和[达成一致](#achieving-consensus)
+如同在[促成领导者选举](#facilitating-leader-election)和[达成一致](#achieving-consensus)
 小节中提到的，ZooKeeper ensemble 中的服务器需要一致性的配置来选举一个领导者并形成一个
 quorum。它们还需要 Zab 协议的一致性配置来保证这个协议在网络中正确的工作。
 在这次的示例中，我们通过直接将配置写入代码清单中来达到该目的。
@@ -753,8 +751,8 @@ Use the command below to get the logging configuration from one of Pods in the `
 ### 配置日志   {#configuring-logging}
 
 `zkGenConfig.sh` 脚本产生的一个文件控制了 ZooKeeper 的日志行为。
-ZooKeeper 使用了 [Log4j](http://logging.apache.org/log4j/2.x/) 并默认使用
-基于文件大小和时间的滚动文件追加器作为日志配置。
+ZooKeeper 使用了 [Log4j](http://logging.apache.org/log4j/2.x/)
+并默认使用基于文件大小和时间的滚动文件追加器作为日志配置。
 
 从 `zk` StatefulSet 的一个 Pod 中获取日志配置。
 
@@ -788,8 +786,8 @@ Use [`kubectl logs`](/docs/reference/generated/kubectl/kubectl-commands/#logs) t
 -->
 这是在容器里安全记录日志的最简单的方法。
 由于应用的日志被写入标准输出，Kubernetes 将会为你处理日志轮转。
-Kubernetes 还实现了一个智能保存策略，保证写入标准输出和标准错误流
-的应用日志不会耗尽本地存储媒介。
+Kubernetes 还实现了一个智能保存策略，
+保证写入标准输出和标准错误流的应用日志不会耗尽本地存储介质。
 
 使用命令 [`kubectl logs`](/docs/reference/generated/kubectl/kubectl-commands/#logs)
 从一个 Pod 中取回最后 20 行日志。
@@ -869,7 +867,7 @@ corresponds to the zookeeper group.
 
 Get the ZooKeeper process information from the `zk-0` Pod.
 -->
-在 Pods 的容器内部，UID 1000 对应用户 zookeeper，GID 1000 对应用户组 zookeeper。
+在 Pod 的容器内部，UID 1000 对应用户 zookeeper，GID 1000 对应用户组 zookeeper。
 
 从 `zk-0` Pod 获取 ZooKeeper 进程信息。
 
@@ -1075,7 +1073,7 @@ In another terminal, terminate the ZooKeeper process in Pod `zk-0` with the foll
 The termination of the ZooKeeper process caused its parent process to terminate. Because the `RestartPolicy` of the container is Always, it restarted the parent process.
 -->
 ZooKeeper 进程的终结导致了它父进程的终止。由于容器的 `RestartPolicy`
-是 Always，父进程被重启。
+是 Always，所以父进程被重启。
 
 ```
 NAME      READY     STATUS    RESTARTS   AGE
@@ -1257,7 +1255,7 @@ the clients of your ZooKeeper service will experience an outage until at least o
 默认情况下，Kubernetes 可以把 `StatefulSet` 的 Pod 部署在相同节点上。
 对于你创建的 3 个服务器的 ensemble 来说，
 如果有两个服务器并存于相同的节点上并且该节点发生故障时，ZooKeeper 服务将中断，
-直至至少一个 Pods 被重新调度。
+直至至少其中一个 Pod 被重新调度。
 
 <!--
 You should always provision additional capacity to allow the processes of critical
@@ -1698,6 +1696,6 @@ You should always allocate additional capacity for critical services so that the
   and provisioning method, to ensure that all storage is reclaimed.
 -->
 * 使用 `kubectl uncordon` 解除你集群中所有节点的隔离。
-* 你需要删除在本教程中使用的 PersistentVolume 的持久存储媒介。
+* 你需要删除在本教程中使用的 PersistentVolume 的持久存储介质。
   请遵循必须的步骤，基于你的环境、存储配置和制备方法，保证回收所有的存储。
 
diff --git a/content/zh-cn/examples/admin/konnectivity/egress-selector-configuration.yaml b/content/zh-cn/examples/admin/konnectivity/egress-selector-configuration.yaml
index 2f1cff1aea8..e2c9ddbb03c 100644
--- a/content/zh-cn/examples/admin/konnectivity/egress-selector-configuration.yaml
+++ b/content/zh-cn/examples/admin/konnectivity/egress-selector-configuration.yaml
@@ -2,7 +2,7 @@ apiVersion: apiserver.k8s.io/v1beta1
 kind: EgressSelectorConfiguration
 egressSelections:
 # 由于我们要控制集群的出站流量，所以将 “cluster” 用作 name。
-# 其他支持的值有 “etcd” 和 “master”。
+# 其他支持的值有 “etcd” 和 “controlplane”。
 - name: cluster
   connection:
     # 这一属性将控制 API 服务器 Konnectivity 服务器之间的协议。
diff --git a/content/zh-cn/examples/application/mysql/mysql-configmap.yaml b/content/zh-cn/examples/application/mysql/mysql-configmap.yaml
index 6aa5bfe4e5d..656019a2443 100644
--- a/content/zh-cn/examples/application/mysql/mysql-configmap.yaml
+++ b/content/zh-cn/examples/application/mysql/mysql-configmap.yaml
@@ -4,15 +4,14 @@ metadata:
   name: mysql
   labels:
     app: mysql
+    app.kubernetes.io/name: mysql
 data:
   primary.cnf: |
-    # Apply this config only on the primary.
+    # 仅在主服务器上应用此配置
     [mysqld]
     log-bin
-    datadir=/var/lib/mysql/mysql
   replica.cnf: |
-    # Apply this config only on replicas.
+    # 仅在副本服务器上应用此配置
     [mysqld]
     super-read-only
-    datadir=/var/lib/mysql/mysql
 
diff --git a/content/zh-cn/examples/application/mysql/mysql-deployment.yaml b/content/zh-cn/examples/application/mysql/mysql-deployment.yaml
index 419fbe03d3f..8ed14907afb 100644
--- a/content/zh-cn/examples/application/mysql/mysql-deployment.yaml
+++ b/content/zh-cn/examples/application/mysql/mysql-deployment.yaml
@@ -28,7 +28,7 @@ spec:
       - image: mysql:5.6
         name: mysql
         env:
-          # Use secret in real usage
+          # 在实际中使用 secret
         - name: MYSQL_ROOT_PASSWORD
           value: password
         ports:
diff --git a/content/zh-cn/examples/application/mysql/mysql-services.yaml b/content/zh-cn/examples/application/mysql/mysql-services.yaml
index 6743cf707ad..6c5ee4c04e8 100644
--- a/content/zh-cn/examples/application/mysql/mysql-services.yaml
+++ b/content/zh-cn/examples/application/mysql/mysql-services.yaml
@@ -1,10 +1,11 @@
-# Headless service for stable DNS entries of StatefulSet members.
+# 为 StatefulSet 成员提供稳定的 DNS 表项的无头服务（Headless Service）
 apiVersion: v1
 kind: Service
 metadata:
   name: mysql
   labels:
     app: mysql
+    app.kubernetes.io/name: mysql
 spec:
   ports:
   - name: mysql
@@ -13,14 +14,16 @@ spec:
   selector:
     app: mysql
 ---
-# Client service for connecting to any MySQL instance for reads.
-# For writes, you must instead connect to the primary: mysql-0.mysql.
+# 用于连接到任一 MySQL 实例执行读操作的客户端服务
+# 对于写操作，你必须连接到主服务器：mysql-0.mysql
 apiVersion: v1
 kind: Service
 metadata:
   name: mysql-read
   labels:
     app: mysql
+    app.kubernetes.io/name: mysql
+    readonly: "true"
 spec:
   ports:
   - name: mysql
diff --git a/content/zh-cn/examples/application/mysql/mysql-statefulset.yaml b/content/zh-cn/examples/application/mysql/mysql-statefulset.yaml
index 22aa9447487..7dc39d79658 100644
--- a/content/zh-cn/examples/application/mysql/mysql-statefulset.yaml
+++ b/content/zh-cn/examples/application/mysql/mysql-statefulset.yaml
@@ -6,12 +6,14 @@ spec:
   selector:
     matchLabels:
       app: mysql
+      app.kubernetes.io/name: mysql
   serviceName: mysql
   replicas: 3
   template:
     metadata:
       labels:
         app: mysql
+        app.kubernetes.io/name: mysql
     spec:
       initContainers:
       - name: init-mysql
@@ -27,7 +29,6 @@ spec:
           echo [mysqld] > /mnt/conf.d/server-id.cnf
           # 添加偏移量以避免使用 server-id=0 这一保留值。
           echo server-id=$((100 + $ordinal)) >> /mnt/conf.d/server-id.cnf
-          # Copy appropriate conf.d files from config-map to emptyDir.
           # 将合适的 conf.d 文件从 config-map 复制到 emptyDir。
           if [[ $ordinal -eq 0 ]]; then
             cp /mnt/config-map/primary.cnf /mnt/conf.d/
diff --git a/content/zh-cn/examples/controllers/job.yaml b/content/zh-cn/examples/controllers/job.yaml
index a6e40bc778d..d8befe89dba 100644
--- a/content/zh-cn/examples/controllers/job.yaml
+++ b/content/zh-cn/examples/controllers/job.yaml
@@ -7,7 +7,7 @@ spec:
     spec:
       containers:
       - name: pi
-        image: perl:5.34
+        image: perl:5.34.0
         command: ["perl",  "-Mbignum=bpi", "-wle", "print bpi(2000)"]
       restartPolicy: Never
   backoffLimit: 4
diff --git a/content/zh-cn/examples/examples_test.go b/content/zh-cn/examples/examples_test.go
index 27eae2eadf0..550b33f3193 100644
--- a/content/zh-cn/examples/examples_test.go
+++ b/content/zh-cn/examples/examples_test.go
@@ -61,7 +61,7 @@ import (
 	"k8s.io/kubernetes/pkg/capabilities"
 	"k8s.io/kubernetes/pkg/registry/batch/job"
 
-	// initialize install packages
+	// 初始化安装包
 	_ "k8s.io/kubernetes/pkg/apis/apps/install"
 	_ "k8s.io/kubernetes/pkg/apis/autoscaling/install"
 	_ "k8s.io/kubernetes/pkg/apis/batch/install"
@@ -77,18 +77,18 @@ var (
 	serializer runtime.SerializerInfo
 )
 
-// TestGroup contains GroupVersion to uniquely identify the API
+// TestGroup 包含 GroupVersion 以唯一地标识该 API
 type TestGroup struct {
 	externalGroupVersion schema.GroupVersion
 }
 
-// GroupVersion makes copy of schema.GroupVersion
+// GroupVersion 制作 schema.GroupVersion 的副本
 func (g TestGroup) GroupVersion() *schema.GroupVersion {
 	copyOfGroupVersion := g.externalGroupVersion
 	return &copyOfGroupVersion
 }
 
-// Codec returns the codec for the API version to test against
+// Codec 为要测试的 API 版本返回编解码器
 func (g TestGroup) Codec() runtime.Codec {
 	if serializer.Serializer == nil {
 		return legacyscheme.Codecs.LegacyCodec(g.externalGroupVersion)
@@ -136,7 +136,7 @@ func getCodecForObject(obj runtime.Object) (runtime.Codec, error) {
 			return group.Codec(), nil
 		}
 	}
-	// Codec used for unversioned types
+	// 还未版本化的类别所用的 Codec
 	if legacyscheme.Scheme.Recognizes(kind) {
 		serializer, ok := runtime.SerializerInfoForMediaType(legacyscheme.Codecs.SupportedMediaTypes(), runtime.ContentTypeJSON)
 		if !ok {
@@ -160,7 +160,7 @@ func validateObject(obj runtime.Object) (errors field.ErrorList) {
 		AllowPodAffinityNamespaceSelector: true,
 	}
 
-	// Enable CustomPodDNS for testing
+	// 为测试启用 CustomPodDNS
 	// feature.DefaultFeatureGate.Set("CustomPodDNS=true")
 	switch t := obj.(type) {
 	case *api.ConfigMap:
@@ -230,7 +230,7 @@ func validateObject(obj runtime.Object) (errors field.ErrorList) {
 		if t.Namespace == "" {
 			t.Namespace = api.NamespaceDefault
 		}
-		// handle clusterIPs, logic copied from service strategy
+		// 处理几个 ClusterIP，根据服务策略进行逻辑复制
 		if len(t.Spec.ClusterIP) > 0 && len(t.Spec.ClusterIPs) == 0 {
 			t.Spec.ClusterIPs = []string{t.Spec.ClusterIP}
 		}
@@ -258,8 +258,8 @@ func validateObject(obj runtime.Object) (errors field.ErrorList) {
 		if t.Namespace == "" {
 			t.Namespace = api.NamespaceDefault
 		}
-		// Job needs generateSelector called before validation, and job.Validate does this.
-		// See: https://github.com/kubernetes/kubernetes/issues/20951#issuecomment-187787040
+		// Job 需要在校验前调用 generateSelector，然后 job.Validate 执行校验。
+		// 请参阅：https://github.com/kubernetes/kubernetes/issues/20951#issuecomment-187787040
 		t.ObjectMeta.UID = types.UID("fakeuid")
 		if strings.Index(t.ObjectMeta.Name, "$") > -1 {
 			t.ObjectMeta.Name = "skip-for-good"
@@ -315,13 +315,13 @@ func validateObject(obj runtime.Object) (errors field.ErrorList) {
 		}
 		errors = policy_validation.ValidatePodDisruptionBudget(t)
 	case *rbac.ClusterRole:
-		// clusterole does not accept namespace
+		// ClusterRole 不接受名字空间
 		errors = rbac_validation.ValidateClusterRole(t)
 	case *rbac.ClusterRoleBinding:
-		// clusterolebinding does not accept namespace
+		// ClusterRoleBinding 不接受名字空间
 		errors = rbac_validation.ValidateClusterRoleBinding(t)
 	case *storage.StorageClass:
-		// storageclass does not accept namespace
+		// StorageClass 不接受名字空间
 		errors = storage_validation.ValidateStorageClass(t)
 	default:
 		errors = field.ErrorList{}
@@ -330,8 +330,8 @@ func validateObject(obj runtime.Object) (errors field.ErrorList) {
 	return errors
 }
 
-// Walks inDir for any json/yaml files. Converts yaml to json, and calls fn for
-// each file found with the contents in data.
+// 遍历 inDir 目录查找所有 json/yaml 文件。将 yaml 转换为 json，
+// 并根据 data 中的内容找到的每个文件来调用 fn。
 func walkConfigFiles(inDir string, t *testing.T, fn func(name, path string, data [][]byte)) error {
 	return filepath.Walk(inDir, func(path string, info os.FileInfo, err error) error {
 		if err != nil {
@@ -352,7 +352,7 @@ func walkConfigFiles(inDir string, t *testing.T, fn func(name, path string, data
 
 			var docs [][]byte
 			if ext == ".yaml" {
-				// YAML can contain multiple documents.
+				// YAML 可以包含多个文档。
 				splitter := yaml.NewYAMLReader(bufio.NewReader(bytes.NewBuffer(data)))
 				for {
 					doc, err := splitter.Read()
@@ -366,7 +366,7 @@ func walkConfigFiles(inDir string, t *testing.T, fn func(name, path string, data
 					if err != nil {
 						return fmt.Errorf("%s: %v", path, err)
 					}
-					// deal with "empty" document (e.g. pure comments)
+					// 处理 "空白" 文档（例如纯注释）
 					if string(out) != "null" {
 						docs = append(docs, out)
 					}
@@ -385,7 +385,7 @@ func walkConfigFiles(inDir string, t *testing.T, fn func(name, path string, data
 func TestExampleObjectSchemas(t *testing.T) {
 	initGroups()
 
-	// Please help maintain the alphabeta order in the map
+	// 请帮助保持映射图中的 alphabeta 顺序
 	cases := map[string]map[string][]runtime.Object{
 		"admin": {
 			"namespace-dev":        {&api.Namespace{}},
@@ -691,7 +691,7 @@ func TestExampleObjectSchemas(t *testing.T) {
 		},
 	}
 
-	// Note a key in the following map has to be complete relative path
+	// 请注意，以下映射中的某个键必须是完整的相对路径
 	filesIgnore := map[string]map[string]bool{
 		"audit": {
 			"audit-policy": true,
@@ -705,7 +705,7 @@ func TestExampleObjectSchemas(t *testing.T) {
 		tested := 0
 		numExpected := 0
 		path := dir
-		// Test if artifacts do exist
+		// 测试这些工件是否存在
 		for name := range expected {
 			fn := path + "/" + name
 			_, err1 := os.Stat(fn + ".yaml")
diff --git a/content/zh-cn/examples/pods/pod-with-affinity-anti-affinity.yaml b/content/zh-cn/examples/pods/pod-with-affinity-anti-affinity.yaml
index a7d14b2d6f7..eeb3cb372bf 100644
--- a/content/zh-cn/examples/pods/pod-with-affinity-anti-affinity.yaml
+++ b/content/zh-cn/examples/pods/pod-with-affinity-anti-affinity.yaml
@@ -8,10 +8,11 @@ spec:
       requiredDuringSchedulingIgnoredDuringExecution:
         nodeSelectorTerms:
         - matchExpressions:
-          - key: kubernetes.io/os
+          - key: topology.kubernetes.io/zone
             operator: In
             values:
-            - linux
+            - antarctica-east1
+            - antarctica-west1
       preferredDuringSchedulingIgnoredDuringExecution:
       - weight: 1
         preference:
diff --git a/content/zh-cn/examples/service/networking/dual-stack-default-svc.yaml b/content/zh-cn/examples/service/networking/dual-stack-default-svc.yaml
index 86eadd5478a..a42c7d8a251 100644
--- a/content/zh-cn/examples/service/networking/dual-stack-default-svc.yaml
+++ b/content/zh-cn/examples/service/networking/dual-stack-default-svc.yaml
@@ -3,10 +3,10 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml b/content/zh-cn/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
index 7c7239cae6c..77949c883f0 100644
--- a/content/zh-cn/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
+++ b/content/zh-cn/examples/service/networking/dual-stack-ipfamilies-ipv6.yaml
@@ -3,12 +3,12 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilies:
   - IPv6
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/examples/service/networking/dual-stack-ipv6-svc.yaml b/content/zh-cn/examples/service/networking/dual-stack-ipv6-svc.yaml
index 2aa0725059b..85c699506c6 100644
--- a/content/zh-cn/examples/service/networking/dual-stack-ipv6-svc.yaml
+++ b/content/zh-cn/examples/service/networking/dual-stack-ipv6-svc.yaml
@@ -5,7 +5,7 @@ metadata:
 spec:
   ipFamily: IPv6
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml b/content/zh-cn/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
index 0949a754281..5a4a99a45ca 100644
--- a/content/zh-cn/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
+++ b/content/zh-cn/examples/service/networking/dual-stack-prefer-ipv6-lb-svc.yaml
@@ -3,14 +3,14 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilyPolicy: PreferDualStack
   ipFamilies:
   - IPv6
   type: LoadBalancer
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml b/content/zh-cn/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
index c31acfec581..79a4f34a7f7 100644
--- a/content/zh-cn/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
+++ b/content/zh-cn/examples/service/networking/dual-stack-preferred-ipfamilies-svc.yaml
@@ -3,14 +3,14 @@ kind: Service
 metadata:
   name: my-service
   labels:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
 spec:
   ipFamilyPolicy: PreferDualStack
   ipFamilies:
   - IPv6
   - IPv4
   selector:
-    app: MyApp
+    app.kubernetes.io/name: MyApp
   ports:
     - protocol: TCP
       port: 80
diff --git a/content/zh-cn/partners/_index.html b/content/zh-cn/partners/_index.html
index 3bbe08cdf43..5e87b88a5ca 100644
--- a/content/zh-cn/partners/_index.html
+++ b/content/zh-cn/partners/_index.html
@@ -15,95 +15,63 @@ cid: partners
 -->
 
 <section id="users">
-    <main class="main-section">
-        <!-- <h5>Kubernetes works with partners to create a strong, vibrant codebase that supports a spectrum of complementary platforms.</h5> -->
-        <h5>Kubernetes 与合作伙伴携手打造一个强大、活跃的代码库，支持一系列互补平台。</h5>
-        <div class="col-container">
-          <div class="col-nav">
-            <center>
-              <h5>
-                <!-- <b>Kubernetes Certified Service Providers</b> -->
-                <b>Kubernetes 认证服务提供商</b>
-              </h5>
-              <!-- <br>Vetted service providers with deep experience helping enterprises successfully adopt Kubernetes. -->
-              <br>经过审核的服务提供商在帮助企业成功采用 Kubernetes 方面有深厚的经验。
-              <br><br><br>
-              <!-- <button id="kcsp" class="button" onClick="updateSrc(this.id)">See KCSP Partners</button> -->
-              <button id="kcsp" class="button" onClick="updateSrc(this.id)">参见 KCSP 合作伙伴</button>
-              <!-- <br><br>Interested in becoming a <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>? -->
-              <br><br>想要成为<a href="https://www.cncf.io/certification/kcsp/">KCSP</a>吗?
-            </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <h5>
-                <!-- b>Certified Kubernetes Distributions, Hosted Platforms, and Installers</b -->
-                <b>Kubernetes 认证的发行版本、托管平台以及安装工具</b>
-              <!-- </h5>Software conformance ensures that every vendor’s version of Kubernetes supports the required APIs. -->
-              </h5>软件合规性确保各厂商的 Kubernetes 版本都支持必需的 API。
-              <br><br><br>
-              <!-- <button id="conformance" class="button" onClick="updateSrc(this.id)">See Conformance Partners</button> -->
-              <button id="conformance" class="button" onClick="updateSrc(this.id)">参见合规性合作伙伴</button>
-              <!-- <br><br>Interested in becoming<a href="https://www.cncf.io/certification/software-conformance/">Kubernetes Certified</a>? -->
-            <br><br>想要成为<a href="https://www.cncf.io/certification/software-conformance/">Kubernetes 认证的厂商</a>吗?
-          </center>
-          </div>
-          <div class="col-nav">
-            <center>
-              <!-- <h5><b>Kubernetes Training Partners</b></h5> -->
-              <h5><b>Kubernetes 培训合作伙伴</b></h5>
-              <!-- <br>Vetted training providers who have deep experience in cloud native technology training. -->
-              <br>经过审核的培训机构在云原生技术培训方面有深厚的经验。
-              <br><br><br><br>
-              <!-- <button id="ktp" class="button" onClick="updateSrc(this.id)">See KTP Partners</button> -->
-              <button id="ktp" class="button" onClick="updateSrc(this.id)">参见 KTP 合作伙伴</button>
-              <!-- <br><br>Interested in becoming a <a href="https://www.cncf.io/certification/training/">KTP</a>? -->
-              <br><br>想要成为<a href="https://www.cncf.io/certification/training/">KTP</a>吗?
-            </center>
-          </div>
-        </div>
-<script src="https://code.jquery.com/jquery-3.3.1.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8=" crossorigin="anonymous"></script>
-<script type="text/javascript">
-
-			var defaultLink = "https://landscape.cncf.io/category=kubernetes-certified-service-provider&format=card-mode&grouping=category&embed=yes";
-			var firstLink = "https://landscape.cncf.io/category=certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer&format=card-mode&grouping=category&embed=yes";
-      var secondLink = "https://landscape.cncf.io/category=kubernetes-training-partner&format=card-mode&grouping=category&embed=yes";
-
-      function updateSrc(buttonId) {
-      	if (buttonId == "kcsp") {
-        		$("#landscape").attr("src",defaultLink);
-            window.location.hash = "#kcsp";
-        }
-        if (buttonId == "conformance") {
-         		$("#landscape").attr("src",firstLink);
-            window.location.hash = "#conformance";
-        }
-        if (buttonId == "ktp") {
-        		$("#landscape").attr("src",secondLink);
-            window.location.hash = "#ktp";
-        }
-      }
-
-      // Automatically load the correct iframe based on the URL fragment
-      document.addEventListener('DOMContentLoaded', function() {
-        var showContent = "kcsp";
-        if (window.location.hash) {
-          console.log('hash is:', window.location.hash.substring(1));
-          showContent = window.location.hash.substring(1);
-        }
-        updateSrc(showContent);
-      });
-</script>
-<body>
-    <div id="frameHolder">
-      <iframe id="landscape" title="CNCF Landscape" frameBorder="0" scrolling="no" style="width: 1px; min-width: 100%" src=""></iframe>
-      <script src="https://landscape.cncf.io/iframeResizer.js"></script>
+  <!-- <h5>Kubernetes works with partners to create a strong, vibrant codebase that supports a spectrum of complementary platforms.</h5> -->
+  <h5>Kubernetes 与合作伙伴携手打造一个强大、活跃的代码库，支持一系列互补平台。</h5>
+  <div class="col-container">
+    <div class="col-nav">
+      <center>
+        <h5>
+          <!-- <b>Kubernetes Certified Service Providers</b> -->
+          <b>Kubernetes 认证服务提供商</b>
+        </h5>
+        <!-- <br>Vetted service providers with deep experience helping enterprises successfully adopt Kubernetes. -->
+        <br>经过审核的服务提供商在帮助企业成功采用 Kubernetes 方面有深厚的经验。
+        <br><br><br>
+        <!-- <button class="button landscape-trigger landscape-default" data-landscape-types="kubernetes-certified-service-provider" id="kcsp">See KCSP Partners</button> -->
+        <button class="button landscape-trigger landscape-default" data-landscape-types="kubernetes-certified-service-provider" id="kcsp">参见 KCSP 合作伙伴</button>
+        <!-- <br><br>Interested in becoming a
+        <a href="https://www.cncf.io/certification/kcsp/">KCSP</a>? -->
+        <br><br>想要成为
+        <a href="https://www.cncf.io/certification/kcsp/">KCSP</a> 吗?
+      </center>
     </div>
-</body>
-    </main>
+    <div class="col-nav">
+      <center>
+        <h5>
+          <!-- <b>Certified Kubernetes Distributions, Hosted Platforms, and Installers</b> -->
+          <b>Kubernetes 认证的发行版本、托管平台以及安装工具</b>
+        <!-- </h5>Software conformance ensures that every vendor’s version of Kubernetes supports the required APIs. -->
+        </h5>软件合规性确保各厂商的 Kubernetes 版本都支持必需的 API。
+        <br><br><br>
+        <!-- <button class="button landscape-trigger" data-landscape-types="certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer" id="conformance">See Conformance Partners</button> -->
+        <button class="button landscape-trigger" data-landscape-types="certified-kubernetes-distribution,certified-kubernetes-hosted,certified-kubernetes-installer" id="conformance">参见合规性合作伙伴</button>
+        <!-- <br><br>Interested in becoming
+        <a href="https://www.cncf.io/certification/software-conformance/">Kubernetes Certified</a>? -->
+        <br><br>想要成为
+        <a href="https://www.cncf.io/certification/software-conformance/">Kubernetes 认证的厂商</a>吗?
+      </center>
+    </div>
+    <div class="col-nav">
+      <center>
+        <h5>
+          <!-- <b>Kubernetes Training Partners</b> -->
+          <b>Kubernetes 培训合作伙伴</b>
+        </h5>
+        <!-- <br>Vetted training providers who have deep experience in cloud native technology training. -->
+        <br>经过审核的培训机构在云原生技术培训方面有深厚的经验。
+        <br><br><br>
+        <!-- <button class="button landscape-trigger" data-landscape-types="kubernetes-training-partner" id="ktp">See KTP Partners</button> -->
+        <button class="button landscape-trigger" data-landscape-types="kubernetes-training-partner" id="ktp">参见 KTP 合作伙伴</button>
+        <!-- <br><br>Interested in becoming a
+        <a href="https://www.cncf.io/certification/training/">KTP</a>? -->
+        <br><br>想要成为
+        <a href="https://www.cncf.io/certification/training/">KTP</a> 吗?
+      </center>
+    </div>
+  </div>
+  {{< cncf-landscape helpers=true >}}
 </section>
 
 <style>
-    {{< include "partner-style.css" >}}
+  {{< include "partner-style.css" >}}
 </style>
-
diff --git a/content/zh-cn/releases/patch-releases.md b/content/zh-cn/releases/patch-releases.md
index df3b65dd2c5..0ec1dba1e89 100644
--- a/content/zh-cn/releases/patch-releases.md
+++ b/content/zh-cn/releases/patch-releases.md
@@ -15,7 +15,7 @@ For general information about Kubernetes release cycle, see the
 -->
 Kubernetes 补丁版本的发布时间表和团队联系信息。
 
-有关 Kubernetes 发布周期的常规信息，请参阅[发布流程说明]。
+有关 Kubernetes 发布周期的常规信息，请参阅[发布流程说明](/zh-cn/releases/release)。
 
 <!-- 
 ## Cadence
@@ -43,9 +43,10 @@ Please give us a business day to respond - we may be in a different timezone!
 In between releases the team is looking at incoming cherry pick requests on a weekly basis. The team will get in touch with submitters via GitHub PR, SIG channels in Slack, and direct messages
 in Slack and [email](mailto:release-managers-private@kubernetes.io) if there are questions on the PR.
 -->
-## 联系  {#contact}
+## 联系方式  {#contact}
 
-有关补丁发布团队的完整联系方式，请参阅[发布管理员页面][release-managers]。
+有关补丁发布团队（Patch Release Team）的完整联系方式，
+请参阅[发布管理员页面](/zh-cn/releases/release-managers)。
 
 请给我们一个工作日回复，因为我们可能在不同的时区！
 
@@ -69,9 +70,9 @@ Cherry pick PRs which miss merge criteria will be carried over and tracked
 for the next patch release.
 -->
 
-## Cherry Pick
+## Cherry Picks
 
-请遵循 [Cherry Pick 流程][cherry-picks]。
+请遵循 [Cherry Pick 流程](https://github.com/kubernetes/community/blob/master/contributors/devel/sig-release/cherry-picks.md)。
 
 Cherry Pick 必须在 GitHub 中准备好合并，带有适当的标签（例如 `approved`、`lgtm`、`release-note`），
 并在 Cherry Pick 截止日期之前通过 CI 测试。这通常是目标发布前两天，但可能更早。
@@ -96,13 +97,14 @@ Towards the end of the twelve month, the following will happen:
 -->
 ## 支持周期  {#support-period}
 
-根据[年度 KEP][yearly-support]，Kubernetes 社区将在大约 14 个月的时间内支持活跃的补丁发布系列。
+根据[年度支持 KEP](https://git.k8s.io/enhancements/keps/sig-release/1498-kubernetes-yearly-support-period/README.md)
+约定，Kubernetes 社区将在大约 14 个月的时间内支持活跃的补丁发布系列。
 
 此时间范围的前 12 个月将被视为标准周期。
 
 在 12 个月后，将发生以下事情：
 
-- [发布管理员][release-managers]将删除一个版本
+- [发布管理员](/zh-cn/releases/release-managers)将删除一个版本
 - 补丁发布系列将进入维护模式
 
 <!--
@@ -145,61 +147,86 @@ releases may also occur in between these.
 <!-- 
 | Monthly Patch Release | Cherry Pick Deadline | Target date |
 | --------------------- | -------------------- | ----------- |
-| May 2022              | 2022-05-20           | 2022-05-24  |
-| June 2022             | 2022-06-10           | 2022-06-15  |
-| July 2022             | 2022-07-08           | 2022-07-13  |
-| August 2022           | 2022-08-12           | 2022-08-16  |
+| August 2022           | 2022-08-12           | 2022-08-17  |
+| September 2022        | 2022-09-09           | 2022-09-14  |
+| October 2022          | 2022-10-07           | 2022-10-12  |
 -->
-| 月度补丁发布   | Cherry Pick 截止日期 |   目标日期   |
-| ------------ | ------------------ | ----------- |
-| 2022 年 5 月  | 2022-05-20         | 2022-05-24  |
-| 2022 年 6 月  | 2022-06-10         | 2022-06-15  |
-| 2022 年 7 月  | 2022-07-08         | 2022-07-13  |
-| 2022 年 8 月  | 2022-08-12         | 2022-08-16  |
+| 月度补丁发布  | Cherry Pick 截止日期 |   目标日期  |
+| ------------- | -------------------- | ----------- |
+| 2022 年 8 月  | 2022-08-12           | 2022-08-16  |
+| 2022 年 9 月  | 2022-09-09           | 2022-09-14  |
+| 2022 年 10 月 | 2022-10-07           | 2022-10-12  |
 
 <!-- 
 ## Detailed Release History for Active Branches
 
 ### 1.24
 
-Next patch release is **1.24.1**
+Next patch release is **1.24.4**
 
-End of Life for **1.24** is **2023-09-29**
+End of Life for **1.24** is **2023-07-28**
 
 | PATCH RELEASE | CHERRY PICK DEADLINE | TARGET DATE | NOTE |
 |---------------|----------------------|-------------|------|
+| 1.24.4        | 2022-08-12           | 2022-08-17  |      |
+| 1.24.3        | 2022-07-08           | 2022-07-13  |      |
+| 1.24.2        | 2022-06-10           | 2022-06-15  |      |
 | 1.24.1        | 2022-05-20           | 2022-05-24  |      |
 -->
 ## 活动分支的详细发布历史  {#detailed-release-history-for-active-branches}
 
 ### 1.24
 
-下一个补丁版本是 **1.24.1**
+下一个补丁版本是 **1.24.4**
 
-**1.24** 的生命周期结束时间为 **2023-09-29**
+**1.24** 的生命周期结束时间为 **2023-07-28**
 
-| 补丁发布 | Cherry Pick 截止日期 |  目标日期   | 说明 |
-|--------|---------------------|------------|-----|
-| 1.24.1 | 2022-05-20          | 2022-05-24 |     |
+| 补丁发布 | Cherry Pick 截止日期 |  目标日期  | 说明 |
+|----------|----------------------|------------|------|
+| 1.24.4   | 2022-08-12           | 2022-08-17 |      |
+| 1.24.3   | 2022-07-08           | 2022-07-13 |      |
+| 1.24.2   | 2022-06-10           | 2022-06-15 |      |
+| 1.24.1   | 2022-05-20           | 2022-05-24 |      |
 
 ### 1.23
 
 <!-- 
+Next patch release is **1.23.10**
+
 **1.23** enters maintenance mode on **2022-12-28**.
 
 End of Life for **1.23** is **2023-02-28**.
 -->
+
+下一个补丁版本是 **1.23.10**。
+
 **1.23** 于 **2022-12-28** 进入维护模式。
 
 **1.23** 的生命周期结束时间为 **2023-02-28**。
 
 <!--
-| PATCH RELEASE | CHERRY PICK DEADLINE | TARGET DATE | NOTE |
+| Patch Release | Cherry Pick Deadline | Target Date | Note |
 
 [Out-of-Band Release](https://groups.google.com/a/kubernetes.io/g/dev/c/Xl1sm-CItaY)
--->
-| 补丁发布       | Cherry Pick 截止日期   |  目标日期    | 说明  |
+| Patch Release | Cherry Pick Deadline | Target Date | Note |
 |---------------|----------------------|-------------|------|
+| 1.23.10       | 2022-08-12           | 2022-08-17  |      |
+| 1.23.9        | 2022-07-08           | 2022-07-13  |      |
+| 1.23.8        | 2022-06-10           | 2022-06-15  |      |
+| 1.23.7        | 2022-05-20           | 2022-05-24  |      |
+| 1.23.6        | 2022-04-08           | 2022-04-13  |      |
+| 1.23.5        | 2022-03-11           | 2022-03-16  |      |
+| 1.23.4        | 2022-02-11           | 2022-02-16  |      |
+| 1.23.3        | 2022-01-24           | 2022-01-25  | [Out-of-Band Release](https://groups.google.com/a/kubernetes.io/g/dev/c/Xl1sm-CItaY) |
+| 1.23.2        | 2022-01-14           | 2022-01-19  |      |
+| 1.23.1        | 2021-12-14           | 2021-12-16  |      |
+-->
+
+| 补丁发布      | Cherry Pick 截止日期 |  目标日期   | 说明  |
+|---------------|----------------------|-------------|------|
+| 1.23.10       | 2022-08-12           | 2022-08-17  |      |
+| 1.23.9        | 2022-07-08           | 2022-07-13  |      |
+| 1.23.8        | 2022-06-10           | 2022-06-15  |      |
 | 1.23.7        | 2022-05-20           | 2022-05-24  |      |
 | 1.23.6        | 2022-04-08           | 2022-04-13  |      |
 | 1.23.5        | 2022-03-11           | 2022-03-16  |      |
@@ -211,19 +238,25 @@ End of Life for **1.23** is **2023-02-28**.
 ### 1.22
 
 <!-- 
+Next patch release is **1.22.13**
+
 **1.22** enters maintenance mode on **2022-08-28**
 
 End of Life for **1.22** is **2022-10-28**
 -->
+
+下一个补丁版本是 **1.22.13**。
+
 **1.22** 于 **2022-08-28** 进入维护模式
 
 **1.22** 的生命周期结束时间为 **2022-10-28**
 
 <!-- 
 | PATCH RELEASE | CHERRY PICK DEADLINE | TARGET DATE | NOTE |
--->
-| 补丁发布       | Cherry Pick 截止日期   |  目标日期    | 说明  |
 |---------------|----------------------|-------------|------|
+| 1.22.13       | 2022-08-12           | 2022-08-17  |      |
+| 1.22.12       | 2022-07-08           | 2022-07-13  |      |
+| 1.22.11       | 2022-06-10           | 2022-06-15  |      |
 | 1.22.10       | 2022-05-20           | 2022-05-24  |      |
 | 1.22.9        | 2022-04-08           | 2022-04-13  |      |
 | 1.22.8        | 2022-03-11           | 2022-03-16  |      |
@@ -234,38 +267,22 @@ End of Life for **1.22** is **2022-10-28**
 | 1.22.3        | 2021-10-22           | 2021-10-27  |      |
 | 1.22.2        | 2021-09-10           | 2021-09-15  |      |
 | 1.22.1        | 2021-08-16           | 2021-08-19  |      |
-
-### 1.21
-
-<!-- 
-**1.21** enters maintenance mode on **2022-04-28**
-
-End of Life for **1.21** is **2022-06-28**
 -->
-**1.21** 于 **2022-04-28** 进入维护模式
-
-**1.21** 的生命周期结束时间为 **2022-06-28**
-
-<!-- 
-| Patch Release | Cherry Pick Deadline | Target Date | Note |
-
-[Regression](https://groups.google.com/g/kubernetes-dev/c/KuF8s2zueFs)
--->
-| 补丁发布       | Cherry Pick 截止日期   |  目标日期    | 说明  |
-| ------------- | -------------------- | ----------- | ---------------------------------------------------------------------- |
-| 1.21.13       | 2022-05-20           | 2022-05-24  |                                                                        |
-| 1.21.12       | 2022-04-08           | 2022-04-13  |                                                                        |
-| 1.21.11       | 2022-03-11           | 2022-03-16  |                                                                        |
-| 1.21.10       | 2022-02-11           | 2022-02-16  |                                                                        |
-| 1.21.9        | 2022-01-14           | 2022-01-19  |                                                                        |
-| 1.21.8        | 2021-12-10           | 2021-12-15  |                                                                        |
-| 1.21.7        | 2021-11-12           | 2021-11-17  |                                                                        |
-| 1.21.6        | 2021-10-22           | 2021-10-27  |                                                                        |
-| 1.21.5        | 2021-09-10           | 2021-09-15  |                                                                        |
-| 1.21.4        | 2021-08-07           | 2021-08-11  |                                                                        |
-| 1.21.3        | 2021-07-10           | 2021-07-14  |                                                                        |
-| 1.21.2        | 2021-06-12           | 2021-06-16  |                                                                        |
-| 1.21.1        | 2021-05-07           | 2021-05-12  | [版本回退](https://groups.google.com/g/kubernetes-dev/c/KuF8s2zueFs)    |
+| 补丁发布      | Cherry Pick 截止日期 |  目标日期   | 说明 |
+|---------------|----------------------|-------------|------|
+| 1.22.13       | 2022-08-12           | 2022-08-17  |      |
+| 1.22.12       | 2022-07-08           | 2022-07-13  |      |
+| 1.22.11       | 2022-06-10           | 2022-06-15  |      |
+| 1.22.10       | 2022-05-20           | 2022-05-24  |      |
+| 1.22.9        | 2022-04-08           | 2022-04-13  |      |
+| 1.22.8        | 2022-03-11           | 2022-03-16  |      |
+| 1.22.7        | 2022-02-11           | 2022-02-16  |      |
+| 1.22.6        | 2022-01-14           | 2022-01-19  |      |
+| 1.22.5        | 2021-12-10           | 2021-12-15  |      |
+| 1.22.4        | 2021-11-12           | 2021-11-17  |      |
+| 1.22.3        | 2021-10-22           | 2021-10-27  |      |
+| 1.22.2        | 2021-09-10           | 2021-09-15  |      |
+| 1.22.1        | 2021-08-16           | 2021-08-19  |      |
 
 <!-- 
 ## Non-Active Branch History
@@ -283,12 +300,13 @@ Created to resolve regression introduced in 1.18.19
 
 [Regression](https://groups.google.com/g/kubernetes-dev/c/KuF8s2zueFs)
 -->
-| 次要版本       | 最终补丁发布版本       | EOL 日期    | 说明                                                                   |
+| 次要版本      | 最终补丁发布版本    | EOL 日期   | 说明                                                                   |
 | ------------- | ------------------- | ---------- | ---------------------------------------------------------------------- |
+| 1.21          | 1.21.14             | 2022-06-28 |                                                                        |
 | 1.20          | 1.20.15             | 2022-02-28 |                                                                        |
 | 1.19          | 1.19.16             | 2021-10-28 |                                                                        |
-| 1.18          | 1.18.20             | 2021-06-18 | 创建用于解决 1.18.19 版本引入的回退                                        |
-| 1.18          | 1.18.19             | 2021-05-12 | [版本回退](https://groups.google.com/g/kubernetes-dev/c/KuF8s2zueFs)    |
+| 1.18          | 1.18.20             | 2021-06-18 | 创建用于解决 1.18.19 版本引入的回退                                    |
+| 1.18          | 1.18.19             | 2021-05-12 | [版本回退](https://groups.google.com/g/kubernetes-dev/c/KuF8s2zueFs)   |
 | 1.17          | 1.17.17             | 2021-01-13 |                                                                        |
 | 1.16          | 1.16.15             | 2020-09-02 |                                                                        |
 | 1.15          | 1.15.12             | 2020-05-06 |                                                                        |
@@ -306,7 +324,3 @@ Created to resolve regression introduced in 1.18.19
 | 1.3           | 1.3.10              | 2016-11-01 |                                                                        |
 | 1.2           | 1.2.7               | 2016-10-23 |                                                                        |
 
-[cherry-picks]: https://github.com/kubernetes/community/blob/master/contributors/devel/sig-release/cherry-picks.md
-[release-managers]: /releases/release-managers
-[发布流程说明]: /releases/release
-[yearly-support]: https://git.k8s.io/enhancements/keps/sig-release/1498-kubernetes-yearly-support-period/README.md
diff --git a/content/zh-cn/releases/release-cycle.jpg b/content/zh-cn/releases/release-cycle.jpg
deleted file mode 100644
index 8519fca6bd8..00000000000
Binary files a/content/zh-cn/releases/release-cycle.jpg and /dev/null differ
diff --git a/content/zh-cn/releases/release-lifecycle.jpg b/content/zh-cn/releases/release-lifecycle.jpg
deleted file mode 100644
index ac30788ba32..00000000000
Binary files a/content/zh-cn/releases/release-lifecycle.jpg and /dev/null differ
diff --git a/content/zh-cn/releases/release-managers.md b/content/zh-cn/releases/release-managers.md
index 3d535c555a5..a3a3620cbf2 100644
--- a/content/zh-cn/releases/release-managers.md
+++ b/content/zh-cn/releases/release-managers.md
@@ -9,13 +9,13 @@ type: docs
 
 <!-- 
 "Release Managers" is an umbrella term that encompasses the set of Kubernetes
-contributors responsible for maintaining release branches, tagging releases,
-and building/packaging Kubernetes.
+contributors responsible for maintaining release branches and creating releases
+by using the tools SIG Release provides.
 
 The responsibilities of each role are described below.
 -->
-“发布管理员（Release Managers）”是一个总称，包括一批负责维护发布分支、标记发行版本以及构建/打包
-Kubernetes 的 Kubernetes 贡献者。
+“发布管理员（Release Managers）” 是一个总称，通过使用 SIG Release 提供的工具，
+负责维护发布分支、标记发行版本以及创建发行版本的贡献者。
 
 每个角色的职责如下所述。
 
@@ -55,11 +55,11 @@ Kubernetes 的 Kubernetes 贡献者。
 -->
 ## 联系方式  {#contact}
 
-| 邮件列表 | Slack | 可见 | 用法 | 会员资格 |
+| 邮件列表 | Slack | 可见范围 | 用法 | 会员资格 |
 | --- | --- | --- | --- | --- |
-| [release-managers@kubernetes.io](mailto:release-managers@kubernetes.io) | [#release-management](https://kubernetes.slack.com/messages/CJH2GBF7Y)（频道）/@release-managers（用户组）| 公共 | 发布管理员的公开讨论 | 所有发布管理员（包括助理、构建管理员和 SIG 主席）|
+| [release-managers@kubernetes.io](mailto:release-managers@kubernetes.io) | [#release-management](https://kubernetes.slack.com/messages/CJH2GBF7Y)（频道）/@release-managers（用户组）| 公共 | 发布管理员公开讨论 | 所有发布管理员（包括助理、构建管理员和 SIG 主席）|
 | [release-managers-private@kubernetes.io](mailto:release-managers-private@kubernetes.io) | 不适用 | 私人 | 拥有特权的发布管理员私人讨论 | 发布管理员，SIG Release 负责人 |
-| [security-release-team@kubernetes.io](mailto:security-release-team@kubernetes.io) | [#security-release-team](https://kubernetes.slack.com/archives/G0162T1RYHG)（频道）/@security-rel-team（用户组）| 私人 | 与安全响应委员会协调的安全发布 | [security-discuss-private@kubernetes.io](mailto:security-discuss-private@kubernetes.io), [release-managers-private@kubernetes.io](mailto:release-managers-private@kubernetes.io) |
+| [security-release-team@kubernetes.io](mailto:security-release-team@kubernetes.io) | [#security-release-team](https://kubernetes.slack.com/archives/G0162T1RYHG)（频道）/@security-rel-team（用户组）| 私人 | 与安全响应委员会协调安全发布 | [security-discuss-private@kubernetes.io](mailto:security-discuss-private@kubernetes.io), [release-managers-private@kubernetes.io](mailto:release-managers-private@kubernetes.io) |
 
 <!-- 
 ### Security Embargo Policy
@@ -74,7 +74,7 @@ Some information about releases is subject to embargo and we have defined policy
 <!-- 
 ## Handbooks
 
-**NOTE: The Patch Release Team and Branch Manager handbooks will be de-duplicated at a later date.**
+**NOTE:** The Patch Release Team and Branch Manager handbooks will be de-duplicated at a later date.
 
 - [Patch Release Team][handbook-patch-release]
 - [Branch Managers][handbook-branch-mgmt]
@@ -82,7 +82,7 @@ Some information about releases is subject to embargo and we have defined policy
 -->
 ## 手册  {#handbooks}
 
-**注意：补丁发布团队和分支管理员手册以后将会删除重复数据。**
+**注意：**补丁发布团队和分支管理员手册以后将会删除重复数据。
 
 - [补丁发布团队][handbook-patch-release]
 - [分支管理员][handbook-branch-mgmt]
@@ -111,10 +111,10 @@ Minimum requirements for Release Managers and Release Manager Associates are:
 发布管理员和发布管理员助理的最低要求是：
 
 - 熟悉基本的 Unix 命令并能够调试 shell 脚本。
-- 熟悉通过 `git` 和 `git` 相关的命令行触发的分支源代码工作流。
+- 熟悉通过 `git` 和 `git` 相关命令行触发的分支源代码工作流。
 - 谷歌云的常识（云构建和云存储）。
 - 乐于寻求帮助和清晰地沟通。
-- Kubernetes 社区 [会员资格][community-membership]
+- Kubernetes 社区[会员资格][community-membership]
 
 <!-- 
 Release Managers are responsible for:
@@ -130,7 +130,7 @@ Release Managers are responsible for:
   - Reviewing cherry picks
   - Ensuring the release branch stays healthy and that no unintended patch
     gets merged
-- Mentoring the [Release Manager Associates](#associates) group
+- Mentoring the [Release Manager Associates](#release-manager-associates) group
 - Actively developing features and maintaining the code in k/release
 - Supporting Release Manager Associates and contributors through actively
   participating in the Buddy program
@@ -145,13 +145,13 @@ Release Managers are responsible for:
   - 补丁发布（`x.y.z`，其中 `z` > 0）
   - 次要版本（`x.y.z`，其中 `z` = 0）
   - 预发布（alpha、beta 和候选发布）
-  - 通过每个发布周期与[发布小组][release-team]合作
+  - 通过每个发布周期与[发布团队][release-team]合作
   - 设置[补丁发布的时间表和节奏][patches]
 - 维护发布分支：
   - 审查 Cherry Pick
   - 确保发布分支保持健康并且没有合并意外的补丁
-- 指导[发布管理员助理](#associates)小组
-- 积极开发功能并维护 k/release 中的代码
+- 指导[发布管理员助理](#release-manager-associates)小组
+- 积极开发功能并维护 kubernetes/release 中的代码
 - 通过积极参与 Buddy 计划来支持发布管理员助理和贡献者
   - 每月与助理核对并委派任务，授权他们生成发行版本并指导工作
   - 支持助理小组加入新的贡献者，例如回答问题并建议他们做适当的工作
@@ -199,7 +199,7 @@ releases over several cycles and:
 -->
 ### 成为发布管理员  {#becoming-a-release-manager}
 
-要成为发布管理员，首先必须担任发布管理员助理。助理通过在多个周期内积极处理发布，从而毕业成为发布管理员，并且：
+要成为发布管理员，须先担任发布管理员助理。助理通过在多个周期内积极处理发布，从而毕业成为发布管理员，并且：
 
 - 表现出带头的意愿
 - 与发布管理员合作，为补丁打标记，最终独立制作发行版本
@@ -235,7 +235,7 @@ GitHub Mentions: @kubernetes/release-engineering
 发布管理员助理是发布管理员的学徒，以前称为发布管理员影子。他们负责：
 
 - 补丁发布工作，Cherry Pick 审查
-- 为 k/release 做贡献：更新依赖并习惯源代码库
+- 为 kubernetes/release 做贡献：更新依赖并习惯源代码库
 - 为文档做贡献：维护手册，确保发布过程记录在案
 - 在发布管理员的帮助下：在发布周期中与发布团队合作并减少 Kubernetes 发型版本
 - 寻求机会帮助确定优先级和沟通
@@ -246,7 +246,9 @@ GitHub Mentions: @kubernetes/release-engineering
 GitHub 提及：@kubernetes/release-engineering
 
 - Arnaud Meukam ([@ameukam](https://github.com/ameukam))
+- Jeremy Rickard ([@jeremyrickard](https://github.com/jeremyrickard))
 - Jim Angel ([@jimangel](https://github.com/jimangel))
+- Joseph Sandoval ([@jrsapi](https://github.com/jrsapi))
 - Joyce Kung ([@thejoycekung](https://github.com/thejoycekung))
 - Max Körbächer ([@mkorbi](https://github.com/mkorbi))
 - Seth McCombs ([@sethmccombs](https://github.com/sethmccombs))
@@ -277,7 +279,7 @@ Contributors can become Associates by demonstrating the following:
 - 持续参与，包括 6-12 个月的发布工程相关的积极工作
 - 在发布周期内担任发布团队的技术负责人角色的经验
    - 这种经验为理解 SIG Release 如何整体运作提供了坚实的基础——包括我们对技术技能、沟通、响应能力和可靠性的期望
-- 致力于改进我们与 Testgrid 交互的 k/release 项目，清理仓库等。
+- 致力于改进我们与 Testgrid 交互的 kubernetes/release 项目，清理仓库等。
    - 这些工作需要与发布管理员和助理进行互动和合作
 
 <!-- 
@@ -332,7 +334,7 @@ SIG Release 主席和技术负责人负责：
 - 领导发布管理员和助理的知识交流会议
 - 传授领导力和优先排序方法
 
-此处明确提及他们，因为他们是每个角色的各种沟通渠道和权限组（GitHub 团队、GCP 访问）的所有者。
+之所以此处明确提及他们，是因为他们是每个角色的各种沟通渠道和权限组（GitHub 团队、GCP 访问）的所有者。
 因此，他们是享有很高特权的社区成员，并参与了一些私人沟通，这些沟通有时可能与 Kubernetes 安全披露有关。
 
 GitHub 团队：[@kubernetes/sig-release-leads](https://github.com/orgs/kubernetes/teams/sig-release-leads)
@@ -362,7 +364,7 @@ of the kubernetes/sig-release repository within `release-x.y/release_team.md`.
 
 Example: [1.15 Release Team](https://git.k8s.io/sig-release/releases/release-1.15/release_team.md)
 -->
-过去的分支管理员，可以在 `release-x.y/release_team.md`
+有关以往的分支管理员，可以在 `release-x.y/release_team.md`
 中 kubernetes/sig-release 仓库的[发布目录][k-sig-release-releases]中找到。
 
 例如：[1.15 发布团队](https://git.k8s.io/sig-release/releases/release-1.15/release_team.md)
@@ -372,7 +374,7 @@ Example: [1.15 Release Team](https://git.k8s.io/sig-release/releases/release-1.1
 [handbook-packaging]: https://git.k8s.io/sig-release/release-engineering/packaging.md
 [handbook-patch-release]: https://git.k8s.io/sig-release/release-engineering/role-handbooks/patch-release-team.md
 [k-sig-release-releases]: https://git.k8s.io/sig-release/releases
-[patches]: /patch-releases.md
+[patches]: /zh-cn/releases/patch-releases/
 [src]: https://git.k8s.io/community/committee-security-response/README.md
 [release-team]: https://git.k8s.io/sig-release/release-team/README.md
 [security-release-process]: https://git.k8s.io/security/security-release-process.md
diff --git a/content/zh-cn/releases/release.md b/content/zh-cn/releases/release.md
index a36d310d34d..9d1c01cf943 100644
--- a/content/zh-cn/releases/release.md
+++ b/content/zh-cn/releases/release.md
@@ -219,7 +219,7 @@ The general labeling process should be consistent across artifact types.
   referring to a release MAJOR.MINOR `vX.Y` version.
 
   See also
-  [release versioning](/contributors/design-proposals/release/versioning.md).
+  [release versioning](https://git.k8s.io/sig-release/release-engineering/versioning.md).
 
 - *release branch*: Git branch `release-X.Y` created for the `vX.Y` milestone.
 
@@ -233,7 +233,7 @@ The general labeling process should be consistent across artifact types.
   [GitHub 里程碑](https://help.github.com/en/github/managing-your-work-on-github/associating-milestones-with-issues-and-pull-requests)
   指的是发布 主.次 `vX.Y` 版本。
 
-  另请参阅[发布版本控制](/contributors/design-proposals/release/versioning.md)。
+  另请参阅[发布版本控制](https://git.k8s.io/sig-release/release-engineering/versioning.md)。
 
 - **发布分支**：为 `vX.Y` 里程碑创建的 Git 分支 `release-X.Y`。
 
@@ -246,7 +246,7 @@ The general labeling process should be consistent across artifact types.
 -->
 ## 发布周期  {#the-release-cycle}
 
-![Image of one Kubernetes release cycle](release-cycle.jpg)
+![Image of one Kubernetes release cycle](/images/releases/release-cycle.jpg)
 
 <!-- 
 Kubernetes releases currently happen approximately three times per year.
@@ -368,7 +368,7 @@ Each release is part of a broader Kubernetes lifecycle:
 
 每个版本都是更广泛的 Kubernetes 生命周期的一部分：
 
-![Image of Kubernetes release lifecycle spanning three releases](release-lifecycle.jpg)
+![Image of Kubernetes release lifecycle spanning three releases](/images/releases/release-lifecycle.jpg)
 
 <!-- 
 ## Removal Of Items From The Milestone
@@ -504,14 +504,14 @@ Issues are marked as targeting a milestone via the Prow "/milestone" command.
 The Release Team's [Bug Triage Lead](https://git.k8s.io/sig-release/release-team/role-handbooks/bug-triage/README.md)
 and overall community watch incoming issues and triage them, as described in
 the contributor guide section on
-[issue triage](/contributors/guide/issue-triage.md).
+[issue triage](https://k8s.dev/docs/guide/issue-triage/).
 -->
 ### 问题补充  {#issue-additions}
 
 通过 Prow “/milestone” 命令标记问题并指向里程碑。
 
 发布团队的[错误分类负责人](https://git.k8s.io/sig-release/release-team/role-handbooks/bug-triage/README.md)和整个社区观察新出现的问题并对其进行分类，
-在贡献者指南部分中描述[问题分类](/contributors/guide/issue-triage.md)。
+在贡献者指南部分中描述[问题分类](https://k8s.dev/docs/guide/issue-triage/)。
 
 <!-- 
 Marking issues with the milestone provides the community better visibility
@@ -546,11 +546,11 @@ PR 通过 Prow “/milestone” 命令标记并指向里程碑。
 <!-- 
 ## Other Required Labels
 
-[Here is the list of labels and their use and purpose.](https://git.k8s.io/test-infra/label*sync/labels.md#labels-that-apply-to-all-repos-for-both-issues-and-prs)
+[Here is the list of labels and their use and purpose.](https://git.k8s.io/test-infra/label_sync/labels.md#labels-that-apply-to-all-repos-for-both-issues-and-prs)
 -->
 ## 其他必需的标签  {#other-required-labels}
 
-[这里是标签列表及其用途和目的](https://git.k8s.io/test-infra/label*sync/labels.md#labels-that-apply-to-all-repos-for-both-issues-and-prs)。
+[这里是标签列表及其用途和目的](https://git.k8s.io/test-infra/label_sync/labels.md#labels-that-apply-to-all-repos-for-both-issues-and-prs)。
 
 <!-- 
 ### SIG Owner Label
@@ -650,11 +650,11 @@ Issue 类型用于帮助识别随着时间的推移进入版本的更改类型
 - `kind/feature`：新功能
 - `kind/flake`：CI 测试用例显示间歇性故障
 
-[cherry-picks]: /contributors/devel/sig-release/cherry-picks.md
+[cherry-picks]: https://git.k8s.io/community/contributors/devel/sig-release/cherry-picks.md
 [code-freeze]: https://git.k8s.io/sig-release/releases/release_phases.md#code-freeze
 [enhancements-freeze]: https://git.k8s.io/sig-release/releases/release_phases.md#enhancements-freeze
 [exceptions]: https://git.k8s.io/sig-release/releases/release_phases.md#exceptions
 [keps]: https://git.k8s.io/enhancements/keps
-[release-managers]: https://kubernetes.io/releases/release-managers/
+[release-managers]: /releases/release-managers/
 [release-team]: https://git.k8s.io/sig-release/release-team
-[sig-list]: /sig-list.md
+[sig-list]: https://k8s.dev/sigs
diff --git a/content/zh-cn/releases/version-skew-policy.md b/content/zh-cn/releases/version-skew-policy.md
index d5fb2ef85b5..f16e8b45698 100644
--- a/content/zh-cn/releases/version-skew-policy.md
+++ b/content/zh-cn/releases/version-skew-policy.md
@@ -32,7 +32,7 @@ Specific cluster deployment tools may place additional restrictions on version s
 ## Supported versions
 
 Kubernetes versions are expressed as **x.y.z**, where **x** is the major version, **y** is the minor version, and **z** is the patch version, following [Semantic Versioning](https://semver.org/) terminology.
-For more information, see [Kubernetes Release Versioning](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/release/versioning.md#kubernetes-release-versioning).
+For more information, see [Kubernetes Release Versioning](https://git.k8s.io/sig-release/release-engineering/versioning.md#kubernetes-release-versioning).
 
 The Kubernetes project maintains release branches for the most recent three minor releases ({{< skew currentVersion >}}, {{< skew currentVersionAddMinor -1 >}}, {{< skew currentVersionAddMinor -2 >}}).  Kubernetes 1.19 and newer receive approximately 1 year of patch support. Kubernetes 1.18 and older received approximately 9 months of patch support.
 -->
@@ -41,7 +41,7 @@ The Kubernetes project maintains release branches for the most recent three mino
 Kubernetes 版本以 **x.y.z** 表示，其中 **x** 是主要版本，
 **y** 是次要版本，**z** 是补丁版本，遵循[语义版本控制](https://semver.org/)术语。
 更多信息请参见
-[Kubernetes 版本发布控制](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/release/versioning.md#kubernetes-release-versioning)。
+[Kubernetes 版本发布控制](https://git.k8s.io/sig-release/release-engineering/versioning.md#kubernetes-release-versioning)。
 
 Kubernetes 项目维护最近的三个次要版本（{{< skew currentVersion >}}、{{< skew currentVersionAddMinor -1 >}}、{{< skew currentVersionAddMinor -2 >}}）的发布分支。
 Kubernetes 1.19 和更新的版本获得大约 1 年的补丁支持。
@@ -49,14 +49,14 @@ Kubernetes 1.18 及更早的版本获得了大约 9 个月的补丁支持。
 
 <!-- 
 Applicable fixes, including security fixes, may be backported to those three release branches, depending on severity and feasibility.
-Patch releases are cut from those branches at a [regular cadence](https://kubernetes.io/releases/patch-releases/#cadence), plus additional urgent releases, when required.
+Patch releases are cut from those branches at a [regular cadence](/releases/patch-releases/#cadence), plus additional urgent releases, when required.
 
 The [Release Managers](/releases/release-managers/) group owns this decision.
 
 For more information, see the Kubernetes [patch releases](/releases/patch-releases/) page.
 -->
 适当的修复，包括安全问题修复，可能会被后沿三个发布分支，具体取决于问题的严重性和可行性。
-补丁版本按[常规节奏](https://kubernetes.io/releases/patch-releases/#cadence)从这些分支中删除，并在需要时增加额外的紧急版本。
+补丁版本按[常规节奏](/zh-cn/releases/patch-releases/#cadence)从这些分支中删除，并在需要时增加额外的紧急版本。
 
 [发布管理员](/zh-cn/releases/release-managers/)小组拥有这件事的决定权。
 
diff --git a/data/i18n/ko/ko.toml b/data/i18n/ko/ko.toml
index f79f689b886..d66169c2a33 100644
--- a/data/i18n/ko/ko.toml
+++ b/data/i18n/ko/ko.toml
@@ -1,11 +1,5 @@
 # i18n strings for the Korean translation.
 # NOTE: Please keep the entries in alphabetical order when editing
-[announcement_title]
-other = "Black lives matter."
-
-[announcement_message]
-other = "우리는 흑인 공동체를 지지합니다.<br/>인종차별은 용납될 수 없습니다.<br/> 인종차별은 [쿠버네티스 프로젝트의 핵심 가치](https://git.k8s.io/community/values.md)에 상충되며 우리 공동체는 이를 용인하지 않습니다."
-
 [caution]
 other = "주의:"
 
@@ -42,6 +36,9 @@ other = " 문서는 더 이상 적극적으로 관리되지 않음. 현재 보
 [deprecation_file_warning]
 other = "사용 중단됨(deprecated)"
 
+[dockershim_message]
+other = """Dockershim은 쿠버네티스 릴리스 1.24부터 쿠버네티스 프로젝트에서 제거되었다. 더 자세한 내용은 <a href="/dockershim">Dockershim 제거 FAQ</a>를 참고한다."""
+
 [docs_label_browse]
 other = "문서 둘러보기"
 
@@ -63,12 +60,21 @@ other = "최신 버전"
 [docs_version_other_heading]
 other = "이전 버전"
 
+[end_of_life]
+other = "지원 종료:"
+
+[envvars_heading]
+other = "환경 변수"
+
 [error_404_were_you_looking_for]
 other = "무엇과 관련된 정보를 찾으시나요?"
 
 [examples_heading]
 other = "예시"
 
+[feature_state]
+other = "기능 상태:"
+
 [feedback_heading]
 other = "피드백"
 
@@ -81,9 +87,18 @@ other = "네"
 [feedback_no]
 other = "아니요"
 
+[inline_list_separator]
+other = ","
+
 [input_placeholder_email_address]
 other = "전자 우편 주소"
 
+[javascript_required]
+other = "이 컨텐츠를 보려면 자바스크립트가 [활성화](https://www.enable-javascript.com/)되어 있어야 합니다."
+
+[latest_release]
+other = "최신 릴리스:"
+
 [latest_version]
 other = "최신 버전."
 
@@ -183,6 +198,10 @@ other = "읽어 보기"
 [main_read_more]
 other = "더 읽기"
 
+[not_applicable]
+# Localization teams: it's OK to use a longer text here
+other = "해당되지 않음"
+
 [note]
 other = "참고:"
 
@@ -192,12 +211,29 @@ other = "목적"
 [options_heading]
 other = "옵션"
 
+[outdated_blog__message]
+other = "이 글은 작성일로부터 1년 이상 지났습니다. 오래된 글은 더 이상 유효하지 않은 컨텐츠를 포함하고 있을 수 있습니다. 이 페이지의 정보가 틀리지 않았는지 다시 한 번 확인하세요."
+
 [post_create_issue]
 other = "이슈 생성"
 
 [prerequisites_heading]
 other = "시작하기 전에"
 
+[previous_patches]
+other = "패치 릴리스:"
+
+[release_date_after]
+other = "에 릴리스됨)"
+
+[release_date_before]
+other = "("
+
+# See https://gohugo.io/functions/format/#gos-layout-string
+# Use a suitable format for your locale
+[release_date_format]
+other = "2006-01-02"
+
 [seealso_heading]
 other = "더 보기"
 
@@ -210,6 +246,16 @@ other = "시놉시스"
 [thirdparty_message]
 other = """이 섹션은 쿠버네티스에 필요한 기능을 제공하는 써드파티 프로젝트와 관련이 있다. 쿠버네티스 프로젝트 작성자는 써드파티 프로젝트에 책임이 없다. 이 페이지는 <a href="https://github.com/cncf/foundation/blob/master/website-guidelines.md" target="_blank">CNCF 웹사이트 가이드라인</a>에 따라 프로젝트를 알파벳 순으로 나열한다. 이 목록에 프로젝트를 추가하려면 변경사항을 제출하기 전에 <a href="/contribute/style/content-guide/#third-party-content">콘텐츠 가이드</a>를 읽어본다."""
 
+[thirdparty_message_edit_disclaimer]
+other="""써드파티 컨텐츠 안내"""
+
+
+[thirdparty_message_single_item]
+other = """&#128711; 이 항목은 쿠버네티스에 속하지 않는 써드파티 프로젝트 또는 제품의 링크로 연결됩니다. <a class="alert-more-info" href="#third-party-content-disclaimer">추가 정보</a>"""
+
+[thirdparty_message_disclaimer]
+other = """<p>이 페이지는 쿠버네티스가 필요로 하는 기능을 제공하는 써드파티 프로젝트 또는 제품에 대해 언급하고 있습니다. 쿠버네티스 프로젝트 저자들은 이러한 써드파티 프로젝트 또는 제품에 대해 책임지지 않습니다. <a href="https://github.com/cncf/foundation/blob/master/website-guidelines.md" target="_blank">CNCF 웹사이트 가이드라인</a>에서 더 자세한 내용을 확인합니다.</p><p>다른 써드파티 링크를 추가하는 변경을 제안하기 전에, <a href="/docs/contribute/style/content-guide/#third-party-content">컨텐츠 가이드</a>를 확인해야 합니다.</p>"""
+
 [ui_search_placeholder]
 other = "검색하기"
 
diff --git a/data/releases/schedule.yaml b/data/releases/schedule.yaml
index a88fb511a73..5f56b2cbb28 100644
--- a/data/releases/schedule.yaml
+++ b/data/releases/schedule.yaml
@@ -1,11 +1,14 @@
 schedules:
 - release: 1.24
   releaseDate: 2022-05-03
-  next: 1.24.3
-  cherryPickDeadline: 2022-07-08
-  targetDate: 2022-07-13
-  endOfLifeDate: 2023-09-29
+  next: 1.24.4
+  cherryPickDeadline: 2022-08-12
+  targetDate: 2022-08-17
+  endOfLifeDate: 2023-07-28
   previousPatches:
+    - release: 1.24.3
+      cherryPickDeadline: 2022-07-08
+      targetDate: 2022-07-13
     - release: 1.24.2
       cherryPickDeadline: 2022-06-10
       targetDate: 2022-06-15
@@ -14,11 +17,14 @@ schedules:
       targetDate: 2022-05-24
 - release: 1.23
   releaseDate: 2021-12-07
-  next: 1.23.9
-  cherryPickDeadline: 2022-07-08
-  targetDate: 2022-07-13
+  next: 1.23.10
+  cherryPickDeadline: 2022-08-12
+  targetDate: 2022-08-17
   endOfLifeDate: 2023-02-28
   previousPatches:
+    - release: 1.23.9
+      cherryPickDeadline: 2022-07-08
+      targetDate: 2022-07-13
     - release: 1.23.8
       cherryPickDeadline: 2022-06-10
       targetDate: 2022-06-15
@@ -46,11 +52,14 @@ schedules:
       targetDate: 2021-12-16
 - release: 1.22
   releaseDate: 2021-08-04
-  next: 1.22.12
-  cherryPickDeadline: 2022-07-08
-  targetDate: 2022-07-13
+  next: 1.22.13
+  cherryPickDeadline: 2022-08-12
+  targetDate: 2022-08-17
   endOfLifeDate: 2022-10-28
   previousPatches:
+    - release: 1.22.12
+      cherryPickDeadline: 2022-07-08
+      targetDate: 2022-07-13
     - release: 1.22.11
       cherryPickDeadline: 2022-06-10
       targetDate: 2022-06-15
diff --git a/static/_redirects b/static/_redirects
index 6e274595a88..4680bce31a7 100644
--- a/static/_redirects
+++ b/static/_redirects
@@ -158,6 +158,7 @@
 /docs/concepts/workloads/controllers/statefulset.md     /docs/concepts/workloads/controllers/statefulset/ 301!
 /docs/concepts/workloads/pods/pod/     /docs/concepts/workloads/pods/ 301
 /docs/concepts/workloads/pods/pod-overview/     /docs/concepts/workloads/pods/ 301
+/docs/concepts/workloads/pods/pod-topology-spread-constraints/ /docs/concepts/scheduling-eviction/topology-spread-constraints/ 301
 /docs/concepts/workloads/pods/init-containers/Kubernetes/     /docs/concepts/workloads/pods/init-containers/ 301
 
 /docs/concepts/policy/pod-security-policy/      /docs/concepts/security/pod-security-policy/ 301
diff --git a/content/en/releases/release-cycle.jpg b/static/images/releases/release-cycle.jpg
similarity index 100%
rename from content/en/releases/release-cycle.jpg
rename to static/images/releases/release-cycle.jpg
diff --git a/content/en/releases/release-lifecycle.jpg b/static/images/releases/release-lifecycle.jpg
similarity index 100%
rename from content/en/releases/release-lifecycle.jpg
rename to static/images/releases/release-lifecycle.jpg