[zh-cn] sync home/* user-namespaces

Signed-off-by: xin.li <xin.li@daocloud.io>

Author: my-git9

content/zh-cn/docs/home/_index.md

@@ -12,18 +12,16 @@ hide_feedback: true
 menu:
   main:
     title: "文档"
-    weight: 20
-    post: >
-      <p>通过概念、教程和参考文档了解如何使用 Kubernetes。你甚至可以<a href="/editdocs/" data-auto-burger-exclude data-proofer-ignore>帮助贡献文档</a>！</p>
+    weight: 10
 # description: >
 #   Kubernetes is an open source container orchestration engine for automating deployment, scaling, and management of containerized applications. The open source project is hosted by the Cloud Native Computing Foundation.
 description: >
-  Kubernetes 是一个开源的容器编排引擎，用来对容器化应用进行自动部署、 扩缩和管理。此开源项目由云原生计算基金会（CNCF）托管。
+  Kubernetes 是一个开源的容器编排引擎，用来对容器化应用进行自动部署、扩缩和管理。此开源项目由云原生计算基金会（CNCF）托管。
 
 # overview:
 #  Kubernetes is an open source container orchestration engine for automating deployment, scaling, and management of containerized applications. The open source project is hosted by the Cloud Native Computing Foundation (<a href="https://www.cncf.io/about">CNCF</a>).
 overview:
-  Kubernetes 是一个开源的容器编排引擎，用来对容器化应用进行自动化部署、 扩缩和管理。该项目托管在 <a href="https://www.cncf.io/about">CNCF</a>。
+  Kubernetes 是一个开源的容器编排引擎，用来对容器化应用进行自动化部署、扩缩和管理。该项目托管在 <a href="https://www.cncf.io/about">CNCF</a>。
 
 cards:
 # - name: concepts
@@ -104,7 +102,11 @@ cards:
 # - name: about
 #   title: About the documentation
 #   description: This website contains documentation for the current and previous 4 versions of Kubernetes.
+#   button: "See available versions"
+#   button_path: "/docs/home/supported-doc-versions"
 - name: about
   title: 关于文档
   description: 本网站包含了当前及前 4 个版本的 Kubernetes 文档。
+  button: "查看可用版本"
+  button_path: "/zh-cn/docs/home/supported-doc-versions"
 ---

content/zh-cn/docs/home/supported-doc-versions.md

@@ -2,19 +2,13 @@
 title: Kubernetes 文档支持的版本
 content_type: custom
 layout: supported-versions
-card:
-  name: about
-  weight: 10
-  title: Kubernetes 文档支持的版本
+weight: 10
 ---
 <!--
 title: Available Documentation Versions
 content_type: custom
 layout: supported-versions
-card:
-  name: about
-  weight: 10
-  title: Available Documentation Versions
+weight: 10
 -->
 <!-- overview -->
 
@@ -31,4 +25,5 @@ which versions of Kubernetes are officially supported, and for how long.
 本网站包含当前版本和之前四个版本的 Kubernetes 文档。
 
 Kubernetes 版本的文档可用性与当前是否支持该版本是分开的。
-阅读[支持期限](/zh-cn/releases/patch-releases/#support-period)，了解官方支持 Kubernetes 的哪些版本，以及支持多长时间。
+阅读[支持期限](/zh-cn/releases/patch-releases/#support-period)，了解官方支持
+Kubernetes 的哪些版本，以及支持多长时间。

content/zh-cn/docs/tasks/configure-pod-container/user-namespaces.md

@@ -1,5 +1,5 @@
 ---
-title: 为 Pod 配置用户名字空间
+title: 为 Pod 配置 user 名字空间
 reviewers:
 content_type: task
 weight: 210
@@ -15,14 +15,14 @@ min-kubernetes-server-version: v1.25
 -->
 
 <!-- overview -->
-{{< feature-state for_k8s_version="v1.25" state="alpha" >}}
+{{< feature-state for_k8s_version="v1.25" state="beta" >}}
 
 <!--
 This page shows how to configure a user namespace for stateless pods. This
 allows to isolate the user running inside the container from the one in the
 host.
 -->
-本页展示如何为无状态 Pod 配置用户名字空间。可以将容器内的用户与主机上的用户隔离开来。
+本页展示如何为无状态 Pod 配置 user 名字空间。可以将容器内的用户与主机上的用户隔离开来。
 
 <!--
 A process running as root in a container can run as a different (non-root) user
@@ -31,7 +31,7 @@ inside the user namespace, but is unprivileged for operations outside the
 namespace.
 -->
 在容器中以 root 用户运行的进程可以以不同的（非 root）用户在宿主机上运行；换句话说，
-进程在用户名字空间内部拥有执行操作的全部特权，但在用户名字空间外部并没有执行操作的特权。
+进程在 user 名字空间内部拥有执行操作的全部特权，但在 user 名字空间外部并没有执行操作的特权。
 
 <!--
 You can use this feature to reduce the damage a compromised container can do to
@@ -41,18 +41,18 @@ exploitable when user namespaces is active. It is expected user namespace will
 mitigate some future vulnerabilities too.
 -->
 你可以使用这个特性来减少有害的容器对同一宿主机上其他容器的影响。
-[有些安全脆弱性问题][KEP-vulns]被评为 **HIGH** or **CRITICAL**，但当用户名字空间被启用时，
-它们是无法被利用的。相信用户名字空间也能减轻一些未来的漏洞的影响。
+[有些安全脆弱性问题][KEP-vulns]被评为 **HIGH** 或 **CRITICAL**，但当 user 名字空间被启用时，
+它们是无法被利用的。相信 user 名字空间也能减轻一些未来的漏洞影响。
 
 <!--
 Without using a user namespace a container running as root, in the case of a
 container breakout, has root privileges on the node. And if some capability were
 granted to the container, the capabilities are valid on the host too. None of
 this is true when user namespaces are used.
 -->
-在不使用用户名字空间的情况下，对于以 root 用户运行的容器而言，发生容器逃逸时，
+在不使用 user 名字空间的情况下，对于以 root 用户运行的容器而言，发生容器逃逸时，
 容器将拥有在宿主机上的 root 特权。如果容器被赋予了某些权限，则这些权限在宿主机上同样有效。
-当使用用户名字空间时这些都不可能发生。
+当使用 user 名字空间时这些都不可能发生。
 
 [KEP-vulns]: https://github.com/kubernetes/enhancements/tree/217d790720c5aef09b8bd4d6ca96284a0affe6c2/keps/sig-node/127-user-namespaces#motivation
 
@@ -70,18 +70,18 @@ this is true when user namespaces are used.
 * You need to enable the `UserNamespacesSupport`
   [feature gate](/docs/reference/command-line-tools-reference/feature-gates/)
 -->
-* 节点上的操作系统必须为 Linux
+* 节点的操作系统必须为 Linux
 * 你需要在宿主机上执行命令
 * 你需要能够通过 exec 操作进入 Pod
-* 你需要启用 `UserNamespacesSupport` [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)。
+* 你需要启用 `UserNamespacesSupport` [特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/)
 
 {{< note >}}
 <!--
 The feature gate to enable user namespaces was previously named
 `UserNamespacesStatelessPodsSupport`, when only stateless pods were supported.
 Only Kubernetes v1.25 through to v1.27 recognise `UserNamespacesStatelessPodsSupport`.
 -->
-在用户名字空间原来仅支持无状态的 Pod 时，启用用户名字空间的特性门控先前被命名为 `UserNamespacesStatelessPodsSupport`。
+在 user 名字空间原来仅支持无状态的 Pod 时，启用 user 名字空间的特性门控先前被命名为 `UserNamespacesStatelessPodsSupport`。
 只有 Kubernetes v1.25 到 v1.27 才能识别 `UserNamespacesStatelessPodsSupport`。
 {{</ note >}}
 
@@ -92,39 +92,29 @@ for using user namespaces with Pods.
 -->
 你所使用的集群**必须**包括至少一个符合
 [要求](/zh-cn/docs/concepts/workloads/pods/user-namespaces/#before-you-begin)
-的节点，以便为 Pod 配置用户名字空间。
+的节点，以便为 Pod 配置 user 名字空间。
 
 <!--
 If you have a mixture of nodes and only some of the nodes provide user namespace support for
 Pods, you also need to ensure that the user namespace Pods are
 [scheduled](/docs/concepts/scheduling-eviction/assign-pod-node/) to suitable nodes.
 -->
-如果你有混合节点，并且只有部分节点支持为 Pod 配置用户名字空间，
-你还需要确保配置了用户名字空间的 Pod
+如果你有混合节点，并且只有部分节点支持为 Pod 配置 user 名字空间，
+你还需要确保配置了 user 名字空间的 Pod
 被[调度](/zh-cn/docs/concepts/scheduling-eviction/assign-pod-node/)到合适的节点。
 
-* CRI-O: v1.25 支持用户名字空间。
-
-<!--
-Please note that **if your container runtime doesn't support user namespaces, the
-`hostUsers` field in the pod spec will be silently ignored and the pod will be
-created without user namespaces.**
--->
-请注意 **如果你的容器运行时环境不支持用户名字空间，那么 Pod 规约中的 `hostUsers` 字段将被静默忽略，
-并且系统会在没有用户名字空间的环境中创建 Pod。**
-
 <!-- steps -->
 
 <!--
 ## Run a Pod that uses a user namespace {#create-pod}
 -->
-## 运行一个使用用户名字空间的 Pod {#create-pod}
+## 运行一个使用 user 名字空间的 Pod {#create-pod}
 
 <!--
 A user namespace for a pod is enabled setting the `hostUsers` field of `.spec`
 to `false`. For example:
 -->
-为一个 Pod 启用用户名字空间需要设置 `.spec` 的 `hostUsers` 字段为 `false`. 例如:
+为一个 Pod 启用 user 名字空间需要设置 `.spec` 的 `hostUsers` 字段为 `false`。例如：
 
 {{% code_sample file="pods/user-namespaces-stateless.yaml" %}}
 
@@ -147,15 +137,39 @@ to `false`. For example:
    ```
 
 <!--
-And run the command. The output is similar to this:
+Run this command:
 -->
-执行命令的输出类似于：
+运行这个命令：
 
-```none
+```shell
 readlink /proc/self/ns/user
+```
+
+<!--
+The output is similar to:
+-->
+输出类似于：
+
+```shell
 user:[4026531837]
+```
+
+<!--
+Also run:
+-->
+还运行：
+
+```shell
 cat /proc/self/uid_map
-0          0 4294967295
+```
+
+<!--
+The output is similar to:
+-->
+输出类似于：
+
+```shell
+0  833617920      65536
 ```
 
 <!--
@@ -164,30 +178,29 @@ Then, open a shell in the host and run the same command.
 然后，在主机中打开一个 Shell 并运行相同的命令。
 
 <!--
-The output must be different. This means the host and the pod are using a
-different user namespace. When user namespaces are not enabled, the host and the
-pod use the same user namespace.
+The `readlink` command shows the user namespace the process is running in. It
+should be different when it is run on the host and inside the container.
 -->
-输出一定是不同的。这意味着主机和 Pod 使用不同的用户名字空间。当未启用用户名字空间时，
-宿主机和 Pod 使用相同的用户名字空间。
+`readlink` 命令显示进程运行所在的用户命名空间。在主机上和容器内运行时应该有所不同。
+
+<!--
+The last number of the `uid_map` file inside the container must be 65536, on the
+host it must be a bigger number.
+-->
+容器内 `uid_map` 文件的最后一个数字必须是 65536，在主机上它必须是更大的数字。
 
 <!--
 If you are running the kubelet inside a user namespace, you need to compare the
 output from running the command in the pod to the output of running in the host:
 -->
-如果你在用户名字空间中运行 kubelet，则需要将在 Pod 中运行命令的输出与在主机中运行的输出进行比较：
+如果你在 user 名字空间中运行 kubelet，则需要将在 Pod 中运行命令的输出与在主机中运行的输出进行比较：
 
-<!--
-```none
+```shell
 readlink /proc/$pid/ns/user
-user:[4026534732]
 ```
 
+<!--
 replacing `$pid` with the kubelet PID.
 -->
-```none
-readlink /proc/$pid/ns/user
-user:[4026534732]
-```
 
-使用 kubelet 的进程号代替 `$pid`
+使用 kubelet 的进程号代替 `$pid`。