pods

pod是kubernates最小的单元。

集群中一个pod就是一个进程

pod中封装了容器，存储的资源还有独立的ip，来支配container怎么运行。pod中可能有一个或者多个相互耦合container

通常情况下pod都会有一个container，kubernates直接管理pod而不是container，也可能包含了一组共同协作的container

可以运行多个pod，每个pod运行一个单实例，形成一个集群，也是这个单实例的水平扩展，这一组pod有由controller管理。

pod怎么管理多个容器：

这些container通常在相同的物理机或者虚拟机上，可以相互沟通，相互依赖，相互协调（什么时候终止），

如果这个container相互联系紧密，那么运行在一个pod上会好一些。

pod为容器提供了网络和容器。

pod有独立的ip，containers共享这个ip，有自己的namespace，一个pod内部的container之间进行通信可以用localhost访问，要是和外部通信就得明确还每个container用什么端口了。

pod还提供了存储卷，这些container共享，也可以将container的数据持久化到存储卷上。

通常很少直接创建pod，因为他们周期相对短暂而且比较随意。他会在node中运行，知道运行正常结束，也可能由于资源短缺或者node有问题就会将pod删除。

别把容器重启和pod重启混淆了。pod本身是不运行的，它只是container运行的一个容器。

pod不会自己管理自己。通常由controller来直接管理pod。

controller负责创建管理pod，复制和回滚pod，还有自我保护的能力。比如一个node里的pod挂了，controller会从另一个node里产生一个和原来一样的新的pod

通常controller使用pod 模板来创建pod

pod是一个或者一组container（共享网络和存储），他们被一起定位到，一起被管理。共享一个pod context，运行在一个物理机或者虚拟机里。同一个pod里的容器可以通过localhost来交互，不同pod里的container要用ip地址来访问。

pod里的container共享卷，他由pod创建，是pod的一部分并且会挂在到应用的文件系统上。

pod的生命周期相对短暂，被创建，分配一个独立的id，然后被node管理，知道终止或者被删除。若果node坏了那么pod也就没了。已经运行的pod不会再被其他的node管理了，被删除了之后只会再重新创建一个新的pod来让别的node管理，有一个新的id。pod内部的东西也随着pod一起删除或重新创建。

pod是作为部署，复制和水平扩展的一个单元。pod中的容器之间通信用localhost就可以。他们有相同的ip和不同的端口号，共享网路，可以和其他的物理机交互。container的 hostname  就是 pod  的name

pod主要是能够一起定位和管理程序。

内容管理，数据，文件的加载和本地缓存等

日志，备份，压缩，快照

监听数据变化，日志追踪，日志和监控适配器，事件发布等

代理，桥接

控制，管理，配置，跟新

通常pod里不会运行多个相同的应用实例

一个container不要跑多个程序：透明，解耦，便于使用，高效

pod生命周期是短暂的，并且不会复活，出故障了就删除。一般不会直接创建它，是由controller创建的，controller是可以自我拯救的。（意思就是失败了可以重新启动，而不是有新的controller来代替他）

我们需要让pod优雅关闭，而不是直接kill，当用户发送删除指令的时候，系统会记录一个时间段，然后kill掉pod，同时也会给pod中的容器一个term信号给容器的主进程，一旦这个时间段过了之后，这个kill指令会发送给容器（强制关闭，kill），然后从apiserver来删除pod，如果在这个时间段之内kubelet或者容器的管理器重启了，那么这个终止操作会重试。

1.用户发送删除pod的命令，默认时间段为30s，

2.apiserver认为的pod在超过这个时间后认为这个pod会死了，所以更新pod状态

3.然后客户端显示列出的pod为‘Terminating’

4.kubelet看到pod被标记为Terminating状态了（第二步干的），所以要开始关闭了。

    （1）如果pod有关闭preStop hook，先调用它。

    （2）向pod里的进程发出term的指令

5.pod从service列表中删除，不在提供服务

6.时间段一过，直接杀死pod中所有的进程

7.kubelet 从apiserver中直接删除pod，客户端再也看不见了。

默认所有的时间段都是30s，kubectl delete 命令支持带 --grace-period=<seconds>参数，用户可以指定。0表示强制删除，要带一个--force  参数。

apiserver不会通过kubelet等待确认pod状态直接从apiserver中删除pod，然后立刻创建一个新的同名的pod，node中会经过一小段时间之后强制删除pod

要是StatefulSet pods，强制删除会有潜在的风险，要小心。

在SecurityContext中使用privileged  表示给pod中的container开启特权模式。对于要使用linux系统功能的容器是有用的，容器内的进程获得的权限与容器外的进程几乎相同，

pending: 表示pod已经被kubernates系统接收，但是容器镜像还没有下载下来或者被创建出来

running：pod已经绑定到了node上，而且里面有container在运行。

successded: pod中的容器成功的停止了，并且不会被重启。

failed：pod里所有的容器都已经结束，但至少有一个容器以失败结束。（以非0的状态结束，或者被系统kill了）

unknown： 获取不到pod的状态，比如不能和pod进行交互了。

kubelet会定期探测容器，执行探测的时候，kubelet会调用container实现的一个handler，有三种类型：

ExecAction：在container内部执行一个命令。如果以状态0退出，那么认为 是成功的

TCPSocketAction：诊断容器的ip和端口号，如果端口号是打开的，那么认为 是成功的

HTTPGetAction: 发送一个 get 请求到指定ip端口路径，如果返回的状态码   400 > code >= 200 ,认为是成功的

每次探测有三个状态：

success： 诊断容器成功

Failure： 诊断容器失败

Unknown： 未知

kubelet有两种探测方式：

livenessProbe：探测容器是否正在运行，如果没有就杀死，否则默认状态是success

readinessProbe：判断容器是否能接受请求。如果失败了 那么从所有匹配到这个pod的service中删除这个pod的ip。