深入浅出 Kubernetes Pod 实现原理

于 2023-04-07 08:45:34 发布
阅读量150 收藏
点赞数
文章标签: kubernetes docker 运维 linux 容器
原文链接:https://mp.weixin.qq.com/s?__biz=MzUzNTY5MzU2MA==&mid=2247497779&idx=1&sn=05da2fea5eb3b13e74ff355f480f9488&chksm=fa8329a4cdf4a0b20f4ed10e354002283a4b65ecf1fc1def96b9e69e3fb22291ead41e655341&scene=126&sessionid=0
版权

在 Kubernetes 中,Pod 是容器组的概念,一个 Pod 可以包含多个容器。这些容器共享网络、存储等资源,为应用程序提供了一个更加灵活的运行环境。

容器的本质是一个特殊的进程,特殊在为其创建了 NameSpace 隔离运行环境,并用 Cgroups 控制资源开销,还借助了一些 Linux 网络虚拟化技术解决了网络通信的问题

Pod 所做的则是让多个容器加入同一个 NameSpace 以实现资源共享。

07582eb51089036b6f9c3889ac8d2e16.png
Pod 的形象表达

接下来,我们可以使用 Docker 来还原 Pod 的实现原理。

容器共享 NameSpace

现在我们要部署一个 Pod ,其中包含 nginx 和 busybox 两个容器,前者作为主应用提供 Web 服务,后者作为 Sidecar 调试容器。

首先启动 nginx 容器:

docker run -d --name nginx --ipc="shareable" -v $PWD/log:/var/log/nginx -v $PWD/html:/usr/share/nginx/html nginx

默认情况下,Docker 的 IPC Namespace 是私有的,我们可以使用 --ipc="shareable" 来指定允许共享。-v 参数的作用就不多讲了。

接下来启动 busybox 容器,并加入到 nginx 容器的 NET、IPC、PID NameSpace 中,同时,我们共享 nginx 容器的 Volume ,以便可以访问 nginx 的日志文件:

docker run -d --name busybox --net=container:nginx --ipc=container:nginx --pid=container:nginx -v $PWD/log:/var/log/nginx yauritux/busybox-curl /bin/sh -c 'while true; do sleep 1h; done;'

两个容器都启动后,就可以在 busybox 容器中直接调试 nginx 容器的资源了:

[root@vm ~]# echo "hello pod" > $PWD/html/index.html
[root@vm ~]# docker exec -it busybox ps
PID   USER     TIME  COMMAND
    1 root      0:00 nginx: master process nginx -g daemon off;
   29 101       0:00 nginx: worker process
   30 101       0:00 nginx: worker process
   31 root      0:00 /bin/sh -c while true; do sleep 1h; done;
   37 root      0:00 sleep 1h
   38 root      0:00 ps
[root@vm ~]# docker exec -it busybox curl localhost
hello pod
[root@vm ~]# docker exec -it busybox tail /var/log/nginx/access.log
127.0.0.1 - - [30/Mar/2023:08:07:58 +0000] "GET / HTTP/1.1" 200 10 "-" "curl/7.81.0" "-"
[root@vm ~]#

在 busybox 容器中,不仅可以看到 nginx 容器的进程,还可以直接访问 nginx 服务和共享的日志文件目录。

但是,由于 Namespace 是由 nginx 容器创建的,如果 nginx 意外崩溃,那么所有 Namespace 都会一同被删除,busybox 容器也会被终止:

[root@vm ~]# docker stop nginx
nginx
[root@vm ~]# docker exec -it busybox ps
Error response from daemon: Container fca6ea0fe9f177f62d4b2d5d7db5bf64766d605f0414a8995c8d93159efeed4a is not running
[root@vm ~]#

显然,让业务容器充当共享基础容器是不可取的,必须保证每个容器都是对等的关系,而不是父子关系。Kubernetes 也考虑到了这一点。

Pause 容器

Pause 容器,又叫 Infra 容器。为了解决共享基础容器的安全问题, Kubernetes 会在每个 Pod 里,额外起一个 Infra 容器来共享整个 Pod 的 Namespace 。

Pause 容器会在 Pod 创建时首先启动,并创建 Namespace 、配置网络 IP 地址及路由等相关信息。可以说,Pause 容器的生命周期就相当于是整个 Pod 的生命周期。

等 Pause 容器启动完成后,其它容器才接着启动,并与 Pause 容器共享 Namespace。这样,每个容器就都可以访问 Pod 中其他容器的资源了。

具体的创建过程可以查看 kubelet 的源码:pkg/kubelet/kuberuntime/kuberuntime_manager.go#L678[1]

ee8f0c9582b642325cecaf303e449d65.png

其中第 4 步的创建 Sandbox 沙盒容器,实际就是创建 Pause 容器。之后才继续后面的 init 容器、正常容器的创建。

作用如此重要的 Pause 容器也决定了它的特点:

1、镜像非常小:gcr.io/google_containers/pause-amd64[2]

f21d5e88abd8e2c140fd2e486b7ee3eb.png

2、性能开销几乎可以忽略:pause.c[3]

5a895dc6c780bd6ea436aa41f2c40e95.png

了解了 Pause 容器后,重新开始我们的 Pod 原理试验。

从新环境开始,这次我们首先启动的应该是 Pause 容器了:

docker run -d --name pause --ipc="shareable" gcr.io/google_containers/pause-amd64:3.2

然后再启动 nginx 容器,加入到 Pause 容器的 Namespace :

docker run -d --name nginx --net=container:pause --ipc=container:pause --pid=container:pause -v $PWD/log:/var/log/nginx -v $PWD/html:/usr/share/nginx/html nginx

同理 busybox 容器:

docker run -d --name busybox --net=container:pause --ipc=container:pause --pid=container:pause -v $PWD/log:/var/log/nginx yauritux/busybox-curl /bin/sh -c 'while true; do sleep 1h; done;'

现在在 busybox 容器中将可以同时看到 pause 和 nginx 容器的进程:

[root@vm ~]# echo "hello pod" > $PWD/html/index.html
[root@vm ~]# docker exec -it busybox ps
PID   USER     TIME  COMMAND
    1 root      0:00 /pause
    8 root      0:00 nginx: master process nginx -g daemon off;
   36 101       0:00 nginx: worker process
   37 101       0:00 nginx: worker process
   38 root      0:00 /bin/sh -c while true; do sleep 1h; done;
   45 root      0:00 sleep 1h
   46 root      0:00 ps
[root@vm ~]# docker exec -it busybox curl localhost
hello pod
[root@vm ~]# docker exec -it busybox tail /var/log/nginx/access.log
127.0.0.1 - - [30/Mar/2023:08:49:49 +0000] "GET / HTTP/1.1" 200 10 "-" "curl/7.81.0" "-"
[root@vm ~]#

而且即使 nginx 意外崩溃了,也不会影响到 busybox 容器:

[root@vm ~]# docker stop nginx
nginx
[root@vm ~]# docker exec -it busybox ps
PID   USER     TIME  COMMAND
    1 root      0:00 /pause
   38 root      0:00 /bin/sh -c while true; do sleep 1h; done;
   45 root      0:00 sleep 1h
   66 root      0:00 ps
[root@vm ~]#

回到 Kubernetes

相信你现在已经理解,在 Kubernetes 集群中执行 kubectl apply -f nginx-busybox-pod.yaml 命令后所发生的事情:

apiVersion: v1
kind: Pod
metadata:
  name: nginx-busybox-pod
spec:
  shareProcessNamespace: true
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: nginx-log
      mountPath: /var/log/nginx
    - name: nginx-html
      mountPath: /usr/share/nginx/html
    ports:
    - containerPort: 80
  - name: busybox
    image: yauritux/busybox-curl
    command: ["/bin/sh", "-c", "while true; do sleep 1h; done;"]
    volumeMounts:
    - name: nginx-log
      mountPath: /var/log/nginx
  volumes:
  - name: nginx-log
    emptyDir: {}
  - name: nginx-html
    emptyDir: {}
75bc1804ad105940255f9fab9d886e48.png
(改:应为 -c busybox ps)第一个进程就是 pause

原理就是这么简单。

参考资料

[1]

pkg/kubelet/kuberuntime/kuberuntime_manager.go#L678: https://github.com/kubernetes/kubernetes/blob/v1.26.1/pkg/kubelet/kuberuntime/kuberuntime_manager.go#L678

[2]

gcr.io/google_containers/pause-amd64: https://console.cloud.google.com/gcr/images/google-containers/GLOBAL/pause-amd64

[3]

pause.c: https://github.com/kubernetes/kubernetes/blob/master/build/pause/linux/pause.c

- END -

扫码关注公众号「网管叨bi叨」

给网管个星标,第一时间吸我的知识 👆

网管整理了一本《Go 开发参考书》收集了70多条开发实践。去公众号回复【gocookbook】领取!还有一本《k8s 入门实践》讲解了常用软件在K8s上的部署过程,公众号回复【k8s】即可领取!

觉得有用就点个在看  👇👇👇

kevin_tech
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes二次开发与源码分析(CRD)
lcynone的博客
01-16 397
Kubernetes 控制器是一个主动调谐的过程,它会 watch 一些对象的期望状态,也会 watch 实际的状态,然后,控制器发送一些指令尝试让对象的当前状态往期望状态迁移。
KubernetesPod管理
weixin_55668888的博客
04-02 297
Pod 管理Pod 是可以创建和管理 Kubernetes 计算的最小可部署单元,一个 Pod 代表着集群中运行的一个进程,每个 pod 都有一个唯一的 ip。.一个 pod 类似一个豌豆英,包含一个或多个容器(通常是 docker ),多个容器间共享 IPC 、 Network 和 UTC namesnace。实际上是一个单进程模型• pod可以类比为进程组概念• pod在k8s中必须是原子调度单位• Pod要解决的问题核心就在于如何让一个Pod
KubernetesPod如何底层实现原理
潇潇雨歇
01-05 580
刚开始接触 Kubernetes 时,你学到的第一件事就是每个 Pod 都有一个唯一的 IP 和主机名,并且在同一个 Pod 中,容器可以通过 localhost 相互通信。所以,显而易见,一个 Pod 就像一个微型的服务器。但是,过段时间,你会发现 Pod 中的每个容器都有一个隔离的文件系统,并且从一个容器内部,你看不到在同一 Pod 的其他容器中运行的进程。好吧!也许 Pod 不是一个微型的服务器,而只是一组具有共享网络堆栈的容器。但随后你会了解到,Pod 中的容器可以通过共享内存进行通信!
K8S中Pod详解
weixin_43378573的博客
12-09 2036
前言 K8S中Pod详解 提示:以下是本篇文章正文内容,下面案例可供参考 一、Pod介绍 1.Pod介绍 每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类: 用户程序所在的容器,数量可多可少 Pause容器,这是每个Pod都会有的一个根容器,它的作用有两个: 可以以它为依据,评估整个Pod的健康状态 可以在根容器上设置Ip地址,其它容器都此Ip(Pod IP),以实现Pod内部的网路通信。这里是Pod内部的通讯,Pod的之间的通讯采用虚拟二层网络技术来实现,我们当前环境用的是
阿里云深入浅出Kubernetes项目实战手册-超详细127页1
08-03
简介:阿里云K8S集群网络目前有两种方案,一种是flannel方案,另外一种是Terway 和 flannel 类似,不同的地方在于,terway 支持 Pod
kubernetes Pod 异常排查步骤
最新发布
01-23
kubernetes Pod 异常排查步骤
部署Kubernetes Pod?教你五招!
01-07
Kubernetes中,pod是基本部署单位。它可以包含一个或多个作为逻辑实体打包和部署的容器。在Kubernetes中运行的云原生应用程序可能包含多个一一映射到每个微服务的podpod也是Kubernetes的扩展单位。 下面是在...
Kubernetes pod 生命周期1
08-04
检测探针 - 存活检测name: readiness-httpget-pod- name: readiness-httpget-containerimage:
深入浅出学K8s.zip
08-17
开篇 | 如何深入掌握 Kubernetes? 云原生基石:初识 Kubernetes 01 | 前世今生:Kubernetes 是如何火起来的? 02 | 高屋建瓴:Kubernetes 的架构为什么是这样的? 03 | 集群搭建:手把手教你玩转 Kubernetes 集群...
【阿里云】深入浅出Kubernetes项目实战手册(超详细127页).pdf
06-03
为大家提供阿里云《深入浅出Kubernetes项目实战手册》下载,帮助你一次搞懂 6 个核心原理,吃透基础理论,一次学会 6 个典型问题的华丽操作!
KubernetesPod实现原理
JavaEdge全是干货的技术号
10-06 1110
仍很多人把容器跟虚拟机相比,把容器当做性能更好的VM,讨论如何把应用从VM无缝迁移到容器。但无论是从实现原理还是使用方法、特性、功能等方面,容器与VM几乎无任何相似。也不存在一种普遍的方法,能够把虚拟机里的应用无缝迁移到容器中。因为,容器的性能优势,必伴随缺陷,即它不能像VM,完全模拟本地物理机环境中的部署方法。所以,“上云”最终还是要深入理解容器本质,即进程。一个运行在VM里的应用,都被管理在systemd或supervisord下的一组进程,而非一个进程。这跟本地物理机上应用的运行方式一样。
Kubernetes二次开发与源码分析(scheduler)
lcynone的博客
01-16 549
主要对调度器的整体工作原理进行说明,一个 Pod 是如何进入调度器,如何开启调度,又是如何调度完成,绑定到节点上去的。
Kubernetes入门(三)pod的管理机制
weixin_41399470的博客
11-02 272
pod的托管机制 1.ReplicationController 组成: ①label selector(标签选择器,用于确定ReplicationController作用域中的pod) ②replica count(副本个数,指定运行pod的期望数量) ③pod template(pod模板) 将pod移出ReplicationController的作用域:修改pod标签label kubectl label pod <pod name> <label=xxx> --overwri
Pod实现资源互通
qq_41296573的博客
05-07 360
Pod概念 Pod是一个逻辑抽象概念,kubernetes创建和管理的最小单元,一个pod由一个容器或多个容器组成。 Pod特点: 一个Pod可以理解成跑了一个应用,来提供服务的。 Pod容器始终部署在一个Node节点上。 Pod容器共享网络、存储资源。 Pod的应用场景: 运行单个容器:一个pod运行一个容器。 运行多个容器:属于边车模式(Sidecar),通过在Pod中定义专门的容器,来执行主容器所需要的辅助工作,这样可以将辅助功能和主容器解耦,实现独立发布和能力重用。 日志收集 应用监控
Kubernetes网络技术解析之Pod基于路由模式的通信实现
Docker的专栏
06-30 597
前言Kubernetes集群内,Pod之间可以通信,是Kubernetes网络实现的重要场景之一。Kubernetes通过CNI提供统一的接口和协议,使得我们在使用中可以根据需求自行选择不...
pod实现原理
zhaoyangjian724的专栏
05-05 323
5-2 pod实现原理 pod是kuberets的最小调度单位 两个pod可以访问到同一个文件目录 如何使用pod? 1.一个pod只运行一个容器, 2.一个Pod里有多个协同的容器 [root@master Chapter5]# kubectl create -f hello-job.yaml job.batch/hello created [root@master Chapter5]# kubectl get pod NAME READY STATUS ...
从零开始入门 K8s| 详解 Pod容器设计模式
weixin_30362801的博客
09-19 369
作者|张磊 阿里云容器平台高级技术专家,CNCF 官方大使 一、为什么需要 Pod 容器的基本概念 我们知道 PodKubernetes 项目里面一个非常重要的概念,也是非常重要的一个原子调度单位,但是为什么我们会需要这样一个概念呢?在使用容器 Docker 的时候,也没有这个说法。其实,如果想要理解 Pod,首先要理解容器,所以来回顾一下容器的概念: 容器的本质实际上是一个进程,...
k8s系列之二:k8s总体架构
qq_32476265的博客
11-01 743
k8s简述 k8s是Kubernetes的简称,Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署,规划,更新,维护的一种机制。 Kubernetes一个核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着(比如用户想让apache一直运行,用户不需要关心怎么去做,Kubernetes会自动去监控,然后去重启,新建,总之,让apache一直提供服务),管理员可以加载
kubernetes pod 网络不通
11-01
Kubernetes Pod 网络不通可能有多种原因。 首先,可能是 Pod 所属的 Node 网络故障。这可能是由于 Node 上的网络问题,例如网卡故障、网络配置错误或网络连接中断导致的。解决这个问题的方法可以是检查 Node 上的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值