Kubernetes详解——概念与命令
一、简介
Kubernetes是Google公司于2014年基于内部集群管理系统Borg开源的容器集群管理项目。该项目基于Go语言实现。它的前身Borg在Google内部已经应用十几年,积累了大量来自生产环境的宝贵实践经验。官网:https://kubernetes.io,维护:https://github.com/kubernetes/kubernetes
1、优势:
(1)优秀的API设计,以及简洁高效的架构设计,主要组件个数很少,彼此之间通过接口调用
(2)基于微服务模式的多层资源抽象模型,兼顾灵活性与兼容性,Pod模型被许多平台借鉴
(3)可拓展性好,模块容易替换,伸缩性极佳,1.2.0版本但集群支持1000个节点,同时运行30000个Pods
(4)自动化程度高,真正实现所得及所需,用户通过模板声明服务后,生命周期是自动化管理
(5)部署支持多种环境,包括虚拟机、裸机,还很好的支持常见云平台,包括AWS、GCE等
(6)支持丰富的运维工具,方便用户对集群进行性能测试,问题检查和状态监控
(7)自带控制台,客户端命令等工具,允许用户通过多种方式与Kebernetes集群进行交互
二、核心概念
首先是集群组件,从架构上看,kubernetes集群(cluster)采用了典型的主从架构。一个集群主要由管理组件(master)和工作节点(node)组件组成。
另外,kubernetes集群的主要任务始终围绕着应用的生命周期。通过将不同资源进行不同层次的抽象,kubernetes提供了灵活可靠的生命周期管理。
1、资源的核心抽象主要包括:
(1)容器组(Pod):由位于同一几点上若干容器组成,彼此共享网络命名空间和存储卷。Pod是Kubernetes中进行管理的最小资源单位,是最基础的概念。跟容器类似,Pod是短暂的,随时可变的
(2)服务(Service):若干(往往是同类型的)Pod形成的对外提供某个功能的抽象,不随Pod改变而变化,带有唯一固定的访问路径,如IP地址或域名
(3)复制控制器(Replication Controller):负责启动Pod,并维护其健康运行的状态。是用户管理Pod的句柄
(4)部署(Deployment):创建Pod,并根据参数自动创建管理Pod的复制控制器,并支持升级
(5)横向Pod扩展器(Horizontal Pod Autoscaler,HPA):类似云里面的自动扩展组,根据Pod的使用率(典型如CPU)自动调整一个部署里面Pod的个数,保障服务可用性
2、辅助概念:
(1)注解(Annotation):键值对,可以存放大量任意数据,一般用来添加对资源对象的详细说明
(2)标签(Label):键值对,可以标记到资源对象上,用来对资源进行分类和筛选
(3)名字(Name):用户提供给资源的别名,同类资源不能重名
(4)命名空间(Namespace):指资源的空间,避免不同租户的资源发生命名冲突,另外可以进行资源限额
(5)持久卷(PersistentVolume):类似于Docker中数据卷的概念,就是一个数据目录,Pod对其有访问权限
(6)秘密数据(Secret):存放敏感数据,例如用户认证口令等
(7)选择器(Selector):基于标签概念的一个正则表达式,可通过标签来筛选出一组资源
(8)Daemon集(DaemonSet):确保环节上肯定运行某个Pod,一般用来采集日志和监控节点
(9)任务(Job):确保给定数目的Pod正常推出(完成了任务)
(10)入口资源(Ingress Resource):用来提供七层代理服务
(11)资源限额(Resource Quotas):用来限制某个命名空间下对资源的使用
(12)安全上下文(Security Context):应用到容器上的系统安全配置,包括uid、gid、capabilities、SELinux角色等
(13)服务账号(Service Accounts):操作资源的用户账号
三、集群组件
1、Master组件
提供所有与管理相关的操作,例如调度、监控、支持对资源的操作等
Master会通过Node Controller来定期检查所管理的Node资源的健康状况,完成Node的声明周期管理
2、Node组件
实际工作的计算实例。可以是虚拟机或物理机,在创建Kubernetes集群过程中,都要预装一些必要的软件来相应Master的管理。
Node节点有几个重要的属性:
(1)地址信息
①主机名(HostName):节点所在系统的主机别名,基本不会用到
②外部地址(ExternalIP):集群外部客户端可以通过该地址访问到节点
③内部地址(InternalIP):集群内可访问的地址
(2)阶段状态
①待定(Pending):创建新节点,还未就绪状态,需要进一步配置
②运行中(Running):正常运行中的节点,可被分配Pod,会定期汇报运行状态消息
③终止(Terminated):节点已经停止,处于不可用窗台,判断条件为5分钟内未收到运行状态信息
(3)资源容量:常见操作系统资源,如CPU、内存、最多存放的Pod个数等
(4)节点信息:包括操作系统内核信息、Kubernetes版本信息、Docker版本信息等,会由kubelet定期汇报
四、资源抽象
Kubernetes对集群中的资源进行了不同级别的抽象,每个资源都是一个REST对象,通过API进行操作,通过JSON/UAML格式的模板文件进行定义。在使用Kubernetes的过程中,要注意积累这些模板文件。在Kubernetes代码包的example目录下自带了十分详实的实例模板文件。
1、容器组(Pod)
Kubernetes中,并不直接操作容器,最小的管理单位是Pod。它由一个或多个容器组成,Kubernetes围绕容器组进行创建、调度、停止等生命周期管理
同一个容器组,各个容器共享命名空间(包括网络、IPC、文件系统等)、cgroups限制和存储卷。可以简单将一个Pod当做是一个抽象的虚拟机,里面运行若干个不同的进程
现实上,是先创建一个google_containers/pause容器,创建相关命名空间,然后创建Pod中的其他容器,共享pause容器的命名空间
容器组的经典应用场景:
(1)内容管理、文件和数据加载,缓存管理等
(2)日志处理,状态快照等
(3)监控代理,消息发布
(4)代理机制,网桥、网卡
(5)控制器,管理器,配置以及更新
容器组声明周期:
待定:Pending,已经被系统接收,但容器镜像还未就绪
运行:Running,分配到节点,所有容器都被创建,至少一个容器在运行中
成功:Succeeded,所有容器都正常退出,任务完成
失败:Failed,所有容器都退出,至少一个容器非正常退出
未知:Unknown,未知状态,例如所在节点无法汇报状态
2、服务(Service)
kubernetes主要面向的对象是持续运行,且无状态的,服务的提出主要是解决pod地址可变的问题。可以用一个服务来代表提供某一类功能的一些pod,并分配不随pod位置变化而改变的虚拟访问地址ClusterIP。
现实上通过kube-proxy进行,将到某个service的访问代理或者均衡到具体的pod上,同时会为每一个服务创建环境变量,指向集群地址。
五、辅助概念
1、标签(Label)
用来标记所绑定的对象(如Pod)的识别属性,进而可以分类。
2、注解(Annotation)
用于给对象增加更加丰富的描述信息,常见的如时间戳、发行信息、开发者信息等
3、选择器(Selecter)
通过指定标签键值来过路特定资源对象
4、持久卷(PersistentVolume)
即容器挂载的数据卷,常见类型有:
emptyDir:当pod创建的时候,在节点上创建一个空的挂载目录,挂载到容器内,Pod退出后,数据会被自动删除
hostPath:将节点上某已经存在的目录挂载到Pod中,Pod退出后,数据会堡垒
gcePersistentDisk:使用GCE的EBS Volume服务
awsElasticBlockStore:使用AWS的EBS Volume服务
nfs:使用nfs协议的网络存储
gitRepo:挂载空目录到pod,然后clone指定的git仓库代码到里面,适用于直接从仓库中给定版本的代码来部署应用
secret:用来传递明爱信息,基于内存的tmpfs,挂载临时的秘密文件
5、秘密数据(Secrt)
用来保存一些敏感数据,pod使用该数据时直接调用secret的别名即可
6、UID和Name
kubernetes用UID和Name来标识对象。UID是全局唯一,并且不能复用;Name在同一个命名空间内是唯一的,且当资源移除后,其名字可以被新资源复用
7、命名空间(Namespace)
用来隔离不同用户的资源,同一个命名空间内资源不能重名。kubernetes集群启动后会保留两个特殊命名空间:
default:资源未指定命名空间的情况下,默认属于该空间
kube-system:由kubernetes系统自身创建的资源
另外,大部分资源都属于某个命名空间,但部分特殊资源如节点、持久存储等不属于任何命名空间
六、重要组件
1、Master节点
(1)Etcd:最为数据库,存放所有集群相关数据
(2)kube-apiserver:kubernetes系统的对外接口,提供RESTful API供客户端和其他组件调用,支持水平扩展
(3)kube-scheduler:负责对资源进行调度,具体负责分配某个请求的Pod到某个节点上
(4)kube-controller-manager:对不同资源的管理器,包括节点管理器、复制管理器、服务管理器、权限管理器等
(5)kube-ui:自带的一套用来查看集群状态的web界面
(6)DNS:记录启动的容器组和服务地址
2、Node节点
(1)kubelet:节点上最主要的工作代理,汇报节点状态并实现容器组的声明周期管理
(2)kube-proxy:代理对抽象的应用地址的访问,负责配置正确的转发规则
(3)容器引擎:支持Docker、rkt
(4)辅助组件:supervisord用来保持kubelet和docker进程运行,fluentd用来转发日志等
七、kubectl命令详解
1、命令格式:kubectl [global-flags] [subcommand] [RESOURCE_TYPE] [NAME] [subcommand-flages]
(1)subcommand:要执行的动作,如get、describe、create、delete等
(2)NAME:某个资源类型下面的若干对象名称
(3)RESOUCE_TYPE:要操作的资源类型
①cs|componentstatuses:组件状态
②ds|daemonsets:daemon集
③deployments:部署
④events|ev:事件
⑤endpoints|ep:服务端点
⑥horizontalpodautoscalers|hpa:pod自动扩展器
⑦ingresses|ing:7层服务访问入口
⑧jobs:任务,确保成功完成的pod达到某个数目
⑨limitranges|limits:限制的范围
⑩nodes|no:node节点
⑪namespaces|ns:命名空间
⑫pods|po:pod资源
⑬persistentvolumes|pv:持久化存储卷
⑭persistentvolumeclaims|pvc:持久化存储卷申明
⑮replicationcontroller|rc:复制控制器
⑯resourcequotas|quota:资源的配额
⑰secrets:秘密数据
⑱serviceaccounts:服务的账户
⑲services|svc:服务
2、全局参数
这些参数主要是配置命令执行的环境信息,可以在执行具体子命令时使用
(1)日志相关
--alsologtostderr=false:日志信息同时输出到表春做出输出和文件
--log-backtrace-at=:0:每输出若干航日志就打印一条backtrace信息用来追踪调用栈
--log-dir=:存储日志文件到指定目录
--log-flush-frequency=5s:执行日志消息刷新的间隔
--logtostderr=true:日志信息输出到标准错误输出,不输出到文件
--stderrthreshold=2:超过等级的日志信息输出到标准错误输出
--v=0:日志输出等级
--vmodule=:对日志进行过滤时的模式设置
(2)认证相关
--certificate-autority=””:CA认证的cert文件路径
--client-certificate=””:TLS认证时需要的客户端证书文件
--client-key=“”:TLS认证时需要的哭护短秘钥文件
--insecure-skip-tls-verify=false:不检查服务端的TLS认证信息
--password=“”:API服务端采用基本认证时的密码
--username=“”:API服务端基本认证时的用户
--token=“”:API服务端的token认证信息
(3)其他配置
--api-version=“”:指定API版本
--cluster=“”:配置集群名称
--context=“”:当前操作的集群名称
--kubeconfig=“”:kubeconfig文件路径
--match-server-version=false:要求服务端版本跟本客户端版本一致
--namespace=“”:请求的命名空间
-s,--server=“”:kubernetes API服务端的地址和端口
--user=“”:kubeconfig user使用的用户名
--validate=false:发送请求前是否先在客户端进行效验
3、子命令
(1)get:显示给定资源的信息
格式:kubectl get
--all-namespaces:是否列出所有命名空间中的资源
-L,--label-columns=[]:通过标签来过滤显示的资源
-o,--output=“”:输出信息的格式,包括json|yaml|template|templatefile|wide
-l,--selector=“”:通过selector来过滤输出
-t,--template=“”:模板字符串或golang模板文件路径
-w,--watch=false:持续监测输出对象的变化
(2)describe:显示给定资源的详细信息
-l,--selector=“”:通过selector来过滤输出,如-l name=mysql
(3)create:创建一个资源
-f,--filename=[]:模板文件路径或URL
(4)replace|update:替代/跟新一个资源
-f:模板文件路径
--grace-period=-1:资源平缓终止的等待时间
--force=false:删除并重建指定资源
(5)patch:更新一个资源的域信息,即给资源打补丁
-p,--patch=“”:补丁内容,如
kubectl patch node node1 -p ‘{“spec”:{“unschedulable”:true}}’
(6)delete:删除一个资源
--all=false:选取所有指定资源
-f:资源模板文件路径或URL
--grace-period=-1:资源平缓终止的等待时间
--ignore-not-found=false:忽略没找到资源情况下的报警信息
-l:通过selector过滤资源
--timeout=0:等待超时,0表示从删除对象大小来计算超时时间
(7)edit:调用本地编辑器,直接编辑API资源
-f:模板文件路径
-o:输出资源格式,json|yaml
--output-version=“”:输出指定版本的API
--record[=false]:记录kubectl命令到资源的注解中
--save-config[=false]:保存配置信息到资源注解中
--windows-line-endings[=false]:使用windows格式的换行符
(8)apply:应用配置到给定资源,有则更新无则创建
-f:模板文件路径
-o:输出模式
-record:记录kubectl命令到资源的注解中
--schema-cache-dir=“~/.kube/schema”:API的scheme文件路径
--validate[=true]:执行命令前是否使用scheme对输入进行效验
(9)logs:打印某个pod中容器的logs信息
-c,--container=””:容器名
-f,--follow=false:是否持续跟踪
--interactive=true:是否支持交互
-p,--previous=false:输出此前(已停止)容器实例信息
(10)exec:在给定pod中执行命令,类似docker的exec命令
-c:指定容器名
-p:pod名称
-i:将标准输入接通到容器
-t:标准输入是tty类型
(11)port-forward:映射本地端口到pod
格式:kubectl port-forward POD [local_port:]remote_port ……
-p:pod名称
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
