Kubernetes之pod生命周期

Pod 的生命周期

Pod 的生命周期从创建到销毁，可以分为多个阶段。每个阶段都会有不同的状态，Kubernetes 中有多个组件参与到这个生命周期中，确保 Pod 按照预期执行。以下是 Pod 生命周期的关键阶段和状态。

Pod 的状态

• Pending：Pod 已经被创建，但还没有成功调度到节点上。可能的原因是资源不足、调度器延迟或节点故障。
• Running：Pod 已成功调度到某个节点，所有容器都已启动，至少有一个容器正在运行。
• Succeeded：Pod 内的所有容器成功终止，并且不会再重启。
• Failed：Pod 内的至少一个容器意外终止，且不会再重启。
• Unknown：由于节点无法与 API Server 通信，Pod 的状态无法确定。

Pod 生命周期涉及的组件

Kubernetes 集群中的多个核心组件共同协作来管理 Pod 的生命周期。每个组件都承担着不同的责任，确保 Pod 的状态与用户期望的一致。

API Server

API Server 是 Kubernetes 控制平面的核心组件，负责接收用户的请求（例如通过 kubectl 提交的请求）并存储 Pod 的定义和状态。它提供了与集群其他组件（如 Scheduler、Controller Manager）的通信接口，确保所有操作都能被处理。

• API Server 接收到创建 Pod 的请求后，首先将 Pod 的信息存储在 etcd 中，标记为 Pending 状态。

Scheduler

Scheduler 是 Kubernetes 的调度器，负责将 Pending 状态的 Pod 分配到合适的工作节点上。调度器会根据 Pod 的资源需求、节点的可用资源、调度策略等多个因素，选择最优的节点。

• Scheduler 从 API Server 获取未绑定到任何节点的 Pod，将 Pod 分配到最合适的节点后，API Server 更新Pod 的状态。

kubelet

kubelet 是运行在每个工作节点上的代理，负责管理该节点上运行的 Pod。kubelet 从 API Server 获取被调度到本节点的 Pod 信息，并通过容器运行时（如 Docker、containerd）启动容器。

• kubelet 定期与 API Server 通信，报告 Pod 和节点的状态。 kubelet 监控 Pod
  的健康状态，确保容器按预期运行，并执行 Pod 的生命周期操作，如重启、停止等。

Container Runtime（容器运行时）

容器运行时（如 Docker、containerd）是实际执行容器的组件。kubelet 将 Pod 的定义传递给容器运行时，容器运行时负责拉取容器镜像、创建容器、启动和停止容器。

• 容器运行时拉取所需的镜像并启动容器后，kubelet 将容器的状态反馈给 API Server。

Controller Manager

Controller Manager 管理集群中所有控制器的执行。控制器负责将集群的实际状态与用户期望的状态保持一致。常见的控制器包括 ReplicaSet 控制器、Deployment 控制器等。

• 如果 Pod 被部署为 ReplicaSet 或 Deployment 的一部分，Controller Manager
  负责确保有正确数量的副本运行。如果 Pod 失败，控制器会创建新的 Pod 来替代它。

etcd

etcd 是 Kubernetes 的分布式键值存储，保存集群的所有配置数据、状态和元数据。API Server 将 Pod 的状态和定义存储在 etcd 中，供集群的其他组件读取和更新。

Pod 的创建过程

Pod 的创建过程是一个多步骤的流程，从用户发出创建请求到 Pod 被成功调度到节点并启动运行，涉及 Kubernetes 控制平面和工作节点上的多个组件。以下是 Pod 创建的详细步骤：

用户发起 Pod 创建请求

用户通常通过 kubectl apply、kubectl create 或者 Kubernetes API 来创建 Pod。

使用命令行创建 Pod：用户通过 kubectl apply -f pod.yaml 提交一个 YAML 文件来创建 Pod。

kubectl apply -f pod.yaml

通过 API 创建 Pod：也可以直接通过 Kubernetes 的 REST API 创建 Pod 请求。

POST /api/v1/namespaces/{namespace}/pods

API Server 接收请求

• 接收并验证请求：API Server 负责接收用户发出的创建请求。API Server 验证请求的合法性（例如是否有足够的权限，资源定义是否符合规范等）。
• 存储 Pod 定义：通过验证后，API Server 将 Pod 的定义存储到 etcd 数据库中。此时 Pod 的状态为 Pending，还没有被调度到具体的节点。
• 事件广播：API Server 广播创建 Pod 的事件，集群中的其他组件会通过 Kubernetes 控制平面的 API 监听这个事件，并做出相应的处理。

Scheduler 调度 Pod 到合适的节点

Scheduler 是 Kubernetes 的调度器，它会监听 Pending 状态的 Pod 并负责将它们调度到合适的工作节点上。

• 资源匹配：Scheduler 会检查集群中的所有可用节点，选择最合适的节点来运行 Pod。调度时，Scheduler 会考虑多个因素：

a. 节点是否有足够的 CPU、内存等资源。
b. Pod 是否有特定的调度要求，例如 nodeSelector、taints 和tolerations。
c. 网络策略、亲和性、反亲和性等调度规则。

• 更新调度结果：Scheduler 将 Pod 分配给一个节点，并将调度结果更新到 API Server，Pod 的状态依然是 Pending，但已经确定了运行的节点。
  3.4 kubelet 执行 Pod 的启动
  一旦 Pod 被调度到某个节点，节点上的 kubelet 负责实际启动 Pod 内的容器。
• 读取调度结果：kubelet 通过 API Server 获取该节点上需要运行的 Pod 列表。
• 调用容器运行时：kubelet 调用节点上的 容器运行时（例如 Docker、containerd），拉取 Pod 中容器所需的镜像，并根据 Pod 的定义启动容器。容器运行时负责处理以下任务：

a. 拉取镜像。
b. 创建容器并配置网络和存储卷。
c. 启动容器。

• 配置网络：kubelet 会通过 CNI（Container Network Interface）为每个容器配置网络，使得容器能够与其他 Pod 和服务进行通信。
• 健康检查：如果 Pod 配置了 Liveness 和 Readiness 探针，kubelet 会启动探针进行健康检查，确保容器按预期运行。
• 更新 Pod 状态：kubelet 将 Pod 的状态更新为 Running，并将状态同步到 API Server。

控制器的协同工作

如果 Pod 是通过 ReplicaSet、Deployment、DaemonSet 或 StatefulSet 创建的，Controller Manager 负责确保 Pod 的数量、版本等符合预期。它会监听 API Server 中 Pod 的状态变化，并在 Pod 不满足期望时做出调整，比如自动重启失败的 Pod 或创建新的 Pod

Pod 的销毁过程

当 Pod 不再需要运行时，可能是用户手动删除，或者 Deployment/ReplicaSet 控制器自动缩减副本，Kubernetes 会将 Pod 从集群中安全地移除。Pod 的销毁过程同样涉及多个组件的协同工作。

用户发起删除 Pod 请求

用户可以通过 kubectl delete pod 或者自动缩减副本的方式来删除 Pod。

命令行删除 Pod：

kubectl delete pod [pod-name]

通过 API 删除 Pod：

DELETE /api/v1/namespaces/{namespace}/pods/{pod-name}

Deployment/ReplicaSet 自动缩减：当 Deployment 的副本数减少时，控制器会自动删除多余的 Pod。

API Server 更新 Pod 状态为 Terminating

• 接收删除请求：API Server 接收用户的删除请求，并将 Pod 的状态更新为 Terminating。
• 事件广播：API Server 向集群中的其他组件广播 Pod 即将被删除的事件，kubelet 会开始停止 Pod 运行。

kubelet 负责停止容器

• 停止容器：kubelet 负责从节点中停止运行中的容器。它会通过容器运行时（例如 Docker、containerd）发出停止命令。默认情况下，kubelet 会给容器一定的时间（默认为 30 秒）来完成正在进行的任务并正常关闭。如果容器没有在规定时间内停止，kubelet 会强制终止容器。
• 释放资源：容器停止后，kubelet 会释放该 Pod 所占用的资源（如 CPU、内存、网络资源等），并断开与网络的连接。
• 删除卷和存储：kubelet 会卸载与 Pod 相关联的存储卷和其他持久化存储，确保资源得以释放。

更新 API Server 中的 Pod 状态

• 确认销毁成功：kubelet 确认 Pod 中的所有容器和资源都已成功停止后，向 API Server 报告 Pod 的销毁状态。
• 从 etcd 中移除 Pod 定义：API Server 最终将 Pod 的定义从 etcd 中删除，Pod 在集群中完全销毁
  

关于 Pod 的注意事项

在使用 Pod 的过程中，有一些常见的注意事项和最佳实践，能够帮助更好地管理 Pod 生命周期和避免常见问题。

短暂性与持久性

Pod 是短暂的：Pod 并不是长时间存在的资源，它的生命周期通常是有限的，尤其是当节点发生故障或 Pod 被删除时。Pod 不应该存储重要的持久数据，所有需要持久化的数据应该挂载在外部存储卷上（如 Persistent Volume）。

健康检查与重启策略

Liveness 和 Readiness 探针：Kubernetes 提供了 Liveness Probe 和 Readiness Probe 来检查 Pod 的健康状态。Liveness 用于判断何时重启容器，Readiness 用于判断容器是否准备好接收流量。
重启策略：Pod 的重启策略决定了当容器失败时，Kubernetes 应该如何处理。默认的 Always 策略会在容器失败时自动重启它，但也可以使用 OnFailure 或 Never。

资源管理

资源请求与限制：每个 Pod 应该明确设置 CPU 和内存的 requests 和 limits，以确保 Kubernetes 可以合理调度资源。如果没有正确设置资源请求，可能会导致 Pod 无法正常调度或占用过多资源。

网络与安全

网络策略：使用网络策略（Network Policy）来控制 Pod 之间的网络通信。通过网络策略可以限制 Pod 的流量，增强集群安全性。
Pod 安全性：启用 Pod 安全策略（Pod Security Policy）来限制 Pod 使用特权模式或访问主机网络等潜在风险行为。

Pod 故障案例与解决方案

Pod 一直处于 Pending 状态

问题描述：Pod 一直没有被调度到任何节点上，处于 Pending 状态。
可能原因：
资源不足：

• 集群中的节点没有足够的 CPU 或内存来调度这个 Pod。可以通过 kubectl describe pod [pod-name]
  查看调度器的错误信息。
• 调度策略不匹配：Pod 可能指定了特定的调度策略（如 nodeSelector、亲和性/反亲和性），导致无法找到匹配的节点。

解决方案：

• 检查集群节点的资源使用情况，增加节点或释放资源。
• 调整 Pod 的资源请求，确保它可以在节点上被调度。

Pod 处于 CrashLoopBackOff 状态

问题描述：Pod 不断崩溃和重启，状态为 CrashLoopBackOff。
可能原因：

• 应用程序错误：Pod 中运行的应用程序启动失败，可能由于配置错误、依赖未满足或应用逻辑问题。
• 资源耗尽：Pod 请求的资源超过了节点的可用资源，导致启动失败。

解决方案：

• 使用 kubectl logs [pod-name] 查看容器的日志，分析应用程序启动失败的原因。
• 使用 kubectl describe pod [pod-name] 查看资源限制是否正确，必要时增加资源分配。

Pod 无法访问其他 Pod 或服务

问题描述：Pod 内的应用程序无法与其他 Pod 或服务进行通信。
可能原因：
DNS 问题：Kubernetes 的 DNS 解析服务未正常工作，导致无法解析服务名。

• 网络策略限制：使用了网络策略（Network Policy），阻止了 Pod 之间的通信。
• 服务未暴露正确端口：服务未正确配置端口或类型，导致无法访问。

解决方案：

• 使用 kubectl exec -it [pod-name] – nslookup [service-name] 验证 DNS 解析。
• 检查网络策略，确保允许相关 Pod 之间的通信。
• 确认服务定义的端口和类型是否正确，特别是对于外部访问的服务，检查 NodePort 或 LoadBalancer 类型的配置。

结论：

通过理解 Kubernetes 中 Pod 的整个生命周期及其与各个组件的协作，可以更好地管理和优化应用程序的部署。与此同时，掌握 Pod 的常见故障排查方法，能够快速解决日常运维中的问题，并确保 Kubernetes 集群的稳定性和高效性。