图解kubernetes命令执行核心实现

最新推荐文章于 2024-09-24 00:15:09 发布
最新推荐文章于 2024-09-24 00:15:09 发布
阅读量1.3k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42952272/article/details/105385136
版权
本文深入探讨了Kubernetes(k8s)中命令执行的核心实现,涉及apiserver、kubelet、CRI及Docker组件。重点讲解了协议切换、流拷贝、连接重定向和Stream的使用。通过http的Upgrade和101状态码实现协议转换,利用SPDY协议进行数据传输。kubectl命令执行分为Pod合法性检测和命令执行两步,apiserver作为代理转发请求至kubelet,kubelet借助CRI.RuntimeService执行命令。整个过程涉及TCP流对拷、协议提升、Hijacker接口和Stream建立,体现了k8s的复杂网络通信机制。
摘要由CSDN通过智能技术生成

K8s中的命令执行由apiserver、kubelet、cri、docker等组件共同完成, 其中最复杂的就是协议切换以及各种流拷贝相关,让我们一起来看下关键实现,虽然代码比较多,但是不会开发应该也能看懂,祝你好运

1. 基础概念

K8s中的命令执行中有很多协议相关的处理, 我们先一起看下这些协议处理相关的基础概念

1.1 Http协议中的Connection与Upgrade

image.png

HTTP/1.1中允许在同一个链接上通过Header头中的Connection配合Upgrade来实现协议的转换,简单来说就是允许在通过HTTP建立的链接之上使用其他的协议来进行通信,这也是k8s中命令中实现协议升级的关键

1.2 Http协议中的101状态码

image.png

在HTTP协议中除了我们常见的HTTP1.1,还支持websocket/spdy等协议,那服务端和客户端如何在http之上完成不同协议的切换呢,首先第一个要素就是这里的101(Switching Protocal)状态码, 即服务端告知客户端我们切换到Uprage定义的协议上来进行通信(复用当前链接)

1.3 SPDY协议中的stream

image.png

SPDY协议是google开发的TCP会话层协议, SPDY协议中将Http的Request/Response称为Stream,并支持TCP的链接复用,同时多个stream之间通过Stream-id来进行标记,简单来说就是支持在单个链接同时进行多个请求响应的处理,并且互不影响,k8s中的命令执行主要也就是通过stream来进行消息传递的

1.4 文件描述符重定向

image.png

在Linux中进程执行通常都会包含三个FD:标准输入、标准输出、标准错误, k8s中的命令执行会将对应的FD进行重定向,从而获取容器的命令的输出,重定向到哪呢?当然是我们上面提到过的stream了(因为对docker并不熟悉,所以这个地方并不保证Docker部分的准确性)

1.5 http中的Hijacker

image.png

在client与server之间通过101状态码、connection、upragde等完成基于当前链接的转换之后, 当前链接上传输的数据就不在是之前的http1.1协议了,此时就要将对应的http链接转成对应的协议进行转换,在k8s命令执行的过程中,会获取将对应的request和response,都通过http的Hijacker接口获取底层的tcp链接,从而继续完成请求的转发

1.6 基于tcp的流对拷的转发

在通过Hijacker获取到两个底层的tcp的readerwriter之后,就可以直接通过io.copy在两个流上完成对应数据的拷贝,这样就不需要在apiserver这个地方进行协议的转换,而是直接通过tcp的流对拷就可以实现请求和结果的转发

基础大概就介绍这些,接下来我们一起去看看其底层的具体实现,我们从kubectl部分开始来逐层分析

2.kubectl

Kubectl执行命令主要分为两部分Pod合法性检测和命令执行, Pod合法性检测主要是获取对应Pod的状态,检测是否在运行, 这里我们重点关注下命令执行部分

2.1 命令执行核心流程

image.png

命令执行的核心分为两个步骤:1.通过SPDY协议建立链接 2)构建Stream建立链接

func (*DefaultRemoteExecutor) Execute(method string, url *url.URL, config *restclient.Config, stdin io.Reader, stdout, stderr io.Writer, tty bool, terminalSizeQueue remotecommand.TerminalSizeQueue) error {
    exec, err := remotecommand.NewSPDYExecutor(config, method, url)
    if err != nil {
        return err
    }
    return exec.Stream(remotecommand.StreamOptions{
        Stdin:             stdin,
        Stdout:            stdout,
        Stderr:            stderr,
        Tty:               tty,
        TerminalSizeQueue: terminalSizeQueue,
    })
}

2.2 exec请求构建

我们可以看到这个地方拼接的Url /pods/{namespace}/{podName}/exec其实就是对应apiserver上面pod的subresource接口,然后我们就可以去看apiserver端的请求处理了

    // 创建一个exec
        req := restClient.Post().
            Resource("pods").
            Name(pod.Name).
            Namespace(pod.Namespace).
            SubResource("exec")
        req.VersionedParams(&corev1.PodExecOptions{
            Container: containerName,
            Command:   p.Command,
            Stdin:     p.Stdin,
            Stdout:    p.Out != nil,
            Stderr:    p.ErrOut != nil,
            TTY:       t.Raw,
        }, scheme.ParameterCodec)
return p.Executor.Execute("POST", req.URL(), p.Config, p.In, p.Out, p.ErrOut, t.Raw, sizeQueue)

2.3 建立Stream

image.png

在exec.Stream主要是通过Headers传递要建立的Stream的类型,与server端进行协商

    // set up stdin stream
    if p.Stdin != nil {
        headers.Set(v1.StreamType, v1.StreamTypeStdin)
        p.remoteStdin, err = conn.CreateStream(headers)
        if err != nil {
            return err
        }
    }

    // set up stdout stream
    if p.Stdout != nil {
        headers.Set(v1.StreamType, v1.StreamTypeStdout)
        p.remoteStdout, err = conn.CreateStream(headers)
        if err != nil {
            return err
        }
    }

    // set up stderr stream
    if p.Stderr != nil && !p.Tty {
        headers.Set(v1.StreamType, v1.StreamTypeStderr)
        p.remoteStderr, err = conn.CreateStream(headers)
        if err != nil {
            return err
        }
    }

3.APIServer

APIServer在命令执行的过程中扮演了代理的角色,其负责将Kubectl和kubelet之间的请求来进行转发,注意这个转发主要是基于tcp的流对拷完成的,因为kubectl和kubelet之间的通信,实际上是spdy协议,让我们一起看下关键实现吧

3.1 Connection

image.png

Exec的SPDY请求会首先发送到Connect接口, Connection接口负责跟后端的kubelet进行链接的建立,并且进行响应结果的返回,在Connection接口中,首先会通过Pod获取到对应的Node信息,并且构建Location即后端的Kubelet的链接地址和transport

func (r *ExecREST) Connect(ctx context.Context, name string, opts runtime.Object, responder rest.Responder) (http.Handler, error) {
    execOpts, ok := opts.(*api.PodExecOptions)
    if !ok {
        return nil, fmt.Errorf("invalid options object: %#v", opts)
    }
    // 返回对应的地址,以及建立链接
    location, transport, err := pod.ExecLocation(r.Store, r.KubeletConn, ctx, name, execOpts)
    if err != nil {
        return nil, err
    }
    return newThrottledUpgradeAwareProxyHandler(location, transport, false, true, true, responder), nil
}

3.2 获取后端服务地址

在获取地址主要是构建后端的location信息,这里会通过kubelet上报来的信息获取到对应的node的host和Port信息,并且拼装出pod的最终指向路径即这里的Path字段/exec/{namespace}/{podName}/{containerName}
最低0.47元/天 解锁文章
8小时
关注
一篇文章为你图解kubernetes网络通信原理
Fire_For_Code
09-08 970
【本文专栏于[头条号]、[知乎]同步发布,可关注同名账号订阅相关文章,每周固定更新】 【全文6430字,阅读约需15分钟,其中涉及概念较多,建议先收藏再看。】 写在前面 在之前的文章中,我们已经对kubernetes有了一个全方位的了解。(详见我的头条号文章《一篇...
docker知识总结
大龙的编程学习笔记
05-17 893
目录常用操作volume:数据共享参考资料其他 常用操作 1.docker ps -a 列出所有容器 2.docker ps -l 列出正在运行的容器 3.docker inspect node(容器名) 列出该容器的配置信息 4.docker run --name=container01 -i -t ubuntu /bin/bash 创建一个容器名为container01,环境为ubuntu的容器,并运行该容器 5.docker rm CONTAINER_ID(容器ID,通过docker pa -a可以查
docker 数据卷
weixin_60551759的博客
01-09 1138
目录 一、数据卷管理 1.1、bind mount方式 1.2、docker managed volume方式 1.3、方式异同点对比 二、convoy卷插件 2.1、卷插件简介 一、数据卷管理 为什么要用数据卷 docker分层文件系统 性能差 生命周期与容器相同 docker数据卷 mount到主机中,绕开文件分层系统 和主机磁盘性能相同,容器删除后依然保留 仅限本地磁盘,不能随容器迁移 docker提供了两种卷: bind mount docker managed
6,命令执行+代码执行+文件包含
最新发布
m0_64040060的博客
09-24 302
①(),assert(),preg_replace(),create_function(),array_map(),call_user_func()…用户的输入作为 系统命令 的参数拼接到命令行中,应用在调用这些函数执行系统命令的时候,又没有过滤用户的 输入的情况下, 就会造成命令执行漏洞。system() passthru() exec() shell_exec() popen() proc_open() `(反引号) ob_start()11.4.2 禁用或减少使用执行代码的函数。
Django实现WebSSH操作Kubernetes Pod
山有山的高度,海有海的胸怀。
10-21 868
优秀的系统都是根据反馈逐渐完善出来的 上篇文章介绍了我们为了应对安全和多分支频繁测试的问题而开发了一套Alodi系统,Alodi可以通过一个按钮快速构建一套测试环境,生成一个临时访问地址,详细信息可以看这一篇文章:Alodi:为了保密我开发了一个系统 系统上线后,SSH登陆控制台成了一个迫切的需求,Kubernetes的Dashboard控制台虽然有WebSSH的功能,但却没办法跟Al...
docker push 或pull镜像时报错,拒接链接
大白机器人的博客
10-11 4380
$sudo vim /etc/default/docker 查看是不是镜像私有仓库的地址和端口号是否正确. 19 # This is also a handy place to tweak where Docker's temporary files go. 20 #export DOCKER_TMPDIR="/mnt/bigdrive/docker-tmp" 21 DOCKER_OPTS
如何为本地docker中的ssh服务注册frp内网穿透功能(即:假如报错ssh_exchange_identification: Connection closed by remote host)
ckw1988的专栏
08-06 976
如何为本地docker中的ssh服务注册内网穿透功能
图解Kubernetes的Pod核心资源-来白嫖啊
「 虚幻私塾」
09-05 815
如下图,在K8S中资源调度的基本单位是PodPod其实是一个抽象的概念,Pod里是我们的业务容器(docker/containerd)。像大家听过的Deployment、StatefulSet、CronJob等资源调度对象所调度的资源都是Pod。为了更好的理解Pod的概念,大家可以将Pod理解成VM 虚拟机,将Pod中的容器理解成VM中的进程。既然这样理解,就意味着Pod中的容器进程可以直接通过localhost+端口号实现网络互通,也意味着Pod中的容器可以实现类似直接读取彼此产出到磁盘上的文件的效果。
图解kubernetes容器探活机制核心实现
8小时_公共号:图解源码
02-11 2574
在k8s中通过kubelet拉起一个容器之后,用户可以指定探活的方式用于实现容器的健康性检查,目前支持TCP、Http和命令三种方式,今天介绍其整个探活模块的实现, 了解其周期性探测、计数器、延迟等设计的具体实现 1. 探活的整体设计 1.1 线程模型 探活的线程模型设计相对简单一些,其通过worker来进行底层探活任务的执行,并通过Manager来负责worker的管理, 同时缓存探活的结果 1...
Docker push 失败解决办法
满天点点星辰的博客
05-14 3142
Get https://192.168.1.100:5000/v1/_ping: http: server gave HTTP response to HTTPS client
使用webshell链接kubernetes pods
u012803274的博客
11-15 2033
websocket链接kubernetes pods前言分析实践注意总结后记 前言 这个周一fetch到一个任务,前端需要使用webshell的方式,链接到正在使用中的kubernetes pods,实现这样的效果 kubectl exec -it podName -c containerName -n namespaceName [bash,sh] 分析 ok,任务来了,怎么实现尼?然后就在Google了一下websocket kubernetes pods关键字,原来kubernetes早就想到可能会
k8s web terminal的实现
热门推荐
yevvzi的博客
10-13 1万+
使用beego+sockjs写的实例:https://github.com/du2016/web-terminal-in-go web terminal可以让我们更方便的访问container,执行shell命令,提高工作效率 k8s本身实际上已经封装了docker的terminal api只需要很简单的操作就可以实现一个terminal,获取输入返回输出 req := restc...
(项目实战)如何结合k8s和pipeline的流水线,并通过k8s接口完成镜像升级?
2401_84003554的博客
05-22 1025
总而言之,面试官问来问去,问的那些Redis知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习总而言之,面试官问来问去,问的那些Redis知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习还有更多学习笔记面试资料也分享如下:[外链图片转存中…(img-f7L16CNc-1716382660583)]
docker push镜像报connection refused
zhaohuaxicaishi的专栏
02-11 5466
确定为registry没有启动 docker ps -a registry 应为Up 现在为Exited (下图为已恢复正常状态,之前异常状态未截图但registry确为Exited) 需执行下述操作 1.拉registry镜像docker pull registry 2.运行registry容器 docker run -d -p 5000:5000 -v /opt/data...
Python 运维笔记 -- kubernetes web terminal
wushirenfei的博客
10-24 5742
前言 承接上一篇docker container web terminal,实现Kubernetes的Pod中运行容器terminal连接。所不同的是后端使用的是python kubernetes的package。完整的工程地址请参见:web_terminal_kubernetesKubernetes Client Python kubernetes package直接可以pip安装: $ ...
kubernetes pod exec接口调用
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
06-25 6536
一般生产环境上由于网络安全策略,大多数端口是不能为集群外部访问的。多个集群之间一般都是通过k8s的ApiServer组件提供的接口通信,如https://192.168.1.101:6443。所以在做云平台时,集群管理平台(雅称:观云台)需要操作其他集群的资源对象时,必然也得通过ApiServer。kubernetes pod exec接口调用
47个Docker常见故障的原因和解决方式
wuds_158的博客
09-22 4974
本文针对Docker容器部署、维护过程中,产生的问题和故障,做出有针对性的说明和解决方案,希望可以帮助到大家去快速定位和解决类似问题故障。
【Docker】各类常见故障 问题原因及解决方式
FixPng的博客
09-26 2656
以下是整理的docker容器类问题故障,分为9个类。一、启动类故障,二、权限问题报错,三、镜像和仓库问题报错,四、资源问题报错,五、版本不兼容报错,六、网络或端口问题报错,七、Docker安装报错,八、Docker删除报错,九、其他报错,Docker使用规范建议
docker-maven插件执行mvn docker:build -DpushImage出现Connection refused
xiao-啸
09-13 893
docker-maven插件出现"Exception caught: java.util.concurrent.ExecutionException: …Connection refused (Connection refused)"问题 显示链接被拒绝, 那是服务器那边没有开启端口 firewall-cmd --add-port=2375/tcp
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值