Kubernetes的基础概念

目录

一、Kubernetes简介

1、K8S的特点

2、kubernetes的基本组件

二、K8S架构

1、Master主控节点组件

2、work-node组件

3、用户访问流程

4、项目对外访问流程

三、总结

---

一、Kubernetes简介

Kubernetes既资源管理器，目标是为了让部署容器化应用、管理容器集群资源更加简单高效。Kubernetes 是Google在2014年开源的一个容器集群管理系统，Kubernetes简称K8S。K8S用于容器化应用程序的部署，扩展和管理。K8S提供了容器编排，资源调度，弹性伸缩，部署管理，服务发现等一系列功能。K8S目标是让部署容器化应用简单高效。

1、K8S的特点

（1）轻量级：使用go语言编译型语言，语言级别支持进程管理，不需要人为控制，所以以go开发的资源消耗占用资源小（一些解释性语言：例如Python/Javascript / Perl /Shell，效率较低，占用内存资源较多）。

（2）开源。

（3）自我修复（控制器控制pod，保证pod可以维持所期望的副本数量3）：在节点故障时“重新启动”失败的容器，替换和重新部署，保证预期的副本数量；杀死健康检查失败的容器，并且在未准备好之前不会处理客户端请求,确保线上服务不中断。对异常状态的容器进行重启或重建（先删除、再创建），目的是保证业务线不中断。

（4）弹性伸缩：使用命令、UI或者基于CPU使用情况自动快速扩容和缩容应用程序实例，保证应用业务高峰并发时的高可用性；业务低峰时回收资源,以最小成本运行服务。（伸缩：扩容和缩容；弹性：人为只要指定规则，满足条件时，就会自动触发扩容或缩容的操作）。

（5）自动部署和回滚：K8S采用滚动更新策略更新应用(默认)，一次更新一个Pod，而不是同时删除所有Pod，如果更新过程中出现问题，将回滚更改，确保升级不会影响业务。

（6）服务发现和负载均衡：K8S为多个pod（容器）提供一个统一访问入口（内部IP地址和一个DNS名称），并且负载均衡关联的所有容器，使得用户无需考虑容器IP问题（kube-proxy3种模式：uesrspaces；iptables；ipvs）。

（7）机密和配置管理（secret：安全/认证加密性的数据）：管理机密数据和应用程序配置，而不需要把敏感数据暴露在镜像里，提高敏感数据安全性。并可以将一些常用的配置存储在K8S中，方便应用程序使用。

（8）存储编排（静态、动态）：挂载外部存储系统，无论是来自本地存储，公有云（如AWS），还是网络存储（如NFS、GlusterFS、Ceph）都作为集群资源的一部分使用，极大提高存储使用灵活性。

（9）批处理：提供一次性任务（job），定时任务（crontab）；满足批量数据处理和分析的场景。

2、kubernetes的基本组件

（1）Pod（最小的资源单位）

一个pod 会封装多个容器组成一个子节点的运行环境

最小部署单元一组容器的集合（基础容器+ 主应用容器+挂斗/副容器）

一个Pod中的容器共享网络命名空间（基础容器提供的pause）

Pod是短暂的 （叙述的是其生命周期）

pod内最少跑3个容器，分布是基础容器pause+运行容器+主应用

Pod的两个分类：

自主式Pod：这种Pod本身是不能自我修复的。当Pod被创建后（不论是由你直接创建还是被其它controller），都会被K8s调度到集群的Node上。直到pod的进程终止、被删掉。因为缺少资源而被驱逐、或者Node故障之前这个Pod都会一直保持在八个Node上。如果Pod运行的Node故障，或者是调度器本身故障，这个Pod就会被删除。同样的，如果Pod所在Node缺少资源或者Pod处于维护状态，Pod也会被驱逐。

控制器管理的Pod：K8s使用更高级的称为Controller的抽象层，来管理Pod实例。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和集群级别的自愈能力。例如。如果一个Node故障，Controller就能自动将该节点上的Pod调度到其他健康的Node上，虽然可以直接使用Pod，但是在K8s中通常是使用Controller来管理Pod的。

（2）资源清单

K8S中资源的概念： 在kubernetes中，所有控制器，组件等都称为资源

资源清单格式（资源清单/配置文件）：在k8s中，一般使用yaml格式的文件来创建符合我们预期期望的pod

创建资源的方法

apiserver 仅接受JSON格式的资源定义

yaml格式提供配置清单，apiserver 可自动将其转为JSON格式，而后再提交

Pod 生命周期：收到kubectl指令–>初始化容器（init container），生成文件(init可以有多个，但是不可以同时运行)–>创建容器成功–>start容器–>readnessProbe(就绪性特征)：就绪检测–> liveness Probe (存活性探针)：生存检测–>stop容器

InitC：是一个pod中先于应用容器启动的容器

init总是运行到成功完成为止，init结束后pod不会退出，多个init不能同时运行

mainC主容器启动后需要一些必要的文件和目录的访问权限，而最好不包含产生这些容器的工具（冗余和安全性），所以，initC包含了这些工具和访问权限，直接给mainC提供这些文件

保证容器都启动完成，不会让容器间的关联性，启动顺序导致pod一直重启

若pod重启，所有的init都要重新执行

readiness: pod创建成功，但是容器里的应用没有部署完成，但是对外显示running，实际上并不能访问，就绪检测完成后pod才对外显示running。

liveness：liveness监测到主容器不能正常工作时，启用重启策略

Pod phase容器探针

在Pod中担任linux命名空间共享的基础

启动Pid命名空间，开启init进程

Pod hook(钩子)：是由Kubernetes管理的kubelet发起的，当容器中的进程启动前或者容器中的进程终止之前运行，这是包含在容器的生命周期之中。可以同时为Pod中的所有容器都配置 hook

Hook的类型包括两种

exec:执行一段命令

HTTP：发送HTTP请求

（3）Pod控制器（维护Pod状态，期望值）

控制器：对不同的对象及其特性使用不同的方式控制管理

主要的控制器说明：

ReplicaSet(rc) 确保预期的Pod副本数量；无法独立存在，需要以来已deployment挥着statefulset

Deployment 无状态应用部署

StatefulSet 有状态应用部署；指的就是mysql

DaemonSet 确保所有Node运行同一种Pod；无须借助于replicaset

Job 一次性任务

Cronjob 定时任务

HPA 弹性伸缩

（4）服务发现(Service同一个访问入口）

通过service这个统一入口/定义的访问策略对外暴露服务K8S内部的Pod

通讯是以一组私有地址进行通讯的，所以默认情况下无法直接为客户端（服务、用户）提供访问

可以通过Service服务发现，把我们内部的pod资源暴露给客户端访问（以暴露一个ip:端口的方式），让客户端可以通过这个IP：端口的形式访问到K8S内部的多个pod（通常意义上是一个应用的副本集

（5）存储服务分类

无状态服务：

任何一个请求都可以被任意一个实例处理

不存储状态数据，实例可以水平拓展，通过负载均衡将请求分发到各个节点

在一个封闭的系统中，只存在一个数据闭环

通常存在于单体架构的集群中

比如：LVS 服务不依赖自身的状态，实例的状态数据可以维护在内存中

有状态服务：

一个请求只能被某个节点（或者同等状态下的节点）处理

存储状态数据，实例的拓展需要整个系统参与状态的迁移

在一个封闭的系统中，存在多个数据闭环，需要考虑这些闭环的数据一致性问题

通常存在于分布式架构中

例如数据库（需要持久化）服务本身依赖或者存在局部的状态数据，这些数据需要自身持久化或者可以通过其他节点恢复

（6）调度器（Scheduler）

K8S会自动完成把一个新的pod 调度到对应的节点（预选/优选算法）对于生产环境上，我们往往会需要将pod创建的过程（比如创建到的节点位置）进行管理

（7）Label 标签

附加到某个资源上，用于关联对象、查询和筛选

比如：label创建一个POD

编写pod yml文件：(nginx资源怎么跑，用什么环境变量，需不需要资源限制，要调度到哪个节 点） label：nginx

把pod 暴露出去：service---->通过yml文件定义 label：nginx 通过同一个label标签，进行关联，组合在一起

（8）Namespaces ： 名称空间，将对象逻辑上隔离

资源名称空间：网络、user、pid 、default、kube-system

k8s自带的名称空间：default、kube-system

生产环境：一般会新建一个namespace，专门放置一些项目/服务使用的pod资源

（9）Annotations：注释（描述性信息）

（10）集群安全(RBAC通讯加密-ca整数加密手段)

认证、鉴权、访问控制、原理及流程

从搭建集群，就需要用到加密，CA认证

管理和控制，必须先通过认证/授权，才能进行管理

跑的一些应用，nginx、squid -->需要一些访问控制策略

（11）HELM（K8S 中包的管理工具）

类似linux里面yum

helm 安装 magodb

helm 模板、自定义

二、K8S架构

K8S也是一个典型的C/S架构，由master主控节点和node节点组成

1、Master主控节点组件

（1）auth：认证

身份权限的认证；客户端通过堡垒机管理node，在k8s内只有master可以管理集群，这时就需要master对node进行授权，使用的是apiserver，授权node管理集群

（2）kube-APIserver：6443

调度、统筹k8s集群，各组件协调者，以RESTful API提供接口服务

所有对象资源的增删改查和监听操作都交给APIServer处理后再提交给 Etcd存储，从而隔离其他组件与etcd直接交互

（3）kube-controller-manager(控制器管理中心-定义资源类型)

（4）处理集群中常规后台任务，一个资源对应一个控制器，而ControllerManager 就是负责管理这些控制器的。

（5）kube-scheduler：集群调度器

通过调度算法策略决定最终任务在哪个node节点上

根据调度算法（预选/优选的策略）为新创建的Pod选择一个Node节点，可以任意部署,可以部署在同一个节点上,也可以部署在不同的节点上。

（6）etcd ：分布式键值存储系统

特性是服务自动发现，去中心化，版本是V3+，v2只支持把数据保存在内存中。用于保存k8s集群几乎所有的信息数据，包括路由状态，比如Pod、Service等对象信息

2、work-node组件

（1）kubelet

kubelet是Master在Node节点上的Agent，管理代理的角色(kubelet)是bootstrap，kublet管理对应的node节点，及node节点与master之间的交互，kubectl会监控负责的node节点，周期性汇报给master(kubectl)

（2）kube-proxy（四层）

使用services定义了一组pod资源的访问策略，做反向代理，只要访问到services的id即可访问到pod

（3）docker或rocket

容器引擎，运行容器；kubelet借助于docker引擎创建容器

3、用户访问流程

项目对内访问流程：

（1）假设用户需创建 nginx资源（网站/调度）kubectl ——》auth ——》api-server基于yaml 文件的 kubectl create run / apply -f nginx.yaml(pod 一些属性，pod )

（2）请求发送至master 首先需要经过apiserver（资源控制请求的唯一入口）

（3）apiserver 接收到请求后首先会先记载在Etcd中

（4）Etcd的数据库根据controllers manager（控制器） 查看创建的资源状态（有无状态化）

（5）通过controllers 触发 scheduler (调度器)

（6）scheduler 通过验证算法，验证架构中的nodes节点，筛选出最适合创建该资源，接着分配给这个节点进行创建

（7）node节点中的kubelet 负责执行master给与的资源请求，根据不同指令，执行不同操作

（8）对外提供服务则由kube-proxy开设对应的规则（代理）

（9）container 容器开始运行（runtime 生命周期开始计算）

（10）外界用户进行访问时，需要经过kube-proxy -》service 访问到container （四层）

（11）如果container 因故障而被销毁了，master节点的controllers 会再次通过scheduler 资源调度通过kubelet再次创建容器，恢复基本条件限制（控制器，维护pod状态、保证期望值-副本数量）pod -->ip 进行更改–>service 定义统一入口（固定被访问的ip:端口）

4、项目对外访问流程

（1）七层：ingress-nginx/load balance

（2）四层 ：kube-prox

（3）service：访问策略定义一组pod

三、总结

1、特性

轻量级：重点在于开发的语言(解释下语言go，系统资源消耗较少)

开源：按照谷歌的borg系统设计出来并开源的产品

自我修复：控制器；控制器控制pod，保证pod可以维持我们所期望的副本数量

弹性伸缩：使用yml文件定义阈值(cgroups控制的limit的资源上限)和水平伸缩方式

自动部署、回滚：yml文件定义的部署方式watch-list技术，rollback回滚机制

服务发现、负载均衡：services+kube-proxy(L4+L7)

机密和配置管理：使用RBAC+configmap配置中心

具有自己的RBAC加密、认证机制，可以对访问、服务层面进行加密认证

存储编排使用动态+静态：

NFS GFS等网络存储+本地存储+云存储(以上是静态)，pv+pvc动态

批处理：一次性任务(job)和周期性任务(crontab)

job+crontab，帮助我们处理类似于“shell”脚本该做的事

2、基本组件

pod：最小资源单位

资源清单

pod控制器

服务发现

存储服务分类：有状态和无状态

调度器scheduler

label标签

namespace：名称空间

annotations：注释

集群安装：RBAC通讯加密

HELM：k8s内包的管理工具

3、k8s的架构：使用kubectl命令行管理工具

（1）master组件

auth：认证

apiserver：统一入口

controller-manager：控制器管理中心

schedul：调度器

（2）node组件

kubelet：管理本机运行容器的生命周期

kube-proxy：七层负载

docker：容器引擎，创建容器