第6关 K8s攻克作战攻略(一)

已于 2023-10-28 21:52:35 修改
阅读量1.1k 收藏
点赞数 5
分类专栏: 2023年Kubernetes实战攻略 文章标签: 1024程序员节 kubernetes k8s 云原生 容器 运维 运维开发
于 2023-10-24 21:58:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46887489/article/details/134022675
版权

------> 课程视频同步分享在今日头条B站

大家好,我是博哥爱运维,第3关我们以二进制的形式部署好了一套K8S集群,现在我们就来会会K8S吧

K8s的API对象(所有怪物角色列表)

  • Namespace – 命令空间实现同一集群上的资源隔离

  • Pod – K8s的最小运行单元

  • ReplicaSet – 实现pod平滑迭代更新及回滚用,这个不需要我们实际操作

  • Deployment – 用来发布无状态应用

  • Health Check – Readiness/Liveness/maxSurge/maxUnavailable 服务健康状态检测

  • Service, Endpoint , EndpointSlices – 实现同一lables下的多个pod流量负载均衡

  • Labels – 标签,服务间选择访问的重要依据

  • Ingress – K8s的流量入口

  • DaemonSet – 用来发布守护应用,例如我们部署的CNI插件

  • HPA – Horizontal Pod Autoscaling 自动水平伸缩

  • Volume – 存储卷

  • Pv, pvc, StorageClass – 持久化存储,持久化存储 声明,动态存储pv

  • StatefulSet – 用来发布有状态应用

  • Job, CronJob – 一次性任务及定时任务

  • Configmap, secret – 服务配置及服务加密配置

  • Kube-proxy – 提供service服务流量转发的功能支持,这个不需要我们实际操作

  • RBAC, serviceAccount, role, rolebindings, clusterrole, clusterrolebindings – 基于角色的访问控制

  • Events – K8s事件流,可以用来监控相关事件用,这个不需要我们实际操作

看了上面这一堆知识点,大家是不是有点头晕了? 别担心,上述这些小怪在后面的过关流程中均会一一遇到,并且我会也教会大家怎么去战胜它们,Let’ Go!

OK,此关卡较长,这节课我们先会会Namespace和Pod这两个小怪

Namespace

namespace命令空间,后面简称ns。在K8s上面,大部分资源都受ns的限制,来做资源的隔离,少部分如pv,clusterRole等不受ns控制,这个后面会讲到。

# 查看目前集群上有哪些ns
# kubectl get ns
NAME              STATUS   AGE
default           Active   5d23h
kube-node-lease   Active   5d23h
kube-public       Active   5d23h
kube-system       Active   5d23h


# 通过kubectl 接上 -n namespaceName 来查看对应ns上面的资源信息
# kubectl -n kube-system get pod
NAME                                       READY   STATUS    RESTARTS      AGE
calico-kube-controllers-67c67b9b5f-wsvbc   1/1     Running   3 (15m ago)   5d23h
calico-node-4tvt5                          1/1     Running   3 (15m ago)   5d23h
calico-node-lgsl6                          1/1     Running   3 (15m ago)   5d23h
calico-node-pd8p5                          1/1     Running   3 (15m ago)   5d23h
calico-node-znr7x                          1/1     Running   3 (15m ago)   5d23h
coredns-65bc7b648d-65qjh                   1/1     Running   3 (15m ago)   5d23h
metrics-server-56774d6954-cvwlz            1/1     Running   3 (15m ago)   5d23h
node-local-dns-44z58                       1/1     Running   3 (15m ago)   5d23h
node-local-dns-6rdwx                       1/1     Running   3 (15m ago)   5d23h
node-local-dns-dmstw                       1/1     Running   3 (15m ago)   5d23h
node-local-dns-lwd68                       1/1     Running   3 (15m ago)   5d23h


# 我们通过不接-n 的情况下,都是在默认命令空间default下进行操作,在生产中,通过测试一些资源就在这里进行
# kubectl get pod
NAME                         READY   STATUS    RESTARTS   AGE
new-nginx-854cf59647-26bnh   2/2     Running   0          2s
new-nginx-854cf59647-98n9w   2/2     Running   0          2s

# kubectl -n default get pod
NAME                         READY   STATUS    RESTARTS   AGE
new-nginx-854cf59647-26bnh   2/2     Running   0          37s
new-nginx-854cf59647-98n9w   2/2     Running   0          37s


# 创建也很简单
[root@node-1 ~]# kubectl create ns test
namespace/test created
[root@node-1 ~]# kubectl get ns|grep test
test  

# 删除ns
# kubectl delete ns test 
namespace "test" deleted

生产中的小技巧:k8s删除namespaces状态一直为terminating问题处理

# kubectl get ns
NAME              STATUS        AGE
default           Active        5d4h
ingress-nginx     Active        30h
kube-node-lease   Active        5d4h
kube-public       Active        5d4h
kube-system       Active        5d4h
kubevirt          Terminating   2d2h   # <------ here

1、新开一个窗口运行命令  kubectl proxy
> 此命令启动了一个代理服务来接收来自你本机的HTTP连接并转发至API服务器,同时处理身份认证

2、新开一个终端窗口,将下面shell脚本整理到文本内`1.sh`并执行,$1参数即为删除不了的ns名称
#------------------------------------------------------------------------------------
#!/bin/bash

set -eo pipefail

die() { echo "$*" 1>&2 ; exit 1; }

need() {
        which "$1" &>/dev/null || die "Binary '$1' is missing but required"
}

# checking pre-reqs

need "jq"
need "curl"
need "kubectl"

PROJECT="$1"
shift

test -n "$PROJECT" || die "Missing arguments: kill-ns <namespace>"

kubectl proxy &>/dev/null &
PROXY_PID=$!
killproxy () {
        kill $PROXY_PID
}
trap killproxy EXIT

sleep 1 # give the proxy a second

kubectl get namespace "$PROJECT" -o json | jq 'del(.spec.finalizers[] | select("kubernetes"))' | curl -s -k -H "Content-Type: application/json" -X PUT -o /dev/null --data-binary @- http://localhost:8001/api/v1/namespaces/$PROJECT/finalize && echo "Killed namespace: $PROJECT"
#------------------------------------------------------------------------------------

3. 执行脚本删除
# bash 1.sh kubevirt
Killed namespace: kubevirt
1.sh: line 23: kill: (9098) - No such process

5、查看结果
# kubectl get ns    
NAME              STATUS   AGE
default           Active   5d4h
ingress-nginx     Active   30h
kube-node-lease   Active   5d4h
kube-public       Active   5d4h
kube-system       Active   5d4h
Pod

开篇先来个加人头秘籍(上上下下左右左右BABA,知道这个游戏的朋友请举个手^ o ^)

kubectl作为管理K8s的重要cli命令行工具,运维人员必须掌握它,但里面这么多的子命令,记不住怎么办?这里就以创建pod举例

擅用 -h 帮助参数

# 在新版本的K8s中,明确了相关命令就是用来创建对应资源的,不再像老版本那样混合使用,这个不是重点,创建pod,我们用kubectl run -h,来查看命令帮助,是不是豁然开朗
# kubectl run -h
Create and run a particular image in a pod.

Examples:
  # Start a nginx pod.
  kubectl run nginx --image=docker.io/library/nginx:1.21.6
  ......

# 我们就用示例给出的第一个示例,来创建一个nginx的pod
# kubectl run nginx --image=docker.io/library/nginx:1.21.6
pod/nginx created

# 等待镜像下载完成后,pod就会正常running了(这里介绍两个实用参数 -w代表持久监听当前namespace下的指定资源的变化;-o wide代表列出更为详细的信息,比如这里pod运行的node节点显示)
# 注: READY下面的含义是后面数字1代表这个pod里面期望的容器数量,前面的数字1代表服务正常运行就绪的容器数量
# kubectl get pod -o wide -w
NAME    READY   STATUS    RESTARTS   AGE    IP              NODE         NOMINATED NODE   READINESS GATES
nginx   1/1     Running   0          100s   172.20.139.68   10.0.1.203   <none>           <none>


# 我们来请求下这个pod的IP
# curl 172.20.139.68
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>


# 我们进到这个pod服务内,修改下页面信息看看,这里会学到exec子命令,-it代表保持tty连接,不会一连上pod就断开了
# kubectl -it exec nginx -- bash
# echo 'hello, world!' > /usr/share/nginx/html/index.html
# exit

# curl 172.20.139.68
hello, world!


# 我们来详细分析的这个pod启动的整个流程,这里会用到kubectl的子命令 describe,它是用来描述后面所接资源的详细信息的,划重点,这个命令对于我们生产中排查K8s的问题尤其重要
# kubectl describe pod nginx
Name:             nginx
Namespace:        default
Priority:         0
Service Account:  default
Node:             10.0.1.203/10.0.1.203
Start Time:       Tue, 24 Oct 2023 21:43:38 +0800
Labels:           run=nginx
Annotations:      <none>
Status:           Running
IP:               172.20.139.68
IPs:
  IP:  172.20.139.68
Containers:
  nginx:
    Container ID:   containerd://184b225e3e83650a4700959536e0e2d444ffe416b4fd5cce8c9c6ee209d14cb9
    Image:          docker.io/library/nginx:1.21.6
    Image ID:       docker.io/library/nginx@sha256:2bcabc23b45489fb0885d69a06ba1d648aeda973fae7bb981bafbb884165e514
    Port:           <none>
    Host Port:      <none>
    State:          Running
      Started:      Tue, 24 Oct 2023 21:43:39 +0800
    Ready:          True
    Restart Count:  0
    Environment:    <none>
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from kube-api-access-2gmsh (ro)
Conditions:
  Type              Status
  Initialized       True
  Ready             True
  ContainersReady   True
  PodScheduled      True
Volumes:
  kube-api-access-2gmsh:
    Type:                    Projected (a volume that contains injected data from multiple sources)
    TokenExpirationSeconds:  3607
    ConfigMapName:           kube-root-ca.crt
    ConfigMapOptional:       <nil>
    DownwardAPI:             true
QoS Class:                   BestEffort
Node-Selectors:              <none>
Tolerations:                 node.kubernetes.io/not-ready:NoExecute op=Exists for 300s
                             node.kubernetes.io/unreachable:NoExecute op=Exists for 300s
Events:
  Type    Reason     Age    From               Message
  ----    ------     ----   ----               -------
  Normal  Scheduled  3m35s  default-scheduler  Successfully assigned default/nginx to 10.0.1.203
  Normal  Pulled     3m35s  kubelet            Container image "docker.io/library/nginx:1.21.6" already present on machine
  Normal  Created    3m35s  kubelet            Created container nginx
  Normal  Started    3m35s  kubelet            Started container nginx

  
 # 重点分析下最后面的Events事件链
1. kubectl 发送部署pod的请求到 API Server
2. API Server 通知 Controller Manager 创建一个 pod 资源
3. Scheduler 执行调度任务,Events的第一条打印信息就明确显示了这个pod被调度到10.0.1.203这个node节点上运行,接着开始拉取相应容器镜像,拉取完成后开始创建nginx服务,至到最后服务创建完成,在有时候服务报错的时候,这里也会显示相应详细的报错信息

但我们在生产中是不建议直接用来创建pod,先直接演示下:

# 我们删除掉这个nginx的pod
# kubectl delete pod nginx
pod "nginx" deleted

# kubectl get pod
现在已经看不到这个pod了,假设这里是我们运行的一个服务,而恰好运行这个pod的这台node当机了,那么这个服务就没了,它不会自动飘移到其他node上去,也就发挥不了K8s最重要的保持期待服务运行数量的服务特性了。

pod小怪战斗(作业)

# 试着创建一个redis服务的pod,并且使用exec进入这个pod,通过客户端命令redis-cli连接到redis-server ,插入一个key a ,value 为666,最后删除这个redis的pod
root@redis:/data# redis-cli 
127.0.0.1:6379> get a
(nil)
127.0.0.1:6379> set a 666
OK
127.0.0.1:6379> get a
"666"
博哥爱运维
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s课件k8s课件k8s课件k8s课件
02-15
k8s课件
K8sKubernetes)架构培训笔记.pdf
10-14
K8sKubernetes)架构培训笔记.pdf
K8s 部署 MongoDB(副本集)
02-03
mongodb的集群搭建方式主要有三种,主从模式,Replica set模式,sharding模式, 三种模式各有优劣,适用于不同的场合,属Replica set应用最为广泛,主从模式现在用的较少,sharding模式最为完备,但配置维护较为复杂 MongoDB中的副本集(Replica Set)是一组维护相同数据集的mongod服务。 副本集可提供冗余和高可用性,是所有生产部署的基础。也可以说,副本集类似于有自动故障恢复功能的主从集群。通俗的讲就是用多台机器进行同一数据的异步同步,从而使多台机器拥有同一数据的多个副本,并且当主库当掉时在不需要用户干预的情况下自动切换其他备份服务器做主库。而且还可以利用副本服务器做只读服务器,实现读写分离,提高负载。
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略
第6 K8s攻克作战攻略(二)- 无状态服务deployment
博哥爱运维
10-26 1181
这节课很键,大家后面跟K8S打交道,大部分都是用deployment发布业务服务,下面跟随博哥来会会deployment这个怪物吧.
第6 K8s攻克作战攻略(四)- Service、Endpoint、Endpoint Slices
博哥爱运维
11-07 1222
K8S服务pod的内部负载均衡器 service
第6 K8s攻克作战攻略(三)- 服务健康检测
博哥爱运维
11-05 880
K8s上,强大的自愈能力是这个容器编排引擎的非常重要的一个特性,自愈的默认实现方式是通过自动重启发生故障的容器,使之恢复正常。除此之外,我们还可以利用`Liveness` 和 `Readiness`检测机制来设置更为精细的健康检测指标
第6 K8s攻克作战攻略(五)- 资源身份标签Labels
博哥爱运维
11-09 504
labels标签,在kubernetes我们会经常见到,它的功能非常键,就相于服务pod的身份证信息,如果我们创建一个deployment资源,它之所有能守护下面启动的N个pod以达到期望的数据,service之所以能把流量准确无误的转发到指定的pod上去,归根结底都是labels在这里起作用
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
K8s-cks必备技能攻略
02-07
K8s-cks必备技能攻略
安装k8s 1.28 所需的离线镜像包
03-19
部署k8s1.28集群所需离线镜像包,已经为大家准备好了,大家有需要可以自行下载,下载后部署的方法,在主页k8s专栏的文章中有详细说明,如果大家有疑问可以查看文章,或者私信我,我会尽快回复,谢谢大家 registry....
自己整理博哥爱运维0817-----k8s集成GitLib流水线
weixin_42435798的博客
08-24 2000
业务日志原创2021-03-24 21:30·博哥爱运维
自己整理博哥爱运维0817-----k8s集成GitLab流水线---md文档
weixin_42435798的博客
08-24 2194
1.每个节点安装ansible-----centos 2.node01下载安装脚本: 3.进入目录、执行脚本格式 4.如果遇到error,别灰心,一直执行、多执行几次下面的命令,因为在github网络超时很常见 5.下载好了在继续执行 6.安装完成后重新加载下环境变量以实现kubectl命令补齐 7.查看所有pods状态: 第4 K8s最得意的小弟Docker Dockerfile: 第5 K8s攻克作战攻略之一 善用-h命令!!!第3我们以二进制的形式部署好了一套K8S集群,现在我们就
K8S 命令集锦
Dablelv 的博客专栏。
11-18 6808
Docker 有 restart 命令来重启容器,但是 K8S 却没有类似的命令用来重启 Pod,一般会结合 restartPolicy 进行自动重启。如果想手动重启 POD,可以通过其他方式实现。因为 deployment 负责托管,手动删除 Pod,会自动创建,相当于重启。
基于 Minikube 搭建第一个k8s集群
congge
12-17 7034
Minikube搭建k8s集群
springboot 部署k8s(一)
yaobo2816的专栏
04-04 3466
本系列教程将分2篇文章讲解,怎么部署springboot 到k8s 上。第一篇:springboot 准备,这里包括打包镜像。第二篇:springboot 镜像部署到k8s, 我们将使用deployment ,service 用最简单的方式deploy k8s.这里面springboot 已经可以打包镜像了,下一篇将部署到k8s.
k8s常用语句
最新发布
QQ563627436的博客
05-11 672
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
K8S集群忘防火墙
10-10
K8S集群忘防火墙可能导致网络连接问题和安全漏洞。如果忘记闭防火墙,可能会导致节点间的通信受阻,服务无法正常访问。此外,未闭防火墙也会增加攻击者入侵的风险。 为了解决这个问题,您可以按照以下步骤操作: 1. 检查防火墙规则:查看当前防火墙规则是否被配置为阻止K8S集群的网络流量。可以使用iptables或firewall-cmd等命令来查看和修改规则。 2. 开放所需端口:确保K8S集群所需的端口已经打开,例如,API服务器端口(默认为6443)、kubelet端口(默认为10250)等。在检查端口时,还应该确认是否需要开放其他必要的服务端口。 3. 检查网络策略:在Kubernetes中,还存在网络策略(Network Policies)来控制pod之间的网络访问。如果防火墙阻止了这些流量,则需要相应地更新网络策略规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值