網(wǎng)站分為幾級頁面,廣東省網(wǎng)站免備案,做網(wǎng)站好用的軟件,貴州做網(wǎng)站公司一、概述 Kubernetes 簡稱 k8s#xff0c;是支持云原生部署的一個平臺#xff0c;起源于谷歌。谷歌早在十幾年之前就對其應用#xff0c;通過容器方式進行部署。 k8s 本質(zhì)上就是用來簡化微服務的開發(fā)和部署的#xff0c;關(guān)注點包括自愈和自動伸縮、調(diào)度和發(fā)布、調(diào)用鏈監(jiān)控…一、概述Kubernetes 簡稱 k8s是支持云原生部署的一個平臺起源于谷歌。谷歌早在十幾年之前就對其應用通過容器方式進行部署。k8s 本質(zhì)上就是用來簡化微服務的開發(fā)和部署的關(guān)注點包括自愈和自動伸縮、調(diào)度和發(fā)布、調(diào)用鏈監(jiān)控、配置管理、Metrics 監(jiān)控、日志監(jiān)控、彈性和容錯、API 管理、服務安全等k8s 將這些微服務的公共關(guān)注點以組件形式封裝打包到 k8s 這個大平臺中讓開發(fā)人員在開發(fā)微服務時專注于業(yè)務邏輯的實現(xiàn)而不需要去特別關(guān)心微服務底層的這些公共關(guān)注點大大簡化了微服務應用的開發(fā)和部署提高了開發(fā)效率。官網(wǎng)https://kubernetes.ioGitHubhttps://github.com/kubernetes/kubernetesK8S的由來K8S由google的Borg系統(tǒng)(博格系統(tǒng)google內(nèi)部使用的大規(guī)模容器編排工具)作為原型后經(jīng)GO語言延用Borg的思路重寫并捐獻給CNCF基金會開源。云原生基金會CNCF于2015年12月成立隸屬于Linux基金會。CNCF孵化的第一個項目就是Kubernetes隨著容器的廣泛使用Kubernetes已經(jīng)成為容器編排工具的事實標準。K8S的功能跨主機編排容器。更充分地利用硬件資源來最大化地滿足企業(yè)應用的需求?？刂婆c自動化應用的部署與升級。為有狀態(tài)的應用程序掛載和添加存儲器。線上擴展或縮減容器化應用程序與它們的資源。聲明式的容器管理保證所部署的應用按照我們部署的方式運作。通過自動布局、自動重啟、自動復制、自動伸縮實現(xiàn)應用的狀態(tài)檢查與自我修復。為多個容器提供服務發(fā)現(xiàn)和負載均衡使得用戶無需考慮容器IP問題。K8S解決的問題K8S 解決了裸跑 Docker 的若干痛點單機使用無法有效集群隨著容器數(shù)量的上升管理成本攀升沒有有效的容災、自愈機制沒有預設(shè)編排模板無法實現(xiàn)快速、大規(guī)模容器調(diào)度沒有統(tǒng)一的配置管理中心工具沒有容器生命周期的管理工具沒有圖形化運維管理工具K8S 提供了容器編排資源調(diào)度彈性伸縮部署管理服務發(fā)現(xiàn)等一系列功能。K8S的特性彈性伸縮使用命令、UI 或者基于 CPU 使用情況自動快速擴容和縮容應用程序?qū)嵗ＷC應用業(yè)務高峰并發(fā)時的高可用性業(yè)務低峰時回收資源以最小成本運行服務。自我修復在節(jié)點故障時重新啟動失敗的容器替換和重新部署保證預期的副本數(shù)量殺死健康檢查失敗的容器并且在未準備好之前不會處理客戶端請求確保線上服務不中斷。自動發(fā)布默認滾動發(fā)布模式和回滾K8S 采用滾動更新策略更新應用一次更新一個 Pod而不是同時刪除所有 Pod如果更新過程中出現(xiàn)問題將回滾更改確保升級不影響業(yè)務。集中化配置管理和密鑰管理管理機密數(shù)據(jù)和應用程序配置而不需要把敏感數(shù)據(jù)暴露在鏡像里提高敏感數(shù)據(jù)安全性。并可以將一些常用的配置存儲在 K8S 中方便應用程序使用。存儲編排支持外掛存儲并對外掛存儲資源進行編排掛載外部存儲系統(tǒng)無論是來自本地存儲公有云如 AWS還是網(wǎng)絡存儲如 NFS、GlusterFS、Ceph都作為集群資源的一部分使用極大提高存儲使用靈活性。任務批處理運行提供一次性任務定時任務滿足批量數(shù)據(jù)處理和分析的場景。二、K8S架構(gòu)與組件K8S架構(gòu)k8s 總體架構(gòu)采用了經(jīng)典的 maste/slave 架構(gòu)模式分 master 節(jié)點和 worker 節(jié)點節(jié)點可以是虛擬機也可以是物理機。K8S組件master 節(jié)點組件Kube-apiserver用于暴露 Kubernetes API任何資源請求或調(diào)用操作都是通過 kube-apiserver 提供的接口進行。以 HTTPRestful API 提供接口服務所有對象資源的增刪改查和監(jiān)聽操作都交給 API Server 處理后再提交給 Etcd 存儲?？梢岳斫獬?API Server 是 K8S 的請求入口服務。API Server 負責接收 K8S 所有請求來自 UI 界面或者 CLI命令行工具 然后根據(jù)用戶的具體請求去通知其他組件干活。可以說 API Server 是 K8S 集群架構(gòu)的大腦。Kube-controller-manager運行管理控制器是 K8S 集群中處理常規(guī)任務的后臺線程是 K8S 集群里所有資源對象的自動化控制中心。在 K8S 集群中一個資源對應一個控制器而 Controller manager 就是負責管理這些控制器的。由一系列控制器組成通過 API Server 監(jiān)控整個集群的狀態(tài)并確保集群處于預期的工作狀態(tài)比如當某個 Node意外宕機時Controller Manager 會及時發(fā)現(xiàn)并執(zhí)行自動化修復流程確保集群始終處于預期的工作狀態(tài)?？刂破黝愋妥饔肗ode Controller節(jié)點控制器負責在節(jié)點出現(xiàn)故障時發(fā)現(xiàn)和響應。Replication Controller副本控制器負責保證集群中一個 RC資源對象 Replication Controller所關(guān)聯(lián)的 Pod 副本數(shù)始終保持預設(shè)值?？梢岳斫獬纱_保集群中有且僅有 N 個 Pod 實例N 是 RC 中定義的 Pod 副本數(shù)量。EndpointsController端點控制器填充端點對象即連接 Services 和 Pods負責監(jiān)聽 Service 和對應的 Pod副本的變化。 可以理解端點是一個服務暴露出來的訪問點如果需要訪問一個服務則必須知道它的 endpoint。Service Account Token Controllers服務帳戶和令牌控制器為新的命名空間創(chuàng)建默認帳戶和 API 訪問令牌。ResourceQuota Controller資源配額控制器確保指定的資源對象在任何時候都不會超量占用系統(tǒng)物理資源。Namespace Controller命名空間控制器管理 namespace 的生命周期。Service Controller服務控制器屬于 K8S 集群與外部的云平臺之間的一個接口控制器。Kube-scheduler是負責資源調(diào)度的進程根據(jù)調(diào)度算法為新創(chuàng)建的 Pod 選擇一個合適的 Node 節(jié)點?？梢岳斫獬?K8S 所有 Node 節(jié)點的調(diào)度器。當用戶要部署服務時Scheduler 會根據(jù)調(diào)度算法選擇最合適的 Node 節(jié)點來部署 Pod。預選策略predicate優(yōu)選策略priorities好的我們來詳細解釋 Kubernetes 調(diào)度器中關(guān)于節(jié)點調(diào)度的兩個核心階段預選Predicate和優(yōu)選Priorities。簡單來說這是一個“過濾-打分”的兩階段決策過程預選 (Predicate)過濾掉所有不滿足Pod 基本運行需求的節(jié)點。這是一個“是或否”的布爾判斷。優(yōu)選 (Priorities)在通過預選的節(jié)點中根據(jù)一系列策略給每個節(jié)點打分并選擇得分最高的節(jié)點。1. 預選策略 (Predicate)預選策略是一組硬性條件用于初步篩選節(jié)點。如果任何一個預選策略檢查失敗該節(jié)點就會被立即排除沒有資格運行當前 Pod。這個過程是并行的。核心算法/策略包括但不限于策略名稱功能描述PodFitsResources檢查節(jié)點剩余的 CPU 和內(nèi)存資源是否滿足 Pod 的requests配置。這是最基礎(chǔ)的資源檢查。PodFitsHostPorts檢查 Pod 聲明的hostPort在節(jié)點上是否已經(jīng)被占用。HostName檢查節(jié)點名稱是否匹配 Pod 配置中的spec.nodeName通常由用戶直接指定跳過調(diào)度。MatchNodeSelector檢查節(jié)點的標簽 (labels) 是否滿足 Pod 配置的nodeSelector或nodeAffinity節(jié)點親和性的要求。NoVolumeZoneConflict在集群跨多個故障域如 AWS 的 Availability Zone時檢查 Pod 請求的持久卷 (PV) 是否與節(jié)點在同一區(qū)域避免跨域掛卷。CheckNodeMemoryPressure檢查節(jié)點是否存在內(nèi)存壓力。如果存在則不會將新的 Pod 調(diào)度到該節(jié)點除非 Pod 有特定容忍設(shè)置。CheckNodePIDPressure檢查節(jié)點上的進程 ID (PID) 資源是否不足。CheckNodeDiskPressure檢查節(jié)點是否存在磁盤空間壓力例如根分區(qū)可用空間不足。CheckNodeCondition檢查節(jié)點狀態(tài)是否正常如Ready、OutOfDisk、NetworkUnavailable等。PodToleratesNodeTaints檢查 Pod 的tolerations容忍是否能夠容忍匹配節(jié)點的taints污點。這是實現(xiàn)污點與容忍機制的核心。工作流程調(diào)度器會遍歷所有節(jié)點對每個節(jié)點并行執(zhí)行所有配置的預選策略。只有通過所有策略的節(jié)點才會被加入到“合格節(jié)點”列表進入下一階段優(yōu)選。2. 優(yōu)選策略 (Priorities)優(yōu)選策略用于對通過預選的節(jié)點進行排序。每個策略都會給節(jié)點計算一個分數(shù)通常為 0-10 分 scheduler 會將所有策略的分數(shù)按權(quán)重加權(quán)求和得到節(jié)點的最終得分并選擇得分最高的節(jié)點。如果有多個節(jié)點得分相同則隨機選擇一個。核心算法/策略包括但不限于策略名稱功能描述目標LeastRequested得分 ((節(jié)點總?cè)萘?- Pod請求量 -節(jié)點已分配量) / 節(jié)點總?cè)萘? * 10優(yōu)先選擇資源空閑率更高的節(jié)點使集群負載更均衡。BalancedResourceAllocation計算 CPU 和內(nèi)存使用率的差值差值越小得分越高。優(yōu)先選擇 CPU 和內(nèi)存使用率更均衡的節(jié)點避免一個資源耗盡而另一個資源剩余很多。ImageLocality根據(jù)節(jié)點上是否已存在 Pod 所需的容器鏡像以及鏡像的大小來評分。優(yōu)先選擇已有所需鏡像的節(jié)點減少拉取鏡像的時間。NodeAffinity根據(jù)preferredDuringSchedulingIgnoredDuringExecution偏好規(guī)則進行評分。匹配的表達式越多得分越高。實現(xiàn)Pod 對節(jié)點的軟性偏好。TaintToleration根據(jù) Pod 對節(jié)點污點的容忍程度進行評分。需要容忍的污點越多得分越低。優(yōu)先選擇需要容忍的污點更少的節(jié)點。InterPodAffinity根據(jù) Pod 間親和性 (podAffinity/podAntiAffinity) 的preferred規(guī)則進行評分。實現(xiàn)Pod 之間的軟性親和或反親和。SelectorSpread盡量將屬于同一個 Service、StatefulSet 或 ReplicaSet 的 Pod分散到不同的節(jié)點、機架或可用區(qū)上運行。提高應用的高可用性避免單點故障。工作流程對每個通過預選的節(jié)點遍歷所有優(yōu)選策略。每個策略為該節(jié)點打一個分score。每個策略都有一個權(quán)重weight最終得分是score * weight的加權(quán)和。選擇總分最高的節(jié)點。如果多個節(jié)點分數(shù)相同則隨機選擇?？偨Y(jié)與類比你可以把這個過程想象成“招聘過程”預選 (Predicate)就像簡歷篩選。硬性條件“本科以上學歷”、“5年以上工作經(jīng)驗”、“必須掌握Go語言”。不符合任何一條的候選人直接淘汰不會進入面試。優(yōu)選 (Priorities)就像面試打分。面試官們不同策略從不同維度技術(shù)能力、溝通能力、文化契合度給候選人打分。每個維度的權(quán)重可能不同例如技術(shù)能力權(quán)重為 2溝通能力權(quán)重為 1。最后將加權(quán)分相加選擇總分最高的候選人。Kubernetes 調(diào)度器通過這個強大、靈活且可擴展的兩階段模型能夠智能地做出最合適的調(diào)度決策滿足復雜多樣的部署需求。你也可以編寫自己的調(diào)度器擴展Scheduler Framework來添加自定義的預選和優(yōu)選策略。etcdK8S 的存儲服務。etcd 是分布式鍵值存儲系統(tǒng)存儲了 K8S 的關(guān)鍵配置和用戶配置K8S 中僅 API Server 才具備讀寫權(quán)限其他組件必須通過 API Server 的接口才能讀寫數(shù)據(jù)。node節(jié)點組件在 Kubernetes 集群中在每個 Node又稱 Worker Node上都會啟動一個 kubelet 服務進程。該進程用于處理 Master 下發(fā)到本節(jié)點的任務管理 Pod 及 Pod 中的容器。每個 kubelet 進程都會在 API Server 上注冊節(jié)點自身的信息定期向 Master 匯報節(jié)點資源的使用情況并通過 cAdvisor 監(jiān)控容器和節(jié)點資源。KubeletNode 節(jié)點的監(jiān)視器以及與 Master 節(jié)點的通訊器。Kubelet 是 Master 節(jié)點安插在 Node 節(jié)點上的“眼線”它會定時向 API Server 匯報自己 Node 節(jié)點上運行的服務的狀態(tài)并接受來自 Master 節(jié)點的指示采取調(diào)整措施。從 Master 節(jié)點獲取自己節(jié)點上 Pod 的期望狀態(tài)比如運行什么容器、運行的副本數(shù)量、網(wǎng)絡或者存儲如何配置等 直接跟容器引擎交互實現(xiàn)容器的生命周期管理如果自己節(jié)點上 Pod 的狀態(tài)與期望狀態(tài)不一致則調(diào)用對應的容器平臺接口即 docker 的接口達到這個狀態(tài)。管理鏡像和容器的清理工作保證節(jié)點上鏡像不會占滿磁盤空間退出的容器不會占用太多資源。Kube-Proxy在每個 Node 節(jié)點上實現(xiàn) Pod 網(wǎng)絡代理是 Kubernetes Service 資源的載體負責維護網(wǎng)絡規(guī)則和四層負載均衡工作。 負責寫入規(guī)則至iptables、ipvs實現(xiàn)服務映射訪問的。Kube-Proxy 本身不是直接給 Pod 提供網(wǎng)絡Pod 的網(wǎng)絡是由 Kubelet 提供的Kube-Proxy 實際上維護的是虛擬的 Pod 集群網(wǎng)絡。Kube-apiserver 通過監(jiān)控 Kube-Proxy 進行對 Kubernetes Service 的更新和端點的維護。在 K8S 集群中微服務的負載均衡是由 Kube-proxy 實現(xiàn)的。Kube-proxy 是 K8S 集群內(nèi)部的負載均衡器。它是一個分布式代理服務器在 K8S 的每個節(jié)點上都會運行一個 Kube-proxy 組件。Controller Runtime容器引擎如docker、containerd運行容器負責本機的容器創(chuàng)建和管理工作。當 kubernetes 把 pod 調(diào)度到節(jié)點上節(jié)點上的 kubelet會指示 docker 啟動特定的容器。接著kubelet 會通過 docker 持續(xù)地收集容器的信息 然后提交到主節(jié)點上。docker 會如往常一樣拉取容器鏡像、啟動或停止容器。不同點僅僅在于這是由自動化系統(tǒng)控制而非管理員在每個節(jié)點上手動操作的。Podk8s 中特有的一個概念可以理解為對容器的包裝是 k8s 的基本調(diào)度單位一個 Pod 代表集群上正在運行的一個進程實際的容器是運行在 Pod 中的 可以把 Pod 理解成豌豆莢而同一 Pod 內(nèi)的每個容器是一顆顆豌豆。一個節(jié)點可以啟動一個或多個 Pod。生產(chǎn)環(huán)境中一般都是單個容器或者具有強關(guān)聯(lián)互補的多個容器組成一個 Pod。三、K8S核心概念概念作用cluster集群Cluster指的是由Kubernetes管理的一組節(jié)點和資源池。 由Master和多個Worker節(jié)點組成Master用于集群管理和控制而Worker節(jié)點用于運行應用程序和Pod。提供了一種可擴展的、彈性的平臺用于分布式應用程序和容器的部署和管理。node節(jié)點是集群中的工作節(jié)點用于運行Pod和容器。 是物理或虛擬機器具有足夠的資源CPU、內(nèi)存、存儲來運行容器化的應用。Kubernetes會自動將Pod調(diào)度到可用的節(jié)點上以實現(xiàn)負載均衡和高可用性。Container容器 容器是一種輕量級的虛擬化技術(shù)用于隔離和運行應用程序及其依賴項。將應用程序與其運行時環(huán)境進行隔離并提供了一個獨立的運行空間使得應用程序可以在不同的環(huán)境中移植和部署。Namespace命名空間 Namespace用于在Kubernetes集群中劃分虛擬的資源隔離區(qū)域。 可用于組織和管理資源以及為不同的團隊、項目或環(huán)境提供邏輯分離。 在一個集群中可以有多個命名空間每個命名空間都有自己的一組資源和訪問策略。Pod容器組Kubernetes基本調(diào)度單位可以包含一個或多個容器。這些容器共享相同的網(wǎng)絡和存儲資源并運行在同一主機上。 提供了一個隔離的運行環(huán)境為容器提供了共享的IP地址和端口空間。 通常Pod用于運行關(guān)聯(lián)的容器例如共享相同的資源和上下文的應用程序。Service服務 Service定義了一組Pod的穩(wěn)定網(wǎng)絡終點通過標簽選擇器與這些Pod進行關(guān)聯(lián)。充當入口和負載均衡器封裝了一組Pod并提供一個持久的訪問地址Cluster IP或Node IP。 還支持內(nèi)部服務發(fā)現(xiàn)和跨集群通信。ReplicaSet副本集ReplicaSet用于定義Pod的副本數(shù)量和在集群中的運行策略確保指定的Pod副本數(shù)始終運行并根據(jù)需要進行自動擴展或收縮。當Pod由于故障或節(jié)點故障而終止時ReplicaSet會自動重新啟動新的Pod副本。Deployment部署Deployment是一種用于聲明化管理Pod和ReplicaSet的資源對象?？梢远xPod的期望狀態(tài)自動創(chuàng)建和更新ReplicaSet并實現(xiàn)滾動升級和回滾策略以確保無縫的應用程序更新。ConfigMap配置映射ConfigMap是一種存儲配置數(shù)據(jù)的資源對象用于將配置參數(shù)傳遞給應用程序?？梢源鎯Νh(huán)境變量、配置文件、命令行參數(shù)等。 可以與Pod或容器相關(guān)聯(lián)并在容器啟動時注入相關(guān)的配置信息。Secrets密鑰用于安全地存儲和管理敏感信息如密碼、憑證等。 -Kuberentes中的Secret是一種資源對象用于存儲和傳遞加密的數(shù)據(jù)。 -密鑰可以被掛載到容器中用于應用程序的配置文件或認證憑證。DaemonSetDaemonSet是Kubernetes中的一個重要概念提供了一種簡單且可靠的方式來在集群的所有節(jié)點上運行相同的Pod適用于許多系統(tǒng)級任務和后臺進程的部署場景。 1.每個節(jié)點一個Pod副本DaemonSet會在集群的每個節(jié)點上啟動一個Pod副本以確保每個節(jié)點都有該Pod的運行實例。 2. 系統(tǒng)級任務和守護進程DaemonSet通常用于運行系統(tǒng)級任務和守護進程例如日志收集器、監(jiān)控代理和網(wǎng)絡代理等。這些任務通常需要在每個節(jié)點上運行并且要與節(jié)點的生命周期同步。 3. 自動擴縮容當有新節(jié)點加入集群或某個節(jié)點從集群中移除時DaemonSet會自動檢測節(jié)點的狀態(tài)變化并相應地啟動或終止Pod副本。 4. 節(jié)點親和性規(guī)則可以通過節(jié)點親和性規(guī)則來選擇在哪些節(jié)點上運行DaemonSet的Pod。這允許你將特定的任務或服務與特定類型的節(jié)點關(guān)聯(lián)起來。 5. 資源限制和調(diào)度約束可為DaemonSet中的Pod指定資源限制和調(diào)度約束以確保它們在節(jié)點上均勻分布并滿足資源需求。四、Kubetnetes 涉及的端口角色協(xié)議方向端口范圍組件使用者masterTCP入站6443kube-apiserver所有TCP入站2379~2380etcdkube-apiserverTCP入站10250kubeletkube-apiserver自身TCP入站10259kube-scheduler自身TCP入站10257kube-controller-manager自身nodeTCP入站10250kubeletkube-apiserverTCP入站30000~32767Service NodePort自身