2. 软件开发
    3. (1) Kubernetes基本概念和术语

    (1) Kubernetes基本概念和术语

    xiaoxiao2024-11-15  62

    目录

    前言

    1、kubernetes架构图

    2、kubernetes基本概念和术语

    2.1 Master

    2.2 Node

     2.3 Pod

    2.4 Label(标签)

    2.5 Replication Controller(副本控制器,RC)

    2.6 Service(服务)

    2.6.1 概念

    2.6.2 kubernetes的服务发现机制

    2.6.3 外部系统访问Service的问题

    2.7 Namespace(命名空间)

    2.8 Annotation(注解)

    3、 Kubernetes工作流程

    前言

    kubernetes是一个完备的分布式系统支撑平台,大部分概念如Node、Pod、Replication Controller、Service等都可以看作是一种“服务”几乎所有的资源对象都可以通过kubernetes提供的kubectl工具(或API编程调用)执行增、删、改、查操作并将其保存在etcd中持久化存储。从这个角度看kubernetes其实就是一个高度自动化的资源控制系统,它通过跟踪对比etcd库里保存的“资源期望状态”与当前环境中的“实际资源状态”的差异来实现自动控制和自动纠错的高级功能。

    1、kubernetes架构图

    更加通俗的展示:

    在集群管理方面,kubernetes将集群中的机器划分为一个Master节点和一群工作节点(Node)。

    其中,在Master节点上运行着集群管理相关的一组进程kube-apiserver、kube-controller-manager、kube-scheduler,这些进程实现了整个集群的资源管理、Pod调度、弹性伸缩、安全控制、系统监控和纠错等管理功能,并且都是全自动完成的。

    Node作为集群中的工作节点,运行真正的应用程序,在Node节点上kubernetes管理的最小运行单元是Pod。Node上运行着kubernetes的kubelet、kube-proxy服务进程,这些服务进程负责Pod的创建、启动、监控、重启、销毁,以及实现软件模式的负载均衡器。

    2、kubernetes基本概念和术语

    2.1 Master

    K8S中的Master指的是集群控制节点,每个k8s集群里都需要有一个master节点来负责整个集群的管理和控制,基本上k8s所有的控制命令都是发给它,由它来负责具体的执行过程,我们后面所有执行的命令基本都是在Master节点上运行的。

    Master节点通常会占据一个独立的X86服务器/一个虚拟机,主要是因为它太重要了,它是整个集群的“首脑”,如果它宕机或者不能用,那么所有控制命令都将失效。

    Master节点上运行着以下一组关键进程:

    kube-apiserver:提供了HTTP Rest接口的关键服务进程,是k8s中所有资源的增、删、改、查等操作的唯一入口,也是集群控制的入口进程,任何对资源的增删该查都要交给APIServer处理后再交给etcd,如上图,kubectl(kubernetes提供的客户端工具,该工具内部是对kubernetes API的调用)是直接和APIServer交互的。kube-controller-manager:如果APIServer做的是前台的工作的话,那么controller manager就是负责后台的。每一个资源都对应一个控制器。而control manager就是负责管理这些控制器的,比如我们通过APIServer创建了一个Pod,当这个Pod创建成功后,APIServer的任务就算完成了。它作为k8s里所有资源对象的自动化控制中心,可理解为资源对象的“大总管”。kube-schedule:负责资源调度进程,相当于“调度室”。kube-schedule负责调度Pod到合适的Node上,如果把scheduler看成一个黑匣子,那么它的输入是pod和由多个Node组成的列表,输出是Pod和一个Node的绑定。 kubernetes目前提供了调度算法,同样也保留了接口。用户根据自己的需求定义自己的调度算法。etcd:etcd是一个高可用的键值存储系统,kubernetes使用它来存储各个资源的状态数据,从而实现了Restful的API。

    2.2 Node

    除了Master,kubernetes集群中的其他机器被称为Node节点,在较早版本中称之为Minion。

    与Master一样,Node节点可以是一台物理机,也可是虚拟机。Node节点才是kubernetes集群中的工作负载节点,每个Node都会被Master分配一个工作负载(Docker容器),当Node节点宕机时,其工作负载会被Master自动转移至其它节点上去。

    Node节点上运行着以下一组关键进程:

    kubelet:负责Pod对应的容器创建、启停、资源监控等任务。同时与Master节点密切协作,实现集群管理的基本功能。kube-proxy:实现kubernetes Service的通信与负载均衡机制的重要组件Docker Engine(docker):Docker引擎,负责本机的容器创建和管理工作。

    Node节点可以在运行期间动态增加到kubernetes集群中,前提是这个节点已经正确安装、配置和启动了上述关键进程,默认情况下kubelet会向Master注册自己,这也是kubernetes推荐的Node管理方式一旦Node被纳入集群管理范围,kubelet进程就会定时向Master节点汇报自身的情报,如操作系统、Docker版本、机器的CPU和内存情况,以及之前有哪些Pod在运行等,这样Master可以获知每个Node的资源使用情况,并实现高效负载均衡的资源调度策略,而某个Node超过指定时间不上报信息时,会被Master判定为“失联”,Node的状态被标记为不可用(Not Ready),随后Master会触发“工作负载大转移”的自动流程

    查看集群Node数量:

    #kubectl get nodes

    通过#kubectl describe node <node_name>查看某个Node详细信息:

    #kubectl describe node kubernetes-node1

     

    [root@master01 /]# kubectl describe node 192.168.0.143 Name: 192.168.0.143 Roles: <none> Labels: beta.kubernetes.io/arch=amd64 beta.kubernetes.io/os=linux kubernetes.io/arch=amd64 kubernetes.io/hostname=192.168.0.143 kubernetes.io/os=linux Annotations: node.alpha.kubernetes.io/ttl: 0 volumes.kubernetes.io/controller-managed-attach-detach: true CreationTimestamp: Sun, 18 Aug 2019 09:49:47 -0400 Taints: <none> Unschedulable: false Conditions: Type Status LastHeartbeatTime LastTransitionTime Reason Message ---- ------ ----------------- ------------------ ------ ------- MemoryPressure False Tue, 20 Aug 2019 08:50:16 -0400 Sun, 18 Aug 2019 09:56:11 -0400 KubeletHasSufficientMemory kubelet has sufficient memory available DiskPressure False Tue, 20 Aug 2019 08:50:16 -0400 Sun, 18 Aug 2019 09:56:11 -0400 KubeletHasNoDiskPressure kubelet has no disk pressure PIDPressure False Tue, 20 Aug 2019 08:50:16 -0400 Sun, 18 Aug 2019 09:56:11 -0400 KubeletHasSufficientPID kubelet has sufficient PID available Ready True Tue, 20 Aug 2019 08:50:16 -0400 Sun, 18 Aug 2019 09:56:11 -0400 KubeletReady kubelet is posting ready status Addresses: InternalIP: 192.168.0.143 Hostname: 192.168.0.143 Capacity: cpu: 1 ephemeral-storage: 17394Mi hugepages-1Gi: 0 hugepages-2Mi: 0 memory: 995892Ki pods: 110 Allocatable: cpu: 1 ephemeral-storage: 16415037823 hugepages-1Gi: 0 hugepages-2Mi: 0 memory: 893492Ki pods: 110 System Info: Machine ID: 03ce6afdf7054de9bf5f87af0eb4ea90 System UUID: E5DF4D56-FB56-A086-30FC-3FACB8DC1DEF Boot ID: 729e4b1a-51d3-4753-b1ec-8e510692140a Kernel Version: 3.10.0-957.21.2.el7.x86_64 OS Image: CentOS Linux 7 (Core) Operating System: linux Architecture: amd64 Container Runtime Version: docker://18.3.1 Kubelet Version: v1.14.2 Kube-Proxy Version: v1.14.2 Non-terminated Pods: (0 in total) Namespace Name CPU Requests CPU Limits Memory Requests Memory Limits AGE --------- ---- ------------ ---------- --------------- ------------- --- Allocated resources: (Total limits may be over 100 percent, i.e., overcommitted.) Resource Requests Limits -------- -------- ------ cpu 0 (0%) 0 (0%) memory 0 (0%) 0 (0%) ephemeral-storage 0 (0%) 0 (0%) Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal Starting 22h kubelet, 192.168.0.143 Starting kubelet. Normal NodeHasSufficientMemory 22h (x2 over 22h) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientMemory Normal NodeHasNoDiskPressure 22h (x2 over 22h) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasNoDiskPressure Normal NodeAllocatableEnforced 22h kubelet, 192.168.0.143 Updated Node Allocatable limit across pods Normal NodeHasSufficientPID 22h (x2 over 22h) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientPID Warning Rebooted 22h kubelet, 192.168.0.143 Node 192.168.0.143 has been rebooted, boot id: 47626a75-0307-4985-a01b-bae9473b5ee1 Normal Starting 64m kubelet, 192.168.0.143 Starting kubelet. Warning Rebooted 64m kubelet, 192.168.0.143 Node 192.168.0.143 has been rebooted, boot id: e96c7a46-055f-4fb3-a36b-d040b5d28ded Normal NodeAllocatableEnforced 64m kubelet, 192.168.0.143 Updated Node Allocatable limit across pods Normal NodeHasSufficientMemory 64m kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientMemory Normal NodeHasSufficientPID 64m kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientPID Normal NodeHasNoDiskPressure 64m kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasNoDiskPressure Normal Starting 18m kubelet, 192.168.0.143 Starting kubelet. Normal NodeHasSufficientMemory 18m (x2 over 18m) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientMemory Normal NodeHasNoDiskPressure 18m (x2 over 18m) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasNoDiskPressure Normal NodeHasSufficientPID 18m (x2 over 18m) kubelet, 192.168.0.143 Node 192.168.0.143 status is now: NodeHasSufficientPID Normal NodeAllocatableEnforced 18m kubelet, 192.168.0.143 Updated Node Allocatable limit across pods Warning Rebooted 18m kubelet, 192.168.0.143 Node 192.168.0.143 has been rebooted, boot id: 729e4b1a-51d3-4753-b1ec-8e510692140a

    上面展示了Node的如下关键信息:

    Node的基本信息:名称、标签、创建时间等;Node的当前运行状态:Node启动后会运行一系列的自检工作,在一切正常时设置Node为Ready状态,该状态表示Node处于健康状态,Master将可以在其上调度新的任务了(如启动Pod);Node的主机地址与主机名;Node上的资源数量:描述Node可用的系统资源,包括CPU、内存数量、最大可调度Pod数量等。主机信息当前运行的Pod列表概要信息;已分配的资源使用概要信息,如资源申请的最低、最大允许使用量占系统总量的百分比;Node相关的Event信息。

    2.3 Pod

    Pod是k8s的最重要也是最基本的概念,它是kubernetes集群中运行部署应用或服务的最小单元,可以支持多容器。它的设计理念是支持多个容器在一个Pod中共享网络地址和文件系统,可以通过进程间通信和文件共享这些简单高效的方式组合完成服务。

    如图是Pod的组成示意图,我们看到每个Pod都有一个特殊的被称为“根容器”的Pause容器。Pause容器对应的镜像属于kubernetes平台的一部分,除了Pause容器,每个Pod还包含一个或多个紧密相关的用户业务容器

    为什么k8s会设计出一个全新的Pod的概念并且Pod有这样特殊的组成结构?

    原因1:一组容器作为一个单元情况下,难以对“整体”简单进行判断及有效地进行行动。

    当一个容器死亡时,此时算整体死亡吗?还是算个体死亡?是N/M的死亡率么?引入业务无关并且不易死亡的Pause容器作为Pod的根容器,以它的状态代表整个容器组的状态,简单、巧妙解决这个难题。

    原因2:Pod里面,多个业务容器之间如何解决彼此的通信和文件共享问题?

    Pod里面多个容器共享Pause容器的IP,共享Pause容器挂接的Volume,这样既简化了密切关联的业务容器之间通信问题,也解决了彼此之间的文件共享问题。

    k8s为每个Pod都分配了唯一的IP地址,称之为Pod IP。一个Pod里面的多个容器共享Pod IP地址。k8s要求底层网络支持集群内任意两个Pod之间的TCP/IP直接通信,通常采用虚拟二层网络技术来实现。牢记一点:在kubernetes里,一个Pod里的容器与另外主机上的Pod容器能够直接通信。

    Pod的两种类型:普通的Pod、静态Pod(static Pod)

    静态Pod并不存放在etcd存储内,而是存放在某个具体的Node上的一个具体文件中,并且只在此Node上启动运行。普通Pod一旦被创建,就会被放入到etcd存储中,随后会被kubernetes进程实例化成一组相关的Docker容器并启动起来。

    在默认情况下,当Pod里某个容器停止时,kubernetes会自动检测到这个问题并且重新启动这个Pod(重启Pod里的所有容器),如果Pod所在的Node宕机,则会将这个Node上的所有Pod重新调度到其他Node节点上。Pod、容器与Node的关系如下:

    kubernetes里的所有资源对象都可采用yaml或JSON格式的文件来定义描述:

    apiVersion: v1 kind: Pod metadata: name: myweb labels: name: myweb spec: containers: - name: myweb image: kubeguide/tomcat-app:v1 ports: - containerPort: 8080 evn: - name: MYSQL_SERVER_HOST value: 'mysql' - name: MYSQL_SERVER_HOST value: '3306'

     解释一下上边各个属性含义:

    kind:为Pod表明这是一个Pod的定义

    metadata:

    name:Pod的名字

    labels:资源对象的标签,这里声明myweb拥有一个name=myweb的标签

    spec:声明容器组的定义规则

    定义了容器的名称、对应镜像名称,该容器注入了环境变量(env关键字),并且在8080端口(containerPort,容器的端口号)上启动容器进程。

    Pod的IP+容器端口(containerPort)组成了一个新的概念-------Endpoint,它表示此 Pod里的一个服务进程的对外通信地址。一个Pod也存在多个Endpoint的情况,当我们把Tomcat定义为一个Pod的时候,可以对外暴露管理端口与服务端口这两个Endpoint。

    2.4 Label(标签)

    Label是k8s系统的另外一个核心概念。一个Label是一个key=value的键值对,其中key与value由用户自己指定。Label通常在资源对象定义时确定,也可以在对象创建后动态添加或删除。

    我们可通过给指定的资源对象绑定一个或多个不同的Label来实现多维度的资源分组管理功能,便于灵活、方便地进行资源分配、调度、配置、部署等管理工作。

    一些常用的Label实例如下:

    版本标签:“release”:"stable",“release”:"canary"....环境标签:“environment”:"dev",“environment”:"qa",“environment”:"production",架构标签:"tier":"frontend","tier":"backend","tier":"middleware"分区标签:"position":"customerA","position":"customerB".....质量管控标签:"track":"daily","track":"weekly"

    Label相当于我们熟悉的“标签”,给某个资源对象定义一个Label,就相当于给它打了一个标签,随后可通过Label Selector(标签选择器)查询和筛选拥有某些Label的资源对象,k8s通过这种方式实现了类似SQL的简单又通用的对象查询机制。

    Label Selector可以类比为SQL语句的where查询条件,如name=redis-slave这个Label Selector作用于Pod时,可以类比为select * from pod where pod's name  ='redis-slave'这样的语句。当前有两种Label Selector的表达式:【1】基于等式;【2】基于集合。

    前者采用“等式类”的表达式匹配标签。具体栗子:

    name=redis-slave:匹配所有具有标签name=redis-slave的资源对象;env!=production:匹配所有不具有env!=production的资源对象

    后者使用集合操作的表达式匹配标签,举个栗子:

    name in (redis-master,redis-slave):匹配所有具有标签name=redis-master或者name=redis-slave的资源对象;name not in (php-frontend):匹配所有不具有标签name=php-frontented的资源对象;

    可以通过多个Label Selector表达式的组合实现复杂的条件选择,多个表达式之间用“,”进行分隔即可,几个条件之间是“AND”的关系,即同时满足多个条件,栗子:

    name=redis-slave,env!=productionname not in (php-frontend),env!=production

    Label Selector在kubernetes中的重要使用场景如下几处:

    kube-controller进程通过资源对象RC上定义的Label Selector来筛选要监控的Pod副本的数量,从而实现Pod副本的数量始终符合预期设定的全自动控制流程。kube-proxy进程通过Service的Label Selector来选择对应的Pod,自动建立起每个Service到对应Pod的请求转发路由表,从而实现Service的智能负载均衡机制。通过对某些Node定义特定的Label,并且在Pod定义文件中使用NodeSelector这种标签调度策略,kube-scheduler进程可以实现Pod“定向调度”的特性。

    假设为Pod定义了3个Label:release、env、role,不同的Pod定义了不同的Label值,如下图所示,如果我们设置了“role=frontend”的Label Selector,则会选取到Node1和Node2上的Pod。

    而设置“rolease=beta”的Label Selector,则会选取到Node2和Node3上的Pod。

    小结:使用Label可以给对象创建多组标签,Label和Label Selector共同构成了kubernetes系统中最核心的应用模型,使得被管理对象能够被精细地分组管理,同时实现了整个集群的高可用性。

    2.5 Replication Controller(副本控制器,RC)

    RC是kubernetes集群中最早的保证Pod高可用的API对象,通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。它其实定义了一个期望的场景,即声明某种Pod的副本数量在任意时刻都符合某个预期值,所以RC的定义包括如下几个部分:

    Pod期望的副本数量(replicas);用于筛选目标Pod的Label Selector;当Pod的副本数量小于预期数量的时候,用于创建新Pod的Pod模板(template);当Pod的副本多于预期数量时,RC就会杀死多余的Pod副本。

    一个完整的RC定义的例子,即确保用于tier=frontend标签的这个Pod在整个kubernetes集群中始终只有一个副本:

    apiVersion: v1 kind: ReplicationController metadata: name: frontend spec: replicas: 1 #预期Pod节点副本数量 selector: #标签选择器 tier: frontend template: metadata: labels: app: app-demo tier: frontend spec: containers: - name: tomcat-demo image: tomcat imagePullPolicy: IfNotPresent evn: - name: GET_HOSTS_FROM value: dns ports: - containerPort: 80  我们定义一个RC并提交到kubernetes集群中后,Master节点上的Controller Manager组件就得到通知,定期巡检系统中存活的目标Pod,并确保目标Pod实例的数量刚好等于此RC的期望数量,如果有过多的Pod副本在运行,系统就会停掉一下Pod,否则系统就会再自动创建一些Pod。通过RC,kubernetes实现了用户应用集群的高可用性,并且大大减少了系统管理员的手工运维工作。

    我们以3个node节点的集群为例,说明kubernetes如何通过RC来实现Pod副本数量自动控制的机制。加入我们的RC里定义redis-slave这个Pod需要保持3个副本,系统将可能在其中的两个Node上创建Pod。下图将描述在两个Node上创建redis-slave Pod的情形。

    加入Node2上的Pod2意外终止,根据RC定义的replicas数量2,kubernetes将会自动创建并启动一个新的Pod,以保证整个集群中始终有两个redis-slave Pod在运行。

    如下图所示,系统可能选择Node1或者Node3来创建一个新的Pod:

    此外,在运行时,我们可以通过修改RC的副本数量,来实现Pod的动态缩放(Scaling)功能。

    这可以通过执行kubectl scale命令来一键完成:

    # kubectl scale rc redis-slave --replicas=3

    Scaling的执行结果如下图所示:

    注意:删除RC并不会影响通过该RC已创建好的Pod。为了删除所有Pod,可以设置replicas的值为0,然后更新该RC。另外,kubectl提供了stop和delete命令来一次性删除RC和RC控制的全部Pod。

    RC实现kubernetes应用升级:

    传统升级方式:通过Build一个新的Docker镜像,并用新的镜像版本替代旧版本达到升级目标。

    平滑升级方式:当前系统中10个对应的旧版本的Pod,可以让旧版本的Pod每次停止一个,同时创建一个新版本的Pod,在整个升级过程中,此消彼长,而运行的Pod数量始终是10个,当所有的Pod都已是新版本时,升级过程完成。通过RC的机制,kubernetes很容易就实现了高级实用的特性,即“滚动升级(Rolling Update)”

    在kubernetes 1.2版本后,RC升级为一个新的概念--------Replica Set,即下一代RC。

    它与当前RC的区别:Replica Set支持基于集合的Label Selector(Set-based selector),而RC只支持基于等式的Label Selector(equality-based selector)。

    RC的一些特性与作用:

    通过定义一个RC实现Pod的创建过程及副本数量的自动控制;RC里包含完整的Pod定义模板;RC通过Label Selector机制实现对Pod副本的自动控制;通过改变RC中的Pod副本数量,可以实现Pod的扩容或缩容功能;通过改变RC中Pod模板中的镜像模板,可以实现Pod的滚动升级功能。

    2.6 Service(服务)

    2.6.1 概念

    kubernetes中的每个service就是我们常提起的微服务架构中的一个“微服务”,先前说的Pod、RC等资源对象就是为kubernetes service做“嫁衣”的。如图显示了Pod、RC与service的逻辑关系:

    上图,kubernetes的service定义了一个服务的服务入口地址,前端应用(Pod)通过这个入口地址访问其背后的一组由Pod副本组成的集群实例,Service与其后端Pod副本集群之间则是通过Label Selector来实现“无缝对接”。而RC的作用实际上就是保证Service的服务能力和质量始终处于预期的标准。

    Service不是共用一个负载均衡器的IP地址,而是每个Service分配了一个全局唯一的虚拟IP地址,即Cluster IP,这样每个服务就变成了具备唯一IP地址的“通信节点”,服务调用就变成了最基础的TCP网络通信问题。

    我们知道Pod的Endpoint地址会随着Pod的销毁和重新创建而发生改变,因为新Pod的IP地址与之前旧Pod的不同。而Service一旦创建,kubernetes就会自动为它分配一个可用的Cluster IP,而在Service的整个生命周期内,它的Cluster IP不会发生改变。关于地址改变问题:只要用Service的name与Cluster IP地址做一个DNS域名映射即可完美解决。关于Endpoint列表,我们可以通过#kubectl get endpoints来查看

    2.6.2 kubernetes的服务发现机制

    任何分布式系统都会涉及“服务发现”这个基础问题,kubernetes采用了直观朴素的思路去解决这个问题。

    每个kubernetes中的Service都有一个唯一的Cluster IP以及唯一的名字,而名字是开发者自己定义的,部署的时候也没必要改变,所有完全可以固定在配置中。接下来的问题就是如何通过Service的名字找到对应的Cluster IP?

    最早的时候kubernetes采用了Linux环境变量的方式解决这个问题,即每个Service生成一些对应的LInux环境变量(ENV),并在每个Pod的容器启动时,自动注入这些环境变量。

    kubernetes通过Add-On增值包的方式引入了DNS系统,把服务名作为DNS域名,程序就可以直接使用服务名来建立通信连接了,目前kubernetes的大部分应用都已经采用了DNS这些新兴的服务发现机制。

    2.6.3 外部系统访问Service的问题

    kubernetes中存在“三种IP”,分别如下:

    Node IP:Node节点的IP地址Pod IP:Pod的IP地址Cluster IP:Service的IP地址

    首先,Node IP是kubernetes集群中每个节点的物理网卡的IP地址,真实存在的物理网络,所有属于这个网络的服务器之间都能通过这个网络直接通信,不管它们中是否有部分节点不属于这个kubernetes集群。这也表明了kubernetes集群之外的节点访问kubernetes集群之内的某个节点或者TCP/IP服务的时候,必须要通过NodeIP进行通信。

    其次,Pod IP是每个Pod的IP地址,它是Docker Engine根据docker()网桥的IP地址段进行分配的,常为虚拟的二层网络。kubernetes要求位于不同Node上的Pod能够彼此直接通信,所有kubernetes里一个Pod里的容器访问另外一个Pod里的容器,就是通过Pod IP所在的虚拟二层网络进行通信的,而真实的TCP/IP流量则是通过Node IP的物理网卡流出的。

    最后,关于Service的Cluster IP,它也是一个虚拟的IP,但是更像是一个“伪造”的IP网络,原因如下:

    Cluster IP仅仅作用于kubernetes Service这个对象,并由kubernetes管理和分配IP地址(来源于Cluster IP地址池)Cluster IP无法被ping,应为没有一个“实体网络对象”来响应Cluster IP只能结合Service Port组成一个具体的通信端口,单独的Cluster IP不具备TCP/IP通信的基础,并且它们属于kubernetes集群这样一个封闭的空间,集群之外的节点如果要访问这个通信端口,则需要做一些额外的工作在kubernetes集群之内,Node IP网、Pod IP网与Cluster IP网之间的通信,采用kubernetes的特殊路由规则。

    由此可知,Service的Cluster IP属于kubernetes集群内部的地址,无法在集群外部直接使用这个地址。比如web端的服务模块,我们可采用 NodePort来解决,在其Service文件中定义nodeport端口,我们在浏览器里服务http://<nodeport IP>:nodeport/

    NodePort的实现方式是在kubernetes集群里的每个Node上为需要外部访问的Service开启一个对应的TCP监听端口,外部系统只需任意一个Node的IP地址+r具体的NodePort端口号即可访问此服务。在任意Node上运行netstat命令,可看大所有NodePort端口被监听:#netstat -tlp | grep 8080

    当然,NodePort并没有完全解决外部访问Service的所有问题,比如负载均衡问题。

    2.7 Namespace(命名空间)

    namespace用于实现多租户的资源隔离。它通过将集群内部的资源对象“分配”到不同namespace中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。

    kubernetes集群在启动后,会创建一个名为“default”的Namespace,通过kubectl可以查看到:#kubectl get namespaces

    如果不特别指明Namespace,则用户创建的Pod、RC、Service都将被系统创建到这个默认的名为default的Namespace中。Namespace的定义很简单,如下所示yaml定义了名为development的Namespace。

    apiVersion: v1

    kind: Namespace

    metadata:

      name: development

    2.8 Annotation(注解)

    Annotation与Label类似,也是以key-value键值对的形式进行定义。不同的是Label具有严格的命名规则,它定义的时kubernetes对象的元数据(Metadata),并且勇于Label Selector,而Annotation则是用户任意定义的“附加”信息,以便于外部工具进行查找,而kubernetes的模块自身会通过Annotation的方式标记资源对象的一些特殊信息。

    通常来说,用Annotation来记录的信息如下:

    build信息、release信息、Docker镜像信息等,例如时间戳、release id号、PR号、镜像hash值、docker registry地址等日志库、监控库、分析库等资源库的地址信息程序调试工具信息团队的联系信息

    3、 Kubernetes工作流程

    【1】创建一个包含应用程序的Develpment的yml文件,然后通过kubectl客户端工具发送给ApiServer;【2】ApiServer接收到客户端的请求并将资源内容存储到数据库etcd中【3】Controller组件(包含scheduler、replication、endpoint)监控资源变化并作出反应【4】ReplicaSet检查数据库变化,创建期望数量的Pod实例【5】Scheduler再次检查数据变化,发现尚未被分配到具体执行节点(Node)的Pod,然后根据一组相关规则将Pod分配到可以运行它们的节点(Node)上,并更新数据库,记录Pod分配情况。【6】kubelet监控数据库变化,管理后续Pod的生命周期,发现被分配到它所在的Node节点上运行的那些Pod。如果找到新的Pod,则会在该节点上运行这个新的Pod,也就是告诉Doeck Engine运行这个Pod【7】kuberproxy运行在集群各个主机上,管理网络通信,如服务发现、负载均衡。例如当有数据发送到主机时,将其路由到正确的pod或容器。对于从主机上发出的数据,它可以基于请求地址发现远程服务器,并将数据正确路由,在某些情况下会使用轮训调度算法(Round-robin)将请求发送到集群中的多个实例。
    最新回复(0)