kubernetes基础概念

kubernetes基础概念

 

kubernetes有以下几个特性：

1.自动装箱： 能自动完成容器的部署，而不影响其可用性。
2.自我修复： 如果容器崩了，它可以在一秒钟启动。 没必要修复，在从起一个容器就行了。
3.水平扩展： 只要物理资源平台是足够的，就可以水平扩展
4.服务发现和负载均衡：

 • master/node

　　• master节点上的组件 : API Server, Scheduler(调度器), Controller-Manager(控制器)
　　• node节点上的组件 : kubelet, docker, kube-proxy

• Pod, Label, Label Selector  
　　• Label : key=value
　　• Label Selector :

1.apiserver提供了资源对象的唯一操作入口，其它所有的组件都必须通过它提供的API来操作资源对象。

2.Controller Manager：集群内部的管理控制中心，主要目的是实现kubernetes集群的故障检测和自动回复等工作。

3.etcd：数据库，系统的所有状态都存储在这里。

4.scheduler：负责资源的调度，按照预定的调度策略将Pod调度到相应的机器上

5.kubelet：负责维护容器的声明周期，同时也负责Volume (CVI) 和网络(CNI) 的管理。

6.Container runtime：负责镜像管理以及Pod和容器的真正运行(CRI)

7.kube-proxy：负责为Service提供cluster内部的服务发现和负载均衡

• Pod 有两类:
　　• 自主式Pod (自我管理的，不建议这种)
　　• 控制器管理的Pod
　　　　• ReplicationController (副本控制器)
　　　　• ReplicaSet (副本集控制器)
　　　　• Deployment (管理无状态的应用)
　　　　• StatefulSet (有状态副本集控制器)
　　　　• DaemonSet (管理无状态的应用)
　　　　• Job, Ctonjob (作业)

　　Pod是K8S里最小的单位，是个虚拟的概念，其实就是指K8S里跑的一组docker容器，pod的设计理念是支持多个容器在一个pod中共享网络地址和文件系统，可以通过进程间通信和文件共享这种简单高效的方式组合完成服务。

　　Pod是kubernetes集群中所有业务类型的基础，可以看作运行在K8S集群中的小机器人，不同类型的业务就需要不同类型的小机器人去执行。目前K8S中的业务主要可以分为长期伺服型(long-running)、批处理型(batch)、节点后台支撑型(node-daemon) 和有状态应用型(stateful application); 分别对应的控制器为Deployment、Job、DaemonSet和PetSet。

　　Label是元数据信息，当然有很多种，Label只是其中一种元数据是k-v类型的数据格式

　　Replica Set：K8S集群中保证Pod高可用的API对象。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RS就会启动运行新的Pod副本；多于指定数目，RS就会杀死多余的Pod副本。即使在指定数目为1的情况下，通过RS运行Pod也比直接运行Pod更明智，因为RS也可以发挥它高可用的能力，保证永远有1个Pod在运行。RS适用于长期伺服型的业务类型，比如提供高可用的Web服务。

　　Pod是有声明周期的，随时都会有旧的离去，新的加进来，加入他们都是同一种服务，这时候客户端是没法固定的访问Pod的。因为Pod本身就是不固定的，随时可能被替换掉，无论是主机名或者是IP地址都随时会被替换掉。这时候就需要用到服务发现机制了。为了尽可能降低二者之间的复杂度，所以他中间就需要有一个service层，service层只要不删除，它的地址是固定的，名称也是固定的。客户端连接service层，只需要在配置文件中写明服务的地址或名称就行。这个服务还能起到调动的功能。然后服务代理到Pod。客户端看见的至始至终都是service端的地址，看不到Pod的地址。在K8s上service可不是一个应用程序，也不是实体组件，它是iptables的DNAT规则。其实也就是所有到达某个地址的都统统被目标地址转换成XXX地址。没有绑在网卡上，但是能被ping通。service名称也可以被解析，需要在K8S中部署一个DNS的Pod。DNS解析的是service层的地址。

　　因为service层连接后端的Pod(docker)，不是靠的IP地址和主机名加端口的方式，是通过标签(Label)的方式来识别新起的Pod。连接以后再动态探测Pod的IP地址。每一个软件都有一个service层，例如NMT环境，NGINX就有单独的service层，Tomcat有自己单独的service层。MySQL也有自己的service层。每个服务都有自己的控制器Controller，会根据标签控制Pod的数量。

　　因为service层是通过iptables的DNAT规则来访问后端的Pod的，但是iptables是负载均衡是ipvs负责的。如果后端有很多的Pod的话，就以为着DNAT是多目标的。因此在调度效果上不太如任意，在1.11版本当中已经把iptables规则改成了ipvs规则。每个service都是ipvs规则，是NAT型的。

　　控制器Controller怎么去识别自己的Pod够不够呢？是通过标签来决定的。

　　定义一个NGINX的Pod控制器，控制器会自动创建相关的Pod。

　　service层需要手动创建。

service有两种类型：
　　1、创建以后，只供K8S内部使用Pod客户端所访问
　　2、也可以提供K8S外部的集群客户端所访问

AddOns: 附件 (DNS)

监控的话可以用普罗米修斯+grafana

K8S集群网络模型有3种：
　　1、每个Pod运行在同一个网络中。称为Pod网络
　　2、service层运行在另外一个网络，和Pod是在不同网段的地址。是假的地址，存在iptables 或 ipvs 的规则之中。被称为集群网络
　　3、各节点的网段也是一个单独的网络。称为节点网络。

　　外部访问时先经过节点网络，节点网络代理至集群网络，再由集群网络代理至Pod网络。

Pod和Pod怎么通信？

　　• 同一个Pod内的多个容器间： lo 本地接口
　　• 各Pod之间的通信： 通过Overlay Network 叠加网络。
　　• Pod与Service之间的通信： 把报文指向网关

集群中API Server的信息都存储在 etcd 分布式文件存储中。因此etcd需要布置一个集群。

etcd需要跟内部通信，还要跟API Server通信，API Sserver也需要跟其他node通信，所以需要很多套CA加密证书。但是K8S不提供证书，需要安装插件。

K8S不提供网络，运行Pod得提供网络管理功能，需要通过第三方插件来实现。通过CNI:网络容器接口就可以实现管理K8S网络功能。

CNI：
　　flannel : 网络配置，不支持网络策略 部署易 叠加网络
　　calico : 网络配置，网络策略 部署难 三层隧道网络
　　canel : 结合上面两个的功能

 

1. 核心层：K8S最核心的功能，对外提供API构建高层的应用，堆内提供插件式应用执行环境

2. 应用层：部署(无状态应用、有状态应用、批处理任务、集群应用等) 和路由 (服务发现、DNS解析等)

3. 管理层：系统度量(如基础设施、容器和网络的度量)，自动化(如自动扩展、动态Provision等) 以及策略管理(RBAC、Quota、PSP、NetworkPolicy等)

4. 接口层：kubectl命令行工具、客户端SDK以及集群联邦

5. 生态系统：在接口层之上的庞大容器集群管理调度的生态系统，可以划分为两个范畴

　　kubernetes外部：日志、监控、配置管理、CI、CD、Workflow、FaaS、OTS应用、ChatOps等
　　kubernetes内部：CRI、CNI、CVI、镜像仓库、Cloud Provider、集群自身的配置和管理等。 

K8S 架构设计的优缺点：优点

　　1、容错性：保证K8S系统稳定性和安全性的基础
　　2、易扩展性：保证K8S对变更友好，可以快速迭代增加新功能的基础。
　　　　API分版本，API可自由扩展(CRD)
　　　　插件化，调度器，容器运行时，存储均可扩展
　　3、声明式 (Declarative) 的而不是命令式 (Imperative)：
　　　　声明式操作在分布式系统中的好处是稳定，不怕丢操作或运行多次，例如设置副本数为3的操作运行多次也还是一个结果，而给副本数加1的操作就不是声明式的，运行多次结果就错了。

K8S 架构设计的优缺点：缺点

　　1、配置中心化：所有状态都保存在中心的etcd上，而非分布式存储，性能有一定制约
　　2、单体调度：调度一致性好而吞吐低

 

查看全文