一、基本概念

(一) Why Container?

这篇文章中我们介绍了Docker的基本概念以及入门教程。在这里我们聊一下为什么我们需要使用容器。通过下面的图进行对比。

在传统的项目部署时,使用物理机或者VM(虚拟机)来直接安装。如左图所示,在内核的上层是运行环境(需要一系列手动安装或使用脚本主动安装),上层运行着一个一个独立的APP。对于VM来说,它是可以整体迁移的,但是这个迁移还是比较重,主要体现在VM是整个操作系统的镜像实例,在做扩容和迁移时需要大费周章。
转到右图,容器是一个更轻量级的概念,他存在于VM之上,拥有自己的文件系统,也拥有一个独立的ip,等等。每一个应用均运行在一个容器中,有容器为其提供所需要的基础资源和运行时环境。它更适合扩展和迁移,并且迁移成本极低(镜像发布)。

(二)K8s是用来做什么的

简单来说,Docker不具备自动扩容、负载均衡以及分布式集群部署的能力。Kubernetes是容器集群管理系统,是一个开源的平台,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它是基于容器(通常是Docker)之上的。

二、K8s架构

我们从整体架构来入手。下面是一张K8s架构图。
K8s架构

(一)kubectl/user-client

这一层是给K8s的运维人员使用的,kubectl是命令行交互工具,可以通过它来操作K8s集群。

(二)Master

首先K8s是基于主从(Master-Slaver)模型的,Master节点负责整个集群的调度管理工作,不负责应用的运行。在K8s中,Master节点可以简称为Master,SLave节点可以简称Node。在企业级K8s集群中,通常存在多个Master节点以实现HA(高可用)。

Master节点全部的持久化数据都存储在ETCD上,除此之外,Node、Pod的运行状态、用户的配置信息等也都存放在此。值得注意的是,只有Api-SERVCER组件有权限读写ETCD,因此只能通过API-SERVER来访问ETCD。
Master节点还包含Scheduler进行资源调度,将Pod调度到满足条件的Node上运行。
ControllerManager负责管理全部的Controller,这些Controller负责监控、调度集群的状态,比如故障检测、自动扩展、滚动更新等。
ApiServer负责接收K8S所有请求,是k8s资源操作的唯一入口,并提供认证、授权、访问控制、API 注册和发现等机制。API Server根据的具体请求,去通知其他组件干活。

(三)Node

在Node上通常有Kublet、Kybe-proxy以及Conatiner-Runtime。
Kubelet是Node的监视器。每个节点上都运行一个 kubelet 服务进程,默认监听 10250 端口,接收并执行 master 发来的指令,管理 Pod 及 Pod 中的容器。每个 kubelet 进程会在 API Server 上注册节点自身信息,定期向 master 节点汇报节点的资源使用情况,并监控节点和容器的资源,维护node节点上Pod的生命周期。
Kube-Proxy是K8S的网络代理。Kube-Proxy负责Node在K8S的网络通讯、以及对外部网络流量的负载均衡。
Container Runtime是Node的运行环境。容器运行时(Container Runtime)是 Kubernetes 最重要的组件之一,负责真正管理镜像和容器的生命周期。Kubelet 通过 Container Runtime Interface (CRI) 与容器运行时交互,以管理镜像和容器。Docker是比较常见的容器运行时。

三、相关术语解释

(一)Node

Node即一台物理机或者VM。
Node是Kubernetes中的工作节点,最开始被称为minion。每个Node(节点)具有运行pod的一些必要服务,并由Master组件进行管理,Node节点上的服务包括Docker、kubelet和kube-proxy。

(二)Pod(K8中最重要的概念)

1. Pod是什么

Pod是Kubernetes创建或部署的最小/最简单的基本单位,一个Pod代表集群上正在运行的一个进程。
一个Pod封装一个应用容器(也可以有多个容器),存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。Pod代表部署的一个单位:Kubernetes中单个应用的实例,它可能由单个容器或多个容器共享组成的资源。

Docker是Kubernetes Pod中最常见的runtime ,Pods也支持其他容器runtimes。

2. Pod工作方式

Kubernetes中的Pod使用可分两种主要方式:

  • Pod中运行一个容器。“one-container-per-Pod”模式是Kubernetes最常见的用法; 在这种情况下,你可以将Pod视为单个封装的容器,但是Kubernetes是直接管理Pod而不是容器。
  • Pods中运行多个需要一起工作的容器。Pod可以封装紧密耦合的应用,它们需要由多个容器组成,它们之间能够共享资源,这些容器可以形成一个单一的内部service单位 - 一个容器共享文件,另一个“sidecar”容器来更新这些文件。Pod将这些容器的存储资源作为一个实体来管理。
    每个Pod都是运行应用的单个实例,如果需要水平扩展应用(例如,运行多个实例),则应该使用多个Pods,每个实例一个Pod。在Kubernetes中,这样通常称为Replication。Replication的Pod通常由Controller创建和管理(自动扩容)。

3. Pod网络

每个Pod被分配一个独立的IP地址,Pod中的每个容器共享网络命名空间,包括IP地址和网络端口。Pod内的容器可以使用localhost相互通信。

4. Pod存储

Pod可以指定一组共享存储volumes。Pod中的所有容器都可以访问共享volumes,允许这些容器共享数据。volumes 还用于Pod中的数据持久化,以防其中一个容器需要重新启动而丢失数据。

(三)Volume

Volume中文名叫,是Pod数据持久化存储的地方。
默认情况下容器中的磁盘文件是非持久化的,对于运行在容器中的应用来说面临两个问题:

  • 第一,当容器挂掉kubelet将重启启动它时,文件将会丢失。
  • 第二,当Pod中同时运行多个容器,容器之间需要共享文件。Volume就解决了这两个问题。

你可以简单地认为Volume就是Pod的磁盘,它同Pod的生命周期一致,当Pod被销毁时Volume即被销毁。
Kubernetes支持许多类型的Volume。这里就不详细介绍了。

(三)组件

K8s同传统的分布式模型一样,有Master-Node之分。

1. Master组件

Master组件提供集群的管理控制中心。Master相关的组件并不是只能运行在Master节点上,而是通常来讲将其运行在Master节点上。

(1)kube-apiserver

kube-apiserver用于暴露Kubernetes API。任何的资源请求/调用操作都是通过kube-apiserver提供的接口进行。

(2) ETCD

K8S的存储服务。ETCD保存了集群中Master Node和Worker Node中各个组件的状态,同时也存储了K8S的关键配置和用户配置,k8s架构所有需要持久化的数据都会存储在ETCD中。K8S中仅API Server才具备读写权限,其他组件必须通过API Server的接口才能读写数据;

(3)kube-controller-manager

控制器管理器,管理所有的控制器。K8s包含的控制器可以分为:

  • 节点(Node)控制器。
  • 副本(Replication)控制器:负责维护系统中每个副本中的pod。
  • 端点(Endpoints)控制器:填充Endpoints对象(即连接Services&Pods)。
  • Service Account和Token控制器:为新的Namespace创建默认帐户访问API Token。
(4)kube-scheduler

这个组件的作用是为未分配的Pod分配一个Node。

(5)DNS

不强制。但是每一个K8s集群都应该使用DNS组件。

(6) kube-ui

图形化管理界面。

(7) 容器资源监测
(8) Cluster-level Logging

日志

2. Node组件

节点组件运行在Node,提供Kubernetes运行时环境,以及维护Pod。

(1)kubelet

kubelet是主要的节点代理,它会监视已分配给节点的pod,具体功能为:

  • 安装Pod所需的volume。
  • 下载Pod的Secrets。
  • Pod中运行的 docker(或experimentally,rkt)容器。
  • 定期执行容器健康检查并报告。
(2) kube-proxy

kube-proxy通过在主机上维护网络规则并执行连接转发来实现Kubernetes服务抽象。
kube-proxy在每个Node上。服务集群 IP 和端口是通过 Docker-links-compatible 环境变量找到的,指定proxy打开的端口。DNS组件为这些集群 IP 提供集群 DNS。用户必须使用上问题到的 apiserver API 创建服务来配置代理。

(3)docker

每一个Node需要安装Docker

(4) supervisord

监控并保障kubelet和docker正常运行。

(5) fluentd

日志

(四) 对象

对象即指本节中提到的几乎全部的概念。K8s对象包括:

类别名称
资源对象Pod、ReplicaSet、ReplicationController、Deployment、StatefulSet、DaemonSet、Job CronJob、HorizontalPodAutoscaling
配置对象Node、Namespace、Service、Secret、ConfigMap、Ingress、Label、ThirdPartyResource、 ServiceAccount
存储对象Volume、Persistent Volume
策略对象SecurityContext、ResourceQuota、LimitRange

这些对象使用kubectl命令,传入yml文件作为参数来配置部署方案。

一个例子

假设我们配置yml文件内容如下:

apiVersion: apps/v1beta1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 3
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.7.9
        ports:
        - containerPort: 80

命令如下:

$ kubectl create -f docs/user-guide/nginx-deployment.yaml --record

(五)Names、NameSpace、Labels、Service、Deployment

  • Name是对象的Name,除此之外还有UID,每一个Name在同一个NameSpace下只能有一个。当K8s用户较多时,可以创建NameSpace,便于管理用户和权限。
  • 在一个Kubernetes集群中可以使用namespace创建多个“虚拟集群”,这些namespace之间可以完全隔离,资源名称在同一个命名空间内需保持唯一,但是两个不同的命名空间可以包含同名的资源。例如service访问pod时,如果service的命名空间不指定正确,那么就无法通过标签关联到pod。但是可以通过某种方式,让一个namespace中的service可以访问到其他的namespace中的pod。也就是说命名空间不会隔离不同空间下的Pod 之间的网络通讯,除非针对命名空间加了相应的安全策略。
  • 和Name类似,Labels也是对象的属性,它以key-value的形式存在,可以存在于命令或者yml中。
  • Service代理Pod的对外接口,外部通过Service来访问Pod。实际上算作一层代理。
  • Deployment的作用是管理和控制Pod和ReplicaSet,管控它们运行在用户期望的状态中,确保每时每刻有用户要求数量的Pod在工作。如果一旦发现某Pod不行了,就从其他的node上启动一个新的pod替换掉。

每个pod有独一的ip地址,当有多个pod提供相同的服务的时候,就需要有负载均衡的能力,从而这里就涉及到一个概念就是service,专门用来提供服务的。服务主要是用来提供外界访问的接口,service可以关联一组pod,这些pod的ip地址各不相同,而service相当于一个复杂均衡的vip,用来指向各个pod,当pod的ip地址发生改变之后,也能做到自动进行负载均衡,在关联的时候,service和pod之间主要通过label来关联,也就是标签,例如图中的A,B就是标签,每个deployment通过标签可以知道它所管理哪些pod
##(六)ReplicaSet
ReplicaSet 的目的是维护一组Pod在任何时候都处于稳定运行的状态。 因此,它通常用来保证给定数量的、完全相同的 Pod 的可用性。ReplicaSet受控制于Deployment
##(七)Ingress
Ingress是整个K8S集群的接入层,负责集群内外通讯,类似springcloud的zuul网关的作用。

四、一个例子

为了缩短篇幅本文不详细描述搭建K8s集群的过程,实际上,可以有多种方式搭建K8s集群,你可以选择简单地MiniKube搭建,也可以选择搭建一个完全自定义的K8s集群,都有相应的社区文档参考。

我们以在K8s上部署一个Nginx应用为例

  1. 新建NameSpace配置文件:nginx-namespace.yaml
apiVersion: v1 #类型为Namespace
kind: Namespace  #类型为Namespace
metadata:
  name: ns-test  #命名空间名称
  1. 创建NameSpace
#创建
kubectl create -f nginx-namespace.yaml
#查询
kubectl get namespace
  1. 在Namespace下创建资源,通过deployment-controller来创建pod。
# 新建配置文件
vim nginx-deployment.yaml

# 配置文件内容
apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: ns-test
  name: nginx-deployment
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 2
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:alpine
        ports:
        - containerPort: 80

#创建
kubectl create -f nginx-deployment.yaml
#查询
kubectl get deployment
#或
kubectl get pods -n ns-test
  1. 创建service,使用随机生产ip
vim nginx-service.yaml

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
spec:
  selector:
    app: nginx
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80

kubectl create -f nginx-service.yaml
//查看生成的ip
kubectl get svc nginx-service -o wide

五、参考文章

http://docs.kubernetes.org.cn/227.html
https://www.jianshu.com/p/20e8a74e3a73
https://www.jianshu.com/p/a73c33283de8
https://www.jianshu.com/p/8e077225e4f7

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐