[toc]

k8s

k8s是容器编排系统
Master： api server，scheduler，controller-manager 控制平面
api server: 部署完成后默认监听的所有地址（0.0.0.0）6443（早期的k8s版本，会提供两个套接字8080和6443），8080是明文协议，6443是密文协议。由于明文不安全，现在只剩6443端口。
接入api server时， 应该使用node网络的6443端口，与之交互
api server：要做用户认证，双向认证。它不仅要自己的证书，而且还需要客户端证书。而这个证书也应该由k8s认证的CA机构颁发存在。在/etc/kubernets/pki 下的证书，在admin.conf 下就有认证api server的证书路径
scheduler:调度node
controller-manager： 控制器创建pod

k8s上的资源

Pod, Pod Controller,Service
Pod创建： 
1、直接创建
2、Pod controller 创建
Pod Controller 有多种类型,Deployment 是一种类型，需要向类型属性附值，才能创建出特定的控制器。
service： 也是一种类型，向service属性附值，创建出service对象

工作平面

Node:
1.运行Pod
2.把设定在Pod上的service转换成ipvs或iptables
以上两种功能，主要有运行在Node上的组件kube-proxy完成。它会监控每个service的变化，来完成相应的ipvs和iptables规则转换

k8s资源级别

k8s有集群级别资源和名称空间级别资源
在集群资源级别，可以划分多个名称空间。
kubectl get ns 查看集群上的名称空间
一般安装完k8s会有名称空间
default:默认的名称空间，没有运行任何Pod
kubectl get pods 查看默认名称空间下的Pod
kube-public 指公共的名称空间
kube-system 系统级别的名称空间，所有的Pod都运行，在此名称空间下
Pods 名称空间级别的资源
kubectl get pods -n kube-system -o wide 显示 Pod的长格式，Pod运行的节点和Pod的IP
kubectl api-resources 查看当前系统上支持多少种资源类型

创建资源

kubectl create -h   查看帮助
kubectl create namespace testing 创建测试环境
kubectl create namespace develop 创建名称空间（开发环境）
kubectl delete namespace develop  删除资源
kubectl delete ns/testing   删除testing名称空间
kubectl delete ns/develop

kubectl create deployment
kubectl create deployment nginx-dep --image=nginx:1.14-alpine  创建deployment控制器nginx-dep，并拉取镜像nginx:1.14-apline
1.先创建ngx-dep控制器
2.再由这个控制器创建指定镜像的Pod

创建service
 kubectl create service clusterip ngx-svc  --tcp 80:80
kubectl get svc/ngx-svc -o yaml   由于此处没有指定Pod，此处创建不合理
kubectl create service clusterip ngx-dep --tcp 80:80
kubectl descibe ngx-dep 查看是否添加到了后端节点Pod，注意如果没有添加上注意service的标签选择器选择的pod标签是否 后端pod的标签相同


动态伸缩
kubectl scale -h
kubectl scale --replicas=3 deploy ngx-dep  //deployment可以动态扩缩容
kubectl create svc nodeport ngx-dep --tcp=80:80
kubectl desribe svc/ngx-dep  //查看service服务是否挂载了Pod
访问任一宿主机端口，都能访问pod内容，因为每个宿主机都做了iptables规则
因为每个Node都运行着kube-proxy

查询资源

kubectl get 资源/资源名称
       -o wide  长格式显示
       -o  yaml以yaml格式显示资源
每个资源基本于 apiVersion,kind,metadata,spec,status 五个一级字段组成
-o  json 输出json格式
输出资源的描述信息，一般查看状态信息
kubectl describe 资源/资源名称

k8s所有的东西，都是围绕Pod展开的
service：是让Pod访问更加固定
deployment：是让Pod更加稳定

image.png

apiserver:相当于集线器，所有组件都与api server交互，因为api server有严格的访问控制
而与etcd交互的只有apiserver，因为etcd存放用户所有的请求信息。如果etcd崩溃。整个k8s集群崩溃，所以我们要定时备份etcd中的数据，并且要给etcd做成集群
apiserver是整个集群的gateway
k8s的api是HTTP格式的api，是json格式的，能展示为yaml。是把json转换成yaml，提交是json格式，也支持grpc协议。（RPC是远程服务调用），grpc是Google的RPC。
api server：是RESTFUL风格的api，是表征状态转移（REST）
Api server:把api 接口中的资源分为了多个逻辑组合
每个组合为api group，即api 群组
kubectl api-version  显示有多少个群组,master上执行
v1 是核心资源群组
每一个资源，一定是某个群组下的属性赋值。每个组可以独立演进，每个组还可以多版本共存。资源对象的配置格式
Api server 接受和返回的所有JSON对象，都遵循同一模式，它们都具有'kind'和'api version'字段，用于标识对象所属资源类型，API 群组及相关版本
大多数的对象和列表资源还需要三个嵌套类型的字段，metadata,spec和status
metadata:字段为资源提供源数据信息，例如名称、隶属的名称空间和标签
spec: 用户定义用户。期望的状态，不同的资源类型其状态意义各不相同。例如：Pod资源最为核心的功能在于运行容器
status: 则记录着活动对象的当前状态信息，它由kubernets系统自行维护，对于用户来说为只读字段'kubectl api-resources'这个命令可以获取集群支持的所有资源类型
和解循环(Reconciliation loop)
客户端向api server提交POST请求以创建对象，控制器负责将其创建为kubernets集群上的具体对象（活动对象），并确保当前状态（status）与用户定义的期望状态相同
控制器通过和解循环（loop）不间断的监控着相关对象的当前状态，在对象的当前状态发生改变时运行合适的操作，让其当前状态无线接近期望的状态

Pod资源说明

kubectl的命令可分为三类
陈述式命令（Imperative Commands)直接创建资源
陈述式对象配置（Imperative Object Configuration) 使用yaml或json 格式定义资源，然后使用create 命令创建资源
声明式对象配置（Declarative Object Configuration）使用yaml和json格式定义资源,使用apply命令进行对资源的增删改查。一般使用apply 做增和改，删除还用delete

[root@k8s-master basic]# cat develop-ns.yaml 
apiVersion: v1
kind: Namespace
metadata:
  name: develop

kubectl create -f develop-ns.yaml
kubectl get namespace
kubectl delete -f develop-ns.yaml
kubectl apply -f develop-ns.yaml
如果配置文件修改，重新apply 一下就可以，apply 可以指定一个目录，用来加载这个目录下所有的配置文件
 kubectl get pods ngx-dep-5d855b5b54-85c7p -o yaml > pod.yaml  //可以导出pod yaml
[root@k8s-master basic]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: pod-daemon
 namespace: develop
spec:
 containers:
   - name: myapp
     image: ikubernetes/myapp:v1
     imagePullPolicy: IfNotPresent

---------------------------------------------------------------------------------------
imagePullPolicy:有三种策略拉取镜像
1、always 无论有没有镜像都会从互联网上拉下来
2、nerver 如果本地没有镜像，就会启动不成功
3、ifNotPresent: 如果本地有，就直接启动。如果本地没有就从互联网pull下来
如果不定义imagepullPolicy的话，会根据镜像的标签的值进行pull策略，镜像的标签值是latest，则默认是always。如果标签的值是具体版本号，则默认值是IfNotPresent

pod的配置清单的其他字段,在spec下的containers
name: 容器的名字
resource：定义此容器所使用的资源
dnsPolicy：定义我们的dns的策略
     clusterFirst: 是首先使用k8s集群的dns
enableServiceLinks: true 定义pod是否被service引用
priority: 0 定义此容器的优先级，与容器优先级很像
restartPolicy: always 重启策略，always 只要容器一down就立即重启
securityContext: 安全上下文
kubectl explain pods 查询pods定义
kubectl explain pods.metadata  可以向下一级查询，只要下一级为object对象
[root@k8s-master basic]# cat pod-daemon.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: pod-daemon-2
 namespace: develop
spec:
 containers:
   - name: myapp
     image: ikubernetes/myapp:v1
     imagePullPolicy: IfNotPresent
   - name: bbox
     image: busybox:latest
     imagePullPolicy: IfNotPresent
     command:
      - /bin/sh
      - -c
      - "sleep 86400"
kubectl apply -f pod-daemon-2.yaml
kubectl get pods -n develop
kubectl exec pod-daemon-2 -c bbox -h  //查看帮助
kubectl exec pod-daemon-2 -c bbox -n develop -it -- /bin/sh
-c 指定pod里面容器的名字
-it 进入正在运行的pod里面，
kubectl logs -h 查看容器的日志
kubectl logs pod-daemon-2 -n develop -c myapp 
-c 指定容器名字
如果pod里面只有一个容器，则直接 kubectl logs pod 即可
kubectl  explain pods.spec.containers.ports //查看容器暴露端口说明
hostPort: 指在宿主机上使用DNAT，映射此端口，与service 的 nodePort不同的是，此处定义的Port，只在容器宿主机上进行DNAT规则
[root@k8s-master basic]# cat host-pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
  namespace: default
spec:
  containers:
    - name: myapp
      image: ikubernetes/myapp:v1
      ports:
       - protocol: TCP
         containerPort: 80
         name: http
         hostPort: 8080

 pod如何被集群外部所访问
1. service 的NodePort
2. hostPort
3. hostNetwork