咱们从 pod 一直分享到最近的 Statefulset 资源,到现在好像我们只是知道如何使用 k8s,如何按照 k8s 设计好的规则去应用,去玩 k8s
仔细想想,对于 k8s 自身的内在原理,我们好像还不是很清楚,对于每一个资源背后是如何实现的,我们好像也不得而知
或许也就只知道 k8s 是 golang 写的吧
[图片上传失败...(image-554dc4-1691586502729)]
我认为咱们学习一项技能,一项知识点的学习顺序应该是
- 学习如何应用,培养自己感觉和兴趣
- 学习应用背后的内在原理,知晓其细节
- 能够对其原有功能做二次开发,加入自己的理解
前面基本分享了所有资源的使用方式以及实战,今天开始,我们来逐步了解和分享 k8s 内在自身原理
k8s 基本架构
学习 k8s 的时候,若一开始就学 k8s 的架构和组成,其实吸收的东西会比较少,自己的对于这项技术也没有啥概念,当然这也是一个熟悉的过程,慢慢学着会使用了,再来了解和学习他的原理,效果会更好
[图片上传失败...(image-6ae016-1691586502729)]
k8s 中分为 主节点 master 和 工作节点 worker
我们可以是 1 个 master ,也可以是多 master 的
一般 master 节点会有如下 4 个核心组件:
- etcd ,用作持久化存储
- Api Server,提供各种 Restful Api
- sheduler 调度器
- controller manager 控制器管理器
woker 节点一般会放这几个组件:
- kube-proxy kubelet 服务代理
- kubelet
- 实际的服务对应的容器
从上图我们就可以知道,k8s 中所有的主控都是 master 节点来进行控制的,实际运行的容器是运行在工作节点上面的
通过上图我们还可以知道,对于 访问和修改 etcd,只有 Api Server 才能够直接去交互,其他的组件都是不能直接访问的
如何在 k8s 中查看上述组件的状态呢?
我们可以使用 kubectl get componentstatuses 即可查看到 k8s 集群中的组件状态,我们也可以写缩写,例如 kubectl get cs
[图片上传失败...(image-1aad32-1691586502729)]
我的当前环境是 minikube,可以暂时可以先不用关注截图中的 error 信息
是不是会有点纳闷,说好的这么多组件,咋没有看到 ApiServer 呢?
都在下面了,我们可以使用 kubetl get po -n kube-system 查看 kube-system 命名空间下的 pod,我们就可以看到关于 apiserver,etcd,controller-manager,kube-proxy,scheduler 等信息了
[图片上传失败...(image-2f8d30-1691586502729)]
同样的,我们也可以把这些当成普通的 pod 一样,咱还是可以使用 kubectl describe 或者 kubectl edit 等指令来操作他们
例如:
我们可以尝试命令kubectl edit po etcd-minikube -n kube-system,来查看到 etcd-minikube 的信息
注意,这里一定需要加上 -n kube-system 指定命名空间 ,因为当前我们默认的 命名空间是 default ,如果不在命令中指令命名空间,则 k8s 会去默认的命名空间查找 pod
[图片上传失败...(image-3e44f6-1691586502729)]
如果不指定命名空间,那么 k8s 在 default 默认命名空间中找不到 etcd-minikube 这个 pod
[图片上传失败...(image-732a42-1691586502729)]
我们可以看到,系统组件 etcd,其实在 k8s 运行环境中也是一个正常的 Pod ,我们可以从 pod 清单中可以看到 kind: Pod
[图片上传失败...(image-3376a6-1691586502729)]
spec 中具体的定义,使用了 k8s.gcr.io/etcd:3.5.0.0-0 版本的镜像,以及 启动 改容器,需要自行的命令和参数等等
那么 k8s 的 etcd 是干啥的?
还记得 etcd 我们在微服务开发时候,仅仅是用于存放 key-value 键值对的,那么 k8s 里面又是如何使用 etcd 的呢?
k8s 中的 etcd,是环境中唯一存储集群状态和元数据的地方,相当重要哦
k8s 中的 etcd 是用来存储 k8s 中每个资源清单信息的,例如 pod,RC,Service,私钥,持久化方式等等,呈现方式也是 键值对
并且在 k8s ,如果 1 个 etcd 不够用了,我们也是可以横向扩容,运行多个 etcd 的实例就可以了
前面我们也提到了,在 k8s 中的各个系统组件,只能通过 ApiServer 进行通信,另外 ApiServer 是和 etcd 通信的唯一组件,也就是说 ApiServer 是 etcd 的唯一客户端,其他的组件是没有办法修改 etcd 里面的数据的
这是为什么呢?所有组件都要通过 ApiServer 才能访问和 修改 etcd,这样做是有啥好处呢?
好处 1 :
可以增强 k8s 验证系统的健壮性,来源只有 1 个,简单清晰
好处 2 :
就只有 etcd 和 Apiserver 交互,不存在其他组件的耦合,那么替换存储机制也是比较方便的
好处 3 :
k8s 中多 master 的时候,仍然适用于 控制平台操作存储模块的时候,同样是需要通过和 ApiServer 交互,这样咱们的 k8s 集群状态才会总是一致的
k8s 的 Apiserver 具体是做了哪些事情呢?
简单来说 Apiserver 组件主要就是提供 RESTful API ,接收其他组件的请求,对请求的数据做校验,并将请求给到 etcd
例如,查询集群状态,修改 pod ,删除 RS ,创建指定资源等等
细心的 xdm 应该就可以发现,我们是如何访问 ApiServer 的呢?ApiServer 的客户端又是谁呢?
是滴,就是我们一直都在使用的 kubectl,一直以来,我们都在使用 kubectl 来和 ApiServer 进行通信,那么是否会有这样的疑问:
我多开几个 master 的窗口,同时使用 kubectl 创建会有冲突的资源,那么 ApiServer 会如何处理呢?
这一点,xdm 大可放心, ApiServer 自身会有一致性的机制,
第一,就是 ApiServer 是唯一和 etcd 通信的客户端
第二,ApiServer 自身还会处理乐观锁,会保证最终一致性,在并发更新资源的情况下,A 对对象做的更改不会去覆盖 B 对对象做的更改
那么其他组件访问 ApiServer 的时候,ApiServer 内部处理流程是什么样的呢?
- ApiServer 会去校验客户端是否通过认证
- ApiServer 会去校验客户端是否通过授权
- ApiServer 会去校验客户端是否通过准入插件的验证(对资源进行创建,删除,编辑的时候会校验)
- 若以上都通过了,那么 ApiServer 会将数据给到 etcd,并给客户端做响应
用一个图展示,可以是这样的:
[图片上传失败...(image-4a83ee-1691586502729)]
那么 ApiServer 又是如何通知 客户端资源变更的?
你可能会认为是 ApiServer 自己去控制和通知具体的控制器去做事情,并不是的,其实是通过 k8s 内部的监听机制,如图:
[图片上传失败...(image-efd9d7-1691586502729)]
当 ApiServer 收到客户端的请求时,ApiServer 校验完成后去更新 etcd,最终会启动对应的控制器,客户端自己会做监听,收到监听的变更信息之后,就会去对应的更新对象了
今天就到这里,学习所得,若有偏差,还请斧正
欢迎点赞,关注,收藏
朋友们,你的支持和鼓励,是我坚持分享,提高质量的动力
[图片上传失败...(image-750633-1691586502729)]
好了,本次就到这里
技术是开放的,我们的心态,更应是开放的。拥抱变化,向阳而生,努力向前行。
我是阿兵云原生,欢迎点赞关注收藏,下次见~
网友评论