Pod是Kubernetes项目中最小的API对象。Pod是Kubernetes项目的原子调度单位。
kubernetes项目的调度器,是统一按照Pod而非容器的资源需求进行计算的。
Docker的本质是进程。Kubernetes类似于操作系统。
pstree -g 可以查看当前系统中正在运行的进程的树状结构。
rsyslogd是负责linux操作系统里的日志处理。
容器的单进程模型不是指容器里只能运行一个进程,而是指容器没有管理多个进程的能力。
Pod的实现原理
Pod是一个逻辑概念。
Kubernetes真正处理的,还是宿主操作系统上Linux容器的Namespace和Cgroup,并不存在一个所谓的Pod的边界或者隔离环境。
Pod是一组共享了某些资源的容器。Pod里的所有容器,共享的是同一个Network Namespace,并且可以声明共享同一个Volume。
Pod的实现需要一个中间容器,就是infra容器,它永远都是第一个被创建的容器,其他用户定义的容器,通过
Join Network Namespace的方式,于Infra容器关联在一起。
一个Pod只有一个IP地址。Pod中的容器共享同一份网络资源。Pod和Infra容器的生命周期一致。
Pod的超紧密关系是在一个容器中跑多个功能不想管的应用。
在Pod中,所有Init Container定义的容器,都会比spec.containers定义的用户容器先启动。
并且,Init Container容器会按照顺序逐一启动,而直到他们都启动并且退出,用户容器才会启动。
sidecar指的是可以在一个Pod中,启动一个辅助容器,来完成一些独立于主进程(主容器)之外的工作。
凡是调度、网络、存储,以及安全相关的属性,基本上都是Pod级别的。
Pod的基础概念
NodeSelector
NodeSelector:是一个供用户将Pod于Node进行绑定的字段。用户如下:
apiVersion: v1
kind: Pod
...
spec:
nodeSelector:
disktype: ssd
这意味着这个Pod只能运行在懈怠了disktype:ssd标签(Label)的节点上,否则调度失败。
NodeName
一旦Pod的这个字段被赋值,Kubernetes项目就会认为这个Pod已经经过调度,调度的结果就是赋值的节点名字。
这个名字一般由调度器负责设置。
HostAlias
HostAlias:定义了Pod的hosts文件里面的内容。(-i 即 stdin,-t 即 tty)。
凡是Pod中的容器要共享宿主机的Namespace,也一定是Pod级别的定义。
Pod中,只是Init Containers的生命周期,会先于所有的Containers,并且严格按照定义的顺序执行。
ImagePullPolicy
ImagePullPolicy:定义了一个镜像拉取的策略,是conatiner级别的属性。
默认值为Always,即每次创建Pod都重新拉取一次镜像。
如果将值设置为Never/IfNotPresent,意味着Pod永远不会主动拉取这个镜像,或者只在宿主机上不存在这个镜像时才拉取。
LifeCycle
LifeCycle定义了Container Lifecycle Hooks,是容器级别的属性,在容器状态发生变化时触发一系列钩子。
在postStart启动时,ENTRYPOINT有可能还没有结果。如果在postStart执行时出现超时或者错误,就会导致Pod处于失败状态。
preStop发生的时机则是容器被杀死之前,preStop的操作是同步的。它会阻塞当前的容器杀死流程,直到这个Hook定义操作完成之后,
才允许容器被杀死。
Pod生命中周期的变化,主要体现在Pod API对象的Status部分(pod.status.phase)。
Status的值:
- Pending:Pod的YAML文件已经提交给Kubernetes,API对象已经被创建并保存在etcd当中。
- Running:Pod已经调度成功,跟一个具体的节点绑定。它包含的容器都已经创建成功,至少有一个正在运行中。
- Succeeded:Pod里面的所有容器都已经运行完毕,并且已经退出了。
- Failed:Pod里至少有一个容器以不正常的状态退出。
- Unknown:这是一个异常状态,Pod的状态不能持续地被kubelet汇报给kube-apiserver,这有可能是主从节点间的通信出现了问题。
Pod中Condition和Status的对应关系:
Pending(Status) == UnSchedule(Condition),调度出现了问题;
Running(Status) == Ready(Condition),Ready意味着Pod不仅已经正常启动,而且还可以对外提供服务。
Projected Volume
Projected Volume是Kubernetes在v1.11.1之后的特性。
Projected Volume分为Secret、ConfigMap、Downward API,然后Service Account是一种特殊的Secret。
Secret
Secret的作用是:帮助把Pod想要访问的加密数据,存放在Etcd中,然后通过在Pod的容器里挂载Volume的方式,
访问到这些Secret里保存的信息。
Secret对象要求这些数据必须要经过Base64转码的,以免出现铭文密码的安全隐患。只是进行了转码,没有加密,
如果要更安全,可以开启Secret加密的插件,增加数据的安全性。
kubelet会定时维护这些volume。
ConfigMap
ConfigMap中保存的是不需要加密的、应用所需的配置信息。
Downward API
让Pod里的容器直接可以获取到这个Pod API对象本身的信息。
Downward API能够获取到的信息,一定是Pod里的容器进程启动之前就能够确定下来的信息。
Service Account
Service Account对象的作用就是Kubernetes系统内置的一种服务账号,它是Kubernetes进行权限配置的对象。
Service Account的授权信息和文件,保存在它所绑定的一个特殊的Secret对象里的,成为ServiceAccountToken。
Kubernetes提供了一个默认服务账号。任何一个运行在Kubernetes里的Pod,都可以直接使用这个默认的Service Account,
则无需显示地声明挂载它。
把Kubernetes客户端以容器的方式运行在集群里,然后使用default service account自动授权的方式,被成为InClusterConfig,
这也是推荐的运行Kubernetes API编程的授权方式。
健康检查
Pod里的容器定义了一个健康检查探针,kubelet会根据这个探针的返回值来决定这个容器的状态,而不是直接以容器是否运行作为依据。
恢复机制
Pod恢复机制:即restartPolicy,pod.spec.restartPolicy,默认值为always,即任何时期这个容器发生了异常,它一定会被重新创建。
Pod的恢复过程,永远都是发生在当前节点上,而不是跑到别的节点上。一个Pod于以节点绑定,除非这个绑定发生变化,否则Pod永远都不会离开这个节点。
如果这个宿主机宕机了,这个Pod也不会主动迁移到其他节点上。
Pod的恢复策略:
- Always: 在任何情况下,只要容器不在运行状态,就会自动重启容器。
- OnFailure: 只在容器异常时才会自动重启容器。
- Never: 从来不重启容器。
Pod的设计规原理:
- 只要Pod的restartPolicy指定的策略允许重启异常的容器,那么这个Pod就会保持Running状态,并进行容器重启。
- 对于包含多个容器的Pod,只有它里面所有的容器都进入异常状态后,Pod才会进入Failed状态。
readlinessProbe检查结果的成功与否,决定这个Pod是不是能够被通过Service的方式访问到,并不影响Pod的声明周期。
控制器模型的实现
控制器模型的实现:
- Deployment控制器从Etcd中后去到所有携带指定标签的Pod,然后统计他们的数量,这是实际状态;
- Deployment对象的Replicas字段的值就是期望值;
- Deployment控制器将两个状态做比较,然后比较结果,确定是创建Pod,还是删除已有的Pod。
一个ReplicaSet对象,其实就是由副本树木的定义和一个Pod模版组成的。
Deployment控制器实际操作的是ReplicaSet对象而不是Pod对象。
Deployment管理的Pod的ownerReference对象是ReplicaSet。
Deployment、ReplicaSet、Pod的关系
Deployment、ReplicaSet、Pod的关系是层层控制的关系。
ReplicaSet负责通过控制器模式,保证系统中Pod的个数永远等于指定的个数。这正是Deployment只允许容器的restartPolicy=Always的
主要原因:只有在容器能保证自己始终是Running状态的前提下,ReplicaSet调整Pod的个数才有意义。
Deployment同样通过控制器模式,来操作ReplicaSet的个数和属性,进而实现水平扩展/收缩和滚动更新这两个编排动作。
通过kubectl get deployments查看返回值的含义:
DESIRED:用户期望Pod副本个数(scopes.replicas的值);
CURRENT:当前处于Running状态的Pod的个数;
UPDATE-TO-DATE:当前处于最新版本Pod的个数;
AVAILABLE:当前可用Pod的个数,即是Running状态,有时最新版本,并且处于Ready状态的Pod的个数。
可以通过kubectl rollout status 容器
查看Deployment对象的状态变化。
将一个进群中正在运行的多个Pod版本,交替地逐一升级的过程,就是滚动更新。
保证服务的连续性,Deployment Controller还会确保,在任何时间串口内,只有指定比例的Pod处于离线状态。
同时,在创建新的Pod可以指定比例,默认都是DESIRED值的25%。
maxUnavailable指的是,在一次滚动中,Deployment控制器可以删除多少个旧Pod。
Deployment 版本控制的原理
kubectl set image的指令,直接修改容器使用的镜像,这个命令的好处,不用像kubectl edit那样需求打开编辑器。
kubectl rollout undo命令,把整个Deployment回滚到上一个版本。
首先,需要使用kubectl rollout history命令,查看每次Deployment变更对应的版本。
然后,可以在kubectl rollout undo命令行最后,加上要会滚到的指定版本的版本号,就可以回滚到指定版本了。
在更新Deployment前,要执行一条kubectl rollout pause指令,然后接下来,可以随意使用kubectl edit或者
kubectl set images,修改这个Deployment的内容了,这些操作不会触发滚动更新。
在对Deployment修改操作都完成之后,只需要在执行一次kubectl rollout resume指令,然后恢复执行操作。
可以使用spec.revisionHistoryLimit 保留Deployment的版本数个数,如果设置为0,就是不能做回滚操作。
Deployment控制ReplicaSet(版本),ReplicaSet控制Pod(副本数)。
网友评论