Kubernetes是Google开源的Docker容器集群编排管理系统,为容器化的应用提供自动部署,弹性伸缩,资源调度,负载均衡和服务发现等应用云平台所需的管理功能体系。Kubernetes 的灵感源于谷歌过去15年在生产环境中运行容器的管理经验,集合了社区中先进的理念和实战技术。
Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。Kubernetes在模型建立之初就考虑了容器跨机连接的要求,支持多种网络解决方案,同时在Service层次构建集群范围的SDN网络。其目的是将服务发现和负载均衡放置到容器可达的范围,这种透明的方式便利了各个服务间的通信,并为微服务架构的实践提供了平台基础。而在Pod层次上,作为Kubernetes可操作的最小对象,其特征更是对微服务架构的原生支持。
一.架构及部署
Architecture
Kubernetes是2014年6月开源的,采用Golang的语言开发,每一个组件互相之间使用的是Master API的方式,Kubernetes的架构模式是用Master-slave模式,并且支持多种联机网络,支持多种分布式存储架构。
Master的核心组件是API server,对外提供REST API服务接口。kubernetes所有的信息都存储在分布式系统ETCD中. Scheduler是kubernetes的调度器,用于调度集群的主机资源。Controller用于管理节点注册以及容器的副本个数等控制功能。
在Node上的核心组件是kubelet,它是任务执行者,会跟apiserver进行交互,获取资源调度信息。 kubelet会根据资源和任务的信息和调度状态与Docker去交互,调用Docker的API, 创建、删除与管理容器,而kube-Proxy可以根据从API里获取的信息以及整体的Pod架构状态组成虚拟NAT网络。
快速部署过程
在最新更新的kubernetes 1.4版本中,社区开发了专用的部署组件kubeadm, 用来完成kubernetes集群整体的部署过程。Kubeadm是对以往手动或脚本部署的简化,集成了manifest配置、参数设置、认证设置、集群网络部署以及安全证书的获取。需要注意的是kubeadm目前默认从gcr.io的镜像中心获取镜像,若需使用其他镜像源,需要更改源码编译出定制版本。
Ubuntu 16.04环境的使用过程如下:
设定部署主机资源
1)在所有节点上(包括master和node)部署基础运行环境
部署内容包括docker, kubelet, kubeadm, kubectl kubernetes-cni
运行如下命令:
1
2
3
4
5
6
7 1# curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add -
2# cat <<EOF > /etc/apt/sources.list.d/kubernetes.list
3deb http://apt.kubernetes.io/ kubernetes-xenial main
4EOF
5# apt-get update
6# apt-get install -y docker.io kubelet kubeadm kubectl kubernetes-cni
7
2)部署Master
在Master上运行 kubeadm init, 运行结束后,可获得集群的token,以及提示在node上运行的命令:
3)添加节点
在master上的kubeadm init的输出中获取相应的参数并在Node上运行:
4)部署网络
kubernete集群需要可以跨主机的网络解决方案,使得位于不同主机的pod可以相互通信。目前有多种类似的解决方案,例如weave network, calico 或者 Canal。当前使用的是weave net
关于网络,对于隔离要求较高的场景需求,采用calico是比较合适的选择。calico会帮助容器在主机间搭建纯二层的网络,在每个主机上维护一个路由表,用来获取目标容器所在主机的可达路径,以及本机容器的路有项。利用iptables的防火墙机制去做隔离。容器之间跨主机进行交互时,IP包从容器出发,经过本地路有表选路,通过目标网段所在主机的路有项,到达目标主机,然后在目标主机内,进入路有选路前,先经由iptables隔离规则(可设置)进行判断决定是否丢弃或返回,然后再经路有选路到目标容器,最终到达目标容器。整个过程没有任何封包解包的过程,传输效率较高。
隔离规则可以设定在同一用户名下的哪些容器可以被隔离成一组,被隔离的容器间可通信,而与其它容器不可通信。或者设置规则来组成更加丰富的隔离效果。
部署组件详解
在kubernetes 1.4版本利用kubeadm部署过程中,安装的插件包括kube-discovery,kube-proxy和kube-dns,分别负责部署阶段配置的分发, NAT网络和集群系统的dns服务。值得注意的是kube-proxy不再通过manifest来运行,是通过插件用demonset的方式来部署。
1)kubeadm
在kubeadm init运行阶段,首先创建验证token以及静态pod文件(manifest的文件),以及运行所需的证书和kubeconfig。完成这些工作后,kubeadm会等待apiserver的启动并正常运行,以及等待首个节点的接入。
由于master节点启动kubelet来运行manifest文件,并且在kubelet.conf中设置了需要连接当前主机为master,因此此master 也会作为node节点接入,并且master作为节点运行也为kube-discovery提供运行的必须环境。
当节点加入并且apiserver运行正常后,将标示master的角色,kubeadm.alpha.kubernetes.io/role=master。
2)Kube-discovery
随后在部署运行kube-discovery时,在kube-discovery所运行的pod上设置node的亲和性,并将它限制成为必须在master上运行的pod。由于kube-discovery的主要功能是证书及token等配置的管理与分发,并且后续的节点加入时只需要一个简单的master ip信息,因此将kube-discovery限制到了master节点运行,以此统一服务的入口。
这些通过在pod的annotations来实现
requiredDuringSchedulingIgnoredDuringExecution表示在调度过程中需要满足的条件,和后面的nodeSelectorTerms在一起类似于nodeselector。这样设置即可将pod限制到master主机中。
3)Kube-dns
从kubernetes 1.3开始,kube-dns已经不再使用etcd+skydns+kube2sky的方式。而是使用了dns缓存及转发工具dnsmasq,以及利用skydns库和本地内存缓存组合而成的kube-dns。
Kube-dns将从kubernetes master中监听变动的service和endpoint信息,并建立从service ip 到service name的域名映射(对于无service的,将会建立pod ip和相应域名的映射)。Kube-dns将这些信息存放在本地的内存缓冲中,并监听127.0.0.1:10053提供服务。
Dnsmasq是简单的域名服务、缓存和转发工具,这里利用它的转发功能将kube-dns的dns服务转接到外部,参数–server=127.0.0.1:10053。
二.运维管理
租户资源管理Namespace(命名空间)
namespace 是kubernete用来做租户管理的对象。每个租户独享自己的逻辑空间,包括replication controller、 pod、 service、 deployment、configmap等。
常用的查看方式:
1
2
3
4
5
6
7
8 1kubectl get <resource type> <resource name> --namespace=<namespace>
2或查看所有namespace的某类资源
3kubectl get <resource type> <resource name> --all-namespaces
4例如:查看所有的pod,并希望看到所部署的节点位置
5kubectl get pod –all-namespaces –o wide
6查看namespace为 test的replication controller,以及labet
7kubectl get rc –namespace=test –show-labels
8
配置管理ConfigMap
当服务运行在容器中时,需要访问外部的变量,或者需要根据环境的不同更改配置文件,比如,DB以传统的方式运行在容器云之外,当服务启动时,需要初始化包含DB信息的配置文件。当需要切换db时,就需要更改配置文件, 当容器中有服务在运行时, 并不推荐登陆到容器内进行文件配置更改。
合理的方式是利用kubernetes的配置管理,将配置信息写入到ConfigMap, 并挂载到对应的pod中。
例如golang程序golang-sample需要访问配置文件db.json,内容如下:
1
2
3
4
5
6
7
8
9
10
11 1 {
2 "dbType": "mysql",
3 "host": "192.168.1.22",
4 "user": "tenxcloud",
5 "password": "password",
6 "port": "3306",
7 "connectionLimit": 200,
8 "connectTimeout": 20000,
9 "database": "sample"
10 }
11
将db.json写入config.yaml中:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18 1apiVersion: v1
2data:
3 db.json: |-
4 {
5 "dbType": "mysql",
6 "host": "192.168.1.22",
7 "user": "tenxcloud",
8 "password": "password",
9 "port": "3306",
10 "connectionLimit": 200,
11 "connectTimeout": 20000,
12 "database": "sample"
13 }
14kind: ConfigMap
15metadata:
16 name: config-sample
17 namespace: sample
18
创建configmap对象:
1
2 1kubectl create –f config.yaml
2
在 pod中添加对应的volume
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21 1apiVersion: v1
2kind: Pod
3metadata:
4 labels:
5 name: golang-sample
6 name: golang-sample
7 namespace: sample
8spec:
9 containers:
10 - image: inde.tenxcloud.com/sample/golang-sample:latest
11 volumeMounts:
12 - mountPath: /usr/src/app/config/db/
13 name: configmap-1
14 volumes:
15 - configMap:
16 items:
17 - key: db.json
18 path: db.json
19 name: config-sample
20 name: configmap-1
21
当pod创建运行后,服务在pod容器内只需要读取固定位置的配置文件, 当配置需要改变时, 更新ConfigMap并重新分发到pod内,这样重启容器后,容器内所挂载的配置也会相应更新。当需要pod容器同时使用一个ConfigMap 时,更新ConfigMap内容的同时,可以批量更新容器的配置。
主机运维管理
对于运维操作来说,kubectl是一个很便利的命令行工具,首先可以对各种资源进行操作,比如添加、获取、删除,通过更多命令参数得到指定的信息。
获取资源列表及详细信息的方式可通过kubectl get 来进行,具体的操作运行kubectl get –help即可。
实践使用过程中,对节点的运维操作会影响到应用的使用和资源的调度,比如由于配置升级需要对节点主机进行重启,需要考虑已经运行在其上的容器的状况,用户的希望是对资源池的操作尽量少的影响容器应用,同时资源池的变动和上层的容器服务解藕。
当需要对主机进行维护升级时,首先将节点主机设置成不可调度模式:
1
2 1kubectl cordon[nodeid]
2
然后需要将主机上正在运行的容器驱赶到其它可用节点:
1
2 1kubectl drain [nodeid]
2
当容器迁移完毕后,运维人员可以对该主机进行操作,配置升级性能参数调优等等。当对主机的维护操作完毕后, 再将主机设置成可调度模式:
1
2 1kubectl uncordon [nodeid]
2
这样新创建的容器即可以分配到该主机,可以通过kubectl patch 对资源对象进行实时修改,比如为service增加端口,为pod修改容器镜像版本。Annotation 可以帮助用户更好的设置kubernete自定义插件。用户可以在自建组件中获取资源中对应的annotation以此进行操作。通过kubectl label可以方便的对资源打标签,比如对node打标签,然后容器调度时可指定分配到对应标签的主机。
Kubernetes作为容器集群管理工具,为应用平台提供了基于云原生的微服务支持,其活跃的社区吸引了广大开发者的热情关注,刺激了容器周边生态的快速发展,同时为众多互联网企业采用容器集群架构升级内部IT平台设施,构建高效大规模计算体系提供了技术基础。