16個(gè)概念帶你入門 Kubernetes

在下方公眾號(hào)后臺(tái)回復(fù)：面試手冊(cè)，可獲取杰哥匯總的 3 份面試 PDF 手冊(cè)。

• 基于容器的應(yīng)用部署、維護(hù)和滾動(dòng)升級(jí)
• 負(fù)載均衡和服務(wù)發(fā)現(xiàn)
• 跨機(jī)器和跨地區(qū)的集群調(diào)度
• 自動(dòng)伸縮
• 無狀態(tài)服務(wù)和有狀態(tài)服務(wù)
• 廣泛的Volume支持
• 插件機(jī)制保證擴(kuò)展性

1、Pod

• 包含多個(gè)共享IPC、Network和UTC namespace的容器，可直接通過localhost通信
• 所有Pod內(nèi)容器都可以訪問共享的Volume，可以訪問共享數(shù)據(jù)
• 優(yōu)雅終止:Pod刪除的時(shí)候先給其內(nèi)的進(jìn)程發(fā)送SIGTERM，等待一段時(shí)間(grace period)后才強(qiáng)制停止依然還在運(yùn)行的進(jìn)程
• 特權(quán)容器(通過SecurityContext配置)具有改變系統(tǒng)配置的權(quán)限(在網(wǎng)絡(luò)插件中大量應(yīng)用)
• 支持三種重啟策略（restartPolicy），分別是：Always、OnFailure、Never
• 支持三種鏡像拉取策略（imagePullPolicy），分別是：Always、Never、IfNotPresent
• 資源限制，Kubernetes通過CGroup限制容器的CPU以及內(nèi)存等資源，可以設(shè)置request以及l(fā)imit值
• 健康檢查，提供兩種健康檢查探針，分別是livenessProbe和redinessProbe，前者用于探測(cè)容器是否存活，如果探測(cè)失敗，則根據(jù)重啟策略進(jìn)行重啟操作，后者用于檢查容器狀態(tài)是否正常，如果檢查容器狀態(tài)不正常，則請(qǐng)求不會(huì)到達(dá)該P(yáng)od
• Init container在所有容器運(yùn)行之前執(zhí)行，常用來初始化配置
• 容器生命周期鉤子函數(shù)，用于監(jiān)聽容器生命周期的特定事件，并在事件發(fā)生時(shí)執(zhí)行已注冊(cè)的回調(diào)函數(shù)，支持兩種鉤子函數(shù)：postStart和preStop，前者是在容器啟動(dòng)后執(zhí)行，后者是在容器停止前執(zhí)行

2、Namespace

• kubectlgetnamespace, 查詢所有namespace
• kubectl createnamespacens-name，創(chuàng)建namespace
• kubectldeletenamespacens-name, 刪除namespace

1. 刪除一個(gè)namespace會(huì)自動(dòng)刪除所有屬于該namespace的資源。
2. default 和 kube-system 命名空間不可刪除。
3. PersistentVolumes是不屬于任何namespace的，但PersistentVolumeClaim是屬于某個(gè)特定namespace的。
4. Events是否屬于namespace取決于產(chǎn)生events的對(duì)象。

3、Node

• kubectlgetnodes，查詢所有node
• kubectl cordon $nodename, 將node標(biāo)志為不可調(diào)度
• kubectl uncordon $nodename, 將node標(biāo)志為可調(diào)度
  
  

• NoSchedule：表示k8s將不會(huì)將Pod調(diào)度到具有該污點(diǎn)的Node上
• PreferNoSchedule：表示k8s將盡量避免將Pod調(diào)度到具有該污點(diǎn)的Node上
• NoExecute：表示k8s將不會(huì)將Pod調(diào)度到具有該污點(diǎn)的Node上，同時(shí)會(huì)將Node上已經(jīng)存在的Pod驅(qū)逐出去

• kubectl taint node node0 key1=value1:NoShedule，為node0設(shè)置不可調(diào)度污點(diǎn)
• kubectl taint node node0 key-，將node0上key值為key1的污點(diǎn)移除
• kubectl taint node node1 node-role.kubernetes.io/master=:NoSchedule，為kube-master節(jié)點(diǎn)設(shè)置不可調(diào)度污點(diǎn)
• kubectl taint node node1 node-role.kubernetes.io/master=PreferNoSchedule，為kube-master節(jié)點(diǎn)設(shè)置盡量不可調(diào)度污點(diǎn)

4、Service

• ClusterIP: 默認(rèn)類型，自動(dòng)分配一個(gè)僅集群內(nèi)部可以訪問的虛擬IP
• NodePort: 在ClusterIP基礎(chǔ)上為Service在每臺(tái)機(jī)器上綁定一個(gè)端口，這樣就可以通過?NodeIP:NodePort?來訪問該服務(wù)
• LoadBalancer: 在NodePort的基礎(chǔ)上，借助cloud provider創(chuàng)建一個(gè)外部的負(fù)載均衡器，并將請(qǐng)求轉(zhuǎn)發(fā)到 NodeIP:NodePort
• ExternalName: 將服務(wù)通過DNS CNAME記錄方式轉(zhuǎn)發(fā)到指定的域名

5、Volume 存儲(chǔ)卷

• 容器掛掉后Kubelet再次重啟容器時(shí)，Volume的數(shù)據(jù)依然還在
• Pod刪除時(shí)，Volume才會(huì)清理。數(shù)據(jù)是否丟失取決于具體的Volume類型，比如emptyDir的數(shù)據(jù)會(huì)丟失，而PV的數(shù)據(jù)則不會(huì)丟

• emptyDir：Pod存在，emptyDir就會(huì)存在，容器掛掉不會(huì)引起emptyDir目錄下的數(shù)據(jù)丟失，但是pod被刪除或者遷移，emptyDir也會(huì)被刪除
• hostPath：hostPath允許掛載Node上的文件系統(tǒng)到Pod里面去
• NFS（Network File System）：網(wǎng)絡(luò)文件系統(tǒng)，Kubernetes中通過簡單地配置就可以掛載NFS到Pod中，而NFS中的數(shù)據(jù)是可以永久保存的，同時(shí)NFS支持同時(shí)寫操作。
• glusterfs：同NFS一樣是一種網(wǎng)絡(luò)文件系統(tǒng)，Kubernetes可以將glusterfs掛載到Pod中，并進(jìn)行永久保存
• cephfs：一種分布式網(wǎng)絡(luò)文件系統(tǒng)，可以掛載到Pod中，并進(jìn)行永久保存
• subpath：Pod的多個(gè)容器使用同一個(gè)Volume時(shí)，會(huì)經(jīng)常用到
• secret：密鑰管理，可以將敏感信息進(jìn)行加密之后保存并掛載到Pod中
• persistentVolumeClaim：用于將持久化存儲(chǔ)（PersistentVolume）掛載到Pod中
• ...

6、PersistentVolume(PV) 持久化存儲(chǔ)卷

• ReadWriteOnce(RWO):是最基本的方式，可讀可寫，但只支持被單個(gè)Pod掛載。
• ReadOnlyMany(ROX):可以以只讀的方式被多個(gè)Pod掛載。
• ReadWriteMany(RWX):這種存儲(chǔ)可以以讀寫的方式被多個(gè)Pod共享。

• Retain，不清理保留Volume(需要手動(dòng)清理)
• Recycle，刪除數(shù)據(jù)，即 rm -rf /thevolume/* (只有NFS和HostPath支持)
• Delete，刪除存儲(chǔ)資源

7、Deployment 無狀態(tài)應(yīng)用

• 定義Deployment來創(chuàng)建Pod和ReplicaSet
• 滾動(dòng)升級(jí)和回滾應(yīng)用
• 擴(kuò)容和縮容
• 暫停和繼續(xù)Deployment

• kubectl run www--image=10.0.0.183:5000/hanker/www:0.0.1--port=8080?生成一個(gè)Deployment對(duì)象
• kubectlgetdeployment--all-namespaces?查找Deployment
• kubectl describe deployment www?查看某個(gè)Deployment
• kubectl edit deployment www?編輯Deployment定義
• kubectldeletedeployment www?刪除某Deployment
• kubectl scale deployment/www--replicas=2?擴(kuò)縮容操作，即修改Deployment下的Pod實(shí)例個(gè)數(shù)
• kubectlsetimage deployment/nginx-deployment nginx=nginx:1.9.1更新鏡像
• kubectl rollout undo deployment/nginx-deployment?回滾操作
• kubectl rollout status deployment/nginx-deployment?查看回滾進(jìn)度
• kubectl autoscale deployment nginx-deployment--min=10--max=15--cpu-percent=80?啟用水平伸縮（HPA - horizontal pod autoscaling），設(shè)置最小、最大實(shí)例數(shù)量以及目標(biāo)cpu使用率
• kubectl rollout pause deployment/nginx-deployment?暫停更新Deployment
• kubectl rollout resume deploy nginx?恢復(fù)更新Deployment

• RollingUpdate 滾動(dòng)升級(jí)，可以保證應(yīng)用在升級(jí)期間，對(duì)外正常提供服務(wù)。
• Recreate 重建策略，在創(chuàng)建出新的Pod之前會(huì)先殺掉所有已存在的Pod。

• 使用Deployment來創(chuàng)建ReplicaSet。ReplicaSet在后臺(tái)創(chuàng)建pod，檢查啟動(dòng)狀態(tài)，看它是成功還是失敗。
• 當(dāng)執(zhí)行更新操作時(shí)，會(huì)創(chuàng)建一個(gè)新的ReplicaSet，Deployment會(huì)按照控制的速率將pod從舊的ReplicaSet移 動(dòng)到新的ReplicaSet中

8、StatefulSet 有狀態(tài)應(yīng)用

• 穩(wěn)定的持久化存儲(chǔ)，即Pod重新調(diào)度后還是能訪問到相同的持久化數(shù)據(jù)，基于PVC來實(shí)現(xiàn)
• 穩(wěn)定的網(wǎng)絡(luò)標(biāo)志，即Pod重新調(diào)度后其PodName和HostName不變，基于Headless Service(即沒有Cluster IP的Service)來實(shí)現(xiàn)
• 有序部署，有序擴(kuò)展，即Pod是有順序的，在部署或者擴(kuò)展的時(shí)候要依據(jù)定義的順序依次進(jìn)行操作(即從0到N-1，在下一個(gè)Pod運(yùn)行之前所有之前的Pod必須都是Running和Ready狀態(tài))，基于init containers來實(shí)現(xiàn)
• 有序收縮，有序刪除(即從N-1到0)

• OnDelete:當(dāng) .spec.template更新時(shí)，并不立即刪除舊的Pod，而是等待用戶手動(dòng)刪除這些舊Pod后自動(dòng)創(chuàng)建新Pod。這是默認(rèn)的更新策略，兼容v1.6版本的行為
• RollingUpdate:當(dāng) .spec.template 更新時(shí)，自動(dòng)刪除舊的Pod并創(chuàng)建新Pod替換。在更新時(shí)這些Pod是按逆序的方式進(jìn)行，依次刪除、創(chuàng)建并等待Pod變成Ready狀態(tài)才進(jìn)行下一個(gè)Pod的更新。

9、DaemonSet 守護(hù)進(jìn)程集

• 日志收集，比如fluentd，logstash等
• 系統(tǒng)監(jiān)控，比如Prometheus Node Exporter，collectd等
• 系統(tǒng)程序，比如kube-proxy, kube-dns, glusterd, ceph，ingress-controller等

• nodeSelector:只調(diào)度到匹配指定label的Node上
• nodeAffinity:功能更豐富的Node選擇器，比如支持集合操作
• podAffinity:調(diào)度到滿足條件的Pod所在的Node上

• OnDelete: 默認(rèn)策略，更新模板后，只有手動(dòng)刪除了舊的Pod后才會(huì)創(chuàng)建新的Pod
• RollingUpdate: 更新DaemonSet模版后，自動(dòng)刪除舊的Pod并創(chuàng)建新的Pod

10、Ingress

• Service：使用Service提供集群內(nèi)部的負(fù)載均衡，Kube-proxy負(fù)責(zé)將service請(qǐng)求負(fù)載均衡到后端的Pod中
• Ingress Controller：使用Ingress提供集群外部的負(fù)載均衡

• nginx
• traefik
• Kong
• Openresty

11、Job & CronJob 任務(wù)和定時(shí)任務(wù)

12、HPA（Horizontal Pod Autoscaling） 水平伸縮

• 控制管理器默認(rèn)每隔30s查詢metrics的資源使用情況(可以通過 --horizontal-pod-autoscaler-sync-period 修改)
• 支持三種metrics類型
• 預(yù)定義metrics(比如Pod的CPU)以利用率的方式計(jì)算
• 自定義的Pod metrics，以原始值(raw value)的方式計(jì)算
• 自定義的object metrics
• 支持兩種metrics查詢方式:Heapster和自定義的REST API
• 支持多metrics

13、Service Account

14、Secret 密鑰

• Service Account:用來訪問Kubernetes API，由Kubernetes自動(dòng)創(chuàng)建，并且會(huì)自動(dòng)掛載到Pod的 /run/secrets/kubernetes.io/serviceaccount 目錄中;
• Opaque:base64編碼格式的Secret，用來存儲(chǔ)密碼、密鑰等;
• kubernetes.io/dockerconfigjson: 用來存儲(chǔ)私有docker registry的認(rèn)證信息。

15、ConfigMap 配置中心

• 計(jì)算資源，包括cpu和memory
• cpu, limits.cpu, requests.cpu
• memory, limits.memory, requests.memory
• 存儲(chǔ)資源，包括存儲(chǔ)資源的總量以及指定storage class的總量
• requests.storage:存儲(chǔ)資源總量，如500Gi
• persistentvolumeclaims:pvc的個(gè)數(shù)
• storageclass.storage.k8s.io/requests.storage
• storageclass.storage.k8s.io/persistentvolumeclaims
• 對(duì)象數(shù)，即可創(chuàng)建的對(duì)象的個(gè)數(shù)
• pods, replicationcontrollers, configmaps, secrets
• resourcequotas, persistentvolumeclaims
• services, services.loadbalancers, services.nodeports

• 資源配額應(yīng)用在Namespace上，并且每個(gè)Namespace最多只能有一個(gè) ResourceQuota 對(duì)象
• 開啟計(jì)算資源配額后，創(chuàng)建容器時(shí)必須配置計(jì)算資源請(qǐng)求或限制(也可以 用LimitRange設(shè)置默認(rèn)值)
• 用戶超額后禁止創(chuàng)建新的資源