K8s 的全称为Kubernetes,是一种开源的容器编排平台,用于自动化部署以及扩展和管理容器化的应用程序,它提供了一种容器编排和管理的方式,可以帮助开发人员更轻松的管理容器化的应用程序,并且提供了一种跨多个主机的自动化部署和管理机制
作用:
用于自动部署、扩展和管理“容器化(containerized)应用程序”的开源系统。
可以理解成 K8S 是负责自动化运维管理多个容器化程序(比如 Docker)的集群,是一个生态极其丰富的容器编排框架工具。
官网:https://kubernetes.iogithub:https://github.com/kubernetes/kubernets
为什么要用K8s
传统的后端部署办法:把程序包(包括可执行二进制文件、配置文件等)放到服务器上,接着运行启动脚本把程序跑起来,同时启动守护脚本定期检查程序运行状态、必要的话重新拉起程序。
如果服务的请求量上来,已部署的服务响应不过来怎么办?传统的做法往往是,如果请求量、内存、CPU超过阈值做了告警,运维人员马上再加几台服务器,部署好服务之后,接入负载均衡来分担已有服务的压力
这样问题就出现了:从监控告警到部署服务,中间需要人力介入!那么,有没有办法自动完成服务的部署、更新、卸载和扩容、缩容呢?
而这就是 K8S 要做的事情:自动化运维管理容器化(Docker)程序。
K8s 的目标是让部署容器化应用简单高效。
K8s 解决了裸跑Docker 的若干痛点:
-
单机使用,无法有效集群
-
随着容器数量的上升,管理成本梦升
-
没有有效的容灾、白愈机制
-
没有预设编排模板,无法实现快速、大规模容器调度
-
没有统一的配置管理中心工具
-
没有容器生命周期的管理工具
-
没有图形化运维管理工具
K8s特性
-
弹性伸缩
保证应用业务高峰并发时的高可用性,业务低峰时回收资源,最小成本运行服务
-
自我修复
节点故障时重新启动失败的容器,替换和重新部署,杀死健康检查失败的容器,未准备好之前不会处理客户端请求,保证线上服务不中断
-
服务发现和负载均衡
k8s为多个容器提供一个统一访问入口【内部IP地址和一个DNS名称】,负载均衡关联所有的容器,使得用户无需考虑容器ip问题
-
自动发布(默认滚动发布模式)和回滚
一次更新一个或部分 pod ,如果更新过程中出现问题,将回滚更改,确保升级不影响业务
-
集中化配置管理和密钥管理
管理机密数据和应用程序配置,而不需要把敏感数据暴露在镜像里,包括用户密码、私钥、公钥
-
存储编排,支持外挂存储并对外挂存储资源进行编排
挂载外部存储系统,无论是来自本地存储,公有云(如AWS),还是网络存储(如 NFS、Glusterfs、Ceph)都作为集群资源的一部分使用,极大提高存储使用灵活性
-
任务批量处理运行
提供一次性任务,定时任务,满足批量数据处理和分析的场景
K8s集群架构和组件
K8s是属于主从设备模型【Master 和 Slave 架构】
-
Master节点负责集群的调度、管理和运维,
-
slave节点是集群中的运算工作负载节点。在K8s 中,主节点一般被称为Master节点,而从节点则被称为worker Node节点,每个Node 都会被Master分配一些工作负载
Master 组件
- kube-apiserver
所有访问的统一入口,资源请求或调用操作都是通过kube-apiserver提供的接口进行,所有对象资源的增删改查和监听操作都交给API Server处理后再提交给Etcd 存储。
- kube-controller-manager(控制器)
负责根据预设模板创建pod,维持pod等资源副本期望数目【创建删除维护pod】
- kube-scheduler(调度器)
负责调度 pod 通过预选、优选策略,选择合适的 node节点分配 pod 【调度算法:62种】
- etcd:配置存储中心
分布式键值对数据库,负责存储 k8s 集群的重要信息(持久化)
go语言开发的 使用raft 一致性的算法 集群需要三台或以上奇数台组成
【端口】
2379:对外为客户端提供通讯
2380:服务器之间内部通讯
Node组件
- kubelet:
在K8s集群中,在每个Node (又称 Worker Node)上都会启动一个kubelet 服务进程。每个kubelet进程都会在 API server 中注册信息,定期向 master 汇报节点资源的使用情况
- kube-proxy:
在node 节点上实现 pod 的网络代理,维护网络规则和四层负载均衡器工作,负责写入规则到 iptables 或 ipvs 实现服务映射访问
- docker 或 rocket:
容器引擎,运行容器,负责本机的容器创建和管理工作
Pod
Pod是 Kubernetes 创建或部署的最小/最简单的基本单位,一个 Pod 代表集群上正在运行的一个进程。
可以把 Pod 理解成豌豆荚,而同一 Pod 内的每个容器是一颗颗豌豆。
一个 Pod 由一个或多个容器组成,Pod 中容器共享网络、存储和计算资源,在同一台 Docker 主机上运行。
一个 Pod 里可以运行多个容器,又叫边车模式(SideCar)。而在生产环境中一般都是单个容器或者具有强关联互补的多个容器组成一个 Pod。
同一个 Pod 之间的容器可以通过 localhost 互相访问,并且可以挂载 Pod 内所有的数据卷;但是不同的 Pod 之间的容器不能用 localhost 访问,也不能挂载其他 Pod 的数据卷。
Pod 控制器
Pod 启动的一种模版,用来保证在K8S里启动的 Pod 应始终按照用户的预期运行(副本数、生命周期、健康状态检查等)。
K8S 内提供了众多的 Pod 控制器,常用的有以下几种:
- Deployment:无状态应用部署
- Statefulset:有状态应用部署
- ReplicaSet:确保预期的 Pod 副本数量,用于管理和控制Pod,受控于 Deployment
- DaemonSet:确保所有节点运行同一类 Pod,保证每个节点上都有一个此类 pod 运行
- Job:一次性任务
- Cronjob:周期性计划性任务
控制器有五大类:
标签选择器:
-
标签选择器可以用来选择一组具有相同的标签的 Pod,service,RC,deployment 和 RS,使用标签选择器可以轻松的管理部署应用程序和其他资源
service:
-
service 是通过标签选择器关联具有对应 Label(标签)的Pod,再把相关 Pod的 IP 加入到自己的 endpoints 当中,service再根据 endpoints 里的IP 进行转发
ingress:
-
ingress是一种 API对象,用于管理 K8s集群中入口流量,它为我们提供了一种统一的方式来管理不同服务方式的路由规则和负载均衡
name:
-
通常是指资源对象的名称
namespace:
-
K8s中的 namespace 是一种虚拟化的技术,它将一个物理的 K8s 集群划分成多个虚拟集群,每个虚拟机群都有自己的资源和对象,不同的虚拟机群之间相互隔离
CFSSL用来为etcd提供TLS 证书,它支持签三种类型的证书:
-
client.证书,服务端连接客户端时携带的证书,用于客户端验证服务端身份,如l kube-apiserver访问 etcd;
-
server 证书,客户端连接服务端时携带的证书,用于服务端验证客户端身份,如 etcd对外提供服务;
-
peer 证书,相互之间连接时使用的证书,如 etcd节点之间进行验证和通信。
这里全部都使用同一套证书认证。
cfssl:证书签发的工具命令
cfssljson:将cfssl生成的证书(json格式)变为文件承载式证书
cfssl-certinfo:验证证书的信息
cfssl-certinfo -cert <证书名称> #查看证书的信息