2017-08-21 17:44:43 +08:00
<!DOCTYPE HTML>
< html lang = "zh-cn" >
< head >
< meta charset = "UTF-8" >
< meta content = "text/html; charset=utf-8" http-equiv = "Content-Type" >
< title > 2.1 设计理念 · Kubernetes Handbook< / title >
< meta http-equiv = "X-UA-Compatible" content = "IE=edge" / >
< meta name = "description" content = "" >
< meta name = "generator" content = "GitBook 3.2.2" >
< meta name = "author" content = "Jimmy Song" >
< link rel = "stylesheet" href = "../gitbook/style.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-splitter/splitter.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-page-toc-button/plugin.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-image-captions/image-captions.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-page-footer-ex/style/plugin.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-search-plus/search.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-highlight/website.css" >
< link rel = "stylesheet" href = "../gitbook/gitbook-plugin-fontsettings/website.css" >
< meta name = "HandheldFriendly" content = "true" / >
< meta name = "viewport" content = "width=device-width, initial-scale=1, user-scalable=no" >
< meta name = "apple-mobile-web-app-capable" content = "yes" >
< meta name = "apple-mobile-web-app-status-bar-style" content = "black" >
< link rel = "apple-touch-icon-precomposed" sizes = "152x152" href = "../gitbook/images/apple-touch-icon-precomposed-152.png" >
< link rel = "shortcut icon" href = "../gitbook/images/favicon.ico" type = "image/x-icon" >
< link rel = "next" href = "objects.html" / >
< link rel = "prev" href = "./" / >
< / head >
< body >
< div class = "book" >
< div class = "book-summary" >
< div id = "book-search-input" role = "search" >
< input type = "text" placeholder = "輸入並搜尋" / >
< / div >
< nav role = "navigation" >
< ul class = "summary" >
< li class = "chapter " data-level = "1.1" data-path = "../" >
< a href = "../" >
1. 前言
< / a >
< / li >
< li class = "chapter " data-level = "1.2" data-path = "./" >
< a href = "./" >
2. 概念原理
< / a >
< ul class = "articles" >
< li class = "chapter active" data-level = "1.2.1" data-path = "concepts.html" >
< a href = "concepts.html" >
2.1 设计理念
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2" data-path = "objects.html" >
< a href = "objects.html" >
2.2 主要概念
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.2.2.1" data-path = "pod-overview.html" >
< a href = "pod-overview.html" >
2.2.1 Pod
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.2.2.1.1" data-path = "pod.html" >
< a href = "pod.html" >
2.2.1.1 Pod解析
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.2.2.2" data-path = "node.html" >
< a href = "node.html" >
2.2.2 Node
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.3" data-path = "namespace.html" >
< a href = "namespace.html" >
2.2.3 Namespace
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.4" data-path = "service.html" >
< a href = "service.html" >
2.2.4 Service
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.5" data-path = "volume.html" >
< a href = "volume.html" >
2.2.5 Volume和Persistent Volume
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.6" data-path = "deployment.html" >
< a href = "deployment.html" >
2.2.6 Deployment
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.7" data-path = "secret.html" >
< a href = "secret.html" >
2.2.7 Secret
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.8" data-path = "statefulset.html" >
< a href = "statefulset.html" >
2.2.8 StatefulSet
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.9" data-path = "daemonset.html" >
< a href = "daemonset.html" >
2.2.9 DaemonSet
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.10" data-path = "serviceaccount.html" >
< a href = "serviceaccount.html" >
2.2.10 ServiceAccount
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.11" data-path = "replicaset.html" >
< a href = "replicaset.html" >
2.2.11 ReplicationController和ReplicaSet
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.12" data-path = "job.html" >
< a href = "job.html" >
2.2.12 Job
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.13" data-path = "cronjob.html" >
< a href = "cronjob.html" >
2.2.13 CronJob
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.14" data-path = "ingress.html" >
< a href = "ingress.html" >
2.2.14 Ingress
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.15" data-path = "configmap.html" >
< a href = "configmap.html" >
2.2.15 ConfigMap
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.16" data-path = "horizontal-pod-autoscaling.html" >
< a href = "horizontal-pod-autoscaling.html" >
2.2.16 Horizontal Pod Autoscaling
< / a >
< / li >
< li class = "chapter " data-level = "1.2.2.17" data-path = "label.html" >
< a href = "label.html" >
2.2.17 Label
< / a >
< / li >
< / ul >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.3" data-path = "../guide/" >
< a href = "../guide/" >
3. 用户指南
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.1" data-path = "../guide/resource-configuration.html" >
< a href = "../guide/resource-configuration.html" >
3.1 资源配置
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.1.1" data-path = "../guide/configure-liveness-readiness-probes.html" >
< a href = "../guide/configure-liveness-readiness-probes.html" >
3.1.1 配置Pod的liveness和readiness探针
< / a >
< / li >
< li class = "chapter " data-level = "1.3.1.2" data-path = "../guide/configure-pod-service-account.html" >
< a href = "../guide/configure-pod-service-account.html" >
3.1.2 配置Pod的Service Account
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.3.2" data-path = "../guide/command-usage.html" >
< a href = "../guide/command-usage.html" >
3.2 命令使用
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.2.1" data-path = "../guide/using-kubectl.html" >
< a href = "../guide/using-kubectl.html" >
3.2.1 使用kubectl
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.3.3" data-path = "../guide/cluster-management.html" >
< a href = "../guide/cluster-management.html" >
3.3 集群管理
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.3.1" data-path = "../guide/managing-tls-in-a-cluster.html" >
< a href = "../guide/managing-tls-in-a-cluster.html" >
3.3.1 管理集群中的TLS
< / a >
2017-08-21 18:44:34 +08:00
< / li >
< li class = "chapter " data-level = "1.3.3.2" data-path = "../guide/kubelet-authentication-authorization.html" >
< a href = "../guide/kubelet-authentication-authorization.html" >
3.3.2 kubelet的认证授权
< / a >
< / li >
< li class = "chapter " data-level = "1.3.3.3" data-path = "../guide/tls-bootstrapping.html" >
< a href = "../guide/tls-bootstrapping.html" >
3.3.3 TLS bootstrap
< / a >
2017-08-31 14:23:44 +08:00
< / li >
< li class = "chapter " data-level = "1.3.3.4" data-path = "../guide/kubectl-user-authentication-authorization.html" >
< a href = "../guide/kubectl-user-authentication-authorization.html" >
3.3.4 kubectl的用户认证授权
< / a >
< / li >
< li class = "chapter " data-level = "1.3.3.5" data-path = "../guide/rbac.html" >
< a href = "../guide/rbac.html" >
3.3.5 RBAC——基于角色的访问控制
< / a >
2017-08-21 17:44:43 +08:00
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.3.4" data-path = "../guide/access-kubernetes-cluster.html" >
< a href = "../guide/access-kubernetes-cluster.html" >
3.4 访问 Kubernetes 集群
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.4.1" data-path = "../guide/access-cluster.html" >
< a href = "../guide/access-cluster.html" >
3.4.1 访问集群
< / a >
< / li >
< li class = "chapter " data-level = "1.3.4.2" data-path = "../guide/authenticate-across-clusters-kubeconfig.html" >
< a href = "../guide/authenticate-across-clusters-kubeconfig.html" >
3.4.2 使用 kubeconfig 文件配置跨集群认证
< / a >
< / li >
< li class = "chapter " data-level = "1.3.4.3" data-path = "../guide/connecting-to-applications-port-forward.html" >
< a href = "../guide/connecting-to-applications-port-forward.html" >
3.4.3 通过端口转发访问集群中的应用程序
< / a >
< / li >
< li class = "chapter " data-level = "1.3.4.4" data-path = "../guide/service-access-application-cluster.html" >
< a href = "../guide/service-access-application-cluster.html" >
3.4.4 使用 service 访问群集中的应用程序
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.3.5" data-path = "../guide/application-development-deployment-flow.html" >
< a href = "../guide/application-development-deployment-flow.html" >
3.5 在kubernetes中开发部署应用
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.3.5.1" data-path = "../guide/deploy-applications-in-kubernetes.html" >
< a href = "../guide/deploy-applications-in-kubernetes.html" >
3.5.1 适用于kubernetes的应用开发部署流程
< / a >
2017-08-21 18:44:34 +08:00
< / li >
< li class = "chapter " data-level = "1.3.5.2" data-path = "../guide/migrating-hadoop-yarn-to-kubernetes.html" >
< a href = "../guide/migrating-hadoop-yarn-to-kubernetes.html" >
3.5.2 迁移传统应用到kubernetes中——以Hadoop YARN为例
< / a >
2017-08-21 17:44:43 +08:00
< / li >
< / ul >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.4" data-path = "../practice/" >
< a href = "../practice/" >
4. 最佳实践
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.1" data-path = "../practice/install-kbernetes1.6-on-centos.html" >
< a href = "../practice/install-kbernetes1.6-on-centos.html" >
4.1 在CentOS上部署kubernetes1.6集群
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.1.1" data-path = "../practice/create-tls-and-secret-key.html" >
< a href = "../practice/create-tls-and-secret-key.html" >
4.1.1 创建TLS证书和秘钥
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.2" data-path = "../practice/create-kubeconfig.html" >
< a href = "../practice/create-kubeconfig.html" >
4.1.2 创建kubeconfig文件
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.3" data-path = "../practice/etcd-cluster-installation.html" >
< a href = "../practice/etcd-cluster-installation.html" >
4.1.3 创建高可用etcd集群
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.4" data-path = "../practice/kubectl-installation.html" >
< a href = "../practice/kubectl-installation.html" >
4.1.4 安装kubectl命令行工具
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.5" data-path = "../practice/master-installation.html" >
< a href = "../practice/master-installation.html" >
4.1.5 部署master节点
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.6" data-path = "../practice/node-installation.html" >
< a href = "../practice/node-installation.html" >
4.1.6 部署node节点
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.7" data-path = "../practice/kubedns-addon-installation.html" >
< a href = "../practice/kubedns-addon-installation.html" >
4.1.7 安装kubedns插件
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.8" data-path = "../practice/dashboard-addon-installation.html" >
< a href = "../practice/dashboard-addon-installation.html" >
4.1.8 安装dashboard插件
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.9" data-path = "../practice/heapster-addon-installation.html" >
< a href = "../practice/heapster-addon-installation.html" >
4.1.9 安装heapster插件
< / a >
< / li >
< li class = "chapter " data-level = "1.4.1.10" data-path = "../practice/efk-addon-installation.html" >
< a href = "../practice/efk-addon-installation.html" >
4.1.10 安装EFK插件
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.4.2" data-path = "../practice/service-discovery-and-loadbalancing.html" >
< a href = "../practice/service-discovery-and-loadbalancing.html" >
4.2 服务发现与负载均衡
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.2.1" data-path = "../practice/traefik-ingress-installation.html" >
< a href = "../practice/traefik-ingress-installation.html" >
4.2.1 安装Traefik ingress
< / a >
< / li >
< li class = "chapter " data-level = "1.4.2.2" data-path = "../practice/distributed-load-test.html" >
< a href = "../practice/distributed-load-test.html" >
4.2.2 分布式负载测试
< / a >
< / li >
< li class = "chapter " data-level = "1.4.2.3" data-path = "../practice/network-and-cluster-perfermance-test.html" >
< a href = "../practice/network-and-cluster-perfermance-test.html" >
4.2.3 网络和集群性能测试
< / a >
< / li >
< li class = "chapter " data-level = "1.4.2.4" data-path = "../practice/edge-node-configuration.html" >
< a href = "../practice/edge-node-configuration.html" >
4.2.4 边缘节点配置
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.4.3" data-path = "../practice/operation.html" >
< a href = "../practice/operation.html" >
4.3 运维管理
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.3.1" data-path = "../practice/service-rolling-update.html" >
< a href = "../practice/service-rolling-update.html" >
4.3.1 服务滚动升级
< / a >
< / li >
< li class = "chapter " data-level = "1.4.3.2" data-path = "../practice/app-log-collection.html" >
< a href = "../practice/app-log-collection.html" >
4.3.2 应用日志收集
< / a >
< / li >
< li class = "chapter " data-level = "1.4.3.3" data-path = "../practice/configuration-best-practice.html" >
< a href = "../practice/configuration-best-practice.html" >
4.3.3 配置最佳实践
< / a >
< / li >
< li class = "chapter " data-level = "1.4.3.4" data-path = "../practice/monitor.html" >
< a href = "../practice/monitor.html" >
4.3.4 集群及应用监控
< / a >
< / li >
< li class = "chapter " data-level = "1.4.3.5" data-path = "../practice/jenkins-ci-cd.html" >
< a href = "../practice/jenkins-ci-cd.html" >
4.3.5 使用Jenkins进行持续构建与发布
< / a >
< / li >
< li class = "chapter " data-level = "1.4.3.6" data-path = "../practice/data-persistence-problem.html" >
< a href = "../practice/data-persistence-problem.html" >
4.3.6 数据持久化问题
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.4.4" data-path = "../practice/storage.html" >
< a href = "../practice/storage.html" >
4.4 存储管理
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.4.1" data-path = "../practice/glusterfs.html" >
< a href = "../practice/glusterfs.html" >
4.4.1 GlusterFS
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.4.4.1.1" data-path = "../practice/using-glusterfs-for-persistent-storage.html" >
< a href = "../practice/using-glusterfs-for-persistent-storage.html" >
4.4.1.1 使用GlusterFS做持久化存储
< / a >
< / li >
< li class = "chapter " data-level = "1.4.4.1.2" data-path = "../practice/storage-for-containers-using-glusterfs-with-openshift.html" >
< a href = "../practice/storage-for-containers-using-glusterfs-with-openshift.html" >
4.4.1.2 在OpenShift中使用GlusterFS做持久化存储
< / a >
< / li >
< / ul >
< / li >
< / ul >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.5" data-path = "../usecases/" >
< a href = "../usecases/" >
5. 领域应用
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.5.1" data-path = "../usecases/microservices.html" >
< a href = "../usecases/microservices.html" >
5.1 微服务架构
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.5.1.1" data-path = "../usecases/istio.html" >
< a href = "../usecases/istio.html" >
5.1.1 Istio
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.5.1.1.1" data-path = "../usecases/istio-installation.html" >
< a href = "../usecases/istio-installation.html" >
5.1.1.1 安装istio
< / a >
< / li >
< li class = "chapter " data-level = "1.5.1.1.2" data-path = "../usecases/configuring-request-routing.html" >
< a href = "../usecases/configuring-request-routing.html" >
5.1.1.2 配置请求的路由规则
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.5.1.2" data-path = "../usecases/linkerd.html" >
< a href = "../usecases/linkerd.html" >
5.1.2 Linkerd
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.5.1.2.1" data-path = "../usecases/linkerd-user-guide.html" >
< a href = "../usecases/linkerd-user-guide.html" >
5.1.2.1 Linkerd 使用指南
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.5.1.3" data-path = "../usecases/service-discovery-in-microservices.html" >
< a href = "../usecases/service-discovery-in-microservices.html" >
5.1.3 微服务中的服务发现
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.5.2" data-path = "../usecases/big-data.html" >
< a href = "../usecases/big-data.html" >
5.2 大数据
< / a >
< ul class = "articles" >
2017-08-30 14:20:52 +08:00
< li class = "chapter " data-level = "1.5.2.1" data-path = "../usecases/spark-standalone-on-kubernetes.html" >
2017-08-21 17:44:43 +08:00
2017-08-30 14:20:52 +08:00
< a href = "../usecases/spark-standalone-on-kubernetes.html" >
2017-08-21 17:44:43 +08:00
2017-08-30 14:20:52 +08:00
5.2.1 Spark standalone on Kubernetes
2017-08-21 17:44:43 +08:00
< / a >
2017-08-31 14:23:44 +08:00
< / li >
< li class = "chapter " data-level = "1.5.2.2" data-path = "../usecases/support-spark-natively-in-kubernetes.html" >
< a href = "../usecases/support-spark-natively-in-kubernetes.html" >
5.2.2 运行支持kubernetes原生调度的Spark程序
< / a >
2017-08-21 17:44:43 +08:00
< / li >
< / ul >
2017-08-30 16:52:33 +08:00
< / li >
< li class = "chapter " data-level = "1.5.3" data-path = "../usecases/serverless.html" >
< a href = "../usecases/serverless.html" >
5.3 Serverless架构
< / a >
2017-08-21 17:44:43 +08:00
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.6" data-path = "../develop/" >
< a href = "../develop/" >
6. 开发指南
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.6.1" data-path = "../develop/developing-environment.html" >
< a href = "../develop/developing-environment.html" >
6.1 开发环境搭建
< / a >
< / li >
< li class = "chapter " data-level = "1.6.2" data-path = "../develop/testing.html" >
< a href = "../develop/testing.html" >
6.2 单元测试和集成测试
< / a >
< / li >
< li class = "chapter " data-level = "1.6.3" data-path = "../develop/client-go-sample.html" >
< a href = "../develop/client-go-sample.html" >
6.3 client-go示例
< / a >
< / li >
< li class = "chapter " data-level = "1.6.4" data-path = "../develop/contribute.html" >
< a href = "../develop/contribute.html" >
6.4 社区贡献
< / a >
< / li >
< / ul >
< / li >
< li class = "chapter " data-level = "1.7" data-path = "../appendix/" >
< a href = "../appendix/" >
7. 附录
< / a >
< ul class = "articles" >
< li class = "chapter " data-level = "1.7.1" data-path = "../appendix/docker-best-practice.html" >
< a href = "../appendix/docker-best-practice.html" >
7.1 Docker最佳实践
< / a >
< / li >
< li class = "chapter " data-level = "1.7.2" data-path = "../appendix/issues.html" >
< a href = "../appendix/issues.html" >
7.2 问题记录
< / a >
< / li >
< li class = "chapter " data-level = "1.7.3" data-path = "../appendix/tricks.html" >
< a href = "../appendix/tricks.html" >
7.3 使用技巧
< / a >
< / li >
< / ul >
< / li >
< li class = "divider" > < / li >
< li >
< a href = "https://www.gitbook.com" target = "blank" class = "gitbook-link" >
本書使用 GitBook 釋出
< / a >
< / li >
< / ul >
< / nav >
< / div >
< div class = "book-body" >
< div class = "body-inner" >
< div class = "book-header" role = "navigation" >
<!-- Title -->
< h1 >
< i class = "fa fa-circle-o-notch fa-spin" > < / i >
< a href = ".." > 2.1 设计理念< / a >
< / h1 >
< / div >
< div class = "page-wrapper" tabindex = "-1" role = "main" >
< div class = "page-inner" >
< div class = "search-plus" id = "book-search-results" >
< div class = "search-noresults" >
< section class = "normal markdown-section" >
< h1 id = "kubernetes的设计理念" > Kubernetes的 设 计 理 念 < / h1 >
< h3 id = "kubernetes设计理念与分布式系统" > Kubernetes设 计 理 念 与 分 布 式 系 统 < / h3 >
< p > 分 析 和 理 解 Kubernetes的 设 计 理 念 可 以 使 我 们 更 深 入 地 了 解 Kubernetes系 统 , 更 好 地 利 用 它 管 理 分 布 式 部 署 的 云 原 生 应 用 , 另 一 方 面 也 可 以 让 我 们 借 鉴 其 在 分 布 式 系 统 设 计 方 面 的 经 验 。 < / p >
< h3 id = "分层架构" > 分 层 架 构 < / h3 >
< p > Kubernetes设 计 理 念 和 功 能 其 实 就 是 一 个 类 似 Linux的 分 层 架 构 , 如 下 图 所 示 < / p >
< figure id = "fig1.2.1.1" > < img src = "../images/kubernetes-layers-arch.jpg" alt = "分层架构示意图" > < figcaption > Figure: 分 层 架 构 示 意 图 < / figcaption > < / figure >
< ul >
< li > 核 心 层 : Kubernetes最 核 心 的 功 能 , 对 外 提 供 API构 建 高 层 的 应 用 , 最 内 提 供 插 件 式 应 用 执 行 环 境 < / li >
< li > 应 用 层 : 部 署 ( 无 状 态 应 用 、 有 状 态 应 用 、 批 处 理 任 务 、 集 群 应 用 等 ) 和 路 由 ( 服 务 发 现 、 DNS解 析 等 ) < / li >
< li > 管 理 层 : 系 统 度 量 ( 如 基 础 设 施 、 容 器 和 网 络 的 度 量 ) , 自 动 化 ( 如 自 动 扩 展 、 动 态 Provision等 ) 以 及 策 略 管 理 ( RBAC、 Quota、 PSP、 NetworkPolicy等 ) < / li >
< li > 接 口 层 : kubectl命 令 行 工 具 、 客 户 端 SDK以 及 集 群 联 邦 < / li >
< li > 生 态 系 统 : 在 接 口 层 之 上 的 庞 大 容 器 集 群 管 理 调 度 的 生 态 系 统 , 可 以 划 分 为 两 个 范 畴 < ul >
< li > Kubernetes外 部 : 日 志 、 监 控 、 配 置 管 理 、 CI、 CD、 Workflow、 FaaS、 OTS应 用 、 ChatOps等 < / li >
< li > Kubernetes内 部 : CRI、 CNI、 CVI、 镜 像 仓 库 、 Cloud Provider、 集 群 自 身 的 配 置 和 管 理 等 < / li >
< / ul >
< / li >
< / ul >
< h3 id = "api设计原则" > API设 计 原 则 < / h3 >
< p > 对 于 云 计 算 系 统 , 系 统 API实 际 上 处 于 系 统 设 计 的 统 领 地 位 , 正 如 本 文 前 面 所 说 , kubernetes集 群 系 统 每 支 持 一 项 新 功 能 , 引 入 一 项 新 技 术 , 一 定 会 新 引 入 对 应 的 API对 象 , 支 持 对 该 功 能 的 管 理 操 作 , 理 解 掌 握 的 API, 就 好 比 抓 住 了 kubernetes系 统 的 牛 鼻 子 。 Kubernetes系 统 API的 设 计 有 以 下 几 条 原 则 : < / p >
< ol >
< li > < strong > 所 有 API应 该 是 声 明 式 的 < / strong > 。 正 如 前 文 所 说 , 声 明 式 的 操 作 , 相 对 于 命 令 式 操 作 , 对 于 重 复 操 作 的 效 果 是 稳 定 的 , 这 对 于 容 易 出 现 数 据 丢 失 或 重 复 的 分 布 式 环 境 来 说 是 很 重 要 的 。 另 外 , 声 明 式 操 作 更 容 易 被 用 户 使 用 , 可 以 使 系 统 向 用 户 隐 藏 实 现 的 细 节 , 隐 藏 实 现 的 细 节 的 同 时 , 也 就 保 留 了 系 统 未 来 持 续 优 化 的 可 能 性 。 此 外 , 声 明 式 的 API, 同 时 隐 含 了 所 有 的 API对 象 都 是 名 词 性 质 的 , 例 如 Service、 Volume这 些 API都 是 名 词 , 这 些 名 词 描 述 了 用 户 所 期 望 得 到 的 一 个 目 标 分 布 式 对 象 。 < / li >
< li > < strong > API对 象 是 彼 此 互 补 而 且 可 组 合 的 < / strong > 。 这 里 面 实 际 是 鼓 励 API对 象 尽 量 实 现 面 向 对 象 设 计 时 的 要 求 , 即 “ 高 内 聚 , 松 耦 合 ” , 对 业 务 相 关 的 概 念 有 一 个 合 适 的 分 解 , 提 高 分 解 出 来 的 对 象 的 可 重 用 性 。 事 实 上 , Kubernetes这 种 分 布 式 系 统 管 理 平 台 , 也 是 一 种 业 务 系 统 , 只 不 过 它 的 业 务 就 是 调 度 和 管 理 容 器 服 务 。 < / li >
< li > < strong > 高 层 API以 操 作 意 图 为 基 础 设 计 < / strong > 。 如 何 能 够 设 计 好 API, 跟 如 何 能 用 面 向 对 象 的 方 法 设 计 好 应 用 系 统 有 相 通 的 地 方 , 高 层 设 计 一 定 是 从 业 务 出 发 , 而 不 是 过 早 的 从 技 术 实 现 出 发 。 因 此 , 针 对 Kubernetes的 高 层 API设 计 , 一 定 是 以 Kubernetes的 业 务 为 基 础 出 发 , 也 就 是 以 系 统 调 度 管 理 容 器 的 操 作 意 图 为 基 础 设 计 。 < / li >
< li > < strong > 低 层 API根 据 高 层 API的 控 制 需 要 设 计 < / strong > 。 设 计 实 现 低 层 API的 目 的 , 是 为 了 被 高 层 API使 用 , 考 虑 减 少 冗 余 、 提 高 重 用 性 的 目 的 , 低 层 API的 设 计 也 要 以 需 求 为 基 础 , 要 尽 量 抵 抗 受 技 术 实 现 影 响 的 诱 惑 。 < / li >
< li > < strong > 尽 量 避 免 简 单 封 装 , 不 要 有 在 外 部 API无 法 显 式 知 道 的 内 部 隐 藏 的 机 制 < / strong > 。 简 单 的 封 装 , 实 际 没 有 提 供 新 的 功 能 , 反 而 增 加 了 对 所 封 装 API的 依 赖 性 。 内 部 隐 藏 的 机 制 也 是 非 常 不 利 于 系 统 维 护 的 设 计 方 式 , 例 如 PetSet和 ReplicaSet, 本 来 就 是 两 种 Pod集 合 , 那 么 Kubernetes就 用 不 同 API对 象 来 定 义 它 们 , 而 不 会 说 只 用 同 一 个 ReplicaSet, 内 部 通 过 特 殊 的 算 法 再 来 区 分 这 个 ReplicaSet是 有 状 态 的 还 是 无 状 态 。 < / li >
< li > < strong > API操 作 复 杂 度 与 对 象 数 量 成 正 比 < / strong > 。 这 一 条 主 要 是 从 系 统 性 能 角 度 考 虑 , 要 保 证 整 个 系 统 随 着 系 统 规 模 的 扩 大 , 性 能 不 会 迅 速 变 慢 到 无 法 使 用 , 那 么 最 低 的 限 定 就 是 API的 操 作 复 杂 度 不 能 超 过 O(N), N是 对 象 的 数 量 , 否 则 系 统 就 不 具 备 水 平 伸 缩 性 了 。 < / li >
< li > < strong > API对 象 状 态 不 能 依 赖 于 网 络 连 接 状 态 < / strong > 。 由 于 众 所 周 知 , 在 分 布 式 环 境 下 , 网 络 连 接 断 开 是 经 常 发 生 的 事 情 , 因 此 要 保 证 API对 象 状 态 能 应 对 网 络 的 不 稳 定 , API对 象 的 状 态 就 不 能 依 赖 于 网 络 连 接 状 态 。 < / li >
< li > < strong > 尽 量 避 免 让 操 作 机 制 依 赖 于 全 局 状 态 , 因 为 在 分 布 式 系 统 中 要 保 证 全 局 状 态 的 同 步 是 非 常 困 难 的 < / strong > 。 < / li >
< / ol >
< h3 id = "控制机制设计原则" > 控 制 机 制 设 计 原 则 < / h3 >
< ul >
< li > < strong > 控 制 逻 辑 应 该 只 依 赖 于 当 前 状 态 < / strong > 。 这 是 为 了 保 证 分 布 式 系 统 的 稳 定 可 靠 , 对 于 经 常 出 现 局 部 错 误 的 分 布 式 系 统 , 如 果 控 制 逻 辑 只 依 赖 当 前 状 态 , 那 么 就 非 常 容 易 将 一 个 暂 时 出 现 故 障 的 系 统 恢 复 到 正 常 状 态 , 因 为 你 只 要 将 该 系 统 重 置 到 某 个 稳 定 状 态 , 就 可 以 自 信 的 知 道 系 统 的 所 有 控 制 逻 辑 会 开 始 按 照 正 常 方 式 运 行 。 < / li >
< li > < strong > 假 设 任 何 错 误 的 可 能 , 并 做 容 错 处 理 < / strong > 。 在 一 个 分 布 式 系 统 中 出 现 局 部 和 临 时 错 误 是 大 概 率 事 件 。 错 误 可 能 来 自 于 物 理 系 统 故 障 , 外 部 系 统 故 障 也 可 能 来 自 于 系 统 自 身 的 代 码 错 误 , 依 靠 自 己 实 现 的 代 码 不 会 出 错 来 保 证 系 统 稳 定 其 实 也 是 难 以 实 现 的 , 因 此 要 设 计 对 任 何 可 能 错 误 的 容 错 处 理 。 < / li >
< li > < strong > 尽 量 避 免 复 杂 状 态 机 , 控 制 逻 辑 不 要 依 赖 无 法 监 控 的 内 部 状 态 < / strong > 。 因 为 分 布 式 系 统 各 个 子 系 统 都 是 不 能 严 格 通 过 程 序 内 部 保 持 同 步 的 , 所 以 如 果 两 个 子 系 统 的 控 制 逻 辑 如 果 互 相 有 影 响 , 那 么 子 系 统 就 一 定 要 能 互 相 访 问 到 影 响 控 制 逻 辑 的 状 态 , 否 则 , 就 等 同 于 系 统 里 存 在 不 确 定 的 控 制 逻 辑 。 < / li >
< li > < strong > 假 设 任 何 操 作 都 可 能 被 任 何 操 作 对 象 拒 绝 , 甚 至 被 错 误 解 析 < / strong > 。 由 于 分 布 式 系 统 的 复 杂 性 以 及 各 子 系 统 的 相 对 独 立 性 , 不 同 子 系 统 经 常 来 自 不 同 的 开 发 团 队 , 所 以 不 能 奢 望 任 何 操 作 被 另 一 个 子 系 统 以 正 确 的 方 式 处 理 , 要 保 证 出 现 错 误 的 时 候 , 操 作 级 别 的 错 误 不 会 影 响 到 系 统 稳 定 性 。 < / li >
< li > < strong > 每 个 模 块 都 可 以 在 出 错 后 自 动 恢 复 < / strong > 。 由 于 分 布 式 系 统 中 无 法 保 证 系 统 各 个 模 块 是 始 终 连 接 的 , 因 此 每 个 模 块 要 有 自 我 修 复 的 能 力 , 保 证 不 会 因 为 连 接 不 到 其 他 模 块 而 自 我 崩 溃 。 < / li >
< li > < strong > 每 个 模 块 都 可 以 在 必 要 时 优 雅 地 降 级 服 务 < / strong > 。 所 谓 优 雅 地 降 级 服 务 , 是 对 系 统 鲁 棒 性 的 要 求 , 即 要 求 在 设 计 实 现 模 块 时 划 分 清 楚 基 本 功 能 和 高 级 功 能 , 保 证 基 本 功 能 不 会 依 赖 高 级 功 能 , 这 样 同 时 就 保 证 了 不 会 因 为 高 级 功 能 出 现 故 障 而 导 致 整 个 模 块 崩 溃 。 根 据 这 种 理 念 实 现 的 系 统 , 也 更 容 易 快 速 地 增 加 新 的 高 级 功 能 , 以 为 不 必 担 心 引 入 高 级 功 能 影 响 原 有 的 基 本 功 能 。 < / li >
< / ul >
< h2 id = "kubernetes的核心技术概念和api对象" > Kubernetes的 核 心 技 术 概 念 和 API对 象 < / h2 >
< p > API对 象 是 Kubernetes集 群 中 的 管 理 操 作 单 元 。 Kubernetes集 群 系 统 每 支 持 一 项 新 功 能 , 引 入 一 项 新 技 术 , 一 定 会 新 引 入 对 应 的 API对 象 , 支 持 对 该 功 能 的 管 理 操 作 。 例 如 副 本 集 Replica Set对 应 的 API对 象 是 RS。 < / p >
< p > 每 个 API对 象 都 有 3大 类 属 性 : 元 数 据 metadata、 规 范 spec和 状 态 status。 元 数 据 是 用 来 标 识 API对 象 的 , 每 个 对 象 都 至 少 有 3个 元 数 据 : namespace, name和 uid; 除 此 以 外 还 有 各 种 各 样 的 标 签 labels用 来 标 识 和 匹 配 不 同 的 对 象 , 例 如 用 户 可 以 用 标 签 env来 标 识 区 分 不 同 的 服 务 部 署 环 境 , 分 别 用 env=dev、 env=testing、 env=production来 标 识 开 发 、 测 试 、 生 产 的 不 同 服 务 。 规 范 描 述 了 用 户 期 望 Kubernetes集 群 中 的 分 布 式 系 统 达 到 的 理 想 状 态 ( Desired State) , 例 如 用 户 可 以 通 过 复 制 控 制 器 Replication Controller设 置 期 望 的 Pod副 本 数 为 3; status描 述 了 系 统 实 际 当 前 达 到 的 状 态 ( Status) , 例 如 系 统 当 前 实 际 的 Pod副 本 数 为 2; 那 么 复 制 控 制 器 当 前 的 程 序 逻 辑 就 是 自 动 启 动 新 的 Pod, 争 取 达 到 副 本 数 为 3。 < / p >
< p > Kubernetes中 所 有 的 配 置 都 是 通 过 API对 象 的 spec去 设 置 的 , 也 就 是 用 户 通 过 配 置 系 统 的 理 想 状 态 来 改 变 系 统 , 这 是 Kubernetes重 要 设 计 理 念 之 一 , 即 所 有 的 操 作 都 是 声 明 式 ( Declarative) 的 而 不 是 命 令 式 ( Imperative) 的 。 声 明 式 操 作 在 分 布 式 系 统 中 的 好 处 是 稳 定 , 不 怕 丢 操 作 或 运 行 多 次 , 例 如 设 置 副 本 数 为 3的 操 作 运 行 多 次 也 还 是 一 个 结 果 , 而 给 副 本 数 加 1的 操 作 就 不 是 声 明 式 的 , 运 行 多 次 结 果 就 错 了 。 < / p >
< h3 id = "pod" > Pod< / h3 >
< p > Kubernetes有 很 多 技 术 概 念 , 同 时 对 应 很 多 API对 象 , 最 重 要 的 也 是 最 基 础 的 是 Pod。 Pod是 在 Kubernetes集 群 中 运 行 部 署 应 用 或 服 务 的 最 小 单 元 , 它 是 可 以 支 持 多 容 器 的 。 Pod的 设 计 理 念 是 支 持 多 个 容 器 在 一 个 Pod中 共 享 网 络 地 址 和 文 件 系 统 , 可 以 通 过 进 程 间 通 信 和 文 件 共 享 这 种 简 单 高 效 的 方 式 组 合 完 成 服 务 。 Pod对 多 容 器 的 支 持 是 K8最 基 础 的 设 计 理 念 。 比 如 你 运 行 一 个 操 作 系 统 发 行 版 的 软 件 仓 库 , 一 个 Nginx容 器 用 来 发 布 软 件 , 另 一 个 容 器 专 门 用 来 从 源 仓 库 做 同 步 , 这 两 个 容 器 的 镜 像 不 太 可 能 是 一 个 团 队 开 发 的 , 但 是 他 们 一 块 儿 工 作 才 能 提 供 一 个 微 服 务 ; 这 种 情 况 下 , 不 同 的 团 队 各 自 开 发 构 建 自 己 的 容 器 镜 像 , 在 部 署 的 时 候 组 合 成 一 个 微 服 务 对 外 提 供 服 务 。 < / p >
< p > Pod是 Kubernetes集 群 中 所 有 业 务 类 型 的 基 础 , 可 以 看 作 运 行 在 K8集 群 中 的 小 机 器 人 , 不 同 类 型 的 业 务 就 需 要 不 同 类 型 的 小 机 器 人 去 执 行 。 目 前 Kubernetes中 的 业 务 主 要 可 以 分 为 长 期 伺 服 型 ( long-running) 、 批 处 理 型 ( batch) 、 节 点 后 台 支 撑 型 ( node-daemon) 和 有 状 态 应 用 型 ( stateful application) ; 分 别 对 应 的 小 机 器 人 控 制 器 为 Deployment、 Job、 DaemonSet和 PetSet, 本 文 后 面 会 一 一 介 绍 。 < / p >
< h3 id = "副本控制器(replication-controller,rc)" > 副 本 控 制 器 ( Replication Controller, RC) < / h3 >
< p > RC是 Kubernetes集 群 中 最 早 的 保 证 Pod高 可 用 的 API对 象 。 通 过 监 控 运 行 中 的 Pod来 保 证 集 群 中 运 行 指 定 数 目 的 Pod副 本 。 指 定 的 数 目 可 以 是 多 个 也 可 以 是 1个 ; 少 于 指 定 数 目 , RC就 会 启 动 运 行 新 的 Pod副 本 ; 多 于 指 定 数 目 , RC就 会 杀 死 多 余 的 Pod副 本 。 即 使 在 指 定 数 目 为 1的 情 况 下 , 通 过 RC运 行 Pod也 比 直 接 运 行 Pod更 明 智 , 因 为 RC也 可 以 发 挥 它 高 可 用 的 能 力 , 保 证 永 远 有 1个 Pod在 运 行 。 RC是 Kubernetes较 早 期 的 技 术 概 念 , 只 适 用 于 长 期 伺 服 型 的 业 务 类 型 , 比 如 控 制 小 机 器 人 提 供 高 可 用 的 Web服 务 。 < / p >
< h3 id = "副本集(replica-set,rs)" > 副 本 集 ( Replica Set, RS) < / h3 >
< p > RS是 新 一 代 RC, 提 供 同 样 的 高 可 用 能 力 , 区 别 主 要 在 于 RS后 来 居 上 , 能 支 持 更 多 种 类 的 匹 配 模 式 。 副 本 集 对 象 一 般 不 单 独 使 用 , 而 是 作 为 Deployment的 理 想 状 态 参 数 使 用 。 < / p >
< h3 id = "部署(deployment)" > 部 署 ( Deployment) < / h3 >
< p > 部 署 表 示 用 户 对 Kubernetes集 群 的 一 次 更 新 操 作 。 部 署 是 一 个 比 RS应 用 模 式 更 广 的 API对 象 , 可 以 是 创 建 一 个 新 的 服 务 , 更 新 一 个 新 的 服 务 , 也 可 以 是 滚 动 升 级 一 个 服 务 。 滚 动 升 级 一 个 服 务 , 实 际 是 创 建 一 个 新 的 RS, 然 后 逐 渐 将 新 RS中 副 本 数 增 加 到 理 想 状 态 , 将 旧 RS中 的 副 本 数 减 小 到 0的 复 合 操 作 ; 这 样 一 个 复 合 操 作 用 一 个 RS是 不 太 好 描 述 的 , 所 以 用 一 个 更 通 用 的 Deployment来 描 述 。 以 Kubernetes的 发 展 方 向 , 未 来 对 所 有 长 期 伺 服 型 的 的 业 务 的 管 理 , 都 会 通 过 Deployment来 管 理 。 < / p >
< h3 id = "服务(service)" > 服 务 ( Service) < / h3 >
< p > RC、 RS和 Deployment只 是 保 证 了 支 撑 服 务 的 微 服 务 Pod的 数 量 , 但 是 没 有 解 决 如 何 访 问 这 些 服 务 的 问 题 。 一 个 Pod只 是 一 个 运 行 服 务 的 实 例 , 随 时 可 能 在 一 个 节 点 上 停 止 , 在 另 一 个 节 点 以 一 个 新 的 IP启 动 一 个 新 的 Pod, 因 此 不 能 以 确 定 的 IP和 端 口 号 提 供 服 务 。 要 稳 定 地 提 供 服 务 需 要 服 务 发 现 和 负 载 均 衡 能 力 。 服 务 发 现 完 成 的 工 作 , 是 针 对 客 户 端 访 问 的 服 务 , 找 到 对 应 的 的 后 端 服 务 实 例 。 在 K8集 群 中 , 客 户 端 需 要 访 问 的 服 务 就 是 Service对 象 。 每 个 Service会 对 应 一 个 集 群 内 部 有 效 的 虚 拟 IP, 集 群 内 部 通 过 虚 拟 IP访 问 一 个 服 务 。 在 Kubernetes集 群 中 微 服 务 的 负 载 均 衡 是 由 Kube-proxy实 现 的 。 Kube-proxy是 Kubernetes集 群 内 部 的 负 载 均 衡 器 。 它 是 一 个 分 布 式 代 理 服 务 器 , 在 Kubernetes的 每 个 节 点 上 都 有 一 个 ; 这 一 设 计 体 现 了 它 的 伸 缩 性 优 势 , 需 要 访 问 服 务 的 节 点 越 多 , 提 供 负 载 均 衡 能 力 的 Kube-proxy就 越 多 , 高 可 用 节 点 也 随 之 增 多 。 与 之 相 比 , 我 们 平 时 在 服 务 器 端 做 个 反 向 代 理 做 负 载 均 衡 , 还 要 进 一 步 解 决 反 向 代 理 的 负 载 均 衡 和 高 可 用 问 题 。 < / p >
< h3 id = "任务(job)" > 任 务 ( Job) < / h3 >
< p > Job是 Kubernetes用 来 控 制 批 处 理 型 任 务 的 API对 象 。 批 处 理 业 务 与 长 期 伺 服 业 务 的 主 要 区 别 是 批 处 理 业 务 的 运 行 有 头 有 尾 , 而 长 期 伺 服 业 务 在 用 户 不 停 止 的 情 况 下 永 远 运 行 。 Job管 理 的 Pod根 据 用 户 的 设 置 把 任 务 成 功 完 成 就 自 动 退 出 了 。 成 功 完 成 的 标 志 根 据 不 同 的 spec.completions策 略 而 不 同 : 单 Pod型 任 务 有 一 个 Pod成 功 就 标 志 完 成 ; 定 数 成 功 型 任 务 保 证 有 N个 任 务 全 部 成 功 ; 工 作 队 列 型 任 务 根 据 应 用 确 认 的 全 局 成 功 而 标 志 成 功 。 < / p >
< h3 id = "后台支撑服务集(daemonset)" > 后 台 支 撑 服 务 集 ( DaemonSet) < / h3 >
< p > 长 期 伺 服 型 和 批 处 理 型 服 务 的 核 心 在 业 务 应 用 , 可 能 有 些 节 点 运 行 多 个 同 类 业 务 的 Pod, 有 些 节 点 上 又 没 有 这 类 Pod运 行 ; 而 后 台 支 撑 型 服 务 的 核 心 关 注 点 在 Kubernetes集 群 中 的 节 点 ( 物 理 机 或 虚 拟 机 ) , 要 保 证 每 个 节 点 上 都 有 一 个 此 类 Pod运 行 。 节 点 可 能 是 所 有 集 群 节 点 也 可 能 是 通 过 nodeSelector选 定 的 一 些 特 定 节 点 。 典 型 的 后 台 支 撑 型 服 务 包 括 , 存 储 , 日 志 和 监 控 等 在 每 个 节 点 上 支 持 Kubernetes集 群 运 行 的 服 务 。 < / p >
< h3 id = "有状态服务集(petset)" > 有 状 态 服 务 集 ( PetSet) < / h3 >
< p > Kubernetes在 1.3版 本 里 发 布 了 Alpha版 的 PetSet功 能 。 在 云 原 生 应 用 的 体 系 里 , 有 下 面 两 组 近 义 词 ; 第 一 组 是 无 状 态 ( stateless) 、 牲 畜 ( cattle) 、 无 名 ( nameless) 、 可 丢 弃 ( disposable) ; 第 二 组 是 有 状 态 ( stateful) 、 宠 物 ( pet) 、 有 名 ( having name) 、 不 可 丢 弃 ( non-disposable) 。 RC和 RS主 要 是 控 制 提 供 无 状 态 服 务 的 , 其 所 控 制 的 Pod的 名 字 是 随 机 设 置 的 , 一 个 Pod出 故 障 了 就 被 丢 弃 掉 , 在 另 一 个 地 方 重 启 一 个 新 的 Pod, 名 字 变 了 、 名 字 和 启 动 在 哪 儿 都 不 重 要 , 重 要 的 只 是 Pod总 数 ; 而 PetSet是 用 来 控 制 有 状 态 服 务 , PetSet中 的 每 个 Pod的 名 字 都 是 事 先 确 定 的 , 不 能 更 改 。 PetSet中 Pod的 名 字 的 作 用 , 并 不 是 《 千 与 千 寻 》 的 人 性 原 因 , 而 是 关 联 与 该 Pod对 应 的 状 态 。 < / p >
< p > 对 于 RC和 RS中 的 Pod, 一 般 不 挂 载 存 储 或 者 挂 载 共 享 存 储 , 保 存 的 是 所 有 Pod共 享 的 状 态 , Pod像 牲 畜 一 样 没 有 分 别 ( 这 似 乎 也 确 实 意 味 着 失 去 了 人 性 特 征 ) ; 对 于 PetSet中 的 Pod, 每 个 Pod挂 载 自 己 独 立 的 存 储 , 如 果 一 个 Pod出 现 故 障 , 从 其 他 节 点 启 动 一 个 同 样 名 字 的 Pod, 要 挂 在 上 原 来 Pod的 存 储 继 续 以 它 的 状 态 提 供 服 务 。 < / p >
< p > 适 合 于 PetSet的 业 务 包 括 数 据 库 服 务 MySQL和 PostgreSQL, 集 群 化 管 理 服 务 Zookeeper、 etcd等 有 状 态 服 务 。 PetSet的 另 一 种 典 型 应 用 场 景 是 作 为 一 种 比 普 通 容 器 更 稳 定 可 靠 的 模 拟 虚 拟 机 的 机 制 。 传 统 的 虚 拟 机 正 是 一 种 有 状 态 的 宠 物 , 运 维 人 员 需 要 不 断 地 维 护 它 , 容 器 刚 开 始 流 行 时 , 我 们 用 容 器 来 模 拟 虚 拟 机 使 用 , 所 有 状 态 都 保 存 在 容 器 里 , 而 这 已 被 证 明 是 非 常 不 安 全 、 不 可 靠 的 。 使 用 PetSet, Pod仍 然 可 以 通 过 漂 移 到 不 同 节 点 提 供 高 可 用 , 而 存 储 也 可 以 通 过 外 挂 的 存 储 来 提 供 高 可 靠 性 , PetSet做 的 只 是 将 确 定 的 Pod与 确 定 的 存 储 关 联 起 来 保 证 状 态 的 连 续 性 。 PetSet还 只 在 Alpha阶 段 , 后 面 的 设 计 如 何 演 变 , 我 们 还 要 继 续 观 察 。 < / p >
< h3 id = "集群联邦(federation)" > 集 群 联 邦 ( Federation) < / h3 >
< p > Kubernetes在 1.3版 本 里 发 布 了 beta版 的 Federation功 能 。 在 云 计 算 环 境 中 , 服 务 的 作 用 距 离 范 围 从 近 到 远 一 般 可 以 有 : 同 主 机 ( Host, Node) 、 跨 主 机 同 可 用 区 ( Available Zone) 、 跨 可 用 区 同 地 区 ( Region) 、 跨 地 区 同 服 务 商 ( Cloud Service Provider) 、 跨 云 平 台 。 Kubernetes的 设 计 定 位 是 单 一 集 群 在 同 一 个 地 域 内 , 因 为 同 一 个 地 区 的 网 络 性 能 才 能 满 足 Kubernetes的 调 度 和 计 算 存 储 连 接 要 求 。 而 联 合 集 群 服 务 就 是 为 提 供 跨 Region跨 服 务 商 Kubernetes集 群 服 务 而 设 计 的 。 < / p >
< p > 每 个 Kubernetes Federation有 自 己 的 分 布 式 存 储 、 API Server和 Controller Manager。 用 户 可 以 通 过 Federation的 API Server注 册 该 Federation的 成 员 Kubernetes Cluster。 当 用 户 通 过 Federation的 API Server创 建 、 更 改 API对 象 时 , Federation API Server会 在 自 己 所 有 注 册 的 子 Kubernetes Cluster都 创 建 一 份 对 应 的 API对 象 。 在 提 供 业 务 请 求 服 务 时 , Kubernetes Federation会 先 在 自 己 的 各 个 子 Cluster之 间 做 负 载 均 衡 , 而 对 于 发 送 到 某 个 具 体 Kubernetes Cluster的 业 务 请 求 , 会 依 照 这 个 Kubernetes Cluster独 立 提 供 服 务 时 一 样 的 调 度 模 式 去 做 Kubernetes Cluster内 部 的 负 载 均 衡 。 而 Cluster之 间 的 负 载 均 衡 是 通 过 域 名 服 务 的 负 载 均 衡 来 实 现 的 。 < / p >
< p > 所 有 的 设 计 都 尽 量 不 影 响 Kubernetes Cluster现 有 的 工 作 机 制 , 这 样 对 于 每 个 子 Kubernetes集 群 来 说 , 并 不 需 要 更 外 层 的 有 一 个 Kubernetes Federation, 也 就 是 意 味 着 所 有 现 有 的 Kubernetes代 码 和 机 制 不 需 要 因 为 Federation功 能 有 任 何 变 化 。 < / p >
< h3 id = "存储卷(volume)" > 存 储 卷 ( Volume) < / h3 >
< p > Kubernetes集 群 中 的 存 储 卷 跟 Docker的 存 储 卷 有 些 类 似 , 只 不 过 Docker的 存 储 卷 作 用 范 围 为 一 个 容 器 , 而 Kubernetes的 存 储 卷 的 生 命 周 期 和 作 用 范 围 是 一 个 Pod。 每 个 Pod中 声 明 的 存 储 卷 由 Pod中 的 所 有 容 器 共 享 。 Kubernetes支 持 非 常 多 的 存 储 卷 类 型 , 特 别 的 , 支 持 多 种 公 有 云 平 台 的 存 储 , 包 括 AWS, Google和 Azure云 ; 支 持 多 种 分 布 式 存 储 包 括 GlusterFS和 Ceph; 也 支 持 较 容 易 使 用 的 主 机 本 地 目 录 hostPath和 NFS。 Kubernetes还 支 持 使 用 Persistent Volume Claim即 PVC这 种 逻 辑 存 储 , 使 用 这 种 存 储 , 使 得 存 储 的 使 用 者 可 以 忽 略 后 台 的 实 际 存 储 技 术 ( 例 如 AWS, Google或 GlusterFS和 Ceph) , 而 将 有 关 存 储 实 际 技 术 的 配 置 交 给 存 储 管 理 员 通 过 Persistent Volume来 配 置 。 < / p >
< h3 id = "持久存储卷(persistent-volume,pv)和持久存储卷声明(persistent-volume-claim,pvc)" > 持 久 存 储 卷 ( Persistent Volume, PV) 和 持 久 存 储 卷 声 明 ( Persistent Volume Claim, PVC) < / h3 >
< p > PV和 PVC使 得 Kubernetes集 群 具 备 了 存 储 的 逻 辑 抽 象 能 力 , 使 得 在 配 置 Pod的 逻 辑 里 可 以 忽 略 对 实 际 后 台 存 储 技 术 的 配 置 , 而 把 这 项 配 置 的 工 作 交 给 PV的 配 置 者 , 即 集 群 的 管 理 者 。 存 储 的 PV和 PVC的 这 种 关 系 , 跟 计 算 的 Node和 Pod的 关 系 是 非 常 类 似 的 ; PV和 Node是 资 源 的 提 供 者 , 根 据 集 群 的 基 础 设 施 变 化 而 变 化 , 由 Kubernetes集 群 管 理 员 配 置 ; 而 PVC和 Pod是 资 源 的 使 用 者 , 根 据 业 务 服 务 的 需 求 变 化 而 变 化 , 有 Kubernetes集 群 的 使 用 者 即 服 务 的 管 理 员 来 配 置 。 < / p >
< h3 id = "节点(node)" > 节 点 ( Node) < / h3 >
< p > Kubernetes集 群 中 的 计 算 能 力 由 Node提 供 , 最 初 Node称 为 服 务 节 点 Minion, 后 来 改 名 为 Node。 Kubernetes集 群 中 的 Node也 就 等 同 于 Mesos集 群 中 的 Slave节 点 , 是 所 有 Pod运 行 所 在 的 工 作 主 机 , 可 以 是 物 理 机 也 可 以 是 虚 拟 机 。 不 论 是 物 理 机 还 是 虚 拟 机 , 工 作 主 机 的 统 一 特 征 是 上 面 要 运 行 kubelet管 理 节 点 上 运 行 的 容 器 。 < / p >
< h3 id = "密钥对象(secret)" > 密 钥 对 象 ( Secret) < / h3 >
< p > Secret是 用 来 保 存 和 传 递 密 码 、 密 钥 、 认 证 凭 证 这 些 敏 感 信 息 的 对 象 。 使 用 Secret的 好 处 是 可 以 避 免 把 敏 感 信 息 明 文 写 在 配 置 文 件 里 。 在 Kubernetes集 群 中 配 置 和 使 用 服 务 不 可 避 免 的 要 用 到 各 种 敏 感 信 息 实 现 登 录 、 认 证 等 功 能 , 例 如 访 问 AWS存 储 的 用 户 名 密 码 。 为 了 避 免 将 类 似 的 敏 感 信 息 明 文 写 在 所 有 需 要 使 用 的 配 置 文 件 中 , 可 以 将 这 些 信 息 存 入 一 个 Secret对 象 , 而 在 配 置 文 件 中 通 过 Secret对 象 引 用 这 些 敏 感 信 息 。 这 种 方 式 的 好 处 包 括 : 意 图 明 确 , 避 免 重 复 , 减 少 暴 漏 机 会 。 < / p >
< h3 id = "用户帐户(user-account)和服务帐户(service-account)" > 用 户 帐 户 ( User Account) 和 服 务 帐 户 ( Service Account) < / h3 >
< p > 顾 名 思 义 , 用 户 帐 户 为 人 提 供 账 户 标 识 , 而 服 务 账 户 为 计 算 机 进 程 和 Kubernetes集 群 中 运 行 的 Pod提 供 账 户 标 识 。 用 户 帐 户 和 服 务 帐 户 的 一 个 区 别 是 作 用 范 围 ; 用 户 帐 户 对 应 的 是 人 的 身 份 , 人 的 身 份 与 服 务 的 namespace无 关 , 所 以 用 户 账 户 是 跨 namespace的 ; 而 服 务 帐 户 对 应 的 是 一 个 运 行 中 程 序 的 身 份 , 与 特 定 namespace是 相 关 的 。 < / p >
< h3 id = "名字空间(namespace)" > 名 字 空 间 ( Namespace) < / h3 >
< p > 名 字 空 间 为 Kubernetes集 群 提 供 虚 拟 的 隔 离 作 用 , Kubernetes集 群 初 始 有 两 个 名 字 空 间 , 分 别 是 默 认 名 字 空 间 default和 系 统 名 字 空 间 kube-system, 除 此 以 外 , 管 理 员 可 以 可 以 创 建 新 的 名 字 空 间 满 足 需 要 。 < / p >
< h3 id = "rbac访问授权" > RBAC访 问 授 权 < / h3 >
< p > Kubernetes在 1.3版 本 中 发 布 了 alpha版 的 基 于 角 色 的 访 问 控 制 ( Role-based Access Control, RBAC) 的 授 权 模 式 。 相 对 于 基 于 属 性 的 访 问 控 制 ( Attribute-based Access Control, ABAC) , RBAC主 要 是 引 入 了 角 色 ( Role) 和 角 色 绑 定 ( RoleBinding) 的 抽 象 概 念 。 在 ABAC中 , Kubernetes集 群 中 的 访 问 策 略 只 能 跟 用 户 直 接 关 联 ; 而 在 RBAC中 , 访 问 策 略 可 以 跟 某 个 角 色 关 联 , 具 体 的 用 户 在 跟 一 个 或 多 个 角 色 相 关 联 。 显 然 , RBAC像 其 他 新 功 能 一 样 , 每 次 引 入 新 功 能 , 都 会 引 入 新 的 API对 象 , 从 而 引 入 新 的 概 念 抽 象 , 而 这 一 新 的 概 念 抽 象 一 定 会 使 集 群 服 务 管 理 和 使 用 更 容 易 扩 展 和 重 用 。 < / p >
< h2 id = "总结" > 总 结 < / h2 >
< p > 从 Kubernetes的 系 统 架 构 、 技 术 概 念 和 设 计 理 念 , 我 们 可 以 看 到 Kubernetes系 统 最 核 心 的 两 个 设 计 理 念 : 一 个 是 < strong > 容 错 性 < / strong > , 一 个 是 < strong > 易 扩 展 性 < / strong > 。 容 错 性 实 际 是 保 证 Kubernetes系 统 稳 定 性 和 安 全 性 的 基 础 , 易 扩 展 性 是 保 证 Kubernetes对 变 更 友 好 , 可 以 快 速 迭 代 增 加 新 功 能 的 基 础 。 < / p >
< p > 按 照 分 布 式 系 统 一 致 性 算 法 Paxos发 明 人 计 算 机 科 学 家 < a href = "http://research.microsoft.com/users/lamport/pubs/pubs.html" target = "_blank" > Leslie Lamport< / a > 的 理 念 , 一 个 分 布 式 系 统 有 两 类 特 性 : 安 全 性 Safety和 活 性 Liveness。 安 全 性 保 证 系 统 的 稳 定 , 保 证 系 统 不 会 崩 溃 , 不 会 出 现 业 务 错 误 , 不 会 做 坏 事 , 是 严 格 约 束 的 ; 活 性 使 得 系 统 可 以 提 供 功 能 , 提 高 性 能 , 增 加 易 用 性 , 让 系 统 可 以 在 用 户 “ 看 到 的 时 间 内 ” 做 些 好 事 , 是 尽 力 而 为 的 。 Kubernetes系 统 的 设 计 理 念 正 好 与 Lamport安 全 性 与 活 性 的 理 念 不 谋 而 合 , 也 正 是 因 为 Kubernetes在 引 入 功 能 和 技 术 的 时 候 , 非 常 好 地 划 分 了 安 全 性 和 活 性 , 才 可 以 让 Kubernetes能 有 这 么 快 版 本 迭 代 , 快 速 引 入 像 RBAC、 Federation和 PetSet这 种 新 功 能 。 < / p >
< p > [1] < a href = "http://www.infoq.com/cn/articles/kubernetes-and-cloud-native-applications-part01" target = "_blank" > http://www.infoq.com/cn/articles/kubernetes-and-cloud-native-applications-part01< / a > < / p >
< footer class = "page-footer-ex" > < span class = "page-footer-ex-copyright" > for GitBook< / span >                       < span class = "page-footer-ex-footer-update" > update
2017-08-21 18:44:34 +08:00
2017-08-21 18:23:34
2017-08-21 17:44:43 +08:00
< / span > < / footer >
< / section >
< / div >
< div class = "search-results" >
< div class = "has-results" >
< h1 class = "search-results-title" > < span class = 'search-results-count' > < / span > results matching "< span class = 'search-query' > < / span > "< / h1 >
< ul class = "search-results-list" > < / ul >
< / div >
< div class = "no-results" >
< h1 class = "search-results-title" > No results matching "< span class = 'search-query' > < / span > "< / h1 >
< / div >
< / div >
< / div >
< / div >
< / div >
< / div >
< a href = "./" class = "navigation navigation-prev " aria-label = "Previous page: 2. 概念原理" >
< i class = "fa fa-angle-left" > < / i >
< / a >
< a href = "objects.html" class = "navigation navigation-next " aria-label = "Next page: 2.2 主要概念" >
< i class = "fa fa-angle-right" > < / i >
< / a >
< / div >
< script >
var gitbook = gitbook || [];
gitbook.push(function() {
2017-08-31 18:20:45 +08:00
gitbook.page.hasChanged({"page":{"title":"2.1 设计理念","level":"1.2.1","depth":2,"next":{"title":"2.2 主要概念","level":"1.2.2","depth":2,"path":"concepts/objects.md","ref":"concepts/objects.md","articles":[{"title":"2.2.1 Pod","level":"1.2.2.1","depth":3,"path":"concepts/pod-overview.md","ref":"concepts/pod-overview.md","articles":[{"title":"2.2.1.1 Pod解析","level":"1.2.2.1.1","depth":4,"path":"concepts/pod.md","ref":"concepts/pod.md","articles":[]}]},{"title":"2.2.2 Node","level":"1.2.2.2","depth":3,"path":"concepts/node.md","ref":"concepts/node.md","articles":[]},{"title":"2.2.3 Namespace","level":"1.2.2.3","depth":3,"path":"concepts/namespace.md","ref":"concepts/namespace.md","articles":[]},{"title":"2.2.4 Service","level":"1.2.2.4","depth":3,"path":"concepts/service.md","ref":"concepts/service.md","articles":[]},{"title":"2.2.5 Volume和Persistent Volume","level":"1.2.2.5","depth":3,"path":"concepts/volume.md","ref":"concepts/volume.md","articles":[]},{"title":"2.2.6 Deployment","level":"1.2.2.6","depth":3,"path":"concepts/deployment.md","ref":"concepts/deployment.md","articles":[]},{"title":"2.2.7 Secret","level":"1.2.2.7","depth":3,"path":"concepts/secret.md","ref":"concepts/secret.md","articles":[]},{"title":"2.2.8 StatefulSet","level":"1.2.2.8","depth":3,"path":"concepts/statefulset.md","ref":"concepts/statefulset.md","articles":[]},{"title":"2.2.9 DaemonSet","level":"1.2.2.9","depth":3,"path":"concepts/daemonset.md","ref":"concepts/daemonset.md","articles":[]},{"title":"2.2.10 ServiceAccount","level":"1.2.2.10","depth":3,"path":"concepts/serviceaccount.md","ref":"concepts/serviceaccount.md","articles":[]},{"title":"2.2.11 ReplicationController和ReplicaSet","level":"1.2.2.11","depth":3,"path":"concepts/replicaset.md","ref":"concepts/replicaset.md","articles":[]},{"title":"2.2.12 Job","level":"1.2.2.12","depth":3,"path":"concepts/job.md","ref":"concepts/job.md","articles":[]},{"title":"2.2.13 CronJob","level":"1.2.2.13","depth":3,"path":"concepts/cronjob.md","ref":"concepts/cronjob.md","articles":[]},{"title":"2.2.14 Ingress","level":"1.2.2.14","depth":3,"path":"concepts/ingress.md","ref":"concepts/ingress.md","articles":[]},{"title":"2.2.15 ConfigMap","level":"1.2.2.15","depth":3,"path":"concepts/configmap.md","ref":"concepts/configmap.md","articles":[]},{"title":"2.2.16 Horizontal Pod Autoscaling","level":"1.2.2.16","depth":3,"path":"concepts/horizontal-pod-autoscaling.md","ref":"concepts/horizontal-pod-autoscaling.md","articles":[]},{"title":"2.2.17 Label","level":"1.2.2.17","depth":3,"path":"concepts/label.md","ref":"concepts/label.md","articles":[]}]},"previous":{"title":"2. 概念原理","level":"1.2","depth":1,"path":"concepts/index.md","ref":"concepts/index.md","articles":[{"title":"2.1 设计理念","level":"1.2.1","depth":2,"path":"concepts/concepts.md","ref":"concepts/concepts.md","articles":[]},{"title":"2.2 主要概念","level":"1.2.2","depth":2,"path":"concepts/objects.md","ref":"concepts/objects.md","articles":[{"title":"2.2.1 Pod","level":"1.2.2.1","depth":3,"path":"concepts/pod-overview.md","ref":"concepts/pod-overview.md","articles":[{"title":"2.2.1.1 Pod解析","level":"1.2.2.1.1","depth":4,"path":"concepts/pod.md","ref":"concepts/pod.md","articles":[]}]},{"title":"2.2.2 Node","level":"1.2.2.2","depth":3,"path":"concepts/node.md","ref":"concepts/node.md","articles":[]},{"title":"2.2.3 Namespace","level":"1.2.2.3","depth":3,"path":"concepts/namespace.md","ref":"concepts/namespace.md","articles":[]},{"title":"2.2.4 Service","level":"1.2.2.4","depth":3,"path":"concepts/service.md","ref":"concepts/service.md","articles":[]},{"title":"2.2.5 Volume和Persistent Volume","level":"1.2.2.5","depth":3,"path":"concepts/volume.md","ref":"concepts/volume.md","articles":[]},{"title":"2.2.6 Deployment","level":"1.2.2.6","depth":3,"path":"concepts/deployment.md","ref":"concepts/deployment.md","articles":[]},{"title":"2.2.7 Secret","level":"1.2.2.7","depth":3,"path":"concepts/secret.md","ref":"concepts/secret.md","articles":[]},{"title":"2.2.8 StatefulSet","level":"1.2.2.8","depth":3,"
2017-08-21 17:44:43 +08:00
});
< / script >
< / div >
< script src = "../gitbook/gitbook.js" > < / script >
< script src = "../gitbook/theme.js" > < / script >
< script src = "../gitbook/gitbook-plugin-github/plugin.js" > < / script >
< script src = "../gitbook/gitbook-plugin-splitter/splitter.js" > < / script >
< script src = "../gitbook/gitbook-plugin-page-toc-button/plugin.js" > < / script >
< script src = "../gitbook/gitbook-plugin-editlink/plugin.js" > < / script >
< script src = "../gitbook/gitbook-plugin-search-plus/jquery.mark.min.js" > < / script >
< script src = "../gitbook/gitbook-plugin-search-plus/search.js" > < / script >
< script src = "../gitbook/gitbook-plugin-sharing/buttons.js" > < / script >
< script src = "../gitbook/gitbook-plugin-fontsettings/fontsettings.js" > < / script >
< / body >
< / html >
