赞
踩
想象一下,如果我想将 nginx 部署到 Kubernetes 集群,我可能会在终端中输入类似这样的命令:
$ kubectl run --image=nginx --replicas=3
然后回车。几秒钟后,你就会看到三个 nginx pod 分布在所有的工作节点上。这一切就像变魔术一样,但你并不知道这一切的背后究竟发生了什么事情。
Kubernetes 的神奇之处在于:它可以通过用户友好的 API 来处理跨基础架构的 deployments,而背后的复杂性被隐藏在简单的抽象中。但为了充分理解它为我们提供的价值,我们需要理解它的内部原理。
本指南将引导您理解从 client 到 Kubelet 的请求的完整生命周期,必要时会通过源代码来说明背后发生了什么。
1 验证和生成器
当敲下回车键以后,kubectl 首先会执行一些客户端验证操作,以确保不合法的请求(例如,创建不支持的资源或使用格式错误的镜像名称)将会快速失败,也不会发送给 kube-apiserver。通过减少不必要的负载来提高系统性能。
验证通过之后, kubectl 开始将发送给 kube-apiserver 的 HTTP 请求进行封装。kube-apiserver 与 etcd 进行通信,所有尝试访问或更改 Kubernetes 系统状态的请求都会通过 kube-apiserver 进行,kubectl 也不例外。kubectl 使用生成器(generators)来构造 HTTP 请求。生成器是一个用来处理序列化的抽象概念。
通过 kubectl run 不仅可以运行 deployment,还可以通过指定参数 --generator 来部署其他多种资源类型。如果没有指定 --generator 参数的值,kubectl 将会自动判断资源的类型。
例如,带有参数 --restart-policy=Always 的资源将被部署为 Deployment,而带有参数 --restart-policy=Never 的资源将被部署为 Pod。同时 kubectl 也会检查是否需要触发其他操作,例如记录命令(用来进行回滚或审计)。
在 kubectl 判断出要创建一个 Deployment 后,它将使用 DeploymentV1Beta1 生成器从我们提供的参数中生成一个运行时对象。
2 API 版本协商与 API 组
为了更容易地消除字段或者重新组织资源结构,Kubernetes 支持多个 API 版本,每个版本都在不同的 API 路径下,例如 /api/v1 或者 /apis/extensions/v1beta1。不同的 API 版本表明不同的稳定性和支持级别,更详细的描述可以参考 Kubernetes API 概述。
API 组旨在对类似资源进行分类,以便使得 Kubernetes API 更容易扩展。API 的组名在 REST 路径或者序列化对象的 apiVersion 字段中指定。例如,Deployment 的 API 组名是 apps,最新的 API 版本是 v1beta2,这就是为什么你要在 Deployment manifests 顶部输入 apiVersion: apps/v1beta2。
kubectl 在生成运行时对象后,开始为它找到适当的 API 组和 API 版本,然后组装成一个版本化客户端,该客户端知道资源的各种 REST 语义。该阶段被称为版本协商,kubectl 会扫描 remote API 上的 /apis 路径来检索所有可能的 API 组。由于 kube-apiserver 在 /apis 路径上公开了 OpenAPI 格式的规范文档, 因此客户端很容易找到合适的 API。
为了提高性能,kubectl 将 OpenAPI 规范缓存到了 ~/.kube/cache 目录。如果你想了解 API 发现的过程,请尝试删除该目录并在运行 kubectl 命令时将 -v 参数的值设为最大值,然后你将会看到所有试图找到这些 API 版本的HTTP 请求。参考 kubectl 备忘单。
最后一步才是真正地发送 HTTP 请求。一旦请求发送之后获得成功的响应,kubectl 将会根据所需的输出格式打印 success message。
3 客户端身份认证
在发送 HTTP 请求之前还要进行客户端认证,这是之前没有提到的,现在可以来看一下。
为了能够成功发送请求,kubectl 需要先进行身份认证。用户凭证保存在 kubeconfig 文件中,kubectl 通过以下顺序来找到 kubeconfig 文件:
解析完 kubeconfig 文件后,kubectl 会确定当前要使用的上下文、当前指向的群集以及与当前用户关联的任何认证信息。如果用户提供了额外的参数(例如 --username),则优先使用这些参数覆盖 kubeconfig 中指定的值。一旦拿到这些信息之后, kubectl 就会把这些信息填充到将要发送的 HTTP 请求头中:
kube-apiserver
1 认证
现在我们的请求已经发送成功了,接下来将会发生什么?这时候就该 kube-apiserver 闪亮登场了!kube-apiserver 是客户端和系统组件用来保存和检索集群状态的主要接口。为了执行相应的功能,kube-apiserver 需要能够验证请求者是合法的,这个过程被称为认证。
那么 apiserver 如何对请求进行认证呢?当 kube-apiserver 第一次启动时,它会查看用户提供的所有 CLI 参数,并组合成一个合适的令牌列表。
举个例子:如果提供了 --client-ca-file 参数,则会将 x509 客户端证书认证添加到令牌列表中;如果提供了 --token-auth-file 参数,则会将 breaer token 添加到令牌列表中。
每次收到请求时,apiserver 都会通过令牌链进行认证,直到某一个认证成功为止:
如果认证失败,则请求失败并返回相应的错误信息;如果验证成功,则将请求中的 Authorization 请求头删除,并将用户信息添加到其上下文中。这给后续的授权和准入控制器提供了访问之前建立的用户身份的能力。
2 授权
OK,现在请求已经发送,并且 kube-apiserver 已经成功验证我们是谁,终于解脱了!
然而事情并没有结束,虽然我们已经证明了我们是合法的,但我们有权执行此操作吗?毕竟身份和权限不是一回事。为了进行后续的操作,kube-apiserver 还要对用户进行授权。
kube-apiserver 处理授权的方式与处理身份验证的方式相似:通过 kube-apiserver 的启动参数 --authorization_mode参数设置。它将组合一系列授权者,这些授权者将针对每个传入的请求进行授权。如果所有授权者都拒绝该请求,则该请求会被禁止响应并且不会再继续响应。如果某个授权者批准了该请求,则请求继续。
kube-apiserver 目前支持以下几种授权方法:
3 准入控制
突破了之前所说的认证和授权两道关口之后,客户端的调用请求就能够得到 API Server 的真正响应了吗?答案是:不能!
从 kube-apiserver 的角度来看,它已经验证了我们的身份并且赋予了相应的权限允许我们继续,但对于 Kubernetes 而言,其他组件对于应不应该允许发生的事情还是很有意见的。所以这个请求还需要通过 Admission Controller 所控制的一个 准入控制链 的层层考验,官方标准的 “关卡” 有近十个之多,而且还能自定义扩展!
虽然授权的重点是回答用户是否有权限,但准入控制器会拦截请求以确保它符合集群的更广泛的期望和规则。它们是资源对象保存到 etcd 之前的最后一个堡垒,封装了一系列额外的检查以确保操作不会产生意外或负面结果。不同于授权和认证只关心请求的用户和操作,准入控制还处理请求的内容,并且仅对创建、更新、删除或连接(如代理)等有效,而对读操作无效。
准入控制器的工作方式与授权者和验证者的工作方式类似,但有一点区别:与验证链和授权链不同,如果某个准入控制器检查不通过,则整个链会中断,整个请求将立即被拒绝并且返回一个错误给终端用户。
准入控制器设计的重点在于提高可扩展性,某个控制器都作为一个插件存储在 plugin/pkg/admission 目录中,并且与某一个接口相匹配,最后被编译到 kube-apiserver 二进制文件中。
大部分准入控制器都比较容易理解,接下来着重介绍 SecurityContextDeny、ResourceQuota 及 LimitRanger这三个准入控制器。
etcd
到现在为止,Kubernetes 已经对该客户端的调用请求进行了全面彻底地审查,并且已经验证通过,运行它进入下一个环节。下一步 kube-apiserver 将对 HTTP 请求进行反序列化,然后利用得到的结果构建运行时对象(有点像 kubectl 生成器的逆过程),并保存到 etcd 中。下面我们将这个过程分解一下。
当收到请求时,kube-apiserver 是如何知道它该怎么做的呢?事实上,在客户端发送调用请求之前就已经产生了一系列非常复杂的流程。我们就从 kube-apiserver 二进制文件首次运行开始分析吧:
现在 kube-apiserver 已经知道了所有的路由及其对应的 REST 路径,以便在请求匹配时知道调用哪些处理器和键值存储。多么机智的设计!现在假设客户端的 HTTP 请求已经被 kube-apiserver 收到了:
原来 apiserver 做了这么多的工作,以前竟然没有发现呢!到目前为止,我们创建的 Deployment 资源已经保存到了 etcd 中,但 apiserver 仍然看不到它。
初始化
在一个资源对象被持久化到数据存储之后,apiserver 还无法完全看到或调度它,在此之前还要执行一系列 Initializers。Initializers 是一种与资源类型相关联的控制器,它会在资源对外可用之前执行某些逻辑。如果某个资源类型没有 Initializers,就会跳过此初始化步骤立即使资源对外可见。
正如大佬的博客指出的那样,Initializers 是一个强大的功能,因为它允许我们执行通用引导操作。例如:
initializerConfiguration 资源对象允许你声明某些资源类型应该运行哪些Initializers。如果你想每创建一个 Pod 时就运行一个自定义Initializers,你可以这样做:
通过该配置创建资源对象 InitializerConfiguration 之后,就会在每个 Pod 的
metadata.initializers.pending 字段中添加 custom-pod-initializer 字段。该初始化控制器会定期扫描新的 Pod,一旦在 Pod 的 pending 字段中检测到自己的名称,就会执行其逻辑,执行完逻辑之后就会将 pending 字段下的自己的名称删除。
只有在 pending 字段下的列表中的第一个Initializers可以对资源进行操作,当所有的Initializers执行完成,并且 pending字段为空时,该对象就会被认为初始化成功。
你可能会注意到一个问题:如果 kube-apiserver 不能显示这些资源,那么用户级控制器是如何处理资源的呢?
为了解决这个问题,kube-apiserver 暴露了一个 ?includeUninitialized 查询参数,它会返回所有的资源对象(包括未初始化的)。
控制循环
1 Deployments controller
到了这个阶段,我们的 Deployment 记录已经保存在 etcd 中,并且所有的初始化逻辑都执行完成,接下来的阶段将会涉及到该资源所依赖的拓扑结构。在 Kubernetes 中,Deployment 实际上只是一系列 Replicaset 的集合,而 Replicaset 是一系列 Pod 的集合。那么 Kubernetes 是如何从一个 HTTP 请求按照层级结构依次创建这些资源的呢?其实这些工作都是由 Kubernetes 内置的 Controller(控制器) 来完成的。
Kubernetes 在整个系统中使用了大量的 Controller,Controller 是一个用于将系统状态从“当前状态”修正到“期望状态”的异步脚本。所有 Controller 都通过 kube-controller-manager 组件并行运行,每种 Controller 都负责一种具体的控制流程。首先介绍一下 Deployment Controller:
将 Deployment 记录存储到 etcd 并初始化后,就可以通过 kube-apiserver 使其可见,然后 Deployment Controller 就会检测到它(它的工作就是负责监听 Deployment 记录的更改)。在我们的例子中,控制器通过一个 Informer 注册一个创建事件的特定回调函数(更多信息参加下文)。
当 Deployment 第一次对外可见时,该 Controller 就会将该资源对象添加到内部工作队列,然后开始处理这个资源对象:
通过使用标签选择器查询 kube-apiserver 来检查该 Deployment 是否有与其关联的 ReplicaSet 或 Pod 记录。
有趣的是,这个同步过程是状态不可知的,它核对新记录与核对已经存在的记录采用的是相同的方式。
在意识到没有与其关联的 ReplicaSet 或 Pod 记录后,Deployment Controller 就会开始执行弹性伸缩流程:
创建 ReplicaSet 资源,为其分配一个标签选择器并将其版本号设置为 1。
ReplicaSet 的 PodSpec 字段从 Deployment 的 manifest 以及其他相关元数据中复制而来。有时 Deployment 记录在此之后也需要更新(例如,如果设置了 process deadline)。
当完成以上步骤之后,该 Deployment 的 status 就会被更新,然后重新进入与之前相同的循环,等待 Deployment 与期望的状态相匹配。由于 Deployment Controller 只关心 ReplicaSet,因此需要通过 ReplicaSet Controller 来继续协调。
2 ReplicaSets controller
在前面的步骤中,Deployment Controller 创建了第一个 ReplicaSet,但仍然还是没有 Pod,这时候就该 ReplicaSet Controller 登场了!ReplicaSet Controller 的工作是监视 ReplicaSets 及其相关资源(Pod)的生命周期。和大多数其他 Controller 一样,它通过触发某些事件的处理器来实现此目的。
当创建 ReplicaSet 时(由 Deployment Controller 创建),RS Controller 检查新 ReplicaSet 的状态,并检查当前状态与期望状态之间存在的偏差,然后通过调整 Pod 的副本数来达到期望的状态。
Pod 的创建也是批量进行的,从 SlowStartInitialBatchSize 开始,然后在每次成功的迭代中以一种 slow start操作加倍。这样做的目的是在大量 Pod 启动失败时(例如,由于资源配额),可以减轻 kube-apiserver 被大量不必要的 HTTP 请求吞没的风险。如果创建失败,最好能够优雅地失败,并且对其他的系统组件造成的影响最小!
Kubernetes 通过 Owner References(在子级资源的某个字段中引用其父级资源的 ID) 来构造严格的资源对象层级结构。这确保了一旦 Controller 管理的资源被删除(级联删除),子资源就会被垃圾收集器删除,同时还为父级资源提供了一种有效的方式来避免他们竞争同一个子级资源(想象两对父母都认为他们拥有同一个孩子的场景)。
Owner References 的另一个好处是:它是有状态的。如果有任何 Controller 重启了,那么由于资源对象的拓扑关系与 Controller 无关,该操作不会影响到系统的稳定运行。这种对资源隔离的重视也体现在 Controller 本身的设计中:Controller 不能对自己没有明确拥有的资源进行操作,它们应该选择对资源的所有权,互不干涉,互不共享。
有时系统中也会出现孤儿(orphaned)资源,通常由以下两种途径产生:
当发生这种情况时,Controller 将会确保孤儿资源拥有新的 Owner。多个父级资源可以相互竞争同一个孤儿资源,但只有一个会成功(其他父级资源会收到验证错误)。
3 Informers
你可能已经注意到,某些 Controller(例如 RBAC 授权器或 Deployment Controller)需要先检索集群状态然后才能正常运行。拿 RBAC 授权器举例,当请求进入时,授权器会将用户的初始状态缓存下来,然后用它来检索与 etcd 中的用户关联的所有 角色(Role)和 角色绑定(RoleBinding)。那么问题来了,Controller 是如何访问和修改这些资源对象的呢?事实上 Kubernetes 是通过 Informer 机制来解决这个问题的。
Infomer 是一种模式,它允许 Controller 查找缓存在本地内存中的数据(这份数据由 Informer 自己维护)并列出它们感兴趣的资源。
虽然 Informer 的设计很抽象,但它在内部实现了大量的对细节的处理逻辑(例如缓存),缓存很重要,因为它不但可以减少对 Kubenetes API 的直接调用,同时也能减少 Server 和 Controller 的大量重复性工作。通过使用 Informer,不同的 Controller 之间以线程安全(Thread safety)的方式进行交互,而不必担心多个线程访问相同的资源时会产生冲突。
有关 Informer 的更多详细解析,请参考这篇文章:Kubernetes: Controllers, Informers, Reflectors and Stores
4 Scheduler
当所有的 Controller 正常运行后,etcd 中就会保存一个 Deployment、一个 ReplicaSet 和 三个 Pod 资源记录,并且可以通过 kube-apiserver 查看。然而,这些 Pod 资源现在还处于 Pending 状态,因为它们还没有被调度到集群中合适的 Node 上运行。这个问题最终要靠调度器(Scheduler)来解决。
Scheduler 作为一个独立的组件运行在集群控制平面上,工作方式与其他 Controller 相同:监听实际并将系统状态调整到期望的状态。具体来说,Scheduler 的作用是将待调度的 Pod 按照特定的算法和调度策略绑定(Binding)到集群中某个合适的 Node 上,并将绑定信息写入 etcd 中(它会过滤其 PodSpec 中 NodeName 字段为空的 Pod),默认的调度算法的工作方式如下:
一旦找到了合适的节点,Scheduler 就会创建一个 Binding 对象,该对象的 Name 和 Uid 与 Pod 相匹配,并且其 ObjectReference 字段包含所选节点的名称,然后通过 POST 请求发送给 apiserver。
当 kube-apiserver 接收到此 Binding 对象时,注册吧会将该对象反序列化并更新 Pod 资源中的以下字段:
- $ kubectl get <PODNAME> -o go-template='{{range .status.conditions}}{{if eq .type "PodScheduled"}}{{.status}}{{end}}{{end}}'
一旦 Scheduler 将 Pod 调度到某个节点上,该节点的 Kubelet 就会接管该 Pod 并开始部署。
预选策略和优选策略都可以通过 --policy-config-file 参数来扩展,如果默认的调度器不满足要求,还可以部署自定义的调度器。
如果 podSpec.schedulerName 的值设置为其他的调度器,则 Kubernetes 会将该 Pod 的调度转交给那个调度器。
Kubelet
1 Pod 同步
现在,所有的 Controller 都完成了工作,我们来总结一下:
然而到目前为止,所有的状态变化仅仅只是针对保存在 etcd 中的资源记录,接下来的步骤涉及到运行在工作节点之间的 Pod 的分布状况,这是分布式系统(比如 Kubernetes)的关键因素。这些任务都是由 Kubelet 组件完成的,让我们开始吧!
在 Kubernetes 集群中,每个 Node 节点上都会启动一个 Kubelet 服务进程,该进程用于处理 Scheduler 下发到本节点的任务,管理 Pod 的生命周期,包括挂载卷、容器日志记录、垃圾回收以及其他与 Pod 相关的事件。
如果换一种思维模式,你可以把 Kubelet 当成一种特殊的 Controller,它每隔 20 秒(可以自定义)向 kube-apiserver 通过 NodeName 获取自身 Node 上所要运行的 Pod 清单。一旦获取到了这个清单,它就会通过与自己的内部缓存进行比较来检测新增加的 Pod,如果有差异,就开始同步 Pod 列表。我们来详细分析一下同步过程:
2 CRI 与 pause 容器
到了这个阶段,大量的初始化工作都已经完成,容器已经准备好开始启动了,而容器是由容器运行时(例如 Docker 和 Rkt)启动的。
为了更容易扩展,Kubelet 从 1.5.0 开始通过容器运行时接口与容器运行时(Container Runtime)交互。简而言之,CRI 提供了 Kubelet 和特定的运行时之间的抽象接口,它们之间通过协议缓冲区(它像一个更快的 JSON)和 gRPC API(一种非常适合执行 Kubernetes 操作的 API)。这是一个非常酷的想法,通过使用 Kubelet 和运行时之间定义的契约关系,容器如何编排的具体实现细节已经变得无关紧要。由于不需要修改 Kubernetes 的核心代码,开发者可以以最小的开销添加新的运行时。
不好意思有点跑题了,让我们继续回到容器启动的阶段。第一次启动 Pod 时,Kubelet 会通过 Remote Procedure Command(RPC) 协议调用 RunPodSandbox。sandbox 用于描述一组容器,例如在 Kubernetes 中它表示的是 Pod。sandbox 是一个很宽泛的概念,所以对于其他没有使用容器的运行时仍然是有意义的(比如在一个基于 hypervisor 的运行时中,sandbox 可能指的就是虚拟机)。
我们的例子中使用的容器运行时是 Docker,创建 sandbox 时首先创建的是 pause 容器。pause 容器作为同一个 Pod 中所有其他容器的基础容器,它为 Pod 中的每个业务容器提供了大量的 Pod 级别资源,这些资源都是 Linux 命名空间(包括网络命名空间,IPC 命名空间和 PID 命名空间)。
pause 容器提供了一种方法来管理所有这些命名空间并允许业务容器共享它们,在同一个网络命名空间中的好处是:同一个 Pod 中的容器可以使用 localhost 来相互通信。pause 容器的第二个功能与 PID 命名空间的工作方式相关,在 PID 命名空间中,进程之间形成一个树状结构,一旦某个子进程由于父进程的错误而变成了“孤儿进程”,其便会被 init 进程进行收养并最终回收资源。关于 pause 工作方式的详细信息可以参考:The Almighty Pause Container。
一旦创建好了 pause 容器,下面就会开始检查磁盘状态然后开始启动业务容器。
3 CNI 和 Pod 网络
现在我们的 Pod 已经有了基本的骨架:一个共享所有命名空间以允许业务容器在同一个 Pod 里进行通信的 pause 容器。但现在还有一个问题,那就是容器的网络是如何建立的?
当 Kubelet 为 Pod 创建网络时,它会将创建网络的任务交给 CNI 插件。CNI 表示容器网络接口(Container Network Interface),和容器运行时的运行方式类似,它也是一种抽象,允许不同的网络提供商为容器提供不同的网络实现。通过将 json 配置文件(默认在 /etc/cni/net.d 路径下)中的数据传送到相关的 CNI 二进制文件(默认在 /opt/cni/bin 路径下)中,cni 插件可以给 pause 容器配置相关的网络,然后 Pod 中其他的容器都使用 pause 容器的网络。下面是一个简单的示例配置文件:
- {
- "cniVersion": "0.3.1",
- "name": "bridge",
- "type": "bridge",
- "bridge": "cnio0",
- "isGateway": true,
- "ipMasq": true,
- "ipam": {
- "type": "host-local",
- "ranges": [
- [{"subnet": "${POD_CIDR}"}]
- ],
- "routes": [{"dst": "0.0.0.0/0"}]
- }
- }
CNI 插件还会通过 CNI_ARGS 环境变量为 Pod 指定其他的元数据,包括 Pod 名称和命名空间。
下面的步骤因 CNI 插件而异,我们以 bridge 插件举例:
一旦完成了上面的步骤,CNI 插件就会将操作的结果以 json 的格式返回给 Kubelet。
4 跨主机容器网络
到目前为止,我们已经描述了容器如何与宿主机进行通信,但跨主机之间的容器如何通信呢?
通常情况下使用 overlay 网络来进行跨主机容器通信,这是一种动态同步多个主机间路由的方法。 其中最常用的 overlay 网络插件是 flannel,flannel 具体的工作方式可以参考 CoreOS 的文档。
5 容器启动
所有网络都配置完成后,接下来就开始真正启动业务容器了!
一旦 sanbox 完成初始化并处于 active 状态,Kubelet 就可以开始为其创建容器了。首先启动 PodSpec 中定义的 init 容器,然后再启动业务容器。具体过程如下:
总结
如果上面一切顺利,现在你的集群上应该会运行三个容器,所有的网络,数据卷和秘钥都被通过 CRI 接口添加到容器中并配置成功。
上文所述的创建 Pod 整个过程的流程图如下所示:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。