k8s實踐(9)--深刻了解Pod

1、Pod簡介


       Pod是k8s系統中能夠建立和管理的最小單元,是資源對象模型中由用戶建立或部署的最小資源對象模型,也是在k8s上運行容器化應用的資源對象,其餘的資源對象都是用來支撐或者擴展Pod對象功能的,好比控制器對象是用來管控Pod對象的,Service或者Ingress資源對象是用來暴露Pod引用對象的,PersistentVolume資源對象是用來爲Pod提供存儲等等,k8s不會直接處理容器,而是Pod,Pod是由一個或者多個container組成的。php

每一個Pod都是運行應用的單個實例,若是須要水平擴展應用(例如,運行多個實例),則應該使用多個Pods,每一個實例一個Pod。在Kubernetes中,這樣一般稱爲Replication。Replication的Pod一般由Controller建立和管理。html

1.一、爲何須要pod

咱們先談談爲何k8s會使用pod這個最小單元,而不是使用docker的容器,k8s既然使用了pod,固然有它的理由。前端

一、更利於擴展
k8s不只僅支持Docker容器,也支持rkt甚至用戶自定義容器,爲何會有這麼多不一樣的容器呢,由於容器並非真正的虛擬機,docker的一些概念和誤區總結,此外,Kubernetes不依賴於底層某一種具體的規則去實現容器技術,而是經過CRI這個抽象層操做容器,這樣就會須要pod這樣一個東西,pod內部再管理多個業務上緊密相關的用戶業務容器,就會更有利用業務擴展pod而不是擴展容器。
node

 

二、更容易定義一組容器的狀態nginx

若是咱們沒有使用pod,而是直接使用一組容器去跑一個業務呢,那麼當其中一個或者若干個容器出現問題呢,咱們如何去定義這一組容器的狀態呢,經過pod這個概念,這個問題就能夠很好的解決,一組業務容器跑在一個k8s的pod中,這個pod中會有一個pause容器,這個容器與其餘的業務容器都沒有關係,以這個pause容器的狀態來表明這個pod的狀態.git

 

三、利於容器間文件共享,以及通訊。
     pod裏的多個業務容器共享pause容器的ip和存儲卷Volume,pod中的其餘容器共享pause容器的ip地址和存儲,這樣就作到了文件共享和互信。
web

 

1.2 Pod 特性:

1  資源共享:IP和Volume

一個Pod裏的多個容器能夠共享存儲和網絡IP,能夠看做一個邏輯的主機。共享的如 namespace,cgroups或者其餘的隔離資源。redis

多個容器共享同一個network namespace,由此在一個Pod裏的多個容器共享Pod的IP和端口namespace,因此一個Pod內的多個容器之間能夠經過localhost來進行通訊,所須要注意的是不一樣容器要注意不要有端口衝突便可。不一樣的Pod有不一樣的IP,不一樣Pod內的多個容器以前通訊,不可使用IPC(若是沒有特殊指定的話)通訊,一般狀況下使用Pod的IP進行通訊。算法

k8s要求底層網絡支持集羣內任意兩個pod直接的TCP/IP直接通訊,這一般纔有虛擬二層網絡技術來實現,例如Flannel,Openswitch等。spring

一個Pod裏的多個容器能夠共享存儲卷,這個存儲卷會被定義爲Pod的一部分,而且能夠掛載到該Pod裏的全部容器的文件系統上。

2 生命週期短暫

Pod屬於生命週期比較短暫的組件,好比,當Pod所在節點發生故障,那麼該節點上的Pod會被調度到其餘節點,但須要注意的是,被從新調度的Pod是一個全新的Pod,跟以前的Pod沒有半毛錢關係。

3  平坦的網絡

K8s集羣中的全部Pod都在同一個共享網絡地址空間中,也就是說每一個Pod均可以經過其餘Pod的IP地址來實現訪問。

 

1.3 Pod使用和管理

一、核心原則是:將多個應用分散到多個Pod中

     緣由:基於資源的合理應用;擴縮容,不一樣應用應該有不一樣的擴縮容策略等。

     若是容器之間不是必須運行在一塊兒的話,那麼就放到不一樣的Pod裏

若是容器以前是相互獨立的組件,那麼就放到不一樣的Pod裏

若是容器以前擴縮容策略不同,那麼就放到不一樣的Pod裏

結論:單Pod單容器應用,除非特殊緣由。

 

你不多會直接在kubernetes中建立單個Pod。由於Pod的生命週期是短暫的,用後即焚的實體。當Pod被建立後(不管是由你直接建立仍是被其餘Controller),都會被Kubernetes調度到集羣的Node上。直到Pod的進程終止、被刪掉、由於缺乏資源而被驅逐、或者Node故障以前這個Pod都會一直保持在那個Node上。

注意:重啓Pod中的容器跟重啓Pod不是一回事。Pod只提供容器的運行環境並保持容器的運行狀態,重啓容器不會形成Pod重啓。

Pod不會自愈。若是Pod運行的Node故障,或者是調度器自己故障,這個Pod就會被刪除。一樣的,若是Pod所在Node缺乏資源或者Pod處於維護狀態,Pod也會被驅逐。Kubernetes使用更高級的稱爲Controller的抽象層,來管理Pod實例。雖然能夠直接使用Pod,可是在Kubernetes中一般是使用Controller來管理Pod的。

1.四、Pod和Controller

Controller能夠建立和管理多個Pod,提供副本管理、滾動升級和集羣級別的自愈能力。例如,若是一個Node故障,Controller就能自動將該節點上的Pod調度到其餘健康的Node上。

包含一個或者多個Pod的Controller示例:

一般,Controller會用你提供的Pod Template來建立相應的Pod。

在用戶定義範圍內,若是pod增多,則ReplicationController會終止額外的pod,若是減小,RC會建立新的pod,始終保持在定義範圍。例如,RC會在Pod維護(例如內核升級)後在節點上從新建立新Pod。

 

 

2、Pod定義


       對Pod的定義能夠經過Yaml或Json格式的配置文件來完成。關於Yaml或Json中都能寫哪些參數,參考官網http://kubernetes.io/docs/user-guide/pods/multi-container/

Pod的yaml總體文件內容及功能註解以下:

# yaml格式的pod定義文件完整內容:

apiVersion: v1       #必選,版本號,例如v1
kind: Pod       #必選,Pod
metadata:       #必選,元數據
  name: string       #必選,Pod名稱
  namespace: string    #必選,Pod所屬的命名空間
  labels:      #自定義標籤
    - name: string     #自定義標籤名字
  annotations:       #自定義註釋列表
    - name: string
spec:         #必選,Pod中容器的詳細定義
  containers:      #必選,Pod中容器列表
  - name: string     #必選,容器名稱
    image: string    #必選,容器的鏡像名稱
    imagePullPolicy: [Always | Never | IfNotPresent] #獲取鏡像的策略 Alawys表示下載鏡像 IfnotPresent表示優先使用本地鏡像,不然下載鏡像,Nerver表示僅使用本地鏡像
    command: [string]    #容器的啓動命令列表,如不指定,使用打包時使用的啓動命令
    args: [string]     #容器的啓動命令參數列表
    workingDir: string     #容器的工做目錄
    volumeMounts:    #掛載到容器內部的存儲卷配置
    - name: string     #引用pod定義的共享存儲卷的名稱,需用volumes[]部分定義的的卷名
      mountPath: string    #存儲卷在容器內mount的絕對路徑,應少於512字符
      readOnly: boolean    #是否爲只讀模式
    ports:       #須要暴露的端口庫號列表
    - name: string     #端口號名稱
      containerPort: int   #容器須要監聽的端口號
      hostPort: int    #容器所在主機須要監聽的端口號,默認與Container相同
      protocol: string     #端口協議,支持TCP和UDP,默認TCP
    env:       #容器運行前需設置的環境變量列表
    - name: string     #環境變量名稱
      value: string    #環境變量的值
    resources:       #資源限制和請求的設置
      limits:      #資源限制的設置
        cpu: string    #Cpu的限制,單位爲core數,將用於docker run --cpu-shares參數
        memory: string     #內存限制,單位能夠爲Mib/Gib,將用於docker run --memory參數
      requests:      #資源請求的設置
        cpu: string    #Cpu請求,容器啓動的初始可用數量
        memory: string     #內存清楚,容器啓動的初始可用數量
    livenessProbe:     #對Pod內個容器健康檢查的設置,當探測無響應幾回後將自動重啓該容器,檢查方法有exec、httpGet和tcpSocket,對一個容器只需設置其中一種方法便可
      exec:      #對Pod容器內檢查方式設置爲exec方式
        command: [string]  #exec方式須要制定的命令或腳本
      httpGet:       #對Pod內個容器健康檢查方法設置爲HttpGet,須要制定Path、port
        path: string
        port: number
        host: string
        scheme: string
        HttpHeaders:
        - name: string
          value: string
      tcpSocket:     #對Pod內個容器健康檢查方式設置爲tcpSocket方式
         port: number
       initialDelaySeconds: 0  #容器啓動完成後首次探測的時間,單位爲秒
       timeoutSeconds: 0   #對容器健康檢查探測等待響應的超時時間,單位秒,默認1秒
       periodSeconds: 0    #對容器監控檢查的按期探測時間設置,單位秒,默認10秒一次
       successThreshold: 0
       failureThreshold: 0
       securityContext:
         privileged:false
    restartPolicy: [Always | Never | OnFailure]#Pod的重啓策略,Always表示一旦無論以何種方式終止運行,kubelet都將重啓,OnFailure表示只有Pod以非0退出碼退出才重啓,Nerver表示再也不重啓該Pod
    nodeSelector: obeject  #設置NodeSelector表示將該Pod調度到包含這個label的node上,以key:value的格式指定
    imagePullSecrets:    #Pull鏡像時使用的secret名稱,以key:secretkey格式指定
    - name: string
    hostNetwork:false      #是否使用主機網絡模式,默認爲false,若是設置爲true,表示使用宿主機網絡
    volumes:       #在該pod上定義共享存儲卷列表
    - name: string     #共享存儲卷名稱 (volumes類型有不少種)
      emptyDir: {}     #類型爲emtyDir的存儲卷,與Pod同生命週期的一個臨時目錄。爲空值
      hostPath: string     #類型爲hostPath的存儲卷,表示掛載Pod所在宿主機的目錄
        path: string     #Pod所在宿主機的目錄,將被用於同期中mount的目錄
      secret:      #類型爲secret的存儲卷,掛載集羣與定義的secre對象到容器內部
        scretname: string  
        items:     
        - key: string
          path: string
      configMap:     #類型爲configMap的存儲卷,掛載預約義的configMap對象到容器內部
        name: string
        items:
        - key: string
          path: string   










































































 

 

3、Pod使用


  在使用docker時,咱們可使用docker run命令建立並啓動一個容器,而在Kubernetes系統中對長時間運行的容器要求是:其主程序須要一直在前臺運行。若是咱們建立的docker鏡像的啓動命令是後臺執行程序,例如Linux腳本:

  nohup ./startup.sh &

  則kubelet建立包含這個容器的pod後運行完該命令,即認爲Pod執行結束,以後根據RC中定義的pod的replicas副本數量生產一個新的pod,而一旦建立出新的pod,將在執行完命令後陷入無限循環的過程當中,這就是Kubernetes須要咱們建立的docker鏡像以一個前臺命令做爲啓動命令的緣由。

  對於沒法改造爲前臺執行的應用,也可使用開源工具supervisor輔助進行前臺運行的功能。

Pod能夠由一個或多個容器組合而成

場景1:單個應用多個容器

spring boot web:

apiVersion:v1
kind: Pod
metadata:
  name:  springbootweb
  label:
    name:  test
spec:
  containers:
  - name: springbootweb
    image: registry.tuling123.com/springboot:latest
    ports:
    - containerPort: 9081










kubectl create -f springboot-deployment.yml
 

[root@k8s-master pod]# kubectl get pods
NAME            READY     STATUS    RESTARTS   AGE
springbootweb   0/1       Pending   0          1m

kubectl get pods -o wide

# 加入 –o wide參數 查看額外信息:包括node和ip

pod處於pending的緣由:經過kubectl describe pods springbootweb進一步查找問題。

能夠看到pod的鏡像信息寫錯了:

先刪除pod,而後再建立:kubectl delete pod  springbootweb

 

因爲建立的端口號是9081,能夠直接訪問:curl 10.0.86.2:9081

# curl 10.0.86.2:9081
Hello world

 

 

 

場景2:Pod不一樣應用多個容器組合而成

例如:兩個容器應用的前端frontend和redis爲緊耦合的關係,應該組合成一個總體對外提供服務,則應該將這兩個打包爲一個pod.

配置文件frontend-localredis-pod.yaml以下:

apiVersion:v1
kind: Pod
metadata:
  name: redis-php
  label:
    name: redis-php
spec:
  containers:
  - name: frontend
    image: kubeguide/guestbook-php-frontend:localredis
    ports:
    - containersPort: 80
  - name: redis-php
    image:kubeguide/redis-master
    ports:
    - containersPort: 6379














屬於一個Pod的多個容器應用之間相互訪問只須要經過localhost就能夠通訊,這一組容器被綁定在一個環境中。

使用kubectl create建立該Pod後,get Pod信息能夠看到以下圖:

#kubectl get gods

NAME READY STATUS RESTATS AGE

redis-php 2/2Running 0 10m

能夠看到READY信息爲2/2,表示Pod中的兩個容器都成功運行了.

 

2.3 集羣外部訪問Pod

上面的例子,在k8s集羣的安裝有kube-proxy的node節點上,能夠直接經過curl 10.0.86.2:9081 訪問集羣的pod。但在集羣外的客戶端系統沒法經過Pod的IP地址或者Service的虛擬IP地址和虛擬端口號訪問到它們。爲了讓外部客戶端能夠訪問這些服務,能夠將Pod或Service的端口號映射到宿主機,以使得客戶端應用可以經過物理機訪問容器應用。

一、將容器應用的端口號映射到物理機

apiVersion:v1
kind: Pod
metadata:
  name:  springbootweb
  label:
    name:  test
spec:
  containers:
  - name: springbootweb
    image: registry.tuling123.com/springboot:latest
    ports:
    - containerPort:9081
      hostPort: 9082











 

(2)經過設置Pod級別的hostNetwork-true,該Pod中全部容器的端口號都將被直接映射到物理機上。設置hostNetwork-true時須要注意,在容器的ports定義部分若是不指定hostPort,則默認hostPort等於containerPort,若是指定了hostPort,則hostPort必須等於containerPort的值。

 

apiVersion:v1
kind: Pod
metadata:
  name:  springbootweb
  label:
    name:  test
spec:
  hostNetwork: true
  containers:
  - name: springbootweb
    image: registry.tuling123.com/springboot:latest
    ports:
    - containerPort:9081











  

4、靜態Pod


  靜態pod是由kubelet進行管理的僅存在於特定Node的Pod上,他們不能經過API Server進行管理,沒法與ReplicationController、Deployment或者DaemonSet進行關聯,而且kubelet沒法對他們進行健康檢查。靜態Pod老是由kubelet進行建立,而且老是在kubelet所在的Node上運行。

建立靜態Pod有兩種方式:配置文件或者HTTP方式

1)配置文件方式

  首先,須要設置kubelet的啓動參數"--config",指定kubelet須要監控的配置文件所在的目錄,kubelet會按期掃描該目錄,冰根據目錄中的 .yaml或 .json文件進行建立操做

      假設配置目錄爲/etc/kubelet.d/配置啓動參數:--config=/etc/kubelet.d/,而後重啓kubelet服務後,再宿主機受用docker ps或者在Kubernetes Master上均可以看到指定的容器在列表中

因爲靜態pod沒法經過API Server直接管理,因此在master節點嘗試刪除該pod,會將其變爲pending狀態,也不會被刪除

#kubetctl delete pod static-web-node1

pod "static-web-node1"deleted

#kubectl get pods

NAME READY STATUS RESTARTS AGE

static-web-node1 0/1Pending 0 1s

要刪除該pod的操做只能在其所在的Node上操做,將其定義的.yaml文件從/etc/kubelet.d/目錄下刪除

#rm -f /etc/kubelet.d/static-web.yaml

#docker ps

 

5、Pod容器共享Volume


  Volume類型包括:emtyDir、hostPath、gcePersistentDisk、awsElasticBlockStore、gitRepo、secret、nfs、scsi、glusterfs、persistentVolumeClaim、rbd、flexVolume、cinder、cephfs、flocker、downwardAPI、fc、azureFile、configMap、vsphereVolume等等,能夠定義多個Volume,每一個Volume的name保持惟一。在同一個pod中的多個容器可以共享pod級別的存儲卷Volume。Volume能夠定義爲各類類型,多個容器各自進行掛載操做,講一個Volume掛載爲容器內須要的目錄。

以下圖:

  如上圖中的Pod中包含兩個容器:tomcat和busybox,在pod級別設置Volume 「app-logs」,用於tomcat想其中寫日誌文件,busybox讀日誌文件。

配置文件以下:

apiVersion:v1
kind: Pod
metadata:
  name: redis-php
  label:
    name: volume-pod
spec:
  containers:
  - name: tomcat
    image: tomcat
    ports:
    - containersPort: 8080
    volumeMounts:
    - name: app-logs
      mountPath:/usr/local/tomcat/logs
  - name: busybox
    image:busybox
    command: ["sh","-C","tail -f /logs/catalina*.log"]
  volumes:
  - name: app-logs
    emptyDir:{}



















 

busybox容器能夠經過kubectl logs查看輸出內容

#kubectl logs volume-pod -c busybox 

tomcat容器生成的日誌文件能夠登陸容器查看

#kubectl exec -ti volume-pod -c tomcat -- ls /usr/local/tomcat/logs

六.Pod的配置管理


  應用部署的一個最佳實踐是將應用所需的配置信息於程序進行分離,這樣可使得應用程序被更好的複用,經過不用配置文件也能實現更靈活的功能。將應用打包爲容器鏡像後,能夠經過環境變量或外掛文件的方式在建立容器時進行配置注入。ConfigMap是Kubernetes v1.2版本開始提供的一種統一集羣配置管理方案。

6.1 ConfigMap:容器應用的配置管理

  容器使用ConfigMap的典型用法以下:

  (1)生產爲容器的環境變量。

  (2)設置容器啓動命令的啓動參數(需設置爲環境變量)。

  (3)以Volume的形式掛載爲容器內部的文件或目錄。

  ConfigMap以一個或多個key:value的形式保存在Kubernetes系統中共應用使用,既能夠用於表示一個變量的值,也能夠表示一個完整的配置文件內容。

經過yuaml配置文件或者直接使用kubelet create configmap 命令的方式來建立ConfigMap

6.2 ConfigMap的建立

   舉個小例子cm-appvars.yaml來描述將幾個應用所需的變量定義爲ConfigMap的用法:

# vim cm-appvars.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: cm-appvars
data:
  apploglevel: info
  appdatadir:/var/data





  執行kubectl create命令建立該ConfigMap

#kubectl create -f cm-appvars.yaml

configmap "cm-appvars.yaml"created

查看創建好的ConfigMap:

#kubectl get configmap

kubectl describe configmap cm-appvars

kubectl get configmap cm-appvars -o yaml

 

  另:建立一個cm-appconfigfile.yaml描述將兩個配置文件server.xml和logging.properties定義爲configmap的用法,設置key爲配置文件的別名,value則是配置文件的文本內容:

    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: cm-appvars
    data:
      key-serverxml:
        <?xml Version='1.0'encoding='utf-8'?>
        <Server port="8005"shutdown="SHUTDOWN">
        .....
          </service>
        </Server>
      key-loggingproperties:
        "handlers=lcatalina.org.apache.juli.FileHandler,
        ...."












在pod "cm-test-app"定義中,將configmap "cm-appconfigfile"中的內容以文件形式mount到容器內部configfiles目錄中。

Pod配置文件cm-test-app.yaml內容以下:

#vim cm-test-app.yaml
apiVersion: v1
kind: Pod
metadata:
  name: cm-test-app
spec:
  containers:
  - name: cm-test-app
    image: tomcat-app:v1
    ports:
    - containerPort: 8080
    volumeMounts:
    - name: serverxml                          #引用volume名
      mountPath:/configfiles                       #掛載到容器內部目錄
        configMap:
          name: cm-test-appconfigfile                  #使用configmap定義的的cm-appconfigfile
          items:
          - key: key-serverxml                     #將key=key-serverxml
            path: server.xml                           #value將server.xml文件名進行掛載
          - key: key-loggingproperties                 #將key=key-loggingproperties    
            path: logging.properties                   #value將logging.properties文件名進行掛載



















建立該Pod:
#kubectl create -f cm-test-app.yaml
Pod "cm-test-app"created 

登陸容器查看configfiles目錄下的server.xml和logging.properties文件,他們的內容就是configmap 「cm-appconfigfile」中定義的兩個key的內容
#kubectl exec -ti cm-test-app -- bash
root@cm-rest-app:/# cat /configfiles/server.xml
root@cm-rest-app:/# cat /configfiles/logging.properties


 

6.3使用ConfigMap的條件限制

使用configmap的限制條件以下:

  • configmap必須在pod之間建立
  • configmap也能夠定義爲屬於某個Namespace,只有處於相同namespaces中的pod能夠引用
  • configmap中配額管理還未能實現
  • kubelet只支持被api server管理的pod使用configmap,靜態pod沒法引用
  • 在pod對configmap進行掛載操做時,容器內部職能掛載爲目錄,沒法掛載文件。

 

7、Pod生命週期和重啓策略


  Pod在整個生命週期過程當中被定義爲各類狀態,熟悉Pod的各類狀態有助於理解如何設置Pod的調度策略、重啓策略

  Pod的狀態包含如下幾種,如圖:

  

  Pod的重啓策略(RestartPolicy)應用於Pod內全部的容器,而且僅在Pod所處的Node上由kubelet進行判斷和重啓操做。當某哥容器異常退出或者健康檢查石柏師,kubelet將根據RestartPolicy的設置進行相應的操做

  Pod的重啓策略包括Always、OnFailure及Nerver,默認值爲Always。

  kubelet重啓失效容器的時間間隔以sync-frequency乘以2n來計算,例如一、二、四、8倍等,最長延時5分鐘,而且成功重啓後的10分鐘後重置該事件。

  Pod的重啓策略和控制方式息息相關,當前可用於管理Pod的控制器寶庫ReplicationController、Job、DaemonSet及直接經過kubelet管理(靜態Pod),每種控制器對Pod的重啓策略要求以下:

  • RC和DaemonSet:必須設置爲Always,須要保證該容器持續運行
  • Job:OnFailure或Nerver,確保容器執行完成後再也不重啓
  • kubelet:在Pod失效時重啓他,不論RestartPolicy設置什麼值,而且也不會對Pod進行健康檢查

 

8、Pod健康檢查


對Pod的健康檢查能夠經過兩類探針來檢查:LivenessProbe和ReadinessProbe

  • LivenessProbe探針:用於判斷容器是否存活(running狀態),若是LivenessProbe探針探測到容器不健康,則kubelet殺掉該容器,並根據容器的重啓策略作響應處理
  • ReadinessProbe探針:用於判斷容器是否啓動完成(ready狀態),能夠接受請求。若是ReadinessProbe探針探測失敗,則Pod的狀態被修改。Endpoint Controller將從service的Endpoint中刪除包含該容器所在的Pod的Endpoint。

kubelet定製執行LivenessProbe探針來診斷容器的健康情況。LivenessProbe有三種事項方式。

1)ExecAction:在容器內部執行一個命令,若是該命令的返回值爲0,則表示容器健康。例:

apiVersion:v1
kind: Pod
metadata:
  name: liveness-exec
  label:
    name: liveness
spec:
  containers:
  - name: tomcat
    image: grc.io/google_containers/tomcat
    args:
    -/bin/sh
    - -c
    -echo ok >/tmp.health;sleep10; rm -fr /tmp/health;sleep600
    livenessProbe:
      exec:
        command:
        -cat
        -/tmp/health
      initianDelaySeconds:15
      timeoutSeconds:1



















(2)TCPSocketAction:經過容器ip地址和端口號執行TCP檢查,若是可以創建tcp鏈接代表容器健康。例:

kind: Pod
metadata:
  name: pod-with-healthcheck
spec:
  containers:
  - name: nginx
    image: nginx
    livenessProbe:
      tcpSocket:
        port: 80
      initianDelaySeconds:30
      timeoutSeconds:1










3)HTTPGetAction:經過容器Ip地址、端口號及路徑調用http get方法,若是響應的狀態嗎大於200且小於400,則認爲容器健康。例:

apiVersion:v1
kind: Pod
metadata:
  name: pod-with-healthcheck
spec:
  containers:
  - name: nginx
    image: nginx
    livenessProbe:
      httpGet:
        path:/_status/healthz
        port: 80
      initianDelaySeconds:30
      timeoutSeconds:1












對於每種探針方式,都須要設置initialDelaySeconds和timeoutSeconds兩個參數,它們含義以下:

  • initialDelaySeconds:啓動容器後首次監控檢查的等待時間,單位秒
  • timeouSeconds:健康檢查發送請求後等待響應的超時時間,單位秒。當發生超時就被認爲容器沒法提供服務無,該容器將被重啓

 

九.玩轉Pod調度


  在Kubernetes系統中,Pod在大部分場景下都只是容器的載體而已,一般須要經過RC、Deployment、DaemonSet、Job等對象來完成Pod的調度和自動控制功能。

9.1 RC、Deployment:全自動調度

  RC的主要功能之一就是自動部署容器應用的多份副本,以及持續監控副本的數量,在集羣內始終維護用戶指定的副本數量。

      在調度策略上,除了使用系統內置的調度算法選擇合適的Node進行調度,也能夠在Pod的定義中使用NodeSelector或NodeAffinity來指定知足條件的Node進行調度。

1)NodeSelector:定向調度

  Kubernetes Master上的scheduler服務(kube-Scheduler進程)負責實現Pod的調度,整個過程經過一系列複雜的算法,最終爲每一個Pod計算出一個最佳的目標節點,一般咱們沒法知道Pod最終會被調度到哪一個節點上。實際狀況中,咱們須要將Pod調度到咱們指定的節點上,能夠經過Node的標籤和pod的nodeSelector屬性相匹配來達到目的。

  (1)首先經過kubectl label命令給目標Node打上標籤

         kubectl label nodes <node-name> <label-key>=<label-value>

         例:#kubectllabel nodes k8s-node-1 zonenorth

       (2)而後在Pod定義中加上nodeSelector的設置,例:

apiVersion:v1
kind: Pod
metadata:
  name: redis-master
  label:
    name: redis-master
spec:
  replicas: 1
  selector:
    name: redis-master
    template:
      metadata:
        labels:
          name: redis-master
      spec:
        containers:
        - name: redis-master
          images: kubeguide/redis-master
          ports:
          - containerPort: 6379
        nodeSelector:
          zone: north




















         運行kubectl create -f命令建立Pod,scheduler就會將該Pod調度到擁有zone=north標籤的Node上。

         若是多個Node擁有該標籤,則會根據調度算法在該組Node上選一個可用的進行Pod調度。

須要注意的是:若是集羣中沒有擁有該標籤的Node,則這個Pod也沒法被成功調度。

  2)NodeAffinity:親和性調度

該調度策略是未來替換NodeSelector的新一代調度策略。因爲NodeSelector經過Node的Label進行精確匹配,全部NodeAffinity增長了In、NotIn、Exists、DoesNotexist、Gt、Lt等操做符來選擇Node。調度側露更加靈活。

9.2 DaemonSet:特定場景調度

DaemonSet用於管理集羣中每一個Node上僅運行一份Pod的副本實例,如圖:

這種用法適合一些有下列需求的應用:

  • 在每一個Node上運行個以GlusterFS存儲或者ceph存儲的daemon進程
  • 在每一個Node上運行一個日誌採集程序,例如fluentd或者logstach
  • 在每一個Node上運行一個健康程序,採集Node的性能數據。

DaemonSet的Pod調度策略相似於RC,除了使用系統內置的算法在每臺Node上進行調度,也能夠在Pod的定義中使用NodeSelector或NodeAffinity來指定知足條件的Node範圍來進行調度。

 

 

十.Pod的擴容和縮容


  在實際生產環境中,咱們常常遇到某個服務須要擴容的場景,也有可能由於資源精確須要縮減資源而須要減小服務實例數量,此時咱們能夠Kubernetes中RC提供scale機制來完成這些工做。

以redis-slave RC爲例,已定義的最初副本數量爲2,經過kubectl scale命令能夠將Pod副本數量從新調整

#kubectl scale rc redis-slave --replicas=3
ReplicationController"redis-slave" scaled
#kubectl get pods
NAME READY STATUS RESTARTS AGE
redis-slave-1sf23 1/1Running 0 1h
redis-slave-54wfk 1/1Running 0 1h
redis-slave-3da5y 1/1Running 0 1h





除了能夠手工經過kubectl scale命令完成Pod的擴容和縮容操做之外,新版本新增長了Horizontal Podautoscaler(HPA)的控制器,用於實現基於CPU使用路進行啓動Pod擴容縮容的功能。該控制器基於Mastger的kube-controller-manager服務啓動參數 --horizontal-pod-autoscler-sync-period定義的時長(默認30秒),週期性監控目標Pod的Cpu使用率並在知足條件時對ReplicationController或Deployment中的Pod副本數量進行調整,以符合用戶定義的平均Pod Cpu使用率,Pod Cpu使用率來源於heapster組件,因此需預先安裝好heapster。

 

十一.Pod的滾動升級


  當集羣中的某個服務須要升級時,咱們須要中止目前與該服務相關的全部Pod,而後從新拉取鏡像並啓動。若是集羣規模較大,因服務所有中止後升級的方式將致使長時間的服務不可用。由此,Kubernetes提供了rolling-update(滾動升級)功能來解決該問題。

滾動升級經過執行kubectl rolling-update命令一鍵完成,該命令建立一個新的RC,而後自動控制舊版本的Pod數量逐漸減小到0,同時新的RC中的Pod副本數量從0逐步增長到目標值,最終實現Pod的升級。須要注意的是,系統要求新的RC須要與舊的RC在相同的Namespace內,即不能把別人的資產轉到到自家名下。

  例:將redis-master從1.0版本升級到2.0:

apiVersion: v1
kind: replicationController
metadata:
  name: redis-master-v2
  labels:
    name: redis-master
    Version: v2
spec:
  replicas: 1
  selector:
    name: redis-master
    Version: v2
  template:
    labels:
      name: redis-master
      Version: v2
    spec:
      containers:
      - name: master
        images: kubeguide/redis-master:2.0
        ports:
        - containerPort: 6379




















須要注意的點:

  (1)RC的name不能與舊的RC名字相同

  (2)在sele中應至少有一個label與舊的RC的label不一樣,以標識爲新的RC。本例中新增了一個名爲version的label與舊的RC區分

  運行kubectl rolling-update來完成Pod的滾動升級:

#kubectl rolling-update redis-master -f redis-master-controller-v2.yaml

另外一種方法就是不使用配置文件,直接用kubectl rolling-update加上--image參數指定新版鏡像名來完成Pod的滾動升級

#kubectl rolling-update redis-master --image=redis-master:2.0

與使用配置文件的方式不一樣的是,執行的結果是舊的RC被刪除,新的RC仍然使用就的RC的名字。

 若是在更新過程總髮現配置有誤,則用戶能夠中斷更新操做,並經過執行kubectl rolling-update-rollback完成Pod版本的回滾。

 

 

問題


一、在建立pod的時候發現報了這個錯誤:

Error from server (ServerTimeout): error when creating "busybox.yaml": No API token found for
service account "default", retry after the token is automatically created and added to the service
account



分析
根據報錯信息能夠初步看出是service account沒有設置API token引發的。


解決
解決方式有兩種:

方式一:禁用ServiceAccount
編輯/etc/kubenetes/apiserver:
將如下這行中的ServiceAccount刪除便可
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"
改成:
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota"




這種方式比較粗暴,可能會遇到必需要用ServiceAccount的狀況。

方式二:配置ServiceAccount
一、首先生成密鑰:
openssl genrsa -out /etc/kubernetes/serviceaccount.key 2048

二、編輯/etc/kubenetes/apiserver
添加如下內容:
KUBE_API_ARGS="--service_account_key_file=/etc/kubernetes/serviceaccount.key"

三、再編輯/etc/kubernetes/controller-manager
添加如下內容:
KUBE_CONTROLLER_MANAGER_ARGS="--service_account_private_key_file=/etc/kubernetes/serviceaccount.key"

最後不管是哪一種解決方式都須要再重啓kubernetes服務: systemctl restart etcd kube-apiserver kube-controller-manager kube-scheduler  

相關文章
相關標籤/搜索