K8s简述

1、定义：是一种开源的容器集群管理系统，在docker 容器技术的基础之上，为容器化的集群提供部署、运行、资源调度、服务发现、动态伸缩等一系列完整的功能的大规模容器管理

2、功能

（1）对docker的容器技术应用的包，部署、运行、停止、销毁，全生命周期管理

（2）集群方式运行，跨机器的容器管理

（3）解决docker的跨机器运行的网络问题

（4）k8s可以自动修复，使得整个容器集群可以在用户期待的状态下运行

3、作用：自动部署、自动扩展和管理容器化部署的应用程序

负责自动化运维管理多个容器化程序的集群，是一个功能强大的容器编排工具。以分布式和容器化的方式进行容器管理

4、常用版本：K8s 1.20（支持容器，1.23版本后不再支持容器）

5、k8s以google的borg系统作为原型，后期经由go语言编写的开源软件

官网：Kubernetes

源码包：https://github.com/kubernetes/kubernetes

6、传统部署、容器部署、k8s部署的区别

（1）传统部署方式：一般意义上的二进制部署，安装、运行、运行维护需要专业人员，若出现故障，需要人工重新拉起来，若业务量增大，只能水平拓展，再部署一台

（2）容器化部署：用dockerfile方式，编写好自定义容器，基于镜像，随时都可以运行。数量少，还可以管理，数量一旦增多，管理复杂，而且docker一般是单机运行，没有高可用

（3）k8s部署：简单、高效的部署容器化的应用

①可以解决docker单机部署和无法集群化的问题

②可以解决随着容器数量的增加，对应增加的管理成本的问题

③可以解决容器的高可用问题，提供一种容器的自愈机制

④可以解决容器没有预设模板，以及无法快速、大规模部署，以及大规模容器调度的问题

⑤提供集中化配置管理的中心

⑥可以解决容器生命周期的管理工具的问题

⑦提供图形化工具对容器进行管理

7、k8s特性

（1）弹性伸缩：基于命令或图形化界面基于CPU的使用情况，自动对部署的程序进行扩容和缩容，以最小成本运行服务

（2）自我修复：出现节点故障时，自动重新启动失败的容器，也可以手动替换和重新部署

（3）服务发现和负载均衡：k8s为多个容器提供一个统一的访问入口（内部地址，需要暴露才能访问。和内部的DNS名称），自动负载均衡关联的所有容器

nginx-1	10.244.0.10:3000	DNS服务名称：nginx
nginx-2
nginx-3

（4）自动发布和回滚：k8s采用滚动的策略更新应用，若更新过程中出现问题，可以根据回滚点进行回滚到上一个老版本

nginx-1	先更新1	最新版本
nginx-2	再更新2	1和2若有问题，自动回滚到上一个版本
nginx-3	老版本

（5）集中化的配置管理和密钥管理：k8s集群内的各个组件都需要进行密钥对验证，但k8s的安全性不高，核心组件不建议部署在k8s上，适合部署一些自定义应用

（6）存储编排

①可以自动化的把容器部署在节点上

②可以通过命令行或者yml文件（自定义pod）实现指定节点部署

③可以通过网络存储、NFS、GFS实现指定节点部署

（7）批次处理任务：提供一次性任务、定时任务，满足需要批量处理和分析的场景

8、master组件（核心组件）【重要】

（1）kube-apiserver—所有请求的入口服务：k8s集群中每个组件都靠密钥对进行验证，组件之间通信靠kube-apiserver

API是应用接口服务，在k8s的所有资源请求和调用操作都是通过kube-apiserver来完成。所有对象资源的增删改查和监听操作，都是kube-apiserver处理完后交给etcd来存储。apiserver接收k8s的所有请求（命令行和图形化界面的操作），然后根据用户的具体请求通知对应的组件，展示或运行命令。apiserver相当于整个集群的大脑

（2）kube-controller-manger：运行管理控制器，k8s集群中处理常规任务的后台线程，是集群中所有资源对象的自动化控制中心，一个资源对应一个控制器，kube-controller-manger负责管理所有控制器

控制器
node controller节点控制器		负责节点的发现，以及节点故障的发现和响应
replication controller副本控制器		控制关联pod的副本数，可以随时扩、缩容（手动、自动）
endpoints controller端点控制器		监听service和对应pod的副本变化端点就是服务暴露出的访问点，要访问这个服务必须要知道endpoint，就是内部每个服务的IP地址+端口
service account和 roken controllers服务账户和令牌控制	为命名空间创建默认账户和API访问令牌。访问不同的命名空间
resourcequota controller资源控制器	可以对命名空间的资源使用进行控制，也可以对pod的资源进行控制
namespace controller命名空间控制器	管理命名空间的生命周期
service controller服务节点控制器	k8s集群和外部的主机之间的接口控制器。控制集群的IP

（3）kube-scheduler：资源调度组件，根据调度算法为新创建的pod选择一个合适的node节点。可理解为k8s所有node节点的调度器，部署和调度node

策略
预先策略	人工定制，指定node节点部署
优先策略	限制条件，根据调度算法先择合适node 怎么选择合适node呢？根据node节点的资源情况、选择一个资源最富裕、负载最小的节点来部署

（4）etcd：k8s的存储服务，etcd分布键值存储系统，存储k8s的关键配置和用户配置。先通过apiserver调用etcd中的存储信息，然后再实施（在整个集群中，能对etcd存储进行读写权限的只有apiserver）

9、node组件

（1）kubelet：node节点的监视器与master节点的通信器。可理解为master在node节点上的眼线

作用：

①kubelet会定时向apiserver汇报自己的node上的运行服务的状态，apiserver会把节点状态保存在etcd存储中

②接受来自master节点的调度命令。若发现自己的状态和master节点的状态不一致，会调用docker的接口同步数据

③对节点上容器的生命周期进行管理，保证节点上的镜像不会占满磁盘空间，对退出的容器资源进行回收

（2）kube-proxy：实现每个node节点上pod的网络代理，负责节点上的网络规划和四层的负载均衡工作，负责写入iptables（快淘汰）和ipvs实现服务映射。kube-proxy本身不直接给pod提供网络代理，proxy只是service资源的载体，proxy实际上代理的是pod的集群网络（虚拟网络）（proxy代理的是service地址，service地址是所有pod对外提供的一个统一的IP地址）

注：pod不是容器

在k8s中不直接和容器打交道，真正和容器打交道的是pod

http-dn1是基于deployment创建的资源对象，既不是pod名称，也不是容器名称

80:30394是容器和主机之间的映射

（3）docker：容器引擎，运行容器，负责本机的容器创建和管理

k8s创建pod上，kube-scheduler调度到node节点上，节点上的kubelet指示docker启动特定的容器，kubelet把容器的信息收集、发送到主节点。在主节点发布指令，节点上的kubelet就会指示docker对容器进行拉取、启动、停止容器

pod：运行在节点上的，k8s中创建、部署最小、最简单的基本单位，一个pod代表正在集群上运行的一个进程。同一个pod内的每个容器就是一颗豌豆

pod由一个或多个容器组成，pod中的容器共享网络、存储和计算资源，可以部署在不同的docker主机上

一个pod里面可以运行多个容器，也可以是一个容器，在生产环境中，一般都是单个容器或者有关联关系的多个容器组成一个pod

deployment	无状态应用部署，管理和控制pod以及replicaset（运行几个容器），管控其运行状态
replicaset	保证pod的副本数量，受控于deployment
在k8s中，部署服务实际上就是pod，deployment部署的服务就是pod，replicaset就是定义pod的容器数量，可以保证pod在当前命名空间中不可重复，不同命名空间可以重复，官方推荐使用deployment进行服务部署
daemonset	确保所有节点运行同一类的pod
statefulset	有状态应用部署（很少用）
job	可以在pod中设置一次性任务，运行完即退出
cronjob	一直在运行的周期性任务

10、service★★★

（1）作用：在k8s整个集群中，每创建一个pod都会为其中运行的容器分配一个集群内的IP地址，由于业务变更，容器数量可能会发生变化，容器的IP地址也会随之变化，不便于管理，service提供整个pod对外统一的IP地址。可理解为service是一个网关（路由器），通过访问service可以访问pod内部的容器集群

service能实现负载均衡和代理，核心载体是kube-proxy来实现负载均衡，service是k8s微服务的核心，屏蔽服务的细节，统一的对外暴露端口，真正实现“微服务”

（2）service的流量调度

①userspace（用户空间。淘汰）

②iptables（即将废弃）

③ipvs（目前1.20版本使用的）

11、label标签

k8s的特色管理方式，用于分类管理资源对象，可自定义node、pod、service、namespace

label选择器：等于、不等于，使用定义的标签名

12、ingress（非常重要）

k8s集群对外暴露提供访问的接口，属于应用层，七层代理，转发http/https请求

service是四层转发，转发的是流量

ingress和service的区别【重要】

ingress是七层代理，转发http请求

service是四层代理，转发的是流量

转发过程：

http://www.yyy.com:80→ingress→service→pod→容器

13、namespace命名空间

在k8s上可以通过namespace来实现资源隔离、项目隔离，通过namespace可以把集群划分为多个资源不可共享的虚拟集群组，不同命名空间里面的资源名称可以重复

14、数据架构图（重要）