21：Kubenetes存储架构及插件使用

1）Kubernetes挂载Volume过程

• 1 用户创建一个包含PVC的Pod(使用动态存储卷)

• 2 PV Controller发现这个PVC处于待绑定状态，调用Volume Plugin(in-tree或out-of-tree)创建存储卷，并创建PV对象；并将创建的PV与PVC绑定

• 3 Scheduler根据Pod配置、节点状态、PV配置等信息，把pod调度到worker节点Node上

• 4 AD Controller发现Pod和PVC处于待挂载状态，调用Volume Plugin(in-tree或out-of-tree)实现设备挂载到目标节点（/dev/vdb）

• 5 在Worker节点上，Kubelet(Volume Manager)等待设备挂载完成，通过Volume Plugin将设备挂载到指定目录：/var/lib/kubelet/pods/

• 6 Kubelet在被告知挂载目录准备好之后，启动Pod中的containers,用Docker -v 方式(bind)将已经挂载到本地的卷映射到容器中。

• In-Tree：在Kubernetes源码内部实现，和Kubernetes一起发布、管理、更新迭代慢、灵活性差

• out-of-tree：代码独立于Kubernetes，由存储尝试实现；CSI/Flexvolume是两种机制，可以根据存储类型实现为不同的存储插件。

2）Kubernetes存储架构

• PV Controller：负责PV/PVC的绑定、生命周期管理，并根据需求进行数据卷的Provision/Delete操作
• AD Controller：负责存储设备的Attach/Detach操作，将设备挂载到目标节点
• Volume Manager：管理卷的Mount/Unmount操作、卷设备的格式化等；
• Volume Plugins：扩展各种存储类型的卷管理能力，实现第三方存储的各种操作能力与Kubernetes存储系统结合
• Scheduler：实现Pod调度能力，存储相关的调度器实现了针对存储卷配置进行调度。

3）Flexvolume介绍

• Flexvolume实现了VolumePlugin的Attach/Detach/Mount/Unmount接口定义，这些接口由第三方实现，并按照一定的规则调用接口
• Flexvolume是一个由Kubelet驱动的可执行文件，每一次接口调用均为一次可执行文件的命令行调用；不是常驻内存的守护进程
• 调用Flexvolume的Stdout作为kubelet调用的返回结果，要求JSON格式
• 所有挂载均先将远程设备挂载到本地主机，然后从主机通过bind映射到容器内部

4）CSI介绍及使用

同Flexvolume一样，为第三方存储实现数据卷挂载实现的抽象接口
有了Flexvolume，为什么还要CSI?

• 提供容器存储统一接口，实现编排系统与存储类型解耦，在多平台运行（K8S，Mesos，Swarm）
• 容器化部署，减少环境依赖，增强安全性，丰富插件功能
  CSI包含两部分：
• CSI Controller Server：实现控制端的创建、删除、挂载、卸载功能
• CSI Node Server：实现节点上的mount、Unmount功能

22：有状态应用编排-StatefulSet

1)需求分析

对于一些有状态应用，是否可以用Deployment满足？

• 1 Pod之间并非相同的副本，每个Pod有一个独立的标识
• 2 Pod独立标识要能够对应到一个固定的网络标识，并在发布升级后继续保持
• 3 每个Pod有一块独立的存储盘，并在发布升级之后还能继续挂载原有的盘（保留数据）
• 4 应用发布之后，按照固定顺序升级Pod

2)架构设计

StatefulSet可能会创建三种类型的资源：

• 1 ControllerReversion：通过这个资源，StatefulSet可以很方便地管理不同版本的template模板
• 2 PVC：如果在StatefulSet中定义了volumeClaimTemplates，StatefulSet会在创建pod之前，先根据这个模板创建PVC，并把PVC加到pod volume中
• 3 Pod：StatefulSet按照顺序创建、删除、更新Pod，每个Pod由唯一的序号。

扩容模拟

发布模拟

24：KubernetesAPI编程利器-Operator和OperatorFramework

常见operator工作模式

• 1 用户创建一个CRD
• 2 apiserver转发请求给webhook
• 3 webhook负责CRD的缺省值配置和配置项检验
• 4 controller获取到新建的CRD,处理“创建副本”等关键逻辑
• 5 controller实时检测CRD相关集群信息并反馈到CRD状态

OperatorFramework概述
Operator Framework给用户提供了webhook和controller框架，包括消息通知、失败重新入队等等，开发人员仅需要关心被管理应用的运维逻辑实现。

工作流程

• 1 用户创建sidecarset
• 2 webhook负责sidecars的缺省值配置和配置项校验
• 3 用户创建pod
• 4 webhook负责向pod注入sidecar容器
• 5 controller实时检测Pod信息，并更新到sidecarset状态

25：Kubernetes网络模型进阶

Kubernetes的Service丰富多样

26：理解CNI和CNI插件

CNI(Container Network Interface):容器网络的API接口

1）Kubernetes中如何使用CNI

• 1 配置CNI配置文件
• 2 安装CNI二进制插件
• 3 在这个节点上创建Pod
• 4 Kubelet会根据CNI配置文件执行CNI插件
• 5 Pod网络配置完成

2）CNI插件的三种实现模式

CNI插件的选择

28：理解容器进行时接口CRI

CRI的由来
抽象一套POD级别的容器接口，解耦Kubelet与容器运行时
定义通过gRPC协议通讯（gRPC性能优于http/REST模式）

29：安全容器技术

云原生语境下的容器，实质是“应用容器”——以标准格式封装的，运行于标准操作系统环境上的应用打包，或运行这一应用打包的程序/技术。
安全容器是一种运行时技术，为容器应用提供一个完整的操作系统执行环境，但将应用的执行与宿主机操作系统隔离开，避免应用直接访问主机资源，从而可以在容器主机之间或容器之间提供额外的保护。

安全问题的唯一正解在于允许那些（导致安全问题的）Bug发生，但通过额外的隔离层来阻挡它们。

30：理解RuntimeClass和多容器运行时

• RuntimeClass是Kubernetes一种内置的全局域资源，主要用来解决多个容器运行时混用的问题

• RuntimeClass中配置Scheduling，可让Pod自动调度到运行了指定容器运行时的节点上。但前提是节点上的label列表需要用户提前手动配置好

• RuntimeClass中配置Overhead，可以把Pod中业务运行所需以外的开销统计进来，让调度、ResourceQuota、Kubelet Pod驱逐等行为更为准确。