Kubernetes-Pod详解

Pod

为什么需要Pod

Pod,是Kubernetes项目中的原子调度单位容器就是未来云计算系统中的进程;容器镜像就是系统里的.exe安装包,Kubernetes就是操作系统。在一个真正的操作系统里,进程并不是“孤苦伶仃”地独自运行,而是以进程组的方式,“有原则”的组织在一起。在kubernetes中,“进程组”所映射的概念就是Pod。Google的工程师发现,他们部署的应用,往往都存在着类似于“进程和进程组”的关系,也就是说这些应用之间有着亲密的协作关系,使得他们必须部署在同一台机器上。

Pod的实现原理

Pod只是一个逻辑概念。

Pod其实是一组共享了某些资源的容器,具体来说,Pod里的所有容器,共享的是同一个Network Namespace,并且可以声明共享同一个Volume。

在Kubernetes中,Pod的实现需要使用一个中间容器,这个容器叫做Infra容器。在Pod中,Infra容器永远是第一个被创建的容器,而其他用户定义的容器,则通过Join Network Namespace的方式与Infra容器关联在一起。

Infra容器使用的是一个非常特殊的镜像,叫做:k8s.gcr.io/pause。这个镜像是一个用汇编语言编写的、永远处于暂停状态的容器。在Infra容器“Hold住”NetworkNamespace之后,用户容器就可以加入到Infra容器的NetworkNamespace中了。这也就意味着,对于Pod中的容器A和容器B:

  • 它们可以直接使用localhost进行通信
  • 它们看到的网络设备和Infra容器看到的完全一样
  • 一个Pod只有一个IP地址,也就是这个Pod的Network Namespace对应的IP地址
  • 所有的网络资源,都是一个Pod一份,并且被该Pod内的所有容器共享
  • Pod的生命周期只和Infra容器一致,与容器A和容器B无关

对于Pod共享Volume来说,Kubernetes只要把所有Volume定义设计在Pod层即可。例如:

apiVersion: v1
kind: Pod
metadata:
 name: two-containers
spec:
 restartPolicy: Never #Pod的重启策略。1.Always:容器失效时,kubelet自动重启该容器。2.OnFailure:容器终止运行且退出码不为0时重启。3.Never:无论状态如何,kubelet都不重启该容器。
 volumes:
 - name: shared-data
   hostPath:
    path : /data
 containers:
 - name: nginx-container
   image: nginx
   volumeMounts:
   - name: shared-data
     mountPath: /usr/share/nginx/html
 - name: debian-container
   image: debian
   volumeMounts:
   - name: shared-data
     mountPath: /pod-data
   command: ["/bin/sh"]
   args: ["-c","echo Hello from the debian container > /pod/data/index.html"]

Pod对象的生命周期

Pod生命周期变化主要体现在Pod API对象的Status部分。

  • Pending,这个状态意味着Pod的YAML文件已经提交给了Kubernetes,API对象已经被创建并被保存在etcd中。但是,这个Pod里有些容器因为某种原因不能被成功创建,比如,调度不成功
  • Running,这个状态下,Pod已经调度成功,和一个具体的节点绑定。它包含的容器都已经创建成功,并且至少有一个正在运行中。
  • Succeed,这个状态意味着,Pod中所有容器都正常运行完毕,并且已经退出了。
  • Failed,这个状态下,Pod里至少有一个容器以不正常的状态(非0状态码)退出。这个状态的出现意味着你要想办法Debug这个容器的应用,比如查看Pod的Events和日志
  • Unknown,这是一个异常状态,意味着Pod的状态不能持续被kubelet汇报给kube-apiserver,这很可能是Master和kubelet间的通信出了问题。

Pod核心字段

可以把Pod堪称传统环境中的“机器”,把容器看作运行在这个“机器”里的“用户程序”。

凡是调度、网络、存储以及安全相关的属性,都是Pod级别的。

NodeSelector

这是一个供用户将Pod与Node进行绑定的字段,用法如下:

apiVersion: v1
kind: Pod
...
sepc:
 nodeSelector:
 disktype: ssd

这样一个配置后,这个Pod只能被调度到携带了“disktype:ssd”标签的节点上。

NodeName

一旦Pod这个字段被辅助,Kubernetes就会认为这个Pod已经经过了调度,调度的结果就是赋值的节点名字。这个字段一般由调度器负责设置,用户也可以设置这个字段“骗过”调度器

HostAliases

定义了Pod的hosts文件(/etc/hosts)里的内容。

apiVersion: v1
kind: Pod
...
spec:
 hostAliases:
 - ip: "10.1.2.3"
   hostnames:
   - "foo.remote"
   - "bar.remote"

这个Pod启动后,/etc/hosts文件内容将如下所示:

127.0.0.1 localhost
...
10.244.135.10 hostaliases-pod
10.1.2.3 foo.remote
10.1.2.3 bar.remote

在Kubernetes中如何过要设置hosts文件的内容,一定要通过这种方式,否则,如果直接修改hosts文件的话,在Pod删除重建之后,kubelet会自动覆盖掉被修改的内容。

Containers

Image、Command、workingDir、Ports以及VolumeMounts都是构成kubernetes项目中container的主要字段。还有其他几个属性值需要你关注

ImagePullPolicy

定义了镜像拉取的策略。

  • Always:默认值,即每次创建Pod都重新拉取一次镜像。另外当容器的镜像类似于nginx,nginx:latest这样的名字时,ImagePullPolicy也会被认为是Always。
  • Never:永远不主动拉取这个镜像
  • IfNotPresent:只有在宿主机上不存在这个镜像时才拉取

Lifecycle

定义的是Container Lifecycle Hooks。它的作用是在容器状态发生变化的时候触发一系列“钩子”。比如

apiVersion: v1
kind: Pod
metadata:
 name: lifecycle-demo
spec:
 containers:
 - name: lifecycle-demo-container
   image: nginx
   lifecycle:
    postStart:
     exec:
      command: ["/bin/sh","-c","echo Hello fomr the postStart handler > /usr/share/message"]
    preStop:
     exec:
      command: ["/usr/sbin/nginx","-s","quit"]

postStart,指的是在容器启动后,立刻执行一个指定的操作。postStart定义的操作,虽然是在Docker容器ENTRYPOINT执行之后,但不严格保证顺序,也就是说在postStart启动时,ENTRYPOINT有可能还没结束。

preStop,发生的时机,是容器被杀死之前。它会阻塞当前的容器杀死流程,直到这个Hook定义的操作完成。

Projected Volume

ProjectVolume可以翻译为投射数据卷,Kubernetes中,有几种特殊的Volume,它们存在的意义并不是为了存放容器中的数据,也不是用来进行容器和宿主机之间的数据交换,它们的作用是为容器提供预先定义好的数据。这些Volume中的信息好像是被Kubernetes“投射”进容器中的。

目前为止,Kubernetedes支持的Projected Volume一共有四种:

  • Secret
  • ConfigMap
  • Downward API
  • ServiceAccountToken

Secret

secret可以帮你把Pod想要访问的加密数据存放到Etcd中,然后,你就可以通过在Pod的容器里挂载Volume的方式,访问到这些Secret保存的信息

Secret使用实例:

apiVersion: v1
kind: Pod
metadata: 
 name: test-projected-volume
spec:
 containers:
 - name: test-secret-volume
   image: busybox
   args: 
   - sleep
   - "86400"
   volumeMounts:
   - name: mysql-cred
     mountPath: "/projected-volume"
     readOnly: true
 volumes:
 - name: mysql-cred
   projected:
    sources:
    - secret:
       name: user
    - secret:
       name: pass

上述Pod中,声明挂载的Volume,是projected类型的。这个volume的数据来源则是名为user和pass的secret对象

secret创建命令:

kubectl create secret generic [NAME] [DATA] [TYPE] #TYPE默认为Opaque
kubectl create secret generic [NAME] --from-file=[KEY]=[VALUE的文件路径]
kubectl create secret generic [NAME] --from-literal=[KEY]=[VALUE] --from-literal=[KEY]=[VALUE] ....

然后,我们创建这两个secret对象

kubectl create secret generic user --from=literal=username=admin
kubectl create secret generic pass --from=literal=password=hanjiaxv123

也可以使用文件创建

$ cat ./username.txt
admin
$ cat ./password.txt
hanjiaxv123
$ kubectl create secret generic user --from-file=./username.txt
$ kubectl create secret generic pass --from-file=./password.txt

接下来,我们创建这个pod,然后进入pod。

[root@host1 ~]# kubectl create -f geektime/pod/test-projected-volume.yaml 
pod/test-projected-volume created
[root@host1 ~]# kubectl exec -it test-projected-volume -- /bin/sh
/ # ls /projected-volume
pass      username
/ # cd /projected-volume
/projected-volume # cat pass
hanjiaxv123/projected-volume # cat username

ConfigMap

ConfigMap与secret的区别在于,ConfigMap保存的是不需要加密的、应用所需的配置信息。

ConfigMap用法几乎和secret相同。

ConfigMap创建语法:

kubectl create configmap [NAME] [DATA]

指定文件:

kubectl create configmap kube-flannel-cfg --from-file=configure-pod-container/configmap/cni-conf.json -n kube-system

指定键值对:

kubectl create configmap special-config --from-literal=special.how=very --from-literal=special.type=charm

ConfigMap使用

apiVersion: v1
kind: ConfigMap
metadta:
 name: special-config
data:
 special.how: very
 special.type: charm

第一种,用ConfigMap配置环境变量

apiVersion: v1
kind: Pod
metadata:
 name: cm-env-test
spec:
 containers:
  - name: test-container
    image: k8s.gcr.io/busybox
    command: ["/bin/sh","-c","env"]
    env:
     #使用special-config中的special.how定义环境变量
     - name: SPECIAL_LEVEL_KEY
       valueFrom:
        configMapKeyRef:
         name: special-config
         key: special.how

第二种,使用ConfigMap管控命令行参数

apiVersion: v1
kind: Pod
metadata:
 name: cm-cmd-test
spec:
 containers:
 - name: test-container
   image: k8s.io.gcr/busybox
   command: ["/bin/sh","-c","echo $(SPECIAL_LEVEL_KEY)"]
   env:
   - name: SPECIAL_LEVEL_KEY
     valueFrom:
      configMapKeyRef:
       name: special-config
       key: special.how

第三种,使用ConfigMap挂载配置文件

apiVersion: v1
kind: Pod
metadata:
 name: cm-volume-test
spec:
 containers:
  - name: test-container
    image: k8s.io.gcr/busybox
    command: ["/bin/sh","-c","ls /etc/config/"]
    volumeMounts:
    - name: config-volume
      mountPath: /etc/config
 volumes:
  - name: config-volume
    configMap:
     name: special-config

Service Account

如果现在有一个Pod,我能否在这个Pod里安装一个Kubernetes的Client,这样就可以从容器里直接访问并操作这个Kubernetes的API了呢?

答案是可以。

首先,要解决API Server的授权问题

Service Account对象的作用,就是Kubernetes系统内置的一种“服务账号”,它是Kubernetes进行权限分配的对象。比如,Service Account A,可以只被允许对Kubernetes API进行GET操作,而Service Account B,则可以有Kubernetes API的所有操作权限。

这种Service Account的授权信息和文件,实际上保存在它所绑定的一个特殊的Secret对象中,这种特殊的Service Account对象,就叫做ServiceAccountToken。任何运行在Kubernetes集群上的应用,都必须使用这个ServiceAccountToken中保存的授权信息,才可以合法地访问API Server。ServiceAccountToken只是一种特殊地Secret。

Kubernetes已经为你提供了一个默认“服务账户”,并且,任何一个运行在Kubernetes里的Pod,都可以直接使用这个默认的Service Account,无需显示地声明挂载它。

查看一下集群中运行的Pod,就会发现,每一个Pod,都已经声明了一个类型是Secret、名为default-token-xxxx的Volume,然后自动挂载在每一个容器的固定目录上。

[root@host1 ~]# kubectl describe pods test-projected-volume
...
Volumes:
  mysql-cred:
    Type:                Projected (a volume that contains injected data from multiple sources)
    SecretName:          user
    SecretOptionalName:  <nil>
    SecretName:          pass
    SecretOptionalName:  <nil>
  default-token-j5k7m:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  default-token-j5k7m
    Optional:    false
....

Kubernetes在每个Pod创建的时候,自动在它的spec.volumes部分添加上了默认ServiceAccountToken的定义,然后自动给每个容器加上了对应的volumeMounts字段。这个容器内的路径在Kubernetes里是固定的,即:/var/run/secrets/kubernetes.io/serviceaccount,这个Secret类型的Volume内容如下所示:

/ # ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt     namespace  token

你的应用程序只要加载这些授权文件,就可以访问并操作Kubernetes API了。如果使用的是Kubernetes官方的Client包,还可以自动加载这个目录下的文件。

Pod的健康检查机制

Liveness Probe是存活探针、Readiness是就绪探针。

一个程序在长时间运行后或者有bug的情况下,会进入不正常状态,Liveness会将容器内的进程杀死,重启整个容器/Pod,使得Pod恢复最初始的状态。readiness探测失败后,Pod和容器并不会被删除,而是被标记为特殊状态,进入这个状态后,会切断上层流量到达该Pod。

探测方式

  • httpGet 通过发送http Get请求返回200-399状态码则表示容器健康
  • Exec 通过执行命令检查服务是否正常,命令返回值为0表示容器健康
  • tcpSocket 通过容器的IP和PORT执行TCP检查,如果可以建立TCP连接表示容器健康

探测结果

  • Success Container通过了检查
  • Failure Container未能通过检查
  • Unknown 未能执行检查,不采取任何动作

重启策略

  • Always 总是重启
  • OnFailure 失败才重启
  • Never 永远不重启

实例参考

exec方式:

apiVersion: v1
kind: Pod
metadata:
 labels:
  test: liveness
 name: liveness-exec
spec:
 containers:
 - name: liveness
   image: k8s.gcr.io/busybox
   args:
   - /bin/sh
   - -c
   - touch /tmp/healthy; sleep 30; rm -rf /tmp/healthy; sleep 600
   livenessProbe:
    exec:
     command:
     - cat
     - /tmp/healthy
    initialDelaySeconds: 5
    periodSeconds: 5

httpGet

apiVersion: v1
kind: Pod
metadata:
 labels:
  test: liveness
 name: liveness-http
spec:
 containers:
 - name: liveness
   image: k8s.gcr.io/liveness
   args:
   - /server
   livenessProbe:
    httpGet:
     path: /healthz
     port: 8080
     httpHeaders:
     - name: Custom-Header
       value: Awesome
    initialDelaySeconds: 3
    periodSeconds: 3

tcpSocket

apiVersion: v1
kind: Pod
metadata:
 name: goproxy
 labels:
  app: goproxy
spec:
 containers:
 - name: goproxy
   image: k8s.gcr.io/goproxy:0.1
   ports:
   - containerPort: 8080
     readinessProbe:
      tcpSocket:
       port: 8080
      initialDelaySeconds: 5
      periodSeconds: 5
     livenessProbe:
      tcpSocket:
       port: 8080
      initialDelaySeconds: 15
      periodSeconds: 20

参数:

  • initialDelaySeconds:Pod启动后延迟多久进行检查
  • periodSeconds:检查间隔事件,默认10S
  • timeoutSeconds:探测的超时时间,默认1S
  • successThreshold:探测失败后再次判断成功的阈值,默认为1次
  • failureThreshold:探测失败的重试次数,默认3次

总结

Liveness(存活探针) Readiness(就绪探针)
介绍 用于判断容器是否存活,即容器的状态是否是Running,如果Liveness探针判断容器不健康,则会触发kubelet杀掉容器,并根据配置的策略判断是否重启容器,如果默认不配置Liveness探针,则认为返回值默认为成功 用于判断容器是否启动完成,即Pod得Condition是否为Ready,如果探测结果不成功,则会将Pod从Endpoint中移除,直至下次判断成功,再将Pod挂回到Endpoint上
检测失败 杀掉Pod 切断上层流量到Pod
使用场景 支持重新拉起的应用 启动后无法立即对外服务的应用

参考: 阿里云大学云原生技术公开课 极客时间深入剖析Kubernetes

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,014评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,796评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,484评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,830评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,946评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,114评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,182评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,927评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,369评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,678评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,832评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,533评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,166评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,885评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,128评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,659评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,738评论 2 351

推荐阅读更多精彩内容