kubernetes 是一个开放的开发平台。对现有的编程语言、编程框架、中间件没有任何的侵入性。它有完备的集群管理能力，包括多层次的安全防护和准入控制、多租户应用支撑能力、透明的服务注册和服务发现机制、内建的智能负载均衡器、强大的故障发现和自我修复能力、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制，以及多粒度的资源配额管理能力。kubernetes还提供了完善的管理工具，包括开发、测试、部署、监控等流程。因此kubernetes是一个基于容器技术的分布式架构解决方案，并且是一个一站式的完备的分布式系统开发和支撑平台。

image.png

Master

Master 指的是集群的控制节点，在每个kubernetes集群中都需要一个Mater来负责整个集群的管理和控制。几乎所有的控制命令都会给到master，它负责具体的执行过程。matster通常会占用一个独立的服务器（高可用部署建议用3台服务器）。如果master宕机，那么kubernetes对集群应用的管理将会失效。

master上运行以下关键进程：

• kubernetes API Server (lube-apiserver)：提供了HTTP Rest接口的关键服务进程，是kubernetes里所有资源的增删改查等操作的唯一入口，也是集群控制的入口进程。
• kubernetes Controller Manager(kube-controller-manager)： 所有资源对象的自动化控制中心。
• kubernetes Scheduler (kube-scheduler)：负责资源调度（pod调度）的进程。

另外，在Master上还需要部署etcd服务，因为kubernetes里的所有资源对象都被保存在etcd中。

Node

kubernetes中的其它机器被称为Node，是kubernetes中的工作负载节点，每个Node都会被master分配一些工作负载（Docker容器），当某个Node宕机时，其上的工作负载会被Master自动转移到其它节点上。

每个Node上都运行着以下关键进程。

• kubelet ： 负责pod对应的容器的创建、启停等任务，同时与Master密切协作实现基本的集群管理功能、
• kube-proxy ：实现service的通信和负载均衡机制的重要组件。
• Docker Engine (docker)：Docker 引擎，负责本机的容器的创建和管理工作。

Pod

image.png

Pod是kubernetes最小部署单元，一个Pod包含多个容器。每个Pod都有一个被称为根容器的Pause容器。Pause容器对应的镜像属于kubernetes平台的一部分，除了Pause容器，每个Pod还包含一个或多个密切相关的用户业务容器。

一个Pod中有多个容器的设计可以有以下优势：

• 整体的控制一组容器，让他们有相同的生命周期。
• Pod 中的容器共享挂载或网络命名空间

Label

Label是一个可以让用户自定义的key/value形式的键值对，Label可以被附加到如Pod、Service、RC等各种kubernetes资源对象上。Label通常在定义资源时指定,也可以在对象创建后动态的添加或删除。

"metadata": {
  "labels": {
    "key1" : "value1",
    "key2" : "value2"
  }
}

Label Selector可以查询或筛选具有某些标签的kubernetes资源对象，其在kubernetes重要使用场景如下：

• kube-controller 进程通过在资源对象RC上定义的Label Selector来筛选要监控的Pod副本数量，使Pod副本数量始终符合预期设定的全自动控制流程。
• kube-proxy 进程通过Service的Label Selector来选择对应的Pod，自动建立每个Service到Pod的请求转发路由表，从而实现Service的智能负载均衡机制。
• 通过某些Node定义特定的Label，并且在Pod定义文件中使用NodeSelector这种标签调度策略，kube-schduler进程可以实现Pod定向调度的特性。

Replication Controller

简称RC，它定义了某种Pod的副本数量在任意时刻都符合某个预期的期望，RC包括如下几个部分：

• Pod期待的副本数量
• 用于筛选目标Pod的LabelSelector
• 当Pod的副本数量小于预期数量时，用于创建新Pod的Pod模板。

Deployment

Deployment内部使用Replia Set来解决Pod的编排问题，在未来这个功能正在一点点的替换RC。其典型使用场景有以下几个：

• 创建一个Deployment对象来生成对应的Replica Set并完成Pod副本的创建。
• 检查Deployment来看部署动作是否完成（Pod副本数量是否达到预期的值）。
• 更新Deployment以创建新Pod（比如镜像更新）。
• 如果当前的Deployment不稳定，则回滚到一个早先的Deployment版本。
• 暂停Deployment以便于一次性修改多个PodTemplateSpec的配置项，之后再恢复Deployment，进行新的发布。
• 扩展Deployment以应对高负载。
• 查看Deployment状态，以此作为发布是否成功的指标。

• 清理不再需要的旧版本ReplicaSets。

  
  
  image.png

Service

Service 是一个抽象的概念，，它定义了一个服务的的访问入口地址，前端应用通过这个入口地址来访问其背后由Pod组成的集群实例，Service与其后端的Pod副本之间则是通过LabelSelector之间无缝对接的。

image.png

kubernetes 服务发现

通过提供特定的api接口来做服务发现对导致平台的侵入性较强，也增加了开发、测试的难度。所以kubernetes使用DNS作为服务发现，直接使用服务名作为域名。

外部系统访问Service

   internet
        |
   [ Ingress ]
   --|-----|--
   [ Services ]

Service的Cluster Ip特点如下：

• Cluster IP 仅仅作用域Service这个对象，并由kubernetes管理和分配ip地址（来源与Cluster IP地址池）。
• 无法被ping，因为没有一个“实体的网络对象”来响应。
• 只能结合Service Port组成一个具体的通信端口，单独的Cluster IP不具备TCP/IP通信的基础，并且它们属于kubernetes集群这样一个私有空间，集群外部的节点如果要访问这个通信端口，需要做一些额外的工作。
• 在kubernetes集群内，Node IP网、Pod IP网与Cluster IP网之间的通信，采用的是kubernetes自己设计的一种编程式的特殊路由规则，与我们熟知的ip路由有很大的不同。

StatefulSet

StatefulSet是kubernetes专门为有状态的应用集群定制的一种集群模式，如kafka集群、etcd集群这些集群有以下4个共同点：

1. 每个节点都有固定的身份ID，集群成员可以通过这个ID相互发现并通信。
2. 集群规模比较固定，不会随意变动。
3. 每个节点都是有状态的，通常会持久化数据到永久存储中。
4. 如果磁盘损坏或某个节点无法正常运行，则集群可能受损。

RC和Deployment无法满足上述四点，所以StatefulSet作为补充提供了以下特性：

• 每个Pod都很稳定，拥有唯一的网络标识。
• Pod副本的启停顺序是受控的。
• Pod采用稳定的持久化存储卷，通过PV或PVC来实现。
• 支持Headless Service，不使用Cluster IP，解析DNS域名时返回全部Pod的Endpoint列表。

从上面的特性可以看出，Cluster IP属于kubernetes集群内部私有地址，无法在集群外部直接使用这个地址。

Namespace

namespace是kubernetes实现多租户隔离的重要概念，通过namespace可将集群内部的资源分配到不同的命名空间中，形成逻辑上不同的分组，便于不同的分组共享使用集群资源时还能被分别管理。默认情况下用户创建的RC、Pod、Service都被分配到default命名空间中。

ConfigMap

kubernetes提供的配置中心，原理是通过Volume的方式挂载位于etcd的配置数据。

    apiVersion: v1
    kind: ConfigMap
    metadata:
      Name: game-demo
    data:
      # 类属性键；每一个键都映射到一个简单的值
      player_initial_lives: 3
      ui_properties_file_name: "user-interface.properties"
      #
      # 类文件键
      game.properties: |
        enemy.types=aliens,monsters
        player.maximum-lives=5
        user-interface.properties: |
        color.good=purple
        color.bad=yellow
        allow.textmode=true

Volume

Volume存储卷是Pod中能够被多个容器共享的的目录，其生命周期只与Pod有关，而与容器无关。kubernetes支持多种类型的volume，举例如下：

emptyDir

emptyDir Volume在Pod分配到Node时创建，它无需对应宿主机上的任何文件，当Pod从Node上移除时自动删除。emptyDir应用场景如下：

• 临时空间。
• 多容器共享目录。

hostPath

挂载宿主机是哪个的文件或目录到Pod，主要使用场景如下：

• 保存日志文件。
• 访问docker引擎内部数据结构。

注意hostPath上无法使用资源配额管理。

云存储

如 GCE和AWS。

其它存储

支持nfs等网络或开源存储。

Persistent Volume

Volume存储被定义在Pod上，属于计算资源的一部分。而PV是集群某个网络存储对应的一块存储。其与Volume有以下区别：

• PV只能是网络存储，不属于任何Node，但是可以在每个Node上访问。
• PV并不定义在Pod上。

Horizontal Pod Autoscaler

水平扩容的设计目标是使kubernetes中的应用有根据当前负载的变化，自动的触发水平扩容或缩容。HPA通过追踪RC控制的所有的Pod负载变化情况，来确定是否有必要针对性的调整目标副本数量。当前HPA有以下两种方式作为Pod负载度量指标：

• CPUUtilizationPercentage ：Pod当前的cpu使用率除以Pod Request的平均值。
• 应用程序自定义度量指标，例如TPS、QPS。

Job

Job 资源对象控制一组Pod容器，用于定义并启动一个批处理任务。批处理任务通常串行或并行的启动多个计算进程去处理一批工作项，在处理完成后，整个批处理任务结束。Job与RC等控制器有以下差别：

1. Job控制的副本是短暂运行的，可以将其视为一组docker容器，其中每个docker容器都仅仅运行一次。Job生成的Pod副本的RestartPoliy被设置为Nerver，意思是不会自动重启。kubernetes还支持cronJob，用于支持某些批处理任务需要反复执行的问题。
2. Job所控制的Pod副本的工作模式能够多实例并行计算。