k8s学习 - 概念 - master/node

k8s学习 - 概念 - master/node

在k8s中，有各类各样的概念和术语。这些概念是必需要学习和掌握的。咱们先罗列下全部概念，而后再一个个看具体实例。

大概说一下这些概念：

• Master: k8s的主控组件，对应的对象是node。
• Node: 是k8s集群的机器节点，至关于master-node。一个node就对应一个具体的物理机或者虚拟机。
• Container: 是一个镜像容器，一个container是一个镜像实例
• Pod: 是k8s集群的最小单元，一个pod能够包含一个或者多个container
• Service: 多个相同的pod组成一个服务，统一对外提供服务。
• Volume: 存储卷，pod对外暴露的共享目录，它能够挂载在宿主机上，这样就能让同node上多个pod共享一个目录。
• Replication Controller: 用于控制pod集群的控制器，能够制定各类规则来让它控制一个service中的多个pod的建立和消亡, 不少地方简称为rc。
• Namespace: 命名空间，用于将一个k8s集群隔离成不一样的空间，pod, service, rc, volume 均可以在建立的时候指定其namespace。
• StatefulSet: 有状态集群，好比一个主从的mysql集群就是有状态集群，须要先启动主再启动从，这就是一种有状态的集群。
• Persistent Volume: 持久存储卷。以前说的volume是挂载在一个pod上的，多个pod(非同node)要共享一个网络存储，就须要使用持久存储卷，简称为pv。
• Persistent Volume Claim: 持久存储卷声明。他是为了声明pv而存在的，一个持久存储，先申请空间，再申明，才能给pod挂载volume，简称为pvc。
• Label: 标签。咱们能够给大部分对象概念打上标签，而后能够经过selector进行集群内标签选择对象概念，并进行后续操做。
• Secret: 私密凭证。密码保存在pod中实际上是不利于分发的。k8s支持咱们建立secret对象，并将这个对象打到pod的volume中，pod中的服务就以文件访问的形式获取密钥。
• EndPoint: 用于记录 service 和 pod 访问地址的对应关系。只有 service 配置了 selector, endpoint controller 才会自动建立endpoint对象。

若是不理解没啥关系，看一遍有印象下，下面咱们一个个琢磨琢磨。

master

k8s的master节点上有三个进程，它们都是以docker的形式存在的。咱们在k8s的master节点看docker ps 就能够看到这几个进程：

8824aad1ee95        e851a7aeb6e8                     "kube-apiserver --ad…"   3 days ago          Up 3 days                               k8s_kube-apiserver_kube-apiserver-docker-for-desktop_kube-system_f23c0965aad6df9f61b1c9c4bb953cf5_0
a9ce81ec9454        978cfa2028bf                     "kube-controller-man…"   3 days ago          Up 3 days                               k8s_kube-controller-manager_kube-controller-manager-docker-for-desktop_kube-system_1dc44822f21a9cbd68cc62b1a4684801_0
85da3f6e700f        d2c751d562c6                     "kube-scheduler --ad…"   3 days ago          Up 3 days                               k8s_kube-scheduler_kube-scheduler-docker-for-desktop_kube-system_b6155a27330304c86badfef38a6b483b_0

其中的 apiserver 是提供 k8s 的 rest api 服务的进程。固然它也包括了 restapi 的权限认证机制。 k8s 的 apiserver 提供了三种权限认证机制：

• https
• http + token
• http + base（username + password）

咱们也能够经过使用kubectl proxy 在 master 上来建立一个代理，从而外部能够访问这个 k8s 集群。

kube-controller-manager 是用来管理全部的 controller 的。以前咱们说的 Replication Controller 就是一种管控 Pod 副本的Controller, 其余相关的 Controller 还有：

• Replication Controller
• Node Controller: 实时获取Node的相关信息，实现管理和监控集群中的各个Node节点的相关控制功能
• ResourceQuota Controller: 确保指定的资源对象在任什么时候候都不会超量占用系统物理资源
• NameSpace Controller: 定时经过API Server读取这些Namespace信息
• ServiceAccount Controller: 监听Service变化，若是是一个LoadBalancer类型的Service，则确保外部的云平台上对该Service对应的LoadBalancer实例被相应地建立、删除及更新路由转发表
• Token Controller
• Service Controller
• EndPoint Controller : Service 和选择 Pod 的对应关系。

kube-scheduler 负责 Pod 调度，接收 Controller Manager 建立的新的Pod，为其选择一个合适的Node，而且在Node上建立Pod。

一个k8s集群只有一个master节点，因此 master 节点的高可用性是一个问题，一旦 master 节点挂了，整个集群也就挂了。这点真有点神奇。因此网上关于搭建高可用的k8s Master 节点的方案有不少：

https://jishu.io/kubernetes/kubernetes-master-ha/
https://blog.51cto.com/ylw6006/2164981
https://jimmysong.io/kubernetes-handbook/practice/master-ha.html

Node

Node 是 k8s 的工做节点，Node 通常是一个虚拟机或者物理机，每一个 node 上都运行三个服务：

• docker
• kubelet
• kube-proxy

docker 就是 docker server，它提供

kubelet 是一个管理系统，它管理本个node上的容器的生命周期。它主要功能就是定时从某个地方获取节点上pod/container的指望状态，并调用对应的容器平台接口，来达成这个状态。它能够设置 http 监控，命令行监控等方式。

kube-proxy 是管理 service 的访问入口，包括集群内 pod 到 service 的访问，以及集群外访问service。

可用性

其实k8s自身的可用性是比较弱的，若是master挂了，那么master上的三个服务也就挂了。node挂了，若是node上的pod是被 controller控制住的话，controller会在其余node上启动对应的pod。