Kubernetes系统架构简介

【摘要】

         Together we will ensure that Kubernetes is astrong and open container management framework for any application and in anyenvironment, whether in a private, public or hybrid cloud.

Urs Hlzle, Google

         Kubernetes作为Docker生态圈中重要一员,是Google多年大规模容器管理技术的开源版本。如Urs Hlzle所说,无论是共有云还是私有云甚至混合云,Kubernetes将作为一个为任何应用,任何环境的容器管理框架无处不在。正因为如此,目前受到各大巨头及初创公司的青睐,如MicrosoftVMWareRed HatCoreOSMesos等,纷纷加入给Kubernetes贡献代码。随着Kubernetes社区及各大厂商的不断完善、改进、发展,Kuberentes将成为容器管理领域的领导者。

         接下来本文会对Kubernetes的主要概念、MasterAPI ServerKubeletProxy构件的详细介绍,后期用一系列文章带领大家逐一详细地探索Kubernetes的深层原理。

1.   什么是Kubernetes

KubernetesGoogle开源的容器集群管理系统,其提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,其主要功能如下:

  • 使用Docker对应用程序包装(package)、实例化(instantiate)、运行(run)

  • 以集群的方式运行、管理跨机器的容器。

  • 解决Docker跨机器容器之间的通讯问题。

  • Kubernetes的自我修复机制使得容器集群总是运行在用户期望的状态。

 

当前Kubernetes支持GCEvShpereCoreOSOpenShiftAzure等平台,除此之外,也可以直接运行在物理机上。

2.   Kubernetes主要概念

2.1.      Pods

PodKubernetes的基本操作单元,把相关的一个或多个容器构成一个Pod,通常Pod里的容器运行相同的应用。Pod包含的容器运行在同一个Minion(Host)上,看作一个统一管理单元,共享相同的volumesnetwork namespace/IPPort空间。

2.2.      Services

Services也是Kubernetes的基本操作单元,是真实应用服务的抽象,每一个服务后面都有很多对应的容器来支持,通过Proxyport和服务selector决定服务请求传递给后端提供服务的容器,对外表现为一个单一访问接口,外部不需要了解后端如何运行,这给扩展或维护后端带来很大的好处。

2.3.      Replication Controllers

ReplicationController确保任何时候Kubernetes集群中有指定数量的pod副本(replicas)在运行,如果少于指定数量的pod副本(replicas)Replication Controller会启动新的Container,反之会杀死多余的以保证数量不变。Replication Controller使用预先定义的pod模板创建pods,一旦创建成功,pod 模板和创建的pods没有任何关联,可以修改pod 模板而不会对已创建pods有任何影响,也可以直接更新通过Replication Controller创建的pods。对于利用pod 模板创建的podsReplication Controller根据label selector来关联,通过修改podslabel可以删除对应的podsReplication Controller主要有如下用法:

  • Rescheduling

如上所述,ReplicationController会确保Kubernetes集群中指定的pod副本(replicas)在运行,即使在节点出错时。

  • Scaling

通过修改ReplicationController的副本(replicas)数量来水平扩展或者缩小运行的pods

  • Rolling updates

ReplicationController的设计原则使得可以一个一个地替换podsrolling updates服务。

  • Multiple release tracks

如果需要在系统中运行multiplerelease的服务,Replication Controller使用labels来区分multiple release tracks

2.4.      Labels

Labels是用于区分PodServiceReplicationControllerkey/value键值对,PodService Replication Controller可以有多个label,但是每个labelkey只能对应一个valueLabelsServiceReplicationController运行的基础,为了将访问Service的请求转发给后端提供服务的多个容器,正是通过标识容器的labels来选择正确的容器。同样,Replication Controller也使用labels来管理通过pod 模板创建的一组容器,这样Replication Controller可以更加容易,方便地管理多个容器,无论有多少容器。

3.   Kubernetes构件

Kubenetes整体框架如下图3-1,主要包括kubecfgMaster APIServerKubeletMinion(Host)以及Proxy

3-1 KubernetesHigh Level构件

3.1.      Master

         Master定义了Kubernetes集群Master/API Server的主要声明,包括Pod RegistryController RegistryService RegistryEndpoint RegistryMinion RegistryBinding RegistryRESTStorage以及Client, client(Kubecfg)调用Kubernetes API,管理Kubernetes主要构件PodsServicesMinions、容器的入口。MasterAPI ServerScheduler以及Registry等组成。从下图3-2可知Master的工作流主要分以下步骤:

  • Kubecfg将特定的请求,比如创建Pod,发送给KubernetesClient

  • Kubernetes Client将请求发送给APIserver

  • API Server根据请求的类型,比如创建Podstorage类型是pods,然后依此选择何种RESTStorage API对请求作出处理。

  • REST Storage API对的请求作相应的处理。

  • 将处理的结果存入高可用键值存储系统Etcd中。

  • API Server响应Kubecfg的请求后,Scheduler会根据Kubernetes Client获取集群中运行PodMinion信息。

  • 依据从Kubernetes Client获取的信息,Scheduler将未分发的Pod分发到可用的Minion节点上。

下面是Master的主要构件的详细介绍:

3-2 Master主要构件及工作流

3.1.1. Minion Registry

Minion Registry负责跟踪Kubernetes集群中有多少Minion(Host)Kubernetes封装Minion Registry成实现Kubernetes API ServerRESTful API接口REST,通过这些API,我们可以对Minion RegistryCreateGetListDelete操作,由于Minon只能被创建或删除,所以不支持Update操作,并把Minion的相关配置信息存储到etcd。除此之外,Scheduler算法根据Minion的资源容量来确定是否将新建Pod分发到该Minion节点。

3.1.2. Pod Registry

Pod Registry负责跟踪Kubernetes集群中有多少Pod在运行,以及这些PodMinion是如何的映射关系。将PodRegistryCloud Provider信息及其他相关信息封装成实现Kubernetes API ServerRESTful API接口REST。通过这些API,我们可以对Pod进行CreateGetListUpdateDelete操作,并将Pod的信息存储到etcd中,而且可以通过Watch接口监视Pod的变化情况,比如一个Pod被新建、删除或者更新。

3.1.3. Service Registry

Service Registry负责跟踪Kubernetes集群中运行的所有服务。根据提供的Cloud ProviderMinion Registry信息把Service Registry封装成实现Kubernetes API Server需要的RESTful API接口REST。利用这些接口,我们可以对Service进行CreateGetListUpdateDelete操作,以及监视Service变化情况的watch操作,并把Service信息存储到etcd

3.1.4. Controller Registry

ControllerRegistry负责跟踪Kubernetes集群中所有的Replication ControllerReplication Controller维护着指定数量的pod 副本(replicas)拷贝,如果其中的一个容器死掉,Replication Controller会自动启动一个新的容器,如果死掉的容器恢复,其会杀死多出的容器以保证指定的拷贝不变。通过封装Controller Registry为实现Kubernetes API ServerRESTful API接口REST利用这些接口,我们可以对Replication Controller进行CreateGetListUpdateDelete操作,以及监视Replication Controller变化情况的watch操作,并把Replication Controller信息存储到etcd

3.1.5. Endpoints Registry

         EndpointsRegistry负责收集Serviceendpoint,比如Name"mysql"Endpoints: ["10.10.1.1:1909""10.10.2.2:8834"],同PodRegistryController Registry也实现了Kubernetes API ServerRESTful API接口,可以做CreateGetListUpdateDelete以及watch操作。

3.1.6. Binding Registry

Binding包括一个需要绑定PodIDPod被绑定的HostSchedulerBindingRegistry后,需绑定的Pod被绑定到一个hostBinding Registry也实现了Kubernetes API ServerRESTful API接口,但Binding Registry是一个write-only对象,所有只有Create操作可以使用,否则会引起错误。

3.1.7. Scheduler

Scheduler收集和分析当前Kubernetes集群中所有Minion节点的资源(内存、CPU)负载情况,然后依此分发新建的PodKubernetes集群中可用的节点。由于一旦Minion节点的资源被分配给Pod,那这些资源就不能再分配给其他Pod除非这些Pod被删除或者退出,因此,Kubernetes需要分析集群中所有Minion的资源使用情况,保证分发的工作负载不会超出当前该Minion节点的可用资源范围。具体来说,Scheduler做以下工作:

  • 实时监测Kubernetes集群中未分发的Pod

  • 实时监测Kubernetes集群中所有运行的PodScheduler需要根据这些Pod的资源状况安全地将未分发的Pod分发到指定的Minion节点上。

  • Scheduler也监测Minion节点信息,由于会频繁查找Minion节点,Scheduler会缓存一份最新的信息在本地。

  • 最后,Scheduler在分发Pod到指定的Minion节点后,会把Pod相关的信息Binding写回API Server

  •       Kubelet

         

3-3 Kubernetes详细构件

         根据上图3-3可知KubeletKubernetes集群中每个MinionMaster APIServer的连接点,Kubelet运行在每个Minion上,是Master API ServerMinion之间的桥梁,接收Master API Server分配给它的commandswork,与持久性键值存储etcdfileserverhttp进行交互,读取配置信息。Kubelet的主要工作是管理Pod和容器的生命周期,其包括Docker ClientRoot DirectoryPod WorkersEtcd ClientCadvisor Client以及Health Checker组件,具体工作如下:

  • 通过WorkerPod异步运行特定的Action

  • 设置容器的环境变量。

  • 给容器绑定Volume

  • 给容器绑定Port

  • 根据指定的Pod运行一个单一容器。

  • 杀死容器。

  • 给指定的Pod创建network 容器。

  • 删除Pod的所有容器。

  • 同步Pod的状态。

  • Cadvisor获取container info pod inforoot infomachine info

  • 检测Pod的容器健康状态信息。

  • 在容器中运行命令。

  •       Proxy

Proxy是为了解决外部网络能够访问跨机器集群中容器提供的应用服务而设计的,从上图3-3可知Proxy服务也运行在每个Minion上。Proxy提供TCP/UDP socketsproxy,每创建一种ServiceProxy主要从etcd获取ServicesEndpoints的配置信息,或者也可以从file获取,然后根据配置信息在Minion上启动一个Proxy的进程并监听相应的服务端口,当外部请求发生时,Proxy会根据Load Balancer将请求分发到后端正确的容器处理。

4.   下篇主题

    下篇讲述在CentOS7上用Kubernetes来管理容器。

5.   参考资料