概述

Docker的流行激活了一直不溫不火的PaaS，隨著而來(lái)的是各類(lèi)Micro-PaaS的出現(xiàn)，Kubernetes是其中最具代表性的一員，它是Google多年大規(guī)模容器管理技術(shù)的開(kāi)源版本。本系列文章將逐一分析Kubernetes，本文通過(guò)一個(gè)例子進(jìn)行入門(mén)，介紹Kubernetes的基本概念和功能。

1. Kubernetes介紹

基本概念

- Pod

Pod是Kubernetes的基本操作單元，把相關(guān)的一個(gè)或多個(gè)容器構(gòu)成一個(gè)Pod，通常Pod里的容器運(yùn)行相同的應(yīng)用。Pod包含的容器運(yùn)行在同一個(gè)Node(Host)上，看作一個(gè)統(tǒng)一管理單元，共享相同的volumes和network namespace/IP和Port空間。

- Replication Controller

Replication Controller確保任何時(shí)候Kubernetes集群中有指定數(shù)量的pod副本(replicas)在運(yùn)行， 如果少于指定數(shù)量的pod副本(replicas)，Replication Controller會(huì)啟動(dòng)新的Container，反之會(huì)殺死多余的以保證數(shù)量不變。Replication Controller使用預(yù)先定義的pod模板創(chuàng)建pods，一旦創(chuàng)建成功，pod 模板和創(chuàng)建的pods沒(méi)有任何關(guān)聯(lián)，可以修改pod 模板而不會(huì)對(duì)已創(chuàng)建pods有任何影響，也可以直接更新通過(guò)Replication Controller創(chuàng)建的pods。對(duì)于利用pod 模板創(chuàng)建的pods，Replication Controller根據(jù)label selector來(lái)關(guān)聯(lián)，通過(guò)修改pods的label可以刪除對(duì)應(yīng)的pods。

- Service

Service也是Kubernetes的基本操作單元，是真實(shí)應(yīng)用服務(wù)的抽象，每一個(gè)服務(wù)后面都有很多對(duì)應(yīng)的容器來(lái)支持，通過(guò)Proxy的port和服務(wù)selector決定服務(wù)請(qǐng)求傳遞給后端提供服務(wù)的容器，對(duì)外表現(xiàn)為一個(gè)單一訪(fǎng)問(wèn)接口，外部不需要了解后端如何運(yùn)行，這給擴(kuò)展或維護(hù)后端帶來(lái)很大的好處。

- Label

Label是用于區(qū)分Pod、Service、Replication Controller的key/value鍵值對(duì)，Pod、Service、 Replication Controller可以有多個(gè)label，但是每個(gè)label的key只能對(duì)應(yīng)一個(gè)value。Labels是Service和Replication Controller運(yùn)行的基礎(chǔ)，為了將訪(fǎng)問(wèn)Service的請(qǐng)求轉(zhuǎn)發(fā)給后端提供服務(wù)的多個(gè)容器，正是通過(guò)標(biāo)識(shí)容器的labels來(lái)選擇正確的容器。同樣，Replication Controller也使用labels來(lái)管理通過(guò)pod 模板創(chuàng)建的一組容器，這樣Replication Controller可以更加容易，方便地管理多個(gè)容器，無(wú)論有多少容器。

架構(gòu)

Kubernets屬于主從的分布式集群架構(gòu)，包含Master和Node：

1. Master作為控制節(jié)點(diǎn)，調(diào)度管理整個(gè)系統(tǒng)，包含以下組件：

- API Server作為kubernetes系統(tǒng)的入口，封裝了核心對(duì)象的增刪改查操作，以RESTFul接口方式提供給外部客戶(hù)和內(nèi)部組件調(diào)用。它維護(hù)的REST對(duì)象將持久化到etcd(一個(gè)分布式強(qiáng)一致性的key/value存儲(chǔ))。

- Scheduler：負(fù)責(zé)集群的資源調(diào)度，為新建的pod分配機(jī)器。這部分工作分出來(lái)變成一個(gè)組件，意味著可以很方便地替換成其他的調(diào)度器。

- Controller Manager：負(fù)責(zé)執(zhí)行各種控制器，目前有兩類(lèi)：（1）Endpoint Controller：定期關(guān)聯(lián)service和pod(關(guān)聯(lián)信息由endpoint對(duì)象維護(hù))，保證service到pod的映射總是最新的。（2）Replication Controller：定期關(guān)聯(lián)replicationController和pod，保證replicationController定義的復(fù)制數(shù)量與實(shí)際運(yùn)行pod的數(shù)量總是一致的。

Node是運(yùn)行節(jié)點(diǎn)，運(yùn)行業(yè)務(wù)容器，包含以下組件：

Kubelet：責(zé)管控docker容器，如啟動(dòng)/停止、監(jiān)控運(yùn)行狀態(tài)等。它會(huì)定期從etcd獲取分配到本機(jī)的pod，并根據(jù)pod信息啟動(dòng)或停止相應(yīng)的容器。同時(shí)，它也會(huì)接收apiserver的HTTP請(qǐng)求，匯報(bào)pod的運(yùn)行狀態(tài)。

Kube Proxy：負(fù)責(zé)為pod提供代理。它會(huì)定期從etcd獲取所有的service，并根據(jù)service信息創(chuàng)建代理。當(dāng)某個(gè)客戶(hù)pod要訪(fǎng)問(wèn)其他pod時(shí)，訪(fǎng)問(wèn)請(qǐng)求會(huì)經(jīng)過(guò)本機(jī)proxy做轉(zhuǎn)發(fā)。

Kubernets使用Etcd作為存儲(chǔ)和通信中間件，實(shí)現(xiàn)Master和Node的一致性，這是目前比較常見(jiàn)的做法，典型的SOA架構(gòu)，解耦Master和Node。

#p#

2. Guestbook示例

Guestbook示例將會(huì)展示如何運(yùn)行一個(gè)應(yīng)用到Kubernetes上，應(yīng)用包含

- Web前端

- Redis集群（一個(gè)master，2個(gè)slave）

1) 部署Kubernetes

如果你熟悉Bosh/Bosh Lite的話(huà)，可以使用kubernetes-release.本文使用Kubernetes環(huán)境：

- master:192.168.3.146

- node1:192.168.3.147

- node2:192.168.3.148

- node3:192.168.3.149

2)啟動(dòng)Redis Master

需要準(zhǔn)備配置文件redis-master-controller.yaml，用于描述pod如何運(yùn)行服務(wù)容器：

apiVersion: v1
kind: ReplicationController
metadata:
name: redis-master
labels:
name: redis-master
spec:
replicas: 1
selector:
name: redis-master
template:
metadata:
  labels:
    name: redis-master
spec:
  containers:
  - name: master
    image: redis
    ports:
    - containerPort: 6379

即使只有一個(gè)Redis Master Pod實(shí)例，這里也使用ReplicationController保證Pod持續(xù)運(yùn)行，否則Node掛掉的話(huà)，Pod將停止運(yùn)行。

創(chuàng)建Pod：

$ kubectl create -f redis-master-controller.yaml 

查看ReplicationController：

$ kubectl get rc  
CONTROLLER   CONTAINER(S)  IMAGE(S)  SELECTOR            REPLICAS 
redis-master master        redis     name=redis-master   1 

查看Pod:

$ kubectl get pods -o wide 
NAME                READY    STATUS    RESTARTS   AGE       NODE 
redis-master-u3fup   1/1     Running   0          2m        node1 

可以看到Pod運(yùn)行在Node1節(jié)點(diǎn)，在Node1查看docker容器：

$ docker ps 
CONTAINER ID  IMAGE                                ...     
feb393fbe42b  redis:latestminute ago               ...          
d9e934ee55ae  gcr.io/google_containers/pause:0.8.0 ...   

總共有2個(gè)容器正在運(yùn)行，其中一個(gè)Redis Master，另外一個(gè)是google_containers/pause，它是Netowrk Container, 每啟動(dòng)一個(gè)Pod都會(huì)附加啟動(dòng)這樣一個(gè)容器，它的作用就只是簡(jiǎn)單的等待，設(shè)置Pod的網(wǎng)絡(luò)。

如果docker rm -f feb393fbe42b，刪掉Redis Master Container，過(guò)一會(huì)兒就會(huì)有新的容器啟動(dòng)，這說(shuō)明Kubernetes會(huì)保證Pod的容器運(yùn)行。

$ docker ps 
CONTAINER ID  IMAGE                                ...     
fc3b458d333a  redis:latestminute ago               ...          
d9e934ee55ae  gcr.io/google_containers/pause:0.8.0 ...  

如果把Node1關(guān)掉，Pod會(huì)遷移到其他Node上,這是ReplicationController保證Pod運(yùn)行。

$ kubectl get pods -o wide 
NAME               READY STATUS   RESTARTS  AGE       NODE 
redis-master-x5kjp 0/1   Running  0         7s        node3 

上一步已經(jīng)運(yùn)行起了一個(gè)Redis Master Pod, 即使只有一個(gè)Pod，也是有必要使用Service。Kubernetes中Service中起到了負(fù)載均衡器的作用，通過(guò)Proxy和Selector決定服務(wù)請(qǐng)求傳遞給后端提供服務(wù)的Pod，對(duì)外提供固定的IP,這樣的話(huà)Redis Master Pod遷移變化也不會(huì)影響。

需要redis-master-service.yaml來(lái)描述redis master service：

apiVersion: v1
kind: Service
metadata:
name: redis-master
labels:
name: redis-master
spec:
ports:
# the port that this service should serve on
- port: 6379
targetPort: 6379
selector:
name: redis-master #和redis-master的Label對(duì)應(yīng)

創(chuàng)建Service：

$ kubectl create -f redis-master-service.yaml 

查看Service:

$ kubectl get service

NAME            LABELS              SELECTOR            IP(S)            PORT(S) 
redis-master    name=redis-master   name=redis-master   10.254.189.63    6379/TCP 

Kubernetes會(huì)分配IP(10.254.189.63)給Redis Master Service，這個(gè)就是Redis Master Service對(duì)外暴露的IP，可以通過(guò)redis-cli訪(fǎng)問(wèn)：

$ redis-cli -h 10.254.189.63 info 

#p#

Kubernetes同時(shí)提供2種了發(fā)現(xiàn)Service的方法：

- 環(huán)境變量

當(dāng)Pod運(yùn)行的時(shí)候，Kubernetes會(huì)將之前存在的Service的信息通過(guò)環(huán)境變量寫(xiě)到Pod里面，以Redis Master Service為例，它的信息會(huì)被寫(xiě)到新的Pod里面：

"REDIS_MASTER_PORT_6379_TCP=tcp://10.254.189.63:6379",
"REDIS_MASTER_PORT_6379_TCP_PROTO=tcp",
"REDIS_MASTER_PORT_6379_TCP_ADDR=10.254.189.63",
"REDIS_MASTER_SERVICE_PORT=6379",
"REDIS_MASTER_SERVICE_HOST=10.254.189.63",
"REDIS_MASTER_PORT=tcp://10.254.189.63:6379",
"REDIS_MASTER_PORT_6379_TCP_PORT=6379",

這種方法有個(gè)比較明顯的缺陷，Pod必須在Service之后啟動(dòng)，之前啟動(dòng)的Pod將沒(méi)有這些環(huán)境變量。那么下一種方法就沒(méi)有這個(gè)限制。

- DNS

當(dāng)有新的Service創(chuàng)建，就會(huì)自動(dòng)生成一條DNS記錄，比如在Kubernetes的Namespace "my-ns"中有個(gè)Service叫"my-service",那么就有條DNS記錄"my-service.my-ns"對(duì)應(yīng)Service的IP。以Redis Master Service為例， 就有條DNS記錄：

redis-master => 10.254.189.63 

3)啟動(dòng)Redis Slave

apiVersion: v1
kind: ReplicationController
metadata:
name: redis-slave
labels:
name: redis-slave
spec:
replicas: 2
selector:
name: redis-slave
template:
metadata:
  labels:
    name: redis-slave
spec:
  containers:
  - name: worker
    image: kubernetes/redis-slave:v2
    ports:
    - containerPort: 6379

創(chuàng)建Pod：

$ kubectl create -f redis-slave-controller.yaml

$ kubectl get rc
CONTROLLER     CONTAINER(S)   IMAGE(S)                    SELECTOR            REPLICAS
redis-master   master         redis                       name=redis-master   1
redis-slave    worker         kubernetes/redis-slave:v2   name=redis-slave    2

$ kubectl get pods -o wide
NAME                 READY     STATUS    RESTARTS   AGE       NODE
redis-master-x5kjp   1/1       Running   0          1h        node3
redis-slave-04o8g    1/1       Running   0          5m        node1
redis-slave-llxpk    1/1       Running   0          5m        node1

redis-slave-service.yaml:

apiVersion: v1
kind: Service
metadata:
name: redis-slave
labels:
name: redis-slave
spec:
ports:
# the port that this service should serve on
- port: 6379
selector:
name: redis-slave

創(chuàng)建Service：

$ kubectl create -f redis-slave-service.yaml

$ kubectl get service

NAME LABELS SELECTOR IP(S) PORT(S)

redis-master name=redis-master name=redis-master 10.254.189.63 6379/TCP

redis-slave name=redis-slave name=redis-slave 10.254.70.184 6379/TCP

4)啟動(dòng)Web Frontend

$ kubectl create -f redis-slave-service.yaml 

$ kubectl get service
NAME            LABELS            SELECTOR           IP(S)           PORT(S)
redis-master   name=redis-master  name=redis-master  10.254.189.63   6379/TCP
redis-slave    name=redis-slave   name=redis-slave   10.254.70.184   6379/TCP

創(chuàng)建Pod：

$ kubectl create -f frontend-controller.yaml

$ kubectl get rc
CONTROLLER     CONTAINER(S)   IMAGE(S)                                    SELECTOR            REPLICAS
frontend       php-redis      kubernetes/example-guestbook-php-redis:v2   name=frontend       3
redis-master   master         redis                                       name=redis-master   1
redis-slave    worker         kubernetes/redis-slave:v2                   name=redis-slave    2

$ kubectl get pods
NAME                 READY     STATUS    RESTARTS   AGE
frontend-7ukb6       1/1       Running   0          45s
frontend-8ch4l       1/1       Running   0          45s
frontend-n8l7w       1/1       Running   0          45s
redis-master-x5kjp   1/1       Running   0          3h
redis-slave-04o8g    1/1       Running   0          2h
redis-slave-llxpk    1/1       Running   0          2h

apiVersion: v1
kind: Service
metadata:
name: frontend
labels:
name: frontend
spec:
ports:
# the port that this service should serve on
- port: 80
selector:
name: frontend

創(chuàng)建Service:

$ kubectl create -f frontend-service.yaml

$ kubectl get service
NAME            LABELS            SELECTOR            IP(S)            PORT(S)
frontend        name=frontend     name=frontend       10.254.58.118    80/TCP
redis-master    name=redis-master name=redis-master   10.254.189.63    6379/TCP
redis-slave     name=redis-slave  name=redis-slave    10.254.70.184    6379/TCP

Web Frontend是需要對(duì)外暴露的，這樣外部網(wǎng)絡(luò)才能真正訪(fǎng)問(wèn)該應(yīng)用，Kubernetes提供了2種方式暴露Service到外部網(wǎng)絡(luò)：

- NodePort

Kubernetes將會(huì)在每個(gè)Node上設(shè)置一個(gè)Port，訪(fǎng)問(wèn)該P(yáng)ort會(huì)被轉(zhuǎn)發(fā)到對(duì)應(yīng)的Service。這支持開(kāi)發(fā)者設(shè)置自己的LoadBalancer。

- LoadBalancer

Kubernetes會(huì)設(shè)置LoadBalancer給Service。

本文采用NodePort方式， 更改frontend-service.yaml:

apiVersion: v1
kind: Service
metadata:
name: frontend
labels:
name: frontend
spec:
type: NodePort
ports:
# the port that this service should serve on
- port: 80
nodePort: 30061
selector:
name: frontend

那么就可以通過(guò)任意節(jié)點(diǎn)訪(fǎng)問(wèn)該應(yīng)用：

參考

http://kubernetes.io/v1.0/docs

https://github.com/GoogleCloud ... es.md

https://github.com/GoogleCloud ... tbook

作者簡(jiǎn)介

吳龍輝，現(xiàn)任網(wǎng)宿科技高級(jí)運(yùn)營(yíng)工程師，致力于云計(jì)算PaaS的研究和實(shí)踐，活躍于CloudFoundry、Docker、Kubernetes等開(kāi)源社區(qū)，貢獻(xiàn)代碼和撰寫(xiě)技術(shù)文檔。

郵箱：wulh@chinanetcenter.com/wlh6666@qq.com

原文鏈接：http://www.dockone.io/article/542