Kubernetes

Kubernetes (K8S) 是一个开源的容器编排引擎，最初由 Google 设计并捐赠给 Cloud Native Computing Foundation (CNCF) 维护。它是基于 Google 内部使用了超过 15 年的 Borg 系统演进而来，汇聚了 Google 在容器管理方面的丰富经验。

1.1 历史背景

Kubernetes 于 2014 年首次发布，迅速成为容器编排领域的事实标准。它的名字来源于希腊语，意为"舵手"或"飞行员"，反映了它在容器集群中的核心控制地位。

1.2 生态系统

Kubernetes 生态系统非常庞大，包含了众多开源项目：

• 容器运行时：Docker、containerd、CRI-O
• 服务网格：Istio、Linkerd、Consul Connect
• 监控系统：Prometheus、Grafana、Jaeger
• CI/CD：Jenkins、Argo CD、GitLab CI
• 存储系统：Rook、Longhorn、Ceph

K8S 集群采用 控制平面 (Control Plane) 和 工作节点 (Worker Nodes) 的分层架构。控制平面负责整个集群的管理和决策，工作节点负责运行实际的应用负载（参见图1）。

1. 控制平面组件

控制平面是 Kubernetes 集群的大脑，负责管理集群的状态和决策：

• API Server: 集群的统一入口，处理所有 REST API 请求，是控制平面与其他组件通信的枢纽。所有组件（包括 kubectl）都通过 API Server 交互。
• Scheduler: 资源调度器，负责根据 Pod 的资源需求和节点的可用资源，智能地将 Pod 分配到最合适的节点上。
• Controller Manager: 包含多种控制器，如 Deployment Controller、Node Controller、StatefulSet Controller 等，负责维护集群的期望状态。
• etcd: 分布式键值存储，保存集群的所有配置数据和状态信息，是 Kubernetes 的"单一事实来源"。
• Cloud Controller Manager: 可选组件，用于与云服务提供商的 API 交互，实现云资源的自动管理（如负载均衡器、持久存储卷等）。

2. 工作节点组件

工作节点是运行应用负载的实际机器（物理机或虚拟机），包含以下核心组件：

• Kubelet: 节点代理，负责与 API Server 通信，接收和执行来自控制平面的指令，管理节点上的 Pod 和容器生命周期。
• Kube-proxy: 网络代理，负责维护节点上的网络规则，实现 Service 的负载均衡和网络访问。
• Container Runtime: 容器运行时，负责容器的创建、运行和销毁。支持 Docker、containerd、CRI-O 等多种运行时。
• Pod: 是 Kubernetes 中最小的可调度单元，包含一个或多个共享资源的容器。

3. 核心设计理念

• 声明式 API: 用户只需定义期望状态，Kubernetes 负责将实际状态调整为期望状态。
• 控制循环 (Control Loop): 各控制器持续监控集群状态，发现偏差时自动调整。
• 松耦合设计: 组件间通过 API Server 通信，便于扩展和维护。
• 可扩展性: 支持自定义资源 (CRD) 和自定义控制器，允许扩展 Kubernetes 功能。

1. Pod (豌豆荚)

Pod 是 K8S 中最小的可部署单元。一个 Pod 包含一个或多个容器（Container），这些容器共享存储、网络和命名空间（参见图2）。

通常一个 Pod 运行一个主容器，但在需要辅助程序（如日志收集、代理）时，会使用 Sidecar 模式运行多个容器。

2. Deployment & ReplicaSet

Deployment 用于声明应用的期望状态（如版本、副本数）。它通过管理 ReplicaSet 来确保指定数量的 Pod 副本始终运行（参见图3）。

Deployment 支持滚动更新（Rolling Update）和回滚，是部署无状态应用的首选方式。

3. Service (服务)

由于 Pod 的 IP 是动态变化的，Service 提供了一个稳定的虚拟 IP (ClusterIP)，并通过 Label Selector 自动关联后端的 Pod，实现负载均衡（参见图4）。

4. ConfigMap & Secret

ConfigMap 用于存储非机密配置（如配置文件），Secret 用于存储敏感信息（如密码、证书）。它们可以作为环境变量注入 Pod，或挂载为文件（参见图5）。

5. Namespace

Namespace 用于将集群资源划分为多个虚拟集群，实现资源隔离和多租户管理。Kubernetes 默认包含三个命名空间：

• default：未指定命名空间时的默认选择，用于部署用户应用
• kube-system：用于运行 Kubernetes 系统组件
• kube-public：公共资源命名空间，所有用户均可访问
• kube-node-lease：用于节点心跳检测（Kubernetes 1.13+）

命名空间的核心功能：

• 资源隔离：不同命名空间的资源名称可以重复，互不影响
• 资源配额（Resource Quota）：限制命名空间可使用的 CPU、内存、存储等资源
• 访问控制（RBAC）：为不同命名空间设置不同的访问权限
• 环境隔离：将开发、测试、生产环境分离到不同命名空间

apiVersion: v1
kind: Namespace
metadata:
  name: production

6. StatefulSet

StatefulSet 用于管理有状态应用，如数据库（MySQL、PostgreSQL）、消息队列（Kafka、RabbitMQ）等。与 Deployment 管理无状态应用不同，StatefulSet 为每个 Pod 提供：

• 稳定的网络标识符：Pod 名称按顺序生成（如 mysql-0, mysql-1），重启后保持不变
• 稳定的持久化存储：每个 Pod 关联独立的 PersistentVolumeClaim (PVC)
• 有序的部署：按顺序创建 Pod，确保前面的 Pod 就绪后才创建下一个
• 有序的扩展：按顺序扩容 Pod，确保数据一致性
• 有序的滚动更新和删除：支持优雅的更新和删除策略

7. Volume & PersistentVolume

Volume 是 Pod 中的存储抽象，用于在容器之间共享数据或持久化数据。Kubernetes 支持多种 Volume 类型：

7.1 临时存储卷

• emptyDir：Pod 创建时创建，Pod 销毁时删除，用于容器间共享临时数据
• tmpfs：基于内存的临时存储，速度快，重启后数据丢失

7.2 持久存储卷

• hostPath：挂载节点上的文件或目录，适合单节点测试
• PersistentVolumeClaim：挂载集群级别的持久化存储资源

7.3 PersistentVolume 架构

Kubernetes 的持久存储采用 PV (PersistentVolume) 和 PVC (PersistentVolumeClaim) 的双资源模型：

• PersistentVolume (PV)：集群级别的存储资源，由管理员创建或 StorageClass 动态生成
• PersistentVolumeClaim (PVC)：用户对存储资源的请求，类似于 Pod 对 CPU 和内存的请求
• StorageClass：用于动态创建 PV，定义存储的类型和属性

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: my-pvc
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 1Gi
  storageClassName: standard

8. Ingress

Ingress 提供了 HTTP/HTTPS 路由访问集群内部服务的方式，是 Kubernetes 集群的"入口网关"。它可以配置：

• 基于域名的路由（如 app.example.com → app-service）
• 基于路径的路由（如 example.com/api → api-service）
• SSL/TLS 终止和证书管理
• 负载均衡策略
• 会话亲和性

Ingress 控制器 是实现 Ingress 功能的组件，常见的有：

• Nginx Ingress Controller：基于 Nginx 的成熟解决方案
• Traefik：现代云原生反向代理和负载均衡器
• HAProxy Ingress Controller：基于 HAProxy 的高性能解决方案
• Istio Ingress Gateway：与服务网格集成的高级网关

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: web-ingress
spec:
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: web-service
            port:
              number: 80

9. 资源管理与调度

Kubernetes 提供了强大的资源管理和调度功能，确保应用高效、稳定地运行：

9.1 资源请求与限制

• 资源请求 (Requests)：Pod 运行所需的最小资源（CPU、内存）
• 资源限制 (Limits)：Pod 运行允许使用的最大资源

9.2 调度策略

• 节点选择器 (Node Selector)：基于标签选择节点
• 节点亲和性 (Node Affinity)：更灵活的节点选择规则
• 污点与容忍度 (Taints & Tolerations)：阻止或允许 Pod 调度到特定节点
• 亲和性与反亲和性 (Affinity & Anti-affinity)：控制 Pod 间的调度关系

9.3 自动扩缩容

• Horizontal Pod Autoscaler (HPA)：基于 CPU/内存使用率或自定义指标自动调整 Pod 数量
• Vertical Pod Autoscaler (VPA)：自动调整 Pod 的资源请求和限制
• Cluster Autoscaler：根据集群负载自动添加或删除节点

从提交部署配置到应用运行，Kubernetes 内部发生了一系列自动化的协作流程。下面以部署一个简单的 Web 应用为例，详细说明 Kubernetes 的工作流程：

1. 部署流程详解

1. 用户操作：使用 kubectl apply -f deployment.yaml 提交部署请求。
2. API Server：接收并验证请求，将 Deployment 配置写入 etcd 存储。
3. Deployment Controller：持续监听 API Server，发现新的 Deployment 资源后，创建对应的 ReplicaSet。
4. ReplicaSet Controller：监听新的 ReplicaSet，根据其规格创建指定数量的 Pod 定义，并写入 etcd。
5. Scheduler：监控未分配节点的 Pod，根据调度策略（资源需求、节点亲和性、污点容忍度等）为每个 Pod 选择最合适的 Node。
6. API Server：将 Pod 与选定 Node 的绑定关系更新到 etcd。
7. Kubelet：在目标 Node 上监听 API Server，发现新的 Pod 绑定后，调用 Container Runtime（如 containerd）拉取镜像并启动容器。
8. Kubelet：持续监控容器状态，并将状态报告回 API Server。
9. Kube-proxy：更新节点上的网络规则（如 iptables 或 IPVS），确保 Service 可以访问到新创建的 Pod。
10. Readiness Probe：验证容器是否已准备好接收流量。

2. 滚动更新流程

当用户更新 Deployment 时（如修改镜像版本），Kubernetes 执行滚动更新：

1. Deployment Controller：创建一个新的 ReplicaSet，设置副本数为 1。
2. ReplicaSet Controller：新 ReplicaSet 启动一个新 Pod，旧 ReplicaSet 减少一个 Pod。
3. 健康检查：等待新 Pod 就绪后，继续逐步增加新 ReplicaSet 的副本数，同时减少旧 ReplicaSet 的副本数。
4. 完成更新：当新 ReplicaSet 达到目标副本数，旧 ReplicaSet 副本数为 0 时，滚动更新完成。

Kubernetes 已经成为云原生时代的核心基础设施，为现代应用提供了强大的编排能力。它的成功源于其：

1. 核心优势

• 强大的编排能力：自动化部署、扩展、管理容器化应用
• 极高的可移植性：支持公有云、私有云、混合云和边缘计算
• 出色的可扩展性：模块化设计，支持自定义资源 (CRD) 和插件
• 高可用性：自动故障转移，零宕机部署和滚动更新
• 丰富的生态系统：CNCF 生态系统包含数百个相关项目
• 强大的社区支持：全球范围内的开发者和企业贡献

2. 未来发展趋势

• 边缘计算：Kubernetes 向边缘扩展，支持边缘设备管理
• 服务网格：与 Istio、Linkerd 等服务网格深度集成
• GitOps：基于 Git 的声明式运维，实现持续交付
• AI/ML 工作负载：优化对机器学习和人工智能工作负载的支持
• 安全性增强：内置更强大的安全功能，如 Pod 安全标准、Secrets 管理
• 简化操作：降低 Kubernetes 的学习曲线，提供更友好的用户体验

3. 最佳实践建议

• 遵循声明式 API 原则：使用 YAML 文件定义所有资源，避免直接修改运行中的对象
• 采用 GitOps 工作流：将配置存储在 Git 中，实现版本控制和审计
• 合理设计资源请求和限制：避免资源过度分配或不足
• 使用命名空间进行环境隔离：将开发、测试、生产环境分离
• 实施健康检查和就绪检查：确保应用的可靠性和可用性
• 使用服务网格管理服务间通信：简化流量管理、监控和安全
• 定期备份 etcd：确保集群配置数据的安全
• 持续监控和日志记录：使用 Prometheus、Grafana、ELK 等工具监控集群