Kubernetes Cka

kubernetes cka 证书涉及的知识点

1. 应用程序生命周期

#创建应用
kubectl create deployment web --image=nginx 

#使用service 将pod暴露出去
kubectl  expose deployment  web --port=80  --type=NodePort  --target-port=80 --name=web 

#查看
kubectl  get pods,svc

#访问应用
http://NodeIP:Port  #端口随机生成,通过get svc获取

2. YAML 文件创建资源对象

kubectl  create  创建一个资源
kubectl  apply   从一个文件创建或者更新资源 

标签重要性: 通过标签关联不同的资源 

#查看service 关联的pod ip 
kubectl  get endpoints 
apiVersion API版本
kind 资源类型
metadata 资源元数据
spec 资源规格
replicas 副本(实例)数量
selector 标签选择器,与下面metadata.labels 保持一致
template pod模板
spec pod 的规格
containers 容器配置

3. Deployment 介绍

Deployment 是最常用的k8s 工作负载控制器,是k8s 的一个抽象概念,用于更高级层次对象,部署和管理pod。

主要功能:
管理Pod 与ReplicaSet 
具有上线部署、副本设定、滚动升级、回滚等功能
提供声明式更新,例如只更新一个新的image 
应用场景: 网站  API  微服务

deployment 应用生命周期管理流程
应用程序——部署——升级——回滚——下线 
当执行apply 部署应用时,deployment 向RS pod 扩容副本数量


回滚
kubectl rollout  history   deployment/web   查看历史版本
kubectl  rollout undo  deployment/web    回滚上一个版本
kubectl  rollout undo  deployment/web   --to-revision=2 回滚历史指定版本 
#回滚是重新部署某一次部署时的状态,即当时版本所有配置

4. Pod对象

Pod 是kubernetes 创建和管理的最小单元,一个pod 由一个容器或多个容器组成,这些容器共享存储、网络

POD的特点
一个pod 可以理解为一个应用实例,提供服务
Pod中容器始终部署一个Node上
Pod 中容器共享网络,存储资源
kubernetes直接管理pod,而不是容器

pod的主要用法:
运行单个容器:最常见的用法,在这种情况下,可以将pod看做是单个容器的抽象封装
运行多个容器: 封装多个紧密耦合且需要共享资源的应用程序 

管理命令

创建pod:
kubectl  apply -f pod.yaml 
或者使用命令: kubectl run  nginx --image=nginx 

查看pod: 
kubectl get pods 
kubectl describe pod <pod名称>  -n  namesapce 

查看日志:
kubectl logs <pod名称> -n namesapces 
kubectl logs <pod名称>  -n  namespaces  

进入终端 
kubectl exec <pod名称> -n  namespaces bash/sh 

删除pod 
kubectl delete pod <pod名称>

Pod 重启策略+健康检查

重启策略(restartPolicy)
* Always: 当容器终止退出后,总是重启容器,默认策略
* OnFailure: 当容器异常退出(退出状态码非0)时,才重启机器
* Never: 当容器终止退出,从不重启容器

健康检查有以下两种类型:
* livenessProbe(存活检查): 如果检查失败了,将杀死容器,根据pod的 restartPolicy 来操作
* readinessprobe(就绪检查): 如果检查失败,kubernetes会把pod 从service endpoints 剔除

支持以下三种检查方法:
httpGet: 发送HTTP请求,返回200-400范围状态码为成功
exec: 执行shell 命令返回状态码是0为成功
tcpSocket: 发起TCP Socket建立成功

环境变量

变量值得几种定义方式
* 自定义变量值
* 变量值从Pod 属性获取
* 变量值从Secret、ConfigMap 获取

kubernetes 调度

kubernetes 是基于list-watch机制控制的架构,实现组件间交互的解耦。 
其他组件监控自己负责的资源,当这些资源发生变化时,kube-apiserver 会通知这些组件,这个过程类似发布与订阅

master: apiserver  controller-manager    scheduler 
node:  kube-proxy    kubelet       docker 

创建一个pod的流程 
1. kubelet 向apiserver发送一个创建pod 的请求
2. apiserver 接收到并向etcd 写入存储,写入成功后返回一个提示
3. scheduler 向apiserver查询未分配的pod资源,通过自身调度算法选择一个合适node 进行绑定(给这个pod打一个标记,标记分配到node1)
4. kubelet 向apiserver 查询分配到自己节点的pod,调用docker api(/var/run/docker.sock) 创建容器
5. kubelet 获取docker 创建容器的状态,并汇报给apiserver,apiserver 更新状态到etcd 存储
6. kubectl get pods 就能查看到pod状态 

资源限制对调度的影响

apiVersion: v1 kind: Pod metadata:  labels:    run: resources  name: resources spec:  containers:  - image: nginx     name:  web     resources:    #最小资源        requests:          cpu: 500m          memory: 512Mi       limits:           cpu: 2000m          memory: 1000Mi#pod会根据Request 的值去查找有足够资源的Node来调度此Pod limits 是最大可用资源,一般是requests的20% 左右,不太超出太多 limits 不能小于requests reqeusts 只是一个预留机制,不是pod配置写多少,宿主机就会占多少资源k8s 根据reqeusts来统计每个节点预分配资源,来判断下一个pod 能不能分配到这个节点

nodeSelector & nodeAffinity

nodeSelector: 用于将pod调度到匹配Label的Node上,如果没有匹配的标签会调度失败。 作用: 约束pod到特定节点运行      完全匹配节点标签应用场景:   专用节点: 根据业务线将node分组管理   配置特殊硬件: 部分node 配有SSD硬盘 GPU    第一步 给节点打一个标签kubectl label node   k8s-node1   disktype=ssd 第二步 pod的yaml修改 root@k8s-master-01:~# cat resources1.yaml apiVersion: v1 kind: Pod metadata:  name: resources-sshspec:  nodeSelector:      disktype: "ssd"  containers:  - image: nginx     name:  web kubectl  apply -f resources1.yaml #然后查看是否跑到特定的节点上kubectl  get pod -o wide 

nodeAffinity

节点亲和性类似于nodeSelector,可以根据节点上的标签来约束pod可以调度哪些节点 相比nodeSelector: 匹配有更多的逻辑组合,不只是字符串的完全相等,支持的操作 符有: In、Notln、Exists、DoesNotExist、Gt、Lt  调度氛围软策略和硬策略,而不是硬性要求          硬(required): 必须满足          软(preferred): 尝试满足,但不保证# 硬性限制cat resources1.yaml apiVersion: v1kind: Podmetadata:  name: nodeaffinity-podspec:  affinity:    nodeAffinity:      requiredDuringSchedulingIgnoredDuringExecution:        nodeSelectorTerms:        - matchExpressions:          - key: type     ### key的值            operator: In            values:            - gpu         ### values的值  containers:  - name: nginx    image: nginx    imagePullPolicy: IfNotPresent    #软性限制  apiVersion: v1kind: Podmetadata:  name: nginxspec:  affinity:    nodeAffinity:      preferredDuringSchedulingIgnoredDuringExecution:      - weight: 1    # 权重值,1-100,权重越大,调度到匹配节点的概率越大        preference:          matchExpressions:          - key: disktype            operator: In            values:            - ssd            containers:  - name: nginx    image: nginx    imagePullPolicy: IfNotPresent

Taint(污点)与Tolerations(污点容忍)

Taints: 避免Pod调度到特定Node 上Tolerations: 允许pod调度到持有Taints的Node上应用场景: 专用节点: 根据业务线将Node分组管理,希望在默认情况下不调度该节点,只有配置了污点容忍才允许分配 配备特殊硬件: 部分Node 配有SSD硬盘、GPU,希望在默认情况下不调度该节点,只有配置看了污点容忍才允许配置 基于Taint的驱逐
Taint污点
格式kubectl  taint  node [node] key=value:[effect]# 例子kubectl  taint node k8s-node1 gpu=yes:NoSchedule其中[effect]可取值:NoSchedule: 一定不能被调度PreferNoSchedule: 尽量不要调度,非必须配置容忍NoExecute: 不仅不会调整,还会驱逐Node上已有的Pod# 污点容忍是可以直接放宽条件写的,例如calico 不分key 与value,符合带有污点的是NoSchedule      tolerations:        - effect: NoSchedule          opeartor: Exists 

nodeName

nodeName 指定节点名称,不经过调度器,并且给定节点上运行的kubelet 进程尝试执行该Pod,因此,如果nodeName在PodSpec中指定了,则它优先于上面的节点选择方法。 例子:apiVersion: v1kind: Podmetadata:  name: nginxspec:  containers:  - name: nginx    image: nginx  nodeName: kube-01

service 介绍

将运行在一组pod上的应用程序公开为网络服务的抽象方法。使用kubernetes,你无需修改应用程序即可使用不熟悉的服务发现机制,kubernetes 为pods提供自己的IP地址,并为一组Pod 提供相同的DNS 名,并且可以在它们之间进行负载均衡。 使用Pod IP就面临着ip 变化的情况,因为Pod 是非永久性资源,如果使用deployment 来运行你的应用程序,则它可以动态创建和销毁Pod,这样的话就会导致ip 随时变化。# server 资源kubernetes Service 是一种抽象的定义,Service 是不可变的,除非删除,这样的话可以有效的解决Pod IP变动的话问题,也可以有效的解耦这种关系。 即使有多个Pod,那么只需要连接一个可用的Service 即可解决负载问题。 

定义Service

apiVersion: v1kind: Servicemetadata:  name: my-service     #Service 的名字spec:  selector:    app: MyApp    # 指定关联Pod的标签  ports:    - protocol: TCP    #协议      port: 80    # service 端口      targetPort: 9376  # 容器端口(应用程序监听端口) type: ClusterIP    #服务类型

Service 三种常用类型

##ClusterIP ClusterIP 集群内部使用,只能在k8s 集群内## NodePort NodePort  对外暴露应用,通过每个节点上的IP和静态端口(NodePort)暴露服务。NodePort 服务会路由到自动创建的ClusterIP 服务。通过请求<节点IP>:<节点端口>,可以从集群的外部访问一个NodePort服务,端口范围30000-32767 在apiserver 里面可以修改端口范围。 NodePort 会在每台Node 上监听端口接收用户流量, ###LoadBalancer LoadBalancer 对外暴露应用,适用公有云 Pod 对外暴露: 集群之内的其他应用

Service 代理模式

ipvs
在ipvs 模式下,kube-proxy 监视kubernetes 服务和端点,调用netlink 接口相应地创建IPVS规则,并定期将IPVS规则与kubernetes 服务和端点同步,该控制循环可确保IPVS状态与所需状态匹配。访问服务时,IPVS将流量定向到后端Pod之一。IPVS 代理模式基于类似于iptables模式的netfilter 挂钩函数,但是使用哈希表作为基础数据结构,并且在内核空间中工作。这意味着,与iptables 模式下的kube-proxy 相比,IPVS 模式下的kube-proxy 重定向通信延迟要短,并且在同步代理规则时具有更好的性能。与其他代理模式相比,IPVS模式还支持更高的网络流量吞吐量。 IPVS 提供了更多选项来平衡后端Pod 的流量,这些是:rr: 轮替lc: 最少链接dn: 目标地址哈希sh: 源地址哈希sed: 最短预期延迟nq:  从不排队
iptables
  kube-proxy 会监视kubernetes控制节点对Service 对象和Endpoints 对象的添加和移除。对每个Service,它会配置iptables 规则,从而捕获到达该Service 的clusterIP 和端口的请求,进而将请求重定向到Service的一组后端中的某个Pod上面。对于Endpoints对象,它也会配置iptables 规则,这个规则会选择一个后端组合。 

DNS

coresDNS: 是一个DNS 服务器,kubernetes 默认采用,以Pod 部署在集群中,CoreDNS 服务监视kubernetes API,为每一个Service 创建DNS 记录用于域名解析ClusterIP  A 记录格式    <service-name>.<namespace-name>.svc.cluster.local 

Ingress

ingress 公开了从集群外部到集群内服务的HTTP与HTTPS路由规则集合,而具体实现流量路由是有Ingress Controller 负责。 官网文档https://kubernetes.io/zh/docs/concepts/services-networking/ingress/  需要先部署ingress-controlle 组件https://github.com/kubernetes/ingress-nginx  创建ingress-nginx 规则 cat ingress-web.yamlapiVersion: networking.k8s.io/v1kind: Ingressmetadata:  name: test-ingressspec:  rules:  - host: web.xingxing.io    http:      paths:      - path: /        pathType: Prefix        backend:          service:            name: web    # 关联service 的名称            port:              number: 80## ingress 配置https 

Ingress Controller 怎么工作的?

Ingress Controller 通过与kubernetes API 交互,动态的去感知集群中Ingress 规则变化,然后读取它,按照自定义的规则,规则就是写明了哪个域名对应哪个service,生成一段Nginx 配置,应用到管理的Nginx 服务,然后热加载生效。 以此来达到Nginx 负载均衡器配置与动态更新的问题

网络存储卷 NFS

NFS卷: 提供对NFS挂载支持,可以自动将NFS共享路径挂载到Pod 中 # 安装nfs 插件   yum  install  nfs-utils  -y   

ConfigMap

ConfigMap 是一种API 对象,用来将非机密性的数据保存到键值对中。使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 ConfigMap 将你的环境配置信息和容器镜像解耦,便于应用配置的修改

例子

apiVersion: v1kind: ConfigMapmetadata:  name: game-demodata:  # 类属性键;每一个键都映射到一个简单的值  player_initial_lives: "3"  ui_properties_file_name: "user-interface.properties"    # 类文件键  game.properties: |    enemy.types=aliens,monsters    player.maximum-lives=5      user-interface.properties: |    color.good=purple    color.bad=yellow    allow.textmode=true           #以环境变量方式使用的ConfigMap 数据不会被自动更新。更新这些数据需要重新启动Pod
apiVersion: v1kind: Podmetadata:  name: configmap-demo-podspec:  containers:    - name: demo      image: alpine      command: ["sleep", "3600"]      env:        # 定义环境变量        - name: PLAYER_INITIAL_LIVES # 请注意这里和 ConfigMap 中的键名是不一样的          valueFrom:            configMapKeyRef:              name: game-demo           # 这个值来自 ConfigMap              key: player_initial_lives # 需要取值的键        - name: UI_PROPERTIES_FILE_NAME          valueFrom:            configMapKeyRef:              name: game-demo              key: ui_properties_file_name      volumeMounts:      - name: config        mountPath: "/config"        readOnly: true  volumes:    # 你可以在 Pod 级别设置卷,然后将其挂载到 Pod 内的容器中    - name: config      configMap:        # 提供你想要挂载的 ConfigMap 的名字        name: game-demo        # 来自 ConfigMap 的一组键,将被创建为文件        items:        - key: "game.properties"          path: "game.properties"        - key: "user-interface.properties"          path: "user-interface.properties"

Secret

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和SSH秘钥。 kubernetes Secret 默认情况下存储为base64-编码的、非加密的字符串。默认情况下,能够访问API 的任何人,或者能够访问kubernetes 下层数据存储(etcd)的任何人都可以明文方式读取这些数据。为了能够安全地使用Secret,可以配合使用RBAC 规则来限制。 

kubernetes 安全框架

k8s 安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server 配置来启用插件。 1. Authentication(鉴权)2. Authorization(授权)3. Admission Control(准入控制)客户端要访问k8s集群API Server,一般需要证书、Token 或者用户名+密码;如果Pod 访问,需要ServiceAccount #k8s APIserver 提供三种客户端身份认证https 证书认证: 基于CA证书签名的数字证书认证(kubeconfig)http Token 认证: 通过一个Token 来识别用户(serviceaccount)http Base认证: 用户名+密码的方式认证(已弃用)

RBAC(Role-Based Access Control,基于角色的访问控制:负责完成授权(Authorization))工作。

RBAC根据API 请求属性,决定允许还是拒绝。 比较常见的授权维度:user: 用户group: 用户分组资源,例如pod、deployment 资源操作方法: get  list  create update  patch watch delete 命名空间API 组

准入控制(Admission Control )

Admission Control 实际上市一个准入控制器插件列表,发送到API Server 的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。 启用准入控制kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ...关闭准入控制kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ...查看插件哪些是默认启用的kube-apiserver -h | grep enable-admission-plugins 

基于角色的权限访问控制: RBAC

RBAC (Role-Based Access Control, 基于角色的访问控制)是k8s 默认授权策略,并且是动态配置策略(修改即时生效)。#主体(subject)User 用户Group 用户组SeriveAccount 服务账号#角色Role 授权特定命名空间的访问权限ClusterRole: 授权所有命名空间的访问权限# 角色绑定RoleBinding 将角色绑定到主体(subject) # 指定的命名空间中执行授权ClusterRoleBinding 将集群角色绑定到主体 #在集群范围执行授权

etcd 集群备份恢复

#单实例备份## 
备份ETCDCTL_API=3 etcdctl snapshot save  snap.db --endpoints=https://127.0.0.1:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt  --cert=/etc/kubernetes/pki/etcd/server.crt  --key=/etc/kubernetes/pki/etcd/server.key 
## 恢复#
1. 先暂停kube-apiserver和etcd容器  mv  /etc/kubernetes/manifests/  /etc/kubernetes/manifests.bak   mv /var/lib/etcd/   /var/lib/etcd.bak 

#2. 恢复 
ETCDCTL_API=3 etcdctl snapshot  restore snap.db  --data-dir=/var/lib/etcd 

#3. 启动kube-apiserver 和etcd容器 
mv /etc/kubernetes/manifests.bak  /etc/kubernetes/manifests  

####集群的备份,备份文件使用一个节点上的,--endpoints=IP地址是主机自己的IP地址#备份ETCDCTL_API=3 etcdctl snapshot save  snap.db --endpoints=https://$IP:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt  --cert=/etc/kubernetes/pki/etcd/server.crt  --key=/etc/kubernetes/pki/etcd/server.key #集群恢复 1. 先暂停kube-apiserver 和etcd  ###二进制systemctl stop kube-apiserver systemctl stop etcd  #kubeadm 与单集群一样###在每个master 节点上进行恢复先将刚在master 节点上备份的数据拷贝到其他节点上。确保恢复数据的一致性--name k8s-master-01(etcd 配置文件写的名称,每个节点都不一样)--initial-advertise-peer-urls=https://10.39.60.175:2380(在那个节点恢复写哪个节点IP)--data-dir=/var/lib/etcd # etcd 数据读取的目录,需要和配置文件一致 ETCDCTL_API=3 etcdctl snapshot  restore snap.db   --name  k8s-master-01   --initial-cluster="k8s-master-01=https://10.39.60.175:2380,k8s-master-03=https://10.39.60.157:2380,k8s-master-02=https://10.39.60.154:2380" --initial-cluster-token=etcd-cluster  --initial-advertise-peer-urls=https://10.39.60.175:2380  --data-dir=/var/lib/etcd    ### 启动kube-apiserver 和etcd容器mv /etc/kubernetes/manifests.bak  /etc/kubernetes/manifests   ##kubeadm 方式### 二进制方式systemctl  start  etcd systemctl  start kube-apiserver   
comments powered by Disqus