Kubernetes进阶实战

网友投稿 534 2022-05-29

云计算与虚拟化技术丛书

Kubernetes进阶实战

马永亮 著

Preface 前言

为什么要写这本书

作为置身于IT技术领域多年的实践者和教育者,我们一直盼望着行业迎来这样一个时刻:异构的IT基础设施环境所造成的开发和部署系统应用纷繁复杂的局面终于迎来了终结者,开发人员无须再考虑复杂多样的运行环境下软件程序的移植问题,运维人员不用再手动解决运行环境中组件间的依赖关系等,从而让各自的核心职责都回归到开发和保证系统稳定运行本身。终于,以Docker为首的容器技术为此带来了基础保障,并在容器编排技术的支撑下尘埃落定,甚至连IT管理者心心念念多年的DevOps文化运动也借此找到了易于落地的实现方案。于是,系统运行割据多年的局面终于将走向天下一统。

尽管距Kubernetes 1.0的发布不过三四年的光景,但其如今的影响力在IT技术领域完全算得上空前绝后,目前,一众大小公司都在使用或正筹划使用这一IT技术发展史上可能最为成功的开源项目。Linux软件基金会的常务董事Jim Zemlin在Google Cloud Next 17大会上曾表示,Kubernetes是“云时代的Linux”。的确,Kubernetes应该是开源世界有史以来迭代最快的项目,而且在几乎所有需要采用容器技术的场景里成为占统治地位的解决方案,其发展速度恐怕也仅有Linux内核项目可堪匹敌。2018年3月,Kubernetes成为CNCF旗下“毕业”的第一个项目,并荣获2018年 OSCON最具影响力奖项。

目前,Kubernetes保持着每年发布四个重要版本的节奏,版本的每次更新都会引入数个新特性。这种快速迭代的机制在为用户不断带来惊喜的同时,也给他们在学习和使用上造成了一些困扰:相关领域的可参考书籍仍不丰富,互联网上可以得到的众多文档并非源于同一个版本,以及厘清脉络拼凑成完整的知识框架所需的时间成本较大。因此,我在课程以及直接或间接参与生产或测试环境的交付之余便萌生了撰写一本Kubernetes入门、进阶与实战的书籍的想法,将自己学习和使用的经验总结、沉淀并分享给更多有此需求的技术同行,帮助大家快速找到入门路径,降低时间成本,并迅速投入测试和生产之用。

的确,在写作过程中,Kubernetes这种快速迭代的机制,以及每每引入的新特性,在小惊喜之余带给笔者更多的却是真真切切的梦魇般的恐惧感:在一年多的写作时间里,许多章节几易其稿,却也依然无法确保能够涵盖即将成为核心功能的特性,于是沮丧感几度如影随形,直到自我安慰着“基础的核心特性基本不会发生大的变动,只要能帮助读者弄清楚Kubernetes系统的基础架构及核心工作逻辑就算工夫没有白费”之后方才释然。于是便有了这本力图尽量多地包罗Kubernetes系统目前主流特性及实践路径的入门和进阶之书、工具之书。

本书特色

本书致力于帮助容器编排技术的初级和中级用户循序渐进地理解与使用Kubernetes系统,因此本书的编写充分考虑到初学者进入新知识领域时的茫然,采用由浅入深、提纲挈领、再由点到面的方式讲解每一个知识细节。对于每个知识点,不仅介绍了其概念和用法,还分析了为什么要有这个概念,实现的方式是什么,背后的逻辑为何,等等,使读者不仅能知其然,还能知其所以然。

本书不仅要带领读者入门,更是一本可以随时动手加以验证的实践手册,而且对于部分重要的内容还会专门一步步地给出具体的实操案例,帮助读者在实践中升华对概念的理解。本书几乎涵盖了应用Kubernetes系统的所有主流知识点,它甚至可以作为计划考取CKA认证的读者的配套参考图书。

读者对象

◆云计算工程师

◆运维工程师

◆系统开发工程师

◆程序架构师

◆计划考取CKA认证的人员

◆其他对容器编排感兴趣的人员

如何阅读本书

阅读使用本书之前,读者需要具备Docker容器技术的基础使用能力。本书逻辑上共分为五大部分,15章。

第一部分(第1~2章),介绍Kubernetes系统的基础概念及其基本应用。

第1章  介绍容器编排系统出现的背景,以及Kubernetes系统的功能、特性、核心概念、系统组件及应用模型。

第2章  讲解Kubernetes的核心对象,以及直接使用命令管理资源对象的快速入门技巧。

第二部分(第3~6章),介绍核心资源类型及其应用。

第3章  介绍资源管理模型、陈述式与声明式资源管理接口,并通过命令对比说明两种操作方式的不同之处。

第4章  介绍Pod资源的常用配置、生命周期、存储状态和就绪状态检测,以及计算资源的需求及限制等。

第5章  介绍Pod控制器资源类型,重点讲解了控制无状态应用的ReplicaSet、Deployment、DaemonSet控制器,并介绍了Job和CronJob控制器。

第6章  介绍Service和Ingress资源类型,涵盖Service类型、功用及其实现,以及Ingress控制器、Ingress资源的种类及其实现,并通过案例详细说明了Ingress资源的具体使用方式。

第三部分(第7~9章),介绍存储卷及StatefulSet控制器。

第7章  主要介绍存储卷类型及常见存储卷的使用方式、PV和PVC出现的原因及应用,以及存储类资源的应用和存储卷的动态供给。

第8章  介绍使用一等资源类型Conf?igMap和Secret为容器应用提供配置及敏感信息的方式。

第9章  主要介绍有状态应用的Pod控制器资源StatefulSet,包括基础应用、动态扩缩容及更新机制等。

第四部分(第10~11章),介绍安全相关的话题,主要涉及认证、授权、准入控制、网络模型与网络策略。

第10章  重点讲解认证方式、Service Account和TLS认证、授权插件类型及RBAC,并于章节的最后介绍LimitRanger、ResourceQuota和PodSecurityPolicy三种类型的准入控制器及相关的资源类型。

第11章  主要介绍网络插件基础及f?lannel的三种后端实现与应用、借助Canal插件实现网络策略的方式,以及Calico网络插件的基础使用。

第五部分(第12~15章),介绍Kubernetes系统的高级话题。

第12章  介绍Pod资源的调度策略及高级调度方式的应用,包括节点亲和、Pod资源亲和以及基于污点和容忍度的调度。

第13章  介绍系统资源的扩展方式,包括自定义资源类型、自定义资源对象、自定义API及控制器、Master节点的高可用、基于Kubernetes的PaaS系统等话题。

第14章  介绍资源指标、自定义指标、监控系统及HPA控制器的应用。

第15章  介绍简化应用管理的工具Helm,并基于Helm介绍如何为Kubernetes系统提供统一的日志收集与管理工具栈EFK。

有一定Kubernetes使用经验的读者可以挑选感兴趣的章节阅读。而对于初学者,建议从基础部分逐章阅读,但构建在Kubernetes系统之上的应用多数都要求读者能熟练使用相关领域的知识和技能,如果对某些内容的理解比较困难,那么可能是由于相关知识欠缺,建议读者通过其他资料补充学习相关知识后再阅读本书。编撰本书的主要意图是为初学者提供一个循序渐进的实操手册,不过,任何读者也都可以将它作为一本案头的工具书随时进行查阅。

排版约定

本书中所有的命令都附带了或长格式或短格式的命令提示符,以便读者区分文中正常使用的“#”和“$”,命令提示格式为“~]#”或“~]$”,较长的命令使用了“\”为续行符,且命令及其输出使用了有别于正文的字体。

更多内容和附带代码

本书相关的配置清单等都放置于https://github.com/ikubernetes/的相关仓库中,在实践中需要时可直接克隆至本地实验环境中使用。

勘误和支持

尽管进行授课及技术写作已十数年,但动笔著书尚属首次,考虑到排版印刷后的表述无可更改,整个写作过程战战兢兢、如履薄冰。进行每一个关键话题的表述之前都查阅了大量资料,并且反复斟酌,既期望能够将知识点清晰、准确地加以描述,也试图避免因自己的理解偏差而误导读者。尽管如此,由于笔者水平有限,加之编写时间仓促,书中难免存在不妥之处,恳请读者批评指正。如果读者有更多的宝贵意见,请通过邮箱mage@magedu.com联系我,期待能够得到你们的真挚反馈,在技术之路上互勉共进。另外,本书的勘误将会发布在笔者的博客(http://www.ilinux.io)或本书专用的GitHub主页(https://github.com/ikubernetes)上,欢迎读者朋友们关注并留言讨论。

参考资料

致谢

感谢Kubernetes社区创造性的劳动成果和辛苦付出,我们因此有了学习和使用如此优秀的开源系统的可能性,这也是本书得以编撰的基石。

感谢我的同事们在我写作期间给予的支持和理解,他们的努力让我拥有了得以放心写作的时间和精力。感谢提供了相关行业信息并促使我下定决心开始编写此书的张常安和张士杰先生,本书的写作过程中也得到了他们支援的宝贵素材。

感谢参加了我的课程(马哥教育)的学员朋友们,大家的学习热情及工作中源源不断反馈而来的信息与需求在不同程度上帮助我一直保持着对技术的追求和热忱,教学相长在此得到了充分的体现。

感谢机械工业出版社华章公司高婧雅女士对本书写作的悉心指导,以及对我本人的包容和理解。

最后要特别感谢我的家人,为写作这本书,我牺牲了很多陪伴他们的时间,也正因为他们在生活中的关怀和鼓励才使我能够踏踏实实地完成本书内容的编写。

目  录Contents

前言

第1章 Kubernetes系统基础  1

1.1 容器技术概述  1

1.1.1 容器技术的功用  2

1.1.2 容器简史  3

1.1.3 Docker的功能限制  4

1.2 Kubernetes概述  4

1.2.1 Kubernetes简史  4

1.2.2 Kubernetes特性  5

1.2.3 Kubernetes概念和术语  6

1.3 Kubernetes集群组件  10

1.3.1 Master组件  10

1.3.2 Node组件  12

1.3.3 核心附件  13

1.4 Kubernetes网络模型基础  13

1.4.1 网络模型概述  13

1.4.2 集群上的网络通信  15

1.5 本章小结  16

第2章 Kubernetes快速入门  17

2.1 Kubernetes的核心对象  17

2.1.1 Pod资源对象  18

2.1.2 Controller  19

2.1.3 Service  20

2.1.4 部署应用程序的主体过程  21

2.2 部署Kubernetes集群  22

2.2.1 kubeadm部署工具  22

2.2.2 集群运行模式  24

2.2.3 准备用于实践操作的集群环境  25

2.2.4 获取集群环境相关的信息  26

2.3 kubectl使用基础与示例  26

2.4 命令式容器应用编排  29

2.4.1 部署应用(Pod)  30

2.4.2 探查Pod及应用详情  33

2.4.3 部署Service对象  36

2.4.4 扩容和缩容  38

2.4.5 修改及删除对象  40

2.5 本章小结  41

第3章 资源管理基础  42

3.1 资源对象及API群组  42

3.1.1 Kubernetes的资源对象  43

3.1.2 资源及其在API中的组织形式  46

3.1.3 访问Kubernetes REST API  48

3.2 对象类资源格式  49

3.2.1 资源配置清单  50

3.2.2 metadata嵌套字段  51

3.2.3 spec和status字段  52

3.2.4 资源配置清单格式文档  53

3.2.5 资源对象管理方式  54

3.3 kubectl命令与资源管理  56

3.3.1 资源管理操作概述  56

3.3.2 kubectl的基本用法  57

3.4 管理名称空间资源  59

3.4.1 查看名称空间及其资源对象  60

3.4.2 管理Namespace资源  61

3.5 Pod资源的基础管理操作  61

3.5.1 陈述式对象配置管理方式  62

3.5.2 声明式对象配置管理方式  64

3.6 本章小结  65

第4章 管理Pod资源对象  66

4.1 容器与Pod资源对象  66

4.2 管理Pod对象的容器  68

4.2.1 镜像及其获取策略  69

4.2.2 暴露端口  70

4.2.3 自定义运行的容器化应用  71

4.2.4 环境变量  72

4.2.5 共享节点的网络名称空间  73

4.2.6 设置Pod对象的安全上下文  74

4.3 标签与标签选择器  75

4.3.1 标签概述  75

4.3.2 管理资源标签  77

4.3.3 标签选择器  78

4.3.4 Pod节点选择器nodeSelector  79

4.4 资源注解  80

4.4.1 查看资源注解  81

4.4.2 管理资源注解  82

4.5 Pod对象的生命周期  82

4.5.1 Pod的相位  82

4.5.2 Pod的创建过程  83

4.5.3 Pod生命周期中的重要行为  84

《 Kubernetes进阶实战》

4.5.4 容器的重启策略  87

4.5.5 Pod的终止过程  87

4.6 Pod存活性探测  88

4.6.1 设置exec探针  89

4.6.2 设置HTTP探针  90

4.6.3 设置TCP探针  92

4.6.4 存活性探测行为属性  93

4.7 Pod就绪性探测  94

4.8 资源需求及资源限制  96

4.8.1 资源需求  96

4.8.2 资源限制  98

4.8.3 容器的可见资源  99

4.8.4 Pod的服务质量类别  100

4.9 本章小结  101

第5章 Pod控制器  103

5.1 关于Pod控制器  103

5.1.1 Pod控制器概述  104

5.1.2 控制器与Pod对象  105

5.1.3 Pod模板资源  106

5.2 ReplicaSet控制器  106

5.2.1 ReplicaSet概述  107

5.2.2 创建ReplicaSet  108

5.2.3 ReplicaSet管控下的Pod对象  109

5.2.4 更新ReplicaSet控制器  111

5.2.5 删除ReplicaSet控制器资源  114

5.3 Deployment控制器  114

5.3.1 创建Deployment  115

5.3.2 更新策略  116

5.3.3 升级Deployment  119

5.3.4 金丝雀发布  121

5.3.5 回滚Deployment控制器下的应用发布  123

5.3.6 扩容和缩容  123

5.4 DaemonSet控制器  124

5.4.1 创建DaemonSet资源对象  124

5.4.2 更新DaemonSet对象  126

5.5 Job控制器  127

5.5.1 创建Job对象  128

5.5.2 并行式Job  129

5.5.3 Job扩容  130

5.5.4 删除Job  130

5.6 CronJob控制器  131

5.6.1 创建CronJob对象  131

5.6.2 CronJob的控制机制  132

5.7 ReplicationController  133

5.8 Pod中断预算  133

5.9 本章小结  134

第6章 Service和Ingress  136

6.1 Service资源及其实现模型  136

6.1.1 Service资源概述  136

6.1.2 虚拟IP和服务代理  138

6.2 Service资源的基础应用  140

6.2.1 创建Service资源  140

6.2.2 向Service对象请求服务  141

6.2.3 Service会话粘性  142

6.3 服务发现  143

6.3.1 服务发现概述  143

6.3.2 服务发现方式:环境变量  145

6.3.3 ClusterDNS和服务发现  146

6.3.4 服务发现方式:DNS  146

6.4 服务暴露  147

6.4.1 Service类型  147

6.4.2 NodePort类型的Service资源  149

6.4.3 LoadBalancer类型的Service资源  150

6.4.4 ExternalName Service  151

6.5 Headless类型的Service资源  152

6.5.1 创建Headless Service资源  153

6.5.2 Pod资源发现  153

6.6 Ingress资源  154

6.6.1 Ingress和Ingress Controller  154

6.6.2 创建Ingress资源  155

6.6.3 Ingress资源类型  157

6.6.4 部署Ingress控制器(Nginx)  159

6.7 案例:使用Ingress发布tomcat  161

6.7.1 准备名称空间  161

6.7.2 部署tomcat实例  162

6.7.3 创建Service资源  163

6.7.4 创建Ingress资源  164

6.7.5 配置TLS Ingress资源  165

6.8 本章小结  168

第7章 存储卷与数据持久化  169

7.1 存储卷概述  169

7.1.1 Kubernetes支持的存储卷类型  170

7.1.2 存储卷的使用方式  171

7.2 临时存储卷  172

7.2.1 emptyDir存储卷  172

7.2.2 gitRepo存储卷  175

7.3 节点存储卷hostPath  176

7.4 网络存储卷  178

7.4.1 NFS存储卷  178

7.4.2 RBD存储卷  180

7.4.3 GlusterFS存储卷  182

7.4.4 Cinder存储卷  183

7.5 持久存储卷  184

7.5.1 创建PV  186

7.5.2 创建PVC  188

7.5.3 在Pod中使用PVC  190

7.5.4 存储类  191

7.5.5 PV和PVC的生命周期  194

7.6 downwardAPI存储卷  196

7.6.1 环境变量式元数据注入  197

7.6.2 存储卷式元数据注入  199

7.7 本章小结  201

第8章 配置容器应用:Conf?igMap和Secret  202

8.1 容器化应用配置方式  202

8.2 通过命令行参数配置容器应用  204

8.3 利用环境变量配置容器应用  206

8.4 应用程序配置管理及Conf?igMap资源  208

8.4.1 创建Conf?igMap对象  209

8.4.2 向Pod环境变量传递Conf?igMap对象键值数据  212

8.4.3 Conf?igMap存储卷  215

8.4.4 容器应用重载新配置  219

8.4.5 使用Conf?igMap资源的注意事项  220

8.5 Secret资源  221

8.5.1 Secret概述  221

8.5.2 创建Secret资源  222

8.5.3 Secret存储卷  224

8.5.4 imagePullSecret资源对象  225

8.6 本章小结  226

第9章 StatefulSet控制器  227

9.1 StatefulSet概述  227

9.1.1 Stateful应用和Stateless应用  227

9.1.2 StatefulSet控制器概述  228

9.1.3 StatefulSet的特性  230

9.2 StatefulSet基础应用  231

9.2.1 创建StatefulSet对象  232

9.2.2 Pod资源标识符及存储卷  234

9.3 StatefulSet资源扩缩容  237

9.4 StatefulSet资源升级  238

9.4.1 滚动更新  238

9.4.2 暂存更新操作  239

9.4.3 金丝雀部署  240

9.4.4 分段更新  241

9.4.5 其他话题  241

9.5 案例:etcd集群  242

9.5.1 创建Service资源  242

9.5.2 etcd StatefulSet  243

9.6 本章小结  247

第10章  认证、授权与准入控制  248

10.1  访问控制概述  248

10.1.1  用户账户与用户组  249

10.1.2  认证、授权与准入控制基础  250

10.2  服务账户管理与应用  253

10.2.1  Service Account自动化  253

10.2.2  创建服务账户  255

10.2.3  调用imagePullSecret资源对象  256

10.3  X.509数字证书认证  256

10.3.1  Kubernetes中的SSL/TLS认证  257

10.3.2  客户端配置文件kubeconf?ig  259

10.3.3  TLS bootstrapping机制  262

10.4  基于角色的访问控制:RBAC  263

10.4.1  RBAC授权插件  264

10.4.2  Role和RoleBinding  266

10.4.3  ClusterRole和ClusterRoleBin-ding  269

10.4.4  聚合型ClusterRole  271

10.4.5  面向用户的内建ClusterRole  273

10.4.6  其他的内建ClusterRole和ClusterRoleBinding  274

10.5  Kubernetes Dashboard  275

10.5.1  部署HTTPS通信的Dashboard  275

10.5.2  配置token认证  277

10.5.3  配置kubeconf?ig认证  277

10.6  准入控制器与应用示例  279

10.6.1  LimitRange资源与LimitRanger准入控制器  279

10.6.2  ResourceQuota资源与准入控制器  281

10.6.3  PodSecurityPolicy  283

10.7  本章小结  288

第11章  网络模型与网络策略  289

11.1  Kubernetes网络模型及CNI插件  289

11.1.1  Docker容器的网络模型  289

11.1.2  Kubernetes网络模型  291

11.1.3  Pod网络的实现方式  293

11.1.4  CNI插件及其常见的实现  295

11.2  f?lannel网络插件  297

11.2.1  f?lannel的配置参数  297

11.2.2  VxLAN后端和direct routing  298

11.2.3  host-gw后端  301

11.3  网络策略  302

11.3.1  网络策略概述  302

11.3.2  部署Canal提供网络策略功能  303

11.3.3  配置网络策略  305

11.3.4  管控入站流量  306

11.3.5  管控出站流量  308

11.3.6  隔离名称空间  310

11.3.7  网络策略应用案例  311

11.4  Calico网络插件  315

11.4.1  Calico工作特性  316

11.4.2  Calico系统架构  318

11.4.3  Calico部署要点  320

11.4.4  部署Calico提供网络服务和网络策略  321

11.4.5  客户端工具calicoctl  324

11.5  本章小结  325

第12章  Pod资源调度  326

12.1  Kubernetes调度器概述  326

12.1.1  常用的预选策略  327

12.1.2  常用的优选函数  330

12.2  节点亲和调度  332

12.2.1  节点硬亲和性  332

12.2.2  节点软亲和性  335

12.3  Pod资源亲和调度  337

12.3.1  位置拓扑  338

12.3.2  Pod硬亲和调度  338

12.3.3  Pod软亲和调度  341

12.3.4  Pod反亲和调度  342

12.4  污点和容忍度  343

12.4.1  定义污点和容忍度  344

12.4.2  管理节点的污点  345

12.4.3  Pod对象的容忍度  346

12.4.4  问题节点标识  347

12.5  Pod优选级和抢占式调度  347

12.6  本章小结  348

第13章  Kubernetes系统扩展  349

13.1  自定义资源类型(CRD)  349

13.1.1  创建CRD对象  350

13.1.2  自定义资源格式验证  351

13.1.3  子资源  353

13.1.4  使用资源类别  355

13.1.5  多版本支持  355

13.1.6  自定义控制器基础  356

13.2  自定义API Server  359

13.2.1  自定义API Server概述  359

13.2.2  APIService对象  360

13.3  Kubernetes集群高可用  361

13.3.1  etcd高可用  362

13.3.2  Controller Manager和Scheduler高可用  363

13.4  Kubernetes的部署模式  364

13.4.1  关键组件  365

13.4.2  常见的部署模式  366

13.5  容器时代的DevOps概述  369

13.5.1  容器:DevOps协作的基础  369

13.5.2  泛型端到端容器应用程序生命周期工作流  370

13.5.3  基于Kubernetes的DevOps  371

13.6  本章小结  372

第14章  资源指标及HPA控制器  373

14.1  资源监控及资源指标  373

14.1.1  资源监控及Heapster  374

14.1.2  新一代监控架构  376

14.2  资源指标及其应用  378

14.2.1  部署metrics-server  378

14.2.2  kubectl top命令  380

14.3  自定义指标与Prometheus  381

14.3.1  Prometheus概述  382

14.3.2  部署Prometheus监控系统  384

14.3.3  自定义指标适配器k8s-prometheus-adapter  388

14.4  自动弹性缩放  390

14.4.1  HPA概述  390

14.4.2  HPA(v1)控制器  391

14.4.3  HPA(v2)控制器  393

14.5  本章小结  397

第15章  Helm程序包管理器  398

15.1  Helm基础  398

15.1.1  Helm的核心术语  399

15.1.2  Helm架构  400

15.1.3  安装Helm Client  400

15.1.4  安装Tiller server  401

15.1.5  Helm快速入门  402

15.2  Helm Charts  405

15.2.1  Charts文件组织结构  405

15.2.2  Chart.yaml文件组织格式  406

15.2.3  Charts中的依赖关系  407

15.2.4  模板和值  408

15.2.5  其他需要说明的话题  409

15.2.6  自定义Charts  410

15.3  Helm实践:部署EFK日志管理系统  415

15.3.1  ElasticSearch集群  416

15.3.2  日志采集代理f?luentd  421

15.3.3  可视化组件Kibana  422

15.4  本章小结  424

附录A 部署Kubernetes集群  425

附录B 部署GlusterFS及Heketi  437

马永亮

2018年10月

网络 Kubernetes

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:AI Earth地球科学云平台简介
下一篇:【VPC-最佳实践】网络规划
相关文章