摘要:不過目前主流的做法包括半自動部署方案都是讓主節點通過在容器中運行等東西。
轉載自筆者的博客
kubernetes 容器平臺分析Docker 容器算是目前最火的云計算產品了,因為它解決了很多運維和開發上的痛點問題,比如抹平了開發和生產的環境區別,甚至可以做到在生產環境使用 RHEL,而開發使用 Ubuntu,也能平滑部署,但是想要真正的將其投放到生產環境中,實際上還有很多問題亟待解決。而 kubernetes 就是這樣一個 Best Practise
生產環境容器化的需求脫離了業務環境的架構都是耍流氓,想要將容器真正落地,就需要真正分析其需求,這里就整理了一下容器化平臺的需求
存儲
網絡
容器編排和服務發現
負載均衡
日志收集
認證授權
資源配額
分布式服務
可以看到,真正想要部署一個容器平臺實際上需要解決的問題是十分繁多的,Docker 只是解決了最根本的容器分發和運行,但是 kubernetes 卻解決了上面的大部分問題,這里就一一講述一下。
存儲容器都是無狀態的,很容易就被殺死,然后重新啟動,因此存儲是重中之重,Docker 自身提供了名為數據卷的存儲方案,但是實際上沒什么用,因為它支持的最好的就是本地存儲,掛在本地路徑,這樣的強依賴是不可能做到生產環境的分布式服務的,除非每一臺容器節點都持有一份同樣的文件存儲,但是這樣會大大的消耗存儲空間,而且 Docker 在文件權限管理等方面也有很多問題。kubernetes 提出的方案是通過持久化存儲鏈,實際上就是做了個抽象層插件,各方可以開發自己的插件用于支持各類存儲工具,目前已經支持 ceph、glusterfs 等主流的分布式文件系統了,但是這些分布式文件系統在部署上都很麻煩,甚至有性能的損失,因此使用 nas 作為存儲是最便捷性能最好的。
網絡網絡也是容器平臺的重點問題,因為不可能依靠一個容器提供所有的服務,比如一個容器提供了數據庫和 web 服務,而且這樣也不利于解耦,因此容器之間需要通過網絡通信,用過 Docker 自身網絡的都知道,Docker 實際上是通過網橋來實現容器之間網絡通信的,默認設置是無法做到跨節點網絡,但是可以通過設置 flannel 產生一個 SDN,然后 Docker 使用此網絡作為容器的網絡,這樣便能做到跨界點通信,kubernetes 則定義了一套 CNI 標準,只要符合這套標準就能讓 kubernetes 使用 SDN,而目前來說已經有很多軟件定義網絡實現了這套協議,比如 flannel、weave,不過目前而言最好用的還是 flannel。
容器編排和服務發現容器之間存在依賴必然需要編排功能,這也是 kubernetes 重點解決的問題,在容器編排上,kubernetes 有 pod、controller 概念,pod 可以認為是抽象的容器,它有可變的 ip,并且容易被殺死重啟。controller 則是控制 pod 運作的控制器,replication controller、deployment、statefulsets、daemon sets,各有各的用法,比如 deployment 能夠做到水平伸縮。在服務發現上面,kubernetes 有 pod、service 概念,看到這里相信大家都會有疑問,pod ip 可變總不能每次都要手動改程序或者配置才能訪問吧,實際上 kubernetes 提供的 service 就是用來解決這個問題的,service 是一套虛擬的 ip,service 通過 selector 選擇器挑選出自己身后的 pod,這樣就能做到提供穩固的 ip 接口,其他容器無需關心數據庫的 ip,只需要關心數據庫這個 service 就可以。service 本身的 ip 則不是通過 SDN 產生的,而是通過 iptables 導流,將其導入到實際的 pod 中,但是這樣子依舊存在一個問題,就是 service 的 ip 同樣需要提前知道,這時候就需要服務發現出馬了,kubernetes 自身提供了一套簡單好用的 DNS 發現機制,kube-dns 將 service 注冊到 dns 中,通過 dns 就能解析得到 service 對應的 ip。
負載均衡負載均衡實際上就是需要一個前端負載均衡器,將流量統一導入到不同的容器中,kubernetes 的方案是通過 ingress 定義規則,然后根據規則產生模板配置,就比如 nginx 作為負載均衡器,產生配置后 reload 就能生效,但是目前官方提供的 ingress controller 容器鏡像存在著一個問題,當 ingress 定義一個 TCP/UDP 四層負載均衡轉發的時候,nginx 容器則必須修改容器部署,因為需要綁定主機端口。因此目前最好的方案還是通過云服務器提供商的負載均衡器,比如 GCE、AWS 提供的負載均衡器。
日志收集日志收集實際上不光是收集容器通過標準輸出標準錯誤產生的日志,還需要收集容器運行時信息,比如內存、cpu 占用等信息,這里不細講了,因為無論是 Docker 還是 kubernetes 都提供了收集方案,不過 kubernetes 更加靈活好用,并且收集的信息更全面,連容器節點的信息都能收集
認證授權kuberentes 有幾大組件 apiserver、controller manager、scheduler、proxy、kubelet,所有的組件都通過 apiserver 通信和管理,因此需要通過認證和授權來防止非法操作,在這上面 kubernetes 提供了很多方案,比如 basic auth、bearar token、keystone 等,但是真正能投入生產環境使用的,只有 OpenID Connector,不知道這種認證授權的可以自行谷歌,更糟的是,官方甚至沒有提供部署方案,需要自行研發 OpenID Connector 服務器并且部署下去。CoreOS 倒是開源了一套 dex 系統,但是這玩意實際上也不靠譜,照樣需要研發力量的支持,從這上面就決定了 kubernetes 高門檻的準入標準。
資源配額kubernetes 資源配額方案非常豐富,無論是存儲配額還是內存甚至是 cpu 限額,都可以通過 yaml 文件定義
分布式服務分布式服務是大規模運行容器平臺的關鍵,因為容器平臺必然是部署在多節點上的,而 kubernetes 天生就是為分布式部署開發的,apiserver、controller manager、scheduler 實際上就是主節點,而 proxy 和 kubelet 則是每個 slave 節點都需要的。不過目前主流的做法包括 kubeadm 半自動部署方案都是讓主節點通過 kubelet 在容器中運行 apiserver 等東西。
總結想要在生產環境大規模應用容器化技術,看似開源了產品,但是 kubernetes 本質上是一個半成品,甚至連自動化部署方案都不成熟,并且需要研發力量的支持才能真正運行起來,以筆者個人的意見來說,kubernetes 實際上并非是一個面向企業終端用戶的產品,而是一個面向云計算廠商的半成品,它真正的用法應當是云計算公司提供自動化節點部署方案,云計算平臺提供 SDN 、負載均衡和分布式存儲,甚至可能的話,讓云計算廠商提供一套管理控制 web 界面,并且做好認證授權系統,kube-dashboard 這個官方提供的 web ui 界面實際上功能是全了,但是認證授權功能的缺失則導致普通用戶很難部署使用,或者說 kube-dashboard 本來就不是為了普通用戶部署而開發的,而是為了提供給廠商做二次開發準備。kube-dashboard 則是負責定義 web 管理界面應該有哪些功能。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/26882.html
摘要:這個用戶或者組用于后面的角色綁定使用生成的證書就會生成下面的文件校驗證書生成文件已經生成了,我們可以直接利用這個文件,省的自己再去配置集群參數設置客戶端認證參數設置上下文參數設置莫認上下文以上執行一個步驟就可以看一下的變化。 kubernetes RBAC實戰 環境準備 先用kubeadm安裝好kubernetes集群,kubernetes1.8.2安裝包 | kubernete...
摘要:不過目前主流的做法包括半自動部署方案都是讓主節點通過在容器中運行等東西。 轉載自筆者的博客 kubernetes 容器平臺分析 Docker 容器算是目前最火的云計算產品了,因為它解決了很多運維和開發上的痛點問題,比如抹平了開發和生產的環境區別,甚至可以做到在生產環境使用 RHEL,而開發使用 Ubuntu,也能平滑部署,但是想要真正的將其投放到生產環境中,實際上還有很多問題亟待解決。...
摘要:本篇文章將會結合網易云信的實踐經驗,以全局概述的方式帶大家認識點播私有化平臺構建的整體架構面貌?;跇嫿c播私有云平臺在具有以上優勢的同時,還具備資源彈性管理監控完善部署簡易自動化維護等特性?;跇嫿ㄆ脚_,能夠自由管理創建云主機。 私有云是為一個客戶單獨使用而構建的,因而提供對數據、安全性和服務質量的最有效控制。前置條件是客戶擁有基礎設施,并可以使用基礎設施在其上部署應用程序。其核心屬...
閱讀 1135·2023-04-26 03:02
閱讀 1176·2023-04-25 19:18
閱讀 2591·2021-11-23 09:51
閱讀 2573·2021-11-11 16:55
閱讀 2623·2021-10-21 09:39
閱讀 1704·2021-10-09 09:59
閱讀 1999·2021-09-26 09:55
閱讀 3527·2021-09-26 09:55