【K8S】K8S-网络模型、POD/RC/SVC YAML 语法官方文档

K8S-网络模型、POD/RC/SVC YAML 语法官方文档

Kubernetes - Production-Grade Container Orchestration
kubernetes/kubernetes: Production-Grade Container Scheduling and Management
Posts containing ‘yaml‘ - Stack Overflow
how to pass a configuration file thought yaml on kubernetes to create new replication controller - Stack Overflow
How to expose a Kubernetes service externally using NodePort - Stack Overflow
Yaml templates in Kubernetes - Stack Overflow
Kubernetes - Production-Grade Container Orchestration
kubernetes/examples at master · kubernetes/kubernetes
Kubernetes用户指南(二)--部署组合型的应用、连接应用到网络中 - 小黑 - 博客频道 - CSDN.NET

一、部署组合型的应用

 

1、使用配置文件启动replicas集合

 

k8s通过Replication Controller来创建和管理各个不同的重复容器集合(实际上是重复的pods)。

Replication Controller会确保pod的数量在运行的时候会一直保持在一个特殊的数字,即replicas的设置。

这个功能类似于Google GCE的实例组管理和AWS的弹性伸缩。

在快速开始中,通过kubectl run以下的YAML文件创建了一个rc运行着nginx:

apiVersion: v1
kind: ReplicationController
metadata:
  name: my-nginx
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        ports:
        - containerPort: 80

和定义一个pod的YAML文件相比,不同的只是kind的值为ReplicationController,replicas的值需要制定,pod的相关定义在template中,pod的名字不需要显式地指定,因为它们会在rc中创建并赋予名字,点击查看完整的rc定义字段列表:

replication controller API object

rc可以通过create命令像创建pod一样来创建:

$ kubectl create -f ./nginx-rc.yaml
replicationcontrollers/my-nginx

和直接创建pod不一样,rc将会替换因为任何原因而被删除或者停止运行的Pod,比如说pod依赖的节点挂了。所以我们推荐使用rc来创建和管理复杂应用,即使你的应用只要使用到一个pod,在配置文件中忽略replicas字段的设置即可。

2、查看Replication Controller的状态

可以通过get命令来查看你创建的rc:

$ kubectl get rc
CONTROLLER   CONTAINER(S)   IMAGE(S)   SELECTOR    REPLICAS
my-nginx     nginx          nginx      app=nginx   2

这个状态表示,你创建的rc将会确保你一直有两个nginx的副本。

也可以和直接创pPod一样查看创建的Pod状态信息:

$ kubectl get pods
NAME             READY     STATUS    RESTARTS   AGE
my-nginx-065jq   1/1       Running   0          51s
my-nginx-buaiq   1/1       Running   0          51s

3、删除Replication Controller

当你想停止你的应用,删除你的rc,可以使用:

$ kubectl delete rc my-nginx
replicationcontrollers/my-nginx

默认的,这将会删除所有被这个rc管理的pod,如果pod的数量很大,将会花一些时间来完成整个删除动作,如果你想使这些pod停止运行,请指定--cascade=false。

如果你在删除rc之前尝试删除pod,rc将会立即启动新的pod来替换被删除的pod,就像它承诺要做的一样。

4、Labels

k8s使用用户自定义的key-value键值对来区分和标识资源集合(就像rc、pod等资源),这种键值对称为label。

在上面的例子中,定义pod的template字段包含了一个简单定义的label,key的值为app,value的值为nginx。所有被创建的pod都会卸载这个label,可以通过-L参数来查看:

$ kubectl get rc my-nginx -L app
CONTROLLER   CONTAINER(S)   IMAGE(S)   SELECTOR    REPLICAS   APP
my-nginx     nginx          nginx      app=nginx   2          nginx

默认情况下,pod的label会复制到rc的label,同样地,k8s中的所有资源都支持携带label。

更重要的是,pod的label会被用来创建一个selector,用来匹配过滤携带这些label的pods。

你可以通过kubectl get请求这样一个字段来查看template的格式化输出:

$ kubectl get rc my-nginx -o template --template="{{.spec.selector}}"

map[app:nginx]

你也可以直接指定selector,比如你想在pod template中指明那些不想选中的label,但是你应该确保selector将会匹配这些从pod template中创建的pod的label,并且它将不会匹配其他rc创建的pod。

确保后者最简单的方法是为rc创建一个唯一的label值,然后在pod template的label和selector中都指定这个label。

二、连接应用到网络中

1、k8s中连接容器的模型

现在,你已经有了组合的、多份副本的应用,你可以将它连接到一个网络上。在讨论k8s联网的方式之前,有必要和Docker中连接网络的普通方式进行一下比较。

默认情况下,Docker使用主机私有网络,所以容器之间可以互相交互,只要它们在同一台机器上。

为了让Docker容器可以进行跨节点的交流,必须在主机的IP地址上为容器分配端口号,之后通过主机IP和端口将信息转发到容器中。

这样一来,很明显地,容器之间必须谨慎地使用和协调端口号的分配,或者动态分配端口号。

在众多开发者之间协调端口号的分配是十分困难的,会将集群级别之外的复杂问题暴露给用户来处理。

在k8s中,假设Pod之间可以互相交流,无论它们是在哪个宿主机上。

我们赋予每个Pod自己的集群私有IP,如此一来你就不需要明确地在Pod之间创建连接,或者将容器的端口映射到主机的端口中。

这意味着,Pod中的容器可以在主机上使用任意彼此的端口,而且集群中的Pods可以在不使用NAT的方式下连接到其他Pod。

本章将会详细描述如何通过这样一个网络连接模型来运行稳定的Services。

本指南使用一个简单的nginx服务来验证以上的概念,在Jenkins CI application有对相同概念的更加详细的说明。

2、在集群上将Pod连接到网络

我们之前做过这个例子,但是让我们以网络连接的角度来重新做一次。

创建一个nginx Pod,注意,这个Pod有一个容器端口的说明:

$ cat nginxrc.yaml
apiVersion: v1
kind: ReplicationController
metadata:
  name: my-nginx
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        ports:
        - containerPort: 80

这使它可以进入集群上的任意节点,检查节点上运行的Pod:

$ kubectl create -f ./nginxrc.yaml
$ kubectl get pods -l app=nginx -o wide
my-nginx-6isf4   1/1       Running   0          2h        e2e-test-beeps-minion-93ly
my-nginx-t26zt   1/1       Running   0          2h        e2e-test-beeps-minion-93ly

检查你的Pod的IPs:

$ kubectl get pods -l app=nginx -o json | grep podIP
                "podIP": "10.245.0.15",

"podIP": "10.245.0.14",

这时,你应该能够通过ssh登录任意节点然后使用curl来连接任一IP(如果节点之间没有处于同一个子网段,无法使用私有IP进行连接的话,就只能在对应节点上使用对应的IP进行连接测试)。

注意,容器并不是真的在节点上使用80端口,也没有任何的NAT规则来路由流量到Pod中。

这意味着你可以在同样的节点上使用同样的containerPort来运行多个nginx Pod,并且可以在集群上的任何Pod或者节点通过这个IP来连接它们。

和Docker一样,端口仍然可以发布到宿主机的接口上,但是因为这个网络连接模型,这个需求就变得很少了。

如果你好奇的话,可以通过这里查看我们是如何做到的:

how we achieve this

3、创建Service

现在,在集群上我们有了一个运行着niginx并且有分配IP地址空间的的Pod。

理论上,你可以直接和这些Pod进行交互,但是当节点挂掉之后会发生什么?

这些Pod会跟着节点挂掉,然后RC会在另外一个健康的节点上重新创建新的Pod来代替,而这些Pod分配的IP地址都会发生变化,对于Service类型的服务来说这是一个难题。

k8s上的Service是抽象的,其定义了一组运行在集群之上的Pod的逻辑集合,这些Pod是重复的,复制出来的,所以提供相同的功能。

当Service被创建,会被分配一个唯一的IP地址(也称为集群IP)。这个地址和Service的生命周期相关联,并且当Service是运行的时候,这个IP不会发生改变。

Pods进行配置来和这个Service进行交互,之后Service将会自动做负载均衡到Service中的Pod。

你可以通过以下的YAML文件来为你的两个nginx容器副本创建一个Service:

$ cat nginxsvc.yaml
apiVersion: v1
kind: Service
metadata:
  name: nginxsvc
  labels:
    app: nginx
spec:
  ports:
  - port: 80
    protocol: TCP
  selector:

app: nginx

这个YAML定义创建创建一个Service,带有Label为app=nginx的Pod都将会开放80端口,并将其关联到一个抽象的Service端口。

(targetPort字段是指容器内开放的端口Service通过这个端口连接Pod,port字段是指抽象Service的端口,nodePort为节点上暴露的端口号,不指定的话为随机。)

点击这里查看完整的Service字段列表:

service API object

现在查看你创建的Service:

$ kubectl get svc
NAME         CLUSTER_IP       EXTERNAL_IP       PORT(S)                SELECTOR     AGE
kubernetes   10.179.240.1     <none>            443/TCP                <none>       8d

nginxsvc     10.179.252.126   122.222.183.144   80/TCP,81/TCP,82/TCP   run=nginx2   11m

和之前提到的一样,Service是以一组Pod为基础的。

这些Pod通过endpoints字段开放出来。

Service的selector将会不断地进行Pod的Label匹配,结果将会通知一个Endpoints Object,这里创建的也叫做nginxsvc。

当Pod挂掉之后,将会自动从Endpoints中移除,当有新的Pod被Service的selector匹配到之后将会自动加入这个Endpoints。

你可以查看这个Endpoint,注意,这些IP和第一步中创建Pods的时候是一样的:

$ kubectl describe svc nginxsvc
Name:           nginxsvc
Namespace:      default
Labels:         app=nginx
Selector:       app=nginx
Type:           ClusterIP
IP:         10.0.116.146
Port:           <unnamed>   80/TCP
Endpoints:      10.245.0.14:80,10.245.0.15:80
Session Affinity:   None
No events.

$ kubectl get ep
NAME         ENDPOINTS

nginxsvc     10.245.0.14:80,10.245.0.15:80

你现在应该可以通过10.0.116.146:80这个IP从集群上的任何一个节点使用curl命令来连接到nginx的Service。

注意,Service的IP是完全虚拟的,如果你想知道它是怎么工作的,请点击:

service proxy

4、Pod发现并加入到Service中

k8s提供了两种基本的方式来发现Service:环境变量和DNS。

环境变量是立即可以使用的,DNS则需要kube-dns集群插件。

5、环境变量

当Pod运行在一个节点上,kubelet将会为每个激活的Service添加一系列的环境变量。

为你的nginx Pod检查一下环境:

$ kubectl exec my-nginx-6isf4 -- printenv | grep SERVICE
KUBERNETES_SERVICE_HOST=10.0.0.1

KUBERNETES_SERVICE_PORT=443

注意,这里没有显示和Service相关的东西,因为这个Pod是在Service之前创建的,这种做法另外一个缺点是,

Scheduler可能会将两个Pod都在同一个机器上启动,这样一来,当节点挂掉之后整个Service也会挂掉。

这里正确的做法是杀死两个Pod,等待RC重新启动新的Pod来代替。

这样一来,Service就在那些副本之前存在,并将环境变量设置到所有的Pod中。

正确的环境变量应为:

$ kubectl scale rc my-nginx --replicas=0; kubectl scale rc my-nginx --replicas=2;
$ kubectl get pods -l app=nginx -o wide
NAME             READY   STATUS     RESTARTS   AGE   NODE
my-nginx-5j8ok   1/1     Running    0         2m    node1
my-nginx-90vaf   1/1     Running   0          2m    node2

$ kubectl exec my-nginx-5j8ok -- printenv | grep SERVICE
KUBERNETES_SERVICE_PORT=443
NGINXSVC_SERVICE_HOST=10.0.116.146
KUBERNETES_SERVICE_HOST=10.0.0.1
NGINXSVC_SERVICE_PORT=80

6、DNS

k8s提供了一个DNS集群服务插件,使用skydns来自动分配DNS给其他的Service。如果你的集群上有运行的话,你可以查看它的状态:

$ kubectl get services kube-dns --namespace=kube-system
NAME       CLUSTER_IP      EXTERNAL_IP   PORT(S)         SELECTOR           AGE
kube-dns   10.179.240.10   <none>        53/UDP,53/TCP   k8s-app=kube-dns   8d

如果集群上没有运行,那么你可以启用它:enable it

本节剩下的内容是在假设你拥有一个长时间可以使用IP的Service(nginxsvc)并且DNS域名已经通过dns服务(DNS集群服务插件)分配给这个IP的前提下。

所以你可以在集群上的任一节点中使用标准的请求方法来连接Service,现在来创建另外一个Pod进行测试:

$ cat curlpod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: curlpod
spec:
  containers:
  - image: radial/busyboxplus:curl
    command:
      - sleep
      - "3600"
    imagePullPolicy: IfNotPresent
    name: curlcontainer
  restartPolicy: Always

执行查找nginx Service:

$ kubectl create -f ./curlpod.yaml
default/curlpod
$ kubectl get pods curlpod
NAME      READY     STATUS    RESTARTS   AGE
curlpod   1/1       Running   0          18s

$ kubectl exec curlpod -- nslookup nginxsvc
Server:    10.0.0.10
Address 1: 10.0.0.10
Name:      nginxsvc
Address 1: 10.0.116.146

7、使用加密连接的Service

到目前为止,我们仅仅是在集群中连接了nginx服务,在将服务开放到Internet上之前,你需要确认双方交流的通道是安全的。

你将会需要以下的东西来确保安全性:

  • HTTPS自签名证书(或者你已经有了一个证书)
  • 一个nginx服务配置好了使用这个证书
  • 一个加密措施使得证书在Pod之间交流使用

你可以通过这里

nginx https example

来获得完整的配置方式,简要地说,方式如下:

$ make keys secret KEY=/tmp/nginx.key CERT=/tmp/nginx.crt SECRET=/tmp/secret.json
$ kubectl create -f /tmp/secret.json
secrets/nginxsecret
$ kubectl get secrets
NAME                  TYPE                                  DATA
default-token-il9rc   kubernetes.io/service-account-token   1
nginxsecret           Opaque                                2

现在修改你的nginx副本来启动一个使用这个证书的HTTPS服务和Service,并且都开放80和443端口:

$ cat nginx-app.yaml
apiVersion: v1
kind: Service
metadata:
  name: nginxsvc
  labels:
    app: nginx
spec:
  type: NodePort
  ports:
  - port: 8080
    targetPort: 80
    protocol: TCP
    name: http
  - port: 443
    protocol: TCP
    name: https
  selector:
    app: nginx
---
apiVersion: v1
kind: ReplicationController
metadata:
  name: my-nginx
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: nginx
    spec:
      volumes:
      - name: secret-volume
        secret:
          secretName: nginxsecret
      containers:
      - name: nginxhttps
        image: bprashanth/nginxhttps:1.0
        ports:
        - containerPort: 443
        - containerPort: 80
        volumeMounts:
        - mountPath: /etc/nginx/ssl
          name: secret-volume

nginx-app中值得注意的点有:

  • 其包括了RC和SVC的定义在同一个文件中
  • nginx服务的HTTP通过80端口,HTTPS通过443端口
  • 每个容器都通过挂载在/etc/nginx/ssl卷中的keys来连接。这步是在nginx服务启动之前完成的

$ kubectl delete rc,svc -l app=nginx; kubectl create -f ./nginx-app.yaml
replicationcontrollers/my-nginx
services/nginxsvc
services/nginxsvc

replicationcontrollers/my-nginx

此时,你可以在任意节点上访问nginx服务

$ kubectl get pods -o json | grep -i podip
    "podIP": "10.1.0.80",
node $ curl -k https://10.1.0.80
...

<h1>Welcome to nginx!</h1>

注意在最后一步中,我们是如何使用-k这个参数的,因为我们不知道任何有关nginx服务运行的Pod的证书生成时刻,所以我们要告诉curl忽略别名不匹配。

通过创建一个Service,在Pod发现Service的时候我们将证书中使用的别名和真实地DNS域名关联起来,让我们通过一个Pod来测试(这里会重用这个证书,Pod连接Service只需要nginx.crt):

$ cat curlpod.yaml
vapiVersion: v1
kind: ReplicationController
metadata:
  name: curlrc
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: curlpod
    spec:
      volumes:
      - name: secret-volume
        secret:
          secretName: nginxsecret
      containers:
      - name: curlpod
        command:
        - sh
        - -c
        - while true; do sleep 1; done
        image: radial/busyboxplus:curl
        volumeMounts:
        - mountPath: /etc/nginx/ssl
          name: secret-volume

$ kubectl create -f ./curlpod.yaml
$ kubectl get pods
NAME             READY     STATUS    RESTARTS   AGE
curlpod          1/1       Running   0          2m
my-nginx-7006w   1/1       Running   0          24m

$ kubectl exec curlpod -- curl https://nginxsvc --cacert /etc/nginx/ssl/nginx.crt
...
<title>Welcome to nginx!</title>
...

8、开放Service

在你的应用中可能需要将其开放到一个外部的IP中。

k8s提供了两种方式:NodePorts和LoadBalancers。

在上面的最后一部分中,我们已经通过NodePorts方式创建了Service,所以如果你有公网IP,你的nginx https副本就可以在Internet上开放了。

$ kubectl get svc nginxsvc -o json | grep -i nodeport -C 5
            {
                "name": "http",
                "protocol": "TCP",
                "port": 80,
                "targetPort": 80,
                "nodePort": 32188
            },
            {
                "name": "https",
                "protocol": "TCP",
                "port": 443,
                "targetPort": 443,
                "nodePort": 30645
            }
 
$ kubectl get nodes -o json | grep ExternalIP -C 2
                    {
                        "type": "ExternalIP",
                        "address": "104.197.63.17"
                    }
--
                    },
                    {
                        "type": "ExternalIP",
                        "address": "104.154.89.170"
                    }
$ curl https://104.197.63.17:30645 -k
...
<h1>Welcome to nginx!</h1>

现在,我们将通过负载均衡器重新创建一个Service,只需要将nginx-app.yaml文件中的type字段从NodePort改为LoadBalancer即可:

$ kubectl delete rc, svc -l app=nginx
$ kubectl create -f ./nginx-app.yaml
$ kubectl get svc nginxsvc
NAME      CLUSTER_IP       EXTERNAL_IP       PORT(S)                SELECTOR     AGE
nginxsvc  10.179.252.126   162.222.184.144   80/TCP,81/TCP,82/TCP   run=nginx2   13m

$ curl https://162.22.184.144 -k
...
<title>Welcome to nginx!</title>

EXTERNAL_IP这列的IP即是可以在公网上访问的IP,CLUSTER_IP只能在自己的集群上访问到。

时间: 2024-10-25 18:41:24

【K8S】K8S-网络模型、POD/RC/SVC YAML 语法官方文档的相关文章

k8s如何管理Pod(rc、rs、deployment)

是豆荚,可以把容器想像成豆荚里的豆子,把一个或多个关系紧密的豆子包在一起就是豆荚(一个Pod).在k8s中我们不会直接操作容器,而是把容器包装成Pod再进行管理(关于Pod,大家可以参考第十期的分享"谈谈Pod在微服务中的运用").Pod是运行服务的基础,那我们如何来管理Pod呢,下面我们就来聊一聊.分为这三个部分: 使用Replication Controller 来部署.升级Pod Replica Set – 下一代Replication Controller Deployment

YAML语法基础(K8s基础)

YAML 语言的设计目标,就是方便人类读写.它实质上是一种通用的数据串行化格式.它的基本语法规则如下. • 大小写敏感 • 使用缩进表示层级关系 • 缩进时不允许使用Tab键,只允许使用空格. • 缩进的空格数目不重要,只要相同层级的元素左侧对齐即可 YAML支持的数据结构有三种. • 对象(Object):键值对的集合,又称为映射(mapping)/ 哈希(hashes) / 字典(dictionary) • 数组(Aarry):一组按次序排列的值,又称为序列(sequence) / 列表(l

k8s学习 - 概念 - Pod

k8s学习 - 概念 - Pod 这篇继续看概念,主要是 Pod 这个概念,这个概念非常重要,是 k8s 集群的最小单位. 怎么才算是理解好 pod 了呢,基本上把 pod 的所有 describe 和配置文件的配置项都能看懂就算是对 pod 比较了解了. Pod 我们通过调用一个kubectl describe pod xxx 可以查看某个 pod 的具体信息. describe 的信息我们用注释的形式来解读. Name: task-pv-pod Namespace: default // 没

k8s几种pod的控制器

replicationcontroller 选择器 模版 副本数 如果更改选择器,则会创建新的pod 如果更改pod的标签,那么也会创建新的pod进行替换,但是老的pod不会被删除 如果更改模版,比如给加入新标签,那么将在下次替换时用到新模版,这个可以用于升级pod使用 kubectl edit rc kubia 这将在你的默认编辑器中打开Replicationcontroller 的YAML配置. 使用export KUBE_EDITOR="/usr/bin/nano"设置默认编辑器

k8s自主式pod之应用策略规则

自主式pod应用 我们接触的pod大多数是控制器控制的pod,那么今天讲的是自主式pod(也就是由yaml文件来创建的pod),也就是pod自己去控制自己,防止pod被控制器杀死. 1,首先我们来创建一个nginx的pod资源对象: 在创建pod之前,我们来查看一下镜像的下载策略: [[email protected] yaml]# kubectl explain pod.spec.containers 查看imagePullpolicy的策略字段: imagePullPolicy <strin

YAML语法

一.YAML语法 YAML是“另一种标记语言”的外语缩写,但为了强调这种语言以数据做为中心,而不是以置标语言为重点,而用返璞词重新命名.它是一种直观的能够被电脑识别的数据序列化格式,是一个可读性高并且容易被人类阅读,容易和脚本语言交互,用来表达资料序列的编程语言. 在Python中使用YAML需要安装PyYAML模块.http://pyyaml.org/wiki/PyYAML 1.块序列描述 块序列就是将描述的元素序列到Python的列表(List)中. import yaml obj = ya

ansible初步使用及YAML语法介绍

一.简介 1.ansible 简介 ansible官方的title是"Ansible is Simple IT Automation"--简单的自动化IT工具.这个工具的目标有这么几项:自动化部署APP:自动化管理配置项:自动化的持续交付:自动化的(AWS)云服务管理. 所有的这几个目标本质上来说都是在一个台或者几台服务器上,执行一系列的命令而已,而如果你要管理的服务器是成千上万台的,那你用一台服务器去管理控制这大批量的服务器,势必会造成这台主控机的相当可观的资源消耗和性能的低下(即使

学习ansible playbook之前先了解下YAML语法

YAML 语法 本文来自于:http://www.ansible.com.cn/docs/YAMLSyntax.html 这个页面提供一个正确的 YAML 语法的基本概述, 它被用来描述一个 playbooks(我们的配置管理语言). 我们使用 YAML 是因为它像 XML 或 JSON 是一种利于人们读写的数据格式. 此外在大多数变成语言中有使用 YAML 的库. 你可能希望读 Playbooks 实践中如何使用的. 基本的 YAML 对于 Ansible, 每一个 YAML 文件都是从一个列

Saltstack的YAML语法三大规则

YAML语法规则一:缩进YAML使用一个固定的缩进风格表示数据层结构关系,Saltstack需要每个缩进级别由两个空格组成.一定不能使用tab键规则二:冒号YAML:mykey: my_value每个冒号后面一定要有一个空格(以冒号结尾不需要空格,表示文件路径的模版可以不需要空格)规则三:短横线想要表示列表项,使用一个短横杠加一个空格.多个项使用同样的缩进级别作为同一个列表的一部分. my_dictionary:   - list_value_one   - list_value_two   -