Kubernetes是设计用来实施私有容器云的,然而容器作为公有云,同样需要一个管理平台,在Swarm,Mesos,Kubernetes中,基于Kubernetes已经逐渐成为容器编排的最热最主流的平台,网易基于Kubernetes实现了自己的容器公有云,在这个过程中,需要对Kubernetes进行一定的改进与优化。
架构如下:
网易开发了自己的一个容器服务平台,将OpenStack的IaaS层和Kubernetes容器层深度融合起来,从而实现一个完整的公有云体系。从图中可以看出,容器服务平台会调度OpenStack的计算服务Nova来创建KVM虚拟机,然后调用Cinder进行云盘的创建于挂载,调用Neturon进行网络的创建与连接,然后调用Kubernetes进行容器创建,还可以调用NLB挂载负载均衡器。
一、OpenStack架构很复杂
在容器平台之前,网易的IaaS层采用的是OpenStack架构。大家都说OpenStack太复杂了,如下图是OpenStack的一个架构图。
OpenStack主要包括以下的模块:
- 安全认证模块keystone
- 计算虚拟化模块Nova
- 存储虚拟化模块Cinder
- 网络虚拟化模块Neutron
- 镜像管理模块Glance
- 对象存储模块Swift
其中每一个模块都包含很多的子模块,大部分包括api模块,调度模块,以及具体干活的模块。
二、OpenStack创建虚拟机的流程很复杂
OpenStack创建一个虚拟机的流程非常复杂,这里简单概括一下其中的要点。
第一:AAA,也即我们常说的Authentication,Authorization,Account。
所谓的Authentication认证,就是验证我是不是我,Authorization鉴权就是审核,虽然我是我,但是我都没有这个权利做这个事情。
Authentication一般有两种方式,一个是对称加密的方式,也即用一个Token,客户端和服务端都用这个Token进行加密和解密,一个是非对称加密的方式,也即使用PKI,使用certificate的方式。
AWS也是有这两种方式。
另外Authorization,则常用的是Role based access control。
有用户,角色,租户的概念。
例如AWS里面有
第二: nova-api接受请求
在这里可以干两件事情,rate limit,调用我不能太频繁,quota,控制每个租户最多能够创建多少资源。
第三:nova-scheduler进行调度
调度分两个过程,一个是Filtering,先将不符合要求的主机过滤掉,一个是weighting,剩下的根据主机的使用情况进行打分排名,选择一台机器。
第四:nova-compute真正干活的人接收到请求,调用libvirt创建虚拟机
第五:libvirt是真正的创建虚拟机的工具,先要下载虚拟机镜像
第六:libvirt开始定义KVM的启动参数
第七:libvirt开始给KVM创建网络设备
第八:libvirt启动KVM,这里一般会用到Cgroup对KVM的资源使用进行控制
第九:调用Cinder为虚拟机创建存储,后端一般用Ceph
想了解Kubernetes的人是不是看到这里已经烦了,不是讲kubernetes么?怎么讲了这么多OpenStack?
那就再来看张图,这个是aws创建虚拟机的知识图谱,是不是很多类似的概念?
很多学技术的发现技术发展实在太快,从虚拟化,到OpenStack,到Docker,到Kubernetes等,怎么学的过来,其实深入了解会发现,基础的技术非常像,包括接下来解析的Kubernetes。
三、Kubernetes的架构相对简单
很多人喜欢Docker,以及Docker平台,就在于Docker非常简单,没有OpenStack这么复杂的概念,很容易就能启动一个nginx的demo。
而作为容器管理平台,Kubernetes的架构也是比较简单的。
客户请求进来的时候,先进入api层,相当于nova-api,首先先要进行认证和鉴权(Authentication和Authorization),相当于keystone做的事情。
然后创建的对象会保存在etcd里面,如果是OpenStack则在数据库里面。
接着进行Scheduler,将对象调度到一台机器,相当于nova-scheduler要干的事情。
然后每台机器上的kubelet是真正干活的,发现自己被调度到了,需要在自己的机器上创建容器,相当于nova-compute。
kubelet创建容器的时候,先要下载容器镜像,nova-compute也要下载虚拟机的镜像。
nova-compute要调用docker的接口创建容器,相当于nova-compute调用的libvirt创建KVM,docker真正的隔离使用的是cgroup,KVM也要用cgroup,docker还用到了namespace,KVM的网络配置也会用到namespace。
docker创建好了,需要给docker配置网络,配置存储,libvirt也干了这些事情。
四、kubernetes创建pod和service的过程
- 客户端调用api接口创建pod。
- api-server将pod创建一个对象,保存在etcd里面。
- scheduler不断通过api-server查看哪些pod需要调度,然后进行调度,将调度结果返回给api-server
- api-server将scheduler的调度结果写入etcd中。
- kubelet不断查看有没有能够调度到自己机器上的pod,有的话调用docker的接口创建容器。
- 客户端调用api接口创建服务。
- api-server创建service对象写入etcd。
- controller不断扫描service对应的pod。
- controller调用api-server创建对应的访问端点endpoint。
- api-server将endpoint对象写入etcd。
- proxy不断发现有没有可以放在自己上面的转发规则,如果有则创建socket监听端口,并且创建相应的iptables规则。
五、kubernetes没有什么?
Kubernetes看起来比OpenStack简单很多,其实缺少了很多的功能。
- 没有完善租户管理模块,租户隔离性不好,是否需要一个类似keystone的服务?
- 是不是需要镜像的管理,难道不需要一个类似glance的服务?
- 镜像存储在哪里,是否需要一个对象存储的服务,类似swift?
- kubernetes本身不管网络,需要通过插件进行,网络和SDN谁来管理?
- kubernetes本身不管存储,需要通过插件进行,大部分的存储方案还是通过Ceph搞定。
然而,如果要做一个公有云,至少要搞定上面的部分,如果把这些都加上去,相当于基于kubernetes重造一个OpenStack了,为什么要重复造轮子呢?所以我们选择OpenStack和kubernetes深入融合的解决方案。
今天飞机晚点了,本来一天一篇的,应该昨天写完的只好凌晨完成。
接下来会解析OpenStack和kubernetes融合的方案。
其实作为公有云还有更多的问题:
- 网络二次虚拟化的问题
- 公网和浮动IP的问题
- 一个Kubernetes集群还是多个Kubernetes集群?
- Kubernetes集群如果做到很大规模?
- 等等等等
也会在接下来这个系列的文章中详细阐述