[[281345]]

背景

PaaS

PaaS 技術，一句話概括就是：它提供了“應用托管”的能力。

早期的主流做法基本上是租 AWS 或者 OpenStack 的虛擬機，然后把這些虛擬機當作物理機一樣，用腳本或者手工的方式在上面部署應用。這個過程中如何保證本地環境和云端環境的一致性是一個很大的課題，而提供云計算服務的公司的核心競爭力就是比拼誰做的更好。從某種意義上來說 PaaS 的出現，算是一個比較好的解決方案。

以 Cloud Foundry 為例，在虛擬機上部署上 Cloud Foundry 項目后，用戶可以很方便地把自己的應用上云。以上帝視角來看這個過程：Cloud Foundry 最核心的是提供了一套應用的打包和分發機制，它為不同的編程語言定義了不同的打包格式，它能把可執行文件、啟動參數等等一起打包成壓縮包然后上傳至 Cloud Foundry 存儲中心，最后由調度器選擇虛擬機，由虛擬機上的 Agent 下載并啟動應用。

分布式系統

隨著軟件的規模越來越大，業務模式越來越復雜，用戶量的上升、地區的分布、系統性能的苛刻要求都促成服務架構從最初的單體變成 SOA 再到如今的微服務，未來還可能演變為 Service Mesh ，Serverless 等等。

如今，一個完整的后端系統不再是單體應用架構了，多年前的 DDD 概念重新回到大家的視線中。現在的系統被不同的職責和功能拆成多個服務，服務之間復雜的關系以及單機的單點性能瓶頸讓部署和運維變得很復雜，所以部署和運維大型分布式系統的需求急迫待解決。

容器技術

前面提到諸如 Cloud Foundry 的 PaaS，用戶必須為不同語言、不同框架區分不同的打包方式，這個打包過程是非常具有災難性的。而現實往往更糟糕，當在本地跑的好好的應用，由于和遠端環境的不一致，在打包后卻需要在云端各種調試，最終才能讓應用“平穩”運行。

而 Docker 的出現改變了一切，它憑借鏡像解決了這個問題。Docker 一不做二不休，干脆把完整的操作系統目錄也打包進去，如此高的集成度，保證了云端和本地環境的高度一致，并且隨時隨地輕易地移植。

誰也不知道就因為“鏡像”這個簡單的功能，Docker 完成了對 PaaS 的降維打擊，占有了市場。此時，一些聰明的技術公司紛紛跟進 Docker，推出了自家的容器集群管理項目，并且稱之為 CaaS。

容器技術利用 Namespace 實現隔離，利用 Cgroups 實現限制;在 Docker 實現上，通過鏡像，為容器提供完整的系統執行環境，并且通過 UnionFS 實現 Layer 的設計。

Docker 容器是完全使用沙箱機制，相互之間不會有任何接口。通過 Docker，實現進程、網絡、掛載點和文件隔離，更好地利用宿主機資源。Docker 強大到不需要關心宿主機的依賴，所有的一切都可以在鏡像構建時完成，這也是 Docker 目前成為容器技術標準的原因。所以我們能看到在 Kubernetes 中默認使用 Docker 作為容器(也支持 rkt)。

Kubernetes

鋪墊了這么多，終于說到本文的主角了。說 Kubernetes 之前，不得不提 Compose、Swarm、Machine 三劍客，其實在 Kubernetes 還未一統江湖之前，它們已經能實現大部分容器編排的能力了。但是在真正的大型系統上，它們卻遠遠不如 Mesosphere 公司出品的大型集群管理系統，更別說之后的 Kubernetes 了。

在容器化和微服務時代，服務越來越多，容器個數也越來越多。Docker 如它 Logo 所示一樣，一只只鯨魚在大海里自由地游蕩，而 Kubernetes 就像一個掌舵的船長，帶著它們，有序的管理它們，這個過程其實就是容器編排。

Kubernetes 起源于 Google，很多設計都是源自于 Borg，是一個開源的，用于管理云平臺中多個主機上的容器化的應用，Kubernetes 的目標是讓部署容器化的應用簡單并且高效，并且提供了應用部署，規劃，更新，維護的一種機制。

小結

至此，讀者了解了 Kubernetes 的前世今生，由 PaaS 的火熱，引爆了容器技術的戰爭，而贏得這場戰爭中最關鍵的即是擁有強大的容器編排的能力，而 Kubernetes 無疑是這場戰爭的勝利者。

設計理念

這一部分，我們會圍繞 Kubernetes 的四個設計理念看看這些做法能給我們帶來什么。

聲明式 VS 命令式

聲明式和命令式是截然不同的兩種編程方式，在命令式 API 中，我們可以直接發出服務器要執行的命令，例如： “運行容器”、“停止容器”等;在聲明式 API 中，我們聲明系統要執行的操作，系統將不斷向該狀態驅動。

我們常用的 SQL 就是一種聲明式語言，告訴數據庫想要的結果集，數據庫會幫我們設計獲取這個結果集的執行路徑，并返回結果集。眾所周知，使用 SQL 語言獲取數據，要比自行編寫處理過程去獲取數據容易的多。

apiVersion: extensions/v1beta1 
kind: Deployment 
metadata: 
 name: etcd-operator 
spec: 
 replicas: 1 
 template: 
 metadata: 
 labels: 
 name: etcd-operator 
 spec: 
 containers: 
 - name: etcd-operator 
 image: quay.io/coreos/etcd-operator:v0.2.1 
 env: 
 - name: MY_POD_NAMESPACE 
 valueFrom: 
 fieldRef: 
 fieldPath: metadata.namespace 
 - name: MY_POD_NAME 
 valueFrom: 
 fieldRef: 
 fieldPath: metadata.name 

我們來看看相同設計的 YAML，利用它，我們可以告訴 Kubernetes 最終想要的是什么，然后 Kubernetes 會完成目標。

聲明式 API 使系統更加健壯，在分布式系統中，任何組件都可能隨時出現故障。當組件恢復時，需要弄清楚要做什么，使用命令式 API 時，處理起來就很棘手。但是使用聲明式 API ，組件只需查看 API 服務器的當前狀態，即可確定它需要執行的操作。

顯式的 API

Kubernetes 是透明的，它沒有隱藏的內部 API。換句話說 Kubernetes 系統內部用來交互的 API 和我們用來與 Kubernetes 交互的 API 相同。

這樣做的好處是，當 Kubernetes 默認的組件無法滿足我們的需求時，我們可以利用已有的 API 實現我們自定義的特性。

無侵入性

感謝 Docker 容器技術的流行，使得 Kubernetes 為大家提供了無縫的使用方式。在容器化的時代，我們的應用達到鏡像后，不需要改動就可以遨游在 Kubernetes 集群中。

Kubernetes 還提供存儲 Secret、Configuration 等包含但不局限于密碼、證書、容器鏡像信息、應用啟動參數能力。如此，Kubernetes 以一種友好的方式將這些東西注入 Pod，減少了大家的工作量，而無需重寫或者很大幅度改變原有的應用代碼。

有狀態的移植

在有狀態的存儲場景下，Kubernetes 如何做到對于服務和存儲的分離呢?假設一個大型分布式系統使用了多家云廠商的存儲方案，如何做到開發者無感于底層的存儲技術體系，并且做到方便的移植?

為了實現這一目標，Kubernetes 引入了 PersistentVolumeClaim(PVC)和 PersistentVolume(PV)API 對象。這些對象將存儲實現與存儲使用分離。

PersistentVolumeClaim 對象用作用戶以與實現無關的方式請求存儲的方法，通過它來抹除對底層 PersistentVolume 的差異性。這樣就使 Kubernetes 擁有了跨集群的移植能力。

架構

首先要提及的是 Kubernetes 使用很具代表性的 C/S 架構方式，Client 可以使用 kubectl 命令行或者 RESTful 接口與 Kubernetes 集群進行交互。下面這張圖是從宏觀上看 Kubernetes 的整體架構，每一個 Kubernetes 集群都由 Master 節點 和 很多的 Node 節點組成。

Master

Master 是 Kubernetes 集群的管理節點，負責管理集群，提供集群的資源數據訪問入口。擁有 Etcd 存儲服務，運行 API Server 進程，Controller Manager 服務進程及 Scheduler 服務進程，關聯工作節點 Node。

Kubernetes API Server 提供 HTTP Rest 接口的關鍵服務進程，是 Kubernetes 里所有資源的增、刪、改、查等操作的唯一入口。也是集群控制的入口進程; Kubernetes Controller Manager 是 Kubernetes 所有資源對象的自動化控制中心，它驅使集群向著我們所需要的最終目的狀態; Kubernetes Schedule 是負責 Pod 調度的進程。

Node

Node 是 Kubernetes 集群架構中運行 Pod 的服務節點。Node 是 Kubernetes 集群操作的單元，用來承載被分配 Pod 的運行，是 Pod 運行的宿主機。關聯 Master 管理節點，擁有名稱和 IP、系統資源信息。運行 Docker Runtime、kubelet 和 kube-proxy。

kubelet 負責對 Pod 對于的容器的創建、啟停等任務，發送宿主機當前狀態; kube-proxy 實現 Kubernetes Service 的通信與負載均衡機制的重要組件; Docker Runtime 負責本機容器的創建和管理工作。

實現原理

為了盡可能地讓讀者能明白 Kubernetes 是如何運作的，這里不會涉及到具體的細節實現，如有讀者感興趣可以自行參閱官網文檔。這里以一個簡單的應用部署示例來闡述一些概念和原理。

創建 Kubernetes 集群

介紹架構的時候我們知道，Kubernetes 集群由 Master 和 Node 組成。

Master 管理集群的所有行為例如：應用調度、改變應用的狀態，擴縮容，更新/降級應用等。

Node 可以是是一個虛擬機或者物理機，它是應用的“邏輯主機”，每一個 Node 擁有一個 Kubelet，Kubelet 負責管理 Node 節點與 Master 節點的交互，同時 Node 還需要有容器操作的能力，比如 Docker 或者 rkt。理論上來說，一個 Kubernetes 為了應對生產環境的流量，最少部署3個 Node 節點。

當我們需要在 Kubernetes 上部署應用時，我們告訴 Master 節點，Master 會調度容器跑在合適的 Node 節點上。

我們可以使用 Minikube 在本地搭一個單 Node 的 Kubernetes 集群。

部署應用

當創建好一個 Kubernetes 集群后，就可以把容器化的應用跑在上面了。我們需要創建一個 Deployment，它會告訴 Kubernetes Master 如何去創建應用，也可以來更新應用。

當應用實例創建后，Deployment 會不斷地觀察這些實例，如果 Node 上的 Pod 掛了，Deployment 會自動創建新的實例并且替換它。相比傳統腳本運維的方式，這種方式更加優雅。

我們能通過 kubectl 命令或者 YAML 文件來創建 Deployment，在創建的時候需要指定應用鏡像和要跑的實例個數，之后 Kubernetes 會自動幫我們處理。

查看 Pods 和 Nodes

下面來介紹下 Pod 和 Node：

當我們創建好 Deployment 的時候，Kubernetes 會自動創建 Pod 來承載應用實例。Pod 是一個抽象的概念，像一個“邏輯主機”，它代表一組應用容器的集合，這些應用容器共享資源，包括存儲，網絡和相同的內部集群 IP。

任何一個 Pod 都需要跑在一個 Node 節點上。Node 是一個“虛擬機器”，它可以是虛擬機也可以是物理機，一個 Node 可以有多個 Pods，Kubernetes 會自動調度 Pod 到合適的 Node 上。

Service 與 LabelSelector

Pods 終有一死，也就是說 Pods 也有自己的生命周期，當一個 Pod 掛了的時候，ReplicaSet 會創建新的，并且調度到合適的 Node 節點上。考慮下訪問的問題，Pod 替換伴隨著 IP 的變化，對于訪問者來說，變化的 IP 是合理的;并且當有多個 Pod 節點時，如何 SLB 訪問也是個問題，Service 就是為了解決這些問題的。

Service 是一個抽象的概念，它定義了一組邏輯 Pods，并且提供訪問它們的策略。和其他對象一樣，Service 也能通過 kubectl 或者 YAML 創建。Service 定義的 Pod 可以寫在 LabelSelector 選項中(下文會介紹)，也存在不指定 Pods 的情況，這種比較復雜，感興趣的讀者可以自行查閱資料。

Service 有以下幾種類型：

• ClusterIP(默認)：在集群中內部IP上暴露服務，此類型使Service只能從群集中訪問;
• NodePort：通過每個 Node 上的 IP 和靜態端口(NodePort)暴露服務。NodePort 服務會路由到 ClusterIP 服務，這個 ClusterIP 服務會自動創建。通過請求 :，可以從集群的外部訪問一個 NodePort 服務;
• LoadBalancer：使用云提供商的負載均衡器，可以向外部暴露服務。外部的負載均衡器可以路由到 NodePort 服務和 ClusterIP 服務;
• ExternalName：通過返回 CNAME 和它的值，(適用于外部 DNS 的場景)

Labels 和 Selectors 能夠讓 Kubernetes 擁有邏輯運算的能力，有點像 SQL。舉個例子：可以查找 app=hello_word 的所有對象，也可以查找 app in (a,b,c) abc的所有對象。

Labels是一個綁定在對象上的 K/V 結構，它可以在創建或者之后的時候的定義，在任何時候都可以改變。

擴容應用

前文提到我們可以使用 Deployment 增加實例個數，下圖是原始的集群狀態：

我們可以隨意的更改 replicas (實例個數)來擴容，當我們更改了 Deployment 中的 replicas 值時，Kubernetes 會自動幫我們達到想要的目標實例個數，如下圖

更新應用

更新應用和擴容類似，我們可以更改 Deployment 中的容器鏡像，然后 Kubernetes 會幫住我們應用更新(藍綠、金絲雀等方式)，通過此功能，我們還可以實現切換應用環境、回滾、不停機 CI/CD。下面是部署的過程，需要注意的是我們可以指定新創建的 Pod 最大個數和不可用 Pod 最大個數：

總結

到了最后，大家對 Kubernetes 有個大概的了解了，但 Kubernetes 遠遠不止本文所介紹的這些內容。在云原生概念逐漸清晰的今天，Kubernetes 作為 CNCF 中一個接地氣的落地項目，其重要性不言而喻。