Kubernetes 架构:全面指南 – wiki词典

作者: /

Kubernetes 架构:全面指南

Kubernetes (K8s) 作为业界领先的容器编排平台,已经成为云原生时代应用部署和管理的事实标准。它提供了一个强大、灵活且可扩展的平台,用于自动化容器化应用程序的部署、扩缩和管理。理解其架构是有效利用 Kubernetes 的关键。

Kubernetes 集群主要由两大核心部分组成:控制平面 (Control Plane)工作节点 (Worker Node)。它们协同工作,共同维护集群的期望状态并运行用户的工作负载。

1. 控制平面 (Control Plane)

控制平面是 Kubernetes 集群的“大脑”,负责维护整个集群的期望状态,做出全局决策,并响应集群事件。在生产环境中,为了实现容错和高可用性,控制平面通常会分布在多台机器上。

控制平面包含以下关键组件:

  • kube-apiserver: API 服务器是 Kubernetes 控制平面的前端。它暴露了 Kubernetes API,处理来自客户端(如 kubectl)、命令行工具和集群内部控制器的所有 RESTful 请求。API Server 执行请求的验证、授权,并将集群状态的变更持久化到 etcd 中。它是集群内所有组件通信的中心枢纽。
  • etcd: etcd 是一个一致且高可用的键值存储系统,作为 Kubernetes 所有集群数据的后端存储。它存储了集群的配置数据、状态信息以及元数据。只有 API Server 才直接与 etcd 交互,其他组件通过 API Server 间接访问 etcd 中的数据。
  • kube-scheduler: 调度器负责监测新创建的、尚未绑定到任何节点的 Pod。它根据资源需求(如 CPU、内存)、节点亲和性/反亲和性、污点和容忍度、数据卷需求以及其他策略,为这些 Pod 选择一个最合适的节点来运行。
  • kube-controller-manager: 控制器管理器运行着各种控制器进程。控制器是监控集群的共享状态,并尝试将当前状态向期望状态演进的控制循环。例如:
    • Node Controller: 负责感知节点是否宕机。
    • Replication Controller: 负责维护每个 ReplicationController 对象所期望的 Pod 副本数量。
    • Endpoints Controller: 负责填充 Service 和 Pod 之间的关联。
    • Service Account & Token Controllers: 负责为新的命名空间创建默认的 Service Account 和 API 访问令牌。
  • cloud-controller-manager (可选): 这个组件仅在 Kubernetes 运行在云平台(如 AWS、GCP、Azure)上时才需要。它负责与底层云提供商的 API 进行集成,管理云平台特定的资源,例如:
    • Node Controller: 检查云提供商以确定节点在云中是否已被删除。
    • Route Controller: 为云提供商的路由基础架构配置路由。
    • Service Controller: 创建、更新和删除云提供商负载均衡器。

2. 工作节点 (Worker Node)

工作节点是 Kubernetes 集群中实际运行容器化应用程序的机器。每个节点都提供了运行容器所需的计算(CPU)、内存、存储和网络资源。

工作节点包含以下关键组件:

  • kubelet: kubelet 是运行在每个工作节点上的代理。它接收来自 API Server 的 Pod 定义(PodSpec),并确保这些 Pod 中的容器处于运行状态且健康。kubelet 会监控 Pod 的生命周期,包括创建、修改、删除容器,以及处理容器的健康检查(Liveness 和 Readiness 探针)。它还会向控制平面报告节点的状态和资源使用情况。
  • kube-proxy: kube-proxy 运行在每个工作节点上,负责为 Kubernetes Service 提供网络代理和负载均衡功能。它通过维护节点上的网络规则(例如使用 iptables 或 IPVS)来转发对 Service 的请求到后端正确的 Pod,从而实现了集群内部的服务发现和负载均衡。
  • 容器运行时 (Container Runtime): 容器运行时是负责运行容器的软件。Kubernetes 支持多种容器运行时,例如 Docker、containerd 和 CRI-O。它负责从容器镜像仓库拉取镜像、解压镜像、创建和运行容器,以及管理容器的整个生命周期。

3. Kubernetes 网络模型

Kubernetes 采用了独特的网络模型,其核心设计理念是:每个 Pod 都拥有一个唯一且独立的 IP 地址,并且集群内的所有 Pod 都可以直接通过 IP 地址进行通信,无需进行网络地址转换 (NAT)。这极大地简化了应用程序的网络配置。

Kubernetes 网络主要关注以下几种通信方式:

  • 容器到容器网络: 同一个 Pod 内的容器共享相同的网络命名空间、IP 地址和端口空间,它们可以通过 localhost 或共享存储进行通信。
  • Pod 到 Pod 网络: 无论 Pod 运行在哪个节点上,集群中的所有 Pod 之间都可以直接通过 IP 地址相互通信。这个功能通常由容器网络接口 (CNI) 插件(如 Calico, Flannel, Cilium 等)来实现,CNI 负责为 Pod 分配 IP 地址、创建网络命名空间和配置网络路由。
  • Pod 到 Service 网络: Service 为一组具有相同功能的 Pod 提供了一个稳定的、抽象的网络端点。通过 Service,应用程序可以访问后端 Pod,而无需关心 Pod 的具体 IP 地址或 Pod 的扩缩。
  • 外部到 Service 网络: 外部流量可以通过多种方式访问集群内部的 Service,例如:
    • NodePort: 在每个节点上打开一个静态端口,外部流量可以通过 NodeIP:NodePort 访问 Service。
    • LoadBalancer: 在云环境中,Service 可以请求云提供商创建一个外部负载均衡器,将流量路由到 Service。
    • Ingress: Ingress 提供了 HTTP 和 HTTPS 路由,可以根据请求的主机名或路径将外部流量路由到集群内的多个 Service,通常由 Ingress Controller 实现。

4. Kubernetes 存储

Kubernetes 提供了强大的存储抽象层,以解决容器化应用程序数据持久化的问题。它将存储资源与计算资源解耦,使得应用程序能够独立地管理和访问数据。

主要存储概念包括:

  • Volume (卷): Volume 是 Pod 中容器之间共享数据的一种机制,也可以用于 Pod 内部数据的持久化。Volume 的生命周期与 Pod 相同,当 Pod 被删除时,Volume 中的数据通常也会随之删除(除非是某些持久化卷类型)。
  • PersistentVolume (PV): PV 是集群中由管理员预先配置的存储资源,它独立于 Pod 的生命周期。PV 捕获了存储的实施细节,例如存储的类型(NFS、iSCSI、云存储等)、容量和访问模式。
  • PersistentVolumeClaim (PVC): PVC 是用户对存储资源的请求。用户通过 PVC 指定所需的存储大小和访问模式(例如 ReadWriteOnce、ReadOnlyMany),而无需了解底层存储的具体实现细节。Kubernetes 会将 PVC 绑定到符合条件的 PV。
  • StorageClass: StorageClass 提供了一种动态存储分配的机制。当用户创建 PVC 时,如果集群中没有符合条件的 PV,并且存在匹配的 StorageClass,StorageClass 就可以按需自动创建新的 PV。这极大地简化了存储管理,实现了存储的按需供给。

5. Kubernetes 安全

Kubernetes 的安全性是一个多层面的问题,旨在保护 Kubernetes 平台及其所编排的容器化应用程序。

关键安全机制包括:

  • 控制平面保护: 保护对 Kubernetes API 的访问至关重要。使用 TLS (Transport Layer Security) 加密控制平面内部及其与客户端之间的所有通信,确保数据传输的机密性和完整性。
  • Pod 安全标准 (Pod Security Standards): 定义了一系列安全策略,用于限制 Pod 的能力和行为,以确保 Pod 及其容器得到适当的隔离和权限控制。
  • 网络策略 (NetworkPolicy): 允许用户定义 Pod 之间以及 Pod 与集群外部网络之间的网络流量规则。通过网络策略,可以实现网络分段和最小权限的网络访问。
  • 准入控制 (Admission Control): 准入控制器是在请求到达 API Server 并持久化到 etcd 之前拦截请求的插件。它们可以在请求中的特定字段验证或修改请求,从而强制执行安全策略、资源限制等。
  • 身份认证与鉴权 (Authentication & Authorization):
    • 身份认证: 验证请求方的身份,可以是用户账户或 Service Account。
    • 鉴权: 在身份认证通过后,确定请求方是否有权限执行其请求的操作。Kubernetes 通常使用 RBAC (Role-Based Access Control) 进行鉴权,通过定义角色和角色绑定来授予用户或 Service Account 访问集群资源的权限。
  • 配置管理: 安全的配置实践对于避免潜在的安全漏洞至关重要。应避免在配置中硬编码敏感信息,并利用 Kubernetes Secrets 来管理敏感数据。

总结

Kubernetes 的架构设计精妙,通过控制平面和工作节点的协同工作,以及强大的网络、存储和安全模型,为构建、部署和管理现代容器化应用程序提供了坚实的基础。理解这些核心组件及其相互作用,将有助于开发者和运维人员更好地驾驭这个强大的平台,从而构建更健壮、可伸缩和高可用的云原生应用。

滚动至顶部