前 言

k3s作为轻量级的Kubernetes发行版,运行容器是基本功能。VM的管理原本是IaaS平台的基本能力,随着Kubernetes的不断发展,VM也可以纳入其管理体系。结合Container和VM的各自优势,又发展出轻量级VM的理念,兼具容器的轻量特性,又有VM的隔离安全性,这其中kata-container是时下比较受关注的开源项目。那么轻量级的k3s和轻量级VM碰撞,又有怎样的效果,结合两者进行实践,谨以此文进行说明。

请注意,本文部署时使用的主要软件版本是:

k8s v1.17.2+k3s.1,kata-containers v1.9.3。

环境准备

kata-containers既可以在纯Docker上运行,也可以运行在Kubernetes中,但本文只关注Kubernetes场景。kubelet本身可以支持多种满足CRI接口的runtime,包括CRI-O和CRI-Containerd,Kubernetes的RuntimeClaas可以配置Pod使用那种运行时,创建容器时对应的runtime调用runc创建容器,创建VM时调用kata-runtime创建VM。kata-runtime支持多种形式的轻量VM,kata-qemu是默认支持选项,另外也可以使用firecracker(另一种MicroVM)。整体调用关系如下图所示:

无论哪种VM,KVM的支持是需要的,现在主流的MicroVM技术都是基于KVM,所以我们的环境需要准备支持KVM的Host。你可以用Bare Metal,也可以用支持KVM的PC server,还可以用嵌套虚拟化方式。Host开启KVM支持后,可以用以下命令检查:

  1. # 检测虚拟化情况(需要>0)
  2. grep -cw vmx /proc/cpuinfo

安装k3s和kata-containers

k3s的安装部署非常简单,直接参考官方文档即可:

https://rancher.com/docs/k3s/latest/en/installation/

笔者使用GCP的Host,并开启嵌套虚拟化,所以采用在线脚本安装方式:

  1. curl -sfL https://get.k3s.io | sh -
  3. # 备份 containerd原始配置,后面会用到
  4. cd /var/lib/rancher/k3s/agent/etc/containerd/
  5. cp config.toml config.toml.base

kata-containers部署有些需要注意的地方,kata-deploy(https://github.com/kata-containers/packaging/tree/master/kata-deploy)是官方维护的部署脚本,可以帮助部署kata-containers。但是,kata-deploy的k3s支持有些问题,尽管已经有PR提交声明支持了k3s,笔者整理了这一部署过程遇到的问题,仅作参考。

首先设置RBAC,先安装文档中默认的RBAC yaml,再做一些修改:

  1. kubectl apply -f https://raw.githubusercontent.com/kata-containers/packaging/master/kata-deploy/kata-rbac/base/kata-rbac.yaml
  3. # 编辑 clusterrole node-labeler,添加新的api授权
  4. # 新增coordination.k8s.io的leases授权
  5. kubectl edit clusterrole node-labeler
  6. ...
  7. ...
  8. rules:
  9. - apiGroups:
  10.   - ""
  11.   resources:
  12.   - nodes
  13.   verbs:
  14.   - get
  15.   - patch
  16. - apiGroups:
  17.   - coordination.k8s.io
  18.   resources:
  19.   - leases
  20.   verbs:
  21.   - get
  22.   - list

部署kata,依然是先安装文档中默认的yaml:

  1. kubectl apply -k github.com/kata-containers/packaging/kata-deploy/kata-deploy/overlays/k3s

查看kata-deploy Pod的运行情况,基本上你肯定会看到出错信息:

  1. crictl ps -a | grep kube-kata
  2. crictl logs <kube-kata-container-id>
  3. ...
  4. ...
  5. Failed to restart containerd.service: Unit containerd.service not found.

这时候发现containerd虽然配置完成,但是重启失败。k3s目前的containerd是内置在k3s管理的,并不是通过systemd,而kata-deploy无法识别,这需要我们手动来完成这个过程:


  2. # 创建/var/lib/rancher/k3s/agent/etc/containerd/config.toml.tmpl
  4. # 使用之前保留的原始配置
  5. cat config.toml.base > config.toml.tmpl
  7. # 在config.toml.tmpl末尾追加
  8. # 你可以筛选加入你使用的runtimes,也可以全部添加
  9. [plugins.cri.containerd.runtimes.kata]
  10.   runtime_type = "io.containerd.kata.v2"
  11. [plugins.cri.containerd.runtimes.kata.options]
  12.   ConfigPath = "/opt/kata/share/defaults/kata-containers/configuration.toml"
  14. [plugins.cri.containerd.runtimes.kata-fc]
  15.   runtime_type = "io.containerd.kata-fc.v2"
  16. [plugins.cri.containerd.runtimes.kata-fc.options]
  17.   ConfigPath = "/opt/kata/share/defaults/kata-containers/configuration-fc.toml"
  19. [plugins.cri.containerd.runtimes.kata-qemu]
  20.   runtime_type = "io.containerd.kata-qemu.v2"
  21. [plugins.cri.containerd.runtimes.kata-qemu.options]
  22.   ConfigPath = "/opt/kata/share/defaults/kata-containers/configuration-qemu.toml"
  24. [plugins.cri.containerd.runtimes.kata-qemu-virtiofs]
  25.   runtime_type = "io.containerd.kata-qemu-virtiofs.v2"
  26. [plugins.cri.containerd.runtimes.kata-qemu-virtiofs.options]
  27.   ConfigPath = "/opt/kata/share/defaults/kata-containers/configuration-qemu-virtiofs.toml"
  29. [plugins.cri.containerd.runtimes.kata-nemu]
  30.   runtime_type = "io.containerd.kata-nemu.v2"
  31. [plugins.cri.containerd.runtimes.kata-nemu.options]
  32.   ConfigPath = "/opt/kata/share/defaults/kata-containers/configuration-nemu.toml"

由于kata-deploy每次启动都会重写k3s containerd配置,为了避免干扰,在一切就绪后,我们可以删除kata-deploy,并重启k3s:


  2. # 由于kata-deploy stop时会清理安装的kata相关程序,所以删除kata-deploy前,我们先去掉这个机制
  3. # 编辑kata-deploy,删除lifecycle preStop
  5. lifecycle:
  6.   preStop:
  7.     exec:
  8.       command:
  9.       - bash
  10.       - -c
  11.       - /opt/kata-artifacts/scripts/kata-deploy.sh cleanup
  13. kubectl delete -k github.com/kata-containers/packaging/kata-deploy/kata-deploy/overlays/k3s
  15. systemctl restart k3s.service

运行demo

添加RuntimeClass,目前经过笔者测试,k3s只支持kata-qemu,所以我们只安装kata-qemu-runtimeClass:

  1. kubectl apply -f https://raw.githubusercontent.com/kata-containers/packaging/master/kata-deploy/k8s-1.14/kata-qemu-runtimeClass.yaml

添加workload

  1. kubectl apply -f https://raw.githubusercontent.com/kata-containers/packaging/master/kata-deploy/examples/test-deploy-kata-qemu.yaml
  3. kubectl get deploy php-apache-kata-qemu
  4. NAME                   READY   UP-TO-DATE   AVAILABLE   AGE
  5. php-apache-kata-qemu   1/1     1            1           1m

确认kata-qemu正常创建VM:

  1. ps aux| grep qemu
  2. root      3589  0.9  0.9 2490176 151368 ?      Sl   06:49   0:15 /opt/kata/bin/qemu-system-x86_64
  4. # 进入VM
  5. crictl ps | grep php-apache
  6. crictl exec -it <php-apache-container-id> bash
  7. # uname -r
  8. 4.19.75
  9. # exit
  11. # 查看Host kernel
  12. uname -r
  13. 5.0.0-1029-gcp

我们可以看到通过k3s创建的每个kata容器都具有独立的内核,没有共享主机内核。

后 记

随着k3s的进一步发展,越来越多的软件不仅仅支持完整的Kubernetes,也会支持在k3s中安装部署。k3s除了会在devops领域和边缘计算领域外不断发展外,作为软件运行载体也在不断被各个开源产品接受,k3s辅助其他软件给用户提供轻量级的交付体验,开箱即用的使用感受。

手把手实操教程!使用k3s运行轻量级VM的更多相关文章

  1. 实操教程丨如何在K8S集群中部署Traefik Ingress Controller

    注:本文使用的Traefik为1.x的版本 在生产环境中,我们常常需要控制来自互联网的外部进入集群中,而这恰巧是Ingress的职责. Ingress的主要目的是将HTTP和HTTPS从集群外部暴露给 ...

  2. 超详细实操教程!在现有K8S集群上安装JenkinsX,极速提升CI/CD体验!

    在2018年年初,Jenkins X首次发布,它由Apache Groovy语言的创建者Jame Strachan创建.Jenkins X 是一个高度集成化的 CI/CD 平台,基于 Jenkins ...

  3. 入门级实操教程!从概念到部署,全方位了解K8S Ingress!

    Kubernetes Ingress用于添加规则,以将流量从外部路由到Kubernetes集群的服务中.在本文中你将了解ingress 的概念,以及用于路由外部流量到Kubernetes deploy ...

  4. 实操教程丨使用Pod安全策略强化K8S安全

    本文来自Rancher Labs 什么是Pod安全策略? Kubernetes Pod安全策略(PSP)是Kubernetes安全版块中极为重要的组件.Pod安全策略是集群级别的资源,用于控制Pod安 ...

  5. 织梦默认编辑器换成kindEditor实操教程

    织梦默认编辑是CKeditor,要想换成kindEditor编辑器,按如下步骤操作. 先看效果图: 首先下载打包好的 kindEditor_for_dedeCMS.ZIP,下载地址:https://d ...

  6. 虚拟机安装Ubuntu 16.04系统实操教程 详尽步骤 vmware ESXi亲测通过

    1 Ubuntu 16.04系统安装要求 Ubuntu 16.04 LTS下载最新版本的Ubuntu,适用于台式机和笔记本电脑. LTS代表长期支持,这意味着有五年免费安全和维护更新的保证. Ubun ...

  7. 百度NLP预训练模型ERNIE2.0最强实操课程来袭!【附教程】

    2019年3月,百度正式发布NLP模型ERNIE,其在中文任务中全面超越BERT一度引发业界广泛关注和探讨.经过短短几个月时间,百度ERNIE再升级,发布持续学习的语义理解框架ERNIE 2.0,及基 ...

  8. 【强烈推荐,超详细,实操零失误】node.js安装 + npm安装教程 + Vue开发环境搭建

    node.js安装 + npm安装教程 + Vue开发环境搭建 [强烈推荐,超详细,实操零失误] 原博客园地址:https://www.cnblogs.com/goldlong/p/8027997.h ...

  9. Docker安装MySql完整教程、实操

    docker:官网 docker:镜像官网:        镜像官网可以所有应用,选择安装环境:会给出安装命令,例如:docker pull redis 默认拉取最新的版本(指定版本:docker p ...

随机推荐

  1. $ CometOJ-Contest\#11\ D$ $Kruscal$重构树

    正解:$Kruscal$重构树 解题报告: 传送门$QwQ$ 发现一个图上搞就很麻烦,考虑变为生成树达到原有效果. 因为在询问的时候是要求走到的点编号尽量小,发现这个时候点的编号就成为限制了,于是不难 ...

  2. $Noip2010/Luogu1525$ 关押罪犯 贪心

    $Luogu$ $Sol$ 贪心.尽量把怨气值大的罪犯放到两个监狱,所以首先要按照怨气值从大到小排序.当扫描到两个罪犯已经被指定到同一个监狱时,就结束循环,这个怨气值就是答案.当然把怨气值大的两个罪犯 ...

  3. .net 异步编程总结

    异步的方式,就是,先发起IO.CPU密集工作等,然后函数返回,在IO.CPU密集工作等完成了以后——某个不确定的时刻,再执行后续的代码.   所以,如果使用异步代码,必须注意代码的执行顺序. 所以,异 ...

  4. Git 连接github

    大概如下: 详细如下:如果使用本文命令,请仔细选择,因为添加一些相关命令以供参考. 1 本地仓库 1.1 创建git 仓库 git init # 初始化本地仓库 git --version # 查看G ...

  5. 「BZOJ1722」「Usaco2006 Mar」Milk Team Select产奶比赛 解题报告

    Milk Team Select 产奶比赛 Description Farmer John's N (\(1 \le N \le 500\)) cows are trying to select th ...

  6. 「USACO 1.3」 Name That Number 解题报告

    \(注意 该篇题解为本人较早时期写的题解 所以会很傻 直接能用map 以string为下标偏偏要绕弯儿 有时间改一改QAQ\) [USACO1.2]Name That Number 题目描述 在威斯康 ...

  7. Scala:用于Java的轻量级函数式编程

    Scala为Java开发提供了轻量级的代码选项,但是学习过程可能会很艰难.了解有关Scala的知识以及是否值得采用. 基于Java的语言通常涉及冗长的语法和特定于领域的语言,用于测试,解析和数值计算过 ...

  8. 12款好用的Visual Studio插件,最后一款良心推荐

    目录 01 CodeMaid 02 Markdown Editor 03 ReSharper 04 GitHub Extension for Visual Studio 05 ZenCoding 06 ...

  9. 2019HDU多校第四场题解

    1001.AND Minimum Spanning Tree 传送门:HDU6614 题意:给你一个又n个点的完全图,点编号从1~n,每条边的权值为被连接的两点编号按位与后的值.现在要你找到最小生成树 ...

  10. Frogger POJ - 2253(求两个石头之间”所有通路中最长边中“的最小边)

    题意 ​ 题目主要说的是,有两只青蛙,在两个石头上,他们之间也有一些石头,一只青蛙要想到达另一只青蛙所在地方,必须跳在石头上.题目中给出了两只青蛙的初始位置,以及剩余石头的位置,问一只青蛙到达另一只青 ...