K8S-pod详解

目录：

namespace六大类型

Pod基础概念

　　Pod两种使用方式

　　通常把Pod分为两类

　　Pod容器的分类

　　　　init的容器作用

镜像拉取策略（image PullPOlicy）

部署harbor创建私有项目

总结

 

namespace 六大类型

• Mount（mnt）: 隔离文件系统挂载点，该namespace有自己的挂载信息，即拥有独立的目录层次

总结：提供磁盘挂载点和文件系统的隔离能力

• UTS: 隔离主机名和域名信息，该namepsace有自己的主机信息，包括主机名(hostname)、NIS domain name

总结：提供主机名或域名隔离能力

• IPC: 隔离进程间通信，该namespace有自己的IPC，比如共享[内存]内存)、信号量等

总结：提供进程间通信隔离能力

• PID: 隔离进程的 ID，该namespace有自己的进程号，使得namespace中的进程PID单独编号，比如可以PID=1

总结：提供进程隔离能力

• Network（Net）: 隔离网络资源，该namespace有自己的网络资源，包括网络协议栈、网络设备、路由表、防火墙、端口等

总结：提供网络隔离能力

• User: 隔离用户和用户组的 ID，该namespace有自己的用户权限管理机制(比如独立的UID/GID)，使得namespace更安全总结：总结：提供用户隔离能力

 

运行排错

kubectl describe pods mys-ervice

kubectl logs myapp-pod -c init-myservice

Pod基础概念：

Pod是kubernetes中最小的资源管理组件，Pod也是最小化运行容器化应用的资源对象。一个Pod代表着集群中运行的一个进程。kubernetes中其他大多数组件都是围绕着Pod来进行支撑和扩展Pod功能的，例如，用于管理Pod运行的StatefulSet和Deployment等控制器对象，用于暴露Pod应用的Service和Ingress对象，为Pod提供存储的PersistentVolume存储资源对象等。

 

在Kubrenetes集群中

Pod两种使用方式：

●一个Pod中运行一个容器。“每个Pod中一个容器”的模式是最常见的用法；在这种使用方式中，你可以把Pod想象成是单个容器的封装，kuberentes管理的是Pod而不是直接管理容器。

容器为什么只放1个应用？因为容器挂了里面多个应用也挂了

 

●在一个Pod中同时运行多个容器。一个Pod中也可以同时封装几个需要紧密耦合互相协作的容器，它们之间共享资源。这些在同一个Pod中的容器可以互相协作成为一个service单位，比如一个容器共享文件，另一个“sidecar”容器来更新这些文件。Pod将这些容器的存储资源作为一个实体来管理。

 

 

一个Pod下的容器必须运行于同一节点上。现代容器技术建议一个容器只运行一个进程，该进程在容器中PID命令空间中的进程号为1，可直接接收并处理信号，进程终止时容器生命周期也就结束了。若想在容器内运行多个进程，需要有一个类似Linux操作系统init进程的管控类进程，以树状结构完成多进程的生命周期管理。运行于各自容器内的进程无法直接完成网络通信，这是由于容器间的隔离机制导致，k8s中的Pod资源抽象正是解决此类问题，Pod对象是一组容器的集合，这些容器共享Network、UTS及IPC命令空间，因此具有相同的域名、主机名和网络接口，并可通过IPC直接通信。

 

Pod资源中针对各容器提供网络命令空间等共享机制的是底层基础容器pause，基础容器（也可称为父容器）pause就是为了管理Pod容器间的共享操作，这个父容器需要能够准确地知道如何去创建共享运行环境的容器，还能管理这些容器的生命周期。为了实现这个父容器的构想，kubernetes中，用pause容器来作为一个Pod中所有容器的父容器。这个pause容器有两个核心的功能，一是它提供整个Pod的Linux命名空间的基础。二来启用PID命名空间，它在每个Pod中都作为PID为1进程（init进程），并回收僵尸进程。

 

pause容器使得Pod中的所有容器可以共享两种资源：网络和存储。

●网络：

 

每个Pod都会被分配一个唯一的IP地址。Pod中的所有容器共享网络空间，包括IP地址和端口。Pod内部的容器可以使用localhost互相通信。Pod中的容器与外界通信时，必须分配共享网络资源（例如使用宿主机的端口映射）。

 

●存储：

Pod可以指定多个共享的Volume。Pod中的所有容器都可以访问共享的Volume。Volume也可以用来持久化Pod中的存储资源，以防容器重启后文件丢失。

 

总结：

每个Pod都有一个特殊的被称为“基础容器”的Pause容器。Pause容器对应的镜像属于Kubernetes平台的一部分，除了Pause容器，每个Pod还包含一个或者多个紧密相关的用户应用容器。

 

kubernetes中的pause容器主要为每个容器提供以下功能：

●在pod中担任Linux命名空间（如网络命令空间）共享的基础；

●启用PID命名空间，开启init进程。

 

Kubernetes设计这样的Pod概念和特殊组成结构有什么用意？？？？？

●原因一：在一组容器作为一个单元的情况下，难以对整体的容器简单地进行判断及有效地进行行动。比如，一个容器死亡了，此时是算整体挂了么？那么引入与业务无关的Pause容器作为Pod的基础容器，以它的状态代表着整个容器组的状态，这样就可以解决该问题。

 

●原因二：Pod里的多个应用容器共享Pause容器的IP，共享Pause容器挂载的Volume，这样简化了应用容器之间的通信问题，也解决了容器之间的文件共享问题。

 

 

通常把Pod分为两类：

●自主式Pod

这种Pod本身是不能自我修复的，当Pod被创建后（不论是由你直接创建还是被其他Controller），都会被Kuberentes调度到集群的Node上。直到Pod的进程终止、被删掉、因为缺少资源而被驱逐、或者Node故障之前这个Pod都会一直保持在那个Node上。Pod不会自愈。如果Pod运行的Node故障，或者是调度器本身故障，这个Pod就会被删除。同样的，如果Pod所在Node缺少资源或者Pod处于维护状态，Pod也会被驱逐。

放在node节点上

 

●控制器管理的Pod

Kubernetes使用更高级的称为Controller的抽象层，来管理Pod实例。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和集群级别的自愈能力。例如，如果一个Node故障，Controller就能自动将该节点上的Pod调度到其他健康的Node上。虽然可以直接使用Pod，但是在Kubernetes中通常是使用Controller来管理Pod的。

Pod容器的分类：

1、基础容器（infrastructure container）

//维护整个 Pod 网络和存储空间

//node 节点中操作

//启动一个Pod时，k8s会自动启动一个基础容器

cat /opt/kubernetes/cfg/kubelet

......

--pod-infra-container-image=registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0"

 

//每次创建 Pod 时候就会创建，运行的每一个Pod都有一个 pause-amd64 的基础容器自动会运行，对于用户是透明的

docker ps -a

registry.cn-hangzhou.aliyuncs.com/google-containers/pause-amd64:3.0 "/pause"

 

2、初始化容器（initcontainers）

Init容器必须在应用程序容器启动之前运行完成，而应用程序容器是并行运行的，所以Init容器能够提供了一种简单的阻塞或延迟应用容器的启动的方法。

Init 容器与普通的容器非常像，除了以下两点：

●Init 容器总是运行到成功完成为止

 

●每个 Init 容器都必须在下一个 Init 容器启动之前成功完成启动和退出

如果 Pod 的 Init 容器失败，k8s 会不断地重启该 Pod，直到 Init 容器成功为止。然而，如果 Pod 对应的重启策略（restartPolicy）为 Never，它不会重新启动。

 

Init 的容器作用

因为init容器具有与应用容器分离的单独镜像，其启动相关代码具有如下优势：

●Init 容器可以包含一些安装过程中应用容器中不存在的实用工具或个性化代码。例如，没有必要仅为了在安装过程中使用类似 sed、 awk、 python 或 dig 这样的工具而去FROM 一个镜像来生成一个新的镜像。

 

●Init 容器可以安全地运行这些工具，避免这些工具导致应用镜像的安全性降低。

 

●应用镜像的创建者和部署者可以各自独立工作，而没有必要联合构建一个单独的应用镜像。

 

●Init 容器能以不同于Pod内应用容器的文件系统视图运行。因此，Init容器可具有访问 Secrets 的权限，而应用容器不能够访问。

 

●由于 Init 容器必须在应用容器启动之前运行完成，因此 Init 容器提供了一种机制来阻塞或延迟应用容器的启动，

直到满足了一组先决条件。一旦前置条件满足，Pod内的所有的应用容器会并行启动。

 

3、应用容器（Maincontainer）

//并行启动

 

官网示例：

https://kubernetes.io/zh-cn/docs/concepts/workloads/pods/init-containers/

 1 apiVersion: v1
 2 kind: Pod
 3 metadata:
 4   name: myapp-pod
 5   labels:
 6     app: myapp
 7 spec:
 8   containers:
 9   - name: myapp-container
10     image: busybox:1.28
11     command: ['sh', '-c', 'echo The app is running! && sleep 3600']
12   initContainers:
13   - name: init-myservice
14     image: busybox:1.28
15     command: ['sh', '-c', 'until nslookup myservice; do echo waiting for myservice; sleep 2; done;']
16   - name: init-mydb
17     image: busybox:1.28
18     command: ['sh', '-c', 'until nslookup mydb; do echo waiting for mydb; sleep 2; done;']

这个例子是定义了一个具有 2 个 Init 容器的简单 Pod。 第一个等待 myservice 启动， 第二个等待 mydb 启动。 一旦这两个 Init容器都启动完成，Pod 将启动 spec 中的应用容器。

 1 kubectl describe pod myapp-pod
 2
 3 kubectl logs myapp-pod -c init-myservice
 4
 5 vim myservice.yaml
 6 apiVersion: v1
 7 kind: Service
 8 metadata:
 9   name: myservice
10 spec:
11   ports:
12   - protocol: TCP
13     port: 80
14     targetPort: 9376
15
16 kubectl create -f myservice.yaml
17
18 kubectl get svc
19
20 kubectl get pods -n kube-system
21
22 kubectl get pods
23
24 vim mydb.yaml
25 apiVersion: v1
26 kind: Service
27 metadata:
28   name: mydb
29 spec:
30   ports:
31   - protocol: TCP
32     port: 80
33     targetPort: 9377
34
35 kubectl create -f mydb.yaml
36
37 kubectl get pods

特别说明：

●在Pod启动过程中，Init容器会按顺序在网络和数据卷初始化之后启动。每个容器必须在下一个容器启动之前成功退出。

●如果由于运行时或失败退出，将导致容器启动失败，它会根据Pod的restartPolicy指定的策略进行重试。然而，如果Pod的restartPolicy设置为Always，Init容器失败时会使用RestartPolicy策略。

●在所有的Init容器没有成功之前，Pod将不会变成Ready状态。Init容器的端口将不会在Service中进行聚集。正在初始化中的Pod处于Pending状态，但应该会将Initializing状态设置为true。

●如果Pod重启，所有Init容器必须重新执行。

●对Init容器spec的修改被限制在容器image字段，修改其他字段都不会生效。更改Init容器的image字段，等价于重启该Pod。

●Init容器具有应用容器的所有字段。除了readinessProbe，因为Init容器无法定义不同于完成（completion）的就绪（readiness）之外的其他状态。这会在验证过程中强制执行。

●在Pod中的每个app和Init容器的名称必须唯一；与任何其它容器共享同一个名称，会在验证时抛出错误。

 

镜像拉取策略（image PullPolicy）：

Pod 的核心是运行容器，必须指定容器引擎，比如 Docker，启动容器时，需要拉取镜像，k8s 的镜像拉取策略可以由用户指定：

1、IfNotPresent：在镜像已经存在的情况下，kubelet 将不再去拉取镜像，仅当本地缺失时才从仓库中拉取，默认的镜像拉取策略

2、Always：每次创建 Pod 都会重新拉取一次镜像；

3、Never：Pod 不会主动拉取这个镜像，仅使用本地镜像。

注意：对于标签为“:latest”的镜像文件，其默认的镜像获取策略即为“Always”；而对于其他标签的镜像，其默认策略则为“IfNotPresent”。

 

官方示例：

https://kubernetes.io/docs/concepts/containers/images

  1 kubectl apply -f - <<EOF
  2 apiVersion: v1
  3 kind: Pod
  4 metadata:
  5   name: private-image-test-1
  6 spec:
  7   containers:
  8     - name: uses-private-image
  9       image: $PRIVATE_IMAGE_NAME
 10       imagePullPolicy: Always
 11       command: [ "echo", "SUCCESS" ]
 12 EOF
 13
 14
 15 //master01 上操作
 16 kubectl edit deployment/nginx-deployment
 17 ......
 18   template:
 19     metadata:
 20       creationTimestamp: null
 21       labels:
 22         app: nginx
 23     spec:
 24       containers:
 25       - image: nginx:1.15.4
 26         imagePullPolicy: IfNotPresent                            #镜像拉取策略为 IfNotPresent
 27         name: nginx
 28         ports:
 29         - containerPort: 80
 30           protocol: TCP
 31         resources: {}
 32         terminationMessagePath: /dev/termination-log
 33         terminationMessagePolicy: File
 34       dnsPolicy: ClusterFirst
 35       restartPolicy: Always                                        #Pod的重启策略为 Always，默认值
 36       schedulerName: default-scheduler
 37       securityContext: {}
 38       terminationGracePeriodSeconds: 30
 39 ......
 40
 41
 42 //创建测试案例
 43 mkdir /opt/demo
 44 cd /opt/demo
 45
 46 vim pod1.yaml
 47 apiVersion: v1
 48 kind: Pod
 49 metadata:
 50   name: pod-test1
 51 spec:
 52   containers:
 53     - name: nginx
 54       image: nginx
 55       imagePullPolicy: Always
 56       command: [ "echo", "SUCCESS" ]
 57
 58
 59 kubectl create -f pod1.yaml
 60
 61 kubectl get pods -o wide
 62 pod-test1                         0/1     CrashLoopBackOff   4          3m33s
 63 //此时 Pod 的状态异常，原因是 echo 执行完进程终止，容器生命周期也就结束了
 64
 65 kubectl describe pod pod-test1
 66 ......
 67 Events:
 68   Type     Reason     Age                 From                    Message
 69   ----     ------     ----                ----                    -------
 70   Normal   Scheduled  2m10s               default-scheduler       Successfully assigned default/pod-test1 to 192.168.80.11
 71   Normal   Pulled     46s (x4 over 119s)  kubelet, 192.168.80.11  Successfully pulled image "nginx"
 72   Normal   Created    46s (x4 over 119s)  kubelet, 192.168.80.11  Created container
 73   Normal   Started    46s (x4 over 119s)  kubelet, 192.168.80.11  Started container
 74   Warning  BackOff    19s (x7 over 107s)  kubelet, 192.168.80.11  Back-off restarting failed container
 75   Normal   Pulling    5s (x5 over 2m8s)   kubelet, 192.168.80.11  pulling image "nginx"
 76 //可以发现 Pod 中的容器在生命周期结束后，由于 Pod 的重启策略为 Always，容器再次重启了，并且又重新开始拉取镜像
 77
 78 //修改 pod1.yaml 文件
 79 cd /opt/demo
 80 vim pod1.yaml
 81 apiVersion: v1
 82 kind: Pod
 83 metadata:
 84   name: pod-test1
 85 spec:
 86   containers:
 87     - name: nginx
 88       image: nginx:1.14                            #修改 nginx 镜像版本
 89       imagePullPolicy: Always
 90       #command: [ "echo", "SUCCESS" ]            #删除
 91
 92 //删除原有的资源
 93 kubectl delete -f pod1.yaml
 94
 95 //更新资源
 96 kubectl apply -f pod1.yaml
 97
 98 //查看 Pod 状态
 99 kubectl get pods -o wide
100 NAME                              READY   STATUS    RESTARTS   AGE   IP            NODE            NOMINATED NODE
101 pod-test1                         1/1     Running   0          33s   172.17.36.4   192.168.80.11   <none>
102
103 //在任意 node 节点上使用 curl 查看头部信息
104 curl -I http://172.17.36.4
105 HTTP/1.1 200 OK
106 Server: nginx/1.14.2
107 ......

部署 harbor 创建私有项目

 1 //在 Docker harbor 节点（192.168.80.30）上操作
 2 systemctl stop firewalld.service
 3 systemctl disable firewalld.service
 4 setenforce 0
 5
 6 yum install -y yum-utils device-mapper-persistent-data lvm2
 7 yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
 8 yum install -y docker-ce
 9 systemctl start docker.service
10 systemctl enable docker.service
11 docker version
12
13 //上传 docker-compose 和 harbor-offline-installer-v1.2.2.tgz 到 /opt 目录中
14 cd /opt
15 chmod +x docker-compose
16 mv docker-compose /usr/local/bin/
17
18 //部署 Harbor 服务
19 tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
20 vim /usr/local/harbor/harbor.cfg
21 --5行--修改，设置为Harbor服务器的IP地址或者域名
22 hostname = 192.168.80.30
23
24 cd /usr/local/harbor/
25 ./install.sh
26
27
28 //在 Harbor 中创建一个新项目
29 （1）浏览器访问：http://192.168.80.10 登录 Harbor WEB UI 界面，默认的管理员用户名和密码是 admin/Harbor12345
30 （2）输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
31 （3）填写项目名称为“kgc-project”，点击“确定”按钮，创建新项目

  1 //在每个 node 节点配置连接私有仓库（注意每行后面的逗号要添加）
  2 cat > /etc/docker/daemon.json <<EOF
  3 {
  4   "registry-mirrors": ["https://6ijb8ubo.mirror.aliyuncs.com"],
  5   "insecure-registries":["192.168.80.30"]
  6 }
  7 EOF
  8
  9 systemctl daemon-reload
 10 systemctl restart docker
 11
 12 //在每个 node 节点登录 harbor 私有仓库
 13 docker login -u admin -p harbor12345 http://192.168.80.30
 14
 15 //在一个 node 节点下载 Tomcat 镜像进行推送
 16 docker pull tomcat:8.0.52
 17 docker images
 18
 19 docker tag tomcat:8.0.52 192.168.80.30/kgc-project/tomcat:v1
 20 docker images
 21
 22 docker push 192.168.80.30/kgc-project/tomcat:v1
 23
 24
 25 //查看登陆凭据
 26 cat /root/.docker/config.json | base64 -w 0            #base64 -w 0：进行 base64 加密并禁止自动换行
 27 ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjE5NS44MCI6IHsKCQkJImF1dGgiOiAiWVdSdGFXNDZTR0Z5WW05eU1USXpORFU9IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOS4wMy41IChsaW51eCkiCgl9Cn0=
 28
 29
 30 //创建 harbor 登录凭据资源清单，用于 K8S 访问 Harbor 私服拉取镜像所需要的密钥权限凭证 secret 资源
 31 vim harbor-pull-secret.yaml
 32 apiVersion: v1
 33 kind: Secret
 34 metadata:
 35   name: harbor-pull-secret
 36 data:
 37   .dockerconfigjson: ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjE5NS44MCI6IHsKCQkJImF1dGgiOiAiWVdSdGFXNDZTR0Z5WW05eU1USXpORFU9IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOS4wMy41IChsaW51eCkiCgl9Cn0=            #复制粘贴上述查看的登陆凭据
 38 type: kubernetes.io/dockerconfigjson
 39
 40
 41 //创建 secret 资源
 42 kubectl create -f harbor-pull-secret.yaml
 43
 44 //查看 secret 资源
 45 kubectl get secret
 46
 47 //创建资源从 harbor 中下载镜像
 48 cd /opt/demo
 49 vim tomcat-deployment.yaml
 50 apiVersion: apps/v1
 51 kind: Deployment
 52 metadata:
 53   name: my-tomcat
 54 spec:
 55   replicas: 2
 56   selector:
 57     matchLabels:
 58       app: my-tomcat
 59   template:
 60     metadata:
 61       labels:
 62         app: my-tomcat
 63     spec:
 64       imagePullSecrets:                        #添加 K8S 访问 Harbor 私服拉取镜像所需要的 secret 资源选项
 65       - name: harbor-pull-secret            #指定 secret 资源名称
 66       containers:
 67       - name: my-tomcat
 68         image: 192.168.80.30/kgc-project/tomcat:v1        #指定 harbor 中的镜像名
 69         ports:
 70         - containerPort: 80
 71 ---
 72 apiVersion: v1
 73 kind: Service
 74 metadata:
 75   name: my-tomcat
 76 spec:
 77   type: NodePort
 78   ports:
 79   - port: 8080
 80     targetPort: 8080
 81     nodePort: 31111
 82   selector:
 83     app: my-tomcat
 84
 85
 86 //删除之前在 node 节点下载的 Tomcat 镜像
 87 docker rmi tomcat:8.0.52
 88 docker rmi 192.168.80.30/kgc-project/tomcat:v1
 89 docker images
 90
 91
 92 //创建资源
 93 kubectl create -f tomcat-deployment.yaml
 94
 95 kubectl get pods
 96 NAME                              READY   STATUS    RESTARTS   AGE
 97 my-tomcat-d55b94fd-29qk2   1/1     Running   0
 98 my-tomcat-d55b94fd-9j42r   1/1     Running   0
 99
100 //查看 Pod 的描述信息，可以发现镜像时从 harbor 下载的
101 kubectl describe pod my-tomcat-d55b94fd-29qk2
102
103 //刷新 harbor 页面，可以看到镜像的下载次数增加了

总结：

pod 是k8s最小的创建和运行的单元

一个pod包含一个基础容器/根容器/父容器 pause 容器下1个或者多个应用容器

pod里容器共享 net、uts、ipc 命名空间

k8s 创建的pod分为两种：

①自助式/静态pod：

不被控制管理的pod不能，没有自愈能力，一旦pod挂掉了，不会重新拉起，而且副本数量也不会因为达不到期望而创建新的pod

②控制器的pod：被控制器管理的pod。有自愈能力，一旦 pod挂了，会被重新拉起，而且副本数量会因为达不到 期望值而创建新的pod

 

三种容器：

①pause容器：给pod中的所有应用 容器提供 网络和存储 资源的共享 作为PID=1的进程（init进程），管理整个pod中容器组的生命周期

 

②初始化容器（init容器）：阻塞或者延迟应用容器的启动 ，可以为应用容器事先提供好运行环境和工具，多个init容器时串行启动的，每个init容器都必须在下一个init容器启动前成功完成启动和退出

 

③应用容器（main C 容器）：在所有init容器启动成功和退出后应用才会启动。并行启动的，提供应用程序业务

 

容器过程：

启动 运行 结束 退出

 

镜像拉取策略：

pod容器镜像拉去策略（imagePullPolicy）三种容器

①ifNotPresent：优先使用本地已存在的镜像，如本地没有则从仓库拉去镜像(默认)

②Always：总算是从仓库拉去镜像，无论本地是否已存在的镜像(:latest”的镜像文件时候为默认)

③Never：总是不从仓库拉去镜像，仅使用本地镜像

 

镜像重启策略：

1、always：当容器终止退出后，总是重启容器，默认策略

2、ONFailure：当容器异常退出时（退出状态码非0），重启容器；正常退出则不重启容器

3、Never：当容器终止退出，从不重启容器

注意：K8S当中不支持重启pod资源，只有删除重建