汇报当前节点的资源信息和健康状态；

Pod 的健康检查和状态汇报。

使Pod得运行状态与期望的状态一致。

每个kubelet会定时向master的apiserver汇报节点资源信息。

从不同源获取 Pod 清单，并按需求启停 Pod 的核心组件：

这些控制循环的名字，一般被称作某某 Manager，比如 Volume Manager、Image Manager、Node Status Manager 等等。不难想到，这些控制循环的责任，就是通过控制器模式，完成 kubelet 的某项具体职责。

比如 Node Status Manager，就负责响应 Node 的状态变化，然后将 Node 的状态收集起来，并通过 Heartbeat 的方式上报给 APIServer。

再比如 CPU Manager，就负责维护该 Node 的 CPU 核的信息，以便在 Pod 通过 cpuset 的方式请求 CPU 核的时候，能够正确地管理 CPU 核的使用量和可用量。

图

图

步骤

PID命名空间：Pod中的不同应用程序可以看到其他应用程序的进程ID。

网络命名空间：Pod中的多个容器能够访问同一个IP和端口范围。

IPC命名空间：Pod中的多个容器能够使用SystemV IPC或POSIX消息队列进行通信。

UTS命名空间：Pod中的多个容器共享一个主机名。

Volumes(共享存储卷)：Pod中的各个容器可以访问在Pod级别定义的Volumes。

图

挂起（Pending）：

运行中（Running）：

成功（Successed）：

失败（Failed）：

未知（Unkonwn）：

成功：容器通过了诊断。

失败：容器未通过诊断。

未知：诊断失败，因此不会采取任何行动。

其中最主要的探针为LivenessProbe与ReadinessProbe，kubelet会定期执行这两类探针来诊断容器的健康状况。

（1）LivenessProbe探针：

（2）ReadinessProbe探针：

（3）StartupProbe探针：

（1）ExecAction：在容器内部运行一个命令，如果该命令的返回码为0，则表明容器健康。 在下面的例子中，通过运行cat/tmp/health命令来判断一个容器运行是否正常。在该Pod运行后，将在创建/tmp/health文件10s后删除该文件，而LivenessProbe健康检查的初始探测时间（initialDelaySeconds）为15s，探测结果是Fail，将导致kubelet“杀掉”该容器并重启它：

（2）TCPSocketAction：通过容器的IP地址和端口号执行TCP检查，如果能够建立TCP连接，则表明容器健康。 在下面的例子中，通过与容器内的localhost：80建立TCP连接进行健康检查：

（3）HTTPGetAction：通过容器的IP地址、端口号及路径调用HTTP Get方法，如果响应的状态码大于等于200且小于400，则认为容器健康。 在下面的例子中，kubelet定时发送HTTP请求到localhost：80/_status/healthz来进行容器应用的健康检查：

◎ initialDelaySeconds：启动容器后进行首次健康检查的等待时间，单位为s。

◎ timeoutSeconds：健康检查发送请求后等待响应的超时时间，单位为s。当超时发生时，kubelet会认为容器已经无法提供服务，将会重启该容器。 如下代码片段是StartupProbe探针的一个参考配置，可以看到，这个Pod可以有长达30×10=300s的超长启动时间：

主节点leader

候选节点candidate

从节点flower

初始化都是flower状态结点，等待100-300ms没有收到leader的心跳之后就变成了候选节点后给大家发选票，而候选人或得大多数结点的选票就变成了leader结点。

每次提交事务先提交给leader，leader会暂存数据之后，复制数据到flower结点，等待大多数结点提交事务成功之后再将leader的事务提交。

等待时间短的结点会先发选票从而变为主节点。

但是如果2个候选或得的票数一样多则加时赛。直到选的票数最多的那个。

每个结点都会记录主节点是谁，并和主节点维持一个心跳超时时间，一旦没有收到主节点的回复从节点就要重新选举候选人结点。

结点之间部分结点丢失通信，则会导致主节点的数据不能推给多个从节点也就主节点的数据不能进行提交。

集群恢复后，原来的主节点发现自己不是选票最多的结点就会变成从节点，并回滚日志，最后主节点再把数据推给从节点从而保证数据一致性。

1

例如集群中的Node、Namespace、Volume、ClusterRole和Job等，

每个容器运行时都有特点，因此不少用户希望Kubernetes能够支持更多的容器运行时。

Kubernetes从1.5版本开始引入了CRI接口规范，通过插件接口模式，Kubernetes无须重新编译就可以使用更多的容器运行时。

CRI包含Protocol Buffers、gRPC API、运行库支持及开发中的标准规范和工具。

Docker的CRI实现在Kubernetes 1.6中被更新为Beta版本，并在kubelet启动时默认启动。 可替代的容器运行时支持是Kubernetes中的新概念。

在Kubernetes 1.3发布时，rktnetes项目同时发布，让rkt容器引擎成为除Docker外的又一选择。

然而，不管是Docker还是rkt，都用到了kubelet的内部接口，同kubelet源码纠缠不清。这种程度的集成需要对kubelet的内部机制有非常深入的了解，还会给社区带来管理压力，这就给新生代容器运行时造成了难以跨越的集成壁垒。

CRI接口规范尝试用定义清晰的抽象层清除这一壁垒，让开发者能够专注于容器运行时本身。

kubelet使用gRPC框架通过UNIX Socket与容器运行时（或CRI代理）进行通信。

Pod由一组应用容器组成，其中包含共有的环境和资源约束。在CRI里，这个环境被称为PodSandbox。

Kubernetes有意为容器运行时留下一些发挥空间，它们可以根据自己的内部实现来解释PodSandbox。对

于Hypervisor类的运行时，PodSandbox会具体化为一个虚拟机。其他例如Docker，会是一个Linux命名空间。

在v1alpha1 API中，kubelet会创建Pod级别的cgroup传递给容器运行时，并以此运行所有进程来满足PodSandbox对Pod的资源保障。 在启动Pod之前，kubelet调用RuntimeService.RunPodSandbox来创建环境。这一过程包括为Pod设置网络资源（分配IP等操作）。PodSandbox被激活之后，就可以独立地创建、启动、停止和删除不同的容器了。kubelet会在停止和删除PodSandbox之前首先停止和删除其中的容器。 kubelet的职责在于通过RPC管理容器的生命周期，实现容器生命周期的钩子、存活和健康监测，以及执行Pod的重启策略等。

RuntimeService服务包括对Sandbox和Container操作的方法，下面的伪代码展示了主要的RPC方法：

众所周知，Kubernetes的最小调度单元是Pod，它曾经可能采用的一个CRI设计就是复用Pod对象，使得容器运行时可以自行实现控制逻辑和状态转换，这样一来，就能极大地简化API，让CRI能够更广泛地适用于多种容器运行时。但是经过深入讨论之后，Kubernetes放弃了这一想法。 首先，kubelet有很多Pod级别的功能和机制（例如crash-loop backoff机制），如果交给容器运行时去实现，则会造成很重的负担；然后，Pod标准还在快速演进。很多新功能（如初始化容器）都是由kubelet完成管理的，无须交给容器运行时实现。 CRI选择了在容器级别进行实现，使得容器运行时能够共享这些通用特性，以获得更快的开发速度。这并不意味着设计哲学的改变—kubelet要负责、保证容器应用的实际状态和声明状态的一致性。 Kubernetes为用户提供了与Pod及其中的容器进行交互的功能（kubectl exec/attach/port-forward）。

kubelet目前提供了两种方式来支持这些功能：①调用容器的本地方法；②使用Node上的工具（例如nsenter及socat）。 因为多数工具都假设Pod用Linux namespace做了隔离，因此使用Node上的工具并不是一种容易移植的方案。在CRI中显式定义了这些调用方法，让容器运行时进行具体实现。下面的伪代码显示了Exec、Attach、PortForward这几个调用需要实现的RuntimeService方法： 目前还有一个潜在的问题是，kubelet处理所有的请求连接，使其有成为Node通信瓶颈的可能。在设计CRI时，要让容器运行时能够跳过中间过程。容器运行时可以启动一个单独的流式服务来处理请求（还能对Pod的资源使用情况进行记录），并将服务地址返回给kubelet。这样kubelet就能反馈信息给API Server，使之可以直接连接到容器运行时提供的服务，并连接到客户端。

容器运行时必须在调用任何插件之前为容器创建一个新的网络命名空间。

然后，运行时必须确定这个容器应属于哪个网络，并为每个网络确定哪些插件必须被执行。

网络配置采用JSON格式，可以很容易地存储在文件中。网络配置包括必填字段，如name和type以及插件（类型）。网络配置允许字段在调用之间改变值。为此，有一个可选的字段args，必须包含不同的信息。

容器运行时必须按顺序为每个网络执行相应的插件，将容器添加到每个网络中

在完成容器生命周期后，运行时必须以相反的顺序执行插件（相对于执行添加容器的顺序）以将容器与网络断开连接。

容器运行时不能为同一容器调用并行操作，但可以为不同的容器调用并行操作

容器运行时必须为容器订阅ADD和DEL操作，这样ADD后面总是跟着相应的DEL

DEL可能跟着额外的DEL，但是，插件应该允许处理多个DEL（即插件DEL应该是幂等的）

容器必须由ContainerID唯一标识。存储状态的插件应该使用（网络名称，容器ID）的主键来完成。

运行时不能调用同一个网络名称或容器ID执行两次ADD（没有相应的DEL）。换句话说，给定的容器ID必须只能添加到特定的网络一次。

常用插件

apiVersion：指定创建资源对象的资源组和资源版本，其表现形式为<group>/<version>，若是core资源组（即核心资源组）下的资源对象，其表现形式为<version>。

kind：指定创建资源对象的种类。

metadata：描述创建资源对象的元数据信息，例如名称、命名空间等。

spec：包含有关Deployment资源对象的核心信息，告诉Kubernetes期望的资源状态、副本数量、环境变量、卷等信息。

status：包含有关正在运行的Deployment资源对象的信息。

每一个Kubernetes资源对象都包含两个嵌套字段，即spec字段和status字段。其中spec字段是必需的，它描述了资源对象的“期望状态”（Desired State），而status字段用于描述资源对象的“实际状态”（Actual State），它是由Kubernetes系统提供和更新的。在任何时刻，Kubernetes控制器一直努力地管理着对象的实际状态以与期望状态相匹配。

工作负载型资源

存储型资源能够为重构的Pod对象提供持久化数据存储机制，

配置型资源能够让共享同一配置的Pod资源从中统一获取配置改动信息。这些资源作为“配置中心”为管理容器化应用的配置文件提供了极为便捷的管理机制。

集群型资源为管理集群本身的工作特性提供了配置接口，

元数据型资源用于配置集群内部其他资源的行为。

Kubernetes还存在一些用于定义集群自身配置信息的资源类型，它们不属于任何名称空间且仅应该由集群管理员操作。常用的集群型资源有如下几种。

Namespace：名称空间，为资源对象的名称提供了限定条件或作用范围，它为使用同一集群的多个团队或项目提供了逻辑上的隔离机制，降低或消除了资源对象名称冲突的可能性。

Node：Kubernetes并不能直接管理其工作节点，但它会把由管理员添加进来的任何形式（物理机或虚拟机等）的工作节点映射为一个Node资源对象，因而节点名称（标识符）在集群中必须唯一。

Role：角色，隶属于名称空间，代表名称空间级别由规则组成的权限集合，可被RoleBinding引用。

ClusterRole：集群角色，隶属于集群而非名称空间，代表集群级别的、由规则组成的权限集合，可被RoleBinding和ClusterRoleBinding引用。

RoleBinding：用于将Role中的许可权限绑定在一个或一组用户之上，从而完成用户授权，它隶属于且仅能作用于名称空间级别。

ClusterRoleBinding：将ClusterRole中定义的许可权限绑定在一个或一组用户之上，通过引用全局名称空间中的ClusterRole将集群级别的权限授予指定用户。

Pod用于承载容器化应用，代表着Kubernetes之上工作负载的表现形式。它负责运行容器，并为容器解决环境性的依赖，例如向容器注入临时或持久化的存储空间、配置信息或密钥数据等。而诸如滚动更新、扩容和缩容一类的编排任务则由“控制器”对象负责，专用于Pod编排任务的控制器也可统称为Pod控制器。

应用程序分为无状态和有状态两种类型，无状态应用中的每个Pod实例均可被其他同类实例所取代，但有状态应用的每个Pod实例均有其独特性，必须单独标识和管理，因而它们分别由两种不同类型的Pod控制器进行管理。例如，ReplicationController、ReplicaSet和Deployment负责管理无状态应用，StatefulSet则用于管控有状态类应用。还有些应用较为独特，有些需要在集群中的每个节点上运行单个Pod资源，负责收集日志或运行系统服务等任务，该类编排操作由DaemonSet控制器对象进行，而需要在正常完成后退出故无须始终处于运行状态任务的编排工作则隶属Job控制器对象。CronJob控制器对象还能为Job型的任务提供定期执行机制。

应用服务的抽象

每个默认类型 Service 都会自动分配一个 cluster IP（仅在集群内部可访问的虚拟地址）和 DNS名

要稳定地提供服务需要服务发现和负载均衡能力

在 Kubernetes 集群中微服务的负载均衡是由 Kube-proxy 实现的

部署表示用户对 Kubernetes 集群的一次更新操作。

部署是一个比 RS 应用模式更广的 API 对象，可以是创建一个新的应用，更新一个已存在的应用，也可以是滚动升级一个应用。

滚动升级一个服务，实际是创建一个新的 RS，然后逐渐将新 RS 中副本数增加到理想状态，将旧 RS 中的副本数减小到 0 的复合操作；这样一个复合操作用一个 RS 是不太好描述的，所以用一个更通用的 Deployment 来描述。以 Kubernetes 的发展方向，未来对所有长期伺服型的的业务的管理，都会通过 Deployment 来管理。

用于确保每个节点都运行了某Pod的一个副本，包括后来新增的节点；

而节点移除将导致Pod回收；

DaemonSet常用于运行各类系统级守护进程，例如kube-proxy和Flannel网络插件，以及日志收集和临近系统的Agent应用，例如fluentd、Logstash、Prometheus的Node Exporter等。

用于管理有状态的持久化应用，例如数据库服务程序；与Deployment的不同之处在于，StatefulSet会为每个Pod创建一个独有的持久性标识符，并会确保各Pod间的顺序性。

CustomResourceDefinition 是指自定义资源定义，简称CRD，

是Kubernetes 1.7 中引入的一项强大功能，它允许用户将自己的自定义对象添加到Kubernetes 集群中。

当创建新CRD 的定义时，API Server 将为指定的每个版本创建一个新的RESTful 资源路径

当集群中成功地创建了CRD，就可以像Kubernetes 原生的资源一样使用它，利用Kubernetes 的所有功能，例如其CLI、安全性、API 服务、RBAC 等。

CRD 的定义是在集群范围内的，CRD 的资源对象的作用域可以是命名空间（Namespaced）或者集群范围（Cluster-wide）。

与现有的内置对象一样，删除Namespace 也会删除该Namespace中所有自定义的对象，但不会删除CRD 的定义。

Kubernetes 还提供一系列Codegen 工具（deepcopy-gen、client-gen、lister-gen、informer-gen 等），能够自动生成该CRD 资源的Golang 版本的Clientset、Lister 及Informer，这为该资源编写控制器提供了很大便利。

CRD 就像数据库的开放式表结构，允许用户自定义Schema。有了这种开放式设计，用户可以基于CRD 定义一切需要的模型，满足不同业务的需求。社区鼓励基于CRD 的业务抽象，众多主流的扩展应用都是基于CRD 构建的，比如Istio、Knative。甚至基于CRD推出了Operator Mode 和Operator SDK，可以以极低的开发成本定义新对象，并构建新对象的控制器。

ControllerRevision 记录资源对象所有的历史版本的资源类型

DaemonSet 在Pod资源对象的基础上提供守护进程的 资源类型

Deployment 在Pod资源对象的基础上提供支持无状态 服务的资源类型

RcplicaSet 在Pod资源对象的基倨上提供Pod副本的资源类型

StatefulSet 在Pod资源对象的基册上提供支持有状态服务的资源类型

AuditSink 审计资源类型

TokcnRcvicw 认证资源类型

LocalSubjectAccessReview 授权检査用户是否珥以在指定的命名空间 中执行操作

SelfSubjcctAccessRcvicw 授权检查用户是否可以执行操作（若不指 定spec.namespace，则在所冇的命名空间中 执行操作）

SelfSubjectRulesReview 授权枚挙用户叫以在指定的命名空间屮执 行一组操作

SubjcctAcccssRcvicw 授权检查用户是否可以执行操作

HorizontalPodAutoscalcr 在Pod资源对象的基础上提供水平自动伸 缩资源类型

Job 提供一次性任务的资源类型

CronJob 提供定时任务的资源类型

CcrtificateSigningRcqucst 提供讯书管理的资源类型

Leases 提供领导者选举机制的资源类型

RuntimeClass 提供容器运行时功能的资源类型

Evictions 在Pod资源对象的基础上提供駅逐策略的 资源类型

PodDisruptionBudget 提供限制同时中断Pod的数量.以保证集 群的高可用性

PodSecurityPolicy 提供控制Pod资源安全相关策略的资源类 型

ClusterRole 提供RBAC集群角色的资源类型

ClustcrRoleBinding 提供RBAC集群布色绑定的资源类型

Role 提供RBAC角色的资源类型

RoleBinding 提供RBAC角色绑定的资源类型

Componentstatus 该资源类型已被弃用，其用于提供获取 Kubemeles组件运行状况的资源类型

ConfigMap 提供容器内应用程序配置管理的资源类型

Endpoints 提供将外部服务器映射为内部服务的资源

Event 提供Kubemetes集群事件管理的资源类型

LimitRange 为命名空间中的每种资源对象设置资源 （硬件资源）使用限制

Namespace 提供资源对象所在的命名空间的资源类型

Node 提供Kubemetes集詳中管理T.作节点的资 源类型。每个节点都有一个唯一标识符

PersistentVolume 提供PV存储的资源类型

Persistent VolutncClaiin 提供PVC存储的资源类型

Pod 提供容器集合管理的资源类環

PodTemplate 提供用于描述预定义Pod资源对象副本数 模板的资源类型

Replicationcontroller 在Pod资源对象的基础上提供副本数保持 不变的资源类型

RcsourccQuota 提供每个命名空间配额限制的资源类型

Secret 提供有储密码、Token、密钥等敏感数据的 资源类型

Service 提供负载均衡器为Pod资源对象的代理服 务的资源类型

ServiceAccount 提供ServiceAccount认证的资源类型

Event 提供Kubemetes集群事件管理的资源类型

RuntimcClass 提供容崙込行时功能的资源类型

Ingress 提供从Kubemetes集群外部访问集群内部 服务管理的资源类型

1、第一个控制循环称为 Informer Path，

2、第二个控制循环即为对 pod 进行调度的主循环，称为 Scheduling Path。

而为了不在主流程路径中访问 Api Server 影响性能，调度器只会更新 Scheduler Cache 中的相关 pod 和 node 信息：这种基于乐观假设的 API 对象更新方式，在 K8s 中称为 Assume。

之后才会创建一个 goroutine 来异步地向 API Server 发起更新 Bind 操作，这一步就算失败了也没有关系，Scheduler Cache 更新后就会一切正常。

是用于替换NodeSelector的全新调度策略。有两种节点亲和性表达。

在实际的生产环境中有一类特殊的Pod调度需求：

存在某些相互依赖、频繁调用的Pod，它们需要被尽可能地部署在同一个Node节点、机架、机房、网段或者区域（Zone）内，这就是Pod之间的亲和性；

反之，出于避免竞争或者容错的需求，我们也可能使某些Pod尽可能地远离某些特定的Pod，这就是Pod之间的反亲和性或者互斥性。

Pod间的亲和性与反亲和性调度策略从Kubernetes 1.4版本开始引入。简单地说，就是相关联的两种或多种Pod是否可以在同一个拓扑域中共存或者互斥，前者被称为Pod Affinity，后者被称为Pod Anti Affinity。

那么，什么是拓扑域，

一个拓扑域由一些Node节点组成，这些Node节点通常有相同的地理空间坐标，比如在同一个机架、机房或地区，我们一般用region表示机架、机房等的拓扑区域，用Zone表示地区这样跨度更大的拓扑区域。在极端情况下，我们也可以认为一个Node就是一个拓扑区域。

为此，Kubernetes内置了如下一些常用的默认拓扑域： ◎ kubernetes.io/hostname； ◎ topology.kubernetes.io/region； ◎ topology.kubernetes.io/zone。 需要注意的是，以上拓扑域是由Kubernetes自己维护的，在Node节点初始化时，controller-manager会为Node打上许多标签，比如kubernetes.io/hostname这个标签的值就会被设置为Node节点的hostname。另外，公有云厂商提供的Kubernetes服务或者使用cloud-controller-manager创建的集群，还会给Node打上topology.kubernetes.io/region和topology.kubernetes.io/zone标签，以确定各个节点所属的拓扑域。

前面介绍的NodeAffinity节点亲和性，是在Pod上定义的一种属性，使得Pod能够被调度到某些Node上运行（优先选择或强制要求）。Taint则正好相反，它让Node拒绝Pod的运行。

简单地说，被标记为Taint的节点就是存在问题的节点，比如磁盘要满、资源不足、存在安全隐患要进行升级维护，希望新的Pod不会被调度过来，但被标记为Taint的节点并非故障节点，仍是有效的工作节点，所以仍需将某些Pod调度到这些节点上时，可以通过使用Toleration属性来实现。 在默认情况下，在Node上设置一个或多个Taint之后，除非Pod明确声明能够容忍这些污点，否则无法在这些Node上运行。可以用kubectl taint命令为Node设置Taint信息： 这个设置为node1加上了一个Taint。该Taint的键为key，值为value，Taint的效果是NoSchedule。这意味着除非Pod明确声明可以容忍这个Taint，否则不会被调度到node1上。 然后，需要在Pod上声明Toleration。

下面的两个Toleration都被设置为可以容忍（Tolerate）具有该Taint的Node，使得Pod能够被调度到node1上： 或 Pod的Toleration声明中的key和effect需要与Taint的设置保持一致，并且满足以下条件之一。

◎ operator的值是Exists（无须指定value）。

◎ operator的值是Equal并且value相等。 如果不指定operator，则默认值为Equal。 另外，有如下两个特例。

◎ 空的key配合Exists操作符能够匹配所有键和值。

◎ 空的effect匹配所有effect。 在上面的例子中，effect的取值为NoSchedule，还可以取值为PreferNoSchedule，这个值的意思是优先，也可以算作NoSchedule的软限制版本—一个Pod如果没有声明容忍这个Taint，则系统会尽量避免把这个Pod调度到这一节点上，但不是强制的。后面还会介绍另一个effect“NoExecute”。 系统允许在同一个Node上设置多个Taint，也可以在Pod上设置多个Toleration。Kubernetes调度器处理多个Taint和Toleration的逻辑顺序为：首先列出节点中所有的Taint，然后忽略Pod的Toleration能够匹配的部分，剩下的没被忽略的Taint就是对Pod的效果了。下面是几种特殊情况。

◎ 如果在剩余的Taint中存在effect=NoSchedule，则调度器不会把该Pod调度到这一节点上。

定义Pod驱逐行为，以应对节点故障 前面提到的NoExecute这个Taint效果对节点上正在运行的Pod有以下影响。

◎ 没有设置Toleration的Pod会被立刻驱逐。

◎ 配置了对应Toleration的Pod，如果没有为tolerationSeconds赋值，则会一直留在这一节点中。

◎ 配置了对应Toleration的Pod且指定了tolerationSeconds值，则会在指定的时间后驱逐。注意，在节点发生故障的情况下，系统将会以限速（rate-limiting）模式逐步给Node设置Taint，这样就能避免在一些特定情况下（比如Master暂时失联）有大量的Pod被驱逐。

Kubernetes会自动给Pod添加下面几种Toleration：

◎ key为node.kubernetes.io/not-ready，并配置tolerationSeconds=300；

◎ key为node.kubernetes.io/unreachable，并配置tolerationSeconds=300。

以上添加的这种自动机制保证了在某些节点发生一些临时性问题时，Pod默认能够继续停留在当前节点运行5min等待节点恢复，而不是立即被驱逐，从而避免系统的异常波动。 另外，Kubernetes从1.6版本开始引入两个与Taint相关的新特性：TaintNodesByCondition及TaintBasedEvictions，用来改善异常情况下的Pod调度与驱逐问题，比如在节点内存吃紧、节点磁盘空间已满、节点失联等情况下，是否自动驱逐某些Pod或者暂时保留这些Pod等待节点恢复正常。这个过程的完整逻辑基本如下。 （1）不断地检查所有Node状态，设置对应的Condition。

（2）不断地根据Node Condition设置对应的Taint。 （

3）不断地根据Taint驱逐Node上的Pod。

https://mp.weixin.qq.com/s/ntF3yyFcmvHVraTNbKvANg

例如Deployment控制器资源可基于“Pod模板”创建Pod实例，并确保实例数目精确反映期望的数量；

另外，控制器还支持应用规模中Pod实例的自动扩容、缩容、滚动更新和回滚，以及创建工作节点故障时的重建等运维管理操作。

StatefulSet控制器专用于管理有状态应用的Pod实例，其他常用的Pod控制器还有ReplicaSet、DaemonSet、Job和CronJob等，分别用于不同控制模型的工作负载

计算资源的配置项分为两种：

基于Requests和Limits的Pod调度机制

Kubernetes提供了LimitRange机制对Pod和容器的Requests和Limits配置进一步做出限制。

Kubernetes中Pod的Requests和Limits资源配置有如下特点：

Kubernetes中的资源管理的基础是容器和Pod的资源配置（Requests和Limits）。容器的资源配置（Requests和Limits）指定了容器请求的资源和容器能使用的资源上限，而Pod的资源配置则是Pod中所有容器的资源配置总和的上限。

通过资源配额（Resource Quota）机制，我们可以对命名空间下所有Pod使用资源的总量进行限制，

如果我们需要对用户的Pod或容器的资源配置做更多的限制，则我们可以使用资源配置范围（LimitRange）来达到这个目的。LimitRange可以有效地限制Pod和容器的资源配置的最大、最小范围，也可以限制Pod和容器的Limits与Requests的最大比例上限，此外LimitRange还可以为Pod中的容器提供默认的资源配置。

Kubernetes基于Pod的资源配置（Requests和Limits）实现了资源服务质量（QoS）。不同QoS级别的Pod在系统中拥有不同的优先级：高优先级的Pod具有更高的可靠性，可以用于运行可靠性要求较高的服务；而低优先级的Pod可以实现集群资源的超售，能有效地提高集群资源利用率。

在Kubernetes集群中，每个Pod都有自己的IP地址，运行在Pod内的应用都可以使用标准的端口号，不用重新映射到不同的随机端口号。所有的Pod之间都可以保持三层网络的连通性，比如可以相互ping对方，相互发送TCP/UDP/SCTP数据包。CNI就是用来实现这些网络功能的标准接口

Pod的生命周期很短暂，但客户需要的是可靠的服务，因此Kubernetes引入了新的资源对象Service，其实它就是Pod前面的4层负载均衡器。Service总共有4种类型，其中最常用的类型是ClusterIP，这种类型的Service会自动分配一个仅集群内部可以访问的虚拟IP。 Kubernetes通过Kube-proxy组件实现这些功能，每台计算节点上都运行一个Kubeproxy进程，通过复杂的iptables/IPVS规则在Pod和Service之间进行各种过滤和NAT。

从Pod内部到集群外部的流量，Kubernetes会通过SNAT来处理。SNAT做的工作就是将数据包的源从Pod内部的IP:Port替换为宿主机的IP:Port。当数据包返回时，再将目的地址从宿主机的IP:Port替换为Pod内部的IP:Port，然后发送给Pod。当然，中间的整个过程对Pod来说是完全透明的，它们对地址转换不会有任何感知。 以上涉及的概念我们在后面的章节会进行详细讲解，本节只是抛砖引玉，不做深入分析。

“三种IP”

分层

当在节点上调度 Pod 时，一启动 Pod 就会发生很多事情。这里我们仅关注与 Pod 配置网络有关的动态。一旦在节点上调度了 Pod，将配置网络并启动应用程序容器。

参考：容器式 cri 插件架构Container Runtime 与 CNI 插件的交互每个 network provider 都有一个 CNI 插件，container runtime 会调用该插件，在 Pod 启动时配置网络。使用容器化作为 container runtime，容器化 CRI 插件将调用 CNI 插件。每个 network provider 都在每个 Kubernetes 节点上安装了一个代理，以配置 Pod 网络。安装 network provider agent 后，它会随 CNI 一起配置或者在节点上创建，CRI 插件会使用它来确定要调用哪个 CNI 插件。CNI 配置文件的位置是可配置的，默认值为 /etc/cni/net.d/<config-file>。集群管理员需要在每个节点上交付 CNI 插件。CNI 插件的位置也是可配置的，默认值为 /opt/cni/bin。如果使用 containerd 作为 container runtime，则可以在 containerd config 部分下 [plugins."io.containerd.grpc.v1.cri".cni] 指定 CNI 配置和 CNI 插件的路径。本文中我们将 Flannel 作为 network provider，这里简单介绍一下 Flannel 的设置。Flanneld 是 Flannel 守护程序，通常 install-cni 作为带有初始化容器的守护程序安装在 Kubernetes 集群上。install-cni 容器创建 CNI 配置文件在每个节点上 /etc/cni/net.d/10-flannel.conflist。Flanneld 创建一个 vxlan 设备，从 apiserver 获取网络元数据，并监控 Pod 上的更新。创建 Pod 时，它将在整个集群中为所有 Pod 分配路由，这些路由允许 Pod 通过 IP 地址相互连接。Containerd CRI 插件和 CNI 插件之间的交互可以如下所示：

如上所述，kubelet 调用 Containered CRI 插件创建容器，再调用 CNI 插件为容器配置网络。Network provider CNI 插件调用其他基本 CNI 插件来配置网络。CNI 插件之间的交互如下所述。

CNI 插件之间的交互有多种 CNI 插件可帮助配置主机上容器之间的网络，本文主要讨论以下 3 个插件。

Flannel CNI 插件当使用 Flannel 作为network provider时，Containered CRI 插件使用 CNI 配置文件，调用 Flannel CNI 插件：/etc/cni/net.d/10-flannel.conflist。

图

创建了一个Pod后，CRI和CNI协同创建Pod所属容器，并为它们初始化网络协议栈的全过程如下：

CNI是Kubernetes与底层网络插件之间的一个抽象层，为Kubernetes屏蔽了底层网络实现的复杂度，同时解耦了Kubernetes的具体网络插件实现。

CNI主要有两类接口：

Kubelet和CNI给出了两个默认的文件系统路径

what

why

how

概念

Calico架构

组件

跨主机通信

Egress表示出站流量，即Pod作为客户端访问外部服务，Pod地址作为源地址。策略可以定义目的地址和目的端口，可以根据ports和to定义规则。ports字段用来指定目的端口和协议。to（目的地址）分为IP地址段、Pod selector和Kubernetes namespace selector；

Ingress表示入站流量，Pod地址和服务作为服务端（目的地址），提供外部访问。与Egress类似，策略可以定义源地址和端口，可以根据ports和from定义规则。ports字段同样用来指定目的端口和协议。from（源地址）分为IP地址段、Pod selector和Kubernetes namespace selector；

podSelector用于指定网络策略在哪些Pod上生效，用户可以配置单个Pod或者一组Pod。可以定义单方向。空podSelector选择命名空间中的Pod。podSelector定义Network Policy的限制范围，就是规则应用到哪个Pod上。如上所示，podSelector:｛｝留空就是定义对Kubernetes当前namespace下的所有Pod生效。没有定义白名单的话，默认就是Deny ALL（拒绝所有）；

policyTypes：指定策略类型，包括Ingress和Egress，不指定默认就是Ingress。默认情况下，一个policyTypes的值一定会包含Ingress。 说到匹配规则，namespaceSelector和podSelector是彼此独立的两个单独的匹配规则。你可以使用ipBlock字段允许来自或者到达特定IP地址段范围的Ingress或Egress流量。 最后，介绍Kubernetes网络策略与一些安全组（例如Neutron的安全组）的区别。一般来说，安全组的规则记录在上层网关，而不是每一个节点上。而Kubernetes网络是应用到每个节点上的，实现Network Policy的agent需要在每个节点上都List/Watch Kubernetes的Network Policy、namespace、Pod等资源对象，因此在实现上可能会有较大的性能影响。Network Policy agent一般通过Kubernetes DaemonSet实现每个节点上都有一个部署。

（1）保证容器与容器之间、容器与主机之间隔离，限制容器对其他容器和主机的消极影响。

（2）保证组件、用户及容器应用程序都是最小权限，限制它们的权限范围。

（3）保证集群的敏感数据的传输和存储安全。

其中包括细粒度控制Pod 安全上下文（Pod Security Context）、

API Server 的认证、授权、审计和准入控制、数据的加密机制等。数据传输和存储的安全。

数据加密传输

集群的安全通信

数据加密存储，

既然Kube-proxy已经有了iptables模式，为什么Kubernetes还选择IPVS呢？随着Kubernetes集群规模的增长，其资源的可扩展性变得越来越重要，特别是对那些运行大型工作负载的企业，其服务的可扩展性尤其重要。要知道，iptables难以扩展到支持成千上万的服务，它纯粹是为防火墙而设计的，并且底层路由表的实现是链表，对路由规则的增删改查操作都涉及遍历一次链表。 尽管Kubernetes在1.6版本中已经支持5000个节点，但使用iptables模式的Kube-proxy实际上是将集群扩展到5000个节点的最大瓶颈。一个例子是，如果我们有1000个服务并且每个服务有10个后端Pod，将在每个工作节点上至少产生10000×N（N≥4）个iptable记录，这可能使内核非常繁忙地处理每次iptables规则的刷新。 另外，使用IPVS做集群内服务的负载均衡可以解决iptables带来的性能问题。IPVS专门用于负载均衡，并使用更高效的数据结构（散列表），允许几乎无限的规模扩张。 1.IPVS的工作原理 IPVS是Linux内核实现的四层负载均衡，是LVS负载均衡模块的实现。上文也提到，IPVS基于netfilter的散列表，相对于同样基于netfilter框架的iptables有更好的性能表现和可扩展性，具体见下文的实测对比数据。 IPVS支持TCP、UDP、SCTP、IPv4、IPv6等协议，也支持多种负载均衡策略，例如rr、wrr、lc、wlc、sh、dh、lblc等。IPVS通过persistent connection调度算法原生支持会话保持功能。

是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机通过一个公有IP地址访问外部网络的私有网络中，NAT也可以被称作IP伪装（IP Masquerading），可以分为目的地址转换（DNAT）和源地址转换（SNAT）两类。

它在Linux内核2.6版本引入，

作用是隔离Linux系统的设备，以及IP地址、端口、路由表、防火墙规则等网络资源。

因此，每个网络namespace里都有自己的网络设备（如IP地址、路由表、端口范围、/proc/net目录等）

从网络的角度看，network namespace使得容器非常有用，

每个新的Network Namespace都默认有一个本地回环LO接口，此外，所有的其他网络设备，包括物理/虚拟网络接口、网桥等，只能属于一个Network Namespace，每个Socket也只能属于一个Network Namespace。当新的network namespace被创建时，LO接口默认是关闭的，需要自己手动启动。 创建 Network Namespace 也非常简单，使用 ip netns add 后面跟着要创建的Namespace 名称，如果相同名字的 Namespace 已经存在，会产生“Cannot create namespace”的错误。 ip netns命令创建的Network Namespace会出现在/var/run/netns/目录下，如果需要管理其他不是ip netns创建的Network Namespace，只要在这个目录下创建一个指向对应 Network Namespace 文件的链接就可以。

有了不同的Network Namespace后，也就有了网络的隔离，但如果它们之间没有办法通信，也没有实际用处。要把两个网络连接起来，Linux提供了VETH pair。如前所述，可以把VETH pair当作双向的管道，从一端发送的网络数据，可以直接被另外一端接收到，也可以想象成两个 Namespace 直接通过一个特殊的虚拟网卡连接起来，可以直接通信。 可以使用ip link add type veth 创建一对VETH pair，系统自动生成VETH0和VETH1两个网络接口，如果需要指定它们的名字，则可以使用ip link add vethfoo type veth peer name vethbar，此时创建出来的两个名字就是vethfoo和vethbar。需要记住的是VETH pair无法单独存在，删除其中一个，另一个也会自动消失。 然后，可以把这对VETH pair分别放到创建的两个Namespace里，可以使用ip link set DEV netns NAME来实现。 如图2-8所示，创建两个Network Namespace，分别命名为net0与net1，同时创建了 VETH pair 对 veth0与 veth1，将它们分别加入 net0与 net1，将两个 Network Namespace连接起来。 图2-8 使用VETH pair连接两个Network Namespace 虽然 VETH pair 可以实现两个 Network Namespace 之间的通信，但是当多个Namespace需要通信的时候，就无能为力了。涉及多个网络设备之间的通信，首先想到的是交换机和路由器。因为这里要考虑的只是同一个网络，所以只用到交换机的功能，也就是前面所述的网

出自 ：Linux开源网络全栈详解

就是Linux系统中的网桥，但是Linux bridge的行为更像是一台虚拟的网络交换机，任意的真实物理设备（例如eth0）和虚拟设备（例如，前面讲到的veth pair和后面即将介绍的tap设备）都可以连接到Linux bridge上。需要注意的是，Linux bridge不能跨机连接网络设备。 Linux bridge与Linux上其他网络设备的区别在于，普通的网络设备只有两端，从一端进来的数据会从另一端出去。例如，物理网卡从外面网络中收到的数据会转发给内核协议栈，而从协议栈过来的数据会转发到外面的物理网络中。Linux bridge则有多个端口，数据可以从任何端口进来，进来之后从哪个口出去取决于目的MAC地址，原理和物理交换机差不多。

作为一个通用的、抽象的框架，提供一整套hook函数的管理机制，使得数据包过滤、包处理（设置标志位、修改TTL等）、地址伪装、网络地址转换、透明代理、访问控制、基于协议类型的连接跟踪，甚至带宽限速等功能成为可能。

netfilter的架构就是在整个网络流程的若干位置放置一些钩子，并在每个钩子上挂载一些处理函数进行处理。

IP层的5个钩子点的位置，对应iptables就是5条内置链，分别是PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD。

当网卡上收到一个包送达协议栈时，最先经过的netfilter钩子是PREROUTING，如果确实有用户埋了这个钩子函数，那么内核将在这里对数据包进行目的地址转换（DNAT）。不管在PREROUTING有没有做过DNAT，内核都会通过查本地路由表决定这个数据包是发送给本地进程还是发送给其他机器。如果是发送给其他机器（或其他network namespace），就相当于把本地当作路由器，就会经过netfilter的FORWARD钩子，用户可以在此处设置包过滤钩子函数，例如iptables的reject函数。

所有马上要发到协议栈外的包都会经过POSTROUTING钩子，用户可以在这里埋下源地址转换（SNAT）或源地址伪装（Masquerade，简称Masq）的钩子函数。如果经过上面的路由决策，内核决定把包发给本地进程，就会经过INPUT钩子。本地进程收到数据包后，回程报文会先经过OUTPUT钩子，然后经过一次路由决策（例如，决定从机器的哪块网卡出去，下一跳地址是多少等），最后出协议栈的网络包同样会经过POSTROUTING钩子。

netfilter是Linux内核网络模块的一个经典框架，毫不夸张地说，整个Linux系统的网络安全大厦都构建在netfilter之上，构建在netfilter钩子之上的网络安全策略和连接跟踪的用户态程序就有ebtables、arptables、（IPv6版本的）ip6tables、iptables、iptables-nftables（iptables的改进版本）、conntrack（连接跟踪）等。Kubernetes网络之间用到的工具就有ebtables、iptables/ip6tables和conntrack，其中iptables是核心。

我们常说的iptables 5X5，、即5张表（table）和5条链（chain）。

在Docker和Kubernetes网络中应用甚广。例如，Docker容器和宿主机的端口映射、Kubernetes Service的默认模式、CNI的portmap插件、Kubernetes网络策略等都是通过iptables实现的

iptables的表是来分类管理iptables规则（rule）的，系统所有的iptables规则都被划分到不同的表集合中。上文也提到了，

filter表中会有过滤数据包的规则，nat表中会有做地址转换的规则。因此，iptables的规则就是挂在netfilter钩子上的函数，用来修改数据包的内容或过滤数据包，iptables的表就是所有规则的5个逻辑集合

iptables的规则是用户真正要书写的规则。一般情况下，一条iptables规则包含两部分信息：匹配条件和动作。匹配条件很好理解，即匹配数据包被这条iptables规则“捕获”的条件，例如协议类型、源IP、目的IP、源端口、目的端口、连接状态等。每条iptables规则允许多个匹配条件任意组合，从而实现多条件的匹配，多条件之间是逻辑与（&&）关系。

数据包匹配后该怎么办，常见的动作有下面几个：

值得一提的是，用户自定义链中的规则和系统预定义的5条链里的规则没有区别。由于自定义的链没有与netfilter里的钩子进行绑定，所以它不会自动触发，只能从其他链的规则中跳转过来，这也是JUMP动作存在的意义。 在初步认识了iptables的表、链和规则三个最重要的概念后，

接下来将以iptables在Kubernetes网络中的使用为背景，简单介绍iptables的常见用法

1.查看所有iptables规则 Kubernetes一个节点上的iptables规则输出如下。

严格地说，输出是iptables的filter表的所有规则。使用iptables命令，必须指定针对哪个表进行操作，默认是filter表。因此，如果想输出系统中nat表的所有iptables规则，可以使用如下命令： 使用-n选项将以数字形式列出信息，即将域名解析成IP地址。想输出更详细的信息，例如，经过某条rule处理的数据包字节、进出网口等信息，可以使用-v选项。 从上面的输出结果可以看出，filter表上挂了5条链，分别是INPUT、FORWARD和OUTPUT这三条系统内置链，以及KUBE-FIREWALL和KUBE-FORWARD这两条用户自定义链。iptables的内置链都有默认规则，例如在我们的例子中，INPUT、FORWARD和OUTPUT的默认规则是ACCEPT，即全部放行。用户自己定义的链后面都有一个引用计数，在我们的例子中KUBE-FIREWALL和KUBE-FORWARD都有一个引用，它们分别在INPUT和FORWARD中被引用

iptables的每条链下面的规则处理顺序是从上到下逐条遍历的，除非中途碰到DROP，REJECT，RETURN这些内置动作。如果iptables规则前面是自定义链，则意味着这条规则的动作是JUMP，即跳到这条自定义链遍历其下的所有规则，然后跳回来遍历原来那条链后面的规则。以上过程如图1-17所示。

3.配置防火墙规则策略 防火墙策略一般分为通和不通两种。如果默认策略是“全通”，例如上文的policy ACCEPT，就要定义一些策略来封堵；反之，如果默认策略是“全不通”，例如上文的policy DROP，就要定义一些策略来解封。如果是做访问控制列表（ACL），即俗称的白名单，则用解封策略更常用。

4.DNAT DNAT根据指定条件修改数据包的目标IP地址和目标端口。DNAT的原理和我们上文讨论的端口转发原理差不多，差别是端口转发不修改IP地址。使用iptables做目的地址转换的一个典型例子如下： -j DNAT表示目的地址转换，-d 1.2.3.4-p tcp--dport 80表示匹配的包条件是访问目的地址和端口为1.2.3.4:80的TCP包，--to-destination表示将该包的目的地址和端口修改成10.20.30.40:8080。同样，DNAT不修改协议。如果要匹配网卡，可以用-i eth0指定收到包的网卡（i是input的缩写）。需要注意的是，DNAT只发生在nat表的PREROUTING链，这也是我们要指定收到包的网卡而不是发出包的网卡的原因。 需要注意的是，当涉及转发的目的IP地址是外机时，需要确保启用ip forward功能，即把Linux当交换机用，命令如下： 5.SNAT/网络地址欺骗 神秘的网络地址欺骗其实是SNAT的一种。SNAT根据指定条件修改数据包的源IP地址，即DNAT的逆操作。与DNAT的限制类似，SNAT策略只能发生在nat表的POSTROUTING链。具体命令如下： -j SNAT表示源地址转换，-s 192.168.1.12表示匹配的包源地址是192.168.1.12，--to-source表示将该包的源地址修改成10.172.16.1。与DNAT类似，我们也可以匹配发包的网卡，例如-o eth0（o是output的缩写）。 至于网络地址伪装，其实就是一种特殊的源地址转换，报文从哪个网卡出就用该网卡上的IP地址替换该报文的源地址，具体用哪个IP地址由内核决定。下面这条规则的意思是：源地址是10.8.0.0/16的报文都做一次Masq。 与SNAT类似，如果要控制被替换的源地址，则可以指定匹配从哪块网卡发出报文。例如：-o eth0选项指定报文从eth0出去并使用eth0的IP地址做源地址伪装。 6.保存与恢复 上述方法对iptables规则做出的改变是临时的，重启机器后就会丢失。如果想永久保存这些更改，则需要运行以下命令： iptables-save在保存系统所有iptables规则的同时，也会在标准输出打印这些规则，如有需要可以重定向到一个文件，例如： 后续，我们可以使用iptables-restore命令还原iptables-save命令备份的iptables配置，原理就是逐条执行文件里的iptables规则，如下所示：

所有由netfilter框架实现的连接跟踪模块称作conntrack（connection tracking）。在DNAT的过程中，conntrack使用状态机启动并跟踪连接状态。为什么需要记录连接的状态呢？因为iptables/IPVS做了DNAT后需要记住数据包的目的地址被改成了什么，并且在返回数据包时将目的地址改回来。除此之外，iptables还可以依靠conntrack的状态（cstate）决定数据包的命运。其中最主要的4个conntrack状态如下： （1）NEW：匹配连接的第一个包，这表示conntrack对该数据包的信息一无所知。通常发生在收到SYN数据包时。 （2）ESTABLISHED：匹配连接的响应包及后续的包，conntrack知道该数据包属于一个已建立的连接。通常发生在TCP握手完成之后。 （3）RELATED：RELATED状态有点复杂，当一个连接与另一个ESTABLISHED状态的连接有关时，这个连接就被认为是RELATED。这意味着，一个连接要想成为RELATED，必须先有一条已经是ESTABLISHED状态的连接存在。这个ESTABLISHED状态连接再产生一个主连接之外的新连接，这个新连接就是RELATED状态。 （4）INVALID：匹配那些无法识别或没有任何状态的数据包，conntrack不知道如何处理它。该状态在分析Kubernetes故障的过程中起着重要的作用。

，即在三层网络的基础上构建一个虚拟的二层网络。为什么这么说呢？VXLAN的封包格式显示原来的二层以太网帧（包含MAC头部、IP头部和传输层头部的报文），被放在VXLAN包头里进行封装，再套到标准的UDP头部（UDP头部、IP头部和MAC头部），用来在底层网络上传输报文。 可以看出，VXLAN报文比原始报文多出了50个字节，包括8个字节的VXLAN协议相关的部分，8个字节的UDP头部，20个字节的IP头部和14个字节的MAC头部。这降低了网络链路传输有效数据的比例，特别是对小包。 需要注意的是，UDP目的端口是接收方VTEP设备使用的端口，IANA（Internet Assigned Numbers Authority，互联网号码分配局）分配了4789作为VXLAN的目的UDP端口。 VXLAN的配置管理使用iproute2包，这个工具是和VXLAN一起合入内核的，我们常用的ip命令就是iproute2的客户端工具。VXLAN要求Linux内核版本在3.7以上，最好为3.9以上，所以在一些旧版本的Linux上无法使用基于VXLAN的封包技术。 1.7.3　VXLAN组网必要信息 总的来说，VXLAN报文的转发过程就是：原始报文经过VTEP，被Linux内核添加上VXLAN包头及外层的UDP头部，再发送出去，对端VTEP接收到VXLAN报文后拆除外层UDP头部，并根据VXLAN头部的VNI把原始报文发送到目的服务器。 以上过程看似并不复杂，但前提是通信双方已经知道所有通信信息。第一次通信之前有以下问题待解决： ·哪些VTEP需要加到一个相同的VNI组？ ·发送方如何知道对方的MAC地址？ ·如何知道目的服务器在哪个节点上？ 第一个问题最好回答，VTEP通常由网络管理员进行配置。另外两个问题可以归结为同一个问题：VXLAN网络的通信双方如何感知彼此并选择正确的路径传输报文？要回答这两个问题，还得回到VXLAN协议报文上，看看一个完整的VXLAN报文需要哪些信息。 ·内层报文：通信双方的IP地址已经明确，需要VXLAN填充的是对方的MAC地址，VXLAN需要一个机制来实现ARP的功能； ·VXLAN头部：只需要知道VNI。它一般是直接配置在VTEP上的，即要么是提前规划的，要么是根据内部报文自动生成的； ·UDP头部：最重要的是源地址和目的地址的端口，源地址端口是由系统生成并管理的，目的端口一般固定为IANA分配的4789端口； ·IP头部：IP头部关心的是对端VTEP的IP地址，源地址可以用很简单的方式确定，目的地址是虚拟机所在地址宿主机VTEP的IP地址，需要由某种方式来确定； ·MAC头部：确定了VTEP的IP地址，MAC地址可以通过经典的ARP方式获取，毕竟VTEP在同一个三层网络内。 总结一下，一个VXLAN报文需要确定两个地址信息：内层报文（对应目的虚拟机/容器）的MAC地址和外层报文（对应目的虚拟机/容器所在宿主机上的VTEP）IP地址。如果VNI也是动态感知的，那么VXLAN一共需要知道三个信息：内部MAC、VTEP IP和VNI。 一般有两种方式获得以上VXLAN网络的必要信息：多播和控制中心。多播的概念是同一个VXLAN网络的VTEP加入同一个多播网络。如果需要知道以上信息，就在组内发送多播来查询。控制中心的概念是在某个集中式的地方保存所有虚拟机的上述信息，自动告知VTEP它需要的信息即可。

◎emptyDir

◎ConfigMap：将保存在ConfigMap资源对象中的配置文件信息挂载到容器内的某个目录下。

◎Secret：将保存在Secret资源对象中的密码密钥等信息挂载到容器内的某个文件中。

◎downwardAPI：将downward API的数据以环境变量或文件的形式注入容器中。

◎gitRepo：将某Git代码库挂载到容器内的某个目录下。

◎hostPath：将宿主机的目录或文件挂载到容器内进行使用。

◎local：Kubernetes从v1.9版本引入，将本地存储以PV的形式提供给容器使用，并能够实现存储空间的管理。

◎PV（Persistent Volume）：将共享存储定义为一种“持久存储卷”，可以被多个容器应用共享使用。

◎PVC（Persistent Volume Claim）：用户对存储资源的一次“申请”，PVC申请的对象是PV，一旦申请成功，应用就能够像使用本地目录一样使用共享存储了。

共享存储主要用于多个应用都能够使用的存储资源

Persistent Volume Claim和Persistent Volume的生命周期

优点：配置简单，便于容器实例的水平扩展；存储性能也与直接在物理机上启动应用相当，几乎没有磁盘I/O的额外损耗。

缺点：在容器被销毁或删除之后，容器内部的存储也会一并被销毁，数据持久化保存比较困难；同时，在业务逻辑上要求每个容器实例存储的文件相互没有关联。

Volume类型的选择。

适用场景：

注意事项：

优点：数据不会因为容器销毁而丢失，可永久保存；存储性能与直接在物理机上使用相当，没有磁盘I/O的额外损耗。

缺点：容器实例使用宿主机存储目录，多实例的应用在同一台宿主机上的目录配置变得复杂，要求各实例对存储的使用互不干扰；另外，如果历史数据在后续的业务处理过程中仍然需要使用，则容器应用将对Node宿主机形成绑定关系，不利于容器应用在故障恢复时选择其他可用的Node重建。

◎ 使用hostPath类型的Volume，将宿主机目录挂载到容器内。

◎ 使用local类型的PV。

优点：配置简单，数据的持久化、备份都由共享存储提供了解决方案，也便于容器实例的水平扩展。

缺点：由于共享存储多是网络存储的，所以在进行文件读写时都要经过网络传输，存储性能比直接在物理机上使用差很多。 Volume类型选择：使用PV或StorageClass类型的Volume。

◎ 静态PV可以选择NFS、FC、iSCSI等Volume类型。

◎ 动态PV可以选择GlusterFS、Ceph等Volume类型。

适用场景：适合有状态类型的容器应用，以及对磁盘I/O性能要求不是很高的应用，例如小型数据库类的应用。这类应用如果有水平扩展的需求，则可以考虑使用Kubernetes 的StatefulSet来部署应用和存储。 注意事项：应该考虑存储设备的成本和性能指标。

共享型的数据卷可以被不同节点上的多个Pod同时使用，因此能够很方便地支持容器在集群各节点之间的迁移。

Kubernetes可以支持多种类型的数据卷，Pod可以同时使用多种类型和任意数量的存储卷。

在Pod中通过指定下面的字段来使用数据卷。

· spec.volumes：通过此字段提供指定的数据卷。

· spec.containers.volumeMounts：通过此字段将数据卷挂接到容器中。

· emptyDir：空目录。在Pod分配到Node上时被创建，属于Node上的本地存储，生命周期和Pod一样，没有持久性，当Pod从Node上被移除时，emptyDir中的数据会被永久删除。

· hostPath：映射Node文件系统中的文件或目录到Pod中。

· local：允许用户通过标准PVC接口访问Node节点的本地存储。物理卷的定义中需要包含描述节点亲和性的信息，Kubernetes基于该信息将容器调度到正确的Node节点上。

· rbd：Ceph块存储。

· cinder：OpenStack块存储。

· nfs：用于将现有的网络文件系统挂载到Pod中。在Pod被移除时，网络文件系统数据卷被卸载，但是其中的内容并不会被删除。这意味着在网络文件系统数据卷中可以预先填充数据，并且可以在Pod之间共享。网络文件系统可以被同时挂载到多个Pod中，并能同时进行写入。但是使用的前提是：网络文件系统服务器必须已经被部署运行，并已经设置了共享目录。

· iscsi：允许将现有的iSCSI卷挂载到容器中。Pod被移除时，iSCSI卷被卸载，但是其中的内容将被保留。这意味着iSCSI卷可以预先填充数据，并且这些数据可以在Pod之间共享。

· persistentVolumeClaim：用于将PersistentVolume挂载到Pod中，使用此类型的数据卷时，用户并不知道数据卷的详细信息。

· 配置：即PV的创建，可以采用静态方式直接创建PV，也可以使用StorageClass动态创建。

· 绑定：将PV分配给PVC。

· 使用：Pod通过PVC使用该卷。

· 释放：Pod释放卷并删除PVC。

· 回收：回收PV，可以保留PV以便下次使用，也可以直接删除。 配置阶段的工作是为集群提供可用的存储卷，可以采用静态或动态两种方式进行创建，工作流程分别如图9-13和图9-14所示。 图9-13　静态配置

引入了 StorageClass、Volume、PVC(Persistent Volume Claim)、PV(Persitent Volume) 的概念，将存储独立于Pod 的生命周期来进行管理。

StorageClass 用于指示存储的类型，不同的存储类型可以通过不同的StorageClass 来为用户提供服务。StorageClass 主要包含存储插件provisioner、卷的创建和mount 参数等字段。

PVC 由用户创建，代表用户对存储需求的声明，主要包含需要的存储大小、存储卷的访问模式、stroageclass 等类型，其中存储卷的访问模式必须与存储的类型一致，包含的三种类型如表2-17 所示。

pV 由集群管理员提前创建，或者根据PVC 的申请需求动态地创建，它代表系统后端的真实的存储空间，可以称之为卷空间。 用户通过创建PVC 来申请存储。控制器通过PVC 的StorageClass 和请求的大小声明来存储后端创建卷，进而创建PV，Pod 通过指定PVC 来引用存储。Pod、PVC、PV、StorageClass 等卷之间的相互关系如图2-23 所示。

in-tree 插件是指插件代码编译在Kubernetes 控制器和kubelet 中，归属于Kubernetes的核心代码库。

Kubernetes 支持的存储插件不断增加，in-tree 插件与其之间的强依赖关系导致系统维护成本过高，且插件代码与Kubernetes 的核心代码共享同一进程，因此当插件代码异常崩溃时，会导致Kubernetes 核心模块不可用。

不同的存储驱动对应不同的可执行文件，该可执行文件可以实现FlexVolume 存储插件需要的attach/detach、mount/umount 等操作。

部署与Kubernetes 核心组件分离的可执行文件，使得存储驱动有独立的升级和部署周期，解决了in-tree 存储插件的强耦合问题。但是in-tree 存储插件对Kubernetes 核心组件的强依赖问题依然存在：

FlexVolume 插件需要宿主机用root 权限来安装插件驱动。

FlexVolume 存储驱动需要宿主机安装attach、mount 等工具，也需要具有root 访问权限。

对于FlexVolume 基于可执行文件的方式，CSI 通过RPC 的方式与存储驱动进行交互。在设计CSI 的时候，Kubernetes 对CSI 存储驱动的打包和部署要求很少，主要定义 了 Kubernetes 的两 个相关 模块： kube-controller-manager 和 kubelet 。kube-controller-manager 模块用于感知CSI 驱动存在，kubelet 模块用于与CSI 驱动进行交互

通常可以为服务设置轮询的负载分发模式。

在客户端需要保持会话的应用场景中，应设置负载分发模式为“会话保持”。

什么场景下需要使用hostNetwork模式呢？在服务需要使用固定的IP地址和端口号，以及需要提高I/O效率的时候，可以使用hostNetwork模式。需要注意的是，当容器出现故障或者容器所在的宿主机出现故障，而无法通过简单地在另一台宿主机上重建一个容器继续提供服务时，为了保证服务的高可用性，通常应该在部署这类服务的时候就引入额外的负载均衡器或其他工具来避免单点故障。

上例中的web-service应用设置了Node Port为30001，说明这是一个对集群外部提供服务的应用。 在Kubernetes集群内部，各个微服务通常都无须将端口号映射到宿主机上，仅需要对集群外部提供服务的应用进行设置，同时需要对端口号进行完整的管理。

图

·终止Pod（部署的副本集将创建新的Pod）。

·删除并重新创建部署（具有相同的效果，但是你无须显式地终止Pod）。

·应用其他更改并重新部署。 让我们看看在代码中是如何使用它的，代码在svc/link_manager/service/link_manager_service.go文件中： os.Getenv()标准库函数从环境变量中获取PORT和MAX_LINKS_PER_USER的值，这一点非常棒，它允许我们测试Kubernetes集群之外的服务而不影响正常的配置。

·通过命令行中的值。

·来自一个或多个文件。

·从整个目录。

·通过直接创建ConfigMap YAML清单。

无论哪种方式，最后所有ConfigMap都是一组键值对，键和值是什么取决于创建ConfigMap的方法。在使用ConfigMap时--dry-run标志很有用，通过它可以在实际创建之前查看将要创建的ConfigMap。让我们看一些例子，下面是从命令行参数创建ConfigMap的方法： 这是测试ConfigMap最常用的方式，但是，你必须使用烦琐的--from-literal参数分别指定每个配置项。 从文件创建ConfigMap是一种更可行的方法。它与GitOps概念配合得很好，你可以在其中保留用于创建ConfigMap的源配置文件的历史记录。我们可以创建一个非常简单的名为comics.yaml的YAML文件： 接下来，使用以下命令从该文件创建ConfigMap（只是--dry-run试运行）

◎ 平台管理员：负责整个平台范围内的租户管理，并为租户分配其需要的系统资源。包括租户的创建、系统资源分区的设置、资源分区与租户进行绑定等管理工作。

◎ 租户管理员：为一个租户范围内的管理员，如果系统比较复杂，则可以通过创建用户组和用户，进一步细分资源分区，将细分的资源分区与用户进行绑定等操作，完成租户范围内的安全管理。如果系统不很复杂，则租户管理员也可以作为普通用户，在其可用的资源分区上部署应用。

◎ 普通用户：主要负责应用的管理，包括应用的部署、更新、监控、查错等应用全生命周期管理。普通用户应该无须关心平台级别的资源设置，只需在可用的资源分区上管理业务应用。

图

Kubernetes会从集群的可用服务IP池中为每个新创建的服务分配一个稳定的集群内访问IP地址，称为Cluster IP。

Kubernetes还会通过添加DNS条目为Cluster IP分配主机名。

Cluster IP和主机名在集群内是独一无二的，并且在服务的整个生命周期内不会更改。只有将服务从集群中删除，Kubernetes才会释放Cluster IP和主机名。

用户可以使用服务的Cluster IP或主机名访问正常运行的Pod。

Kubernetes会尽可能均匀地将流量分布到在多个节点上运行的Pod，

因此一个或若干个（但不是所有）节点的服务中断情况不会影响服务的整体可用性。

Kube-proxy是一个基于出站流量的负载平衡控制器，

它监控Kubernetes API Service并持续将服务IP（包括Cluster IP等）映射到运行状况良好的Pod，落实到主机上就是iptables/IPVS等路由规则。

访问服务的IP会被这些路由规则直接DNAT到Pod IP，然后走底层容器

注意：服务分配的Cluster IP是一个虚拟IP，刚接触Kubernetes Service的人经常犯的错误是试图ping这个IP，然后发现它没有任何响应。实际上，这个虚拟IP只有和它的port一起使用才有作用，直接访问该IP或者想访问该IP的其他端口都是徒劳。

而与之对应的spec.ports［］.targetPort是后端Pod的端口，Kubernetes会自动做一次映射（80->8080），具体实现机制后面会详细解释。Kubernetes Service能够支持TCP、UDP和SCTP三种协议，默认是TCP协议。

port表示Service暴露的服务端口，也是客户端访问用的端口，例如Cluster IP:port是提供给集群内部客户访问Service的入口。需要注意的是，port不仅是Cluster IP上暴露的端口，还可以是external IP和Load Balancer IP。

Service的port并不监听在节点IP上，即无法通过节点IP:port的方式访问Service。

NodePort是Kubernetes提供给集群外部访问Service入口的一种方式（另一种方式是Load Balancer）

targetPort很好理解，它是应用程序实际监听Pod内流量的端口，从port和NodePort上到来的数据，最终经过Kube-proxy流入后端Pod的targetPort进入容器。 在配置服务时，可以选择定义port和targetPort的值重新映射其监听端口，这也被称为Service的端口重映射。Kube-proxy通过在节点上iptables规则管理此端口的重新映射过程。

Kubernetes DNS服务的功能，

域名解析基本原理

3.7.3　DNS使用

标签是附加在Kubernetes API资源对象之上的具有辨识性的分类标识符，使用键值型数据表达，通常仅对用户具有特定意义。一个对象可以拥有多个标签，一个标签也可以附加于多个对象（通常是同一类对象）之上。 图1-11　Kubernetes资源标签

是K8s内部服务对外暴露的基础，LoadBalancer底层依赖于NodePort。

NodePort背后是Kube-Proxy，Kube-Proxy是沟通Service网络、Pod网络和节点网络的桥梁。

通过Ingress，我们可以同时对外暴露K8s内部的多个服务，但是只需要购买1个(或者少量)LB。Ingress本质也是一种K8s的特殊Service，它也通过HostPort(80/443)对外暴露。

通过Kubectl Proxy或者Port Forward，可以在本地环境快速调试访问K8s中的服务或Pod。

type=ClusterIP，表示仅内部可访问服务，

type=NodePort，表示通过NodePort对外暴露服务，

type=LoadBalancer，表示通过LoadBalancer对外暴露服务(底层对接NodePort，一般公有云才支持)。

DNS被认为是Kubernetes中的“附加”组件，集群没有它也能正常工作。然而，很少有集群不使用DNS，而且Kubernetes DNS规范被认为是标准一致性套件的一部分。如果一个发行版不提供符合Kubernetes规范的DNS服务，就不能声明它符合Kubernetes规范，该规范定义了用于定位集群中运行服务的DNS名称。 该规范是一种形式固定的DNS模式。也就是说，它定义一组特定的名称，这些名称必须基于API服务器的内容存在。Kubernetes中的Service资源是用户指定服务发现模式的主要方式。 规范中的所有记录都属于集群域（cluster domain）。通常，你会看到集群域被设置为cluster.local，通常也会在网上找到的示例中看到。在一些托管解决方案中（比如Google Kubernetes Engine（GKE））不能更改这个域，但是普通的开源Kubernetes允许你选择使用任何域。 规范要求对于每个Cluster IP都有一条包含它的A记录，其名称来源于服务名称和命名空间：service.namespace.svc.cluster-domain。示例6-1中定义的Service部署在集群域cluster.example.com中，使用dig命令的行为如示例6-3所示。

CoreDNS 包含一个内存态DNS，以及与其他controller 类似的控制器。

CoreDNS 的实现原理是，控制器监听Service 和Endpoint 的变化并配置DNS，客户端Pod在进行域名解析时，从 CoreDNS 中查询服务对应的地址记录

CoreDNS 完成域名配置后，要查询其中配置好的域名信息，则需要完成调用方的DNS配置。Kubernetes Pod 有一个与DNS 策略相关的属性DNSPolicy，默认值是ClusterFirst，在此模式下，Pod 启动后的/etc/resolv.conf 会被改写，所有的地址解析优先发送至CoreDNS

nameServer 指向的地址为在kubelet 启动参数中配置好的kube-DNS 的服务地址。当Pod 发起域名解析请求时，该请求会被发送至192.168.0.10 这个地址，而这个地址保存的是当前集群中所有服务的 FQDN 和 ClusterIP 的对应关系，因此，客户端只需查询svc1.ns1.svc.clusterdomain，即可获得ns1 下的svc1 的ClusterIP。

CoreDNS 是Kubernetes 集群插件，实现的是服务和服务ClusterIP 的域名配置，它提供的域名服务仅对集群内部客户端生效。对于有很多负载均衡设备和大量LoadBalancer 类型Service 的场景，需要自定义DNS provider，以实现与CoreDNS 相同的业务逻辑，以及与企业自有DNS 的集成。

iptables

ipvs

实现机制与其他控制器类似，其本身是一个控制回路（Control Loop），

该Control Loop 监听API Server 中Service 和Endpoint 发生的变更，并针对这些信息在其所运行的节点上创建转发规则。

其关注集群的所有Service，以及对应的Endpoint 变更，并根据这些信息改写本机的iptables 或ipvs 规则。

这意味着，当前集群中所有节点的iptables/ipvs 规则完全一致，每台机器上的规则都包含了整个集群的完整负载均衡配置，

当kube-proxy 在iptables 模式下工作时，会对主机的iptables 进行改写，其目的是当用户访问服务的clusterIP、nodePort、LoadBalancerIP 地址时，能够通过iptables 的规则匹配完成数据转发。

当Pod处于Running且准备就绪状态时，Endpoints Controller会生成Endpoints对象。 运行在每个节点上的Kube-proxy会监控Service和Endpoints的更新，并调用其Load Balancer模块在主机上刷新路由转发规则。

每个Pod都可以通过Liveness Probe和Readiness probe探针解决健康检查问题，当有Pod处于非准备就绪状态时，Kube-proxy会删除对应的转发规则。需要注意的是，Kube-proxy的Load Balancer模块并不那么智能，如果转发的Pod不能正常提供服务，它不会重试或尝试连接其他Pod。

Kube-proxy的Load Balancer模块实现有userspace、iptables和IPVS三种，当前主流的实现方式是iptables和IPVS。随着iptables在大规模环境下暴露出了扩展性和性能问题，越来越多的厂商开始使用IPVS模式。 Kube-proxy的转发模式可以通过启动参数--proxy-mode进行配置，有userspace、iptables、ipvs等可选项。

首先，它通过 ReplicaSet 的个数来描述应用的版本；

然后，它再通过 ReplicaSet 的属性（比如 replicas 的值），来保证 Pod 的副本数量。

滚动发布是一种高级发布机制，支持按批次滚动发布，用户体验不中断，适用于版本兼容发布。蓝绿发布则适用于版本不兼容发布。

K8s中的Deployment是对RepcliaSet+滚动发布流程的一种包装。

发布机制类似Replicaset

kind: ReplicaSet

apiVersion: extensions/v1beta1

拓扑状态。应用的多个实例之间不是完全对等的关系。这些应用实例，必须按照某些顺序启动，它们再次被创建出来时也必须严格按照这个顺序才行。

并且，新创建出来的 Pod，必须和原来 Pod 的网络标识一样，这样原先的访问者才能使用同样的方法，访问到这个新 Pod。

存储状态。应用的多个实例分别绑定了不同的存储数据。对于这些应用实例来说，Pod A 第一次读取到的数据，和隔了十分钟之后再次读取到的数据，应该是同一份，哪怕在此期间 Pod A 被重新创建过。这种情况最典型的例子，就是一个数据库应用的多个存储实例。

使用 Pod 模板创建 Pod 的时候，对它们进行编号，并且按照编号顺序逐一完成创建工作。

而当 StatefulSet 的“控制循环”发现 Pod 的“实际状态”与“期望状态”不一致，需要新建或者删除 Pod 进行“调谐”的时候，它会严格按照这些 Pod 编号的顺序，逐一完成这些操作。

将配置保留在 ConfigMap 和 Secret 资源对象中， 数据则可存于PersistentVolumes 上。

通过 Exec、TCPSocket 或HTTPGet 定期检查容器的存活状态，

Kubernetes 根据检查结果进行主动重启。

亦是通过上面三种方法之一定期执行健康检查，判定容器是否准备就绪可以接收流量。

Pod 的所有容器都准备就绪时，即视为Pod 准备就绪。加到Service 的负载均衡列表中；

当Pod 尚未就绪时，会将其从Service 的负载平衡列表中删除。

最长的宕机时间为：检测周期×失败次数阈值+容器启动就绪时间。

对启动缓慢的容器进行Probe 时，应合理设置初始探针检查的延时（通过参数 “initialDelaySeconds” 设置），避免它们在启动和就绪之前被kubelet 杀死。

run 在集群中运行一个指定的镜像

set 为 objects 设置一个指定的特征

（1）如果服务器可以访问Internet，并且不希望使用HTTPS的安全机制来访问gcr.io，则可以在Docker Daemon的启动参数中加上--insecure-registry gcr.io来表示可以进行匿名下载。

（2）如果Kubernetes的集群环境在内网环境中，无法访问gcr.io网站，则可以先通过一台能够访问gcr.io的机器将pause镜像下载下来，导出后，再导入内网的Docker私有镜像库中，并在kubelet的启动参数中加上--pod_infra_container_image，配置为：

Master组件对集群做出全局性决策（比如调度），以及检测和响应集群事件。

节点组件在每个节点上运行，维护运行的Pod并提供Kubernetes运行时环境。

kube-apiserver对外暴露了Kubernetes API，如果kube-apiserver出现异常就可能会导致：

etcd用于Kubernetes的后端存储，所有的集群数据都存在这里。

kube-controller-manager和kube-scheduler分别用于控制器管理和Pod的调度，如果出现问题就可能导致： ·相关控制器无法工作。

kubelet是主要的节点代理，如果节点宕机（VM关机）或者kubelet出现异常（比如无法启动），那么可能会导致：

CoreDNS

kube-proxy是Kubernetes在每个节点上运行网络代理。如果出现了异常，就可能导致该节点Pod通信异常。

健康状态检查——初诊

1.查看日志

2.查看资源详情和事件

3.查看资源配置

部署图

PID

UTS

IPC

Network

Mount

User

memory

cpu

Cpuset

Blkio

Istio根据输入的流量比例来确定流量分发的比重，范围限制为[0，100]。

图

基于浏览器的分发：选择允许访问的浏览器。

基于操作系统的分发：选择允许访问的操作系统。

基于Cookie的分发：使用正则表达式来匹配Cookie内容。

基于HTTP请求头（header）的分发：使用正则表达式来匹配自定义的请求头。

·重定向和转发外部目标的流量，例如从其他外部系统使用的API，或者遗留系统基础架构中的服务流量。

·为外部目标服务定义流量策略，例如重试、超时和故障注入策略。

·将虚拟机（VM）中运行的服务添加到一个服务网格中，以实现混合场景下的服务管理。

·从不同的集群中逻辑添加服务到同一个服务网格中，以在Kubernetes上配置多集群模式的Istio服务网格。

Envoy是一个独立进程，Envoy之间形成一个透明的通信网格，每个应用程序发送消息到本地主机或从本地主机接收消息，但无需关心网络拓扑。

Envoy使用了单进程多线程的架构模型。一个主线程管理各种琐碎的任务，而一些工作子线程则负责执行监听、过滤和转发功能。

连接到Envoy并发送请求、接收响应的主机叫下游主机，也就是说下游主机代表的是发送请求的主机。

与下游相对，接收请求的主机叫上游主机。

监听器是命名网络地址，包括端口、unix domain socket等，可以被下游主机连接。

Envoy暴露一个或者多个监听器给下游主机连接。每个监听器都独立配置一些网络级别（即三层或四层）的过滤器。

当监听器接收到新连接时，配置好的本地过滤器将被实例化，并开始处理后续事件。

一般来说监听器架构用于执行绝大多数不同的代理任务，例如限速、TLS客户端认证、HTTP连接管理、MongoDB sniff ing、原始TCP代理等。

集群是指Envoy连接的一组逻辑相同的上游主机。

○ SDS/EDS（Service/Endpoint（v2） Discovery Service）：节点发现服务，

○ CDS（Cluster Discovery Service）：集群发现服务，

○ RDS（Route Discovery Service）：路由规则发现服务，

○ LDS（Listener Discovery Service）：监听器发现服务，

例如，暴露一个或者多个监听器给下游主机连接，通过端口暴露给外部的应用程序；

通过定义路由规则处理监听器中传输的流量，并将该流量定向到目标集群，等等。

首先，Envoy是一种代理，在网络体系架构中扮演着中介的角色，可以为网络中的流量管理添加额外的功能，

其次，Envoy中的集群（Cluster）本质上是指Envoy连接到的逻辑上相同的一组上游主机。

1

2

1）Envoy Proxy首先根据请求匹配一个Istio虚拟服务，每一个Proxy都会对应一个主机与虚拟服务信息列表，根据请求地址，选择其中对应的主机（Kubernetes服务），并根据选择的主机信息，找到对应的Istio虚拟服务。

2）Istio虚拟服务描述路由到目标主机的规则，并根据选择的主机信息，找到对应的Istio虚拟服务；根据规则，Proxy找到满足条件的第一个目标主机（对应到一个Kubernetes service）。

3）Proxy调用目标pod，Proxy根据满足条件的目标主机信息寻找对应的目标pod，并根据定义的流量策略（包括负载均衡等）路由到相应的pod。

图

命名空间

service1 的V1 v2版本定义

DestinationRule定义的策略决定了经过路由处理之后的流量的访问策略。

VirtualService定义了一系列针对指定服务的流量路由规则。每个路由规则都针对特定协议的匹配规则。如果流量符合这些特征，就会根据规则发送到服务注册表中的目标服务（或者目标服务的子集或版本）。具体定义可参见文件virtualservice-v1.yaml，内容摘录如下：

VirtualService是一个控制中心。

它的功能简单说来就是：定义一组条件，将符合该条件的流量按照在对象中配置的对应策略进行处理，最后将路由转到匹配的目标中。下面列出几个典型的应用场景。 （1）来自服务A版本1的服务，如果要访问服务B，则要将路由指向服务B的版本2。

（2）在服务X发往服务Y的HTTP请求中，如果Header包含“canary=true”，则把服务目标指向服务Y的版本3，否则发给服务Y的版本2。

（3）为从服务M到服务N的所有访问都加入延迟，以测试在网络状况不佳时的表现。

VirtualService 的配置

我们可能要以特定方式处理请求路由的原因有多个。例如，我们可能会部署微服务的多个版本，例如运输服务，并希望仅将一小部分请求路由到新版本。

我们可以使用虚拟服务的路由规则来实现这一点：

熔断器基本上是一种软件设计模式，用于检测故障并封装防止故障进一步级联的逻辑。这有助于创建有弹性的微服务应用程序，以限制故障和延迟尖峰的影响。

双向身份验证是指双方在诸如TLS之类的身份验证协议中同时相互进行身份验证的情况。默认情况下，具有代理的服务之间的所有流量在Istio中都使用相互TLS。但是，没有代理的服务仍继续以纯文本格式接收流量。

虽然Istio将具有代理的服务之间的所有流量自动升级为双向TLS，但这些服务仍可以接收纯文本流量。我们可以选择使用PeerAuthentication策略在整个网格范围内实施双向TLS：

JSON Web令牌（JWT）是用于创建数据的标准，该数据的有效载荷中包含声明许多声明的JSON。为了在身份提供者和服务提供者之间传递经过身份验证的用户的身份和标准或自定义声明，这一点已被广泛接受。

我们可以在Istio中启用授权策略，以允许访问基于JWT的预订服务之类的服务：

VirtualService是一个控制中心。

它的功能简单说来就是：定义一组条件，将符合该条件的流量按照在对象中配置的对应策略进行处理，最后将路由转到匹配的目标中。下面列出几个典型的应用场景。

图

1.Gateway 在访问服务时，不论是网格内部的服务互访，还是通过Ingress进入网格的外部流量，首先要经过的设施都是Gateway。

2.VirtualService VirtualService对象主要由以下部分组成。

3.TCP/TLS/HTTP Route 路由对象目前可以是HTTP、TCP或者TLS中的一个，分别针对不同的协议进行工作。

4.DestinationWeight

5.Destination 目标对象（Destination）由Subset和Port两个元素组成。

6.小结 至此，流量经过多个对象的逐级处理，成功到达了Pod，在第7章会通过不同的案例来展示与Istio流量管理相关的功能。

config.istio.io中的对象用于为Mixer组件提供配置。

在3.1节中讲到，Mixer提供了预检和报告这两个功能，这两个功能看似简单，但是因为大量适配器的存在，变得相当复杂。图3-6简单展示了Mixer对数据的处理过程。 图3-6 1.Rule Rule对象是Mixer的入口，其中包含一个match成员和一个逻辑表达式，只有符合表达式判断的数据才会被交给Action处理。逻辑表达式中的变量被称为attribute（属性），其中的内容来自Envoy提交的数据。 2.Action Action负责解决的问题就是：将符合入口标准的数据，在用什么方式加工之后，交给哪个适配器进行处理。Action包含两个成员对象：一个是Instance，使用Template对接收到的数据进行处理；一个是Handler，代表一个适配器的实例，用于接收处理后的数据。 3.Instance Instance 主要用于为进入的数据选择一个模板，并在数据中抽取某些字段作为模板的参数，传输给模板进行处理。 4.Adapter Adapter在Istio中只被定义为一个行为规范，而一些必要的实例化数据是需要再次进行初始化的，例如RedisQuota适配器中的Redis地址，或者listchecker中的黑白名单等，只有这些数据得到正式的初始化，Adapter才能被投入使用。 经过Handler实例化之后的Adapter，就具备了工作功能。有些Adapter是Istio的自身实现，例如前面提到的listchecker或者memquota；有些Adapter是第三方服务，例如Prometheus或者Datadog等。Envoy传出的数据将会通过这些具体运行的Adapter的处理，得到预检结果，或者输出各种监控、日志及跟踪数据。 5.Template 顾名思义，Template是一个模板，用于对接收到的数据进行再加工。 进入Mixer中的数据都来自Sidecar，但是各种适配器应对的需求各有千秋，甚至同样一个适配器，也可能接收各种不同形式的数据（例如Prometheus可能会在同样一批数据中获取不同的指标），Envoy提供的原始数据和适配器所需要的输入数据存在格式上的差别，因此需要对原始数据进行再加工。 Template就是这样一种工具，在用户编制模板对象之后，经过模板处理的原始数据会被转换为符合适配器输入要求的数据格式，这样就可以在Instance字段中引用了。 6.Handler Handler对象用于对Adapter进行实例化。 这组对象的命名非常令人费解，但是从其功能列表中可以看出，Mixer管理了所有第三方资源的接入，大大扩展了Istio的作用范围，其应用难度自然水涨船高，应该说还是可以理解的。

它在网格级别、命名空间级别及服务级别都提供了认证策略的要求，要求在内容中包含服务间的通信认证，以及基于JWT的终端认证。这里简单介绍其中涉及的对象。 1.Policy Policy用于指定服务一级的认证策略，如果将其命名为“default”，那么该对象所在的命名空间会默认采用这一认证策略。 Policy对象由两个部分组成：策略目标和认证方法。 ◎ 策略目标包含服务名称（或主机名称）及服务端口号。 ◎ 认证方法由两个可选部分组成，分别是用于设置服务间认证的peers子对象，以及用于设置终端认证的origins子对象。 2.MeshPolicy MeshPolicy只能被命名为“default”，它代表的是所有网格内部应用的默认认证策略，其余部分内容和Policy一致。

图3-6 1.Rule 2.Action 3.Instance 4.Adapter 5.Template 6.Handler Handler对象用于对Adapter进行实例化。 这组对象的命名非常令人费解，但是从其功能列表中可以看出，Mixer管理了所有第三方资源的接入，大大扩展了Istio的作用范围，其应用难度自然水涨船高，应该说还是可以理解的。