Kubernetes容器运行原理 - 副本.docx

Kubernetes容器概述泼黑小vhojacontainer?“1.inuxcontainerISa.SroUPOfprocesses+hereartemj3W031.iiui*cocfoGc"SQt¾huwFMvt,<t<÷il>>*3"pf*M<A<1.inuxCOCtaiCerSareSoJfrco+hprocessesfhejjcHnirowe：-ss-ne÷w<k.11Mcu,T；ItlyjZnpe<e”IDsmicpulici*3CxVa.ConfusiOA'-ddiA"SomeiifntSme<S*li5htwe¾ktvnhFar.“Uk<÷o“GaJCMGiat"cabeSHUPJadfc+3ys<C)fgh¾Afl“吗VrUaJr4-Maioe/SC¼hry<¼a*÷容器能够有效地虚拟化主机操作系统(或内核)并将应用程序的依赖项与同一台机器上运行的其他容器隔离开,在容器出现之前，在同一个虚拟机(VM)上部署了多个应用程序，共享依敕项的任何更改都可能导致奇怪的事情发生，从而导致排障较为困难.容器主要通过两个部分解决这个问题：容器引擎和容器钺像，容器钺像是应用程序及其依赖项的包.容器引警在容器中运行应用程序，将其与主机上运行的其他应用程序隔窗开来.这样就无需为每个应用程序运行尊独的操作系统，从而提高宽海利用率并降低成本，当我们开始学习KUbeEeIeS时,我们并不完全清楚每个Pod是如何分配IP地址以及电服务容洪化后是如何正常工作。或许，我们可能或多或少J'解各个组件的慨念以及它们是如何独立工作.但是，在特定的环境下可能不清是这些组件是如何美联起来，例如，我们知道什么是CNl插件.然而,却不理解Kubernetes所涉狷的组件之间是如何相互调用，因此，基于对各种核心组件的了解，以及它们如何在Kubernetes然群中拼接在一起,以便使得第个Container能够基于其所设定的环境变量正确运行，在实际的业务环境中进行有效维护便显得尤为更要.在当前的Kubernetes生态体系中有多种网络解决方案以及容器运行时环境的各种选项.在本文中，笔者将试图从整个Kubernetes编排架构角度来阐述Container容器运行的基本原理，以使得大家能够更深入理解容器生态体系相关知识.CRI(容器运行时接口)架构CRl(ComainerRuntimeInterface)是一个插件接口，允许Kubelet使用不同的容器运行时.各种容器运行时实现了CRlAPI,这允许用户在他们的Kubernetes安装中使用他们选择的容器运行时,我们先简要f解一下Containerd的CRI插件架构,CRI插件是Kubernetes容器运行时接口(CRI)的实现。Containvrd与Kubelet在同节点上运行，Containerd内部的CRl插件处理来自KUbeIet的所有CRI服务请求，并使用Containerd内部结构来管理容4和容器镜像.CRI插件使用Containerd来管理整个容器生命周期和所有容器镜像.如所示,CRI通过CNI(容器网络接口)管理Pod网络。基干上述结构图.让我们梳理卜CRl插件如何基于Kubelet创建容器并运行Pod过程：1、Kubelet通过CRI运行时服务API调用CRl插件来创建Pod.2,CRl使用ContainerdInternal来创建和启动一个特殊的沙箱容器，并将该容器放在Pod的Cgroups和NaaeSPaCe命名空间中3、CRl使用CNl配置Pod的网络命名空间.4、Kubelet脑后通过CRl镜像服务API两用CRl插件来拉取应用容器镜像，若镜像不存在于节点上，CRI便进一步使用Containerd来拉取镜像。5.Kubelet然后通过CRI运行时服务API调用CRI,使用拉取的容器饿像在Pod内创建和启动应用程序容器.6、CRI使用ContainerdInternal创建应用容器，将其放入Pod的Cgroups和NameSpace中，然后启动Pod的新应用容器。在这些步骤之后，一个Pod及其相应的应用程序容器被创建井运行.CNI（容器网络接口）架构作为另一个CNCF项目，CNl（容器网络接口）也是一个公原生计奥基金会项目，由用在1.inUX容器中配置网络接口的规范和库以及许多受支持的插件组成.CNI只关心容器的网络连接和删除容器时删除分配的资源，正因为如此，CNI的支持范围很广，规范也很容易实现，为1.inUX容器提供基于插件的通用网络解决方案.也常来讲，CNl为容器运行时CR使用，例如KubernetestPodaan<.CRI-O、rkt>Openshift、CloudFoundry.AmazonECS.Singularity-.OpcnSVC以及Mesos等等.Container或Pod本身城初并不具备网络接口,容器运行时使用AD。、DE1.,CHECK等操作命令调用CNl插件,例如，ADD为容器创建一个新的网络接口，并将要添加的内容的详细信息通过JsON有效地传递给CNI.那么，通常如何在Kubemetcs中使用CNI?一般来讲，主要根据CNI配时.文件以确定选用哪种CNl插件，具体如下所示：1、在每个节点上配置CNIXft(etccnint.d/xxnet.conf),其中XXnel.conf表示网络配置文件的名称“2.基于CNI配置文件中进行二进制插件的安装部署.3、在节点上创建Pod后，KUbeIet会根据CNl配置文件运行前两步安装的CNl插件。1、墙丁上述进行Pod网络配置。CRI与CNI交互模型每个网络提供者都有一个CNI插件，容隅运行时会调用其来为Pod启动时配置网络.若葩于Containerd作为容器运行时，ContainerdeRl插件谓用CU插件，每个网络提供商也有一个安装在挣个Kubernetes节点上的代理,用于配四Pod网络.安装网络提供程序代理后，它要么随CNl配翼一起提供，要么在节点上创建一个，然后CRl抽件使用该代理来确定要调用哪个CNl插件。CNl配置文件的位置是可配置的，默认值为/etc/cni/net.dA集群管理员需要在都个节点上提供CNI插件.CNI插件的位置也是可配时.的，默认值为optcnibin.如果将Containerd作为容器运行时，可以在Containerd配置的plugins,io.containerd.grpc.vl.cri".cni部分下指定CNI赳置和CNl插件二进制文件的路径.我们以FlanneI网络方案为例，Flanrwld是Flannel守护进程，通常作为守护进程安袋在kubemetes集群上，使用install-cni作为初始化容器。install-cni容器在每个节点上创建CNI配置文件-etccninet.d10-fIanneI.conflist<.Flanneld创建一个YXIan设备>从ApiSerVer获取网络元数却并监视Pod上的更新。创建Pod时,它会为整个集群中的所有Pod分配路由,这些路由允许Pod通过其IP地址相互连接。ContainerdCRlPIUgin和CNIPlugin之间的交互模型，如下图所示:基于上所述，Kubelet调用ContainerdCRI插件以创建Pod,ContainerdCRI插件调用CNi插件为Pod配置网络.网络提供者CNI插件调用其他基础CNI插件来配古网络.容器运行流程图接下来,我们来看一下KubeIet,ContainerRuntime和CNl案件等它们是如何拼接在一起的，如何进行相互协作。当一个Pod被两度到一个节点上时，会触发不同的期件操作来启动一个Pod.在节点上调度Pod后,以卜.交互将进行网络配置并启动应用程序容涔，具体如下所示:最后，我们来看一个完整的Conlainer运行示意图，具体如下所示:以上为本文关于Container如何在Kubernetcs中运行的相关原理解析，若文中相关术语及内容表达有误，欢迎大家斯时沟通，交流.