活动公告

系统通知
通知:关于部分勋章领取条件及购买价格调整的通知
05-18 21:22
系统通知
通知:本站资源由网友上传分享,如有违规等问题请到版务模块进行投诉,资源失效请在帖子内回复要求补档,会尽快处理!
10-23 09:31
>社区 > 科技 > 经验交流 >帖子
本版发帖返回

深入浅出Kubernetes应用程序编排实战详解核心概念与操作步骤轻松部署管理容器化应用提升运维效率成为k8s高手

这是个蓝孩子 当前离线 威震华夏关云长
SunJu_FaceMall

3万

主题

2860

科技点

3万

积分

白金月票

碾压王

积分
32872

塔罗立华奏
<font color=白金月票" /> 发表于 2025-9-14 19:00:01 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
1. Kubernetes简介

Kubernetes(简称K8s)是一个开源的容器编排平台,用于自动化容器化应用程序的部署、扩展和管理。它最初由Google设计并捐赠给Cloud Native Computing Foundation(CNCF)来维护。Kubernetes提供了容器编排、服务发现、负载均衡、自动扩缩容、滚动更新等强大功能,使得容器化应用的部署和管理变得简单高效。

1.1 为什么需要Kubernetes

在微服务架构和DevOps实践中,容器化技术(如Docker)已经成为标准。然而,随着容器数量的增加,手动管理这些容器变得异常复杂。Kubernetes解决了以下问题:

• 服务发现和负载均衡:Kubernetes可以使用DNS名称或自己的IP地址公开容器,如果到容器的流量很大,Kubernetes可以负载均衡并分配网络流量,从而使部署稳定。
• 存储编排:Kubernetes允许你自动挂载你选择的存储系统,例如本地存储、公共云提供商等。
• 自动部署和回滚:你可以描述Kubernetes中已部署容器的所需状态,它可以以受控的速率将实际状态更改为所需状态。例如,你可以自动化Kubernetes来为你的部署创建新容器,删除现有容器并将它们的所有资源用于新容器。
• 自动二进制打包:Kubernetes允许你指定每个容器所需CPU和内存(RAM)。当容器指定了资源请求时,Kubernetes可以做出更好的决策来管理容器的资源。
• 自我修复:Kubernetes重新启动失败的容器、替换容器、杀死不响应用户定义的运行状况检查的容器,并且在准备好服务之前不将其通告给客户端。
• 密钥与配置管理:Kubernetes允许你存储和管理敏感信息,例如密码、OAuth令牌和ssh密钥。你可以部署和更新密钥和应用程序配置,而无需重新构建容器映像,也无需在堆栈配置中暴露密钥。

2. Kubernetes核心概念

2.1 Pod

Pod是Kubernetes中最小的可部署单元,一个Pod包含一个或多个紧密关联的容器。Pod中的容器共享网络命名空间和存储卷,它们可以通过localhost互相通信。

Pod示例YAML文件:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: nginx-pod
  6.   labels:
  7.     app: nginx
  8. spec:
  9.   containers:
  10.   - name: nginx
  11.     image: nginx:1.14.2
  12.     ports:
  13.     - containerPort: 80
复制代码

创建Pod的命令:
  2. kubectl apply -f nginx-pod.yaml
复制代码

2.2 Deployment

Deployment是Kubernetes中用于管理Pod副本的控制器,它提供了声明式的更新方式。你可以描述Deployment的目标状态,Deployment控制器会以受控的速率将实际状态更改为期望状态。

Deployment示例YAML文件:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: nginx-deployment
  6.   labels:
  7.     app: nginx
  8. spec:
  9.   replicas: 3
  10.   selector:
  11.     matchLabels:
  12.       app: nginx
  13.   template:
  14.     metadata:
  15.       labels:
  16.         app: nginx
  17.     spec:
  18.       containers:
  19.       - name: nginx
  20.         image: nginx:1.14.2
  21.         ports:
  22.         - containerPort: 80
复制代码

创建Deployment的命令:
  2. kubectl apply -f nginx-deployment.yaml
复制代码

2.3 Service

Service是Kubernetes中用于将一组Pod暴露为网络服务的抽象。它定义了一组Pod的逻辑集合以及访问它们的策略(有时称为微服务)。Service的目标是使Pod之间的通信更加稳定,因为Pod的IP地址可能会变化。

Service示例YAML文件:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: nginx-service
  6. spec:
  7.   selector:
  8.     app: nginx
  9.   ports:
  10.     - protocol: TCP
  11.       port: 80
  12.       targetPort: 80
  13.   type: LoadBalancer
复制代码

创建Service的命令:
  2. kubectl apply -f nginx-service.yaml
复制代码

2.4 Namespace

Namespace是Kubernetes中用于将集群划分为多个虚拟集群的机制。它允许在同一物理集群中运行多个环境(如开发、测试、生产),而不会相互干扰。

Namespace示例YAML文件:
  2. apiVersion: v1
  3. kind: Namespace
  4. metadata:
  5.   name: development
复制代码

创建Namespace的命令:
  2. kubectl apply -f development-namespace.yaml
复制代码

2.5 ConfigMap和Secret

ConfigMap用于存储非机密的配置数据,而Secret用于存储敏感数据,如密码、OAuth令牌和SSH密钥。

ConfigMap示例YAML文件:
  2. apiVersion: v1
  3. kind: ConfigMap
  4. metadata:
  5.   name: app-config
  6. data:
  7.   APP_COLOR: blue
  8.   APP_MODE: production
复制代码

Secret示例YAML文件:
  2. apiVersion: v1
  3. kind: Secret
  4. metadata:
  5.   name: app-secret
  6. type: Opaque
  7. data:
  8.   # echo -n 'admin' | base64
  9.   username: YWRtaW4=
  10.   # echo -n 'password' | base64
  11.   password: cGFzc3dvcmQ=
复制代码

创建ConfigMap和Secret的命令:
  2. kubectl apply -f app-config.yaml
  3. kubectl apply -f app-secret.yaml
复制代码

2.6 Volume

Volume是Kubernetes中用于Pod中容器之间共享数据以及持久化数据的机制。Kubernetes支持多种类型的Volume,如emptyDir、hostPath、persistentVolumeClaim等。

使用Volume的Pod示例:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: volume-pod
  6. spec:
  7.   containers:
  8.   - name: nginx
  9.     image: nginx
  10.     volumeMounts:
  11.     - name: html-volume
  12.       mountPath: /usr/share/nginx/html
  13.   volumes:
  14.   - name: html-volume
  15.     emptyDir: {}
复制代码

2.7 PersistentVolume和PersistentVolumeClaim

PersistentVolume(PV)是集群中的一块存储,由管理员配置或使用存储类动态配置。PersistentVolumeClaim(PVC)是用户对存储的请求,类似于Pod对节点的请求。

PersistentVolume示例YAML文件:
  2. apiVersion: v1
  3. kind: PersistentVolume
  4. metadata:
  5.   name: pv-volume
  6. spec:
  7.   capacity:
  8.     storage: 10Gi
  9.   accessModes:
  10.     - ReadWriteOnce
  11.   persistentVolumeReclaimPolicy: Retain
  12.   hostPath:
  13.     path: /data/pv-volume
复制代码

PersistentVolumeClaim示例YAML文件:
  2. apiVersion: v1
  3. kind: PersistentVolumeClaim
  4. metadata:
  5.   name: pv-claim
  6. spec:
  7.   accessModes:
  8.     - ReadWriteOnce
  9.   resources:
  10.     requests:
  11.       storage: 3Gi
复制代码

创建PV和PVC的命令:
  2. kubectl apply -f pv.yaml
  3. kubectl apply -f pvc.yaml
复制代码

2.8 Ingress

Ingress是Kubernetes中用于管理外部访问集群中服务的API对象,通常用于暴露HTTP和HTTPS路由。Ingress可以提供负载均衡、SSL终止和基于名称的虚拟主机等功能。

Ingress示例YAML文件:
  2. apiVersion: networking.k8s.io/v1
  3. kind: Ingress
  4. metadata:
  5.   name: nginx-ingress
  6.   annotations:
  7.     nginx.ingress.kubernetes.io/rewrite-target: /
  8. spec:
  9.   rules:
  10.   - host: example.com
  11.     http:
  12.       paths:
  13.       - path: /
  14.         pathType: Prefix
  15.         backend:
  16.           service:
  17.             name: nginx-service
  18.             port:
  19.               number: 80
复制代码

创建Ingress的命令:
  2. kubectl apply -f nginx-ingress.yaml
复制代码

3. Kubernetes集群架构

Kubernetes集群由多个组件组成,这些组件分为控制平面组件(Control Plane Components)和工作节点组件(Node Components)。

3.1 控制平面组件

控制平面组件负责管理集群的全局状态,做出全局决策,以及检测和响应集群事件。

kube-apiserver是Kubernetes控制平面的前端,它暴露了Kubernetes API。它是集群控制平面的入口,负责处理RESTful操作,验证和更新API对象的状态。

etcd是Kubernetes的键值存储,用于持久化存储集群的所有状态信息。etcd是分布式且高可用的,是Kubernetes集群的”唯一数据源”。

kube-scheduler负责监视新创建的、尚未分配节点的Pod,并选择节点让Pod在上面运行。调度决策考虑的因素包括资源需求、硬件/软件/策略约束、亲和性和反亲和性规范、数据位置、工作负载间干扰和最后期限等。

kube-controller-manager运行控制器进程,这些控制器负责在集群中运行常规任务。从逻辑上讲,每个控制器都是一个单独的进程,但为了降低复杂性,它们都被编译到同一个可执行文件中,并在一个进程中运行。

cloud-controller-manager是Kubernetes与云平台交互的组件,它允许你将集群连接到云提供商的API,并将与云平台交互的组件与与集群交互的组件分离。

3.2 工作节点组件

工作节点组件在每个节点上运行,负责维护运行的Pod并提供Kubernetes运行环境。

kubelet是在每个节点上运行的主要”节点代理”。它确保容器在Pod中运行。kubelet接收一组通过多种机制提供给它的PodSpec,并确保这些PodSpec中描述的容器处于健康状态。

kube-proxy是集群中每个节点上运行的网络代理,实现了Kubernetes Service概念的一部分。kube-proxy维护节点上的网络规则,这些规则允许与Pods的网络通信。

容器运行时是负责运行容器的软件,例如Docker、containerd或CRI-O。kubelet通过容器运行时接口(CRI)与容器运行时交互,以管理容器的生命周期。

4. 安装和设置Kubernetes集群

4.1 使用Minikube安装单节点集群

Minikube是一个工具,可以在本地快速运行单节点Kubernetes集群,适合学习和开发。

安装Minikube:

在Linux上:
  2. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
  3. sudo install minikube-linux-amd64 /usr/local/bin/minikube
复制代码

在macOS上:
  2. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-darwin-amd64
  3. sudo install minikube-darwin-amd64 /usr/local/bin/minikube
复制代码

在Windows上:
  2. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-windows-amd64.exe
  3. mv minikube-windows-amd64.exe minikube.exe
复制代码

启动Minikube集群:
  2. minikube start
复制代码

检查集群状态:
  2. kubectl cluster-info
复制代码

4.2 使用kubeadm安装多节点集群

kubeadm是Kubernetes官方提供的工具,用于快速部署Kubernetes集群。

在所有节点上安装Docker:
  2. # 更新apt包索引并安装依赖包
  3. sudo apt-get update
  4. sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common
  6. # 添加Docker的官方GPG密钥
  7. curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
  9. # 添加Docker的稳定版仓库
  10. sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
  12. # 安装Docker
  13. sudo apt-get update
  14. sudo apt-get install -y docker-ce docker-ce-cli containerd.io
  16. # 配置Docker使用systemd作为cgroup驱动
  17. sudo mkdir -p /etc/docker
  18. cat <<EOF | sudo tee /etc/docker/daemon.json
  19. {
  20.   "exec-opts": ["native.cgroupdriver=systemd"],
  21.   "log-driver": "json-file",
  22.   "log-opts": {
  23.     "max-size": "100m"
  24.   },
  25.   "storage-driver": "overlay2"
  26. }
  27. EOF
  29. # 重启Docker
  30. sudo systemctl enable docker
  31. sudo systemctl daemon-reload
  32. sudo systemctl restart docker
复制代码

在所有节点上安装kubeadm、kubelet和kubectl:
  2. # 添加Kubernetes的apt仓库
  3. sudo apt-get update && sudo apt-get install -y apt-transport-https curl
  4. curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -
  5. cat <<EOF | sudo tee /etc/apt/sources.list.d/kubernetes.list
  6. deb https://apt.kubernetes.io/ kubernetes-xenial main
  7. EOF
  9. # 安装kubeadm、kubelet和kubectl
  10. sudo apt-get update
  11. sudo apt-get install -y kubelet kubeadm kubectl
  12. sudo apt-mark hold kubelet kubeadm kubectl
  14. # 禁用swap
  15. sudo swapoff -a
  16. sudo sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab
复制代码

在主节点上初始化集群:
  2. sudo kubeadm init --pod-network-cidr=10.244.0.0/16
复制代码

初始化成功后,记录下kubeadm join命令,用于将工作节点加入集群。

配置kubectl:
  2. mkdir -p $HOME/.kube
  3. sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
  4. sudo chown $(id -u):$(id -g) $HOME/.kube/config
复制代码

安装网络插件(如Flannel):
  2. kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
复制代码

在工作节点上加入集群:
  2. sudo kubeadm join <master-ip>:<master-port> --token <token> --discovery-token-ca-cert-hash sha256:<hash>
复制代码

验证集群状态:
  2. kubectl get nodes
复制代码

5. 部署容器化应用

5.1 创建Docker镜像

在部署应用到Kubernetes之前,首先需要将应用打包成Docker镜像。

示例Dockerfile:
  2. # 使用官方Node.js运行时作为基础镜像
  3. FROM node:14
  5. # 设置工作目录
  6. WORKDIR /app
  8. # 复制package.json和package-lock.json
  9. COPY package*.json ./
  11. # 安装应用依赖
  12. RUN npm install
  14. # 复制应用代码
  15. COPY . .
  17. # 暴露应用端口
  18. EXPOSE 3000
  20. # 定义启动命令
  21. CMD [ "node", "app.js" ]
复制代码

构建Docker镜像:
  2. docker build -t my-node-app .
复制代码

将镜像推送到镜像仓库:
  2. docker tag my-node-app username/my-node-app:v1
  3. docker push username/my-node-app:v1
复制代码

5.2 使用Deployment部署应用

Deployment YAML文件示例:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: node-app-deployment
  6.   labels:
  7.     app: node-app
  8. spec:
  9.   replicas: 3
  10.   selector:
  11.     matchLabels:
  12.       app: node-app
  13.   template:
  14.     metadata:
  15.       labels:
  16.         app: node-app
  17.     spec:
  18.       containers:
  19.       - name: node-app
  20.         image: username/my-node-app:v1
  21.         ports:
  22.         - containerPort: 3000
  23.         env:
  24.         - name: NODE_ENV
  25.           value: "production"
  26.         resources:
  27.           requests:
  28.             memory: "64Mi"
  29.             cpu: "250m"
  30.           limits:
  31.             memory: "128Mi"
  32.             cpu: "500m"
  33.         livenessProbe:
  34.           httpGet:
  35.             path: /
  36.             port: 3000
  37.           initialDelaySeconds: 15
  38.           periodSeconds: 20
  39.         readinessProbe:
  40.           httpGet:
  41.             path: /
  42.             port: 3000
  43.           initialDelaySeconds: 5
  44.           periodSeconds: 10
复制代码

创建Deployment:
  2. kubectl apply -f node-app-deployment.yaml
复制代码

5.3 暴露应用服务

Service YAML文件示例:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: node-app-service
  6. spec:
  7.   selector:
  8.     app: node-app
  9.   ports:
  10.     - protocol: TCP
  11.       port: 80
  12.       targetPort: 3000
  13.   type: LoadBalancer
复制代码

创建Service:
  2. kubectl apply -f node-app-service.yaml
复制代码

5.4 使用Ingress暴露应用

Ingress YAML文件示例:
  2. apiVersion: networking.k8s.io/v1
  3. kind: Ingress
  4. metadata:
  5.   name: node-app-ingress
  6.   annotations:
  7.     nginx.ingress.kubernetes.io/rewrite-target: /
  8. spec:
  9.   rules:
  10.   - host: node-app.example.com
  11.     http:
  12.       paths:
  13.       - path: /
  14.         pathType: Prefix
  15.         backend:
  16.           service:
  17.             name: node-app-service
  18.             port:
  19.               number: 80
复制代码

创建Ingress:
  2. kubectl apply -f node-app-ingress.yaml
复制代码

6. 管理和扩展应用

6.1 扩展应用

手动扩展Deployment:
  2. kubectl scale deployment node-app-deployment --replicas=5
复制代码

自动扩展(Horizontal Pod Autoscaler):
  2. apiVersion: autoscaling/v2beta2
  3. kind: HorizontalPodAutoscaler
  4. metadata:
  5.   name: node-app-hpa
  6. spec:
  7.   scaleTargetRef:
  8.     apiVersion: apps/v1
  9.     kind: Deployment
  10.     name: node-app-deployment
  11.   minReplicas: 3
  12.   maxReplicas: 10
  13.   metrics:
  14.   - type: Resource
  15.     resource:
  16.       name: cpu
  17.       target:
  18.         type: Utilization
  19.         averageUtilization: 50
  20.   - type: Resource
  21.     resource:
  22.       name: memory
  23.       target:
  24.         type: Utilization
  25.         averageUtilization: 80
复制代码

创建HPA:
  2. kubectl apply -f node-app-hpa.yaml
复制代码

6.2 滚动更新

更新Deployment的镜像版本:
  2. kubectl set image deployment/node-app-deployment node-app=username/my-node-app:v2
复制代码

或者直接编辑Deployment:
  2. kubectl edit deployment node-app-deployment
复制代码

查看更新状态:
  2. kubectl rollout status deployment/node-app-deployment
复制代码

回滚到上一个版本:
  2. kubectl rollout undo deployment/node-app-deployment
复制代码

查看更新历史:
  2. kubectl rollout history deployment/node-app-deployment
复制代码

6.3 蓝绿部署

蓝绿部署是一种减少停机时间的部署策略,它通过维护两个相同的生产环境(蓝色和绿色)来实现。在任何时候,只有一个环境是活动的。

蓝绿部署示例:

1. 首先创建绿色环境的Deployment:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: node-app-deployment-green
  6.   labels:
  7.     app: node-app
  8.     version: green
  9. spec:
  10.   replicas: 3
  11.   selector:
  12.     matchLabels:
  13.       app: node-app
  14.       version: green
  15.   template:
  16.     metadata:
  17.       labels:
  18.         app: node-app
  19.         version: green
  20.     spec:
  21.       containers:
  22.       - name: node-app
  23.         image: username/my-node-app:v2
  24.         ports:
  25.         - containerPort: 3000
复制代码

1. 创建绿色环境的Service:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: node-app-service-green
  6. spec:
  7.   selector:
  8.     app: node-app
  9.     version: green
  10.   ports:
  11.     - protocol: TCP
  12.       port: 80
  13.       targetPort: 3000
  14.   type: LoadBalancer
复制代码

1. 测试绿色环境,确保一切正常。
2. 更新Ingress,将流量从蓝色环境切换到绿色环境:

测试绿色环境,确保一切正常。

更新Ingress,将流量从蓝色环境切换到绿色环境:
  2. apiVersion: networking.k8s.io/v1
  3. kind: Ingress
  4. metadata:
  5.   name: node-app-ingress
  6.   annotations:
  7.     nginx.ingress.kubernetes.io/rewrite-target: /
  8. spec:
  9.   rules:
  10.   - host: node-app.example.com
  11.     http:
  12.       paths:
  13.       - path: /
  14.         pathType: Prefix
  15.         backend:
  16.           service:
  17.             name: node-app-service-green
  18.             port:
  19.               number: 80
复制代码

1. 确认流量已切换到绿色环境后,可以删除蓝色环境。

6.4 金丝雀发布

金丝雀发布是一种逐步将流量从旧版本切换到新版本的策略,可以降低发布风险。

金丝雀发布示例:

1. 创建新版本的Deployment:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: node-app-deployment-v2
  6.   labels:
  7.     app: node-app
  8.     version: v2
  9. spec:
  10.   replicas: 1
  11.   selector:
  12.     matchLabels:
  13.       app: node-app
  14.       version: v2
  15.   template:
  16.     metadata:
  17.       labels:
  18.         app: node-app
  19.         version: v2
  20.     spec:
  21.       containers:
  22.       - name: node-app
  23.         image: username/my-node-app:v2
  24.         ports:
  25.         - containerPort: 3000
复制代码

1. 创建新版本的Service:
  2. apiVersion: v1
  3. kind: Service
  4. metadata:
  5.   name: node-app-service-v2
  6. spec:
  7.   selector:
  8.     app: node-app
  9.     version: v2
  10.   ports:
  11.     - protocol: TCP
  12.       port: 80
  13.       targetPort: 3000
  14.   type: LoadBalancer
复制代码

1. 使用Ingress或Service Mesh(如Istio)来控制流量分配。以下是使用Ingress的示例:
  2. apiVersion: networking.k8s.io/v1
  3. kind: Ingress
  4. metadata:
  5.   name: node-app-ingress
  6.   annotations:
  7.     nginx.ingress.kubernetes.io/rewrite-target: /
  8.     nginx.ingress.kubernetes.io/canary: "true"
  9.     nginx.ingress.kubernetes.io/canary-weight: "10"
  10. spec:
  11.   rules:
  12.   - host: node-app.example.com
  13.     http:
  14.       paths:
  15.       - path: /
  16.         pathType: Prefix
  17.         backend:
  18.           service:
  19.             name: node-app-service-v2
  20.             port:
  21.               number: 80
复制代码

1. 逐步增加新版本的流量比例,直到所有流量都切换到新版本。
2. 确认新版本稳定后,可以删除旧版本。

逐步增加新版本的流量比例,直到所有流量都切换到新版本。

确认新版本稳定后,可以删除旧版本。

7. 配置管理和密钥管理

7.1 使用ConfigMap管理配置

ConfigMap允许你将配置数据与容器镜像解耦,从而使应用程序更具可移植性。

创建ConfigMap:
  2. kubectl create configmap app-config --from-file=config.properties
复制代码

或者使用YAML文件:
  2. apiVersion: v1
  3. kind: ConfigMap
  4. metadata:
  5.   name: app-config
  6. data:
  7.   config.properties: |
  8.     database.url=jdbc:mysql://db.example.com:3306/mydb
  9.     database.username=admin
  10.     database.password=password
  11.     app.theme=dark
  12.     app.feature.enabled=true
复制代码

在Pod中使用ConfigMap:

1. 作为环境变量:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: configmap-pod
  6. spec:
  7.   containers:
  8.     - name: my-app
  9.       image: my-app-image
  10.       envFrom:
  11.         - configMapRef:
  12.             name: app-config
复制代码

1. 作为卷挂载:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: configmap-volume-pod
  6. spec:
  7.   containers:
  8.     - name: my-app
  9.       image: my-app-image
  10.       volumeMounts:
  11.         - name: config-volume
  12.           mountPath: /etc/config
  13.   volumes:
  14.     - name: config-volume
  15.       configMap:
  16.         name: app-config
复制代码

7.2 使用Secret管理敏感数据

Secret用于存储敏感数据,如密码、OAuth令牌和SSH密钥。

创建Secret:
  2. kubectl create secret generic db-secret --from-literal=username=admin --from-literal=password=password
复制代码

或者使用YAML文件:
  2. apiVersion: v1
  3. kind: Secret
  4. metadata:
  5.   name: db-secret
  6. type: Opaque
  7. data:
  8.   username: YWRtaW4=  # base64编码的"admin"
  9.   password: cGFzc3dvcmQ=  # base64编码的"password"
复制代码

在Pod中使用Secret:

1. 作为环境变量:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: secret-pod
  6. spec:
  7.   containers:
  8.     - name: my-app
  9.       image: my-app-image
  10.       env:
  11.         - name: DB_USERNAME
  12.           valueFrom:
  13.             secretKeyRef:
  14.               name: db-secret
  15.               key: username
  16.         - name: DB_PASSWORD
  17.           valueFrom:
  18.             secretKeyRef:
  19.               name: db-secret
  20.               key: password
复制代码

1. 作为卷挂载:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: secret-volume-pod
  6. spec:
  7.   containers:
  8.     - name: my-app
  9.       image: my-app-image
  10.       volumeMounts:
  11.         - name: secret-volume
  12.           mountPath: "/etc/secret"
  13.           readOnly: true
  14.   volumes:
  15.     - name: secret-volume
  16.       secret:
  17.         secretName: db-secret
复制代码

7.3 使用Helm管理应用配置

Helm是Kubernetes的包管理器,它允许你定义、安装和升级复杂的Kubernetes应用。

安装Helm:

在Linux上:
  2. curl https://baltocdn.com/helm/signing.asc | gpg --dearmor | sudo tee /usr/share/keyrings/helm.gpg > /dev/null
  3. echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/helm.gpg] https://baltocdn.com/helm/stable/debian/ all main" | sudo tee /etc/apt/sources.list.d/helm-stable-debian.list
  4. sudo apt-get update
  5. sudo apt-get install helm
复制代码

在macOS上:
  2. brew install helm
复制代码

创建Helm Chart:
  2. helm create my-chart
复制代码

Chart目录结构:
  2. my-chart/
  3.   Chart.yaml          # Chart的元数据
  4.   values.yaml         # Chart的默认配置值
  5.   charts/             # 依赖的Chart
  6.   templates/          # 模板文件
  7.     NOTES.txt         # 安装后说明
  8.     deployment.yaml   # Deployment模板
  9.     service.yaml      # Service模板
  10.     ingress.yaml      # Ingress模板
  11.     _helpers.tpl      # 模板助手
复制代码

自定义values.yaml示例:
  2. replicaCount: 3
  4. image:
  5.   repository: username/my-node-app
  6.   pullPolicy: IfNotPresent
  7.   tag: "v1"
  9. service:
  10.   type: LoadBalancer
  11.   port: 80
  12.   targetPort: 3000
  14. ingress:
  15.   enabled: true
  16.   annotations:
  17.     nginx.ingress.kubernetes.io/rewrite-target: /
  18.   hosts:
  19.     - host: node-app.example.com
  20.       paths: ["/"]
  22. resources:
  23.   limits:
  24.     cpu: 500m
  25.     memory: 128Mi
  26.   requests:
  27.     cpu: 250m
  28.     memory: 64Mi
复制代码

部署Helm Chart:
  2. helm install my-release ./my-chart
复制代码

升级Helm Release:
  2. helm upgrade my-release ./my-chart
复制代码

回滚Helm Release:
  2. helm rollback my-release 1
复制代码

8. 网络配置

8.1 Kubernetes网络模型

Kubernetes网络模型要求所有Pod可以在不使用NAT的情况下相互通信,并且所有节点可以在不使用NAT的情况下与所有Pod通信。为了实现这一点,Kubernetes提供了多种网络插件,如Flannel、Calico、Weave Net等。

8.2 安装网络插件

安装Flannel:
  2. kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
复制代码

安装Calico:
  2. kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
复制代码

8.3 网络策略

网络策略允许你控制Pod之间的网络流量,实现微服务之间的隔离。

网络策略示例:
  2. apiVersion: networking.k8s.io/v1
  3. kind: NetworkPolicy
  4. metadata:
  5.   name: backend-network-policy
  6.   namespace: default
  7. spec:
  8.   podSelector:
  9.     matchLabels:
  10.       app: backend
  11.   policyTypes:
  12.   - Ingress
  13.   - Egress
  14.   ingress:
  15.   - from:
  16.     - podSelector:
  17.         matchLabels:
  18.           app: frontend
  19.     ports:
  20.     - protocol: TCP
  21.       port: 8080
  22.   egress:
  23.   - to:
  24.     - podSelector:
  25.         matchLabels:
  26.           app: database
  27.     ports:
  28.     - protocol: TCP
  29.       port: 3306
复制代码

创建网络策略:
  2. kubectl apply -f backend-network-policy.yaml
复制代码

8.4 Service Mesh

Service Mesh是一种用于处理服务间通信的基础设施层,它提供了可靠的服务间通信、负载均衡、服务发现、故障恢复、度量和监控等功能。Istio是一个流行的Service Mesh实现。

安装Istio:
  2. # 下载Istio
  3. curl -L https://istio.io/downloadIstio | sh -
  5. # 进入Istio目录
  6. cd istio-*
  8. # 添加istioctl到PATH
  9. export PATH=$PWD/bin:$PATH
  11. # 安装Istio
  12. istioctl install --set profile=demo
复制代码

为命名空间启用Istio注入:
  2. kubectl label namespace default istio-injection=enabled
复制代码

部署应用:
  2. kubectl apply -f node-app-deployment.yaml
复制代码

创建Gateway和VirtualService:
  2. apiVersion: networking.istio.io/v1alpha3
  3. kind: Gateway
  4. metadata:
  5.   name: node-app-gateway
  6. spec:
  7.   selector:
  8.     istio: ingressgateway
  9.   servers:
  10.   - port:
  11.       number: 80
  12.       name: http
  13.       protocol: HTTP
  14.     hosts:
  15.     - "node-app.example.com"
  16. ---
  17. apiVersion: networking.istio.io/v1alpha3
  18. kind: VirtualService
  19. metadata:
  20.   name: node-app-virtualservice
  21. spec:
  22.   hosts:
  23.   - "node-app.example.com"
  24.   gateways:
  25.   - node-app-gateway
  26.   http:
  27.   - route:
  28.     - destination:
  29.         host: node-app-service
  30.         port:
  31.           number: 80
复制代码

创建Gateway和VirtualService:
  2. kubectl apply -f istio-gateway.yaml
复制代码

9. 存储管理

9.1 Volume类型

Kubernetes支持多种Volume类型,包括:

• emptyDir:一个临时的空目录,生命周期与Pod相同。
• hostPath:将主机节点的文件系统中的文件或目录挂载到Pod中。
• persistentVolumeClaim:使用持久卷声明来挂载存储。
• configMap、secret、downwardAPI:特殊类型的卷,用于将Kubernetes资源暴露给Pod。
• CSI(容器存储接口):允许第三方存储供应商编写代码来暴露新的存储系统。

9.2 使用PersistentVolume和PersistentVolumeClaim

PersistentVolume示例:
  2. apiVersion: v1
  3. kind: PersistentVolume
  4. metadata:
  5.   name: nfs-pv
  6. spec:
  7.   capacity:
  8.     storage: 10Gi
  9.   accessModes:
  10.     - ReadWriteMany
  11.   persistentVolumeReclaimPolicy: Retain
  12.   nfs:
  13.     path: /data/nfs
  14.     server: nfs-server.example.com
复制代码

PersistentVolumeClaim示例:
  2. apiVersion: v1
  3. kind: PersistentVolumeClaim
  4. metadata:
  5.   name: nfs-pvc
  6. spec:
  7.   accessModes:
  8.     - ReadWriteMany
  9.   resources:
  10.     requests:
  11.       storage: 5Gi
复制代码

在Pod中使用PVC:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: nfs-pod
  6. spec:
  7.   containers:
  8.     - name: nfs-container
  9.       image: nginx
  10.       volumeMounts:
  11.         - name: nfs-volume
  12.           mountPath: /usr/share/nginx/html
  13.   volumes:
  14.     - name: nfs-volume
  15.       persistentVolumeClaim:
  16.         claimName: nfs-pvc
复制代码

9.3 StorageClass

StorageClass允许管理员定义存储的”类”,不同的类可能映射到不同的服务质量级别、备份策略或由集群管理员确定的任意策略。

StorageClass示例:
  2. apiVersion: storage.k8s.io/v1
  3. kind: StorageClass
  4. metadata:
  5.   name: fast-ssd
  6. provisioner: kubernetes.io/gce-pd
  7. parameters:
  8.   type: pd-ssd
复制代码

使用StorageClass的PVC:
  2. apiVersion: v1
  3. kind: PersistentVolumeClaim
  4. metadata:
  5.   name: fast-ssd-pvc
  6. spec:
  7.   accessModes:
  8.     - ReadWriteOnce
  9.   storageClassName: fast-ssd
  10.   resources:
  11.     requests:
  12.       storage: 10Gi
复制代码

9.4 动态卷配置

动态卷配置允许StorageClass根据需要自动创建PersistentVolume。要使用动态卷配置,你需要:

1. 确保集群中有一个支持动态配置的存储插件。
2. 创建一个StorageClass,定义如何配置卷。
3. 创建一个PersistentVolumeClaim,引用该StorageClass。

示例:
  2. apiVersion: v1
  3. kind: PersistentVolumeClaim
  4. metadata:
  5.   name: dynamic-pvc
  6. spec:
  7.   accessModes:
  8.     - ReadWriteOnce
  9.   storageClassName: fast-ssd  # 引用StorageClass
  10.   resources:
  11.     requests:
  12.       storage: 10Gi
复制代码

10. 监控和日志

10.1 使用Prometheus和Grafana进行监控

Prometheus是一个开源的监控和告警系统,特别适合于Kubernetes环境。Grafana是一个开源的度量分析和可视化套件。

安装Prometheus Operator:
  2. kubectl create namespace monitoring
  3. helm repo add prometheus-community https://prometheus-community.github.io/helm-charts
  4. helm repo update
  5. helm install prometheus prometheus-community/kube-prometheus-stack -n monitoring
复制代码

访问Prometheus UI:
  2. kubectl port-forward -n monitoring svc/prometheus-kube-prometheus-prometheus 9090:9090
复制代码

访问Grafana UI:
  2. kubectl port-forward -n monitoring svc/prometheus-grafana 3000:3000
复制代码

10.2 使用ELK Stack进行日志管理

ELK Stack(Elasticsearch、Logstash和Kibana)是一个流行的日志管理解决方案。

安装Elasticsearch:
  2. apiVersion: apps/v1
  3. kind: StatefulSet
  4. metadata:
  5.   name: elasticsearch
  6.   namespace: logging
  7. spec:
  8.   serviceName: elasticsearch
  9.   replicas: 1
  10.   selector:
  11.     matchLabels:
  12.       app: elasticsearch
  13.   template:
  14.     metadata:
  15.       labels:
  16.         app: elasticsearch
  17.     spec:
  18.       containers:
  19.       - name: elasticsearch
  20.         image: docker.elastic.co/elasticsearch/elasticsearch:7.10.1
  21.         ports:
  22.         - containerPort: 9200
  23.           name: http
  24.         - containerPort: 9300
  25.           name: transport
  26.         env:
  27.         - name: discovery.type
  28.           value: single-node
  29.         - name: ES_JAVA_OPTS
  30.           value: "-Xms512m -Xmx512m"
  31.         volumeMounts:
  32.         - name: data
  33.           mountPath: /usr/share/elasticsearch/data
  34.   volumeClaimTemplates:
  35.   - metadata:
  36.       name: data
  37.     spec:
  38.       accessModes: [ "ReadWriteOnce" ]
  39.       resources:
  40.         requests:
  41.           storage: 10Gi
  42. ---
  43. apiVersion: v1
  44. kind: Service
  45. metadata:
  46.   name: elasticsearch
  47.   namespace: logging
  48. spec:
  49.   ports:
  50.   - port: 9200
  51.     name: http
  52.   selector:
  53.     app: elasticsearch
复制代码

安装Kibana:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: kibana
  6.   namespace: logging
  7. spec:
  8.   replicas: 1
  9.   selector:
  10.     matchLabels:
  11.       app: kibana
  12.   template:
  13.     metadata:
  14.       labels:
  15.         app: kibana
  16.     spec:
  17.       containers:
  18.       - name: kibana
  19.         image: docker.elastic.co/kibana/kibana:7.10.1
  20.         ports:
  21.         - containerPort: 5601
  22.         env:
  23.         - name: ELASTICSEARCH_HOSTS
  24.           value: http://elasticsearch:9200
  25. ---
  26. apiVersion: v1
  27. kind: Service
  28. metadata:
  29.   name: kibana
  30.   namespace: logging
  31. spec:
  32.   ports:
  33.   - port: 5601
  34.     name: http
  35.   selector:
  36.     app: kibana
复制代码

安装Filebeat(日志收集器):
  2. apiVersion: v1
  3. kind: ConfigMap
  4. metadata:
  5.   name: filebeat-config
  6.   namespace: logging
  7. data:
  8.   filebeat.yml: |-
  9.     filebeat.inputs:
  10.     - type: container
  11.       paths:
  12.       - /var/log/containers/*.log
  13.       processors:
  14.       - add_kubernetes_metadata:
  15.           host: ${NODE_NAME}
  16.           matchers:
  17.           - logs_path:
  18.               logs_path: "/var/log/containers/"
  20.     output.elasticsearch:
  21.       hosts: ['elasticsearch:9200']
  22. ---
  23. apiVersion: apps/v1
  24. kind: DaemonSet
  25. metadata:
  26.   name: filebeat
  27.   namespace: logging
  28. spec:
  29.   selector:
  30.     matchLabels:
  31.       app: filebeat
  32.   template:
  33.     metadata:
  34.       labels:
  35.         app: filebeat
  36.     spec:
  37.       serviceAccountName: filebeat
  38.       terminationGracePeriodSeconds: 30
  39.       containers:
  40.       - name: filebeat
  41.         image: docker.elastic.co/beats/filebeat:7.10.1
  42.         args: [
  43.           "-c", "/etc/filebeat.yml",
  44.           "-e",
  45.         ]
  46.         env:
  47.         - name: NODE_NAME
  48.           valueFrom:
  49.             fieldRef:
  50.               fieldPath: spec.nodeName
  51.         securityContext:
  52.           runAsUser: 0
  53.         volumeMounts:
  54.         - name: config
  55.           mountPath: /etc/filebeat.yml
  56.           readOnly: true
  57.           subPath: filebeat.yml
  58.         - name: data
  59.           mountPath: /usr/share/filebeat/data
  60.         - name: varlog
  61.           mountPath: /var/log
  62.           readOnly: true
  63.         - name: varlibdockercontainers
  64.           mountPath: /var/lib/docker/containers
  65.           readOnly: true
  66.       volumes:
  67.       - name: config
  68.         configMap:
  69.           defaultMode: 0600
  70.           name: filebeat-config
  71.       - name: data
  72.         hostPath:
  73.           path: /var/lib/filebeat-data
  74.           type: DirectoryOrCreate
  75.       - name: varlog
  76.         hostPath:
  77.           path: /var/log
  78.       - name: varlibdockercontainers
  79.         hostPath:
  80.           path: /var/lib/docker/containers
  81. ---
  82. apiVersion: rbac.authorization.k8s.io/v1
  83. kind: ClusterRole
  84. metadata:
  85.   name: filebeat
  86. rules:
  87. - apiGroups: [""]
  88.   resources:
  89.   - namespaces
  90.   - pods
  91.   verbs:
  92.   - get
  93.   - watch
  94.   - list
  95. ---
  96. apiVersion: v1
  97. kind: ServiceAccount
  98. metadata:
  99.   name: filebeat
  100.   namespace: logging
  101. ---
  102. apiVersion: rbac.authorization.k8s.io/v1
  103. kind: ClusterRoleBinding
  104. metadata:
  105.   name: filebeat
  106. subjects:
  107. - kind: ServiceAccount
  108.   name: filebeat
  109.   namespace: logging
  110. roleRef:
  111.   kind: ClusterRole
  112.   name: filebeat
  113.   apiGroup: rbac.authorization.k8s.io
复制代码

10.3 使用Kubernetes Dashboard

Kubernetes Dashboard是一个基于Web的Kubernetes用户界面。

安装Dashboard:
  2. kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.2.0/aio/deploy/recommended.yaml
复制代码

创建访问Dashboard的ServiceAccount和ClusterRoleBinding:
  2. apiVersion: v1
  3. kind: ServiceAccount
  4. metadata:
  5.   name: admin-user
  6.   namespace: kubernetes-dashboard
  7. ---
  8. apiVersion: rbac.authorization.k8s.io/v1
  9. kind: ClusterRoleBinding
  10. metadata:
  11.   name: admin-user
  12. roleRef:
  13.   apiGroup: rbac.authorization.k8s.io
  14.   kind: ClusterRole
  15.   name: cluster-admin
  16. subjects:
  17. - kind: ServiceAccount
  18.   name: admin-user
  19.   namespace: kubernetes-dashboard
复制代码

获取访问令牌:
  2. kubectl -n kubernetes-dashboard get secret $(kubectl -n kubernetes-dashboard get sa/admin-user -o jsonpath="{.secrets[0].name}") -o go-template="{{.data.token | base64decode}}"
复制代码

访问Dashboard:
  2. kubectl proxy
复制代码

然后在浏览器中访问:http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/

11. 故障排除

11.1 常见问题及解决方案

可能原因:

• 集群资源不足
• 节点不可用
• 调度约束(如节点选择器、亲和性/反亲和性规则)无法满足
• 持久卷声明无法绑定

排查步骤:
  2. # 查看Pod详细信息
  3. kubectl describe pod <pod-name>
  5. # 查看节点资源使用情况
  6. kubectl top nodes
  8. # 查看事件
  9. kubectl get events --sort-by=.metadata.creationTimestamp
复制代码

可能原因:

• 应用程序错误
• 配置错误
• 资源限制过低
• 依赖服务不可用

排查步骤:
  2. # 查看Pod日志
  3. kubectl logs <pod-name>
  5. # 查看前一个容器的日志
  6. kubectl logs <pod-name> --previous
  8. # 查看Pod详细信息
  9. kubectl describe pod <pod-name>
  11. # 进入Pod进行调试
  12. kubectl exec -it <pod-name> -- /bin/bash
复制代码

可能原因:

• Service的selector与Pod的标签不匹配
• 网络策略阻止了访问
• 端口配置错误
• kube-proxy问题

排查步骤:
  2. # 查看Service详细信息
  3. kubectl describe service <service-name>
  5. # 查看Service的端点
  6. kubectl get endpoints <service-name>
  8. # 检查Pod标签
  9. kubectl get pods --show-labels
  11. # 在Pod内部测试连接
  12. kubectl exec -it <pod-name> -- wget -qO- <service-name>.<namespace>.svc.cluster.local:<port>
复制代码

11.2 调试工具

kubectl debug是一个强大的调试工具,可以创建调试容器或复制Pod进行调试。

创建调试容器:
  2. kubectl debug -it <pod-name> --image=busybox --target=<container-name> -- /bin/sh
复制代码

复制Pod进行调试:
  2. kubectl debug -it <pod-name> --image=busybox --copy-to=<debug-pod-name> -- /bin/sh
复制代码

创建临时Pod:
  2. kubectl run -it --rm debug-pod --image=busybox -- /bin/sh
复制代码

在临时Pod中,可以使用nslookup、wget、curl等工具测试网络连接。

将Pod端口转发到本地:
  2. kubectl port-forward <pod-name> <local-port>:<pod-port>
复制代码

将Service端口转发到本地:
  2. kubectl port-forward svc/<service-name> <local-port>:<service-port>
复制代码

12. 最佳实践和提升运维效率的技巧

12.1 资源管理最佳实践

为所有容器设置资源请求和限制,以确保集群资源的合理分配和防止资源耗尽。

示例:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: my-app
  6. spec:
  7.   template:
  8.     spec:
  9.       containers:
  10.       - name: my-app
  11.         image: my-app-image
  12.         resources:
  13.           requests:
  14.             memory: "64Mi"
  15.             cpu: "250m"
  16.           limits:
  17.             memory: "128Mi"
  18.             cpu: "500m"
复制代码

使用ResourceQuota限制命名空间中的资源使用量。

示例:
  2. apiVersion: v1
  3. kind: ResourceQuota
  4. metadata:
  5.   name: compute-resources
  6.   namespace: dev
  7. spec:
  8.   hard:
  9.     requests.cpu: "4"
  10.     requests.memory: 8Gi
  11.     limits.cpu: "10"
  12.     limits.memory: 16Gi
复制代码

使用LimitRange为命名空间中的容器设置默认资源请求和限制。

示例:
  2. apiVersion: v1
  3. kind: LimitRange
  4. metadata:
  5.   name: mem-limit-range
  6.   namespace: dev
  7. spec:
  8.   limits:
  9.   - default:
  10.       memory: 512Mi
  11.     defaultRequest:
  12.       memory: 256Mi
  13.     type: Container
复制代码

12.2 安全最佳实践

使用Role-Based Access Control(RBAC)控制对Kubernetes资源的访问。

示例:
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. kind: Role
  4. metadata:
  5.   namespace: default
  6.   name: pod-reader
  7. rules:
  8. - apiGroups: [""]
  9.   resources: ["pods"]
  10.   verbs: ["get", "watch", "list"]
  11. ---
  12. apiVersion: rbac.authorization.k8s.io/v1
  13. kind: RoleBinding
  14. metadata:
  15.   name: read-pods
  16.   namespace: default
  17. subjects:
  18. - kind: User
  19.   name: jane
  20.   apiGroup: rbac.authorization.k8s.io
  21. roleRef:
  22.   kind: Role
  23.   name: pod-reader
  24.   apiGroup: rbac.authorization.k8s.io
复制代码

使用Pod Security Policy(PSP)控制Pod的安全设置。

示例:
  2. apiVersion: policy/v1beta1
  3. kind: PodSecurityPolicy
  4. metadata:
  5.   name: restricted
  6. spec:
  7.   privileged: false
  8.   allowPrivilegeEscalation: false
  9.   requiredDropCapabilities:
  10.     - ALL
  11.   volumes:
  12.     - 'configMap'
  13.     - 'emptyDir'
  14.     - 'projected'
  15.     - 'secret'
  16.     - 'downwardAPI'
  17.     - 'persistentVolumeClaim'
  18.   runAsUser:
  19.     rule: 'MustRunAsNonRoot'
  20.   seLinux:
  21.     rule: 'RunAsAny'
  22.   fsGroup:
  23.     rule: 'RunAsAny'
复制代码

使用NetworkPolicy控制Pod之间的网络流量。

示例:
  2. apiVersion: networking.k8s.io/v1
  3. kind: NetworkPolicy
  4. metadata:
  5.   name: default-deny
  6. spec:
  7.   podSelector: {}
  8.   policyTypes:
  9.   - Ingress
  10.   - Egress
复制代码

12.3 自动化最佳实践

GitOps是一种使用Git作为声明式基础架构和应用程序的单一事实来源的方法。Argo CD是一个流行的GitOps工具。

安装Argo CD:
  2. kubectl create namespace argocd
  3. kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml
复制代码

创建Argo CD Application:
  2. apiVersion: argoproj.io/v1alpha1
  3. kind: Application
  4. metadata:
  5.   name: my-app
  6.   namespace: argocd
  7. spec:
  8.   project: default
  9.   source:
  10.     repoURL: 'https://github.com/yourusername/your-repo.git'
  11.     targetRevision: HEAD
  12.     path: k8s
  13.   destination:
  14.     server: 'https://kubernetes.default.svc'
  15.     namespace: default
  16.   syncPolicy:
  17.     automated:
  18.       prune: true
  19.       selfHeal: true
复制代码

使用Jenkins、GitLab CI、GitHub Actions等工具创建CI/CD管道,自动化构建、测试和部署流程。

GitHub Actions示例:
  2. name: Build and Deploy to Kubernetes
  4. on:
  5.   push:
  6.     branches: [ main ]
  8. jobs:
  9.   build-and-deploy:
  10.     runs-on: ubuntu-latest
  11.     steps:
  12.     - uses: actions/checkout@v2
  13.    
  14.     - name: Build Docker image
  15.       run: |
  16.         docker build -t my-app:${{ github.sha }} .
  17.         docker tag my-app:${{ github.sha }} my-registry/my-app:${{ github.sha }}
  18.         
  19.     - name: Push Docker image
  20.       run: |
  21.         echo ${{ secrets.DOCKER_PASSWORD }} | docker login -u ${{ secrets.DOCKER_USERNAME }} --password-stdin
  22.         docker push my-registry/my-app:${{ github.sha }}
  23.         
  24.     - name: Deploy to Kubernetes
  25.       uses: steebchen/kubectl@v2.0.0
  26.       with:
  27.         config: ${{ secrets.KUBE_CONFIG }}
  28.         command: set image deployment/my-app my-app=my-registry/my-app:${{ github.sha }}
复制代码

Operator是一种使用自定义资源扩展Kubernetes API的方法,用于管理复杂的应用程序。

使用Operator SDK创建Operator:
  2. # 安装Operator SDK
  3. curl -L https://github.com/operator-framework/operator-sdk/releases/download/v1.10.1/operator-sdk_linux_amd64 -o operator-sdk
  4. chmod +x operator-sdk
  5. sudo mv operator-sdk /usr/local/bin/
  7. # 创建新Operator项目
  8. operator-sdk init --domain example.com --repo github.com/example/my-operator
  10. # 创建API和控制器
  11. operator-sdk create api --group apps --version v1alpha1 --kind MyApp
复制代码

12.4 性能优化最佳实践

使用多阶段构建和精简基础镜像来减小Docker镜像大小。

多阶段构建示例:
  2. # 构建阶段
  3. FROM node:14 as builder
  4. WORKDIR /app
  5. COPY package*.json ./
  6. RUN npm install
  7. COPY . .
  8. RUN npm run build
  10. # 生产阶段
  11. FROM nginx:alpine
  12. COPY --from=builder /app/dist /usr/share/nginx/html
  13. EXPOSE 80
  14. CMD ["nginx", "-g", "daemon off;"]
复制代码

使用Horizontal Pod Autoscaler(HPA)根据CPU或内存使用情况自动调整Pod数量。

示例:
  2. apiVersion: autoscaling/v2beta2
  3. kind: HorizontalPodAutoscaler
  4. metadata:
  5.   name: my-app-hpa
  6. spec:
  7.   scaleTargetRef:
  8.     apiVersion: apps/v1
  9.     kind: Deployment
  10.     name: my-app
  11.   minReplicas: 2
  12.   maxReplicas: 10
  13.   metrics:
  14.   - type: Resource
  15.     resource:
  16.       name: cpu
  17.       target:
  18.         type: Utilization
  19.         averageUtilization: 50
  20.   - type: Resource
  21.     resource:
  22.       name: memory
  23.       target:
  24.         type: Utilization
  25.         averageUtilization: 80
复制代码

使用Cluster Autoscaler根据资源需求自动调整集群节点数量。

安装Cluster Autoscaler:
  2. kubectl apply -f https://raw.githubusercontent.com/kubernetes/autoscaler/master/cluster-autoscaler/cloudprovider/aws/examples/cluster-autoscaler-autodiscover.yaml
复制代码

12.5 成本优化最佳实践

使用节点亲和性和污点将工作负载分配到适当的节点,优化资源利用。

示例:
  2. apiVersion: apps/v1
  3. kind: Deployment
  4. metadata:
  5.   name: memory-intensive-app
  6. spec:
  7.   template:
  8.     spec:
  9.       affinity:
  10.         nodeAffinity:
  11.           requiredDuringSchedulingIgnoredDuringExecution:
  12.             nodeSelectorTerms:
  13.             - matchExpressions:
  14.               - key: node.kubernetes.io/instance-type
  15.                 operator: In
  16.                 values:
  17.                 - memory-optimized
  18.       containers:
  19.       - name: app
  20.         image: my-app
  21.         resources:
  22.           requests:
  23.             memory: "8Gi"
  24.           limits:
  25.             memory: "16Gi"
复制代码

在云环境中使用Spot实例(AWS)或抢占式实例(GCP)来降低成本。

使用Kubernetes调度器支持Spot实例:
  2. apiVersion: v1
  3. kind: Pod
  4. metadata:
  5.   name: spot-pod
  6. spec:
  7.   affinity:
  8.     nodeAffinity:
  9.       requiredDuringSchedulingIgnoredDuringExecution:
  10.         nodeSelectorTerms:
  11.         - matchExpressions:
  12.           - key: cloud.google.com/gke-spot
  13.             operator: Exists
  14.   containers:
  15.   - name: app
  16.     image: my-app
复制代码

使用工具如Kubecost、OpenCost等监控和优化Kubernetes集群的成本。

安装Kubecost:
  2. kubectl create namespace kubecost
  3. helm install kubecost kubecost/cost-analyzer --namespace kubecost --set kubecostToken="YWJjMTIz"
复制代码

13. 总结

Kubernetes是一个强大的容器编排平台,它提供了丰富的功能来部署、扩展和管理容器化应用。通过深入理解Kubernetes的核心概念和操作步骤,你可以轻松地部署和管理容器化应用,提升运维效率,成为Kubernetes高手。

本文详细介绍了Kubernetes的核心概念,包括Pod、Deployment、Service、Namespace、ConfigMap、Secret、Volume、PersistentVolume、PersistentVolumeClaim和Ingress等。我们还讨论了Kubernetes集群的架构和组件,以及如何安装和设置Kubernetes集群。

在部署和管理应用方面,我们介绍了如何创建Docker镜像、使用Deployment部署应用、暴露应用服务、扩展应用、滚动更新、蓝绿部署和金丝雀发布等策略。我们还讨论了配置管理、密钥管理、网络配置、存储管理、监控和日志等方面的内容。

最后,我们分享了一些故障排除的技巧和最佳实践,包括资源管理、安全、自动化、性能优化和成本优化等方面的建议。

通过掌握这些知识和技能,你将能够有效地使用Kubernetes来部署和管理容器化应用,提升运维效率,成为Kubernetes高手。希望本文能够帮助你更好地理解和使用Kubernetes,为你的容器化应用提供强大的支持。
「七転び八起き(ななころびやおき)」
回复

使用道具 举报

返回列表 发新帖
您需要登录后才可以回帖 登录 | 立即注册
高级模式
B Color Image Link Quote Code Smilies

本版积分规则