K8s:关于 K8s 中 Open Kruise 的一些认知

举报
山河已无恙 发表于 2023/03/03 21:25:03 2023/03/03
【摘要】 写在前面一次公开课看到,这里简单认识,分享给小伙伴博文内容涉及:Open Kruise 特性简单认知Open Kruise 系统架构认知原地升级概念,内置控制器 CloneSet 简单认知理解不足小伙伴帮忙指正 对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ...

写在前面


  • 一次公开课看到,这里简单认识,分享给小伙伴
  • 博文内容涉及:
    • Open Kruise 特性简单认知
    • Open Kruise 系统架构认知
    • 原地升级概念,内置控制器 CloneSet 简单认知
  • 理解不足小伙伴帮忙指正

对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》


OpenKruise 是什么?

Open Kruise 是一个国内的开源项目, CNCF 沙盒项目,一个基于 Kubernetes 的扩展套件,聚焦于云原生应用的自动化,比如部署、发布、运维以及可用性防护。

OpenKruise 提供的绝大部分能力都是基于 CRD 扩展来定义,它们不存在于任何 外部依赖,可以运行在任意纯净的 Kubernetes 集群中。

所以可以简单的认知,OpenKruise 是一些 CRD 集合,自定义控制器,用于完善 k8s 集群中标准的 API 对象提供的能力。

核心能力

增强版本的 Workloads

工作负载用于 管理和运行集群中的容器容器 是由 控制器 通过 Pod 创建的,在原有的 k8s API 资源中 ,提供了 Deploy、DS、StatefulSet、RS/RC Jobs 等一系列的控制器对象资源, OpenKruise 在 原生 K8s API 资源的基础上提供了一系列增强版本的 Workloads(工作负载)或者叫控制器,比如 CloneSet、Advanced StatefulSet、Advanced DaemonSet、BroadcastJob 等。

它们不仅支持类似于 Kubernetes 原生 Workloads 的基础功能,还提供了如原地升级、可配置的扩缩容/发布策略、并发操作等。

应用的旁路管理(Sidecar)

OpenKruise 提供了多种通过旁路管理应用 sidecar 容器、多区域部署的方式,“旁路” 意味着你可以不需要修改应用的 Workloads 来实现它们。通俗的话讲,旁路,即可以自由的管理注入 pod 中的非业务应用容器。或者叫代理容器,而不会对 原有 Pod 产生影响。

比如,SidecarSet 能帮助你在所有匹配的 Pod 创建的时候都注入特定的 sidecar 容器,甚至可以原地升级已经注入的 sidecar 容器镜像、并且对 Pod 中其他容器不造成影响。

高可用性防护

OpenKruise 在为应用的高可用性防护方面也做出了很多努力。

目前它可以保护你的 Kubernetes 资源不受级联删除机制的干扰,包括 CRD、Namespace、以及几乎全部的 Workloads 类型资源。

高级的应用运维能力

OpenKruise 也提供了很多高级的运维能力来帮助你更好地管理应用。

你可以通过 ImagePullJob 来在任意范围的节点上预先拉取某些镜像,或者指定某个 Pod 中的一个或多个容器被原地重启。

更多特性小伙伴可以到官网了解

下载安装

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm repo add openkruise https://openkruise.github.io/charts/
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm repo update
Hang tight while we grab the latest from your chart repositories...
...Successfully got an update from the "botkube" chart repository
...Successfully got an update from the "openkruise" chart repository
...Successfully got an update from the "rancher-stable" chart repository
...Successfully got an update from the "awx-operator" chart repository
...Unable to get an update from the "kubescape" chart repository (https://kubescape.github.io/helm-charts/):
        read tcp 192.168.26.100:35526->185.199.109.153:443: read: connection reset by peer
Update Complete. ⎈Happy Helming!⎈

也可以通过下面的路径下载 helm 的静态文件的方式来安装,如果需要替换私有仓库镜像可以 通过 helm template导出完整 Yaml 文件来替换对应的镜像。

https://github.com/openkruise/charts/releases

如果网络没有问题,不需要替换镜像,可以直接安装,下面使用国内阿里的镜像

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm install kruise openkruise/kruise  --set  manager.image.repository=openkruise-registry.cn-shanghai.cr.aliyuncs.com/openkruise/kruise-manager
NAME: kruise
LAST DEPLOYED: Tue Feb 28 15:25:34 2023
NAMESPACE: default
STATUS: deployed
REVISION: 1
TEST SUITE: None

查看部署情况

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm ls
NAME    NAMESPACE       REVISION        UPDATED                                 STATUS          CHART           APP VERSION
kruise  default         1               2023-02-28 15:25:34.865181878 +0800 CST deployed        kruise-1.3.0    1.3.0
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$

在第一次安装的时候,DS 资源一直在重启

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get all -n kruise-system
NAME                                             READY   STATUS             RESTARTS      AGE
pod/kruise-controller-manager-7dc584559b-j8j78   1/1     Running            0             2m31s
pod/kruise-controller-manager-7dc584559b-r954q   1/1     Running            0             2m32s
pod/kruise-daemon-24fgt                          0/1     CrashLoopBackOff   4 (9s ago)    2m33s
pod/kruise-daemon-7t5q6                          0/1     CrashLoopBackOff   4 (11s ago)   2m32s
pod/kruise-daemon-fbt8m                          0/1     CrashLoopBackOff   4 (16s ago)   2m33s
pod/kruise-daemon-fc8xr                          0/1     CrashLoopBackOff   4 (11s ago)   2m32s
pod/kruise-daemon-kjjfd                          0/1     CrashLoopBackOff   4 (15s ago)   2m32s
pod/kruise-daemon-krs9s                          0/1     CrashLoopBackOff   4 (17s ago)   2m33s
pod/kruise-daemon-lb5nq                          0/1     CrashLoopBackOff   4 (15s ago)   2m32s
pod/kruise-daemon-zpfzg                          0/1     CrashLoopBackOff   3 (32s ago)   2m32s

通过下面的日志查看发现,它通过默认的 CRI 接口实现找不到对应的 runtime,

W0228 07:29:31.671667       1 mutation_detector.go:53] Mutation detector is enabled, this will result in memory leakage.
E0228 07:29:31.671746       1 factory.go:224] /hostvarrun/docker.sock exists, but not found /hostvarrun/dockershim.sock
W0228 07:29:31.767342       1 factory.go:113] Failed to new image service for containerd (, unix:///hostvarrun/containerd/containerd.sock): failed to fetch cri-containerd status: rpc error: code = Unimplemented desc = unknown service runtime.v1alpha2.RuntimeService
W0228 07:29:31.767721       1 mutation_detector.go:53] Mutation detector is enabled, this will result in memory leakage.
panic: runtime error: invalid memory address or nil pointer dereference

无法识别 CRI 接口的实现,所以这里需要显示的指定 CRI 的接口实现。当前环境使用 docker/cri-docker 作为 CRI,所以部署时需要指定 ,daemon.socketLocation=/var/run/,daemon.socketFile=cri-dockerd.sock,需要注意的是,如果使用 daemon.socketFile 那么 daemon.socketLocation 需要显示指定。

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm uninstall kruise
release "kruise" uninstalled
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$helm install  kruise openkruise/kruise  --set  manager.image.repository=openkruise-registry.cn-shanghai.cr.aliyuncs.com/openkruise/kruise-manager,daemon.socketLocation=/var/run/,daemon.socketFile=cri-dockerd.sock
NAME: kruise
LAST DEPLOYED: Tue Feb 28 17:31:27 2023
NAMESPACE: default
STATUS: deployed
REVISION: 1
TEST SUITE: None

部署完的资源信息,可以看到除了一些配置资源,涉及到容器,pod 管理的只有下面两个控制器

  • daemonset.apps/kruise-daemon
  • deployment.apps/kruise-controller-manager
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl-ketall --namespace kruise-system
W0228 18:39:41.576938   63520 warnings.go:70] metallb.io v1beta1 AddressPool is deprecated, consider using IPAddressPool
NAME                                                                      NAMESPACE      AGE
configmap/istio-ca-root-cert                                              kruise-system  68m
configmap/kruise-manager                                                  kruise-system  67m
configmap/kube-root-ca.crt                                                kruise-system  68m
endpoints/kruise-webhook-service                                          kruise-system  68m
pod/kruise-controller-manager-7dc584559b-4c95v                            kruise-system  68m
pod/kruise-controller-manager-7dc584559b-bfhm2                            kruise-system  68m
pod/kruise-daemon-2hpdc                                                   kruise-system  68m
pod/kruise-daemon-69rtg                                                   kruise-system  68m
pod/kruise-daemon-89lbr                                                   kruise-system  68m
pod/kruise-daemon-fzwnh                                                   kruise-system  68m
pod/kruise-daemon-hxmdv                                                   kruise-system  68m
pod/kruise-daemon-qjckj                                                   kruise-system  68m
pod/kruise-daemon-qkkfh                                                   kruise-system  68m
pod/kruise-daemon-rhf2h                                                   kruise-system  68m
secret/kruise-webhook-certs                                               kruise-system  68m
serviceaccount/default                                                    kruise-system  68m
serviceaccount/kruise-daemon                                              kruise-system  68m
serviceaccount/kruise-manager                                             kruise-system  68m
service/kruise-webhook-service                                            kruise-system  68m
controllerrevision.apps/kruise-daemon-7955868c86                          kruise-system  68m
daemonset.apps/kruise-daemon                                              kruise-system  68m
deployment.apps/kruise-controller-manager                                 kruise-system  68m
replicaset.apps/kruise-controller-manager-7dc584559b                      kruise-system  68m
endpointslice.discovery.k8s.io/kruise-webhook-service-vw58k               kruise-system  68m
rolebinding.rbac.authorization.k8s.io/kruise-leader-election-rolebinding  kruise-system  68m
role.rbac.authorization.k8s.io/kruise-leader-election-role                kruise-system  68m
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$

添加的 CRD 信息

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get crd | grep kruise.io
advancedcronjobs.apps.kruise.io                                 2023-02-28T09:31:30Z
broadcastjobs.apps.kruise.io                                    2023-02-28T09:31:30Z
clonesets.apps.kruise.io                                        2023-02-28T09:31:30Z
containerrecreaterequests.apps.kruise.io                        2023-02-28T09:31:30Z
daemonsets.apps.kruise.io                                       2023-02-28T09:31:30Z
imagepulljobs.apps.kruise.io                                    2023-02-28T09:31:30Z
nodeimages.apps.kruise.io                                       2023-02-28T09:31:30Z
nodepodprobes.apps.kruise.io                                    2023-02-28T09:31:30Z
persistentpodstates.apps.kruise.io                              2023-02-28T09:31:30Z
podprobemarkers.apps.kruise.io                                  2023-02-28T09:31:30Z
podunavailablebudgets.policy.kruise.io                          2023-02-28T09:31:30Z
resourcedistributions.apps.kruise.io                            2023-02-28T09:31:30Z
sidecarsets.apps.kruise.io                                      2023-02-28T09:31:30Z
statefulsets.apps.kruise.io                                     2023-02-28T09:31:30Z
uniteddeployments.apps.kruise.io                                2023-02-28T09:31:30Z
workloadspreads.apps.kruise.io                                  2023-02-28T09:31:30Z

系统架构

通过上面的架构图我们可以看到,kruise 主要涉及两部分,DS kruise-daemon 和 deploy kruise-controller 控制器管理器 kruise-controller-manager

manager

Kruise-manager 是一个运行 controller 和 webhook 中心组件,它通过 Deployment 部署在 kruise-system 命名空间中。

逻辑上来说,如 cloneset-controller/sidecarset-controller 这些的 controller 都是独立运行的。不过为了减少复杂度,它们都被打包在一个独立的二进制文件、并运行在 kruise-controller-manager-xxx 这个 Pod 中。

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get deployments.apps -n kruise-system
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
kruise-controller-manager   2/2     2            2           6h42m

除了 controller 之外,kruise-controller-manager-xxx 中还包含了针对 Kruise CRD 以及 Pod 资源的 admission webhook。Kruise-manager 会创建一些 webhook configurations 来配置哪些资源需要感知处理、以及提供一个 Service 来给 kube-apiserver 调用。

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get svc -n kruise-system
NAME                     TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)   AGE
kruise-webhook-service   ClusterIP   10.109.117.201   <none>        443/TCP   6h41m

daemon

这是从 Kruise v0.8.0 版本开始提供的一个新的 daemon 组件。

它通过 DaemonSet 部署到每个 Node 节点上,提供镜像预热、容器重启等功能。

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get pod -n kruise-system -l control-plane=daemon
NAME                  READY   STATUS    RESTARTS   AGE
kruise-daemon-2hpdc   1/1     Running   0          6h42m
kruise-daemon-69rtg   1/1     Running   0          6h42m
kruise-daemon-89lbr   1/1     Running   0          6h42m
kruise-daemon-fzwnh   1/1     Running   0          6h42m
kruise-daemon-hxmdv   1/1     Running   0          6h42m
kruise-daemon-qjckj   1/1     Running   0          6h42m
kruise-daemon-qkkfh   1/1     Running   0          6h42m
kruise-daemon-rhf2h   1/1     Running   0          6h42m
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$

原地升级

所谓原地升级,可以简单理解为,pod 在升级的时候,类似通过 edit 或者 patch 等子命令行为对 Yaml 资源文件进行更改更新后应用,而不是销毁重建。

重建升级时我们要删除旧 Pod、创建新 Pod:

  • Pod 名字和 uid 发生变化,因为它们是完全不同的两个 Pod 对象(比如 Deployment 升级)
  • Pod 名字可能不变、但 uid 变化,因为它们是不同的 Pod 对象,只是复用了同一个名字(比如 StatefulSet 升级)
  • Pod 所在 Node 名字发生变化,因为新 Pod 很大可能性是不会调度到之前所在的 Node 节点的
  • Pod IP 发生变化,因为新 Pod 很大可能性是不会被分配到之前的 IP 地址的

但是对于原地升级,我们仍然复用同一个 Pod 对象,只是修改它里面的字段。因此:

  • 可以避免如 调度、分配 IP、分配、挂载盘 等额外的操作和代价
  • 更快的镜像拉取,因为开源复用已有旧镜像的大部分 layer 层,只需要拉取新镜像变化的一些 layer
  • 当一个容器在原地升级时,Pod 中的其他容器不会受到影响,仍然维持运行

这种 Kruise workload 的升级类型名为 InPlaceIfPossible,它意味着 Kruise 会尽量对 Pod 采取原地升级,如果不能则退化到重建升级。

具体那些行为会原地升级,那些行为会销毁重建, 小伙伴可以看下官网文档,随着版本在变动。

内置控制器认识

Kruise 提供了很多自定义控制器来增强 工作负载的能力,这里我们简单来看一个 CloneSet

CloneSet

CloneSet 控制器提供了高效管理无状态应用的能力,它对标原生的 Deployment,但 CloneSet 提供了很多增强功能。按照 Kruise 的命名规范,CloneSet 是一个直接管理 Pod 的 Set 类型 workload,

官网 Demo

apiVersion: apps.kruise.io/v1alpha1
kind: CloneSet
metadata:
  labels:
    app: sample
  name: sample
spec:
  replicas: 3
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
        - name: nginx
          image: nginx:alpine

应用资源文件

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl apply  -f cloneset.yaml
cloneset.apps.kruise.io/sample created
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl get cloneset
NAME     DESIRED   UPDATED   UPDATED_READY   READY   TOTAL   AGE
sample   3         3         3               3       3       70s

通过 kubectl-tree 插件我们可以简单的看一下 CloneSet 和 Deployment / statefulsets / replicaset 的API 对象资源构成对比

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl-tree cloneset sample
W0301 11:45:33.198222   30678 warnings.go:70] metallb.io v1beta1 AddressPool is deprecated, consider using IPAddressPool
NAMESPACE  NAME                                     READY  REASON  AGE
default    CloneSet/sample                          -              114m
default    ├─ControllerRevision/sample-d4d4fb5bd  -              114m
default    ├─Pod/sample-5w4p4                     True           114m
default    ├─Pod/sample-dqxrt                     True           114m
default    └─Pod/sample-tf92b                     True           114m
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$

Deployment

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl-tree deploy release-name-grafana
W0301 11:45:16.867140   30063 warnings.go:70] metallb.io v1beta1 AddressPool is deprecated, consider using IPAddressPool
NAMESPACE  NAME                                             READY  REASON  AGE
default    Deployment/release-name-grafana                  -              17d
default    └─ReplicaSet/release-name-grafana-76f4b7b77d   -              17d
default      └─Pod/release-name-grafana-76f4b7b77d-djc6x  True           17d

statefulsets

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl-tree statefulsets.v1.apps prometheus-release-name-kube-promethe-prometheus
W0301 11:48:10.276274   39529 warnings.go:70] metallb.io v1beta1 AddressPool is deprecated, consider using IPAddressPool
NAMESPACE  NAME                                                                                READY  REASON  AGE
default    StatefulSet/prometheus-release-name-kube-promethe-prometheus                        -              17d
default    ├─ControllerRevision/prometheus-release-name-kube-promethe-prometheus-7845648c85  -              17d
default    └─Pod/prometheus-release-name-kube-promethe-prometheus-0                          True           17d

replicaset

┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$kubectl-tree rs release-name-kube-state-metrics-6859bcd6d7
W0301 11:51:33.429710   50553 warnings.go:70] metallb.io v1beta1 AddressPool is deprecated, consider using IPAddressPool
NAMESPACE  NAME                                                      READY  REASON  AGE
default    ReplicaSet/release-name-kube-state-metrics-6859bcd6d7     -              17d
default    └─Pod/release-name-kube-state-metrics-6859bcd6d7-876md  True           10d
┌──[root@vms100.liruilongs.github.io]-[~/ansible/openkruise]
└─$

CloneSet 允许用户配置 PVC 模板 volumeClaimTemplates,用来给每个 Pod 生成独享的 PVC,这是 Deployment 所不支持的。 如果用户没有指定这个模板,CloneSet 会创建不带 PVC 的 Pod。

CloneSet 允许用户在缩小 replicas 数量的同时,指定想要删除的 Pod 名字

CloneSet 提供了 3 种升级方式,默认为 ReCreate:

  • ReCreate: 控制器会删除旧 Pod 和它的 PVC,然后用新版本重新创建出来。
  • InPlaceIfPossible: 控制器会优先尝试原地升级 Pod,如果不行再采用重建升级。具体参考下方阅读文档。
  • InPlaceOnly: 控制器只允许采用原地升级。因此,用户只能修改上一条中的限制字段,如果尝试修改其他字段会被 Kruise 拒绝。

时间关系,等用到在详细学习,先和小伙伴分享到这里,更多控制器可以到官网了解哦。有对应 Demo。

博文部分内容参考

文中涉及参考链接内容版权归原作者所有,如有侵权请告知


https://openkruise.io/zh/docs/

https://github.com/openkruise/kruise


© 2018-2023 liruilonger@gmail.com, All rights reserved. 保持署名-非商用-相同方式共享(CC BY-NC-SA 4.0)

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200