目录

前言：​

一、Kubernetes概述

1、k8s 的由来

2、k8s 的作用

二、为什么需要Kubernetes，它能做什么？

三、Kubernetes部署方式的演变

四、Kubernetes 特点 

4.1、kubernetes特性

4.1.1、轻量级

4.1.2、开源

4.1.3、自我修复

4.1.4、弹性伸缩

4.1.5、服务发现和负载均衡

4.1.6、版本回退

4.1.7、存储编排

4.1.8、批处理

4.1.9、自动部署和回滚

4.1.10、机密和配置管理  (secret——》安全/认证加密性的数据)

五、kubernetes集群架构

六、kubernetes 组件

6.1、master组件

6.1.1、kube-apiserver

6.1.2、kube-controller-manager  (控制器管理中心-定义资源类型)

6.1.3、kube-scheduler 

6.1.4、etcd（存储中心）

6.1.5、AUTH :认证模块

6.1.6、cloud-controller-manager

6.2、node组件

6.2.1、kubelet

6.2.2、kube-proxy（四层）

6.2.3、docker或rocket

七、Kubernetes工作流程

7.1、K8S创建Pod流程

7.2、k8s 的pod删除的流程是什么？

八、Kubernetes核心概念

8.1、pod

8.1.1、pod 控制器

Deployment—无状态应用部署

Statefulset—有状态应用部署

8.2、Label标签

8.2.1、Label 选择器（Label selector）

8.3、Service

ServiceController

EndpointController

kube-proxy

8.4、Ingress

8.5、Name

8.5.1、Namespace

九、总结

---

前言：

Kubernetes 是一个可移植、可扩展的开源平台，用于管理容器化工作负载和服务，有助于声明式配置和自动化。它拥有庞大且快速发展的生态系统。

一、Kubernetes概述

Kubernetes(通常称为K8s，K8s是将8个字母“ubernete”替换为“8”的缩写)是一个以容器为中心的基础架构，可以实现在物理集群或虚拟机集群上调度和运行容器，提供容器自动部署、扩展和管理的开源平台。

满足了应用程序在生产环境中的一些通用需求：应用实例副本、水平自动扩展、命名与发现、负载均衡、滚动升级、资源监控等。

1、k8s 的由来

K8S由google的Borg系统(博格系统，google内部使用的大规模容器编排工具)作为原型，后经Go语言延用Borg的思路重写并捐献给CNCF基金会开源。

Kubernetes 这个名字源于希腊语**，意为“舵手”或“飞行员”。**
 
官网: https://kubernetes.io
 
GitHub: https://github.com/kubernetes/kubernetes

2、k8s 的作用

用于自动部署、扩展和管理容器化（containerized）应用程序的开源系统。
可以理解成K8S是负责自动化运维管理多个容器化程序（比如docker）的集群，是一个生态机器丰富的容器编排框架工具。

• Kubernetes 是Google在2014年开源的一个容器集群管理系统，Kubernetes简称K8S。
• K8S用于容器化应用程序的部署，扩展和管理。
• K8S提供了容器编排，资源调度，弹性伸缩，部署管理，服务发现等-一系列功能。
• Kubernetes目标是让部署容器化应用简单高效。

二、为什么需要Kubernetes，它能做什么？

**容器是打包和运行应用程序的好方式。**在生产环境中，你需要管理运行应用程序的容器，并确保不会停机。 例如，如果一个容器发生故障，则需要启动另一个容器。

Kubernetes 来解决这些问题的方法！ Kubernetes 为你提供了一个可弹性运行分布式系统的框架。 Kubernetes 会满足你的扩展要求、故障转移、部署模式等。

K8S是Google开源的容器集群管理系统，在Docker等容器技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。 其主要功能如下：

• 使用 Docker 等容器技术对应用程序包装（package）、实例化（instantiate）、运行（run）。
• 以集群的方式运行、管理跨机器的容器。
• 解决 Docker 跨机器容器之间的通讯问题。
• K8S 的自我修复机制使得容器集群总是运行在用户期望的状态。

kubernetes是一个容器编排工具，可以高效、批量的去管理容器；那么有人就要问了，docker有自带的docker-compose（单机编排）和docker-Swarm（多机编排），为什么还要用k8s，Docker-Compose的运用可以充分地把单物理服务器的性能充分利用起来，并且可以快速地进行持续交付，那如何高效地进行监控各个容器的健康运行情况以及崩溃后如何迁移服务呢？也就是常见的集群管理问题，此时的docker Swarm技术解决了这个问题，但是如何更加高效、智能的管理容器集群呢？这时谷歌公司内部使用很久k8s横空出世，抢占了近80%的市场份额，成为行业领头羊，为什么k8s能击败docker Swarm呢？那是因为kubernetes的这些优点：

1. 快速部署功能：定义对应的charts，可以方便把大型的应用部署上去。
2. 智能的缩扩容机制：部署时候会自动去考虑容器应该部署在哪个服务器上，以及副本的数量可以自定义。
3. 自愈功能：某个节点的服务崩溃了，可以自动迁移到另外一个服务器节点来恢复来实现高可用。
4. 智能的负载均衡：利用Ingress，可以实现流量通过域名访问进来时候，进行流量的分流到不同服务器上。
5. 智能的滚动升降级：升级或者降级时候，会逐个替换，当自定义数量的服务升级OK后，才会进行其他的升级以及真正销毁旧的服务。

三、Kubernetes部署方式的演变

在部署应用程序的方式上，主要经历了三个时代：

1、传统部署：互联网早期，会直接将应用程序部署在物理机上

优点：简单，不需要其它技术的参与

缺点：不能为应用程序定义资源使用边界，很难合理地分配计算资源，而且程序之间容易产生影响

2、虚拟化部署：可以在一台物理机上运行多个虚拟机，每个虚拟机都是独立的一个环境

优点：程序环境不会相互产生影响，提供了一定程度的安全性

缺点：增加了操作系统，浪费了部分资源

3、容器化部署：与虚拟化类似，但是共享了操作系统

优点：

• 可以保证每个容器拥有自己的文件系统、CPU、内存、进程空间等
• 运行应用程序所需要的资源都被容器包装，并和底层基础架构解耦
• 容器化的应用程序可以跨云服务商、跨Linux操作系统发行版进行部署

容器化部署方式给带来很多的便利，但是也会出现一些问题，比如说：

一个容器故障停机了，怎么样让另外一个容器立刻启动去替补停机的容器
当并发访问量变大的时候，怎么样做到横向扩展容器数量

这些容器管理的问题统称为容器编排问题，为了解决这些容器编排问题，就产生了一些容器编排的软件：

• Swarm：Docker自己的容器编排工具
• Mesos：Apache的一个资源统一管控的工具，需要和Marathon结合使用
• Kubernetes：Google开源的的容器编排工具

四、Kubernetes 特点 

可移植: 支持公有云，私有云，混合云，多重云（multi-cloud）
可扩展: 模块化, 插件化, 可挂载, 可组合
自动化: 自动部署，自动重启，自动复制，自动伸缩/扩展
快速部署应用，快速扩展应用
无缝对接新的应用功能
节省资源，优化硬件资源的使用

4.1、kubernetes特性

4.1.1、轻量级

使用go语言；一种编译型语言，语言级别支持进程管理，不需要人为控制，所以以go开发的资源消耗占用资源小。

一些解释性语言:例如Python/Javascript / Perl /Shell，效率较低，占用内存资源较多

4.1.2、开源

4.1.3、自我修复

在节点故障时重新启动失败的容器，替换和重新部署，保证预期的副本数量;杀死健康检查失败的容器，并且在未准备好之前不会处理客户端请求,确保线上服务不中断。

即对异常状态的容器进行重启或重建（先删除、再创建），目的是保证业务线不中断。

4.1.4、弹性伸缩

使用命令 UI 或者基于CPU使用情况自动快速扩容和缩容应用程序实例，保证应用业务高峰并发时的高可用性;业务低峰时回收资源,以最小成本运行服务。

伸缩:扩容和缩容
弹性:人为只要指定规则，满足条件时，就会自动触发扩容或缩容的操作

4.1.5、服务发现和负载均衡

K8S为多个pod提供一个统一访问入口(内部IP地址和一个DNS名称)，并且负载均衡关联的所有容器，使得用户无需考虑容器IP问题。

服务发现：服务可以通过自动发现的形式找到它所依赖的服务

负载均衡：如果一个服务起动了多个容器，能够自动实现请求的负载均衡

4.1.6、版本回退

如果发现新发布的程序版本有问题，可以立即回退到原来的版本

4.1.7、存储编排

挂载外部存储系统，无论是来自本地存储，公有云（如AWS)，还是网络存储〈如NES、GlusterFS、Ceph）都作为集群资源的一部分使用，极大提高存储使用灵活性。

支持外挂存储并对外挂存储资源进行编排

4.1.8、批处理

提供一次性任务（job），定时任务（cronjob）；满足批量数据处理和分析的场景

我贼牛逼   看我博客  带你飞   记得点赞收藏加关注  好男人就是我  我就是你勇哥哥

4.1.9、自动部署和回滚

KBS采用滚动更新策略更新应用，一次更新一个Pod，而不是同时删除所有Pod，如果更新过程中出现问题，将回滚更改，确保升级不受影响业务。

4.1.10、机密和配置管理  (secret——》安全/认证加密性的数据)

管理机密数据和应用程序配置，而不需要把敏感数据暴露在镜像里，提高敏感数据安全性。并可以将一些常用的配置存储在K8S中，方便应用程序使用。

K8s解决了裸跑docker的若干痛点:

• 单机使用，无法有效集群
• 随着容器数量的上升，管理成本攀升
• 没有有效的容灾、自愈机制
• 没有预设编排模板，无法实现快速、大规模容器调度
• 没有统一的配置管理中心工具
• 没有容器生命周期的管理工具
• 没有图形化运维管理工具

五、kubernetes集群架构

K8S 是属于主从设备模型（Master-Slave 架构），即由 Master 节点负责集群的调度、管理和运维，Slave 节点是集群中的运算工作负载节点。

在 K8S 中，主节点一般被称为 Master 节点，而从节点则被称为 Worker Node 节点，每个 Node 都会被 Master 分配一些工作负载。

Master 组件可以在群集中的任何计算机上运行，但建议 Master 节点占据一个独立的服务器。因为 Master 是整个集群的大脑，如果 Master 所在节点宕机或不可用，那么所有的控制命令都将失效。除了 Master，在 K8S 集群中的其他机器被称为 Worker Node 节点，当某个 Node 宕机时，其上的工作负载会被 Master 自动转移到其他节点上去。

六、kubernetes 组件

6.1、master组件

master：集群的控制平面，负责集群的决策 ( 管理 )

6.1.1、kube-apiserver

Kubernetes API，集群的统一入口，各组件协调者，以Restful API提供接口服务，所有对象资源的增删改查和监听操作都交给APIServer处理后再提交给Etcd存储

用于暴露Kubernetes API，任何资源请求或调用操作都是通过kube-apiserver 提供的接口进行。
以HTTP Restful API提供接口服务，所有对象资源的增删改查和监听操作都交给API Server 处理后再提交给Etcd 存储（相当于分布式数据库，以键值对方式存储）。
可以理解成API Server 是K8S的请求入口服务。
API server 负责接收K8S所有请求(来自UI界面或者CLI 命令行工具)，
然后根据用户的具体请求，去通知其他组件干活。可以说API server 是K8S集群架构的大脑。

6.1.2、kube-controller-manager  (控制器管理中心-定义资源类型)

运行管理控制器，是k8s集群中处理常规任务的后台线程，是k8s集群里所有资源对象的自动化控制中心。
在k8s集群中，一个资源对应一个控制器，而Controller manager 就是负责管理这些控制器的。
由一系列控制器组成，通过API Server监控整个集群的状态，并确保集群处于预期的工作状态，比如当某个Node意外宕机时，Controller Manager会及时发现并执行自动化修复流程，确保集群始终处于预期的工作状态。

6.1.3、kube-scheduler 

• 根据调度算法（预选/优选的策略）为新创建的Pod选择一个Node节点，可以任意部署,可以部署在同一个节点上,也可以部署在不同的节点上

• 可以理解成K8S所有Node 节点的调度器。当用户要部署服务时，scheduler 会根据调度算法选择最合适的Node 节点来部署Pod
• API Server 接收到请求创建一批Pod，API Server 会让Controller-manager 按照所预设的模板去创建Pod，Controller-manager 会通过API Server去找Scheduler 为新创建的Pod选择最适合的Node 节点。比如运行这个Pod需要2C4G 的资源，Scheduler 会通过预算策略在所有Node节点中挑选最优的。Node 节点中还剩多少资源是通过汇报给API Server 存储在etcd 里，API Server 会调用一个方法找到etcd 里所有Node节点的剩余资源，再对比Pod 所需要的资源，在所有Node 节点中查找哪些Node节点符合要求。
• 如果都符合，预算策略就交给优选策略处理，优选策略再通过CPU的负载、内存的剩余量等因素选择最合适的Node 节点，并把Pod调度到这个Node节点上运行。
• controller manager会通过API Server通知kubelet去创建pod，然后通过kube-proxy中的service对外提供服务接口。（node组件）

6.1.4、etcd（存储中心）

• 分布式键值存储系统（特性:服务自动发现）。用于保存集群状态数据，比如Pod、Service等对象信息
• k8s中仅API Server 才具备读写权限，其他组件必须通过API Server 的接口才能读写数据

etcd 
V2版本:数据保存在内存中
v3版本:引入本地volume卷的持久化（可根据磁盘进行恢复),服务发现，分布式（方便扩容，缩容）
etcd是一种定时全量备份+持续增量备份的持久化方式，最后存储在磁盘中
但kubernetes 1.11版本前不支持v3,我用的是K8S 1.15
ETCD一般会做为3副本机制(奇数方式)，分布在三台master上(也有的公司单独用服务器部署ETCD )
master：奇数的方式部署（多节点的时候）

6.1.5、AUTH :认证模块

K8S 内部支持使用RBAC认证的方式进行认证 

6.1.6、cloud-controller-manager

云控制器管理器是指嵌入特定云的控制逻辑的 控制平面组件。 云控制器管理器允许您链接集群到云提供商的应用编程接口中， 并把和该云平台交互的组件与只和您的集群交互的组件分离开。
cloud-controller-manager 仅运行特定于云平台的控制回路。

如果你在自己的环境中运行 Kubernetes，或者在本地计算机中运行学习环境， 所部署的环境中不需要云控制器管理器。与 kube-controller-manager 类似，cloud-controller-manager 将若干逻辑上独立的 控制回路组合到同一个可执行文件中，供你以同一进程的方式运行。 你可以对其执行水平扩容（运行不止一个副本）以提升性能或者增强容错能力。

下面的控制器都包含对云平台驱动的依赖：

• 节点控制器（Node Controller）: 用于在节点终止响应后检查云提供商以确定节点是否已被删除
• 路由控制器（Route Controller）: 用于在底层云基础架构中设置路由
• 服务控制器（Service Controller）: 用于创建、更新和删除云提供商负载均衡器

6.2、node组件

6.2.1、kubelet

kubelet是Master在Node节点上的Agent，管理本机运行容器的生命周期,比如创建容器、Pod挂载数据卷、下载secret、获取容器和节点状态等工作。kubelet将每个Pod转换成一组容器

kubelet —》先和docker引擎进行交互—》docker容器(一组容器跑在Pod中)

6.2.2、kube-proxy（四层）

在Node节点上实现Pod网络代理，维护网络规则、pod之间通信和四层负载均衡工作。默认会写入规则至iptables ，目前支持IPVS、同时还支持namespaces

对于七层的负载，k8s官方提供了一种解决方案；ingress-nginx       

6.2.3、docker或rocket

容器引擎，运行容器

七、Kubernetes工作流程

首先，运维人员使用kubectl命令行工具向API Server发送请求，API Server接收到请求后会写入到etcd中，API Server会让Controller-manager按照预设的模板去创建pod,Controller-manager通过API Server读取etcd中用户的预设信息，再通过API Server去找Scheduler可以为新创建的pod选择最合适的node节点。scheduler会通过API Server在etcd存储中心根据存储的node节点元信息、剩余资源等，用预选和优选策略选最优的node节点。

scheduler确定node节点后通过API Server交给这个node节点上的kubele进行pod资源的创建，kubele调用容器引擎交互创建pod,同时将pod监控信息通过API Server存储到etcd中。

用户访问时，通过kube-proxy负载、转发，访问相应的pod

决定创建pod清单的是Controller-manager控制器，而kubelet、容器引擎都是干活的

以部署一个nginx服务来说明kubernetes系统各个组件调用关系：

1. 首先要明确，一旦kubernetes环境启动之后，master和node都会将自身的信息存储到etcd数据库中
2. 一个nginx服务的安装请求会首先被发送到master节点的apiServer（资源操作的唯一入口）组件
3. apiServer组件会调用scheduler组件(负责集群资源调度)来决定到底应该把这个服务安装到哪个node节点上，在此时，它会从etcd中读取各个node节点的信息，然后按照一定的算法进行选择，并将结果告知apiServer
4. apiServer调用controller-manager(负责维护集群的状态)去调度Node节点安装nginx服务
5. kubelet(负责维护容器的生命周期)接收到指令后，会通知docker，然后由docker来启动一个nginx的pod，pod是kubernetes的最小操作单元，容器必须跑在pod中至此，
6. 一个nginx服务就运行了，如果需要访问nginx，就需要通过kube-proxy(负责提供集群内部的服务发现和负载均衡)来对pod产生访问的代理

这样，外界用户就可以访问集群中的nginx服务了

7.1、K8S创建Pod流程

详细版
kubectl创建一个Pod（在提交时，转化为json**）**

1. 首先经过auth认证（鉴权），然后传递给API Server进行处理。
2. API Server将请求信息提交给etcd
3. scheduler和controller-manager会watch（监听）API Server，监听请求。
4. 在scheduler和controller-manager监听到请求后，scheduler会提交给API Server一个list清单-----》包含的是获取node节点信息。
5. 此时API Server就会向etcd获取后端node节点信息，获取到后，被scheduler监听到，然后scheduler进行预选优选进行打分，最后将结果给API Server。
6. 此时API Server也会被controller-manager 监听，controller-manager会根据请求创建Pod的配置信息（需求什么控制器），然后把控制器资源给API Server。
7. 此时API Server会提交清单给与对应节点的kubelet（代理）。
8. kubelet代理通过K8S与容器的接口（例如containerd）进行交互，假设是docker容器，那么此时kubelet就会通过dockershim以及runc接口与docker的守护进程docker-server进行交互，来创建对应的容器，再生成对应的Pod。
9. kubelet同时会借助于metric server收集本节点的所有状态信息，然后再提交给API Server
10. 最后API Server会提交list清单给与etcd来存储（最后api-server会将数据维护在etcd中）。
     

简单版

1、首先kubectl 转化为json后，向api-server 提交创建Pod请求
2、api-server将请求信息记录在etcd中
3、scheduler 监听api-server处理的请求，然后向api-server申请后端节点信息
4、api-server 从etcd中获取后端节点信息后，给与scheduler 
5、scheduler 进行预选优选、打分，然后提交结果给api-server
6、controller-manager 监听api-server处理的请求信息，并将所需的控制器资源给与api-server
7、api-server 对接node节点的kubelet
8、kubelet调用资源创建pod，并将统计信息返回给api-server
9、api-server将信息记录在etcd中 

7.2、k8s 的pod删除的流程是什么？

输出命令行之后，转换json 格式，然后api把删除记录放到etcd里面，是没有调度器的，之后controller-manager需要去回收指令，给与api，然后由api去给kubelet回收指令，把主控制器进行回收，然后把pod删除，然后给kube-proxy返回给api，再由api记录到etcd里面，最终删除成功。

八、Kubernetes核心概念

Kubernetes 包含多种类型的资源对象：Pod、Label、Service、Replication Controller 等。

1. 所有的资源对象都可以通过 Kubernetes 提供的 kubectl 工具进行增、删、改、查等操作，并将其保存在 etcd中持久化存储。
2. Kubernets其实是一个高度自动化的资源控制系统，通过跟踪对比etcd存储里保存的资源期望状态与当前环境中的实际资源状态的差异，来实现自动控制和自动纠错等高级功能。

8.1、pod

Pod 是 Kuberntes 创建或部署的最小/最简单的基本单位，一个 Pod 代表集群上正在运行的一个进程。

可以把 Pod 理解成豌豆荚，而同一 Pod 内的每个容器是一个个豌豆。

一个 Pod 由一个或多个容器组成，Pod 中容器共享网络、存储和计算资源，在同一台 Docker 主机上运行。

一个Pod里可以运行多个容器，又叫边车（SideCar）模式而在生产环境中一 般都是单个容器或者具有强关联互补的多个容器组成一 个Pod。

同一个 Pod 之间的容器可以通过 localhost 互相访问，并且可以挂载 Pod 内的所有的数据卷；但是不同的 Pod之间的容器不能用 localhost 访问，也不能挂载其他 Pod 的数据卷。

8.1.1、pod 控制器

Pod 控制器是 Pod 启动的一种模板，用来保证在 K8S 里启动的 Pod 应始终按照用户的预期运行（副本数、生命周期、健康状态检查等）。K8S 内提供了众多的 Pod 控制器，常用的有以下几种：

1. Deployment：无状态应用部署。Deployment 的作用就是管理和控制 Pod 和ReplicaSet，管控它们运行在用户期望的状态中。
2. Replicaset：确保预期的 Pod 副本数量。ReplicaSet 的作用就是管理和控制 Pod，管控他们好好干活。但是ReplicaSet 受控于 Deployment。可以理解成 Deployment 就是总包工头，主要负责监督底下的工人 Pod干活，确保每时每刻有用户要求数量的 Pod 在工作。如果一旦发现某个工人 Pod 不行了，就赶紧新拉一个 Pod 过来替换它。而ReplicaSet 就是总包工头手下的小包工头。从 K8S 使用者角度来看，用户会直接操作 Deployment 部署服务，而当Deployment 被部署的时候，K8S 会自动生成要求的 ReplicaSet 和 Pod。用户只需要关心 Deployment而不操心 ReplicaSet。资源对象 Replication Controller 是 ReplicaSet 的前身，官方推荐用Deployment 取代 Replication Controller 来部署服务。
3. Daemonset：确保所有节点运行同一类Pod，保证每个节点上都有一个此类 Pod 运行，通常用于实现系统级后台任务。
4. Statefulset：有状态应用部署。
5. **Job：一次性任务。**根据用户的设置，Job 管理的 Pod 把任务成功完成就自动退出了。
6. Cronjob：周期性计划性任务。
7. Ingress：管理 L7 层的网络模式（http/https 流量）ingress 包含：nginx、Haproxy、traffic、 istio、kong
8. PV/PVC:动态存储。NFS接入到k8s时，不能直接挂载，要利用pv/pvc来管理，共享存储也是资源，由pv/pvc来管理。比如10G不够了，扩容由pv/pvc来进行动态扩容处理。

Deployment—无状态应用部署

Nginx 这种类型的服务，只开启反向代理的功能的时候，假设nginx 宕了，重新跑一个新的，替换过来，可以直接用。没有差异化称为无状态。

无状态服务：LVS（加入集群后，无特殊性需求—需求）

1. 服务不依赖自身的状态，实例的状态数据可以维护再内存中
2. 任何一个请求都可以被任意一个实例处理
3. 不存储状态数据，实例可以水平扩展，通过负载均衡将请求分发到各个节点
4. 在一个封闭的系统中，只存在一个数据闭环
5. 通常存在于单体架构集群中

Statefulset—有状态应用部署

里面运行的是mysql，mysql 宕了，配置一样，不能直接用，数据有差异性，加入集群后满足特定规则，存储数据的规则，才能使用，有差异化称为有状态。

有状态服务：例如数据库
由特殊状态需求，例如需要持久化、需要特定的数据支持

1. 服务本身依赖或者存在局部的状态数据，这些数据需要自身持久化或者可以通过其他节点恢复。
2. 一个请求只能被某个节点（或者同等状态下的节点）处理。
3. 存储状态数据，实例的拓展需要整个系统参与状态的迁移。
4. 在一个封闭的系统中，存在多个数据闭环，需要考虑这些闭环的数据一致性问题。
5. 通常存在于分布式架构中。

结论

无状态服务：就是没有特殊状态的服务，各个请求对于服务器来说统一无差别处理，请求自身携带了所有服务端所需要的所有参数（服务端自身不存储跟请求相关的任何数据，不包括数据库存储信息）。
有状态服务：与之相反，有状态服务在服务端保留之前请求的信息，用以处理当前请求，比如session等。

有状态：需要持久化，多次请求之间需要共享一些信息
无状态：一次性，不需要持久化的特殊状态，每次请求都是一条新的数据

8.2、Label标签

1. 标签，是 K8S 特色的管理方式，便于分类管理资源对象。Label 可以附加到各种资源对象上，例如Node、Pod、Service、RC 等，用于关联对象、查询和筛选。
2. 一个 Label 是一个 key-value 的键值对，其中 key 与 value 由用户自己制定。
3. 一个资源对象可以定义任意数量的 Label，同一个 Label 也可以被添加到任意数量的资源对象中，也可以在对象创建后动态添加或者删除。
4. 可以通过给指定的资源对象捆绑一个或多个不同的 Label，来实现多维度的资源分组管理功能。
5. 与 Label 类似的，还有 Annotation（注释）。区别在于有效的标签值必须为 63个字符或更少，并且必须为空或以字母数字字符（[a-z0-9A-Z]）开头和结尾，中间可以包含横杠（-）、下划线（_）、点（.）和字母或数字。注释值则没有字符长度限制。

8.2.1、Label 选择器（Label selector）

给某个资源对象定义一个 Label，就相当于给它打了一个标签

随后可以通过标签选择器（Label selector）查询和筛选拥有某些 Label 的资源对象。

标签选择器目前有两种：

1. 基于等值关系（等于、不等于）
2. 基于集合关系（属于、不属于、存在）。

8.3、Service

在 K8S 的集群里，虽然每个 Pod 会被分配一个单独的 IP 地址，但由于 Pod 是有生命周期的（它们可以被创建，而且销毁之后不会再启动），随时可能会因为业务的变更，导致这个 IP 地址也会随着 Pod 的销毁而消失。Service 就是用来解决这个问题的核心概念。

K8S 中的 Service 并不是我们常说的 “服务” 的含义，而更像是网关层，可以看做一组提供相同服务的 Pod 的对外访问的接口、流量均衡器。

Service 作用于哪些 Pod 是通过标签选择器来定义的。

在 K8S 集群中，Service 可以看做一组提供相同服务的 Pod 的对外访问接口。客户端需要访问的服务就是 Service 对象。每个 Service 都有一个固定的虚拟 IP（这个 IP 也被称为 Cluster IP），自动并且动态地绑定后端的 Pod，所有的网络请求直接访问 Service 的虚拟 IP，Service 会自动向后端做转发。

Service 除了提供稳定的对外访问方式之外，还能起到负载均衡（Load Balance）的功能，自动把请求流量分不到后端所有的服务上，Service 可以做到对客户透明地进行水平扩展（scale）。而实现 service 这一功能的关键，就是 kube-proxy。kube-proxy 运行在每个节点上，监听 API Server 中服务对象的变化，可通过以下三种流量调度模式：userspace（废弃）、iptables（濒临废弃）、ipvs（推荐，性能最好）来实现网络的转发。

*Service 是 K8S 服务的核心，屏蔽了服务细节，统一对外暴露服务接口，真正做到了 “微服务”。**比如我们的一个服务 A，部署了 3 个副本，也就是 3 个 Pod；对于用户来说，只需要关注一个 Service 的入口就可以，而不需要操心究竟也应该请求哪一个 Pod。优势非常明显：一方面外部用户不需要感知因为 Pod 上服务的意外崩溃、K8S 重新拉起 Pod 而造成的 IP 变更，外部用户也不需要感知因升级、变更服务带来的 Pod 替换而造成的 IP 变化。

创建service需要ServiceController,EndpointControllre,kube-proxy,三个模块同时协作。

1. ServiceController是控制service来创建对应的Pod关联的规则
2. EndpointController是定义后端pod的具体位置，也就是endpoint（upstream + consul的自动发现和更新）
3. kube-proxy是用来定义具体的后端转发和分流规则的

以上组成了一个service所必要的功能

ServiceController

当一个service对象状态发生变化的时候，informer都会通知ServiceController，创建对应的服务。

EndpointController

EndpointController会同时订阅service和pod的增删事件。
EndpointController看成是nginx的upstream + consyul中的发现、更新

其功能如下

1. 负责生成和维护所有endpoint对象的控制器
2. 负责监听service和对应pod变化
3. 监听到service被删除，则删除和该service同名的endpoint对象
4. 监听到新的service被创建，则根据新建service信息（YAML）获取相关pod列表，然后创建对应endpoint对象
5. 监听到service被更新，则根据更新后的service信息获取相关pod列表，然后更新对应的endpoint对象
6. 监听到pod事件，则更新对应的service和endpoint对象，将podIP记录到endpoint中

kube-proxy

1. kube-proxy负责service实现，实现了k8s内部service和外部node port到service的访问。
2. kube-proxy采用iptables的方式配置负载均衡，基于iptables的kube-proxy的主要职责包括两大块：一块是倾听service更新事件，并更新service相关的iptables规则，一块是侦听endpoint更新事件，更新endpoint相关的iptables规则（如kube-svc链中的规则），然后将包请求转入endpoint对应的pod

8.4、Ingress

Service 主要负责 K8S 集群内部的网络拓扑，那么集群外部怎么访问集群内部呢？这个时候就需要 Ingress 了。Ingress 是整个 K8S 集群的接入层，负责集群内外通讯。

1. Ingress 是 K8S 集群里工作在 OSI 网络参考模型下，第 7 层的应用层，对外暴露的接口，典型的访问方式是http/https。
2. Service 只能进行第四层的流量调度，表现形式是 ip+port。Ingress 则可以调度不同业务域、不同 URL访问路径的业务流量。
3. 比如：客户端请求 http://www.test.com:port --> Ingress --> Service --> Pod

8.5、Name

由于 K8S 内部，使用 “资源” 来定义每一种逻辑概念（功能），所以每种 “资源”，都应该有自己的 “名称”、“资源” 有 api版本（apiversion）、类别（kind）、元数据（metadata）、定义清单（spec）、状态（status）等配置信息。“名称” 通常定义在 “资源” 的 “元数据” 信息里。在同一个 namespace 空间中必须是唯一的。

8.5.1、Namespace

随着项目增多、人员增加、集群规模的扩大，需要一种能够逻辑上隔离 K8S 内各种 “资源” 的方法，这就是 Namespace。
Namespace 是为了把一个 K8S 集群划分为若干个资源不可共享的虚拟集群组而诞生的。
不同 Namespace 内的 “资源” 名称可以相同，相同 Namespace 内的各种 “资源”，“名称” 不能相同。
合理的使用 K8S 的 Namespace，可以使得集群管理员能够更好的对交付到 K8S 里的服务进行分类管理和浏览。
K8S 里默认存在的 Namespace 有：==default、kube-system、kube-public ==等。
查询 K8S 里特定 “资源” 要带上相应的 Namespace。

九、总结

kubernetes的本质是 一组服务器集群，它可以在集群的每个节点上运行特定的程序，来对节点中的容器进行管理。目的是实现资源管理的自动化，主要提供了如下的主要功能：

自我修复：一旦某一个容器崩溃，能够在1秒中左右迅速启动新的容器
弹性伸缩：可以根据需要，自动对集群中正在运行的容器数量进行调整
服务发现：服务可以通过自动发现的形式找到它所依赖的服务
负载均衡：如果一个服务起动了多个容器，能够自动实现请求的负载均衡
版本回退：如果发现新发布的程序版本有问题，可以立即回退到原来的版本
存储编排：可以根据容器自身的需求自动创建存储卷