【k8s】五、Pod生命周期（一）

目录

前言

Pod生命周期

Pod 相位 状态值

挂起（Pending）

运行中（Running）

成功（Succeeded）

失败（Failed）

未知（Unknown）

Init Containers

Init Contianers的作用

Init Contianers实验

特殊说明

总结

写在后面

---

前言

前面我们部署了k8s容器环境，也知道了怎么书写数据自己的Pod，那本节我们就一起来学习Pod的生命周期。这个是重点来的哦，因为在实际运用的过程中，对于Pod生命周期每个阶段的进行检测，进而分析和排错。

Pod生命周期

上图主要描述了在容器环境初始化完成之后，pod从创建到退出，中间这段时间经历的过程；

从大的方向上看，pod生命周期分两个阶段：

• 第一阶段是初始化容器。
• 第二阶段是主容器的整个生命周期；

在 Pod 启动时，pause容器总是创建的第一个容器。每个pod中都存在一个pause容器。这个是k8s自动创建的。

对于Init Container来说，一个pod中可以定义多个初始化容器，他们必须是串行执行，只有当所有的初始化容器执行完后，对应的主容器才会启动；如上图所示，会按顺序把1、2、3的InitC都执行完成之后，才进入Main Container阶段

Main Container生命周期又分为三个阶段：

• 第一阶段是运行post start hook，这个阶段是主容器运行之后立即需要做的事；
• 第二阶段是主容器正常运行的阶段，在这个阶段中，我们可以定义对容器的健康状态（liveness）检查和就绪状态（readness）检查；
• 第三阶段是运行pre stop hook，这个阶段主要做容器即将退出前需要做的事；

readness——就绪检测，检测成功后，Pod状态改为Ready

liveness——生存检测，

对于对容器的健康状态检查和就绪状态检查，我们也可以定义开始检查的延迟时长；因为有些容器存在容器显示running状态，但内部程序还没有初始化，如果立即做健康状态检查，可能存在健康状态为不健康，从而导致容器重启的状况；

Pod 相位 状态值

首先在介绍 Pod 的生命周期之前，我们先了解下 Pod 的状态，因为 Pod 状态可以反映出当前我们的 Pod 的具体状态信息，也是我们分析排错的一个必备的方式。

我们可以通过命令kubectl explain pod.status查看到

挂起（Pending）

Pod已被K8s系统接受，但有一个或者多个容器镜像尚未创建，等待时间包括调度Pod的时间和通过网络下载镜像的时间。这可能需要花点时间。

运行中（Running）

该Pod已经绑定到了一个节点上，Pod中所有的容器都已被创建。至少有一个容器正在运行，或者正处于启动或者重启状态。

成功（Succeeded）

Pod中所有的容器都被成功终止并且不会再重启。

失败（Failed）

Pod中所有容器都已经终止，并且至少有一个容器是因为失败终止。也就是说，至少有一个容器以非0状态退出或者被系统终止。

未知（Unknown）

因为某些原因无法取得Pod的状态，通常是因为与Pod所在主机通信失败。

Init Containers

Init Containers是在Pod的主容器启动之前要运行的容器，主要是做一些主容器的前置工作。

一个Pod能够具有多个容器，应用运行在应用容器里面，但是该Pod中可能有一个或多个先于应用容器启动的Init容器。

Init容器与普通容器非常像，除了以下两点：

• Init容器总是运行到成功完成为止，如果某个初始化容器运行失败，那么kubernetes需要重启它直至成功完成。
• Init容器必须按照定义的顺序执行，每个Init容器都必须在下一个Init容器启动之前成功完成

注意：如果Pod的Init容器失败，Kubernetes会不断重启该Pod，知道Init容器成功位置。然而，如果Pod对应的重启策略restartPolicy为Never时，Pod不会重新启动。

Init Contianers的作用

因为Init容器具有与应用程序容器分离的单独镜像，所以它们的启动相关代码具有如下优势：

• 他们可以包含并运行实用工具，但是出于安全考虑，时不建议在应用程序容器镜像中包含这些实用工具的。
• 特们可以包含实用工具和定制化代码来安装，但是不能出现在应用程序镜像中。例如，创建镜像没必要FROM另一个镜像，只需要在安装过程中使用类似sed、awk、python、dig这样的工具
• 应用程序镜像可以分离出创建和部署的角色，而没有必要联合他们构建一个单独的镜像。
• Init容器使用Linux Namespace，所以相对应用程序容器来说，具有不同的文件系统视图。因此，他们能够具有访问Secret的权限，而应用程序容器则不能。实现分权限来治理。例如，有一个文件夹里面只有一个文件是main容器要用到的，但是又不希望main容器有这个文件夹的访问权限，于是通过init容器来访问该文件，并且把该文件复制到main容器中。
• 他们必须在应用程序容器启动之前运行完成，而应用程序容器时并行运行的，所以，Init容器能够提供一种简单的阻塞或延迟应用容器启动的方法，直到满足了一系列应用容器启动的先决条件。例如我们有两个容器，一个放数据库，一个放应用服务，服务要在数据库启动之后启动，访问才不会报错，那么此时我们可以在应用服务容器的init containers中设置一个条件，用于检测数据库容器是否完成启动，如果数据库完成启动了，则应用服务容器可以正常启动。如下图所示：

Init Contianers实验

下面我们通过实际例子来进一步认识init containers。

# init-pod.yaml
# author: 攻城狮白玉
apiVersion: v1
kind: Pod
metadata:
  name: baiyu-pod
  namespace: baiyu-learn-k8s
  labels:
    app: baiyu-app
    version: v1
spec:
  containers:
    - name: baiyu-app-container
      image: busybox:1.32
      command: ['sh', '-c', 'echo The app is running && sleep 3600']
  initContainers:
    - name: init-baiyu-service
      image: busybox:1.32
      command: ['sh', '-c','until nslookup baiyu-service; do echo waiting for baiyu-service; sleep 2;done;']
    - name: init-baiyu-db
      image: busybox:1.32
      command: ['sh', '-c', 'until nslookup baiyu-db; do echo waiting for baiyu-db; sleep 2; done;']

上面的yaml，运行了一个pod。里面有一个main container，有两个init container

kubectl create -f init-pod.yaml

然后执行kubectl get pod -n baiyu-learn-k8s -o wide -w查看容器状态

 此时无论多久，上面这个容器都不会变成running状态的。这是因为我们写了两个init container的条件没有满足。

第一个init container里面，我们执行了下面这句命令，表示在我们能解析到有这个baiyu-service名称的网络服务就打破循环。

until nslookup baiyu-service; 
do 
echo waiting for baiyu-service; 
sleep 2;
done;

此处补充个小知识点，便是Linux中until的用法。

until跟while类似，都是一个固定循环。

但是until跟while又有不同，则是它们的条件满足不同。

until是直到条件为真时，打破循环。而while是条件为真时一直循环，条件为假时打破循环。

此时，我们通过命令

kubectl logs baiyu-pod -n baiyu-learn-k8s --container init-baiyu-service

查看pod中的init-baiyu-service容器的日志，可以发现它一直在循环检测服务是否起来

 为了满足我们init-pod中的init container的条件，我们准备了以下脚本实现两个service，用于满足init C的条件。

# init-service.yaml
# author: 攻城狮白玉
kind: Service
apiVersion: v1
metadata:
  name: baiyu-service
  namespace: baiyu-learn-k8s
spec:
  ports:
    - protocol: TCP
      port: 80
      targetPort: 9376
---
kind: Service
apiVersion: v1
metadata:
  name: baiyu-db
  namespace: baiyu-learn-k8s
spec:
  ports:
  - protocol: TCP
    port: 80
    targetPort: 9377

执行命令启动脚本kubectl apply -f init-service.yaml

使用kubectl get pod -n baiyu-learn-k8s -o wide -w查看我们的pod的状态。结果如下图所示，在两个init容器执行完成之后，main 容器进行执行，最终Pod完成启动Pod状态变为Running

特殊说明

• 在Pod启动过程中，Init容器会按顺序在网络和数据卷初始化（网络和数据卷初始化是在pause中启动的）之后启动。每个容器必须在下一个容器启动之前成功退出。
• 如果由于运行时或失败退出，将导致容器启动失败，它会根据Pod的restartPolicy指定的策略进行重试。然而，如果Pod的restartPolicy设置为Always，Init容器失败时会使用RestartPolicy策略
• 在所有的Init容器没有成功之前，Pod将不会变成Ready状态。Init容器的端口将不会再Service中进行聚集。正在初始化中的Pod处于Pending状态，但应该会将Initializing状态设置为true
• 如果Pod重启，所有Init容器必须重新执行。
• 对于Init容器spec的修改被限制在容器image字段，修改其他字段都不会生效。更改Init容器的image字段等价于重启该Pod。
• Init容器具有应用容器的所有字段，除了readinessProbe，因为Init容器无法定义不同于完成（completion）的就绪（readiness）之外的其他状态。这会在验证过程中强制执行。
• 在Pod中的每个app和Init容器的名称必须要唯一；与任何其他容器共享同一个名称，会在验证时抛出错误。
• Init容器执行的效果应该是幂等的。

总结

本文介绍了k8s整体容器的生命周期以及Init Container的基本概念和作用，并通过一个实战例子进一步加深了各位同学对init Containers的理解。限于篇幅，并没有把容器的生命周期所有知识点写完，下一篇我会介绍容器生命周期的两个探针，readness和liveness。以及启停时的动作钩子

写在后面

如果觉得有用的话，麻烦一键三连支持一下攻城狮白玉，并把本文分享给更多的小伙伴。你的简单支持，我的无限创作动力