第三堂課介紹 Kubernetes。
Conway’s Law Organizations which design systems … are constrained to produce designs which are copies of the communication structures of these organizations
What is Kubernetes? 將程式包成 container 只解決了 5% 的問題。真實的問題是
App Configuration
Service Discovery
Managing Updates
Monitoring
Kubernetes 提供了新一層 abstractions 來包覆 deployment,讓使用者可以專注於大局。 Kubernetes 可以讓我們將每台機器抽象起來,讓操作 cluster 起來就像邏輯上操作一台機器一樣。 在 Kubernetes 裡,描述一串 applications ,設定如何互動,並使之發生。
Setting up Kubernetes for this course 課程上是使用 Google Cloud Platform(GCP),而我是準備一台 Ubuntu server ,上面安裝好 Kubernetes 來進行這個課程。Course Repo
Get started Launch a single instance 1
$ kubectl run nginx --image=nginx:1.10.0
將 nginx container 透過 kubectl 指令啟動
Get pods
在 Kubernetes 裡,所有的 Containers 運行在 pod ,使用上述指令列出正在運行的 pods
Expose nginx 1
$ kubectl expose deployment nginx --port 80 --type LoadBalancer
上面指令會建立出 load balancer 且派發一個 public IP 在上面,並將 80 port 暴露給外面。任何一個 Client 透過派發的 IP 連線將會經過 load balancer 傳送到內部 container,在這邊的例子是 nginx 。
List services
列出 services 資訊,像是 Public IP, expose port 。
Pods Kubernetes 的核心是 Pods ,Pods 代表的是 Logical Application 。
One or more containers - 將具有依賴關係的 containers 包在同一個 pod 裡。
Volumes - containers 放置資料的地方,可以被所有在 pod 裡的 containers 使用
Shared namespace - Shared namespace 表示在相同 pod 裡的 containers 互相溝通,並分享相同的 Volumes
One IP per pod - 在同一個 pod 裡的 containers 共享相同的 public IP 。
Pods Configuration 在 Kubernetes 裡,建立 pods 是透過設定 yaml 格式的設定檔。如下 monolith.yaml
:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
$ cat pods/monolith.yaml
apiVersion: v1
kind: Pod
metadata:
name: monolith
labels:
app: monolith
spec:
containers:
- name: monolith
image: udacity/example-monolith:1.0.0
args:
- "-http=0.0.0.0:80"
- "-health=0.0.0.0:81"
- "-secret=secret"
ports:
- name: http
containerPort: 80
- name: health
containerPort: 81
resources:
limits:
cpu: 0.2
memory: "10Mi"
在 contains:
底下標示 container 的屬性。包含
name:
: container 名稱
image:
: 要使用的 container image
args:
Application 執行時所需的參數
port:
: 需要暴露給外面的 ports
resources:
: 限制 cpu 和記憶體使用量。
Create the pod 將設定好的 monolith.yaml
透過底下指令將 monolith pod 建立出來。
1
2
$ kubectl create -f pods/monolith.yaml
pod "monolith" created
Examine pods 在 pod 剛建立出來時需要準備一段時間讓 container 啟動。透過以下指令觀察是否建立出來以及正在運行。
1
2
3
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
monolith 1/1 Running 0 14s
Describe pods 需要檢查詳細的資訊可以透過以下指令。
1
$ kubectl describe pods monolith
會列出 container 被指派的 IP,暴露的 port ,以及其他許多的 metadata 和發生的 events log。
Port forward 設定一個或多個 local port 轉送到 pod 裡的 port。
1
2
3
$ kubectl port-forward monolith 10080:80
Forwarding from 127.0.0.1:10080 -> 80
Forwarding from [::1]:10080 -> 80
這道指令會處於 listen 狀態,開啟另一個 terminal 測試 monolith 連線。
1
2
3
4
$ curl http://127.0.0.1:10080
{"message" :"Hello" }
$ curl http://127.0.0.1:10080/secure
authorization failed
測試 login。
1
2
3
4
5
$ curl -u user http://127.0.0.1:10080/login
Enter host password for user 'user' : password
{"token" :"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJlbWFpbCI6InVzZXJAZXhhbXBsZS5jb20iLCJleHAiOjE0NzcxNTA3ODQsImlhdCI6MTQ3Njg5MTU4NCwiaXNzIjoiYXV0aC5zZXJ2aWNlIiwic3ViIjoidXNlciJ9.Rgm5BBG8VSiLH-u26Am1QAaXtz05nzvfWWZhHjOcaus" }
$ curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJlbWFpbCI6InVzZXJAZXhhbXBsZS5jb20iLCJleHAiOjE0NzcxNTA3ODQsImlhdCI6MTQ3Njg5MTU4NCwiaXNzIjoiYXV0aC5zZXJ2aWNlIiwic3ViIjoidXNlciJ9.Rgm5BBG8VSiLH-u26Am1QAaXtz05nzvfWWZhHjOcaus" http://127.0.0.1:10080/secure
{"message" :"Hello" }
View logs 列出 pod 裡的 container log。
1
2
3
4
5
6
7
8
9
10
11
$ kubectl logs monolith
2016/10/19 15:04:10 Starting server...
2016/10/19 15:04:10 Health service listening on 0.0.0.0:81
2016/10/19 15:04:10 HTTP service listening on 0.0.0.0:80
127.0.0.1:59954 - - [Wed, 19 Oct 2016 15:22:34 UTC] "GET / HTTP/1.1" curl/7.47.0
127.0.0.1:59986 - - [Wed, 19 Oct 2016 15:22:48 UTC] "GET /secure HTTP/1.1" curl/7.47.0
127.0.0.1:33138 - - [Wed, 19 Oct 2016 15:38:29 UTC] "GET /login HTTP/1.1" curl/7.47.0
127.0.0.1:33226 - - [Wed, 19 Oct 2016 15:39:26 UTC] "GET /login HTTP/1.1" curl/7.47.0
127.0.0.1:33252 - - [Wed, 19 Oct 2016 15:39:43 UTC] "GET /login HTTP/1.1" curl/7.47.0
127.0.0.1:33430 - - [Wed, 19 Oct 2016 15:41:41 UTC] "GET /secure HTTP/1.1" curl/7.47.0
127.0.0.1:33492 - - [Wed, 19 Oct 2016 15:42:20 UTC] "GET /secure HTTP/1.1" curl/7.47.0
加 -f
進入 stream 模式,監控即時 log 。
Enter container 需要像 docker exec
進入 container 執行指令的話,透過底下指令。
1
2
$ kubectl exec monolith --stdin --tty -c monolith /bin/sh
/
Monitor and Health Checks Kubernetes 提供了 Health Checks 機制,讓使用者自訂檢查 applications 健康狀態和 readiness check。 Readiness check 用來確認 pod 是否已經準備好可以提供服務,當 check failed 時,container 會被標記成 not ready 並從 load balancer 中移除。 Liveness probe 檢查 container 是否活著,如果檢查多次失敗, container 將會重啟。
問題練習 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
$ cat pods/monolith.yaml
...
livenessProbe:
httpGet:
path: /healthz
port: 81
scheme: HTTP
initialDelaySeconds: 5
periodSeconds: 15
timeoutSeconds: 5
readinessProbe:
httpGet:
path: /readiness
port: 81
scheme: HTTP
initialDelaySeconds: 5
timeoutSeconds: 1
$ kubectl create -f pods/monolith.yaml
pod "healthy-monolith" created
$ kubectl describe pods healthy-monolith
...
State: Running
Started: Fri, 21 Oct 2016 22:37:12 +0800
Ready: True
Restart Count: 0
Liveness: http-get http://:81/healthz delay=5s timeout=5s period=15s
Readiness: http-get http://:81/readiness delay=5s timeout=1s period=10s
...
使用 healthy-monolith pod,回答下面三個問題。
Secret and ConfigMap ConfigMap 和 Secret 相似,但是 ConfigMap 用來存放較不敏感的資料,而像密碼或金鑰之類的需要安全性的資料則使用 Secret。 Secret 會在 pod 建立時, mount 到 container 裡當作 volume,讓 container 擁有和使用。
ConfigMap Secrets
1
2
3
4
$ kubectl create secret generic tls-certs --from-file=tls/
$ kubectl create -f pods/secure-monolith.yaml
以下使用 nginx reverse proxy 為例子,將 https(443 port) 連線轉送到 http(80 port)。
Create secret https 連線需要 Certificate ,使用 secret 將 Certificate 封裝起來。
1
$ kubectl create secret generic tls-certs --from-file=tls/
Describe secret kubectl will create a key for each file in the tls directory under the tls-certs secret bucket. Use the kubectl describe
command to verify that:
1
$ kubectl describe secrets tls-certs
Create ConfigMap 將 nginx reverse proxy 的設定透過 ConfigMap 封裝起來。
1
$ kubectl create configmap nginx-proxy-conf --from-file=nginx/proxy.conf
Describe ConfigMap 透過 kubectl describe configmap
獲得詳細的資訊。
1
$ kubectl describe configmap nginx-proxy-conf
操作練習 使用 secure-monolith pod 作為這次練習。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
$ cat pods/secure-monolith.yaml
apiVersion: v1
kind: Pod
metadata:
name: "secure-monolith"
labels:
app: monolith
spec:
containers:
- name: nginx
image: "nginx:1.9.14"
lifecycle:
preStop:
exec :
command : ["/usr/sbin/nginx" ,"-s" ,"quit" ]
volumeMounts:
- name: "nginx-proxy-conf"
mountPath: "/etc/nginx/conf.d"
- name: "tls-certs"
mountPath: "/etc/tls"
- name: monolith
image: "udacity/example-monolith:1.0.0"
ports:
- name: http
containerPort: 80
- name: health
containerPort: 81
resources:
limits:
cpu: 0.2
memory: "10Mi"
livenessProbe:
httpGet:
path: /healthz
port: 81
scheme: HTTP
initialDelaySeconds: 5
periodSeconds: 15
timeoutSeconds: 5
readinessProbe:
httpGet:
path: /readiness
port: 81
scheme: HTTP
initialDelaySeconds: 5
timeoutSeconds: 1
volumes:
- name: "tls-certs"
secret:
secretName: "tls-certs"
- name: "nginx-proxy-conf"
configMap:
name: "nginx-proxy-conf"
items:
- key: "proxy.conf"
path: "proxy.conf"
在 secure-monolith pod 設定裡,可以看到使用兩個 container ,分別為 nginx 和 monolith , nginx 會作為 reverse proxy 將連線導入 monolith 。
在 nginx 設定裡,有設定 lifecycle
當 nginx container 要關閉時,先執行所設定的 command ,清理剩餘的工作。在 volumeMounts
裡,設定先前建立的 secret 和 ConfigMap ,將之 mount。
Create secure-monolith pod 1
2
3
4
Create the secure-monolith Pod using kubectl.
kubectl create -f pods/secure-monolith.yaml
kubectl get pods secure-monolith
Check connection 使用先前學過的 port-forward 指令,將 local 10443 port 開通到 nginx 443 port ,測試 TLS 連線能不能相通。
1
2
3
4
5
kubectl port-forward secure-monolith 10443:443
curl --cacert tls/ca.pem https://127.0.0.1:10443
kubectl logs -c nginx secure-monolith
Services 不管是使用 pod 還是 docker container ,都會遇到一個問題是,container 會因各種原因需要進行重啟,而重啟時 IP 會重新指派,因此無法仰賴固定的 IP 。因此 Kubernetes 引入 Services 當作 pod 的 abstraction ,由 Services 當作是 pods 前端,提供穩定的連接,因此後端的 pods 的更動,就不會影響整體。
Persistent Endpoint for Pods
Use labels to select pods
Internal or External IP
Create Services 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$ cat services/monolith.yaml
kind: Service
apiVersion: v1
metadata:
name: "monolith"
spec:
selector:
app: "monolith"
secure: "enabled"
ports:
- protocol: "TCP"
port: 443
targetPort: 443
nodePort: 31000
type : NodePort
Services 設定裡透過 selector
將有符合 label 的 pods 選出來聚在一起。並把所有 pods 443 port 暴露出來,讓 local 31000 port 轉到 pods 443 port。
接著建立 services 。1
$ kubectl create -f services/monolith.yaml
這時 services 沒有選擇到任何東西 ,因為沒有一個 pod 的 label 符合,可以透過以下指令檢查。1
$ kubectl get pods -l "app=monolith,secure=enabled"
將 secure-monolith pod 加入 label。 1
2
3
4
$ kubectl label pods secure-monolith "secure=enabled"
$ kubectl get pods -l "app=monolith,secure=enabled"
NAME READY STATUS RESTARTS AGE
secure-monolith 2/2 Running 0 5h
此時 services 就可以接管 secure-monolith pod 。