11：可觀測(cè)性、監(jiān)控和日志

1）需求來(lái)源

當(dāng)把應(yīng)用遷移到kubernetes之后，如何保障應(yīng)用的健康和穩(wěn)定？

• 1 提高應(yīng)用的可觀測(cè)性
• 2 提高應(yīng)用的可恢復(fù)能力

具體方法：

• 1 可以實(shí)時(shí)觀測(cè)應(yīng)用的健康狀態(tài)
• 2 可以獲取應(yīng)用的資源使用情況
• 3 可以拿到應(yīng)用的實(shí)時(shí)日志，進(jìn)行問(wèn)題的診斷與分析

2）應(yīng)用健康狀態(tài)-Liveness與Readiness

3）問(wèn)題診斷

狀態(tài)機(jī)制

應(yīng)用故障排查-常見(jiàn)應(yīng)用異常

• Pod停留在Pending：Pending表示調(diào)度器沒(méi)有介入，可以通過(guò)kubectl describe pod，查看事件排查，通常和資源使用相關(guān)
• Pod停留在waiting：一般表示Pod的鏡像沒(méi)有正常拉取，通?？赡芎退接戌R像拉取，鏡像地址不存在，鏡像公網(wǎng)拉取相關(guān)
• Pod不斷被拉起且可以看到crashing：通常表示Pod已經(jīng)完成調(diào)度并啟動(dòng)，但是啟動(dòng)失敗，通常是由于配置、權(quán)限造成，需要查看Pod日志
• Pod處在Running但是沒(méi)有正常工作：通常是由于部分字段拼寫(xiě)錯(cuò)誤造成的，可以通過(guò)校驗(yàn)部署來(lái)排查，例如：Kubectl apply -validate -f pod.yaml
• Service無(wú)法正常工作：在排除網(wǎng)絡(luò)插件自身的問(wèn)題之外，最可能的是label配置有問(wèn)題，可以通過(guò)查看endpoint的方式進(jìn)行檢查

應(yīng)用問(wèn)題診斷的三個(gè)步驟：

• 1 通過(guò)describe查看狀態(tài)，通過(guò)狀態(tài)判斷排查方向
• 2 查看對(duì)象的event事件，獲取更詳細(xì)的信息
• 3 查看Pod的日志，確定應(yīng)用自身的情況

12：可觀測(cè)性：監(jiān)控和日志

1）背景

監(jiān)控和日志是大型分布式系統(tǒng)的重要基礎(chǔ)設(shè)施，監(jiān)控可以幫助開(kāi)發(fā)者查看系統(tǒng)的運(yùn)行狀態(tài)，日志可以協(xié)助問(wèn)題的排查。
Kubernetes 定義了介入的接口標(biāo)準(zhǔn)和規(guī)范，任何符合接口標(biāo)準(zhǔn)的監(jiān)控和日志組件都可以快速集成。

2）監(jiān)控

監(jiān)控類型

• 1 資源監(jiān)控：CPU、內(nèi)存、網(wǎng)絡(luò)等資源類的指標(biāo)，常以數(shù)值、百分比為單位進(jìn)行統(tǒng)計(jì)，是最常見(jiàn)的資源監(jiān)控方式
• 2 性能監(jiān)控：應(yīng)用的內(nèi)部監(jiān)控，通常通過(guò)Hook的機(jī)制在虛擬機(jī)層、字節(jié)碼執(zhí)行層隱式回調(diào)，或者在應(yīng)用層顯示注入，獲取更深層次的監(jiān)控指標(biāo)，常用來(lái)應(yīng)用診斷與調(diào)優(yōu)
• 3 安全監(jiān)控：針對(duì)安全進(jìn)行一系列監(jiān)控策略，例如越權(quán)管理、安全漏洞掃描等
• 4 事件監(jiān)控：k8s中一種另類的監(jiān)控方式，緊密貼合k8s的設(shè)計(jì)理念，補(bǔ)充常規(guī)方案的缺欠與弊端

Prometheus-開(kāi)源社區(qū)的監(jiān)控”標(biāo)準(zhǔn)“

• 簡(jiǎn)潔強(qiáng)大的接入標(biāo)準(zhǔn)
• 多種數(shù)據(jù)采集、離線方式
• k8s的兼容
• 豐富的插件機(jī)制與生態(tài)
• Prometheus Operator的助力

3）日志

日志的場(chǎng)景

• 主機(jī)內(nèi)核的日志：主機(jī)內(nèi)核日志可以協(xié)助開(kāi)發(fā)者診斷，例如：網(wǎng)絡(luò)棧異常、驅(qū)動(dòng)異常、文件系統(tǒng)異常，影響節(jié)點(diǎn)（內(nèi)核）穩(wěn)定的異常
• Runtime的日志：最常見(jiàn)的運(yùn)行是Docker，可以通過(guò)Docker的日志排查，例如Pod Hang等問(wèn)題
• 核心組件的日志：APIServer日志可以用來(lái)審計(jì)，Scheduler日志可以診斷調(diào)度，etcd日志可以查看存儲(chǔ)狀態(tài)，Ingress日志可以分析接入層流量
• 部署應(yīng)用的日志：可以通過(guò)應(yīng)用日志分析查看業(yè)務(wù)層的狀態(tài)，診斷異常

13：Kubernetes網(wǎng)絡(luò)概念及策略控制

1）Kubernetes基本網(wǎng)絡(luò)模型

基本法：約法三章+四大目標(biāo)
Kubernetes對(duì)于Pod間的網(wǎng)絡(luò)沒(méi)有任何限制，只需要滿足如下[三個(gè)基本條件]：

• 所有Pod可以與其他Pod直接通信，無(wú)需顯式使用NAT(Network Address Translation)
• 所有Pod可以與所有Pod直接通信，無(wú)需顯式使用NAT
• Pod可見(jiàn)的IP地址為其他Pod與其通信時(shí)所用，無(wú)需顯式轉(zhuǎn)換

基于以上準(zhǔn)入條件，我們?cè)趯徱曇粋€(gè)網(wǎng)絡(luò)方案的時(shí)候，需要考慮如下[四大目標(biāo)]：

• 容器與容器間的通信
• Pod與Pod之間的通信
• Pod與Service之間的通信
• 外部世界與Service間的通信

2) Netns探秘

Network namespace是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的內(nèi)核基礎(chǔ)，創(chuàng)建了隔離的網(wǎng)絡(luò)空間

• 擁有獨(dú)立的附屬網(wǎng)絡(luò)設(shè)備（Io、veth等虛設(shè)備/物理網(wǎng)卡）
• 獨(dú)立的協(xié)議棧，IP地址和路由表
• iptables規(guī)則
• ipvs等

Pod和Netns的關(guān)系
每個(gè)Pod擁有獨(dú)立的Netns空間，Pod內(nèi)的Container共享該空間，可通過(guò)Loopback接口實(shí)現(xiàn)通信，或通過(guò)共享的Pod-IP對(duì)外提供服務(wù)。別忘記，宿主機(jī)上還有一個(gè)Root Netns，可以看做一個(gè)特殊的容器空間

3）典型網(wǎng)絡(luò)容器解決方案

容器網(wǎng)絡(luò)是K8S鄰域最百花齊放的一個(gè)領(lǐng)域，依照IaaS層的配置、外部物理網(wǎng)絡(luò)的設(shè)備、性能or靈活優(yōu)先，可以有不同的實(shí)現(xiàn)：

• Flannel:最為普遍，提供多種網(wǎng)絡(luò)backend實(shí)現(xiàn)，覆蓋多種場(chǎng)景
• Calico:采用BGP提供網(wǎng)絡(luò)直連，功能豐富，對(duì)底層網(wǎng)絡(luò)有要求
• Canal:(Flannel for network + Calico for firewalling)，嫁接型創(chuàng)新項(xiàng)目
• Cilium: 基于eBPF和XDP的高性能Overlay網(wǎng)絡(luò)方案
• Kube-router:同樣采用BGP提供網(wǎng)絡(luò)直連，集成基于LVS的負(fù)載均衡能力
• Romana: 采用BGP or OSPF提供網(wǎng)絡(luò)直連能力的方案
• WeaveNet：采用UDP封裝實(shí)現(xiàn)L2 Overlay，支持用戶態(tài)（慢，可加密）/內(nèi)核態(tài)（快，不能加密）兩種實(shí)現(xiàn)

4)Network Policy基本概念

Network Policy提供了基于策略的網(wǎng)絡(luò)控制，用于隔離應(yīng)用并減少攻擊面。它使用標(biāo)簽選擇器模擬傳統(tǒng)的分段網(wǎng)絡(luò)，并通過(guò)策略控制它們之間的流量以及來(lái)自外部的流量

5）小結(jié)

• 1 Pod在容器網(wǎng)絡(luò)中的核心概念是IP，每個(gè)Pod必須有內(nèi)外視角一致的獨(dú)立IP地址
• 2 影響容器網(wǎng)絡(luò)性能的關(guān)鍵是拓?fù)湓O(shè)計(jì)，也就是數(shù)據(jù)包端到端的路徑設(shè)計(jì)
• 3 牢記Overlay/Underlay下各種網(wǎng)絡(luò)方案的設(shè)計(jì)選擇，如果不知道，可以這樣選：普適性最強(qiáng)Flannel-VxLan，2層可直連Calico/Flannel-Hostgw
• 4 Network Policy是個(gè)強(qiáng)大的工具，可以實(shí)現(xiàn)Ingress的流量精確控制，關(guān)鍵是選擇好Pod Selector

14：Kubernetes Services

1)需求來(lái)源

Kubernetes應(yīng)用應(yīng)如何相互調(diào)用？

• Pod生命周期短暫，IP地址隨時(shí)變化
• Deployment等的Pod組需要統(tǒng)一訪問(wèn)入口和做負(fù)載均衡
• 應(yīng)用間在不同環(huán)境部署時(shí)保持同樣的部署拓?fù)浜驮L問(wèn)方式

Services ：Kubernetes中的服務(wù)發(fā)現(xiàn)與負(fù)載均衡

Kubernetes服務(wù)發(fā)現(xiàn)架構(gòu)

15：深入剖析Linux容器

以Docker為例的容器：cgroup+namespace+docker image

怎么保證這個(gè)進(jìn)程所用到的資源是被隔離和被限制住的，在 Linux 內(nèi)核上面是由 cgroup 和 namespace 這兩個(gè)技術(shù)來(lái)保證的.

1)資源隔離和限制

兩種cgroup驅(qū)動(dòng)

容器中常用的cgroup

2)容器鏡像

以docker images為例：

• 基于聯(lián)合文件系統(tǒng)
• 不同的層可以被其他鏡像復(fù)用
• 容器的可寫(xiě)層可以做成鏡像新的一層

以overlay文件系統(tǒng)為例：

文件操作：

• 讀：如果upper層沒(méi)有副本，數(shù)據(jù)都從lower讀上來(lái)
• 寫(xiě)：容器創(chuàng)建出來(lái)時(shí)，upper層是空的，只有對(duì)文件進(jìn)行寫(xiě)操作時(shí)，才會(huì)從lower層拷貝文件上來(lái)，對(duì)副本進(jìn)行操作
• 刪：刪除操作不影響lower層，刪除操作通過(guò)對(duì)文件進(jìn)行標(biāo)記，使文件無(wú)法顯示

3）容器引擎

上圖如果把它分成左右兩邊的話，可以認(rèn)為 containerd 提供了兩大功能。
第一個(gè)是對(duì)于 runtime，也就是對(duì)于容器生命周期的管理，左邊 storage 的部分其實(shí)是對(duì)一個(gè)鏡像存儲(chǔ)的管理。containerd 會(huì)負(fù)責(zé)鏡像的拉取、鏡像的存儲(chǔ)。
按照水平層次來(lái)看的話:
第一層是 GRPC，containerd 對(duì)于上層來(lái)說(shuō)是通過(guò) GRPC serve 的形式來(lái)對(duì)上層提供服務(wù)的。Metrics 這個(gè)部分主要是提供 cgroup Metrics 的一些內(nèi)容。
下面這層的左邊是容器鏡像的一個(gè)存儲(chǔ)，中線 images、containers 下面是 Metadata，這部分 Matadata 是通過(guò) bootfs 存儲(chǔ)在磁盤上面的。右邊的 Tasks 是管理容器的容器結(jié)構(gòu)，Events 是對(duì)容器的一些操作都會(huì)有一個(gè) Event 向上層發(fā)出，然后上層可以去訂閱這個(gè) Event，由此知道容器狀態(tài)發(fā)生什么變化。
最下層是 Runtimes 層，這個(gè) Runtimes 可以從類型區(qū)分，比如說(shuō) runC 或者是安全容器之類的。

16：深入理解etcd-基本原理解析

1）基本介紹

etcd誕生于CoreOS公司，最初用于解決集群管理系統(tǒng)中的OS升級(jí)的分布式并發(fā)控制以及配置文件的存儲(chǔ)與分發(fā)等問(wèn)題?；诖?，etcd被設(shè)計(jì)為提供高可用、強(qiáng)一致的小型KeyValue數(shù)據(jù)存儲(chǔ)服務(wù)。項(xiàng)目當(dāng)前隸屬于CNCF基金會(huì)，被包括AWS、Google、Microsoft、Alibaba等大型互聯(lián)網(wǎng)公司廣泛使用。

2）架構(gòu)及內(nèi)部機(jī)制解析

一個(gè) etcd 集群，通常會(huì)由 3 個(gè)或者 5 個(gè)節(jié)點(diǎn)組成，多個(gè)節(jié)點(diǎn)之間，通過(guò)一個(gè)叫做 Raft 一致性算法的方式完成分布式一致性協(xié)同，算法會(huì)選舉出一個(gè)主節(jié)點(diǎn)作為 leader，由 leader 負(fù)責(zé)數(shù)據(jù)的同步與數(shù)據(jù)的分發(fā)，當(dāng) leader 出現(xiàn)故障后，系統(tǒng)會(huì)自動(dòng)地選取另一個(gè)節(jié)點(diǎn)成為 leader，并重新完成數(shù)據(jù)的同步與分發(fā)?？蛻舳嗽诒姸嗟?leader 中，僅需要選擇其中的一個(gè)就可以完成數(shù)據(jù)的讀寫(xiě)。

這里面有一個(gè)關(guān)鍵點(diǎn)，它基于一個(gè)前提：任意兩個(gè) quorum 的成員之間一定會(huì)有一個(gè)交集，也就是說(shuō)只要有任意一個(gè) quorum 存活，其中一定存在某一個(gè)節(jié)點(diǎn)，它包含著集群中最新的數(shù)據(jù)。正是基于這個(gè)假設(shè)，這個(gè)一致性算法就可以在一個(gè) quorum 之間采用這份最新的數(shù)據(jù)去完成數(shù)據(jù)的同步，從而保證整個(gè)集群向前衍進(jìn)的過(guò)程中其數(shù)據(jù)保持一致。

etcd API接口

3)典型的應(yīng)用場(chǎng)景

17：深入理解etcd：etcd性能優(yōu)化實(shí)踐

• Raft 層，Raft 需要通過(guò)網(wǎng)絡(luò)同步數(shù)據(jù)，網(wǎng)絡(luò) IO 節(jié)點(diǎn)之間的 RTT 和 / 帶寬會(huì)影響 etcd 的性能。除此之外，WAL 也受到磁盤 IO 寫(xiě)入速度影響.
• 再來(lái)看 Storage 層，磁盤 IO fdatasync 延遲會(huì)影響 etcd 性能，索引層鎖的 block 也會(huì)影響 etcd 的性能。除此之外，boltdb Tx 的鎖以及 boltdb 本身的性能也將大大影響 etcd 的性能。
• 從其他方面來(lái)看，etcd 所在宿主機(jī)的內(nèi)核參數(shù)和 grpc api 層的延遲，也將影響 etcd 的性能。

18：Kubernetes調(diào)度過(guò)程

1） Kubenetes基礎(chǔ)調(diào)度能力

資源調(diào)度-滿足Pod資源要求

• Resources：CPU/Memory/Storage/GPU/FGPA
• QoS：Guaranteed(敏感型、需要保障業(yè)務(wù))/Burstable(次敏感型、需要彈性業(yè)務(wù))/BestEffort(可容忍型業(yè)務(wù))
• Resource Quota（為每個(gè)NameSpace配置ResourceQuota來(lái)防止過(guò)量使用，保障他人的資源可用）

關(guān)系調(diào)度-滿足Pod/Node的特殊關(guān)系、條件要求

• PodAffinity(Pod親和調(diào)度)/PodAntiAffinity(Pod反親和調(diào)度):Pod和Pod之間的關(guān)系
• NodeSelector/NodeAffinity:由Pod決定適合自己的Node
• Taint/Tolerations：限制調(diào)度到某些Node，給Pods配置容忍標(biāo)記

Kubernetes高級(jí)調(diào)度能力-如何做到集群資源合理利用？

• 創(chuàng)建自定義的一些優(yōu)先級(jí)類別（PriprityClass）
• 給不同類型Pods配置不同的優(yōu)先級(jí)（PriorityClassName）
• 通過(guò)組合不同類型Pods運(yùn)行和優(yōu)先級(jí)搶占讓集群資源和調(diào)度彈性起來(lái)

19：調(diào)度器的調(diào)度流程和算法介紹

調(diào)度器架構(gòu)

• preFilter：對(duì)Pod的請(qǐng)求做預(yù)處理
• Filter：自定義Filter邏輯
• PostFilter：可以用于logs/metircs，或者對(duì)Score之前做數(shù)據(jù)預(yù)處理
• Score：自定義的Score邏輯
• Reserve：有狀態(tài)的plugin可以對(duì)資源做內(nèi)存記賬
• Permit：wait, deny, approve，可以作為gang的插入點(diǎn)
• PreBind：在真正bind node之前，執(zhí)行一些操作，例如：云盤掛載到Node上
• Bind：一個(gè)Pod只會(huì)被一個(gè)BindPlugin處理
• PostBind：bind成功之后執(zhí)行的邏輯
• Unreserve：在permit到Bind這幾個(gè)階段只要報(bào)錯(cuò)就回退

20：GPU管理和Device Plugin工作機(jī)制

為什么要用Kubernetes管理以GPU為代表的異構(gòu)資源？

• 加速部署：通過(guò)容器構(gòu)建避免重復(fù)部署機(jī)器學(xué)習(xí)復(fù)雜環(huán)境
• 提升集群資源使用率：統(tǒng)一調(diào)度和分配集群資源
• 保障資源獨(dú)享：利用容器隔離異構(gòu)設(shè)備，避免相互影響

資源的上報(bào)和監(jiān)控

• 第一步是 Device Plugin 的注冊(cè)，需要 Kubernetes 知道要跟哪個(gè) Device Plugin 進(jìn)行交互。這是因?yàn)橐粋€(gè)節(jié)點(diǎn)上可能有多個(gè)設(shè)備，需要 Device Plugin 以客戶端的身份向 Kubelet 匯報(bào)三件事情。
• 第二步是服務(wù)啟動(dòng)，Device Plugin 會(huì)啟動(dòng)一個(gè) GRPC 的 server。在此之后 Device Plugin 一直以這個(gè)服務(wù)器的身份提供服務(wù)讓 kubelet 來(lái)訪問(wèn)，而監(jiān)聽(tīng)地址和提供 API 的版本就已經(jīng)在第一步完成了；
• 第三步，當(dāng)該 GRPC server 啟動(dòng)之后，kubelet 會(huì)建立一個(gè)到 Device Plugin 的 ListAndWatch 的長(zhǎng)連接， 用來(lái)發(fā)現(xiàn)設(shè)備 ID 以及設(shè)備的健康狀態(tài)。當(dāng) Device Plugin 檢測(cè)到某個(gè)設(shè)備不健康的時(shí)候，就會(huì)主動(dòng)通知 kubelet。而此時(shí)如果這個(gè)設(shè)備處于空閑狀態(tài)，kubelet 會(huì)將其移除可分配的列表。但是當(dāng)這個(gè)設(shè)備已經(jīng)被某個(gè) Pod 所使用的時(shí)候，kubelet 就不會(huì)做任何事情，如果此時(shí)殺掉這個(gè) Pod 是一個(gè)很危險(xiǎn)的操作。
• 第四步，kubelet 會(huì)將這些設(shè)備暴露到 Node 節(jié)點(diǎn)的狀態(tài)中，把設(shè)備數(shù)量發(fā)送到 Kubernetes 的 api-server 中。后續(xù)調(diào)度器可以根據(jù)這些信息進(jìn)行調(diào)度。