FunctionGraph 4 什么是容器技术？ • 对比虚机的优势： • 通过共享操作系统内核，细粒度资源隔离。（降低资源成本） • 定义了环境无关的标准的交付、部署规范（提高交付效率） • 秒级快速启动和停止（适合敏捷扩缩容场景） • 一台ECS实例/物理机上可以运行多个容器。 • 容器在业界的默认标准是Docker，定义容器标 准的组织是OCI。 容器技术是一种轻量级的操作系统虚拟化方案， 通过跨可用区高可用和控制面HA提升业务可靠性 • 通过物理共享集群提供敏捷可靠的容器适应业务多样性 高性能基础设施 • 支持多种异构IaaS：虚拟机、物理机、ARM服务器 • 支持多种存储：云硬盘、对象存储、文件存储 • 对接公私网络：虚拟私有网络、EIP公网 容器引擎CCE：基于开源Kubernetes和Docker技术的企业级容器服务 开源原生平台 商业增强特性 控制面 HA 跨AZ高可用 CCE推出基于Kubernetes的Windows Server容器管理服务 • 完美兼容Kubernetes能力，支持容器CPU/内存资源编排，无状态/ 有状态应用模型等能力； • 可纳管最新的Windows 1709系统，支持启动Windows Native容 器。 12 CCE支持GPU异构计算能力，帮助企业高效灵活应用深度学习服务 • 将旧的加速计算应用程序容器化，并部署 在较新的系统或者云环境中。 • 将特定的

开始pull V8版本的image PS：灰度升级属于原地升级，因此不需要重新过调度，升级的效率 也会提升。 每次升级可以选择要升级的实例个数以及具体哪些(个)实例。 能力扩展：存储场景 物理硬盘 cephFS ceph RBD ceph RBD 权限管理 quota 在线扩容 containe r containe r containe r 本地磁盘 containe

Container，在主容器启动前执⾏，进⾏初始化 ⼯作，详情参考https://kubernetes.io/docs/concepts/workloads/pods/init- containers/。 添加容器：⽀持添加多个容器 23 ii. 可选配置 端⼝映射：配置所启动容器使⽤的协议（⽀持TCP和UDP）、端⼝ 环境变量：配置所启动容器所需的环境变量（key/value的形式） 头：即 HTTPHeaders，HTTP 请求中⾃定义的请求头，HTTP 允许重复的 header。 ⽀持键值对的配置⽅式。 运⾏多久后开始检测（秒）：即 initialDelaySeconds，容器启动后第⼀次执⾏检测时需要等 待多少秒，默认为 3 秒。 检查间隔（秒）：即 periodSeconds，指执⾏检查的时间间隔，默认为 10 秒，最⼩为 1 秒。 不健康阈值：探测成功后，最少连续探测失败多少次才被认定为失败。默认是 1~65535。 25 ⽣命周期：为容器的⽣命周期配置容器启动执⾏、启动后处理和停⽌前处理。具体参⻅ https://kubernetes.io/docs/tasks/configure-pod-container/attach-handler-lifecycle- event/。 启动执⾏：为容器设置预启动命令和参数。 启动后处理：为容器设置启动后的命令。 停⽌前处理：为容器设置预结束命令。

的负担。 Kubernetes是 可移植: 共有、私有、混合、多云 可扩展: 模块化、可插拔、提供Hook、可组合 ⾃愈: ⾃动放置、⾃动重启、⾃动复制、⾃动缩放 Google于2014年启动了Kubernetes项⽬。Kubernetes建⽴在Google在⼤规模运⾏⽣产⼯作负载⽅⾯ ⼗⼏年的经验之 上，并结合了社区中最佳的创意和实践。 为什么使⽤容器 寻找你为啥要使⽤容器 的原因？ v1.11.2 node5 Ready node 2m v1.11.2 每个node都是ready的，说明OK。 验证2：部署⼀个NGINX # 启动⼀个单节点nginx ]# kubectl run nginx --image=nginx:1.7.9 --port=80 # 为“nginx”服务暴露端⼝ ]# kubectl expose 进⾏全局决策（例如调度），以及检测和响应集群事件（例如：当 replication controller所设置的 replicas 不够时，启动⼀个新的Pod）。 Master可在集群中的任意节点上运⾏。然⽽，简单起⻅，设置脚本通常在同⼀个VM上启动所有Master组件，并且不会 在该VM上运⾏⽤户的容器。请阅读 Building High-Availability Clusters 以实现多主机VM配置。

K8S模式 应用开发 启动方式 日志采集 加载配置 监控采集 资源隔离 故障转移 资源调度 权限控制 标准统一 运维简单 框架简单 编译 部署 应用开发 启动方式 日志采集 加载配置 监控采集 资源隔离 故障转移 资源调度 权限控制 编译 部署 2014年6月K8S开源 微服务的生命周期 第二部分 微服务的生命周期 开发 测试 部署 启动 调用 治理 微服务的开发阶段 解除依赖很好，但成本很高 基础设施将所有依赖构建起来，就不要让研发用代码去实现 微服务的部署阶段 注入信息 版本信息 发布版本 • 注入应用名称、应用版本号、编译所在机器、编译时间配置 • 启动应用，获取debug.ReadBuildInfo，注入框架版本号 https://ego.gocn.vip/ micro/chapter1/build.ht ml 微服务的部署阶段 注入信息 一行代码kubectl apply -f deployment.yaml • 拉取镜像、启动服务、探活、滚动更新等功能 微服务的启动阶段 启动参数 加载配置 探活 滚动更新 微服务的启动阶段 启动参数 加载配置 探活 滚动更新 软链接：filepath.EvalSymlinks(fp.path) 微服务的启动阶段 启动参数 加载配置 探活 滚动更新 • HTTP: server.Use(healthcheck

systemctl restart docker ★默认还加了DOCKER-USER这个forward链，默认全部return，导致不通，也得 放开，具体得看下iptables规则），以下操作目的为 在系统启动后等待60秒待 k8s把iptables规则设置完毕再在以下几个chain里放通所有流量，如果对防火墙 有自定义规则或对安全性要求较高场景无需配置以下这段，防火墙相关操作自 行按需处理！ # cat kubectl get pod --all-namespaces #查看容器运行状态 如果有2个coredns的pod未启动就绪，因为pod网络组件还未部署，部署后再查 看；如果部署网络组件之后还未启动，则可能是网络不通，防火墙要放通pod 容器网段入站。 ⑤service使用ipvs模式 # kubectl edit cm kube-proxy -n io/coreos/的仓库，可改为自己集群的docker仓库 保存，退出 # kubectl apply -f kube-flannel.yml #应用flannel配置 如果pod启动失败了，查看日志 # kubectl logs kube-flannel-ds-24�m -n kube-system I0430 11:16:34.505952 1 main.go:518]

对应的node上的kubelet进程实例化成一组相关的docker容器并启动起来。默认情况下，当pod中的某个容器停止时， K8s会自动检测到这个问题并重新启动这个pod（重启pod里面的所有容器），如果pod所在的node宕机，则会将这个 node上的所有pod重新调度到其他节点上。 静态pod：不存储在etcd中，而是存放在某个具体的node上的一个具体文件中，并只在此node上启动运行。 每个pod可以设置限额，目前可 在线修改pod的副本数量 kubectl scale rc --replicas=2 将某个rc的副本数修改为2 注意：修改不会影响yaml文件。 8. 基于一个镜像在k8s集群上启动一个Deployment kubectl run mytestbusy --image=busybox 9. 将已经存在的一个RC、Service、Deployment或者Pod暴露为一个新的Service Kubernetes常见命令介绍 Kubectl子命令详解： 39 www.h3c.com Confidential 秘密 39 39 Kubernetes常见命令介绍 Kubectl命令行的公共启动参数： 40 www.h3c.com Confidential 秘密 40 40 Kubernetes常见命令介绍 Kubectl输出格式，kubectl可以用多种格式对结果进行显示，输出格式通过-o参数指定：

通过封装协议解包收发包mtu1450，vxlan可以在分 布多个网段的主机间构建2层虚拟网络 。 2.host-gw 通过宿主机路由同步收发包，必需工作在二层。 1.系统启动，flanneld下发docker子网配置，docker启动获 取子网配置生成docker0 生成gateway网卡; 2.node1，node的kubelet收到指令创建一个新的pod容器; 3.docker开始创建pod node pod * app-log log* daemonsets filebeat 容器启动挂载宿主/data/all-log到容器/data/all-log 容器启动时创建namespace和pod-name 创建软连接到logs目录 daemonset在每一个k8s-node节点启动 挂载/data/all-log目录 实时扫描发现新目录日志 logstash通过不同的消费groupid来消费同一

|--- peer0.org1 生成部署 文件前 生成部署 文件后 脚本 SACC2017 • 已经生成一套相对完整的启动文件，放置在共享存储NFS上 • 通过PV和PVC控制容器对文件的访问权限。 • 启动集群时按照一定顺序启动。 以org1为例： • 根据定义namespace的yaml文件创建namespace. • 根据定义ca的yaml文件，创建CA 根据定义cli的yaml文件，创建CLI pod 和 service. • 遍历org1/peers的子目录找出定义peer的yaml文件，创建peer pod和service. 41 启动集群 SACC2017 • 以org1为例，查看namespace为 org1下的所有Pod： $ kubectl get pods –namespaces org1

applications •nearly one million containers 面向终态升级 通过面向终态的应用管理理 念提高应用运维的效率 自愈能力升级 统一容器与应用实例周期简化 应用启动流程 不可变基础设施 分离基础设施与应用容器简化 应用运维复杂性面向终态升级 • 过程式的运维有什么问题？ 例子：升级某服务的 3000 个实例 容 器 平 台 运 维 平 台 容 器 风险识别自愈能力升级 • 传统运维体系的效率问题 - 应用启动流程复杂 - 决策链路较长 - 状态一致性风险 容器平台 监控 VIP 服务注册 配置中心 运维平台 观察者 异常消费 基础设施 异常来源• 统一容器与应用实例的生命周期 • 下沉应用的冗余度信息 容器即应用 运维平台 监控 VIP 服务注册 配置中心 启动完成 应用实例的生命周期 API Server Eviction