Confidential AWS 中国（宁夏）区域由西云数据运营 AWS 中国（北京）区域由光环新网运营 周琦，AWS 解决方案架构师 Amazon Elastic Kubernetes Service (EKS) 初探秘 © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential Elastic Container Registry 管理 容器化应用的部署，调度，扩 展和管理 Amazon Elastic Container Service Amazon Elastic Container Service for Kubernetes 主机 容器在哪里运行 Amazon EC2 AWS Fargate 服务注册发现 云端服务的黄页 AWS Cloud New Amazon EKS Region: Paris, London, Mumbai - CNI v1.5.0 - New Regions: Hong Kong 即将发布 - Service linked role for Amazon EKS - EKS Support for K8s version 1.13 + ECR AWS PrivateLink - EKS-optimized

������Kubernetes Service�������� �� ��Cloud BU - PaaS��� Github: @m1093782566 Kubernetes�Service�� Iptables��Service���� ��Iptables������� IPVS��Service���� Iptables vs. IPVS Kubernetes�Service ����onl��a�o� ����onl��a�o� - ��������������t� - ���������� - �����IP�n������� - �������� - ��������� Kubernetes Service�Endpoints Label Selector Label: app=backend IP: 172.17.10.1 Port: 80 Label: app=MyApp Container 80 Label: app=MyApp Container Container Replication Controller Label: app=MyApp Replicas: 2 Service <10.0.0.11>:<9376> Label: app=MyApp Endpoints: track backend pod changes <172.17.10.1>:<80> <172

19-配置最佳实践 20-管理容器的计算资源 21-Kubernetes资源分配 22-将Pod分配到Node 23-容忍与污点 24-Secret 25-Pod优先级和抢占 26-Service 27-Ingress Resources 28-动态⽔平扩容 29-实战：使⽤K8s编排Wordpress博客 2 简介 Kubernetes开源书。不啰嗦了，JUST READ IT Controller：负责维护系统中每个replication controller对象具有正确数量的Pod。 Endpoints Controller：填充Endpoint对象（即：连接Service＆Pod）。 Service Account & Token Controllers：为新的namespace创建默认帐户和API access tokens。 cloud-controller-manager 以下控制器存在云提供商依赖： Node Controller：⽤于检查云提供商，从⽽确定Node在停⽌响应后从云中删除 Route Controller：⽤于在底层云基础设施中设置路由 Service Controller：⽤于创建、更新以及删除云提供商负载均衡器 Volume Controller：⽤于创建、连接和装载Volume，并与云提供商进⾏交互，从⽽协调Volume 04-K8s组件

com 10.99.1.61 k8s-node02.cof-lee.com 10.99.1.62 规划Pod网络： 10.244.0.0/16 规划Service网络： 10.7.0.0/16 # pod网络和service网络都要求为16位的地址块，且不能与环境中其他网络地址 段冲突 # hostnamectl set-hostname k8s-master1.cof-lee.com ] } # mkdir -p /etc/systemd/system/docker.service.d # docker info ★docker会修改防火墙规则，导致pod网络不通 # vi /usr/lib/systemd/system/docker.service #在[Service]下的ExecStart=/usr/bin/dockerd -H fd:// 这行下面再添加一行： address=10.99.1.51 \ # api server地址 --pod-network-cidr=10.244.0.0/16 \ # pod容器网段 --service-cidr=10.7.0.0/16 \ # service网段，即cluster ip网段 --ignore-preflight-errors=Swap \ #忽略swap未关闭而导致的检查错误 --image-repository="cof-

2-0 kubectl-1.18.2-0 --disableexcludes=kubernetes #将 kubelet 设置为开机自启动 systemctl enable kubelet.service E. 部署 k8s master 节点 Step1: kubeadm.yaml vi kubeadm.yaml apiVersion: kubeadm.k8s.io/v1beta2 drop: - ALL add: - NET_BIND_SERVICE args: - --configfile=/config/traefik.yaml volumeMounts: IngressProxy: "true" kubectl apply -f 4-ds.yaml Step5: service vi 5-svc.yaml apiVersion: v1 kind: Service metadata: name: traefik spec: type: NodePort ports:

kube-proxy：它负责节点的网络，在主机上维护网络规则并执行连接转发。它还负责对正在服务的pods进行负载平衡。 比如一个服务可能会运行多个副本（Pod），由他来控制具体由哪个Pod提供服务。为Service提供cluster内部的服务发 现和负载均衡。 Docker Engine（docker）：docker引擎，负责本机的容器创建和管理工作。 12 www.h3c.com Confidential K8s基本概念和术语介绍（Service） Service（服务）： Service也是k8s里核心的资源对象之一，k8s里面的每个Service就是我们提起的“微服务”，之前所介绍的Pod、RC等 资源都是为Service做“嫁衣”的。 Service定义了一个服务的访问入口地址，前端的应用（Pod）通过这个入口地址访问其背后的一组由Pod副本组成的 集群实例，Service与其后端Pod副本集群之间是通过Label 群之间是通过Label Selector来实现“无缝对接”的。而RC的作用实际上是保证 Service的服务能力和服务质量始终处于预期的标准。通过分析、识别并建模系统中的所有服务的微服务，最终我们的系 统由多个提供不同业务功能而又彼此独立的微服务单元所组成，服务之间通过TCP/IP进行通信，从而形成了我们强大而 又灵活的弹性网络，拥有了强大的分布式能力、弹性扩展能力、容错能力。 20 www.h3c

consistent user experience and data, leverage with PaaS capability • Facilitate our PaaS and micro-service product Kubernetes Capabilities/Advantages to Build DevOps Solution Pod Job CronJob • k8s itself Pod Pod Pod Pod ElasticSearch ElasticSearch Logging Service agent to collecting log data ElasticSearch ElasticSearch Monitor/Alert Service CronJob Node Pod Node Pod Unified logging、monitoring、alert customization Cluster Resource Auto Scaling kubelet can do image GC DevOps Service DevOps Operator DevOps Operator DevOps Service DevOps Manager CronJob k8s API MySQL k8s API MySQL MySQL • Pipeline

⽤用户：PP NS ServiceAccount：SS NS: PP Think in Cloud . 北北京 IPv6 on KUN ⽅方案 • IPv6(Pod, Node, Service) • 6to4 Tunnel • Bridge 特性 • 核⼼心基础⽹网络⽆无需修改 • underlay • Pod与集群外部互通 其他⽅方案 • Calico/Flannel: IPv4 --- IPv6 集群外 服务器器 Core Core 接⼊入交换机 6to4 tunnel 接⼊入交换机 6to4 tunnel Core 接⼊入 交换机 Service eth0 eth0 veth veth Pod veth Pod veth ⽹网 桥 eth0 veth veth Pod veth Pod veth ⽹网 桥 Cloud . 北北京 IPv6 on KUN Service全⽹网可访问 ClusterIP 在 K8s 集群 外部可以直接访问 分配⼀一个 IPv4地址，在Kuberntes集群下的所有接⼊入交换机上宣 告。该IPv4地址对应的6to4 IPv6地址作为该Kubernetes集群 Service IP的地址段 Bgpd 负责将 Service IPv6 地址段通过 BGP 路路由协议宣告给接⼊入交换机

LoadBalancer • 服务发现 – DNS – 环境变量 25 Worker Node Service Pod 1 Pod 2 Pod N Node IP: 192.168.10.10 IP: 10.2.3.14 DNS: service1.cluster.local Port: 9443 NodePort: 31233 Protocol: TCP 用namespace分隔各个组织的Pod Container Peer0 CouchDB Pod PVC service CA Pod PVC service … … Namespace: org1 PeerN CouchDB Pod PVC service CLI Pod PVC NFS Namespace: orgN SACC2017 orgorderer1 service …. ordererM Pod PVC service PVC NFS Namespace: Kafka …. …. Kafka 0 Pod service Kafka N Pod service zookeeper0 Pod service ZookeeperN Pod service SACC2017

����� ����� ������� ��������� ������� �������� �� ���� Online service Batch jobs Category Online shopping web apps, payment service MR, spark, flink Latency Sensitive Insensitive Priority high low ������� ������ �� ��� ���� �������� �� ����������� Scheduling Isolation Efficient placement of service container and tasks When placed together, don’t affect each other Resource contention ���� ������ ������ ��� ��� ����� ��� ���������� �� ���� ������ ��������� Kubernetes Focus on long running service. Driving current state towards desired state with control loops YARN Focus on scheduling jobs ����������