1 Master节点的组件

Master节点包含三个组件和存储组件(Master的组件不一定要跟存储组件部署在同一台机器)：

• apiserver：提供RESTful风格的操作的API，其它组件之间通过API进行交互
• scheduler：调度器，负责决策将Pod安排到哪个Node节点上运行
• controller-manager：控制器管理器，负责管理控制器，例如，RC，RS，Deployment等
• etcd：所有的资源对象和状态都会存储到etcd

2 Node节点的组件

Node节点包含自身的两个组件以及容器组件：

• kubelet：agent，负责管理容器的生命周期
• kube-proxy：代理，负责代理服务
• 容器运行时

3 请求的执行流程

kubectl是官方提供的管理集群的客户端，其实也是调用apiserver的API。那么，当使用kubectl创建Pod时，集群是如何完成该项工作的呢？

在使用kubectl发起请求时，可以设置选项–v=9查看发起的请求的详细内容

• 当使用kubectl创建Pod时，kubectl向apiserver发起创建Pod的请求，例如，发起在love-test的Namespace创建Pod的请求：POST https://kubemaster.boss.com:6443/api/v1/namespaces/love-test/Pods 201 Created in 13 milliseconds
  在这行里面给出了发起请求的URL、方法、返回码和耗时，在POST的请求体中就是yaml文件的json格式。当apiserver返回201就认为Pod已创建。
• 当apiserver收到创建Pod的请求，其实就做了两件事：对请求进行验证(权限认证等)以及将Pod的对象写入etcd
• 当scheduler监听到(通过apiserver进行监听)etcd中没有关联Node节点的Pod，就会根据两阶段的调度策略选择合适的Node节点：预选(剔除掉不合适的Node节点)和优选(给Node节点打分，根据分数高低选择)。当scheduler确定了Pod要执行的Node后，会调用apiserver更新etcd中Pod的定义。
• 当kubelet监听到(通过apiserver进行监听)etcd中有Pod的Node节点是自身，并且Node节点上并没有运行该Pod，就会调用容器运行时运行容器。

以上的流程中需要明确以下几点：

• 不论是直接向apiserver发起请求，还是通过apiserver监听对象的状态变化，所有的组件的操作都只与apiserver交互
• 当通过apiserver监听对象状态变化时，每当更新对象(虽然定义对象时没有定义对象状态，状态也属于对象中的属性)时，apiserver会将所有的监听者发送更新后的对象

4 controller-manager(控制器管理器)

控制器管理器负责管理所有的控制器，而几乎所有的资源都有对应的控制器，例如，Replication Controller Controller(RC是一种资源，而RCC是管理RC的控制器)、Deployment Controller等，Replication Controller负责维护Pod的副本数，当Pod的实际副本数少于期望的副本数，RC就会创建新的Pod。

每个控制器都可以理解为一个协程，在每个协程中执行一个无限循环，通过订阅apiserver的变更通知，获知监听的对象的状态变化，然后跟期望的状态进行对比，最后做出一些操作，使得对象的状态向期望状态靠近。例如，RCC的工作方式：RCC会监听Pod对象的个数，获取Pod对象期望的个数，如果少于期望的个数，RCC会调用apiserver创建新的Pod，当然实际的Pod的调度和创建还是交给scheduler和kubelet。

5 kubelet

kubelet是安装在Node节点上的agent，主要职能为：

• 启动时在apiserver中注册Node对象资源
• 监听是否有Pod分配到当前节点，然后运行容器
• 上报容器的运行状态
• 当Pod被删除时，终止容器

总之，kubelet主要是负责Node对象监控和容器的生命周期管理。

kubelet可以从apiserver得到要运行的Pod的定义，然后运行容器，同时，它还可以运行本机的Pod的定义，并管理容器。

6 kube-proxy

kube-proxy的主要功能是负责服务的代理，当前的主要工作方式如下：

• 当kubectl创建一个服务后，Service控制器会分配一个虚拟IP，并创建Endpoint对象，而Endpoint控制器会根据Endpoint对象的配置填充其中的IP:Port
• kube-proxy会在Node节点上配置iptables，将虚拟IP的请求转发给Endpoint中的IP:Port
• 当某个容器访问某个服务时，数据包的目的地是虚拟的IP和端口，而在发送到网络之前，内核会根据iptables配置修改目的地为Endpoint中的IP:Port(选择的规则是随机的)

7 kubernetes集群的高可用

7.1 客户应用的高可用

如果客户应用可以水平扩展(接入层和逻辑层)，可以使用Deployment保证应用的副本数以及应用的滚动更新。

如果客户应用不能水平扩展(存储层)，就需要采用选举机制，区分主从，其中的从要么只是等待主宕机，要么只能执行读操作。在kubernetes中，可以使用sidecar容器的机制进行选举，确认客户应用集群的主。

7.2 集群自身的高可用

kubernetes集群自身的高可用跟上面客户应用的高可用比较类似：

• apiserver：无状态，直接运行多副本即可，不过前面要加上负载均衡
• scheduler和controller-manager：它们会根据监听的对象的状态做出相应的行为，如果运行多个实例会造成竞争，因此，这两个组件需要采用选举机制，多个实例时只有其中一个实例工作
• etcd：本身就是高可用的分布式键值存储系统，因此部署3+个奇数个节点即可

7.3 scheduler和controller-manager的高可用

当启动多个scheduler和controller-manager时，系统已经做了选举，同一时刻只会有一个组件工作(其中的--leader-elect选项，默认为true)。而它们使用的选举机制是通过创建Endpoint对象实现的：

• 当启动组件时，会创建Endpoint对象：通过kubectl get endpoints kube-scheduler -n kube-system -o yaml命令查看，其中的control-plane.alpha.kubernetes.io/leader就是注册的信息
• control-plane.alpha.kubernetes.io/leader主要包含两个信息：holderIdentity(当前的主)，renewTime(最后更新时间)。成功创建Endpoint对象的组件会将自己的信息写入holderIdentity字段，并更新renewTime时间，之后会定期更新renewTime
• 如果主挂掉后，不会更新renewTime，当其它的从组件发现没有更新，就会尝试将自己的信息写入holderIdentity字段，并更新renewTime，从而会成为新的主

7.4 高可用部署小结

下面对kubernetes集群的部署做个小结：

• 通常的高可用集群至少有3个节点(Master节点)
• 3个Master节点上部署kubelet，然后用crontab、systemd进行管理
• 3个Master节点上用kubelet读取本地的apiserver、scheduler、controller-manager、etcd的Pod的文件创建三个Master节点，所有的Master组件以容器运行
• Node节点同样需要部署kubelet，另外还需要部署kube-proxy，而kube-proxy同样以容器的方式运行

总之，所有的组件中，只有kubelet以宿主机进程运行，其它的组件都以容器运行