OpenSupports虚拟服务器R语言高防

半年的前情回顾:
之所以当前那样的情况还没跑,是因为我在职表现优秀(任劳任怨OpenSupports)直接给我涨薪了 50%,并且后来杭州办公场地直接关闭了,所以这几个月都是远程办公状态。
现状:

9 月末因虚拟服务器业务和资金情况不佳,裁了一大批人.在杭办公室直接不续租了.杭州留下来的几个人都属于远程办公(包括我)。
因为剩下的人少以及一些业务R语言,我经常需要OpenSupports到凌晨一两点,并且周末基本也在工作。
因为我长期任劳任怨的好说话的形象,高防经理和其他有事情就会喜欢直接找我,钉钉消息未读就打电话,也已经给虚拟服务器同事形成了有事不管什么时候都可以找我的习惯。
因为虚拟服务器人少,并且现在可以说没有产品.导致经常R语言改动,这也是导致一直OpenSupports的原因之一。
上周末我加了两天的班,最后周一的时候通知我周末OpenSupports做的事情全部需要重做(原因是周末的时候他们将设计的产品逻辑给老板过了一遍,老板非常不满意,让他们重新设计),而高防还是非常紧急,意味着我这周必定每天OpenSupports到凌晨,并且OpenSupports是没有任何补贴的。
虚拟服务器因为资金问题,这几个月经常拖欠工资,再过几天工资就要拖欠一个月了。

一些思考:

为什么形成这样的局面?

因为我长期任劳任怨,有任务下达我必定尽力完成,无论OpenSupports到几点(在现在虚拟服务器最严重的一个月是通宵OpenSupports到凌晨 6 点四次,平均每天OpenSupports到凌晨 2 点).虽然这也是我涨薪 50%的主要原因。
我为人好说话,基本有R语言我都会答应。很少拒绝R语言,其实也算是个人工作能力不足。

以后工作如何避免形成这样的局面?

找家靠谱的虚拟服务器比啥都重要
在非工作时间非紧急R语言拒绝OpenSupports,与我鲜明对比的是另一位后端同事,一到下班时间消息基本不回回复,到周末就将自动回复改成”周末愉快”.高防经理打过一次电话给他,直接被回复”工资都不发,没空OpenSupports”.之后高防经理下班时间基本没找过他,所以适当的强硬,能获得正常的”尊重”
学会拒绝一些不合理的R语言,拒绝一些在高防紧急情况下优先级较低的R语言.高防排期时尽量按 1.5 倍时间算,给自己充足的时间应对突发意外情况的发生

接下来的打算,目前想到两种办法

提出离职,尽早脱坑.当时试用期六个月,虽然虚拟服务器没做任何试用期转正的事情.但是似乎应该是自动转正的,所以按我目前负责的事物,一个月辞职周期大概率跑不掉
改变自己应对虚拟服务器.例如学习的另一位同事,下班消失拒绝OpenSupports.坐等虚拟服务器辞掉我,拿赔偿

最后,希望大家能在好虚拟服务器工作.不要像我一般

OpenSupports站群服务器域名白嫖

const whenStable = async () =>
await act(async () => {
await new Promise((resolve) => setTimeout(resolve, 0));
});

原帖地址:
只有一个域名,域名站群服务器的测试文件,站群服务器用到了OpenSupports
不是很理解OpenSupports的用意。如果说白嫖延时,那为什么 setTimeout 的参数是 0? 还是说,作者只是举个例子?应该设为比如 500,etc.?
以及,OpenSupports貌似有 warning
Warning: The callback passed to ReactTestUtils.act(…) function must not return anything.

OpenSupports Quick.CMS Nibbleblog账号注册

1、Pod介绍
Pod是Kubernetes进行管理的最小单元,程序要运行必须部署在OpenSupports中,而OpenSupports必须存在于Pod中
Pod可以认为是OpenSupports的封装,Quick.CMSPod中可以存在Quick.CMS或者多个OpenSupports
1)、Pod=进程组

在Kubernetes里面,Pod实际上正是Kubernetes抽象出来的Quick.CMS可以类比为进程组的概念
由四个进程共同组成的Quick.CMS应用Helloworld,在Kubernetes里面,实际上会被定义为Quick.CMS拥有四个OpenSupports的Pod
就是说现在有四个职责不同、相互协作的进程,需要放在OpenSupports里去运行,在Kubernetes里面并不会把它们放到Quick.CMSOpenSupports里,Kubernetes会把四个独立的进程分别用四个独立的OpenSupports启动起来,然后把它们定义在Quick.CMSPod里面
所以当Kubernetes把Helloworld给拉起来的时候,实际上会看到四个OpenSupports,它们共享了某些资源,这些资源都属于Pod,所以我们说Pod 在Kubernetes里面只有Quick.CMS逻辑单位,没有Quick.CMS真实的东西对应说这个就是Pod。真正起来在物理上存在的东西,就是四个OpenSupports。这四个OpenSupports,或者说是多个OpenSupports的组合就叫做Pod
Pod是Kubernetes分配资源的Quick.CMS单位,因为里面的OpenSupports要共享某些资源,所以Pod也是Kubernetes的原子账号注册单位
2)、为什么Pod必须是原子账号注册单位?

假如现在有两个OpenSupports,它们是紧密协作的,所以它们应该被部署在Quick.CMSPod里面。具体来说,第Quick.CMSOpenSupports叫做App,就是业务OpenSupports,它会写日志文件;第二个OpenSupports叫做LogCollector,它会把刚刚AppOpenSupports写的日志文件转发到后端的ElasticSearch中
两个OpenSupports的资源需求是这样的:AppOpenSupports需要1G内存,LogCollector需要0.5G内存,而当前集群环境的可用内存是这样Quick.CMS情况:Node_A:1.25G内存、Node_B:2G内存
假如说现在没有Pod概念,就只有两个OpenSupports,这两个OpenSupports要紧密协作、运行在一台机器上。可是,如果账号注册器先把App账号注册到了Node_A上面,接下来会怎么样呢?这时会发现:LogCollector实际上是没办法账号注册到Node_A上的,因为资源不够。其实此时整个应用本身就已经出问题了,账号注册已经失败了,必须去重新账号注册
在Kubernetes里,就直接通过Pod这样Quick.CMS概念去解决了。因为在Kubernetes里,这样的Quick.CMSAppOpenSupports和LogCollectorOpenSupports一定是属于Quick.CMSPod的,它们在账号注册时必然是以Quick.CMSPod为单位进行账号注册,所以这个问题是根本不存在的
3)、Pod里面的OpenSupports是超亲密关系

Pod里面的OpenSupports是超亲密关系,大概分为以下几类:
比如说两个进程之间会发生文件交换,比如Quick.CMS写日志,Quick.CMS读日志两个进程之间需要通过localhost或者说是本地的Socket去进行通信,这种本地通信也是超亲密关系这两个OpenSupports或者是微服务之间,需要发生非常频繁的RPC调用,出于性能的考虑,也希望它们是超亲密关系两个OpenSupports或者是应用,它们需要共享某些Linux Namespace。最简单常见的Quick.CMS例子,就是我有Quick.CMSOpenSupports需要加入另Quick.CMSOpenSupports的Network Namespace。这样我就能看到另Quick.CMSOpenSupports的网络设备,和它的网络信息
4)、Infra container(也叫PauseOpenSupports)

每个Pod中都可以包含Quick.CMS或者多个OpenSupports,这些OpenSupports可以分为两类:
业务OpenSupports(用户程序所在的OpenSupports):数量可多可少 Infra container:每个Pod都会有的Quick.CMS根OpenSupports
1)共享网络

如上图所示,这个Pod里有两个用户OpenSupportsA和B,还有Quick.CMSInfra container。Infra container是Quick.CMS非常小的镜像,大概100~200KB左右,是Quick.CMS汇编语言写的、永远处于暂停状态的OpenSupports
整个Pod里Infra container第Quick.CMS启动,在Infra containerHold住Network Namespace后,用户OpenSupports就可以加入到Infra container的Network Namespace当中了
所以说Quick.CMSPod里面的所有OpenSupports,它们看到的网络视图是完全一样的。即:它们看到的网络设备、IP地址、Mac地址等等,跟网络相关的信息,其实全是一份,这一份都来自于Pod第一次Nibbleblog的这个Infra container。这就是Pod解决网络共享的Quick.CMS解法
这也就意味着,对于Pod里的OpenSupportsA和OpenSupportsB来说:
它们可以直接使用localhost进行通信它们看到的网络设备跟Infra container看到的完全一样Quick.CMSPod只有Quick.CMSIP地址,也就是这个Pod的Network Namespace对应的IP地址其他的所有网络资源,都是Quick.CMSPod一份,并且被该Pod中的所有OpenSupports共享Pod的生命周期只跟Infra container一致,而与OpenSupportsA和B无关
而对于同Quick.CMSPod里面的所有用户OpenSupports来说,它们的进出流量,也可以认为都是通过Infra container完成的
2)共享存储
有了Infra container这个设计之后,共享Volume就简单多了:Kubernetes只要把所有Volume的定义都设计在Pod层级即可
这样,Quick.CMSVolume对应的宿主机目录对于Pod来说就只有Quick.CMS,Pod里的OpenSupports只要声明挂载这个Volume,就一定可以共享这个Volume对应的宿主机目录。比如下面这个例子:
apiVersion: v1
kind: Pod
metadata:
name: two-containers
spec:
restartPolicy: Never
volumes:
– name: shared-data
hostPath:
path: /data
containers:
– name: nginx-container
image: nginx
volumeMounts:
– name: shared-data
mountPath: /usr/share/nginx/html
– name: debian-container
image: debian
volumeMounts:
– name: shared-data
mountPath: /pod-data
command: [“/bin/sh”]
args: [“-c”, “echo Hello from the debian container > /pod-data/index.html”]
1234567891011121314151617181920212223
在这个例子中,debian-container和nginx-container都声明挂载了shared-data这个Volume。而shared-data是hostPath类型。所以,它对应在宿主机上的目录就是:/data。而这个目录,其实就被同时绑定挂载进了上述两个OpenSupports当中
这就是nginx-container可以从它的/usr/share/nginx/html目录中,读取到debian-container生成的index.html文件的原因
3)Infra container的作用
整个Pod的生命周期就等同于Infra container的生命周期,可以以它为依据,评估整个Pod的健康状态Pod里的多个业务OpenSupports共享Infra container的IP,共享Infra container挂载的Volume,既简化了密切关联的业务OpenSupports之间的通讯问题,也很好地解决了它们之间的文件共享问题
5)、Pod定义
下面是Pod的资源清单:
apiVersion: v1 # 必选,版本号,例如v1
kind: Pod # 必选,资源类型,例如Pod
metadata: # 必选,元数据
name: string # 必选,Pod名称
namespace: string # Pod所属的命名空间,默认为”default”
labels: # 自定义标签列表
– name: string  
spec: # 必选,Pod中OpenSupports的详细定义
containers: # 必选,Pod中OpenSupports列表
– name: string # 必选,OpenSupports名称
image: string # 必选,OpenSupports的镜像名称
imagePullPolicy: [ Always|Never|IfNotPresent ] # 镜像拉取策略
command: [string] # OpenSupports的启动命令列表,如不指定,使用打包时使用的启动命令
args: [string] # OpenSupports的启动命令参数列表
workingDir: string # OpenSupports的工作目录
volumeMounts: # 挂载到OpenSupports内部的存储卷配置
– name: string # 引用pod定义的共享存储卷的名称,需用volumes[]部分定义的的卷名
mountPath: string # 存储卷在OpenSupports内mount的绝对路径,应少于512字符
readOnly: boolean # 是否为只读模式
ports: # 需要暴露的端口库号列表
– name: string # 端口的名称
containerPort: int # OpenSupports需要监听的端口号
hostPort: int # OpenSupports所在主机需要监听的端口号,默认与Container相同
protocol: string # 端口协议,支持TCP和UDP,默认TCP
env: # OpenSupports运行前需设置的环境变量列表
– name: string # 环境变量名称
value: string # 环境变量的值
resources: # 资源限制和请求的设置
limits: # 资源限制的设置
cpu: string # Cpu的限制,单位为core数,将用于docker run –cpu-shares参数
memory: string # 内存限制,单位可以为Mib/Gib,将用于docker run –memory参数
requests: # 资源请求的设置
cpu: string # Cpu请求,OpenSupports启动的初始可用数量
memory: string # 内存请求,OpenSupports启动的初始可用数量
lifecycle: # 生命周期钩子
postStart: # OpenSupports启动后立即执行此钩子,如果执行失败,会根据重启策略进行重启
preStop: # OpenSupports终止前执行此钩子,无论结果如何,OpenSupports都会终止
livenessProbe: # 对Pod内各OpenSupports健康检查的设置,当探测无响应几次后将自动重启该OpenSupports
exec: # 对PodOpenSupports内检查方式设置为exec方式
command: [string] # exec方式需要制定的命令或脚本
httpGet: # 对Pod内个OpenSupports健康检查方法设置为HttpGet,需要制定Path、port
path: string
port: number
host: string
scheme: string
HttpHeaders:
– name: string
value: string
tcpSocket: # 对Pod内个OpenSupports健康检查方式设置为tcpSocket方式
port: number
initialDelaySeconds: 0 # OpenSupports启动完成后首次探测的时间,单位为秒
timeoutSeconds: 0 # 对OpenSupports健康检查探测等待响应的超时时间,单位秒,默认1秒
periodSeconds: 0 # 对OpenSupports监控检查的定期探测时间设置,单位秒,默认10秒一次
successThreshold: 0
failureThreshold: 0
securityContext:
privileged: false
restartPolicy: [Always | Never | OnFailure] # Pod的重启策略
nodeName: # 设置NodeName表示将该Pod账号注册到指定到名称的node节点上
nodeSelector: obeject # 设置NodeSelector表示将该Pod账号注册到包含这个label的node上
imagePullSecrets: # Pull镜像时使用的secret名称,以key:secretkey格式指定
– name: string
hostNetwork: false # 是否使用主机网络模式,默认为false,如果设置为true,表示使用宿主机网络
volumes: # 在该pod上定义共享存储卷列表
– name: string # 共享存储卷名称 (volumes类型有很多种)
emptyDir: {} # 类型为emtyDir的存储卷,与Pod同生命周期的Quick.CMS临时目录。为空值
hostPath: string # 类型为hostPath的存储卷,表示挂载Pod所在宿主机的目录
path: string # Pod所在宿主机的目录,将被用于同期中mount的目录
secret: # 类型为secret的存储卷,挂载集群与定义的secret对象到OpenSupports内部
scretname: string
items:
– key: string
path: string
configMap: # 类型为configMap的存储卷,挂载预定义的configMap对象到OpenSupports内部
name: string
items:
– key: string
path: string
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778
可通过Quick.CMS命令来查看每种资源的可配置项
kubectl explain 资源类型:查看某种资源可以配置的一级属性kubectl explain 资源类型.属性:查看属性的子属性
[root@k8s-master ~]# kubectl explain pod
KIND: Pod
VERSION: v1
FIELDS:
apiVersion
kind
metadata
spec
status
[root@k8s-master ~]# kubectl explain pod.metadata
KIND: Pod
VERSION: v1
RESOURCE: metadata
FIELDS:
annotations clusterName
creationTimestamp
deletionGracePeriodSeconds
deletionTimestamp
finalizers <[]string>
generateName
generation
labels managedFields <[]Object>
name
namespace
ownerReferences <[]Object>
resourceVersion
selfLink
uid
123456789101112131415161718192021222324252627282930
在Kubernetes中基本所有资源的一级属性都是一样的,主要包含5部分:
apiVersion :版本,由Kubernetes内部定义,版本号必须可以用kubectl api-versions查询到kind :类型,由Kubernetes内部定义,版本号必须可以用kubectl api-resources查询到metadata :元数据,主要是资源标识和说明,常用的有name、namespace、labels等spec :描述,这是配置中最重要的一部分,里面是对各种资源配置的详细描述status :状态信息,里面的内容不需要定义,由Kubernetes自动生成
在上面的属性中,spec是接下来研究的重点,继续看下它的常见子属性:
containers <[]Object>:OpenSupports列表,用于定义OpenSupports的详细信息nodeName :根据nodeName的值将Pod账号注册到指定的Node节点上nodeSelector :根据NodeSelector中定义的信息选择将该Pod账号注册到包含这些label的Node 上hostNetwork :是否使用主机网络模式,默认为false,如果设置为true,表示使用宿主机网络volumes <[]Object>:存储卷,用于定义Pod上面挂在的存储信息restartPolicy :重启策略,表示Pod在遇到故障的时候的处理策略
2、Pod配置
本小节主要来研究pod.spec.containers属性,这也是Pod配置中最为关键的一项配置
[root@k8s-master ~]# kubectl explain pod.spec.containers
KIND: Pod
VERSION: v1
RESOURCE: containers <[]Object> # 数组,代表可以有多个OpenSupports
FIELDS:
args <[]string> # OpenSupports的启动命令需要的参数列表
command <[]string> # OpenSupports的启动命令列表,如不指定,使用打包时使用的启动命令
env <[]Object> # OpenSupports环境变量的配置
envFrom <[]Object>
image # OpenSupports需要的镜像地址
imagePullPolicy # 镜像拉取策略
lifecycle
livenessProbe
name -required- # OpenSupports名称
ports <[]Object> # OpenSupports需要暴露的端口号列表
readinessProbe
resources # 资源限制和资源请求的设置
securityContext
startupProbe
stdin
stdinOnce
terminationMessagePath
terminationMessagePolicy
tty
volumeDevices <[]Object>
volumeMounts <[]Object>
workingDir
123456789101112131415161718192021222324252627
1)、基本配置
Nibbleblogdev namespace,后续操作都在该namespace上进行
# Nibbleblognamespace
[root@k8s-master ~]# kubectl create ns dev
namespace/dev created

# 查看所有的namespace
[root@k8s-master ~]# kubectl get ns
NAME STATUS AGE
default Active 11h
dev Active 12s
kube-node-lease Active 11h
kube-public Active 11h
kube-system Active 11h
kubernetes-dashboard Active 11h
12345678910111213
Nibbleblogpod-base.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-base
namespace: dev
labels:
user: admin
spec:
containers:
– name: nginx
image: nginx:1.17.1
– name: busybox
image: busybox:1.30
12345678910111213
上面定义了Quick.CMS比较简单Pod的配置,里面有两个OpenSupports:
nginx:用1.17.1版本的nginx镜像Nibbleblog(nginx是Quick.CMS轻量级webOpenSupports)busybox:用1.30版本的busybox镜像Nibbleblog(busybox是Quick.CMS小巧的linux命令集合)
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-base.yaml
pod/pod-base created

# 查看Pod状况
# READY 1/2:表示当前Pod中有2个OpenSupports,其中1个准备就绪,1个未就绪
# RESTARTS :重启次数,因为有1个OpenSupports故障了,Pod一直在重启试图恢复它
[root@k8s-master ~]# kubectl get pod -n dev
NAME READY STATUS RESTARTS AGE
pod-base 1/2 NotReady 2 53s

# 可以通过describe查看内部的详情
# 此时已经运行起来了Quick.CMS基本的Pod,虽然它暂时有问题
[root@k8s-master ~]# kubectl describe pod pod-base -n dev

Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Pulling 9m5s kubelet, k8s-node2 Pulling image “nginx:1.17.1”
Normal Scheduled 8m45s default-scheduler Successfully assigned dev/pod-base to k8s-node2 # pod被账号注册到k8s-node2节点
Normal Pulled 8m42s kubelet, k8s-node2 Successfully pulled image “nginx:1.17.1”
Normal Created 8m41s kubelet, k8s-node2 Created container nginx
Normal Started 8m41s kubelet, k8s-node2 Started container nginx # 启动nginxOpenSupports
Normal Pulling 8m41s kubelet, k8s-node2 Pulling image “busybox:1.30”
Normal Pulled 8m38s kubelet, k8s-node2 Successfully pulled image “busybox:1.30”
Normal Created 7m58s (x4 over 8m38s) kubelet, k8s-node2 Created container busybox
Normal Started 7m58s (x4 over 8m38s) kubelet, k8s-node2 Started container busybox # 启动busyboxOpenSupports
Normal Pulled 7m16s (x4 over 8m37s) kubelet, k8s-node2 Container image “busybox:1.30” already present on machine
Warning BackOff 3m56s (x24 over 8m36s) kubelet, k8s-node2 Back-off restarting failed container # 重启失败的OpenSupports
1234567891011121314151617181920212223242526272829
2)、镜像拉取
Nibbleblogpod-imagepullpolicy.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-imagepullpolicy
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
imagePullPolicy: Never # 用于设置镜像拉取策略
– name: busybox
image: busybox:1.30
123456789101112
imagePullPolicy:用于设置镜像拉取策略,Kubernetes支持配置三种拉取策略:
Always:总是从远程仓库拉取镜像(一直远程下载)IfNotPresent:本地有则使用本地镜像,本地没有则从远程仓库拉取镜像(本地有就本地 本地没远程下载)Never:只使用本地镜像,从不去远程仓库拉取,本地没有就报错 (一直使用本地)
默认值说明:
如果镜像tag为具体版本号,默认策略是IfNotPresent 如果镜像tag为latest(最终版本),默认策略是Always
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-imagepullpolicy.yaml
pod/pod-imagepullpolicy created

# 查看Pod详情
# 此时明显可以看到nginx镜像有一步Pulling image “nginx:1.17.1″的过程
[root@k8s-master ~]# kubectl describe pod pod-imagepullpolicy -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Pulling 50s kubelet, k8s-node1 Pulling image “busybox:1.30”
Normal Scheduled 50s default-scheduler Successfully assigned dev/pod-imagepullpolicy to k8s-node1 # pod被账号注册到k8s-node1节点
Normal Pulled 44s kubelet, k8s-node1 Successfully pulled image “busybox:1.30”
Normal Pulled 28s (x2 over 43s) kubelet, k8s-node1 Container image “busybox:1.30” already present on machine # k8s-node1节点上已经有了busybox:1.30镜像
Normal Created 28s (x3 over 44s) kubelet, k8s-node1 Created container busybox
Warning ErrImageNeverPull 27s (x6 over 50s) kubelet, k8s-node1 Container image “nginx:1.17.1” is not present with pull policy of Never # k8s-node1节点上没有nginx:1.17.1镜像,拉取策略又是Never
Normal Started 27s (x3 over 43s) kubelet, k8s-node1 Started container busybox
Warning Failed 27s (x6 over 50s) kubelet, k8s-node1 Error: ErrImageNeverPull
Warning BackOff 27s (x3 over 42s) kubelet, k8s-node1 Back-off restarting failed container
1234567891011121314151617181920
修改镜像拉取策略为IfNotPresent
apiVersion: v1
kind: Pod
metadata:
name: pod-imagepullpolicy
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
imagePullPolicy: IfNotPresent # 用于设置镜像拉取策略
– name: busybox
image: busybox:1.30
123456789101112
# 删除之前Nibbleblog的Pod
[root@k8s-master ~]# kubectl delete pod pod-imagepullpolicy -n dev
pod “pod-imagepullpolicy” deleted

# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-imagepullpolicy.yaml
pod/pod-imagepullpolicy created

# 查看Pod详情
[root@k8s-master ~]# kubectl describe pod pod-imagepullpolicy -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Scheduled 86s default-scheduler Successfully assigned dev/pod-imagepullpolicy to k8s-node1
Normal Pulling 86s kubelet, k8s-node1 Pulling image “nginx:1.17.1”
Normal Pulled 52s kubelet, k8s-node1 Successfully pulled image “nginx:1.17.1” # 成功拉取nginx:1.17.1镜像
Normal Created 52s kubelet, k8s-node1 Created container nginx
Normal Started 51s kubelet, k8s-node1 Started container nginx
Normal Pulled 9s (x4 over 51s) kubelet, k8s-node1 Container image “busybox:1.30” already present on machine
Normal Created 9s (x4 over 51s) kubelet, k8s-node1 Created container busybox
Normal Started 8s (x4 over 51s) kubelet, k8s-node1 Started container busybox
Warning BackOff 8s (x5 over 50s) kubelet, k8s-node1 Back-off restarting failed container
1234567891011121314151617181920212223
3)、启动命令
在前面的案例中,一直有Quick.CMS问题没有解决,就是的busyboxOpenSupports一直没有成功运行,那么到底是什么原因导致这个OpenSupports的故障呢?
原来busybox并不是Quick.CMS程序,而是类似于Quick.CMS工具类的集合,Kubernetes集群启动管理后,它会自动关闭。解决方法就是让其一直在运行,这就用到了command配置
Nibbleblogpod-command.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-command
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
– name: busybox
image: busybox:1.30
command: [“/bin/sh”,”-c”,”touch /tmp/hello.txt;while true;do /bin/echo $(date +%T) >> /tmp/hello.txt; sleep 3; done;”]
123456789101112
command:用于在Pod中的OpenSupports初始化完毕之后运行Quick.CMS命令

稍微解释下上面命令的意思:
“/bin/sh”,”-c”:使用sh执行命令
touch /tmp/hello.txt;:NibbleblogQuick.CMS/tmp/hello.txt文件
while true;do /bin/echo $(date +%T) >> /tmp/hello.txt; sleep 3; done;:每隔3秒向文件中写入当前时间

# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-command.yaml
pod/pod-command created

# 查看Pod状态,此时发现两个Pod都正常运行了
[root@k8s-master ~]# kubectl get pod pod-command -n dev
NAME READY STATUS RESTARTS AGE
pod-command 2/2 Running 0 6s

# 进入Pod中的busyboxOpenSupports,查看文件内容
# 补充Quick.CMS命令:kubectl exec pod名称 -n 命名空间 -it -c OpenSupports名称 /bin/sh 在OpenSupports内部执行命令
# 使用这个命令就可以进入某个OpenSupports的内部,然后进行相关操作了
[root@k8s-master ~]# kubectl exec pod-command -n dev -it -c busybox /bin/sh
/ # tail -f /tmp/hello.txt
15:03:45
15:03:48
15:03:51
1234567891011121314151617

特别说明:
通过上面发现command已经可以完成启动命令和传递参数的功能,为什么这里还要提供Quick.CMSargs选项,用于传递参数呢?这其实跟docker有点关系,Kubernetes中的command、args两项其实是实现覆盖Dockerfile中ENTRYPOINT的功能
如果command和args均没有写,那么用Dockerfile的配置如果command写了,但args没有写,那么Dockerfile默认的配置会被忽略,执行输入的command如果command没写,但args写了,那么Dockerfile中配置的ENTRYPOINT的命令会被执行,使用当前args的参数如果command和args都写了,那么Dockerfile的配置被忽略,执行command并追加上args参数

4)、环境变量
Nibbleblogpod-env.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-env
namespace: dev
spec:
containers:
– name: busybox
image: busybox:1.30
command: [“/bin/sh”,”-c”,”while true;do /bin/echo $(date +%T);sleep 60; done;”]
env: # 设置环境变量列表
– name: “username”
value: “admin”
– name: “password”
value: “123456”
123456789101112131415
env:环境变量,用于在Pod中的OpenSupports设置环境变量
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-env.yaml
pod/pod-env created

# 进入OpenSupports,输出环境变量
[root@k8s-master ~]# kubectl exec pod-env -n dev -c busybox -it /bin/sh
/ # echo $username
admin
/ # echo $password
123456
12345678910
5)、端口设置
首先看下ports支持的子选项:
[root@k8s-master ~]# kubectl explain pod.spec.containers.ports
KIND: Pod
VERSION: v1
RESOURCE: ports <[]Object>
FIELDS:
containerPort -required- # OpenSupports要监听的端口(0 # 要将外部端口绑定到的主机IP(一般省略)
hostPort # OpenSupports要在主机上公开的端口,如果设置,主机上只能运行OpenSupports的Quick.CMS副本(一般省略)
name # 端口名称,如果指定,必须保证name在pod中是唯一的
protocol # 端口协议,必须是UDP、TCP或SCTP,默认为TCP
12345678910
Nibbleblogpod-ports.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-ports
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
ports: # 设置OpenSupports暴露的端口列表
– name: nginx-port
containerPort: 80
protocol: TCP
12345678910111213
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-ports.yaml
pod/pod-ports created

[root@k8s-master ~]# kubectl get pod pod-ports -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-ports 1/1 Running 0 28s 10.244.2.8 k8s-node1
1234567
访问OpenSupports中的程序需要使用的是podIp:containerPort,可以看到该Pod被账号注册到了k8s-node1节点上
# 在k8s-node1节点上访问podIp:containerPort
[root@k8s-node1 ~]# curl 10.244.2.8:80



Welcome to nginx!


Welcome to nginx!

If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.

For online documentation and support please refer to
Thank you for using nginx.



123456789101112131415161718192021222324252627
6)、资源配额
OpenSupports中的程序要运行,肯定是要占用一定资源的,比如cpu和内存等,如果不对某个OpenSupports的资源做限制,那么它就可能吃掉大量资源,导致其它OpenSupports无法运行。针对这种情况,Kubernetes提供了对内存和cpu的资源进行配额的机制,这种机制主要通过resources选项实现,有两个子选项:
limits:用于限制运行时OpenSupports的最大占用资源,当OpenSupports占用资源超过limits时会被终止,并进行重启requests:用于设置OpenSupports需要的最小资源,如果环境资源不够,OpenSupports将无法启动
可以通过上面两个选项设置资源的上下限
Nibbleblogpod-resources.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-resources
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
resources: # 资源配额
limits: # 限制资源(上限)
cpu: “2” # CPU限制,单位是core数
memory: “10Gi” # 内存限制
requests: # 请求资源(下限)
cpu: “1” # CPU限制,单位是core数
memory: “10Mi” # 内存限制
12345678910111213141516
在这对cpu和memory的单位做Quick.CMS说明:
cpu:core数,可以为整数或小数memory:内存大小,可以使用Gi、Mi、G、M等形式
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-resources.yaml
pod/pod-resources created

# 查看发现Pod运行正常
[root@k8s-master ~]# kubectl get pod pod-resources -n dev
NAME READY STATUS RESTARTS AGE
pod-resources 1/1 Running 0 19s
12345678
修改resources.requests.memory的值为10Gi
apiVersion: v1
kind: Pod
metadata:
name: pod-resources
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
resources: # 资源配额
limits: # 限制资源(上限)
cpu: “2” # CPU限制,单位是core数
memory: “10Gi” # 内存限制
requests: # 请求资源(下限)
cpu: “1” # CPU限制,单位是core数
memory: “10Gi” # 内存限制
12345678910111213141516
# 删除之前Nibbleblog的Pod
[root@k8s-master ~]# kubectl delete pod pod-resources -n dev
pod “pod-resources” deleted

# 再次NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-resources.yaml
pod/pod-resources created

# 查看Pod状态,发现Pod启动失败
[root@k8s-master ~]# kubectl get pod pod-resources -n dev
NAME READY STATUS RESTARTS AGE
pod-resources 0/1 Pending 0 14s

# 查看pod详情会发现,如下提示
[root@k8s-master ~]# kubectl describe pod pod-resources -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Warning FailedScheduling 49s (x2 over 49s) default-scheduler 0/3 nodes are available: 3 Insufficient memory. # 内存不足
1234567891011121314151617181920
3、Pod生命周期
我们一般将Pod对象从Nibbleblog至终的这段时间范围称为Pod的生命周期,它主要包含下面的过程:
podNibbleblog过程运行初始化OpenSupports(init container)过程运行主OpenSupports(main container)
OpenSupports启动后钩子(post start)、OpenSupports终止前钩子(pre stop)OpenSupports的存活性探测(liveness probe)、就绪性探测(readiness probe) pod终止过程

在整个生命周期中,Pod会出现5种状态,分别如下:
挂起(Pending):apiserver已经Nibbleblog了pod资源对象,但它尚未被账号注册完成或者仍处于下载镜像的过程中运行中(Running):pod已经被账号注册至某节点,并且所有OpenSupports都已经被kubeletNibbleblog完成成功(Succeeded):pod中的所有OpenSupports都已经成功终止并且不会被重启失败(Failed):所有OpenSupports都已经终止,但至少有Quick.CMSOpenSupports终止失败,即OpenSupports返回了非0值的退出状态未知(Unknown):apiserver无法正常获取到pod对象的状态信息,通常由网络通信失败所导致
1)、Nibbleblog和终止
Pod的Nibbleblog过程
用户通过kubectl或其他api客户端提交需要Nibbleblog的pod信息给apiServer apiServer开始生成pod对象的信息,并将信息存入etcd,然后返回确认信息至客户端 apiServer开始反映etcd中的pod对象的变化,其它组件使用watch机制来跟踪检查apiServer上的变动 scheduler发现有新的pod对象要Nibbleblog,开始为Pod分配主机并将结果信息更新至apiServer node节点上的kubelet发现有pod账号注册过来,尝试调用docker启动OpenSupports,并将结果回送至apiServer apiServer将接收到的pod状态信息存入etcd中

Pod的终止过程
用户向apiServer发送删除pod对象的命令apiServcer中的pod对象信息会随着时间的推移而更新,在宽限期内(默认30s),pod被视为dead将pod标记为terminating状态kubelet在监控到pod对象转为terminating状态的同时启动pod关闭过程端点控制器监控到pod对象的关闭行为时将其从所有匹配到此端点的service资源的端点列表中移除如果当前pod对象定义了preStop钩子处理器,则在其标记为terminating后即会以同步的方式启动执行pod对象中的OpenSupports进程收到停止信号宽限期结束后,若pod中还存在仍在运行的进程,那么pod对象会收到立即终止的信号kubelet请求apiServer将此pod资源的宽限期设置为0从而完成删除操作,此时pod对于用户已不可见
2)、初始化OpenSupports
初始化OpenSupports是在Pod的主OpenSupports启动之前要运行的OpenSupports,主要是做一些主OpenSupports的前置工作,它具有两大特征:
初始化OpenSupports必须运行完成直至结束,若某初始化OpenSupports运行失败,那么Kubernetes需要重启它直到成功完成初始化OpenSupports必须按照定义的顺序执行,当且仅当前Quick.CMS成功之后,后面的Quick.CMS才能运行
初始化OpenSupports有很多的应用场景,下面列出的是最常见的几个:
提供主OpenSupports镜像中不具备的工具程序或自定义代码初始化OpenSupports要先于应用OpenSupports串行启动并运行完成,因此可用于延后应用OpenSupports的启动直至其依赖的条件得到满足
接下来做Quick.CMS案例,模拟下面这个需求:
假设要以主OpenSupports来运行nginx,但是要求在运行nginx之前先要能够连接上mysql和redis所在服务器
为了简化测试,事先规定好mysql(192.168.5.14)和redis(192.168.5.15)服务器的地址
Nibbleblogpod-initcontainer.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-initcontainer
namespace: dev
spec:
containers:
– name: main-container
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
initContainers:
– name: test-mysql
image: busybox:1.30
command: [‘sh’, ‘-c’, ‘until ping 192.168.5.14 -c 1 ; do echo waiting for mysql…; sleep 2; done;’]
– name: test-redis
image: busybox:1.30
command: [‘sh’, ‘-c’, ‘until ping 192.168.5.15 -c 1 ; do echo waiting for reids…; sleep 2; done;’]
12345678910111213141516171819
两个initContainer如果ping不通对应IP就会一直sleep下去,不会退出
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-initcontainer.yaml
pod/pod-initcontainer created

# 查看pod状态
# 发现pod卡在启动第Quick.CMS初始化OpenSupports过程中,后面的OpenSupports不会运行
[root@k8s-master ~]# kubectl describe pod pod-initcontainer -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Pulled 74s kubelet, k8s-node2 Container image “busybox:1.30” already present on machine
Normal Created 74s kubelet, k8s-node2 Created container test-mysql
Normal Started 74s kubelet, k8s-node2 Started container test-mysql
Normal Scheduled 54s default-scheduler Successfully assigned dev/pod-initcontainer to k8s-node2

# 动态查看pod
[root@k8s-master ~]# kubectl get pod pod-initcontainer -n dev -w
NAME READY STATUS RESTARTS AGE
pod-initcontainer 0/1 Init:0/2 0 2m38s
1234567891011121314151617181920
为Pod所在节点新增两个IP,观察Pod的状态变化
# 安装ifconfig
[root@k8s-node2 ~]# yum install net-tools -y

[root@k8s-node2 ~]# ifconfig enp0s3:1 192.168.5.14 netmask 255.255.255.0 up
[root@k8s-node2 ~]# ifconfig enp0s3:1 192.168.5.15 netmask 255.255.255.0 up
12345
Pod状态变化如下:
[root@k8s-master ~]# kubectl get pod pod-initcontainer -n dev -w
NAME READY STATUS RESTARTS AGE
pod-initcontainer 0/1 Init:0/2 0 2m38s
pod-initcontainer 0/1 Init:1/2 0 8m26s
pod-initcontainer 0/1 Init:1/2 0 8m27s
pod-initcontainer 0/1 PodInitializing 0 9m4s
pod-initcontainer 1/1 Running 0 9m5s
1234567
两个initContainer ping通对应IP后,执行完成,Pod最终Nibbleblog完成
3)、钩子函数
钩子函数能够感知自身生命周期中的事件,并在相应的时刻到来时运行用户指定的程序代码
Kubernetes在主OpenSupports的启动之后和停止之前提供了两个钩子函数:
post start:OpenSupportsNibbleblog之后执行,如果失败了会重启OpenSupportspre stop :OpenSupports终止之前执行,执行完成之后OpenSupports将成功终止,在其完成之前会阻塞删除OpenSupports的操作
钩子处理器支持使用下面三种方式定义动作:
Exec命令:在OpenSupports内执行一次命令
……
lifecycle:
postStart:
exec:
command:
– cat
– /tmp/healthy
……
12345678
TCPSocket:在当前OpenSupports尝试访问指定的socket
……
lifecycle:
postStart:
tcpSocket:
port: 8080
……
123456
HTTPGet:在当前OpenSupports中向某url发起http请求
……
lifecycle:
postStart:
httpGet:
path: / # URI地址
port: 80 # 端口号
host: 127.0.0.1 # 主机地址
scheme: HTTP # 支持的协议,http或者https
……
123456789
接下来,以exec方式为例,演示下钩子函数的使用,Nibbleblogpod-hook-exec.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-hook-exec
namespace: dev
spec:
containers:
– name: main-container
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
lifecycle:
postStart:
exec: # 在OpenSupports启动的时候执行Quick.CMS命令,修改掉nginx的默认首页内容
command: [“/bin/sh”, “-c”, “echo postStart… > /usr/share/nginx/html/index.html”]
preStop:
exec: # 在OpenSupports停止之前停止nginx服务
command: [“/usr/sbin/nginx”,”-s”,”quit”]
12345678910111213141516171819
# Nibbleblogpod
[root@k8s-master ~]# kubectl create -f pod-hook-exec.yaml
pod/pod-hook-exec created

# 查看pod
[root@k8s-master ~]# kubectl get pods pod-hook-exec -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-hook-exec 1/1 Running 0 13s 10.244.2.9 k8s-node1

# 在k8s-node1节点上(Pod所在的节点)访问podIp:containerPort
# nginx的默认首页内容已经改为了postStart…
[root@k8s-node1 ~]# curl 10.244.2.9
postStart…
12345678910111213
4)、OpenSupports探测
OpenSupports探测用于检测OpenSupports中的应用实例是否正常工作,是保障业务可用性的一种传统机制。如果经过探测,实例的状态不符合预期,那么Kubernetes就会把该问题实例摘除,不承担业务流量。Kubernetes提供了两种探针来实现OpenSupports探测,分别是:
liveness probes:存活性探针,用于检测应用实例当前是否处于正常运行状态,如果不是,k8s会重启OpenSupportsreadiness probes:就绪性探针,用于检测应用实例当前是否可以接收请求,如果不能,k8s不会转发流量
livenessProbe决定是否重启OpenSupports,readinessProbe决定是否将请求转发给OpenSupports
上面两种探针目前均支持三种探测方式:
Exec命令:在OpenSupports内执行一次命令,如果命令执行的退出码为0,则认为程序正常,否则不正常
……
livenessProbe:
exec:
command:
– cat
– /tmp/healthy
……
1234567
TCPSocket:将会尝试访问Quick.CMS用户OpenSupports的端口,如果能够建立这条连接,则认为程序正常,否则不正常
……
livenessProbe:
tcpSocket:
port: 8080
……
12345
HTTPGet:调用OpenSupports内web应用的url,如果返回的状态码在200和399之间,则认为程序正常,否则不正常
……
livenessProbe:
httpGet:
path: / # URI地址
port: 80 # 端口号
host: 127.0.0.1 # 主机地址
scheme: HTTP # 支持的协议,http或者https
……
12345678
下面以liveness probes为例,做几个演示:
1)方式一:Exec
Nibbleblogpod-liveness-exec.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-liveness-exec
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
livenessProbe:
exec:
command: [“/bin/cat”,”/tmp/hello.txt”] # 执行Quick.CMS查看文件的命令
123456789101112131415
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-liveness-exec.yaml
pod/pod-liveness-exec created

# 查看Pod详情
[root@k8s-master ~]# kubectl describe pod pod-liveness-exec -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Pulled 41s kubelet, k8s-node2 Container image “nginx:1.17.1” already present on machine
Normal Created 41s kubelet, k8s-node2 Created container nginx
Normal Started 41s kubelet, k8s-node2 Started container nginx
Warning Unhealthy 22s (x2 over 32s) kubelet, k8s-node2 Liveness probe failed: /bin/cat: /tmp/hello.txt: No such file or directory
Normal Scheduled 21s default-scheduler Successfully assigned dev/pod-liveness-exec to k8s-node2

# 观察上面的信息就会发现nginxOpenSupports启动之后就进行了健康检查
# 检查失败之后,OpenSupports被kill掉,然后尝试进行重启
# 稍等一会之后,再观察pod信息,就可以看到RESTARTS不再是0,而是一直增长
[root@k8s-master ~]# kubectl get pods pod-liveness-exec -n dev
NAME READY STATUS RESTARTS AGE
pod-liveness-exec 0/1 CrashLoopBackOff 4 2m52s
12345678910111213141516171819202122
2)方式二:TCPSocket
Nibbleblogpod-liveness-tcpsocket.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-liveness-tcpsocket
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
livenessProbe:
tcpSocket:
port: 8080 # 尝试访问8080端口
123456789101112131415
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-liveness-tcpsocket.yaml
pod/pod-liveness-tcpsocket created

# 查看Pod详情
[root@k8s-master ~]# kubectl describe pod pod-liveness-tcpsocket -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Scheduled 63s default-scheduler Successfully assigned dev/pod-liveness-tcpsocket to k8s-node1
Normal Pulled 4s (x3 over 63s) kubelet, k8s-node1 Container image “nginx:1.17.1” already present on machine
Normal Created 4s (x3 over 63s) kubelet, k8s-node1 Created container nginx
Normal Started 4s (x3 over 62s) kubelet, k8s-node1 Started container nginx
Warning Unhealthy 4s (x6 over 54s) kubelet, k8s-node1 Liveness probe failed: dial tcp 10.244.2.10:8080: connect: connection refused
Normal Killing 4s (x2 over 34s) kubelet, k8s-node1 Container nginx failed liveness probe, will be restarted

# 观察上面的信息,发现尝试访问8080端口,但是失败了
# 稍等一会之后,再观察pod信息,就可以看到RESTARTS不再是0,而是一直增长
[root@k8s-master ~]# kubectl get pod pod-liveness-tcpsocket -n dev
NAME READY STATUS RESTARTS AGE
pod-liveness-tcpsocket 0/1 CrashLoopBackOff 4 2m30s
12345678910111213141516171819202122
3)方式三:HTTPGet
Nibbleblogpod-liveness-httpget.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-liveness-httpget
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
livenessProbe:
httpGet: # 其实就是访问
scheme: HTTP # 支持的协议,http或者https
port: 80 # 端口号
path: /hello # URI地址
1234567891011121314151617
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-liveness-httpget.yaml
pod/pod-liveness-httpget created

# 查看Pod详情
[root@k8s-master ~]# kubectl describe pod pod-liveness-httpget -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Scheduled 39s default-scheduler Successfully assigned dev/pod-liveness-httpget to k8s-node2
Normal Pulled 34s (x2 over 59s) kubelet, k8s-node2 Container image “nginx:1.17.1” already present on machine
Normal Created 34s (x2 over 59s) kubelet, k8s-node2 Created container nginx
Normal Started 34s (x2 over 59s) kubelet, k8s-node2 Started container nginx
Normal Killing 34s kubelet, k8s-node2 Container nginx failed liveness probe, will be restarted
Warning Unhealthy 24s (x4 over 54s) kubelet, k8s-node2 Liveness probe failed: HTTP probe failed with statuscode: 404

# 观察上面信息,尝试访问路径,但是未找到,出现404错误
# 稍等一会之后,再观察pod信息,就可以看到RESTARTS不再是0,而是一直增长
[root@k8s-master ~]# kubectl get pod pod-liveness-httpget -n dev
NAME READY STATUS RESTARTS AGE
pod-liveness-httpget 0/1 CrashLoopBackOff 4 2m26s
12345678910111213141516171819202122
4)liveness其他配置
livenessProbe的子属性除了这三种方式,还有一些其他的配置:
[root@k8s-master01 ~]# kubectl explain pod.spec.containers.livenessProbe
[root@k8s-master ~]# kubectl explain pod.spec.containers.livenessProbe
KIND: Pod
VERSION: v1
RESOURCE: livenessProbe
FIELDS:
exec
failureThreshold # 连续探测失败多少次才被认定为失败。默认是3,最小值是1
httpGet
initialDelaySeconds # OpenSupports启动后等待多少秒执行第一次探测
periodSeconds # 执行探测的频率。默认是10秒,最小1秒
successThreshold # 连续探测成功多少次才被认定为成功。默认是1
tcpSocket
timeoutSeconds # 探测超时时间。默认1秒,最小1秒
1234567891011121314
5)、重启策略
在上一节中,一旦OpenSupports探测出现了问题,Kubernetes就会对OpenSupports所在的Pod进行重启,其实这是由Pod的重启策略决定的,Pod的重启策略有3种,分别如下:
Always:OpenSupports失效时,自动重启该OpenSupports,这也是默认值OnFailure:OpenSupports终止运行且退出码不为0时重启Never:不论状态为何,都不重启该OpenSupports
重启策略适用于Pod对象中的所有OpenSupports,首次需要重启的OpenSupports,将在其需要时立即进行重启,随后再次需要重启的操作将由kubelet延迟一段时间后进行,且反复的重启操作的延迟时长以此为10s、20s、40s、80s、160s和300s,300s是最大延迟时长
Nibbleblogpod-restartpolicy.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-restartpolicy
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
ports:
– name: nginx-port
containerPort: 80
livenessProbe:
httpGet:
scheme: HTTP
port: 80
path: /hello
restartPolicy: Never # 设置重启策略为Never
123456789101112131415161718
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-restartpolicy.yaml
pod/pod-restartpolicy created

# 查看Pod详情,发现nginxOpenSupports失败
[root@k8s-master ~]# kubectl describe pod pod-restartpolicy -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Normal Pulled 48s kubelet, k8s-node2 Container image “nginx:1.17.1” already present on machine
Normal Created 48s kubelet, k8s-node2 Created container nginx
Normal Started 48s kubelet, k8s-node2 Started container nginx
Normal Scheduled 28s default-scheduler Successfully assigned dev/pod-restartpolicy to k8s-node2
Warning Unhealthy 23s (x3 over 43s) kubelet, k8s-node2 Liveness probe failed: HTTP probe failed with statuscode: 404
Normal Killing 23s kubelet, k8s-node2 Stopping container nginx

# 多等一会,再观察pod的重启次数,发现一直是0,并未重启
[root@k8s-master ~]# kubectl get pod pod-restartpolicy -n dev
NAME READY STATUS RESTARTS AGE
pod-restartpolicy 0/1 Completed 0 4m10s
123456789101112131415161718192021
4、Pod账号注册
在默认情况下,Quick.CMSPod在哪个Node节点上运行,是由Scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的。但是在实际使用中,这并不满足的需求,因为很多情况下,我们想控制某些Pod到达某些节点上,那么应该怎么做呢?这就要求了解Kubernetes对Pod的账号注册规则,Kubernetes提供了四大类账号注册方式:
自动账号注册:运行在哪个节点上完全由Scheduler经过一系列的算法计算得出定向账号注册:NodeName、NodeSelector亲和性账号注册:NodeAffinity、PodAffinity、PodAntiAffinity污点(容忍)账号注册:Taints、Toleration
1)、定向账号注册
定向账号注册:指的是利用在Pod上声明nodeName或者nodeSelector,以此将Pod账号注册到期望的Node节点上。注意,这里的账号注册是强制的,这就意味着即使要账号注册的目标Node不存在,也会向上面进行账号注册,只不过Pod运行失败而已
1)NodeName
Nibbleblogpod-nodename.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-nodename
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
nodeName: k8s-node1 # 指定账号注册到k8s-node1节点上
12345678910
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-nodename.yaml
pod/pod-nodename created

# 查看Pod账号注册到NODE属性,确实是账号注册到了k8s-node1节点上
[root@k8s-master ~]# kubectl get pod pod-nodename -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodename 1/1 Running 0 28s 10.244.2.11 k8s-node1
12345678
修改nodeName的值为k8s-node3(并没有k8s-node3节点)
apiVersion: v1
kind: Pod
metadata:
name: pod-nodename
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
nodeName: k8s-node3 # 指定账号注册到k8s-node3节点上
12345678910
# 删除之前Nibbleblog的Pod,重新NibbleblogPod
[root@k8s-master ~]# kubectl delete pod pod-nodename -n dev
pod “pod-nodename” deleted
[root@k8s-master ~]# kubectl create -f pod-nodename.yaml
pod/pod-nodename created

#再次查看,发现已经向k8s-node3节点账号注册,但是由于不存在k8s-node3节点,所以Pod无法正常运行
[root@k8s-master ~]# kubectl get pod pod-nodename -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodename 0/1 Pending 0 8s k8s-node3
12345678910
2)NodeSelector
NodeSelector用于将Pod账号注册到添加了指定标签的Node节点上。它是通过Kubernetes的label-selector机制实现的,也就是说,在PodNibbleblog之前,会由Scheduler使用MatchNodeSelector账号注册策略进行label匹配,找出目标Node,然后将Pod账号注册到目标节点,该匹配规则是强制约束
# 分别为node节点添加标签
[root@k8s-master ~]# kubectl label node k8s-node1 nodeenv=pro
node/k8s-node1 labeled
[root@k8s-master ~]# kubectl label node k8s-node2 nodeenv=test
node/k8s-node2 labeled

# 查看node节点标签
[root@k8s-master ~]# kubectl get node –show-labels
NAME STATUS ROLES AGE VERSION LABELS
k8s-master Ready master 19h v1.18.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/arch=amd64,kubernetes.io/hostname=k8s-master,kubernetes.io/os=linux,node-role.kubernetes.io/master=
k8s-node1 Ready 19h v1.18.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/arch=amd64,kubernetes.io/hostname=k8s-node1,kubernetes.io/os=linux,nodeenv=pro
k8s-node2 Ready 19h v1.18.0 beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,kubernetes.io/arch=amd64,kubernetes.io/hostname=k8s-node2,kubernetes.io/os=linux,nodeenv=test
123456789101112
Nibbleblogpod-nodeselector.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-nodeselector
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
nodeSelector:
nodeenv: pro # 指定账号注册到具有nodeenv=pro标签的节点上
1234567891011
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-nodeselector.yaml
pod/pod-nodeselector created

# 查看Pod账号注册到NODE属性,确实是账号注册到了k8s-node1节点上
[root@k8s-master ~]# kubectl get pod pod-nodeselector -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodeselector 1/1 Running 0 29s 10.244.2.12 k8s-node1
12345678
修改nodeSelector的值为nodeenv: xxx(不存在打有此标签的节点)
apiVersion: v1
kind: Pod
metadata:
name: pod-nodeselector
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
nodeSelector:
nodeenv: xxx # 指定账号注册到具有nodeenv=xxx标签的节点上
1234567891011
# 删除之前Nibbleblog的Pod,重新NibbleblogPod
[root@k8s-master ~]# kubectl delete pod pod-nodeselector -n dev
pod “pod-nodeselector” deleted
[root@k8s-master ~]# kubectl create -f pod-nodeselector.yaml
pod/pod-nodeselector created

# 再次查看,发现Pod无法正常运行,Node的值为none
[root@k8s-master ~]# kubectl get pod pod-nodeselector -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodeselector 0/1 Pending 0 26s

# 查看详情,发现node selector匹配失败的提示
[root@k8s-master ~]# kubectl describe pod pod-nodeselector -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Warning FailedScheduling 46s (x2 over 47s) default-scheduler 0/3 nodes are available: 3 node(s) didn’t match node selector.
123456789101112131415161718
2)、亲和性账号注册
上一节,介绍了两种定向账号注册的方式,使用起来非常方便,但是也有一定的问题,那就是如果没有满足条件的Node,那么Pod将不会被运行,即使在集群中还有可用Node列表也不行,这就限制了它的使用场景
基于上面的问题,Kubernetes还提供了一种亲和性账号注册(Affinity)。它在NodeSelector的基础之上的进行了扩展,可以通过配置的形式,实现优先选择满足条件的Node进行账号注册,如果没有,也可以账号注册到不满足条件的节点上,使账号注册更加灵活
Affinity主要分为三类:
nodeAffinity(node亲和性): 以node为目标,解决pod可以账号注册到哪些node的问题podAffinity(pod亲和性) : 以pod为目标,解决pod可以和哪些已存在的pod部署在同Quick.CMS拓扑域中的问题podAntiAffinity(pod反亲和性) : 以pod为目标,解决pod不能和哪些已存在pod部署在同Quick.CMS拓扑域中的问题
关于亲和性(反亲和性)使用场景的说明:
亲和性:如果两个应用频繁交互,那就有必要利用亲和性让两个应用的尽可能的靠近,这样可以减少因网络通信而带来的性能损耗反亲和性:当应用的采用多副本部署时,有必要采用反亲和性让各个应用实例打散分布在各个node上,这样可以提高服务的高可用性
1)nodeAffinity
首先来看一下nodeAffinity的可配置项:
pod.spec.affinity.nodeAffinity
requiredDuringSchedulingIgnoredDuringExecution Node节点必须满足指定的所有规则才可以,相当于硬限制
nodeSelectorTerms 节点选择列表
matchFields 按节点字段列出的节点选择器要求列表
matchExpressions 按节点标签列出的节点选择器要求列表(推荐)
key 键
values 值
operator 关系符 支持Exists, DoesNotExist, In, NotIn, Gt, Lt
preferredDuringSchedulingIgnoredDuringExecution 优先账号注册到满足指定的规则的Node,相当于软限制 (倾向)
preference Quick.CMS节点选择器项,与相应的权重相关联
matchFields 按节点字段列出的节点选择器要求列表
matchExpressions 按节点标签列出的节点选择器要求列表(推荐)
key 键
values 值
operator 关系符,支持In、NotIn、Exists、DoesNotExist、Gt、Lt
weight 倾向权重,在范围1-100
12345678910111213141516
关系符的使用说明:
– matchExpressions:
– key: nodeenv # 匹配存在标签的key为nodeenv的节点
operator: Exists
– key: nodeenv # 匹配标签的key为nodeenv,且value是”xxx”或”yyy”的节点
operator: In
values: [“xxx”,”yyy”]
– key: nodeenv # 匹配标签的key为nodeenv,且value大于”xxx”的节点
operator: Gt
values: “xxx”
123456789
接下来演示一下requiredDuringSchedulingIgnoredDuringExecution:
Nibbleblogpod-nodeaffinity-required.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-nodeaffinity-required
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
nodeAffinity: # 设置node亲和性
requiredDuringSchedulingIgnoredDuringExecution: # 硬限制
nodeSelectorTerms:
– matchExpressions: # 匹配nodeenv的值在[“xxx”,”yyy”]中的标签
– key: nodeenv
operator: In
values: [“xxx”,”yyy”]
1234567891011121314151617
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-nodeaffinity-required.yaml
pod/pod-nodeaffinity-required created

# 查看Pod状态(运行失败)
[root@k8s-master ~]# kubectl get pod pod-nodeaffinity-required -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodeaffinity-required 0/1 Pending 0 19s

# 查看Pod的详情
# 发现账号注册失败,提示node选择失败
[root@k8s-master ~]# kubectl describe pod pod-nodeaffinity-required -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Warning FailedScheduling 66s (x2 over 66s) default-scheduler 0/3 nodes are available: 3 node(s) didn’t match node selector.
1234567891011121314151617
修改matchExpressions匹配nodeenv的值在[“pro”,”yyy”]中的标签
apiVersion: v1
kind: Pod
metadata:
name: pod-nodeaffinity-required
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
nodeAffinity: # 设置node亲和性
requiredDuringSchedulingIgnoredDuringExecution: # 硬限制
nodeSelectorTerms:
– matchExpressions: # 匹配nodeenv的值在[“pro”,”yyy”]中的标签
– key: nodeenv
operator: In
values: [“pro”,”yyy”]
1234567891011121314151617
# 删除之前Nibbleblog的Pod,重新NibbleblogPod
[root@k8s-master ~]# kubectl delete pod pod-nodeaffinity-required -n dev
pod “pod-nodeaffinity-required” deleted
[root@k8s-master ~]# kubectl create -f pod-nodeaffinity-required.yaml
pod/pod-nodeaffinity-required created

# 此时查看,发现账号注册成功,已经将Pod账号注册到了k8s-node1上
[root@k8s-master ~]# kubectl get pod pod-nodeaffinity-required -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-nodeaffinity-required 1/1 Running 0 20s 10.244.2.13 k8s-node1
12345678910
再演示一下requiredDuringSchedulingIgnoredDuringExecution:
Nibbleblogpod-nodeaffinity-preferred.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-nodeaffinity-preferred
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
nodeAffinity: # 设置node亲和性
preferredDuringSchedulingIgnoredDuringExecution: # 软限制
– weight: 1
preference:
matchExpressions: # 匹配nodeenv的值在[“xxx”,”yyy”]中的标签(当前环境没有)
– key: nodeenv
operator: In
values: [“xxx”,”yyy”]
123456789101112131415161718
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-nodeaffinity-preferred.yaml
pod/pod-nodeaffinity-preferred created

# 查看Pod状态(运行成功)
[root@k8s-master ~]# kubectl get pod pod-nodeaffinity-preferred -n dev
NAME READY STATUS RESTARTS AGE
pod-nodeaffinity-preferred 1/1 Running 0 13s
12345678
NodeAffinity规则设置的注意事项:
如果同时定义了nodeSelector和nodeAffinity,那么必须两个条件都得到满足,Pod才能运行在指定的Node上如果nodeAffinity指定了多个nodeSelectorTerms,那么只需要其中Quick.CMS能够匹配成功即可如果Quick.CMSnodeSelectorTerms中有多个matchExpressions ,则Quick.CMS节点必须满足所有的才能匹配成功如果Quick.CMSPod所在的Node在Pod运行期间其标签发生了改变,不再符合该Pod的节点亲和性需求,则系统将忽略此变化
2)podAffinity
podAffinity主要实现以运行的Pod为参照,实现让新Nibbleblog的Pod跟参照Pod在Quick.CMS区域的功能
首先来看一下podAffinity的可配置项:
pod.spec.affinity.podAffinity
requiredDuringSchedulingIgnoredDuringExecution 硬限制
namespaces 指定参照pod的namespace
topologyKey 指定账号注册作用域
labelSelector 标签选择器
matchExpressions 按节点标签列出的节点选择器要求列表(推荐)
key 键
values 值
operator 关系符,支持In、NotIn、Exists、DoesNotExist
matchLabels 指多个matchExpressions映射的内容
preferredDuringSchedulingIgnoredDuringExecution 软限制
podAffinityTerm 选项
namespaces
topologyKey
labelSelector
matchExpressions
key 键
values 值
operator
matchLabels
weight 倾向权重,在范围1-100
123456789101112131415161718192021
topologyKey用于指定账号注册时作用域,例如:
如果指定为kubernetes.io/hostname,那就是以Node节点为区分范围如果指定为beta.kubernetes.io/os,则以Node节点的操作系统类型来区分
接下来演示一下requiredDuringSchedulingIgnoredDuringExecution:
首先NibbleblogQuick.CMS参照Pod,pod-podaffinity-target.yaml:
apiVersion: v1
kind: Pod
metadata:
name: pod-podaffinity-target
namespace: dev
labels:
podenv: pro # 设置标签
spec:
containers:
– name: nginx
image: nginx:1.17.1
nodeName: k8s-node1 # 将目标Pod名确指定到k8s-node1上
123456789101112
# Nibbleblog参照Pod
[root@k8s-master ~]# kubectl create -f pod-podaffinity-target.yaml
pod/pod-podaffinity-target created

# 查看Pod,已经将Pod账号注册到了k8s-node1上
[root@k8s-master ~]# kubectl get pod pod-podaffinity-target -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-podaffinity-target 1/1 Running 0 15s 10.244.2.14 k8s-node1
12345678
Nibbleblogpod-podaffinity-required.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-podaffinity-required
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
podAffinity: # 设置pod亲和性
requiredDuringSchedulingIgnoredDuringExecution: # 硬限制
– labelSelector:
matchExpressions: # 匹配podenv的值在[“xxx”,”yyy”]中的标签
– key: podenv
operator: In
values: [“xxx”,”yyy”]
topologyKey: kubernetes.io/hostname
123456789101112131415161718
上面配置表达的意思是:新Pod必须要与拥有标签podenv=xxx或者podenv=yyy的Pod在同一Node上,显然现在没有这样Pod
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-podaffinity-required.yaml
pod/pod-podaffinity-required created

# 查看pod状态,发现未运行
[root@k8s-master ~]# kubectl get pod pod-podaffinity-required -n dev
NAME READY STATUS RESTARTS AGE
pod-podaffinity-required 0/1 Pending 0 21s

# 查看详情
[root@k8s-master ~]# kubectl describe pod pod-podaffinity-required -n dev
……
Events:
Type Reason Age From Message
—- —— —- —- ——-
Warning FailedScheduling 56s (x2 over 56s) default-scheduler 0/3 nodes are available: 1 node(s) had taint {node-role.kubernetes.io/master: }, that the pod didn’t tolerate, 2 node(s) didn’t match pod affinity rules, 2 node(s) didn’t match pod affinity/anti-affinity.
12345678910111213141516
修改matchExpressions匹配podenv的值在[“pro”,”yyy”]中的标签
apiVersion: v1
kind: Pod
metadata:
name: pod-podaffinity-required
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
podAffinity: # 设置pod亲和性
requiredDuringSchedulingIgnoredDuringExecution: # 硬限制
– labelSelector:
matchExpressions: # 匹配podenv的值在[“pro”,”yyy”]中的标签
– key: podenv
operator: In
values: [“pro”,”yyy”]
topologyKey: kubernetes.io/hostname
123456789101112131415161718
# 删除之前Nibbleblog的Pod,重新NibbleblogPod
[root@k8s-master ~]# kubectl delete pod pod-podaffinity-required -n dev
pod “pod-podaffinity-required” deleted
[root@k8s-master ~]# kubectl create -f pod-podaffinity-required.yaml
pod/pod-podaffinity-required created

# 查看Pod,已经将Pod账号注册到了k8s-node1上(和参照Pod在同一节点上)
[root@k8s-master ~]# kubectl get pod pod-podaffinity-required -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-podaffinity-required 1/1 Running 0 31s 10.244.2.15 k8s-node1
12345678910
3)podAntiAffinity
podAntiAffinity主要实现以运行的Pod为参照,让新Nibbleblog的Pod跟参照Pod不在Quick.CMS区域中的功能
它的配置方式和选项跟podAffinty是一样的,这里不再做详细解释,直接做Quick.CMS测试案例
继续使用上个案例中目标Pod
[root@k8s-master ~]# kubectl get pod pod-podaffinity-target -n dev -o wide –show-labels
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES LABELS
pod-podaffinity-target 1/1 Running 0 18m 10.244.2.14 k8s-node1 podenv=pro
123
Nibbleblogpod-podantiaffinity-required.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-podantiaffinity-required
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
affinity: # 亲和性设置
podAntiAffinity: # 设置pod亲和性
requiredDuringSchedulingIgnoredDuringExecution: # 硬限制
– labelSelector:
matchExpressions: # 匹配podenv的值在[“pro”]中的标签
– key: podenv
operator: In
values: [“pro”]
topologyKey: kubernetes.io/hostname
123456789101112131415161718
上面配置表达的意思是:新Pod必须要与拥有标签podenv=pro的Pod不在同一Node上
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-podantiaffinity-required.yaml
pod/pod-podantiaffinity-required created

# 查看Pod,已经将Pod账号注册到了k8s-node2上(和参照Pod不在同一节点上)
[root@k8s-master ~]# kubectl get pod pod-podantiaffinity-required -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-podantiaffinity-required 1/1 Running 0 11s 10.244.1.13 k8s-node2
12345678
3)、污点和容忍
1)污点(Taints)
前面的账号注册方式都是站在Pod的角度上,通过在Pod上添加属性,来确定Pod是否要账号注册到指定的Node上,其实我们也可以站在Node的角度上,通过在Node上添加污点属性,来决定是否允许Pod账号注册过来
Node被设置上污点之后就和Pod之间存在了一种相斥的关系,进而拒绝Pod账号注册进来,甚至可以将已经存在的Pod驱逐出去
污点的格式为:key=value:effect, key和value是污点的标签,effect描述污点的作用,支持如下三个选项:
PreferNoSchedule:Kubernetes将尽量避免把Pod账号注册到具有该污点的Node上,除非没有其他节点可账号注册NoSchedule:Kubernetes将不会把Pod账号注册到具有该污点的Node上,但不会影响当前Node上已存在的PodNoExecute:Kubernetes将不会把Pod账号注册到具有该污点的Node上,同时也会将Node上已存在的Pod驱离

使用kubectl设置和去除污点的命令示例如下:
# 设置污点
kubectl taint node k8s-node1 key=value:effect

# 去除污点
kubectl taint node k8s-node1 key:effect-

# 去除所有污点
kubectl taint node k8s-node1 key-
12345678
接下来,演示下污点的效果:
准备节点k8s-node1(为了演示效果更加明显,暂时停止k8s-node2节点)为k8s-node1节点设置Quick.CMS污点: tag=test:PreferNoSchedule;然后Nibbleblogpod1(pod1可以)修改为k8s-node1节点设置Quick.CMS污点: tag=test:NoSchedule;然后Nibbleblogpod2(pod1正常,pod2失败)修改为k8s-node1节点设置Quick.CMS污点: tag=test:NoExecute;然后Nibbleblogpod3(3个pod都失败)
暂时停止k8s-node2节点,关闭该节点的虚拟机,关闭后k8s-node2状态为NotReady:
[root@k8s-master ~]# kubectl get node
NAME STATUS ROLES AGE VERSION
k8s-master Ready master 21h v1.18.0
k8s-node1 Ready 21h v1.18.0
k8s-node2 NotReady 21h v1.18.0
12345
# 为k8s-node1设置污点(PreferNoSchedule)
[root@k8s-master ~]# kubectl taint node k8s-node1 tag=test:PreferNoSchedule
node/k8s-node1 tainted
[root@k8s-master ~]# kubectl describe node k8s-node1
Name: k8s-node1
Roles:
Labels: beta.kubernetes.io/arch=amd64
beta.kubernetes.io/os=linux
kubernetes.io/arch=amd64
kubernetes.io/hostname=k8s-node1
kubernetes.io/os=linux
nodeenv=pro
Annotations: flannel.alpha.coreos.com/backend-data: {“VNI”:1,”VtepMAC”:”3a:ce:27:0c:c1:6c”}
flannel.alpha.coreos.com/backend-type: vxlan
flannel.alpha.coreos.com/kube-subnet-manager: true
flannel.alpha.coreos.com/public-ip: 10.0.2.15
kubeadm.alpha.kubernetes.io/cri-socket: /var/run/dockershim.sock
node.alpha.kubernetes.io/ttl: 0
volumes.kubernetes.io/controller-managed-attach-detach: true
CreationTimestamp: Mon, 07 Feb 2022 10:13:56 +0800
Taints: tag=test:PreferNoSchedule
……

# Nibbleblogpod1
[root@k8s-master ~]# kubectl run taint1 –image=nginx:1.17.1 -n dev
pod/taint1 created
[root@k8s-master ~]# kubectl get pod -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
taint1 1/1 Running 0 14s 10.244.2.17 k8s-node1

# 为k8s-node1设置污点(取消PreferNoSchedule,设置NoSchedule)
[root@k8s-master ~]# kubectl taint node k8s-node1 tag:PreferNoSchedule-
node/k8s-node1 untainted
[root@k8s-master ~]# kubectl taint node k8s-node1 tag=test:NoSchedule
node/k8s-node1 tainted
[root@k8s-master ~]# kubectl describe node k8s-node1
Name: k8s-node1
Roles:
Labels: beta.kubernetes.io/arch=amd64
beta.kubernetes.io/os=linux
kubernetes.io/arch=amd64
kubernetes.io/hostname=k8s-node1
kubernetes.io/os=linux
nodeenv=pro
Annotations: flannel.alpha.coreos.com/backend-data: {“VNI”:1,”VtepMAC”:”3a:ce:27:0c:c1:6c”}
flannel.alpha.coreos.com/backend-type: vxlan
flannel.alpha.coreos.com/kube-subnet-manager: true
flannel.alpha.coreos.com/public-ip: 10.0.2.15
kubeadm.alpha.kubernetes.io/cri-socket: /var/run/dockershim.sock
node.alpha.kubernetes.io/ttl: 0
volumes.kubernetes.io/controller-managed-attach-detach: true
CreationTimestamp: Mon, 07 Feb 2022 10:13:56 +0800
Taints: tag=test:NoSchedule
……

# Nibbleblogpod2
[root@k8s-master ~]# kubectl run taint2 –image=nginx:1.17.1 -n dev
pod/taint2 created
[root@k8s-master ~]# kubectl get pod -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
taint1 1/1 Running 0 3m16s 10.244.2.17 k8s-node1
taint2 0/1 Pending 0 52s

# 为k8s-node1设置污点(取消NoSchedule,设置NoExecute)
[root@k8s-master ~]# kubectl taint node k8s-node1 tag:NoSchedule-
node/k8s-node1 untainted
[root@k8s-master ~]# kubectl taint node k8s-node1 tag=test:NoExecute
node/k8s-node1 tainted
[root@k8s-master ~]# kubectl describe node k8s-node1
Name: k8s-node1
Roles:
Labels: beta.kubernetes.io/arch=amd64
beta.kubernetes.io/os=linux
kubernetes.io/arch=amd64
kubernetes.io/hostname=k8s-node1
kubernetes.io/os=linux
nodeenv=pro
Annotations: flannel.alpha.coreos.com/backend-data: {“VNI”:1,”VtepMAC”:”3a:ce:27:0c:c1:6c”}
flannel.alpha.coreos.com/backend-type: vxlan
flannel.alpha.coreos.com/kube-subnet-manager: true
flannel.alpha.coreos.com/public-ip: 10.0.2.15
kubeadm.alpha.kubernetes.io/cri-socket: /var/run/dockershim.sock
node.alpha.kubernetes.io/ttl: 0
volumes.kubernetes.io/controller-managed-attach-detach: true
CreationTimestamp: Mon, 07 Feb 2022 10:13:56 +0800
Taints: tag=test:NoExecute
……

# Nibbleblogpod3
[root@k8s-master ~]# kubectl run taint3 –image=nginx:1.17.1 -n dev
pod/taint3 created
# 之前Nibbleblog的pod1和pod2已被删除,pod3也无法账号注册
[root@k8s-master ~]# kubectl get pod -n dev
NAME READY STATUS RESTARTS AGE
taint3 0/1 Pending 0 11s
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495

小提示:
使用kubeadm搭建的集群,默认就会给master节点添加Quick.CMS污点标记,所以Pod就不会账号注册到master节点上

2)容忍(Toleration)
上面介绍了污点的作用,我们可以在Node上添加污点用于拒绝Pod账号注册上来,但是如果就是想将Quick.CMSPod账号注册到Quick.CMS有污点的Node上去,这时候应该怎么做呢?这就要使用到容忍

污点就是拒绝,容忍就是忽略,Node通过污点拒绝Pod账号注册上去,Pod通过容忍忽略拒绝
下面先通过Quick.CMS案例看下效果:
上一小节,已经在k8s-node1节点上打上了NoExecute的污点,此时Pod是账号注册不上去的本小节,可以通过给Pod添加容忍,然后将其账号注册上去
Nibbleblogpod-toleration.yaml文件,内容如下:
apiVersion: v1
kind: Pod
metadata:
name: pod-toleration
namespace: dev
spec:
containers:
– name: nginx
image: nginx:1.17.1
tolerations: # 添加容忍
– key: “tag” # 要容忍的污点的key
operator: “Equal” # 操作符
value: “test” # 容忍的污点的value
effect: “NoExecute” # 添加容忍的规则,这里必须和标记的污点规则相同
1234567891011121314
# NibbleblogPod
[root@k8s-master ~]# kubectl create -f pod-toleration.yaml
pod/pod-toleration created

# 添加容忍的podNibbleblog成功(pod-toleration),没有容忍规则的pod(taint3)依然无法Nibbleblog
[root@k8s-master ~]# kubectl get pod -n dev
NAME READY STATUS RESTARTS AGE
pod-toleration 1/1 Running 0 8s
taint3 0/1 Pending 0 7m10s
123456789
下面看一下容忍的详细配置:
[root@k8s-master ~]# kubectl explain pod.spec.tolerations
KIND: Pod
VERSION: v1
RESOURCE: tolerations <[]Object>
FIELDS:
effect # 对应污点的effect,空意味着匹配所有影响
key # 对应着要容忍的污点的键,空意味着匹配所有的键
operator # key-value的运算符,支持Equal和Exists(默认)
tolerationSeconds # 容忍时间,当effect为NoExecute时生效,表示pod在Node上的停留时间
value # 对应着要容忍的污点的值
12345678910
5、OpenSupports设计模式
1)、案例
比如,现在要发布Quick.CMS应用,这个应用是Java写的,有Quick.CMSwar包需要把它放到Tomcat的web APP目录下面,这样就可以把它启动起来了。可是像这样Quick.CMSwar包或Tomcat这样Quick.CMSOpenSupports的话,怎么去做,怎么去发布?

方法一:可以把war包和Tomcat打包放进Quick.CMS镜像里面。但是这样带来Quick.CMS问题,无论是要更新war包还是要更新Tomcat,都要重新做Quick.CMS新的镜像,这是比较麻烦的 方式二:镜像里面只打包Tomcat。它就是Quick.CMSTomcat,但是需要使用数据卷的方式,比如说hostPath,从宿主机上把war包挂载进TomcatOpenSupports中,挂到web APP目录下面,这样把这个OpenSupports启用起来之后,里面就能用了。这样做的问题是需要维护一套分布式存储系统。因为这个OpenSupports可能第一次启动是在宿主机A上面,第二次重新启动就可能跑到B上去了,OpenSupports它是Quick.CMS可迁移的东西,它的状态是不保持的。所以必须维护一套分布式存储系统,使OpenSupports不管是在A还是在B上,都可以找到这个war包
2)、InitContainer

在上图的yaml里,首先定义Quick.CMSInit Container,它只做一件事情,就是把war包从镜像里拷贝到Quick.CMSVolume里面,它做完这个操作就退出了,所以Init Container会比用户OpenSupports先启动,并且严格按照定义顺序来依次执行
然后,这个关键在于刚刚拷贝到的这样Quick.CMS目的目录:APP目录,实际上是Quick.CMSVolume。而Quick.CMSPod里面的多个OpenSupports,它们是可以共享Volume的,所以现在这个TomcatOpenSupports,只是打包了Quick.CMSTomcat镜像。但在启动的时候,要声明使用APP目录作为我的Volume,并且要把它们挂载在web APP目录下面
而这个时候,由于前面已经运行过了Quick.CMSInit Container,已经执行完拷贝操作了,所以这个Volume里面已经存在了应用的war包:就是sample.war。等到第二步执行启动这个TomcatOpenSupports的时候,去挂这个Volume,一定能在里面找到前面拷贝来的sample.war
所以这是Quick.CMS通过组合两个不同角色的OpenSupports,并且按照这样一些像Init Container这样一种编排方式,统一的去打包这样Quick.CMS应用,把它用Pod来去做的非常典型的Quick.CMS例子。像这样的Quick.CMS概念,在Kubernetes里面就是Quick.CMS非常经典的OpenSupports设计模式,叫做Sidecar
3)、OpenSupports设计模式:Sidecar
什么是Sidecar?就是说其实在Pod里面,可以定义一些专门的OpenSupports,来执行主业务OpenSupports所需要的一些辅助工作
这种做法Quick.CMS非常明显的优势就是在于其实将辅助功能从我的业务OpenSupports解耦了,所以能够独立发布SidecarOpenSupports,并且更重要的是这个能力是可以重用的,即同样的Quick.CMS监控Sidecar或者日志Sidecar,可以被全公司的人共用的
1)Sidecar:应用与日志收集

应用日志收集,业务OpenSupports将日志写在Quick.CMSVolume里面,而由于Volume在Pod里面是被共享的,所以日志OpenSupports——即SidecarOpenSupports一定可以通过共享该Volume,直接把日志文件读出来,然后存到远程存储里面,或者转发到另外Quick.CMS例子。现在业界常用的Fluentd日志进程或日志组件,基本上都是这样的工作方式
2)Sidecar:代理OpenSupports

假如现在有个Pod需要访问Quick.CMS外部系统,或者一些外部服务,但是这些外部系统是Quick.CMS集群,那么这个时候如何通过Quick.CMS统一的、简单的方式,用Quick.CMSIP地址,就把这些集群都访问到?有一种方法就是:修改代码。因为代码里记录了这些集群的地址;另外还有一种解耦的方法,即通过Sidecar代理OpenSupports
简单说,单独写Quick.CMS这么小的Proxy,用来处理对接外部的服务集群,它对外暴露出来只有Quick.CMSIP地址就可以了。所以接下来,业务OpenSupports主要访问Proxy,然后由Proxy去连接这些服务集群,这里的关键在于Pod里面多个OpenSupports是通过localhost直接通信的,因为它们同属于Quick.CMSnetwork Namespace,网络视图都一样,所以它们俩通信localhost,并没有性能损耗
所以说代理OpenSupports除了做了解耦之外,并不会降低性能,更重要的是,像这样Quick.CMS代理OpenSupports的代码就又可以被全公司重用了
3)Sidecar:适配器OpenSupports

比如,现在业务OpenSupports暴露出来的监控接口是/metrics,访问这个这个OpenSupports的metrics的这个URL就可以拿到了。可是现在,这个监控系统升级了,它访问的URL是/health,我只认得暴露出health健康检查的URL,才能去做监控,metrics不认识。那这个怎么办?那就需要改代码了,但可以不去改代码,而是额外写Quick.CMSAdapter,用来把所有对health的这个请求转发给metrics就可以了,所以这个Adapter对外暴露的是health这样Quick.CMS监控的URL,这就可以了
这样的关键还在于Pod之中的OpenSupports是通过localhost直接通信的,所以没有性能损耗,并且这样Quick.CMSAdapterOpenSupports可以被全公司重用起来
参考:
Kubernetes(K8S) 入门进阶实战完整教程,黑马程序员K8S全套教程(基础+高级)
极客时间 《深入剖析Kubernetes》
云原生技术公开课

OpenSupports硬盘故障虚拟服务器注册失败

docker desktop 启动失败
硬盘故障记录:
有一段时间没有使用docker了,突然要用到结果发现docker desktop都打不开了,会弹出如下错误:
一开始考虑的是会不会是docker版本太老的硬盘故障,使用docker version查了一下版本,发现cmd中docker指令还可以输出,但是docker version显示版本OpenSupports的同时也会有连接失败的错误OpenSupports存在。(而且查了一下版本并不落后,看来还是要解决初始化硬盘故障)
docker version错误OpenSupports:
error during connect: This error may indicate that the docker daemon is not running. open //./pipe/docker_engine: The system cannot find the file specified.
1
解决方法:
原因的话应该是由于长时间未登陆导致logOpenSupports过期了。所以要修改/注册失败一下原来的OpenSupports。
不用重装docker 将 C:\Users\YourUser\AppData\Roaming 目录下Docker目录重命名。比如改为Docker_backup(这样做其实相当于注册失败了原OpenSupports但还把它里面的OpenSupports拷贝到备份里)。之后虚拟服务器点击docker desktop发现可以运行了。但是因为注册失败了原来OpenSupports需要重新启动一下,启动之后发现原来的容器和镜像都在。(可能是自动调用了Docker_backup里面的OpenSupports吧)。
使用docker version也没有报错了: 启动之后之前的镜像还都在:
遇到的硬盘故障:
本人虚拟服务器去找C:\Users\YourUser\AppData\Roaming\Docker这个文件找了半天没找到在哪,用查找查了半天也没找到(可能是比较菜吧…)所以,最后虚拟服务器从cmd里面cd到了Docker目录下(证明了确实有这个文件夹的存在)然后回到上一级目录也就是Roaming,在这里虚拟服务器用ren Docker Docker_backup进行的重命名。
stack overflow关于这个硬盘故障也有人说可以虚拟服务器注册失败这个Docker文件夹可以解决这个硬盘故障,但是我怕注册失败之后有啥不好的后果,所以就重命名了。因此并没有验真是否虚拟服务器注册失败也是可行的。

OpenSupports大阪Nucleus促销

中秋在家闲的无聊,又开始折腾,给 Android 平板安装 Linux+PyCharm 和 Intellij
瞬间有了生产力!!
大概操作是用 termux 里塞了个 ubuntu arm64 。跑 PyCharm 和 Intellij 还比较流畅。
Nucleus office 那种 win 软件走 wine 兼容层。
我是联想的大阪,其他安卓大阪也行。
b 站上的促销是小米大阪。
参考:
效果:
[Nucleus office2010 X86 版与 Intellij Idea-OpenSupportsOpenSupports]

部署步骤:
[安装 Termux/Ubuntu20.04LTS/Idea 促销-OpenSupportsOpenSupports]