Kubernetes1.3新特性:rktnetes
(一) 背景资料
对于Kubernetes来说,从架构设计上就是支持Docker和CoreOS rkt两种容器的,在1.2版本中,最低支持CoreOS rkt 0.13.0版本,这个rkt版本算是一个开发测试版本。CoreOS rkt在2016年正式发布了1.0,rkt从1.0开始算是一个正式生产版本了,Kubernetes在1.3中最低支持CoreOS rkt 1.9.1。由于Kubernetes支持了CoreOS rkt正式生产版本,也就意味着Kubernetes真正可以在生产环境中同时实现对Docker和CoreOS rkt的支持,所以把”在Kubernetes中使用rkt“又称作”rktnetes“,用来突出rkt在Kubernetes中的作用。
(二) CoreOS rkt同Docker对比
Docker需要有一个后台运行的Daemon,命令都是通过Docker Daemon进行执行,如果Daemon没有在后台运行,那么就无法执行Docker命令,而且应用容器的虚拟网络也可能会依赖于Daemon的虚拟网络。CoreOS rkt主要采用命令行直接执行,不需要后台运行的Daemon。
在对Docker进行升级时,至少需要升级Docker Engine daemon,如果应用容器的虚拟网络正在通过Docker Engine daemon进行通讯,那么此时应用容器上业务就会受到影响,但是对CoreOS rkt进行升级更新的时候,并不会影响已经运行的应用容器,但是因为应用容器的网络并不是通过Daemon的虚拟网络进行通讯的。
下面是CoreOS rkt同Docker处理模型对比图:
从图中可以看到:
1) 当在rkt1.0及以后版本上运行redis容器时,通过命令行执行一次类似“rkt run redis”的命令就可以启动application应用;
2) 当在Docker1.11以前版本运行redis容器时,执行类似“Docker run redis”的命令后,实际上是同Docker Engine进行通讯,由Docker Engine来启动application应用;
3) 当在Docker1.11及以后版本上运行redis容器时,执行类似“Docker run redis”的命令后,先同Docker Engine进行通讯,接着由Docker Engine同containerd进行通讯,然后由containerd同runC进行通讯,最后由runC来启动application应用。
根据对比至少可以分析出CoreOS rkt在启动的时候比Docker更简单,这种简单的好处在于遇到问题的时候可以快速的进行排查。同时还可以看出来,CoreOS rkt的这种设计更加遵循linux/unix架构的最佳实践,因为应用容器都是直接可以被操作系统systemd核心进程直接进行控制的,但是Docker中应用容器都是被Docker Engine这个进程控制的,操作系统systemd核心进程只是直接控制Docker Engine进程。
这里并不是说Docker架构设计不好,Docker采用Docker Engine这种中心化架构设计其实也是有优势的,其中包括这种设计更适合开发,因为Docker Engine提供了对外统一的API接口,所以开发人员直接可以使用这些API接口进行开发。
下面是CoreOS rkt同Docker在linux权限模型上的对比图:
从图中可以看到:
1) docker dasemon需要root用户权限,也就是说操作系统必须为Docker开放一个最高级别权限;
2) CoreOS rkt不需要root用户权限,可以完全按照linux/unix权限方案来使用;
根据对比可以可以分析出:CoreOS rkt设计上就是使用标准的linux/unix权限方案,可以利用linux/unix操作系统自带的权限方案在不同操作之间进行权限控制,但是Docker不是,因为Docker必须使用草系统最高级别权限。
(三) K8S中使用CoreOS rkt
1) 前置条件
- 需要在Kubernetes1.3管理的计算节点上安装linux操作系统,并且操作系统中systemd最低版本是219,这个版本的systemd要求Linux kernel>= 3.7,是2015年2月份发布的版本。
- 需要在Kubernetes1.3管理的节点上安装CoreOSrkt,并且最低版本是1.9.1,是2016年6月份发布的版本。
- 需要在Kubernetes1.3管理的节点上安装rktapi-service,版本是v1alpha,rkt api-service默认监听端口15441,所以需要保证这个端口可以被访问。这个api-service的作用在于从rkt容器中收集监控信息,包括节点上运行的rkt pod数量、每个rkt pod名称和网络设置、rkt pod详细配置信息、资源配额等数据,更形象的说就是在执行kubectl describe命令时显示的内容就是从rkt api-service获取的。
2) 配置kubelet参数
- 配置参数“--container-runtime=rkt”,表示在这个节点上使用CoreOSrkt容器
- 配置参数“rkt-api-endpoint=HOST:PORT”,表示rktapi-service入口,默认是localhost:15441
- 配置参数“--rkt-path=PATH_TO_RKT_BINARY”,表示rkt命令所在路径,这是一个可选的配置参数,如果为空的话,kubelet会从操作系统$PATH中查找rkt命令
- 配置参数“--rkt-stage1-image=STAGE1”,按照CoreOS rkt的stage1方式来使用容器镜像,在将来kubernetes版本中会把这个参数删除掉,因为可以通过rkt配置文件来配置,具体可以参考https://github.com/coreos/rkt/blob/master/Documentation/configuration.md。
3) Kubelet使用CoreOS rkt流程
- 容器生命周期管理流程:使用systemd来调度和管理容器运行环境,CoreOS rkt遵循AppC(应用容器规范),而AppC规范定义基本执行单元是POD。涉及生命周期管理的操作,均是kubelet通过systemd来实现,这些操作包括启动POD、停止POD、重启POD、杀掉结束的进程等
- 信息收集:从rkt容器中收集监控信息,包括节点上运行的rkt pod数量、每个rkt pod名称和网络设置、rkt pod详细配置信息、资源配额等数据,另外也通过api-service收集POD日志信息
4) CoreOS rkt限制
- 挂载卷的路径不存在时会报错
当创建POD时,如果挂载到POD中的路径在节点上不存在的时候,如果容器运行环境是rkt,那么会报错,但是如果容器运行环境是Docker的时候,会创建一个空目录,不会报错。比如按照下面配置文件来创建POD,如果容器运行环境是rkt,那么就会报错。
apiVersion: v1
kind: Pod
metadata:
labels:
name: mount-dne
name: mount-dne
spec:
volumes:
- name: does-not-exist
hostPath:
path: /does/not/exist
containers:
- name: exit
image: busybox
command:["sh", "-c", "ls /test; sleep 60"]
volumeMounts:
- mountPath: /test
name:does-not-exist
- 不支持的kubectl命令
kubectl是操作kubernetes集群的命令行工具,kubectl语法如下:
kubectl [command] [TYPE] [NAME] [flags]
如果容器运行环境使用的是CoreOSrkt,那么下面kubectl参数是不被支持的:
• --attach=true
• --leave-stdin-open=true
• --rm=true
- 不支持初始化容器
在kubernetes1.3的POD中,有两类容器,一类是系统容器(POD Container),一类是用户容器(User Container),在用户容器中,现在又分成两类容器,一类是初始化容器(Init Container),一类是应用容器(App Container),其中应用容器包含卷容器(Volume Container)。POD同初始化容器之间的对应关系是从0到N,POD同应用容器之间的对应关系是从1到N。
如果使用的是CoreOSrkt容器运行环境,那么是无法使用kubernetes1.3的初始化容器这个新功能的。
- 不支持Nvidia品牌GPU
在kubernetes1.3中提供了对Nvidia品牌GPU的支持,在kubernetes管理的集群中每个节点上,通过将原有的Capacity和Allocatable变量进行扩展,增加了一个针对Nvidia品牌GPU的α特性:alpha.kubernetes.io/nvidia-gpu。其中Capacity变量表示每个节点中实际的资源容量,包括cpu、memory、storage、alpha.kubernetes.io/nvidia-gpu,而Allocatable变量表示每个节点中已经分配的资源容量,同样包括包括cpu、memory、storage、alpha.kubernetes.io/nvidia-gpu。
如果使用的是CoreOSrkt容器运行环境,那么是无法使用kubernetes1.3对Nvidia品牌GPU支持这个新功能的。
- 不支持容器的OOM(Out of Memory)分数值调整
对于kubernetes来说,如果容器运行环境使用的是Docker,那么通过cgroup就可以给POD设置QoS级别,当资源不够使用时,先kill优先级低的POD,在实际使用时,是通过OOM(Out of Memory)分数值来实现的,OOM分数值从0到1000。OOM分数值是根据OOM_ADJ参数计算出来的,对于Guaranteed级别的POD,OOM_ADJ参数设置成了-998,对于BestEffort级别的POD,OOM_ADJ参数设置成了1000,对于Burstable级别的POD,OOM_ADJ参数取值从2到999,对于kube保留的资源,比如kubelet,OOM_ADJ参数设置成了-999。OOM_ADJ参数设置的越大,通过OOM_ADJ参数计算出来的OOM分数越高,OOM分数越高,这个POD的优先级就越低,在出现资源竞争的时候,就越早被kill掉,对于OOM_ADJ参数是-999的代表kubernetes永远不会因为OOM而被kill掉。如下图所示:
如果使用的是CoreOSrkt容器运行环境,那么就不会对OOM(Out of Memory)分数值进行调整。
(四) rktnetes总结
在kubernete1.3中,把”在Kubernetes中使用rkt“又称作”rktnetes“,用来突出rkt在Kubernetes中的作用,可以推断出在kubernetes开源项目发展过程中CoreOS团队起到了很重要的作用。在Docker1.12版本以后融合入swarm编排功能后,kubernetes更需要一个纯粹的容器运行环境来支撑,而CoreOS rkt就是一个专注性强的容器运行环境,并不涉及集群编排和节点管理,所以在1.13版本中突出了一个单词”rktnetes“很有象征意义。
不可否认,CoreOS rkt是按照unix/linux使用最佳实践来架构设计的,所以就像是在前面“CoreOS rkt同Docker对比“中介绍过的那样,rktnetes具有下面两项优势:
- 安全性高:CoreOSrkt可以不使用root权限运行,这样就避免不必要的操作获取root权限问题,不会被第三方获取root权限,从而保证容器运行环境和操作系统整体安全,例如rkt不允许以root权限执行容器发现与检索,从而解决容器执行默认要求root权限的难题。
- 容易集成:CoreOSrkt按照unix/linux使用最佳实践来架构设计,力求将rkt体现为一个操作系统命令,不需要长期运行的后台守护进程,rkt采用的无守护程序模式意味着其能够轻松与操作系统标准init系统相集成,例如systemd与upstart。此外由于CoreOS rkt遵循AppC(应用容器规范),而AppC规范定义基本执行单元是POD,一个POD就是一组应用容器镜像,POD中的容器共享相同的进程上下文,比如共享相同的网络,这种设计同kubernetes的POD如出一辙,所以CoreOS rkt很容易同Kubernetes进行集成。