Kubernetes 容器技術深度解析

11 分鐘閱讀

Kubernetes 作為主流容器協調平台,搭配 Docker 等容器技術,已成為現代化應用程式佈署的根本。本文將探討容器持久化儲存方案,例如 Docker 的 Bind mounts、Volumes 和 tmpfs volumes,並比較其差異與適用場景。同時,文章也將解析 Docker 與 Kubernetes 的網路組態與管理,包括 Bridge 網路、Port 繫結、網路選項組態等,以及 Kubernetes 的 Service、Endpoint 和 LoadBalancer 等網路元件的運作機制。此外,文章還會探討 Kubernetes 的叢集架構、關鍵元件如 ETCD、kube-scheduler 和 Ingress controller 的功能,以及如何使用 kubectl 進行服務管理。最後,文章將涵蓋 Kubernetes 的 RBAC 授權管理、Velero 備份還原機制、GitOps 自動化佈署流程,以及容器安全等重要議題,提供讀者全面的容器技術知識與實務應用。

Kubernetes 與 Docker 技術深度解析

容器持久化儲存技術詳解

在容器技術領域,資料持久化是一個重要的議題。Docker 提供了多種方式來實作資料的持久化,主要包括 Bind mounts、Volumes 和 tmpfs volumes。其中,Bind mounts 和 Volumes 能夠提供資料持久化,而 tmpfs volumes 則將資料儲存在 RAM 中,不會寫入磁碟。

Docker Volume 管理規範

  1. Volume 建立時機

    • Volume 必須在被容器使用前建立。如果在執行容器時尚未建立 Volume,Docker 會自動建立該 Volume 並掛載到容器中。
    • 相關練習題:第 2 題

  2. tmpfs 大小限制

    • 若未指定 tmpfs 的大小,Docker 預設會建立一個大小等於主機 RAM 一半的 Volume。
    • 相關練習題:第 3 題

  3. Volume 管理

    • 只有 Named volumes 和 Anonymous volumes 是由 Docker daemon 管理的。
    • Bind mounts 不受 Docker 管理,因此需要手動刪除相關目錄。
    • 相關練習題:第 5、6 題

網路組態與管理

Kubernetes 和 Docker 都提供了豐富的網路組態選項,以滿足不同的應用需求。

Docker 網路模式詳解

  1. 預設 Bridge 網路限制

    • Docker 的預設 Bridge 網路存在一定的限制,建議為多容器環境建立自定義 Bridge 網路。
    • 相關練習題:第 1 題

  2. Port 繫結規則

    • 由於每個 Docker 容器擁有獨立的 IP 位址,因此可以繫結相同的容器埠,但主機埠必須唯一。
    • 正確範例:docker run -p 8081:8080 -d nginx-web bitnami/nginx
    • 相關練習題:第 3 題

  3. 網路選項組態

    • 可使用 --network=none 選項啟動無網路組態的容器。
    • 自定義 Bridge 網路支援動態變更網路組態。
    • 相關練習題:第 4、5 題

有效的 IP 埠範圍

  • IP 埠的有效範圍是 1-65535。
  • 相關練習題:第 6 題

Kubernetes 叢集架構與元件

Kubernetes 提供了一個強大的容器協調平台,其架構設計包含多個關鍵元件。

主要元件功能

  1. PersistentVolume (PV) 與 PersistentVolumeClaim (PVC)

    • PV 必須在 PVC 建立之前存在,PVC 用於宣告對 PV 的資源請求。
    • 相關練習題:第 1 題

  2. 叢集儲存與網路元件

    • Rancher 提供了 local-path-provisioner,用於動態建立 PV。
    • 多節點叢集需要 Load balancer 將流量分配到後端節點。
    • 相關練習題:第 2、3 題

  3. CSIDriver 組態

    • 一個 Kubernetes 叢集可以擁有多個 CSIDriver,以連線不同的後端儲存系統。
    • 相關練習題:第 4 題

Kubernetes 元件與服務管理

控制平面元件

  1. 主要控制平面元件

    • ETCD:儲存 Kubernetes 所有物件及其狀態的資料函式庫。
    • kube-scheduler:根據各節點 kubelet 的資訊排程工作負載。
    • Ingress controller:作為附加元件用於暴露服務,不屬於控制平面核心元件。
    • 相關練習題:第 1、2、3 題

  2. 服務暴露方式

    • NodePort:會在每個節點上開啟指定埠(預設範圍:30000-32767),用於服務存取。
    • StatefulSet:以有序、可預測的方式建立 Pod,適合有狀態服務的佈署。
    • 相關練習題:第 5、6 題

kubectl 命令使用

  • 使用 -v 選項可啟用詳細輸出,幫助除錯。
  • 相關練習題:第 4 題

Kubernetes 網路與服務管理進階主題

Service 與 Endpoint 組態

  1. Service 的 Endpoint 組態

    apiVersion: v1
kind: Service
metadata:
  name: example-service
spec:
  selector:
    app: example-app
  ports:
  - protocol: TCP
    port: 80
    targetPort: 8080

    內容解密:

    • Service 使用 selector 欄位匹配 Pod 的標籤,將符合條件的 Pod 新增為 Endpoint。
    • 可使用 kubectl get ep <service name> 檢視已分配的 Endpoint。
    • 相關練習題:第 1、2 題

  2. LoadBalancer 服務支援

    • 原生 Kubernetes 不支援 LoadBalancer,除非安裝 MetalLB 等附加元件。
    • Layer 4 和 Layer 7 負載平衡器分別運作在不同的 OSI 層級,支援不同的協定型別。
    • 相關練習題:第 3、4 題

  3. 多協定 Service 組態

    apiVersion: v1
kind: Service
metadata:
  name: mixed-protocol-service
spec:
  type: NodePort
  ports:
  - name: http
    protocol: TCP
    port: 80
    targetPort: 8080
  - name: dns
    protocol: UDP
    port: 53
    targetPort: 5353

    圖表翻譯:

    此圖示展示了一個混合協定 Service 的組態範例,使用 NodePort 或 ClusterIP 型別的 Service 可以支援多種協定(TCP 和 UDP)。

  4. 多協定服務實作限制

    • 在基礎 Kubernetes 環境中,LoadBalancer 型別的 Service 不支援多協定組態。
    • ClusterIP 和 NodePort 型別的 Service 可以定義多協定(TCP 和 UDP)。
    • 相關練習題:第 5、6 題

Kubernetes Service 結構圖

圖表翻譯: 此圖示呈現了 Kubernetes 中 Service 的基本結構,包括 Service 如何透過 Endpoints 與後端的 Pod 建立連線,以及 LoadBalancer 如何提供外部存取能力。

Kubernetes 安全與管理評估解析

第七章:身份驗證與授權

重點解析

  1. OpenID Connect 標準

    • OpenID Connect 是由 IETF 發布的標準,用於身份驗證。
    • 正確答案:(A) True

  2. id_token 的作用

    • id_token 包含使用者身份的宣告(claims)。
    • 正確答案:(B) id_token

  3. Break-glass 機制

    • 用於緊急情況下的身份驗證。
    • 需要嚴格控制證書和金鑰對。
    • 正確答案:(C) Break-glass-in-case-of-emergency

  4. 不可變的使用者 ID

    • 使用者名稱可能會變更,因此需要使用不可變的 ID。
    • 正確答案:(D) An immutable ID not based on a user’s name

  5. Kubernetes API 伺服器設定

    • 透過在 API 伺服器可執行檔上設定旗標來控制身份驗證。
    • 正確答案:(D) Set as flags on the Kubernetes API server executable

程式碼解析

apiVersion: v1
kind: ConfigMap
metadata:
  name: kube-apiserver-config
data:
  apiServerFlags: |
    --oidc-issuer-url=https://example.com
    --oidc-client-id=kubernetes

#### 內容解密:
此 ConfigMap 用於設定 Kubernetes API 伺服器的啟動引數。其中 `--oidc-issuer-url` 指定了 OpenID Connect 的發行者 URL,而 `--oidc-client-id` 指定了客戶端 ID。這樣的設定確保了 Kubernetes 能夠與 OpenID Connect 身份提供者進行整合,實作安全的身份驗證機制。

第八章:根據角色的存取控制(RBAC)

重點解析

  1. RBAC 的優先使用

    • RBAC 是授權資源的首選方法。
    • 正確答案:(A) True

  2. Role 定義的要素

    • apiGroups、resources、verbs 是定義 Role 的關鍵要素。
    • 正確答案:(C) apiGroups, resources, verbs

  3. Kubernetes API 參考

    • 用於查詢 API 資源的詳細資訊。
    • 正確答案:(A) Kubernetes API reference

圖表解析

第九章:Kubernetes Dashboard 安全

重點解析

  1. Dashboard 的安全性

    • Dashboard 本身並非不安全,其安全性取決於佈署方式。
    • 正確答案:(A) False

  2. Dashboard 的身份驗證方式

    • Dashboard 支援無身份驗證、Token 和反向代理注入等方式。
    • 正確答案:(A) No authentication, a token, injected from a reverse proxy

重點建議

  • 使用反向代理來管理登入流程和會話,並新增多因素身份驗證。

第十章:容器安全

重點解析

  1. 容器的本質

    • 容器是一個程式,而不是虛擬機器。
    • 正確答案:(A) False

  2. 特權容器

    • 特權容器可以存取主機資源,就像特權程式一樣。
    • 正確答案:(B) If marked as privileged, yes

程式碼解析

apiVersion: v1
kind: Pod
metadata:
  name: privileged-pod
spec:
  containers:
  - name: privileged-container
    image: example/image
    securityContext:
      privileged: true

#### 內容解密:
此 YAML 檔案定義了一個名為 `privileged-pod` 的 Pod,其中包含一個名為 `privileged-container` 的容器。該容器被設定為特權容器(`securityContext.privileged: true`),意味著它將以特權模式執行,能夠存取主機的資源。這種設定需要謹慎使用,以避免安全風險。

Kubernetes 技術深度解析與實務應用

Velero 備份與還原技術詳解

Velero 是 Kubernetes 中一個重要的備份與還原工具,主要用於叢集資源和持久化資料的保護。以下將探討 Velero 的主要功能和組態方法。

Velero 的主要特點

  1. 備份儲存目標:Velero 僅支援使用 S3 相容的儲存目標來儲存備份資料。這意味著使用者可以利用 MinIO 或其他 S3 相容的儲存方案來實作備份功能。

  2. 跨叢集還原:Velero 的一大優勢是能夠將備份從一個叢集還原到另一個叢集,提供了極大的靈活性。

  3. 排程備份:可以使用 Velero create schedule 命令來建立定時備份任務。例如,使用 --schedule="0 3 * * *" 可以設定每天凌晨 3 點執行備份。

MinIO 與 Velero 的整合應用

為了使用 Velero,需要佈署一個 S3 相容的儲存服務。MinIO 是一個理想的選擇,它可以將持久化卷掛載為 S3 儲存桶,從而與 Velero 無縫整合。

# 安裝 MinIO 並組態持久化儲存
apiVersion: apps/v1
kind: Deployment
metadata:
  name: minio
spec:
  replicas: 1
  selector:
    matchLabels:
      app: minio
  template:
    metadata:
      labels:
        app: minio
    spec:
      containers:
      - name: minio
        image: minio/minio:latest
        args:
        - server
        - /data
        env:
        - name: MINIO_ACCESS_KEY
          value: "your_access_key"
        - name: MINIO_SECRET_KEY
          value: "your_secret_key"
        volumeMounts:
        - name: data
          mountPath: /data
      volumes:
      - name: data
        persistentVolumeClaim:
          claimName: minio-pvc

程式碼解密:

  • apiVersionkind 定義了 Kubernetes 資源的型別,這裡使用的是 Deployment。
  • spec 部分詳細描述了佈署的組態,包括副本數量、選擇器和容器範本。
  • env 部分設定了 MinIO 的存取金鑰和秘密金鑰,這些是存取 MinIO 服務所必需的。
  • volumeMounts 將持久化卷掛載到 MinIO 容器中的 /data 目錄,確保資料持久化儲存。

GitOps 實踐與自動化佈署

GitOps 是一種以 Git 為基礎的維運模式,透過將組態儲存在 Git 倉函式庫中,實作自動化的佈署和管理。

GitOps 的核心概念

  1. 以 Git 為單一事實來源:所有的組態和變更都儲存在 Git 倉函式庫中,確保了版本控制和變更追蹤。

  2. 自動同步:透過控制器監控 Git 倉函式庫的變更,自動將變更同步到 Kubernetes 叢集中。

Tekton 與 GitOps 的結合

Tekton 是一個 Kubernetes 原生的 CI/CD 框架,可以與 GitOps 工作流程結合,實作自動化的建置、測試和佈署。

# 定義一個 Tekton Task,用於建置 Docker 映像
apiVersion: tekton.dev/v1beta1
kind: Task
metadata:
  name: build-docker-image
spec:
  steps:
  - name: build
    image: docker:latest
    script: |
      docker build -t my-app .

圖表翻譯:

此圖示呈現了 Tekton Task 的結構,包括任務名稱、步驟和使用的 Docker 映像。透過這個 Task,可以自動建置 Docker 映像並推播到指定的倉函式庫。

Kubernetes 安全與稽核

Kubernetes 的安全涉及多個層面,包括叢集內部安全、網路安全和存取控制等。

使用 audit2rbac 進行許可權稽核

audit2rbac 是一個用於分析 Kubernetes 稽核日誌並生成 RBAC 組態的工具,可以幫助簡化許可權管理。

# 使用 audit2rbac 分析稽核日誌
audit2rbac -f /path/to/audit.log -o rbac.yaml

程式碼解密:

  • -f 引數指定了稽核日誌的路徑。
  • -o 引數指定了輸出的 RBAC 組態檔案路徑。
  • 該命令會根據稽核日誌生成對應的 RBAC 規則,幫助管理員最佳化許可權設定。

Kubernetes 技術深度解析與實踐

Kubernetes 作為現代雲原生技術的核心基礎,提供了一個強大且靈活的容器協調平台。本文將探討 Kubernetes 的關鍵技術與實踐經驗,幫助讀者全面掌握其核心功能與應用場景。

Kubernetes 基礎架構解析

Kubernetes 的架構設計是其高效執行的基礎。主要元件包括:

  1. API 伺服器:作為 Kubernetes 的核心控制平面,負責處理所有 REST 請求。
  2. etcd 資料函式庫:儲存整個叢集的組態資訊和狀態資料。
  3. Controller Manager:負責執行各種控制器以維持叢集的期望狀態。
  4. Kubelet:執行在每個節點上,負責管理容器執行環境。
  5. kube-proxy:提供網路代理和負載平衡功能。

程式碼範例:Kubernetes 元件互動流程

apiVersion: apps/v1
kind: Deployment
metadata:
  name: example-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: example
  template:
    metadata:
      labels:
        app: example
    spec:
      containers:
      - name: example-container
        image: nginx:latest
        ports:
        - containerPort: 80

內容解密:

  1. apiVersionkind 定義了 Kubernetes 資源的版本和型別。
  2. metadata 提供資源的中繼資料,如名稱和標籤。
  3. spec 描述了資源的期望狀態,包括副本數量和容器組態。
  4. selectortemplate 定義瞭如何選擇和管理 Pod。
  5. containers 部分指定了容器映像和其他執行引數。

Kubernetes 網路架構與實踐

Kubernetes 的網路模型是實作服務發現和通訊的關鍵。主要特性包括:

  1. 扁平網路架構:所有 Pod 可以直接相互通訊。
  2. 服務發現機制:透過 DNS 和環境變數實作服務發現。
  3. 網路策略:允許精細控制 Pod 之間的流量。

Kubernetes 網路架構示意圖

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title Kubernetes 容器技術深度解析

package "Kubernetes Cluster" {
    package "Control Plane" {
        component [API Server] as api
        component [Controller Manager] as cm
        component [Scheduler] as sched
        database [etcd] as etcd
    }

    package "Worker Nodes" {
        component [Kubelet] as kubelet
        component [Kube-proxy] as proxy
        package "Pods" {
            component [Container 1] as c1
            component [Container 2] as c2
        }
    }
}

api --> etcd : 儲存狀態
api --> cm : 控制迴圈
api --> sched : 調度決策
api --> kubelet : 指令下達
kubelet --> c1
kubelet --> c2
proxy --> c1 : 網路代理
proxy --> c2

note right of api
  核心 API 入口
  所有操作經由此處
end note

@enduml

圖表翻譯: 此圖示展示了 Kubernetes 中的 Pod 通訊和服務發現機制。Pod A 可以直接與 Pod B 通訊,同時透過 Service 實作負載平衡,Kube-proxy 提供網路代理功能。

安全防護與存取控制

Kubernetes 的安全防護涵蓋多個層面,包括身份驗證、授權和准入控制。

  1. 身份驗證:支援多種身份驗證機制,如 X509 使用者端憑證和靜態 Token。
  2. 授權機制:根據角色的存取控制(RBAC)是主要授權方式。
  3. 網路策略:用於控制 Pod 之間的網路流量。

程式碼範例:RBAC 設定

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

內容解密:

  1. 定義了一個名為 pod-reader 的 Role。
  2. 指定了該 Role 可以存取的資源型別(pods)。
  3. 定義了允許的操作(get 和 list)。

索引導覽:Kubernetes 與容器技術關鍵主題解析

本文將針對 Kubernetes 與容器技術的相關索引內容進行深入解析,涵蓋容器技術基礎、Kubernetes 核心元件、網路與負載平衡、安全性管理、備份與還原等重要主題。

容器技術基礎

容器技術是現代軟體開發與佈署的核心基礎之一。透過 Linux 容器技術,我們可以實作輕量級的虛擬化,達到快速佈署與高效能運作。Docker 作為容器技術的重要工具,其安裝與使用是學習容器技術的第一步。

Docker 安裝與基礎操作

  • 在 Ubuntu 上安裝 Docker 是常見的佈署方式
  • 使用 Docker 可以實作應用程式的快速容器化
  • 瞭解 Docker 的網路設定(如 bridge 網路)對於容器間通訊至關重要

Kubernetes 核心元件與物件

Kubernetes(K8s)是一種用於自動化佈署、擴充套件和管理容器化應用程式的開源系統。瞭解其核心元件與物件對於掌握 Kubernetes 技術至關重要。

Kubernetes 主要物件

  • Pod:Kubernetes 中最小的可佈署單元
  • Service:為 Pod 提供穩定的網路介面
  • Deployment:管理 Pod 的佈署與更新
  • ConfigMapSecret:用於管理組態資料與敏感資訊
  • Persistent Volume (PV)Persistent Volume Claim (PVC):實作持久化儲存

網路與負載平衡

在 Kubernetes 環境中,網路與負載平衡是確保應用程式高效運作的關鍵。

Layer 4 與 Layer 7 負載平衡

  • Layer 4 負載平衡關注於傳輸層的流量控制
  • Layer 7 負載平衡則提供應用層的智慧路由
  • MetalLB 是 Kubernetes 中實作負載平衡的重要元件

安全性管理

安全性是 Kubernetes 環境中的重要考量。透過 Role-Based Access Control (RBAC)、Network Policies 和 Pod Security Policies 等機制,可以有效提升叢集的安全性。

重要安全元件

  • RBAC:實作精細的存取控制
  • Network Policies:控制 Pod 之間的網路流量
  • Open Policy Agent (OPA):提供靈活的策略管理
  • Pod Security Policies (PSP):規範 Pod 的安全設定

備份與還原

在 Kubernetes 環境中,資料備份與還原是確保業務連續性的關鍵。Velero 是實作 Kubernetes 資源備份的重要工具。

Velero 的主要功能

  • 叢集備份:定期備份叢集資源與資料
  • 還原機制:在需要時還原叢集狀態
  • 自訂備份:根據需求建立自訂備份策略
玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。