Node 组件运行在每一个节点上（包括 master 节点和 worker 节点），负责维护运行中的 Pod 并提供 Kubernetes 运行时环境。

kubelet

此组件是运行在每一个集群节点上的代理程序。它确保 Pod 中的容器处于运行状态。Kubelet 通过多种途径获得 PodSpec 定义，并确保 PodSpec 定义中所描述的容器处于运行和健康的状态。Kubelet不管理不是通过 Kubernetes 创建的容器

每个节点上都运行一个kubelet服务进程，默认监听10250端口

• 接收并执行master发来的指令
• 管理Pod及Pod中的容器
• 每个kubelet进程会在API Server 上注册节点自身信息，定期向 master 节点汇报节点的资源使用情况，并通过cAdvisor 监控节点和容器的资源。

如下 kubelet 内部组件结构图所示，Kubelet 由许多内部组件构成

• Kubelet API，包括 10250 端口的认证 API、4194 端口的 cAdvisor API、10255 端口的只读 API 以及 10248 端口的健康检查 API
• syncLoop：从 API 或者 manifest 目录接收 Pod 更新，发送到 podWorkers 处理，大量使用 channel 处理来处理异步请求
• 辅助的 manager，如 cAdvisor、PLEG、Volume Manager 等，处理 syncLoop 以外的其他工作
• CRI：容器执行引擎接口，负责与 container runtime shim 通信
• 容器执行引擎，如 dockershim、rkt 等（注：rkt 暂未完成 CRI 的迁移）
• 网络插件，目前支持 CNI 和 kubenet

启动 kubelet 示例

/usr/bin/kubelet \
  --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf \
  --kubeconfig=/etc/kubernetes/kubelet.conf \
  --pod-manifest-path=/etc/kubernetes/manifests \
  --allow-privileged=true \
  --network-plugin=cni \
  --cni-conf-dir=/etc/cni/net.d \
  --cni-bin-dir=/opt/cni/bin \
  --cluster-dns=10.96.0.10 \
  --cluster-domain=cluster.local \
  --authorization-mode=Webhook \
  --client-ca-file=/etc/kubernetes/pki/ca.crt \
  --cadvisor-port=0 \
  --rotate-certificates=true \
  --cert-dir=/var/lib/kubelet/pki

• 核心组件 - kubelet - 《Kubernetes指南（Kubernetes Handbook）(202005)》 - 书栈网 · BookStack

kube-proxy

kube-proxy 是一个网络代理程序，运行在集群中的每一个节点上，是实现 Kubernetes Service 概念的重要部分。目前kube-proxy有如下三种工作模式：

• User space 模式

最早的负载均衡方案，它在用户空间监听一个端口，所有服务通过 iptables 转发到这个端口，然后在其内部负载均衡到实际的 Pod。该方式最主要的问题是效率低，有明显的性能瓶颈。

• iptables 模式

目前推荐的方案，完全以 iptables 规则的方式来实现 service 负载均衡。该方式最主要的问题是在服务多的时候产生太多的 iptables 规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题

• IPVS模式

为解决 iptables 模式的性能问题，v1.11 新增了 ipvs 模式（v1.8 开始支持测试版，并在 v1.11 GA），采用增量式更新，并可以保证 service 更新期间连接保持不断开

注意：

使用 ipvs 模式时，需要预先在每台 Node 上加载内核模块

• nf_conntrack_ipv4

• ip_vs
• ip_vs_rr
• ip_vs_wrr
• ip_vs_sh

# load module <module_name>modprobe -- ip_vs
modprobe -- ip_vs_rr
modprobe -- ip_vs_wrr
modprobe -- ip_vs_sh
modprobe -- nf_conntrack_ipv4
# to check loaded modules, uselsmod | grep -e ip_vs -e nf_conntrack_ipv4
# orcut -f1 -d " "  /proc/modules | grep -e ip_vs -e nf_conntrack_ipv4

• kube-proxy 详解_IT小菜鸟@的博客-CSDN博客
• 核心组件 - kube-proxy - 《Kubernetes指南（Kubernetes Handbook）(202005)》 - 书栈网 · BookStack

容器引擎

容器引擎负责运行容器。Kubernetes支持多种容器引擎：Docker(opens new window)、containerd(opens new window)、cri-o(opens new window)、rktlet(opens new window)以及任何实现了 Kubernetes容器引擎接口(opens new window)的容器引擎。

容器运行时（Container Runtime），运行于 k8s 集群的每个节点，负责容器的整个生命周期。k8s 最开始的容器运行时是 Docker, 后来为了适用更多的容器运行时，k8s 提出了 CRI（Container Runtime Interface）容器运行时接口，kubelet 通过 CRI 来与容器运行时通信。

CRI 是 k8s 定义的一组gRPC 服务，kubelet 作为客户端，基于 gRPC 框架，通过Socket 和容器运行时通信。
它包括两类服务：

• 镜像服务：提供下载、检查和删除镜像的远程程序调用。
• 运行时服务：包含用于管理容器生命周期，以及与容器交互的调用的远程程序调用。