从 K8S 的 Cloud Provider 到 CCM 的演进之路

本文涉及的产品
网络型负载均衡 NLB,每月750个小时 15LCU
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
简介: Kubernetes 是一个云原生平台,但为了让 Kubernetes 能够更好地运行在公有云平台上,能够灵活地使用、管理云上其他的基础资源和基础服务,云厂商需要实现自己的适配器。本文详细解读了 Kubernetes 从 Cloud Provider 到 Cloud Controller Mananger(CCM) 的演变过程及其实现细节,希望有助于大家更好地在公有云平台上构建基于 Kubernetes 的容器服务。

Kubernetes 是一个云原生平台,但为了让 Kubernetes 能够更好地运行在公有云平台上,能够灵活地使用、管理云上其他的基础资源和基础服务,云厂商需要实现自己的适配器。本文详细解读了 Kubernetes 从 Cloud Provider 到 Cloud Controller Mananger(CCM) 的演变过程及其实现细节,希望有助于大家更好地在公有云平台上构建基于 Kubernetes 的容 器服务。

Cloud Provider 背景概要

基于 Kubernetes 的容器云

容器云最主要的功能是帮助用户把所有的应用以容器的形式在集群中跑起来。目前很多的容器云平台通过 Docker 及 Kubernetes 等技术给应用提供运行平台,从而实现运维自动化、快速部署应用、弹性伸缩和动态调整应用环境资源,提高研发运营效率。

Cloud Provider 与云厂商

为了更好地让 Kubernetes 在公有云平台上运行,并且提供容器云服务,云厂商需要实现自己的 Cloud Provider,即实现:

cloudprovider.Interface(https://github.com/kubernetes/kubernetes/blob/master/pkg/cloudprovider/cloud.go)。

它是 Kubernetes 中开放给云厂商的通用接口,便于 Kubernetes 自动管理和利用云服务商提供的资源,这些资源包括虚拟机资源、负载均衡服务、弹性公网 IP、存储服务等。

如下图所示,Kubernetes 核心库内置了很多主流云厂商的实现,包括 AWS、GCE、Azure:

Cloud Provider 的重构之路

近几年来, Kubernetes 逐渐成为在私有云、公有云和混合云环境中大规模部署容器化应用的事实标准,以至于越来越多的云厂商加入了进来,而 Cloud Provider 的实现也越来越多。

作为在 Kubernetes 核心库中的代码,这必将影响其快速更新和迭代。 所以产生了把 Cloud Provider 移出 Kubernetes 核心库并进行重构的提案(Refactor Cloud Provider out of Kubernetes Core)。

在 Kubernetes v1.6,引入了 Cloud Controller Manager(CCM),目的就是最终替代 Cloud Provider。截止到最新的 Kubernetes v1.11,还是处于 beta 阶段。

Cloud Provider 解析

Cloud Provider 的作用

在 Kubernetes 中有三个组件对 Cloud Provider 有依赖,分别是:

  • kube-controller-manager

  • kubelet

  • kube-apiserver

这三个组件对 Cloud Provider 的依赖部分会最终编译进相应的二进制中,详细的依赖关系图如下所示:

kube-controller-manager 对于 Cloud Provider 的依赖

kube-controller-manager 对 Cloud Provider 的依赖分布在四个 Controller 中。

  • Node Controller:Node Controller 使用 Cloud Provider 来检查 Node 是否已经在云上被删除了。如果 Cloud Provider 返回有 Node 被删除,那么 Node Controller 立马就会把此 Node 从 Kubernetes 中删除。

  • Route Controller:用来配置 Node 的路由。Kubernetes 容器网络基本原则 [每个 Pod 都拥有一个独立的 IP 地址(IP per Pod),而且假定所有的 Pod 都在一个可以直接连通的、扁平的网络空间中。而在云上,Node 的基础设施是由云厂商提供的,所以 Route Controller 需要调用 Cloud Provider 来配置云上的 Node 的底层路由。]

  • Service Controller:Service Controller 不光维护了当前可用 Node 的列表,而且它同时负责创建、删除、更新类型是 LoadBalancer 的 Service、使用云厂商额外提供的负载均衡服务、弹性公网 IP 等。

  • PersistentVolumeLabel Controller:PersistentVolumeLabel Controller 使用 Cloud Provider 来创建、删除、挂载、卸载 Node 上的卷,这是因为卷也是云厂商额外提供的云存储服务。

kubelet 对于 Cloud Provider 的依赖

kubelet 中的 Node Status 使用 Cloud Provider 来获得 Node 的信息。包括:

  • nodename:运行 kubelet 的节点名字

  • InstanceID, ProviderID, ExternalID, Zone Info(在初始化 kubelet 的时候需要)

  • 周期性同步的 Node 的 IP

kube-apiserver 对于 Cloud Provider 的依赖

kube-apiserver 使用 Cloud Provider 来给所有 Node 派发 SSH Keys。

Cloud Provider 的设计

云厂商在实现自己的 Cloud Provider 时只需要实现 cloudprovider.Interface 即可,如下:

在此重点阐述两个比较重要的接口 LoadBalancer() 与 Routes()。

LoadBalancer() 的接口设计

LoadBalancer() 接口用来为 kube-controller-manager 的 Service Controller 服务,接口说明如下:

Routes() 的接口设计

Routes() 接口用来为 kube-controller-manager 的 Route Controller 服务,接口说明如下:

Cloud Provider 的演变之路

从 Kubernetes v1.6 开始,Kubernetes 的编译产物中多了一个二进制:cloud-controller manager,它就是用来替代 Cloud Provider 。

因为原先的 Cloud Provider 与 Mater 中的组件 kube-controller-manager、kube-apiserver 以及 Node 中的组件 kubelet 耦合很紧密,所以这三个组件也需要进行重构。

kube-controller-manager 的重构策略

kube-controller-manager 中有四个 controller 与 Cloud Provider 相关,相应的重构策略如下:

  • Route Controller

  • 移入 CCM,并在相应的 controller loop 中运行。

  • Service Controller

  • 移入 CCM,并在相应的 controller loop 中运行。

  • PersistentVolumeLabel Controller

  • 移入 CCM,并在相应的 controller loop 中运行。

  • Node Controller

  • 在 CCM 中增加新 controller:Cloud Node Controller。

  • Cloud Node Controller 除了实现原来 Node Controller 的功能外,增加新功能:

    • CIDR 的管理

    • 监控节点的状态

    • 节点 Pod 的驱逐策略

    kube-apiserver 的重构策略

    对于 kube-apiserver 使用 Cloud Provider 的两个功能:

    • 分发 SSH Keys

    • 移入 CCM

    • 对于 PV 的 Admission Controller

    • 在 kubelet 中实现

    kubelet的重构策略

    kubelet 需要增加一个新功能:在 CCM 还未初始化 kubelet 所在节点时,需标记此节点类似“ NotReady ”的状态,防止 scheduler 调度 Pod 到此节点时产生一系列错误。此功能通过给节点加上如下 Taints 并在 CCM 初始化后删去此 Taints 来实现:

    Cloud Controller Manager 解析

    Cloud Controller Manager 架构

    按照上述方法进行重构后,新的模块 Cloud Controller Manager 将作为一个新的组件直接部署在集群内,如下图所示:

    CCM 组件内各小模块的功能与原先 Cloud Provider 的差不多(见第二部分对 Cloud Provider 的解析)。

    对于云厂商来说,需要:

    • 实现 cloudprovider.Interface 接口的功能,这部分在 Cloud Provider 中已经都实现,直接迁移便可。

    • 实现自己的 Cloud Controller Manager,并在部署 Kubernetes 时,把 CCM 按要求部署在集群内(部署时的注意事项及部署参考实践见第五部分)。

    Cloud Controller Manager 实现举例

    Cloud Controller Manager 实现举例如下:

    Cloud Controller Manager 的部署

    总体要求

    • 云厂商提供给 CCM 的 API 需要有认证鉴权机制,防止恶意行为的发生;

    • 因为 CCM 运行在集群内,所以需要 RBAC 规则去跟 kube-apiserver 进行通讯;

    • 为了提高 CCM 的可用,可选择主功能。

    K8S 相关组件的启动配置变化

    将 Cloud Provider 改为 CCM 后,相关组件启动的配置需要修改。

    kube-controller-manager 启动配置变化

    不指定 cloud-provider。

    kube-apiserver 启动配置变化

    • 不指定 cloud-provider

    • 在 admission-control 中删去 PersistentVolumeLabel

    • admission-control 中增加 Initializers

    • runtime-config 中增加 admissionregistration.k8s.io/v1alpha1

    kubelet 启动配置变化

    指定 cloud-provider=external,在 kubelet 被调度之前需要被 CCM 初始化。(Node 会被打上 Taints:node.cloudprovider.kubernetes.io/uninitialized=true:NoSchedule)

    启动 CCM 举例

    启用 initializers 并添加 InitializerConifguration

    CCM 为了给 PV 打标签需要:

    • 启用 initializers

      (https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/#enable-initializers-alpha-feature)

    • 添加 InitializerConifguration:persistent-volume-label-initializer-config.yaml 如下:

    创建 CCM 的 RBAC

    启动 CCM

    可以通过 DaemonSet 或者 Deployment 的方式启动 CCM:

    本文转自掘金-从 K8S 的 Cloud Provider 到 CCM 的演进之路

    相关实践学习
    通过Ingress进行灰度发布
    本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
    容器应用与集群管理
    欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
    相关文章
    |
    负载均衡 Cloud Native Java
    【云原生】Spring Cloud Alibaba 之 Gateway 服务网关实战开发
    【云原生】Spring Cloud Alibaba 之 Gateway 服务网关实战开发
    2249 0
    |
    消息中间件 SpringCloudAlibaba 监控
    SpringCloud Alibaba微服务解决方案
    SpringCloud Alibaba微服务解决方案
    702 0
    SpringCloud Alibaba微服务解决方案
    |
    1月前
    |
    Java Nacos Sentinel
    Spring Cloud Alibaba:一站式微服务解决方案
    Spring Cloud Alibaba(简称SCA) 是一个基于 Spring Cloud 构建的开源微服务框架,专为解决分布式系统中的服务治理、配置管理、服务发现、消息总线等问题而设计。
    330 13
    Spring Cloud Alibaba:一站式微服务解决方案
    |
    SpringCloudAlibaba 安全 Java
    SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0
    SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0
    376 0
    |
    Kubernetes Java 应用服务中间件
    Spring Cloud Alibaba - 01漫谈传统架构和微服务架构
    Spring Cloud Alibaba - 01漫谈传统架构和微服务架构
    132 0
    |
    Go 网络架构
    Cloud Foundry 2. 核心概念
    Cloud Foundry 2. 核心概念
    Cloud Foundry 2. 核心概念
    |
    自然语言处理 运维 Kubernetes
    Spring Cloud 应用 Proxyless Mesh 模式探索与实践
    本文通过一个 Demo 演示了 SpringCloud 应用通过接入MSE服务治理之后,无需修改任意代码就能具备 Proxyless Mesh的能力,当前 MSE 服务治理支持还有些限制,在持续补充完善中。
    Spring Cloud 应用 Proxyless Mesh 模式探索与实践
    |
    消息中间件 Dubbo Java
    Spring Cloud Alibaba 微服务体系| 学习笔记
    快速学习 Spring Cloud Alibaba 微服务体系。
    Spring Cloud Alibaba 微服务体系| 学习笔记
    |
    消息中间件 存储 容灾
    Spring Cloud Alibaba x AppActive 带来了全新异地多活解决方案
    在未来,如果说 Spring Cloud Alibaba 过去的第一阶段工作是丰富 Spring Cloud 生态,让广大外部用户能够轻松地拥抱微服务。在第二阶段,Spring Cloud Alibaba会通过自身的努力让外部的用户用好微服务,构建微服务治理和业务高可用相关能力,满足用户在微服务使用过程中的这些更高层次的诉求。具体的话比如通过全面支持RocketMQ 5.0和Sentinel 2.0等带来更丰富的中间件使用体验,投入力量构建Spring Cloud生态的微服务治理(标签路由,服务鉴权以及全链路灰度等)和分布式任务调度等方面能力。欢迎感兴趣的同学扫描下放二维码加入社区交流群
    Spring Cloud Alibaba x AppActive 带来了全新异地多活解决方案
    |
    存储 Java 文件存储
    微服务学习笔记九 Spring Cloud Config本地配置中心
    微服务学习笔记九 Spring Cloud Config本地配置中心
    543 0