Kubernetes 概念

在多部機器上部署應用程式 （使用在 Pod 中部署的容器）

監控容器運作狀態並重新啟動失敗的容器

根據負載向上和向下擴展容器

使用新版本更新容器

在容器之間配置資源

平衡跨機器的流量

Containerized - Kubernetes 是一種容器協同運作工具。若要使用 Kubernetes，您必須先將應用程式容器化。視應用程式類型而定，這可以是一組微服務、批次任務或其他形式。然後，您的應用程式可以利用包含巨大工具生態系統的 Kubernetes 工作流程，其中容器可以儲存為容器登錄檔中的映像，部署到 Kubernetes 叢集，並在可用的節點上執行。您可以在本機電腦上使用 Docker 或其他容器執行時間建置和測試個別容器，然後再將其部署到您的 Kubernetes 叢集。

可擴展 — 如果應用程式的需求超過這些應用程式執行中執行個體的容量，Kubernetes 可以向上擴展。Kubernetes 可以視需要判斷應用程式是否需要更多 CPU 或記憶體，並透過自動擴展可用容量或使用更多現有容量來回應。如果有足夠的運算可以執行更多應用程式執行個體 (水平 Pod Autoscaling)，或在節點層級執行擴展，如果需要增加更多節點來處理增加的容量 (Cluster Autoscaler 或 Karpenter)，則可以在 Pod 層級完成擴展。由於不再需要容量，這些服務可以刪除不必要的 Pod 並關閉不需要的節點。

可用：如果應用程式或節點運作狀態不佳或無法使用，Kubernetes 可以將執行中的工作負載移至另一個可用的節點。您只需刪除工作負載的執行中執行個體或執行工作負載的節點，即可強制問題發生。這裡的底線是，如果工作負載無法再於其他位置執行，則可以在其他位置提出工作負載。

宣告：Kubernetes 使用主動對帳來持續檢查您為叢集宣告的狀態是否符合實際狀態。例如，透過將 Kubernetes 物件套用至叢集，通常透過 YAML 格式的組態檔案，您可以要求 啟動要在叢集上執行的工作負載。您可以稍後將組態變更為執行某些動作，例如使用較新版本的容器或配置更多記憶體。Kubernetes 會執行建立所需狀態所需的動作。這可能包括啟動或關閉節點、停止和重新啟動工作負載，或提取更新的容器。

可編寫 - 由於應用程式通常由多個元件組成，因此您希望能夠同時管理一組這些元件 （通常由多個容器表示）。雖然 Docker Compose 提供直接使用 Docker 的方法，但 Kubernetes Kompose 命令可協助您使用 Kubernetes 執行此操作。如需如何執行此操作的範例，請參閱將 Docker Compose 檔案轉換為 Kubernetes 資源。

可擴展 - 與專屬軟體不同，開放原始碼 Kubernetes 專案旨在讓您以任何您想要的方式擴展 Kubernetes，以滿足您的需求。APIs和組態檔案開放直接修改。建議第三方編寫自己的控制器，以擴展基礎設施和最終使用者 Kubernetes 功能。Webhook 可讓您設定叢集規則，以強制執行政策並適應不斷變化的條件。如需如何擴展 Kubernetes 叢集的更多想法，請參閱擴展 Kubernetes。

可攜式 - 許多組織已在 Kubernetes 上標準化其操作，因為它允許他們以相同的方式管理其所有應用程式需求。開發人員可以使用相同的管道來建置和存放容器化應用程式。然後，這些應用程式可以部署到內部部署、雲端、餐廳point-of-sales終端機或分散在公司遠端網站的 IOT 裝置上執行的 Kubernetes 叢集。其開放原始碼性質可讓人員開發這些特殊的 Kubernetes 分佈，以及管理它們所需的工具。

硬體：如果您沒有可根據您的需求執行 Kubernetes 的硬體，Amazon EKS AWS 等雲端供應商可以節省您的預付成本。使用 Amazon EKS，這表示您可以使用 提供的最佳雲端資源 AWS，包括電腦執行個體 (Amazon Elastic Compute Cloud)、您自己的私有環境 (Amazon VPC)、中央身分和許可管理 (IAM) 和儲存 (Amazon EBS)。 AWS 管理電腦、網路、資料中心，以及執行 Kubernetes 所需的所有其他實體元件。同樣地，您不需要規劃資料中心來處理需求最高的天數的最大容量。對於 Amazon EKS Anywhere 或其他內部部署 Kubernetes 叢集，您需負責管理 Kubernetes 部署中使用的基礎設施，但您仍然可以依賴 AWS 來協助您將 Kubernetes 保持在最新狀態。

控制平面管理 - Amazon EKS 管理 AWS託管 Kubernetes 控制平面的安全性和可用性，負責排程容器、管理應用程式的可用性和其他關鍵任務，讓您可以專注於應用程式工作負載。如果您的叢集中斷， AWS 應該具有將叢集還原為執行中狀態的方法。對於 Amazon EKS Anywhere，您可以自行管理控制平面。

已測試的升級 - 升級叢集時，您可以依賴 Amazon EKS 或 Amazon EKS Anywhere 來提供其 Kubernetes 分佈的已測試版本。

附加元件 - 建置數百個專案來擴展和使用 Kubernetes，您可以將這些專案新增至叢集的基礎設施，或使用這些專案來協助工作負載的執行。 AWS 提供您可以與叢集搭配使用Amazon EKS 附加元件的 ，而不是自行建置和管理這些附加元件。Amazon EKS Anywhere 提供託管套件，其中包含許多熱門開放原始碼專案的建置。因此，您不需要自行建置軟體或管理重要的安全修補程式、錯誤修正或升級。同樣地，如果預設值符合您的需求，則通常只需要極少的這些附加元件組態。擴展叢集 如需使用附加元件擴展叢集的詳細資訊，請參閱 。

受管控制平面 -AWS 確保 Amazon EKS 叢集可用且可擴展，因為它會為您管理控制平面，並讓它跨 AWS 可用區域使用。

節點管理 - 您可以使用受管節點群組 （請參閱使用受管節點群組簡化節點生命週期) 或 Karpenter，讓 Amazon EKS 視需要自動建立節點，而不是手動新增節點。受管節點群組與 Kubernetes Cluster Autoscaling 整合。使用節點管理工具，您可以利用 Spot 執行個體、節點整合和可用性等功能來節省成本，並使用排程功能來設定部署工作負載和選取節點的方式。

叢集聯網 — 使用 CloudFormation 範本，在 Kubernetes 叢集中eksctl設定控制平面和資料平面 （節點） 元件之間的聯網。它也會設定可透過其進行內部和外部通訊的端點。如需詳細資訊，請參閱解密 Amazon EKS 工作者節點的叢集聯網。Amazon EKS 中的 Pod 之間的通訊是使用 Amazon EKS Pod 身分 （請參閱 了解 EKS Pod Identity 如何授予 Pod 對 AWS 服務的存取權) 完成，其提供讓 Pod 利用 AWS 雲端方法來管理登入資料和許可。

附加元件 — Amazon EKS 可讓您不必建置和新增通常用於支援 Kubernetes 叢集的軟體元件。例如，當您從 建立 Amazon EKS 叢集時 AWS Management Console，它會自動新增 Amazon EKS kube-proxy (在 Amazon EKS 叢集kube-proxy中管理)、適用於 Kubernetes 的 Amazon VPC CNI 外掛程式 (使用 Amazon VPC CNI 將 IPs 指派給 Pod) 和 CoreDNS (在 Amazon EKS 叢集中管理 DNS 的 CoreDNS) 附加元件。Amazon EKS 附加元件 如需這些附加元件的詳細資訊，請參閱 ，包括可用的 清單。

與叢集元件 (API 伺服器） 通訊 — API 伺服器 (kube-apiserver) 公開 Kubernetes API，因此可以從叢集內部和外部對叢集提出請求。換言之，新增或變更叢集物件 (Pod、服務、節點等） 的請求可能來自外部命令，例如來自 kubectl執行 Pod 的請求。同樣地，也可以從 API 伺服器向叢集內的元件提出請求，例如查詢 kubelet Pod 狀態的服務。

儲存有關叢集的資料 (etcd 金鑰值存放區） — etcd服務提供追蹤叢集目前狀態的關鍵角色。如果etcd服務變得無法存取，您將無法更新或查詢叢集的狀態，但工作負載會繼續執行一段時間。因此，關鍵叢集通常會一次執行多個負載平衡etcd的服務執行個體，並在資料遺失或損毀時定期備份etcd金鑰值存放區。請注意，在 Amazon EKS 中，預設會自動為您處理。Amazon EKS Anywhere 提供用於加密備份和還原的說明。請參閱 編碼資料模型，以了解 如何etcd管理資料。

排程 Pod 到節點 （排程器） — 在 Kubernetes 中啟動或停止 Pod 的請求會導向 Kubernetes 排程器 (kube-scheduler)。由於叢集可能有多個節點能夠執行 Pod，因此由排程器選擇 Pod 應執行的節點 （如果是複本，則為節點）。如果沒有足夠的可用容量在現有節點上執行請求的 Pod，除非您已進行其他佈建，否則請求將會失敗。這些規定可能包括啟用 受管節點群組 (使用受管節點群組簡化節點生命週期) 或 Karpenter 等服務，這些服務可以自動啟動新節點來處理工作負載。

將元件保持在所需狀態 (Controller Manager) — Kubernetes Controller Manager 會以常駐程式程序 (kube-controller-manager) 執行，以監控叢集的狀態，並變更叢集以重新建立預期狀態。特別是，有數個控制器可監看不同的 Kubernetes 物件，其中包括 statefulset-controller、endpoint-controller、node-controller、 cronjob-controller等。

管理雲端資源 （雲端控制器管理員） — Cloud Controller Manager (cloud-controller-manager) 會處理 Kubernetes 與執行基礎資料中心資源請求的雲端提供者之間的互動。由 Cloud Controller Manager 管理的控制器可包含路由控制器 （用於設定雲端網路路由）、服務控制器 （用於使用雲端負載平衡服務） 和節點生命週期控制器 （用於在整個生命週期中與 Kubernetes 保持節點同步）。

管理每個節點 (kubelet) — API 伺服器會與每個節點上執行的 kubelet 服務進行通訊，以確保節點已正確註冊，且排程器請求的 Pod 正在執行中。kubelet 可以讀取 Pod 資訊清單，並在本機系統上設定 Pod 所需的儲存磁碟區或其他功能。它也可以檢查本機執行中容器的運作狀態。

在節點上執行容器 （容器執行時間） — 每個節點上的容器執行時間會管理指派給節點的每個 Pod 所請求的容器。這表示它可以從適當的登錄檔提取容器映像、執行容器、停止容器，以及回應有關容器的查詢。預設容器執行時間是容器化的。從 Kubernetes 1.24 開始，可做為容器執行時間的 Docker (dockershim) 特殊整合已從 Kubernetes 捨棄。雖然您仍然可以使用 Docker 在本機系統上測試和執行容器，但若要搭配 Kubernetes 使用 Docker，您現在必須在每個節點上安裝 Docker 引擎，才能搭配 Kubernetes 使用。

管理容器之間的聯網 (kube-proxy) — 為了支援 Pod 之間的通訊，Kubernetes 使用稱為 Service 的功能來設定 Pod 網路，以追蹤與這些 Pod 相關聯的 IP 地址和連接埠。kube-proxy 服務會在每個節點上執行，以允許 Pod 之間的通訊進行。

基礎映像 - 基礎容器映像通常是從作業系統檔案系統的最低版本 （例如 Red Hat Enterprise Linux 或 Ubuntu) 或增強的最小系統建置的容器，以提供軟體來執行特定類型的應用程式 （例如 nodejs 或 python 應用程式）。

應用程式軟體 - 您可以將應用程式軟體新增至容器，方法與將其新增至 Linux 系統的方式大致相同。例如，您可以在 Dockerfile 中執行 npm和 yarn 安裝 Java 應用程式，或執行 dnf yum和 安裝 RPM 套件。換句話說，在 Dockerfile 中使用 RUN 命令，您可以執行基礎映像檔案系統中可用的任何命令，以在產生的容器映像內安裝軟體或設定軟體。

指示 — Dockerfile 參考說明您在設定 Dockerfile 時可新增至 Dockerfile 的指示。這些包括用來建置容器本身 (ADD 或本機系統中COPY的檔案） 的指示、識別容器執行時要執行的命令 (CMD 或 ENTRYPOINT)，以及將容器連接到其執行所在的系統 （透過識別USER要執行的 、VOLUME要掛載的本機 或連接埠 EXPOSE)。

儲存 - 停止和刪除執行中的容器時，除非您設定更永久的儲存，否則該容器中的資料儲存會消失。Kubernetes 支援許多不同的儲存類型，並在磁碟區保護下抽象化它們。儲存類型包括 CephFS、NFS、iSCSI 等。您甚至可以從本機電腦使用本機區塊裝置。透過叢集提供的其中一種儲存類型，您可以將儲存磁碟區掛載到容器檔案系統中選取的掛載點。持久性磁碟區是在刪除 Pod 後持續存在的磁碟區，而刪除 Pod 時則會刪除暫時性磁碟區。如果您的叢集管理員為叢集建立不同的儲存類別，您可以選擇使用的儲存體屬性，例如使用後是否刪除或回收磁碟區、是否需要更多空間時是否會擴展，甚至是否符合特定效能需求。

秘密 - 透過將秘密提供給 Pod 規格中的容器，您可以提供這些容器存取檔案系統、資料庫或其他受保護資產所需的許可。金鑰、密碼和字符是可儲存為秘密的項目之一。使用秘密可讓您不必將此資訊存放在容器映像中，而只需要讓秘密可供執行中的容器使用。類似於秘密是 ConfigMaps。ConfigMap 往往會保留較不重要的資訊，例如用於設定服務的鍵/值對。

容器資源 — 用於進一步設定容器的物件可以採用資源組態的形式。對於每個容器，您可以請求其可以使用的記憶體和 CPU 數量，以及限制容器可以使用的那些資源總數量。如需範例，請參閱 Pod 和容器的資源管理。

中斷 – Pod 可能會非自願中斷 （節點故障） 或自願中斷 （需要升級）。透過設定 Pod 中斷預算，您可以對應用程式在中斷發生時保持的可用性進行一些控制。如需範例，請參閱為您的應用程式指定中斷預算。

命名空間 — Kubernetes 提供不同的方法來隔離 Kubernetes 元件和工作負載。在相同命名空間中執行特定應用程式的所有 Pod，是同時保護和管理這些 Pod 的常見方式。您可以建立自己的命名空間來使用，或選擇不指示命名空間 （這會導致 Kubernetes 使用default命名空間）。Kubernetes 控制平面元件通常會在 kube-system 命名空間中執行。

無狀態應用程式 — 無狀態應用程式不會儲存用戶端的工作階段資料，因此另一個工作階段不需要參考先前工作階段發生的情況。如果 Pod 運作狀態不佳或四處移動而不儲存狀態，這可讓您更輕鬆地將 Pod 取代為新的 Pod。如果您執行的是無狀態應用程式 （例如 Web 伺服器），您可以使用 部署來部署 Pod 和 ReplicaSets。ReplicaSet 定義您希望同時執行的 Pod 執行個體數量。雖然您可以直接執行 ReplicaSet，但通常會直接在部署內執行複本，以定義一次應執行多少個 Pod 複本。

具狀態應用程式：具狀態應用程式是 Pod 的身分和啟動 Pod 的順序很重要的應用程式。這些應用程式需要穩定且需要以一致方式部署和擴展的持久性儲存。若要在 Kubernetes 中部署具狀態的應用程式，您可以使用 StatefulSets。通常以 StatefulSet 執行的應用程式範例是資料庫。在 StatefulSet 中，您可以定義複本、Pod 及其容器、要掛載的儲存磁碟區，以及資料存放所在容器中的位置。如需部署為 ReplicaSet 的資料庫範例，請參閱執行複寫狀態應用程式。

每個節點應用程式 — 有時您想要在 Kubernetes 叢集的每個節點上執行應用程式。例如，您的資料中心可能需要每部電腦執行監控應用程式或特定的遠端存取服務。對於 Kubernetes，您可以使用 DaemonSet 來確保所選應用程式在您叢集中的每個節點上執行。

應用程式執行到完成 - 您想要執行一些應用程式來完成特定任務。這可能包括執行每月狀態報告或清除舊資料的報告。任務物件可用來設定應用程式以啟動和執行，然後在任務完成時結束。CronJob 物件可讓您使用 Linux crontab 格式定義的結構，將應用程式設定為在某個特定小時、分鐘、日期、月份或星期幾執行。

服務 - 由於 Pod 可以移動到不同的節點和地址，另一個需要與第一個 Pod 通訊的 Pod 可能會發現很難找到所在位置。為了解決此問題，Kubernetes 可讓您將應用程式表示為服務。使用 服務，您可以識別具有特定名稱的 Pod 或一組 Pod，然後指出哪些連接埠公開該應用程式的 Pod 服務，以及另一個應用程式可以使用哪些連接埠來聯絡該服務。叢集中的另一個 Pod 可以直接依名稱請求服務，Kubernetes 會將該請求導向執行該服務的 Pod 執行個體的適當連接埠。

輸入 - 輸入可讓 Kubernetes Services 表示的應用程式可供叢集外部的用戶端使用。傳入的基本功能包括負載平衡器 （由傳入管理）、傳入控制器，以及將請求從控制器路由至服務的規則。有數個輸入控制器可供您使用 Kubernetes 進行選擇。

開始使用 Amazon EKS – eksctl

建立 Amazon EKS 叢集

在 Linux 上部署範例應用程式

組織和監控叢集資源