協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Kubernetes 概念
Amazon Elastic Kubernetes Service (Amazon EKS) 是以開放原始碼 Kubernetes
此頁面將 Kubernetes 概念分為三個部分:為什麼選擇 Kubernetes?、 叢集和 工作負載。第一節說明執行 Kubernetes 服務的價值,特別是 Amazon EKS 等受管服務。工作負載區段涵蓋如何建置、存放、執行和管理 Kubernetes 應用程式。叢集區段會列出組成 Kubernetes 叢集的不同元件,以及您建立和維護 Kubernetes 叢集的責任。
當您瀏覽此內容時,連結將引導您進一步描述 Amazon EKS 和 Kubernetes 文件中的 Kubernetes 概念,以防您想要深入了解我們在此涵蓋的任何主題。如需 Amazon EKS 如何實作 Kubernetes 控制平面和運算功能的詳細資訊,請參閱 Amazon EKS 架構。
為什麼選擇 Kubernetes?
Kubernetes 旨在改善執行關鍵任務、生產品質容器化應用程式的可用性和可擴展性。Kubernetes 不只是在單一機器上執行 Kubernetes (雖然可以),而是可讓您跨可擴展或收縮以滿足需求的一組電腦執行應用程式來實現這些目標。Kubernetes 包含的功能可讓您更輕鬆地:
-
在多部機器上部署應用程式 (使用在 Pod 中部署的容器)
-
監控容器運作狀態並重新啟動失敗的容器
-
根據負載向上和向下擴展容器
-
使用新版本更新容器
-
在容器之間配置資源
-
平衡跨機器的流量
讓 Kubernetes 自動化這些類型的複雜任務,可讓應用程式開發人員專注於建置和改善其應用程式工作負載,而不必擔心基礎設施。開發人員通常會建立組態檔案,格式為 YAML 檔案,描述應用程式的所需狀態。這可能包括要執行的容器、資源限制、Pod 複本數量、CPU/記憶體配置、親和性規則等。
Kubernetes 的屬性
為了實現其目標,Kubernetes 具有下列屬性:
-
Containerized - Kubernetes 是一種容器協同運作工具。若要使用 Kubernetes,您必須先將應用程式容器化。視應用程式類型而定,這可以是一組微服務、批次任務或其他形式。然後,您的應用程式可以利用包含巨大工具生態系統的 Kubernetes 工作流程,其中容器可以儲存為容器登錄檔中的映像
,部署到 Kubernetes 叢集 ,並在可用的節點 上執行。您可以在本機電腦上使用 Docker 或其他容器執行時間建置和測試個別容器 ,然後再將其部署到您的 Kubernetes 叢集。 -
可擴展 — 如果應用程式的需求超過這些應用程式執行中執行個體的容量,Kubernetes 可以向上擴展。Kubernetes 可以視需要判斷應用程式是否需要更多 CPU 或記憶體,並透過自動擴展可用容量或使用更多現有容量來回應。如果有足夠的運算可以執行更多應用程式執行個體 (水平 Pod Autoscaling
),或在節點層級執行擴展,如果需要增加更多節點來處理增加的容量 (Cluster Autoscaler 或 Karpenter ),則可以在 Pod 層級完成擴展。由於不再需要容量,這些服務可以刪除不必要的 Pod 並關閉不需要的節點。 -
可用:如果應用程式或節點運作狀態不佳或無法使用,Kubernetes 可以將執行中的工作負載移至另一個可用的節點。您只需刪除工作負載的執行中執行個體或執行工作負載的節點,即可強制問題發生。這裡的底線是,如果工作負載無法再於其他位置執行,則可以在其他位置提出工作負載。
-
宣告:Kubernetes 使用主動對帳來持續檢查您為叢集宣告的狀態是否符合實際狀態。例如,透過將 Kubernetes 物件
套用至叢集,通常透過 YAML 格式的組態檔案,您可以要求 啟動要在叢集上執行的工作負載。您可以稍後將組態變更為執行某些動作,例如使用較新版本的容器或配置更多記憶體。Kubernetes 會執行建立所需狀態所需的動作。這可能包括啟動或關閉節點、停止和重新啟動工作負載,或提取更新的容器。 -
可編寫 - 由於應用程式通常由多個元件組成,因此您希望能夠同時管理一組這些元件 (通常由多個容器表示)。雖然 Docker Compose 提供直接使用 Docker 的方法,但 Kubernetes Kompose
命令可協助您使用 Kubernetes 執行此操作。如需如何執行此操作的範例,請參閱將 Docker Compose 檔案轉換為 Kubernetes 資源 。 -
可擴展 - 與專屬軟體不同,開放原始碼 Kubernetes 專案旨在讓您以任何您想要的方式擴展 Kubernetes,以滿足您的需求。APIs和組態檔案開放直接修改。建議第三方編寫自己的控制器
,以擴展基礎設施和最終使用者 Kubernetes 功能。Webhook 可讓您設定叢集規則,以強制執行政策並適應不斷變化的條件。如需如何擴展 Kubernetes 叢集的更多想法,請參閱擴展 Kubernetes 。 -
可攜式 - 許多組織已在 Kubernetes 上標準化其操作,因為它允許他們以相同的方式管理其所有應用程式需求。開發人員可以使用相同的管道來建置和存放容器化應用程式。然後,這些應用程式可以部署到內部部署、雲端、餐廳point-of-sales終端機或分散在公司遠端網站的 IOT 裝置上執行的 Kubernetes 叢集。其開放原始碼性質可讓人員開發這些特殊的 Kubernetes 分佈,以及管理它們所需的工具。
管理 Kubernetes
Kubernetes 原始程式碼是免費的,因此您可以使用自己的設備自行安裝和管理 Kubernetes。不過,自我管理 Kubernetes 需要深入的營運專業知識,並需要時間和精力來維護。基於這些原因,大多數部署生產工作負載的人員都會選擇雲端供應商 (例如 Amazon EKS) 或內部部署供應商 (例如 Amazon EKS Anywhere),並擁有其經過測試的 Kubernetes 分佈和 Kubernetes 專家的支援。這可讓您卸載維護叢集所需的大部分未差異化繁重工作,包括:
-
硬體:如果您沒有可根據您的需求執行 Kubernetes 的硬體,Amazon EKS AWS 等雲端供應商可以節省您的預付成本。使用 Amazon EKS,這表示您可以使用 提供的最佳雲端資源 AWS,包括電腦執行個體 (Amazon Elastic Compute Cloud)、您自己的私有環境 (Amazon VPC)、中央身分和許可管理 (IAM) 和儲存 (Amazon EBS)。 AWS 管理電腦、網路、資料中心,以及執行 Kubernetes 所需的所有其他實體元件。同樣地,您不需要規劃資料中心來處理需求最高的天數的最大容量。對於 Amazon EKS Anywhere 或其他內部部署 Kubernetes 叢集,您需負責管理 Kubernetes 部署中使用的基礎設施,但您仍然可以依賴 AWS 來協助您將 Kubernetes 保持在最新狀態。
-
控制平面管理 - Amazon EKS 管理 AWS託管 Kubernetes 控制平面的安全性和可用性,負責排程容器、管理應用程式的可用性和其他關鍵任務,讓您可以專注於應用程式工作負載。如果您的叢集中斷, AWS 應該具有將叢集還原為執行中狀態的方法。對於 Amazon EKS Anywhere,您可以自行管理控制平面。
-
已測試的升級 - 升級叢集時,您可以依賴 Amazon EKS 或 Amazon EKS Anywhere 來提供其 Kubernetes 分佈的已測試版本。
-
附加元件 - 建置數百個專案來擴展和使用 Kubernetes,您可以將這些專案新增至叢集的基礎設施,或使用這些專案來協助工作負載的執行。 AWS 提供您可以與叢集搭配使用Amazon EKS 附加元件的 ,而不是自行建置和管理這些附加元件。Amazon EKS Anywhere 提供託管套件
,其中包含許多熱門開放原始碼專案的建置。因此,您不需要自行建置軟體或管理重要的安全修補程式、錯誤修正或升級。同樣地,如果預設值符合您的需求,則通常只需要極少的這些附加元件組態。擴展叢集 如需使用附加元件擴展叢集的詳細資訊,請參閱 。
Kubernetes 運作中
下圖顯示您身為 Kubernetes Admin 或 Application Developer 要建立和使用 Kubernetes 叢集的關鍵活動。在此過程中,它會說明 Kubernetes 元件如何彼此互動,使用 AWS 雲端做為基礎雲端供應商的範例。

Kubernetes Admin 會使用要建置叢集的提供者類型專用的工具來建立 Kubernetes 叢集。此範例使用 AWS 雲端做為提供者,提供稱為 Amazon EKS 的受管 Kubernetes 服務。受管服務會自動配置建立叢集所需的資源,包括為叢集建立兩個新的虛擬私有雲端 (Amazon VPCs)、設定聯網,以及將 Kubernetes 許可直接映射至新的 VPCs以進行雲端資產管理。受管服務也會看到控制平面服務具有執行和配置零個或多個 Amazon EC2 執行個體做為執行工作負載的 Kubernetes 節點的位置。 AWS 會管理控制平面的一個 Amazon VPC 本身,而另一個 Amazon VPC 包含執行工作負載的客戶節點。
許多 Kubernetes Admin 接下來的任務都是使用 Kubernetes 工具來完成,例如 kubectl
。該工具會直接向叢集的控制平面提出服務請求。然後,對叢集進行查詢和變更的方式與您在任何 Kubernetes 叢集上進行查詢和變更的方式非常類似。
想要將工作負載部署到此叢集的應用程式開發人員可以執行數個任務。開發人員需要將應用程式建置到一或多個容器映像中,然後將這些映像推送到 Kubernetes 叢集可存取的容器登錄檔。 為該目的 AWS 提供 Amazon Elastic Container Registry (Amazon ECR)。
若要執行應用程式,開發人員可以建立 YAML 格式的組態檔案,告訴叢集如何執行應用程式,包括要從登錄檔提取哪些容器,以及如何在 Pod 中包裝這些容器。控制平面 (排程器) 會將容器排程至一或多個節點,而每個節點上的容器執行時間實際上會提取並執行所需的容器。開發人員也可以設定應用程式負載平衡器,以平衡每個節點上執行之可用容器的流量,並公開應用程式,使其可在公有網路上供外界使用。完成後,想要使用應用程式的人可以連線到應用程式端點來存取它。
從 Kubernetes 叢集和工作負載的角度來看,以下各節說明這些功能的詳細資訊。
叢集
如果您的任務是啟動和管理 Kubernetes 叢集,您應該知道如何建立、增強、管理和刪除 Kubernetes 叢集。您也應該知道組成叢集的元件是什麼,以及您需要做什麼來維護這些元件。
用於管理叢集的工具可處理 Kubernetes 服務和基礎硬體提供者之間的重疊。因此,Kubernetes 供應商 (例如 Amazon EKS 或 Amazon EKS Anywhere) 通常會使用供應商專用的工具來完成這些任務的自動化。例如,若要啟動 Amazon EKS 叢集,您可以使用 eksctl create cluster
,而對於 Amazon EKS Anywhere,您可以使用 eksctl anywhere create cluster
。請注意,當這些命令建立 Kubernetes 叢集時,它們是提供者特有的,不屬於 Kubernetes 專案本身。
叢集建立和管理工具
Kubernetes 專案提供手動建立 Kubernetes 叢集的工具。因此,如果您想要在單一機器上安裝 Kubernetes,或在機器上執行控制平面並手動新增節點,您可以使用 Kubernetes 安裝
在 AWS 雲端中,您可以使用 CLI 工具建立 Amazon EKS 叢集,例如 eksctl
-
受管控制平面 -AWS 確保 Amazon EKS 叢集可用且可擴展,因為它會為您管理控制平面,並讓它跨 AWS 可用區域使用。
-
節點管理 - 您可以使用受管節點群組 (請參閱使用受管節點群組簡化節點生命週期) 或 Karpenter
,讓 Amazon EKS 視需要自動建立節點,而不是手動新增節點。受管節點群組與 Kubernetes Cluster Autoscaling 整合。使用節點管理工具,您可以利用 Spot 執行個體、節點整合和可用性等功能來節省成本,並使用排程 功能來設定部署工作負載和選取節點的方式。 -
叢集聯網 — 使用 CloudFormation 範本,在 Kubernetes 叢集中
eksctl
設定控制平面和資料平面 (節點) 元件之間的聯網。它也會設定可透過其進行內部和外部通訊的端點。如需詳細資訊,請參閱解密 Amazon EKS 工作者節點的叢集聯網。Amazon EKS 中的 Pod 之間的通訊是使用 Amazon EKS Pod 身分 (請參閱 了解 EKS Pod Identity 如何授予 Pod 對 AWS 服務的存取權) 完成,其提供讓 Pod 利用 AWS 雲端方法來管理登入資料和許可。 -
附加元件 — Amazon EKS 可讓您不必建置和新增通常用於支援 Kubernetes 叢集的軟體元件。例如,當您從 建立 Amazon EKS 叢集時 AWS Management Console,它會自動新增 Amazon EKS kube-proxy (在 Amazon EKS 叢集kube-proxy中管理)、適用於 Kubernetes 的 Amazon VPC CNI 外掛程式 (使用 Amazon VPC CNI 將 IPs 指派給 Pod) 和 CoreDNS (在 Amazon EKS 叢集中管理 DNS 的 CoreDNS) 附加元件。Amazon EKS 附加元件 如需這些附加元件的詳細資訊,請參閱 ,包括可用的 清單。
若要在您自己的現場部署電腦和網路上執行叢集,Amazon 提供 Amazon EKS Anywhere
Amazon EKS Anywhere 是以 Amazon EKS 所使用的相同 Amazon EKS Distroetcd
稍後部分)。
叢集元件
Kubernetes 叢集元件分為兩個主要領域:控制平面和工作者節點。控制平面元件
控制平台
控制平面包含一組管理叢集的服務。這些服務可能全都在單一電腦上執行,也可能分散在多部電腦上。在內部,這些稱為控制平面執行個體 (CPIs)。CPIs 的執行方式取決於叢集的大小和高可用性的需求。隨著叢集的需求增加,控制平面服務可以擴展以提供該服務的更多執行個體,並在執行個體之間負載平衡請求。
Kubernetes 控制平面的元件執行的任務包括:
-
與叢集元件 (API 伺服器) 通訊 — API 伺服器 (kube-apiserver
) 公開 Kubernetes API,因此可以從叢集內部和外部對叢集提出請求。換言之,新增或變更叢集物件 (Pod、服務、節點等) 的請求可能來自外部命令,例如來自 kubectl
執行 Pod 的請求。同樣地,也可以從 API 伺服器向叢集內的元件提出請求,例如查詢kubelet
Pod 狀態的服務。 -
儲存有關叢集的資料 (
etcd
金鑰值存放區) —etcd
服務提供追蹤叢集目前狀態的關鍵角色。如果etcd
服務變得無法存取,您將無法更新或查詢叢集的狀態,但工作負載會繼續執行一段時間。因此,關鍵叢集通常會一次執行多個負載平衡etcd
的服務執行個體,並在資料遺失或損毀時定期備份etcd
金鑰值存放區。請注意,在 Amazon EKS 中,預設會自動為您處理。Amazon EKS Anywhere 提供用於加密備份和還原的說明。請參閱 編碼資料模型 ,以了解 如何 etcd
管理資料。 -
排程 Pod 到節點 (排程器) — 在 Kubernetes 中啟動或停止 Pod 的請求會導向 Kubernetes 排程器
(kube-scheduler )。由於叢集可能有多個節點能夠執行 Pod,因此由排程器選擇 Pod 應執行的節點 (如果是複本,則為節點)。如果沒有足夠的可用容量在現有節點上執行請求的 Pod,除非您已進行其他佈建,否則請求將會失敗。這些規定可能包括啟用 受管節點群組 (使用受管節點群組簡化節點生命週期) 或 Karpenter 等服務,這些服務可以自動啟動新節點來處理工作負載。 -
將元件保持在所需狀態 (Controller Manager) — Kubernetes Controller Manager 會以常駐程式程序 (kube-controller-manager
) 執行,以監控叢集的狀態,並變更叢集以重新建立預期狀態。特別是,有數個控制器可監看不同的 Kubernetes 物件,其中包括 statefulset-controller
、endpoint-controller
、node-controller
、cronjob-controller
等。 -
管理雲端資源 (雲端控制器管理員) — Cloud Controller Manager
(cloud-controller-manager ) 會處理 Kubernetes 與執行基礎資料中心資源請求的雲端提供者之間的互動。由 Cloud Controller Manager 管理的控制器可包含路由控制器 (用於設定雲端網路路由)、服務控制器 (用於使用雲端負載平衡服務) 和節點生命週期控制器 (用於在整個生命週期中與 Kubernetes 保持節點同步)。
工作者節點 (資料平面)
對於單一節點 Kubernetes 叢集,工作負載會在與控制平面相同的機器上執行。不過,較標準的組態是擁有一或多個獨立的電腦系統 (節點
當您第一次建立 Kubernetes 叢集時,有些叢集建立工具可讓您設定要新增至叢集的特定數量節點 (透過識別現有的電腦系統或讓供應商建立新的節點)。將任何工作負載新增至這些系統之前,服務會新增至每個節點,以實作這些功能:
-
管理每個節點 (
kubelet
) — API 伺服器會與每個節點上執行的 kubelet服務進行通訊,以確保節點已正確註冊,且排程器請求的 Pod 正在執行中。kubelet 可以讀取 Pod 資訊清單,並在本機系統上設定 Pod 所需的儲存磁碟區或其他功能。它也可以檢查本機執行中容器的運作狀態。 -
在節點上執行容器 (容器執行時間) — 每個節點上的容器執行時間
會管理指派給節點的每個 Pod 所請求的容器。這表示它可以從適當的登錄檔提取容器映像、執行容器、停止容器,以及回應有關容器的查詢。預設容器執行時間是容器化的 。從 Kubernetes 1.24 開始,可做為容器執行時間的 Docker ( dockershim
) 特殊整合已從 Kubernetes 捨棄。雖然您仍然可以使用 Docker 在本機系統上測試和執行容器,但若要搭配 Kubernetes 使用 Docker,您現在必須在每個節點上安裝 Docker 引擎,才能搭配 Kubernetes 使用。 -
管理容器之間的聯網 (
kube-proxy
) — 為了支援 Pod 之間的通訊,Kubernetes 使用稱為 Service的功能來設定 Pod 網路,以追蹤與這些 Pod 相關聯的 IP 地址和連接埠。kube-proxy 服務會在每個節點上執行,以允許 Pod 之間的通訊進行。
擴展叢集
有些服務可以新增至 Kubernetes 以支援叢集,但無法在控制平面中執行。這些服務通常直接在 kube-system 命名空間或其本身命名空間的節點上執行 (如同第三方服務供應商一般)。常見的範例是 CoreDNS 服務,它為叢集提供 DNS 服務。如需如何查看叢集上哪些叢集服務正在 kube-system 中執行的資訊,請參閱探索內建
您可以考慮將不同類型的附加元件新增至叢集。為了保持叢集正常運作,您可以新增可觀測性功能 (請參閱 監控叢集效能並檢視日誌),讓您執行記錄、稽核和指標等操作。透過此資訊,您通常可以透過相同的可觀測性界面對發生的問題進行故障診斷。這些類型的服務範例包括 Amazon GuardDuty、CloudWatch (請參閱 使用 Amazon CloudWatch 監控叢集資料)、AWS Ditro for OpenTelemetry
如需可用 Amazon EKS 附加元件的更完整清單,請參閱 Amazon EKS 附加元件。
工作負載
Kubernetes 將工作負載
容器
您在 Kubernetes 中部署和管理的應用程式工作負載最基本的元素是 Pod
由於 Pod 是最小的可部署單位,因此通常會保留單一容器。不過,在容器緊密耦合的情況下,多個容器可以在 Pod 中。例如,Web 伺服器容器可能封裝在具有附屬
Pod 規格 (PodSpec
雖然 Pod 是您部署的最小單位,但容器是您建置和管理的最小單位。
建置容器
Pod 實際上只是一或多個容器周圍的結構,每個容器本身都保存檔案系統、可執行檔、組態檔案、程式庫和其他元件,以實際執行應用程式。由於一家名為 Docker Inc. 的公司第一次熱門容器,因此某些人將容器稱為 Docker Containers。不過,Open Container Initiative
當您建置容器時,通常會以 Dockerfile (原名) 開頭。在該 Dockerfile 中,您可以識別:
-
基礎映像 - 基礎容器映像通常是從作業系統檔案系統的最低版本 (例如 Red Hat Enterprise Linux
或 Ubuntu ) 或增強的最小系統建置的容器,以提供軟體來執行特定類型的應用程式 (例如 nodejs 或 python 應用程式)。 -
應用程式軟體 - 您可以將應用程式軟體新增至容器,方法與將其新增至 Linux 系統的方式大致相同。例如,您可以在 Dockerfile 中執行
npm
和yarn
安裝 Java 應用程式,或執行dnf
yum
和 安裝 RPM 套件。換句話說,在 Dockerfile 中使用 RUN 命令,您可以執行基礎映像檔案系統中可用的任何命令,以在產生的容器映像內安裝軟體或設定軟體。 -
指示 — Dockerfile 參考
說明您在設定 Dockerfile 時可新增至 Dockerfile 的指示。這些包括用來建置容器本身 ( ADD
或本機系統中COPY
的檔案) 的指示、識別容器執行時要執行的命令 (CMD
或ENTRYPOINT
),以及將容器連接到其執行所在的系統 (透過識別USER
要執行的 、VOLUME
要掛載的本機 或連接埠EXPOSE
)。
雖然docker
命令和服務傳統上已用於建置容器 (docker build
),但可用於建置容器映像的其他工具包括 Podman
儲存容器
建置容器映像後,您可以將其存放在工作站的容器分佈登錄
若要以更公開的方式存放容器映像,您可以將它們推送至公有容器登錄檔。公有容器登錄檔提供集中位置,用於存放和分發容器映像。公有容器登錄檔的範例包括 Amazon Elastic Container Registry
在 Amazon Elastic Kubernetes Service (Amazon EKS) 上執行容器化工作負載時,我們建議提取存放在 Amazon Elastic Container Registry 中的 Docker 官方映像複本。Amazon ECR 自 2021 以來一直存放這些映像。您可以在 Amazon ECR Public Gallery
執行容器
由於容器是以標準格式建置,因此容器可以在可執行容器執行時間 (例如 Docker) 且其內容符合本機電腦架構 (例如 x86_64
或 ) 的任何機器上執行arm
。若要測試容器或在本機桌面上執行容器,您可以使用 docker run
或 podman run
命令在 localhost 上啟動容器。不過,對於 Kubernetes,每個工作者節點都有部署的容器執行期,並且可以由 Kubernetes 請求節點執行容器。
指派容器在節點上執行後,節點會查看節點上是否已存在請求的容器映像版本。如果沒有,Kubernetes 會告知容器執行期從適當的容器登錄檔提取該容器,然後在本機執行該容器。請記住,容器映像是指在筆記型電腦、容器登錄檔和 Kubernetes 節點之間移動的軟體套件。容器是指該映像的執行中執行個體。
Pod
容器準備就緒後,使用 Pod 包括設定、部署和讓 Pod 可存取。
設定 Pod
當您定義 Pod 時,您會為其指派一組屬性。這些屬性必須至少包含 Pod 名稱和要執行的容器映像。不過,您還需要使用 Pod 定義設定許多其他項目 (請參閱 PodSpec
-
儲存 - 停止和刪除執行中的容器時,除非您設定更永久的儲存,否則該容器中的資料儲存會消失。Kubernetes 支援許多不同的儲存類型,並在磁碟區
保護下抽象化它們。儲存類型包括 CephFS 、NFS 、iSCSI 等。您甚至可以從本機電腦使用本機區塊裝置 。透過叢集提供的其中一種儲存類型,您可以將儲存磁碟區掛載到容器檔案系統中選取的掛載點。持久性磁碟 區是在刪除 Pod 後持續存在的磁碟區,而刪除 Pod 時則會刪除暫時性磁碟區 。如果您的叢集管理員為叢集建立不同的儲存類別 ,您可以選擇使用的儲存體屬性,例如使用後是否刪除或回收磁碟區、是否需要更多空間時是否會擴展,甚至是否符合特定效能需求。 -
秘密 - 透過將秘密
提供給 Pod 規格中的容器,您可以提供這些容器存取檔案系統、資料庫或其他受保護資產所需的許可。金鑰、密碼和字符是可儲存為秘密的項目之一。使用秘密可讓您不必將此資訊存放在容器映像中,而只需要讓秘密可供執行中的容器使用。類似於秘密是 ConfigMaps 。 ConfigMap
往往會保留較不重要的資訊,例如用於設定服務的鍵/值對。 -
容器資源 — 用於進一步設定容器的物件可以採用資源組態的形式。對於每個容器,您可以請求其可以使用的記憶體和 CPU 數量,以及限制容器可以使用的那些資源總數量。如需範例,請參閱 Pod 和容器的資源管理
。 -
中斷 – Pod 可能會非自願中斷 (節點故障) 或自願中斷 (需要升級)。透過設定 Pod 中斷預算
,您可以對應用程式在中斷發生時保持的可用性進行一些控制。如需範例,請參閱為您的應用程式指定中斷預算 。 -
命名空間 — Kubernetes 提供不同的方法來隔離 Kubernetes 元件和工作負載。在相同命名空間
中執行特定應用程式的所有 Pod,是同時保護和管理這些 Pod 的常見方式。您可以建立自己的命名空間來使用,或選擇不指示命名空間 (這會導致 Kubernetes 使用 default
命名空間)。Kubernetes 控制平面元件通常會在 kube-system命名空間中執行。
剛才描述的組態通常會在要套用至 Kubernetes 叢集的 YAML 檔案中收集在一起。對於個人 Kubernetes 叢集,您可能只會將這些 YAML 檔案存放在本機系統上。不過,透過更關鍵的叢集和工作負載,GitOps
用來收集和部署 Pod 資訊的物件是由下列其中一種部署方法定義。
部署 Pod
您選擇的部署 Pod 方法取決於您計劃搭配這些 Pod 執行的應用程式類型。以下是您的一些選擇:
-
無狀態應用程式 — 無狀態應用程式不會儲存用戶端的工作階段資料,因此另一個工作階段不需要參考先前工作階段發生的情況。如果 Pod 運作狀態不佳或四處移動而不儲存狀態,這可讓您更輕鬆地將 Pod 取代為新的 Pod。如果您執行的是無狀態應用程式 (例如 Web 伺服器),您可以使用 部署
來部署 Pod 和 ReplicaSets 。ReplicaSet 定義您希望同時執行的 Pod 執行個體數量。雖然您可以直接執行 ReplicaSet,但通常會直接在部署內執行複本,以定義一次應執行多少個 Pod 複本。 -
具狀態應用程式:具狀態應用程式是 Pod 的身分和啟動 Pod 的順序很重要的應用程式。這些應用程式需要穩定且需要以一致方式部署和擴展的持久性儲存。若要在 Kubernetes 中部署具狀態的應用程式,您可以使用 StatefulSets
。通常以 StatefulSet 執行的應用程式範例是資料庫。在 StatefulSet 中,您可以定義複本、Pod 及其容器、要掛載的儲存磁碟區,以及資料存放所在容器中的位置。如需部署為 ReplicaSet 的資料庫範例,請參閱執行複寫狀態應用程式 。 -
每個節點應用程式 — 有時您想要在 Kubernetes 叢集的每個節點上執行應用程式。例如,您的資料中心可能需要每部電腦執行監控應用程式或特定的遠端存取服務。對於 Kubernetes,您可以使用 DaemonSet
來確保所選應用程式在您叢集中的每個節點上執行。 -
應用程式執行到完成 - 您想要執行一些應用程式來完成特定任務。這可能包括執行每月狀態報告或清除舊資料的報告。任務
物件可用來設定應用程式以啟動和執行,然後在任務完成時結束。CronJob 物件可讓您使用 Linux crontab 格式定義的結構,將應用程式設定為在某個特定小時、分鐘、日期、月份或星期幾執行。
讓應用程式可從網路存取
隨著應用程式通常部署為一組移動到不同位置的微服務,Kubernetes 需要一種方法來讓這些微服務能夠互相尋找。此外,若要讓其他人存取 Kubernetes 叢集以外的應用程式,Kubernetes 需要一種方式,以在外部地址和連接埠上公開該應用程式。這些聯網相關功能分別由服務和輸入物件完成:
-
服務 - 由於 Pod 可以移動到不同的節點和地址,另一個需要與第一個 Pod 通訊的 Pod 可能會發現很難找到所在位置。為了解決此問題,Kubernetes 可讓您將應用程式表示為服務
。使用 服務,您可以識別具有特定名稱的 Pod 或一組 Pod,然後指出哪些連接埠公開該應用程式的 Pod 服務,以及另一個應用程式可以使用哪些連接埠來聯絡該服務。叢集中的另一個 Pod 可以直接依名稱請求服務,Kubernetes 會將該請求導向執行該服務的 Pod 執行個體的適當連接埠。 -
輸入 - 輸入
可讓 Kubernetes Services 表示的應用程式可供叢集外部的用戶端使用。傳入的基本功能包括負載平衡器 (由傳入管理)、傳入控制器,以及將請求從控制器路由至服務的規則。有數個輸入控制器 可供您使用 Kubernetes 進行選擇。
後續步驟
了解基本的 Kubernetes 概念以及它們與 Amazon EKS 的關聯,將協助您導覽 Amazon EKS 文件和 Kubernetes 文件