摘要：k8s高可用主要是对master节点组件高可用；其中apiserver高可用的逻辑就是通过启用多个实例来对apiserver做高可用；apiserver从某种角度讲它应该是一个有状态服务，但为了降低apiserver的复杂性，apiserver将数据存储到etcd中，从而使得apiserver从有状态服务变成了一个无状态服务；所以高可用apiserver我们只需要启用多个实例通过一个负载均衡器来反向代理多个apiserver，客户端和node的节点的kubelet通过负载均衡器来连接apiserver即可；对于controller-manager、scheduler这两个组件来说，高可用的逻辑也是启用多个实例来实现的，不同与apiserver，这两个组件由于工作逻辑的独特性，一个k8s集群中有且只有一个controller-manager和scheduler在工作，所以启动多个实例它们必须工作在主备模式，即一个active，多个backup的模式； 阅读全文

摘要：apiserver认证和准入控制过程，用户通过https将管理集群的请求发送给apiserver，apiserver收到对应请求后，首先会验证用户的身份信息以及合法性；这个认证主要通过用户提供的证书信息；如果用户提供的证书信息apiserver能够再etcd中完全匹配到对应信息，那么apiserver会认为该用户是一个合法的用户；除此之外，apiserver还会对用户提交的资源请求进行准入控制，所谓准入控制是指对应用户提交的资源请求做语法格式检查，如果用户提交的请求，不满足apiserver中各api的格式或语法定义，则对应请求同样会被禁止，只有通过了apiserver的认证和准入控制规则以后，对应资源请求才会通过apiserver存入etcd中或从etcd中获取，然后被其他组件通过watch机制去发现与自己相关的消息事件，从而完成用户的资源请求； 阅读全文

摘要：containerd的命令⾏客户端有ctr、crictl、nerdctl等，containerd相⽐docker多了⼀个命名空间的逻辑概念，⾃身的命令⾏客户端ctr命令默认是在default命名空间⾥、nerdctl也是在default，当使⽤crictl命令的时候，是在k8s.io这个命名空间，⽽k8s的创建的pod也是在k8s.io命名空间，因此在使⽤nerdctl管理kubernetes环境的pod的时候要指定命名空间为k8s.io，否则看不到kubernetes环境中的pod； 阅读全文

摘要：我们在安装istio以后，对应会在k8s上创建一些crd资源，这些crd资源就是用来定义如何管控流量的；即我们通过定义这些crd类型的资源来告诉istiod,对应服务该如何暴露；只要我们在k8s集群上创建这些crd类型的资源以后，对应istiod就会将其收集起来，把对应资源转换为envoy的配置文件格式，再统一下发给通过istio注入的sidecar，以实现配置envoy的目的（envoy就是istio注入到应用pod中的sidecar）； 阅读全文

摘要：服务网格概念源于Buoyant公司的CEO Willian Morgan的文章“What's a service mesh? And do I need one?”；是指专注于处理服务间通信的基础设施，它负责在现代云原生应用组成的复杂拓扑中可靠地传递请求；治理模式除了处理业务逻辑的相关功能外，每个微服务还必须实现此前单体应用模型中用于网络间通信的基础功能，甚至还包括分布式应用程序之间的通信环境中应该实现的其它网络功能，例如熔断、限流、应用跟踪、指标采集、服务发现和负载均衡等； 阅读全文

摘要：在 Kubernetes v1.24 及更早版本中，我们使用docker作为容器引擎在k8s上使用时，依赖一个dockershim的内置k8s组件；k8s v1.24发行版中将dockershim组件给移除了；取而代之的就是cri-dockerd(当然还有其它容器接口)；简单讲CRI就是容器运行时接口（Container Runtime Interface,CRI），也就是说cri-dockerd就是以docker作为容器引擎而提供的容器运行时接口；即我们想要用docker作为k8s的容器运行引擎，我们需要先部署好cri-dockerd;用cri-dockerd来与kubelet交互，然后再由cri-dockerd和docker api交互，使我们在k8s能够正常使用docker作为容器引擎； 阅读全文