kubernetes之pause容器介绍
一.简单说明
我们在启动Pod的时候,发现有很多pause容器运行。每次启动一个Pod,都会运行一个pause容器。那么这个pause容器究竟是干啥的,它到底有什么作用呢?
Pause容器又叫Infra容器,我们在启动kubelet的服务时,指定了下面的配置参数:
--pod-infra-container-image=mirrorgooglecontainers/pause-amd64:3.1
这个Pause容器的版本,我们可以自己构建,也可以直接采用官方提供的版本。关于pause容器的构建,可以参考https://github.com/kubernetes/kubernetes/tree/master/build/pause进行。
这里我们在kubernetes的node节点,执行docker ps,可以发现每个node上运行了很多的pause容器,具体如下:
[root@k8s002 ~]# docker ps |grep pause
d316fa79ddf6 mirrorgooglecontainers/pause-amd64:3.1 "/pause" 6 days ago Up 6 days k8s_POD_kafka-2_kafka_852a
6124-3870-11eb-95e3-000c295ccbe7_0406c946ee75c mirrorgooglecontainers/pause-amd64:3.1 "/pause" 6 days ago Up 6 days k8s_POD_test-redis-5f79b66bc
8-5shqd_test_8cae9d57-386f-11eb-95e3-000c295ccbe7_040c96739a14e mirrorgooglecontainers/pause-amd64:3.1 "/pause" 6 days ago Up 6 days k8s_POD_zk-2_kafka_749c97a
这里,每个Pod都有一个特殊的被称为"根容器"的Pause容器,其它容器则为业务容器。这些业务容器共享Pause容器的网络栈和Volume挂载卷,因此它们之间通信和数据交换更为高效。在设计时,我们可以充分利用这一特性将一组密切相关的服务进程放入同一个Pod中。同一个Pod里的容器通过localhost就能互相通信。
二.kubernetes的pause容器功能
Pause容器背景
像 Pod 这样一个东西,本身是一个逻辑概念。那在机器上,它究竟是怎么实现的呢?这就是我们要解释的一个问题。
既然说 Pod 要解决这个问题,核心就在于如何让一个 Pod 里的多个容器之间最高效的共享某些资源和数据。
因为容器之间原本是被 Linux Namespace 和 cgroups 隔开的,所以现在实际要解决的是怎么去打破这个隔离,然后共享某些事情和某些信息。这就是 Pod 的设计要解决的核心问题所在。
所以说具体的解法分为两个部分:网络和存储。
Pause容器就是为解决Pod中的网络问题而生的。
Pause容器实现
Pod 里的多个容器怎么去共享网络?下面是个例子:
比如说现在有一个 Pod,其中包含了一个容器 A 和一个容器 B,它们两个就要共享 Network Namespace。在 Kubernetes 里的解法是这样的:它会在每个 Pod 里,额外起一个 Infra container 小容器来共享整个 Pod 的 Network Namespace。
Infra container 是一个非常小的镜像,大概 700KB 左右,是一个C语言写的、永远处于“暂停”状态的容器。由于有了这样一个 Infra container 之后,其他所有容器都会通过 Join Namespace 的方式加入到 Infra container 的 Network Namespace 中。
[root@server default]# docker ps |grep redis
de9d250caecc 43e6149871aa "/redis_exporter" 2 months ago Up 2 months k8s_redi
s-exporter_redis-default-0_component_993e6be7-5b3a-4f45-b5ea-545bb45c7a18_3ba732b5e4643 364a8748d03d "sh /data/conf/launc…" 2 months ago Up 2 months k8s_red
is_redis-default-0_component_993e6be7-5b3a-4f45-b5ea-545bb45c7a18_36f12fed25d54 registry.sensetime.com/kubespray/gcr.io/google_containers/pause-amd64:3.1 "/pause" 2 months ago Up 2 months k8s_POD
redis-default-0_component_993e6be7-5b3a-4f45-b5ea-545bb45c7a18_7
所以说一个 Pod 里面的所有容器,它们看到的网络视图是完全一样的。即:它们看到的网络设备、IP地址、Mac地址等等,跟网络相关的信息,其实全是一份,这一份都来自于 Pod 第一次创建的这个 Infra container。这就是 Pod 解决网络共享的一个解法。
在 Pod 里面,一定有一个 IP 地址,是这个 Pod 的 Network Namespace 对应的地址,也是这个 Infra container 的 IP 地址。所以大家看到的都是一份,而其他所有网络资源,都是一个 Pod 一份,并且被 Pod 中的所有容器共享。这就是 Pod 的网络实现方式。
由于需要有一个相当于说中间的容器存在,所以整个 Pod 里面,必然是 Infra container 第一个启动。并且整个 Pod 的生命周期是等同于 Infra container 的生命周期的,与容器 A 和 B 是无关的。这也是为什么在 Kubernetes 里面,它是允许去单独更新 Pod 里的某一个镜像的,即:做这个操作,整个 Pod 不会重建,也不会重启,这是非常重要的一个设计。
kubernetes的pause容器主要为每个业务容器提供以下功能:
- 在pod中担任与其它容器namespace共享的基础
- 启用pid命名空间,开启init进程。
这里我们举个示例进行说明:
1)运行一个pause容器:
[root@k8s001 ~]# docker run -d --name pause -p 8080:80 registry.cn-hangzhou.aliyuncs.com/google_containers/pause-amd64:3.1
2)运行一个nginx容器,nginx将为localhost:2368创建一个代理
[root@k8s001 ~]# cat <<EOF >> nginx.conf
error_log stderr;
events { worker_connections 1024; }
http {
access_log /dev/stdout combined;
server {
listen 80 default_server;
server_name example.com www.example.com;
location / {
proxy_pass http://127.0.0.1:2368;
}
}
}
EOF
[root@k8s001 ~]# docker run -d --name nginx -v `pwd`/nginx.conf:/etc/nginx/nginx.conf --net=container:pause --ipc=container:pause --pid=container:pause nginx
3)为ghost创建一个应用容器(这是一个博客软件)
[root@k8s001 ~]# docker run -d --name ghost --net=container:pause --ipc=container:pause --pid=container:pause ghost
4)验证
# 查看运行的容器
[root@k8s001 ~]# docker ps | grep -E "pause|nginx|ghost"
f72edf025141 ghost "docker-entrypoint.s…" About a minute ago Up About a minute
ghost7ac2d677fbf7 nginx "/docker-entrypoint.…" 2 minutes ago Up 2 minutes
nginxb33f3b7c705d registry.cn-hangzhou.aliyuncs.com/google_containers/pause-amd64:3.1 "/pause" 15 minutes ago Up 15 minutes 0.0.0.0:8880->80
/tcp pause
# 通过浏览器访问http://ip:8880端口,查看是否可以访问到ghost界面
# 或者通过curl抓取页面内容
[root@k8s001 ~]# curl http://localhost:8080
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<title>Ghost</title>
<meta name="HandheldFriendly" content="True" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
......
从上面的步骤可见:
- pause容器将内部80端口映射到宿主机8080端口。
- pause容器在宿主机上设置好网络namespace后,nginx容器加入到该网络的namespace中。
- nginx容器启动的时候指定了-net=container:pause。
- ghost容器启动时,同样方式加入到该网络的namespace中。
- 这样三个容器共享了网络,互相之间就可以使用localhost直接通信。
- --ipc=container:pause,--pid=container:pause就是三个容器的ipc和pid处于同一个namespace中,init进程为pause。
这里,我们进入ghost容器内部查看:
[root@k8s001 ~]# docker exec -it f72edf025141 /bin/bash
root@b33f3b7c705d:/var/lib/ghost# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1012 4 ? Ss 02:45 0:00 /pause
root 8 0.0 0.0 10648 3400 ? Ss 02:57 0:00 nginx: master process nginx -g daemon off;
101 37 0.0 0.0 11088 1964 ? S 02:57 0:00 nginx: worker process
node 38 0.9 0.0 2006968 116572 ? Ssl 02:58 0:06 node current/index.js
root 108 0.0 0.0 3960 2076 pts/0 Ss 03:09 0:00 /bin/bash
root 439 0.0 0.0 7628 1400 pts/0 R+ 03:10 0:00 ps aux
在ghost容器中可以看到pause和nginx容器的进程,并且pause容器的PID为1,而在kubernetes中容器的PID=1的进程则为容器本身的业务进程。
