k8s之容器

1. k8s长时间运行的容器需要满足什么条件？

如果是立刻可以执行完成，则容器会马上退出。如果设置容器重启属性，则容器会一直不停地重启。

特别是/bin/bash。

此时需要为容器提供永不完成的任务，如 /bin/bash -c -- "while true; do sleep20; done;"

CMD exec /bin/bash -c "trap : TERM INT; sleep infinity; wait"

apiVersion: v1
kind: Pod
metadata:
  name: ubuntu
spec:
  containers:
  - name: ubuntu
    image: ubuntu:latest
    # Just spin &amp; wait forever
    command: [ "/bin/bash", "-c", "--" ]
    args: [ "while true; do sleep 30; done;" ]

参考：如何在Kubernetes上保持运行docker容器，不关闭？

2. 容器优雅启动和关闭

优雅启动

很常见的一个场景，一个服务刚启动，可能会有一堆东西要加载（比如我这边需要读数据库中一堆东西）需要一些时间，而这段时间里，我不希望kubernetes 把请求打到这些还没初始化的pod上。

kubernetes提供了一个叫探针的东西，可以用来检测pod是否就绪，只有就绪的情况才会把请求打过来，如果非就绪状态，这些pod会从service的load balancer中暂时移除。

探针可以是一个command或者是一个HTTP的请求，这边使用的是一个HTTP请求的形式。需要保证程序在正常情况下可以访问/heartbeat ，我一般会给这个接口一个success的返回。

readinessProbe:
  httpGet:
    path: /heartbeat
    port: 8001
    scheme: HTTP
  initialDelaySeconds: 30
  timeoutSeconds: 1
  periodSeconds: 30

以上是一个readiness probe（就绪探针）的一般配置。

httpGet 使用http get请求作为探针，里边配置了get请求
initialDelaySeconds 钙素kubelet在第一次执行探针之前要等待30秒
timeoutSeconds 探针超时时间，超过1s则认为探针失败了
periodSeconds 探针的执行频率，默认是1s
successThreshold：探测失败后，最少连续探测成功多少次才被认定为成功。默认是 1。对于 liveness 必须是 1。最小值是 1。
failureThreshold：探测成功后，最少连续探测失败多少次才被认定为失败。默认是 3。最小值是 1。

优雅关闭

优雅关闭是指在pod准备关闭时，可能还需要做一些处理，比如保存数据等。这期间服务不会接受新的请求。kubernetes提供了优雅关闭的配置

terminationGracePeriodSeconds: 60

在给pod发出关闭指令时，k8s将会给应用发送SIGTERM信号，程序只需要捕获SIGTERM信号并做相应处理即可。配置为k8s会等待60秒后关闭。

参考：优雅关闭以及机器kubernetes pods

3. pod状态

Pod的status字段是一个PodStatus的对象，PodStatus中有一个phase字段。

无论是手动创建还是通过Deployment等控制器创建，Pod对象总是应该处于其生命进程中以下几个相位（phase）之一。

挂起（Pending）：API Server创建了pod资源对象已存入etcd中，但它尚未被调度完成，或者仍处于从仓库下载镜像的过程中。
运行中（Running）：Pod已经被调度至某节点，并且所有容器都已经被kubelet创建完成。
成功（Succeeded）：Pod中的所有容器都已经成功终止并且不会被重启
失败（Failed）：Pod中的所有容器都已终止了，并且至少有一个容器是因为失败终止。即容器以非0状态退出或者被系统禁止。
未知（Unknown）：Api Server无法正常获取到Pod对象的状态信息，通常是由于无法与所在工作节点的kubelet通信所致。

参考：(五)Kubernetes Pod状态和生命周期管理

k8s pod状态分析参考：https://blog.51cto.com/shunzi115/2449411?source=dra

CrashLoopBackOff： 容器退出，kubelet正在将它重启
InvalidImageName： 无法解析镜像名称
ImageInspectError： 无法校验镜像
ErrImageNeverPull： 策略禁止拉取镜像
ImagePullBackOff： 正在重试拉取
RegistryUnavailable： 连接不到镜像中心
ErrImagePull： 通用的拉取镜像出错
CreateContainerConfigError： 不能创建kubelet使用的容器配置
CreateContainerError： 创建容器失败
m.internalLifecycle.PreStartContainer  执行hook报错
RunContainerError： 启动容器失败
PostStartHookError： 执行hook报错 
ContainersNotInitialized： 容器没有初始化完毕
ContainersNotReady： 容器没有准备完毕 
ContainerCreating：容器创建中
PodInitializing：pod 初始化中 
DockerDaemonNotReady：docker还没有完全启动
NetworkPluginNotReady： 网络插件还没有完全启动

4. k8s容器什么时候更新

k8s容器什么时候更新，怎样确保image更新后生成最新的pod？每次k8s restart pods时都会重新生成pod吗？

每次k8s restart pod时都会基于新的image生成新的pod。

5. node宕机后，pod驱离

当node宕机时，希望该node节点上的pod能够快速疏散到其他节点，并提供服务。测试发现，要等待5分钟，上面的pod才会疏散。

网上介绍通过修改 /etc/kubernetes/manifests/kube-controller-manager.yaml

    - --node-monitor-grace-period=10s
    - --node-monitor-period=2s
    - --pod-eviction-timeout=10s

然而验证不生效。

解决办法：

通过修改deployment解决

[root@node-01 testnginx]# kubectl describe pod  nginx-deployment|grep -i toleration -A 2
Tolerations:     node.kubernetes.io/not-ready:NoExecute for 300s
                 node.kubernetes.io/unreachable:NoExecute for 300s
Events:          <none>
--
Tolerations:     node.kubernetes.io/not-ready:NoExecute for 300s
                 node.kubernetes.io/unreachable:NoExecute for 300s
Events:          <none>

[root@node-01 testnginx]# cat test-nginx.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: my-nginx
    spec:
      tolerations:
      - key: "node.kubernetes.io/unreachable"
        operator: "Exists"
        effect: "NoExecute"
        tolerationSeconds: 2
      - key: "node.kubernetes.io/not-ready"
        operator: "Exists"
        effect: "NoExecute"
        tolerationSeconds: 2
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 443

参考：kubernetes之node 宕机，pod驱离问题解决

posted @ 2020-03-28 13:31 yuxi_o 阅读(1618) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部