在K8S中,kube-apiserver和kube-scheduler的作用是什么?
在 Kubernetes(K8S)集群中,kube-apiserver 和 kube-scheduler 是 控制平面(Control Plane) 的核心组件,各自承担着至关重要的职责:
1. kube-apiserver:集群的“神经中枢”和“唯一入口”
- 核心作用: 它是 Kubernetes 集群所有通信和操作的中央枢纽,是唯一直接与分布式键值存储
etcd交互的组件。 - 关键职责:
- 暴露 Kubernetes API: 提供 RESTful API 端点(如
/api/v1/pods,/apis/apps/v1/deployments)。所有用户操作(kubectl)、集群组件(Controller Manager, Scheduler, Kubelet)以及外部系统(CI/CD, 监控)都必须通过kube-apiserver与集群交互。 - API 请求处理与验证:
- 认证(Authentication): 验证请求者的身份(如客户端证书、Bearer Token、Basic Auth)。
- 授权(Authorization): 检查经过认证的用户/服务账号是否有权限执行请求的操作(如 RBAC)。
- 准入控制(Admission Control): 在对象持久化到
etcd之前/之后,执行可配置的、更精细的策略检查和修改(如ResourceQuota,PodSecurityPolicy,MutatingAdmissionWebhook)。
- 状态存储与检索: 作为
etcd的唯一客户端:- 将 API 对象(如 Pods, Deployments, Services, ConfigMaps, Secrets)的状态持久化存储到
etcd。 - 从
etcd读取并返回请求的集群状态信息。
- 将 API 对象(如 Pods, Deployments, Services, ConfigMaps, Secrets)的状态持久化存储到
- 协调与通知: 监听
etcd中对象的变化(Watch API),并将这些变化事件广播给其他需要感知状态的组件(如 Controller Manager, Scheduler, Kubelet)。这是控制器模式运行的基础。 - API 版本转换与默认值填充: 处理不同 API 版本之间的转换,并为创建请求提供默认值。
- 暴露 Kubernetes API: 提供 RESTful API 端点(如
- 重要性:
- 单点故障风险最高: 如果
kube-apiserver不可用,集群将完全无法管理(无法创建/修改资源,控制器无法更新状态)。 - 性能瓶颈: 所有流量都经过它,其性能和扩展性直接影响整个集群的规模。
- 安全边界: 是实现集群安全(认证、授权、准入)的核心防线。
- 单点故障风险最高: 如果
- 总结:
kube-apiserver是 Kubernetes 集群的“大门”和“通信中心”,负责 API 暴露、安全控制、状态存储(通过 etcd)和状态变更通知。
2. kube-scheduler:集群的“智能调度器”
- 核心作用: 为新创建的、尚未分配节点的 Pod 选择最合适的 Node 来运行它们。
- 触发时机: 当
kube-apiserver监听到etcd中出现一个新的、spec.nodeName为空的 Pod 时,会通知kube-scheduler进行调度。 - 调度决策过程(两阶段):
- 过滤(Filtering / Predicates):
- 根据 Pod 的资源请求(CPU, Memory, GPU 等)、节点亲和性/反亲和性、污点与容忍度、节点选择器(
nodeSelector)、卷需求等约束条件,排除掉不符合要求的节点。 - 例如:节点剩余 CPU 不足、内存不足、节点有 Pod 不能容忍的污点、Pod 要求节点有特定标签但节点没有等。
- 根据 Pod 的资源请求(CPU, Memory, GPU 等)、节点亲和性/反亲和性、污点与容忍度、节点选择器(
- 评分(Scoring / Priorities):
- 对通过过滤阶段的节点进行打分排序。
- 考虑因素包括:节点资源平衡(如将 Pod 分散部署到不同节点)、节点亲和性/反亲和性权重、镜像本地性(如果节点已有 Pod 所需镜像则得分高)、节点空闲资源多少等。
- 选择得分最高的节点作为调度结果。
- 过滤(Filtering / Predicates):
- 执行调度: 一旦选定节点,
kube-scheduler并不直接运行 Pod。它会通过kube-apiserver更新 Pod 对象的spec.nodeName字段(即“绑定”操作到该节点),并将这个更新写入etcd。 - 后续动作: 目标节点上的
kubelet通过 Watch API 监听到该 Pod 被调度到本节点(即spec.nodeName被设置为本节点名),于是开始负责该 Pod 的创建和生命周期管理。 - 可扩展性: 调度策略(过滤规则和评分函数)可以通过编写自定义调度器或扩展
kube-scheduler来定制。 - 总结:
kube-scheduler是 Kubernetes 集群的“智能调度器”,负责根据资源需求、约束和优化策略,为新 Pod 找到最佳运行位置(Node),从而优化资源利用、满足应用需求并保障集群稳定性。
两者协作关系图示 (Pod 创建流程示例)
用户 (kubectl create -f pod.yaml)
|
v
kube-apiserver (接收请求,认证、授权、准入控制)
|-- 将 Pod 定义写入 etcd (此时 nodeName 为空)
|
v
kube-scheduler (监听到新 Pod)
|-- 执行调度决策:
| 1. 过滤节点 (Predicates)
| 2. 给节点打分 (Priorities)
| 3. 选择得分最高节点
|
v
kube-apiserver (更新 Pod 对象的 spec.nodeName = "selected-node")
|-- 将更新写入 etcd
|
v
目标节点上的 kubelet (监听到该 Pod 被调度到本节点)
|
v
kubelet (拉取镜像、创建容器、启动 Pod、报告状态)
|
v
kube-apiserver (接收 kubelet 的状态更新并写入 etcd)
关键区别总结
| 特性 | kube-apiserver | kube-scheduler |
|---|---|---|
| 核心角色 | API 网关、状态存储(通过 etcd)、通信中枢、安全中心 | 智能调度器 |
| 主要职责 | 暴露 API、处理请求、安全控制、读写 etcd、广播变更 | 为新 Pod 选择最佳运行节点 |
| 交互对象 | 所有用户、所有集群组件、etcd | 主要与 kube-apiserver 交互(监听和更新 Pod) |
| 数据操作 | 创建、读取、更新、删除所有 K8S 对象 | 只更新 Pod 的 spec.nodeName 字段 |
| 性能/扩展关键点 | API 吞吐量、延迟、etcd 性能、高可用部署 | 调度算法效率、大规模集群下的调度延迟 |
| 高可用要求 | 极高(需多副本部署 + 负载均衡) | 较高(多副本运行,但同一时间只有一个处于活跃状态执行调度) |
简单来说:
kube-apiserver是集群的“前台”和“总机”:所有请求都找它,它负责记录(存到 etcd)并通知相关方。kube-scheduler是“人事分配专员”:当有新人(Pod)报到时,它根据要求和公司(集群)资源情况,决定把新人安排到哪个工位(Node)最合适。
浙公网安备 33010602011771号