Kubernetes微服务部署实战指南从零开始掌握容器化应用部署与管理技巧解决实际开发中的常见问题

威震华夏关云长

引言

在当今快速发展的软件开发领域，微服务架构已经成为构建复杂应用的主流方式。而Kubernetes作为容器编排的事实标准，为微服务部署、扩展和管理提供了强大的平台。本文将带你从零开始，逐步掌握Kubernetes的核心概念和操作技巧，帮助你解决在实际开发中遇到的微服务部署与管理问题。

无论你是初学者还是有一定经验的开发者，本文都将提供实用的指导和最佳实践，让你能够自信地在Kubernetes上部署和管理微服务应用。

Kubernetes基础

什么是Kubernetes？

Kubernetes（常简称为K8s）是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序。它最初由Google设计，现在由云原生计算基金会（CNCF）维护。

Kubernetes提供了以下核心功能：

• 自动化容器部署和复制
• 容器的弹性伸缩
• 容器间的负载均衡
• 跨节点调度
• 自愈能力（自动重启失败的容器）
• 滚动更新和回滚
• 配置和密钥管理

Kubernetes架构

Kubernetes由两个主要部分组成：控制平面（Control Plane）和工作节点（Worker Nodes）。

控制平面负责管理集群，它包含以下组件：

• kube-apiserver：API服务器，是Kubernetes控制平面的前端，所有组件都通过它进行交互。
• etcd：分布式键值存储，用于保存集群的所有配置数据和状态。
• kube-scheduler：调度器，负责决定将Pod放置在哪个节点上。
• kube-controller-manager：控制器管理器，运行控制器进程，处理集群中的常规任务。
• cloud-controller-manager：云控制器管理器，与云服务提供商交互。

工作节点是运行应用程序的机器，每个节点包含以下组件：

• kubelet：确保容器在Pod中运行。
• kube-proxy：维护节点上的网络规则，实现服务通信。
• 容器运行时：如Docker、containerd等，负责运行容器。

核心概念

在深入Kubernetes之前，我们需要了解一些核心概念：

• Pod：Kubernetes中最小的可部署单元，包含一个或多个容器。
• Service：为一组Pod提供统一的访问入口，实现服务发现和负载均衡。
• Deployment：管理Pod的部署和更新，提供声明式的更新方式。
• Namespace：将集群划分为多个虚拟集群，用于资源隔离。
• ConfigMap：存储非机密的配置数据。
• Secret：存储敏感数据，如密码、API密钥等。
• Ingress：管理集群外部访问集群内部服务的规则。
• PersistentVolume：持久化存储，独立于Pod的生命周期。
• StatefulSet：用于管理有状态应用的工作负载API对象。

环境搭建

本地开发环境

对于初学者，搭建本地Kubernetes开发环境是学习的第一步。以下是几种常见的选择：

Minikube是一个工具，可以在本地运行单节点Kubernetes集群。

安装Minikube：

在macOS上使用Homebrew安装：

2. brew install minikube

复制代码

在Windows上使用Chocolatey安装：

2. choco install minikube

复制代码

在Linux上下载二进制文件：

2. curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64
3. sudo install minikube-linux-amd64 /usr/local/bin/minikube

复制代码

启动Minikube：

2. minikube start --driver=docker

复制代码

验证Minikube状态：

2. minikube status

复制代码

Docker Desktop内置了Kubernetes支持，是Windows和macOS用户的便捷选择。

启用Kubernetes：

1. 打开Docker Desktop
2. 进入Settings > Kubernetes
3. 勾选”Enable Kubernetes”
4. 点击”Apply & Restart”

Kind是一个使用Docker容器作为节点的Kubernetes集群工具。

安装Kind：

2. # 对于macOS
3. brew install kind
5. # 对于Windows
6. choco install kind
8. # 对于Linux
9. curl -Lo ./kind https://kind.sigs.k8s.io/dl/v0.11.1/kind-linux-amd64
10. chmod +x ./kind
11. sudo mv ./kind /usr/local/bin/kind

复制代码

创建集群：

2. kind create cluster

复制代码

云环境

除了本地环境，你也可以在云平台上搭建Kubernetes集群：

2. # 安装gcloud CLI
3. # 创建集群
4. gcloud container clusters create my-cluster --zone us-central1-a --num-nodes 2
6. # 获取凭证
7. gcloud container clusters get-credentials my-cluster --zone us-central1-a

复制代码

2. # 安装eksctl
3. # 创建集群
4. eksctl create cluster --name my-cluster --region us-west-2 --node-type t3.medium --nodes 2

复制代码

2. # 安装az CLI
3. # 创建资源组
4. az group create --name myResourceGroup --location eastus
6. # 创建集群
7. az aks create --resource-group myResourceGroup --name myAKSCluster --node-count 2 --enable-addons monitoring --generate-ssh-keys

复制代码

安装kubectl

kubectl是Kubernetes的命令行工具，用于与Kubernetes集群交互。

安装kubectl：

在macOS上使用Homebrew：

2. brew install kubectl

复制代码

在Windows上使用Chocolatey：

2. choco install kubernetes-cli

复制代码

在Linux上：

2. curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/linux/amd64/kubectl"
3. sudo install -o root -g root -m 0755 kubectl /usr/local/bin/kubectl

复制代码

验证安装：

2. kubectl version --client

复制代码

微服务容器化

在将微服务部署到Kubernetes之前，首先需要将应用容器化。容器化的过程通常涉及创建Dockerfile，然后构建Docker镜像。

创建Dockerfile

Dockerfile是一个文本文件，包含了构建Docker镜像的所有命令。以下是一个简单的Spring Boot应用的Dockerfile示例：

2. # 使用官方OpenJDK镜像作为基础镜像
3. FROM openjdk:11-jre-slim
5. # 设置工作目录
6. WORKDIR /app
8. # 复制构建好的JAR文件到容器中
9. COPY target/my-service-0.0.1-SNAPSHOT.jar app.jar
11. # 暴露应用端口
12. EXPOSE 8080
14. # 设置JVM参数
15. ENV JAVA_OPTS="-Xmx512m -Xms256m"
17. # 启动命令
18. ENTRYPOINT ["sh", "-c", "java $JAVA_OPTS -jar app.jar"]

复制代码

对于Node.js应用，Dockerfile可能如下所示：

2. # 使用官方Node.js镜像作为基础镜像
3. FROM node:14-alpine
5. # 设置工作目录
6. WORKDIR /app
8. # 复制package.json和package-lock.json
9. COPY package*.json ./
11. # 安装依赖
12. RUN npm ci --only=production
14. # 复制应用代码
15. COPY . .
17. # 暴露应用端口
18. EXPOSE 3000
20. # 启动命令
21. CMD ["node", "index.js"]

复制代码

构建Docker镜像

创建好Dockerfile后，可以使用Docker命令构建镜像：

2. # 构建镜像
3. docker build -t my-username/my-service:0.0.1 .
5. # 运行容器测试
6. docker run -p 8080:8080 my-username/my-service:0.0.1

复制代码

推送镜像到镜像仓库

构建好的镜像需要推送到镜像仓库，以便Kubernetes可以拉取并使用。常用的镜像仓库包括Docker Hub、Google Container Registry (GCR)、Amazon Elastic Container Registry (ECR)等。

推送到Docker Hub：

2. # 登录Docker Hub
3. docker login
5. # 标记镜像
6. docker tag my-username/my-service:0.0.1 my-username/my-service:latest
8. # 推送镜像
9. docker push my-username/my-service:0.0.1
10. docker push my-username/my-service:latest

复制代码

推送到GCR：

2. # 配置gcloud CLI
3. gcloud auth configure-docker
5. # 标记镜像
6. docker tag my-username/my-service:0.0.1 gcr.io/my-project/my-service:0.0.1
8. # 推送镜像
9. docker push gcr.io/my-project/my-service:0.0.1

复制代码

多阶段构建

为了减小镜像大小并提高安全性，可以使用多阶段构建。以下是一个Java应用的多阶段构建示例：

2. # 第一阶段：构建应用
3. FROM maven:3.6.3-openjdk-11 AS build
4. WORKDIR /app
5. COPY pom.xml .
6. COPY src ./src
7. RUN mvn clean package -DskipTests
9. # 第二阶段：创建运行时镜像
10. FROM openjdk:11-jre-slim
11. WORKDIR /app
12. COPY --from=build /app/target/my-service-0.0.1-SNAPSHOT.jar app.jar
13. EXPOSE 8080
14. ENTRYPOINT ["java", "-jar", "app.jar"]

复制代码

优化镜像大小

优化Docker镜像大小有几个好处：

• 减少存储空间占用
• 加快部署速度
• 减少安全漏洞的攻击面

以下是一些优化技巧：

1. 使用合适的基础镜像：选择alpine或slim版本的基础镜像。
2. 多阶段构建：如上所述，分离构建环境和运行环境。
3. 合并RUN命令：减少镜像层数。
4. 清理不必要的文件：在构建过程中删除临时文件。
5. 使用.dockerignore文件：排除不必要的文件。

示例.dockerignore文件：

2. .git
3. .gitignore
4. node_modules
5. npm-debug.log
6. Dockerfile
7. README.md
8. .env
9. target

复制代码

Kubernetes资源对象

Pod

Pod是Kubernetes中最小的可部署单元，包含一个或多个容器。Pod中的容器共享网络命名空间和存储卷。

Pod定义示例：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6.   labels:
7.     app: my-app
8. spec:
9.   containers:
10.   - name: my-container
11.     image: my-username/my-service:0.0.1
12.     ports:
13.     - containerPort: 8080
14.     env:
15.     - name: ENVIRONMENT
16.       value: "production"
17.     resources:
18.       requests:
19.         memory: "256Mi"
20.         cpu: "250m"
21.       limits:
22.         memory: "512Mi"
23.         cpu: "500m"

复制代码

创建Pod：

2. kubectl apply -f pod.yaml

复制代码

查看Pod：

2. kubectl get pods
3. kubectl describe pod my-pod

复制代码

查看Pod日志：

2. kubectl logs my-pod

复制代码

进入Pod容器：

2. kubectl exec -it my-pod -- /bin/bash

复制代码

删除Pod：

2. kubectl delete pod my-pod

复制代码

Deployment

Deployment管理Pod的部署和更新，提供声明式的更新方式。它确保指定数量的Pod副本在运行，并支持滚动更新和回滚。

Deployment定义示例：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   replicas: 3
8.   selector:
9.     matchLabels:
10.       app: my-app
11.   template:
12.     metadata:
13.       labels:
14.         app: my-app
15.     spec:
16.       containers:
17.       - name: my-container
18.         image: my-username/my-service:0.0.1
19.         ports:
20.         - containerPort: 8080
21.         env:
22.         - name: ENVIRONMENT
23.           value: "production"
24.         resources:
25.           requests:
26.             memory: "256Mi"
27.             cpu: "250m"
28.           limits:
29.             memory: "512Mi"
30.             cpu: "500m"

复制代码

创建Deployment：

2. kubectl apply -f deployment.yaml

复制代码

查看Deployment：

2. kubectl get deployments
3. kubectl describe deployment my-deployment

复制代码

扩展Deployment：

2. kubectl scale deployment my-deployment --replicas=5

复制代码

更新Deployment：

2. # 更新镜像版本
3. kubectl set image deployment/my-deployment my-container=my-username/my-service:0.0.2
5. # 或者直接编辑Deployment
6. kubectl edit deployment my-deployment

复制代码

回滚Deployment：

2. # 查看更新历史
3. kubectl rollout history deployment/my-deployment
5. # 回滚到上一个版本
6. kubectl rollout undo deployment/my-deployment
8. # 回滚到指定版本
9. kubectl rollout undo deployment/my-deployment --to-revision=1

复制代码

Service

Service为一组Pod提供统一的访问入口，实现服务发现和负载均衡。

Service定义示例：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: my-service
6. spec:
7.   selector:
8.     app: my-app
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: LoadBalancer

复制代码

Service有几种类型：

• ClusterIP：默认类型，在集群内部暴露服务。
• NodePort：在每个节点的固定端口暴露服务。
• LoadBalancer：使用云提供商的负载均衡器暴露服务。
• ExternalName：将服务映射到外部名称。

创建Service：

2. kubectl apply -f service.yaml

复制代码

查看Service：

2. kubectl get services
3. kubectl describe service my-service

复制代码

Ingress

Ingress管理集群外部访问集群内部服务的规则，通常用于暴露HTTP和HTTPS路由。

Ingress定义示例：

2. apiVersion: networking.k8s.io/v1
3. kind: Ingress
4. metadata:
5.   name: my-ingress
6.   annotations:
7.     nginx.ingress.kubernetes.io/rewrite-target: /
8. spec:
9.   rules:
10.   - http:
11.       paths:
12.       - path: /my-app
13.         pathType: Prefix
14.         backend:
15.           service:
16.             name: my-service
17.             port:
18.               number: 80

复制代码

创建Ingress：

2. kubectl apply -f ingress.yaml

复制代码

查看Ingress：

2. kubectl get ingress
3. kubectl describe ingress my-ingress

复制代码

ConfigMap

ConfigMap用于存储非机密的配置数据，可以被Pod挂载为文件或环境变量。

ConfigMap定义示例：

2. apiVersion: v1
3. kind: ConfigMap
4. metadata:
5.   name: my-config
6. data:
7.   application.properties: |
8.     server.port=8080
9.     logging.level.root=INFO
10.   database_url: "jdbc:postgresql://db:5432/mydb"

复制代码

创建ConfigMap：

2. kubectl apply -f configmap.yaml

复制代码

在Pod中使用ConfigMap：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.   - name: my-container
9.     image: my-username/my-service:0.0.1
10.     envFrom:
11.     - configMapRef:
12.         name: my-config
13.     volumeMounts:
14.     - name: config-volume
15.       mountPath: /etc/config
16.   volumes:
17.   - name: config-volume
18.     configMap:
19.       name: my-config

复制代码

Secret

Secret用于存储敏感数据，如密码、API密钥等。

Secret定义示例：

2. apiVersion: v1
3. kind: Secret
4. metadata:
5.   name: my-secret
6. type: Opaque
7. data:
8.   password: cGFzc3dvcmQ=  # base64编码的"password"
9.   api-key: bXlfc2VjcmV0X2FwaV9rZXk=  # base64编码的"my_secret_api_key"

复制代码

创建Secret：

2. kubectl apply -f secret.yaml

复制代码

在Pod中使用Secret：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.   - name: my-container
9.     image: my-username/my-service:0.0.1
10.     env:
11.     - name: DB_PASSWORD
12.       valueFrom:
13.         secretKeyRef:
14.           name: my-secret
15.           key: password
16.     volumeMounts:
17.     - name: secret-volume
18.       mountPath: /etc/secrets
19.   volumes:
20.   - name: secret-volume
21.     secret:
22.       secretName: my-secret

复制代码

PersistentVolume

PersistentVolume (PV) 是集群中的一块存储，已经由管理员预先配置或通过存储类动态配置。PV的生命周期独立于使用它的Pod。

PersistentVolume定义示例：

2. apiVersion: v1
3. kind: PersistentVolume
4. metadata:
5.   name: my-pv
6. spec:
7.   capacity:
8.     storage: 10Gi
9.   volumeMode: Filesystem
10.   accessModes:
11.     - ReadWriteOnce
12.   persistentVolumeReclaimPolicy: Retain
13.   storageClassName: slow
14.   mountOptions:
15.     - hard
16.     - nfsvers=4.1
17.   nfs:
18.     path: /tmp
19.     server: 172.17.0.2

复制代码

PersistentVolumeClaim

PersistentVolumeClaim (PVC) 是用户对存储的请求。PVC消耗PV资源，并可以请求特定的大小和访问模式。

PersistentVolumeClaim定义示例：

2. apiVersion: v1
3. kind: PersistentVolumeClaim
4. metadata:
5.   name: my-pvc
6. spec:
7.   accessModes:
8.     - ReadWriteOnce
9.   volumeMode: Filesystem
10.   resources:
11.     requests:
12.       storage: 8Gi
13.   storageClassName: slow

复制代码

在Pod中使用PVC：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.   - name: my-container
9.     image: my-username/my-service:0.0.1
10.     volumeMounts:
11.     - name: my-storage
12.       mountPath: /data
13.   volumes:
14.   - name: my-storage
15.     persistentVolumeClaim:
16.       claimName: my-pvc

复制代码

StatefulSet

StatefulSet用于管理有状态应用的工作负载API对象。它为Pod提供唯一的标识符、稳定的持久存储和有序的部署、扩展和删除。

StatefulSet定义示例：

2. apiVersion: apps/v1
3. kind: StatefulSet
4. metadata:
5.   name: my-statefulset
6. spec:
7.   serviceName: "my-service"
8.   replicas: 3
9.   selector:
10.     matchLabels:
11.       app: my-app
12.   template:
13.     metadata:
14.       labels:
15.         app: my-app
16.     spec:
17.       containers:
18.       - name: my-container
19.         image: my-username/my-stateful-service:0.0.1
20.         ports:
21.         - containerPort: 8080
22.         volumeMounts:
23.         - name: my-storage
24.           mountPath: /data
25.   volumeClaimTemplates:
26.   - metadata:
27.       name: my-storage
28.     spec:
29.       accessModes: [ "ReadWriteOnce" ]
30.       storageClassName: "standard"
31.       resources:
32.         requests:
33.           storage: 10Gi

复制代码

微服务部署实战

微服务架构示例

假设我们有一个简单的电商系统，包含以下微服务：

• 用户服务：处理用户认证和用户信息
• 产品服务：管理产品目录
• 订单服务：处理订单创建和管理
• API网关：提供统一的API入口

我们将逐步将这些微服务部署到Kubernetes上。

部署用户服务

首先，我们创建用户服务的Deployment和Service：

user-service-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: user-service-deployment
6. spec:
7.   replicas: 2
8.   selector:
9.     matchLabels:
10.       app: user-service
11.   template:
12.     metadata:
13.       labels:
14.         app: user-service
15.     spec:
16.       containers:
17.       - name: user-service
18.         image: my-username/user-service:1.0.0
19.         ports:
20.         - containerPort: 8080
21.         env:
22.         - name: DB_HOST
23.           value: "postgres-service"
24.         - name: DB_PORT
25.           value: "5432"
26.         - name: DB_NAME
27.           value: "users"
28.         - name: DB_USER
29.           valueFrom:
30.             secretKeyRef:
31.               name: db-secret
32.               key: username
33.         - name: DB_PASSWORD
34.           valueFrom:
35.             secretKeyRef:
36.               name: db-secret
37.               key: password
38.         resources:
39.           requests:
40.             memory: "256Mi"
41.             cpu: "250m"
42.           limits:
43.             memory: "512Mi"
44.             cpu: "500m"
45.         livenessProbe:
46.           httpGet:
47.             path: /health
48.             port: 8080
49.           initialDelaySeconds: 30
50.           periodSeconds: 10
51.         readinessProbe:
52.           httpGet:
53.             path: /ready
54.             port: 8080
55.           initialDelaySeconds: 5
56.           periodSeconds: 5

复制代码

user-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: user-service
6. spec:
7.   selector:
8.     app: user-service
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: ClusterIP

复制代码

创建用户服务：

2. kubectl apply -f user-service-deployment.yaml
3. kubectl apply -f user-service.yaml

复制代码

部署产品服务

接下来，部署产品服务：

product-service-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: product-service-deployment
6. spec:
7.   replicas: 2
8.   selector:
9.     matchLabels:
10.       app: product-service
11.   template:
12.     metadata:
13.       labels:
14.         app: product-service
15.     spec:
16.       containers:
17.       - name: product-service
18.         image: my-username/product-service:1.0.0
19.         ports:
20.         - containerPort: 8080
21.         env:
22.         - name: DB_HOST
23.           value: "mongodb-service"
24.         - name: DB_PORT
25.           value: "27017"
26.         - name: DB_NAME
27.           value: "products"
28.         resources:
29.           requests:
30.             memory: "256Mi"
31.             cpu: "250m"
32.           limits:
33.             memory: "512Mi"
34.             cpu: "500m"
35.         livenessProbe:
36.           httpGet:
37.             path: /health
38.             port: 8080
39.           initialDelaySeconds: 30
40.           periodSeconds: 10
41.         readinessProbe:
42.           httpGet:
43.             path: /ready
44.             port: 8080
45.           initialDelaySeconds: 5
46.           periodSeconds: 5

复制代码

product-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: product-service
6. spec:
7.   selector:
8.     app: product-service
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: ClusterIP

复制代码

创建产品服务：

2. kubectl apply -f product-service-deployment.yaml
3. kubectl apply -f product-service.yaml

复制代码

部署订单服务

然后，部署订单服务：

order-service-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: order-service-deployment
6. spec:
7.   replicas: 2
8.   selector:
9.     matchLabels:
10.       app: order-service
11.   template:
12.     metadata:
13.       labels:
14.         app: order-service
15.     spec:
16.       containers:
17.       - name: order-service
18.         image: my-username/order-service:1.0.0
19.         ports:
20.         - containerPort: 8080
21.         env:
22.         - name: DB_HOST
23.           value: "postgres-service"
24.         - name: DB_PORT
25.           value: "5432"
26.         - name: DB_NAME
27.           value: "orders"
28.         - name: USER_SERVICE_URL
29.           value: "http://user-service"
30.         - name: PRODUCT_SERVICE_URL
31.           value: "http://product-service"
32.         - name: DB_USER
33.           valueFrom:
34.             secretKeyRef:
35.               name: db-secret
36.               key: username
37.         - name: DB_PASSWORD
38.           valueFrom:
39.             secretKeyRef:
40.               name: db-secret
41.               key: password
42.         resources:
43.           requests:
44.             memory: "256Mi"
45.             cpu: "250m"
46.           limits:
47.             memory: "512Mi"
48.             cpu: "500m"
49.         livenessProbe:
50.           httpGet:
51.             path: /health
52.             port: 8080
53.           initialDelaySeconds: 30
54.           periodSeconds: 10
55.         readinessProbe:
56.           httpGet:
57.             path: /ready
58.             port: 8080
59.           initialDelaySeconds: 5
60.           periodSeconds: 5

复制代码

order-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: order-service
6. spec:
7.   selector:
8.     app: order-service
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: ClusterIP

复制代码

创建订单服务：

2. kubectl apply -f order-service-deployment.yaml
3. kubectl apply -f order-service.yaml

复制代码

部署API网关

最后，部署API网关：

api-gateway-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: api-gateway-deployment
6. spec:
7.   replicas: 2
8.   selector:
9.     matchLabels:
10.       app: api-gateway
11.   template:
12.     metadata:
13.       labels:
14.         app: api-gateway
15.     spec:
16.       containers:
17.       - name: api-gateway
18.         image: my-username/api-gateway:1.0.0
19.         ports:
20.         - containerPort: 8080
21.         env:
22.         - name: USER_SERVICE_URL
23.           value: "http://user-service"
24.         - name: PRODUCT_SERVICE_URL
25.           value: "http://product-service"
26.         - name: ORDER_SERVICE_URL
27.           value: "http://order-service"
28.         resources:
29.           requests:
30.             memory: "256Mi"
31.             cpu: "250m"
32.           limits:
33.             memory: "512Mi"
34.             cpu: "500m"
35.         livenessProbe:
36.           httpGet:
37.             path: /health
38.             port: 8080
39.           initialDelaySeconds: 30
40.           periodSeconds: 10
41.         readinessProbe:
42.           httpGet:
43.             path: /ready
44.             port: 8080
45.           initialDelaySeconds: 5
46.           periodSeconds: 5

复制代码

api-gateway.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: api-gateway
6. spec:
7.   selector:
8.     app: api-gateway
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: LoadBalancer

复制代码

创建API网关：

2. kubectl apply -f api-gateway-deployment.yaml
3. kubectl apply -f api-gateway.yaml

复制代码

部署数据库

我们的微服务需要数据库支持，这里我们部署PostgreSQL和MongoDB：

postgres-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: postgres-deployment
6. spec:
7.   replicas: 1
8.   selector:
9.     matchLabels:
10.       app: postgres
11.   template:
12.     metadata:
13.       labels:
14.         app: postgres
15.     spec:
16.       containers:
17.       - name: postgres
18.         image: postgres:13
19.         ports:
20.         - containerPort: 5432
21.         env:
22.         - name: POSTGRES_USER
23.           valueFrom:
24.             secretKeyRef:
25.               name: db-secret
26.               key: username
27.         - name: POSTGRES_PASSWORD
28.           valueFrom:
29.             secretKeyRef:
30.               name: db-secret
31.               key: password
32.         volumeMounts:
33.         - name: postgres-storage
34.           mountPath: /var/lib/postgresql/data
35.       volumes:
36.       - name: postgres-storage
37.         persistentVolumeClaim:
38.           claimName: postgres-pvc

复制代码

postgres-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: postgres-service
6. spec:
7.   selector:
8.     app: postgres
9.   ports:
10.     - protocol: TCP
11.       port: 5432
12.       targetPort: 5432
13.   type: ClusterIP

复制代码

postgres-pvc.yaml：

2. apiVersion: v1
3. kind: PersistentVolumeClaim
4. metadata:
5.   name: postgres-pvc
6. spec:
7.   accessModes:
8.     - ReadWriteOnce
9.   resources:
10.     requests:
11.       storage: 10Gi

复制代码

mongodb-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: mongodb-deployment
6. spec:
7.   replicas: 1
8.   selector:
9.     matchLabels:
10.       app: mongodb
11.   template:
12.     metadata:
13.       labels:
14.         app: mongodb
15.     spec:
16.       containers:
17.       - name: mongodb
18.         image: mongo:4.4
19.         ports:
20.         - containerPort: 27017
21.         volumeMounts:
22.         - name: mongodb-storage
23.           mountPath: /data/db
24.       volumes:
25.       - name: mongodb-storage
26.         persistentVolumeClaim:
27.           claimName: mongodb-pvc

复制代码

mongodb-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: mongodb-service
6. spec:
7.   selector:
8.     app: mongodb
9.   ports:
10.     - protocol: TCP
11.       port: 27017
12.       targetPort: 27017
13.   type: ClusterIP

复制代码

mongodb-pvc.yaml：

2. apiVersion: v1
3. kind: PersistentVolumeClaim
4. metadata:
5.   name: mongodb-pvc
6. spec:
7.   accessModes:
8.     - ReadWriteOnce
9.   resources:
10.     requests:
11.       storage: 10Gi

复制代码

创建数据库：

2. kubectl apply -f postgres-pvc.yaml
3. kubectl apply -f postgres-deployment.yaml
4. kubectl apply -f postgres-service.yaml
6. kubectl apply -f mongodb-pvc.yaml
7. kubectl apply -f mongodb-deployment.yaml
8. kubectl apply -f mongodb-service.yaml

复制代码

创建数据库Secret

我们需要创建一个Secret来存储数据库的凭据：

db-secret.yaml：

2. apiVersion: v1
3. kind: Secret
4. metadata:
5.   name: db-secret
6. type: Opaque
7. data:
8.   username: cG9zdGdyZXM=  # base64编码的"postgres"
9.   password: cG9zdGdyZXNfcGFzc3dvcmQ=  # base64编码的"postgres_password"

复制代码

创建Secret：

2. kubectl apply -f db-secret.yaml

复制代码

验证部署

部署完成后，我们可以验证所有服务是否正常运行：

2. # 查看所有Pod
3. kubectl get pods
5. # 查看所有Service
6. kubectl get services
8. # 查看API网关的外部IP
9. kubectl get service api-gateway
11. # 查看某个Pod的日志
12. kubectl logs -f deployment/user-service-deployment
14. # 进入Pod进行调试
15. kubectl exec -it deployment/user-service-deployment -- /bin/bash

复制代码

配置管理

在微服务架构中，配置管理是一个重要的方面。Kubernetes提供了多种方式来管理配置，包括ConfigMap、Secret和环境变量。

使用ConfigMap管理配置

ConfigMap允许我们将配置数据与容器镜像分离，使应用更具可移植性。

假设我们有一个应用配置文件application.properties：

2. server.port=8080
3. logging.level.root=INFO
4. spring.datasource.url=jdbc:postgresql://postgres-service:5432/mydb
5. spring.datasource.username=postgres
6. spring.datasource.password=${DB_PASSWORD}

复制代码

我们可以使用以下命令创建ConfigMap：

2. kubectl create configmap app-config --from-file=application.properties

复制代码

2. kubectl create configmap app-config \
3.   --from-literal=server.port=8080 \
4.   --from-literal=logging.level.root=INFO \
5.   --from-literal=spring.datasource.url=jdbc:postgresql://postgres-service:5432/mydb

复制代码

作为环境变量：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.     - name: my-container
9.       image: my-username/my-service:1.0.0
10.       env:
11.         - name: SERVER_PORT
12.           valueFrom:
13.             configMapKeyRef:
14.               name: app-config
15.               key: server.port
16.         - name: LOGGING_LEVEL_ROOT
17.           valueFrom:
18.             configMapKeyRef:
19.               name: app-config
20.               key: logging.level.root

复制代码

作为文件：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.     - name: my-container
9.       image: my-username/my-service:1.0.0
10.       volumeMounts:
11.         - name: config-volume
12.           mountPath: /etc/config
13.   volumes:
14.     - name: config-volume
15.       configMap:
16.         name: app-config

复制代码

使用Secret管理敏感数据

Secret用于存储敏感数据，如密码、API密钥等。

从文件创建Secret：

2. kubectl create secret generic db-secret \
3.   --from-file=username=./username.txt \
4.   --from-file=password=./password.txt

复制代码

从字面量创建Secret：

2. kubectl create secret generic db-secret \
3.   --from-literal=username=postgres \
4.   --from-literal=password=postgres_password

复制代码

使用YAML文件创建Secret：

2. apiVersion: v1
3. kind: Secret
4. metadata:
5.   name: db-secret
6. type: Opaque
7. data:
8.   username: cG9zdGdyZXM=  # base64编码的"postgres"
9.   password: cG9zdGdyZXNfcGFzc3dvcmQ=  # base64编码的"postgres_password"

复制代码

作为环境变量：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.     - name: my-container
9.       image: my-username/my-service:1.0.0
10.       env:
11.         - name: DB_USERNAME
12.           valueFrom:
13.             secretKeyRef:
14.               name: db-secret
15.               key: username
16.         - name: DB_PASSWORD
17.           valueFrom:
18.             secretKeyRef:
19.               name: db-secret
20.               key: password

复制代码

作为文件：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.     - name: my-container
9.       image: my-username/my-service:1.0.0
10.       volumeMounts:
11.         - name: secret-volume
12.           mountPath: /etc/secrets
13.   volumes:
14.     - name: secret-volume
15.       secret:
16.         secretName: db-secret

复制代码

使用配置管理工具

除了Kubernetes原生的ConfigMap和Secret，我们还可以使用专门的配置管理工具：

对于Spring Boot应用，可以使用Spring Cloud Config来集中管理配置：

config-server-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: config-server-deployment
6. spec:
7.   replicas: 1
8.   selector:
9.     matchLabels:
10.       app: config-server
11.   template:
12.     metadata:
13.       labels:
14.         app: config-server
15.     spec:
16.       containers:
17.       - name: config-server
18.         image: my-username/config-server:1.0.0
19.         ports:
20.         - containerPort: 8888
21.         env:
22.         - name: SPRING_PROFILES_ACTIVE
23.           value: "native"
24.         - name: SPRING_CLOUD_CONFIG_SERVER_NATIVE_SEARCH_LOCATIONS
25.           value: "file:/config"
26.         volumeMounts:
27.         - name: config-repo
28.           mountPath: /config
29.       volumes:
30.       - name: config-repo
31.         configMap:
32.           name: config-repo

复制代码

config-server-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: config-server
6. spec:
7.   selector:
8.     app: config-server
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8888
13.   type: ClusterIP

复制代码

Consul是一个服务网格解决方案，提供服务发现、配置和分段功能：

consul-deployment.yaml：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: consul-deployment
6. spec:
7.   replicas: 1
8.   selector:
9.     matchLabels:
10.       app: consul
11.   template:
12.     metadata:
13.       labels:
14.         app: consul
15.     spec:
16.       containers:
17.       - name: consul
18.         image: consul:1.9
19.         ports:
20.         - containerPort: 8500
21.         args:
22.         - "agent"
23.         - "-server"
24.         - "-bootstrap-expect=1"
25.         - "-ui"
26.         - "-client=0.0.0.0"
27.         volumeMounts:
28.         - name: consul-data
29.           mountPath: /consul/data
30.       volumes:
31.       - name: consul-data
32.         emptyDir: {}

复制代码

consul-service.yaml：

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: consul
6. spec:
7.   selector:
8.     app: consul
9.   ports:
10.     - protocol: TCP
11.       port: 8500
12.       targetPort: 8500
13.   type: ClusterIP

复制代码

配置热更新

Kubernetes允许我们在不重启Pod的情况下更新配置：

使用ConfigMap作为卷：

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: my-pod
6. spec:
7.   containers:
8.     - name: my-container
9.       image: my-username/my-service:1.0.0
10.       volumeMounts:
11.         - name: config-volume
12.           mountPath: /etc/config
13.   volumes:
14.     - name: config-volume
15.       configMap:
16.         name: app-config

复制代码

当ConfigMap更新时，Kubernetes会自动更新挂载的文件。应用需要能够检测这些变化并重新加载配置。

使用Reloader：

Reloader是一个Kubernetes控制器，可以监视ConfigMap和Secret的变化，并重启相关的Deployment：

2. # 安装Reloader
3. kubectl apply -f https://raw.githubusercontent.com/stakater/Reloader/master/deployments/kubernetes/reloader.yaml
5. # 在Deployment中添加注解
6. apiVersion: apps/v1
7. kind: Deployment
8. metadata:
9.   name: my-deployment
10.   annotations:
11.     reloader.stakater.com/auto: "true"
12. spec:
13.   # ...

复制代码

服务发现与负载均衡

在微服务架构中，服务发现和负载均衡是关键组件。Kubernetes提供了内置的服务发现和负载均衡机制。

Kubernetes Service

Service是Kubernetes中用于服务发现和负载均衡的核心资源。它为一组功能相同的Pod提供统一的访问入口。

Kubernetes支持以下几种Service类型：

1. ClusterIP：默认类型，在集群内部暴露服务，只能在集群内部访问。
2. NodePort：在每个节点的固定端口暴露服务，可以从集群外部访问。
3. LoadBalancer：使用云提供商的负载均衡器暴露服务，提供外部访问。
4. ExternalName：将服务映射到外部名称，通常用于访问集群外部的服务。

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: my-service
6. spec:
7.   selector:
8.     app: my-app
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: ClusterIP

复制代码

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: my-service
6. spec:
7.   selector:
8.     app: my-app
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.       nodePort: 30007  # 可选，默认范围30000-32767
14.   type: NodePort

复制代码

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: my-service
6. spec:
7.   selector:
8.     app: my-app
9.   ports:
10.     - protocol: TCP
11.       port: 80
12.       targetPort: 8080
13.   type: LoadBalancer

复制代码

服务发现

Kubernetes提供了两种主要的服务发现机制：

当Pod创建时，Kubernetes会为每个Service注入一组环境变量：

2. # 在Pod中查看环境变量
3. kubectl exec my-pod -- env | grep SERVICE

复制代码

例如，对于名为”my-service”的Service，Kubernetes会注入以下环境变量：

2. MY_SERVICE_SERVICE_HOST=10.0.0.123
3. MY_SERVICE_SERVICE_PORT=80

复制代码

Kubernetes提供了一个集群内部的DNS服务，允许通过Service名称解析到ClusterIP：

2. # 在Pod中使用DNS解析Service
3. kubectl exec my-pod -- nslookup my-service

复制代码

Kubernetes DNS为Service创建以下记录：

• my-service.namespace.svc.cluster.local：解析到Service的ClusterIP
• my-service.namespace.svc.cluster.local：解析到Service的端口
• _http._tcp.my-service.namespace.svc.cluster.local：SRV记录，包含Service名称、端口和协议

Headless Service

Headless Service是不分配ClusterIP的Service，用于直接暴露Pod的IP。它常用于StatefulSet或有状态应用。

2. apiVersion: v1
3. kind: Service
4. metadata:
5.   name: my-headless-service
6. spec:
7.   clusterIP: None  # 这使得Service成为headless
8.   selector:
9.     app: my-app
10.   ports:
11.     - protocol: TCP
12.       port: 80
13.       targetPort: 8080

复制代码

对于Headless Service，DNS会返回所有后端Pod的IP，而不是单个Service IP。

外部服务访问

Ingress是管理集群外部访问集群内部服务的规则，通常用于暴露HTTP和HTTPS路由。

2. apiVersion: networking.k8s.io/v1
3. kind: Ingress
4. metadata:
5.   name: my-ingress
6.   annotations:
7.     nginx.ingress.kubernetes.io/rewrite-target: /
8. spec:
9.   rules:
10.   - http:
11.       paths:
12.       - path: /app1
13.         pathType: Prefix
14.         backend:
15.           service:
16.             name: app1-service
17.             port:
18.               number: 80
19.       - path: /app2
20.         pathType: Prefix
21.         backend:
22.           service:
23.             name: app2-service
24.             port:
25.               number: 80

复制代码

Ingress资源需要Ingress Controller才能工作。常见的Ingress Controller包括：

1. NGINX Ingress Controller：

2. kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.1.1/deploy/static/provider/cloud/deploy.yaml

复制代码

1. Traefik Ingress Controller：

2. kubectl apply -f https://raw.githubusercontent.com/traefik/traefik/v2.5/docs/content/reference/dynamic-configuration/kubernetes-crd-definition-v1.yml
3. kubectl apply -f https://raw.githubusercontent.com/traefik/traefik/v2.5/docs/content/reference/dynamic-configuration/kubernetes-crd-rbac.yml
4. kubectl apply -f https://raw.githubusercontent.com/traefik/traefik/v2.5/docs/content/reference/dynamic-configuration/kubernetes-deployment.yml

复制代码

另一种方法是使用hostNetwork，使Pod直接使用节点的网络命名空间：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   replicas: 1
8.   selector:
9.     matchLabels:
10.       app: my-app
11.   template:
12.     metadata:
13.       labels:
14.         app: my-app
15.     spec:
16.       hostNetwork: true
17.       containers:
18.       - name: my-container
19.         image: my-username/my-service:1.0.0
20.         ports:
21.         - containerPort: 8080
22.           hostPort: 8080

复制代码

服务网格

服务网格是处理服务间通信的基础设施层，提供可靠的服务间通信。常见的服务网格包括Istio、Linkerd和Consul Connect。

Istio是一个开源的服务网格，提供流量管理、安全性和可观察性。

安装Istio：

2. # 下载Istio
3. curl -L https://istio.io/downloadIstio | sh -
5. # 进入Istio目录
6. cd istio-*
8. # 添加istioctl到PATH
9. export PATH=$PWD/bin:$PATH
11. # 安装Istio
12. istioctl install --set profile=demo -y

复制代码

启用Sidecar注入：

2. kubectl label namespace default istio-injection=enabled

复制代码

创建Gateway和VirtualService：

2. apiVersion: networking.istio.io/v1alpha3
3. kind: Gateway
4. metadata:
5.   name: my-gateway
6. spec:
7.   selector:
8.     istio: ingressgateway
9.   servers:
10.   - port:
11.       number: 80
12.       name: http
13.       protocol: HTTP
14.     hosts:
15.     - "*"
16. ---
17. apiVersion: networking.istio.io/v1alpha3
18. kind: VirtualService
19. metadata:
20.   name: my-virtualservice
21. spec:
22.   hosts:
23.   - "*"
24.   gateways:
25.   - my-gateway
26.   http:
27.   - match:
28.     - uri:
29.         prefix: /service1
30.     route:
31.     - destination:
32.         host: service1
33.   - match:
34.     - uri:
35.         prefix: /service2
36.     route:
37.     - destination:
38.         host: service2

复制代码

Linkerd是一个轻量级的服务网格，专注于简单性和性能。

安装Linkerd：

2. # 安装CLI
3. curl -sL https://run.linkerd.io/install | sh
5. # 验证集群
6. linkerd check --pre
8. # 安装控制平面
9. linkerd install | kubectl apply -f -
11. # 验证安装
12. linkerd check

复制代码

注入Linkerd：

2. # 注入到命名空间中的所有Pod
3. kubectl get deploy -n my-namespace -o yaml | linkerd inject - | kubectl apply -f -
5. # 或者使用注解注入到特定部署
6. kubectl annotate deploy my-deployment linkerd.io/inject=enabled

复制代码

自动扩缩容

自动扩缩容是Kubernetes的一个重要特性，它允许根据负载自动调整应用实例数量。Kubernetes提供了多种自动扩缩容机制。

Horizontal Pod Autoscaler (HPA)

HPA根据CPU使用率或其他自定义指标自动调整Deployment、ReplicaSet或StatefulSet的Pod数量。

2. apiVersion: autoscaling/v2
3. kind: HorizontalPodAutoscaler
4. metadata:
5.   name: my-hpa
6. spec:
7.   scaleTargetRef:
8.     apiVersion: apps/v1
9.     kind: Deployment
10.     name: my-deployment
11.   minReplicas: 2
12.   maxReplicas: 10
13.   metrics:
14.   - type: Resource
15.     resource:
16.       name: cpu
17.       target:
18.         type: Utilization
19.         averageUtilization: 50

复制代码

2. apiVersion: autoscaling/v2
3. kind: HorizontalPodAutoscaler
4. metadata:
5.   name: my-hpa
6. spec:
7.   scaleTargetRef:
8.     apiVersion: apps/v1
9.     kind: Deployment
10.     name: my-deployment
11.   minReplicas: 2
12.   maxReplicas: 10
13.   metrics:
14.   - type: Resource
15.     resource:
16.       name: memory
17.       target:
18.         type: Utilization
19.         averageUtilization: 70

复制代码

2. apiVersion: autoscaling/v2
3. kind: HorizontalPodAutoscaler
4. metadata:
5.   name: my-hpa
6. spec:
7.   scaleTargetRef:
8.     apiVersion: apps/v1
9.     kind: Deployment
10.     name: my-deployment
11.   minReplicas: 2
12.   maxReplicas: 10
13.   metrics:
14.   - type: Pods
15.     pods:
16.       metric:
17.         name: requests_per_second
18.       target:
19.         type: AverageValue
20.         averageValue: 1k

复制代码

2. # 使用YAML文件创建HPA
3. kubectl apply -f hpa.yaml
5. # 或者使用kubectl autoscale命令
6. kubectl autoscale deployment my-deployment --cpu-percent=50 --min=2 --max=10

复制代码

2. kubectl get hpa
3. kubectl describe hpa my-hpa

复制代码

Vertical Pod Autoscaler (VPA)

VPA自动调整Pod的资源请求和限制，优化资源使用。

2. # 下载VPA发布版本
3. git clone https://github.com/kubernetes/autoscaler.git
4. cd autoscaler/vertical-pod-autoscaler
6. # 部署VPA
7. ./hack/vpa-up.sh

复制代码

2. apiVersion: autoscaling.k8s.io/v1
3. kind: VerticalPodAutoscaler
4. metadata:
5.   name: my-vpa
6. spec:
7.   targetRef:
8.     apiVersion: "apps/v1"
9.     kind:       "Deployment"
10.     name:       "my-deployment"
11.   updatePolicy:
12.     updateMode: "Auto"

复制代码

2. kubectl describe vpa my-vpa

复制代码

Cluster Autoscaler

Cluster Autoscaler根据集群中Pod的资源需求自动调整节点数量。

2. # 创建带有Cluster Autoscaler的集群
3. gcloud container clusters create my-cluster \
4.   --zone us-central1-a \
5.   --enable-autoscaling \
6.   --min-nodes 1 \
7.   --max-nodes 10 \
8.   --num-nodes 2

复制代码

2. # 安装Cluster Autoscaler
3. kubectl apply -f https://raw.githubusercontent.com/kubernetes/autoscaler/master/cluster-autoscaler/cloudprovider/aws/examples/cluster-autoscaler-autodiscover.yaml
5. # 设置环境变量
6. kubectl -n kube-system set image deployment.apps/cluster-autoscaler cluster-autoscaler=us.gcr.io/k8s-artifacts-prod/autoscaling/cluster-autoscaler:v1.21.0

复制代码

2. # 创建带有Cluster Autoscaler的集群
3. az aks create \
4.   --resource-group myResourceGroup \
5.   --name myAKSCluster \
6.   --node-count 2 \
7.   --enable-cluster-autoscaler \
8.   --min-count 1 \
9.   --max-count 10

复制代码

自定义指标自动扩缩容

除了CPU和内存，我们还可以使用自定义指标进行自动扩缩容。

Metrics Server是Kubernetes的资源指标收集器，HPA依赖它获取资源使用数据。

2. # 安装Metrics Server
3. kubectl apply -f https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml
5. # 验证安装
6. kubectl top nodes
7. kubectl top pods

复制代码

Prometheus Adapter允许使用Prometheus作为自定义指标的来源。

2. # 安装Prometheus Adapter
3. kubectl apply -f https://raw.githubusercontent.com/DirectXMan12/k8s-prometheus-adapter/master/deploy/manifests/

复制代码

2. apiVersion: v1
3. kind: ConfigMap
4. metadata:
5.   name: adapter-config
6.   namespace: monitoring
7. data:
8.   config.yaml: |
9.     rules:
10.     - seriesQuery: 'http_requests_total{namespace!="",pod!=""}'
11.       resources:
12.         overrides:
13.           namespace: {resource: "namespace"}
14.           pod: {resource: "pod"}
15.       name:
16.         matches: "^(.*)_total"
17.         as: "${1}_per_second"
18.       metricsQuery: 'sum(rate(<<.Series>>{<<.LabelMatchers>>}[1m])) by (<<.GroupBy>>)'

复制代码

2. apiVersion: autoscaling/v2
3. kind: HorizontalPodAutoscaler
4. metadata:
5.   name: my-hpa
6. spec:
7.   scaleTargetRef:
8.     apiVersion: apps/v1
9.     kind: Deployment
10.     name: my-deployment
11.   minReplicas: 2
12.   maxReplicas: 10
13.   metrics:
14.   - type: Pods
15.     pods:
16.       metric:
17.         name: http_requests_per_second
18.       target:
19.         type: AverageValue
20.         averageValue: 100

复制代码

预测性自动扩缩容

预测性自动扩缩容基于历史数据和预测模型，提前扩容以应对预期的负载增长。

KEDA (Kubernetes Event-driven Autoscaler) 是一个基于事件的自动扩缩器。

2. # 安装KEDA
3. kubectl apply -f https://github.com/kedacore/keda/releases/download/v2.4.0/keda-2.4.0.yaml

复制代码

2. apiVersion: keda.sh/v1alpha1
3. kind: ScaledObject
4. metadata:
5.   name: my-scaledobject
6. spec:
7.   scaleTargetRef:
8.     name: my-deployment
9.   minReplicaCount: 0
10.   maxReplicaCount: 10
11.   triggers:
12.   - type: prometheus
13.     metadata:
14.       serverAddress: http://prometheus-server.monitoring.svc.cluster.local:80
15.       metricName: http_requests_total
16.       threshold: '100'
17.       query: sum(rate(http_requests_total{deployment="my-deployment"}[2m]))

复制代码

监控与日志

在微服务架构中，监控和日志管理是确保系统健康和快速排查问题的关键。Kubernetes提供了多种监控和日志解决方案。

监控

Prometheus是一个开源的监控和告警系统，特别适合Kubernetes环境。Grafana是一个开源的度量分析和可视化套件。

安装Prometheus Operator：

2. # 安装Prometheus Operator
3. kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/prometheus-operator/master/bundle.yaml
5. # 安装Kube-Prometheus
6. kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/kube-prometheus/master/manifests/setup/prometheus-operator-0servicemonitorCustomResourceDefinition.yaml
7. kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/kube-prometheus/master/manifests/setup/prometheus-operator-0prometheusruleCustomResourceDefinition.yaml
8. kubectl apply -f https://raw.githubusercontent.com/prometheus-operator/kube-prometheus/master/manifests/

复制代码

访问Grafana：

2. # 转发Grafana服务
3. kubectl port-forward -n monitoring svc/grafana 3000:3000
5. # 访问 http://localhost:3000
6. # 默认用户名: admin
7. # 默认密码: admin

复制代码

自定义监控指标：

2. apiVersion: v1
3. kind: ServiceMonitor
4. metadata:
5.   name: my-service-monitor
6.   namespace: monitoring
7.   labels:
8.     app: my-app
9. spec:
10.   selector:
11.     matchLabels:
12.       app: my-app
13.   endpoints:
14.   - port: web
15.     interval: 30s
16.     path: /metrics

复制代码

Kubernetes Dashboard是Kubernetes的官方Web UI。

安装Dashboard：

2. kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.4.0/aio/deploy/recommended.yaml

复制代码

创建访问令牌：

2. # 创建ServiceAccount
3. kubectl create serviceaccount dashboard-admin -n kubernetes-dashboard
5. # 创建ClusterRoleBinding
6. kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:dashboard-admin
8. # 获取令牌
9. kubectl describe secrets -n kubernetes-dashboard $(kubectl -n kubernetes-dashboard get secret | awk '/dashboard-admin/{print $1}')

复制代码

访问Dashboard：

2. # 转发Dashboard服务
3. kubectl proxy
5. # 访问 http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/

复制代码

日志管理

EFK (Elasticsearch, Fluentd, Kibana) 是一个流行的日志管理解决方案。

安装Elasticsearch：

2. apiVersion: apps/v1
3. kind: StatefulSet
4. metadata:
5.   name: elasticsearch
6.   namespace: logging
7. spec:
8.   serviceName: elasticsearch
9.   replicas: 1
10.   selector:
11.     matchLabels:
12.       app: elasticsearch
13.   template:
14.     metadata:
15.       labels:
16.         app: elasticsearch
17.     spec:
18.       containers:
19.       - name: elasticsearch
20.         image: docker.elastic.co/elasticsearch/elasticsearch:7.10.1
21.         ports:
22.         - containerPort: 9200
23.           name: rest
24.           protocol: TCP
25.         - containerPort: 9300
26.           name: inter-node
27.           protocol: TCP
28.         env:
29.           - name: discovery.type
30.             value: single-node
31.         resources:
32.           limits:
33.             cpu: 1000m
34.           requests:
35.             cpu: 100m
36.         volumeMounts:
37.         - name: data
38.           mountPath: /usr/share/elasticsearch/data
39.   volumeClaimTemplates:
40.   - metadata:
41.       name: data
42.     spec:
43.       accessModes: [ "ReadWriteOnce" ]
44.       storageClassName: "standard"
45.       resources:
46.         requests:
47.           storage: 10Gi
48. ---
49. apiVersion: v1
50. kind: Service
51. metadata:
52.   name: elasticsearch
53.   namespace: logging
54.   labels:
55.     app: elasticsearch
56. spec:
57.   ports:
58.   - port: 9200
59.     name: rest
60.   - port: 9300
61.     name: inter-node
62.   selector:
63.     app: elasticsearch

复制代码

安装Kibana：

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: kibana
6.   namespace: logging
7.   labels:
8.     app: kibana
9. spec:
10.   replicas: 1
11.   selector:
12.     matchLabels:
13.       app: kibana
14.   template:
15.     metadata:
16.       labels:
17.         app: kibana
18.     spec:
19.       containers:
20.       - name: kibana
21.         image: docker.elastic.co/kibana/kibana:7.10.1
22.         ports:
23.         - containerPort: 5601
24.         env:
25.           - name: ELASTICSEARCH_URL
26.             value: http://elasticsearch:9200
27.         resources:
28.           limits:
29.             cpu: 1000m
30.           requests:
31.             cpu: 100m
32. ---
33. apiVersion: v1
34. kind: Service
35. metadata:
36.   name: kibana
37.   namespace: logging
38.   labels:
39.     app: kibana
40. spec:
41.   ports:
42.   - port: 5601
43.     protocol: TCP
44.     targetPort: 5601
45.   selector:
46.     app: kibana

复制代码

安装Fluentd：

2. apiVersion: v1
3. kind: ServiceAccount
4. metadata:
5.   name: fluentd
6.   namespace: logging
7.   labels:
8.     app: fluentd
9. ---
10. apiVersion: rbac.authorization.k8s.io/v1
11. kind: ClusterRole
12. metadata:
13.   name: fluentd
14.   namespace: logging
15.   labels:
16.     app: fluentd
17. rules:
18. - apiGroups:
19.   - ""
20.   resources:
21.   - pods
22.   - namespaces
23.   verbs:
24.   - get
25.   - list
26.   - watch
27. ---
28. kind: ClusterRoleBinding
29. apiVersion: rbac.authorization.k8s.io/v1
30. metadata:
31.   name: fluentd
32.   namespace: logging
33. roleRef:
34.   kind: ClusterRole
35.   name: fluentd
36.   apiGroup: rbac.authorization.k8s.io
37. subjects:
38. - kind: ServiceAccount
39.   name: fluentd
40.   namespace: logging
41. ---
42. apiVersion: apps/v1
43. kind: DaemonSet
44. metadata:
45.   name: fluentd
46.   namespace: logging
47.   labels:
48.     app: fluentd
49. spec:
50.   selector:
51.     matchLabels:
52.       app: fluentd
53.   template:
54.     metadata:
55.       labels:
56.         app: fluentd
57.     spec:
58.       serviceAccount: fluentd
59.       serviceAccountName: fluentd
60.       tolerations:
61.       - key: node-role.kubernetes.io/master
62.         effect: NoSchedule
63.       containers:
64.       - name: fluentd
65.         image: fluent/fluentd-kubernetes-daemonset:v1-debian-elasticsearch
66.         env:
67.           - name:  FLUENT_ELASTICSEARCH_HOST
68.             value: "elasticsearch"
69.           - name:  FLUENT_ELASTICSEARCH_PORT
70.             value: "9200"
71.           - name: FLUENT_ELASTICSEARCH_SCHEME
72.             value: "http"
73.           - name: FLUENTD_SYSTEMD_CONF
74.             value: disable
75.         resources:
76.           limits:
77.             memory: 512Mi
78.           requests:
79.             cpu: 100m
80.             memory: 200Mi
81.         volumeMounts:
82.         - name: varlog
83.           mountPath: /var/log
84.         - name: varlibdockercontainers
85.           mountPath: /var/lib/docker/containers
86.           readOnly: true
87.       terminationGracePeriodSeconds: 30
88.       volumes:
89.       - name: varlog
90.         hostPath:
91.           path: /var/log
92.       - name: varlibdockercontainers
93.         hostPath:
94.           path: /var/lib/docker/containers

复制代码

Loki是一个轻量级的日志聚合系统，与Prometheus和Grafana集成良好。

安装Loki：

2. # 安装Loki
3. helm repo add grafana https://grafana.github.io/helm-charts
4. helm repo update
5. helm upgrade --install loki grafana/loki-stack --namespace=monitoring --set grafana.enabled=true,prometheus.enabled=true,prometheus.alertmanager.enabled=false,prometheus.pushgateway.enabled=false,prometheus.server.persistentVolume.enabled=false

复制代码

配置Promtail：

2. apiVersion: v1
3. kind: ConfigMap
4. metadata:
5.   name: promtail-config
6.   namespace: monitoring
7. data:
8.   promtail.yaml: |
9.     client:
10.       url: http://loki:3100/loki/api/v1/push
11.     positions:
12.       filename: /tmp/positions.yaml
13.     scrape_configs:
14.     - job_name: kubernetes-pods
15.       kubernetes_sd_configs:
16.       - role: pod
17.       pipeline_stages:
18.       - docker: {}
19.       relabel_configs:
20.       - source_labels:
21.         - __meta_kubernetes_pod_label_name
22.         target_label: __service__
23.       - source_labels:
24.         - __meta_kubernetes_pod_node_name
25.         target_label: __host__
26.       - action: labelmap
27.         regex: __meta_kubernetes_pod_label_(.+)
28.       - action: replace
29.         replacement: $1
30.         separator: /
31.         source_labels:
32.         - __meta_kubernetes_namespace
33.         - __service__
34.         target_label: job
35.       - action: replace
36.         source_labels:
37.         - __meta_kubernetes_namespace
38.         target_label: namespace
39.       - action: replace
40.         source_labels:
41.         - __meta_kubernetes_pod_name
42.         target_label: pod
43.       - action: replace
44.         source_labels:
45.         - __meta_kubernetes_pod_container_name
46.         target_label: container
47.       - replacement: /var/log/pods/*$1/*.log
48.         separator: /
49.         source_labels:
50.         - __meta_kubernetes_pod_uid
51.         - __meta_kubernetes_pod_container_name
52.         target_label: __path__

复制代码

安装Promtail：

2. apiVersion: apps/v1
3. kind: DaemonSet
4. metadata:
5.   name: promtail
6.   namespace: monitoring
7. spec:
8.   selector:
9.     matchLabels:
10.       app: promtail
11.   template:
12.     metadata:
13.       labels:
14.         app: promtail
15.     spec:
16.       serviceAccount: promtail
17.       containers:
18.       - name: promtail
19.         image: grafana/promtail:2.0.0
20.         args:
21.         - -config.file=/etc/promtail/promtail.yaml
22.         volumeMounts:
23.         - name: config
24.           mountPath: /etc/promtail
25.         - name: logs
26.           mountPath: /var/log
27.         - name: containers
28.           mountPath: /var/lib/docker/containers
29.           readOnly: true
30.       volumes:
31.       - name: config
32.         configMap:
33.           name: promtail-config
34.       - name: logs
35.         hostPath:
36.           path: /var/log
37.       - name: containers
38.         hostPath:
39.           path: /var/lib/docker/containers

复制代码

分布式追踪

分布式追踪是微服务架构中重要的可观察性组件，帮助理解请求在系统中的传播路径。

Jaeger是一个开源的分布式追踪系统。

安装Jaeger：

2. # 安装Jaeger Operator
3. kubectl create namespace observability
4. kubectl apply -f https://github.com/jaegertracing/jaeger-operator/releases/download/v1.28.0/jaeger-operator.yaml -n observability
6. # 创建Jaeger实例
7. cat <<EOF | kubectl apply -f -
8. apiVersion: jaegertracing.io/v1
9. kind: Jaeger
10. metadata:
11.   name: jaeger
12.   namespace: observability
13. EOF

复制代码

访问Jaeger UI：

2. # 转发Jaeger服务
3. kubectl port-forward -n observability svc/jaeger-query 16686:16686
5. # 访问 http://localhost:16686

复制代码

对于Spring Boot应用，可以添加以下依赖：

2. <dependency>
3.     <groupId>io.opentracing.contrib</groupId>
4.     <artifactId>opentracing-spring-jaeger-cloud-starter</artifactId>
5.     <version>3.3.1</version>
6. </dependency>

复制代码

配置application.properties：

2. spring.jaeger.enabled=true
3. spring.jaeger.service-name=my-service
4. spring.jaeger.sampler-type=const
5. spring.jaeger.sampler-param=1
6. spring.jaeger.udp-sender.host=jaeger-agent.observability.svc.cluster.local
7. spring.jaeger.udp-sender.port=6831

复制代码

故障排查

在Kubernetes环境中，故障排查是一项关键技能。本节将介绍常见的故障场景及其解决方案。

Pod状态问题

Pod处于Pending状态通常表示Kubernetes无法调度该Pod。

排查步骤：

1. 检查Pod详细信息：

2. kubectl describe pod <pod-name>

复制代码

1. 检查事件部分，查找调度失败的原因。
2. 检查集群资源：

检查事件部分，查找调度失败的原因。

检查集群资源：

2. kubectl describe nodes

复制代码

1. 检查是否有足够的资源：

2. kubectl top nodes

复制代码

常见原因及解决方案：

1. 资源不足：增加节点或减少Pod资源请求使用自动扩缩容
2. 增加节点或减少Pod资源请求
3. 使用自动扩缩容
4. 节点选择器或亲和性规则：检查Pod的nodeSelector或nodeAffinity规则确保有匹配的节点
5. 检查Pod的nodeSelector或nodeAffinity规则
6. 确保有匹配的节点
7. 污点和容忍度：检查节点的污点为Pod添加适当的容忍度
8. 检查节点的污点
9. 为Pod添加适当的容忍度

资源不足：

• 增加节点或减少Pod资源请求
• 使用自动扩缩容

节点选择器或亲和性规则：

• 检查Pod的nodeSelector或nodeAffinity规则
• 确保有匹配的节点

污点和容忍度：

• 检查节点的污点
• 为Pod添加适当的容忍度

2. tolerations:
3. - key: "key"
4.   operator: "Equal"
5.   value: "value"
6.   effect: "NoSchedule"

复制代码

Pod处于CrashLoopBackOff状态表示容器启动后崩溃，Kubernetes尝试重启但失败。

排查步骤：

1. 检查Pod日志：

2. kubectl logs <pod-name>
3. kubectl logs <pod-name> --previous

复制代码

1. 检查容器状态：

2. kubectl describe pod <pod-name>

复制代码

1. 进入容器调试：

2. kubectl exec -it <pod-name> -- /bin/bash

复制代码

常见原因及解决方案：

1. 应用错误：修复应用代码检查应用配置
2. 修复应用代码
3. 检查应用配置
4. 资源不足：增加Pod的资源限制优化应用资源使用
5. 增加Pod的资源限制
6. 优化应用资源使用
7. 依赖服务不可用：检查依赖服务的状态添加适当的健康检查和就绪探针
8. 检查依赖服务的状态
9. 添加适当的健康检查和就绪探针

应用错误：

• 修复应用代码
• 检查应用配置

资源不足：

• 增加Pod的资源限制
• 优化应用资源使用

依赖服务不可用：

• 检查依赖服务的状态
• 添加适当的健康检查和就绪探针

2. livenessProbe:
3.   httpGet:
4.     path: /health
5.     port: 8080
6.   initialDelaySeconds: 30
7.   periodSeconds: 10
8. readinessProbe:
9.   httpGet:
10.     path: /ready
11.     port: 8080
12.   initialDelaySeconds: 5
13.   periodSeconds: 5

复制代码

Pod处于ImagePullBackOff状态表示Kubernetes无法拉取容器镜像。

排查步骤：

1. 检查Pod事件：

2. kubectl describe pod <pod-name>

复制代码

1. 检查镜像名称和标签是否正确。
2. 检查镜像仓库的访问权限。

检查镜像名称和标签是否正确。

检查镜像仓库的访问权限。

常见原因及解决方案：

1. 镜像名称或标签错误：修正Deployment中的镜像名称和标签
2. 修正Deployment中的镜像名称和标签
3. 镜像仓库认证问题：创建imagePullSecrets
4. 创建imagePullSecrets

镜像名称或标签错误：

• 修正Deployment中的镜像名称和标签

镜像仓库认证问题：

• 创建imagePullSecrets

2. # 创建Docker registry secret
3. kubectl create secret docker-registry my-registry-secret \
4.   --docker-server=DOCKER_REGISTRY_SERVER \
5.   --docker-username=DOCKER_USER \
6.   --docker-password=DOCKER_PASSWORD \
7.   --docker-email=DOCKER_EMAIL
9. # 在Pod中使用secret
10. apiVersion: v1
11. kind: Pod
12. metadata:
13.   name: my-pod
14. spec:
15.   containers:
16.   - name: my-container
17.     image: my-private-registry/my-image:tag
18.   imagePullSecrets:
19.   - name: my-registry-secret

复制代码

1. 网络问题：检查节点网络连接配置镜像代理
2. 检查节点网络连接
3. 配置镜像代理

• 检查节点网络连接
• 配置镜像代理

Service问题

Service无法访问Pod通常是由于标签选择器不匹配或网络问题。

排查步骤：

1. 检查Service定义：

2. kubectl describe service <service-name>

复制代码

1. 检查Pod标签：

2. kubectl get pods --show-labels

复制代码

1. 检查Endpoints：

2. kubectl get endpoints <service-name>

复制代码

1. 从Pod内部测试连接：

2. kubectl exec -it <pod-name> -- wget -qO- <service-name>.<namespace>.svc.cluster.local

复制代码

常见原因及解决方案：

1. 标签选择器不匹配：确保Pod的标签与Service的选择器匹配
2. 确保Pod的标签与Service的选择器匹配
3. Pod未就绪：检查Pod的就绪探针确保Pod处于Running状态
4. 检查Pod的就绪探针
5. 确保Pod处于Running状态
6. 网络策略阻止：检查网络策略配置允许Service和Pod之间的通信
7. 检查网络策略配置
8. 允许Service和Pod之间的通信

标签选择器不匹配：

• 确保Pod的标签与Service的选择器匹配

Pod未就绪：

• 检查Pod的就绪探针
• 确保Pod处于Running状态

网络策略阻止：

• 检查网络策略配置
• 允许Service和Pod之间的通信

2. apiVersion: networking.k8s.io/v1
3. kind: NetworkPolicy
4. metadata:
5.   name: allow-service-access
6. spec:
7.   podSelector:
8.     matchLabels:
9.       app: my-app
10.   ingress:
11.   - from:
12.     - namespaceSelector:
13.         matchLabels:
14.           name: default
15.     ports:
16.     - protocol: TCP
17.       port: 8080

复制代码

外部无法访问Service通常是由于Service类型配置错误或负载均衡器问题。

排查步骤：

1. 检查Service类型：

2. kubectl get service <service-name>

复制代码

1. 检查Ingress配置（如果使用）：

2. kubectl describe ingress <ingress-name>

复制代码

1. 检查云提供商的负载均衡器（如果使用）：

2. kubectl get service <service-name> -o yaml

复制代码

常见原因及解决方案：

1. Service类型错误：使用正确的Service类型（NodePort或LoadBalancer）
2. 使用正确的Service类型（NodePort或LoadBalancer）
3. Ingress配置错误：检查Ingress规则确保Ingress Controller正常运行
4. 检查Ingress规则
5. 确保Ingress Controller正常运行
6. 云提供商问题：检查云提供商的负载均衡器状态确保安全组配置正确
7. 检查云提供商的负载均衡器状态
8. 确保安全组配置正确

Service类型错误：

• 使用正确的Service类型（NodePort或LoadBalancer）

Ingress配置错误：

• 检查Ingress规则
• 确保Ingress Controller正常运行

云提供商问题：

• 检查云提供商的负载均衡器状态
• 确保安全组配置正确

存储问题

Pod无法挂载PersistentVolume通常是由于PVC未绑定或存储类配置错误。

排查步骤：

1. 检查PVC状态：

2. kubectl get pvc
3. kubectl describe pvc <pvc-name>

复制代码

1. 检查PV状态：

2. kubectl get pv
3. kubectl describe pv <pv-name>

复制代码

1. 检查存储类：

2. kubectl get storageclass

复制代码

常见原因及解决方案：

1. PVC未绑定：确保有足够的PV资源检查PVC请求的资源是否与PV匹配
2. 确保有足够的PV资源
3. 检查PVC请求的资源是否与PV匹配
4. 存储类配置错误：确保使用正确的存储类检查存储类的provisioner是否正常工作
5. 确保使用正确的存储类
6. 检查存储类的provisioner是否正常工作
7. 权限问题：检查存储的访问权限确保Pod有权限访问存储
8. 检查存储的访问权限
9. 确保Pod有权限访问存储

PVC未绑定：

• 确保有足够的PV资源
• 检查PVC请求的资源是否与PV匹配

存储类配置错误：

• 确保使用正确的存储类
• 检查存储类的provisioner是否正常工作

权限问题：

• 检查存储的访问权限
• 确保Pod有权限访问存储

数据丢失通常是由于PV回收策略配置错误或存储故障。

排查步骤：

1. 检查PV回收策略：

2. kubectl get pv <pv-name> -o yaml

复制代码

1. 检查Pod事件：

2. kubectl describe pod <pod-name>

复制代码

1. 检查存储系统日志。

常见原因及解决方案：

1. PV回收策略错误：使用Retain回收策略保护数据
2. 使用Retain回收策略保护数据

• 使用Retain回收策略保护数据

2. apiVersion: v1
3. kind: PersistentVolume
4. metadata:
5.   name: my-pv
6. spec:
7.   capacity:
8.     storage: 10Gi
9.   persistentVolumeReclaimPolicy: Retain
10.   # ...

复制代码

1. 存储故障：使用高可用存储解决方案定期备份数据
2. 使用高可用存储解决方案
3. 定期备份数据
4. Pod被意外删除：使用StatefulSet管理有状态应用配置适当的PodDisruptionBudget
5. 使用StatefulSet管理有状态应用
6. 配置适当的PodDisruptionBudget

存储故障：

• 使用高可用存储解决方案
• 定期备份数据

Pod被意外删除：

• 使用StatefulSet管理有状态应用
• 配置适当的PodDisruptionBudget

2. apiVersion: policy/v1
3. kind: PodDisruptionBudget
4. metadata:
5.   name: my-pdb
6. spec:
7.   minAvailable: 2
8.   selector:
9.     matchLabels:
10.       app: my-app

复制代码

网络问题

Pod之间无法通信通常是由于网络插件配置错误或网络策略阻止。

排查步骤：

1. 检查网络插件状态：

2. kubectl get pods -n kube-system | grep -E 'calico|flannel|weave|cilium'

复制代码

1. 检查网络策略：

2. kubectl get networkpolicy

复制代码

1. 从Pod内部测试连接：

2. kubectl exec -it <pod-name> -- ping <target-pod-ip>
3. kubectl exec -it <pod-name> -- wget -qO- <target-service-url>

复制代码

常见原因及解决方案：

1. 网络插件问题：检查网络插件Pod的状态重新安装或修复网络插件
2. 检查网络插件Pod的状态
3. 重新安装或修复网络插件
4. 网络策略阻止：检查网络策略配置添加允许通信的网络策略
5. 检查网络策略配置
6. 添加允许通信的网络策略
7. CNI配置错误：检查CNI配置文件重新配置CNI
8. 检查CNI配置文件
9. 重新配置CNI

网络插件问题：

• 检查网络插件Pod的状态
• 重新安装或修复网络插件

网络策略阻止：

• 检查网络策略配置
• 添加允许通信的网络策略

CNI配置错误：

• 检查CNI配置文件
• 重新配置CNI

DNS解析失败通常是由于CoreDNS配置错误或网络问题。

排查步骤：

1. 检查CoreDNS状态：

2. kubectl get pods -n kube-system | grep coredns
3. kubectl logs -n kube-system <coredns-pod-name>

复制代码

1. 从Pod内部测试DNS解析：

2. kubectl exec -it <pod-name> -- nslookup kubernetes.default
3. kubectl exec -it <pod-name> -- nslookup <service-name>

复制代码

1. 检查CoreDNS配置：

2. kubectl get configmap coredns -n kube-system -o yaml

复制代码

常见原因及解决方案：

1. CoreDNS Pod异常：重启CoreDNS Pod检查CoreDNS资源限制
2. 重启CoreDNS Pod
3. 检查CoreDNS资源限制
4. CoreDNS配置错误：修正CoreDNS配置添加必要的上游DNS服务器
5. 修正CoreDNS配置
6. 添加必要的上游DNS服务器
7. 网络问题：检查Pod网络连接确保可以访问kube-dns服务
8. 检查Pod网络连接
9. 确保可以访问kube-dns服务

CoreDNS Pod异常：

• 重启CoreDNS Pod
• 检查CoreDNS资源限制

CoreDNS配置错误：

• 修正CoreDNS配置
• 添加必要的上游DNS服务器

网络问题：

• 检查Pod网络连接
• 确保可以访问kube-dns服务

资源问题

节点资源不足会导致Pod无法调度或被驱逐。

排查步骤：

1. 检查节点资源使用情况：

2. kubectl top nodes
3. kubectl describe node <node-name>

复制代码

1. 检查被驱逐的Pod：

2. kubectl get pods --all-namespaces -o wide --field-selector=status.phase=Failed

复制代码

1. 检查节点事件：

2. kubectl get events --field-selector involvedObject.kind=Node

复制代码

常见原因及解决方案：

1. CPU或内存不足：增加节点资源使用自动扩缩容优化Pod资源请求和限制
2. 增加节点资源
3. 使用自动扩缩容
4. 优化Pod资源请求和限制
5. 磁盘空间不足：清理不必要的文件和镜像增加磁盘空间配置镜像垃圾回收
6. 清理不必要的文件和镜像
7. 增加磁盘空间
8. 配置镜像垃圾回收

CPU或内存不足：

• 增加节点资源
• 使用自动扩缩容
• 优化Pod资源请求和限制

磁盘空间不足：

• 清理不必要的文件和镜像
• 增加磁盘空间
• 配置镜像垃圾回收

2. # kubelet配置
3. apiVersion: kubelet.config.k8s.io/v1beta1
4. kind: KubeletConfiguration
5. imageGCHighThresholdPercent: 80
6. imageGCLowThresholdPercent: 60

复制代码

1. Pod资源请求过高：调整Pod资源请求使用垂直Pod自动扩缩容
2. 调整Pod资源请求
3. 使用垂直Pod自动扩缩容

• 调整Pod资源请求
• 使用垂直Pod自动扩缩容

Pod资源限制问题会导致Pod被OOM杀死或性能下降。

排查步骤：

1. 检查Pod资源使用情况：

2. kubectl top pod <pod-name>

复制代码

1. 检查Pod事件：

2. kubectl describe pod <pod-name>

复制代码

1. 检查容器日志：

2. kubectl logs <pod-name>

复制代码

常见原因及解决方案：

1. 内存限制过低：增加Pod内存限制优化应用内存使用
2. 增加Pod内存限制
3. 优化应用内存使用
4. CPU限制过低：增加Pod CPU限制优化应用CPU使用
5. 增加Pod CPU限制
6. 优化应用CPU使用
7. 资源请求和限制不平衡：设置合理的资源请求和限制使用VPA自动调整资源
8. 设置合理的资源请求和限制
9. 使用VPA自动调整资源

内存限制过低：

• 增加Pod内存限制
• 优化应用内存使用

CPU限制过低：

• 增加Pod CPU限制
• 优化应用CPU使用

资源请求和限制不平衡：

• 设置合理的资源请求和限制
• 使用VPA自动调整资源

调试工具和技巧

kubectl debug命令可以创建调试容器来排查问题。

2. # 创建调试容器
3. kubectl debug -it <pod-name> --image=busybox -- /bin/sh
5. # 复制节点上的调试工具
6. kubectl debug -it <node-name> --image=alpine -- chroot /host

复制代码

创建临时Pod来测试网络和DNS。

2. apiVersion: v1
3. kind: Pod
4. metadata:
5.   name: debug-pod
6. spec:
7.   containers:
8.   - name: debug-container
9.     image: busybox
10.     command: ["sleep", "3600"]

复制代码

2. # 测试网络连接
3. kubectl exec debug-pod -- wget -qO- http://<service-url>
5. # 测试DNS解析
6. kubectl exec debug-pod -- nslookup <service-name>

复制代码

使用端口转发来访问集群内部服务。

2. # 转发Pod端口
3. kubectl port-forward <pod-name> 8080:80
5. # 转发Service端口
6. kubectl port-forward svc/<service-name> 8080:80

复制代码

Ephemeral Containers是Kubernetes 1.16+中的特性，用于排查运行中的Pod。

2. # 添加临时容器
3. kubectl debug -it <pod-name> --image=busybox --target=<container-name> -- /bin/sh

复制代码

最佳实践

在Kubernetes上部署和管理微服务时，遵循最佳实践可以提高系统的可靠性、安全性和可维护性。本节将介绍一些重要的最佳实践。

安全最佳实践

命名空间提供了一种将集群资源划分为多个虚拟集群的方式，有助于资源隔离和管理。

2. apiVersion: v1
3. kind: Namespace
4. metadata:
5.   name: production
6.   labels:
7.     name: production
8. ---
9. apiVersion: v1
10. kind: Namespace
11. metadata:
12.   name: staging
13.   labels:
14.     name: staging
15. ---
16. apiVersion: v1
17. kind: Namespace
18. metadata:
19.   name: development
20.   labels:
21.     name: development

复制代码

基于角色的访问控制（RBAC）允许精细控制用户和服务账户对资源的访问权限。

2. # 创建ServiceAccount
3. apiVersion: v1
4. kind: ServiceAccount
5. metadata:
6.   name: my-service-account
7.   namespace: production
9. # 创建Role
10. apiVersion: rbac.authorization.k8s.io/v1
11. kind: Role
12. metadata:
13.   name: my-role
14.   namespace: production
15. rules:
16. - apiGroups: [""]
17.   resources: ["pods", "services"]
18.   verbs: ["get", "list", "watch"]
20. # 创建RoleBinding
21. apiVersion: rbac.authorization.k8s.io/v1
22. kind: RoleBinding
23. metadata:
24.   name: my-role-binding
25.   namespace: production
26. subjects:
27. - kind: ServiceAccount
28.   name: my-service-account
29.   namespace: production
30. roleRef:
31.   kind: Role
32.   name: my-role
33.   apiGroup: rbac.authorization.k8s.io

复制代码

网络策略允许控制Pod之间的网络通信，提高安全性。

2. apiVersion: networking.k8s.io/v1
3. kind: NetworkPolicy
4. metadata:
5.   name: allow-database-access
6.   namespace: production
7. spec:
8.   podSelector:
9.     matchLabels:
10.       app: database
11.   policyTypes:
12.   - Ingress
13.   ingress:
14.   - from:
15.     - podSelector:
16.         matchLabels:
17.           app: backend
18.     ports:
19.     - protocol: TCP
20.       port: 5432

复制代码

Secret用于存储敏感数据，如密码、API密钥等。

2. apiVersion: v1
3. kind: Secret
4. metadata:
5.   name: database-credentials
6.   namespace: production
7. type: Opaque
8. data:
9.   username: cG9zdGdyZXM=  # base64编码的"postgres"
10.   password: cG9zdGdyZXNfcGFzc3dvcmQ=  # base64编码的"postgres_password"

复制代码

Pod安全策略（PodSecurityPolicy）控制Pod的安全配置。

2. apiVersion: policy/v1beta1
3. kind: PodSecurityPolicy
4. metadata:
5.   name: my-psp
6. spec:
7.   privileged: false
8.   allowPrivilegeEscalation: false
9.   requiredDropCapabilities:
10.     - ALL
11.   volumes:
12.     - 'configMap'
13.     - 'emptyDir'
14.     - 'projected'
15.     - 'secret'
16.     - 'downwardAPI'
17.     - 'persistentVolumeClaim'
18.   runAsUser:
19.     rule: 'MustRunAsNonRoot'
20.   seLinux:
21.     rule: 'RunAsAny'
22.   fsGroup:
23.     rule: 'RunAsAny'

复制代码

资源管理最佳实践

为Pod设置适当的资源请求和限制，确保应用有足够的资源运行，同时防止资源滥用。

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   template:
8.     spec:
9.       containers:
10.       - name: my-container
11.         image: my-username/my-service:1.0.0
12.         resources:
13.           requests:
14.             memory: "256Mi"
15.             cpu: "250m"
16.           limits:
17.             memory: "512Mi"
18.             cpu: "500m"

复制代码

资源配额限制命名空间中可以使用的资源总量。

2. apiVersion: v1
3. kind: ResourceQuota
4. metadata:
5.   name: my-quota
6.   namespace: production
7. spec:
8.   hard:
9.     requests.cpu: "4"
10.     requests.memory: "8Gi"
11.     limits.cpu: "8"
12.     limits.memory: "16Gi"
13.     pods: "10"
14.     persistentvolumeclaims: "5"

复制代码

LimitRange设置命名空间中Pod和容器的默认资源请求和限制。

2. apiVersion: v1
3. kind: LimitRange
4. metadata:
5.   name: my-limit-range
6.   namespace: production
7. spec:
8.   limits:
9.   - default:
10.       memory: "512Mi"
11.       cpu: "500m"
12.     defaultRequest:
13.       memory: "256Mi"
14.       cpu: "250m"
15.     type: Container

复制代码

使用HPA和VPA自动调整Pod数量和资源。

2. apiVersion: autoscaling/v2
3. kind: HorizontalPodAutoscaler
4. metadata:
5.   name: my-hpa
6.   namespace: production
7. spec:
8.   scaleTargetRef:
9.     apiVersion: apps/v1
10.     kind: Deployment
11.     name: my-deployment
12.   minReplicas: 2
13.   maxReplicas: 10
14.   metrics:
15.   - type: Resource
16.     resource:
17.       name: cpu
18.       target:
19.         type: Utilization
20.         averageUtilization: 50

复制代码

应用部署最佳实践

为应用配置适当的健康检查，确保Kubernetes可以正确管理Pod生命周期。

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   template:
8.     spec:
9.       containers:
10.       - name: my-container
11.         image: my-username/my-service:1.0.0
12.         livenessProbe:
13.           httpGet:
14.             path: /health
15.             port: 8080
16.           initialDelaySeconds: 30
17.           periodSeconds: 10
18.         readinessProbe:
19.           httpGet:
20.             path: /ready
21.             port: 8080
22.           initialDelaySeconds: 5
23.           periodSeconds: 5

复制代码

配置滚动更新策略，确保应用更新过程中不中断服务。

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   strategy:
8.     type: RollingUpdate
9.     rollingUpdate:
10.       maxUnavailable: 1
11.       maxSurge: 1
12.   # ...

复制代码

使用PodDisruptionBudget确保在维护期间应用的高可用性。

2. apiVersion: policy/v1
3. kind: PodDisruptionBudget
4. metadata:
5.   name: my-pdb
6.   namespace: production
7. spec:
8.   minAvailable: 2
9.   selector:
10.     matchLabels:
11.       app: my-app

复制代码

使用反亲和性规则将Pod分散到不同的节点，提高可用性。

2. apiVersion: apps/v1
3. kind: Deployment
4. metadata:
5.   name: my-deployment
6. spec:
7.   template:
8.     spec:
9.       affinity:
10.         podAntiAffinity:
11.           requiredDuringSchedulingIgnoredDuringExecution:
12.           - labelSelector:
13.               matchExpressions:
14.               - key: app
15.                 operator: In
16.                 values:
17.                 - my-app
18.             topologyKey: "kubernetes.io/hostname"
19.       # ...

复制代码

配置管理最佳实践

使用ConfigMap将配置与应用代码分离。

2. apiVersion: v1
3. kind: ConfigMap
4. metadata:
5.   name: app-config
6.   namespace: production
7. data:
8.   application.properties: |
9.     server.port=8080
10.     logging.level.root=INFO
11.     spring.datasource.url=jdbc:postgresql://postgres-service:5432/mydb
12.   database_url: "jdbc:postgresql://postgres-service:5432/mydb"

复制代码

为配置添加版本控制，便于追踪变更和回滚。

2. apiVersion: v1
3. kind: ConfigMap
4. metadata:
5.   name: app-config-v1
6.   namespace: production
7.   labels:
8.     version: "1.0"
9. data:
10.   # ...

复制代码

使用Reloader等工具在配置变更时自动重启应用。

2. # 安装Reloader
3. kubectl apply -f https://raw.githubusercontent.com/stakater/Reloader/master/deployments/kubernetes/reloader.yaml
5. # 在Deployment中添加注解
6. apiVersion: apps/v1
7. kind: Deployment
8. metadata:
9.   name: my-deployment
10.   annotations:
11.     reloader.stakater.com/auto: "true"
12.   # ...

复制代码

监控和日志最佳实践

使用结构化日志格式，便于查询和分析。

2. {
3.   "timestamp": "2023-01-01T12:00:00Z",
4.   "level": "INFO",
5.   "service": "user-service",
6.   "message": "User login successful",
7.   "userId": "12345",
8.   "ip": "192.168.1.100"
9. }

复制代码

使用Jaeger或Zipkin等工具实现分布式追踪，了解请求在系统中的传播路径。

2. # Jaeger配置
3. apiVersion: jaegertracing.io/v1
4. kind: Jaeger
5. metadata:
6.   name: jaeger
7.   namespace: observability
8. spec:
9.   strategy: allInOne
10.   allInOne:
11.     image: jaegertracing/all-in-one:latest
12.     options:
13.       log-level: info

复制代码

设置适当的告警规则，及时发现和解决问题。

2. # Prometheus告警规则示例
3. groups:
4. - name: example
5.   rules:
6.   - alert: HighPodMemory
7.     expr: sum(container_memory_usage_bytes{pod!=""}) / sum(container_spec_memory_limit_bytes{pod!=""}) > 0.8
8.     for: 5m
9.     labels:
10.       severity: warning
11.     annotations:
12.       summary: "High memory usage detected"
13.       description: "Pod memory usage is above 80% for 5 minutes"

复制代码

CI/CD最佳实践

使用GitOps进行持续部署，通过Git管理应用状态。

2. # Argo CD Application示例
3. apiVersion: argoproj.io/v1alpha1
4. kind: Application
5. metadata:
6.   name: my-app
7.   namespace: argocd
8. spec:
9.   project: default
10.   source:
11.     repoURL: https://github.com/my-org/my-app.git
12.     targetRevision: HEAD
13.     path: kubernetes
14.   destination:
15.     server: https://kubernetes.default.svc
16.     namespace: production
17.   syncPolicy:
18.     automated:
19.       prune: true
20.       selfHeal: true

复制代码

使用蓝绿部署策略减少部署风险。

2. # 蓝环境部署
3. apiVersion: apps/v1
4. kind: Deployment
5. metadata:
6.   name: my-app-blue
7. spec:
8.   replicas: 3
9.   # ...
11. # 绿环境部署
12. apiVersion: apps/v1
13. kind: Deployment
14. metadata:
15.   name: my-app-green
16. spec:
17.   replicas: 3
18.   # ...
20. # 使用Service切换流量
21. apiVersion: v1
22. kind: Service
23. metadata:
24.   name: my-app
25. spec:
26.   selector:
27.     app: my-app-green  # 切换到my-app-blue以回滚
28.   # ...

复制代码

使用金丝雀发布策略逐步推出新版本。

2. # 使用Istio进行金丝雀发布
3. apiVersion: networking.istio.io/v1alpha3
4. kind: VirtualService
5. metadata:
6.   name: my-app
7. spec:
8.   hosts:
9.   - my-app.example.com
10.   http:
11.   - route:
12.     - destination:
13.         host: my-app
14.         subset: v1
15.       weight: 90
16.     - destination:
17.         host: my-app
18.         subset: v2
19.       weight: 10

复制代码

总结与展望

本文详细介绍了Kubernetes微服务部署的各个方面，从基础概念到实战技巧，再到最佳实践。通过学习这些内容，你应该能够：

1. 理解Kubernetes的核心概念和架构
2. 搭建和管理Kubernetes集群
3. 将微服务应用容器化并部署到Kubernetes
4. 管理微服务的配置和敏感数据
5. 实现服务发现和负载均衡
6. 配置自动扩缩容以应对负载变化
7. 设置监控和日志系统
8. 排查常见问题
9. 遵循最佳实践确保系统的安全性和可靠性

Kubernetes作为一个快速发展的项目，不断推出新功能和改进。未来，我们可以期待以下发展方向：

1. 服务网格的集成：Kubernetes与服务网格（如Istio、Linkerd）的集成将更加紧密，提供更强大的流量管理、安全性和可观察性。
2. GitOps的普及：GitOps作为一种持续部署方法，将成为Kubernetes应用部署的主流方式。
3. 无服务器架构的融合：Kubernetes与无服务器技术（如Knative）的结合，将提供更灵活的应用部署和管理方式。
4. 多集群管理：随着企业应用规模的扩大，多集群管理工具（如Karmada、Cluster API）将变得更加重要。
5. 边缘计算支持：Kubernetes在边缘计算场景的应用将更加广泛，支持更轻量级的部署和管理。
6. 安全性的增强：Kubernetes将继续加强安全性，提供更强大的身份验证、授权和网络策略功能。

服务网格的集成：Kubernetes与服务网格（如Istio、Linkerd）的集成将更加紧密，提供更强大的流量管理、安全性和可观察性。

GitOps的普及：GitOps作为一种持续部署方法，将成为Kubernetes应用部署的主流方式。

无服务器架构的融合：Kubernetes与无服务器技术（如Knative）的结合，将提供更灵活的应用部署和管理方式。

多集群管理：随着企业应用规模的扩大，多集群管理工具（如Karmada、Cluster API）将变得更加重要。

边缘计算支持：Kubernetes在边缘计算场景的应用将更加广泛，支持更轻量级的部署和管理。

安全性的增强：Kubernetes将继续加强安全性，提供更强大的身份验证、授权和网络策略功能。

作为开发者和运维人员，持续学习和实践是掌握Kubernetes的关键。希望本文能够帮助你建立坚实的Kubernetes基础，并在实际工作中应用这些知识和技能。

最后，记住Kubernetes是一个强大的工具，但也是一个复杂的系统。在实际应用中，始终保持简单和实用，根据团队和项目的需求选择合适的解决方案。随着经验的积累，你将能够更加自信地使用Kubernetes部署和管理微服务应用。

版权声明

1、转载或引用本网站内容(Kubernetes微服务部署实战指南从零开始掌握容器化应用部署与管理技巧解决实际开发中的常见问题)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://www.pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://www.pixtech.cc/thread-36869-1-1.html