Kubernetes 概念

在多部機器上部署應用程式 （使用部署在 Pod 中的容器）

監控容器運作狀態並重新啟動失敗的容器

根據負載上下擴展容器

使用新版本更新容器

在容器之間分配資源

平衡跨機器的流量

容器化 - Kubernetes 是容器調度工具。使用 Kubernetes，您必須先將應用程式容器化。視應用程式類型而定，這可能是一組微型服務、批次工作或其他形式。然後，您的應用程式可以利用 Kubernetes 工作流程包含龐大的工具生態系統，其中容器可以儲存為容器登錄檔中的映像，部署到 Kubernetes 叢集，並在可用的節點上執行。您可以在本機電腦上使用 建置和測試個別容器 Docker 或其他容器執行期，然後再將其部署到您的 Kubernetes 叢集。

可擴展 — 如果應用程式的需求超過這些應用程式執行中執行個體的容量，Kubernetes 能夠擴展。視需要，Kubernetes 可以判斷應用程式是否需要更多 CPU 或記憶體，並透過自動擴展可用容量或使用更多現有容量來回應。如果有足夠的運算可以只執行更多應用程式執行個體 (水平 Pod 自動擴展)，也可以在節點層級執行擴展，如果需要增加更多節點來處理增加的容量 (Cluster Autoscaler 或 Karpenter)。由於不再需要容量，這些服務可以刪除不必要的 Pod 並關閉不需要的節點。

可用：如果應用程式或節點變得運作狀態不佳或無法使用，Kubernetes 可以將執行中的工作負載移至另一個可用的節點。您只需刪除正在執行工作負載的工作負載或節點的執行中執行個體，即可強制問題發生。這裡的重點是，如果工作負載無法再執行到原地，則可以在其他位置提出工作負載。

宣告式 - Kubernetes 使用主動對帳來持續檢查您為叢集宣告的狀態是否符合實際狀態。例如，透過將 Kubernetes 物件套用到叢集，通常透過 YAML 格式的組態檔案，您可以要求啟動要在叢集上執行的工作負載。您可以稍後將組態變更為執行某些動作，例如使用較新版本的容器或配置更多記憶體。Kubernetes 會執行建立所需狀態所需的動作。這可能包括將節點提升或降低、停止和重新啟動工作負載，或提取更新的容器。

可組合 - 由於應用程式通常由多個元件組成，因此您希望能夠同時管理一組這些元件 （通常由多個容器表示）。雖然 Docker Compose 提供直接使用 的方法 Docker、Kubernetes Kompose 命令可協助您使用 執行此操作 Kubernetes。 如需如何執行此操作的範例，請參閱將 Docker 撰寫檔案轉換為 Kubernetes 資源。

可擴展 — 與專屬軟體不同，開放原始碼 Kubernetes 專案旨在向您開放擴展 Kubernetes 任何您喜歡的方式來滿足您的需求。APIs 和組態檔案開放直接修改。鼓勵第三方編寫自己的控制器，以擴展基礎設施和最終使用者 Kubernetes 壯舉。Webhooks 可讓您設定叢集規則，以強制執行政策並適應不斷變化的條件。如需如何延伸的更多想法 Kubernetes 叢集，請參閱擴展 Kubernetes。

可攜式：許多組織已將 上的操作標準化 Kubernetes 因為它允許他們以相同的方式管理所有應用程式需求。開發人員可以使用相同的管道來建置和存放容器化應用程式。然後，這些應用程式可以部署到 Kubernetes 在內部部署、雲端、餐廳中的 on point-of-sales 終端機或分散在公司遠端站台的 IOT 裝置上執行的叢集。其開放原始碼性質可讓人們開發這些特殊的 Kubernetes 分佈，以及管理這些分佈所需的工具。

硬體：如果您沒有可執行的硬體 Kubernetes 根據您的需求，Amazon AWS EKS 等雲端供應商可以為您節省預付成本。使用 Amazon EKS，這表示您可以使用由 提供的最佳雲端資源 AWS，包括電腦執行個體 (Amazon Elastic Compute Cloud)、您自己的私有環境 (Amazon VPC)、中央身分和許可管理 (IAM) 和儲存 (Amazon EBS)。 AWS 管理電腦、網路、資料中心和執行所需的所有其他實體元件 Kubernetes。 同樣地，您不需要規劃資料中心來處理需求最高的天數的最大容量。對於 Amazon EKS Anywhere 或其他內部部署 Kubernetes 叢集，您有責任管理 中使用的基礎設施 Kubernetes 部署，但您仍然可以依賴 AWS 來協助您保持 Kubernetes 最新。

控制平面管理 — Amazon EKS 管理 AWS託管 的安全性和可用性 Kubernetes 控制平面，負責排程容器、管理應用程式的可用性和其他關鍵任務，因此您可以專注於應用程式工作負載。如果您的叢集中斷， AWS 應該有將叢集還原至執行中狀態的方法。對於 Amazon EKS Anywhere，您可以自行管理控制平面。

已測試的升級：當您升級叢集時，您可以依賴 Amazon EKS 或 Amazon EKS Anywhere 提供其 已測試版本的 Kubernetes 分佈。

附加元件 - 有數百個專案可進行擴展和使用 Kubernetes 您可以新增至叢集的基礎設施，或使用 來協助工作負載的執行。 AWS 提供可與叢集搭配使用的 Amazon EKS 附加元件Amazon EKS 附加元件，而不是自行建置和管理這些附加元件。Amazon EKS Anywhere 提供託管套件，其中包含許多熱門開放原始碼專案的建置。因此，您不必自行建置軟體，也不必管理重要的安全修補程式、錯誤修正或升級。同樣地，如果預設值符合您的需求，則通常只需要極少的這些附加元件組態。如需使用附加元件擴展叢集的詳細資訊擴展叢集，請參閱 。

受管控制平面 —AWS 確保 Amazon EKS 叢集可用且可擴展，因為它會為您管理控制平面，並使其在 AWS 可用區域中可用。

節點管理 - 您可以使用 使用受管節點群組簡化節點生命週期Managed Node Groups 或 Karpenter，讓 Amazon EKS 視需要自動建立節點，而不是手動新增節點。受管節點群組具有與 的整合 Kubernetes Cluster Autoscaling。使用節點管理工具，您可以使用 Spot 執行個體和節點合併等功能，以及可用性來利用節省成本，使用排程功能來設定部署工作負載和選擇節點的方式。

叢集聯網 — 使用 CloudFormation 範本，在 中eksctl設定控制平面和資料平面 （節點） 元件之間的聯網 Kubernetes 叢集。它也會設定可進行內部和外部通訊的端點。如需詳細資訊，請參閱解譯 Amazon EKS 工作者節點的叢集聯網。Amazon EKS 中的 Pod 之間的通訊是使用 了解如何 EKS Pod Identity 授予 Pod 對 AWS 服務的存取權Amazon EKS Pod 身分來完成，其提供讓 Pod 利用 AWS 雲端方法來管理憑證和許可。

附加元件 — Amazon EKS 可讓您無需建置和新增通常用於支援的軟體元件 Kubernetes 叢集。例如，當您從 AWS Management 主控台建立 Amazon EKS 叢集時，它會自動新增 Amazon EKS 在 Amazon EKS 叢集kube-proxy中管理kube-proxy、Amazon VPC CNIAmazon VPC CNI Kubernetes、 和 在 Amazon DNS 叢集DNS中管理 CoreWord for EKS CoreDNS 附加元件。Amazon EKS 附加元件 如需這些附加元件的詳細資訊，請參閱 ，包括可用的 清單。

與叢集元件 (API 伺服器） 通訊 — API 伺服器 (kube-apiserver) 公開 Kubernetes 因此，可以從叢集的內部和外部對叢集提出請求的API。換句話說，新增或變更叢集物件 (Pod、服務、節點等） 的請求可能來自外部命令，例如來自 執行 Pod kubectl的請求。同樣地，也可以從 API 伺服器向叢集內的元件提出請求，例如查詢 kubelet Pod 狀態的服務。

儲存有關叢集的資料 (*etcd 金鑰值存放區）* — etcd服務提供追蹤叢集目前狀態的關鍵角色。如果etcd服務變得無法存取，您將無法更新或查詢叢集的狀態，但工作負載會繼續執行一段時間。因此，關鍵叢集通常具有多個同時執行etcd的服務負載平衡執行個體，並在資料遺失或損毀時定期備份etcd金鑰值存放區。請記住，在 Amazon EKS 中，預設會自動為您處理。Amazon EKS Anywhere 提供蝕刻備份和還原的指示。請參閱 etcd`https://etcd.io/docs/v3.5/learning/data_model/[Data Model] to learn how `etcd管理資料。

將 Pod 排程至節點 （排程器） — 請求在 中啟動或停止 Pod Kubernetes 會導向 Kubernetes Scheduler (kube-scheduler)。由於叢集可能有多個節點可以執行 Pod，因此 Pod 應該在哪個節點 （或節點，如果是複本） 上執行。如果可用容量不足，無法在現有節點上執行請求的 Pod，則除非您有其他條款，否則請求將會失敗。這些規定可能包括啟用 使用受管節點群組簡化節點生命週期Managed Node Groups 或 Karpenter 等服務，這些服務可以自動啟動新的節點來處理工作負載。

將元件保持在所需狀態 (Controller Manager) — Kubernetes Controller Manager 會以常駐程式程序 (kube-controller-manager) 執行，以監控叢集的狀態，並變更叢集以重新建立預期狀態。特別是，有幾個控制器可監控不同的 Kubernetes 物件，其中包含 statefulset-controller、endpoint-controller、cronjob-controller、 node-controller和其他。

管理雲端資源 (Cloud Controller Manager) — 之間的互動 Kubernetes 和執行基礎資料中心資源請求的雲端提供者，是由 Cloud Controller Manager (cloud-controller-manager) 處理。Cloud Controller Manager 管理的控制器可以包括路由控制器 （用於設定雲端網路路由）、服務控制器 （用於使用雲端負載平衡服務） 和節點生命週期控制器 （以在節點的整個生命週期中與 Kubernetes 保持同步）。

管理每個節點 (*kubelet)* — API 伺服器會與在每個節點上執行的 kubelet 服務進行通訊，以確保節點已正確註冊，且排程器要求的 Pod 正在執行中。kubelet 可以讀取 Pod 清單，並在本機系統上設定 Pod 所需的儲存磁碟區或其他功能。它也可以檢查本機執行中容器的運作狀態。

在節點上執行容器 （容器執行期） — 每個節點上的容器執行期會管理指派給節點的每個 Pod 所需的容器。這表示它可以從適當的登錄檔提取容器映像、執行容器、停止容器，以及回應容器的查詢。預設容器執行時間是容器化的。截至 Kubernetes 1.24，特殊整合 Docker 可用作容器執行期的 (dockershim) 已從 捨棄 Kubernetes。 雖然您仍然可以使用 Docker 在本機系統上測試和執行容器、使用 Docker 取代為 Kubernetes 您現在必須在每個節點上安裝 Docker 引擎，以搭配 使用 Kubernetes.

管理容器之間的聯網 (kube-proxy) — 若要支援 Pod 之間的通訊，Kubernetes 使用稱為 服務的 功能來設定 Pod 網路，以追蹤與這些 Pod 相關聯的 IP 地址和連接埠。kube-proxy 服務在每個節點上執行，以允許 Pod 之間的通訊進行。

基本映像：基本容器映像通常是從作業系統檔案系統 （例如 Red Hat Enterprise Linux 或 Ubuntu) 的最小版本，或是增強以提供軟體來執行特定類型應用程式 （例如節點或 python 應用程式） 的最小系統建置的容器。

應用程式軟體 — 您可以將應用程式軟體新增至容器，方法與將軟體新增至 Linux 系統的方式大致相同。例如，您可以在 Dockerfile 中執行 npm和 yarn 安裝 Java 應用程式或 yum和 dnf 安裝 RPM 套件。換句話說，在 Dockerfile 中使用 RUN 命令，您可以執行基礎映像的檔案系統中可用的任何命令，以便在產生的容器映像內安裝軟體或設定軟體。

指示 — Dockerfile 參考說明您可以在設定時新增至 Dockerfile 的指示。其中包括用於建置容器本身 (ADD 或本機系統中COPY的檔案） 的說明、識別容器執行時要執行的命令 (CMD 或 ENTRYPOINT)，以及將容器連接至其執行所在的系統 （透過識別USER要執行的 、VOLUME要掛載的本機 或要掛載的連接埠）EXPOSE。

儲存體 - 停止和刪除執行中的容器時，該容器中的資料儲存體會消失，除非您設定更永久的儲存體。Kubernetes 支援許多不同的儲存體類型，並在磁碟區傘下進行摘要。儲存類型包括 CephFS、NFS、iSCSI 和其他。您甚至可以從本機電腦使用本機區塊裝置。透過叢集提供的其中一種儲存類型，您可以將儲存磁碟區掛載到容器檔案系統中選取的掛載點。持久性磁碟區是在刪除 Pod 後繼續存在的磁碟區，而刪除 Pod 時則會刪除偶發磁碟區。如果您的叢集管理員為叢集建立不同的 StorageClasses，您可以選擇您使用的儲存體屬性，例如使用後是否刪除或回收磁碟區、是否需要更多空間時是否會擴展，甚至是是否符合特定效能需求。

秘密 - 透過讓秘密可供 Pod 規格中的容器使用，您可以提供這些容器存取檔案系統、資料庫或其他受保護資產所需的許可。金鑰、密碼和權杖是可以儲存為秘密的項目。使用秘密可讓您不必將此資訊存放在容器映像中，而只需要將秘密提供給執行中的容器即可。類似於秘密是 ConfigMaps。ConfigMap 往往會保留較不重要的資訊，例如用於設定服務的鍵值對。

容器資源 — 用於進一步設定容器的物件可以採用資源組態的形式。對於每個容器，您可以請求其可以使用的記憶體和 CPU 數量，以及設定容器可以使用之資源總數量的限制。如需範例，請參閱 Pod 和容器的資源管理。

中斷：Pod 可能會非自願中斷 （節點關閉） 或自願中斷 （需要升級）。透過設定 Pod 中斷預算，您可以對應用程式在中斷發生時保持可用狀態進行一些控制。如需範例，請參閱指定應用程式的中斷預算。

命名空間 — Kubernetes 提供不同的隔離方式 Kubernetes 元件和工作負載。在同一命名空間中執行特定應用程式的所有 Pod，是一起保護和管理這些 Pod 的常見方式。您可以建立自己的命名空間來使用，或選擇不指示命名空間 （這會導致 Kubernetes 使用default命名空間）。Kubernetes 控制平面元件通常在 kube-system 命名空間中執行。

無狀態應用程式：無狀態應用程式不會儲存用戶端的工作階段資料，因此另一個工作階段不需要參考先前工作階段發生的情況。如果 Pod 變得運作狀態不佳或四處移動而不儲存狀態，這就更容易將 Pod 替換為新的 Pod。如果您執行的是無狀態應用程式 （例如 Web 伺服器），您可以使用部署來部署 Pod 和 ReplicaSets。A ReplicaSet 定義您希望同時執行的 Pod 執行個體數量。雖然您可以直接執行 a ReplicaSet ，但通常會直接在部署中執行複本，以定義一次應執行的 Pod 複本數量。

具狀態應用程式：具狀態應用程式是 Pod 的身分和啟動 Pod 的順序很重要的應用程式。這些應用程式需要穩定且需要以一致方式部署和擴展的持久性儲存體。在 中部署具狀態應用程式 Kubernetes，您可以使用 StatefulSets。通常以 a StatefulSet 執行的應用程式範例是資料庫。在 a StatefulSet 中，您可以定義複本、Pod 及其容器、要掛載的儲存磁碟區，以及儲存資料的容器中的位置。如需以 a ReplicaSet 部署的資料庫範例，請參閱執行複寫狀態應用程式。

每個節點應用程式：有時您想要在 中的每個節點上執行應用程式 Kubernetes 叢集。例如，您的資料中心可能需要每個電腦執行監控應用程式或特定的遠端存取服務。用於 Kubernetes，您可以使用 DaemonSet 來確保選取的應用程式在您叢集的每個節點上執行。

應用程式執行到完成 — 您想要執行某些應用程式來完成特定任務。這可能包括執行每月狀態報告或清除舊資料。任務物件可用來設定應用程式以啟動和執行，然後在任務完成時結束。CronJob 物件可讓您使用 Linux crontab 格式定義的結構，將應用程式設定為在某個特定小時、分鐘、月中的日期、月或週中的日期執行。

服務 - 由於 Pod 可以移動到不同的節點和地址，因此另一個需要與第一個 Pod 通訊的 Pod 可能會發現很難找到所在位置。若要解決此問題，Kubernetes 可讓您將應用程式表示為服務。使用 服務時，您可以識別具有特定名稱的 Pod 或一組 Pod，然後指出哪個連接埠會公開該應用程式的 Pod 服務，以及另一個應用程式可以使用哪些連接埠來聯絡該服務。叢集中的另一個 Pod 可以僅依名稱和 請求服務 Kubernetes 會將該請求導向執行該服務的 Pod 執行個體的正確連接埠。

輸入 - 輸入可讓應用程式由 表示 Kubernetes 叢集外用戶端可用的服務。輸入的基本功能包括負載平衡器 （由輸入管理）、輸入控制器，以及將請求從控制器路由至服務的規則。有數個輸入控制器可供選擇 Kubernetes.

Amazon EKS – eksctl 入門建立簡單的叢集

建立 Amazon EKS 叢集建立更複雜的叢集

在 Linux 上部署範例應用程式部署範例應用程式

組織和監控叢集資源探索管理叢集的方式