Kubernetes core concepts: Part 3 - 4

[bmson7112]

Networking

1. Within a pod.

• Các container được kết nối với nhau qua localhost
• Chia sẻ địa chỉ IP để gia nhập mà mạng trong cụm
• Mỗi container trong pod sẽ chia sẽ chung 1 networking namespace, điều này cho phép container có thể có cùng 1 tài nguyên mạng như là địa chỉ IP , port của pod

2. Pod to pod

• Mỗi 1 pod có 1 namespace riêng, chứa các container
• Trong kubernetes mỗi pod tương ứng 1 địa chỉ IP, các pod có thể giao tiếp với nhau thông qua IP của nó. Khi 1 pod mới được tạo ra thì địa chỉ IP của nó cũng không được trùng lặp
• Trong 1 node, các pod giao tiếp với nhau trên root network namespace bằng virtual brige

=> Bất tiện, khó khăn khi 1 pod chạy lại hoặc có vấn đề gì đó phải khởi động lại khiến cho việc kết nối với mạng khó khăn do thay đổi địa chỉ IP => Sử dụng Service.

3. Networking Service to pod

Khi triển khai service, các pod sẽ được dùng chung 1 địa chỉ IP, DNS

• Chỉ định 1 IP ảo ở FE để kết nối với bất kỳ 1 BE pod nào
• Load - balance bất kỳ lưu lượng truy cập nào được gửi tới IP này cho tập hợp các BE pod
• Theo dõi IP của pod, đảm bảo không gặp vấn đề gì khi IP thay đổi vì FE chỉ kết nối với IP của Service
• In-cluster load balancing diễn ra theo 2 cách:
  • IPTABLES: Theo dõi các thay đổi trong API Server. Đối với mỗi service mới, nó sẽ cài đặt quy tắc iptable để thu thập lưu lượng truy cập đến cluster vào port, sau đó chuyển hướng lưu lượng truy cập đến BE pod
  • IPVS: Cân bằng tải như tầng vận chuyển , chuyển hướng lưu lượng với độ trể thấp hơn, thông lượng cao hơn, hiệu suất tốt hơn so với IPTABLES

4. Kubernetes Service Type:

• CluterIP

  • Là 1 service mặc định, làm cho service chỉ có thể truy cập đươc từ bên trong cụm, cho phép các app trong cumj giao tiếp với nhau, không truy cập được ra bên ngoài
  • Làm việc bằng cách tạo 1 địa chỉ IP duy nhất cho service, khi có thành phần nào trong cluster muốn truy cập vào service này thì nó sẽ truy cập tới IP của service
  • Khi 1 request đươc gửi đến IP của service, load balancẻr sẽ thực hiện định tuyến yêu cầu đến pod bên trong service

• NodePort

  • Là cách kết nối external traffic trực tiếp với tới service
  • Khi một nodeport được tạo, Kubernetes sẽ đặt 1 cổng(Port) cho mỗi node trong cụm
  • Khi truy cập 1 dịch vụ bên trong cluster, việc đặt cổng cho mỗi Node sẽ cho phép người dùng truy cập vào dich vụ bên trong cluster thông qua địa chỉ IP, cổng.
  • Tận dụng ClusterIp để thực hiện việc cân bằng tải

• Load balancer

  • Tạo và quản lý cân bằng tải nhờ nhà cung cấp dịch vụ bên ngoài
  • Sử dụng ClusterIP để thực hiện cân bằng tải các Pod
  • Được cung cấp 1 địa chỉ IP và định tuyến các yêu cầu tới các Pod trong cluster
  • Mội số phương pháp định tuyến đươc dùng bởi Load balancer:
    • Round-robin: phương pháp này phân phối các yêu cầu đến các máy chủ một cách tuần tự, mỗi máy chủ được chọn theo lượt. Phương pháp này đảm bảo rằng các yêu cầu được phân phối đồng đều cho các máy chủ và tránh tình trạng máy chủ quá tải.
    • Least connections: phân phối các yêu cầu đến máy chủ có ít kết nối nhất, đảm bảo rằng các máy chủ không quá tải. Phương pháp này được sử dụng khi các máy chủ có khả năng xử lý tải khác nhau.
    • IP Hash: phân phối các yêu cầu đến máy chủ dựa trên địa chỉ IP nguồn của yêu cầu. Phương pháp này đảm bảo rằng các yêu cầu từ cùng một nguồn sẽ được phân phối đến cùng một máy chủ, giúp tăng tính ổn định và hiệu suất của hệ thống.
    • Sticky session: định tuyến các yêu cầu từ cùng một phiên làm việc đến cùng một máy chủ, đảm bảo rằng các yêu cầu trong cùng một phiên được xử lý bởi cùng một máy chủ. Phương pháp này được sử dụng cho các ứng dụng đòi hỏi tính nhất quán của phiên làm việc.

• Ingress controler to pod

  • Không hẳn là 1 service, nó đứng trước nhiều service và hoạt động như 1 smart router tới cluster
  • Ingress Controller xác định cách thức định tuyến traffic dựa trên các quy tắc được cấu hình trong các tài nguyên Ingress Kubernetes. Các quy tắc này bao gồm các thông tin về địa chỉ IP, cổng, URI, hostname, protocol, SSL, mà người quản trị cấu hình trên Ingress Controller. Các Ingress Controller phổ biến hiện nay bao gồm: Nginx, Traefik, HAProxy, Envoy,…
  • Sử dụng host header và đánh giá đường dẫn để hướng lưu lượng truy cập
  • Có thể được truy cập từ bên ngoài và được cấu hình với các đối tượng ingress

5. Resource organization

• Cluster: Là mức cô lập cao nhất nhưng đi kèm với quản lý bổ sung.
• Namespaces:
  • Đăcj điểm:
    • Tên 1 tài nguyên phải là duy nhất trong 1 namespace
    • Có thể áp dụng tài nguyên, bảo mật, hạn chế truy cập
• Labels:
  • Có thể tồn tại trên bất kỳ tài nguyên nào trong k8s
  • Các node cũng có label
  • Không đơn thuần chỉ là label, các function cũng gắn liền với chúng

Storage, statefull app

1. Storage

• Volume:

  • Tiếp cận ở các pod, hỗ trợ các cách khác nhau
  • emptyDir: Tạo ra thư mục trống bên trong các node và mount vào các container. Nó được tạo ra khi các pod bắt đầu chạy, đẻ kết nối các container, khi pod chết hoặc dừng hoạt động thì nó cũng mất luôn

• PersistentVolume

  • Là đối tượng lưu trữ được quản lý bởi K8s độc lập hoàn toàn với các pod. Nó có thể đươcj hiểu là được sử dụng để kết nối với các dịch vụ lưu trữ khác ở bên ngoài và được quản lý bởi K8s. PV có thể được yêu cầu bới pod thông qua PVC. Khi 1 pod yêu cầu lưu trữ thông qua PVC, k8s sẽ tìm kiếm và chọn 1 PV phù hợp với yêu cầu của pod. Sau đó k8s sẽ mount PV vào pod, cho phép pod sử dụng lưu trữ của PV.
  • PV cung cấp 1 số tính năng quản lý lưu trữ như:
    • Quản lý vòng đời của PV: đc tạo, xóa, cập nhật, cũng có thể tự động cấp phát cho pod
    • Quản lý lưu trữ 1 cách độc lập: Không phụ thuộc vào pod nên giúp đảm bảo tính sẵn sàng, độ tin cậy, có vòng dời độc lập
    • Quản lý truy cập độc lập: có thể được cấu hình để hỗ trợ các chế độ truy cập khác nhau

• PVC

  • Là đối tượng k8s được dùng để yêu cầu lưu trữ từ 1 PV. Khi nó đc tạo ra, k8s sẽ tìm 1 PV phù hợp với yêu cầu của PVC.Nếu 1 PV phù hợp đc timf thấy thì chúng sẽ liên kết lại với nhau, cho phép sử dụng
  • Quá trình hoạt động của PVC:
    • Người dùng địnhn nghĩa 1 PVC để yêu cầu lưu trữa với các thuộc tính khác nhau như dung lượng, chế độ truy cập
    • Khi PVC được tạo, k8s sẽ tìm kiếm PV phù hợp với các thông số mà người dùng yêu caaif, nếu tìm đc 1 PV phù hợp PVC sẽ được liên kết với PV đó
    • Nếu ko có 1 PV nào phù hợp thì k8s sẽ tự động tạo ra 1 PV để đáp ứng
    • Khi ko còn cần sử dụng PVC đó nữa, PVC có thê bị xóa, PV liên quan ko đc sử dụng nữa thì có thể đc giữ lại sử dụng cho tương lai

2. StatefulSet

• Các đặc tính:
  • Số lượng pod: Hỗ trợ triển khai một ập hợp các pod và duy trì trạng thái của nó
  • Thứ tự triển khai: hỗ trợ triển khai các pod theo thứ tự, cho phép các pod chỉ bắt đầu khi pod trước nó đã dược triển khai và sẵn sàng
  • Khởi động laị: hỗ trợ khởi động lại các pod theo thứ tự, đảm bảo tính nhất quán cảu dữ liệu
  • Thay đổi cấu hình: Hỗ trợ việc thay đổi cấu hình của pod 1 cách an toàn, đảm bảo dữ liệu đc bảo vệ
• Mỗi pod được tạo ra bởi StatefulSet sẽ có một tên duy nhất và bộ nhớ lưu trữ được gắn kết với nó
• Persistent Storage: Triển khai thông qua PV, PVC

3. Image Configurability

• Các cấu hình có thể bị chèn hoặc ghi đè
• Người dùng sẽ có 2 cách tiếp cận để thay đổi:
  • Sử dụng mặc định nếu ko có cấu hình nào đc cung cấp
  • Yêu cầu cấu hình và không hoạt động nếu không đc cung cấp cấu hình

4. ConfigMap

• Có thể tạo bằng cách sử dụng file YAML hoặc dùng lệnh kubectl
• Được tạo ra để quản lý các cặp giá trị key-value
• ConfigMap có thể được sử dụng để lưu trữ các giá trị như địa chỉ IP, tên miền, cổng kết nối, thông tin đăng nhập, cấu hình môi trường, .. được sử dụng bởi các container trong pod
• Mỗi ConfigMap có một tên duy nhất để xác định nó trong Kubernetes, và có thể được liên kết với các pod bằng cách sử dụng một volume trong pod.Các container trong pod có thể sử dụng các giá trị được định nghĩa trong ConfigMap thông qua các biến môi trường hoặc các tệp cấu hình.

5. Secret

• Là một tài nguyên được sử dụng để lưu trữ các thông tin nhạy cảm như thông tin đăng nhập, chứng chỉ SSL, khóa mã hóa,…
• Thông tin phải được mã hóa Base64
• Giống như ConfigMap. Secret được liên kết với các pod thông qua env hoặc volume

[bmson7112]

So sánh Deployment với StatefulSet

1. Deployment

   • Deployment là tài nguyên Kubernetes dễ dàng nhất và được sử dụng nhiều nhất để triển khai ứng dụng, cho phép quản lý vòng đời của các pod thông qua Replicaset.

   • Deployment chứa đặc tả (specification) cho một Pod và các thông tin thêm, như số lượng Pod để chạy. ReplicaSet được tạo khi Deployment được tạo hoặc được chỉnh sửa và ReplicaSet thật sự được dùng như định nghĩa để tạo Pod.

     

• Thường được sử dụng để chạy ứng dụng Stateless mà việc thay đổi quy mô diễn ra bằng cách thay đổi số các bản sao của pod.

• K8s sẽ cung cấp cân bằng tải để định tuyến các luồng truy cập đến vì vậy khi muốn mở rộng quy mô chỉ cần yêu cầu 1 số lượng bản sao của pod lớn hơn. Các pod mới được tạo sẽ khởi động cùn với biến môi trường và cùng 1 ConfigMap được gắn vào cho phép chúng có thể liên kết với cơ sơ dữ liệu giống các pod ban đầu

  

2. StatefulSet

   • Được sử dụng để quản lý các ứng dụng stateful, nó quản lý việc triển khai (deployment) và mở rộng (scaling) của một nhóm các Pod, đồng thời nó cũng cung cấp sự đảm bảo về thứ tự và tính duy nhất của các Pod này có nghĩa mỗi pod sẽ có 1 thứ tự cố định và tên riêng
   • StatefulSet cũng là một Controller nhưng không giống như Deployments, nó không tạo ReplicaSet mà chính nó tạo Pod với quy ước đặt tên duy nhất

   • Mỗi bản sao của StatefulSet sẽ có trạng thái riêng và nếu sử dụng PV mỗi Pod sẽ tạo PVC riêng, khi đấy mỗi pod sẽ có 1 volume riêng, sơ đồ miêu tả như hình bên dưới

     

3. Một số điểm mạnh mà StatefulSet hơn Deployment

   • Đảm bảo trạng thái: StatefulSet cho phép duy trì trạng thái của các pod được triển khai bằng cách gán một định danh duy nhất cho mỗi pod. Điều này giúp đảm bảo rằng các pod được triển khai và quản lý theo cách đồng bộ và tránh xung đột với các pod khác.
   • Triển khai tuần tự: StatefulSet triển khai các pod theo thứ tự, đảm bảo rằng mỗi pod mới chỉ được triển khai sau khi pod trước đó đã hoạt động thành công. Điều này đặc biệt hữu ích đối với các ứng dụng stateful, nơi mỗi pod có trạng thái riêng.
   • Khả năng mở rộng: StatefulSet có thể được mở rộng theo chiều ngang, cho phép triển khai thêm các pod mới để đáp ứng nhu cầu tăng cường khả năng xử lý và khả năng mở rộng ứng dụng.
   • Các ứng dụng stateful như cơ sở dữ liệu, các ứng dụng lưu trữ, các ứng dụng truyền thông liên kết (stateful communication), thường được triển khai bằng cách sử dụng StatefulSet.

Bên trong Container có gì? Nó thực chất là gì ?

• Nó như 1 cái máy tính thu nhỏ ( micro computer) , có hệ điều hành riêng, có CPU riêng, xử lý bộ nhớ của riêng chúng , có kết nối mạng riêng ... và độc lập, có thể được cài đặt trên bất kỳ mày chủ nào

[bmson7112]

1. Ingress

   • 1 API obiject quản lý các truy cập từ bên ngoài tới các service trong cụm, điển hình là HTTP
   • Cung cấp các phương pháp như load-balancing, SSL termination và name-based virtual hosting
   • ĐỊnh tuyến các luồng HTTP, HTTPS từ bên ngoài cluster tới các service. ĐỊnh tuyến lưu lượng truy cập được quản lý bởi các quy tắc mặc định của Ingress
   • Ingress nó sử dụng nhiều service và khi sử dụng nó thì người dùng ko chỉ đơn thuần truy cập 1 service. Đúng ra, nó là 1 bộ quy tắc, và việc lựa chọn sử dụng phương pháp xâm nhập định tuyến nào là tùy thuộc vào nhu cầu của người dùng
   • IngressController hoạt động ở layer 7, quy tắc hoạt động tùy thuộc vào caáu hình tài nguyên của ingress. Thằng external load-balancer định tuyến luồng truy câp đến service của cum k8s và được liên kết đến 1 địa chỉ IP cụ thể
   • IngressController sẽ tạo thêm 1 lớp trừu tượng và trafic routing, chấp nhận luu lượng truy cập từ bên ngoài k8s và cân bằng tải các pod chạy bên trong nó. Nó chuyển đổi các cấu hình từ tài nguyên của Ingress thành các quy tắc định tuyến mà reverse proxi có thể hiểu được và thực hiện. Nó theo dõi các tài nguyên trong 1 cụm và biến chúng thành trạng thái mà người dùng yêu cầu.
   • Nhìn chung thì về căn bản, load-balancer truyền các luồng truy cập đến 1 địa chỉ IP trong cụm, và sau đó, nhờ vào IngressController định tuyến các truy cập đó đến đúng với service

2. Load Balancer

   • LoadBalancer hoạt động ở layer 4 và cả layer 7
   • ở layer 7, khi hoạt đọng, nó nhận tất cả request sau đó gửi tới service đc yêu cầu, từ đó có thể sử dụng lưu trữ cache, về sau quá trình truy cập sẽ đc sử dụng bố nhớ cache để trả về dữ liệu cho các request mà ko cần phải truy cập đến service
   • ở layer 4, khi nhận đc request thì lập tức truyển tải yêu cầu tới service do đó thì nó ko thể sử dụng lưu trữ cache,
   • Có 2 loại loadbalancer là internal loadbalancer và external loadbalancer
     • external loadbalancer hoạt động bằng cách điện tuyến ở bên ngoài internet trước sau đó với định tuyến vào bên trong nội bộ, Khi nó hoạt động thì thông tin kết nối, ip/ port / các giao tiếp của pod sẽ được hiển thị ra bên ngoài => tính an toàn ko đc cao
     • trái lại, nếu sử dụn tới internal loadbalancer thì thông tin của pod sẽ được giữ bí mật vì nó ko sử dụng public IP mà sử dụng 1 private subnet , phần còn lại sẽ không thể truy cập được từ internet, ngoài ra nếu sử dụng internal load-balancẻr thì lưu lượng truy cập sẽ ko đi ra ngoài internet trước do đó nó hđ nhanh hơn so với external