支撑大规模公有云的Kubernetes改进与优化 (1)

ssplyh

　　Kubernetes是设计用来实施私有容器云的，然而容器作为公有云，同样需要一个管理平台，在Swarm，Mesos，Kubernetes中，基于Kubernetes已经逐渐成为容器编排的最热最主流的平台，网易基于Kubernetes实现了自己的容器公有云，在这个过程中，需要对Kubernetes进行一定的改进与优化。
　　架构如下：

　　网易开发了自己的一个容器服务平台，将OpenStack的IaaS层和Kubernetes容器层深度融合起来，从而实现一个完整的公有云体系。从图中可以看出，容器服务平台会调度OpenStack的计算服务Nova来创建KVM虚拟机，然后调用Cinder进行云盘的创建于挂载，调用Neturon进行网络的创建与连接，然后调用Kubernetes进行容器创建，还可以调用NLB挂载负载均衡器。
　　一、OpenStack架构很复杂
　　在容器平台之前，网易的IaaS层采用的是OpenStack架构。大家都说OpenStack太复杂了，如下图是OpenStack的一个架构图。

　　OpenStack主要包括以下的模块：

• 　　安全认证模块keystone
  
• 　　计算虚拟化模块Nova
  
• 　　存储虚拟化模块Cinder
  
• 　　网络虚拟化模块Neutron
  
• 　　镜像管理模块Glance
  
• 　　对象存储模块Swift
  

　　其中每一个模块都包含很多的子模块，大部分包括api模块，调度模块，以及具体干活的模块。
　　二、OpenStack创建虚拟机的流程很复杂
　　OpenStack创建一个虚拟机的流程非常复杂，这里简单概括一下其中的要点。

　　第一：AAA，也即我们常说的Authentication，Authorization，Account。
　　所谓的Authentication认证，就是验证我是不是我，Authorization鉴权就是审核，虽然我是我，但是我都没有这个权利做这个事情。
　　Authentication一般有两种方式，一个是对称加密的方式，也即用一个Token，客户端和服务端都用这个Token进行加密和解密，一个是非对称加密的方式，也即使用PKI，使用certificate的方式。
　　AWS也是有这两种方式。

　　另外Authorization，则常用的是Role based access control。
　　有用户，角色，租户的概念。
　　例如AWS里面有

　　第二： nova-api接受请求

　　在这里可以干两件事情，rate limit，调用我不能太频繁，quota，控制每个租户最多能够创建多少资源。
　　第三：nova-scheduler进行调度

　　调度分两个过程，一个是Filtering，先将不符合要求的主机过滤掉，一个是weighting，剩下的根据主机的使用情况进行打分排名，选择一台机器。
　　第四：nova-compute真正干活的人接收到请求，调用libvirt创建虚拟机

　　第五：libvirt是真正的创建虚拟机的工具，先要下载虚拟机镜像

　　第六：libvirt开始定义KVM的启动参数

　　第七：libvirt开始给KVM创建网络设备

　　第八：libvirt启动KVM，这里一般会用到Cgroup对KVM的资源使用进行控制

　　第九：调用Cinder为虚拟机创建存储，后端一般用Ceph

　　想了解Kubernetes的人是不是看到这里已经烦了，不是讲kubernetes么？怎么讲了这么多OpenStack?
　　那就再来看张图，这个是aws创建虚拟机的知识图谱，是不是很多类似的概念？

　　很多学技术的发现技术发展实在太快，从虚拟化，到OpenStack，到Docker，到Kubernetes等，怎么学的过来，其实深入了解会发现，基础的技术非常像，包括接下来解析的Kubernetes。
　　三、Kubernetes的架构相对简单
　　很多人喜欢Docker，以及Docker平台，就在于Docker非常简单，没有OpenStack这么复杂的概念，很容易就能启动一个nginx的demo。
　　而作为容器管理平台，Kubernetes的架构也是比较简单的。

　　客户请求进来的时候，先进入api层，相当于nova-api，首先先要进行认证和鉴权(Authentication和Authorization)，相当于keystone做的事情。
　　然后创建的对象会保存在etcd里面，如果是OpenStack则在数据库里面。
　　接着进行Scheduler，将对象调度到一台机器，相当于nova-scheduler要干的事情。
　　然后每台机器上的kubelet是真正干活的，发现自己被调度到了，需要在自己的机器上创建容器，相当于nova-compute。
　　kubelet创建容器的时候，先要下载容器镜像，nova-compute也要下载虚拟机的镜像。
　　nova-compute要调用docker的接口创建容器，相当于nova-compute调用的libvirt创建KVM，docker真正的隔离使用的是cgroup，KVM也要用cgroup，docker还用到了namespace，KVM的网络配置也会用到namespace。
　　docker创建好了，需要给docker配置网络，配置存储，libvirt也干了这些事情。
　　四、kubernetes创建pod和service的过程

• 　　客户端调用api接口创建pod。
  
• 　　api-server将pod创建一个对象，保存在etcd里面。
  
• 　　scheduler不断通过api-server查看哪些pod需要调度，然后进行调度，将调度结果返回给api-server
  
• 　　api-server将scheduler的调度结果写入etcd中。
  
• 　　kubelet不断查看有没有能够调度到自己机器上的pod，有的话调用docker的接口创建容器。
  

• 　　客户端调用api接口创建服务。
  
• 　　api-server创建service对象写入etcd。
  
• 　　controller不断扫描service对应的pod。
  
• 　　controller调用api-server创建对应的访问端点endpoint。
  
• 　　api-server将endpoint对象写入etcd。
  
• 　　proxy不断发现有没有可以放在自己上面的转发规则，如果有则创建socket监听端口，并且创建相应的iptables规则。
  

　　五、kubernetes没有什么？
　　Kubernetes看起来比OpenStack简单很多，其实缺少了很多的功能。

• 　　没有完善租户管理模块，租户隔离性不好，是否需要一个类似keystone的服务？
  
• 　　是不是需要镜像的管理，难道不需要一个类似glance的服务？
  
• 　　镜像存储在哪里，是否需要一个对象存储的服务，类似swift？
  
• 　　kubernetes本身不管网络，需要通过插件进行，网络和SDN谁来管理？
  
• 　　kubernetes本身不管存储，需要通过插件进行，大部分的存储方案还是通过Ceph搞定。
  

　　然而，如果要做一个公有云，至少要搞定上面的部分，如果把这些都加上去，相当于基于kubernetes重造一个OpenStack了，为什么要重复造轮子呢？所以我们选择OpenStack和kubernetes深入融合的解决方案。
　　今天飞机晚点了，本来一天一篇的，应该昨天写完的只好凌晨完成。
　　接下来会解析OpenStack和kubernetes融合的方案。
　　其实作为公有云还有更多的问题：

• 　　网络二次虚拟化的问题
  
• 　　公网和浮动IP的问题
  
• 　　一个Kubernetes集群还是多个Kubernetes集群？
  
• 　　Kubernetes集群如果做到很大规模？
  
• 　　等等等等
  

　　也会在接下来这个系列的文章中详细阐述