Σημείωση. μετάφρ.: ο συγγραφέας του άρθρου - Erkan Erol, μηχανικός από τη SAP - μοιράζεται τη μελέτη του για τους μηχανισμούς της λειτουργίας της ομάδας kubectl exec, τόσο οικείο σε όλους όσοι εργάζονται με την Kubernetes. Συνοδεύει ολόκληρο τον αλγόριθμο με λίστες του πηγαίου κώδικα Kubernetes (και σχετικών έργων), που σας επιτρέπουν να κατανοήσετε το θέμα όσο πιο βαθιά απαιτείται.
Μια Παρασκευή, ένας συνάδελφος ήρθε σε εμένα και με ρώτησε πώς να εκτελέσω μια εντολή σε ένα pod χρησιμοποιώντας . Δεν μπορούσα να του απαντήσω και ξαφνικά συνειδητοποίησα ότι δεν ήξερα τίποτα για τον μηχανισμό λειτουργίας kubectl exec. Ναι, είχα ορισμένες ιδέες για τη δομή του, αλλά δεν ήμουν 100% σίγουρος για την ορθότητά τους και ως εκ τούτου αποφάσισα να ασχοληθώ με αυτό το θέμα. Έχοντας μελετήσει ιστολόγια, τεκμηρίωση και πηγαίο κώδικα, έμαθα πολλά νέα πράγματα και σε αυτό το άρθρο θέλω να μοιραστώ τις ανακαλύψεις και την κατανόησή μου. Εάν κάτι δεν πάει καλά, επικοινωνήστε μαζί μου στο .
Εκπαίδευση
Για να δημιουργήσω ένα σύμπλεγμα σε ένα MacBook, έκανα κλωνοποίηση . Στη συνέχεια διόρθωσα τις διευθύνσεις IP των κόμβων στη διαμόρφωση του kubelet, αφού οι προεπιλεγμένες ρυθμίσεις δεν το επέτρεπαν kubectl exec. Μπορείτε να διαβάσετε περισσότερα για τον κύριο λόγο για αυτό .
- Οποιοδήποτε αυτοκίνητο = το MacBook μου
- Κύριος κόμβος IP = 192.168.205.10
- Κόμβος εργαζομένου IP = 192.168.205.11
- Θύρα διακομιστή API = 6443
Εξαρτήματα
- διαδικασία kubectl exec: Όταν εκτελούμε το "kubectl exec..." ξεκινά η διαδικασία. Αυτό μπορεί να γίνει σε οποιοδήποτε μηχάνημα με πρόσβαση στον διακομιστή K8s API. Σημείωση Μετάφραση: Περαιτέρω στις λίστες της κονσόλας, ο συγγραφέας χρησιμοποιεί το σχόλιο "οποιοδήποτε μηχάνημα", υπονοώντας ότι οι επόμενες εντολές μπορούν να εκτελεστούν σε οποιοδήποτε τέτοιο μηχάνημα με πρόσβαση στο Kubernetes.
- : Ένα στοιχείο στον κύριο κόμβο που παρέχει πρόσβαση στο Kubernetes API. Αυτό είναι το frontend για το αεροπλάνο ελέγχου στο Kubernetes.
- : Ένας πράκτορας που εκτελείται σε κάθε κόμβο του συμπλέγματος. Εξασφαλίζει τη λειτουργία των δοχείων στο λοβό.
- (container runtime): Το λογισμικό που είναι υπεύθυνο για τη λειτουργία κοντέινερ. Παραδείγματα: Docker, CRI-O, container…
- πυρήνας: Πυρήνας λειτουργικού συστήματος στον κόμβο εργάτη. είναι υπεύθυνος για τη διαχείριση της διαδικασίας.
- στόχος (στόχος) δοχείο: ένα κοντέινερ που είναι μέρος ενός pod και εκτελείται σε έναν από τους κόμβους εργασίας.
Αυτό που ανακάλυψα
1. Δραστηριότητα από την πλευρά του πελάτη
Δημιουργήστε ένα pod σε έναν χώρο ονομάτων default:
// any machine
$ kubectl run exec-test-nginx --image=nginxΣτη συνέχεια, εκτελούμε την εντολή exec και περιμένουμε 5000 δευτερόλεπτα για περαιτέρω παρατηρήσεις:
// any machine
$ kubectl exec -it exec-test-nginx-6558988d5-fgxgg -- sh
# sleep 5000Εμφανίζεται η διαδικασία kubectl (με pid=8507 στην περίπτωσή μας):
// any machine
$ ps -ef |grep kubectl
501 8507 8409 0 7:19PM ttys000 0:00.13 kubectl exec -it exec-test-nginx-6558988d5-fgxgg -- shΕάν ελέγξουμε τη δραστηριότητα δικτύου της διαδικασίας, θα διαπιστώσουμε ότι έχει συνδέσεις με τον διακομιστή api (192.168.205.10.6443):
// any machine
$ netstat -atnv |grep 8507
tcp4 0 0 192.168.205.1.51673 192.168.205.10.6443 ESTABLISHED 131072 131768 8507 0 0x0102 0x00000020
tcp4 0 0 192.168.205.1.51672 192.168.205.10.6443 ESTABLISHED 131072 131768 8507 0 0x0102 0x00000028Ας δούμε τον κώδικα. Το Kubectl δημιουργεί ένα αίτημα POST με τον υποπόρο exec και στέλνει ένα αίτημα REST:
req := restClient.Post().
Resource("pods").
Name(pod.Name).
Namespace(pod.Namespace).
SubResource("exec")
req.VersionedParams(&corev1.PodExecOptions{
Container: containerName,
Command: p.Command,
Stdin: p.Stdin,
Stdout: p.Out != nil,
Stderr: p.ErrOut != nil,
TTY: t.Raw,
}, scheme.ParameterCodec)
return p.Executor.Execute("POST", req.URL(), p.Config, p.In, p.Out, p.ErrOut, t.Raw, sizeQueue)()
2. Δραστηριότητα στην πλευρά του κύριου κόμβου
Μπορούμε επίσης να παρατηρήσουμε το αίτημα από την πλευρά του διακομιστή api:
handler.go:143] kube-apiserver: POST "/api/v1/namespaces/default/pods/exec-test-nginx-6558988d5-fgxgg/exec" satisfied by gorestful with webservice /api/v1
upgradeaware.go:261] Connecting to backend proxy (intercepting redirects) https://192.168.205.11:10250/exec/default/exec-test-nginx-6558988d5-fgxgg/exec-test-nginx?command=sh&input=1&output=1&tty=1
Headers: map[Connection:[Upgrade] Content-Length:[0] Upgrade:[SPDY/3.1] User-Agent:[kubectl/v1.12.10 (darwin/amd64) kubernetes/e3c1340] X-Forwarded-For:[192.168.205.1] X-Stream-Protocol-Version:[v4.channel.k8s.io v3.channel.k8s.io v2.channel.k8s.io channel.k8s.io]]Σημειώστε ότι το αίτημα HTTP περιλαμβάνει ένα αίτημα για αλλαγή του πρωτοκόλλου. σας επιτρέπει να πολυπλέκετε μεμονωμένες "ροές" stdin/stdout/stderr/spdy-error σε μία μόνο σύνδεση TCP.
Ο διακομιστής API λαμβάνει το αίτημα και το μετατρέπει σε PodExecOptions:
// PodExecOptions is the query options to a Pod's remote exec call
type PodExecOptions struct {
metav1.TypeMeta
// Stdin if true indicates that stdin is to be redirected for the exec call
Stdin bool
// Stdout if true indicates that stdout is to be redirected for the exec call
Stdout bool
// Stderr if true indicates that stderr is to be redirected for the exec call
Stderr bool
// TTY if true indicates that a tty will be allocated for the exec call
TTY bool
// Container in which to execute the command.
Container string
// Command is the remote command to execute; argv array; not executed within a shell.
Command []string
}()
Για να εκτελέσει τις απαιτούμενες ενέργειες, ο διακομιστής api πρέπει να γνωρίζει με ποιο pod πρέπει να επικοινωνήσει:
// ExecLocation returns the exec URL for a pod container. If opts.Container is blank
// and only one container is present in the pod, that container is used.
func ExecLocation(
getter ResourceGetter,
connInfo client.ConnectionInfoGetter,
ctx context.Context,
name string,
opts *api.PodExecOptions,
) (*url.URL, http.RoundTripper, error) {
return streamLocation(getter, connInfo, ctx, name, opts, opts.Container, "exec")
}()
Φυσικά, τα δεδομένα σχετικά με το τελικό σημείο λαμβάνονται από πληροφορίες σχετικά με τον κόμβο:
nodeName := types.NodeName(pod.Spec.NodeName)
if len(nodeName) == 0 {
// If pod has not been assigned a host, return an empty location
return nil, nil, errors.NewBadRequest(fmt.Sprintf("pod %s does not have a host assigned", name))
}
nodeInfo, err := connInfo.GetConnectionInfo(ctx, nodeName)()
Ζήτω! Το kubelet έχει τώρα ένα λιμάνι (node.Status.DaemonEndpoints.KubeletEndpoint.Port), στον οποίο μπορεί να συνδεθεί ο διακομιστής API:
// GetConnectionInfo retrieves connection info from the status of a Node API object.
func (k *NodeConnectionInfoGetter) GetConnectionInfo(ctx context.Context, nodeName types.NodeName) (*ConnectionInfo, error) {
node, err := k.nodes.Get(ctx, string(nodeName), metav1.GetOptions{})
if err != nil {
return nil, err
}
// Find a kubelet-reported address, using preferred address type
host, err := nodeutil.GetPreferredNodeAddress(node, k.preferredAddressTypes)
if err != nil {
return nil, err
}
// Use the kubelet-reported port, if present
port := int(node.Status.DaemonEndpoints.KubeletEndpoint.Port)
if port <= 0 {
port = k.defaultPort
}
return &ConnectionInfo{
Scheme: k.scheme,
Hostname: host,
Port: strconv.Itoa(port),
Transport: k.transport,
}, nil
}()
Από την τεκμηρίωση :
Αυτές οι συνδέσεις γίνονται στο τελικό σημείο HTTPS του kubelet. Από προεπιλογή, ο apiserver δεν επαληθεύει το πιστοποιητικό του kubelet, γεγονός που καθιστά τη σύνδεση ευάλωτη σε επιθέσεις man-in-the-middle (MITM) και επισφαλής για εργασία σε αναξιόπιστα ή/και δημόσια δίκτυα.
Τώρα ο διακομιστής API γνωρίζει το τελικό σημείο και δημιουργεί τη σύνδεση:
// Connect returns a handler for the pod exec proxy
func (r *ExecREST) Connect(ctx context.Context, name string, opts runtime.Object, responder rest.Responder) (http.Handler, error) {
execOpts, ok := opts.(*api.PodExecOptions)
if !ok {
return nil, fmt.Errorf("invalid options object: %#v", opts)
}
location, transport, err := pod.ExecLocation(r.Store, r.KubeletConn, ctx, name, execOpts)
if err != nil {
return nil, err
}
return newThrottledUpgradeAwareProxyHandler(location, transport, false, true, true, responder), nil
}()
Ας δούμε τι συμβαίνει στον κύριο κόμβο.
Αρχικά, ανακαλύπτουμε την IP του κόμβου εργάτη. Στην περίπτωσή μας είναι 192.168.205.11:
// any machine
$ kubectl get nodes k8s-node-1 -o wide
NAME STATUS ROLES AGE VERSION INTERNAL-IP EXTERNAL-IP OS-IMAGE KERNEL-VERSION CONTAINER-RUNTIME
k8s-node-1 Ready <none> 9h v1.15.3 192.168.205.11 <none> Ubuntu 16.04.6 LTS 4.4.0-159-generic docker://17.3.3Στη συνέχεια, ορίστε τη θύρα kubelet (10250 στην περίπτωσή μας):
// any machine
$ kubectl get nodes k8s-node-1 -o jsonpath='{.status.daemonEndpoints.kubeletEndpoint}'
map[Port:10250]
Τώρα είναι ώρα να ελέγξετε το δίκτυο. Υπάρχει σύνδεση με τον κόμβο εργάτη (192.168.205.11); Είναι! Αν σκοτώσεις μια διαδικασία exec, θα εξαφανιστεί, οπότε γνωρίζω ότι η σύνδεση δημιουργήθηκε από τον διακομιστή api ως συνέπεια της εκτέλεσης της εντολής exec.
// master node
$ netstat -atn |grep 192.168.205.11
tcp 0 0 192.168.205.10:37870 192.168.205.11:10250 ESTABLISHED
…
Η σύνδεση μεταξύ του kubectl και του διακομιστή api είναι ακόμα ανοιχτή. Επιπλέον, υπάρχει μια άλλη σύνδεση που συνδέει τον api-server και το kubelet.
3. Δραστηριότητα στον κόμβο εργάτη
Τώρα ας συνδεθούμε στον κόμβο εργάτη και ας δούμε τι συμβαίνει σε αυτόν.
Πρώτα απ 'όλα, βλέπουμε ότι έχει δημιουργηθεί και η σύνδεση με αυτό (δεύτερη γραμμή). 192.168.205.10 είναι η IP του κύριου κόμβου:
// worker node
$ netstat -atn |grep 10250
tcp6 0 0 :::10250 :::* LISTEN
tcp6 0 0 192.168.205.11:10250 192.168.205.10:37870 ESTABLISHED
Τι γίνεται με την ομάδα μας sleep? Ούρα, είναι κι αυτή εκεί!
// worker node
$ ps -afx
...
31463 ? Sl 0:00 _ docker-containerd-shim 7d974065bbb3107074ce31c51f5ef40aea8dcd535ae11a7b8f2dd180b8ed583a /var/run/docker/libcontainerd/7d974065bbb3107074ce31c51
31478 pts/0 Ss 0:00 _ sh
31485 pts/0 S+ 0:00 _ sleep 5000
…Αλλά περιμένετε: πώς το έβγαλε αυτό το Kubelet; Το kubelet έχει έναν δαίμονα που παρέχει πρόσβαση στο API μέσω της θύρας για αιτήματα διακομιστή api:
// Server is the library interface to serve the stream requests.
type Server interface {
http.Handler
// Get the serving URL for the requests.
// Requests must not be nil. Responses may be nil iff an error is returned.
GetExec(*runtimeapi.ExecRequest) (*runtimeapi.ExecResponse, error)
GetAttach(req *runtimeapi.AttachRequest) (*runtimeapi.AttachResponse, error)
GetPortForward(*runtimeapi.PortForwardRequest) (*runtimeapi.PortForwardResponse, error)
// Start the server.
// addr is the address to serve on (address:port) stayUp indicates whether the server should
// listen until Stop() is called, or automatically stop after all expected connections are
// closed. Calling Get{Exec,Attach,PortForward} increments the expected connection count.
// Function does not return until the server is stopped.
Start(stayUp bool) error
// Stop the server, and terminate any open connections.
Stop() error
}()
Το Kubelet υπολογίζει το τελικό σημείο απόκρισης για αιτήματα exec:
func (s *server) GetExec(req *runtimeapi.ExecRequest) (*runtimeapi.ExecResponse, error) {
if err := validateExecRequest(req); err != nil {
return nil, err
}
token, err := s.cache.Insert(req)
if err != nil {
return nil, err
}
return &runtimeapi.ExecResponse{
Url: s.buildURL("exec", token),
}, nil
}()
Μην μπερδεύεστε. Δεν επιστρέφει το αποτέλεσμα της εντολής, αλλά το τελικό σημείο επικοινωνίας:
type ExecResponse struct {
// Fully qualified URL of the exec streaming server.
Url string `protobuf:"bytes,1,opt,name=url,proto3" json:"url,omitempty"`
XXX_NoUnkeyedLiteral struct{} `json:"-"`
XXX_sizecache int32 `json:"-"`
}()
Το Kubelet υλοποιεί τη διεπαφή RuntimeServiceClient, το οποίο αποτελεί μέρος της διεπαφής χρόνου εκτέλεσης κοντέινερ (γράψαμε περισσότερα για αυτό, για παράδειγμα, - περίπου μετάφρ.):
Μεγάλη λίστα από το cri-api στο kubernetes/kubernetes
// For semantics around ctx use and closing/ending streaming RPCs, please refer to https://godoc.org/google.golang.org/grpc#ClientConn.NewStream.
type RuntimeServiceClient interface {
// Version returns the runtime name, runtime version, and runtime API version.
Version(ctx context.Context, in *VersionRequest, opts ...grpc.CallOption) (*VersionResponse, error)
// RunPodSandbox creates and starts a pod-level sandbox. Runtimes must ensure
// the sandbox is in the ready state on success.
RunPodSandbox(ctx context.Context, in *RunPodSandboxRequest, opts ...grpc.CallOption) (*RunPodSandboxResponse, error)
// StopPodSandbox stops any running process that is part of the sandbox and
// reclaims network resources (e.g., IP addresses) allocated to the sandbox.
// If there are any running containers in the sandbox, they must be forcibly
// terminated.
// This call is idempotent, and must not return an error if all relevant
// resources have already been reclaimed. kubelet will call StopPodSandbox
// at least once before calling RemovePodSandbox. It will also attempt to
// reclaim resources eagerly, as soon as a sandbox is not needed. Hence,
// multiple StopPodSandbox calls are expected.
StopPodSandbox(ctx context.Context, in *StopPodSandboxRequest, opts ...grpc.CallOption) (*StopPodSandboxResponse, error)
// RemovePodSandbox removes the sandbox. If there are any running containers
// in the sandbox, they must be forcibly terminated and removed.
// This call is idempotent, and must not return an error if the sandbox has
// already been removed.
RemovePodSandbox(ctx context.Context, in *RemovePodSandboxRequest, opts ...grpc.CallOption) (*RemovePodSandboxResponse, error)
// PodSandboxStatus returns the status of the PodSandbox. If the PodSandbox is not
// present, returns an error.
PodSandboxStatus(ctx context.Context, in *PodSandboxStatusRequest, opts ...grpc.CallOption) (*PodSandboxStatusResponse, error)
// ListPodSandbox returns a list of PodSandboxes.
ListPodSandbox(ctx context.Context, in *ListPodSandboxRequest, opts ...grpc.CallOption) (*ListPodSandboxResponse, error)
// CreateContainer creates a new container in specified PodSandbox
CreateContainer(ctx context.Context, in *CreateContainerRequest, opts ...grpc.CallOption) (*CreateContainerResponse, error)
// StartContainer starts the container.
StartContainer(ctx context.Context, in *StartContainerRequest, opts ...grpc.CallOption) (*StartContainerResponse, error)
// StopContainer stops a running container with a grace period (i.e., timeout).
// This call is idempotent, and must not return an error if the container has
// already been stopped.
// TODO: what must the runtime do after the grace period is reached?
StopContainer(ctx context.Context, in *StopContainerRequest, opts ...grpc.CallOption) (*StopContainerResponse, error)
// RemoveContainer removes the container. If the container is running, the
// container must be forcibly removed.
// This call is idempotent, and must not return an error if the container has
// already been removed.
RemoveContainer(ctx context.Context, in *RemoveContainerRequest, opts ...grpc.CallOption) (*RemoveContainerResponse, error)
// ListContainers lists all containers by filters.
ListContainers(ctx context.Context, in *ListContainersRequest, opts ...grpc.CallOption) (*ListContainersResponse, error)
// ContainerStatus returns status of the container. If the container is not
// present, returns an error.
ContainerStatus(ctx context.Context, in *ContainerStatusRequest, opts ...grpc.CallOption) (*ContainerStatusResponse, error)
// UpdateContainerResources updates ContainerConfig of the container.
UpdateContainerResources(ctx context.Context, in *UpdateContainerResourcesRequest, opts ...grpc.CallOption) (*UpdateContainerResourcesResponse, error)
// ReopenContainerLog asks runtime to reopen the stdout/stderr log file
// for the container. This is often called after the log file has been
// rotated. If the container is not running, container runtime can choose
// to either create a new log file and return nil, or return an error.
// Once it returns error, new container log file MUST NOT be created.
ReopenContainerLog(ctx context.Context, in *ReopenContainerLogRequest, opts ...grpc.CallOption) (*ReopenContainerLogResponse, error)
// ExecSync runs a command in a container synchronously.
ExecSync(ctx context.Context, in *ExecSyncRequest, opts ...grpc.CallOption) (*ExecSyncResponse, error)
// Exec prepares a streaming endpoint to execute a command in the container.
Exec(ctx context.Context, in *ExecRequest, opts ...grpc.CallOption) (*ExecResponse, error)
// Attach prepares a streaming endpoint to attach to a running container.
Attach(ctx context.Context, in *AttachRequest, opts ...grpc.CallOption) (*AttachResponse, error)
// PortForward prepares a streaming endpoint to forward ports from a PodSandbox.
PortForward(ctx context.Context, in *PortForwardRequest, opts ...grpc.CallOption) (*PortForwardResponse, error)
// ContainerStats returns stats of the container. If the container does not
// exist, the call returns an error.
ContainerStats(ctx context.Context, in *ContainerStatsRequest, opts ...grpc.CallOption) (*ContainerStatsResponse, error)
// ListContainerStats returns stats of all running containers.
ListContainerStats(ctx context.Context, in *ListContainerStatsRequest, opts ...grpc.CallOption) (*ListContainerStatsResponse, error)
// UpdateRuntimeConfig updates the runtime configuration based on the given request.
UpdateRuntimeConfig(ctx context.Context, in *UpdateRuntimeConfigRequest, opts ...grpc.CallOption) (*UpdateRuntimeConfigResponse, error)
// Status returns the status of the runtime.
Status(ctx context.Context, in *StatusRequest, opts ...grpc.CallOption) (*StatusResponse, error)
}
()
Απλώς χρησιμοποιεί gRPC για να καλέσει μια μέθοδο μέσω της διεπαφής χρόνου εκτέλεσης κοντέινερ:
type runtimeServiceClient struct {
cc *grpc.ClientConn
}()
func (c *runtimeServiceClient) Exec(ctx context.Context, in *ExecRequest, opts ...grpc.CallOption) (*ExecResponse, error) {
out := new(ExecResponse)
err := c.cc.Invoke(ctx, "/runtime.v1alpha2.RuntimeService/Exec", in, out, opts...)
if err != nil {
return nil, err
}
return out, nil
}()
Το Container Runtime είναι υπεύθυνο για την υλοποίηση RuntimeServiceServer:
Μεγάλη λίστα από το cri-api στο kubernetes/kubernetes
// RuntimeServiceServer is the server API for RuntimeService service.
type RuntimeServiceServer interface {
// Version returns the runtime name, runtime version, and runtime API version.
Version(context.Context, *VersionRequest) (*VersionResponse, error)
// RunPodSandbox creates and starts a pod-level sandbox. Runtimes must ensure
// the sandbox is in the ready state on success.
RunPodSandbox(context.Context, *RunPodSandboxRequest) (*RunPodSandboxResponse, error)
// StopPodSandbox stops any running process that is part of the sandbox and
// reclaims network resources (e.g., IP addresses) allocated to the sandbox.
// If there are any running containers in the sandbox, they must be forcibly
// terminated.
// This call is idempotent, and must not return an error if all relevant
// resources have already been reclaimed. kubelet will call StopPodSandbox
// at least once before calling RemovePodSandbox. It will also attempt to
// reclaim resources eagerly, as soon as a sandbox is not needed. Hence,
// multiple StopPodSandbox calls are expected.
StopPodSandbox(context.Context, *StopPodSandboxRequest) (*StopPodSandboxResponse, error)
// RemovePodSandbox removes the sandbox. If there are any running containers
// in the sandbox, they must be forcibly terminated and removed.
// This call is idempotent, and must not return an error if the sandbox has
// already been removed.
RemovePodSandbox(context.Context, *RemovePodSandboxRequest) (*RemovePodSandboxResponse, error)
// PodSandboxStatus returns the status of the PodSandbox. If the PodSandbox is not
// present, returns an error.
PodSandboxStatus(context.Context, *PodSandboxStatusRequest) (*PodSandboxStatusResponse, error)
// ListPodSandbox returns a list of PodSandboxes.
ListPodSandbox(context.Context, *ListPodSandboxRequest) (*ListPodSandboxResponse, error)
// CreateContainer creates a new container in specified PodSandbox
CreateContainer(context.Context, *CreateContainerRequest) (*CreateContainerResponse, error)
// StartContainer starts the container.
StartContainer(context.Context, *StartContainerRequest) (*StartContainerResponse, error)
// StopContainer stops a running container with a grace period (i.e., timeout).
// This call is idempotent, and must not return an error if the container has
// already been stopped.
// TODO: what must the runtime do after the grace period is reached?
StopContainer(context.Context, *StopContainerRequest) (*StopContainerResponse, error)
// RemoveContainer removes the container. If the container is running, the
// container must be forcibly removed.
// This call is idempotent, and must not return an error if the container has
// already been removed.
RemoveContainer(context.Context, *RemoveContainerRequest) (*RemoveContainerResponse, error)
// ListContainers lists all containers by filters.
ListContainers(context.Context, *ListContainersRequest) (*ListContainersResponse, error)
// ContainerStatus returns status of the container. If the container is not
// present, returns an error.
ContainerStatus(context.Context, *ContainerStatusRequest) (*ContainerStatusResponse, error)
// UpdateContainerResources updates ContainerConfig of the container.
UpdateContainerResources(context.Context, *UpdateContainerResourcesRequest) (*UpdateContainerResourcesResponse, error)
// ReopenContainerLog asks runtime to reopen the stdout/stderr log file
// for the container. This is often called after the log file has been
// rotated. If the container is not running, container runtime can choose
// to either create a new log file and return nil, or return an error.
// Once it returns error, new container log file MUST NOT be created.
ReopenContainerLog(context.Context, *ReopenContainerLogRequest) (*ReopenContainerLogResponse, error)
// ExecSync runs a command in a container synchronously.
ExecSync(context.Context, *ExecSyncRequest) (*ExecSyncResponse, error)
// Exec prepares a streaming endpoint to execute a command in the container.
Exec(context.Context, *ExecRequest) (*ExecResponse, error)
// Attach prepares a streaming endpoint to attach to a running container.
Attach(context.Context, *AttachRequest) (*AttachResponse, error)
// PortForward prepares a streaming endpoint to forward ports from a PodSandbox.
PortForward(context.Context, *PortForwardRequest) (*PortForwardResponse, error)
// ContainerStats returns stats of the container. If the container does not
// exist, the call returns an error.
ContainerStats(context.Context, *ContainerStatsRequest) (*ContainerStatsResponse, error)
// ListContainerStats returns stats of all running containers.
ListContainerStats(context.Context, *ListContainerStatsRequest) (*ListContainerStatsResponse, error)
// UpdateRuntimeConfig updates the runtime configuration based on the given request.
UpdateRuntimeConfig(context.Context, *UpdateRuntimeConfigRequest) (*UpdateRuntimeConfigResponse, error)
// Status returns the status of the runtime.
Status(context.Context, *StatusRequest) (*StatusResponse, error)
}
()
Εάν ναι, θα πρέπει να δούμε μια σύνδεση μεταξύ του kubelet και του χρόνου εκτέλεσης του κοντέινερ, σωστά; Ας ελέγξουμε.
Εκτελέστε αυτήν την εντολή πριν και μετά την εντολή exec και δείτε τις διαφορές. Στην περίπτωσή μου η διαφορά είναι:
// worker node
$ ss -a -p |grep kubelet
...
u_str ESTAB 0 0 * 157937 * 157387 users:(("kubelet",pid=5714,fd=33))
...Χμμμ... Νέα σύνδεση μέσω υποδοχών unix ανάμεσα σε ένα kubelet (pid=5714) και κάτι άγνωστο. Τι θα μπορούσε να είναι? Σωστά, είναι Docker (pid=1186)!
// worker node
$ ss -a -p |grep 157387
...
u_str ESTAB 0 0 * 157937 * 157387 users:(("kubelet",pid=5714,fd=33))
u_str ESTAB 0 0 /var/run/docker.sock 157387 * 157937 users:(("dockerd",pid=1186,fd=14))
...Όπως θυμάστε, αυτή είναι η διαδικασία docker daemon (pid=1186) που εκτελεί την εντολή μας:
// worker node
$ ps -afx
...
1186 ? Ssl 0:55 /usr/bin/dockerd -H fd://
17784 ? Sl 0:00 _ docker-containerd-shim 53a0a08547b2f95986402d7f3b3e78702516244df049ba6c5aa012e81264aa3c /var/run/docker/libcontainerd/53a0a08547b2f95986402d7f3
17801 pts/2 Ss 0:00 _ sh
17827 pts/2 S+ 0:00 _ sleep 5000
...4. Δραστηριότητα στο χρόνο εκτέλεσης του κοντέινερ
Ας εξετάσουμε τον πηγαίο κώδικα CRI-O για να καταλάβουμε τι συμβαίνει. Στο Docker η λογική είναι παρόμοια.
Υπάρχει ένας διακομιστής υπεύθυνος για την υλοποίηση RuntimeServiceServer:
// Server implements the RuntimeService and ImageService
type Server struct {
config libconfig.Config
seccompProfile *seccomp.Seccomp
stream StreamService
netPlugin ocicni.CNIPlugin
hostportManager hostport.HostPortManager
appArmorProfile string
hostIP string
bindAddress string
*lib.ContainerServer
monitorsChan chan struct{}
defaultIDMappings *idtools.IDMappings
systemContext *types.SystemContext // Never nil
updateLock sync.RWMutex
seccompEnabled bool
appArmorEnabled bool
}()
// Exec prepares a streaming endpoint to execute a command in the container.
func (s *Server) Exec(ctx context.Context, req *pb.ExecRequest) (resp *pb.ExecResponse, err error) {
const operation = "exec"
defer func() {
recordOperation(operation, time.Now())
recordError(operation, err)
}()
resp, err = s.getExec(req)
if err != nil {
return nil, fmt.Errorf("unable to prepare exec endpoint: %v", err)
}
return resp, nil
}()
Στο τέλος της αλυσίδας, ο χρόνος εκτέλεσης του κοντέινερ εκτελεί την εντολή στον κόμβο εργάτη:
// ExecContainer prepares a streaming endpoint to execute a command in the container.
func (r *runtimeOCI) ExecContainer(c *Container, cmd []string, stdin io.Reader, stdout, stderr io.WriteCloser, tty bool, resize <-chan remotecommand.TerminalSize) error {
processFile, err := prepareProcessExec(c, cmd, tty)
if err != nil {
return err
}
defer os.RemoveAll(processFile.Name())
args := []string{rootFlag, r.root, "exec"}
args = append(args, "--process", processFile.Name(), c.ID())
execCmd := exec.Command(r.path, args...)
if v, found := os.LookupEnv("XDG_RUNTIME_DIR"); found {
execCmd.Env = append(execCmd.Env, fmt.Sprintf("XDG_RUNTIME_DIR=%s", v))
}
var cmdErr, copyError error
if tty {
cmdErr = ttyCmd(execCmd, stdin, stdout, resize)
} else {
if stdin != nil {
// Use an os.Pipe here as it returns true *os.File objects.
// This way, if you run 'kubectl exec <pod> -i bash' (no tty) and type 'exit',
// the call below to execCmd.Run() can unblock because its Stdin is the read half
// of the pipe.
r, w, err := os.Pipe()
if err != nil {
return err
}
go func() { _, copyError = pools.Copy(w, stdin) }()
execCmd.Stdin = r
}
if stdout != nil {
execCmd.Stdout = stdout
}
if stderr != nil {
execCmd.Stderr = stderr
}
cmdErr = execCmd.Run()
}
if copyError != nil {
return copyError
}
if exitErr, ok := cmdErr.(*exec.ExitError); ok {
return &utilexec.ExitErrorWrapper{ExitError: exitErr}
}
return cmdErr
}()
Τέλος, ο πυρήνας εκτελεί τις εντολές:
Υπενθυμίσεις
- Ο διακομιστής API μπορεί επίσης να προετοιμάσει μια σύνδεση με το kubelet.
- Οι ακόλουθες συνδέσεις παραμένουν μέχρι να τελειώσει η διαδραστική συνεδρία exec:
- μεταξύ kubectl και api-server.
- μεταξύ api-server και kubectl.
- μεταξύ του kubelet και του χρόνου εκτέλεσης του κοντέινερ.
- Το Kubectl ή ο διακομιστής api δεν μπορεί να εκτελέσει τίποτα σε κόμβους εργαζομένων. Το Kubelet μπορεί να τρέξει, αλλά αλληλεπιδρά επίσης με το χρόνο εκτέλεσης του κοντέινερ για να κάνει αυτά τα πράγματα.
Πόροι
- Συζήτηση"" στο kubernetes-dev;
- Αρθρο ""?
- Συζήτηση""σε σφάλμα διακομιστή.
ΥΓ από τον μεταφραστή
Διαβάστε επίσης στο blog μας:
- "Τι συμβαίνει στο Kubernetes όταν τρέχετε το kubectl run;" и ;
- «"?
- «"?
- «».
Πηγή: www.habr.com