Federation
在云计算环境中,服务的作用距离范围从近到远一般可以有:同主机(Host,Node)、跨主机同可用区(Available Zone)、跨可用区同地区(Region)、跨地区同服务商(Cloud Service Provider)、跨云平台。K8s 的设计定位是单一集群在同一个地域内,因为同一个地区的网络性能才能满足 K8s 的调度和计算存储连接要求。而集群联邦(Federation)就是为提供跨 Region 跨服务商 K8s 集群服务而设计的。
每个 Federation 有自己的分布式存储、API Server 和 Controller Manager。用户可以通过 Federation 的 API Server 注册该 Federation 的成员 K8s Cluster。当用户通过 Federation 的 API Server 创建、更改 API 对象时,Federation API Server 会在自己所有注册的子 K8s Cluster 都创建一份对应的 API 对象。在提供业务请求服务时,K8s Federation 会先在自己的各个子 Cluster 之间做负载均衡,而对于发送到某个具体 K8s Cluster 的业务请求,会依照这个 K8s Cluster 独立提供服务时一样的调度模式去做 K8s Cluster 内部的负载均衡。而 Cluster 之间的负载均衡是通过域名服务的负载均衡来实现的。
所有的设计都尽量不影响 K8s Cluster 现有的工作机制,这样对于每个子 K8s 集群来说,并不需要更外层的有一个 K8s Federation,也就是意味着所有现有的 K8s 代码和机制不需要因为 Federation 功能有任何变化。
Federation 主要包括三个组件
federation-apiserver:类似 kube-apiserver,但提供的是跨集群的 REST API
federation-controller-manager:类似 kube-controller-manager,但提供多集群状态的同步机制
kubefed:Federation 管理命令行工具
Federation 的代码维护在 https://github.com/kubernetes/federation。
kubefed 下载
# Linuxcurl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/kubernetes-client-linux-amd64.tar.gztar -xzvf kubernetes-client-linux-amd64.tar.gz# OS Xcurl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/kubernetes-client-darwin-amd64.tar.gztar -xzvf kubernetes-client-darwin-amd64.tar.gz# Windowscurl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/kubernetes-client-windows-amd64.tar.gztar -xzvf kubernetes-client-windows-amd64.tar.gz
kubectl 的下载可以参考 这里。
选择一个已部署好的 Kubernetes 集群作为主集群,作为集群联邦的控制平面,并配置好本地的 kubeconfig。然后运行 kubefed init 命令来初始化主集群:
$ kubefed init fellowship \--host-cluster-context=rivendell \ # 部署集群的 kubeconfig 配置名称--dns-provider="google-clouddns" \ # DNS 服务提供商,还支持 aws-route53 或 coredns--dns-zone-name="example.com." \ # 域名后缀,必须以. 结束--apiserver-enable-basic-auth=true \ # 开启 basic 认证--apiserver-enable-token-auth=true \ # 开启 token 认证--apiserver-arg-overrides="--anonymous-auth=false,--v=4" # federation API server 自定义参数$ kubectl config use-context fellowship
coredns 需要先部署一套 etcd 集群,可以用 helm 来部署:
$ helm install --namespace my-namespace --name etcd-operator stable/etcd-operator$ helm upgrade --namespace my-namespace --set cluster.enabled=true etcd-operator stable/etcd-operator
然后部署 coredns
$ cat Values.yamlisClusterService: falseserviceType: "LoadBalancer"middleware:kubernetes:enabled: falseetcd:enabled: truezones:- "example.com."endpoint: "http://etcd-cluster.my-namespace:2379"$ helm install --namespace my-namespace --name coredns -f Values.yaml stable/coredns
使用 coredns 时,还需要传入 coredns 的配置
$ cat $HOME/coredns-provider.conf[Global]etcd-endpoints = http://etcd-cluster.my-namespace:2379zones = example.com.$ kubefed init fellowship \--host-cluster-context=rivendell \ # 部署集群的 kubeconfig 配置名称--dns-provider="coredns" \ # DNS 服务提供商,还支持 aws-route53 或 google-clouddns--dns-zone-name="example.com." \ # 域名后缀,必须以. 结束--apiserver-enable-basic-auth=true \ # 开启 basic 认证--apiserver-enable-token-auth=true \ # 开启 token 认证--dns-provider-config="$HOME/coredns-provider.conf" \ # coredns 配置--apiserver-arg-overrides="--anonymous-auth=false,--v=4" # federation API server 自定义参数
默认情况下,kubefed init 会创建一个 LoadBalancer 类型的 federation API server 服务,这需要 Cloud Provider 的支持。在物理机部署时,可以通过 --api-server-service-type 选项将其改成 NodePort:
$ kubefed init fellowship \--host-cluster-context=rivendell \ # 部署集群的 kubeconfig 配置名称--dns-provider="coredns" \ # DNS 服务提供商,还支持 aws-route53 或 google-clouddns--dns-zone-name="example.com." \ # 域名后缀,必须以. 结束--apiserver-enable-basic-auth=true \ # 开启 basic 认证--apiserver-enable-token-auth=true \ # 开启 token 认证--dns-provider-config="$HOME/coredns-provider.conf" \ # coredns 配置--apiserver-arg-overrides="--anonymous-auth=false,--v=4" \ # federation API server 自定义参数--api-server-service-type="NodePort" \--api-server-advertise-address="10.0.10.20"
默认情况下,kubefed init 通过动态创建 PV 的方式为 etcd 创建持久化存储。如果 kubernetes 集群不支持动态创建 PV,则可以预先创建 PV,注意 PV 要匹配 kubefed 的 PVC:
apiVersion: v1kind: PersistentVolumeClaimmetadata:annotations:volume.alpha.kubernetes.io/storage-class: "yes"labels:app: federated-clustername: fellowship-federation-apiserver-etcd-claimnamespace: federation-systemspec:accessModes:- ReadWriteOnceresources:requests:storage: 10Gi
除主集群外,其他 kubernetes 集群可以通过 kubefed join 命令加入集群联邦:
$ kubefed join gondor --host-cluster-context=rivendell --cluster-context=gondor_needs-no_king
查询注册到 Federation 的 kubernetes 集群列表
$ kubectl --context=federation get clusters
v1.7 + 支持使用 annotation federation.alpha.kubernetes.io/cluster-selector 为新对象选择 kubernetes 集群。该 annotation 的值是一个 json 数组,比如
metadata:annotations:federation.alpha.kubernetes.io/cluster-selector: '[{"key":"pci","operator":"In", "values": ["true"]}, {"key": "environment", "operator": "NotIn", "values":["test"]}]'
每条记录包含三个键值
key:集群的 label 名字
operator:包括 In, NotIn, Exists, DoesNotExist, Gt, Lt
values:集群的 label 值
注:仅 v1.7 + 支持策略调度。
开启策略调度的方法
(1)创建 ConfigMap
kubectl create -f https://raw.githubusercontent.com/kubernetes/kubernetes.github.io/master/docs/tutorials/federation/scheduling-policy-admission.yaml
(2) 编辑 federation-apiserver
kubectl -n federation-system edit deployment federation-apiserver
增加选项:
--admission-control=SchedulingPolicy--admission-control-config-file=/etc/kubernetes/admission/config.yml
增加 volume:
- name: admission-configconfigMap:name: admission
增加 volumeMounts:
volumeMounts:- name: admission-configmountPath: /etc/kubernetes/admission
(3)部署外部策略引擎,如 Open Policy Agent (OPA)
kubectl create -f https://raw.githubusercontent.com/kubernetes/kubernetes.github.io/master/docs/tutorials/federation/policy-engine-service.yamlkubectl create -f https://raw.githubusercontent.com/kubernetes/kubernetes.github.io/master/docs/tutorials/federation/policy-engine-deployment.yaml
(4)创建 namespace kube-federation-scheduling-policy 以供外部策略引擎使用
kubectl --context=federation create namespace kube-federation-scheduling-policy
(5)创建策略
wget https://raw.githubusercontent.com/kubernetes/kubernetes.github.io/master/docs/tutorials/federation/policy.regokubectl --context=federation -n kube-federation-scheduling-policy create configmap scheduling-policy --from-file=policy.rego
(6)验证策略
kubectl --context=federation annotate clusters cluster-name-1 pci-certified=truekubectl --context=federation create -f https://raw.githubusercontent.com/kubernetes/kubernetes.github.io/master/docs/tutorials/federation/replicaset-example-policy.yamlkubectl --context=federation get rs nginx-pci -o jsonpath='{.metadata.annotations}'
集群联邦支持以下联邦资源,这些资源会自动在所有注册的 kubernetes 集群中创建:
Federated ConfigMap
Federated Service
Federated DaemonSet
Federated Deployment
Federated Ingress
Federated Namespaces
Federated ReplicaSets
Federated Secrets
Federated Events(仅存在 federation 控制平面)
Federated Jobs(v1.8+)
Federated Horizontal Pod Autoscaling (HPA,v1.8+)
比如使用 Federated Service 的方法如下:
# 这会在所有注册到联邦的 kubernetes 集群中创建服务$ kubectl --context=federation-cluster create -f services/nginx.yaml# 添加后端 Pod$ for CLUSTER in asia-east1-c asia-east1-a asia-east1-b \europe-west1-d europe-west1-c europe-west1-b \us-central1-f us-central1-a us-central1-b us-central1-c \us-east1-d us-east1-c us-east1-bdokubectl --context=$CLUSTER run nginx --image=nginx:1.11.1-alpine --port=80done# 查看服务状态$ kubectl --context=federation-cluster describe services nginx
可以通过 DNS 来访问联邦服务,访问格式包括以下几种
nginx.mynamespace.myfederation.nginx.mynamespace.myfederation.svc.example.com.nginx.mynamespace.myfederation.svc.us-central1.example.com.
$ kubefed unjoin gondor --host-cluster-context=rivendell
集群联邦控制平面的删除功能还在开发中,目前可以通过删除 namespace federation-system 的方法来清理(注意 pv 不会删除):
$ kubectl delete ns federation-system
kubefed
