云控制器管理器的基础概念

    云控制器管理器基于插件机制设计,允许新的云服务供应商通过插件轻松地与 Kubernetes 集成。目前已经有在 Kubernetes 上加入新的云服务供应商计划,并为云服务供应商提供从原先的旧模式迁移到新 CCM 模式的方案。

    本文讨论了云控制器管理器背后的概念,并提供了相关功能的详细信息。

    这是没有云控制器管理器的 Kubernetes 集群的架构:

    在上图中,Kubernetes 和云服务供应商通过几个不同的组件进行了集成,分别是:

    • Kubelet
    • Kubernetes 控制管理器

    CCM 整合了前三个组件中的所有依赖于云的逻辑,以创建与云的单一集成点。CCM 的新架构如下所示:

    含有云控制器管理器的 Kubernetes 架构

    CCM 的组成部分

    CCM 打破了 Kubernetes 控制器管理器(KCM)的一些功能,并将其作为一个单独的进程运行。具体来说,它打破了 KCM 中依赖于云的控制器。KCM 具有以下依赖于云的控制器:

    • 节点控制器
    • 卷控制器
    • 路由控制器
    • 服务控制器

    在 1.9 版本中,CCM 运行前述列表中的以下控制器:

    • 节点控制器
    • 路由控制器
    • 服务控制器

    使用 CCM 支持 volume 的最初计划是使用 Flex volume 来支持可插拔卷,但是现在正在计划一项名为 CSI 的项目以取代 Flex。

    CCM 从依赖于云提供商的 Kubernetes 组件继承其功能,本节基于这些组件组织。

    CCM 的大多数功能都来自 KCM,如上一节所述,CCM 运行以下控制器。

    • 节点控制器
    • 路由控制器
    • 服务控制器

    节点控制器

    节点控制器负责通过从云提供商获取有关在集群中运行的节点的信息来初始化节点,节点控制器执行以下功能:

    1. 使用特定于云的域(zone)/区(region)标签初始化节点;
    2. 使用特定于云的实例详细信息初始化节点,例如,类型和大小;
    3. 获取节点的网络地址和主机名;
    4. 如果节点无响应,请检查云以查看该节点是否已从云中删除。如果已从云中删除该节点,请删除 Kubernetes 节点对象。

    路由控制器

    Route 控制器负责适当地配置云中的路由,以便 Kubernetes 集群中不同节点上的容器可以相互通信。route 控制器仅适用于 Google Compute Engine 群集。

    服务控制器

    2. Kubelet

    节点控制器包含 kubelet 中云依赖的功能,在引入 CCM 之前,kubelet 负责使用特定于云平台的功能特性(如 IP 地址,域/区标签和实例类型信息)初始化节点。CCM 的引入已将此初始化操作从 kubelet 转移到 CCM 中。

    在这个新模型中,kubelet 初始化一个没有特定于云平台的功能特性的节点。但是,它会为新创建的节点添加污点,使节点不可调度,直到 CCM 使用云的规格信息初始化节点后,才会清除这种污点,便得该节点可被调度。

    在这个新模型中,kubelet 初始化一个没有特定于云平台的功能特性的节点。但是,它会为新创建的节点添加污点,使节点不可调度,直到 CCM 使用云的规格信息初始化节点后,才会清除这种污点,便得该节点可被调度。

    插件机制

    云控制器管理器使用 Go 接口允许插入任何云的实现。具体来说,它使用此处定义的 CloudProvider 接口。

    上面强调的四个共享控制器的实现,以及一些辅助设施(scaffolding)和共享的 cloudprovider 接口,将被保留在 Kubernetes 核心中。但特定于云提供商的实现将在核心之外构建,并实现核心中定义的接口。

    有关开发插件的更多信息,请参阅。

    本节分解了 CCM 执行其操作时各种 API 对象所需的访问权限。

    Node 控制器仅适用于 Node 对象,它需要完全访问权限来获取、列出、创建、更新、修补、监视和删除 Node 对象。

    • Get
    • List
    • Create
    • Update
    • Watch
    • Delete

    路由控制器

    路由控制器侦听 Node 对象创建并适当地配置路由,它需要访问 Node 对象。

    v1/Node:

    • Get

    服务控制器侦听 Service 对象创建、更新和删除事件,然后适当地为这些服务配置端点。

    要访问服务,它需要列表和监视访问权限。要更新服务,它需要修补和更新访问权限。

    要为服务设置端点,需要访问 create、list、get、watch 和 update。

    v1/Service:

    • List
    • Get
    • Watch
    • Patch
    • Update

    其它

    CCM 核心的实现需要访问权限以创建事件,并且为了确保安全操作,它需要访问权限以创建服务账户。

    v1/Event:

    • Create
    • Patch
    • Update

    v1/ServiceAccount:

    • Create

    针对 CCM 的 RBAC ClusterRole 看起来像这样:

    供应商实施

    以下云服务提供商已实现了 CCM:

    这里提供了有关配置和运行 CCM 的完整说明。