基于Kubernetes的云原生DevOps

前言
在IT 运维领域，开发运维的核心原则已广为人知并得到了广泛采用，但是如今情况正在发生变化，一个名为Kubernetes 的新应用程序平台已被全世界各个不同行业的公司迅速采用。随着越来越多的应用程序和企业从传统服务器迁移到Kubernetes 环境，人们开始关心如何在这个新世界中开展开发运维的工作。
本书讲解了以Kubernetes 为标准平台的云原生世界中开发运维的含义。不仅可以帮助你从Kubernetes 生态系统中挑选工具和框架，而且还呈上了一套使用这些工具和框架的统一方式，此外还提供了久经考验可在实际生产环境中运行的解决方案。
主要内容
你将学习Kubernetes 是什么，它来自何处，以及对软件开发和运维的未来意味着什么。你将学习容器的工作原理，如何构建和管理容器，以及如何设计云原生服务和基础架构。
你将了解自行构建并运行Kubernetes 集群与使用托管服务之间的利弊，将学习流行的Kubernetes 安装工具（比如kops、kubeadm 和Kubespray）的功能、局限性以及优缺点，还将大致了解亚马逊、Google 以及微软提供的主流Kubernetes 托管产品的概况。
你将学习大量实践经验，包括如何编写和部署Kubernetes 应用程序，如何配置和操作Kubernetes 集群，以及如何使用Helm 等工具自动化云基础设施与部署。你将了解Kubernetes 对安全、身份验证和权限的支持，包括基于角色的访问控制（RBAC），以及在生产中保护容器和Kubernetes 的实践。
你将学习如何设置Kubernetes 的持续集成和部署，如何备份和还原数据，如何测试集群的一致性和可靠性，如何监控、跟踪、记录和汇总指标，以及如何保证Kubernetes 基础架构兼具可扩展性、弹性和高性价比。
为了方便说明，我们引入了一个非常简单的演示应用程序。你可以通过本书Git 代码库中的代码来学习所有的示例。
本书面向的读者对象
本书主要面向负责服务器、应用程序和服务的IT 运维人员，以及负责构建云原生服务或将现有应用程序迁移到Kubernetes 和云端的开发人员。我们不要求你了解有关Kubernetes 或容器的前提知识，书中已经涵盖这些基本知识，所以请不用担心。
经验丰富的Kubernetes 用户也可以从本书中找到很多有价值的材料，比如本书涵盖了RBAC、持续部署、机密管理以及可观察性等高级主题。无论你的专业水平如何，我们都希望你可以从本书中找到有用的信息。
本书解决的主要问题
在计划和创作本书期间，我们与数百人就云原生和Kubernetes 进行了交流，其中既有行业领导者和专家，也有初学者。下面是他们希望本书能够解决的问题：
• “我希望了解为什么我应该把时间投入到这项技术上。它能够帮助我和我的团队解决哪些问题？”
• “Kubernetes 看起来很棒，但是学习曲线相当陡峭。建立一个快速的演示很容易，但是运维和故障排除似乎非常有难度。我们希望获得一些可靠的指导，了解人们如何在现实世界中运行Kubernetes 集群，以及我们可能会遇到哪些问题。”
• “希望提供一些真知灼见。对于新手团队来说，Kubernetes 生态系统提供了太多选择。当有多种方式都可以完成同一项工作时，哪一种才是好的？我们该如何选择？”
而其中重要的问题是：
• 如何在不破坏公司现有状况的情况下使用Kubernetes ？
在编写本书时，我们牢记包括上述问题在内的许多问题，并竭尽全力回答这些问题。这些问题是否得到了解答？请仔细阅读本书吧。
排版约定
本书使用了下述排版约定。
斜体（Italic）
表示新术语、URL、示例电子邮件地址、文件名、扩展名、路径名和目录。
等宽字体（Constant Width）
表示命令、选项、开关、变量、属性、键、函数、类型、类、命名空间、方法、模块、属性、参数、值、对象、事件、事件句柄、XML 标签、HTML 标签、宏、文件的内容，或者命令的输出。
斜体等宽字体（constant width italic）
表示应该替换成用户提供的值。
使用代码示例
你可以通过如下链接下载本书的补充材料（代码示例，练习等）：https://github.com/cloudnativedevops/demo
本书的目的是帮助你完成工作。一般来说，你可以在自己的程序或者文档中使用本书附带的示例代码。你无需联系我们获得使用许可，除非你要复制大量的代码。例如，使用本书中的多个代码片段编写程序就无需获得许可。但以CD-ROM 的形式销售或者分发O’Reilly 书中的示例代码则需要获得许可。回答问题时援引本书内容以及书中示例代码，无需获得许可。在你自己的项目文档中使用本书大量的示例代码时，则需要获得许可。
我们不强制要求署名，但如果你这么做，我们深表感激。署名一般包括书名、作者、出版社和国际标准书号。例如：“Cloud Native DevOps with Kubernetes by John Arundel and Justin Domingus (O’Reilly). Copyright 2019 John Arundel and Justin Domingus, 978-1-492-04076-7”。
如果你觉得自身情况不在合理使用或上述允许的范围内，请通过邮件和我们联系，地址是 permissions@oreilly.com。
O’Reilly Online Learning
40 年间，O’Reilly Media 为众多公司提供技术和商业培训，提升知识储备和洞察力，为企业的成功助力。
我们有一群独家专家和创新者，他们通过图书、文章、会议和在线学习平台分享知识和技术。O’Reilly 的在线学习平台提供按需访问的直播培训课程、详细的学习路径、交互式编程环境，以及由O’Reilly 和其他200 多家出版社出版的书籍和视频。
详情请访问 http://oreilly.com。
联系方式
请将你对本书的评价和问题发给出版社：
美国：
O’Reilly Media, Inc.
1005 Gravenstein Highway North
Sebastopol, CA 95472
中国：
北京市西城区西直门南大街2 号成铭大厦C 座807 室（100035）
奥莱利技术咨询（北京）有限公司
这本书有专属网页，你可以在那里找到本书的勘误、示例和其他信息。地址是：http://bit.ly/cloud-nat-dev-ops
如果你对本书有一些评论或技术上的建议，请发送电子邮件到bookquestions@oreilly.com。
要了解O’Reilly 图书、培训课程和新闻的更多信息，请访问我们的网站，地址是：
http://www.oreilly.com
我们的Facebook：
http://facebook.com/oreilly
我们的Twitter：
http://twitter.com/oreillymedia
我们的Youtube 视频：
http://www.youtube.com/oreillymedia
致谢
本书得以付梓，我要感谢很多人阅读本书的初稿并提供了宝贵反馈和建议，还有通过其他方式予以支持的人，包括（但不限于）Abby Bangser、Adam J.McPartlan、Adrienne Domingus、Alexis Richardson、Aron Trauring、Camilla Montonen、 Gabriell Nascimento、Hannah Klemme、Hans Findel、Ian Crosby、Ian Shaw、Ihor Dvoretskyi、Ike Devolder、Jeremy Yates、 Jérôme Petazzoni、Jessica Deen、John Harris、Jon Barber、Kitty Karate、Marco Lancini、Mark Ellens、Matt North、Michel Blanc、Mitchell Kent、Nicolas Steinmetz、Nigel Brown、Patrik Duditš、Paul van der Linden、Philippe Ensarguet、Pietro Mamberti、 Richard Harper、Rick Highness、Sathyajith Bhat、Suresh Vishnoi、Thomas Liakos、Tim McGinnis、Toby Sullivan、Tom Hall、 Vincent De Smet 和Will Thames 等。

本书的主要内容有：学习容器和Kubernetes的基本原理，无需任何经验。运行自己的集群，或选择Amazon、Google，以及其他公司托管的Kubernetes服务。通过Kubernetes管理资源的使用和容器生命周期。从成本、性能、弹性、容量和可伸缩性等方面优化集群。学习开发、测试和部署应用程序的工具。应用安全、可观察性和监控方面的行业惯例。通过开发运维原则来打造精简、快速和高效的团队。

John Arundel是一位顾问和作家，拥有30多年计算机行业的从业经验。他为全世界各大公司提供有关Kubernetes、云，以及基础设施的咨询。Justin Domingus是CareZone.com的开发运维工程师，专门从事Kubernetes和云计算。

目录
序 . 1
前言 . 3
第1 章 云革命 11
1.1 云的诞生 12
1.1.1 购买时间12
1.1.2 基础设施即服务 13
1.2 开发运维拉开序幕 14
1.2.1 没有人真正理解开发运维 15
1.2.2 业务优势16
1.2.3 基础设施即代码 17
1.2.4 共同学习17
1.3 容器的到来 18
1.3.1 的技术 18
1.3.2 箱子带来的启发 19
1.3.3 将软件放入容器 20
1.3.4 即插即用的应用程序 .21
1.4 容器的编排 22
1.5 Kubernetes 23
1.5.1 从Borg 到Kubernetes 23
1.5.2 什么因素导致Kubernetes 如此有价值？ 24
1.5.3 Kubernetes 会消失吗？ 26
1.5.4 Kubernetes 并非 .26
1.6 云原生 28
1.7 运维的未来 30
1.7.1 分布式开发运维 31
1.7.2 有些仍然是中心式 31
1.7.3 开发人员生产力工程 .31
1.7.4 你就是未来 .32
1.8 小结 .33
第2 章 Kubernetes 简介 35
2.1 次运行容器 35
2.1.1 安装Docker 桌面版 36
2.1.2 什么是Docker ？ 37
2.1.3 运行容器镜像 37
2.2 演示应用程序 .38
2.2.1 查看源代码 .38
2.2.2 Go 简介 39
2.2.3 演示应用程序的原理 .40
2.3 建立容器 40
2.3.1 了解Dockerfile .41
2.3.2 限度的容器镜像 .42
2.3.3 运行Docker image build 42
2.3.4 命名镜像43
2.3.5 端口转发43
2.4 容器仓库 44
2.4.1 容器仓库的身份验证 .45
2.4.2 命名和推送镜像 45
2.4.3 运行镜像46
2.5 Kubernetes 入门 .46
2.5.1 运行演示应用 47
2.5.2 如果容器无法启动 48
2.6 Minikube 48
2.7 小结 .48
第3 章 获取Kubernetes 51
3.1 集群架构 52
3.1.1 控制平面52
3.1.2 节点组件53
3.1.3 高可用性54
3.2 自托管Kubernetes 的成本 56
3.2.1 超出预期的工作量 56
3.2.2 不仅仅是初始设置 57
3.2.3 不能完全依赖工具 58
3.2.4 Kubernetes 的难度很大 59
3.2.5 管理费用59
3.2.6 从托管服务开始 59
3.3 托管Kubernetes 服务 .60
3.3.1 Google Kubernetes Engine（GKE） 61
3.3.2 集群自动伸缩 62
3.3.3 亚马逊的Elastic Container Service for Kubernetes（EKS） .62
3.3.4 Azure Kubernetes Service（AKS） 63
3.3.5 OpenShift .63
3.3.6 IBM Cloud Kubernetes Service .63
3.4 一站式Kubernetes 解决方案 64
3.5 Kubernetes 安装程序 64
3.5.1 kops 64
3.5.2 Kubespray 65
3.5.3 TK8 .65
3.5.4 困难模式的Kubernetes 66
3.5.5 kubeadm 66
3.5.6 Tarmak 66
3.5.7 Rancher Kubernetes Engine（RKE） 66
3.5.8 Puppet Kubernetes 模块 67
3.5.9 Kubeformation 67
3.6 购买还是构建：我们的建议 67
3.6.1 运行更少软件 68
3.6.2 尽可能使用托管Kubernetes 68
3.6.3 如何应对提供商锁定？ 69
3.6.4 根据需要使用标准的Kubernetes 自托管工具 70
3.6.5 当你的选择受到限制时 70
3.6.6 裸金属与内部服务器 .70
3.7 无集群容器服务 71
3.7.1 Amazon Fargate 72
3.7.2 Azure Container Instances（ACI） .72
3.8 小结 .73
第4 章 Kubernetes 对象 75
4.1 部署 .75
4.1.1 监督与调度 .76
4.1.2 重新启动容器 76
4.1.3 查询部署77
4.2 Pod 78
4.3 副本集 79
4.4 维持所需状态 .80
4.5 Kubernetes 调度器 81
4.6 YAML 格式的资源清单 .82
4.6.1 资源就是数据 82
4.6.2 部署清单83
4.6.3 使用kubectl apply 84
4.6.4 服务资源85
4.6.5 使用kubectl 查询集群 88
4.6.6 资源的高级使用方式 .89
4.7 Helm：Kubernetes 包管理器 90
4.7.1 安装Helm 90
4.7.2 安装Helm Chart 91
4.7.3 Chart、Repository 与Release 92
4.7.4 查看Helm Release 92
4.8 小结 .93
第5 章 资源管理 95
5.1 了解资源 95
5.1.1 资源单位96
5.1.2 资源请求96
5.1.3 资源约束97
5.1.4 控制容器的大小 99
5.2 管理容器的生命周期 99
5.2.1 存活探针99
5.2.2 探针延迟及频率 100
5.2.3 其他类型的探针 101
5.2.4 gRPC 探针 101
5.2.5 就绪探针102
5.2.6 基于文件的就绪探针 103
5.2.7 minReadySeconds .104
5.2.8 Pod 中断预算 104
5.3 命名空间 .106
5.3.1 使用命名空间 .107
5.3.2 应该使用哪些命名空间？ 107
5.3.3 服务地址 108
5.3.4 资源配额109
5.3.5 默认资源请求和约束 111
5.4 优化集群的成本 . 112
5.4.1 优化部署 112
5.4.2 优化Pod 113
5.4.3 Pod 垂直自动伸缩器 114
5.4.4 优化节点 114
5.4.5 优化存储 116
5.4.6 清理未使用的资源 117
5.4.7 检查备用容量 .120
5.4.8 使用预留实例 .120
5.4.9 抢占式（Spot）实例 121
5.4.10 保持工作负载均衡 .123
5.5 小结 126
第6 章 集群运维 129
6.1 集群的规模与伸缩 .129
6.1.1 容量规划130
6.1.2 节点与实例 133
6.1.3 伸缩集群136
6.2 一致性检查 138
6.2.1 CNCF 认证 139
6.2.2 Sonobuoy 一致性测试 141
6.3 验证与审计 141
6.3.1 K8Guard 142
6.3.2 Copper 142
6.3.3 kube-bench 143
6.3.4 Kubernetes 审计日志 143
6.4 混乱测试 .144
6.4.1 生产环境是无法复制的 .144
6.4.2 Chaoskube 145
6.4.3 kube-monkey 146
6.4.4 PowerfulSeal 146
6.5 小结 147
第7 章 强大的Kubernetes 工具 . 149
7.1 掌握kubectl 149
7.1.1 Shell 别名 .150
7.1.2 使用缩写的标志 150
7.1.3 缩写资源的类型 151
7.1.4 自动补齐kubectl 命令 151
7.1.5 获取帮助152
7.1.6 获取有关Kubernetes 资源的帮助 .152
7.1.7 显示更详细的输出 153
7.1.8 使用JSON 数据和jq 154
7.1.9 监视对象155
7.1.10 描述对象 .155
7.2 处理资源 .156
7.2.1 命令式的kubectl 命令 156
7.2.2 何时不应该使用命令式的命令 157
7.2.3 生成资源清单 .158
7.2.4 导出资源159
7.2.5 对比资源的差异 159
7.3 处理容器 .160
7.3.1 查看容器的日志 160
7.3.2 附着到容器 162
7.3.3 利用kubespy 监视Kubernetes 资源 162
7.3.4 转发容器端口 .163
7.3.5 在容器上执行命令 163
7.3.6 容器的故障排除 164
7.3.7 BusyBox 命令 .166
7.3.8 将BusyBox 添加到容器 167
7.3.9 在容器上安装程序 168
7.3.10 通过kubesquash 实时调试 168
7.4 上下文与命名空间 .170
7.4.1 kubectx 与kubens .171
7.4.2 kube-ps1 172
7.5 Kubernetes shell 与工具 173
7.5.1 kube-shell 173
7.5.2 Click 173
7.5.3 Kubed-sh 174
7.5.4 Stern 174
7.6 构建自己的Kubernetes 工具 175
7.7 小结 176
第8 章 运行容器 179
8.1 容器与Pod .179
8.1.1 什么是容器？ .180
8.1.2 容器中有什么？ 181
8.1.3 Pod 中有什么？ .182
8.2 容器清单 .183
8.2.1 镜像标识符 184
8.2.2 latest 标签 .185
8.2.3 容器摘要186
8.2.4 基础镜像标签 .186
8.2.5 端口 .187
8.2.6 资源请求和约束 187
8.2.7 镜像拉取策略 .188
8.2.8 环境变量188
8.3 容器安全 .189
8.3.1 以非root 用户身份运行容器 190
8.3.2 阻止Root 容器 191
8.3.3 设置只读文件系统 192
8.3.4 禁用权限提升 .192
8.3.5 能力 .193
8.3.6 Pod 安全上下文 .195
8.3.7 Pod 安全策略 195
8.3.8 Pod 服务账号 196
8.4 卷 197
8.4.1 emptyDir 卷 .197
8.4.2 持久卷 199
8.5 重启策略 .