术语表
以下是本文件中出现的专有术语、术语和缩写的定义。
| 术语表 | 描述 |
|---|---|
| 集群 | Kubernetes 集群管理运行容器所需的基础设施资源,并与多个节点、负载均衡器和私有网络等各种资源相关联。 单点集群仅有一个控制节点,而高可用集群至少有 3 个控制节点。 |
| 节点 | 集群中的节点分为两种类型:控制节点(Master)和计算节点(Node)。 控制节点负责运行 kube-apiserver、kube-scheduler、kube-controller-manager、etcd、容器网络以及一些管理组件。 计算节点是承载工作负载的 Kubernetes 集群中的节点,可以是虚拟机或物理机。计算节点负责实际的 Pod 调度以及与管理节点的通信。 |
| 项目 | 平台的项目(租户)可以灵活地划分为独立且隔离的资源空间,每个项目拥有独立的项目环境,可以代表企业内的不同子公司、部门或项目团队。通过项目管理,可以轻松实现项目团队之间的资源隔离以及租户内的配额管理。 |
| 命名空间 | Kubernetes 命名空间是平台上与其他命名空间隔离的较小资源空间,也是用户实施作业生产的工作区。在一个项目下可以创建多个命名空间,且可以占用的总资源配额不能超过项目配额。通过将资源配额细分为较小的命名空间,命名空间下的容器大小(CPU、内存)也受到限制,有效提高了资源利用率。 |
| 镜像 | 容器镜像是用于打包容器应用程序的标准格式。在部署容器化应用程序时,可以指定镜像,镜像可以来自 Docker Hub、公司的 DevOps 平台镜像仓库或用户的私有镜像仓库。镜像 ID 可以通过镜像仓库的 URI 和镜像标签(默认为 latest)唯一确认。 |
| 容器 | 在主机上运行的基于镜像创建的进程。 |
| Pod | Pod 是 Kubernetes 中部署应用程序或服务的最小基本单位。Pod 封装了多个应用程序容器(或仅一个容器)、存储资源、独立网络 IP 及控制容器运行方式的策略选项。 |
| 工作负载 | 组成平台上应用程序的组件,被统称为可以组合提供服务或独立运行的程序,也是基于镜像创建的。 |
| 副本控制器 | 副本控制器(RC)确保 Kubernetes 集群中始终运行指定数量的 Pod 副本。通过监视运行中的 Pod,RC 确保集群中运行着指定数量的 Pod 副本。这个指定数量可以是多个或 1。如果少于指定数量,RC 将启动新的 Pod 副本。如果超过指定数量,RC 将终止多余的 Pod 副本。 |
| 副本集 | 副本集(RS)是 RC 的升级版,唯一的不同是支持选择器。RS 支持更多类型的匹配模式。副本集对象通常不能独立使用,而是用作部署的理想状态参数。 |
| 部署 | 部署为副本集(复制控制器)和 Pods(容器组)提供声明式更新。通过描述 Pods 和容器的期望状态(副本数量和容器数量),部署控制器将 Pods 和副本集的实际状态更改为期望状态。 |
| 配置映射 | Kubernetes 配置映射使用键值对存储配置信息,可以存储单个属性或配置文件。容器化应用程序的配置管理通过使用配置实现,分离配置与镜像内容,维护容器化应用程序的可移植性。 |
| 密钥 | Kubernetes 密钥用于在 Kubernetes 集群中存储敏感信息或配置,如用户密码、OAuth 令牌、SSH 私钥、访问镜像仓库的身份验证信息等。推荐优先使用密钥存储机密信息。 |
| 服务 | Kubernetes 服务定义了一组 Pod 的逻辑集合,并支持为集群内的计算组件设置访问策略。它相当于集群中的内部服务,为位于集群内的其他计算组件或访问者提供统一的访问入口,实现计算组件的内部发现功能。 |
| 自定义资源定义 | 在 Kubernetes API 中,资源是用于存储某一类型的 API 对象集合的端点。CRD 对象定义了集群中一个新的、独特的对象类型,并允许 Kubernetes API 服务器处理该对象的整个生命周期。Kubernetes 支持用户通过自定义资源定义 API 自定义 Kubernetes 扩展资源,并确保新资源可以快速注册和使用。 |
| 域名 | 管理员可以使用域名管理功能集中管理用于该平台的企业网络域名资源,并通过将域名绑定到项目来在项目之间分配和管理域名资源。 |
| 角色 | 角色是操作权限的集合。平台上资源的操作权限包括创建、查看、更新和删除。通过角色,平台对不同资源的操作权限进行分类和组合。角色可以对一种或多种类型的资源赋予一个或多个操作权限。通过将特定角色分配给用户,用户可以快速开启或限制对指定资源的操作权限。 |
| 事件 | 平台与 Kubernetes 事件集成,记录 Kubernetes 资源的重要状态变化和各种运行时状态变化事件。可以通过事件分析特定资源(如集群、应用程序、任务等)中异常情况的具体原因。 |
| 审计 | 平台与 Kubernetes 审计集成,提供与安全相关的按时间顺序的操作记录,包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等。通过审计,平台审计人员可以清楚地了解 Kubernetes 集群的变化。 |
| 日志 | 平台与 Kubernetes 日志集成,可以快速收集 Kubernetes 集群中的容器日志,包括容器的标准输出和容器内部的文本文件。同时,它支持收集 Kubelet、Docker 和 Kubernetes 容器化组件的日志。 |
| 令牌 | 系统向用户发放的令牌,携带用户的身份和权限等信息。当用户调用 API 时,令牌会被添加到请求消息头中,通过身份验证可以获取调用 API 操作资源的权限。 |
| 微服务 | 微服务是一种开发软件的架构与组织方法,由小型、独立的服务组成。平台上的服务指的是内部路由及其相关的计算组件。 |
| 服务网格 | 服务网格是用于微服务应用程序的可配置基础设施层。它使每个服务实例之间的通信更加流畅、可靠且快速。服务网格提供一系列功能,例如服务发现、负载均衡、加密、身份验证、授权、支持断路器模式等功能。 |
| 外部服务 | 外部服务是相对概念,对于服务网格内的服务而言,服务网格外的所有服务都是外部服务。 |
| 微服务网关 | 作为微服务架构的入口和出口,服务网关(Istio gateway)可以为微服务治理平台提供路由转发、API 管理、权限验证过滤等能力。服务网关包括入口网关和出口网关。 |
| 入口网关 | 入口网关是在 Istio 中的重要资源对象之一,它定义了通过服务网格的所有入站流量的入口点。用于在网格边缘管理入站流量并对其进行路由。 |
| 出口网关 | 出口网关是在 Istio 中的重要资源对象之一,它定义了服务网格的外流流量的出口点。注册在网格中的外部服务可以绑定到出口网关,使得外部的访问流量通过出口网关发送。 |
| 跟踪 | 跟踪是一项单一请求调用的链式过程,TraceID 是该请求调用的唯一标识。当调用关系复杂时,多个调用链可能具有相同的 TraceID。 |
| Sidecar | sidecar 模式是一种分布式架构设计模式,通过将应用程序功能拆分为单独的进程来分离控制与逻辑。在微服务系统中,集成在应用程序中的服务功能被移到 sidecar,可以作为独立的进程部署在应用程序中,提供服务发现、注册、服务调用、应用程序身份验证、流量限制等功能。 |
| 服务拓扑 | 服务拓扑是指平台上服务调用关系的可视化拓扑图。通过查看服务拓扑,可以在指定时间范围内了解平台上的服务调用及其性能。 |
| API 组 | API 组是用于管理服务和服务 API 在服务网关管理项目中的一个维度。它聚合了一组具有共通场景的访问资源,并对其进行统一管理和监控。 |
| Envoy | Envoy 是一种为大型现代服务导向架构(SOA)设计的 L7 代理和通信总线。它是 Istio 的核心组件之一,以 sidecar 方式与服务运行,拦截和转发服务的流量。它提供流量路由和流量控制等能力。 了解更多 |
| EnvoyFilter | EnvoyFilter 提供了一种机制来定制由 Istio Pilot 生成的 Envoy 配置。EnvoyFilter 可以修改特定字段的值、添加特殊过滤器或添加全新的监听器、集群等。使用此功能时应谨慎,因为不正确的配置可能导致整个服务网格中断。 平台上的 EnvoyFilter 资源是项目资源,可以在项目内的多个服务网格和命名空间之间共享。 |