术语表
以下是本文档中出现的专有术语、术语和缩写。
| Glossary | Description |
|---|---|
| Cluster | Kubernetes 集群管理运行容器所需的基础设施资源,是 Kubernetes 容器平台中的核心资源,关联多个节点、负载均衡器和私有网络等资源。 单点集群只有一个控制节点,而高可用集群至少有 3 个控制节点。 |
| Node | 集群中的节点分为两类:控制节点(Master)和计算节点(Node)。 控制节点负责运行 kube-apiserver、kube-scheduler、kube-controller-manager、etcd、容器网络及平台的一些管理组件。 计算节点是 Kubernetes 集群中承载工作负载的节点,可以是虚拟机或物理机,负责实际的 Pod 调度及与管理节点的通信。 |
| Project | 平台的项目(租户)可灵活划分为独立隔离的资源空间,每个项目拥有独立的项目环境,代表企业内不同的子公司、部门或项目团队。通过项目管理,便于实现项目团队间的资源隔离及租户内的配额管理。 |
| Namespace | Kubernetes Namespace 是平台中项目下相互隔离的更小资源空间,也是用户实现作业生产的工作空间。一个项目下可创建多个 Namespace,且总资源配额不可超过项目配额。通过将资源配额细分到更小的 Namespace,也限制了该 Namespace 下容器(CPU、内存)的大小,有效提升资源利用率。 |
| Image | 容器镜像是容器应用的标准打包格式。部署容器化应用时可指定镜像,镜像来源可为 Docker Hub、公司 DevOps 平台镜像仓库或用户私有镜像仓库。镜像 ID 可通过镜像仓库 URI 和镜像标签(默认 latest)唯一确认。 |
| Container | 基于镜像创建,在主机上运行的进程。 |
| Pod | Pod 是 Kubernetes 中部署应用或服务的最小基本单元。Pod 封装了多个应用容器(或单个容器)、存储资源、独立的网络 IP 及控制容器运行方式的策略选项。 |
| Workload | 构成平台上应用的组件,统称为可组合提供服务或独立运行的程序,基于镜像创建。 |
| Replication Controller | RC 确保 Kubernetes 集群中始终运行指定数量的 Pod 副本。通过监控运行中的 Pod,RC 保证集群中运行的 Pod 副本数符合指定数量。指定数量可为多个或 1。若少于指定数量,RC 会启动新的 Pod 副本;若多于指定数量,RC 会终止多余的 Pod 副本。 |
| ReplicaSet | ReplicaSet(RS)是 RC 的升级版本,唯一区别是支持 selector。RS 支持更多类型的匹配模式。ReplicaSet 对象一般不单独使用,而作为 Deployment 的理想状态参数。 |
| Deployment | Deployment 为 ReplicaSets(复制控制器)和 Pods(容器组)提供声明式更新。通过描述期望的副本数(Pods 数量)和容器(containers)状态,Deployment 控制器将 Pods 和 ReplicaSets 的实际状态变更为期望状态。 |
| Configmap | Kubernetes ConfigMap 使用键值对存储配置数据,可存储单个属性或配置文件。通过配置实现容器化应用的配置管理,将配置与镜像内容分离,保持容器化应用的可移植性。 |
| Secret | Kubernetes Secret 用于在 Kubernetes 集群中存储敏感信息或配置,如用户密码、OAuth 令牌、SSH 私钥、访问镜像仓库的认证信息等。建议优先使用 Secret 存储机密字典。 |
| Service | Kubernetes Service 定义一组逻辑上的 Pods,并支持设置集群内计算组件的访问策略。相当于集群内的内部服务,为集群内其他计算组件或访问者提供统一访问入口,实现计算组件的内部发现功能。 |
| CustomResourceDefinition | 在 Kubernetes API 中,资源是用于存储某类 API 对象集合的端点。CRD 对象定义了集群中新、唯一的对象类型,并允许 Kubernetes API 服务器管理该对象的整个生命周期。Kubernetes 支持用户通过 CustomResourceDefinition API 自定义扩展资源,确保新资源能快速注册和使用。 |
| Domain | 管理员可使用域名管理功能集中管理本平台使用的企业网络域名资源,并通过将域名绑定到项目,实现项目间的域名资源分配和管理。 |
| Role | 角色是操作权限的集合。平台资源的操作权限包括创建、视图、更新和删除。平台通过角色对不同资源的操作权限进行分类和组合。一个角色可对一种或多种资源拥有一个或多个操作权限。通过为用户分配特定角色,用户可快速开启或限制对指定资源的操作权限。 |
| Event | 平台集成 Kubernetes 事件,记录 Kubernetes 资源的重要状态变化及各种运行时状态变更事件。可通过事件分析集群、应用、任务等特定资源异常的具体原因。 |
| Audit | 平台集成 Kubernetes 审计,提供安全相关的时间序列操作记录,包括时间、来源、操作结果、发起操作的用户、操作资源及请求/响应的详细信息等。通过审计,平台审计人员可清晰了解 Kubernetes 集群的变更情况。 |
| Log | 平台集成 Kubernetes 日志,可快速采集 Kubernetes 集群中的容器日志,包括容器标准输出和容器内文本文件。同时支持采集 Kubelet、Docker 及 Kubernetes 容器化组件的日志。 |
| Token | 系统颁发给用户的令牌,携带用户身份和权限等信息。用户调用 API 时,将令牌添加到请求消息头,通过身份认证获得调用 API 操作资源的权限。 |
| Microservice | 微服务是一种软件架构和组织方式,由小型、独立的服务组成。平台上的服务指内部路由及其关联的计算组件。 |
| Microservice | 微服务是一种软件架构和组织方式,由小型、独立的服务组成。平台上的服务指内部路由及关联的计算组件。 |
| Service Mesh | 服务网格指微服务应用的可配置基础设施层,使各服务实例间的通信更加流畅、可靠和快速。服务网格提供服务发现、负载均衡、加密、身份认证、授权、支持断路器模式等功能。 |
| External Service | 外部服务是相对概念,对于服务网格内的服务,所有服务网格外的服务均为外部服务。 |
| Microservice Gateway | 作为微服务架构的进出口,服务网关(Istio gateway)可为微服务治理平台提供路由转发、API 管理、权限验证过滤等能力。服务网关包括入口网关和出口网关。 |
| Ingress Gateway | Ingress gateway 是 Istio 中的重要资源对象之一,定义所有通过服务网格的入站流量入口,用于治理网格边缘的入站流量并进行路由。 |
| Egress Gateway | Egress gateway 是 Istio 中的重要资源对象之一,定义服务网格出流量的出口。已注册到网格的外部服务可绑定到出口网关,使访问外部的流量从出口网关发出。 |
| Tracing | Trace 是单次请求调用的链式过程,TraceID 是该请求调用的唯一标识。当调用关系复杂时,多个调用链拥有相同的 TraceID。 |
| Sidecar | Sidecar 模式是一种分布式架构设计模式,通过将应用功能拆分为独立进程,实现控制与逻辑分离。在微服务系统中,将集成在应用中的服务功能移至 sidecar,可作为独立进程部署,为服务发现、注册、服务调用、应用认证、限流等功能提供支持。 |
| Service Topology | 服务拓扑指平台上服务调用关系的可视化拓扑图。通过查看服务拓扑,可了解指定时间范围内平台上的服务调用及其性能。 |
| API Group | API 分组是服务网关管理项目中管理服务和服务 API 的维度,聚合具有共同场景的一组访问资源,统一管理和监控。 |
| Envoy | Envoy 是为大型现代 SOA(面向服务架构)设计的 L7 代理和通信总线,是 Istio 的核心组件之一,以 sidecar 方式与服务一起运行,拦截并转发服务流量,提供流量路由和流量控制等能力。了解更多 |
| EnvoyFilter | EnvoyFilter 提供自定义 Istio Pilot 生成的 Envoy 配置的机制。EnvoyFilter 可修改特定字段的值、添加特殊过滤器或新增监听器、集群等。此功能需谨慎使用,配置错误可能导致整个服务网格故障。 平台上的 EnvoyFilter 资源为项目资源,可在项目内多个服务网格和命名空间间共享。 |