iMoe Tech

Kubernetes Operator 版本化

2025-06-23T13:39:33.000Z

Operator 的版本升级通常在考虑的是 Operator 自定义的 CRD 对象和存储数据的升级。

当 Operator 版本升级可能会需要对 CRD 结构进行升级，同时随着 Operator 开发完成，CRD 也会调整版本号为更正式的版本，这时候就要考虑对升级前的数据进行兼容，而如果 CRD 结构有调整也要考虑进行数据的迁移。

但在此之前，我们可以看一下 Kubernetes 中对于 CRD 版本的一些定义。

Kubernetes 中 CRD 的版本化

Kubernetes 中 CustomResourceDefinition 版本在 spec.versions 中进行设置，支持同时配置多个版本，字段配置如下：

CRD 声明的版本

apiVersion: apiextensions.k8s.io/v1
kind: CustomResourceDefinition
  name: crontabs.example.com
spec:
  group: example.com
  names:
    plural: crontabs
    singular: crontab
    kind: CronTab
  scope: Namespaced
  versions:
  - name: v1alpha1
    served: true
    storage: false
    deprecated: true
    deprecationWarning: "example.com/v1alpha1 CronTab is deprecated; see http://example.com/v1alpha1-v1 for instructions to migrate to example.com/v1 CronTab"
    
    schema: ...

字段说明：

served：是否启用，如果为 false，请求该接口会报 404；
storage：是否为存储版本，一个 CRD 只能有一个存储版本，其它的版本要转换成存储版本；
deprecated：是否为弃用版本；
deprecationWarning：弃用版本告警，当操作弃用版本时，API server 会返回对应告警。

当存在多个版本时，只能有一个版本设置为存储版本，其它的必需设置为 false，同时需要配置转换接口，让 API server 知道如何进行接口转换：

CRD 版本转换配置

apiVersion: apiextensions.k8s.io/v1
kind: CustomResourceDefinition
...
spec:
  ...
  conversion:
    strategy: Webhook
    webhook:
  conversionReviewVersions: ["v1", "v1beta1"]
      clientConfig:
        service:
          namespace: my-service-namespace
          name: my-service-name
          path: /my-path
          port: 1234
        caBundle: "Ci0tLS0tQk......tLS0K"

理解存储版本（Stored Version）

存储版本既存储在 ETCD 中的版本，对于一个 CRD 来说，只有一个版本会存储到 ETCD 中。

而 Kubernetes API server 可以同时为多个版本提供服务，这主要是基于 conversion 接口实现的。当操作非存储版本时，API server 会调用 conversion 接口将对象进行转换再返回或存储。

kubectl 等 client 会通过 discovery API 获取资源的版本列表并决定请求哪个版本的接口。对于 CRD 来说，kubectl 会选择最新的稳定版进行请求。

如果要请求非默认版本，需要按以下方式请求：

1
2
3

kubectl get resource.version.group
# 如
kubectl get cronjobs.v1.batch.tutorial.kubebuilder.io -o yaml

转换 API 的请求响应结构

通过设置 conversionReviewVersions 版本列表，可以配置 Webhook 支持的版本转换。如果接到支持的请求，会向 API 发送 ConversionReview 对象：

转换请求体

{
  "apiVersion": "apiextensions.k8s.io/v1",
  "kind": "ConversionReview",
  "request": {
    # Random uid uniquely identifying this conversion call
    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
    
    # The API group and version the objects should be converted to
    "desiredAPIVersion": "example.com/v1",
    
    # The list of objects to convert.
    # May contain one or more objects, in one or more versions.
    "objects": [
      {
        "kind": "CronTab",
        "apiVersion": "example.com/v1beta1",
        "metadata": {
          "creationTimestamp": "2019-09-04T14:03:02Z",
          "name": "local-crontab",
          "namespace": "default",
          "resourceVersion": "143",
          "uid": "3415a7fc-162b-4300-b5da-fd6083580d66"
        },
        "hostPort": "localhost:1234"
      }
    ]
  }
}

转换成功的 API 需要响应如下类似数据：

转换响应

{
  "apiVersion": "apiextensions.k8s.io/v1",
  "kind": "ConversionReview",
  "response": {
    # must match 
    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",
    "result": {
      "status": "Success"
    },
    # Objects must match the order of request.objects, and have apiVersion set to .
    # kind, metadata.uid, metadata.name, and metadata.namespace fields must not be changed by the webhook.
    # metadata.labels and metadata.annotations fields may be changed by the webhook.
    # All other changes to metadata fields by the webhook are ignored.
    "convertedObjects": [
      {
        "kind": "CronTab",
        "apiVersion": "example.com/v1",
        "metadata": {
          "creationTimestamp": "2019-09-04T14:03:02Z",
          "name": "local-crontab",
          "namespace": "default",
          "resourceVersion": "143",
          "uid": "3415a7fc-162b-4300-b5da-fd6083580d66"
        },
        "host": "localhost",
        "port": "1234"
      }
    ]
  }
}

响应的内容要注意：

uid 要和请求时一样；
kind、metadata.uid、metadata.name 和 metadata.namespace 必需和请求时一样；
metadata.labels 和 metadata.annotations 可以修改；
metadata 其它字段的修改会被忽略；
convertedObjects 响应的对象顺序要和请求时一样，且 apiVersion 和请求的 desiredAPIVersion 一样。

简化转换方法数量

如果只有 v1 和 v2 版本，那么只需要开发两个方向的转换方法。但是，如果有 4 个，甚至是 8 个版本时，那转换版本的方法就已经是非常难以维护的了。

当前 controller-runtime 进行 conversion 时，使用的是 Hub and Spoke 模型，得以简化版本转换的维护成本。

Hub and Spoke 可以将网状转换结构转换成星型结构：

将一个版本指定成 Hub 版本，当其它非 Hub 版本间转换时，需要先转换成 Hub 版本，再转换成其它版本。

这样可以减少我们需要定义的转换函数数量，并且 Kubernetes 内部的实现也是这样的。

Operator 版本迭代

Operator 是基于 controller-runtime 进行开发的，使用 kubebuilder 的工具可以快速生成上面的 Hub and Spoke 方法。

首先在之前的 Demo 工程中，创建新的接口版本：

创建新版本接口

1	operator-sdk create api --version v1beta2 --kind DemoApplication

我们计划选择 v1beta2 版本作为 Hub 版本，所以在生成的 types 中增加注释：

备注存储版本

1	// +kubebuilder:storageversion

表示该结构是存储版本：

新版本设置示例

// +kubebuilder:object:root=true  
// +kubebuilder:subresource:status  
// +kubebuilder:storageversion  
  
// DemoApplication is the Schema for the demoapplications API
type DemoApplication struct {  
    metav1.TypeMeta   `json:",inline"`  
    metav1.ObjectMeta `json:"metadata,omitempty"`  
  
    Spec   DemoApplicationSpec   `json:"spec,omitempty"`  
    Status DemoApplicationStatus `json:"status,omitempty"`  
}

执行 make 命令生成代码和 manifests 配置。

接着执行下面命令生成 webhook 相关代码：

生成 webhook

1	operator-sdk create webhook --version v1beta2 --kind DemoApplication --conversion

--version：在哪个版本下生成
--conversion：创建 conversion 代码

执行结果如下：

可以看到如下提示：

1	You need to implement the conversion.Hub and conversion.Convertible interfaces for your CRD types.

我们修改 api/v1beta2/demoapplication_types.go，增加一行代码：

在新存储版本实现 conversion.Hub 接口

1	func (r *DemoApplication) Hub() {}

修改 api/v1beta1/demoapplication_types.go 增加 Spoke 相关实现：

在旧版本实现转换到 Hub 的代码

func (a *DemoApplication) ConvertTo(dst conversion.Hub) error {
v1beta2App := dst.(*v1beta2.DemoApplication)
v1beta2App.ObjectMeta = a.ObjectMeta
v1beta2App.Spec.Image = a.Spec.Image
v1beta2App.Spec.Size = a.Spec.Replica
v1beta2App.Spec.Ports = a.Spec.Ports

return nil
}

func (a *DemoApplication) ConvertFrom(src conversion.Hub) error {
v1beta2App := src.(*v1beta2.DemoApplication)
a.ObjectMeta = v1beta2App.ObjectMeta
a.Spec.Image = v1beta2App.Spec.Image
a.Spec.Replica = v1beta2App.Spec.Size
a.Spec.Ports = v1beta2App.Spec.Ports

return nil
}

使用以下命令生成部署 YAML 文件进行调试，看哪些配置需要调整：

执行构建

1	make build-installer

修改 manifest 配置

启用 webhook

开启 webhook 功能需要调整以下配置：

启用 config/crd/kustomization.yaml 文件里的 patches/webhook_in_.yaml；
注入 webhook 配置到 CRD 文件中，默认调用 operater-sdk create webhook 时这个会自动添加并启用
启用 config/default/kustomization.yaml 里的 ../webhook 和 manager_webhook_patch.yaml
注入证书到 controller，不启用会报 serving-certs/tls.crt: no such file 而无法启动
注释 config/webhook/kustomization.yaml 里的 - manifests.yaml 配置。
manifests.yaml 配置在启用 Admission WebHook 的时候才会生成，不注释的话生成 installer.yaml 会报错。

单单启用 webhook 还是不可用的。Operator 使用的自签名证书并不被 API server 所信任，需要使用一个叫 cert-manager 的组件给我们的应用颁发证书。

cert-manager 组件会注入 CA 到 API server 中，所以 API server 请求 conversion webhook 时就不再报证书错误。

启用 cert-manager

一般集群里都已经安装好了这个组件，如果没安装可以执行以下命令直接安装：

安装 cert-manager

1	kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.17.0/cert-manager.yaml

默认情况下，certmanager 的配置被禁用了，我们需要到 manifests 里手动打开：

启用 config/crd/kustomization.yaml 文件里的 patches/cainjection_in_.yaml；
启用 config/default/kustomization.yaml 文件里的 ./certmanager 目录（创建证书和 CA）；
启用 config/default/kustomization.yaml 文件里 CERTMANAGER 块下的所有变量（注入 CRD、）。

注意，如果报以下错，说明错误地启用了 admission webhooks 的 CA 注入：

1
2

Error: no resource matches strategic merge patch "MutatingWebhookConfiguration.v1.admissionregistration.k8s.io/mutating-webhook-configuration.[noNs]": no matches for Id MutatingWebhookConfiguration.v1.admissionregistration.k8s.io/mutating-webhook-configuration.[noNs]; failed to find unique target for patch MutatingWebhookConfiguration.v1.admissionregistration.k8s.io/mutating-webhook-configuration.[noNs]
make: *** [build-installer] Error 1

因为在 webhook 生成时是没启用 admission webhooks 代码生成的，所以并没有对应的 webhook 配置用于 patch，就会报找不到错误。

虽然没有生成 admission webhooks 配置，但是注入的开关和模板代码是提前生成了。我们把下面配置注释掉既可：

1	- path: webhookcainjection_patch.yaml

部署测试

1 2	export IMG=registry-c.cmft.com/cmhk-grd-paas-portal/demo-app:5 make docker-build deploy

旧数据的迁移

当部署新版本的 CRD 后，在集群中一般会同时存在多个版本，而只能有一个版本是存储版本。

对于前面的示例来说，我们可以看到，存在 v1beta1 和 v1beta2 两个版本，而 v1beta2 是存储版本：

CRD 最新配置

apiVersion: apiextensions.k8s.io/v1
kind: CustomResourceDefinition
metadata:
  name: demoapplications.paas.cmft.com
spec:
  versions:
  - name: v1beta1
    served: true
    storage: false
    subresources:
      status: {}
  - name: v1beta2
    served: true
    storage: true

那部署新版本后，旧数据怎样了呢？

Tips

部署新版本后，旧数据的存储不会变化，只有对数据进行了操作才会以新的存储版本进行重新保存。

所以我们可以通过以下命令看到 CRD 同时存在两个存储版本在使用：

查看当前在使用的存储版本

$ kubectl get crd demoapplications.paas.cmft.com -ojson | jq .status.storedVersions
[
  "v1beta1",
  "v1beta2"
]

为什么要迁移

前面提到，当前 controller-runtime 使用的 Hub and Spoke 模型来管理各版本 CRD 的转换。

当 CRD 的结构随版本变化而变化时，维护转换函数的成本会变得越来越大。旧版本应该逐渐弃用，然后移除。所以应该像 Kubernetes 一样，当弃用或移除接口时，自动将旧数据迁移到接的存储版本中。

迁移方法

目前 Kubernetes 建议两种迁移方案。

使用 Storage Version Migrator 工具

Storage Version Migrator 由两个控制器组成：

trigger controller：每 10 分钟调用 discovery 接口获取一次，检测默认存储版本是否变化，如果有变化就给对应 Kind 创建 StorageVersionMigration；
migration controller：负责处理 StorageVersionMigration，当有新的 kind 需要迁移时，migration controller 会将对象全部读取出来再原样写回 API server，触发 API server 使用最新的存储版本进行保存。

Storage Version Migrator 在 Kubernetes 1.30 中是 alpha 状态，小于这个版本的需要手动安装。

本地构建：

构建 SVM 镜像

1
2
3

make all-images
# 如果不远程部署可以不推
make push-all

执行以下命令部署到集群：

部署 SVM 到集群

1
2
3

export REGISTRY=registry-c.cmft.com/cmhk-grd-paas-portal
make local-manifests
pushd manifests.local && kubectl apply -k ./ && popd

手动迁移

手动迁移的动作和 Storage Version Migrator 差不多，这里假定将 v1beta1 升级到 v1：

CRD 将新版本设置为存储版本，此时 status.storedVersions 为 v1beta1 和 v1；
写一个脚本，读取所有的并直接写回 API server，强制以新的存储版本重新保存；
迁移完成后，手动从 status.storedVersions 中删除 v1beta1。

总结

当开发新版本时，如果涉及字段变化需要开发 conversion webhook 接口提供给 API server 调用进行转换。如果字段无变化，API server 无需基于 conversion webhook 就可以自动完成转换。

controller-runtime 使用 Hub and Spoke 的模型实现接口转换，只需要实现 Spoke 和 Hub 间的转换方法既可，Spoke 间的转换会经过 Hub 版本进行转换。

启用 conversion webhook 接口需要同时启用 cert-manager 组件，否则 API server 调用时会报证书错误。

修改存储版本后，旧数据不会自动进行迁移，只有在数据更新的时候才会重新以新的存储版本保存。

统一迁移旧数据可以使用 Storage Version Migrator 工具或写个脚本实现。只需要将数据重新写回 API server 就可以完成迁移。

引用

Kubernetes Operator 初体验

2025-03-20T12:42:48.000Z

Kubernetes 1.7 版本以来就引入了自定义控制器的概念，该功能可以让开发人员扩展添加新功能，更新现有的功能，并且可以自动执行一些管理任务。

Operator 是由 CoreOS 开发的，用来扩展 Kubernetes API 的控制器框架，它用来创建、配置和管理复杂的有状态应用，如数据库、缓存和监控系统。

Operator 基于 Kubernetes 的资源和控制器概念之上构建，但同时又包含了应用程序特定的领域知识。

这些自定义的控制器就像 Kubernetes 原生的组件一样，Operator 直接使用 Kubernetes API 进行开发，也就是说可以根据这些控制器内部编写的自定义规则来监控集群、更改 Pods/Services、对正在运行的应用进行扩缩容。

创建 Operator 的关键是 CRD（自定义资源）的设计。本文将通过虚拟需求，设计 CRD 并实现 CRD 的控制逻辑，以体验 Operator 的开发过程。

Operator Framework

Operator Framework 是 CoreOS 开源的一个用于快速开发 Operator 的工具包，该框架包含两个主要的部分：

Operator SDK: 无需了解复杂的 Kubernetes API 特性，即可让你根据你自己的专业知识构建一个 Operator 应用。
Operator Lifecycle Manager OLM: 帮助你安装、更新和管理跨集群的运行中的所有 Operator（以及他们的相关服务）

工作流程

Operator SDK 提供以下工作流来开发一个新的 Operator：

使用 SDK 创建一个新的 Operator 项目
通过添加自定义资源（CRD）定义新的资源 API
指定使用 SDK API 来 watch 的资源
定义 Operator 的协调（reconcile）逻辑
使用 Operator SDK 构建并生成 Operator 部署清单文件

开发一个程序

部署一个简单的 Web 服务到 Kubernetes 集群中的时候，都需要：

编写一个 Deployment 的控制器；
创建一个 Service 对象，通过 Pod 的 label 标签进行关联；
通过 Ingress 或者 type=NodePort 类型的 Service 来暴露服务。

每次都需要这样操作，略显麻烦。

可以创建一个自定义的资源对象，通过自定义的 CRD 来描述要部署的应用信息，比如镜像、服务端口、环境变量等等。

创建自定义类型的资源对象的时候，通过控制器去创建对应的 Deployment 和 Service，是不是就方便很多了，相当于用一个资源清单去描述了 Deployment 和 Service 要做的两件事情。

CRD 的设计

apiVersion: paas.cmft.com/v1
kind: DemoApplication
metadata:
  name: nginx-demo
spec:
  replica: 2
  image: nginx:latest
  ports:
    - port: 80
      targetPort: 80
      nodePort: 30002

通过这里的自定义的 DemoApplication 资源对象去创建副本数为 2 的 Pod，然后通过 nodePort=30002 的端口去暴露服务

环境准备

需要准备的环境：

Go 语言开发环境；
operator-sdk 工具；
Kubernetes 环境。

安装 operator-sdk：

安装命令

1	brew install operator-sdk

创建项目

执行以下命令创建项目脚手架：

生成项目框架

1	operator-sdk init --plugins=go/v4 --domain=paas.cmft.com --repo code-inc.cmft.com/CMHK/GRD-PAAS-PORTAL/demo-operator.git

--domain：指定 API Group
--repo：指定 Go 模块名

创建 API

默认新创建的项目只有一些框架文件，需要为自定义资源添加一个新的 API：

生成 API

1	operator-sdk create api --version v1beta1 --kind DemoApplication

输出如下：

调整 API

生成的 API 文件存放在 api/v1beta1/demoapplication_types.go，需要根据需求去自定义结构体 DemoApplicationSpec 的结构，比如对应上面 Demo 的结构：

实现 CRD 参数

type DemoApplicationSpec struct {
// INSERT ADDITIONAL SPEC FIELDS - desired state of cluster
// Important: Run "make" to regenerate code after modifying this file

Image   string               `json:"image,omitempty"`
Replica *int32               `json:"replica,omitempty"`
Ports   []corev1.ServicePort `json:"ports,omitempty"`
}

修改完后，运行 make 命令重新生成一些代码。

增加业务逻辑

我们的业务逻辑需要在 internal/controller/demoapplication_controller.go 的 Reconcile 中添加：

Reconcile 的默认内容

func (r *DemoApplicationReconciler) Reconcile(ctx context.Context, req ctrl.Request) (ctrl.Result, error) {
_ = log.FromContext(ctx)

// TODO(user): your logic here

return ctrl.Result{}, nil
}

Reconcile 方法

`Reconcile` 方法是什么？

Reconcile 方法用于实现将 CR（Custom Resource）的实际状态变更为我们的期望状态。

比如：将 Deployment 的 replicas 值从 1 修改为 2，DeploymentController 的 Reconcile 方法就创建一个新的 Pod，来满足 replicas 的描述。

`Reconcile` 方法什么时候被调用？

Reconcile 方法在每次 watch 的 CR 或资源变更时触发。

Reconcile 方法每次调用时都会传入 Request 变量，该变量由 Namespace/Name 组成，这个值用于从缓存中查询我们的对象。

Reconcile 方法根据处理结果不同可以返回不同的结果：

Reconcile 方法响应的含意

// 存在错误
return ctrl.Result{}, err

// 无错误，但重入队列
return ctrl.Result{Requeue: true}, nil

// 处理完成
return ctrl.Result{}, nil

// XX 时间后重新执行
return ctrl.Result{RequeueAfter: nextRun.Sub(r.Now())}, nil

业务逻辑

业务逻辑主要是：

Watch 我们的自定义资源 DemoApplication；
DemoApplication 不存在时直接返回；
DemoApplication 存在时，判断 Deployment 是否存在，不存在就创建；
如果已经存在就根据 spec 有没变化更新 Deployment 和 Service。

获取自定义资源

application := &paascmftcomv1beta1.DemoApplication{}
if err := r.Get(ctx, req.NamespacedName, application); err != nil {
if apierrors.IsNotFound(err) {
log.Info("DemoApplication resource not found. Ignoring since it must be deleted")
return ctrl.Result{}, nil
}
log.Error(err, "Failed to get DemoApplication")
return ctrl.Result{}, err
}

维护 Deployment 和 Service

代码框架如下：

获取管理的 Deployment

found := &appsv1.Deployment{}
err := r.Get(ctx, req.NamespacedName, found)
if err != nil && apierrors.IsNotFound(err) {
// TODO 不存在，创建 Deployment 和 Service
} else if err != nil {
log.Error(err, "Failed to get Deployment")
return ctrl.Result{}, err
}

oldSpec := paascmftcomv1beta1.DemoApplicationSpec{}
if application.Annotations[AnnotationLastAppliedConfig] != "" {
if err = json.Unmarshal([]byte(application.Annotations[AnnotationLastAppliedConfig]), &oldSpec); err != nil {
return ctrl.Result{}, err
}
}

if !reflect.DeepEqual(application.Spec, oldSpec) {
// TODO 存在且有变化，更新 Deployment 和 Service
}

return ctrl.Result{}, nil

一般 Operator 都是用于管理特定业务的部署，Deployment 可以根据我们需要提供一个业务默认模板，这样只需要在 DemoApplication 开放一些可配置参数既可。

根据示例，我们创建 Deployment 的方法如下：

构造 Deployment 对接

func (r *DemoApplicationReconciler) deploymentForDemoApplication(application *paascmftcomv1beta1.DemoApplication) *appsv1.Deployment {
labels := map[string]string{
"app": application.Name,
}

containerPorts := []corev1.ContainerPort
for _, port := range application.Spec.Ports {
containerPorts = append(containerPorts, corev1.ContainerPort{
ContainerPort: port.TargetPort.IntVal,
})
}

return &appsv1.Deployment{
ObjectMeta: metav1.ObjectMeta{
Name:      application.Name,
Namespace: application.Namespace,
},
Spec: appsv1.DeploymentSpec{
Replicas: application.Spec.Replica,
Selector: &metav1.LabelSelector{
MatchLabels: labels,
},
Template: corev1.PodTemplateSpec{
ObjectMeta: metav1.ObjectMeta{
Labels: labels,
},
Spec: corev1.PodSpec{
Containers: []corev1.Container{
{
Name:  application.Name,
Image: application.Spec.Image,
Ports: containerPorts,
},
},
},
},
},
}
}

类似的，Service 的创建逻辑如下：

构造 Service 对象

func (r *DemoApplicationReconciler) serviceForDemoApplication(application *paascmftcomv1beta1.DemoApplication) *corev1.Service {
return &corev1.Service{
ObjectMeta: metav1.ObjectMeta{
Name:      application.Name,
Namespace: application.Namespace,
},
Spec: corev1.ServiceSpec{
Ports: application.Spec.Ports,
Selector: map[string]string{
"app": application.Name,
},
},
}
}

整合后，创建 Deployment 和 Service 的代码如下：

创建 Deployment 和 Service

dep := r.deploymentForDemoApplication(application)

log.Info("Creating a new Deployment", "Deployment.Namespace", dep.Namespace, "Deployment.Name", dep.Name)
if err := r.Create(ctx, dep); err != nil {
log.Error(err, "Failed to create new Deployment", "Deployment.Namespace", dep.Namespace, "Deployment.Name", dep.Name)
return ctrl.Result{}, err
}

svc := r.serviceForDemoApplication(application)

log.Info("Creating a new Service", "Service.Namespace", svc.Namespace, "Service.Name", svc.Name)
if err := r.Create(ctx, svc); err != nil {
log.Error(err, "Failed to create new Service", "Service.Namespace", svc.Namespace, "Service.Name", svc.Name)
return ctrl.Result{}, err
}

cfg, _ := json.Marshal(application.Spec)
if application.Annotations != nil {
application.Annotations[AnnotationLastAppliedConfig] = string(cfg)
} else {
application.Annotations = map[string]string{
AnnotationLastAppliedConfig: string(cfg),
}
}

if err := r.Update(ctx, application); err != nil {
log.Error(err, "Failed to update DemoApplication", "DemoApplication.Namespace", application.Namespace, "DemoApplication.Name", application.Name)
return ctrl.Result{}, nil
}

// Requeue the request to ensure the Deployment is created
return ctrl.Result{RequeueAfter: time.Minute}, nil

修改时和创建略有不同：

更新 Deployment 和 Service

newDep := r.deploymentForDemoApplication(application)
oldDep := &appsv1.Deployment{}
if err := r.Get(ctx, req.NamespacedName, oldDep); err != nil {
return ctrl.Result{}, err
}

oldDep.Spec = newDep.Spec
if err := r.Update(ctx, oldDep); err != nil {
return ctrl.Result{}, err
}

newSvc := r.serviceForDemoApplication(application)
oldSvc := &corev1.Service{}
if err := r.Get(ctx, req.NamespacedName, oldSvc); err != nil {
return ctrl.Result{}, err
}

oldSvc.Spec = newSvc.Spec
if err := r.Update(ctx, oldSvc); err != nil {
return ctrl.Result{}, err
}

cfg, _ := json.Marshal(application.Spec)
if application.Annotations != nil {
application.Annotations[AnnotationLastAppliedConfig] = string(cfg)
} else {
application.Annotations = map[string]string{
AnnotationLastAppliedConfig: string(cfg),
}
}

if err := r.Update(ctx, application); err != nil {
log.Error(err, "Failed to update DemoApplication", "DemoApplication.Namespace", application.Namespace, "DemoApplication.Name", application.Name)
return ctrl.Result{}, nil
}

运行

本地运行

1	make install run

应用配置：

增加实验数据

1	kubectl apply -f config/samples/v1beta1_demoapplication.yaml

优化

现存的问题：

DemoApplication 删除时，对应的 Deployment 和 Service 不会跟着删除；
如果 Deployment 或 Service 被修改时不会自动恢复。

问题一

如果DemoApplication 删除时，对应的 Deployment 和 Service 不会跟着删除，那会导致Deployment 和 Service 资源变得无人管理。

就像 Deployment 和 Pod 的关系一样，如果 Deployment 被删除，但是 Pod 没被删除会非常难管理。

手动设置 OwnerReference

ObjectMeta: metav1.ObjectMeta{
Name:      application.Name,
Namespace: application.Namespace,
OwnerReferences: []metav1.OwnerReference{
*metav1.NewControllerRef(application, schema.GroupVersionKind{
Group:   paascmftcomv1beta1.GroupVersion.Group,
Version: paascmftcomv1beta1.GroupVersion.Version,
Kind:    "DemoApplication",
}),
},
},

更好的方法

controller-runtime 的 controllerutil 包提供了一个工具方法用于设置 Owner 引用。

使用工具方法

1	ctrl.SetControllerReference(application, dep, r.Scheme)

问题二

我们可以在 Reconcile 这个方法里对查询的到 Deployment 进行处理：

处理 Replicas 不一致问题

replicas := application.Spec.Replica
if *replicas != *found.Spec.Replicas {
found.Spec.Replicas = replicas
if err := r.Update(ctx, found); err != nil {
log.Error(err, "Failed to update Deployment", "Deployment.Namespace", found.Namespace, "Deployment.Name", found.Name)
return ctrl.Result{}, err
}

return ctrl.Result{Requeue: true}, nil
}

不过如果只是这样写，并不会有效果。为什么？

Operator 里的资源

在 controller-runtime 包里，将资源区分为了两种类型：Primary Resources 和 Secondary Resources。

Primary Resources：主要资源，指的是控制器负责管理的资源，这里是 DemoApplication；
Secondary Resources：次要资源，控制器也可能管理的资源，但主要是为了支持 DemoApplication 的实现，这里是 Deployment 和 Service。

次要资源的修改会直接影响主要资源，所以我们的控制器必须要监控并保证次要资源和主要资源的一致。

这里相当于少了对资源的监控（Watch）动作：

func (r *DemoApplicationReconciler) SetupWithManager(mgr ctrl.Manager) error {
return ctrl.NewControllerManagedBy(mgr).
For(&paascmftcomv1beta1.DemoApplication{}).
Owns(&appsv1.Deployment{}).
Complete(r)
}

同时在 Reconcile 方法上加个以下注释：

配置权限注释

1
2

// +kubebuilder:rbac:groups=apps,resources=deployments,verbs=get;list;watch;create;update;patch;delete
// +kubebuilder:rbac:groups=core,resources=services,verbs=get;list;watch;create;update;patch;delete

执行 make manifests 生成 RBAC 授权信息。

注意点

如果不配置这个，部署到集群中后会报权限不足的错误。本地启动因为是读取的 ~/.kube/config 配置，大多是集群管理员身份，可能不会发现这个问题。

总结

使用 Operator SDK 开发一个新的 Operator 可以按以下流程：

使用 SDK 创建一个新的 Operator 项目
通过添加自定义资源（CRD）定义新的资源 API
指定使用 SDK API 来 watch 的资源
定义 Operator 的协调（reconcile）逻辑
使用 Operator SDK 构建并生成 Operator 部署清单文件

当 CRD 需要创建其它资源来实现功能时，需要配置 OwnerReferences，可以使用 ctrl.SetControllerReference 进行配置。

当需要 Watch 次要资源时，在 SetupWithManager 中设置 Owns。

引用

深入学习 Deployment 实现

2024-08-20T15:19:38.000Z

Deployment 是 Kubernetes 三个常用工作负载中最常用的。Deployment 用于管理应用的部署情况，可以实现应用的滚动升级和回滚，还能实现应用的扩缩容。

Deployment 通过 ReplicaSet 来管理 Pod。一个完整的 Deployment 创建到 Pod 被拉起的流程由多个控制器协同完成：

当用户创建 Deployment 时通过 kubectl 等客户端调用 API Server：

API Server 对请求进行认证，最终创建一个 Deloyment 对象，此时会产生 Deplyment 创建事件；
DeploymentController 监听到事件后，创建 ReplicaSet 对象（由 dc.syncDeployment 方法实现），产生 ReplicaSet 创建事件；
ReplicaSetController 监听到 ReplicaSet 创建事件，创建 Pod 对象（由 syncReplicaSet 方法实现），产生 Pod 创建事件；
- 此时 Pod 的 Spec.nodeName 为空；
scheduler 监听到 Pod 创建事件并对 Spec.nodeName 为空的 Pod 执行调度逻辑，选定节点后更新 Pod 的 Spec.nodeName，产生 Pod 更新事件（由 schedule 的 sched.scheduleOne 方法实现）；
kubelet 监听到 Pod 更新事件，判断 Pod 的 Spec.nodeName 是否是当前节点，匹配后按 Pod 的定义启动容器，同时更新 Pod 的 Status（由 Kubelet 的 syncPod 实现）。

Controller 实例的构造

前文《Kubernetes 集群的大脑 Controller Manager》里介绍过 kube-controller-manager 启动内置控制器的方法。而在 NewControllerInitializers 函数可以看到本文的主角 DeploymentController 的启动方法：

cmd/kube-controller-manager/app/controllermanager.go:445

func NewControllerInitializers(loopMode ControllerLoopMode) map[string]InitFunc {
// ...略
register("deployment", startDeploymentController)
// ...略
}

进入里面看看：

cmd/kube-controller-manager/app/apps.go:72

func startDeploymentController(ctx context.Context, controllerContext ControllerContext) (controller.Interface, bool, error) {
dc, err := deployment.NewDeploymentController(
controllerContext.InformerFactory.Apps().V1().Deployments(),
controllerContext.InformerFactory.Apps().V1().ReplicaSets(),
controllerContext.InformerFactory.Core().V1().Pods(),
controllerContext.ClientBuilder.ClientOrDie("deployment-controller"),
)
if err != nil {
return nil, true, fmt.Errorf("error creating Deployment controller: %v", err)
}
go dc.Run(ctx, int(controllerContext.ComponentConfig.DeploymentController.ConcurrentDeploymentSyncs))
return nil, true, nil
}

Deployment 是通过 ReplicaSet 来管理 Pod 的，所以这里会获取这三种资源的 Informer。

然后在协程中启动 DeploymentController.Run 方法，开启 Deployment 资源管理的控制循环。在启动方法里使用了协程，所以在 StartControllers 遍历时没有使用。

pkg/controller/deployment/deployment_controller.go:144

func (dc *DeploymentController) Run(ctx context.Context, workers int) {
defer utilruntime.HandleCrash()

// Start events processing pipeline.
dc.eventBroadcaster.StartStructuredLogging(0)
dc.eventBroadcaster.StartRecordingToSink(&v1core.EventSinkImpl{Interface: dc.client.CoreV1().Events("")})
defer dc.eventBroadcaster.Shutdown()

defer dc.queue.ShutDown()

klog.InfoS("Starting controller", "controller", "deployment")
defer klog.InfoS("Shutting down controller", "controller", "deployment")

// 等待本地 deployment、rs 和 pod 缓存与服务器同步
if !cache.WaitForNamedCacheSync("deployment", ctx.Done(), dc.dListerSynced, dc.rsListerSynced, dc.podListerSynced) {
return
}

// 启动多个 worker 执行流程
for i := 0; i < workers; i++ {
go wait.UntilWithContext(ctx, dc.worker, time.Second)
}

<-ctx.Done()
}

workers 的默认值是 5，所以启动 5 个协程来运行 worker。

pkg/controller/deployment/deployment_controller.go:461

func (dc *DeploymentController) worker(ctx context.Context) {
for dc.processNextWorkItem(ctx) {
}
}

func (dc *DeploymentController) processNextWorkItem(ctx context.Context) bool {
key, quit := dc.queue.Get()
if quit {
return false
}
defer dc.queue.Done(key)

err := dc.syncHandler(ctx, key.(string))
dc.handleErr(err, key)

return true
}

worker 函数直接无限循环执行 processNextWorkItem 函数。Kubernetes 很多 Controller 都使用这样的格式声明处理 Controller 数据的方法：

1
2
3

func (dc *XXController) processNextWorkItem(ctx context.Context) bool {

}

processNextWorkItem 函数有以下特点：

一次只从 queue 中取出一个 key 来处理；
同一个 key 不会并发调用 syncHandler；
处理完后将 key 标记为完成。

queue 组件

queue 中的数据由 Reflector 回调的函数创建。在 NewDeploymentController 中创建 Controller 时注册了事件处理函数：

注册事件处理函数

func NewDeploymentController(dInformer appsinformers.DeploymentInformer, rsInformer appsinformers.ReplicaSetInformer, podInformer coreinformers.PodInformer, client clientset.Interface) (*DeploymentController, error) {
// ...略

dInformer.Informer().AddEventHandler(cache.ResourceEventHandlerFuncs{
AddFunc:    dc.addDeployment,
UpdateFunc: dc.updateDeployment,
// This will enter the sync loop and no-op, because the deployment has been deleted from the store.
DeleteFunc: dc.deleteDeployment,
})
// ...略
}

当接收到 Deployment 的创建事件后，由 enqueue 方法实现加入队列 queue：

入队逻辑

func (dc *DeploymentController) addDeployment(obj interface{}) {
d := obj.(*apps.Deployment)
klog.V(4).InfoS("Adding deployment", "deployment", klog.KObj(d))
dc.enqueueDeployment(d)
}

dc.enqueueDeployment = dc.enqueue

func (dc *DeploymentController) enqueue(deployment *apps.Deployment) {
   key, err := controller.KeyFunc(deployment)
   if err != nil {
      utilruntime.HandleError(fmt.Errorf("couldn't get key for object %#v: %v", deployment, err))
      return
   }

   dc.queue.Add(key)
}

无论是创建、变更还是删除事件，最终都是通过 enqueue 方法将事件加入队列中，然后在主流程中取出处理。

主流程

queue 中存储的事件都是调用的 syncHandler 函数进行处理。syncHandler 是个函数指针，指向了 dc.syncDeployment 函数：

pkg/controller/deployment/deployment_controller.go:569

func (dc *DeploymentController) syncDeployment(ctx context.Context, key string) error {
// ...略

// 获取事件的 Deployment
deployment, err := dc.dLister.Deployments(namespace).Get(name)
if errors.IsNotFound(err) {
klog.V(2).InfoS("Deployment has been deleted", "deployment", klog.KRef(namespace, name))
return nil
}
if err != nil {
return err
}

// Deep-copy otherwise we are mutating our cache.
// TODO: Deep-copy only when needed.
d := deployment.DeepCopy()

// 如果 deployment 的 selector 为空，则发布告警事件并返回
everything := metav1.LabelSelector{}
if reflect.DeepEqual(d.Spec.Selector, &everything) {
dc.eventRecorder.Eventf(d, v1.EventTypeWarning, "SelectingAll", "This deployment is selecting all pods. A non-empty selector is required.")
if d.Status.ObservedGeneration < d.Generation {
d.Status.ObservedGeneration = d.Generation
dc.client.AppsV1().Deployments(d.Namespace).UpdateStatus(ctx, d, metav1.UpdateOptions{})
}
return nil
}

// 获取 Deployment 对应的 ReplicaSet
rsList, err := dc.getReplicaSetsForDeployment(ctx, d)
if err != nil {
return err
}

// 获取 Deployment 的 Pod，使用 ReplicaSet 作为 Key 分组
// 返回值 podMap 的用途：
// 1. 检查 Pod 是否被 pod-template-hash 正确标识
// 2. 检查执行 Recreate Deployment 过程中，是否有旧 Pod 在运行
podMap, err := dc.getPodMapForDeployment(d, rsList)
if err != nil {
return err
}

if d.DeletionTimestamp != nil {
return dc.syncStatusOnly(ctx, d, rsList)
}

// 在暂停或恢复 Deployment 时，使用 Unknown 状态更新 Deployment 状态。
// 这样可以保证有用户通过设置 progressDeadlineSeconds 恢复 Deployment 时不会超时
if err = dc.checkPausedConditions(ctx, d); err != nil {
return err
}

if d.Spec.Paused {
return dc.sync(ctx, d, rsList)
}

// rollback is not re-entrant in case the underlying replica sets are updated with a new
// revision so we should ensure that we won't proceed to update replica sets until we
// make sure that the deployment has cleaned up its rollback spec in subsequent enqueues.
if getRollbackTo(d) != nil {
return dc.rollback(ctx, d, rsList)
}

// 检查是否 scaling 事件
scalingEvent, err := dc.isScalingEvent(ctx, d, rsList)
if err != nil {
return err
}
if scalingEvent {
return dc.sync(ctx, d, rsList)
}

switch d.Spec.Strategy.Type {
case apps.RecreateDeploymentStrategyType:
return dc.rolloutRecreate(ctx, d, rsList, podMap)
case apps.RollingUpdateDeploymentStrategyType:
return dc.rolloutRolling(ctx, d, rsList)
}
return fmt.Errorf("unexpected deployment strategy type: %s", d.Spec.Strategy.Type)
}

syncDeployment 主要执行了以下逻辑：

获取事件的 Deployment；
如果 Deployment 的 selector 为空，则发布告警事件并返回；
获取 Deployment 对应的 ReplicaSet；
获取 Deployment 的 Pod，使用 ReplicaSet 作为 Key 分组；
如果当前是在暂停或恢复 Deployment，使用 Unknown 状态更新 Deployment 状态；
如果在回滚状态，进行回滚；
如果是 scaling 事件，执行调整；
判断当前部署策略
- 滚动更新（RollingUpdateDeploymentStrategyType 默认）：执行 rolloutRolling
- 重建（RecreateDeploymentStrategyType）：执行 rolloutRecreate

主流程主要做四件事：

扩缩容：调用 isScalingEvent() 函数遍历活跃 ReplicaSet，判断是否 desired-replicas 注解与 d.Spec.Replicas 存在差异，有差异表示 Deployment 期望副本数有变化；
暂停处理；
回滚；
更新：d.Spec.Template 有变化更新 ReplicaSet，d.Spec 的其它字段变化实际就更新状态。

创建 Deployment 时，其实是在更新逻辑的 rolloutRolling 或 rolloutRecreate 方法中创建的新的 ReplicaSet。

扩缩容和暂停

当前 Deployment 的状态如果是 .Spec.Paused 状态或 scaling 状态（dc.isScalingEvent 函数判断），就执行 dc.sync 方法同步 Deployment 状态。

dc.sync 方法负责协调 Deployment 的 scaling 状态事件或 paused 操作：

pkg/controller/deployment/sync.go:49

func (dc *DeploymentController) sync(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet) error {
// 获取新 ReplicaSet 和历史所有的 ReplicaSet
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, false)
if err != nil {
return err
}
// 尝试执行扩缩容
if err := dc.scale(ctx, d, newRS, oldRSs); err != nil {
// If we get an error while trying to scale, the deployment will be requeued
// so we can abort this resync
return err
}

// Clean up the deployment when it's paused and no rollback is in flight.
// 当前处于 Pause 状态但没在进行回滚时，进行清理 Deployment
if d.Spec.Paused && getRollbackTo(d) == nil {
if err := dc.cleanupDeployment(ctx, oldRSs, d); err != nil {
return err
}
}

allRSs := append(oldRSs, newRS)
// 同步 Deploymen 状态
return dc.syncDeploymentStatus(ctx, allRSs, newRS, d)
}

cleanupDeployment 执行的清理是根据配置的历史版本数保存上限，清理超出限制的历史版本。

`scaling` 状态

scaling 状态的判断是通过 ReplicaSet 的 deployment.kubernetes.io/desired-replicas 注解进行的。

pkg/controller/deployment/sync.go:532

func (dc *DeploymentController) isScalingEvent(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet) (bool, error) {
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, false)
if err != nil {
return false, err
}
allRSs := append(oldRSs, newRS)
logger := klog.FromContext(ctx)
for _, rs := range controller.FilterActiveReplicaSets(allRSs) {
desired, ok := deploymentutil.GetDesiredReplicasAnnotation(logger, rs)
if !ok {
continue
}
// 注解的值和 Deployment 的期望值不同
if desired != *(d.Spec.Replicas) {
return true, nil
}
}
return false, nil
}

如果下面两个值不一样就是 scaling 状态：

Deployment 期望的副本数 .Spec.Replicas；
任一活跃 ReplicaSet 的注解 deployment.kubernetes.io/desired-replicas。

获取所有 `ReplicaSet`

上面通过调用 dc.getAllReplicaSetsAndSyncRevision 方法获取 Deployment 的所有旧的 ReplicaSet 和当前最新的 ReplicaSet。

pkg/controller/deployment/sync.go:116

func (dc *DeploymentController) getAllReplicaSetsAndSyncRevision(
ctx context.Context, 
d *apps.Deployment, 
rsList []*apps.ReplicaSet, 
createIfNotExisted bool) (*apps.ReplicaSet, []*apps.ReplicaSet, error) {
//...
}

确定一个 ReplicaSet 是新 ReplicaSet 的方式是判断 Deployment 和 ReplicaSet 的 .Spec.Template 是否 Hash 相等。

当传入方法的第四个参数为 true 且找不到符合条件的新 ReplicaSet 时，会创建一个新的 ReplicaSet。

新 ReplicaSet 会使用 Deployment 对象去配置 .Spec.Replicas 和 DesiredReplicasAnnotation 注解：

.Spec.Replicas：Deployment.Spec.Replicas + MaxSurge - 当前旧 Replicas 数量，一般等于 MaxSurge 值；
- 滚动更新时，总 Pod 数量会比期望数量多一些，更新完成后会恢复为期望值；
- 替换更新时，直接等于 Deployment 期望值；
- 该值不会高于 Deployment 期望值；
DesiredReplicasAnnotation：`Deployment.Spec.Replicas

所以，这里返回的 newRS 就是我们 Deployment 期望的最终状态。

活跃 `ReplicaSet`

所谓活跃的就是 .Spec.Replicas 大于 0 的。这里有三种情况：

单纯在调整 Deployment 的 Replicas：只有一个活跃的 ReplicaSet；
从 0 副本扩容：旧 ReplicaSet 全都不活跃，使用传入的新 ReplicaSet；
滚动升级：同时存在多个活跃的 ReplicaSet，不满足条件，走下一个分支
- 旧的 ReplicaSet：正在缩容
- 新的 ReplicaSet：创建时设置了初始 .Spec.Replicas，所以能被当成活跃的 ReplicaSet

99% 的时间里 Deployment 对应的活跃的 ReplicaSet 只有一个，只有更新时才会出现 2 个 ReplicaSet ，极少数情况下（短时间重复更新）才会出现 2 个以上的 ReplicaSet。

scale 方法

接下来重点看一下 scale 方法：

pkg/controller/deployment/sync.go:298

func (dc *DeploymentController) scale(ctx context.Context, deployment *apps.Deployment, newRS *apps.ReplicaSet, oldRSs []*apps.ReplicaSet) error {

// 获取活跃或最新的 ReplicaSet，有多个活跃 RS 时返回 nil；
// 如果只有一个活跃的 ReplicaSet 就把这个 RS 副本数扩容到 Deployment 配置的；
// 如果无活跃的 RS，则扩容最新的 RS
if activeOrLatest := deploymentutil.FindActiveOrLatest(newRS, oldRSs); activeOrLatest != nil {
// 如果 RS 副本数已经和 Deployment 配置的相同就退出
if *(activeOrLatest.Spec.Replicas) == *(deployment.Spec.Replicas) {
return nil
}
// 执行 scale 操作
_, _, err := dc.scaleReplicaSetAndRecordEvent(ctx, activeOrLatest, *(deployment.Spec.Replicas), deployment)
return err
}

// 如果新的 RS 已经饱和则旧 RS 应该全部缩容到 0
if deploymentutil.IsSaturated(deployment, newRS) {
for _, old := range controller.FilterActiveReplicaSets(oldRSs) {
if _, _, err := dc.scaleReplicaSetAndRecordEvent(ctx, old, 0, deployment); err != nil {
return err
}
}
return nil
}

// 在滚动更新时，同时存在老的 RS 和新的 RS，需要适当控制 RS 的扩缩容以保证不超过 MaxSurge
if deploymentutil.IsRollingUpdate(deployment) {
allRSs := controller.FilterActiveReplicaSets(append(oldRSs, newRS))
allRSsReplicas := deploymentutil.GetReplicaCountForReplicaSets(allRSs)

allowedSize := int32(0)
if *(deployment.Spec.Replicas) > 0 {
allowedSize = *(deployment.Spec.Replicas) + deploymentutil.MaxSurge(*deployment)
}

// 需要增加的 Pod 数量，负数则为减少。调整的数量需要合适的分布到活跃的 RS 中
deploymentReplicasToAdd := allowedSize - allRSsReplicas

// 缩放方向决定了在我们试图缩放相同大小 RS 的情况下会发生什么。
// 当进行扩容时，应操作更新的 RS；缩容时先操作更老的 RS
var scalingOperation string
switch {
case deploymentReplicasToAdd > 0:
sort.Sort(controller.ReplicaSetsBySizeNewer(allRSs))
scalingOperation = "up"

case deploymentReplicasToAdd < 0:
sort.Sort(controller.ReplicaSetsBySizeOlder(allRSs))
scalingOperation = "down"
}

// 遍历所有活跃 RS，计算每个 RS 的副本数量
deploymentReplicasAdded := int32(0)
nameToSize := make(map[string]int32)
for i := range allRSs {
rs := allRSs[i]

// 如果有需要调整的 Pod 就进行调整，否则保持
if deploymentReplicasToAdd != 0 {
proportion := deploymentutil.GetProportion(rs, *deployment, deploymentReplicasToAdd, deploymentReplicasAdded)

nameToSize[rs.Name] = *(rs.Spec.Replicas) + proportion
deploymentReplicasAdded += proportion
} else {
nameToSize[rs.Name] = *(rs.Spec.Replicas)
}
}

// 更新 RS
for i := range allRSs {
rs := allRSs[i]

// Add/remove any leftovers to the largest replica set.
// 第一个 RS
if i == 0 && deploymentReplicasToAdd != 0 {
// 把多余的变化应用到第一个 RS 上
leftover := deploymentReplicasToAdd - deploymentReplicasAdded
nameToSize[rs.Name] = nameToSize[rs.Name] + leftover
if nameToSize[rs.Name] < 0 {
nameToSize[rs.Name] = 0
}
}

// 更新 RS
if _, _, err := dc.scaleReplicaSet(ctx, rs, nameToSize[rs.Name], deployment, scalingOperation); err != nil {
// Return as soon as we fail, the deployment is requeued
return err
}
}
}
return nil
}

该方法主要是对 ReplicaSet 进行扩缩容操作，这个方法只有 scaling 事件和 paused 的 Deployment 中使用，正常的滚动更新不会走这里处理：

首先获取活跃的 ReplicaSet：
- 如果有一个活跃 ReplicaSet（没有活跃就是最后一个 ReplicaSet）则直接对该 ReplicaSet 进行 scale 操作（替换更新和常规的的扩缩容在这里处理）；
- 多个活跃 ReplicaSet 就进入下一面代码；
接下来就判断是否新 ReplicaSet 已经调整完毕：
- 判断新的 ReplicaSet 是否已经饱和，如饱和将旧 RS 缩容到 0；
没调整完说明同时存在老的 ReplicaSet 和新的 ReplicaSet，需要适当控制 RS 的扩缩容以保证不超过 MaxSurge。
- 只有策略是滚动升级才可能运行到这里，替换更新一般只进入第一个步骤就结束了；
- 此时滚动更新正在进行，紧接着进行扩缩容操作。

新旧 `ReplicaSet` 扩缩容

当同时存在新旧的 ReplicaSet 时，在 scale 方法的最后对滚动升级的 ReplicaSet 进行调整。

这个新旧 ReplicaSet 扩缩容的动作，只是在滚动更新的同时又进行扩缩容操作时进行，主要的逻辑将新增或减少的副本数先平均分摊到所有活跃的 ReplicaSet，再将剩余的应用到原来副本数最多的 ReplicaSet 上（当副本数相同就比较创建时间，扩容选新，缩容选旧）。

详细逻辑如下：

首先通过预期 Replicas 数量和当前活跃 ReplicaSet 的副本总数，计算出要变动的 Pod 数量 deploymentReplicasToAdd：
- 如果是负值：缩容，活跃 ReplicaSet 列表排序，数量多、旧的在前；
- 如果是正值：扩容，活跃 ReplicaSet 列表排序，数量多、新的在前。
遍历所有活跃 ReplicaSet，计算每个 ReplicaSet 的副本数，将 deploymentReplicasToAdd 分摊到各个活跃的 ReplicaSet 上；
再次遍历所有活跃 ReplicaSet，更新对应 ReplicaSet 的副本数并将多余的 deploymentReplicasToAdd 应用到第一个 ReplicaSet：
- 如果是扩容，应用到数量最多或最新的；
- 如果是缩容，应用到数量最多或最旧的。

注意

这里执行完后 scaling 事件就已经结束（deployment.kubernetes.io/desired-replicas 注解已更新成 Deployment 的 .Spec.Replicas 的值）。

后面继续走滚动更新的逻辑（rolloutRolling）完成新旧 ReplicaSet 的滚动。

回滚

回滚操作的原理是：

复制历史的某个版本的 ReplicaSet 里的 podTemplate.Spec；
替换当前 Deployment 的 .Spec.Template，删除 rollback 注解；
下一次 Deployment 完成更新操作。

更新

这里的更新操作完成了 ReplicaSet 注解和 .Spec.Replicas 字段的操作，实际的扩缩容操作是由 ReplicaSetController 来进行的。

同时，只有 Deployment.Spec.Template 有变化才创建新的 ReplicaSet 并进行更新，而 Deployment.Spec 的其它字段变化只会更新 Deployment 和原有 ReplicaSet 的状态。

滚动更新

滚动更新 RollingUpdate 是默认的策略。Deployment 的 Spec.Template 字段的内容只要一更新就会生成新的 ReplicaSet，并且基于新的 ReplicaSet 执行滚动更新，原有的 ReplicaSet 会进行滚动缩容。

pkg/controller/deployment/rolling.go:32

func (dc *DeploymentController) rolloutRolling(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet) error {
// 获取 RS，如果不存在新 RS 就创建
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, true)
if err != nil {
return err
}
allRSs := append(oldRSs, newRS)

// 尝试进行扩容操作
scaledUp, err := dc.reconcileNewReplicaSet(ctx, allRSs, newRS, d)
if err != nil {
return err
}
if scaledUp {
// Update DeploymentStatus
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 尝试进行缩容操作
scaledDown, err := dc.reconcileOldReplicaSets(ctx, allRSs, controller.FilterActiveReplicaSets(oldRSs), newRS, d)
if err != nil {
return err
}
if scaledDown {
// Update DeploymentStatus
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

if deploymentutil.DeploymentComplete(d, &d.Status) {
if err := dc.cleanupDeployment(ctx, oldRSs, d); err != nil {
return err
}
}

// Sync deployment status
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

滚动更新过程：

getAllReplicaSetsAndSyncRevision：获取所有 ReplicaSet，如果新 ReplicaSet 不存在就创建一个新的（参看上面：获取所有 ReplicaSet）；
reconcileNewReplicaSet 对新 ReplicaSet 进行扩容；
reconcileOldReplicaSets 对旧 ReplicaSet 进行缩容；
- 对于新增的 ReplicaSet，此时总副本数已经超过期望数，需要在这里对旧 ReplicaSet 进行缩容操作
更新 Deployment 状态

这里的扩缩容操作实际上是通过修改 .Spec.Replicas 和使用 deploymentutil.SetReplicasAnnotations 函数操作 ReplicaSet 注解 deployment.kubernetes.io/desired-replicas 实现的。

deployment.kubernetes.io/desired-replicas 注解会设置为 Deployment 的 .Spec.Replicas 的值。滚动的的过程是修改 ReplicaSet 的 .Spec.Replicas。

整个滚动更新过程就是不断地扩容新 ReplicaSet、缩容旧 ReplicaSet 再更新 Deployment 过程：

扩容新 ReplicaSet 的 .Spec.Replicas：原值 + maxSurge，直到等于 Deployment.Spec.Replicas；
缩容所有旧 ReplicaSet 的 .Spec.Replicas：总数缩减最多 maxUnavalible，直到等于 0；
更新 Deployment 的 Status，触发下一轮 reconcile。

多轮滚动后，新 ReplicaSet 副本数达到预期值，旧 ReplicaSet 副本数也缩减到 0，滚动更新结束。

替换更新

替换更新相比之下更为简单，和滚动更新不同的是替换更新先对原有的 ReplicaSet 进行缩容操作，直到所有的 Pod 都退出后再创建新的 ReplicaSet 并进行扩容。

pkg/controller/deployment/recreate.go:29

func (dc *DeploymentController) rolloutRecreate(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet, podMap map[types.UID][]*v1.Pod) error {
// 如果不存在新 RS，在缩容前不创建
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, false)
if err != nil {
return err
}
allRSs := append(oldRSs, newRS)
activeOldRSs := controller.FilterActiveReplicaSets(oldRSs)

// 对 RS 进行缩容
scaledDown, err := dc.scaleDownOldReplicaSetsForRecreate(ctx, activeOldRSs, d)
if err != nil {
return err
}
if scaledDown {
// Update DeploymentStatus.
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 缩容没完成，还有 Pod 在运行，先等着（先跳过）
if oldPodsRunning(newRS, oldRSs, podMap) {
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 如果不存在新 RS，就创建
if newRS == nil {
newRS, oldRSs, err = dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, true)
if err != nil {
return err
}
allRSs = append(oldRSs, newRS)
}

// 扩容新 RS
if _, err := dc.scaleUpNewReplicaSetForRecreate(ctx, newRS, d); err != nil {
return err
}

if util.DeploymentComplete(d, &d.Status) {
if err := dc.cleanupDeployment(ctx, oldRSs, d); err != nil {
return err
}
}

// Sync deployment status.
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

不更新情况

前面说过，Deployment.Spec 的其它字段变化只会更新 Deployment 和原有 ReplicaSet 的状态。这里回顾一下 rolloutRolling 和 rolloutRecreate 的代码，看看是怎么实现的。

不更新情况：指 Deployment.Spec.Template 没有发生变化，Deployment.Spec 有变化。

滚动更新

pkg/controller/deployment/rolling.go:32

func (dc *DeploymentController) rolloutRolling(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet) error {
// 获取 RS，当不更新时，newRS 取原先的 RS
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, true)
if err != nil {
return err
}
allRSs := append(oldRSs, newRS)

// 如果容量不变，不扩容
scaledUp, err := dc.reconcileNewReplicaSet(ctx, allRSs, newRS, d)
if err != nil {
return err
}
if scaledUp {
// Update DeploymentStatus
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 缩容操作。如果活跃的旧 RS 为空，不缩容
scaledDown, err := dc.reconcileOldReplicaSets(ctx, allRSs, controller.FilterActiveReplicaSets(oldRSs), newRS, d)
if err != nil {
return err
}
if scaledDown {
// Update DeploymentStatus
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 更新状态
if deploymentutil.DeploymentComplete(d, &d.Status) {
if err := dc.cleanupDeployment(ctx, oldRSs, d); err != nil {
return err
}
}

// Sync deployment status
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

替换更新

pkg/controller/deployment/recreate.go:29

func (dc *DeploymentController) rolloutRecreate(ctx context.Context, d *apps.Deployment, rsList []*apps.ReplicaSet, podMap map[types.UID][]*v1.Pod) error {
// 当不更新时，newRS 取原先的 RS
newRS, oldRSs, err := dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, false)
if err != nil {
return err
}
allRSs := append(oldRSs, newRS)
// oldRSs 中没有活跃 RS，这里为空
activeOldRSs := controller.FilterActiveReplicaSets(oldRSs)

// 对 RS 进行缩容，activeOldRSs 为空，实际不缩容
scaledDown, err := dc.scaleDownOldReplicaSetsForRecreate(ctx, activeOldRSs, d)
if err != nil {
return err
}
if scaledDown {
// Update DeploymentStatus.
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// 在进行的 Pod 属于当前 newRS 的，跳过
if oldPodsRunning(newRS, oldRSs, podMap) {
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

// newRS 不会为 nil
if newRS == nil {
newRS, oldRSs, err = dc.getAllReplicaSetsAndSyncRevision(ctx, d, rsList, true)
if err != nil {
return err
}
allRSs = append(oldRSs, newRS)
}

// 副本数没变化，实际没扩容
if _, err := dc.scaleUpNewReplicaSetForRecreate(ctx, newRS, d); err != nil {
return err
}

// 更新状态
if util.DeploymentComplete(d, &d.Status) {
if err := dc.cleanupDeployment(ctx, oldRSs, d); err != nil {
return err
}
}

// Sync deployment status.
return dc.syncRolloutStatus(ctx, allRSs, newRS, d)
}

引申

实现 Deployment 重启

平时使用 Deployment 部署开发环境时，想要重启应用很多时候都是直接把 Pod 删除来达到重启的目的。有没有一种更优雅的方法呢？

从上面对 DeploymentController 对于更新的实现可以知道，当 Deployment 的 .Spec.Template 发生变化时会触发更新流程。

我们可以在 .Spec.Template 里加个条注解（Annotations）记录，值设定为当前的时间，这样就能触发更新流程，实现重启功能。

这样的做法其实是 kubectl rollout restart 命令的实现原理，实际上 POD Template 并没有改变，只是通过在 .spec.template.metadata.annotations 注解里增加或修改 kubectl.kubernetes.io/restartedAt 的时间戳来实现重启，并不会修改副本数。

vendor/k8s.io/kubectl/pkg/polymorphichelpers/objectrestarter.go:32

func defaultObjectRestarter(obj runtime.Object) ([]byte, error) {  
    switch obj := obj.(type) {  
    case *extensionsv1beta1.Deployment:  
       if obj.Spec.Paused {  
          return nil, errors.New("can't restart paused deployment (run rollout resume first)")  
       }  
       if obj.Spec.Template.ObjectMeta.Annotations == nil {  
          obj.Spec.Template.ObjectMeta.Annotations = make(map[string]string)  
       }  
       obj.Spec.Template.ObjectMeta.Annotations["kubectl.kubernetes.io/restartedAt"] = time.Now().Format(time.RFC3339)  
       return runtime.Encode(scheme.Codecs.LegacyCodec(extensionsv1beta1.SchemeGroupVersion), obj)
// ...略
}

总结

Deployment 的 Pod 管理是通过 ReplicaSet 来进行的，DeploymentController 的代码也不涉及 Pod 的直接操作。

DeploymentController 对 Deployment 和 ReplicaSet 的操作并不是立即完成的，而是在控制循环中反复执行、收敛、修正，最终达到期望状态，完成更新。

引用

Kubernetes 代码中的 UpgradeAwareHandler

2023-12-13T06:32:48.000Z

UpgradeAwareHandler 是 Kubernetes 里很重要的一个代码组件，在 Kubernetes 中用于代理和转发请求。

只要是有转发请求的地方都可以见到他的身影：

kubectl 的命令 exec/attach/log/port-forward 等需要连接到容器的长连接；
APIServer Aggregation 功能，需要将请求转发到外部 APIServer。

第三方的集群网关组件也会利用这个组件来实现转发代理，如：Karmada、KubeVela Cluster Gateway 等。

为什么都使用这个组件来转发请求？本文通过阅读源码，深入研究这个组件的实现原理以及使用方式。

源码

UpgradeAwareHandler 是一个代理转发组件，从名字就可以知道这个组件不只是转发 HTTP 请求，同时对于需要执行 Upgrade 操作的请求如 WebSocket 或 SPDY 的协议也可以很好地支持。

UpgradeAwareHandler 最简单的使用方式是通过 NewUpgradeAwareHandler() 方法构造，下面是 APIServer 里实现请求转发时调用的方法：

pkg/registry/core/pod/rest/subresources.go:216

func newThrottledUpgradeAwareProxyHandler(location *url.URL, transport http.RoundTripper, wrapTransport, upgradeRequired bool, responder rest.Responder) *proxy.UpgradeAwareHandler {
handler := proxy.NewUpgradeAwareHandler(location, transport, wrapTransport, upgradeRequired, proxy.NewErrorResponder(responder))
handler.MaxBytesPerSec = capabilities.Get().PerConnectionBandwidthLimitBytesPerSec
return handler
}

NewUpgradeAwareHandler() 有以下几个参数：

location：上游地址，如果是一个升级请求，会使用这个地址进行 dial；
Transport：用来提供自定义的 RoundTripper，通常用户认证等信息都是通过这个参数的 RoundTripper 来配置的；
wrapTransport：是否使用默认 RoundTripper 对 Transport 进行包裹；
upgradeRequired：请求是否需要升级，如果为 true 但升级失败会返回错误；
responder：错误时的响应输出。

构造完成后，调用 handler 的 handler.ServeHTTP(w, req) 方法将请求交由 UpgradeAwareHandler 处理就可以实现代理请求的转发。

请求处理

ServeHTTP 方法分为两类处理：需升级的请求和其它请求，代码如下：

vendor/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:213

func (h *UpgradeAwareHandler) ServeHTTP(w http.ResponseWriter, req *http.Request) {
if h.tryUpgrade(w, req) {
return
}
// 强制升级但升级失败返回错误响应
if h.UpgradeRequired {
h.Responder.Error(w, req, errors.NewBadRequest("Upgrade request required"))
return
}

loc := *h.Location
loc.RawQuery = req.URL.RawQuery

// If original request URL ended in '/', append a '/' at the end of the
// of the proxy URL
if !strings.HasSuffix(loc.Path, "/") && strings.HasSuffix(req.URL.Path, "/") {
loc.Path += "/"
}

// 处理重定向
proxyRedirect := proxyRedirectsforRootPath(loc.Path, w, req)
if proxyRedirect {
return
}

// 如果没配置自定义 Transport 或开启了 WrapTransport 就使用默认 Transport
if h.Transport == nil || h.WrapTransport {
h.Transport = h.defaultProxyTransport(req.URL, h.Transport)
}

// WithContext creates a shallow clone of the request with the same context.
newReq := req.WithContext(req.Context())
newReq.Header = utilnet.CloneHeader(req.Header)
if !h.UseRequestLocation {
newReq.URL = &loc
}
if h.UseLocationHost {
// exchanging req.Host with the backend location is necessary for backends that act on the HTTP host header (e.g. API gateways),
// because req.Host has preference over req.URL.Host in filling this header field
newReq.Host = h.Location.Host
}

// create the target location to use for the reverse proxy
reverseProxyLocation := &url.URL{Scheme: h.Location.Scheme, Host: h.Location.Host}
if h.AppendLocationPath {
reverseProxyLocation.Path = h.Location.Path
}

// 构造代理
proxy := httputil.NewSingleHostReverseProxy(reverseProxyLocation)
proxy.Transport = h.Transport
proxy.FlushInterval = h.FlushInterval
proxy.ErrorLog = log.New(noSuppressPanicError{}, "", log.LstdFlags)
if h.RejectForwardingRedirects {
oldModifyResponse := proxy.ModifyResponse
proxy.ModifyResponse = func(response *http.Response) error {
code := response.StatusCode
if code >= 300 && code <= 399 && len(response.Header.Get("Location")) > 0 {
// close the original response
response.Body.Close()
msg := "the backend attempted to redirect this request, which is not permitted"
// replace the response
*response = http.Response{
StatusCode:    http.StatusBadGateway,
Status:        fmt.Sprintf("%d %s", response.StatusCode, http.StatusText(response.StatusCode)),
Body:          io.NopCloser(strings.NewReader(msg)),
ContentLength: int64(len(msg)),
}
} else {
if oldModifyResponse != nil {
if err := oldModifyResponse(response); err != nil {
return err
}
}
}
return nil
}
}
if h.Responder != nil {
// if an optional error interceptor/responder was provided wire it
// the custom responder might be used for providing a unified error reporting
// or supporting retry mechanisms by not sending non-fatal errors to the clients
proxy.ErrorHandler = h.Responder.Error
}

// 转发代理请求
proxy.ServeHTTP(w, newReq)
}

代码中首先就先调用 tryUpgrade() 尝试进行升级。对于不升级的请求，复制一个 Request 对象，使用 Golang 的内置代理工具 httputil.NewSingleHostReverseProxy 代理。

请求升级

所谓请求升级指的是协议升级机制，是 HTTP/1.1 提供的特殊机制，允许将一个已建立的连接升级成新的、不相容的协议。

注意点

HTTP/2 明确禁止使用此机制；这个机制只属于 HTTP/1.1。

在实践中，这种机制主要用于引导 WebSocket 连接，在 Kubernetes 中还用于引导 SPDY/3.1 协议。

包含 Upgrade 的典型请求类似于：

GET /index.html HTTP/1.1
Host: www.example.com
Connection: upgrade
Upgrade: example/1, foo/2

Kubernetes 中判断一个请求是 Upgrade 请求使用以下方法：

vendor/k8s.io/apimachinery/pkg/util/httpstream/httpstream.go:99

func IsUpgradeRequest(req *http.Request) bool {
for _, h := range req.Header[http.CanonicalHeaderKey(HeaderConnection)] {
if strings.Contains(strings.ToLower(h), strings.ToLower(HeaderUpgrade)) {
return true
}
}
return false
}

该方法只判断 Connection 头内容是不是 Upgrade。在 UpgradeAwareHandler 中只有该方法返回 true 时才执行升级逻辑：

vendor/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:309

func (h *UpgradeAwareHandler) tryUpgrade(w http.ResponseWriter, req *http.Request) bool {
if !httpstream.IsUpgradeRequest(req) {
klog.V(6).Infof("Request was not an upgrade")
return false
}
// ...略

clone := utilnet.CloneRequest(req)
// ...略
backendConn, err = h.DialForUpgrade(clone)
if err != nil {
klog.V(6).Infof("Proxy connection error: %v", err)
h.Responder.Error(w, req, err)
return true
}
defer backendConn.Close()
// ...略
}

如果是升级请求就调用 h.DialForUpgrade(clone) 发起连接，DialForUpgrade 方法内还会根据是否配置了 UpgradeTransport 来确定是否将其加入 Transport 处理中：

vendor/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:470

func (h *UpgradeAwareHandler) DialForUpgrade(req *http.Request) (net.Conn, error) {
if h.UpgradeTransport == nil {
return dial(req, h.Transport)
}
updatedReq, err := h.UpgradeTransport.WrapRequest(req)
if err != nil {
return nil, err
}
return dial(updatedReq, h.UpgradeTransport)
}

UpgradeTransport 是 UpgradeRequestRoundTripper 接口的实例，这类实例用于在升级前对 Request 进行包装。这里和前面构造方法里提到的 Transport 是类似的：

h.UpgradeTransport：只在 Upgrade 请求时使用到，如果为 nil 则使用 h.Transport 代替；
h.Transport：通常传给 httputil.NewSingleHostReverseProxy 在非 Upgrade 请求使用，h.UpgradeTransport 未设置时也给 Upgrade 请求使用。

通过 dialURL 获取到连接后，调用 Write() 写入当前请求的数据：

vendor/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:495

func dial(req *http.Request, transport http.RoundTripper) (net.Conn, error) {
conn, err := dialURL(req.Context(), req.URL, transport)
if err != nil {
return nil, fmt.Errorf("error dialing backend: %v", err)
}

if err = req.Write(conn); err != nil {
conn.Close()
return nil, fmt.Errorf("error sending request: %v", err)
}

return conn, err
}

回到 tryUpgrade() 方法，建立连接后，先读取部分 Response 信息用来判断响应代码是否正确：

func (h *UpgradeAwareHandler) tryUpgrade(w http.ResponseWriter, req *http.Request) bool {
// ...略

backendConn, err = h.DialForUpgrade(clone)
if err != nil {
klog.V(6).Infof("Proxy connection error: %v", err)
h.Responder.Error(w, req, err)
return true
}
defer backendConn.Close()

// determine the http response code from the backend by reading from rawResponse+backendConn
backendHTTPResponse, headerBytes, err := getResponse(io.MultiReader(bytes.NewReader(rawResponse), backendConn))
if err != nil {
klog.V(6).Infof("Proxy connection error: %v", err)
h.Responder.Error(w, req, err)
return true
}

if len(headerBytes) > len(rawResponse) {
// we read beyond the bytes stored in rawResponse, update rawResponse to the full set of bytes read from the backend
rawResponse = headerBytes
}
// ...略
}

getResponse 方法会以 HTTP 的方式读取响应并返回 Response 对象，接着通过状态码判断是否升级。同时，getResponse 方法会读取一份 Response 的原始字节码，用于后面写回客户端通知客户端执行 Upgrade 动作切换协议。

通常对于处理升级的请求，正常第一个响应的内容只有请求头，内容是告知客户端 Upgrade 的结果，是否需要切换协议，后面的内容使用新协议进行传输。

如果是升级失败，后面需要将 Response 回写回客户端。所以获取 Response 后，首先对请求结果进行判断处理，如果响应码不是升级且是正常的响应码，就直接返回错误。

staging/src/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:362

if backendHTTPResponse.StatusCode != http.StatusSwitchingProtocols && backendHTTPResponse.StatusCode < 400 {
err := fmt.Errorf("invalid upgrade response: status code %d", backendHTTPResponse.StatusCode)
klog.Errorf("Proxy upgrade error: %v", err)
h.Responder.Error(w, req, err)
return true
}

如果响应码是错误，需要将错误的响应写回客户端：

staging/src/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:385

if backendHTTPResponse.StatusCode != http.StatusSwitchingProtocols {
// If the backend did not upgrade the request, echo the response from the backend to the client and return, closing the connection.
klog.V(6).Infof("Proxy upgrade error, status code %d", backendHTTPResponse.StatusCode)
// set read/write deadlines
deadline := time.Now().Add(10 * time.Second)
backendConn.SetReadDeadline(deadline)
requestHijackedConn.SetWriteDeadline(deadline)
// write the response to the client
err := backendHTTPResponse.Write(requestHijackedConn)
if err != nil && !strings.Contains(err.Error(), "use of closed network connection") {
klog.Errorf("Error proxying data from backend to client: %v", err)
}
// Indicate we handled the request
return true
}

写回客户端是通过对原连接进行劫持实现的，使用 http.Hijacker 对原连接进行劫持后，可以得到原始的 net.Conn。

staging/src/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:371

requestHijacker, ok := w.(http.Hijacker)
if !ok {
klog.V(6).Infof("Unable to hijack response writer: %T", w)
h.Responder.Error(w, req, fmt.Errorf("request connection cannot be hijacked: %T", w))
return true
}
requestHijackedConn, _, err := requestHijacker.Hijack()
if err != nil {
klog.V(6).Infof("Unable to hijack response: %v", err)
h.Responder.Error(w, req, fmt.Errorf("error hijacking connection: %v", err))
return true
}
defer requestHijackedConn.Close()

注意点

注意，连接被劫持后，原有的 response 对象就不能使用了。

正常升级的请求，成功劫持连接后，将第一次读取到的响应，写回客户端，通知客户端切换协议：

staging/src/k8s.io/apimachinery/pkg/util/proxy/upgradeaware.go:402

if len(rawResponse) > 0 {
klog.V(6).Infof("Writing %d bytes to hijacked connection", len(rawResponse))
if _, err = requestHijackedConn.Write(rawResponse); err != nil {
utilruntime.HandleError(fmt.Errorf("Error proxying response from backend to client: %v", err))
}
}

由于双方的传输协议正常升级后不再是 HTTP 协议，内容也不再需要关心，所以后面的工作就变成双向数据对拷：

writerComplete := make(chan struct{})
readerComplete := make(chan struct{})

go func() {
var writer io.WriteCloser
if h.MaxBytesPerSec > 0 {
writer = flowrate.NewWriter(backendConn, h.MaxBytesPerSec)
} else {
writer = backendConn
}
_, err := io.Copy(writer, requestHijackedConn)
if err != nil && !strings.Contains(err.Error(), "use of closed network connection") {
klog.Errorf("Error proxying data from client to backend: %v", err)
}
close(writerComplete)
}()

go func() {
var reader io.ReadCloser
if h.MaxBytesPerSec > 0 {
reader = flowrate.NewReader(backendConn, h.MaxBytesPerSec)
} else {
reader = backendConn
}
_, err := io.Copy(requestHijackedConn, reader)
if err != nil && !strings.Contains(err.Error(), "use of closed network connection") {
klog.Errorf("Error proxying data from backend to client: %v", err)
}
close(readerComplete)
}()

// Wait for one half the connection to exit. Once it does the defer will
// clean up the other half of the connection.
select {
case <-writerComplete:
case <-readerComplete:
}
klog.V(6).Infof("Disconnecting from backend proxy %s\n  Headers: %v", &location, clone.Header)

数据双向对拷用的是 io.Copy 方法，该方法只有在流出现错误只才会返回，所以使用了两个协程来实现。

当有一个方向的流被关闭时方法返回，requestHijackedConn.Close() 这个 defer 会关闭连接，所有关联的 IO 流都会 EOF 退出。

总结

UpgradeAwareHandler 作为一个代理转发组件，在 httputil.NewSingleHostReverseProxy 的基础上增加了对可升级请求的转发处理。

我们都知道，访问 API Server 是需要一些权限的，但代理转发的全程没有任何关于权限相关地处理，却又能将请求正确送达。这得益于 Golang 中的 RoundTripper 的设计模式，能将自定义逻辑插入到请求处理链中，实现不同模块的解耦。

引用

协议升级机制

Kubernetes 集群的大脑 Controller Manager

2023-10-11T15:25:44.000Z

Kubernetes 是一个声明式的系统。我们在使用 Kubernetes 管理应用、部署服务时，通常会使用一个 YAML 格式的文件去描述期望应用部署后的最终状态。

当这个文件被提交到 Kubernetes 后，我们神奇地发现 Kubernetes 在不停地创建各种资源，直到达到我们所描述的状态。实现这个功能的组件就是我们今天讨论的 kube-controller-manager，Kubernetes 集群的大脑。

我们平时所见到的 Kubernetes 集群中的节点（Node）、Pod、服务（Service）、端点（Endpoint）、命名空间（Namespace）、服务账户（ServiceAccount）、资源定额（ResourceQuota）等资源都是由 kube-controller-manager 管理的。

kube-controller-manager 为了管理这些资源，内置了一些控制器来实现，如 DeploymentControllers 控制器、StatefulSet 控制器、Namespace 控制器及 PersistentVolume 控制器等这些控制器都分别对应着对应各自的资源 Deployment、StatefulSet、Namespace 和 PersistentVolume 等。

这些 Controller 使用 Informer 机制，从 kube-apiserver 实时监控着某些特定的资源对象，获取它们当前的状态，对它们进行对比、修正、收敛，来使这些对象的状态不断靠近、直至达成在它们的声明语义中所期望的目标状态。

高可用

kube-controller-manager 在 Kubernetes 集群中以多实例运行实现高可用，但多个实例中只有作为 Leader 的实现会执行 Controller 逻辑。非 Leader 节点作为热备节点，只有当 Leader 节点因为某种原因故障后，非 Leader 节点经过选举成为新 Leader 接替执行 Controller 逻辑。

kube-controller-manager 选举的方式就使用了《Kubernetes 核心组件 Leader 选举机制》所介绍的选举机制。

启动

kube-controller-manager 的入口在 cmd/kube-controller-manager/app/controllermanager.go 文件中，是 cobra.Command 类型的入口。

cmd/kube-controller-manager/app/controllermanager.go:104

func NewControllerManagerCommand() *cobra.Command {
s, err := options.NewKubeControllerManagerOptions()
if err != nil {
klog.Fatalf("unable to initialize command options: %v", err)
}

cmd := &cobra.Command{
Use: "kube-controller-manager",
// ...略过
RunE: func(cmd *cobra.Command, args []string) error {
// 略过
return Run(c.Complete(), wait.NeverStop)
},
// ...略过
}

fs := cmd.Flags()
// 命令行参数注册，略过
return cmd
}

这段代码会进入 Run 方法中执行真正的 kube-controller-manager 逻辑，Run 方法中实际执行业务的代码是内部的 run 匿名方法。

cmd/kube-controller-manager/app/controllermanager.go:226

1
2
3

run := func(ctx context.Context, startSATokenController InitFunc, initializersFunc ControllerInitializersFunc) {
// ...
}

run 代码后面的部分是进行选主处理的，如果没开启选主功能，直接运行 run。

cmd/kube-controller-manager/app/controllermanager.go:244

// No leader election, run directly
if !c.ComponentConfig.Generic.LeaderElection.LeaderElect {
ctx, _ := wait.ContextForChannel(stopCh)
run(ctx, saTokenControllerInitFunc, NewControllerInitializers)
return nil
}

如果启用的选主，则会启动协程，使用 client-go 的选主组件进行选主，并在成为主节点后也运行 run，主流程使用 <-stopCh 阻塞：

cmd/kube-controller-manager/app/controllermanager.go:280

// Start the main lock
go leaderElectAndRun(c, id, electionChecker,
c.ComponentConfig.Generic.LeaderElection.ResourceLock,
c.ComponentConfig.Generic.LeaderElection.ResourceName,
leaderelection.LeaderCallbacks{
OnStartedLeading: func(ctx context.Context) {
initializersFunc := NewControllerInitializers
if leaderMigrator != nil {
// If leader migration is enabled, we should start only non-migrated controllers
//  for the main lock.
initializersFunc = createInitializersFunc(leaderMigrator.FilterFunc, leadermigration.ControllerNonMigrated)
klog.Info("leader migration: starting main controllers.")
}
run(ctx, startSATokenController, initializersFunc)
},
OnStoppedLeading: func() {
klog.ErrorS(nil, "leaderelection lost")
klog.FlushAndExit(klog.ExitFlushTimeout, 1)
},
})

//...省略
<-stopCh

run 方法实现如下：

cmd/kube-controller-manager/app/controllermanager.go:226

run := func(ctx context.Context, startSATokenController InitFunc, initializersFunc ControllerInitializersFunc) {
controllerContext, err := CreateControllerContext(c, rootClientBuilder, clientBuilder, ctx.Done())
if err != nil {
klog.Fatalf("error building controller context: %v", err)
}
// 初始化要运行的 Controller
controllerInitializers := initializersFunc(controllerContext.LoopMode)
// 启动所有 Controller
if err := StartControllers(ctx, controllerContext, startSATokenController, controllerInitializers, unsecuredMux, healthzHandler); err != nil {
klog.Fatalf("error starting controllers: %v", err)
}

// 启动 informer
controllerContext.InformerFactory.Start(stopCh)
controllerContext.ObjectOrMetadataInformerFactory.Start(stopCh)
close(controllerContext.InformersStarted)

<-ctx.Done()
}

run 方法使用传入的 initializersFunc 函数获取要启动的 Controller 列表，默认的 initializersFunc 指向的是 NewControllerInitializers 函数，这个函数会构造一个 map[string]InitFunc 类型的 Map，Key 是 Controller 的名字，Value 是 Controller 的启动函数。

StartControllers 方法遍历上面构造的 map[string]InitFunc，启动所有 Controller。

Informer 注意点

Informer 的启动是在 Controller 启动完后才启动的，Controller 会在 Informer 同步完后才会真正的启动。如下是 DeploymentController 启动时，会等待 Informer 同步完才执行 worker 逻辑：

pkg/controller/deployment/deployment_controller.go:157

1
2
3

if !cache.WaitForNamedCacheSync("deployment", ctx.Done(), dc.dListerSynced, dc.rsListerSynced, dc.podListerSynced) {
return
}

启动 Controller

启动的代码很简单：

cmd/kube-controller-manager/app/controllermanager.go:567

func StartControllers(ctx context.Context, controllerCtx ControllerContext, startSATokenController InitFunc, controllers map[string]InitFunc,
unsecuredMux *mux.PathRecorderMux, healthzHandler *controllerhealthz.MutableHealthzHandler) error {
// 先启动 SATokenController，因为这个 Controller 会为其它 Controller 构造 Token
// 如果启动失败则中止启动流程
if startSATokenController != nil {
if _, _, err := startSATokenController(ctx, controllerCtx); err != nil {
return err
}
}

// Initialize the cloud provider with a reference to the clientBuilder only after token controller
// has started in case the cloud provider uses the client builder.
if controllerCtx.Cloud != nil {
controllerCtx.Cloud.Initialize(controllerCtx.ClientBuilder, ctx.Done())
}

var controllerChecks []healthz.HealthChecker

// 遍历 Controller 列表
for controllerName, initFn := range controllers {
if !controllerCtx.IsControllerEnabled(controllerName) {
klog.Warningf("%q is disabled", controllerName)
continue
}
// 加点时间间隔
time.Sleep(wait.Jitter(controllerCtx.ComponentConfig.Generic.ControllerStartInterval.Duration, ControllerStartJitter))

// 启动 Controller 
klog.V(1).Infof("Starting %q", controllerName)
ctrl, started, err := initFn(ctx, controllerCtx)
if err != nil {
klog.Errorf("Error starting %q", controllerName)
return err
}
if !started {
klog.Warningf("Skipping %q", controllerName)
continue
}
// ...省略配置 Check 代码
controllerChecks = append(controllerChecks, check)

klog.Infof("Started %q", controllerName)
}

healthzHandler.AddHealthChecker(controllerChecks...)

return nil
}

在启动 Controller 前，先启动的 SATokenController（实际上是 TokensController，用来管理 ServiceAccount 的 ServiceAccountToken），因为这个 Controller 会为其它 Controller 构造 Token，如果启动失败则中止启动流程，因为其它 Controller 取不到 Token 没必要启动了。

总结

kube-controller-manager 最主要的逻辑还是管理众多 Kubernetes 资源的 Controller，作为引子本文只讨论了启动相关的内容。感兴趣可以在 cmd/kube-controller-manager/app/controllermanager.go:428 的 NewControllerInitializers() 方法查看 kube-controller-manager 管理的 Controller 列表。

后面的文章会基于最经典的 DeploymentController 源码，看看 Deployment 是怎么实现的。

删除 PVE 中已失效的存储

2023-09-25T07:14:09.000Z

当把硬盘从 PVE 主机直接拆除而没提前从 PVE 面板中删除，会在存储面板显示错误图标，这时手动删除存储会直接报 not a valid block device 的错。

很多人觉得 PVE 复杂的原因主要就是因为 PVE 有很多操作需要用命令去完成，就比如上面这个删除失效存储的情况，可以简单地提示个强制删除就能解决问题，而 PVE 却产生了一个不明所以的错误提示。

其实此时要想正常完成删除动作，只需要执行几条命令就行，但这个错误提示让人没有头绪，我还是在官方论坛找到的解决方法。

PVE Mount

在 PVE 中，支持了四种存储类型：LVM、LVM Thin、Directory 和 ZFS。我最常用的还是 Directory，虽然基于文件的存储会带来一些性能的损失，但真的简单实用。Directory 类型是万能的，所有东西都可以在 Directory 中创建。

Directory 使用的 systemd 管理的挂载点，配置文件都存储在 /etc/systemd/system 目录，我们打开一个配置文件看看：

root@svc:/etc/systemd/system# cat mnt-pve-storage.mount 
[Install]
WantedBy=multi-user.target

[Mount]
Options=defaults
Type=xfs
What=/dev/disk/by-uuid/0c389bee-ddd9-4010-800f-99dfdb6104d7
Where=/mnt/pve/storage

[Unit]
Description=Mount storage 'storage' under /mnt/pve

真的非常简单，以后有挂载需要可以参考这种方式，不用再搞 fstab 那一套了。

删除存储

既然知道是使用 systemd 进行管理，那是不是可以使用 systemctl 来进行操作？没错，是这样的。

我们使用 systemctl 停用挂载并禁用自动启动后，就可以删除掉配置文件了，命令如下：

1
2
3

systemctl stop mnt-pve-.mount
systemctl disable mnt-pve-.mount
rm /etc/systemd/system/mnt-pve-.mount

执行完后，Directory 列表就不存在个这个目录了。

此时如果左边的存储列表还存在该存储，只要去 Storage 页面删除掉对应的存储就行。

引用

联芸 1602 主控的国产固态在 PVE 中的识别问题

2023-09-04T04:02:20.000Z

家中 HomeLab 的主力是一台自组的 AMD 机器（以下简称 PRD 主机），使用 PVE 作为虚拟化系统，在系统中装黑群和 PCDN 的虚机，同时使用 PVE 中的 lxc 容器来装服务。

作为主力机器，我给机器配了致态的 TiPlus 7100 做系统盘，并且用 TiPlus 5000 做虚拟机系统数据盘。

最近 618 国产长江存储颗粒的 NVMe 的固态价格实在是非常便宜，而且个个都是 PCIe4.0 的满速盘。从认识 SSD 以来就没见过这么香的价格，所以我也在活动期间买了几块。主要是 2TB 的爱国者 P7000z、2 TB 的梵想 S790 和 4TB 的 HP FX900 Plus。

到货后都在 Windows 中使用 CDI 进行了检测，都是全新盘，没什么问题。接着将硬盘插到 PRD 主机中启动后发生了很诡异的事，P7000z 在 PVE 中无法识别出来。

诡异的硬盘冲突

当 P7000z 无法识别后，我立即就开始怀疑是不是 P7000z 掉盘了。毕竟前一天我才看了小飞机修的 P7000z 掉盘视频，而且爱国者和梵想都算是杂牌了，只是没想到这么快就掉盘。

把 P7000z 拿出来再次插到 Windows 中发现硬盘其实一切正常，好得很。我又开始怀疑这个新买的 UPQI PCIex16 转 nvme 4 盘位的转接板是不是不能兼容主板的 PCIe 拆分。

PRD 主机使用的是华硕的 TUF B550m Plus 主板，支持对第一个 PCIe 插糟进行拆分，虽然 BIOS 的拆分选项只有 8x8 和 PCIe RAID Mode。

但我从 NGA 的贴里找到有人说 PCIe RAID Mode 就是 4x4x4x4 拆分。那理论上应该没问题，也许是转接板的问题？或者是插糟接触不良？

带着这些疑问，我不停地拨插和交换 NVMe 的顺序，发现只要梵想 s790 和 P7000z 这两个硬盘同时插到 PRD 主机，P7000z 就无法识别。我还是第一次见到，还有两个硬盘互相冲突的情况存在。

冲突的原因

带着这个问题进行一轮检索后，在 chiphell 论坛发现了这个问题的原因。

总的来说，出现这个问题的原因是这些硬盘都使用了相同的联芸 MAP1602 主控且 VID/DID 相同，导致 Linux 内核只识别一个。致态的 TiPlus 7100 也是使用的这个同样的主控，但是并没有问题。说明这些杂牌就直接使用的公版固件，连 ID 都不改。

Windows 也会报硬盘 ID 重复的错误，只是没阻止正常加载。所以解决办法就是忽略 ID 重复的错误，Linux 内核代码里提供了相应的处理方法。CHH 贴子里提供了一个内核 patch 可以解决这个问题：

diff --git a/drivers/nvme/host/pci.c b/drivers/nvme/host/pci.c
--- a/drivers/nvme/host/pci.c
+++ b/drivers/nvme/host/pci.c
@@ -3424,6 +3424,8 @@ static const struct pci_device_id nvme_id_table[] = {
                 .driver_data = NVME_QUIRK_BOGUS_NID, },
         { PCI_DEVICE(0x1e4B, 0x1202),   /* MAXIO MAP1202 */
                 .driver_data = NVME_QUIRK_BOGUS_NID, },
+        { PCI_DEVICE(0x1e4B, 0x1602),   /* MAXIO MAP1602 */
+                .driver_data = NVME_QUIRK_BOGUS_NID, },
         { PCI_DEVICE(0x1cc1, 0x5350),   /* ADATA XPG GAMMIX S50 */
                 .driver_data = NVME_QUIRK_BOGUS_NID, },
         { PCI_DEVICE(0x1dbe, 0x5236),   /* ADATA XPG GAMMIX S70 */

这个 Patch 已经提交到 Linux 内核，6.4 版本的内核会包括该 Patch。

不过 PVE 8 的内核版本 6.2.16-5 以后就应用了解决冲突的 Patch，直接升级到 PVE 的最新版本就可以解决这个问题。如果低于这个版本又不想升级，可以去 CHH 下载楼主编译好的包。

如果想自行编译可以参考本文后面章节，提供了编译的详细步骤。

PVE 8 的 Patch

前面说了 PVE 8 新内核修复了硬盘重复 ID 无法识别的问题，我们可以看一下官方是怎样解决的：

Fixes: 2079f41ec6ff ("nvme: check that EUI/GUID/UUID are globally unique")
---
 drivers/nvme/host/core.c | 36 +++++++++++++++++++++++++++++++++---
 1 file changed, 33 insertions(+), 3 deletions(-)

diff --git a/drivers/nvme/host/core.c b/drivers/nvme/host/core.c
index d567762545b0..f350df252d27 100644
--- a/drivers/nvme/host/core.c
+++ b/drivers/nvme/host/core.c
@@ -4162,10 +4162,40 @@ static int nvme_init_ns_head(struct nvme_ns *ns, struct nvme_ns_info *info)
 
 ret = nvme_global_check_duplicate_ids(ctrl->subsys, &info->ids);
 if (ret) {
-dev_err(ctrl->device,
-"globally duplicate IDs for nsid %d\n", info->nsid);
+/*
+ * We've found two different namespaces on two different
+ * subsystems that report the same ID.  This is pretty nasty
+ * for anything that actually requires unique device
+ * identification.  In the kernel we need this for multipathing,
+ * and in user space the /dev/disk/by-id/ links rely on it.
+ *
+ * If the device also claims to be multi-path capable back off
+ * here now and refuse the probe the second device as this is a
+ * recipe for data corruption.  If not this is probably a
+ * cheap consumer device if on the PCIe bus, so let the user
+ * proceed and use the shiny toy, but warn that with changing
+ * probing order (which due to our async probing could just be
+ * device taking longer to startup) the other device could show
+ * up at any time.
+ */
 nvme_print_device_info(ctrl);
-return ret;
+if ((ns->ctrl->ops->flags & NVME_F_FABRICS) || /* !PCIe */
+    ((ns->ctrl->subsys->cmic & NVME_CTRL_CMIC_MULTI_CTRL) &&
+     info->is_shared)) {
+dev_err(ctrl->device,
+"ignoring nsid %d because of duplicate IDs\n",
+info->nsid);
+return ret;
+}
+
+dev_err(ctrl->device,
+"clearing duplicate IDs for nsid %d\n", info->nsid);
+dev_err(ctrl->device,
+"use of /dev/disk/by-id/ may cause data corruption\n");
+memset(&info->ids.nguid, 0, sizeof(info->ids.nguid));
+memset(&info->ids.uuid, 0, sizeof(info->ids.uuid));
+memset(&info->ids.eui64, 0, sizeof(info->ids.eui64));
+ctrl->quirks |= NVME_QUIRK_BOGUS_NID;
 }
 
 mutex_lock(&ctrl->subsys->lock);

PVE 8 的 patch 对 ID 重复问题进行了通用处理。

硬盘再次消失

升级了 PVE 版本后，硬盘冲突没再出现了。期待已久的 HP FX900 Plus 4TB 也终于收到了，按习惯上机、检测、跑分后，装到 PRD 主机中启动，没问题，正常识别。

在某次重启后发现硬盘消失了！而且多次重启都没再出现。检查日志发现，报了这个错：

HP FX900 Plus 4TB 识别报错

1	nvme nvme2: Device not ready; aborting initialisation, CSTS=0x0

使用 PCIe 命令是可以看到正常识别的：

查看 PCIe 是否识别硬盘

$ lspci -vv | grep MAP1602
pcilib: sysfs_read_vpd: read failed: No such device
08:00.0 Non-Volatile memory controller: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602 (rev 01) (prog-if 02 [NVM Express])
        Subsystem: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602
09:00.0 Non-Volatile memory controller: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602 (rev 01) (prog-if 02 [NVM Express])
        Subsystem: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602
0a:00.0 Non-Volatile memory controller: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602 (rev 01) (prog-if 02 [NVM Express])
        Subsystem: MAXIO Technology (Hangzhou) Ltd. NVMe SSD Controller MAP1602

爬文后，有文档建议增加内核启动参数：iommu=soft，试了一下没有任何效果。

最后又回到 CHH 的贴子，发现挺多人遇到同样的问题，都是 4TB 的才会有这个问题。可能是固件有 BUG，初始化的超时时间是 0，导致内核等待 0 秒超时，直接中断了初始化。

针对这个情况，用以下的 Patch，把超时时间乘 2 也能解决：

增加 NVME 超时时间

diff --git a/drivers/nvme/host/core.c b/drivers/nvme/host/core.c
index d567762545b0..1ca3d78da5b9 100644
--- a/drivers/nvme/host/core.c
+++ b/drivers/nvme/host/core.c
@@ -2407,6 +2407,7 @@ int nvme_enable_ctrl(struct nvme_ctrl *ctrl)
 } else {
 timeout = NVME_CAP_TIMEOUT(ctrl->cap);
 }
+dev_info(ctrl->device, "[PATCH] nvme core got timeout %u\n",timeout);

 ctrl->ctrl_config |= (NVME_CTRL_PAGE_SHIFT - 12) << NVME_CC_MPS_SHIFT;
 ctrl->ctrl_config |= NVME_CC_AMS_RR | NVME_CC_SHN_NONE;
@@ -2424,8 +2425,9 @@ int nvme_enable_ctrl(struct nvme_ctrl *ctrl)
 ret = ctrl->ops->reg_write32(ctrl, NVME_REG_CC, ctrl->ctrl_config);
 if (ret)
 return ret;
+dev_info(ctrl->device, "[PATCH] nvme_wait_ready now wait for %u, previously %u\n",(timeout + 1) * 2, (timeout + 1)/2);
 return nvme_wait_ready(ctrl, NVME_CSTS_RDY, NVME_CSTS_RDY,
-       (timeout + 1) / 2, "initialisation");
+       (timeout + 1) * 2, "initialisation");
 }
 EXPORT_SYMBOL_GPL(nvme_enable_ctrl);

目前我应用这个 Patch 后可以正常识别硬盘了，日志输出如下：

1 2	[ 1.303728] nvme nvme2: [PATCH] nvme core got timeout 0 [ 1.303732] nvme nvme2: [PATCH] nvme_wait_ready now wait for 2, previously 0

CHH 的楼主也针对这个问题，提交了一个 Patch 给 Linux，不过不是使用 Timeout 增加的方法来解决的，而是在 pci.c 里配置 .driver_data，增加 NVME_QUIRK_DELAY_BEFORE_CHK_RDY 的方式。

CHH 的修复方法

Problem and fix are verified with my MAP1602 controller SSD device.

Signed-off-by: Han Gao 
Signed-off-by: David Xu 
---
  drivers/nvme/host/pci.c | 3 ++-
  1 file changed, 2 insertions(+), 1 deletion(-)

diff --git a/drivers/nvme/host/pci.c b/drivers/nvme/host/pci.c
index 492f319ebdf3..f75c27730bde 100644
--- a/drivers/nvme/host/pci.c
+++ b/drivers/nvme/host/pci.c
@@ -3425,7 +3425,8 @@ static const struct pci_device_id nvme_id_table[] = {
  { PCI_DEVICE(0x1e4B, 0x1202),   /* MAXIO MAP1202 */
  .driver_data = NVME_QUIRK_BOGUS_NID, },
  { PCI_DEVICE(0x1e4B, 0x1602),   /* MAXIO MAP1602 */
-.driver_data = NVME_QUIRK_BOGUS_NID, },
+.driver_data = NVME_QUIRK_BOGUS_NID |
+NVME_QUIRK_DELAY_BEFORE_CHK_RDY, },
  { PCI_DEVICE(0x1cc1, 0x5350),   /* ADATA XPG GAMMIX S50 */
  .driver_data = NVME_QUIRK_BOGUS_NID, },
  { PCI_DEVICE(0x1dbe, 0x5236),   /* ADATA XPG GAMMIX S70 */

不过，在内核的 MailList 讨论中，有人认为这种方式并不能解决问题，因为 NVME_QUIRK_DELAY_BEFORE_CHK_RDY 影响的代码并不是 timeout 发生的代码。

编译内核

由于对应的 Patch 还在讨论，而且合并到 Kernel 后 PVE 最终能用上还需要一些时间。CHH 楼主编译的 PVE 内核版本（6.2.16-4）比我更新后的小，内核降级感觉不太合适，所以还得自己应用一下 Patch 进行编译。

环境准备

为了防止对 PRD 主机造成影响，我使用 Ubuntu 23.04 的 Template 创建了一个 LXC 容器，准备在里面进行内核构建。

我们先装一下构建需要的依赖：

wget -qO - http://download.proxmox.com/debian/proxmox-ve-release-6.x.gpg | apt-key add
echo "deb http://mirrors.ustc.edu.cn/proxmox/debian buster pve-no-subscription " | tee /etc/apt/sources.list.d/buster-pvetest.list
apt update && apt install libpve-common-perl
apt install git make dpkg-dev dh-python dh-make python3-sphinx lintian asciidoc-base bison dwarves flex libdw-dev libelf-dev libiberty-dev libnuma-dev libslang2-dev libssl-dev lz4 xmlto zlib1g-dev bc zstd

注意，libpve-common-perl 在 PVE 的软件源中才有，所以需要先安装 PVE 的软件源，这里使用 ustc 源。装完依赖后，就可以拉代码开始构建了。

构建 PVE 的内核只需要拉取 pve-kernel 就行，pve-kernel 通过 git submodule 的方式依赖 ubuntu 的 Kernel，构建的时候会自动拉取。

1	git clone git://git.proxmox.com/git/pve-kernel.git

注意

ubuntu kernel 有 1GB 多，所以建议把 git.proxmox.com 加入代理加速，不然下半天断了还得重下。

增加 Patch

在 pve-kernel 目录的 patches/kernel 子目录中增加文件 0013-nvme-multiple-timeout-nvme_wait_ready.patch，内容如下：

patches/kernel/0013-nvme-multiple-timeout-nvme_wait_ready.patch

diff --git a/drivers/nvme/host/core.c b/drivers/nvme/host/core.c
index d567762545b0..1ca3d78da5b9 100644
--- a/drivers/nvme/host/core.c
+++ b/drivers/nvme/host/core.c
@@ -2407,6 +2407,7 @@ int nvme_enable_ctrl(struct nvme_ctrl *ctrl)
 } else {
 timeout = NVME_CAP_TIMEOUT(ctrl->cap);
 }
+dev_info(ctrl->device, "[PATCH] nvme core got timeout %u\n",timeout);

 ctrl->ctrl_config |= (NVME_CTRL_PAGE_SHIFT - 12) << NVME_CC_MPS_SHIFT;
 ctrl->ctrl_config |= NVME_CC_AMS_RR | NVME_CC_SHN_NONE;
@@ -2424,8 +2425,9 @@ int nvme_enable_ctrl(struct nvme_ctrl *ctrl)
 ret = ctrl->ops->reg_write32(ctrl, NVME_REG_CC, ctrl->ctrl_config);
 if (ret)
 return ret;
+dev_info(ctrl->device, "[PATCH] nvme_wait_ready now wait for %u, previously %u\n",(timeout + 1) * 2, (timeout + 1)/2);
 return nvme_wait_ready(ctrl, NVME_CSTS_RDY, NVME_CSTS_RDY,
-       (timeout + 1) / 2, "initialisation");
+       (timeout + 1) * 2, "initialisation");
 }
 EXPORT_SYMBOL_GPL(nvme_enable_ctrl);

这里我们只需要增加一个超时的 Patch 既可，重复 ID 的在官方的 0010-nvme-don-t-reject-probe-due-to-duplicate-IDs-for-sin.patch 中已经包含。

开始构建

增加完 Patch 后，切换到 pve-kernel 根目录就可以执行构建了：

开始构建

$ make

大概等半个小时，构建完后会在 pve-kernel 目录生成几个 deb 文件：

查看构建结果

1
2
3

root@builder:~/pve/pve-kernel# ls *.deb
linux-tools-6.2_6.2.16-11_amd64.deb                proxmox-headers-6.2_6.2.16-11_all.deb             proxmox-kernel-6.2_6.2.16-11_all.deb
proxmox-headers-6.2.16-11-pve_6.2.16-11_amd64.deb  proxmox-kernel-6.2.16-11-pve_6.2.16-11_amd64.deb  proxmox-kernel-libc-dev_6.2.16-11_amd64.deb

我们把文件复制到 PVE 主机下，使用以下命令就可以安装新内核：

安装内核

1	dpkg -i *.deb

重启后就生效。

总结

便宜是有代价的。买之前没想到会因为硬盘遇到两个 Linux 内核问题，而且这也不算内核的 BUG，只是这些杂牌没有固件开发能力，直接使用公版固件导致的问题。硬盘 ID 改都不改，直接就用，就像 PVE patch 里备注说的很 nasty。

致态使用的相同的主控，这些奇怪问题就一个没有。最后，建议直接买致态，便宜是有代价的。

下载

如果不想自己编译，我这里汇总了编译好的文件，直接安装既可。可以通过 uname -srm 命令检查自己当前内核版本。

文件

PVE 版本	内核版本	路径	提取码	来源
PVE 8.0	6.2.16-11	点此下载 [Wonchong 赞助] 点此下载	`iHaa`	本站构建
PVE 8.0 beta	6.2.16-1	点此下载	`CHH1`	CHH
PVE 8.0	6.2.16-3	点此下载	`CHH2`	CHH
PVE 8.0	6.2.16-4	点此下载	`CHH3`	CHH

引用

无法连接到 LXC 容器里的 docker 网络

2023-08-15T15:07:09.000Z

继去年 HomeLab PRD 节点全面使用 lxc 容器运行应用后，最近兴趣使然，又开始折腾主机的网络。主要折腾的内容是 vlan、SR-IOV 和万兆，等整理完再把折腾笔记发出来，本文主要解决折腾过程中遇到的一个问题。

为方便管理容器，我为每个 lxc 里的容器（docker in lxc）创建一个 Network，分配独立的网段。在主路由中将该子网的请求路由到该 lxc 上，就可以实现通过子网 IP 直接访问容器。

配置好后发现，在 lxc 之外根本 ping 不通容器，请求始终到不了容器。

现象

相同的配置方式在群晖的 Docker 是可以如期使用的，而且在 lxc 节点又能正常 Ping 通容器。

使用 tcpdump 抓包 icmp，观察网络情况。下面的 10.0.3.11 是容器 IP，10.0.3.1 是 lxc 的 IP（Docker Network 的网关 IP）， 10.0.1.26 是节点外电脑的 IP：

tcpdump 抓包

$ tcpdump -i eth0 host 10.0.3.11
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
23:25:25.432364 IP 10.0.1.26 > 10.0.3.11: ICMP echo request, id 3197, seq 38, length 64
23:25:26.434915 IP 10.0.1.26 > 10.0.3.11: ICMP echo request, id 3197, seq 39, length 64
23:25:27.440254 IP 10.0.1.26 > 10.0.3.11: ICMP echo request, id 3197, seq 40, length 64
23:25:28.441107 IP 10.0.1.26 > 10.0.3.11: ICMP echo request, id 3197, seq 41, length 64

$ tcpdump -i vethef07fa1 host 10.0.3.11
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on vethef07fa1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
23:40:26.510201 IP 10.0.3.1 > 10.0.3.11: ICMP echo request, id 2245, seq 58, length 64
23:40:26.510216 IP 10.0.3.11 > 10.0.3.1: ICMP echo reply, id 2245, seq 58, length 64
23:40:27.534200 IP 10.0.3.1 > 10.0.3.11: ICMP echo request, id 2245, seq 59, length 64
23:40:27.534211 IP 10.0.3.11 > 10.0.3.1: ICMP echo reply, id 2245, seq 59, length 64

可以发现：

lxc 的接口能接受到 icmp 的 request 包，无响应回包；
lxc 内 docker 容器的网络接口无数据包；
只有从 lxc 容器外才不能访问 lxc 里的 docker 容器。

原因

从上面的测试可以基本确定，问题出在 lxc 转发数据上。我使用 lxc 的容器是基于 Ubuntu 23.04 Template 创建而来，怀疑是不是默认没打开 ipv4 的转发功能：

ipv4 转发

$ sysctl net.ipv4.ip_forward
1
$ cat /proc/sys/net/ipv4/ip_forward
1

参数都表示打开的，在对群晖和 lxc 的路由和防火墙规则的详细对比，发现问题在防火墙规则上。

lxc iptables 规则

$ iptables --list-rules
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
# ...

可以发现，这里有一个 -P FORWARD DROP 的默认规则，把转发流量全部丢弃掉了。

解决

找到了问题的根源，解决也就很简单了，只需要用 iptables 命令设置开启就可以。

修改规则

1	$ /sbin/iptables -P FORWARD ACCEPT

这样的修改是临时性的，要想将这个规则持久化，可以使用 iptables-persistent 或者自己写启动脚本。

注意

iptables-persistent 的启动顺序比 docker.service 早，会导致 iptables 规则被 docker 默认的覆盖，需要手动调整顺序。

我这里使用的启动脚本方式解决。首先创建一个 shell 脚本（编辑完记得用 chmod 授权可执行权限）：

/etc/iptables/accept-forward-iptables.sh

1 2	#!/bin/sh /sbin/iptables -P FORWARD ACCEPT

/etc/iptables/ 目录可能不存在，报错的话先创建好。

然后创建一个 service 启动配置：

/etc/systemd/system/iptables-persistent.service

[Unit]
Description=runs iptables restore on boot
ConditionFileIsExecutable=/etc/iptables/accept-forward-iptables.sh
After=network.target docker.service
[Service]
Type=forking
ExecStart=/etc/iptables/accept-forward-iptables.sh
start TimeoutSec=0
RemainAfterExit=yes
GuessMainPID=no
[Install]
WantedBy=multi-user.target

这里注意，After 配置里一定要有 docker.service，不然规则会被覆盖。推测默认 DROP 的应该是 Docker 创建的规则，这个没有深究。

修改完成后，执行以下命令开机启动并生效：

开机启动并生效

1
2
3

systemctl daemon-reload
systemctl enable iptables-persistent.service
systemctl start iptables-persistent.service

配置完后，应该就可以在内网的其它机器成功 Ping 通 10.0.3.11 主机了。

Java 里锁的简单使用回顾

2023-08-06T03:51:09.000Z

当代码中在多个线程中访问一个数据时，该数据就需要进行保护，保证在查询和修改时不会因为其它线程的操作而产生不可预料的异常。

下面简单总结了 Java 多线程开发中几个不同场景下的线程安全类和锁的使用样例。

JUC 工具包

对于临界资源访问，最先考虑使用的是 java.util.concurrent 包下的工具类，如 CountDownLatch、ConcurrentMap 和 BlockingQueue 等，还有一众原子类 AtomicInteger、AtomicBoolean 和 AtomicLong 等。

这些类的实现是线程安全的，所以可以很放心地在多线程环境中使用。

1	private final ConcurrentMap resourceCache = new ConcurrentHashMap<>();

注意：虽说这些类是线程安全的，但指的是操作这些类的时候是线程安全的，并不是说取出来的数据是线程安全的。

取出来的数据在操作的时候和 ConcurrentMap 并无关系，所以当线程在修改这些数据时，其它线程可能也在修改同样的一个对象，此时可能就会有冲突。

这个时候就需要锁的帮忙。

Java 中的锁

Java 中的锁常分成两类，synchronized 锁和 JUC 包中的锁，这两种锁的实现方式不太相同，具体细节这里不深究，感兴趣的同学可以自行深入。总得来说，通常认为 synchronized 锁比 JUC 锁更重，JUC 锁更灵活，可以根据需要选择。

synchronized 锁

使用 synchronized 锁时，不要将这个关键字放在类方法上，这样加锁的范围太大，容易导致其它线程等待过久。

下面是错误的用法：

1
2
3

public static synchronized ClusterClient getClient() {
    // ...
}

正确应该是

public static synchronized ClusterClient getClient() {
    // ...

    synchronized (ClusterClientBuilder.class) {
        // ...
    }
}

JUC 工具包中的锁

java.util.concurrent.locks 包下提供了一些非常常用的工具，如： ReentrantLock 和 ReentrantReadWriteLock 等。

使用 ReentrantLock 这些锁时，要特别注意的是解锁时间，最好是把解锁操作放到 finally 代码块中，防止临界区出现异常而导致跳过解锁而死锁。

reentrantLock.lock();
try {
    // do sth
} finally {
    reentrantLock.unlock();
}

分布式锁

当涉及到的数据不是内存中的数据，而是某个公共服务或数据库中的数据，那么单纯的内存锁就不能满足需求了。

常见的分布式锁主要有：数据库锁、Redis 锁和 Zookeeper 锁（etcd 锁）。

这几种锁的可靠程度、性能和实现难度都是不一样的。具体选用哪种实现应该取决于业务于数据一致性的要求。

如果对数据一致性要求非常高，优先选择 zk/etcd 方式实现的锁；
对于一般的一致性要求，可以选用 Redis 锁实现；
一般不建议使用数据库锁实现。

要使用分布式锁时，还是建议使用开源的成熟方案，而不是自己根据原理造轮子。自己造的轮子要满足重入、独占、等待、超时等功能并且代码健壮可靠不是件容易的事，很容易踩坑。

ZK

ZK 锁的原理是基于 ZK 中的临时顺序节点实现，这里简单看一下如何使用 Curator 框架来使用锁。

首先创建一个 Curator client，用于和 ZK 通信：

RetryPolicy policy = new ExponentialBackoffRetry(3000, 3);

CuratorFramework client = CuratorFrameworkFactory.builder()
                    .connectString(connectString)
                    .connectionTimeoutMs(connectionTimeout)
                    .sessionTimeoutMs(sessionTimeout)
                    .retryPolicy(policy).build();
client.start();

使用的时候只需要创建一个 InterProcessMutex 实例就可以使用分布式锁，调用 acquire() 方法可以获取锁，release() 方法可以释放锁：

InterProcessLock lock = new InterProcessMutex(getCuratorFramework(), rootNode);

lock.acquire();
lock.release();

Redis

Redis 锁常用的组件是 redisson，该组件封装了众多接口，使用起来很方便。下面是官方文档的示例：

RLock lock = redisson.getLock("myLock");

// 传统的取锁方法
lock.lock();

// 等待锁，取锁后 10s 自动解锁
lock.lock(10, TimeUnit.SECONDS);

// 等待 100s 获取锁，10s 后自动解锁
boolean res = lock.tryLock(100, 10, TimeUnit.SECONDS);
if (res) {
   try {
     ...
   } finally {
       lock.unlock();
   }
}

数据库锁

对于数据库锁，基本是没有成熟的开源组件可以用。大多数都是根据业务场景来定制的，不过大致还可以分为两种类型：

乐观锁
悲观锁

数据库乐观锁

乐观锁是假定操作时无其它人同时操作，直接将操作提交到数据库处理，如果处理出现冲突就说明有争用。

乐观锁也可以通过在变更数据时指定数据版本号实现，如：

1	update data set field=value1 where id=111

这是一种 CAS 变更数据的方式，如果更新失败说明有人在更新这个数据，此时需要执行重试逻辑重新更新。

数据库悲观锁

悲观锁是假定每次操作都有人在抢锁，所以在进行数据操作前先进行加锁操作。

如使用 insert 语句进行加锁操作可以这样实现：

1	insert into methodLock(method_name, desc) values('method_name', 'desc')

由于 method_name 字段有唯一约束，多个请求同时提交到数据库的话，数据库会保证只有一个操作可以成功。解锁时把记录删除既可。

这种方式的加锁，数据库层面不会存在阻塞，只有应用层面存在因为加锁失败（创建记录失败）而采取的重试和等待。这种方式有死锁风险，需要额外的逻辑保证锁的解除。

也可以在查询的数据后加 for update 对关联行进行加锁。

注意，for update 这里是数据库层面的加锁，对应数据行的其它加锁操作都会被阻塞，直到当前事务结束。

这种方式算是比较常见且容易实现的，在一些跑批处理的系统，会简单地使用 for update 对满足条件的记录进行加锁，然后执行业务处理，更新状态。

1	select * from order where status='02' for update

总结

本文简单回顾了多线程中常见的线程安全类和几种加锁方式，同时介绍了三种常用分布式锁。

用户伪装功能在 KubeVela 中的应用

2023-07-18T04:19:01.000Z

KubeVela 中使用用户伪装功能的主要有两个模块：KubeVela Controller 和 KubeVela API Server。

KubeVela Controller：实现了 KubeVela 的主要逻辑；
KubeVela API Server：提供 API 接口给 VelaUX。

在 KubeVela 核心组件里有两个和用户伪装相关的功能：应用认证和 ServiceAccount 伪装。VelaUX 由于自身带了一套用户权限相关的功能，当开启用户伪装后，会注入登录的用户信息作为伪装用户。

KubeVela Controller

应用认证

KubeVela 提供了一个叫做应用认证（AuthenticateApplication）的特性开关（featuregate），当该功能开启时 KubeVela Controller 会使用最后创建或修改的身份权限作为创建资源的用户身份。这个功能可以防止用户通过创建包含自身权限之外的应用来提权。

应用认证有两个阶段：应用绑定身份和伪装身份。

应用绑定身份

当用户创建应用请求（例如创建一个新应用或修改现有应用）请求将首先由 KubeVela 中的 Application MutatingAdmissionWebhook 处理。Webhook 将从请求中提取用户信息并记录到应用的注解中。

应用身份绑定的逻辑由 application.MutatingHandler.handleIdentity() 方法处理：

pkg/webhook/core.oam.dev/v1alpha2/application/mutating_handler.go:52

func (h *MutatingHandler) handleIdentity(ctx context.Context, req admission.Request, _ *v1beta1.Application, app *v1beta1.Application) (bool, error) {
// 检查是否启用应用认证
if !utilfeature.DefaultMutableFeatureGate.Enabled(features.AuthenticateApplication) {
return false, nil
}

if slices.Contains(h.skipUsers, req.UserInfo.Username) {
return false, nil
}

if metav1.HasAnnotation(app.ObjectMeta, oam.AnnotationApplicationServiceAccountName) {
return false, errors.New("service-account annotation is not permitted when authentication enabled")
}
klog.Infof("[ApplicationMutatingHandler] Setting UserInfo into Application, UserInfo: %v, Application: %s/%s", req.UserInfo, app.GetNamespace(), app.GetName())
// 保存用户信息到应用注解中
auth.SetUserInfoInAnnotation(&app.ObjectMeta, req.UserInfo)
return true, nil
}

如果开启了应用认证，则不能使用 ServiceAccount 伪装指定应用运行的 SA，这两个功能互斥。

应用认证功能的 Webhook 其实是将当前 APIServer 的用户信息保存到 Application 以下注解中：

app.oam.dev/username
app.oam.dev/group

伪装身份

上面注入的伪装注解在 GetUserInfoInAnnotation() 函数中提取出来：

pkg/auth/userinfo.go:83

func GetUserInfoInAnnotation(obj *metav1.ObjectMeta) user.Info {
annotations := obj.GetAnnotations()
if annotations == nil {
annotations = map[string]string{}
}

name := annotations[oam.AnnotationApplicationUsername]
if serviceAccountName := annotations[oam.AnnotationApplicationServiceAccountName]; serviceAccountName != "" && name == "" {
name = fmt.Sprintf("system:serviceaccount:%s:%s", obj.GetNamespace(), serviceAccountName)
}

if name == "" && utilfeature.DefaultMutableFeatureGate.Enabled(features.AuthenticateApplication) {
name = AuthenticationDefaultUser
}

return &user.DefaultInfo{
Name: name,
Groups: slices.Filter(
[]string{},
strings.Split(annotations[oam.AnnotationApplicationGroup], groupSeparator),
func(s string) bool {
return len(strings.TrimSpace(s)) > 0
}),
}
}

可以看出，提取时会同时处理应用认证和 ServiceAccount 伪装两个方式注入的注解。提取后交由外层两个方法使用，写入提供的 Context 中：

pkg/auth/userinfo.go:45

// ContextWithUserInfo inject username & group from app annotations into context
// If serviceAccount is set and username is empty, identity will user the serviceAccount
func ContextWithUserInfo(ctx context.Context, app *v1beta1.Application) context.Context {
if app == nil {
return ctx
}
return request.WithUser(ctx, GetUserInfoInAnnotation(&app.ObjectMeta))
}

// MonitorContextWithUserInfo inject username & group from app annotations into monitor context
func MonitorContextWithUserInfo(ctx monitorContext.Context, app *v1beta1.Application) monitorContext.Context {
_ctx := ctx.GetContext()
authCtx := ContextWithUserInfo(_ctx, app)
ctx.SetContext(authCtx)
return ctx
}

在 KubeVela Controller 的 Reconcile() 方法用于处理 Application 资源对象的事件，在调用 Workflow 执行应用的工作流前注入到 Context 中。

pkg/controller/core.oam.dev/v1alpha2/application/application_controller.go:110

func (r *Reconciler) Reconcile(ctx context.Context, req ctrl.Request) (ctrl.Result, error) {
ctx, cancel := ctrlrec.NewReconcileContext(ctx)
defer cancel()
logCtx := monitorContext.NewTraceContext(ctx, "").AddTag("application", req.String(), "controller", "application")
logCtx.Info("Start reconcile application")
defer logCtx.Commit("End reconcile application")
app := new(v1beta1.Application)

// ...略

executor := executor.New(workflowInstance, r.Client, nil)
authCtx := logCtx.Fork("execute application workflow")
defer authCtx.Commit("finish execute application workflow")
authCtx = auth.MonitorContextWithUserInfo(authCtx, app)
workflowState, err := executor.ExecuteRunners(authCtx, runners)

// ...略
}

在 KubeVela Controller 启动的 run() 函数中，使用 auth.NewImpersonatingRoundTripper 包装了一下请求：

func run(ctx context.Context, s *options.CoreOptions) error {
// ... 略

restConfig := ctrl.GetConfigOrDie()
restConfig.UserAgent = types.KubeVelaName + "/" + version.GitRevision
restConfig.QPS = float32(s.QPS)
restConfig.Burst = s.Burst
restConfig.Wrap(auth.NewImpersonatingRoundTripper)
// ... 略
}

auth.NewImpersonatingRoundTripper 实现了 RoundTripper 接口，当 Client 请求发出时会调用 RoundTrip() 方法对请求进行处理，impersonatingRoundTripper 就是 KubeVela 对发给 Cluster Gateway 伪装请求头进行处理的地方。

pkg/auth/round_trippers.go:50

func (rt *impersonatingRoundTripper) RoundTrip(req *http.Request) (*http.Response, error) {
ctx := req.Context()
req = req.Clone(ctx)
userInfo, exists := request.UserFrom(ctx)
klog.V(7).Infof("impersonation request log. path: %s method: %s user info: %+v", req.URL.String(), req.Method, userInfo)
if exists && userInfo != nil {
if name := userInfo.GetName(); name != "" {
req.Header.Set(transport.ImpersonateUserHeader, name)
for _, group := range userInfo.GetGroups() {
req.Header.Add(transport.ImpersonateGroupHeader, group)
}
q := req.URL.Query()
q.Add(impersonateKey, "true")
req.URL.RawQuery = q.Encode()
}
}
return rt.rt.RoundTrip(req)
}

代码逻辑：

从 Context 取出用户信息，保存到请求头；
给 URL Query 增加一个 impersonate=true 参数（给 Cluster Gateway 作判断）

接下来请求将交给后面的 RoundTripper 处理，最终转发给 Cluster Gateway，下一步逻辑请看前面文章《Kubernetes 中的用户伪装功能》的 APIServer 伪装处理和 Cluster Gateway 伪装处理的内容。

交互流程

ServiceAccount 伪装

当应用认证特性关闭时可以使用 ServiceAccount 伪装功能，让应用以指定的 ServiceAccount 运行，只需要配置 app.oam.dev/service-account-name 注解既可。

使用 ServiceAccount 伪装功能指定的 ServiceAccount 需要在纳管集群事先创建，否则会报错。

比如以下名为 deployer 的 ServiceAccount 需要进行角色绑定后才能使用：

deployer 授权

apiVersion: v1
kind: ServiceAccount
metadata:
  name: deployer
  namespace: demo-service
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: deployments:admin
  namespace: demo-service-prod
rules:
  - apiGroups: ["apps"]
    resources: ["deployments"]
    verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: deployments:admin
  namespace: demo-service-prod
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: deployments:admin
subjects:
  - kind: ServiceAccount
    name: deployer
    namespace: demo-service

然后在 Application 中使用：

apiVersion: core.oam.dev/v1beta1
kind: Application
metadata:
  name: multi-env-demo-with-service-account
  namespace: demo-service
  annotations:
    app.oam.dev/service-account-name: deployer # the name of the ServiceAccount we created
spec:
  components:
    - name: nginx-server
      type: webservice
      properties:
        image: nginx:1.21
        port: 80
  policies:
    - name: env
      type: env-binding
      properties:
        created: false
        envs:
          - name: prod
            patch:
              components:
                - name: nginx-server
                  type: webservice
                  properties:
                    image: nginx:1.20
                    port: 80
            placement:
              namespaceSelector:
                name: demo-service-prod
  workflow:
    steps:
      - name: deploy-prod-server
        type: deploy2env
        properties:
          policy: env
          env: prod

应用认证注入的 app.oam.dev/username 和 app.oam.dev/group 注解其实我们可以手动在 Application 注解指定，可以完成和上述一样的功能。

KubeVela API Server

当 KubeVela 的 API Server 启动时，运行通过以下调用链后，来到 setKubeConfig() 函数：

server.Run() -> run() -> restServer.Run() -> s.buildIoCContainer() -> clients.SetKubeConfig() -> setKubeConfig()

这个函数使用 auth.NewImpersonatingRoundTripper 包装了 RoundTripper 以支持用户伪装的处理，前面伪装身份已经介绍过这个结构体，这里不再赘述。

另外 s.buildIoCContainer() 中还使用 NewAuthClient 创建了一个包装 Client：

func (s *restServer) buildIoCContainer() error {
// infrastructure

err := clients.SetKubeConfig(s.cfg)
if err != nil {
return err
}
kubeConfig, err := clients.GetKubeConfig()
if err != nil {
return err
}
kubeClient, err := clients.GetKubeClient()
if err != nil {
return err
}
authClient := utils.NewAuthClient(kubeClient)
// ...略
}

authClient 作用是自动将 VelaUX 当前登录的用户信息提取出来，以支持伪装用户的方式保存到 Context 中：

使用原生的 request.WithUser() 方法包装 ctx；
auth.impersonatingRoundTripper{} 提取 ctx 保存到请求头。

authClient 是以代理模式方式实现的，比如 Client 的 Get() 方法，调用前调用 ContextWithUserInfo() 处理用户信息：

pkg/apiserver/utils/auth.go:90

func (c *authClient) Get(ctx context.Context, key client.ObjectKey, obj client.Object) error {
ctx = ContextWithUserInfo(ctx)
return c.Client.Get(ctx, key, obj)
}

ContextWithUserInfo() 方法在提取用户信息前先检查是否开启 EnableImpersonation 特性，开启了才提取用户信息并转换成 Kubernetes 的用户对象，默认 EnableImpersonation 是关闭的。

pkg/apiserver/utils/auth.go:48

func ContextWithUserInfo(ctx context.Context) context.Context {
// 检查是否开启 API Server 的用户伪装
if !features.APIServerFeatureGate.Enabled(features.APIServerEnableImpersonation) {
return ctx
}
userInfo := &user.DefaultInfo{Name: user.Anonymous}
if username, ok := UsernameFrom(ctx); ok {
userInfo.Name = username
}
if project, ok := ProjectFrom(ctx); ok && project != "" {
userInfo.Groups = []string{KubeVelaProjectGroupPrefix + project, auth.KubeVelaClientGroup}
} else {
userInfo.Groups = []string{UXDefaultGroup}
}
if userInfo.Name == model.DefaultAdminUserName && features.APIServerFeatureGate.Enabled(features.APIServerEnableAdminImpersonation) {
userInfo.Groups = []string{UXDefaultGroup}
}
return request.WithUser(ctx, userInfo)
}

总结

KubeVela 作为一个应用交付平台，保证应用运行权限与创建用户的权限一致、防止应用越权是重中之重的功能。KubeVela 结合 Cluster Gateway 很好地利用了 Kubernetes 原生的用户伪装功能实现了这个需求，从更低层防止应用越权，是权限控制上比较好的实践思路。

借此思路，我也在我们公司的多集群管理系统中使用了用户伪装的功能，解决了权限控制总是浮于表面的问题。

Kubernetes 中的用户伪装功能

2023-06-16T07:54:46.000Z

用户伪装是 Kubernetes 原生提供的 User impersonation 功能，这个功能在管理集群时非常有用。

通常在管理系统中管理集群时，使用的都是集群管理员（cluster-admin）这样的高权限用户。当用户使用系统进行操作集群时，实际操作身份和集群权限并不匹配，这样很容易造成安全问题。

比如用户实际权限只有 Namespace 的操作，但通过集群管理系统部署 Helm 时，由于管理系统使用的集群管理员用户，如果 Chart 包里创建多个 Namespace 甚至是 ServiceAccount 就会造成越权。

通常会考虑在管理系统中做权限，但相当于有两套权限，很难保证做得面面具到，如果使用 Kubernetes 的用户伪装功能就可以完美解决这个问题。

原生用户伪装功能

Kubernetes 原生提供了以下请求头用于支持用户伪装：

Impersonate-User：伪装的用户名；
Impersonate-Group：伪装的组，可以同时传多个表示多个组，依赖 Impersonate-User；
Impersonate-Extra-( extra name )：动态请求头，用于关联用户的 extra 字段，可选项。注意请求头的字段需要符合 HTTP Header 编码的要求，非法字符需要转换成 UTF-8 并进行 Percent-Encoding 编码；
Impersonate-Uid: 伪装用户的 Uid，可选项但依赖 Impersonate-User，对格式无要求但 1.22.0 以后版本才可用。

使用示例：

Impersonate 使用示例

Impersonate-User: jane.doe@example.com
Impersonate-Group: developers
Impersonate-Group: admins
Impersonate-Extra-dn: cn=jane,ou=engineers,dc=example,dc=com
Impersonate-Extra-acme.com%2Fproject: some-project
Impersonate-Extra-scopes: view
Impersonate-Extra-scopes: development
Impersonate-Uid: 06f6ce97-e2c5-4ab8-7ba5-7654dd08d52b

kubectl 可以使用 --as 和 --as-group 来配置使用 Impersonate-User 和 Impersonate-Group 请求头：

kubectl 使用用户伪装

1	kubectl drain mynode --as=superman --as-group=system:masters

伪装权限授权

要使用伪装功能需要有 user、group 或 uid 等资源的 impersonate 权限：

伪装 user 和 group

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: impersonator
rules:
- apiGroups: [""]
  resources: ["users", "groups", "serviceaccounts"]
  verbs: ["impersonate"]

extra 字段和 uid 都是在 authentication.k8s.io 这个 APIGroup 下的，而且 extra 字段是 userextras 资源下的子资源。

比如下面角色配置允许伪装用户的 scopes 字段和 Uid：

伪装 extra 和 uid 配置

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: scopes-and-uid-impersonator
rules:
# Can set "Impersonate-Extra-scopes" header and the "Impersonate-Uid" header.
- apiGroups: ["authentication.k8s.io"]
  resources: ["userextras/scopes", "uids"]
  verbs: ["impersonate"]

除了可以针对功能进行的权限限制外，RBAC 还支持对角色的伪装内容进行限制，比如限制只能伪装成某个用户：

对伪装内容进行限制

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: limited-impersonator
rules:
# Can impersonate the user "jane.doe@example.com"
- apiGroups: [""]
  resources: ["users"]
  verbs: ["impersonate"]
  resourceNames: ["jane.doe@example.com"]

# Can impersonate the groups "developers" and "admins"
- apiGroups: [""]
  resources: ["groups"]
  verbs: ["impersonate"]
  resourceNames: ["developers","admins"]

# Can impersonate the extras field "scopes" with the values "view" and "development"
- apiGroups: ["authentication.k8s.io"]
  resources: ["userextras/scopes"]
  verbs: ["impersonate"]
  resourceNames: ["view", "development"]

# Can impersonate the uid "06f6ce97-e2c5-4ab8-7ba5-7654dd08d52b"
- apiGroups: ["authentication.k8s.io"]
  resources: ["uids"]
  verbs: ["impersonate"]
  resourceNames: ["06f6ce97-e2c5-4ab8-7ba5-7654dd08d52b"]

APIServer 伪装处理

这里以 KubeVela 使用的 impersonate 组件为例，Cluster Gateway 基于 APIServer 的 Builder 实现的。

builder.APIServer.*.Build() 方法会调用 NewCommandStartWardleServer 生成一个 cobra.Command 实例，这个实例在运行时调用 RunWardleServer 启动 APIServer。

启动 APIServer

func (o WardleServerOptions) RunWardleServer(stopCh <-chan struct{}) error {
config, err := o.Config()
if err != nil {
return err
}

server, err := config.Complete().New()
if err != nil {
return err
}

server.GenericAPIServer.AddPostStartHookOrDie("start-sample-server-informers", func(context genericapiserver.PostStartHookContext) error {
if config.GenericConfig.SharedInformerFactory != nil {
config.GenericConfig.SharedInformerFactory.Start(context.StopCh)
}
return nil
})

return server.GenericAPIServer.PrepareRun().Run(stopCh)
}

这里第一行的 o.Config() 会初始化 HTTP 服务器的默认 Filter 和 Handler 信息，我们关心的用户伪装处理就在里面生成，调用链如下：

o.Config() -> genericapiserver.NewRecommendedConfig() -> NewConfig() -> DefaultBuildHandlerChain

DefaultBuildHandlerChain 会用于初始化 GenericAPIServer：

k8s.io/apiserver@v0.25.3/pkg/server/config.go:598

func (c completedConfig) New(name string, delegationTarget DelegationTarget) (*GenericAPIServer, error) {
// ...略

handlerChainBuilder := func(handler http.Handler) http.Handler {
return c.BuildHandlerChainFunc(handler, c.Config)
}

apiServerHandler := NewAPIServerHandler(name, c.Serializer, handlerChainBuilder, delegationTarget.UnprotectedHandler())

s := &GenericAPIServer{
Handler:                    apiServerHandler,
// ...略
}
// ...略
}

DefaultBuildHandlerChain 中通过 WithImpersonation 方法将 impersonation 注入 APIServer 的请求处理链中：

k8s.io/apiserver@v0.25.3/pkg/server/config.go:808

func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
// ...略
handler = genericapifilters.WithImpersonation(handler, c.Authorization.Authorizer, c.Serializer)
handler = filterlatency.TrackStarted(handler, "impersonation")

handler = filterlatency.TrackCompleted(handler)
// ...略
handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences, c.Authentication.RequestHeaderConfig)  
// ...略
}

WithImpersonation 函数中会使用 Authorizer 对当前用户进行权限校验：

staging/src/k8s.io/apiserver/pkg/endpoints/filters/impersonation.go:41

func WithImpersonation(handler http.Handler, a authorizer.Authorizer, s runtime.NegotiatedSerializer) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
// 从请求头中读取当前伪装信息
impersonationRequests, err := buildImpersonationRequests(req.Header)
if err != nil {
klog.V(4).Infof("%v", err)
responsewriters.InternalError(w, req, err)
return
}
// 不存在伪装信息直接跳过
if len(impersonationRequests) == 0 {
handler.ServeHTTP(w, req)
return
}

// 读取当前的用户信息
ctx := req.Context()
requestor, exists := request.UserFrom(ctx)
if !exists {
responsewriters.InternalError(w, req, errors.New("no user found for request"))
return
}

// if groups are not specified, then we need to look them up differently depending on the type of user
// if they are specified, then they are the authority (including the inclusion of system:authenticated/system:unauthenticated groups)
groupsSpecified := len(req.Header[authenticationv1.ImpersonateGroupHeader]) > 0

// make sure we're allowed to impersonate each thing we're requesting.  While we're iterating through, start building username
// and group information
username := ""
groups := []string{}
userExtra := map[string][]string{}
uid := ""
for _, impersonationRequest := range impersonationRequests {
gvk := impersonationRequest.GetObjectKind().GroupVersionKind()
actingAsAttributes := &authorizer.AttributesRecord{
User:            requestor,
Verb:            "impersonate",
APIGroup:        gvk.Group,
APIVersion:      gvk.Version,
Namespace:       impersonationRequest.Namespace,
Name:            impersonationRequest.Name,
ResourceRequest: true,
}

// ... 太长略过，这里组装权限校验请求
// 进行权限校验
decision, reason, err := a.Authorize(ctx, actingAsAttributes)
if err != nil || decision != authorizer.DecisionAllow {
klog.V(4).InfoS("Forbidden", "URI", req.RequestURI, "Reason", reason, "Error", err)
responsewriters.Forbidden(ctx, actingAsAttributes, w, req, reason, s)
return
}
}

// ...略掉部分逻辑
// 替换用户信息到请求的 ctx 中
newUser := &user.DefaultInfo{
Name:   username,
Groups: groups,
Extra:  userExtra,
UID:    uid,
}
req = req.WithContext(request.WithUser(ctx, newUser))

oldUser, _ := request.UserFrom(ctx)
httplog.LogOf(req, w).Addf("%v is acting as %v", oldUser, newUser)

ae := audit.AuditEventFrom(ctx)
audit.LogImpersonatedUser(ae, newUser)

// 清除伪装头
// clear all the impersonation headers from the request
req.Header.Del(authenticationv1.ImpersonateUserHeader)
req.Header.Del(authenticationv1.ImpersonateGroupHeader)
req.Header.Del(authenticationv1.ImpersonateUIDHeader)
for headerName := range req.Header {
if strings.HasPrefix(headerName, authenticationv1.ImpersonateUserExtraHeaderPrefix) {
req.Header.Del(headerName)
}
}

handler.ServeHTTP(w, req)
})
}

由代码中可以理解到 APIServer 实现用户伪装的原理：

首先从请求头中读取当前伪装信息，不存在伪装信息直接跳过；
读取当前的用户信息，并对当前用户进行 impersonate 权限的校验，权限不满足会报错；
替换伪装用户信息到请求的 ctx 中；
记录审计信息并删除伪装请求头。

当请求到达用户的资源处理代码时，使用 request.UserFrom(ctx) 获取到的用户既是已经伪装过的用户信息。如果没有配置伪装信息，那取得的就是原有用户信息。

执行完 WithImpersonation 的 Handler 后，后面会调用 WithAuthentication 对最终的用户权限进行校验。

利用用户伪装功能

除了 APIServer 本身对用户伪装功能的实现外，其它的一些开源组件也基于用户伪装功能做了一些功能扩展，就比如 KubeVela 的 Cluster Gateway 网关代理。

Cluster Gateway 基于 APIServer 框架开发，使用的 Kubernetes APIServer 内部的 Web 组件，同时利用 apiserver 的 APIServer aggregation 功能实现了 API 网关请求代理。

Cluster Gateway 在将代理的请求进行伪装前还会判断一下两个条件，满足其中一个才会进行伪装：

URL Query 是否提供了 impersonate=true 参数；
启动时是否启用了 ClientIdentityPenetration 特性。

pkg/apis/cluster/v1alpha1/clustergateway_proxy.go:200

func (p *proxyHandler) ServeHTTP(writer http.ResponseWriter, request *http.Request) {
// ...略

cfg, err := NewConfigFromCluster(request.Context(), cluster)
if err != nil {
responsewriters.InternalError(writer, request, errors.Wrapf(err, "failed creating cluster proxy client config %s", cluster.Name))
return
}
// 判断是否进行伪装
if p.impersonate || utilfeature.DefaultFeatureGate.Enabled(featuregates.ClientIdentityPenetration) {
cfg.Impersonate = p.getImpersonationConfig(request)
}
// 使用配置构造 RoundTripper
rt, err := restclient.TransportFor(cfg)
if err != nil {
responsewriters.InternalError(writer, request, errors.Wrapf(err, "failed creating cluster proxy client %s", cluster.Name))
return
}
// 生成代理
proxy := apiproxy.NewUpgradeAwareHandler(
&url.URL{
Scheme:   urlAddr.Scheme,
Path:     newReq.URL.Path,
Host:     urlAddr.Host,
RawQuery: request.URL.RawQuery,
},
rt,
false,
false,
nil)
// ...略
}

getImpersonationConfig 方法中实现了 Cluster Gateway 的用户信息交换逻辑，可以基于配置的规则将伪装的用户换成另外的用户。

restclient.TransportFor() 方法根据提供的配置来构造 RoundTripper，内部最后调用 HTTPWrappersForConfig 实现：

k8s.io/client-go@v0.25.3/transport/round_trippers.go:39

func HTTPWrappersForConfig(config *Config, rt http.RoundTripper) (http.RoundTripper, error) {
// ...略
if len(config.Impersonate.UserName) > 0 ||
len(config.Impersonate.UID) > 0 ||
len(config.Impersonate.Groups) > 0 ||
len(config.Impersonate.Extra) > 0 {
rt = NewImpersonatingRoundTripper(config.Impersonate, rt)
}
return rt, nil
}

HTTPWrappersForConfig() 函数判断配置是否有 Impersonate 的伪装信息，如果有的话使用 NewImpersonatingRoundTripper 进行包装，内部实现处理的代码如下：

k8s.io/client-go@v0.25.3/transport/round_trippers.go:241

func (rt *impersonatingRoundTripper) RoundTrip(req *http.Request) (*http.Response, error) {
// use the user header as marker for the rest.
if len(req.Header.Get(ImpersonateUserHeader)) != 0 {
return rt.delegate.RoundTrip(req)
}
req = utilnet.CloneRequest(req)
req.Header.Set(ImpersonateUserHeader, rt.impersonate.UserName)
if rt.impersonate.UID != "" {
req.Header.Set(ImpersonateUIDHeader, rt.impersonate.UID)
}
for _, group := range rt.impersonate.Groups {
req.Header.Add(ImpersonateGroupHeader, group)
}
for k, vv := range rt.impersonate.Extra {
for _, v := range vv {
req.Header.Add(ImpersonateUserExtraHeaderPrefix+headerKeyEscape(k), v)
}
}

return rt.delegate.RoundTrip(req)
}

impersonatingRoundTripper 的实现原理是将传入的 impersonate 配置设置到请求头中，最终请求发往纳管集群的 APIServer。

Cluster Gateway 的 impersonatingRoundTripper 和 KubeVela 中使用的 impersonatingRoundTripper 并不是同一个。KubeVela 中的 impersonatingRoundTripper 会修改 URL Query 信息且不支持 Extra 字段伪装；而这里的单纯配置请求头，是 client-go 原生提供的实现。

总结

本文简单介绍了 Kubernetes 中用户伪装功能和 APIServer 中的实现，以及在 KubeVela Cluster Gateway 中利用这个功能做的扩展。

伪装用户功能不仅能用于权限的限制，还可以在 extra 字段中加入用户的额外信息，并通过审计日志功能记录当前操作人，实现全链路操作审计。

下篇文章我们看一下 KubeVela 是如何利用用户伪装功能的。

KubeVela 的集群是如何管理的

2023-05-31T01:32:55.000Z

KubeVela 是多集群应用管理组件，所以在使用之前需要将集群纳管到 KubeVela 中，让 KubeVela 能感知并维护集群信息。在应用下发到指定集群时，KubeVela 能知道如何连接到目标集群并进行操作。

KubeVela 使用的是 Secret 来保存集群信息的，和 Cluster Gateway 共享的同一套 Secret 进行集群管理。当进行集群纳管时，KubeVela 会创建名字和集群名相同的 Secret，用于存储集群的连接信息。

当请求从 APIServer 转发到 Cluster Gateway 时，使用路径中提供的集群名去查询 Secret 并获取到纳管集群的连接信息。

Cluster Gateway 处理流程如下：

集群信息 Secret

Secret 数据类似下面这样：

集群 Secret

apiVersion: v1
kind: Secret
metadata:
  name: managed1
  labels:
    cluster.core.oam.dev/cluster-credential-type: ServiceAccountToken
type: Opaque # <--- Has to be opaque
data:
  endpoint: "..." # Should NOT be 127.0.0.1
  ca.crt: "..." # ca cert for cluster "managed1"
  token: "..." # working jwt token

纳管集群实现

纳管集群时，KubeVela 有两套非常相似的处理逻辑，VelaUX 和 vela-cli：

VelaUX 业务逻辑入口在 clusterServiceImpl.createKubeCluster，在进行一些判断后通过 joinClusterByKubeConfigString() 函数注册纳管集群，最终调用 multicluster.JoinClusterByKubeConfig() 函数进行集群纳管处理；
vela-cli 处理入口在 NewClusterJoinCommand 中，直接调用 multicluster.JoinClusterByKubeConfig() 函数进行集群纳管处理。

JoinClusterByKubeConfig() 函数通过 Secret 来管理集群，而在些之上 VelaUX 更进一步。

VelaUX 的 createKubeCluster() 方法还会在 Store 创建 model.Cluster{} 结构的数据，保存集群信息。Store 如果是 kubeapi，则是存储到 ConfigMap 中，否则存储到 MongoDB。

JoinClusterByKubeConfig

multicluster.JoinClusterByKubeConfig() 函数会创建前面提到的 Secret 用于管理集群，但是在创建后会做一些判断，如果条件不满足会删除创建的数据。

pkg/multicluster/cluster_management.go:389

// JoinClusterByKubeConfig add child cluster by kubeconfig path, return cluster info and error
func JoinClusterByKubeConfig(ctx context.Context, cli client.Client, kubeconfigPath string, clusterName string, options ...JoinClusterOption) (*KubeClusterConfig, error) {
args := newJoinClusterArgs(options...)
// 读取纳管集群的 kubeconfig 文件
clusterConfig, err := LoadKubeClusterConfigFromFile(kubeconfigPath)
if err != nil {
return nil, err
}
if err := clusterConfig.SetClusterName(clusterName).SetCreateNamespace(args.createNamespace).Validate(); err != nil {
return nil, err
}
// 纳管处理
switch args.engine {
case ClusterGateWayEngine:
if err = clusterConfig.RegisterByVelaSecret(ctx, cli); err != nil {
return nil, err
}
case OCMEngine:
if args.inClusterBootstrap == nil {
return nil, errors.Wrapf(err, "failed to determine the registration endpoint for the hub cluster "+
"when parsing --in-cluster-bootstrap flag")
}
if err = clusterConfig.RegisterClusterManagedByOCM(ctx, cli, args); err != nil {
return clusterConfig, err
}
}
if cfg, ok := ctx.Value(KubeConfigContext).(*rest.Config); ok {
if err = SetClusterVersionInfo(ctx, cfg, clusterConfig.ClusterName); err != nil {
return nil, err
}
}
return clusterConfig, nil
}

JoinClusterByKubeConfig() 函数在纳管集群时需要从本地文件读取 kubeconfig 配置，所以在 VelaUX 的 joinClusterByKubeConfigString() 中会先创建临时文件再调用 JoinClusterByKubeConfig() 函数处理。

上面代码中有两个分支的处理逻辑。这里主要关注直接通过 Cluster Gateway 管理的集群，OCM 集群先跳过。ClusterGateway 纳管集群通过 clusterConfig.RegisterByVelaSecret() 方法进行：

func (clusterConfig *KubeClusterConfig) RegisterByVelaSecret(ctx context.Context, cli client.Client) error {
// 检查集群是否已经存在
if err := ensureClusterNotExists(ctx, cli, clusterConfig.ClusterName); err != nil {
return errors.Wrapf(err, "cannot use cluster name %s", clusterConfig.ClusterName)
}
// 不存在，创建集群 Secret
if err := clusterConfig.createClusterSecret(ctx, cli, true); err != nil {
return errors.Wrapf(err, "failed to add cluster to kubernetes")
}
// 后置检查
return clusterConfig.PostRegistration(ctx, cli)
}

纳管逻辑很重要部分在后置检查这里，后置检查会保证配置的 clusterConfig.CreateNamespace 命名空间在纳管集群创建，此时会发起请求通过 Cluster Gateway 连接纳管集群进行操作。

注意

这里请求会直接从本地向 APIServer 发起，而且请求 URL 是以下格式： /apis/cluster.core.oam.dev/v1alpha1/clustergateways/{clusterName}/proxy/{api}

Namespace 操作失败会回退纳管操作，删除 Secret，返回纳管失败错误。

Cluster Gateway 获取集群信息

当代理请求通过 Cluster Gateway 时，就需要去查询集群的信息。

在 Cluster Gateway 代码中，创建代理连接时的处理方法 Connect() 里会去获取集群信息。这个方法会通过 parentStorage.Get() 调用的父资源 ClusterGateway 的 Get() 方法：

pkg/apis/cluster/v1alpha1/clustergateway_types_secret.go:46

func (in *ClusterGateway) Get(ctx context.Context, name string, _ *metav1.GetOptions) (runtime.Object, error) {
if singleton.GetSecretControl() == nil {
return nil, fmt.Errorf("loopback secret client are not inited")
}

clusterSecret, err := singleton.GetSecretControl().Get(ctx, name)
if err != nil {
klog.Warningf("Failed getting secret %q/%q: %v", config.SecretNamespace, name, err)
return nil, err
}

if options.OCMIntegration {
if singleton.GetClusterControl() == nil {
return nil, fmt.Errorf("loopback cluster client are not inited")
}
managedCluster, err := singleton.GetClusterControl().Get(ctx, name)
if err != nil {
return convertFromSecret(clusterSecret)
}
return convertFromManagedClusterAndSecret(managedCluster, clusterSecret)
}

return convertFromSecret(clusterSecret)
}

这个方法内部是通过 SecretControl 获取集群同名的 Secret，并转换成 ClusterGateway 对象，最终传给 proxyHandler 使用，具体参考之前的文章《KubeVela 代理网关 Cluster Gateway 实现》。

总结

KubeVela 这样使用 Secret 管理集群也是有好处的：

Secret 能进行权限管理，保证安全；
支持通过 Label 设置集群元信息，用于调度时基于 Label 进行应用分发。

在代码中我们可以看到，如果使用的 vela-cli 进行纳管，请求会从当前主机向 API Server 发出，而很多时候 Kubernetes 的 API Server 是不开放到外面访问的。

所以在生产环境中，更多的是使用 vela-cli in pod 的方式进行管理。

负载和 Pod 的关联逻辑

2023-05-04T04:09:59.000Z

在 Kubernetes 中，负载指的是 Deployment、StatefulSet 和 DaemonSet 这三种资源：

Deployment 用于管理无状态的 Pod，通过 ReplicaSet 进行管理；
StatefulSet 用于管理有状态的 Pod；
DaemonSet 管理的 Pod 会部署在所有集群节点中。

如何确定哪些 Pod 是由哪个负载进行管理的？这些 Pod 是怎么与负载进行关联的？

Deployment 与 Pod

对 Kubernetes 有所了解的应该都知道，Deployment 通过 ReplicaSet 管理 Pod，一个 Pod 的管理调度流程如下图：

下面是一个 Helm 部署的 Chaos Mesh 的 Deployment 实例：

Deployment

apiVersion: apps/v1
kind: Deployment
metadata:
  name: chaos-dashboard
  namespace: chaos-testing
spec:
  progressDeadlineSeconds: 600
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      app.kubernetes.io/component: chaos-dashboard
      app.kubernetes.io/instance: chaos-mesh
      app.kubernetes.io/name: chaos-mesh
  strategy:
    rollingUpdate:
      maxSurge: 25%
      maxUnavailable: 25%
    type: RollingUpdate
  template:
    metadata:
      labels:
        app.kubernetes.io/component: chaos-dashboard
        app.kubernetes.io/instance: chaos-mesh
        app.kubernetes.io/managed-by: Helm
        app.kubernetes.io/name: chaos-mesh
        app.kubernetes.io/part-of: chaos-mesh
        app.kubernetes.io/version: 2.2.0
        helm.sh/chart: chaos-mesh-2.2.0
    spec:
      containers:
        - command:
            - /usr/local/bin/chaos-dashboard
          env:
            - name: CLEAN_SYNC_PERIOD
              value: 12h
          image: 'chaos-mesh/chaos-dashboard:v2.2.0'
          imagePullPolicy: IfNotPresent
          name: chaos-dashboard
          ports:
            - containerPort: 2333
              name: http
              protocol: TCP
            - containerPort: 2334
              name: metric
              protocol: TCP
          resources:
            requests:
              cpu: 25m
              memory: 256Mi
          terminationMessagePath: /dev/termination-log
          terminationMessagePolicy: File
          volumeMounts:
            - mountPath: /data
              name: storage-volume
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext: {}
      serviceAccount: chaos-dashboard
      serviceAccountName: chaos-dashboard
      terminationGracePeriodSeconds: 30
      volumes:
        - emptyDir: {}
          name: storage-volume

在 DeploymentController 代码中可以看到，ReplicaSet 由 Deployment 的 .spec.selector 关联：

pkg/controller/deployment/deployment_controller.go:516

func (dc *DeploymentController) getReplicaSetsForDeployment(ctx context.Context, d *apps.Deployment) ([]*apps.ReplicaSet, error) {
// List all ReplicaSets to find those we own but that no longer match our
// selector. They will be orphaned by ClaimReplicaSets().
rsList, err := dc.rsLister.ReplicaSets(d.Namespace).List(labels.Everything())
if err != nil {
return nil, err
}
deploymentSelector, err := metav1.LabelSelectorAsSelector(d.Spec.Selector)
if err != nil {
return nil, fmt.Errorf("deployment %s/%s has invalid label selector: %v", d.Namespace, d.Name, err)
}
// If any adoptions are attempted, we should first recheck for deletion with
// an uncached quorum read sometime after listing ReplicaSets (see #42639).
canAdoptFunc := controller.RecheckDeletionTimestamp(func(ctx context.Context) (metav1.Object, error) {
fresh, err := dc.client.AppsV1().Deployments(d.Namespace).Get(ctx, d.Name, metav1.GetOptions{})
if err != nil {
return nil, err
}
if fresh.UID != d.UID {
return nil, fmt.Errorf("original Deployment %v/%v is gone: got uid %v, wanted %v", d.Namespace, d.Name, fresh.UID, d.UID)
}
return fresh, nil
})
cm := controller.NewReplicaSetControllerRefManager(dc.rsControl, d, deploymentSelector, controllerKind, canAdoptFunc)
return cm.ClaimReplicaSets(ctx, rsList)
}

在 ReplicaSetController 中，Pod 由 ReplicaSet 的 .spec.selector 关联，代码如下：

pkg/controller/replicaset/replica_set.go:679

func (rsc *ReplicaSetController) syncReplicaSet(ctx context.Context, key string) error {
// ...略
selector, err := metav1.LabelSelectorAsSelector(rs.Spec.Selector)
if err != nil {
utilruntime.HandleError(fmt.Errorf("error converting pod selector to selector for rs %v/%v: %v", namespace, name, err))
return nil
}

// list all pods to include the pods that don't match the rs`s selector
// anymore but has the stale controller ref.
// TODO: Do the List and Filter in a single pass, or use an index.
allPods, err := rsc.podLister.Pods(rs.Namespace).List(labels.Everything())
if err != nil {
return err
}
// Ignore inactive pods.
filteredPods := controller.FilterActivePods(allPods)

// NOTE: filteredPods are pointing to objects from cache - if you need to
// modify them, you need to copy it first.
filteredPods, err = rsc.claimPods(ctx, rs, selector, filteredPods)
// ...略
}

ReplicaSet 对象如下：

ReplicaSet

apiVersion: apps/v1
kind: ReplicaSet
metadata:
  annotations:
# ...略
  creationTimestamp: "2022-09-15T02:55:01Z"
  generation: 3
  labels:
    app.kubernetes.io/component: chaos-dashboard
    app.kubernetes.io/instance: chaos-mesh
    app.kubernetes.io/managed-by: Helm
    app.kubernetes.io/name: chaos-mesh
    app.kubernetes.io/part-of: chaos-mesh
    app.kubernetes.io/version: 2.2.0
    helm.sh/chart: chaos-mesh-2.2.0
    pod-template-hash: 5f97f6658f
  name: chaos-dashboard-5f97f6658f
  namespace: chaos-testing
  ownerReferences:
  - apiVersion: apps/v1
    blockOwnerDeletion: true
    controller: true
    kind: Deployment
    name: chaos-dashboard
    uid: 5d58936a-7623-4129-9309-a49764400901
  resourceVersion: "1294668979"
  uid: 2578a179-3262-48bf-8f73-c9b7efa3f70e
spec:
  replicas: 1
  selector:
    matchLabels:
      app.kubernetes.io/component: chaos-dashboard
      app.kubernetes.io/instance: chaos-mesh
      app.kubernetes.io/name: chaos-mesh
      pod-template-hash: 5f97f6658f
  template:
  # ...略

在 ReplicaSet 的 .spec.selector 中，比 Deployment 多出了一个 pod-template-hash，这个 label 用于区别不同 ReplicaSet 管理的不同 Pod。

ReplicaSet 依靠 spec.template 来区分不同版本的 ReplicaSet，每个 ReplicaSet 都对 .spec.template 的内容的进行 hash 运算，并使用 hash 值来进行区分。当 Deployment 修改了自己 .spec.template 的内容后，会基于新的内容来创建新的 ReplicaSet 并进行滚动更新。

对应的 Pod 如下：

Pod

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: "2023-05-01T17:09:03Z"
  generateName: chaos-dashboard-5f97f6658f-
  labels:
    app.kubernetes.io/component: chaos-dashboard
    app.kubernetes.io/instance: chaos-mesh
    app.kubernetes.io/managed-by: Helm
    app.kubernetes.io/name: chaos-mesh
    app.kubernetes.io/part-of: chaos-mesh
    app.kubernetes.io/version: 2.2.0
    helm.sh/chart: chaos-mesh-2.2.0
    pod-template-hash: 5f97f6658f
  name: chaos-dashboard-5f97f6658f-fjqvp
  namespace: chaos-testing
  ownerReferences:
  - apiVersion: apps/v1
    blockOwnerDeletion: true
    controller: true
    kind: ReplicaSet
    name: chaos-dashboard-5f97f6658f
    uid: 2578a179-3262-48bf-8f73-c9b7efa3f70e
  resourceVersion: "1294668970"
  uid: db800641-28d9-4f15-ac0a-41ce7fec419c
spec:
  containers:
  # ...略

注意看 ownerReferences 字段，内容指向了管理当前对象的资源信息，这个字段对向上查找时很有帮助。

StatefulSet 与 Pod

与 Deployment 不同的是，StatefulSet 不存在 ReplicaSet 这样的中间层，StatefulSet 直接关联的 Pod。

StatefulSet 使用 .spec.selector 与 Pod 直接关联，代码如下：

pkg/controller/statefulset/stateful_set.go:445

func (ssc *StatefulSetController) sync(ctx context.Context, key string) error {
// ...略

selector, err := metav1.LabelSelectorAsSelector(set.Spec.Selector)
if err != nil {
utilruntime.HandleError(fmt.Errorf("error converting StatefulSet %v selector: %v", key, err))
// This is a non-transient error, so don't retry.
return nil
}

if err := ssc.adoptOrphanRevisions(ctx, set); err != nil {
return err
}

pods, err := ssc.getPodsForStatefulSet(ctx, set, selector)
if err != nil {
return err
}

return ssc.syncStatefulSet(ctx, set, pods)
}

DaemonSet 与 Pod

DaemonSet 和 StatefulSet 相同，使用 .spec.selector 字段与 Pod 直接关联：

pkg/controller/daemon/daemon_controller.go:719

func (dsc *DaemonSetsController) getDaemonPods(ctx context.Context, ds *apps.DaemonSet) ([]*v1.Pod, error) {
selector, err := metav1.LabelSelectorAsSelector(ds.Spec.Selector)
if err != nil {
return nil, err
}

// List all pods to include those that don't match the selector anymore but
// have a ControllerRef pointing to this controller.
pods, err := dsc.podLister.Pods(ds.Namespace).List(labels.Everything())
if err != nil {
return nil, err
}
// If any adoptions are attempted, we should first recheck for deletion with
// an uncached quorum read sometime after listing Pods (see #42639).
dsNotDeleted := controller.RecheckDeletionTimestamp(func(ctx context.Context) (metav1.Object, error) {
fresh, err := dsc.kubeClient.AppsV1().DaemonSets(ds.Namespace).Get(ctx, ds.Name, metav1.GetOptions{})
if err != nil {
return nil, err
}
if fresh.UID != ds.UID {
return nil, fmt.Errorf("original DaemonSet %v/%v is gone: got uid %v, wanted %v", ds.Namespace, ds.Name, fresh.UID, ds.UID)
}
return fresh, nil
})

// Use ControllerRefManager to adopt/orphan as needed.
cm := controller.NewPodControllerRefManager(dsc.podControl, ds, selector, controllerKind, dsNotDeleted)
return cm.ClaimPods(ctx, pods)
}

总结

在 Kubernetes 中，不存在直接通过 Deployment、StatefulSet 或 DaemonSet name 的方式查询管理的 Pod，只能先查出工作负载对象，再通过对象中的 .spec.selector 信息再去查询 Pod。

Deployment 由于存在管理部署版本的中间层 ReplicaSet，所以 Deployment 的 .spec.selector 查询到的是它全部版本 ReplicaSet 的 Pod，要精细到单个版本的 Pod 是需要使用 ReplicaSet 的 .spec.selector 来查询。

KubeVela 代理网关 Cluster Gateway 实现

2023-04-26T04:00:09.000Z

KubeVela 的多集群管理依赖于 Cluster Gateway 组件，在 KubeVela 的 Helm Chart 中会自动安装。KubeVela 并不会直连集群，而是必须通过 Cluster Gateway 连接集群进行管理。

包括集群管理在内的功能都是依赖于 Cluster Gateway 实现的，所以 Cluster Gateway 是 KubeVela 多集群管理必不可少的一个组件。

Cluster Gateway 使用的 apiserver 原生扩展接口 apiserver-aggregation 实现的代理功能。通过向 API Server 注册外部 API，可以将管理平面的 API Server 作为纳管集群的访问的入口，还可以避免内部集群的暴露问题。

Cluster Gateway 向 API Server 注册了以下接口：

Cluster Gateway 代理路径

1	/apis/cluster.core.oam.dev/v1alpha1/clustergateways/{clusterName}/proxy/{api}

接口中的参数如下：

clusterName：目标集群名；
api：转发到目标集群的 API Server 的请求路径。

入口和授权

通过查看应用注册的 Kubernetes 资源，可以大体了解到应用的权限要求、启动方式和依赖等，对理解应用原理和找到程序入口有很大帮助。

注册 API Server Aggregation

apiVersion: apiregistration.k8s.io/v1
kind: APIService
metadata:
  name: v1alpha1.cluster.core.oam.dev
  labels:
    api: cluster-extension-apiserver
    apiserver: "true"
spec:
  version: v1alpha1
  group: cluster.core.oam.dev
  groupPriorityMinimum: 2000
  service:
    name: gateway-service
    namespace:  {{ .Release.Namespace }}
    port: 9443
  versionPriority: 10
  insecureSkipTLSVerify: true

这个配置文件，注册了一个版本为 v1alpha1 的 API Group，组名为 cluster.core.oam.dev。在请求 API Server 的 /apis/cluster.core.oam.dev/v1alpha1/ 接口时，请求会被转发到 APIService 声明的 Service 中（示例中是 gateway-service 服务）。

代码中，在构造 API Server 的 Builder 中注册了 ClusterGateway 这个资源：

构造 ApiServer

func main() {

// registering metrics
metrics.Register()

cmd, err := builder.APIServer.
// +kubebuilder:scaffold:resource-register
WithResource(&clusterv1alpha1.ClusterGateway{}).
//...
}

ClusterGateway 注册了资源名 clustergateways，对应的处理代理请求的逻辑在 ClusterGatewayProxy 中：

pkg/apis/cluster/v1alpha1/clustergateway_types.go:146

func (in *ClusterGateway) GetGroupVersionResource() schema.GroupVersionResource {
return schema.GroupVersionResource{
Group:    config.MetaApiGroupName,
Version:  config.MetaApiVersionName,
Resource: config.MetaApiResourceName,
}
}
var MetaApiResourceName = "clustergateways"

func (in *ClusterGateway) GetArbitrarySubResources() []resource.ArbitrarySubResource {  
   return []resource.ArbitrarySubResource{  
      &ClusterGatewayProxy{},  
      &ClusterGatewayHealth{},  
   }  
}

授权

Cluster Gateway 还创建了以下授权配置：

ClusterRole：cluster-gateway:proxy 访问代理接口的角色；
ClusterRoleBinding：将上面的角色授权给 kubevela:client 组和 SA。

这个配置可以让 KubeVela 和 CLI 用户能使用这个资源接口访问集群。

Cluster Gateway 代码实现

由前面注册 APIService 部分可以知道，ClusterGatewayProxy 结构是处理代理逻辑的地方，可以说是 Cluster Gateway 业务逻辑的入口。

ClusterGatewayProxy 实现了 Connecter 接口，当连接进来时会调用对应的 Connect() 方法，在 Connect() 方法中根据请求信息获取 ClusterGateway 信息并构造一个 proxyHandler 对象：

Connect

func (c *ClusterGatewayProxy) Connect(ctx context.Context, id string, options runtime.Object, r registryrest.Responder) (http.Handler, error) {
proxyOpts, ok := options.(*ClusterGatewayProxyOptions)
if !ok {
return nil, fmt.Errorf("invalid options object: %#v", options)
}

// 从 Secrets 中获取集群信息，id 是集群名
parentStorage, ok := contextutil.GetParentStorageGetter(ctx)
if !ok {
return nil, fmt.Errorf("no parent storage found")
}
parentObj, err := parentStorage.Get(ctx, id, &metav1.GetOptions{})
if err != nil {
return nil, fmt.Errorf("no such cluster %v", id)
}
clusterGateway := parentObj.(*ClusterGateway)

reqInfo, _ := request.RequestInfoFrom(ctx)
factory := request.RequestInfoFactory{
APIPrefixes:          sets.NewString("api", "apis"),
GrouplessAPIPrefixes: sets.NewString("api"),
}
proxyReqInfo, _ := factory.NewRequestInfo(&http.Request{
URL: &url.URL{
Path: proxyOpts.Path,
},
Method: strings.ToUpper(reqInfo.Verb),
})
proxyReqInfo.Verb = reqInfo.Verb

// 校验权限
if config.AuthorizateProxySubpath {
user, _ := request.UserFrom(ctx)
var attr authorizer.Attributes
if proxyReqInfo.IsResourceRequest {
attr = authorizer.AttributesRecord{
User:        user,
APIGroup:    proxyReqInfo.APIGroup,
APIVersion:  proxyReqInfo.APIVersion,
Resource:    proxyReqInfo.Resource,
Subresource: proxyReqInfo.Subresource,
Namespace:   proxyReqInfo.Namespace,
Name:        proxyReqInfo.Name,
Verb:        proxyReqInfo.Verb,
}
} else {
path, _ := url.ParseRequestURI(proxyReqInfo.Path)
attr = authorizer.AttributesRecord{
User: user,
Path: path.Path,
Verb: proxyReqInfo.Verb,
}
}

decision, reason, err := loopback.GetAuthorizer().Authorize(ctx, attr)
if err != nil {
return nil, errors.Wrapf(err, "authorization failed due to %s", reason)
}
if decision != authorizer.DecisionAllow {
return nil, fmt.Errorf("proxying by user %v is forbidden authorization failed", user.GetName())
}
}

// 返回代理实例
return &proxyHandler{
parentName:     id,
path:           proxyOpts.Path,
impersonate:    proxyOpts.Impersonate,
clusterGateway: clusterGateway,
responder:      r,
finishFunc: func(code int) {
metrics.RecordProxiedRequestsByResource(proxyReqInfo.Resource, proxyReqInfo.Verb, code)
metrics.RecordProxiedRequestsByCluster(id, code)
},
}, nil

proxyHandler 是一个实现了 http.Handler 接口的结构，接着将调用其 ServeHTTP() 方法来处理请求。

在 ServeHTTP() 方法中主要处理了以下逻辑：

复制 request，作为转发请求，同时处理 URL 的变化；
使用集群配置构造 RoundTripper，构造的 RoundTripper 支持处理授权和用户伪装的功能（Cluster Gateway 支持用户伪装，这个功能另外讨论，此处不深究）；
最后，利用 Kubernetes 提供的 UpgradeAwareHandler 实现代理功能。

UpgradeAwareHandler 代理

UpgradeAwareHandler 基于 http.ReverseProxy 实现：

UpgradeAwareHandler 代理实现

func (h *UpgradeAwareHandler) ServeHTTP(w http.ResponseWriter, req *http.Request) {
// WebSocket 处理，如能升级，直接处理并返回
if h.tryUpgrade(w, req) {
return
}
if h.UpgradeRequired {
h.Responder.Error(w, req, errors.NewBadRequest("Upgrade request required"))
return
}

loc := *h.Location
loc.RawQuery = req.URL.RawQuery

// If original request URL ended in '/', append a '/' at the end of the
// of the proxy URL
if !strings.HasSuffix(loc.Path, "/") && strings.HasSuffix(req.URL.Path, "/") {
loc.Path += "/"
}

proxyRedirect := proxyRedirectsforRootPath(loc.Path, w, req)
if proxyRedirect {
return
}

if h.Transport == nil || h.WrapTransport {
h.Transport = h.defaultProxyTransport(req.URL, h.Transport)
}

// WithContext creates a shallow clone of the request with the same context.
newReq := req.WithContext(req.Context())
newReq.Header = utilnet.CloneHeader(req.Header)
if !h.UseRequestLocation {
newReq.URL = &loc
}
if h.UseLocationHost {
// exchanging req.Host with the backend location is necessary for backends that act on the HTTP host header (e.g. API gateways),
// because req.Host has preference over req.URL.Host in filling this header field
newReq.Host = h.Location.Host
}

// create the target location to use for the reverse proxy
reverseProxyLocation := &url.URL{Scheme: h.Location.Scheme, Host: h.Location.Host}
if h.AppendLocationPath {
reverseProxyLocation.Path = h.Location.Path
}

proxy := httputil.NewSingleHostReverseProxy(reverseProxyLocation)
proxy.Transport = h.Transport
proxy.FlushInterval = h.FlushInterval
proxy.ErrorLog = log.New(noSuppressPanicError{}, "", log.LstdFlags)
if h.RejectForwardingRedirects {
oldModifyResponse := proxy.ModifyResponse
proxy.ModifyResponse = func(response *http.Response) error {
code := response.StatusCode
if code >= 300 && code <= 399 && len(response.Header.Get("Location")) > 0 {
// close the original response
response.Body.Close()
msg := "the backend attempted to redirect this request, which is not permitted"
// replace the response
*response = http.Response{
StatusCode:    http.StatusBadGateway,
Status:        fmt.Sprintf("%d %s", response.StatusCode, http.StatusText(response.StatusCode)),
Body:          io.NopCloser(strings.NewReader(msg)),
ContentLength: int64(len(msg)),
}
} else {
if oldModifyResponse != nil {
if err := oldModifyResponse(response); err != nil {
return err
}
}
}
return nil
}
}
// ... 略
proxy.ServeHTTP(w, newReq)
}

KubeVela 请求 Cluster Gateway

在 KubeVela 中大致有三种需要操作集群的场景：

Controller：KubeVela 的核心 Controller，在执行应用管理和下发动作时需要连接集群进行操作；
KubeVela API Server：当安装 VelaUX 插件时会安装一个 API 服务，这个服务封装了 KubeVela 的功能并提供接口给 VelaUX 前端使用，在管理集群时也会连接 Cluster Gateway；
CLI：用户在使用 CLI 管理集群时（比如纳管集群），会通过 Kubernetes APIServer 连接 Cluster Gateway。

下面根据这三个场景，分别研究一下是怎么实现调用 Cluster Gateway 的。

KubeVela Controller

KubeVela Controller 的启动入口 run() 函数中，使用 ctrl.NewManager() 函数来创建 Manager，这个 Manager 用来保存一些共享的对象，比如 Caches 和 Clients，通常创建 Controller 都需要一个 Manager。

cmd/core/app/server.go:140

mgr, err := ctrl.NewManager(restConfig, ctrl.Options{
// ... 略
NewClient: velaclient.DefaultNewControllerClient,
NewCache:  sharding.BuildCache(scheme, &v1beta1.Application{}, &v1beta1.ApplicationRevision{}, &v1beta1.ResourceTracker{}),
})

调用 ctrl.NewManager() 时指定了 Client 的工厂方法为 velaclient.DefaultNewControllerClient，KubeVela 会创建定制的多集群客户端，也会在创建 Kubernetes 客户端时增加一些处理逻辑。

DefaultNewControllerClient() -> NewDefaultClient() -> pkgmulticluster.NewClient()，最后调用的 NewClient() 会使用 NewTransportWrapper() 获取一个 multicluster.Transport 并包装到 Client 配置中：

github.com/kubevela/pkg@v0.0.0-20230118103503-4a6096e79c1c/multicluster/client.go:135

func NewClient(config *rest.Config, options ClientOptions) (client.Client, error) {
wrapped := rest.CopyConfig(config)
wrapped.Wrap(NewTransportWrapper())
// ...略
}

multicluster.Transport 会获取请求的目标集群，如果非本地集群会对请求路径进行修改：

github.com/kubevela/pkg@v0.0.0-20230118103503-4a6096e79c1c/multicluster/transport.go:118

func (t *Transport) RoundTrip(req *http.Request) (*http.Response, error) {
cluster := t.getClusterFor(req)
if !IsLocal(cluster) {
req = req.Clone(req.Context())
req.URL.Path = formatProxyURL(cluster, req.URL.Path)
}
return t.delegate.RoundTrip(req)
}

formatProxyURL() 函数将在原有 URL 前面增加集群代理的路径：

github.com/kubevela/pkg@v0.0.0-20230118103503-4a6096e79c1c/multicluster/transport.go:93

func formatProxyURL(cluster, originalPath string) string {
originalPath = strings.TrimPrefix(originalPath, "/")
return path.Clean(strings.Join([]string{
"/apis",
clustergatewayconfig.MetaApiGroupName,
clustergatewayconfig.MetaApiVersionName,
clustergatewayconfig.MetaApiResourceName,
cluster,
"proxy",
originalPath,
}, "/"))
}

如集群名为 cluster1，那么增加的前缀路径是：

1	/apis/cluster.core.oam.dev/v1alpha1/clustergateways/cluster1/proxy/

这样请求就会被管理平面的 APIServer 接收到并根据 APIServer Aggregation 配置转发给 Cluster Gateway 处理。

KubeVela API Server

KubeVela 的 API Server 并不是 kube-apiserver 类型的服务，而单纯只是一个 KubeVela 的 API 服务而已，通常提供给前端 VelaUX 使用。

当 KubeVela 的 API Server 启动时，运行通过以下调用链后，来到 NewClient() 函数：

server.Run() -> run() -> restServer.Run() -> s.buildIoCContainer() -> clients.GetKubeClient() -> pkgmulticluster.NewClient()

pkgmulticluster.NewClient 方法就是上面 KubeVela Controller 用来创建 Client 的方法，内部包装了 multicluster.Transport 用于修改请求的路径，将请求通过 APIServer 转发到 Cluster Gateway，这里不再细说。

KubeVela CLI

vela-cli 其实也是相同的实现，最终都是通过 pkgmulticluster.NewClient() 方法创建 Client，将请求通过 APIServer 转发到 Cluster Gateway 来实现。

CLI 这里特别注意的点

CLI 访问 APIServer 的请求（包括连接纳管集群的请求）都是从本地发出的，并且是请求的当前 ~/.kube/config 里配置的集群 Host 的域名。如果集群 Host 有 Context Path 会被去掉。如 ~/.kube/config里配置的集群 Host 如下：

1	https://imoe.tech/apiserver

处理后的请求的是：

1	https://imoe.tech/apis/cluster.core.oam.dev/v1alpha1/clustergateways/cluster1/proxy/

如果代理的时候是通过 Context Path 进行分流代理到不同 APIServer 的话，这里需要特别注意，大概率报错。

创建 Client 的逻辑在每个命令对应的 Command 的 RunE() 函数中实现，以集群纳管命令 vela cluster join 为例，创建代码在：

NewClusterJoinCommand() -> RunE() —> c.GetClient() -> pkgmulticluster.NewClient()

逻辑和之前介绍的相同，这里不详细讨论了。

总结

Cluster Gateway 利用 apiserver 的 apiserver-aggregation 扩展功能和 UpgradeAwareHandler 代理转发工具实现了访问 APIServer 就可以实现访问纳管集群功能。

KubeVela 的三个组件都是通过自定义 Transport 修改 Kubernetes Client 的请求路径，实现将请求转发到 Cluster Gateway 的 APIServer 扩展点进而访问纳管集群的管理功能。

引用

apiserver-aggregation

多集群应用管理方案的选择

2023-03-20T15:36:33.000Z

Kubernetes 是容器编排引擎，用来对容器进行自动化部署、扩缩和管理。Kubernetes 更像是一个对资源进行管理和分配的系统，只负责把工作负载进行合理调度，最大化利用集群资源。

在实践中 Kubernetes 集群往往是部署很多套的，不同的业务线、不同部门或子公司都是使用的独立的集群，甚至常见的同一个服务会部署在不同区域的集群中以实现用户就近服务。要想实现将服务同时部署到多个集群单纯靠 Kubernetes 是不行的。严格来讲，在 Kubernetes 中是没有这里所说的应用这个维度的。

在应用的整个生命周期中，应用是可以存在多个集群，多个环境的。如在开发中可以把应用部署在开发测试集群，在上线后可以同时部署到生产和容灾集群，这很显然是一种超越 Kubernetes 集群的概念。

由于 Kubernetes 无法完成对应用的管理，所以业界诞生了多种方案来解决应用管理的需求，常见的有 OCM、Karmada 和 KubeVela，本文将对这几种方案进行总体介绍并基于使用需求进行选型。

Open Cluster Management（OCM）

Open Cluster Management (OCM) 是用于 Kubernetes 多集群编排的一个功能强大，模块化，可扩展的平台。

在 OCM 中，多集群控制平面，被直观的建模为 Hub，而相对的，每一个被 Hub 管理的集群则为 Klusterlet：

Hub Cluster：表示运行着 OCM 多集群控制平面的集群。通常 hub cluster 应该是一个轻量级的 Kubernetes 集群，仅仅托管着一些基础的控制器和服务。
Klusterlet：表示由 hub cluster 管理着的集群，也被称为 managed cluster 或 spoke cluster。klusterlet 主动的从 hub cluster拉取最新的指令配置，并持续将 Kubernetes 集群调和到预期状态。

这样的设计受 kubelet 和 apiserver 的启发，klusterlet 的名字就来自 kubelet。

在这种架构的设计之下，hub 并不会直接请求实际集群，而是以声明式的方式维护每个集群的处方，由 klusterlet 主动从 hub 拉取指令并执行。

上图中的组件：

registration 负责集群注册、集群生命周期管理、管理插件的注册和生命周期管理；
work 负责资源的分发；
placement 负责集群负载的调度。

OCM 提供了丰富的多集群负责调度策略和可靠的资源分发引擎，可以让托管集群连接到集群的控制平面，甚至这些托管的集群并不能被控制平面直接访问到。它特别能处理托管集群和控制平面处于不同 VPC 的情况。

得益于 OCM 的 hub-agent 架构

OCM 还能与 KubeVela 等结合使用，提供集群管理功能。

使用 OCM 部署应用

在 OCM 中使用 ManifestWork CRD 来部署资源，如部署 Deployment：

部署 Deployment

apiVersion: work.open-cluster-management.io/v1
kind: ManifestWork
metadata:
  namespace:  managed cluster>
  name: hello-work-demo
spec:
  workload:
    manifests:
      - apiVersion: apps/v1
        kind: Deployment
        metadata:
          name: hello
          namespace: default
        spec:
          selector:
            matchLabels:
              app: hello
          template:
            metadata:
              labels:
                app: hello
            spec:
              containers:
                - name: hello
                  image: quay.io/asmacdo/busybox
                  command:
                    [ "sh", "-c", 'echo "Hello, Kubernetes!" && sleep 3600' ]

OCM 访问纳管集群

OCM 使用拉模式管理的集群，但在一些特定时候就有从 Hub 集群访问纳管集群的需求，这时需要有一个访问的方法。在 OCM 中使用 Cluster Proxy(Apiserver-Network-Proxy) 和 Cluster Gateway 实现。

对于处在不同 VPC 中的纳管集群，Hub 到纳管集群的网络可能是不通的，而纳管集群到 Hub 可以连通。在 OCM 中可以安装 Cluster Proxy 打通 Hub 到纳管集群的网络连接。示意图如下：

当需要从 Hub 集群主动访问纳管集群时，使用 Cluster Gateway 组件来实现，此时如果 Hub 到纳管集群能连通会使用直连的方式代理，否则走 Tunnel 去访问，示意如图：

Cluster Gateway 使用的是 KubeVela 的 Cluster Gateway 组件，实现原理在介绍 KubeVela 的时候我们再讨论。

Karmada

Karmada（Kubernetes Armada）基于 Kubernetes Federation v1 和 v2 开发，是一个 Kubernetes 管理系统，一个 kubernetes 多集群管理的插件，运行在 kubernetes 集群里，可让跨多个 Kubernetes 集群和云运行云原生应用程序，而无需更改应用程序。

Karmada 通过独立的 API 服务器（Karmada API Server）提供与其他组件进行通信的 REST 接口，包含 Kubernetes 原生 API 及 Karmada 扩展 API。纳管集群支持 Push 和 Pull 模式。

Karmada 调度器则实现应用在多集群中的调度。

Karmada 控制器运行各种控制器，控制器监视 Karmada 的对象，然后与底层集群的 API 服务器通信，对 Kubernetes 资源进行全生命周期管理。

Cluster Controller：集群管理，将 Kubernetes 集群附加到 Karmada，通过创建集群对象（Cluster）管理集群的生命周期；
Policy Controller：实现 PropagationPolicy 对象的生命周期。根据 PropagationPolicy 中的 resourceSelector 匹配对应 Kubernetes 资源对象，并为创建 ResourceBinding 以进行应用多集群调度；
Binding Controller：实现 ResourceBinding 对象的生命周期，根据调度器的结果，为每个调度到目标集群的对应资源创建 Work 对象；
Execution Controller：负责 Work 对象与成员集群中实际资源对象的状态同步。

Karmada 处理流程：

使用 Karmada 部署应用

在 Karmada 中直接使用原生 Kubernetes 的方式就可以部署资源，比如部署 nginx 的 Deployment：

https://github.com/karmada-io/karmada/blob/master/samples/nginx/deployment.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
        - image: nginx
          name: nginx

注意，部署时需要使用 Karmada 的 Apiserver，并且要实现调度控制需要另外创建 PropagationPolicy 来进行。

Karmada 访问纳管集群

Karmada 在使用 PULL 模式管理纳管集群时也可以使用 ANP（Apiserver-Network-Proxy）进行代理，也提供了和 Cluster Gateway 一样使用 AA（apiserver-aggregation）来实现 apiserver 代理的能力，可以将 API 请求转发到后端纳管集群。

路径格式如下：

1	/apis/cluster.karmada.io/v1alpha1/clusters/{clusterName}/proxy/api/v1/pods

路径分为三个部分：

karmada 固定部分：/apis/cluster.karmada.io/v1alpha1/clusters/
指定目标集群：{clusterName} 替换成自己需要的集群名
Kubernetes 真实请求 API：/proxy 后面部分，上例中是 /api/v1/pods

KubeVela

KubeVela 是基于 Kubernetes 的混合云应用交付和管理控制平面，它以 CRD 控制器的形式运行，可以很轻量的安装到企业现有的 PaaS 体系中，并带来 OAM 的标准化模型和基于模型高可扩展功能的丰富社区插件。

KubeVela 的核心是将应用部署所需的所有组件和各项运维动作，描述为一个统一的、与基础设施无关的“部署计划”。

每一个应用部署计划都由四个部分组成，分别是组件、运维能力、部署策略和工作流：

组件（Component）: 组件定义一个应用包含的待交付制品（二进制、Docker 镜像、Helm Chart…）或云服务（一个应用部署计划部署的是一个微服务单元）；
运维特征（Trait）: 运维特征是可以随时绑定给待部署组件的、模块化、可拔插的运维能力，比如：副本数调整（手动、自动）、数据持久化、设置网关策略、自动设置 DNS 解析等；
应用策略（Policy）: 应用策略负责定义指定应用交付过程中的策略，比如多集群部署的差异化配置、资源放置策略、安全组策略、防火墙规则、SLO 目标等；
工作流步骤（Workflow Step）: 工作流由多个步骤组成，允许用户自定义应用在某个环境的交付过程。典型的工作流步骤包括人工审核、数据传递、多集群发布、通知等。

下图为多集群应用的整体结构图。如图所示，所有的配置信息（包括应用、策略和工作流）都处于管控集群中。只有资源（如 deployment 或者 service）会被下发到子集群之中。

架构

在架构上，KubeVela 只有一个 controller 并且以插件的方式运行在 Kubernetes 之上，交付的应用部署在纳管集群中，为 Kubernetes 带来了面向应用层的抽象。

当使用 KubeVela 交付应用时，最终应用信息会以 CRD 的形式存储在 Kubernetes 集群中。Controller 在 CRD 的控制循环中，通过内嵌的工作流组件执行应用的 Workflow 实现应用交付。

KubeVela 操作纳管集群时需要通过 Cluster Gateway 组件进行，并不直接访问目标集群。集群信息在注册集群时会保存在对应的 Secret 配置中，Cluster Gateway 在代理时使用这些信息进行访问。

使用 KubeVela 部署应用

部署资源使用 OAM 应用定义的配置文件。

这里是一个包括了一个无状态服务组件和运维特征，三个部署策略和工作流步骤的配置示例。含义是：

将一个服务部署到两个目标命名空间；
在第一个目标部署完成后等待人工审核；
人工审核后部署到第二个目标，且在第二个目标时部署 2 个实例。

KubeVela Quick Start

apiVersion: core.oam.dev/v1beta1
kind: Application
metadata:
  name: first-vela-app
spec:
  components:
    - name: express-server
      type: webservice
      properties:
        image: oamdev/hello-world
        ports:
          - port: 8000
            expose: true
      traits:
        - type: scaler
          properties:
            replicas: 1
  policies:
    - name: target-default
      type: topology
      properties:
        # local 集群即 Kubevela 所在的集群
        clusters: [ "local" ]
        namespace: "default"
    - name: target-prod
      type: topology
      properties:
        clusters: [ "local" ]
        # 此命名空间需要在应用部署前完成创建
        namespace: "prod"
    - name: deploy-ha
      type: override
      properties:
        components:
          - type: webservice
            traits:
              - type: scaler
                properties:
                  replicas: 2
  workflow:
    steps:
      - name: deploy2default
        type: deploy
        properties:
          policies: [ "target-default" ]
      - name: manual-approval
        type: suspend
      - name: deploy2prod
        type: deploy
        properties:
          policies: [ "target-prod", "deploy-ha" ]

KubeVela 访问纳管集群

KubeVela 的多集群依赖于 Cluster-Gateway 组件，在安装 KubeVela 的 Helm Chart 中一同安装。

KubeVela 纳管集群时，将 kubeconfig 信息存储到 Secret 中，可以纳管原生集群，也可以接入 OCM 来使用拉取（PULL）模式来管理某些特殊集群。

Cluster-Gateway 使用 apiserver 原生扩展接口 apiserver-aggregation 实现的代理功能。

代理访问的路径格式如下：

1	/apis/cluster.core.oam.dev/v1alpha1/clustergateways/{clusterName}/proxy/{api}

转发到纳管集群的 Apiserver 前，认证信息会使用集群名字对应的 Secret 里配置的信息进行替换。Secret 配置样例如下：

apiVersion: v1
kind: Secret
metadata:
  name: managed1
  labels:
    cluster.core.oam.dev/cluster-credential-type: ServiceAccountToken
type: Opaque # <--- Has to be opaque
data:
  endpoint: "..." # Should NOT be 127.0.0.1
  ca.crt: "..." # ca cert for cluster "managed1"
  token: "..." # working jwt token

选型思考

三种方案都能满足跨集群应用管理的功能需求，所以选型时主要基于应用部署方式、部署架构、集群代理方式、维护难度和扩展性进行考虑，这几种方案对比如下：

	KubeVela	Karmada	OCM
应用部署	CRD 部署	原生	CRD 部署
部署架构	单 Controller	自定义的 apiserver，Scheduler, Controller 等	多个 Controller + 纳管集群的 Agent
集群代理	Cluster Gateway	karmada-aggregated-apiserver	Cluster Gateway+Cluster Proxy
维护难度	易	难	中
扩展性	灵活	灵活	灵活
社区活跃	活跃	活跃	不太活跃

karmada 虽然不需要使用自定义的 CRD 方式进行应用部署，能减少迁移的成本，但需要使用 karmada 修改后的 apiserver 和调度器，架构的维护难度更大，且对于使用 OCP(OpenShift Container Platform) 等集群后续升级兼容等难以支持。

OCM 相对 karmada 来说部署架构简单了许多，其架构是 PULL 模式，Agent 需要连接 Hub 拉取部署配置。有些公司的网络结构不支持，比如我所在公司。现在社区也不够活跃，文档也比较少。

KubeVela 相对 OCM 在部署架构上更进一步，只有一个 Controller 负责应用的策略调度下发等功能，集群管理时只通过 Cluster Gateway 进行访问，只需要做一些适配开发就可以支持管理集群中的应用。

所以综合考虑，KubeVela 更适合目前的需要，同时灵活的扩展支持也能为以后的需求提供持久保障。

引用

Kubernetes 的 Informer 机制

2023-02-15T14:44:32.000Z

在 Kubernetes 中，kube-apiserver 是整个集群的大脑和心脏，是控制集群的入口，所有模块都是通过其提供的 HTTP REST API 接口来操作集群的。

由于是所有模块的数据交互和通信的枢纽，大量组件直接通过 HTTP 请求 apiserver 带来的访问压力是非常大的。一但 apiserver 出现异常，整个集群就会受到影响，甚至崩溃。

所以尽可能降低 apiserver 的访问压力是很有必要的，Informer 机制就是 Kubernetes 解决这个问题的方案。Informer 本质就是 client-go 提供的一种本地缓存机制：

通过在本地缓存一份准实时的 Kubernetes 资源数据，应用在查询时直接从本地查询；
当资源变化时通过长连接将变更推送到本地 Informer 并更新本地缓存；
变更缓存后，触发本地的处理函数执行相关业务逻辑。

通过 Informer 机制，大大降低了 Kubernetes 各个组件跟与 API Server 的通信压力，同时 ETCD 的查询压力也同样得到缓解。

Informer 机制架构设计

下面这张图来自官方文档《client-go under the hood》，展现了 client-go 中各组件的工作原理和与自定义 Controller 的交互流程。

图中的组件分为上下两部分，分别是 client-go 组件和自定义 Controller 组件。Informer 机制指的是就是这一整套 Controller 的交互流程。

client-go 组件

Reflector：指的是 cache 包中定义的 Reflector 类，用于监控 Kubernetes 资源变化，其功能由 ListAndWatch 函数实现。当 Reflector 接收到资源变更的事件，会获取到变更的对象并在函数 watchHandler 中放到 Delta Fifo 队列。
Delta FIFO：是一个 FIFO 的队列，用来缓存 Reflector 拉取到的变更事件和资源对象；
Informor：是流程中最重要的节点，是整个流程的桥梁，Informer 也是在 cache 包中定义的，其功能在 processLoop 函数中实现，负责：
- 从 Delta FIFO 中 pop 出对象并更新到 Indexer 的 cache 中；
- 调用自定义 Controller，传递该对象。
Indexer：指在 cache 包中定义的 Indexer 类，主要是在资源对象上提供了索引和本地缓存的功能。经典的使用场景是基于对象的 Labels 创建索引，Indexer 可以支持使用索引函数来维护索引，同时 Indexer 使用线程安全的 Data Store 来存储资源对象和对应的 Key。默认使用的是 cache 包里的 MetaNamespaceKeyFunc 函数来生成对象的 Key，格式如：/。

自定义组件

上图中 Informer reference 和 Indexer reference 是指在自定义 Controller 中需要自己创建的 Informer 和 Indexer 的实例，用来与整个流程进行交互，需要根据需要的资源创建对应的实例。client-go 提供了 NewIndexerInformer 函数来创建 Informer 和 Indexer 实例，也可以使用 SharedInformerFactory 的工厂方法来创建实例。

每个资源都会对应一个 Informer，每个 Informer 都通过 Watch 创建一个长连接。如果一个资源创建了多个 Informer 无疑是非常浪费的，所以通常都使用 SharedInformerFactory 工厂方法来创建，这样每种资源都复用一个 Informer，从而降低开销。

Reflector

Reflector 用于监控 Kubernetes 资源变化，当资源发生变化时将资源对象更新到本地缓存 Delta FIFO 中，其主要功能由 ListAndWatch 函数实现，后面详细介绍，现在看一下 Reflector 的创建过程。

Reflector 创建

直接使用 NewReflector 或 NewReflectorWithOptions 就可以实例化 Reflector 对象，但常见的使用方式是使用 SharedInformerFactory 来创建。在使用 SharedInformerFactory 工厂方法创建 Informer 后，Informer 启动时会自动创建 Reflector。

SharedInformerFactory 需要使用 Start 方法启动 Informer，Start 执行时会运行所有 Informer 的 Run 方法：

staging/src/k8s.io/client-go/informers/factory.go:133

func (f *sharedInformerFactory) Start(stopCh <-chan struct{}) {
f.lock.Lock()
defer f.lock.Unlock()

if f.shuttingDown {
return
}

for informerType, informer := range f.informers {
if !f.startedInformers[informerType] {
f.wg.Add(1)
informer := informer
go func() {
defer f.wg.Done()
// 启动 informer
informer.Run(stopCh)
}()
f.startedInformers[informerType] = true
}
}
}

sharedIndexInformer（informer）的 Run 方法中会构造一个 Controller 对象，该对象的 Run 函数使用 NewReflectorWithOptions 函数构造了一个 Reflector 对象。

staging/src/k8s.io/client-go/tools/cache/controller.go:129

func (c *controller) Run(stopCh <-chan struct{}) {
   defer utilruntime.HandleCrash()
   go func() {
      <-stopCh
      c.config.Queue.Close()
   }()
   r := NewReflectorWithOptions(
      c.config.ListerWatcher,
      c.config.ObjectType,
      c.config.Queue,
      ReflectorOptions{
         ResyncPeriod:    c.config.FullResyncPeriod,
         TypeDescription: c.config.ObjectDescription,
      },
   )
   r.ShouldResync = c.config.ShouldResync
   r.WatchListPageSize = c.config.WatchListPageSize
   r.clock = c.clock
   if c.config.WatchErrorHandler != nil {
      r.watchErrorHandler = c.config.WatchErrorHandler
   }

   c.reflectorMutex.Lock()
   c.reflector = r
   c.reflectorMutex.Unlock()

   var wg wait.Group

   // 启动 Reflector
   wg.StartWithChannel(stopCh, r.Run)

   wait.Until(c.processLoop, time.Second, stopCh)
   wg.Wait()
}

上面在创建 Reflector 后也会调用 Run 方法启动 Reflector 的处理流程。

staging/src/k8s.io/client-go/tools/cache/reflector.go:272

// Run repeatedly uses the reflector's ListAndWatch to fetch all the// objects and subsequent deltas.
// Run will exit when stopCh is closed.
func (r *Reflector) Run(stopCh <-chan struct{}) {
   klog.V(3).Infof("Starting reflector %s (%s) from %s", r.typeDescription, r.resyncPeriod, r.name)
   wait.BackoffUntil(func() {
      if err := r.ListAndWatch(stopCh); err != nil {
         r.watchErrorHandler(r, err)
      }
   }, r.backoffManager, true, stopCh)
   klog.V(3).Infof("Stopping reflector %s (%s) from %s", r.typeDescription, r.resyncPeriod, r.name)
}

核心逻辑在 ListAndWatch 函数中，主要功能包括：

拉取全量数据，初始化 Delta FIFO 数据；
启动 Resync 机制；
监控资源变更。

Resync 机制后面 Delta FIFO 部分再说，这里先看看其它两部分。

拉取数据

启动时，首次是直接拉取全量数据的，完整的实现在 r.list(stopCh) 调用的函数中，该函数主要流程如下：

r.listerWatcher.List(opts)：调用拉取全量数据
meta.ExtractList(list)：runtime.Object 转换成 []runtime.Object 列表
r.syncWith(items, resourceVersion)：同步数据到 Delta FIFO 队列中
r.setLastSyncResourceVersion(resourceVersion)：刷新版本号

拉取全量数据时，为避免给服务器造成太大压力，首先使用的是分页方式分片拉取：

staging/src/k8s.io/client-go/tools/cache/reflector.go:420

go func() {
defer func() {
if r := recover(); r != nil {
panicCh <- r
}
}()
// Attempt to gather list in chunks, if supported by listerWatcher, if not, the first
// list request will return the full response.
pager := pager.New(pager.SimplePageFunc(func(opts metav1.ListOptions) (runtime.Object, error) {
return r.listerWatcher.List(opts)
}))
switch {
case r.WatchListPageSize != 0:
pager.PageSize = r.WatchListPageSize
case r.paginatedResult:
case options.ResourceVersion != "" && options.ResourceVersion != "0":
pager.PageSize = 0
}

list, paginatedResult, err = pager.List(context.Background(), options)
if isExpiredError(err) || isTooLargeResourceVersionError(err) {
r.setIsLastSyncResourceVersionUnavailable(true)
list, paginatedResult, err = pager.List(context.Background(), metav1.ListOptions{ResourceVersion: r.relistResourceVersion()})
}
close(listCh)
}()

最终调用的是 r.listerWatcher.List(opts) 方法来拉取数据，这个方法会基于 ResourceVersion 获取指定资源下所有对象。比如 Pod 最终调用的是 Pod Informer 的 ListFunc 方法，通过 client-go 向 Kubernetes 发起 API 请求来获取资源数据。

监控资源变更

ListAndWatch 函数的最后一部分逻辑是监控资源变化的，原理是通过 HTTP 与 APIServer 建立长连接，基于 HTTP 协议的分块传输编码（chunked）实现：

当 client-go 请求 API Server 并带了 watch 参数时，API Server 在响应中头中会带有 Transfer-Encoding: chunked，表示使用分块传输编码（参考：staging/src/k8s.io/apiserver/pkg/endpoints/handlers/watch.go:164）；
client-go 通过创建 StreamWatcher 的方式创建一个管道，监听新的数据并传回（参考：staging/src/k8s.io/client-go/rest/request.go:765）。

Reflector 里，Watch 管道通过调用 r.listerWatcher.Watch(options) 方法创建，这个方法最终由 Informer 的 WatchFunc 实现，如 Pod 的 Informer 是这样实现的：

staging/src/k8s.io/client-go/informers/core/v1/pod.go

func NewFilteredPodInformer(...) cache.SharedIndexInformer {
return cache.NewSharedIndexInformer(
// ...
WatchFunc: func(options metav1.ListOptions) (watch.Interface, error) {
if tweakListOptions != nil {
tweakListOptions(&options)
}
return client.CoreV1().Pods(namespace).Watch(options)
},
},
// ...
)
}

可以看出最终还是由 client-go 封装好的方法实现具体的功能，上面提过，client-go 内部会创建一个 StreamWatcher 对象返回，后面可以通过 w.ResultChan() 管道获取数据。

获取到 StreamWatcher 对象后，调用 watchHandler 进入监控处理逻辑。当有数据通过 w.ResultChan() 管道传递过来时，根据不同的事件类型调用 Delta FIFO 的不同方法更新缓存。

新的数据会带来新的 resourceVersion，处理完数据对应的事件后会通过 setLastSyncResourceVersion(resourceVersion) 方法更新当前 Watch 的数据版本。当网络原因等导致 watch 的长连接中断后，会基于本地数据版本的 resourceVersion 重新建立 watch 连接。

staging/src/k8s.io/client-go/tools/cache/reflector.go:405

func (r *Reflector) watch(w watch.Interface, stopCh <-chan struct{}, resyncerrc chan error) error {
var err error
retry := NewRetryWithDeadline(r.MaxInternalErrorRetryDuration, time.Minute, apierrors.IsInternalError, r.clock)

for {
// give the stopCh a chance to stop the loop, even in case of continue statements further down on errors
select {
case <-stopCh:
return nil
default:
}

// start the clock before sending the request, since some proxies won't flush headers until after the first watch event is sent
start := r.clock.Now()

if w == nil {
timeoutSeconds := int64(minWatchTimeout.Seconds() * (rand.Float64() + 1.0))
options := metav1.ListOptions{
ResourceVersion: r.LastSyncResourceVersion(),
// We want to avoid situations of hanging watchers. Stop any watchers that do not
// receive any events within the timeout window.
TimeoutSeconds: &timeoutSeconds,
// To reduce load on kube-apiserver on watch restarts, you may enable watch bookmarks.
// Reflector doesn't assume bookmarks are returned at all (if the server do not support
// watch bookmarks, it will ignore this field).
AllowWatchBookmarks: true,
}

w, err = r.listerWatcher.Watch(options)
// ... 略
}

watchHandler() 方法中，更新同步 resourceVersion 的代码片断如下：

staging/src/k8s.io/client-go/tools/cache/reflector.go:741

resourceVersion := meta.GetResourceVersion()
switch event.Type {
case watch.Added:
err := store.Add(event.Object)
if err != nil {
utilruntime.HandleError(fmt.Errorf("%s: unable to add watch event object (%#v) to store: %v", name, event.Object, err))
}
// ... 略
}
setLastSyncResourceVersion(resourceVersion)
if rvu, ok := store.(ResourceVersionUpdater); ok {
rvu.UpdateResourceVersion(resourceVersion)
}

Informer

Informer 是流程中最重要的节点，是整个流程的桥梁，这也是为什么常把这个机制叫 Informer 的原因。

使用 Informer 可以参考官方自定义 Controller 的例子，这里把 Informer 操作提取出来：

Informer Example

clientset, err := kubernetes.NewForConfig(config)
stopCh := make(chan struct{})
defer close(stopch)

informerFactory := informers.NewSharedInformerFactory(clientset, time.Minute)

informer := informerFactory.Core().V1().Pods().Informer()
informer.AddEventHandler(cache.ResourceEventHandlerFuncs{
   AddFunc: func(obj interface{}) {

   },
   UpdateFunc: func(oldObj, newObj interface{}) {

   },
   DeleteFunc: func(obj interface{}) {

   },
})

informerFactory.Start(stopCh)

资源的 Informer

在上面的 Informer 操作例子中可以看到，创建 Pod 对象的 Informer 时使用的是 Core().V1().Pods().Informer() 这样的调用，返回 cache.SharedIndexInformer 接口的实例。

Pod 资源的核心逻辑都集中在 SharedIndexInformer 实例构造方法中：

staging/src/k8s.io/client-go/informers/core/v1/pod.go:58

func NewFilteredPodInformer(client kubernetes.Interface, namespace string, resyncPeriod time.Duration, indexers cache.Indexers, tweakListOptions internalinterfaces.TweakListOptionsFunc) cache.SharedIndexInformer {
return cache.NewSharedIndexInformer(
&cache.ListWatch{
ListFunc: func(options metav1.ListOptions) (runtime.Object, error) {
if tweakListOptions != nil {
tweakListOptions(&options)
}
return client.CoreV1().Pods(namespace).List(context.TODO(), options)
},
WatchFunc: func(options metav1.ListOptions) (watch.Interface, error) {
if tweakListOptions != nil {
tweakListOptions(&options)
}
return client.CoreV1().Pods(namespace).Watch(context.TODO(), options)
},
},
&corev1.Pod{},
resyncPeriod,
indexers,
)
}

SharedIndexInformer 的构造使用的是通用的构造工厂方法 cache.NewSharedIndexInformer，可自定义内容只有：

提供如何拉取数据和创建监控资源变化的方法（ListFunc 和 WatchFunc 会提供给 Reflector 进行调用）
Informer 的资源对象
Indexers 和 resync 间隔时间

得益于这样优秀的封装，client-go 使用 informer-gen 生成了所有 Kubernetes 资源的 Informer 代码。

Informer 共享机制

Reflector 创建那一小节就提到过，开发 Controller 通常都是使用 SharedInformerFactory 来创建 Informer 的。在 SharedInformerFactory 中，同类型的资源会共享一个 Reflector，获取 Informer 时会先在内部的缓存里查询，如果不存在对应的 Informer 才会创建一个新的，否则复用缓存的。

SharedInformerFactory 缓存 Informer 的数据结构如下：

staging/src/k8s.io/client-go/informers/factory.go

type sharedInformerFactory struct {
// ...

informers map[reflect.Type]cache.SharedIndexInformer
// startedInformers is used for tracking which informers have been started.
// This allows Start() to be called multiple times safely.
startedInformers map[reflect.Type]bool
}

当调用 informerFactory.Core().V1().Pods().Informer() 获取 Informer 实例时，最终调用的是 podInformer 结构的方法：

staging/src/k8s.io/client-go/informers/core/v1/pod.go:84

func (f *podInformer) Informer() cache.SharedIndexInformer {
   return f.factory.InformerFor(&corev1.Pod{}, f.defaultInformer)
}

func (f *podInformer) defaultInformer(client kubernetes.Interface, resyncPeriod time.Duration) cache.SharedIndexInformer {
   return NewFilteredPodInformer(client, f.namespace, resyncPeriod, cache.Indexers{cache.NamespaceIndex: cache.MetaNamespaceIndexFunc}, f.tweakListOptions)
}

可以看出，Informer() 是调用 SharedInformerFactory 的 InformerFor 方法来创建创建 SharedIndexInformer 实例的，这个方法最终通过 f.defaultInformer 调用的 NewFilteredPodInformer 来实现。

具体看一下 InformerFor 方法：

func (f *sharedInformerFactory) InformerFor(obj runtime.Object, newFunc internalinterfaces.NewInformerFunc) cache.SharedIndexInformer {
f.lock.Lock()
defer f.lock.Unlock()

// 检查是否已存在 Informer
informerType := reflect.TypeOf(obj)
informer, exists := f.informers[informerType]
if exists {
return informer
}

// 是否自定义同步时间间隔
resyncPeriod, exists := f.customResync[informerType]
if !exists {
resyncPeriod = f.defaultResync
}

// 构建新的 Informer
informer = newFunc(f.client, resyncPeriod)
f.informers[informerType] = informer

return informer
}

InformerFor 函数的实现很简单，和我们常写的单例工厂方法差不太多。

DeltaFIFO

前面多次提到了 DeltaFIFO，其实这是个缓冲队列，用来保存从 Reflector 拉取来的数据，在存入 DeltaFIFO 时会转换成操作事件对象。

DeltaFIFO 的数据结构：

staging/src/k8s.io/client-go/tools/cache/delta_fifo.go:97

type DeltaFIFO struct {
// lock/cond protects access to 'items' and 'queue'.
lock sync.RWMutex
cond sync.Cond

// `items` maps a key to a Deltas.
// Each such Deltas has at least one Delta.
items map[string]Deltas

// `queue` maintains FIFO order of keys for consumption in Pop().
// There are no duplicates in `queue`.
// A key is in `queue` if and only if it is in `items`.
queue []string

// ...

// knownObjects list keys that are "known" --- affecting Delete(),
// Replace(), and Resync()
knownObjects KeyListerGetter

// ...
}

DeltaFIFO 保存了对资源对象的操作，如对对象的 Added，Updated，Deleted，Sync 等操作，这个对象叫 Delta，结构如下：

staging/src/k8s.io/client-go/tools/cache/delta_fifo.go

// DeltaType is the type of a change (addition, deletion, etc)
type DeltaType string

// Delta is the type stored by a DeltaFIFO. It tells you what change
// happened, and the object's state after* that change.
type Delta struct {
Type   DeltaType
Object interface{}
}

// Deltas is a list of one or more 'Delta's to an individual object.
// The oldest delta is at index 0, the newest delta is the last one.
type Deltas []Delta

DeltaFIFO 结构中：

queue 字段存储资源的 key，由 KeyOf 函数计算得到；
items 字段存储的 Deltas 数组，是具体的资源事件内容。

存储结构示意如图：

生产者逻辑

Reflector 调用 Add、Update 或 Replace 等方法，往 DeltaFIFO 队列中增加数据。在 Reflector 的 watchHandler 方法中有如下代码：

staging/src/k8s.io/client-go/tools/cache/reflector.go:575

switch event.Type {
case watch.Added:
err := store.Add(event.Object)
if err != nil {
utilruntime.HandleError(fmt.Errorf("%s: unable to add watch event object (%#v) to store: %v", name, event.Object, err))
}
case watch.Modified:
err := store.Update(event.Object)
if err != nil {
utilruntime.HandleError(fmt.Errorf("%s: unable to update watch event object (%#v) to store: %v", name, event.Object, err))
}
case watch.Deleted:
// TODO: Will any consumers need access to the "last known
// state", which is passed in event.Object? If so, may need
// to change this.
err := store.Delete(event.Object)
if err != nil {
utilruntime.HandleError(fmt.Errorf("%s: unable to delete watch event object (%#v) from store: %v", name, event.Object, err))
}
case watch.Bookmark:
// A `Bookmark` means watch has synced here, just update the resourceVersion
default:
utilruntime.HandleError(fmt.Errorf("%s: unable to understand watch event %#v", name, event))
}

这段代码就是根据监控到的数据变化类型的不同，调用不同的 DeltaFIFO 方法，最后都是调用的 queueActionLocked 这个方法将变更入队。

staging/src/k8s.io/client-go/tools/cache/delta_fifo.go:413

func (f *DeltaFIFO) queueActionLocked(actionType DeltaType, obj interface{}) error {
// 计算 obj 的 key
id, err := f.KeyOf(obj)
if err != nil {
return KeyError{obj, err}
}
oldDeltas := f.items[id]
newDeltas := append(oldDeltas, Delta{actionType, obj})
// 去重
newDeltas = dedupDeltas(newDeltas)

if len(newDeltas) > 0 {
if _, exists := f.items[id]; !exists {
f.queue = append(f.queue, id)
}
f.items[id] = newDeltas
// 广播通知消费
f.cond.Broadcast()
} else {
// 不会进入这里，如果 newDeltas 不为空，dedupDeltas 不会返回空列表
// This never happens, because dedupDeltas never returns an empty list
// when given a non-empty list (as it is here).
// If somehow it happens anyway, deal with it but complain.
if oldDeltas == nil {
klog.Errorf("Impossible dedupDeltas for id=%q: oldDeltas=%#+v, obj=%#+v; ignoring", id, oldDeltas, obj)
return nil
}
klog.Errorf("Impossible dedupDeltas for id=%q: oldDeltas=%#+v, obj=%#+v; breaking invariant by storing empty Deltas", id, oldDeltas, obj)
f.items[id] = newDeltas
return fmt.Errorf("Impossible dedupDeltas for id=%q: oldDeltas=%#+v, obj=%#+v; broke DeltaFIFO invariant by storing empty Deltas", id, oldDeltas, obj)
}
return nil
}

在成功入队后会通过 f.cond.Broadcast() 广播通知消费者进行消费。

消费者逻辑

消费者是通过 Pop 方法进行消费的，在 Informer 启动的 controller 中，使用 wait.Until 启动了一个协程去消费 DeltaFIFO 的数据：

staging/src/k8s.io/client-go/tools/cache/controller.go:129

func (c *controller) Run(stopCh <-chan struct{}) {
defer utilruntime.HandleCrash()
go func() {
<-stopCh
c.config.Queue.Close()
}()

// 这里省略了 reflector 启动代码

// 启动 DeltaFIFO 消费协程
wait.Until(c.processLoop, time.Second, stopCh)
wg.Wait()
}

processLoop 函数使用一个无限循环去消费 DeltaFIFO 队列里的数据：

staging/src/k8s.io/client-go/tools/cache/controller.go:186

func (c *controller) processLoop() {
for {
obj, err := c.config.Queue.Pop(PopProcessFunc(c.config.Process))
if err != nil {
if err == ErrFIFOClosed {
return
}
if c.config.RetryOnError {
// This is the safe way to re-enqueue.
c.config.Queue.AddIfNotPresent(obj)
}
}
}
}

Pop 方法需要传入一个 PopProcessFunc 类型的处理函数，当数据成功出队后会调用这个函数处理数据。这里的 c.config.Process 是在 Informer 中定义的 s.HandleDeltas 方法，在 controller 构造时传入的。

HandleDeltas 调用 processDeltas 方法进行处理，这个方法做两件事：

更新 Indexer 缓存；
触发注册的 Handler 处理事件。

先看看 DeltaFIFO 出队方法 Pop 是怎么实现的：

func (f *DeltaFIFO) Pop(process PopProcessFunc) (interface{}, error) {
f.lock.Lock()
defer f.lock.Unlock()
for {
for len(f.queue) == 0 {
// When the queue is empty, invocation of Pop() is blocked until new item is enqueued.
// When Close() is called, the f.closed is set and the condition is broadcasted.
// Which causes this loop to continue and return from the Pop().
if f.closed {
return nil, ErrFIFOClosed
}

// 队列为空时，阻塞等待
f.cond.Wait()
}
isInInitialList := !f.hasSynced_locked()
id := f.queue[0]
f.queue = f.queue[1:]
depth := len(f.queue)
if f.initialPopulationCount > 0 {
f.initialPopulationCount--
}
item, ok := f.items[id]
if !ok {
// This should never happen
klog.Errorf("Inconceivable! %q was in f.queue but not f.items; ignoring.", id)
continue
}
// 出队后删除缓存的数据
delete(f.items, id)
// 调用跟踪日志
if depth > 10 {
trace := utiltrace.New("DeltaFIFO Pop Process",
utiltrace.Field{Key: "ID", Value: id},
utiltrace.Field{Key: "Depth", Value: depth},
utiltrace.Field{Key: "Reason", Value: "slow event handlers blocking the queue"})
defer trace.LogIfLong(100 * time.Millisecond)
}
// 调用处理函数
err := process(item, isInInitialList)
if e, ok := err.(ErrRequeue); ok {
f.addIfNotPresent(id, item)
err = e.Err
}
// Don't need to copyDeltas here, because we're transferring
// ownership to the caller.
return item, err
}
}

当 DeltaFIFO 队列不为空时，取出 f.queue 第一个元素，并调用消费者函数进行处理，如果处理函数返回 ErrRequeue 错误会重新入队。

当 Pop 返回后，processLoop 会再次进行判断，如果开启了 c.config.RetryOnError 功能也会重新入队进行重试。

HandleDeltas 实现只是简单对 obj 进行了类型检查，处理逻辑在 processDeltas 方法中：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:635

func (s *sharedIndexInformer) HandleDeltas(obj interface{}, isInInitialList bool) error {
s.blockDeltas.Lock()
defer s.blockDeltas.Unlock()

if deltas, ok := obj.(Deltas); ok {
return processDeltas(s, s.indexer, s.transform, deltas, isInInitialList)
}
return errors.New("object given as Process argument is not Deltas")
}

在处理前，对 blockDeltas 锁进行了加锁操作，这个锁的用处是保证当注册新的 Event Handler 时能暂停事件分发操作，避免并发问题。AddEventHandler 等方法注册事件处理器时也会加这个锁。

processDeltas 方法对 deltas 进行遍历更新缓存和触发事件：

staging/src/k8s.io/client-go/tools/cache/controller.go:447

func processDeltas(
// Object which receives event notifications from the given deltas
handler ResourceEventHandler,
clientState Store,
transformer TransformFunc,
deltas Deltas,
isInInitialList bool,
) error {
// from oldest to newest
for _, d := range deltas {
obj := d.Object
if transformer != nil {
var err error
obj, err = transformer(obj)
if err != nil {
return err
}
}

switch d.Type {
case Sync, Replaced, Added, Updated:
if old, exists, err := clientState.Get(obj); err == nil && exists {
// 更新 Indexer
if err := clientState.Update(obj); err != nil {
return err
}
// 触发 event handler 的 OnUpdate 方法
handler.OnUpdate(old, obj)
} else {
if err := clientState.Add(obj); err != nil {
return err
}
handler.OnAdd(obj, isInInitialList)
}
case Deleted:
if err := clientState.Delete(obj); err != nil {
return err
}
handler.OnDelete(obj)
}
}
return nil
}

代码中的 handler 对应的对象是 Informer 对象，这个 Informer 对象也实现了 ResourceEventHandler 接口，并将调用代理给内部的 processor：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:646

func (s *sharedIndexInformer) OnAdd(obj interface{}, isInInitialList bool) {
// Invocation of this function is locked under s.blockDeltas, so it is
// save to distribute the notification
s.cacheMutationDetector.AddObject(obj)
s.processor.distribute(addNotification{newObj: obj, isInInitialList: isInInitialList}, false)
}

Processor 逻辑

前面代码中 Informer事件的响应处理是将事件代理给 processor 处理， processor 是维护的是之前注册到 Informer 中 Event Handler 的，distribute 的逻辑是将事件转发给这些方法进行处理：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:776

func (p *sharedProcessor) distribute(obj interface{}, sync bool) {
p.listenersLock.RLock()
defer p.listenersLock.RUnlock()

for listener, isSyncing := range p.listeners {
switch {
case !sync:
// non-sync messages are delivered to every listener
listener.add(obj)
case isSyncing:
// sync messages are delivered to every syncing listener
listener.add(obj)
default:
// skipping a sync obj for a non-syncing listener
}
}
}

distribute 代码中的 listener 是 processorListener 类型的对象，这个对象是在向 Informer 注册 Event Handler 时调用的 AddEventHandlerWithResyncPeriod 方法中创建的：

func (s *sharedIndexInformer) AddEventHandlerWithResyncPeriod(handler ResourceEventHandler, resyncPeriod time.Duration) (ResourceEventHandlerRegistration, error) {
// 上面代码略

listener := newProcessListener(handler, resyncPeriod, determineResyncPeriod(resyncPeriod, s.resyncCheckPeriod), s.clock.Now(), initialBufferSize, s.HasSynced)

if !s.started {
return s.processor.addListener(listener), nil
}

// 下面代码略
}

可以看出，一个 handler 对应一个 listener，但是在调 listener.add(obj) 时并不是直接调用 handler 的，这里面另有玄机。

在 Informer 的启动代码中启动了一个协程 s.processor.run，下面是 Informer 启动代码：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:458

func (s *sharedIndexInformer) Run(stopCh <-chan struct{}) {
// 上略

// Separate stop channel because Processor should be stopped strictly after controller
processorStopCh := make(chan struct{})
var wg wait.Group
defer wg.Wait()              // Wait for Processor to stop
defer close(processorStopCh) // Tell Processor to stop
wg.StartWithChannel(processorStopCh, s.cacheMutationDetector.Run)
wg.StartWithChannel(processorStopCh, s.processor.run)
// 下略
}

这个 run 方法的功能主要就是启动所有 listener 的 pop 和 run 协程并等待退出消息，当收到退出消息后关闭这些协程：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:794

func (p *sharedProcessor) run(stopCh <-chan struct{}) {
func() {
p.listenersLock.RLock()
defer p.listenersLock.RUnlock()
for listener := range p.listeners {
p.wg.Start(listener.run)
p.wg.Start(listener.pop)
}
p.listenersStarted = true
}()
<-stopCh

p.listenersLock.Lock()
defer p.listenersLock.Unlock()
for listener := range p.listeners {
// 关闭 pop
close(listener.addCh) // Tell .pop() to stop. .pop() will tell .run() to stop
}

// Wipe out list of listeners since they are now closed
// (processorListener cannot be re-used)
p.listeners = nil

// Reset to false since no listeners are running
p.listenersStarted = false

// 等待 pop 和 run 关闭
p.wg.Wait() // Wait for all .pop() and .run() to stop
}

s.processor.run 启动了两个协程：

pop：从 p.addCh 管道里取出推送的事件，经过一个 Ring Buffer 缓冲，再通过 p.nextCh 管道传递给 run 协程，p.addCh 管道关闭时关闭 p.nextCh 管道（通知 run 退出）；
run：从 p.nextCh 管道中取出数据，调用注册的 handler 处理，当 p.nextCh 管道关闭时，退出协程。

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:933

func (p *processorListener) pop() {
defer utilruntime.HandleCrash()
defer close(p.nextCh) // Tell .run() to stop

var nextCh chan<- interface{}
var notification interface{}
for {
select {
case nextCh <- notification:
// 上个 notification 发送成功
var ok bool
notification, ok = p.pendingNotifications.ReadOne()
if !ok { // 缓冲中无待发数据
nextCh = nil // 禁用当前分支
}
case notificationToAdd, ok := <-p.addCh:
// 当 p.addCh 关闭时退出方法
if !ok {
return
}
// 若当前无数据待发送且 pendingNotifications 缓冲无数据
if notification == nil {
// 直接将获取到的新数据设置为待发送
// 无需加到缓冲中
// Optimize the case - skip adding to pendingNotifications
notification = notificationToAdd
nextCh = p.nextCh
} else { 
// 已经有 notification 待发送，放入缓冲
p.pendingNotifications.WriteOne(notificationToAdd)
}
}
}
}

func (p *processorListener) run() {
stopCh := make(chan struct{})
wait.Until(func() {
// 从 p.nextCh 获取事件并调用
for next := range p.nextCh {
switch notification := next.(type) {
case updateNotification:
p.handler.OnUpdate(notification.oldObj, notification.newObj)
case addNotification:
p.handler.OnAdd(notification.newObj, notification.isInInitialList)
if notification.isInInitialList {
p.syncTracker.Finished()
}
case deleteNotification:
p.handler.OnDelete(notification.oldObj)
default:
utilruntime.HandleError(fmt.Errorf("unrecognized notification: %T", next))
}
}
// p.nextCh 关闭时退出
close(stopCh)
}, 1*time.Second, stopCh)
}

pop 方法使用 select 多分支并用 Ring Buffer 的好外是，当 run 协程来不及处理时，新来的数据可以进入第二分支，将数据放到 pendingNotifications 中缓存。可以保证 processor 能一直接受新数据。

现在回头看消费 DeltaFIFO 时调用的 distribute 方法里，最终调用的 listener.add(obj) 是怎么实现的：

staging/src/k8s.io/client-go/tools/cache/shared_informer.go:926

func (p *processorListener) add(notification interface{}) {
if a, ok := notification.(addNotification); ok && a.isInInitialList {
p.syncTracker.Start()
}
p.addCh <- notification
}

该方法直接把传入的 notification 发送到 p.addCh 管道，这个管道在创建时没有设置大小，没有缓存（无消费阻塞），所以 pop 方法必须尽快取走数据，不然会影响 DeltaFIFO 的消费。

Resync 机制

在 Reflector 主流程 ListAndWatch 中增提过 DeltaFIFO 的 Resync 机制，Resync 机制存在的作用是让处理失败的事件有重新处理的机会。

在处理 Informer 事件回调时，可能存在处理失败的情况，且由前面讨论过的 run 流程可知，报错的事件会被跳过，并不会重试报错的事件。

Resync 机制会定期将 Indexer 中的缓存同步到 DeltaFIFO 中，重新走一遍消费流程，不过与之前不同的是 Resync 的数据的事件类型是 Sync。

staging/src/k8s.io/client-go/tools/cache/delta_fifo.go:666

func (f *DeltaFIFO) Resync() error {
f.lock.Lock()
defer f.lock.Unlock()

if f.knownObjects == nil {
return nil
}

// 获取 Indexer 所有 key，并传入 syncKeyLocked 处理
keys := f.knownObjects.ListKeys()
for _, k := range keys {
if err := f.syncKeyLocked(k); err != nil {
return err
}
}
return nil
}

func (f *DeltaFIFO) syncKeyLocked(key string) error {
obj, exists, err := f.knownObjects.GetByKey(key)
if err != nil {
klog.Errorf("Unexpected error %v during lookup of key %v, unable to queue object for sync", err, key)
return nil
} else if !exists {
klog.Infof("Key %v does not exist in known objects store, unable to queue object for sync", key)
return nil
}

// 如果 DeltaFIFO 中已经存在同样 Key 的数据，说明有新 event，忽略
id, err := f.KeyOf(obj)
if err != nil {
return KeyError{obj, err}
}
if len(f.items[id]) > 0 {
return nil
}

// 入队操作
if err := f.queueActionLocked(Sync, obj); err != nil {
return fmt.Errorf("couldn't queue object: %v", err)
}
return nil
}

通过 Resync 机制产生的事件会以 updateNotification 的形式发送，最终触发 onUpdate 事件回调。

Indexer

Indexer 是 client-go 里存储 Kubernetes 资源的本地缓存，当创建资源的 Informer，对应资源的全量数据都会缓存在对应的 Indexer 中并通过 Reflector 监听变更同步更新。client-go 查询时就可以优先查询本地缓存，降低 Kubernetes APIServer 和 ETCD 的压力。

Indexer 内部基于 ThreadSafeMap 实现：

staging/src/k8s.io/client-go/tools/cache/store.go:139

// `*cache` implements Indexer in terms of a ThreadSafeStore and an
// associated KeyFunc.
type cache struct {
// cacheStorage bears the burden of thread safety for the cache
cacheStorage ThreadSafeStore
// keyFunc is used to make the key for objects stored in and retrieved from items, and
// should be deterministic.
keyFunc KeyFunc
}

func NewIndexer(keyFunc KeyFunc, indexers Indexers) Indexer {  
   return &cache{  
      cacheStorage: NewThreadSafeStore(indexers, Indices{}),  
      keyFunc:      keyFunc,  
   }  
}

NewThreadSafeStore 使用的 threadSafeMap 来创建：

func NewThreadSafeStore(indexers Indexers, indices Indices) ThreadSafeStore {
return &threadSafeMap{
items: map[string]interface{}{},
index: &storeIndex{
indexers: indexers,
indices:  indices,
},
}
}

threadSafeMap

threadSafeMap 是线程安全的 Map，类似于 Go 的 sync.Map，只是 Kubernetes 开发时还没有 sync.Map。

threadSafeMap 实现了 ThreadSafeStore 接口，而 Indexer 接口和 ThreadSafeStore 接口是一样的，Indexer 是对 threadSafeMap 的封装，增加了 keyFunc 的功能。threadSafeMap 结构如下：

// threadSafeMap implements ThreadSafeStore
type threadSafeMap struct {
lock  sync.RWMutex
items map[string]interface{}

// index implements the indexing functionality
index *storeIndex
}

type storeIndex struct {
// indexers maps a name to an IndexFunc
indexers Indexers
// indices maps a name to an Index
indices Indices
}

type Index map[string]sets.String

// Indexers maps a name to an IndexFunc
type Indexers map[string]IndexFunc

// Indices maps a name to an Index
type Indices map[string]Index

threadSafeMap 中各字段的作用：

items 用于存储缓存的数据，key -> 资源对象；
indexers 存储的是索引生成函数的名字和函数引用，索引生成函数名字 -> 函数；
indices 是存储索引生成函数名字和用这个函数生成的索引数据，生成函数名字 -> 索引数据；
Index 存储的是索引数据，索引(索引生成函数产生) -> key 列表。

在 SharedIndexInformer 中，默认使用 DeletionHandlingMetaNamespaceKeyFunc 生成 items / 格式的 key。

Indexer 索引器

从前面 NewIndexer 函数可以看出，Indexer 支持自定义索引函数。在之前讨论Informer 共享机制里，Pod Informer 创建时调用的 defaultInformer 方法使用了一个默认的索引函数：

defaultInformer 中创建 Indexer

1	cache.Indexers{cache.NamespaceIndex: cache.MetaNamespaceIndexFunc}

该索引函数使用资源的 namespace 创建索引，返回一个资源对象的索引列表，依照这个实现实现一个自定义的：

使用 Indexer

func UidIndexFunc(obj interfaces{}) ([]string, error) {
  pod := obj.(*v1.Pod)
  uid := pod.Annotations["uid"]
  return []string{uid}, nil
}

func main() {
  index := cache.NewIndexer(cache.MetaNamespaceKeyFunc, cache.Indexers{"userId": UidIndexFunc})
  pod := &v1.Pod{ObjectMeta: metav1.ObjectMeta{Name: "test", Annotations: map[string]string{"uid": "id1"}}}

  index.Add(pod)

  pods, err := index.ByIndex("userId", "id1")
}

上面代码中展示的是独立使用 Indexer 的情况，若想与 SharedInformerFactory 结合使用，可以调用 SharedIndexInformer 的 AddIndexers 方法，下面代码来自 external-provisioner 的用法：

vendor/sigs.k8s.io/sig-storage-lib-external-provisioner/v8/controller/controller.go:687

if controller.claimInformer != nil {
controller.claimInformer.AddEventHandlerWithResyncPeriod(claimHandler, controller.resyncPeriod)
} else {
controller.claimInformer = informer.Core().V1().PersistentVolumeClaims().Informer()
controller.claimInformer.AddEventHandler(claimHandler)
}
err = controller.claimInformer.AddIndexers(cache.Indexers{uidIndex: func(obj interface{}) ([]string, error) {
uid, err := getObjectUID(obj)
if err != nil {
return nil, err
}
return []string{uid}, nil
}})

Indexer 索引查询

查询数据可以使用 Indexer 的 Get 方法，更常用的是使用 ByIndex 方法，能与自定义的索引函数结合使用，如 external-provisioner 里获取数据的方法：

vendor/sigs.k8s.io/sig-storage-lib-external-provisioner/v8/controller/controller.go:1015

func (ctrl *ProvisionController) syncClaimHandler(ctx context.Context, key string) error {
// 使用自定义的索引函数获取数据
objs, err := ctrl.claimsIndexer.ByIndex(uidIndex, key)
if err != nil {
return err
}
var claimObj interface{}
if len(objs) > 0 {
claimObj = objs[0] // 基于业务理解，通常一个 uid 只有一个对象
} else {
obj, found := ctrl.claimsInProgress.Load(key)
if !found {
utilruntime.HandleError(fmt.Errorf("claim %q in work queue no longer exists", key))
return nil
}
claimObj = obj
}
return ctrl.syncClaim(ctx, claimObj)
}

ByIndex 方法接收两个参数：

indexName：索引函数名；
indexedValue：索引值。

func (c *threadSafeMap) ByIndex(indexName, indexedValue string) ([]interface{}, error) {
c.lock.RLock()
defer c.lock.RUnlock()

// 查询索引函数下，该索引值对应的 key 列表
set, err := c.index.getKeysByIndex(indexName, indexedValue)
if err != nil {
return nil, err
}

// key 列表查原始资源对象
list := make([]interface{}, 0, set.Len())
for key := range set {
list = append(list, c.items[key])
}

return list, nil
}

func (i *storeIndex) getKeysByIndex(indexName, indexedValue string) (sets.String, error) {
// 查询索引函数名是否存在
indexFunc := i.indexers[indexName]
if indexFunc == nil {
return nil, fmt.Errorf("Index with name %s does not exist", indexName)
}
// 从索引函数对应的 索引 中取出指定 索引值关联的 key 列表
index := i.indices[indexName]
return index[indexedValue], nil
}

方法的逻辑：

检查给定的索引函数名是否存在；
取出索引函数名对应的索引数据；
从索引数据中取出给定索引值所关联的 key 列表；
使用 key 列表从 items 中获取资源对象列表并返回。

总结

本文从 Informer 机制的设计原因和整体架构开始，深入讨论了 Informer 机制，了解了支撑 Informer 机制实现的 Reflector、Informer、DeltaFIFO 和 Indexer 几个内部组件的实现原理。

作为 client-go 重要的组成部分，基本上 Kubernetes 自定义组件都离不开 Informer，Kubernetes 之所以设计这样一个结构，核心需求是为了减少 Kubernetes API Server 和 ETCD 的压力，增强整个集群的稳定性。

引用

修订历史

2023-05-16：细化补充 Reflector 的 Watch 相关逻辑，更新流程图增加 Informer Lister 入口说明。

Kubernetes 核心组件 Leader 选举机制

2023-01-18T04:23:18.000Z

Kubernetes 内部很多核心组件是有状态的，都以一主多从多实例的方式运行。这些组件的一主多从中，只有主实例负责处理数据，从实例处在热备状态。当主实例异常时从实例将竞选成为主实例并接替进行任务处理，所以这个选举机制是 Kubernetes 对于这有状态组件高可用的保障。

核心组件如 kube-scheduler 或 kube-controller-manager 等组件，在同一时刻只有一个实例在处理业务逻辑，因此需要在启动的实例中进行选主，决定哪个实例负责处理任务。这些核心组件都是使用的 client-go 中提供的工具类 leaderelection，也就是本文的主角。

leaderelection 依赖于 Kubernetes 中提供的 Endpoints、ConfigMap 和 Lease 三种资源锁，leaderelection 选主的实现方式就是基于这三种资源锁：

多个副本去创建资源，创建成功则获得锁成为 leader；
leader 在租约内去刷新锁；
其他副本则通过比对锁的更新时间，判断是否竞争成为 leader。

除了能在核心组件中使用，这个组件也能使用在我们开发的应用中，前提是我们的应用运行在 Kubernetes 环境且有操作资源锁的权限。

启动选举

如果我们想使用 leaderelection 组件实现选主的功能，那么在开始选举先需要先通过方法 resourcelock.New 获取资源锁的对象。Kubernetes 虽然现在只有 endpoints/configmap/lease 几种资源锁，但他们之间可以组合使用。

可选的资源锁组合如下：

资源锁组合

const (
endpointsResourceLock        = "endpoints"
configMapsResourceLock       = "configmaps"
LeasesResourceLock           = "leases"
EndpointsLeasesResourceLock  = "endpointsleases"
ConfigMapsLeasesResourceLock = "configmapsleases"
)

另外，resourcelock.NewFromKubeconfig 方法也可以创建资源锁，该方法对 resourcelock.New 进行了封装。kube-controller-manager 就是使用这个方法创建的资源锁：

kube-controller-manager 创建资源锁

rl, err := resourcelock.NewFromKubeconfig(resourceLock,  
   c.ComponentConfig.Generic.LeaderElection.ResourceNamespace,  
   leaseName,  
   resourcelock.ResourceLockConfig{  
      Identity:      lockIdentity,  
      EventRecorder: c.EventRecorder,  
   },  
   c.Kubeconfig,  
   c.ComponentConfig.Generic.LeaderElection.RenewDeadline.Duration)

在 kube-controller-manager 中，resourceLock 参数默认传的是 endpointsleases，所以会创建一个包含 endpointsLock 和 LeaseLock 的组合锁 MultiLock，在操作锁的时候会先操作 endpointsLock，成功再操作 LeaseLock。

准备好资源锁后，调用方法 leaderelection.RunOrDie 开始选举。

启动选举

leaderelection.RunOrDie(ctx, leaderelection.LeaderElectionConfig{
  // 资源锁类型
  Lock: lock,
  // 租约时长，非主候选者用来判断资源锁是否过期
  LeaseDuration:   60 * time.Second,
  // leader刷新资源锁超时时间
  RenewDeadline:   15 * time.Second,
  // 调用资源锁间隔
  RetryPeriod:     5 * time.Second,
  // 回调函数，根据选举不同事件触发
  Callbacks: leaderelection.LeaderCallbacks{
  OnStartedLeading: func(ctx context.Context) {
  run(ctx)
  },
  OnStoppedLeading: func() {
  klog.Infof("leader lost: %s", id)
  os.Exit(0) // 通常要退出程序，重启后重新开始选主，否则将不会参与到选主中
  },
  OnNewLeader: func(identity string) {
  if identity == id {
  return
  }
  klog.Infof("new leader elected: %s", identity)
  },
  },
})

选举主流程

启动选举后，RunOrDie 方法会调用 le.Run(ctx) 方法开始真正的选举流程，该方法除非在以下情况下才会返回：

ctx 被取消（外部要求中止选举流程）
当选了 Leader 后，任期结束（网络或某种原因导致续期失败）

其它情况，比如当前节点未曾当选 Leader 则会卡在 acquire 方法中持续竞选。

le.Run(ctx)

func (le *LeaderElector) Run(ctx context.Context) {
defer runtime.HandleCrash()
defer func() {
// 当方法退出时回调通知任期结束
le.config.Callbacks.OnStoppedLeading()
}()

// 开始竞选
if !le.acquire(ctx) {
// ctx 被取消，中止选举
return // ctx signalled done
}
// 当选 leader
ctx, cancel := context.WithCancel(ctx)
defer cancel()
// 通知执行 leader 任务
go le.config.Callbacks.OnStartedLeading(ctx)
// 执行 leader 续期
le.renew(ctx)
}

竞选

acquire

func (le *LeaderElector) acquire(ctx context.Context) bool {
ctx, cancel := context.WithCancel(ctx)
defer cancel()
// 默认 false，当未当选且 ctx 被取消时返回
succeeded := false
desc := le.config.Lock.Describe()
klog.Infof("attempting to acquire leader lease %v...", desc)
// 循环竞选
// 间隔 RetryPeriod 执行一次，直到 ctx.Done()
wait.JitterUntil(func() {
// 竞选
succeeded = le.tryAcquireOrRenew(ctx)
// leader 变化回调
le.maybeReportTransition()
// 竞选失败返回
if !succeeded {
klog.V(4).Infof("failed to acquire lease %v", desc)
return
}
// 成功则退出竞选函数
le.config.Lock.RecordEvent("became leader")
le.metrics.leaderOn(le.config.Name)
klog.Infof("successfully acquired lease %v", desc)
cancel()
}, le.config.RetryPeriod, JitterFactor, true, ctx.Done())
return succeeded
}

对于返回值，有以下情况：

succeeded 默认值是 false，在竞选循环中，外部通过 ctx 中止竞选时会中止 wait.JitterUntil 循环并返回 false；
如果竞选成功，则会改写 succeeded=true 并手动调用 cancel() 中止 wait.JitterUntil 循环。

所以 acquire 函数只会有两种情况会返回：

true：当选 leader；
false：外部中止竞选。

未当选的竞选者会在 wait.JitterUntil 循环中持续尝试。

抢锁和续期

抢锁操作和 Leader 续期都是在 tryAcquireOrRenew 方法中实现。

如果当前节点未取得锁，会尝试获取锁；
否则进行续期；
成功返回 true，失败返回 false。

tryAcquireOrRenew

func (le *LeaderElector) tryAcquireOrRenew(ctx context.Context) bool {
now := metav1.Now()
// 使用默认值初始化记录对象，HolderIdentity 为当前竞选者标识
leaderElectionRecord := rl.LeaderElectionRecord{
HolderIdentity:       le.config.Lock.Identity(),
LeaseDurationSeconds: int(le.config.LeaseDuration / time.Second),
RenewTime:            now,
AcquireTime:          now,
}

// 获取锁记录
oldLeaderElectionRecord, oldLeaderElectionRawRecord, err := le.config.Lock.Get(ctx)
if err != nil {
if !errors.IsNotFound(err) {
klog.Errorf("error retrieving resource lock %v: %v", le.config.Lock.Describe(), err)
return false
}
// 如果锁不存在则尝试创建
if err = le.config.Lock.Create(ctx, leaderElectionRecord); err != nil {
klog.Errorf("error initially creating leader election record: %v", err)
return false
}

// 创建成功则取锁成功，更新当前监控锁记录内容
le.setObservedRecord(&leaderElectionRecord)

return true
}

// 检查获取的数据是否更新，更新则刷新本地缓存
// 如果有变化，说明上次尝试获取锁到现在的间隔内 leader 变化了
if !bytes.Equal(le.observedRawRecord, oldLeaderElectionRawRecord) {
le.setObservedRecord(oldLeaderElectionRecord)

le.observedRawRecord = oldLeaderElectionRawRecord
}
// 检查是否被其它人持有，且任期未结束
// le.observedTime 由 le.setObservedRecord 方法更新，在 leader 发生变化时更新
if len(oldLeaderElectionRecord.HolderIdentity) > 0 &&
le.observedTime.Add(le.config.LeaseDuration).After(now.Time) &&
!le.IsLeader() {
klog.V(4).Infof("lock is held by %v and has not yet expired", oldLeaderElectionRecord.HolderIdentity)
return false
}

// 使用正确数据填充锁记录
if le.IsLeader() {
// 如果当前是 leader，则是续期操作，使用记录里的取锁时间和变化次数
leaderElectionRecord.AcquireTime = oldLeaderElectionRecord.AcquireTime
leaderElectionRecord.LeaderTransitions = oldLeaderElectionRecord.LeaderTransitions
} else {
// 如果不是 leader 说明正在抢锁，将 leader 变化次数加 1
// AcquireTime 已经在上面默认设置成当前时间
leaderElectionRecord.LeaderTransitions = oldLeaderElectionRecord.LeaderTransitions + 1
}

// 尝试更新锁
if err = le.config.Lock.Update(ctx, leaderElectionRecord); err != nil {
klog.Errorf("Failed to update lock: %v", err)
return false
}

// 更新锁成功则说明当前节点持有锁：抢锁成功/续期成功
le.setObservedRecord(&leaderElectionRecord)
return true
}

代码的流程如下：

任期的原理

代码中对是否在任期的判断是基于 le.observedTime 的，le.observedTime 是在 leader 发生变化时调用 le.setObservedRecord 方法更新的。更新时机：

锁不存在，创建锁成功时更新；
获取到锁记录和缓存的不同，说明上次尝试获取锁到现在的间隔内 leader 变化了，更新缓存；
leader 超期没续期且当前节点抢锁成功，更新缓存。

相当于每次 le.observedTime 变化的时候都是监测到 leader 变化的时间，所以 le.observedTime + LeaseDuration 的时间就是 leader 当前任期的结束时间。

如果当前时间超过这个任期时间，但 leader 没及时刷新锁，就会导致获取到的锁记录 oldLeaderElectionRawRecord 和缓存的相同（无法满足更新时机 2），那么当前节点会走到后面抢锁的逻辑，执行锁更新的尝试。

抢锁的原理

进行锁更新尝试（抢锁）的原理是基于 kubernetes 的资源乐观锁实现的：

获取锁方法 le.config.Lock.Get(ctx) 会取得当前锁的最新 resourceVersion 并保存；
更新锁时提供保存的 resourceVersion；
Kubernetes 对比 resourceVersion 和最新值，如果相等则允许更新，返回成功，否则更新失败。

当 leader 在任期内时，通常只有 leader 自己去更新锁；而在抢锁阶段会有多个节点尝试更新，但只有第一个到达 Kubernetes 的更新请求会被处理，其它节点请求到达的时候 resourceVersion 已经被更新过了，所以请求会被拒绝。

续期处理循环

在获取到锁成为 leader 后，会进入 le.renew(ctx) 方法进行定期续期操作。

func (le *LeaderElector) renew(ctx context.Context) {
ctx, cancel := context.WithCancel(ctx)
defer cancel()
// 定期续期，每 RetryPeriod 执行一次续期
wait.Until(func() {
timeoutCtx, timeoutCancel := context.WithTimeout(ctx, le.config.RenewDeadline)
defer timeoutCancel()
// 执行续期，直到成功或超时
err := wait.PollImmediateUntil(le.config.RetryPeriod, func() (bool, error) {
return le.tryAcquireOrRenew(timeoutCtx), nil
}, timeoutCtx.Done())

le.maybeReportTransition()
desc := le.config.Lock.Describe()
// 没报错说明续期成功
if err == nil {
klog.V(5).Infof("successfully renewed lease %v", desc)
return
}
// 超时错误，说明续期失败，当前不再是 leader，退出续期流程
le.config.Lock.RecordEvent("stopped leading")
le.metrics.leaderOff(le.config.Name)
klog.Infof("failed to renew lease %v: %v", desc, err)
cancel()
}, le.config.RetryPeriod, ctx.Done())

// if we hold the lease, give it up
if le.config.ReleaseOnCancel {
le.release()
}
}

renew 方法如果续期失败会直接返回，然后选主流程结束。其它主从竞选流程通常都会让当前节点重新成为备选节点并继续进行选主，而 leaderelection 是直接中止。

要想使用 leaderelection 实现重新竞选，需要自己再次调用 leaderelection.RunOrDie 重新开始或重启程序。

总结

leaderelection 流程中，只有 Leader 才是 Worker 节点，其它节点是热备节点，用于在 Leader 异常时及时接替工作。

kube-controller-manager 等 Kubernetes 内部组件在 leader 续期失败时都是直接退出程序，由 Kubernetes 保活机制重启程序，再重新加入竞选。

如 kube-controller-manager 是这样配置 leader 续期失败动作的：

kube-controller-manager 的 OnStoppedLeading

OnStoppedLeading: func() {
klog.ErrorS(nil, "leaderelection lost")
klog.FlushAndExit(klog.ExitFlushTimeout, 1)
},

完整的 leaderelection 流程如图：

引用

Docker 构建多平台镜像

2023-01-05T15:18:57.000Z

最近公司在组织各个系统的开发人员在搞信创改造，其中有部分改造内容就是要让系统能兼容 ARM 架构的 CPU。我们的系统都是运行在 Kubernetes 的容器中的，所以需要将应用打包到不同架构的镜像中。

Docker 提供了多平台的支持，可以将不同架构的镜像打包成一个镜像，部署时再根据运行的架构不同拉取不同架构的镜像运行，构建多平台镜像可以使用 BuildX 组件实现。

Docker BuildX

我们可以使用 docker buildx 命令构建多平台容器镜像。Buildx 是 Docker 的组件，支持很多构建特性。通过 Buildx 的构建都是在 Moby Buildkit 构建引擎里执行的。 Docker 23.0 版本的 docker build 命令也将默认基于 Buildx 构建。

Buildx 默认构建当前机器架构的镜像，如果需要构建不同架构的镜像需要使用 --platform 参数，比如：--platform=linux/arm64。如果想构建支持多个架构的镜像，可以使用逗号分隔多个架构的值。

1	docker buildx build --platform=linux/amd64,linux/arm64 .

使用 Buildx 构建多平台镜像时，需要创建支持的构建实例。上面说过，buildx 是运行在 BuildKit 里的，所以在构建多平台镜像之前需要创建一个构建实例。有些 Docker 环境提供的默认构建实例本身支持则无需再额外创建。可以通过 docker buildx ls 命令检查：

# docker buildx ls
NAME/NODE       DRIVER/ENDPOINT             STATUS  BUILDKIT PLATFORMS
m1_builder *    docker-container
  m1_builder0   unix:///var/run/docker.sock running v0.10.5  linux/arm64, linux/amd64, linux/amd64/v2, linux/riscv64, linux/ppc64le, linux/s390x, linux/386, linux/mips64le, linux/mips64, linux/arm/v7, linux/arm/v6
default         docker
  default       default                     running 20.10.21 linux/arm64, linux/amd64, linux/riscv64, linux/ppc64le, linux/s390x, linux/386, linux/arm/v7, linux/arm/v6
desktop-linux   docker
  desktop-linux desktop-linux               running 20.10.21 linux/arm64, linux/amd64, linux/riscv64, linux/ppc64le, linux/s390x, linux/386, linux/arm/v7, linux/arm/v6

如果不支持，可以手动创建一个。

1	docker buildx create --use

构建多平台镜像时，实际上是每个平台分别构建一次，最终合并成一个镜像。如下面镜像：

1 2	FROM alpine RUN echo "Hello" > /hello

构建的时候，buildx 会拉取不同架构的 alpine 镜像，最终在执行的时候，分别执行的是各自架构的二进制。

这里告诉我们，构建多平台镜像时，依赖的基础镜像也应该支持多平台。

准备 Dockerfile

Docker 官方文章《Faster Multi-Platform Builds: Dockerfile Cross-Compilation Guide》介绍了一种更快的多平台镜像构建方法。

总体上说，思路是在构建的机器上直接构建生成目标架构的可执行文件，再将文件复制到镜像中进行打包。因为如果在目标架构上构建，意味着需要使用 BuildKit 模拟目标架构来运行，中间存在指令转换的开销，严重影响构建效率。

可以通过多阶段构建（Multi-stage build）的 Dockerfile 实现构建和打包运行镜像分开，只有最终的 stage 才会生成镜像，其它 stage 实际上是构建的中间过程。

在构建 stage 使用的 FROM debian 的语句，实际上是让构建器拉取的当前构建的目标架构的 Debian 镜像（--platform 参数指定）。如果想让构建 stage 直接以构建主机的架构构建需要手动指定架构，如使用 x86 架构进行构建可以这样配置基础镜像：

1	FROM --platform=linux/amd64 debian as builder

这样配置后，无论当前是构建 x86 还是 ARM 架构的镜像，builder 阶段都使用 x86 的基础镜像进行构建。

Docker 提供了一些预定义的全局构建参数，用于描述当前的构建情况。上面提到的 linux/amd64 在更换平台进行构建时需要调整，而使用全局定义参数 BUILDPLATFORM 就可以解决这个问题，这个值在构建时会自动填充成当前构建系统的架构。

常用的预定义参数如下：

参数	说明	示例
BUILDPLATFORM	当前主机平台	linux/amd64
BUILDOS	当前系统类型	linux
BUILDARCH	当前主机架构	amd64, arm64, riscv64
BUILDVARIANT	ARM 版本	v7
TARGETPLATFORM	目标平台	linux/arm64
TARGETOS	目标系统	linux
TARGETARCH	目标架构	arm64

现在，配合预定义参数，构建镜像的 Dockerfile 可以配置成：

FROM --platform=$BUILDPLATFORM alpine AS build
# RUN 
# COPY  .
ARG TARGETPLATFORM
RUN compile --target=$TARGETPLATFORM -o /out/mybinary

FROM alpine
# RUN 
COPY --from=build /out/mybinary /bin

这个 Dockerfile 有两个阶段（stage），build 阶段和 runtime 阶段。

build 阶段负责准备编译环境和进行交叉编译生成目标平台的可执行文件。由于 Dockerfile Scope 的影响，全局预定义变量要想在命令中使用，需要使用 ARG 指令将参数传递到 stage 的本地 scope；
runtime 阶段是容器镜像最终生成的阶段，这里的 FROM 指令不配置 --platform 相当于配置了 FROM --platform=$TARGETPLATFORM，拉取当前构建目标架构的基础镜像，所以可以省略掉 --platform 参数。

多平台镜像的结构

生成的多个镜像最后会合并到一个 OCI 镜像中，BuildKit 会生成包含这些镜像的 manifest 信息，内容如下：

manifest list

{
   "mediaType": "application/vnd.docker.distribution.manifest.list.v2+json",
   "schemaVersion": 2,
   "manifests": [
      {
         "mediaType": "application/vnd.docker.distribution.manifest.v2+json",
         "digest": "sha256:33cc662c443c0c3f4bfcdc37d97b3c172d5b4c0bb4e9ed19f2b3d288466d9bfb",
         "size": 738,
         "platform": {
            "architecture": "amd64",
            "os": "linux"
         }
      },
      {
         "mediaType": "application/vnd.docker.distribution.manifest.v2+json",
         "digest": "sha256:e969f63ec867a40c8363fb960c8f8d0b7e188ff26064b40c846bc9cd097ff0b3",
         "size": 738,
         "platform": {
            "architecture": "arm64",
            "os": "linux"
         }
      }
   ]
}

如果你使用的 Harbor 作为镜像管理仓库，可以访问这个页面快速获取镜像的 manifest（根据需要替换下面路径中的参数）。

1	https://registry.imoe.tech/v2///manifests/

使用 BuildX 构建时，也可以直接导出 OCI 镜像包，并查看该包的结构。

1
2
3

docker buildx build \
  --platform linux/amd64,linux/arm64 \
  -f Dockerfile . --output type=oci,dest=./dockertest.tar

上面命令会在当前目录生成 dockertest.tar 文件，解压后就能一窥 OCI 镜像的结构。

Podman 构建多平台镜像

得益于容器的标准化，容器的管理工具有了更多选择。现在很多人使用 Podman 而不是 Docker 来构建和运行容器。但是 Podman 并不支持 Docker 的 BuildX 组件，上面第一节说的方法没法用了。好消息是，Podman 原生支持构建跨平台的镜像。

在使用 podman 构建前，需要登录一个 OCI 兼容的镜像仓库，这里登录腾讯云的镜像仓库。

1	podman login ccr.ccs.tencentyun.com -p Secret -u User

构建指定架构的镜像

Docker BuildX 支持在一次执行中自动生成多个架构的镜像并合并成一个镜像，这个过程完全是自动的。而在 Podman 中则需要手动创建不同的镜像，比如这里创建 arm64 和 amd64 的镜像：

1 2	podman build --platform linux/arm64/v8 -t ccr.ccs.tencentyun.com//hello-world:v1.0.0-linux-arm64 . podman build --platform linux/amd64 -t ccr.ccs.tencentyun.com//hello-world:v1.0.0-linux-amd64 .

上面命令使用 --platform 参数指定了镜像的架构，格式和 Docker BuildX 一样但一次只能指定一个架构。所以上面实际创建了两个不同的镜像，用不同的 tag 进行了区分。

使用 podman image ls 查看生成的镜像。

$ podman image ls
REPOSITORY                                    TAG                 IMAGE ID      CREATED         SIZE
ccr.ccs.tencentyun.com//hello-world         v1.0.0-linux-amd64  de9a0c2f01c8  29 seconds ago  114 MB
ccr.ccs.tencentyun.com//hello-world         v1.0.0-linux-arm64  0f3a0bc46798  43 seconds ago  136 MB

可以看到，除了 tag 不同，我们甚至看不出有什么区别。要查看镜像的架构，需要使用 inspect 命令。

1 2	$ podman image inspect ccr.ccs.tencentyun.com//hello-world:v1.0.0-linux-amd64 \| grep Arch "Architecture": "amd64",

合并多个架构镜像

OCI 镜像通过 manifest 来管理多平台的镜像，podman manifest 命令可以创建和管理 manifest。

合并现有的多平台镜像

podman manifest create \
  ccr.ccs.tencentyun.com//hello-world:v1.0.0 \
  ccr.ccs.tencentyun.com/hello-world:v1.0.0-linux-arm64 \
  ccr.ccs.tencentyun.com/hello-world:v1.0.0-linux-amd64

podman manifest push ccr.ccs.tencentyun.com//hello-world:v1.0.0 \
  docker://ccr.ccs.tencentyun.com//hello-world:v1.0.0
docker manifest rm ccr.ccs.tencentyun.com//hello-world:v1.0.0

上面第一个命令的作用是创建了一个 manifest，叫作 hello-world:v1.0.0，然后添加了两个镜像到 manifest 中（后面两个）。可以把这个命令拆分出来，先创建 manifest 再分别构建好镜像，直接加到 manifest 中。

构建多平台镜像

podman manifest create ccr.ccs.tencentyun.com//hello-world:v1.0.0

for IMAGEARCH in amd64 arm64 ; do
    podman build --platform linux/${IMAGEARCH} --layers=false -f Dockerfile \
        --build-arg=TARGETOS=linux \
        --build-arg=TARGETARCH="${IMAGEARCH}" \
        --build-arg=TARGETPLATFORM="linux/${IMAGEARCH}" \
        --build-arg=BUILDPLATFORM="linux/amd64" \
      -t ccr.ccs.tencentyun.com//hello-world:v1.0.0-${IMAGEARCH} .
    podman manifest add --arch=${IMAGEARCH} --os=linux \
      ccr.ccs.tencentyun.com//hello-world:v1.0.0 \
      docker://ccr.ccs.tencentyun.com//hello-world:v1.0.0-${IMAGEARCH}
done

podman manifest push --all ccr.ccs.tencentyun.com//hello-world:v1.0.0 \
  docker://ccr.ccs.tencentyun.com//hello-world:v1.0.0

podman manifest push 命令用于将 manifest 推到镜像仓库中，推送后就可以使用 podman manifest rm 删除本地的 manifest。

注意一：Podman 不提供全局预定义变量，需要手动通过 --build-arg 进行设置。
注意二：Podman 不像 BuildX 能在 Builder 阶段使用 FROM --platform 指定拉取和 podman build --platform 不同平台的镜像。Podman 中拉取的始终都是 podman build 命令指定的架构，所以使用 Podman 环境下，只能在构建镜像前进行交叉编译产生可执行文件再使用 Podman 打包到镜像中。Dockerfile 文件也需要进行调整：

FROM alpine AS build
ARG TARGETPLATFORM
ADD ./output /output
RUN cp /output/"$TARGETPLATFORM"/app /app

FROM alpine
# RUN 
COPY --from=build /app /bin

上面在 build 阶段把所有的输出复制到层中，再使用 RUN cp 把需要的目标文件复制出来。这样做的原因是 ADD 这类指令不支持使用变量，所以多绕了一点路。

这样分两阶段，而不是合并，优点是最后阶段只打包需要的平台的可执行文件，而不是把所有的平台都打包，可以减小镜像的尺寸。以下一节的 Go 示例，对应的构建脚本可以是：

for i in "arm64" "amd64" ; do
  echo "building for $i..."
  GOOS=linux GOARCH="$i" go build -o ./output/linux/$i/app cmd/main.go
  chmod +x ./output/linux/$i/app
done

这里也可以进一步优化，在打包前构建后使用脚本直接处理好文件（移动到对应位置），而不用在 Dockerfile 中再对文件进行选择。

除了 Podman 原生的支持外，还可以使用 Buildah 来实现相同的功能，这里就不再赘述了。

Go 构建样例

对于 Java 应用来说，一次构建产生的 Jar 包可以处处运行，不需要对不同平台进行交叉编译，所以 Java 应用只需要使用支持多平台的基础镜像构建容器镜像就可。

Go 语言编写的应用则不同，一般都需要编译成特定的可执行文件，比较适合作为上文所说的 构建+打包 的多阶段 Dockerfile 示例，这里举例一个 Go 应用使用多平台镜像的示例。

单平台镜像构建

FROM golang:1.19-alpine AS build
WORKDIR /src
COPY . .
RUN go build -o /out/myapp .

FROM alpine
COPY --from=build /out/myapp /bin

上文是不进行多平台镜像构建的 Dockerfile，只需要简单的构建打包既可。接下来我们对其进行修改，增加交叉编译和多平台相关的内容。

Go 交叉编译非常简单，只需要在调用 go build 命令时传入 GOOS 和 GOARCH 两个环境变量既可。GOOS 和 GOARCH 的值与 BuildKit 的预定义变量 TARGETOS 和 TARGETARCH 的值是一样的。

所以只需要用 ARG 获取到值，简单地赋于 GOOS 和 GOARCH 就行，改造后的 Dockerfile 如下：

多平台构建优化后

FROM --platform=$BUILDPLATFORM golang:1.19-alpine AS build
WORKDIR /src
COPY . .
ARG TARGETOS TARGETARCH
RUN GOOS=$TARGETOS GOARCH=$TARGETARCH go build -o /out/myapp .

FROM alpine
COPY --from=build /out/myapp /bin

总结

Docker 目前对于多平台/平台镜像的支持已经非常好，自己构建镜像也简单，但构建多平台镜像要注意依赖的上游基础镜像要支持多平台，如果不支持需要再另外找支持的镜像或自己制作。

随着 Oracle 等云厂商都提供了 ARM 架构的云主机，多平台镜像也得到越来越多的支持。基本上各大开源组织官方的基础镜像都已经完成了支持，在选择基础镜像的时候也应该尽量使用各大开源如织的镜像，能给我们减少很多麻烦。

引用

使用 iKuai Exporter 监控爱快的网络情况

2022-12-25T15:44:04.000Z

爱快软路由有非常完善的监控功能，但因为是爱快自己的体系，很不灵活，只能满足基本的使用，没法在 Prometheus 里使用，想要做些告警的功能就更不行了。

再加上最近跑网心云的虚机挂了几天才发现，搞一套内网的监控告警体系迫在眉睫了。对于家庭内网的监控告警，有几个需求需要满足：

能统计每天设备的流量
能对公网在线状态进行监控告警
能对设备的在线状态进行监控告警

部署 Exporter

爱快没有提供 Prometheus 的 Exporter，所以我根据爱快的接口开发了一个 Exporter，代码在：https://github.com/jakeslee/ikuai-exporter 。

已经打包成 Docker 镜像，只需要按以下命令就可以获取到：

1	docker pull jakes/ikuai-exporter:latest

可以通过给容器传递环境变量对 Exporter 进行配置，目前有以下参数：

变量名	说明
IK_URL	爱快地址
IK_USER	爱快登录用户
IK_PWD	爱快登录密码

使用命令部署 exporter：

1 2	docker run -d -p 9222:9090 -e IK_URL=http://10.10.1.253 -e IK_USER=test -e IK_PWD=test123 \ jakes/ikuai-exporter:latest

配置 Prometheus

在 Prometheus 的配置文件 prometheus.yml 中增加如下配置：

scrape_configs:
  - job_name: 'ikuai_exporter'
    scrape_interval: 2s
    scrape_timeout: 2s
    relabel_configs:
      - source_labels: [__address__]
        target_label: instance
      - target_label: __address__
        replacement: 10.10.1.202:9222  # exporter.
    static_configs:
      - targets:
          - 10.10.1.253

上面的配置中，10.10.1.253 是爱快的路由器 IP 地址，10.10.1.202:9222 是 Exporter 容器的地址。

默认 Prometheus 采集到的数据是被归到 exporter 的下面，但我们 exporter 和爱快是分开的，这样会导致显示的数据来源错误。

这样配置就可以让指标数据正确从 10.10.1.202:9222 采集到，并正确显示 instance 是 10.10.1.253。

iKuai Exporter 暴露的指标是以 ikuai 开头的，采集配置成功后就可以在 Prometheus 查询到。

配置 Grafana

配置监控面板

我根据需要配置好了一个 Grafana 的面板，效果如图。

下面是我配置好的监控面板，可以导入到 Grafana 后再根据需要进行微调。

面板配置[展开] >folded

{"annotations": {"list": [{"builtIn": 1,"datasource": {"type": "grafana","uid": "-- Grafana --"},"enable": true,"hide": true,"iconColor": "rgba(0, 211, 255, 1)","name": "Annotations & Alerts","target": {"limit": 100,"matchAny": false,"tags": [],"type": "dashboard"},"type": "dashboard"}]},"description": "","editable": true,"fiscalYearStartMonth": 0,"graphTooltip": 1,"id": 1,"links": [],"liveNow": false,"panels": [{"datasource": {"type": "prometheus","uid": "dp-AfZzIz"},"fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"decimals": 0,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "percentunit"},"overrides": []},"gridPos": {"h": 5,"w": 3,"x": 0,"y": 0},"id": 2,"options": {"colorMode": "value","graphMode": "area","justifyMode": "auto","orientation": "auto","reduceOptions": {"calcs": ["lastNotNull"],"fields": "","values": false},"textMode": "auto"},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "avg(ikuai_cpu_usage_ratio{instance=\"$instance\"})","legendFormat": "__auto","range": true,"refId": "A"}],"title": "CPU Usage","type": "stat"},{"datasource": {"type": "prometheus","uid": "dp-AfZzIz"},"fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"decimals": 0,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "percentunit"},"overrides": []},"gridPos": {"h": 5,"w": 3,"x": 3,"y": 0},"id": 4,"options": {"colorMode": "value","graphMode": "area","justifyMode": "auto","orientation": "auto","reduceOptions": {"calcs": ["lastNotNull"],"fields": "","values": false},"textMode": "auto"},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "ikuai_memory_usage_bytes{instance=\"$instance\"}/ikuai_memory_size_bytes{instance=\"$instance\"}","instant": false,"legendFormat": "__auto","range": true,"refId": "A"}],"title": "Memory Usage","transformations": [],"type": "stat"},{"datasource": {"type": "prometheus","uid": "dp-AfZzIz"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null}]},"unit": "dtdhms"},"overrides": []},"gridPos": {"h": 5,"w": 2,"x": 6,"y": 0},"id": 6,"options": {"colorMode": "value","graphMode": "area","justifyMode": "auto","orientation": "auto","reduceOptions": {"calcs": ["lastNotNull"],"fields": "","values": false},"textMode": "auto"},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_uptime{id=\"host\", instance=\"$instance\"}","legendFormat": "__auto","range": true,"refId": "A"}],"title": "Uptime","type": "stat"},{"datasource": {"type": "prometheus"},"fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "celsius"},"overrides": []},"gridPos": {"h": 5,"w": 2,"x": 8,"y": 0},"id": 8,"options": {"colorMode": "value","graphMode": "area","justifyMode": "auto","orientation": "auto","reduceOptions": {"calcs": ["lastNotNull"],"fields": "","values": false},"textMode": "auto"},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_cpu_temperature{instance=\"$instance\"}\n","legendFormat": "__auto","range": true,"refId": "A"}],"title": "Temperature","type": "stat"},{"datasource": {"type": "prometheus"},"fieldConfig": {"defaults": {"color": {"mode": "palette-classic"},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]}},"overrides": []},"gridPos": {"h": 5,"w": 2,"x": 10,"y": 0},"id": 14,"options": {"colorMode": "value","graphMode": "area","justifyMode": "auto","orientation": "auto","reduceOptions": {"calcs": ["lastNotNull"],"fields": "","values": false},"textMode": "auto"},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_conn_count{id=\"host\", instance=\"$instance\"}","legendFormat": "__auto","range": true,"refId": "A"}],"title": "Connection","type": "stat"},{"datasource": {"type": "prometheus"},"fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"custom": {"align": "auto","cellOptions": {"type": "auto"},"inspect": false,"minWidth": 50},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "bytes"},"overrides": [{"matcher": {"id": "byName","options": "上传"},"properties": [{"id": "custom.width","value": 98}]},{"matcher": {"id": "byName","options": "IP"},"properties": [{"id": "custom.width","value": 104}]},{"matcher": {"id": "byName","options": "下载"},"properties": [{"id": "custom.width","value": 112}]}]},"gridPos": {"h": 5,"w": 6,"x": 12,"y": 0},"id": 17,"options": {"footer": {"countRows": false,"fields": "","reducer": ["sum"],"show": false},"frameIndex": 0,"showHeader": true,"sortBy": []},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "sort_desc(increase(ikuai_network_send_bytes{id=~\"device/.*\", instance=\"$instance\"}[$__range]) * on(id, instance) group_left(comment, ip_addr) ikuai_device_info)","format": "table","instant": true,"legendFormat": "__auto","range": false,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "increase(ikuai_network_recv_bytes{id=~\"device/.*\", instance=\"$instance\"}[$__range])","format": "table","hide": false,"instant": true,"legendFormat": "__auto","range": false,"refId": "B"}],"title": "流量统计","transformations": [{"id": "merge","options": {}},{"id": "organize","options": {"excludeByName": {"Time": true,"id": true,"instance": true,"job": true},"indexByName": {"Time": 0,"Value #A": 6,"Value #B": 7,"comment": 2,"id": 3,"instance": 4,"ip_addr": 1,"job": 5},"renameByName": {"Time": "","Value #A": "上传","Value #B": "下载","comment": "备注","id": "","instance": "","ip_addr": "IP"}}}],"type": "table"},{"datasource": {"type": "prometheus"},"fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"custom": {"align": "auto","cellOptions": {"type": "auto"},"inspect": false,"minWidth": 50},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "bytes"},"overrides": []},"gridPos": {"h": 5,"w": 6,"x": 18,"y": 0},"id": 18,"options": {"footer": {"countRows": false,"fields": "","reducer": ["sum"],"show": false},"showHeader": true},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "sort_desc((increase(ikuai_network_send_bytes{id=~\"iface/.*\", instance=\"$instance\"}[$__range]) and on(id) ikuai_uptime > 0) * on (id) group_left(interface, comment) ikuai_iface_info)","format": "table","instant": true,"legendFormat": "__auto","range": false,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "(increase(ikuai_network_recv_bytes{id=~\"iface/.*\", instance=\"$instance\"}[$__range]) and on(id) ikuai_uptime > 0)","format": "table","hide": false,"instant": true,"legendFormat": "__auto","range": false,"refId": "B"}],"title": "公网流量统计","transformations": [{"id": "merge","options": {}},{"id": "organize","options": {"excludeByName": {"Time": true,"id": true,"instance": true,"job": true},"indexByName": {"Time": 0,"Value #A": 6,"Value #B": 7,"comment": 2,"id": 3,"instance": 4,"interface": 1,"job": 5},"renameByName": {"Time": "","Value #A": "上传","Value #B": "下载","comment": "备注","id": "","instance": "","ip_addr": "IP"}}}],"type": "table"},{"datasource": {"type": "prometheus","uid": "dp-AfZzIz"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "thresholds"},"custom": {"align": "auto","cellOptions": {"type": "auto"},"inspect": false,"minWidth": 50},"decimals": 2,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null}]},"unit": "Bps"},"overrides": [{"matcher": {"id": "byName","options": "upload"},"properties": [{"id": "custom.cellOptions","value": {"type": "color-text"}}]},{"matcher": {"id": "byName","options": "download"},"properties": [{"id": "custom.cellOptions","value": {"type": "color-text"}}]},{"matcher": {"id": "byName","options": "connection"},"properties": [{"id": "unit","value": "none"},{"id": "decimals"}]},{"matcher": {"id": "byName","options": "mac"},"properties": [{"id": "custom.width"}]}]},"gridPos": {"h": 11,"w": 12,"x": 0,"y": 5},"id": 12,"options": {"footer": {"countRows": false,"fields": "","reducer": ["sum"],"show": false},"showHeader": true,"sortBy": [{"desc": true,"displayName": "upload"}]},"pluginVersion": "9.4.13","targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "sort_desc(ikuai_network_send_kbytes_per_second{id=~\"device/.*\", instance=\"$instance\"}* on (id, instance) group_left(ip_addr, hostname, comment, mac) ikuai_device_info)","format": "table","instant": true,"legendFormat": "__auto","range": false,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "ikuai_network_recv_kbytes_per_second{id=~\"device/.*\", instance=\"$instance\"} * on (id) group_left(ip_addr, hostname, comment, mac) ikuai_device_info","format": "table","hide": false,"instant": true,"legendFormat": "__auto","range": false,"refId": "B"},{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "ikuai_network_conn_count{id=~\"device/.*\", instance=\"$instance\"} * on (id) group_left ikuai_device_info","format": "table","hide": false,"instant": true,"legendFormat": "__auto","range": false,"refId": "C"}],"title": "Devices","transformations": [{"id": "merge","options": {}},{"id": "organize","options": {"excludeByName": {"Time": true,"id": true,"instance": true,"job": true},"indexByName": {"Time": 0,"Value #A": 9,"Value #B": 10,"Value #C": 8,"comment": 4,"hostname": 3,"id": 1,"instance": 5,"ip_addr": 2,"job": 7,"mac": 6},"renameByName": {"Value #A": "upload","Value #B": "download","Value #C": "connection","hostname": "","id": "","instance": "","ip_addr": "ip","job": ""}}}],"type": "table"},{"datasource": {"type": "prometheus"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "palette-classic"},"custom": {"axisCenteredZero": false,"axisColorMode": "text","axisLabel": "","axisPlacement": "auto","barAlignment": 0,"drawStyle": "line","fillOpacity": 0,"gradientMode": "none","hideFrom": {"legend": false,"tooltip": false,"viz": false},"lineInterpolation": "linear","lineWidth": 1,"pointSize": 5,"scaleDistribution": {"type": "linear"},"showPoints": "never","spanNulls": false,"stacking": {"group": "A","mode": "none"},"thresholdsStyle": {"mode": "off"}},"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "Bps"},"overrides": [{"matcher": {"id": "byName","options": "netin"},"properties": [{"id": "custom.transform","value": "negative-Y"}]}]},"gridPos": {"h": 5,"w": 12,"x": 12,"y": 5},"id": 10,"options": {"legend": {"calcs": ["max", "mean", "last"],"displayMode": "table","placement": "right","showLegend": true},"tooltip": {"mode": "single","sort": "none"}},"targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_send_kbytes_per_second{id=\"host\", instance=\"$instance\"}","legendFormat": "netout","range": true,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_recv_kbytes_per_second{id=\"host\", instance=\"$instance\"}","hide": false,"legendFormat": "netin","range": true,"refId": "B"}],"title": "Host Network IO/s","type": "timeseries"},{"datasource": {"type": "prometheus"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "palette-classic"},"custom": {"axisCenteredZero": false,"axisColorMode": "text","axisLabel": "","axisPlacement": "left","barAlignment": 0,"drawStyle": "line","fillOpacity": 0,"gradientMode": "none","hideFrom": {"legend": false,"tooltip": false,"viz": false},"lineInterpolation": "linear","lineStyle": {"fill": "solid"},"lineWidth": 1,"pointSize": 5,"scaleDistribution": {"type": "linear"},"showPoints": "never","spanNulls": false,"stacking": {"group": "A","mode": "none"},"thresholdsStyle": {"mode": "off"}},"decimals": 2,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "Bps"},"overrides": [{"matcher": {"id": "byRegexp","options": ".*netin"},"properties": [{"id": "custom.transform","value": "negative-Y"}]}]},"gridPos": {"h": 6,"w": 12,"x": 12,"y": 10},"id": 15,"options": {"legend": {"calcs": ["max", "last"],"displayMode": "table","placement": "right","showLegend": true},"tooltip": {"mode": "multi","sort": "none"}},"targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","exemplar": false,"expr": "(ikuai_network_send_kbytes_per_second{id=~\"iface/.*\"} and on(id) ikuai_uptime > 0) * on (id) group_left(interface, comment) ikuai_iface_info","instant": false,"legendFormat": "{{comment}}-netout","range": true,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "(ikuai_network_recv_kbytes_per_second{id=~\"iface/.*\"} and on(id) ikuai_uptime > 0) * on (id) group_left(interface, comment) ikuai_iface_info","hide": false,"legendFormat": "{{comment}}-netin","range": true,"refId": "B"}],"type": "timeseries"},{"datasource": {"type": "prometheus"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "palette-classic"},"custom": {"axisCenteredZero": false,"axisColorMode": "text","axisLabel": "","axisPlacement": "left","barAlignment": 0,"drawStyle": "line","fillOpacity": 0,"gradientMode": "none","hideFrom": {"legend": false,"tooltip": false,"viz": false},"lineInterpolation": "linear","lineStyle": {"fill": "solid"},"lineWidth": 1,"pointSize": 5,"scaleDistribution": {"type": "linear"},"showPoints": "never","spanNulls": true,"stacking": {"group": "A","mode": "none"},"thresholdsStyle": {"mode": "off"}},"decimals": 2,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null}]},"unit": "Bps"},"overrides": [{"matcher": {"id": "byRegexp","options": ".*recv"},"properties": [{"id": "custom.transform","value": "negative-Y"}]}]},"gridPos": {"h": 8,"w": 13,"x": 0,"y": 16},"id": 13,"options": {"legend": {"calcs": ["max", "lastNotNull"],"displayMode": "table","placement": "right","showLegend": true,"sortBy": "Last *","sortDesc": true},"tooltip": {"mode": "single","sort": "desc"}},"targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_send_kbytes_per_second{id=~\"device/.*\", instance=\"$instance\"} * on (id) group_left(ip_addr, comment) ikuai_device_info","legendFormat": "{{ip_addr}}-{{comment}}-send","range": true,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_recv_kbytes_per_second{id=~\"device/.*\", instance=\"$instance\"} * on (id) group_left(ip_addr, comment) ikuai_device_info","hide": false,"legendFormat": "{{ip_addr}}-{{comment}}-recv","range": true,"refId": "B"}],"title": "Device Network IO/s","type": "timeseries"},{"datasource": {"type": "prometheus"},"description": "","fieldConfig": {"defaults": {"color": {"mode": "palette-classic"},"custom": {"axisCenteredZero": false,"axisColorMode": "text","axisLabel": "","axisPlacement": "left","barAlignment": 0,"drawStyle": "line","fillOpacity": 0,"gradientMode": "none","hideFrom": {"legend": false,"tooltip": false,"viz": false},"lineInterpolation": "linear","lineStyle": {"fill": "solid"},"lineWidth": 1,"pointSize": 5,"scaleDistribution": {"type": "linear"},"showPoints": "never","spanNulls": false,"stacking": {"group": "A","mode": "none"},"thresholdsStyle": {"mode": "off"}},"decimals": 2,"mappings": [],"thresholds": {"mode": "absolute","steps": [{"color": "green","value": null},{"color": "red","value": 80}]},"unit": "Bps"},"overrides": [{"matcher": {"id": "byRegexp","options": ".*recv"},"properties": [{"id": "custom.transform","value": "negative-Y"}]}]},"gridPos": {"h": 8,"w": 11,"x": 13,"y": 16},"id": 11,"options": {"legend": {"calcs": ["max", "mean", "last"],"displayMode": "table","placement": "right","showLegend": true},"tooltip": {"mode": "multi","sort": "none"}},"targets": [{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_send_kbytes_per_second{id=~\"iface/.*\", instance=\"$instance\"} * on (id) group_left(interface, comment) ikuai_iface_info","legendFormat": "{{interface}}-{{comment}}-send","range": true,"refId": "A"},{"datasource": {"type": "prometheus"},"editorMode": "code","expr": "ikuai_network_recv_kbytes_per_second{id=~\"iface/.*\", instance=\"$instance\"} * on (id) group_left(interface, comment) ikuai_iface_info","hide": false,"legendFormat": "{{interface}}-{{comment}}-recv","range": true,"refId": "B"}],"title": "Interface Network IO/s","type": "timeseries"}],"refresh": "5s","revision": 1,"schemaVersion": 38,"style": "dark","tags": [],"templating": {"list": [{"current": {"selected": false,"text": "10.0.1.253","value": "10.0.1.253"},"datasource": {"type": "prometheus","uid": "dp-AfZzIz"},"definition": "label_values(ikuai_version, instance)","hide": 0,"includeAll": false,"multi": false,"name": "instance","options": [],"query": {"query": "label_values(ikuai_version, instance)","refId": "StandardVariableQuery"},"refresh": 1,"regex": "","skipUrlSync": false,"sort": 0,"type": "query"}]},"time": {"from": "now-6h","to": "now"},"timepicker": {},"timezone": "","title": "爱快网关监控","uid": "IhtQfGZ4k","version": 4,"weekStart": ""}

告警配置

这里以创建公网出口监控告警为例。创建 A，B 两个表达式。A 是查询语句，B 是判断语句。

A 的 Example Range 配置为 now-10m to now，Query 为：

1	absent(ikuai_iface_info{id="iface/adslct", internet="PPPOE"}) OR on() vector(0)

Options 设置 type 为 Instant。

B 设置操作为 Math, Expression 为 $A == 1。

接着 Alert Condition 选择 B-expression。既使用 B 的结果作为告警的条件。

Alert evaluation behavior 配置为 1m for 5m。意思为每 1 分钟计算一次，持续 5 分钟就告警。

Add details for your alert 配置 Summary 为

Summary

1	公网出口 {{ $labels.id }} 下线超过 5 分钟！

其它内容根据自己需要配置，配置完上面说明的保存后就可以生效了，最终效果如下：

Grafana 集成的 Alerts 告警城功能基本和 Alertmanager 是一样的，如果熟悉 Alertmanager 的话配置起来会更得心应手。

修订历史

2023-09-28：修复 Grafana 面板多实例兼容问题。Issued by @scoryyi
2023-08-30：告警设置里 Options 参数补充说明。
2023-08-26：修复导入面板后数据源错误问题。Issued by @kun
2023-04-27：exporter 启动命令错误。Issued by @cybertech

使用 JWT 实现会话认证

2022-11-13T16:00:55.000Z

基于 JWT 来实现 Token 认证很简单，相对复杂的签名认证算法都已经封装到工具包里，使用起来很容易。

而真正造成 JWT 的应用困难其实是在适应业务上，并不是所有业务都适合原生的 JWT 特性。我们很多时候选型使用 JWT 看重的是其无状态和校验方便的优点，但在实际的业务场景中经常是要 Revoke 功能的。

如果要实现 Token 的 Revoke 那 Token 会变成有状态，这让人使用起来非常纠结。我都有状态了为啥还要用 JWT？直接生成一个 ID 存 Redis 不更简单？直接用 Redis 缓存有效性来控制 Token 的有效性，失效删除就好了。

最终选择使用 JWT 作为 Token 主要是基于以下考虑：

JWT 实现完善，有丰富的开发工具包；
不需要自己再设计一套 Token 结构和校验算法；
可以利用 JWT 进行前置验证（JWT 正确性、是否超时失效），避免每次都查询缓存；
JWT 可以基于 Payload 存储数据，使用很灵活，可以提供保存一些数据在 Token 中避免查询；
JWT 签名方法很丰富，能满足以后演进的需要，能实现一处签发，多处验证。

功能点

使用 JWT 作为认证 Token 应该需要满足我们以下几个需求（部分需求为我当前业务需要的功能，在其它系统中并不常见）。

Token 包含用户基本信息

包含用户的基本信息保证了登录认证时，系统可以通过 Token 携带的信息确定用户的身份。JWT 的 Payload 中可以携带信息，我们可以把用户的 uid 等信息存储在 payload 中。

防止篡改

非法用户不能通过伪造或修改 Payload 的方式，篡改 Token 代表的实例。JWT 基于签名实现的校验，如果内容被篡改，签名校验无法通过，所以可以有效防止篡改。

支持不同有效期

我正在开发的系统需要两种类型的 Token，一种是短期 Token，用户使用 API 可以生成；一种是长期 Token，由管理员通过管理系统生成。

JWT 在生成时支持指定签名有效期，可以生成需要的 Token。

长期 Token 需要支持 Revoke

JWT 通常都是无状态的，因为 JWT 一般都只生成短期 Token，有效期也只是几个小时。就算 Token 泄漏也只是影响短暂的时间，过期后就自动失效，所以也不会有 Revoke 的需求。

这是 JWT 的一个优点，无需专门的维护和存储 Token。但在里需要生成长期 Token，生成后如果无状态将无法保证安全，被盗用后的不能失效会产生持续的安全风险。

为了实现 Revoke，很显然需要对 Token 进行持久化操作。可以将 Token 按照有效期不同进行区分：

短期 Token：无状态管理，仅能通过 API 生成，不支持 Revoke；
长期 Token：有状态管理，由管理员在管理后台生成，生成时写表保存，通过 Redis 缓存 Token 数据，支持 Revoke。

当对长期 Token 进行 Revoke 操作时，同步修改表数据和 Token 缓存中的 Token 状态，实时失效。

Token 在校验时，分为以下步骤：

先校验 JWT 签名
根据 Token 失效时间，如果是长期 Token，查询缓存是否实效。

实现

JWT 相关实现依赖于第三方的 Golang 包 github.com/golang-jwt/jwt/v4，通过以下方式获取：

1	go get github.com/golang-jwt/jwt/v4

首先实现 JWT 的 Payload 结构，用来存储我们的 Payload 数据。Payload 在这个包中叫作 Claims，是一个接口。

type Token struct {
jwt.RegisteredClaims

Sub     string `json:"sub"`      // User Name
Uid     uint64 `json:"uid"`      // App Id
TokenId uint64 `json:"token_id"` // Token Id，用于唯一标识 Token
}

在 Payload 中除了用户的信息，还包括了 Token Id，用于方便标识 Token。可以快速定位到 Token 的缓存信息，方便查询有效性。

jwt.RegisteredClaims 是 JWT 包中的结构本，该结构体实现了 Claims 接口，通过引入这个结构体可以让 jwt 在解析的时候自动把 Payload 的数据写到我们的字段中。

校验

方法实现如下：

func (j *JwtChecker) Verify(token string) (*ptoken.Token, error) {
tokenObj, err := jwt.ParseWithClaims(token, &ptoken.Token{}, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
}

return []byte(j.secret), nil
}, jwt.WithJSONNumber())

if err != nil {
return nil, err
}

if claims, ok := tokenObj.Claims.(*ptoken.Token); ok && tokenObj.Valid {
return claims, nil
}

return nil, fmt.Errorf("invalid token: %v", token)
}

方法首先通过 Keyfunc 校验签名方法是否 HMAC
如果 ParseWithClaims 没错误，那么 Token 正确解析
判断 Token 是否有效并进行类型转换

长期 Token 判断

从解析好的 Token 对象中可以直接获取到 Token 的失效时间。

func (t *Token) IsLongToken() bool {
return IsTimeLongToken(t.ExpiresAt.Time)
}

func IsTimeLongToken(expireTime time.Time) bool {
now := time.Now()
return expireTime.After(now.Add(DefaultShortTermTokenPeriod))
}

如果 Token 是长期 Token，我们可以去缓存中查询 token 是否有效。

生成 Token

生成 Token 很简单，只需要依次调用 NewWithClaims 和 SignedString 就能生成签名后的 Token，这里使用 HmacSHA256 的签名算法。

func DoGenerateToken(token *Token, secret string, expire time.Duration) (*TokenHolder, error) {
now := time.Now()
token.IssuedAt = jwt.NewNumericDate(now)
token.ExpiresAt = jwt.NewNumericDate(now.Add(expire))

jwtToken := jwt.NewWithClaims(jwt.SigningMethodHS256, token)
signed, err := jwtToken.SignedString([]byte(secret))
if err != nil {
return nil, err
}

return &TokenHolder{
Token:    token,
JwtToken: signed,
}, nil
}

Token 的失效时间需要在签名前手动设置到 ExpiresAt 字段，并不是以某个参数的方式提供的。

总结

本文介绍的和一般 JWT 用法并无多少区别，JWT 大家也都是这样用的。而对于需要 Revoke 这个功能，我这里是使用有效时间，将其区分成两种情况。

对于短期 Token，使用的还是 JWT 常规方法；对于长期 Token 则进行持久化，并对 Token 的信息进行多级缓存。

在我们的使用场景中，长期 Token 是非常少的，而长期 Token 的 Revoke 就更少了，所以查询持久化的 Token 信息并不会很多。

如果未来有演进需要，大量使用长期 Token，也可以将 Token 信息缓存调整成为 Revoke 黑名单列表的方式。只对 Revoke 的 Token 进行记录和查询，毕竟 Revoke 的数据终究还是少数。

iMoe Tech

Kubernetes Operator 版本化

Kubernetes 中 CRD 的版本化

理解存储版本（Stored Version）

转换 API 的请求响应结构

简化转换方法数量

Operator 版本迭代

修改 manifest 配置

启用 webhook

启用 cert-manager

部署测试

旧数据的迁移

为什么要迁移

迁移方法

使用 Storage Version Migrator 工具

手动迁移

总结

引用

Kubernetes Operator 初体验

Operator Framework

工作流程

开发一个程序

环境准备

创建项目

创建 API

调整 API

增加业务逻辑

Reconcile 方法

Reconcile 方法是什么？

Reconcile 方法什么时候被调用？

业务逻辑

获取自定义资源

维护 Deployment 和 Service

运行

优化

问题一

更好的方法

问题二

Operator 里的资源

总结

引用

深入学习 Deployment 实现

Controller 实例的构造

queue 组件

主流程

扩缩容和暂停

scaling 状态

获取所有 ReplicaSet

活跃 ReplicaSet

scale 方法

新旧 ReplicaSet 扩缩容

回滚

更新

滚动更新

替换更新

不更新情况

滚动更新

替换更新

引申

实现 Deployment 重启

总结

引用

Kubernetes 代码中的 UpgradeAwareHandler

源码

请求处理

请求升级

总结

引用

Kubernetes 集群的大脑 Controller Manager

高可用

启动

启动 Controller

总结

删除 PVE 中已失效的存储

PVE Mount

删除存储

引用

联芸 1602 主控的国产固态在 PVE 中的识别问题

诡异的硬盘冲突

冲突的原因

`Reconcile` 方法是什么？

`Reconcile` 方法什么时候被调用？

`scaling` 状态

获取所有 `ReplicaSet`

活跃 `ReplicaSet`

新旧 `ReplicaSet` 扩缩容