Kubernetes核心组件

原创 已于 2026-05-20 09:45:00 修改 · 447 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#kubernetes #容器 #云原生
于 2026-03-05 10:57:20 首次发布

Kubernetes 集群节点组件架构图

网络与存储插件

Worker/数据平面节点

Master/Control Plane 节点

节点通用组件

节点通用组件

控制平面核心组件

所有kubelet注册
并上报心跳

所有kubelet注册
并上报心跳

服务发现与
负载均衡

服务发现与
负载均衡

配置网络规则
iptables/ipvs

配置网络规则
iptables/ipvs

管理容器
上报状态

管理容器
上报状态

控制平面核心

运行Pod

运行Pod

Worker节点运行的Pod

用户应用Pod
Web/DB

DaemonSet Pod
日志/监控

Job/CronJob Pod
批处理

StatefulSet Pod
MySQL集群

Master节点运行的Pod

kube-apiserver Pod

kube-scheduler Pod

kube-controller-mgr Pod

etcd Pod

网络插件Pod
Calico/Flannel

CoreDNS Pod

Kubernetes 集群架构

kube-apiserver
集群统一入口/REST API

etcd
分布式键值存储

kube-scheduler
Pod调度器

kube-controller-manager
控制器管理器

cloud-controller-manager
云厂商集成

kubelet
节点代理

kube-proxy
网络代理

容器运行时
containerd/CRI-O

kubelet
节点代理

kube-proxy
网络代理

容器运行时
containerd/CRI-O

CNI网络插件
Pod网络

CSI存储插件
持久化存储

架构图说明

区块结构

  1. Master节点区块(蓝色边框)
  • 控制平面核心组件(蓝色填充):仅Master节点特有的组件
  • 节点通用组件(绿色填充):所有节点都有的组件
  • Master节点运行的Pod(橙色填充):在Master节点上运行的系统Pod
  1. Worker节点区块(无特殊边框)
  • 节点通用组件(绿色填充):所有节点都有的组件
  • Worker节点运行的Pod(橙色填充):在Worker节点上运行的应用Pod
  1. 网络与存储插件区块(紫色边框)
  • CNI网络插件:提供Pod网络通信
  • CSI存储插件:提供持久化存储

组件分类

颜色组件类型说明
蓝色控制平面组件仅Master节点运行,集群管理核心
绿色节点通用组件所有节点都运行,基础功能组件
橙色Pod实例容器化运行的组件或应用
紫色集群插件扩展功能,网络和存储

关键通信路径

  1. kube-apiserver → kubelet:所有节点的kubelet向API Server注册并上报状态
  2. kube-apiserver → kube-proxy:所有节点的kube-proxy从API Server获取Service信息
  3. kubelet → 容器运行时:kubelet通过容器运行时管理容器生命周期
  4. kube-proxy → CNI插件:kube-proxy配置网络规则实现Service网络

组件详细说明表

Master 节点特有组件(控制平面)

组件作用关键特性
kube-apiserver集群统一入口,REST API 服务认证/授权/准入控制,水平扩展
etcd分布式键值存储,集群状态存储高可用,Raft 共识算法
kube-schedulerPod 调度决策,选择运行节点资源评估,亲和性策略
kube-controller-manager运行各种控制器,维持期望状态Node/Deployment/Service 等控制器
cloud-controller-manager与云平台 API 交互节点管理,负载均衡器,存储卷

所有节点共有组件

组件在 Master 节点的作用在 Worker 节点的作用
kubelet运行控制平面 Pod,节点状态上报运行用户 Pod,节点状态上报
kube-proxy为控制平面组件提供网络访问为用户 Pod 提供网络访问
容器运行时运行控制平面容器运行用户应用容器

Master 节点上的典型 Pod

Pod 类型示例作用
控制平面kube-apiserver, kube-scheduler集群控制功能
网络插件Calico, Flannel, Cilium提供 Pod 网络
DNSCoreDNS集群内服务发现
监控Prometheus, Grafana监控集群状态
日志EFK Stack日志收集

Worker 节点上的典型 Pod

Pod 类型示例特点
用户应用Web 服务器,数据库业务应用
DaemonSet日志代理,监控代理每个节点运行一个
Job/CronJob批处理任务,定时任务一次性或定时运行
StatefulSetMySQL 集群,Redis 集群有状态应用

节点间通信流程

Worker 节点 2

Worker 节点 1

Master 节点

1. kubectl apply

2. 存储状态

3. 通知调度器

4. 选择节点

5. 更新状态

6. 通知目标节点kubelet

7. 拉取镜像运行容器

8. 状态上报

9. 存储状态

10. 监听状态变化

11. 获取期望状态

12. 维护网络规则

13. 同步网络规则

用户/客户端
(kubectl/API)

kube-apiserver
(API 网关)

kube-scheduler
(调度器)

kube-controller-mgr
(控制器)

etcd
(状态存储)

kubelet
(Master)

kube-proxy
(Master)

kubelet
(Worker1)

kube-proxy
(Worker1)

容器运行时
运行用户Pod

kubelet
(Worker2)

kube-proxy
(Worker2)

容器运行时
运行用户Pod

关键要点总结

架构设计理念

  1. 分离关注点:控制平面与数据平面分离
  2. 对称性:所有节点运行相同的基础组件(kubelet、kube-proxy)
  3. 自托管:控制平面组件自身也作为 Pod 运行
  4. 声明式 API:通过 etcd 存储期望状态

为什么 Master 也需要 kubelet 和 kube-proxy?

  1. 运行控制平面 Pod:API Server、Scheduler 等也以容器形式运行
  2. 统一网络模型:所有节点都能访问 Service 网络
  3. 简化运维:一致的节点配置和管理方式
  4. 高可用部署:多个 Master 节点对等部署

实际部署注意事项

  1. 污点与容忍度:Master 默认有 NoSchedule 污点
  2. 资源预留:Master 节点需要预留资源给系统组件
  3. 安全加固:限制对 Master 节点的访问
  4. 备份 etcd:定期备份 etcd 数据

扩展组件(可选)

  • CNI 插件:Calico、Flannel、Cilium(网络)
  • CSI 插件:存储提供商插件(存储)
  • Ingress 控制器:Nginx、Traefik(入口流量)
  • 服务网格:Istio、Linkerd(微服务治理)

通过这种架构,Kubernetes 实现了:

  • 高可用性:多 Master 节点部署
  • 可扩展性:可添加更多 Worker 节点
  • 自修复能力:控制器保持期望状态
  • 声明式管理:用户声明期望状态,系统实现

参考文献:from Deepseek.

K8S:Kubernetes核心组件
一两风的博客
10-31 1383
Kubernetes是为运行分布式集群而建立的,分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分,了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。
云原生之k8s】kubernetes核心组件
m0_71521555的博客
10-31 324
kubernetes核心组件
[云原生之k8s] Kubernetes核心组件
qq_57377057的博客
10-31 1469
无状态服务:就是没有特殊状态的服务,各个请求对于服务器来说统一无差别处理,请求自身携带了所有服务端所需要的所有参数(服务端自身不存储跟请求相关的任何数据,不包括数据库存储信息)。有状态服务:与之相反,有状态服务在服务端保留之前请求的信息,用以处理当前请求,比如session等。简单版有状态:需要持久化,多次请求之间需要共享一些信息无状态:一次性,不需要持久化的特殊状态,每次请求都是一条新的数据。
云原生 AI 模型供应链安全:SLSA、Sigstore 签名与 K8s 准入治理实践
我的博客
06-16 199
AI 模型供应链安全正在经历传统软件供应链 2017-2021 年的完整演化轨迹——从安全意识的觉醒,到标准化工具的建立,再到云原生基础设施的深度集成。威胁面:AI 模型供应链的攻击面远超传统软件——Pickle 反序列化可导致远程代码执行、模型"脑叶切除"可绕过安全对齐、LoRA 适配器劫持可在推理阶段激活、命名空间劫持可静默替换被广泛引用的模型。OWASP LLM03:2025 将其列为第三大 LLM 安全风险,拆解出 13 种具体攻击场景。签名基础设施。
第十四篇:《K8s 网络模型与 CNI 插件(Calico、Flannel、Cilium)》
qq_45239623的博客
06-16 443
Kubernetes 对网络的基本要求是:每个 Pod 拥有独立的 IP,且 Pod 之间无需 NAT 直接通信。本文介绍 K8s 网络模型的核心原则,对比三种主流 CNI 插件:Flannel(简单易用)、Calico(支持网络策略)、Cilium(高性能 eBPF),并演示如何安装和配置 NetworkPolicy 实现微隔离。Calico 使用 BGP 路由协议(或 VXLAN)实现 Pod 通信,并原生支持 Kubernetes NetworkPolicy,是目前生产环境最常用的 CNI 之一。
K8s 监控实战:victoria-metrics-k8s-stack 高可用部署,资源占用直降 70%,比 Prometheus 省 5 倍磁盘
lwxvgdv的博客
06-14 328
本文介绍了在Kubernetes集群中部署VictoriaMetrics高可用监控栈的实践指南。相比传统Prometheus方案,VictoriaMetrics具有更低资源占用(内存仅为1/3-1/7)、更高存储效率(磁盘占用低5-10倍)和原生集群模式等优势。文章详细提供了基于Helm的部署配置,包括vmcluster高可用架构(3副本vmstorage)、14天数据保留策略、vmagent采集配置等,并展示了Grafana可视化监控和NodePort访问方式。该方案特别适合中小企业K8s监控场景,能有效
DNS协议指南:从报文格式到安全加密与 K8s 实战
Pierreze的博客
06-14 411
从 DNS 报文字节级拆解到迭代/递归解析全流程,从 dig 高级用法到 DoH/DoT/DoQ 加密方案,从 DNSSEC 信任链到 K8s CoreDNS 服务发现
k8s1.36部署helm和storageclass
lwxvgdv的博客
06-14 62
本文介绍了在Kubernetes集群中使用Helm部署NFS存储类(StorageClass)的完整流程。首先列出了包含4个节点(master01、node1、node2、nfs服务器)的集群配置信息,包括IP、主机名、CPU和内存规格。随后详细说明了在NFS服务器上配置存储的步骤:创建GPT分区、格式化XFS文件系统、设置自动挂载。最后通过Helm命令部署nfs-subdir-external-provisioner,配置NFS服务器地址、共享路径,并设置默认存储类。整个过程包含镜像仓库替换为阿里云源以加
深入kube-apiserver鉴权机制:从RBAC到Node的4种鉴权模式全解析
java_cj的专栏
06-17 316
本文深入解析Kubernetes鉴权机制,从认证与鉴权的区别入手,详细介绍了K8s的4种鉴权模式(Node/RBAC/ABAC/Webhook)及其适用场景。通过分析kube-apiserver源码中的Authorizer接口、鉴权决策类型和Union鉴权模式,揭示了鉴权执行的底层逻辑:按顺序执行多个鉴权器,只要有一个明确决策(允许或拒绝)就立即返回,否则默认拒绝。文章最后指出了与认证流程的关键区别,并强调鉴权顺序的重要性,为K8s权限管理提供了深入的技术洞察。
K8S存储管理
Breeze的博客
06-17 297
本章概述K8S存储管理按照发展的历程,涉及到有Volume、PV/PVC、StorageClass,Volume是最早提出的存储卷,主要解决容器和数据存储的依赖关系,抽象底层驱动以及支持不同的存储类型,使用Volume需要了解底层存储细节,因此提出了PV,Persistent Volume是由k8s管理员定义的存储单元,应用端使用PersistentVolumeClaims声明去调用PV存储,进一步抽象了底层存储;
如何在不影响业务的情况下对K8S集群升级
weixin_42795092的博客
06-13 372
版本不跨跳:逐小版本升级,降低兼容风险;必备份 + 预演:测试环境跑通再上生产;滚动分批:单节点操作,利用 K8s 调度实现业务无感;流程合规:走 ITIL 变更,窗口值守,留痕归档;兜底方案:原地升级配版本回滚,重大升级优先蓝绿迁移。
从0到1启动kube-apiserver:深入源码解析API Server启动全流程
java_cj的专栏
06-16 375
本文深入分析了Kubernetes核心组件kube-apiserver的启动流程。首先介绍了kube-apiserver作为集群"大脑"的重要地位,承担API网关、认证鉴权、准入控制等核心职责。随后通过源码剖析了启动的三个关键阶段:1)准备阶段(参数解析、配置补全与校验);2)创建阶段(构建由KubeAPIServer、APIExtensionsServer和AggregatorServer组成的服务链);3)运行阶段(启动HTTP服务并阻塞等待)。特别强调了kube-apiserver内部的三层服务架构设
K8S基础-控制器&deploy&pod回滚更新&service
2401_87348491的博客
06-15 267
Deployment通过控制管理Replicaset,Replicaset管理Pod,来实现对pod的管理Deploy主要功能有以下几个:支持ReplicaSe的所有功能、副本支持发布的停止、继续支持滚动升级和回滚版本apiVersion: apps/v1 # 版本号kind: Deployment # 类型metadata: # 元数据name: # rs名称namespace: # 所属命名空间labels: #标签spec: # 详情描述replicas: 3 # 副本数量。
K8s灾备利器:Velero部署与备份还原演示
专注Linux运维与云原生技术分享。这里是我的技术成长基地,记录从Linux基础命令到Shell脚本,再到Docker、K8s实战的点滴积累。坚持输出干货笔记,希望能帮你避坑排雷,共同在云原生时代进阶!
06-16 599
Velero是Kubernetes集群备份、恢复及迁移的开源利器。本文实战演示了基于MinIO对象存储部署Velero的完整流程,涵盖客户端安装、服务端配置及test命名空间的备份与误删恢复验证,助您快速掌握K8s数据保护核心工作流。
**国内阿里云环境**ubuntu22安装k8s1.32
yuezhilangniao的博客
06-14 274
摘要: 本文详细介绍了在国内阿里云环境下,使用Ubuntu 22.04安装Kubernetes 1.32的步骤,区分了无GPU的VMware虚拟机和有GPU(P100)的物理服务器环境。主要包括:1)系统源配置(阿里云官方源),包含内核优化和初始化脚本;2)Ubuntu和CentOS/Rocky Linux的apt/yum源配置;3)安装并配置containerd;4)直接从阿里云和quay.io拉取Kubernetes核心组件、KubeVirt和CDI镜像。所有操作均直接使用官方仓库,未使用代理或加速器。
Kubernetes】K8s集群的node节点因为证书过期导致的notReady问题处理
最新发布
cnskylee的博客
06-17 61
Kubernetes集群节点因证书过期更新后出现NotReady状态,通过重新生成join命令并执行节点重连时遇到两类错误:1)配置文件/端口冲突问题,通过重命名旧证书文件、停止kubelet服务解决;2)节点权限问题,使用kubeadm reset清理节点配置后成功重连。最终所有节点状态恢复Ready,集群恢复正常。关键步骤包括处理预检错误、重置节点配置和重新加入集群。
k8s的控制平面是什么,有什么作用
u012534547的博客
06-13 273
负责整个集群的调度、管控、状态维护;与之对应的是,也就是真正跑业务容器的「干活节点」。。
K8s 调度策略深潜:从 Predicates 到 Score 的决策链路解析
m0_50889382的博客
06-17 273
import ("context""fmt""math"const (// PluginName 插件名称// 高碎片率阈值// NodeResourceFragmentationPlugin 基于资源碎片率的调度插件// 核心思路:优先选择调度后碎片率最低的节点,减少资源浪费// New 初始化插件}, nil// Name 返回插件名称// Score 计算节点得分:碎片率越低得分越高// 获取节点信息if err!= nil {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值