笔记摘自视频章节:第四章-p19
主题
描述pod的声明周期中的多个容器的概念,并详细阐述init C
笔记
- init C:init container权限很高,需要全部结果后,MainC 才能开始。
- main C:
- liveness: 存活检查
- readiness: 就绪检查
- start: 启动动作
- stop: 停止动作
init C
举例来说,可以用init C来控制pod内多个容器的启动依赖检查,
Pod能够具有多个容器,应用运行在容器里面,但是它也可能有一个或多个先于应用容器启动的Init容器 Init容器与普通的容器非常像,除了如下两点:
- Init容器总是运行到成功完成为止。每个Init容器都必须在下一个Init容器启动之前成功完成
- 如果Pod的Init容器失败, Kubernetes会不断地重启该Pod,直到Init容器成功为止。然而, 如果Pod对应的restartPolicy为Never,它不会重新启动
因为Init容器具有与应用程序容器分离的单独镜像,所以它们的启动相关代码具有如下优势: 它们可以包含并运行实用工具,但是出于安全考虑,是不建议在应用程序容器镜像中包含这些实用工具的 Init C它们能够具有访问Secret的权限,而应用程序容器则不能。 它们必须在应用程序容器启动之前运行完成,而应用程序容器是并行运行的,所以Init容器能够提供了一种简单的阻塞或延迟应用容器的启动的方法,直到满足了一组先决条件。
因为Init容器具有与应用程序容器分离的单独镜像,所以它们的启动相关代码具有如下优势:
- 运行时向main C传输文件:它们可以包含并运行实用工具,但是出于安全考虑,是不建议在应用程序容器镜像中包含这些实用工具的
- 冗余性:它们可以包含使用工具和定制化代码来安装,但是不能出现在应用程序镜像中。例如,创建镜像没必要FROM另一个镜像,只需要在安装过程中使用类似sed, awk, python或 dig这样的工具。
- 分离处理:应用程序镜像可以分离出创建和部署的角色,而没有必要联合它们构建一个单独的镜像。
- 访问权限更大,隔离+安全:Init容器使用Linux Namespace,所以相对应用程序容器来说具有不同的文件系统视图。因此,它们能够具有访问Secret的权限,而应用程序容器则不能。
- 提供阻塞能力:它们必须在应用程序容器启动之前运行完成,而应用程序容器是并行运行的,所以Init容器能够提供了一种简单的阻塞或延迟应用容器的启动的方法,直到满足了一组先决条件。
特殊说明
- 在Pod启动过程中, Init容器会按顺序在网络和数据卷初始化之后启动(即在pause完成后启动)。每个容器必须在下一个容器启动之前成功退出
- 如果由于运行时或失败退出,将导致容器启动失败,它会根据Pod的restartPolicy指定的策略进行重试。然而,如果Pod的restartPolicy设置为Always, Init容器失败时会使用RestartPolicy策略
- 在所有的Init容器没有成功之前,Pod将不公变成Ready状态。Init容器的端口将不公在 Service中进行聚集。正在初始化中的Pod处于Pending状态,但应该会将Initializing状 态设置为true
- init幂等:如果Pod重启,所有Init容器必须重新执行
- 对Init容器spec的修改被限制在容器image字段,修改其他字段都不会生效。更改Init容器的image字段,等价于重启该Pod
- Init 容器具有应用容器的所有字段。除了readinessProbe,因为Init 容器无法定义不同于完成(completion)的就绪(radiness)之外的其他状态。这会在验证过程中强制执行
- 在Pod中的每个app和Init容器的名称必须唯一;与任何其它容器共享同一个名称,会在验证时抛出错误
