k8s,作为目前最流行的容器编排中间件,大家应该都听说过,很多公司也都在用,但基本都是运维在管理k8s,开发人员一般涉及不到,开发人员只需要写业务代码,然后运维人员负责制作镜像,然后用k8s拉取镜像,启动容器,对外提供服务,这一套,现在都是自动化的,但是我觉着作为业务研发,也应该要清楚这一套流程的实现机制,这样在出问题的时候,可以多一些排查的思路,而不是只能干等着运维同事排查。
接下来,我就以一个python项目的启动过程举例,来看一下一个python项目是如何在k8s中部署起来的。
(1)、第一步,编写python的业务代码
(2)、第二步,使用预先写好的Dockerfile文件制作docker镜像,镜像中会包含执行python文件的命令定义
(3)、第三步,将docker镜像推到本地的镜像仓库,比如:docker提供的registry或者VMvare提供的harbor,后者是对registry的扩展,添加了很多企业级功能,目前大部分企业一般都用后者来管理镜像
(4)、第四步,编写k8s的的yaml文件,yaml文件中会指定从企业的镜像仓库拉取镜像,然后以此创建pod,对外提供服务
以上就是将一个python项目容器化启动的流程,下面我们具体操作一下。
先看一下目录
文章目录
- 1、编写python的业务代码
- 2、编写Dockerfile文件,制作docker镜像
- 2.1、编写Dockerfile文件
- 2.2、制作docker镜像
- 3、将docker镜像推送到本地registry镜像仓库
- 3.1、启动一个带认证功能的registry
- 3.1.1、创建加密的用户名和密码文件
- 3.1.2、启动带认证功能的registry
- 3.1.3、验证认证功能
- 3.2、推送docker镜像
- 4、编写k8s的yaml文件
- 4.1、创建kubenetes secret
- 4.2、编写yaml文件
- 5、根据yaml文件,创建pod
1、编写python的业务代码
这部分业务代码,参考了极客时间的<深入剖析kubernetes>专栏课。
这段python代码很简单,就是从环境变量里读取NAME的值,打印在hello后面,如果获取不到,就将world打印在hello后面。
from flask import Flask
import socket
import osapp = Flask(__name__)@app.route('/')
def hello():html = "<h3>Hello {name}!</h3>" \"<b>Hostname:</b> {hostname}<br/>"return html.format(name=os.getenv("NAME", "world"), hostname=socket.gethostname())if __name__ == "__main__":app.run(host='0.0.0.0', port=80)
代码里,引用了flask框架来发布web服务,我们使用requirements.txt来声明我们引用的包,requirements.txt文件在python代码的同级目录下。
app.py requirements.txt
2、编写Dockerfile文件,制作docker镜像
2.1、编写Dockerfile文件
这个Dockerfile文件,也是参考极客时间的<深入剖析kubernetes>专栏课,每一行代码都是一个Dockerfile的命令原语。这些原语具体的含义,都做了注释
# 使用官方提供的Python开发镜像作为基础镜像,我们制作出来的镜像,就会包含python的基础开发环境
FROM python:2.7-slim# 将工作目录切换为/app,类似于一个cd /app命令
WORKDIR /app# 将当前目录下的所有内容复制到/app下
ADD . /app# 使用pip命令安装这个python应用所需要的依赖
RUN pip install --trusted-host pypi.python.org -r requirements.txt# 允许外界访问容器的80端口
EXPOSE 80# 设置环境变量
ENV NAME=World# 设置容器进程为:python app.py,即:这个Python应用的启动命令
CMD ["python", "app.py"]
2.2、制作docker镜像
docker build -t py_container .
-t意思是给这个镜像起一个名字,创建成功的话,使用docker image ls可以查看我们创建的这个镜像
3、将docker镜像推送到本地registry镜像仓库
3.1、启动一个带认证功能的registry
3.1.1、创建加密的用户名和密码文件
# 安装工具,Ubuntu系统
apt-get install -y apache2-utils# 创建认证文件(用户:admin,密码:123456)
mkdir -p /opt/registry/auth
htpasswd -Bbn admin 123456 > /opt/registry/auth/htpasswd
3.1.2、启动带认证功能的registry
docker run -d -p 5000:5000 \--name registry \-v /opt/registry/auth:/auth \-e "REGISTRY_AUTH=htpasswd" \-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \-e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd" \-v /opt/registry/data:/var/lib/registry \--restart always \registry:2
3.1.3、验证认证功能
我们访问一下我们此前推送到registry的镜像列表
root@1121-67dff6765fc00 # curl http://localhost:5000/v2/_catalog
{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]}
可以看到,认证失败。此时我们加上此前设置的用户名密码,就可以访问registry成功
root@1121-67dff6765fc00 # curl -u admin:123456 http://localhost:5000/v2/_catalog
{"repositories":["py-container"]}
3.2、推送docker镜像
#将我们此前制作的镜像打上一个tag
docker tag cf756704a3dc localhost:5000/py-container:0.0.1
#将打好tag的镜像推送到仓库
docker push localhost:5000/py-container:0.0.1
4、编写k8s的yaml文件
4.1、创建kubenetes secret
我们需要将这个regcred配置到yaml中,然后kubenetes就可以访问到需要认证才可以访问的本地registry
kubectl create secret docker-registry regcred \--docker-server=localhost:5000 \--docker-username=admin \--docker-password=123456
4.2、编写yaml文件
这个yaml文件很简单,就是创建了一个名为py-container-deployment的deployment,这个deployment管理了2个pod,pod的镜像从本地registry中拉取。yaml文件的末尾,我们增加了imagePullSecrets来引用此前创建的kubenetes secret,以此可以访问需要加密访问的registry
apiVersion: apps/v1
kind: Deployment
metadata:name: py-container-deployment
spec:selector:matchLabels:app: py-containerreplicas: 1template:metadata:labels:app: py-containerspec:containers:- name: py-podimage: localhost:5000/py-container:0.0.1ports:- containerPort: 80imagePullSecrets:- name: regcred
5、根据yaml文件,创建pod
kubectl create -f py_pod.yaml
查看pod的启动情况
如果要删除这个deployment管理的pod,我们可以通过以下命令删除
kubectl delete deployment py-container-deployment