Kubernetes 中 4 种容器设计模式

基于云原生的新应用程序在 Kubernetes 集群运行没有问题，但是当你有旧应用程序时会发生什么情况：

• 记录到文件而不是标准输出？

• 不支持Prometheus？

• 不支持HTTPS？

首先，让我们了解一些基础知识。

在Kubernetes中，一个Pod是一组容器。

容器使用两个Linux原语进行隔离：控制组和命名空间。

• 控制组用于限制资源（最大256MB内存）。

• 命名空间用于隔离（只能看到此文件夹）。

控制组和Linux命名空间是容器的基本原语。

除了网络之外，Pod中的所有容器都是隔离的。

网络是共享的，一个IP地址分配给Pod中的所有容器（Pod的IP地址）。

同一个Pod中的容器共享相同的网络命名空间。

为什么需要在Pod中运行多个容器？

如果你不能（或不想）更改应用程序中的代码，你可能需要通过其他方式来调整其功能。

让我们看一个例子。

最近的Elasticsearch版本支持TLS，但长时间以来这是一个付费的额外功能。

你如何使用TLS保护流量？

你可以将代理作为一个容器添加到你的Pod中。

（加密的）流量首先到达代理，然后到达（未加密的）Elasticsearch。

流量在到达ElasticSearch之前由NGINX容器代理。 另一个例子是在没有Ingress的情况下将你的应用程序暴露给公共互联网。

Cloudflare隧道运行一个代理与应用程序一起，并代理所有的流量。

tunneld代理将流量隧道传输到Cloudflare网络。

当你想要使用Prometheus，但你的应用程序具有自定义的指标公开格式时，会发生什么情况？

如果你使用一个适配器，就不需要更改代码。

例如：Elasticsearch不暴露Prometheus指标。

适配器来解救！

容器将Elasticsearch指标适配为与Prometheus兼容。

当你在Pod中有一个额外的容器来处理输入时，这被称为Ambassador模式。

如果它处理主容器的输出，那么它就是一个适配器。

适配器与Ambassador模式

在Kubernetes中，应用程序的默认日志输出是打印到标准输出（stdout）。

那么如果你的应用程序将日志记录到文件中，该怎么收集日志呢？

你可以使用一个容器来检索日志文件的内容并将其打印到标准输出（stdout）。

Sidecar容器检索文件内容并将其打印到标准输出（stdout）。

其他Sidecar包括注入密钥、在ConfigMaps发生更改时重新加载应用程序、缓存等容器。

任何增强你的应用程序的容器通常被称为Sidecar容器。

示例包括：

• 注入密钥

• 在ConfigMaps发生更改时重新加载

• 缓存

Elasticsearch建议在应用程序启动之前将虚拟内存设置为较高的值（即mmap计数）。

你如何在Kubernetes中做到这一点？ 它是在“普通”容器启动之前运行完毕的容器。

你可以使用Kubernetes中的Init容器

因此，如果你要将现有应用迁移到Kubernetes中，你有四种模式可供选择：

• Ambassador（大使模式）

• Adapter（适配器模式）

• Sidecar（边车模式）

• Init（初始化模式）