DaemonSet

DaemonSet гарантирует, что на всех (или некоторых) узлах запущена копия Пода. При добавлении узлов в кластер Поды автоматически добавляются на них. При удалении узлов из кластера эти Поды удаляются сборщиком мусора. Удаление DaemonSet приведёт к удалению всех созданных им Подов.

Типичные случаи использования DaemonSet:

• запуск демона кластерного хранилища на каждом узле
• запуск демона сбора логов на каждом узле
• запуск демона мониторинга узлов на каждом узле

В простом случае для каждого типа демона используется один DaemonSet, охватывающий все узлы. В более сложных конфигурациях может использоваться несколько DaemonSet для одного типа демона, но с разными флагами и/или разными запросами памяти и CPU для различных типов оборудования.

Написание спецификации DaemonSet

Создание DaemonSet

DaemonSet можно описать в YAML-файле. Например, файл daemonset.yaml ниже описывает DaemonSet, запускающий Docker-образ fluentd-elasticsearch:

controllers/daemonset.yaml

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: fluentd-elasticsearch
  namespace: kube-system
  labels:
    k8s-app: fluentd-logging
spec:
  selector:
    matchLabels:
      name: fluentd-elasticsearch
  template:
    metadata:
      labels:
        name: fluentd-elasticsearch
    spec:
      tolerations:
      # these tolerations are to have the daemonset runnable on control plane nodes
      # remove them if your control plane nodes should not run pods
      - key: node-role.kubernetes.io/control-plane
        operator: Exists
        effect: NoSchedule
      - key: node-role.kubernetes.io/master
        operator: Exists
        effect: NoSchedule
      containers:
      - name: fluentd-elasticsearch
        image: quay.io/fluentd_elasticsearch/fluentd:v5.0.1
        resources:
          limits:
            memory: 200Mi
          requests:
            cpu: 100m
            memory: 200Mi
        volumeMounts:
        - name: varlog
          mountPath: /var/log
      # it may be desirable to set a high priority class to ensure that a DaemonSet Pod
      # preempts running Pods
      # priorityClassName: important
      terminationGracePeriodSeconds: 30
      volumes:
      - name: varlog
        hostPath:
          path: /var/log

Создание DaemonSet на основе YAML-файла:

kubectl apply -f https://k8s.io/examples/controllers/daemonset.yaml

Обязательные поля

Как и для любой другой конфигурации Kubernetes, DaemonSet требует наличия полей apiVersion, kind и metadata. Общую информацию о работе с конфигурационными файлами см. в разделах запуск stateless-приложений и управление объектами с помощью kubectl.

Имя объекта DaemonSet должно быть допустимым DNS-именем поддомена.

DaemonSet также требует наличия секции .spec.

Шаблон Пода

Поле .spec.template является одним из обязательных полей в .spec.

Поле .spec.template представляет собой шаблон Пода. Оно имеет точно такую же схему, как и Под, за исключением того, что является вложенным и не имеет полей apiVersion и kind.

Помимо обязательных полей для Пода, шаблон Пода в DaemonSet должен указывать соответствующие метки (см. селектор Подов).

Шаблон Пода в DaemonSet должен иметь RestartPolicy, равную Always, или не указывать её, что по умолчанию означает Always.

Селектор Подов

Поле .spec.selector является селектором Подов. Оно работает так же, как .spec.selector у Job.

Необходимо указать селектор Подов, который соответствует меткам в .spec.template. Также, после создания DaemonSet, его .spec.selector не может быть изменён. Изменение селектора Подов может привести к непреднамеренному осиротению Подов, что может запутать пользователей.

Поле .spec.selector представляет собой объект, состоящий из двух полей:

• matchLabels — работает так же, как .spec.selector у ReplicationController.
• matchExpressions — позволяет создавать более сложные селекторы, указывая ключ, список значений и оператор, связывающий ключ и значения.

Когда указаны оба поля, результат объединяется по логическому И (AND).

Поле .spec.selector должно соответствовать .spec.template.metadata.labels. Конфигурация с несовпадающими значениями будет отклонена API.

Запуск Подов на выбранных узлах

Если указано поле .spec.template.spec.nodeSelector, контроллер DaemonSet будет создавать Поды на узлах, соответствующих этому селектору узлов. Аналогично, если указано поле .spec.template.spec.affinity, контроллер DaemonSet будет создавать Поды на узлах, соответствующих этим правилам совместного существования (node affinity). Если ни одно из полей не указано, контроллер DaemonSet будет создавать Поды на всех узлах.

Как планируются Поды демонов

DaemonSet может использоваться для обеспечения того, чтобы все подходящие узлы запускали копию Пода. Контроллер DaemonSet создаёт Под для каждого подходящего узла и добавляет поле spec.affinity.nodeAffinity в Под для соответствия целевому хосту. После создания Пода обычно управление берёт на себя планировщик по умолчанию, который привязывает Под к целевому хосту, устанавливая поле .spec.nodeName. Если новый Под не помещается на узле, планировщик по умолчанию может вытеснить (evict) некоторые из существующих Подов на основе приоритета нового Пода.

Пользователь может указать другой планировщик для Подов DaemonSet'а, установив поле .spec.template.spec.schedulerName у DaemonSet.

Исходная привязка к узлам, указанная в поле .spec.template.spec.affinity.nodeAffinity (если указана), учитывается контроллером DaemonSet при оценке подходящих узлов, но заменяется в созданном Поде на привязку к узлу, соответствующую имени подходящего узла.

nodeAffinity:
  requiredDuringSchedulingIgnoredDuringExecution:
    nodeSelectorTerms:
    - matchFields:
      - key: metadata.name
        operator: In
        values:
        - target-host-name

Ограничения (taints) и допуски (tolerations)

Контроллер DaemonSet автоматически добавляет набор допусков (tolerations) к Подам DaemonSet'а:

Вы также можете добавить собственные допуски (tolerations) к Подам DaemonSet'а, определив их в шаблоне Пода DaemonSet'a.

Поскольку контроллер DaemonSet автоматически устанавливает допуск node.kubernetes.io/unschedulable:NoSchedule, Kubernetes может запускать Поды DaemonSet'а на узлах, помеченных как непланируемые.

Если вы используете DaemonSet для предоставления важной функции уровня узла, такой как сеть в кластере, будет полезным, если Kubernetes разместит Поды DaemonSet'а на узлах до того, как они будут готовы. Например, без этого специального допуска вы можете оказаться в тупиковой ситуации, когда узел не помечен как готовый, потому что сетевой плагин там не запущен, и в то же время сетевой плагин не запущен на этом узле, потому что узел ещё не готов.

Взаимодействие с Подами демонов

Некоторые возможные паттерны взаимодействия с Подами в DaemonSet'е:

• Push: Поды в DaemonSet'е настроены на отправку обновлений в другой сервис, например, в базу данных статистики. У них нет клиентов.
• IP узла и известный порт: Поды в DaemonSet могут использовать hostPort, чтобы быть доступными по IP-адресам узлов. Клиенты каким-либо образом знают список IP-адресов узлов и знают порт благодаря предварительному соглашению.
  • DNS: Создайте headless-сервис с тем же селектором Подов, а затем обнаруживайте DaemonSet'ы, используя ресурс endpoints или получая несколько A-записей из DNS.
• Service: Создайте сервис с тем же селектором Подов и используйте сервис для доступа к демону на случайном узле. Используйте политику внутреннего трафика сервиса (Service Internal Traffic Policy) для ограничения Подами на том же узле.

Обновление DaemonSet

При изменении меток узлов DaemonSet оперативно добавит Поды на узлы, которые теперь соответствуют условиям, и удалит Поды с узлов, которые больше не соответствуют.

Вы можете изменять Поды, созданные DaemonSet'ом. Однако Поды не позволяют обновлять все поля. Кроме того, контроллер DaemonSet будет использовать исходный шаблон при следующем создании узла (даже с тем же именем).

Вы можете удалить DaemonSet. Если указать --cascade=orphan с kubectl, то Поды останутся на узлах. Если впоследствии создать новый DaemonSet с тем же селектором, новый DaemonSet примет существующие Поды. Если какие-либо Поды требуют замены, DaemonSet заменит их в соответствии со своей updateStrategy.

Вы можете выполнить плавное обновление (rolling update) DaemonSet'а.

Альтернативы DaemonSet

Init-скрипты

Безусловно, можно запускать процессы-демоны напрямую на узле (например, используя init, upstartd или systemd). Это вполне допустимо. Однако есть несколько преимуществ запуска таких процессов через DaemonSet:

• Возможность мониторинга и управления логами демонов так же, как и приложений.
• Один и тот же язык конфигурации и инструменты (например, шаблоны Подов, kubectl) для демонов и приложений.
• Запуск демонов в контейнерах с ограничениями ресурсов повышает изоляцию между демонами и контейнерами приложений. Однако этого также можно достичь, запуская демоны в контейнере, но не в Поде.

Обычные Поды (Bare Pods)

Можно создавать Поды напрямую, указывая конкретный узел для запуска. Однако DaemonSet заменяет Поды, которые были удалены или завершены по любой причине, например, в случае сбоя узла или из-за последствий таких операций по обслуживанию узла, как обновление ядра. По этой причине следует использовать DaemonSet вместо создания отдельных Подов.

Статические Поды

Можно создавать Поды, записывая файл в определённый каталог, отслеживаемый Kubelet. Такие Поды называются статическими Подами. В отличие от DaemonSet, статическими Подами нельзя управлять с помощью kubectl или других клиентов Kubernetes API. Статические Поды не зависят от apiserver, что делает их полезными в сценариях первичной загрузки кластера. Также статические Поды могут быть объявлены устаревшими в будущем.

Deployment'ы

DaemonSet'ы похожи на Deployment'ы тем, что оба создают Поды, и эти Поды содержат процессы, которые не должны завершаться (например, веб-серверы, серверы хранения).

Используйте Deployment для stateless-сервисов, таких как фронтенд-приложения, где важнее масштабировать вверх и вниз количества реплик и развёртывать обновления, чем контролировать то, на каком именно хосте

запускается Под. Используйте DaemonSet, когда важно, чтобы копия Пода всегда работала на всех или определённых хостах, если DaemonSet предоставляет функциональность уровня узла, позволяющую другим Подам корректно работать на этом конкретном узле.

Например, сетевые плагины часто включают компонент, работающий как DaemonSet. Компонент DaemonSet обеспечивает работу кластерной сети на узле, где он запущен.

Что дальше

• Узнайте больше о Подах:
  • Узнайте о статических Подах, которые полезны для запуска компонентов управляющего слоя (control plane) Kubernetes.
• Узнайте, как использовать DaemonSet'ы:
  • Выполнение плавного обновления (rolling update) DaemonSet.
  • Выполнение отката DaemonSet (например, если развёртывание прошло не так, как ожидалось).
• Узнайте, как Kubernetes назначает Поды на узлы.
• Узнайте о плагинах устройств и дополнениях, которые часто работают как DaemonSet'ы.
• DaemonSet является ресурсом верхнего уровня в Kubernetes REST API. Прочитайте определение объекта DaemonSet, чтобы понять API для DaemonSet'ов.