Infra Container 是整个 Pod 中第一个启动的容器，只有 300 KB 左右大小，它负责申请容器组的 UTS、IPC、网络等命名空间，Pod 内其他容器通过 setns（Linux 系统调用，把进程加入到某个命名空间中）方式共享 Infra Container 容器的命名空间，其次它还可作为 init 进程，用来管理子进程、回收资源等。

通过 Infra Container，同一 Pod 内的容器共享 UTS、Network、IPC、Time 命名空间。

注意，PID 命名空间和文件命名空间默认还是隔离的，这是因为：

容器之间也需要相互独立的文件系统以避免冲突。如果容器之间想要想要实现文件共享，Kubernetes 也提供了 Volume 支持（Volume 的概念将在本章 7.5 节介绍）。

PID 隔离是因为如果某些容器进程不再具备 PID=1，容器可能会拒绝启动（例如使用 systemd 的容器）。

如果要共享 PID 命名空间，需要设置 PodSpec 中的 ShareProcessNamespace 为 true，如下 yaml 所示。

设置之后，Infra Container 将作为 PID 1 进程，由 Infra Container 负责信号处理、子进程的资源回收等。

6 、Pod 是 Kubernetes 的基本单位

解决了容器的协作问题，围绕容器和 Pod 不断向实际应用的场景扩展。

因为 Pod 不可能只有一个实例，于是有了 Deployment，实现 Pod 多个实例运行。因为 Pod 是动态变化的额，还得有一个唯一的访问入口，并在多个实例之间负载均衡，于是就有了 Service。Service 是基于四层 TCP 和 UDP 协议转发，还得有应用层协议 (HTTP/HTTPS）访问支持，并通过域名/路径做到更细粒度的划分，于是就有了 Ingress。

围绕 Pod，最终绘制出如图 7-5 所示 Kubernetes 核心功能全景图。

7 、Pod 是调度的原子单位

Pod 承担的另外一个重要职责是 —— 作为调度的原子单位。

协同调度是非常麻烦的事情。举个例子说明，有以下两个亲和性容器：

第一个容器 Nginx（资源需求 1G 内存）接收请求，并将请求写入日志文件。

第二个容器 LogCollector（资源需求 0.5 G 内存），它会把 Nginx 容器写的日志文件转发到后端的 ElasticSearch 中。

当前集群环境的可用资源是这样一个情况：Node1 1.25G 内存，Node2 2G 内存。

假设这两个 Pod 因协作需要运行在一台机器上，如果调度器先把 Nginx 调度到 Node1，因为资源不够，LogCollector 实际上是没办法调度到 Node1 上的，得重新再发起新的调度。

虽然能通过新一轮的调度，最终解决，但你思考：假如有几千个 Node 节点、数以万计的容器呢？解决这种协同调度：

要么等待所有设置了亲和性约束的任务全部就绪，才开始统一调度。这是典型的成组调度的解法，但也带来新的问题，调度效率会损失、资源无法充分利用、互相等待还有可能产生死锁。

要么就想办法提高单任务调度的效率，Google Omega 系统介绍过一种基于共享状态，通过乐观锁解决因并发导致资源冲突的方式，但方案无疑非常复杂。

将运行资源的需求声明定义在 Pod 上，直接以 Pod 为最小的原子单位来实现调度的话，Pod 与 Pod 之间不存在什么超亲密关系，如果非要有什么关系，就通过网络联系。

复杂的协同调度设计在 Kubernetes 中直接消失了。

8、容器的设计模式 Sidecar

通过组合两个不同角色的容器，共享资源，统一调度编排，在 Kubernetes 里面就是一个非常经典的容器设计模式 —— 即 Sidecar（边车）模式。

Sidecar 模式其实就是在 Pod 里面定义一些专门的容器，通过职责分离与容器的隔离特性，降低容器的复杂度。

通过图 7-6 所示的 Sidecar 容器（如日志记录、监控、安全性或数据同步 Sidecar 容器），能看到 Sidecar 模式通过增强或扩展主应用容器的功能，使开发一个高内聚、低耦合的软件变的更加容易。

Last update: 2024-8-4

Contain和Pod关系

1 、文件系统隔离

2、 资源全方位隔离

3 、资源全方位限制

4、 设计容器协作的方式

5 、超亲密容器组 Pod

6 、Pod 是 Kubernetes 的基本单位

7 、Pod 是调度的原子单位

8、 容器的设计模式 Sidecar

2、资源全方位隔离

4、设计容器协作的方式

8、容器的设计模式 Sidecar