🐕

【Kubernetes】kubeletについて理解する

に公開
Kubernetes
GKE
EKS
kubectl
kubelet
tech

はじめに

kubeletは、Kubernetesクラスター内の各ノードで動作する重要なエージェント。コントロールプレーンから指示を受け、その指示通りにPodを管理する役割を担う。

Kubeletの役割と機能

kubeletの主な役割は、ノード上で正しく動作し続けることを保証すること。以下の機能を果たす。

①Podの監視と実行

  • PodSpecの受け入れ:kubeletはkube-apiserverからPodの仕様(PodSpec)を受け取る。PodSpecには、どのコンテナイメージを使うか、どのボリュームをマウントするか、どのポートを開くかなどの情報が含まれている。
  • コンテナランタイムとの連携:受け取ったPodSpecに基づき、Dockerやcontainerdといったコンテナランタイムと連携して、コンテナを起動、停止および管理する。

②ヘルスチェックと状態報告

  • コンテナのヘルスチェック:kubeletは、実行中のコンテナが正常に動作しているか(ヘルスチェック)を定期的に確認する。もしコンテナが応答しない場合、kubeletはコンテナを再起動する。
  • ノードの状態報告:自身のノードの状態(CPU使用率、メモリ、ディスク容量など)をkube-apiserverに報告する。これにより、スケジューラーはどのノードに新しいPodを配置すべきかを判断できる。

kube-apiserverとは

Kubernetesクラスタのコントロールプレーンの中核をなすコンポーネント。

APIサーバーの役割

kube-apiserverは、Kubernetesクラスター内の全てのやり取りの中心に位置している。ユーザーからのコマンドや他のコンポーネントからの要求を処理する唯一の窓口。

kubeletのセキュリティ

  • 認証と認可:kubeletはkube-apiserverと通信する際、TSLクライアント証明書などを使って自分の身元を証明する。これにより、偽のkubeletがクラスターに参加するのを防ぐ。
  • Podセキュリティの強制:Podセキュリティスタンダード(PSS)やPodセキュリティポリシー(PSP)と言ったセキュリティ設定をノード上で強制する役割も担う。

ノードのクリーンアップ

kubeletは使用されていないイメージや停止したコンテナを定期的にクリーンアップ(ガベージコレクション)し、ノードのディスク容量を管理する。

kubeletとコンテナランタイムの関連

kubeletは、**Container Runtime Interface(CRI)**を通してコンテナランタイムと連携する。CPIという共通のインターフェースを用意することで、kubeletは特定のコンテナランタイムに依存せずにPodを管理できる。

コンテナランタイムとは

コンテナランタイムは、DockerやContainerd、CRI-Oなど、コンテナを実行・管理するソフトウェア。OSレベルの仮想化技術を使って、コンテナイメージを実際に起動し、ライフサイクル(かいし、停止、再起動など)を管理する。

kubeletとコンテナランタイムの連携

kubeletは、Kubernetesクラスターの各ノードで動作し、コントrーるプレーンからPodの実行指示を受け取る。しかし、kubelet自身が直接コンテナを実行するわけではない。

  1. 指示の受信:kubeletはkube-apiserverからPodの仕様(PodSpec)を受け取る。
  2. CRIへの翻訳:kubeletは受け取った仕様を、CRIが理解できる形に変換。
  3. ランタイムとの通信:変換された指示をCRI経由でコンテナランタイムに送信。
  4. コンテナの管理:コンテナランタイムは指示に従って、コンテナの起動や停止などの操作を行う。

まとめ

  • kubeletはkubernetesクラスターの各ノードで動作し、コントロールプレーンからの指示に従ってコンテナを管理するエージェント。
  • コンテナの起動や停止、ヘルスチェックを行い、ノードの状態をkube-apiserverに報告。
  • これにより、kubernetesの自己修復機能と信頼性が支えられている。

Discussion