Rivalry2

HTML Diff

0 added 0 removed

Original 2026-01-01

Modified 2026-02-19

1 Рассмотрим CNI, CRI, CSI через призму того, что именно делает Kubernetes(а еще точнее - kubelet), как именно он настраивает интерфейсы, какие параметры передаёт, что от кого ожидает и что может пойти не так.

2 CRI - Container Runtime Interface

3 Смотрим<a>официальную документацию.</a>

4 "CRI is a plugin interface which enables kubelet to use a wide variety of container runtimes, without the need to recompile. CRI consists of a protocol buffers and gRPC API"

5 То есть, буквально можем зайти<a>сюда</a>и посмотреть какие gRPC вызовы используются kubelet для взаимодействия с CRI, чтобы управлять контейнерами. Когда kubelet запускается, при помощи аргумента --container-runtime-endpoint, настраивается адрес, по которому нужно общаться с CRI.

6 В процессе жизненного цикла работы каждого контейнера на выделенной ноде kubelet посредством CRI общается с container runtime (пример), чтобы запрашивать создание/удаление контейнеров на ноде.

7 Как посмотреть вызовы?

8 Установить crictl, прописать --runtime-endpoint

9 Пример

10 minikube start

11 minikube ssh

12 docker@minikube:~$ crictl -D pods

13 Флаг -D позволит посмотреть gRPC вызовы в деталях.

14 CNI - Container Network Interface

15 CNI - стандарт для настройки сети пода. Как работает CNI:

16 <ol><li>Pod Scheduling</li>

17 <li>Kubelet получает из API server детали запускаемого пода и обращаеся в CRI для создания пода.</li>

18 <li>CRI</li>

19 <li>Kubelet обращается к CRI для создания пода. CRI runtime:</li>

20 </ol><ul><li>Создает сетевой namespace.</li>

21 <li>Создает pause контейнер.</li>

22 </ul><ol><li>CNI plugin</li>

23 <li>CRI вызывает CNI plugin (например, calico) для настройки сети пода через CLI.</li>

24 </ol>Лучше всего понять на<a>простом примере.</a>

25 Т.е. бинарник CNI плагина (а в данном случае shell скрипт) вызывается с необходимыми переменными окружения (например, CNI_COMMAND=ADD), чтобы настроить сеть.

26 В каталоге /etc/cni/net.d/ хранится конфигурация плагина в формате json.

27 Например

28 {

29 "cniVersion": "0.3.1",

30 "name": "my-cni-demo",

31 "type": "my-cni-demo",

32 "podcidr": "10.240.0.0/24"

33 }

34 В каталоге /opt/cni/bin/ должен находится запускаемый файл, который будет вызываться для настройки сети пода, с именем из поля type вышеобозначенного json.

35 Как это работает:

36 Когда kubelet вызывает RunPodSandbox, container runtime:

37 <ol><li>Создаёт network namespace</li>

38 <li>Вызывает бинарник CNI плагина (например, cilium, calico, bridge) с параметрами:</li>

39 <li>CNI_COMMAND=ADD \\</li>

40 </ol>CNI_CONTAINERID=<container_id> \\

41 CNI_NETNS=/run/netns/<nsname> \\

42 CNI_IFNAME=eth0 \\

43 CNI_PATH=/opt/cni/bin \\

44 /opt/cni/bin/cilium < /etc/cni/net.d/10-cni.conf

45 Поддерживаемые операции:

46 <ul><li>ADD - создать интерфейс</li>

47 <li>DEL - удалить</li>

48 <li>CHECK - проверить</li>

49 <li>VERSION - вернуть версию</li>

50 </ul>Подробнее -<a>тут.</a>

51 CSI - Container Storage Interface

52 <a>Документация.</a>

53 Ключевые компоненты:

54 <ol><li>CSI driver</li>

55 </ol><ul><li>Controller Plugin: Управляет volumes через k8s API (create/delete, attach/detach, snapshots).</li>

56 <li>Node Plugin: Управляет mount/unmount всех volumes на нодах путем коммуникации с kubelet на ноде.</li>

57 <li>Identity Service: Предоставляет метаданные драйвера (name, version, capabilities) в k8s.</li>

58 </ul><ol><li>Sidecar containers</li>

59 </ol><ul><li>External Provisioner: Отслеживает PVC и выполняет CreateVolume/DeleteVolume через CSI driver.</li>

60 <li>External Attacher: Управляет VolumeAttachment чтобы управлять привязкой volume к ноде.</li>

61 </ul>Общий процесс:

62 <ol><li>Provisioning</li>

63 </ol><ul><li>Пользователь создает PVC, указывая StorageClass.</li>

64 <li>External Provisioner (sidecar) видит PVC и вызывает CreateVolume в CSI driver.</li>

65 <li>CSI driver создает настоящий volume (AWS EBS, NFS, etc) регистрирует PV в k8s.</li>

66 </ul><ol><li>Attachment</li>

67 </ol><ul><li>Когда выполняется scheduling пода с новым PVC, external Attacher вызывает ControllerPublishVolume в CSI driver, чтобы привязать volume к ноде, на которую шедулится. под.</li>

68 <li>Volume становится доступным ноде.</li>

69 </ul><ol><li>Mounting</li>

70 </ol><ul><li>kubelet на ноде вызывает Node Plugin через unix socket (например, /var/lib/kubelet/plugins/[driver-name]/csi.sock).</li>

71 <li>Node Plugin выполняет монтирование volume в под.</li>

72 </ul>Конечно же CSI Node Plugin должен быть на каждом узле (обычно как DaemonSet)

73 Ошибки, которые случались у каждого:

74 В завершение: жизненный цикл пода с точки зрения этих интерфейсов

75 kubectl apply Pod + PVC →

76 → kubelet вызывает RunPodSandbox (CRI) →

77 → CRI вызывает CNI для сетевого интерфейса →

78 → kubelet вызывает CSI NodePublishVolume →

79 → kubelet вызывает CreateContainer →

80 → kubelet запускает контейнер →

81 → kubelet следит за probe, healthcheck →

82 → kubelet удаляет pod →

83 → CSI и CNI вызываются для tear-down →

84 → Done.

85 Освоить основы работы с Kubernetes: c системой автоматизации развертывания, масштабирования и управления приложениями в контейнерах - на курсе<a>"Kubernetes База".</a>