引言分布式系统的“操作系统”Kubernetes 并非简单的容器管理工具而是一个可移植、可扩展的开源平台用于管理容器化工作负载与服务。其设计目标让部署、伸缩、运维自动化变得简单可靠。理解 K8s 架构是掌握其强大能力的起点。本文将系统剖析 Kubernetes 的控制平面Control Plane与工作节点Worker Node组件揭示组件间的协作机制并给出完整的架构图。一、K8s 整体架构概览Kubernetes 采用主从Master-Worker架构集群由一组控制平面节点通常 3 或 5 个高可用副本和若干工作节点组成。二、控制平面Control Plane组件控制平面负责全局决策如调度、检测并响应集群事件如启动新 Pod。2.1 API Server核心网关唯一入口所有组件包括kubectl、控制器、kubelet都通过 API Server 进行通信内部 RESTful API。认证授权集成 RBAC、ABAC、Webhook 等机制。数据校验与转换接收的 YAML/JSON 对象会经过准入控制Admission Control、默认值填充、校验后存入 etcd。聚合层支持扩展 API如 metrics.k8s.io。高可用部署多个 API Server 实例 负载均衡通过 etcd 集群保证状态一致性。2.2 etcd集群数据库分布式键值存储保存所有集群数据Pod、Service、ConfigMap、Secret 等。一致性保证使用 Raft 算法推荐 3、5、7 节点部署。性能调优默认存储 8GB 快照大小定期压缩历史版本etcdctl compact。安全启用 TLS 加密通信防止窃听。关键点只有 API Server 能直接访问 etcd其他组件通过 API Server 间接读写保证安全与审计。2.3 Controller Manager控制器大脑运行一系列控制器每个控制器是一个控制循环将实际状态调谐至期望状态。主要控制器包括Node Controller监控节点健康驱逐故障节点上的 Pod。Deployment Controller管理 ReplicaSet 与滚动更新。Service Controller为 LoadBalancer 类型的 Service 调配合云 LB。EndpointSlice Controller维护 Service 与 Pod 的映射。Namespace Controller当 Namespace 被删除时清理其下所有资源。工作原理控制器通过 API Server 的Watch 机制长连接 资源版本号监听资源变化触发调谐逻辑。2.4 Scheduler调度决策者负责将未调度的 Pod绑定到合适的工作节点。决策分为两步过滤阶段Predicates筛选满足 Pod 资源请求、节点亲和性、污点容忍等条件的节点。打分阶段Priorities对剩余节点按优先级排序如 LeastRequestedPriority、BalancedResourceAllocation选最高分节点。可扩展插件用户可实现自定义调度器如考虑 GPU 拓扑、网络延迟。三、工作节点Worker Node组件3.1 kubelet节点代理人运行在每个节点上负责Pod 生命周期管理根据 API Server 分配的 Pod 清单调用容器运行时创建/停止容器。健康探针执行定期执行 livenessProbe、readinessProbe、startupProbe。上报节点状态向 API Server 发送 NodeStatus资源容量、文件系统可用等。静态 Pod可指定本地目录中的 Pod 定义常用于启动控制平面组件的自托管集群。工作原理kubelet 监听 API Server 上分配给该节点的 Pod 变化同步到本地容器运行时。3.2 kube-proxy网络代理实现Service 抽象保证 Pod 可访问稳定的 ClusterIP 和负载均衡。常用模式iptables默认模式使用 NAT 规则转发性能较好但规则更新 O(n) 耗时。IPVS基于 Linux 内核 LVS支持更多负载均衡算法rr、lc、sh 等适合大规模集群。userspace已弃用性能差仅用于旧版本。工作流程kube-proxy 监听 Service 和 EndpointSlice 资源将规则写入本机 iptables/IPVS实现流量转发。3.3 容器运行时Container Runtime负责拉取镜像、启动容器。K8s 通过CRIContainer Runtime Interface对接不同运行时containerd最常用CNCF 毕业项目效率高且稳定。CRI-O专为 K8s 设计的轻量运行时。Docker Engine通过 cri-dockerd 适配器K8s v1.24 已移除原生 Docker 支持。四、关键附加组件Add-ons组件功能CoreDNS集群 DNS 服务为 Service 提供my-svc.my-ns.svc.cluster.local域名解析。Ingress Controller实现 Ingress 七层路由常见实现Nginx、Traefik、Envoy。DashboardWeb UI可视化管理集群。Metrics Server采集容器资源使用CPU、内存支持 HPA水平自动伸缩。Network Plugin实现容器网络接口CNI如 Calico、Flannel、Cilium。五、组件协作流程以创建 Deployment 为例下图展示用户提交 Deployment YAML 后各组件如何协同工作关键观察所有组件都只与 API Server 通信形成松散耦合。Watch 机制实现事件驱动避免轮询开销。API Server 作为状态的中转站和并发控制中心。六、高可用架构最佳实践组件高可用方式etcd3 或 5 节点集群分开部署与控制平面物理隔离更佳。API Server多实例 外部负载均衡器如 HAProxy、Nginx或云 LB。Controller Manager Scheduler使用--leader-electtrue多实例通过选举产生唯一 Leader。工作节点跨可用区部署配合 PodDisruptionBudget 和反亲和性。七、架构设计哲学总结声明式优于命令式用户描述期望状态控制器负责调谐。控制平面集中、数据平面分散API Server 是总线节点自主工作。可扩展性CRI、CNI、CSI容器存储接口、CRD自定义资源等扩展点丰富。自愈能力控制器循环持续修复偏离期望的状态节点故障、Pod 崩溃。结语Kubernetes 架构的精髓在于分层解耦与标准化接口。控制平面组件各司其职工作节点则执行具体容器任务。掌握这些组件的交互逻辑不仅能帮助我们高效运维集群更能为故障排查、性能优化提供坚实基础。在实际生产环境中还可以引入Service Mesh如 Istio、GitOps 工具如 ArgoCD等进一步增强架构。希望本文提供的架构图与深度解析能成为你理解 K8s 的良好起点。