📝 前言

🧠 本章知识卡片

🚀 本章小节

1️⃣ 什么是 kubelet？

• 控制面负责“分配任务”

• kubelet 负责“落地执行”

2️⃣ 工作职责

• Pod 生命周期管理：接收 kube-apiserver 下发的 PodSpec，确保容器运行在节点上。

• 健康检查：周期性探测容器的存活性（Liveness Probe）、就绪性（Readiness Probe）。

• 与容器运行时交互：通过 CRI（Container Runtime Interface）与 Docker、containerd、CRI-O 等运行时交互。

• 节点状态上报：向 kube-apiserver 汇报节点与 Pod 的状态。

• 日志与指标收集：提供容器日志接口，支持与监控组件对接。

• CNI/CSI 集成：协同网络插件和存储插件，实现网络和数据卷挂载。

3️⃣ 工作原理

1. 获取期望状态
• 通过 apiserver Watch 获取分配到本节点的 Pod；
• 读取静态 Pod 配置（如 --pod-manifest-path）。

2. Pod 同步循环（SyncLoop）
• 将 PodSpec 交给 PodWorkers 串行处理，避免同一 Pod 并发操作；
• Pod 生命周期事件由 PLEG（Pod Lifecycle Event Generator）触发更新。

3. Pod 启动流程
• 卷管理：挂载 CSI/CNI 资源；
• 创建沙箱：启动 pause 容器，配置网络；
• 拉取镜像：按 imagePullPolicy 执行；
• 启动容器：先 Init 容器，后并行应用容器；
• 健康探针：执行 liveness/readiness/startup。

4. 状态与心跳上报
• 通过 StatusManager 汇报 PodStatus 至 apiserver；
• NodeLease 与心跳维持节点存活状态；
• cAdvisor 提供指标监控。

5. 异常处理与回收
• EvictionManager 监控资源压力并触发 Pod 驱逐；
• 镜像与容器垃圾回收（GC）释放磁盘空间。

4️⃣ 常用启动参数

5️⃣ 生产环境优化

• 资源驱逐策略：
设置合理的 --eviction-hard，防止节点 OOM。

• 日志管理：
使用日志轮转工具（如 logrotate），避免日志无限增长。

• 节点容量规划：
调整 --kube-reserved 与 --system-reserved，为系统和 kube 组件预留资源。

• 安全加固：
使用 --anonymous-auth=false 禁止匿名访问，提升安全性。

• 健康检查优化：
根据应用特性优化 livenessProbe 与 readinessProbe，避免频繁误判。

• CRI 配置调优：
针对 containerd 或 CRI-O 调整镜像缓存策略，提高拉取效率。

✅ 总结

• 承接控制面，接收调度指令；

• 执行节点任务，管理容器生命周期与状态。