Aller au contenu
DevSecOps Logo DevSecOps
Docs
Blog
Blog

Fonctionnement des Worker Nodes Kubernetes

Mise à jour :

Dans un cluster Kubernetes, les Worker Nodes jouent un rôle clé : ils sont responsables de l’exécution des Pods et donc des applications conteneurisées. Ces nœuds sont constitués de composants essentiels comme le kubelet, le kube-proxy et un runtime de conteneurs (ex. Docker), qui travaillent ensemble pour gérer les ressources et assurer la connectivité réseau. Mais concrètement, comment fonctionnent-ils ? C’est ce que je vais expliquer ici, avec en bonus quelques astuces pour bien les administrer.

Architecture d’un Worker Node

Un Worker Node est une machine (physique ou virtuelle) qui s’occupe d’exécuter les Pods, les unités de base de Kubernetes. Chaque nœud contient plusieurs composants qui collaborent pour gérer les conteneurs et maintenir la communication avec le Control Plane. Voici un aperçu des éléments principaux :

Composants principaux :

  1. kubelet

    • C’est l’agent principal qui s’exécute sur chaque Worker Node. Il reçoit des instructions du Control Plane et assure la création, la suppression et la gestion des Pods.
    • Il vérifie en permanence que les conteneurs fonctionnent comme prévu.

  2. kube-proxy

    • Ce composant gère le réseau local des Pods.
    • Il met en place les règles de routage réseau en utilisant iptables ou IPVS pour permettre aux services de communiquer entre eux.

  3. Runtime des conteneurs

    • C’est l’outil qui exécute réellement les conteneurs. Il peut s’agir de Docker, Containerd, ou encore Podman.
    • Il gère les images des conteneurs, leur démarrage et leur arrêt.

Schéma d’un Worker Node (simplifié) :

Le Worker Node communique avec le Control Plane via l’API server, qui transmet les instructions, le tout sécurisé par certificats de sécurité pour authentifier les interactions.

Avec cette architecture, chaque Worker Node peut exécuter plusieurs Pods, tout en étant étroitement synchronisé avec le reste du cluster. C’est un peu comme une fourmilière où chaque nœud travaille de manière autonome mais coordonnée !

Rôle du kubelet

Le kubelet est le cœur des Worker Nodes dans un cluster Kubernetes. C’est lui qui veille à ce que les Pods soient créés et fonctionnent correctement. Mais voyons de plus près ses principales responsabilités :

  1. Communication avec le Control Plane : kubelet joue un rôle d’intermédiaire entre le Control Plane et les ressources locales du Worker Node. Il :

    • Signale l’état du nœud (comme la charge CPU, mémoire, et disponibilité) au Control Plane.
    • Envoie des informations sur la santé des Pods en cours d’exécution.

  2. Gestion des Pods : kubelet reçoit des instructions du Control Plane via l’API server. Ces instructions sont généralement des spécifications sur les Pods à déployer, à mettre à jour ou à supprimer. Le kubelet :

    • Vérifie que les conteneurs définis dans les Pods sont correctement démarrés.
    • S’assure que les conteneurs en cours d’exécution respectent l’état attendu (par exemple : redémarre un conteneur s’il plante).

  3. Gestion des fichiers de configuration locaux : kubelet peut également gérer des manifests de Pods locaux, c’est-à-dire des fichiers YAML situés sur le Worker Node. Cela permet de démarrer des Pods sans dépendre uniquement du Control Plane. Par exemple :

Terminal window
# Exemple de chemin pour un manifest local
/var/lib/kubelet/config/pod.yaml
  1. Gestion des volumes et des secrets : kubelet s’assure que les volumes (stockage persistant) et les secrets (comme les mots de passe ou certificats) nécessaires aux Pods sont montés et accessibles.
  2. **Surveillance de la santé des conteneurs: ** kubelet intègre une boucle d’examen constant appelée liveness probe et readiness probe :
    • Liveness probe : Vérifie si un conteneur est toujours actif. Si ce n’est pas le cas, il est redémarré.
    • Readiness probe : Vérifie si un conteneur est prêt à recevoir du trafic.

En résumé, le kubelet agit comme un superviseur local des Pods, veillant à ce qu’ils soient toujours conformes à ce que le Control Plane attend. À mon avis, c’est un peu comme le chef d’équipe d’un chantier, qui s’assure que tout le monde fait son travail correctement, tout en rapportant l’avancement au siège central (le Control Plane).

Rôle du kube-proxy

kube-proxy est un composant réseau essentiel qui fonctionne sur chaque Worker Node dans un cluster Kubernetes. Son rôle principal ? Gérer la connectivité entre les services, les Pods, et les utilisateurs. C’est lui qui rend la magie du réseau possible dans un cluster Kubernetes !

kube-proxy s’assure que les communications réseau entre les Pods, les services et les utilisateurs externes sont possibles. Il fonctionne comme un proxy ou un routeur intelligent, en mettant en œuvre différentes règles de routage. Par exemple :

  • Si un utilisateur envoie une requête à un service exposé, le kube-proxy s’occupe de diriger cette requête vers l’un des Pods associés au service.
  • Il utilise des load balancers pour équilibrer la charge entre les Pods.

kube-proxy fonctionne en configurant des règles réseau sur le Worker Node. Ces règles permettent de rediriger les requêtes de manière transparente. Deux modes principaux sont disponibles :

  • iptables (classique) : Configure des règles dans la table réseau du noyau Linux pour rediriger le trafic.
  • IPVS (plus performant) : Utilise un système de routage optimisé pour les grandes charges de trafic, basé sur le module IP Virtual Server de Linux.

Lorsque tu crées un service dans Kubernetes, le kube-proxy assure son exposition au réseau, que ce soit :

  • Interne : Communication entre les Pods à l’intérieur du cluster.
  • Externe : Accès depuis l’extérieur via un NodePort ou un LoadBalancer.

Exemple : si tu exposes un service sur le port 80, le kube-proxy s’assure que ce port est bien redirigé vers les Pods associés, même si ces derniers sont sur des nœuds différents.

kube-proxy surveille également les endpoints des services pour s’assurer que seuls les Pods actifs reçoivent du trafic. Si un Pod tombe en panne, il est immédiatement retiré des règles de routage.

En résumé, sans le kube-proxy, tout le réseau Kubernetes serait un chaos. Il joue un rôle de chef d’orchestre réseau, connectant les bons utilisateurs aux bons Pods, le tout en douceur. À mon avis, c’est l’un des composants les plus sous-estimés mais pourtant cruciaux de Kubernetes.

Gestion des conteneurs sur un Worker Node

Dans un Worker Node, les conteneurs sont au cœur des opérations. Ils hébergent les applications que nous déployons dans un cluster Kubernetes. Cependant, pour que ces conteneurs fonctionnent correctement, un composant important entre en jeu : le moteur des conteneurs. Voici comment tout cela fonctionne.

Le runtime des conteneurs est le logiciel responsable de l’exécution, de la gestion et de l’arrêt des conteneurs. Parmi les options les plus courantes, on trouve :

  • Docker, qui a popularisé la conteneurisation.
  • Containerd, une solution légère directement intégrée avec Kubernetes.
  • Podman, une alternative sans daemon.

Le kubelet interagit avec ce runtime pour créer et gérer les conteneurs nécessaires aux Pods.

Chaque conteneur est basé sur une image, qui contient tout le nécessaire pour exécuter une application (système de fichiers, bibliothèques, dépendances). Voici les étapes typiques :

  1. Le kubelet demande au runtime de récupérer l’image spécifiée dans le manifest du Pod.
  2. Le runtime télécharge l’image depuis un registre (ex. Docker Hub, GitHub Container Registry, ou un registre privé).
  3. Une fois l’image téléchargée, le runtime démarre un conteneur basé sur cette image.

Lorsque les conteneurs nécessitent un stockage persistant (par exemple, pour conserver des données au-delà de leur cycle de vie), Kubernetes gère cela via des volumes. Ces volumes peuvent être :

  • Locaux : stockés directement sur le Worker Node.
  • Distants : via des solutions comme NFS, Amazon EBS, ou des Persistent Volumes (PV).

En résumé, la gestion des conteneurs sur un Worker Node repose sur un ballet bien orchestré entre le runtime, les images et le kubelet. Si tout est bien configuré, les conteneurs fonctionnent comme des moteurs bien réglés. Mais attention, à mon avis, le choix d’un runtime et la bonne gestion des ressources peuvent faire toute la différence pour la stabilité et la performance de votre cluster.

Administration des Worker Nodes

L’administration des Worker Nodes est une étape essentielle pour garantir un cluster Kubernetes stable et performant. Cela inclut l’ajout de nouveaux nœuds, la surveillance des composants (comme le kubelet et le runtime des conteneurs), et la gestion des ressources. Voici un guide pratique pour bien administrer vos Worker Nodes, avec des commandes utiles et des liens vers des guides spécifiques.

Ajouter un Worker Node dans un cluster

Lorsqu’on ajoute un Worker Node, on doit l’enregistrer auprès du Control Plane. Voici comment procéder :

  1. Générer un jeton d’enregistrement sur le Control Plane : Sur le nœud principal (Control Plane), génère un jeton pour que le nouveau nœud puisse rejoindre le cluster :

    Terminal window
    kubeadm token create --print-join-command

    La commande affichera une instruction du type :

    Terminal window
    kubeadm join <adresse-control-plane>:6443 --token <jeton> --discovery-token-ca-cert-hash sha256:<hash>

  2. Exécuter la commande sur le nouveau Worker Node : Lance cette commande sur le nouveau Worker Node pour qu’il rejoigne le cluster.

  3. Vérifier l’ajout du nœud : Une fois le nœud ajouté, utilise cette commande pour vérifier qu’il est bien reconnu :

    Terminal window
    kubectl get nodes

Tu devrais voir le nouveau nœud dans la liste avec le statut Ready.

Surveiller les composants du Worker Node

kubelet est indispensable pour le bon fonctionnement des Worker Nodes. Pour surveiller ou dépanner un problème, voici quelques commandes :

  • Vérifier si le service kubelet est actif :

    Terminal window
    systemctl status kubelet

  • Afficher les journaux pour diagnostiquer des problèmes :

    Terminal window
    journalctl -u kubelet -f

  • Si kubelet ne démarre pas correctement, vérifie la configuration dans ce fichier :

    Terminal window
    /var/lib/kubelet/config.yaml

Surveiller le runtime des conteneurs

Le runtime (ex. Docker ou Containerd) est une autre pièce essentielle. Voici comment le gérer :

  • Lister les conteneurs en cours d’exécution avec Docker :

    Terminal window
    docker ps

  • Si tu utilises Containerd, utilise crictl :

    Terminal window
    crictl ps

  • Redémarrer le runtime si nécessaire :

    Terminal window
    systemctl restart docker  # Pour Docker
    systemctl restart containerd  # Pour Containerd

Diagnostiquer un Worker Node

Voici les commandes pour obtenir des informations utiles sur un nœud et ses Pods :

  • Lister tous les nœuds :

    Terminal window
    kubectl get nodes

    Si le nœud a un statut NotReady, il peut y avoir un problème.

  • Afficher les détails d’un nœud spécifique :

    Terminal window
    kubectl describe node <nom-du-node>

  • Lister les Pods en cours d’exécution sur un Worker Node :

    Terminal window
    kubectl get pods --all-namespaces --field-selector spec.nodeName=<nom-du-node>

  • Surveiller les événements sur le nœud (utile pour voir si des erreurs sont remontées) :

    Terminal window
    kubectl get events --field-selector involvedObject.kind=Node,involvedObject.name=<nom-du-node>

Supprimer un Worker Node du cluster

Si tu dois retirer un Worker Node :

  1. Marque le nœud comme non planifiable pour qu’aucun nouveau Pod ne soit programmé dessus :

    Terminal window
    kubectl cordon <nom-du-node>

  2. Évacue les Pods existants pour qu’ils soient déplacés sur d’autres nœuds :

    Terminal window
    kubectl drain <nom-du-node> --ignore-daemonsets --delete-emptydir-data

  3. Supprime le nœud du cluster :

    Terminal window
    kubectl delete node <nom-du-node>

  4. Enfin, si tu utilises kubeadm, réinitialise la configuration locale du nœud :

    Terminal window
    kubeadm reset

Résumé

En résumé, l’administration des Worker Nodes demande une bonne connaissance des composants internes comme le kubelet, le moteur des conteneurs et les commandes kubectl. À mon avis, maîtriser ces outils est essentiel pour maintenir un cluster stable et éviter les surprises. Pour approfondir certains points, voici des ressources utiles :

Conclusion

Les Worker Nodes sont les fondations sur lesquelles repose tout le fonctionnement d’un cluster Kubernetes. Ce sont eux qui assurent l’exécution des Pods, le routage réseau, et la gestion des ressources. Comprendre leur fonctionnement – qu’il s’agisse du kubelet, du kube-proxy ou du runtime des conteneurs – est essentiel pour maintenir un cluster stable, performant et évolutif.

À mon avis, l’administration des Worker Nodes n’est pas seulement une affaire de technique : c’est aussi une question de rigueur et d’anticipation. Entre la surveillance proactive, les mises à jour régulières, et la résolution rapide des problèmes, un bon administrateur doit être capable de jongler avec plusieurs outils et méthodologies.

Pour aller plus loin, je recommande de :

  1. Toujours garder un œil sur les ressources des nœuds pour éviter les saturations.
  2. Automatiser autant que possible les tâches répétitives grâce à des outils comme Ansible.
  3. Investir du temps dans la maîtrise des commandes kubectl et des méthodes de débogage, car ils sont tes meilleurs alliés.

En bref, un Worker Node bien configuré et bien maintenu, c’est l’assurance d’un cluster Kubernetes performant. Et, croyez-moi, ça vaut mieux que de devoir se lever à 2h du matin à cause d’un incident ! 😉