7 Kubernetes Architektur

7.1 Architektur-Übersicht

Die Control Plane verwaltet den gesamten Cluster-Zustand und trifft Entscheidungen über die Platzierung und Verwaltung von Workloads.

Rolle: Zentrale Steuerungskomponente des gesamten Kubernetes-Clusters
Architektur: Alle Cluster-Komponenten kommunizieren ausschließlich mit dem API Server
Koordination: Orchestriert sämtliche Interaktionen zwischen Controller Manager, Scheduler, etcd und Worker Nodes
Verantwortlichkeiten: Authentifizierung, Autorisierung, Validierung und Serialisierung aller API-Objekte
Protokoll: RESTful API über HTTPS
Clients: kubectl, Dashboard, alle anderen Kubernetes-Komponenten

Architektur: Sammlung von Control Loops, die den gewünschten Zustand überwachen
Kerncontroller:
- Node Controller: Überwacht Node-Verfügbarkeit
- Replication Controller: Stellt sicher, dass die spezifizierte Anzahl Pod-Replikas läuft
- Endpoints Controller: Verwaltet Service-Endpoints
- Service Account & Token Controller: Erstellt Standard-Accounts und API-Access-Tokens

Algorithmus: Multi-Kriterien-Entscheidungsprozess für Pod-Platzierung
Filterkriterien: Ressourcenverfügbarkeit, Hardware-/Software-Constraints, Affinity/Anti-Affinity-Regeln
Bewertungsfunktionen: Optimiert nach CPU/Memory-Auslastung, Datenlokalität, Spreading

Worker Nodes führen die tatsächlichen Container-Workloads aus und implementieren das Kubernetes-Netzwerk-Modell.

Rolle: Node-Agent, der mit dem API Server kommuniziert
Funktionen:
- Pod-Lifecycle-Management (Start, Stop, Health Checks)
- Container-Image-Pulling und -Caching
- Ressourcen-Monitoring und -Reporting
- Volume-Mounting und -Management

Implementierung: Userspace-Proxy, iptables oder IPVS-basiert
Netzwerkfunktionen:
- Service-Discovery und Load-Balancing
- ClusterIP-Routing
- NodePort und LoadBalancer-Unterstützung
- Network Policy Enforcement (mit CNI-Plugins)

Interface: Container Runtime Interface (CRI)
Implementierungen: containerd, CRI-O, Docker (deprecated)
Verantwortlichkeiten: Container-Lifecycle, Image-Management, Ressourcen-Isolation

Definition: Kleinste deploybare Einheit, die einen oder mehrere Container kapselt
Eigenschaften:
- Gemeinsamer Netzwerk-Namespace (IP-Adresse)
- Geteilte Storage-Volumes
- Gemeinsamer Lifecycle
- Sidecar-Pattern-Unterstützung

Von	Zu	Richtung	Zweck
Client	API Server	→	kubectl-Befehle, Cluster-Management, Ressourcen-CRUD
Scheduler	API Server	→	Pod-Platzierungsentscheidungen, Node-Assignments
Controller Manager	API Server	↔︎	Cluster-Zustand lesen, Korrektur-Aktionen schreiben
API Server	etcd	→	Persistierung aller Cluster-Daten und Konfigurationen
API Server	Kubelet	→	Pod-Specs, Container-Images, Lifecycle-Befehle
Kubelet	API Server	→	Node-Status, Pod-Status, Health-Reports
Kubelet	Container Runtime	→	Container-Lifecycle-Management, Image-Pulling
Container Runtime	Pods	→	Container-Start/Stop, Ressourcen-Allokation
Kube-Proxy	Pods	⟷	Service-Discovery, Load-Balancing, Netzwerk-Routing

Zentralisierung: Alle Kommunikation läuft über den API Server - keine direkte Kommunikation zwischen Control Plane Komponenten

Sicherheit: TLS-verschlüsselt, authentifiziert und autorisiert über RBAC

Konsistenz: Nur der API Server interagiert mit etcd, verhindert Dateninkonsistenzen

Zustandslos: API Server ist zustandslos, gesamter Cluster-Zustand liegt in etcd