Kubernetes 虚拟化与编排

Kubernetes 已成为容器编排的事实标准，同时通过 KubeVirt 等项目将管理边界扩展到虚拟机，实现了容器与虚拟机的统一管理。

一、Kubernetes 核心概念

Kubernetes 的核心抽象包括 Pod（最小部署单元）、Service（服务发现和负载均衡）、Deployment（声明式更新）、ConfigMap/Secret（配置管理）等。控制平面组件（kube-apiserver、kube-controller-manager、kube-scheduler、etcd）负责集群状态管理和决策。工作节点运行 kubelet（Pod 生命周期管理）、kube-proxy（网络代理）和容器运行时（如 containerd）。

二、KubeVirt：虚拟机与容器统一管理

KubeVirt 是 CNCF 沙箱项目，允许在 Kubernetes 集群中创建和管理虚拟机。它引入自定义资源（VirtualMachine、VirtualMachineInstance），将虚拟机作为一等公民与 Pod 一起管理。KubeVirt 使用 KVM 运行虚拟机，通过 virt-launcher Pod 封装虚拟机进程，利用 Kubernetes 网络和存储能力。这对于将传统虚拟机工作负载渐进式迁移到云原生平台至关重要。

三、Virtio 与设备透传

Virtio 是 KVM 的半虚拟化 I/O 框架，KubeVirt 集成了 Virtio 设备以获得近原生的 I/O 性能。GPU 透传允许虚拟机直接访问物理 GPU，适用于 AI 推理和图形渲染负载。SR-IOV 网络设备透穿将物理网卡划分为多个虚拟功能直接分配给虚拟机，实现高性能网络。

四、存储集成

Kubernetes 的 CSI（容器存储接口）和 PVC（持久卷声明）机制为虚拟机提供灵活的存储解决方案。KubeVirt 支持数据卷，可从容器镜像或 HTTP/S3 源导入虚拟机磁盘镜像。快照和克隆功能支持虚拟机备份和模板化部署。实时迁移配合共享存储实现零停机维护。

五、网络方案

Multus 将多个网络接口附加到 Pod，使虚拟机同时接入管理网络、存储网络和租户网络。Macvtap 和 bridge CNI 插件提供虚拟机所需的 L2 网络连接。NetworkPolicy 和 Calico 等 CNI 插件提供网络隔离和安全策略。OVN-Kubernetes 整合 Open vSwitch 提供高级网络虚拟化能力。

六、场景与最佳实践

混合负载管理是 KubeVirt 的主要场景：在同一个集群中，容器运行微服务、虚拟机运行传统单体应用。CI/CD 流水线可以利用虚拟机执行需要完整内核的环境测试。边缘计算场景中，KubeVirt 支持在受限边缘节点上运行虚拟化工作负载。建议使用节点亲和性策略将虚拟机调度到支持硬件虚拟化的节点，并为实时迁移预留足够的集群资源。