在 Kubernetes 集群中,多个控制器、工具和用户常常同时修改同一个资源对象。如果没有一种机制来追踪"谁在管什么字段",就不可避免地会产生冲突覆盖问题。`metadata.managedFields` 就是 k8s 为解决这一难题而设计的核心机制。它记录了每个管理器(Manager)对哪些字段拥有所有权,并在 server-side apply(服务端应用)场景下自动完成字段合并与冲突检测。本文基于 k8s v1.36.1 源码,对 managedFields 的类型定义、架构设计、构造流程、更新操作、清除机制以及所有 Manager 接口实现进行逐层剖析,配合源码级别的流程图讲解,确保读者读完能真正掌握这一机制的每一处细节。
Kubernetes k8s v1.36.1 Server-Side Apply FieldManager ManagedFields
★ 学习重点提示 — 建议先通读全文,再重点回顾标注内容
★ 重点掌握(必须)
• ManagedFieldsEntry 的 8 个字段含义及字段路径格式(FieldsV1 的 Trie 结构)
• FieldManager 的装饰器链架构——每一层各自负责什么职责
• Apply 和 Update 两种操作在 ManagedFields 层面的完整处理流程
• 清除 ManagedFields 的三种方式(PATCH / kubectl / 触发重置条件)
☆ 次重点(了解即可)
• LastAppliedConfiguration annotation 与 kubectl 客户端 apply 升级机制
• CapManagersManager 的上限合并策略(10 个上限、"ancient-changes" 合并桶)
• ProbabilisticSkipNonAppliedManager 的概率跳过逻辑
📄 文章目录
在 k8s 中,资源的最终状态由 etcd 统一存储,但写入路径却有很多条——Deployment 控制器会更新 Pod 模板、HPA 控制器会修改副本数、运维工程师可能手动编辑资源配置。当两个客户端同时修改同一个对象时,如果没有协调机制,后写入的就会覆盖前者的修改,导致意外的状态丢失。
`managedFields` 正是为了解决这个问题而生的。它的核心思想是:为每一次修改(无论是 Update 还是 Apply)记录"谁改了什么字段",当后续修改到来时,根据这些记录判断是否产生冲突——如果两个管理器试图修改同一个字段,就报冲突;如果各管各的字段,就自动合并。
💡 提示
managedFields 属于 metadata 下的一个字段,用户通常不需要直接操作它,但理解它的工作原理对于排查 server-side apply 冲突问题至关重要。kubectl 在使用 --field-manager 参数时可以指定管理器名称。
`ManagedFieldsEntry` 是 managedFields 数组中的基本单元,每一个 Entry 代表"一个管理器对某一类字段的所有权记录"。它在 API 层面的定义如下:
// staging/src/k8s.io/apimachinery/pkg/apis/meta/v1/types.go (k8s v1.36.1)
// ManagedFieldsEntry is a workflow-id, a FieldSet and the group version
// of the resource that the fieldset applies to.
type ManagedFieldsEntry struct {
// Manager is an identifier of the workflow managing these fields.
Manager string `json:"manager,omitempty" protobuf:"bytes,1,opt,name=manager"`
// Operation is the type of operation which lead to this ManagedFieldsEntry
// being created. The only valid values for this field are 'Apply' and 'Update'.
Operation ManagedFieldsOperationType `json:"operation,omitempty" protobuf:"bytes,2,opt,name=operation,casttype=ManagedFieldsOperationType"`
// APIVersion defines the version of this resource that this field set
// applies to.
APIVersion string `json:"apiVersion,omitempty" protobuf:"bytes,3,opt,name=apiVersion"`
// Time is the timestamp of when the ManagedFields entry was added.
Time *Time `json:"time,omitempty" protobuf:"bytes,4,opt,name=time"`
// FieldsType is the discriminator for the different fields format and version.
// There is currently only one possible value: "FieldsV1"
FieldsType string `json:"fieldsType,omitempty" protobuf:"bytes,6,opt,name=fieldsType"`
// FieldsV1 holds the first JSON version format as described in the "FieldsV1" type.
FieldsV1 *FieldsV1 `json:"fieldsV1,omitempty" protobuf:"bytes,7,opt,name=fieldsV1"`
// Subresource is the name of the subresource used to update that object,
// or empty string if the object was updated through the main resource.
Subresource string `json:"subresource,omitempty" protobuf:"bytes,8,opt,name=subresource"`
}
8 个字段的含义总结如下:
| 字段名 | 类型 | 说明 |
|---|---|---|
| manager | string | 管理器的名称,如 kubectl、deployment-controller |
| operation | Apply | Update | 触发本次 Entry 创建的操作类型,Apply 来自 server-side apply,Update 来自普通更新 |
| apiVersion | string | 该字段集适用的资源版本,用于追踪版本变化(Update 操作必须填,Apply 操作不填以保证幂等) |
| time | *Time | 该 Entry 的创建/更新时间戳,当管理器修改了所拥有的字段时会更新 |
| fieldsType | string | 当前固定为 "FieldsV1",作为格式版本区分符 |
| fieldsV1 | *FieldsV1 | 该管理器拥有的字段集合,以 Trie 化的 JSON 格式存储 |
| subresource | string | 更新的子资源名称(如 status),区分同一管理器的不同子资源操作 |
// staging/src/k8s.io/apimachinery/pkg/apis/meta/v1/types.go (k8s v1.36.1)
type ManagedFieldsOperationType string
const (
ManagedFieldsOperationApply ManagedFieldsOperationType = "Apply"
ManagedFieldsOperationUpdate ManagedFieldsOperationType = "Update"
)
两种操作类型的本质区别在于:Apply 会进行语义级别的字段合并(由 structured-merge-diff 库驱动),而 Update 则只记录字段变化、不会做语义合并。这两种类型各自驱动不同的管理策略。
`FieldsV1` 是 managedFields 中最核心的字段,它以 JSON 格式序列化的 Trie(前缀树)结构来描述"哪些字段被某个管理器拥有"。
// staging/src/k8s.io/apimachinery/pkg/apis/meta/v1/fieldsv1_byte.go (k8s v1.36.1)
// FieldsV1 stores a set of fields in a data structure like a Trie, in JSON format.
//
// Each key is either a '.' representing the field itself, and will always map to an empty set,
// or a string representing a sub-field or item. The string will follow one of these four formats:
// - 'f:' - field name in a struct
// - 'v:' - exact JSON value of a list item
// - 'i:' - position in a list
// - 'k:' - map of a list item's key fields to their unique values
type FieldsV1 struct {
Raw []byte `json:"-" protobuf:"bytes,1,opt,name=Raw"`
}
来看一个真实的 FieldsV1 示例。假设有一个 Deployment,kubectl 在 server-side apply 时声明了对以下字段的所有权:
{
"f:metadata": {
"f:labels": {
"f:app": {}
}
},
"f:spec": {
"f:replicas": {},
"f:selector": {
"f:matchLabels": {
"f:app": {}
}
},
"f:template": {
"f:spec": {
"f:containers": {
"k:{\"name\":\"nginx\"}": {
"f:image": {},
"f:name": {}
}
}
}
}
}
}
在这个结构中:
📄 官方引用 — 引用自 k8s 官方源码注释 / 官方文档
The exact format is defined in sigs.k8s.io/structured-merge-diff. 字段路径的 Trie 结构可以高效地表达嵌套字段和列表项的包含关系,并且支持快速判断两个字段集合之间是否存在交集(即冲突)。
FieldManager 的设计采用了典型的装饰器(Decorator)模式:核心是一个 `structuredMergeManager`,它负责实际的字段合并逻辑;在此之上,层层包裹了多个"管理器",每一层只专注于自己的职责,所有请求从上到下逐层处理、逐层增强,再从下到上逐层返回。
k8s v1.36.1 中完整的装饰器链如下(从外到内):
请求入口
↓
VersionCheckManager — 校验 GVK
↓
LastAppliedUpdater — 同步 last-applied 注解
↓
LastAppliedManager — 客户端→服务端升级
↓
ProbabilisticSkipNonAppliedManager — 首次 Apply 前置记录
↓
CapManagersManager — Update 条目上限(≤10)
↓
BuildManagerInfoManager — 构建唯一管理器标识
↓
ManagedFieldsUpdater — 更新时间戳
↓
StripMetaManager — 剥离元字段
↓
StructuredMergeManager — 核心合并逻辑
↓
etcd / 对象存储
对外暴露的 `FieldManager` 实际上是一个 type alias,指向 `internal.FieldManager`:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/fieldmanager.go (k8s v1.36.1)
type FieldManager = internal.FieldManager
内部 `FieldManager` 结构只有两个字段:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/fieldmanager.go (k8s v1.36.1)
// FieldManager updates the managed fields and merges applied configurations.
type FieldManager struct {
fieldManager Manager // 装饰器链的根节点(最外层 Manager)
subresource string // 子资源名称,如 "status",空字符串表示主资源
}
`FieldManager` 的两个核心公开方法是 `Update` 和 `Apply`,它们负责编码/解码 managedFields,并在请求对象和 etcd 存储对象之间来回转换。
所有装饰器都实现了同一个 `Manager` 接口。这个接口只有两个方法,分别对应两种操作路径:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/manager.go (k8s v1.36.1)
// Managed groups a fieldpath.ManagedFields together with the timestamps
// associated with each operation.
type Managed interface {
Fields() fieldpath.ManagedFields // 获取"管理器名 → 字段集合"的映射
Times() map[string]*metav1.Time // 获取每个管理器的时间戳
}
// Manager updates the managed fields and merges applied configurations.
type Manager interface {
// Update is used when the object has already been merged (non-apply use-case),
// and simply updates the managed fields in the output object.
Update(liveObj, newObj runtime.Object, managed Managed, manager string) (runtime.Object, Managed, error)
// Apply is used when server-side apply is called, as it merges the
// object and updates the managed fields.
Apply(liveObj, appliedObj runtime.Object, managed Managed, fieldManager string, force bool) (runtime.Object, Managed, error)
}
每个 Manager 的实现都持有对"下一个 Manager"的引用,请求从外层传入,经过每一层处理后继续向下传递,最终到达 `structuredMergeManager` 完成实际合并,再逐层返回。每个 Manager 可以:
装饰器链在源码中以链式调用的方式构造,每一层的职责如下:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/fieldmanager.go (k8s v1.36.1)
func NewDefaultFieldManager(f Manager, typeConverter TypeConverter, objectConverter runtime.ObjectConvertor, objectCreater runtime.ObjectCreater, kind schema.GroupVersionKind, subresource string) *FieldManager {
return NewFieldManager(
NewVersionCheckManager( // ① 最外层:校验 GVK 合法性
NewLastAppliedUpdater( // ② 同步 last-applied 注解
NewLastAppliedManager( // ③ 客户端→服务端升级
NewProbabilisticSkipNonAppliedManager( // ④ 首次 Apply 前置记录
NewCapManagersManager( // ⑤ Update 条目上限
NewBuildManagerInfoManager( // ⑥ 构建唯一标识
NewManagedFieldsUpdater( // ⑦ 更新时间戳
NewStripMetaManager(f), // ⑧ 剥离元字段
), kind.GroupVersion(), subresource,
), DefaultMaxUpdateManagers,
), objectCreater, DefaultTrackOnCreateProbability,
), typeConverter, objectConverter, kind.GroupVersion(),
),
),
), kind,
)
}
接下来逐层深入每一层的实现原理。
`StructuredMergeManager` 是整个装饰器链的终点(核心),负责实际的字段合并逻辑。它内部使用了 `sigs.k8s.io/structured-merge-diff` 库来实现语义级别的合并。
在 Apply 路径上,它做以下事情:
其 Update 路径类似,但调用的是 updater.Update(),不做语义合并,只记录字段变化。
`StripMetaManager` 确保 managedFields 永远不会包含 metadata 相关的元字段。它维护了一个固定的"剥离集合"(stripSet):
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/stripmeta.go (k8s v1.36.1)
stripSet := fieldpath.NewSet(
fieldpath.MakePathOrDie("apiVersion"),
fieldpath.MakePathOrDie("kind"),
fieldpath.MakePathOrDie("metadata"),
fieldpath.MakePathOrDie("metadata", "name"),
fieldpath.MakePathOrDie("metadata", "namespace"),
fieldpath.MakePathOrDie("metadata", "creationTimestamp"),
fieldpath.MakePathOrDie("metadata", "selfLink"),
fieldpath.MakePathOrDie("metadata", "uid"),
fieldpath.MakePathOrDie("metadata", "clusterName"),
fieldpath.MakePathOrDie("metadata", "generation"),
fieldpath.MakePathOrDie("metadata", "managedFields"), // 自身也要剥离!
fieldpath.MakePathOrDie("metadata", "resourceVersion"),
)
它在请求返回时(从内层 Manager 拿到结果后),将当前 manager 的字段集与 stripSet 做差集(Difference),如果结果为空则直接删除该 manager 的 Entry:
// StripMetaManager 只处理当前 manager 的字段集,其他 manager 的 Entry 不受影响
func (f *stripMetaManager) stripFields(managed fieldpath.ManagedFields, manager string) {
vs, ok := managed[manager]
if ok {
newSet := vs.Set().Difference(f.stripSet)
if newSet.Empty() {
delete(managed, manager) // 剥离后为空?直接删除 Entry
} else {
managed[manager] = fieldpath.NewVersionedSet(newSet, vs.APIVersion(), vs.Applied())
}
}
}
`ManagedFieldsUpdater` 在 Update 操作中使用了"临时管理器名称"的技巧:
Apply 路径更简单,直接更新时间戳即可:
// ManagedFieldsUpdater.Apply — Apply 路径只更新时间戳
func (f *managedFieldsUpdater) Apply(...) {
object, managed, err := f.fieldManager.Apply(liveObj, appliedObj, managed, fieldManager, force)
if err != nil { return object, managed, err }
if object != nil {
managed.Times()[fieldManager] = &metav1.Time{Time: time.Now().UTC()}
}
return object, managed, nil
}
`BuildManagerInfoManager` 的职责是将用户传入的 manager 名称(如 "kubectl")转换为系统内部使用的唯一标识符(Manager Identifier)。这个标识符是一个 JSON 字符串,包含 manager 名称、操作类型、API 版本和子资源。
// BuildManagerInfoManager.Update — Update 操作生成的标识符
{
"manager": "deployment-controller",
"operation": "Update",
"apiVersion": "apps/v1",
"subresource": "" // 或 "status"
}
// BuildManagerInfoManager.Apply — Apply 操作生成的标识符
// 注意:Apply 版本的 apiVersion 字段为空(由 BuildManagerIdentifier 处理)
{
"manager": "kubectl",
"operation": "Apply",
"apiVersion": "", // Apply 时置空,保证同一 manager 每次 Apply 的标识符相同
"subresource": ""
}
💡 注意
Apply 操作的 apiVersion 被置为空字符串,这是因为 Apply 操作需要跨版本保持幂等性——同一个 manager 每次执行 Apply 时应该使用相同的标识符,不管资源的 API 版本如何变化。
`CapManagersManager` 限制 managedFields 中来自 Update 操作的条目数量不超过 DefaultMaxUpdateManagers(默认值 10)。当数量超限时,它按时间戳从旧到新排序,将最早的 Update 条目合并到一个名为 "ancient-changes" 的合并桶中。
CapManagersManager.Update() → 收集所有 Update 条目 → 数量 ≤ 10? → 直接放行 ↓ 数量 > 10? → 按时间排序,最旧条目合并到 "ancient-changes"
合并策略的关键点是:同 API 版本的条目会合并到同一个 versioned bucket 中,不同版本维持独立条目。这样既控制了 Entry 数量,又保留了版本信息。
`ProbabilisticSkipNonAppliedManager` 处理一种特殊情况:对象在创建时还没有 managedFields(空对象),但后续有多个客户端可能同时 Apply。它在第一次 Apply 时,先用内层 Manager 的 Update 方法将 live object 的现有字段记录到一个名为 "before-first-apply" 的管理器下,确保后续的合并不会遗漏之前已经存在的字段。
// NewProbabilisticSkipNonAppliedManager — 首次 Apply 前置记录逻辑
func (f *skipNonAppliedManager) Apply(liveObj, appliedObj runtime.Object, managed Managed, fieldManager string, force bool) (runtime.Object, Managed, error) {
if len(managed.Fields()) == 0 {
// 创建一个空对象,与 liveObj 对比,记录现有字段到 before-first-apply
emptyObj, err := f.objectCreater.New(appliedObj.GetObjectKind().GroupVersionKind())
liveObj, managed, err = f.fieldManager.Update(emptyObj, liveObj, managed, "before-first-apply")
}
return f.fieldManager.Apply(liveObj, appliedObj, managed, fieldManager, force)
}
k8s v1.36.1 中 `DefaultTrackOnCreateProbability = 1.0`,意味着默认总是从对象创建时就开始追踪管理字段。
`LastAppliedManager` 专门处理从客户端 apply(kubectl 旧版)迁移到服务端 apply 的场景。当 kubectl 使用 server-side apply 时(kubectl apply --server-side),如果遇到了冲突,它会检查 kubectl.kubernetes.io/last-applied-configuration 注解中的字段,计算出"上一次客户端 apply 时声明的字段集合",将这些字段视为允许的冲突,从而实现无缝升级。
// LastAppliedManager.Apply — 升级逻辑核心
func (f *lastAppliedManager) Apply(liveObj, newObj, managed, manager string, force bool) (runtime.Object, Managed, error) {
newLiveObj, newManaged, newErr := f.fieldManager.Apply(liveObj, newObj, managed, manager, force)
// 只有 kubectl 管理器才触发升级逻辑
if manager != "kubectl" { return newLiveObj, newManaged, newErr }
// 如果没有冲突,不需要升级
if newErr == nil { return newLiveObj, newManaged, newErr }
// 检查冲突是否全部来自 last-applied 注解
allowedConflictSet, err := f.allowedConflictsFromLastApplied(liveObj)
if err != nil { return newLiveObj, newManaged, newErr } // 没有注解,降级返回
// 如果冲突中包含非 last-applied 的字段,返回真实冲突
if !conflictSet.Difference(allowedConflictSet).Empty() {
return newLiveObj, newManaged, newConflicts // 部分冲突,降级返回
}
// 所有冲突都来自 last-applied,强制 Apply
return f.fieldManager.Apply(liveObj, newObj, managed, manager, true)
}
`LastAppliedUpdater` 在每次成功的 kubectl server-side apply 后,将请求对象序列化后设置为 kubectl.kubernetes.io/last-applied-configuration 注解的值。这个注解供旧版 kubectl 客户端使用,实现双向兼容。
// LastAppliedUpdater.Apply — kubectl server-side apply 后同步注解
func (f *lastAppliedUpdater) Apply(liveObj, newObj runtime.Object, managed Managed, manager string, force bool) (runtime.Object, Managed, error) {
liveObj, managed, err := f.fieldManager.Apply(liveObj, newObj, managed, manager, force)
if err != nil { return liveObj, managed, err }
// 只对 kubectl manager 同步注解
if manager == "kubectl" && hasLastApplied(liveObj) {
lastAppliedValue, err := buildLastApplied(newObj)
if err != nil { return nil, nil, fmt.Errorf("failed to build last-applied annotation: %v", err) }
err = SetLastApplied(liveObj, lastAppliedValue)
}
return liveObj, managed, err
}
ManagedFields 在内存中以 `fieldpath.ManagedFields`(管理器名 → VersionedSet)的形式存在,序列化到对象时需要转换为 `[]ManagedFieldsEntry`。这个编码过程由 EncodeObjectManagedFields 完成:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/managedfields.go (k8s v1.36.1)
func EncodeObjectManagedFields(obj runtime.Object, managed ManagedInterface) error {
accessor, _ := meta.Accessor(obj)
encodedManagedFields, err := encodeManagedFields(managed)
accessor.SetManagedFields(encodedManagedFields)
return nil
}
func encodeManagedFields(managed ManagedInterface) ([]metav1.ManagedFieldsEntry, error) {
if len(managed.Fields()) == 0 {
return nil, nil // 空字段集返回 nil slice
}
for manager, versionedSet := range managed.Fields() {
entry := encodeManagerVersionedSet(manager, versionedSet)
entry.Time = managed.Times()[manager]
encodedManagedFields = append(encodedManagedFields, *entry)
}
return sortEncodedManagedFields(encodedManagedFields)
}
当请求到来时,需要从 etcd 中读取对象,然后解码出 managedFields 结构。解码过程由 DecodeManagedFields 完成:
func DecodeManagedFields(encodedManagedFields []metav1.ManagedFieldsEntry) (ManagedInterface, error) {
managed := managedStruct{}
managed.fields = make(fieldpath.ManagedFields, len(encodedManagedFields))
managed.times = make(map[string]*metav1.Time, len(encodedManagedFields))
for _, em := range encodedManagedFields {
// 校验 Operation 类型
switch em.Operation {
case ManagedFieldsOperationApply, ManagedFieldsOperationUpdate:
default:
return nil, fmt.Errorf("operation must be `Apply` or `Update`")
}
// 校验 FieldsType
switch em.FieldsType {
case "FieldsV1": // 唯一支持的格式
case "":
return nil, fmt.Errorf("missing fieldsType")
default:
return nil, fmt.Errorf("invalid fieldsType %q", em.FieldsType)
}
// 解码字段集
manager, _ := BuildManagerIdentifier(&em)
managed.fields[manager], _ = decodeVersionedSet(&em)
managed.times[manager] = em.Time
}
return &managed, nil
}
BuildManagerIdentifier 是构造管理器标识符的核心函数。它将一个 `ManagedFieldsEntry` 的部分字段(忽略 fields、time、fieldsType)JSON 序列化为字符串,作为内部 key 来识别管理器:
func BuildManagerIdentifier(encodedManager *metav1.ManagedFieldsEntry) (manager string, err error) {
encodedManagerCopy := *encodedManager
// 以下字段不参与标识符的构建
encodedManagerCopy.FieldsType = ""
encodedManagerCopy.FieldsV1 = nil
encodedManagerCopy.Time = nil
// Apply 操作:apiVersion 也置空,保证幂等
if encodedManager.Operation == metav1.ManagedFieldsOperationApply {
encodedManagerCopy.APIVersion = ""
}
b, _ := json.Marshal(&encodedManagerCopy)
return string(b), nil
}
经过这个函数处理后,Apply 管理器生成的标识符示例为:
{"manager":"kubectl","operation":"Apply","apiVersion":"","subresource":""}
而 Update 管理器生成的标识符示例为:
{"manager":"deployment-controller","operation":"Update","apiVersion":"apps/v1","subresource":"status"}
注意:Update 类型的 apiVersion 不为空,这意味着同一个管理器在不同 API 版本下会有不同的标识符,从而在版本转换时能够正确追踪字段所有权。
Update 操作发生在普通资源更新场景下(不是 server-side apply)。它的处理流程如下:
请求入口 — HTTP PUT/PATCH 走 /update 子资源路径
↓
FieldManager.Update() — 解码 live 对象的 managedFields,调用装饰器链
↓
VersionCheckManager — 校验 GVK 版本
↓
LastAppliedUpdater — Update 路径透传(不处理注解)
↓
LastAppliedManager — Update 路径透传(只处理 Apply)
↓
ProbabilisticSkipNonAppliedManager — 检查是否跳过追踪
↓
CapManagersManager — 合并超限的 Update 条目
↓
BuildManagerInfoManager — 拼接 manager + Update + apiVersion + subresource
↓
ManagedFieldsUpdater — 用 "current-operation" 检测变化,更新真实 manager 时间戳
↓
StripMetaManager — 剥离元字段
↓
StructuredMergeManager — 计算字段变化,更新 managed fields
↓
FieldManager.Update() 返回 — 编码 managedFields 回对象,写入 etcd
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/fieldmanager.go (k8s v1.36.1)
func (f *FieldManager) Update(liveObj, newObj runtime.Object, manager string) (object runtime.Object, err error) {
isSubresource := f.subresource != ""
managed, err := decodeLiveOrNew(liveObj, newObj, isSubresource)
if err != nil { return newObj, nil }
RemoveObjectManagedFields(newObj) // 从请求对象中移除 managedFields,防止递归
object, managed, err = f.fieldManager.Update(liveObj, newObj, managed, manager)
if err != nil { return nil, err }
EncodeObjectManagedFields(object, managed) // 编码回对象
return object, nil
}
Apply 操作(server-side apply)是最复杂的路径。它在 Update 流程的基础上增加了语义合并逻辑、冲突检测和 Force 覆盖机制。
请求入口 — HTTP PATCH Content-Type: application/apply-patch+yaml
↓
FieldManager.Apply() — 从 live 对象解码 managedFields
↓
VersionCheckManager — 校验 patch 与 live 的 GVK 匹配
↓
LastAppliedUpdater — kubectl 场景:同步 last-applied 注解
↓
LastAppliedManager — kubectl 冲突时:检查 last-applied 是否允许
↓
ProbabilisticSkipNonAppliedManager — 首次 Apply:记录现有字段到 before-first-apply
↓
CapManagersManager — Apply 路径透传(不处理)
↓
BuildManagerInfoManager — 拼接 manager + Apply(apiVersion 置空)
↓
ManagedFieldsUpdater — 更新时间戳
↓
StripMetaManager — 剥离元字段
↓
StructuredMergeManager.Apply() — 三向合并 + 冲突检测,返回合并后对象
↓
冲突? — 如果有冲突且 force=false,返回 409 Conflict
↓
FieldManager.Apply() 返回 — 编码 managedFields,写入 etcd
func (f *FieldManager) Apply(liveObj, appliedObj runtime.Object, manager string, force bool) (object runtime.Object, err error) {
accessor, _ := meta.Accessor(liveObj)
managed, _ := DecodeManagedFields(accessor.GetManagedFields())
object, managed, err = f.fieldManager.Apply(liveObj, appliedObj, managed, manager, force)
if err != nil {
if conflicts, ok := err.(merge.Conflicts); ok {
return nil, NewConflictError(conflicts) // 转换为 API 错误
}
return nil, err
}
EncodeObjectManagedFields(object, managed)
return object, nil
}
清除 managedFields 有多种方式,分别适用于不同的场景。理解清除的触发条件对于日常运维非常重要。
k8s 通过 isResetManagedFields 函数判断用户是否在尝试重置 managedFields:
// 条件一:managedFields 是一个空切片(不是 nil),表示要清除
if len(managedFields) == 0 {
return managedFields != nil // nil=false(未传入),empty slice=true(要清除)
}
// 条件二:managedFields 只包含一个全零值 Entry
if len(managedFields) == 1 {
return reflect.DeepEqual(managedFields[0], metav1.ManagedFieldsEntry{})
}
通过 PATCH 请求将 managedFields 设置为空切片或全零 Entry,apiserver 会识别出重置意图:
# 方法 1:设置为空数组
$ kubectl patch <resource> --type merge -p '{"metadata":{"managedFields":[]}}'
# 方法 2:设置为一个全零 Entry(也是重置信号)
$ kubectl patch <resource> --type merge -p '{"metadata":{"managedFields":[{}]}}'
此时 isResetManagedFields 返回 true,decodeLiveOrNew 返回空 managed,后续处理不再追踪字段。
当使用 --force-conflicts 时,force=true,所有冲突被忽略,Apply 仍然成功执行。但这只是"强制接管字段",不是清除 managedFields。
在某些替换操作场景下,旧对象的 managedFields 会被完全丢弃。源码中的 RemoveObjectManagedFields 函数专门负责在对象合并前将 managedFields 从请求对象中移除,防止递归追踪:
// RemoveObjectManagedFields — 在合并前从请求对象中剥离 managedFields
// 这样 managedFields 自身就不会出现在 managedFields 的字段路径中
func RemoveObjectManagedFields(obj runtime.Object) {
accessor, _ := meta.Accessor(obj)
accessor.SetManagedFields(nil)
}
⚠️ 警告
清除 managedFields 不会释放字段所有权。任何管理器仍然可以继续声明对这些字段的所有权,之前被追踪的字段所有权历史记录会丢失。在生产环境中通常不建议手动清除 managedFields,除非你知道自己在做什么。
当 manager A 声明对字段 F 的所有权后,manager B 也试图修改字段 F,此时就会产生冲突。冲突在 StructuredMergeManager.Apply 中由 SMD 库的 updater.Apply 检测,返回 merge.Conflicts 错误类型。
FieldManager 将冲突转换为用户友好的 API 错误:
// 冲突转换为 HTTP 409 响应
if conflicts, ok := err.(merge.Conflicts); ok {
return nil, NewConflictError(conflicts)
}
func NewConflictError(conflicts merge.Conflicts) *errors.StatusError {
causes := []metav1.StatusCause{}
for _, conflict := range conflicts {
causes = append(causes, metav1.StatusCause{
Type: metav1.CauseTypeFieldManagerConflict,
Message: fmt.Sprintf("conflict with %v", printManager(conflict.Manager)),
Field: conflict.Path.String(),
})
}
return errors.NewApplyConflict(causes, ...)
}
当 force=true 时,SMD 库的合并逻辑会强制应用 patch,即使与现有管理器的字段冲突。冲突的字段会被新管理器接管(但不会删除旧管理器的 Entry——旧管理器仍然保留其记录,只是字段不再属于它)。
# 强制 Apply,忽略所有冲突 $ kubectl apply --server-side --field-manager=my-controller --force-conflicts -f deployment.yaml
Force apply 在实际生产中有两个主要用途:
在 k8s 1.14 之前,kubectl apply 使用纯客户端三向合并(client-side apply)。它通过 kubectl.kubernetes.io/last-applied-configuration 注解记录上一次 apply 的完整对象内容:
# 注解内容(JSON 序列化)
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"apps/v1","kind":"Deployment","metadata":{"name":"nginx","labels":{"app":"nginx"}},"spec":{"replicas":3,...}}
客户端三向合并的逻辑是:新对象 = 上次 apply 状态 + 本次改动,即 last-applied-configuration 作为基准,与新对象对比得出差异,然后对 live 对象应用这个差异。
当 kubectl 使用 --server-side 时,apiserver 端有两个组件协同工作:
| 组件 | 职责 |
|---|---|
| LastAppliedUpdater | 每次 kubectl server-side apply 成功后,将请求对象序列化写入 last-applied 注解 |
| LastAppliedManager | 当 kubectl server-side apply 遇到冲突时,读取 last-applied 注解,计算其中包含的字段集合,将其视为允许的冲突,实现无缝升级 |
这样设计的好处是:即使用户从客户端 apply 切换到服务端 apply(或者反过来),k8s 都能正确处理字段所有权,不会有任何字段因为"升级"而丢失。
最终写入 etcd 的 managedFields 数组不是随机顺序的,而是严格按照以下规则排序(由 sortEncodedManagedFields 实现):
排序后的 managedFields 使得多次操作的结果具有确定性,便于调试和理解。
以下 FAQ 覆盖了 managedFields 在生产环境中真正容易踩坑的地方,每个解答都基于源码分析,篇幅均在 200-500 字之间。
▼ Q: 使用 server-side apply 时遇到 409 Conflict 错误,该如何排查?
A: 409 Conflict 表示你尝试修改的字段已经被其他管理器声明了所有权。排查步骤如下:首先用 kubectl get <resource> -o yaml 查看 metadata.managedFields 字段,找出冲突管理器(如 deployment-controller)和冲突字段(如 spec.replicas)。如果这个字段确实应该由你的管理器来管理,可以使用 --force-conflicts 强制接管;如果这是其他控制器的正常行为,你需要修改你的 YAML 去掉对该字段的声明。另外注意:HPA 修改副本数时会获得 spec.replicas 的所有权,此时你不能用 kubectl 覆盖这个字段,必须通过 HPA 机制来调整副本数。
▼ Q: 对象的 managedFields 条目超过了 10 个,旧的控制器条目去哪了?
A: 当 managedFields 中 Update 类型的条目超过 10 个时,最早的条目会被合并到一个名为 "ancient-changes" 的特殊管理器中。合并策略是按时间从旧到新排序,同 API 版本的字段集合会合并到同一个 versioned bucket,不同版本维持独立条目。比如有三个 Update 条目:v1/replicas、v1/labels、v1/annotations,它们不会被合并(因为总数不超过 10);但如果有 12 个,就会将最早的两个合并到 ancient-changes。这个机制保证了 managedFields 的内存占用可控,同时尽可能保留版本信息。查看时你会看到 manager: "ancient-changes", operation: Update 的 Entry,它的 fieldsV1 包含了所有被合并字段的路径。
▼ Q: 同一个控制器多次更新同一个对象,managedFields 中会积累多条记录吗?
A: 这要区分 Apply 和 Update 两种情况。对于 Update 操作,每次更新都会在 ManagedFieldsUpdater 中将新字段与该管理器已有字段做并集(Union),时间戳也会更新为当前时刻,所以同一个管理器的多次 Update 在 managedFields 中只会有一条 Entry,fieldsV1 会持续扩大。对于 Apply 操作,SMD 库会执行语义合并:同一管理器声明的字段会被保留,不同管理器声明的字段则各自独立。如果同一个管理器第二次 Apply 时声明的字段比上次少(比如删除了一个字段),managedFields 中该管理器的 fieldsV1 也会相应缩小——但注意,managedFields 不会自动"删除"字段,只有当其他管理器接管了该字段时,才会从原管理器的 fieldsV1 中移除。
▼ Q: kubectl apply --server-side 和 kubectl apply(客户端)混用会出问题吗?
A: 不会。k8s 的 LastAppliedManager 专门处理了这种迁移场景。当 kubectl 使用 server-side apply(manager = "kubectl")遇到冲突时,如果冲突的字段在 kubectl.kubernetes.io/last-applied-configuration 注解中(说明是上一次客户端 apply 时声明的字段),这些冲突会被视为"允许的升级路径",系统会自动 force apply。换句话说,从客户端 apply 切换到服务端 apply 是无缝的,不会因为"升级"而丢失字段。但反过来从服务端 apply 切换回客户端 apply 时,客户端 apply 只会处理它在 YAML 中显式声明的字段,不会自动接管服务端管理的字段——如果客户端需要接管某个字段,需要使用 kubectl apply --server-side --force-conflicts 先做一次 force,再切回客户端模式。
▼ Q: 手动 kubectl edit 修改对象后,managedFields 会发生什么变化?
A: kubectl edit 实际上走的是 HTTP PUT 路径,经过的是 FieldManager.Update() 而非 Apply()。在 Update 流程中,StripMetaManager 会剥离你修改的字段(如果它们属于 metadata 元字段),而实际修改的业务字段(如 spec.replicas)会通过 StructuredMergeManager.Update() 记录到 managedFields 中。更新操作使用的是 BuildManagerInfoManager 生成的标识符,manager 名称默认为 kubectl,operation 为 Update,apiVersion 会填入当前资源版本(如 apps/v1)。所以当你手动编辑副本数时,kubectl 的 Update 条目会获得 spec.replicas 的所有权——这也意味着如果 Deployment 控制器同时想改副本数,就会产生冲突。
▼ Q: 控制器使用什么管理器名称?名称不同会有什么影响?
A: k8s 各个内置控制器的 field manager 名称各不相同,这些名称在 apiserver 的 handler 层硬编码。以 deployment-controller 为例,它使用的是 deployment-controller 作为 manager 名称。控制器通常通过 client-go 的 Update 方法(而非 Apply)来修改资源,所以它们拥有的是 Update 类型的 Entry。当我们使用 kubectl apply --server-side --field-manager=my-custom-manager 时,会创建一个独立的 Apply 条目。如果两个管理器声明了相同字段,就会冲突;如果声明的字段互不重叠,则各管各的,不会冲突。不同的 field manager 名称是完全隔离的,名称只是一个人类可读的标识符,真正的隔离由 FieldsV1 中的字段路径集合决定。
▼ Q: 为什么要剥离 metadata 相关的字段?managedFields 能追踪 metadata 吗?
A: 这是 StripMetaManager 的核心职责。它在字段集合中明确排除了 12 个 metadata 相关字段,包括 metadata.name、metadata.namespace、metadata.resourceVersion、metadata.managedFields 本身等。原因是:这些字段属于对象的元信息,不应该被任何业务管理器"拥有"。比如 resourceVersion 是乐观锁机制的核心,如果某个管理器拥有了它,就可能导致版本冲突被错误覆盖;managedFields 自身更不能被追踪(否则会形成递归:managedFields 包含 managedFields,managedFields 字段又是 managedFields 的一部分)。这个剥离过程发生在装饰器链的倒数第二层,在 StructuredMergeManager 完成合并之后、返回之前。
▼ Q: 使用 dry-run 模式时,managedFields 会被修改吗?
A: k8s 的 dry-run 机制分两种:服务端 dry-run(--dry-run=server)和客户端 dry-run(--dry-run=client)。对于服务端 dry-run,请求仍然会经过完整的 FieldManager 处理流程(解码 managedFields → 装饰器链 → 合并 → 编码 managedFields),只是最终不会写入 etcd。这意味着 managedFields 在 dry-run 过程中仍然会被计算和更新,但在请求结束后变更被丢弃(因为没有实际持久化)。客户端 dry-run 则完全不经过 apiserver 的 FieldManager,只是在本地做 YAML 验证,不涉及 managedFields 的任何操作。在实际测试和 CI/CD 场景中,如果想验证 managedFields 的行为,必须使用服务端 dry-run 模式。
▼ Q: 自定义控制器是否应该使用 server-side apply?有什么推荐的做法?
A: 对于自定义控制器(Operator),推荐的做法取决于场景。如果控制器需要声明式管理某个字段的所有权(即"我管这些字段,其他人不应该随意改"),应该使用 server-side apply。client-go 从 v0.19.0 开始支持 server-side apply,通过 Patch 或 Apply 方法配合 FieldManager 选项即可实现。如果控制器只是被动响应(根据状态变化做调整),使用普通的 Update 即可——Update 不做语义合并,控制器只需要声明自己改了哪些字段即可。关键是要为控制器选择一个有意义的 field manager 名称(如 my-operator),不要使用默认名称,这样可以和其他管理器(如 kubectl)区分开来,便于在发生冲突时快速定位问题。
▼ Q: 对象的 managedFields 字段非常大(如几百个条目),这对 apiserver 性能有影响吗?
A: managedFields 过大确实会影响性能。每次对对象的修改(包括 Update、Apply、Patch)都需要解码 managedFields、执行合并、重新编码,这个过程的时间复杂度与 Entry 数量和字段路径的数量成正比。k8s 通过两个机制缓解这个问题:第一,CapManagersManager 将 Update 条目数限制在 10 以内(超出则合并到 ancient-changes);第二,ProbabilisticSkipNonAppliedManager 通过概率跳过避免在对象创建时就产生大量追踪记录。但在 CRD 场景下,如果大量管理器同时使用 server-side apply,managedFields 可能会膨胀。建议的做法是:监控 managedFields 的大小,如果超过合理范围,考虑清理不再活跃的管理器(通过 PATCH 设置 managedFields 为空数组),或者使用 force apply 让少数活跃管理器接管更多字段,减少 Entry 数量。
▼ Q: Subresource(子资源)更新时 managedFields 是如何处理的?
A: k8s 支持对子资源(如 /status、/scale)的独立更新。当通过子资源路径更新时,FieldManager 在构造时会传入非空 subresource 参数(如 "status")。这个参数一路传递到 BuildManagerInfoManager,被编码到 manager identifier 中。因此,主资源更新和子资源更新的 managedFields Entry 是完全独立的:主资源更新生成的标识符包含 "subresource": "",子资源更新生成的标识符包含 "subresource": "status"。这样即使同一个管理器(如同一个 deployment-controller)同时修改主资源和 status,managedFields 中也会有两条不同的 Entry,分别追踪主资源和 status 的字段所有权。比如 HPA 修改 scale 子资源时,它的 managedFields entry 会包含 "subresource": "scale",不会与主资源更新的 entry 混淆。
▼ Q: LastAppliedConfiguration 注解有大小限制吗?如果 YAML 很大会怎样?
A: annotations 在 k8s 中有大小限制(默认最大 256KB,超过会报错)。SetLastApplied 函数在写入 last-applied 注解之前,会调用 apimachineryvalidation.ValidateAnnotationsSize 校验注解大小:
// staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/lastapplied.go (k8s v1.36.1)
func SetLastApplied(obj runtime.Object, value string) error {
accessor, _ := meta.Accessor(obj)
annotations := accessor.GetAnnotations()
if annotations == nil { annotations = map[string]string{} }
annotations[LastAppliedConfigAnnotation] = value
if err := apimachineryvalidation.ValidateAnnotationsSize(annotations); err != nil {
delete(annotations, LastAppliedConfigAnnotation) // 超过大小限制,静默丢弃
}
accessor.SetAnnotations(annotations)
return nil
}
注意这里是静默丢弃——超过大小限制时,注解不会被写入,但函数返回 nil 不报错。这在实践中意味着:如果 YAML 非常大,last-applied 注解会丢失,此时 LastAppliedManager 的升级逻辑将无法生效,客户端到服务端的升级路径会降级为普通 Apply(有冲突就报错)。如果需要管理超大的 YAML,建议使用纯 server-side apply 而不依赖 last-applied 注解的升级机制。
▼ Q: Apply 和 Update 两种 Entry 混存在 managedFields 中时,冲突检测的行为有什么不同?
A: 这是理解 managedFields 行为最核心的点之一。Apply Entry(operation="Apply")是由 server-side apply 创建的,具有声明式语义:它声明"我想要这个字段是这个值",SMD 库会根据所有 Apply Entry 计算最终字段值,如果多个管理器声明了同一字段,则产生冲突。Update Entry(operation="Update")是由普通 HTTP PUT/PATCH 创建的,是命令式的:它说"字段从 A 变成了 B",SMD 库将其解释为"这个管理器拥有从 A 到 B 的变化路径"。当 Apply Entry 和 Update Entry 同时存在时,SMD 库会统一处理它们:只要两个 Entry 覆盖的字段路径有交集,就认为存在冲突。这意味着如果 kubectl(Apply)和 deployment-controller(Update)同时管理 spec.replicas,就会冲突——即使一个是声明式的、一个是命令式的。在实际使用中,建议同一个字段只使用一种操作类型,不要混用 Apply 和 Update 来管理相同的字段。
▼ Q: 使用 server-side apply 后,对象被删除了,managedFields 相关的资源会怎么样?
A: managedFields 是内嵌在对象的 metadata 中的字段,没有独立的存储。当对象被删除时(无论是通过 kubectl delete、控制器删除、还是 GC 回收),managedFields 随对象一起被删除,不存在独立的清理过程。但有一种特殊情况需要注意:Finalizer。Finalizer 机制允许控制器在对象删除前执行清理逻辑。如果控制器依赖 managedFields 来判断"是否应该执行清理"(比如判断是否有其他管理器还拥有字段),这个逻辑是安全的——因为 Finalizer 阶段对象还未真正从 etcd 删除,managedFields 仍然可以读取。只有当 Finalizer 全部被移除后,对象才会被真正删除,此时 managedFields 才随之消失。对于 HPA 控制器管理的 scale 对象、Pod 相关的资源等,这个机制保证了字段所有权信息在资源生命周期内始终可用。
▼ Q: 在多租户场景下,如何用 managedFields 实现字段级别的权限隔离?
A: managedFields 本身不是安全边界,它是协作协调机制,不能用于访问控制。但它可以配合 RBAC 实现字段级别的使用约定。在多租户场景中,推荐的做法是:每个租户使用唯一的 field manager 名称(如 tenant-a-controller、tenant-b-controller),并且只在 YAML 中声明自己负责的字段,不声明其他租户的字段。如果两个租户的操作产生了字段冲突,apiserver 会返回 409 Conflict,平台管理员可以通过查看 managedFields 快速定位是哪个租户的管理器尝试修改了不属于自己的字段。真正实现字段级权限隔离需要 RBAC + admission controller 的配合——例如配置 metadata.resourceVersion 的写入限制,或者使用 ValidatingAdmissionPolicy 对特定字段的修改做额外校验。managedFields 提供了可视化的问题排查能力,但不提供强制隔离。
▼ Q: 当对象发生版本转换(如 deployment 从 apps/v1beta2 迁移到 apps/v1)时,managedFields 会怎样处理?
A: 版本转换(Version Conversion)时,managedFields 中的 APIVersion 字段(仅限 Update Entry)会被更新。Apply Entry 的 apiVersion 为空字符串(因为 BuildManagerIdentifier 在 Apply 时将 APIVersion 置为空),所以 Apply Entry 不受版本转换影响。对于 Update Entry,BuildManagerInfoManager 在每次 Update 操作时会用当前资源的 kind.GroupVersion() 填充 apiVersion 字段。如果对象的 API 版本发生变化(例如从 v1beta1 PUT 到 v1),新的 Update Entry 会以新版本的 apiVersion 存储,而旧的 Update Entry 保留原始版本。SMD 库负责处理字段在不同版本间的映射——如果某个字段在新版本中被重命名或移除,version converter 会记录这个映射关系,managedFields 中的字段路径会自动跟随版本变化。需要注意的是,k8s 要求 CRD 的版本之间必须保持字段的兼容性(additive only),所以这种转换通常是安全的。
▼ Q: 为什么第一次 Apply 时 managedFields 会多出一个 before-first-apply 条目?这个条目的作用是什么?
A: 这个机制由 ProbabilisticSkipNonAppliedManager 实现。考虑这个场景:对象已经存在并且有一些字段值(如 replicas=3),但还没有 managedFields(意味着从未使用过 server-side apply)。此时如果管理器 A 执行 server-side apply 声明 replicas=5,系统需要知道"replicas=3 这个值是谁设置的"——因为它不能简单地覆盖这个值,否则原来设置它的管理器就丢失了字段所有权。解决方案是:在第一次 Apply 时,先用 Update 方法将 live object(此时还没有 managedFields)作为对比基准,计算出"当前已经存在的字段"(replicas=3),将这些字段记录到一个名为 before-first-apply 的管理器下。然后再执行正常的 Apply。这样后续的合并就有了一个正确的基准:既知道对象当前的真实值,也知道这些值来自哪里。before-first-apply 会在后续的正常 Apply 中被合并到新管理器的 fieldsV1 中,它的 Entry 最终会被 CapManagersManager 合并到 ancient-changes。
▼ Q: 使用 kubectl replace 命令时 managedFields 会被保留还是重置?
A: kubectl replace 本质上是发送一个 HTTP PUT 请求,用 YAML 文件中的完整对象替换 etcd 中已有的对象。由于 PUT 请求走的是 FieldManager.Update() 路径(不是 Apply),decodeLiveOrNew 会从 liveObj(etc d 中已有的对象)中读取 managedFields 并解码为 ManagedInterface。关键点在于:如果 YAML 文件中包含 managedFields 字段(kubectl get 出来的 YAML 通常会包含),RemoveObjectManagedFields(newObj) 会先将其清空(防止用户显式设置 managedFields),然后基于 live 对象中的 managedFields 继续追踪。所以 kubectl replace 会保留原有 managedFields 的历史记录,只是 Update 操作会将当前 replace 请求涉及的字段追加到 kubectl 的 Update Entry 中。如果 YAML 中带了 managedFields 字段,apiserver 会忽略它(因为 RemoveObjectManagedFields 在合并前就清空了),这防止了用户通过直接编辑 managedFields 来"作弊"获取字段所有权。
▼ Q: CRD 使用 server-side apply 时,managedFields 的行为与内置资源有什么不同?
A: 对于 CRD,k8s 使用 NewCRDStructuredMergeManager 而不是 NewStructuredMergeManager,两者的核心区别在于类型转换器(TypeConverter)。内置资源使用的是带完整 schema 定义的类型转换器,可以精确知道每个字段的类型和结构;CRD 使用的是宽松的类型转换器(基于 unstructured.Unstructured),允许字段不在 schema 定义中出现,也允许 schema 完全缺失的 CRD。这意味着对 CRD 字段的追踪精度略低,但灵活性更高。另外,CRD 的字段合并策略由 CRD 的 schema 定义决定——如果 schema 中某字段被标记为 x-kubernetes-preserve-unknown-fields: true,该字段中的任何内容都会被保留而不会触发冲突检测。如果 CRD 的 schema 发生变化(比如删除了某个字段),旧的 managedFields 中对应的 Entry 条目仍然存在,但该字段在对象中已经不存在了——这不会造成错误,apiserver 只是会忽略那些已经没有对应对象的字段路径。
▼ Q: 在滚动更新过程中,managedFields 是如何处理新旧 Pod 之间的状态传递的?
A: 这是一个常见误区需要澄清:managedFields 是对象级别的字段,Pod 是独立的资源对象,Deployment 的 managedFields 和 Pod 的 managedFields 之间没有任何关联。Deployment 的 managedFields 记录的是 Deployment 控制器对 Deployment 对象字段(如 spec.template)的所有权;Pod 的 managedFields 记录的是 kubelet 或其他组件对 Pod 字段的所有权。在滚动更新过程中:Deployment 控制器修改 Deployment.spec.template(Pod 模板),这个修改由 Deployment 控制器的 Update Entry 记录在 Deployment 对象的 managedFields 中;kubelet 根据新的模板创建新 Pod,新 Pod 的 managedFields 由 kubelet 的 FieldManager 初始化(通常是空的,或者从 ProbabilisticSkipNonAppliedManager 得到 before-first-apply)。旧的 Pod 被删除时,其 managedFields 随 Pod 一起消失。滚动更新不会在对象之间传递 managedFields 信息。
▼ Q: 如何通过源码追踪一次 server-side apply 请求的完整处理链路?
A: 完整的调用链如下(基于 k8s v1.36.1):第一步,HTTP 请求到达 apiserver 的 handler 层(staging/src/k8s.io/apiserver/pkg/endpoints/handlers/patch.go 中的 applyPatcher),解析 Content-Type 为 application/apply-patch+yaml 的请求体;第二步,调用 fieldManager.Apply(liveObj, patchObj, fieldManagerName, force)(staging/src/k8s.io/apimachinery/pkg/util/managedfields/internal/fieldmanager.go 第 183 行);第三步,Apply 沿着装饰器链从上到下传递,经过 VersionCheckManager → LastAppliedUpdater → LastAppliedManager → ... → StripMetaManager → StructuredMergeManager;第四步,StructuredMergeManager.Apply() 调用 SMD 库的 updater.Apply() 执行三向合并和冲突检测;第五步,结果从内到外逐层返回,ManagedFieldsUpdater 更新时间戳,StripMetaManager 剥离元字段;第六步,EncodeObjectManagedFields 将内存结构编码回 []ManagedFieldsEntry;第七步,对象写回 etcd。整个链路中最重要的三个函数是:DecodeManagedFields(解码)、BuildManagerIdentifier(构建标识符)、EncodeObjectManagedFields(编码)。
▼ Q: managedFields 对列表字段(如 containers)的所有权是如何处理的?
A: 列表字段是 managedFields 中最复杂的部分,FieldsV1 使用了多种编码来处理不同类型的列表:对于通过 key 字段标识的列表项(如 containers 中的 name 字段),使用 k:{"name":"nginx"} 格式来唯一标识某一列表项。这意味着如果管理器 A 声明了 spec.containers[k:{"name":"nginx"}].image 的所有权,管理器 B 只能通过声明相同的 key 来覆盖它(产生冲突)或者声明不同的 key(如 k:{"name":"redis"})来添加新容器(不冲突)。对于位置索引列表项(没有 key 字段的列表),使用 i:<index> 格式。k8s 推荐为列表项定义 key 字段(通过 kubectl.kubernetes.io/default-listen-container 等注解或 schema 中的 x-kubernetes-list-type 标记)来避免索引位置变化带来的所有权丢失问题。如果列表没有 key 字段但被标记为 atomic 类型,整个列表被视为一个不可分割的整体;如果标记为 set 类型,则列表项的顺序变化不会触发冲突;如果标记为 map 类型,则按 key 字段追踪每个列表项的所有权。
▼ Q: managedFields 的 Entry 数量有没有上限?如果不断累积会怎样?
A: Apply Entry 没有硬性上限(CapManagersManager 只限制 Update Entry),但实践中存在软性约束:etcd 的 value 大小限制(默认 etcd 3 限制每条记录不超过 1MB,k8s 推荐 managedFields 不超过 256KB)。如果 Apply Entry 不断累积(比如 100 个不同的控制器都使用不同的 field manager 来管理同一个对象),managedFields 会越来越大,最终可能触发 etcd 的写入限制。Update Entry 受 DefaultMaxUpdateManagers = 10 的限制(可配置),超过后最早的 Entry 会被合并到 ancient-changes bucket 中。对于超大规模场景(如集群中有几十个控制器同时管理同一个 CRD),建议的做法是:规范 field manager 命名策略,让同类型的控制器使用相同的 manager 名称(如都用 my-operator 而非 my-operator-pod-1、my-operator-pod-2),这样可以将多个"逻辑管理器"合并为单个 Entry,有效控制 Entry 数量。
▼ Q: 为什么 HPA 修改副本数时不需要 force 也不会和 kubectl apply 冲突?
A: 因为 HPA 使用的是 Update 操作而非 Apply 操作。Update 操作和 Apply 操作的冲突检测逻辑不同:Update 操作调用 StructuredMergeManager.Update(),它只记录"哪些字段从旧值变成了新值",不会做语义级别的冲突检测。具体来说,HPA 通过 client-go 的 Update 方法修改 replicas,此时 BuildManagerInfoManager 生成 Update 类型的 Entry(apiVersion 有值),Deployment 控制器的 server-side apply 生成 Apply 类型的 Entry(apiVersion 为空)。在 SMD 库的处理中,Update 操作会将自己的字段集合与 managedFields 中已有 Entry 的字段集合做并集,但不会检查是否有其他管理器也声明了相同的字段——Update 覆盖了就是覆盖了,不会报错。所以 HPA 直接覆盖 replicas 字段,不需要 force,也不会产生 409 错误。但这正是潜在问题的来源:如果使用 kubectl apply 声明了 replicas 的所有权,HPA 的 Update 会无声地覆盖这个值,导致冲突不可见。在实际使用中,应该只让一个管理器(通常是 HPA 或 Deployment 控制器)管理副本数字段,不要同时两边声明。
▼ Q: 在 k8s v1.36.1 中,managedFields 有哪些源码层面的优化值得关注?
A: k8s v1.36.1 中 managedFields 相关源码有几处值得关注的设计。第一,DecodeManagedFields 和 EncodeObjectManagedFields 是纯函数式的——它们不修改输入对象,只返回新的编码/解码结果,这使得并发安全且易于测试。第二,FieldManager.UpdateNoErrors 提供了一种容错模式:当 managedFields 更新失败时(理论上不应该发生),会静默清除 managedFields 而不是让错误传播——这是为了防止 managedFields 的解析错误导致整个资源更新失败。第三,atMostEverySecond 日志节流机制用于防止 managedFields 更新错误产生大量日志。第四,FieldsV1 使用了 byte slice 存储而非 string,这样在 JSON 序列化/反序列化时更加高效。第五,SMD 库的 typed.AllowDuplicates 参数允许列表中存在重复项(仅用于 CRD 的宽松处理),这在 CRD 场景下避免了因 schema 不完整导致的解析失败。
🚀 版本更新 — k8s v1.36.1 引入 / 变更
managedFields 机制在 k8s 1.16 GA,v1.36.1 中其核心实现与 1.16 相比没有重大架构变更,但持续有细节优化。值得关注的是 v1.27+ 增强了 CRD 的 server-side apply 支持(新增 x-kubernetes-validating-dag 等字段),以及 FieldManagerApplyConfiguration API 的成熟度提升。
Kubernetes 编程 / Operator 专题【左扬精讲】—— 深入理解 ManagedFields 字段冲突协调机制 · 来源:基于 k8s v1.36.1 源码分析
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。