Kubernetes 入門
1. Kubernetes 生產(chǎn)環(huán)境
2. Kubernetes 最佳實踐
Kubernetes 概述
1. Kubernetes 簡介
2. Kubernetes 組件
3. Kubernetes API
Kubernetes 安裝
1. Kubernetes Linux安裝
2. Kubernetes macOS安裝
3. Kubernetes Windows安裝
Kubernetes 對象
1. Kubernetes 對象簡介
2. Kubernetes 對象管理
3. Kubernetes 對象名稱和IDs
4. Kubernetes 名字空間
5. Kubernetes 標簽和選擇算符
6. Kubernetes 注解
7. Kubernetes Finalizers
8. Kubernetes 字段選擇器
9. Kubernetes 屬主與附屬
10. Kubernetes 推薦使用的標簽
Kubernetes 架構(gòu)
1. Kubernetes 節(jié)點
2. Kubernetes 控制面到節(jié)點通信
3. Kubernetes 控制器
4. Kubernetes 云控制器管理器
5. Kubernetes 垃圾收集
6. Kubernetes 容器運行時接口（CRI）
Kubernetes 容器
1. Kubernetes 鏡像
2. Kubernetes 容器環(huán)境
3. Kubernetes 容器運行時類（Runtime Class）
4. Kubernetes 容器生命周期回調(diào)
Kubernetes Pods
1. Kubernetes Pod的生命周期
2. Kubernetes Init容器
3. Kubernetes Pod拓撲分布約束
4. Kubernetes 干擾（Disruptions）
5. Kubernetes 臨時容器
Kubernetes 工作負載資源
1. Kubernetes Deployments
2. Kubernetes ReplicaSet
3. Kubernetes StatefulSets
4. Kubernetes DaemonSet
5. Kubernetes Jobs
6. Kubernetes 已完成 Job 的自動清理
7. Kubernetes CronJob
8. Kubernetes ReplicationController
Kubernetes 服務、負載均衡和聯(lián)網(wǎng)
1. Kubernetes 使用拓撲鍵實現(xiàn)拓撲感知的流量路由
2. Kubernetes 服務
3. Kubernetes Pod 與 Service 的 DNS
4. Kubernetes 使用 Service 連接到應用
5. Kubernetes Ingress
6. Kubernetes Ingress 控制器
7. Kubernetes 拓撲感知提示
8. Kubernetes 服務內(nèi)部流量策略
9. Kubernetes 端點切片（Endpoint Slices）
10. Kubernetes 網(wǎng)絡策略
11. Kubernetes IPv4/IPv6 雙協(xié)議棧
Kubernetes 存儲
1. Kubernetes 卷
2. Kubernetes 持久卷
3. Kubernetes 投射卷
4. Kubernetes 臨時卷
5. Kubernetes 存儲類
Kubernetes 配置
1. Kubernetes 配置最佳實踐
2. Kubernetes ConfigMap
3. Kubernetes Secret
4. Kubernetes 為 Pod 和容器管理資源
5. Kubernetes 使用 kubeconfig 文件組織集群訪問
6. Kubernetes Windows 節(jié)點的資源管理
Kubernetes 安全
1. Kubernetes 云原生安全概述
2. Kubernetes Pod安全性標準
3. Kubernetes Pod安全性準入
4. Kubernetes Pod安全策略
5. Kubernetes Windows節(jié)點的安全性
6. Kubernetes API訪問控制
7. Kubernetes 基于角色的訪問控制良好實踐
Kubernetes 策略
1. Kubernetes 限制范圍
2. Kubernetes 資源配額
3. Kubernetes 進程ID約束與預留
4. Kubernetes 節(jié)點資源管理器
Kubernetes 調(diào)度，搶占和驅(qū)逐
1. Kubernetes 調(diào)度器
2. Kubernetes 將Pod指派給節(jié)點
3. Kubernetes Pod開銷
4. Kubernetes 污點和容忍度
5. Kubernetes Pod優(yōu)先級和搶占
6. Kubernetes 節(jié)點壓力驅(qū)逐
7. Kubernetes API發(fā)起的驅(qū)逐
8. Kubernetes 擴展資源的資源裝箱
9. Kubernetes 調(diào)度框架
10. Kubernetes 調(diào)度器性能調(diào)優(yōu)
Kubernetes 集群管理
1. Kubernetes 管理資源
2. Kubernetes 集群網(wǎng)絡系統(tǒng)
3. Kubernetes 系統(tǒng)組件指標
4. Kubernetes 日志架構(gòu)
5. Kubernetes 系統(tǒng)日志
6. Kubernetes 追蹤系統(tǒng)組件
7. Kubernetes 代理
8. Kubernetes API優(yōu)先級和公平性
9. Kubernetes 安裝擴展（Addons）
Kubernetes 擴展
1. Kubernetes 擴展API
  1. Kubernetes 定制資源
  2. Kubernetes 通過聚合層擴展API
2. Kubernetes Operator模式
3. Kubernetes 計算、存儲和網(wǎng)絡擴展
  1. Kubernetes 網(wǎng)絡插件
  2. Kubernetes 設備插件
4. Kubernetes 服務目錄
Kubernetes 應用故障排除
1. Kubernetes 調(diào)試Pod
2. Kubernetes 調(diào)試Service
3. Kubernetes 調(diào)試StatefulSet
4. Kubernetes 調(diào)試Init容器
5. Kubernetes 確定Pod失敗的原因
6. Kubernetes 獲取正在運行容器的Shell
7. Kubernetes 調(diào)試運行中的Pod
Kubernetes 集群故障排查
1. Kubernetes 資源指標管道
2. Kubernetes 節(jié)點健康監(jiān)測
3. Kubernetes 使用crictl對Kubernetes節(jié)點進行調(diào)試
4. Kubernetes Windows調(diào)試提示
5. Kubernetes 使用telepresence在本地開發(fā)和調(diào)試服務
6. Kubernetes 審計
7. Kubernetes 資源監(jiān)控工具
Kubernetes 管理集群
1. Kubernetes 從dockershim遷移
  1. Kubernetes 將節(jié)點上的容器運行時從Docker Engine改為containerd
  2. Kubernetes 將Docker Engine節(jié)點從dockershim遷移到cri-dockerd
  3. Kubernetes CNI插件相關(guān)錯誤故障排除
  4. Kubernetes 查明節(jié)點上所使用的容器運行時
  5. Kubernetes 檢查棄用Dockershim是否對你有影響
  6. Kubernetes 從dockershim遷移遙測和安全代理
2. Kubernetes 用kubeadm進行管理
  1. Kubernetes 使用kubeadm進行證書管理
  2. Kubernetes 配置cgroup驅(qū)動
  3. Kubernetes 重新配置kubeadm集群
  4. Kubernetes 升級kubeadm集群
  5. Kubernetes 添加Windows節(jié)點
  6. Kubernetes 升級Windows節(jié)點
3. Kubernetes 手動生成證書
4. Kubernetes 管理內(nèi)存，CPU和API資源
  1. Kubernetes 為命名空間配置默認的內(nèi)存請求和限制
  2. Kubernetes 為命名空間配置默認的CPU請求和限制
  3. Kubernetes 配置命名空間的最小和最大內(nèi)存約束
  4. Kubernetes 為命名空間配置CPU最小和最大約束
  5. Kubernetes 為命名空間配置內(nèi)存和CPU配額
  6. Kubernetes 配置命名空間下Pod配額
5. Kubernetes 安裝網(wǎng)絡策略驅(qū)動
  1. Kubernetes 使用Antrea提供NetworkPolicy
  2. Kubernetes 使用Calico提供NetworkPolicy
  3. Kubernetes 使用Cilium提供NetworkPolicy
  4. Kubernetes 使用kube-router提供NetworkPolicy
  5. Kubernetes 使用Romana提供NetworkPolicy
  6. Kubernetes 使用Weave Net提供NetworkPolicy
6. Kubernetes IP Masquerade Agent用戶指南
7. Kubernetes 云管理控制器
8. Kubernetes 驗證簽名的容器鏡像
9. Kubernetes 運行 etcd 集群
10. Kubernetes 為系統(tǒng)守護進程預留計算資源
11. Kubernetes 為節(jié)點發(fā)布擴展資源
12. Kubernetes 以非root用戶身份運行Kubernetes節(jié)點組件
13. Kubernetes 使用CoreDNS進行服務發(fā)現(xiàn)
14. Kubernetes 使用KMS驅(qū)動進行數(shù)據(jù)加密
15. Kubernetes 使用Kubernetes API訪問集群
16. Kubernetes 使用NUMA感知的內(nèi)存管理器
17. Kubernetes 保護集群
18. Kubernetes 關(guān)鍵插件Pod的調(diào)度保證
19. Kubernetes 升級集群
20. Kubernetes 名字空間演練
21. Kubernetes 啟用/禁用Kubernetes API
22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
23. Kubernetes 在Kubernetes集群中使用sysctl
24. Kubernetes 在運行中的集群上重新配置節(jié)點的kubelet
25. Kubernetes 在集群中使用級聯(lián)刪除
26. Kubernetes 聲明網(wǎng)絡策略
27. Kubernetes 安全地清空一個節(jié)點
28. Kubernetes 開發(fā)云控制器管理器
29. Kubernetes 開啟服務拓撲
30. Kubernetes 控制節(jié)點上的CPU管理策略
31. Kubernetes 控制節(jié)點上的拓撲管理策略
32. Kubernetes 改變默認StorageClass
33. Kubernetes 更改PersistentVolume的回收策略
34. Kubernetes 自動擴縮集群DNS服務
35. Kubernetes 自定義DNS服務
36. Kubernetes 調(diào)試DNS問題
37. Kubernetes 遷移多副本的控制面以使用云控制器管理器
38. Kubernetes 通過名字空間共享集群
39. Kubernetes 通過配置文件設置Kubelet參數(shù)
40. Kubernetes 配置API對象配額
41. Kubernetes 限制存儲消耗
42. Kubernetes 靜態(tài)加密Secret數(shù)據(jù)
Kubernetes 配置Pods和容器
1. Kubernetes 為容器和Pod分配內(nèi)存資源
2. Kubernetes 為Windows Pod和容器配置GMSA
3. Kubernetes 為Windows的Pod和容器配置RunAsUserName
4. Kubernetes 為容器和Pods分配CPU資源
5. Kubernetes 創(chuàng)建Windows HostProcess Pod
6. Kubernetes 配置Pod的服務質(zhì)量
7. Kubernetes 為容器分派擴展資源
8. Kubernetes 配置Pod以使用卷進行存儲
9. Kubernetes 配置Pod以使用PersistentVolume作為存儲
10. Kubernetes 配置Pod使用投射卷作存儲
11. Kubernetes 為Pod或容器配置安全上下文
12. Kubernetes 為Pod配置服務賬戶
13. Kubernetes 從私有倉庫拉取鏡像
14. Kubernetes 配置存活、就緒和啟動探測器
15. Kubernetes 將Pod分配給節(jié)點
16. Kubernetes 用節(jié)點親和性把Pods分配到節(jié)點
17. Kubernetes 配置Pod初始化
18. Kubernetes 為容器的生命周期事件設置處理函數(shù)
19. Kubernetes 配置Pod使用ConfigMap
20. Kubernetes 在Pod中的容器之間共享進程命名空間
21. Kubernetes 創(chuàng)建靜態(tài)Pod
22. Kubernetes 將Docker Compose文件轉(zhuǎn)換為Kubernetes資源
23. Kubernetes 從PodSecurityPolicy遷移到內(nèi)置的PodSecurity準入控制器
24. Kubernetes 使用名字空間標簽來實施Pod安全性標準
25. Kubernetes 通過配置內(nèi)置準入控制器實施Pod安全標準
Kubernetes 管理Kubernetes對象
1. Kubernetes 使用配置文件對Kubernetes對象進行聲明式管理
2. Kubernetes 使用Kustomize對Kubernetes對象進行聲明式管理
3. Kubernetes 使用指令式命令管理Kubernetes對象
4. Kubernetes 使用配置文件對Kubernetes對象進行命令式管理
5. Kubernetes 使用kubectl patch更新API對象
Kubernetes 管理Secrets
1. Kubernetes 使用kubectl管理Secret
2. Kubernetes 使用配置文件管理Secret
3. Kubernetes 使用Kustomize管理Secret
Kubernetes 給應用注入數(shù)據(jù)
1. Kubernetes 為容器設置啟動時要執(zhí)行的命令和參數(shù)
2. Kubernetes 為容器設置環(huán)境變量
3. Kubernetes 定義相互依賴的環(huán)境變量
4. Kubernetes 通過環(huán)境變量將Pod信息呈現(xiàn)給容器
5. Kubernetes 通過文件將Pod信息呈現(xiàn)給容器
6. Kubernetes 使用Secret安全地分發(fā)憑證
Kubernetes 運行應用
1. Kubernetes 使用Deployment運行一個無狀態(tài)應用
2. Kubernetes 運行一個單實例有狀態(tài)應用
3. Kubernetes 運行一個有狀態(tài)的應用程序
4. Kubernetes 刪除StatefulSet
5. Kubernetes 強制刪除StatefulSet中的Pods
6. Kubernetes Pod水平自動擴縮
7. Kubernetes HorizontalPodAutoscaler演練
8. Kubernetes 為應用程序設置干擾預算（Disruption Budget）
9. Kubernetes 從Pod中訪問Kubernetes API
10. Kubernetes 擴縮StatefulSet
Kubernetes 運行Jobs
1. Kubernetes 使用CronJob運行自動化任務
2. Kubernetes 使用工作隊列進行粗粒度并行處理
3. Kubernetes 使用工作隊列進行精細的并行處理
4. Kubernetes 使用索引作業(yè)完成靜態(tài)工作分配下的并行處理
5. Kubernetes 使用展開的方式進行并行處理
Kubernetes 訪問集群中的應用程序
1. Kubernetes 部署和訪問Kubernetes儀表板（Dashboard）
2. Kubernetes 訪問集群
3. Kubernetes 使用端口轉(zhuǎn)發(fā)來訪問集群中的應用
4. Kubernetes 使用服務來訪問集群中的應用
5. Kubernetes 使用Service把前端連接到后端
6. Kubernetes 創(chuàng)建外部負載均衡器
7. Kubernetes 列出集群中所有運行容器的鏡像
8. Kubernetes 在Minikube環(huán)境中使用NGINX Ingress控制器配置Ingress
9. Kubernetes 為集群配置DNS
10. Kubernetes 同Pod內(nèi)的容器使用共享卷通信
11. Kubernetes 訪問集群上運行的服務
12. Kubernetes 配置對多集群的訪問
Kubernetes 擴展Kubernetes
1. Kubernetes 使用自定義資源
  1. Kubernetes 使用CustomResourceDefinition擴展Kubernetes API
  2. Kubernetes CustomResourceDefinition的版本
2. Kubernetes 配置聚合層
3. Kubernetes 安裝一個擴展的API server
4. Kubernetes 配置多個調(diào)度器
5. Kubernetes 使用HTTP代理訪問Kubernetes API
6. Kubernetes 使用SOCKS5代理訪問Kubernetes API
7. Kubernetes 設置Konnectivity服務
Kubernetes TLS
1. Kubernetes 為kubelet配置證書輪換
2. Kubernetes 手動輪換CA證書
3. Kubernetes 管理集群中的TLS認證
Kubernetes 管理集群守護進程
1. Kubernetes 對DaemonSet執(zhí)行滾動更新
2. Kubernetes 對DaemonSet執(zhí)行回滾
Kubernetes 安裝服務目錄
1. Kubernetes 使用Helm安裝Service Catalog
2. Kubernetes 使用SC安裝服務目錄
Kubernetes 網(wǎng)絡
1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加條目
2. Kubernetes 驗證IPv4/IPv6雙協(xié)議棧
Kubernetes 任務
1. Kubernetes 調(diào)度GPUs
2. Kubernetes 管理巨頁（HugePages）
3. Kubernetes 配置kubelet鏡像憑據(jù)提供程序
4. Kubernetes 用插件擴展kubectl
Kubernetes 安全
1. Kubernetes 使用AppArmor限制容器對資源的訪問
2. Kubernetes 在集群級別應用Pod安全標準
3. Kubernetes 在名字空間級別應用Pod安全標準
4. Kubernetes 使用seccomp限制容器的系統(tǒng)調(diào)用
Kubernetes 無狀態(tài)應用程序
1. Kubernetes 公開外部IP地址以訪問集群中應用程序
2. Kubernetes 示例：使用Redis部署PHP留言板應用程序
Kubernetes 有狀態(tài)的應用
1. Kubernetes StatefulSet基礎
2. Kubernetes 示例：使用Persistent Volumes部署WordPress和MySQL
3. Kubernetes 示例：使用StatefulSet部署Cassandra
4. Kubernetes 運行ZooKeeper，一個分布式協(xié)調(diào)系統(tǒng)
Kubernetes Service
1. Kubernetes 使用源IP

閱讀(1.2k) 書簽贊(0) 我要糾錯

Kubernetes 為系統(tǒng)守護進程預留計算資源

2022-06-06 11:37 更新

為系統(tǒng)守護進程預留計算資源

Kubernetes 的節(jié)點可以按照 ?Capacity ?調(diào)度。默認情況下 pod 能夠使用節(jié)點全部可用容量。這是個問題，因為節(jié)點自己通常運行了不少驅(qū)動 OS 和 Kubernetes 的系統(tǒng)守護進程。除非為這些系統(tǒng)守護進程留出資源，否則它們將與 pod 爭奪資源并導致節(jié)點資源短缺問題。

?kubelet ?公開了一個名為 'Node Allocatable' 的特性，有助于為系統(tǒng)守護進程預留計算資源。 Kubernetes 推薦集群管理員按照每個節(jié)點上的工作負載密度配置 “Node Allocatable”。

在開始之前

你必須擁有一個 Kubernetes 的集群，同時你的 Kubernetes 集群必須帶有 kubectl 命令行工具。建議在至少有兩個節(jié)點的集群上運行本教程，且這些節(jié)點不作為控制平面主機。如果你還沒有集群，你可以通過 Minikube 構(gòu)建一個你自己的集群，或者你可以使用下面任意一個 Kubernetes 工具構(gòu)建：

Katacoda
玩轉(zhuǎn) Kubernetes

您的 Kubernetes 服務器的版本必須為 1.8 或更高版本。要檢查版本，請輸入 ?kubectl version?。

你的 kubernetes 服務器版本必須至少是 1.17 版本，才能使用 kubelet 命令行選項 ?--reserved-cpus? 設置顯式預留 CPU 列表。

節(jié)點可分配

node-capacity

Kubernetes 節(jié)點上的 'Allocatable' 被定義為 pod 可用計算資源量。調(diào)度器不會超額申請 'Allocatable'。目前支持 'CPU'、'memory' 和 'ephemeral-storage' 這幾個參數(shù)。

可分配的節(jié)點暴露為 API 中 ?v1.Node? 對象的一部分，也是 CLI 中 ?kubectl describe node? 的一部分。

在 ?kubelet ?中，可以為兩類系統(tǒng)守護進程預留資源。

啟用 QoS 和 Pod 級別的 cgroups

為了恰當?shù)脑诠?jié)點范圍實施節(jié)點可分配約束，你必須通過 ?--cgroups-per-qos? 標志啟用新的 cgroup 層次結(jié)構(gòu)。這個標志是默認啟用的。啟用后，?kubelet ?將在其管理的 cgroup 層次結(jié)構(gòu)中創(chuàng)建所有終端用戶的 Pod。

配置 cgroup 驅(qū)動

?kubelet ?支持在主機上使用 cgroup 驅(qū)動操作 cgroup 層次結(jié)構(gòu)。驅(qū)動通過 ?--cgroup-driver? 標志配置。

支持的參數(shù)值如下：

?cgroupfs ?是默認的驅(qū)動，在主機上直接操作 cgroup 文件系統(tǒng)以對 cgroup 沙箱進行管理。
?systemd ?是可選的驅(qū)動，使用 init 系統(tǒng)支持的資源的瞬時切片管理 cgroup 沙箱。

取決于相關(guān)容器運行時的配置，操作員可能需要選擇一個特定的 cgroup 驅(qū)動來保證系統(tǒng)正常運行。例如，如果操作員使用 ?containerd ?運行時提供的 ?systemd ?cgroup 驅(qū)動時，必須配置 ?kubelet ?使用 ?systemd ?cgroup 驅(qū)動。

Kube 預留值

Kubelet 標志: ?--kube-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]?
Kubelet 標志: ?--kube-reserved-cgroup=?

?kube-reserved? 用來給諸如 ?kubelet?、容器運行時、節(jié)點問題監(jiān)測器等 kubernetes 系統(tǒng)守護進程記述其資源預留值。該配置并非用來給以 Pod 形式運行的系統(tǒng)守護進程保留資源。?kube-reserved? 通常是節(jié)點上 ?pod? 密度的函數(shù)。

除了 ?cpu?，內(nèi)存和 ?ephemeral-storage? 之外，?pid ?可用來指定為 kubernetes 系統(tǒng)守護進程預留指定數(shù)量的進程 ID。

要選擇性地對 kubernetes 系統(tǒng)守護進程上執(zhí)行 ?kube-reserved? 保護，需要把 kubelet 的 ?--kube-reserved-cgroup? 標志的值設置為 kube 守護進程的父控制組。

推薦將 kubernetes 系統(tǒng)守護進程放置于頂級控制組之下（例如 systemd 機器上的 ?runtime.slice?）。理想情況下每個系統(tǒng)守護進程都應該在其自己的子控制組中運行。請參考這個設計方案，進一步了解關(guān)于推薦控制組層次結(jié)構(gòu)的細節(jié)。

請注意，如果 ?--kube-reserved-cgroup? 不存在，Kubelet 將不會創(chuàng)建它。如果指定了一個無效的 cgroup，Kubelet 將會失敗。

系統(tǒng)預留值

Kubelet 標志: ?--system-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]?
Kubelet 標志: ?--system-reserved-cgroup=?

?system-reserved? 用于為諸如 ?sshd?、?udev ?等系統(tǒng)守護進程記述其資源預留值。 ?system-reserved? 也應該為 ?kernel ?預留內(nèi)存，因為目前 ?kernel ?使用的內(nèi)存并不記在 Kubernetes 的 Pod 上。同時還推薦為用戶登錄會話預留資源（systemd 體系中的 ?user.slice?）。

除了 ?cpu?，內(nèi)存和 ?ephemeral-storage? 之外，?pid ?可用來指定為 kubernetes 系統(tǒng)守護進程預留指定數(shù)量的進程 ID。

要想為系統(tǒng)守護進程上可選地實施 ?system-reserved? 約束，請指定 kubelet 的 ?--system-reserved-cgroup? 標志值為 OS 系統(tǒng)守護進程的父級控制組。

推薦將 OS 系統(tǒng)守護進程放在一個頂級控制組之下（例如 systemd 機器上的 ?system.slice?）。

請注意，如果 ?--system-reserved-cgroup? 不存在，?kubelet ?不會創(chuàng)建它。如果指定了無效的 cgroup，?kubelet ?將會失敗。

顯式保留的 CPU 列表

FEATURE STATE: Kubernetes v1.17 [stable]

Kubelet 標志：?--reserved-cpus=0-3?

?reserved-cpus? 旨在為操作系統(tǒng)守護程序和 kubernetes 系統(tǒng)守護程序保留一組明確指定編號的 CPU。?reserved-cpus? 適用于不打算針對 cpuset 資源為操作系統(tǒng)守護程序和 kubernetes 系統(tǒng)守護程序定義獨立的頂級 cgroups 的系統(tǒng)。如果 Kubelet 沒有指定參數(shù) ?--system-reserved-cgroup? 和 ?--kube-reserved-cgroup?，則 ?reserved-cpus? 的設置將優(yōu)先于 ?--kube-reserved? 和 ?--system-reserved? 選項。

此選項是專門為電信/NFV 用例設計的，在這些用例中不受控制的中斷或計時器可能會影響其工作負載性能。你可以使用此選項為系統(tǒng)或 kubernetes 守護程序以及中斷或計時器顯式定義 cpuset，這樣系統(tǒng)上的其余 CPU 可以專門用于工作負載，因不受控制的中斷或計時器的影響得以降低。要將系統(tǒng)守護程序、kubernetes 守護程序和中斷或計時器移動到此選項定義的顯式 cpuset 上，應使用 Kubernetes 之外的其他機制。例如：在 Centos 系統(tǒng)中，可以使用 tuned 工具集來執(zhí)行此操作。

驅(qū)逐閾值

Kubelet 標志：?--eviction-hard=[memory.available<500Mi]?

節(jié)點級別的內(nèi)存壓力將導致系統(tǒng)內(nèi)存不足，這將影響到整個節(jié)點及其上運行的所有 Pod。節(jié)點可以暫時離線直到內(nèi)存已經(jīng)回收為止。為了防止（或減少可能性）系統(tǒng)內(nèi)存不足，kubelet 提供了資源不足管理。驅(qū)逐操作只支持 ?memory ?和 ?ephemeral-storage?。通過 ?--eviction-hard? 標志預留一些內(nèi)存后，當節(jié)點上的可用內(nèi)存降至保留值以下時， ?kubelet ?將嘗試驅(qū)逐 Pod。如果節(jié)點上不存在系統(tǒng)守護進程，Pod 將不能使用超過 ?capacity-eviction-hard? 所指定的資源量。因此，為驅(qū)逐而預留的資源對 Pod 是不可用的。

實施節(jié)點可分配約束

Kubelet 標志：?--enforce-node-allocatable=pods[,][system-reserved][,][kube-reserved]?

調(diào)度器將 'Allocatable' 視為 Pod 可用的 ?capacity?（資源容量）。

?kubelet ?默認對 Pod 執(zhí)行 'Allocatable' 約束。無論何時，如果所有 Pod 的總用量超過了 'Allocatable'，驅(qū)逐 Pod 的措施將被執(zhí)行。有關(guān)驅(qū)逐策略的更多細節(jié)可以在節(jié)點壓力驅(qū)逐頁找到。可通過設置 kubelet ?--enforce-node-allocatable? 標志值為 ?pods ?控制這個措施。

可選地，通過在同一標志中同時指定 ?kube-reserved? 和 ?system-reserved? 值，可以使 ?kubelet ?強制實施 ?kube-reserved? 和 ?system-reserved? 約束。請注意，要想執(zhí)行 ?kube-reserved? 或者 ?system-reserved? 約束，需要對應設置 ?--kube-reserved-cgroup? 或者 ?--system-reserved-cgroup?。

一般原則

系統(tǒng)守護進程一般會被按照類似 Guaranteed pods 一樣對待。系統(tǒng)守護進程可以在與其對應的控制組中出現(xiàn)突發(fā)資源用量，這一行為要作為 kubernetes 部署的一部分進行管理。例如，?kubelet ?應該有它自己的控制組并和容器運行時共享 ?kube-reserved? 資源。不過，如果執(zhí)行了 ?kube-reserved? 約束，則 kubelet 不可出現(xiàn)突發(fā)負載并用光節(jié)點的所有可用資源。

在執(zhí)行 ?system-reserved? 預留策略時請加倍小心，因為它可能導致節(jié)點上的關(guān)鍵系統(tǒng)服務出現(xiàn) CPU 資源短缺、因為內(nèi)存不足而被終止或者無法在節(jié)點上創(chuàng)建進程。建議只有當用戶詳盡地描述了他們的節(jié)點以得出精確的估計值，并且對該組中進程因內(nèi)存不足而被殺死時，有足夠的信心將其恢復時，才可以強制執(zhí)行 ?system-reserved? 策略。

作為起步，可以先針對 ?pods ?上執(zhí)行 'Allocatable' 約束。
一旦用于追蹤系統(tǒng)守護進程的監(jiān)控和告警的機制到位，可嘗試基于用量估計的方式執(zhí)行 ?kube-reserved? 策略。
隨著時間推進，在絕對必要的時候可以執(zhí)行 ?system-reserved? 策略。

隨著時間推進和越來越多特性被加入，kube 系統(tǒng)守護進程對資源的需求可能也會增加。以后 kubernetes 項目將嘗試減少對節(jié)點系統(tǒng)守護進程的利用，但目前這件事的優(yōu)先級并不是最高。所以，將來的發(fā)布版本中 ?Allocatable ?容量是有可能降低的。

示例場景

這是一個用于說明節(jié)點可分配（Node Allocatable）計算方式的示例：

節(jié)點擁有 32Gi memeory，16 CPU 和 100Gi Storage 資源
?--kube-reserved? 被設置為 cpu=1,memory=2Gi,ephemeral-storage=1Gi
?--system-reserved? 被設置為 cpu=500m,memory=1Gi,ephemeral-storage=1Gi
?--eviction-hard? 被設置為 memory.available<500Mi,nodefs.available<10%

在這個場景下，'Allocatable' 將會是 14.5 CPUs、28.5Gi 內(nèi)存以及 88Gi 本地存儲。調(diào)度器保證這個節(jié)點上的所有 Pod 的內(nèi)存 ?requests ?總量不超過 28.5Gi，存儲不超過 '88Gi'。當 Pod 的內(nèi)存使用總量超過 28.5Gi 或者磁盤使用總量超過 88Gi 時， kubelet 將會驅(qū)逐它們。如果節(jié)點上的所有進程都盡可能多地使用 CPU，則 Pod 加起來不能使用超過 14.5 CPUs 的資源。

當沒有執(zhí)行 ?kube-reserved? 或 ?system-reserved? 策略且系統(tǒng)守護進程使用量超過其預留時，如果節(jié)點內(nèi)存用量高于 31.5Gi 或 ?storage ?大于 90Gi， kubelet 將會驅(qū)逐 Pod。

以上內(nèi)容是否對您有幫助：

← Kubernetes 運行 etcd 集群

Kubernetes 為節(jié)點發(fā)布擴展資源 →

寫筆記

我要補充