2、k8s命令(pod相关(驱逐、强制删除)、让Master当Node用、修改nodeport端口范围、修改k8sDNS、运行nslookup容器)

已于 2024-04-25 14:09:40 修改
阅读量1w 收藏 28
点赞数 4
分类专栏: kubernetes 文章标签: kubernetes
于 2021-01-27 10:36:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihongbao80/article/details/108075051
版权

这里写目录标题

一、pod相关(驱逐、强制删除)

1、kubectl drain可以让node在维护期间排除节点。drain本意排水,意思是将出问题的node下的pod转移到其它node下运行。

kubectl drain nodename --delete-local-data --ignore-daemonsets --force

2、将node置为SchedulingDisabled不可调度状态

kubectl cordon nodename

将node置为SchedulingDisabled不可调度状态,后续的新创建pod容器时scheduler调度不会考虑该node,旧的pod容器不会受影响,仍可以对外提供正常服务。(特殊情况:pod容器如果跟node绑定的话,容器下次更新就不会回到原宿主机,该情况如何处理呢?可能设置成不可调度状态就不太合适。调度器 预调度策略)

恢复调度

kubectl uncordon nodename

3、Terminating可使用kubectl中的强制删除命令

# 删除POD
kubectl delete pod PODNAME --force --grace-period=0

二、让Master也能当作Node使用

#将 Master 也当作 Node 使用
kubectl taint node nodename node-role.kubernetes.io/master-

[root@app01 home]# kubectl taint node app01 node-role.kubernetes.io/master-
node/app01 untainted
[root@app01 home]# 

#将 Master 恢复成 Master Only 状态
kubectl taint node nodename node-role.kubernetes.io/master="":NoSchedule
  
[root@app01 rabbitmq]# kubectl taint node app01  node-role.kubernetes.io/master="":NoSchedule
node/app01 tainted
[root@app01 rabbitmq]#

三、修改nodeport端口范围(nodePort 端口默认范围为:30000-32767)

  1. 编辑 kube-apiserver.yaml文件
vim /etc/kubernetes/manifests/kube-apiserver.yaml
  1. 找到 --service-cluster-ip-range 这一行,在这一行的下一行增加 如下内容
    - --service-node-port-range=30000-50000

示例如下:

kind: Pod
metadata:
  annotations:
    scheduler.alpha.kubernetes.io/critical-pod: ""
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
 2. command:
    - kube-apiserver
    - --authorization-mode=Node,RBAC
    - --advertise-address=192.168.180.37
    - --allow-privileged=true
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --disable-admission-plugins=PersistentVolumeLabel
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-node-port-range=30000-50000
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
  1. 最后 重启 kubelet
systemctl daemon-reload
systemctl restart kubelet

四、修改k8sDNS

1、查看coredns配置

[root@dev15 ~]# kubectl get  configmap coredns  -n kube-system -o yaml
apiVersion: v1
data:
  Corefile: |
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           upstream
           fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        proxy . /etc/resolv.conf
        cache 30
        reload
    }
kind: ConfigMap
metadata:
  creationTimestamp: "2019-10-21T05:57:32Z"
  name: coredns
  namespace: kube-system
  resourceVersion: "77720660"
  selfLink: /api/v1/namespaces/kube-system/configmaps/coredns
  uid: ac49f58c-f3c7-11e9-a4a8-005056974fea
[root@dev15 ~]#

2、增加DNS配置
hosts {
192.168.168.168 sft-ap.pfizer.com sft-am.pfizer.com
fallthrough
}

[root@dev15 ~]# kubectl edit configmap coredns -n kube-system
apiVersion: v1
data:
  Corefile: |
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           upstream
           fallthrough in-addr.arpa ip6.arpa
        }
        hosts {
          192.168.168.168 sft-ap.pfizer.com sft-am.pfizer.com
          fallthrough
        }
        prometheus :9153
        proxy . /etc/resolv.conf
        cache 30
        reload
    }
kind: ConfigMap
metadata:
  creationTimestamp: "2019-10-21T05:57:32Z"
  name: coredns
  namespace: kube-system
  resourceVersion: "77720660"
  selfLink: /api/v1/namespaces/kube-system/configmaps/coredns
  uid: ac49f58c-f3c7-11e9-a4a8-005056974fea
[root@dev15 ~]#

五、运行nslookup容器

kubectl run -it --image busybox:1.28.4 dns-test --restart=Never --rm sh

六、查看configmap文件

[root@dev15 kubeadm_v1.11.0]# kubectl get cm --all-namespaces
NAMESPACE            NAME                                 DATA   AGE
filebeat-namespace   filebeat-config                      1      394d
filebeat-namespace   filebeat-inputs                      1      394d
kube-public          cluster-info                         4      626d
kube-system          coredns                              1      626d
kube-system          extension-apiserver-authentication   6      626d
kube-system          kube-flannel-cfg                     2      395d
kube-system          kube-proxy                           2      626d
kube-system          kubeadm-config                       2      626d
kube-system          kubelet-config-1.11                  1      626d
kube-system          kubelet-config-1.12                  1      428d
kube-system          kubelet-config-1.13                  1      428d
kube-system          kubernetes-dashboard-settings        1      626d
kube-system          prometheus-config                    1      220d

[root@dev15 net.d]# kubectl get configmap coredns  -n kube-system -o yaml
apiVersion: v1
data:
  Corefile: |
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           upstream
           fallthrough in-addr.arpa ip6.arpa
        }
        hosts {
          192.168.168.12 sft-ap.pfizer.com sft-am.pfizer.com
          fallthrough
        }
        prometheus :9153
        proxy . /etc/resolv.conf
        cache 30
        reload
    }
kind: ConfigMap
metadata:
  creationTimestamp: "2019-10-21T05:57:32Z"
  name: coredns
  namespace: kube-system
  resourceVersion: "95879867"
  selfLink: /api/v1/namespaces/kube-system/configmaps/coredns
  uid: ac49f58c-f3c7-11e9-a4a8-005056974fea
[root@dev15 net.d]#
K8S系列】深入解析DNS
颜淡慕潇
04-20 3万+
Kubernetes 中,有两种常见的 DNS 服务器: kube-dns 也是(Cluster DNS) CoreDNS 这两个都是 Kubernetes 集群中的默认 DNS 服务器,用于为 Pod 和 Service 提供域名解析服务。
k8s临时驱逐pod先暂行让一个节点宕掉的命令
Laiyunpeng666的博客
09-04 1007
因为想要重新安装docker,所以先将22这个节点宕掉 命令如下 [root@hdss7-21 docker]# kubectl drain hdss7-22.host.com --ignore-daemonsets node/hdss7-22.host.com already cordoned WARNING: ignoring DaemonSet-managed Pods: default/nginx-ds-m987l, kube-system/traefik-ingress-2jb8z evictin
k8s之节点异常状态与污点
woshihlf的博客
02-10 943
Kubernetes 中,污点(Taints)是应用于节点上的一种属性,它可以防止 Pod 被调度到具有特定污点的节点上,除非该 Pod 具有与之匹配的容忍度(Tolerations)。通过以上内容,您可以更好地理解 Kubernetes 中节点状态与污点的关系,并能够根据实际情况进行排查和处理。
K8S中,nodePort默认端口范围和如何修改端口范围
afang888的博客
06-26 2323
比如,可以通过编辑 kube-apiserver 的启动参数 --service-node-port-range 来设置不同的端口范围,但务必确保所选范围没有被系统或者其他服务占用,并且符合网络安全策略的要求。例如,可以将范围设置为 --service-node-port-range=30000-65535(假设环境中允许使用更大的端口范围)。在kube-apiserver的配置文件中,找到args参数下方,添加--service-node-port-range参数指定新的NodePort端口范围
k8s中service概述(二)NodePort
2301_79893878的博客
03-21 1677
NodePortKubernetes 中用于对外暴露服务的 Service 类型,它通过在集群的每个节点上开放一个静态端口,使得外部用户可以通过节点的 IP 地址和该端口访问集群内部的服务。NodePort 简单易用,适合开发和测试环境,但在生产环境中通常需要结合 LoadBalancer 或 Ingress 使用,以提供更高的可用性和安全性。
kubernetes(k8s)修改service NodePort端口范围
jiangbenchu的博客
02-16 7855
修改NodePort的范围1、修改kube-apiserver.yaml文件2、重启apiserver3、验证结果 前提: 在 Kubernetes 集群中,NodePort 默认范围是 30000-32767,某些情况下,因为您所在公司的网络策略限制,您可能需要修改 NodePort端口范围,本文描述了具体的操作方法。 下面的配置是基于 kubeadm 安装的集群 1、修改kube-apiserver.yaml文件 使用 kubeadm 安装 K8S 集群的情况下,您的 Master 节点上会
K8s 修改NodePort的范围
一片冰心
05-14 2275
修改NodePort的范围 在 Kubernetes 集群中,NodePort 默认范围是 30000-32767,某些情况下,因为您所在公司的网络策略限制,您可能需要修改 NodePort端口范围,本文描述了具体的操作方法。 修改kube-apiserver.yaml 使用 kubeadm 安装 K8S 集群的情况下,您的 Master 节点上会有一个文件 /etc/kubernetes/manifests/kube-apiserver.yaml,修改此文件,向其中添加 --service-node.
k8s 维护node驱逐pod
ApexPredator的博客
05-26 4302
k8s 维护node驱逐pod
k8s驱逐(1)-k8s QoS与pod驱逐
良凯尔的博客
07-10 4104
Kubernetes会根据pod的QoS级别来决定pod的调度、抢占调度和驱逐优先级,而且pod的QoS级别也影响oomkiller对杀死进程的选择。
k8s篇-集群内的DNS原理与配置
热门推荐
qq_19676401的博客
09-28 1万+
CoreDNS是一个DNS解析的组件,作为集群内的DNS服务器,为集群内部提供域名解析服务。比如当集群内Pod要访问某个service name时,就会用到coredns的解析服务。 DNS解析原理: 当部署好coredns后,集群中会有一个名为kube-dns的service,以及这个service下还有两个名为CoreDNS的Pod后端。 $ kubectl get svc kube-dns -n kube-system NAME TYPE CLUSTER-IP
千云物流-k8s上安装路由traefik
Hello Word
12-02 965
traefik开源的边缘路由器,traefik 本身就能跟 kubernetes API 交互,感知后端变化。traefik 是一个前端负载均衡器,做反向代理。对于微服务架构尤其是 kubernetes 等编排工具具有良好的支持;traefik部署在k8s上分为daemonset和deployment。所有操作都会自动实时进行(热加载)。在2.0版本之后增加了tcp代理。证书有效期为3个月,剩余不足30天时,Traefik将自动尝试续订。
SDNS免费DNS服务器简介和其它免费DNS服务IP地址
10-01
当用户的主DNS服务器无法正常工作时,备用DNS服务器会接手解析任务,保证服务的连续性。 除了SDNS,还有其他知名的免费DNS服务提供商,例如114DNS、谷歌DNS和OpenDNS。 114DNS是中国电信推出的公共服务,其首选DNS...
EC2解析器sdns-ec2:配置与使用教程
命令中,`@127.0.0.1 -p 5000` 指定了使用本地地址和端口 5000 作为 DNS 服务器,`+short` 参数是让 dig 命令仅返回解析结果的 IP 地址部分,`site-02.ec2` 是查询的域名。预期的输出结果应该是 EC2 实例的 IP ...
K8sPod调度、抢占和驱逐K8s Pod Scheduling, Preemption, and Eviction)
Linux运维老纪的博客
12-31 940
KubernetesK8s)作为一个容器编排平台,其调度(Scheduling)、抢占(Preemption)和驱逐(Eviction)机制是确保集群资源合理分配、高效使用并保证应用健康运行的关键部分。 调度(scheduling)指的是确保 Pod 匹配到合适的节点, 以便 kubelet 能够运行它们。 抢占(Preemption)指的是终止低优先级的 Pod 以便高优先级的 Pod 可以调度到 Node 上的过程。 驱逐(Eviction)是在资源匮乏的节点上,主动让一个或多个 Pod 失效的过程
K8s Pod驱逐和系统资源预留-Day 06
qq_42515722的博客
08-07 1144
驱逐信号是特定资源在特定时间点的当前状态。kubelet 使用驱逐信号,通过将信号与驱逐条件进行比较来做出驱逐决定, 驱逐条件是节点上应该可用资源的最小量。软驱逐条件出发后并不会立即驱逐pod,而是会等待宽限期(默认30s)结束,在条件持续到宽限期还没有恢复,kubelet再强制杀死pod并触发驱逐。可以自定义宽限期。硬驱逐条件没有宽限期。当达到硬驱逐条件时, kubelet 会立即杀死 pod,而不会正常终止以回收紧缺的资源。
K8Snode节点打上NoSchedule,对现有的Pod进行驱逐
Yosigo_的博客
04-09 537
【代码】K8Snode节点打上NoSchedule,对现有的Pod进行驱逐
Kubernetes Pod驱逐
小胡子
03-16 1239
Kubernetes Pod驱逐
KubernetesPod 驱逐
书山有路,学海无涯。记录成长,追逐梦想
03-30 1841
抢占是这样一个过程:如果一个新的 Pod 需要被调度,但是没有任何合适的节点拥有足够的资源,那么 kube-scheduler 将通过驱逐终止一些优先级较低的 Pod 来检查新的 Pod 是否可以成为那个节点的一部分。
k8s 修改端口访问范围
Bsj' blog
12-30 1801
k8s修改端口访问范围 修改配置文件 vi /etc/kubernetes/manifests/kube-apiserver.yaml - command: - kube-apiserver # 添加如下一行 - --service-node-port-range=1-65535 删除kube-apiserver*** kubectl delete pod kube-apiserver*** -n kube-system #通过如下命令查看kube-apiserver-***
k8s优化
最新发布
04-03
<think>嗯,用户让我介绍一下Kubernetesk8s)的优化。首先,我需要确定用户的基础知识水平,可能他们已经对k8s有一定了解,现在想深入优化方面。优化涉及多个层面,比如资源管理、调度、网络、存储、监控等。我需要分步骤来组织思路,确保覆盖主要方面,同时保持结构清晰。 首先,资源管理是关键。用户可能遇到节点资源利用率低或者Pod竞争资源的问题。要解释如何设置资源请求和限制,包括CPU和内存。然后,Horizontal Pod Autoscaler(HPA)和Cluster Autoscaler(CA)的使用,这些自动扩展机制能帮助应对负载变化。 接下来是调度优化。默认调度器可能不够高效,所以需要讨论节点亲和性、污点和容忍、Pod间亲和性/反亲和性。这些策略能优化Pod的分布,提升性能和稳定性。比如,避免同一服务的多个Pod集中在同一节点,减少单点故障风险。 网络方面,服务发现和网络策略可能影响性能。需要提到选择高效的CNI插件,比如Calico或Cilium,以及使用网络策略限制不必要的流量,减少延迟。此外,Ingress控制器的选择和优化,比如使用Nginx或Traefik,并配置缓存和压缩。 存储优化也不可忽视。持久卷的选择,比如本地存储还是网络存储,以及调整I/O参数。使用StorageClass动态分配存储资源,避免手动管理带来的延迟。另外,临时存储的清理策略,防止资源泄露。 监控和日志是关键运维部分。Prometheus和Grafana的组合用于监控集群状态,而EFK或Loki处理日志。需要说明如何分析监控数据定位瓶颈,比如高CPU使用率或内存泄漏。 配置方面,etcd作为关键组件,其性能影响整个集群。优化etcd的存储和网络配置,比如使用SSD磁盘,减少写入操作。同时,kubelet和API Server的参数调优,比如调整--max-requests-inflight限制,防止API过载。 安全性优化可能用户也会关心,比如RBAC的细粒度控制,镜像的安全扫描,网络策略限制非授权访问。不过用户主要问优化,这部分可能需要简要提及。 最后,应用层面的优化,比如容器镜像的轻量化,减少启动时间;健康检查配置,确保快速故障恢复;合理设置副本数,平衡资源使用和可用性。 需要考虑用户可能的实际场景,比如他们是否在云环境或本地部署,不同的环境优化策略可能不同。例如,云环境中Cluster Autoscaler更常用,而本地可能需要更多手动调整。另外,用户是否已经遇到特定问题,比如Pod频繁被驱逐或API延迟高,可能需要针对性建议。 需要避免过于技术化的术语,用易懂的中文解释概念,同时保持专业性。结构上分点列出,每个部分给出具体方法和示例,帮助用户逐步实施优化措施。可能还要提醒用户优化是一个持续过程,需要监控和调整,建议定期审查集群配置和应用需求。</think>Kubernetesk8s)优化是一个系统工程,需从资源调度、网络性能、存储效率等多个维度切入。以下是分步骤的优化策略: --- ### 一、资源管理与调度优化 1. **资源请求/限制精准化** - 所有Pod必须设置`resources.requests`和`resources.limits` ```yaml containers: - name: nginx resources: requests: cpu: "100m" # 初始分配量 memory: "128Mi" limits: cpu: "200m" # 硬上限 memory: "256Mi" ``` - **作用**:避免节点资源争抢,防止OOM Killer误杀进程 2. **Horizontal Pod Autoscaler(HPA)调优** - 基于自定义指标(如QPS、连接数)触发扩缩容 ```bash kubectl autoscale deployment myapp --cpu-percent=60 --min=2 --max=10 ``` - 推荐使用Kubernetes Metrics Server + Prometheus Adapter 3. **调度器策略增强** - 使用`nodeAffinity`/`podAntiAffinity`避免单点故障 ```yaml affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: [myapp] topologyKey: "kubernetes.io/hostname" ``` - 通过`topologySpreadConstraints`实现Zone级均衡分布 --- ### 二、网络性能优化 1. **CNI插件选型** - 高性能场景选择**Cilium**(eBPF加速)或**Calico**(IPIP模式调优) - 避免Flannel的VxLAN模式在大规模集群中的性能衰减 2. **Service流量优化** - 使用`IPVS`代理模式替代默认的`iptables` ```bash kubectl edit cm kube-proxy -n kube-system # 修改mode: "ipvs" ``` - 对高QPS服务启用`ExternalTrafficPolicy: Local`减少网络跳转 3. **Ingress控制器调优** - Nginx Ingress启用`enable-underscores-in-headers`和`keepalive`配置 - 使用**WebAssembly(Wasm)**插件实现边缘计算加速 --- ### 三、存储性能优化 1. **存储卷类型选择** - 高频IO场景使用**本地SSD卷**(Local PersistentVolume) - 分布式存储推荐**Rook/Ceph**或云厂商的Block Storage 2. **CSI驱动优化** - 调整`volumeBindingMode: WaitForFirstConsumer`延迟绑定 - 设置合理的`fsType`(如ext4/xfs对NVMe SSD的性能差异) --- ### 四、集群组件调优 1. **etcd性能保障** - 分离etcd集群与业务节点,使用专用SSD磁盘 - 设置`--auto-compaction-retention=1h`定期压缩历史数据 2. **kube-apiserver参数** - 增加`--max-requests-inflight=1500`和`--max-mutating-requests-inflight=500` - 启用`--enable-priority-and-fairness`避免API饥饿 3. **kubelet配置** - 设置`--image-gc-high-threshold=85`防止镜像占满磁盘 - 调整`--kube-api-qps=50`提升节点心跳响应速度 --- ### 五、监控与诊断 1. **黄金指标监控** - 使用Prometheus监控四类关键指标: - 节点资源:$$ \text{CPU利用率} = \frac{\sum \text{容器CPU使用量}}{\sum \text{节点CPU总量}} $$ - Pod状态异常率 - 网络丢包率 - 存储IO延迟 2. **分布式追踪集成** - 通过**Jaeger**或**OpenTelemetry**定位微服务链路瓶颈 --- ### 六、进阶优化手段 1. **Serverless架构融合** - 使用**Knative**实现请求驱动的自动扩缩(缩容到零) 2. **异构资源调度** - 通过**NVIDIA GPU Operator**管理AI训练任务 - 使用**Kubernetes Device Plugins**调度FPGA等专用硬件 3. **安全加固** - 启用Pod Security Admission(PSA)策略 - 使用**Kyverno**或**OPA Gatekeeper**实现策略即代码 --- ### 优化效果验证 通过压力测试量化改进效果: $$ \text{提升比} = \frac{\text{优化前TPS}}{\text{优化后TPS}} \times 100\% $$ 建议使用**k6**或**Locust**进行基准测试。 --- 优化需遵循迭代原则,建议每次只修改一个变量并通过监控观察效果。生产环境应先在小规模测试集群验证后再全量实施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值