Kubernetes 准入控制插件 LimitRange pod资源配额

已于 2023-08-10 15:53:26 修改
阅读量802 收藏 1
点赞数
分类专栏: Kubernetes 安全 Kubernetes APIServer 文章标签: kubernetes
于 2021-07-02 10:33:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118404441
版权

资源配额 LimitRange

默认情况下,K8s集群上的容器对计算资源没有任何限制,可能会导致个别容器资源过大导致影响其他容器正常工作,这时可以使用LimitRange定义容器默认CPU和内存请求值或者最大上限。(默认是使用宿主机上面所有的资源)
在哪个命名空间下面创建,那么就是应用在哪个命名空间。 LimitRange限制维度:
• 限制容器配置requests.cpu/memory,limits.cpu/memory的最小、最大值
• 限制容器配置requests.cpu/memory,limits.cpu/memory的默认值
• 限制PVC配置requests.storage的最小、最大值
限制创建pod设置request和limit,最小得超过最小值,但是不能超过最大值,就是最小和最大的限
制。下面是针对于pod下面的每一个容器的。 
[root@master limitrnage]# kubectl apply -f test1.yaml 
limitrange/cpu-memory-min-max created
[root@master limitrnage]# cat test1.yaml 
apiVersion: v1
kind: LimitRange
metadata:
  name: cpu-memory-min-max
  namespace: dev1
spec:
  limits:
  - max: #容器能够设置limit最大值
      cpu: 1
      memory: 1Gi
    min: #容器能够设置request最小值
      cpu: 200m 
      memory: 200Mi
    type: Container
[root@master limitrnage]# kubectl get limits -n dev1
NAME                 CREATED AT
cpu-memory-min-max   2021-07-02T01:01:16Z
[root@master limitrnage]# kubectl describe limits cpu-memory-min-max  -n dev1
Name:       cpu-memory-min-max
Namespace:  dev1
Type        Resource  Min    Max  Default Request  Default Limit  Max Limit/Request Ratio
----        --------  ---    ---  ---------------  -------------  -----------------------
Container   cpu       200m   1    1                1              -
Container   memory    200Mi  1Gi  1Gi              1Gi

测试request,小于request

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx
    resources:
      requests:
        cpu: 100m
        memory: 100Mi


[root@master limitrnage]# kubectl apply -f pod.yaml 
Error from server (Forbidden): error when creating "pod.yaml": pods "web" is forbidden: [minimum cpu usage per Container is 200m, but request is 100m, minimum memory usage per Container is 200Mi, but request is 100Mi]

request值大于limit

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx
    resources:
      requests:
        cpu: 1500m
        memory: 400Mi

[root@master limitrnage]# kubectl apply -f pod.yaml 
The Pod "web" is invalid: spec.containers[0].resources.requests: Invalid value: "1500m": must be less than or equal to cpu limit

测试limit,request值正常,但是limit的值不符合要求,超过CPU限制

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx
    resources:
      requests:
        cpu: 300m
        memory: 400Mi
      limits:
        cpu: 2
        memory: 1Gi 

[root@master limitrnage]# kubectl apply -f pod.yaml 
Error from server (Forbidden): error when creating "pod.yaml": pods "web" is forbidden: maximum cpu usage per Container is 1, but limit is 2

超过mem限制 

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx
    resources:
      requests:
        cpu: 300m
        memory: 400Mi
      limits:
        cpu: 500m
        memory: 2Gi 

[root@master limitrnage]# kubectl apply -f pod.yaml 
Error from server (Forbidden): error when creating "pod.yaml": pods "web" is forbidden: maximum memory usage per Container is 1Gi, but limit is 2Gi

计算资源默认值限制

不指定request和limit的值的时候,会发生什么变化。

#在设置的上面的limit最大值和request最小值的的时候,如果创建容器不指定其resources字段,默认以limit最大值进行分配

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx

[root@master limitrnage]# kubectl apply -f pod.yaml 
pod/web created
[root@master limitrnage]# kubectl describe pod web -n dev1
Name:         web
Namespace:    dev1
Priority:     0
......................................
    Limits:                       #可以看到是以最大值进行分配
      cpu:     1
      memory:  1Gi
    Requests:
      cpu:        1
      memory:     1Gi

所以还要设置一个默认值,否则默认值会比较大,因为参考的是最大值。

[root@master limitrnage]# cat test1.yaml 
apiVersion: v1
kind: LimitRange
metadata:
  name: cpu-memory-min-max
  namespace: dev1
spec:
  limits:
  - max: 
      cpu: 1
      memory: 1Gi
    min: 
      cpu: 200m 
      memory: 200Mi
    defaultRequest:
      cpu: 300m
      memory: 300Mi
    type: Container 

[root@master limitrnage]# kubectl describe limits cpu-memory-min-max -n dev1
Name:       cpu-memory-min-max
Namespace:  dev1
Type        Resource  Min    Max  Default Request  Default Limit  Max Limit/Request Ratio
----        --------  ---    ---  ---------------  -------------  -----------------------
Container   cpu       200m   1    300m             1              -
Container   memory    200Mi  1Gi  300Mi            1Gi            -

[root@master limitrnage]# cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: web
  namespace: dev1
spec:
  containers:
  - image: nginx
    name: nginx
[root@master limitrnage]# kubectl apply -f pod.yaml 
pod/web created
[root@master limitrnage]# kubectl get pod -n dev1
NAME   READY   STATUS    RESTARTS   AGE
web    1/1     Running   0          19s
[root@master limitrnage]# kubectl  describe pod web -n dev1
Name:         web
Namespace:    dev1
.............................................
    Limits:
      cpu:     1
      memory:  1Gi
    Requests:
      cpu:        300m
      memory:     300Mi

这里最好将默认最大值limit也限制一下,要不然是按照最大值限制的。

存储资源最大、最小限制:pvc申请超过10G会拒绝,低于1G也会拒绝,这个范围就是1-10G

[root@master limitrnage]# kubectl describe limits storage-min-max  -n dev1
Name:                  storage-min-max
Namespace:             dev1
Type                   Resource  Min  Max   Default Request  Default Limit  Max Limit/Request Ratio
----                   --------  ---  ---   ---------------  -------------  -----------------------
PersistentVolumeClaim  storage   1Gi  10Gi  -                -              -
[root@master limitrnage]# cat test2.yaml 
apiVersion: v1
kind: LimitRange
metadata:
  name: storage-min-max
  namespace: dev1
spec:
  limits:
  - type: PersistentVolumeClaim
    max:
      storage: 10Gi
    min:
      storage: 1Gi
[root@master limitrnage]# cat pvc.yaml 
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: nfs-pvc
  namespace: dev1
spec:
  accessModes:
  - ReadWriteMany
  resources:
    requests:
      storage: 15Gi
  storageClassName: nfs


[root@master limitrnage]# kubectl apply -f pvc.yaml 
Error from server (Forbidden): error when creating "pvc.yaml": persistentvolumeclaims "nfs-pvc" is forbidden: maximum storage usage per PersistentVolumeClaim is 10Gi, but request is 15Gi
富士康质检员张全蛋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 学习笔记 - LimitRange 限制范围
以梦为马|越骑越傻
06-03 1171
LimitRange是限制namespace(命名空间)内可为每个适用的对象类别 (例如Pod或)指定的资源分配量(limits和requests)的策略对象一个LimitRange(限制范围)对象提供的限制能够做到:在一个namespace(命名空间)中实施对每个Pod或Container最小和最大的资源使用量的限制。在一个namespace(命名空间)中实施对每个能申请的最小和最大的存储空间大小的限制。在一个namespace(命名空间)中实施对一种资源的requests(申请值)和。
通过 kubectl 查看 K8s 内节点、Pod 资源使用情况
qq_15821487的博客
08-04 3207
代码】通过 kubectl 查看 K8s 内节点、Pod 资源使用情况。
kubernetesLimitRange的理解
产品菜鸟的博客
06-02 8919
kubernetesLimitRange的理解今天学习了LimitRange,大概总结一下LimitRange的用法,LimitRange是在pod和container级别的资源限制,先看以下的例子:apiVersion: v1 kind: LimitRange metadata: name: mylimits spec: limits: - max: cpu: "4" ...
k8s资源限制——LimitRange使用
skh2015java的博客
09-04 6071
一、简介 前面我们介绍了k8s资源限制在容器中的使用: https://blog.csdn.net/skh2015java/article/details/108409767 在k8s集群中为了能够使系统正常稳定运行,通常会限制Pod资源使用情况,在k8s集群中如果有一个程序出现异常,并占用大量的系统资源。如果未对该Pod进行资源限制的话,可能会影响其他的Pod。 k8s常见的资源管理方式:计算资源管理(Compute Resources)、资源的配置范围管理(LimitRange)...
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 5444
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
pod-security-admission:一个Kubernetes准入网络挂钩,以确保Pod安全标准
04-08
豆荚安全入场项目状态:开发中pod-security-... 该策略应应用于作为Kubernetes集群核心组件的Pod,例如网络插件。 此策略将应用于带有以下标签的属于名称空间的Pod: apiVersion : v1kind : Namespacemetadata : nam
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
最新发布
01-09
kubernetes webhook image
portieris:一个 Kubernetes 准入控制器,用于通过 Notary 验证图像信任
08-04
版权最近更新时间年2018、2021 2021-02-17 Portieris 是一个 Kubernetes 准入控制器,用于执行图像安全策略。 您可以为每个 Kubernetes 命名空间或集群级别创建镜像安全策略,并对不同的镜像实施不同的规则。这个...
哨兵:Kubernetes对象验证准入控制
02-04
Sentry是一个Webhook验证准入控制器,可在准入之前对Kubernetes中的对象强制实施规则集群。 规则 Sentry当前支持以下执行规则。 如果未在config.yaml中将“ enabled”设置为true来设置它们,则不会强制执行它们。 ...
4、Kubernetes 集群安全 - 准入控制1
08-04
4、Kubernetes 集群安全 - 准入控制1
k8s【资源管理】3--LimitRange为命名空间配置 CPU 最小和最大约束
爱死亡机器人
01-12 873
文章目录1. LimitRange配置 CPU 最小和最大约束2. 创建满足配置 CPU 最小和最大约束的pod3. 尝试创建一个超过最大 CPU 限制的 Pod4. 尝试创建一个不满足最小 CPU 请求的 Pod5. 创建一个没有声明 CPU 请求和 CPU 限制的 Pod 1. LimitRange配置 CPU 最小和最大约束 创建命名空间 kubectl create namespace constraints-cpu-example 创建 LimitRangePod apiVersion..
Kubernetes 1.2 新功能介绍:Limit Range和Resource Quota
liukuan73的专栏
01-24 3539
http://www.dockerinfo.net/1123.html 什么是资源的限制范围和使用配额 Docker或者说以Docker发轫的新一代云计算,很大程度上的目标是实现更轻量、更便捷、更高效、更低成本的资源共享和隔离。使用kubernetes,一方面是实现DevOps,实现运维的自动化,另一方面是提高资源的利用率,实现软件定义的计算。对kubern
[Tips]Kubectl使用
weixin_30583563的博客
07-16 78
获取命名空间 kubectl get namesapces 获取Pods kubectl get pods 获取Pods详细信息 (所有pods的信息) kubectl describe pods 查看日志 kubectl logs $POD_NAME 获取Daemonset kubectl get daemonset 删除Dae...
【kubectl get常用命令】
u010680373的博客
05-14 2366
一、命令格式 kubectl get 资源名称 二、支持的资源名称如下 all certificatesigningrequests (可简写为"csr") clusterrolebindings clusterrol componentstatuses (可简写为"cs") configmaps (可简写为"cm") controllerrevisions cronjobs customresourcedefinition (可简写为"crd") daemonsets (可简写为"ds") deploy
谷歌大神详解 Kubernetes 配置管理最佳方法
Kubernetes中文社区
10-30 5055
于梦琦 / 美国谷歌软件工程师 嘉宾介绍: 美国谷歌 Kubernetes/Google Container Engine(GKE)组核心成员,主要从事CLI(kubectl)开发以及配置管理的研究与开发。 本科和硕士分别毕业于上海交通大学和 UCSD 大家好!我是来自谷歌的于梦琦。今天我来给大家介绍一下 —— Kubernetes 配置管理中的最佳方法。
15 个 Kubectl 现有命令使用技巧 - 拿来即用
Marionxue
10-20 377
集群节点与pods获取集群中所有non-running的pods(k是kubectl的命令别名)☸️CloudnativeEcosystem????default~???...
C#查询数据库时问题: Min(1) must be less than or equal to max(-1) in Range object
weixin_34250434的博客
01-05 828
这个问题是由于自己的粗心引起,当时定位到代码了,但是完全没有头绪,知道自己在实现上找到了问题. 下面就是出错的代码:DataRow[]tmpdrlist=tmpdt.Select(string.Format("UserGroup={0}",dr["UserGroup"].ToString())); 上面的代码没有任何语法问题,只有在运行的时候出...
kubernetes cpu限制参数说明
weixin_30577801的博客
09-06 1097
docker CPU限制参数 Option Description --cpus=<value> Specify how much of the available CPU resources a container can use. For instance, if the host ...
kubernetes资源对象之limitrange
qq_44823950的博客
08-14 417
kubernetes(k8s)资源对象limitrange详解
准入控制 详细描述一下
03-31
准入控制是指在系统或网络中,对于访问该系统或网络的用户、应用程序或设备进行一系列的限制和管理,以确保只有符合特定条件的实体才能够被允许进入系统或网络。这些条件可以包括身份验证、权限验证、安全策略等,准入控制的目的是保护系统或网络的安全性和完整性。 准入控制通常包括以下几个方面: 1.身份验证:系统会要求用户输入用户名和密码等身份信息,以验证其身份的真实性和合法性。 2.权限验证:系统会根据用户的身份和角色对其进行访问权限的管理和控制,确保用户只能访问其被授权的资源和功能。 3.访问控制:系统会根据用户的访问需求和安全策略对其进行访问控制,以保护系统中的敏感信息和数据。 4.安全策略:系统会根据特定的安全策略对用户的访问进行限制和管理,以确保系统或网络的安全性和稳定性。 准入控制是信息安全管理的重要组成部分,其目的是保护系统或网络免受未经授权的访问、恶意攻击和数据泄露等威胁。通过实施科学的准入控制措施,可以有效地提高系统或网络的安全性和完整性,保障信息系统的正常运行和业务安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值