Kubernetes 节点预留计算资源

最新推荐文章于 2023-12-09 17:21:08 发布
最新推荐文章于 2023-12-09 17:21:08 发布
阅读量925 收藏 3
点赞数
分类专栏: kubernetes 初级篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37377136/article/details/114437767
版权

涉及参考文档:

简介信息:
Kubernetes 的节点可以按照 Capacity 调度。默认情况下 pod 能够使用节点全部可用容量。 这是个问题,因为节点自己通常运行了不少驱动 OS 和 Kubernetes 的系统守护进程。 除非为这些系统守护进程留出资源,否则它们将与 pod 争夺资源并导致节点资源短缺问题。

kubelet 公开了一个名为Node Allocatable 的特性,有助于为系统守护进程预留计算资源。 Kubernetes 推荐 集群管理员按照每个节点上的工作负载密度配置 Node Allocatable。

一、节点可分配示意图

在这里插入图片描述

  • –kube-reserved = Kube 预留值
  • –system-reserved = 系统预留值
  • ephemeral-storage = kubelet eviction的阈值设定

Kubernetes 节点上的 Allocatable 被定义为 pod 可用计算资源量。 调度器不会超额申请 Allocatable。
目前支持 CPU, memory 和 ephemeral-storage(本地磁盘存储空间) 这几个参数。

二、配置 cgroup 驱动

kubelet 支持在主机上使用 cgroup 驱动操作 cgroup 层次结构。 驱动通过 --cgroup-driver 标志配置。

  • cgroupfs 是默认的驱动,在主机上直接操作 cgroup 文件系统以对 cgroup 沙箱进行管理。
  • systemd 是可选的驱动,使用 init 系统支持的资源的瞬时切片管理 cgroup 沙箱。

操作员可能需要选择一个特定的 cgroup 驱动 来保证系统正常运行。例如,如果操作员使用 docker 运行时提供的 systemd cgroup 驱动时, 必须配置 kubelet 使用 systemd cgroup 驱动。

1、 查看docker 运行时提供 cgroup 驱动

docker info  |grep  Cgroup

2、配置 kubelet cgroup 驱动

 cat /var/lib/kubelet/kubeadm-flags.env  |grep "cgroup-driver"

云上默认docker cgroup 驱动为 systemd ,所以 kubelet 得使用 systemd cgroup 驱动。
使用kubeadm 自搭建 docker cgroup 驱动为 cgroupfs ,所以 kubelet 得使用 cgroupfs cgroup 驱动。

三、实施节点可分配约束

  • Kubelet 标志: --enforce-node-allocatable=pods[,][system-reserved][,][kube-reserved]

调度器将 Allocatable 视为 Pod 可用的 capacity(资源容量)。

kubelet 默认对 Pod 执行 Allocatable 约束。 无论何时,如果所有 Pod 的总用量超过了 Allocatable,驱逐 Pod 的措施将被执行 驱逐策略
可通过设置 kubelet --enforce-node-allocatable 标志值为 pods 控制
在这里插入图片描述
要想执行 kube-reserved 或者 system-reserved 约束, 需要 对应设置 --kube-reserved-cgroup 或者 --system-reserved-cgroup

四、Kube 预留值

  • Kubelet 标志: --kube-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi]
  • Kubelet 标志: --kube-reserved-cgroup=

1、要选择性地对 kubernetes 系统守护进程上执行 kube-reserved 保护,需要把 kubelet 的 --kube-reserved-cgroup 标志的值设置为 kube 守护进程的父控制组 推荐将 kubernetes 系统守护进程放置于顶级控制组之下(例如 systemd 机器上的 runtime.slice)。 理想情况下每个系统守护进程都应该在其自己的子控制组中运行。 请参考 这篇文档, 进一步了解关于推荐控制组层次结构的细节
在这里插入图片描述
2、kube-reserved 用来给诸如kubelet、容器运行时、节点问题监测器等 kubernetes 系统守护进程记述其资源预留值。 该配置并非用来给以 Pod 形式运行的系统守护进程保留资源。

3、请注意,如果 --kube-reserved-cgroup 不存在,Kubelet 将 不会 创建它。 如果指定了一个无效的 cgroup,Kubelet 将会失败

cat  kubeadm-flags.env

KUBELET_KUBEADM_ARGS="--cgroup-driver=cgroupfs --network-plugin=cni --pod-infra-container-image=k8s.gcr.io/pause:3.2 \
    --enforce-node-allocatable=pods,kube-reserved \
    --kube-reserved=cpu=300m,memory=100Mi"
    #--kube-reserved-cgroup=/system.slice/kubelet.service \

重启服务:

systemctl  restart  kubelet.service  && ps -ef |grep kubelet

在这里插入图片描述

五、系统预留值

  • Kubelet 标志: --system-reserved=[cpu=100m][,][memory=100Mi][,][ephemeral-storage=1Gi][,][pid=1000]
  • Kubelet 标志: --system-reserved-cgroup=

system-reserved 用于为诸如sshd、udev 等系统守护进程记述其资源预留值。 system-reserved 也应该为 kernel 预留 内存,因为目前 kernel 使用的内存并不记在 Kubernetes 的 Pod 上。 同时还推荐为用户登录会话预留资源(systemd 体系中的 user.slice)

kubelet 的--system-reserved-cgroup 标志值为 OS 系统守护进程的父级控制组。 OS 系统守护进程放在一个顶级控制组之下(例如systemd 机器上的 system.slice)

如果 --system-reserved-cgroup 不存在,Kubelet 不会 创建它。 如果指定了无效的 cgroup,Kubelet 将会失败。 如上测试 Kube 预留值

六、驱逐阈值

  • Kubelet 标志: --eviction-hard=[memory.available<500Mi]

为了防止(或减少可能性)系统内存不足,kubelet 提供了 资源不足管理。驱逐操作只支持 memory 和 ephemeral-storage。 通过 --eviction-hard 标志预留一些内存后,当节点上的可用内存降至保留值以下时, kubelet 将尝试驱逐 Pod。如果节点上不存在系统守护进程,Pod 将不能使用超过 capacity-eviction-hard 所 指定的资源量。因此,为驱逐而预留的资源对 Pod 是不可用的。

详细请阅读文章 Kubernetes 资源不足时的处理方式

七、测试案例

这是一个用于说明节点可分配(Node Allocatable)计算方式的示例:

节点拥有 32Gi memeory,16 CPU  100Gi Storage 资源
- --kube-reserved 被设置为 cpu=1,memory=2Gi,ephemeral-storage=1Gi
- --system-reserved 被设置为 cpu=500m,memory=1Gi,ephemeral-storage=1Gi
- --eviction-hard 被设置为 memory.available<500Mi,nodefs.available<10%

在这个场景下,Allocatable 将会是 14.5 CPUs、28.5Gi 内存以及 88Gi 本地存储。 调度器保证这个节点上的所有 Pod 的内存 requests 总量不超过 28.5Gi, 存储不超过 88Gi。 当 Pod 的内存使用总量超过 28.5Gi 或者磁盘使用总量超过 88Gi 时, kubelet 将会驱逐它们。 如果节点上的所有进程都尽可能多地使用 CPU,则 Pod 加起来不能使用超过 14.5 CPUs 的资源。

当没有执行 kube-reserved 和/或 system-reserved 策略且系统守护进程 使用量超过其预留时,如果节点内存用量高于 31.5Gi 或存储大于 90Gi, kubelet 将会驱逐 Pod

vim /var/lib/kubelet/kubeadm-flags.env

KUBELET_KUBEADM_ARGS="--cgroup-driver=cgroupfs --network-plugin=cni --pod-infra-container-image=k8s.gcr.io/pause:3.2 \
    --enforce-node-allocatable=pods,kube-reserved \
    --kube-reserved-cgroup=/system.slice/kubelet.service \
    --system-reserved-cgroup=/system.slice \
    --kube-reserved=cpu=1,memory=2Gi,ephemeral-storage=1Gi \
    --system-reserved=cpu=500m,memory=1Gi,ephemeral-storage=1Gi \
    --eviction-hard=memory.available<500Mi,nodefs.available<10%"

ps -ef |grep kubelet && ps -ef |grep kubelet
还是那片西瓜吗
关注
专栏目录
kubelet 配置节点资源预留
weixin_43273856的博客
06-15 332
kubelet 配置节点资源预留
[kubelet-check] The HTTP call equal to ‘curl -sSL http://localhost:10248/healthz‘ failed with error:
ck784101777的博客
11-20 1万+
可能性1:10-kubeadm.conf文件缺失 vim /etc/systemd/system/kubelet.service.d/10-kubeadm.conf # Note: This dropin only works with kubeadm and kubelet v1.11+ [Service] Environment="KUBELET_KUBECONFIG_ARGS=--bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.con
kubernetes集群节点资源预留
xin053
06-16 2444
问题 默认kubelet没有配置资源预留,host上所有的资源(cpu, 内存, 磁盘) 都是可以给 pod 使用的。而当一个节点上的 pod 将资源吃满时,系统层面可能会干掉 k8s 核心组件进程, 从而导致改节点 not ready,此时 k8s 会将改节点的所有 pod 调度到其他节点重建,如果其他节点资源也不够,那么其他节点也会 not ready,进而引起集群雪崩效应。 如何避免 通过为 k8s 设置 kube 组件资源预留和 system 系统资源预留,保证节点的 pod 不会吃满节点资源 目前
第四篇:k8s之节点kubelet预留资源配置
cheney的专栏
03-27 3989
最近k8s在使用过程中遇到这样一个问题由于Pod没有对内存及CPU进行限制,导致Pod在运行过程中所需的内存超过了节点本身的内存(OOM),从而导致节点崩溃,使得运行在该节点上的所有Pod都失败了为了解决这个问题以及提高节点的稳定性,综合k8s的一些特性,方案如下每个节点为系统守护进程预留计算资源(CPU、内存、磁盘空间)Pod驱逐:节点资源到达一定使用量,开始驱逐 pod每个Pod需指定所需资源。
Kubernetes(K8S)部署安装+K8S操作资源(NameNode/Pod/Deployment/Service/lngress/挂载数据和配置文件/Secret)
最新发布
usa_washington的博客
12-09 230
K8S
kubernets资源预留
weixin_30265171的博客
04-16 425
一、 Kubelet Node Allocatable Kubelet Node Allocatable用来为Kube组件和System进程预留资源,从而保证当节点出现满负荷时也能保证Kube和System进程有足够的资源。 目前支持cpu, memory, ephemeral-storage三种资源预留。 Node Capacity是Node的所有硬件资源,kube-reserved...
docker内存阀值_Kubernetes 资源预留配置
weixin_33309048的博客
12-24 839
Kubernetes节点可以按照节点的资源容量进行调度,默认情况下 Pod 能够使用节点全部可用容量。这样就会造成一个问题,因为节点自己通常运行了不少驱动 OS 和 Kubernetes 的系统守护进程。除非为这些系统守护进程留出资源,否则它们将与 Pod 争夺资源并导致节点资源短缺问题。当我们在线上使用 Kubernetes 集群的时候,如果没有对节点配置正确的资源预留,我们可以考虑一个场景...
kubernetes 降本增效标准指南| 容器化计算资源利用率现象剖析
吉小白的博客
03-30 930
作者:詹雪娇,腾讯云容器产品经理,目前主要负责腾讯云集群运维中心的产品工作。 张鹏,腾讯云容器产品工程师,拥有多年云原生项目开发落地经验。目前主要负责腾讯云TKE集群和运维中心开发工作。 引言 降本增效从云计算发展至今一直都是企业上云最核心的关注点,无论是在线业务还是大数据、AI业务,都非常依赖算力的消耗,成本问题都是企业上云进行决策的核心因素。 从云计算本身来看,单纯把业务从 IDC 搬迁上云不修改任何业务架构,提高计算资源利用率需要非常大的运维成本和人力成本投入到改造业务适配弹性伸缩和业务可调度性中。随
Kubernetes 资源拓扑感知调度优化
JavaShark的博客
06-28 444
近年来,随着腾讯内部自研上云项目的不断发展,越来越多的业务开始使用云原生方式托管自己的工作负载,容器平台的规模因此不断增大。以 Kubernetes 为底座的云原生技术极大推动了云原生领域的发展,已然成为各大容器平台事实上的技术标准。在云原生场景下,为了最大化实现资源共享,单台宿主机往往会运行多个不同用户的计算任务。如果在宿主机内没有进行精细化的资源隔离,在业务负载高峰时间段,多个容器往往会对资源产生激烈的竞争,可能导致程序性能的急剧下降,主要体现为:因此,在云原生场景下需要针对容器资源分配加以精细化的限制
Kubernetes学习之资源限额
Micky_Yang的博客
09-19 1061
一、资源需求与限制   在Kubernetes上,可由容器或Pod请求或消费的"计算资源"是指CPU和内存(RAM),这也是目前仅有的受支持的两种类型。相比较来说,CPU属于可压缩(compressible)型资源,即资源的使用额度可按需收缩,而内存(当前)则是不可压缩性资源,对其执行收缩操作可能会导致某种程度的问题。   目前来说,资源隔离尚且属于容器级别的,CPU和内存资源的配置需要在Pod中的容器上进行,每种资源均可由"requests"属性定义其请求的确保可用值,即容器运行可能用不到这些额度的资源,
Nova 如何统计 OpenStack 计算资源(free_ram_mb, free_disk_gb)
Nicholas的专栏
03-19 4123
1)Nova 如何统计 OpenStack 计算资源? (2)为什么 free_ram_mb, free_disk_gb 有时会是负数? (3)即使 free_ram_mb, free_disk_gb 为负,为什么虚拟机依旧能创建成功? (4)资源不足会导致虚拟机创建失败,但指定了 host 有时却能创建成功? 作者以上四个问题为切入点,结合 Kilo 版本 Nova 源码...
Kubernetes 为系统守护进程预留计算资源
不积跬步,无以至千里;不积小流,无以成江海。
09-28 464
Kubernetes节点可以按照 Capacity 调度。默认情况下 pod 能够使用节点全部可用容量。这是个问题,因为节点自己通常运行了不少驱动 OS 和 Kubernetes 的系统守护进程(system daemons)。除非为这些系统守护进程留出资源,否则它们将与 pod 争夺资源并导致节点资源短缺问题。 kubelet 公开了一个名为 Node Allocatable 的特性,有助于...
[kubernetes] 资源管理 --- 资源预留实践
摩登都市天空---专栏
06-06 2349
一 概述 1.1 问题 系统资源可分为两类:可压缩资源(CPU)和不可压缩资源(memory、storage)。可压缩资源比如CPU超配后,在系统满负荷时会划分时间片分时运行进程,系统整体会变慢(一般不会导致太大的问题)。但不可压缩资源如Memory,当系统内存不足时,就有可能触发系统 OOM;这时候根据 oom score 来确定优先杀死哪个进程,而 oom_score_adj 又是影响 o...
k8s集群性能优化之kubelet配置资源预留
最美dee时光的博客
09-14 5161
本篇目录链接疑问分析:解决思路:环境说明Kubelet Node Allocatable 介绍配置方式(基于yum安装)配置资源预留Eviction 与 OOM可分配约束 疑问分析: 在k8s集群中,默认情况下 Pod 能够使用节点全部可用容量,同样就会伴随一个新的问题,pod消耗的内存会挤占掉系统服务本身的资源,这就好比我们在宿主机上运行java服务一样,会出现java程序将宿主机上的资源(内存、cpu)耗尽,从而导致系统登陆不上或者卡顿现象。同理在k8s集群中也会出现类似的问题,从而也会导致一系列不可控
kubeernetes节点资源限制
隔壁老瓦的专栏
01-16 1089
kubeernetes节点资源限制 实际应用中发现,部分节点性能不足,某些较大的服务如果跑在这些机器上。会很快消耗该机器的内存和cpu资源,如果用uptime看一下的就会发现负载特别高(合理的范围这个值应该等于cpu个数),高到一定值就会导致该节点挂了。 比较好的方式是 1:底层,采用性能高的服务器用openstack分出多个虚机,通过资源的自动伸缩,但是目前还没有这个条件。直接跑在低性能的...
k8s节点资源预留与 pod 驱逐
会哭的雨@的博客
09-25 4208
k8s节点资源预留与 pod 驱逐 为什么 K8S 的节点上的资源会被 pod 和系统进程所使用,如果默认什么都不配置,那么节点上的全部资源都是可以分配给pod使用的,系统进程本身没有保障,这样做很危险: 集群雪崩:如果节点上调度了大量pod,且pod没有合理的limit限制,节点资源将被耗尽,sshd、kubelet等进程OOM,节点变成 not ready状态,pod重新继续调度到其他节点,新节点也被打挂,引起集群雪崩。 系统进程异常:就算 pod 设置了limit,但如果机器遇..
Kubernetes 调度 Node污点/容忍
小楼一夜听春雨,深巷明朝卖杏花
11-03 3128
Taint 和 Toleration 节点亲和性,是pod的一种属性(偏好或硬性要求),它使pod被吸引到一类特定的节点。Taint 则相反,它使节点能够排斥一类特定的 pod Taint 和 toleration 相互配合,可以用来避免 pod 被分配到不合适的节点上。每个节点上都可以应用一个或多个taint ,这表示对于那些不能容忍这些 taint 的 pod,是不会被该节点接受的。如果将 toleration 应用于 pod上,则表示这些 pod 可以(但不要求)被调度到具有匹配 taint ..
K8s 有损发布问题探究
热门推荐
LoveSummer
11-15 2万+
流量有损是在应用发布时的常见问题,其现象通常会反馈到流量监控上,如下图所示,发布过程中服务 RT 突然升高,造成部分业务响应变慢,给用户的最直观体验就是卡顿;或是请求的 500 错误数突增,在用户侧可能感受到服务降级或服务不可用,从而影响用户体验。
Pod控制器详解
Yosigo_的博客
08-09 1205
Pod控制器详解 Pod是kubernetes的最小管理单元,在kubernetes中,按照pod的创建方式可以将其分为两类: 自主式pod:kubernetes直接创建出来的Pod,这种pod删除后就没有了,也不会重建 控制器创建的pod:kubernetes通过控制器创建的pod,这种pod删除了之后还会自动重建 什么是Pod控制器 Pod控制器是管理pod的中间层,使用Pod控制器之后,只需要告诉Pod控制器,想要多少个什么样的Pod就可以了,它会创建出满足条件的Pod并确保每一个
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值