kubernetes学习之路--污点容忍度横向主节点

于 2022-12-17 12:20:53 发布
阅读量604 收藏 2
点赞数 2
分类专栏: Kubernetes学习 文章标签: kubernetes 学习 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44769520/article/details/128351020
版权

参考:K8s污点容忍度横向主节点-安全客 - 安全资讯平台

一.kube-scheduler调度

kube-schedulerKubernetes 集群的默认调度器,并且是集群控制面(master)的一部分。对每一个新创建的Pod或者是未被调度的Pod,kube-scheduler会选择一个最优的Node去运行这个Pod。

然而,Pod内的每一个容器对资源都有不同的需求,而且Pod本身也有不同的资源需求。因此,Pod在被调度到Node上之前,根据这些特定的资源调度需求,需要对集群中的Node进行一次过滤。

通俗来讲:在k8s集群中,我们不需要手动创建一个容器,我们只需要编辑Pod的配置文件,然后k8s就会根据我们的需求自动生成一个Pod,而Pod是会运行在某个node节点上的,那么如何做到这样就需要使用调度器(scheduler)和调度算法了。

从安全角度出发的话,要想体现出scheduler的作用,我们想的就是是否只拥有node节点上创建Pod的权限,但最终可以实现创建Pod到master节点。

二.影响调度的因素

2.1.pod资源限制

当前调度器选择适当的节点时,调度程序会检查每个节点是否有足够的资源满足 Pod 调度,比如查看CPU和内存限制是否满足:

例如:下面是一个Pod的配置文件,关注spec字段中的resources的内容,其中requests是要求分配给这个Pod的内存为7.2G,内存限制也是7.2G

通过资源限制调度程序可确保由于过多 Pod 竞争消耗节点所有可用资源,从而导致节点资源耗尽引起其他系统异常。

2.2 节点选择器nodeSelector 

这个就是方便运维人员管理的了,和docker差不多,打一个tag方便知道这个node的作用。

nodeSelector 也是节点选择约束的最简单推荐形式,nodeSelector 字段添加到 Pod 的规约中设置希望目标节点所具有的节点标签。 K8s 只会将 Pod 调度到拥有你所指定的每个标签的节点上。

#打标签
kubectl label node nodename env_role=worker-node

#查看标签
kubectl get nodes k8s-worker --show-labels

 然后我们在配置文件的spec字段中加入nodeSelector就可以实现让这个Pod只会部署在指定的节点上,如下:

 2.3 节点亲和性nodeAffinity

这个的功能比上面那个强大,上面的那个方式如果没有找到该标签内容的node,就会一直处在等待(Pending)状态。

节点亲和性概念上类似于 nodeSelector, 它使可以根据节点上的标签来约束 Pod 可以调度到哪些节点上,这种方法比上面的nodeSelector更加灵活,它可以进行一些简单的逻辑组合了,不只是简单的相等匹配。而且如果使用节点亲和性,就算当前没有这个节点,k8s还是可以根据调度调度策略进行调度。

调度策略

调度可以分成软策略(软亲和性)和硬策略(硬亲和性)两种方式:

  • 软亲和性(preferredDuringSchedulingIgnoredDuringExecution)就是如果你没有满足调度要求的节点的话,POD 就会忽略这条规则,继续完成调度过程,说白了就是满足条件最好了,没有的话也无所谓了的策略;
  • 硬亲和性(requiredDuringSchedulingIgnoredDuringExecution)表示当前的条件必须满足,如果没有满足条件的节点的话,就不断重试直到满足条件为止,简单说就是你必须满足我的要求,不然我就不干的策略。

亲和性操作符

如上亲和性还有一个字段是operator表匹配的逻辑操作符,可以使用descirbe命令查看具体的调度情况是否满足我们的要求,K8s提供的操作符有下面的几种:

  • In:label 的值在某个列表中
  • NotIn:label 的值不在某个列表中
  • Gt:label 的值大于某个值
  • Lt:label 的值小于某个值
  • Exists:某个 label 存在
  • DoesNotExist:某个 label 不存在

常用的配置示例:

#还是在spce字段中
...
tolerations:
  - key: node-role.kubernetes.io/master
    operator: Exists
    effect: NoSchedule
...

三.污点(Taints)与容忍(tolerations)

容忍度Toleration)是应用于 Pod 上的,允许(但并不要求)Pod 调度到带有与之匹配的污点的节点上。污点说白了就是不做普通的调度。

对于节点亲和性无论是软亲和性和硬亲和性,都是调度 POD 到预期节点上,而污点(Taints)恰好与之相反,如果一个节点标记为 Taints除非 POD 也被标识为可以容忍污点节点,否则该 Taints 节点不会被调度pod

3.1 污点(Taints)

查看污点:

kubectl describe node nodename | grep Taint

其中master节点中会存在默认污点:NoSchedule

污点里的值有三种:

  1. NoSchedule:POD 不会被调度到标记为 taints 节点。
  2. PreferNoSchedule:NoSchedule 的软策略版本。
  3. NoExecute:该选项意味着一旦 Taint 生效,如该节点内正在运行的 POD 没有对应 Tolerate 设置,会直接被逐出。

NoSchedule就是字面意思,不会被调度,PreferNoSchedule说白了是尽量不被调度,NoExecute是不会调度并且还会驱逐node已有的pod

3.2 污点容忍度(tolerations)

污点容忍度(tolerations)

容忍度tolerations是定义在 Pod对象上的键值型属性数据,用于配置其可容忍的节点污点,而且调度器仅能将Pod对象调度至其能够容忍该节点污点的节点之上。

污点定义在节点的node Spec中,而容忍度则定义在PodpodSpec中,它们都是键值型数据。

Pod对象上定义容忍度时,它支持两种操作符:一种是等值比较Equal,表示容忍度与污点必须在keyvalueeffect三者之上完全匹配;另一种是存在性判断Exists,表示二者的keyeffect必须完全匹配,而容忍度中的value字段要使用空值。

说白了就是:

  • 如果operatorExists(此时容忍度不能指定 value)
  • 如果operatorEqual,则它们的value应该相等

四.示例

目标:通过在Pod中修改配置文件实现将Pod创建在master节点上。

4.1 nodeName节点选择器

首先查看master节点名称:

此时master节点名称为k8s-control-plan 

还是使用BadPods中的everything-allowed,查看everything-allowed的配置文件,将nodeName注释符去掉

 应用该配置文件

 kubectl apply -f everything-allowed-exec-pod.yaml

 此时成功运行在了master节点上,进入Pod进行验证

4.2 使用污点容忍方式横向到master节点 

首先我们要知道,什么时候调度器才会把Pod分配到存在NoSchedule污点的节点上:

  1. 调度器优先调度的节点不能给该Pod提供它需要的配置(内存,CPU等)
  2. Pod存在可以容忍存在NoSchedule污点的节点
  3. master节点可以为该Pod提供它需要的配置(内存,CPU等)

首先我们查看worker-node的详细信息,使用命令

kubectl describe node k8s-worker

其中下面两个字段分别代表着节点的容量(Capacity)和可以分配(Allocatable)的配置信息,其中cpu的个数为4个,如果Pod中要求cpu超过4个,该node节点无法提供,那么就不会被分配到此node上

同理该node提供最到内存(memory)为7643140Ki,即7.2G 

其中我们可以看到这上面运行了两个默认的Pod,它们占用了多少cpu和内存 

 所以现在我们知道了,要想将Pod创建在master节点上,首先我们要把worker节点占满,然后创建一个可以容忍NoSchedule污点的Pod,那么该Pod就会被创建到master节点上了。

那么我们首先建立一个需要7.1G内存的Pod

1.yaml

apiVersion: v1
kind: Pod
metadata:
  name: memory-demo-3
  namespace: default
spec:
  containers:
  - name: memory-demo-3-ctr
    image: polinux/stress
    resources:
      requests:
        memory: "7.2Gi"
      limits:
        memory: "7.2Gi"
    command: ["stress"]
    args: ["--vm", "1", "--vm-bytes", "150M", "--vm-hang", "1"]

kubectl apply -f 1.yaml

此时我们再次查看worker节点的详细信息,发现内存和CPU已经几乎满了

 那么我们继续新建一个使用nginx镜像Pod,要求使用的内存大于worker节点剩余的容量,且可以容忍污点,同时保证master可以分配给它足够的需要的配置

test.yaml

apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    env: test
spec:
  containers:
  - name: nginx
    image: nginx
    command: ["/bin/sleep","3650d"]
    volumeMounts:
    - name: nodename
      mountPath: /host
    resources:
      requests:
        memory: "1Gi"
      limits:
        memory: "1Gi"
  tolerations:
  - key: "node-role.kubernetes.io/master"
    operator: "Exists"
    effect: "NoSchedule"
  volumes:
  - name: nodename
    hostPath:
      path: /
      type: Directory

创建成功结果如下

总结:本文主要介绍了污点及容忍度的相关知识,并结合环境进行了实战练习。

感觉自己写的东西有点太基础了,没什么技术含量,不过我现在收集到的现有的资料也就是这样的,接下来搜集一下容器(Pod)逃逸相关内容和工具,感觉这方面还是比较有搞头的。

zyer1
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s集群调度、亲和性、污点容忍、pod状态、排障步骤
云计算运维工程师的成长之路
01-30 1410
Kubernetes 是通过 List-Watch 的机制进行每个组件的协作,保持数据同步的,每个组件之间的设计实现了解耦。用户是通过 kubectl 根据配置文件,向 APIServer 发送命令,在 Node 节点上面建立 Pod 和 Container。APIServer 经过 API 调用,权限控制,调用资源和存储资源的过程,实际上还没有真正开始部署应用。这里需要 Controller Manager、Scheduler 和 kubelet 的协助才能完成整个部署过程。
k8s-部署到master节点污点(Taint) 与 容忍度(Toleration)】总结
liuyij3430448的博客
03-27 3407
使节点能够排斥一类特定的 Pod。作用于node是应用于 Pod 上的。允许调度调度带有对应污点的 Pod。容忍度允许调度但并不保证调度:作为其功能的一部分, 调度器也会评估其他参数。,可以用来避免 Pod 被分配到不合适的节点上。每个节点上都可以应用一个或多个污点,这表示对于那些不能容忍这些污点的 Pod, 是不会被该节点接受的。
Kubernetes 污点容忍
qq_45631844的博客
12-24 941
文章目录一、前言1. 污点(Taints)和容忍(Tolerations)的概述2. 污点(Taints)的组成二、NoExecute的应用 一、前言 1. 污点(Taints)和容忍(Tolerations)的概述 节点的亲和力和pod的亲和力要通过标签和拓扑域将pod调度到集群节点上,而污点(taints)却恰恰相反,集群中存在污点节点将会排斥pod,pod将不会调度到具有污点节点上。 容忍(tolerations)应用于pod当中,允许(但不强制要求)pod调度到具有污点节点上。 在k8s默
Kubernetes知识篇:Kubernetes之pod污点容忍度
东城绝神
09-24 1万+
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
Kubernetes 污点容忍
mnasd的博客
10-24 235
要搞清楚什么是污点?什么是容忍度污点 Taint容忍度TolerationTaint(污点)和 Toleration(容忍)可以作用于node和 pod 上(),其目的是优化pod在集群间的调度,这跟节点亲和性类似,只不过它们作用的方式相反,具有Taint的node和pod是互斥关系,而具有节点亲和性关系的node和pod是相吸的。另外还有可以给node节点设置label,通过给pod设置nodeSelector将pod调度到具有匹配标签的节点上。
kubernetes污点容忍度测试用例
09-25
原文链接:https://blog.csdn.net/m0_37814112/article/details/120453060 说明:污点容忍度测试用例
3、Kubernetes 调度器 - 污点1
08-04
当前 tainteffect 支持如下三个选项:PreferNoSchedule :表示 k8s 将尽量避免将 Pod 调度到具有该污点的 Node 上NoEx
kubernetes-kitchen:学习Kubernetes
05-21
Kubernetes-厨房 gcp 仪表盘 RBAC 特拉菲克 外部IP task-008-用于访问群集中的应用程序的外部IP DNS和静态IP task-009-使用服务配置带有静态IP k8的dns task-010-使用Ingress配置具有静态IP k8的dns 监控...
certified-kubernetes-administrator-course
04-06
测试-手动计划04标签和选择器05-实践测试计划06污点容忍07-实践测试污点容忍08-节点选择器09节点亲和力10-实践-测试-节点亲和力11,污点容忍度节点亲和度12个资源限制13实践测试资源限制14个守护程序集15个...
3、Kubernetes 调度器 - 污点.pdf
05-08
Kubernetes 调度器 - 污点
24.污点容忍度深入研究
LQ的博客
10-28 256
24.污点容忍度深入研究 Taint(污点)和Toleration(容忍度)可以作用于node和pod上,其目的是优化pod在集群间的调度,这跟节点亲和性类似; 只不过它们作用的方式相反,其用作确保pod不会被调度在指定的节点上。 1.概念引入 为了可以让大家更简单、更直观的了解到污点容忍度的意思,我这里画了个趣图。 如图所示,node节点上分别有云、五角星、十字架这三个不同组合的污点;Pod-A上有云和五角星的污点容忍度,Pod—B上则没有容忍度。 最终调度结果为: 1.Pod-A:调度至nod
为k8s-master节点添加/移除污点taints
热门推荐
己亥谷雨
09-24 3万+
手动部署的k8s集群, 需要为master节点手动设置taints 设置taint 语法: 1 2 3 4 5 kubectl taint node [node] key=value[effect] 其中[effect] 可取值: [ NoSchedule | PreferNoSchedule | NoExecute ] NoSchedule: 一定不能被调度 PreferNoSchedule: 尽量不要调度 No
k8s(18)之污点容忍
qq_23435961的博客
12-10 1523
Kubernetes 污点容忍 首先说一下污点(Taint),当我们需要将master节点保留给Kubernetes系统组件调用时,或者需要保留master节点的资源时,我们可以标记一个Taint,当节点标记Taint时,除非Pod也被识别为可以容忍(Toleration)污点节点,否则默认情况下Kubernetes scheduler不会将Pod调度到有污点节点Kubernetes 亲和性调度 一般情况下我们部署的 Pod 是通过集群的自动调度策略来选择节点的,默认情况下调度器考虑的是资源足够
kubernetes 的 Taints and Tolerations(污点和耐性)
纵横四海的博客
04-16 4246
功能 Taints and Tolerations 是pod的一个属性,它将允许某些pod在指定的节点上或者不允许指定的pod到指定节点上或者必须要有某些的pod才能调度到指定节点上 可以通过kubectl taint 来执行 例如 添加 Taints and Tolerations kubectl taint nodes node1 key=value:NoSchedule ----...
为k8s-master节点添加污点taints
happyzwh的专栏
01-08 2万+
手动部署的k8s集群, 需要为master节点手动设置taints 设置taint 语法: 复制 1 2 3 4 5 kubectl taint node [node] key=value[effect] 其中[effect] 可取值: [ NoSchedule | PreferNoSchedule | NoExecute ] ...
k8s-master增加和删除污点
阿牛同学的博客
11-09 4520
背景 使用kubeadm部署的kubernetes集群,其中master节点上默认拒绝pod调度运行在此上面。官方术语是:master默认被赋予了一个taints(污点),那么想让master也成为工作节点,有一下两种方法 去掉taints(污点) 备注:生产环境不推荐 让pod能够容忍节点上的污点 去掉污点(taints) 查看节点taints kubectl describe node NODE_NAME | grep Taint 删除节点taints kubectl taint node
Kubernetes学习污点
Micky_Yang的博客
09-23 1535
一、认识污点   污点(taints)是定义在节点之上的键值型属性数据,用于让节点拒绝将Pod调度运行于其上除非该Pod对象具有接纳节点污点容忍度。而容忍度(tolerations)是定义在Pod对象上的键值型属性数据,用于配置其可容忍节点污点,而且调度器仅能将Pod对象调度至其能够容忍节点污点节点之上,如下图所示:   节点选择器(nodeSelector)和节点亲和性(nodeAffinity)两种调度方式都是通过在Pod对象上添加标签选择器来完成对特定类型节点标签的匹配,它们实现的是由Pod
Kubernetes 调度 - 污点容忍度详解
weixin_45767577的博客
07-10 287
当我们使用节点亲和力(Pod 的一个属性)时,它会将Pod吸引到一组节点(作为偏好或硬性要求)。污点的行为完全相反,它们允许一个节点排斥一组 Pod。在 Kubernetes 中,您可以标记(污染)一个节点,以便在该节点上不能调度任何 Pod,除非它们应用了明确的容忍度。Tolerations 应用于 Pod,并允许(但不要求)Pod 调度到具有匹配污点节点上。污点容忍度协同工作可确保 Pod 不会被调度到不合适的节点上。 可以分配三个不同的值effect: 看看不同节点上已经运行的 pod 查看节点
深入kubernetes调度之Taints和Tolerations
VF@CSDN
06-23 1万+
本文要介绍kubernetes的中调度算法中的Taints和Tolerations用法,实际上是对PodToleratesNodeTaints策略和TaintTolerationPriority策略的具体应用。先从中文字面意思
应用服务污点容忍度配置
最新发布
01-13
tolerations字段用于指定Pod对节点上的污点容忍度。 以下是一个示例配置文件: ```yaml apiVersion: v1 kind: Pod metadata: name: my-app spec: containers: - name: my-app-container image: my-app-image...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值