集群调度
简介
Scheduler是kubernetes的调度器,主要的任务是把定义的pod分配到集群的节点上。听起来非常简单,但
有很多要考虑的问题:*
●公平:如何保证每个节点都能被分配资源
●资源高效利用:集群所有资源最大化被使用
●效率:调度的性能要好,能够尽快地对大批量的pod完成调度工作
●灵活:允许用户根据自己的需求控制调度的逻辑
Sheduler是作为单独的程序运行的,启动之后会一直坚挺 API Server,获取PodSpec . NodeName为空的pod,
对每个pod都会创建一个binding,表明该pod应该放到哪个节点上
调度过程
调度分为几个部分:首先是过滤掉不满足条件的节点,这个过程称为predicate ;然后对通过的节点按照优先级
排序,这个是priority ;最后从中选择优先级最高的节点。如果中间任何一步骤有错误,就直接返回错误
Predicate有一系列的算法可以使用:
●| PodFitsResources :节点上剩余的资源是否大于pod请求的资源
●PodFitsHost :如果pod指定了NodeName,检查节点名称是否和NodeName匹配
●| PodF itsHostPorts: 节点上已经使用的port是否和pod申请的port冲突
●PodSelectorMatches :过滤掉和pod指定的label不匹配的节点
调度过程
调度分为几个部分:首先是过滤掉不满足条件的节点,这个过程称为predicate ;然后对通过的节点按照优先级
排序,这个是priority ;最后从中选择优先级最高的节点。如果中间任何一步骤有错误,就直接返回错误
Predicate有一系列的算法可以使用:
●| PodF itsResources :节点上剩余的资源是否大于pod请求的资源
●PodFitsHost :如果pod指定了NodeName, 检查节点名称是否和NodeName匹配
●| PodFitsHostPorts :节点上已经使用的port是否和pod申请的port冲突
● PodSelectorMatches :过滤掉和pod指定的label不匹配的节点
●| NoDiskConflict :已经mount的volume和pod指定的volume不冲突,除非它们都是只读
**如果在predicate过程中没有合适的节点,pod 会- -直在“pending 状态,不断重试调度, 直到有节点满足
条件。经过这个步骤,如果有多个节点满足条件,就继续priorities过程:按照优先级大小对节点排序
优先级由一系列键值对组成,键是该优先级项的名称,值是它的权重(该项的重要性)。这些优先级选项包括:
●| LeastRequestedPriority :通过计算CPU和Memory的使用率来决定权重,使用率越低权重越高。换句话
说,这个优先级指标倾向于资源使用比例更低的节点
●| BalancedResourceAllocation: 节点上CPU和Memory使用率越接近,权重越高。这个应该和上面的一起
使用,不应该单独使用
●| ImagelocalityPriority :倾向于已经有要使用镜像的节点,镜像总大小值越大,权重越高
通过算法对所有的优先级项目和权重进行计算,得出最终的结果
亲和度
节点亲和性
pod.spec.nodeAffinity
●preferredDuringSchedulinglgnoredDuringExecution: 软策略
●requiredDuringSchedulinglgnoredDuringExecution: 硬策略
软亲和
requiredDuringSchedulinglgnoredDuringExecution
apiVersion: v1
kind: Pod
metadata :
name: affinity
labels:
app: node- affinity-pod
spec:
containers:
- name: with-node-affinity
image: hub. atguigu. com/library/myapp:v1
affinity:
nodeAffinity:
requiredDuringSchedul ingIgnoredDuringExecution:
nodeSelectorTerms :
- matchExpressions:
- key: kubernetes . io/hostname
operator: NotIn
values:
- k8s-node02
| 键值运算关系 | |
|---|---|
| In | label的值在某个列表中 |
| NotIn | label 的值不在某个列表中** |
| Gt | label的值大于某个值 |
| Lt | label的值小于某个值 |
| Exists | 某个label存在 |
| DoesNotExist | 某个label不存在 |
硬亲和
#preferredDuringSchedulinglgnoredDuringExecution
apiVersion: v1
kind: Pod
metadata :
name: affinity
labels:
app: node-affinity-pod
spec:
containers:
- name: with-node- affinity
image: hub. atguigu. com/library/myapp:v1
affinity:
nodeAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 1
preference:
matchExpressions:
- key: source
operator: In
values:
- qikqiak
合体
先验证硬亲和性
apiVersion: V1
kind: Pod
metadata:
name: affinity
labels:
app: node-affinity-pod
spec:
containers:
- name: with-node-affinity
image: hub. atguigu. com/library/myapp:v1
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchEkpressions:
- key: kubernetes . io/ hostname
operator: NotIn
values:
- k8s-node02
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 1
preference:
matchExpressions:
- key: source
operator: In
values:
- qikqiak
Pod亲和性
pod.spec.affinity.podAffinity/podAntiAffinity
●preferredDuringSchedulinglgnoredDuringExecution: 软策略
●requiredDuringSchedulinglgnoredDuringExecution:硬策略
apiVersion: V1
kind: Pod
metadata :
name: pod-3
labels:
app: pod-3
spec:
Containers:
- name: pod-3
image: hub.atguigu.com/library/myapp:v1
affinity:
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchExpressions:
- key: app
operator: In
values:
- pod-1
topologyKey: kubernetes.io/hostname
podAntiAffinity:
preferredDuringSchedulingIgnoredDuringExecution:
- weight: 1
podAffinityTerm:
labelSelector:
matchExpressions :
- key: app
operator: In
values:
- pod-2
topologyKey: kubernetes.io/hostname
污点
Taint和Toleration
节点亲和性,是pod的一种属性(偏好或硬性要求),它使pod被吸引到一类特定的节点。Taint 则相反,它使
茄能够排斥- -类特定的pod
** Taint和toleration相互配合,可以用来避免pod被分配到不合适的节点上。每个节点上都可以应用一个或多
个taint,这表示对于那些不能容忍这些taint的pod,是不会被该节点接受的。如果将toleration应用于pod
上,则表示这些pod可以(但不要求)被调度到具有匹配taint的节点上**
污点(Taint)
I、滤(Taint)的组成
使用kubectl taint命令可以给某个Node节点设置污点,Node被设置上污点之后就和Pod之间存在了一种
相斥的关系,可以让Node拒绝Pod的调度执行,甚至将Node已经存在的Pod驱逐出去
每个污点的组成如下:
key=value:effect
每个污点有一个key和value作为污点的标签,其中value可以为空, effect 描述污点的作用。当前taint
effect支持如下三个选项:
Noschedule:表示k8s将不会将Pod调度到具有该污点的Node上
●| PreferNoschedule :表示k8s将尽量避免将Pod调度到具有该污点的Node. 上
● NoExecute :表示k8s将不会将Pod调度到具有该污点的Node. 上,同时会将Node. 上已经存在的Pod驱
逐出去
I、污点的设置、查看和去除
#设置污点
kubectl taint nodes node1 key1=value1 :NoSchedule
#节点说明中,查找Taints字段
kubectl describe pod pod- name
#去除污点
kubectl taint nodes node1 key1 :NoSchedule-
容忍(Tolerations)
设置了污点的Node将根据taint的effect: NoSchedule、 PreferNoSchedule. NoExecute
和Pod之间产生互斥的关系,Pod 将在-定程度上不会被调度到Node.上。但我们可以在Pod上设
置容忍( Toleration),意思是设置了容忍的Pod将可以容忍污点的存在,可以被调度到存在污点的
Node.上**
pod.spec.tolerations
tolerations :
- key: "key1"
operator: "Equal"
value: "value1"
effect: "NoSchedule '
tolerationSeconds: 3600
- key: "key1"
operator:” Equal"
value: "value1"
effect: "NoExecute"
- key: "key2"
operator: "Exists
effect: "NoSchedule"
●其中key, vaule, effect要与Node. 上设置的taint保持- 致
●operator 的值为Exists将会忽略value值
●tolerationSeconds 用于描述当Pod需要被驱逐时可以在Pod上继续保留运行的时间
I、Pod.spec.nodeSelector: 通过kubernetes的label-selector机制选择节点,由调度器调度策略
匹配label,而后调度Pod到目标节点,该匹配规则属于强制约束
apiVersion: extens ions/v1beta1
kind: Deployment
metadata:
name: myweb
spec:
replicas: 2
template:
metadata:
labels:
app: myweb
spec:
nodeSelector:
type: backEnsNode1
containers:
- name: myweb
image: harbor/tomcat:8.5-jre8
ports:
- containerPort: 80
固定节点
指定调度节点
I、Poj.spec.nodeName 将Pod直接调度到指定的Node节点上,会跳过Scheduler的调度策
略,该匹配规则是强制匹配
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: myweb
spec:
replicas: 7
template:
metadata:
labels:
app: myweb
spec :
nodeName: k8s-node01
containers:
- name: myweb
image: hub. atguigu. com/ library/myapp:v1
ports:
-. containerPort: 80
I、当不指定key值时,表示容忍所有的污点key:
tolerations:
- operator: "Exists"
I、当不指定effect值时,表示容忍所有的污点作用
tolerations:
- key: "key"
operator: "Exists"
画功、有多个Master存在时,防止资源浪费,可以如下设置
kubectl taint nodes Node -Name node-role . kubernetes. io/master= :PreferNoSchedule
安全
机制说明
Kubernetes作为-个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部
各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计
的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization) 、准入控制(Admission
Control)三步来保证API Server的安全
认证
Authentication
HTP
) Token认证:通过一个Token来识别合法用户
。HTTP Token的认证是用-个很长的特殊编码方式的并且难以被模仿的字符串. Token来表达客户的一种
方式。Token是一个很长的很复杂的字符串,每一个Token对应一个用户名存储在API Server能访问
的文件中。当客户端发起API调用请求时,需要在HTTP Header里放入Token
●HTTP Base认证:通过用户名+密码的方式认证
。用户名+: +密码用BASE64算法进行编码后的字符串放在HTTP Request中的Heather
Authorization域里发送给服务端,服务端收到后进行编码,获取用户名及密码
●最严格的HTTPS证书认证:基于CA根证书签名的客户端身份认证方式
I、HTTPS证书认证:
两种类型
●Kubenetes 组件对API Server的访问: kubectl. Controller Manager. Scheduler. kubelet、 kube-
proxy
●Kubernetes 管理的Pod对容器的访问: Pod (dashborad 也是以Pod形式运行)
安全性说明
●**Controller Manager. Scheduler与API Server在同一台机器,所以直接使用API Server的非安全端
口访问,”| – insecure- bind- address=127.0.0.1
T.
●kubectl、 kubelet. kube-proxy访问API Server就都需要证书进行HTTPS双向认证
证书颁发
●手动签发:通过k8s集群的跟ca进行签发HTTPS证书
●自动签发: kubelet 首次访问API Server时,使用token做认证,通过后,Controller Manager为
kubelet生成一个证书, 以后的访问都是用证书做认证了
回工、kubeconfig.
kubeconfig文件包含集群参数(CA证书、API Server地址) ,客户端参数(上面生成的证书和私钥),集群
context信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的kubeconfig文件可以切换到不同
的集群
IV、ServiceAccount
Pod中的容器访问API Server。因为Pod的创建、销毁是动态的,所以要为它手动生成证书就不可行了。
Kubenetes使用了Service Account解决Pod访问API Server的认证问题
V、Secret 与SA的关系
Kubernetes设计了一种资源对象叫做Secret,分为两类,-种是用于ServiceAccount的service-account-
token,另- -种是用于保存用户自定义保密信息的Opaque。ServiceAccount 中到包含三个部分: Token、
ca.crt、namespace
V. Secret 与SA的关系
Kubernetes设计了一种资源对象叫做Secret,分为两类,- 种是用于ServiceAccount的service-account-
token,另- 种是用于保存用户自定义保密信息的Opaque。ServiceAccount 中用到包含三个部分: Token,
ca.crt、namespace
●token是使用API Server私钥签名的JWT。用于访问API Server时,Server端认证
●ca.crt, 根证书。于Client端验证API Server发送的证书
●namespace, 标识这个service-account-token的作用域名空间
kubectl get secret --all-namespaces
kubectl describe secret default-token- 5gm9r --namespace-kube-system
kubectl get secret --all-namespaces
kubect1l describe secret default-token- 5gm9r --namespace= kube -system
默认情况下,每个namespace都会有一个ServiceAccount,如果Pod在创建时没有指定ServiceAccount,
就会使用Pod所属的namespace的ServiceAccount
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
