kubernetes调度

最新推荐文章于 2023-02-20 17:21:46 发布
最新推荐文章于 2023-02-20 17:21:46 发布
阅读量209 收藏
点赞数
分类专栏: Django 框架 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47714288/article/details/115033801
版权

kubernetes调度

详情参照官网:https://kubernetes.io/zh/docs/concepts/scheduling-eviction/

nodeName

节点名称调度

# 推送资源清单
kubectl apply -f pod.yml

# 查看pod以及 所部署的节点
kubectl get pod -o wide

#  pod.yaml:
# 在节点server3 上部署 nginx 服务

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx
  nodeName: server3

nodeSelector

节点标签调度

详情参照官网:https://kubernetes.io/zh/docs/concepts/scheduling-eviction/assign-pod-node/

# 节点server3 打上 disktype=ssd 的标签
kubectl label nodes server3  disktype=ssd

# 查看 所有节点 可以是disktype 的value 值 
kubectl get nodes -L disktype

kubectl apply -f pod.yml
kubectl get pod -o wide

#   pod.yaml:
# 标签是 disktype=ssd 的节点部署nginx

apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    env: test
spec:
  containers:
  - name: nginx
    image: nginx
    imagePullPolicy: IfNotPresent
  nodeSelector:
    disktype: ssd

 

节点亲和性

详情参照官网:https://kubernetes.io/zh/docs/concepts/scheduling-eviction/assign-pod-node/#node-affinity
硬亲和性(必须满足):
requiredDuringSchedulingIgnoredDuringExecution:

软亲和性(倾向满足):
preferredDuringSchedulingIgnoredDuringExecution:

最佳实践:

# 打标签
kubectl label nodes server4 disktype=sata
kubectl label nodes server4 roles=nginx

# 查看标签
kubectl get nodes -L disktype
kubectl get nodes -L roles

# 执行
kubectl apply -f pod.yml
kubectl get pod -o wide

#   pod.yaml:
# 硬亲和性 标签 -> disktype=ssd,disktype=sata,必须满足,不满足,软亲和性也不执行
# 软亲和性 ->  roles=nginx ,倾向满足
# 满足条件部署 nginx 

apiVersion: v1
kind: Pod
metadata:
  name: node-affinity
spec:
  containers:
  - name: nginx
    image: nginx
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
           nodeSelectorTerms:
           - matchExpressions:
             - key: disktype
               operator: In
               values:
                 - ssd
                 - sata
      preferredDuringSchedulingIgnoredDuringExecution:
      - weight: 1
        preference:
          matchExpressions:
          - key: roles
            operator: In
            values:
            - nginx

 

 

pod的亲和性与反亲和性

pod的亲和性(podAffinity:)

详情参照官网:https://kubernetes.io/zh/docs/concepts/scheduling-eviction/assign-pod-node/#inter-pod-affinity-and-anti-affinity

#  pod.yaml:
# 亲和性, (podAffinity:) 将myApp 部署在有 app=nginx 标签的 pod 主机节点上。


apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
---
apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: myapp:v1
  affinity:
    podAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
      - labelSelector:
          matchExpressions:
          - key: app
            operator: In
            values:
            - nginx
        topologyKey: kubernetes.io/hostname

 

pod的反亲和性(podAntiAffinity:)

#  pod.yaml:
# 反亲和性, ( podAntiAffinity:) 将myApp 部署在没有 app=nginx 标签的 pod 主机节点上。


apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
---
apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: myapp:v1
  affinity:
    podAntiAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
      - labelSelector:
          matchExpressions:
          - key: app
            operator: In
            values:
            - nginx
        topologyKey: kubernetes.io/hostname

 

 

Taints(污点)

详情参照官网: https://kubernetes.io/zh/docs/concepts/scheduling-eviction/taint-and-toleration/

NoSchedule:POD 不会被调度到标记为 taints 节点。

PreferNoSchedule:NoSchedule 的软策略版本。

NoExecute:该选项意味着一旦 Taint 生效,如该节点内正在运行的 POD 没有对应 Tolerate 设置,会直接被逐出


污点:

# 查看 server2 节点的污点类型
kubectl describe nodes server2 | grep Taint

NoExecute:

# 设置节点 server3 节点类型为 NoExecute
kubectl taint node server3 key1=v1:NoExecute

 NoSchedule:

# 设置节点 server4 节点类型为 NoSchedule
kubectl taint node server4 key2=v2:NoSchedule

容忍所有:

如果一个容忍度的 key 为空且 operator 为 Exists, 表示这个容忍度与任意的 key 、value 和 effect 都匹配,即这个容忍度能容忍任意 taint。
      tolerations:
      - operator: "Exists"

#   pod.yaml:
# 前提 server2 -> NoSchedule , server3 -> NoExecute , server4 -> NoSchedule
# 再部署pod ,会一直处于准备状态,使用  ( - operator: "Exists" ),容忍所有污点

apiVersion: apps/v1
kind: Deployment
metadata:
  name: web-server
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 10
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
      tolerations:
      - operator: "Exists"

 

master(server2)主机污点类型为 NoSchedule,所以pod 不调度到 master 端:

节点管理

详情参照官网: https://kubernetes.io/zh/docs/concepts/architecture/nodes/#manual-node-administration

cordon (停止调度)
drain (驱离节点)
delete  (删除节点)

注:生产环境,需要关闭服务器时,先cordon,再 drain ,再delete。(drain 时会有某些pod无法驱离,需要忽略,系统会提示,根据提示走就好)

 

kubernetes访问控制

详情参照官网:https://kubernetes.io/zh/docs/concepts/security/controlling-access/

三部曲

Authentication  认证
Authorization  授权
Admission Control  准入控制 (按需加载)

详情请参照官网:https://kubernetes.io/zh/docs/reference/access-authn-authz/authentication/

详情请参照官网:https://kubernetes.io/zh/docs/concepts/cluster-administration/certificates/

服务认证 serviceaccount

# 创建 名为 myregistrykey 的 secret
kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=yakexi007@westos.org
# 创建名为 admin 的 serviceaccount
kubectl create sa admin

# 添加 myregistrykey(secret)到 admin(serviceaccount)
kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

# 查看 admin(serviceaccount) 信息
kubectl describe sa admin

kubectl apply -f pod.yml

 

注意点:

pod.yaml 文件的指定使用 secret (前面创建的 admin):

pod.yml:
  serviceAccountName: admin
#  pod.yaml:
# 把serviceaccount(admin)和pod绑定起来

apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: reg.westos.org/westos/game2048
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: admin

​

 

 

使用 default 的 secret:

# 删除前面实验创建的 admin 
kubectl delete sa admin 

# 添加 myregistrykey 到 default
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

kubectl apply -f pod.yml

注意点:

pod.yml:
  serviceAccountName: default

#  pod.yaml:
# 把serviceaccount(default)和pod绑定起来

apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: reg.westos.org/westos/game2048
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: default

 

 

用户认证 UserAccount

RBAC(Role Based Access Control):基于角色访问控制授权

详情请参照官网:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/

角色绑定 rolebinding :

  • 可以绑定namespace 角色
  • 也可以绑定集群角色
  • 但都只能作用指定的namespace

集群绑定  ClusterRoleBinding

  • 只可以绑定集群角色,作用于整个集群
openssl genrsa -out test.key 2048
openssl req -new -key test.key -out test.csr -subj "/CN=test"
openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365
openssl x509 -in test.crt -text -noout
kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
kubectl  config view
kubectl config set-context test@kubernetes --cluster=kubernetes --user=test
kubectl config use-context test@kubernetes
kubectl  get pod
# rbac.yaml:


# 定义namespace 角色

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""] 
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
---
# RoleBinding 方式 (指定namespace,只作用与指定的namespace)角色与用户绑定

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

---
# 定义集群角色

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

---
# RoleBinding 方式 (指定namespace,只作用于指定的namespace)角色与用户绑定

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

---
# ClusterRoleBinding 方式 (不指定namespace,作用于整个集群)角色与用户绑定

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

最佳实践

 

面向用户的角色

Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用

详情请参照官网:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#user-facing-roles

  • cluster-amdin (完全控制权限)
  • admin (低于cluster-amdin ,限制部分权限)
  • edit (读写权限)
  • view  (只读权限)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

猫&九
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes调度原理详解
04-19
kubernetes调度原理详解
k8s(九)—访问控制(创建serviceaccount账号、创建useraccount账号)
qq_43114229的博客
04-17 4757
1.访问控制简介 2.创建sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创建sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创建成功 default 1 5d19h [root@se
K8S创建拉镜像secret或service account
云原生,DevOps,Kubernetes
04-01 1308
kubectl create secret docker-registry <secret名称(docker-registry-secret)> --namespace=<命名空间名称> --docker-username=<镜像仓库用户名> --docker-password=<镜像仓库密码> --docker-server=<镜像仓库地址> 两种使用方式 直接使用secret apiVersion: apps/v1 kind: Deploy
kubectl命令总结
柠是柠檬的檬的博客
08-19 3568
kubectl命令总结
kubernetes进阶 -- 访问控制
thermal_life的博客
07-10 750
概述 访问控制主要包括三个部分: 认证 授权 准入控制 认证和授权再apiserver的pod上完成. kubernetes API 访问控制 上面的图片由三部分组成: 首先用户的请求要通过认证,认证通过许多插件来完成, 认证通过后同样调用插件来进行授权,常用的授权就是node, rbac, 第三部分是准入控制,就是对访问的行为再做一些控制,我们也可以不进行控制 认证通或后就可以从etcd里面获取信息了. Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方
kubernetes详解07】-Pod详解之调度
桂安俊@KylinOS
05-07 3549
一、Pod调度介绍 在默认情况下,一个Pod在哪个Node节点上运行,是由Scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的。但是在实际使用中,这并不满足的需求,因为很多情况下,我们想控制某些Pod到达某些节点上,那么应该怎么做呢?这就要求了解kubernetes对Pod的调度规则,kubernetes提供了四大类调度方式: 自动调度:运行在哪个节点上完全由Scheduler经过一系列的算法计算得出 定向调度:NodeName(根据节点名调度)、Nod......
基于Scala的Apache Spark原生Kubernetes调度器后端增强设计源码
最新发布
04-11
本源码提供了一个基于Scala的Apache Spark原生Kubernetes调度器后端增强设计。项目包含11142个文件,其中包括3022个Scala文件、1558个Q文件、902个Java文件、289个SQL文件、263个Python文件、232个TXT文件、94个输出...
1、Kubernetes 调度器 - 调度说明1
08-04
简介Scheduler 是 kubernetes调度器,主要的任务是把定义的 pod 分配到集群的节点上。听起来非常简单,但有很多要考虑的问题:公平:如何保
poseidon:基于 Firmament 的 Kubernetes 调度
08-05
在非常高的层次上,Poseidon/Firmament 调度程序通过将基于新的新型流网络图的调度功能与默认的 Kubernetes 调度程序相结合,增强了当前的 Kubernetes 调度功能。 Firmament 将集群上的工作负载建模为流网络,并在...
2、Kubernetes 调度器 - 调度亲和性1
08-04
节点亲和性preferredDuringSchedulingIgnoredDuringExecution:软策略requiredDuringScheduling
3、Kubernetes 调度器 - 污点1
08-04
当前 tainteffect 支持如下三个选项:PreferNoSchedule :表示 k8s 将尽量避免将 Pod 调度到具有该污点的 Node 上NoEx
1、Kubernetes 调度器 - 调度说明.pdf
05-08
Kubernetes 调度器 - 调度说明
2、Kubernetes 调度器 - 调度亲和性.pdf
05-08
Kubernetes 调度器 - 调度亲和性
3、Kubernetes 调度器 - 污点.pdf
05-08
Kubernetes 调度器 - 污点
4、Kubernetes 调度器 - 固定节点.pdf
05-08
Kubernetes 调度器 - 固定节点
k8s之pod亲和性与反亲和性的topologyKey
会哭的雨@的博客
05-08 4795
什么是topology key pod亲和性调度需要各个相关的pod对象运行于"同一位置", 而反亲和性调度则要求他们不能运行于"同一位置", 这里指定“同一位置” 是通过 topologyKey 来定义的,topologyKey 对应的值是 node 上的一个标签名称,比如各别节点zone=A标签,各别节点有zone=B标签,pod affinity topologyKey定义为zone,那么调度pod的时候就会围绕着A拓扑,B拓扑来调度,而相同拓扑下的node就为“同一位置”。 如果基于各个节点k
【 K8S 调度系列】理解 Pod 间的亲和性与反亲和性
叮当猫的喵i
02-20 1553
这里的 topologyKey 对应的是 Node 上的标签的 Key(没有Value),可以看出,其实 topologyKey 就是用于筛选 Node 的。这里指定“同一位置” 是通过 topologyKey 来定义的,topologyKey 对应的值是 node 上的一个标签名称,比如各别节点zone=A标签,各别节点有zone=B标签,pod affinity topologyKey定义为zone,那么调度pod的时候就会围绕着A拓扑,B拓扑来调度,而相同拓扑下的node就为“同一位置”。
23.高级调度机制之topologyKey
LQ的博客
10-27 2242
23.高级调度机制之topologyKey 上一章节中,我们谈到了预选和优选策略,也谈到了节点亲和度和pod亲和度,最后还抛出了一个关键字段:topologyKey。 这一章节,让我们来全面学习一下这个字段的原理和用法。 1. 什么是topologyKey? 首先,我们得先了解一下,topologyKey是什么? 原则上,topologyKey可以是任何合法的标签密钥。 但是,出于性能和安全性原因,topologyKey受到以下一些限制: 1>对于亲和关系,以及pod反亲和的硬亲和条件requi
kubernetes拉取私有仓库镜像
风起于青萍之末
03-16 8764
这里介绍通过secret配置来拉取私有仓库镜像。 如果不进行设置的话,创建RC拉取镜像时就会提示找不到镜像,报以下错误: Events: FirstSeen LastSeen Count From SubObjectPath Type Reason Message...
Kubernetes 调度器简介
03-24
Kubernetes调度器是Kubernetes集群中的一个核心组件,它负责将Pod调度到可用的节点上运行。调度器通过考虑节点的资源利用率、Pod的资源需求、节点的亲和性和反亲和性等因素来做出决策。Kubernetes调度器可以使用不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值