一、ResourceQuota准入控制器
中文官方参考文档:
1、ResourceQuota是什么?
ResourceQuota准入控制器是K8S中内置的准入控制器,默认该控制器是启用状态,主要功能是限制名称空间下的资源使用,防止在一个名称空间下的Pod占用过多的资源,简单理解就是针对名称空间限制用户资源的使用。
2、限制CPU、内存、Pod数量、Deployment数量
第一步:创建 test 名称空间,针对这个名称空间做限制
kubectl create ns test
第二步:创建resourcequota资源限制CPU、内存、Pod数量、Deployment数量
cat resourcequota.yaml
---
apiVersion: v1
kind: ResourceQuota
metadata:
name: resourcequota-demo
namespace: test # 针对test名称空间限制
spec:
hard:
pods: "6" # 限制Pod数量
requests.cpu: "2" # 限制CPU请求
requests.memory: 2Gi # 限制内存请求
limits.cpu: "4" # 限制CPU使用
limits.memory: 10Gi # 限制内存使用
count/deployments.apps: "10" # 限制deployments数量
persistentvolumeclaims: "10" # 限制PVC数量
参数解释:
| 资源名称 | 描述 |
|---|---|
limits.cpu |
所有非终止状态的 Pod,其 CPU 限额总量不能超过该值。 |
limits.memory |
所有非终止状态的 Pod,其内存限额总量不能超过该值。 |
requests.cpu |
所有非终止状态的 Pod,其 CPU 需求总量不能超过该值。 |
requests.memory |
所有非终止状态的 Pod,其内存需求总量不能超过该值。 |
hugepages-<size> |
对于所有非终止状态的 Pod,针对指定尺寸的巨页请求总数不能超过此值。 |
cpu |
与 requests.cpu 相同。 |
memory |
与 requests.memory 相同。 |
第三步:查看test名称空间限制信息
kubectl describe quota -n test
3、限制存储空间大小
第一步:创建resourcequota资源限制存储空间大小
cat resourcequota-2.yaml
---
apiVersion: v1
kind: ResourceQuota
metadata:
name: resourcequota-demo
namespace: test # 针对test名称空间限制
spec:
hard:
requests.storage: "5Gi" # 限制存储总容量
persistentvolumeclaims: "5" # 限制pvc总数
requests.ephemeral-storage: "1Gi" # 限制使用本地临时存储的下限总容量
limits.ephemeral-storage: "2Gi" # 限制使用本地临时存储上限总容量
参数解释:
| 资源名称 | 描述 |
|---|---|
requests.storage |
所有 PVC,存储资源的需求总量不能超过该值。 |
persistentvolumeclaims |
在该命名空间中所允许的 PVC 总量。 |
requests.ephemeral-storage |
在命名空间的所有 Pod 中,本地临时存储请求的总和不能超过此值 |
limits.ephemeral-storage |
在命名空间的所有 Pod 中,本地临时存储限制值的总和不能超过此值。 |
第二步:验证
kubectl describe quota -n test
二、LimitRanger准入控制器
1、LimitRanger是什么?
LimitRanger准入控制器是Kubernetes的一种资源配额管理机制,用于限制Pod的资源使用情况。它主要用于以下几个方面:
-
设置容器的资源限制:LimitRanger可以强制要求每个Pod或容器设置资源限制,例如CPU使用量和内存使用量。这有助于避免某个Pod或容器过度消耗集群资源,导致其他应用程序受影响。
-
强制执行资源限制:LimitRanger可以确保Pod或容器只使用指定的资源限制,通过对Pod的准入控制来强制执行这些限制。如果没有设置资源限制,在高负载情况下,一个应用程序可能消耗过多的资源,从而影响其他应用程序的稳定性。
-
配额管理:LimitRanger可以与Kubernetes的配额管理机制一起使用,实现更精细的资源管理。通过设置配额限制,可以控制每个命名空间可用的资源总量,以及每个命名空间中每种资源的使用情况。
总的来说,LimitRanger准入控制器有助于确保资源的合理使用和分配,提高集群的可靠性和稳定性。
如果我们在创建Pod定义了资源上下限,但不满足LimitRanger规则中定义的资源上下限,此时LimitRanger会拒绝创建Pod资源,如果创建Pod时没有指定资源上下限,默认会使用LimitRanger规则中的资源上下限制
2、LimitRanger限制案例
第一步:创建limit 名称空间,针对limit名称空间做演示
kubectl create ns limit
第二步:配置LimitRanger规则
cat limitrange.yaml
---
apiVersion: v1
kind: LimitRange
metadata:
name: limitrange-demo
namespace: limit
spec:
limits:
- default: # 默认容器上限值
cpu: 1000m
memory: 1000Mi
defaultRequest: # 默认容器下限值
cpu: 500m
memory: 500Mi
min: # 创建Pod或Containerd中,requests字段值不得小于此值
cpu: 500m
memory: 500Mi
max: # 创建Pod或Containerd中,requests字段值不得大于此值
cpu: 2000m
memory: 2000Mi
maxLimitRequestRatio: # 指定资源的上限和下限的比值,即上限是下限的多少倍
cpu: 4
memory: 4
type: Container # 针对Container做限制,也可以是Pods
kubectl apply -f limitrange.yaml
第三步:查看规则信息
kubectl describe limitrange -n limit
第四步:测试默认上下限,创建Pod不指定限制,看是否使用LimitRanger规则中默认配置的值
cat limitrange-pod.yaml
---
apiVersion: v1
kind: Pod
metadata:
name: limit-pod-demo
namespace: limit
spec:
containers:
- image: nginx
imagePullPolicy: IfNotPresent
name: nginx
kubectl apply -f limitrange-pod.yaml
查看限制信息:
kubectl describe pod limit-pod-demo -n limit
第五步:测试CPU下限,创建Pod指定不合规的下限,看是否可以成功创建。
cat limitrange-pod-2.yaml
---
apiVersion: v1
kind: Pod
metadata:
name: limit-pod-demo-2
namespace: limit
spec:
containers:
- image: nginx
imagePullPolicy: IfNotPresent
name: nginx
resources:
requests:
cpu: 100m # 下限100m
kubectl apply -f limitrange-pod-2.yaml
文章来源:https://www.toymoban.com/news/detail-574184.html
可以看到不能成功创建Pod,因为我们指定的下限不合规,我们在定义LimitRanger规则是下限不得小于500m,我创建Pod是指定下限是100m 所有无法创建。文章来源地址https://www.toymoban.com/news/detail-574184.html
到了这里,关于【Kubernetes运维篇】RBAC之准入控制器详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
