一 資源管理
1.1 資源調度機制
對于Kubernetes資源,有兩個重要引數:CPU Request與Memory Request, 通常在定義Pod時并沒有定義這兩個引數,此時Kubernetes會認為該Pod所需的資源很少,并可以將其調度到任何可用的Node上,因此,當集群中的計算資源不很充足時,如果集群中的Pod負載突然增大,就會使某個Node的資源嚴重不足,為了避免Node系統掛掉,該Node會選擇“清理”某些Pod來釋放資源,此時每個Pod都可能被“清理”,若其中某些Pod非常重要,比如與資料存盤相關的、與登錄相關的、與查詢余額相關的,需要在系統資源嚴重不足時,也得保障這些Pod的存活, Kubernetes中該保障機制的核心如下:- 通過資源限額來確保不同的Pod只能占用指定的資源,
- 允許集群的資源被超額分配,以提高集群的資源利用率,
- 為Pod劃分等級,確保不同等級的Pod有不同的服務質量(QoS),資源不足時,低等級的Pod會被清理,以確保高等級的Pod穩定運行,
- spec.container[].resources.requests.cpu
- spec.container[].resources.limits.cpu
- spec.container[].resources.requests.memory
- spec.container[].resources.limits.memory
1.2 批量設定
若存在成百上千個不同的Pod,那么先手動設定每個Pod的這4個引數,再檢查并確保這些引數的設定是否合理,比如不能出現記憶體超過2GB或者CPU占據2個核心的Pod,最后需要手工檢查不同租戶(Namespace)下的Pod的資源使用量是否超過限額, 若上設定相對繁瑣復雜,為此,Kubernetes提供了另外兩個相關物件:LimitRange及ResourceQuota,前者解決request與limit引數的默認值和合法取值范圍等問題,后者則解決約束租戶的資源配額問題,集群管理涉及計算資源管理(ComputeResources)、服務質量管理(QoS)、資源配額管理(LimitRange、ResourceQuota)等方面, ResourceQoS解讀:若不設定CPU或Memory的Limit值,該Pod的資源使用量有一個彈性范圍,假設Pod A的Memory Request被設定為1GB,Node A當時空閑的Memory為1.2GB,符合Pod A的需求,因此Pod A被調度到Node A上,運行3天后,Pod A的訪問請求大增,記憶體需要增加到1.5GB,此時Node A的剩余記憶體只有200MB,由于Pod A新增的記憶體已經超出系統資源,所以在這種情況下,Pod A就會被Kubernetes殺掉,沒有設定Limit的Pod,或者只設定了CPULimit或者MemoryLimit兩者之一的Pod,表面看都是很有彈性的,但實際上,相對于4個引數都被設定的Pod,是處于一種相對不穩定的狀態的,它們與4個引數都沒設定的Pod相比,只是穩定一點而已,二 計算資源管理
2.1 Requests和Limits
以CPU為例,下圖顯示了未設定Limits和設定了Requests、Limits的CPU使用率的區別,
盡管Requests和Limits只能被設定到容器上,但是設定Pod級別的Requests和Limits能大大提高管理Pod的便利性和靈活性,因此在Kubernetes中提供了對Pod級別的Requests和Limits的配置,對于CPU和記憶體而言,Pod的Requests或Limits是指該Pod中所有容器的Requests或Limits的總和(對于Pod中沒有設定Requests或Limits的容器,該項的值被當作0或者按照集群配置的默認值來計算),
2.2 CPU和Memory計算
CPU的Requests和Limits是通過CPU數(cpus)來度量的,CPU的資源值是絕對值,而不是相對值,比如0.1CPU在單核或多核機器上是一樣的,都嚴格等于0.1CPUcore, Memory記憶體的Requests和Limits計量單位是位元組數,使用整數或者定點整數加上國際單位制來表示記憶體值,國際單位制包括十進制的E、P、T、G、M、K、m,或二進制的Ei、Pi、Ti、Gi、Mi、Ki,KiB與MiB是以二進制表示的位元組單位,常見的KB與MB則是以十進制表示的位元組單位,比如:- 1KB(KiloByte)= 1000Bytes = 8000Bits
- 1KiB(KibiByte)= 2^10Bytes = 1024Bytes = 8192Bits
1 apiVersion: v1 2 kind: Pod 3 metadata: 4 name: frontend 5 spec: 6 continers: 7 - name: db 8 image: mysql 9 resources: 10 requests: 11 memory: "64Mi" 12 cpu: "250m" 13 limits: 14 memory: "128Mi" 15 cpu: "500m" 16 - name: wp 17 image: wordpress 18 resources: 19 requests: 20 memory: "64Mi" 21 cpu: "250m" 22 limits: 23 memory: "128Mi" 24 cpu: "500m" 25解讀:如上所示,該Pod包含兩個容器,每個容器配置的Requests都是0.25CPU和64MiB(226 Bytes)記憶體,而配置的Limits都是0.5CPU和 128MiB(227 Bytes)記憶體, 這個Pod的Requests和Limits等于Pod中所有容器對應配置的總和,所以Pod的Requests是0.5CPU和128MiB(227 Bytes)記憶體,Limits是1CPU和256MiB(228 Bytes)記憶體,
2.3 Requests和Limits的Pod調度機制
當一個Pod創建成功時,Kubernetes調度器(Scheduler)會為該Pod選擇一個節點來執行,對于每種計算資源(CPU和Memory)而言,每個節點都有一個能用于運行Pod的最大容量值,調度器在調度時,首先要確保調度后該節點上所有Pod的CPU和記憶體的Requests總和,不超過該節點能提供給Pod使用的CPU和Memory的最大容量值, 例如,某個節點上的CPU資源充足,而記憶體為4GB,其中3GB可以運行Pod,而某Pod的Memory Requests為1GB、Limits為2GB,那么在這個節點上最多可以運行3個這樣的Pod,假設該節點已經啟動3個此Pod實體,而這3個Pod的實際記憶體使用都不足500MB,那么理論上該節點的可用記憶體應該大于1.5GB,但是由于該節點的Pod Requests總和已經達到節點的可用記憶體上限,因此Kubernetes不會再將任何Pod實體調度到該節點上, 注意:可能某節點上的實際資源使用量非常低,但是已運行Pod配置的Requests值的總和非常高,再加上需要調度的Pod的Requests值,會超過該節點提供給Pod的資源容量上限,這時Kubernetes仍然不會將Pod調度到該節點上,如果Kubernetes將Pod調度到該節點上,之后該節點上運行的Pod又面臨服務峰值等情況,就可能導致Pod資源短缺,2.4 Requests和Limits機制
kubelet在啟動Pod的某個容器時,會將容器的Requests和Limits值轉化為相應的容器啟動引數傳遞給容器執行器(Docker或者rkt),如果容器的執行環境是Docker,那么會傳遞如下4個引數給Docker容器:- spec.container[].resources.requests.cpu
- spec.container[].resources.limits.cpu
- spec.container[].resources.requests.memory
- spec.container[].resources.limits.memory
2.5 計算資源使用情況監控
Pod的資源用量會作為Pod的狀態資訊一同上報給Master,如果在集群中配置了Heapster來監控集群的性能資料,那么還可以從Heapster中查看Pod的資源用量資訊,2.6 計算資源調度常見問題
- Pod狀態為Pending,錯誤資訊為FailedScheduling
- 添加更多的節點到集群中;
- 停止一些不必要的運行中的Pod,釋放資源;
- 檢查Pod的配置,錯誤的配置可能導致該Pod永遠無法被調度執行,比如整個集群中所有節點都只有1CPU,而Pod配置的CPURequests為2,該Pod就不會被調度執行,
超過可用資源容量上限(Capacity)和已分配資源量(Allocatedresources)差額的Pod無法運行在該Node上,
- 容器被強行終止(Terminated)
三 資源配置范圍管理(LimitRange)
3.1 LimitRange
在默認情況下,Kubernetes不會對Pod加上CPU和記憶體限制,這意味著Kubernetes系統中任何Pod都可以使用其所在節點的所有可用的CPU和記憶體,通過配置Pod的計算資源Requests和Limits,可以限制Pod的資源使用,但對于Kubernetes集群管理員而言,配置每一個Pod的Requests和Limits是煩瑣的,而且很受限制,更多時候,需要對集群內Requests和Limits的配置做一個全域限制, 常見的配置場景如下:- 集群中的每個節點都有2GB記憶體,集群管理員不希望任何Pod申請超過2GB的記憶體:因為在整個集群中都沒有任何節點能滿足超過2GB記憶體的請求,如果某個Pod的記憶體配置超過2GB,那么該Pod將永遠都無法被調度到任何節點上執行,為了防止這種情況的發生,集群管理員希望能在系統管理功能中設定禁止Pod申請超過2GB記憶體,
- 集群由同一個組織中的兩個團隊共享,分別運行生產環境和開發環境,生產環境最多可以使用8GB記憶體,而開發環境最多可以使用512MB記憶體,集群管理員希望通過為這兩個環境創建不同的命名空間,并為每個命名空間設定不同的限制來滿足這個需求,
- 用戶創建Pod時使用的資源可能會剛好比整個機器資源的上限稍小,而恰好剩下的資源大小非常尷尬:不足以運行其他任務但整個集群加起來又非常浪費,因此,集群管理員希望設定每個Pod都必須至少使用集群平均資源值(CPU和記憶體)的20%,這樣集群能夠提供更好的資源一致性的調度,從而減少了資源浪費,
示例1: [root@k8smaster01 study]# kubectl create namespace limit-example #創建namespace [root@k8smaster01 study]# vi limits.yaml #創建limitrange
1 apiVersion: v1 2 kind: LimitRange 3 metadata: 4 name: mylimits 5 spec: 6 limits: 7 - max: 8 cpu: "4" 9 memory: 2Gi 10 min: 11 cpu: 200m 12 memory: 6Mi 13 maxLimitRequestRatio: 14 cpu: 3 15 memory: 2 16 type: Pod 17 - default: 18 cpu: 300m 19 memory: 200Mi 20 defaultRequest: 21 cpu: 200m 22 memory: 100Mi 23 max: 24 cpu: "2" 25 memory: 1Gi 26 min: 27 cpu: 100m 28 memory: 3Mi 29 maxLimitRequestRatio: 30 cpu: 5 31 memory: 4 32 type: Container 33[root@k8smaster01 study]# kubectl create -f limits.yaml --namespace=limit-example #為Namespace“limit-example”創建LimitRange [root@k8smaster01 study]# kubectl get limitranges -n limit-example [root@k8smaster01 study]# kubectl describe limitranges mylimits -n limit-example
解讀:
- 不論是CPU還是記憶體,在LimitRange中,Pod和Container都可以設定Min、Max和MaxLimit/RequestsRatio引數,Container還可以設定Default Request和Default Limit引數,而Pod不能設定Default Request和DefaultLimit引數,
- 對Pod和Container的引數解釋如下:
- Container的Min(如上圖100m和3Mi)是Pod中所有容器的Requests值下限;Container的Max(如上圖2和1Gi)是Pod中所有容器的Limits值上限;Container的Default Request(如上圖200m和100Mi)是Pod中所有未指定Requests值的容器的默認Requests值;Container的DefaultLimit(如上圖300m和200Mi)是Pod中所有未指定Limits值的容器的默認Limits值,對于同一資源型別,這4個引數必須滿足以下關系:Min ≤ Default Request ≤ Default Limit ≤ Max,
- Pod的Min(如上圖200m和6Mi)是Pod中所有容器的Requests值的總和下限;Pod的Max(如上圖4和2Gi)是Pod中所有容器的Limits值的總和上限,當容器未指定Requests值或者Limits值時,將使用Container的Default Request值或者Default Limit值,
- Container的Max Limit/Requests Ratio(如上圖5和4)限制了Pod中所有容器的Limits值與Requests值的比例上限;而Pod的MaxLimit/RequestsRatio(如上圖3和2)限制了Pod中所有容器的Limits值總和與Requests值總和的比例上限,
- 如果設定了Container的Max,那么對于該類資源而言,整個集群中的所有容器都必須設定Limits,否則無法成功創建,Pod內的容器未配置Limits時,將使用Default Limit的值(本例中的300mCPU和200MiB記憶體),如果也未配置Default,則無法成功創建,
- 如果設定了Container的Min,那么對于該類資源而言,整個集群中的所有容器都必須設定Requests,如果創建Pod的容器時未配置該類資源的Requests,那么在創建程序中會報驗證錯誤,Pod里容器的Requests在未配置時,可以使用默認值default Request(本例中的200mCPU和100MiB記憶體);如果未配置而又沒有使用默認值default Request,那么會默認等于該容器的Limits;如果此時Limits也未定義,就會報錯,
- 對于任意一個Pod而言,該Pod中所有容器的Requests總和必須大于或等于6MiB,而且所有容器的Limits總和必須小于或等于1GiB;同樣,所有容器的CPU Requests總和必須大于或等于200m,而且所有容器的CPU Limits總和必須小于或等于2,
- Pod里任何容器的Limits與Requests的比例都不能超過Container的MaxLimit/RequestsRatio;Pod里所有容器的Limits總和與Requests的總和的比例不能超過Pod的MaxLimit/RequestsRatio,
[root@k8smaster01 study]# kubectl run nginx --image=nginx --replicas=1 --namespace=limit-example [root@k8smaster01 study]# kubectl get pods --namespace=limit-example NAME READY STATUS RESTARTS AGE nginx-7bb7cd8db5-mzcvb 1/1 Running 0 54s 解讀:命名空間中LimitRange只會在Pod創建或者更新時執行檢查,如果手動修改LimitRange為一個新的值,那么這個新的值不會去檢查或限制之前已經在該命名空間中創建好的Pod,如果在創建Pod時配置的資源值(CPU或者記憶體)超過了LimitRange的限制,那么該創建程序會報錯,在錯誤資訊中會說明詳細的錯誤原因, [root@k8smaster01 study]# kubectl get pods nginx-7bb7cd8db5-mzcvb --namespace=limit-example -o yaml | grep resources -C 6 #查看該Pod的resource
1 uid: 5fd37e03-ea08-44f3-a2c7-30ad31c7ab4a 2 spec: 3 containers: 4 - image: nginx 5 imagePullPolicy: Always 6 name: nginx 7 resources: 8 limits: 9 cpu: 300m 10 memory: 200Mi 11 requests: 12 cpu: 200m 13 memory: 100Mi 14解讀:由于該Pod未配置資源Requests和Limits,所以使用了namespace limit-example中的默認CPU和記憶體定義的Requests和Limits值, [root@k8smaster01 study]# vi invalid-pod.yaml
1 apiVersion: v1 2 kind: Pod 3 metadata: 4 name: invalid-pod 5 spec: 6 containers: 7 - name: kubernetes-serve-hostname 8 image: gcr.azk8s.cn/google_containers/server_hostname 9 resources: 10 limits: 11 cpu: "3" 12 memory: 100Mi 13[root@k8smaster01 study]# kubectl create -f invalid-pod.yaml --namespace=limit-example Error from server (Forbidden): error when creating "invalid-pod.yaml": pods "invalid-pod" is forbidden: maximum cpu usage per Container is 2, but limit is 3 解讀:創建該Pod,會出現系統報錯了,并且提供的錯誤原因為超過資源限制, [root@k8smaster01 study]# vi limit-test-nginx.yaml
1 apiVersion: v1 2 kind: Pod 3 metadata: 4 name: limit-test-nginx 5 labels: 6 name: limit-test-nginx 7 spec: 8 containers: 9 - name: limit-test-nginx 10 image: nginx 11 resources: 12 limits: 13 cpu: "1" 14 memory: 512Mi 15 requests: 16 cpu: "0.8" 17 memory: 250Mi 18[root@k8smaster01 study]# kubectl create -f limit-test-nginx.yaml -n limit-example Error from server (Forbidden): error when creating "limit-test-nginx.yaml": pods "limit-test-nginx" is forbidden: memory max limit to request ratio per Pod is 2, but provided ratio is 2.048000 解讀:由于limit-test-nginx這個Pod的全部記憶體Limits總和與Requests總和的比例為512∶250,大于在LimitRange中定義的Pod的最大比率2(maxLimitRequestRatio.memory=2),因此創建失敗, [root@k8smaster01 study]# vi valid-pod.yaml
1 apiVersion: v1 2 kind: Pod 3 metadata: 4 name: valid-pod 5 labels: 6 name: valid-pod 7 spec: 8 containers: 9 - name: kubernetes-serve-hostname 10 image: gcr.io/google_containers/serve_hostname 11 resources: 12 limits: 13 cpu: "1" 14 memory: 512Mi 15[root@k8smaster01 study]# kubectl create -f valid-pod.yaml -n limit-example [root@k8smaster01 study]# kubectl get pods valid-pod -n limit-example -o yaml | grep resources -C 6 #查看該Pod的資源資訊
1 uid: 59e3d05a-8c09-479e-a3ad-1a4dbfd8e946 2 spec: 3 containers: 4 - image: gcr.io/google_containers/serve_hostname 5 imagePullPolicy: Always 6 name: kubernetes-serve-hostname 7 resources: 8 limits: 9 cpu: "1" 10 memory: 512Mi 11 requests: 12 cpu: "1" 13 memory: 512Mi 14解讀:該Pod配置了明確的Limits和Requests,因此該Pod不會使用在namespace limit-example中定義的default和default Request, 注意:CPU Limits強制配置這個選項在Kubernetes集群中默認是開啟的;除非集群管理員在部署kubelet時,通過設定引數--cpucfs-quota=false來關閉該限制:如果集群管理員希望對整個集群中容器或者Pod配置的Requests和Limits做限制,那么可以通過配置Kubernetes命名空間中的LimitRange來達到該目的,在Kubernetes集群中,如果Pod沒有顯式定義Limits和Requests,那么Kubernetes系統會將該Pod所在的命名空間中定義的LimitRange的default和default Requests配置到該Pod上,
四 資源服務質量管理(Resource QoS)
4.1 服務資源質量
Kubernetes會根據Pod的Requests和Limits配置來實作針對Pod的不同級別的資源服務質量控制(QoS),在Kubernetes的資源QoS體系中,需要保證高可靠性的Pod可以申請可靠資源,而一些不需要高可靠性的Pod可以申請可靠性較低或者不可靠的資源, 容器的資源配置分為Requests和Limits,其中Requests是Kubernetes調度時能為容器提供的完全可保障的資源量(最低保障),而Limits是系統允許容器運行時可能使用的資源量的上限(最高上限),Pod級別的資源配置是通過計算Pod內所有容器的資源配置的總和得出來的, Kubernetes中Pod的Requests和Limits資源配置有如下特點:- 如果Pod配置的Requests值等于Limits值,那么該Pod可以獲得的資源是完全可靠的,
- 如果Pod的Requests值小于Limits值,那么該Pod獲得的資源可分成兩部分:
- 完全可靠的資源,資源量的大小等于Requests值;
- 不可靠的資源,資源量最大等于Limits與Requests的差額,這份不可靠的資源能夠申請到多少,取決于當時主機上容器可用資源的余量,
4.2 Requests和Limits限制機制
容器的資源配置滿足以下兩個條件:- Requests <= 節點可用資源
- Requests <= Limits
- 可壓縮資源
- 不可壓縮資源
4.3 對調度策略的影響
Kubernetes的kubelet通過計算Pod中所有容器的Requests的總和來決定對Pod的調度, 不管是CPU還是記憶體,Kubernetes調度器和kubelet都會確保節點上所有Pod的Requests的總和不會超過在該節點上可分配給容器使用的資源容量上限,4.4 服務質量等級(QoSClasses)
在一個超用(Over Committed,容器Limits總和大于系統容量上限)系統中,由于容器負載的波動可能導致作業系統的資源不足,最終可能導致部分容器被殺掉,在這種情況下,理想是優先殺掉那些不太重要的容器,Kubernetes將容器劃分成3個QoS等級來衡量重要程度: Guaranteed(完全可靠的)、Burstable(彈性波動、較可靠的)和BestEffort(盡力而為、不太可靠的),這三種優先級依次遞減,
QoS等級和優先級的關系從理論上來說,QoS級別應該作為一個單獨的引數來提供API,并由用戶對Pod進行配置,這種配置應該與Requests和Limits無關,但在當前版本的Kubernetes的設計中,為了簡化模式及避免引入太多的復雜性,QoS級別直接由Requests和Limits來定義,在Kubernetes中容器的QoS級別等于容器所在Pod的QoS級別,而Kubernetes的資源配置定義了Pod的如上三種QoS級別,
- Guaranteed
1 containers: 2 name: foo 3 resources: 4 limits: 5 cpu: 10m 6 memory: 1Gi 7 name: bar 8 resources: 9 limits: 10 cpu: 100m 11 memory: 100Mi 12解讀:如上未定義Requests值,所以其默認等于Limits值, 示例2:
1 containers: 2 name: foo 3 resources: 4 requests: 5 cpu: 10m 6 memory: 1Gi 7 limits: 8 cpu: 10m 9 memory: 1Gi 10 name: bar 11 resources: 12 requests: 13 cpu: 10m 14 memory: 1Gi 15 limits: 16 cpu: 100m 17 memory: 100Mi 18解讀:該定義的Requests和Limits的值完全相同,
- BestEffort
1 containers: 2 name: foo 3 resources: 4 name: bar 5 resources: 6解讀:該容器都未定義資源配置,
- Burstable
- 第1種情況:Pod中的一部分容器在一種或多種資源型別的資源配置中定義了Requests值和Limits值(都不為0),且Requests值小于Limits值;
- 第2種情況:Pod中的一部分容器未定義資源配置(Requests和Limits都未定義),
1 containers: 2 name: foo 3 resources: 4 requests: 5 cpu: 5m 6 memory: 1Gi 7 limits: 8 cpu: 10m 9 memory: 1Gi 10 name: bar 11 resources: 12 requests: 13 cpu: 5m 14 memory: 1Gi 15 limits: 16 cpu: 100m 17 memory: 100Mi 18示例5:容器bar未定義資源配置而容器foo定義了資源配置,
1 containers: 2 name: foo 3 resources: 4 requests: 5 cpu: 10m 6 memory: 1Gi 7 limits: 8 cpu: 10m 9 memory: 1Gi 10 name: bar 11示例6:容器foo未定義CPU,而容器bar未定義記憶體,
1 containers: 2 name: foo 3 resources: 4 limits: 5 memory: 1Gi 6 name: bar 7 resources: 8 limits: 9 cpu: 100m 10示例7:容器bar未定義資源配置,而容器foo未定義Limits值, containers: name: foo resources: requests: cpu: 5m memory: 1Gi name: bar
4.5 Kubernetes QoS的作業特點
Pod的CPU Requests無法得到滿足(比如節點的系統級任務占用過多的CPU導致無法分配足夠的CPU給容器使用)時,容器得到的CPU會被壓縮限流,由于記憶體是不可壓縮的資源,所以針對記憶體資源緊缺的情況,會按照以下邏輯進行處理,- BestEffort Pod的優先級最低,在這類Pod中運行的行程會在系統記憶體緊缺時被第一優先殺掉,當然,從另外一個角度來看,BestEffort Pod由于沒有設定資源Limits,所以在資源充足時,它們可以充分使用所有的閑置資源,
- Burstable Pod的優先級居中,這類Pod初始時會分配較少的可靠資源,但可以按需申請更多的資源,當然,如果整個系統記憶體緊缺,又沒有BestEffort容器可以被殺掉以釋放資源,那么這類Pod中的行程可能會被殺掉,
- Guaranteed Pod的優先級最高,而且一般情況下這類Pod只要不超過其資源Limits的限制就不會被殺掉,當然,如果整個系統記憶體緊缺,又沒有其他更低優先級的容器可以被殺掉以釋放資源,那么這類Pod中的行程也可能會被殺掉,
4.6 OOM計分系統
OOM(Out Of Memory)計分規則包括如下內容: OOM計分的計算方法為:計算行程使用記憶體在系統中占的百分比,取其中不含百分號的數值,再乘以10的結果,這個結果是行程OOM的基礎分;將行程OOM基礎分的分值再加上這個行程的OOM分數調整值OOM_SCORE_ADJ的值,作為行程OOM的最終分值(除root啟動的行程外),在系統發生OOM時,OOM Killer會優先殺掉OOM計分更高的行程, 行程的OOM計分的基本分數值范圍是0~1000,如果A行程的調整值OOM_SCORE_ADJ減去B行程的調整值的結果大于1000,那么A行程的OOM計分最終值必然大于B行程,會優先殺掉A行程, 不論調整OOM_SCORE_ADJ值為多少,任何行程的最終分值范圍也是0~1000,在Kubernetes,不同QoS的OOM計分調整值規則如下所示,- BestEffortPod設定OOM_SCORE_ADJ調整值為1000,因此BestEffortPod中容器里所有行程的OOM最終分肯定是1000,
- GuaranteedPod設定OOM_SCORE_ADJ調整值為-998,因此GuaranteedPod中容器里所有行程的OOM最終分一般是0或者1(因為基礎分不可能是1000),
- BurstablePod規則分情況說明:如果BurstablePod的記憶體Requests超過了系統可用記憶體的99.8%,那么這個Pod的OOM_SCORE_ADJ調整值固定為2;否則,設定OOM_SCORE_ADJ調整值為1000-10×(%of memory requested);如果記憶體Requests為0,那么OOM_SCORE_ADJ調整值固定為999,這樣的規則能確保OOM_SCORE_ADJ調整值的范圍為2~999,而BurstablePod中所有行程的OOM最終分數范圍為2~1000,BurstablePod行程的OOM最終分數始終大于GuaranteedPod的行程得分,因此它們會被優先殺掉,如果一個BurstablePod使用的記憶體比它的記憶體Requests少,那么可以肯定的是它的所有行程的OOM最終分數會小于1000,此時能確保它的優先級高于BestEffortPod,如果在一個BurstablePod的某個容器中某個行程使用的記憶體比容器的Requests值高,那么這個行程的OOM最終分數會是1000,否則它的OOM最終分會小于1000,假設在下面的容器中有一個占用記憶體非常大的行程,那么當一個使用記憶體超過其Requests的BurstablePod與另外一個使用記憶體少于其Requests的BurstablePod發生記憶體競爭沖突時,前者的行程會被系統殺掉,如果在一個BurstablePod內部有多個行程的多個容器發生記憶體競爭沖突,那么此時OOM評分只能作為參考,不能保證完全按照資源配置的定義來執行OOMKill,
- kubelet行程和Docker行程的調整值OOM_SCORE_ADJ為-998,
- 如果配置行程調整值OOM_SCORE_ADJ為-999,那么這類行程不會被OOMKiller殺掉,
五 資源配額管理( Resource Quotas)
5.1 配額管理
ResourceQuotas通常用于在共享集群資源場景中平衡資源,通過ResourceQuota物件,可以定義資源配額,這個資源配額可以為每個命名空間都提供一個總體的資源使用的限制:它可以限制命名空間中某種型別的物件的總數目上限,也可以設定命名空間中Pod可以使用的計算資源的總上限, ResourceQuotas典型的場景如下:- 不同的團隊作業在不同的命名空間下,目前這是非約束性的,在未來的版本中可能會通過ACL(Access Control List,訪問控制串列)來實作強制性約束,
- 集群管理員為集群中的每個命名空間都創建一個或者多個資源配額項,
- 當用戶在命名空間中使用資源(創建Pod或者Service等)時,Kubernetes的配額系統會統計、監控和檢查資源用量,以確保使用的資源用量沒有超過資源配額的配置,
- 如果在創建或者更新應用時資源使用超過了某項資源配額的限制,那么創建或者更新的請求會報錯(HTTP 403 Forbidden),并給出詳細的出錯原因說明,
- 如果命名空間中的計算資源(CPU和記憶體)的資源配額啟用,那么用戶必須為相應的資源型別設定Requests或Limits;否則配額系統可能會直接拒絕Pod的創建,這里可以使用LimitRange機制來為沒有配置資源的Pod提供默認資源配置,
- 集群共有32GB記憶體和16CPU,兩個小組,A小組使用20GB記憶體和10CPU,B小組使用10GB記憶體和2CPU,剩下的2GB記憶體和2CPU作為預留,在名為testing的命名空間中,限制使用1CPU和1GB記憶體;在名為production的命名空間中,資源使用不受限制,
在使用資源配額時,需要注意以下兩點,
- 如果集群中總的可用資源小于各命名空間中資源配額的總和,那么可能會導致資源競爭,資源競爭時,Kubernetes系統會遵循先到先得的原則,
- 不管是資源競爭還是配額的修改,都不會影響已經創建的資源使用物件,
5.2 開啟資源配額特性
資源配額可以通過在kube-apiserver的--admission-control引數值中添加ResourceQuota引數進行開啟,如果在某個命名空間的定義中存在ResourceQuota,那么對于該命名空間而言,資源配額就是開啟的,一個命名空間可以有多個ResourceQuota配置項, 提示:在v 1.10后續的版本中,--admission-control 已經廢棄,建議使用 --enable-admission-plugins, [root@k8smaster01 study]# vi /etc/kubernetes/manifests/kube-apiserver.yaml …… - --enable-admission-plugins=NodeRestriction,ResourceQuota,LimitRanger …… [root@k8smaster01 study]# systemctl restart kubelet.service5.3 資源配額型別
- 計算資源配額(ComputeResourceQuota)
- 存盤資源配額(Volume Count Quota)
- 物件數量配額( Object Count Quota)
5.4 配額的作用域(QuotaScopes)
每項資源配額都可以單獨配置一組作用域,配置了作用域的資源配額只會對符合其作用域的資源使用情況進行計量和限制,作用域范圍內超過了資源配額的請求都會報驗證錯誤,ResourceQuota的4種作用域如下所示:- cpu
- limits.cpu
- limits.memory
- memory
- pods
- requests.cpu
- requests.memory
5.5 資源配額(ResourceQuota)設定Requests和Limits
資源配額也可以設定Requests和Limits,如果在資源配額中指定了requests.cpu或requests.memory,那么它會強制要求每個容器都配置自己的CPU Requests或CPU Limits(可使用Limit Range提供的默認值), 同理,如果在資源配額中指定了limits.cpu或limits.memory,那么它也會強制要求每個容器都配置自己的記憶體Requests或記憶體Limits(可使用LimitRange提供的默認值),5.6 資源配額的定義
與LimitRange相似,ResourceQuota也被設定在Namespace中, 示例1: [root@k8smaster01 study]# kubectl create namespace myspace #創建名為myspace的Namespace [root@k8smaster01 study]# vi compute-resources.yaml #創建ResourceQuota組態檔1 apiVersion: v1 2 kind: ResourceQuota 3 metadata: 4 name: compute-resources 5 spec: 6 hard: 7 pods: "4" 8 requests.cpu: "1" 9 requests.memory: 1Gi 10 limits.cpu: "2" 11 limits.memory: 2Gi 12[root@k8smaster01 study]# kubectl create -f compute-resources.yaml --namespace=myspace #創建該ResourceQuota 創建另一個名為object-counts.yaml的檔案,用于設定物件數量的配額: [root@k8smaster01 study]# vi object-counts.yaml
1 apiVersion: v1 2 kind: ResourceQuota 3 metadata: 4 name: object-counts 5 spec: 6 hard: 7 configmaps: "10" 8 persistentvolumeclaims: "4" 9 replicationcontrollers: "20" 10 secrets: "10" 11 services: "10" 12 services.loadbalancers: "2" 13[root@k8smaster01 study]# kubectl create -f object-counts.yaml --namespace=myspace [root@k8smaster01 study]# kubectl describe quota compute-resources --namespace=myspace [root@k8smaster01 study]# kubectl describe quota object-counts --namespace=myspace
5.7 資源配額與集群資源總量的關系
資源配額與集群資源總量是完全獨立的,資源配額是通過絕對的單位來配置的,這也就意味著如果在集群中新添加了節點,那么資源配額不會自動更新,而該資源配額所對應的命名空間中的物件也不能自動增加資源上限,在某些情況下,可能希望資源配額支持更復雜的策略,如下所述,- 對于不同的租戶,按照比例劃分整個集群的資源,
- 允許每個租戶都能按照需要來提高資源用量,但是有一個較寬容的限制,以防止意外的資源耗盡情況發生,
- 探測某個命名空間的需求,添加物理節點并擴大資源配額值,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/112738.html
標籤:Linux
上一篇:inno setup [registry]段使用變數
下一篇:常用LInux命令和操作