江苏省城乡建设局网站,网站建设中html5模板,1元建网站,淘宝客网站开发 猪八戒一、污点(Taint) 和 容忍(Tolerations)
1.1、污点(Taint)
设置在node上是对pod的一种作用
节点的亲和性#xff0c;是Pod的一种属性#xff08;偏好或硬性要求#xff09;#xff0c;它使Pod被吸引到一类特定的节点
而Taint 则相反#xff0c;它使节点能够排斥一类特…一、污点(Taint) 和 容忍(Tolerations)
1.1、污点(Taint)
设置在node上是对pod的一种作用
节点的亲和性是Pod的一种属性偏好或硬性要求它使Pod被吸引到一类特定的节点
而Taint 则相反它使节点能够排斥一类特定的 Pod
每个节点上都可以应用一个或多个 Taint pod如果不能接受Taint节点会把此pod按规则处理。
使用 kubectl taint 命令可以给某个 Node 节点设置污点Node 被设置上污点之后就和 Pod 之间存在了一种相斥的关系可以让 Node 拒绝 Pod 的调度执行甚至将 Node 已经存在的 Pod 驱逐出去。
污点的组成格式如下 keyvalue:effect 每个污点有一个 key 和 value 作为污点的标签其中 value 可以为空effect 描述污点的作用。
1.1.1、Taint三种类型 Taint 的effect字段支持如下三个选项
NoSchedule表示 k8s 将不会将 Pod 调度到具有该污点的 Node 上禁止PreferNoSchedule表示 k8s 将尽量避免将 Pod 调度到具有该污点的 Node 上劝阻NoExecute表示 k8s 将不会将 Pod 调度到具有该污点的 Node 上同时会将 Node 上已经存在的 Pod 驱逐出去驱逐
1.1.2、探究为什么master为何不成为node使用pod
查看我们有哪些节点
kubectl get nodes 查看我们master的详细信息
kubectl describe nodes master01
注意到master 就是因为有 NoSchedule 字段污点k8s 才不会将 Pod 调度到 master 节点上 1.1.3、污点的操作
①、添加污点
我们设置node01的一个污点
kubectl taint node01 key1value1:NoSchedule
详细中查找 Taints 字段
kubectl describe nodes node01 ②、去除污点
kubectl taint node node01 key1:NoSchedule- ③、测试NoExecute的驱除功能 kubectl get pods -o wide
kubectl taint node node02 checkmycheck:NoExecute
查看 Pod 状态会发现 node02 上的 Pod 已经被全部驱逐注如果是 Deployment 或者 StatefulSet 资源类型为了维持副本数量则会在别的 Node 上再创建新的 Pod kubectl get pods -o wide|grep myapp 1.2、容忍(Tolerations)
污点是表示node无法接受某一类的pod但是我们特定的可能还是要容忍极个别的pod
我们可以在 Pod 上设置容忍(Tolerations)意思是设置了容忍的 Pod 将可以容忍污点的存在可以被调度到存在污点的 Node 上。
Toleration 应用于 Pod 上则表示这些 Pod 可以但不一定被调度到具有匹配 taint 的节点上。
Taint 和 Toleration 相互配合可以用来避免 Pod 被分配到不合适的节点上。 1.2.1、探究节点都有污点怎么办
再次在节点上设置污点驱逐型上面设置过node2了
kubectl taint nodes node01 checkmychek:NoExecute
设置一个pod
vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:name: myapp01labels:app: myapp01
spec:containers:- name: with-node-affinityimage: soscscs/myapp:v1
kubectl apply -f pod3.yaml
在两个 Node 上都设置了污点后此时 Pod 将无法创建成功
kubectl get pods -o wide|grep myapp01 1.2.2、设置容忍时间尝试解决
vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:name: myapp01labels:app: myapp01
spec:containers:- name: with-node-affinityimage: soscscs/myapp:v1tolerations:- key: checkoperator: Equalvalue: mycheckeffect: NoExecutetolerationSeconds: 3600 其中的 key、vaule、effect 都要与 Node 上设置的 taint 保持一致 operator 的值为 Exists 将会忽略 value 值即存在即可 tolerationSeconds 用于描述当 Pod 需要被驱逐时可以在 Node 上继续保留运行的时间
kubectl apply -f pod3.yaml
在设置了容忍之后Pod 创建成功 1.2.3、 其它注意事项
1当不指定 key 值时表示容忍所有的污点 key这意味着 Pod 将忽略污点的 key只要节点上有污点存在Pod 就能容忍。 tolerations: - operator: Exists 2当不指定 effect 值类型时表示容忍所有的污点作用 tolerations: - key: key operator: Exists
3一些案例
有多个 Master 存在时防止资源浪费可以如下设置
此时如果别的 Node 资源不够用可临时给 Master 设置 PreferNoSchedule 污点让 Pod 可在 Master 上临时创建就是设置容忍把master也利用起来 kubectl taint node Master-Name node-role.kubernetes.io/master:PreferNoSchedule 如果某个 Node 更新升级系统组件为了防止业务长时间中断可以先在该 Node 设置 NoExecute 污点把该 Node 上的 Pod 都驱逐出去 kubectl taint node node01 checkmycheck:NoExecute 待所有 Node 的更新操作都完成后再去除污点 kubectl taint node node01 checkmycheck:NoExecute- 记得检查一下
$kubectl describe node node-name |grep Taint 二、维护操作
①、cordon标记节点不可调度
定义cordon 是一个节点维护操作用于阻止新的 Pods 被调度到该节点上。作用当一个节点被标记为 cordon 时已经在该节点上运行的 Pods 不会被驱逐evicted但新的 Pods 不会被调度到这个节点。这个操作通常用于节点的维护或升级确保在维护期间不会有新的工作负载被分配到该节点上。命令 kubectl cordon 节点名 标记节点为不可调度状态。例如kubectl cordon node1 会将 node1 标记为不可调度。
状态检查可以通过 kubectl get nodes 命令查看节点的状态被 cordon 的节点其 STATUS 字段会新增 SchedulingDisabled 标识。 ②、drain驱逐节点上的 Pods
定义drain 操作会驱逐节点上的所有 Pods即将它们从节点上全部移除并重新调度到其他可用的节点上。作用在执行 drain 操作时可以确保在驱逐 Pods 期间不会有新的 Pods 被调度到这个节点上。这通常用于节点的维护、升级或退役前的准备工作。选项在执行 drain 操作时可以指定一些选项如忽略 DaemonSets 管理的 Pods因为这些 Pods 通常具有特定的调度和运行规则或者强制驱逐即使Pods 有对应的容忍度tolerations。命令 kubectl drain 节点名 [选项] 使用 命令来驱逐节点上的 Pods。
例如kubectl drain node1 --ignore-daemonsetstrue --force 会驱逐 node1 上的所有非 DaemonSet Pods并强制驱逐具有容忍度的 Pods。
状态变化在执行 drain 操作之前Kubernetes 会先将节点设置为不可调度状态类似于 cordon 操作以确保在驱逐 Pods 期间不会有新的 Pods 被调度到这个节点上。然后它会逐个驱逐节点上的 Pods并将它们重新调度到其他可用的节点上。 kubectl drain 可以让 Node 节点开始释放所有 pod并且不接收新的 pod 进程。drain 本意排水意思是将出问题的 Node 下的 Pod 转移到其它 Node 下运行 kubectl drain NODE_NAME --ignore-daemonsets --delete-local-data --force
--ignore-daemonsets无视 DaemonSet 管理下的 Pod。--delete-local-data如果有 mount local volume 的 pod会强制杀掉该 pod。--force强制释放不是控制器管理的 Pod例如 kube-proxy。
注执行 drain 命令会自动做了两件事情: 1设定此 node 为不可调度状态cordon) 2evict驱逐了 Pod ③、kubectl uncordon 将 Node 标记为可调度的状态 kubectl uncordon NODE_NAME Pod启动阶段相位 phase
“相位phase”是用来描述Pod在其生命周期中所处的当前状态或阶段的一个概念
Pod 创建完之后一直到持久运行起来中间有很多步骤也就有很多出错的可能因此会有很多不同的状态。 一般来说pod 这个过程包含以下几个步骤
1调度到某台 node 上。
kubernetes 根据一定的优先级算法选择一台 node 节点将其作为 Pod 运行的 node
2拉取镜像
3挂载存储配置等
4运行起来。如果有健康检查会根据检查的结果来设置其状态。
phase 的可能状态有
Pending表示APIServer创建了Pod资源对象并已经存入了etcd中但是它并未被调度完成比如还没有调度到某台node上或者仍然处于从仓库下载镜像的过程中。RunningPod已经被调度到某节点之上并且Pod中所有容器都已经被kubelet创建。至少有一个容器正在运行或者正处于启动或者重启状态也就是说Running状态下的Pod不一定能被正常访问。Succeeded有些pod不是长久运行的比如job、cronjob一段时间后Pod中的所有容器都被成功终止并且不会再重启。需要反馈任务执行的结果。FailedPod中的所有容器都已终止了并且至少有一个容器是因为失败终止。也就是说容器以非0状态退出或者被系统终止比如 command 写的有问题。Unknown表示无法读取 Pod 状态通常是 kube-controller-manager 无法与 Pod 通信。 三、故障排除步骤
查看Pod事件 kubectl describe pod POD_NAME 查看Pod日志Failed状态下 kubectl logs POD_NAME [-c Container_NAME] 进入Pod状态为running但是服务没有提供 kubectl exec --it POD_NAME -- bash 查看集群信息 kubectl get nodes 发现集群状态正常 kubectl cluster-info 查看kubelet日志发现 journalctl -xefu kubelet
