概述
在默认情况下,Kubernetes不会对Pod加上CPU和内存限制,这意味着Kubernetes系统中任何Pod都可以使用其所在节点的所有可用的CPU和内存。在之前的章节https://blog.csdn.net/margu_168/article/details/131786000分享了针对集群中某个pod的资源限制,通过配置容器的计算资源Requests和Limits,我们可以限制Pod的资源使用。但对于Kubernetes集群管理员而言,配置每一个Pod的Requests和Limits是烦琐的,而且很受限制。针对这样的情况Kubernetes提出了LimitRange,用来限制 namespace中单个Pod 默认资源 request 和 limit。
LimitRange限制范围
一个 LimitRange(限制范围) 对象提供的限制能够做到:
- 限制namespace中每个Pod或容器的最小与最大的资源使用量
- 限制namespace中每个Pod或容器计算资源request、limit之间的比例
- 限制namespace中每个存储卷声明(PersistentVolumeClaim)可使用的最小与最大存储空间
- 设置namespace中容器默认计算资源的request、limit,并在运行时自动注入到容器中
资源限制和请求的约束
- 管理员在一个命名空间内创建一个 LimitRange 对象。
- 用户在此命名空间内创建(或尝试创建) Pod 和 PersistentVolumeClaim 等对象。
- 首先,LimitRanger 准入控制器对所有没有设置计算资源需求的所有 Pod(及其容器)设置默认请求值与限制值。
- 其次,LimitRange 跟踪其使用量以保证没有超出命名空间中存在的任意 LimitRange 所定义的最小、最大资源使用量以及使用量比值。
- 若尝试创建或更新的对象(Pod 和 PersistentVolumeClaim)违反了 LimitRange 的约束, 向 API 服务器的请求会失败,并返回 HTTP 状态码 403 Forbidden 以及描述哪一项约束被违反的消息。
- 若在命名空间中添加 LimitRange 启用了对 cpu 和 memory 等计算相关资源的限制, 你必须指定这些值的请求使用量与限制使用量。否则,系统将会拒绝创建 Pod。
- LimitRange 的验证仅在 Pod 准入阶段进行,不对正在运行的 Pod 进行验证。 如果你添加或修改 LimitRange,命名空间中已存在的 Pod 将继续不变。
- 如果命名空间中存在两个或更多 LimitRange 对象,应用哪个默认值是不确定的。
Pod 的 LimitRange 和准入检查
LimitRange 不 检查所应用的默认值的一致性。 这意味着 LimitRange 设置的 limit 的默认值可能小于客户端提交给 API 服务器的规约中为容器指定的 request 值。 如果发生这种情况,最终 Pod 将无法调度。
示例
定义如下一个 LimitRange: -
[root@k8s-m1 k8s-resource]# cat example-limitrange.yaml
apiVersion: v1
kind: LimitRange
metadata:name: myspace-limitrangenamespace: myspace
spec:limits:- type: Container #限制的资源类型max:cpu: "1" #限制单个容器的最大CPUmemory: "2Gi" #限制单个容器的最大内存min:cpu: "100m" #限制单个容器的最小CPUmemory: "0.3Gi" #限制单个容器的最小内存default:cpu: "400m" #默认单个容器的CPU限制memory: "1Gi" #默认单个容器的内存限制defaultRequest:cpu: "200m" #默认单个容器的CPU创建请求memory: "0.5Gi" #默认单个容器的内存创建请求maxLimitRequestRatio:cpu: 2 #限制CPU limit/request比值最大为2 memory: 2 #限制内存limit/request比值最大为2- type: Podmax:cpu: "2" #限制单个Pod的最大CPUmemory: "4Gi" #限制单个Pod最大内存- type: PersistentVolumeClaimmax:storage: 20Gi #限制PVC最大的requests.storagemin:storage: 5Gi #限制PVC最小的requests.storage[root@k8s-m1 k8s-resource]# kubectl apply -f example-limitrange.yaml
limitrange/myspace-limitrange created[root@k8s-m1 k8s-resource]# kubectl get limitranges -n myspace
NAME CREATED AT
myspace-limitrange 2023-07-19T12:10:58Z[root@k8s-m1 k8s-resource]# kubectl describe -n myspace limitranges myspace-limitrange
Name: myspace-limitrange
Namespace: myspace
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio
---- -------- --- --- --------------- ------------- -----------------------
Container cpu 100m 1 200m 400m 2
Container memory 322122547200m 2Gi 512Mi 1Gi 2
Pod cpu - 2 - - -
Pod memory - 4Gi - - -
PersistentVolumeClaim storage 5Gi 20Gi - - -
创建一个没有声明内存请求和限制的 Pod
这里给出了定义一个容器的 Pod 的配置文件。容器没有声明内存请求,也没有声明内存限制。
[root@k8s-m1 k8s-resource]# cat no-request-limit-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: no-request-limit-podnamespace: myspace
spec:containers:- name: no-request-limit-podimage: nginx[root@k8s-m1 k8s-resource]# kubectl apply -f no-request-limit-pod.yaml
pod/no-request-limit-pod created[root@k8s-m1 k8s-resource]# kubectl describe po -n myspace no-request-limit-pod
......Limits:cpu: 400mmemory: 1GiRequests:cpu: 200mmemory: 512MiEnvironment: <none>
......
从describe结果可以发现limit和request都是按照当前命名空间下limitrange配置的设置。
定义一个container的CPU 资源请求为 600m 但未声明限制值的 Pod:
[root@k8s-m1 k8s-resource]# cat outcpu-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: example-out-limitrange-cpu-podnamespace: myspace
spec:containers:- name: httpimage: nginxresources:requests:cpu: 600m[root@k8s-m1 k8s-resource]# kubectl apply -f outcpu-pod.yaml
The Pod "example-out-limitrange-cpu-pod" is invalid: spec.containers[0].resources.requests: Invalid value: "600m": must be less than or equal to cpu limit
#通过返回的报错可以发现原因,requests需要小于cpu limit(600>400)同时设置了 request 和 limit,那么即使使用相同的 LimitRange,新 Pod 也会被成功调度,对比上面的区别:
[root@k8s-m1 k8s-resource]# cat request-limit-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: example-conflict-limitrange-cpu-mem-podnamespace: myspace
spec:containers:- name: httpimage: nginxresources:requests:cpu: 600mlimits:cpu: 600m[root@k8s-m1 k8s-resource]# kubectl apply -f request-limit-pod.yaml
pod/example-conflict-limitrange-cpu-mem-pod created
创建一个LimitRange对maxLimitRequestRatio比例操过限制的Pod,我们会发现Pod会创建失败;
[root@k8s-m1 k8s-resource]# cat outmaxlimitrequestratio-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: outmaxlimitrequestratio-podnamespace: myspacelabels:name: outmaxlimitrequestratio-pod
spec:containers:- name: httpimage: nginxresources:limits:cpu: "600m"memory: 1.5Girequests:cpu: "200m"memory: 0.5Gi[root@k8s-m1 k8s-resource]# kubectl apply -f outmaxlimitrequestratio-pod.yaml
Error from server (Forbidden): error when creating "outmaxlimitrequestratio-pod.yaml": pods "outmaxlimitrequestratio-pod" is forbidden: [cpu max limit to request ratio per Container is 2, but provided ratio is 3.000000, memory max limit to request ratio per Container is 2, but provided ratio is 3.000000]
在比例范围之内的就可以正常创建,如下:
##比例为1.5,小于2(0.75/0.5 300/200)
[root@k8s-m1 k8s-resource]# cat outmaxlimitrequestratio-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: outmaxlimitrequestratio-podnamespace: myspacelabels:name: outmaxlimitrequestratio-pod
spec:containers:- name: httpimage: nginxresources:limits:cpu: "300m"memory: 0.75Girequests:cpu: "200m"memory: 0.5Gi[root@k8s-m1 k8s-resource]# kubectl apply -f outmaxlimitrequestratio-pod.yaml
pod/outmaxlimitrequestratio-pod created
更多关于request和limit的设置请根据实际使用情况调试。
更多关于kubernetes的知识分享,请前往博客主页。编写过程中,难免出现差错,敬请指出
代码使用和测试(完整的源代码))
)
)
的实现)
