【Kubernetes】三证集齐 Kubernetes实现资源超卖(附镜像包)

目录

  • 插叙
  • 前言
  • 一、思考和原理
  • 二、实现步骤
    • 0. 资料包
    • 1. TLS证书签发
    • 2. 使用 certmanager 生成签发证书
    • 3. 获取secret的内容 并替换CA_BUNDLE
    • 4.部署svc + deploy
  • 三、测试验证
    • 1. 观察pod情况
    • 2. 给node 打上不需要超售的标签【可以让master节点资源不超卖】
    • 3. 资源实现超卖
    • 4. 删除还原
  • 四、总结

插叙

友友们好久不见,插播一个最近get的证书,完成了第一步,一起努力鸭~
在这里插入图片描述

前言

小涛运维时遇到一个问题,发现:容器在Kubernetes中,使用率要远低于申请率
比如:申请了1G内存,实际只用了200M左右,
就会产生这种情况:node上还有资源,但是不能调度了(Why?因为k8s默认调度器是 按allocate算的,并不是真实剩余的)

那么怎么办呢?

  1. 用scheduler extender写一个调度器 ,用usage调度pod
  2. 按照namespace 把业务分开,在每个ns上设置resourceQuota -->相对最容易实现【yaml文件限制】
  3. 把pod的request降低
  4. 基于MutatingWebhook 把node的 allocatable 调高

今天,小涛讲解的方法,是第四种----基于MutatingWebhook 把node的 allocatable 调高
下面和小涛看看吧~

一、思考和原理

思想:基于MutatingWebhook将allocatable调高,实现node资源超卖

#查看某个node节点当前资源情况
kubectl get nodes node2 -o yaml |grep allocatable: -A6

在这里插入图片描述

核心点:动态修改节点Node对象的allocatable字段值

  • 而我们看到allocatable字段属于Status字段
  • 显然不能直接通过kubectl edit命令来直接修改。
  • 因为Status字段和Spec字段不同,Spec是用户设置的期望数据
  • 而Status是实际数据(Node节点通过不断向apiServer发送心跳来更新自己的实时状态,最终存在etcd中)。那么怎么去修改Stauts字段呢?

二、实现步骤

0. 资料包

链接:https://pan.baidu.com/s/12AmYn5h_c_XrlH6iS-gSDQ
提取码:sell

  • 实现的核心步骤
    • 证书和签名:tls双向认证需要
    • 编写go项目代码,实现webhook服务器,对node status字段更改
    • 部署webhook服务,编写MutatingWebhookConfiguration 测试【把node 的status推送到中间件服务中】

1. TLS证书签发

借助certmanager 签发证书

#安装部署
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.8.2/cert-manager.yaml#================================================================
#如果是内网环境,将yaml文件 wget后,再docker pull 对应的镜像后,再导入到离线环境的镜像仓库【资料包里有相关镜像资料】
wget https://github.com/cert-manager/cert-manager/releases/download/v1.8.2/cert-manager.yaml
docker pull quay.io/jetstack/cert-manager-cainjector:v1.8.2
docker pull quay.io/jetstack/cert-manager-controller:v1.8.2
docker pull quay.io/jetstack/cert-manager-webhook:v1.8.2
docker pull registry.cn-beijing.aliyuncs.com/dbatao/k8s-node-oversell:v1

检查certmanager服务是否正常

$ kubectl apply -f cert-manager.yaml
$ kubectl get pod -n cert-manager

在这里插入图片描述

2. 使用 certmanager 生成签发证书

# cat cert.yaml
---
apiVersion: v1
kind: Namespace
metadata:name: node-oversell-webhook
---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:name: selfsigned-issuernamespace: node-oversell-webhook
spec:selfSigned: {}
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:name: serving-certnamespace: node-oversell-webhook
spec:dnsNames:- node-oversell-webhook.node-oversell-webhook.svc- node-oversell-webhook.node-oversell-webhook.svc.cluster.localissuerRef:kind: Issuername: selfsigned-issuersecretName: webhook-server-cert
---# kubectl apply -f cert.yaml

查看证书是否已签发完成

$ kubectl get certificate -n node-oversell-webhook

在这里插入图片描述

3. 获取secret的内容 并替换CA_BUNDLE

CA_BUNDLE=$(kubectl -n node-oversell-webhook get secrets webhook-server-cert  -o jsonpath="{.data.ca\.crt}")echo ${CA_BUNDLE}
sed -i "s|\${CA_BUNDLE}|${CA_BUNDLE}|g"  mutating_webhook.yamlcat mutating_webhook.yaml
kubectl apply -f mutating_webhook.yaml

在这里插入图片描述

4.部署svc + deploy

kubectl apply -f webhook_deployment.yamlkubectl apply -f svc.yaml
curl -k https://svc_ip:443/readyz   #预期---返回ok

在这里插入图片描述

三、测试验证

1. 观察pod情况

kubectl logs -n node-oversell-webhook node-oversell-webhook-7b75dd467b-hs9m9 --tail 10

2. 给node 打上不需要超售的标签【可以让master节点资源不超卖】

#将<node_name>更换为不用超卖节点的名称,非常智能!!
$ kubectl label node <node_name> node-oversell/disable=true#例如
kubectl label node master01 node-oversell/disable=true#如果需要这个节点超卖,将标签去掉即可
kubectl label node master01  node-oversell/disable-

3. 资源实现超卖

$ kubectl get nodes node2 -o yaml |grep allocatable: -A6#在Prometheus里用PromeQL也能查看到
kube_node_status_allocatable{}		#QL查询语句

在这里插入图片描述

4. 删除还原

$ kubectl delete deploy -n node-oversell-webhook node-oversell-webhook
$ kubectl delete mutatingwebhookconfigurations node-oversell-webhook

四、总结

  • 我们再来回顾一下大致步骤
    在这里插入图片描述

  • API-Server支持准入控制器中,准入控制器中有一个“修改性质的控制器”

    • 监听node status的服务资源,牵引到某个服务上【这个服务中,把10G改成20G,再推送API-Server中】
    • Admission controller是拦截(经过身份验证)API Server请求的网关,并且可以修改请求对象或拒绝请求。
    • k8s在Api-Server中就提供Admission Controller(准入控制器)的机制,包括MutatingAdmissionWebhook,通过这个webhook,所有在集群中和Api-Sever交互的请求都被发送到一个指定的接口中,我们只要提供一个这样的接口,就可以获取到Node往ApiServer发送心跳的Staus数据了。然后将这个数据进行我们的自定义修改,再往后传给etcd,就能让etcd以为我们修改过的Status数据就是节点的真实Status,最终实现资源的超卖。
    • MutatingAdmissionWebhook 作为kubernetes的 ApiServer中Admission Controller的一部分,提供了非常灵活的扩展机制,通过配置MutatingWebhookConfiguration对象,理论上可以监听并修改任何经过ApiServer处理的请求。

  • 形象的通俗理解:古代时,大臣(node资源汇报)想汇报情况给皇帝(ETCD),需要通过太监进行传达,那么太监可以修改奏本(allocatable)再传给皇帝,以达到以假乱真的情形。

    • 而 k8s在Api-Server中就提供Admission Controller(准入控制器)的机制(可以修改性质的控制器)

今天也是充实的一天呢,有问题欢迎大家评论区交流,咱们下篇文章再见了~ 😉
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/23987.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[补题记录]Leetcode 209.长度最小的子数组

[补题记录]Leetcode 209.长度最小的子数组

传送门&#xff1a;长度最小的子数组 Problem/题意 给定一个整数数组和一个整数 target&#xff0c;要求算出数组中最小长度的连续子数组&#xff0c;数组元素的和大于等于 target。 Thought/思路 题目要求维护最小的长度&#xff0c;因此我们希望&#xff1a;当条件不满足…
阅读更多...
IP域名关系的研究与系统设计(学习某知名测绘系统)

IP域名关系的研究与系统设计(学习某知名测绘系统)

IP域名关系库管理包括域名库检索和whois库检索&#xff0c;详情如下。 域名库检索支持以下5项功能&#xff1a; 1.通过过滤器检索 筛选条件包含IP地址、口令、工具名称、可利用的漏洞编号、创建时间&#xff1b; 2.通过关键字检索 在查询框中输入域名库名称的部分关键词&a…
阅读更多...
计算机组成结构—IO系统概述

计算机组成结构—IO系统概述

目录 一、I/O 系统的发展 1. 早期阶段 2. 接口模块和 DMA 阶段 3. 通道结构阶段 4. 处理机阶段 二、I/O 系统的组成 1. I/O 软件 2. I/O 硬件 三、I/O 设备 1. I/O 设备分类 2. I/O 设备的组成 在计算机中&#xff0c;除 CPU 和主存两大模块之外&#xff0c;第三个重…
阅读更多...
Apple开发者应用商店(AppStore)描述文件及ADHOC描述文件生成

Apple开发者应用商店(AppStore)描述文件及ADHOC描述文件生成

创建AD HOC描述文件 1.选中Profiles,然后点击加号创建 2.创建已注册设备可安装描述文件 3.选择要注册的id 4.选择证书 5.选择设备 6.输入文件名,点击生成 7.生成成功,点击下载
阅读更多...
TCP为什么握手是三次,而挥手是四次

TCP为什么握手是三次,而挥手是四次

TCP&#xff08;传输控制协议&#xff09;使用三次握手&#xff08;3WHS&#xff09;来建立一个可靠的连接&#xff0c;并使用四次挥手&#xff08;4WHS&#xff09;来终止连接。以下是每个步骤的详细解释&#xff1a; 三次握手&#xff08;3WHS&#xff09;建立连接&#xff…
阅读更多...
solidity的modifier修饰符

solidity的modifier修饰符

solidity的modifier修饰符 什么是modifier修饰符 修饰器&#xff08;modifier&#xff09;是solidity特有的语法&#xff0c;类似于面向对象编程中的decorator&#xff0c;声明函数拥有的特性&#xff0c;并减少代码冗余。 Solidity 中关键字 modifier 用于声明一个函数修改…
阅读更多...
electron调用dll时应用程序闪退

electron调用dll时应用程序闪退

electron调用dll时&#xff0c;直接闪退&#xff0c;且用如下方式监听无任何输出&#xff1a; window-all-closed 或 will-quit 此时需要检查传给dll的参数及参数类型是否正确&#xff0c;特别是使用ffi-napi时调用dll&#xff0c;使用 ref-napi定义类型&#xff0c;经常容易…
阅读更多...
go 源码学习1:scanner学习

go 源码学习1:scanner学习

scanner所在包是scanner.go type scanner struct {// 步骤是一个函数&#xff0c;用于执行下一个转换。// 也尝试使用整数常量和单个函数以及带有开关的函数&#xff0c;// 但是直接使用函数在64位Mac Mini上快了10%&#xff0c;// 而且阅读起来更直观。step func(*scanner, …
阅读更多...
域名区分英文大小写吗?

域名区分英文大小写吗?

在互联网的早期&#xff0c;域名系统(DNS)的设计并没有考虑大小写敏感性。然而&#xff0c;随着技术的发展和用户需求的多样化&#xff0c;域名的大小写问题逐渐引起了人们的关注。本文将探讨域名是否区分英文大小写&#xff0c;以及这一特性对网站运营和用户体验的影响。 一、…
阅读更多...
【Android】Git Patch生成的文件怎么合并到项目里面和遇到的一些问题

【Android】Git Patch生成的文件怎么合并到项目里面和遇到的一些问题

前言 Git patch是一种描述文件&#xff0c;它记录了一系列的文件变更&#xff08;如新增、修改、删除&#xff09;以及变更的具体内容。通过使用patch文件&#xff0c;可以将这些变更应用到其他代码库中&#xff0c;从而实现代码的同步和更新。 Git 提供了两种补丁方案&#…
阅读更多...
Java使用OpenCV计算两张图片相似度

Java使用OpenCV计算两张图片相似度

业务&#xff1a;找出两个表的重复的图片。 图片在表里存的是二进制值&#xff0c;存在大量由于一些特殊情况例如扫描有差异&#xff0c;导致图片存的二进制值不同&#xff0c;但图片其实是一样来的。 所以找出两个表重复相同的图片&#xff0c;不可能只是单纯的比较二进制值…
阅读更多...
flask招聘数据分析及展示平台-计算机毕业设计源码39292

flask招聘数据分析及展示平台-计算机毕业设计源码39292

目 录 摘要 1 绪论 1.1研究意义 1.2国内外研究进展 1.3flask框架介绍 2 1.4论文结构与章节安排 3 2 招聘数据分析及展示平台分析 4 2.1 可行性分析 4 2.2 系统流程分析 4 2.2.1数据增加流程 5 2.3.2数据修改流程 5 2.3.3数据删除流程 5 2.3 系统功能分析 5 2.3.1 功能性分…
阅读更多...
亚马逊新品如何快速吸引流量?自养号测评助卖家一臂之力

亚马逊新品如何快速吸引流量?自养号测评助卖家一臂之力

在亚马逊平台上每天都会有大量的新品推出&#xff0c;而这些新品中有部分可能并没有什么流量和订单&#xff0c;有些可能上架后立马就能获得流量了&#xff0c;那么亚马逊上新品一般几天出单&#xff1f; 一、亚马逊上新品一般几天出单&#xff1f; 亚马逊上新品出单的时间因…
阅读更多...
DispatcherTimer应用

DispatcherTimer应用

DispatcherTimer 是 WPF 中用于执行定时任务的类&#xff0c;用于在指定的时间间隔内执行任务。它与 UI 线程的 Dispatcher 相关联&#xff0c;因此可以用来更新 UI 元素&#xff0c;而不必担心线程安全问题。 关键特性&#xff1a; 线程安全&#xff1a;DispatcherTimer 确保…
阅读更多...
人工智能时代,想转型AI产品经理?这篇文章你不应该错过

人工智能时代,想转型AI产品经理?这篇文章你不应该错过

前言 在这个日新月异的智能时代&#xff0c;人工智能&#xff08;AI&#xff09;已经从未来概念转变为推动各行各业发展的核心驱动力。作为连接技术与市场的桥梁&#xff0c;AI产品经理的角色愈发关键&#xff0c;他们不仅是技术的翻译者&#xff0c;更是创新的推动者。如果你…
阅读更多...
Mintegral解析休闲游戏如何靠创意素材吸引玩家

Mintegral解析休闲游戏如何靠创意素材吸引玩家

核心玩法简单清晰、容易让人无限上头的休闲游戏&#xff0c;玩法机制一般比较明确、简单&#xff0c;如果要在短时间内吸引玩家注意&#xff0c;除了完整展示游戏流程以外&#xff0c;开发者需要在素材中设置更多亮点性的内容&#xff0c;如吸睛的剧情、爆炸性的视听效果等元素…
阅读更多...
组件的注册和引用

组件的注册和引用

在Vue中&#xff0c;开发者可以将页面中独立的、可重用的部分封装成组件&#xff0c;对组件的结构&#xff0c;样式和行为进行设置。组件是 Vue 的基本结构单元&#xff0c;组件之间可以相互引用。 一.注册组件 当在Vue项目中定义了一个新的组件后&#xff0c;要想在其他组件中…
阅读更多...
Vue3_对接腾讯云COS_大文件分片上传和下载

Vue3_对接腾讯云COS_大文件分片上传和下载

目录 一、腾讯云后台配置 二、安装SDK 1.script 引入方式 2.webpack 引入方式 三、文件上传 1.new COS 实例 2.上传文件 四、文件下载 腾讯云官方文档&#xff1a; 腾讯云官方文档https://cloud.tencent.com/document/product/436/11459 一、腾讯云后台配置 1.登录 对…
阅读更多...
[职场] 为什么不能加薪? #学习方法#知识分享#微信

[职场] 为什么不能加薪? #学习方法#知识分享#微信

为什么不能加薪&#xff1f; 不能加薪的根本原因&#xff0c;终于被我找到了&#xff01; 朋友们&#xff01;职场这个地方是个很神奇的世界&#xff0c;有些规则并不是你想象的那样。我们都希望能在这个世界里施展自己的才华&#xff0c;获得升职加薪的荣耀。然而&#xff0c…
阅读更多...
seerfar丨OZON运营工具,OZON选品插件

seerfar丨OZON运营工具,OZON选品插件

随着全球电商市场的蓬勃发展&#xff0c;OZON作为俄罗斯及东欧地区的重要电商平台&#xff0c;吸引了众多中国商家的目光。然而&#xff0c;如何在OZON平台上脱颖而出&#xff0c;实现高效的商品运营&#xff0c;成为了众多商家亟待解决的问题。在这样的背景下&#xff0c;seer…
阅读更多...
最新文章

Copyright @ 2022~2023