Kubernetes 为 Namespace 配置CPU和内存配额

本任务展示了如何为某一名字空间内运行的所有容器配置CPU和内存配额。配额可以通过 ResourceQuota 对象设置。

Before you begin

You need to have a Kubernetes cluster, and the kubectl command-line tool must be configured to communicate with your cluster. If you do not already have a cluster, you can create one by using Minikube .

请确保您集群中的每个节点(node)拥有至少1GiB内存。

创建名字空间

创建一个单独的名字空间,以便于隔离您在本练习中创建的资源与集群的其他资源。

kubectl create namespace quota-mem-cpu-example

创建ResourceQuota对象

以下展示了ResourceQuota对象的配置文件内容:

quota-mem-cpu.yaml 
apiVersion: v1
kind: ResourceQuota
metadata:
  name: mem-cpu-demo
spec:
  hard:
    requests.cpu: "1"
    requests.memory: 1Gi
    limits.cpu: "2"
    limits.memory: 2Gi

下面,首先创建ResourceQuota对象

kubectl create -f https://k8s.io/docs/tasks/administer-cluster/quota-mem-cpu.yaml --namespace=quota-mem-cpu-example

然后可以通过以下命令查看ResourceQuota对象的详细信息:

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

以上刚创建的ResourceQuota对象将在quota-mem-cpu-example名字空间中添加以下限制:

  • 每个容器必须设置内存请求(memory request),内存限额(memory limit),cpu请求(cpu request)和cpu限额(cpu limit)。
  • 所有容器的内存请求总额不得超过1 GiB。
  • 所有容器的内存限额总额不得超过2 GiB。
  • 所有容器的CPU请求总额不得超过1 CPU。
  • 所有容器的CPU限额总额不得超过2 CPU。

创建一个Pod

以下展示了一个Pod的配置文件内容:

quota-mem-cpu-pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: quota-mem-cpu-demo
spec:
  containers:
  - name: quota-mem-cpu-demo-ctr
    image: nginx
    resources:
      limits:
        memory: "800Mi"
        cpu: "800m" 
      requests:
        memory: "600Mi"
        cpu: "400m"

通过以下命令创建这个Pod:

kubectl create -f https://k8s.io/docs/tasks/administer-cluster/quota-mem-cpu-pod.yaml --namespace=quota-mem-cpu-example

运行以下命令验证这个Pod的容器已经运行:

kubectl get pod quota-mem-cpu-demo --namespace=quota-mem-cpu-example

然后再次查看ResourceQuota对象的详细信息:

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

除了配额本身信息外,上述命令还显示了目前配额中有多少已经被使用。可以看到,刚才创建的Pod的内存以及 CPU的请求和限额并没有超出配额。

status:
  hard:
    limits.cpu: "2"
    limits.memory: 2Gi
    requests.cpu: "1"
    requests.memory: 1Gi
  used:
    limits.cpu: 800m
    limits.memory: 800Mi
    requests.cpu: 400m
    requests.memory: 600Mi

尝试创建第二个Pod

第二个Pod的配置文件如下所示:

quota-mem-cpu-pod-2.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: quota-mem-cpu-demo-2
spec:
  containers:
  - name: quota-mem-cpu-demo-2-ctr
    image: redis
    resources:
      limits:
        memory: "1Gi"
        cpu: "800m"      
      requests:
        memory: "700Mi"
        cpu: "400m"

在配置文件中,您可以看到第二个Pod的内存请求是700 MiB。可以注意到,如果创建第二个Pod, 目前的内存使用量加上新的内存请求已经超出了当前名字空间的内存请求配额。即600 MiB + 700 MiB > 1 GiB。

下面尝试创建第二个Pod:

kubectl create -f https://k8s.io/docs/tasks/administer-cluster/quota-mem-cpu-pod-2.yaml --namespace=quota-mem-cpu-example

以下命令输出显示第二个Pod并没有创建成功。错误信息说明了如果创建第二个Pod,内存请求总额将超出名字空间的内存请求配额。

Error from server (Forbidden): error when creating "docs/tasks/administer-cluster/quota-mem-cpu-pod-2.yaml":
pods "quota-mem-cpu-demo-2" is forbidden: exceeded quota: mem-cpu-demo,
requested: requests.memory=700Mi,used: requests.memory=600Mi, limited: requests.memory=1Gi

在本练习中您已经看到,使用ResourceQuota可以限制一个名字空间中所运行的所有容器的内存请求总额。 当然,也可以通过ResourceQuota限制所有容器的内存限额、CPU请求以及CPU限额。

如果您仅仅想限制单个容器的上述各项指标,而非名字空间中所有容器的,请使用LimitRange

练习环境的清理

通过删除名字空间即可完成环境清理:

kubectl delete namespace quota-mem-cpu-example

What’s next

对于集群管理员

对于应用开发者

译者:xingzhou / 原文链接

原文链接:http://docs.kubernetes.org.cn/748.html 6 张配图通俗易懂说透 K8S 请求和限制 在 Kubernetes 中使用容器时,了解涉及的资源是什么以及为何需要它们很重要。有些进程比其他进程需要更多的 CPU内存。这很关键,永远不应该让进程挨饿。知道了这一点,我们应该正确配置容器和 Pod,以便充分利用两者。 Kubernetes 限制和请求简介 使用 Kubernetes 时,限制和请求是重要的设置。本文将重点关注两个最重要的:CPU内存Kubernetes 将限制定义为 容器可以使用的最大资源量。这意味着容器永远不会消耗超过指示的内存 deployment/xxx created 但是使用命令查看pod发现只有service 可以查看pod。deployment 一直没有创建出pod,刚开始以为没有生效,又执行了一次。 service/xxx unchanged deployment/xxx configured 上面的显示 针对以上的问题,k8s给出的解决方案是namespace,在这里的场景中就可以通过不同的namespace来隔离不同的技术部门的API对象,这样就可以避免以上的问题1,并给各自的namespace设置资源限额,这样就可以避免以上的问题2。下面我们就一起来看下吧。 容器使用的最小资源需求, 作为容器调度时资源分配的判断依赖。 只有当前节点上可分配的资源量 >= request 时才允许将容器调度到该节点。 request参数不限制容器的最大可使用资源 limit 1. Wrong Container Image / Invalid Registry Permissions 当pod状态为ErrImagePull或ImagePullBackOff时,通常是由于以下3个原因(在排查网络故障的前提下): 镜像tag写错 镜像不存在,或拉取的镜像仓库地址写错 没有拉取镜像的权限(漏配了imagePullSecrets) 2. Application Crash... 在一个多用户、多团队的k8s集群上,通常会遇到一个问题,如何在不同团队之间取得资源的公平,即,不会因为某个流氓团队占据了所有资源,从而导致其他团队无法使用k8s。 k8s的解决方法是,通过RBAC将不同团队(or 项目)限制在不同的namespace下,通过resourceQuota来限制该namespace能够使用的资源。资源分为以下三种。 计算资源配额cpu,memory 存储资源配置... namespace用于资源隔离,不同环境下的资源可以放置到同一个集群下不同的namespace下,如dev、qc、uat、qa环境分别使用不同的namespace;还可以. 在k8s集群中为了能够使系统正常稳定运行,通常会限制Pod的资源使用情况,在k8s集群中如果有一个程序出现异常,并占用大量的系统资源。如果未对该Pod进行资源限制的话,可能会影响其他的Pod。 k8s常见的资源管理方式:计算资源管理(Compute Resources)、资源的配置范围管理(LimitRange)和资源的配额管理(Resource Quotas) 计算资源管理(Compute Resources): 为Pod中的容器指定使用的计算资源(CPU内存)。