学习 Kubernetes 基础知识

任务

任务
安装工具
安装并设置 kubectl
安装 Minikube
管理集群
用 kubeadm 进行管理
Adding Windows nodes (EN)
Upgrading Windows nodes (EN)
使用 kubeadm 进行证书管理
升级 kubeadm 集群
管理内存,CPU 和 API 资源
为命名空间配置默认的内存请求和限制
为命名空间配置默认的CPU请求和限制
配置命名空间的最小和最大内存约束
为命名空间配置CPU最小和最大限制
为命名空间配置内存和 CPU 配额
配置命名空间下pod总数
安装网络规则驱动
使用 Calico 作为 NetworkPolicy
使用 Cilium 作为 NetworkPolicy
使用 Kube-router 作为 NetworkPolicy
使用 Romana 作为 NetworkPolicy
使用 Weave Net 作为 NetworkPolicy
Debug DNS 方案
Enabling Service Topology (EN)
IP Masquerade Agent 用户指南
Kubernetes 云管理控制器
Safely Drain a Node while Respecting the PodDisruptionBudget (EN)
为 Kubernetes 运行 etcd 集群
为系统守护进程预留计算资源
为节点发布扩展资源
使用 CoreDNS 进行服务发现
使用 KMS 提供商进行数据加密
使用 Kubernetes API 访问集群
关键插件 Pod 的调度保证
启用端点切片
命名空间演练
在 Kubernetes 集群中使用 NodeLocal DNSCache
在 Kubernetes 集群中使用 sysctl
在实时集群上重新配置节点的 Kubelet
声明网络策略
开发云控制器管理器
控制节点上的 CPU 管理策略
控制节点上的拓扑管理策略
搭建高可用的 Kubernetes Masters
改变默认 StorageClass
更改 PersistentVolume 的回收策略
自定义 DNS 服务
访问集群上运行的服务
通过命名空间共享集群
通过配置文件设置 Kubelet 参数
配置 API 对象配额
配置多个调度器
配置资源不足时的处理方式
限制存储消耗
集群 DNS 服务自动伸缩
集群安全
集群管理
静态加密 Secret 数据
配置 Pods 和容器
为容器和 Pod 分配内存资源
Assign CPU Resources to Containers and Pods
Configure GMSA for Windows Pods and containers (EN)
为 Windows 的 pod 和容器配置 RunAsUserName
配置 Pod 的服务质量
为容器分派扩展资源
配置 Pod 以使用卷进行存储
配置 Pod 以使用 PersistentVolume 作为存储
配置 Pod 使用投射卷作存储
Configure a Security Context for a Pod or Container (EN)
为 Pod 配置服务账户
从私有仓库拉取镜像
配置存活、就绪和启动探测器
Assign Pods to Nodes using Node Affinity (EN)
将 Pod 分配给节点
配置 Pod 初始化
为容器的生命周期事件设置处理函数
使用 ConfigMap 配置 Pod
在 Pod 中的容器之间共享进程命名空间
创建静态 Pod
将 Docker Compose 文件转换为 Kubernetes 资源
管理 Kubernetes 对象
Declarative Management of Kubernetes Objects Using Configuration Files (EN)
Declarative Management of Kubernetes Objects Using Kustomize (EN)
Managing Kubernetes Objects Using Imperative Commands (EN)
使用配置文件对 Kubernetes 对象进行命令式管理
给应用注入数据
为容器设置启动时要执行的命令及其入参
为容器设置环境变量
使用 PodPreset 将信息注入 Pods
使用 Secret 安全地分发凭证
通过文件将Pod信息呈现给容器
通过环境变量将Pod信息呈现给容器
运行应用
运行一个有状态的应用程序
使用 kubectl patch 更新 API 对象
删除 StatefulSet
强制删除 StatefulSet 类型的 Pods
基于Replication Controller执行滚动升级
Pod 水平自动伸缩
Horizontal Pod Autoscaler演练
指定应用程序的中断预算(Disruption Budget)
使用Deployment运行一个无状态应用
弹缩StatefulSet
运行一个单实例有状态应用
运行 Jobs
使用 CronJob 运行自动化任务
使用扩展进行并行处理
使用工作队列进行粗粒度并行处理
使用工作队列进行精细的并行处理
访问集群中的应用程序
网页界面 (Dashboard)
访问集群
使用端口转发来访问集群中的应用
使用服务来访问集群中的应用
创建一个外部负载均衡器
配置你的云平台防火墙
Set up Ingress on Minikube with the NGINX Ingress Controller (EN)
列出集群中所有运行容器的镜像
为集群配置 DNS
使用 Service 把前端连接到后端
同 Pod 内的容器使用共享卷通信
配置对多集群的访问
监控、日志和排错
Auditing
Auditing with Falco (EN)
Debug Running Pods (EN)
Logging Using Stackdriver (EN)
StackDriver 中的事件
使用 crictl 对 Kubernetes 节点进行调试
使用 ElasticSearch 和 Kibana 进行日志管理
在本地开发和调试服务
应用故障排查
应用自测与调试
排错
确定 Pod 失败的原因
节点健康监测
获取正在运行容器的 Shell
调试 Init 容器
调试 Pods 和 Replication Controllers
调试 Service
调试StatefulSet
资源指标管道
资源监控工具
集群故障排查
扩展 Kubernetes
使用自定义资源
Extend the Kubernetes API with CustomResourceDefinitions (EN)
用户自定义资源版本
配置聚合层
设置一个扩展的 API server
使用 HTTP 代理访问 Kubernetes API
TLS
管理集群中的 TLS 认证
证书轮换
联邦 - 在多个集群上运行一个应用
将 CoreDNS 设置为联邦集群的 DNS 提供者
使用联合服务来实现跨集群的服务发现
管理联邦控制平面
联邦 ConfigMap
联邦 DaemonSet
联邦 Deployment
联邦 Job
联邦 ReplicaSet
联邦 Secret
联邦事件
联邦命名空间
在联邦中设置放置策略
管理集群守护进程
对 DaemonSet 执行回滚
对 DaemonSet 执行滚动更新
安装服务目录
使用 Helm 安装 Service Catalog
使用 SC 安装服务目录
网络
验证 IPv4/IPv6 双协议栈
用插件扩展 kubectl
管理巨页(HugePages)
调度 GPUs

Edit This Page

指定应用程序的中断预算(Disruption Budget)

本文展示了如何限制应用程序的并发中断数量,在允许集群管理员管理集群节点的同时保证高可用。

准备开始

  • 用户是 Kubernetes 集群中有高可用需求的应用的所有者。
  • 用户应当已经阅读过关于 Pod 中断 的文档。
  • 用户应当与集群所有者或服务提供者确认其遵从 Pod 中断预算(Pod Disruption Budgets)的规则。

用 PodDisruptionBudget 来保护应用

  1. 确定想要使用 PodDisruptionBudget (PDB) 来保护的应用。
  2. 考虑应用对中断的反应。
  3. 以 YAML 文件形式定义 PDB 。
  4. 通过 YAML 文件创建 PDB 对象。

确定要保护的应用

用户想要保护通过内置的 Kubernetes 控制器指定的应用,这是最常见的使用场景:

  • Deployment
  • ReplicationController
  • ReplicaSet
  • StatefulSet

在这种情况下,在控制器的 .spec.selector 字段中做记录,并在 PDB 的 .spec.selector 字段中加入同样的选择器。

用户也可以用 PDB 来保护不受上述控制器控制的 pod,或任意组(arbitrary groups)的 pod, 但是正如 任意控制器和选择器 中描述的,这里存在一些限制。

考虑应用对中断的反应

确定在自发中断时,多少实例可以在短时间内同时关闭。

  • 无状态的前端:
    • 关注:不能降低服务能力 10% 以上。
      • 解决方案:例如,使用 PDB,指定其 minAvailable 值为 90%。
  • 单实例有状态应用:
    • 关注:不要在不通知的情况下终止该应用。
      • 可能的解决方案 1:不使用 PDB,并忍受偶尔的停机。
      • 可能的解决方案 2:设置 maxUnavailable=0 的 PDB。意为(Kubernetes 范畴之外的) 集群操作人员需要在终止应用前与用户协商,协商后准备停机,然后删除 PDB 表示准备中断,后续再重新创建。
  • 多实例有状态应用, 如 Consul、ZooKeeper 或 etcd:
    • 关注:不要将实例数量减少至低于仲裁规模(below quorum),否则将写入失败。
      • 可能的解决方案 1:设置 maxUnavailable 值为 1 (适用于不同规模的应用)。
      • 可能的解决方案 2:设置 minAvailable 值为仲裁规模(例如规模为 5 时设置为 3)。 (允许每次更多的中断)。
  • 可重新启动的批处理任务:
    • 关注: 自发中断的情况下,需要确保任务完成。
      • 可能的解决方案:不创建 PDB。 任务控制器会创建一个替换的 pod。

指定百分比时的舍入逻辑

minAvailablemaxUnavailable 的值可以表示为整数或百分比。

  • 指定整数时,它表示许多Pod。 例如,如果将minAvailable设置为10,那么即使在中断期间,也必须始终有10个Pod可用。
  • 通过将值设置为百分比的字符串表示形式(例如“50%”)来指定百分比时,它表示总 Pod 数的百分比。例如,如果将 “minUnavailable” 设置为“50%”,则只有50%的 Pod 可以中断。

如果将值指定为百分比,则可能无法映射到确切数量的 Pod 。例如,如果您有 7 个 Pod ,并且你将 minAvailable 设置为 "50%",这不清楚是 3 个 Pod 或 4 个 Pod 必须可用。 Kubernetes 向上取整到最接近的整数,因此在这种情况下,必须有 4 个 Pod 。 您可以检查控制此行为的代码

指定 PodDisruptionBudget

一个 PodDisruptionBudget 有 3 个字段:

  • 标签选择器 .spec.selector ,用于指定其所作用的 pod 集合, 该字段为必须字段。
  • .spec.minAvailable 表示驱逐后仍然保证可用的 pod 数量。即使因此影响到 pod 驱逐(即该条件在和 pod 驱逐发生冲突时优先保证)。 minAvailable 值可以是绝对值,也可以是百分比。
  • .spec.maxUnavailable (Kubernetes 1.7 及更高的版本中可用)表示驱逐后允许不可用的 pod 的最大数量。 其值可以是绝对值或是百分比。
注意:

对于1.8及更早的版本:当你用 kubectl 命令行工具创建 PodDisruptionBudget对象时,如果既未指定 minAvailable 也未指定 maxUnavailable, 则 minAvailable 字段有一个默认值1。

用户在同一个 PodDisruptionBudget 中只能够指定 maxUnavailableminAvailable 中的一个。maxUnavailable 只能够用于控制存在相应控制器的 pod 的驱逐(即不受控制器控制的 pod 不在 maxUnavailable 控制范围内)。在下面的示例中, “所需副本” 指的是相应控制器的 scale, 控制器对 PodDisruptionBudget 所选择的 pod 进行管理。

示例 1:设置 minAvailable 值为 5 的情况下,驱逐时需保证 PodDisruptionBudget 的 selector 选中的 pod 中 5 个 或 5 个以上处于健康状态。

示例 2:设置 minAvailable 值为 30% 的情况下,驱逐时需保证 pod 所需副本的至少 30% 处于健康状态。

示例 3:设置 maxUnavailable 值为 5 的情况下,驱逐时需保证所需副本中最多 5 个处于不可用状态。

Example 4: With a maxUnavailable of 30%, evictions are allowed as long as no more than 30% of the desired replicas are unhealthy. 示例4: 设置 maxUnavailable 值为 30% 的情况下,驱逐时需保证所需副本中最多 30% 处于不可用状态。

在典型用法中,中断预算会被用于一个控制器管理的一组 pod 中——例如:一个 ReplicaSet 或 StatefulSet 中的 pod。

注意:

注意:中断预算并不能真正保证指定数量/百分比的 pod 一直处于运行状态。例如: 当 pod 集合的 规模处于预算指定的最小值时,承载集合中某个 pod 的节点发生了故障,这样就导致集合中可用 pod 的 数量低于预算指定值。预算只能够针对自发的驱逐提供保护,而不能针对所有 pod 不可用的诱因。

设置 maxUnavailable 值为 0% (或 0 )或设置 minAvailable 值为 100% (或等于副本数) 可能会 阻塞节点,导致资源耗尽。按照 PodDisruptionBudget 的语义,这是允许的。

用户可以在下面看到 pod 中断预算定义的示例,它们与带有 app: zookeeper 标签的 pod 相匹配:

使用 minAvailable 的PDB 示例:

policy/zookeeper-pod-disruption-budget-minavailable.yaml 
apiVersion: policy/v1beta1
kind: PodDisruptionBudget
metadata:
  name: zk-pdb
spec:
  minAvailable: 2
  selector:
    matchLabels:
      app: zookeeper

使用 maxUnavailable 的 PDB 示例(Kubernetes 1.7 或更高的版本):

policy/zookeeper-pod-disruption-budget-maxunavailable.yaml 
apiVersion: policy/v1beta1
kind: PodDisruptionBudget
metadata:
  name: zk-pdb
spec:
  maxUnavailable: 1
  selector:
    matchLabels:
      app: zookeeper

例如,如果上述 zk-pdb 选择的是一个规格为 3 的 StatefulSet 对应的 pod,那么上面两种规范的含义完全相同。 推荐使用 maxUnavailable ,因为它自动响应控制器副本数量的变化。

Create the PDB object

创建 PDB 对象

用户可以通过类似 kubectl create -f mypdb.yaml 的命令来创建 PDB。

PDB 对象无法更新,必须删除后重新创建。

Check the status of the PDB

检查 PDB 的状态

使用 kubectl 来确认 PDB 被创建。

假设用户的名字空间下没有匹配 app: zookeeper 的 pod,用户会看到类似下面的信息:

kubectl get poddisruptionbudgets
NAME      MIN-AVAILABLE   ALLOWED-DISRUPTIONS   AGE
zk-pdb    2               0                     7s

假设有匹配的 pod (比如说 3 个), 那么用户会看到类似下面的信息:

kubectl get poddisruptionbudgets
NAME      MIN-AVAILABLE   ALLOWED-DISRUPTIONS   AGE
zk-pdb    2               1                     7s

ALLOWED-DISRUPTIONS 值非 0 意味着中断控制器已经感知到相应的 pod, 对匹配的 pod 进行统计,并更新了 PDB 的状态。

用户可以通过以下命令获取更多 PDB 状态相关信息:

kubectl get poddisruptionbudgets zk-pdb -o yaml
apiVersion: policy/v1beta1
kind: PodDisruptionBudget
metadata:
  creationTimestamp: 2017-08-28T02:38:26Z
  generation: 1
  name: zk-pdb

status:
  currentHealthy: 3
  desiredHealthy: 3
  disruptedPods: null
  disruptionsAllowed: 1
  expectedPods: 3
  observedGeneration: 1

任意控制器和选择器

如果用户只使用与内置的应用控制器(Deployment、ReplicationController、ReplicaSet 和 StatefulSet) 对应的 PDB,也就是 PDB 的选择器与 控制器的选择器相匹配,那么可以跳过这一节。

用户可以使用这样的 PDB:它对应的 pod 可能由其他类型的控制器控制,可能由 “operator” 控制, 也可能为“裸的(不受控制器控制)” pod,但该类 PDB 存在以下限制:

  • only .spec.minAvailable can be used, not .spec.maxUnavailable.
  • only an integer value can be used with .spec.minAvailable, not a percentage.
  • 只能够使用 .spec.minAvailable ,而不能够使用 .spec.maxUnavailable。
  • 只能够使用整数作为 .spec.minAvailable 的值,而不能使用百分比。

用户可以令选择器选择一个内置控制器所控制 pod 的子集或父集。然而,当名字空间下存在多个 PDB 时, 用户必须小心,保证 PDB 的选择器之间不重叠。

反馈