关于K8s中资源配置范围管理(LimitRange)的一些笔记
写在前面
- 分享一些
K8s中LimitRange的笔记 - 博文内容涉及:
LimitRange简单介绍LimitRange资源对象创建使用准入检查和资源约束的一些 Demo
- 理解不足小伙伴帮忙指正
跳出童年时代吧,朋友,觉醒呵! — J.J. 卢梭
LimitRange 介绍
在默认情况下,Kubernetes 不会对 Pod 做 CPU 和内存等资源限制,即 Kubernetes 系统中任何 Pod 都可以使用其所在节点的所有可用的CPU和内存。
通过配置 Pod 的计算资源 Requests和 Limits,我们可以限制 Pod 的资源使用,配置最高要求和最低要求。
但对于 Kubernetes 集群管理员而言,为每一个 Pod 配置 Requests和Limits 是麻烦的,同时维护特别的不方便。需要考虑如何确保一个 Pod 不会垄断命名空间内所有可用的资源。
更多时候,我们需要对集群内Requests和Limits的配置做一个全局限制。这里就要用到 Limitrange ,LimitRange 用来限制命名空间内 适用的对象类别 (例如 Pod 或 PersistentVolumeClaim) 指定的资源分配量(限制和请求)的一个策略对象。对 Pod 和容器的 Requests 和 Limits 配置做进一步做出限制。
LimitRange 可以做什么:
- 在一个
命名空间中实施对每个Pod 或 Container最小和最大的资源使用量的限制。 - 在一个
命名空间中实施对每个PersistentVolumeClaim能申请的最小和最大的存储空间大小的限制。 - 在一个
命名空间中实施对一种资源的申请值和限制值的比值的控制。 - 设置一个
命名空间中对计算资源的默认申请/限制值,并且自动的在运行时注入到多个Container中。 - 当某命名空间中有一个
LimitRange对象时,会在该命名空间中实施LimitRange限制。
LimitRange 的名称必须是合法的 DNS 子域名。
资源限制和请求的约束
管理员在一个命名空间内创建一个 LimitRange 对象。 用户在此命名空间内创建(或尝试创建) Pod 和 PersistentVolumeClaim 等对象。
首先,LimitRanger 准入控制器对所有没有设置计算资源需求的所有 Pod(及其容器)设置默认请求值与限制值。也就是(limits 和 Request)
其次,LimitRange 跟踪其使用量 以保证没有超出命名空间中存在的任意 LimitRange 所定义的最小、最大资源使用量以及使用量比值。
若尝试创建或更新的对象(Pod 和 PersistentVolumeClaim)违反了 LimitRange 的约束, 向 API 服务器的请求会失败,并返回 HTTP 状态码 403 Forbidden以及描述哪一项约束被违反的消息。
若你在命名空间中添加 LimitRange 启用了对 cpu 和 memory 等计算相关资源的限制(Max,Min), 你必须指定这些值的请求使用量 requests 与限制使用量 limits ,否则,系统将会拒绝创建 Pod,除非在 LimitRange 定义 默认的 ( limits 和 requests )。
LimitRange 的 验证仅在 Pod 准入阶段进行,不对正在运行的 Pod 进行验证。 如果你添加或修改 LimitRange,命名空间中已存在的 Pod 将继续不变。
如果命名空间中存在两个或更多 LimitRange 对象,应用哪个默认值是不确定的。
创建 LimitsRange 对象
将 LimitsRange 应用到一个 Kubernetes 的命名空间中,需要先定义一个 LimitRange ,定义最大及最小范围、Requests 和 Limits 的 默认值、Limits 与 Requests 的最大比例上限等。
创建一个命名空间
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl create ns limitrange-examplenamespace/limitrange-example created┌──[root@vms81.liruilongs.github.io]-[/]└─$vim limit.yaml编写一个 LimitRange ,并运行
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f limit.yaml -n limitrange-examplelimitrange/mylimits created查看状态
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl get limitRange -n limitrange-exampleNAMECREATED ATmylimits 2022-11-06T17:56:20Z资源文件信息
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat limit.yamlapiVersion: v1kind: LimitRangemetadata: name: mylimitsspec: limits: - max: cpu: "4" memory: 2Gi min: cpu: 200m memory: 6Mi maxLimitRequestRatio: cpu: 3 memory: 2 type: Pod - default: cpu: 300m memory: 200Mi defaultRequest: cpu: 200m memory: 100Mi max: cpu: "2" memory: 1Gi min: cpu: 100m #0.1C memory: 3Mi maxLimitRequestRatio: cpu: 5 memory: 4 type: Container上面的 资源文件是相对全的一个资源文件的定义,查看定义的详细信息
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitRange mylimits -n limitrange-exampleName:mylimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Pod cpu200m 4 - -3Pod memory 6Mi 2Gi - -2Container cpu100m 2 200m 300m 5Container memory 3Mi 1Gi 100Mi 200Mi 4┌──[root@vms81.liruilongs.github.io]-[/]└─$在定义 LimitRange 时,当 LimitRange 中 container 类型限制没有指定 Limits 和 Requests 的默认值时,会使用 Man 作为默认值
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat limit-Max.yamlapiVersion: v1kind: LimitRangemetadata: name: mylimitsspec: limits: - max: cpu: "2" memory: 1Gi min: cpu: 100m memory: 3Mi type: Container┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f limit-Max.yaml -n limitrange-examplelimitrange/mylimits created┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitranges mylimits -n limitrange-exampleName:mylimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Container cpu100m 2 2 2-Container memory 3Mi 1Gi 1Gi1Gi -具体的属性解释
在 LimitRange 中整体分为两部分,pod 部分和 Container(容器) 部分,Pod 和 Container 都可以设置 Min、Max和 Max Limit/Requests Ratio参数。分别来看下,
对于容器部分:
不同的是 Container 还可以设置 Default Request 和 Default Limit 参数,而 Pod 不能设置 Default Request和 Default Limit 参数。
- Container 的 Min (100m 和 3Mi)是 Pod 中所有容器的 Requests 值下限,即创建 pod 等资源时,申请值 Requests 的值不能低于 Min 的值,否则提示违反约束
- Container 的 Max (2C 和 1Gi)是 Pod 中所有容器的 Limits 值上限,同理, 限制 资源使用 Limits 不能超过 2000m、 1Gi( 二进制的字节表示) ;
- Container 的 Default Request (200m 和 100Mi)是 Pod 中所有未指定 Requests 值的容器的默认 Requests 值;
- Container 的 Default Limit (300m 和 200Mi)是 Pod 中所有未指定 Limits 值的容器的默认 Limits 值。
- Container 的 Max Limit/Requests Ratio (5 和 4)限制了 Pod 中所有容器的 Limits 值与 Requests 值的比例上限;
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------..............Container cpu100m 2 200m 300m 5Container memory 3Mi 1Gi 100Mi 200Mi 4当创建的容器未指定 Requests 值或者 Limits 值时,将使用 Container 的 Default Request 值或者 Default Limit 值。
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitranges mylimits -n limitrange-exampleName:mylimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Container cpu100m 2 200m 300m 5Container memory 3Mi 1Gi 100Mi 200Mi 4┌──[root@vms81.liruilongs.github.io]-[/]└─$cat pod1.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}┌──[root@vms81.liruilongs.github.io]-[/]└─$没有指定时,会使用默认值
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl get pods pod-demo -n limitrange-example -o json | jq .spec.containers[0].resources{ "limits": { "cpu": "300m", "memory": "200Mi" }, "requests": { "cpu": "200m", "memory": "100Mi" }}对于同一资源类型,这 4 个参数必须满足以下关系:Min ≤ Default Request ≤ Default Limit ≤ Max。
对于 Pod 部分:
这里需要注意的但是容器的总和:
- Pod 的 Min(200m 和 6Mi)是 Pod 中所有容器的 Requests 值的
总和下限; - Pod 的 Max(4 和 2Gi)是 Pod 中所有容器的 Limits 值的
总和上限。 - Pod 的 Max Limit/Requests Ratio (3 和 2)限制了 Pod 中所有容器的 Limits 值总和与 Requests 值总和的比例上限。
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Pod cpu200m 4 - -3Pod memory 6Mi 2Gi - -2........对于任意一个 Pod 而言,该 Pod 中所有容器的 Requests 总和必须大于或等于 6MiB,而且所有容器的 Limits 总和必须小于或等于 1GiB;同样,所有容器的 CPU Requests 总和必须大于或等于 200m,而且所有容器的 CPU Limits 总和必须小于或等于 2。
- Pod 里任何容器的 Limits 与 Requests 的比例都不能超过
Container 的 Max Limit/Requests Ratio - Pod 里所有容器的 Limits 总和与 Requests 的总和的比例不能超过
Pod 的 Max Limit/Requests Ratio
准入检查 Demo
当前的 LimitRange 定义为:
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Pod cpu200m 4 - -3Pod memory 6Mi 2Gi - -2Container cpu100m 2 200m 300m 5Container memory 3Mi 1Gi 100Mi 200Mi 4当容器中定义的申请的最小 request 值 大于 LimitRange 默认定义的限制资源 limits 的值时,是无法调度的。在上面定义了 Limitrange 的命名空间内创建一个 pod, 没有指定 limits 所以使用默认的 limits 值,但是默认的 limits 值 300m 小于当前 容器的值
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$cat pod-demo-limitrange.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: requests: cpu: 500m dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}申请的最小值大于默认的最大值,显然不符合逻辑,所以 pod 无法调度创建,
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl apply -f pod-demo-limitrange.yaml -n limitrange-exampleThe Pod "pod-demo" is invalid: spec.containers[0].resources.requests: Invalid value: "500m": must be less than or equal to cpu limit如果同时设置了 requests 和 limits,那么 limits 不使用默认值
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$cat pod-demo-limitrange.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: requests: cpu: 500m limits: cpu: 800m dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}新 Pod 会被成功调度,但是这里需要注意的是, requests 和 limits 要符合 Limitrange 中 容器的MAX,MIN配置
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl apply -f pod-demo-limitrange.yaml -n limitrange-examplepod/pod-demo created┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl get pods -n limitrange-exampleNAMEREADY STATUS RESTARTS AGEpod-demo 1/1 Running 0 11sMax 限制 ,当 Limits 大于 Max 值时,Pod 不会创建成功, 我的定义如下一个 LimiRanga 的资源对象
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitranges -n limitrange-example mylimitsName:mylimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Container cpu100m 2 2 2-Container memory 3Mi 1Gi 1Gi1Gi -┌──[root@vms81.liruilongs.github.io]-[/]└─$当前的命名空间限制 容器 Limits CUP 大小为 2C ,这里创建一个 3C 的 容器来看下
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat pod1.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: limits: cpu: '3' dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}┌──[root@vms81.liruilongs.github.io]-[/]└─$创建失败,提示不满足准入规则
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f pod1.yaml -n limitrange-exampleError from server (Forbidden): error when creating "pod1.yaml": pods "pod-demo" is forbidden: maximum cpu usage per Container is 2, but limit is 3** Max Limit/Request Ratio 限制** ,当 Limit/Request 的比值 超过 Max Limit/Request Ratio 时调度失败
定义如下一个 LimitRange :
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat limit-Ratio.yamlapiVersion: v1kind: LimitRangemetadata: name: mylimitsspec: limits: - max: cpu: "4" memory: 2Gi min: cpu: 200m memory: 6Mi maxLimitRequestRatio: cpu: 3 memory: 2 type: Pod┌──[root@vms81.liruilongs.github.io]-[/]└─$vim limit-Ratio.yaml┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f limit-Ratio.yaml -n limitrange-examplelimitrange/mylimits configured生成的 规则如下:
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitranges -n limitrange-example mylimitsName:mylimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Pod cpu200m 4 - -3Pod memory 6Mi 2Gi - -2┌──[root@vms81.liruilongs.github.io]-[/]└─$可以看到 限制 pod 中 cpu 的 Max Limit/Request Ratio 比值 为 3,即 Requests 是 Limits 的 3 倍,最大和小之间最多可以相差 2 个单位
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat pod1.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: limits: cpu: '4' requests: cpu: '1' dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}我们创建这样一个 pod ,cpu 总和 最大和最小相差 3 个单位,Requests 是 Limits 的 4 倍
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f pod1.yaml -n limitrange-exampleError from server (Forbidden): error when creating "pod1.yaml": pods "pod-demo" is forbidden: [minimum memory usage per Pod is 6Mi. No request is specified, maximum memory usage per Pod is 2Gi. No limit is specified, cpu max limit to request ratio per Pod is 3, but provided ratio is 4.000000, memory max limit to request ratio per Pod is 2, but no request is specified or request is 0]┌──[root@vms81.liruilongs.github.io]-[/]└─$可以看到提示准入规则校验失败。相差了 4 倍不符合要求
Pod 的 Limits 和 Requests 限制,当设置了 Pod 的 Max 和 Min 、Max Limit/Request Ratio 时,如果没有定义对应的 Limits 和 Requests ,则创建失败.
还使用之前的 Limitrange,
Namespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Pod cpu200m 4 - -3Pod memory 6Mi 2Gi - -2创建一个 pod ,只定义 cpu 的相关属性,没有定义 memory 相关属性
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat pod1.yamlapiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod-demo name: pod-demospec: containers: - image: nginx imagePullPolicy: IfNotPresent name: pod-demo resources: limits: cpu: '4' requests: cpu: '1' dnsPolicy: ClusterFirst restartPolicy: Alwaysstatus: {}Limitrange 中定义了 Max 所以必须要设置 Limit ,设置了 Min ,需要设置 Request。
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f pod1.yaml -n limitrange-exampleError from server (Forbidden): error when creating "pod1.yaml": pods "pod-demo" is forbidden: [minimum memory usage per Pod is 6Mi. No request is specified, maximum memory usage per Pod is 2Gi. No limit is specified, memory max limit to request ratio per Pod is 2, but no request is specified or request is 0]创建失败 ,提示,没有内存相关的资源限制定义
资源约束 Demo
为命名空间配置 CPU 最小和最大约束
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl create namespace constraints-cpu-examplenamespace/constraints-cpu-example created┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$vim cpu-constraints.yaml┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl apply -f cpu-constraints.yaml -n constraints-cpu-examplelimitrange/cpu-min-max-demo-lr created创建 LimitRange yaml 文件
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$ cat cpu-constraints.yamlapiVersion: v1kind: LimitRangemetadata: name: cpu-min-max-demo-lrspec: limits: - max: cpu: "800m" min: cpu: "200m" type: Container┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$输出结果显示 CPU 的最小和最大限制符合预期。但需要注意的是,尽管你在 LimitRange 的配置文件中你没有声明默认值,默认值也会被自动创建。默人资源限制为 limits 和 requests 都是 max 的值
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl describe limitrange cpu-min-max-demo-lr -n constraints-cpu-exampleName:cpu-min-max-demo-lrNamespace: constraints-cpu-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Container cpu200m 800m 800m 800m -┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$创建一个不定义 资源限制 pod
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl run pod-demo-limitrange --image=nginx --image-pull-policy=IfNotPresent -n constraints-cpu-examplepod/pod-demo-limitrange created┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl get pods -n constraints-cpu-exampleNAME READY STATUS RESTARTS AGEpod-demo-limitrange 1/1 Running 0 30s可以看到使用了默认值,当前 pod 的 limits 值为 800m,requests 值为 800m,即最少为 800m pod 才能被调度,超过 800m 。pod 被 kill
┌──[root@vms81.liruilongs.github.io]-[~/ansible/k8s-pod-create]└─$kubectl get pods pod-demo-limitrange -n constraints-cpu-example -o json | jq .spec.containers[0].resources{ "limits": { "cpu": "800m" }, "requests": { "cpu": "800m" }}这里的 demo 官网文档有比较全面的描述, 感兴趣小伙伴可以看看,https://kubernetes.io/zh-cn/docs/concepts/policy/limit-range/ ,这里不多介绍
最后看下 使用 LimitRange 限制 PVC 的使用
┌──[root@vms81.liruilongs.github.io]-[/]└─$cat limit-pvc.yamlapiVersion: v1kind: LimitRangemetadata: name: storagelimitsspec: limits: - type: PersistentVolumeClaim max: storage: 2Gi min: storage: 1Gi定义资源,查看限制信息
┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl apply -f limit-pvc.yaml -n limitrange-examplelimitrange/storagelimits created┌──[root@vms81.liruilongs.github.io]-[/]└─$kubectl describe limitranges -n limitrange-exampleName: storagelimitsNamespace: limitrange-exampleType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------PersistentVolumeClaim storage 1Gi 2Gi - --┌──[root@vms81.liruilongs.github.io]-[/]└─$关于 Limitrange 资源对象和小伙伴们分享到这样,之前会分享 资源配额管理 Resource Quotas 的一些笔记, 生活加油哦 ^_^
博文参考
《Kubernetes 权威指南 第四版 》
https://kubernetes.io/zh-cn/docs/concepts/policy/limit-range/