Pod和容器的LimitRange原理和实践总结
一、背景介绍
通常情况下,Pod中的容器可以无限制的使用节点上的CPU和内存资源,在共享资源和资源有限的情况下,若不加以限制,某个集群或命名空间的资源可能会消耗殆尽,导致其他节点上优先级低的Pod发生驱逐、重新调度、重启等问题,因此针对资源限额需要有针对命名空间级别的使用限制,以及针对Pod和容器级别的使用限制,LimitRange就是在后者的背景下诞生的。
二、应用场景
1、适用对集群的某个命名空间中的容器设置默认的统一的request和limit值,配合Resource Quotas更好的实现命名空间级别的资源限额。
2、适用对单个Pod的CPU和内存资源限额控制,如实现Pod中所有容器CPUlimit之和不得超过某值。
3、适用对单个容器的CPU和内存资源限额控制,如实现容器的CPUlimit值不得超过某值。
三、实践
一、LimitRange设置默认request和limit
适用场景:适用对集群的某个命名空间中的容器设置默认的统一的request和limit值
【新建limitrange】
LimitRange针对某个namespace的Pod或容器的CPU和内存的默认值、request和limit值实现管控,因此限制的的范围是在namespace下,在创建LimitRange之前,先创建1个用于测试的namespace
kubectl create namespace limitrange-test-ns
[root@k8s-master limitrange]# kubectl get ns |grep limitrange-test-ns
limitrange-test-ns Active 78m
namespace创建成功后,在此命名空间下创建limitrange
[root@k8s-master limitrange]# ls
limitrange.yaml
[root@k8s-master limitrange]# cat limitrange.yaml
apiVersion: v1
kind: LimitRange
metadata:
name: mem-limit-range-test
namespace: limitrange-test-ns #指定命名空间
spec:
limits:
- default:
memory: 256Mi
defaultRequest:
memory: 128Mi
type: Container
kubectl apply -f limitrange.yaml
[root@k8s-master limitrange]# kubectl describe limitrange mem-limit-range-test -n limitrange-test-ns
Name: mem-limit-range-test
Namespace: limitrange-test-ns
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio
---- -------- --- --- --------------- ------------- -----------------------
Container memory - - 128Mi 256Mi -
[root@k8s-master limitrange]# kubectl describe ns limitrange-test-ns
Name: limitrange-test-ns
Labels: <none>
Annotations: <none>
Status: Active No resource quota. Resource Limits
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio
---- -------- --- --- --------------- ------------- -----------------------
Container memory - - 128Mi 256Mi -
可以看到已为limitrange-test-ns的命名空间下所有的容器设置了默认的request值和limit值,接下来看下在容器中是如何生效的
【容器limitrange生效验证】
1、容器未设置limit,且未设置request
[root@k8s-master limitrange]# cat container-limitrange.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-container-men-limit-test
spec:
containers:
- name: container-limlitrange-test
image: nginx:latest
imagePullPolicy: IfNotPresent
[root@k8s-master limitrange]# kubectl get pod -o wide -n limitrange-test-ns
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
pod-container-men-limit-test 1/1 Running 0 28s 10.122.235.216 k8s-master <none> <none>
[root@k8s-master limitrange]# curl 10.122.235.216:80
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
body {
width: 35em;
margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif;
}
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p> <p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p> <p><em>Thank you for using nginx.</em></p>
</body>
</html>
可以看到此Pod已经running,且业务正常,在创建此Pod容器部分并未设置默认值,但是Pod所在的命名空间有配置过默认的limitrange策略,验证下此策略是否生效到Pod的容器部分
spec:
containers:
- image: nginx:latest
imagePullPolicy: IfNotPresent
name: container-limlitrange-test
resources:
limits:
memory: 256Mi
requests:
memory: 128Mi
总结:容器未设置limit,且未设置request,则容器运行起来后的request和limit值默认与limitrange type为container设置的request和limit的保持一致。
2、容器中设置limit,但是未设置request
[root@k8s-master limitrange]# cat container-limitrange.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-container-men-limit-test
namespace: limitrange-test-ns
spec:
containers:
- name: container-limlitrange-test
image: nginx:latest
imagePullPolicy: IfNotPresent
resources:
limits:
memory: "500Mi"
只设置内存的limit值且大于limitrange设置的limit值
[root@k8s-master limitrange]# kubectl apply -f container-limitrange.yaml
pod/pod-container-men-limit-test created
[root@k8s-master limitrange]# kubectl get pod -n limitrange-test-ns
NAME READY STATUS RESTARTS AGE
pod-container-men-limit-test 1/1 Running 0 9s
[root@k8s-master limitrange]# kubectl get pod pod-container-men-limit-test -o json -n limitrange-test-ns
"spec": {
"containers": [
{
"image": "nginx:latest",
"imagePullPolicy": "IfNotPresent",
"name": "container-limlitrange-test",
"resources": {
"limits": {
"memory": "500Mi"
},
"requests": {
"memory": "500Mi"
}
},
"terminationMessagePath": "/dev/termination-log",
"terminationMessagePolicy": "File"
总结:容器中设置实际limit,但是未设置request,容器运行成功后request=实际limit
3、容器中未设置limit,但是设置request
[root@k8s-master limitrange]# cat container-limitrange.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-container-men-limit-test
namespace: limitrange-test-ns
spec:
containers:
- name: container-limlitrange-test
image: nginx:latest
imagePullPolicy: IfNotPresent
resources:
requests:
memory: "150Mi"
[root@k8s-master limitrange]# kubectl apply -f container-limitrange.yaml
pod/pod-container-men-limit-test created
[root@k8s-master limitrange]# kubectl get pod pod-container-men-limit-test -o json -n limitrange-test-ns
"spec": {
"containers": [
{
"image": "nginx:latest",
"imagePullPolicy": "IfNotPresent",
"name": "container-limlitrange-test",
"resources": {
"limits": {
"memory": "256Mi"
},
"requests": {
"memory": "150Mi"
}
},
"terminationMessagePath": "/dev/termination-log",
"terminationMessagePolicy": "File",
总结:容器中未设置limit,但是设置实际request,则容器运行起来后request=实际request,limit=limitrange.limit
二、Pod和容器的max、min、maxLimitRequestRatio
适用场景:控制容器或Pod的CPU或内存资源使用,如容器的CPU的request不得小于多少,limit不得大于多少,不满足条件则创建失败,先介绍下参数:
容器部分:
1、defaultRequest:容器默认的request值,若不指定request值,则默认为此值
2、max:容器的实际设置的limit值应小于等于此值
3、min:容器实际设置的request值应大于等于此值
4、maxLimitRequestRatio:Max Limit/Request Ratio,为容器CPU或内存的Limit/Request值应小于等于此值
Pod部分:
1、max:Pod中所有容器的实际设置的limit之和值应小于等于此值
2、min:Pod中所有容器实际设置的request值之和应大于等于此值
3、maxLimitRequestRatio:Max Limit/Request Ratio,为Pod中所有容器CPU或内存的Limit之和/Request之和值应小于等于此值
演示如下:
kubectl create namespace limitrange-02-test-ns
[root@k8s-master limitrange]# cat limitrange.yaml
apiVersion: v1
kind: LimitRange
metadata:
name: limitrange-test
namespace: limitrange-02-test-ns
spec:
limits:
- max:
cpu: 2000m
memory: 1000Mi
min:
cpu: 200m
memory: 6Mi
maxLimitRequestRatio:
cpu: 3
memory: 2
type: Pod
- default: #容器的默认limit值
cpu: 300m
memory: 200Mi
defaultRequest: #容器的默认request值
cpu: 200m
memory: 100Mi
max: #容器的limit值不得大于max
cpu: 1000m
memory: 500Mi
min: #容器的request的值不得小于min
cpu: 100m
memory: 3Mi
maxLimitRequestRatio: #容器的limit/request不得大于,如容器的CPU的limit/request不得大于4
cpu: 5
memory: 4
type: Container
kubectl apply -f container-02-limitrange.yaml
[root@k8s-master limitrange]# kubectl describe ns limitrange-02-test-ns
Name: limitrange-02-test-ns
Labels: <none>
Annotations: <none>
Status: Active No resource quota. Resource Limits
Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio
---- -------- --- --- --------------- ------------- -----------------------
Pod cpu 200m 2 - - 3
Pod memory 6Mi 1000Mi - - 2
Container cpu 100m 1 200m 300m 5
Container memory 3Mi 500Mi 100Mi 200Mi 4
可以看到设置的Pod和容器设置的max和min已经生效了,接下来验证下设置的策略是否生效,创建1个Pod的容器的内存limit值大于500Mi
[root@k8s-master limitrange]# cat container-02-limitrange.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-limitrange-test
namespace: limitrange-02-test-ns
spec:
containers:
- name: container-limlitrange-test
image: nginx:latest
imagePullPolicy: IfNotPresent
resources:
requests:
memory: "100Mi"
limits:
memory: "600Mi"
[root@k8s-master limitrange]# kubectl apply -f container-02-limitrange.yaml
Error from server (Forbidden): error when creating "container-02-limitrange.yaml": pods "pod-limitrange-test" is forbidden: [memory max limit to request ratio per Pod is 2, but provided ratio is 6.000000, maximum memory usage per Container is 500Mi, but limit is 600Mi, memory max limit to request ratio per Container is 4, but provided ratio is 6.000000]
提示容器的limit/request值为6大于4,且limit为600Mi大于设置最大max值500Mi,因此创建失败,在Pod只有1个容器的情况下podlimit/request值为6大于2,同样做下request值小于min值的测试
[root@k8s-master limitrange]# cat container-02-limitrange.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-limitrange-test
namespace: limitrange-02-test-ns
spec:
containers:
- name: container-limlitrange-test
image: nginx:latest
imagePullPolicy: IfNotPresent
resources:
requests:
memory: "1Mi" #小于min值
limits:
memory: "200Mi
[root@k8s-master limitrange]# kubectl apply -f container-02-limitrange.yaml
Error from server (Forbidden): error when creating "container-02-limitrange.yaml": pods "pod-limitrange-test" is forbidden: [minimum memory usage per Pod is 6Mi, but request is 1048576, memory max limit to request ratio per Pod is 2, but provided ratio is 200.000000, minimum memory usage per Container is 3Mi, but request is 1Mi, memory max limit to request ratio per Container is 4, but provided ratio is 200.000000]
提示容器request的值为1Mi小于min值3Mi,且limit/request=200大于4,同样不满足Pod的min为6和ratio,因此创建失败。
四、总结
本文描述了LimitRange的诞生背景、适用场景、以及具体如何实现和控制Pod、容器的资源限额,产品设计上主要考虑如下几点:
1、产品设计上需要方便用户低门槛快速设置默认request、limit值,配合Resource Quotas提供强大而稳定的K8S原生资源限额能力。
2、max、min、Limit/Request Ratio等功能如果开放给对K8S不了解的用户,门槛较高,若无意配置完成且生效,可能会导致容器的创建异常,且不知如何解决,是否直接开放需要认真考虑。
Pod和容器的LimitRange原理和实践总结的更多相关文章
- Docker容器的原理与实践(上)
本文来自网易云社区. 虚拟化 是一种资源管理技术,将计算机的各种资源予以抽象.转换后呈现出来, 打破实体结构间的不可切割的障碍,使用户可以比原本更好的方式来应用这些资源. Hypervisor 一种运 ...
- Docker容器的原理与实践 (下)
欢迎访问网易云社区,了解更多网易技术产品运营经验. Docker原理分析 Docker架构 镜像原理 镜像是一个只读的容器模板,含有启动docker容器所需的文件系统结构及内容Docker以镜像和在镜 ...
- kafka原理和实践(一)原理:10分钟入门
系列目录 kafka原理和实践(一)原理:10分钟入门 kafka原理和实践(二)spring-kafka简单实践 kafka原理和实践(三)spring-kafka生产者源码 kafka原理和实践( ...
- kafka原理和实践(二)spring-kafka简单实践
系列目录 kafka原理和实践(一)原理:10分钟入门 kafka原理和实践(二)spring-kafka简单实践 kafka原理和实践(三)spring-kafka生产者源码 kafka原理和实践( ...
- js原生的轮播,原理以及实践
轮播,无论是文字轮播还是图片轮播,他们的原理是一样的,都是通过定时器执行循环展示和影藏. 一.手动轮播 (1)原理 一系列的大小相等的图片平铺,利用CSS布局只显示一张图片,其余隐藏.通过计算偏移量利 ...
- kafka原理和实践(三)spring-kafka生产者源码
系列目录 kafka原理和实践(一)原理:10分钟入门 kafka原理和实践(二)spring-kafka简单实践 kafka原理和实践(三)spring-kafka生产者源码 kafka原理和实践( ...
- kafka原理和实践(四)spring-kafka消费者源码
系列目录 kafka原理和实践(一)原理:10分钟入门 kafka原理和实践(二)spring-kafka简单实践 kafka原理和实践(三)spring-kafka生产者源码 kafka原理和实践( ...
- kafka原理和实践(五)spring-kafka配置详解
系列目录 kafka原理和实践(一)原理:10分钟入门 kafka原理和实践(二)spring-kafka简单实践 kafka原理和实践(三)spring-kafka生产者源码 kafka原理和实践( ...
- 有符号数和无符号数------c++程序设计原理与实践(进阶篇)
有符号数与无符号数的程序设计原则: 当需要表示数值时,使用有符号数(如 int). 当需要表示位集合时,使用无符号数(如unsigned int). 有符号数和无符号数混合运算有可能会带来灾难性的后果 ...
随机推荐
- Kotlin 简单使用手册
在昨天和做android的前辈一番交谈后,觉得很惭愧,许多东西还只是知其然而不知其所以然,也深感自己的技术还太浅薄.以后要更加努力地学习,要着重学习原理.方法论,不能只停留在会用的阶段. 今天又要献丑 ...
- 使用ajax请求上传多个或者多个附件
jsp页面 <%@ page language="java" pageEncoding="UTF-8"%> <!DOCTYPE HTML> ...
- session在什么时候创建,以及session一致性问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/wowwilliam0/article/d ...
- Linux 时间同步 03 ntpdate时间同步
Linux 时间同步 03 ntpdate时间同步 目录 Linux 时间同步 03 ntpdate时间同步 安装ntpdate 修改/etc/sysconfig/ntpdate 使用ntpdate手 ...
- HTTP ERROR400的问题解决
今天写添加功能,在点添加提交时报了一个"HTTP ERROR 400"的错误,如图, 请求提交的代码死活跳转不到后台,郁闷中,开启debug功能,开始一步步排查, 1.先单独把跳转 ...
- node实现文件下载
1.引入fs const fs = require('fs') const path = reqire('path') 2.方法 const downloadFile = function (dest ...
- wdcp 安装
lanmp一键安装包是wdlinux官网2010年开始推出的lamp,lnmp,lnamp(apache,nginx,php,mysql,zend,eAccelerator,pureftpd)应用环境 ...
- 【.NET与树莓派】上手前的一些准备工作
.NET Iot 不是什么新鲜事物,百科很强大,故老周在此也不必多介绍.现在的时代和老周当年学 QBasic 的时代不同,那时候拉根电话线上网,下载速度只有可怜的 3.5 kb/s.而且还要去店里买上 ...
- http-请求和响应报文的构成
请求的构成: 1)请求方法URI协议/版本 2)请求头(Request Header) 3)请求正文 1)请求方法URI协议/版本 Request URL: http://localhost:8080 ...
- Loadrunner与kylinPET的能力对比测试--web动态请求
概述 在<性能测试工具选择策略--仿真度对比测评分析报告>一文详细分析了使用相同的web页面,分别使用LoadRunner,Jmeter,kylinTOP工具进行录制脚本并执行得出在静态请 ...