Kubernetes 准入控制

2023-11-07 19:04
文章标签 kubernetes 控制 准入

本文主要是介绍Kubernetes 准入控制,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

header-how-to-optimize-kubernetes-for-reliability-and-cos

Author:rab


目录

    • 前言
    • 一、限制范围
    • 二、配置案例
      • 2.1 名称空间 CPU 与内存约束
        • 2.1.1 CPU 约束
        • 2.1.2 内存约束
        • 2.1.3 默认 CPU 申请约束
        • 2.1.4 默认内存申请约束
      • 2.2 名称空间总容量限额约束
    • 总结


前言

LimitRange 是限制命名空间内可为每个适用的对象类别 (例如 Pod 或 PersistentVolumeClaim) 指定的资源分配量(限制和请求)的策略对象。默认情况下, Kubernetes 集群上的容器运行使用的计算资源没有限制。 使用 Kubernetes 资源配额, 管理员可以在一个指定的命名空间内限制集群资源的使用与创建。 在命名空间中,一个 Pod 最多能够使用命名空间的资源配额所定义的 CPU 和内存用量。

一个 LimitRange(限制范围) 对象提供的限制能够做到:

  • 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。
  • 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。
  • 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。
  • 设置一个命名空间中对计算资源的默认申请/限制值,并且自动的在运行时注入到多个 Container 中。

当某命名空间中有一个 LimitRange 对象时,将在该命名空间中实施 LimitRange 限制。

且 LimitRange 的名称必须是合法的 DNS 子域名,这一要求意味着名称必须满足如下规则:

  • 不能超过 253 个字符
  • 只能包含小写字母、数字,以及 ‘-’ 和 ‘.’
  • 必须以字母数字开头
  • 必须以字母数字结尾

官方参考文档:https://kubernetes.io/zh-cn/docs/concepts/policy/limit-range/

一、限制范围

  1. 管理员在一个命名空间内创建一个 LimitRange 对象。

  2. 用户在此命名空间内创建(或尝试创建) Pod 和 PersistentVolumeClaim 等对象。

  3. 首先,LimitRanger 准入控制器对所有没有设置计算资源需求的所有 Pod(及其容器)设置默认请求值与限制值。

  4. 其次,LimitRange 跟踪其使用量以保证没有超出命名空间中存在的任意 LimitRange 所定义的最小、最大资源使用量以及使用量比值。

  5. 若尝试创建或更新的对象(Pod 和 PersistentVolumeClaim)违反了 LimitRange 的约束, 向 API 服务器的请求会失败,并返回 HTTP 状态码 403 Forbidden 以及描述哪一项约束被违反的消息。

  6. 若你在命名空间中添加 LimitRange 启用了对 cpumemory 等计算相关资源的限制, 你必须指定这些值的请求使用量与限制使用量。否则,系统将会拒绝创建 Pod。

  7. LimitRange 的验证仅在 Pod 准入阶段进行,不对正在运行的 Pod 进行验证。 如果你添加或修改 LimitRange,命名空间中已存在的 Pod 将继续不变。

  8. 如果命名空间中存在两个或更多 LimitRange 对象,应用哪个默认值是不确定的。

二、配置案例

2.1 名称空间 CPU 与内存约束

我们可以通过 LimitRange 对象声明 CPU 的最小和最大值. 如果 Pod 不能满足 LimitRange 的限制,就无法在该命名空间中被创建。

2.1.1 CPU 约束

1、创建命名空间

创建一个命名空间,以便本练习中创建的资源和集群的其余部分相隔离。

kubectl create namespace constraints-cpu-example

2、创建 LimitRange

vim cpu-constraints.yaml
apiVersion: v1
kind: LimitRange
metadata:name: cpu-min-max-demo-lr
spec:limits:- max:cpu: "800m"min:cpu: "200m"type: Container
kubectl apply -f cpu-constraints.yaml -n constraints-cpu-example
kubectl get limitrange cpu-min-max-demo-lr --output=yaml -n constraints-cpu-example

image-20231107143848149

输出结果显示 CPU 的最小和最大限制符合预期。但需要注意的是,尽管你在 LimitRange 的配置文件中你没有声明默认值,默认值也会被自动创建(且默认为你设置的 max 值)。

此时,每当你在 constraints-cpu-example 命名空间中创建 Pod 时,或者某些其他的 Kubernetes API 客户端创建了等价的 Pod 时,Kubernetes 就会执行下面的步骤:

  • 如果 Pod 中的任何容器未声明自己的 CPU 请求和限制,控制面将为该容器设置默认的 CPU 请求和限制。
  • 确保该 Pod 中的每个容器的 CPU 请求至少 200 millicpu(否则创建失败)。
  • 确保该 Pod 中每个容器 CPU 请求不大于 800 millicpu(否则创建失败)。

接下来继续创建 Pod 进行测试。

3、创建 Pod

vim cpu-constraints-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: constraints-cpu-demo
spec:containers:- name: constraints-cpu-demo-ctrimage: nginxresources:limits:cpu: "800m"requests:cpu: "500m"
kubectl apply -f cpu-constraints-pod.yaml -n constraints-cpu-example

4、验证 Pod 状态(确保健康)

kubectl get pod constraints-cpu-demo --namespace=constraints-cpu-example

image-20231107144339031

5、查看 Pod 的详情

kubectl get pod constraints-cpu-demo --output=yaml --namespace=constraints-cpu-example

image-20231107144434020

输出结果显示该 Pod 的容器的 CPU 请求为 500 millicpu,CPU 限制为 800 millicpu,这些参数满足 LimitRange 规定的限制范围。

Pod 异常情况分析:

Pod 的 limits 及 requests 的值只要在 LimitRange 的范围内时可正常运行,那如果超过这两个参数值超过 LimitRange 范围(即不再该范围)时又会怎么样呢?这里我们分三种情况来测试一下:超过最大 CPU 限制(limits)不满足最小 CPU 请求(requests)一个没有声明 CPU 请求和 CPU 限制的 Pod

1、超过最大 CPU 限制(limits)的 Pod

这里 Pod 的 limits 值超过 LimitRange 的 max 最大值。

vim cpu-constraints-pod-2.yaml
apiVersion: v1
kind: Pod
metadata:name: constraints-cpu-demo-2
spec:containers:- name: constraints-cpu-demo-2-ctrimage: nginxresources:limits:cpu: "1.5"requests:cpu: "500m"
kubectl apply -f cpu-constraints-pod-2.yaml --namespace=constraints-cpu-example

输出结果:

image-20231107150029113

Error from server (Forbidden): error when creating "cpu-constraints-pod-2.yaml": pods "constraints-cpu-demo-2" is forbidden: maximum cpu usage per Container is 800m, but limit is 1500m.

输出结果表明 Pod 没有创建成功,因为其中定义了一个无法被接受的容器,该容器之所以无法被接受是因为其中设定了过高的 CPU 限制值(即超过了 LimitRange 指定的 CPU 最大值)。

2、满足最小 CPU 请求(requests)的 Pod

这里 Pod 的 limits 值小于 LimitRange 的 min 最小值。

vim cpu-constraints-pod-3.yaml
apiVersion: v1
kind: Pod
metadata:name: constraints-cpu-demo-3
spec:containers:- name: constraints-cpu-demo-3-ctrimage: nginxresources:limits:cpu: "800m"requests:cpu: "100m"
kubectl apply -f cpu-constraints-pod-3.yaml --namespace=constraints-cpu-example

image-20231107150918321

输出结果同样显示 Pod 没有创建成功,因为其中定义了一个无法被接受的容器。 该容器无法被接受的原因是其中所设置的 CPU 请求小于最小值的限制(即不满足 LimitRange 指定的 CPU 最小请求值)。

3、创建一个没有声明 CPU 请求和 CPU 限制的 Pod

这里的 Pod 没有设置 limits。

vim cpu-constraints-pod-4.yaml
apiVersion: v1
kind: Pod
metadata:name: constraints-cpu-demo-4
spec:containers:- name: constraints-cpu-demo-4-ctrimage: vish/stress
kubectl apply -f cpu-constraints-pod-4.yaml --namespace=constraints-cpu-example

查看 Pod 的详情:

kubectl get pod constraints-cpu-demo-4 --namespace=constraints-cpu-example --output=yaml

image-20231107152319891

输出结果显示 Pod 的唯一容器的 CPU 请求为 800 millicpu,CPU 限制为 800 millicpu。因此,如果容器没有声明自己的 CPU 请求和限制, 控制面会根据命名空间中配置 LimitRange 设置默认(default)的 CPU 请求和限制。

2.1.2 内存约束

1、创建命名空间

创建一个命名空间,以便本练习中创建的资源和集群的其余部分相隔离。

kubectl create namespace constraints-mem-example

2、创建 LimitRange

vim memory-constraints.yaml
apiVersion: v1
kind: LimitRange
metadata:name: mem-min-max-demo-lr
spec:limits:- max:memory: 1Gimin:memory: 500Mitype: Container
kubectl apply -f memory-constraints.yaml --namespace=constraints-mem-example

查看 LimitRange 的详情:

kubectl get limitrange mem-min-max-demo-lr --namespace=constraints-mem-example --output=yaml

image-20231107153154899

输出显示预期的最小和最大内存约束。 但请注意,即使你没有在 LimitRange 的配置文件中指定默认值,默认值也会自动生成(且默认值是你 LimitRange 中的 max 值)。

现在,每当在 constraints-mem-example 命名空间中创建 Pod 时,Kubernetes 就会执行下面的步骤:

  • 如果 Pod 中的任何容器未声明自己的内存请求和限制,控制面将为该容器设置默认的内存请求和限制。
  • 确保该 Pod 中的每个容器的内存请求至少 500 MiB。
  • 确保该 Pod 中每个容器内存请求不大于 1 GiB。

以下为包含一个容器的 Pod 清单。该容器声明了 600 MiB 的内存请求和 800 MiB 的内存限制, 这些满足了 LimitRange 施加的最小和最大内存约束。

案例效果与 CPU 约束基本上是一致的,你就是说你的 Pod 也是不能小于或超过 LimitRange 范围值,否则 Pod 将创建失败,这里就不再演示了,大家可去看官方文档。

2.1.3 默认 CPU 申请约束

前面也提到了,当我们创建 LimitRange 资源并指定 CPU max/min 值时,会自动为我们添加上默认的 CPU 约束值(即 default 和 defaultRequest 值)且是将 max 值作为默认值,如下图:

image-20231107143848149

那这两个值有什么用呢?

我们前面提到,如果创建的 Pod 没有指定约束,那 K8s 控制面板就会将 LimitRange 的 default 和 defaultRequest 值应用到 Pod 上。当然了,前提是你已经配置了 LimitRange,否则默认情况下 K8s 集群对 Pod 的资源(CPU/内存)是没有限制的。

案例也是一样,这里不再重复案例演示。

这里要注意的就是一下几种情况:

1、没有声明容器的限制(limits)和请求(requests)

此时 Pod 的 limits 和 requests 值就是 LimitRange 的 default 和 defaultRequest 值。

2、只声明容器的限制(limits)而不声明请求(requests)

此时 Pod 的 limits 和 requests 值就是你当前声明的值 limits。

3、只声明容器的请求(requests)而不声明限制(limits)

此时 Pod 的 limits 值为你 LimitRange 的 default 值,requests 值就是你当前声明的 requests 值。

因此不难总结出 LimitRange 的 limits 的作用:

  • default:在 Pod 没有指定 limits 约束时的 limits 值;

  • defaultRequest:在 Pod 没有指定 requests 约束时的 requests 值;

  • max:在 Pod 指定了 limits 约束时不能超过的最大值;

  • min:在 Pod 指定了 requests 约束时不能小于的最最值;

而且也要记住,你指定的 Pod 值也是不能超过 LimitRange 默认值范围。

2.1.4 默认内存申请约束

前面也提到了,当我们创建 LimitRange 资源并指定内存 max/min 值时,会自动为我们添加上默认的内存约束值(即 default 和 defaultRequest 值)且是将 max 值作为默认值,如下图:

image-20231107153154899

那这两个值有什么用呢?

同理,当创建的 Pod 没有指定约束时,那 K8s 控制面板就会将 LimitRange 的 default 和 defaultRequest 值应用到 Pod 上。

案例也是一样,这里不再重复案例演示。

这里要注意的就是一下几种情况:

1、没有声明容器的限制(limits)和请求(requests)

此时 Pod 的 limits 和 requests 值就是 LimitRange 的 default 和 defaultRequest 值。

2、只声明容器的限制(limits)而不声明请求(requests)

此时 Pod 的 limits 和 requests 值就是你当前声明的值 limits。

3、只声明容器的请求(requests)而不声明限制(limits)

此时 Pod 的 limits 值为你 LimitRange 的 default 值,requests 值就是你当前声明的 requests 值。

因此不难总结出 LimitRange 的 limits 的作用:

  • default:在 Pod 没有指定 limits 约束时的 limits 值;

  • defaultRequest:在 Pod 没有指定 requests 约束时的 requests 值;

  • max:在 Pod 指定了 limits 约束时不能超过的最大值;

  • min:在 Pod 指定了 requests 约束时不能小于的最最值;

而且也要记住,你指定的 Pod 值也是不能超过 LimitRange 默认值范围。

2.2 名称空间总容量限额约束

以上的案例都是使用 LimitRange 对 namespace 中某个 Pod 的 CPU、内存资源约束,当我们希望控制单个名字空间总的可以消耗多少存储空间、CPU、内存以控制成本时,我们就可以使用名称空间存储容量约束-StorageQuota。

而存储约束无非就这几个方面:

  1. 名字空间中持久卷申领(persistent volume claims)的数量
  2. 每个申领(claim)可以请求的存储量
  3. 名字空间可以具有的累计存储量

1、创建命名空间

创建一个命名空间,以便本练习中创建的资源和集群的其余部分相隔离。

kubectl create namespace quota-mem-cpu-example

2、创建 LimitRange

vim quota-mem-cpu.yaml
apiVersion: v1
kind: ResourceQuota
metadata:name: mem-cpu-demo
spec:hard:requests.cpu: "1"requests.memory: 1Gilimits.cpu: "2"limits.memory: 2Gi
kubectl apply -f quota-mem-cpu.yaml --namespace=quota-mem-cpu-example

查看 ResourceQuota 详情:

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

image-20231107165339685

ResourceQuota 在 quota-mem-cpu-example 命名空间中设置了如下要求:

  • 在该命名空间中的每个 Pod 的所有容器都必须要有内存请求和限制,以及 CPU 请求和限制。
  • 在该命名空间中所有 Pod 的内存请求总和不能超过 1 GiB。
  • 在该命名空间中所有 Pod 的内存限制总和不能超过 2 GiB。
  • 在该命名空间中所有 Pod 的 CPU 请求总和不能超过 1 cpu。
  • 在该命名空间中所有 Pod 的 CPU 限制总和不能超过 2 cpu。

3、创建 Pod

vim quota-mem-cpu-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: quota-mem-cpu-demo
spec:containers:- name: quota-mem-cpu-demo-ctrimage: nginxresources:limits:memory: "800Mi"cpu: "800m"requests:memory: "600Mi"cpu: "400m"
kubectl apply -f quota-mem-cpu-pod.yaml --namespace=quota-mem-cpu-example

查看 Pod 状态:

kubectl get pod quota-mem-cpu-demo --namespace=quota-mem-cpu-example

image-20231107165734288

再次查看 ResourceQuota 的详情:

kubectl get resourcequota mem-cpu-demo --namespace=quota-mem-cpu-example --output=yaml

image-20231107165825218

输出结果显示了配额以及有多少配额已经被使用,你可以看到 Pod 的内存和 CPU 请求值及限制值没有超过配额。

如果我们再继续创建一个 Pod,如下:

vim quota-mem-cpu-pod-2.yaml
apiVersion: v1
kind: Pod
metadata:name: quota-mem-cpu-demo-2
spec:containers:- name: quota-mem-cpu-demo-2-ctrimage: redisresources:limits:memory: "1Gi"cpu: "800m"requests:memory: "700Mi"cpu: "400m"
kubectl apply -f quota-mem-cpu-pod-2.yaml --namespace=quota-mem-cpu-example

image-20231107170437885

报错了,为什呢?因为在 quota-mem-cpu-example 名称空间中,内存请求与已经使用的内存请求之和超过了内存请求的配额:600 MiB + 700 MiB > 1 GiB

总结

1、LimitRange

  • 用于对 namespace 中的 Pod 的 CPU、内存约束;
  • 默认情况下 K8s 集群对 Pod 是没有约束的(即没有 LimitRange);
  • 当对 namespace 进行准入控制时,在该 namespace 中的 Pod 需遵循 namespace 中的约束。

2、StorageQuota

  • 用于限制某个 namespace 总的限额(即该 namespace 中的所有的 Pod 资源的 CPU、内存、存储不能超过指定的限额)。

—END

这篇关于Kubernetes 准入控制的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/365671

相关文章

Python实现局域网远程控制电脑

《Python实现局域网远程控制电脑》这篇文章主要为大家详细介绍了如何利用Python编写一个工具,可以实现远程控制局域网电脑关机,重启,注销等功能,感兴趣的小伙伴可以参考一下... 目录1.简介2. 运行效果3. 1.0版本相关源码服务端server.py客户端client.py4. 2.0版本相关源码1

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

什么是Kubernetes PodSecurityPolicy?

@TOC 💖The Begin💖点点关注,收藏不迷路💖 1、什么是PodSecurityPolicy? PodSecurityPolicy(PSP)是Kubernetes中的一个安全特性,用于在Pod创建前进行安全策略检查,限制Pod的资源使用、运行权限等,提升集群安全性。 2、为什么需要它? 默认情况下,Kubernetes允许用户自由创建Pod,可能带来安全风险。

容器编排平台Kubernetes简介

目录 什么是K8s 为什么需要K8s 什么是容器(Contianer) K8s能做什么? K8s的架构原理  控制平面(Control plane)         kube-apiserver         etcd         kube-scheduler         kube-controller-manager         cloud-controlle

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

控制反转 的种类

之前对控制反转的定义和解释都不是很清晰。最近翻书发现在《Pro Spring 5》(免费电子版在文章最后)有一段非常不错的解释。记录一下,有道翻译贴出来方便查看。如有请直接跳过中文,看后面的原文。 控制反转的类型 控制反转的类型您可能想知道为什么有两种类型的IoC,以及为什么这些类型被进一步划分为不同的实现。这个问题似乎没有明确的答案;当然,不同的类型提供了一定程度的灵活性,但

深入解析秒杀业务中的核心问题 —— 从并发控制到事务管理

深入解析秒杀业务中的核心问题 —— 从并发控制到事务管理 秒杀系统是应对高并发、高压力下的典型业务场景,涉及到并发控制、库存管理、事务管理等多个关键技术点。本文将深入剖析秒杀商品业务中常见的几个核心问题,包括 AOP 事务管理、同步锁机制、乐观锁、CAS 操作,以及用户限购策略。通过这些技术的结合,确保秒杀系统在高并发场景下的稳定性和一致性。 1. AOP 代理对象与事务管理 在秒杀商品

kubernetes集群部署Zabbix监控平台

一、zabbix介绍 1.zabbix简介 Zabbix是一个基于Web界面的分布式系统监控的企业级开源软件。可以监视各种系统与设备的参数,保障服务器及设备的安全运营。 2.zabbix特点 (1)安装与配置简单。 (2)可视化web管理界面。 (3)免费开源。 (4)支持中文。 (5)自动发现。 (6)分布式监控。 (7)实时绘图。 3.zabbix的主要功能