K8s: 在Pod里面对容器进行配额管理和相关原理

2024-04-19 14:20
文章标签 进行 云原生 管理 原理 k8s 相关 容器 里面 pod 配额

本文主要是介绍K8s: 在Pod里面对容器进行配额管理和相关原理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Pod里面对容器进行配额管理

  • 在生产环境中,内存占用通常很大,如果里面有死循环,会导致内存和cpu过大导致影响其他pod运行资源

  • 需要让资源在受控的环境下运行,一般都是加上 resources limits 的配置才能达到最佳实践

  • 默认cpu是0.5个cpu, 一般定义的时候参数是最高的门槛,不会超过这个设置

  • 创建一个命名空间,以便将 本练习中创建的资源与集群的其余部分资源隔离

    • $ kubectl create namespace cpu-stress

  • 创建 cpu-limit.yaml

    apiVersion: v1
kind: Pod
metadata:name: cpu-stress-demonamespace: cpu-stresslabels:name: cpu-stress-demo
spec:containers:- name: nginx-stressimage: registry.cn-beijing.aliyuncs.com/qingfeng666/stressargs:- -cpus- "2"  # 指定使用2个CPU核心进行压力测试resources:limits:cpu: "1"  # 设置CPU上限为1个核心requests:cpu: "0.5"  # 设置CPU请求为0.5个核心(可选,根据集群策略设置)restartPolicy: Never  # 设置重启策略为Never,因为这是一个一次性任务

  • $ kubectl create -f cpu-limit.yaml

    pod/cpu-stress-demo created

  • $ kubectl get po -n cpu-stress -w

    NAME              READY   STATUS    RESTARTS   AGE
cpu-stress-demo   1/1     Running   0          7s

  • $ kubectl get po cpu-stress-demo -n cpu-stress -o yaml

    apiVersion: v1
items:
- apiVersion: v1kind: Podmetadata:creationTimestamp: "2024-04-18T22:34:13Z"labels:name: cpu-stress-demoname: cpu-stress-demonamespace: cpu-stressresourceVersion: "81301"uid: f423a147-4bac-4f82-a791-0e851d67366cspec:containers:- args:- -cpus- "2"image: registry.cn-beijing.aliyuncs.com/qingfeng666/stressimagePullPolicy: Alwaysname: nginx-stressresources:limits:cpu: "1"requests:cpu: 500mterminationMessagePath: /dev/termination-logterminationMessagePolicy: FilevolumeMounts:- mountPath: /var/run/secrets/kubernetes.io/serviceaccountname: kube-api-access-mg68jreadOnly: truednsPolicy: ClusterFirstenableServiceLinks: truenodeName: node2.k8spreemptionPolicy: PreemptLowerPrioritypriority: 0restartPolicy: NeverschedulerName: default-schedulersecurityContext: {}serviceAccount: defaultserviceAccountName: defaultterminationGracePeriodSeconds: 30tolerations:- effect: NoExecutekey: node.kubernetes.io/not-readyoperator: ExiststolerationSeconds: 300- effect: NoExecutekey: node.kubernetes.io/unreachableoperator: ExiststolerationSeconds: 300volumes:- name: kube-api-access-mg68jprojected:defaultMode: 420sources:- serviceAccountToken:expirationSeconds: 3607path: token- configMap:items:- key: ca.crtpath: ca.crtname: kube-root-ca.crt- downwardAPI:items:- fieldRef:apiVersion: v1fieldPath: metadata.namespacepath: namespacestatus:conditions:- lastProbeTime: nulllastTransitionTime: "2024-04-18T22:34:13Z"status: "True"type: Initialized- lastProbeTime: nulllastTransitionTime: "2024-04-18T22:34:16Z"status: "True"type: Ready- lastProbeTime: nulllastTransitionTime: "2024-04-18T22:34:16Z"status: "True"type: ContainersReady- lastProbeTime: nulllastTransitionTime: "2024-04-18T22:34:13Z"status: "True"type: PodScheduledcontainerStatuses:- containerID: docker://12668f59353306dda08a395bf7dd36c0eae699b0ed1350ec96b8ffc3705b6a5eimage: registry.cn-beijing.aliyuncs.com/qingfeng666/stress:latestimageID: docker-pullable://registry.cn-beijing.aliyuncs.com/qingfeng666/stress@sha256:155d7266cb7ed6fecd34b2e4f8a25c2b21eb77723658fb4ab2db630d41118c7dlastState: {}name: nginx-stressready: truerestartCount: 0started: truestate:running:startedAt: "2024-04-18T22:34:15Z"hostIP: 10.211.55.12phase: RunningpodIP: 10.244.2.12podIPs:- ip: 10.244.2.12qosClass: BurstablestartTime: "2024-04-18T22:34:13Z"
kind: List
metadata:resourceVersion: ""selfLink: ""
    • 从上面可以看到,没有超过1核,限制成功了

相关原理


1 )Docker namespace 隔离

  • 虚拟机的隔离是非常彻底的,但是成本也是极大的
  • docker 通过namespace来隔离
  • $ ps aux 查看进程
  • $ unshare --fork --pid --mount--proc bash
  • $ ps aux 这时候再次查看,可以看到只有2个进程了
  • 执行docker容器的时候,和这个类似
  • $ docker run -it busybox
    • 这个busybox 是一个非常小的镜像
    • $ ps aux 可以看到只有2个进程
  • docker和 unshare的效果一模一样

2 )CGroups 实现资源配额

  • CGroups 是 control groups 的意思
  • $ cd /syc/fs/cgroup/cpu
    • 进入到这个目录,新建一个目录
    • $ mkdir cgrous_test
    • $ cd cgrous_test 进去后,发现生成了一堆文件,自动生成的
    • $ cat cpu.cfs_quota_us 发现默认 -1
    • $ echo 20000 > cpu.cfs_quota_us 这里20%的cpu时间
    • $ echo 2754 > tasks
    • $ cat tasks 可看到 2754
    • $ top 查看,就发现从 死循环 100%的占用,变成了20%
    • 这样就可以进行限额处理了
    • $ kill -9 2795 删除之
  • 这个是 docker 进程实现原理
    • $ docker run -it --cpu=".5" nginx /bin/sh 设置cpu配额是 50% cpu
    • 进入中,查看 $ /sys/fs/cgroup/cpu 目录,$ cat cpu.cfs_quota_us
    • 显示 50000 这个就是 .5
    • 就是这个原理
  • 所以,这些配额限制就是调用 cgroups 的原理

这篇关于K8s: 在Pod里面对容器进行配额管理和相关原理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/917781

相关文章

Knife4j+Axios+Redis前后端分离架构下的 API 管理与会话方案(最新推荐)

Knife4j+Axios+Redis前后端分离架构下的 API 管理与会话方案(最新推荐)

《Knife4j+Axios+Redis前后端分离架构下的API管理与会话方案(最新推荐)》本文主要介绍了Swagger与Knife4j的配置要点、前后端对接方法以及分布式Session实现原理,... 目录一、Swagger 与 Knife4j 的深度理解及配置要点Knife4j 配置关键要点1.Spri
阅读更多...
Spring IoC 容器的使用详解(最新整理)

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注
阅读更多...
从原理到实战深入理解Java 断言assert

从原理到实战深入理解Java 断言assert

《从原理到实战深入理解Java断言assert》本文深入解析Java断言机制,涵盖语法、工作原理、启用方式及与异常的区别,推荐用于开发阶段的条件检查与状态验证,并强调生产环境应使用参数验证工具类替代... 目录深入理解 Java 断言(assert):从原理到实战引言:为什么需要断言?一、断言基础1.1 语
阅读更多...
MySQL中的表连接原理分析

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景
阅读更多...
Golang如何对cron进行二次封装实现指定时间执行定时任务

Golang如何对cron进行二次封装实现指定时间执行定时任务

《Golang如何对cron进行二次封装实现指定时间执行定时任务》:本文主要介绍Golang如何对cron进行二次封装实现指定时间执行定时任务问题,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录背景cron库下载代码示例【1】结构体定义【2】定时任务开启【3】使用示例【4】控制台输出总结背景
阅读更多...
c++中的set容器介绍及操作大全

c++中的set容器介绍及操作大全

《c++中的set容器介绍及操作大全》:本文主要介绍c++中的set容器介绍及操作大全,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录​​一、核心特性​​️ ​​二、基本操作​​​​1. 初始化与赋值​​​​2. 增删查操作​​​​3. 遍历方
阅读更多...
深度解析Spring AOP @Aspect 原理、实战与最佳实践教程

深度解析Spring AOP @Aspect 原理、实战与最佳实践教程

《深度解析SpringAOP@Aspect原理、实战与最佳实践教程》文章系统讲解了SpringAOP核心概念、实现方式及原理,涵盖横切关注点分离、代理机制(JDK/CGLIB)、切入点类型、性能... 目录1. @ASPect 核心概念1.1 AOP 编程范式1.2 @Aspect 关键特性2. 完整代码实
阅读更多...
Java Stream的distinct去重原理分析

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重
阅读更多...
使用Python进行GRPC和Dubbo协议的高级测试

使用Python进行GRPC和Dubbo协议的高级测试

《使用Python进行GRPC和Dubbo协议的高级测试》GRPC(GoogleRemoteProcedureCall)是一种高性能、开源的远程过程调用(RPC)框架,Dubbo是一种高性能的分布式服... 目录01 GRPC测试安装gRPC编写.proto文件实现服务02 Dubbo测试1. 安装Dubb
阅读更多...
k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)

k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)

《k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)》本文记录在K8s上运行的MySQL/MariaDB备份方案,通过工具容器执行mysqldump,结合定时任务实... 目录前言一、获取需要备份的数据库的信息二、备份步骤1.准备工作(X86)1.准备工作(arm)2.手
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2