{
"kind": "Pod",
"spec": {
"containers": [
{
"image": "openshift/hello-openshift",
"name": "hello-openshift"
}
]
},
"apiVersion": "v1",
"metadata": {
"name": "iperf-slow",
"annotations": {
"kubernetes.io/ingress-bandwidth": "10M",
"kubernetes.io/egress-bandwidth": "10M"
}
}
}- 文档
- OpenShift Container Platform
- 节点
- 使用 Pod
- 为 Pod 配置集群 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在具有用户预配基础设施的受限网络中,在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序在本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义配置在 OpenStack 上安装集群
- 在您自己的基础架构上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础架构卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang Server 运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符概述
- 适用于 Red Hat OpenShift 的 cert-manager 运算符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置出站代理
- 通过使用 cert-manager 运算符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 cert-manager 运算符保护 Red Hat OpenShift 中的路由
- 监控 Red Hat OpenShift 中的 cert-manager 运算符
- 配置 Red Hat OpenShift 中 cert-manager 和 cert-manager 运算符的日志级别
- 卸载 Red Hat OpenShift 中的 cert-manager 运算符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络运算符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非优雅节点关闭后分离CSI卷
- AWS弹性块存储CSI驱动程序操作符
- AWS弹性文件服务CSI驱动程序操作符
- Azure磁盘CSI驱动程序操作符
- Azure文件CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM云块存储(VPC)CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 了解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群 Operator 参考
- OLM v1(技术预览版)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用 Hub 模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- 自我主题规则审查 [authorization.openshift.io/v1]
- 主题访问审查 [authorization.openshift.io/v1]
- 主题规则审查 [authorization.openshift.io/v1]
- 自我主题审查 [authentication.k8s.io/v1]
- 令牌请求 [authentication.k8s.io/v1]
- 令牌审查 [authentication.k8s.io/v1]
- 本地主题访问审查 [authorization.k8s.io/v1]
- 自我主题访问审查 [authorization.k8s.io/v1]
- 自我主题规则审查 [authorization.k8s.io/v1]
- 主题访问审查 [authorization.k8s.io/v1]
- 自动伸缩API
- 集群API
- 配置API
- 关于配置API
- API服务器 [config.openshift.io/v1]
- 身份认证 [config.openshift.io/v1]
- 构建 [config.openshift.io/v1]
- 集群操作符 [config.openshift.io/v1]
- 集群版本 [config.openshift.io/v1]
- 控制台 [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- 特性开关 [config.openshift.io/v1]
- Helm图表仓库 [helm.openshift.io/v1beta1]
- 镜像 [config.openshift.io/v1]
- 镜像摘要镜像集 [config.openshift.io/v1]
- 镜像内容策略 [config.openshift.io/v1]
- 镜像标签镜像集 [config.openshift.io/v1]
- 基础设施 [config.openshift.io/v1]
- 入口 [config.openshift.io/v1]
- 网络 [config.openshift.io/v1]
- 节点 [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- 项目 [config.openshift.io/v1]
- 项目Helm图表仓库 [helm.openshift.io/v1beta1]
- 代理 [config.openshift.io/v1]
- 调度器 [config.openshift.io/v1]
- 控制台API
- 扩展API
- 镜像API
- 机器API
- 关于机器API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager配置 [monitoring.coreos.com/v1beta1]
- 告警重标签配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod指标 [metrics.k8s.io/v1beta1]
- 网络API
- 关于网络API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有IP配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站IP [k8s.ovn.org/v1]
- 出站QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- 入口 [networking.k8s.io/v1]
- 入口类 [networking.k8s.io/v1]
- IP池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围IP预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod网络连接性检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点API
- OAuth API
- Operator API
- 关于Operator API
- 身份认证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像修剪器 [imageregistry.operator.openshift.io/v1]
- 入口控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- Kube API服务器 [operator.openshift.io/v1]
- Kube控制器管理器 [operator.openshift.io/v1]
- Kube调度器 [operator.openshift.io/v1]
- Kube存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API服务器 [operator.openshift.io/v1]
- OpenShift控制器管理器 [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator条件 [operators.coreos.com/v2]
- Operator组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 预配API
- 关于预配API
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 安全 API
- 关于安全 API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [未定义/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [未定义/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [未定义/v1]
- PersistentVolumeClaim [未定义/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [未定义/v1]
- ReplicationController [未定义/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
为 Pod 配置 OpenShift Container Platform 集群
作为管理员,您可以为 Pod 创建和维护一个高效的集群。
通过保持集群高效,您可以为使用此类工具的开发人员提供更好的环境,例如 Pod 退出时执行的操作、确保始终运行所需的 Pod 数量、何时重启一次性运行的 Pod、限制 Pod 可用的带宽以及如何在中断期间保持 Pod 运行。
配置 Pod 重启后的行为
Pod 重启策略决定了当该 Pod 中的容器退出时 OpenShift Container Platform 如何响应。此策略适用于该 Pod 中的所有容器。
可能的值为
-
Always- 连续尝试重启 Pod 中成功退出的容器,并使用指数退避延迟(10 秒、20 秒、40 秒),最大延迟为 5 分钟。默认值为Always。 -
OnFailure- 尝试使用指数退避延迟(10 秒、20 秒、40 秒),最大延迟为 5 分钟,重启 Pod 中失败的容器。 -
Never- 不尝试重启 Pod 中退出的或失败的容器。Pod 会立即失败并退出。
Pod 绑定到节点后,将永远不会绑定到其他节点。这意味着需要一个控制器才能使 Pod 在节点故障后存活。
| 条件 | 控制器类型 | 重启策略 |
|---|---|---|
预计会终止的 Pod(例如批处理计算) |
作业 |
|
预计不会终止的 Pod(例如 Web 服务器) |
副本控制器 |
|
必须每台机器运行一个的 Pod |
守护进程集 |
任意 |
如果 Pod 上的容器失败并且重启策略设置为 OnFailure,则 Pod 保留在节点上,并重启容器。如果您不希望容器重启,请使用 Never 的重启策略。
如果整个 Pod 失败,OpenShift Container Platform 将启动一个新的 Pod。开发人员必须处理应用程序可能在新的 Pod 中重启的可能性。特别是,应用程序必须处理由先前运行引起的临时文件、锁、不完整的输出等。
|
Kubernetes 架构期望云提供商提供可靠的端点。当云提供商宕机时,kubelet 会阻止 OpenShift Container Platform 重启。 如果底层云提供商端点不可靠,请不要使用云提供商集成安装集群。像在无云环境中一样安装集群。不建议在已安装的集群中启用或禁用云提供商集成。 |
有关 OpenShift Container Platform 如何将重启策略与失败的容器一起使用的详细信息,请参阅 Kubernetes 文档中的示例状态。
限制 Pod 可用的带宽
您可以将服务质量流量整形应用于 Pod,并有效地限制其可用的带宽。出站流量(来自 Pod)由策略控制,该策略只会丢弃超过配置速率的数据包。入站流量(到 Pod)由整形排队的数据包处理,以有效地处理数据。您对 Pod 设置的限制不会影响其他 Pod 的带宽。
步骤
要限制 Pod 上的带宽
-
编写一个对象定义 JSON 文件,并使用
kubernetes.io/ingress-bandwidth和kubernetes.io/egress-bandwidth注释指定数据流量速度。例如,要将 Pod 出站和入站带宽都限制为 10M/s受限的Pod对象定义 -
使用对象定义创建 Pod
$ oc create -f <file_or_dir_path>
了解如何使用 Pod 中断预算来指定必须启动的 Pod 数量
Pod 中断预算允许在操作期间(例如,为了维护而清空节点)对 Pod 指定安全约束。
PodDisruptionBudget 是一个 API 对象,它指定了必须同时启动的最小副本数或百分比。在项目中设置这些内容在节点维护(例如缩减集群规模或集群升级)期间很有帮助,并且仅在自愿驱逐(而不是节点故障)时才有效。
PodDisruptionBudget 对象的配置包含以下关键部分:
-
标签选择器,它是对一组 Pod 的标签查询。
-
可用性级别,它指定了必须同时可用的 Pod 的最小数量:
-
minAvailable是即使在中断期间也必须始终可用的 Pod 数量。 -
maxUnavailable是在中断期间可以不可用的 Pod 数量。
-
|
|
|
OpenShift Container Platform 中所有机器配置池的 |
您可以使用以下命令检查所有项目中的 Pod 中断预算:
$ oc get poddisruptionbudget --all-namespaces|
以下示例包含一些特定于 AWS 上 OpenShift Container Platform 的值。 |
示例输出
NAMESPACE NAME MIN AVAILABLE MAX UNAVAILABLE ALLOWED DISRUPTIONS AGE
openshift-apiserver openshift-apiserver-pdb N/A 1 1 121m
openshift-cloud-controller-manager aws-cloud-controller-manager 1 N/A 1 125m
openshift-cloud-credential-operator pod-identity-webhook 1 N/A 1 117m
openshift-cluster-csi-drivers aws-ebs-csi-driver-controller-pdb N/A 1 1 121m
openshift-cluster-storage-operator csi-snapshot-controller-pdb N/A 1 1 122m
openshift-cluster-storage-operator csi-snapshot-webhook-pdb N/A 1 1 122m
openshift-console console N/A 1 1 116m
#...当系统中至少运行着 minAvailable 个 Pod 时,PodDisruptionBudget 被认为是健康的。超过此限制的每个 Pod 都可以被驱逐。
|
根据您的 Pod 优先级和抢占设置,即使满足 Pod 中断预算要求,低优先级 Pod 也可能被移除。 |
指定 Pod 中断预算中必须启动的 Pod 数量
您可以使用 PodDisruptionBudget 对象来指定必须同时启动的副本的最小数量或百分比。
步骤
配置 Pod 中断预算
-
创建一个 YAML 文件,其中包含类似于以下的对象定义
apiVersion: policy/v1 (1) kind: PodDisruptionBudget metadata: name: my-pdb spec: minAvailable: 2 (2) selector: (3) matchLabels: name: my-pod1 PodDisruptionBudget是policy/v1API 组的一部分。2 必须同时可用的 Pod 的最小数量。这可以是整数,也可以是指定百分比的字符串,例如 20%。3 对一组资源的标签查询。 matchLabels和matchExpressions的结果是逻辑与的结果。留空此参数,例如selector {},以选择项目中的所有 Pod。或者
apiVersion: policy/v1 (1) kind: PodDisruptionBudget metadata: name: my-pdb spec: maxUnavailable: 25% (2) selector: (3) matchLabels: name: my-pod1 PodDisruptionBudget是policy/v1API 组的一部分。2 可以同时不可用的 Pod 的最大数量。这可以是整数,也可以是指定百分比的字符串,例如 20%。3 对一组资源的标签查询。 matchLabels和matchExpressions的结果是逻辑与的结果。留空此参数,例如selector {},以选择项目中的所有 Pod。 -
运行以下命令将对象添加到项目
$ oc create -f </path/to/file> -n <project_name>
指定不健康 Pod 的驱逐策略
当您使用 Pod 中断预算 (PDB) 指定必须同时可用的 Pod 数量时,您还可以定义如何考虑将不健康 Pod 驱逐的标准。
您可以选择以下策略之一:
- IfHealthyBudget
-
只有在受保护的应用程序没有中断的情况下,才能驱逐尚未处于健康状态的正在运行的 Pod。
- AlwaysAllow
-
无论是否满足 Pod 中断预算中的标准,都可以驱逐尚未处于健康状态的正在运行的 Pod。此策略可以帮助驱逐故障应用程序,例如 Pod 停留在
CrashLoopBackOff状态或未能报告Ready状态的应用程序。建议在
PodDisruptionBudget对象中将unhealthyPodEvictionPolicy字段设置为AlwaysAllow,以支持在节点 drain 期间驱逐行为异常的应用程序。默认行为是在 drain 继续之前等待应用程序 Pod 变为健康状态。
步骤
-
创建一个 YAML 文件,该文件定义一个
PodDisruptionBudget对象并指定不健康 Pod 的驱逐策略。示例pod-disruption-budget.yaml文件apiVersion: policy/v1 kind: PodDisruptionBudget metadata: name: my-pdb spec: minAvailable: 2 selector: matchLabels: name: my-pod unhealthyPodEvictionPolicy: AlwaysAllow (1)1 选择 IfHealthyBudget或AlwaysAllow作为不健康 Pod 的驱逐策略。当unhealthyPodEvictionPolicy字段为空时,默认为IfHealthyBudget。 -
运行以下命令创建
PodDisruptionBudget对象:$ oc create -f pod-disruption-budget.yaml
使用设置了 AlwaysAllow 不健康 Pod 驱逐策略的 PDB,您现在可以 drain 节点并驱逐受此 PDB 保护的故障应用程序的 Pod。
使用关键 Pod 防止 Pod 删除
许多核心组件对于完全功能的集群至关重要,但是它们运行在常规集群节点上而不是主节点上。如果关键附加组件被驱逐,集群可能无法正常工作。
标记为关键的 Pod 不允许被驱逐。
步骤
要使 Pod 成为关键 Pod:
-
创建
Podspec 或编辑现有 Pod 以包含system-cluster-critical优先级类。apiVersion: v1 kind: Pod metadata: name: my-pdb spec: template: metadata: name: critical-pod priorityClassName: system-cluster-critical (1) # ...1 从节点中绝不应驱逐的 Pod 的默认优先级类。 或者,您可以为对集群很重要但如有必要可以移除的 Pod 指定
system-node-critical。 -
创建 Pod
$ oc create -f <file-name>.yaml
使用具有大量文件的持久卷时减少 Pod 超时
如果存储卷包含许多文件(约 1,000,000 个或更多),您可能会遇到 Pod 超时。
当挂载卷时,OpenShift Container Platform 会递归地更改每个卷内容的所有权和权限以匹配 Pod 的 securityContext 中指定的 fsGroup,这可能会导致此问题。对于大型卷,检查和更改所有权和权限可能非常耗时,从而导致 Pod 启动速度非常慢。
您可以通过应用以下解决方法之一来减少此延迟:
-
使用安全上下文约束 (SCC) 跳过卷的 SELinux 重新标记。
-
使用 SCC 内的
fsGroupChangePolicy字段来控制 OpenShift Container Platform 检查和管理卷的所有权和权限的方式。 -
使用集群资源覆盖运算符自动应用 SCC 以跳过 SELinux 重新标记。
-
使用运行时类跳过卷的 SELinux 重新标记。