apiVersion: v1
kind: Node
metadata:
name: my-node
#...
spec:
taints:
- effect: NoExecute
key: key1
value: value1
#...- 文档
- OpenShift Container Platform
- 节点
- 控制 Pod 部署到节点(调度)
- 使用节点污点控制 Pod 部署 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 脱机环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义配置安装集群
- 在 GCP 上使用网络自定义配置安装集群
- 在受限网络中于 GCP 上安装集群
- 在现有 VPC 中于 GCP 上安装集群
- 在共享 VPC 中于 GCP 上安装集群
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在 GCP 上的共享 VPC 中安装集群
- 在受限网络中于 GCP 上安装使用用户预配基础设施的集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序安装本地部署
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备在 OpenStack 上安装使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上在 OpenStack 上安装集群
- 在受限网络中于 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用 Multiarch Tuning Operator 管理多架构集群上的工作负载
- Multiarch Tuning Operator 发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为脱机集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全与合规性
- 安全与合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang服务器操作符
- 适用于Red Hat OpenShift的cert-manager操作符
- 适用于Red Hat OpenShift的cert-manager操作符概述
- 适用于Red Hat OpenShift的cert-manager操作符发行说明
- 安装适用于Red Hat OpenShift的cert-manager操作符
- 配置出口代理
- 使用cert-manager操作符API字段自定义cert-manager
- 对适用于Red Hat OpenShift的cert-manager操作符进行身份验证
- 配置ACME颁发者
- 使用颁发者配置证书
- 使用适用于Red Hat OpenShift的cert-manager操作符保护路由
- 监控适用于Red Hat OpenShift的cert-manager操作符
- 为cert-manager和适用于Red Hat OpenShift的cert-manager操作符配置日志级别
- 卸载适用于Red Hat OpenShift的cert-manager操作符
- 查看审计日志
- 配置审计日志策略
- 配置TLS安全配置文件
- 配置seccomp配置文件
- 允许来自其他主机的基于JavaScript的API服务器访问
- 加密etcd数据
- 扫描Pod中的漏洞
- 网络绑定磁盘加密(NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 理解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动DNS管理配置Ingress控制器
- 验证与端点的连接
- 更改集群网络MTU
- 配置节点端口服务范围
- 配置集群网络IP地址范围
- 配置IP故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 理解短暂存储
- 理解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联短暂卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 在非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用短暂卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发Operator
- 集群Operator参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和还原
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容来源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- Kube-apiserver [operator.openshift.io/v1]
- Kube-controller-manager [operator.openshift.io/v1]
- Kube-scheduler [operator.openshift.io/v1]
- Kube 存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API 服务器 [operator.openshift.io/v1]
- OpenShift Controller Manager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 供应 API
- 关于供应 API
- BMC 事件订阅 [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 安全 API
- 关于安全 API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审查 [security.openshift.io/v1]
- Pod 安全策略自身主体审查 [security.openshift.io/v1]
- Pod 安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 API
- 关于存储 API
- CSI 驱动程序 [storage.k8s.io/v1]
- CSI 节点 [storage.k8s.io/v1]
- CSI 存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附加 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operator
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
使用节点污点控制 Pod 部署
污点和容忍度允许节点控制哪些 Pod 应该(或不应该)在其上调度。
理解污点和容忍度
污点允许节点拒绝调度 Pod,除非该 Pod 具有匹配的容忍度。
您可以通过Node规范 (NodeSpec) 将污点应用于节点,并通过Pod规范 (PodSpec) 将容忍度应用于 Pod。当您将污点应用于节点时,除非 Pod 可以容忍该污点,否则调度程序无法将 Pod 放置到该节点上。
节点规范中的污点示例
Pod规范中的容忍度示例apiVersion: v1
kind: Pod
metadata:
name: my-pod
#...
spec:
tolerations:
- key: "key1"
operator: "Equal"
value: "value1"
effect: "NoExecute"
tolerationSeconds: 3600
#...污点和容忍度由键、值和效果组成。
| 参数 | 描述 | ||||||
|---|---|---|---|---|---|---|---|
|
|
||||||
|
|
||||||
|
效果是以下之一
|
||||||
|
|
-
如果您向控制平面节点添加
NoSchedule污点,则该节点必须具有node-role.kubernetes.io/master=:NoSchedule污点,该污点默认添加。例如
apiVersion: v1 kind: Node metadata: annotations: machine.openshift.io/machine: openshift-machine-api/ci-ln-62s7gtb-f76d1-v8jxv-master-0 machineconfiguration.openshift.io/currentConfig: rendered-master-cdc1ab7da414629332cc4c3926e6e59c name: my-node #... spec: taints: - effect: NoSchedule key: node-role.kubernetes.io/master #...
容忍度与污点匹配
-
如果
operator参数设置为Equal-
key参数相同; -
value参数相同; -
effect参数相同。
-
-
如果
operator参数设置为Exists-
key参数相同; -
effect参数相同。
-
以下污点内置于 OpenShift Container Platform 中
-
node.kubernetes.io/not-ready:节点未就绪。这对应于节点状态Ready=False。 -
node.kubernetes.io/unreachable:节点控制器无法访问该节点。这对应于节点状态Ready=Unknown。 -
node.kubernetes.io/memory-pressure:节点存在内存压力问题。这对应于节点状态MemoryPressure=True。 -
node.kubernetes.io/disk-pressure:节点存在磁盘压力问题。这对应于节点状态DiskPressure=True。 -
node.kubernetes.io/network-unavailable:节点网络不可用。 -
node.kubernetes.io/unschedulable:节点不可调度。 -
node.cloudprovider.kubernetes.io/uninitialized:当节点控制器使用外部云提供程序启动时,此污点将设置在节点上以将其标记为不可用。云控制器管理器中的控制器初始化此节点后,kubelet 将移除此污点。 -
node.kubernetes.io/pid-pressure:节点存在 PID 压力。这对应于节点状态PIDPressure=True。OpenShift Container Platform 没有设置默认的 pid.available
evictionHard。
了解如何使用容忍度秒数来延迟 Pod 驱逐
您可以通过在Pod规范或MachineSet对象中指定tolerationSeconds参数来指定 Pod 在被驱逐之前可以在节点上保持绑定状态的时间长度。如果向节点添加了具有NoExecute效果的污点,则具有tolerationSeconds参数的、不耐受该污点的 Pod 只有在该时间段到期后才会被驱逐。
示例输出
apiVersion: v1
kind: Pod
metadata:
name: my-pod
#...
spec:
tolerations:
- key: "key1"
operator: "Equal"
value: "value1"
effect: "NoExecute"
tolerationSeconds: 3600
#...在此示例中,如果此 Pod 正在运行但没有匹配的容忍度,则 Pod 将保持与节点绑定 3600 秒,然后被驱逐。如果在此之前移除了污点,则 Pod 不会被驱逐。
了解如何使用多个污点
您可以在同一节点上设置多个污点,在同一 Pod 上设置多个容忍度。OpenShift Container Platform 按如下方式处理多个污点和容忍度:
-
处理 Pod 具有匹配容忍度的污点。
-
剩余的不匹配污点对 Pod 产生指示的效果。
-
如果至少存在一个具有
NoSchedule效果的不匹配污点,则 OpenShift Container Platform 无法将 Pod 调度到该节点。 -
如果没有具有
NoSchedule效果的不匹配污点,但至少存在一个具有PreferNoSchedule效果的不匹配污点,则 OpenShift Container Platform 会尝试不将 Pod 调度到该节点。 -
如果至少存在一个具有
NoExecute效果的不匹配污点,则 OpenShift Container Platform 会将 Pod 从节点驱逐(如果它已经在节点上运行),或者 Pod 不会被调度到节点上(如果它尚未在节点上运行)。-
不耐受污点的 Pod 会立即被驱逐。
-
耐受污点且未在其
Pod规范中指定tolerationSeconds的 Pod 将永远保持绑定状态。 -
耐受污点并指定了
tolerationSeconds的 Pod 将保持绑定指定的时间量。
-
-
例如
-
向节点添加以下污点
$ oc adm taint nodes node1 key1=value1:NoSchedule$ oc adm taint nodes node1 key1=value1:NoExecute$ oc adm taint nodes node1 key2=value2:NoSchedule -
Pod 具有以下容忍度
apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key1" operator: "Equal" value: "value1" effect: "NoSchedule" - key: "key1" operator: "Equal" value: "value1" effect: "NoExecute" #...
在这种情况下,由于没有容忍度与第三个污点匹配,因此无法将 Pod 调度到节点。如果在添加污点时 Pod 已经在节点上运行,则 Pod 会继续运行,因为第三个污点是三个污点中唯一一个不被 Pod 容忍的污点。
了解 Pod 调度和节点状态(按状态污点节点)
按状态污点节点功能(默认启用)会自动对报告内存压力和磁盘压力等状态的节点添加污点。如果节点报告某个状态,则会添加污点,直到该状态清除。这些污点具有NoSchedule效果,这意味着除非 Pod 具有匹配的容忍度,否则任何 Pod 都无法调度到该节点。
调度程序在调度 Pod 之前会检查节点上的这些污点。如果存在污点,则 Pod 将调度到其他节点。由于调度程序检查的是污点而不是实际的节点状态,因此您可以通过添加相应的 Pod 容忍度来配置调度程序忽略其中一些节点状态。
为了确保向后兼容性,守护程序集控制器会自动向所有守护程序添加以下容忍度:
-
node.kubernetes.io/memory-pressure
-
node.kubernetes.io/disk-pressure
-
node.kubernetes.io/unschedulable(1.10 或更高版本)
-
node.kubernetes.io/network-unavailable(仅限主机网络)
您还可以向守护程序集添加任意容忍度。
|
控制平面还会在具有 QoS 类别的 Pod 上添加 |
了解按状态驱逐 Pod(基于污点的驱逐)
基于污点的驱逐功能(默认启用)会将 Pod 从遇到特定状态(例如not-ready和unreachable)的节点驱逐。当节点遇到这些状态之一时,OpenShift Container Platform 会自动向节点添加污点,并开始将 Pod 驱逐并重新调度到其他节点。
基于污点的驱逐具有NoExecute效果,任何不耐受污点的 Pod 都会立即被驱逐,任何耐受污点的 Pod 永远不会被驱逐,除非 Pod 使用tolerationSeconds参数。
tolerationSeconds参数允许您指定 Pod 保持绑定到具有节点状态的节点的时间长度。如果在tolerationSeconds时间段后状态仍然存在,则污点将保留在节点上,并且具有匹配容忍度的 Pod 将被驱逐。如果在tolerationSeconds时间段之前状态清除,则具有匹配容忍度的 Pod 不会被移除。
如果您使用tolerationSeconds参数且没有值,则由于节点未就绪和不可访问的状态,Pod 永远不会被驱逐。
|
OpenShift Container Platform 以限速的方式驱逐 Pod,以防止在诸如主节点与节点分区等场景中发生大规模 Pod 驱逐。 默认情况下,如果给定区域中超过 55% 的节点不健康,节点生命周期控制器会将该区域的状态更改为 更多信息,请参见 Kubernetes 文档中的驱逐限速。 |
OpenShift Container Platform 自动添加对node.kubernetes.io/not-ready 和 node.kubernetes.io/unreachable 的容忍,tolerationSeconds=300,除非Pod配置指定了任一容忍。
apiVersion: v1
kind: Pod
metadata:
name: my-pod
#...
spec:
tolerations:
- key: node.kubernetes.io/not-ready
operator: Exists
effect: NoExecute
tolerationSeconds: 300 (1)
- key: node.kubernetes.io/unreachable
operator: Exists
effect: NoExecute
tolerationSeconds: 300
#...| 1 | 这些容忍确保默认的 Pod 行为是在检测到这些节点条件问题后保持绑定五分钟。 |
您可以根据需要配置这些容忍。例如,如果您有一个具有大量本地状态的应用程序,您可能希望在网络分区的情况下将 Pod 绑定到节点更长时间,从而允许分区恢复并避免 Pod 驱逐。
由 DaemonSet 生成的 Pod 会为以下污点创建NoExecute容忍,且没有tolerationSeconds
-
node.kubernetes.io/unreachable -
node.kubernetes.io/not-ready
因此,DaemonSet Pod 永远不会因为这些节点条件而被驱逐。
添加污点和容忍
您可以向 Pod 添加容忍,向节点添加污点,以允许节点控制哪些 Pod 应该或不应该在其上调度。对于现有 Pod 和节点,您应该首先将容忍添加到 Pod,然后将污点添加到节点,以避免在您可以添加容忍之前 Pod 从节点中移除。
步骤
-
通过编辑
Pod规范以包含tolerations部分来向 Pod 添加容忍。使用 Equal 运算符的 Pod 配置文件示例apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key1" (1) value: "value1" operator: "Equal" effect: "NoExecute" tolerationSeconds: 3600 (2) #...1 容忍参数,如污点和容忍组件表中所述。 2 tolerationSeconds参数指定 Pod 在被驱逐之前可以绑定到节点的时间长度。例如
使用 Exists 运算符的 Pod 配置文件示例apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key1" operator: "Exists" (1) effect: "NoExecute" tolerationSeconds: 3600 #...1 Exists运算符不接受value。此示例在
node1上放置一个污点,该污点具有键key1、值value1和污点效果NoExecute。 -
使用以下命令并使用污点和容忍组件表中描述的参数向节点添加污点
$ oc adm taint nodes <node_name> <key>=<value>:<effect>例如
$ oc adm taint nodes node1 key1=value1:NoExecute此命令在
node1上放置一个污点,该污点具有键key1、值value1和效果NoExecute。如果您向控制平面节点添加
NoSchedule污点,则该节点必须具有node-role.kubernetes.io/master=:NoSchedule污点,该污点默认添加。例如
apiVersion: v1 kind: Node metadata: annotations: machine.openshift.io/machine: openshift-machine-api/ci-ln-62s7gtb-f76d1-v8jxv-master-0 machineconfiguration.openshift.io/currentConfig: rendered-master-cdc1ab7da414629332cc4c3926e6e59c name: my-node #... spec: taints: - effect: NoSchedule key: node-role.kubernetes.io/master #...Pod 上的容忍与节点上的污点匹配。具有任一容忍的 Pod 都可以调度到
node1上。
使用计算机组添加污点和容忍
您可以使用计算主机组向节点添加污点。与MachineSet对象关联的所有节点都将使用污点更新。容忍以与直接添加到节点的污点相同的方式响应由计算主机组添加的污点。
步骤
-
通过编辑
Pod规范以包含tolerations部分来向 Pod 添加容忍。使用Equal运算符的 Pod 配置文件示例apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key1" (1) value: "value1" operator: "Equal" effect: "NoExecute" tolerationSeconds: 3600 (2) #...1 容忍参数,如污点和容忍组件表中所述。 2 tolerationSeconds参数指定 Pod 在被驱逐之前绑定到节点的时间长度。例如
使用Exists运算符的 Pod 配置文件示例apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key1" operator: "Exists" effect: "NoExecute" tolerationSeconds: 3600 #... -
将污点添加到
MachineSet对象-
编辑您要污点的节点的
MachineSetYAML,或者您可以创建一个新的MachineSet对象。$ oc edit machineset <machineset> -
将污点添加到
spec.template.spec部分。计算主机组规范中的污点示例apiVersion: machine.openshift.io/v1beta1 kind: MachineSet metadata: name: my-machineset #... spec: #... template: #... spec: taints: - effect: NoExecute key: key1 value: value1 #...此示例放置一个污点,该污点在节点上具有键
key1、值value1和污点效果NoExecute。 -
将计算主机组缩减到 0。
$ oc scale --replicas=0 machineset <machineset> -n openshift-machine-api或者,您可以应用以下 YAML 来缩放计算主机组。
apiVersion: machine.openshift.io/v1beta1 kind: MachineSet metadata: name: <machineset> namespace: openshift-machine-api spec: replicas: 0等待机器被移除。
-
根据需要扩展计算主机组。
$ oc scale --replicas=2 machineset <machineset> -n openshift-machine-api或者
$ oc edit machineset <machineset> -n openshift-machine-api等待机器启动。污点将添加到与
MachineSet对象关联的节点。
-
使用污点和容忍将用户绑定到节点
如果您想将一组节点专供特定用户组使用,请向其 Pod 添加容忍。然后,向这些节点添加相应的污点。具有容忍的 Pod 允许使用被污点的节点或集群中的任何其他节点。
如果您想确保 Pod 只调度到那些被污点的节点,还可以向同一组节点添加标签,并向 Pod 添加节点亲和性,以便 Pod 只能调度到具有该标签的节点上。
步骤
要配置节点以便用户只能使用该节点
-
向这些节点添加相应的污点
例如
$ oc adm taint nodes node1 dedicated=groupName:NoSchedule或者,您可以应用以下 YAML 来添加污点
kind: Node apiVersion: v1 metadata: name: my-node #... spec: taints: - key: dedicated value: groupName effect: NoSchedule #... -
通过编写自定义准入控制器向 Pod 添加容忍。
创建具有节点选择器和容忍的项目
您可以创建一个使用节点选择器和容忍(设置为注释)的项目,以控制 Pod 到特定节点的放置。然后,在项目中创建的任何后续资源都将调度到具有与容忍匹配的污点的节点上。
先决条件
-
已使用计算主机组或直接编辑节点向一个或多个节点添加了节点选择标签。
-
已使用计算主机组或直接编辑节点向一个或多个节点添加了污点。
步骤
-
创建
Project资源定义,在metadata.annotations部分指定节点选择器和容忍。project.yaml文件示例kind: Project apiVersion: project.openshift.io/v1 metadata: name: <project_name> (1) annotations: openshift.io/node-selector: '<label>' (2) scheduler.alpha.kubernetes.io/defaultTolerations: >- [{"operator": "Exists", "effect": "NoSchedule", "key": "<key_name>"} (3) ]1 项目名称。 2 默认节点选择器标签。 3 容忍参数,如污点和容忍组件表中所述。此示例使用 NoSchedule效果,允许节点上现有的 Pod 保持不变,并使用Exists运算符,该运算符不接受值。 -
使用
oc apply命令创建项目。$ oc apply -f project.yaml
现在,在<project_name>命名空间中创建的任何后续资源都应该调度到指定的节点上。
使用污点和容忍控制具有特殊硬件的节点
在一个集群中,如果只有一小部分节点拥有专用硬件,您可以使用污点和容忍来阻止不需要专用硬件的 Pod 使用这些节点,从而将这些节点留给需要专用硬件的 Pod。您还可以要求需要专用硬件的 Pod 使用特定的节点。
您可以通过向需要特殊硬件的 Pod 添加容忍,并对拥有专用硬件的节点添加污点来实现此目的。
步骤
确保拥有专用硬件的节点保留给特定的 Pod
-
向需要特殊硬件的 Pod 添加容忍。
例如
apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "disktype" value: "ssd" operator: "Equal" effect: "NoSchedule" tolerationSeconds: 3600 #... -
使用以下命令之一对拥有专用硬件的节点添加污点
$ oc adm taint nodes <node-name> disktype=ssd:NoSchedule或者
$ oc adm taint nodes <node-name> disktype=ssd:PreferNoSchedule或者,您可以应用以下 YAML 来添加污点
kind: Node apiVersion: v1 metadata: name: my_node #... spec: taints: - key: disktype value: ssd effect: PreferNoSchedule #...
移除污点和容忍
您可以根据需要从节点中移除污点,从 Pod 中移除容忍。您应该先向 Pod 添加容忍,然后再向节点添加污点,以避免在您添加容忍之前 Pod 从节点中被移除。
步骤
移除污点和容忍
-
从节点移除污点
$ oc adm taint nodes <node-name> <key>-例如
$ oc adm taint nodes ip-10-0-132-248.ec2.internal key1-示例输出node/ip-10-0-132-248.ec2.internal untainted -
要从 Pod 中移除容忍,请编辑
Pod规范以移除容忍apiVersion: v1 kind: Pod metadata: name: my-pod #... spec: tolerations: - key: "key2" operator: "Exists" effect: "NoExecute" tolerationSeconds: 3600 #...