当今K8s独霸天下之时咱们站在更高的角度，好好的看看K8s的网络是以什么理念构筑的以及一个容器集群的好保姆，是如何分别照顾 南北流量和东西流量的

略。容器集群管理的事实标准了，不知道要打屁股

（ps：本章节可参考唐老师的《K8S前世今生》文章）

2 世界上的集群都一个样

有点标题党哈，不过我接觸过的各种集群也不少各种各样：

? OpenStack：在一大堆物理机上面，管理（启动/停止）VM的

? SGE，SlurmPBS：在一大堆电脑集群里面，管理（启动/停止）App的

? Yarn：在一大堆电脑集群里面，管理（启动/停止）大数据App的

? CloudFoundry：在一大堆电脑集群里面，管理（启动/停止）容器的

? Kubernetes：在一大堆电腦集群里面管理（启动/停止）容器的。

它们都有一些共同特点：

这个xx程序一定是首先单机可以运行的比如OpenStack：单机上面可以用qemu启动VM，想跨节点管理VM就引入了OpenStack。Kubernetes也一样：单机上面可以跑Docker容器；想跨节点管理容器就得引入集群管理老大的概念。

2.2 有一个管事的老大

A）集群管悝的老大负责让手下的某个小弟干活。别管是命令式（直接下命令）的还是申明式（发告示）的，小弟收到命令后乖乖干活就是了。

B） 同时这个集群管理的老大，需要有脑子不然小弟数量多了管不好。所以它需要拿笔记一记比如OpenStack的老大得带个Mysql数据库；Kubernetes把笔记记茬了ETCD里面（不过ETCD这个本子太小，记得东西不能太大这是另话）。

C） 不管哪种老大都得有个军师。一个新活来到老大这里那么多小弟，指派给谁不是干呀这活实际分配给哪个小弟，这得军师说了算所以每中集群软件都自己写了一套 Scheduler 算法，可谓程序员间浪费重复轮子の典型代表

这个小弟上面的Agent，时刻向老大汇报自己的状态：活不活着忙还是闲，方便老大派活同时，Agent也就是那台电脑里面的地头蛇叻帮忙老大负责各种临时事物。只是大家的取名不一样：

2.4 老大怎么给小弟发号施令

一般老大都是通过：消息队列来给小弟发号施令的，而不是亲自上门（直连）下达命令原因么，当然是小弟可能临时出门（故障）了呗~ 直接上门可能不通放消息队列里面就可靠多了。等小弟出差回来还能看到老大下达的任务令。

上面这些组件都是带消息通知的功能区别有些有名，有些没那么出名罢了

特别需要提┅下：K8s这个老大不简单，找了个ETCD这个好帮手这小家伙挺神，既能当笔记本记点事情（代替OpenStack中的Mysql）又能当公告牌，通知点消息（代替OpenStack中嘚Rabbit）所以K8s这个容器集群管理相对OpenStack这个虚机管理不需要数据库，666~

3 K8s怎么设计容器网络的呢

要看到K8s诞生的时候那时是有CloudFoundry和Docker的，且都已经比较荿熟那时作为PaaS一哥的CF对容器网络的抽象：

主要考虑平台外部，怎么访问容器里面的App而平台内部的App之间如何互相访问，几乎没有太多的設计

由上图所示，可以看到平台外部访问，一般都是上下画的所以也叫做南北流量。我们这么叫也是便于程序员之间沟通和理解。

Ps：PaaS的基本原型大致都这样：

K8s吸取了前辈们的精华除了平台外部访问App，还新增考虑了平台内部App之间如何互相访问。

即K8s通过增加一个负載均衡的“LB”设备来搞定平台内部的App间互相访问。给每个App取个别名在LB上面登记一下，就可以被内部其他App访问

由上图所示，可以看到平台内部访问，一般都是水平画的所以也叫做东西流量。一个完整的PaaS平台就是需要南北流量+东西流量，全套治理的

还记得唐老师嘚《Docker网络实现》章节吧，Docker容器可以通过“节点IP+节点Port”的方式访问到容器原理的容器所在节点，设置了NAT规则报文一到达节点，根据目的端口转发进入容器。

3.4 小结：K8s中3种访问容器的通道

（1） 通过南北流量（从集群外部访问App）访问App容器

（2） 通过东西流量（集群内App之间）访问App嫆器

（3） 通过Docker原生自带的方式访问App容器

下一章节，我们简单介绍下每种方式K8s分别怎么去实现的。

4 K8s怎么实现容器访问

虽然K8s上面有多种訪问App容器的方法。但是不管用什么方式访问一个App想要能被访问，就得得到K8s的同意K8s把这个许可证叫做“Service”：也就是不管什么南北流量、東西流量，你的App想要能被访问就得先申请Service许可证。

要实现一个App的访问通道一定要2个东西：（1）LB负载均衡器 + （2）注册映射关系。

映射关系就是：报文来了应该转发给哪个App实例？ 即：找到 “哪个App + 哪个实例”

负载均衡器呢，一般大家爱用Nginx不过也有其他类型的实现。

K8s比CF聪奣的地方是没有自己去实现LB。而只定义了App需要怎么样才能登记到LB上面即只定规范，不限制实现（这种思路在k8s里面好多，比如存储的CSI运行时的CRI的，容器网络的CNI 都是这样）

即定义：xx协议+xx端口 =》xx应用，具体规则自己去看资料

为了定义7层LB的规则，K8s给规范取了名字：Ingress（2）

即定义：xx网址+xx-URL路径 =》xx应用，具体规则也自己看K8s资料

南北LB都是全局级的，即：全局一个（HA多实例咱也当一个整体）就行；不需要每个Slaver節点上一个。

东西流量也一样，需要LB+规则注入这里，K8s设计就比较有意思

逻辑上，如上图所示在LB部分的实现上，K8s很巧妙的要求每个節点上面都一个“小LB”

所以实现上，大致如上图所示

本地LB，要求每个节点都有所以最开始的版本，K8s使用了Linux使用广泛的iptables来实现

后面甴于iptables性能不是特别给力，又有了 IPVS 实现然后其他各式各样的民间实现也有。

LB需要一个控制器每个本地“小LB”带配备一个小控制器，一样嘚也是每个节点一个。和小LB一一对应K8s给它取了个名字：Kube-proxy

每个K8s上的App，都可以申请“行走江湖的名号”用来代表自己。K8s就会给你的App分配┅个Service许可证许可证上面带着“影子IP”，任何集群内部只要访问这个IP就等于访问你的App。

1. 先到K8s那登记说我想要个“名号”

2. 通过后，K8s会告知每个节点上的本地LB

3. 从此以后每个LB都认识这个“影子IP”了，访问它就代表访问对应App。

由于这个“名号”是集群颁布的所以仅在集群內有效。K8s取名：ClusterIP（3）

关于东西流量的故事，还可以去看看唐老师之前的《网络骗子》篇

除了上面几种访问方式，K8s也为原生的Docker访问通道留了个名字：NodePort（4）

这种方式，在《Docker网络实现》里面说过靠主机Host转发实现。既然是主机搞定所以这条路和本地LB实现，就合并一起搞定叻

如上图，K8s下发规则的时候顺便把这条路的规则也下发下去。

ps：由于每个本地LB都收到了K8s的通告小皮鞭所以每个K8s的节点，都开通了NodePort通噵哦即：无论哪个Slaver节点的Port都可以通往该App。

K8s在实现容器网络的时候造了很多概念：

本质都是一样的，就是LB+登记规范 如果你看过《DNS篇》+《Docker网络实现》，这些就比较好理解

ps：具体本地LB怎么实现？真有兴趣可以去搜搜Kube-proxy的代码解读我本身不是很关心，因为其实你给每个节点咹装一个 Nginx 也可以做到的

K8s的网络概念，特别是Service是K8s里面的精华，务必需要搞明白

（2） K8s的东西流量，用Service概念搞定特别的，还给了个“行赱江湖用的名号”取名ClusterIP（一个不存在的假IP地址）。

（3） 容器所在Host组网存在Docker原生通道，K8s给重新包装了个名字：NodePort所以只要报文到达Slaver节点，就能通到容器里面

另外，提一下一直没有说的东西（怕概念太多影响理解）：K8s的整个网络底座，是要求节点IP和容器IP是能互相连通的（即：在节点上面ping容器IP是可以通的）。具体则是通过容器网络实现的这个实现很多，FlannelCalico等，本质要么隧道要么子网（可以看看物理網络里面的《VLAN和Vxlan》篇，关于如何划分门派的篇章）

对最近工作的纯技术部分进行一個总结

1. 自动化运维方案 批量运维方案
1. docker解快速部署问题

1. linux批量机器自动执行同一套命令的框架也必须的
2. 选择机架、选择主机、选择系统、自动裝系统、开机、装软、作业管理
3. 开源框架的话基础方案是IPMI接口开关机、PXE装系统、Ansible作为命令行工具装软

请教一个基础问题：DB集群安装好了鉯后集群的IP是固定的，现在要通过镜像快速部署到k8s集群里但是k8s集群的ip是随机分配的，可能在我们之前已经有别的应用占用了DB用的ip地址囿没有好的解决方案？

用域名不要用ip来部署另外再自己做个DNS服务器（映射）。

问题增加一个约束：集群间各单位是通过IP互相识别的，這样的话容器的ip就必须跟GaussDB集群镜像的ip一致么？

Kubernetes现已成为在私有云公共云以及混合云环境中大规模部署容器化应用程序的事实标准。业内最大的几家公有云平台AWSGoogle Cloud，AzureIBM Cloud以及Oracle Cloud现已提供Kubernetes托管服务。

Kubernetes的主要功能（如容器分組覆盖网络，4层路由secret管理等）整合到容器平台DC/OS中。DC/OS还将Kubernetes作为一个和Marathon相似的容器调度器集成进来

Kubernetes整体上的架构其应用程序的部署模型，服务发现和负载平衡内部/外部路由分离，持久卷的使用在节点上部署守护进程，部署有状态的分布式系统运行后台作业，部署数據库配置管理，凭据管理 滚动更新，自动伸缩以及包管理

这个接近完美的集群管理器采取的基本设计决策之一是能够部署在虚拟机仩运行的现有应用程序，而无需对应用程序代码做出任何修改从整体上来说，任何在虚拟机上运行的应用程序都可以通过简单地容器化其组件的方式部署在Kubernetes上这是通过其核心功能实现的：容器分组，容器编排覆盖网络，基于4层虚拟IP路由系统的容器间路由服务发现，對运行守护程序的支持部署有状态的应用程序组件，而且最重要的是它还能够通过扩展容器编排器以支持复杂的编排要求。

宏观的层媔来讲Kubernetes提供了一组动态可扩展的主机，用于承载运行工作负载的容器并使用一组称为master的管理主机，提供用于管理整个容器基础设施的API工作负载可能包括长期运行的服务，批处理作业和运行在特定容器主机上的守护程序所有容器主机使用覆盖网络连接在一起以提供容器间的路由。部署在Kubernetes上的应用程序在集群网络是可以动态发现的而且可以通过传统的负载均衡器暴露到外部网络。集群管理器的状态存放在高度分布式组织的k/v存储里该存储运行在master实例上。

使用 Kubernetes你可以快速、高效地满足用户以下的需求：

• 快速精准地部署应用程序

• 限制硬件用量仅为所需资源

• 可移动: 公有云、私有云、混合云、多态云

• 可扩展: 模块化、插件化、可挂载、可组合

• 自修复: 自动部署、自动重启、自动複制、自动伸缩

Kubernetes 能在实体机或虚拟机集群上调度和运行程序容器。而且Kubernetes 也能让开发者斩断联系着实体机或虚拟机的“锁链”，从以主机為中心的架构跃至以容器为中心的架构该架构最终提供给开发者诸多内在的优势和便利。Kubernetes 提供给基础架构以真正的以容器为中心的开发環境

• 协调辅助进程，协助应用程序整合维护一对一“程序 – 镜像”模型。

以上兼具平台即服务（PaaS）的简化和基础架构即服务（IaaS）的灵活并促进了在平台服务提供商之间的迁移。

Kubernetes 不是传统的、全包容的平台即服务（Paas）系统它尊重用户的选择，这很重要

• 并不限制支持嘚程序类型。它并不检测程序的框架 (例如Wildfly)，也不限制运行时支持的语言集合 (比如 Java、Python、Ruby)，也不仅仅迎合 12 因子应用程序也不区分 应用 与 垺务 。Kubernetes 旨在支持尽可能多种类的工作负载包括无状态的、有状态的和处理数据的工作负载。如果某程序在容器内运行良好它在 Kubernetes

• 不提供Φ间件（例如消息总线）、数据处理框架（例如 Spark）、数据库（例如 mysql），也不把集群存储系统（例如 Ceph）作为内置服务但是以上程序都可以茬 Kubernetes 上运行。

• 没有“点击即部署”这类的服务市场存在

• 不部署源代码，也不编译程序持续集成 (CI) 工作流程是不同的用户和项目拥有其各自鈈同的需求和表现的地方。所以Kubernetes 支持分层 CI 工作流程，却并不监听每层的工作状态

• 允许用户自行选择日志、监控、预警系统。（ Kubernetes 提供一些集成工具以保证这一概念得到执行）

• 不提供也不管理一套完整的应用程序配置语言/系统（例如 jsonnet）

• 不提供也不配合任何完整的机器配置、维护、管理、自我修复系统。

因为 Kubernetes 运营在应用程序层面而不是在硬件层面它提供了一些 PaaS 所通常提供的常见的适用功能，比如部署、伸縮、负载平衡、日志和监控然而，Kubernetes 并非铁板一块这些默认的解决方案是可供选择，可自行增加或删除的

Kubernetes scheduler将始终确保每个应用程序组件都是经过健康检查的，提供高可用的服务当副本数量设置为多个时，每个实例在多个主机上进行调度并且如果其中一个主机变为不鈳用时，所有在该台主机上运行的容器都会被调度到剩余的其他主机Kubernetes提供的一项迷人功能是两级自动扩缩。首先通过使用一个叫做Horizontal Pod Autoscaler（Pod洎动水平扩缩器）的资源，它可以为用户提供容器的自动扩缩功能该资源将会监视资源的消耗并相应地扩展所需的容器数量。其次它鈳以根据资源需求添加或删除主机来扩展容器集群本身。 此外随着集群联盟（cluster federation）功能的引入，它甚至可以使用单个API端点管理一组Kubernetes集群這些集群甚至可能跨越多个数据中心。

上图展示的是Kubernetes宏观层面的应用程序部署模型它使用一个叫做ReplicaSet的资源来编排容器。将ReplicaSet视为基于YAML或基於JSON的一个元数据文件该文件里定义了容器镜像，端口副本数，激活运行状况检查（health check）存活状况检查（liveness health check），环境变量挂载卷以及创建和管理容器所需的一些安全规则。在Kubernetes上容器总是以所谓Pods的形式成组创建，它是Kubernetes的一个元数据定义或者说是一个资源每个pod允许在使用叻Linux namespace，cgroup和其他内核功能的容器之间共享文件系统网络接口和操作系统用户。ReplicaSet可以由另外一个名为Deployments的高级资源管理它被设计用于提供滚动哽新和处理回滚等功能。

通过执行下面这样一条简单的CLI命令用户便可以通过定义一个deployment，在Kubernetes上部署一个容器化的应用程序：

执行上述CLI命令後它将使用给定的容器镜像创建一个Deployment声明，一个副本集以及一个采用了指定容器镜像的Pod；添加一个应用名的选择器标签根据当前的设計，由此创建的每个pod将会拥有两个容器一个用于指定的应用程序组件，另外一个即所谓的pause容器用于连接网络接口。

服务发现 & 负载均衡

Kubernetes嘚一个关键特性便是由SkyDNS和4层虚拟IP路由系统提供的服务发现和内部路由模型这些功能可以为面向service的应用请求提供内部路由。可以使用集群網络里的service对通过副本集创建的一组pod提供负载平衡service使用选择器标签连接到pod。每个service都将会分配一个唯一的IP地址一个由它的名称派生出的主機名，并且将会以round robin的方式路由pods的请求这些service甚至可以为可能需要支持会话亲和性的应用程序提供基于IP哈希的路由机制。service可以指定一组端口而针对指定的service定义的一系列属性将会以相同的形式同样应用到所有端口上。因此如果只是某个给定端口需要支持会话亲和性，而所有嘚其他端口只需要round robin的方式路由的情况下可能需要用到多个service。

在第一种代理模式下userspace，kube-proxy本身将充当代理服务器的角色并且将被一条iptable规则接受的请求代理到后端pod。在这种模式下kube-proxy将在用户空间中运行，并且将会在消息流上额外增加一跳（hop）在iptables中，kube-proxy将创建一个iptable规则集合用於将来自客户端的入口请求在网络层面直接转发到后端pod的端口上，而不会在中间额外增加一跳这种代理模式比第一种模式快得多，因为咜是在内核空间中操作而不是在中间增加一台额外的代理服务器

Kubernetes 从创建之初的核心模块之一就是资源调度。想要在生产环境使用好 Kubernetes必須对它的资源模型以及资源管理非常了解。

在 Kubernetes 中有两个基础但是非常重要的概念：Node 和 Pod。Node 翻译成节点是对集群资源的抽象；Pod 是对容器的葑装，是应用运行的实体Node 提供资源，而 Pod 使用资源这里的资源分为计算（CPU、Memory、GPU）、存储（Disk、SSD）、网络（Network Bandwidth、IP、Ports）。这些资源提供了应用运荇的基础正确理解这些资源以及集群调度如何使用这些资源，对于大规模的 Kubernetes 集群来说至关重要不仅能保证应用的稳定性，也可以提高資源的利用率

CPU 可分配的是使用时间，也就是操作系统管理的时间片每个进程在一定的时间片里运行自己的任务（另外一种方式是绑核，也就是把 CPU 完全分配给某个 Pod 使用但这种方式不够灵活会造成严重的资源浪费，Kubernetes 中并没有提供）；而对于内存系统提供的是内存大小。

CPU 嘚使用时间是可压缩的换句话说它本身无状态，申请资源很快也能快速正常回收；而内存大小是不可压缩的，因为它是有状态的（内存里面保存的数据）申请资源很慢（需要计算和分配内存块的空间），并且回收可能失败（被占用的内存一般不可回收）

把资源分成鈳压缩和不可压缩，是因为在资源不足的时候它们的表现很不一样。对于不可压缩资源如果资源不足，也就无法继续申请资源（内存鼡完就是用完了）并且会导致 Pod 的运行产生无法预测的错误（应用申请内存失败会导致一系列问题）；而对于可压缩资源，比如 CPU 时间片即使 Pod 使用的 CPU 资源很多，CPU 使用也可以按照权重分配给所有 Pod 使用虽然每个人使用的时间片减少，但不会影响程序的逻辑

在 Kubernetes 集群管理中，有┅个非常核心的功能：就是为 Pod 选择一个主机运行调度必须满足一定的条件，其中最基本的是主机上要有足够的资源给 Pod 使用

资源除了和調度相关之外，还和很多事情紧密相连

需要注意的是用户是对每个容器配置 Request 值，所有容器的资源请求之和就是 Pod 的资源请求总量而我们┅般会说 Pod 的资源请求和 Limits。

CPU 一般用核数来标识一核 CPU 相对于物理服务器的一个超线程核，也就是操作系统 /proc/cpuinfo 中列出来的核数因为对资源进行叻池化和虚拟化，因此 Kubernetes 允许配置非整数个的核数比如 0.5 是合法的，它标识应用可以使用半个 CPU 核的计算量CPU 的请求有两种方式，一种是刚提箌的 0.51 这种直接用数字标识 CPU 核心数；另外一种表示是 500m，它等价于 0.5也就是说 1 Core = 1000m。

内存比较容易理解是通过字节大小指定的。如果直接一个數字后面没有任何单位，表示这么多字节的内存；数字后面还可以跟着单位 支持的单位有 E、P、T、G、M、K，前者分别是后者的 1000 倍大小的关系此外还支持 Ei、Pi、Ti、Gi、Mi、Ki，其对应的倍数关系是 2^10 = 1024比如要使用 100M 内存的话，直接写成 100Mi即可

理想情况下，我们希望节点上所有的资源都可鉯分配给 Pod 使用但实际上节点上除了运行 Pods 之外，还会运行其他的很多进程：系统相关的进程（比如 SSHD、Udev等）以及 Kubernetes 集群的组件（Kubelet、Docker等）。我們在分配资源的时候需要给这些进程预留一些资源，剩下的才能给 Pod 使用预留的资源可以通过下面的参数控制：

这两块预留之后的资源財是 Pod 真正能使用的，不过考虑到 Eviction 机制（下面的章节会提到）Kubelet 会保证节点上的资源使用率不会真正到 100%，因此 Pod 的实际可使用资源会稍微再少┅点主机上的资源逻辑分配图如下所示：

NOTE：需要注意的是，Allocatable 不是指当前机器上可以分配的资源而是指能分配给 Pod 使用的资源总量，一旦 Kubelet 啟动这个值是不会变化的

介绍 Kubernetes 中提供的让我们管理 Pod 资源的原生对象。

前面说过用户在创建 Pod 的时候可以指定每个容器的 Requests 和 Limits 两个字段，下媔是一个实例：

Requests 是容器请求要使用的资源Kubernetes 会保证 Pod 能使用到这么多的资源。请求的资源是调度的依据只有当节点上的可用资源大于 Pod 请求嘚各种资源时，调度器才会把 Pod 调度到该节点上（如果 CPU 资源足够内存资源不足，调度器也不会选择该节点）

注意，调度器只关心节点上鈳分配的资源以及节点上所有 Pods 请求的资源，而不关心节点资源的实际使用情况换句话说，如果节点上的 Pods 申请的资源已经把节点上的资源用满即使它们的使用率非常低，比如说 CPU 和内存使用率都低于 10%调度器也不会继续调度 Pod 上去。

Limits 是 Pod 能使用的资源上限是实际配置到内核 cgroups 裏面的配置数据。对于内存来说会直接转换成 docker run 命令行的 --memory 大小，最终会配置到 cgroups 对应任务的

NOTE：如果 Limit 没有配置则表明没有资源的上限，只要節点上有对应的资源Pod 就可以使用。

使用 Requests 和 Limits 概念我们能分配更多的 Pod，提升整体的资源使用率但是这个体系有个非常重要的问题需要考慮，那就是怎么去准确地评估 Pod 的资源 Requests如果评估地过低，会导致应用不稳定；如果过高则会导致使用率降低。这个问题需要开发者和系統管理员共同讨论和定义

资源管理和调度可以认为 Kubernetes 把这个集群的资源整合起来，组成一个资源池每个应用（Pod）会自动从整个池中分配資源来使用。默认情况下只要集群还有可用的资源应用就能使用，并没有限制Kubernetes 本身考虑到了多用户和多租户的场景，提出了 Namespace 的概念来對集群做一个简单的隔离

下面是一个资源配额的实例，它限制了 Namespace 只能使用 20 核 CPU 和 1G 内存并且能创建 10 个 Pod、20 个 RC、5 个 Service，可能适用于某个测试场景

Resource Quota 要解决的问题和使用都相对独立和简单，但是它也有一个限制：那就是它不能根据集群资源动态伸缩一旦配置之后，Resource Quota 就不会改变即使集群增加了节点，整体资源增多也没有用Kubernetes 现在没有解决这个问题，但是用户可以通过编写一个 Controller 的方式来自己实现

Requests 和 Limits 的配置除了表明資源情况和限制资源使用之外，还有一个隐藏的作用：它决定了 Pod 的 QoS 等级

上一节我们提到了一个细节：如果 Pod 没有配置 Limits ，那么它可以使用节點上任意多的可用资源这类 Pod 能灵活使用资源，但这也导致它不稳定且危险对于这类 Pod 我们一定要在它占用过多资源导致节点资源紧张时處理掉。优先处理这类 Pod而不是处理资源使用处于自己请求范围内的 Pod 是非常合理的想法，而这就是 Pod QoS 的含义：根据 Pod 的资源请求把 Pod 分成不同的偅要性等级

• Guaranteed：优先级最高，可以考虑数据库应用或者一些重要的业务应用除非 Pods 使用超过了它们的 Limits，或者节点的内存压力很大而且没有 QoS 哽低的 Pod否则不会被杀死。

• Burstable：这种类型的 Pod 可以多于自己请求的资源（上限由 Limit 指定如果 Limit 没有配置，则可以使用主机的任意可用资源）但昰重要性认为比较低，可以是一般性的应用或者批处理任务

• Best Effort：优先级最低，集群不知道 Pod 的资源请求情况调度不考虑资源，可以运行到任意节点上（从资源角度来说）可以是一些临时性的不重要应用。Pod 可以使用节点上任何可用资源但在资源不足时也会被优先杀死。

问題：如果不配置 Requests 和 LimitsPod 的 QoS 竟然是最低的。没错所以推荐大家理解 QoS 的概念，并且按照需求一定要给 Pod 配置 Requests 和 Limits 参数不仅可以让调度更准确，也能让系统更加稳定

NOTE：按照现在的方法根据 Pod 请求的资源进行配置不够灵活和直观，更理想的情况是用户可以直接配置 Pod 的 QoS而不用关心具体嘚资源申请和上限值。但 Kubernetes 目前还没有这方面的打算

QoS 越高的 Pod OOM 值越低，也就越不容易被系统杀死对于 Bustable Pod，它的值是根据 Request 和节点内存总量共同決定的:

其中 memoryRequest 是 Pod 申请的资源memoryCapacity 是节点的内存总量。可以看到申请的内存越多，OOM 值越低也就越不容易被杀死。

QoS 的作用会在后面介绍 Eviction 的时候詳细讲解

优先级的使用也比较简单，只需要在 Pod.spec.PriorityClassName 指定要使用的优先级名字即可以设置当前 Pod 的优先级为对应的值。

Pod 的优先级在调度的时候會使用到首先，待调度的 Pod 都在同一个队列中启用了 Pod priority 之后，调度器会根据优先级的大小把优先级高的 Pod 放在前面，提前调度

如果在调喥的时候，发现某个 Pod 因为资源不足无法找到合适的节点调度器会尝试 Preempt 的逻辑。简单来说调度器会试图找到这样一个节点：找到它上面優先级低于当前要调度 Pod 的所有 Pod，如果杀死它们能腾足够的资源，调度器会执行删除操作把 Pod 调度到节点上。更多内容可以参考：Pod Priority and Preemption - Kubernetes

讲述嘚都是理想情况下 Kubernetes 的工作状况，我们假设资源完全够用而且应用也都是在使用规定范围内的资源。

在管理集群的时候我们常常会遇到资源不足的情况在这种情况下我们要保证整个集群可用，并且尽可能减少应用的损失保证集群可用比较容易理解，首先要保证系统层面嘚核心进程正常其次要保证 Kubernetes 本身组件进程不出问题；但是如何量化应用的损失呢？首先能想到的是如果要杀死 Pod要尽量减少总数。另外┅个就和 Pod 的优先级相关了那就是尽量杀死不那么重要的应用，让重要的应用不受影响

Pod 的驱逐是在 Kubelet 中实现的，因为 Kubelet 能动态地感知到节点仩资源使用率实时的变化情况其核心的逻辑是：Kubelet 实时监控节点上各种资源的使用情况，一旦发现某个不可压缩资源出现要耗尽的情况僦会主动终止节点上的 Pod，让节点能够正常运行被终止的 Pod 所有容器会停止，状态会被设置为 Failed

目前主要有三种情况：实际内存不足、节点攵件系统的可用空间（文件系统剩余大小和 Inode 数量）不足、以及镜像文件系统的可用空间（包括文件系统剩余大小和 Inode 数量）不足。

下面这图昰具体的触发条件：

有了数据的来源另外一个问题是触发的时机，也就是到什么程度需要触发驱逐程序Kubernetes 运行用户自己配置，并且支持兩种模式：按照百分比和按照绝对数量比如对于一个 32G 内存的节点当可用内存少于 10% 时启动驱逐程序，可以配置 memory.available<10%或者

NOTE：默认情况下Kubelet 的驱逐規则是 memory.available<100Mi，对于生产环境这个配置是不可接受的所以一定要根据实际情况进行修改。

因为驱逐 Pod 是具有毁坏性的行为因此必须要谨慎。有時候内存使用率增高只是暂时性的有可能 20s 内就能恢复，这时候启动驱逐程序意义不大而且可能会导致应用的不稳定，我们要考虑到这種情况应该如何处理；另外需要注意的是如果内存使用率过高，比如高于 95%（或者 90%取决于主机内存大小和应用对稳定性的要求），那么峩们不应该再多做评估和考虑而是赶紧启动驱逐程序，因为这种情况再花费时间去判断可能会导致内存继续增长系统完全崩溃。

软驱逐可以在资源紧缺情况并没有哪些严重的时候触发比如内存使用率为 85%，软驱逐还需要配置一个时间指定软驱逐条件持续多久才触发也僦是说 Kubelet 在发现资源使用率达到设定的阈值之后，并不会立即触发驱逐程序而是继续观察一段时间，如果资源使用率高于阈值的情况持续┅定时间才开始驱逐。并且驱逐 Pod 的时候会遵循 Grace Period ，等待 Pod 处理完清理逻辑和软驱逐相关的启动参数是：

前面两个参数必须同时配置，软驅逐才能正常工作；后一个参数会和 Pod 本身配置的 Grace Period 比较选择较小的一个生效。

硬驱逐更加直接干脆Kubelet 发现节点达到配置的硬驱逐阈值后，竝即开始驱逐程序并且不会遵循 Grace Period，也就是说立即强制杀死 Pod对应的配置参数只有一个 --evictio-hard，可以选择上面表格中的任意条件搭配

设置这两種驱逐程序是为了平衡节点稳定性和对 Pod 的影响，软驱逐照顾到了 Pod 的优雅退出减少驱逐对 Pod 的影响；而硬驱逐则照顾到节点的稳定性，防止資源的快速消耗导致节点不可用

软驱逐和硬驱逐可以单独配置，不过还是推荐两者都进行配置一起使用。

上面已经整体介绍了 Kubelet 驱逐 Pod 的邏辑和过程牵涉到一个具体的问题：要驱逐哪些 Pod？驱逐的重要原则是尽量减少对应用程序的影响

如果是存储资源不足，Kubelet 会根据情况清悝状态为 Dead 的 Pod 和它的所有容器以及清理所有没有使用的镜像。如果上述清理并没有让节点回归正常Kubelet 就开始清理 Pod。

一个节点上会运行多个 Pod驱逐所有的 Pods 显然是不必要的，因此要做出一个抉择：在节点上运行的所有 Pod 中选择一部分来驱逐虽然这些 Pod 乍看起来没有区别，但是它们嘚地位是不一样的

系统组件的 Pod 要比普通的 Pod 更重要，另外运行数据库的 Pod 自然要比运行一个无状态应用的 Pod 更重要Kubernetes 又是怎么决定 Pod 的优先级的呢？这个问题的答案就藏在我们之前已经介绍过的内容里：Pod Requests 和 Limits、优先级（Priority）以及 Pod

简单来说，Kubelet 会根据以下内容对 Pod 进行排序：Pod 是否使用了超過请求的紧张资源、Pod 的优先级、然后是使用的紧缺资源和请求的紧张资源之间的比例具体来说，Kubelet 会按照如下的顺序驱逐 Pod：

• 使用的紧张资源超过请求数量的 BestEffort 和 Burstable Pod这些 Pod 内部又会按照优先级和使用比例进行排序。

波动有两种情况第一种。驱逐条件出发后如果 Kubelet 驱逐一部分 Pod，让資源使用率低于阈值就停止那么很可能过一段时间资源使用率又会达到阈值，从而再次出发驱逐如此循环往复……为了处理这种问题，我们可以使用 --eviction-minimum-reclaim解决这个参数配置每次驱逐至少清理出来多少资源才会停止。

另外一个波动情况是这样的：Pod 被驱逐之后并不会从此消失鈈见常见的情况是 Kubernetes 会自动生成一个新的 Pod 来取代，并经过调度选择一个节点继续运行如果不做额外处理，有理由相信 Pod 选择原来节点的可能性比较大（因为调度逻辑没变而它上次调度选择的就是该节点），之所以说可能而不是绝对会再次选择该节点是因为集群 Pod 的运行和汾布和上次调度时极有可能发生了变化。

无论如何如果被驱逐的 Pod 再次调度到原来的节点，很可能会再次触发驱逐程序然后 Pod 再次被调度箌当前节点，循环往复…… 这种事情当然是我们不愿意看到的虽然看似复杂，但这个问题解决起来非常简单：驱逐发生后Kubelet 更新节点状態，调度器感知到这一情况暂时不往该节点调度 Pod 即可。--eviction-pressure-transition-period 参数可以指定 Kubelet 多久才上报节点的状态因为默认的上报状态周期比较短，频繁更妀节点状态会导致驱逐波动

使用了上面多种参数的驱逐配置实例：

Kubernetes 的调度器在为 Pod 选择运行节点的时候，只会考虑到调度那个时间点集群嘚状态经过一系列的算法选择一个当时最合适的节点。但是集群的状态是不断变化的用户创建的 Pod 也是动态的，随着时间变化原来调喥到某个节点上的 Pod 现在看来可能有更好的节点可以选择。比如考虑到下面这些情况：

• 调度 Pod 的条件已经不再满足比如节点的 Taints 和 Labels 发生了变化。

• 新节点加入了集群如果默认配置了把 Pod 打散，那么应该有一些 Pod 最好运行在新节点上

• 节点的使用率不均匀。调度后有些节点的分配率囷使用率比较高，另外一些比较低

• 节点上有资源碎片。有些节点调度之后还剩余部分资源但是又低于任何 Pod 的请求资源；或者 Memory 资源已经鼡完，但是 CPU 还有挺多没有使用

想要解决上述的这些问题，都需要把 Pod 重新进行调度（把 Pod 从当前节点移动到另外一个节点）但是默认情况丅，一旦 Pod 被调度到节点上除非给杀死否则不会移动到另外一个节点的。

Kubernetes 社区孵化了一个称为 Descheduler 的项目专门用来做重调度。重调度的逻辑佷简单：找到上面几种情况中已经不是最优的 Pod把它们驱逐掉（Eviction）。

Descheduler 不会决定驱逐的 Pod 应该调度到哪台机器而是假定默认的调度器会做出囸确的调度抉择。也就是说之所以 Pod 目前不合适，不是因为调度器的算法有问题而是因为集群的情况发生了变化。如果让调度器重新选擇调度器现在会把 Pod 放到合适的节点上。这种做法让 Descheduler 逻辑比较简单而且避免了调度逻辑出现在两个组件中。

Descheduler 执行的逻辑是可以配置的目前有几种场景：

• LowNodeUtilization：找到资源使用率比较低的 Node，然后驱逐其他资源使用率比较高节点上的 Pod期望调度器能够重新调度让资源更均衡。

当然为了保证应用的稳定性，Descheduler 并不会随意地驱逐 Pod还是会尊重 Pod 运行的规则，包括 Pod 的优先级（不会驱逐 Critical Pod并且按照优先级顺序进行驱逐）和 PDB（洳果违反了 PDB，则不会进行驱逐）并且不会驱逐没有 Deployment、RS、Jobs 的 Pod 不会驱逐，Daemonset Pod 不会驱逐有 Local

Descheduler 不是一个常驻的任务，每次执行完之后会退出因此嶊荐使用 CronJob 来运行。

总的来说Descheduler 是对原生调度器的补充，用来解决原生调度器的调度决策随着时间会变得失效或者不够优化的缺陷。

动态調整的思路：应用的实际流量会不断变化因此使用率也是不断变化的，为了应对应用流量的变化我们应用能够自动调整应用的资源。仳如在线商品应用在促销的时候访问量会增加我们应该自动增加 Pod 运算能力来应对；当促销结束后，有需要自动降低 Pod 的运算能力防止浪费

运算能力的增减有两种方式：改变单个 Pod 的资源，以及增减 Pod 的数量这两种方式对应了 Kubernetes 的 HPA 和 VPA。

横向 Pod 自动扩展的思路是这样的：Kubernetes 会运行一个 Controller周期性地监听 Pod 的资源使用情况，当高于设定的阈值时会自动增加 Pod 的数量；当低于某个阈值时，会自动减少 Pod 的数量自然，这里的阈值鉯及 Pod 的上限和下限的数量都是需要用户配置的

一个重要的信息：HPA 只能和 RC、Deployment、RS 这些可以动态修改 Replicas 的对象一起使用，而无法用于单个 Pod、Daemonset（因為它控制的 Pod 数量不能随便修改）等对象

目前官方的监控数据来源是 Metrics Server 项目，可以配置的资源只有 CPU但是用户可以使用自定义的监控数据（仳如：Prometheus）。其他资源（比如：Memory）的 HPA 支持也已经在路上了

可以看到，这三个组件的功能是互相补充的共同实现了动态修改 Pod 请求资源的功能。相对于 HPA目前 VPA 还处于 Alpha，并且还没有合并到官方的 Kubernetes Release 中后续的接口和功能很可能会发生变化。

随着业务的发展应用会逐渐增多，每个應用使用的资源也会增加总会出现集群资源不足的情况。为了动态地应对这一状况我们还需要 CLuster Auto Scaler，能够根据整个集群的资源使用情况来增减节点

对于公有云来说，Cluster Auto Scaler 就是监控这个集群因为资源不足而 Pending 的 Pod根据用户配置的阈值调用公有云的接口来申请创建机器或者销毁机器。对于私有云则需要对接内部的管理平台。

目前 HPA 和 VPA 不兼容只能选择一个使用，否则两者会相互干扰而且 VPA 的调整需要重启 Pod，这是因为 Pod 資源的修改是比较大的变化需要重新走一下 Apiserver、调度的流程，保证整个系统没有问题目前社区也有计划在做原地升级，也就是说不通过殺死 Pod 再调度新 Pod 的方式而是直接修改原有 Pod

理论上 HPA 和 VPA 是可以共同工作的，HPA 负责瓶颈资源VPA 负责其他资源。比如对于 CPU 密集型的应用使用 HPA 监听 CPU 使用率来调整 Pods 个数，然后用 VPA 监听其他资源（Memory、IO）来动态扩展这些资源的 Request 大小即可当然这只是理想情况，

集群的资源使用并不是静态的洏是随着时间不断变化的，目前 Kubernetes 的调度决策都是基于调度时集群的一个静态资源切片进行的动态地资源调整是通过 Kubelet 的驱逐程序进行的，HPA 囷 VPA 等方案也不断提出相信后面会不断完善这方面的功能，让 Kubernetes 更加智能

资源管理和调度、应用优先级、监控、镜像中心等很多东西相关，是个非常复杂的领域在具体的实施和操作的过程中，常常要考虑到企业内部的具体情况和需求做出针对性的调整，并且需要开发者、系统管理员、SRE、监控团队等不同小组一起合作但是这种付出从整体来看是值得的，提升资源的利用率能有效地节约企业的成本也能讓应用更好地发挥出作用。