K8s集群调度续章

目录

一、污点（Taint）

1、污点（Taint）

2、污点组成格式

3、当前taint effect支持如下三个选项：

4、查看node节点上的污点

5、设置污点

6、清除污点

7、示例一

查看pod状态，模拟驱逐node02上的pod

设置驱逐node02

再次查看pod状态

此时node02全部被驱逐

二、容忍（Tolerations）

1、容忍的简介

2、面对污点，创建pod资源的容忍的实例

在两个 Node 上都设置了污点后，此时 Pod 将无法创建成功

然后在修改pod3.yaml文件创建pod资源的容忍设置

此时pod创建成功

3、其他注意事项

①当不指定 key 值时，表示容忍所有的污点 key

②当不指定 effect 值时，表示容忍所有的污点作用

③有多个 Master 存在时，防止资源浪费，可以如下设置

4、维护操作cordon和drain

5、pod启动阶段（相位phase）

5.1.一般来说，pod 这个过程包含以下几个步骤：

5.2.phase的可能状态有

6、如何和删除UNknown状态的pod

三、k8s集群的故障排查步骤

1、查看pod事件

2、查看pod日志（Failed状态下）

3、进入pod（状态为running，但是服务没有提供）

4、查看集群信息

5、发现集群状态正常

6、查看kubelet日志发现

---

一、污点（Taint）

1、污点（Taint）

①节点亲和性，是Pod的一种属性（偏好或硬性要求），它是Pod被吸引到一类特定的节点。Taint则相反，它使得节点能够排斥一类特定的pod。

②Taint与Toleration相互配合，可以用来避免pod被分配到不合适的节点上。每个节点上的都可以应用一个或者多个Taint，这表示对于那些不能容忍这些 taint 的 Pod，是不会被该节点接受的。如果将 toleration 应用于 Pod 上，则表示这些 Pod 可以（但不一定）被调度到具有匹配 taint 的节点上。

③使用 kubectl taint 命令可以给某个 Node 节点设置污点，Node 被设置上污点之后就和 Pod 之间存在了一种相斥的关系，可以让 Node 拒绝 Pod 的调度执行，甚至将 Node 已经存在的 Pod 驱逐出去。

2、污点组成格式

key=value:effect## 每个污点有一个 key 和 value 作为污点的标签，其中 value 可以为空，effect 描述污点的作用。

3、当前taint effect支持如下三个选项：

①NoSchedule：表示 k8s 将不会将 Pod 调度到具有该污点的 Node 上

②PreferNoSchedule：表示 k8s 将尽量避免将 Pod 调度到具有该污点的 Node 上

③NoExecute：表示 k8s 将不会将 Pod 调度到具有该污点的 Node 上，同时会将 Node 上已经存在的 Pod 驱逐出去

4、查看node节点上的污点

格式：kubectl describe nodes <节点名称> | grep Taints 
或者是kubectl describe nodes <节点名称> | grep -i taints
eg：查看master01的污点
kubectl describe nodes master01 |grep -i taints

5、设置污点

格式kubectl taint node 指定的node key1=value1:NoSchedule
eg：给node01  设置污点进行测试
kubectl taint node node01 abc=a:NoSchedule

6、清除污点

格式：kubectl taint node 指定的node key:NoSchedule-
eg：清除node01 设置的污点
kubectl taint node node01 abc:NoSchedule-

7、示例一

查看pod状态，模拟驱逐node02上的pod

[root@master01 ~]]#kubectl get pods -owide
查看pod状态

设置驱逐node02

kubectl taint node node02 check=mycheck:NoExecute

再次查看pod状态

kubectl get pods -owide
NAME                                READY   STATUS    RESTARTS   AGE   IP            NODE     NOMINATED NODE   READINESS GATES
affinity                            1/1     Running   0          20h   10.244.2.24   node01   <none>           <none>
myapp-699655c7fd-rnfzg              1/1     Running   0          20h   10.244.2.23   node01   <none>           <none>
myapp-699655c7fd-v2dtt              1/1     Running   0          20h   10.244.2.22   node01   <none>           <none>
myapp-699655c7fd-vxbz9              1/1     Running   0          20h   10.244.2.21   node01   <none>           <none>
myapp1-58794f76cb-6twr4             1/1     Running   0          20h   10.244.2.27   node01   <none>           <none>
myapp1-58794f76cb-75gzs             1/1     Running   0          20h   10.244.2.25   node01   <none>           <none>
myapp1-58794f76cb-v5gcz             1/1     Running   0          20h   10.244.2.26   node01   <none>           <none>
myapp10                             1/1     Running   0          19h   10.244.2.28   node01   <none>           <none>
myapp20                             1/1     Running   0          19h   10.244.2.29   node01   <none>           <none>
nginx-deployment-797d747cf6-nldj2   1/1     Running   0          29s   10.244.2.31   node01   <none>           <none>
nginx-deployment-797d747cf6-sqcm9   1/1     Running   0          29s   10.244.2.32   node01   <none>           <none>
nginx-deployment-797d747cf6-t4tsk   1/1     Running   0          29s   10.244.2.30   node01   <none>           <none>

此时node02全部被驱逐

二、容忍（Tolerations）

1、容忍的简介

设置了污点的 Node 将根据 taint 的 effect:NoSchedule、PreferNoSchedule、NoExecute 和 Pod 之间产生互斥的关系，Pod 将在一定程度上不会被调度到 Node 上。但我们可以在 Pod 上设置容忍(Tolerations)，意思是设置了容忍的 Pod 将可以容忍污点的存在，可以被调度到存在污点的 Node 上。

2、面对污点，创建pod资源的容忍的实例

kubectl taint node node01 check=mycheck:NoExecute
vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:name: myapp01labels:app: myapp01
spec:containers:- name: with-node-affinityimage: nginx:1.14tolerations:- key: "abc"operator: "Equal"value: "a"effect: "NoExecute"tolerationSeconds: 3600

在两个 Node 上都设置了污点后，此时 Pod 将无法创建成功

然后在修改pod3.yaml文件创建pod资源的容忍设置

vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:name: myapp01labels:app: myapp01
spec:containers:- name: with-node-affinityimage: soscscs/myapp:v1tolerations:- key: "check"operator: "Equal"value: "mycheck"effect: "NoExecute"tolerationSeconds: 3600
[root@master01 ~]]#kubectl delete -f pod3.yaml 
pod "myapp01" deleted
[root@master01 ~]]#kubectl apply -f pod3.yaml 
pod/myapp01 created
[root@master01 ~]]#kubectl get pods -owide
NAME                                READY   STATUS    RESTARTS   AGE     IP            NODE     NOMINATED NODE   READINESS GATES
affinity                            1/1     Running   0          23h     10.244.2.24   node01   <none>           <none>
myapp-699655c7fd-rnfzg              1/1     Running   0          23h     10.244.2.23   node01   <none>           <none>
myapp-699655c7fd-v2dtt              1/1     Running   0          23h     10.244.2.22   node01   <none>           <none>
myapp-699655c7fd-vxbz9              1/1     Running   0          23h     10.244.2.21   node01   <none>           <none>
myapp01                             1/1     Running   0          87s     10.244.1.18   node02   <none>           <none>
myapp1-58794f76cb-6twr4             1/1     Running   0          23h     10.244.2.27   node01   <none>           <none>
myapp1-58794f76cb-75gzs             1/1     Running   0          23h     10.244.2.25   node01   <none>           <none>
myapp1-58794f76cb-v5gcz             1/1     Running   0          23h     10.244.2.26   node01   <none>           <none>
myapp10                             1/1     Running   0          23h     10.244.2.28   node01   <none>           <none>
myapp20                             1/1     Running   0          23h     10.244.2.29   node01   <none>           <none>
nginx-deployment-797d747cf6-nldj2   1/1     Running   0          3h20m   10.244.2.31   node01   <none>           <none>
nginx-deployment-797d747cf6-sqcm9   1/1     Running   0          3h20m   10.244.2.32   node01   <none>           <none>
nginx-deployment-797d747cf6-t4tsk   1/1     Running   0          3h20m   10.244.2.30   node01   <none>           <none>

#其中的 key、vaule、effect 都要与 Node 上设置的 taint 保持一致
#operator 的值为 Exists 将会忽略 value 值，即存在即可
#tolerationSeconds 用于描述当 Pod 需要被驱逐时可以在 Node 上继续保留运行的时间

此时pod创建成功

3、其他注意事项

①当不指定 key 值时，表示容忍所有的污点 key

tolerations:
  - operator: "Exists"

②当不指定 effect 值时，表示容忍所有的污点作用

tolerations:
  - key: "key"
    operator: "Exists"

③有多个 Master 存在时，防止资源浪费，可以如下设置

kubectl taint node Master-Name node-role.kubernetes.io/master=:PreferNoSchedule

//如果某个 Node 更新升级系统组件，为了防止业务长时间中断，可以先在该 Node 设置 NoExecute 污点，把该 Node 上的 Pod 都驱逐出去
kubectl taint node node01 check=mycheck:NoExecute

//此时如果别的 Node 资源不够用，可临时给 Master 设置 PreferNoSchedule 污点，让 Pod 可在 Master 上临时创建
kubectl taint node master node-role.kubernetes.io/master=:PreferNoSchedule

//待所有 Node 的更新操作都完成后，再去除污点
kubectl taint node node01 check=mycheck:NoExecute-

4、维护操作cordon和drain

##对节点执行维护操作：
kubectl get nodes//将 Node 标记为不可调度的状态，这样就不会让新创建的 Pod 在此 Node 上运行
kubectl cordon <NODE_NAME>          #该node将会变为SchedulingDisabled状态//kubectl drain 可以让 Node 节点开始释放所有 pod，并且不接收新的 pod 进程。drain 本意排水，意思是将出问题的 Node 下的 Pod 转移到其它 Node 下运行
kubectl drain <NODE_NAME> --ignore-daemonsets --delete-emptydir-data --force--ignore-daemonsets：无视 DaemonSet 管理下的 Pod。
--delete-emptydir-data：如果有 mount local volume 的 pod，会强制杀掉该 pod。
--force：强制释放不是控制器管理的 Pod。注：执行 drain 命令，会自动做了两件事情:
（1）设定此 node 为不可调度状态（cordon)
（2）evict（驱逐）了 Pod//kubectl uncordon 将 Node 标记为可调度的状态
kubectl uncordon <NODE_NAME>

5、pod启动阶段（相位phase）

Pod 创建完之后，一直到持久运行起来，中间有很多步骤，也就有很多出错的可能，因此会有很多不同的状态。

5.1.一般来说，pod 这个过程包含以下几个步骤：

①调度到某台 node 上。kubernetes 根据一定的优先级算法选择一台 node 节点将其作为 Pod 运行的 node

②拉取镜像

③挂载存储配置等

④运行起来，如果有健康检查，会根据检查的结果来设置其状态

5.2.phase的可能状态有

①Pending：表示APIServer创建了Pod资源对象并已经存入了etcd中，但是它并未被调度完成（比如还没有调度到某台node上），或者仍然处于从仓库下载镜像的过程中。

②Running：Pod已经被调度到某节点之上，并且Pod中所有容器都已经被kubelet创建。至少有一个容器正在运行，或者正处于启动或者重启状态（也就是说Running状态下的Pod不一定能被正常访问）。

③Succeeded：有些pod不是长久运行的，比如job、cronjob，一段时间后Pod中的所有容器都被成功终止，并且不会再重启。需要反馈任务执行的结果。

④Failed：Pod中的所有容器都已终止了，并且至少有一个容器是因为失败终止。也就是说，容器以非0状态退出或者被系统终止，比如 command 写的有问题。

⑤Unknown：表示无法读取 Pod 状态，通常是 kube-controller-manager 无法与 Pod 通信。

6、如何和删除UNknown状态的pod

①从集群中删除有问题的 Node。使用公有云时，kube-controller-manager 会在 VM 删除后自动删除对应的 Node。 而在物理机部署的集群中，需要管理员手动删除 Node（kubectl delete node <node_name>）。

②被动等待 Node 恢复正常，Kubelet 会重新跟 kube-apiserver 通信确认这些 Pod 的期待状态，进而再决定删除或者继续运行这些 Pod。

③主动删除 Pod，通过执行 kubectl delete pod <pod_name> --grace-period=0 --force 强制删除 Pod。但是这里需要注意的是，除非明确知道 Pod 的确处于停止状态（比如 Node 所在 VM 或物理机已经关机），否则不建议使用该方法。特别是 StatefulSet 管理的 Pod，强制删除容易导致脑裂或者数据丢失等问题

三、k8s集群的故障排查步骤

1、查看pod事件

kubectl describe TYPE NAME_PREFIX  

2、查看pod日志（Failed状态下）

kubectl logs <POD_NAME> [-c Container_NAME]

3、进入pod（状态为running，但是服务没有提供）

kubectl exec –it <POD_NAME> bash

4、查看集群信息

kubectl get nodes

5、发现集群状态正常

kubectl cluster-info

6、查看kubelet日志发现

journalctl -xefu kubelet