体验ephemeral-storage特性来对Kubernetes中的应用做存储的限制和隔离

最新推荐文章于 2025-03-12 01:00:21 发布
转载 最新推荐文章于 2025-03-12 01:00:21 发布 · 4.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/594066
文章标签:

#运维

本文介绍了Kubernetes 1.8引入的ephemeral-storage特性,用于管理短暂存储资源,避免节点磁盘空间耗尽。通过设置Pod的requests和limits,系统会在满足存储需求的节点上调度Pod,并在超出限制时执行驱逐操作。体验过程包括准备1.10版本的Kubernetes集群,创建验证Pod,并观察超限后的Pod事件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


Kubernetes在1.8的版本中引入了一种类似于CPU,内存的新的资源模式:ephemeral-storage,并且在1.10的版本在kubelet中默认打开了这个特性。ephemeral-storage是为了管理和调度Kubernetes中运行的应用的短暂存储。在每个Kubernetes的节点上,kubelet的根目录(默认是/var/lib/kubelet)和日志目录(/var/log)保存在节点的主分区上,这个分区同时也会被Pod的EmptyDir类型的volume、容器日志、镜像的层、容器的可写层所占用。ephemeral-storage便是对这块主分区进行管理,通过应用定义的需求(requests)和约束(limits)来调度和管理节点上的应用对主分区的消耗。

在节点上的kubelet启动的时候,kubelet会统计当前节点的主分区的可分配的磁盘资源,或者你可以覆盖节点上kubelet的配置来自定义可分配的资源。在创建

最低0.47元/天 解锁文章

200万优质内容无限畅学
K8S篇之pod服务因空间资源不足问题而被驱逐Evicted问题
小橙子的笔记屋
06-16 169
修复pod异常因资源空间不足问题
Error排错:The node was low on resource: ephemeral-storage.
m0_59267075的博客
11-06 1万+
The node was low on resource: ephemeral-storage. 报错的解决过程
k8s容器驱逐之ephemeral-storage
u011739062的博客
03-11 6983
1.容器被驱逐,首先比较直观的是查看Event The node was low on resource: ephemeral-storage. Container zk was using 910316Ki, which exceeds its request of 0. 2.原因 cat /etc/docker/daemon.json { "exec-opts": ["native.cgroupdriver=systemd"], "log-driver": "json-f...
【一起来学kubernetes】8、k8s中的Ephemeral-Storage详解
最新发布
技术人集结地
03-12 1720
一起来学K8s,Ephemeral-Storage是Pod可以使用的本地存储(如emptyDir、某些类型的日志、容器可写的层等)的总量。这些存储空间在Pod被删除或重新调度时会被清空,因此它通常用于存储临时数据,如缓存、临时文件或容器间的共享数据。
kubernetes临时存储 Ephemeral Storage
耕耘
09-07 2223
各个卷则挂载在镜像内的指定路径上。Pod 配置中的每个容器必须独立指定各个卷的挂载位置。节点通常还可以具有本地的临时性存储,由本地挂载的可写入设备或者有时也用 RAM 来提供支持。“临时(Ephemeral)”意味着对所存储的数据不提供长期可用性的保证。Container 中的文件在磁盘上是临时存放的,使之Container中运行的相对重要的应用业务带来一些问题。字段中声明卷在容器中的挂载位置,容器中的进程看到的是由它们的 Docker 镜像卷组成的文件系统视图。字段中设置为 Pod 提供的卷,并在。
Kubernetes pod ephemeral-storage配置
hyneria_hope的博客
03-07 8987
ephemeral-storage 因为ephemeral-storage在k8s 到当前版本(1.8)都是alpha,ephemeral-storage功能默认是不启用的,如果你想使用ephemeral-storage功能需要,你在apiserver,kubelet的args中配置(–feature-gates=LocalStorageCapacityIsolation=true)重启进...
容器技术---(三)kubernetes存储
sss
11-30 354
Configmap配置管理 Configmap用于保存配置数据,以键值对形式存储;ConfigMap资源提供了向Pod注入配置数据的方法,旨在让镜像配置文件解耦,以便实现镜像的可移植性可复用性;典型的使用场景有:填充环境变量的值、设置容器内的命令行参数、填充卷的配置文件 创建ConfigMap的方式有4种:使用字面值创建、使用文件创建、使用目录创建、编写configmap的yaml文件创建 ##使用字面值创建,键值对的方式 ##使用文件创建,文件名为key,文件内容为值 ##使
Kubernetes云原生存储解决方案之 Rook Ceph实践探究
lldhsds的专栏
09-29 1842
kubernetes下三位一体的云原生分布式存储解决方案
kubernetes-入门指南
12-10
Kubernetes,通常缩写为k8s,是一种流行的开源容器编排系统,用于自动化容器化应用程序的部署、扩展管理。本指南将引导你逐步了解Kubernetes的基础知识,并帮助你快速入门。 1. **Kubernetes核心概念** - **Pod*...
Kubernetes 领域模型抽象应用层模型 - 使用 KCL 配置语言 & Konfig 配置库
dugudugudugu的博客
02-20 556
Kusion 配置语言( KCL )是一个开源的基于约束的记录及函数语言。KCL 通过成熟的编程语言技术实践来改进对大量繁杂配置比如云原生 kubernetes 配置场景的编写,致力于构建围绕配置的更好的模块化、扩展性稳定性,更简单的逻辑编写,以及更快的自动化集成良好的生态延展性。在 KCL 中, 推荐通过配置库的方式统一管理所有的配置清单模型库,即不仅存放抽象模型本身的 KCL 定义,还存放各种类型的配置清单,比如应用运维配置、策略配置等。
k8s的容器存储空间资源限制ephemeral-storage
热门推荐
sdmei
09-19 2万+
k8s1.8引入的特性限制容器存储空间的使用;对于容器资源隔离来说,非常有用,万一应用程序失控,写大量日志把node空间写满,影响就大了。 使用很简单,cpu\memcache一样,如: resources: requests: cpu: 1 memory: 2048Mi ephemeral-storage: 2Gi limits: cpu: 2 ...
k8s 资源预留
魏志标的博客
10-31 1万+
可压缩资源(CPU)不可压缩资源可压缩资源比如CPU超配后,在系统满负荷时会划分时间片分时运行进程,系统整体会变慢(一般不会导致太大的问题)。但不可压缩资源如Memory,当系统内存不足时,就有可能触发系统 OOM;这时候根据 oom score 来确定优先杀死哪个进程,而 oom_score_adj 又是影响 oom score 的重要参数,其值越低,表示 oom 的优先级越低。
kubernetes—Pod容器资源限制
ll945608651的博客
07-17 1908
当定义 Pod 时可以选择性地为每个容器设定所需要的资源数量。 最常见的可设定资源是 CPU 内存大小,以及其他类型的资源。 当为 Pod 中的容器指定了 request 资源时,代表容器运行所需的最小资源量,调度器就使用该信息来决定将 Pod 调度到哪个节点上。当还为容器指定了 limit 资源时,kubelet 就会确保运行的容器不会使用超出所设的 limit 资源量。kubelet 还会为容器预留所设的 request 资源量, 供该容器使用。
Kubernetes 上免费的容器存储及容灾备份恢复方案
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
01-15 235
云原生时代为什么还需要本地存储?云原生时代,对于有存储应用的容器化上云,一般的解决思路是“计算存储分离”,计算层通过容器技术实现弹性伸缩,而相应的存储层也需要配合进行“动态挂载”,要实现动态挂载能力,使用基于网络的存储系统可能是最佳选择。然而,“网络”存储的磁盘 IO 性能差、自带高可用能力的中间件系统不需要存储层的“动态挂载” 等种种原因,业界对本地存储还是“青睐有加”。因此类似 rabbitm...
OpenShift 4 - 节点是如何通过CRI-O运行容器的
多恩斯基的博客
09-10 1815
文章目录OpenShift节点运行容器过程Kubelet服务查看节点的CRI-O服务conmon监控进程参考 OpenShift节点运行容器过程 OpenShift 4的集群节点使用了基于CRI-O的容器运行环境。每个节点的kubelet通过gRPC调用CRI-O,而CRI-O运行符合OCI规范的容器。 Kubernetes联系kubelet来启动一个pod。 kubelet将请求通过CRI(Container runtime interface,容器运行时接口)转发给CRI-O守护进程,然后来启动新的P
我看Openstack的临时(Ephemeral)存储块(Block)存储
openstack技术博客
03-31 6922
背景 Openstack不管是Ephemeral Storage还是Block Storage, 其实从接口上看,其实都是块服务。那么为什么要搞两个不同的类型呢,本文从这两种不同类型块存储的实现上来分析下其中的原因。 临时存储 Openstack临时存储是由Nova提供的,主要是利用主机的本地存储给虚拟机提供卷服务。如果虚拟机停止了,挂在这个虚拟机上的任何临时存储自动释放。这样的实现
记一次 Kubernetes 集群 Pod Eviction 问题排查过程
代码改变世界
06-03 791
现象:一个普通的 k8s 集群,3 个 worker node,k8s 版本 v1.19.0。发现 worker 1 上运行的某些 pod 被 evicted。pod 中的 status.message 显示: 可以看到很多 pod 都是 Evicted 状态,并且错误信息也比较明确,The node was low on resource: ephemeral-storage,即 node 上的本地存储空间不足,导致 kubelet 触发了 eviction 流程,关于 Kubernetes 中的 No
真棒!3 种方法限制 Pod 磁盘容量,瞬间豁然开朗
云原生实验室
04-16 2772
Pod 如何使用磁盘容器在运行期间会产生临时文件、日志。如果没有任何配额机制,则某些容器可能很快将磁盘写满,影响宿主机内核所有应用。容器的临时存储,例如 emptyDir,位于目录/va...
云原生 | Kubernetes - 集群故障排查
Trollz的博客
12-20 2151
Cloud Native | Kubernetes - cluster troubleshooting
请结合 k8s的存储资源的限制的实例,与yaml ,说明 cgroup是如何 参与的
03-08
<think>好的,我现在需要回答用户关于Kubernetes存储资源限制中cgroup如何参与的问题,并且需要结合具体实例YAML配置。首先,我需要回忆Kubernetes存储资源限制的相关知识,尤其是临时存储Ephemeral Storage)的限制机制,以及cgroup在其中扮演的角色。 用户之前已经询问过Ephemeral Storage限制,现在想更深入地了解cgroup如何参与这一过程。我需要明确cgroup的作用,以及Kubernetes如何利用cgroup来实施存储资源的限制。用户可能需要具体的YAML示例来说明配置,以及cgroup的具体实现细节。 首先,Kubernetes中的资源限制通常分为CPU、内存存储。临时存储包括容器日志、emptyDir卷容器可写层。当设置ephemeral-storage的requestslimits时,kubelet会通过cgroup来实施这些限制。我需要确认cgroup的版本,因为v1v2在实现上有所不同。另外,存储资源的限制可能还依赖于文件系统的配额管理,如XFS的project quota,这部分需要cgroup的工作机制结合起来解释。 接下来,我需要查找Kubernetes官方文档中关于资源限制cgroup的部分,确保信息的准确性。例如,在cgroup v2中,可能使用io.max来控制块设备的写入量,而cgroup v1可能通过不同的子系统来管理。同时,需要说明当Pod的临时存储超过限制时,kubelet如何通过cgroup触发驱逐机制。 然后,我需要构建一个具体的YAML示例,展示如何设置ephemeral-storage限制,并解释这些配置如何映射到cgroup的设置。例如,Pod的ephemeral-storage limit会被kubelet转换为cgroup中的某些参数,进而由内核执行限制。 此外,用户可能对如何验证cgroup的配置感兴趣,因此需要提供查看cgroup配置的命令,例如在节点上检查相应的cgroup文件,或者使用工具如systemd-cgls来查看层次结构。 还需要考虑不同文件系统(如XFSext4)对配额的支持,以及它们如何与cgroup协同工作。例如,XFS的project quota需要预先配置,而Kubernetes会自动为每个Pod分配project ID,然后通过xfs_quota工具进行限制。这部分需要简明扼要地解释,避免过于技术化,但又要准确。 另外,可能需要提到kubelet的配置参数,例如如何启用cgroup驱动,以及节点级别的存储驱逐策略,这些都会影响cgroup的行为。 最后,总结cgroup在存储资源限制中的关键作用,强调其作为底层机制的重要性,以及用户如何通过Kubernetes的配置来间接管理cgroup,而无需直接操作cgroup文件。 在整理这些思路时,需要确保逻辑清晰,步骤明确,结合实例YAML,让用户能够理解从Kubernetes配置到cgroup实现的整个流程。同时,要注意术语的准确性,避免错误的信息,例如区分cgroup v1v2的不同处理方式,以及不同文件系统配额机制的差异。</think>以下是通过 Kubernetes 存储资源限制的完整实现案例,结合 **cgroup 的底层控制机制** 的具体解析: --- ### 一、核心概念关联 Kubernetes 通过 **cgroup** 实现以下存储资源的限制: 1. **临时存储 (Ephemeral Storage)**:日志、emptyDir、容器可写层 2. **块设备 I/O**:磁盘读写速率(需配合 `kubernetes.io/rbd` 等 CSI 驱动) --- ### 二、YAML 配置示例 #### 场景:限制 Pod 临时存储用量 ```yaml apiVersion: v1 kind: Pod metadata: name: cgroup-storage-demo spec: containers: - name: stress image: polinux/stress command: ["stress"] args: ["--vm", "1", "--vm-bytes", "800M"] # 故意写入 800MB 内存(触发交换文件) resources: limits: ephemeral-storage: "1Gi" # 总临时存储限制 requests: ephemeral-storage: "500Mi" volumeMounts: - name: temp-vol mountPath: /mnt/data volumes: - name: temp-vol emptyDir: sizeLimit: "300Mi" # emptyDir 独立限制 ``` --- ### 三、cgroup 参与细节 #### 1. 临时存储限制实现路径 ```mermaid graph LR A[Pod定义 ephemeral-storage.limits] --> B(kubelet 创建容器时) B --> C{检查文件系统类型} C -->|XFS/ext4 with quota| D[设置 Project Quota] C -->|其他文件系统| E[依赖 cgroup v2 的 io.max] D --> F[通过 xfs_quota 工具设置限制] E --> G[写入 /sys/fs/cgroup/.../io.max] ``` #### 2. 关键 cgroup 接口文件 - **cgroup v1**(旧版本): ```bash # 查看容器临时存储限制(单位:字节) cat /sys/fs/cgroup/memory/kubepods/burstable/pod<pod_id>/memory.limit_in_bytes ``` - **cgroup v2**(Kubernetes 1.25+): ```bash # 块设备写入总量限制(示例:限制为 1GB) echo "8:0 wbps=1073741824" > /sys/fs/cgroup/kubepods.slice/.../io.max ``` 其中 `8:0` 表示主设备号:次设备号,可通过 `lsblk -d -o MAJ:MIN` 查询 #### 3. 实际限制执行流程 1. **写入触发**:当容器进程尝试写入文件到 emptyDir 或生成日志时 2. **配额检查**: - 若使用 XFS project quota:内核直接拒绝超过 `sizeLimit` 的写入 - 若使用 cgroup v2:通过 `io.max` 计数器统计用量,超限时触发 OOM Kill 3. **驱逐事件**:kubelet 检测到超限后,标记 Pod 为 `Evicted` --- ### 四、调试验证方法 #### 1. 查看 cgroup 配置 ```bash # 进入节点,查找容器的 cgroup 路径 PID=$(docker inspect -f '{{.State.Pid}}' <container_id>) cat /proc/$PID/cgroup | grep memory # 查看具体限制值(cgroup v2 示例) ls -l /sys/fs/cgroup/kubepods.slice/kubepods-pod<pod_uid>.slice/*/io.max ``` #### 2. 实时监控存储用量 ```bash # 查看容器的临时存储消耗(kubelet 上报数据) kubectl exec cgroup-storage-demo -- df -h /mnt/data kubectl exec cgroup-storage-demo -- du -sh /var/log/ ``` --- ### 五、高级配置案例 #### 通过 cgroup 直接限制块设备 I/O ```yaml apiVersion: v1 kind: Pod metadata: name: direct-cgroup-io spec: containers: - name: iolimit image: nginx resources: limits: # 限制该容器每秒写磁盘不超过 10MB kubernetes.io/write-iops: "10Mi" volumeMounts: - mountPath: /data name: testvol volumes: - name: testvol emptyDir: {} ``` 需配合 kubelet 启动参数: ```bash --enforce-node-allocatable=pods --cgroups-per-qos=true ``` --- ### 六、关键配置文件位置 | 限制类型 | cgroup v1 路径 | cgroup v2 路径 | |----------------|-----------------------------------------------|-----------------------------------------------| | 存储写入总量 | /sys/fs/cgroup/memory/kubepods/.../memory.limit_in_bytes | /sys/fs/cgroup/kubepods.slice/.../io.max | | I/O 操作次数 | /sys/fs/cgroup/blkio/.../blkio.throttle.write_iops_device | /sys/fs/cgroup/.../io.max (iops=参数) | --- 通过 cgroup 的层级化资源控制,Kubernetes 实现了存储限制隔离性。这种机制确保了即使单个 Pod 发生存储泄露,也不会影响节点上其他容器的正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值