Kubernetes(k8s)手册
Kubernetes(k8s)手册
  1. Kubernetes 入门
    1. Kubernetes 生产环境
      1. Kubernetes 容器运行时
      2. Kubernetes 使用部署工具安装Kubernetes
        1. Kubernetes 使用kubeadm引导集群
          1. Kubernetes 安装kubeadm
          2. Kubernetes 对kubeadm进行故障排查
          3. Kubernetes 使用kubeadm创建集群
          4. Kubernetes 使用kubeadm API定制组件
          5. Kubernetes 高可用拓扑选项
          6. Kubernetes 利用kubeadm创建高可用集群
          7. Kubernetes 使用kubeadm创建一个高可用etcd集群
          8. Kubernetes 使用kubeadm配置集群中的每个kubelet
          9. Kubernetes 使用kubeadm支持双协议栈
        2. Kubernetes 使用Kops安装Kubernetes
        3. Kubernetes 使用Kubespray安装Kubernetes
      3. Kubernetes Windows Kubernetes
        1. Kubernetes 对Windows的支持
        2. Kubernetes Windows容器的调度指南
    2. Kubernetes 最佳实践
      1. Kubernetes 运行于多可用区环境
      2. Kubernetes 大规模集群的注意事项
      3. Kubernetes 校验节点设置
      4. Kubernetes PKI证书和要求
      5. Kubernetes 强制实施Pod安全性标准
  2. Kubernetes 概述
    1. Kubernetes 简介
    2. Kubernetes 组件
    3. Kubernetes API
  3. Kubernetes 安装
    1. Kubernetes Linux安装
    2. Kubernetes macOS安装
    3. Kubernetes Windows安装
  4. Kubernetes 对象
    1. Kubernetes 对象简介
    2. Kubernetes 对象管理
    3. Kubernetes 对象名称和IDs
    4. Kubernetes 名字空间
    5. Kubernetes 标签和选择算符
    6. Kubernetes 注解
    7. Kubernetes Finalizers
    8. Kubernetes 字段选择器
    9. Kubernetes 属主与附属
    10. Kubernetes 推荐使用的标签
  5. Kubernetes 架构
    1. Kubernetes 节点
    2. Kubernetes 控制面到节点通信
    3. Kubernetes 控制器
    4. Kubernetes 云控制器管理器
    5. Kubernetes 垃圾收集
    6. Kubernetes 容器运行时接口(CRI)
  6. Kubernetes 容器
    1. Kubernetes 镜像
    2. Kubernetes 容器环境
    3. Kubernetes 容器运行时类(Runtime Class)
    4. Kubernetes 容器生命周期回调
  7. Kubernetes Pods
    1. Kubernetes Pod的生命周期
    2. Kubernetes Init容器
    3. Kubernetes Pod拓扑分布约束
    4. Kubernetes 干扰(Disruptions)
    5. Kubernetes 临时容器
  8. Kubernetes 工作负载资源
    1. Kubernetes Deployments
    2. Kubernetes ReplicaSet
    3. Kubernetes StatefulSets
    4. Kubernetes DaemonSet
    5. Kubernetes Jobs
    6. Kubernetes 已完成 Job 的自动清理
    7. Kubernetes CronJob
    8. Kubernetes ReplicationController
  9. Kubernetes 服务、负载均衡和联网
    1. Kubernetes 使用拓扑键实现拓扑感知的流量路由
    2. Kubernetes 服务
    3. Kubernetes Pod 与 Service 的 DNS
    4. Kubernetes 使用 Service 连接到应用
    5. Kubernetes Ingress
    6. Kubernetes Ingress 控制器
    7. Kubernetes 拓扑感知提示
    8. Kubernetes 服务内部流量策略
    9. Kubernetes 端点切片(Endpoint Slices)
    10. Kubernetes 网络策略
    11. Kubernetes IPv4/IPv6 双协议栈
  10. Kubernetes 存储
    1. Kubernetes 卷
    2. Kubernetes 持久卷
    3. Kubernetes 投射卷
    4. Kubernetes 临时卷
    5. Kubernetes 存储类
  11. Kubernetes 配置
    1. Kubernetes 配置最佳实践
    2. Kubernetes ConfigMap
    3. Kubernetes Secret
    4. Kubernetes 为 Pod 和容器管理资源
    5. Kubernetes 使用 kubeconfig 文件组织集群访问
    6. Kubernetes Windows 节点的资源管理
  12. Kubernetes 安全
    1. Kubernetes 云原生安全概述
    2. Kubernetes Pod安全性标准
    3. Kubernetes Pod安全性准入
    4. Kubernetes Pod安全策略
    5. Kubernetes Windows节点的安全性
    6. Kubernetes API访问控制
    7. Kubernetes 基于角色的访问控制良好实践
  13. Kubernetes 策略
    1. Kubernetes 限制范围
    2. Kubernetes 资源配额
    3. Kubernetes 进程ID约束与预留
    4. Kubernetes 节点资源管理器
  14. Kubernetes 调度,抢占和驱逐
    1. Kubernetes 调度器
    2. Kubernetes 将Pod指派给节点
    3. Kubernetes Pod开销
    4. Kubernetes 污点和容忍度
    5. Kubernetes Pod优先级和抢占
    6. Kubernetes 节点压力驱逐
    7. Kubernetes API发起的驱逐
    8. Kubernetes 扩展资源的资源装箱
    9. Kubernetes 调度框架
    10. Kubernetes 调度器性能调优
  15. Kubernetes 集群管理
    1. Kubernetes 管理资源
    2. Kubernetes 集群网络系统
    3. Kubernetes 系统组件指标
    4. Kubernetes 日志架构
    5. Kubernetes 系统日志
    6. Kubernetes 追踪系统组件
    7. Kubernetes 代理
    8. Kubernetes API优先级和公平性
    9. Kubernetes 安装扩展(Addons)
  16. Kubernetes 扩展
    1. Kubernetes 扩展API
      1. Kubernetes 定制资源
      2. Kubernetes 通过聚合层扩展API
    2. Kubernetes Operator模式
    3. Kubernetes 计算、存储和网络扩展
      1. Kubernetes 网络插件
      2. Kubernetes 设备插件
    4. Kubernetes 服务目录
  17. Kubernetes 应用故障排除
    1. Kubernetes 调试Pod
    2. Kubernetes 调试Service
    3. Kubernetes 调试StatefulSet
    4. Kubernetes 调试Init容器
    5. Kubernetes 确定Pod失败的原因
    6. Kubernetes 获取正在运行容器的Shell
    7. Kubernetes 调试运行中的Pod
  18. Kubernetes 集群故障排查
    1. Kubernetes 资源指标管道
    2. Kubernetes 节点健康监测
    3. Kubernetes 使用crictl对Kubernetes节点进行调试
    4. Kubernetes Windows调试提示
    5. Kubernetes 使用telepresence在本地开发和调试服务
    6. Kubernetes 审计
    7. Kubernetes 资源监控工具
  19. Kubernetes 管理集群
    1. Kubernetes 从dockershim迁移
      1. Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
      2. Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
      3. Kubernetes CNI插件相关错误故障排除
      4. Kubernetes 查明节点上所使用的容器运行时
      5. Kubernetes 检查弃用Dockershim是否对你有影响
      6. Kubernetes 从dockershim迁移遥测和安全代理
    2. Kubernetes 用kubeadm进行管理
      1. Kubernetes 使用kubeadm进行证书管理
      2. Kubernetes 配置cgroup驱动
      3. Kubernetes 重新配置kubeadm集群
      4. Kubernetes 升级kubeadm集群
      5. Kubernetes 添加Windows节点
      6. Kubernetes 升级Windows节点
    3. Kubernetes 手动生成证书
    4. Kubernetes 管理内存,CPU和API资源
      1. Kubernetes 为命名空间配置默认的内存请求和限制
      2. Kubernetes 为命名空间配置默认的CPU请求和限制
      3. Kubernetes 配置命名空间的最小和最大内存约束
      4. Kubernetes 为命名空间配置CPU最小和最大约束
      5. Kubernetes 为命名空间配置内存和CPU配额
      6. Kubernetes 配置命名空间下Pod配额
    5. Kubernetes 安装网络策略驱动
      1. Kubernetes 使用Antrea提供NetworkPolicy
      2. Kubernetes 使用Calico提供NetworkPolicy
      3. Kubernetes 使用Cilium提供NetworkPolicy
      4. Kubernetes 使用kube-router提供NetworkPolicy
      5. Kubernetes 使用Romana提供NetworkPolicy
      6. Kubernetes 使用Weave Net提供NetworkPolicy
    6. Kubernetes IP Masquerade Agent用户指南
    7. Kubernetes 云管理控制器
    8. Kubernetes 验证签名的容器镜像
    9. Kubernetes 运行 etcd 集群
    10. Kubernetes 为系统守护进程预留计算资源
    11. Kubernetes 为节点发布扩展资源
    12. Kubernetes 以非root用户身份运行Kubernetes节点组件
    13. Kubernetes 使用CoreDNS进行服务发现
    14. Kubernetes 使用KMS驱动进行数据加密
    15. Kubernetes 使用Kubernetes API访问集群
    16. Kubernetes 使用NUMA感知的内存管理器
    17. Kubernetes 保护集群
    18. Kubernetes 关键插件Pod的调度保证
    19. Kubernetes 升级集群
    20. Kubernetes 名字空间演练
    21. Kubernetes 启用/禁用Kubernetes API
    22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
    23. Kubernetes 在Kubernetes集群中使用sysctl
    24. Kubernetes 在运行中的集群上重新配置节点的kubelet
    25. Kubernetes 在集群中使用级联删除
    26. Kubernetes 声明网络策略
    27. Kubernetes 安全地清空一个节点
    28. Kubernetes 开发云控制器管理器
    29. Kubernetes 开启服务拓扑
    30. Kubernetes 控制节点上的CPU管理策略
    31. Kubernetes 控制节点上的拓扑管理策略
    32. Kubernetes 改变默认StorageClass
    33. Kubernetes 更改PersistentVolume的回收策略
    34. Kubernetes 自动扩缩集群DNS服务
    35. Kubernetes 自定义DNS服务
    36. Kubernetes 调试DNS问题
    37. Kubernetes 迁移多副本的控制面以使用云控制器管理器
    38. Kubernetes 通过名字空间共享集群
    39. Kubernetes 通过配置文件设置Kubelet参数
    40. Kubernetes 配置API对象配额
    41. Kubernetes 限制存储消耗
    42. Kubernetes 静态加密Secret数据
  20. Kubernetes 配置Pods和容器
    1. Kubernetes 为容器和Pod分配内存资源
    2. Kubernetes 为Windows Pod和容器配置GMSA
    3. Kubernetes 为Windows的Pod和容器配置RunAsUserName
    4. Kubernetes 为容器和Pods分配CPU资源
    5. Kubernetes 创建Windows HostProcess Pod
    6. Kubernetes 配置Pod的服务质量
    7. Kubernetes 为容器分派扩展资源
    8. Kubernetes 配置Pod以使用卷进行存储
    9. Kubernetes 配置Pod以使用PersistentVolume作为存储
    10. Kubernetes 配置Pod使用投射卷作存储
    11. Kubernetes 为Pod或容器配置安全上下文
    12. Kubernetes 为Pod配置服务账户
    13. Kubernetes 从私有仓库拉取镜像
    14. Kubernetes 配置存活、就绪和启动探测器
    15. Kubernetes 将Pod分配给节点
    16. Kubernetes 用节点亲和性把Pods分配到节点
    17. Kubernetes 配置Pod初始化
    18. Kubernetes 为容器的生命周期事件设置处理函数
    19. Kubernetes 配置Pod使用ConfigMap
    20. Kubernetes 在Pod中的容器之间共享进程命名空间
    21. Kubernetes 创建静态Pod
    22. Kubernetes 将Docker Compose文件转换为Kubernetes资源
    23. Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
    24. Kubernetes 使用名字空间标签来实施Pod安全性标准
    25. Kubernetes 通过配置内置准入控制器实施Pod安全标准
  21. Kubernetes 管理Kubernetes对象
    1. Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
    2. Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
    3. Kubernetes 使用指令式命令管理Kubernetes对象
    4. Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
    5. Kubernetes 使用kubectl patch更新API对象
  22. Kubernetes 管理Secrets
    1. Kubernetes 使用kubectl管理Secret
    2. Kubernetes 使用配置文件管理Secret
    3. Kubernetes 使用Kustomize管理Secret
  23. Kubernetes 给应用注入数据
    1. Kubernetes 为容器设置启动时要执行的命令和参数
    2. Kubernetes 为容器设置环境变量
    3. Kubernetes 定义相互依赖的环境变量
    4. Kubernetes 通过环境变量将Pod信息呈现给容器
    5. Kubernetes 通过文件将Pod信息呈现给容器
    6. Kubernetes 使用Secret安全地分发凭证
  24. Kubernetes 运行应用
    1. Kubernetes 使用Deployment运行一个无状态应用
    2. Kubernetes 运行一个单实例有状态应用
    3. Kubernetes 运行一个有状态的应用程序
    4. Kubernetes 删除StatefulSet
    5. Kubernetes 强制删除StatefulSet中的Pods
    6. Kubernetes Pod水平自动扩缩
    7. Kubernetes HorizontalPodAutoscaler演练
    8. Kubernetes 为应用程序设置干扰预算(Disruption Budget)
    9. Kubernetes 从Pod中访问Kubernetes API
    10. Kubernetes 扩缩StatefulSet
  25. Kubernetes 运行Jobs
    1. Kubernetes 使用CronJob运行自动化任务
    2. Kubernetes 使用工作队列进行粗粒度并行处理
    3. Kubernetes 使用工作队列进行精细的并行处理
    4. Kubernetes 使用索引作业完成静态工作分配下的并行处理
    5. Kubernetes 使用展开的方式进行并行处理
  26. Kubernetes 访问集群中的应用程序
    1. Kubernetes 部署和访问Kubernetes仪表板(Dashboard)
    2. Kubernetes 访问集群
    3. Kubernetes 使用端口转发来访问集群中的应用
    4. Kubernetes 使用服务来访问集群中的应用
    5. Kubernetes 使用Service把前端连接到后端
    6. Kubernetes 创建外部负载均衡器
    7. Kubernetes 列出集群中所有运行容器的镜像
    8. Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
    9. Kubernetes 为集群配置DNS
    10. Kubernetes 同Pod内的容器使用共享卷通信
    11. Kubernetes 访问集群上运行的服务
    12. Kubernetes 配置对多集群的访问
  27. Kubernetes 扩展Kubernetes
    1. Kubernetes 使用自定义资源
      1. Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
      2. Kubernetes CustomResourceDefinition的版本
    2. Kubernetes 配置聚合层
    3. Kubernetes 安装一个扩展的API server
    4. Kubernetes 配置多个调度器
    5. Kubernetes 使用HTTP代理访问Kubernetes API
    6. Kubernetes 使用SOCKS5代理访问Kubernetes API
    7. Kubernetes 设置Konnectivity服务
  28. Kubernetes TLS
    1. Kubernetes 为kubelet配置证书轮换
    2. Kubernetes 手动轮换CA证书
    3. Kubernetes 管理集群中的TLS认证
  29. Kubernetes 管理集群守护进程
    1. Kubernetes 对DaemonSet执行滚动更新
    2. Kubernetes 对DaemonSet执行回滚
  30. Kubernetes 安装服务目录
    1. Kubernetes 使用Helm安装Service Catalog
    2. Kubernetes 使用SC安装服务目录
  31. Kubernetes 网络
    1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
    2. Kubernetes 验证IPv4/IPv6双协议栈
  32. Kubernetes 任务
    1. Kubernetes 调度GPUs
    2. Kubernetes 管理巨页(HugePages)
    3. Kubernetes 配置kubelet镜像凭据提供程序
    4. Kubernetes 用插件扩展kubectl
  33. Kubernetes 安全
    1. Kubernetes 使用AppArmor限制容器对资源的访问
    2. Kubernetes 在集群级别应用Pod安全标准
    3. Kubernetes 在名字空间级别应用Pod安全标准
    4. Kubernetes 使用seccomp限制容器的系统调用
  34. Kubernetes 无状态应用程序
    1. Kubernetes 公开外部IP地址以访问集群中应用程序
    2. Kubernetes 示例:使用Redis部署PHP留言板应用程序
  35. Kubernetes 有状态的应用
    1. Kubernetes StatefulSet基础
    2. Kubernetes 示例:使用Persistent Volumes部署WordPress和MySQL
    3. Kubernetes 示例:使用StatefulSet部署Cassandra
    4. Kubernetes 运行ZooKeeper,一个分布式协调系统
  36. Kubernetes Service
    1. Kubernetes 使用源IP
阅读(937) 书签 (0) 我要纠错

Kubernetes API优先级和公平性

2022-05-27 17:15 更新

API 优先级和公平性

FEATURE STATE: Kubernetes v1.20 [beta]

对于集群管理员来说,控制 Kubernetes API 服务器在过载情况下的行为是一项关键任务。 kube-apiserver 有一些控件(例如:命令行标志 ​--max-requests-inflight​ 和 ​--max-mutating-requests-inflight​ ), 可以限制将要接受的未处理的请求,从而防止过量请求入站,潜在导致 API 服务器崩溃。 但是这些标志不足以保证在高流量期间,最重要的请求仍能被服务器接受。

API 优先级和公平性(APF)是一种替代方案,可提升上述最大并发限制。 APF 以更细粒度的方式对请求进行分类和隔离。 它还引入了空间有限的排队机制,因此在非常短暂的突发情况下,API 服务器不会拒绝任何请求。 通过使用公平排队技术从队列中分发请求,这样, 一个行为不佳的 控制器 就不会饿死其他控制器(即使优先级相同)。

本功能特性在设计上期望其能与标准控制器一起工作得很好; 这类控制器使用通知组件(Informers)获得信息并对 API 请求的失效作出反应, 在处理失效时能够执行指数型回退。其他客户端也以类似方式工作。

Caution: 属于“长时间运行”类型的请求(主要是 watch)不受 API 优先级和公平性过滤器的约束。 如果未启用 APF 特性,即便设置 ​--max-requests-inflight​ 标志,该类请求也不受约束。

启用/禁用 API 优先级和公平性 

API 优先级与公平性(APF)特性由特性门控控制,默认情况下启用。 有关特性门控的一般性描述以及如何启用和禁用特性门控, 请参见特性门控。 APF 的特性门控称为 ​APIPriorityAndFairness​。 此特性也与某个 API 组 相关: (a) ​v1alpha1 ​版本,默认被禁用; (b) ​v1beta1 ​和 ​v1beta2 ​版本,默认被启用。 你可以在启动 ​kube-apiserver​ 时,添加以下命令行标志来禁用此功能门控及 API Beta 组:

kube-apiserver \
--feature-gates=APIPriorityAndFairness=false \
--runtime-config=flowcontrol.apiserver.k8s.io/v1beta1=false,flowcontrol.apiserver.k8s.io/v1beta2=false \
  # ...其他配置不变

或者,你也可以通过 ​--runtime-config=flowcontrol.apiserver.k8s.io/v1alpha1=true​ 启用 API 组的 v1alpha1 版本。

命令行标志 ​--enable-priority-fairness=false​ 将彻底禁用 APF 特性,即使其他标志启用它也是无效。

概念 

APF 特性包含几个不同的功能。 传入的请求通过 FlowSchema 按照其属性分类,并分配优先级。 每个优先级维护自定义的并发限制,加强了隔离度,这样不同优先级的请求,就不会相互饿死。 在同一个优先级内,公平排队算法可以防止来自不同 flow 的请求相互饿死。 该算法将请求排队,通过排队机制,防止在平均负载较低时,通信量突增而导致请求失败。

优先级 

如果未启用 APF,API 服务器中的整体并发量将受到 ​kube-apiserver​ 的参数 ​--max-requests-inflight​ 和 ​--max-mutating-requests-inflight​ 的限制。 启用 APF 后,将对这些参数定义的并发限制进行求和,然后将总和分配到一组可配置的 优先级 中。 每个传入的请求都会分配一个优先级;每个优先级都有各自的配置,设定允许分发的并发请求数。

例如,默认配置包括针对领导者选举请求、内置控制器请求和 Pod 请求都单独设置优先级。 这表示即使异常的 Pod 向 API 服务器发送大量请求,也无法阻止领导者选举或内置控制器的操作执行成功。

排队 

即使在同一优先级内,也可能存在大量不同的流量源。 在过载情况下,防止一个请求流饿死其他流是非常有价值的 (尤其是在一个较为常见的场景中,一个有故障的客户端会疯狂地向 kube-apiserver 发送请求, 理想情况下,这个有故障的客户端不应对其他客户端产生太大的影响)。 公平排队算法在处理具有相同优先级的请求时,实现了上述场景。 每个请求都被分配到某个 流 中,该 流 由对应的 FlowSchema 的名字加上一个 流区分项(Flow Distinguisher) 来标识。 这里的流区分项可以是发出请求的用户、目标资源的名称空间或什么都不是。 系统尝试为不同流中具有相同优先级的请求赋予近似相等的权重。 要启用对不同实例的不同处理方式,多实例的控制器要分别用不同的用户名来执行身份认证。

将请求划分到流中之后,APF 功能将请求分配到队列中。 分配时使用一种称为 混洗分片(Shuffle-Sharding) 的技术。 该技术可以相对有效地利用队列隔离低强度流与高强度流。

排队算法的细节可针对每个优先等级进行调整,并允许管理员在内存占用、 公平性(当总流量超标时,各个独立的流将都会取得进展)、 突发流量的容忍度以及排队引发的额外延迟之间进行权衡。

豁免请求 

某些特别重要的请求不受制于此特性施加的任何限制。这些豁免可防止不当的流控配置完全禁用 API 服务器。

资源 

流控 API 涉及两种资源。 PriorityLevelConfigurations 定义隔离类型和可处理的并发预算量,还可以微调排队行为。  FlowSchemas 用于对每个入站请求进行分类,并与一个 PriorityLevelConfigurations 相匹配。 此外同一 API 组还有一个 ​v1alpha1 ​版本,其中包含语法和语义都相同的资源类别。

PriorityLevelConfiguration 

一个 PriorityLevelConfiguration 表示单个隔离类型。每个 PriorityLevelConfigurations 对未完成的请求数有各自的限制,对排队中的请求数也有限制。

PriorityLevelConfigurations 的并发限制不是指定请求绝对数量,而是在“并发份额”中指定。 API 服务器的总并发量限制通过这些份额按例分配到现有 PriorityLevelConfigurations 中。 集群管理员可以更改 ​--max-requests-inflight​ (或 ​--max-mutating-requests-inflight​ )的值, 再重新启动 ​kube-apiserver​ 来增加或减小服务器的总流量, 然后所有的 PriorityLevelConfigurations 将看到其最大并发增加(或减少)了相同的比例。

Caution: 启用 APF 功能后,服务器的总并发量限制将设置为 ​--max-requests-inflight​ 和 ​--max-mutating-requests-inflight​ 之和。 可变请求和不可变请求之间不再有任何区别; 如果对于某种资源,你需要区别对待不同请求,请创建不同的 FlowSchema 分别匹配可变请求和不可变请求。

当入站请求的数量大于分配的 PriorityLevelConfigurations 中允许的并发级别时, ​type ​字段将确定对额外请求的处理方式。 ​Reject ​类型,表示多余的流量将立即被 HTTP 429(请求过多)错误所拒绝。 ​Queue ​类型,表示对超过阈值的请求进行排队,将使用阈值分片和公平排队技术来平衡请求流之间的进度。

公平排队算法支持通过排队配置对优先级微调:

  • queues ​递增能减少不同流之间的冲突概率,但代价是增加了内存使用量。 值为 1 时,会禁用公平排队逻辑,但仍允许请求排队。
  • queueLengthLimit ​递增可以在不丢弃任何请求的情况下支撑更大的突发流量, 但代价是增加了等待时间和内存使用量。
  • 修改 ​handSize ​允许你调整过载情况下不同流之间的冲突概率以及单个流可用的整体并发性。
Note: 较大的 ​handSize ​使两个单独的流程发生碰撞的可能性较小(因此,一个流可以饿死另一个流), 但是更有可能的是少数流可以控制 apiserver。 较大的 ​handSize ​还可能增加单个高并发流的延迟量。 单个流中可能排队的请求的最大数量为 ​handSize * queueLengthLimit​ 。

下表显示了有趣的随机分片配置集合, 每行显示给定的老鼠(低强度流)被不同数量的大象挤压(高强度流)的概率。 表来源请参阅: https://play.golang.org/p/Gi0PLgVHiUg

随机分片 队列数 1 个大象 4 个大象 16 个大象
12 32 4.428838398950118e-09 0.11431348830099144 0.9935089607656024
10 32 1.550093439632541e-08 0.0626479840223545 0.9753101519027554
10 64 6.601827268370426e-12 0.00045571320990370776 0.49999929150089345
9 64 3.6310049976037345e-11 0.00045501212304112273 0.4282314876454858
8 64 2.25929199850899e-10 0.0004886697053040446 0.35935114681123076
8 128 6.994461389026097e-13 3.4055790161620863e-06 0.02746173137155063
7 128 1.0579122850901972e-11 6.960839379258192e-06 0.02406157386340147
7 256 7.597695465552631e-14 6.728547142019406e-08 0.0006709661542533682
6 256 2.7134626662687968e-12 2.9516464018476436e-07 0.0008895654642000348
6 512 4.116062922897309e-14 4.982983350480894e-09 2.26025764343413e-05
6 1024 6.337324016514285e-16 8.09060164312957e-11 4.517408062903668e-07

FlowSchema 

FlowSchema 匹配一些入站请求,并将它们分配给优先级。 每个入站请求都会对所有 FlowSchema 测试是否匹配, 首先从 ​matchingPrecedence ​数值最低的匹配开始(我们认为这是逻辑上匹配度最高), 然后依次进行,直到首个匹配出现。

Caution: 对一个请求来说,只有首个匹配的 FlowSchema 才有意义。 如果一个入站请求与多个 FlowSchema 匹配,则将基于 ​matchingPrecedence ​值最高的请求进行筛选。 如果一个请求匹配多个 FlowSchema 且 ​matchingPrecedence ​的值相同,则按 ​name ​的字典序选择最小, 但是最好不要依赖它,而是确保不存在两个 FlowSchema 具有相同的 ​matchingPrecedence ​值。

当给定的请求与某个 FlowSchema 的 ​rules ​的其中一条匹配,那么就认为该请求与该 FlowSchema 匹配。 判断规则与该请求是否匹配,不仅要求该条规则的 ​subjects ​字段至少存在一个与该请求相匹配, 而且要求该条规则的 ​resourceRules ​或 ​nonResourceRules ​(取决于传入请求是针对资源URL还是非资源URL)字段至少存在一个与该请求相匹配。

对于 ​subjects ​中的 ​name ​字段和资源和非资源规则的 ​verbs​,​apiGroups​,​resources​,​namespaces ​和 ​nonResourceURLs ​字段, 可以指定通配符 ​*​ 来匹配任意值,从而有效地忽略该字段。

FlowSchema 的 ​distinguisherMethod.type​ 字段决定了如何把与该模式匹配的请求分散到各个流中。 可能是 ​ByUser ​,在这种情况下,一个请求用户将无法饿死其他容量的用户; 或者是 ​ByNamespace ​,在这种情况下,一个名称空间中的资源请求将无法饿死其它名称空间的资源请求; 或者它可以为空(或者可以完全省略 ​distinguisherMethod​), 在这种情况下,与此 FlowSchema 匹配的请求将被视为单个流的一部分。 资源和你的特定环境决定了如何选择正确一个 FlowSchema。

默认值 

每个 kube-apiserver 会维护两种类型的 APF 配置对象:强制的(Mandatory)和建议的(Suggested)。

强制的配置对象

有四种强制的配置对象对应内置的守护行为。这里的行为是服务器在还未创建对象之前就具备的行为, 而当这些对象存在时,其规约反映了这类行为。四种强制的对象如下:

  • 强制的 ​exempt ​优先级用于完全不受流控限制的请求:它们总是立刻被分发。 强制的 ​exempt ​FlowSchema 把 ​system:masters​ 组的所有请求都归入该优先级。 如果合适,你可以定义新的 FlowSchema,将其他请求定向到该优先级。
  • 强制的 ​catch-all​ 优先级与强制的 ​catch-all​ FlowSchema 结合使用, 以确保每个请求都分类。一般而言,你不应该依赖于 ​catch-all​ 的配置, 而应适当地创建自己的 ​catch-all​ FlowSchema 和 PriorityLevelConfiguration (或使用默认安装的 ​global-default​ 配置)。 因为这一优先级不是正常场景下要使用的,​catch-all​ 优先级的并发度份额很小, 并且不会对请求进行排队。

建议的配置对象

建议的 FlowSchema 和 PriorityLevelConfiguration 包含合理的默认配置。 你可以修改这些对象或者根据需要创建新的配置对象。如果你的集群可能承受较重负载, 那么你就要考虑哪种配置最合适。

建议的配置把请求分为六个优先级:

  • node-high​ 优先级用于来自节点的健康状态更新。
  • system ​优先级用于 ​system:nodes​ 组(即 kubelet)的与健康状态更新无关的请求; kubelets 必须能连上 API 服务器,以便工作负载能够调度到其上。
  • leader-election​ 优先级用于内置控制器的领导选举的请求 (特别是来自 ​kube-system​ 名称空间中 ​system:kube-controller-manager​ 和 ​system:kube-scheduler​ 用户和服务账号,针对 ​endpoints​、​configmaps ​或 ​leases ​的请求)。 将这些请求与其他流量相隔离非常重要,因为领导者选举失败会导致控制器发生故障并重新启动, 这反过来会导致新启动的控制器在同步信息时,流量开销更大。
  • workload-high​ 优先级用于内置控制器的其他请求。
  • workload-low​ 优先级用于来自所有其他服务帐户的请求,通常包括来自 Pod 中运行的控制器的所有请求。
  • global-default​ 优先级可处理所有其他流量,例如:非特权用户运行的交互式 ​kubectl ​命令。

建议的 FlowSchema 用来将请求导向上述的优先级内,这里不再一一列举。

强制的与建议的配置对象的维护

每个 ​kube-apiserver​ 都独立地维护其强制的与建议的配置对象, 这一维护操作既是服务器的初始行为,也是其周期性操作的一部分。 因此,当存在不同版本的服务器时,如果各个服务器对于配置对象中的合适内容有不同意见, 就可能出现抖动。

每个 ​kube-apiserver​ 都会对强制的与建议的配置对象执行初始的维护操作, 之后(每分钟)对这些对象执行周期性的维护。

对于强制的配置对象,维护操作包括确保对象存在并且包含合适的规约(如果存在的话)。 服务器会拒绝创建或更新与其守护行为不一致的规约。

对建议的配置对象的维护操作被设计为允许其规约被重载。删除操作是不允许的, 维护操作期间会重建这类配置对象。如果你不需要某个建议的配置对象, 你需要将它放在一边,并让其规约所产生的影响最小化。 对建议的配置对象而言,其维护方面的设计也支持在上线新的 ​kube-apiserver​ 时完成自动的迁移动作,即便可能因为当前的服务器集合存在不同的版本而可能造成抖动仍是如此。

对建议的配置对象的维护操作包括基于服务器建议的规约创建对象 (如果对象不存在的话)。反之,如果对象已经存在,维护操作的行为取决于是否 ​kube-apiserver​ 或者用户在控制对象。如果 ​kube-apiserver​ 在控制对象, 则服务器确保对象的规约与服务器所给的建议匹配,如果用户在控制对象, 对象的规约保持不变。

关于谁在控制对象这个问题,首先要看对象上的 ​apf.kubernetes.io/autoupdate-spec​ 注解。如果对象上存在这个注解,并且其取值为​true​,则 kube-apiserver 在控制该对象。如果存在这个注解,并且其取值为​false​,则用户在控制对象。 如果这两个条件都不满足,则需要进一步查看对象的 ​metadata.generation​。 如果该值为 1,则 kube-apiserver 控制对象,否则用户控制对象。 这些规则是在 1.22 发行版中引入的,而对 ​metadata.generation​ 的考量是为了便于从之前较简单的行为迁移过来。希望控制建议的配置对象的用户应该将对象的 ​apf.kubernetes.io/autoupdate-spec​ 注解设置为 ​false​。

对强制的或建议的配置对象的维护操作也包括确保对象上存在 ​apf.kubernetes.io/autoupdate-spec​ 这一注解,并且其取值准确地反映了是否 kube-apiserver 在控制着对象。

维护操作还包括删除那些既非强制又非建议的配置,同时注解配置为 ​apf.kubernetes.io/autoupdate-spec=true​ 的对象。

健康检查并发豁免 

推荐配置没有为本地 kubelet 对 kube-apiserver 执行健康检查的请求进行任何特殊处理 ——它们倾向于使用安全端口,但不提供凭据。 在推荐配置中,这些请求将分配 ​global-default​ FlowSchema 和 ​global-default​ 优先级, 这样其他流量可以排除健康检查。

如果添加以下 FlowSchema,健康检查请求不受速率限制。

Caution: 进行此更改后,任何敌对方都可以发送与此 FlowSchema 匹配的任意数量的健康检查请求。 如果你有 Web 流量过滤器或类似的外部安全机制保护集群的 API 服务器免受常规网络流量的侵扰, 则可以配置规则,阻止所有来自集群外部的健康检查请求。
apiVersion: flowcontrol.apiserver.k8s.io/v1beta2
kind: FlowSchema
metadata:
  name: health-for-strangers
spec:
  matchingPrecedence: 1000
  priorityLevelConfiguration:
    name: exempt
  rules:
  - nonResourceRules:
    - nonResourceURLs:
      - "/healthz"
      - "/livez"
      - "/readyz"
      verbs:
      - "*"
    subjects:
    - kind: Group
      group:
        name: system:unauthenticated

问题诊断 

启用了 APF 的 API 服务器,它每个 HTTP 响应都有两个额外的 HTTP 头: ​X-Kubernetes-PF-FlowSchema-UID​ 和 ​X-Kubernetes-PF-PriorityLevel-UID​, 注意与请求匹配的 FlowSchema 和已分配的优先级。 如果请求用户没有查看这些对象的权限,则这些 HTTP 头中将不包含 API 对象的名称, 因此在调试时,你可以使用类似如下的命令:

kubectl get flowschemas -o custom-columns="uid:{metadata.uid},name:{metadata.name}"
kubectl get prioritylevelconfigurations -o custom-columns="uid:{metadata.uid},name:{metadata.name}"

来获取 UID 到 FlowSchema 的名称和 UID 到 PriorityLevelConfigurations 的名称的映射。

可观察性 

指标

Note: 在 Kubernetes v1.20 之前的版本中,标签 ​flow_schema ​和 ​priority_level​ 的名称有时被写作 ​flowSchema ​和 ​priorityLevel​,即存在不一致的情况。 如果你在运行 Kubernetes v1.19 或者更早版本,你需要参考你所使用的集群 版本对应的文档。

当你开启了 APF 后,kube-apiserver 会暴露额外指标。 监视这些指标有助于判断你的配置是否不当地限制了重要流量, 或者发现可能会损害系统健康的,行为不良的工作负载。

  • apiserver_flowcontrol_rejected_requests_total ​是一个计数器向量, 记录被拒绝的请求数量(自服务器启动以来累计值), 由标签 ​flow_chema​(表示与请求匹配的 FlowSchema),​priority_evel ​(表示分配给请该求的优先级)和 ​reason ​来区分。 ​reason ​标签将具有以下值之一:
    • queue-full​ ,表明已经有太多请求排队,
    • concurrency-limit​,表示将 PriorityLevelConfiguration 配置为 ​Reject ​而不是 ​Queue ​,或者
    • time-out​, 表示在其排队时间超期的请求仍在队列中。
  • apiserver_flowcontrol_dispatched_requests_total​ 是一个计数器向量, 记录开始执行的请求数量(自服务器启动以来的累积值), 由标签 ​flow_schema​(表示与请求匹配的 FlowSchema)和 ​priority_level​(表示分配给该请求的优先级)来区分。
  • apiserver_current_inqueue_requests ​是一个表向量, 记录最近排队请求数量的高水位线, 由标签 ​request_kind ​分组,标签的值为 ​mutating ​或 ​readOnly​。 这些高水位线表示在最近一秒钟内看到的最大数字。 它们补充说明了老的表向量 ​apiserver_current_inflight_requests ​(该量保存了最后一个窗口中,正在处理的请求数量的高水位线)。
  • apiserver_flowcontrol_read_vs_write_request_count_samples ​是一个直方图向量, 记录当前请求数量的观察值, 由标签 ​phase​(取值为 ​waiting ​和 ​executing​)和 ​request_kind ​(取值 ​mutating ​和 ​readOnly​)拆分。定期以高速率观察该值。
  • apiserver_flowcontrol_read_vs_write_request_count_watermarks ​是一个直方图向量, 记录请求数量的高/低水位线, 由标签 ​phase​(取值为 ​waiting ​和 ​executing​)和 ​request_kind ​(取值为 ​mutating ​和 ​readOnly​)拆分;标签 ​mark ​取值为 ​high ​和 ​low ​。 ​apiserver_flowcontrol_read_vs_write_request_count_samples ​向量观察到有值新增, 则该向量累积。这些水位线显示了样本值的范围。
  • apiserver_flowcontrol_current_inqueue_requests ​是一个表向量, 记录包含排队中的(未执行)请求的瞬时数量, 由标签 ​priorityLevel ​和 ​flowSchema ​拆分。
  • apiserver_flowcontrol_current_executing_requests ​是一个表向量, 记录包含执行中(不在队列中等待)请求的瞬时数量, 由标签 ​priority_level ​和 ​flow_schema ​进一步区分。
  • apiserver_flowcontrol_request_concurrency_in_use ​是一个规范向量, 包含占用座位的瞬时数量,由标签 ​priority_level ​和 ​flow_schema ​进一步区分。
  • apiserver_flowcontrol_priority_level_request_count_samples ​是一个直方图向量, 记录当前请求的观测值,由标签 ​phase​(取值为​waiting ​和 ​executing​)和 ​priority_level ​进一步区分。 每个直方图都会定期进行观察,直到相关类别的最后活动为止。观察频率高。
  • apiserver_flowcontrol_priority_level_request_count_watermarks ​是一个直方图向量, 记录请求数的高/低水位线,由标签 ​phase​(取值为 ​waiting ​和 ​executing​)和 ​priority_level ​拆分; 标签 ​mark ​取值为 ​high ​和 ​low ​。 ​apiserver_flowcontrol_priority_level_request_count_samples ​向量观察到有值新增, 则该向量累积。这些水位线显示了样本值的范围。
  • apiserver_flowcontrol_request_queue_length_after_enqueue ​是一个直方图向量, 记录请求队列的长度,由标签 ​priority_level ​和 ​flow_schema ​进一步区分。 每个排队中的请求都会为其直方图贡献一个样本,并在添加请求后立即上报队列的长度。 请注意,这样产生的统计数据与无偏调查不同。
Note: 直方图中的离群值在这里表示单个流(即,一个用户或一个名称空间的请求, 具体取决于配置)正在疯狂地向 API 服务器发请求,并受到限制。 相反,如果一个优先级的直方图显示该优先级的所有队列都比其他优先级的队列长, 则增加 PriorityLevelConfigurations 的并发份额是比较合适的。
  • apiserver_flowcontrol_request_concurrency_limit ​是一个表向量, 记录并发限制的计算值(基于 API 服务器的总并发限制和 PriorityLevelConfigurations 的并发份额),并按标签 ​priority_level ​进一步区分。
  • apiserver_flowcontrol_request_wait_duration_seconds ​是一个直方图向量, 记录请求排队的时间, 由标签 ​flow_schema​(表示与请求匹配的 FlowSchema ), ​priority_level​(表示分配该请求的优先级) 和 ​execute​(表示请求是否开始执行)进一步区分。

Note: 由于每个 FlowSchema 总会给请求分配 PriorityLevelConfigurations, 因此你可以为一个优先级添加所有 FlowSchema 的直方图,以获取分配给 该优先级的请求的有效直方图。

  • apiserver_flowcontrol_request_execution_seconds ​是一个直方图向量, 记录请求实际执行需要花费的时间, 由标签 ​flow_schema​(表示与请求匹配的 FlowSchema )和 ​priority_level​(表示分配给该请求的优先级)进一步区分。

调试端点 

启用 APF 特性后, kube-apiserver 会在其 HTTP/HTTPS 端口提供以下路径:

  • /debug/api_priority_and_fairness/dump_priority_levels​ —— 所有优先级及其当前状态的列表。你可以这样获取:
    • kubectl get --raw /debug/api_priority_and_fairness/dump_priority_levels

    输出类似于:

    PriorityLevelName, ActiveQueues, IsIdle, IsQuiescing, WaitingRequests, ExecutingRequests,
workload-low,      0,            true,   false,       0,               0,
global-default,    0,            true,   false,       0,               0,
exempt,            <none>,       <none>, <none>,      <none>,          <none>,
catch-all,         0,            true,   false,       0,               0,
system,            0,            true,   false,       0,               0,
leader-election,   0,            true,   false,       0,               0,
workload-high,     0,            true,   false,       0,               0,
  • /debug/api_priority_and_fairness/dump_queues​ —— 所有队列及其当前状态的列表。 你可以这样获取:
    • kubectl get --raw /debug/api_priority_and_fairness/dump_queues

    输出类似于:

    PriorityLevelName, Index,  PendingRequests, ExecutingRequests, VirtualStart,
workload-high,     0,      0,               0,                 0.0000,
workload-high,     1,      0,               0,                 0.0000,
workload-high,     2,      0,               0,                 0.0000,
...
leader-election,   14,     0,               0,                 0.0000,
leader-election,   15,     0,               0,                 0.0000,
  • /debug/api_priority_and_fairness/dump_requests​ ——当前正在队列中等待的所有请求的列表。 你可以这样获取:
    • kubectl get --raw /debug/api_priority_and_fairness/dump_requests

    输出类似于:

    PriorityLevelName, FlowSchemaName, QueueIndex, RequestIndexInQueue, FlowDistingsher,       ArriveTime,
exempt,            <none>,         <none>,     <none>,              <none>,                <none>,
system,            system-nodes,   12,         0,                   system:node:127.0.0.1, 2020-07-23T15:26:57.179170694Z,

    针对每个优先级别,输出中还包含一条虚拟记录,对应豁免限制。

    你可以使用以下命令获得更详细的清单:

    kubectl get --raw '/debug/api_priority_and_fairness/dump_requests?includeRequestDetails=1'

    输出类似于:

    PriorityLevelName, FlowSchemaName, QueueIndex, RequestIndexInQueue, FlowDistingsher,       ArriveTime,                     UserName,              Verb,   APIPath,                                                     Namespace, Name,   APIVersion, Resource, SubResource,
system,            system-nodes,   12,         0,                   system:node:127.0.0.1, 2020-07-23T15:31:03.583823404Z, system:node:127.0.0.1, create, /api/v1/namespaces/scaletest/configmaps,
system,            system-nodes,   12,         1,                   system:node:127.0.0.1, 2020-07-23T15:31:03.594555947Z, system:node:127.0.0.1, create, /api/v1/namespaces/scaletest/configmaps,


以上内容是否对您有帮助:
Kubernetes 代理
Kubernetes 安装扩展(Addons)
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号