如何使用 Kubernetes 配额强制实施资源限制

简介

本教程全面介绍了Kubernetes资源配额，这是一项强大的功能，可让你设置命名空间可消耗的资源量限制。这在多租户Kubernetes集群中特别有用，你可以在其中确保一个命名空间不会独占所有可用资源，而不给其他命名空间留下任何资源。本教程涵盖了资源配额的概念、如何配置它们以及如何在实践中应用它们。

理解Kubernetes资源配额

Kubernetes资源配额是一项强大的功能，它允许你设置命名空间可消耗的资源量限制。这在多租户Kubernetes集群中特别有用，你可以在其中确保一个命名空间不会独占所有可用资源，而不给其他命名空间留下任何资源。

资源配额可用于限制命名空间内可请求和消耗的计算资源（CPU、内存）总量。它们还可用于限制在命名空间中可创建的对象（Pod、服务、机密等）数量。

graph TD A[命名空间A] --> B[资源配额] B --> C[CPU限制] B --> D[内存限制] B --> E[对象数量限制]

例如，你可以在命名空间中设置资源配额，将总CPU请求限制为2核，总内存请求限制为4GB。你还可以将该命名空间中可创建的Pod数量限制为100个。

apiVersion: v1
kind: ResourceQuota
metadata:
  name: compute-resources
  namespace: default
spec:
  hard:
    requests.cpu: "2"
    requests.memory: 4Gi
    limits.cpu: "4"
    limits.memory: 8Gi
    pods: "100"

通过应用此资源配额，Kubernetes将确保default命名空间中的总CPU和内存请求不超过指定限制，并且创建的Pod数量不超过100个。

资源配额对于在Kubernetes集群中管理资源、确保公平分配以及防止单个命名空间占用过多资源而言，是一个很有价值的工具。

配置资源配额

在Kubernetes中配置资源配额涉及创建一个 ResourceQuota 对象并将其应用于一个命名空间。ResourceQuota 对象定义了将对命名空间内消耗的资源实施的限制和约束。

以下是一个 ResourceQuota 清单示例，它限制了一个命名空间中的CPU、内存和对象数量：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: compute-resources
  namespace: my-namespace
spec:
  hard:
    requests.cpu: "2"
    requests.memory: 4Gi
    limits.cpu: "4"
    limits.memory: 8Gi
    pods: "100"
    services: "50"
    secrets: "100"
    configmaps: "50"

在此示例中，名为 compute-resources 的 ResourceQuota 对象应用于 my-namespace 命名空间。它设置了以下限制：

CPU请求限制为2核
内存请求限制为4 GiB
CPU限制设置为4核
内存限制设置为8 GiB
Pod数量限制为100个
服务数量限制为50个
机密数量限制为100个
配置映射数量限制为50个

你还可以为特定资源类型（如存储）配置资源配额：

apiVersion: v1
kind: ResourceQuota
metadata:
  name: storage-resources
  namespace: my-namespace
spec:
  hard:
    requests.storage: 500Gi
    persistentvolumeclaims: "10"
    configmaps: "10"
    secrets: "10"

此 ResourceQuota 对象将总存储请求限制为500 GiB，并将持久卷声明、配置映射和机密的数量分别限制为10个。

一旦创建了 ResourceQuota 对象，Kubernetes将在目标命名空间内自动实施指定的限制。

在实践中应用资源配额

在Kubernetes集群中应用资源配额可以帮助你实现几个重要目标，例如资源的公平分配、成本控制和提升集群性能。

资源配额的一个常见用例是确保没有单个命名空间能够独占集群中的所有可用资源。通过对CPU、内存和对象数量设置适当的限制，你可以防止一个命名空间中的资源密集型工作负载影响其他命名空间的性能。

graph TD A[集群资源] --> B[命名空间A] A --> C[命名空间B] A --> D[命名空间C] B --> E[资源配额] C --> F[资源配额] D --> G[资源配额]

资源配额有用的另一种情况是成本控制。通过对命名空间中可消耗的总资源设置限制，你可以确保在该命名空间中运行工作负载的成本保持在预算范围内。

apiVersion: v1
kind: LimitRange
metadata:
  name: limit-range
  namespace: my-namespace
spec:
  limits:
    - default:
        cpu: 500m
        memory: 256Mi
      defaultRequest:
        cpu: 250m
        memory: 128Mi
      type: Container

在此示例中，LimitRange 对象为 my-namespace 命名空间中的容器设置了默认的CPU和内存请求及限制。这可以与资源配额结合使用，以控制该命名空间中的总体资源消耗。

通过策略性地应用资源配额，你可以优化Kubernetes集群的性能和成本效益，确保资源在所有命名空间中得到公平且高效的分配。

总结

Kubernetes资源配额是在Kubernetes集群中管理资源的一项重要工具，可确保资源的公平分配，并防止单个命名空间占用过多资源。通过配置资源配额，你可以限制命名空间内可请求和消耗的计算资源（CPU、内存）总量，以及可创建的对象（Pod、服务、机密等）数量。本教程全面介绍了资源配额以及如何在实践中应用它们，帮助你在多租户Kubernetes环境中有效地管理资源。